專利名稱:通信系統的互通功能的制作方法
技術領域:
本發明涉及通信系統的互通功能,尤其涉及通過互通功能進行公共認證和密鑰交換供無線局域網(WLAN)中使用的機制。
背景技術:
無線局域網(WLAN)允許用戶對互聯網協議(IP)服務和數據網絡的實質上不受限制的接入。WLAN的使用不限于膝上電腦及其它計算設備,而是快速地擴展以包括蜂窩電話、個人數字助理(PDA)以及外部網絡或載體所支持的其它小型無線設備。例如,經由蜂窩載波通信的無線設備會漫游到網絡咖啡店或工作室內的WLAN。在該情況下,無線設備接入蜂窩系統,但希望接入WLAN。WLAN的接入要求認證。因為無線設備已經獲準接入蜂窩系統,因此對進一步認證的需求便成為冗余。因此,需要一種互通功能,它允許一種對蜂窩系統和對WLAN的公共認證。
圖1是包括無線局域網(WLAN)的通信系統。
圖2是具有互通功能(IWF)單元的通信系統。
圖3是通信系統中認證過程的定時圖。
圖4是認證過程的流程圖。
圖5是通信系統中認證過程的定時圖。
圖6是通信系統中IWF處的認證過程的流程圖。
圖7是移動站處的認證處理的流程圖。
具體實施例方式
這里使用單詞“示例性”意指“充當示例、實例或說明”。這里描述為“示例性”的任何實施例都不必被視為比其它實施例更為優選或有利。
HDR訂戶站(在此稱為接入終端(AT))可以是移動的或固定的,并且與一個或多個HDR基站(在此稱為調制解調器庫收發機(MPT))通信。接入終端通過一個或多個調制解調器庫收發機向HDR基站控制器發送數據分組或從其接收數據分組,HDR基站控制器在此稱為調制解調器庫控制器(MPC)。調制解調器庫收發機和調制解調器庫控制器是稱為接入網絡的網絡的一部分。接入網絡在多個接入終端之間傳輸數據分組。接入網絡還能連到接入網絡外的其它網絡,比如公司內聯網或互聯網,并且可以在每個接入終端和這種外部網絡間傳輸數據分組。已經與一個或多個調制解調器庫收發機建立活動話務信道連接的接入終端稱為活動接入終端,并且被稱為處于話務狀態。正在與一個或多個調制解調器庫收發機建立活動話務信道連接過程中的接入終端被稱為處于連接設立狀態。接入終端可以是通過無線信道或通過有線信道進行通信的任何數據設備,例如通過使用光纖或同軸電纜進行通信。接入終端還可以是多類設備的任一種,包括但不限于PC卡、微型閃存、外置或內置調制解調器或者無線或有線電話。接入終端向調制解調器庫收發機發送信號所通過的通信鏈路稱為反向鏈路。調制解調器庫收發機向接入終端發送信號所通過的通信鏈路稱為前向鏈路。
圖1中示出無線局域網(WLAN)100有多個接入點(AP)106、108、110。AP是為WLAN 100的無線端提供星型拓撲控制以及到有線網絡接入的集線器或網橋。
每個AP 106、108、110以及其它未示出的接入點都支持到數據服務的連接,比如互聯網。工作站102,比如膝上電腦或其它數字計算設備經由空中接口與AP通信,從而稱為無線LAN。然后,AP與認證服務器(AS)或認證中心(AC)通信。AC是為請求到網絡的許可的設備執行認證服務的組件。實施方式包括遠程認證撥入用戶服務(RADIUS),它是在RFC 2138中描述的互聯網用戶認證,C.Rigney等人所著的“Remote Authentication Dial In User Service(RADIUS)”,于1997年4月出版,還包括其它認證、授權和核算(AAA)服務器。
無線聯網成為網際互通的一個重要方面。它表示基于無線網絡的唯一邊界是無線信號強度這一事實的一組唯一問題。沒有線路能定義網絡中的成員組成。沒有物理方法能把無線范圍內的系統限制為無線網絡的成員。無線聯網比任何其它連網技術都需要認證和接入控制機制。現在各個組織正在開發一種標準的認證機制。目前所接受的標準是IEEE 802.11。
基于RF的網絡的性質使其對于發射機范圍內的任何無線電的分組攔截都是開放式的。通過使用高增益天線,攔截會出現在遠離用戶的“工作”范圍外的地方。根據容易可用的工具,竊聽者不限于僅僅采集分組以供后來分析,而能實際看到交互的會話,就像有效的無線用戶所能查看的Web網頁。竊聽者會捕獲弱的認證交換,比如一些網站登錄。盜取者會稍后復制所述登錄并獲得接入。
一旦攻擊者獲得了WLAN控制許可的知識,他就可能或者自己獲得到網絡的許可、或者偷取有效用戶的接入。如果攻擊者能模仿有效用戶的MAC地址并且使用其分配到的IP地址,那么盜取用戶的接入就很簡單。攻擊者等待直到有效的系統停止使用網絡為止,然后接管它在網絡中的位置。這會允許攻擊者指引到網絡內所有設備的接入,或者使用網絡來獲取對較寬范圍的互聯網的接入,同時看上去是被攻擊網絡的有效用戶。因此,認證和加密成為實現WLAN的關鍵問題。
認證是確認通信中的個人或應用的身份的過程。這種認證使服務提供商能把實體確認為有效的用戶,還能對于所請求的特定服務而認證該用戶。認證和授權實際上有很具體的意義,然而這兩個名稱通常可交換使用,實踐中不會清晰分別。
認證是用戶對身份建立權利的過程,所述權利實質上是使用名稱的權利。有大量技術可用來認證用戶——密碼、生物測定技術、智能卡、證書。
名稱或身份具有與其相關聯的屬性。屬性可以緊密綁定于一名稱(例如在證書有效負載內),或它們可能在與該名稱對應的密鑰下被存儲在目錄或其它數據庫內。屬性可隨時間而改變。
授權是確定是否允許一身份(假設一組與該身份相關聯的屬性)來執行某些行為的過程,所述行為比如接入一資源。注意到執行行為的許可不能確保可以執行該行為。注意到認證和授權決定可由不同的實體在不同的點上作出。
在蜂窩網絡中,認證特性是—網絡能力,其允許蜂窩網絡確認無線設備的身份,從而減少蜂窩網絡未經授權的使用。該過程對于訂戶是透明的。不要求用戶在他們進行呼叫時做任何事以認證其電話的身份。
認證一般包括加密方案,其中服務提供商和用戶有一些共享的信息和一些專用的信息。共享信息一般稱為“共享秘密”。
A-密鑰認證密鑰(A-密鑰)是對于每個單獨的蜂窩電話唯一的秘密值。它向蜂窩服務提供商注冊并且被保存在電話和認證中心(AC)中。A-密鑰被制造商編程到電話中。它也可由用戶從無線設備菜單手動輸入,或在售出點用特殊終端由用戶手動輸入。
無線設備和AC必須有相同的A-密鑰來產生相同的計算。A-密鑰的主要功能是被用作計算共享秘密數據(SSD)的參數。
共享秘密數據(SSD)
SSD被用作無線設備和AC中認證計算的輸入,并且被保存在以上兩個位置中。不像A-密鑰那樣,SSD可以經過網絡而修改。AC和無線設備共享計算SSD的三個元件1)電子序列號(ESN);2)認證密鑰(A-密鑰);以及3)共享秘密數據的隨機數(RANDSSD)計算。
ESN和RANDSSD通過網絡和空中接口被發送。SSD在設備作出其第一次系統接入時被更新,此后被周期性更新。在計算SSD時,結果是兩個分開的值SSD-A和SSD-B。SSD-A用于認證。SSD-B用于加密和話音保密。
根據提供服務的系統的能力,SSD可以在AC和服務移動交換中心(MSC)之間共享或不共享。如果秘密數據是共享的,則意味著AC會將其發送到服務MSC,服務MSC必須能執行CAVE。如果它不是共享的,則AC會保留數據并執行認證。
共享類型影響到怎樣實施認證詢問。認證詢問是為了詢問無線設備的身份而發送的消息。基本上,認證詢問發送一些信息供用戶處理,所述信息一般是隨機數數據。然后,用戶處理信息并發送一響應。該響應為了確認用戶而被分析。如果有共享的秘密數據,則在服務MSC處處理詢問。如果有非共享數據,則由AC處理詢問。通過共享秘密數據,系統可使所發送的話務量最小。并能使詢問在服務交換機處發生得更快。
認證過程在給定的系統中,本地位置寄存器(HLR)通過充當MSC和AC間的中介物來控制認證過程。設立服務MSC以支持與移動站的HLR的認證,反之亦然。
通過通知服務MSC它是否能進行認證、通過在開銷消息序列中設置一授權字段,設備開始該過程。響應于此,服務MSC開始用認證請求進行注冊/認證過程。
通過發送認證請求,服務MSC告知HLR/AC它是否能進行CAVE計算。AC控制在那些可用的服務MSC和設備能力中使用哪些服務MSC以及哪些設備能力。當服務MSC不具有CAVE能力時,SSD不能在AC和MSC之間共享,因此所有認證過程都在AC中執行。
認證請求(AUTHREQ)的目的是認證電話并請求SSD。AUTHREQ包含兩個用于認證的參數,AUTHR和RAND參數。當AC獲取AUTHREQ時,它使用RAND和最后知道的SSD來計算AUTHR。如果它與AUTHREQ中發送的AUTHR匹配,則認證成功。如果SSD能被共享,AUTHREQ的返回結果會包含SSD。
詢問認證過程由詢問和響應對話組成。如果SSD是共享的,則該對話在MSC和設備間運行。如果SSD不是共享的,則該對話在HLR/AC和設備間運行。根據交換機類型,MSC能進行或是唯一詢問(Unique Challenge)或全局詢問(Global Challenge)或兩者。一些MSC目前不能進行全局詢問。唯一詢問是僅出現在呼叫嘗試期間的詢問,因為它使用語音信道。唯一詢問在呼叫始發和呼叫傳送期間向單個設備作出認證。全局詢問是出現在注冊、呼叫始發和呼叫傳送期間的詢問。全局詢問向正在使用特定無線電控制信道的所有MS作出認證詢問。因為它在無線電控制信道上被廣播,因此它被稱為全局詢問,該詢問由接入該控制信道的所有電話使用。
在詢問期間,設備對由MSC或AC所提供的隨機數進行應答。設備使用該隨機數和設備中保存的共享秘密數據來計算對MSC的響應。MSC還使用隨機數和共享秘密數據來計算來自設備的應是什么響應。這些計算通過CAVE算法完成。如果響應不同,則服務被拒絕。詢問過程不增加它連到呼叫所花費的時間量。實際上,呼叫可在某些情況下繼續,僅僅在認證失敗時被拆卸。
無線局域網(WLAN)獲得了極大的流行作為一種手段來向用戶提供對IP數據網的不受限制的接入。第三代(3G)無線網絡也被設計成提供高速數據接入;然而它們所支持的數據速率一般比WLAN的數據速率要低,3G網絡在更廣泛的區域上提供數據覆蓋。盡管它們可被視為競爭者,然而WLAN和3G網絡可以是互補的WLAN在諸如候機室或酒店大堂等公共區域提供高容量的“熱點(hot-spot)”覆蓋,而3G網絡會向用戶提供運動時幾乎到處存在的數據服務。因此,同一通信公司能在單個用戶訂購下提供3G和WLAN接入服務。這意味著MS對于這兩類接入認證都使用相同的認證方法和秘密。
在3G接入認證中,認證中心(AC)認證MS。AC和MS具有共享密鑰。在網絡端,共享密鑰被安全地存儲在AC中,并且不被分發給任何其它網絡實體。在MS端,共享密鑰被安全地存儲在安全存儲器中,并且不對其向外分發。AC和MS使用蜂窩認證語音加密(CAVE)或認證密鑰協議(AKA)作為認證算法。認證參數在MS和AC間經由3G空中信令消息和網絡信令消息傳送(IS-41)。
在WLAN接入認證中,希望MS由同一AC使用相同的共享密鑰和認證算法(AKA或CAVE)來認證。然而,使用了不同的機制在WLAN中傳送認證參數。特別是,認證參數經由可擴展認證協議(EAP)和AAA協議(RADIUS或Diameter)傳送。難題是在3G和WLAN間互通傳送機制,使得對于WLAN接入認證能在MS和AC間傳送認證參數。
如上所述,CAVE算法通常用于蜂窩通信,因此被經常使用和分發。也可以使用其它用于認證的算法。特別是在數據通信中,存在復雜度和應用不同的許多算法。為了協調這些機制,已經開發了可擴展認證協議(EAP)作為支持多種認證和密鑰分發機制的一種通用協議框架。EAP在L.Blunk等人所著的“PPP ExtensibleAuthentication Protocol(EAP)”中描述,RFC 2284,1998年3月出版。
EAP所支持的一種這樣的機制是AKA算法,在J.Arkko等人所著的“EAP AKAAuthentication”中定義,2002年2月作為互聯網草案出版。因此,需要擴展EAP以包括蜂窩算法CAVE。希望為新的系統和網絡提供后向兼容。
EAP可擴展認證協議(EAP)是支持多種認證機制的一種通用認證協議。EAP在鏈路設立和控制期間不選擇特定的認證機制,而是將其推遲到認證過程開始后。這使認證者能在確定特定的認證機制前請求更多的信息。認證者被定義為要求認證的鏈路的結尾。認證者指定要在鏈路建立期間使用的認證協議。
互通功能(IWF)按照一實施例,實現一新的網絡實體并稱為互通功能(IWF),更具體地是稱為AAA/IS-41互通功能(IWF)。IWF在諸如3G這樣的無線網絡和WLAN網絡間互通認證參數的傳送機制(例如CAVE、AKA)。圖2所示的IWF 204是通信系統200的一部分。系統200包括WLAN 202、IWF 204和AC 206。如圖所示,工作站208目前處在WLAN202的通信范圍內。IWF 204在AC 206和WLAN 202之間提供一接口,允許使用公共認證使MS 208能獲準接入網絡。注意到MS 208會是無線工作站、遠程用戶或者能經由除WLAN 202以外的網絡通信的其它無線設備,該情況下所述網絡是AC 206為其一部分的網絡。
IWF 204是單向互通功能,即認證請求始發自WLAN 202。注意到在當前的實施例和說明中,AAA是用于在WLAN 202和IWF 204之間傳輸認證參數的傳送機制。而且,IS-41是用于在IWF 204和AC 206之間傳輸認證參數的傳送機制。特別對于該例,會使用RADIUS作為AAA協議。
圖3說明了認證處理。首先,IWF 204接收一RADIUS接入請求消息,該消息包含希望執行認證以接入WLAN 202的MS 208(或無線工作站)的身份。IWF 204配置有一數據庫210,其存儲與MS 208、以及目前經由AC 206注冊的其它MS 208相關聯的認證能力。數據庫210由每個MS 208的身份來索引。這樣,IWF 204可以確定MS 208的認證能力(例如AKA和/或CAVE)。
如果MS 208僅支持CAVE,IWF 204就執行與圖3一致的以下過程。IWF發送一RADIUS接入詢問消息,該消息包含EAP請求消息,EAP請求消息包含一CAVE詢問。如上所述,詢問包含要由MS 208用來計算認證響應的隨機數。IWF 204接收包含EAP響應消息(包含CAVE詢問響應)的RADIUS接入請求消息。CAVE響應包含MS 209的認證響應,即使用隨機數計算的結果、以及其它對于MS 208特定的參數。
如果IWF 204不能確認EAP響應消息,或特別是不能確認對CAVE詢問的CAVE響應,IWF 204就向AC 206發送一AUTHREQ消息,該消息是一IS-41消息。在該情況下,IWF 204沒有確認詢問響應所必要的信息。AUTHREQ消息包含分配給MS 208的IMSI、隨機數(即詢問)以及MS 208所產生的認證響應。AC 206具有對于MS 208特定的共享秘密的知識,于是它確認MS 208的詢問響應。AC 206向IWF返回AUTHREQ消息,該消息是一IS-41消息。AUTHREQ消息包含認證結果。如果成功,AUTHREQ消息還包含稱為蜂窩消息加密算法(CMEA)密鑰的一個密鑰,該密鑰用于保護WLAN202中的MS 208話務。如果IWF在預定次數的重試后不能從AC 206接收AUTHREQ消息,則IWF 204向WLAN 202發送包含EAP失敗的RADIUS接入拒絕消息。不能接收AUTHREQ消息會表明IWF 204和AC 206之間的網絡問題。
如果IWF 204能認證來自MS 208的詢問響應,并且這種確認是成功的,IWF 204就產生CMEA密鑰。如果MS 208被成功認證,IWF 204就向WLAN 202發送一RADIUS接入接受消息。這種消息包含EAP成功消息以及CMEA密鑰。如果MS 208未能進行認證,IWF 204就向WLAN 202發送包含EAP失敗消息的RADIUS接入拒絕消息。
圖4說明了按照一實施例的認證過程400,其中MS 208支持CAVE協議。當MS 208和WLAN 202在步驟402開始標識協商時,該過程開始。同樣在該步驟,WLAN202發送一RADIUS接入請求消息,該消息包含MS 208的身份。如上所述,身份可由IMSI或其它對于MS 202的唯一標識符來提供。該過程包括MS 208設法接入WLAN202,以及響應于此,WLAN 202從MS 208請求標識,步驟402。在這一點,在步驟404,IWF 204向WLAN 202發送一RADIUS接入詢問消息,其包含CAVE詢問。響應于該詢問,MS 208計算一響應并把該響應提供給WLAN 208(未示出)。然后在步驟406,該響應在RADIUS接入響應消息內被發送到IWF 204。如果IWF 204在判決菱形408處不知道MS 208的共享秘密,處理就繼續到步驟410,其中IWF 204向AC 206發送一AUTHREQ消息。AUTHREQ消息請求認證MS 208。如果在判決領先412處返回AUTHREQ消息,處理就繼續到判決菱形414以確定AUTHREQ消息是否表明成功的認證,即確認用于接入WLAN的認證結果。如果在判決菱形412未接收到AUTHREQ消息,處理就繼續到步驟416,其中IWF發送一RADIUS接入拒絕消息。
從判決菱形408繼續,如果IWF 204知道MS 208共享秘密信息,IWF 204就能在判決菱形418處確定認證是否成功。成功認證繼續到步驟420以計算CMEA密鑰。RADIUS接入接受消息然后在步驟424被發送。注意到步驟414的成功認證(用于由AC 206的認證)還繼續到步驟420。從判決菱形418,如果認證不成功,IWF就在步驟422發送一RADIUS接入拒絕消息。
在一可替代實施例中,IWF 204使用AKA協議來發送詢問。如圖5所示,如果MS 208支持AKA,IWF 204就實現AKA詢問,并且改變認證處理的順序。在該情況下,在認證向量(AV)中提供足以認證用戶的信息,所述用戶比如MS 208。注意到AC 206可能在AV中向IWF 204發送共享秘密(SS)信息。按照本實施例,AV包括SS、詢問和密碼密鑰(CK)。CK用于對MS話務進行加密。
如果IWF 204沒有認證向量(AV)來認證MS 208,IWF 204就發送一AUTHREQ消息以便向AC 206請求AV。AUTHREQ消息包含MS 208的身份,比如IMSI、以及對于AV的請求。AC 206用包含AV的AUTHREQ消息應答。AC由隨機數(RAND)、期望的響應(XRES)、密碼密鑰(CK)和認證標記(AUTN)組成。AC可以在AUTHREQ消息中提供多個AV,因此IWF無須向AC 206請求后續的認證。
如果IWF 204不能從AC 206接收AUTHREQ消息(可能在預定次數的重試后),IWF 204就向WLAN 202發送一RADIUS接入拒絕消息,該消息包含EAP失敗消息,比如在IWF 204和AC 206之間存在網絡問題時。
如果接收到的AUTHREQ不包含AV,IWF 204就向WLAN 202發送包含EAP失敗消息的RADIUS接入拒絕消息。例如,這一情況會在MS 202具有一到期的預訂的情況下出現。
如果IWF 204具有AV,IWF 204就向WLAN 202發送一RADIUS接入詢問消息,該消息包含EAP請求消息,EAP請求消息有一AKA詢問。AKA詢問包含AUTN和RAND。AUTN傳送AC 206證書,并且將由MS 208確認。RAND是對MS 208的詢問,該詢問用于計算認證響應(RES)。MS 208向WLAN 202提供RES。
IWF 204從WLAN 202接收包含EAP響應的RADIUS接入請求消息,所述EAP消息包括CAVE詢問。CAVE詢問包含經由WLAN 202接收的MS 208認證響應(RES)。IWF 204把RES與XRES相比較。對于匹配情況,MS 208被成功認證,IWF 204向WLAN 202發送一RADIUS接入接受消息。這種消息包含EAP成功消息和CK。CK將用于保護WLAN 202中的MS 208話務。如果MS 208未能成功進行認證,IWF 204就向WLAN 202發送包含EAP失敗消息的RADIUS接入拒絕消息。
圖5說明了使用AV的認證過程500。如果IWF 204具有足以在判決菱形502處確認MS 208的AV,過程就繼續到步驟506,否則就繼續到步驟504。在步驟506,IWF 204向WLAN 204發送對于MS 208的RADIUS接入詢問消息。詢問于是就被轉發到MS 208進行處理,然后把一響應提供回WLAN 202(未示出)。IWF 204在步驟510接收RADIUS接入請求消息,并在判決菱形512確定MS認證是否成功。如果認證成功,IWF 204就在步驟514發送一RADIUS接入接受消息,否則IWF 204在步驟516發送一RADIUS接入拒絕消息。
返回到判決菱形502,如果IWF 204沒有AV,IWF就在步驟504向AC 206發送一AUTHREQ消息。在接收到AV時,IWF 204把處理繼續到步驟506,否則處理繼續到步驟516。
圖7說明了適用于在WLAN(未示出)和AC(未示出)間接口的IWF 600,因此它能執行對于兩者間的通信、認證、密鑰交換及其它安全通信所必要的過程。IWF 600包括一WLAN接口單元602,它準備、發送、接收和/或解釋與WLAN間的通信。類似地,IWF 600包括一接口單元604,其準備、發送、接收和/或解釋與AC的通信。IWF 600進一步包括一CAVE過程單元608、EAP過程單元610以及RADIUS過程單元612。IWF 600可包括給定系統中的互通功能所需的任何數量的這種過程單元(未示出)。諸如CAVE過程單元608、EAP過程610和RADIUS過程612等過程單元可以用軟件、硬件、固件或它們的組合來實現。IWF 600內的各個模塊經由通信總線614通信。
本領域的技術人員可以理解,信息和信號可以用多種不同技術和工藝中的任一種來表示。例如,上述說明中可能涉及的數據、指令、命令、信息、信號、比特、碼元和碼片可以用電壓、電流、電磁波、磁場或其粒子、光場或其粒子或它們的任意組合來表示。
本領域的技術人員能進一步理解,結合這里所公開的實施例所描述的各種說明性的邏輯框、模塊和算法步驟可以作為電子硬件、計算機軟件或兩者的組合來實現。為了清楚說明硬件和軟件間的互換性,各種說明性的組件、框圖、模塊、電路和步驟一般按照其功能性進行了闡述。這些功能性究竟作為硬件或軟件來實現取決于整個系統所采用的特定的應用和設計約束。技術人員可能以對于每個特定應用不同的方式來實現所述功能,但這種實現決定不應被解釋為造成背離本發明的范圍。
結合這里所描述的實施例來描述的各種說明性的邏輯框、模塊和算法步驟的實現或執行可以用通用處理器、數字信號處理器(DSP)、應用專用集成電路(ASIC)、現場可編程門陣列(FPGA)或其它可編程邏輯器件、離散門或晶體管邏輯、離散硬件組件或者為執行這里所述功能而設計的任意組合。通用處理器可能是微處理器,然而或者,處理器可以是任何常規的處理器、控制器、微控制器或狀態機。處理器也可能用計算設備的組合來實現,如,DSP和微處理器的組合、多個微處理器、結合DSP內核的一個或多個微處理器或者任意其它這種配置。
結合這里所公開實施例描述的方法或算法的步驟可能直接包含在硬件中、由處理器執行的軟件模塊中或在兩者當中。軟件模塊可能駐留在RAM存儲器、閃存、ROM存儲器、EPROM存儲器、EEPROM存儲器、寄存器、硬盤、可移動盤、CD-ROM或本領域中已知的任何其它形式的存儲媒質中。示例性存儲媒質與處理器耦合,使得處理器可以從存儲媒質讀取信息,或把信息寫入存儲媒質。或者,存儲媒質可以與處理器整合。處理器和存儲媒質可能駐留在ASIC中。ASIC可能駐留在用戶終端中。或者,處理器和存儲媒質可能作為離散組件駐留在用戶終端中。
上述優選實施例的描述使本領域的技術人員能制造或使用本發明。這些實施例的各種修改對于本領域的技術人員來說是顯而易見的,這里定義的一般原理可以被應用于其它實施例中而不使用創造能力。因此,本發明并不限于這里示出的實施例,而要符合與這里揭示的原理和新穎特征一致的最寬泛的范圍。
權利要求
1.一種互通功能IWF裝置,包括處理單元;與所述處理單元耦合的無線局域網WLAN接口單元,其適合與WLAN通信;以及與所述處理單元耦合的接入控制AC接口單元,其適合與蜂窩通信網通信。
2.如權利要求1所述的裝置,其特征在于還包括適用于準備與第一協議相對應的消息的第一協議單元;以及適用于準備與第二協議相對應的消息的第二協議單元。
3.一種把無線局域網WLAN與一通信系統相接的方法,包括為通信系統的用戶從WLAN請求一接入請求;確定所述用戶的認證狀態;以及把表明所述認證狀態的響應提供給WLAN。
4.如權利要求3所述的方法,其特征在于,確定所述用戶的認證狀態還包括向WLAN發送一接入詢問消息;以及從WLAN接收一接入響應。
5.如權利要求4所述的方法,其特征在于,確定所述認證狀態還包括向通信系統發送一認證請求;以及從通信系統接收所述用戶的認證狀態。
6.如權利要求5所述的方法,其特征在于,所述認證請求包括來自WLAN的接入請求。
7.如權利要求5所述的方法,其特征在于還包括從通信系統接收用戶的安全信息;以及響應于所述安全信息為所述用戶產生加密密鑰。
8.如權利要求3所述的方法,其特征在于還包括為所述用戶產生一加密密鑰。
9.一種把無線局域網WLAN與一通信系統相接的裝置,包括用于為通信系統的用戶從WLAN請求一接入請求的裝置;用于確定所述用戶的認證狀態的裝置;以及用于把表示所述認證狀態的響應提供給WLAN的裝置。
全文摘要
用于在無線局域網(WLAN)和通信系統間接口的互通功能(IWF)。IWF可包含足夠的信息來認證用戶到WLAN的接入,或者IWF可需要向通信系統請求認證。在一實施例中,IWF向WLAN發送對于用戶的接入詢問。然后,IWF會把對該詢問的響應傳送到通信系統以供認證。IWF允許WLAN使用通信系統的認證能力來進行本地認證。
文檔編號H04L29/06GK1672368SQ03818430
公開日2005年9月21日 申請日期2003年6月20日 優先權日2002年6月20日
發明者R·T·蘇 申請人:高通股份有限公司