專利名稱:用于松散耦合互操作的基于證書的認證授權計費方案的制作方法
技術領域:
本發(fā)明通常涉及網(wǎng)絡互連���,尤其涉及一種用于在兩個不同接入網(wǎng) 之間松散耦合互操作的基于證書的認證��、授權和計費(AAA)方案。
技術背景一般�����,為接入并利用比如蜂窩網(wǎng)和無線局域網(wǎng)(WLAN)之類的 網(wǎng)絡而要求認證、授權和計費(AAA)��。然而����,在兩個不屬于同一管 理域并且不共享相同AAA方案的不同無線接入網(wǎng)之間進行互操作的 情況下,比較難于實現(xiàn)AAA并要求額外的軟件和/或硬件�����。在蜂窩網(wǎng)和WLAN之間存在兩種主要類型的互操作緊密耦 合和松散耦合���。在松散耦合的情況下����,WLAN和蜂窩網(wǎng)具有獨立的數(shù) 據(jù)路徑�,但是用于WLAN用戶的AAA依賴于蜂窩網(wǎng)的AAA功能。 然而���,蜂窩網(wǎng)的AAA協(xié)議(MAP/SS7 )與WLAN用戶使用的基于因 特網(wǎng)協(xié)議(IP)的協(xié)議不兼容���。已經(jīng)建議了兩種方法。在第一種方法 中�,AAA接口配備在蜂窩網(wǎng)歸屬位置寄存器中(HLR)���。這要求要么 復制HLR數(shù)據(jù),要么在半徑/直徑(Radius/Diameter)和MAP之間配備 協(xié)議轉(zhuǎn)換器�。在第二種方法中,如果移動終端(MT)使用基于認證 機制(比如�����,NOKIA的無線運營商LAN)用戶識別模塊(SIM)卡��, 則AAA將遵循蜂窩處理過程��。AAA互操作功能(IWF)是必需的���, 以便將HLR和MT對接���。從AAA方面來看,除了AAA業(yè)務是通過 IP承載以外����,功能性的方法和服務GPRS (通用分組無線業(yè)務)支持 節(jié)點(SGSN)或移動交換中心(MSC)相類似。采用這兩種方法�,需要蜂窩運營商部署特殊的互操作功能或網(wǎng) 關����。當采用第二種方法時���,要求用戶具有SIM卡來接入WLAN,但 是許多的WLAN用戶在他們的^_攜式電腦或個人數(shù)字助理(PDA )上 沒有可用的SIM卡�����。
因此�,因此十分期望具有認證授權和計費(AAA)方案,用于 在兩個不屬于同一管理域且不共享相同AAA方案的不同無線接入網(wǎng) 之間進行互操作���,這也將非常有益����,其中AAA方案不要求布署特殊 的互操作功能來在兩種不同類型網(wǎng)絡之間進行橋接��。 發(fā)明內(nèi)容現(xiàn)有技術的上述問題以及其它相關的問題���,由本發(fā)明解決���,即一 種用于在兩個不同接入網(wǎng)之間互操作的、基于證書的iU正^:權和計費 (AAA)方案。有利的是��,本發(fā)明在認證期間能夠工作而不用與^^窩核心網(wǎng)交互 作用�����。與現(xiàn)有方案相比�,建議的方案不要求蜂窩運營商調(diào)整他們的歸 屬位置寄存器(HLR)接口,來通過因特網(wǎng)協(xié)議提供對WLAN用戶的 認證�����。根據(jù)本發(fā)明的 一個方面����,提供一種在至少兩個網(wǎng)絡之間的互操作 中的認證授權和計費(AAA)的方法。該至少兩個網(wǎng)絡包括第一網(wǎng)絡 和第二網(wǎng)絡���。第一網(wǎng)絡的用戶由第二網(wǎng)絡根據(jù)證書驗證��。當驗證用戶 時����,會話密鑰從第二網(wǎng)絡發(fā)送到用戶的移動設備�����。對話密鑰用于加密 在移動設備和第二網(wǎng)絡之間的通信。本發(fā)明的這些以及其它的方面�、特征和優(yōu)點從下列優(yōu)選實施例的 詳細描述中將會更加明顯�,其可結合附圖來理解。
圖1為根據(jù)本發(fā)明的示例性實施例��,說明可應用本發(fā)明的計算機 系統(tǒng)100的框圖��;圖2為根據(jù)本發(fā)明的示例性實施例�����,說明可應用本發(fā)明的接入網(wǎng) 的組合的框圖����;圖3為根據(jù)本發(fā)明的示例性實施例,說明對在接入網(wǎng)之間松散耦 合互操作中的移動用戶進行基于證書的認證授權和計費(AAA)的方 法的流程圖�����;和圖4為根據(jù)本發(fā)明的另一個示例性實施例��,說明對在接入網(wǎng)之間 松散耦合互操作中的移動用戶進行基于證書的認證授權和計費 (AAA)的方法的流程圖����。
具體實施方式
本發(fā)明主要涉及松散耦合互操作的基于證書的認證授權和計費(AAA)方案�。應當理解��,本發(fā)明可適用于接入網(wǎng)(比如���,共用接入 電視(CATV)網(wǎng)絡和無線局域網(wǎng)(WLAN)之間的互操作)的任何 組合���。然而,本發(fā)明尤其適用于處于松散互操作安排下的蜂窩網(wǎng)絡和 WLAN���。應當理解���,本發(fā)明可以各種形式的硬件、軟件�、固件、專用處理 器或者它們的組合實現(xiàn)��,比如在移動終端���、接入點或者蜂窩網(wǎng)絡中實 現(xiàn)����。優(yōu)選地,本發(fā)明實現(xiàn)為硬件和軟件的組合�����。另外��,軟件優(yōu)選地實 現(xiàn)為明確地包含在程序存儲設備中的應用程序����。應用程序可以被上傳 到包括任何適當結構的機器并由該機器執(zhí)行����。優(yōu)選地,機器在具有比 如一個或多個中央處理單元(CPU)�、隨機存取存儲器(RAM)和輸 入/輸出(I/O)接口的計算機平臺上實現(xiàn)。計算機平臺也包括操作系 統(tǒng)和微指令代碼�。在此描述的各種處理和功能可以為微指令代碼的一 部分或者應用程序(或者它們的組合)的一部分,它們通過#:作系統(tǒng) 被執(zhí)行���。另外��,各種其它的外圍設備可被連接到計算機平臺�����,比如附 加的數(shù)據(jù)存儲設備和打印設備�。應當進一步地理解的是,由于在附圖中描述的 一些組成系統(tǒng)的部 件和方法的步驟優(yōu)選地以軟件實現(xiàn)�,所以在系統(tǒng)部件(或處理步驟) 之間的實際連接可依本發(fā)明被編程的形式而不同。根據(jù)此處的教導�, 本領域普通技術人員能夠設想本發(fā)明的這些以及類似的實現(xiàn)和配 置。圖1為根據(jù)本發(fā)明的示例性實施例���,說明可應用本發(fā)明的計算機 系統(tǒng)100的框圖���。計算機處理系統(tǒng)100可包含在用來接入^^窩網(wǎng)或 WLAN的移動設備中。計算機處理系統(tǒng)100包括至少一個處理器 (CPU) 102,處理器經(jīng)由系統(tǒng)總線104有效地耦合到其它部件���。只 讀存儲器(ROM) 106�����、隨機存耳又存儲器(RAM) 108��、顯示器適配 器110�����、 1/0適配器112�����、用戶接口適配器114�、聲音適配器199和網(wǎng) 絡適配器198有效地耦合到系統(tǒng)總線104。顯示設備116由顯示器適配器110有效地耦接到系統(tǒng)總線104�。 盤存儲設備(比如,磁盤或光盤存儲設備)118由I/O適配器112有 效地耦接到系統(tǒng)總線104���。鼠標120和鍵盤122由用戶接口適配器114 有效地耦接到系統(tǒng)總線104�。鼠標120和鍵盤122用于向系統(tǒng)100輸 入信息或者從系統(tǒng)100輸出信息�����。
至少一個揚聲器(以下稱"揚聲器")197通過聲音適配器199 有效地耦接到系統(tǒng)總線104��。(數(shù)字和/或模擬)調(diào)制解調(diào)器196通過網(wǎng)絡適配器198有效地耦 接到系統(tǒng)總線104�����。圖2為根據(jù)本發(fā)明的示例性實施例����,說明可應用本發(fā)明的接入網(wǎng) 的組合的框圖����。在圖2的示例性實施例中���,接入網(wǎng)的組合包4舌蜂窩網(wǎng) 210和三個無線局域網(wǎng)(WLAN) 220a、 220b和220c�。移動終端200、 蜂窩網(wǎng)210和WLAN220可以如圖所示的那樣互相通信�����。本發(fā)明提供 了一種基于證書的方法�����,以便向WLAN用戶提供AAA服務��。如上所 述�,本發(fā)明可應用于任何網(wǎng)絡組合,包括不同數(shù)目和不同類型的網(wǎng) 絡�。圖3為根據(jù)本發(fā)明的示例性實施例,說明對在接入網(wǎng)之間松散耦 合互操作中的移動用戶進行基于i正書的認證授權和計費(AAA)的方 法的流程圖�����。接入網(wǎng)包括蜂窩網(wǎng)和無線局域網(wǎng)(WLAN)����,如圖2中 所示的那些�����。蜂窩網(wǎng)與至少一個移動用戶相關聯(lián)�。應當理解�����,盡管圖 3的示例性實施例(以及下面的圖4的示例性實施例)是參照蜂窩網(wǎng) 和WLAN來描述的���,但是任何網(wǎng)絡的組合��,包括上述和其它類型的 網(wǎng)絡以及不同數(shù)目的網(wǎng)絡�,在保持本發(fā)明精神和范圍的情況下��,可容 易地根據(jù)本發(fā)明采用�����。最初�����,與蜂窩網(wǎng)相關聯(lián)的公鑰Kpub一cn從蜂窩網(wǎng)發(fā)送到與蜂窩網(wǎng) 有互操作合同的WLAN(步驟310)�����。如果蜂窩網(wǎng)與一個以上的WLAN 具有互操作合同�,則蜂窩網(wǎng)應能將公鑰Kpub一cn發(fā)送到所有與之有合 同的WLAN。優(yōu)選地�,但不是強制性地,通過安全的信道分發(fā)蜂窩網(wǎng) 公鑰Kpub_cn��,以使_接收方WLAN能確信該公鑰Kpub_cn確實為與蜂窩網(wǎng)相關聯(lián)的有效公鑰����。接著證書從蜂窩網(wǎng)發(fā)送到移動用戶(步驟315)。證書包括�����,但 不僅限于下列與移動用戶相關聯(lián)的公鑰Kpub一u;蜂窩網(wǎng)的ID;移 動用戶的訂閱等級���,用于授權/驗證的目的���,比如,移動用戶是否訂購 了WLAN服務;證書的到期時間�����;移動用戶的ID�����。用蜂窩網(wǎng)的私鑰 Kpri—cn對證書簽名���。優(yōu)選地�,但不是強制性地�,當移動用戶和蜂窩 網(wǎng)簽署合同使用WLAN互操作服務時,證書被發(fā)送到移動用戶���。各種密鑰和證書的使用如下����。當移動用戶移到WLAN覆蓋下的區(qū) (步驟320)�。然后,WLAN: 檢驗包括在證書中的蜂窩網(wǎng)ID (步驟325 );檢驗包括在證書中的移 動用戶ID(比如為了授權/驗證的目的)(步驟327);用蜂窩網(wǎng)的公 鑰Kpub一cn驗證證書的真實性(步驟330 ); —經(jīng)驗證��,就為移動用 戶計算會話密鑰���,用包含在證書中的公鑰Kpub一u加密會話密鑰(步 驟335 );并將會話密鑰發(fā)送到移動用戶(步驟340)����。會話密鑰可 以是���,但不僅限于每個用戶的有線等效加密(WEP)密鑰����。一旦接收會話密鑰��,移動用戶就用他/她的私鑰Kpri—u解密會話 密鑰(步驟345 )�����,并使用會話密鑰與WLAN通信(即�,用會話密鑰 加密在移動設備和WLAN之間的所有后續(xù)通信)(步驟350)。由于 只有特定的移動用戶具有解密會話密鑰所必需的私鑰Kpri—u,移動用 戶可以凈皮WLAN"i人i正����。圖4為根據(jù)本發(fā)明的另一個示例性實施例,說明對接入網(wǎng)之間松 散耦合互操作的移動用戶進行基于證書的認證授權和計費(AAA)方 法的流程圖����。接入網(wǎng)包括蜂窩網(wǎng)和無線局域網(wǎng)(WLAN)。蜂窩網(wǎng)與 至少一個移動用戶相關聯(lián)。圖4的方法允許移動用戶和WLAN之間 的相互的授權�����,以便移動用戶也能認證他/她確實和合法的WLAN通 信(以防止����,比如消息被竊聽)。蜂窩網(wǎng)的公鑰Kpub一cn從蜂窩網(wǎng)發(fā)送到與蜂窩網(wǎng)有互操作合同的 WLAN(步驟310)����。如果蜂窩網(wǎng)與不只一個WLAN有互操作合同, 則蜂窩網(wǎng)能將公鑰Kpub一cn發(fā)送到所有與之有合同的WLAN�����。優(yōu)選 地����,但不是強制性地,蜂窩網(wǎng)公鑰Kpub—cn通過安全的信道分發(fā)�,以 便WLAN能確信該公鑰Kpub一cn確實是蜂窩網(wǎng)的公鑰。蜂窩網(wǎng)的公鑰Kpub—cn也從蜂窩網(wǎng)發(fā)送到移動用戶(步驟412)�����。第一證書從蜂窩網(wǎng)發(fā)送到移動用戶(步驟315)�����。第一證書包括�, 但不僅限于下列移動用戶的公鑰Kpub_u;蜂窩網(wǎng)的ID;移動用戶 的訂購等級(移動用戶是否訂購了 WLAN服務);第一證書的到期 時間��;移動用戶的ID����。用蜂窩網(wǎng)的私鑰Kpri—cn對第一證書簽名。優(yōu) 選地�����,但不是強制性地��,當移動用戶和蜂窩網(wǎng)簽訂合同使用WLAN 互操作服務時����,第一證書被發(fā)送到移動用戶。第二證書也從蜂窩網(wǎng)發(fā)送到每個WLAN (和蜂窩網(wǎng)有合同協(xié)議的 WLAN)(步驟417)��。第二證書包括���,但不僅限于WALN的公鑰7
Kpup一w�。用蜂窩網(wǎng)的私鑰Kpri—cn對第二證書簽名。例如�����,當移動用戶移到WLAN覆蓋下的區(qū)域時���,第一證書從移動 用戶發(fā)送到WLAN(比如一個接入點(AP)或其它實體)(步驟320)����。 作為響應�����,WLAN檢驗包括在第一證書中的^^窩網(wǎng)ID (步驟325 ), 檢驗包括在第 一證書中的移動用戶ID (比如為了授權/認證的目的)(步驟327),并用蜂窩網(wǎng)的公鑰Kput^cn驗證證書的真實性(步驟 330 ); —經(jīng)驗證���,就為移動用戶計算會話密鑰�����,用移動用戶的(包 括在第一證書中的)公鑰Kpub一u對會話密鑰加密和用WLAN的私鑰 Kpri—w對會話密鑰簽名(步驟435 );并將會話密鑰和第二證書發(fā)送 到移動用戶(步驟440)�����。會話密鑰可以是�����,但不僅限于每個用戶的 有線等效加密(WEP)密鑰�。一旦接收會話密鑰和第二證書�����,移動用戶使用蜂窩網(wǎng)的公鑰 Kpub一cn驗證第二證書的有效性(步驟441)���。如果它是有效的��,則 從第二證書中提取WLAN的公鑰Kpub—w (步驟442 )���。移動用戶接 著通過使用WLAN的公鑰Kput^w驗證會話密鑰確實來自于WLAN, 以驗證會話密鑰上的簽名(步驟443 )。如果加密的會話密鑰被驗證 來自于WLAN��,移動用戶接著用他/她的私鑰Kpri—u解密會話密鑰(步 驟345)并用會話密鑰與WLAN通信�。用會話密鑰加密在移動設備和 WLAN之間的所有后續(xù)通信,并且開始使用會話密鑰和WLAN通信(步驟350)��。因此�,與現(xiàn)有技術相比�,本發(fā)明的突出優(yōu)點在于����,為了驗證用戶, 不要求任何物理的互操作功能來使WLAN和蜂窩網(wǎng)交互作用���。實際 上����,通過使用證書�,在移動終端請求接入網(wǎng)絡時,為了準予用戶接入����, WLAN不需要和蜂窩網(wǎng)的任何交互作用。由于證書包括了移動用戶的 身份����,所以可用該包括用戶身份的上述信息來容易地執(zhí)行計費功能。雖然已經(jīng)在此參考附圖描述了示例性實施例���,但是應當理解����,本 發(fā)明不僅限于那些精確的實施例,在不脫離發(fā)明精神和范圍的情況改�。;斤有這樣的i化和修改都包括在所附:利要求所限定的范圍之中。
權利要求
1.一種在第二網(wǎng)絡中為與第一網(wǎng)絡相關聯(lián)的移動設備提供認證���、授權和計費的方法��,其中第一網(wǎng)絡和第二網(wǎng)絡具有各自的認證�����、授權和計費方案,該方法包括步驟由所述移動設備從所述第一網(wǎng)絡接收證書���;由所述移動設備將所述證書發(fā)送到所述第二網(wǎng)絡��;以及由所述移動設備接收所述第二網(wǎng)絡計算的會話密鑰�����,所述會話密鑰利用與所述移動設備相關的公鑰進行加密����。
2. 根據(jù)權利要求1的方法��,其中利用所述第一網(wǎng)絡的私鑰對所 述證書進行簽名。
3. 根據(jù)權利要求1的方法���,其中所述證書包括與所述移動設備 相關的所述公鑰�����、所述第一網(wǎng)絡的標識����、所述移動設備的訂購等級��、 所述證書的到期時間以及所述移動設備的標識���。
4. 根據(jù)權利要求l的方法�,其中所述第一網(wǎng)絡是蜂窩網(wǎng)絡��。
5. 根據(jù)權利要求l的方法�,其中所述第二網(wǎng)絡是無線局域網(wǎng)。
6. —種在第二網(wǎng)絡中為與第一網(wǎng)絡相關聯(lián)的移動設備提供認 證�����、授權和計費的移動設備,第一網(wǎng)絡和第二網(wǎng)絡具有各自的認證����、 授權和計費方案,該方法包括用于由所述移動設備從所述第 一 網(wǎng)絡接收證書的裝置�����;用于由所述移動設備將所述證書發(fā)送到所述第二網(wǎng)絡的裝置����;以及用于由所述移動設備接收所述第二網(wǎng)絡計算的會話密鑰的裝 置,所述會話密鑰利用與所述移動設備相關的公鑰進行加密���。
7. 根據(jù)權利要求6的移動i殳備,其中利用所述第一網(wǎng)絡的私鑰 對所述證書進行簽名���。
8. 根據(jù)權利要求6的移動設備�,其中所述證書包括與所述移動 設備相關的所述公鑰�����、所述第一網(wǎng)絡的標識�、所述移動設備的訂購等 級、所述證書的到期時間以及所述移動i殳備的標識。
9. 根據(jù)權利要求6的移動設備��,其中所述第一網(wǎng)絡是蜂窩網(wǎng)絡�����。
10. 根據(jù)權利要求6的移動設備�����,其中所述第二網(wǎng)絡是無線局域網(wǎng)�����。
全文摘要
一種使用基于證書的事務處理���,用于在不屬于同一管理域的第一和第二網(wǎng)絡之間的互操作中的認證�����、授權和計費(AAA)的方法��。在根據(jù)本發(fā)明的方法中���,第二網(wǎng)絡發(fā)送公鑰到第一網(wǎng)絡��,并發(fā)送證書到移動設備��。證書包括了關于移動設備的訂購等級的信息并且用第二網(wǎng)絡的私鑰對其簽名�����。一旦檢測到第一網(wǎng)絡����,移動設備發(fā)送證書并且第一網(wǎng)絡使用第二網(wǎng)絡的公鑰和私鑰來認證證書���,并且作為響應���,授權接入網(wǎng)絡。第一網(wǎng)絡接著發(fā)出使用移動設備的公鑰進行加密的會話密鑰���。移動設備用私鑰解密會話密鑰并使用會話密鑰接入第一網(wǎng)絡。這樣���,不要求布署在兩種不同類型的網(wǎng)絡之間進行橋接的特定互操作功能就可以實現(xiàn)互操作����。
文檔編號H04L29/06GK101150857SQ200710148198
公開日2008年3月26日 申請日期2003年3月13日 優(yōu)先權日2002年4月26日
發(fā)明者C·C·王, J·張, J·李 申請人:湯姆森許可公司