專利名稱:用于在無線局域網接入的基于sim的鑒權和加密的系統、設備和方法
技術領域:
一般地,本發明涉及在無線局域網環境中的鑒權和加密機制。更具體地,本發明關于針對基于SIM的鑒權和第2層加密機制的設備、系統和方法,用于保護來自上層終端設備的通信路徑。
背景技術:
在1999年,IEEE公布了速率為11Mbps的用于無線局域網接入的802.11b規范。該標準得到工業界的廣泛支持并在企業公司和例如機場、飯店、咖啡館等的公共接入集中的地區具有巨大的安裝基礎。
802.11b標準在一定程度上提出了鑒權、接入控制機制和機密性,但是僅限于無線路徑。在此方面,該標準中定義了兩種鑒權方法,即“開放系統”和“共享密鑰”。
當使用開放系統時,終端設備(TE)中的WLAN卡宣布其希望與WLAN接入點(下文中縮寫為AP)進行關聯。不進行鑒權,只是應用一些基本的接入控制機制,例如媒體接入控制(MAC)濾波器和服務設置標識符(SSID)。
設置這些MAC濾波器以進行工作,以便只允許其MAC地址屬于例如接入控制列表的由AP保存的列表的WLAN卡與AP進行關聯。這種接入控制機制具有有限的效用,由于要關聯的實體的身份實際上不屬于用戶,而是屬于設備自身。如果終端或卡被盜,則沒有基于用戶的鑒權以防止使用被盜的設備接入到資源。此外,由于WLAN卡的MAC地址總是在WLAN幀的頭標出現,所以MAC地址欺騙是一種微不足道的攻擊。這是特別有關系的,因為市場上的大多數WLAN卡僅通過軟件手段就能改變其MAC地址。
另一個接入控制機制是前述的服務設置標識符(SSID),其為文字數字碼,用來識別終端設備(TE)要關聯的WLAN的情況。給定的AP僅允許提供了正確的SSID的WLAN卡進行關聯。然而,由于通常由AP對此標識符進行廣播,甚至沒有改變由銷售商設置的默認值時,該接入控制機制就因為會出現許多眾所周知的攻擊而再次無用了。
上述的第二個鑒權方法是所謂的共享密鑰。將此過程嵌入在由有線對等秘密(WEP)標準提供的基本機密機制中,所述標準是基于RC4的對稱加密算法。如此通過利用應答響應機制來執行鑒權,在該機制中,作為兩方的WLAN卡和AP顯示出擁有相同的密鑰。然而,將該密鑰安裝并存儲在終端設備(TE)中,因此其遭遇到與討論MAC濾波器時所描述的同樣的缺點。
此外,近年來發表的大量論文示出了機密機制本身的基礎缺陷,即,WEP標準的缺陷。由于在WEP幀中以明文發送算法的初始化矢量,這些缺陷首先是靜態WEP標準密鑰的使用,其使得攻擊者發現密鑰本身。例如,僅查看通信量的WLAN卡的許多被動攻擊也可以推導出密鑰。
開始時,似乎僅利用更好的密鑰管理來更新密鑰并增加其長度,例如從40位到128位,算法能夠更安全或至少足夠安全到獲得可接受的安全性。但是,越來越多的近來的報告已經證實這樣的算法設計不能提供可接受的安全水準。
現在,工業界和代表性討論會作出了努力來解決目前應用標準中的缺陷。當前IEEE正在定義新標準來改善現有的802.11b標準的鑒權機制,將該結果公布為所謂的802.1x標準“基于端口的網絡接入控制”,但是該工作尚未完成。此外,該方法只考慮到鑒權,因此仍需要合適的機密算法。在此方面,當前趨勢提出基于所謂的高級加密系統(AES)協議的協議可以取代WEP。然而,正如802.1x中提出的基于端口的鑒權機制,其對TE操作系統和在AP的應用軟件中具有顯著的影響,這是由于802.1x只是尋求基于WEP的鑒權機制的替代品和WEP本身。
簡而言之,由于將不得不取代或至少升級給定WLAN的所有AP,則將仍具有上述缺陷的新標準802.1x的大量采用將引起在WLAN設備上新的投資。此外,稍微顯而易見的是,任何WLAN機密機制只提供對無線路徑的保護,即在WLAN卡和AP之間路徑的保護。然而,根本沒有加密AP之外的相應以太網業務。
因此,此階段本發明的重要目的是提供設備和方法,用于允許WLAN用戶的有效的鑒權機制以及貫穿從所述用戶的終端設備開始的整個通信路徑的完全加密機制。
簡而言之,正如以上廣泛所述,當將WLAN卡的物理MAC地址用于鑒權TE時,當前的WLAN應用標準,即802.11中的鑒權不存在,或鑒權基于設備。從適于維護可接受的安全性的不同小區中沒有發現通過例如以其不穩定而知名的WLAN中的WEP協議獲得的加密,對于大量特定配置而言這顯然是無法實現的。
作為對比,例如GSM,GPRS,或UMTS的傳統或新的公共陸地移動網絡中的鑒權是利用SIM卡和一套證明安全的協議和稱為“鑒權和密鑰許可協議”(以下簡稱為AKA)的算法來實現的。由于針對個人應用而設計SIM并且通過PIN對其進行保護,因此所謂的基于SIM的鑒權是基于用戶的。
現在,移動運營商想要通過寬帶接入擴展其在接入網絡中的供應商品,并且主要由于在WLAN中未許可的頻譜帶的使用,WLAN技術使直到11Mbps的訪問速率成為可能,同時保持極低的使用成本。移動運營商能夠通過安裝其自身的WLAN或通過簽署同意現有的WLAN運營商來實現,但是無論怎樣,安全性的要求至少應該和在移動接入運營商的核心網絡的環境下一樣強。
為了實現該目的,WLAN運營商必須提供暗示擁有SIM卡的鑒權和加密機制。必須由移動運經營商來發行該SIM卡并且該SIM是與用于移動接入的相同的SIM,或是只為WLAN接入的目的而發行的SIM。
由第三方經營的傳統WLAN也可具有其自身的本地用戶,并且針對所述本地而進行的鑒權完全由WLAN的運營商負責。例如,本地用戶的鑒權可能只是根據用戶身份加上密碼,或甚至根本沒有安全性。但是,對于那些移動運營商的訂購用戶,通過所述的WLAN的鑒權和其它安全性問題應當與其在移動運營商的網絡中問題是相同的。另一方面,只通過移動運營商使用和運營的WLAN應該拒絕接入不屬于該移動運營商的用戶,并且應該只執行基于SIM卡的鑒權機制。
然而,任何試圖在WLAN中引入新的和更安全的用于鑒權和加密的機制都必須針對在當前的WLAN方案中產生盡可能少的影響。
標題為“Arranging Data Ciphering in a Wireless TelecommunicationSystem”的美國專利申請公開2002/0009199中描述了相當令人感興趣的嘗試,以解決上述問題。基于該申請的教導也介紹了一種基于SIM的鑒權方案。
然而,基于SIM的鑒權方案用于導出密鑰,用作802.11本地WEP算法的密鑰,用于TE和AP之間的通信加密。在現有WEP容量上該申請引入的主要優點是增加了每段時間更新一次密碼的新機制。此外,該申請基本是現在的WEP標準的修改版,并沒有解決上述的原始WEP版的基本問題。
然而,工業上的不同部門已經估計到公知的WEP攻擊能在少于兩個小時內猜到WEP密碼。顯然,與原始WEP版相同,如果WEP密碼是靜態的并且從來不更新,那么問題會非常重大。結果,利用美國2002/0009199中介紹的方法,將問題限定在給定的會話持續時間的界限內,而且,如果會話延長超過幾個小時,就會產生前述的問題。對于那些在當前公共陸地移動網絡發現的網絡,提供同樣的安全水平顯然是不夠的。
在此方面,本發明的目的是為實現更高的安全水平,允許運營商選擇能夠更好滿足其安全需求的加密算法。注意,在安全水平和性能之間通常存在平衡。因此,以下可以是本發明所考慮的其它目的例如具有128、168和256位等長度的支持密鑰的附加特征;以及支持例如AES等最新的最安全的算法,和密鑰旋轉過程。
此外,根據上述申請美國2002/0009199,由于WEP只適用于無線路徑,加密路徑是從移動終端到AP。在此方面,支持在AP以外建立的加密路徑以及還覆蓋WLAN的有線部分是本發明的另一個目的。
此外,美國2002/0009199教導在運行鑒權處理之前完成IP地址的分配,因此,惡意用戶可能會發起一整套公知的攻擊。然而,如果用戶在有效地進行鑒權之前沒有辦法得到IP連接,將很大程度地減小風險。因此,本發明的另一個目的是提供一種鑒權機制,在IP連接到所述用戶之前用于對用戶執行鑒權。
總之,本發明一個重要的目的是提供一種系統、設備和方法,用于允許有效的基于SIM的用戶鑒權和為訂購了公共陸地移動網絡的WLAN用戶建立起始于TE的完全加密路徑。另一個具體的重要目的是可以在IP連接到所述用戶之前執行基于SIM的用戶鑒權。
本發明的另一個目的是支持可變長度的密鑰、在運營商選擇下使用安全算法和提供密鑰旋轉過程。
本發明的另一個目的是在最小影響傳統WLAN的環境下實現之前的目的。
發明內容
利用一種方法來實現本發明的目的,通過數據鏈路層(layer-2)鑒權機制,對作為公共陸地移動網絡的訂戶的無線局域網用戶進行基于SIM的鑒權。該方法重要的方面在于當鑒權處理成功完成時,只將IP連接提供給用戶。
因此,利用一種方法來實現本發明的目的,其中,無線終端發現可接入的接入點并請求與無線局域網進行關聯,而接入點接受了該請求。然后,無線終端開始尋找插入在接入點和公共陸地移動網絡之間的接入控制器。
然后,無線終端在點對點層2協議上立即將用戶標識符發送到接入控制器,所述控制器將在點對點層2協議上接收的用戶標識符向上移動到應用層處的鑒權協議。
接下來,接入控制器將用戶標識符發送到公共陸地移動網絡處的鑒權網關,以發起鑒權過程。
首先,開始鑒權處理,接入控制器接收通過鑒權網關來自公共陸地移動網絡的鑒權詢問;并在應用層處將在相同協議上接收的鑒權詢問向下移動在點對點層2協議上。為了得到鑒權響應,由接入控制器將鑒權詢問發送給無線終端。
然后,無線終端可以在點對點層2協議上立即將鑒權響應發送給接入控制器,接入控制器將在點對點層2協議上接收的鑒權響應向上移動到應用層處的鑒權協議。從接入控制器將鑒權響應發送到鑒權網關,所述接入控制器通過鑒權網關接收來自公共陸地移動網絡的加密密鑰。
接下來,為了利用無線終端進一步加密通信路徑,接入控制器提取在應用層處的協議上接收的加密密鑰;以及接入控制器將分配的IP地址和其它網絡配置參數發送到無線終端。
這種設置的優點在于,與無線電通信網絡使用的相類似,在整個通信路徑中,移動終端添加了安全的鑒權機制,這意味著在無線路徑和有線路徑上獲得了機密性。運營商能夠擴展其接入網絡,以非常低的成本提供局域的寬帶接入(11Mbps)。
此外,為了實現本發明的目的,提供了一種接入控制器,包括位于OSI層-2中的點對點服務器,用于與無線終端進行通信;以及位于OSI應用層的鑒權協議,用于與公共陸地移動網絡進行通信。此外,該接入控制器還包括傳送裝置,用于將在點對點層-2協議上接收的信息向上傳送到應用層處的適當鑒權協議。同樣,接入控制器還包括傳送裝置,用于將在應用層處的鑒權協議上接收的信息向下傳送到在點對點層2協議之上。
為了充分實現本發明的目的,還提供了一種無線終端,包括用途,作為點對點層2協議客戶并且在點對點層2協議上具有可擴展的鑒權協議。
本發明提供的總體解決方案提供了一種通信系統,包括無線局域網,所述無限局域網包括至少一個接入點、公共陸地移動網絡、如上所述的至少一個無線終端和上述的接入控制器。
結合附圖,通過閱讀此描述,本發明的特征、目的及其優點將變得顯而易見,其中圖1示出了一個優選實施例,其中,通過利用移動和非移動用戶能夠接入的WLAN接入的傳統移動網絡用戶如何可以被其自身的移動網絡鑒權,以及如何具有從TE到自己的移動網絡的加密路徑。
圖2示出了與圖1相比簡化的結構,其適用于僅僅由公共陸地移動網絡的用戶接入的WLAN。
圖3是示意性地示出包括PPPoE服務器和RADIUS客戶機的接入控制器的實施例,其中存在可擴展的鑒權協議。
圖4基本上示出了從TE到移動網絡并貫穿WLAN實體而執行的動作的典型序列,以執行基于SIM的用戶鑒權。
具體實施例方式
下面將描述裝置、方法和系統的當前的優選實施例,用于允許有效的基于SIM的用戶鑒權并用于針對作為公共陸地移動網絡的訂戶的WLAN用戶,建立始于TE的完全的加密路徑。根據本發明的一個方面,在IP連接所述用戶之前執行該基于SIM的用戶鑒權。
因此,示出了通用環境的圖1示出了優選實施例的總體框架,其中公共陸地移動網絡(GSM/GPRS/UMTS)的訂戶和其它本地非移動用戶接入了無線局域網(WLAN)。圖1所示該通用環境提出了針對將對現有傳統WLAN的影響減少到最小的特別簡單的結構,以便實現本發明的一個目的。該相當簡單的結構涉及不同的來自WLAN和來自公共陸地移動網絡的實體,將在下文進行描述。此外,圖2示出了根據本發明的另一個實施例的更簡化的結構,用于WLAN只接入公共陸地移動網絡的訂戶和沒有本地WLAN用戶。
圖1和圖2中的第一實體是終端設備(TE),其配備有必要的硬件和軟件來與用戶SIM卡連接,并且根據鑒權和密鑰許可協議(AKA)發送和接收所需的信令信息。TE還包括必要的軟件來實現在以太網(PPPoE)協議上、客戶端、從而是RFC 2516的點對點協議,這種PPPoE客戶包含的內容允許在WLAN域中建立與特定服務器的點對點協議(PPP)會話。這是一個非常便利的實施例,以便影響現有的鑒權機制,例如可擴展的鑒權協議(EAP),和加密協議,例如根據REC 1968的PPP加密控制協議(以下稱之為“加密的PPP”),沿著WLAN的有線部分擴展了加密路徑,從而提供了更高的安全水平。例如PPPoE客戶的組件是針對所建議的解決方案的核心部分。
根據802.11b標準,圖1和圖2的環境中的其它實體用作普通標準無線基站的接入點,沒有任何附加邏輯電路。與其它可能的解決方案不同,如關于成為標準的802.1x所解釋的,本發明提供的方法允許重新使用現有的廉價硬件,沒有必要替換或升級在WLAN中的所有AP的硬件。由于與在PPPoE層上執行的安全機制相比,這些WEP自身提供了一點安全,因此,在關閉WEP支持時,可以在該環境下運行這些不變的AP。
根據本發明的一個方面,提供了新的實體,圖1和圖2中的接入控制器(下文稱之為AC)均包括所需的PPPoE服務器功能。通過PPPoE協議中的嵌入機制,即通過由廣播消息發起的握手,終端設備(TE)自動地發現該PPPoE服務器。該接入控制器(AC)還包括RADIUS客戶功能,其負責收集通過在PPP上攜帶的EAP屬性所接收的客戶資格,并且還負責通過現在在RADIUS消息上攜帶的EAP屬性,將其發送到傳統的WLAN鑒權服務器(WLAN-AS)。同樣,該接入控制器(AC)的組件也是為實現本解決方案的目的的核心部分。
接入控制器和前述的內嵌于終端設備的PPPoE客戶都是協同工作的實體,用于接通詢問-響應鑒權過程和建立加密路徑。
僅在圖1所示的最通用環境中示出的其它實體是WLAN-鑒權服務器(WLAN-AS),用于實現不屬于移動運營商的本地WLAN用戶的本地認證者服務器的功能,因此,可以通過例如普通用戶和密碼匹配的其它方法鑒權用戶。當在公共陸地移動網絡運營商的域內接收來自接入控制器的鑒權信息并將之轉發到鑒權網關(下文稱之為AG)時,該WLAN-AS還起到RADIUS代理的作用。
出于本發明的目的,只需要WLAN-AS,以便鑒權不是公共陸地移動網絡的移動訂戶的自身的WLAN用戶。結果,用于只接入移動網絡的訂戶的WLAN可以去除該實體而不會影響所述移動訂戶的鑒權和加密路徑的建立以及本發明的范圍。在此方面,圖2示出了一個簡化結構的實施例,用于如上所述WLAN只接入公共陸地移動網絡的訂戶,因此,其中不包括WLAN-AS。
圖1和圖2的環境所包括的其它實體是鑒權網關(以下稱之為AG),其可以獨自或共同作為歸屬位置寄存器(HLR),用于存儲移動訂戶用戶數據。在運營商的域內,該鑒權網關(AG)獨自或與HLR結合作為鑒權后端服務器并負責根據針對傳統或例如GSM、GPRS和UMTS的新公共陸地移動網絡的AKA協議產生鑒權矢量。這些組件,即AG和HLR可以是通過移動應用部分(MAP)協議相互通信的物理上分離的實體,或者是作為RADIUS服務器和具有內嵌的用戶數據庫的單一的邏輯實體,用于實現AKA中必需的算法,如公知的A5、A8等。因此,在后者的方法中,與HLR的通信無需如圖2中典型所示。
總之,接入控制器、嵌入在終端設備中的前述PPPoE客戶和鑒權網關是實現本發明目的的核心實體。對于這些實體的功能的描述僅是示例性的和非限制性的方式。
參考開放系統互聯(OSI)模型,圖3示出了接入控制器(AC)涉及的不同協議層。位于IP層的下面的PPPoE服務器包括自然位于以太網層之上的PPPoE協議層,其具有內嵌的前述EAP。同樣,RADIUS客戶具有內嵌EAP的RADIUS協議層,其位于UDP層之上,該兩層位于IP層之上。
另一方面,下面將參考圖4所示的動作序列,對其中不同元件根據當前優選實施例來執行本發明的某些方面的方式進行描述。
前述的終端設備(TE)配備有移動終端適配器(MTA),允許接入移動終端攜帶的SIM卡。該TE具有收發信機,用于和WLAN的AP的通信(C-401,C-402),并包括合適的軟件棧,以根據REF 2516來執行PPPoE協議。
接入控制器(AC)具有嵌入的PPPoE服務器。通過PPPoE客戶來發現PPPoE服務器是該協議自身的整體部分(C-403,C-404,C-405,C-406)。PPP鏈路上由TE使用的身份是網絡接入標識符(NAI),其通過用戶輸入來建立需要的撥號會話,所用的范圍是識別作為給定的移動運營商的訂戶的用戶。由于通過其它方法來完成鑒權,因此不需要密碼。可選擇的,代替發送NAI,可以從SIM卡取得IMSI并作為用戶身份發送。如果在明碼電文中發送IMSI是可接受的(-般不使用明碼發送IMSI),則應當只能使用該方式。
當在EAP機制的幫助下接收到用戶身份時,接入控制器(AC)具有RADIUS客戶,用于將鑒權信息發送(C-409)到WLAN-AS服務器。在PPP和RADIUS上運行可擴展的鑒權協議(EAP),以便在TE和AG之間傳送鑒權信息。要在EAP中使用的鑒權機制可以是針對公共陸地移動網絡的傳統的AKA。如上所述,WLAN-AS針對常規WLAN用戶用作鑒權服務器,其鑒權不是基于SIM的,而對于用戶的NAI領域部分將其識別為移動網絡的訂戶,從而使用基于SIM的鑒權的這些用戶,其作為鑒權代理服務器。然后,當作為鑒權代理服務器時,WLAN-AS將接收到的鑒權信息轉發(C-410)到鑒權網關(AG)。
當鑒權網關接收到(C-410)鑒權請求時,通過利用MAP接口來要求HRL提供三維或五維的鑒權矢量(C-411)。為了該任務,鑒權網關(AG)必須了解已經在RADIUS消息中發送其NAI的訂戶的IMSI。例如,可以通過在目錄數據庫中查找來發現該IMSI。HLR以所請求的鑒權信息(C-412)來回應用戶。
然后,AG封裝在EAP屬性中的鑒權矢量的RAND分量并在RADIUS消息中將其通過WLAN-AS(C-413)發送返回到AC(C-414)。注意,對于例如UMTS的新移動網絡的用戶,還需要發送類似AUTN的消息。
然后,AP將接收到的EAP信息轉發(C-415)到PPP消息中的TE。注意,這里AC作為在例如PPP和RADIUS的“載體”協議之間的EAP信息的“通路”。
當TE接收到EAP信息時,提取RAND號碼,并利用其詢問SIM并產生應答(RES),通過在PPP和RADIUS上傳輸的EAP再次將所述應答送回(C-416,C-417,C-418)到AG。如前,對于UMTS用戶,TE首先根據AUTN鑒權網絡。在此階段,必須注意,TE遵照在AKA中定義的標準算法來產生加密密鑰。該密鑰用作種子,即密鑰材料,來導出一個或多個會話密鑰,以便與在REF 1968中陳述的PPP加密控制協議和例如PPP 3-DES加密協議、REF2420的任何現有PPP加密算法一起使用。
AG接收(C-418)EAP響應并檢查應答的有效性。之前已經在來自可能與未示出的鑒權中心(AuC)的合作的HLR的鑒權矢量中接收到了AKA加密密鑰(Kc)。然后,AG將AKA加密密鑰(Kc)傳送給其中設置了PPPoE服務器的AC(C-419,C-420)。可以在傳輸EAP成功的接入接受RADIUS消息中進行此操作,但是由于該EAP命令不能攜帶任何附加數據,一個RADIUS賣方特定屬性(VSA)可以是更有價值的選項。
在該階段,AC接收(C-420)接入接受RADIUS消息并請求來自動態主機配置協議(DHCP)服務器的IP地址,進一步將該IP地址發送到TE。AC遵照和與TE相同的算法,從要和PPP加密控制協議一起使用的AKA加密密鑰(Kc)和選定的PPP加密算法(例如3DES)中導出會話密鑰。最后,AC將EAP成功消息,連同其它預定給所述TE的配置參數,如IP地址,IP網絡掩碼、DNS服務器等發送(C-421)給TE。然后,完全建立了PPP鏈路并準備進入網絡階段。
權利要求
1.一種電信系統中的方法,用于允許針對作為公共陸地移動網絡訂戶的無線局域網用戶進行基于SIM的鑒權,該方法包括步驟無線終端發現可接入的接入點、請求與無線局域網進行關聯和所述接入點接受該請求,其特征在于,所述方法還包括以下步驟(a)在接入點和公共陸地移動網絡之間插入接入控制器;(b)從配備有SIM卡并適于讀取其用戶數據的至少一個無線終端中發現接入控制器;(c)通過接入控制器進行無線終端和公共陸地移動網絡之間的詢問-響應鑒權過程,而無需向用戶提供IP連接,在以下組件中攜帶所述詢問-響應鑒權提交-在無線終端和接入控制器之間的點對點層2協議上;以及-在位于公共陸地移動網絡和接入控制器之間的應用層處的鑒權協議上;以及(d)一旦公共陸地移動網絡對所述用戶有效地進行了鑒權,則通過發送已分配的IP地址和其它網絡配置參數來向無線終端處的用戶提供IP連接。
2.根據權利要求1所述的方法,其特征在于,執行詢問-響應鑒權過程的步驟(c)包括以下步驟(c1)將來自無線終端的用戶標識符通過接入控制器發送到公共陸地移動網絡;(c2)在無線終端通過接入控制器接收來自公共陸地移動網絡的鑒權詢問;(c3)在無線終端從所接收的詢問中導出加密密鑰和鑒權響應;(c4)將來自無線終端的鑒權響應通過接入控制器發送到公共陸地移動網絡;(c5)在接入控制器處接收來自公共陸地移動網絡的加密密鑰;以及(c6)提取所接收的加密密鑰,用于進一步加密與無線終端通信的通信路徑。
3.根據權利要求1或2所述的方法,其特征在于還包括步驟針對向公共陸地移動網絡的提交,將在點對點層2協議上接收的鑒權信息向上傳送到位于應用層處的鑒權協議。
4.根據權利要求3所述的方法,其特征在于還包括步驟針對向無線終端的提交,將在位于應用層處的鑒權協議上接收的鑒權信息向下傳送到在點對點層2協議上。
5.根據權利要求1所述的方法,其特征在于還包括步驟利用前面在接入控制器和無線終端處導出的加密密鑰,在無線終端處建立對稱的加密路徑。
6.根據前述的任一權利要求所述的方法,其特征在于,發送IP地址的步驟(d)包括從動態主機配置協議服務器請求這種IP地址之前的步驟。
7.根據前述的任一權利要求所述的方法,其特征在于,接入控制器和公共陸地移動網絡之間的通信通過所述公共陸地移動網絡的鑒權網關。
8.根據前述的任一權利要求所述的方法,其特征在于,接入控制器和公共陸地移動網絡的鑒權網關之間的通信通過無線局域網的鑒權服務器,所述鑒權服務器負責鑒權不是移動訂戶的所述無線局域網的本地用戶。
9.根據前述的任一權利要求所述的方法,其特征在于步驟c1)中的用戶標識符包括網絡接入標識符。
10.根據前述的任一權利要求所述的方法,其特征在于步驟c1)中的用戶標識符包括全球移動用戶身份。
11.根據前述的任一權利要求所述的方法,其特征在于步驟c)中位于應用層處的鑒權協議是可擴展鑒權協議。
12.根據權利要求11所述的方法,其特征在于在RADIUS協議上傳輸該可擴展鑒權協議。
13.根據權利要求11所述的方法,其特征在于在Diameter協議上傳輸該可擴展鑒權協議。
14.一種電信系統中的接入控制器,所述系統包括具有至少一個接入點的無線局域網,公共陸地移動網絡和至少一個提供有SIM卡并適于讀取其用戶數據的終端設備,其特征在于,所述接入控制器包括(a)位于OSI層2的點對點服務器,用于與無線終端進行通信;以及(b)位于OSI應用層的鑒權協議,用于與公共陸地移動網絡進行通信。
15.根據權利要求14所述的接入控制器,其特征在于還包括(a)傳送裝置,用于將在點對點層2協議上接收的信息向上傳送到位于應用層的鑒權協議;以及(b)傳送裝置,用于將在位于應用層的鑒權協議上接收的信息向下傳送到在點對點層2協議上。
16.根據權利要求15所述的接入控制器,其特征在于還包括請求裝置,用于在公共陸地移動網絡已經成功鑒權用戶之后,請求來自動態主機配置協議服務器的IP地址。
17.根據權利要求16所述的接入控制器,其特征在于適于通過接入點,與無線終端進行通信。
18.根據權利要求16所述的接入控制器,其特征在于適于通過鑒權網關,與公共陸地移動網絡進行通信。
19.根據權利要求16所述的接入控制器,其特征在于適于通過用于鑒權無線局域網的本地用戶的鑒權服務器,與鑒權網關進行通信。
20.根據權利要求14到19任一所述的接入控制器,其特征在于,位于應用層處的鑒權協議是可擴展鑒權協議。
21.根據權利要求20所述的接入控制器,其特征在于,在RADIUS協議上傳輸可擴展鑒權協議。
22.根據權利要求20所述的接入控制器,其特征在于,在Diameter協議上傳輸可擴展鑒權協議。
23.一種無線終端,包括以下用途用作為點對點層2協議客戶并且在所述點對點層2協議上具有可擴展鑒權協議。
24.一種電信系統,包括具有至少一個接入點的無線局域網,公共陸地移動網絡和至少一個提供有SIM卡并適于讀取其用戶數據的終端設備,其特征在于,所述系統還包括如權利要求14至22所述的接入控制器,用于允許對作為公共陸地移動網絡的訂戶的無線局域網用戶進行基于SIM的用戶鑒權。
全文摘要
本發明涉及一種系統、設備和方法,用于對接入WLAN的用戶進行基于SIM的鑒權以及用于保護終端設備和移動網絡之間的路徑的層2加密機制,而無需提供IP連接。因此,本發明提供了一種方法,用于針對終端和接入控制器之間的AKA對話建立PPP通道,所述接入控制器用于接入屬于SIM的移動網絡。本發明還提供了一種接入控制器(AC),包括以太網點對點(PPPoE)服務器,用于針對相同目的挖掘在終端種安裝的AKA對話形式的PPP客戶,還包括業務路由器和RADIUS客戶。因此,將包括RADIUS客戶的AC插入到從WLAN種的接入點(AP)接入的RADIUS代理和其中執行基于SIM的鑒權的移動網絡之間。
文檔編號H04L12/28GK1666465SQ02828879
公開日2005年9月7日 申請日期2002年5月1日 優先權日2002年5月1日
發明者赫蘇斯·安赫爾·德·格雷戈里奧·羅德里格斯, 米格爾·安赫爾·蒙哈斯·略化特 申請人:愛立信電話股份有限公司