用于实现快速再认证的系统和方法

背景技术

本发明一般地涉及网络，尤其是涉及用于增强对网络客户端进行认证 和再认证的网络认证功能性的系统和方法。

对网络客户端进行认证和再认证的系统和方法被用于各种需求应用， 包括蜂窝网络、WiFi网络(例如，IEEE 802.11网络)、非许可移动接入 (UMA)或者通用接入网络(GAN)、其组合等。这些网络通常服务于 称为移动台的诸如无线电话或便携式计算机之类的客户端。移动台首先经 过认证以确保它们是非假冒的(genuine)，并在随后被授权以验证客户端 被允许采用或能够采用什么网络服务(如果有的话)。通常在无线电话或 其它客户端暂时松开到网络的连接时，或者在先前证书的有效时间段已经 期满时，执行再认证。

蜂窝、WiFi和UMA或GAN网络通常采用与一个或多个归属位置寄 存器(HLR)通信的一个或多个认证、授权、和计费(AAA)服务器来辅 助客户端认证和再认证。HLR通常维护与客户端(也称为订户)相关的信 息，包括国际移动订户身份(IMSI)号码、当前位置、所预订的服务、 等。AAA服务器可以辅助从IP网络的客户端获取标识信息，并将所获取 的标识信息与HLR中的相应记录进行比较以确定是否授权该客户端使用 特定网络服务。

认证处理通常是相对耗时且资源密集的，从而消耗AAA服务器和 HLR处的网络资源。因此，在某些情形中，例如当失去客户端网络连接 时，采用更有效的再认证技术来对客户端进行再认证。

AAA服务器通常在RADIUS可扩展认证协议(EAP)—订户身份模 块(EAP-SIM)消息内经由关联GAN或UMA来将经过加密的再认证信 息传达到移动台。如果移动台失去与GAN或UMA的连接，则如果在预 定时间间隔内进行再认证，移动台可以采用再认证信息来相对较快地进行 再认证。不幸的是，现有的用于实现再认证的系统和方法保持着不合希望 地耗时和网络资源密集性。

附图说明

图1是图示出根据本发明一个实施例、采用适用于实现非常快速再认 证的安全网关(SGW)和认证、授权和计费(AAA)服务器的UMA网络 的示图。

图2是适用于结合图1的网络使用的第一方法的流程图。

图3是适用于结合图1的网络使用的第二方法的流程图。

具体实施方式

本发明的优选实施例实现了用于辅助网络客户端的快速再认证的系统 和方法。该系统包括在安全网关内的缓存存储器，该缓存存储器存储从认 证服务器获得的再认证信息。SGW实现了用于采用再认证信息来执行客 户端的快速再认证而无需SGW和认证服务器之间的额外信令的一个或多 个例程。在一个更具体的实施例中，网络包括非许可移动接入(UMA)网 络、通用接入网络(GAN)和/或公众无线局域网(PWLAN)。认证服务 器包括认证、授权和计费(AAA)服务器。AAA服务器可以将包括许可 权在内的认证信息传达到SGW，以允许在由SGW执行非常快速再认证之 前，由SGW执行自治的非常快速再认证。

为了当前论述的目的，SGW可以是下述任何网络实体，该网络实体 可以辅助维护安全性或者以其它方式维护网络实体之间的加密连接，例如 硬件或软件模块或程序。

认证或再认证信息可以是下述任何信息，该信息可以用于判断客户端 或其它网络实体是否被授权访问网络或以其它方式利用其某些服务。

为了当前论述的目的，诸如AAA服务器之类的认证服务器可以是下 述任何服务器，该服务器适于实现认证功能以对诸如客户端之类的网络实 体进行认证或授权以使用网络所提供的某些服务。认证功能可以包括跟踪 客户端的网络服务使用率、维护针对客户端所使用的服务的帐单信息等。 服务器可以是可以用硬件和/或软件实现的任何计算机程序，该计算机程序 能够响应于来自另一个程序或模块的查询或者经由向另一个程序或模块的 主动推给(push)，向诸如该另一个程序或模块之类的另一个网络实体提 供数据和/或功能。AAA服务器可以是下述任何认证服务器，该认证服务 器可以对客户端进行认证，并且还授权客户端使用给定网络服务或功能 性，以及对客户端所使用的服务进行计费，或者以其它方式量化客户端所 使用的服务。

为了清楚起见，从附图中省略了各种已知组件，例如，电源、调制解 调器、防火墙、网卡、因特网服务提供商(ISP)、因特网协议安全性 (IPSEC)集中器、媒体网络(MGW)、移动交换中心(MSC)、负载均 衡器等。但是，本领域技术人员在获得本发明的教导的情况下，将知道实 现哪些组件以及如何实现它们以满足给定应用的需要。

图1是图示出根据本发明一个实施例、采用适于实现快速再认证的 SGW 22和AAA服务器30的UMA网络10的示图。网络10包括与接入 点14进行无线通信的移动台12，接入点14与覆盖区域16相关联，而移 动台12位于覆盖区域16中。

移动台12可以是下述任何设备，该设备可以与网络进行无线通信。 移动台的示例包括无线电话、具有IEEE 802.11无线卡的膝上型电脑、蓝 牙使能的设备、其它无线客户端等等。AP 14可以是辅助将移动台12连接 到网络10的IEEE 802.11a、802.11b、802.11g、802.16、红外、蓝牙、或 者其它类型的AP。为了当前论述的目的，移动台12是网络10的客户 端。客户端可以是从网络或服务器获得服务、数据或其它信息的任何设 备。

AP14经由宽带因特网协议(IP)网络18而耦合到SGW 22，IP安全 性(IPSEC)隧道是通过该宽带IP网络18来建立的。IPSEC隧道发起于 移动台12并延伸至SGW 22，SGW 22被并入在UMA网络控制器 (UNC)20内。UNC 20可以叫做另一个名称，例如通用接入网络控制器 (GANC)。本领域技术人员将会了解，在不同的实现方式中，诸如控制 器之类的网络组件可以叫做不同名称。

SGW 22包括非常快速再认证模块24，非常快速再认证模块24包括经 由AAA服务器30获得的再认证信息26。再认证信息26辅助使得非常快 速再认证模块24可以进行快速再认证，以下将更完整地论述。AAA服务 器30可以将认证信息维护在与AAA服务器30相耦合的归属位置寄存器 32中。

虽然非常快速再认证模块24被示出为实现在SGW 22内，但是非常快 速再认证模块24可以是与SGW 22耦合的分立模块，而不会脱离本发明的 范围。此外，SGW 22不必集成在UNC 20内，而可以被实现为与UNC 20 耦合的分立模块。

服务GPRS(通用分组无线电服务)支持节点(SGSN)28与UNC 20、AAA服务器30和网关GPRS支持节点(GGSN)34耦合。GGSN 34 耦合到其它网络36，例如因特网、移动通信全球系统(GSM)网络、码 分多址(CDMA)网络等。

在操作时，移动台12启动与SGW 22的通信，这在随后使得建立了移 动台12与UNC 20的SGW 22之间的IPSEC隧道。在UNC 20允许移动台 12访问经由UMA网络10提供的各种服务之前，移动台12首先被AAA 服务器30认证。

在本具体实施例中，AAA服务器30采用了针对GSM SIM的可扩展 认证协议—订户身份模块(EAP-SIM)认证方法。AAA服务器30采用公 知的A3/A8认证算法或其变体来辅助对移动台12的初始认证。

为了当前论述的目的，对客户端进行认证可能意味着标识该客户端， 并验证该客户端具有与有效订户身份模块(SIM)卡的连接，以及验证或 以其它方式判断该客户端是否可以访问某些网络服务。在一些应用中，可 以在不判断客户端是否具有与有效SIM卡的连接的情况下对客户端进行认 证。网络服务可以是诸如客户端之类的网络实体可用的任何功能性。网络 服务的示例包括短消息服务(SMS)或者因特网协议语音(VOIP)功能 性。

初始认证可能需要SGW 22、HRL 32和AAA服务器30之间的各种信 令。在执行对移动台12的初始认证之后，AAA服务器30将已经获得各种 认证信息。所获得的认证信息可以被提供给SGW 22作为对经过认证的移 动台12执行非常快速再认证的许可指示。认证信息可以缓存在SGW 22中 作为再认证信息26。与移动台12相关的再认证信息26可以包含各种信 息，例如国际移动订户身份(IMSI)或伪IMSI、移动台12的能力、标识 移动台12所预订的或者以其它方式被授权访问的服务的信息、等等。

传统上，当移动台12暂时离开网络覆盖区域16时，或者当移动台12 暂时松开与SGW 22的IPSEC连接时，或者当移动台12以其它方式暂时 失去与UNC 20的传送控制协议(TCP)连接时，AAA服务器30辅助再 认证。现有的再认证方法(例如，公共WiFi网络通常所采用的那些)通 常不涉及A3/A8算法的再利用。但是，这样的再认证方法通常仍然需要 AAA服务器30与SGW 22之间的过多通信。过多的再认证可能会压倒 HLR、AAA服务器和/或HLR、AAA服务器和附随SGW之间的通信路 径。

图1的网络10有效地适合用于基本上消除或减少再认证(在此称为 非常快速再认证)期间、在AAA服务器30、SGW 22和HLR 32之间的通 信。

为了辅助客户端的非常快速再认证，在SGW 22上运行的非常快速再 认证模块24适于采用再认证信息26。在本具体实施例中，非常快速再认 证在再认证期间不需要SGW 22和AAA服务器30之间的通信。但是，某 些实现方式可以采用SGW 22和AAA服务器30之间的最少通信，而不脱 离本发明的范围。

在本具体实施例中，在AAA服务器30初始确定再认证信息(这可能 发生在对移动台12的最初认证期间)之后，AAA服务器30运行用于将再 认证信息26转发到SGW 22的一个或多个例程。从AAA服务器30传递 到SGW 22的再认证信息可以嵌入在初始认证响应消息中。非常快速再认 证模块24可以表示下述经卸载(offload)再认证功能性，该经卸载再认证 功能性已经被从AAA服务器30卸载到SGW 22以加速再认证，从而潜在 地减轻由AAA服务器30所处理的再认证请求导致的潜在网络拥塞。

当功能性被复制、移动、或者以其它方式被实现在第二设备中或靠近 第二设备时，该功能性被说成从第一设备卸载到第二设备。本领域技术人 员在获得本发明的教导的情况下，可以很容易地从AAA服务器30向 SGW 22卸载、复制、或者以其它方式传送快速再认证功能性以实现本发 明的一个实施例，而无需过量实验。

为了当前论述的目的，所卸载的再认证信息26可以包括pseudo- imsi@domain，并可选地包括用户密码信息。在某些实现方式中，再认证 信息26可以包括各种可再利用的密钥，每次移动台12经过认证或再认证 时可以再利用这些密钥。这些密钥可以包括授权密钥(K_auth)、加密密 钥(K_encr)和主密钥(master key)，这些密钥已由AAA服务器30预先 获得。认证信息还可以包括计数器(AT_COUNTER)，该计数器可以提 供附加密钥信息、网络10针对移动台12所允许的连续快速再认证尝试或 成功结果的上限、保护信息、等等。注意，在本实施例中，非常快速再认 证不需要再运行A3/A8算法。在某些实现方式中，再认证信息26仅包括 pseudo-imsi@domain信息。

AAA服务器30选择性地提供用于移动台12的新的快速再认证身份信 息以及再认证信息26。再认证身份信息可以是为了实现再认证的目的而被 指派给诸如移动台之类的客户端的任何号码或其它标识符或者其组合。

在本具体实施例中，在AAA服务器30和移动台12之间通信的所有 信息都经AAA服务器30、SGW 22和/或移动台12加密。这防止了诸如构 成宽带IP网络18的设备之类的中间设备窥探或者以其它方式截取信息。

因此，网络10采用了可以经由SGW 22和AAA服务器30来实现的 一种系统，该系统用于选择性地从AAA服务器30向SGW 22卸载快速再 认证功能性，从而产生非常快速认真功能性。

虽然针对示例性UMA网络论述了本实施例，但是本发明的实施例可 适合结合其它类型的网络来使用，而不会脱离本发明的范围。例如，本发 明的实施例可容易适用公共无线局域网(PWLAN)。在PWLAN中，非 常快速再认证模块24可以用PWLAN的思科接入区域路由器(AZR)或 者网络接入服务器(NAS)来实现。

本领域技术人员可以很容易获得或者以其它方式构建图1的各种模块 而无需过量实验。例如，SGW 22可以经由经过修改的思科SGW来实现。 相关AAA类别属性和其它认证/再认证信息可以存储在思科SGW的思科 接入寄存器中。

因此，从AAA服务器30和/或HLR 32向SGW 22传递诸如再认证信 息之类的移动台授权证书可以使得SGW 22能够响应于从移动台12(或者 其它地方)接收的再认证请求而实现非常快速再认证，而无需在再认证期 间涉及AAA服务器30。因此，这种改进型非常快速再认证可以降低延 迟，并在再认证需要切换(handover)时改善在网络覆盖区域之间的切 换。

图2是适合结合图1的网络10使用的第一方法100的流程图。方法 100包括初始认证检验步骤102，在该步骤中，方法100判断移动台是否 已例如由AAA服务器通过A3/A8算法来初始认证。

如果移动台已经经过认证，则执行信息发送步骤106。否则，执行认 证步骤104，在该步骤中，对移动台进行初始认证。

信息发送步骤106涉及从AAA服务器和/或HLR向正在处理与移动台 的通信的SGW发送认证信息。为了当前论述的目的，术语认证信息和再 认证信息可以可互换地被使用。但是，再认证可以被视为认证信息的子集 或者超集，而不会脱离本发明的范围。例如，再认证信息可以包括在用于 初始认证的信息之外的附加信息。该附加信息(例如，快速再认证身份) 可以被专用于再认证。

再认证信息可以包括具有令牌/再认证标识的远程用户拨号认证服务 (RADIUS)类别属性、包括适当的计数器的所有的必需密钥信息、快速 再认证标识信息、等等。关于在再认证信息中包括什么的确切细节是面向 应用的(application specific)，并且在不脱离本发明的范围的情况下可以 是可变的。

随后，缓存步骤108涉及将再认证信息缓存在SGW中。包括令牌/再 认证标识信息的再认证信息与下述通信会话相关联，该通信会话与在需要 时将再认证的移动台相关联。

在例如响应于从移动台接收的再认证请求而需要快速再认证之后， SGW采用所缓存的再认证信息来实现非常快速再认证，而无需AAA服务 器和/或HLR的进一步辅助以实现非常快速再认证。

接下来，中断检验步骤112判断是否发生了系统中断。当关联网络被 禁用或者实现方法100的软件和/或硬件被禁用或者以其它方式暂停时，会 发生系统中断。如果已经发生了系统中断，方法100完成，否则，继续针 对与所缓存的认证信息相关联的移动台来执行步骤110。

方法100的各个步骤102-112可以被变更、互换和/或省略，而不会脱 离本发明的范围。例如，可以利用以下将更完整地论述的更加一般化的方 法来替代方法100，或者与该更一般化的方法组合使用方法100。

图3是适合结合图1的网络10使用的第二方法120的流程图。第二方 法120可以被视为图2的第一方法100的更一般化版本。方法120包括初 始卸载步骤122，该步骤包括从AAA服务器向UMA、GAN、或者 PLWAN中的SGW卸载预先存在的快速再认证功能性。

随后，SGW被选择性地用于实现非常快速再认证，而无需在该非常 快速再认证期间从AAA服务器获取认证信息。

在执行快速再认证时可以将一些认证信息和功能留给AAA服务器， 而不会脱离本发明的范围。但是，在由SGW执行再认证功能之前将至少 一些快速再认证功能性和/或预先确定的再认证信息卸载到SGW可以辅助 减轻AAA服务器和SGW之间的由来自多个客户端的再认证请求导致的网 络拥塞。

因为附随SGW经由IPSEC消息从客户端接收再认证请求，所以在 SGW处实现至少一些再认证功能性可以减少在客户端请求快速再认证时 的消息流。因此，本发明的某些实施例可以使能在EAP-SIM客户端的快 速再认证期间的消息流的减少和优化。可以在PWLAN的AZR中、在 UMA和GAN的SGW中以及相关网络中实现这种快速再认证。

虽然主要针对采用无线非许可谱的网络论述了本发明的实施例，但是 本发明的实施例可以适用通常展现一类通信链路的任何网络模块，但是通 过选择性地采用根据这里所公开的实施例的经卸载再认证功能性和/或信息 将会受益。此外，可以采用任何可接受的体系结构、拓扑、协议、或者其 它网络和数字处理特征。一般而言，诸如接入点、端点等的网络模块可以 经由具有处理能力或者其它必需功能性的任何设备来实现。

虽然本发明的处理和执行这些处理的硬件的特征可以用对因特网和 UMA或GAN网络的论述为共同的语言(例如，“客户端”、“UNC”、 “GANC”等)来表征，但是应当了解，本发明的操作可以在任何类型的 链路或网络上与另一个设备具有任何通信关系的任何类型的合适硬件上执 行。

虽然本发明的处理可以被作为单个实体(例如，在单个机器上执行的 软件)来呈现，但是该软件可以在多个机器上被容易地执行。即，可以存 在给定软件程序的多个实例，单个程序可以在处于分布式处理环境中的两 个或更多个处理器上执行，单个程序的各个部分可以在不同的物理机器上 执行，等等。此外，两个不同的程序(例如，客户端和服务器程序)可以 在单个机器中或者在不同的机器中执行。单个程序可以作为针对一个信息 事务的客户端并作为针对不同的信息事务的服务器来操作。

任何类型的处理设备均可以用作客户端。例如，可以采用诸如个人数 字助理(PDA)、蜂窝电话、膝上型计算机、或其它设备之类的便携式计 算设备。一般而言，具体处理的设备和方式(包括位置和定时)对于实施 本发明的重要特征而言并不关键。

虽然已经针对本发明的具体实施例论述了本发明，但是这些实施例仅 仅是对本发明的例示，而不是限制。本发明的实施例可以在包括用户、设 备、功能系统、或者硬件和软件的组合在内的任何两个处理或实体之间操 作。对等网络以及客户端和服务器的角色被转换、动态改变、或者甚至不 存在的任何其它网络或系统落在本发明的范围内。

可以使用任何合适的编程语言来实现各个网络实体所采用的例程或其 它指令。示例性编程语言包括C、C++、Java、汇编语言、等等。可以采 用不同的编程语言，例如面向过程的或者面向对象的。这些例程可以在单 个处理设备或者多个处理器上执行。这些例程可以在操作系统环境中操 作，或者作为占据系统处理的全部或者实质部分的独立例程来操作。

在这里的描述中，提供了许多具体细节，例如组件和/或方法的示例， 以提供对本发明实施例的彻底理解。但是，相关领域技术人员就会了解， 本发明的实施例可以在没有这些具体细节中的一个或多个的情况下或者在 具有其它装置、系统、部件、方法、组件、材料、部分、和/或类似物的情 况下被实施。在其它实例中，公知的结构、材料、或者操作并没有被具体 地示出或者详细描述，以避免模糊本发明的实施例的各个方面。

用于本发明实施例的目的的“机器可读介质”或“计算机可读介质” 可以是下述任何介质，该介质可以包含、存储、传达、传播、或者传送供 或者连同指令执行系统、装置、系统或设备使用的程序。仅作为示例而不 是限制，计算机可读介质可以是电子、磁、光、电磁、红外、或者半导体 系统、装置、系统、设备、传播介质、或者计算机存储器。

“处理器”或者“处理”包括处理数据、信号或其它信息的任何人 工、硬件和/或软件系统、机构或组件。处理器可以包括具有通用中央处理 单元的系统、多个处理单元、用于实现功能性的专用电路、或者其它系 统。处理不必局限于地理位置、或者具有时间限制。例如，处理器可以 “实时地”、“离线地”、以“批处理模式”等地执行其功能。处理的各 部分可以由不同(或者相同)处理系统在不同时间并在不同位置执行。计 算机可以是与存储器通信的任何处理器。

在本说明书通篇中对“一个实施例”、“实施例”、或者“具体实施 例”的提及指的是连同该实施例描述的特定特征、结构、或者特性被包括 在本发明的至少一个实施例中且不必包括在所有实施例中。因此，在本说 明书通篇的各个位置处相应出现的短语“在一个实施例中”、“在实施例 中”、或者“在具体实施例中”并不必然指的是相同实施例。此外，本发 明的任何具体实施例的特定特征、结构或特性可以被以任何合适的方式与 一个或多个其它实施例组合。应当了解，按照这里的教导，这里所描述并 例示的本发明的各个实施例的其它变体和修改例是可能的，且将被示为本 发明的精神和范围的一部分。

可以全部或部分地通过下述方式来实现本发明的实施例：通过使用编 程通用数字计算机；通过使用专用集成电路、可编程逻辑器件、现场可编 程门阵列、光的、化学的、生物的、量子的或者纳米工程系统或机构；等 等。一般而言，可以通过本领域已知的任何方式来实现本发明的功能。可 以使用分布式或者联网系统、组件和/或电路。数据的通信或者传送可以是 有线的、无线的、或者通过任何其它方式的。

还将了解，在制图/图形中示出的一个或多个元件也可以以多个分立或 集成的方式来实现，或者甚至因为在某些情况下不起作用、根据特定应用 很有用而被移除或恢复。实现可以存储在机器可读介质中的程序或代码以 允许计算机执行上述任何方法也落在本发明的精神和范围内。

另外，在制图/图形中的任何信号箭头应当仅仅被视为是示例性的、而 非限制性的，除非另有特别指出。此外，这里所使用的术语“或”通常应 当指的是“和/或”，除非另有指出。各组件或步骤的组合也将被视为已被 表明，其中，术语被预见为使得能力可分离或组合是不清楚的。

在这里的描述和通篇权利要求书中使用的在“一”和“该”之后包括 多个提及，除非上下文中另有清楚指示。此外，在这里的描述和通篇权利 要求书中使用的在“在...中”的含义之后包括“在...中”和“在...上”， 除非上下文另有清楚指示。

本发明的例示实施例的以上描述(包括在摘要中描述的)并不打算是 穷尽的，并且并不打算将本发明限制于这里所公开的确切形式。虽然在这 里仅仅为了例示目的而描述了本发明的具体实施例和示例，但是，相关领 域技术人员将会意识到并了解，各种等同修改例可以在本发明的精神和范 围内。如所指示出的，根据本发明的例示实施例的以上描述可以对本发明 作出这些修改例，并且这些修改例将包括在本发明的精神和范围内。

因此，虽然这里已经参考本发明的特定实施例描述了本发明，但是许 多修改、各种改变和替代应当在以上公开内容中，并且将会了解，在一些 实例中，将在没有相应使用本发明的实施例一些特征的情况下采用其它特 征，而不脱离所阐明的本发明的范围和精神。因此，可以作出许多修改以 使特定情形或材料适用本发明的本质范围和精神。本发明不打算限制于以 下权利要求所使用的特定术语和/或作为用于实现本发明的最佳实施例来公 开的特定实施例，相反，本发明将包括落在所附权利要求的范围内的任何 和所有实施例和等同物。