[发明专利]通信网中的鉴权

说明书

技术领域

本发明涉及通信网中的鉴权，更特别地，虽然不是必要的，涉及在被访问的通信网中漫游的无线终端的鉴权。

背景技术

图1以图表描述了用于移动无线终端的蜂窝通信网的结构。该网络包括一组由IP网12相互连接的接入节点4、6。订户拥有用户设备(UE)1，并具有向“归属”网络3的预订。归属网络具有归属位置寄存器(HLR)10，其包括存储诸如计费信息、服务允许以及订户位置的订户信息的数据库。订户可以带着UE且漫游至一个访问的外国无线网络2，在那里他希望通过第一接入节点4访问某些通信服务，例如语音呼叫(通过电路交换网络路由)、互联网接入、与其它UE的对等数据连接或其它数据业务。在订户被允许通过UE接入这些服务之前，被访问的网络要求鉴权订户，这典型地通过被访问的网络2与归属网络3联系而实现。被访问的网络可以执行某些初始检查以核实UE在进行合法的请求。

被访问的网络2不会准许订户接入任何服务，直到它获知这些接入将被付费为止，且被访问网络因而发送鉴权请求5到归属网络以确定订户是否是归属网络注册的订户，并因而是可信任的。只有在归属网络3在消息5’中确认订户在归属网络中注册，被访问的网络才提供对可用服务的接入。鉴权进程可能需要在被访问网络和归属网络之间交换多于一对消息5、5’。在其花费的时间方面以及在通信网上强加的通信额外开销方面，整个鉴权过程都可能是一个冗长的进程。用于鉴权漫游订户的协议包括MAP、RADIUS和DIAMETER。

在成功鉴权后，情况可能改变，以致于UE必须通过一个替换的接入节点6接入被访问网络。UE用于连接被访问网络的接入节点可能依赖于多种因素，尤其包括物理接近度、带宽容量和现有的运行负载。例如在无线LAN中情况可能如此，这里小区尺寸很小，而UE在接入节点之间的移动很频繁。

每次在UE希望附接到一个新的接入节点时，接入节点必须通过发送请求7到归属网络3并等待来自归属网络的响应7’，而重复由前一接入节点执行的鉴权过程。该第二鉴权过程花费与初始鉴权过程类似长度的时间并消耗类似的网络资源量。在网络中传输过量的信令数据是不希望的；网络操作员被提供给固定的带宽分配，并且只能为服务相关的数据向订户收费。信令数据代表不可收费的带宽使用，并且网络操作员希望将其使用最小化。第二鉴权过程将很可能导致为订户提供的服务的中断。如果例如订户访问网址，这可能不是一个重要问题，这里被提供数据中的较小延迟不会对提供的服务质量造成不利的影响。然而，对于诸如语音呼叫或流播多媒体广播这样的服务来说，对这种服务的中断是不希望的。

因此，希望提供一种减少切换接入节点时的鉴权时间的安全鉴权机制。还希望提供一种安全的鉴权机制，其绕过查询归属网络以确认UE的身份的需要，从而减少归属网络上的信令开销。

已提出一种称为“快速移交(handoff)”的概念用于网络中，其中UE在不同接入节点之间频繁地切换，这个概念提供了一种更快速的手段用于在备选的接入节点之间进行切换。提供了完全的鉴权，但绕过了归属网络。这可以通过以下方式来实现：使用来自归属网络的抢先(preemptive)控制，例如在从当前的接入节点切换之前鉴权一个UE以使用一个新接入节点，或通过两个接入节点间的一些上下文传输，从而完全地避开归属网络。

这些快速移交机制的第一点是仍然经受不希望的大量信令开销，从而在UE每次切换接入节点时需要在归属和被访问网络之间的更多信令。进一步考虑这些“快速移交”机制的第二点，已经提出了许多不同的快速移交实现，并且这些实现都通过使用分发给接入节点的某种类型的会话密钥或再次鉴权密钥来避免与归属网络3的过量的通信。这些密钥在初始鉴权期间由归属网络和被访问网络双方商定，而密钥在被访问网络的接入节点间分发。这使得在接入节点之间切换时UE能够快速地再次附接，而并不会使系统受不必要的安全脆弱性的影响，主要的一个脆弱性是：单一的泄密(comprised)的接入节点具有对所有这样的会话和再次鉴权密钥的接入。单一的泄密的接入节点因而能够为恶意的第三方提供信息，这将使得该第三方能够模仿UE且在不必提供付费的情况下从被访问网络接入服务。

因此，希望提供一种用于在接入网络的接入节点之间快速切换移动节点的快速移交机制，其避免了单一接入节点可能泄密而允许第三方接入其它接入节点的风险。

发明内容