方法:拦截EAP-SM消息,并且当从请求方接收EAP-响应/身份时,在图5b所示的信令过程的步骤2中,认证方检测请求方是否已经提供了它的永久身份。在检测到永久身份的情况下,如图3所示,根据正常的EAP-SM过程,网络节点仅转发RADIUS接入请求/EAP响应/身份消息。
[0059]然而,在请求方使用别名(例如作为替代的化名或快速重新认证身份)的情况下,网络节点2在信令过程的步骤4中从认证服务器3拦截接收的RADIUS接入质询/EAP请求/SIM/开始消息,并检查EAP消息是否正承载AT_PERMANENT_ID_REQ属性。如果没有,则网络节点在步骤5中将其转发给请求方之前,在信令过程的步骤4-A中在ΕΑΡ/SIM/开始消息中插入AT_PERMANENT_ID属性。用那种方式,请求请求方在接下来的ΕΑΡ/SIM/开始消息中提供它的永久身份。认证方等待直至请求方在步骤6中发送它的永久身份,它的永久身份在步骤7中被转发给认证服务器3。根据标准EAP-S頂过程,剩余步骤8-15与图3中具有该标号的步骤相对应。
[0060]此外,关于该第二实施例,从后续认证消息中获取250永久设备身份的步骤包括:网络节点从无线设备接收EAP-响应/SIM/开始消息,从该消息中获取永久设备身份,并将该消息封装在Radius消息或在DIAMETER消息中转发给认证服务器。
[0061]图5c示出了第三实施例,其中操作至少一个其他认证消息的步骤240包括:在接收来自请求方的EAP-响应/身份时,网络节点/认证方/W1-Fi AP在信令过程的步骤2中检测请求方是否已经提供了它的永久身份。在请求方使用化名或快速重新认证身份而非它的永久身份的情况下,在步骤2a中,认证方在RADIUS接入请求/EAP响应/身份消息中插入表明认证方希望认证服务器请求请求方的永久身份的属性(或标签),并在步骤3中将修改后的认证消息转发给认证服务器。进而,在步骤4中,认证服务器将解释标签并在RADIUS接入质询/EAP请求/SIM/开始消息中插入AT_PERMANENT_ID_REQ属性,在步骤5中,在EAP/SM/开始消息中将AT_PERMANENT_ID_REQ属性转发给请求方。认证方等待直至请求方在步骤6中发送它的永久身份,在步骤7中该永久身份被转发给认证服务器3。根据标准EAP-SM过程,剩余步骤8-15与图3中具有该标号的步骤相对应。
[0062]然而,即使在所述实施例中仅提及了 RADIUS协议,也可以使用DIAMETER协议。
[0063]因此,本发明的实施例为认证方/网络节点/W1-Fi接入点提供请求方/无线设备在认证过程期间揭示它的永久身份的手段,该手段进而导致认证方在认证期间能够获得无线设备的永久身份。所提出的机制覆盖本文描述的三个实施例,但是其他实施例也在本发明的范围内。在上述第一和第二实施例中,不需要标准框架中的改变。然而,在第三实施例中,需要对认证框架的小改变。
[0064]图6a和6b示意性示出了网络节点/认证方/W1-Fi接入点2的示例实施例。
[0065]图6a示出了包括网络通信单元602、处理单元606和存储器609的网络节点的第一方面。网络通信单元602被配置为与正在被认证的无线设备交换认证数据,并与后端认证服务器交换认证数据。处理器606被配置为基于接收到的认证数据允许/拒绝对正在被认证的无线设备的接入,并拦截和改变认证消息。存储器609被配置为:存储计算机可读指令,当处理器606执行该计算机指令时被配置为实现本文所述的方法。此外,网络节点2包括存储器609中存储的至少一个计算机程序产品608,并且计算机程序产品包括具有编码的指令的计算机程序610,当在处理单元606中执行该编码的指令时,使网络节点2执行例如先前结合图4描述的过程的动作。
[0066]存储器609可以是非易失性存储器的形式,例如EEPROM(电可擦除可编程只读存储器)、闪存和硬件驱动。计算机程序610可以被配置为在计算机程序模块610a-610d中构建的计算机程序代码。因此,在示例性实施例中,网络节点的计算机程序中的编码指令包括:拦截模块610a被配置为拦截来自无线设备的认证消息,其中认证消息包括无线设备的发信号通知的身份,提取模块610b被配置为从认证消息中提取发信号通知的身份,确定模块610c被配置为确定发信号通知的身份是否是别名,并且操作模块610d被配置为:如果/当设备身份是别名时,操作至少一个其他认证消息,以使在来自无线设备的后续认证消息中发信号通知永久设备身份。因此,计算机程序模块可以必要地执行图4中所示的流的动作,以仿真网络节点2。
[0067]根据另一实施例,计算机程序代码当在处理器中运行时,使网络节点从后续认证消息中获取永久设备身份。
[0068]网络节点可以与根据可扩展认证协议EAP的认证方实体相对应,并且后续认证消息可以是来自无线设备的可扩展认证协议EAP响应消息。此外,确定发信号通知的身份是否是别名可以包括:检查发信号通知的身份的格式,并且别名可以由认证服务器提供并代表化名身份或快速重新认证身份。永久设备身份可以包含国际移动订户身份MSI。
[0069]根据操作的第一备选实施例,计算机程序代码当在处理器中运行时,使对至少一个其他认证消息的操作:通过用假身份来替代别名来提供修改后的认证消息,并将修改后的认证消息转发给认证服务器。此外,从后续认证消息中获取永久设备身份包括:从认证服务器接收向无线设备查询永久设备身份的请求,并将针对无线设备的请求转发给无线设备。
[0070]在认证过程期间,针对永久设备身份的请求可以包括AT_PERMANENT_ID_REQ-属性的使用,并且可以在EAP-请求/SIM/开始消息中包括针对永久设备身份的请求。此外,可以从认证服务器接收EAP-请求/SM/开始消息,并且向无线设备发送针对永久设备身份的请求可以暗示从网络节点向无线设备中继EAP-请求/SIM/开始消息。
[0071]根据操作的第二备选实施例,计算机程序代码当在处理器中运行时,使对至少一个其他认证消息的操作:在所述其他认证消息中包括请求无线设备在后续认证消息中呈递永久设备身份的属性。此外,从另一认证消息中获取永久设备身份包括:网络节点从无线设备接收EAP/响应/SM/开始消息,获取永久设备身份并将在RADIUS消息和/或在DIAMETER消息中封装的EAP/响应/SM/开始消息转发给认证服务器。属性可以是AT_PERMANENT_ID_REQ-属性。
[0072]根据操作的第三备选实施例,计算机程序代码当在处理器中运行时,使对至少一个其他认证消息的操作:在所拦截的认证消息中插入针对永久设备身份的请求以提供修改后的认证消息;向认证服务器转发修改后的认证消息;从认证服务器接收向无线设备查询永久设备身份的请求;以及向无线设备发送针对永久设备身份的请求。此外,修改后的认证消息可以包括:在后续认证消息中插入针对AT-PERMANENT_ID_REQ-属性的请求。
[0073]然而,即使在上述结合图6a所公开的实施例中的编码指令被实现为计算机程序模块,所述计算机模块当在相应处理单元中执行时使网络节点结合上述附图来执行上述动作,在备选实施例中至少一个模块可以被至少部分地实现为硬件电路。
[0074]图6b示出网络节点/认证器/W1-Fi AP2的另一方面,示出了网络通信单元602 ;拦截单元621,用于拦截来自无线设备的认证消息;提取单元622,用于从所述认证消息提取发信号通知的身份;和确定单元623,用于确定发信号通知的身份是否是别名。网络节点还包括操作单元624,用于在所述设备身份是别名时,操作至少一个其他认证消息,使得在来自所述无线设备的后续认证消息中发信号通知永久设备身份。可选地,网络节点包括获取单元625,用于从所述后续认证消息中获取无线设备的永久设备身份。因此,图6b中的单元执行的方法与图6a中的计算机程序模块中执行的方法相对应。然而,显然可以将至少一个上述单元至少部分地实现为硬件电路。处理器606可以是单个CPU (中央处理单元),还可以包括两个或更多个处理单元。例如,处理器可以包括通用目的的微处理器、指令集处理器和/或相关的芯片集和/或特殊目的微处理器(例如ASIC(专用集成电路))。处理器还可以包括用于高速缓存目的的板存储器。
[0075]应该理解的是,交互单元的选择,以及本公开内的单元的命名仅是示例的目的,并且可以用多种备选方式来任意上述方法,以能够执行所提出的过程动作。
[0076]尽管已经关于若干实施例描述了实施例,所理解的是,在阅读说明书和研读附图备选方式、修改、置换及其等价形式将显而易见。因此,目的在于:以下所附的权利要求包括这些备选、修改、置换和等价形式作为落入有所附权利要求定义的实施例的范围内。
【主权项】
1.一种在网络节点中用于获得请求在所述网络节点处的认证的无线设备的永久设备身份的方法,所述方法包括: -拦截(210)来自无线设备的认证消息,其中所述认证消息包括所述无线设备的发信号通知的身份, -从所述认证消息中提取(220)所述发信号通知的身份, -确定(230)所述发信号通知的身份是否是别名,以及 -当设备身份是别名时,对至少一个其他认证消息进行操作(240),使得在来自所述无线设备的后续认证消息中发信号通知永久设备身份。2.根据权利要求1所述的方法,其中所述网络节点与根据可扩展认证协议EAP的认证方实体相对应。3.根据权利要求1或2所述的方法,所述方法还包括:从所述后续认证消息中获取(250)所述永久设备身份。4.根据前述任一项权利要求所述的方法,其中所述后续认证消息是来自所述无线设备的可扩展认证协议EAP响应消息。5.根据前述任一项权利要求所述的方法,其中确定(230)所述发信号通知的身份是否是别名的步骤包括:检查