專利名稱:使用數(shù)字證書的無線設(shè)備認證的制作方法
使用數(shù)字證書的無線設(shè)備認證技術(shù)域本發(fā)明主要涉及無線通信領(lǐng)域�,并且更加具體地涉及使用認證憑證而便于由無線 設(shè)備進行認證和漫游��。
背景技術(shù):
無線通信系統(tǒng)在過去幾年已經(jīng)得到大的發(fā)展���。當前的無線通信系統(tǒng)提供多個服務 例如蜂窩服務����、數(shù)據(jù)服務和其它服務。無線設(shè)備現(xiàn)在能夠利用由它們的歸屬服務提供商和 訪問服務提供商提供的多個服務�����。較新無線設(shè)備的漫游能力已經(jīng)引起各種安全性的關(guān)注���。 例如���,網(wǎng)絡運營商關(guān)注它們進行服務的設(shè)備的可靠性。在802. 16 (WiMAX)系統(tǒng)中�,X. 509設(shè)備證書被制造于無線設(shè)備中從而服務提供商 能夠更好地檢驗設(shè)備的可靠性。然而��,設(shè)備證書的當前實現(xiàn)所具有的一個問題在于����,在設(shè)備 證書中沒有提供與歸屬服務提供商或者域(realm)相關(guān)聯(lián)的信息����,因為在制造設(shè)備時�,歸 屬服務提供商是未知的�。因此,在漫游環(huán)境中�����,通常不能利用設(shè)備證書作為網(wǎng)絡進入認證憑 證�����。因此存在克服如以上所討論的��、現(xiàn)有技術(shù)具有的問題的需要���。
發(fā)明內(nèi)容
簡要地���,根據(jù)本發(fā)明,公開了用于向網(wǎng)絡提供認證信息的一種方法���、一種信息處理 系統(tǒng)����、和一種無線設(shè)備�。該方法包括確定在存儲器中駐留有至少一個認證上下文��。該認證上 下文包括用于認證無線設(shè)備的認證憑證��。分析該至少一個認證上下文以確定在該至少一個 認證上下文中是否包括與歸屬服務提供商相關(guān)聯(lián)的至少一個域標識符�。響應于確定至少一 個域標識符未被包括于該至少一個認證上下文中�,提醒用戶利用與歸屬服務提供商相關(guān)聯(lián) 的至少一個域標識符更新該至少一個認證上下文。從用戶接收與歸屬服務提供商相關(guān)聯(lián)的 至少一個域標識符�����。利用從用戶接收的該至少一個域標識符更新該至少一個認證上下文��。在另一實施例中�,公開了一種被以通信方式耦合到無線通信網(wǎng)絡以管理來自無線 設(shè)備的注冊請求的信息處理系統(tǒng)。該信息處理系統(tǒng)包括存儲器和被以通信方式耦合到存儲 器的處理器�����。無線設(shè)備管理器被以通信方式耦合到處理器和存儲器�����。該設(shè)備管理器適于接 收用于向無線通信網(wǎng)絡注冊的���、來自無線設(shè)備的注冊請求�����。該注冊請求被確定為包括至少 一個認證上下文�����。該認證上下文包括用于認證無線設(shè)備的認證憑證����。從該至少一個認證上 下文識別與歸屬服務提供商相關(guān)聯(lián)的至少一個域標識符��。響應于所述識別���,將認證請求發(fā) 射到與該至少一個域標識符相關(guān)聯(lián)的歸屬服務提供商����。該認證請求包括與歸屬服務提供商 相關(guān)聯(lián)的該至少一個域標識符����。在又一個實施例中,公開了一種無線設(shè)備�。該無線設(shè)備包括存儲器和被以通信方 式耦合到存儲器的處理器。服務管理器被以通信方式耦合到存儲器和處理器。該服務管理 器適于確定在存儲器中駐留有至少一個認證上下文��。該認證上下文包括用于認證該無線設(shè) 備的認證憑證�����。分析該至少一個認證上下文以確定在該至少一個認證上下文中是否包括與
4歸屬服務提供商相關(guān)聯(lián)的至少一個域標識符��。響應于確定至少一個域標識符未被包括于該 至少一個認證上下文中����,提醒用戶利用與歸屬服務提供商相關(guān)聯(lián)的至少一個域標識符更新 該至少一個認證上下文。從用戶接收與歸屬服務提供商相關(guān)聯(lián)的至少一個域標識符�����。利用 從用戶接收的該至少一個域標識符更新該至少一個認證上下文�。本發(fā)明的各種實施例的一個優(yōu)點在于,無線設(shè)備包括認證上下文����,該認證上下文 包括與該設(shè)備相關(guān)聯(lián)的元素例如數(shù)字證書、私有密鑰和(一個或者多個)歸屬域��。傳統(tǒng)系 統(tǒng)包括在數(shù)字證書自身內(nèi)的域��。這會引起問題,因為設(shè)備證書旨在在設(shè)備壽命內(nèi)被永久地 寫入設(shè)備的單次寫入存儲器中�����。在設(shè)備壽命期間�,用戶可以選擇將設(shè)備與一個或者多于一 個的歸屬服務提供商相關(guān)聯(lián)�����。然而�,即使通常被用于認證無線設(shè)備的數(shù)字證書也是不可更新的,本發(fā)明的各種 實施例的認證上下文則是可更新的以包括歸屬服務提供商域信息���。這允許設(shè)備通過利用已 配置的域作為網(wǎng)絡接入標識符的一部分而對于受訪網(wǎng)絡識別自身�。網(wǎng)絡接入標識符由受訪 網(wǎng)絡設(shè)施使用以將設(shè)備的請求路由到該設(shè)備要求的歸屬網(wǎng)絡�����。當無線設(shè)備向無線網(wǎng)絡注冊 時���,這允許例如在工廠或者其它制造機構(gòu)處安裝在設(shè)備內(nèi)的數(shù)字證書被用作唯一的(sole) 認證憑證�����。各種實施例還提供用于產(chǎn)生認證上下文的不同方法��。例如��,用戶能夠使用⑶I�、 空中編程或者其它類似的接口。
其中遍及各個視圖用相似的參考數(shù)字表示相同或者在功能上類似的元件����,并且附 圖與以下詳細說明一起地并入說明書中并且形成它的一個部分,用于進一步示出根據(jù)本發(fā) 明的各種實施例以及解釋根據(jù)本發(fā)明的所有各種原理和優(yōu)點��。圖1是示出根據(jù)本發(fā)明的一個實施例的無線通信系統(tǒng)的高層概觀的框圖��;圖2是示出根據(jù)本發(fā)明的一個實施例的包括在受訪網(wǎng)絡中漫游的無線設(shè)備的無 線通信系統(tǒng)的框圖���;圖3是示出根據(jù)本發(fā)明的一個實施例由受訪網(wǎng)絡利用與無線設(shè)備相關(guān)聯(lián)的認證 上下文認證無線設(shè)備的事務圖示�;圖4是示出根據(jù)本發(fā)明的一個實施例的無線通信設(shè)備的框圖���;圖5是示出根據(jù)本發(fā)明的一個實施例的信息處理系統(tǒng)的框圖��;圖6是示出根據(jù)本發(fā)明的一個實施例更新無線設(shè)備認證上下文以包括歸屬服務 提供商信息的過程的操作流程圖���;并且圖7是示出根據(jù)本發(fā)明的一個實施例經(jīng)由在與無線設(shè)備相關(guān)聯(lián)的認證上下文內(nèi) 包括的歸屬服務提供商信息來認證無線設(shè)備的過程的操作流程圖�����。
具體實施例方式根據(jù)需要�,在這里公開了本發(fā)明的具體實施例�;然而,應該理解所公開的實施例僅 僅是能夠被以各種形式體現(xiàn)的��、本發(fā)明的實例�����。因此���,在這里所公開的特殊結(jié)構(gòu)和功能細節(jié) 不應被解釋成是限制性的,而是僅僅作為用于權(quán)利要求的基礎(chǔ)和作為用于教導本域技術(shù)人 員在實際上任何適當?shù)卦敿毜慕Y(jié)構(gòu)中以各種方式采用本發(fā)明的代表性基礎(chǔ)�。此外,這里使 用的術(shù)語和短語并非旨在是限制性的�;而是提供本發(fā)明的可以理解的說明。
如在這里所使用地��,術(shù)語“一個(a) ”或者“一個(an) ”被定義為一個或者多于一 個�����。如在這里所使用地,術(shù)語“多個(plurality)”被定義為兩個或者多于兩個�。如在這里 所使用地,術(shù)語“另一個(another)”被定義為至少第二個或者更多個�����。如在這里所使用地���, 術(shù)語“包括(including) ”和/或“具有(having) ”被定義為包括(即���,開放式語言)。如在 這里所使用地���,術(shù)語“耦合(coupled) ”����,被定義為連接����,但是不一定直接地連接,而且不一定 以機械方式連接���。術(shù)語“無線設(shè)備”旨在廣泛地涵蓋能夠以無線方式接收信號并且可選地能夠以無 線方式發(fā)射信號并且還可以在無線通信系統(tǒng)中操作的�、很多不同類型的設(shè)備。例如但是并 非用于任何限制地��,無線通信設(shè)備能夠包括以下中的任何一個或其組合蜂窩電話�、移動電 話、智能手機�����、雙向無線電設(shè)備�����、雙向?qū)ず魴C�����、無線消息收發(fā)設(shè)備����、膝上型/計算機�、汽車用 網(wǎng)關(guān)、住宅網(wǎng)關(guān)����、無線接口卡和其它類似的設(shè)備����。無線通信系統(tǒng)根據(jù)本發(fā)明的一個實施例�,如在圖1中所示,示出無線通信系統(tǒng)100的一個實例�。 圖1示出包括被以通信方式耦合到一個或者多個接入網(wǎng)絡104、106��、108的一個或者多個無 線設(shè)備102的無線通信系統(tǒng)100���。接入網(wǎng)絡104���、106、108在一個實施例中能夠包括一個或 者多個電路服務網(wǎng)絡和/或數(shù)據(jù)分組網(wǎng)絡�����。在一個實施例中����,分組數(shù)據(jù)網(wǎng)絡是以比傳統(tǒng)的 電路服務網(wǎng)絡高得多的傳送速率提供數(shù)據(jù)連接的、基于IP或者SIP的連接性網(wǎng)絡�����。分組數(shù)據(jù)網(wǎng)絡能夠包括演進僅數(shù)據(jù)(Evolution Data Only, " EV-DO")網(wǎng)絡、 通用分組無線業(yè)務(“GPRS”)網(wǎng)絡��、通用移動通信系統(tǒng)(“UMTS”)網(wǎng)絡�、802. 11網(wǎng)絡、 802. 16(ffiMax)網(wǎng)絡���、以太網(wǎng)連接���、撥號調(diào)制解調(diào)器連接等。除了別的以外��,電路服務網(wǎng)絡向 無線設(shè)備102提供語音服務���。應該指出��,接入網(wǎng)絡104���、106���、108還包括另外的構(gòu)件(未示 出)例如控制器�����、輸送/互連齒輪��、網(wǎng)絡管理模塊�����、基站和本域普通技術(shù)人員應該知道的其 它構(gòu)件�����。接入網(wǎng)絡104��、106����、108的通信標準能夠包括碼分多址(“CDMA”)、時分多 址(“TDMA”)�����、全球移動通信系統(tǒng)(“GSM”)��、通用分組無線服務(“GPRS”)��、頻分多址 ("FDMA")>IEEE 802. 16標準族、正交頻分復用(“0FDM”)����、正交頻分多址(“0FDMA”)、無 線LAN( “WLAN”)����、WiMAX等。其它可應用的通信標準包括被用于公共安全通信網(wǎng)絡的那些 通信標準�����,包括陸地集群無線電(“TETRA’)����。每一個接入網(wǎng)絡104、106����、108能夠由不同的無線服務提供商擁有和操作?��?商娲?地����,接入網(wǎng)絡104�����、106��、108中的兩個或者更多接入網(wǎng)絡能夠由同一無線服務提供商擁有和 操作��。例如�����,單個無線提供商能夠擁有能夠是WiMax系統(tǒng)的接入網(wǎng)絡A 104��,并且還能夠擁 有能夠是蜂窩系統(tǒng)的接入網(wǎng)絡B 106����。而且,接入網(wǎng)絡104����、106、108中的一個或者多個能夠 是無線設(shè)備102的歸屬網(wǎng)絡并且其余的接入網(wǎng)絡能夠是受訪網(wǎng)絡����。無線通信系統(tǒng)100支持任何數(shù)目的、能夠是單模式或者多模式設(shè)備的無線設(shè)備 102。多模式設(shè)備能夠利用不同的技術(shù)經(jīng)由多個接入網(wǎng)絡通信�����。例如�����,多模式設(shè)備能夠經(jīng) 由電路服務網(wǎng)絡和分組數(shù)據(jù)通信���,所述分組數(shù)據(jù)能夠包括演進僅數(shù)據(jù)(Evolution Data 0nly���,“EV-D0”)網(wǎng)絡、通用分組無線業(yè)務(“GPRS”)網(wǎng)絡��、通用移動通信系統(tǒng)(“UMTS”) 網(wǎng)絡���、802. 11網(wǎng)絡���、802. 16 (WiMax)網(wǎng)絡等。無線通信系統(tǒng)100還包括被以通信方式耦合 到接入網(wǎng)絡104���、106����、108中的一個或者多個接入網(wǎng)絡的一個或者多個信息處理系統(tǒng)110��。(一個或者多個)信息處理系統(tǒng)110通過接入網(wǎng)絡將無線設(shè)備102以通信方式耦合到廣域 網(wǎng)112����、局域網(wǎng)114和公共交換電話網(wǎng)絡116。在一個實施例中�,無線設(shè)備102包括服務管理器118和一個或者多個認證上下文 120。認證上下文120包括認證元素例如(但是不限于)數(shù)字證書121 (例如�,X. 509設(shè)備 證書)、相關(guān)聯(lián)的私有密鑰123和域125���。這些元素121���、123、125由受訪網(wǎng)絡使用以認證無 線設(shè)備102���。在一個實施例中����,數(shù)字證書能夠是由證書授權(quán)機構(gòu)授權(quán)的任何標準數(shù)字證書��。 數(shù)字證書的元素包括設(shè)備的“用戶”身份,即IEEE指配的�、設(shè)備102的MAC地址。認證上下文120允許網(wǎng)絡檢驗無線設(shè)備102的身份�。例如,在WiMax系統(tǒng)中���,能夠 在無線設(shè)備102內(nèi)包括X. 509數(shù)字證書�。如以上所討論的那樣�,與無線設(shè)備相關(guān)聯(lián)的數(shù)字 證書,并且特別地X. 509證書�,并不包括與無線設(shè)備102的歸屬服務提供商或者域相關(guān)聯(lián)的 信息。這會引起問題���,因為當無線設(shè)備102在它的歸屬域外漫游時����,該證書不能被用作認證 憑證���。因此�,無線設(shè)備102包括利用與無線設(shè)備102相關(guān)聯(lián)的歸屬域或者服務提供商 信息125更新認證上下文120的服務管理器118�。例如,如果無線設(shè)備102的歸屬域是 carrierA. com���,則認證上下文120能夠被更新以識別carrierA. com是無線設(shè)備102的歸屬 域���。這是有利的��,因為受訪網(wǎng)絡能夠經(jīng)由認證上下文120識別無線設(shè)備102的歸屬域以認 證無線設(shè)備102����。能夠使用各種方法來利用無線設(shè)備102的歸屬域信息125更新認證上下文120�。在 一個實施例中�,服務管理器118包括允許用戶利用他的/她的服務提供商/域信息125更新 認證上下文120的上下文編程GUI122。在該實施例中��,用戶能夠?qū)w屬服務提供商/域信 息125直接地輸入設(shè)備102中��。例如��,用戶能夠更新認證上下文120以包括00112233AABB0 carrierA. com的網(wǎng)絡接入標識符(“ΝΑΙ”)����。在另一實施例中,服務管理器118還包括用于 更新認證上下文120的空中(“0ΤΑ”)編程接口 124����。根據(jù)第三實施例����,設(shè)備102提醒用戶 經(jīng)由用戶接口從呈現(xiàn)給用戶的一個或者多個選項中選擇域標識符信息�����。該一個或者多個選 項例如能夠被表示成已經(jīng)在設(shè)備102中預先配置的域標識符選項的列表���。以此方式��,用戶 能夠簡單地從預先配置的域標識符的列表中選擇一個選項而無需用戶在選擇時輸入大量 數(shù)據(jù)�����。根據(jù)第四實施例��,無線設(shè)備102能夠利用空中接口機制����,例如稱為網(wǎng)絡發(fā)現(xiàn)和選擇的 802. 16空中接口協(xié)議�����,這里�����,根據(jù)本發(fā)明,將一組可用網(wǎng)絡服務提供商和它們的域作為空中 數(shù)據(jù)向無線設(shè)備廣播��。無線設(shè)備102將接收包括用于一個或者多個可用網(wǎng)絡服務提供商的 域標識符信息的廣播數(shù)據(jù)����。利用已接收的數(shù)據(jù),無線設(shè)備102將在它的存儲器中配置設(shè)備 102當前可用的域標識符選項的列表�����。以此方式�����,用戶能夠從在無線設(shè)備102中擇時(from time to time)配置的�����、預先配置的域標識符的列表中簡單地選擇一個選項����,作為用于無線 設(shè)備102的�����、最當前的域選項。用戶然后能夠從預先配置的域標識符選項的列表中選擇用 于設(shè)備102的域而無需用戶輸入大量數(shù)據(jù)����。本發(fā)明的各種實施例的一個優(yōu)點在于,能夠無需預先配置用于與特定服務提供商 一起使用的設(shè)備102的情況下將無線設(shè)備102售予用戶���。例如���,用戶能夠在零售店處購買無 線設(shè)備102。在購買時��,無線設(shè)備102不與任何服務提供商相關(guān)聯(lián)�����,從而允許設(shè)備與任何服 務提供商一起工作�。當無線設(shè)備102被首次開啟時,用戶能夠更新在設(shè)備102內(nèi)的認證上 下文120以包括識別用戶的選項的歸屬服務提供商的信息125��。能夠經(jīng)由上下文編程GUI
7122�、OTA編程接口 124或者其它類似的接口執(zhí)行更新。另一優(yōu)點在于,用戶能夠?qū)⒎諅?送到另一服務提供商或者將他的設(shè)備給予/售予另一用戶���。如果用戶傳送服務提供商或者 出售他的/她的設(shè)備��,則認證上下文120能夠被容易地更新以包括新的服務提供商的新的 域�。利用數(shù)字證書的漫游認證圖2是示出認證在受訪網(wǎng)絡206中漫游的無線設(shè)備202的一個實例的框圖���。圖2 示出經(jīng)由WAN 212而被以通信方式相互耦合的多個網(wǎng)絡204�、206���。在一個實例中���,網(wǎng)絡204、 206向設(shè)備提供WiMax服務并且利用擴展認證協(xié)議(“ΕΑΡ”)��。歸屬網(wǎng)絡204和受訪網(wǎng)絡 206的每一個均經(jīng)由基于SIP的系統(tǒng)238以通信方式相互耦合�����,基于SIP的系統(tǒng)238包括網(wǎng) 關(guān)230�、232�����、DNS服務器234、236和其它構(gòu)件�����。在圖2的實例中��,無線設(shè)備202已經(jīng)漫游到受訪網(wǎng)絡206中�����。在另一實施例中�,用 戶能夠在游歷(traveling)并且購買無線設(shè)備202。然而�����,在此處購買設(shè)備202的區(qū)域可能 僅僅提供服務提供商A網(wǎng)絡并且用戶的歸屬服務是服務提供商B�。因此,無線設(shè)備202是在 受訪網(wǎng)絡206內(nèi)的�����。如以上所討論的那樣���,無線設(shè)備202包括一個或者多個認證上下文220����,認證上下 文220包括用于由用戶編程的一個或者多個歸屬域的信息225。無線設(shè)備202能夠是能夠 經(jīng)由多個服務提供商網(wǎng)絡通信的多模式無線設(shè)備202�。因此,認證上下文220能夠包括用于 多于一個的歸屬服務域的信息225�����。當無線設(shè)備202向受訪網(wǎng)絡206注冊時����,受訪網(wǎng)絡206 的授權(quán)、認證和記賬(“AAA”)服務器226接收無線設(shè)備202的認證證書220連同域信息 225�����。在AAA服務器226內(nèi)的設(shè)備管理器228分析認證上下文220以識別無線設(shè)備202 的歸屬域�����。例如����,受訪AAA服務器226讀取NAI00112233AABB@carrierA. com以將carrierA. com識別為無線設(shè)備202的歸屬域。一旦受訪AAA服務器228識別了設(shè)備202的歸屬域�����,它 便將認證上下文220發(fā)射到歸屬AAA服務器240����。歸屬AAA服務器240接收來自受訪網(wǎng)絡 206的認證請求并且分析認證上下文220以認證設(shè)備202。如以上所討論的那樣�,數(shù)字證書 221僅僅包括設(shè)備的身份(例如,00112233AABB)而不包括域����。因此,在一個實施例中�����,設(shè)備 202使用在數(shù)字證書內(nèi)的名稱與域組合(例如00112233AABB@carrierA. com)在NAI中添加 域(例如�,carrier, com)。例如����,在歸屬AAA服務器240內(nèi)的設(shè)備管理器242檢驗在認證上下文220的數(shù)字 證書元素221內(nèi)聲稱的(claimed)身份例如00112233ABB以認證無線設(shè)備202。歸屬AAA 服務器240然后能夠關(guān)于設(shè)備202的可靠性向受訪AAA服務器226發(fā)回響應�����。可替代地�, 在任一網(wǎng)絡204,206處的服務器(例如,AAA服務器226,240,網(wǎng)關(guān)230�����、232�����,和其它構(gòu)件) 也能夠包括無線設(shè)備202能夠用來認證服務器的認證上下文�。如能夠看到地,更新無線設(shè) 備202內(nèi)的認證上下文220允許上下文220被用作唯一的網(wǎng)絡進入認證憑證�����。示出在歸屬和受訪網(wǎng)絡之間的EAP-TLS事務的時序圖示圖3是示出利用在設(shè)備202的認證上下文220內(nèi)的域信息225的�����、在歸屬網(wǎng)絡204 和受訪網(wǎng)絡206之間的EAP-TLS(傳輸層安全)事務的時序圖示�����。圖3示出用于在受訪網(wǎng) 絡206中漫游的無線設(shè)備202的認證過程的一個實例�。應該注意,雖然圖3示出使用EAP 的實例����,但是本發(fā)明不限于利用EAP的網(wǎng)絡。在時間T�����。�����,網(wǎng)絡發(fā)現(xiàn)和選擇(“ND&S”)和測距在無線設(shè)備202和接入服務節(jié)點(“ASN”)之間發(fā)生�。ASN網(wǎng)關(guān)典型地駐留于運營商的 駐地(premise)處并且連接到多個WiMAX基站。ASN網(wǎng)關(guān)具有與處理移動性交換管理的3G 基站控制器類似的功能性�����,不同的資源管理水平并且為去往核心服務網(wǎng)絡(“CSN”)的認證 和網(wǎng)絡移動性消息用作代理�。在時間T1,在ASN和無線設(shè)備202之間根據(jù)(per)訂戶站基本能力交換(“SBC”) 協(xié)商單個ΕΑΡ����。在時間T2��,ASN以ΡΚΜν2 (私有密鑰管理版本2) EAP傳送的形式發(fā)射身份請 求����。在時間T3�,無線設(shè)備202通過以PKMv2EAP傳送的形式發(fā)送身份響應而作出響應。在一 個實施例中�����,身份響應能夠包括在認證上下文220的數(shù)字證書元素221內(nèi)包括的名稱(媒 體接入控制(“MAC”)信息)和域信息225 ( “carrier, com”信息)����。例如,身份響應能夠 包括具有以下格式“MACOcarrier. com”的信息�����。ASN從無線設(shè)備202接收身份響應并且在時間T4向受訪網(wǎng)絡206的AAA服務器 226發(fā)送RADIUS接入請求���。應該指出��,本發(fā)明不限于RADIUS����,還能夠使用其它認證、授權(quán)和 記賬協(xié)議例如DIAMETER���。受訪AAA服務器226使用在認證上下文220內(nèi)的運營商信息以識 別無線設(shè)備202的歸屬域。在時間T5�,受訪AAA服務器226向無線設(shè)備202的歸屬AAA服 務器240轉(zhuǎn)發(fā)包括設(shè)備102的MACOcarrier. com信息的RADIUS接入請求。在時間T6����,歸屬AAA服務器240向受訪AAA服務器226發(fā)回RADIUS接入-挑戰(zhàn) EAP-開始(EAP-TLS)消息。在時間T7�����,受訪AAA服務器226向ASN轉(zhuǎn)發(fā)RADIUS接入-挑 戰(zhàn)EAP-開始(EAP-TLS)消息����。在時間T8,ASN向無線設(shè)備202發(fā)送PKMv2EAP傳送(ΕΑΡ-開 始(EAP-TLS))消息�����。這個過程的結(jié)果使得無線設(shè)備202和歸屬AAA服務器240中的每一 個均能夠相互認證和檢驗��。歸屬AAA服務器226現(xiàn)在“了解”受訪網(wǎng)絡206中的無線設(shè)備 202的身份��。在時間T9歸屬AAA服務器240向受訪AAA服務器226發(fā)送RADIUS接入-接受 (ΕΑΡ-成功、MSK等)消息以通知它無線設(shè)備202已經(jīng)得到檢驗和認證���。在時間Tltl�,受訪AAA 服務器226��,然后向ASN轉(zhuǎn)發(fā)RADIUS接入-接受(ΕΑΡ-成功����、MSK等)消息。在時間T11, ASN向無線設(shè)備202發(fā)送ΡΚΜν2ΕΑΡ傳送(ΕΑΡ-成功)��,以通知無線設(shè)備202歸屬AAA服務 器240已經(jīng)對其進行了檢驗和認證�。可替代地�,如果無線設(shè)備202對于歸屬AAA服務器240 而言是未知的并且不能得到檢驗/認證,則歸屬AAA服務器240向受訪AAA服務器226發(fā)送 RADIUS接入-拒絕(ΕΑΡ-失敗)消息�����。受訪AAA服務器226向ASN轉(zhuǎn)發(fā)RADIUS接入-拒 絕(ΕΑΡ-失敗)消息���,該消息通知無線設(shè)備202它未被認證����。無線設(shè)備圖4是示出根據(jù)本發(fā)明的一個實施例的無線設(shè)備102的詳細視圖的框圖。假設(shè)讀 者熟悉無線通信設(shè)備����。為了簡化本說明,僅僅討論了無線通信設(shè)備的�、與本發(fā)明有關(guān)的那個 部分。無線設(shè)備102在控制無線通信信號的發(fā)送和接收的設(shè)備控制器/處理器402的控制 下操作��。在接收模式中�����,設(shè)備控制器402通過發(fā)射/接收開關(guān)406將天線404電耦合到接 收機408�。接收機408解碼所接收的信號并且向設(shè)備控制器402提供那些已被解碼的信號�。在發(fā)射模式中,設(shè)備控制器402通過發(fā)射/接收開關(guān)406將天線404電耦合到發(fā)射 機410��。應該指出��,在一個實施例中�,接收機408和發(fā)射機410是用于經(jīng)由提供不同的空中 接口類型的各種接入網(wǎng)絡接收/發(fā)射的雙模式接收機和雙模式發(fā)射機。在另一實施例中�, 為每一種類型的空中接口使用一分別的接收機和發(fā)射機。
設(shè)備控制器402根據(jù)在存儲器412中存儲的指令操作發(fā)射機和接收機。這些指令 包括例如相鄰蜂窩測量調(diào)度算法��。在一個實施例中�����,存儲器412還包括服務管理器118和 (一個或者多個)認證上下文120���。以上已經(jīng)更加詳細地討論了這些構(gòu)件����。無線設(shè)備102還包括用于存儲例如等待在無線設(shè)備102上執(zhí)行的應用程序(未 示出)的非易失存儲存儲器414��。在該實例中����,無線設(shè)備102還包括允許無線設(shè)備102與 另一無線設(shè)備直接地通信而不使用無線網(wǎng)絡的、可選的本地無線鏈路416�����。例如����,利用藍牙 (Bluetooth)�、紅外數(shù)據(jù)接入(IrDA)技術(shù)等提供該可選的本地無線鏈路416���。信息處理系統(tǒng)圖5是示出信息處理系統(tǒng)510例如網(wǎng)關(guān)110����、AAA服務器228��、240等的更加詳細的 視圖的框圖���。信息處理系統(tǒng)510是基于適于實現(xiàn)本發(fā)明實施例的��、被適當?shù)嘏渲玫奶幚硐?統(tǒng)的。例如�����,可以使用個人計算機����、工作站等。信息處理系統(tǒng)510包括計算機502�。計算機 502具有被連接到主存儲器506的處理器504、大容量貯存器接口 508����、人機接口 520和網(wǎng)絡 適配器硬件512�。系統(tǒng)總線514將這些系統(tǒng)構(gòu)件相互連接��。主存儲器506至少包括以上已經(jīng)更加詳細地討論的無線設(shè)備管理器228�。雖然示 出成同時地駐留于主存儲器506中,但是顯然主存儲器506的各個構(gòu)件不需要總是或者甚 至同時地完全駐留于主存儲器506中��。能夠?qū)⑦@些構(gòu)件中的一個或者多個構(gòu)件實現(xiàn)為硬 件���。數(shù)據(jù)存儲設(shè)備516能夠在硬驅(qū)或者介質(zhì)例如CD 518上存儲數(shù)據(jù)��。雖然僅僅為計 算機502示出了一個CPU 504���,但是能夠同等有效地使用帶有多個CPU的計算機系統(tǒng)。本發(fā) 明的一些實施例進一步結(jié)合每一個均包括被用于從CPU 504卸載處理的�、分離的被充分編 程的微處理器的接口。人機接口 520允許技術(shù)員和/或管理員直接地連接到信息處理系統(tǒng) 510����。在主存儲器中包括的操作系統(tǒng)(未示出)是適當?shù)亩嗳蝿詹僮飨到y(tǒng)例如Linux、 UNIX����、Windows XP和Windows Server�。本發(fā)明的實施例能夠使用任何其它適當?shù)牟僮飨?統(tǒng)���。本發(fā)明的一些實施例利用體系結(jié)構(gòu)��,例如面向?qū)ο蟮臉?gòu)架機制�����,來在位于信息處理系統(tǒng) 510內(nèi)的任何處理器上執(zhí)行操作系統(tǒng)(未示出)的構(gòu)件的指令���。網(wǎng)絡適配器硬件512被用于向接入網(wǎng)絡104、106��、108和其它網(wǎng)絡提供接口���。本發(fā) 明的實施例能夠適于利用任何數(shù)據(jù)通信連接來工作,所述任何數(shù)據(jù)通信連接包括當今的模 擬和/或數(shù)字技術(shù)或者經(jīng)由未來的聯(lián)網(wǎng)機制�����。雖然在完全功能的計算機系統(tǒng)的情況下描述 了本發(fā)明的實施例�����,但是本域普通技術(shù)人員可以理解,能夠經(jīng)由軟盤例如CD/DVD518或者 其它形式的可記錄介質(zhì)或者經(jīng)由任何類型的電子傳輸機制而將該實施例分發(fā)作為程序產(chǎn)品��。
利用歸屬服務提供商信息更新認證上下文的過程圖6是示出利用無線設(shè)備102的歸屬服務提供商/域信息125更新無線設(shè)備102 的認證上下文的過程的操作流程圖��。圖6的操作流程圖在步驟602開始并且直接地流至步 驟604����。在步驟604,無線設(shè)備102被啟動���。例如�,無線設(shè)備102由用戶首次地或者在任何 其它隨后的時間開啟�����。在步驟606���,服務管理器118確定在設(shè)備102內(nèi)的認證上下文120是 否包括歸屬服務提供商域信息125�。如果這個確定的結(jié)果是肯定的��,則控制流在步驟608退 出�����。如果這個確定的結(jié)果是否定的,則在步驟610提醒用戶利用歸屬域信息125更新認證上下文120�。在步驟612,無線設(shè)備102從用戶接收歸屬域信息125��。例如�����,用戶能夠經(jīng)由GUI 122或者OTA接口 124將域信息125編程到認證上下文120中���。在另一實施例中���,并不需要 提醒用戶更新認證上下文120,而是能夠在任何時間更新認證上下文120���。在步驟614�����,服務 管理器118利用歸屬域信息125更新認證上下文120?�?刂屏髟诓襟E616退出��。使用在漫游設(shè)備的數(shù)字證書內(nèi)的歸屬域信息認證該漫游設(shè)備的過程圖7是示出經(jīng)由在與無線設(shè)備202相關(guān)聯(lián)的認證上下文220中包括的歸屬域信息 225認證漫游無線設(shè)備202的過程的一個實例的操作流程圖。圖7的操作流程圖在步驟702 開始并且直接地流至步驟704�����。信息處理系統(tǒng)例如受訪歸屬AAA服務器226�����,在步驟704����,從 包括認證上下文220的無線設(shè)備102接收注冊請求。受訪AAA服務器226在步驟706分析 認證上下文220以識別無線設(shè)備202的歸屬服務提供商域���。受訪AAA服務器226在步驟708確定在認證上下文220內(nèi)是否包括歸屬服務提供 商/域信息225����。如果這個確定的結(jié)果是否定的����,則受訪AAA服務器226在步驟718通知 無線設(shè)備202它未被歸屬服務提供商認證。受訪AAA服務器226在步驟720拒絕無線設(shè)備 102接入該受訪網(wǎng)絡��。如果在步驟708的確定結(jié)果是肯定的,則受訪AAA服務器226在步驟714向包括 認證上下文220的歸屬服務提供商發(fā)送認證請求����,該認證上下文包括域信息125。受訪AAA 服務器226在步驟716確定歸屬服務提供商是否已經(jīng)認證無線設(shè)備202��。如果這個確定的 結(jié)果是否定的�,則受訪AAA服務器226在步驟718通知無線設(shè)備202它未被歸屬服務提供 商認證。受訪AAA服務器226在步驟720拒絕無線設(shè)備102接入該受訪網(wǎng)絡��。如果確定的 結(jié)果是肯定的�,則受訪AAA服務器226在步驟722允許無線設(shè)備202向受訪網(wǎng)絡206注冊。 控制流然后在步驟724退出��。非限制實例雖然已經(jīng)公開了本發(fā)明的特殊實施例����,但是本域普通技術(shù)人員將會理解,在不偏 離本發(fā)明的精神和范圍的前提下�����,能夠?qū)τ谔厥鈱嵤├鞒龈淖?��。因此�����,本發(fā)明的范圍將不 受特殊實施例的限制�,并且所附權(quán)利要求旨在涵蓋在本發(fā)明的范圍內(nèi)的���、任何的和全部的 這種應用�、修改和實施例��。
權(quán)利要求
一種用于利用無線設(shè)備向網(wǎng)絡提供認證信息的方法���,所述方法包括確定在存儲器中駐留有至少一個認證上下文���,其中所述認證上下文包括用于認證所述無線設(shè)備的認證憑證;分析所述至少一個認證上下文����,以確定在所述至少一個認證上下文中是否包括與歸屬服務提供商相關(guān)聯(lián)的至少一個域標識符;響應于確定至少一個域標識符未被包括于所述至少一個認證上下文中���,提醒用戶利用與歸屬服務提供商相關(guān)聯(lián)的至少一個域標識符更新所述至少一個認證上下文����;從用戶接收以下各項中的至少一個與歸屬服務提供商相關(guān)聯(lián)的至少一個域標識符的用戶選擇,和識別與歸屬服務提供商相關(guān)聯(lián)的至少一個域標識符的用戶數(shù)據(jù)條目�;和響應于所述接收,利用從所述用戶接收的所述至少一個域標識符更新所述至少一個認證上下文����。
2.根據(jù)權(quán)利要求1的方法,進一步包括 檢測無線通信網(wǎng)絡���;和發(fā)送包括所述至少一個認證上下文的注冊請求�,所述至少一個認證上下文包括所述至 少一個域標識符��,其中所述至少一個認證上下文被所述無線通信網(wǎng)絡用作認證憑證����。
3.根據(jù)權(quán)利要求1的方法,其中所述接收進一步包括經(jīng)由圖形用戶接口從所述用戶接收與歸屬服務提供商相關(guān)聯(lián)的所述至少一個域標識符�。
4.根據(jù)權(quán)利要求1的方法,其中所述接收進一步包括接收空中更新��,所述空中更新包括與歸屬服務提供商相關(guān)聯(lián)的所述至少一個域標識符���。
5.一種信息處理系統(tǒng)���,所述信息處理系統(tǒng)以通信方式耦合到無線通信網(wǎng)絡以管理來自 無線設(shè)備的注冊請求�,所述信息處理系統(tǒng)包括存儲器��;被以通信方式耦合到所述存儲器的處理器���;被以通信方式耦合到所述處理器和所述存儲器的無線設(shè)備管理器,其中所述無線設(shè)備 管理器適于從無線設(shè)備接收用于向無線通信網(wǎng)絡注冊的注冊請求��;確定所述注冊請求包括至少一個認證上下文�����,其中所述認證上下文包括用于認證所述 無線設(shè)備的認證憑證�;從所述至少一個認證上下文識別與歸屬服務提供商相關(guān)聯(lián)的至少一個域標識符;和 響應于識別出所述至少一個域標識符�,將認證請求發(fā)射到與所述至少域標識符相關(guān)聯(lián) 的歸屬服務提供商,其中所述認證請求包括所述至少一個域標識符�����。
6.根據(jù)權(quán)利要求5的信息處理系統(tǒng)���,其中所述無線設(shè)備管理器進一步適于 響應于發(fā)射了所述認證請求���,從所述歸屬服務提供商接收認證信息�����;響應于已經(jīng)接收了所述認證信息�,確定所述無線設(shè)備是否已被所述歸屬服務提供商域 認證�����;響應于所述無線設(shè)備已被所述歸屬服務提供商認證�,授權(quán)所述無線設(shè)備接入所述無線通信網(wǎng)絡;和響應于所述無線設(shè)備未能被所述歸屬服務提供商認證��,拒絕所述無線設(shè)備接入所述無 線通信網(wǎng)絡�。
7.一種無線設(shè)備,包括 存儲器����;處理器;和被以通信方式耦合到所述存儲器和所述處理器的服務管理器��,其中所述服務管理器適于確定在存儲器中駐留有至少一個認證上下文�,其中所述認證上下文包括用于認證所述 無線設(shè)備的認證憑證;分析所述至少一個認證上下文�����,以確定在所述至少一個認證上下文中是否包括與歸屬 服務提供商相關(guān)聯(lián)的至少一個域標識符;響應于確定至少一個域標識符未被包括于所述至少一個認證上下文中��,提醒用戶利用 與歸屬服務提供商相關(guān)聯(lián)的至少域標識符來更新所述至少一個認證上下文�; 從用戶接收至少一個域標識符;和響應于接收了所述至少一個域標識符�����,利用從用戶接收的所述至少域標識符來更新所 述至少一個認證上下文��。
8.根據(jù)權(quán)利要求7的無線設(shè)備��,其中所述服務管理器進一步適于 檢測無線通信網(wǎng)絡���;和發(fā)送包括所述至少一個認證上下文的注冊請求,所述認證上下文包括所述至少一個域 標識符�,其中所述至少一個認證上下文被所述無線通信網(wǎng)絡用作認證憑證。
9.根據(jù)權(quán)利要求7的無線設(shè)備�����,其中所述服務管理器進一步適于以如下方式進行接收經(jīng)由圖形用戶接口從所述用戶接收與歸屬服務提供商相關(guān)聯(lián)的所述至少一個域標識 符�;和接收空中更新,所述空中更新包括與歸屬服務提供商相關(guān)聯(lián)的所述至少一個域標識符����。
10.根據(jù)權(quán)利要求7的無線設(shè)備����,其中所述服務管理器進一步適于以如下方式進行更新利用多個歸屬服務提供商域標識符更新所述認證上下文���。
全文摘要
一種方法�����、信息處理系統(tǒng)和無線設(shè)備向網(wǎng)絡提供認證信息�����。該方法包括確定在存儲器(412)中駐留有至少一個認證上下文(120)����。分析該至少一個認證上下文(120)以確定在該至少一個認證上下文(120)中是否包括與歸屬服務提供商相關(guān)聯(lián)的至少一個域標識符�。響應于確定至少一個域標識符未被包括于該至少一個認證上下文(120)中,提醒用戶利用與歸屬服務提供商相關(guān)聯(lián)的至少一個域標識符更新該至少一個認證上下文(120)�。從用戶接收(612)與歸屬服務提供商相關(guān)聯(lián)的至少一個域標識符。利用從用戶接收的該至少一個域標識符更新該至少一個認證上下文(120)����。
文檔編號H04W12/06GK101919278SQ200880123342
公開日2010年12月15日 申請日期2008年12月11日 優(yōu)先權(quán)日2007年12月28日
發(fā)明者史蒂文·D·厄普 申請人:摩托羅拉公司