CN103379494A - 移动网络网关连接的非移动认证 - Google Patents
移动网络网关连接的非移动认证 Download PDFInfo
- Publication number
- CN103379494A CN103379494A CN2013100347614A CN201310034761A CN103379494A CN 103379494 A CN103379494 A CN 103379494A CN 2013100347614 A CN2013100347614 A CN 2013100347614A CN 201310034761 A CN201310034761 A CN 201310034761A CN 103379494 A CN103379494 A CN 103379494A
- Authority
- CN
- China
- Prior art keywords
- network
- wireless device
- mobile
- mobility information
- iad
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 72
- 238000003780 insertion Methods 0.000 claims description 55
- 230000037431 insertion Effects 0.000 claims description 55
- 230000004044 response Effects 0.000 claims description 24
- 230000014509 gene expression Effects 0.000 claims description 10
- 238000013475 authorization Methods 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 7
- 239000000284 extract Substances 0.000 claims description 5
- 230000007774 longterm Effects 0.000 claims description 4
- 238000013507 mapping Methods 0.000 claims description 4
- 230000011664 signaling Effects 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 description 38
- 230000001413 cellular effect Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 7
- 238000007726 management method Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 230000005641 tunneling Effects 0.000 description 3
- 238000009432 framing Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 208000019901 Anxiety disease Diseases 0.000 description 1
- 241001269238 Data Species 0.000 description 1
- 230000036506 anxiety Effects 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- VJYFKVYYMZPMAB-UHFFFAOYSA-N ethoprophos Chemical compound CCCSP(=O)(OCC)SCCC VJYFKVYYMZPMAB-UHFFFAOYSA-N 0.000 description 1
- NISOCYUAQBTSBZ-UHFFFAOYSA-N n-methyl-n-(2-phenylethyl)prop-2-yn-1-amine Chemical compound C#CCN(C)CCC1=CC=CC=C1 NISOCYUAQBTSBZ-UHFFFAOYSA-N 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 1
- 230000036962 time dependent Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/06—Registration at serving network Location Register, VLR or user mobility server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及移动网络网关连接的非移动认证。总的来说,描述了一种技术,用于效仿移动认证方法以建立移动服务网关与被附接至备用接入网络的无线装置之间的经认证连接。例如,根据所述技术运行的系统包括移动服务提供商网络、具有接入网关的备用接入网络以及接收网络接入请求的移动服务提供商网络的认证服务器。客户数据库通过虚拟移动性信息来响应网络接入请求,其中,网络接入请求不包括国际移动用户识别码(IMSI),其中虚拟移动性信息包括虚拟IMSI。接入网关利用虚拟移动性信息以向移动服务提供商网络的移动网络网关发信号,以在通过移动网络网关锚定的备用接入网络上建立无线装置的服务会话。
Description
优先权声明
本申请要求于2012年7月19日提交的美国专利申请第13/553,543的优先权,该美国专利申请要求于2012年4月26日提交的第61/639,008号的美国临时申请的优先权,每个在先申请的全部内容结合于此作为参考。
技术领域
本公开涉及移动网络,更具体地,涉及对移动网络的认证。
背景技术
用于接入计算机数据网络的无线装置的使用近来已大大增加。这些无线装置提供了用于蜂窝电话呼叫以及基于蜂窝的对计算机数据服务的接入这二者的平台。例如,通常的蜂窝无线接入网络是小区(cell)的集合,每个小区包括至少一个能够将信号发射并且转发至客户的无线装置的基站。“小区”通常指代利用用于数据发射的特定频率或频率范围的移动网络特定区域。通常的基站是通过特定频率发射并接收数据的多个天线所固定至的塔。诸如蜂窝或移动电话、智能电话、摄像电话、个人数字助理(PDA)以及膝上型计算机的无线装置可以以指定频率发起或发射信号至基站以发起呼叫或数据会话并且开始发射数据。
移动服务提供商网络将蜂窝信号(例如,在基站接收的来自无线装置的时分多址(TDMA)信号、正交频分复用(OFDM)信号或码分多址(CDMA)信号)转换成用于在基于分组的网络中播送的网际协议(IP)分组。已提出了多个标准以便于蜂窝信号至IP分组的此转换以及发射,诸如,通过用于移动通信(GSM)协会的全球系统标准化的通用分组无线业务(GPRS),通用移动通信系统(UMTS)体系结构,被称为长期演进(LTE)的UMTS的演进,通过因特网工程任务部(IETF)标准化的移动IP、以及通过第三代合作伙伴计划(3GPP)、第三代合作伙伴计划2(3GPP/2)以及全球互通微波存取(WiMAX)论坛提出的其他标准。
通常的3GPP移动服务提供商网络(也是“移动网络”或“蜂窝网络”)包括核心分组交换网、运输网以及一个或多个无线接入网。移动网络的核心分组交换网络建立了在被附接至无线接入网中的一个的无线装置与分组数据网络(PDN)之间的路径上的许多服务节点间的逻辑连接(被称为承载,bearer)。从而服务节点利用承载来传送在无线装置与PDN(其可包括(例如)因特网、企业内部网、第三层VPN以及服务提供商的私人网络)之间交换的客户业务。各种PDN向无线装置提供各种基于分组的数据服务以使能无线装置与应用或PDN的其他服务器交换客户数据。数量日益增加的移动客户装置可获得的数量日益增加的服务给可获得的移动网络资源造成压力。
移动网络网关是对PDN来说作为网关操作并且用作用于无线装置移动性的锚点的移动服务提供商网络的服务节点。移动网络网关对PDN与无线装置之间的客户数据业务应用策略和计费规则,以执行计费功能并且管理服务连接以确保核心、运输以及无线网络资源的有效利用。诸如因特网、电子邮件、语音以及多媒体的不同服务具有不同的服务质量(QoS)要求,此外可根据用户变化。
无线装置的普遍使用以及用户从世界各地对快速的网络接入的日益增加的期望已提出了许多挑战。例如,蜂窝无线装置的普遍使用已对通过服务提供商的移动网络的数据服务(经常使移动网络紧张并且造成延迟的或丢失的数据通信)提出了高要求。某些无线装置除了经由至蜂窝移动网络的无线接口支持至PDN的连接之外,还支持经由与移动服务提供商的蜂窝网络分开的备用接入网络(非移动网络)来交换数据的无线能力。例如,许多无线装置包括当存在WiFi“热点”或其他无线接入点(WAP)时提供数据服务的无线局域网(WLAN)接口。这种无线能力的其他实例可包括蓝牙或近场通信(NFC)。当存在WLAN时,用户可希望将无线的数据服务转换成WLAN,从而加速数据传输、降低成本并且避免与移动服务提供商网络相关的任何延迟。
发明内容
移动网络通常依赖于基于客户识别模块(SIM)的认证,从而移动网络接收无线装置的SIM模块上所存储的国际移动用户识别码(IMSI)以查找使用该无线装置的客户的客户账户信息和状态、订阅的服务以及服务级别。总的来说,描述了用于使用备选客户标识符以建立在移动服务提供商网关与被附接至备用接入网络的无线装置之间的被认证连接来效仿基于SIM或移动的认证方法的技术。
例如,备用接入网络的无线接入网关(WAG)作为SaMOG操作以使能利用移动网络的移动网络网关的基于GTP的连接。使用非移动认证方法,无线装置将不包括ISMI的客户证书发送至基于SaMOG的WAG。WAG将客户证书转发至认证、授权以及计费(AAA)服务器,其利用客户证书查询不是针对移动网络的归属位置寄存器(HLR)的客户数据库。客户数据库利用客户证书查找并且返回客户的IMSI以及MSISDN至AAA服务器,其将IMSI和MSISDN转发至WAG以效仿客户账户信息的基于HLR的查找。在移动网络HLR中,IMSI和MSISDN可以或者可以不与客户相关联。
WAG将IMSI和MSISDN发送至移动网络网关以请求WAG与移动网络网关之间的GTP隧道。一旦接收到来自移动网络网关的包括客户的无线装置的终端用户IP地址的答复,WAG创建分组数据协议(PDP)上下文以将WAG与无线装置之间备用接入网络的面向客户的连接与WAG与移动网络网关之间的上行和下行GTP隧道相关联。WAG利用PDP上下文以实现无线装置与移动网络网关之间的用于服务会话的PDP承载,其从而可应用移动策略并且对服务会话的客户数据业务计费。
在某些实例中,本文所描述的技术可实现移动服务提供商利用虚拟IMSI(即,不是从无线装置SIM获得的IMSI)对附接至移动网络网关的无线装置的客户数据业务应用策略和计费功能。由于某些类型的非蜂窝、备用接入网不提供(或倾向不提供)基于SIM的认证(诸如,EAP-SIM或EAP-AKA),不要求IMSI的非移动认证方法可允许基于SaMOG的WAG从而仍认证无线装置并且建立与移动网络网关的基于GTP的服务会话。结果,在使用未改进的Gx、Gy以及Rx接口的一些情况中,该技术可允许无线装置的移动和固定的(即,经由备用接入网络)客户数据业务,从而为统一的策略和计费控制而集中在移动网络网关。在某些情况中,该技术还可实现在移动网络与备用接入网络之间无线装置的无缝的、不间断的传输的IP地址保留。在一方面,一种方法,包括利用移动服务提供商网络的认证服务器从备用接入网络的接入网关接收无线装置的网络接入请求,其中,网络接入请求不包括国际移动用户识别码(IMSI)。该方法还包括响应于网络接入请求,从移动服务提供商网络的客户数据库获得虚拟移动性信息(virtual mobility information),其中,虚拟移动性信息包括虚拟的国际移动用户识别码(IMSI)。该方法还包括将虚拟移动性信息从认证服务器发送至接入网关。该方法还包括利用使用虚拟移动性信息的接入网关向移动服务提供商网络的移动网络网关发信号,以在通过移动网络网关锚定的备用接入网络上建立无线装置的服务会话。
另一方面,一种方法,通过备用接入网络的接入网关来执行。该方法包括接收无线装置的网络接入请求,其中,网络接入请求不包括国际移动用户识别码(IMSI)。该方法还包括从网络接入请求提取无线装置识别码,将无线装置识别码发送至授权服务器以请求无线装置的移动性信息。该方法还包括接收无线装置的虚拟移动性信息,并利用虚拟移动性信息向移动服务提供商网络的移动网络网关发信号,以在通过移动网络网关锚定的备用接入网络上建立无线装置的服务会话。
另一方面,一种移动服务提供商网络的认证系统,包括:归属位置寄存器(Home Location Register,HLR),与归属位置寄存器分开的客户数据库,以及从备用接入网络的接入网关接收无线装置的网络接入请求的认证服务器,其中,网络接入请求不包括国际移动用户识别码(IMSI),其中,认证服务器将网络接入请求的表示发送至客户数据库,其中,客户数据库通过虚拟移动性信息响应于网络接入请求的所述表示,其中,虚拟移动性信息包括虚拟国际移动用户识别码(IMSI),其中,认证服务器将虚拟移动性信息发送至接入网关。
在另一方面,一种非易失计算机可读存储介质,包括,用于使移动服务提供商网络的接入网关的一个或多个可编程处理器执行以下操作的指令:接收无线装置的网络接入请求,其中网络接入请求不包括国际移动用户识别码(IMSI),从网络接入请求提取无线装置识别码,将无线装置识别码发送至授权服务器以请求无线装置的移动性信息。该指令还使可编程处理器响应于该请求接收无线装置的虚拟移动性信息,其中,虚拟移动性信息包括虚拟国际移动用户识别码(IMSI),并且利用虚拟移动性信息向移动服务提供商网络的移动网络网关发信号,以在通过移动网络网关锚定的备用接入网络上建立无线装置的服务会话。
在另一方面中,一种系统,包括:移动服务提供商网络,其包括蜂窝接入网络和包括接入网关的备用接入网络。移动服务提供商网络的认证服务器从接入网关接收无线装置的网络接入请求。该系统还包括用于移动服务提供商网络的客户数据库,其中客户数据库通过虚拟移动性信息响应于网络接入请求,其中,网络接入请求不包括国际移动用户识别码(IMSI),其中,虚拟移动性信息包括虚拟IMSI,其中,接入网关使用虚拟移动性信息向移动服务提供商网络的移动网络网关发信号以建立在通过移动网络网关锚定的备用接入网络上的无线装置的服务会话。
在另一方面,一种方法,包括,利用不包括国际移动用户识别码(IMSI)的客户标识符来为被附接至备用接入网络的无线装置建立移动服务提供商网关与备用接入网络的接入网关之间的认证连接,以效仿基于移动的认证方法。
结合附图和下面的描述给出一个或多个实例的细节。根据描述和附图并且根据权利要求,其他特征、目的和优点将是显而易见的。
附图说明
图1A~图1C是示出包括根据所描述的技术操作的网络组件的实例网络系统的框图。
图2A~图2B描绘了示出网络装置的操作实例的顺序图,该操作实例用以以与本文描述的技术一致的方式执行用于PDN的接入服务的在无线装置与移动网络网关之间建立服务会话的非移动认证。
图3A~图3B描绘了示出网络装置的实例操作的顺序图,该网络装置用以以与本文描述的技术一致的方式执行用于PDN的接入服务的在无线装置与移动网络网关之间的服务会话的非移动认证。
图4是示出其中客户装置附接至宽带接入网络的实例网络系统的框图,该宽带网络系统根据本文所描述的技术利用非移动认证来建立与移动服务提供商网络的服务会话。
图5A~图5B描绘了示出其中客户装置附接至宽带接入网络的网络系统的实例操作的顺序图,该宽带网络系统根据与本文所描述的技术的一些方面利用非移动认证来建立与移动服务提供商网络的服务会话。
在整个附图以及正文中,相同的参考符号指示类似的元素。
具体实施方式
图1A是示出其中根据所描述的技术操作的各种网络组件的实例网络系统2的框图。在图1A的实例中,网络系统2包括提供无线装置4的非移动认证的网络组件,该无线装置4附接至移动服务提供商网络8(下文中,“SP网络8”)外部的备用接入网络10。网络系统2包括具有允许无线装置4与分组数据网络(PDN)12(诸如,因特网)之间的数据通信的蜂窝网络6的实例SP网络8。SP网络8是公共陆地移动网络(PLMN)的实例,在所示出的实例中,可以是用于与无线装置4相关联的客户的归属PLMN(Home PLMN)。
此公开的技术允许利用非移动认证方法来建立无线装置(当被附接至备选接入网络10时)与SP网络8之间的连接。如在下面进一步详细描述的,本公开的技术可使操作SP网络8的移动服务提供商利用虚拟IMSI(即,不是从无线装置4的SIM获得的IMSI)对无线装置4的客户数据业务应用策略和计费功能。
无线装置4例如表示通过利用任意IEEE802.11通信协议的无线LAN接口方式支持局域无线(例如,“WiFi”)网络接入的任意移动通信装置。无线装置4可可选择地支持用于与基站14(与无线网络控制器(RNC)18结合以代表SP网络8的无线接入网络)的通信的蜂窝无线接入。无线装置4例如可表示移动电话;可选择地包括(例如)3G/4G无线卡的膝上型电脑、平板电脑或其他移动计算机;或具有WLAN通信和可选择的蜂窝通信能力的个人数字助理(PDA)。无线装置4可运行一个或多个软件应用,诸如,VoIP客户端、视频游戏、视频会议、电子邮件以及因特网浏览器等。PDN12支持通过无线装置4的请求并使用而可获得的一个或多个基于分组的服务。在无线装置4上运行的特定应用可要求对PDN12(诸如,移动电话、视频游戏、视频会议以及电子邮件等)提供的服务的接入。无线装置4在各种体系结构实例中还可被称为用户装置(UE)或移动站(MS)。于2010年12月14日提交的结合在本文中作为参考的题目为“MULTI-SERVICE VPN NETWORK CLIENT FOR WIRELESS DEVICE”美国专利申请第12/967,977号中描述了无线装置的一个实例。无线装置4例如可在客户识别模块(SIM)中或在无线装置4的存储器或集成电路中可选地存储诸如所存储的国际移动用户识别码(IMSI)或国际移动装置识别码(IMEI)的唯一识别码。
服务提供商操作SP网络8,以对无线装置4提供网络接入、数据传送以及其他服务。SP网络8包括基站14和服务网络6。在某些情况中,SP网络8包括PDN12,在这种情况下,PDN12提供诸如IP多媒体子系统(IMS)、分组交换流(PSS)和/或多媒体广播/多点传送服务(MBMS)用户服务的服务提供商IP服务。无线装置4可通过无线链路与基站14通信以接入SP网络8。
服务提供商供应并且操作蜂窝网络6以向蜂窝移动装置提供网络接入、数据传送以及其他服务。通常,蜂窝网络6可实现包括通过标准实体(诸如,全球移动通信系统(GSM)协会、第三代合作伙伴计划(3GPP)、第三代合作伙伴计划2(3GPP/2)、因特网工程任务部(IETF)以及全球互通微波存取(WiMAX)论坛)定义的那些体系结构的任意通常定义的蜂窝网络体系结构。例如,蜂窝网络6可表示GSM体系结构、通用分组无线业务(GPRS)体系结构、通用移动通信系统(UMTS)体系结构以及被称为长期演进(LTE)的UMTS的演进中的一个或多个,其中的每一个通过3GPP来标准化。蜂窝网络6可可选地或与上面中的一个结合地实现码分多址2000(“CDMA2000”)体系结构。蜂窝网络6再次作为备选或与上面中的一个或多个结合地实现通过WiMAX格式定义的WiMAX体系结构。
在图1A的实例中,SP网络8包括根据第三代合作伙伴计划(3GPP)标准并且根据本文描述的技术操作的通用移动通信系统(UMTS)网络。为了示出的目的,将关于UMIT网络来描述本文的技术。然而,这些技术在其他实例中可应用于其他通信网络类型。例如,这些技术可类似地应用于采用基于3GPP/2、LTE、CDMA2000、WiMAX以及移动IP的技术和标准的网络体系结构。
在此实例中,蜂窝网络6包括被耦合至基站14的无线网络控制器(RNC)18。RNC18和基站14可提供通过无线装置4的对蜂窝网络6的无线接入。基站14可以是在基站14服务的地理区域(或“小区”)中使用空中接口与用户装置进行通信的节点B基站收发机站。在某些实例中,基站14是微小区(femtocell)。无线装置4可在通过基站14服务的小区内被定位。在某些实例中,SP网络8可包括附加的基站,其中的每一个可服务几个小区中的一个。在某些实例中,基站14可以是诸如地点控制器或WiMAX接入点的其他类型的无线收发机站。
在所示出的实例中,蜂窝网络6包括服务GPRS支持节点20(“SGSN20”)以及网关GPRS支持节点22(“GGSN22”)。SGSN20将移动业务切换至可用的GGSN,诸如,GGSN22。蜂窝网络6还包括RNC18,其管理和路由至SGSN20的/来自基站14的数据。RNC18可建立并支持至SGSN20的GTP隧道。在某些实例中,RNC18包括IP路由器。在某些实例中,SP网络8可包括附加的RNC以及各种设置的相关基站。在其中SP网络8包括LTE网络的实例中,e节点B、服务网关(SGW)以及PDN网关(PGW)在所示出的实例中执行SP网络8的元素的功能。
SGSN20和GGSN22向RNC18提供分组交换(PS)服务。例如,SGSN20和GGSN22提供分组路由和交换,以及由RNC18服务的无线装置4的移动性管理、认证以及会话管理。通过SGSN20和GGSN22提供的分组交换服务可包括诸如认证和漫游服务的移动性管理,以及呼叫处理服务,在蜂窝网络6与诸如PDN12的外部网络之间发信号、开账单(billing)以及互联(internetworking)。例如,SGSN20服务于RNC18。无线装置4可连接至SGSN20,其经由RNC18从在无线装置4(例如,IMSI)内的SIM卡向SGSN20发送识别证书,其中SGSN20用于与归属位置寄存器(HLR)24协作认证无线装置。在某些实例中,如所示,HLR24可被连接至AAA服务器40。
GGSN22是经由通过物理通信链路(未示出)操作的Gi接口28将蜂窝网络6连接至PDN12的移动网络网关。SGSN20从RNC18获得上行数据业务(例如,通过无线装置4发起的业务),并且将该数据业务路由至GGSN22。GGSN22解封该数据业务,并且在Gi接口28上朝着PDN12发起IP业务。类似地,GGSN22可在Gi接口28上接收去往无线装置4的IP业务,为了在GPRS隧道协议(GTP)隧道中传输而封装该IP,并且在Gn接口30A上发送下行至SGSN10的被封装业务。GGSN22经由PDN12能接入至服务器提供的一个或多个服务,并且GGSN22将可接入的服务映射至接入点。
在某些情况中,与无线装置4相关联的客户会希望经由备用接入网络10而不是SP网络8的蜂窝网络6来接收数据服务。备用接入网络10被SP网络8认为是可靠的非-3GPP接入网络并可表示(例如)WLAN或Wi-Fi网络。在图1A的实例中,备用接入网络10包括接入点32,无线装置4可附接至该接入点以接入通过PDN12获得的服务。备用接入网络10还包括接口至SP网络8的GGSN22和AAA服务器40以向无线装置4提供至SP网络8的被认证接入的基于SaMOG的无线(或Wi-Fi)接入网关16(在下文中被示出为并且被称为“SaMOG WAG16”)。
在所示出的实例中,SaMOG WAG16分别通过S2a接口31和STa接口41接口至GGSN22和AAA服务器40。STa接口41(还称为STa参考点)将备用接入网络10与AAA服务器41相连接并且传输接入认证、授权以及可选地传输移动性参数和计费相关信息。S2a接口31和STa接口41可通过连接SaMOG WAG16和GGSN22的回程(backhaul)IP网络来进行操作。SaMOG WAG16可因此合并并执行备用接入网络10的可信的WLAN AAA代理服务器(Trusted WLAN AAA Proxy)(TWAP)和可信的WLAN接入网关(Trusted WLAN Access Gateway)(TWAG)功能。
S2a接口31是基于GTP或基于代理移动IP(PMIP:Proxy Mobile IP)的接口并且因此类似于UMTS网络的Gn接口(例如,Gn接口30)或LTE网络的S5/S8接口。S2a接口31在下文中被描述为基于GTP。SaMOG技术在第三代合作伙伴计划、技术规范组业务和系统方面(TechnicalSpecification Group Services and System Aspects)、第二阶段(第11版)“Study on S2a Mobility based On GTP&WLAN access to EPC(SaMOG)”中被进一步描述,其全部内容结合于此作为参考。此公开的技术允许在(SaMOG WAG16)建立无线装置4与SP网络8的GGSN22之间的基于IP的连接时被附接至备用接入网络10的无线装置4的通过SaMOG WAG16与AAA服务器40及客户数据库26合作的非移动认证。这些技术在某些情况中可对于HLR24和蜂窝网络6的装置无需变化地被应用。
图1B示出了为了建立经由备用接入网络10在无线装置4与GGSN22之间承载客户数据业务的服务会话而交换控制信息以认证被附接至备用接入网络10的无线装置4的网络系统2的元素。根据此公开的技术,无线装置4将作为网络接入请求(具有客户证书或无线装置4识别码(其不包括无线装置4的IMSI))的消息50A发送至SaMOG WAG16。SaMOGWAG16将网络接入请求的表示(即,消息50A)转发至AAA服务器40。
AAA服务器40是接收并处理SP网络12的连接请求的装置。如参照图2~图6示出并描述的,被AAA服务器40接收的消息50A可表示包含客户证书或无线装置4识别码(诸如,客户用户名和密码、无线装置4第二层(L2)MAC地址或可扩展的认证协议识别码(Extensible AuthenticationProtocol identifier)的RADIUS协议接入请求、认证请求或相应的直径请求。在所示出的实例中,AAA服务器40将一些AAA功能外包至客户数据库26。客户数据库26表示存储和/或产生被网络系统2的元素使用的移动信息以建立用以承载无线装置4与GGSN22之间客户数据业务的服务会话的非HLR装置(诸如,结构化查询语言(Structured Query Language)或轻量目录访问协议(LDAP,Lightweight Directory Access Protocol)数据库服务器)。在某些情况下,客户数据库26功能的一些方面可与AAA服务器40集成。尽管客户数据库26表示非HLR装置,但客户数据库26可在某些情况下被集成在执行HLR功能的多功能装置内。客户数据库26例如可实现附加的认证以及地址保留技术,如参照在下面所结合的美国专利申请第13/247,357号中以及在于2011年9月28日提交的题目为“CREDENTIAL GENERATION FOR AUTOMATIC AUTHENTICATIONON WIRELESS ACCESS NETWORK”的美国专利申请第13/247,308号中的客户数据库所描述的,其全部内容结合于此作为参考。
如参照图2~图5在下面进一步详细示出和描述的,例如,移动客户信息可包括IMSI、MSISDN、“虚拟”IMSI、“虚拟”MSISDN、客户证书(例如,用户名和密码),服务会话的默认APN以及IP地址。客户可以是“真正的客户”(其中,该客户具有对SP网络8服务的预先存在的订阅)或SP网络8的“虚拟客户”(其中,客户基于ad-hoc接入SP网络8)。MSISDN号码(在本文中还简称为“MSISDN”)有时被扩展至涉及“移动客户综合业务数字网络号(Mobile Subscriber Integrated Services Digital NetworkNumber)”或“移动台综合业务数字网络号(Mobile Station IntegratedServices Digital Network Number)”。
因为AAA服务器40不具有无线装置4的IMSI,AAA服务器40通过消息50B询问客户数据库26,而不是询问SP网络8的HLR24。消息50B可包括在消息50A中接收的客户证书或无线装置4识别码。如在下面参照图2~图6进一步详细示出和描述的,客户数据库26使用消息50B来查找或产生无线装置4的移动信息,其客户数据库26在消息50C中返回AAA服务器40。以这种方式,客户数据库26以对于SaMOG WAG16表现为代表给定客户但可能实际上与无线装置6无关的IMSI和MSISDN的形式返回虚拟移动性信息。换言之,客户数据库26伪造移动性信息以允许SaMOG WAG16建立与GGSN22的服务会话,以使用例如策略计费和规则功能(PCRF:Policy Charging and Rules Function)实体来实现集中的策略和计费控制。在某些情况中,由于在基于非EAP-SIM或EAP-AKA中的认证,无线装置4可对IMSI但不是对SIM卡上的加密向量具有访问。在这种情况中,尽管根据本文所描述的技术认证本身仍是基于密码,但无线装置4可获得并发送作为客户证书而不是用户名的其SIM卡的IMSI。
AAA服务器40将消息50D返回至SaMOG WAG16。消息50D是答复消息50A并且可表示RADIUS接入-接受(Access-Accept)、授权-接受(Authorization-Accept)或相应的直径(Diameter)消息。消息50D可包括在消息50C中通过AAA服务器接收的移动信息的一部分或全部。
一旦接收消息50D,SaMOG WAG16向GGSN22发出创建会话请求消息50E。创建会话请求消息50E包括通过客户数据库26查询或产生的IMSI和MSISDN。在所示出的情况中,会话请求消息50E代表创建PDP-上下文请求(Create PDP-Context Request)消息。在蜂窝网络6表示LTE网络演进分组核心(EPC,Evolved Packet Core)的情况中,创建会话请求消息50E代表创建会话请求消息。
除了别的操作以外,GGSN22接收创建会话请求消息50E并且通过执行控制协议建立无线装置4的客户会话以接收PDP地址配置并且与SaMOG WAG16通信以建立承载以携带与无线装置4的服务会话的客户数据业务(可选地被称为“服务业务”、“客户业务”或“用户业务”)。具体地,GGSN22将创建会话响应消息50F发送至SaMOG WAG16。创建会话答复消息50F可代表创建PDP-上下文答复(UMTS)或创建会话响应(LTE)消息(Create PDP-ContextReply(UMTS)或Create Session Response(LTE))。在创建会话请求消息50E以及创建会话响应消息50F中的GTP隧道标识符(TEID)定义了S2a接口31上的GTP-U(ser数据)。GTP-U隧道运载GGSN22与无线装置4之间的上行或下行服务业务(或者被称为“客户数据业务”、“客户业务”、或“用户业务”)。
图1C示出了利用与在此公开中描述的技术一致的非移动认证方法通过网络系统2的元素建立的GTP-U隧道60。无线装置4通过具有接入点32的无线链路64、备用接入网络10以及GTP-U隧道60与PDN12交换服务数据业务62。
图2A~图2B描绘了示出网络装置的操作实例的顺序图200,该操作实例用以以与本文描述的技术一致的方式执行用于建立无线装置4与GGSN22之间的服务会话以接入PDN的服务的非移动认证。顺序图200根据此公开的技术结合了非基于HLR(例如,客户数据库26)并且管理客户的“客户数据库”。
在某些实例中,客户数据库26从HLR24获得了客户的移动性信息(例如,IMSI/MSISDN值)并且将各个移动性信息与客户证书(例如,用户名/密码)相关联。在这种实例中,当无线装置4试图通过客户证书认证至SaMOG WAG16时,AAA服务器40利用客户证书来查找移动性信息。SaMOG WAG16然后可利用“真实客户”的实际移动性信息来建立用于接入PDN12服务的与GGSN22的服务会话。在这方面,这些实例提供在HLR24与客户数据库26之间的真实1:1映射。
在某些实例,HLR24定义了HLR24所不使用的IMSI的范围。作为替代,客户数据库24将这些“空闲”IMSI分配给试图经由SaMOG WAG16建立至PDN12的服务会话的无线装置。在这种情况中的无线装置4可以不包括SIM卡,并且在认证过程中无线装置4可以不将客户证书发送至SaMOG WAG16。尽管将使用不同的IMSI,但特定MSISDN可在HLR24中与真正客户相关联或被其使用(这意味着GGSN22将对真实客户应用计费/开账单)。可替代地,特定MSISDN可以不位于HLR24中,因此仅临时对服务会话应用计费/开账单。结果,无线装置4不会接收对额外服务的接入。
在某些实例中,IMSI/MSISDN是动态的,因此是暂时的,IMSI/MSISDN映射是基于每次连接/认证。然而,无线装置4的用户可在认证过程中提供信用卡号或其他计费识别码,因此,服务提供商可利用服务会话对服务会话和/或服务数据业务进行计费。上面的客户管理实例可被用在备选中或在所有客户或其任意子集的任意组合中。
顺序图200示出了当客户数据库26将客户证书(在本情况下,用户名和密码)映射至虚拟IMSI/MSISDN对以用在GTP-C信号发送中时的技术。图2的实例示出了用户设备(UE)(例如,具有SIM卡的无线装置4的情况)、WLAN(例如,备用接入网络10,具体地,接入点32)、SaMOGWAG16、AAA服务器40、HLR24以及GGSN22的操作。如在图2中所示,与接入点32关联的无线装置4执行到通过RADIUS接入请求初始化的AAA服务器40的基于EAP的认证。网络元素可使用EAP的形式(诸如,EAP-TTLS或PEAP)作为WLAN802.1x认证的一部分。
顺序图200示出了在WLAN802.1x认证的上下文中的技术,其可包括EAP-TTLS或PEAP。如上所述,在根据时序图200操作的实例中,客户证书和移动性信息可以是得自客户数据库26并且被预先放置在客户数据库26中。移动性信息可以或者可以不与HLR24中真实的或存在的客户相关。另外,在这些实例中,客户数据库26可以针对到来的会话请求向各个(即,非默认的)APN发信号。
最初,接入点32要求无线装置4利用LAN上EAP(EAPoL)请求识别帧来标识其自身(202)。无线装置4用包含无线装置4的标识符(例如,用户名)的EAP响应识别帧进行响应。接入点32将标识符封装在RADIUS接入请求消息中并且将该消息(其被封装在包括UE MAC地址的L2帧中)经由SaMOG WAG16发送至AAA服务器40(202)。在这一点,SaMOG16从L2帧的报头获知来自L2的无线装置4的UE MAC地址。
AAA服务器40向无线装置4发出EAP开始消息(210),其提示在无线装置4(212)与AAA服务器40之间的附加EAP消息的交换(214)。AAA服务器40基于无线装置4的标识符请求来自客户数据库26(在认证之前预先放置在客户数据库26中)的无线装置4的附加证书(216)。
客户数据库26将用户名映射至密码(共同为,“客户证书”)并且客户26将客户证书映射至“虚拟”IMSI/MSISDN,其可以或者可以不代表与客户证书相关联的真实客户的IMSI/MSISDN(218)。客户数据库26将虚拟IMSI/MSISDN(以及可选的APN)返回至AAA服务器40(220),其将它们在RADIUS接入-接受消息(其包括由IMSI/MSISDN以及可选的APN以及作为加密密钥(例如,微软的点对点加密(MPPE)密钥)的所得主密钥(PMK)组成的可计费用户ID(CUID,ChargeableUserID))中转发至SaMOG WAG16(222)。为了建立包括用于服务(其可通过可选的APN或默认APN在创建PDP-上下文请求消息中被识别)的GTP-U隧道的服务会话,SaMOG WAG16使用GTP-C发信号并且将创建PDP-上下文请求消息发送至GGSN22(224),其通过创建PDP-上下文响应消息进行响应(226)。在LTE体系结构的背景下,GTP-C信号发送可利用SaMOG WAG16与PGW之间的创建会话响应/请求消息。
SaMOG WAG16存储在UE MAC地址与在创建PDP-上下文响应消息中返回的IP地址之间的相关性(228)。SaMOG WAG16还将RADIUS接入接受消息转发至接入点32,其发送EAP-SUCCESS消息(232)并且与无线装置4执行EAP四次握手(four-way handshake)。
无线装置4然后可获得通过GGSN22分配的IP地址。在此实例中,无线装置4利用UE MAC地址将动态主机配置协议-发现消息(DynamicHost Configuration Protocol(DHCP)-Discover message)发送至SaMOGWAG16(236),其读取所存储的在UE MAC地址与在创建PDP-上下文响应消息中返回的IP地址之间的相关性,并且将该IP地址返回至无线装置4。SaMOG WAG16和无线装置4完成DHCP处理以完成连接并且建立IP连接性(240)。另外,SaMOG WAG16可在其转发或数据平面中建立策略,其识别从无线装置4的IP地址接收的业务并且为了服务会话将该业务在GTP-U隧道60上转发至GGSN(242)。SaMOG WAG16可创建类似的用于下行客户数据业务的策略。
图3A~图3B描绘了示出网络装置的实例操作的顺序图300,该网络装置用以以与本文描述的技术一致的方式执行用于建立无线装置4与GGSN22之间的服务会话以接入PDN的服务的非移动认证。顺序图300示出了当SaMOG WAG16没有从无线装置4接收客户证书时基于UEMAC地址使用DHCP的技术。即,无线装置4首先附接至接入点32以开启SSID(302),然后SaMOG WAG16一旦在DHCP-DISCOVER消息中检测到与客户相关联的无线装置4的新MAC地址(“UE MAC地址”)就建立服务会话,DHCP-DISCOVER消息被封装在包括UE MAC地址的L2帧中。在这一点,SaMOG16从L2帧报头获知无线装置4的UE MAC地址。
SaMOG WAG16将RADIUS接入请求消息与MAC地址发出至AAA服务器40(306),其查询客户数据库26以选择MAC地址的移动性信息(308)。如果对客户数据库26是新的MAC地址(310的否分支),则客户数据库26可将空闲的IMSI/MSISDN以及可选的APN与MAC地址相关联(312)。客户数据库26不仅向AAA服务器40返回移动性信息,客户数据库26还将移动性信息与MAC地址相关联并且将该关联存储在表或其他数据结构中(312)。如果MAC地址已以这种方式被预先存储(310中的是分支),则客户数据库26可使用MAC地址来查找相关联的移动性信息以返回至AAA服务器40(314)。客户数据库26将IMSI/MSISDN和可选的APE返回至AAA服务器40(316),其将它们在包括由IMSI/MSISDN和可选的APN组成的ChargeableUserID(CUID)的RADIUS接入接受消息中转发至SaMOG WAG16。为了建立包括用于服务(其可通过可选APN或默认APN在创建PDP-上下文请求消息中被识别)的GTP-U隧道的服务会话,SaMOG WAG16使用GTP-C信号发送并且将创建PDP-上下文请求消息发送至GGSN22(320),其通过创建PDP-上下文响应消息来响应(322)。在LTE体系结构的背景下,GTP-C信号发送可使用SaMOG WAG16与PGW之间的创建会话响应/请求消息。
SaMOG WAG16存储UE MAC地址与在创建PDP-上下文响应消息中返回的IP地址之间的相关性(324)。SaMOG WAG16在这方面通过向具有通过GGSN22分配的IP地址的无线装置4发出DHCP-Offer而发起DHCP(326)。SaMOG WAG16和无线装置4完成DHCP处理以完成连接并且建立IP连接性(328)。另外,SaMOG WAG16在其转发或数据平面中建立策略,其识别从无线装置4的IP地址接收的业务并且为了服务会话将该业务在GTP-U隧道60上转发至GGSN(330)。SaMOG WAG16可创建类似的用于下行客户数据业务的策略。
图4是示出其中客户装置附接至宽带接入网络的实例网络系统的框图,该宽带网络系统根据本文所描述的技术利用非移动认证来建立与移动服务提供商网络的服务会话。在此网络系统2的实例中,备用接入网络10用有线宽带接入网络(BAN)302来取代。客户装置306可代表图1A~1C中的用户装置4的实例以及有线装置/顾客预置设备(CPE:customerpremises equipment),诸如计算机、电视机顶盒、视频游戏系统、会议系统或数字用户线(DSL)或电缆调制解调器。
客户装置306通过BAN302(例如,其可表示DSL或电缆调制解调终端系统(CMTS)网络)附接至宽带远程接入服务器(BRAS)304。作为一个实例,客户装置306可通过BRAS304(第三层(L3)装置)建立点对点协议(PPP)会话。BRAS304被耦合至SaMOG WAG16,其获得客户装置306的客户证书并且结合网络系统2的其他元素应用本文所描述的技术以建立与SP网络8的服务会话。在某些实例中,网络系统2的元素通过顺序图400进行操作以建立服务会话。结果,运行SP网络8的服务提供商可对于有线BAN302交换的客户数据业务应用统一的策略和计费控制。在某些实例中,BAN302和BRAS304可表示L2网络装置,诸如,城域以太网(Metro Ethernet Network)和接入交换机。在于2011年9月28日提交的题目为“NETWORK ADDRESS PRESERVATION INMOBILE NETWORKS”的美国专利申请第13/247,357号中描述了用于连接至移动服务提供商网络的实例城域以太网和接入交换机,其全部内容结合在本文中作为参考。
图5A~图5B描绘了示出网络装置的实例操作的顺序图400,该网络装置以与本文所描述的技术相一致的方式执行用于建立在图4的客户装置306(“UE”)与GGSN22之间的服务会话以接入PDN的服务的非移动认证。如上所述,根据顺序图400的操作的实例,客户证书和移动性信号可得自客户数据库26并且被预先放置在该客户数据库中。移动性信息可以或者可以不与HLR24中真实的或存在的客户相关。另外,在这些实例中,客户数据库26可以针对到来的会话请求向各个(即,非默认的)APN发信号。
最初,无线装置4发起PPP认证(402)。例如,无线装置4可发送密码认证协议(PAP,Password Authentication Protocol)或挑战握手认证协议(CHAP,Challenge Handshake Authentication Protocol)的点对点协议(PPP)链路控制协议(LCP)帧。BRAS304(具有在PPP认证发起期间从无线装置4获得的用户名和密码(“客户证书”))将具有客户证书的RADIUS接入请求发向SaMOG WAG16,其将RADIUS接入请求转发至AAA服务器40(404)。
AAA服务器40利用证书查询客户数据库26(406)。客户数据库26将客户证书映射至“虚拟”IMSI/MSISDN,其可以或可以不代表与客户证书相关联的真正客户的IMSI/MSISDN(408)。客户数据库26将虚拟IMSI/MSISDN以及可选择的APN返回AAA服务器40(410),其将它们在包括由IMSI/MSISDN以及(可选的)APN组成的可计费的用户ID(CUID)的RADIUS接入-接受消息中转发至SaMOG WAG16。为了建立包括用于服务(其可通过可选APN或默认APN在创建PDP-上下文请求消息中被识别)GTP-U隧道的服务会话,SaMOG WAG16使用GTP-C信号发送(signaling)并且将创建PDP-上下文请求消息发送至GGSN22(414),其通过创建PDP-上下文响应消息来响应(416)。在LTE体现结构的背景下,GTP-C信号发送可利用SaMOG WAG16与PGW之间的创建会话响应/请求消息。
SaMOG WAG16在RADIUS接入接受消息中将在创建PDP-文本响应消息中接收的IP地址转发至BRAS304。BRAS304发送PPP确认消息(422)并且无线装置4和BRAS304完成PPP会话建立处理使得无线装置4接收服务会话的IP地址(424)。另外,SaMOG WAG16创建策略以基于在BAN302中的客户数据业务的成帧的IP地址通过服务会话的新GTP-U隧道将业务导向GGSN22(428)。SaMOG WAG16可创建类似的用于下行客户数据业务的策略。
类似于通过顺序图400示出的方法可被用于管理基于客户的虚拟私人网络-隧道(Virtual Private Networking(VPN)-Tunnel)。在这种情况下,VPN集线器代替BRAS304并且SaMOG WAG16开启从无线装置4朝着VPN集线器的安全套接层(SSL)VPN隧道(Secure Socket Layer(SSL)VPNtunnel)或IPsec隧道。SaMOG WAG接收成帧的IP地址并且将IP地址分配给无线装置4。在这一点,服务会话的数据隧道背负在VPN隧道之上。因此,代替利用基于PPP的认证,该技术可类似地被应用于基于非移动的基于用户名/密码的认证方法以建立VPN隧道。
在此公开中所描述的技术可至少部分地以硬件、软件、固件或其任意组合来实现。例如,所描述的技术的各个方面可在一个或多个处理器(包括一个或多个微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程逻辑门阵列(FPGA)或任意其他等价的集成或分立逻辑电路,以及这些组件的任意结合)内实现。术语“处理器”或“处理电路”可通常指任意的前述电路(单独的或与其他逻辑电路结合),或任意其他等价电路。包括硬件的控制单元也可执行此公开的技术中的一种或多种。
这种硬件、软件以及固件可在相同的装置内或在分开的装置内实现以支持在此公开中描述的各种技术。另外,所描述的单元、模块或组件中的任意一种可一起或作为分开的但能共同操作的逻辑器件分开地实现。作为模块或单元的不同特征的描述意在强调不同的功能方面,而不一定是暗示这些模块或单元必须通过分开的硬件、固件或软件组件来实现。更确切的,与一个或多个模块或单元相关联的功能可通过分开的硬件、固件或软件组件或者被集成在公共的或分开的硬件、固件或软件组件内来执行。
还可在包括用指令编码的计算机可读介质的产品中体现或编码在此公开中描述的技术。在包括被编码的计算机可读介质的产品中植入或编码的指令可使一个或多个可编程处理器或其他处理器以实现本文所描述的一种或多种技术,诸如,当在计算机可读介质中所包括的或被编码的指令通过一个或多个处理器执行时,计算机可读存储介质可包括随机存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存、硬盘、光盘(CD-ROM)、软盘、磁带、磁介质、光介质或其他计算机可读介质。在某些实例中,产品可包括一种或多种计算机可读存储介质。在某些实例中,计算机可读存储介质可包括非易失介质。术语“非易失”可指示不在载波或传播信号中体现的存储介质。在某些实例中,非易失存储介质可存储随时间变化的数据(例如,在RAM或高速缓冲存储器中)
另外或作为上面的备选,描述了下面的实施方式。在下面的实施方式的任意一种中描述的特征可通过本文所描述的任意其他实施方式来利用。
一种实施方式针对了一种方法,包括通过移动服务提供商网络的认证服务器从备用接入网络的接入网关接收无线装置的网络接入请求,其中,网络接入请求不包括国际移动用户识别码(IMSI)。该方法还包括响应于网络接入请求,从用于移动服务提供商网络的客户数据库获得虚拟移动性信息,其中,虚拟移动性信息包括虚拟的国际移动用户识别码(IMSI)。该方法还包括将虚拟移动性信息从认证服务器发送至接入网关。该方法还包括利用使用虚拟移动性信息的接入网关向移动服务提供商网络的移动网络网关发信号,以在通过移动网络网关锚定的备用接入网络上建立用于无线装置的服务会话。
在某些实施方式中,客户数据库并不作为用于移动服务提供商网络的归属位置寄存器(HLR)来操作。
在某些实施方式中,在用于移动服务提供商网络的归属位置寄存器中,虚拟IMSI与无线装置的客户不相关联。
在某些实施方式中,备用接入网络包括Wi-Fi网络、WiMAX网络或无线局域网络(WLAN)网络中的一个,并且接入网关包括Wi-Fi接入网关、WiMAX接入网关、WLAN接入网关中的一个。
在某些实施方式中,接入网关包括利用S2a接口来接口至移动网络网关的SaMOG网关。
在某些实施方式中,利用使用虚拟移动性信息的接入网络向移动网络网关发信号包括将包括虚拟IMSI的创建会话请求发送至移动网络网关。
在某些实施方式中,利用使用虚拟移动性信息的接入网络向移动网络网关发信号包括通过包括用于无线装置的因特网协议(IP)地址的接入网关来接收创建会话答复。
在某些实施方式中,移动服务提供商网络包括长期演进(LTE)或通用移动通信系统(UMTS)体系架构中的一个。
在某些实施方式中,该方法还可进一步包括利用使用与移动网络网关的服务会话的接入网关发送和接收无线装置的客户数据业务。
在某些实施方式中,该方法可进一步包括将客户证书预先存放在客户数据库并且将客户证书与对应客户的各个虚拟移动性信息相关联。
在某些实施方式中,网络接入请求包括客户证书,客户数据库将客户证书映射至对应的虚拟移动性信息。
在某些实施方式中,该方法进一步包括通过客户数据库从移动服务提供商网络的归属位置寄存器获得对应客户的各个虚拟移动性信息,其中,对应客户的虚拟移动性信息包括对应客户的实际移动性信息。
在某些实施方式中,网络接入请求包括无线装置的MAC地址,该方法可进一步包括当客户数据库不包括MAC地址与虚拟移动性信息之间的关联时,通过客户数据库为无线装置分配虚拟移动性信息并且将MAC地址与虚拟移动性信息相关联。该方法还可包括当客户数据库包括虚拟移动性信息与MAC地址之间的关联时,通过客户数据库分配与MAC地址相关联的虚拟移动性信息。
在某些实施方式中,该方法可进一步包括建立用于服务会话的连接接入网关与移动网络网关的GTP-U隧道。该方法还可包括通过接入网关将GTP-U隧道映射至与无线装置的在备用接入网络中的第二层(L2)连接。
在某些实施方式中,虚拟移动性信息包括服务会话的非默认接入点名称(APN)。
在某些实施方式中,授权服务器利用不要求IMSI的非移动认证方法认证所述无线装置。
在某些实施方式中,虚拟移动性信息包括在用于移动服务提供商网络的归属位置寄存器中与无线装置的客户相关联的MSISDN号,并且该方法还进一步包括利用MSISDN号通过移动网络网关来对客户计费。
在某些实施方式中,虚拟移动性信息包括临时MSISDN号,并且该方法可进一步包括利用临时MSISDN号通过移动网络网关来计费服务会话。
一种实施方式针对通过备用接入网络的接入网关执行的方法,该方法包括接收无线装置的网络接入请求,其中,网络接入请求不包括国际移动用户识别码(IMSI)。该方法还包括从网络接入请求提取无线装置识别码,将无线装置识别码发送至授权服务器以请求无线装置的移动性信息,以及接收无线装置的虚拟移动性信息。该方法还包括利用虚拟移动性信息向移动服务提供商网络的移动网络网关发信号,以在通过移动网络网关锚定的备用接入网络上建立无线装置的服务会话。
在某些实施方式中,无线装置标识符包括无线装置的MAC地址或与无线装置相关联的客户的客户证书中的一个。
在某些实施方式中,授权服务器不包括移动服务提供商网络的归属位置寄存器。
一种实施方式针对移动服务提供商网络的认证系统,该认证系统包括:归属位置寄存器,与归属位置寄存器分开的客户数据库,以及从备用接入网络的接入网关接收无线装置的网络接入请求的认证服务器,其中,网络接入请求不包括国际移动用户识别码(IMSI),其中,认证服务器将网络接入请求的表示发送至客户数据库,其中,客户数据库通过虚拟移动性信息响应于网络接入请求的所述表示,其中,虚拟移动性信息包括虚拟国际移动用户识别码(IMSI),其中,认证服务器将虚拟移动性信息发送至接入网关。
一种实施方式针对一种非易失计算机可读存储介质,包括用于使移动服务提供商网络的接入网关的一个或多个可编程处理器接收无线装置的网络接入请求的指令,其中网络接入请求不包括国际移动用户识别码(IMSI)。该指令还使处理器从网络接入请求提取无线装置识别码,将无线装置识别码发送至授权服务器以请求无线装置的移动性信息,响应于该请求接收无线装置的虚拟移动性信息,其中,虚拟移动性信息包括虚拟国际移动用户识别码(IMSI)。该指令还使处理器利用虚拟移动性信息向移动服务提供商网络的移动网络网关发信号,以在通过移动网络网关锚定的备用接入网络上建立无线装置的服务会话。
一种实施方式针对移动服务提供商网络,包括蜂窝接入网络以及具有接入网关的备用接入网络。移动服务提供商网络还包括从接入网关接收无线装置的网络接入请求的移动服务提供商网络的认证服务器。移动服务提供商网络进一步包括移动服务提供商网络的客户数据库,其中客户数据库通过虚拟移动性信息响应于网络接入请求,其中,网络接入请求不包括国际移动用户识别码(IMSI),其中,虚拟移动性信息包括虚拟IMSI,其中,接入网关使用虚拟移动性信息向移动服务提供商网络的移动网络网关发信号以建立在通过移动网络网关锚定的备用接入网络上的无线装置的服务会话。
一种实施方式针对一种方法,包括,利用不包括国际移动用户识别码(IMSI)的客户标识符以对被附接至备用接入网络的无线装置建立移动服务提供商网关与该备用接入网络的接入网关之间的认证连接,来效仿基于移动的认证方法。
此外,在上述实施方式的任意一个中给出的具体特征的任意一个可被结合进所描述的技术的有益实施方式中。即,具体特征中的任意一个通常可应用于发明的所有实施方式。已描述了本发明的各种实施方式。
Claims (24)
1.一种方法,包括:
通过移动服务提供商网络的认证服务器从备用接入网络的接入网关接收无线装置的网络接入请求,其中,所述网络接入请求不包括国际移动用户识别码(IMSI);
响应于所述网络接入请求,从所述移动服务提供商网络的客户数据库获得虚拟移动性信息,其中,所述虚拟移动性信息包括虚拟的国际移动用户识别码(IMSI);
将所述虚拟移动性信息从所述认证服务器发送至所述接入网关;以及
通过使用所述虚拟移动性信息的所述接入网关向所述移动服务提供商网络的移动网络网关发信号,以在通过所述移动网络网关锚定的所述备用接入网络上建立所述无线装置的服务会话。
2.根据权利要求1所述的方法,其中,所述客户数据库不作为所述移动服务提供商网络的归属位置寄存器来操作。
3.根据权利要求1至2中任一项所述的方法,其中,在所述移动服务提供商网络的归属位置寄存器中,所述虚拟IMSI与所述无线装置的客户不关联。
4.根据权利要求1至3中任一项所述的方法,其中,所述备用接入网络包括Wi-Fi网络、WiMAX网络或无线局域网络(WLAN)网络中的一个,并且所述接入网关包括Wi-Fi接入网关、WiMAX接入网关、WLAN接入网关中的一个。
5.根据权利要求1至4中任一项所述的方法,其中,所述接入网关包括利用S2a接口来接口至所述移动网络网关的SaMOG网关。
6.根据权利要求1至5中任一项所述的方法,其中,通过使用所述虚拟移动性信息的所述接入网关向所述移动网络网关发信号包括:将包括所述虚拟IMSI的创建会话请求发送至所述移动网络网关。
7.根据权利要求6所述的方法,其中,通过使用所述虚拟移动性信息的所述接入网关向所述移动网络网关发信号包括:通过所述接入网关来接收包括所述无线装置的因特网协议(IP)地址的创建会话答复。
8.根据权利要求1至7中任一项所述的方法,其中,所述移动服务提供商网络包括长期演进(LTE)或通用移动通信系统(UMTS)体系架构中的一个。
9.根据权利要求1至8中任一项所述的方法,进一步包括通过使用与所述移动网络网关的服务会话的所述接入网关来发送和接收所述无线装置的客户数据业务。
10.根据权利要求1至9中任一项所述的方法,进一步包括将客户证书预先存放在所述客户数据库并且将所述客户证书与对应客户的各自的虚拟移动性信息相关联。
11.根据权利要求10所述的方法,
其中,所述网络接入请求包括客户证书,以及
其中,所述客户数据库将所述客户证书映射至所述对应的虚拟移动性信息。
12.根据权利要求10所述的方法,进一步包括:
通过客户数据库从所述移动服务提供商网络的归属位置寄存器获得对应客户的各自的虚拟移动性信息,其中,对应客户的所述虚拟移动性信息包括对应客户的实际移动性信息。
13.根据权利要求1至12中任一项所述的方法,其中,所述网络接入请求包括所述无线装置的MAC地址,所述方法进一步包括:
当所述客户数据库不包括所述MAC地址与所述虚拟移动性信息之间的关联时,通过所述客户数据库分配用于所述无线装置的虚拟移动性信息,并且将所述MAC地址与所述虚拟移动性信息相关联;以及
当所述客户数据库包括所述虚拟移动性信息与所述MAC地址之间的关联时,通过所述客户数据库分配与所述MAC地址相关联的所述虚拟移动性信息。
14.根据权利要求1至13中任一项所述的方法,进一步包括:
建立用于服务会话的连接所述接入网关与移动网络网关的GTP-U隧道;以及
通过所述接入网关将所述GTP-U隧道映射至在所述备用接入网络中与所述无线装置的第二层(L2)连接。
15.根据权利要求1至14中任一项所述的方法,其中,所述虚拟移动性信息包括所述服务会话的非默认接入点名称(APN)。
16.根据权利要求1至15中任一项所述的方法,其中,所述授权服务器使用不要求IMSI的非移动认证方法认证所述无线装置。
17.根据权利要求1至16中任一项所述的方法,其中,所述虚拟移动性信息包括在所述移动服务提供商网络的归属位置寄存器中与所述无线装置的客户相关联的MSISDN号,所述方法进一步包括:使用所述MSISDN号通过所述移动网络网关来对客户计费。
18.根据权利要求1至17中任一项所述的方法,其中,所述虚拟移动性信息包括临时MSISDN号,所述方法进一步包括:
使用所述临时MSISDN号通过所述移动网络网关来对所述服务会话计费。
19.一种通过备用接入网络的接入网关执行的方法,所述方法包括:
接收无线装置的网络接入请求,其中,所述网络接入请求不包括国际移动用户识别码(IMSI);
从所述网络接入请求提取无线装置识别码;
将所述无线装置识别码发送至授权服务器以请求所述无线装置的移动性信息;
接收所述无线装置的虚拟移动性信息;以及
利用所述虚拟移动性信息向所述移动服务提供商网络的移动网络网关发信号,以在通过所述移动网络网关锚定的所述备用接入网络上建立所述无线装置的服务会话。
20.根据权利要求19所述的方法,其中,所述无线装置识别码包括所述无线装置的MAC地址或与所述无线装置相关联的客户的客户证书中的一个。
21.根据权利要求19所述方法,其中,所述授权服务器不包括所述移动服务提供商网络的归属位置寄存器。
22.一种移动服务提供商网络的认证系统,所述认证系统包括:
归属位置寄存器;
客户数据库,与所述归属位置寄存器分开;以及
认证服务器,从备用接入网络的接入网关接收无线装置的网络接入请求,其中,所述网络接入请求不包括国际移动用户识别码(IMSI),并且其中,所述认证服务器将所述网络接入请求的表示发送至所述客户数据库,
其中,所述客户数据库通过虚拟移动性信息来响应所述网络接入请求的所述表示,
其中,所述虚拟移动性信息包括虚拟国际移动用户识别码(IMSI),以及
其中,所述认证服务器将所述虚拟移动性信息发送至所述接入网关。
23.一种系统,包括:
移动服务提供商网络,包括蜂窝接入网络;
备用接入网络,包括接入网关;
所述移动服务提供商网络的认证服务器,从所述接入网关接收无线装置的网络接入请求;以及
所述移动服务提供商网络的客户数据库,其中所述客户数据库通过虚拟移动性信息来响应所述网络接入请求,
其中,所述网络接入请求不包括国际移动用户识别码(IMSI),
其中,所述虚拟移动性信息包括虚拟IMSI,以及
其中,所述接入网关利用所述虚拟移动性信息向所述移动服务提供商网络的移动网络网关发信号,以在通过所述移动网络网关锚定的所述备用接入网络上建立所述无线装置的服务会话。
24.一种方法,包括:利用不包括国际移动用户识别码(IMSI)的客户标识符来为被附接至备用接入网络的无线装置建立在移动服务提供商网关与所述备用接入网络的接入网关之间的认证连接,来效仿基于移动的认证方法。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261639008P | 2012-04-26 | 2012-04-26 | |
| US61/639,008 | 2012-04-26 | ||
| US13/553,543 US9264898B2 (en) | 2012-04-26 | 2012-07-19 | Non-mobile authentication for mobile network gateway connectivity |
| US13/553,543 | 2012-07-19 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103379494A true CN103379494A (zh) | 2013-10-30 |
| CN103379494B CN103379494B (zh) | 2016-11-30 |
Family
ID=
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105376739A (zh) * | 2015-12-04 | 2016-03-02 | 上海斐讯数据通信技术有限公司 | 网络认证方法及系统 |
| WO2017035781A1 (en) * | 2015-09-01 | 2017-03-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices of authenticating non-sim mobile terminals accessing a wireless communication network |
| CN107277101A (zh) * | 2016-03-31 | 2017-10-20 | 丛林网络公司 | 网络方法、网络装置、网络系统及存储介质 |
| US10693770B2 (en) | 2013-09-30 | 2020-06-23 | Juniper Networks, Inc. | Service chaining within computer networks |
| CN111885675A (zh) * | 2013-10-31 | 2020-11-03 | 苹果公司 | 无线局域网(wlan)连通性选项发现 |
| CN112398896A (zh) * | 2019-08-19 | 2021-02-23 | 上海诺基亚贝尔股份有限公司 | 用于提供服务的设备、方法、装置和计算机可读存储介质 |
| CN112492594A (zh) * | 2014-07-16 | 2021-03-12 | 高通股份有限公司 | 将设备与另一个设备的网络订制进行关联 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1674497A (zh) * | 2004-03-26 | 2005-09-28 | 华为技术有限公司 | Wlan终端接入移动网络的认证方法 |
| EP1624639A1 (en) * | 2004-08-02 | 2006-02-08 | Service Factory SF AB | Sim-based authentication |
| CN103124440A (zh) * | 2011-11-18 | 2013-05-29 | 中兴通讯股份有限公司 | 一种无sim卡终端接入物联网的方法和系统 |
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1674497A (zh) * | 2004-03-26 | 2005-09-28 | 华为技术有限公司 | Wlan终端接入移动网络的认证方法 |
| EP1624639A1 (en) * | 2004-08-02 | 2006-02-08 | Service Factory SF AB | Sim-based authentication |
| CN103124440A (zh) * | 2011-11-18 | 2013-05-29 | 中兴通讯股份有限公司 | 一种无sim卡终端接入物联网的方法和系统 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10693770B2 (en) | 2013-09-30 | 2020-06-23 | Juniper Networks, Inc. | Service chaining within computer networks |
| CN111885675B (zh) * | 2013-10-31 | 2023-08-04 | 苹果公司 | 无线局域网(wlan)连通性选项发现 |
| CN111885675A (zh) * | 2013-10-31 | 2020-11-03 | 苹果公司 | 无线局域网(wlan)连通性选项发现 |
| CN112492594A (zh) * | 2014-07-16 | 2021-03-12 | 高通股份有限公司 | 将设备与另一个设备的网络订制进行关联 |
| US10582382B2 (en) | 2015-09-01 | 2020-03-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices of authenticating non-SIM mobile terminals accessing a wireless communication network |
| WO2017035781A1 (en) * | 2015-09-01 | 2017-03-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices of authenticating non-sim mobile terminals accessing a wireless communication network |
| CN105376739B (zh) * | 2015-12-04 | 2019-10-11 | 上海斐讯数据通信技术有限公司 | 网络认证方法及系统 |
| CN105376739A (zh) * | 2015-12-04 | 2016-03-02 | 上海斐讯数据通信技术有限公司 | 网络认证方法及系统 |
| CN107277101A (zh) * | 2016-03-31 | 2017-10-20 | 丛林网络公司 | 网络方法、网络装置、网络系统及存储介质 |
| CN107277101B (zh) * | 2016-03-31 | 2021-01-22 | 瞻博网络公司 | 网络方法、网络装置、网络系统及存储介质 |
| US11533382B2 (en) | 2016-03-31 | 2022-12-20 | Juniper Networks, Inc. | Providing user subscription nomadicity in wireline broadband networks |
| CN112398896A (zh) * | 2019-08-19 | 2021-02-23 | 上海诺基亚贝尔股份有限公司 | 用于提供服务的设备、方法、装置和计算机可读存储介质 |
| CN112398896B (zh) * | 2019-08-19 | 2023-11-07 | 上海诺基亚贝尔股份有限公司 | 用于提供服务的设备、方法、装置和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130288644A1 (en) | 2013-10-31 |
| US10021566B2 (en) | 2018-07-10 |
| EP2658301A1 (en) | 2013-10-30 |
| US9264898B2 (en) | 2016-02-16 |
| EP2658301B1 (en) | 2018-05-09 |
| US20160165445A1 (en) | 2016-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10021566B2 (en) | Non-mobile authentication for mobile network gateway connectivity | |
| US10805842B2 (en) | Mobile network operator (MNO) control of WiFi QOS via EAP/diameter | |
| Salkintzis | Interworking techniques and architectures for WLAN/3G integration toward 4G mobile data networks | |
| EP1522161B1 (en) | Wlan as a logical support node (sgsn) for interworking between the wlan and a mobile communications system | |
| CN105659668B (zh) | 经由ANDSF对WLAN QoS的移动网络运营商控制 | |
| US10080255B2 (en) | Mobile router in EPS | |
| EP2533466B1 (en) | Method and apparatus for providing network access to a user entity | |
| US20120008578A1 (en) | Method and system for interworking a wlan into a wwan for session and mobility management | |
| KR101052375B1 (ko) | 무선랜 타이트 커플링 해법 | |
| US20060046693A1 (en) | Wireless local area network (WLAN) authentication method, WLAN client and WLAN service node (WSN) | |
| EP1424810B1 (en) | A communication system and method of authentication therefore | |
| CN103781073B (zh) | 移动用户固网的接入方法及系统 | |
| CN112567812B (zh) | 用于移动设备的位置报告 | |
| CN103582159A (zh) | 一种固定移动网络融合场景下的多连接建立方法及系统 | |
| CN103379494B (zh) | 移动网络网关连接的非移动认证 | |
| CN103781156B (zh) | 分组数据网络(pdn)业务的实现方法、系统及网元 | |
| Gondi et al. | Secured roaming over WLAN and WIMAX networks | |
| CN103582160B (zh) | 数据传输方法及装置 | |
| KR20090043226A (ko) | 통합기지국 및 상기 통합기지국을 이용한 패킷서비스 방법,장치 및 시스템 | |
| Etemad et al. | Overview of WiMAX network architecture and evolution | |
| Thakker | Cross-domain authentication for multi-protocol phones | |
| Sheltami et al. | WLAN Integration For Future Generation Mobile Network Operators–A Case Study | |
| WO2010081396A1 (zh) | 毫微级接入点的入网方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: California, USA Patentee after: Juniper Networks, Inc. Address before: California, USA Patentee before: Jungle network |
|
| CP01 | Change in the name or title of a patent holder |