专利名称:无线通信网络中的用户概况、策略、及pmip密钥分发的制作方法
无线通信网络中的用户概况、策略、及PM IP密钥分发本申请是PCT国际申请号为PCT/US2008/057280、国际申请日为2008年3月17日、中国国家申请号为200880014415. 7、题为“无线通信网络中的用户概况、策略、及PMIP密钥分发”的申请的分案申请。背景根据35U. S. C. § 119的优先权要求本专利申请要求2007年3月16日提交且被转让给本申请受让人并因而被明确援引纳入于此的题为 “3GPP2 Network Evolution User ProfiIePolicy, and PMIPKey(3GPP2网络演进用户概况策略、及PMIP密钥)”的美国临时申请No. 60/895,298的优先权。领域至少一个特征涉及通信系统,尤其涉及一种用于帮助在诸如超移动宽带(UMB)网络之类的无线网络内实现移动设备信息的安全分发的方法。背景在3GPP2内的各种无线通信网络的演进中,一种类型的网络架构被称为超移动宽带(UMB)网络并旨在针对下一代应用和要求来改善CDMA2000移动电话标准。UMB分组数据网络基于运行在下一代无线电系统上的因特网(TCP/IP)组网技术并旨在变得更高效以及能够提供比其所取代的诸技术更多的服务。UMB旨在成为第四代(4G)技术并使用高带宽、低等待时间、其上建有诸如语音之类的高级别服务的基底TCP/IP网络。(与先前几代相比)大得多的带宽量以及低得多的等待时间使得能够使用先前所不可能使用的各种应用类型,而同时继续投放高质量(或更高质量)的语音服务。UBM网络对其称为演进基站(eBS)的网络接入点具有集中性较低的管理。例如,此类接入点可以执行许多与CDMA网络中的基站(BS)和基站控制器(BSC)相同的功能。由于此分布性较高的网络架构,在试图维护接入终端(AT)的网络接入标识符(NAI)安全时会产生若干问题。在一些现有技术网络架构下,NAI (或者其等效的接入终端标识符)由接入终端通过空中向分组数据服务节点(PDSN)传送,该分组服务节点(PDSN)将该NAI用于认证、记账报告、和/或策略检索功能。在空中传送NAI使得该NAI易被窥探并且不安全。在UMB网络中,该NAI不是通过空中发送的。取而代之的是,依靠可扩展认证协议(EAP)方法,接入终端的NAI可以不为认证者所知。这可被称为“匿名NAI”。然而,在当实现匿名NAI之时如何认证AT上产生问题。在UMB网络中,用户概况及服务质量(QoS)用户概况是从本地和归属认证、授权和记账(LAAA/HAAA)经由成功的接入认证来向会话参考网络控制器(SRNC)发送的。然而,用户概况还需被发送给接入网关(AGW)(例如,经由IP服务授权)。由此,在当实现匿名NAI之时如何向AGW发送用户概况上存在问题。如果在UMB网络内的eBS与AGW之间使用PMIPv4隧道,那么MN-HA密钥(例如,可以是基于每AT的密钥或者每eBS-AGW对的密钥)需要被发送给eBS和AGW双方。因此,在如何向SRNC和AGW发送用于eBS与AGW之间的PMIPv4隧道的MN-HA密钥上产生问题。结果,需要能在UMB网络内实现匿名NAT时解决这些议题的途径。概述提供了一种在无线通信网络的认证服务器中操作的用于保护主用户密钥的方法。接收来自无线认证对等体的接入认证请求。生成副用户标识符,其中该副用户密钥与用于该无线认证对等体的主用户标识符相关联。向与该认证对等体相关联的认证者提供副用户标识符。可以基于主用户标识符来检索用户概况信息。可向认证者发送该用户概况信息。通信网络可包括超移动宽带(UMB)兼容网络、WiMAX兼容网络、或者长期演进(LTE)兼容网络中的至少一个。认证服务器可以是认证、授权、和记账实体(AAA),而认证对等体是无线接入终端(AT)。认证者可以是超移动宽带(UMB)兼容网络中与为无线接入终端(AT)服务的基站(BS)相关联的会话参考网络控制器(SRNC),而主用户标识符是用于无线接入终端的网络接入标识符(NAI)。服务基站可与会话参考网络控制器(SRNC)同处。副用户标识符可以是随机生成的随后与主用户标识符相关联的数字。该副用户标识符也可以是主用户标识符。该副用户标识符可以是主用户标识符的函数。提供了一种包括处理电路的认证服务器,该处理电路适配成(a)接收来自无线认证对等体的接入认证请求;(b)生成与用于该无线认证对等体的主用户标识符相关联的副用户标识符;(C)向与该认证对等体相关联的认证者提供副用户标识符;(d)基于主用户标识符检索用户概况信息;(e)向认证者提供用户概况信息。认证服务器还可包括通信接口,该通信接口适配成在超移动宽带(UMB)兼容网络、WiMAX兼容网络、或者长期演进(LTE)兼容网络中的至少一个上进行通信。认证服务器可以是认证、授权、和记账实体(AAA),而认证对等体是无线接入终端(AT)。认证者可以是超移动宽带(UMB)兼容网络中与为无线接入终端(AT)服务的基站(BS)相关联的会话参考网络控制器(SRNC),而主用户标识符是用于无线接入终端的网络接入标识符(NAI)。副用户标识符可以是(a)随机生成的随后与主用户标识符相关联的数字、(b)主用户标识符、和/或(c)主用户标识符的函数。结果,还提供了一种认证服务器,包括(a)用于接收来自无线认证对等体的接入认证请求的装置;(b)用于生成与用于该无线认证对等体的主用户标识符相关联的副用户标识符的装置;(C)用于向与该认证对等体相关联的认证者提供副用户标识符的装置;(d)用于基于主用户标识符检索用户概况信息的装置;和/或(e)用于向认证者提供用户概况信息的装置。还提供了一种在认证服务器上操作的用于保护主用户标识符的计算机程序,该计算机程序在由处理器执行时使该处理器(a)接收来自无线认证对等体的接入认证请求;(b)生成与用于该无线认证对等体的主用户标识符相关联的副用户标识符;(C)向与该认证对等体相关联的认证者提供副用户标识符;(d)基于主用户标识符检索用户概况信息;和/或(e)向认证者提供用户概况信息。还提供了一种由认证服务器执行的用于在通信网络内分发用户概况和/或策略信息的方法。对寻求经由第一网络接入节点来建立通信的认证对等体进行认证。检索与该认证对等体相关联的用户概况信息并将其发送给帮助实现对该认证对等体的通信服务的网络网关节点。还将该用户概况信息发送给帮助为该认证对等体实现通信的认证者。认证
5服务器可以是作为通信网络的一部分的认证、授权和记账(AAA)实体。在一个示例中,向网络网关节点发送用户概况信息可包括使通信网络的认证者向该网络网关节点发送该用户概况信息。在另一个示例中,向网络网关节点发送用户概况信息包括使认证服务器向该网络网关节点发送该用户概况信息。用户概况信息可包括用户概况、用户策略、对用户概况的服务质量、对认证对等体的通信服务的服务质量中的至少一个。补充地,该方法还可包括(a)从网络网关节点向策略控制和资源功能(PCRF)实体发送策略请求;(b)从PCRF实体向认证服务器发送主用户标识符请求,其中该主用户标识符唯一性地与认证对等体相关联;(c)从认证服务器向PCRF实体发送答复,该答复包括所请求的主用户标识符;(d)在PCRF实体处使用该主用户标识符为认证对等体获得用户策略;和/或(e)从PCRF实体向网络网关节点发送该用户策略。认证者可以是超移动宽带(UMB)兼容网络中与为认证对等体服务的基站(BS)相关联的会话参考网络控制器(SRNC),而机密标识符是用于无线接入终端的网络接入标识符。还提供了一种包括处理电路的认证服务器,该处理电路适配成(a)对寻求经由第一网络接入节点来建立通信的认证对等体进行认证;(b)检索与该认证对等体相关联的用户概况信息;(C)向帮助实现对该认证对等体的通信服务的网络网关节点发送用户概况信息;(d)向帮助实现为该认证对等体实现通信的认证者发送用户概况信息;(e)接收来自PCRF实体的主用户标识符请求,其中该主用户标识符唯一性地与认证对等体相关联;和/或(f)向PCRF实体发送答复,该答复包括所请求的主用户标识符。结果,提供了一种认证服务器,包括(a)用于对寻求经由第一网络接入节点来建立通信的认证对等体进行认证的装置;(b)用于检索与认证对等体相关联的用户概况信息的装置;(C)用于向帮助实现对该认证对等体的通信服务的网络网关节点发送用户概况信息的装置;(d)用于向帮助为该认证对等体实现通信的认证者发送用户概况信息的装置;(e)用于接收来自PCRF实体的主用户标识符请求的装置,其中该主用户标识符唯一性地与该认证对等体相关联;和/或(f)用于向PCRF实体发送答复的装置,该答复包括所请求的主用户标识符。还提供了一种在认证服务器上操作的用于提供用户信息的计算机程序,该计算机程序在由处理器执行时使该处理器(a)对寻求经由第一网络接入节点来建立通信的认证对等体进行认证;(b)检索与认证对等体相关联的用户概况信息;(c)向帮助实现对该认证对等体的通信服务的网络网关节点发送用户概况信息;(d)向帮助为该认证对等体实现通信的认证者发送用户概况信息;(e)接收来自PCRF实体的主用户标识符请求,其中该主用户标识符唯一性地与认证对等体相关联;和/或(f)向PCRF实体发送答复,该答复包括所请求的主用户标识符。提供了一种在通信网络中操作的方法。经由第一网络接入节点向认证对等体提供无线网络连通性。将PMIP密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端。随后,向与第一网络接入节点相关联的第一认证者提供该PMIP密钥。通信可被路由至第一网络接入节点。随后,可在PMIP网络节点处接收来自请求实体的重新路由给该认证对等体的通信的请求。PMIP网络节点可验证请求实体是否知道该PMIP密钥。在一个示例中,如果请求实体成功证明其知道该PMIP密钥,则通信可被路由至第二网络接入节点。在另一个示例中,如果请求实体成功证明其知道该PMIP密钥,则通信可被路由至第二网络网关节点。重新路由通信可包括在第一 PMIP网络节点与新的服务网络实体之间建立新的代理移动IP隧道。在一个示例中,PMIP密钥可在认证、授权和记账(AAA)实体或者网络网关节点处生成。PMIP网络节点可以是网络网关节点。还提供了一种包括处理电路的PMIP网络节点,该处理电路适配成(a)经由第一网络接入节点向认证对等体提供无线网络连通性;(b)将PMIP密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端;(c)向与第一网络接入节点相关联的第一认证者提供该PMIP密钥;(d)接收来自请求实体的重新路由该认证对等体的通信的请求;(e)验证请求实体是否知道该PMIP密钥;(f)如果请求实体成功证明其知道该PMIP密钥,则将通信重新路由至第二网络接入节点;和/或(g)如果请求实体成功证明其知道该PMIP密钥,则将通信重新路由至第二网络网关节点。重新路由通信可包括在第一 PMIP网络节点与新的服务网络实体之间建立新的代理移动IP隧道。结果,还提供了一种PMIP网络节点,包括(a)用于经由第一网络接入节点向认证对等体提供无线网络连通性的装置;(b)用于将PMIP密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端的装置;(c)用于向与第一网络接入节点相关联的第一认证者提供该PMIP密钥的装置;接收来自请求实体的重新路由该认证对等体的通信的请求的装置;(d)用于验证请求实体是否知道该PMIP密钥的装置;(e)用于在如果请求实体成功证明其知道该PMIP密钥的情况下将通信重新路由至第二网络接入节点的装置;和/或(f)用于在如果请求实体成功证明其知道该PMIP密钥的情况下将通信重新路由至第二网络网关节点的装置。重新路由通信可包括在第一 PMIP网络节点与新的服务网络实体之间建立新的代理移动IP隧道。还提供了一种在PMIP网络节点上操作的计算机程序,该计算机程序在由处理器执行时使该处理器(a)经由第一网络接入节点向认证对等体提供无线网络连通性;(b)将PMIP密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端;(c)向与第一网络接入节点相关联的第一认证者提供该PMIP密钥;(d)接收来自请求实体的重新路由该认证对等体的通信的请求;(e)验证请求实体是否知道该PMIP密钥;(f)如果请求实体成功证明其知道该PMIP密钥则将通信重新路由至第二网络接入节点;和/或(g)如果请求实体成功证明其知道该PMIP密钥则将通信重新路由至第二网络网关节点。附图简述在结合附图理解下面阐述的详细描述时,各种特征、本质、和优点会变得明显,在附图中,相像的附图标记贯穿始终作相应标识。图I是根据一个示例的UMB网络的框图,在该UMB网络中可实现安全NAI、安全用户概况和策略分发、和/或PMIP密钥分发中的一个或更多个特征。图2是图解了认证方法的流程图,藉由该方法,在接入终端(AT)与归属认证、授权和记账(HAAA)实体之间进行网络接入认证期间不通过空中传送网络接入标识符(NAI)。图3图解了一种在无线通信网络的认证服务器(例如,HAAA)中操作的用于保护主用户密钥的方法。图4是图解了随着AT在UMB网络中从第一 eBS移到第二 eBS,如何向该AT提供无线服务的框图。图5图解了在分布式SRNC配置中AGW如何可在新的PMIP隧道被建立时从LAAA检索用户概况以及如何可向PCRF请求用户策略。图6图解了在集中式SRNC配置中AGW如何可在新的PMIP隧道被建立时从LAAA检索用户概况以及如何可向PCRF请求用户策略。图7图解了在分布式SRNC配置中AGW如何可作为认证过程的一部分获得用户概况信息以及如何可从PCRF获得用户策略。图8图解了在分布式SRNC配置中AGW如何可作为认证过程的一部分获得用户概况信息以及如何可从PCRF获得用户策略。图9图解了在分布式SRNC配置中LAAA如何可将用户概况推送给AGW以及该AGW如何可向PCRF请求用户策略。
图10图解了在集中式SRNC配置中LAAA如何可将用户概况推送给AGW以及该AGW如何可向PCRF请求用户策略。图11图解了在认证服务器上操作的用于向认证者提供用户概况信息的方法。图12图解了在通信网络中操作的用于向网络网关节点提供用于认证对等体的用户策略信息的方法。图13图解了用于在通信网络中验证新的隧道请求的方法。图14图解了在一些通信网络中见到的认证架构。图15是图解了认证服务器的框图。该认证服务器可包括耦合至网络通信接口的处理电路1504。图16是图解了 PMIP网络节点设备的示例的框图。详细描述在以下说明中,给出了具体细节以提供对诸配置的透彻理解。但是,本领域普通技术人员将可理解,没有这些具体细节也可实践这些配置。例如,电路可能以框图形式示出,以免因不必要的细节而湮没这些配置。在其他实例中,公知的电路、结构、和技术可能被详细示出以免湮没这些配置。还注意到,这些配置可能是作为被描绘为流程图、流图、结构图、或框图的过程来描述的。尽管流程图可能会把诸操作描述为顺序过程,但是这些操作中有许多可以并行或并发执行。另外,这些操作的次序可以被重新安排。过程在其操作完成时终止。过程可以对应于方法、函数、规程、子例程、子程序等。当过程对应于函数时,其终止对应于该函数返回到调用方函数或主函数。在一个或更多个示例和/或配置中,所描述的功能可以在硬件、软件、固件、或其任何组合中实现。如果在软件中实现,则各功能可以作为一条或更多条指令或代码存储在计算机可读介质上或藉其进行传送。计算机可读介质包括计算机存储介质和通信介质两者,后者包括有助于将计算机程序从一地转移到另一地的任何介质。存储介质可以是能被通用或专用计算机访问的任何可用介质。作为示例而非限定,这样的计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备、或能被用来携带或存储指令或数据结构形式的合需程序代码手段且能被通用或专用计算机、或者通用或专用处理器访问的任何其它介质。任何连接被称为计算机可读介质也是正当的。例如,如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其它远程源传送而来的,则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的碟和盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软碟和蓝光盘,其中碟往往以磁的方式再现数据,而盘用激光以光学方式再现数据。上述的组合也被包括在计算机可读介质的范围内。不仅如此,存储介质可以代表用于存储数据的一个或更多个设备,包括只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储介质、光学存储介质、闪存设备、和/或其他用于存储信息的机器可读介质。此外,诸配置可以由硬件、软件、固件、中间件、微码、或其任何组合来实现。当在软件、固件、中间件、或微码中实现时,用于执行必要任务的程序代码或代码段可以被存储在诸如存储介质或其他存储之类的计算机可读介质中。处理器可以执行这些必要的任务。代码段可表示规程、函数、子程序、程序、例程、子例程、模块、软件包、类,或是指令、数据结构、或程序语句的任何组合。通过传递和/或接收信息、数据、自变量、参数、或存储器内容,一代码段可被耦合到另一代码段或硬件电路。信息、自变量、参数、数据等可以经由包括存储器共享、消息传递、令牌传递、网络传输等任何合适的手段被传递、转发、或传输。在以下描述中,使用某些术语来描述某些特征。术语“接入终端”和“通信设备”可以被可互换地用来指代移动设备、移动电话、无线终端、和/或能够在无线网络上通信的其他类型的移动或固定通信装置。网络环境在本文中所描述的特征可在包括UMB、WiMAX和LTE兼容网络在内的各种类型的网络中实现。图14图解了在一些通信网络中见到的认证架构。通信网络1400(例如,UMB、WiMAX、或者长期演进(LTE)网络)可包括多个IP节点1404和1408以及认证对等体1402、认证者1406和认证服务器1410。在操作期间,可由认证者1406在认证服务器1410的协助下对认证对等体1402(例如,接入终端)进行认证。在一个示例中,认证者1406可以是会话参考网络控制器(SRNC),而认证服务器1410可以是归属认证、授权和记账(HAAA)实体。补充地,IP节点1404和1408可包括基站、网关、和/或其他网络实体。策略实体1412(例如,PCRF)可存储用于认证对等体1402的策略信息。在向通信网络1400中的认证对等体1402提供通信服务之时,需要用来向认证者1406和IP B节点(网关)双方分发用于认证对等体1402的用户概况的机制或方法。本例尤为如此,因为认证者1406与IP B节点(网关)1408并不同处。补充地,当伪NAI被用来向通信网络标识认证对等体1402时,这使得难以从策略实体(例如,归属PCRF)向IP节点1404和1408分发用户策略。补充地,要在需要建立PMIP隧道的两个节点之间生成并分发PMIP密钥也是成问题的。例如,在UMB网络中,PMIP密钥可被分发给基站和网关或者网关和本地移动性锚(LMA)。
虽然本文中的各种示例可能是从UMB网络的观点来解说的,但是本文中所描述的特征可适用于诸如举例而言WiMAX和LTE之类的其他类型的网络。图I是根据一个示例的UMB网络的框图,在该UMB网络中可实现安全NAI、用户概况和策略分发、和/或PMIP密钥分发中的一个或更多个特征。UMB网络可使用不依赖诸如基站控制器(BSC)之类的集中式实体来协调跨UMB的演进基站(eBS)的连接的平坦架构。eBS可将传统的基站、BSC的功能以及分组服务节点(PDSN)的一些功能组合到单个节点中,以使得UMB网络的部署变得更简单。由于组件的数目减少了(与现有技术中的网络相比),因此UMB网络可以更可靠、更灵活、更易于部署和/或运行成本更低。例如,在传统网络中,BS、BSC、BSC、PDSN和移动IP归属代理(HA)全都协作以服务用户话务。UMB网络重用核心网络基础设施中的绝大部分但将诸功能合并到较少的网络组件中。将这些功能组合成较少的节点减少了等待时间,降低了资本和维护成本,并减小了节点之间用以投递端对端QoS的交互的复杂性。此示例图解了 UMB接入网络102和服务网络113如何可在重用核心网络基础设施(例如,归属网络103)时向多个接入终端AT 106、108、110、122(例如,认证对等体)提供无线网络接入。服务网络113可以是用于AT 106、108、110、122的“归属”网络,但这些AT也可以漫游或者访问其他网络并从这样的其他网络获得无线网络连通性。在此示例中,UMB接入网络102包括允许一个或更多个接入终端(AT) 106、108和110与服务网络113和归属网络103连接的第一 eBS 104和第二 eBS 107 (这些eBS被宽泛地称为“网络接入节点”)。第一 eBS 104可耦合至第一会话参考网络控制器(SRNC) 114(其被宽泛地称为“认证者”)以及服务网络113中的第一接入网关(AGW) 112 (其被宽泛地称为“网络网关节点”),该服务网络113被耦合至归属网络基础设施103。类似地,第二 eBS 107可耦合至第二 SRNC 109以及第一 AGW 112。服务网络113可包括耦合至本地认证、授权和记账(LAAA) 124的AGW-a 112和AGW_b 120以及访问策略控制和资源功能(vPCRF) 132以帮助为诸eBS和诸AT实现通信和/或连通性。归属网络103可包括归属代理(HA) 126、归属AAA(HAAA) 128以及归属PCRF (hPCRF) 130。补充地,其他接入网络105也可被耦合至HA126和/或LAAA 124以向诸接入终端提供无线网络连通性。在各种实现中,UMB接入网络102可包括可向其他AT 122提供无线网络连通性的其他eBS 116和117、SRNC 118以及AGW 120。网络102、113、105和/或103旨在作为在其中本文中所描述的一个或更多个新颖特征可工作的通信系统的示例。然而,在这些网络中的诸设备和/或那些设备的功能性可位于所示的其他网络中(即不同的网络中),而不脱离本文中所描述的操作和特征。根据各种示例,AT 106、108、110和/或122可以是无线通信设备、移动电话、无线终端、以及支持经由UMB网络的无线的无线电连通性的其他类型的移动和/或无线设备。eBS 104、107 和 116 支持 UMB 空中接口。eBS 104、107 和 / 或 116 可包括 UMB 物理和/或MAC协议并可执行无线电资源管理、无线电信道管理、层2密文编译和/或IP头压缩(例如,R0HC)。AGff 112和/或120可向归属网络103提供层3IP连通性。AGW 112和/或120可包括诸如认证、空闲状态缓冲、和/或代理移动IP客户机之类的各种功能。例如,AGff 112和/或120可包括IP地址管理、用于MIPv4的区外代理、DHCP中继、代理移动IP(PMIP)客户机、IP分组分类/管辖、EAP认证者和/或AAA客户机。SRNC 114、109和118可控制包括会话信息存储、寻呼功能、以及位置管理在内的各种功能以支持无线电资源控制。SRNC功能可包括例如,(a)空中接口会话信息存储、(b)寻呼控制器、(c)位置管理、和/或(d)针对AT的EAP认证者。第一 SRNC 114可维护关于AT 106和108的无线电接入专有信息,而第二 SRNC 107可维护关于AT 110的无线接入专有信息。SRNC可负责在AT空闲时维护会话参考(例如,关于商定的空中接口上下文的会话存储点)、支持空闲状态管理、以及提供寻呼控制功能。SRNC还可负责对AT的接入认证。SRNC功能可由eBS主存或者与eBS同处,或者可位于单独的(非无线电的)实体中。注意,SRNC既可实现在集中式配置中也可实现在分布式配置中。在集中式配置中,单个SRNC 118与若干eBS 116和117以及AGW 120连接。在分布式配置中,每一 eBS包括SRNC。对归属网络103的认证、授权和记账(AAA)服务可在归属代理126、本地AAA(LAAA) 124 以及归属 AAA(HAAA) 128 之间分配。HAAA 128 可负责与 AT 106、108、110 和 /或112对网络资源的使用相关联的认证、授权和记账。归属代理(HA) 126可提供支持例如客户移动IP(CMIP)和/或代理移动IP(PMIP)并且还可帮助实现技术间移动性的移动性解决方案。策略控制和资源功能(PCRF)可存储和分发用于AT 106、108、110和/或122的策略。在一个实现中,归属PCRF (hPCRF) 130可负责归属网络策略,而访问PCRF (vPCRF)可负责访问网络策略。hPCRF 130和VPCRF132分别向AGW 112和120提供本地和访问规则。这些规则可包括例如,(a)对对属于服务数据流的分组的检测、(b)提供对服务数据流的策略控制、和/或(c)提供对服务数据流适用的收费参数。保护匿名网络接入标识符在诸如高速率分组数据(HRPD)网络之类的现有技术网络下,接入终端AT在认证过程期间通过空中发送其网络接入标识符(NAI)。此类空中传输可能将NAI曝露给第三方并且危及通信的安全。补充地,该NAI可能为H)SN所知以用于例如进行账户报告以及从PCRF检索策略。图2是图解了一种认证方法的流程图,藉由该方法,在接入终端(AT)与归属认证、授权和记账(HAAA)实体之间进行网络接入认证期间不通过空中传送网络接入标识符(NAI)。例如,在初始订阅期间,AT 202和HAAA 216双方都可获得与该AT 202相关联的NAI0此NAI可被存储在例如AT 202处的订户身份模块(SM)卡中并且为HAAA 216所知。在一些实现中,在初始订阅过程期间还可获得伪NAI。该伪NAI或可由HAAA 216或可由AT202生成并为HAAA 216和AT 202双方所知。该伪NAI可与用于AT 202的NAI相关联,以使得HAAA 216和AT 202双方都能在后续的接入认证过程期间使用它。为了与服务eBS 204建立通信,AT 202可建立UMB会话224。AT随后可经由eBS204向HAAA 216发送接入认证请求226a和226b。接入认证请求226可在UMB上的可扩展认证协议(EAP)(或者其他某个安全认证协议)中被发送给eBS 204并且随后在AAA协议上的EAP中被发送给HAAA 216。认证请求226可包括伪NAI (例如,在初始订阅期间获得),以使得请求方AT 202可为认证目的由HAAA 216标识。在未从HAAA获得伪NAI的其他实现中,AT 202可在认证请求226中发送真NAI。然而,这仅在第一次执行,并且后续可以使用伪NAI (例如,由HAAA 216提供),藉此限制通过空中传输真NAI。
HAAA 216生成用户ID,其可将该用户ID与NAI或者请求方AT 228相关联。例如,该用户ID可以是由HAAA生成的随机数、或者可以(至少部分地)是NAI的函数、或者(在一些实现中)它可以是NAI。HAAA 216还可基于NAI检索用于请求方AT 202的用户概况以及QoS用户概况(例如,从hPCRF 214或vPCRF 208检索)。在一个示例中,用户概况和QoS用户概况可定义与请求方AT 202相关联的服务类型、服务计划、服务限制等。在一些实现中,HAAA 216还可生成新的伪NAI,后者可由其发送给AT 202以被用在后续的认证请求中。成功接入认证消息232可随后被发送给LAAA 210,该消息232可包括用户ID、用户概况、QoS用户概况,并且(可能)包括新的伪NAI。LAAA210可进而将该用户ID、用户概况和QoS用户概况、以及PMIP MN-HA密钥转发给SRNC 204。SRNC 204可向AGW 206提供PMIP MN-HA密钥;继而,SRNC 204和/或AGW 206可在不知道NAIl的情况下将此用户ID用于记账报告和策略检索。在用户ID是随机数(例如,由HAAA将其与NAI相关联)的实例中,可由服务网络在不知道该NAI的情况下使用该用户ID。此方案的结果是,请求方AT的NAI不通过空中发送并且为有限数目的核心基础设施实体(例如,HAAA)所知。在其他实例中,用户ID可以是NAI,但是其由HAAA 216向服务网络分发,而不由AT 202通过空中传送。图3图解了一种在无线通信网络的认证服务器(例如,HAAA)中操作的用于保护主用户密钥的方法。接收来自无线认证对等体(例如,AT)的接入认证请求302。可生成副用户标识符(例如,用户ID),其中该副用户密钥与用于无线认证对等体的主用户标识符(例如,NAI)相关联304。可基于主用户标识符来检索用户概况信息(例如,用户概况)306。可向与认证对等体相关联的认证者(例如,SNRC)提供副用户标识符308。可向认证者(例如,SRNC)发送用户概况信息。通信网络可包括超移动宽带(UMB)兼容网络、WiMAX兼容网络、或者长期演进(LTE)兼容网络中的至少一个。认证服务器(例如,HAAA)可以是认证、授权、和记账实体(AAA),而认证对等体是无线接入终端(AT)。认证者可以是超移动宽带(UMB)兼容网络中与为无线接入终端(AT)服务的基站(BS)相关联的会话参考网络控制器(SRNC),而主用户标识符是用于无线接入终端的网络接入标识符(NAI)。服务基站可与会话参考网络控制器(SRNC)同处。副用户标识符可以是随机生成的、随后与主用户标识符相关联的数字。该副用户标识符也可以是主用户标识符。该副用户标识符可以是主用户标识符的函数。图15是图解了认证服务器的框图。认证服务器1500可包括耦合至网络通信接口1506的处理电路1504。处理电路1504可适配成(a)接收来自无线认证对等体的接入认证请求;(b)生成与用于该无线认证对等体的主用户标识符相关联的副用户标识符;(c)向与该认证对等体相关联的认证者提供副用户标识符;(d)基于主用户标识符检索用户概况信息;(e)向认证者提供用户概况信息。结果,可提供一种认证服务器,包括(a)用于接收来自无线认证对等体的接入认证请求的装置;(b)用于生成与用于该无线认证对等体的主用户标识符相关联的副用户标识符的装置;(C)用于向与该认证对等体相关联的认证者提供副用户标识符的装置;(d)用于基于主用户标识符检索用户概况信息的装置;和/或(e)用于向认证者提供用户概况信
12息的装置。还可提供一种在认证服务器上操作的用于保护主用户标识符的计算机程序,该计算机程序在由处理器执行时使该处理器(a)接收来自无线认证对等体的接入认证请求;(b)生成与用于该无线认证对等体的主用户标识符相关联的副用户标识符;(C)向与该认证对等体相关联的认证者提供副用户标识符;(d)基于主用户标识符检索用户概况信息;和/或(e)向认证者提供用户概况信息。向AGW分发用户概况和策略图4是图解了随着AT在UMB网络中从第一 eBS移到第二 eBS,如何可向该AT提供无线服务的框图。在UMB网络中,更多功能是在与AT 406的无线接口附近执行的。这些功能之一是允许AT 406在接入网络402的eBS之间移动或者漫游(例如,从时间t0的第一eBS-A 408到时间tl的第二 eBS-B 410),而同时使这样的移动性对归属网络404透明。为了保持向归属网络404隐瞒AT 406的移动性,服务网络403中的AGW 412管理向当前服务eBS的转发。如图2中所图解的,SRNC-A 412可以是认证过程的一部分。图4中图解了(图2的)认证请求消息226a和226b以及成功认证消息232和234的路径。如果AT 406被HAAA416成功认证,则SRNC-A 412接收用户ID、用户概况、QoS用户概况、PMIP MN-HA密钥。然而,随着AT在相同的接入网络402内从第一 eBS 408移到第二 eBS 410, AGff 414可向归属网络基础设施404隐瞒该AT的移动性。然而,为了达成此目的,AGff 404应当知道关于AT406的用户概况和策略信息以正当地确定应当经由第二 eBS-B 410来提供的服务类型(例如,服务质量等)。提出了三种用于向AGW提供用户概况信息的替换方法。第一,AGW414可在新的PMIP隧道被建立时从LAAA 418检索用户概况并且从PCRF检索用户策略。图5和图6分别图解了在分布式和集中式SRNC配置中,AGW如何可在新的PMIP隧道被建立时从LAAA检索用户概况以及如何可从PCRF检索用户策略。第二,AGW 414可在认证过程期间获得用户概况信息,并且从PCRF获得用户策略信息。图7和图8分别图解了在分布式和集中式SRNC配置中,AGW如何可作为认证过程的一部分获得用户概况信息以及如何可从PCRF获得用户策略。第三,LAAA 418可将用户概况推送给AGW 414,并且该AGW可随后向PCRF请求用户策略。图9和图10分别图解了在分布式和集中式SRNC配置中,LAAA如何可将用户概况推送给AGW 414以及该AGW如何可向PCRF请求用户策略。注意到在分布式SRNC配置中,SRNC可与eBS同处(例如,图l_eBS_all4和SRNC_a104),而在集中式SRNC配置中,SRNC可与eBS分开并服务一个或更多个eBS(例如,图1-SRNC-c 118、eBS-c 116 和 eBS-d 117)。图5图解了在分布式SRNC配置中AGW如何可在新的PMIP隧道被建立时从LAAA检索用户概况以及向PCRF请求用户策略。可执行认证过程520、522、524和525,在其中AT502向HAAA 516发送认证请求。如果AT得到HAAA 616认证,则HAAA 616生成用户ID和其他用户概况信息以作为响应。作为认证响应525的一部分,eBS/SRNC 504可从LAAA 510接收用户概况。一旦接入认证已被执行,AT 502就可从数据锚点(DAP)eBS 504移到新的服务eBS。该新的服务eBS可经由新的服务eBS/SRNC发送DAP移动请求530。由新的服务eBS/
13SRNC向AGW 506发送代理移动IP(PMIP)注册请求(RRQ)消息532 (包括用于AT 502的用户ID),AGff 506进而向LAAA 510发送AAA请求(用户ID)消息534。LAAA 510检索与请求方AT相关联的用户概况信息(例如,用户概况、PMIP MN-HA密钥等)并将其发送给AGW506。AGff 506 可向 eBS/SRNC 504 发送 PMIP 注册响应(RRP)消息 538,eBS/SRNC 504 随后向AT 502发送DAP移动指派消息540。在其中新的IP地址和/或配置542可与AT 502相关联的过程期间,AGW 506 (其具有用户ID的知识)能够获得用于与该用户ID相关联的AT的用户策略。AGW 506可向vPCRF 508发送策略请求(用户ID) 544,该请求可被转发给hPCRF 514。因为hPCRF 514不知道用户ID与同用户策略相关联的NAI之间的映射,所以hPCRF 514可随后向HAAA 516发送 NAI 请求(用户 ID) 548。HAAA 516 以 NAI 响应(用户 ID,NAI) 550 作答,hPCRF 514 可使用该NAI响应550来获得与用户ID和NAI相关联的用户策略。即,hPCRF 514使用NAI来获得对应于与该用户ID相关联的AT的用户策略。由hPCRF 514向vPCRF 508发送策略响应(用户ID,用户策略)552,vPCRF 508随后向AGW 506发送策略响应(用户ID,用户策略)554。AGW 506可随后将用户策略推送或者发送556给eBS/SRNC 504。根据一个示例,AT 502可通过将MAC包括在DAP移动请求消息530中来授权对用户概况和/或策略信息的检索。可基于一些静态数据随诸如序列号之类的一些动态信息一起来创建该MAC。用于MAC生成的密钥可从AT 502与HAAA 516 (或LAAA)之间共享的EAP密钥制定阶层体系推导(例如,来自DSRK——域专有根密钥的密钥)。例如,MAC生成密钥可基于作为EAP密钥阶层体系一部分的授权密钥AK(例如,AK = f (DSRK),其中f是诸如像HMAC_SHA256那样的伪随机函数之类的某个函数)。来自AT 502的DAP移动请求530消息中所包括的授权数据可经由AGW 506发送给LAAA 510。一旦成功验证了 MAC,LAAA 510就向AGW 506发送用户概况。对于从PCRF中检索策略而言,可使用类似的办法。在此情形中使用的密钥应当来自在AT与HAAA之间共享的密钥(可以与上面类似的方式生成来自EAP EMSK的密钥)。图6图解了在集中式SRNC配置中AGW如何可在新的PMIP隧道被建立时从LAAA中检索用户概况以及如何可向PCRF请求用户策略。可执行认证过程622、624、626和625,在其中AT 602向HAAA 618发送认证请求。如果AT 602得到HAAA 618成功认证,则HAAA618生成用户ID并获得其他用户概况信息以作为响应。作为认证响应的一部分,SRNC 606可从LAAA 610接收625用户概况。一旦接入认证已被执行,AT 602就可从数据锚点(DAP)eBS 604移到新的服务eBS。由新的服务eBS向AGff 608发送代理移动IP (PMIP) RRQ消息632 (包括用于AT 602的用户ID),AGW 608进而向LAAA 612发送AAA请求消息634 (包括用于AT 602的用户ID)。LAAA 612检索与请求方AT 602相关联的用户概况信息(例如,用户概况、PMIP MN-HA密钥等)并将其发送给AGW 608。AGff 608可向新的服务eBS发送PMIPRRP消息637,该新的eBS随后向AT 602发送DAP移动指派消息639。对于图5和图6中所图解的实现而言,如果关注安全性,那么可将AT的签名(例如,MN-HA密钥的散列)包括在DAP移动请求/PMIP RRQ中,并且HAAA可在向hPCRF发送(与请求方AT相关联的)NAI以检索用户概况和/或策略信息之前检查该签名。在其中新的IP地址和/或配置638可与AT 602相关联的过程期间,AGW 608 (其具有用户ID的知识)将能够获得用于与该用户ID相关联的AT的用户策略。AGW 608可向vPCRF 610发送策略请求(用户ID) 640,该请求640可被转发642给hPCRF 616。因为hPCRF 616不知道用户ID与同用户策略相关联的NAI之间的映射,所以hPCRF 616可随后向HAAA 618发送NAI请求(用户ID) 644。HAAA 618以NAI响应(用户ID,NAI) 646作答,hPCRF 616可使用该NAI响应646来获得与用户ID和NAI相关联的用户策略。即,hPCRF616使用NAI来获得对应于与该用户ID相关联的AT的用户策略。由hPCRF 616向vPCRF610发送策略响应(用户ID,用户策略)648,vPCRF 608随后向AGW 608发送策略响应(用户ID,用户策略)650。AGW 608可随后将用户策略推送或者发送给SRNC 606,后者可将此类信息654中的部分或者全部复制给eBS 604。图7图解了在分布式SRNC配置中AGW如何可作为认证过程的一部分获得用户概况信息以及如何可从PCRF获得用户策略。可执行认证过程720、722、724、728,在其中AT702向HAAA 716发送认证请求。如果AT 702得到HAAA 716成功认证,则HAAA 716生成用户ID并获得其他用户概况信息以作为响应。作为认证响应的一部分,SRNC 706可从LAAA710接收用户概况。eBS/SRNC 704可随后从AGW 706接收用户概况信息(例如,用户ID、用户概况、和/或PMIP MN-HA密钥)。在其中新的IP地址和/或配置738可与AT 702相关联的过程期间,AGW 706 (其具有用户ID的知识)将能够获得用于与该用户ID相关联的AT的用户策略。AGW 706可向vPCRF 708发送策略请求(用户ID) 740,该请求可被转发742给hPCRF 714。因为hPCRF714不知道用户ID与同用户策略相关联的NAI之间的映射,所以hPCRF 714可随后向HAAA716 发送 NAI 请求(用户 ID) 744。HAAA 716 以 NAI 响应(用户 ID,NAI) 746 作答,hPCRF714可使用该NAI响应746来获得与用户ID和NAI相关联的用户策略。即,hPCRF 714使用NAI来获得对应于与该用户ID相关联的AT的用户策略。由hPCRF 714向vPCRF 708发送策略响应(用户ID,用户策略)748,vPCRF 708随后向AGW 706发送策略响应(用户ID,用户策略)748。AGW 706可随后将用户策略推送或者发送给eBS/SRNC 704。图8图解了在分布式SRNC配置中AGW如何可作为认证过程的一部分获得用户概况信息以及如何可从PCRF获得用户策略。作为接入认证的一部分,SRNC 806可接收用户概况信息(例如,用户ID、用户概况、和/或PMIP MN-HA密钥)。SRNC 806可在AAA请求消息828中向AGW 808推送或发送该用户概况信息(例如,用户ID、用户概况、和/或PMIPMN-HA密钥)并从AGW 808接收AAA ACK (确认)消息830。可执行认证过程822、824、826、828,在其中AT 802向HAAA 818发送认证请求。如果AT 802得到HAAA 818成功认证,则HAAA 818生成用户ID并获得其他用户概况信息以作为响应。作为认证响应的一部分,AGW 808可从LAAA 812接收用户概况信息(例如,用户ID、用户概况、和/或PMIP MN-HA密钥)。AGff 808可随后将此用户概况信息转发给SRNC806,后者可将该用户概况信息中的一些或全部复制832给eBS 804。一旦接入认证已被执行,AT 802就可从数据锚点(DAP)eBS 804移到新的服务eBS。在其中新的IP地址和/或配置842可与AT 802相关联的过程期间,AGW 808 (其具有用户ID的知识)将能够获得用于与该用户ID相关联的AT的用户策略。AGW 808可向vPCRF810发送策略请求(用户ID) 844,该请求844可被转发846给hPCRF 816。因为hPCRF 816不知道用户ID与同用户策略相关联的NAI之间的映射,所以hPCRF 816可随后向HAAA 818发送NAI请求(用户ID)848。HAAA 818以NAI响应(用户ID,NAI)850作答,hPCRF 816可使用该NAI响应850来获得与用户ID和NAI相关联的用户策略。即,hPCRF 816使用NAI来获得对应于与该用户ID相关联的AT的用户策略。由hPCRF 816向vPCRF 810发送策略响应(用户ID,用户策略)852,vPCRF 810随后向AGW 808发送策略响应(用户ID,用户策略)854。AGW 808可随后将用户策略推送或者发送856给SRNC 806,后者可将此类信息中的部分或者全部复制858给eBS 804。图9图解了在分布式SRNC配置中LAAA如何可将用户概况推送给AGW 414以及该AGff如何可向PCRF请求用户概况。可执行认证过程920、922和924,在其中AT 902向HAAA916发送认证请求。如果AT得到HAAA916认证,则HAAA 916生成用户ID和其他用户概况信息以作为响应。作为认证响应的一部分,eBS/SRNC 904可从LAAA 910接收用户概况。随后,LAAA 910可将AAA消息(用户ID、用户概况、PMIP MN-HA密钥)926推送或者发送给AGff 906。AGff 906可确认928收到了消息926。用户策略可由AGW藉与图5和7中所图解的过程相类似的过程来获得。图10图解了在集中式SRNC配置中LAAA如何可将用户概况推送给AGW以及该AGW如何可向PCRF请求用户概况。可执行认证过程1022、1024和1026,在其中AT 1002向HAAA1018发送认证请求。如果AT 1002得到HAAA 1018认证,则HAAA 1018生成用户ID和其他用户概况信息以作为响应。作为认证响应的一部分,SRNC 1006可从LAAA 1012接收用户概况。随后,LAAA 1012可将AAA消息(用户ID、用户概况、PMIP MN-HA密钥)1028推送或者发送给AGW 1008。AGff 1008可确认1030收到了消息1028。用户策略可由AGW藉与图5、7和9中所图解的过程相类似的过程来获得。图11图解了在认证服务器上操作的用于向认证者提供用户概况信息的方法。认证服务器(例如,HAAA)可接收来自认证对等体(例如,AT)的接入认证请求1100并验证该认证对等体是否是通信网络(例如,UMB网络)的有效订户。认证服务器可对寻求经由第一网络接入节点来建立通信的认证对等体进行认证1102。如果该认证对等体得到认证服务器成功认证1104,则该认证服务器检索与认证对等体相关联的用户概况信息1106。认证服务器随后向帮助实现对认证对等体的通信服务的网络网关节点发送该用户概况信息1108。类似地,认证服务器还可向帮助为认证对等体实现通信的认证者发送该用户概况信息1110。此类用户概况信息可提供例如针对认证对等体的服务级别或质量。在一个示例中,认证服务器可以是作为通信网络的一部分的认证、授权和记账(AAA)实体。在一个实现中,向网络网关节点发送用户概况信息可包括令认证者向该网络网关节点发送该用户概况信息。可以根据图5-10中所图解的一个或更多个方法来提供该用户概况信息。再次参照图15,认证服务器1500的处理电路1504可适配成(a)对寻求经由第一网络接入节点来建立通信的认证对等体进行认证;(b)检索与认证对等体相关联的用户概况信息;(C)向帮助实现对认证对等体的通信服务的网络网关节点发送用户概况信息;(d)向帮助为认证对等体实现通信的认证者发送用户概况信息;(e)接收来自PCRF实体的主用户标识符请求,其中该主用户标识符唯一性地与认证对等体相关联;和/或(f)向PCRF实体发送答复,该答复包括所请求的主用户标识符。结果,可提供一种认证服务器,包括(a)用于对寻求经由第一网络接入节点来建立通信的认证对等体进行认证的装置;(b)用于检索与该认证对等体相关联的用户概况信息的装置;(C)用于向帮助实现对认证对等体的通信服务的网络网关节点发送用户概况信息的装置;(d)用于向帮助为认证对等体实现通信的认证者发送用户概况信息的装置;(e)用于接收来自PCRF实体的主用户标识符请求的装置,其中该主用户标识符唯一性地与认证对等体相关联;和/或(f)用于向PCRF实体发送答复的装置,该答复包括所请求的主用户标识符。类似地,还可提供在认证服务器上操作的用于提供用户信息的计算机程序,该计算机程序在由处理器执行时使该处理器(a)对寻求经由第一网络接入节点来建立通信的认证对等体进行认证;(b)检索与认证对等体相关联的用户概况信息;(C)向帮助实现对认证对等体的通信服务的网络网关节点发送用户概况信息;(d)向帮助为认证对等体实现通信的认证者发送用户概况信息;(e)接收来自PCRF实体的主用户标识符请求,其中该主用户标识符唯一性地与认证对等体相关联;和/或(f)向PCRF实体发送答复,该答复包括所请求的主用户标识符。图12图解了在通信网络中操作的用于向网络网关节点提供用于认证对等体的用户策略信息的方法。该方法可包括(a)从网络网关节点向策略控制和资源功能(PCRF)实体发送策略请求1202,其中该策略请求可以是针对用于该网络网关节点帮助其实现通信的认证对等体的用户策略;(b)从PCRF实体向认证服务器发送主用户标识符请求,其中该主用户标识符唯一性地与认证对等体相关联1204 ; (c)从认证服务器向PCRF实体发送答复,该答复包括所请求的主用户标识符1206 ; (d)在PCRF实体处使用主用户标识符为认证对等体获得用户策略1208 ;和/或(e)从PCRF实体向网络网关节点发送用户策略1210。例如,可以根据图5-10中所图解的一个或更多个方法来提供该用户策略信息。认证者可以是超移动宽带(UMB)兼容网络中与为认证对等体服务的基站(BS)相关联的会话参考网络控制器(SRNC),而机密标识符是用于无线接入终端的网络接入标识符。分发PMIP密钥以验证新的隧道请求随着AT漫游或者移到不同的eBS,为该AT管理通信的AGW建立去往新的服务eBS的代理移动IP(PMIP)隧道。然而,AGW必须防止其他eBS(或入侵者)在它们并没有向该AT提供无线连通性时声称其正在向该AT提供了该无线连通性。AGW应当能够防止未获授权的实体改变PMIP隧道绑定。因此,可以使用移动节点归属代理(MN-HA)密钥来保护eBS与AGW之间以及SRNC与AGW之间的PMIP隧道。至少有两种类型的PMIP隧道eBS与AGW之间的RAN PMIP隧道以及AGW与SRNC之间和第一 AGW与第二 AGW之间的网络PMIP隧道。随着AT (在服务网络内的)eBS间移动,可由AGW与新的服务eBS—起建立新的RAN PMIP隧道。类似地,随着该AT移动或者漫游到新的接入或服务网络中,归属AGW可与此新的接入或服务网络一起建立网络PMIP隧道。有若干种途径来获得能用来验证是否应当由AGW建立新的PMIP隧道的MN-HA密钥的途径。LAAA可简单地捡选随机数作为PMIP隧道MN-HA密钥并将其提供给AGW。由于AT并不需要知道此密钥,因而“推导”此密钥的唯一实体是LAAA。因此,没有推导的必要,因为简单的强随机数生成就足够了。可将所生成的随机数(即,MN-HA密钥)给予SRNC和/或AGW以供用在验证是否应建立新的PMIP隧道(例如,PMIPv4隧道)中。替换地,如在认证密钥的情形中那样,可以从EAP阶层体系中创建MN-HA密钥。例如,MN-HA密钥可以是在AT与LAAA之间共享的DSRK(域专有根密钥)的函数(例如,DSRK- > P4K(PMIPv4 MN-HA密钥)或者P4K = f (DSRK),其中f是某个函数(例如,诸如HMAC_SHA256之类的伪随机函数))。可将所生成的P4K(即,MN-HA密钥)给予SRNC和/或AGff以供用在保护PMIP隧道(例如,PMIPv4隧道)中。在一些实现中,可将MN-HA密钥与用户概况一起发送给AGW。例如,可经由成功接入认证将MN-HA密钥发送给服务SRNC。在另一些实现中,MN-HA密钥可由AGW自己生成并被分发给当前服务eBS。当移动设备首次经由eBS在服务网络上建立通信时,该eBS及其AGW被提供MN-HA密钥(可以如上面所讨论的那样获得该MN-HA密钥)。当DAP移动请求被AGW接收时,该AGW可检查请求方eBS是否知道该MN-HA密钥。如果其知道,则AGW可以同意该移动请求。然而,如果请求方eBS不知道该MN-HA密钥,则AGW可拒绝该移动请求,因为该请求方eBS不能信任。类似地,该MN-HA密钥可被用来保护来自不同AGW或HA的移动请求。再次参照图1,在一个示例中,接入终端AT-X 122可经由eBS-c 116建立无线服务。在建立其无线服务的过程期间,AT-X 122可向服务和归属网络认证自己(例如,如参照图5-10所讨论和图解的那样)。在一个示例(其中使用集中式SRNC)中,作为此认证过程的一部分,MN-HA密钥可被提供给AGW-c 120 (或者由AGW-c 120生成)。该MN-HA密钥还被提供给支持服务eBS-c 116的服务SRNC-c 118。如果在稍后的时间AT_x 122移到eBS_d117,那么可生成DAP移动请求,藉此应当在新的eBS-d 117与服务AGW_c 120之间建立新的PMIP隧道。由于SRNC-c 118知道MN-HA密钥(从之前的认证过程得知),因而SRNC-c118可向AGW-c 120提供该MN-HA密钥以验证该新的隧道请求有效。结果,AGW-c 120可以如所请求的那样与eBS-d 117 一起建立新的隧道。在一个示例中,随着AT-1106经由eBS_a 104寻求无线服务,AT-1106首先执行认证过程。结果,AGW-a 112和SRNC-a 114将知道用于它们的隧道的MN-HA密钥。如果AT-I106随后希望经由eBS-b 107进行通信,那么新的隧道请求被发送给AGW-a 112。然而,在此情形中,新的服务SRNC-bl09并不知道该MN-HA密钥(例如,该MN-HA密钥起初被给予·SRNC-all4)。因此,为了验证其新的隧道请求是有效的,SRNC_b 109可从SRNC_all4获得该MN-HA密钥。这允许AGW在不需要重新认证的情况下将数据重新路由到新的服务eBS-b107。替换地,AT-I 106可简单地向服务和/或归属网络重新认证自己(例如执行图5-10中所图解的认证过程)。图13图解了用于在通信网络中验证新的隧道请求的方法。可经由第一网络接入节点向认证对等体提供无线网络连通性1302。将代理移动IP(PMIP)密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端1304。随后,(例如,经由PMIP隧道)向与第一网络接入节点相关联的第一认证者提供PMIP密钥1306。通信可随后被路由至第一网络接入节点1308。随后,可在PMIP网络节点处接收来自请求方实体的重新路由认证对等体的通信的请求1310。PMIP网络节点可验证请求方实体是否知道PMIP密钥1312。在一个示例中,如果请求方实体成功证明其知道PMIP密钥,则通信可被重新路由至第二网络接入节点(例如,新的eBS)。在另一个示例中,如果请求方实体成功证明其知道PMIP密钥,则通信可被重新路由至第二网络网关节点(例如,AGW)。重新路由通信可包括在第一 PMIP网络节点与新的服务网络实体之间建立新的代理移动IP隧道1314。在一个示例中,PMIP密钥可在认证、授权和记账(AAA)实体或网络网关节点处生成。PMIP网络节点可以是网络网关节点。图16是图解了 PMIP网络节点设备的示例的框图。PMIP网络节点设备1600可包括耦合至网络通信接口 1606的处理电路1604。处理电路1604可适配成(a)经由第一网络接入节点向认证对等体提供无线网络连通性;(b)将PMIP密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端;(c)向与第一网络接入节点相关联的第一认证者提供该PMIP密钥;(d)接收来自请求方实体的重新路由该认证对等体的通信的请求;(e)验证请求方实体是否知道PMIP密钥;(f)如果请求方实体成功证明其知道PMIP密钥;则将通信重新路由至第二网络接入节点;和/或(g)如果请求方实体成功证明其知道PMIP密钥;则将通信重新路由至第二网络网关节点。重新路由通信可包括在第一 PMIP网络节点与新的服务网络实体之间建立新的代理移动IP隧道。结果,还可提供一种PMIP网络节点,包括(a)用于经由第一网络接入节点向认证对等体提供无线网络连通性的装置;(b)用于将PMIP密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端的装置;(c)用于向与第一网络接入节点相关联的第一认证者提供该PMIP密钥的装置;接收来自请求方实体的重新路由该认证对等体的通信的请求;(d)用于验证请求方实体是否知道PMIP密钥的装置;(e)用于在如果请求方实体成功证明其知道PMIP密钥的情况下将通信重新路由至第二网络接入节点的装置;和/或(f)用于在如果请求方实体成功证明其知道PMIP密钥的情况下将通信重新路由至第二网络网关节点的装置。重新路由通信可包括在第一 PMIP网络节点与新的服务网络实体之间建立新的代理移动IP隧道。类似地,还可提供一种在PMIP网络节点设备上操作的计算机程序,该计算机程序在由处理器执行时使该处理器(a)经由第一网络接入节点向认证对等体提供无线网络连通性;(b)将PMIP密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端;(c)向与第一网络接入节点相关联的第一认证者提供该PMIP密钥;(d)接收来自请求方实体的重新路由该认证对等体的通信的请求;(e)验证请求方实体是否知道PMIP密钥;(f)如果请求方实体成功证明其知道PMIP密钥;则将通信重新路由至第二网络接入节点;和/或(g)如果请求方实体成功证明其知道PMIP密钥;则将通信重新路由至第二网络网关节点。图1、2、3、4、5、6、7、8、9、10、11、12、13、15 和/ 或 16 中图解的组件、步骤、和 / 或功
能之中的一个或更多个可以被重新编排和/或组合成单个组件、步骤、或功能,或可以实施在数个组件、步骤、或功能中。也可以添加更多的元件、组件、步骤、和/或功能。图1、4、14、15和16中图解的装置、设备、和/或组件可以被配置或适配成执行图2、3和/或5-13中描述的方法、特征、或步骤中的一个或更多个。本文中描述的算法可以在软件和/或嵌入式硬件中高效率地实现。本领域技术人员将可进一步领会,结合本文中公开的配置描述的各种解说性逻辑框、模块、电路、和算法步骤可以被实现为电子硬件、计算机软件、或两者的组合。为清楚地解说硬件和软件的这种可互换性,各种解说性组件、块、模块、电路、和步骤在上文中以其功能性的形式进行了一般化描述。这样的功能性是实现为硬件还是软件取决于具体应用和加诸整体系统上的设计约束。应注意,以上配置仅是示例而不应被理解为限定权利要求。对这些配置的描述旨在解说而非限定所附权利要求的范围。由此,本发明的教导可以现成地应用于其他类型的装置,并且许多替换、修改、和变形对于本领域技术人员将是显而易见的。
权利要求
1.一种在认证服务器上操作的用于保护主用户标识符的计算机程序,所述计算机程序在由处理器执行时使所述处理器接收来自无线认证对等体的接入认证请求;生成与用于所述无线认证对等体的主用户标识符相关联的副用户标识符;以及向与所述认证对等体相关联的认证者提供所述副用户标识符。
2.如权利要求I所述的计算机程序,其特征在于,所述计算机程序在由所述处理器执行时还使所述处理器基于所述主用户标识符来检索用户概况信息;以及向所述认证者提供所述用户概况信息。
3.—种在通信网络中操作的方法,包括对寻求经由第一网络接入节点来建立通信的认证对等体进行认证;检索与所述认证对等体相关联的用户概况信息;以及向帮助实现对所述认证对等体的通信服务的网络网关节点发送所述用户概况信息。
4.如权利要求3所述的方法,其特征在于,还包括向帮助为所述认证对等体实现通信的认证者发送所述用户概况信息。
5.如权利要求4所述的方法,其特征在于,所述认证服务器是作为所述通信网络的一部分的认证、授权和记账(AAA)实体。
6.如权利要求4所述的方法,其特征在于,向所述网络网关节点发送所述用户概况信息包括令所述通信网络的认证者向所述网络网关节点发送所述用户概况信息。
7.如权利要求4所述的方法,其特征在于,向所述网络网关节点发送所述用户概况信息包括令所述认证服务器向所述网络网关节点发送所述用户概况信息。
8.如权利要求4所述的方法,其特征在于,所述用户概况信息包括用户概况、用户策略、对所述用户概况的服务质量、对所述认证对等体的通信服务的服务质量中的至少一个。
9.如权利要求4所述的方法,其特征在于,还包括从所述网络网关节点向策略控制和资源功能(PCRF)实体发送策略请求;从所述PCRF实体向所述认证服务器发送主用户标识符请求,其中所述主用户标识符唯一性地与所述认证对等体相关联;从所述认证服务器向所述PCRF实体发送答复,所述答复包括所请求的主用户标识符;在所述PCRF实体处使用所述主用户标识符为所述认证对等体获得用户策略;以及从所述PCRF实体向所述网络网关节点发送所述用户策略。
10.如权利要求4所述的方法,其特征在于,所述认证者是超移动宽带(UMB)兼容网络中与为所述认证对等体服务的基站相关联的会话参考网络控制器(SRNC),并且所述机密的标识符是用于所述无线接入终端的网络接入标识符。
11.一种包括处理电路的认证服务器,所述处理电路适配成对寻求经由第一网络接入节点来建立通信的认证对等体进行认证;检索与所述认证对等体相关联的用户概况信息;以及向帮助实现对所述认证对等体的通信服务的网络网关节点发送所述用户概况信息。
12.如权利要求11所述的认证服务器,其特征在于,所述处理电路还适配成向帮助为所述认证对等体实现通信的认证者发送所述用户概况信息。
13.如权利要求11所述的认证服务器,其特征在于,所述处理电路还适配成接收来自PCRF实体的主用户标识符请求,其中所述主用户标识符唯一性地与所述认证对等体相关联;以及向所述PCRF实体发送答复,所述答复包括所请求的主用户标识符。
14.一种认证服务器,包括用于对寻求经由第一网络接入节点来建立通信的认证对等体进行认证的装置;用于检索与所述认证对等体相关联的用户概况信息的装置;以及用于向帮助实现对所述认证对等体的通信服务的网络网关节点发送所述用户概况信息的装置。
15.如权利要求14所述的认证服务器,其特征在于,还包括用于向帮助为所述认证对等体实现通信的认证者发送所述用户概况信息的装置。
16.如权利要求14所述的认证服务器,其特征在于,还包括用于接收来自PCRF实体的主用户标识符请求的装置,其中所述主用户标识符唯一性地与所述认证对等体相关联;以及用于向所述PCRF实体发送答复的装置,所述答复包括所请求的主用户标识符。
17.—种在认证服务器上操作的用于提供用户信息的计算机程序,所述计算机程序在由处理器执行时使所述处理器对寻求经由第一网络接入节点来建立通信的认证对等体进行认证;检索与所述认证对等体相关联的用户概况信息;以及向帮助实现对所述认证对等体的通信服务的网络网关节点发送所述用户概况信息。
18.如权利要求17所述的计算机程序,其特征在于,所述计算机程序在由所述处理器执行时还使所述处理器向帮助为所述认证对等体实现通信的认证者发送所述用户概况信息。
19.如权利要求17所述的计算机程序,其特征在于,所述计算机程序在由所述处理器执行时还使所述处理器接收来自PCRF实体的主用户标识符请求,其中所述主用户标识符唯一性地与所述认证对等体相关联;以及向所述PCRF实体发送答复,所述答复包括所请求的主用户标识符。
全文摘要
本发明为无线通信网络中的用户概况、策略、及PMIP密钥分发。认证服务器-适配成(a)对寻求经由第一网络接入节点来建立通信的认证对等体进行认证;(b)检索与该认证对等体相关联的用户概况信息;和/或(c)向帮助实现对该认证对等体的通信服务的网络网关节点发送该用户概况信息。PMIP网络节点可适配成(a)经由第一网络接入节点向认证对等体提供无线网络连通性;(b)将PMIP密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端;(c)向与第一网络接入节点相关联的第一认证者提供该PMIP密钥;(d)在PMIP网络节点处接收来自请求实体的重新路由该认证对等体的通信的请求;和/或(e)验证请求实体是否知道该PMIP密钥。
文档编号H04W12/06GK102938890SQ201210384788
公开日2013年2月20日 申请日期2008年3月17日 优先权日2007年3月16日
发明者王俊, A·C·玛荷德拉姆, V·纳拉亚南 申请人:高通股份有限公司