專利名稱:用于在無(wú)線局域網(wǎng)接入的基于sim的鑒權(quán)和加密的系統(tǒng)���、設(shè)備和方法
技術(shù)領(lǐng)域:
一般地,本發(fā)明涉及在無(wú)線局域網(wǎng)環(huán)境中的鑒權(quán)和加密機(jī)制��。更具體地�����,本發(fā)明關(guān)于針對(duì)基于SIM的鑒權(quán)和第2層加密機(jī)制的設(shè)備����、系統(tǒng)和方法,用于保護(hù)來(lái)自上層終端設(shè)備的通信路徑�。
背景技術(shù):
在1999年,IEEE公布了速率為11Mbps的用于無(wú)線局域網(wǎng)接入的802.11b規(guī)范����。該標(biāo)準(zhǔn)得到工業(yè)界的廣泛支持并在企業(yè)公司和例如機(jī)場(chǎng)、飯店���、咖啡館等的公共接入集中的地區(qū)具有巨大的安裝基礎(chǔ)���。
802.11b標(biāo)準(zhǔn)在一定程度上提出了鑒權(quán)��、接入控制機(jī)制和機(jī)密性�����,但是僅限于無(wú)線路徑����。在此方面�����,該標(biāo)準(zhǔn)中定義了兩種鑒權(quán)方法���,即“開(kāi)放系統(tǒng)”和“共享密鑰”。
當(dāng)使用開(kāi)放系統(tǒng)時(shí)�,終端設(shè)備(TE)中的WLAN卡宣布其希望與WLAN接入點(diǎn)(下文中縮寫(xiě)為AP)進(jìn)行關(guān)聯(lián)。不進(jìn)行鑒權(quán)�,只是應(yīng)用一些基本的接入控制機(jī)制,例如媒體接入控制(MAC)濾波器和服務(wù)設(shè)置標(biāo)識(shí)符(SSID)�����。
設(shè)置這些MAC濾波器以進(jìn)行工作,以便只允許其MAC地址屬于例如接入控制列表的由AP保存的列表的WLAN卡與AP進(jìn)行關(guān)聯(lián)�。這種接入控制機(jī)制具有有限的效用,由于要關(guān)聯(lián)的實(shí)體的身份實(shí)際上不屬于用戶��,而是屬于設(shè)備自身����。如果終端或卡被盜,則沒(méi)有基于用戶的鑒權(quán)以防止使用被盜的設(shè)備接入到資源�。此外,由于WLAN卡的MAC地址總是在WLAN幀的頭標(biāo)出現(xiàn)�����,所以MAC地址欺騙是一種微不足道的攻擊�����。這是特別有關(guān)系的�,因?yàn)槭袌?chǎng)上的大多數(shù)WLAN卡僅通過(guò)軟件手段就能改變其MAC地址。
另一個(gè)接入控制機(jī)制是前述的服務(wù)設(shè)置標(biāo)識(shí)符(SSID)���,其為文字?jǐn)?shù)字碼�����,用來(lái)識(shí)別終端設(shè)備(TE)要關(guān)聯(lián)的WLAN的情況����。給定的AP僅允許提供了正確的SSID的WLAN卡進(jìn)行關(guān)聯(lián)。然而�,由于通常由AP對(duì)此標(biāo)識(shí)符進(jìn)行廣播,甚至沒(méi)有改變由銷(xiāo)售商設(shè)置的默認(rèn)值時(shí)����,該接入控制機(jī)制就因?yàn)闀?huì)出現(xiàn)許多眾所周知的攻擊而再次無(wú)用了。
上述的第二個(gè)鑒權(quán)方法是所謂的共享密鑰�����。將此過(guò)程嵌入在由有線對(duì)等秘密(WEP)標(biāo)準(zhǔn)提供的基本機(jī)密機(jī)制中���,所述標(biāo)準(zhǔn)是基于RC4的對(duì)稱加密算法���。如此通過(guò)利用應(yīng)答響應(yīng)機(jī)制來(lái)執(zhí)行鑒權(quán)�,在該機(jī)制中,作為兩方的WLAN卡和AP顯示出擁有相同的密鑰�����。然而,將該密鑰安裝并存儲(chǔ)在終端設(shè)備(TE)中�����,因此其遭遇到與討論MAC濾波器時(shí)所描述的同樣的缺點(diǎn)�����。
此外�,近年來(lái)發(fā)表的大量論文示出了機(jī)密機(jī)制本身的基礎(chǔ)缺陷,即�,WEP標(biāo)準(zhǔn)的缺陷。由于在WEP幀中以明文發(fā)送算法的初始化矢量�����,這些缺陷首先是靜態(tài)WEP標(biāo)準(zhǔn)密鑰的使用�����,其使得攻擊者發(fā)現(xiàn)密鑰本身��。例如����,僅查看通信量的WLAN卡的許多被動(dòng)攻擊也可以推導(dǎo)出密鑰�。
開(kāi)始時(shí)�����,似乎僅利用更好的密鑰管理來(lái)更新密鑰并增加其長(zhǎng)度�����,例如從40位到128位�,算法能夠更安全或至少足夠安全到獲得可接受的安全性。但是��,越來(lái)越多的近來(lái)的報(bào)告已經(jīng)證實(shí)這樣的算法設(shè)計(jì)不能提供可接受的安全水準(zhǔn)����。
現(xiàn)在,工業(yè)界和代表性討論會(huì)作出了努力來(lái)解決目前應(yīng)用標(biāo)準(zhǔn)中的缺陷�。當(dāng)前IEEE正在定義新標(biāo)準(zhǔn)來(lái)改善現(xiàn)有的802.11b標(biāo)準(zhǔn)的鑒權(quán)機(jī)制,將該結(jié)果公布為所謂的802.1x標(biāo)準(zhǔn)“基于端口的網(wǎng)絡(luò)接入控制”���,但是該工作尚未完成���。此外,該方法只考慮到鑒權(quán)��,因此仍需要合適的機(jī)密算法����。在此方面,當(dāng)前趨勢(shì)提出基于所謂的高級(jí)加密系統(tǒng)(AES)協(xié)議的協(xié)議可以取代WEP�。然而,正如802.1x中提出的基于端口的鑒權(quán)機(jī)制�����,其對(duì)TE操作系統(tǒng)和在AP的應(yīng)用軟件中具有顯著的影響���,這是由于802.1x只是尋求基于WEP的鑒權(quán)機(jī)制的替代品和WEP本身����。
簡(jiǎn)而言之����,由于將不得不取代或至少升級(jí)給定WLAN的所有AP,則將仍具有上述缺陷的新標(biāo)準(zhǔn)802.1x的大量采用將引起在WLAN設(shè)備上新的投資�����。此外,稍微顯而易見(jiàn)的是��,任何WLAN機(jī)密機(jī)制只提供對(duì)無(wú)線路徑的保護(hù)�����,即在WLAN卡和AP之間路徑的保護(hù)��。然而����,根本沒(méi)有加密AP之外的相應(yīng)以太網(wǎng)業(yè)務(wù)。
因此�,此階段本發(fā)明的重要目的是提供設(shè)備和方法,用于允許WLAN用戶的有效的鑒權(quán)機(jī)制以及貫穿從所述用戶的終端設(shè)備開(kāi)始的整個(gè)通信路徑的完全加密機(jī)制��。
簡(jiǎn)而言之�,正如以上廣泛所述,當(dāng)將WLAN卡的物理MAC地址用于鑒權(quán)TE時(shí)�,當(dāng)前的WLAN應(yīng)用標(biāo)準(zhǔn),即802.11中的鑒權(quán)不存在����,或鑒權(quán)基于設(shè)備。從適于維護(hù)可接受的安全性的不同小區(qū)中沒(méi)有發(fā)現(xiàn)通過(guò)例如以其不穩(wěn)定而知名的WLAN中的WEP協(xié)議獲得的加密�����,對(duì)于大量特定配置而言這顯然是無(wú)法實(shí)現(xiàn)的。
作為對(duì)比���,例如GSM,GPRS���,或UMTS的傳統(tǒng)或新的公共陸地移動(dòng)網(wǎng)絡(luò)中的鑒權(quán)是利用SIM卡和一套證明安全的協(xié)議和稱為“鑒權(quán)和密鑰許可協(xié)議”(以下簡(jiǎn)稱為AKA)的算法來(lái)實(shí)現(xiàn)的���。由于針對(duì)個(gè)人應(yīng)用而設(shè)計(jì)SIM并且通過(guò)PIN對(duì)其進(jìn)行保護(hù),因此所謂的基于SIM的鑒權(quán)是基于用戶的���。
現(xiàn)在�,移動(dòng)運(yùn)營(yíng)商想要通過(guò)寬帶接入擴(kuò)展其在接入網(wǎng)絡(luò)中的供應(yīng)商品�,并且主要由于在WLAN中未許可的頻譜帶的使用,WLAN技術(shù)使直到11Mbps的訪問(wèn)速率成為可能���,同時(shí)保持極低的使用成本����。移動(dòng)運(yùn)營(yíng)商能夠通過(guò)安裝其自身的WLAN或通過(guò)簽署同意現(xiàn)有的WLAN運(yùn)營(yíng)商來(lái)實(shí)現(xiàn)���,但是無(wú)論怎樣�����,安全性的要求至少應(yīng)該和在移動(dòng)接入運(yùn)營(yíng)商的核心網(wǎng)絡(luò)的環(huán)境下一樣強(qiáng)�����。
為了實(shí)現(xiàn)該目的�,WLAN運(yùn)營(yíng)商必須提供暗示擁有SIM卡的鑒權(quán)和加密機(jī)制。必須由移動(dòng)運(yùn)經(jīng)營(yíng)商來(lái)發(fā)行該SIM卡并且該SIM是與用于移動(dòng)接入的相同的SIM�����,或是只為WLAN接入的目的而發(fā)行的SIM�。
由第三方經(jīng)營(yíng)的傳統(tǒng)WLAN也可具有其自身的本地用戶,并且針對(duì)所述本地而進(jìn)行的鑒權(quán)完全由WLAN的運(yùn)營(yíng)商負(fù)責(zé)�。例如,本地用戶的鑒權(quán)可能只是根據(jù)用戶身份加上密碼��,或甚至根本沒(méi)有安全性���。但是����,對(duì)于那些移動(dòng)運(yùn)營(yíng)商的訂購(gòu)用戶,通過(guò)所述的WLAN的鑒權(quán)和其它安全性問(wèn)題應(yīng)當(dāng)與其在移動(dòng)運(yùn)營(yíng)商的網(wǎng)絡(luò)中問(wèn)題是相同的���。另一方面�����,只通過(guò)移動(dòng)運(yùn)營(yíng)商使用和運(yùn)營(yíng)的WLAN應(yīng)該拒絕接入不屬于該移動(dòng)運(yùn)營(yíng)商的用戶,并且應(yīng)該只執(zhí)行基于SIM卡的鑒權(quán)機(jī)制��。
然而�,任何試圖在WLAN中引入新的和更安全的用于鑒權(quán)和加密的機(jī)制都必須針對(duì)在當(dāng)前的WLAN方案中產(chǎn)生盡可能少的影響。
標(biāo)題為“Arranging Data Ciphering in a Wireless TelecommunicationSystem”的美國(guó)專利申請(qǐng)公開(kāi)2002/0009199中描述了相當(dāng)令人感興趣的嘗試����,以解決上述問(wèn)題?;谠撋暾?qǐng)的教導(dǎo)也介紹了一種基于SIM的鑒權(quán)方案。
然而�,基于SIM的鑒權(quán)方案用于導(dǎo)出密鑰,用作802.11本地WEP算法的密鑰��,用于TE和AP之間的通信加密�。在現(xiàn)有WEP容量上該申請(qǐng)引入的主要優(yōu)點(diǎn)是增加了每段時(shí)間更新一次密碼的新機(jī)制。此外�����,該申請(qǐng)基本是現(xiàn)在的WEP標(biāo)準(zhǔn)的修改版,并沒(méi)有解決上述的原始WEP版的基本問(wèn)題����。
然而,工業(yè)上的不同部門(mén)已經(jīng)估計(jì)到公知的WEP攻擊能在少于兩個(gè)小時(shí)內(nèi)猜到WEP密碼���。顯然���,與原始WEP版相同,如果WEP密碼是靜態(tài)的并且從來(lái)不更新�,那么問(wèn)題會(huì)非常重大。結(jié)果�,利用美國(guó)2002/0009199中介紹的方法,將問(wèn)題限定在給定的會(huì)話持續(xù)時(shí)間的界限內(nèi)�,而且,如果會(huì)話延長(zhǎng)超過(guò)幾個(gè)小時(shí)�����,就會(huì)產(chǎn)生前述的問(wèn)題�。對(duì)于那些在當(dāng)前公共陸地移動(dòng)網(wǎng)絡(luò)發(fā)現(xiàn)的網(wǎng)絡(luò),提供同樣的安全水平顯然是不夠的。
在此方面�,本發(fā)明的目的是為實(shí)現(xiàn)更高的安全水平,允許運(yùn)營(yíng)商選擇能夠更好滿足其安全需求的加密算法�。注意,在安全水平和性能之間通常存在平衡�。因此,以下可以是本發(fā)明所考慮的其它目的例如具有128�����、168和256位等長(zhǎng)度的支持密鑰的附加特征���;以及支持例如AES等最新的最安全的算法��,和密鑰旋轉(zhuǎn)過(guò)程。
此外����,根據(jù)上述申請(qǐng)美國(guó)2002/0009199,由于WEP只適用于無(wú)線路徑�,加密路徑是從移動(dòng)終端到AP。在此方面����,支持在AP以外建立的加密路徑以及還覆蓋WLAN的有線部分是本發(fā)明的另一個(gè)目的。
此外,美國(guó)2002/0009199教導(dǎo)在運(yùn)行鑒權(quán)處理之前完成IP地址的分配�,因此,惡意用戶可能會(huì)發(fā)起一整套公知的攻擊�����。然而����,如果用戶在有效地進(jìn)行鑒權(quán)之前沒(méi)有辦法得到IP連接,將很大程度地減小風(fēng)險(xiǎn)�����。因此��,本發(fā)明的另一個(gè)目的是提供一種鑒權(quán)機(jī)制���,在IP連接到所述用戶之前用于對(duì)用戶執(zhí)行鑒權(quán)����。
總之�����,本發(fā)明一個(gè)重要的目的是提供一種系統(tǒng)、設(shè)備和方法�����,用于允許有效的基于SIM的用戶鑒權(quán)和為訂購(gòu)了公共陸地移動(dòng)網(wǎng)絡(luò)的WLAN用戶建立起始于TE的完全加密路徑�。另一個(gè)具體的重要目的是可以在IP連接到所述用戶之前執(zhí)行基于SIM的用戶鑒權(quán)。
本發(fā)明的另一個(gè)目的是支持可變長(zhǎng)度的密鑰�����、在運(yùn)營(yíng)商選擇下使用安全算法和提供密鑰旋轉(zhuǎn)過(guò)程����。
本發(fā)明的另一個(gè)目的是在最小影響傳統(tǒng)WLAN的環(huán)境下實(shí)現(xiàn)之前的目的。
發(fā)明內(nèi)容
利用一種方法來(lái)實(shí)現(xiàn)本發(fā)明的目的�����,通過(guò)數(shù)據(jù)鏈路層(layer-2)鑒權(quán)機(jī)制����,對(duì)作為公共陸地移動(dòng)網(wǎng)絡(luò)的訂戶的無(wú)線局域網(wǎng)用戶進(jìn)行基于SIM的鑒權(quán)��。該方法重要的方面在于當(dāng)鑒權(quán)處理成功完成時(shí)�����,只將IP連接提供給用戶。
因此�,利用一種方法來(lái)實(shí)現(xiàn)本發(fā)明的目的,其中�,無(wú)線終端發(fā)現(xiàn)可接入的接入點(diǎn)并請(qǐng)求與無(wú)線局域網(wǎng)進(jìn)行關(guān)聯(lián),而接入點(diǎn)接受了該請(qǐng)求�。然后,無(wú)線終端開(kāi)始尋找插入在接入點(diǎn)和公共陸地移動(dòng)網(wǎng)絡(luò)之間的接入控制器��。
然后��,無(wú)線終端在點(diǎn)對(duì)點(diǎn)層2協(xié)議上立即將用戶標(biāo)識(shí)符發(fā)送到接入控制器��,所述控制器將在點(diǎn)對(duì)點(diǎn)層2協(xié)議上接收的用戶標(biāo)識(shí)符向上移動(dòng)到應(yīng)用層處的鑒權(quán)協(xié)議��。
接下來(lái)����,接入控制器將用戶標(biāo)識(shí)符發(fā)送到公共陸地移動(dòng)網(wǎng)絡(luò)處的鑒權(quán)網(wǎng)關(guān),以發(fā)起鑒權(quán)過(guò)程�����。
首先��,開(kāi)始鑒權(quán)處理,接入控制器接收通過(guò)鑒權(quán)網(wǎng)關(guān)來(lái)自公共陸地移動(dòng)網(wǎng)絡(luò)的鑒權(quán)詢問(wèn)�;并在應(yīng)用層處將在相同協(xié)議上接收的鑒權(quán)詢問(wèn)向下移動(dòng)在點(diǎn)對(duì)點(diǎn)層2協(xié)議上。為了得到鑒權(quán)響應(yīng)���,由接入控制器將鑒權(quán)詢問(wèn)發(fā)送給無(wú)線終端���。
然后,無(wú)線終端可以在點(diǎn)對(duì)點(diǎn)層2協(xié)議上立即將鑒權(quán)響應(yīng)發(fā)送給接入控制器���,接入控制器將在點(diǎn)對(duì)點(diǎn)層2協(xié)議上接收的鑒權(quán)響應(yīng)向上移動(dòng)到應(yīng)用層處的鑒權(quán)協(xié)議�����。從接入控制器將鑒權(quán)響應(yīng)發(fā)送到鑒權(quán)網(wǎng)關(guān)����,所述接入控制器通過(guò)鑒權(quán)網(wǎng)關(guān)接收來(lái)自公共陸地移動(dòng)網(wǎng)絡(luò)的加密密鑰����。
接下來(lái)��,為了利用無(wú)線終端進(jìn)一步加密通信路徑���,接入控制器提取在應(yīng)用層處的協(xié)議上接收的加密密鑰�;以及接入控制器將分配的IP地址和其它網(wǎng)絡(luò)配置參數(shù)發(fā)送到無(wú)線終端。
這種設(shè)置的優(yōu)點(diǎn)在于���,與無(wú)線電通信網(wǎng)絡(luò)使用的相類(lèi)似�����,在整個(gè)通信路徑中��,移動(dòng)終端添加了安全的鑒權(quán)機(jī)制�����,這意味著在無(wú)線路徑和有線路徑上獲得了機(jī)密性��。運(yùn)營(yíng)商能夠擴(kuò)展其接入網(wǎng)絡(luò)�,以非常低的成本提供局域的寬帶接入(11Mbps)����。
此外,為了實(shí)現(xiàn)本發(fā)明的目的����,提供了一種接入控制器�����,包括位于OSI層-2中的點(diǎn)對(duì)點(diǎn)服務(wù)器��,用于與無(wú)線終端進(jìn)行通信���;以及位于OSI應(yīng)用層的鑒權(quán)協(xié)議,用于與公共陸地移動(dòng)網(wǎng)絡(luò)進(jìn)行通信����。此外,該接入控制器還包括傳送裝置���,用于將在點(diǎn)對(duì)點(diǎn)層-2協(xié)議上接收的信息向上傳送到應(yīng)用層處的適當(dāng)鑒權(quán)協(xié)議�。同樣����,接入控制器還包括傳送裝置,用于將在應(yīng)用層處的鑒權(quán)協(xié)議上接收的信息向下傳送到在點(diǎn)對(duì)點(diǎn)層2協(xié)議之上�。
為了充分實(shí)現(xiàn)本發(fā)明的目的,還提供了一種無(wú)線終端����,包括用途�,作為點(diǎn)對(duì)點(diǎn)層2協(xié)議客戶并且在點(diǎn)對(duì)點(diǎn)層2協(xié)議上具有可擴(kuò)展的鑒權(quán)協(xié)議���。
本發(fā)明提供的總體解決方案提供了一種通信系統(tǒng),包括無(wú)線局域網(wǎng)��,所述無(wú)限局域網(wǎng)包括至少一個(gè)接入點(diǎn)��、公共陸地移動(dòng)網(wǎng)絡(luò)���、如上所述的至少一個(gè)無(wú)線終端和上述的接入控制器��。
結(jié)合附圖�,通過(guò)閱讀此描述���,本發(fā)明的特征���、目的及其優(yōu)點(diǎn)將變得顯而易見(jiàn),其中圖1示出了一個(gè)優(yōu)選實(shí)施例����,其中,通過(guò)利用移動(dòng)和非移動(dòng)用戶能夠接入的WLAN接入的傳統(tǒng)移動(dòng)網(wǎng)絡(luò)用戶如何可以被其自身的移動(dòng)網(wǎng)絡(luò)鑒權(quán)�����,以及如何具有從TE到自己的移動(dòng)網(wǎng)絡(luò)的加密路徑。
圖2示出了與圖1相比簡(jiǎn)化的結(jié)構(gòu)�,其適用于僅僅由公共陸地移動(dòng)網(wǎng)絡(luò)的用戶接入的WLAN。
圖3是示意性地示出包括PPPoE服務(wù)器和RADIUS客戶機(jī)的接入控制器的實(shí)施例��,其中存在可擴(kuò)展的鑒權(quán)協(xié)議�。
圖4基本上示出了從TE到移動(dòng)網(wǎng)絡(luò)并貫穿WLAN實(shí)體而執(zhí)行的動(dòng)作的典型序列,以執(zhí)行基于SIM的用戶鑒權(quán)�����。
具體實(shí)施例方式
下面將描述裝置���、方法和系統(tǒng)的當(dāng)前的優(yōu)選實(shí)施例��,用于允許有效的基于SIM的用戶鑒權(quán)并用于針對(duì)作為公共陸地移動(dòng)網(wǎng)絡(luò)的訂戶的WLAN用戶����,建立始于TE的完全的加密路徑�����。根據(jù)本發(fā)明的一個(gè)方面,在IP連接所述用戶之前執(zhí)行該基于SIM的用戶鑒權(quán)���。
因此�,示出了通用環(huán)境的圖1示出了優(yōu)選實(shí)施例的總體框架��,其中公共陸地移動(dòng)網(wǎng)絡(luò)(GSM/GPRS/UMTS)的訂戶和其它本地非移動(dòng)用戶接入了無(wú)線局域網(wǎng)(WLAN)����。圖1所示該通用環(huán)境提出了針對(duì)將對(duì)現(xiàn)有傳統(tǒng)WLAN的影響減少到最小的特別簡(jiǎn)單的結(jié)構(gòu)���,以便實(shí)現(xiàn)本發(fā)明的一個(gè)目的�。該相當(dāng)簡(jiǎn)單的結(jié)構(gòu)涉及不同的來(lái)自WLAN和來(lái)自公共陸地移動(dòng)網(wǎng)絡(luò)的實(shí)體�,將在下文進(jìn)行描述。此外�����,圖2示出了根據(jù)本發(fā)明的另一個(gè)實(shí)施例的更簡(jiǎn)化的結(jié)構(gòu)��,用于WLAN只接入公共陸地移動(dòng)網(wǎng)絡(luò)的訂戶和沒(méi)有本地WLAN用戶�����。
圖1和圖2中的第一實(shí)體是終端設(shè)備(TE),其配備有必要的硬件和軟件來(lái)與用戶SIM卡連接��,并且根據(jù)鑒權(quán)和密鑰許可協(xié)議(AKA)發(fā)送和接收所需的信令信息�����。TE還包括必要的軟件來(lái)實(shí)現(xiàn)在以太網(wǎng)(PPPoE)協(xié)議上���、客戶端�、從而是RFC 2516的點(diǎn)對(duì)點(diǎn)協(xié)議�,這種PPPoE客戶包含的內(nèi)容允許在WLAN域中建立與特定服務(wù)器的點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)會(huì)話。這是一個(gè)非常便利的實(shí)施例�����,以便影響現(xiàn)有的鑒權(quán)機(jī)制����,例如可擴(kuò)展的鑒權(quán)協(xié)議(EAP),和加密協(xié)議���,例如根據(jù)REC 1968的PPP加密控制協(xié)議(以下稱之為“加密的PPP”)����,沿著WLAN的有線部分?jǐn)U展了加密路徑,從而提供了更高的安全水平�。例如PPPoE客戶的組件是針對(duì)所建議的解決方案的核心部分。
根據(jù)802.11b標(biāo)準(zhǔn)�����,圖1和圖2的環(huán)境中的其它實(shí)體用作普通標(biāo)準(zhǔn)無(wú)線基站的接入點(diǎn)�,沒(méi)有任何附加邏輯電路。與其它可能的解決方案不同���,如關(guān)于成為標(biāo)準(zhǔn)的802.1x所解釋的,本發(fā)明提供的方法允許重新使用現(xiàn)有的廉價(jià)硬件����,沒(méi)有必要替換或升級(jí)在WLAN中的所有AP的硬件。由于與在PPPoE層上執(zhí)行的安全機(jī)制相比����,這些WEP自身提供了一點(diǎn)安全,因此�����,在關(guān)閉WEP支持時(shí)�,可以在該環(huán)境下運(yùn)行這些不變的AP。
根據(jù)本發(fā)明的一個(gè)方面,提供了新的實(shí)體����,圖1和圖2中的接入控制器(下文稱之為AC)均包括所需的PPPoE服務(wù)器功能。通過(guò)PPPoE協(xié)議中的嵌入機(jī)制�,即通過(guò)由廣播消息發(fā)起的握手,終端設(shè)備(TE)自動(dòng)地發(fā)現(xiàn)該P(yáng)PPoE服務(wù)器��。該接入控制器(AC)還包括RADIUS客戶功能���,其負(fù)責(zé)收集通過(guò)在PPP上攜帶的EAP屬性所接收的客戶資格�����,并且還負(fù)責(zé)通過(guò)現(xiàn)在在RADIUS消息上攜帶的EAP屬性���,將其發(fā)送到傳統(tǒng)的WLAN鑒權(quán)服務(wù)器(WLAN-AS)。同樣�,該接入控制器(AC)的組件也是為實(shí)現(xiàn)本解決方案的目的的核心部分。
接入控制器和前述的內(nèi)嵌于終端設(shè)備的PPPoE客戶都是協(xié)同工作的實(shí)體�,用于接通詢問(wèn)-響應(yīng)鑒權(quán)過(guò)程和建立加密路徑。
僅在圖1所示的最通用環(huán)境中示出的其它實(shí)體是WLAN-鑒權(quán)服務(wù)器(WLAN-AS)����,用于實(shí)現(xiàn)不屬于移動(dòng)運(yùn)營(yíng)商的本地WLAN用戶的本地認(rèn)證者服務(wù)器的功能�����,因此��,可以通過(guò)例如普通用戶和密碼匹配的其它方法鑒權(quán)用戶����。當(dāng)在公共陸地移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的域內(nèi)接收來(lái)自接入控制器的鑒權(quán)信息并將之轉(zhuǎn)發(fā)到鑒權(quán)網(wǎng)關(guān)(下文稱之為AG)時(shí)��,該WLAN-AS還起到RADIUS代理的作用�。
出于本發(fā)明的目的,只需要WLAN-AS��,以便鑒權(quán)不是公共陸地移動(dòng)網(wǎng)絡(luò)的移動(dòng)訂戶的自身的WLAN用戶�����。結(jié)果��,用于只接入移動(dòng)網(wǎng)絡(luò)的訂戶的WLAN可以去除該實(shí)體而不會(huì)影響所述移動(dòng)訂戶的鑒權(quán)和加密路徑的建立以及本發(fā)明的范圍���。在此方面,圖2示出了一個(gè)簡(jiǎn)化結(jié)構(gòu)的實(shí)施例�,用于如上所述WLAN只接入公共陸地移動(dòng)網(wǎng)絡(luò)的訂戶���,因此,其中不包括WLAN-AS�����。
圖1和圖2的環(huán)境所包括的其它實(shí)體是鑒權(quán)網(wǎng)關(guān)(以下稱之為AG)��,其可以獨(dú)自或共同作為歸屬位置寄存器(HLR)����,用于存儲(chǔ)移動(dòng)訂戶用戶數(shù)據(jù)。在運(yùn)營(yíng)商的域內(nèi)�����,該鑒權(quán)網(wǎng)關(guān)(AG)獨(dú)自或與HLR結(jié)合作為鑒權(quán)后端服務(wù)器并負(fù)責(zé)根據(jù)針對(duì)傳統(tǒng)或例如GSM���、GPRS和UMTS的新公共陸地移動(dòng)網(wǎng)絡(luò)的AKA協(xié)議產(chǎn)生鑒權(quán)矢量�。這些組件��,即AG和HLR可以是通過(guò)移動(dòng)應(yīng)用部分(MAP)協(xié)議相互通信的物理上分離的實(shí)體�����,或者是作為RADIUS服務(wù)器和具有內(nèi)嵌的用戶數(shù)據(jù)庫(kù)的單一的邏輯實(shí)體,用于實(shí)現(xiàn)AKA中必需的算法�,如公知的A5、A8等����。因此,在后者的方法中���,與HLR的通信無(wú)需如圖2中典型所示���。
總之,接入控制器�����、嵌入在終端設(shè)備中的前述PPPoE客戶和鑒權(quán)網(wǎng)關(guān)是實(shí)現(xiàn)本發(fā)明目的的核心實(shí)體���。對(duì)于這些實(shí)體的功能的描述僅是示例性的和非限制性的方式。
參考開(kāi)放系統(tǒng)互聯(lián)(OSI)模型���,圖3示出了接入控制器(AC)涉及的不同協(xié)議層��。位于IP層的下面的PPPoE服務(wù)器包括自然位于以太網(wǎng)層之上的PPPoE協(xié)議層����,其具有內(nèi)嵌的前述EAP。同樣�,RADIUS客戶具有內(nèi)嵌EAP的RADIUS協(xié)議層,其位于UDP層之上��,該兩層位于IP層之上�����。
另一方面���,下面將參考圖4所示的動(dòng)作序列�,對(duì)其中不同元件根據(jù)當(dāng)前優(yōu)選實(shí)施例來(lái)執(zhí)行本發(fā)明的某些方面的方式進(jìn)行描述�����。
前述的終端設(shè)備(TE)配備有移動(dòng)終端適配器(MTA)���,允許接入移動(dòng)終端攜帶的SIM卡����。該TE具有收發(fā)信機(jī),用于和WLAN的AP的通信(C-401����,C-402),并包括合適的軟件棧�,以根據(jù)REF 2516來(lái)執(zhí)行PPPoE協(xié)議。
接入控制器(AC)具有嵌入的PPPoE服務(wù)器�。通過(guò)PPPoE客戶來(lái)發(fā)現(xiàn)PPPoE服務(wù)器是該協(xié)議自身的整體部分(C-403,C-404���,C-405��,C-406)�。PPP鏈路上由TE使用的身份是網(wǎng)絡(luò)接入標(biāo)識(shí)符(NAI)�,其通過(guò)用戶輸入來(lái)建立需要的撥號(hào)會(huì)話,所用的范圍是識(shí)別作為給定的移動(dòng)運(yùn)營(yíng)商的訂戶的用戶���。由于通過(guò)其它方法來(lái)完成鑒權(quán)����,因此不需要密碼�。可選擇的���,代替發(fā)送NAI��,可以從SIM卡取得IMSI并作為用戶身份發(fā)送��。如果在明碼電文中發(fā)送IMSI是可接受的(-般不使用明碼發(fā)送IMSI)����,則應(yīng)當(dāng)只能使用該方式����。
當(dāng)在EAP機(jī)制的幫助下接收到用戶身份時(shí),接入控制器(AC)具有RADIUS客戶��,用于將鑒權(quán)信息發(fā)送(C-409)到WLAN-AS服務(wù)器����。在PPP和RADIUS上運(yùn)行可擴(kuò)展的鑒權(quán)協(xié)議(EAP),以便在TE和AG之間傳送鑒權(quán)信息���。要在EAP中使用的鑒權(quán)機(jī)制可以是針對(duì)公共陸地移動(dòng)網(wǎng)絡(luò)的傳統(tǒng)的AKA��。如上所述����,WLAN-AS針對(duì)常規(guī)WLAN用戶用作鑒權(quán)服務(wù)器,其鑒權(quán)不是基于SIM的��,而對(duì)于用戶的NAI領(lǐng)域部分將其識(shí)別為移動(dòng)網(wǎng)絡(luò)的訂戶��,從而使用基于SIM的鑒權(quán)的這些用戶����,其作為鑒權(quán)代理服務(wù)器。然后����,當(dāng)作為鑒權(quán)代理服務(wù)器時(shí),WLAN-AS將接收到的鑒權(quán)信息轉(zhuǎn)發(fā)(C-410)到鑒權(quán)網(wǎng)關(guān)(AG)���。
當(dāng)鑒權(quán)網(wǎng)關(guān)接收到(C-410)鑒權(quán)請(qǐng)求時(shí)�,通過(guò)利用MAP接口來(lái)要求HRL提供三維或五維的鑒權(quán)矢量(C-411)���。為了該任務(wù)��,鑒權(quán)網(wǎng)關(guān)(AG)必須了解已經(jīng)在RADIUS消息中發(fā)送其N(xiāo)AI的訂戶的IMSI�����。例如�,可以通過(guò)在目錄數(shù)據(jù)庫(kù)中查找來(lái)發(fā)現(xiàn)該IMSI。HLR以所請(qǐng)求的鑒權(quán)信息(C-412)來(lái)回應(yīng)用戶����。
然后�����,AG封裝在EAP屬性中的鑒權(quán)矢量的RAND分量并在RADIUS消息中將其通過(guò)WLAN-AS(C-413)發(fā)送返回到AC(C-414)����。注意,對(duì)于例如UMTS的新移動(dòng)網(wǎng)絡(luò)的用戶��,還需要發(fā)送類(lèi)似AUTN的消息���。
然后���,AP將接收到的EAP信息轉(zhuǎn)發(fā)(C-415)到PPP消息中的TE。注意���,這里AC作為在例如PPP和RADIUS的“載體”協(xié)議之間的EAP信息的“通路”����。
當(dāng)TE接收到EAP信息時(shí),提取RAND號(hào)碼�,并利用其詢問(wèn)SIM并產(chǎn)生應(yīng)答(RES),通過(guò)在PPP和RADIUS上傳輸?shù)腅AP再次將所述應(yīng)答送回(C-416��,C-417����,C-418)到AG。如前�����,對(duì)于UMTS用戶�����,TE首先根據(jù)AUTN鑒權(quán)網(wǎng)絡(luò)�����。在此階段���,必須注意��,TE遵照在AKA中定義的標(biāo)準(zhǔn)算法來(lái)產(chǎn)生加密密鑰�����。該密鑰用作種子�����,即密鑰材料�����,來(lái)導(dǎo)出一個(gè)或多個(gè)會(huì)話密鑰�����,以便與在REF 1968中陳述的PPP加密控制協(xié)議和例如PPP 3-DES加密協(xié)議�����、REF2420的任何現(xiàn)有PPP加密算法一起使用�。
AG接收(C-418)EAP響應(yīng)并檢查應(yīng)答的有效性��。之前已經(jīng)在來(lái)自可能與未示出的鑒權(quán)中心(AuC)的合作的HLR的鑒權(quán)矢量中接收到了AKA加密密鑰(Kc)��。然后�,AG將AKA加密密鑰(Kc)傳送給其中設(shè)置了PPPoE服務(wù)器的AC(C-419�,C-420)��?���?梢栽趥鬏擡AP成功的接入接受RADIUS消息中進(jìn)行此操作,但是由于該EAP命令不能攜帶任何附加數(shù)據(jù)����,一個(gè)RADIUS賣(mài)方特定屬性(VSA)可以是更有價(jià)值的選項(xiàng)。
在該階段���,AC接收(C-420)接入接受RADIUS消息并請(qǐng)求來(lái)自動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器的IP地址��,進(jìn)一步將該IP地址發(fā)送到TE��。AC遵照和與TE相同的算法�����,從要和PPP加密控制協(xié)議一起使用的AKA加密密鑰(Kc)和選定的PPP加密算法(例如3DES)中導(dǎo)出會(huì)話密鑰�����。最后����,AC將EAP成功消息,連同其它預(yù)定給所述TE的配置參數(shù)��,如IP地址��,IP網(wǎng)絡(luò)掩碼����、DNS服務(wù)器等發(fā)送(C-421)給TE。然后����,完全建立了PPP鏈路并準(zhǔn)備進(jìn)入網(wǎng)絡(luò)階段�����。
權(quán)利要求
1.一種電信系統(tǒng)中的方法��,用于允許針對(duì)作為公共陸地移動(dòng)網(wǎng)絡(luò)訂戶的無(wú)線局域網(wǎng)用戶進(jìn)行基于SIM的鑒權(quán)���,該方法包括步驟無(wú)線終端發(fā)現(xiàn)可接入的接入點(diǎn)����、請(qǐng)求與無(wú)線局域網(wǎng)進(jìn)行關(guān)聯(lián)和所述接入點(diǎn)接受該請(qǐng)求,其特征在于�����,所述方法還包括以下步驟(a)在接入點(diǎn)和公共陸地移動(dòng)網(wǎng)絡(luò)之間插入接入控制器���;(b)從配備有SIM卡并適于讀取其用戶數(shù)據(jù)的至少一個(gè)無(wú)線終端中發(fā)現(xiàn)接入控制器����;(c)通過(guò)接入控制器進(jìn)行無(wú)線終端和公共陸地移動(dòng)網(wǎng)絡(luò)之間的詢問(wèn)-響應(yīng)鑒權(quán)過(guò)程����,而無(wú)需向用戶提供IP連接,在以下組件中攜帶所述詢問(wèn)-響應(yīng)鑒權(quán)提交-在無(wú)線終端和接入控制器之間的點(diǎn)對(duì)點(diǎn)層2協(xié)議上��;以及-在位于公共陸地移動(dòng)網(wǎng)絡(luò)和接入控制器之間的應(yīng)用層處的鑒權(quán)協(xié)議上��;以及(d)一旦公共陸地移動(dòng)網(wǎng)絡(luò)對(duì)所述用戶有效地進(jìn)行了鑒權(quán)�����,則通過(guò)發(fā)送已分配的IP地址和其它網(wǎng)絡(luò)配置參數(shù)來(lái)向無(wú)線終端處的用戶提供IP連接�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,執(zhí)行詢問(wèn)-響應(yīng)鑒權(quán)過(guò)程的步驟(c)包括以下步驟(c1)將來(lái)自無(wú)線終端的用戶標(biāo)識(shí)符通過(guò)接入控制器發(fā)送到公共陸地移動(dòng)網(wǎng)絡(luò)���;(c2)在無(wú)線終端通過(guò)接入控制器接收來(lái)自公共陸地移動(dòng)網(wǎng)絡(luò)的鑒權(quán)詢問(wèn)���;(c3)在無(wú)線終端從所接收的詢問(wèn)中導(dǎo)出加密密鑰和鑒權(quán)響應(yīng);(c4)將來(lái)自無(wú)線終端的鑒權(quán)響應(yīng)通過(guò)接入控制器發(fā)送到公共陸地移動(dòng)網(wǎng)絡(luò)���;(c5)在接入控制器處接收來(lái)自公共陸地移動(dòng)網(wǎng)絡(luò)的加密密鑰�����;以及(c6)提取所接收的加密密鑰���,用于進(jìn)一步加密與無(wú)線終端通信的通信路徑。
3.根據(jù)權(quán)利要求1或2所述的方法�,其特征在于還包括步驟針對(duì)向公共陸地移動(dòng)網(wǎng)絡(luò)的提交����,將在點(diǎn)對(duì)點(diǎn)層2協(xié)議上接收的鑒權(quán)信息向上傳送到位于應(yīng)用層處的鑒權(quán)協(xié)議。
4.根據(jù)權(quán)利要求3所述的方法�,其特征在于還包括步驟針對(duì)向無(wú)線終端的提交,將在位于應(yīng)用層處的鑒權(quán)協(xié)議上接收的鑒權(quán)信息向下傳送到在點(diǎn)對(duì)點(diǎn)層2協(xié)議上�����。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于還包括步驟利用前面在接入控制器和無(wú)線終端處導(dǎo)出的加密密鑰���,在無(wú)線終端處建立對(duì)稱的加密路徑���。
6.根據(jù)前述的任一權(quán)利要求所述的方法,其特征在于��,發(fā)送IP地址的步驟(d)包括從動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器請(qǐng)求這種IP地址之前的步驟�����。
7.根據(jù)前述的任一權(quán)利要求所述的方法���,其特征在于��,接入控制器和公共陸地移動(dòng)網(wǎng)絡(luò)之間的通信通過(guò)所述公共陸地移動(dòng)網(wǎng)絡(luò)的鑒權(quán)網(wǎng)關(guān)�。
8.根據(jù)前述的任一權(quán)利要求所述的方法�����,其特征在于����,接入控制器和公共陸地移動(dòng)網(wǎng)絡(luò)的鑒權(quán)網(wǎng)關(guān)之間的通信通過(guò)無(wú)線局域網(wǎng)的鑒權(quán)服務(wù)器����,所述鑒權(quán)服務(wù)器負(fù)責(zé)鑒權(quán)不是移動(dòng)訂戶的所述無(wú)線局域網(wǎng)的本地用戶����。
9.根據(jù)前述的任一權(quán)利要求所述的方法,其特征在于步驟c1)中的用戶標(biāo)識(shí)符包括網(wǎng)絡(luò)接入標(biāo)識(shí)符�����。
10.根據(jù)前述的任一權(quán)利要求所述的方法���,其特征在于步驟c1)中的用戶標(biāo)識(shí)符包括全球移動(dòng)用戶身份����。
11.根據(jù)前述的任一權(quán)利要求所述的方法���,其特征在于步驟c)中位于應(yīng)用層處的鑒權(quán)協(xié)議是可擴(kuò)展鑒權(quán)協(xié)議。
12.根據(jù)權(quán)利要求11所述的方法���,其特征在于在RADIUS協(xié)議上傳輸該可擴(kuò)展鑒權(quán)協(xié)議�。
13.根據(jù)權(quán)利要求11所述的方法,其特征在于在Diameter協(xié)議上傳輸該可擴(kuò)展鑒權(quán)協(xié)議�����。
14.一種電信系統(tǒng)中的接入控制器��,所述系統(tǒng)包括具有至少一個(gè)接入點(diǎn)的無(wú)線局域網(wǎng)�,公共陸地移動(dòng)網(wǎng)絡(luò)和至少一個(gè)提供有SIM卡并適于讀取其用戶數(shù)據(jù)的終端設(shè)備,其特征在于���,所述接入控制器包括(a)位于OSI層2的點(diǎn)對(duì)點(diǎn)服務(wù)器��,用于與無(wú)線終端進(jìn)行通信�����;以及(b)位于OSI應(yīng)用層的鑒權(quán)協(xié)議���,用于與公共陸地移動(dòng)網(wǎng)絡(luò)進(jìn)行通信。
15.根據(jù)權(quán)利要求14所述的接入控制器���,其特征在于還包括(a)傳送裝置��,用于將在點(diǎn)對(duì)點(diǎn)層2協(xié)議上接收的信息向上傳送到位于應(yīng)用層的鑒權(quán)協(xié)議����;以及(b)傳送裝置,用于將在位于應(yīng)用層的鑒權(quán)協(xié)議上接收的信息向下傳送到在點(diǎn)對(duì)點(diǎn)層2協(xié)議上�。
16.根據(jù)權(quán)利要求15所述的接入控制器,其特征在于還包括請(qǐng)求裝置����,用于在公共陸地移動(dòng)網(wǎng)絡(luò)已經(jīng)成功鑒權(quán)用戶之后,請(qǐng)求來(lái)自動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器的IP地址��。
17.根據(jù)權(quán)利要求16所述的接入控制器����,其特征在于適于通過(guò)接入點(diǎn),與無(wú)線終端進(jìn)行通信�。
18.根據(jù)權(quán)利要求16所述的接入控制器,其特征在于適于通過(guò)鑒權(quán)網(wǎng)關(guān)���,與公共陸地移動(dòng)網(wǎng)絡(luò)進(jìn)行通信�����。
19.根據(jù)權(quán)利要求16所述的接入控制器�����,其特征在于適于通過(guò)用于鑒權(quán)無(wú)線局域網(wǎng)的本地用戶的鑒權(quán)服務(wù)器���,與鑒權(quán)網(wǎng)關(guān)進(jìn)行通信。
20.根據(jù)權(quán)利要求14到19任一所述的接入控制器�����,其特征在于��,位于應(yīng)用層處的鑒權(quán)協(xié)議是可擴(kuò)展鑒權(quán)協(xié)議���。
21.根據(jù)權(quán)利要求20所述的接入控制器�����,其特征在于���,在RADIUS協(xié)議上傳輸可擴(kuò)展鑒權(quán)協(xié)議。
22.根據(jù)權(quán)利要求20所述的接入控制器��,其特征在于���,在Diameter協(xié)議上傳輸可擴(kuò)展鑒權(quán)協(xié)議����。
23.一種無(wú)線終端,包括以下用途用作為點(diǎn)對(duì)點(diǎn)層2協(xié)議客戶并且在所述點(diǎn)對(duì)點(diǎn)層2協(xié)議上具有可擴(kuò)展鑒權(quán)協(xié)議���。
24.一種電信系統(tǒng)���,包括具有至少一個(gè)接入點(diǎn)的無(wú)線局域網(wǎng),公共陸地移動(dòng)網(wǎng)絡(luò)和至少一個(gè)提供有SIM卡并適于讀取其用戶數(shù)據(jù)的終端設(shè)備���,其特征在于��,所述系統(tǒng)還包括如權(quán)利要求14至22所述的接入控制器����,用于允許對(duì)作為公共陸地移動(dòng)網(wǎng)絡(luò)的訂戶的無(wú)線局域網(wǎng)用戶進(jìn)行基于SIM的用戶鑒權(quán)����。
全文摘要
本發(fā)明涉及一種系統(tǒng)、設(shè)備和方法����,用于對(duì)接入WLAN的用戶進(jìn)行基于SIM的鑒權(quán)以及用于保護(hù)終端設(shè)備和移動(dòng)網(wǎng)絡(luò)之間的路徑的層2加密機(jī)制,而無(wú)需提供IP連接�。因此����,本發(fā)明提供了一種方法�����,用于針對(duì)終端和接入控制器之間的AKA對(duì)話建立PPP通道�,所述接入控制器用于接入屬于SIM的移動(dòng)網(wǎng)絡(luò)��。本發(fā)明還提供了一種接入控制器(AC)��,包括以太網(wǎng)點(diǎn)對(duì)點(diǎn)(PPPoE)服務(wù)器��,用于針對(duì)相同目的挖掘在終端種安裝的AKA對(duì)話形式的PPP客戶�,還包括業(yè)務(wù)路由器和RADIUS客戶。因此�,將包括RADIUS客戶的AC插入到從WLAN種的接入點(diǎn)(AP)接入的RADIUS代理和其中執(zhí)行基于SIM的鑒權(quán)的移動(dòng)網(wǎng)絡(luò)之間。
文檔編號(hào)H04L12/28GK1666465SQ02828879
公開(kāi)日2005年9月7日 申請(qǐng)日期2002年5月1日 優(yōu)先權(quán)日2002年5月1日
發(fā)明者赫蘇斯·安赫爾·德·格雷戈里奧·羅德里格斯, 米格爾·安赫爾·蒙哈斯·略化特 申請(qǐng)人:愛(ài)立信電話股份有限公司