用于獲得認證無線設備的永久身份的方法和網絡節點的制作方法
【技術領域】
[0001]本發明涉及網絡節點中用于獲得請求認證的無線設備的永久設備身份的方法,并且涉及用于執行所述方法的網絡節點。
【背景技術】
[0002]在3GPP系統中,如果無線設備與允許無線通信網絡認證無線設備的訂閱相關聯,則允許無線設備附接并接入無線通信網絡。第三代合作伙伴計劃3GPP無線局域網WLAN交互指定基于可擴展認證協議EAP的網絡接入認證。EAP認證框架為不同的認證方法提供支持。在數據鏈路層(DLL)上直接承載該協議,并且當前尤其在有線和無線局域網中廣泛采用該協議。EAP-SlM(訂戶身份模塊)是一種使用GSMSIM的認證和會話密鑰分發的方法,并且EAP-AKA是一種與EAP-SM類似的方法,區別在于它使用認證和密鑰協商AKA機制。EAP-AKA?(也表示為EAP-A Prime)是EAP-AKA方法的修改,使用將所導出的密鑰與接入網的名稱綁定的一種新的密鑰導出函數。
[0003]EAP-SM、EAP-AKA和EAP-AKA’共享同一框架,并因此具有非常類似的信令流。在EAP術語中,存在參與認證的三個主要實體:
[0004]-請求方-請求認證的實體。以下,對于請求方將同義地使用術語無線設備。
[0005]-認證方-通常使用認證服務器協議(例如RADIUS協議或DIAMETER協議)與認證服務器(如下所述)通信,并在請求方和認證服務器之間中繼消息的前端實體。然而,除RADIUS協議和DIAMETER協議以外的其他協議也在以下公開的范圍內。此外,在以下公開中,認證方還將被描述為網絡節點。
[0006]-認證服務器-負責基于請求方的網絡秘密承載認證和密鑰導出的后端實體。
[0007]W1-Fi被認為是移動寬帶異構網絡的小小區解決方案的關鍵候選。因此,作為有趣的研宄對象出現了 W1-Fi與3GPP無線接入網RAN的整合。為使運營商從將W1-Fi整合到3GPP RAN中所提供的全部優點中獲益,與當前實施方式(其中決定純粹是基于設備的)相比,運營商需要對他們的訂戶的接入選擇的更好的控制。整合(integrat1n)可以包括在小微微基站中組合3GPP和W1-Fi 二者,以用3GPP技術來獲得對W1-Fi的接入,并且反之亦然。可以實現的整合的第二等級包括:基于不同接入中的組合情況的知識,通過在3GPP和W1-Fi之間引入增強的網絡控制業務引導來將W1-Fi接入更緊密地整合到RAN中。該第二等級的整合的目的是:避免設備控制的W1-Fi選擇(例如當W1-Fi連接不好或無線設備正在移動時選擇W1-Fi)的潛在問題,由此給出更好的終端用戶性能并更好地利用組合的W1-Fi和蜂窩無線網絡資源。
[0008]為了實現對網絡控制的Wi_Fi/3GPP接入選擇和服務映射的良好支持,需要將3GPP RAN中的無線設備上下文(用于保持例如3GPP側的無線性能和設備移動性的有關信息)與W1-Fi網絡中的設備上下文鏈接(或連接)。然后這可以使網絡實體/節點能取決于例如無線設備是否是固定的和/或具有與W1-Fi AP (W1-Fi接入點)的良好連接來決定無線設備是否應當接入W1-Fi網絡。該決定可以向無線設備發信號通知或在3GPP/W1-Fi網絡內部執行,例如用于控制UE對W1-Fi網絡的準入。
[0009]已經提出了不同的增強網絡控制的Wi_Fi/3GPP接入選擇的解決方案。在解決方案之一中,在能夠基于每個用戶執行接入選擇之前,網絡側上的邏輯實體從3GPP和W1-Fi系統二者選擇信息。
[0010]為了適合地工作,邏輯實體必須能夠將從兩個系統中選擇的信息進行互相關,以做出接入選擇決定。這意味著邏輯實體需要能夠使用兩個網絡中的合適的標識符來識別W1-Fi和3GPP網絡中的每個特定無線設備。
[0011]可以通過探測EAP消息來滿足該需求,EAP消息包含無線設備的永久身份。該身份包含國際移動訂戶身份(MSI)-對于每個無線設備唯一的3GPP標識符。IMSI在EAP認證期間使用,并且由無線設備經由作為W1-Fi接入點(W1-Fi AP)并且與根據EAP技術的認證方相對應的網絡節點發送。在EAP信令期間,網絡節點可以攔截并提取IMSI。網絡節點還知道無線設備的媒體接入控制(MAC)地址,無線設備的媒體接入控制(MAC)地址充當W1-Fi網絡中的無線設備標識符。IMSI和MAC之間的映射使邏輯實體能夠分別在兩個系統中獨立地跟蹤同一無線設備,并且是使能基于網絡的接入選擇的關鍵需求。
[0012]在EAP-SM、EAP-AKA和EAP-AKA Prime的認證框架內,認證服務器可以為請求方(在這種情況下無線設備)提供化名(pseudonym)和/或快速重新認證身份,意圖在于無線設備使用化名和/或快速重新認證身份而不是它的永久身份。這主要是由于安全原因。然而,如果無線設備使用化名和/或快速重新認證身份而不是它的永久身份,則上述身份映射和兩個系統之間的后續信息互相關可能不成功。
[0013]W1-Fi整合到3GPP網絡中的一個重要方面是需要公共性能監視(PM)系統,其中運營商能夠(例如為了用戶關心目的)監視兩個系統中每個訂戶的性能。在那種情況下,系統必須能夠基于每個訂戶針對PM數據互相關來執行MAC/IMSI映射。然而,在使用化名和/或快速重新認證身份而不是包含MSI的永久身份的情況下,這會非常麻煩。
[0014]因此,如上所述,現有框架的問題與以下情形相關:當網絡節點由于不同的目的需要無線設備的永久身份,但是無線設備卻使用化名和/或快速重新認證身份作為替代。例如,在接入網選擇的情況下,會需要永久身份作為用于從3GPP網絡中找到用戶專用信息的標識符。然而,當前不存在以下方法:當無線設備使用化名,或者針對快速重新認證過程,當無線設備使用快速重新認證身份而不是它的永久身份時,在認證過程中在網絡節點處獲得無線設備的永久身份。
【發明內容】
[0015]根據本公開的本發明的實施例的目的是解決以上概述問題的至少一些,并通過根據所附獨立權利要求的方法和結構以及通過根據從屬權利要求的實施例來實現該目的和其他目的。
[0016]實施例的第一方面提供了一種在網絡節點中用于獲得請求在所述網絡節點處的認證的無線設備的永久設備身份的方法。網絡節點攔截包括請求認證的無線設備的發信號通知的身份的認證消息,并從認證消息中提取發信號通知的身份,其中做出關于發信號通知的身份是否是別名的確定。當設備身份是別名時,操作至少一個其他認證消息,以使得在后續的認證消息中發信號通知永久設備身份。
[0017]可以從后續認證消息中獲取永久設備身份,該后續認證消息可以是來自無線設備的可擴展認證協議EAP響應消息。
[0018]設備身份是否是別名的確定可以包括檢查發信號通知的身份的格式,并且別名可以代表后端認證服務器提供的化名身份或認證服務器提供的重新認證身份。
[0019]此外,永久設備身份可以包括國際移動訂戶身份MSI。
[0020]根據第一實施例,對至少一個其他認證消息的操作包括網絡節點用攔截的認證消息中的假身份來替換別名,由此提供修改后的認證消息。將修改后的認證消息轉發給認證服務器。
[0021]第一實施例的優點在于:它構建了一種可以用最少努力實現且不影響標準化框架的方法。
[0022]根據第二實施例,對至少一個其他認證消息的操作包括:網絡節點在所述其他認證消息中包括請求所述無線設備在所述后續認證消息中呈遞永久設備身份的屬性。與第一實施例類似,第二實施例的優點在于:它構建了一種用最少努力實現的方法,并提供第一實施例的備選。
[0023]根據第三實施例,對至少一個其他認證消息的操作包括:網絡節點在攔截的認證消息中插入針對永久設備身份的請求,由此提供修改后的認證消息。將修改后的認證消息轉發給認證服務器。從認證服務器接收向無線設備查詢永久設備身份的請求,因而網絡節點向無線設備發送針對永久設備身份的請求。
[0024]第三實施例的優點在于,它構建了一種魯棒的解決方案,在這種解決方案中認證服務器和請求方的行為是可預測的,原因在于它們遵循標準化的框架。
[0025]實施例的第二方面提供了一種用于實現所公開的方法實施例的網絡節點。該網絡節點可以是W1-Fi接入點,并且可以與根據EAP術語的認證方相對應。
[0026]本實施例的優點在于:當網絡節點在認證過程期間僅從無線設備接收別名(例如化名或快速重新認證身份時),使網絡節點(例如認證方)能獲得無線設備的永久身份。
【附圖說明】
[0027]現在將參照附圖更詳細地描述實施例,其中:
[0028]圖1示意性示出了移動通信網;
[0029]圖2a示意性示出了 EAP認證的系統架構的示例;
[0030]圖2b示意性示出了 EAP認證架構的示例;
[0031]圖3是示出傳統EAP-SM信令過程的信令圖;
[0032]圖4是示出根據實施例的方法的流程圖;
[0033]圖5a_5c是示出本發明的三個備選實施例的信令圖,以及
[0034]圖6a和6b示意性示出了用于執行根據實施例的網絡節點的不同方面。
【具體實施方式】
[0035]以下,將參照附圖更詳細地描述本發明的實施例。為了解釋而非限制的目的,公開了特定細節(例如具體場景和技術的)以提供透徹的理解。
[0036]應當主要在邏輯意義上理解以下結合附圖描述的多個步驟,同時每個步驟可以包括取決于所使用的實施方式和協議的一個或更多個特定消息的通信。本公開涉及的實施例通常涉及使用EAP-SM、EAP-AKA或EAP-AKA’認證框架的EAP認證領域。然而必須理解的是