專利名稱:支持接入網(wǎng)絡(luò)(an)驗證的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明大體上涉及無線通信網(wǎng)絡(luò)和分組交換數(shù)據(jù)網(wǎng)����,且更具體的說�,本發(fā)明涉及支持訪問分組交換數(shù)據(jù)網(wǎng)的服務(wù)的無線通信裝置的驗證����。
背景技術(shù):
無線通信領(lǐng)域具有許多應(yīng)用,其包括(例如)無繩電話���、尋呼機(jī)��、無線本地環(huán)路�����、個人數(shù)字助理(PDA)�、網(wǎng)絡(luò)電話和衛(wèi)星通信系統(tǒng)��。特別重要的應(yīng)用是用于遠(yuǎn)程用戶的蜂窩式電話系統(tǒng)����。本文所使用的術(shù)語“蜂窩式”系統(tǒng)包含使用蜂窩式或個人通信服務(wù)(PCS)頻率的系統(tǒng)。已為所述蜂窩式電話系統(tǒng)開發(fā)了多種無線電接口�,包括(例如)頻分多址(FDMA)、時分多址(TDMA)和碼分多址(CDMA)�。在此方面,已建立多種國內(nèi)和國際標(biāo)準(zhǔn),包括(例如)高級移動電話服務(wù)(AMPS)����、全球移動系統(tǒng)(GSM)和中期標(biāo)準(zhǔn)95(IS-95)。電信工業(yè)協(xié)會(TIA)和制定其它著名標(biāo)準(zhǔn)的團(tuán)體發(fā)布了IS-95和其派生物IS-95A�、IS-95B、ANSI J-STD-008(本文常常統(tǒng)稱為IS-95)和建議的高數(shù)據(jù)率系統(tǒng)���。
根據(jù)IS-95標(biāo)準(zhǔn)的使用而配置的蜂窩式電話系統(tǒng)使用CDMA信號處理技術(shù)����,以提供高效����、穩(wěn)健的蜂窩式電話服務(wù)。美國專利第5,103,459號和第4,901,307號描述了根據(jù)IS-95標(biāo)準(zhǔn)的使用而大致配置的例示性蜂窩式電話系統(tǒng)����,所述專利轉(zhuǎn)讓給本發(fā)明的受讓人且以引用的方式并入本文�����。利用CDMA技術(shù)的例示性系統(tǒng)為由TIA發(fā)行的cdma2000 ITU-R無線傳輸技術(shù)(RTT)提交候選(cdma2000 ITU-R Radio Transmission Technology CandidateSubmission)�,本文中稱為cdma2000。cdma2000的標(biāo)準(zhǔn)是在IS-2000(cdma2000 1xEV-DV)和IS-856(cdma2000 1xEV-DO)的草案版本中給出的且已由TIA批準(zhǔn)通過。另一種CDMA標(biāo)準(zhǔn)為W-CDMA標(biāo)準(zhǔn)�,其體現(xiàn)在第三代合作伙伴計劃“3GPP”,文獻(xiàn)第3G TS 25.211號��、第3G TS 25.212號�、第3G TS 25.213號和第3G TS 25.214號中。W-CDMA標(biāo)準(zhǔn)處于并入稱為通用移動電信系統(tǒng)(UMTS)的基于GSM的系統(tǒng)中的過程中���。
以上所引用的電信標(biāo)準(zhǔn)僅僅是可實施的多種通信系統(tǒng)中的一些的實例�����。一種通用標(biāo)準(zhǔn)分類稱為“第三代”或“3G”��,cdma2000和W-CDMA都是它的成員����。這些3G標(biāo)準(zhǔn)針對增加的數(shù)據(jù)率���,所述增加的數(shù)據(jù)率將支持增加的使用者數(shù)目和數(shù)據(jù)密集應(yīng)用�。
考慮到對無線數(shù)據(jù)應(yīng)用的增長需求���,對非常有效的無線數(shù)據(jù)通信系統(tǒng)的需要已變得愈加重要����。一種所述無線數(shù)據(jù)應(yīng)用是在分組交換數(shù)據(jù)網(wǎng)處起始或終止的數(shù)據(jù)包的傳輸。存在多種協(xié)議以經(jīng)由分組交換數(shù)據(jù)網(wǎng)傳輸分組通信量��,而使得信息到達(dá)其預(yù)定目的地�����。一種所述協(xié)議為“網(wǎng)際協(xié)議”�,RFC 791(1981年9月)。網(wǎng)際協(xié)議(IP)將消息分成數(shù)據(jù)包���,將數(shù)據(jù)包從發(fā)送者發(fā)送到目的地���,且在目的地將數(shù)據(jù)包重組成原始消息。IP協(xié)議要求每一數(shù)據(jù)包以含有起始地址和目的地地址字段的IP標(biāo)頭開始�����,所述標(biāo)頭唯一識別主機(jī)和目的地計算機(jī)�。
從IP網(wǎng)絡(luò)經(jīng)由無線通信網(wǎng)絡(luò)或從無線通信網(wǎng)絡(luò)經(jīng)由IP網(wǎng)絡(luò)的數(shù)據(jù)包的傳輸可通過遵守一個協(xié)議集合來完成,所述協(xié)議集合稱為協(xié)議棧��。一般地��,無線通信裝置通過一個接口與基站(BS)和/或分組數(shù)據(jù)服務(wù)節(jié)點(PDSN)通信�����。無線通信裝置可為IP數(shù)據(jù)包的起源或目的地�����,或者�,無線通信裝置可為到一電子裝置的透明鏈路。在任一狀況下�,將有效負(fù)載信息分到各個數(shù)據(jù)包中,其中標(biāo)頭信息被添加到每一數(shù)據(jù)包�。IP標(biāo)頭位于PPP層的頂部,PPP層位于RLP層的頂部����,而RLP層位于物理層的頂部。RLP層是無線鏈路協(xié)議層����,它負(fù)責(zé)當(dāng)發(fā)生傳輸錯誤時重新傳輸數(shù)據(jù)包。PPP層是點對點協(xié)議層����,它是用于經(jīng)由點對點鏈路傳送IP通信量的封裝協(xié)議���。經(jīng)由無線電將數(shù)據(jù)包傳送到BS/PDSN,于是�,隨后經(jīng)由IP網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包。
當(dāng)試圖無線傳輸在有線環(huán)境中起始或終止的數(shù)據(jù)時存在許多困難����。其中之一是試圖訪問所述分組數(shù)據(jù)服務(wù)的無線終端的驗證。
發(fā)明內(nèi)容
本發(fā)明提供用于解決以上所述困難的方法和設(shè)備���。一方面����,提供一種用于在服務(wù)網(wǎng)絡(luò)流上為無線通信裝置建立點對點會話而不會使驗證網(wǎng)絡(luò)流的驗證功能無效的方法�,所述方法包含在驗證網(wǎng)絡(luò)流上將一消息從無線通信裝置傳輸?shù)浇尤刖W(wǎng)絡(luò)實體;將一訪問請求消息從接入網(wǎng)絡(luò)實體傳輸?shù)椒?wù)器��,其中所述訪問請求消息允許無線通信裝置訪問服務(wù)網(wǎng)絡(luò)流��;判定無線通信裝置是否應(yīng)參與密鑰供應(yīng)處理����;如果無線通信裝置需要密鑰供應(yīng),那么將訪問消息從服務(wù)器傳輸?shù)浇尤刖W(wǎng)絡(luò)實體����;一接收到訪問消息就在服務(wù)網(wǎng)絡(luò)流上提供對無線通信裝置的訪問;和經(jīng)由服務(wù)網(wǎng)絡(luò)流向無線通信裝置供應(yīng)密鑰��。
另一方面����,提供一種支持試圖訪問分組數(shù)據(jù)服務(wù)網(wǎng)絡(luò)的接入終端的驗證的系統(tǒng),所述系統(tǒng)包含一接入網(wǎng)絡(luò)(AN)����;一分組數(shù)據(jù)服務(wù)節(jié)點(PDSN),其通信地耦接到AN和分組數(shù)據(jù)服務(wù)網(wǎng)絡(luò)��;和一服務(wù)器���,其通信地耦接到AN和PDSN并配置來判定是否驗證一與AN通信的接入終端(AT)以與PDSN通信��,其中判定是否驗證與AN通信的接入終端(AT)包含判定與AT相關(guān)聯(lián)的訪問請求消息是否指示AN處的起始����;和判定AT是新近被激活還是需要一個新密鑰�����。
另一方面,提供一種用于支持試圖訪問分組數(shù)據(jù)服務(wù)網(wǎng)絡(luò)的接入終端的驗證的系統(tǒng)����,所述系統(tǒng)包含一服務(wù)器,其以使用者屬性和驗證密鑰配置����;一分組數(shù)據(jù)服務(wù)節(jié)點(PDSN),其通信地耦接到服務(wù)器和分組數(shù)據(jù)服務(wù)網(wǎng)絡(luò)��;和一接入網(wǎng)絡(luò)(AN)����,其通信地耦接到PDSN和服務(wù)器,且經(jīng)配置來判定是否驗證無密鑰接入終端(AT)以訪問PDSN���,其中如果AN從服務(wù)器接收到一包括移動IP密鑰更新(MKU)屬性的訪問拒絕消息���,那么AN會驗證無密鑰接入終端。
另一方面�,提供一種用于支持試圖訪問分組數(shù)據(jù)服務(wù)網(wǎng)絡(luò)的接入終端的驗證的設(shè)備,所述設(shè)備包含至少一個存儲元件��;和至少一個處理元件�,其經(jīng)配置以執(zhí)行存儲在所述至少一個存儲元件上的指令集��,所述指令集用于判定與接入終端(AT)相關(guān)聯(lián)的訪問請求消息是否指示接入網(wǎng)絡(luò)(AN)處的起始�����;判定AT是否為無密鑰的;和如果訪問請求消息指示AN處的起始且AT是為無密鑰的����,那么允許AN驗證AT。
另一方面����,提供一種在一接入網(wǎng)絡(luò)(AN)處的用于支持試圖訪問分組數(shù)據(jù)服務(wù)網(wǎng)絡(luò)的接入終端的驗證的設(shè)備,所述設(shè)備包含至少一個存儲元件����;和至少一個處理元件,其經(jīng)配置以執(zhí)行存儲在所述至少一個存儲元件上的指令集����,所述指令集用于將與存儲終端(AT)相關(guān)聯(lián)的訪問請求消息傳輸?shù)椒?wù)器;判定從服務(wù)器接收到的訪問拒絕消息是否包括移動IP密鑰更新(MKU)屬性��;和如果接收到的訪問拒絕消息包括MKU屬性����,那么驗證AT以訪問分組數(shù)據(jù)服務(wù)節(jié)點(PDSN)��。
圖1是無線通信網(wǎng)絡(luò)的示意圖�����。
圖2是接入終端(AT)��、接入網(wǎng)絡(luò)(AN)���、AN-驗證、授權(quán)和記帳(AN-AAA)服務(wù)器和PDSN之間的數(shù)據(jù)連通性的示意圖����。
圖3是說明用于經(jīng)由驗證網(wǎng)絡(luò)流驗證的通信流的示意圖。
圖4是說明用于經(jīng)由驗證網(wǎng)絡(luò)流驗證的另一通信流的示意圖���。
具體實施例方式
如圖1所說明�,無線通信網(wǎng)絡(luò)10一般包括復(fù)數(shù)個接入終端(也稱為遠(yuǎn)端站�����、移動站、用戶單元或使用者設(shè)備)12a-12d����、復(fù)數(shù)個基站(也稱為基站收發(fā)器(BTS)或節(jié)點B)14a-14c、一基站控制器(BSC)(也稱為無線網(wǎng)絡(luò)控制器或數(shù)據(jù)包控制功能)16����、一移動交換中心(MSC)或交換器18、一分組數(shù)據(jù)服務(wù)節(jié)點(PDSN)或網(wǎng)際互聯(lián)功能(IWF)20��、一公共交換電話網(wǎng)絡(luò)(PSTN)22(一般為電話公司)和一分組交換數(shù)據(jù)網(wǎng)24(一般為網(wǎng)際協(xié)議(IP)網(wǎng)絡(luò))����。為了簡化的目的�����,展示四個接入終端12a-12d����、三個基站14a-14c、一個BSC 16����、一個MSC 18和一個PDSN 20。所屬領(lǐng)域技術(shù)人員應(yīng)了解,可存在任何數(shù)量的接入終端12�、基站14、BSC 16��、MSC 18和PDSN 20����。
在一個實施例中,無線通信網(wǎng)絡(luò)10為分組數(shù)據(jù)服務(wù)網(wǎng)絡(luò)�����。接入終端12a-12d可為許多不同類型的無線通信裝置中的任何一種����,諸如移動式電話、連接到運(yùn)行基于IP的網(wǎng)站瀏覽器應(yīng)用的便攜式計算機(jī)的蜂窩式電話����、與車載免提套件相關(guān)聯(lián)的蜂窩式電話、運(yùn)行基于IP的網(wǎng)站瀏覽器應(yīng)用的個人數(shù)據(jù)助理(PDA)�����、合并入便攜式計算機(jī)的無線通信模塊或諸如可在無線本地環(huán)路或讀數(shù)系統(tǒng)中發(fā)現(xiàn)的固定位置通信模塊�����。在最通用的實施例中,接入終端可為任何類型的通信單元�����。
接入終端12a-12d可有利地經(jīng)配置成執(zhí)行一或一個以上無線分組數(shù)據(jù)協(xié)議�����,例如�����,在EIA/TIA/IS-707標(biāo)準(zhǔn)中所述的協(xié)議����。在一個特定實施例中�����,接入終端12a-12d生成指定給IP網(wǎng)絡(luò)24的IP數(shù)據(jù)包�,且使用點對點協(xié)議(PPP)將IP數(shù)據(jù)包壓縮成幀。
在一個實施例中�,IP網(wǎng)絡(luò)24耦接到PDSN 20,PDSN 20耦接到MSC 18,MSC耦接到BSC 16和PSTN 22���,且BSC 16經(jīng)由配置來根據(jù)若干已知協(xié)議中的任何一種而傳輸語音和/或數(shù)據(jù)包的有線線路耦接到基站14a-14c����,所述協(xié)議包括(例如)E1����、T1、異步傳輸模式(ATM)����、網(wǎng)際協(xié)議(IP)、點對點協(xié)議(PPP)���、幀中繼��、高位速率數(shù)字用戶線(HDSL)�、非對稱數(shù)字用戶線(ADSL)或其它普通的數(shù)字用戶線設(shè)備和服務(wù)(xDSL)�。在另一個實施例中,BSC 16直接耦接到PDSN 20�����,且MSC 18不耦接到PDSN 20。
在無線通信網(wǎng)絡(luò)10的典型操作中����,基站14a-14c接收并解調(diào)來自嚙合在電話呼叫、網(wǎng)站瀏覽或其它數(shù)據(jù)通信中的多種接入終端12a-12d的反向鏈路信號集��。每一由給定基站14a-14c接收到的反向鏈路信號在所述基站14a-14c內(nèi)加以處理����。每一基站14a-14c可通過調(diào)制反向鏈路信號集并將其傳輸?shù)浇尤虢K端12a-12d來與復(fù)數(shù)個接入終端12a-12d通信。例如��,如圖1所示��,基站14a同時與第一和第二接入終端12a��、12b通信����,且基站14c同時與第三和第四接入終端12c�、12d通信。所得的數(shù)據(jù)包轉(zhuǎn)發(fā)到BSC 16��,BSC16提供呼叫資源分配和移動管理功能性�,包括針對一特定接入終端12a-12d的從一個基站14a-14c到另一個基站14a-14c的呼叫軟切換協(xié)調(diào)����。例如�����,接入終端12c正同時與兩個基站14b��、14c通信�����。最后�,當(dāng)接入終端12c移動到離基站14c中的一個足夠遠(yuǎn)時,呼叫將切換到另一個基站14b���。
如果傳輸為常規(guī)的電話呼叫����,那么BSC 16會將接收到的數(shù)據(jù)發(fā)送到MSC 18���,MSC 18為其與PSTN 22的接口提供額外的路由服務(wù)�。如果傳輸是基于數(shù)據(jù)包的傳輸�����,例如指定向IP網(wǎng)絡(luò)24的數(shù)據(jù)呼叫,那么MSC 18會將數(shù)據(jù)包發(fā)送到PDSN 20���,而PDSN 20將把數(shù)據(jù)包發(fā)送到IP網(wǎng)絡(luò)24����?;蛘撸珺SC 16直接將數(shù)據(jù)包發(fā)送到PDSN 20���,而PDSN 20將數(shù)據(jù)包發(fā)送到IP網(wǎng)絡(luò)24�����。
在WCDMA系統(tǒng)中�����,雖然無線通信系統(tǒng)組件的術(shù)語各異���,但是功能是相同的��。例如,基站也可稱為在UMTS陸地?zé)o線接入網(wǎng)絡(luò)(U-TRAN)中操作的無線網(wǎng)絡(luò)控制器(RNC)�����。
在基站范圍內(nèi)操作的從基站到接入終端的前向鏈路可包含復(fù)數(shù)個信道����。從接入終端到基站的反向鏈路也包含復(fù)數(shù)個信道。
每一信道運(yùn)載不同類型的信息到目標(biāo)目的地�����。例如�,在cdma20001xEV-DV系統(tǒng)中,在基礎(chǔ)信道上運(yùn)載語音通信量�����,且在補(bǔ)充信道或分組數(shù)據(jù)信道上運(yùn)載數(shù)據(jù)通信量�����。補(bǔ)充信道一般被啟動大約幾秒持續(xù)時間且很少改變調(diào)制和編碼格式��,而分組數(shù)據(jù)信道會動態(tài)地從20ms間隔變成另一間隔�����。
在典型的通信系統(tǒng)中,“源”生成表示(例如)語音通信量或數(shù)據(jù)通信量的信息位流�。對此位流進(jìn)行再分并分組,附加多個控制位�����,且將結(jié)果壓縮成適當(dāng)?shù)母袷揭赃M(jìn)行傳輸����。在前向或反向鏈路上傳輸前,一般根據(jù)一個或一個以上格式編碼�����、調(diào)制并擴(kuò)展語音通信量和數(shù)據(jù)通信量����。在CDMA系統(tǒng)中,傳輸信道格式最終取決于正在傳輸?shù)恼Z音通信量和數(shù)據(jù)通信量的信道類型和信道條件�,此可根據(jù)噪聲和干擾來描述。
在多種現(xiàn)有的通信系統(tǒng)中�����,可傳輸語音和數(shù)據(jù)通信量的各種格式存在不同名稱,例如��,幀�����、數(shù)據(jù)包和子數(shù)據(jù)包��。本文所描述的實施例的范疇延伸到使用多種傳輸格式中的任一種的所有無線通信系統(tǒng)���。然而,為了易于說明的目的����,本文將使用術(shù)語“數(shù)據(jù)包”來描述運(yùn)載通信量的傳輸信道格式和通信量的結(jié)構(gòu)。
此外��,請注意�,CDMA系統(tǒng)的“數(shù)據(jù)包”在結(jié)構(gòu)上不同于分組交換數(shù)據(jù)網(wǎng)的“數(shù)據(jù)包”。兩者都是描述傳輸數(shù)據(jù)的格式的單元����,但是其中一者是無線網(wǎng)絡(luò)優(yōu)選的且另一者是分組交換數(shù)據(jù)網(wǎng)優(yōu)選的。例如,來自IP源的數(shù)據(jù)包將含有標(biāo)頭部分和數(shù)據(jù)部分�。然而用于經(jīng)由無線電傳輸?shù)臄?shù)據(jù)包運(yùn)載經(jīng)編碼和調(diào)制且由能夠在壓縮成數(shù)據(jù)包之前受到符號重復(fù)的數(shù)據(jù)。因此�,來自分組交換數(shù)據(jù)網(wǎng)的數(shù)據(jù)包將必須重新格式化以在無線網(wǎng)絡(luò)上使用。在本文和現(xiàn)有技術(shù)中所述的實施例中��,詞語“數(shù)據(jù)包”的意義需由這個詞語的用途推斷��。
如以上針對無線通信網(wǎng)絡(luò)所論述�����,對位進(jìn)行卷積或渦輪編碼����、重復(fù)及刺穿以生成二進(jìn)制碼符號序列。使所得的碼符號隔行交錯以獲得調(diào)制符號�����。然后�,對調(diào)制符號進(jìn)行沃爾什(Walsh)覆蓋并在正交相分支上與導(dǎo)頻序列組合、以偽隨機(jī)噪聲(PN)序列擴(kuò)展���、基頻濾波且調(diào)制到傳輸載波信號上���。
在一些CDMA系統(tǒng)中����,源可生成“邏輯”信道以經(jīng)由上述物理信道傳輸�。邏輯信道是與特定應(yīng)用相關(guān)聯(lián)的位流,它可與其它邏輯信道形成多路復(fù)用����,每一信道包含與其它應(yīng)用相關(guān)聯(lián)的位流���。然后����,經(jīng)多路復(fù)用的邏輯信道準(zhǔn)備以上述方式經(jīng)由物理信道傳輸�。在前述IS-856中發(fā)布的cdma20001xEV-DO系統(tǒng)中,邏輯信道稱為“流”且由流層協(xié)議定義��。
因為實施例的主題是針對移動IP電話���,所以也將立刻使用RFC 2002(1996年10月)的術(shù)語���。在此文獻(xiàn)中發(fā)布的協(xié)議使移動通信裝置能夠?qū)⒔佑|點改變到因特網(wǎng)��,而不必改變裝置的IP地址�。即���,RFC 2002描述了一種注冊方案�����,其向家鄉(xiāng)代理(home agent)通知移動通信裝置的位置�,使得家鄉(xiāng)代理可經(jīng)由外地代理(foreign agent)發(fā)送數(shù)據(jù)包��?��!凹亦l(xiāng)代理”是在接入終端的家鄉(xiāng)系統(tǒng)處理IP數(shù)據(jù)包的基礎(chǔ)結(jié)構(gòu)元件����?��!巴獾卮怼笔窃诒辉L問的系統(tǒng)處服務(wù)接入終端的基礎(chǔ)結(jié)構(gòu)元件��。參看圖1���,外地代理和/或家鄉(xiāng)代理的功能可由被訪問的網(wǎng)絡(luò)中的BSC 16或家鄉(xiāng)網(wǎng)絡(luò)中的BSC 16來完成�����。驗證���、授權(quán)和記帳功能通常由服務(wù)器執(zhí)行,所述服務(wù)器稱為驗證��、授權(quán)和記帳(AAA)服務(wù)器���。AAA服務(wù)器通信地耦接到PDSN或BSC中。
在cdma2000 1xEV-DO(下文稱為EV-DO)中����,圖1的無線通信系統(tǒng)實體在概念上簡化成接入終端和接入網(wǎng)絡(luò)。接入終端(AT)是允許使用者經(jīng)由EV-DO無線接入網(wǎng)絡(luò)訪問分組交換數(shù)據(jù)網(wǎng)的任何裝置����。接入網(wǎng)絡(luò)(AN)包含提供分組交換數(shù)據(jù)網(wǎng)與接入終端之間的數(shù)據(jù)連通性的任何網(wǎng)絡(luò)設(shè)備/實體。
圖2是AT 200�����、AN 210�����、AN-AAA服務(wù)器220和PDSN 230之間的數(shù)據(jù)連通性的示意圖。當(dāng)AT 200需要訪問PDSN 230時�����,AT 200與AN 210之間就建立通信會話����。所述會話根據(jù)PPP協(xié)議實施且稱為驗證網(wǎng)絡(luò)流。AN210與AN-AAA服務(wù)器220通信以判定是否允許AT 200訪問PDSN 230����。基于在驗證網(wǎng)絡(luò)流內(nèi)傳達(dá)的驗證信息����,AN 210在AT 200與PDSN 230之間透明地傳遞服務(wù)網(wǎng)絡(luò)流。PDSN 230進(jìn)一步與AN-AAA服務(wù)器220通信以判定是否允許AT 200訪問分組交換數(shù)據(jù)網(wǎng)(未圖示)���?��;诜?wù)網(wǎng)絡(luò)流內(nèi)傳達(dá)的驗證信息,PDSN 230允許分組交換數(shù)據(jù)網(wǎng)(未圖示)與AT 200之間的IP通信量��。
在驗證網(wǎng)絡(luò)流上,使用例如CHAP(競爭握手驗證協(xié)議)來執(zhí)行驗證�����。在所述實施例中無需過分的實驗即可使用其它的驗證協(xié)議����,但是為了易于說明,本文將說明CHAP�����。在服務(wù)網(wǎng)絡(luò)流上����,可使用CHAP���、移動IP驗證或PAP(口令驗證協(xié)議)執(zhí)行驗證���。
注意,在EV-DO系統(tǒng)中�����,驗證網(wǎng)絡(luò)流和服務(wù)網(wǎng)絡(luò)流為可經(jīng)由物理、無線電���、傳輸信道一起多路復(fù)用的邏輯信道���。
由于需要用AN驗證AT在EV-DO網(wǎng)絡(luò)上的初始注冊,因此引發(fā)了一個問題�����。使用服務(wù)網(wǎng)絡(luò)流在AAA處供應(yīng)驗證口令/密鑰����。為了參與密鑰更新程序,AT將必須由AN來傳遞��,AN充當(dāng)在AT與PDSN之間中繼消息的“受門人(gatekeeper)”��。然而�,新激活的AT并不具有驗證密鑰。在初始注冊期間����,不存在與位于AN-AAA服務(wù)器處的新激活的AT相關(guān)聯(lián)的密鑰。AN-AAA服務(wù)器將不向AN提供對所述AT的許可,因此AN將不驗證AT��。換言之��,AT需要一密鑰以被供應(yīng)一密鑰�����。當(dāng)服務(wù)提供者希望為已激活的AT供應(yīng)新密鑰時���,也會引起此問題��。為了利用密鑰更新程序����,已激活的AT將需要訪問驗證網(wǎng)絡(luò)流�����。然而��,驗證網(wǎng)絡(luò)流已“鍵入”了新密鑰而不是由已激活的AT持有的舊密鑰���。
當(dāng)前對這個問題的解決方案是使驗證網(wǎng)絡(luò)流的驗證功能無效,但這是有問題的����。使驗證網(wǎng)絡(luò)流的驗證功能無效將使網(wǎng)絡(luò)易受到“否定服務(wù)”的攻擊����,其中任何偽劣的AT都能夠建立PPP會話且使其開放一不確定的時間段���,而不會被驗證��。本文所提供的實施例用于在服務(wù)網(wǎng)絡(luò)流上建立PPP會話而不使驗證網(wǎng)絡(luò)流的驗證功能無效����。
在下述實施例中����,提供用于經(jīng)由服務(wù)網(wǎng)絡(luò)流觸發(fā)移動IP密鑰更新(MKU)程序而不會使驗證網(wǎng)絡(luò)流無效的方法和設(shè)備。在一個實施例中��,由AN-AAA服務(wù)器所執(zhí)行的行為觸發(fā)MKU程序�����。在另一個實施例中�,由AN所執(zhí)行的行為觸發(fā)MKU程序。
圖3是說明AN-AAA服務(wù)器觸發(fā)MKU程序的實施例的流程圖。在這個實施例中�,用AT新近被激活或AT是需要一個新密鑰的已被激活的單元的信息來對AN-AAA服務(wù)器進(jìn)行編程。(在移動IP的說法中��,AT也稱為移動節(jié)點(MN))�。在步驟300中,AN試圖使用例如CHAP之類的驗證協(xié)議建立一與AT的驗證網(wǎng)絡(luò)流��。
在步驟310中�����,AT發(fā)送一個使用者識別符作為對來自AN的詢問的回應(yīng)的一部分�,所述使用者識別符可包括(但不限于)移動節(jié)點識別符MN ID或網(wǎng)絡(luò)訪問識別符NAI。所述回應(yīng)通常包含使用者識別符和從所述詢問取回的隨機(jī)值����,其中通常使用散列函數(shù)隱瞞所述回應(yīng)。RFC 1994(1996年8月)發(fā)布了CHAP驗證程序中的稱為MD5的單向散列函數(shù)的使用�。
在步驟320中,AN將“訪問請求”(ARQ)消息傳輸?shù)紸N-AAA服務(wù)器�����。在這個實施例中�����,ARQ消息應(yīng)傳達(dá)關(guān)于ARQ消息的起始者的特征信息�。換言之,ARQ消息的起始者是一AN(與PDSN和另一AAA服務(wù)器相對)的信息應(yīng)包括ARQ消息�����。在TIA-878中�,“高速分組數(shù)據(jù)(HRPD)網(wǎng)絡(luò)訪問接口的互通規(guī)范(IOS)”是可選的,它是指示ARQ消息是否是訪問驗證的內(nèi)容的HRPD訪問驗證字段���。在當(dāng)前實施例中�����,此可選字段用于決定是否允許訪問服務(wù)網(wǎng)絡(luò)流��。
在步驟330中�,AN-AAA服務(wù)器接收AN識別符和含有來自AT的CHAP回應(yīng)的ARQ消息����,且基于兩個條件做出一決定。所述條件為使用者屬性與新近激活狀態(tài)相關(guān)聯(lián)(或需要密鑰供應(yīng))和ARQ消息是由AN始發(fā)的���。
在步驟340中��,如果滿足這兩個標(biāo)準(zhǔn)��,那么AN-AAA服務(wù)器將“訪問接受”(AA)消息傳輸?shù)紸N�。否則,將“訪問拒絕”(AR)消息傳輸?shù)紸N���。
在步驟350中���,如果從AN-AAA服務(wù)器接收到一AA消息,那么AN返回一驗證成功的指示����,否則,如果從AN-AAA服務(wù)器接收到一AR消息�,那么AN返回一驗證失敗的指示。如果接收到AA消息��,那么程序流程進(jìn)行到步驟360�����,否則����,程序流程以AT的驗證失敗而結(jié)束����。
在步驟360中�,AN中繼AT與PDSN之間的消息�,于是,與PDSN通信的AN-AAA服務(wù)器觸發(fā)一MKU程序�����。在一成功的MKU過程結(jié)束時����,AN-AAA與AT將具有一共同的共享秘密集合。
以上的程序流程允許AT訪問服務(wù)網(wǎng)絡(luò)流以被供應(yīng)有驗證信息�����。為了讓程序流程達(dá)成此目的��,AN-AAA服務(wù)器應(yīng)具有指示AT是新近激活的單元或需要密鑰供應(yīng)的信息���。此外�����,AN-AAA服務(wù)器應(yīng)具有關(guān)于ARQ消息的始發(fā)者的信息���。AN-AAA服務(wù)器的處理和存儲元件應(yīng)經(jīng)配置以使用以上兩個標(biāo)準(zhǔn)來判定是否將AA消息發(fā)送到AN����,而不管是否缺乏針對驗證網(wǎng)絡(luò)流上的驗證程序的口令/密鑰�。
圖4是說明AN觸發(fā)MKU程序的實施例的流程圖。在步驟400中����,AN嘗試使用例如CHAP之類的驗證協(xié)議建立與AT的驗證網(wǎng)絡(luò)流。
在步驟410中�,AT發(fā)送一個使用者識別符作為對來自AN的詢問的回應(yīng)。
在步驟420中���,AN將“訪問請求”(ARQ)消息傳輸?shù)紸N-AAA服務(wù)器�����。
在步驟430中����,AN-AAA服務(wù)器接收ARQ消息并判定AT是新近激活的單元還是需要密鑰供應(yīng)。然后�����,程序流程繼續(xù)進(jìn)行到步驟440����。
在步驟440中�����,AN-AAA服務(wù)器將包括“所需的MKU更新”屬性的“訪問拒絕”(AR)消息傳輸?shù)紸N��。注意�,先前實施例需要AN-AAA服務(wù)器來基于所述的兩個標(biāo)準(zhǔn)來改變其行為,而這個實施例不需要AN-AAA服務(wù)器配置進(jìn)行任何改變�。
在步驟450中,AN接收具有MKU屬性的AR消息�,此二者的到達(dá)為一個新的標(biāo)準(zhǔn)集合以允許AT訪問PDSN,而不需要具有適當(dāng)?shù)尿炞C信息�����。AN中的存儲和處理元件經(jīng)配置以將包括MKU屬性的AR消息的到達(dá)解釋為AT是新近激活還是需要密鑰供應(yīng)的指示���。本文將此任一狀態(tài)稱為“無密鑰”�����。因此��,在步驟460中����,AN判定MKU更新為無密鑰AT所需且將驗證成功的指示返回到AT。
在步驟470中���,AN中繼AT與PDSN之間的消息��,于是�����,由與PDSN通信的AN-AAA服務(wù)器觸發(fā)MKU程序���。注意,只要AN-AAA服務(wù)器判定AT新近被激活或只要系統(tǒng)提供者判定應(yīng)將新的口令/密鑰供應(yīng)給一些或所有接入終端��,就可在AR消息中設(shè)置MKU屬性。因此���,這個實施例在選擇性地將密鑰供應(yīng)提供給已激活的接入終端上具有增加的靈活性�����。
所屬領(lǐng)域技術(shù)人員應(yīng)了解����,可使用任何各種不同技術(shù)和工藝來表示信息和信號�����。例如�����,遍及以上描述所引用的數(shù)據(jù)�、指令��、命令����、信息、信號位、符號和芯片可由電壓���、電流����、電磁波�、磁場或磁性粒子、光場或光學(xué)粒子和其任何組合表示����。
所屬領(lǐng)域技術(shù)人員應(yīng)進(jìn)一步了解,連同本文所揭示的實施例描述的各種說明性邏輯塊����、模塊、電路和算法步驟可實施為電子硬件��、計算機(jī)軟件和二者的組合���。為了清楚地說明硬件和軟件的可交換性�����,多種說明性組件�����、區(qū)塊���、模塊�、電路和步驟已大體根據(jù)其功能加以描述�。所述功能實施為硬件還是軟件取決于強(qiáng)加于整個系統(tǒng)的特定應(yīng)用和設(shè)計限制。熟練的技術(shù)人員可針對每一特定應(yīng)用以變化的方式實施所述的功能�,但是不應(yīng)將這些實施決定解釋為偏離本發(fā)明的范疇。
連同本文所揭示的實施例描述的各種說明性邏輯塊�����、模塊和電路可以各物來實施或執(zhí)行通用處理器���、數(shù)字信號處理器(DSP)�、專用集成電路(ASIC)�、場可編程門陣列(FPGA)和其它可編程邏輯裝置����、離散門和晶體管邏輯、離散硬件組件或設(shè)計成執(zhí)行本文所述的功能的其任何組合�����。通用處理器可為微處理器,但或者���,所述處理器可為任何常規(guī)的處理器����、控制器���、微控制器或狀態(tài)機(jī)��。處理器也可實施為計算裝置的組合(例如���,DSP和微處理器的組合)、復(fù)數(shù)個微處理器��、與DSP核心協(xié)作的一或一個以上微處理器����,或任何其它所述配置。
連同本文所述的實施例描述的方法或算法的步驟可直接以硬件�、由處理器執(zhí)行的軟件模塊或兩者的組合實施。軟件模塊可位于RAM存儲器(隨機(jī)存取存儲器)���、閃存����、ROM存儲器(只讀存儲器)、EPROM存儲器(可擦可編程只讀存儲器)����、EEPROM存儲器(電可擦可編程只讀存儲器)、寄存器�、硬盤、可移動磁盤���、CD-ROM(光盤只讀存儲器)或現(xiàn)有技術(shù)已知的任何其它形式的存儲媒體中�。例示性的存儲媒體耦接到處理器�����,所述處理器可從存儲媒體讀取信息且可將信息寫入到存儲媒體���?;蛘?�,可將存儲媒體整合到處理器中���。處理器和存儲媒體可位于ASIC中���。ASIC可位于使用者終端中?��;蛘?��,處理器和存儲媒體可作為離散組件位于使用者終端中。
提供所揭示的實施例的先前描述以使所屬領(lǐng)域任何技術(shù)人員能夠制造或使用本發(fā)明�。所屬領(lǐng)域技術(shù)人員將易了解這些實施例的多種修改,且在不偏離本發(fā)明的精神或范疇的情況下�����,本文所界定的通用原理可應(yīng)用于其它實施例�。因此,并不希望本發(fā)明限于本文所展示的實施例����,而應(yīng)符合與本文所揭示的原理和新穎特征一致的最廣泛的范疇。
權(quán)利要求
1.一種用于在一服務(wù)網(wǎng)絡(luò)流上為一無線通信裝置建立一點對點會話而不使一驗證網(wǎng)絡(luò)流的驗證功能無效的方法���,其包含在所述驗證網(wǎng)絡(luò)流上將一消息從所述無線通信裝置傳輸?shù)揭唤尤刖W(wǎng)絡(luò)實體�����;將一訪問請求消息從所述接入網(wǎng)絡(luò)實體傳輸?shù)揭环?wù)器����,其中所述訪問請求消息是關(guān)于允許所述無線通信裝置訪問所述服務(wù)網(wǎng)絡(luò)流;判定所述無線通信裝置是否應(yīng)參與一密鑰供應(yīng)過程����;如果所述無線通信裝置需要密鑰供應(yīng),那么將一訪問信息從所述服務(wù)器傳輸?shù)剿鼋尤刖W(wǎng)絡(luò)實體���;一接收到所述訪問消息就在所述服務(wù)網(wǎng)絡(luò)流上提供對所述無線通信裝置的訪問����;和經(jīng)由所述服務(wù)網(wǎng)絡(luò)流向所述無線通信裝置供應(yīng)一密鑰��。
2.根據(jù)權(quán)利要求1所述的方法�����,其中判定所述無線通信裝置是否需要密鑰供應(yīng)包含判定所述無線通信裝置是否是新近被激活的����。
3.根據(jù)權(quán)利要求2所述的方法���,其中判定所述無線通信裝置是否需要密鑰供應(yīng)包含識別所述訪問請求消息的始發(fā)者���。
4.根據(jù)權(quán)利要求3所述的方法��,其中從所述服務(wù)器到所述接入網(wǎng)絡(luò)實體的所述訪問消息是一訪問接受(AA)消息����。
5.根據(jù)權(quán)利要求1所述的方法��,其中從所述服務(wù)器到所述接入網(wǎng)絡(luò)實體的所述訪問消息是一攜帶一移動IP密鑰更新(MKU)屬性的訪問拒絕(AR)消息�����。
6.一種用于支持對試圖訪問一分組數(shù)據(jù)服務(wù)網(wǎng)絡(luò)的接入終端的驗證的系統(tǒng)�����,所述系統(tǒng)包含一接入網(wǎng)絡(luò)(AN)���;一分組數(shù)據(jù)服務(wù)節(jié)點(PDSN)�,其以通信方式耦接到所述AN和所述分組數(shù)據(jù)服務(wù)網(wǎng)絡(luò)����;和一服務(wù)器�,其以通信方式耦接到所述AN和所述PDSN�,并經(jīng)配置以判定是否驗證一與所述AN通信的接入終端(AT)以與所述PDSN通信,其中判定是否驗證與所述AN通信的所述AT包含判定與所述AT相關(guān)聯(lián)的一訪問請求消息是否指示所述AN處的始發(fā)�;和判定所述AT是新近被激活還是需要一個新密鑰。
7.一種用于支持對試圖訪問一分組數(shù)據(jù)服務(wù)網(wǎng)絡(luò)的接入終端的驗證的系統(tǒng)�,所述系統(tǒng)包含一服務(wù)器,其經(jīng)配置具有使用者屬性和驗證密鑰�;一分組數(shù)據(jù)服務(wù)節(jié)點(PDSN),其以通信方式耦接到所述服務(wù)器和所述分組數(shù)據(jù)服務(wù)網(wǎng)絡(luò)�;和一接入網(wǎng)絡(luò)(AN),其以通信方式耦接到所述PDSN和所述服務(wù)器����,且經(jīng)配置以判定是否驗證一無密鑰接入終端(AT)以訪問所述PDSN,其中如果所述AN從所述服務(wù)器接收到一包括一移動IP密鑰更新(MKU)屬性的訪問拒絕消息�,那么所述AN驗證所述無密鑰接入終端。
8.一種用于支持對試圖訪問一分組數(shù)據(jù)服務(wù)網(wǎng)絡(luò)的接入終端的驗證的設(shè)備�����,所述設(shè)備包含至少一個存儲元件���;和至少一個處理元件���,其經(jīng)配置以執(zhí)行一存儲在所述至少一個存儲元件上的指令集����,所述指令集用于判定一與一接入終端(AT)相關(guān)聯(lián)的訪問請求消息是否指示一接入網(wǎng)絡(luò)(AN)處的始發(fā)���;和判定所述AT是否為無密鑰的;且如果所述訪問請求消息指示一AN處的始發(fā)且所述AT是無密鑰的����,那么允許所述AN驗證所述AT。
9.一種在一接入網(wǎng)絡(luò)(AN)處用于支持對試圖訪問一分組數(shù)據(jù)服務(wù)網(wǎng)絡(luò)的接入終端的驗證的設(shè)備����,所述設(shè)備包含至少一個存儲元件;和至少一個處理元件��,其經(jīng)配置以執(zhí)行一存儲在所述至少一個存儲元件上的指令集��,所述指令集用于將與一存儲終端(AT)相關(guān)的一訪問請求消息傳輸?shù)揭环?wù)器�����;判定從所述服務(wù)器接收到的一訪問拒絕消息是否包括一移動IP密鑰更新(MKU)屬性;和如果接收到的所述訪問拒絕消息包括一MKU屬性���,那么驗證所述AT以訪問一分組數(shù)據(jù)服務(wù)節(jié)點(PDSN)���。
全文摘要
本發(fā)明提供用于允許無密鑰接入終端(AT)經(jīng)由一服務(wù)網(wǎng)絡(luò)流訪問一分組服務(wù)數(shù)據(jù)節(jié)點(PSDN)而不使驗證網(wǎng)絡(luò)流的驗證功能無效的方法和設(shè)備。
文檔編號H04L29/06GK1802827SQ200480009092
公開日2006年7月12日 申請日期2004年4月2日 優(yōu)先權(quán)日2003年4月2日
發(fā)明者賈揚(yáng)特·曼達(dá)炎, 杰弗里·艾倫·戴克, 馬爾塞洛·利奧伊 申請人:高通股份有限公司