专利名称:用于存储互配无线局域网临时身份的方法和系统的制作方法
技术领域:
一般来说,本发明涉及维护无线局域网上的用户身份保密性,更具体而不是限制地说,涉及维护经由互配无线局域网(I-WLAN)通信的用户设备的保密性。
背景技术:
互配无线局域网(I-WLAN)是第三代合作项目(3GPP)的一个特征,允许无线LAN网络与3GPP系统互连。在I-WLAN中,用户身份保密性(即用户匿名)用于避免在无线电接口上发送可能危害用户身份和位置的任何明文永久用户标识信息(例如国际移动用户标识符(IMSI))或允许链接无线电接口上相同用户的不同通信。用户身份保密性基于临时身份(即假名或重新鉴权身份)。临时身份的接收发生于可扩展鉴权协议(EAP)鉴权。为了本专利申请的目的,WLAN用户设备(WLAN UE)是能够与WLAN互配的用户设备。
WLAN UE由于用户身份保密性在接收到临时身份时必须执行的动作当前未指定。此外,存储临时身份的位置(例如UMTS用户身份模块(USIM)或移动设备(ME))仍未标准化。
发明内容
用户设备的临时身份存储方法包括接收鉴权查询信息和至少一个临时身份、处理鉴权查询信息以及确定处理步骤是否导致成功鉴权。用户设备包括移动设备和用户身份模块。响应鉴权成功的确定,接收的至少一个临时身份被认为是有效的。如果接收的至少一个临时身份是至少一个假名并且存储至少一个假名的适当数据文件在用户身份模块中可获得,则在用户身份模块中存储至少一个假名并且盖写任何先前存储的假名。如果接收的至少一个临时身份是至少一个假名并且存储至少一个假名的适当数据文件在用户身份模块中不可获得,则在移动设备中存储至少一个假名并且盖写任何先前存储的假名。
临时身份存储系统包括用于接收鉴权查询信息和至少一个临时身份的部件,用于处理鉴权查询信息的部件,用于确定处理是否导致成功鉴权的部件,用于认为接收的至少一个临时身份有效以响应鉴权成功的确定的部件,用于如果接收的至少一个临时身份是至少一个假名并且存储至少一个假名的适当数据文件在用户身份模块中可获得、则在用户身份模块中存储至少一个假名并且盖写任何先前存储的假名的部件,用于如果接收的至少一个临时身份是至少一个假名并且存储至少一个假名的适当数据文件在用户身份模块中不可获得、则在移动设备中存储至少一个假名并且盖写任何先前存储的假名的部件。
通过结合附图参照以下本发明的示范实施例的详细说明,可以更完整地理解本发明,其中图1是说明临时身份由用户设备接收的过程的消息传递图;图2是说明临时身份未由用户设备接收的过程的消息传递图;图3是说明临时身份存储过程的流程图。
具体实施例方式
现在将参照附图更完整地描述本发明的实施例。但是,本发明可以用许多不同的形式实现并且不应被理解为对本文所述实施例的限制。本发明应仅被认为由现存权利要求及其等效物限制。
为了满足I-WLAN要求并且使3GPP系统与WLAN互配,需要用于在WLAN UE中存储临时身份的解决方案。根据本发明的原理,在收到任何临时身份时,WLAN UE会处理与临时身份一起接收的可扩展鉴权协议(EAP)鉴权查询信息。如果鉴权查询成功,则WLAN UE认为新临时身份有效并且WLAN UE可以采取以下动作(1)如果接收的临时身份是假名并且存储假名的适当数据文件在USIM中可获得,则WLAN UE将假名存储到USIM中并且盖写任何先前存储的假名。
(2)如果接收的临时身份是假名并且在USIM中不可获得适当数据文件,则WLAN UE将假名存储到ME中并且盖写任何先前存储的假名。
(3)如果接收的临时身份是重新鉴权身份并且存储重新鉴权身份的适当数据文件在USIM中可获得,则WLAN UE将重新鉴权身份与一个或多个安全参数(例如新的主密钥、计数器值及暂时EAP密钥)一起存储到USIM中并且盖写任何先前存储的重新鉴权身份和安全参数。
(4)如果接收的临时身份是重新鉴权身份并且在USIM中不可获得适当数据文件,则WLAN UE将重新鉴权身份在USIM中与安全参数(例如新的主密钥、计数器值及暂时EAP密钥)一起存储到ME中。
临时身份是一次性的身份。因此,如果WLAN UE不接收新的临时身份,WLAN UE会从USIM/ME删除相应的临时身份(例如WLAN将用户名字段设为“已删除”值以表明不存在有效的重新鉴权身份)。在临时身份的用户名字段表明“已删除”值时,WLAN UE在下一次EAP鉴权时不发送该临时身份。“已删除”值通过使用十六进制值FF编码临时身份的用户名部分的所有八位字节来表明。在临时身份用户名使用FF编码时,此保留值用于表明WLAN UE中不存在有效临时身份的特殊情况。在整个用户名已使用保留的十六进制值FF编码时,网络不分配临时身份。
图1是说明临时身份由用户设备接收的过程的消息传递图。消息传递图100说明包括USIM 104和ME 106的WLAN用户设备(WLAN UE)与EAP(网络)108之间的通信。在消息传递图100中,在WLAN UE 102与EAP(网络)108之间的成功EAP鉴权交换110完成时,会收到临时身份,如框112所示。随后,临时身份被存储到ME 106中,如箭头114所示。此外,在箭头114,如果重新鉴权身份已收到,则把安全参数存储到ME 106中。在箭头116,收到的临时身份存储到USIM 104中。而且,在箭头116,如果重新鉴权身份已收到,则把安全参数存储到USIM 104中。
图2是说明临时身份未由用户设备接收的过程的消息传递图。在消息传递图200中,WLAN UE 102与EAP(网络)108以消息传递图100中所述的相似方式通信。成功EAP鉴权交换110之后,在框202,WLAN UE 102没有接收临时身份。随后,ME 106删除任何存储在ME 106中的相应临时身份,如箭头204所示。在箭头206,USIM104删除任何相应的临时身份。
图3是说明临时身份存储过程的流程图。流程图300从步骤302开始。从步骤302,执行过程进行到步骤304。在步骤304,EAP鉴权交换发生。在步骤306,确定步骤304的EAP鉴权交换是否成功。如果确定EAP鉴权不成功,执行过程进行到步骤332,在该步骤执行结束。如果在步骤306确定步骤304的鉴权成功,执行过程进行到步骤308。
在步骤308,确定是否收到任何临时身份。如果确定收到,执行过程进行到步骤310。在步骤310,确定是否收到假名。如果确定收到,执行过程进行到步骤312。在步骤312,确定USIM中是否有存储假名的数据文件。如果确定没有,执行过程进行到步骤314。在步骤314,假名存储到ME中并且盖写任何先前存储的假名。
返回到步骤308,如果未确定收到临时身份,执行过程进行到步骤316。在步骤316,从USIM和ME删除假名和任何重新鉴权身份。换句话说,为了表明不存在有效假名/重新鉴权身份,WLAN UE将假名和重新鉴权身份的用户名字段设置为“已删除”值。从步骤310,如果未接收到假名,执行过程进行到步骤318,在该步骤从USIM或ME删除假名。换句话说,在步骤318,WLAN将用户名字段设置为“已删除”值以表明不存在有效假名。在步骤312,如果确定USIM中有存储假名的数据文件,执行过程进行到步骤320,在该步骤,将假名存储到USIM中并且盖写任何先前存储的假名。
从步骤318、320和314的每一步,执行过程进行到步骤322。在步骤322,确定是否收到重新鉴权身份。如果在步骤322确定收到,执行过程进行到步骤324。在步骤324,确定USIM中是否有存储重新鉴权身份的数据文件。如果在步骤324确定没有,执行过程进行到步骤326。在步骤326,重新鉴权身份与任何安全参数一起存储到ME中并且盖写任何先前存储的重新鉴权身份和安全参数。在步骤322,如果未确定收到重新鉴权身份,执行过程进行到步骤328。在步骤328,从USIM或ME删除重新鉴权身份。换句话说,在步骤328,WLAN UE将重新鉴权身份的用户名字段设置为“已删除”值以表明不存在有效的重新鉴权身份。如果在步骤324确定USIM中有存储重新鉴权身份的数据文件,执行过程进行到步骤330。在步骤330,重新鉴权身份与任何安全参数一起存储到USIM中并且盖写任何先前存储的重新鉴权身份和安全参数。从步骤316、328、330和326的每一步,执行过程进行到步骤332。在步骤332,执行过程结束。
本发明的各种实施例用来提供在WLAN UE中存储用于I-WLAN的临时身份的解决方案。逻辑用于表示何时临时身份有效,以及何时将临时身份存储到USIM或ME中。还提供“已删除”值的格式,它表明何时WLAN UE中不存在有效的临时身份。
应当强调的是,术语“包含/包括/含有”在用于此说明中时,用于指定存在所述特征、整数、步骤或部件,但不排除存在或添加一个或多个其它特征、整数、步骤、部件或其组的情况。
以上详细说明了本发明的实施例。本发明的范围不应当局限于此说明。本发明的范围而是由以下权利要求及其等效物定义。
权利要求
1.一种用于用户设备的临时身份存储方法,所述用户设备包括移动设备和用户身份模块,所述方法包括接收鉴权查询信息和至少一个临时身份;处理所述鉴权查询信息;确定所述处理步骤是否导致成功鉴权;以及响应鉴权成功的确定认定接收的至少一个临时身份有效;如果接收的至少一个临时身份是至少一个假名并且在所述用户身份模块中可获得存储所述至少一个假名的适当数据文件,则在所述用户身份模块中存储所述至少一个假名并且盖写任何先前存储的假名;以及如果接收的至少一个临时身份是至少一个假名并且在用户身份模块中不可获得存储所述至少一个假名的适当数据文件,则在所述移动设备中存储所述至少一个假名并且盖写任何先前存储的假名。
2.如权利要求1所述的临时身份存储方法,其特征在于,还包括响应鉴权成功的确定如果接收的至少一个临时身份是至少一个重新鉴权身份并且在所述用户身份模块中可获得存储所述至少一个重新鉴权身份的适当数据文件,则将所述至少一个重新鉴权身份与至少一个安全参数一起存储到所述用户身份模块中;以及如果接收的至少一个临时身份是至少一个重新鉴权身份并且在所述用户身份模块中不可获得存储所述至少一个重新鉴权身份的适当数据文件,则将所述至少一个重新鉴权身份和至少一个安全参数存储到所述移动设备中。
3.如权利要求1所述的临时身份存储方法,其特征在于,还包括接收鉴权查询信息并且没有临时身份;以及响应接收鉴权查询信息并且没有临时身份的步骤,删除在用户身份模块和移动设备其中任一个中任何先前存储的临时身份。
4.如权利要求3所述的临时身份存储方法,其特征在于,删除任何先前存储的临时身份的步骤包括将用户名字段设置为已删除值。
5.如权利要求4所述的临时身份存储方法,其特征在于,将用户名字段设置为已删除值的步骤包括使用十六进制值FF对至少一个临时身份的用户名部分的所有八位字节编码。
6.如权利要求4所述的临时身份存储方法,其特征在于,十六进制值FF表明不存在有效的临时身份。
7.如权利要求1所述的临时身份存储方法,其特征在于,至少一个安全参数包括以下至少一项主密钥;计数器值;以及暂时EAP密钥。
8.一种临时身份存储系统,包括用于接收鉴权查询信息和至少一个临时身份的部件;用于处理所述鉴权查询信息的部件;用于确定所述处理是否导致成功鉴权的部件;用于认定接收的至少一个临时身份有效以响应鉴权成功的确定的部件;用于如果接收的至少一个临时身份是至少一个假名并且在用户身份模块中可获得存储至少一个假名的适当数据文件,则在用户身份模块中存储至少一个假名并且盖写任何先前存储的假名的部件;以及用于如果接收的至少一个临时身份是至少一个假名并且在用户身份模块中不可获得存储至少一个假名的适当数据文件,则在移动设备中存储至少一个假名并且盖写任何先前存储的假名的部件。
9.如权利要求8所述的临时身份存储系统,其特征在于,还包括用于如果接收的至少一个临时身份是至少一个重新鉴权身份并且在用户身份模块中可获得存储至少一个重新鉴权身份的适当数据文件,则将至少一个重新鉴权身份与至少一个安全参数一起存储到用户身份模块中的部件;以及用于如果接收的至少一个临时身份是至少一个重新鉴权身份并且在用户身份模块中不可获得存储至少一个重新鉴权身份的适当数据文件,则将至少一个重新鉴权身份和至少一个安全参数存储到移动设备中的部件。
10.如权利要求8所述的临时身份存储系统,其特征在于,还包括用于接收鉴权查询信息并且没有临时身份的部件;以及用于删除用户身份模块和移动设备其中任一个中任何先前存储的临时身份的部件。
11.如权利要求10所述的临时身份存储系统,其特征在于,用于删除任何先前存储的临时身份的部件包括用于将用户名字段设置为已删除值的部件。
12.如权利要求11所述的临时身份存储系统,其特征在于,用于将用户名字段设置为已删除值的部件包括用于使用十六进制值FF对至少一个临时身份的用户名部分的所有八位字节编码的部件。
13.如权利要求11所述的临时身份存储系统,其特征在于,十六进制值FF表明不存在有效的临时身份。
14.如权利要求8所述的临时身份存储系统,其特征在于,至少一个安全参数包括以下至少一项主密钥;计数器值;以及暂时EAP密钥。
全文摘要
用户设备的临时身份存储方法包括接收鉴权查询信息和至少一个临时身份、处理鉴权查询信息以及确定处理步骤是否导致成功鉴权。用户设备包括移动设备和用户身份模块。响应鉴权成功的确定,接收的至少一个临时身份被认为是有效的。如果接收的至少一个临时身份是至少一个假名并且存储至少一个假名的适当数据文件在用户身份模块中可获得,在用户身份模块中存储至少一个假名并且盖写先前存储的假名。如果接收的至少一个临时身份是至少一个假名并且存储至少一个假名的适当数据文件在用户身份模块中不可获得,在移动设备中存储至少一个假名并且盖写任何先前存储的假名。为符合要求摘要的法规而提供本摘要,以便检索者或其他读者迅速确定本技术公开的主题。应该理解,本摘要不会用于解释或限制权利要求的范围或意义。
文档编号H04L29/06GK1973516SQ200580020997
公开日2007年5月30日 申请日期2005年5月4日 优先权日2004年5月6日
发明者C·H·韦龙 申请人:艾利森电话股份有限公司