专利名称:用于网络接入的设备和/或用户认证的制作方法
技术领域:
本发明通常涉及通信系统,并且尤其是涉及在准予接入到接入服
务网络(ASN)之前通过连通性服务网络(CSN)来对无线设备进行认证。
背景技术:
WiMAX (微波存取全球互通)网络接入提供商(NAP)(例如批 发商)和网络服务提供商(NSP)(例如通信公司)感兴趣的是在可使 设备进入到它们的网络之前对照一致性标准来验证无线设备的认证状 态。NAP和NSP还显然感兴趣的是对设备的最终用户进行认证以为来 自本地服务提供商的服务建立用户订购的有效性。将WiMAX设备制 造成具有来自信任的WIMAX设备证书授权中心(Certificate Authority) 的X.509数字证书以由NAP和NSP这两者来对这些设备的身份进行强 认证。通常,接入提供商感兴趣的是在可使设备进入到它们的网络之 前验证设备与标准的一致性。此外,还可利用诸如用户名一口令组合、 生物特征数据、智能卡或者可移动的SIM卡的另一凭证来对用户的身 份进行认证。
IEEE 802.16-2005定义了 一种意在依次支持两个扩展认证协议 (EAP)方法的方法。将该方法称为双层EAP,但是由于其复杂性和 与IEEE 802.16空中接口的相互作用而不包含在WiMAX配置之内。双 层EAP复杂之处在于成功地完成一个EAP方法,利用第一认证服务器 建立EAP密钥材料,并且随后启动第二 EAP方法,在该第二EAP方 法中来自第一会话的密钥材料用于利用第二认证服务器对第二 EAP方 法的EAP消息进行认证。这些EAP会话的建立需要相当多的空中传送 消息。因此,希望具有一种用于对无线设备和该设备的用户进行认证的 方法和装置,该方法和装置能够降低当今技术的一些消息传送和延迟 特征。
图1是描述根据本发明多个实施例的无线通信系统的方框图。 图2是描述根据本发明多个实施例的无线通信系统的方框图。 图3是描述根据本发明多个实施例的认证交换的信令流程图,通
过所述认证交换对无线设备和/或订购(基于设备身份的订购)进行认
证和验证。
图4是描述根据本发明多个实施例的两个认证交换的信令流程图,
通过所述两个认证交换对无线设备和用户订购进行认证和验证。
图5是根据本发明特定实施例的用于对尝试对无线设备进行认证
和验证的这类信令的示例进行描述的详细信令流程图。
图6是根据本发明特定实施例的用于对尝试对无线设备和用户订 购进行认证和验证的这类信令的示例进行描述的详细信令流程图。
下面参考图l一6公开本发明的特定实施例。为提高理解撰写了该 描述和说明。例如, 一些附图元件的大小相对于其它元件而言是放大 的,并且未对商业成功实现有益的或乃至所必需的已知元件进行描述, 以较少地模糊并且更清楚地呈现实施例。此外,虽然参考按照特定顺 序而交换的特定信令描述并示出了上述信令流程图,但是在不脱离权 利要求的范围的情况下可省去一些信令或者可对一些信令进行组合、 子划分或者重新排序。因此,除非明确表示,所描述的信令的顺序和 分组不局限于属于权利要求范围之内的其他实施例。
说明和描述的简单性和清楚性是设法使本领域普通技术人员在考 虑到本领域所已知的情况下有效地形成、使用并且最好地实施本发明。 本领域普通技术人员应清楚的是在不脱离本发明的精神和范围的情况下可对如下所述的特定实施例做出修改和改变。因此,应认为该说明 书和附图是说明性和示意性的而不是限制性的或者包括所有的,并且 对如下所述的特定实施例的所有这种修改意在包含在本发明的范围之 内。
具体实施例方式
描述对无线设备和/或相关用户订购进行认证的各种实施例。利用 与无线设备的单个认证交换来获得设备凭证,连通性服务网络(CSN) 对该设备凭证进行认证和验证以建立设备身份。对于基于设备身份的 订购而言,该设备身份用于验证订购。对于用户订购认证而言,利用
第一认证交换(a.k.a,外部交换)所建立的加密连接来执行第二认证交 换。通过仅利用一个外部认证交换,可形成这样的实施例,即与已知 技术相比该实施例展现出减少的消息传送以及较低的复杂性。
参考图l一6可进一步充分理解所公开的实施例。图1是根据本发 明多个实施例的描述无线通信系统100的方框图。现今,诸如OMA(开 放移动联盟)、3GPP (第三代合作伙伴计划)、3GPP2 (第三代合作 伙伴计划2) 、 IEEE (电气与电子工程师协会)802、以及WiMAX论 坛这样的标准主体开发了无线电信系统的标准规范。(这些组分另U通 过以 f""进行耳关系http : 〃 www.openmobilealliance.com 、 http〃 www.3gpp.org/、 http〃 www.3gpp2.com/、 http〃www. ieee802.org/、 以及 http〃 www.wimaxforum.org/)通信系统100表示具有根据WiMAX论坛 和/或IEEE 802技术中的一个或多个体系结构的系统,可对该系统进行 适当修改以实现本发明。本发明的替换实施例可以是在下述通信系统 中实现的,该通信系统采用诸如但并不局限于在OMA、 3GPP禾B/或 3 GPP2规范中所描述的那些其他的或另外的技术。
以非常概括的方式来描述通信系统100。尤其是,示出了接入服务 网络(ASN) 121通过无线接口 111与无线设备101进行通信,该无线 接口 111,诸如基于IEEE 802.16的无线接口,依照ASN121所使用的特定接入技术。此外,示出了 CSN 131具有与ASN 121和因特网140 的网络连通性。本领域普通技术人员应清楚图1未对系统100要进行 操作所必需的所有物理固定网路部件进行描述,而是在这里仅对尤其 是与实施例的描述有关的那些系统部件和逻辑实体进行了描述。
例如,图1描述了分别包括处理单元123和133以及网络接口 127 和137的ASN 121和连通性服务网络(CSN) 131。此外,图1描述包 括收发器125的ASN 121。通常,诸如处理单元、收发器以及网络接 口这样的部件已为公众所熟知。例如,已知处理单元包括诸如但既不 局限于又不必需的微处理器、微控制器、存储设备、专用集成电路 (ASIC)、和/或逻辑电路这样的基本部件。这种部件典型地适于实现 利用高级设计语言或描述所表示的、利用计算机指令所表示的、利用 信令流程图所表示的、和/或利用逻辑流程图所表示的算法和/或协议。
l天l此,给定高级描述、算法、逻辑流程、消息传送/信令流和/或协 议规范,本领域普通技术人员可知可用于实现执行给定逻辑的处理单 元的许多设计和开发技术。因此,根据这里的描述,ASN 121和CSN 131 表示适于实现本发明的多个实施例的已知设备。此外,本领域普通技 术人员应认识到可在各种物理部件中和部件间实现本发明的方面并且 决不必需局限于单个平台实现。例如,可以在诸如一个或多个基站(BS) 和/或ASN网关的一个或多个网络部件之中或之间实现处理单元123、 收发器125以及网络接口 127。类似地,可以在诸如一个或多个路由器、 认证代理/服务器、数据库和/或互相作用的网关设备的--个或多个网络 部件之中或之间实现处理单元133和网络接口 137。
示出了无线设备101和ASN 121通过技术相关的无线接口进行通 信。将无线设备、订户站(SS)、或者用户装置(UE)看作移动站(MS); 然而,无线设备不是必须移动的,也不是必须能够移动。另外,所熟 知的无线设备平台是指诸如但并不局限于移动站(MS)、接入终端 (AT)、终端装置、移动设备、游戏设备、个人计算机以及个人数字助理(PDA)的广泛多样化的消费电子平台。尤其是,无线设备101
包括处理单元(105)和收发器(107)。根据该实施例,无线设备101 另外包括小键盘(未示出)、扬声器(未示出)、麦克风(未示出) 以及显示器(未示出)。在无线设备中所使用的处理单元、收发器、 小键盘、扬声器、麦克风以及显示器为本领域所熟知。因此,给定高 级描述、算法、逻辑流程、消息传送/信令流和/或协议规范,本领域普 通技术人员可知可用于实现执行给定逻辑的处理单元的许多设计和开 发技术。因此,根据这里的描述,无线设备101表示适于实现本发明 的多个实施例的已知设备。
图2是描述根据本发明多个实施例的无线通信系统200的方框图。 以非常概括的方式来描述通信系统200。示出接入提供商网络220包括 访问认证、授权以及计费代理服务器(V—AAA) 223和ASN221,该 ASN221具有与MS 201对接的无线接口 211。示出CSN231包括本地 认证、授权、以及计费服务器(H — AAA) 235。再次,本领域普通技 术人员可知图2未对系统200要进行操作所必需的所有物理固定网路 部件进行描述,而是在这里仅对尤其是与实施例的描述有关的系统部 件和逻辑实体进行了描述。
例如,遵照WiMAX论坛规范的ASN需要可使它提供与WiMAX MS的WiMAX层一2 (L2)连通性的网络元件,以支持将包含在AAA 消息之内的EAP传送到WiMAX订户本地网络服务提供商(H — NSP) 以对订户会话进行认证、授权以及会话计费,基于设备认证提供策略 和准入控制,以支持网络发现以及对WiMAX订户优选NSP的选择, 支持用于建立与WiMAX MS (即IP地址分配)的层一3 (L3)连通性 的中继功能,提供无线电资源管理,以支持ASN — CSN隧道,支持ASN 锚点移动性,支持CSN锚点移动性,并且提供寻呼和位置管理。另外, 多于一个CSN共享ASN。遵照WiMAX论坛规范的CSN需要可使它 向WiMAX订户提供IP连通性服务的网络元件。因此,这种CSN需要 提供用户会话的MS IP地址和终点参数分配,以提供到因特网的接入,基于设备或用户订购文档提供策略和准入控制,以支持ASN—CSN隧 道,支持WiMAX订购账单和操作者间结算,支持用于漫游的CSN间 隧道,并且支持ASN间移动性。WiMAXCSN还必需提供诸如基于位 置服务的WiMAX服务,点对点服务的连通性,供给、授权、和/或对 IP多媒体服务的连通性,并且便于支持诸如遵照通信协助法律实施法 案(CALEA)过程的那些的合法监听服务。
首先参考图1,根据本发明的实施例的操作基本上如下进行。 一旦 从无线设备101接收到对网络接入的请求,则ASN 121请求CSN 131 对无线设备101进行认证。根据该实施例,处理单元123和网络接口 127的一部分包括V — AAA (或者其一些部分)、网络认证器和/或代理 认证器。类似地,根据该实施例,处理单元133和网络接口 137的一 部分包括H — AAA (或者其一些部分)和/或网络认证器。CSN处理单 元133和无线设备处理单元105通过网络接口 137、 ASN 121和收发器 107执行认证交换。
在该认证交换中,CSN 131向无线设备101请求设备凭证。随后 CSN处理单元133尝试建立无线设备的身份。如果从无线设备获得了 设备凭证,那么建立设备身份涉及对该设备凭证进行认证和验证。典 型地,使用诸如遵照X.509数字证书的数字证书。在WiMAX实施例 中,使用从WiMAX证书授权中心所获得的且通过无线设备制造商所 安装的数字证书。在一些实施例中,在认证交换期间设备处理单元105 向CSN处理单元133请求服务器凭证以对服务器进行验证。
作为CSN尝试建立无线设备的身份的结果,CSN处理单元133通 过网络接口 127和137向ASN处理单元123指示设备101的认证相关 信息。指示什么信息主要取决于该实施例。例如,可指示以下任何信 息已建立的无线设备的身份(例如MAC地址),是否对无线设备进 行成功认证和验证、是否执行证书撤销列表(CRL)检查、无线设备的 硬件版本、无线设备的制造商、从设备凭证所获得的信息、网络互操作性证书一致性等级(诸如WiMAX最小证书等级)、根证书授权中
心的身份、包含相关识别信息的设备证书之内的对象身份的整个内容
或者其他WiMAX专用字段、会话认证密钥(诸如主会话密钥)、允 许的QoS (服务质量)、允许的移动性类别、移动性参数、禾P/或计费 参数。
利用所接收到的设备101的认证相关信息,ASN处理单元123确 定是否准予接入设备101。当然,使用接入策略确定网络接入当然随一 个实施例到下一个实施例不同,并且由于网络条件而动态变化或者乃 至实时变化。随后ASN处理单元123向设备处理单元105指示是否准 予设备101接入。
除了设备认证之外,如上所述,在一些实施例中CSN 131还验证 服务订购。对于基于设备身份的订购而言,CSN处理单元133利用从
设备凭证所获得的设备身份以验证基于设备身份的订购。对于涉及用 户认证的订购而言,CSN处理单元133使用能够在CSN处理单元133 与设备处理单元105之间建立诸如加密隧道的加密连接的认证交换方法。
此后处理单元133和105使用加密连接以执行第二认证交换。在 该第二交换中,CSN处理单元133向设备101请求用户订购凭证。根 据该实施例,处理单元105提供用户订购凭证,该用户订购凭证釆取 用户名与口令组合、生物特征信息、预共享密钥和/或订户身份信息(例 如诸如来自智能卡或SIM卡)的形式。随后CSN处理单元133尝试利 用所接收到的用户订购凭证来验证用户订购。随后CSN处理单元133 继续向ASN处理单元123指示设备101的认证相关信息。
图3是根据本发明多个实施例的描述下述认证交换的信令流程图 300,通过所述认证交换对无线设备和/或订购(基于设备身份的订购) 进行认证和验证。图5是根据信令流程图300描述WiMAX实施例的这类附加信令的更加详细的信令流程图500。尝试通过接入提供商网络
(诸如接入提供商网络220)获得网络接入的无线设备执行一些起始信 令以请求接入并且可能开始认证过程。由信令流程图500中的信令510 来表示这类起始信令的示例。
随后无线设备和CSN执行认证交换310,在该认证交换中通过 CSN对来自无线设备的设备凭证进行认证和验证以建立无线设备的身 份。存在各种可根据该实施例和/或即将到来的状况而使用各种认证交 换方法。例如,利用诸如EAP — TLS (EAP —传输层安全)的扩展认证 协议(EAP)方法来执行认证交换。通常由信令520和信令流程图500 来表示其示例。对于CSN还执行订购验证的情况而言,它使用从设备 凭证所获得的设备身份来验证基于设备身份的订购。
在执行了设备和/或订购验证之后,CSN向接入提供商网络指示 320与设备和认证交换有关的授权相关信息。随后接入提供商网络基于 所接收到的指示来确定是否准予接入无线设备并且向无线设备指示 330是否准予它接入网络。
由信令流程图500中的信令530来表示这类信令的三个示例。在 这些示例中,在成功地完成认证之后,RADIUS (AAA协议)返回"接 入一接受"消息。该消息指示认证服务器(在这里H-AAA)完成了所有 其验证检査并且同意MS接入网络。利用RADIUS,属性值对(AVPs) 用于将授权相关信息传递到接入提供商网络。
接入提供商网络中的认证器(在这里V — AAA)对接入接受数据 进行检验并且基于本地策略确定存在于接入接收中的设备信息是否足 以允许该设备在接入提供商网络上。选择不接受该设备并且拒绝认证 会话,防止设备获得接入,或者如果它接受了设备信息,那么它将接 入接受转发到WiMAX无线电装置(ASN)上并且允许该设备在其网 络卜.。另外或者可替换地,ASN基于本地策略来确定存在于接入接受中的设备信息是否足以允许该设备接入。因此,V — AAA和/或ASN中 任一个或两者可以是认证策略执行器(enforcer)。
此外,在信令510中的RADIUS接入-请求信令中,接入提供商网 络使用一个或多个AVP向请求设备认证的H — AAA指示其设备接入策 略或者仅仅进行通告。例如,AVP指示如果H — AAA无法对设备进行 成功认证(即设备不具有证书或者证书是无效的),那么H — AAA将 不会接受认证。如果CSN对执行设备认证不感兴趣并且它知道ASN没 有请求它,那么具有该信息则可使H — AAA不执行设备认证。AVP还 (可选地)指示如果执行设备认证,那么向接入提供商网络通知凭证, 但是如果没有执行设备认证,那么指示原因(例如对证书请求无响应、 未知证书等等)。
图4是根据本发明多个实施例的描述下述两个认证交换的信令流 程图400,通过所述这两个认证交换对无线设备和用户订购进行认证和 验证。图6是描述附加信令的一个示例的更加详细的信令流程图600, 根据信令流程图400的WiMAX实施例可利用该附件信令。尝试通过 接入提供商网络(诸如接入提供商网络220)获得网络接入的无线设备 执行一些启动信令以请求接入并且可能开始认证处理。山信令流程图 600中的信令610来表示这类启动信令的示例。
无线设备和CSN随后执行认证交换410,在认证交换410中CSN 对来自无线设备的设备凭证进行认证和验证以建立无线设备的身份。 '丄根据该实施例和/或即将到来的状况而使用各种认证交换方法。例如, 利用诸如EAP — TTL S (EAP —隧道传输层安全)或者PEAP (保护EAP ) 的扩展认证协议(EAP)方法来执行认证交换。由信令流程图600中的 信令620来表示该示例。EAP — TTLS和PEAP 二者利用数字证书以对 无线设备的服务器进行认证,并且二者提供能够向无线设备请求数字 证书的选项。在本发明的优选实施例中,利用这些协议的可选行为取 回设备凭证,从而能够由CSN且最终由ASN来对设备进行验证。诸如EAP — TTLS或者PEAP的EAP方法可用作外部EAP方法, 因为这两个协议意在创建安全路径(即加密连接),通过该安全路径 来执行认证的第二 (或者内部)方法。(实际上, 一旦建立了加密连 接,那么通过加密连接来执行多个内部认证交换)例如, 一旦利用认 证服务器建立了 EAP — TTLS隧道,那么MS执行基于MS — CHAP — v2 (微软公司质询一握手认证协议版本2)用户名/口令的认证。EAP 一TTLS对用户身份和用作MS — CHAP — v2 —部分的质询消息的交换 进行加密并对其进行完整性检査。
事实上, 一旦利用认证服务器建立加密连接,MS利用许多不同方 法来执行认证交换。这些中的一些包括CHAP(质询认证一握手协议)、 MS — CHAP (微软公司质询一握手认证协议)、MS —CHAP — v2 (参 见RFC 2759) 、 PAP (口令认证协议)、EAP —SIM (全球移动通信系 统(GSM)用订户身份模块的扩展认证协议)(参见RFC 4186) 、 EAP 一AKA (第三代认证和密钥协定的扩展认证协议方法)(参见RFC 4187)以及EAP — PSK (扩展认证协议预共用密钥EAP方法)(参见 draft —bersani — eap — pskl 1.txt)。通过http:〃 www.ietf.org/可得至lj IETF 请求注解(RFC)文档和草案。
因此,利用作为认证交换410结果在CSN与无线设备之间的加密 连接,执行认证交换415。 CSN利用在交换415期间从无线设备所获得 的用户订购凭证来对用户订购进行验证。在执行设备和订购验证之后, CSN向接入提供商网络指示420与设备和认证交换有关的授权相关信 息。接入提供商网络随后基于所接收到的指示来确定是否准予接入无 线设备并且向无线设备指示430是否准予接入网络。由信令流程图600 中的信令630来表示这类信令的三个示例。就RADIUS信令而言的上 述描述以及就示意图500而言的认证策略执行通常也可应用于示意图 600 (例如信令610和630)。本领域普通技术人员应清楚的是在不脱离本发明的精神和范围的 情况下可对上述特定实施例进行各种修改和变化。因此,应认为上述 对某些实施例更详细地讨论是说明性的和示例性的而不是限制性的或 者包括所有的,并且上述对特定实施例的所有这种修改意在包含在本 发明的范围之内。
上面己对关于本发明的特定实施例的益处、其他优点以及问题的 解决方案进行了描述。然而,不应认为会引起或产生这种益处、优点 或解决方案或者会使这种益处、优点、或解决方案变得更清晰的益处、 优点、问题的解决方案、以及任何元件是任何或所有权利要求的关键、 所需的或必要特征或者元件。
如在这里所使用的并且在所附权利要求中,术语"包括"或者其
任何其他变化是指非专门包含,因此包括元件列表的过程、方法、制
品或者装置不仅包括该列表中的那些单元,而是可包括未明确列表或
者为该过程、方法、制品或者装置固有的其他元件。如在这里所使用
的,将术语"一个"定义为一个或多于一个。如在这里所使用的,将
术语多个定义两个或多于两个。如在此所使用的,将术语另一个第一
为至少第二个或多个。除非在这里另有指示,即使有的话,诸如第--和第二等等这样的关系术语的使用仅用于区别一个实体或动作与另一
实体或动作而不必需耍求或者意味着这种实体与动作之间的仟何实际 这种关系或顺序。
将这里所使用的术语"包括"和/或"具有"定义为包括(即开放 性语言)。将这里所使用的术语耦合定义为连接,虽然不一定是直接 地也未必是机械地。从词"指示(indicating)"所得到的术语(例如"指 示(indicates)"和指示"indication")意在包括可用于通信或者参考所 指示的对象的所有各种技术。 一些但不是所有的可用于通信或者参考 所指示对象的技术的示例包括对所指示对象的传达、对所指示对象的 标识符的传达、对用于产生所指示对象的信息的传达、对所指示对象的一部分的传达、对所指示对象的一些衍生物的传达、以及对表示所 指示对象的一些符号的传达。将这里所使用的术语程序、计算机程序 以及计算机指令定义为用于在计算机系统上执行的指令序列。该指令 序列包括但并不局限于子程序、功能、过程、对象方法、对象实现、
可执行应用、小程序、服务器端的小程序(servlet)、共享库/动态加 载库、源代码、目标代码、和/或汇编码。
权利要求
1. 一种用于在准予接入到接入服务网络(ASN)之前通过连通性服务网络(CSN)来对无线设备进行认证的方法,该方法包括CSN通过ASN来执行与所述无线设备的认证交换,在所述认证交换中请求设备凭证;CSN建立所述无线设备的身份,建立所述身份包括如果从所述无线设备获得了所述设备凭证,那么对所述设备凭证进行认证和验证;CSN向ASN的认证器指示下述至少一个已建立的所述无线设备的身份,是否成功地对所述无线设备进行认证和验证、是否执行证书撤销列表(CRL)检查、所述无线设备的硬件版本、所述无线设备的制造商、从所述设备凭证获得的信息、网络互操作性证书一致性等级、根证书授权中心的身份以及会话认证密钥。
2. 根据权利要求1的方法,其中,CSN包括本地认证、授权以及 计费服务器(H — AAA),并且其中ASN的认证器包括访问认证、授 权以及计费代理服务器(V — AAA) d
3. 根据权利要求l的方法,其中,执行所述认证交换包括 利用扩展认证协议(EAP)方法执行所述认证交换。
4. 根据权利要求3的方法,其中,所使用的EAP方法是EAP — TLS (EAP —传输层安全)。
5. 根据权利要求l的方法,进一步包括作为所述认证交换的结果,在CSN与所述无线设备之间建立加密连接;利用从所述设备凭证获得的设备身份来对基于设备身份的订购进 行验证,其中,向ASN的认证器指示包括响应于成功地验证基于设备身份的订购而进行指示。
6. 根据权利要求l的方法,进一步包括作为所述认证交换的结果,在CSN与所述无线设备之间建立加密 连接;CSN通过所述加密连接来执行与所述无线设备的第二认证交换, 在所述第二认证交换中请求用户订购凭证;利用所获得的用户订购凭证对用户订购进行验证,其中,向ASN的认证器指示包括响应于成功地验证所述用户订购而进行指示。
7. 根据权利要求6的方法,其中,执行所述认证交换包括 利用扩展认证协议(EAP)方法执行所述认证交换,其中,所使用的EAP方法是EAP — TTL S (EAP —隧道传输层安全) 和PEAP (受保护的EAP)中的 一 个。
8. 根据权利要求6的方法,其中,CSN通过所述加密连接执行所 述第二认证交换包括利用下述至少--个来执行所述第二认证交换CHAP (质询认证一 握手协议)、MS — CHAP (微软质询一握手认证协议)、MS — CHAP 一v2 (微软质询一握手认证协议版本2) 、 PAP ( 口令认证协议)、EAP 一SIM (全球移动通信系统(GSM)订户身份模块的扩展认证协议)、 EAP — AKA (第三代认证和密钥协定的扩展认证协议方法)以及EAP —PSK (扩展认证协议预共享密钥EAP方法)。
9. 根据权利要求6的方法,其中,所述用户订购凭证包括用户名 和口令组合、生物特征信息、订户身份信息以及预共享密钥中的至少
10. --种用于在准予接入到接入服务网络(ASN)之前通过连通性服务网络(CSN)来对无线设备进行认证的方法,该方法包括所述无线设备通过ASN来执行与CSN的第一认证交换,在所述第一认证交换中由所述无线设备提供设备凭证,所述第一认证交换在CSN与所述无线设备之间产生加密连接;所述无线设备通过所述加密连接执行与CSN的第二认证交换,在 所述第二认证交换中由所述无线设备提供用户订购凭证;作为所述第一和所述第二认证交换的结果,所述无线设备接收是 否已准予所述无线设备接入到ASN上的指示。
11. 根据权利要求10的方法,其中,执行所述第一认证交换包括 执行与CSN的所述第一认证交换,在所述第一认证交换中所述无线设备请求服务器凭证。
12. 根据权利要求10的方法,其中,执行所述第一认证交换包括 利用扩展认证协议(EAP)方法执行所述认证交换, 其中,所使用的EAP方法是EAP —TTLS(EAP—隧道传输层安全)和PEAP (受保护的EAP)巾的 一 个。
13. 根据权利要求10的方法,其中,所述执行第二认证交换包括 利用下述至少--个来执行所述第二认证交换CHAP (质询认证一握手协议)、MS — CHAP (微软质询一握手认证协议)、MS — CHAP 一v2 (微软质询一握手认证协议版本2) 、 PAP (口令认证协议)、EAP 一SIM (全球移动通信系统(GSM)订户身份模块的扩展认证协议)、 EAP — AKA (第三代认证和密钥协定的扩展认证协议方法)以及EAP 一PSK (扩展认证协议预共享密钥EAP方法)。
14. 根据权利要求10的方法,其中,所述用户订购凭证包括用户 名和口令组合、生物特征信息、订户身份信息以及预共享密钥中的至 少一个。
15. —种用于在准予接入到接入服务网络(ASN)之前通过连通 性服务网络(CSN)来对无线设备进行认证的方法,该方法包括通过接入提供商网络请求CSN对所述无线设备进行认证,其中, 所述接入提供商网络包括ASN;通过所述接入提供商网络从CSN接收对下述至少一个的指示已 建立的所述无线设备的身份,是否对所述无线设备进行成功认证、是 否执行证书撤销列表(CRL)检查、所述无线设备的硬件版本、所述无 线设备的制造商、从所述设备凭证获得的信息、网络互操作性证书一 致性等级、根证书授权中心的身份以及会话认证密钥;通过所述接入提供商网络基于所接收到的指示来确定是否准予接 入所述无线设备;ASN向所述无线设备指示是否准予所述无线设备接入。
16. 根据权利要求15的方法,其中,请求CSN以对所述无线设备进行认证包括指示是否请求设备认证以及所述接入提供商网络的设备 接入策略中的至少 ---个。
17. 根据权利要求15的方法,其中,所述接入提供商网络包括ASN 和访问网络认证器,并且其中,基于所接收到的指示来确定是否准予接入所述无线设备包 括通过A SN和访问网络认证器中的至少 一 个来确定是否利用设备接入 策略来准予接入所述无线设备。
18. 根据权利要求17的方法,其中,CSN包括本地认证、授权以 及计费服务器(H — AAA)并且其中所述访问网络认证器包括访问认证、 授权以及计费代理服务器(V — AAA)。
19. 一种无线设备,包括收发器;处理单元,可通信地耦合到所述收发器,适于通过所述收发器和接入服务网络(ASN)执行与连通性服务 网络(CSN)的第一认证交换,在所述第一认证交换中由所述无线设备 提供设备凭证,所述第一认证交换在CSN与所述无线设备之间产生加 密连接,适于通过所述收发器和所述加密连接执行与CSN的第二认证交 换,在所述第二认证交换中由所述无线设备提供用户订购凭证,以及适于通过所述收发器并且作为所述第一和所述第二认证交换的结 果,接收是否已准予所述无线设备接入到ASN上的指示。
全文摘要
描述了对无线设备(101)和/或相关用户订购进行认证的各种实施例。通过利用与无线设备的单个认证交换以获得设备证书,连通性服务网络(CSN)(231)对设备凭证进行认证和验证以建立设备身份。对于基于设备身份的订购,设备身份用于对订购进行验证。对于用户订购认证,利用第一认证交换(a.k.a,外部交换)所建立的加密连接来执行第二认证交换。通过仅利用一个外部认证交换,可形成与已知技术相比呈现出减少了消息传送并且降低了复杂性的实施例。
文档编号H04M1/66GK101536480SQ200780041069
公开日2009年9月16日 申请日期2007年10月15日 优先权日2006年11月3日
发明者史蒂文·D·厄普 申请人:摩托罗拉公司