专利名称:用于支持不同认证凭证的方法和装置的制作方法
用于支持不同认证凭证的方法和装置本申请要求2005年12月1日提交的题为"Method for supporting IMS connectivity on an AT and general Internet connectivity to a TD when each service requires different link authentication credentials (用于在每个月艮务要求 不同链路认证凭证时支持AT上的IMS连通性以及到TD的通用因特网连 通性的方法)"的、转让给本受让人并通过引用结合于此的美国临时申请S/N. 60/742,130的优先权。背景I. 领域本公开一般涉及数据通信,尤其涉及用于支持数据服务的技术。II. 背景无线通信网络被广泛地用来对接入终端提供各种数据服务。数据服务 可以是由网络提供的任何服务并涉及数据的交换。此类数据服务的示例包 括语音、视频、通用因特网连通性、多媒体流送和广播服务、短消息服务 (SMS)和文本接发服务、基于地理位置的服务等。数据服务的频谱及其 能力持续快速增长,且新的数据应用持续被开发以利用这些数据服务。接入终端可与无线网络通信以获得譬如IP上语音(VoIP)的基于网际 协议(IP)的服务的数据服务。接入终端可被耦合至终端设备并被该终端 设备用来获得例如通用因特网服务的另一数据服务。这两个数据服务可经 由不同网络获得并可使用不同凭证。凭证是用于验证/认证给定用户/设备的 信息。凭证通常包括标识信息(例如,用户名)和可验证该标识信息的秘 密信息(例如,口令)。支持接入终端和终端设备上并发的不同数据服务 是合乎需要的,即使这些数据服务使用不同凭证也是如此。概述本文描述了用于支持带有不同凭证的并发数据服务的技术。可通过在 新凭证可用的任何时候使无线通信网络认证用户/设备来支持不同的凭证。 对于不同的认证协议,使用新凭证的认证可以不同方式来触发和执行。在一方面,接入终端经由点对点协议(PPP)链路向分组数据服务节点(PDSN)发送第一凭证,并从该PDSN接收基于第一凭证对第一数据服务的 成功认证的指示。该接入终端从内部应用或耦合至接入终端的终端设备接收 对第二数据服务的请求和第二凭证。然后在第一数据服务进行(或继续建 立)的同时,接入终端经由PPP链路向PDSN发送第二凭证。接入终端然 后从PDSN接收基于第二凭证对第二数据服务的成功认证的指示。接入终端可使用质询握手认证协议(CHAP)与PDSN执行认证。在此情 形中,接入终端可发送配置请求分组以触发由PDSN对第二数据服务的认 证。接入终端随后可从PDSN接收CHAP质询分组,并且作为响应,向该 PDSN发送带有第二凭证的CHAP响应分组。或者,接入终端可使用口令认 证协议(PAP)与PDSN执行认证。在此情形中,接入终端可发送带有第二 凭证的PAP认证请求分组以发起由PDSN对第二数据服务的认证。第一数据服务可以是例如IP多媒体子系统(IMS)服务的任何数据服 务,并且可由接入终端从例如无线网络的第一网络获得。第二数据服务也 可以是例如通用因特网服务的任何数据服务,并且可由内部应用或终端设 备从例如因特网服务提供商(ISP)网络的第一网络或第二网络获得。可使 用第一网络控制协议(NCP)——例如针对IPv6的IP版本6控制协议(IPv6CP)——针对第一数据服务配置例如IP版本6 (IPv6)的第一网络 层协议。可使用第二 NCP——例如针对IPv4的网际协议控制协议GPCP)—针对第二数据服务配置例如IP版本4 (IPv4)的第二网络层 协议。在以下更详细地描述本公开的各个方面和特征。附图简述
图1示出无线网络和ISP网络。 图2示出图1中各个实体处的协议栈。图3示出对IMS服务的分组数据呼叫的呼叫流程。图4示出使用CHAP支持不同凭证的呼叫流程。图5示出使用PAP支持不同凭证的呼叫流程。图6示出由接入终端执行的用不同凭证支持并发数据服务的过程。图7示出由PDSN执行的用不同凭证支持并发数据服务的过程。图8示出图1中各个实体的框图。详细描述本文所描述的技术可用于各种无线通信网络。术语"网络"和"系统" 通常可互换地使用。例如,这些技术可用于码分多址(CDMA)网络、时 分多址(TDMA)网络、频分多址(FDMA)网络、正交FDMA (OFDMA) 网络等。CDMA网络可实现诸如cdma2000、宽带CDMA (W-CDMA)等 无线电技术。cdma2000涵盖IS-2000、 IS-95和IS-856标准。TDMA网络可 实现诸如全球移动通信系统(GSM)、数字高级移动电话系统(D-AMPS) 等无线电技术。这些无线电技术和标准在本领域中是已知的。在来自称为 "第三代伙伴合作计划(3GPP)"的组织的文献中描述了 W-CDMA和GSM。 在来自称为"第三代伙伴合作计划2 (3GPP2)"的组织的文献中描述了 cdma2000。 3GPP和3GPP2文献是公众可得到的。出于清晰起见,以下针对实现cdma2000系列标准的cdma2000进行描 述。在cdma2000中,IS-2000版本0和A统称为CDMA2000 IX (或简称 为lX),IS-2000版本C统称为CDMA2000 lxEV-DV(或简称为lxEV-DV), 而IS-856统称为CDMA2000 lxEV-DO (或简称为lxEV-DO)。图1示出了具有无线网络100和ISP网络102的部署。接入终端120 可与无线终端100通信以获得由无线网络100和/或ISP网络102支持的数 据服务。接入终端120也可称为移动站、用户装备、用户终端、订户单元、 站等。接入终端120可以是蜂窝电话、个人数字助理(PDA)、数字卡或 能够提供对无线网的接入的某些其它设备。接入终端120可经由有线线路连接(如图1中所示)或无线连接耦合 至终端设备IIO。终端设备IIO也可称为终端装备、TE2设备等。终端设备110可以是膝上型计算机、PDA或某种其它计算设备。终端设备110可使 用各种硬件和/或软件互连与接入终端120通信。当终端设备110被耦合至 接入终端120时,移动用户可经由终端设备110获得各种数据服务。为了 获得这些数据服务,终端设备110与接入终端120通信,该接入终端又与 无线网络100通信,后者可进一步与诸如ISP网络102的其它网络交换数 据。接入终端120提供无线电通信,而终端设备110支持对数据服务的端 对端通信。无线网络100包括支持接入终端的无线电通信的无线电网络130和执 行各种功能以支持各种服务的网络实体。无线电网络130包括与接入终端 通信的基站132以及在其控制下对基站提供协调及控制并路由分组数据的 基站控制器/分组控制功能(BSC/PCF) 134。 PDSN 140支持对无线网络100 中的接入终端的数据服务。例如,PDSN140可负责接入终端的PPP会话的 建立、维护和终止,并且还可向接入终端指派动态IP地址。PDSN 140可 耦合至数据网络150,该网络可包括因特网、专用数据网和/或公共数据网。 PDSN 140可经由数据网络150与各种实体通信。呼叫会话控制功能(CSCF) 142执行各种功能以支持诸如VoIP、多媒 体等IMS服务。CSCF 142可接受请求并在内部服务它们或将它们转发到其 它实体、路由来自另一网络的请求、执行对接入终端的会话控制服务、维 护会话状态以支持IMS服务等。认证、授权和记账(AAA)服务器144验 证/认证请求接入数据服务的接入终端、授权或拒绝接入请求(例如,基于 服务预订)、以及提供准许或拒绝接入的响应。无线终端IOO和无线电网 络130可包括出于简便起见而未在图1中示出的其它网络实体。ISP网络102包括ISP网关160和AAA服务器164。 ISP网关160可 接收来自设备的接入ISP服务器(未在图1中示出)的请求,并且可在请 求设备和ISP服务器之间路由数据。PDSN 140可经由数据网络150 (如图 1中所示)、或者经由诸如租用线路或VPN类连接、或经由某些其它手段 与ISP网关160通信。AAA服务器164执行对ISP网络102的认证和授权。 ISP网络102也可包括出于简便起见而未在图1中示出的其它网络实体。图2示出了图1中各个实体处的示例协议栈。每个实体的协议栈都可包括传输层、网络层、链路层和物理层。终端设备110和接入终端120可在传输层使用传输控制协议(TCP)、 用户数据报协议(UDP)或某种其它协议来与远程设备或服务器通信。TCP 和UDP通常在网络层的IP之上运行。传输层数据(例如,针对TCP和/ 或UDP的)被封装在IP分组中,这些分组可由终端设备110和接入终端 120经由无线电网络130、 PDSN 140和可能的ISP网关160与远程设备/服 务器交换。终端设备110与接入终端120之间的链路层可以是以太网或在物理层 之上运行的某一其它协议。接入终端120和无线电网络130之间的链路层 通常依赖于无线电网络所使用的无线电技术。对于cdma2000,链路层是通 过无线电链路协议(RLP)用PPP来实现的。接入终端120维护与PDSN 140 的PPP会话/链路以供数据会话,并经由RLP与无线电网络130通信以供数 据交换。RLP在空中接口 (例如,cdma2000中的IS-2000或IS-856)之上 运行。无线电网络130经由在物理层之上运行的技术相关接口 (例如,在 cdma2000中为"R-P"接口 )来与PDSN 140通信。PDSN 140可通过链路 层和物理层经由IP与ISP网关160通信。接入终端120可在通电时针对IMS 向无线网络100注册,以使得可用的所有IMS服务可到达该接入终端。在 注册了 IMS之后,接入终端120可一直维护与无线网络100的开放数据连 接,以使得另一设备可针对例如VoIP、即时消息接发(IM)等联系接入终 端。因此,接入终端120可在注册了 IMS之后维护开放数据连接,以便于 保持可达性,并且可以活跃或可以不活跃地参与数据服务。图3示出了由接入终端120针对IMS注册发起的分组数据呼叫的呼叫 流程300。例如,在接入终端120通电时,接入终端120接收到发起分组数 据呼叫的请求(步骤a)。然后,接入终端120与无线电网络130 (未在图 1中示出)交换信令以建立例如用于建立话务信道的无线电链路。然后,接入终端120与PDSN 140交换信令以建立PPP会话/链路和配 置网络层协议。PPP建立由三个阶段构成——链路建立阶段、认证阶段和 网络层协议阶段。在公众可获得的题为"The Point-to-Point Protocol (PPP) (点对点协议(PPP))"的请求注解(RFC) 1661中描述了这三个阶段。链路建立阶段使用链路控制协议(LCP)来执行以建立、配置和测试 接入终端120与PDSN 140之间的数据链路连接(步骤b)。在此阶段中, 接入终端120向PDSN 140发送一个或多个LCP配置分组,并监听来自 PDSN的LCP配置确认(Configure-Ack)分组。类似地,PDSN 140向接入 终端120发送一个或多个LCP配置分组,并监听来自该接入终端的LCP配 置确认分组。当接入终端120和PDSN 140两者皆接收到LCP配置确认分 组时,链路建立阶段完成。链路建立阶段可标识在认证阶段使用的特定特 征协议。认证阶段对于PPP是任选的,并且可在链路建立阶段完成之后执行(步 骤c)。此阶段可使用CHAP、 PAP或某一其它认证协议来认证接入终端 120。对于如图3中所示的CHAP, PDSN 140向接入终端120发送包含由 PDSN 140生成的随机质询值的CHAP质询分组(步骤cl)。接入终端120 随后返回包含IMS凭证、基于从CHAP质询分组处获得的质询值生成的质 询响应值、和共享密钥/口令的CHAP响应分组(步骤c2) 。 IMS凭证可包 括将用于认证接入终端120以及确定接入终端120是否被针对IMS授权的 标识符和口令。PDSN 140也可计算质询响应值。参照接收到的质询响应值 比较计算出的质询响应值,并且如果计算出的值和接收到的值相等,则接 入终端120被认证。PDSN 140随后将返回CHAP成功分组(步骤c3)。 否则,PDSN 140将返回CHAP失败分组(未在图3中示出)。在数据会话 期间,PDSN 140可在任何时间发送CHAP质询分组。在公众可获得的、题 为"PPP Challenge Handshake Authentication Protocol (CHAP) (PPP质询握 手认证协议(CHAP))"的RFC 1994中描述了 CHAP。对于未在图3中示出的PAP,接入终端120将在PAP认证请求分组中 向PDSN 140发送其IMS凭证。然后,PDSN 140可基于IMS凭证执行认 证并将返回PAP认证确认(或否定确认)分组以指示成功(或失败)的认 证。接入终端120可"畅通无阻(in the clear)"地重复发送IMS直至认证 被确认。接入终端120可决定何时以及多频繁地向PDSN 140发送PAP认 证请求分组。在公众可获得的、题为"PPP Authentication Protocols (PPP 认证协议)"的RFC 1334中描述了 PAP。PDSN 140可在认证阶段期间连接到AAA服务器144并与AAA服务 器144交换信令以证实凭证(同样为步骤c) 。 PDSN 140可使用用户名和/ 或网络接入标识符(NAI)来标识要使用哪个AAA服务器——在此示例中 为AAA服务器144。 PDSN 140可随后将信息(例如,质询和响应)转发 给AAA服务器144,后者可随后认证这些凭证。通常,PPP级的认证阶段 认证链路/设备,而更高层认证特定数据服务。然而,PPP级也可用来便于 对更高层的认证,如下所述。在任一情形中,对IMS的授权可基于由接入 终端120在步骤c2发送的IMS凭证。网络层协议阶段在认证阶段完成之后执行并使用网络控制协议(NCP) (步骤d)。此阶段可建立并配置诸如IP版本4 (IPv4) 、 IP版本6 (IPv6)、 互联网分组交换协议(IPX) 、 AppleTalk等各种网络层协议中的任一种。 NCP族存在于PPP内,并且每个NCP被定义成配置不同的网络层协议(诸 如以上所定义的那些)。例如,IPv4可用在题为"The PPP Internet Protocol Control Protocol (IPCP) (PPP网际协议控制协议(IPCP))"的RFC 1332 中描述的网际协议控制协议(IPCP)来配置。IPv6可用在题为"IP Version 6 over PPP (通过PPP的IP版本6)"的RFC 2472中描述的IP版本6控制 协议(IPv6CP)来配置。这些RFC文献是公众可获得的。网络层协议阶段 配置用于所选网络层协议的有关参数。在图3中所示的示例中,由于IMS 使用IPv6,因此此阶段使用IPv6CP来配置IPv6参数。在完成网络层协议阶段之后,接入终端120具有与PDSN 140的PPP 会话/链路。PPP会话可打开任何持续时间,直至其由接入终端120或PDSN 140终止。接入终端120可与CSCF 142交换IMS信令以建立IMS (未在图 3中示出)。此后,接入终端120可经由PDSN与CSCF 142交换IMS的 IPv6分组(步骤e)。图3示出其中接入终端120可经由PDSN 140获得IMS服务的简单情 形。如上所述,接入终端120可用于为在接入终端120中执行的应用以及 在终端设备110中执行的应用获得数据连通性。可存在接入终端120具有 活跃IMS应用而终端设备IIO具有期望数据连通性的应用的情形。例如, 接入终端120可具有与无线网络100的VoIP呼叫,并且终端设备110可期望来自ISP网络102的通用因特网服务。作为另一示例,接入终端120可 具有如上所述的对IMS的开放数据连接。用户在其未经由接入终端120活 跃地参与任何数据服务的情况下可能不知道此开放数据连接,并且可能希 望经由终端设备UO获得通用因特网连通性。在以上示例中,通用因特网连通性可由取代无线网络运营商的第三方 提供,并且可使用与无线网络运营商所用的凭证不同的凭证。例如,ISP网 络102可要求终端设备110使用ISP凭证向ISP网络认证它自己,该ISP 凭证可在终端设备110处提供并可用于ISP网络102。接入终端120可备有 可用于无线网络100的IMS凭证。在接入终端120处用于IMS应用的凭证 可属于无线网络100的运营商,而在终端设备110处用于因特网服务的ISP 凭证可属于ISP。在cdma2000中,接入凭证通常在PPP建立的认证阶段提供,例如, 如图3中所示。PPP不提供用于提交例如IMS和第三方ISP因特网服务的 多个凭证的机制。此外,多个凭证可在不同时间和/或由不同设备提交。例 如,IMS凭证可被存储在接入终端120中并且可在通电时被提供。ISP凭证 可被存储在终端设备110或接入终端120中,或者可由用户经由终端设备 110或接入终端120来提供。当因特网会话或者由接入终端120上的应用或 者由栓系到接入终端120的终端设备110启动并请求服务时,可使用ISP 凭证。这种请求可能在IMS应用在接入终端120处运行之后的某个时间发 生。在一方面,不同数据服务的不同凭证可通过在新的凭证可用的任何时 候——例如在IMS会话建立之后需要通用因特网服务时——使无线网络 100认证用户/设备来支持。对于不同的认证协议,使用新凭证的认证可以 不同方式来触发和执行。通常,使用新凭证的认证可用能在数据会话期间 的任意时间运行的任何认证协议来执行。图4示出使用CHAP支持不同凭证的呼叫流程400。接入终端120接 收针对IMS服务发起分组数据呼叫的请求(步骤a),并与无线电网络130 交换信令以建立无线电链路。然后,接入终端与PDSN 140交换LCP分组 以建立、配置和测试数据链路连接(步骤b)。接入终端120由PDSN 140使用CHAP来认证,并且由AAA服务器基于接入终端120所提供的IMS 凭证来对所请求的IMS服务授权。接入终端120随后与PDSN 140交换 IPv6CP分组以配置针对IMS的IPv6(步骤d)。接入终端120也与CSCF 142 交换IMS信令以设置IMS,并在此后经由PDSN 140和CSCF 142获得IMS服务。在稍后的时间,终端设备IIO被附连到接入终端120并接收例如来自 用户或在终端设备IIO处运行的应用的、对因特网服务的请求(步骤f)。 终端设备110随后向接入终端120发送建立针对因特网服务的IPv4的连接 请求(步骤g)。此连接请求可包括认证信息(例如,用于对因特网服务的 认证的ISP凭证)、连接信息(例如,NAI、身份或地址ISP网络102)等。 连接请求触发接入终端120发送IPCP配置请求分组来建立用于终端设备 110的因特网服务的IPv4 (步骤h)。尽管未在图4中示出,但连接请求也 可由在接入终端120处运行的应用或用户经由接入终端120发送。ISP凭证用于验证用户是否被允许使用所请求的数据服务——在此示 例中为通用因特网连通性。ISP凭证属于用户。接入终端120(a)通过从终端 设备IIO获取ISP凭证并将它们转发到无线网络IOO来充当网关,以及(b) 通过对ISP凭证转移使用另一协议来充当代理。IPCP配置请求分组触发PDSN 140对接入终端120进行重新CHAP(步 骤i)。重新CHAP通常用于使用CHAP重新认证用户/设备。在此情形中, 重新CHAP用于用不同凭证对另一数据服务认证。对于重新CHAP, PDSN 140向接入终端120发送包含质询值的CHAP质询分组(步骤il)。接入 终端120返回包含ISP凭证和质询响应值的CHAP响应分组(步骤i2)。 ISP凭证可包括指示哪个网络/域将执行认证的用户名/NAI或某些其它信 息。PDSN 140可识别ISP凭证是针对另一数据服务的,并且可基于用户名 /NAI或某些其它信息来标识适当的AAA服务器(在此示例中为AAA服务 器164) 。 PDS 140随后将接收到的质询响应值和计算出的质询响应值转发 到AAA服务器164,后者比较两个值并且如果这两个值相等则返回成功认 证的指示。PDSN 140随后将CHAP成功分组返回给接入终端120(步骤i3)。因此,PDSN 140可与AAA服务器164交换信令以供基于由终端设备110提供且由接入终端120转发的ISP凭证来认证和授权所请求的因特网服 务(同样为步骤i) 。 PDSN 140可例如使用由终端设备IIO提供或在PDSN 140处可用的连接信息来直接与AAA服务器164通信,如图4所示。PDSN 140也可与无线网络100中的AAA服务器144通信,而AAA服务器144 可与AAA服务器164通信或充当其代理(未在图4中示出)。在完成认 证阶段之后,接入终端120与PDSN 140交换IPCP分组以配置用于终端设 备110的针对因特网服务的IPv4 (步骤j)。步骤i中NAI和成功认证还触 发PDSN140"激活"所请求的因特网服务,例如,PDSN140可建立到ISP 网关160的隧道(同样是步骤j)。步骤g允许终端设备110和接入终端120传递用于从ISP网络102获 得因特网服务的ISP凭证。在图4中所示的示例中,ISP凭证被用在步骤i 中的重新CHAP期间,而IMS凭证被用在步骤c中的初始CHAP操作期间。 PDSN140可使用ISP凭证与ISP网关160建立因特网服务(步骤j)。通常, 这两个数据服务可以是任何类型的数据服务,并且任何凭证可用于这些数 据服务。在完成对因特网服务的IPv4的配置之后,接入终端120通知终端设备 110其被连接到ISP网络102 (步骤k)。此时,终端设备110具有与ISP 网络102的IPv4因特网服务,而接入终端120具有并发的与无线网络100 的IMS (IPv6)服务(步骤l)。接入终端120可与PDSN 140交换用于接 入终端120针对IMS服务的分组和用于终端设备IIO的针对因特网服务的 分组。对于IMS服务,接入终端120可经由PDSN 140与CSCF 142交换分 组。对于因特网服务,终端设备110可经由接入终端120和PDSN 140与 ISP网关交换分组。在稍后的时间,终端设备110发送终止因特网服务的断开请求(步骤 m)。该断开请求触发接入终端120向PDSN 140发送IPCP配置请求分组 以终止IPCP,这在随后导致终端设备110与ISP网络102的因特网会话的 终止(步骤n)。此时,接入终端120仍然具有针对IMS服务的己连接数 据会话,但是终端设备IIO不再被连接(步骤o)。图5示出使用PAP的支持不同凭证的呼叫流程500。呼叫流程500的步骤a到e分别类似于图4中呼叫流程400的步骤a到e。然而,在步骤c 中,接入终端120是使用PAP (替代CHAP)来认证的。在稍后的时间,终端设备IIO接收对因特网服务的请求(步骤f)并向 接入终端120发送建立IPv4的连接请求及其ISP凭证(步骤g)。该连接 请求触发接入终端120发起使用PAP对因特网服务的认证(步骤h)。对 于因特网服务的认证,接入终端120向PDSN 140发送包含ISP凭证的PAP 认证请求分组(步骤hl)。PDSN 140可与AAA服务器164交换信令,以基于由终端设备110提 供且由接入终端120转发的ISP凭证来认证和授权所请求的因特网服务(同 样为步骤h)。在从AAA服务器164接收到成功认证的指示之后,PDSN 140 返回PAP认证确认分组以传达成功认证(步骤h2)。在完成认证阶段之后, 接入终端120与PDSN 140交换IPCP分组以配置用于终端设备110的针对 因特网服务的IPv4 (步骤O 。步骤g允许终端设备110和接入终端120传递用于从ISP网络102获 得因特网服务的ISP凭证。ISP凭证被用在步骤h中的第二 PAP操作期间, 而IMS凭证被用在步骤c中的初始PAP操作期间。PDSN 140可使用ISP 凭证与ISP网关160建立因特网服务(步骤i)。呼叫流程500的步骤j到 步骤n分别与图4中的呼叫流程400的步骤k到o相同。如图4和5中所示,对于不同的认证协议,对新的数据服务的认证可 以不同的方式来触发。CHAP是由认证方——图4和5中的PDSN 140—— 发起的。在此情形中,接入终端120可发送适当的分组以触发PDSN 140 发起认证。触发分组可以是要用于新数据服务的网络层协议的配置请求分 组,例如,IPCP配置请求分组(如图4中所示)、IPv6CP配置请求分组等。 相反,PAP是由正被认证的对等设备——图4和5中的接入终端120——发 起的。接入终端120可在任何时间发送PAP认证请求以发起由PDSN 140 进行的认证,这并未在RFC 1334中定义,但是可由PDSN 140支持。对于 所有认证协议,在需要用不同凭证的新数据服务的任何时候,接入终端120 都可或者发起认证(例如,对于PAP),或者触发PDSN发起认证(例如, 对于CHAP)。在图4的呼叫流程400和图5的呼叫流程500中,新数据服务(例如, 因特网服务)的不同凭证是在认证该新数据服务期间被提供的。使用新凭 证的认证并不断开或移去现有数据服务和凭证(例如,对于IMS服务)。 即使在认证新数据服务期间使用新凭证,现有服务也应当继续工作。PDSN 140识别出新的服务正被添加,因此不用新的服务替换现有服务。PDSN 140 也可执行与新凭证相关联的新数据服务的设置。例如,PDSN140可建立到 第三方网络的数据连接,如图4和5中所示。PDSN 140也可与无线网络100 中的另一实体通信以通知该实体客户端已被认证且该客户端可获得数据服 务。PDSN 140也可使得以数据服务为目的的话务能够通过PDSN传递至数 据服务的适当服务器。在图4和5中所示的示例中,接入终端120使用IMS凭证获得IMS服 务,而终端设备110使用ISP凭证获得因特网服务。通常,每个设备可用 相同或不同凭证获得任何数目的数据服务。多个数据服务可由接入终端 120、或由终端设备100或者两者并发获得。例如,接入终端120可使用IMS 凭证以及使用因特网凭证并发获得IMS服务和因特网服务。多个数据服务 也可经由诸如图4和5所示的不同网络或经由同一网络获得。通常,任何网络层协议可针对每个数据服务使用。在图4和5中所示 的示例中,IPv6用于IMS服务而IPv4用于因特网服务。对不同的数据服务 使用不同的网络层协议可简化关于这些数据服务的分组的路由,如下所述。接入终端120路由分组以允许终端设备110和接入终端120并发地接 收不同的数据服务。接入终端120可从PDSN 140接收针对用于接入终端 120的IMS服务以及针对用于终端设备110的因特网服务的入站分组,并 可将这些分组转发到适当的目的地。如果不同的网络层协议可针对并发数 据服务(例如,图4和5中所示示例中的IPv4和IPv6)使用,则接入终端 120可基于每个分组的IP版本路由入站分组。接入终端120可将入站IPv6 分组沿其协议栈向上传递给在接入终端120运行的应用,并可将入站IPv4 分组转发给终端设备110。每个分组包括可被设置成或者IPv4或者IPv6的 版本字段。接入终端120可基于该版本字段确定每个分组的IP版本。如 果IPv6被用于两个数据服务,则接入终端120可使用IPv6地址和/或某些其它信息路由入站分组。接入终端120也可使用在PPP与协议栈的IP之间运作的网络接口来路由入站分组。每个网络接口可执行诸如分组过滤、路由、桥接等处理。路 由指检查分组报头中的IP地址并确定分组是以本地主机(进行路由的设备) 还是其它主机为目的地的过程。桥接指不管地址信息如何都将所有入站分组传递到特定主机的过程。接入终端120可对IPv4和IPv6分组使用单独的 网络接口。用于IPv4的网络接口 (或IPv4接口)可被配置成网桥,并且可 将所有入站IPv4分组传递到终端设备110。用于IPv6的网络接口 (或IPv6 接口)可被配置成路由器,并且可沿接入终端120处的协议栈向上传递入 站IPv6分组。如果IPv6被用于两个数据服务,则可对桥接至终端设备UO 的IPv6地址使用单独的网络接口 。接入终端120可从终端设备110和/或接入终端120接收针对并发数据 服务的出站分组。接入终端120可将出站分组简单地转发到PDSN140。无 需对出站分组进行特殊处理。图6示出由接入终端120执行以用不同凭证支持并发数据服务的过程 600。接入终端120经由PPP链路向PDSN 140发送第一凭证(框612)并 从PDSN接收基于该第一凭证对第一数据服务的成功认证的指示(框614)。 作出是否请求第二数据服务的确定(框616)。如果回答为"否",则过程 返回到框616。否则,如果对于框616,回答为"是",则接入终端120可 从终端设备110 (或内部应用)接收对第二数据服务的请求和第二凭证。在 第一数据服务进行或继续被建立的同时,接入终端120随后经由PPP链路 向PDSN140发送第二凭证(框618)。接入终端120随后从PDSN140接 收基于第二凭证对第二数据服务的成功认证的指示(框620)。如果接入终端120被配置成使用CHAP与PDSN执行认证,则对于框 618,接入终端120可发送IPCP或IPv6CP (取决于第二数据服务)的配置 请求分组,这些分组将触发PDSN 140对第二数据服务的认证。接入终端 120随后可从PDSN 140接收CHAP质询分组,并且作为响应,向PDSN 140 发送带有第二凭证的CHAP响应分组。或者,如果接入终端120被配置成 使用PAP与PDSN 140执行认证,则对于框618,接入终端120可发送带有第二凭证的PAP认证请求分组以发起由PDSN 140对第二数据分组的认 证。通常,接入终端120可针对第一数据服务使用第一认证协议(例如, CHAP或PAP)与PDSN 140执行认证,并针对第二数据服务使用第二认证 协议(例如,CHAP或PAP)与PDSN 120执行认证。第一认证协议可与第 二认证协议相同或不同。第一数据服务可以是任何数据服务(例如,IMS服务),并且可由接 入终端120从第一网络获得。第二数据服务也可以是任何数据服务(例如, 因特网服务),并且可由终端设备110或接入终端120从第一网络或第二 网络获得。可针对第一数据服务建立到第一网络实体的第一连接,并可针 对第二数据服务建立到第二网络实体的第二连接。可使用第一 NCP (例如, IPv6CP)针对第一数据服务配置第一网络层协议(例如,IPv6)。可使用 第二NCP (例如,IPCP)针对第二数据服务配置第二网络层协议(例如, IPv4)。接入终端120可从PDSN 140接收第一和第二数据服务的入站分组。 接入终端120可将第一数据服务的入站分组沿接入终端120处的协议栈向 上传递并可将第二数据服务的入站分组传递到终端设备110。接入终端120 可基于每个分组中所包括的IP版本来标识第一和第二数据服务的入站分 组。接入终端120可向PDSN 140发送第一和第二数据服务的出站分组。图7示出由PDSN 140执行以用不同凭证支持并发数据服务的过程 700。 PDSN 140经由PPP链路从接入终端120接收针对第一数据服务的第 一凭证(框712)并基于该第一凭证执行对第一数据服务的认证(框714)。 如果认证成功,则PDSN140还可执行对第一数据服务的设置(例如,建立 数据连接)(框716)。在第一数据服务进行的同时,PDSN140经由PPP 链路从接入终端120接收针对第二数据服务的第二凭证(框718)。PDSN 140 基于第二凭证执行对第二数据分组的认证(框720)。由PDSN140对每个 数据服务进行认证的处理可取决于用于认证的认证协议、指定用以执行认 证的网络/域、指定用以执行认证的实体等。PDSN140可与第一AAA服务 器通信以认证第一数据服务,并且可与第一 AAA服务器或第二 AAA服务 器通信以认证第二数据服务。如果对第二数据服务的认证成功,则PDSN140还可执行对第二数据服务的设置(例如,与ISP网关160建立IPv4连 接)(框722)。PDSN 140可使用CHAP执行认证。在此情形中,对于框718,PDSN 140 可从接入终端120接收IPCP或IPv6CP配置请求分组从而触发对第二数据 服务的认证。PDSN 140随后可向接入终端120发送CHAP质询分组并可接 收带有第二凭证的CHAP响应分组。或者,PDSN 140可使用PAP执行认 证。在此情形中,对于框718, PDSN 140可从接入终端120接收带有第二 凭证的PAP认证请求分组从而发起对第二数据服务的认证。通常,PDSN 140可使用第一认证协议(例如,CHAP或PAP)对第一数据服务执行认证, 并可使用第二认证协议(例如,CHAP或PAP)对第二数据服务执行认证。 第一认证协议可与第二认证协议相同或不同。图8示出图1中终端设备110、接入终端120、无线电网络130和PDSN 140的框图。出于简便起见,图8示出(a)终端设备110的一个控制器/处 理器810、 一个存储器812和一个通信(Comm)单元814; (b)接入终端120 的一个控制器/处理器820、 一个存储器822、 一个通信单元824和一个收发 机826; (c)无线电网络130的一个控制器/处理器830、 一个存储器832、 一 个通信单元834和一个收发机836;以及(d)PDSN 140的一个控制器/处理器 840、 一个存储器842和一个通信单元844。通常,每个实体可包括任何数 目的控制器、处理器、存储器、收发机、通信单元等。在下行链路上,无线电网络130中的基站向其覆盖区内的接入终端传 送话务数据、信令/消息和导频。这些各种类型的数据由处理器830处理并 由收发机836调理以生成经由基站天线传送的下行链路信号。在接入终端 120处,来自基站的下行链路信号经由天线接收、由收发机826调理、并由 处理器820处理以获得话务数据、信令等。处理器820可在上述的呼叫流 程中为接入终端120执行处理,并且也可执行图6中的过程600和/或其它 过程以用不同凭证支持并发数据服务。在上行链路上,接入终端120可向基站传送话务数据、信令和导频。 这些各种类型的数据由处理器820处理并由收发机826调理以生成经由接 入终端天线传送的上行链路信号。在无线电网络130处,来自接入终端120的上行链路信号由收发机86接收并调理,并进一步由处理器830处理以获 得话务数据、信令等。存储器822和832分别为接入终端120和无线电网 络130存储程序代码和数据。无线电网络130可经由通信单元834与其它 网络实体通信。
在终端设备110内,处理器810为终端设备执行处理,并进一步指令 终端设备内的各个单元的操作。存储器812为终端设备110存储程序代码 和数据。通信单元814和824支持终端设备110与接入终端120之间的通信。
在PDSN 140内,处理器840为PDSN执行处理,并进一步指令PDSN 内的各个单元的操作。存储器842为PDSN 140存储程序代码和数据。通信 单元844允许PDSN 140与其它实体通信。处理器840可在上述呼叫流程中 为PDSN 140执行处理,并且也可执行图7中的过程700和/或其它过程以 用不同凭证支持并发数据服务。
本文所描述的技术可通过各种手段来实现。例如,这些技术可在硬件、 固件、软件或其任何组合中实现。对于硬件实现,用于在实体(例如,接 入终端120、 PDSN140等)处执行技术的处理单元可在一个或多个专用集 成电路(ASIC)、数字信号处理器(DSP)、数字信号处理器件(DSPD)、 可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、 微控制器、微处理器、电子器件、设计成执行本文所述功能的其它电子单 元、计算机、或组合内实现。
对于固件和/或软件实现,这些技术可用执行本文所描述的功能的模块 (例如,过程、函数等)来实现。固件和/或软件代码可被存储在存储器(例 如,图8中的存储器812、 822、 832或842)中并由处理器(例如,处理器 810、 820、 830或840)来执行。存储器可在处理器内或处理器外实现。
实现本文所述技术的装置可以是独立单元或者可以是设备的一部分。 设备可以是(i)独立集成电路(IC) ; (ii)可包括用于存储数据和/或指令的 存储器IC的一个或多个IC; (iii)诸如移动站调制解调器(MSM)的ASIC; (iv)可嵌入其它设备内的模块;(v)蜂窝电话、无线设备、手持机、或移动单 元;(vi)及其它。提供以上对本公开的描述是为了使得本领域任何技术人员皆能制作或使 用本公开。对本公开的各种修改容易为本领域技术人员所显见,并且在此所定义的普适原理可被应用于其它变体而不会脱离本公开的精神或范围。因而,本 发明并非意在被限定于本文中所描述的示例,而是应当被授予与本文中所公开 的原理和新颖性特征相一致的最广义的范围。
权利要求
1.一种装置,包括处理器,它被配置成经由点对点协议(PPP)链路向分组数据服务节点(PDSN)发送第一凭证、接收基于所述第一凭证对第一数据服务的成功认证的指示、在所述第一数据服务进行的同时经由所述PPP链路向所述PDSN发送第二凭证、以及接收基于所述第二凭证对第二数据服务的成功认证的指示;以及存储器,它被耦合至所述处理器。
2. 如权利要求1所述的装置,其特征在于,所述处理器被配置成从终端 设备接收对所述第二数据服务的请求以及所述第二凭证,并且其中响应于对所 述第二数据服务的请求,所述第二凭证被发送到所述PDSN。
3. 如权利要求l所述的装置,其特征在于,所述处理器被配置成使用质 询握手认证协议(CHAP)与所述PDSN执行认证。
4. 如权利要求3所述的装置,其特征在于,所述处理器被配置成以网际 协议控制协议(IPCP)或IP版本6控制协议(IPv6CP)发送配置请求分组从 而触发对所述第二数据服务的认证。
5. 如权利要求4所述的装置,其特征在于,所述处理器被配置成响应于 所述配置请求分组从所述PDSN接收CHAP质询分组,以及向所述PDSN发送 带有所述第二凭证的CHAP响应分组。
6. 如权利要求l所述的装置,其特征在于,所述处理器被配置成使用口 令认证协议(PAP)与所述PDSN执行认证。
7. 如权利要求6所述的装置,其特征在于,所述处理器被配置成发送带 有所述第二凭证的PAP认证请求分组以发起对所述第二数据服务的认证。
8. 如权利要求1所述的装置,其特征在于,所述处理器被配置成针对所 述第一数据服务使用第一认证协议与所述PDSN执行认证,以及针对所述第二 数据服务使用第二认证协议与所述PDSN执行认证。
9. 如权利要求1所述的装置,其特征在于,所述处理器被配置成针对所 述第一数据服务建立到第一网络实体的第一连接,以及针对所述第二数据服务建立到第二网络实体的第二连接。
10. 如权利要求9所述的装置,其特征在于,所述PDSN和第一网络实体 处于第一网络中,而所述第二网络实体处于第二网络中。
11. 如权利要求l所述的装置,其特征在于,所述处理器被配置成使用第 一网络控制协议(NCP)针对所述第一数据服务配置第一网络层协议,以及使 用第二 NCP针对所述第二数据服务配置第二网络层协议。
12. 如权利要求l所述的装置,其特征在于,所述处理器被配置成针对所 述第一数据服务配置网际协议版本6 (IPv6),以及针对所述第二数据服务配 置网际协议版本4 (IPv4)。
13. 如权利要求2所述的装置,其特征在于,所述处理器被配置成从所述 PDSN接收所述第一和第二数据服务的入站分组、沿所述装置处的协议栈向上 传递所述第一数据服务的入站分组、以及将所述第二数据服务的入站分组转发 到所述终端设备。
14. 如权利要求13所述的装置,其特征在于,所述第一和第二数据服务 利用不同的网际协议(IP)版本,并且其中所述处理器被配置成基于每个入站 分组中所包括的IP版本标识所述第一和第二数据服务的入站分组。
15. 如权利要求2所述的装置,其特征在于,所述第一数据服务由所述装 置从第一网络获得,而所述第二数据服务由所述终端设备从第二网络获得。
16. 如权利要求l所述的装置,其特征在于,所述第一数据服务是IP多 媒体子系统(IMS)服务,而所述第二数据服务是因特网服务。
17. —种方法,包括经由点对点协议(PPP)链路向分组数据服务节点(PDSN)发送第一凭证;接收基于所述第一凭证对第一数据服务的成功认证的指示; 在所述第一数据服务进行的同时经由所述PPP链路向所述PDSN发送第 二凭证;以及接收基于所述第二凭证对第二数据服务的成功认证的指示。
18. 如权利要求17所述的方法,其特征在于,所述发送第二凭证包括 发送配置请求分组以触发对所述第二数据服务的认证,响应于所述配置请求分组从所述PDSN接收质询握手认证协议(CHAP) 质询分组,以及向所述PDSN发送带有所述第二凭证的CHAP响应分组。
19. 如权利要求17所述的方法,其特征在于,所述发送第二凭证包括发 送带有所述第二凭证的口令认证协议(PAP)认证请求分组以发起对所述第二 数据服务的认证。
20. —种装置,包括用于经由点对点协议(PPP)链路向分组数据服务节点(PDSN)发送第 一凭证的装置;用于接收基于所述第一凭证对第一数据服务的成功认证的指示的装置; 用于在所述第一数据服务进行的同时经由所述PPP链路向所述PDSN发 送第二凭证的装置;以及用于接收基于所述第二凭证对第二数据服务的成功认证的指示的装置。
21. 如权利要求20所述的装置,其特征在于,所述用于发送第二凭证的 装置包括用于发送配置请求分组以触发对所述第二数据服务的认证的装置, 用于响应于所述配置请求分组从所述PDSN接收质询握手认证协议 (CHAP)质询分组的装置,以及用于向所述PDSN发送带有所述第二凭证的CHAP响应分组的装置。
22. 如权利要求20所述的装置,其特征在于,所述用于发送第二凭证的 装置包括用于发送带有所述第二凭证的口令认证协议(PAP)认证请求分组以 发起对所述第二数据服务的认证的装置。
23. —种用于存储可用于以下操作的指令的处理器可读介质 经由点对点协议(PPP)链路向分组数据服务节点(PDSN)发送第一凭证;接收基于所述第一凭证对第一数据服务的成功认证的指示; 在所述第一数据服务进行的同时经由所述PPP链路向所述PDSN发送第 二凭证;以及接收基于所述第二凭证对第二数据服务的成功认证的指示。
24. 如权利要求23所述的处理器可读介质,其特征在于,还包括用于存 储可用于以下操作的指令发送配置请求分组以触发对所述第二数据服务的认证, 响应于所述配置请求分组从所述PDSN接收质询握手认证协议(CHAP) 质询分组,以及向所述PDSN发送带有所述第二凭证的CHAP响应分组。
25. 如权利要求23所述的处理器可读介质,其特征在于,还包括用于存 储可用于以下操作的指令发送带有所述第二凭证的口令认证协议(PAP)认证请求分组以发起对所 述第二数据服务的认证。
26. —种装置,包括处理器,它被配置成经由点对点协议(PPP)链路从接入终端接收针对 第一数据服务的第一凭证、基于所述第一凭证对所述第一数据服务执行认 证、在所述第一数据服务进行的同时经由所述PPP链路从所述接入终端接 收第二数据服务的第二凭证、基于所述第二凭证对所述第二数据服务执行 认证;以及存储器,它被耦合至所述处理器。
27. 如权利要求26所述的装置,其特征在于,所述处理器被配置成针对 所述第二数据服务建立到网关或服务器的数据连接。
28. 如权利要求27所述的装置,其特征在于,所述处理器被配置成基于 与所述第二凭证相关联的网络接入标识符(NAI)确定所述网关或服务器。
29. 如权利要求26所述的装置,其特征在于,所述处理器被配置成与第 一认证、授权和记账(AAA)服务器通信以执行对所述第一数据服务的认证, 以及与所述第一 AAA服务器或第二 AAA服务器通信以执行对所述第二数据 服务的认证。
30. 如权利要求26所述的装置,其特征在于,所述处理器被配置成与认 证、授权和记账(AAA)服务器通信以执行对所述第二数据服务的认证,以及 响应于接收自所述AAA服务器的成功认证的指示执行对所述第二数据服务的 设置。
31. 如权利要求26所述的装置,其特征在于,所述处理器被配置成使用 质询握手认证协议(CHAP)对所述第二数据服务执行认证。
32. 如权利要求31所述的装置,其特征在于,所述处理器被配置成从所 述接入终端接收配置请求分组从而触发对所述第二数据服务的认证。
33. 如权利要求32所述的装置,其特征在于,所述处理器对所述配置请 求分组使用网络控制协议(NCP)来针对所述第二数据服务配置网络层协议。
34. 如权利要求32所述的装置,其特征在于,所述处理器被配置成响应 于所述配置请求分组向所述接入终端发送CHAP质询分组,以及从所述接入终 端接收带有所述第二凭证的CHAP响应分组。
35. 如权利要求26所述的装置,其特征在于,所述处理器被配置成使用 口令认证协议(PAP)对所述第二数据服务执行认证。
36. 如权利要求35所述的装置,其特征在于,所述处理器被配置成从所 述接入终端接收带有所述第二凭证的PAP认证请求分组从而发起对所述第二 数据服务的认证。
37. 如权利要求26所述的装置,其特征在于,所述处理器被配置成使用 第一认证协议对所述第一数据服务执行认证,以及使用第二认证协议对所述第 二数据服务执行认证。
38. —种方法,包括经由点对点协议(PPP)链路从接入终端接收针对第一数据服务的第一 凭证;基于所述第一凭证对所述第一数据服务执行认证; 在所述第一数据服务进行的同时经由所述PPP链路从所述接入终端接收针对第二数据服务的第二凭证;以及基于所述第二凭证对所述第二数据服务执行认证。
39. 如权利要求38所述的方法,其特征在于,还包括 与第一认证、授权和记账(AAA)服务器通信以认证所述第一数据服务;以及与所述第一 AAA服务器或第二 AAA服务器通信以认证所述第二数据服务。
40. 如权利要求38所述的方法,其特征在于,所述接收针对第二数据服 务的所述第二凭证包括从所述接入终端接收配置请求分组从而触发对所述第二数据服务的认证, 向所述接入终端发送质询握手认证协议(CHAP)质询分组,以及 从所述接入终端接收带有所述第二凭证的CHAP响应分组。
41. 如权利要求38所述的方法,其特征在于,所述接收针对第二数据服 务的所述第二凭证包括从所述接入终端接收带有所述第二凭证的口令认证协议(PAP)认证请求 分组从而发起对所述第二数据服务的认证。
全文摘要
描述了一种用于用不同凭证支持并发数据服务的技术。在新凭证被使用的任何时候,无线通信网络认证用户/设备。接入终端经由点对点协议(PPP)链路向分组数据服务节点(PDSN)发送第一凭证,并接收基于第一凭证对第一数据服务的成功认证的指示。该接入终端从内部应用或耦合至接入终端的终端设备接收对第二数据服务的请求和第二凭证。在第一数据服务进行的同时,接入终端随后经由PPP链路向PDSN发送第二凭证。接入终端从PDSN接收基于第二凭证对第二数据服务的成功认证的指示。接入终端可发送配置请求分组或认证请求分组以触发或发起由PDSN对第二数据服务的认证。
文档编号H04W12/06GK101336536SQ200680051988
公开日2008年12月31日 申请日期2006年12月1日 优先权日2005年12月1日
发明者M·利欧 申请人:高通股份有限公司