专利名称:在通信网络中锁定运营商接入的制作方法
技术领域:
本发明一般地涉及通信网络领域,并且更具体地,涉及对通信网 络中的通信装备的授权接入。
背景技术:
除了其它分组数据通信系统之外,IEEE 802.16-2005标准(这里被 称为WiMAX)通信标准能够提供用以防止未授权的用户访问网络上的 数据的安全特征。这些安全特征不仅为该网络用户提供保密措施,而 且还允许服务提供商建立一些控制接入其网络的措施。
一种用以提供以上所描述的安全特征的通用技术是使用公共密钥 基础设施(PKI)来提供在网络上消息传递的认证和保密。例如,服务 网络内的接入终端和认证服务器利用公共密钥加密算法的不对称性质 来认证通信链接的端点,以彼此证明通信路径中的至少一个端点持有 私有密钥,该私有密钥与能够和远程方共享的公共密钥加密地相关联。 典型地,通信链接的一个或两个端点利用数字证书,该通信链接包含 不变的一组属性,包括端点本身的身份、端点的公共密钥和来自证书 授权的签名。利用公知的基于PKI的技术,端点(多个)能够验证数字 证书是由可信任的证书授权签署的,并且能够验证远程方持有私有密 钥,其表示已经加密地验证了远程方的身份。
然而,由于任何接入网络都可能持有由可信任的证书授权签署的 有效数字证书,所以这里存在对于基于公共密钥的认证能力的限制。 需要一种方法,在该方法中接入终端能够基于如数字证书本身的内容 内所呈现的网络身份,以及通过其能够将设备配置为基于一个或多个 潜在的网络身份来接受或拒绝接受通信的机制来区分无线网络。
4为了解决该问题,网络中的服务提供商能够利用用于区域表的简 档来配置接入终端,终端可以使用该区域表来完成网络进入认证以便
于与该网络通信。IEEE 802.16使用被称为EAP (可扩展认证协议)的 协议来提供这种认证服务,所述EAP协议能够支持用于网络接入的基于 公共密钥认证(PKI)的认证方法。
参考图l,示出了描述现有EAP认证协议的流程图。提供移动订户 站(MSS)用于WiMAX网络上的通信。该MSS被预配置14有证书授权 (CA)根证书列表。这些是可信任识别实体具有证明网络上终端操作 的权限的数字凭证。MSS也被配置有一个或多个基于正则表达式的区 域的限定表。例如,MSS可以被配置有诸如气carrier.com的网络区域过 滤器。由家庭认证、授权、计费(H-AAA)服务器12来认证用于MSS 的网络上的服务。该服务器被配置16有由运营商发行的服务器证书。 该AAA服务器证书也在可读文本中(例如,aaal .carrier.com 、 aa2.west.carrier.com)包含关联的证书通用名称(CN)。
在来自终端的初始通信18的基础上,应答接入点连接到用于终端 认证的H-AAA服务器。接入点仅允许MSS到H-AAA之间的EAP分组, 阻断所有其它的数据。H-AAA服务器通过接入点向MSS发送20 EAP请 求消息以开始特定的认证方法。MSS通过该接入点用包括其身份的客 户问候消息进行回复22。该H-AAA服务器用包含认证服务器身份和其 自己的服务器证书的服务器问候EAP分组进行响应24。为了简洁起见, 已经简化了以上描述以排除EAP协议中所交换的额外的、不相关的信 息。
MSS使用基于公共密钥数字证书的认证技术来验证26 H-AAA服 务器证书。具体地,MSS通过以下方法来验证H-AAA服务器证书a) 验证该证书格式恰当,b)验证该证书还没有过期,以及c)验证该证书是 由可信任的CA (即,MSS中所安装的CA根证书之一)发行的。假设
5H-AAA服务器证书是有效的(如所示),则发送EAP消息,指示验证 完成28。可选地,MSS能够缓存30H-AAA服务器证书用于进一步验证。 一旦EAP认证成功32,就引导接入点为用户授权其它类型的业务,使网 络进入完成。
也应该注意,存在能够被用于认证的很多类型的EAP协议。利用 服务器AAA数字证书的一些示例性的EAP协议包括,但不限于 EAP-TLS (传输层安全)、EAP-TTLS (隧道化传输层安全)、PEAP (密码可扩展认证协议),其中的每一个都限定如何认证。
目前,WiMAX终端可以包含用于很多不同运营商的认证简档。这 对于向用户提供终端资助的运营商而言是成本劣势,这些用户随后可 能在竞争运营商的网络上使用该终端。例如,终端能够利用用于接入 网络的不同简档。然而,"运营商锁定的"MSS能够如由H-AAA服务 器证书验证的网络身份来确定MSS在启用数据服务之前是否要接受网 络的身份,以及是否避免接受运营商锁所"不允许"的网络的网络连 接。因此,优选地将运营商提供的终端"锁定"到该运营商的网络。 之前所描述的授权技术没有为运营商提供将订户单元锁定为具有服务 器证书的任何H-AAA的解决方案,该服务器证书能够通过使用H-AAA 的证书层级的根证书来认证,在MSS预配置该服务器证书。
因此,服务提供商需要一种方法和装置,以使用终端的被存储的 简档来将订户终端"锁定"到它们的网络,使得终端将仅在服务提供 商所拥有的或隶属于服务提供商的网络上运行,该服务提供商类似于 当今的蜂窝服务提供商(例如,Sprint、 Verizon),将蜂窝电话限制为 仅在该提供商的网络上操作。具体地,运营商需要一种方法使服务提 供商锁定终端,使得运营商能够资助设备的成本,并且仍然确信该设 备仅能够与它们的网络使用。
所附权利要求中特别地指出了本发明。然而,通过结合附图参考 下面的详细描述,本发明的其它特征将变得更加显而易见,并且将最 好地理解本发明,在附图中
图1是现有技术的EAP认证的简化流程图2是根据本发明的修改的EAP认证的简化流程图3是根据本发明的方法的简化流程图。
本领域技术人员将认识到,通常不描绘或描述商业上可行的实施 例中有用的或必要的通用但公知的元素,以便于较少地妨碍本发明的 这些各种实施例的意图。
具体实施例方式
本发明提供一种用于服务提供商使用终端的存储的简档来将订户 终端"锁定"到该服务提供商所拥有的或隶属于该服务提供商的网络 的方法和装置。以这种方式,终端将仅利用该网络运行,并且因此为 了通过网络接入费来补偿他们投资能够由运营商来资助。具体地,能
够通过配置移动订户站(MSS)终端以利用PKI验证的信息来标识一
个或多个网络服务提供商来实现服务提供商锁,使得该终端仅利用该 服务提供商的网络才可操作。例如,能够在终端制造的工厂、或者在 购买后由零售商或用户,诸如依靠在线服务供给来执行终端的配置。
虽然己知对于各种基于PKI的客户允许网络证书的模式匹配,但 这些模式匹配的控制基于最终用户的控制内的限定。相反地,本发明 描述经由网络内的供给服务器的一种机制,其允许添加并且修改用于 服务供给的认证串。这允许运营商启用零售模型并且将设备资助添加 到它们的产品提供。
强认证凭证的使用,诸如用以识别网络的来自AAA服务器的数字 证书,使得具有服务提供商锁的终端能够有把握地知道服务提供商的 身份。该身份能够被用以做出是否允许该终端在该网络上或不在该网
7络上提供数据服务的确定'。如以下将要详细说明的,本发明使用与被 认证的网络证书的内容匹配的柔性模式来实现网络检査。在设备内遍 及所有认证简档的应用服务提供商锁,允许服务提供商提供区分的服 务(被锁定的和未被锁定的),并且有把握地知道用户能够使用设备 做什么。
参考图2,所示出的流程图用于利用基于可扩展认证协议(EAP) 的认证的WiMAX通信系统。应该注意,本发明等同地可应用于若干 其它基于EAP的认证算法,该算法在家庭认证、授权、计费(AAA) 服务器利用数字证书,以使得客户设备认证AAA服务的身份。利用服 务器AAA证书的一些示例的EAP方法包括,但不限于EAP-TLS(传 输层安全)、EAP-TTLS (隧道化传输层安全)、PEAP (密码可扩展 认证协议)。
如图1中,MSS IO被预配置12有CA根证书列表。然而,根据 本发明,MSS也被配置50有稍后被用作模式匹配串的服务提供商锁串 (例如,"*.operator.com")。如以下将要详细说明的,能够以各种 方式将该串安装在MSS中。并且,根据本发明,H-AAA服务器12被 配置16有服务器证书。在本发明中,AAA服务器证书在可读文本中(例 如,aaal.operator.com、 aa2.west.operator.com)将FQDN (完全合格域 名)嵌入到证书内。FQDN在数字证书的主题内作为服务提供商身份。
如图1先前所描述的使用EAP认证协议18、 20、 22、 24,并且为 了简洁起见这里将不再重复,终端与AAA通信,以便于接收嵌入有服 务提供商身份的数字证书。使用正则表达式解析器,MSS能够从数字 证书提取FQDN以提供服务提供商身份。
在已经验证了 26由可信任的证书授权(例如,WeriSign、 WiMAX 论坛等)签署的来自AAA的数字证书之后,MSS使用如之前图l所描 述的EAP协议28、 30、 32继续执行与通信网络的网络进入,并且为了
8简洁起见这里将不再重复。然而,根据本发明, 一旦MSS已经从证书 提取了服务器的身份,则MSS随后能够利用52其存储的模式匹配串 来与服务提供商身份匹配,并且因而允许锁定服务用于运营商的网络 上的MSS。
实际上,MSS被配置有包含正则表达式的串,其能够被用以执行 与AAA服务器的PKI (公共密钥基础设施)DNS (域名系统)身份匹 配的模式。例如,该串能够是;
carrier, com
或者是多于一个正则表达式的列表,诸如
*.carrierl.com; *.carrier2.com; *.[east I west].carrieridenity.com
或者是串,诸如
* 〃允许任何服务提供商身份
MSS通过从AAA服务器证书的主题身份字段提取服务提供商身 份来执行服务提供商锁检查,该AAA服务器证书的主题身份字段包括 但不限于通用名称、主题代替名称(例如,域名系统名称、DNS名称) 或包含服务器身份的其它属性。然后,MSS执行服务提供商身份与服 务提供商锁串的串比较。如果来自AAA服务器证书的服务提供商身份 能够根据之前配置的正则表达式被模式地匹配(例如,aaal.operator.com 匹配、operator.com),其中,在这种情况中""字符是可以匹配"aaal"、 "aaa2"等的通配符,则在该运营商上允许数据接入。然而,如果来自 AAA服务器证书的服务提供商身份不能够根据之前配置的正则表达式 被模式地匹配,则终端拒绝该网络并且拒绝接受对数据服务的接入。能够以各种方法在MSS中安装服务提供商锁串。在一种情况中, 终端在工厂中被配置有服务提供商模式锁串。这使得工厂中的装备在 运送给最终用户之前被服务提供商锁定。
在另一种情况中,终端被配置有作为部分的在线供给过程的服务 提供商模式锁串,其能够通过无线或有线接口来提供。例如,向服务 提供商在线注册的用户可以初始地具有等于"*"的AAA模式锁串, 以允许它对任何网络认证。然后, 一旦该设备在该网络上,并且与供 给服务通信,供给服务就能够覆盖该模式以縮小允许的模式匹配。
在又一种情况中,终端被配置有服务提供商锁串作为离线供给过 程的一部分。例如,由服务提供商所提供的安装压縮磁盘能够通过物 理接口在主机计算机上执行,该物理接口通过激活过程引导用户并且 将设备配置有服务提供商锁。也能够使用其它离线的有线或无线过程。
在任何一种情况中,在制造MSS之后,能够现场修改服务提供商 锁串以缩小或加宽模式匹配,从而在需要的基础上添加或移除服务提 供商锁。例如,诸如在分销机构带有未锁定的设备并且在包装该产品 之前将其锁定的情况,或者在销售过程中导致了在向顾客提供产品之 前应用了锁的情况中,能够在MSS离开其制造地之后,经由配置程序 或软件的安装片段来配置锁串。以该方式,与用于终端的服务提供商 锁串相关联的一组可操作简档能够被限定为证书授权的子列表,能够 通过地理区域对其进一步限定。
一旦设备已经被锁定到服务提供商,该设备就必须防止对服务提 供商模式锁做出未授权的改变。为了实现该目标,能够再次使用服务 提供商模式锁。在在线的情况中,该设备能够使用网络实体的数字证 书来再次强认证在线服务,并且验证该服务器在允许未锁定操作发生 之前也持有具有同一基于FDDN的模式匹配的有效的服务器证书。在离线和在线两种精况中,解锁或替换服务提供商锁串的指令可 以进一步通过确保更新的服务提供商串由数字证书数字地签署来保 护,数字证书的身份再次由当前配置的服务提供商模式匹配串来验证。
图3图示了用于锁定通信网络中运营商接入的方法。该方法包括 在MSS中提供正则表达式解析器的第一步骤100。
下一个步骤102包括在移动订户站中由服务提供商安装模式匹配 串。该步骤能够包括在移动订户站的制造工厂中安装模式匹配串。替 换地或附加地,该步骤能够包括在使用在线供给过程的移动订户站中 安装模式匹配串。例如,在线供给过程能够覆盖任何现有的模式匹配 串。另外,能够在范围上加宽或縮小移动订户站的供给之后修改移动 订户站中的模式匹配串。
下一个步骤104包括在数字证书的主题内嵌入服务提供商身份。 优选地,服务提供商身份是完全合格域名(FQDN)。更优选地,服务 提供商身份是认证、授权、计费(AAA)服务器的公共密钥基础设施 (PKI)域名系统(DNS)身份。
下一个步骤106包括接收嵌入步骤的数字证书。
下一个步骤108包括执行与通信网络的网络进入。
下一个步骤IIO包括从数字证书提取服务提供商身份。
下一个步骤112包括利用模式匹配串来与服务提供商身份匹配。 当发现匹配时,将接入锁定到服务提供商锁串中所识别的运营商。如 果没有发现匹配,则拒绝对该网络的接入。
本发明具有在诸如WiMAX、 CDMA-1X和EvDO架构的基于IP的新的无线架构中的广泛应用。本发明具有以新方式来釆用已经建立
的EAP认证技术的优点,以将移动订户站运营商锁定到特定服务提供 商。
能够以不同于那些所描述的顺序来实现这里所示出和描述的顺序 和方法。附图中所描绘的特定的顺序、功能和操作仅仅说明性地示出 本发明一个或多个实施例,并且其它实现对于那些本领域普通技术人 员是显而易见的。附图旨在说明本发明的各种实现,其能够由本领域 中那些普通技术人员理解并且被适当地实现。实现同一目的的任何布 置可以适合于所示出的具体实施例。
能够以任何适当的形式,包括硬件、软件、固件或这些的任何组 合来实现本发明。本发明可选地被部分地实现为在一个或多个数据处 理器和/或数字信号处理器上运行的计算机软件。可以以任何适当的方 式物理地、功能上地和逻辑地实现本发明实施例的元素和组件。事实 上,这些功能可以在单个单元中、多个单元或作为其它功能单元的部 分来实现。诸如,可以在单个单元中实现本发明,或者可以在不同的 单元和处理区之间物理地或功能地分配本发明。
虽然已经结合一些实施例描述了本发明,但是并不意在将本发明 限制为这里所阐述的特定形式。恰恰相反,本发明的范围仅由所附权 利要求来限制。此外,虽然可以结合特定实施例来描述特征,但是本 领域技术人员之一可以认识到,可以根据本发明来组合所描述的实施 例的各种特征。在权利要求中,术语包括不排除其它元素或步骤的存 在。
另外,虽然被独立列出,但是可以通过例如单个单元或处理器来 实现多个装置、元素或方法步骤。此外,虽然可以在不同的权利要求 中包括独立的特征,但是这些可能被有利地组合,并且不同权利要求 中的包含物不意指特征的组合不是可行的和/或有利的。并且一类权利
12要求中的包含物不意指对该类别的限制,而恰恰相反,指示特征根据 适当的情况等同地可应用于其它的权利要求类别。
另外,权利要求中特征的顺序不意指其中特征必须以任何特定的 顺序运作,并且尤其是方法权利要求中独立步骤中的顺序不意指必须 以该顺序执行步骤。恰恰相反,可以任何适当的顺序来执行步骤。另 外,单数引用不排除多个。因此,对"一个"、"第一"、"第二" 等的引用不排除多个。
权利要求
1.一种用于在通信网络中锁定运营商接入的方法,所述方法包括以下步骤在移动订户站中安装模式匹配串;在所述网络的数字证书的主题名称内嵌入服务提供商身份;接收所述嵌入步骤的所述数字证书;以及执行与所述通信网络的网络进入;从所述数字证书提取所述服务提供商身份;以及利用所述模式匹配串来与所述提取的服务提供商身份作比较,以确定所述设备是否将与所述网络相关联。
2. 根据权利要求l所述的方法,进一步包括提供用于所述提取步 骤中的正则表达式解析器的步骤。
3. 根据权利要求l所述的方法,其中,所述匹配步骤包括在具有 数字证书内所包含的认证、授权、计费(AAA)服务器身份的所述移 动订户站内利用所述模式匹配。
4. 根据权利要求l所述的方法,其中,所述安装步骤包括在所述 移动订户站的制造工厂中安装所述模式匹配串。
5. 根据权利要求l所述的方法,其中,所述安装步骤包括在制造 所述移动订户站之后,使用在线供给过程将所述模式匹配串安装在所 述移动订户站中。
6. 根据权利要求l所述的方法,其中,所述安装步骤包括在制造 所述移动订户站之后,使用离线过程将所述模式匹配串安装在所述移 动订户站中。
7. 根据权利要求l所述的方法,其中,所述安装步骤包括在制造 所述移动订户站之后,将所述模式匹配串安装在所述移动订户站中, 并且其中所述模式匹配串的安装覆盖任何现有的模式匹配串。
8. 根据权利要求l所述的方法,其中,仅当能够验证发起修改的 实体为已经被授权用于所述模式匹配串的修改时,能够在所述移动订 户站的供给之后修改所述移动订户站中的所述模式匹配串。
9. 根据权利要求8所述的方法,其中,利用数字证书来数字地签 署所述修改的模式匹配串,所述数字证书的身份由当前配置的服务提 供商模式匹配串来进一步验证。
10. —种用于在通信网络中锁定运营商接入的系统,所述系统包括服务提供商,提供服务提供商锁串来用作模式匹配串; 认证服务器,在数字证书的主题内嵌入所述服务提供商的身份;以及移动订户站,在所述移动订户站上安装所述模式匹配串,所述移 动订户站从所述认证服务器接收所述数字证书、执行与所述通信网络 的网络进入、从所述数字证书提取所述服务提供商身份;以及利用所 述模式匹配串来与所述提取的服务提供商身份作比较以确定所述设备 是否将与所述网络相关联。
全文摘要
一种用于在通信网络中锁定运营商接入的装置和方法,包括在移动订户站中安装模式匹配串的第一步骤(102)。下一个步骤(104)包括在数字证书的主题内嵌入服务提供商身份。下一个步骤(106)包括接收嵌入步骤的数字证书。下一个步骤(108)包括执行与通信网络的网络进入。下一个步骤(110)包括从数字证书提取服务提供商身份。下一个步骤(112)包括利用模式匹配串来与服务提供商身份匹配。
文档编号H04L9/00GK101563883SQ200780047209
公开日2009年10月21日 申请日期2007年10月18日 优先权日2006年12月19日
发明者史蒂文·D·厄普, 沃尔特·P·古莱 申请人:摩托罗拉公司