对双栈操作进行互通授权的方法和装置的制作方法

专利名称：对双栈操作进行互通授权的方法和装置的制作方法
技术领域：
概括地说，本发明涉及通信系统，具体地说，本发明涉及对双栈操作进行互通(interworking)授权的方法和装置。
背景技术：
近几年来，无线通信技术呈现出快速的发展。这种发展在某种程度上受到以下各项的推动无线技术所提供的移动自由度，以及在无线介质上语音和数据通信的显著改善的质量。语音业务连同附加数据业务的质量已经得到改善，并且将依旧对通信中的公众有着明显的影响。附加业务包括在漫游时使用移动设备访问互联网。
在移动时保证数据会话的能力对于用户和系统操作者来说都是很重要的。因为较多的用户使用移动互联网协议操作，所以用户期望使用双栈操作来同时访问相同的分组数据互通功能，从而允许同时使用2个版本的移
动互联网协议。分组数据互通功能(PDIF)用作保护蜂窝式网络的安全网关。
图1示出无线局域网(WLAN)的互通架构。该网络可以是根据由名称为"第三代合作伙伴计划2 (3M Generation Partnership Project 2)"(在本文表示为3GPP2)的协会提供的标准所定义的3GPP2标准运行的无线通信系统的一部分。架构100包括移动站(MS) 102，其连接至WLAN系统104。WLAN系统104包括接入点(AP) 106和接入路由器(AR) 108。 WLAN系统连接至3G家庭网络110。 WLAN系统经由分组数据互通功能(PDIF)122连接至3G家庭网络110。 PDIF 114连接至家庭认证、授权和计费(H-AAA)设备112。
MS通过PDIF建立安全IP隧道，其用作3G家庭网络中的安全网关。H-AAA 112对隧道建立进行认证和授权。在建立隧道之后，MS可访问3G家庭网络110中的业务。图l中的虚线表示认证、授权和计费信息的路径，并表示在H-AAA 112和PDIF 114之间的信息传送。实线示出用户数据业务的承载路径，管道表示用于保护在MS 102和PDIF 114之间的用户数据业务的安全隧道。
MS预先配置有PDIF地址信息(IP地址或完全合格的域名)。如果MS配置有PDIF的FQDN，则MS将通过域名系统(DNS)进行中继，以解析与FQDN相关的IP地址。MS使用互联网密钥交换版本2 (IKEv2)来建立具有PIDF的安全隧道(已知为用于数据传送的IP-sec隧道)。建立安全隧道的一部分需要通过图1中的H-AAA 112对MS进行认证和授权。MS可使用多个过程进行相互认证。在MS和H-AAA之间交换的可扩展认证协议(EAP)消息中传送包括凭证和随机挑战的认证信息。EAP消息通过MS和PDIF之间的IKEv2消息进行传输，还通过PDIF和H-AAA之间交换的RADIUS消息进行传输。
MS期望使用IPv4和IPv6两者同时访问同一 PDIF。这种双栈操作对PDIF提出了认证问题，即，PDIF需要知道针对IPv4和/或IPv6是否对MS进行了授权。此外，PDIF需要向MS指示，在针对IPv4和IPv6两者，请求双栈操作的MS都没有得到授权的情况下，对于上述IP版本之一，MS没有得到授权。需要一种方法和装置，用于向MS指示得到IP授权，还用于向MS指示对于两种IP版本该MS都没有得到授权。

发明内容
一种在通信系统中用于双栈授权和操作的方法，包括请求由通信系统中的授权实体进行认证；然后，如果所述认证成功，则从所述授权实体
接收认证消息，其中，所述认证消息包括对使用至少一个互联网协议版本来建立用于通信的至少一个安全隧道的授权。另一实施例提供一种方法，包括请求双桟操作，所述双栈操作使用多于一个互联网协议版本；接收双栈操作的授权，所述双栈操作使用多于
一个互联网协议版本；建立每个互联网协议版本的独立从属安全授权，其
中，所述从属安全授权从属于互联网密钥交换安全授权；建立用于通信的
至少一个安全隧道；以及使用所述用于通信的至少一个安全隧道来同时访
问两个互联网协议版本。
另一实施例提供一种方法，包括请求双栈操作，所述双栈操作使用多于一个互联网协议版本；通过消息接收一个互联网协议版本的授权，其
中，所述消息标识出被授权的至少一个互联网协议版本，所述消息还标识出没有被授权的至少一个互联网协议版本；建立被授权的互联网协议版本的安全授权，其中，所述被授权的互联网协议版本的安全授权从属于互联网密钥交换安全授权；建立用于通信的安全隧道；以及使用所述安全隧道进行通信。
另一实施例提供一种装置，包括以下元件发射机，用于请求由无线通信系统中的授权实体进行认证；接收机，用于在所述认证成功时从所述授权实体接收认证消息，其中，所述认证消息包含对使用至少一个互联网协议版本来建立用于通信的至少一个安全隧道的授权。
另外的实施例提供一种装置，包括以下元件用于请求双栈操作的发射机，所述双栈操作使用多于一个互联网协议版本；接收机，用于接收双栈操作的授权，所述双栈操作使用多于一个互联网协议版本；存储器，用于存储每个互联网协议版本的独立从属安全授权，其中，所述从属安全授权从属于互联网密钥交换安全授权；处理器，使用所述发射机建立用于通信的至少一个安全隧道；以及用于访问互联网协议版本的发射机，使用所述用于通信的至少一个安全隧道同时访问多于一个互联网协议版本。
另一实施例提供一种装置，包括以下元件发射机，用于请求双栈操作，所述双栈操作使用多于一个互联网协议版本；接收机，用于通过消息接收一个互联网协议版本的授权，其中，所述消息标识出被授权的至少一个互联网协议版本，所述消息还标识出没有被授权的至少一个互联网协议版本；处理器，用于建立被授权的互联网协议版本的安全授权，其中，所述被授权的互联网协议版本的安全授权从属于互联网密钥交换安全授权；存储器，用于存储所述被授权的互联网协议版本的安全授权；发射机，建 立用于通信的安全隧道；发射机，使用所述安全隧道进行通信。
另一实施例提供一种装置，包括以下元件用于请求由无线通信系统 中的授权实体进行认证的模块；以及用于在所述认证成功时从所述授权实 体接收认证消息的模块，其中，所述认证消息包含对使用至少一个互联网 协议版本来建立用于通信的至少一个安全隧道的授权。
另外的实施例提供一种方法，包括以下步骤请求双栈操作的模块， 所述双栈操作使用多于一个互联网协议版本；接收双栈操作的授权的模块， 所述双栈操作使用多于一个互联网协议版本；建立每个互联网协议版本的 独立从属安全授权的模块，其中，所述从属安全授权从属于互联网密钥交 换安全授权；建立用于通信的至少一个安全隧道的模块；以及使用所述用 于通信的至少一个安全隧道来同时访问两个互联网协议版本的模块。
另一实施例提供一种装置，包括请求双栈操作的模块，所述双栈操 作使用多于一个互联网协议版本；通过消息接收一个互联网协议版本的授 权的模块，其中，所述消息标识出被授权的至少一个互联网协议版本，所 述消息还标识出没有被授权的至少一个互联网协议版本；建立被授权的互 联网协议版本的安全授权的模块，其中，所述被授权的互联网协议版本的 安全授权从属于互联网密钥交换安全授权；建立用于通信的安全隧道的模 块；以及使用所述安全隧道进行通信的模块。
提供一种计算机程序产品实施例，包括计算机可读介质，其包括 使得计算机请求由无线通信系统中的授权实体进行认证的指令；以及使得 计算机在所述认证成功时从所述授权实体接收认证消息的指令，其中所述 认证消息包含对使用至少一个互联网协议版本来建立用于通信的至少一个 安全隧道的授权。
另一实施例提供一种计算机程序产品实施例，包括计算机可读介质， 其包括使得计算机请求双栈操作的指令，所述双栈操作使用多于一个互 联网协议版本；使得计算机接收双栈操作的授权的指令，所述双栈操作使 用多于一个互联网协议版本；使得计算机建立每个互联网协议版本的独立 从属安全授权的指令，其中所述从属安全授权从属于互联网密钥交换安全 授权；使得计算机建立用于通信的至少一个安全隧道的指令；以及使得计算机使用所述用于通信的至少一个安全隧道来同时访问两个互联网协议版 本的指令。
另外的实施例提供一种计算机程序产品，包括计算机可读介质，其 包括使得计算机请求双栈操作的指令，所述双栈操作使用多于一个互联 网协议版本；使得计算机通过消息接收一个互联网协议版本的授权的指令， 其中，所述消息标识出被授权的至少一个互联网协议版本，所述消息还标 识出没有被授权的至少一个互联网协议版本；使得计算机建立被授权的互
联网协议版本的安全授权的指令，其中，所述被授权的互联网协议版本的
安全授权从属于互联网密钥交换安全授权；使得计算机建立用于通信的安 全隧道的指令；以及使得计算机使用所述安全隧道进行通信的指令。


图1是示出根据本发明实施例用于支持对双栈操作进行互通授权的互 通架构框图。
图2示出根据本发明实施例的CREATE—CHILD—SA请求的内容。 图3示出根据本发明实施例的CREATE—CHILD—SA响应的内容。 图4A示出根据本发明实施例的IPsec隧道建立。 图4B示出根据本发明实施例的隧道建立流程。 图5示出根据本发明实施例的IP版本授权RADIUS VSA的结构。 图6示出根据本发明实施例的经授权的IPv4-IPv6双栈操作的流程图。 图7示出根据本发明实施例在仅IPv4被授权时的操作流程图。 图8示出根据本发明实施例在仅IPv6被授权时的操作流程图。
具体实施例方式
在本文中，词语"示例性"用于表示"用作实例、例子或图示"。本文 中描述为"示例性"的任一实施例不应被解释为比其它实施例优选或有利。
期望访问分组数据业务的MS需要获得对IP接入网络的访问。MS启 动作为接入过程一部分的隧道建立。这些隧道建立在MS和PDIF之间，并 在建立隧道和开始分组数据业务之前需要几个步骤。
MS进行的第一步骤是开始认证、授权和计费。认证是通常按照用户名和密码来识别个人的过程。认证过程假设用户名和密码唯一地识别用户。
在认证之后，授权过程允许用户访问网络资源。可以改变访问的等级，
并且根据授权的等级来准许或拒绝用户访问网络资源。
计费是在用户访问网络资源时对用户行为的跟踪，包括在网络上花费
的时间量、在网络上使用的业务以及在网络会话期间传送的数据量。
在MS尝试访问分组数据业务时执行用于访问网络资源的认证和授权。 业务授权通常独立于WLAN认证和授权。H-AAA服务器使用访问协议(例 如远端认证拨入用户服务(RADIUS)或DIAMETER)来进行认证和授权。 RADIUS是许多互联网服务提供商使用的认证和计费系统。
IP安全(IPsec)提供机密性、数据完整性、访问控制以及对IP数据报 的数据源认证。通过保持在IP数据报源和IP数据报宿之间的共享状态来提 供这些服务。这种状态定义了向数据报提供的具体服务，其中将使用加密 算法来提供服务，并将密钥用作加密算法的输入。将己知为互联网密钥交 换(IKE)的协议用于建立这种共享状态。
IKE在双方之间进行相互认证，还建立IKE安全关联(SA)，其包括共 享秘密信息以及由SA用于保护它们携带的信息流的一组加密算法，所述共 享秘密信息可用于针对封装安全载荷(ESP)和减认证报头(AH)有效地 建立SA。发起方提出用于保护SA的一组加密算法。IKE SA称为"IKE—SA"。 通过所述IKE—SA建立的ESP禾tl/或AH的SA已知为"CHILD—SA(子—SA)"。
所有IKE通信包括如下消息对请求和响应。这种消息对己知为交换。 建立IKE—SA的第一消息是初始交换"IKE_SA_INIT"和"IKE一AUTH"。 建立子SA的随后交换已知为"CREATE—CHILD—SA (创建—子一SA)"或信 息交换。通常，首先存在单个IKE一SA一INIT交换和单个IKE一AUTH交换， 使用总共4个消息来建立IKE—SA和第一CHILD—SA。在某些情况下，可 能需要多于一个的交换。在所有情况下，IKE一SA—INIT交换必须在任一其 它交换类型之前完成。接下来，必须完成所有IKE一AUTH交换。随后，任 意数目的CREATE一CHILD一SA交换和信息(INFORMATIONAL)交换可以 以任意顺序出现。随后的交换可在相同认证对的端点之间建立附加 CHILD—SA。
IKE消息流包括随后有响应的请求。保证可靠性是请求方的责任。如果在超时的时间间隔内没有接收到响应，则请求方需要重发请求或放弃连 接。
IKE会话的第一请求/响应对IKE—SA的安全参数进行协商，发送随机 数(nonces)禾卩Diffie-Hellman值。
第二请求响应IKE—AUTH发送身份，证明知道与2个身份对应的秘密， 并建立用于第一 AH的SA和/或ESP CHILD一SA。
随后的交换可创建CHILD—SA ( CREATE—CHILD—SA )和信息 (INFORMATIONAL),其可删除SA，报告错误状态或其它辅助功能。每 个请求需要一个响应。直到完成初始交换之后才进行随后的交换。
CREATE—CHILD交换包括单对请求/响应，并且可在初始交换完成之后 通过任一 IKE—SA端启动。使用IKE交换的前2个消息的协商加密集以加 密方式来保护在初始交换后的所有消息。任 一 端点可启动 CREATE_CHILD_SA交换。通过发送CREATE—CHILD—SA请求来创建 CHILD—SA。 CREATE—CHILD—SA请求可包含用于附加Diffie-Hellman交换 的载荷，以便稳健地保证CfflLD一SA的前向保密性。CHILD一SA的密钥材 料是在建立IKE—SA期间建立的函数、在CREATE—CHILD—SA交换期间交 换的随机数以及Diffie-Hellman值(如果密钥交换载荷包括在 CREATE—CHILD—SA交换中)。
在初始交换期间创建的CHILD一SA中，不得发送第二密钥交换载荷和 随机数。将来自初始交换的随机数用于计算CHILD—SA的密钥。
图2示出CREATE—CHILD—SA的内容。发起方在SA载荷中发送SA 要约(offer)。在Ni载荷中发送随机数。将这个随机数以及在IKE—SA一INIT 消息中包含的其它随机数用作加密函数的输入。在CREATE_CHILD—SA请 求和响应中，随机数用于对密钥导出技术增加新鲜度，用以获得CHILD—SA 的密钥，以及保证从Diffie-Hellman密钥创建强伪随机比特。在IKEv2中使 用的随机数被随机选择，并且其大小为至少128比特，是协商的伪随机函 数的密钥大小的至少一半。可以在KEi载荷中发送Diffie-Hellman值。在 TSi和TSr载荷中发送所提出的业务选择器。如果SA要约包括不同的 Diffie-Hellman组，则KEi必须是发起方期望响应方接受的组的元素。如果 猜测错误，则CREATE—CHILD—SA交换失败，并需要通过不同的KEi重试。利用IKE一SA的协商加密算法，对报头之后的消息加密，并对包括报 头的消息进行完整性保护。
图3示出CREATE一CHILD一SA响应的内容。如果在请求中包括KEi 并且协商密码集包括该组，则响应方使用具有SA载荷中接受的要约以及 KEr中的Diffie-Hellman值的相同的消息标识符来应答。如果响应方选择具 有不同组的密码集，则它必须拒绝该请求。然后发起方应重复该请求，但 是具有来自响应方选择的组的KEi载荷。用于在该SA上要发送的业务的业 务选择器在业务选择器(TS)载荷中指定，其可以是所提出的CHILD一SA 的发起方的子集。如果CREATE—CHILD—SA请求正用于改变IKE一SA的密 钥，则业务选择器可忽略。
一旦创建了 CHILD一SA，则下一步骤是建立IPsec隧道。以下详细描述 隧道建立过程。
MS可预先规定有PDIF的IP地址，或可使用DNS机制来检索PDIF 的IP地址。在建立用于DNS请求的FQDN时，MS应该识别操作者的网络。 为了便于对网络进行访问，MS可预先规定有多个PDIF的FQDN。 一旦 MS接收了包括一个或多个PDIF IP地址的响应，MS选择具有与其本地IP 地址(其是在成功关联时通过WLAN分配的IP地址)相同的IP版本的PDIF IP地址。这个选择可通过用户执行，或可通过MS自动执行。可使用几个 机制来发现PDIF，它们取决于实施方式而定。
消息交换用于在MS和PDIF之间建立IPsec隧道。图4示出这种信息 交换。在步骤1， MS对WLAN接入网络进行认证，并获得对互联网的访 问。这可涉及WLAN与H-AAA相核对以便进行授权。
在步骤2， MS从接入网络获得IP地址。MS还发现缺省路由器和DNS 服务器地址。
在步骤3， MS开始与PDIF的IKEv2交换。在这个交换中发送的第一 组消息是初始交换，指定为IKE_SAJNIT。
在步骤4， MS启动与PDIF的IKE一AUTH交换。这些消息被加密，并 通过在IKE—SA—INIT交换期间建立的密钥来保护完整性。
在步骤5， MS通过在IKE一AUTH请求中设置配置(CONFIGURATION) 载荷来请求隧道内部IP地址(TIA)。 MS在载荷中加入网络访问标识符(NAI)。如果MS希望使用可扩展认证协议(EAP)，则它在IKE一AUTH 消息中不加入认证(AUTH)载荷。
在步骤6， PDIF接收没有AUTH载荷的IKE—AUTH请求，其通过发 送RADIUS访问请求消息或Diameter-EAP请求(DER)命令中的EAP誦响 应/身份消息来联系H-AAA以便请求服务授权和用户认证信息。
在步骤7，在MS和H-AAA之间交换EAP消息。H-AAA将RADIUS 访问-挑战中或Diameter-EAP应答(DEA)命令中的EAP请求消息发送至 PDIF。 PDIF将包括EAP请求消息的IKE—AUTH答复消息发送至MS。
在步骤8， MS通过包括EAP响应消息的IKE—AUTH请求消息进行响 应。PDIF将RADIUS访问-请求消息或Diameter-EAP请求命令中的EAP响 应消息发送至H-AAA。步骤7和8可发生多次。
如果认证成功，则在步骤9， H-AAA发送RADIUS访问-接受消息中的 EAPSuccess (EAP成功)，或具有表示成功认证的代码的DEA命令。
在步骤10，在接收到RADIUS访问-接受消息或具有表示成功认证的结 果代码的DEA命令时，PDIF发送包括EAP成功的IKE一AUTH响应消息。 如果PDIF接收到RADIUS-拒绝消息或具有表示授权失败的结果代码的 DEA命令，则PDIF拒绝对MS进行隧道建立，并发送具有被设置为 "AUTHENTICATIONFAILED (认证失败)"的通知载荷的IKE—AUTH响 应消息。
然后在步骤11 ， MS发送IKE一AUTH请求消息，包括根据在成功EAP 认证时生成的主会话密钥(MSK)计算出的AUTH载荷。
在步骤12， PDIF通过IKE—AUTH响应消息进行答复，其包括分配的 TIA、 AUTH载荷和安全授权。PDIF使用MSK来计算AUTH载荷。PDIF 从上述步骤9中的H-AAA获得MSK。
在步骤13，在完成IKE—AUTH交换时，在MS和PDIF之间建立IPsec 隧道。
图4B示出在正常隧道建立流程中的步骤。这可用于在建立如随后所述 的多个隧道时。
可对同一 PDIF建立多个隧道。 一旦EKE安全关联(SA)通过认证， 则在IKE SA中可协商多于一个的子SA。交换是己知的，因为CREATE_CHILD—SA受到保护并使用在IKE交换的前2个消息中协商的加 密算法和密钥，如上所述。因此，在MS和PDIF之间的附加CHILD—SA 的创建不再触发向H-AAA传送认证消息。
MS期望使得IPv4和IPv6同时访问相同的PDIF。尽管IKEv2标准允 许在相同或单独IPsec隧道中进行这种同时访问，但是不对授权进行寻址， 并且PDIF需要知道针对IPv4和IPv6是否对请求双栈授权的MS授权。
第一实施例解决PDIF需要知道针对IPv4禾B/或IPv6是否对请求MS授 权的问题。在上述IPsec隧道建立期间，如果EAP授权成功，则H-AAA返 回RADIUS访问-接受消息中的IP-版本-授权VSA，以表示IPv4禾口/或IPv6 是否被授权。如果IP-版本-授权VSA不存在于RADIUS访问-接受消息中， 则PDIF将其本地策略用于双栈操作的授权。图5示出IP-版本-授权RADIUS VSA的结构。
在MS期望同时使用IPv4和IPv6并被授权使用两者时，使用另一实施 例。图6示出这个实施例的方法。当MS请求IPv4-IPv6双栈操作时，该方 法600开始于步骤602。这个请求是以消息形式通过PDIF发送至AAA服 务器的。在步骤604， AAA服务器判断是否对MS授权以使用IPv4和IPv6 两者。在步骤606， AAA服务器通知PDIF对请求MS进行授权以使用IPv4 和IPv6两者。在步骤608， PDIF通知MS对IPv4-IPv6双栈操作的请求得 到授权。在步骤610， MS和PDIF针对IPv4和IPv6在相同IKE—SA下建立 独立CHILD—SA。如果针对IPv4和IPv6没有对MS授权，则在步骤612， AAA服务器通知PDIF。然后在步骤614， PDIF通知MS未得到授权，还 通知MS哪个IP版本没有得到授权。
当MS期望同时使用IPv4和IPv6两者但是仅针对IPv4被授权时，使 用另一实施例。图7示出这个实施例的操作的方法。当MS请求IPv4-IPv6 双栈操作时，方法700从步骤702开始。在步骤704， AAA服务器进行核 对以查看针对IPv4和IPv6两者是否对MS授权。如果针对IPv4和IPv6两 者都对MS授权，则该方法返回图6的方法的步骤606。如果仅针对IPv4 对MS授权，则AAA服务器通知PDIF仅针对IPv4对MS授权。在步骤710， PDIF发送具有被设置为特定消息类型的通知消息类型的通知载荷，特定消 息类型表示仅对IPv4授权。如果无线通信系统使用3GPP2标准进行操作，设置为8193。其它操作系统可使用 不同的消息类型，但是不影响本实施例的操作。在这种情况下，在步骤712， 仅建立IPv4的IPsec隧道。为了防止MS建立与网络的IPv6会话，MS CFG 在请求载荷中将IINTERNAL—IP6—ADDRESS属性t设置为0:0。 PDIF CFG 在答复载荷中将INTERNAL—IP6—ADDRESS属性的长度设置为0。 PDIF可 通过发送具有表示错误的特定消息类型的通知载荷来通知MS， MS没有得 到授权来进行IPv6访问。如果MS尝试从PDIF获得IPv6前缀，则PDIF 丢弃该消息而不通知MS。
图8示出当MS期望利用IPv4和IPv6双栈操作但是仅针对IPv6被授 权时使用的实施例。当MS请求IPv4-IPv6双栈操作时，方法800从步骤802 开始。在步骤804， AAA服务器进行核对以查看是否针对IPv4和IPv6对 MS授权。如果针对IPv4和IPv6两者都对MS授权，则该方法返回图6的 方法的步骤606。如果针对IPv4和IPv6没有对MS授权而仅针对IPv6对 MS授权，则在步骤808， AAA服务器通知PDIF,仅针对IPv6对MS授权。 在步骤810, PDIF发送具有被设置为特定消息类型的通知消息类型的通知 载荷消息，所述特定消息类型表示在IKE—AUTH响应消息中仅针对IPv6 对MS授权。如果无线通信系统使用3GPP2标准操作，则将消息类型设置 为8194。在步骤812，建立IPv6的IPsec隧道。通过使得MS在CFG请求 载荷中将INTERNAL—IP4—ADDRESS属性设置为0.0.0.0，防止MS与网络 建立内部IPv4会话。同样，PDIF在CFG答复载荷中将 INTERNAL—IP4—ADDRESS属性的长度设置为0。 PDIF可通过发送具有特 定消息类型的通知载荷来通知MS，针对IPv4访问没有对MS授权。如果 MS尝试从PDIF获得IPv4前缀，则PDIF丢弃该消息而不通知MS。
在其它实施例中，本领域普通技术人员可以理解，以上方法可通过执 行在计算机可读介质(例如计算机平台的存储器)上的程序来实现。指令 可存储在多种类型的信号承载或数据存储主、二级或三级介质中。例如， 介质可包括通过客户端设备和/或服务器可访问的RAM或位于客户端设备 和/或服务器中的RAM。不管是否包含在RAM、盘或其它二级存储介质中， 指令都可存储在各种机器可读数据存储介质上，例如DASD存储器(例如 传统"硬盘驱动器"或RAID阵列)、磁带、电子只读存储器(例如ROM或EEPROM)、闪存卡、光存储设备(例如CD-ROM、 WORM、 DVD、数 字光带)、纸"穿孔"卡或包括数字和模拟传输介质的其它适合的数据存储 介质。
尽管以上内容示出了本发明的示例性实施例，但是应注意，在不脱离 由所附权利要求限定的本发明的范围的情况下可以进行各种变化和修改。 根据本文所述的本发明实施例的方法权利要求的行为或步骤不需要以任一 特定顺序执行。此外，尽管用单数描述或主张了本发明的元素，但是还可 以假设成复数，除非清楚阐述了对单数的限制。
因此，已经示出和描述了本发明的优选实施例。然而，对于本领域普 通技术人员来说，在不脱离本发明的精神或范围的情况下对本文公开的实 施例进行多种改变是显而易见的。因此，本发明不限于此，除非符合所附 权利要求。
权利要求
1、一种方法，包括请求由无线通信系统中的授权实体进行认证；如果所述认证成功，则从所述授权实体接收认证消息，其中，所述认证消息包括对使用至少一个互联网协议版本来建立用于通信的至少一个安全隧道的授权。
2、 如权利要求1的方法，其中，对使用至少一个互联网协议的授权是 在RADIUS访问-接受消息中发送的IP-版本-授权VSA。
3、 如权利要求2的方法，其中，如果所述IP-版本-授权VSA不存在 于RADIUS访问-接受消息中，则无线通信网络中的分组数据互通功能应用 本地策略对双栈操作进行授权。
4、 一种方法，包括请求双栈操作，所述双栈操作使用多于一个互联网协议版本； 接收双栈操作的授权，所述双栈操作使用多于一个互联网协议版本； 对每个互联网协议版本建立独立的从属安全授权，其中，所述从属安 全授权从属于互联网密钥交换安全授权； 建立用于通信的至少一个安全隧道；使用所述用于通信的至少一个安全隧道来同时访问两个互联网协议版本。
5、 如权利要求4的方法，其中，所述多于一个互联网协议版本使用相 同的安全隧道同时进行访问。
6、 如权利要求4的方法，其中，所述多于一个互联网协议版本在多个 独立的安全隧道中同时进行访问。
7、 一种方法，包括请求双桟操作，所述双栈操作使用多于一个互联网协议版本；通过消息接收一个互联网协议版本的授权，其中，所述消息标识出被授权的至少一个互联网协议版本，所述消息还标识出没有被授权的至少一个互联网协议版本；建立被授权的互联网协议版本的安全授权，其中，所述被授权的互联网协议版本的安全授权从属于互联网密钥交换安全授权；建立用于通信的安全隧道；使用所述安全隧道进行通信。
8、 一种装置，包括发射机，用于请求由无线通信系统中的授权实体进行认证；接收机，用于在所述认证成功时从所述授权实体接收认证消息，其中，所述认证消息包括对使用至少一个互联网协议版本来建立用于通信的至少一个安全隧道的授权。
9、 如权利要求8的装置，其中，对使用至少一个互联网协议的授权是在RADIUS访问-接受消息中发送的IP-版本-授权VSA。
10、 如权利要求9的装置，还包括处理器，用于存储对双栈操作进行授权的本地策略，其中，如果所述IP-版本-授权VSA不存在于所述RADIUS访问-接受消息中，则无线通信网络中的分组数据互通功能应用本地策略对双栈操作进行授权。
11、 一种装置，包括用于请求双栈操作的发射机，所述双栈操作使用多于一个互联网协议版本；接收机，用于接收双栈操作的授权，所述双栈操作使用多于一个互联网协议版本；存储器，用于存储每个互联网协议版本的独立从属安全授权，其中，所述从属安全授权从属于互联网密钥交换安全授权；处理器，使用所述发射机来建立用于通信的至少一个安全隧道；以及用于访问互联网协议版本的发射机，使用所述用于通信的至少一个安全隧道来同时访问多于一个互联网协议版本。
12、 如权利要求11的装置，其中，所述多于一个互联网协议版本使用相同的安全隧道同时进行访问。
13、 如权利要求11的装置，其中，所述多于一个互联网协议版本在多个独立的安全隧道中同时进行访问。
14、 一种装置，包括用于请求双桟操作的发射机，所述双栈操作使用多于一个互联网协议版本；接收机，用于通过消息接收一个互联网协议版本的授权，其中，所述消息标识出被授权的至少一个互联网协议版本，所述消息还标识出没有被授权的至少一个互联网协议版本；处理器，用于建立被授权的互联网协议版本的安全授权，其中，所述被授权的互联网协议版本的安全授权从属于互联网密钥交换安全授权；存储器，用于存储所述被授权的互联网协议版本的安全授权；建立用于通信的安全隧道的发射机；使用所述安全隧道进行通信的发射机。
15、 一种装置，包括用于请求由无线通信系统中的授权实体进行认证的模块；用于在所述认证成功时从所述授权实体接收认证消息的模块，其中，所述认证消息包括对使用至少一个互联网协议版本来建立用于通信的至少一个安全隧道的授权。
16、 如权利要求15的装置，其中，对使用至少一个互联网协议的授权是在RADIUS访问-接受消息中发送的IP-版本-授权VSA。
17、 如权利要求16的装置，其中，如果所述IP-版本-授权VSA不存在于RADIUS访问-接受消息中，则无线通信网络中的分组数据互通功能应用本地策略对双栈操作进行授权。
18、 一种方法，包括用于请求双栈操作的模块，所述双栈操作使用多于一个互联网协议版本；用于接收双栈操作的授权的模块，所述双栈操作使用多于一个互联网协议版本；用于建立每个互联网协议版本的独立从属安全授权的模块，其中，所述从属安全授权从属于互联网密钥交换安全授权；建立用于通信的至少一个安全隧道的模块；使用所述用于通信的至少一个安全隧道来同时访问两个互联网协议版本的模块。
19、 如权利要求18的装置，其中，所述多于一个互联网协议版本使用相同的安全隧道同时进行访问。
20、 如权利要求4的方法，其中，所述多于一个互联网协议版本在独立的安全隧道中同时进行访问。
21、 一种装置，包括用于请求双栈操作的模块，所述双栈操作使用多于一个互联网协议版本；用于通过消息接收一个互联网协议版本的授权的模块，其中，所述消息标识出被授权的至少一个互联网协议版本，所述消息还标识出没有被授权的至少一个互联网协议版本；用于建立被授权的互联网协议版本的安全授权的模块，其中，所述被授权的互联网协议版本的安全授权从属于互联网密钥交换安全授权；建立用于通信的安全隧道的模块；使用所述安全隧道进行通信的模块。
22、 一种计算机程序产品，包括计算机可读介质，包括使得计算机请求由无线通信系统中的授权实体进行认证的指令；使得计算机在所述认证成功时从所述授权实体接收认证消息的指令，其中，所述认证消息包括对使用至少一个互联网协议版本来建立用于通信的至少一个安全隧道的授权。
23、 一种计算机程序产品，包括计算机可读介质，包括使得计算机请求双栈操作的指令，所述双栈操作使用多于一个互联网协议版本；使得计算机接收双栈操作的授权的指令，所述双桟操作使用多于一个互联网协议版本；使得计算机建立每个互联网协议版本的独立从属安全授权的指令，其中，所述从属安全授权从属于互联网密钥交换安全授权；使得计算机建立用于通信的至少一个安全隧道的指令；使得计算机使用所述用于通信的至少一个安全隧道来同时访问两个互联网协议版本的指令。
24、 一种计算机程序产品，包括计算机可读介质，包括使得计算机请求双栈操作的指令，所述双桟操作使用多于一个互联网协议版本；使得计算机通过消息接收一个互联网协议版本的授权的指令，其中，所述消息标识出被授权的至少一个互联网协议版本，所述消息还标识出没有被授权的至少一个互联网协议版本；使得计算机建立被授权的互联网协议版本的安全授权的指令，其中，所述被授权的互联网协议版本的安全授权从属于互联网密钥交换安全授权；使得计算机建立用于通信的安全隧道的指令；使得计算机使用所述安全隧道进行通信的指令。
全文摘要
本发明提供一种允许对双栈操作进行互通授权的方法。该方法允许在终端得到授权和认证以使用IPv4和IPv6两个版本时在这两个版本中同时操作。该方法包括以下步骤请求由无线通信系统中的授权实体进行认证；如果所述认证成功，则从所述授权实体接收认证消息，其中，所述认证消息包括对使用至少一个互联网协议版本来建立用于通信的至少一个安全隧道的授权。
文档编号H04L29/06GK101536453SQ200780030861
公开日2009年9月16日 申请日期2007年8月21日 优先权日2006年8月21日
发明者徐大生 申请人:高通股份有限公司