專利名稱:無線通信網(wǎng)絡(luò)中的用戶概況����、策略、及pmip密鑰分發(fā)的制作方法
無線通信網(wǎng)絡(luò)中的用戶概況�、策略、及PM IP密鑰分發(fā)本申請是PCT國際申請?zhí)枮镻CT/US2008/057280���、國際申請日為2008年3月17日�、中國國家申請?zhí)枮?00880014415. 7�����、題為“無線通信網(wǎng)絡(luò)中的用戶概況、策略��、及PMIP密鑰分發(fā)”的申請的分案申請���。背景根據(jù)35U. S. C. § 119的優(yōu)先權(quán)要求本專利申請要求2007年3月16日提交且被轉(zhuǎn)讓給本申請受讓人并因而被明確援引納入于此的題為 “3GPP2 Network Evolution User ProfiIePolicy, and PMIPKey(3GPP2網(wǎng)絡(luò)演進(jìn)用戶概況策略�、及PMIP密鑰)”的美國臨時申請No. 60/895�,298的優(yōu)先權(quán)。領(lǐng)域至少一個特征涉及通信系統(tǒng)���,尤其涉及一種用于幫助在諸如超移動寬帶(UMB)網(wǎng)絡(luò)之類的無線網(wǎng)絡(luò)內(nèi)實現(xiàn)移動設(shè)備信息的安全分發(fā)的方法�。背景在3GPP2內(nèi)的各種無線通信網(wǎng)絡(luò)的演進(jìn)中��,一種類型的網(wǎng)絡(luò)架構(gòu)被稱為超移動寬帶(UMB)網(wǎng)絡(luò)并旨在針對下一代應(yīng)用和要求來改善CDMA2000移動電話標(biāo)準(zhǔn)���。UMB分組數(shù)據(jù)網(wǎng)絡(luò)基于運行在下一代無線電系統(tǒng)上的因特網(wǎng)(TCP/IP)組網(wǎng)技術(shù)并旨在變得更高效以及能夠提供比其所取代的諸技術(shù)更多的服務(wù)���。UMB旨在成為第四代(4G)技術(shù)并使用高帶寬、低等待時間��、其上建有諸如語音之類的高級別服務(wù)的基底TCP/IP網(wǎng)絡(luò)��。(與先前幾代相比)大得多的帶寬量以及低得多的等待時間使得能夠使用先前所不可能使用的各種應(yīng)用類型,而同時繼續(xù)投放高質(zhì)量(或更高質(zhì)量)的語音服務(wù)���。UBM網(wǎng)絡(luò)對其稱為演進(jìn)基站(eBS)的網(wǎng)絡(luò)接入點具有集中性較低的管理。例如����,此類接入點可以執(zhí)行許多與CDMA網(wǎng)絡(luò)中的基站(BS)和基站控制器(BSC)相同的功能。由于此分布性較高的網(wǎng)絡(luò)架構(gòu)�����,在試圖維護(hù)接入終端(AT)的網(wǎng)絡(luò)接入標(biāo)識符(NAI)安全時會產(chǎn)生若干問題����。在一些現(xiàn)有技術(shù)網(wǎng)絡(luò)架構(gòu)下,NAI (或者其等效的接入終端標(biāo)識符)由接入終端通過空中向分組數(shù)據(jù)服務(wù)節(jié)點(PDSN)傳送���,該分組服務(wù)節(jié)點(PDSN)將該NAI用于認(rèn)證�、記賬報告���、和/或策略檢索功能��。在空中傳送NAI使得該NAI易被窺探并且不安全���。在UMB網(wǎng)絡(luò)中��,該NAI不是通過空中發(fā)送的�。取而代之的是�,依靠可擴(kuò)展認(rèn)證協(xié)議(EAP)方法,接入終端的NAI可以不為認(rèn)證者所知��。這可被稱為“匿名NAI”�����。然而�,在當(dāng)實現(xiàn)匿名NAI之時如何認(rèn)證AT上產(chǎn)生問題。在UMB網(wǎng)絡(luò)中��,用戶概況及服務(wù)質(zhì)量(QoS)用戶概況是從本地和歸屬認(rèn)證��、授權(quán)和記賬(LAAA/HAAA)經(jīng)由成功的接入認(rèn)證來向會話參考網(wǎng)絡(luò)控制器(SRNC)發(fā)送的�。然而,用戶概況還需被發(fā)送給接入網(wǎng)關(guān)(AGW)(例如�,經(jīng)由IP服務(wù)授權(quán))。由此����,在當(dāng)實現(xiàn)匿名NAI之時如何向AGW發(fā)送用戶概況上存在問題��。如果在UMB網(wǎng)絡(luò)內(nèi)的eBS與AGW之間使用PMIPv4隧道��,那么MN-HA密鑰(例如���,可以是基于每AT的密鑰或者每eBS-AGW對的密鑰)需要被發(fā)送給eBS和AGW雙方����。因此,在如何向SRNC和AGW發(fā)送用于eBS與AGW之間的PMIPv4隧道的MN-HA密鑰上產(chǎn)生問題����。結(jié)果,需要能在UMB網(wǎng)絡(luò)內(nèi)實現(xiàn)匿名NAT時解決這些議題的途徑����。概述提供了一種在無線通信網(wǎng)絡(luò)的認(rèn)證服務(wù)器中操作的用于保護(hù)主用戶密鑰的方法。接收來自無線認(rèn)證對等體的接入認(rèn)證請求�。生成副用戶標(biāo)識符,其中該副用戶密鑰與用于該無線認(rèn)證對等體的主用戶標(biāo)識符相關(guān)聯(lián)����。向與該認(rèn)證對等體相關(guān)聯(lián)的認(rèn)證者提供副用戶標(biāo)識符?��?梢曰谥饔脩魳?biāo)識符來檢索用戶概況信息��?���?上蛘J(rèn)證者發(fā)送該用戶概況信息。通信網(wǎng)絡(luò)可包括超移動寬帶(UMB)兼容網(wǎng)絡(luò)�、WiMAX兼容網(wǎng)絡(luò)、或者長期演進(jìn)(LTE)兼容網(wǎng)絡(luò)中的至少一個��。認(rèn)證服務(wù)器可以是認(rèn)證����、授權(quán)、和記賬實體(AAA)��,而認(rèn)證對等體是無線接入終端(AT)����。認(rèn)證者可以是超移動寬帶(UMB)兼容網(wǎng)絡(luò)中與為無線接入終端(AT)服務(wù)的基站(BS)相關(guān)聯(lián)的會話參考網(wǎng)絡(luò)控制器(SRNC),而主用戶標(biāo)識符是用于無線接入終端的網(wǎng)絡(luò)接入標(biāo)識符(NAI)����。服務(wù)基站可與會話參考網(wǎng)絡(luò)控制器(SRNC)同處。副用戶標(biāo)識符可以是隨機(jī)生成的隨后與主用戶標(biāo)識符相關(guān)聯(lián)的數(shù)字��。該副用戶標(biāo)識符也可以是主用戶標(biāo)識符。該副用戶標(biāo)識符可以是主用戶標(biāo)識符的函數(shù)��。提供了一種包括處理電路的認(rèn)證服務(wù)器��,該處理電路適配成(a)接收來自無線認(rèn)證對等體的接入認(rèn)證請求�;(b)生成與用于該無線認(rèn)證對等體的主用戶標(biāo)識符相關(guān)聯(lián)的副用戶標(biāo)識符;(C)向與該認(rèn)證對等體相關(guān)聯(lián)的認(rèn)證者提供副用戶標(biāo)識符�����;(d)基于主用戶標(biāo)識符檢索用戶概況信息��;(e)向認(rèn)證者提供用戶概況信息����。認(rèn)證服務(wù)器還可包括通信接口����,該通信接口適配成在超移動寬帶(UMB)兼容網(wǎng)絡(luò)、WiMAX兼容網(wǎng)絡(luò)��、或者長期演進(jìn)(LTE)兼容網(wǎng)絡(luò)中的至少一個上進(jìn)行通信���。認(rèn)證服務(wù)器可以是認(rèn)證�����、授權(quán)����、和記賬實體(AAA),而認(rèn)證對等體是無線接入終端(AT)����。認(rèn)證者可以是超移動寬帶(UMB)兼容網(wǎng)絡(luò)中與為無線接入終端(AT)服務(wù)的基站(BS)相關(guān)聯(lián)的會話參考網(wǎng)絡(luò)控制器(SRNC),而主用戶標(biāo)識符是用于無線接入終端的網(wǎng)絡(luò)接入標(biāo)識符(NAI)���。副用戶標(biāo)識符可以是(a)隨機(jī)生成的隨后與主用戶標(biāo)識符相關(guān)聯(lián)的數(shù)字��、(b)主用戶標(biāo)識符�����、和/或(c)主用戶標(biāo)識符的函數(shù)���。結(jié)果,還提供了一種認(rèn)證服務(wù)器���,包括(a)用于接收來自無線認(rèn)證對等體的接入認(rèn)證請求的裝置�����;(b)用于生成與用于該無線認(rèn)證對等體的主用戶標(biāo)識符相關(guān)聯(lián)的副用戶標(biāo)識符的裝置�;(C)用于向與該認(rèn)證對等體相關(guān)聯(lián)的認(rèn)證者提供副用戶標(biāo)識符的裝置;(d)用于基于主用戶標(biāo)識符檢索用戶概況信息的裝置�����;和/或(e)用于向認(rèn)證者提供用戶概況信息的裝置�����。還提供了一種在認(rèn)證服務(wù)器上操作的用于保護(hù)主用戶標(biāo)識符的計算機(jī)程序����,該計算機(jī)程序在由處理器執(zhí)行時使該處理器(a)接收來自無線認(rèn)證對等體的接入認(rèn)證請求�;(b)生成與用于該無線認(rèn)證對等體的主用戶標(biāo)識符相關(guān)聯(lián)的副用戶標(biāo)識符;(C)向與該認(rèn)證對等體相關(guān)聯(lián)的認(rèn)證者提供副用戶標(biāo)識符�����;(d)基于主用戶標(biāo)識符檢索用戶概況信息���;和/或(e)向認(rèn)證者提供用戶概況信息�����。還提供了一種由認(rèn)證服務(wù)器執(zhí)行的用于在通信網(wǎng)絡(luò)內(nèi)分發(fā)用戶概況和/或策略信息的方法�����。對尋求經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點來建立通信的認(rèn)證對等體進(jìn)行認(rèn)證�。檢索與該認(rèn)證對等體相關(guān)聯(lián)的用戶概況信息并將其發(fā)送給幫助實現(xiàn)對該認(rèn)證對等體的通信服務(wù)的網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點。還將該用戶概況信息發(fā)送給幫助為該認(rèn)證對等體實現(xiàn)通信的認(rèn)證者�。認(rèn)證
5服務(wù)器可以是作為通信網(wǎng)絡(luò)的一部分的認(rèn)證、授權(quán)和記賬(AAA)實體�����。在一個示例中����,向網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送用戶概況信息可包括使通信網(wǎng)絡(luò)的認(rèn)證者向該網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送該用戶概況信息。在另一個示例中�,向網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送用戶概況信息包括使認(rèn)證服務(wù)器向該網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送該用戶概況信息。用戶概況信息可包括用戶概況����、用戶策略、對用戶概況的服務(wù)質(zhì)量、對認(rèn)證對等體的通信服務(wù)的服務(wù)質(zhì)量中的至少一個���。補(bǔ)充地��,該方法還可包括(a)從網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點向策略控制和資源功能(PCRF)實體發(fā)送策略請求�����;(b)從PCRF實體向認(rèn)證服務(wù)器發(fā)送主用戶標(biāo)識符請求�����,其中該主用戶標(biāo)識符唯一性地與認(rèn)證對等體相關(guān)聯(lián)�;(c)從認(rèn)證服務(wù)器向PCRF實體發(fā)送答復(fù)�����,該答復(fù)包括所請求的主用戶標(biāo)識符�����;(d)在PCRF實體處使用該主用戶標(biāo)識符為認(rèn)證對等體獲得用戶策略�;和/或(e)從PCRF實體向網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送該用戶策略�����。認(rèn)證者可以是超移動寬帶(UMB)兼容網(wǎng)絡(luò)中與為認(rèn)證對等體服務(wù)的基站(BS)相關(guān)聯(lián)的會話參考網(wǎng)絡(luò)控制器(SRNC),而機(jī)密標(biāo)識符是用于無線接入終端的網(wǎng)絡(luò)接入標(biāo)識符�����。還提供了一種包括處理電路的認(rèn)證服務(wù)器����,該處理電路適配成(a)對尋求經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點來建立通信的認(rèn)證對等體進(jìn)行認(rèn)證;(b)檢索與該認(rèn)證對等體相關(guān)聯(lián)的用戶概況信息��;(C)向幫助實現(xiàn)對該認(rèn)證對等體的通信服務(wù)的網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送用戶概況信息����;(d)向幫助實現(xiàn)為該認(rèn)證對等體實現(xiàn)通信的認(rèn)證者發(fā)送用戶概況信息;(e)接收來自PCRF實體的主用戶標(biāo)識符請求�����,其中該主用戶標(biāo)識符唯一性地與認(rèn)證對等體相關(guān)聯(lián)�����;和/或(f)向PCRF實體發(fā)送答復(fù)�����,該答復(fù)包括所請求的主用戶標(biāo)識符。結(jié)果�,提供了一種認(rèn)證服務(wù)器,包括(a)用于對尋求經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點來建立通信的認(rèn)證對等體進(jìn)行認(rèn)證的裝置��;(b)用于檢索與認(rèn)證對等體相關(guān)聯(lián)的用戶概況信息的裝置�;(C)用于向幫助實現(xiàn)對該認(rèn)證對等體的通信服務(wù)的網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送用戶概況信息的裝置;(d)用于向幫助為該認(rèn)證對等體實現(xiàn)通信的認(rèn)證者發(fā)送用戶概況信息的裝置��;(e)用于接收來自PCRF實體的主用戶標(biāo)識符請求的裝置�����,其中該主用戶標(biāo)識符唯一性地與該認(rèn)證對等體相關(guān)聯(lián)����;和/或(f)用于向PCRF實體發(fā)送答復(fù)的裝置,該答復(fù)包括所請求的主用戶標(biāo)識符���。還提供了一種在認(rèn)證服務(wù)器上操作的用于提供用戶信息的計算機(jī)程序�,該計算機(jī)程序在由處理器執(zhí)行時使該處理器(a)對尋求經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點來建立通信的認(rèn)證對等體進(jìn)行認(rèn)證�����;(b)檢索與認(rèn)證對等體相關(guān)聯(lián)的用戶概況信息���;(c)向幫助實現(xiàn)對該認(rèn)證對等體的通信服務(wù)的網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送用戶概況信息���;(d)向幫助為該認(rèn)證對等體實現(xiàn)通信的認(rèn)證者發(fā)送用戶概況信息;(e)接收來自PCRF實體的主用戶標(biāo)識符請求���,其中該主用戶標(biāo)識符唯一性地與認(rèn)證對等體相關(guān)聯(lián)�����;和/或(f)向PCRF實體發(fā)送答復(fù)����,該答復(fù)包括所請求的主用戶標(biāo)識符�。提供了一種在通信網(wǎng)絡(luò)中操作的方法。經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點向認(rèn)證對等體提供無線網(wǎng)絡(luò)連通性�����。將PMIP密鑰提供給第一網(wǎng)絡(luò)接入節(jié)點與用來向認(rèn)證對等體提供通信的PMIP網(wǎng)絡(luò)節(jié)點之間的PMIP隧道的兩端���。隨后���,向與第一網(wǎng)絡(luò)接入節(jié)點相關(guān)聯(lián)的第一認(rèn)證者提供該PMIP密鑰���。通信可被路由至第一網(wǎng)絡(luò)接入節(jié)點。隨后�,可在PMIP網(wǎng)絡(luò)節(jié)點處接收來自請求實體的重新路由給該認(rèn)證對等體的通信的請求。PMIP網(wǎng)絡(luò)節(jié)點可驗證請求實體是否知道該PMIP密鑰����。在一個示例中,如果請求實體成功證明其知道該PMIP密鑰�����,則通信可被路由至第二網(wǎng)絡(luò)接入節(jié)點�����。在另一個示例中�����,如果請求實體成功證明其知道該PMIP密鑰�,則通信可被路由至第二網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點。重新路由通信可包括在第一 PMIP網(wǎng)絡(luò)節(jié)點與新的服務(wù)網(wǎng)絡(luò)實體之間建立新的代理移動IP隧道����。在一個示例中,PMIP密鑰可在認(rèn)證���、授權(quán)和記賬(AAA)實體或者網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點處生成�����。PMIP網(wǎng)絡(luò)節(jié)點可以是網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點����。還提供了一種包括處理電路的PMIP網(wǎng)絡(luò)節(jié)點���,該處理電路適配成(a)經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點向認(rèn)證對等體提供無線網(wǎng)絡(luò)連通性����;(b)將PMIP密鑰提供給第一網(wǎng)絡(luò)接入節(jié)點與用來向認(rèn)證對等體提供通信的PMIP網(wǎng)絡(luò)節(jié)點之間的PMIP隧道的兩端���;(c)向與第一網(wǎng)絡(luò)接入節(jié)點相關(guān)聯(lián)的第一認(rèn)證者提供該PMIP密鑰����;(d)接收來自請求實體的重新路由該認(rèn)證對等體的通信的請求�����;(e)驗證請求實體是否知道該PMIP密鑰;(f)如果請求實體成功證明其知道該PMIP密鑰���,則將通信重新路由至第二網(wǎng)絡(luò)接入節(jié)點��;和/或(g)如果請求實體成功證明其知道該PMIP密鑰��,則將通信重新路由至第二網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點��。重新路由通信可包括在第一 PMIP網(wǎng)絡(luò)節(jié)點與新的服務(wù)網(wǎng)絡(luò)實體之間建立新的代理移動IP隧道����。結(jié)果��,還提供了一種PMIP網(wǎng)絡(luò)節(jié)點����,包括(a)用于經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點向認(rèn)證對等體提供無線網(wǎng)絡(luò)連通性的裝置;(b)用于將PMIP密鑰提供給第一網(wǎng)絡(luò)接入節(jié)點與用來向認(rèn)證對等體提供通信的PMIP網(wǎng)絡(luò)節(jié)點之間的PMIP隧道的兩端的裝置�����;(c)用于向與第一網(wǎng)絡(luò)接入節(jié)點相關(guān)聯(lián)的第一認(rèn)證者提供該PMIP密鑰的裝置;接收來自請求實體的重新路由該認(rèn)證對等體的通信的請求的裝置����;(d)用于驗證請求實體是否知道該PMIP密鑰的裝置;(e)用于在如果請求實體成功證明其知道該PMIP密鑰的情況下將通信重新路由至第二網(wǎng)絡(luò)接入節(jié)點的裝置��;和/或(f)用于在如果請求實體成功證明其知道該PMIP密鑰的情況下將通信重新路由至第二網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點的裝置�����。重新路由通信可包括在第一 PMIP網(wǎng)絡(luò)節(jié)點與新的服務(wù)網(wǎng)絡(luò)實體之間建立新的代理移動IP隧道���。還提供了一種在PMIP網(wǎng)絡(luò)節(jié)點上操作的計算機(jī)程序,該計算機(jī)程序在由處理器執(zhí)行時使該處理器(a)經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點向認(rèn)證對等體提供無線網(wǎng)絡(luò)連通性���;(b)將PMIP密鑰提供給第一網(wǎng)絡(luò)接入節(jié)點與用來向認(rèn)證對等體提供通信的PMIP網(wǎng)絡(luò)節(jié)點之間的PMIP隧道的兩端�;(c)向與第一網(wǎng)絡(luò)接入節(jié)點相關(guān)聯(lián)的第一認(rèn)證者提供該PMIP密鑰�����;(d)接收來自請求實體的重新路由該認(rèn)證對等體的通信的請求�����;(e)驗證請求實體是否知道該PMIP密鑰;(f)如果請求實體成功證明其知道該PMIP密鑰則將通信重新路由至第二網(wǎng)絡(luò)接入節(jié)點��;和/或(g)如果請求實體成功證明其知道該PMIP密鑰則將通信重新路由至第二網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點���。附圖簡述在結(jié)合附圖理解下面闡述的詳細(xì)描述時���,各種特征、本質(zhì)�、和優(yōu)點會變得明顯,在附圖中�����,相像的附圖標(biāo)記貫穿始終作相應(yīng)標(biāo)識����。圖I是根據(jù)一個示例的UMB網(wǎng)絡(luò)的框圖,在該UMB網(wǎng)絡(luò)中可實現(xiàn)安全NAI���、安全用戶概況和策略分發(fā)�����、和/或PMIP密鑰分發(fā)中的一個或更多個特征�����。圖2是圖解了認(rèn)證方法的流程圖�,藉由該方法,在接入終端(AT)與歸屬認(rèn)證�、授權(quán)和記賬(HAAA)實體之間進(jìn)行網(wǎng)絡(luò)接入認(rèn)證期間不通過空中傳送網(wǎng)絡(luò)接入標(biāo)識符(NAI)。圖3圖解了一種在無線通信網(wǎng)絡(luò)的認(rèn)證服務(wù)器(例如���,HAAA)中操作的用于保護(hù)主用戶密鑰的方法��。圖4是圖解了隨著AT在UMB網(wǎng)絡(luò)中從第一 eBS移到第二 eBS����,如何向該AT提供無線服務(wù)的框圖��。圖5圖解了在分布式SRNC配置中AGW如何可在新的PMIP隧道被建立時從LAAA檢索用戶概況以及如何可向PCRF請求用戶策略�����。圖6圖解了在集中式SRNC配置中AGW如何可在新的PMIP隧道被建立時從LAAA檢索用戶概況以及如何可向PCRF請求用戶策略����。圖7圖解了在分布式SRNC配置中AGW如何可作為認(rèn)證過程的一部分獲得用戶概況信息以及如何可從PCRF獲得用戶策略�。圖8圖解了在分布式SRNC配置中AGW如何可作為認(rèn)證過程的一部分獲得用戶概況信息以及如何可從PCRF獲得用戶策略。圖9圖解了在分布式SRNC配置中LAAA如何可將用戶概況推送給AGW以及該AGW如何可向PCRF請求用戶策略。
圖10圖解了在集中式SRNC配置中LAAA如何可將用戶概況推送給AGW以及該AGW如何可向PCRF請求用戶策略�。圖11圖解了在認(rèn)證服務(wù)器上操作的用于向認(rèn)證者提供用戶概況信息的方法。圖12圖解了在通信網(wǎng)絡(luò)中操作的用于向網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點提供用于認(rèn)證對等體的用戶策略信息的方法�。圖13圖解了用于在通信網(wǎng)絡(luò)中驗證新的隧道請求的方法。圖14圖解了在一些通信網(wǎng)絡(luò)中見到的認(rèn)證架構(gòu)�����。圖15是圖解了認(rèn)證服務(wù)器的框圖��。該認(rèn)證服務(wù)器可包括耦合至網(wǎng)絡(luò)通信接口的處理電路1504�。圖16是圖解了 PMIP網(wǎng)絡(luò)節(jié)點設(shè)備的示例的框圖。詳細(xì)描述在以下說明中�,給出了具體細(xì)節(jié)以提供對諸配置的透徹理解。但是���,本領(lǐng)域普通技術(shù)人員將可理解��,沒有這些具體細(xì)節(jié)也可實踐這些配置���。例如,電路可能以框圖形式示出����,以免因不必要的細(xì)節(jié)而湮沒這些配置����。在其他實例中��,公知的電路�、結(jié)構(gòu)、和技術(shù)可能被詳細(xì)示出以免湮沒這些配置���。還注意到��,這些配置可能是作為被描繪為流程圖�、流圖���、結(jié)構(gòu)圖�����、或框圖的過程來描述的。盡管流程圖可能會把諸操作描述為順序過程��,但是這些操作中有許多可以并行或并發(fā)執(zhí)行�。另外,這些操作的次序可以被重新安排�����。過程在其操作完成時終止。過程可以對應(yīng)于方法���、函數(shù)�、規(guī)程����、子例程、子程序等���。當(dāng)過程對應(yīng)于函數(shù)時��,其終止對應(yīng)于該函數(shù)返回到調(diào)用方函數(shù)或主函數(shù)�����。在一個或更多個示例和/或配置中���,所描述的功能可以在硬件、軟件�、固件、或其任何組合中實現(xiàn)��。如果在軟件中實現(xiàn),則各功能可以作為一條或更多條指令或代碼存儲在計算機(jī)可讀介質(zhì)上或藉其進(jìn)行傳送�����。計算機(jī)可讀介質(zhì)包括計算機(jī)存儲介質(zhì)和通信介質(zhì)兩者�����,后者包括有助于將計算機(jī)程序從一地轉(zhuǎn)移到另一地的任何介質(zhì)����。存儲介質(zhì)可以是能被通用或?qū)S糜嬎銠C(jī)訪問的任何可用介質(zhì)。作為示例而非限定����,這樣的計算機(jī)可讀介質(zhì)可以包括RAM、ROM�����、EEPROM��、CD-ROM或其它光盤存儲�����、磁盤存儲或其它磁存儲設(shè)備��、或能被用來攜帶或存儲指令或數(shù)據(jù)結(jié)構(gòu)形式的合需程序代碼手段且能被通用或?qū)S糜嬎銠C(jī)���、或者通用或?qū)S锰幚砥髟L問的任何其它介質(zhì)�����。任何連接被稱為計算機(jī)可讀介質(zhì)也是正當(dāng)?shù)?。例如���,如果軟件是使用同軸電纜���、光纖電纜、雙絞線�、數(shù)字訂戶線(DSL)、或諸如紅外�����、無線電�����、以及微波之類的無線技術(shù)從web網(wǎng)站、服務(wù)器����、或其它遠(yuǎn)程源傳送而來的,則該同軸電纜�����、光纖電纜���、雙絞線��、DSL�����、或諸如紅外�����、無線電�、以及微波之類的無線技術(shù)就被包括在介質(zhì)的定義之中��。如本文中所使用的碟和盤包括壓縮盤(CD)�、激光盤、光盤����、數(shù)字多功能盤(DVD)、軟碟和藍(lán)光盤�,其中碟往往以磁的方式再現(xiàn)數(shù)據(jù),而盤用激光以光學(xué)方式再現(xiàn)數(shù)據(jù)����。上述的組合也被包括在計算機(jī)可讀介質(zhì)的范圍內(nèi)。不僅如此�,存儲介質(zhì)可以代表用于存儲數(shù)據(jù)的一個或更多個設(shè)備,包括只讀存儲器(ROM)�、隨機(jī)存取存儲器(RAM)、磁盤存儲介質(zhì)�����、光學(xué)存儲介質(zhì)���、閃存設(shè)備�、和/或其他用于存儲信息的機(jī)器可讀介質(zhì)��。此外,諸配置可以由硬件�����、軟件�����、固件���、中間件�����、微碼���、或其任何組合來實現(xiàn)。當(dāng)在軟件��、固件����、中間件、或微碼中實現(xiàn)時��,用于執(zhí)行必要任務(wù)的程序代碼或代碼段可以被存儲在諸如存儲介質(zhì)或其他存儲之類的計算機(jī)可讀介質(zhì)中。處理器可以執(zhí)行這些必要的任務(wù)�����。代碼段可表示規(guī)程�����、函數(shù)����、子程序����、程序、例程�、子例程、模塊���、軟件包��、類���,或是指令、數(shù)據(jù)結(jié)構(gòu)、或程序語句的任何組合���。通過傳遞和/或接收信息���、數(shù)據(jù)、自變量��、參數(shù)����、或存儲器內(nèi)容,一代碼段可被耦合到另一代碼段或硬件電路�。信息、自變量�����、參數(shù)��、數(shù)據(jù)等可以經(jīng)由包括存儲器共享����、消息傳遞、令牌傳遞��、網(wǎng)絡(luò)傳輸?shù)热魏魏线m的手段被傳遞、轉(zhuǎn)發(fā)�����、或傳輸�����。在以下描述中�����,使用某些術(shù)語來描述某些特征��。術(shù)語“接入終端”和“通信設(shè)備”可以被可互換地用來指代移動設(shè)備����、移動電話�、無線終端、和/或能夠在無線網(wǎng)絡(luò)上通信的其他類型的移動或固定通信裝置��。網(wǎng)絡(luò)環(huán)境在本文中所描述的特征可在包括UMB��、WiMAX和LTE兼容網(wǎng)絡(luò)在內(nèi)的各種類型的網(wǎng)絡(luò)中實現(xiàn)��。圖14圖解了在一些通信網(wǎng)絡(luò)中見到的認(rèn)證架構(gòu)。通信網(wǎng)絡(luò)1400(例如���,UMB���、WiMAX、或者長期演進(jìn)(LTE)網(wǎng)絡(luò))可包括多個IP節(jié)點1404和1408以及認(rèn)證對等體1402����、認(rèn)證者1406和認(rèn)證服務(wù)器1410���。在操作期間�,可由認(rèn)證者1406在認(rèn)證服務(wù)器1410的協(xié)助下對認(rèn)證對等體1402(例如,接入終端)進(jìn)行認(rèn)證����。在一個示例中�,認(rèn)證者1406可以是會話參考網(wǎng)絡(luò)控制器(SRNC)��,而認(rèn)證服務(wù)器1410可以是歸屬認(rèn)證�����、授權(quán)和記賬(HAAA)實體����。補(bǔ)充地,IP節(jié)點1404和1408可包括基站��、網(wǎng)關(guān)��、和/或其他網(wǎng)絡(luò)實體���。策略實體1412(例如,PCRF)可存儲用于認(rèn)證對等體1402的策略信息����。在向通信網(wǎng)絡(luò)1400中的認(rèn)證對等體1402提供通信服務(wù)之時,需要用來向認(rèn)證者1406和IP B節(jié)點(網(wǎng)關(guān))雙方分發(fā)用于認(rèn)證對等體1402的用戶概況的機(jī)制或方法��。本例尤為如此,因為認(rèn)證者1406與IP B節(jié)點(網(wǎng)關(guān))1408并不同處�。補(bǔ)充地,當(dāng)偽NAI被用來向通信網(wǎng)絡(luò)標(biāo)識認(rèn)證對等體1402時����,這使得難以從策略實體(例如,歸屬PCRF)向IP節(jié)點1404和1408分發(fā)用戶策略�����。補(bǔ)充地����,要在需要建立PMIP隧道的兩個節(jié)點之間生成并分發(fā)PMIP密鑰也是成問題的。例如�,在UMB網(wǎng)絡(luò)中,PMIP密鑰可被分發(fā)給基站和網(wǎng)關(guān)或者網(wǎng)關(guān)和本地移動性錨(LMA)�����。
雖然本文中的各種示例可能是從UMB網(wǎng)絡(luò)的觀點來解說的��,但是本文中所描述的特征可適用于諸如舉例而言WiMAX和LTE之類的其他類型的網(wǎng)絡(luò)�����。圖I是根據(jù)一個示例的UMB網(wǎng)絡(luò)的框圖,在該UMB網(wǎng)絡(luò)中可實現(xiàn)安全NAI�����、用戶概況和策略分發(fā)�、和/或PMIP密鑰分發(fā)中的一個或更多個特征。UMB網(wǎng)絡(luò)可使用不依賴諸如基站控制器(BSC)之類的集中式實體來協(xié)調(diào)跨UMB的演進(jìn)基站(eBS)的連接的平坦架構(gòu)����。eBS可將傳統(tǒng)的基站、BSC的功能以及分組服務(wù)節(jié)點(PDSN)的一些功能組合到單個節(jié)點中���,以使得UMB網(wǎng)絡(luò)的部署變得更簡單�����。由于組件的數(shù)目減少了(與現(xiàn)有技術(shù)中的網(wǎng)絡(luò)相比),因此UMB網(wǎng)絡(luò)可以更可靠��、更靈活��、更易于部署和/或運行成本更低�����。例如,在傳統(tǒng)網(wǎng)絡(luò)中��,BS���、BSC��、BSC����、PDSN和移動IP歸屬代理(HA)全都協(xié)作以服務(wù)用戶話務(wù)�。UMB網(wǎng)絡(luò)重用核心網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的絕大部分但將諸功能合并到較少的網(wǎng)絡(luò)組件中。將這些功能組合成較少的節(jié)點減少了等待時間���,降低了資本和維護(hù)成本��,并減小了節(jié)點之間用以投遞端對端QoS的交互的復(fù)雜性�����。此示例圖解了 UMB接入網(wǎng)絡(luò)102和服務(wù)網(wǎng)絡(luò)113如何可在重用核心網(wǎng)絡(luò)基礎(chǔ)設(shè)施(例如�����,歸屬網(wǎng)絡(luò)103)時向多個接入終端AT 106�、108、110�����、122(例如����,認(rèn)證對等體)提供無線網(wǎng)絡(luò)接入。服務(wù)網(wǎng)絡(luò)113可以是用于AT 106�����、108���、110��、122的“歸屬”網(wǎng)絡(luò)�,但這些AT也可以漫游或者訪問其他網(wǎng)絡(luò)并從這樣的其他網(wǎng)絡(luò)獲得無線網(wǎng)絡(luò)連通性�。在此示例中,UMB接入網(wǎng)絡(luò)102包括允許一個或更多個接入終端(AT) 106����、108和110與服務(wù)網(wǎng)絡(luò)113和歸屬網(wǎng)絡(luò)103連接的第一 eBS 104和第二 eBS 107 (這些eBS被寬泛地稱為“網(wǎng)絡(luò)接入節(jié)點”)。第一 eBS 104可耦合至第一會話參考網(wǎng)絡(luò)控制器(SRNC) 114(其被寬泛地稱為“認(rèn)證者”)以及服務(wù)網(wǎng)絡(luò)113中的第一接入網(wǎng)關(guān)(AGW) 112 (其被寬泛地稱為“網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點”)���,該服務(wù)網(wǎng)絡(luò)113被耦合至歸屬網(wǎng)絡(luò)基礎(chǔ)設(shè)施103�����。類似地���,第二 eBS 107可耦合至第二 SRNC 109以及第一 AGW 112。服務(wù)網(wǎng)絡(luò)113可包括耦合至本地認(rèn)證�����、授權(quán)和記賬(LAAA) 124的AGW-a 112和AGW_b 120以及訪問策略控制和資源功能(vPCRF) 132以幫助為諸eBS和諸AT實現(xiàn)通信和/或連通性��。歸屬網(wǎng)絡(luò)103可包括歸屬代理(HA) 126�����、歸屬AAA(HAAA) 128以及歸屬PCRF (hPCRF) 130�����。補(bǔ)充地����,其他接入網(wǎng)絡(luò)105也可被耦合至HA126和/或LAAA 124以向諸接入終端提供無線網(wǎng)絡(luò)連通性��。在各種實現(xiàn)中��,UMB接入網(wǎng)絡(luò)102可包括可向其他AT 122提供無線網(wǎng)絡(luò)連通性的其他eBS 116和117���、SRNC 118以及AGW 120。網(wǎng)絡(luò)102�、113、105和/或103旨在作為在其中本文中所描述的一個或更多個新穎特征可工作的通信系統(tǒng)的示例���。然而�,在這些網(wǎng)絡(luò)中的諸設(shè)備和/或那些設(shè)備的功能性可位于所示的其他網(wǎng)絡(luò)中(即不同的網(wǎng)絡(luò)中)��,而不脫離本文中所描述的操作和特征��。根據(jù)各種示例�,AT 106、108����、110和/或122可以是無線通信設(shè)備、移動電話���、無線終端�����、以及支持經(jīng)由UMB網(wǎng)絡(luò)的無線的無線電連通性的其他類型的移動和/或無線設(shè)備�。eBS 104�、107 和 116 支持 UMB 空中接口。eBS 104����、107 和 / 或 116 可包括 UMB 物理和/或MAC協(xié)議并可執(zhí)行無線電資源管理、無線電信道管理�、層2密文編譯和/或IP頭壓縮(例如,R0HC)���。AGff 112和/或120可向歸屬網(wǎng)絡(luò)103提供層3IP連通性�����。AGW 112和/或120可包括諸如認(rèn)證��、空閑狀態(tài)緩沖��、和/或代理移動IP客戶機(jī)之類的各種功能�。例如,AGff 112和/或120可包括IP地址管理����、用于MIPv4的區(qū)外代理、DHCP中繼���、代理移動IP(PMIP)客戶機(jī)���、IP分組分類/管轄、EAP認(rèn)證者和/或AAA客戶機(jī)����。SRNC 114、109和118可控制包括會話信息存儲���、尋呼功能����、以及位置管理在內(nèi)的各種功能以支持無線電資源控制����。SRNC功能可包括例如,(a)空中接口會話信息存儲�、(b)尋呼控制器���、(c)位置管理、和/或(d)針對AT的EAP認(rèn)證者�。第一 SRNC 114可維護(hù)關(guān)于AT 106和108的無線電接入專有信息,而第二 SRNC 107可維護(hù)關(guān)于AT 110的無線接入專有信息��。SRNC可負(fù)責(zé)在AT空閑時維護(hù)會話參考(例如�����,關(guān)于商定的空中接口上下文的會話存儲點)�����、支持空閑狀態(tài)管理����、以及提供尋呼控制功能����。SRNC還可負(fù)責(zé)對AT的接入認(rèn)證。SRNC功能可由eBS主存或者與eBS同處�����,或者可位于單獨的(非無線電的)實體中。注意�,SRNC既可實現(xiàn)在集中式配置中也可實現(xiàn)在分布式配置中。在集中式配置中�,單個SRNC 118與若干eBS 116和117以及AGW 120連接。在分布式配置中���,每一 eBS包括SRNC�����。對歸屬網(wǎng)絡(luò)103的認(rèn)證���、授權(quán)和記賬(AAA)服務(wù)可在歸屬代理126、本地AAA(LAAA) 124 以及歸屬 AAA(HAAA) 128 之間分配�。HAAA 128 可負(fù)責(zé)與 AT 106、108��、110 和 /或112對網(wǎng)絡(luò)資源的使用相關(guān)聯(lián)的認(rèn)證�、授權(quán)和記賬。歸屬代理(HA) 126可提供支持例如客戶移動IP(CMIP)和/或代理移動IP(PMIP)并且還可幫助實現(xiàn)技術(shù)間移動性的移動性解決方案�。策略控制和資源功能(PCRF)可存儲和分發(fā)用于AT 106、108��、110和/或122的策略。在一個實現(xiàn)中�����,歸屬PCRF (hPCRF) 130可負(fù)責(zé)歸屬網(wǎng)絡(luò)策略�,而訪問PCRF (vPCRF)可負(fù)責(zé)訪問網(wǎng)絡(luò)策略。hPCRF 130和VPCRF132分別向AGW 112和120提供本地和訪問規(guī)則�����。這些規(guī)則可包括例如�����,(a)對對屬于服務(wù)數(shù)據(jù)流的分組的檢測�、(b)提供對服務(wù)數(shù)據(jù)流的策略控制�����、和/或(c)提供對服務(wù)數(shù)據(jù)流適用的收費參數(shù)����。保護(hù)匿名網(wǎng)絡(luò)接入標(biāo)識符在諸如高速率分組數(shù)據(jù)(HRPD)網(wǎng)絡(luò)之類的現(xiàn)有技術(shù)網(wǎng)絡(luò)下,接入終端AT在認(rèn)證過程期間通過空中發(fā)送其網(wǎng)絡(luò)接入標(biāo)識符(NAI)��。此類空中傳輸可能將NAI曝露給第三方并且危及通信的安全����。補(bǔ)充地����,該NAI可能為H)SN所知以用于例如進(jìn)行賬戶報告以及從PCRF檢索策略���。圖2是圖解了一種認(rèn)證方法的流程圖����,藉由該方法�,在接入終端(AT)與歸屬認(rèn)證、授權(quán)和記賬(HAAA)實體之間進(jìn)行網(wǎng)絡(luò)接入認(rèn)證期間不通過空中傳送網(wǎng)絡(luò)接入標(biāo)識符(NAI)��。例如����,在初始訂閱期間,AT 202和HAAA 216雙方都可獲得與該AT 202相關(guān)聯(lián)的NAI0此NAI可被存儲在例如AT 202處的訂戶身份模塊(SM)卡中并且為HAAA 216所知�。在一些實現(xiàn)中,在初始訂閱過程期間還可獲得偽NAI��。該偽NAI或可由HAAA 216或可由AT202生成并為HAAA 216和AT 202雙方所知��。該偽NAI可與用于AT 202的NAI相關(guān)聯(lián),以使得HAAA 216和AT 202雙方都能在后續(xù)的接入認(rèn)證過程期間使用它���。為了與服務(wù)eBS 204建立通信��,AT 202可建立UMB會話224��。AT隨后可經(jīng)由eBS204向HAAA 216發(fā)送接入認(rèn)證請求226a和226b���。接入認(rèn)證請求226可在UMB上的可擴(kuò)展認(rèn)證協(xié)議(EAP)(或者其他某個安全認(rèn)證協(xié)議)中被發(fā)送給eBS 204并且隨后在AAA協(xié)議上的EAP中被發(fā)送給HAAA 216。認(rèn)證請求226可包括偽NAI (例如���,在初始訂閱期間獲得)��,以使得請求方AT 202可為認(rèn)證目的由HAAA 216標(biāo)識。在未從HAAA獲得偽NAI的其他實現(xiàn)中���,AT 202可在認(rèn)證請求226中發(fā)送真NAI�����。然而���,這僅在第一次執(zhí)行,并且后續(xù)可以使用偽NAI (例如,由HAAA 216提供)��,藉此限制通過空中傳輸真NAI����。
HAAA 216生成用戶ID,其可將該用戶ID與NAI或者請求方AT 228相關(guān)聯(lián)���。例如�����,該用戶ID可以是由HAAA生成的隨機(jī)數(shù)��、或者可以(至少部分地)是NAI的函數(shù)���、或者(在一些實現(xiàn)中)它可以是NAI。HAAA 216還可基于NAI檢索用于請求方AT 202的用戶概況以及QoS用戶概況(例如���,從hPCRF 214或vPCRF 208檢索)�。在一個示例中��,用戶概況和QoS用戶概況可定義與請求方AT 202相關(guān)聯(lián)的服務(wù)類型�、服務(wù)計劃��、服務(wù)限制等���。在一些實現(xiàn)中,HAAA 216還可生成新的偽NAI����,后者可由其發(fā)送給AT 202以被用在后續(xù)的認(rèn)證請求中。成功接入認(rèn)證消息232可隨后被發(fā)送給LAAA 210��,該消息232可包括用戶ID���、用戶概況���、QoS用戶概況,并且(可能)包括新的偽NAI���。LAAA210可進(jìn)而將該用戶ID、用戶概況和QoS用戶概況����、以及PMIP MN-HA密鑰轉(zhuǎn)發(fā)給SRNC 204。SRNC 204可向AGW 206提供PMIP MN-HA密鑰����;繼而�,SRNC 204和/或AGW 206可在不知道NAIl的情況下將此用戶ID用于記賬報告和策略檢索���。在用戶ID是隨機(jī)數(shù)(例如�,由HAAA將其與NAI相關(guān)聯(lián))的實例中�,可由服務(wù)網(wǎng)絡(luò)在不知道該NAI的情況下使用該用戶ID。此方案的結(jié)果是�,請求方AT的NAI不通過空中發(fā)送并且為有限數(shù)目的核心基礎(chǔ)設(shè)施實體(例如,HAAA)所知����。在其他實例中,用戶ID可以是NAI��,但是其由HAAA 216向服務(wù)網(wǎng)絡(luò)分發(fā)���,而不由AT 202通過空中傳送���。圖3圖解了一種在無線通信網(wǎng)絡(luò)的認(rèn)證服務(wù)器(例如,HAAA)中操作的用于保護(hù)主用戶密鑰的方法�����。接收來自無線認(rèn)證對等體(例如,AT)的接入認(rèn)證請求302����。可生成副用戶標(biāo)識符(例如�,用戶ID),其中該副用戶密鑰與用于無線認(rèn)證對等體的主用戶標(biāo)識符(例如��,NAI)相關(guān)聯(lián)304��?��?苫谥饔脩魳?biāo)識符來檢索用戶概況信息(例如�����,用戶概況)306��?���?上蚺c認(rèn)證對等體相關(guān)聯(lián)的認(rèn)證者(例如�����,SNRC)提供副用戶標(biāo)識符308��?���?上蛘J(rèn)證者(例如,SRNC)發(fā)送用戶概況信息���。通信網(wǎng)絡(luò)可包括超移動寬帶(UMB)兼容網(wǎng)絡(luò)���、WiMAX兼容網(wǎng)絡(luò)、或者長期演進(jìn)(LTE)兼容網(wǎng)絡(luò)中的至少一個��。認(rèn)證服務(wù)器(例如����,HAAA)可以是認(rèn)證、授權(quán)�、和記賬實體(AAA),而認(rèn)證對等體是無線接入終端(AT)���。認(rèn)證者可以是超移動寬帶(UMB)兼容網(wǎng)絡(luò)中與為無線接入終端(AT)服務(wù)的基站(BS)相關(guān)聯(lián)的會話參考網(wǎng)絡(luò)控制器(SRNC)�,而主用戶標(biāo)識符是用于無線接入終端的網(wǎng)絡(luò)接入標(biāo)識符(NAI)�。服務(wù)基站可與會話參考網(wǎng)絡(luò)控制器(SRNC)同處����。副用戶標(biāo)識符可以是隨機(jī)生成的�����、隨后與主用戶標(biāo)識符相關(guān)聯(lián)的數(shù)字�����。該副用戶標(biāo)識符也可以是主用戶標(biāo)識符����。該副用戶標(biāo)識符可以是主用戶標(biāo)識符的函數(shù)。圖15是圖解了認(rèn)證服務(wù)器的框圖����。認(rèn)證服務(wù)器1500可包括耦合至網(wǎng)絡(luò)通信接口1506的處理電路1504。處理電路1504可適配成(a)接收來自無線認(rèn)證對等體的接入認(rèn)證請求�;(b)生成與用于該無線認(rèn)證對等體的主用戶標(biāo)識符相關(guān)聯(lián)的副用戶標(biāo)識符;(c)向與該認(rèn)證對等體相關(guān)聯(lián)的認(rèn)證者提供副用戶標(biāo)識符����;(d)基于主用戶標(biāo)識符檢索用戶概況信息;(e)向認(rèn)證者提供用戶概況信息。結(jié)果���,可提供一種認(rèn)證服務(wù)器,包括(a)用于接收來自無線認(rèn)證對等體的接入認(rèn)證請求的裝置�����;(b)用于生成與用于該無線認(rèn)證對等體的主用戶標(biāo)識符相關(guān)聯(lián)的副用戶標(biāo)識符的裝置�����;(C)用于向與該認(rèn)證對等體相關(guān)聯(lián)的認(rèn)證者提供副用戶標(biāo)識符的裝置����;(d)用于基于主用戶標(biāo)識符檢索用戶概況信息的裝置;和/或(e)用于向認(rèn)證者提供用戶概況信
12息的裝置�����。還可提供一種在認(rèn)證服務(wù)器上操作的用于保護(hù)主用戶標(biāo)識符的計算機(jī)程序��,該計算機(jī)程序在由處理器執(zhí)行時使該處理器(a)接收來自無線認(rèn)證對等體的接入認(rèn)證請求�;(b)生成與用于該無線認(rèn)證對等體的主用戶標(biāo)識符相關(guān)聯(lián)的副用戶標(biāo)識符;(C)向與該認(rèn)證對等體相關(guān)聯(lián)的認(rèn)證者提供副用戶標(biāo)識符����;(d)基于主用戶標(biāo)識符檢索用戶概況信息�;和/或(e)向認(rèn)證者提供用戶概況信息��。向AGW分發(fā)用戶概況和策略圖4是圖解了隨著AT在UMB網(wǎng)絡(luò)中從第一 eBS移到第二 eBS��,如何可向該AT提供無線服務(wù)的框圖���。在UMB網(wǎng)絡(luò)中��,更多功能是在與AT 406的無線接口附近執(zhí)行的�����。這些功能之一是允許AT 406在接入網(wǎng)絡(luò)402的eBS之間移動或者漫游(例如���,從時間t0的第一eBS-A 408到時間tl的第二 eBS-B 410),而同時使這樣的移動性對歸屬網(wǎng)絡(luò)404透明�。為了保持向歸屬網(wǎng)絡(luò)404隱瞞AT 406的移動性,服務(wù)網(wǎng)絡(luò)403中的AGW 412管理向當(dāng)前服務(wù)eBS的轉(zhuǎn)發(fā)��。如圖2中所圖解的�����,SRNC-A 412可以是認(rèn)證過程的一部分。圖4中圖解了(圖2的)認(rèn)證請求消息226a和226b以及成功認(rèn)證消息232和234的路徑�����。如果AT 406被HAAA416成功認(rèn)證�����,則SRNC-A 412接收用戶ID�、用戶概況����、QoS用戶概況、PMIP MN-HA密鑰�。然而,隨著AT在相同的接入網(wǎng)絡(luò)402內(nèi)從第一 eBS 408移到第二 eBS 410, AGff 414可向歸屬網(wǎng)絡(luò)基礎(chǔ)設(shè)施404隱瞞該AT的移動性�。然而,為了達(dá)成此目的�����,AGff 404應(yīng)當(dāng)知道關(guān)于AT406的用戶概況和策略信息以正當(dāng)?shù)卮_定應(yīng)當(dāng)經(jīng)由第二 eBS-B 410來提供的服務(wù)類型(例如��,服務(wù)質(zhì)量等)�����。提出了三種用于向AGW提供用戶概況信息的替換方法。第一�,AGW414可在新的PMIP隧道被建立時從LAAA 418檢索用戶概況并且從PCRF檢索用戶策略。圖5和圖6分別圖解了在分布式和集中式SRNC配置中���,AGW如何可在新的PMIP隧道被建立時從LAAA檢索用戶概況以及如何可從PCRF檢索用戶策略�����。第二�����,AGW 414可在認(rèn)證過程期間獲得用戶概況信息���,并且從PCRF獲得用戶策略信息。圖7和圖8分別圖解了在分布式和集中式SRNC配置中����,AGW如何可作為認(rèn)證過程的一部分獲得用戶概況信息以及如何可從PCRF獲得用戶策略。第三�����,LAAA 418可將用戶概況推送給AGW 414,并且該AGW可隨后向PCRF請求用戶策略�����。圖9和圖10分別圖解了在分布式和集中式SRNC配置中�,LAAA如何可將用戶概況推送給AGW 414以及該AGW如何可向PCRF請求用戶策略。注意到在分布式SRNC配置中�����,SRNC可與eBS同處(例如���,圖l_eBS_all4和SRNC_a104),而在集中式SRNC配置中����,SRNC可與eBS分開并服務(wù)一個或更多個eBS(例如,圖1-SRNC-c 118�、eBS-c 116 和 eBS-d 117)。圖5圖解了在分布式SRNC配置中AGW如何可在新的PMIP隧道被建立時從LAAA檢索用戶概況以及向PCRF請求用戶策略��?��?蓤?zhí)行認(rèn)證過程520�、522、524和525����,在其中AT502向HAAA 516發(fā)送認(rèn)證請求。如果AT得到HAAA 616認(rèn)證�,則HAAA 616生成用戶ID和其他用戶概況信息以作為響應(yīng)。作為認(rèn)證響應(yīng)525的一部分�����,eBS/SRNC 504可從LAAA 510接收用戶概況�。一旦接入認(rèn)證已被執(zhí)行,AT 502就可從數(shù)據(jù)錨點(DAP)eBS 504移到新的服務(wù)eBS���。該新的服務(wù)eBS可經(jīng)由新的服務(wù)eBS/SRNC發(fā)送DAP移動請求530���。由新的服務(wù)eBS/
13SRNC向AGW 506發(fā)送代理移動IP(PMIP)注冊請求(RRQ)消息532 (包括用于AT 502的用戶ID),AGff 506進(jìn)而向LAAA 510發(fā)送AAA請求(用戶ID)消息534�����。LAAA 510檢索與請求方AT相關(guān)聯(lián)的用戶概況信息(例如�,用戶概況、PMIP MN-HA密鑰等)并將其發(fā)送給AGW506�。AGff 506 可向 eBS/SRNC 504 發(fā)送 PMIP 注冊響應(yīng)(RRP)消息 538�����,eBS/SRNC 504 隨后向AT 502發(fā)送DAP移動指派消息540��。在其中新的IP地址和/或配置542可與AT 502相關(guān)聯(lián)的過程期間�����,AGW 506 (其具有用戶ID的知識)能夠獲得用于與該用戶ID相關(guān)聯(lián)的AT的用戶策略��。AGW 506可向vPCRF 508發(fā)送策略請求(用戶ID) 544���,該請求可被轉(zhuǎn)發(fā)給hPCRF 514。因為hPCRF 514不知道用戶ID與同用戶策略相關(guān)聯(lián)的NAI之間的映射����,所以hPCRF 514可隨后向HAAA 516發(fā)送 NAI 請求(用戶 ID) 548�。HAAA 516 以 NAI 響應(yīng)(用戶 ID,NAI) 550 作答��,hPCRF 514 可使用該NAI響應(yīng)550來獲得與用戶ID和NAI相關(guān)聯(lián)的用戶策略�。即,hPCRF 514使用NAI來獲得對應(yīng)于與該用戶ID相關(guān)聯(lián)的AT的用戶策略�����。由hPCRF 514向vPCRF 508發(fā)送策略響應(yīng)(用戶ID,用戶策略)552�����,vPCRF 508隨后向AGW 506發(fā)送策略響應(yīng)(用戶ID���,用戶策略)554�。AGW 506可隨后將用戶策略推送或者發(fā)送556給eBS/SRNC 504��。根據(jù)一個示例�,AT 502可通過將MAC包括在DAP移動請求消息530中來授權(quán)對用戶概況和/或策略信息的檢索?����?苫谝恍╈o態(tài)數(shù)據(jù)隨諸如序列號之類的一些動態(tài)信息一起來創(chuàng)建該MAC�����。用于MAC生成的密鑰可從AT 502與HAAA 516 (或LAAA)之間共享的EAP密鑰制定階層體系推導(dǎo)(例如�����,來自DSRK——域?qū)S懈荑€的密鑰)。例如�,MAC生成密鑰可基于作為EAP密鑰階層體系一部分的授權(quán)密鑰AK(例如,AK = f (DSRK)���,其中f是諸如像HMAC_SHA256那樣的偽隨機(jī)函數(shù)之類的某個函數(shù))�。來自AT 502的DAP移動請求530消息中所包括的授權(quán)數(shù)據(jù)可經(jīng)由AGW 506發(fā)送給LAAA 510��。一旦成功驗證了 MAC��,LAAA 510就向AGW 506發(fā)送用戶概況�����。對于從PCRF中檢索策略而言��,可使用類似的辦法��。在此情形中使用的密鑰應(yīng)當(dāng)來自在AT與HAAA之間共享的密鑰(可以與上面類似的方式生成來自EAP EMSK的密鑰)���。圖6圖解了在集中式SRNC配置中AGW如何可在新的PMIP隧道被建立時從LAAA中檢索用戶概況以及如何可向PCRF請求用戶策略?�?蓤?zhí)行認(rèn)證過程622�����、624、626和625��,在其中AT 602向HAAA 618發(fā)送認(rèn)證請求�。如果AT 602得到HAAA 618成功認(rèn)證,則HAAA618生成用戶ID并獲得其他用戶概況信息以作為響應(yīng)����。作為認(rèn)證響應(yīng)的一部分,SRNC 606可從LAAA 610接收625用戶概況���。一旦接入認(rèn)證已被執(zhí)行�����,AT 602就可從數(shù)據(jù)錨點(DAP)eBS 604移到新的服務(wù)eBS��。由新的服務(wù)eBS向AGff 608發(fā)送代理移動IP (PMIP) RRQ消息632 (包括用于AT 602的用戶ID)���,AGW 608進(jìn)而向LAAA 612發(fā)送AAA請求消息634 (包括用于AT 602的用戶ID)。LAAA 612檢索與請求方AT 602相關(guān)聯(lián)的用戶概況信息(例如�,用戶概況、PMIP MN-HA密鑰等)并將其發(fā)送給AGW 608。AGff 608可向新的服務(wù)eBS發(fā)送PMIPRRP消息637���,該新的eBS隨后向AT 602發(fā)送DAP移動指派消息639�����。對于圖5和圖6中所圖解的實現(xiàn)而言��,如果關(guān)注安全性����,那么可將AT的簽名(例如�����,MN-HA密鑰的散列)包括在DAP移動請求/PMIP RRQ中����,并且HAAA可在向hPCRF發(fā)送(與請求方AT相關(guān)聯(lián)的)NAI以檢索用戶概況和/或策略信息之前檢查該簽名。在其中新的IP地址和/或配置638可與AT 602相關(guān)聯(lián)的過程期間����,AGW 608 (其具有用戶ID的知識)將能夠獲得用于與該用戶ID相關(guān)聯(lián)的AT的用戶策略。AGW 608可向vPCRF 610發(fā)送策略請求(用戶ID) 640�����,該請求640可被轉(zhuǎn)發(fā)642給hPCRF 616����。因為hPCRF 616不知道用戶ID與同用戶策略相關(guān)聯(lián)的NAI之間的映射,所以hPCRF 616可隨后向HAAA 618發(fā)送NAI請求(用戶ID) 644�。HAAA 618以NAI響應(yīng)(用戶ID,NAI) 646作答���,hPCRF 616可使用該NAI響應(yīng)646來獲得與用戶ID和NAI相關(guān)聯(lián)的用戶策略�����。即���,hPCRF616使用NAI來獲得對應(yīng)于與該用戶ID相關(guān)聯(lián)的AT的用戶策略。由hPCRF 616向vPCRF610發(fā)送策略響應(yīng)(用戶ID����,用戶策略)648,vPCRF 608隨后向AGW 608發(fā)送策略響應(yīng)(用戶ID��,用戶策略)650��。AGW 608可隨后將用戶策略推送或者發(fā)送給SRNC 606,后者可將此類信息654中的部分或者全部復(fù)制給eBS 604��。圖7圖解了在分布式SRNC配置中AGW如何可作為認(rèn)證過程的一部分獲得用戶概況信息以及如何可從PCRF獲得用戶策略���?�?蓤?zhí)行認(rèn)證過程720����、722��、724���、728�����,在其中AT702向HAAA 716發(fā)送認(rèn)證請求���。如果AT 702得到HAAA 716成功認(rèn)證,則HAAA 716生成用戶ID并獲得其他用戶概況信息以作為響應(yīng)�����。作為認(rèn)證響應(yīng)的一部分,SRNC 706可從LAAA710接收用戶概況�����。eBS/SRNC 704可隨后從AGW 706接收用戶概況信息(例如��,用戶ID����、用戶概況��、和/或PMIP MN-HA密鑰)�。在其中新的IP地址和/或配置738可與AT 702相關(guān)聯(lián)的過程期間,AGW 706 (其具有用戶ID的知識)將能夠獲得用于與該用戶ID相關(guān)聯(lián)的AT的用戶策略��。AGW 706可向vPCRF 708發(fā)送策略請求(用戶ID) 740��,該請求可被轉(zhuǎn)發(fā)742給hPCRF 714���。因為hPCRF714不知道用戶ID與同用戶策略相關(guān)聯(lián)的NAI之間的映射�����,所以hPCRF 714可隨后向HAAA716 發(fā)送 NAI 請求(用戶 ID) 744�。HAAA 716 以 NAI 響應(yīng)(用戶 ID,NAI) 746 作答��,hPCRF714可使用該NAI響應(yīng)746來獲得與用戶ID和NAI相關(guān)聯(lián)的用戶策略�。即,hPCRF 714使用NAI來獲得對應(yīng)于與該用戶ID相關(guān)聯(lián)的AT的用戶策略��。由hPCRF 714向vPCRF 708發(fā)送策略響應(yīng)(用戶ID�,用戶策略)748,vPCRF 708隨后向AGW 706發(fā)送策略響應(yīng)(用戶ID�,用戶策略)748。AGW 706可隨后將用戶策略推送或者發(fā)送給eBS/SRNC 704�����。圖8圖解了在分布式SRNC配置中AGW如何可作為認(rèn)證過程的一部分獲得用戶概況信息以及如何可從PCRF獲得用戶策略���。作為接入認(rèn)證的一部分�����,SRNC 806可接收用戶概況信息(例如����,用戶ID�、用戶概況�����、和/或PMIP MN-HA密鑰)����。SRNC 806可在AAA請求消息828中向AGW 808推送或發(fā)送該用戶概況信息(例如����,用戶ID���、用戶概況�、和/或PMIPMN-HA密鑰)并從AGW 808接收AAA ACK (確認(rèn))消息830���?����?蓤?zhí)行認(rèn)證過程822���、824、826��、828,在其中AT 802向HAAA 818發(fā)送認(rèn)證請求�。如果AT 802得到HAAA 818成功認(rèn)證,則HAAA 818生成用戶ID并獲得其他用戶概況信息以作為響應(yīng)��。作為認(rèn)證響應(yīng)的一部分��,AGW 808可從LAAA 812接收用戶概況信息(例如��,用戶ID�、用戶概況、和/或PMIP MN-HA密鑰)����。AGff 808可隨后將此用戶概況信息轉(zhuǎn)發(fā)給SRNC806,后者可將該用戶概況信息中的一些或全部復(fù)制832給eBS 804�����。一旦接入認(rèn)證已被執(zhí)行�����,AT 802就可從數(shù)據(jù)錨點(DAP)eBS 804移到新的服務(wù)eBS��。在其中新的IP地址和/或配置842可與AT 802相關(guān)聯(lián)的過程期間,AGW 808 (其具有用戶ID的知識)將能夠獲得用于與該用戶ID相關(guān)聯(lián)的AT的用戶策略���。AGW 808可向vPCRF810發(fā)送策略請求(用戶ID) 844���,該請求844可被轉(zhuǎn)發(fā)846給hPCRF 816。因為hPCRF 816不知道用戶ID與同用戶策略相關(guān)聯(lián)的NAI之間的映射��,所以hPCRF 816可隨后向HAAA 818發(fā)送NAI請求(用戶ID)848�。HAAA 818以NAI響應(yīng)(用戶ID,NAI)850作答�����,hPCRF 816可使用該NAI響應(yīng)850來獲得與用戶ID和NAI相關(guān)聯(lián)的用戶策略�。即����,hPCRF 816使用NAI來獲得對應(yīng)于與該用戶ID相關(guān)聯(lián)的AT的用戶策略。由hPCRF 816向vPCRF 810發(fā)送策略響應(yīng)(用戶ID�,用戶策略)852,vPCRF 810隨后向AGW 808發(fā)送策略響應(yīng)(用戶ID���,用戶策略)854��。AGW 808可隨后將用戶策略推送或者發(fā)送856給SRNC 806����,后者可將此類信息中的部分或者全部復(fù)制858給eBS 804。圖9圖解了在分布式SRNC配置中LAAA如何可將用戶概況推送給AGW 414以及該AGff如何可向PCRF請求用戶概況�。可執(zhí)行認(rèn)證過程920��、922和924���,在其中AT 902向HAAA916發(fā)送認(rèn)證請求�。如果AT得到HAAA916認(rèn)證��,則HAAA 916生成用戶ID和其他用戶概況信息以作為響應(yīng)�����。作為認(rèn)證響應(yīng)的一部分�,eBS/SRNC 904可從LAAA 910接收用戶概況。隨后����,LAAA 910可將AAA消息(用戶ID、用戶概況�����、PMIP MN-HA密鑰)926推送或者發(fā)送給AGff 906。AGff 906可確認(rèn)928收到了消息926�。用戶策略可由AGW藉與圖5和7中所圖解的過程相類似的過程來獲得。圖10圖解了在集中式SRNC配置中LAAA如何可將用戶概況推送給AGW以及該AGW如何可向PCRF請求用戶概況���?����?蓤?zhí)行認(rèn)證過程1022��、1024和1026��,在其中AT 1002向HAAA1018發(fā)送認(rèn)證請求�。如果AT 1002得到HAAA 1018認(rèn)證��,則HAAA 1018生成用戶ID和其他用戶概況信息以作為響應(yīng)�����。作為認(rèn)證響應(yīng)的一部分�,SRNC 1006可從LAAA 1012接收用戶概況�����。隨后,LAAA 1012可將AAA消息(用戶ID�、用戶概況、PMIP MN-HA密鑰)1028推送或者發(fā)送給AGW 1008���。AGff 1008可確認(rèn)1030收到了消息1028���。用戶策略可由AGW藉與圖5、7和9中所圖解的過程相類似的過程來獲得����。圖11圖解了在認(rèn)證服務(wù)器上操作的用于向認(rèn)證者提供用戶概況信息的方法。認(rèn)證服務(wù)器(例如,HAAA)可接收來自認(rèn)證對等體(例如,AT)的接入認(rèn)證請求1100并驗證該認(rèn)證對等體是否是通信網(wǎng)絡(luò)(例如�,UMB網(wǎng)絡(luò))的有效訂戶。認(rèn)證服務(wù)器可對尋求經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點來建立通信的認(rèn)證對等體進(jìn)行認(rèn)證1102����。如果該認(rèn)證對等體得到認(rèn)證服務(wù)器成功認(rèn)證1104,則該認(rèn)證服務(wù)器檢索與認(rèn)證對等體相關(guān)聯(lián)的用戶概況信息1106�。認(rèn)證服務(wù)器隨后向幫助實現(xiàn)對認(rèn)證對等體的通信服務(wù)的網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送該用戶概況信息1108。類似地�,認(rèn)證服務(wù)器還可向幫助為認(rèn)證對等體實現(xiàn)通信的認(rèn)證者發(fā)送該用戶概況信息1110。此類用戶概況信息可提供例如針對認(rèn)證對等體的服務(wù)級別或質(zhì)量�。在一個示例中���,認(rèn)證服務(wù)器可以是作為通信網(wǎng)絡(luò)的一部分的認(rèn)證、授權(quán)和記賬(AAA)實體�����。在一個實現(xiàn)中�,向網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送用戶概況信息可包括令認(rèn)證者向該網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送該用戶概況信息??梢愿鶕?jù)圖5-10中所圖解的一個或更多個方法來提供該用戶概況信息。再次參照圖15�,認(rèn)證服務(wù)器1500的處理電路1504可適配成(a)對尋求經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點來建立通信的認(rèn)證對等體進(jìn)行認(rèn)證;(b)檢索與認(rèn)證對等體相關(guān)聯(lián)的用戶概況信息�;(C)向幫助實現(xiàn)對認(rèn)證對等體的通信服務(wù)的網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送用戶概況信息;(d)向幫助為認(rèn)證對等體實現(xiàn)通信的認(rèn)證者發(fā)送用戶概況信息�;(e)接收來自PCRF實體的主用戶標(biāo)識符請求,其中該主用戶標(biāo)識符唯一性地與認(rèn)證對等體相關(guān)聯(lián)���;和/或(f)向PCRF實體發(fā)送答復(fù)���,該答復(fù)包括所請求的主用戶標(biāo)識符。結(jié)果���,可提供一種認(rèn)證服務(wù)器����,包括(a)用于對尋求經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點來建立通信的認(rèn)證對等體進(jìn)行認(rèn)證的裝置�;(b)用于檢索與該認(rèn)證對等體相關(guān)聯(lián)的用戶概況信息的裝置;(C)用于向幫助實現(xiàn)對認(rèn)證對等體的通信服務(wù)的網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送用戶概況信息的裝置���;(d)用于向幫助為認(rèn)證對等體實現(xiàn)通信的認(rèn)證者發(fā)送用戶概況信息的裝置����;(e)用于接收來自PCRF實體的主用戶標(biāo)識符請求的裝置���,其中該主用戶標(biāo)識符唯一性地與認(rèn)證對等體相關(guān)聯(lián)��;和/或(f)用于向PCRF實體發(fā)送答復(fù)的裝置�����,該答復(fù)包括所請求的主用戶標(biāo)識符�。類似地����,還可提供在認(rèn)證服務(wù)器上操作的用于提供用戶信息的計算機(jī)程序,該計算機(jī)程序在由處理器執(zhí)行時使該處理器(a)對尋求經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點來建立通信的認(rèn)證對等體進(jìn)行認(rèn)證�;(b)檢索與認(rèn)證對等體相關(guān)聯(lián)的用戶概況信息���;(C)向幫助實現(xiàn)對認(rèn)證對等體的通信服務(wù)的網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送用戶概況信息;(d)向幫助為認(rèn)證對等體實現(xiàn)通信的認(rèn)證者發(fā)送用戶概況信息��;(e)接收來自PCRF實體的主用戶標(biāo)識符請求��,其中該主用戶標(biāo)識符唯一性地與認(rèn)證對等體相關(guān)聯(lián)��;和/或(f)向PCRF實體發(fā)送答復(fù)�����,該答復(fù)包括所請求的主用戶標(biāo)識符���。圖12圖解了在通信網(wǎng)絡(luò)中操作的用于向網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點提供用于認(rèn)證對等體的用戶策略信息的方法�����。該方法可包括(a)從網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點向策略控制和資源功能(PCRF)實體發(fā)送策略請求1202�����,其中該策略請求可以是針對用于該網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點幫助其實現(xiàn)通信的認(rèn)證對等體的用戶策略��;(b)從PCRF實體向認(rèn)證服務(wù)器發(fā)送主用戶標(biāo)識符請求����,其中該主用戶標(biāo)識符唯一性地與認(rèn)證對等體相關(guān)聯(lián)1204 �; (c)從認(rèn)證服務(wù)器向PCRF實體發(fā)送答復(fù),該答復(fù)包括所請求的主用戶標(biāo)識符1206 �; (d)在PCRF實體處使用主用戶標(biāo)識符為認(rèn)證對等體獲得用戶策略1208 ;和/或(e)從PCRF實體向網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送用戶策略1210。例如���,可以根據(jù)圖5-10中所圖解的一個或更多個方法來提供該用戶策略信息�。認(rèn)證者可以是超移動寬帶(UMB)兼容網(wǎng)絡(luò)中與為認(rèn)證對等體服務(wù)的基站(BS)相關(guān)聯(lián)的會話參考網(wǎng)絡(luò)控制器(SRNC)�,而機(jī)密標(biāo)識符是用于無線接入終端的網(wǎng)絡(luò)接入標(biāo)識符。分發(fā)PMIP密鑰以驗證新的隧道請求隨著AT漫游或者移到不同的eBS����,為該AT管理通信的AGW建立去往新的服務(wù)eBS的代理移動IP(PMIP)隧道。然而�,AGW必須防止其他eBS(或入侵者)在它們并沒有向該AT提供無線連通性時聲稱其正在向該AT提供了該無線連通性。AGW應(yīng)當(dāng)能夠防止未獲授權(quán)的實體改變PMIP隧道綁定���。因此����,可以使用移動節(jié)點歸屬代理(MN-HA)密鑰來保護(hù)eBS與AGW之間以及SRNC與AGW之間的PMIP隧道�����。至少有兩種類型的PMIP隧道eBS與AGW之間的RAN PMIP隧道以及AGW與SRNC之間和第一 AGW與第二 AGW之間的網(wǎng)絡(luò)PMIP隧道。隨著AT (在服務(wù)網(wǎng)絡(luò)內(nèi)的)eBS間移動�����,可由AGW與新的服務(wù)eBS—起建立新的RAN PMIP隧道����。類似地,隨著該AT移動或者漫游到新的接入或服務(wù)網(wǎng)絡(luò)中�,歸屬AGW可與此新的接入或服務(wù)網(wǎng)絡(luò)一起建立網(wǎng)絡(luò)PMIP隧道。有若干種途徑來獲得能用來驗證是否應(yīng)當(dāng)由AGW建立新的PMIP隧道的MN-HA密鑰的途徑��。LAAA可簡單地?fù)爝x隨機(jī)數(shù)作為PMIP隧道MN-HA密鑰并將其提供給AGW���。由于AT并不需要知道此密鑰��,因而“推導(dǎo)”此密鑰的唯一實體是LAAA��。因此���,沒有推導(dǎo)的必要,因為簡單的強(qiáng)隨機(jī)數(shù)生成就足夠了??蓪⑺傻碾S機(jī)數(shù)(即,MN-HA密鑰)給予SRNC和/或AGW以供用在驗證是否應(yīng)建立新的PMIP隧道(例如���,PMIPv4隧道)中����。替換地�����,如在認(rèn)證密鑰的情形中那樣��,可以從EAP階層體系中創(chuàng)建MN-HA密鑰�。例如�����,MN-HA密鑰可以是在AT與LAAA之間共享的DSRK(域?qū)S懈荑€)的函數(shù)(例如�����,DSRK- > P4K(PMIPv4 MN-HA密鑰)或者P4K = f (DSRK)��,其中f是某個函數(shù)(例如,諸如HMAC_SHA256之類的偽隨機(jī)函數(shù)))��?��?蓪⑺傻腜4K(即��,MN-HA密鑰)給予SRNC和/或AGff以供用在保護(hù)PMIP隧道(例如����,PMIPv4隧道)中�����。在一些實現(xiàn)中��,可將MN-HA密鑰與用戶概況一起發(fā)送給AGW����。例如,可經(jīng)由成功接入認(rèn)證將MN-HA密鑰發(fā)送給服務(wù)SRNC��。在另一些實現(xiàn)中���,MN-HA密鑰可由AGW自己生成并被分發(fā)給當(dāng)前服務(wù)eBS��。當(dāng)移動設(shè)備首次經(jīng)由eBS在服務(wù)網(wǎng)絡(luò)上建立通信時�����,該eBS及其AGW被提供MN-HA密鑰(可以如上面所討論的那樣獲得該MN-HA密鑰)��。當(dāng)DAP移動請求被AGW接收時����,該AGW可檢查請求方eBS是否知道該MN-HA密鑰。如果其知道����,則AGW可以同意該移動請求����。然而,如果請求方eBS不知道該MN-HA密鑰�����,則AGW可拒絕該移動請求����,因為該請求方eBS不能信任。類似地,該MN-HA密鑰可被用來保護(hù)來自不同AGW或HA的移動請求�。再次參照圖1,在一個示例中�����,接入終端AT-X 122可經(jīng)由eBS-c 116建立無線服務(wù)����。在建立其無線服務(wù)的過程期間,AT-X 122可向服務(wù)和歸屬網(wǎng)絡(luò)認(rèn)證自己(例如��,如參照圖5-10所討論和圖解的那樣)���。在一個示例(其中使用集中式SRNC)中���,作為此認(rèn)證過程的一部分,MN-HA密鑰可被提供給AGW-c 120 (或者由AGW-c 120生成)�����。該MN-HA密鑰還被提供給支持服務(wù)eBS-c 116的服務(wù)SRNC-c 118�����。如果在稍后的時間AT_x 122移到eBS_d117,那么可生成DAP移動請求�����,藉此應(yīng)當(dāng)在新的eBS-d 117與服務(wù)AGW_c 120之間建立新的PMIP隧道����。由于SRNC-c 118知道MN-HA密鑰(從之前的認(rèn)證過程得知),因而SRNC-c118可向AGW-c 120提供該MN-HA密鑰以驗證該新的隧道請求有效����。結(jié)果,AGW-c 120可以如所請求的那樣與eBS-d 117 一起建立新的隧道�����。在一個示例中���,隨著AT-1106經(jīng)由eBS_a 104尋求無線服務(wù),AT-1106首先執(zhí)行認(rèn)證過程����。結(jié)果,AGW-a 112和SRNC-a 114將知道用于它們的隧道的MN-HA密鑰�����。如果AT-I106隨后希望經(jīng)由eBS-b 107進(jìn)行通信,那么新的隧道請求被發(fā)送給AGW-a 112�。然而,在此情形中�����,新的服務(wù)SRNC-bl09并不知道該MN-HA密鑰(例如��,該MN-HA密鑰起初被給予·SRNC-all4)���。因此��,為了驗證其新的隧道請求是有效的�,SRNC_b 109可從SRNC_all4獲得該MN-HA密鑰�。這允許AGW在不需要重新認(rèn)證的情況下將數(shù)據(jù)重新路由到新的服務(wù)eBS-b107。替換地�,AT-I 106可簡單地向服務(wù)和/或歸屬網(wǎng)絡(luò)重新認(rèn)證自己(例如執(zhí)行圖5-10中所圖解的認(rèn)證過程)。圖13圖解了用于在通信網(wǎng)絡(luò)中驗證新的隧道請求的方法�。可經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點向認(rèn)證對等體提供無線網(wǎng)絡(luò)連通性1302�����。將代理移動IP(PMIP)密鑰提供給第一網(wǎng)絡(luò)接入節(jié)點與用來向認(rèn)證對等體提供通信的PMIP網(wǎng)絡(luò)節(jié)點之間的PMIP隧道的兩端1304。隨后�,(例如,經(jīng)由PMIP隧道)向與第一網(wǎng)絡(luò)接入節(jié)點相關(guān)聯(lián)的第一認(rèn)證者提供PMIP密鑰1306��。通信可隨后被路由至第一網(wǎng)絡(luò)接入節(jié)點1308����。隨后,可在PMIP網(wǎng)絡(luò)節(jié)點處接收來自請求方實體的重新路由認(rèn)證對等體的通信的請求1310��。PMIP網(wǎng)絡(luò)節(jié)點可驗證請求方實體是否知道PMIP密鑰1312�����。在一個示例中�,如果請求方實體成功證明其知道PMIP密鑰,則通信可被重新路由至第二網(wǎng)絡(luò)接入節(jié)點(例如�����,新的eBS)����。在另一個示例中���,如果請求方實體成功證明其知道PMIP密鑰�����,則通信可被重新路由至第二網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點(例如��,AGW)�����。重新路由通信可包括在第一 PMIP網(wǎng)絡(luò)節(jié)點與新的服務(wù)網(wǎng)絡(luò)實體之間建立新的代理移動IP隧道1314�����。在一個示例中�����,PMIP密鑰可在認(rèn)證�����、授權(quán)和記賬(AAA)實體或網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點處生成���。PMIP網(wǎng)絡(luò)節(jié)點可以是網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點��。圖16是圖解了 PMIP網(wǎng)絡(luò)節(jié)點設(shè)備的示例的框圖�����。PMIP網(wǎng)絡(luò)節(jié)點設(shè)備1600可包括耦合至網(wǎng)絡(luò)通信接口 1606的處理電路1604����。處理電路1604可適配成(a)經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點向認(rèn)證對等體提供無線網(wǎng)絡(luò)連通性;(b)將PMIP密鑰提供給第一網(wǎng)絡(luò)接入節(jié)點與用來向認(rèn)證對等體提供通信的PMIP網(wǎng)絡(luò)節(jié)點之間的PMIP隧道的兩端�;(c)向與第一網(wǎng)絡(luò)接入節(jié)點相關(guān)聯(lián)的第一認(rèn)證者提供該PMIP密鑰;(d)接收來自請求方實體的重新路由該認(rèn)證對等體的通信的請求����;(e)驗證請求方實體是否知道PMIP密鑰;(f)如果請求方實體成功證明其知道PMIP密鑰����;則將通信重新路由至第二網(wǎng)絡(luò)接入節(jié)點;和/或(g)如果請求方實體成功證明其知道PMIP密鑰�;則將通信重新路由至第二網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點。重新路由通信可包括在第一 PMIP網(wǎng)絡(luò)節(jié)點與新的服務(wù)網(wǎng)絡(luò)實體之間建立新的代理移動IP隧道�����。結(jié)果�,還可提供一種PMIP網(wǎng)絡(luò)節(jié)點,包括(a)用于經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點向認(rèn)證對等體提供無線網(wǎng)絡(luò)連通性的裝置�����;(b)用于將PMIP密鑰提供給第一網(wǎng)絡(luò)接入節(jié)點與用來向認(rèn)證對等體提供通信的PMIP網(wǎng)絡(luò)節(jié)點之間的PMIP隧道的兩端的裝置��;(c)用于向與第一網(wǎng)絡(luò)接入節(jié)點相關(guān)聯(lián)的第一認(rèn)證者提供該PMIP密鑰的裝置�����;接收來自請求方實體的重新路由該認(rèn)證對等體的通信的請求�����;(d)用于驗證請求方實體是否知道PMIP密鑰的裝置��;(e)用于在如果請求方實體成功證明其知道PMIP密鑰的情況下將通信重新路由至第二網(wǎng)絡(luò)接入節(jié)點的裝置���;和/或(f)用于在如果請求方實體成功證明其知道PMIP密鑰的情況下將通信重新路由至第二網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點的裝置�。重新路由通信可包括在第一 PMIP網(wǎng)絡(luò)節(jié)點與新的服務(wù)網(wǎng)絡(luò)實體之間建立新的代理移動IP隧道��。類似地��,還可提供一種在PMIP網(wǎng)絡(luò)節(jié)點設(shè)備上操作的計算機(jī)程序,該計算機(jī)程序在由處理器執(zhí)行時使該處理器(a)經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點向認(rèn)證對等體提供無線網(wǎng)絡(luò)連通性�;(b)將PMIP密鑰提供給第一網(wǎng)絡(luò)接入節(jié)點與用來向認(rèn)證對等體提供通信的PMIP網(wǎng)絡(luò)節(jié)點之間的PMIP隧道的兩端;(c)向與第一網(wǎng)絡(luò)接入節(jié)點相關(guān)聯(lián)的第一認(rèn)證者提供該PMIP密鑰�;(d)接收來自請求方實體的重新路由該認(rèn)證對等體的通信的請求;(e)驗證請求方實體是否知道PMIP密鑰���;(f)如果請求方實體成功證明其知道PMIP密鑰����;則將通信重新路由至第二網(wǎng)絡(luò)接入節(jié)點��;和/或(g)如果請求方實體成功證明其知道PMIP密鑰��;則將通信重新路由至第二網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點��。圖1�����、2��、3����、4��、5����、6�����、7���、8、9����、10、11���、12����、13����、15 和/ 或 16 中圖解的組件、步驟、和 / 或功
能之中的一個或更多個可以被重新編排和/或組合成單個組件�����、步驟���、或功能����,或可以實施在數(shù)個組件�、步驟、或功能中����。也可以添加更多的元件、組件����、步驟、和/或功能�����。圖1���、4�、14、15和16中圖解的裝置�、設(shè)備、和/或組件可以被配置或適配成執(zhí)行圖2�、3和/或5-13中描述的方法、特征���、或步驟中的一個或更多個。本文中描述的算法可以在軟件和/或嵌入式硬件中高效率地實現(xiàn)�。本領(lǐng)域技術(shù)人員將可進(jìn)一步領(lǐng)會,結(jié)合本文中公開的配置描述的各種解說性邏輯框���、模塊�、電路�����、和算法步驟可以被實現(xiàn)為電子硬件��、計算機(jī)軟件����、或兩者的組合�。為清楚地解說硬件和軟件的這種可互換性�����,各種解說性組件����、塊、模塊����、電路、和步驟在上文中以其功能性的形式進(jìn)行了一般化描述�。這樣的功能性是實現(xiàn)為硬件還是軟件取決于具體應(yīng)用和加諸整體系統(tǒng)上的設(shè)計約束。應(yīng)注意����,以上配置僅是示例而不應(yīng)被理解為限定權(quán)利要求。對這些配置的描述旨在解說而非限定所附權(quán)利要求的范圍���。由此�,本發(fā)明的教導(dǎo)可以現(xiàn)成地應(yīng)用于其他類型的裝置��,并且許多替換���、修改����、和變形對于本領(lǐng)域技術(shù)人員將是顯而易見的。
權(quán)利要求
1.一種在認(rèn)證服務(wù)器上操作的用于保護(hù)主用戶標(biāo)識符的計算機(jī)程序���,所述計算機(jī)程序在由處理器執(zhí)行時使所述處理器接收來自無線認(rèn)證對等體的接入認(rèn)證請求���;生成與用于所述無線認(rèn)證對等體的主用戶標(biāo)識符相關(guān)聯(lián)的副用戶標(biāo)識符;以及向與所述認(rèn)證對等體相關(guān)聯(lián)的認(rèn)證者提供所述副用戶標(biāo)識符��。
2.如權(quán)利要求I所述的計算機(jī)程序��,其特征在于�,所述計算機(jī)程序在由所述處理器執(zhí)行時還使所述處理器基于所述主用戶標(biāo)識符來檢索用戶概況信息����;以及向所述認(rèn)證者提供所述用戶概況信息。
3.—種在通信網(wǎng)絡(luò)中操作的方法�,包括對尋求經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點來建立通信的認(rèn)證對等體進(jìn)行認(rèn)證;檢索與所述認(rèn)證對等體相關(guān)聯(lián)的用戶概況信息�����;以及向幫助實現(xiàn)對所述認(rèn)證對等體的通信服務(wù)的網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送所述用戶概況信息。
4.如權(quán)利要求3所述的方法��,其特征在于����,還包括向幫助為所述認(rèn)證對等體實現(xiàn)通信的認(rèn)證者發(fā)送所述用戶概況信息。
5.如權(quán)利要求4所述的方法��,其特征在于��,所述認(rèn)證服務(wù)器是作為所述通信網(wǎng)絡(luò)的一部分的認(rèn)證��、授權(quán)和記賬(AAA)實體���。
6.如權(quán)利要求4所述的方法����,其特征在于���,向所述網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送所述用戶概況信息包括令所述通信網(wǎng)絡(luò)的認(rèn)證者向所述網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送所述用戶概況信息�。
7.如權(quán)利要求4所述的方法�,其特征在于,向所述網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送所述用戶概況信息包括令所述認(rèn)證服務(wù)器向所述網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送所述用戶概況信息�。
8.如權(quán)利要求4所述的方法����,其特征在于�,所述用戶概況信息包括用戶概況、用戶策略�����、對所述用戶概況的服務(wù)質(zhì)量�、對所述認(rèn)證對等體的通信服務(wù)的服務(wù)質(zhì)量中的至少一個。
9.如權(quán)利要求4所述的方法�,其特征在于,還包括從所述網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點向策略控制和資源功能(PCRF)實體發(fā)送策略請求����;從所述PCRF實體向所述認(rèn)證服務(wù)器發(fā)送主用戶標(biāo)識符請求�,其中所述主用戶標(biāo)識符唯一性地與所述認(rèn)證對等體相關(guān)聯(lián);從所述認(rèn)證服務(wù)器向所述PCRF實體發(fā)送答復(fù)��,所述答復(fù)包括所請求的主用戶標(biāo)識符�;在所述PCRF實體處使用所述主用戶標(biāo)識符為所述認(rèn)證對等體獲得用戶策略;以及從所述PCRF實體向所述網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送所述用戶策略����。
10.如權(quán)利要求4所述的方法��,其特征在于���,所述認(rèn)證者是超移動寬帶(UMB)兼容網(wǎng)絡(luò)中與為所述認(rèn)證對等體服務(wù)的基站相關(guān)聯(lián)的會話參考網(wǎng)絡(luò)控制器(SRNC),并且所述機(jī)密的標(biāo)識符是用于所述無線接入終端的網(wǎng)絡(luò)接入標(biāo)識符�����。
11.一種包括處理電路的認(rèn)證服務(wù)器�,所述處理電路適配成對尋求經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點來建立通信的認(rèn)證對等體進(jìn)行認(rèn)證;檢索與所述認(rèn)證對等體相關(guān)聯(lián)的用戶概況信息�����;以及向幫助實現(xiàn)對所述認(rèn)證對等體的通信服務(wù)的網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送所述用戶概況信息���。
12.如權(quán)利要求11所述的認(rèn)證服務(wù)器���,其特征在于,所述處理電路還適配成向幫助為所述認(rèn)證對等體實現(xiàn)通信的認(rèn)證者發(fā)送所述用戶概況信息�����。
13.如權(quán)利要求11所述的認(rèn)證服務(wù)器,其特征在于���,所述處理電路還適配成接收來自PCRF實體的主用戶標(biāo)識符請求����,其中所述主用戶標(biāo)識符唯一性地與所述認(rèn)證對等體相關(guān)聯(lián)���;以及向所述PCRF實體發(fā)送答復(fù)���,所述答復(fù)包括所請求的主用戶標(biāo)識符。
14.一種認(rèn)證服務(wù)器��,包括用于對尋求經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點來建立通信的認(rèn)證對等體進(jìn)行認(rèn)證的裝置�����;用于檢索與所述認(rèn)證對等體相關(guān)聯(lián)的用戶概況信息的裝置���;以及用于向幫助實現(xiàn)對所述認(rèn)證對等體的通信服務(wù)的網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送所述用戶概況信息的裝置�����。
15.如權(quán)利要求14所述的認(rèn)證服務(wù)器,其特征在于,還包括用于向幫助為所述認(rèn)證對等體實現(xiàn)通信的認(rèn)證者發(fā)送所述用戶概況信息的裝置���。
16.如權(quán)利要求14所述的認(rèn)證服務(wù)器�,其特征在于��,還包括用于接收來自PCRF實體的主用戶標(biāo)識符請求的裝置���,其中所述主用戶標(biāo)識符唯一性地與所述認(rèn)證對等體相關(guān)聯(lián)���;以及用于向所述PCRF實體發(fā)送答復(fù)的裝置,所述答復(fù)包括所請求的主用戶標(biāo)識符�。
17.—種在認(rèn)證服務(wù)器上操作的用于提供用戶信息的計算機(jī)程序,所述計算機(jī)程序在由處理器執(zhí)行時使所述處理器對尋求經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點來建立通信的認(rèn)證對等體進(jìn)行認(rèn)證�����;檢索與所述認(rèn)證對等體相關(guān)聯(lián)的用戶概況信息��;以及向幫助實現(xiàn)對所述認(rèn)證對等體的通信服務(wù)的網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送所述用戶概況信息���。
18.如權(quán)利要求17所述的計算機(jī)程序��,其特征在于��,所述計算機(jī)程序在由所述處理器執(zhí)行時還使所述處理器向幫助為所述認(rèn)證對等體實現(xiàn)通信的認(rèn)證者發(fā)送所述用戶概況信息��。
19.如權(quán)利要求17所述的計算機(jī)程序���,其特征在于��,所述計算機(jī)程序在由所述處理器執(zhí)行時還使所述處理器接收來自PCRF實體的主用戶標(biāo)識符請求����,其中所述主用戶標(biāo)識符唯一性地與所述認(rèn)證對等體相關(guān)聯(lián)�;以及向所述PCRF實體發(fā)送答復(fù),所述答復(fù)包括所請求的主用戶標(biāo)識符���。
全文摘要
本發(fā)明為無線通信網(wǎng)絡(luò)中的用戶概況��、策略��、及PMIP密鑰分發(fā)���。認(rèn)證服務(wù)器-適配成(a)對尋求經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點來建立通信的認(rèn)證對等體進(jìn)行認(rèn)證;(b)檢索與該認(rèn)證對等體相關(guān)聯(lián)的用戶概況信息����;和/或(c)向幫助實現(xiàn)對該認(rèn)證對等體的通信服務(wù)的網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點發(fā)送該用戶概況信息。PMIP網(wǎng)絡(luò)節(jié)點可適配成(a)經(jīng)由第一網(wǎng)絡(luò)接入節(jié)點向認(rèn)證對等體提供無線網(wǎng)絡(luò)連通性���;(b)將PMIP密鑰提供給第一網(wǎng)絡(luò)接入節(jié)點與用來向認(rèn)證對等體提供通信的PMIP網(wǎng)絡(luò)節(jié)點之間的PMIP隧道的兩端�����;(c)向與第一網(wǎng)絡(luò)接入節(jié)點相關(guān)聯(lián)的第一認(rèn)證者提供該PMIP密鑰����;(d)在PMIP網(wǎng)絡(luò)節(jié)點處接收來自請求實體的重新路由該認(rèn)證對等體的通信的請求�;和/或(e)驗證請求實體是否知道該PMIP密鑰。
文檔編號H04W12/06GK102938890SQ201210384788
公開日2013年2月20日 申請日期2008年3月17日 優(yōu)先權(quán)日2007年3月16日
發(fā)明者王俊, A·C·瑪荷德拉姆, V·納拉亞南 申請人:高通股份有限公司