用于获得认证无线设备的永久身份的方法和网络节点的制作方法
【技术领域】
[0001]本发明涉及网络节点中用于获得请求认证的无线设备的永久设备身份的方法,并且涉及用于执行所述方法的网络节点。
【背景技术】
[0002]在3GPP系统中,如果无线设备与允许无线通信网络认证无线设备的订阅相关联,则允许无线设备附接并接入无线通信网络。第三代合作伙伴计划3GPP无线局域网WLAN交互指定基于可扩展认证协议EAP的网络接入认证。EAP认证框架为不同的认证方法提供支持。在数据链路层(DLL)上直接承载该协议,并且当前尤其在有线和无线局域网中广泛采用该协议。EAP-SlM(订户身份模块)是一种使用GSMSIM的认证和会话密钥分发的方法,并且EAP-AKA是一种与EAP-SM类似的方法,区别在于它使用认证和密钥协商AKA机制。EAP-AKA?(也表示为EAP-A Prime)是EAP-AKA方法的修改,使用将所导出的密钥与接入网的名称绑定的一种新的密钥导出函数。
[0003]EAP-SM、EAP-AKA和EAP-AKA’共享同一框架,并因此具有非常类似的信令流。在EAP术语中,存在参与认证的三个主要实体:
[0004]-请求方-请求认证的实体。以下,对于请求方将同义地使用术语无线设备。
[0005]-认证方-通常使用认证服务器协议(例如RADIUS协议或DIAMETER协议)与认证服务器(如下所述)通信,并在请求方和认证服务器之间中继消息的前端实体。然而,除RADIUS协议和DIAMETER协议以外的其他协议也在以下公开的范围内。此外,在以下公开中,认证方还将被描述为网络节点。
[0006]-认证服务器-负责基于请求方的网络秘密承载认证和密钥导出的后端实体。
[0007]W1-Fi被认为是移动宽带异构网络的小小区解决方案的关键候选。因此,作为有趣的研宄对象出现了 W1-Fi与3GPP无线接入网RAN的整合。为使运营商从将W1-Fi整合到3GPP RAN中所提供的全部优点中获益,与当前实施方式(其中决定纯粹是基于设备的)相比,运营商需要对他们的订户的接入选择的更好的控制。整合(integrat1n)可以包括在小微微基站中组合3GPP和W1-Fi 二者,以用3GPP技术来获得对W1-Fi的接入,并且反之亦然。可以实现的整合的第二等级包括:基于不同接入中的组合情况的知识,通过在3GPP和W1-Fi之间引入增强的网络控制业务引导来将W1-Fi接入更紧密地整合到RAN中。该第二等级的整合的目的是:避免设备控制的W1-Fi选择(例如当W1-Fi连接不好或无线设备正在移动时选择W1-Fi)的潜在问题,由此给出更好的终端用户性能并更好地利用组合的W1-Fi和蜂窝无线网络资源。
[0008]为了实现对网络控制的Wi_Fi/3GPP接入选择和服务映射的良好支持,需要将3GPP RAN中的无线设备上下文(用于保持例如3GPP侧的无线性能和设备移动性的有关信息)与W1-Fi网络中的设备上下文链接(或连接)。然后这可以使网络实体/节点能取决于例如无线设备是否是固定的和/或具有与W1-Fi AP (W1-Fi接入点)的良好连接来决定无线设备是否应当接入W1-Fi网络。该决定可以向无线设备发信号通知或在3GPP/W1-Fi网络内部执行,例如用于控制UE对W1-Fi网络的准入。
[0009]已经提出了不同的增强网络控制的Wi_Fi/3GPP接入选择的解决方案。在解决方案之一中,在能够基于每个用户执行接入选择之前,网络侧上的逻辑实体从3GPP和W1-Fi系统二者选择信息。
[0010]为了适合地工作,逻辑实体必须能够将从两个系统中选择的信息进行互相关,以做出接入选择决定。这意味着逻辑实体需要能够使用两个网络中的合适的标识符来识别W1-Fi和3GPP网络中的每个特定无线设备。
[0011]可以通过探测EAP消息来满足该需求,EAP消息包含无线设备的永久身份。该身份包含国际移动订户身份(MSI)-对于每个无线设备唯一的3GPP标识符。IMSI在EAP认证期间使用,并且由无线设备经由作为W1-Fi接入点(W1-Fi AP)并且与根据EAP技术的认证方相对应的网络节点发送。在EAP信令期间,网络节点可以拦截并提取IMSI。网络节点还知道无线设备的媒体接入控制(MAC)地址,无线设备的媒体接入控制(MAC)地址充当W1-Fi网络中的无线设备标识符。IMSI和MAC之间的映射使逻辑实体能够分别在两个系统中独立地跟踪同一无线设备,并且是使能基于网络的接入选择的关键需求。
[0012]在EAP-SM、EAP-AKA和EAP-AKA Prime的认证框架内,认证服务器可以为请求方(在这种情况下无线设备)提供化名(pseudonym)和/或快速重新认证身份,意图在于无线设备使用化名和/或快速重新认证身份而不是它的永久身份。这主要是由于安全原因。然而,如果无线设备使用化名和/或快速重新认证身份而不是它的永久身份,则上述身份映射和两个系统之间的后续信息互相关可能不成功。
[0013]W1-Fi整合到3GPP网络中的一个重要方面是需要公共性能监视(PM)系统,其中运营商能够(例如为了用户关心目的)监视两个系统中每个订户的性能。在那种情况下,系统必须能够基于每个订户针对PM数据互相关来执行MAC/IMSI映射。然而,在使用化名和/或快速重新认证身份而不是包含MSI的永久身份的情况下,这会非常麻烦。
[0014]因此,如上所述,现有框架的问题与以下情形相关:当网络节点由于不同的目的需要无线设备的永久身份,但是无线设备却使用化名和/或快速重新认证身份作为替代。例如,在接入网选择的情况下,会需要永久身份作为用于从3GPP网络中找到用户专用信息的标识符。然而,当前不存在以下方法:当无线设备使用化名,或者针对快速重新认证过程,当无线设备使用快速重新认证身份而不是它的永久身份时,在认证过程中在网络节点处获得无线设备的永久身份。
【发明内容】
[0015]根据本公开的本发明的实施例的目的是解决以上概述问题的至少一些,并通过根据所附独立权利要求的方法和结构以及通过根据从属权利要求的实施例来实现该目的和其他目的。
[0016]实施例的第一方面提供了一种在网络节点中用于获得请求在所述网络节点处的认证的无线设备的永久设备身份的方法。网络节点拦截包括请求认证的无线设备的发信号通知的身份的认证消息,并从认证消息中提取发信号通知的身份,其中做出关于发信号通知的身份是否是别名的确定。当设备身份是别名时,操作至少一个其他认证消息,以使得在后续的认证消息中发信号通知永久设备身份。
[0017]可以从后续认证消息中获取永久设备身份,该后续认证消息可以是来自无线设备的可扩展认证协议EAP响应消息。
[0018]设备身份是否是别名的确定可以包括检查发信号通知的身份的格式,并且别名可以代表后端认证服务器提供的化名身份或认证服务器提供的重新认证身份。
[0019]此外,永久设备身份可以包括国际移动订户身份MSI。
[0020]根据第一实施例,对至少一个其他认证消息的操作包括网络节点用拦截的认证消息中的假身份来替换别名,由此提供修改后的认证消息。将修改后的认证消息转发给认证服务器。
[0021]第一实施例的优点在于:它构建了一种可以用最少努力实现且不影响标准化框架的方法。
[0022]根据第二实施例,对至少一个其他认证消息的操作包括:网络节点在所述其他认证消息中包括请求所述无线设备在所述后续认证消息中呈递永久设备身份的属性。与第一实施例类似,第二实施例的优点在于:它构建了一种用最少努力实现的方法,并提供第一实施例的备选。
[0023]根据第三实施例,对至少一个其他认证消息的操作包括:网络节点在拦截的认证消息中插入针对永久设备身份的请求,由此提供修改后的认证消息。将修改后的认证消息转发给认证服务器。从认证服务器接收向无线设备查询永久设备身份的请求,因而网络节点向无线设备发送针对永久设备身份的请求。
[0024]第三实施例的优点在于,它构建了一种鲁棒的解决方案,在这种解决方案中认证服务器和请求方的行为是可预测的,原因在于它们遵循标准化的框架。
[0025]实施例的第二方面提供了一种用于实现所公开的方法实施例的网络节点。该网络节点可以是W1-Fi接入点,并且可以与根据EAP术语的认证方相对应。
[0026]本实施例的优点在于:当网络节点在认证过程期间仅从无线设备接收别名(例如化名或快速重新认证身份时),使网络节点(例如认证方)能获得无线设备的永久身份。
【附图说明】
[0027]现在将参照附图更详细地描述实施例,其中:
[0028]图1示意性示出了移动通信网;
[0029]图2a示意性示出了 EAP认证的系统架构的示例;
[0030]图2b示意性示出了 EAP认证架构的示例;
[0031]图3是示出传统EAP-SM信令过程的信令图;
[0032]图4是示出根据实施例的方法的流程图;
[0033]图5a_5c是示出本发明的三个备选实施例的信令图,以及
[0034]图6a和6b示意性示出了用于执行根据实施例的网络节点的不同方面。
【具体实施方式】
[0035]以下,将参照附图更详细地描述本发明的实施例。为了解释而非限制的目的,公开了特定细节(例如具体场景和技术的)以提供透彻的理解。
[0036]应当主要在逻辑意义上理解以下结合附图描述的多个步骤,同时每个步骤可以包括取决于所使用的实施方式和协议的一个或更多个特定消息的通信。本公开涉及的实施例通常涉及使用EAP-SM、EAP-AKA或EAP-AKA’认证框架的EAP认证领域。然而必须理解的是