專利名稱:固定網(wǎng)絡(luò)架構(gòu)中的漫游Wi-Fi接入的制作方法
固定網(wǎng)絡(luò)架構(gòu)中的漫游Wi-Fi接入
相關(guān)申請的交叉引用
本申請要求John Kaippallimalil于2007年8月24日提交的標(biāo)題為
"Roaming Wi-Fi Access in Fixed Network Architectures "的美國臨時專利申 請No. 60/957,740和John Kaippallimalil于2008年8月15日提交的標(biāo)題為
"Roaming Wi-Fi Access in Fixed Network Architectures"的美國專禾!j申i青No. 12/192,488的優(yōu)先權(quán)����,并以引用方式將它們?nèi)坎⑷氡疚摹?br>
背景技術(shù):
在諸如因特網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)等固定通信網(wǎng)絡(luò)中���,可以借助諸如Wi-Fi 等無線技術(shù)向移動用戶提供漫游或無線接入。許多用于向移動用戶設(shè)備 (UE)提供對IP網(wǎng)絡(luò)的漫游接入的機(jī)制正在被研究���。其中的一些機(jī)制可以 經(jīng)由家庭網(wǎng)關(guān)(HG)在UE與本地網(wǎng)絡(luò)或家庭網(wǎng)絡(luò)之間建立無線通信��,家 庭網(wǎng)關(guān)(HG)可以是住宅用戶單元��。同樣地����,UE最初建立與HG的"委 托",從而HG與IP網(wǎng)絡(luò)進(jìn)行通信并且在UE與IP網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)通信���。然 而����,當(dāng)UE委托HG時�����,可以在HG或家庭網(wǎng)絡(luò)截取UE與IP網(wǎng)絡(luò)的通信����。
此外,HG負(fù)責(zé)對通信進(jìn)行控制��,例如設(shè)置策略和服務(wù)質(zhì)量(QoS)�, 并且HG還負(fù)責(zé)對通信進(jìn)行計費(fèi),例如對連接或時間使用進(jìn)行計費(fèi)��。然而��, 在某些情況下�,例如,當(dāng)HG不屬于IP網(wǎng)絡(luò)服務(wù)提供商時,由HG負(fù)責(zé)對 通信進(jìn)行控制和計費(fèi)可能對IP網(wǎng)絡(luò)服務(wù)提供商而言是不期望的或無益的����。
發(fā)明內(nèi)容
在一個實(shí)施例中,公開了一種包括節(jié)點(diǎn)的裝置�����,該節(jié)點(diǎn)包括接入控制 器(AC)和認(rèn)證�����、授權(quán)和計費(fèi)(AAA)代理(AAA-P)�����,其中��,所述AC 用于對UE進(jìn)行認(rèn)證管理����,并且其中����,所述AAA-P用于與AAA服務(wù)器交 換與所述UE有關(guān)的認(rèn)證信息。
在另一個實(shí)施例中��,公開了一種包括至少一個處理器的網(wǎng)絡(luò)組件,所
5述至少一個處理器用于實(shí)現(xiàn)一種方法�,該方法包括與HG建立第一隧道,
其中所述HG與UE進(jìn)行無線通信����;以及在所述UE與網(wǎng)絡(luò)接入服務(wù)器 (NAS)之間建立第二隧道。
在另一個實(shí)施例中����,公開了一種包括至少一個處理器的網(wǎng)絡(luò)組件,所 述至少一個處理器用于實(shí)現(xiàn)一種方法�����,該方法包括從AAA中介(AAA-M)
接收成對主密鑰(PMK);以及使用所述PMK來認(rèn)證UE���。
通過下面給出的具體實(shí)施方式
以及附圖����、權(quán)利要求書�����,可以更加清楚 地理解本發(fā)明的這些和其它特征。
為了更好地理解本申請��,現(xiàn)在對附圖和具體實(shí)施方式
進(jìn)行簡要說明�, 在附圖中,相同的附圖標(biāo)記表示相同的部件��。
圖1是固定網(wǎng)絡(luò)漫游接入系統(tǒng)的實(shí)施例的示意圖2是固定網(wǎng)絡(luò)漫游接入系統(tǒng)的另一個實(shí)施例的示意圖3是漫游接入方法的實(shí)施例的協(xié)議圖�;以及
圖4是通用計算機(jī)系統(tǒng)的實(shí)施例的示意圖。
具體實(shí)施例方式
首先應(yīng)該理解����,雖然下文提供了一個或多個實(shí)施例的示例性實(shí)現(xiàn)方式, 但是可以使用任意數(shù)量的當(dāng)前已知技術(shù)或現(xiàn)有技術(shù)來實(shí)現(xiàn)所公開的系統(tǒng)和 /或方法��。本申請決不限于這些示例性實(shí)現(xiàn)方式����、附圖和下文所述的技術(shù)(包 括本文舉例說明并且描述的示例性設(shè)計和實(shí)現(xiàn)方式),而是可以在所附權(quán)利 要求的范圍內(nèi)以及所附權(quán)利要求的等價要件的全部范圍內(nèi)對本申請進(jìn)行修 改�。
本文公開的系統(tǒng)和方法用于UE漫游接入到諸如IP網(wǎng)絡(luò)等固定網(wǎng)絡(luò)。 為了提供漫游接入����,UE使用無線鏈路與位于家庭網(wǎng)絡(luò)中的HG進(jìn)行通信����。 HG耦合到包括IP邊緣設(shè)備的接入提供商網(wǎng)絡(luò)�,IP邊緣設(shè)備可以與IP網(wǎng)絡(luò) 進(jìn)行通信�����。因此����,HG可以經(jīng)由IP邊緣設(shè)備在UE與IP網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)通信。 具體地�,HG可以使用無線鏈路以及與UE共享的第一共享密鑰來與UE進(jìn) 行通信,并且HG可以使用第一隧道與IP邊緣設(shè)備進(jìn)行通信��。此夕卜�����,UE可以使用第二安全隧道和第二共享密鑰來經(jīng)由HG與IP邊緣設(shè)備進(jìn)行通 信����,而無需委托HG。因此�,UE可以使用第二安全隧道來建立對IP網(wǎng)絡(luò)的 漫游接入,而無需將它的通信委托給HG���。這種結(jié)構(gòu)還允許IP邊緣設(shè)備對 第二安全隧道的通信進(jìn)行控制和計費(fèi)����。
圖1示出了固定網(wǎng)絡(luò)漫游接入系統(tǒng)100的實(shí)施例。該固定網(wǎng)絡(luò)漫游接 入系統(tǒng)100可以包括至少一個UE110�����、 HG120��、接入節(jié)點(diǎn)(AN) 130�、 IP 邊緣設(shè)備140、 AAA-M 150�、 AAA服務(wù)器160和IP網(wǎng)絡(luò)170。在一個實(shí)施 例中��,HG120可以是家庭網(wǎng)絡(luò)或家庭網(wǎng)絡(luò)的一部分��,家庭網(wǎng)絡(luò)可以耦合到 包括AN130和IP邊緣設(shè)備140的接入提供商網(wǎng)絡(luò)�����。接著���,接入提供商網(wǎng) 絡(luò)經(jīng)由IP邊緣設(shè)備140耦合到IP網(wǎng)絡(luò)170����。在一些實(shí)施例中����,接入提供 商網(wǎng)絡(luò)也可以包括AAA-M 150。
在一個實(shí)施例中���,UE 110可以是使用無線鏈路180與HG 120通信的 任意用戶移動設(shè)備����、組件或裝置�。例如,UE110可以是蜂窩電話���、個人數(shù) 字助理(PDA)�����、便攜式計算機(jī)或任意其它無線設(shè)備���。UE 110可以包括紅 外端口、藍(lán)牙接口�����、符合IEEE 802.11的無線接口或使UE IIO能夠與HG 120 進(jìn)行無線通信的任意其它無線通信系統(tǒng)。在一個實(shí)施例中���,無線鏈路180 可以是IEEE 802.11鏈路或Wi-Fi鏈路���。在其它實(shí)施例中,無線鏈路180可 以是藍(lán)牙鏈路��、微波存取全球互通(WiMAX)鏈路�、近距離通信(NFC) 鏈路、紅外數(shù)據(jù)協(xié)會(IrDa)鏈路或使用無線技術(shù)建立的任意其它通信鏈 路���。
在一個實(shí)施例中���,HG 120是用于允許UE IIO無線接入到與IP網(wǎng)絡(luò)170 耦合的家庭網(wǎng)絡(luò)或接入提供商網(wǎng)絡(luò)的任意設(shè)備、組件或網(wǎng)絡(luò)�。具體地,HG 120可以包括耦合到路由器或住宅網(wǎng)關(guān)(RG) 124的無線終端點(diǎn)(WTP) 122���。 WTP 122可以是用于與UE 110建立無線鏈路以及在UE 110與諸如 RG124等另一組件之間轉(zhuǎn)發(fā)通信的任意設(shè)備�����、組件或網(wǎng)絡(luò)����。在一個實(shí)施例 中,WTP 122可以是經(jīng)由無線鏈路180與UE 110進(jìn)行通信并且經(jīng)由諸如以 太網(wǎng)鏈路等固定鏈路與RG 124進(jìn)行通信的固定設(shè)備���。WTP 122也可以用于 在UE 110與AAA-M 150之間轉(zhuǎn)發(fā)認(rèn)證信息。對于在HG 120上管理UE 110 接入到家庭網(wǎng)絡(luò)而言����,需要該認(rèn)證信息。
RG 124可以是允許UE 110與所述接入提供商網(wǎng)絡(luò)上的IP邊緣設(shè)備140進(jìn)行通信的任意設(shè)備�����、組件或網(wǎng)絡(luò)��。例如��,RG124可以是IP路由器����, 例如客戶端設(shè)備(CPE)路由器或位于用戶端并且與網(wǎng)絡(luò)進(jìn)行通信的任意 路由器設(shè)備。例如��,RG 124可以是DSL調(diào)制解調(diào)器、線纜調(diào)制解調(diào)器或 機(jī)頂盒�����。在另一個實(shí)施例中����,RG124可以是將Ipv4和/或Ipv6分組轉(zhuǎn)發(fā)到 UE 110并且轉(zhuǎn)發(fā)來自UE 110的Ipv4和/或Ipv6分組的節(jié)點(diǎn)。
RG 124可以經(jīng)由WTP 122與RG 124之間的固定鏈路和WTP 122與 UE110之間的無線鏈路180與UE110交換通信�����。此外�����,RG124可以使用 隧道190與IP邊緣設(shè)備140交換通信����,該隧道190是經(jīng)由AN 130在HG120 與IP邊緣設(shè)備140之間建立的。例如��,隧道190可以是在WTP 122�、RG 124、 AN 130和IP邊緣設(shè)備140之間建立的Wi-Fi漫游虛擬局域網(wǎng)(VLAN)。 隧道190可以用于轉(zhuǎn)發(fā)UE110與IP邊緣設(shè)備140之間的網(wǎng)絡(luò)設(shè)置信息�����, 例如IP地址請求和分配����。
在一個實(shí)施例中,AN 130可以是在HG 120與IP邊緣設(shè)備140之間 傳輸通信的任意設(shè)備�����。例如����,AN130可以是交換機(jī)��、路由器或網(wǎng)橋�����,例如 提供商邊緣網(wǎng)橋(PEB)或提供商核心網(wǎng)橋(PCB)���。 AN130可以位于接入 提供商網(wǎng)絡(luò)上并且AN130可以經(jīng)由諸如以太網(wǎng)鏈路等固定鏈路耦合到HG 120和IP邊緣設(shè)備140����。此外,AN130可以使用隧道190與HG120和IP 邊緣設(shè)備140進(jìn)行通信�。
在一個實(shí)施例中,IP邊緣設(shè)備140可以是在HG120與IP網(wǎng)絡(luò)170之
間轉(zhuǎn)發(fā)通信的任意設(shè)備���。例如��,IP邊緣設(shè)備140是由寬帶論壇或線纜調(diào)制 解調(diào)器終端服務(wù)器(CMTS)所定義的寬帶路由接入服務(wù)器(BRAS)���。 IP 邊緣設(shè)備140可以包括第一網(wǎng)絡(luò)接入服務(wù)器(NAS) 142和第二NAS144。 第一NAS 142和第二NAS 144可以包括網(wǎng)橋�、交換機(jī)、路由器或它們的組 合��。在一些實(shí)施例中��,可以將第一NAS 142和第二NAS 144組合成一個組 件��,例如網(wǎng)橋或路由器�����。例如�,第一NAS142、第二NAS144或這兩者可 以是骨干邊緣網(wǎng)橋(BEB)、 PEB��、 PCB或用戶網(wǎng)絡(luò)接口 (UNI)���?��?商鎿Q地, 第一 NAS 142���、第二 NAS 144或這兩者可以是獨(dú)立的有線節(jié)點(diǎn) (Point-orientedWire-lineNode)����,例如數(shù)字用戶線(DSL)連接或提供商網(wǎng) 絡(luò)邊緣設(shè)備���。
第一NAS 142可以經(jīng)由AN 130耦合到RG 124以及經(jīng)由固定鏈路耦合到IP網(wǎng)絡(luò)170。第一 NAS 142可以使用固定鏈路在IP網(wǎng)絡(luò)170與家庭網(wǎng) 絡(luò)或接入提供商網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)通信�。此外,第一NAS 142可以與AAA服 務(wù)器160交換與家庭網(wǎng)絡(luò)組件或接入提供商網(wǎng)絡(luò)組件有關(guān)的認(rèn)證信息�����?��??以使用會話流182來交換認(rèn)證信息�����,該會話流182是使用遠(yuǎn)程認(rèn)證撥號用 戶服務(wù)(RADIUS)協(xié)議建立的��?����?梢允褂肈IAMETER協(xié)議來代替本文所 述的任意RADIUS協(xié)議實(shí)現(xiàn)方式�����。
第二NAS 144還經(jīng)由固定鏈路耦合到IP網(wǎng)絡(luò)170�,并且第二NAS 144 使用會話流184與AAA-M 150交換認(rèn)證信息。類似于會話流182�,會話流 184也是使用RADIUS或DIAMETER建立的。此外�,第二 NAS 144可以 使用安全隧道192與UE IIO進(jìn)行通信,而不必委托HG120���,可以在認(rèn)證 l正110以及為UE IIO分配IP地址之后建立該安全隧道192���。例如�,安全 隧道192可以是因特網(wǎng)協(xié)議安全(IPsec)����,該因特網(wǎng)協(xié)議安全(IPsec)使 用因特網(wǎng)密鑰交換(IKE)在UE 110與第二NAS 144之間建立安全會話流。
在一些實(shí)施例中�����,固定網(wǎng)絡(luò)漫游接入系統(tǒng)IOO可以包括多個UE 110����, 所述多個UE 110使用對應(yīng)于各個UE 110的多個安全隧道192與第二NAS 144進(jìn)行通信。在其它實(shí)施例中����,IP邊緣設(shè)備140可以包括多個第二NAS 144,所述多個第二 NAS 144使用多個安全隧道192 —對一地與多個UE 110 進(jìn)行通信����。
在一個實(shí)施例中����,AAA-M 150可以是對UE 110接入到HG 120處的家 庭網(wǎng)絡(luò)和接入提供商網(wǎng)絡(luò)進(jìn)行管理并且對UE接入到IP邊緣設(shè)備140處的 IP網(wǎng)絡(luò)170進(jìn)行管理的任意設(shè)備、組件或服務(wù)器��。AAA-M 150包括AC 152 和AAA-P 154。 AC 152可以對UE 110進(jìn)行認(rèn)證管理�。例如,經(jīng)由WTP 122�����, AC 152可以使用無線接入點(diǎn)的控制和配置(CAPWAP)協(xié)議來與UE 110 交換認(rèn)證信息��。具體地���,可以使用CAPWAP,經(jīng)由無線鏈路180在UE110 與WTP 122之間以及經(jīng)由會話流186在WTP 122與AC 152之間交換認(rèn)證 信息c
在其它實(shí)施例中���,AC 152可以使用任意其它適合的管理協(xié)議來交換 認(rèn)證信息。例如�,AC 152可以經(jīng)由DSL鏈路耦合到WTP 122,并且AC 152 可以使用寬帶論壇技術(shù)報告069 (TR-069)協(xié)議來管理轉(zhuǎn)發(fā)的認(rèn)證信息���。 可替換地�,AC152可以經(jīng)由光鏈路耦合到WTP122�,并且AC152可以使
9用光網(wǎng)絡(luò)終端管理和控制接口 (OMCI)協(xié)議或OMCI第二層連接協(xié)議 (OMCI/L2CP)來管理UE110的接入。
AAA-P 154是用于將UE 110的一些認(rèn)證信息轉(zhuǎn)發(fā)或者中繼到AAA服 務(wù)器160的AAA代理�。例如,AAA-M 150可以使用RADIUS或DIAMETER 來與AAA服務(wù)器160建立會話流188����,以便交換認(rèn)證信息�����。此外�����,AAA-P 154可以用于使用會話流184在第二 NAS 144與AAA-M 150之間轉(zhuǎn)發(fā)認(rèn)證 信息��。在一些實(shí)施例中���,AAA-P 154可以用于管理認(rèn)證信息流。例如��, AAA-P 154可以負(fù)責(zé)在多個第二NAS 144與AAA服務(wù)器160之間復(fù)用和 轉(zhuǎn)發(fā)多個消息����。在一些實(shí)施例中,AAA-P 154也可以用于實(shí)施一些與資源 使用和供應(yīng)有關(guān)的策略�。
在一個實(shí)施例中,AAA服務(wù)器160可以是用于實(shí)現(xiàn)AAA協(xié)議的任意 設(shè)備����、組件或服務(wù)器,AAA協(xié)議定義了用于協(xié)議認(rèn)證����、授權(quán)和計費(fèi)的各種 機(jī)制和策略?���?梢允褂肦ADIUS或DIAMETER (會話流188和184)經(jīng)由 AAA-M 150在AAA服務(wù)器160與第二 NAS 144之間轉(zhuǎn)發(fā)一些與管理UE 110接入到IP網(wǎng)絡(luò)170有關(guān)的認(rèn)證信息。此外�����,可以使用RADIUS(會話流 188)和CAPWAP (會話流186)經(jīng)由AAA-M 150在AAA服務(wù)器160與 HG 120之間轉(zhuǎn)發(fā)與管理UE IIO接入到家庭網(wǎng)絡(luò)或接入提供商網(wǎng)絡(luò)有關(guān)的 其它認(rèn)證信息����。
就認(rèn)證而言,AAA服務(wù)器160可以對UE 110聲明的標(biāo)識進(jìn)行驗(yàn)證����。 例如,通過將諸如網(wǎng)絡(luò)地址等數(shù)字標(biāo)識與客戶信息數(shù)據(jù)庫相比對��,AAA服 務(wù)器160可以建立認(rèn)證����。在其它實(shí)施例中����,AAA服務(wù)器160可以將對應(yīng)于 UE110的證書����,例如密碼、 一次性令牌�����、數(shù)字證書或電話號碼與客戶信息 數(shù)據(jù)庫相比對�。
就授權(quán)而言,AAA服務(wù)器160判斷是否可以將特定權(quán)利(例如����,訪問 某些資源)給予UEllO。例如���,AAA服務(wù)器160可以基于UE110的認(rèn)證��、 UE 110請求的特權(quán)��、當(dāng)前系統(tǒng)狀態(tài)或其組合來將具體類型的特權(quán)(包括"無 特權(quán)")給予UE 110���。授權(quán)可以是基于限制的�����,例如,每天定時限制�、物 理位置限制或?qū)E110多次登錄的限制。給予特權(quán)可以包括提供使用特 定類型的服務(wù)�,例如IP地址濾波、地址分配����、路由分配、QoS服務(wù)��、帶寬 控制����、流量管理、到特定端點(diǎn)的隧道建立����、以及加密。就計費(fèi)而言�,AAA服務(wù)器160可以對UE IIO使用的網(wǎng)絡(luò)資源或者分 配給UE110的網(wǎng)絡(luò)資源進(jìn)行跟蹤。該使用信息可以用于管理、規(guī)劃��、計費(fèi) 或其它目的����。在一些實(shí)施例中,AAA服務(wù)器160可以跟蹤實(shí)時計費(fèi)信息�����, IP邊緣設(shè)備140可以在利用或消費(fèi)資源的同時轉(zhuǎn)發(fā)該實(shí)時計費(fèi)信息����。在其 它實(shí)施例中,IP邊緣設(shè)備140可以批處理���、存儲這種計費(fèi)信息�����,并且在稍 后的時刻將這種計費(fèi)信息傳送到AAA服務(wù)器160����。計費(fèi)信息可以包括UE IIO的標(biāo)識����、傳送的服務(wù)的種類�、服務(wù)開始時間和服務(wù)結(jié)束時間�����。
在一個實(shí)施例中��,IP網(wǎng)絡(luò)170可以是與IP邊緣設(shè)備140���、 HG 120和 UE IIO交換IP數(shù)據(jù)分組的任意類型的網(wǎng)絡(luò)。例如�,IP網(wǎng)絡(luò)170可以是分 組交換網(wǎng)絡(luò)(PSN)、內(nèi)聯(lián)網(wǎng)�����、因特網(wǎng)或局域網(wǎng)(LAN)�。 IP網(wǎng)絡(luò)170可以 是以太網(wǎng)傳輸網(wǎng)絡(luò)、骨干網(wǎng)絡(luò)��、接入網(wǎng)絡(luò)�����、光網(wǎng)絡(luò)、有線網(wǎng)絡(luò)�、電氣電子 工程師協(xié)會(IEEE) 802標(biāo)準(zhǔn)網(wǎng)絡(luò)、無線網(wǎng)絡(luò)或任意其它基于IP的網(wǎng)絡(luò)�����。
圖2示出了另一個固定網(wǎng)絡(luò)漫游接入系統(tǒng)200的實(shí)施例����。固定網(wǎng)絡(luò)漫 游接入系統(tǒng)200可以包括至少一個UE210、 HG 220�����、 AN 230�、 IP邊緣設(shè) 備240、路由器邊緣設(shè)備(R邊緣設(shè)備)250��、 AAA服務(wù)器260和IP網(wǎng)絡(luò) 270���。在一個實(shí)施例中�����,HG 220可以是家庭網(wǎng)絡(luò)或家庭網(wǎng)絡(luò)的一部分��,家 庭網(wǎng)絡(luò)可以耦合到包括AN230和IP邊緣設(shè)備240的接入提供商網(wǎng)絡(luò)���。此 外�����,可以將該接入提供商網(wǎng)絡(luò)上的IP邊緣設(shè)備240耦合到IP網(wǎng)絡(luò)270�����。 可以將UE210����、 HG220���、 AN 230、 AAA服務(wù)器260和IP網(wǎng)絡(luò)270配置為 類似于固定網(wǎng)絡(luò)漫游接入系統(tǒng)100的對應(yīng)組件�。此外,在圖2中��,可以將 各種組件之間的會話流280�、 282、 286和288配置為類似于固定網(wǎng)絡(luò)漫游 接入系統(tǒng)100的對應(yīng)會話流��。
此外,IP邊緣設(shè)備240可以包括被配置為類似于第一NAS 142的單個 NAS242�����。同樣地����,可以將IP邊緣設(shè)備240配置為類似于標(biāo)準(zhǔn)或接入提供 商網(wǎng)絡(luò)中的IP邊緣設(shè)備。R邊緣設(shè)備250可以包括被配置為類似于AC 152 的AC 252���、被配置為類似于AAA-P 154的AAA-P254����、以及被配置為類似 于第二 NAS 144的NAS 256����。同樣地,NAS 256與AC 252和AAA-P 254 可以一起被放置在另一個提供商網(wǎng)絡(luò)上����,而不是與IP邊緣設(shè)備240被放置 在同一個提供商網(wǎng)絡(luò)上。例如�,將NAS 242放置在與包括IP邊緣設(shè)備240 的接入提供商網(wǎng)絡(luò)進(jìn)行通信的第二提供商網(wǎng)絡(luò)上。NAS 256可以使用隧道290與HG 220交換通信�,該隧道290是經(jīng)由 AN 230在HG 220與R邊緣設(shè)備250之間建立的�����??梢允褂盟淼?90來轉(zhuǎn) 發(fā)UE 210與IP邊緣設(shè)備140之間的網(wǎng)絡(luò)設(shè)置信息,例如IP地址分配信息���。 在一個實(shí)施例中�����,隧道2卯可以是在WTP 222�、RG 224����、AN 230和NAS 256 之間建立的Wi-Fi漫游虛擬局域網(wǎng)(VLAN)�����。此外�����,NAS 256可以使用安 全隧道292與UE 210交換通信�,而不必委托HG 220��。在一個實(shí)施例中�, 安全隧道292可以是一個IPsec����, IPsec使用IKE經(jīng)由R邊緣設(shè)備250在 UE 210與IP網(wǎng)絡(luò)270之間建立安全通信。
為了在固定或IP網(wǎng)絡(luò)(例如�����,固定網(wǎng)絡(luò)漫游接入系統(tǒng)100或200)中 建立對移動UE的漫游接入���,可以使用CAPWAP協(xié)議來將與UE有關(guān)的一 些認(rèn)證信息從HG轉(zhuǎn)發(fā)到AAA-M���。CAPWAP協(xié)議是在AAA-M與HG之間 的、獨(dú)立于具體無線技術(shù)的互操作協(xié)議����。可以設(shè)計CAPWAP協(xié)議的元素��, 以滿足標(biāo)準(zhǔn)無線技術(shù)的具體要求����?����?梢詫APWAP協(xié)議實(shí)現(xiàn)為適用于特定 的無線技術(shù)���,其中該特定的無線技術(shù)遵從為該技術(shù)定義的綁定要求(binding requirements該綁定可以包括技術(shù)特有的消息的定義和技術(shù)特有的消息元 素的定義。CAPWAP可以支持包括多個HG的局域網(wǎng)�,所述多個HG經(jīng)由 基于IP的連接與AAA-M上的AC進(jìn)行通信。例如��,CAPWAP協(xié)議可以借 助IEEE 802.11綁定來支持包括UE和HG的�、基于IEEE 802.11無線LAN (WLAN)的網(wǎng)絡(luò)。同樣地�,CAPWAP協(xié)議可以使AC能夠在HG上對UE 接入到網(wǎng)絡(luò)進(jìn)行管理。HG可以作為AC控制的接口�����,例如遠(yuǎn)程射頻(RF) 接口�,用于將UE連接到IP網(wǎng)絡(luò),這需要一組動態(tài)的管理和控制功能���。一 般,在私人企業(yè)中使用CAPWAP協(xié)議����,但是如本文所述���,可以在公共領(lǐng)域 中實(shí)施CAPWAP協(xié)議。
在一個實(shí)施例中��,CAPWAP協(xié)議可以支持分離介質(zhì)接入控制(MAC) 操作模式����,在該操作模式中,借助CAPWAP協(xié)議來封裝所有第二層(L2) 的無線數(shù)據(jù)和管理幀�,并且在AC與HG之間交換所有第二層(L2)的無 線數(shù)據(jù)和管理幀。在這種模式中�,可以由HG直接封裝從UE接收的無線 幀并且將其轉(zhuǎn)發(fā)到AC?���?商鎿Q地,CAPWAP協(xié)議可以支持本地MAC操作 模式�,在該模式中,HG對L2的無線管理幀進(jìn)行本地處理�����,然后將其轉(zhuǎn)發(fā) 到AC。因此��,CAPWAP協(xié)議可以集中控制無線網(wǎng)絡(luò)的認(rèn)證和策略執(zhí)行功
12能�����。CAPWAP協(xié)議可以使高級的協(xié)議處理從HG轉(zhuǎn)移到AC���,對于無線控 制和接入的關(guān)鍵應(yīng)用而言����,這為HG留下了時間��。此外�����,CAPWAP協(xié)議可 以提供通用封裝和傳輸機(jī)制�,這使得能夠借助具體的無線綁定將CAPWAP 協(xié)議應(yīng)用于各種接入點(diǎn)類型的技術(shù)。
根據(jù)CAPWAP協(xié)議��,可以傳輸兩種類型的數(shù)據(jù)或有效負(fù)載�,包括 CAPWAP數(shù)據(jù)消息和CAPWAP控制消息。CAPWAP數(shù)據(jù)消息可以封裝轉(zhuǎn) 發(fā)的無線幀��。CAPWAP控制消息可以是在HG與AC之間交換的管理消息����。 可以將CAPWAP數(shù)據(jù)和控制消息分成可使用單獨(dú)端口發(fā)送的分組?����?梢允?用例如IPsec或數(shù)據(jù)報傳輸層安全(DTLS)來加密或者保護(hù)傳輸?shù)腃APWAP 控制消息���、CAPWAP數(shù)據(jù)消息或這兩者�。IPsec包括用于保護(hù)IP通信安全 的一套協(xié)議����,這套協(xié)議通過對數(shù)據(jù)流中的每個IP分組進(jìn)行認(rèn)證或?qū)?shù)據(jù)流 中的每個IP分組進(jìn)行加密,或者同時對數(shù)據(jù)流中的每個IP分組進(jìn)行認(rèn)證 和加密來保護(hù)IP通信的安全����。IPsec還包括用于建立密鑰的協(xié)議。例如�����, 基于本地策略�����,IPsec可以使用IKE協(xié)議來處理協(xié)議和算法的協(xié)商以及生成 加密密鑰和認(rèn)證密鑰,并由此建立安全的IPsec通信會話�����。
此外���,CAPWAP協(xié)議可以允許傳輸擴(kuò)展認(rèn)證協(xié)議(EAP)有效負(fù)載��, 以便建立安全的IPsec通信會話��。EAP可以是在諸如WLAN和點(diǎn)對點(diǎn)連接 等無線網(wǎng)絡(luò)中使用的通用認(rèn)證框架�����。EAP可以為期望的認(rèn)證機(jī)制提供一些 公共的功能和協(xié)商��,又被稱為EAP方法�����,該EAP方法是由IKE協(xié)議定義 的��。例如�����,當(dāng)調(diào)用EAP時����,EAP方法可以提供安全認(rèn)證機(jī)制并且協(xié)商在一 端的AC與另一端的HG和UE之間的安全PMK�。然后,可以使用PMK 來建立安全的IPsec通信會話����。
CAPWAP協(xié)議可以從發(fā)現(xiàn)階段開始,在該發(fā)現(xiàn)階段中����,HG經(jīng)由WTP 發(fā)送發(fā)現(xiàn)請求消息。AC接收該發(fā)現(xiàn)請求消息并且用發(fā)現(xiàn)響應(yīng)消息來響應(yīng)�。 HG接收該發(fā)現(xiàn)響應(yīng)消息,并且作為響應(yīng)�,HG與AC建立安全的IPsec (或 DTLS)通信會話。 一旦HG與AC建立了安全的IPsec通信會話��,則發(fā)生 配置交換�����,在該配置交換中,兩個組件對信息達(dá)成了一致�����。在該交換期間����, HG可以接收配置設(shè)置并且因此能夠進(jìn)行操作。
此外�����,可以使用RADIUS協(xié)議在AAA-M���、 AAA服務(wù)器和IP邊緣設(shè)備 之間交換與UE有關(guān)的一些認(rèn)證信息��。RADIUS可以用于傳輸與UE有關(guān)的認(rèn)證信息�����,例如用戶名稱和密碼����。因此�����,IP邊緣設(shè)備可以創(chuàng)建"接入請求",
該"接入請求"包括多個屬性�,例如UE的用戶名稱、UE的用戶密碼�、IP 邊緣設(shè)備的標(biāo)識(ID)、 UE正接入的端口ID或其組合����。然后�,可以經(jīng)由例 如AAA-M將接入請求轉(zhuǎn)發(fā)到充當(dāng)RADIUS服務(wù)器的AAA服務(wù)器。當(dāng)在 一個時間長度內(nèi)沒有返回響應(yīng)時��,可以多次發(fā)送請求��。
RADIUS服務(wù)器接收該請求并且使用客戶信息數(shù)據(jù)庫來查找在請求中 識別出的UE����。數(shù)據(jù)庫中的UE條目可以包括一個要求列表,必須滿足這一 要求列表才允許l正經(jīng)由IP邊緣設(shè)備接入IP網(wǎng)絡(luò)�。該要求可以包括密碼 的驗(yàn)證、UE被允許接入的IP邊緣設(shè)備或端口����,或其它要求�����。如果沒有滿 足要求或條件����,則RADIUS服務(wù)器發(fā)送用于指示請求無效的接入拒絕響應(yīng)�����。 如果滿足了要求或條件�,則將UE的配置值列表放到接入接受響應(yīng)中。這 些值包括服務(wù)類型����,例如串行線路因特網(wǎng)協(xié)議(SLIP)、點(diǎn)對點(diǎn)協(xié)議(PPP) 或登錄用戶�����、以及傳送服務(wù)所需要的其它值��。對于SLIP和PPP而言�,這包 括諸如IP地址/子網(wǎng)掩碼、以太網(wǎng)MACID、最大傳輸單元(MTU)���、期望 的壓縮���、期望的分組濾波標(biāo)識符、期望的協(xié)議和期望的主機(jī)之類的值��。
圖3示出了漫游接入方法300的實(shí)施例��,該漫游接入方法300允許移 動UE經(jīng)由家庭網(wǎng)絡(luò)上的HG以及接入提供商網(wǎng)絡(luò)上的IP邊緣設(shè)備(或R 邊緣設(shè)備)無線接入到IP網(wǎng)絡(luò)��。具體地����,該方法300可以通過建立與HG 的無線鏈路來使l正漫游接入到IP網(wǎng)絡(luò)��,而不必將它與IP網(wǎng)絡(luò)的通信委托 給HG�。
在該方法300中,HG首先與IP邊緣設(shè)備(或R邊緣設(shè)備)交換認(rèn)證 數(shù)據(jù)���,并由此與IP邊緣設(shè)備建立IP會話302����。同樣地�����,HG可以與諸如 Wi-Fi漫游VLAN等IP邊緣設(shè)備建立隧道304 。在一個實(shí)施例中�����,除了 HG和IP邊緣設(shè)備之外���,隧道304還可以包括與HG和IP邊緣設(shè)備進(jìn)行通 信的AN��。
當(dāng)移動UE在HG附近漫游時���,UE和HG可以建立無線關(guān)聯(lián)或鏈路306, 該無線關(guān)聯(lián)或鏈路306可以是802.11關(guān)聯(lián)�。具體地,UE可以與HG上的 WTP建立無線關(guān)聯(lián)306��。在一個實(shí)施例中�����,在建立了無線關(guān)聯(lián)306之后����, 可以不授權(quán)UE與HG進(jìn)行通信�����。例如�,可以封鎖HG上的到l正的端口���。 HG可以使用無線關(guān)聯(lián)306向UE請求認(rèn)證信息����。例如���,HG可以使用無線關(guān)聯(lián)306將EAP請求308轉(zhuǎn)發(fā)到UE����。接著���,UE利用所請求的認(rèn)證信息來 響應(yīng)HG。例如�����,l正可以使用無線關(guān)聯(lián)306將EAP響應(yīng)310轉(zhuǎn)發(fā)到HG。
當(dāng)HG接收了包括認(rèn)證信息的EAP響應(yīng)310時�,HG將認(rèn)證信息轉(zhuǎn)發(fā) 至ljAAA-M。例如���,HG可以使用CAPWAP與AAA-M交換EAP參數(shù)312�。 EAP參數(shù)312可以包括l正的認(rèn)證信息�����。接著���,AAA-M將認(rèn)證信息轉(zhuǎn)發(fā)到 AAA服務(wù)器��。例如���,AAA-M可以使用RADIUS來與AAA服務(wù)器交換EAP 參數(shù)314, EAP參數(shù)314包括認(rèn)證信息�。
AAA服務(wù)器接收EAP參數(shù)314,并且AAA服務(wù)器使用EAP序列316 對UE進(jìn)行認(rèn)證���。作為EAP序列316的認(rèn)證階段的結(jié)果�����,可以使用例如基 于密鑰的認(rèn)證推導(dǎo)來導(dǎo)出主會話密鑰(MSK)�。例如,在AAA服務(wù)器和 UE中��,在例如用戶初始化期間����,首先提供密鑰。因此����,在認(rèn)證階段期間, UE可以通過利用認(rèn)證信息(EAP響應(yīng)310)進(jìn)行響應(yīng)來向AAA服務(wù)器證 實(shí)它知道或擁有該密鑰���。該認(rèn)證信息包括額外的密鑰資料���,AAA服務(wù)器和 UE兩者都使用該密鑰資料,以便利用特定的算法導(dǎo)出MSK�����。 一旦認(rèn)證成 功�,AAA服務(wù)器使用RADIUS將成功的認(rèn)證應(yīng)答318轉(zhuǎn)發(fā)到AAA-M�,該 認(rèn)證應(yīng)答318包括授權(quán)信息或參數(shù)和MSK����。 AAA-M可以使用MSK導(dǎo)出第 一對主密鑰(PMKl)和第二對主密鑰(PMK2)���。
然后��,AAA-M使用CAPWAP將成功的認(rèn)證應(yīng)答320轉(zhuǎn)發(fā)到HG�����。除 了 PMKl以外��,成功的認(rèn)證應(yīng)答320還包括來自AAA服務(wù)器的授權(quán)參數(shù)�。 接著��,HG使用無線關(guān)聯(lián)306將成功的認(rèn)證應(yīng)答322轉(zhuǎn)發(fā)到UE��。當(dāng)UE在 成功地完成EAP序列316之后而導(dǎo)出MSK時����,l正使用MSK,例如通過 執(zhí)行算法324而導(dǎo)出與AAA-M上的PMKl和PMK2相同的PMKl和 PMK2����。這樣�����,UE可以與HG共享PMK1���。然后,UE和HG使用共享的 PMKl和IEEE 802.11i協(xié)議來實(shí)現(xiàn)四次(4次)握手或交換�����,以便與HG建 立安全的無線鏈路信道326����,例如安全的802.11信道。在一個實(shí)施例中����, UE和HG均可以使用PMKl來導(dǎo)出第一對臨時密鑰(PTK1 ),該第一對臨 時密鑰可用于使用S02.11i4次交換來建立安全無線鏈路信道���。
接著���,UE將IP地址請求328,例如動態(tài)主機(jī)配置協(xié)議(DHCP)請求�����, 轉(zhuǎn)發(fā)到IP邊緣設(shè)備以便獲得用于接入IP網(wǎng)絡(luò)的IP地址�����?�?梢越?jīng)由HG和 隧道304 (Wi-Fi漫游VLAN隧道)將IP地址請求328轉(zhuǎn)發(fā)到IP邊緣設(shè)備�����。
15然后�,為了獲得對UE的授權(quán),IP邊緣設(shè)備使用RADIUS將授權(quán)請求330 轉(zhuǎn)發(fā)到AAA-M���。在一個實(shí)施例中����,IP邊緣設(shè)備將經(jīng)由隧道304接收的任 意授權(quán)請求直接轉(zhuǎn)發(fā)到AAA-M,而無需處理該授權(quán)請求�����。授權(quán)請求330 包括UE連接識別信息��,例如UE的介質(zhì)接入控制(MAC)地址、線路ID�����、 VLANID或其組合�。
AAA-M可以使用連接識別信息來驗(yàn)證l正的標(biāo)識,并且AAA-M可以 授權(quán)UE的連接�。在一個實(shí)施例中,AAA-M可以與AAA服務(wù)器進(jìn)行通信 以識別UE�����。因此�����,AAA-M使用RADIUS將授權(quán)應(yīng)答332轉(zhuǎn)發(fā)到IP邊緣 設(shè)備��。除了 PMK2以外����,授權(quán)應(yīng)答332還包括與UE有關(guān)的連接授權(quán)信息。 這樣���,IP邊緣設(shè)備與UE共享PMK2�。然后,IP邊緣設(shè)備與DHCP服務(wù)器 交換DHCP請求和響應(yīng)334��,并且獲得分配給UE的IP地址�����。此外����,IP邊 緣設(shè)備可以將從AAA-M接收的授權(quán)與分配的IP地址綁定����。接著,IP邊緣 設(shè)備將包括分配的IP地址的DHCP響應(yīng)336轉(zhuǎn)發(fā)到UE�����。
然后�����,IP邊緣設(shè)備使用RADIUS將計費(fèi)開始消息338轉(zhuǎn)發(fā)到AAA-M�。 計費(fèi)開始消息338用于以信號向AAA-M通知通信會話將要在UE與IP 網(wǎng)絡(luò)之間開始。此外,IP邊緣設(shè)備可以利用計費(fèi)開始消息338將分配的IP 地址轉(zhuǎn)發(fā)給AAA-M���。接著��,AAA-M將計費(fèi)開始消息340轉(zhuǎn)發(fā)到AAA服 務(wù)器����,該計費(fèi)開始消息340包括分配的IP����。同樣地,AAA服務(wù)器開始對 UE的漫游接入連接使用進(jìn)行計費(fèi)�����。在一個實(shí)施例中��,IP邊緣設(shè)備可以使用 RADIUS經(jīng)由AAA-M從AAA服務(wù)器接收與UE有關(guān)的計費(fèi)策略信息���,或 者IP邊緣設(shè)備可以使用RADIUS從AAA-M接收與UE有關(guān)的計費(fèi)策略信 息�����。例如�,IP邊緣設(shè)備可以接收除了授權(quán)應(yīng)答332中的連接授權(quán)信息之外 的計費(fèi)策略信息。同樣地�,IP邊緣設(shè)備可以對UE的漫游接入連接使用進(jìn) 行監(jiān)管,而AAA服務(wù)器獨(dú)立地處理連接使用的計費(fèi)���。IP邊緣設(shè)備可以使 用分配的IP地址來識別以及監(jiān)管UE連接使用�����,該分配的IP地址與計費(fèi)策 略信息綁定��。類似地,AAA服務(wù)器可以使用分配的IP地址對UE連接使用 進(jìn)行識別和計費(fèi)��。
當(dāng)UE接收了包括分配的IP的DHCP響應(yīng)336時��,UE和IP邊緣設(shè)備 可以使用IKE建立安全的IP隧道342���,例如EPsec�����。在一個實(shí)施例中���,UE 和IP邊緣設(shè)備均使用共享的PMK2來導(dǎo)出第二對臨時密鑰(PTK2),該第二對臨時密鑰用于建立安全的IP隧道342,而不必委托HG�。
當(dāng)漫游的UE離開HG的附近時,斷開UE與HG之間的安全無線鏈路 信道326���。相應(yīng)地����,終止了對UE的漫游接入連接使用的計費(fèi)以及監(jiān)管�。例 如,HG將安全無線鏈路信道326的斷開通知給IP邊緣設(shè)備�����,然后IP邊緣 設(shè)備刪除或者丟棄UE的授權(quán)和策略信息���,包括PMK2和PTK2�����。此夕卜����,例 如�,IP邊緣設(shè)備或者AAA-M將安全無線鏈路信道326的斷開通知給AAA 服務(wù)器��,并且AAA服務(wù)器停止對連接使用的計費(fèi)��。在一個實(shí)施例中��,停止 在AAA服務(wù)器上對連接使用進(jìn)行計費(fèi)可以將CAPWAP序列觸發(fā)到HG�����, 例如����,通過AAA-M�,這促使HG刪除PMK1和PTK1以及與UE有關(guān)的其 它認(rèn)證信息。
上述的網(wǎng)絡(luò)組件可以用任意的通用網(wǎng)絡(luò)組件來實(shí)現(xiàn)����,例如具有能夠處 理施加在其上的必要工作負(fù)荷的足夠處理功率����、存儲器資源以及網(wǎng)絡(luò)吞吐 量的計算機(jī)或網(wǎng)絡(luò)組件。圖4示出了適用于實(shí)現(xiàn)本文所公開的組件的一個 或多個實(shí)施例的典型通用網(wǎng)絡(luò)組件400��。網(wǎng)絡(luò)組件400包括處理器402 (可 以將處理器402稱為中央處理器單元或CPU),該處理器402與包括輔助存 儲器404�、只讀存儲器(ROM) 406�、隨機(jī)存取存儲器(RAM) 408的存儲 器設(shè)備進(jìn)行通信�,并且該處理器402還與輸入/輸出(I/O)設(shè)備410和網(wǎng)絡(luò) 連接設(shè)備412進(jìn)行通信?���?梢詫⑻幚砥?02實(shí)現(xiàn)為一個或多個CUP芯片, 或者將處理器402實(shí)現(xiàn)為一個或多個專用集成電路(ASIC)的一部分�����。
輔助存儲器404 —般由一個或多個磁盤驅(qū)動器或磁帶機(jī)組成��,并且輔 助存儲器404用于數(shù)據(jù)的非易失性存儲�����,并且如果RAM 408不足以容納全 部工作數(shù)據(jù)���,則將輔助存儲器404用作溢出數(shù)據(jù)存儲設(shè)備�����。當(dāng)選擇執(zhí)行加 載到RAM 408中的程序時����,輔助存儲器404可以用于存儲這種程序。ROM 406用于存儲指令并且還可能存儲在程序執(zhí)行期間讀取的數(shù)據(jù)�����。ROM 406 是非易失性存儲設(shè)備�����,與輔助存儲器404的大存儲容量相比���,ROM406 — 般具有小的存儲容量����。RAM408用于存儲易失性數(shù)據(jù)并且還可能存儲指令��。 訪問ROM 406和RAM 408 —般比訪問輔助存儲器404快���。
盡管本申請已經(jīng)提供了幾個實(shí)施例,但是應(yīng)該理解在不脫離本申請
的精神或范圍的前提下�,可以以許多其它具體的形式來實(shí)現(xiàn)公幵的系統(tǒng)和 方法。應(yīng)該將本發(fā)明的實(shí)例看作是示例性的而非限制性的�����,并且不限于本
17文所給出的細(xì)節(jié)。例如��,可以將各種元件或組件組合或集成在另一個系統(tǒng) 中�,或者可以省略或者不實(shí)現(xiàn)某些特征。
此外��,在不脫離本申請的范圍的前提下�����,可以將各種實(shí)施例中描述并 且示出的離散或獨(dú)立的技術(shù)�、系統(tǒng)、子系統(tǒng)和方法與其它系統(tǒng)�、模塊、技 術(shù)或方法進(jìn)行組合或集成���。本文示出或論述的彼此耦合或直接耦合或通信 的其它部件可以通過一些接口��、設(shè)備或中間組件以電子方式��、機(jī)械方式或 其它方式間接地耦合或通信�。本領(lǐng)域技術(shù)人員可以發(fā)現(xiàn)其它的示例性變化���、 替換和修改并且可以在不脫離本文公幵的精神和范圍的前提下對它們進(jìn)行 改變���、替換和修改�����。
權(quán)利要求
1���、一種裝置,包括包括接入控制器(AC)以及認(rèn)證�、授權(quán)和計費(fèi)(AAA)代理(AAA-P)的節(jié)點(diǎn);其中�,所述AC用于對用戶設(shè)備(UE)進(jìn)行認(rèn)證管理;并且其中�,所述AAA-P用于與AAA服務(wù)器交換與所述UE有關(guān)的認(rèn)證信息。
2����、 如權(quán)利要求1所述的裝置,進(jìn)一步包括與所述節(jié)點(diǎn)進(jìn)行通信的因特 網(wǎng)協(xié)議(IP)邊緣設(shè)備����、以及與所述IP邊緣設(shè)備進(jìn)行通信的接入節(jié)點(diǎn)(AN)。
3���、 如權(quán)利要求2所述的裝置�����,所述IP邊緣設(shè)備與所述AAA服務(wù)器和 所述IP網(wǎng)絡(luò)進(jìn)行通信����,所述節(jié)點(diǎn)與所述AAA服務(wù)器進(jìn)行通信����。
4、 如權(quán)利要求2所述的裝置��,所述節(jié)點(diǎn)和所述AN與家庭網(wǎng)關(guān)(HG) 進(jìn)行通信�����,所述HG與所述UE進(jìn)行無線通信����。
5、 如權(quán)利要求l所述的裝置�����,所述節(jié)點(diǎn)是AAA中介(AAA-M)并且 與包括第一網(wǎng)絡(luò)接入服務(wù)器(NAS)和第二NAS的因特網(wǎng)協(xié)議(IP)邊緣 設(shè)備進(jìn)行通信。
6���、 如權(quán)利要求l所述的裝置����,所述節(jié)點(diǎn)進(jìn)一步包括NAS��。
7�����、 如權(quán)利要求6所述的裝置���,所述節(jié)點(diǎn)是漫游邊緣設(shè)備(R邊緣設(shè)備)�, 并且所述節(jié)點(diǎn)與包括第二 NAS的IP邊緣設(shè)備進(jìn)行通信�。
8、 一種網(wǎng)絡(luò)組件���,包括至少一個處理器��,用于實(shí)現(xiàn)一種方法���,所述方法包括與家庭網(wǎng)關(guān)(HG)建立第一隧道���,其中,所述HG與用戶設(shè)備(UE)進(jìn)行無線通信��;以及在所述UE與網(wǎng)絡(luò)接入服務(wù)器(NAS)之間建立第二隧道�。
9���、 如權(quán)利要求8所述的網(wǎng)絡(luò)組件����,所述第一隧道是Wi-Fi漫游虛擬局 域網(wǎng)(VLAN)��,所述第二隧道是因特網(wǎng)協(xié)議安全(IPsec)隧道����。
10、 如權(quán)利要求8所述的網(wǎng)絡(luò)組件�����,所述方法進(jìn)一步包括 與因特網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)建立通信���;以及控制所述UE與所述IP網(wǎng)絡(luò)之間的會話���。
11��、 如權(quán)利要求10所述的網(wǎng)絡(luò)組件�����,所述方法進(jìn)一步包括對所述會話 進(jìn)行計費(fèi)��。
12���、 如權(quán)利要求8所述的網(wǎng)絡(luò)組件,所述方法進(jìn)一步包括 獲得成對主密鑰(PMK)����,其中,所述PMK用于建立所述第二隧道��。
13���、 如權(quán)利要求12所述的網(wǎng)絡(luò)組件�����,獲得所述PMK包括接收攜帶 在遠(yuǎn)程認(rèn)證撥號用戶服務(wù)(RADIUS)或DIAMETER會話中的所述PMK��。
14����、 如權(quán)利要求8所述的網(wǎng)絡(luò)組件,所述方法進(jìn)一步包括 從認(rèn)證���、授權(quán)和計費(fèi)(AAA)服務(wù)器獲得主會話密鑰(MSK); 導(dǎo)出第一成對主密鑰(PMK)和第二PMK;將所述第一 PMK發(fā)送到所述HG,在所述HG與所述UE之間進(jìn)行認(rèn) 證時使用所述第一PMK;以及使用所述第二 PMK來建立所述第二隧道�����, 其中���,所述網(wǎng)絡(luò)組件是認(rèn)證��、授權(quán)和計費(fèi)中介�。
15�、 如權(quán)利要求14所述的網(wǎng)絡(luò)組件,使用無線接入點(diǎn)的控制和配置 (CAPWAP)來發(fā)送所述第一PMK��。
16��、 一種網(wǎng)絡(luò)組件���,包括至少一個處理器���,用于實(shí)現(xiàn)一種方法���,所述方法包括從認(rèn)證、授權(quán)和計費(fèi)(AAA)中介(AAA-M)接收成對主密鑰 (PMK);以及使用所述PMK來認(rèn)證用戶設(shè)備(UE)�。
17、 如權(quán)利要求16所述的網(wǎng)絡(luò)組件����,從主會話密鑰(MSK)導(dǎo)出所述 P區(qū)。
18��、 如權(quán)利要求16所述的網(wǎng)絡(luò)組件�,認(rèn)證所述UE包括802.11無線鏈 路交換。
19���、 如權(quán)利要求16所述的網(wǎng)絡(luò)組件���,所述方法進(jìn)一步包括 與網(wǎng)絡(luò)接入服務(wù)器(NAS)建立Wi-Fi漫游虛擬局域網(wǎng)(VLAN)。
20�����、 如權(quán)利要求19所述的網(wǎng)絡(luò)組件,所述方法進(jìn)一步包括 允許所述UE與所述NAS之間的通信����,其中,所述通信包括所述UE與所述NAS之間使用第二PMK的因特網(wǎng)密鑰交換(IKE)�����。
全文摘要
一種包括節(jié)點(diǎn)的裝置���,該節(jié)點(diǎn)包括接入控制器(AC)以及認(rèn)證�、授權(quán)和計費(fèi)(AAA)代理(AAA-P)�����,其中����,該AC用于對用戶設(shè)備(UE)進(jìn)行認(rèn)證管理��,并且其中�����,所述AAA-P用于與AAA服務(wù)器交換與所述UE有關(guān)的認(rèn)證信息。包括一種網(wǎng)絡(luò)組件��,該網(wǎng)絡(luò)組件包括至少一個處理器��,所述至少一個處理器用于實(shí)現(xiàn)一種方法���,該方法包括與家庭網(wǎng)關(guān)(HG)建立第一隧道��,其中����,所述HG與UE進(jìn)行無線通信����;以及在所述UE與網(wǎng)絡(luò)接入服務(wù)器(NAS)之間建立第二隧道。還包括一種網(wǎng)路組件���,該網(wǎng)路組件包括至少一個處理器��,所述至少一個處理器用于實(shí)現(xiàn)一種方法���,該方法包括從AAA中介(AAA-M)接收成對主密鑰(PMK);以及使用所述PMK來認(rèn)證UE。
文檔編號H04L9/32GK101578828SQ200880001509
公開日2009年11月11日 申請日期2008年8月25日 優(yōu)先權(quán)日2007年8月24日
發(fā)明者約翰·凱帕利馬利爾 申請人:華為技術(shù)有限公司