專利名稱：用于在網絡環境中提供端到端認證的系統和方法
技術領域：
本發明一般地涉及通信領域，更具體地說，涉及用于在網絡環境中提供端到端認證的系統和方法。
背景技術：
聯網體系結構在通信環境中已發展得日益復雜。另外，希望在網絡環境中通信的客戶端或終端用戶的增加已使得許多聯網配置和系統通過增加元件來作出響應，以適應聯網流量的增大。可以使用通信隧道或鏈路，以經由網絡建立或認證實體，從而終端用戶或對象可通過調用所選的位置或指定的網絡節點，來發起隧道協議。然后，網絡節點或所選位置可以提供一個平臺，終端用戶用該平臺來進行通信會話。
隨著終端用戶的訂戶基數的增大，通信會話和數據流的正確路由、可行安全性、有效認證和有效管理變得更加重要。在執行不正確的認證協議的情形中，某些網絡組件可能過載，或者網絡流量易受到安全性協議中漏洞的影響。這種情形可能危害通信會話的有效性，并抑制網絡流量的有效流動。因此，提供有效機制以認證終端用戶/移動終端或為相應網絡提供適當的安全性協議的能力對網絡操作者、組件制造商和系統設計者提出了一個極大的挑戰。

發明內容
從前述內容中，本領域的技術人員可以意識到，需要一種改進的通信方法，該通信方法提供了更適當的允許實現端到端協議的認證過程。根據本發明的一個實施例，提供了一種用于在網絡環境中提供端到端認證的系統和方法，其極大地減少了與傳統認證技術相關聯的缺點和問題。
根據本發明的一個實施例，提供了一種用于在網絡環境中提供端到端認證的方法，包括發起到第二層隧道協議(L2TP)網絡服務器(LNS)的通信隧道；并傳輸在協議配置選項(PCO)字段中包括認證協議的激活上下文請求，所述激活上下文請求被發起與LNS的鏈路控制協議(LCP)協商的網關通用分組無線業務(GPRS)支持節點(GGSN)所接收，所述GGSN可操作用來傳輸可被移動終端接收的激活上下文響應。可以利用保密值和GGSN提供的詢問值計算認證響應，所述認證響應被用來建立與移動終端相關聯的通信會話。
本發明的某些實施例可提供多個技術優點。例如，根據本發明的一個實施例，提供了一種允許安全性增強的通信方法。在相應的認證協議中可以有效地關閉安全漏洞。例如，認證詢問可以在第一創建響應中傳輸，而認證響應可以在第二創建請求中傳送，而這樣的對先前在單個消息中傳輸。因此，即使在某些個人或實體攔截這兩條消息并能夠提取該對(詢問和響應)的情況下，這樣的實體也不能利用該數據連接到相應的網絡節點(例如，第二層隧道協議(L2TP)網絡服務器(LNS))。這是由于LNS將在下一次認證期間傳輸不同的詢問。因此，為了被正確認證，需要擁有認證保密信息。
與本發明一個實施例相關聯的另一個技術優點是通信方法的操作結果。所提供的體系結構允許結合端到端情形實現多種不同的協議和過程。例如，點到點(PPP)再生可操作于任何LNS，這是因為消除了屬性值對(AVP)在進入呼叫連接(ICCN)消息中傳輸詢問的必要性。除了這一益處外，本通信方法還提供了在接受添加到更新上下文請求/響應的PCO字段的情形中，對認證再次詢問的成功操作。本發明的某些實施例可享有某些或全部這些優點，也可以不具有這些優點。本領域的技術人員從下面的附圖、描述和權利要求中也可以清楚了解其他的技術優點。


為了提供對本發明及其特征和優點的更完全的理解，參考附圖進行以下描述，其中類似的標號指代類似的部分，在附圖中圖1是根據本發明一個實施例用于在網絡環境中執行端到端認證的通信系統的簡化框圖；以及圖2的流程示了與在網絡環境中執行端到端認證的方法相關聯的一連串示例步驟。
具體實施例方式
圖1是用于在網絡環境中傳輸數據的通信系統10的簡化框圖。通信系統10包括移動終端12、無線接入網絡(RAN)14、服務通用分組無線業務(GPRS)支持節點(SGSN)18和互聯網協議(IP)網絡20。另外，通信系統10可以包括多個網關GPRS支持節點(GGSN)30a-b、多個第二層隧道協議(L2TP)接入集中器(LAC)34a-b、互聯網38、L2TP網絡服務器(LNS)64以及認證、授權和計費(AAA)服務器40。根據本發明的特定實施例，圖1通常可以被配置或安排為代表可適用于全球移動通信系統(GSM)環境的2.5G通信體系結構。然而，2.5G體系結構僅用于示例目的，其可以被提供通信系統10的通信平臺的任何合適的聯網協議或配置替代。例如，通信系統10可以與任何版本的包括認證操作的GPRS隧道協議(GTP)協同操作。這可以包含提供了執行認證的特征的第一代、2G和3G體系結構。
根據本發明的教導，通信系統10提供了在其中執行端到端點到點(PPP)認證(例如，在詢問握手認證協議(CHAP)的上下文中)的平臺。這可以與執行LAC元件和LNS元件之間的認證的其他體系結構相對比。通信系統10所提供的認證機制提供了從LNS 64一直發送到移動終端12的詢問請求。然后，可利用詢問值來計算響應。然后，可以在不同的消息中將響應從移動終端12發送到LNS 64。這允許只有保持有與CHAP機制相關聯的保密值的實體才發送響應。從而，即使在某人可能接收到詢問或響應的情況下，也可以不執行認證，除非獲得了CHAP保密值。
出于教導目的，提供關于認證協議(如CHAP)工作方式的概況是有所幫助的。該描述僅用于示例目的，并且不應當以任何限制本發明原理和特征的方式來解釋。CHAP可操作以驗證使用三次握手的對等體的身份。在CHAP中可執行以下的通常步驟1)在鏈路建立階段完成后，認證者可以向對等體發送詢問消息；2)對等體可以以利用一次散列函數(可能在保密信息和詢問之上)計算得出的值來作出響應；以及3)認證者可以對照其自身計算出的期望散列值來檢查響應。如果這兩個值匹配，則認證成功。如果這兩個值不匹配，則連接可被終止。
該認證方法依賴于只由認證者和對等體所知的“保密”值。該保密信息不必在鏈路上傳輸。盡管認證只是單向的，但是通過沿兩個方向協商CHAP，用戶可以利用相同的保密集以用于相互認證。關于CHAP操作的另外的細節以及其在通信系統10上的可能應用將在下面描述。
移動終端12代表希望經由IP網絡20發起通信系統10中的通信的終端用戶、客戶端或消費者。移動終端12可包含用來發起通信的設備，如計算機、個人數字助理(PDA)、膝上型或電子筆記本、電話、移動站或能夠發起通信系統10內部的語音或數據交換的任何其他設備、組件、元件或對象。移動終端12還可包含與人類用戶的適當接口，如麥克風、顯示器、鍵盤或其他終端設備(例如，在移動終端12用作調制解調器的情況下，到個人計算機或到傳真機的接口)。移動終端12還可以是試圖代表另一個實體或元件發起通信的任何設備，如程序、數據庫或能夠發起通信系統10內部的語音或數據交換的任何其他組件、設備、元件或對象。在此文件中使用的數據指任何類型的數值、語音、視頻、視聽或手寫數據，或者任何類型的源或目標代碼，或者可以從一點傳輸到另一點的采取任何適當格式的任何其他合適的信息。根據本發明的教導，在一個實施例中，移動終端12包括可操作以促進端到端認證過程的軟件。該軟件可以適當地接口到在所選GGSN 30a-b中提供的相應軟件。或者，移動終端12可以包括可操作以實現這里所描述的端到端認證操作的硬件、算法、設備、組件、元件或對象。
RAN 14是移動終端12和SGSN 18之間的通信接口。RAN 14也可以代表用來為一個或多個移動終端12提供通信平臺的終端設備(TE)(因此，在此文獻中這些術語可以互換使用)。RAN 14可包括基本收發器站和基站控制器。RAN 14所提供的通信接口提供了連接性，并且允許數據在移動終端12和通信系統10內的任何數目的所選元件之間交換。RAN 14也可以促進移動終端12所生成的請求分組的遞送和移動終端12所尋求的信息的接收。RAN 14只是移動終端12和SGSN 18之間的通信接口的一個示例。基于特定需求，其他類型的通信接口也可以用于期望的網絡設計。
SGSN 18和GGSN 30a-b協同操作，以促進包括移動終端12在內的通信會話。GGSN 30a-b是通信或網絡節點，其可以與多個SGSN 18結合工作，以在通信系統10內部傳輸數據交換時在GPRS服務網絡環境中提供通信介質。根據本發明的教導，在一個實施例中，GGSN 30a-b包括可操作以促進端到端認證過程的軟件。該軟件可以適當地接口到移動終端12中提供的相應軟件。或者，移動終端12可以包括可操作以實現這里所描述的端到端認證操作的任何合適的硬件、算法、設備、組件、元件或對象。GGSN 30a-b也可以包含用來控制用戶接入到web內容或服務的“有墻花園”(walled garden)。GPRS代表用于通信服務的基于分組的數據載體，所述通信服務對于任何類型的合適的網絡配置或平臺來說可作為網絡覆蓋(overlay)遞送。GPRS通常應用分組無線和分組交換原理，以在GSM元件或單元和外部分組數據網絡之間以高效的方式傳送數據分組。GPRS可支持多種互聯網通信協議，并可使得現有的IP、X.25或任何其他合適的應用程序或平臺能夠在GSM連接上操作。
IP網絡20代表互連的通信路徑上的一連串點或節點，其用于接收并發送傳播經過通信系統10的信息分組。IP網絡20提供了移動終端12和所選GGSN 30a-b之間的通信接口，并且可以代表GPRS服務供應商或任何合適的局域網(LAN)、無線局域網(WLAN)、城域網(MAN)、廣域網(WAN)、虛擬專用網絡(VPN)、或促進網絡環境中的通信的任何其他適當的體系結構或系統。在本發明的特定實施例中，IP網絡20實現了用戶數據報協議(UDP)/互聯網協議(UDP/IP)通信語言協議；然而，IP網絡20也可以實現用于在通信系統10內發送并接收數據或信息的任何其他合適的通信協議。在某些情形中，GTP在適當時可用作UDP/IP頂部的隧道協議。
LAC 34a-b是充當L2TP隧道一側的端點的通信節點或軟件模塊，并且可以是LNS 64的對等體。LAC 34a-b可以位于LNS 64和客戶端之間，并且可以彼此轉發分組。從LAC 34a-b傳輸到LNS 64的分組可能需要建立利用L2TP協議的某些隧道。從LAC 34a-b到客戶端的連接可以例如以模擬方式表示。LAC 34a-b在適當時可以位于GGSN 30a-b外部，并包括可操作以實現其操作的任何合適的硬件、軟件、對象、元件、算法、設備或組件。
互聯網38代表提供GGSN 30a-b和LNS 64之間的通信接口的公共互聯網，并且可以是任何LAN、WLAN、MAN、WAN、VPN、內部互聯網或促進網絡環境中的通信的任何其他適當的體系結構或系統。在本發明的特定實施例中，互聯網38實現了UDP/IP通信語言協議。然而，互聯網38也可以實現用于在通信系統10內發送并接收數據或信息的任何其他合適的通信協議。另外，互聯網38可以接口到任何附加的元件或對象，以促進通信系統10中的適當的端到端認證。在某些實施例中，在適當時L2TP可以實現在UDP/IP頂部。
AAA服務器40是接收終端用戶接入到聯網設備或資源的請求的服務器程序。“聯網資源”指為在通信系統10中通信的移動終端12提供某些功能的任何設備、組件或元件。AAA服務器40也可以為相應網絡提供AAA服務和管理。授權通常指給予移動終端12作某事或接入某物的許可的過程。在多用戶計算機系統中，系統管理員可以為系統定義哪些終端用戶被允許接入到系統中的給定位置，以及給予移動終端12哪些特權。一旦移動終端12登錄進網絡(如IP網絡20)中，網絡就可能希望識別出在通信會話期間給予移動終端12哪些資源。從而，通信系統10內的授權既可以視作系統管理員對許可的預先設置，又可以視作在移動終端12試圖接入到所選區域時對已設置的許可值的實際檢查或驗證。認證通常指確定移動終端12究竟是不是它所聲明的哪個人或哪樣東西的過程。在專用或公共計算機網絡的情況下，可以通過使用唯一的標識元素，如用戶身份或登錄密碼來進行認證。對密碼的知曉提供了移動終端12是可信的這樣一個假定。計費通常指與每個移動終端12或每個網絡相關聯的財政或會話信息，并且可另外包括流量信息、會話定時信息、數據傳送統計信息、或與通信系統10內的其他信息流有關的信息。
AAA服務器40可以從任何合適的網絡源，或從動態主機配置協議(DHCP)服務器或域名系統(DNS)數據庫元件接收與移動終端12相關聯的IP地址和其他參數，以引導數據被傳輸到移動終端12。AAA服務器40可包括進行操作以接收與移動終端12相關聯的數據并為通信系統10內的網絡組件提供相應AAA相關功能的任何合適的硬件、軟件、組件或元件。授權和IP地址管理可被從AAA服務器從LNS 64取回，并在適當時被提供來解決移動終端12的安全服務。
在本發明的替代實施例中，可以用任何其他合適的服務器(用來代替AAA服務器40)或取代AAA服務器40并作為另一個網絡元件進行操作的任何其他被動的(或伴隨的)服務器或元件來實現通信系統10。另外，根據本發明的教導，通信系統10也可被配置為沒有AAA服務器40。在這種配置中，可以根據特定需求在沒有AAA服務器40的情況下執行通信系統10內各種元件之間的其他合適的內部通信。
LNS 64是操作作為L2TP隧道一側的端點的節點，并且是LAC 34a-b的對等體。LNS 64可作為PPP會話的邏輯終止點進行操作，該PPP會話的隧道是由LAC 34a或LAC 34b從客戶端(如移動終端12)建立的。通信隧道通常存在于LAC-LNS對之間。隧道可包含控制連接和零個或多個L2TP會話。隧道可以在LAC和LNS之間傳送封裝后的PPP數據報和控制消息。該過程可以等同于第二層轉發(L2F)協議。
在示例性CHAP情形的操作中，GPRS終端用戶傳輸來自TE的數據流量，其中TE可連接到GPRS手持設備，并經過GGSN 30a-b遞送到因特網和/或公司網絡。PPP再生特征可用來再次生成在所選GGSN 30a-b處用于進入用戶IP會話的PPP會話，并且可以建立L2TP隧道，以在封裝后的PPP中將這些IP分組遞送到其相應LNS。
不具有通信系統10的能力的CHAP認證過程可能按如下方式工作。首先，在TE和移動終端12之間發生PPP協商。TE對移動終端12發送的詢問作出響應，移動終端12以成功信號進行響應，而不進行任何實際的認證。然后，TE可以發送互聯網協議控制協議(IPCP)配置請求，此時，分組數據協議(PDP)上下文創建開始。(TE可以使用保密值來計算對可能由移動終端12發送的詢問的響應。)移動終端12發送激活上下文請求到SGSN 18，SGSN 18將其作為創建上下文請求轉發到GGSN 30a-b。其次，所選GGSN 30a-b接收的創建上下文請求中的(PCO)字段包括詢問和響應。所選GGSN 30a-b可建立到LNS 64(對應于接入點名稱)的L2TP隧道。在隧道建立期間，該PCO中的CHAP詢問經由L2TP的進入呼叫連接(ICCN)消息中的屬性值對(AVP)被發送到LNS 64。
再次，在所選GGSN 30a-b和LNS 64之間開始PPP協商。LNS 64在CHAP認證階段期間將相同的詢問發送到GGSN 30a-b，GGSN 30a-b發送從PCO中提取出的CHAP響應。注意，這是因為LNS 64只是認證所選的LAC 34a-b，而非移動終端12自身。
這種方法存在著大量問題。首先，存在安全漏洞；如果任何人想要訪問或接收在PCO字段中傳輸的任何詢問響應對元素，則該實體不需要知道保密值就可連接到LNS 64。該實體理論上可以傳輸PCO字段中的(詢問，響應)對，并假裝擁有保密信息中。然后，LNS 64將被給定GGSN30a-b強制發送該詢問。
該過程中可能發生的第二個問題是如果不存在一種專用機制來強制LNS 64對相同保密值再次詢問，則CHAP再次詢問就不會發生作用。該認證過程的第三個問題是移動終端12/TE完全有可能甚至不執行允許這些實體附接到GGSN 30a-b/LNS 64的PPP。相反地，這些實體可能充當中間節點，取回上述對，并在從GGSN 30a-b到LNS 64的再生PPP會話中使用上述對。由于這種情形下不在用戶和LNS 64之間進行PPP，而只在LAC 34a-b和LNS 64之間進行PPP，所以暴露出重大的安全漏洞。
通信系統10通過提供強制進行端到端PPP CHAP，而不是在LAC34a-b和LNS 64之間進行PPP CHAP的體系結構，消除了這些問題。在示例性情形中，PDP上下文激活可以分割為兩步。在第一步中，一旦與TE進行了鏈路控制協議(LCP)協商，移動終端12就發送激活上下文請求。PCO字段包含LCP選項(包括所選的認證協議)。所選的GGSN 30a-b建立L2TP隧道，PPP協商開始。當LNS 64發送CHAP詢問時，所選的GGSN 30a-b將PCO字段中包含該詢問的創建上下文響應發送到SGSN18。新的原因值可用在創建上下文響應中(“CHAP進行中”)。
SGSN 18將不會創建上下文，因為原因值不是“請求已被接受”。其可以將創建上下文響應作為激活上下文響應中繼回移動終端12。移動終端12可以從激活響應的PCO字段中提取詢問，并將其作為CHAP詢問發送到TE。當TE發送CHAP響應到移動終端12時，移動終端12可發送CHAP成功到TE。然后，TE可發送IPCP配置請求。
在第二步中，移動終端12可發送另一個激活上下文請求，然而這次在PCO字段中包括CHAP響應。所選的GGSN 30a-b一接收到該創建上下文請求，就可以在到LNS 64的PPP CHAP響應中使用該響應值。然后，LNS 64可確證該響應，并將CHAP成功發送回給定的LAC 34a-b，該給定的LAC 34a-b就在創建響應的PCO字段中將其中繼到SGSN 18。該操作有效地實現了端到端CHAP過程。PPP再生可操作于任何合適的LNS 64，另外，這種實現方式有效地關閉了上述的安全漏洞。
在特定實施例中，為了使再次詢問起作用，進行某些交互可能是適當的。例如，當LNS 64再次詢問移動終端12時，LNS 64可以將其作為L2TP分組的一部分傳輸到給定的GGSN 30a-b。所選的GGSN 30a-b可將其轉發到移動終端12。其含義在于，該CHAP詢問值可以在從所選GGSN30a-b到SGSN 18的“更新上下文請求”中傳輸。加上PCO字段以為該操作提供“更新請求”和“更新響應”也可能是適當的。移動終端12可從PCO字段中提取詢問，并將其發送到TE。當TE響應時，移動終端12可發送CHAP成功到TE，并將“更新上下文響應”的PCO字段中的CHAP響應轉發到給定的GGSN 30a-b。所選的GGSN 30a-b可將CHAP響應傳輸到LNS 64。如果所選的GGSN 30a-b未能得到關于該CHAP響應的成功消息，則所選的GGSN 30a-b可通過傳輸刪除上下文請求來發起上下文刪除。
注意，這種認證方法關閉了存在于其他認證方法中的潛在安全漏洞。CHAP詢問可以在第一創建響應中傳輸，CHAP響應可以在第二創建請求中傳輸，而該對以前在單個消息中傳送。即使在某些實體攔截全部這些消息并能夠提取(詢問，響應)對的情況下，這種實體也不能用其來連接到LNS 64，這是因為在下面的實例中，LNS 64將傳輸不同的詢問。為了被正確認證，擁有CHAP保密信息是重要的，該CHAP保密信息的擁有由通信系統10適當地提供。
另外應當注意，這種通信方法使得PPP再生可以與任何類型的LNS64一同工作，這里因為例如對ICCN消息中的AVP的潛在需求(以傳輸詢問)被消除了。另外，如果接受到添加到更新上下文請求/響應的PCO，則CHAP再次詢問將發生作用。
圖2的簡化流程示了與在網絡環境中提供端到端認證的方法相關聯的一連串示例步驟。該方法開始于步驟100，在步驟100，一旦與TE進行了LCP協商，移動終端12就可以傳輸激活上下文請求。PCO字段包含LCP選項(包括認證協議)。在步驟102，所選的GGSN 30a-b可建立L2TP隧道，并且PPP協商可被發起。在步驟104，當LNS 64傳輸CHAP詢問時，所選的GGSN 30a-b將創建上下文響應傳輸到SGSN 18，且在PCO字段中包含有該詢問。新的原因值可用在(但不是必需的)創建上下文響應中(“CHAP進行中”)。
SGSN 18將不會創建上下文，因為原因值不是“請求已被接受”。在步驟106，SGSN 18可以將創建上下文響應作為激活上下文響應中繼到移動終端12。在步驟108，移動終端12可以從激活響應的PCO中提取詢問，并將其作為CHAP詢問發送到TE。在步驟110，當TE發送CHAP響應到移動終端12時，移動終端12可發送CHAP成功到TE，然后，TE可發送IPCP配置請求。在這種情況下，移動終端12可以利用保密信息和詢問生成CHAP響應。從而，移動終端12所發送的認證響應(移動終端12利用保密信息和詢問所計算的CHAP響應)可以作為從移動終端12到GGSN 30a的一部分而被傳輸。
在步驟112，移動終端12可發送另一個激活上下文請求，然而這次在PCO中包括CHAP響應。在步驟114，所選的GGSN 30a-b一接收到該創建上下文請求，就可以在到LNS 64的PPP CHAP響應中使用該響應值。然后在步驟116，LNS 64可確證該響應，并將CHAP成功發送回給定的LAC 34a-b，該LAC 34a-b可以在創建響應的PCO字段中將其中繼到SGSN 18。這種操作有效地實現了通信系統10中的端到端CHAP過程。
圖2所示的某些步驟可在適當時被改變或刪除，并且附加步驟也可被加到流程圖中。這些改變可以基于特定的通信體系結構或具體的接口安排和關聯元件的配置，并且不脫離本發明的范圍或教導。
意識到圖2僅僅圖示了通信系統10的無數種實現方式中的一種是很重要的。CHAP再次詢問可利用更新請求或響應中的PCO發生作用，以與任何類型的LNS進行PPP再生。另外，即使沒有PPP再生或相應的LNS，在AAA服務器耦合到GGSN的情況下，一旦從AAA服務器接收到再次詢問，再次詢問也能利用相同的機制(可能觸發更新請求/響應)發生作用。
從與一個示例性實施例相關聯的角度來看，與通信系統10相關聯的過程可以看作兩個部分。第一部分與以安全方式進行的上下文激活相關聯。這可包括從移動終端12到GGSN 30a的LAC 34a的接觸。然后，在GGSN 30a和LNS 64之間可發生LCP建立。CHAP詢問也可被從LNS 64傳輸到GGSN 30a。然后，激活上下文響應可被從GGSN 30a傳輸到移動終端12。隨后，激活請求被從移動終端12傳輸到GGSN 30a，其中PCO字段包括有CHAP響應。CHAP響應可被傳輸到LNS 64，LNS 64傳輸回CHAP成功。然后，在執行LNS 64和GGSN 30a之間的協商后，CHAP成功可被傳輸到移動終端12。
在第二部分中，可以提供再次詢問機制。LNS(或AAA服務器40)可傳輸CHAP再次詢問，CHAP再次詢問被轉發到GGSN 30a，GGSN 30a將更新上下文請求傳輸到移動終端12。移動終端12可利用該保密信息計算響應，然后將更新上下文響應傳輸到GGSN 30a。然后，CHAP響應可被從GGSN 30a傳輸到LNS 64，LNS 64隨后將CHAP成功返回到GGSN30a。
盡管參考IP通信詳細描述了本發明，但是通信系統10也可用于包括網絡環境中的認證的任何隧道協議。包括端到端認證的任何合適的通信都可以受益于本發明的教導。使用移動終端12和IP通信僅僅是出于教導目的，并且不應當以任何方式解釋為限制本發明的范圍。
另外，通信系統10可擴展到移動終端12具有認證能力(在有線或無線連接或耦合的上下文中)且與某種類型的接入服務器(例如，網絡接入服務器(NAS)、外地代理等)通信的任何情形。移動終端12在適當時可以使用某種形式的專用連接或使用多種形式的多接入協議。根據特定需求，接入可以與PPP或第二層協議上的第三層協議相關聯。這種實施例可以包括任何合適的隧道終止器和/或隧道發起器。
而且，盡管參考特定認證協議描述了通信系統10，但是這些協議也可以被任何合適的認證過程或機制所取代。例如，通信系統10可與密碼認證協議(PAP)或可擴展認證協議(EAP)一起使用。提及CHAP僅僅出于示例和教導目的，因此，也應當按這種方式解釋。
本領域的技術人員可以清楚了解大量的其他改變、替換、變化、變更和修改，并且本發明試圖包含落在所附權利要求的精神和范圍內的所有這些改變、替換、變化、變更和修改。而且，本發明不希望以任何方式被未在所附權利要求中反映的說明書中的任何表述所限制。
權利要求
1.一種用于在網絡環境中執行端到端認證的裝置，包括移動終端，其可操作用來發起到第二層隧道協議(L2TP)網絡服務器(LNS)的通信隧道，并傳輸在協議配置選項(PCO)字段中包括認證協議的激活上下文請求，所述激活上下文請求被發起與所述LNS的鏈路控制協議(LCP)協商的網關通用分組無線業務(GPRS)支持節點(GGSN)所接收，所述GGSN可操作用來傳輸可被所述移動終端接收的激活上下文響應，所述移動終端還可操作用來利用保密值和所述GGSN提供的詢問值計算認證響應，所述認證響應被用來建立與所述移動終端相關聯的通信會話。
2.如權利要求1所述的裝置，其中，所述移動終端傳輸配置請求到服務GPRS支持節點(SGSN)以建立所述通信會話，并且其中發起包括所述移動終端的點到點協議(PPP)協商，所述PPP協商的第一階段與選擇要使用哪一種認證協議相關聯。
3.如權利要求2所述的裝置，其中，所述GGSN包括L2TP接入集中器(LAC)，所述LAC可操作用來促進所述GGSN和所述SGSN之間的通信。
4.如權利要求2所述的裝置，其中，所述LNS傳輸認證詢問值，所述認證詢問值位于所述GGSN傳輸到所述SGSN的創建上下文響應的PCO字段中，所述創建上下文響應被以所述激活上下文響應的形式傳輸到所述移動終端，并且其中，所述移動終端可操作用來從所述激活上下文請求的PCO字段中提取所述詢問值，并將其作為認證詢問消息傳輸到終端設備。
5.如權利要求4所述的裝置，其中，所述終端設備可操作用來將所述保密值傳輸到所述移動終端。
6.如權利要求1所述的裝置，其中，PPP協商開始于所述GGSN和所述LNS之間以建立所述通信隧道，所述LNS基于所述PPP協商識別出要使用的認證協議。
7.如權利要求1所述的裝置，其中，所述認證協議是從包含以下協議的群組中選出的一個詢問握手認證協議(CHAP)；可擴展認證協議(EAP)；和密碼認證協議(PAP)。
8.一種用于在網絡環境中執行端到端認證的裝置，包括網關通用分組無線業務(GPRS)支持節點(GGSN)，其可操作用來接收移動終端所生成的激活上下文請求，所述激活上下文請求包括在協議配置選項(PCO)字段中提供的認證協議，其中，所述移動終端可操作用來發起到第二層隧道協議(L2TP)網絡服務器(LNS)的通信隧道，所述GGSN可操作用來發起與所述LNS的鏈路控制協議(LCP)協商，并傳輸可被所述移動終端接收的激活上下文響應，所述移動終端還可操作用來利用保密值和所述GGSN提供的詢問值計算認證響應，所述認證響應被用來建立與所述移動終端相關聯的通信會話。
9.如權利要求8所述的裝置，其中，所述移動終端傳輸配置請求到服務GPRS支持節點(SGSN)以建立所述通信會話，并且其中發起包括所述移動終端的點到點協議(PPP)協商，所述PPP協商的第一階段與選擇要使用哪一種認證協議相關聯。
10.如權利要求9所述的裝置，其中，所述GGSN包括L2TP接入集中器(LAC)，所述LAC可操作用來促進所述GGSN和所述SGSN之間的通信。
11.如權利要求9所述的裝置，其中，所述LNS傳輸認證詢問值，所述認證詢問值位于所述GGSN傳輸到所述SGSN的創建上下文響應的PCO字段中，所述創建上下文響應被以所述激活上下文響應的形式傳輸到所述移動終端，并且其中，所述移動終端可操作用來從所述激活上下文請求的PCO字段中提取詢問值，并將其作為認證詢問消息傳輸到終端設備。
12.如權利要求8所述的裝置，其中，PPP協商開始于所述GGSN和所述LNS之間以建立所述通信隧道，所述LNS基于所述PPP協商識別出要使用的認證協議。
13.一種用于在網絡環境中執行端到端認證的方法，包括發起到第二層隧道協議(L2TP)網絡服務器(LNS)的通信隧道；傳輸在協議配置選項(PCO)字段中包括認證協議的激活上下文請求，所述激活上下文請求被發起與所述LNS的鏈路控制協議(LCP)協商的網關通用分組無線業務(GPRS)支持節點(GGSN)所接收，所述GGSN可操作用來傳輸可被移動終端接收的激活上下文響應；以及利用保密值和所述GGSN提供的詢問值計算認證響應，所述認證響應被用來建立與所述移動終端相關聯的通信會話。
14.如權利要求13所述的方法，還包括傳輸配置請求到服務GPRS支持節點(SGSN)以建立所述通信會話。
15.如權利要求13所述的方法，還包括發起點到點協議(PPP)協商，其中所述PPP協商的第一階段與選擇要使用哪一種認證協議相關聯。
16.如權利要求13所述的方法，還包括接收認證詢問值，所述認證詢問值位于所述GGSN傳輸的創建上下文響應的PCO字段中，所述創建上下文響應被以所述激活上下文響應的形式傳輸；從所述激活上下文請求的PCO字段中提取詢問值；以及將所述詢問值作為認證詢問消息傳輸。
17.一種用于在網絡環境中執行端到端認證的系統，包括用于發起到第二層隧道協議(L2TP)網絡服務器(LNS)的通信隧道的裝置；用于傳輸在協議配置選項(PCO)字段中包括認證協議的激活上下文請求的裝置，所述激活上下文請求被發起與所述LNS的鏈路控制協議(LCP)協商的網關通用分組無線業務(GPRS)支持節點(GGSN)所接收，所述GGSN可操作用來傳輸可被移動終端接收的激活上下文響應；以及用于利用保密值和所述GGSN提供的詢問值計算認證響應的裝置，所述認證響應被用來建立與所述移動終端相關聯的通信會話。
18.如權利要求17所述的系統，還包括用于傳輸配置請求到服務GPRS支持節點(SGSN)以建立所述通信會話的裝置。
19.如權利要求17所述的系統，還包括用于發起點到點協議(PPP)協商的裝置，其中所述PPP協商的第一階段與選擇要使用哪一種認證協議相關聯。
20.如權利要求17所述的系統，還包括用于接收認證詢問值的裝置，所述認證詢問值位于所述GGSN傳輸的創建上下文響應的PCO字段中，所述創建上下文響應被以所述激活上下文響應的形式傳輸；用于從所述激活上下文請求的PCO字段中提取詢問值的裝置；以及用于將所述詢問值作為認證詢問消息傳輸的裝置。
21.一種用于在網絡環境中執行端到端認證的軟件，所述軟件實現在計算機可讀介質上并具有代碼，當所述代碼被執行時可操作用來發起到第二層隧道協議(L2TP)網絡服務器(LNS)的通信隧道；傳輸在協議配置選項(PCO)字段中包括認證協議的激活上下文請求，所述激活上下文請求被發起與所述LNS的鏈路控制協議(LCP)協商的網關通用分組無線業務(GPRS)支持節點(GGSN)所接收，所述GGSN可操作用來傳輸可被移動終端接收的激活上下文響應；以及利用保密值和所述GGSN提供的詢問值計算認證響應，所述認證響應被用來建立與所述移動終端相關聯的通信會話。
22.如權利要求21所述的介質，其中，所述代碼還可操作用來傳輸配置請求到服務GPRS支持節點(SGSN)以建立所述通信會話。
23.如權利要求21所述的介質，其中，所述代碼還可操作用來發起點到點協議(PPP)協商，其中所述PPP協商的第一階段與選擇要使用哪一種認證協議相關聯。
24.如權利要求21所述的介質，其中，所述代碼還可操作用來接收認證詢問值，所述認證詢問值位于所述GGSN傳輸的創建上下文響應的PCO字段中，所述創建上下文響應被以所述激活上下文響應的形式傳輸；以及將詢問值作為認證詢問消息傳輸。
全文摘要
提供了一種用于在網絡環境中執行端到端認證的方法，包括發起到第二層隧道協議(L2TP)網絡服務器(LNS)的通信隧道；并傳輸在協議配置選項(PCO)字段中包括認證協議的激活上下文請求，所述激活上下文請求被發起與LNS的鏈路控制協議(LCP)協商的網關通用分組無線業務(GPRS)支持節點(GGSN)所接收，所述GGSN可操作用來傳輸可被移動終端接收的激活上下文響應。可以利用保密值和GGSN提供的詢問值計算認證響應，所述認證響應被用來建立與移動終端相關聯的通信會話。
文檔編號H04L29/06GK1781278SQ200480011094
公開日2006年5月31日 申請日期2004年4月29日 優先權日2003年5月21日
發明者斯拉格哈若·D·哈德赫瑞, 阿瑟姆·塞西 申請人:思科技術公司