專利名稱:移動設(shè)備到ip通信網(wǎng)絡(luò)的接入控制的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及使用IP(因特網(wǎng)協(xié)議)對通信網(wǎng)絡(luò)進行接入控制的領(lǐng)域��。其尤其適合于對這種網(wǎng)絡(luò)的無線接入�����。
背景技術(shù):
實際上��,在通信網(wǎng)絡(luò)的無線接入領(lǐng)域里�����,接入設(shè)備和主機之間沒有預(yù)定的連接���。主機是能夠使用IP協(xié)議和網(wǎng)絡(luò)進行通信的移動設(shè)備�。除其他終端以外���,其可以包括例如GSM�����、UMTS�、CDMA等類型的移動通信終端����、便攜式計算機、個人數(shù)字助理(PDAs)等等����。
由于主機的移動性(有可能接入設(shè)備也是移動的),后者不能像通常在固定的通信網(wǎng)絡(luò)中的情況一樣固定地鏈接到接入設(shè)備����。因此新的主機或者移動到接入設(shè)備的覆蓋區(qū)域的主機必須動態(tài)地連接到這個接入設(shè)備。
動態(tài)連接產(chǎn)生各種類型的涉及到接入控制的問題�。
接入控制要求在各種背景下應(yīng)用���。例如,其可以阻止公司的訪問者使用移動設(shè)備自由地獲得對公司本地網(wǎng)絡(luò)的接入�。阻止惡意的第三方連接到通信網(wǎng)絡(luò)以得到對敏感信息的接入或者危害網(wǎng)絡(luò)的完整性同樣也很重要。
因此����,從接入設(shè)備的出發(fā)點,必須檢查主機的身份以確定他是否確實可以連接到通信網(wǎng)絡(luò)�����,而且如果是這種情況則可以確定其在這個網(wǎng)絡(luò)中的權(quán)限�����。相反地�����,主機也必須檢查他希望連接到的接入設(shè)備的身份���。
IEEE推出的文件P802.1x提出了一種題名為《Draft Standard forPort Based Network Access Contro1(基于端口的網(wǎng)絡(luò)接入控制的標準草案)》的接入控制解決方案�。其定義了一種使用IEEE 802族標準定義的本地網(wǎng)絡(luò)基礎(chǔ)設(shè)施或者局域網(wǎng)(Local-Area Network)的物理接入特性的機制�����。也允許認證以《點對點》模式鏈接到LAN端口的主機���,而如果沒有確認認證�,則阻止在此端口上的接入和傳送�����。
但是��,這個機制帶來了許多缺點��。
首先�,其集中在設(shè)備端口上,因此位于ISO(國際標準化組織)提出的OSI(開放式系統(tǒng)互聯(lián))分層模型的第二層���。這個稱為《數(shù)據(jù)鏈路層》的第二層關(guān)系到通信設(shè)備的接口���。這一層取決于建立連接實現(xiàn)的技術(shù)。
但是���,我們已經(jīng)看到主機和接入設(shè)備可以通過各種技術(shù)連接����。沒有聲明來提供詳盡的清單,我們可以引用移動電話標準例如GSM�、UMTS、以及WiFi����、以太網(wǎng)、藍牙����、Wimax等。
例如��,在IEEE 802.11標準中定義的WiFi標準��、在IEEE 802.15標準中定義的《藍牙》技術(shù)�����、在IEEE 802.13標準中定義的WiMAX(全球微波接入互通)技術(shù)都具有不同的數(shù)據(jù)連接技術(shù)���。同樣地在相同的技術(shù)家族中多個版本也可以共存并帶來不同的數(shù)據(jù)連接技術(shù)�。
因此����,機制P802.1X主要的缺點是需要和系統(tǒng)支持的技術(shù)一樣多的實施方式����。顯然地這帶來了系統(tǒng)中造價的顯著增加并增加了可用資源的使用�。
第二個缺點是其需要專門的認證服務(wù)器����。這個認證服務(wù)器可以通過IETF的RFC 2906定義的AAA(認證授權(quán)計費)協(xié)議和接入設(shè)備進行通信。另外�����,可用使用IETF的RFC 2865定義的RADIUS(遠程撥入用戶認證服務(wù))服務(wù)器����。
同樣地在這個例子中,必須使用專門的服務(wù)器使系統(tǒng)造價很高��,特別是在不同種類的環(huán)境中--因為認證需要的信息的性質(zhì)對于每個類型的服務(wù)器是不同的�����。
發(fā)明內(nèi)容
本發(fā)明將解決這些不同的技術(shù)問題���。其目標是一種接入通信網(wǎng)絡(luò)的接入設(shè)備�,其裝備有無線通信接口,能夠和位于鏈接到這個接口的地理區(qū)域中的移動主機交換數(shù)據(jù)包����;協(xié)商裝置,用于和地理區(qū)域中請求接入到相關(guān)的通信網(wǎng)絡(luò)的移動主機建立數(shù)據(jù)包的交換����;以及傳送裝置,用于在位于通信網(wǎng)絡(luò)中的一個或者多個遠程設(shè)備和移動主機之間傳送形成數(shù)據(jù)流的數(shù)據(jù)包��,該移動主機記錄在接入設(shè)備存儲的經(jīng)授權(quán)的移動主機的列表上�����,其中該傳送裝置不傳送任何到?jīng)]有記錄在授權(quán)移動主機的列表上的移動主機的數(shù)據(jù)包或者任何來自它們的數(shù)據(jù)包����。
本發(fā)明的接入設(shè)備的特征是協(xié)商裝置包括控制裝置,其用于根據(jù)數(shù)據(jù)包的交換來對移動主機進行認證��,并根據(jù)該認證�����,修改經(jīng)授權(quán)的移動主機的列表。
根據(jù)本發(fā)明的實現(xiàn)方式��,后者可以包括下面的特征的一個或者多個·經(jīng)授權(quán)的移動主機的列表是ACL(接入控制列表)類型數(shù)據(jù)庫���,·協(xié)商裝置發(fā)送包含認證狀態(tài)的公告消息到移動主機�,·數(shù)據(jù)包的交換包括請求消息�,其包含的證書包括通過認證必要的和充分的信息����,·提供了控制裝置以取得可信任第三方的公共密鑰,這個信息對于通過認證是必要的和充分的��,其包含由可信任第三方的私人密鑰加密的簡化信息��。
進一步地��,本發(fā)明還提供一種處理過程�,用于控制移動主機通過裝備有無線通信接口的接入設(shè)備接入到通信網(wǎng)絡(luò),當移動主機位于鏈接到接入設(shè)備的地理區(qū)域中的時候���,無線通信接口能夠和移動主機中的一個交換數(shù)據(jù)包�。
處理過程包括在上面提到的接入設(shè)備和移動主機之間的數(shù)據(jù)包交換步驟和傳送步驟,傳送步驟包括當且僅當移動主機已經(jīng)記錄在接入設(shè)備存儲的經(jīng)授權(quán)的移動主機的列表上時��,才通過接入設(shè)備�,在位于通信網(wǎng)絡(luò)中的一個或者多個遠程設(shè)備和移動主機之間傳送形成數(shù)據(jù)流的數(shù)據(jù)包。
該處理過程的特征在于���,在傳送步驟之前�����,接入設(shè)備在該數(shù)據(jù)包交換步驟的基礎(chǔ)上����,對請求接入通信網(wǎng)絡(luò)的每個移動主機進行認證���,并根據(jù)這個認證修改經(jīng)授權(quán)的移動主機的列表�����。
在下面的說明中并參考附圖����,本發(fā)明及其好處將變清楚��。
圖1示出本發(fā)明的環(huán)境。
圖2是根據(jù)本發(fā)明的接入設(shè)備的功能框圖��。
圖3描述的是在移動主機和根據(jù)本發(fā)明的接入設(shè)備之間的數(shù)據(jù)包的交換��。
具體實施例方式
如圖1所示��,接入設(shè)備EA具有無線接口IR�。這個接口鏈接到地理區(qū)域Z(也稱為《覆蓋》),其技術(shù)特征對應(yīng)于所實現(xiàn)的技術(shù)類型���。
對于藍牙(Bluetooth)TM無線接口這可以是幾十米�,對于WiFi可以是幾百米或者對于WiMAX無線接口甚至可以是數(shù)千米���。
這個地理區(qū)域Z在圖1中表現(xiàn)為近似圓形,然而實際上這個區(qū)域或多或少取決于地形的障礙���。
同樣應(yīng)該注意同一個接入設(shè)備EA可以具有多個無線接口從而能夠使用多種無線通信技術(shù)進行傳送��。
接入設(shè)備EA還具有與固定通信網(wǎng)絡(luò)N的有線接口IF�����,一個或者幾個遠程設(shè)備ED鏈接到該通信網(wǎng)絡(luò)��。
移動主機H1���、H2����、H3可以在空間中運動并在給定的時刻處于鏈接到接入設(shè)備EA的無線接口IR的區(qū)域Z中���。如上面所述�����,這些移動主機可以是移動無線通信終端���、個人數(shù)字助理(PDAs)、裝備有無線接口的便攜式計算機��,等等�����。
在圖1的例子中��,移動主機H1和H2在地理區(qū)域Z之中�。移動主機H3處于地理區(qū)域Z之外��,因此不能夠和接入設(shè)備EA進行物理通信�。
當移動主機在地理區(qū)域Z中的時候�,其能夠請求接入通信網(wǎng)絡(luò)N,以除其他功能外和遠程設(shè)備ED進行通信����。遠程設(shè)備ED可以是其希望交換信息的主機(例如電話或者視頻呼叫)。也可以是視頻服務(wù)器或者到其它網(wǎng)絡(luò)的網(wǎng)關(guān)(在圖中未示出)���。
在移動主機和接入設(shè)備EA之間交換的數(shù)據(jù)包可以符合IP協(xié)議并且優(yōu)選地符合協(xié)議IPv6(因特網(wǎng)協(xié)議-版本6)����。在這種情況中��,接入設(shè)備EA包括IP包路由器�����。
已經(jīng)知道將授權(quán)主機的列表加入接入設(shè)備�����。根據(jù)本發(fā)明這個列表應(yīng)該優(yōu)選地符合ACL(接入控制列表)技術(shù)�����。這是授權(quán)可以連接到設(shè)備的主機的標識符的列表���。這個技術(shù)還不是標準化工作的目標但是被設(shè)備制造商廣泛地使用���。
通過在請求接入的移動主機H1、H2和通信網(wǎng)絡(luò)N的接入設(shè)備EA之間交換數(shù)據(jù)包產(chǎn)生接入通信網(wǎng)絡(luò)N的請求�。
如果接入請求成功則將該主機加入授權(quán)移動主機列表,存儲在接入設(shè)備EA中�。
然后接入設(shè)備EA可以在這兩方之間傳送數(shù)據(jù)流。
這些數(shù)據(jù)流作為數(shù)據(jù)包集合出現(xiàn)�����。后者可以為單向的或者雙向的�。
屬于數(shù)據(jù)流的數(shù)據(jù)包包含源地址和目標地址,允許數(shù)據(jù)包通過通信網(wǎng)絡(luò)N進行尋路�����。這個信息包含在明顯區(qū)別于包傳送的有用信息的首部中����。
圖2給出了接入設(shè)備EA可能的功能結(jié)構(gòu)更詳細的表達��。
其具有傳送裝置MT�����,用于允許通信網(wǎng)絡(luò)和移動主機(未示出)之間的數(shù)據(jù)流F�����。在上面提到的兩個方向都可以發(fā)生這個傳送���。
如果移動主機已經(jīng)事先通過認證,這些傳送裝置MT會實際地傳送數(shù)據(jù)流��。
因此在接入設(shè)備EA中提供了授權(quán)移動主機的ACL列表����。所以,如果移動主機不屬于該ACL列表�,傳送裝置MT將不會傳送任何到該主機的數(shù)據(jù)包流或任何來自該主機的數(shù)據(jù)包流。然后該主機將完全從通信網(wǎng)絡(luò)斷開����。相反地��,如果移動主機屬于ACL列表則可以傳送數(shù)據(jù)流F。
根據(jù)本發(fā)明�����,這個授權(quán)移動主機的ACL列表最初是空的�����。在這個狀態(tài)下沒有移動主機能夠和通信網(wǎng)絡(luò)傳送數(shù)據(jù)流�����。
每一個請求接入通信網(wǎng)絡(luò)的移動主機和包含在接入設(shè)備EA中的協(xié)商裝置MN交換數(shù)據(jù)包NS����、NA。
通過這種交換�����,移動主機傳送信息到協(xié)商裝置MN���,使接入設(shè)備EA能夠?qū)ζ溥M行認證�����。
相關(guān)的交換在圖3中以垂直時序圖的形式描述���。時間從頂部開始向下����,而箭頭指示了在移動主機H(在左側(cè))和接入設(shè)備EA(在右側(cè))之間發(fā)送的各種消息的傳送方向��。
在第一個步驟中接入設(shè)備傳送消息RA到主機H��。這個公告消息RA是路由公告����,其允許符合IP協(xié)議的設(shè)備宣布它所在的環(huán)境中它的存在。由于這個RA公告消息以多播模式周期性傳送�,因此可以通知移動主機在其附近存在接入設(shè)備EA(或者更確切地說其正處于鏈接到接入設(shè)備EA的地理區(qū)域Z中)。公告消息RA特別地包括接入設(shè)備EA的路由器所公告的一個或者幾個子網(wǎng)前綴的列表����。
在公告消息RA中發(fā)送的信息的格式和類型在IETF的RFC 2461中定義,其題名為《Neighbor Discovery for IP Version 6(IPv6)(用于IP版本6(IPv6)的鄰居發(fā)現(xiàn))》�,描述了NDP(鄰居發(fā)現(xiàn)協(xié)議)。
然后移動主機H發(fā)送請求消息NS(鄰居請求)����。這種消息符合前面提到的RFC 2461�。
因此�,包含的消息的格式符合ICMPv6標準��,也就是符合TLV形式�����,《類型�����,長度�,值》。
請求消息NS包括報頭并有可能包括一系列選項�。區(qū)別于每個IP包起始的IP報頭,這個報頭是NDP協(xié)議專用的報頭����。NDP報頭包括-針對《鄰居請求消息》類型的NS請求消息的值為《135》的《類型》域。
-值為《0》的《編碼》域�����。
-《校驗和》域,符合ICMPv6標準并允許控制請求消息內(nèi)容的完整性����。
-這個類型的消息不使用的《保留》域。
-《目標地址》域��,指示請求消息的收信方的IP地址����。這是接入設(shè)備EA的IP地址,通過主機H接收到的RA公告消息��,主機H知道該地址�。
-可能的一個或者多個《選項》域。
已經(jīng)定義了多種選項�����。選項《源鏈路層地址》已經(jīng)在RFC 2461中定義�����。
題名為《Secure Neighbor Discovery(安全鄰居發(fā)現(xiàn))(SEND)》的RFC 3971定義了其他選項�����,也就是-《CGA選項》-《RSA簽名選項》RSA(發(fā)明者Rivest、Shamir和Adleman的名字)加密方法的特點是解密和加密使用不同的密鑰��。因此這個方法允許使用《公共》密鑰加密并使用《私人》密鑰解密����。如在RFC 3971中詳細解釋的�,主機H使用自己的其私人密鑰對一系列數(shù)據(jù)(IP地址、請求消息報頭等等)加密從而創(chuàng)建了他的《簽名》���。最后將這個簽名插入到消息結(jié)構(gòu)中的《RSA簽名選項》域����。
《CGA選項》域包括在RFC 3972中定義的CGA參數(shù)數(shù)據(jù)結(jié)構(gòu)�,也就是,特別地是一個修正值(modifier value)�、移動主機H的IPv6地址的子網(wǎng)前綴、一個碰撞計數(shù)值以及根據(jù)CGA方法加密地產(chǎn)生IPv6地址時使用的公共密鑰�����。CGA方法使移動主機H能夠通過計算屬于該主機的公共密鑰的加密雜湊(hash)來產(chǎn)生其IPv6地址的接口標識符�。
根據(jù)本發(fā)明,加入了《證書》選項到NS請求消息�����。
其允許主機H向接入設(shè)備EA的協(xié)商裝置MN傳送信息,使其得到認證�����。
這個證書可以包括由可信任第三方簽名的主機H的標識符��。例如其可以包含它的IP地址�。
證書可以符合ITU-T(國際電信聯(lián)盟)的建議書X.509,題名為《Information technology-Open systems interconnection-TheDirectoryPublic-Key and attribute certificate frameworks(信息技術(shù)——開放系統(tǒng)互連——目錄公共密鑰和特征證書框架》��,并以IETF(互聯(lián)網(wǎng)工程任務(wù)小組)將此建議適用于IP棧的協(xié)議所做的工作作為基礎(chǔ)�。這些工作在各種RFC和《因特網(wǎng)草案》中被具體化并在1995年秋天建立的工作組PKIX(用于公共密鑰基礎(chǔ)設(shè)施(X.509))中重組。PKIX工作組定義的第一份標準化文件是文件RFC 2459��,題名為《Public Key Infrastucture Certificate and CRL Profiles(公共密鑰基礎(chǔ)設(shè)施證書和CRL特征文件)》�����。
這個證書優(yōu)選地使用鏈接到移動主機H的可信任第三方(或者代表《證書授權(quán)》的CA)的私人密鑰進行簽名�����。典型地對證書施加一種算法以提供簡化信息����。然后這個簡化信息可以由可信任第三方通過該私人密鑰加密���,接下來簡化信息和加密的簡化信息在證書在NS請求消息中發(fā)送之前附在證書中的《證書》選項。
例如��,移動主機H在請求消息NS的“證書”選項中傳送至少一個證書�,其包括證書的一個序列號、證書授權(quán)者的名字�����、證書的有效期限���、證書擁有者的名字(可以是個人或者法律實體)、證書擁有者的公共密鑰����、證書授權(quán)者使用的簽名算法的指定以及至少一個授權(quán)者的簽名。一個證書也可以帶有幾個認證授權(quán)者的多個數(shù)字簽名���,其可以例如以樹形或者分層的形式組織���。單個的請求消息NS也可以包含具有上面形式或者相似形式的多個認證以指定多個證書授權(quán)者�����。
一旦接收到請求消息NS���,控制裝置MC就可以驗證后者的內(nèi)容。更特殊地�����,它們可以驗證《CGA選項》和《RSA簽名選項》選項是否符合在RFC 3971中定義的SEND協(xié)議的要求����。當使用了“CGA”選項的時候,控制裝置繼續(xù)驗證主機H的IPv6地址和它的公共密鑰之間的關(guān)聯(lián)���。驗證方法在RFC 3972中描述��。
進一步地���,協(xié)商裝置MN通過控制裝置MC驗證包含在《證書》選項中的一個或多個證書。
為了這個目的�,接入設(shè)備EA有可信任第三方的列表——例如通過網(wǎng)絡(luò)管理員配置——其定義了接入設(shè)備承認的證書授權(quán)者。在接收的請求消息的“證書”選項中��,控制裝置MC搜索屬于該可信任第三方列表的證書授權(quán)者發(fā)放的證書。如果出現(xiàn)了一個���,這就意味著主機H和接入設(shè)備EA識別出了證書授權(quán)者�����。這個共享的可信任第三方的存在對于接入程序的繼續(xù)是強制性的�����。然后�����,讀取對應(yīng)的證書以提取移動主機的公共密鑰。當使用“RSA簽名”選項的時候控制裝置MC使用這個密鑰來驗證附在這個選項中的簽名����。
在《證書》選項以上述的方式簽名的情況中,控制裝置MC使用可信任第三方的公共密鑰解密所加密的簡化信息以檢查證書的有效性��。對所加密簡化信息解密的結(jié)果通常應(yīng)當產(chǎn)生同樣在《證書》選項中傳送的簡化信息�。
如果確實是這種情況,控制裝置MC可以確定證書的確是由可信任第三方簽名����。然后請求消息NS通過認證����。如果不是這種情況�,則其不會通過認證并應(yīng)當被拒絕。
為了解密所加密的簡化信息�,控制裝置MC必須取得移動主機H使用的可信任第三方的公共密鑰。這個公共密鑰對于控制裝置MC應(yīng)該已經(jīng)是可以得到的����。可能還需要訪問在通信網(wǎng)絡(luò)N上可訪問的可信任第三方的數(shù)據(jù)庫���。
則根據(jù)實行的PKI(公共密鑰基礎(chǔ)設(shè)施)可以有多種實施方式���。PKI工作組的工作允許多種選擇,而且目前并沒有領(lǐng)先于其他基礎(chǔ)設(shè)施的可能的基礎(chǔ)設(shè)施�����。
因此�����,本發(fā)明不必受限于這些PKI基礎(chǔ)設(shè)施的任何一種或者上述的例子。
在一個優(yōu)選的實施方式中��,以結(jié)合的方式使用選項“RSA簽名”��、“CGA”和“證書”來認證主機H��。因此����,該證書使得可以知道私人和公共密鑰對的授權(quán)擁有者的名字。數(shù)字簽名可以確定請求消息NS確實是由密鑰對擁有者發(fā)送的�,該擁有者應(yīng)該是唯一知道私人密鑰的人。加密產(chǎn)生的地址可以確定這個IP地址的擁有者和公共密鑰經(jīng)授權(quán)的擁有者是同一個人����。相結(jié)合的檢查建立了在證書中署名的人和移動終端的IP地址之間的可信任的關(guān)聯(lián)。
根據(jù)在請求消息NS中使用的選項�����,存在多種可以造成認證過程失敗并拒絕主機H的情況��。因此����,使用三個選項的結(jié)合,只要控制裝置MC檢測到下面的情況中的任何一種����,認證就會失敗。
·沒有識別出證書��,因為其不是由可信任的第三方授權(quán)����。
·識別出了證書,但是無效���。
·主機H的數(shù)字簽名的驗證失敗��。
·IPv6地址和主機H的公共密鑰之間的關(guān)聯(lián)驗證失敗�。
在本發(fā)明的一個特定實現(xiàn)中����,一旦移動主機H通過認證,控制裝置MC就可以驗證移動主機H的接入權(quán)限�����。
實際上,移動主機H可以通過認證但不一定必須被授予所有的接入權(quán)限�����。在某些情況中���,他的認證可以使其請求被拒絕�����。在如果他已經(jīng)進入《黑列表》的情況中�����,他可以只是被授予受限的接入權(quán)限(接入部分網(wǎng)絡(luò)�,接入網(wǎng)絡(luò)上可用的部分服務(wù)����,等等)。
如果控制裝置MC認證主機H有權(quán)接入通信網(wǎng)絡(luò)�����,則它會修改授權(quán)移動主機的列表�����。這個修改可以包括將主機H的IP地址加入ACL數(shù)據(jù)庫���。因此傳送裝置MT收到的每一個以此IP地址作為源地址的包將被發(fā)送到通信網(wǎng)絡(luò)�����,而傳送裝置MT將每一個以此IP地址作為目標地址的包向主機H發(fā)送�。
進一步優(yōu)選地��,協(xié)商裝置MN返回公告消息NA到移動主機H以通知其請求的狀態(tài)����。
這個公告消息NA可以是在IETF的RFC 2461(第4.4節(jié))中定義的《鄰居請求》類型。這個《鄰居公告》公告消息的格式和上面描述的請求消息NS《鄰居請求》的格式相似�����。
附加的《策略通知選項》選項可以用于傳送請求消息NS發(fā)送的請求的狀態(tài)�。
這個選項可以例如有三個值-《0》,如果接入設(shè)備EA接受了證書�,并且準許接入網(wǎng)絡(luò)。
-《1》�����,如果接入設(shè)備EA不能評估證書,例如因為是未知類型����。
-《2》,如果接入設(shè)備EA拒絕接入請求�����。
通過這種方法���,一旦接收到公告消息NA����,通知主機H其是否應(yīng)當傳送新的證書(在選項是《1》的情況中)或者其包是否將被接入設(shè)備發(fā)送�。根據(jù)這個,它可以決定選擇可能的位于地理區(qū)域Z中的另一接入設(shè)備���,或者通知用戶他被拒絕接入通信網(wǎng)絡(luò)���。
通過使用SEND協(xié)議,接入設(shè)備EA還可以傳送信息使主機H能夠在公告消息NA(鄰居公告)中認證接入設(shè)備EA����。例如�,“RSA簽名”和“CGA”選項可以在相反的方向中以相似的方式使用��。因此��,在兩個方向都可以使用SEND協(xié)議消息進行接入設(shè)備EA和移動主機H的互相認證�。
協(xié)商裝置和控制裝置可以用硬件�、軟件或者硬件和軟件實現(xiàn)。協(xié)商裝置和控制裝置可以有利地通過在至少一種硬件上運行并執(zhí)行所述的功能的至少一種軟件程序如C�、C++或者JAVA實現(xiàn)。程序語言的列表是示例性的而不是窮舉性的����。協(xié)商裝置和控制裝置可以以并置方式或者分布式方式實現(xiàn),也就是借助于幾種硬件單元的協(xié)作執(zhí)行所述的功能��。合適的硬件包括像專用集成電路(ASIC)��、現(xiàn)場可編程門陣列(FPGA)和/或者微處理器這樣的裝置�����。
權(quán)利要求
1.一種接入通信網(wǎng)絡(luò)(N)的接入設(shè)備(EA)���,其裝備有無線通信接口(IR)���,能夠和位于鏈接到所述相關(guān)的接口(IR)的地理區(qū)域(Z)中的移動主機(H1�、H2�、H3)交換數(shù)據(jù)包;協(xié)商裝置(MN)�����,用于和處在所述相關(guān)地理區(qū)域中的請求接入所述通信網(wǎng)絡(luò)的移動主機建立數(shù)據(jù)包(RA���、NS���、NA)的交換,以及傳送裝置(MT)�����,用于在位于所述通信網(wǎng)絡(luò)中的一個或者多個遠程設(shè)備(ED)和所述移動主機之間傳送形成數(shù)據(jù)流(F)的數(shù)據(jù)包��,所述移動主機記錄在所述接入設(shè)備存儲的經(jīng)授權(quán)的移動主機的列表(ACL)上��,其中所述傳送裝置不傳送任何到未記錄在所述經(jīng)授權(quán)的移動主機的列表上的移動主機的數(shù)據(jù)包或者任何來自這些移動主機的數(shù)據(jù)包����,其特征在于�����,這些協(xié)商裝置能夠從所述移動主機接收包含數(shù)字簽名的請求消息(NS)�,該數(shù)字簽名借助于和公共密鑰����、使用所述公共密鑰產(chǎn)生的所述移動主機的IP地址以及由至少一個證書授權(quán)者數(shù)字簽名的證書關(guān)聯(lián)的私人密鑰獲得��,所述證書包括所述公共密鑰以及所述公共和私人密鑰對的擁有者的名字���,所述協(xié)商裝置包括能夠驗證所述證書授權(quán)者的所述數(shù)字簽名��、并且然后使用在所述證書中接收的所述公共密鑰驗證所述數(shù)字簽名和所述移動主機的所述IP地址的控制裝置(MC)���,為了認證所述移動主機,所述控制裝置(MC)能夠根據(jù)所述認證修改所述經(jīng)授權(quán)的移動主機的列表�。
2.根據(jù)權(quán)利要求1的接入設(shè)備,其中所述經(jīng)授權(quán)的移動主機的列表是一個ACL類型數(shù)據(jù)庫���。
3.根據(jù)權(quán)利要求1的接入設(shè)備����,其中所述協(xié)商裝置能夠傳送包含所述相關(guān)的認證狀態(tài)的公告消息(NA)到所述移動主機。
4.根據(jù)權(quán)利要求3的接入設(shè)備����,其中當所述接入設(shè)備承認所述證書的時候,包含在所述公告消息中的所述認證狀態(tài)具有第一值���,當所述接入設(shè)備不能評估所述證書的時候����,包含在所述公告消息中的所述認證狀態(tài)具有第二值����,而當所述接入設(shè)備拒絕所述接入請求的時候,包含在所述公告消息中的所述認證狀態(tài)具有第三值�����。
5.根據(jù)權(quán)利要求1到4的任意一個的接入設(shè)備����,其中所述請求消息包括通過所述證書授權(quán)者的所述私人密鑰加密的簡化信息以及所述非加密的簡化信息,所述控制裝置能夠使用所述證書授權(quán)者的所述公共密鑰來解密所述加密的簡化信息,并將所述解密的簡化信息和所述非加密的簡化信息進行比較����。
6.根據(jù)權(quán)利要求1到4的任意一個的接入設(shè)備,其中所述控制裝置(MC)能夠確定所述至少一個證書授權(quán)者是否是所述接入設(shè)備識別的可信任第三方���,而如果不是則拒絕所述認證��。
7.根據(jù)權(quán)利要求1到4的任意一個的接入設(shè)備����,其中使用根據(jù)RFC3972的CGA方法獲得所述IP地址���。
8.一種處理過程,其用于控制所述移動主機(H1�、H2、H3)通過裝備有無線通信接口(IR)的接入設(shè)備(EA)接入通信網(wǎng)絡(luò)(N)����,當所述移動主機位于鏈接到所述接入設(shè)備(EA)的地理區(qū)域(Z)中的時候,該接口能夠和所述移動主機之一交換數(shù)據(jù)包��,所述處理過程包括在所述接入設(shè)備和所述移動主機之間的數(shù)據(jù)包(RA��、NS、NA)交換步驟���,以及傳送步驟�,其包括�,當且僅當所述移動主機先前已經(jīng)記錄在所述接入設(shè)備存儲的經(jīng)授權(quán)的移動主機的列表(ACL)上時,才通過所述接入設(shè)備�����,在位于所述通信網(wǎng)絡(luò)中的一個或者多個遠程設(shè)備(ED)和所述移動主機之間傳送形成數(shù)據(jù)流(F)的數(shù)據(jù)包�����,所述處理過程的特征在于�,在所述傳送步驟之前,所述接入設(shè)備從請求接入所述通信網(wǎng)絡(luò)的移動主機接收包含數(shù)字簽名的請求消息(NS)�,該數(shù)字簽名借助于和公共密鑰、使用所述公共密鑰產(chǎn)生的IP地址以及由至少一個證書授權(quán)者數(shù)字簽名的證書關(guān)聯(lián)的私人密鑰獲得���,所述證書包括所述公共密鑰以及所述公共和私人密鑰對的擁有者的名字��,使用在所述證書中接收的所述公共密鑰���,通過驗證所述數(shù)字簽名和所述IP地址,繼續(xù)請求接入所述通信網(wǎng)絡(luò)的所述移動主機的認證,并根據(jù)這個認證修改所述經(jīng)授權(quán)的移動主機的列表�����。
全文摘要
本發(fā)明公開了一種到通信網(wǎng)絡(luò)(N)的接入設(shè)備(E
文檔編號H04L29/06GK1984077SQ20061011543
公開日2007年6月20日 申請日期2006年8月9日 優(yōu)先權(quán)日2005年8月10日
發(fā)明者克里斯托夫·普雷吉卡 申請人:阿爾卡特公司