用于松散耦合互操作的基于证书的认证授权计费方案.pdf

用于松散耦合互操作的 基于证书的认证授权计费方案
    【技术领域】

    本发明通常涉及网络互连，尤其涉及一种用于在两个不同接入网之间松散耦合互操作的基于证书的认证、授权和计费(AAA)方案。

    背景技术

    一般，为接入并利用比如蜂窝网和无线局域网(WLAN)之类的网络而要求认证、授权和计费(AAA)。然而，在两个不属于同一管理域并且不共享相同AAA方案的不同无线接入网之间进行互操作的情况下，比较难于实现AAA并要求额外的软件和/或硬件。

    在蜂窝网和WLAN之间存在两种主要类型的互操作：紧密耦合和松散耦合。在松散耦合的情况下，WLAN和蜂窝网具有独立的数据路径，但是用于WLAN用户的AAA依赖于蜂窝网的AAA功能。然而，蜂窝网地AAA协议(MAP/SS7)与WLAN用户使用的基于因特网协议(IP)的协议不兼容。已经建议了两种方法。在第一种方法中，AAA接口配备在蜂窝网归属位置寄存器中(HLR)。这要求要么复制HLR数据，要么在半径/直径(Radius/Diameter)和MAP之间配备协议转换器。在第二种方法中，如果移动终端(MT)使用基于认证机制(比如，NOKIA的无线运营商LAN)用户识别模块(SIM)卡，则AAA将遵循蜂窝处理过程。AAA互操作功能(IWF)是必需的，以便将HLR和MT对接。从AAA方面来看，除了AAA业务是通过IP承载以外，功能性的方法和服务GPRS(通用分组无线业务)支持节点(SGSN)或移动交换中心(MSC)相类似。

    采用这两种方法，需要蜂窝运营商部署特殊的互操作功能或网关。当采用第二种方法时，要求用户具有SIM卡来接入WLAN，但是许多的WLAN用户在他们的便携式电脑或个人数字助理(PDA)上没有可用的SIM卡。

    因此，因此十分期望具有认证授权和计费(AAA)方案，用于在两个不属于同一管理域且不共享相同AAA方案的不同无线接入网之间进行互操作，这也将非常有益，其中AAA方案不要求布署特殊的互操作功能来在两种不同类型网络之间进行桥接。

    【发明内容】

    现有技术的上述问题以及其它相关的问题，由本发明解决，即一种用于在两个不同接入网之间互操作的、基于证书的认证授权和计费(AAA)方案。

    有利的是，本发明在认证期间能够工作而不用与蜂窝核心网交互作用。与现有方案相比，建议的方案不要求蜂窝运营商调整他们的归属位置寄存器(HLR)接口，来通过因特网协议提供对WLAN用户的认证。

    根据本发明的一个方面，提供一种在至少两个网络之间的互操作中的认证授权和计费(AAA)的方法。该至少两个网络包括第一网络和第二网络。第一网络的用户由第二网络根据证书验证。当验证用户时，会话密钥从第二网络发送到用户的移动设备。对话密钥用于加密在移动设备和第二网络之间的通信。

    本发明的这些以及其它的方面、特征和优点从下列优选实施例的详细描述中将会更加明显，其可结合附图来理解。

    【附图说明】

    图1为根据本发明的示例性实施例，说明可应用本发明的计算机系统100的框图；

    图2为根据本发明的示例性实施例，说明可应用本发明的接入网的组合的框图；

    图3为根据本发明的示例性实施例，说明对在接入网之间松散耦合互操作中的移动用户进行基于证书的认证授权和计费(AAA)的方法的流程图；和

    图4为根据本发明的另一个示例性实施例，说明对在接入网之间松散耦合互操作中的移动用户进行基于证书的认证授权和计费(AAA)的方法的流程图。

    【具体实施方式】

    本发明主要涉及松散耦合互操作的基于证书的认证授权和计费(AAA)方案。应当理解，本发明可适用于接入网(比如，共用接入电视(CATV)网络和无线局域网(WLAN)之间的互操作)的任何组合。然而，本发明尤其适用于处于松散互操作安排下的蜂窝网络和WLAN。

    应当理解，本发明可以各种形式的硬件、软件、固件、专用处理器或者它们的组合实现，比如在移动终端、接入点或者蜂窝网络中实现。优选地，本发明实现为硬件和软件的组合。另外，软件优选地实现为明确地包含在程序存储设备中的应用程序。应用程序可以被上传到包括任何适当结构的机器并由该机器执行。优选地，机器在具有比如一个或多个中央处理单元(CPU)、随机存取存储器(RAM)和输入/输出(I/O)接口的计算机平台上实现。计算机平台也包括操作系统和微指令代码。在此描述的各种处理和功能可以为微指令代码的一部分或者应用程序(或者它们的组合)的一部分，它们通过操作系统被执行。另外，各种其它的外围设备可被连接到计算机平台，比如附加的数据存储设备和打印设备。

    应当进一步地理解的是，由于在附图中描述的一些组成系统的部件和方法的步骤优选地以软件实现，所以在系统部件(或处理步骤)之间的实际连接可依本发明被编程的形式而不同。根据此处的教导，本领域普通技术人员能够设想本发明的这些以及类似的实现和配置。

    图1为根据本发明的示例性实施例，说明可应用本发明的计算机系统100的框图。计算机处理系统100可包含在用来接入蜂窝网或WLAN的移动设备中。计算机处理系统100包括至少一个处理器(CPU)102，处理器经由系统总线104有效地耦合到其它部件。只读存储器(ROM)106、随机存取存储器(RAM)108、显示器适配器110、I/O适配器112、用户接口适配器114、声音适配器199和网络适配器198有效地耦合到系统总线104。

    显示设备116由显示器适配器110有效地耦接到系统总线104。盘存储设备(比如，磁盘或光盘存储设备)118由I/O适配器112有效地耦接到系统总线104。鼠标120和键盘122由用户接口适配器114有效地耦接到系统总线104。鼠标120和键盘122用于向系统100输入信息或者从系统100输出信息。

    至少一个扬声器(以下称“扬声器”)197通过声音适配器199有效地耦接到系统总线104。

    (数字和/或模拟)调制解调器196通过网络适配器198有效地耦接到系统总线104。

    图2为根据本发明的示例性实施例，说明可应用本发明的接入网的组合的框图。在图2的示例性实施例中，接入网的组合包括蜂窝网210和三个无线局域网(WLAN)220a、220b和220c。移动终端200、蜂窝网210和WLAN 220可以如图所示的那样互相通信。本发明提供了一种基于证书的方法，以便向WLAN用户提供AAA服务。如上所述，本发明可应用于任何网络组合，包括不同数目和不同类型的网络。

    图3为根据本发明的示例性实施例，说明对在接入网之间松散耦合互操作中的移动用户进行基于证书的认证授权和计费(AAA)的方法的流程图。接入网包括蜂窝网和无线局域网(WLAN)，如图2中所示的那些。蜂窝网与至少一个移动用户相关联。应当理解，尽管图3的示例性实施例(以及下面的图4的示例性实施例)是参照蜂窝网和WLAN来描述的，但是任何网络的组合，包括上述和其它类型的网络以及不同数目的网络，在保持本发明精神和范围的情况下，可容易地根据本发明采用。

    最初，与蜂窝网相关联的公钥Kpub_cn从蜂窝网发送到与蜂窝网有互操作合同的WLAN(步骤310)。如果蜂窝网与一个以上的WLAN具有互操作合同，则蜂窝网应能将公钥Kpub_cn发送到所有与之有合同的WLAN。优选地，但不是强制性地，通过安全的信道分发蜂窝网公钥Kpub_cn，以便接收方WLAN能确信该公钥Kpub_cn确实为与蜂窝网相关联的有效公钥。

    接着证书从蜂窝网发送到移动用户(步骤315)。证书包括，但不仅限于下列：与移动用户相关联的公钥Kpub_u；蜂窝网的ID；移动用户的订阅等级，用于授权/验证的目的，比如，移动用户是否订购了WLAN服务；证书的到期时间；移动用户的ID。用蜂窝网的私钥Kpri_cn对证书签名。优选地，但不是强制性地，当移动用户和蜂窝网签署合同使用WLAN互操作服务时，证书被发送到移动用户。

    各种密钥和证书的使用如下。当移动用户移到WLAN覆盖下的区域时，证书从移动用户发送到WLAN(步骤320)。然后，WLAN：检验包括在证书中的蜂窝网ID(步骤325)；检验包括在证书中的移动用户ID(比如为了授权/验证的目的)(步骤327)；用蜂窝网的公钥Kpub_cn验证证书的真实性(步骤330)；一经验证，就为移动用户计算会话密钥，用包含在证书中的公钥Kpub_u加密会话密钥(步骤335)；并将会话密钥发送到移动用户(步骤340)。会话密钥可以是，但不仅限于每个用户的有线等效加密(WEP)密钥。

    一旦接收会话密钥，移动用户就用他/她的私钥Kpri_u解密会话密钥(步骤345)，并使用会话密钥与WLAN通信(即，用会话密钥加密在移动设备和WLAN之间的所有后续通信)(步骤350)。由于只有特定的移动用户具有解密会话密钥所必需的私钥Kpri_u，移动用户可以被WLAN认证。

    图4为根据本发明的另一个示例性实施例，说明对接入网之间松散耦合互操作的移动用户进行基于证书的认证授权和计费(AAA)方法的流程图。接入网包括蜂窝网和无线局域网(WLAN)。蜂窝网与至少一个移动用户相关联。图4的方法允许移动用户和WLAN之间的相互的授权，以便移动用户也能认证他/她确实和合法的WLAN通信(以防止，比如消息被窃听)。

    蜂窝网的公钥Kpub_cn从蜂窝网发送到与蜂窝网有互操作合同的WLAN(步骤310)。如果蜂窝网与不只一个WLAN有互操作合同，则蜂窝网能将公钥Kpub_cn发送到所有与之有合同的WLAN。优选地，但不是强制性地，蜂窝网公钥Kpub_cn通过安全的信道分发，以便WLAN能确信该公钥Kpub_cn确实是蜂窝网的公钥。

    蜂窝网的公钥Kpub_cn也从蜂窝网发送到移动用户(步骤412)。

    第一证书从蜂窝网发送到移动用户(步骤315)。第一证书包括，但不仅限于下列：移动用户的公钥Kpub_u；蜂窝网的ID；移动用户的订购等级(移动用户是否订购了WLAN服务)；第一证书的到期时间；移动用户的ID。用蜂窝网的私钥Kpri_cn对第一证书签名。优选地，但不是强制性地，当移动用户和蜂窝网签订合同使用WLAN互操作服务时，第一证书被发送到移动用户。

    第二证书也从蜂窝网发送到每个WLAN(和蜂窝网有合同协议的WLAN)(步骤417)。第二证书包括，但不仅限于WALN的公钥Kpup_w。用蜂窝网的私钥Kpri_cn对第二证书签名。

    例如，当移动用户移到WLAN覆盖下的区域时，第一证书从移动用户发送到WLAN(比如一个接入点(AP)或其它实体)(步骤320)。作为响应，WLAN检验包括在第一证书中的蜂窝网ID(步骤325)，检验包括在第一证书中的移动用户ID(比如为了授权/认证的目的)(步骤327)，并用蜂窝网的公钥Kpub_cn验证证书的真实性(步骤330)；一经验证，就为移动用户计算会话密钥，用移动用户的(包括在第一证书中的)公钥Kpub_u对会话密钥加密和用WLAN的私钥Kpri_w对会话密钥签名(步骤435)；并将会话密钥和第二证书发送到移动用户(步骤440)。会话密钥可以是，但不仅限于每个用户的有线等效加密(WEP)密钥。

    一旦接收会话密钥和第二证书，移动用户使用蜂窝网的公钥Kpub_cn验证第二证书的有效性(步骤441)。如果它是有效的，则从第二证书中提取WLAN的公钥Kpub_w(步骤442)。移动用户接着通过使用WLAN的公钥Kpub w验证会话密钥确实来自于WLAN，以验证会话密钥上的签名(步骤443)。如果加密的会话密钥被验证来自于WLAN，移动用户接着用他/她的私钥Kpri_u解密会话密钥(步骤345)并用会话密钥与WLAN通信。用会话密钥加密在移动设备和WLAN之间的所有后续通信，并且开始使用会话密钥和WLAN通信(步骤350)。

    因此，与现有技术相比，本发明的突出优点在于，为了验证用户，不要求任何物理的互操作功能来使WLAN和蜂窝网交互作用。实际上，通过使用证书，在移动终端请求接入网络时，为了准予用户接入，WLAN不需要和蜂窝网的任何交互作用。由于证书包括了移动用户的身份，所以可用该包括用户身份的上述信息来容易地执行计费功能。

    虽然已经在此参考附图描述了示例性实施例，但是应当理解，本发明不仅限于那些精确的实施例，在不脱离发明精神和范围的情况下，可以由本领域的普通技术人员在其中实现各种其它的变化和修改。所有这样的变化和修改都包括在所附权利要求所限定的范围之中。