专利名称:用于在无线局域网接入的基于sim的鉴权和加密的系统、设备和方法
技术领域:
一般地,本发明涉及在无线局域网环境中的鉴权和加密机制。更具体地,本发明关于针对基于SIM的鉴权和第2层加密机制的设备、系统和方法,用于保护来自上层终端设备的通信路径。
背景技术:
在1999年,IEEE公布了速率为11Mbps的用于无线局域网接入的802.11b规范。该标准得到工业界的广泛支持并在企业公司和例如机场、饭店、咖啡馆等的公共接入集中的地区具有巨大的安装基础。
802.11b标准在一定程度上提出了鉴权、接入控制机制和机密性,但是仅限于无线路径。在此方面,该标准中定义了两种鉴权方法,即“开放系统”和“共享密钥”。
当使用开放系统时,终端设备(TE)中的WLAN卡宣布其希望与WLAN接入点(下文中缩写为AP)进行关联。不进行鉴权,只是应用一些基本的接入控制机制,例如媒体接入控制(MAC)滤波器和服务设置标识符(SSID)。
设置这些MAC滤波器以进行工作,以便只允许其MAC地址属于例如接入控制列表的由AP保存的列表的WLAN卡与AP进行关联。这种接入控制机制具有有限的效用,由于要关联的实体的身份实际上不属于用户,而是属于设备自身。如果终端或卡被盗,则没有基于用户的鉴权以防止使用被盗的设备接入到资源。此外,由于WLAN卡的MAC地址总是在WLAN帧的头标出现,所以MAC地址欺骗是一种微不足道的攻击。这是特别有关系的,因为市场上的大多数WLAN卡仅通过软件手段就能改变其MAC地址。
另一个接入控制机制是前述的服务设置标识符(SSID),其为文字数字码,用来识别终端设备(TE)要关联的WLAN的情况。给定的AP仅允许提供了正确的SSID的WLAN卡进行关联。然而,由于通常由AP对此标识符进行广播,甚至没有改变由销售商设置的默认值时,该接入控制机制就因为会出现许多众所周知的攻击而再次无用了。
上述的第二个鉴权方法是所谓的共享密钥。将此过程嵌入在由有线对等秘密(WEP)标准提供的基本机密机制中,所述标准是基于RC4的对称加密算法。如此通过利用应答响应机制来执行鉴权,在该机制中,作为两方的WLAN卡和AP显示出拥有相同的密钥。然而,将该密钥安装并存储在终端设备(TE)中,因此其遭遇到与讨论MAC滤波器时所描述的同样的缺点。
此外,近年来发表的大量论文示出了机密机制本身的基础缺陷,即,WEP标准的缺陷。由于在WEP帧中以明文发送算法的初始化矢量,这些缺陷首先是静态WEP标准密钥的使用,其使得攻击者发现密钥本身。例如,仅查看通信量的WLAN卡的许多被动攻击也可以推导出密钥。
开始时,似乎仅利用更好的密钥管理来更新密钥并增加其长度,例如从40位到128位,算法能够更安全或至少足够安全到获得可接受的安全性。但是,越来越多的近来的报告已经证实这样的算法设计不能提供可接受的安全水准。
现在,工业界和代表性讨论会作出了努力来解决目前应用标准中的缺陷。当前IEEE正在定义新标准来改善现有的802.11b标准的鉴权机制,将该结果公布为所谓的802.1x标准“基于端口的网络接入控制”,但是该工作尚未完成。此外,该方法只考虑到鉴权,因此仍需要合适的机密算法。在此方面,当前趋势提出基于所谓的高级加密系统(AES)协议的协议可以取代WEP。然而,正如802.1x中提出的基于端口的鉴权机制,其对TE操作系统和在AP的应用软件中具有显著的影响,这是由于802.1x只是寻求基于WEP的鉴权机制的替代品和WEP本身。
简而言之,由于将不得不取代或至少升级给定WLAN的所有AP,则将仍具有上述缺陷的新标准802.1x的大量采用将引起在WLAN设备上新的投资。此外,稍微显而易见的是,任何WLAN机密机制只提供对无线路径的保护,即在WLAN卡和AP之间路径的保护。然而,根本没有加密AP之外的相应以太网业务。
因此,此阶段本发明的重要目的是提供设备和方法,用于允许WLAN用户的有效的鉴权机制以及贯穿从所述用户的终端设备开始的整个通信路径的完全加密机制。
简而言之,正如以上广泛所述,当将WLAN卡的物理MAC地址用于鉴权TE时,当前的WLAN应用标准,即802.11中的鉴权不存在,或鉴权基于设备。从适于维护可接受的安全性的不同小区中没有发现通过例如以其不稳定而知名的WLAN中的WEP协议获得的加密,对于大量特定配置而言这显然是无法实现的。
作为对比,例如GSM,GPRS,或UMTS的传统或新的公共陆地移动网络中的鉴权是利用SIM卡和一套证明安全的协议和称为“鉴权和密钥许可协议”(以下简称为AKA)的算法来实现的。由于针对个人应用而设计SIM并且通过PIN对其进行保护,因此所谓的基于SIM的鉴权是基于用户的。
现在,移动运营商想要通过宽带接入扩展其在接入网络中的供应商品,并且主要由于在WLAN中未许可的频谱带的使用,WLAN技术使直到11Mbps的访问速率成为可能,同时保持极低的使用成本。移动运营商能够通过安装其自身的WLAN或通过签署同意现有的WLAN运营商来实现,但是无论怎样,安全性的要求至少应该和在移动接入运营商的核心网络的环境下一样强。
为了实现该目的,WLAN运营商必须提供暗示拥有SIM卡的鉴权和加密机制。必须由移动运经营商来发行该SIM卡并且该SIM是与用于移动接入的相同的SIM,或是只为WLAN接入的目的而发行的SIM。
由第三方经营的传统WLAN也可具有其自身的本地用户,并且针对所述本地而进行的鉴权完全由WLAN的运营商负责。例如,本地用户的鉴权可能只是根据用户身份加上密码,或甚至根本没有安全性。但是,对于那些移动运营商的订购用户,通过所述的WLAN的鉴权和其它安全性问题应当与其在移动运营商的网络中问题是相同的。另一方面,只通过移动运营商使用和运营的WLAN应该拒绝接入不属于该移动运营商的用户,并且应该只执行基于SIM卡的鉴权机制。
然而,任何试图在WLAN中引入新的和更安全的用于鉴权和加密的机制都必须针对在当前的WLAN方案中产生尽可能少的影响。
标题为“Arranging Data Ciphering in a Wireless TelecommunicationSystem”的美国专利申请公开2002/0009199中描述了相当令人感兴趣的尝试,以解决上述问题。基于该申请的教导也介绍了一种基于SIM的鉴权方案。
然而,基于SIM的鉴权方案用于导出密钥,用作802.11本地WEP算法的密钥,用于TE和AP之间的通信加密。在现有WEP容量上该申请引入的主要优点是增加了每段时间更新一次密码的新机制。此外,该申请基本是现在的WEP标准的修改版,并没有解决上述的原始WEP版的基本问题。
然而,工业上的不同部门已经估计到公知的WEP攻击能在少于两个小时内猜到WEP密码。显然,与原始WEP版相同,如果WEP密码是静态的并且从来不更新,那么问题会非常重大。结果,利用美国2002/0009199中介绍的方法,将问题限定在给定的会话持续时间的界限内,而且,如果会话延长超过几个小时,就会产生前述的问题。对于那些在当前公共陆地移动网络发现的网络,提供同样的安全水平显然是不够的。
在此方面,本发明的目的是为实现更高的安全水平,允许运营商选择能够更好满足其安全需求的加密算法。注意,在安全水平和性能之间通常存在平衡。因此,以下可以是本发明所考虑的其它目的例如具有128、168和256位等长度的支持密钥的附加特征;以及支持例如AES等最新的最安全的算法,和密钥旋转过程。
此外,根据上述申请美国2002/0009199,由于WEP只适用于无线路径,加密路径是从移动终端到AP。在此方面,支持在AP以外建立的加密路径以及还覆盖WLAN的有线部分是本发明的另一个目的。
此外,美国2002/0009199教导在运行鉴权处理之前完成IP地址的分配,因此,恶意用户可能会发起一整套公知的攻击。然而,如果用户在有效地进行鉴权之前没有办法得到IP连接,将很大程度地减小风险。因此,本发明的另一个目的是提供一种鉴权机制,在IP连接到所述用户之前用于对用户执行鉴权。
总之,本发明一个重要的目的是提供一种系统、设备和方法,用于允许有效的基于SIM的用户鉴权和为订购了公共陆地移动网络的WLAN用户建立起始于TE的完全加密路径。另一个具体的重要目的是可以在IP连接到所述用户之前执行基于SIM的用户鉴权。
本发明的另一个目的是支持可变长度的密钥、在运营商选择下使用安全算法和提供密钥旋转过程。
本发明的另一个目的是在最小影响传统WLAN的环境下实现之前的目的。
发明内容
利用一种方法来实现本发明的目的,通过数据链路层(layer-2)鉴权机制,对作为公共陆地移动网络的订户的无线局域网用户进行基于SIM的鉴权。该方法重要的方面在于当鉴权处理成功完成时,只将IP连接提供给用户。
因此,利用一种方法来实现本发明的目的,其中,无线终端发现可接入的接入点并请求与无线局域网进行关联,而接入点接受了该请求。然后,无线终端开始寻找插入在接入点和公共陆地移动网络之间的接入控制器。
然后,无线终端在点对点层2协议上立即将用户标识符发送到接入控制器,所述控制器将在点对点层2协议上接收的用户标识符向上移动到应用层处的鉴权协议。
接下来,接入控制器将用户标识符发送到公共陆地移动网络处的鉴权网关,以发起鉴权过程。
首先,开始鉴权处理,接入控制器接收通过鉴权网关来自公共陆地移动网络的鉴权询问;并在应用层处将在相同协议上接收的鉴权询问向下移动在点对点层2协议上。为了得到鉴权响应,由接入控制器将鉴权询问发送给无线终端。
然后,无线终端可以在点对点层2协议上立即将鉴权响应发送给接入控制器,接入控制器将在点对点层2协议上接收的鉴权响应向上移动到应用层处的鉴权协议。从接入控制器将鉴权响应发送到鉴权网关,所述接入控制器通过鉴权网关接收来自公共陆地移动网络的加密密钥。
接下来,为了利用无线终端进一步加密通信路径,接入控制器提取在应用层处的协议上接收的加密密钥;以及接入控制器将分配的IP地址和其它网络配置参数发送到无线终端。
这种设置的优点在于,与无线电通信网络使用的相类似,在整个通信路径中,移动终端添加了安全的鉴权机制,这意味着在无线路径和有线路径上获得了机密性。运营商能够扩展其接入网络,以非常低的成本提供局域的宽带接入(11Mbps)。
此外,为了实现本发明的目的,提供了一种接入控制器,包括位于OSI层-2中的点对点服务器,用于与无线终端进行通信;以及位于OSI应用层的鉴权协议,用于与公共陆地移动网络进行通信。此外,该接入控制器还包括传送装置,用于将在点对点层-2协议上接收的信息向上传送到应用层处的适当鉴权协议。同样,接入控制器还包括传送装置,用于将在应用层处的鉴权协议上接收的信息向下传送到在点对点层2协议之上。
为了充分实现本发明的目的,还提供了一种无线终端,包括用途,作为点对点层2协议客户并且在点对点层2协议上具有可扩展的鉴权协议。
本发明提供的总体解决方案提供了一种通信系统,包括无线局域网,所述无限局域网包括至少一个接入点、公共陆地移动网络、如上所述的至少一个无线终端和上述的接入控制器。
结合附图,通过阅读此描述,本发明的特征、目的及其优点将变得显而易见,其中图1示出了一个优选实施例,其中,通过利用移动和非移动用户能够接入的WLAN接入的传统移动网络用户如何可以被其自身的移动网络鉴权,以及如何具有从TE到自己的移动网络的加密路径。
图2示出了与图1相比简化的结构,其适用于仅仅由公共陆地移动网络的用户接入的WLAN。
图3是示意性地示出包括PPPoE服务器和RADIUS客户机的接入控制器的实施例,其中存在可扩展的鉴权协议。
图4基本上示出了从TE到移动网络并贯穿WLAN实体而执行的动作的典型序列,以执行基于SIM的用户鉴权。
具体实施例方式
下面将描述装置、方法和系统的当前的优选实施例,用于允许有效的基于SIM的用户鉴权并用于针对作为公共陆地移动网络的订户的WLAN用户,建立始于TE的完全的加密路径。根据本发明的一个方面,在IP连接所述用户之前执行该基于SIM的用户鉴权。
因此,示出了通用环境的图1示出了优选实施例的总体框架,其中公共陆地移动网络(GSM/GPRS/UMTS)的订户和其它本地非移动用户接入了无线局域网(WLAN)。图1所示该通用环境提出了针对将对现有传统WLAN的影响减少到最小的特别简单的结构,以便实现本发明的一个目的。该相当简单的结构涉及不同的来自WLAN和来自公共陆地移动网络的实体,将在下文进行描述。此外,图2示出了根据本发明的另一个实施例的更简化的结构,用于WLAN只接入公共陆地移动网络的订户和没有本地WLAN用户。
图1和图2中的第一实体是终端设备(TE),其配备有必要的硬件和软件来与用户SIM卡连接,并且根据鉴权和密钥许可协议(AKA)发送和接收所需的信令信息。TE还包括必要的软件来实现在以太网(PPPoE)协议上、客户端、从而是RFC 2516的点对点协议,这种PPPoE客户包含的内容允许在WLAN域中建立与特定服务器的点对点协议(PPP)会话。这是一个非常便利的实施例,以便影响现有的鉴权机制,例如可扩展的鉴权协议(EAP),和加密协议,例如根据REC 1968的PPP加密控制协议(以下称之为“加密的PPP”),沿着WLAN的有线部分扩展了加密路径,从而提供了更高的安全水平。例如PPPoE客户的组件是针对所建议的解决方案的核心部分。
根据802.11b标准,图1和图2的环境中的其它实体用作普通标准无线基站的接入点,没有任何附加逻辑电路。与其它可能的解决方案不同,如关于成为标准的802.1x所解释的,本发明提供的方法允许重新使用现有的廉价硬件,没有必要替换或升级在WLAN中的所有AP的硬件。由于与在PPPoE层上执行的安全机制相比,这些WEP自身提供了一点安全,因此,在关闭WEP支持时,可以在该环境下运行这些不变的AP。
根据本发明的一个方面,提供了新的实体,图1和图2中的接入控制器(下文称之为AC)均包括所需的PPPoE服务器功能。通过PPPoE协议中的嵌入机制,即通过由广播消息发起的握手,终端设备(TE)自动地发现该PPPoE服务器。该接入控制器(AC)还包括RADIUS客户功能,其负责收集通过在PPP上携带的EAP属性所接收的客户资格,并且还负责通过现在在RADIUS消息上携带的EAP属性,将其发送到传统的WLAN鉴权服务器(WLAN-AS)。同样,该接入控制器(AC)的组件也是为实现本解决方案的目的的核心部分。
接入控制器和前述的内嵌于终端设备的PPPoE客户都是协同工作的实体,用于接通询问-响应鉴权过程和建立加密路径。
仅在图1所示的最通用环境中示出的其它实体是WLAN-鉴权服务器(WLAN-AS),用于实现不属于移动运营商的本地WLAN用户的本地认证者服务器的功能,因此,可以通过例如普通用户和密码匹配的其它方法鉴权用户。当在公共陆地移动网络运营商的域内接收来自接入控制器的鉴权信息并将之转发到鉴权网关(下文称之为AG)时,该WLAN-AS还起到RADIUS代理的作用。
出于本发明的目的,只需要WLAN-AS,以便鉴权不是公共陆地移动网络的移动订户的自身的WLAN用户。结果,用于只接入移动网络的订户的WLAN可以去除该实体而不会影响所述移动订户的鉴权和加密路径的建立以及本发明的范围。在此方面,图2示出了一个简化结构的实施例,用于如上所述WLAN只接入公共陆地移动网络的订户,因此,其中不包括WLAN-AS。
图1和图2的环境所包括的其它实体是鉴权网关(以下称之为AG),其可以独自或共同作为归属位置寄存器(HLR),用于存储移动订户用户数据。在运营商的域内,该鉴权网关(AG)独自或与HLR结合作为鉴权后端服务器并负责根据针对传统或例如GSM、GPRS和UMTS的新公共陆地移动网络的AKA协议产生鉴权矢量。这些组件,即AG和HLR可以是通过移动应用部分(MAP)协议相互通信的物理上分离的实体,或者是作为RADIUS服务器和具有内嵌的用户数据库的单一的逻辑实体,用于实现AKA中必需的算法,如公知的A5、A8等。因此,在后者的方法中,与HLR的通信无需如图2中典型所示。
总之,接入控制器、嵌入在终端设备中的前述PPPoE客户和鉴权网关是实现本发明目的的核心实体。对于这些实体的功能的描述仅是示例性的和非限制性的方式。
参考开放系统互联(OSI)模型,图3示出了接入控制器(AC)涉及的不同协议层。位于IP层的下面的PPPoE服务器包括自然位于以太网层之上的PPPoE协议层,其具有内嵌的前述EAP。同样,RADIUS客户具有内嵌EAP的RADIUS协议层,其位于UDP层之上,该两层位于IP层之上。
另一方面,下面将参考图4所示的动作序列,对其中不同元件根据当前优选实施例来执行本发明的某些方面的方式进行描述。
前述的终端设备(TE)配备有移动终端适配器(MTA),允许接入移动终端携带的SIM卡。该TE具有收发信机,用于和WLAN的AP的通信(C-401,C-402),并包括合适的软件栈,以根据REF 2516来执行PPPoE协议。
接入控制器(AC)具有嵌入的PPPoE服务器。通过PPPoE客户来发现PPPoE服务器是该协议自身的整体部分(C-403,C-404,C-405,C-406)。PPP链路上由TE使用的身份是网络接入标识符(NAI),其通过用户输入来建立需要的拨号会话,所用的范围是识别作为给定的移动运营商的订户的用户。由于通过其它方法来完成鉴权,因此不需要密码。可选择的,代替发送NAI,可以从SIM卡取得IMSI并作为用户身份发送。如果在明码电文中发送IMSI是可接受的(-般不使用明码发送IMSI),则应当只能使用该方式。
当在EAP机制的帮助下接收到用户身份时,接入控制器(AC)具有RADIUS客户,用于将鉴权信息发送(C-409)到WLAN-AS服务器。在PPP和RADIUS上运行可扩展的鉴权协议(EAP),以便在TE和AG之间传送鉴权信息。要在EAP中使用的鉴权机制可以是针对公共陆地移动网络的传统的AKA。如上所述,WLAN-AS针对常规WLAN用户用作鉴权服务器,其鉴权不是基于SIM的,而对于用户的NAI领域部分将其识别为移动网络的订户,从而使用基于SIM的鉴权的这些用户,其作为鉴权代理服务器。然后,当作为鉴权代理服务器时,WLAN-AS将接收到的鉴权信息转发(C-410)到鉴权网关(AG)。
当鉴权网关接收到(C-410)鉴权请求时,通过利用MAP接口来要求HRL提供三维或五维的鉴权矢量(C-411)。为了该任务,鉴权网关(AG)必须了解已经在RADIUS消息中发送其NAI的订户的IMSI。例如,可以通过在目录数据库中查找来发现该IMSI。HLR以所请求的鉴权信息(C-412)来回应用户。
然后,AG封装在EAP属性中的鉴权矢量的RAND分量并在RADIUS消息中将其通过WLAN-AS(C-413)发送返回到AC(C-414)。注意,对于例如UMTS的新移动网络的用户,还需要发送类似AUTN的消息。
然后,AP将接收到的EAP信息转发(C-415)到PPP消息中的TE。注意,这里AC作为在例如PPP和RADIUS的“载体”协议之间的EAP信息的“通路”。
当TE接收到EAP信息时,提取RAND号码,并利用其询问SIM并产生应答(RES),通过在PPP和RADIUS上传输的EAP再次将所述应答送回(C-416,C-417,C-418)到AG。如前,对于UMTS用户,TE首先根据AUTN鉴权网络。在此阶段,必须注意,TE遵照在AKA中定义的标准算法来产生加密密钥。该密钥用作种子,即密钥材料,来导出一个或多个会话密钥,以便与在REF 1968中陈述的PPP加密控制协议和例如PPP 3-DES加密协议、REF2420的任何现有PPP加密算法一起使用。
AG接收(C-418)EAP响应并检查应答的有效性。之前已经在来自可能与未示出的鉴权中心(AuC)的合作的HLR的鉴权矢量中接收到了AKA加密密钥(Kc)。然后,AG将AKA加密密钥(Kc)传送给其中设置了PPPoE服务器的AC(C-419,C-420)。可以在传输EAP成功的接入接受RADIUS消息中进行此操作,但是由于该EAP命令不能携带任何附加数据,一个RADIUS卖方特定属性(VSA)可以是更有价值的选项。
在该阶段,AC接收(C-420)接入接受RADIUS消息并请求来自动态主机配置协议(DHCP)服务器的IP地址,进一步将该IP地址发送到TE。AC遵照和与TE相同的算法,从要和PPP加密控制协议一起使用的AKA加密密钥(Kc)和选定的PPP加密算法(例如3DES)中导出会话密钥。最后,AC将EAP成功消息,连同其它预定给所述TE的配置参数,如IP地址,IP网络掩码、DNS服务器等发送(C-421)给TE。然后,完全建立了PPP链路并准备进入网络阶段。
权利要求
1.一种电信系统中的方法,用于允许针对作为公共陆地移动网络订户的无线局域网用户进行基于SIM的鉴权,该方法包括步骤无线终端发现可接入的接入点、请求与无线局域网进行关联和所述接入点接受该请求,其特征在于,所述方法还包括以下步骤(a)在接入点和公共陆地移动网络之间插入接入控制器;(b)从配备有SIM卡并适于读取其用户数据的至少一个无线终端中发现接入控制器;(c)通过接入控制器进行无线终端和公共陆地移动网络之间的询问-响应鉴权过程,而无需向用户提供IP连接,在以下组件中携带所述询问-响应鉴权提交-在无线终端和接入控制器之间的点对点层2协议上;以及-在位于公共陆地移动网络和接入控制器之间的应用层处的鉴权协议上;以及(d)一旦公共陆地移动网络对所述用户有效地进行了鉴权,则通过发送已分配的IP地址和其它网络配置参数来向无线终端处的用户提供IP连接。
2.根据权利要求1所述的方法,其特征在于,执行询问-响应鉴权过程的步骤(c)包括以下步骤(c1)将来自无线终端的用户标识符通过接入控制器发送到公共陆地移动网络;(c2)在无线终端通过接入控制器接收来自公共陆地移动网络的鉴权询问;(c3)在无线终端从所接收的询问中导出加密密钥和鉴权响应;(c4)将来自无线终端的鉴权响应通过接入控制器发送到公共陆地移动网络;(c5)在接入控制器处接收来自公共陆地移动网络的加密密钥;以及(c6)提取所接收的加密密钥,用于进一步加密与无线终端通信的通信路径。
3.根据权利要求1或2所述的方法,其特征在于还包括步骤针对向公共陆地移动网络的提交,将在点对点层2协议上接收的鉴权信息向上传送到位于应用层处的鉴权协议。
4.根据权利要求3所述的方法,其特征在于还包括步骤针对向无线终端的提交,将在位于应用层处的鉴权协议上接收的鉴权信息向下传送到在点对点层2协议上。
5.根据权利要求1所述的方法,其特征在于还包括步骤利用前面在接入控制器和无线终端处导出的加密密钥,在无线终端处建立对称的加密路径。
6.根据前述的任一权利要求所述的方法,其特征在于,发送IP地址的步骤(d)包括从动态主机配置协议服务器请求这种IP地址之前的步骤。
7.根据前述的任一权利要求所述的方法,其特征在于,接入控制器和公共陆地移动网络之间的通信通过所述公共陆地移动网络的鉴权网关。
8.根据前述的任一权利要求所述的方法,其特征在于,接入控制器和公共陆地移动网络的鉴权网关之间的通信通过无线局域网的鉴权服务器,所述鉴权服务器负责鉴权不是移动订户的所述无线局域网的本地用户。
9.根据前述的任一权利要求所述的方法,其特征在于步骤c1)中的用户标识符包括网络接入标识符。
10.根据前述的任一权利要求所述的方法,其特征在于步骤c1)中的用户标识符包括全球移动用户身份。
11.根据前述的任一权利要求所述的方法,其特征在于步骤c)中位于应用层处的鉴权协议是可扩展鉴权协议。
12.根据权利要求11所述的方法,其特征在于在RADIUS协议上传输该可扩展鉴权协议。
13.根据权利要求11所述的方法,其特征在于在Diameter协议上传输该可扩展鉴权协议。
14.一种电信系统中的接入控制器,所述系统包括具有至少一个接入点的无线局域网,公共陆地移动网络和至少一个提供有SIM卡并适于读取其用户数据的终端设备,其特征在于,所述接入控制器包括(a)位于OSI层2的点对点服务器,用于与无线终端进行通信;以及(b)位于OSI应用层的鉴权协议,用于与公共陆地移动网络进行通信。
15.根据权利要求14所述的接入控制器,其特征在于还包括(a)传送装置,用于将在点对点层2协议上接收的信息向上传送到位于应用层的鉴权协议;以及(b)传送装置,用于将在位于应用层的鉴权协议上接收的信息向下传送到在点对点层2协议上。
16.根据权利要求15所述的接入控制器,其特征在于还包括请求装置,用于在公共陆地移动网络已经成功鉴权用户之后,请求来自动态主机配置协议服务器的IP地址。
17.根据权利要求16所述的接入控制器,其特征在于适于通过接入点,与无线终端进行通信。
18.根据权利要求16所述的接入控制器,其特征在于适于通过鉴权网关,与公共陆地移动网络进行通信。
19.根据权利要求16所述的接入控制器,其特征在于适于通过用于鉴权无线局域网的本地用户的鉴权服务器,与鉴权网关进行通信。
20.根据权利要求14到19任一所述的接入控制器,其特征在于,位于应用层处的鉴权协议是可扩展鉴权协议。
21.根据权利要求20所述的接入控制器,其特征在于,在RADIUS协议上传输可扩展鉴权协议。
22.根据权利要求20所述的接入控制器,其特征在于,在Diameter协议上传输可扩展鉴权协议。
23.一种无线终端,包括以下用途用作为点对点层2协议客户并且在所述点对点层2协议上具有可扩展鉴权协议。
24.一种电信系统,包括具有至少一个接入点的无线局域网,公共陆地移动网络和至少一个提供有SIM卡并适于读取其用户数据的终端设备,其特征在于,所述系统还包括如权利要求14至22所述的接入控制器,用于允许对作为公共陆地移动网络的订户的无线局域网用户进行基于SIM的用户鉴权。
全文摘要
本发明涉及一种系统、设备和方法,用于对接入WLAN的用户进行基于SIM的鉴权以及用于保护终端设备和移动网络之间的路径的层2加密机制,而无需提供IP连接。因此,本发明提供了一种方法,用于针对终端和接入控制器之间的AKA对话建立PPP通道,所述接入控制器用于接入属于SIM的移动网络。本发明还提供了一种接入控制器(AC),包括以太网点对点(PPPoE)服务器,用于针对相同目的挖掘在终端种安装的AKA对话形式的PPP客户,还包括业务路由器和RADIUS客户。因此,将包括RADIUS客户的AC插入到从WLAN种的接入点(AP)接入的RADIUS代理和其中执行基于SIM的鉴权的移动网络之间。
文档编号H04L12/28GK1666465SQ02828879
公开日2005年9月7日 申请日期2002年5月1日 优先权日2002年5月1日
发明者赫苏斯·安赫尔·德·格雷戈里奥·罗德里格斯, 米格尔·安赫尔·蒙哈斯·略化特 申请人:爱立信电话股份有限公司