專利名稱:從接入網(wǎng)絡(luò)至用戶設(shè)備的會(huì)話專用信息的通信的制作方法
技術(shù)領(lǐng)域:
本發(fā)明概括地涉及通信系統(tǒng),以及更具體地,本發(fā)明涉及在這樣系統(tǒng)中使用的通信協(xié)議。
背景技術(shù):
無線通信標(biāo)準(zhǔn)持續(xù)演進(jìn)。例如,在蜂窩環(huán)境中,標(biāo)準(zhǔn)正從第三代(3G)標(biāo)準(zhǔn)向第四代GG)標(biāo)準(zhǔn)演進(jìn)。3G標(biāo)準(zhǔn)包括由被稱為3G合作伙伴計(jì)劃(3GPP)的組織發(fā)布的GSM和UMTS 標(biāo)準(zhǔn),以及由被稱為3GPP2的組織發(fā)布的諸如高速分組數(shù)據(jù)(HRPD)的CDMA2000標(biāo)準(zhǔn)。當(dāng)前由3GPP開發(fā)的4G標(biāo)準(zhǔn)一般被稱為長(zhǎng)期演進(jìn)(LTE)標(biāo)準(zhǔn)。包括例如2007年5月發(fā)布的 3GPP2規(guī)范第A. SOOOS-Ov 4. 0號(hào)“在接入網(wǎng)絡(luò)中具有會(huì)話控制的高速分組數(shù)據(jù)(HRPD)無線接入網(wǎng)絡(luò)接口的互通規(guī)范(IOS) (Interoperability Specification(10 for High Rate Packet Data (HRPD) Radio Access Network interfaces with Session Control in the Access Network),,的3GPP和3GPP2規(guī)范文檔可免費(fèi)在線獲得并以引用方式將其全部?jī)?nèi)容引入本文。LTE網(wǎng)絡(luò)將利用基于國際互聯(lián)網(wǎng)協(xié)議(IP)的被稱為演進(jìn)分組核心(EPC)的分組核心。為了促進(jìn)向LTE網(wǎng)絡(luò)過渡,3GPP2已經(jīng)開發(fā)了增強(qiáng)HRPD (eHRPD),其中增強(qiáng)HRPD允許 HRPD接入網(wǎng)絡(luò)利用LTE EPC0這樣的HRPD接入網(wǎng)絡(luò)也被稱為eHRPD接入網(wǎng)絡(luò)。eHRPD方案利用HRPD服務(wù)網(wǎng)關(guān)(HSGW)將eHRPD接入網(wǎng)絡(luò)接入LTE EPC。HSGW在 eHRPD接入網(wǎng)絡(luò)和EPC的分組數(shù)據(jù)網(wǎng)絡(luò)(PDN)之間提供互通。例如,HSGff可與EPC的PDN 網(wǎng)關(guān)(PGW)交互。HSGW可實(shí)現(xiàn)為獨(dú)立的網(wǎng)絡(luò)元件,或者可替換地,可視為包括接入網(wǎng)絡(luò)中的分組數(shù)據(jù)服務(wù)節(jié)點(diǎn)(PDSN)或者合并在分組數(shù)據(jù)服務(wù)節(jié)點(diǎn)(PDSN)中。當(dāng)允許從諸如eHRPD接入網(wǎng)絡(luò)的非3GPP系統(tǒng)接入EPC時(shí),3GPPLTE標(biāo)準(zhǔn)通常要求使用專用格式的認(rèn)證協(xié)議。該認(rèn)證協(xié)議在移動(dòng)臺(tái)或其他與非3GPP系統(tǒng)元件相關(guān)聯(lián)的用戶設(shè)備和使用在典型地包括HSGW的eHRPD環(huán)境中的認(rèn)證者(authenticator)的EPC的認(rèn)證服務(wù)器之間執(zhí)行。該認(rèn)證協(xié)議通常涉及密鑰導(dǎo)出,其中密鑰材料受合適的上下文信息的約束,諸如移動(dòng)臺(tái)標(biāo)識(shí)(MSID)和認(rèn)證者標(biāo)識(shí)。在傳統(tǒng)的實(shí)踐中,例如,認(rèn)證者標(biāo)識(shí)可由諸如移動(dòng)國家代碼(MCC)和移動(dòng)網(wǎng)絡(luò)代碼(MNC)的組合的載波標(biāo)識(shí)符提供。其它類型的信息可用于指示用戶設(shè)備和認(rèn)證服務(wù)器的認(rèn)證者標(biāo)識(shí)。這樣的信息可以簡(jiǎn)單地標(biāo)識(shí)諸如HRPD的認(rèn)證者使用的特定技術(shù)。
發(fā)明內(nèi)容
我們已經(jīng)認(rèn)識(shí)到上述在eHRPD接入網(wǎng)絡(luò)和LTE EPC之間認(rèn)證的傳統(tǒng)方法的缺陷在于,使用認(rèn)證協(xié)議中的載波標(biāo)識(shí)符、認(rèn)證者技術(shù)標(biāo)識(shí)符或其它相似類型的信息會(huì)導(dǎo)致相同的標(biāo)識(shí)被用于多個(gè)認(rèn)證者,從而使系統(tǒng)容易受到我們這里所稱“說謊認(rèn)證者(lying authenticator) ”的攻擊。在該攻擊中,認(rèn)證者給移動(dòng)臺(tái)和認(rèn)證服務(wù)器提供不同的標(biāo)識(shí),這樣可能嚴(yán)重破壞認(rèn)證協(xié)議的合法性,并在系統(tǒng)中導(dǎo)致嚴(yán)重的安全問題。
本發(fā)明的示意性實(shí)施方式提供用于在現(xiàn)有標(biāo)準(zhǔn)的消息傳送結(jié)構(gòu)中將認(rèn)證者識(shí)別信息從接入網(wǎng)絡(luò)傳送到用戶設(shè)備的技術(shù)。該技術(shù)可在現(xiàn)有消息傳送協(xié)議的框架中以簡(jiǎn)單和有效地方式實(shí)現(xiàn),并且因此實(shí)質(zhì)上不需要改變標(biāo)準(zhǔn)。根據(jù)本發(fā)明的一個(gè)方面,將會(huì)話專用(session-specific)信息從接入網(wǎng)絡(luò)傳送至用戶設(shè)備。從接入網(wǎng)絡(luò)傳送至用戶設(shè)備的會(huì)話專用信息包括在系統(tǒng)的認(rèn)證服務(wù)器和用戶設(shè)備之間執(zhí)行的認(rèn)證協(xié)議中利用的信息。例如,從接入網(wǎng)絡(luò)傳送至用戶設(shè)備的會(huì)話專用信息可以包括在接入網(wǎng)絡(luò)和認(rèn)證服務(wù)器之間耦合的網(wǎng)關(guān)的標(biāo)識(shí)符。為了防止說謊認(rèn)證者的攻擊,用戶設(shè)備利用網(wǎng)關(guān)標(biāo)識(shí)符來得到至少一個(gè)密鑰以作為認(rèn)證協(xié)議的一部分。在一個(gè)示意性的實(shí)施方式中,接入網(wǎng)絡(luò)包括eHRPD接入網(wǎng)絡(luò),以及網(wǎng)關(guān)包括配置為在eHRPD接入網(wǎng)絡(luò)和LTE網(wǎng)絡(luò)的EPC之間提供接口的HSGW。在該實(shí)施方式中,從eHRPD 接入網(wǎng)絡(luò)傳送到用戶設(shè)備的會(huì)話專用信息包括HSGW的標(biāo)識(shí)符,例如HSGW的IP地址。此外,在該實(shí)施方式中的認(rèn)證協(xié)議包括EAP認(rèn)證協(xié)議,其中用戶設(shè)備用作EAP同位體(peer), HSGff用作EAP認(rèn)證者,認(rèn)證服務(wù)器用作EAP認(rèn)證服務(wù)器??墒褂貌煌?distinct)消息類型的現(xiàn)有eHRPD消息格式來傳送會(huì)話專用信息,例如具有特別定義的MorageBLOB (存儲(chǔ)BLOB)類型的StorageBLOB分配消息。有利的是,示意性的實(shí)施方式能夠在通信系統(tǒng)中提供顯著提高的安全性,而不用過度地增加系統(tǒng)成本或復(fù)雜度,其中在該通信系統(tǒng)中eHRPD接入網(wǎng)絡(luò)與LTE EPC進(jìn)行通信。 所公開的技術(shù)還可應(yīng)用于這樣系統(tǒng)中的用戶設(shè)備和接入網(wǎng)絡(luò)之間的其他類型的會(huì)話專用信息的通信。從附圖和下面的詳細(xì)描述,本發(fā)明的這些和其它特點(diǎn)和優(yōu)勢(shì)會(huì)變得更加清晰。
圖1是本發(fā)明示意性的實(shí)施方式中通信系統(tǒng)的框圖;圖2描述了在圖1系統(tǒng)的一個(gè)可能的實(shí)現(xiàn)方式中用戶設(shè)備和接入網(wǎng)絡(luò)元件的更詳細(xì)的示圖;圖3描述了本發(fā)明示意性的實(shí)施方式中通信系統(tǒng)的另一實(shí)施例;圖4是說明與系統(tǒng)的認(rèn)證服務(wù)器和用戶設(shè)備之間執(zhí)行的認(rèn)證協(xié)議相關(guān)聯(lián)的系統(tǒng)元件的圖3的系統(tǒng)圖的簡(jiǎn)化版本;圖5描述了圖3的系統(tǒng)中在接入網(wǎng)絡(luò)和用戶設(shè)備之間進(jìn)行認(rèn)證者標(biāo)識(shí)的通信;圖6是描述可以將圖5中所示的認(rèn)證者標(biāo)識(shí)的通信集成到圖3系統(tǒng)中其它傳統(tǒng)的消息傳輸協(xié)議中的方式的示意圖。
具體實(shí)施例方式這里將結(jié)合示例性的通信系統(tǒng)和用于在通信系統(tǒng)中的用戶設(shè)備和接入網(wǎng)絡(luò)之間傳送認(rèn)證者標(biāo)識(shí)或其它會(huì)話專用信息的相關(guān)技術(shù)來解釋本發(fā)明。然而,應(yīng)當(dāng)理解的是,本發(fā)明不局限于使用所公開的特定類型的通信系統(tǒng)和會(huì)話專用信息通信過程。本發(fā)明可以在使用替換處理步驟的各種各樣的其它通信系統(tǒng)中實(shí)現(xiàn)。例如,盡管是在諸如eHRPD接入網(wǎng)絡(luò)的非3GPP系統(tǒng)元件與諸如LTE EPC的3GPP系統(tǒng)元件進(jìn)行通信的無線蜂窩系統(tǒng)的環(huán)境中進(jìn)行說明,但是所公開的技術(shù)還可以按直接的方式應(yīng)用于多種其它類型的通信系統(tǒng),包括WiMAX系統(tǒng)、Wi-Fi系統(tǒng)等。圖1描述了通信系統(tǒng)100,包括通過接入網(wǎng)絡(luò)104和網(wǎng)絡(luò)106與認(rèn)證服務(wù)器108進(jìn)行通信的用戶設(shè)備(UE) 102。用戶設(shè)備102可以是移動(dòng)臺(tái),并且這樣的移動(dòng)臺(tái)可以包括,例如,移動(dòng)電話、計(jì)算機(jī)、或任意其它類型的通信設(shè)備。這里使用的術(shù)語“用戶設(shè)備”意在寬泛地進(jìn)行解釋,從而包括各種不同類型的移動(dòng)臺(tái)、訂戶(subscriber)站、或更概括地包括通信設(shè)備。接入網(wǎng)絡(luò)104可以包括多個(gè)基站和一個(gè)或多個(gè)相關(guān)聯(lián)的無線網(wǎng)絡(luò)控制器(RNC)。在本示意性性實(shí)施方式中,通信系統(tǒng)100包括無線蜂窩系統(tǒng)。接入網(wǎng)絡(luò)104和網(wǎng)關(guān) 106分別包括eHRPD接入網(wǎng)絡(luò)和eHRPD網(wǎng)絡(luò)的HSGW元件,以及認(rèn)證者服務(wù)器108包括LTE EPC的元件。從而,在該實(shí)施方式中系統(tǒng)100的非3GPP部分包括與包括認(rèn)證服務(wù)器108和其它3GPP系統(tǒng)元件的系統(tǒng)的3GPP部分交互的元件104和106。例如,認(rèn)證服務(wù)器108可以包括3GPP認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器。圖1的安排僅僅是無線蜂窩系統(tǒng)的一個(gè)示例性配置,可以使用系統(tǒng)元件的多種可替換的配置。例如,盡管在圖1的實(shí)施方式中僅描述了單個(gè)用戶設(shè)備、接入網(wǎng)絡(luò)、網(wǎng)關(guān)和服務(wù)器元件,但這僅僅是為了描述簡(jiǎn)單和清楚的原因。本發(fā)明所給出的可替換的實(shí)施方式當(dāng)然包括大量這樣的系統(tǒng)元件,以及通常與傳統(tǒng)系統(tǒng)實(shí)現(xiàn)方式相關(guān)聯(lián)類型的附加或可替換的元件。下面還要進(jìn)行更詳細(xì)地描述,配置系統(tǒng)100的本實(shí)施方式,并連同在接入網(wǎng)絡(luò)和用戶設(shè)備之間建立通信會(huì)話,從而接入網(wǎng)絡(luò)104將網(wǎng)關(guān)106的標(biāo)識(shí)符發(fā)送給用戶設(shè)備102。 網(wǎng)關(guān)用作系統(tǒng)的用戶設(shè)備和認(rèn)證服務(wù)器108之間執(zhí)行的認(rèn)證協(xié)議中的認(rèn)證者。認(rèn)證者標(biāo)識(shí)是此處被更概括地稱為“會(huì)話專用信息”的一個(gè)實(shí)施例,其中連同在這些系統(tǒng)元件之間建立的通信會(huì)話,會(huì)話專用信息在接入網(wǎng)絡(luò)和用戶設(shè)備之間傳送。認(rèn)證者標(biāo)識(shí)或其他會(huì)話專用信息可以使用現(xiàn)有eHRPD消息格式的不同消息類型以特別有效的方式進(jìn)行傳送,例如具有特別定義的StorageBLOB類型的StorageBLOB分配消息。在示意性的實(shí)施方式中,可以單個(gè)認(rèn)證者標(biāo)識(shí)符的形式傳送認(rèn)證者標(biāo)識(shí)。例如,其他實(shí)施方式可利用多個(gè)標(biāo)識(shí)符或其他信息集合以傳送認(rèn)證者標(biāo)識(shí)。將認(rèn)證者標(biāo)識(shí)從接入網(wǎng)絡(luò)104傳送至用戶設(shè)備102克服了與使用載波標(biāo)識(shí)符或認(rèn)證者技術(shù)標(biāo)識(shí)符作為于部分上下文信息的上述傳統(tǒng)方法相關(guān)的安全問題,在用戶設(shè)備102 和認(rèn)證服務(wù)器108之間執(zhí)行的認(rèn)證協(xié)議中將密鑰材料捆綁到上下文信息。如上所述,我們已經(jīng)確定載波標(biāo)識(shí)符或認(rèn)證者技術(shù)標(biāo)識(shí)符的傳統(tǒng)使用會(huì)有利于我們所稱的“說謊認(rèn)證者” 的攻擊,其中對(duì)多個(gè)認(rèn)證者可能使用相同的標(biāo)識(shí)允許網(wǎng)關(guān)106為用戶設(shè)備102提供一個(gè)認(rèn)證者標(biāo)識(shí),并為認(rèn)證服務(wù)器108提供不同的認(rèn)證者標(biāo)識(shí)。這種為用戶設(shè)備和認(rèn)證服務(wù)器提供不同的標(biāo)識(shí)允許網(wǎng)關(guān)破壞認(rèn)證協(xié)議并引入可以做進(jìn)一步利用的安全缺陷。在示意性的實(shí)施方式中,在現(xiàn)有的eHRPD消息傳送協(xié)議的框架中,可以按簡(jiǎn)單和有效地方式來實(shí)現(xiàn)防止說謊認(rèn)證者攻擊的能力,并因此不需要對(duì)3GPP或3GPP2標(biāo)準(zhǔn)作實(shí)質(zhì)性改變。圖2描述了示例性的實(shí)施方式中用戶設(shè)備102和接入網(wǎng)絡(luò)104的更詳細(xì)的示圖。 用戶設(shè)備包括與存儲(chǔ)器202和接口電路204耦合的處理器200。接入網(wǎng)絡(luò)包括基站210和與基站耦合的RNC 212。接入網(wǎng)絡(luò)104的元件210和212每個(gè)均可包括處理器、存儲(chǔ)器和接口電路元件,盡管這樣的元件沒有在圖中明確示出。同樣,如前所述,接入網(wǎng)絡(luò)還可包括多個(gè)基站和RNC。
用戶設(shè)備102和接入網(wǎng)絡(luò)104的存儲(chǔ)元件可用于存儲(chǔ)由各自處理器執(zhí)行以實(shí)現(xiàn)這里描述的功能的一個(gè)或多個(gè)軟件程序。例如,結(jié)合圖5和圖6所描述的消息產(chǎn)生和其他功能可由使用由用戶設(shè)備和接入網(wǎng)絡(luò)的處理器執(zhí)行的軟件代碼的直接方式來實(shí)現(xiàn)。諸如存儲(chǔ)器202的存儲(chǔ)元件是此處被更概括地稱為存儲(chǔ)可執(zhí)行軟件代碼的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的實(shí)例。例如,這樣的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以包括諸如隨機(jī)存取存儲(chǔ)器(RAM)或只讀存儲(chǔ)器(ROM)的電存儲(chǔ)器、磁性存儲(chǔ)器、光存儲(chǔ)器或其他類型的存儲(chǔ)元件,以及這些元件的部分或組合。諸如處理器200的處理器元件例如可以包括微處理器、特定應(yīng)用集成電路(ASIC)、 數(shù)字信號(hào)處理器(DSP)或其他類型的處理設(shè)備,以及這些元件的部分或組合。諸如接口電路204的接口電路元件可以包括收發(fā)信機(jī)或允許相關(guān)聯(lián)的系統(tǒng)元件以這里描述的方式相互通信的其他通信硬件或固件。用戶設(shè)備102的處理器200包括可由處理器執(zhí)行軟件的形式實(shí)現(xiàn)的密鑰導(dǎo)出元件 220。密鑰導(dǎo)出元件根據(jù)認(rèn)證者標(biāo)識(shí)和其他信息導(dǎo)出至少一個(gè)密鑰,以作為在用戶設(shè)備和認(rèn)證服務(wù)器108之間執(zhí)行的認(rèn)證協(xié)議的一部分。例如,給出的所述密鑰可以與認(rèn)證者標(biāo)識(shí)以及諸如MSID的其它上下文信息相結(jié)合。將由密鑰導(dǎo)出元件220使用的從接入網(wǎng)絡(luò)104發(fā)送至用戶設(shè)備102的認(rèn)證者標(biāo)識(shí)符存儲(chǔ)在存儲(chǔ)器202中相關(guān)的存儲(chǔ)位置222。在用戶設(shè)備中從接入網(wǎng)絡(luò)接收的其他類型的會(huì)話專用信息可以相同的方式處理和存儲(chǔ)。從圖2的安排中可以看到,用戶設(shè)備102配置為與接入網(wǎng)絡(luò)104連接,以及反之亦然。這里使用的諸如“連接”、“在...之間連接”和“耦合”的術(shù)語意在概括地進(jìn)行解釋,并因此不應(yīng)解釋為要求在相關(guān)聯(lián)的元件之間的直接連接。因此,在給定實(shí)施方式中,用戶設(shè)備 102可以通過一個(gè)或多個(gè)其它系統(tǒng)元件與接入網(wǎng)絡(luò)104連接。相同的方式可應(yīng)用于接入網(wǎng)絡(luò)104和網(wǎng)關(guān)106之間、網(wǎng)關(guān)106和認(rèn)證服務(wù)器108之間、和其它系統(tǒng)元件之間的連接。并且,諸如網(wǎng)關(guān)106和服務(wù)器108的元件不需要在單獨(dú)分立的處理平臺(tái)上實(shí)現(xiàn),相反,例如可表示單一通用處理平臺(tái)的不同功能部分。圖3描述了根據(jù)本發(fā)明示意性性的實(shí)施方式的通信系統(tǒng)300的另一實(shí)施例。與圖 1的系統(tǒng)100類似,該示例性系統(tǒng)包括eHRPD部分和LTE EPC部分,這些部分彼此通過虛線分開。在系統(tǒng)300中,用戶設(shè)備102通過eHRPD空中接口與和增強(qiáng)的接入網(wǎng)絡(luò)/增強(qiáng)的分組控制功能(eAN/ePCF)304相耦合的eHRPD基站收發(fā)信機(jī)系統(tǒng)(BTS) 302進(jìn)行通信??梢詫⒃?02和304視為圖1的系統(tǒng)100中的接入網(wǎng)絡(luò)104的一個(gè)實(shí)例。eAN/ePCF元件304 通過HSGW 306與LTEEPC交互,其中可將HSGW 306視為系統(tǒng)100中網(wǎng)關(guān)106的一個(gè)實(shí)例。 HSGff 306通過所示的3GPP2AAA代理310與3GPPAAA服務(wù)器308進(jìn)行通信??蓪?GPPAAA 服務(wù)器308視為系統(tǒng)100中認(rèn)證服務(wù)器108的一個(gè)實(shí)例。eAN/ePCF元件304與接入網(wǎng)絡(luò) AAA(AN-AAA)服務(wù)器312進(jìn)行通信。圖3的系統(tǒng)300的3GPP部分進(jìn)一步包括歸屬用戶服務(wù)器(HSS) 320和PDN網(wǎng)關(guān) 322。PDN網(wǎng)關(guān)耦合在非3GPP HSGff 306和包括3GPPAAA服務(wù)器308、策略和計(jì)費(fèi)規(guī)則功能 (PCRF) 324、和運(yùn)營商IP服務(wù)元件306的多個(gè)3GPP系統(tǒng)元件之間。其中后者例如可包括IP 多媒體子系統(tǒng)(IMS)、分組交換流(PSS)等。在圖3中所示的各種系統(tǒng)元件以及相關(guān)聯(lián)接口的操作的傳統(tǒng)方面,包括eHRPD空中接口以及 A10、All、A12、A13、A16、Hl、H2、Pi *、S2a、STa、S6b、SGi、Gx、Gxa 和 Rx 接 Π,在上述引用的3GPP和3GPP2規(guī)范文檔中有詳細(xì)描述。應(yīng)當(dāng)注意的是,盡管在系統(tǒng)100內(nèi)通??色@得和知道BTS 302和eAN304的標(biāo)識(shí)符,這樣的標(biāo)識(shí)符分別包括eHRPD基站ID和接入網(wǎng)絡(luò)子網(wǎng)ID,這些標(biāo)識(shí)符不代表呈現(xiàn)認(rèn)證者功能的特定HSGW 306??梢杂杏上嗤琀SGW提供服務(wù)的多個(gè)子網(wǎng),并且即使用戶設(shè)備102 和HSGW知道哪個(gè)基站和子網(wǎng)處理當(dāng)前的通信,在會(huì)話過程中基站和子網(wǎng)也可以變換許多次。而認(rèn)證者仍將保持相同的HSGW。傳統(tǒng)的系統(tǒng)不能提供任何限定的信令協(xié)議或其它方式以允許用戶設(shè)備102獲得作為認(rèn)證者的特定HSGW 306的標(biāo)識(shí)。圖4描述了與認(rèn)證協(xié)議的執(zhí)行相關(guān)聯(lián)的系統(tǒng)300的特定元件。該實(shí)施方式中的認(rèn)證協(xié)議包括將用戶設(shè)備102用作EAP同位體、將HSGW 306用作EAP認(rèn)證者以及將3GPPAAA 服務(wù)器308用作EAP認(rèn)證服務(wù)器的可擴(kuò)展認(rèn)證協(xié)議(EAP)。認(rèn)證協(xié)議允許用戶設(shè)備102和3GPP AAA服務(wù)器308通過用作EAP認(rèn)證者的HSGW 306相互認(rèn)證。EAP認(rèn)證的傳統(tǒng)方面可在IETF RFC 3748 “可擴(kuò)展認(rèn)證協(xié)議(EAP) ”中查至Ij, B. Aboba, L. Blunk, J. Vollbrecht, J. Carlson 和 H. Levkowetz, 2004 年 6 月,并以引用的方式將其全部?jī)?nèi)容引入本文。有多種EAP認(rèn)證的不同變形。例如,其包括EAP-AKA認(rèn)證,其中 AKA表示認(rèn)證和密鑰協(xié)定。假設(shè)將該變形用于本實(shí)施方式中,并記載在IEFT RFC 4187 “用于第三代認(rèn)證和密鑰協(xié)定的可擴(kuò)展認(rèn)證協(xié)議方法(EAP-AKA) ”中,J. Arkko和H. Haverinen, 2006年1月,并以引用方式將其全部?jī)?nèi)容引入本文。另一個(gè)EAP變形是EAP-AKA ’認(rèn)證,記載在IETF國際互聯(lián)網(wǎng)草案draft-arkko-cap-aka-kdf-10的“用于第三代認(rèn)證和密鑰協(xié)定的改進(jìn)的可擴(kuò)展認(rèn)證協(xié)議方法(EAP-AKA,) ”,J. Arkko, V. Lehtovirta和P. Eronen, 2008年 11月18日,并以引用方式將其全部?jī)?nèi)容引入本文。這些和其他變形是可用于本發(fā)明的給定實(shí)施方式的EAP認(rèn)證協(xié)議的實(shí)例。其他實(shí)施方式可實(shí)現(xiàn)利用其它類型的認(rèn)證協(xié)議,包括非 EAP認(rèn)證協(xié)議。一旦用戶設(shè)備和3GPPAAA服務(wù)器已經(jīng)彼此認(rèn)證,并已經(jīng)做出授權(quán)用戶設(shè)備接入系統(tǒng)的LTE EPC部分的決定,3GPP AAA服務(wù)器將主會(huì)話密鑰(MSK)發(fā)送給上述用作EAP認(rèn)證者的HSGW 306。MSK潛在地取決于HSGW的標(biāo)識(shí)符。如前所述,此處傳統(tǒng)實(shí)踐受到以下不足用戶設(shè)備在其密鑰導(dǎo)出中例如可利用作為上下文信息的部分的載波標(biāo)識(shí)符或認(rèn)證者技術(shù)標(biāo)識(shí)符、從而使系統(tǒng)容易受到之前描述的說謊認(rèn)證者攻擊。本示意性的實(shí)施方式通過配置接入網(wǎng)絡(luò)304以將HSGW 306的標(biāo)識(shí)提供給用戶設(shè)備從而在執(zhí)行EAP接入認(rèn)證時(shí)使用戶設(shè)備可獲得所述標(biāo)識(shí)來克服這一問題。這確保了可以唯一地識(shí)別HSGW并且該唯一標(biāo)識(shí)可以被結(jié)合到認(rèn)證協(xié)議中。例如,用戶設(shè)備可將HSGW標(biāo)識(shí)用作被結(jié)合到密鑰導(dǎo)出元件220中導(dǎo)出一個(gè)或多個(gè)密鑰導(dǎo)出中的上下文信息。這種將HSGW 標(biāo)識(shí)與接入認(rèn)證的綁定,由此導(dǎo)致防止說謊認(rèn)證者的攻擊。 從接入網(wǎng)絡(luò)304發(fā)送至用戶設(shè)備102的HSGW標(biāo)識(shí)可以包括HSGW 306的標(biāo)識(shí)符。 按照確保同一標(biāo)識(shí)符不會(huì)被多個(gè)HSGW使用的方式,該標(biāo)識(shí)符可以為用于識(shí)別HSGW的IP地址或其他信息的形式。如上所述,可使用不同消息類型的現(xiàn)有eHRPD消息格式來傳送HSGW標(biāo)識(shí)符?,F(xiàn)在參照?qǐng)D5,描述了可用于HSGW標(biāo)識(shí)符傳輸?shù)南魉桶才诺膶?shí)施例。在傳送HSGW標(biāo)識(shí)符之前的一些時(shí)間,將HSGW 306的標(biāo)識(shí)符提供給接入網(wǎng)絡(luò)304,以虛線箭頭500表示。隨后,在執(zhí)行EAP-AKA接入認(rèn)證之前,在具有特殊限定的MorageBLOB類型的 MorageBLOB分配消息中,將HSGW標(biāo)識(shí)符從接入網(wǎng)絡(luò)傳送給用戶設(shè)備102。該實(shí)施方式中的HSGW標(biāo)識(shí)符是HSGW IP地址的形式。更具體地,對(duì)于初始會(huì)話建立,在接入網(wǎng)絡(luò)將All注冊(cè)請(qǐng)求消息發(fā)送給HSGW以建立主AlO連接之前,接入網(wǎng)絡(luò)304發(fā)送包括HSGW IP地址的StorageBLOB分配消息。如果返回的All注冊(cè)響應(yīng)指示主AlO連接建立失敗并選擇新的HSGW,在接入網(wǎng)絡(luò)將All注冊(cè)請(qǐng)求消息發(fā)送給新HSGW之前,接入網(wǎng)絡(luò)發(fā)送具有新HSGW IP地址的另一 MorageBLOB分配消息。在HSGW內(nèi)切換的情況下,可從接入網(wǎng)絡(luò)將具有修訂的HSGW IP地址的MorageBLOB分配消息發(fā)送給用戶設(shè)備。傳統(tǒng)的MorageBLOB分配消息傳送用于允許接入網(wǎng)絡(luò)更新存儲(chǔ)在用戶設(shè)備中的信息。至此還沒有將HSGW標(biāo)識(shí)發(fā)送給用戶設(shè)備,用于與會(huì)話建立有關(guān)聯(lián)的接入認(rèn)證以抵抗說謊認(rèn)證者的攻擊。如方塊502所示,用戶設(shè)備102存儲(chǔ)包括HSGW IP地址的StorageBLOB字段的值并利用所存儲(chǔ)的值進(jìn)行密鑰導(dǎo)出。該值存儲(chǔ)在存儲(chǔ)器202的存儲(chǔ)元件222中,并在處理器 200的密鑰導(dǎo)出元件220中使用所存儲(chǔ)的值執(zhí)行相關(guān)的密鑰導(dǎo)出。當(dāng)從接入網(wǎng)絡(luò)304接收到HSGW標(biāo)識(shí)符時(shí),用戶設(shè)備102可將MorageBLOB完成消息發(fā)送回接入網(wǎng)絡(luò)以確認(rèn)成功接收到HSGW IP地址。接入網(wǎng)絡(luò)304可利用多個(gè)不同技術(shù)中的任何一個(gè)以獲得其發(fā)送給用戶設(shè)備102的 HSGff IP地址。例如,如果會(huì)話來自也被稱為源eAN的一些其它eAN,接入網(wǎng)絡(luò)304是目標(biāo) eAN并從源eAN接收作為會(huì)話上下文信息的部分的HSGW IP地址。作為另一實(shí)施例,如果支持HSGW選擇算法,eAN能夠使用該算法以獲得HSGW IP地址。HSGW選擇算法假設(shè)eAN持有具有多個(gè)HSGW的IP地址的配置表,并且于是例如根據(jù)國際移動(dòng)用戶標(biāo)識(shí)(IMSI)選擇特定的HSGW。如果不支持HSGW算法,eAN可使用各種內(nèi)部算法以選擇HSGW (例如,HSGff IP地址可以是預(yù)先規(guī)定的)。由用戶設(shè)備102執(zhí)行的密鑰導(dǎo)出可以包括將HSGW IP地址或其它HSGW標(biāo)識(shí)作為密鑰導(dǎo)出函數(shù)(KDF)的輸入以產(chǎn)生認(rèn)證矢量(例如,(CKMK' ) = KDF(CK,IK, <HSGW標(biāo)識(shí) >))。認(rèn)證矢量可接著用于導(dǎo)出會(huì)話密鑰(例如,MK,MSK)。諸如HSS 320的其它系統(tǒng)元件也可使用HSGW標(biāo)識(shí)作為密鑰導(dǎo)出函數(shù)的輸入以產(chǎn)生認(rèn)證矢量。應(yīng)當(dāng)注意的是,連同建立會(huì)話和執(zhí)行相關(guān)聯(lián)的接入認(rèn)證,圖5中描述的 StorageBLOB消息傳送可用于將其它類型的會(huì)話專用信息從接入網(wǎng)絡(luò)304發(fā)送至用戶設(shè)備102。從而,可以理解的是,本發(fā)明的可替換實(shí)施方式不需要像圖5的實(shí)施方式一樣傳送 HSGff標(biāo)識(shí)符。圖5的實(shí)施方式的優(yōu)勢(shì)在于,在同位體(例如,用戶設(shè)備102)和接入網(wǎng)絡(luò)之間建立主服務(wù)連接時(shí),其使用現(xiàn)有的消息傳送結(jié)構(gòu)以在同位體和接入網(wǎng)絡(luò)304之間交換認(rèn)證者標(biāo)識(shí)。并且,如前所述,由同位體和認(rèn)證服務(wù)器308接收的認(rèn)證者標(biāo)識(shí)將是相同的,以及由于認(rèn)證者標(biāo)識(shí)將不存在密鑰失配,并且因此沒有給說謊認(rèn)證者攻擊提供機(jī)會(huì)??墒褂冒ㄕJ(rèn)證者標(biāo)識(shí)(例如,HSGff IP地址)的新MorageBLOB類型執(zhí)行圖5的消息傳送。在這種方式下,新類型不會(huì)與現(xiàn)有MorageBLOB消息傳送的使用產(chǎn)生沖突。該新MorageBLOB類型可指定為具有如下示出的字段長(zhǎng)度
權(quán)利要求
1.一種方法,包括在通信系統(tǒng)的用戶設(shè)備和接入網(wǎng)絡(luò)之間建立會(huì)話;連同所述會(huì)話的建立,將會(huì)話專用信息從接入網(wǎng)絡(luò)傳送至用戶設(shè)備;其中從接入網(wǎng)絡(luò)傳送至用戶設(shè)備的會(huì)話專用信息包括在系統(tǒng)的認(rèn)證服務(wù)器和用戶設(shè)備之間執(zhí)行的認(rèn)證協(xié)議中利用的信息。
2.根據(jù)權(quán)利要求1所述的方法,其中從接入網(wǎng)絡(luò)傳送至用戶設(shè)備的會(huì)話專用信息包括在接入網(wǎng)絡(luò)和認(rèn)證服務(wù)器之間耦合的網(wǎng)關(guān)的標(biāo)識(shí)符。
3.根據(jù)權(quán)利要求2所述的方法,其中接入網(wǎng)絡(luò)包括HRPD接入網(wǎng)絡(luò),以及網(wǎng)關(guān)包括配置為在HRPD接入網(wǎng)絡(luò)和LTE網(wǎng)絡(luò)的演進(jìn)分組核心之間提供接口的HRPD服務(wù)網(wǎng)關(guān),并且進(jìn)一步其中從接入網(wǎng)絡(luò)傳送給用戶設(shè)備的會(huì)話專用信息包括HRPD服務(wù)網(wǎng)關(guān)的標(biāo)識(shí)符。
4.根據(jù)權(quán)利要求1所述的方法,其中傳送步驟包括使用現(xiàn)有的HRPD消息格式的不同消息類型來傳送所述會(huì)話專用信息。
5.根據(jù)權(quán)利要求4所述的方法,其中傳送步驟包括使用具有特定限定的MorageBLOB 類型的MorageBLOB分配消息來傳送所述會(huì)話專用信息。
6.根據(jù)權(quán)利要求1所述的方法,其中從接入網(wǎng)絡(luò)傳送到用戶設(shè)備的會(huì)話專用信息包括認(rèn)證者標(biāo)識(shí)符,并且用戶設(shè)備利用認(rèn)證者標(biāo)識(shí)符以得到至少一個(gè)密鑰。
7.一種包括可執(zhí)行程序代碼的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),當(dāng)可執(zhí)行程序代碼由接入網(wǎng)絡(luò)的處理器執(zhí)行時(shí)使接入網(wǎng)絡(luò)執(zhí)行權(quán)利要求1的方法的步驟。
8.一種裝置,包括接入網(wǎng)絡(luò),配置為與通信系統(tǒng)的用戶設(shè)備進(jìn)行通信;操作接入網(wǎng)絡(luò)以建立與用戶設(shè)備的會(huì)話,并且連同所述會(huì)話的建立,將會(huì)話專用信息從傳送至用戶設(shè)備;其中從接入網(wǎng)絡(luò)傳送至用戶設(shè)備的會(huì)話專用信息包括在系統(tǒng)的認(rèn)證服務(wù)器和用戶設(shè)備之間執(zhí)行的認(rèn)證協(xié)議中利用的信息。
9.一種方法,包括在通信系統(tǒng)的接入網(wǎng)絡(luò)和用戶設(shè)備之間建立會(huì)話;連同所述會(huì)話的建立,在用戶設(shè)備中從接入網(wǎng)絡(luò)接收會(huì)話專用信息;其中用戶設(shè)備中從接入網(wǎng)絡(luò)接收的會(huì)話專用信息包括在系統(tǒng)的認(rèn)證服務(wù)器和用戶設(shè)備之間執(zhí)行的認(rèn)證協(xié)議中利用的信息。
10.一種裝置,包括用戶設(shè)備,配置為與通信系統(tǒng)的接入網(wǎng)絡(luò)進(jìn)行通信;操作用戶設(shè)備以建立與接入網(wǎng)絡(luò)的會(huì)話,并且連同所述會(huì)話的建立,從接入網(wǎng)絡(luò)接收會(huì)話專用{曰息;其中在用戶設(shè)備中從接入網(wǎng)絡(luò)接收的會(huì)話專用信息包括在系統(tǒng)的認(rèn)證服務(wù)器和用戶設(shè)備之間執(zhí)行的認(rèn)證協(xié)議中利用的信息。
全文摘要
連同在通信系統(tǒng)的用戶設(shè)備和接入網(wǎng)絡(luò)之間會(huì)話的建立,將會(huì)話專用信息從接入網(wǎng)絡(luò)傳送至用戶設(shè)備。從接入網(wǎng)絡(luò)傳送至用戶設(shè)備的會(huì)話專用信息包括在系統(tǒng)的認(rèn)證服務(wù)器和用戶設(shè)備之間執(zhí)行的認(rèn)證協(xié)議中利用的信息。例如,從接入網(wǎng)絡(luò)傳送至用戶設(shè)備的會(huì)話專用信息可包括在接入網(wǎng)絡(luò)和認(rèn)證服務(wù)器之間耦合的網(wǎng)關(guān)的標(biāo)識(shí)符。
文檔編號(hào)H04W12/06GK102349321SQ201080011352
公開日2012年2月8日 申請(qǐng)日期2010年2月22日 優(yōu)先權(quán)日2009年3月10日
發(fā)明者C·F·穆尼, S·B·米茲科夫斯基, V·卡庫萊夫 申請(qǐng)人:阿爾卡特朗訊公司