專利名稱：移動設備到ip通信網絡的接入控制的制作方法
技術領域：
本發明涉及使用IP(因特網協議)對通信網絡進行接入控制的領域。其尤其適合于對這種網絡的無線接入。
背景技術：
實際上，在通信網絡的無線接入領域里，接入設備和主機之間沒有預定的連接。主機是能夠使用IP協議和網絡進行通信的移動設備。除其他終端以外，其可以包括例如GSM、UMTS、CDMA等類型的移動通信終端、便攜式計算機、個人數字助理(PDAs)等等。
由于主機的移動性(有可能接入設備也是移動的)，后者不能像通常在固定的通信網絡中的情況一樣固定地鏈接到接入設備。因此新的主機或者移動到接入設備的覆蓋區域的主機必須動態地連接到這個接入設備。
動態連接產生各種類型的涉及到接入控制的問題。
接入控制要求在各種背景下應用。例如，其可以阻止公司的訪問者使用移動設備自由地獲得對公司本地網絡的接入。阻止惡意的第三方連接到通信網絡以得到對敏感信息的接入或者危害網絡的完整性同樣也很重要。
因此，從接入設備的出發點，必須檢查主機的身份以確定他是否確實可以連接到通信網絡，而且如果是這種情況則可以確定其在這個網絡中的權限。相反地，主機也必須檢查他希望連接到的接入設備的身份。
IEEE推出的文件P802.1x提出了一種題名為《Draft Standard forPort Based Network Access Contro1(基于端口的網絡接入控制的標準草案)》的接入控制解決方案。其定義了一種使用IEEE 802族標準定義的本地網絡基礎設施或者局域網(Local-Area Network)的物理接入特性的機制。也允許認證以《點對點》模式鏈接到LAN端口的主機，而如果沒有確認認證，則阻止在此端口上的接入和傳送。
但是，這個機制帶來了許多缺點。
首先，其集中在設備端口上，因此位于ISO(國際標準化組織)提出的OSI(開放式系統互聯)分層模型的第二層。這個稱為《數據鏈路層》的第二層關系到通信設備的接口。這一層取決于建立連接實現的技術。
但是，我們已經看到主機和接入設備可以通過各種技術連接。沒有聲明來提供詳盡的清單，我們可以引用移動電話標準例如GSM、UMTS、以及WiFi、以太網、藍牙、Wimax等。
例如，在IEEE 802.11標準中定義的WiFi標準、在IEEE 802.15標準中定義的《藍牙》技術、在IEEE 802.13標準中定義的WiMAX(全球微波接入互通)技術都具有不同的數據連接技術。同樣地在相同的技術家族中多個版本也可以共存并帶來不同的數據連接技術。
因此，機制P802.1X主要的缺點是需要和系統支持的技術一樣多的實施方式。顯然地這帶來了系統中造價的顯著增加并增加了可用資源的使用。
第二個缺點是其需要專門的認證服務器。這個認證服務器可以通過IETF的RFC 2906定義的AAA(認證授權計費)協議和接入設備進行通信。另外，可用使用IETF的RFC 2865定義的RADIUS(遠程撥入用戶認證服務)服務器。
同樣地在這個例子中，必須使用專門的服務器使系統造價很高，特別是在不同種類的環境中--因為認證需要的信息的性質對于每個類型的服務器是不同的。

發明內容
本發明將解決這些不同的技術問題。其目標是一種接入通信網絡的接入設備，其裝備有無線通信接口，能夠和位于鏈接到這個接口的地理區域中的移動主機交換數據包；協商裝置，用于和地理區域中請求接入到相關的通信網絡的移動主機建立數據包的交換；以及傳送裝置，用于在位于通信網絡中的一個或者多個遠程設備和移動主機之間傳送形成數據流的數據包，該移動主機記錄在接入設備存儲的經授權的移動主機的列表上，其中該傳送裝置不傳送任何到沒有記錄在授權移動主機的列表上的移動主機的數據包或者任何來自它們的數據包。
本發明的接入設備的特征是協商裝置包括控制裝置，其用于根據數據包的交換來對移動主機進行認證，并根據該認證，修改經授權的移動主機的列表。
根據本發明的實現方式，后者可以包括下面的特征的一個或者多個·經授權的移動主機的列表是ACL(接入控制列表)類型數據庫，·協商裝置發送包含認證狀態的公告消息到移動主機，·數據包的交換包括請求消息，其包含的證書包括通過認證必要的和充分的信息，·提供了控制裝置以取得可信任第三方的公共密鑰，這個信息對于通過認證是必要的和充分的，其包含由可信任第三方的私人密鑰加密的簡化信息。
進一步地，本發明還提供一種處理過程，用于控制移動主機通過裝備有無線通信接口的接入設備接入到通信網絡，當移動主機位于鏈接到接入設備的地理區域中的時候，無線通信接口能夠和移動主機中的一個交換數據包。
處理過程包括在上面提到的接入設備和移動主機之間的數據包交換步驟和傳送步驟，傳送步驟包括當且僅當移動主機已經記錄在接入設備存儲的經授權的移動主機的列表上時，才通過接入設備，在位于通信網絡中的一個或者多個遠程設備和移動主機之間傳送形成數據流的數據包。
該處理過程的特征在于，在傳送步驟之前，接入設備在該數據包交換步驟的基礎上，對請求接入通信網絡的每個移動主機進行認證，并根據這個認證修改經授權的移動主機的列表。


在下面的說明中并參考附圖，本發明及其好處將變清楚。
圖1示出本發明的環境。
圖2是根據本發明的接入設備的功能框圖。
圖3描述的是在移動主機和根據本發明的接入設備之間的數據包的交換。
具體實施例方式
如圖1所示，接入設備EA具有無線接口IR。這個接口鏈接到地理區域Z(也稱為《覆蓋》)，其技術特征對應于所實現的技術類型。
對于藍牙(Bluetooth)TM無線接口這可以是幾十米，對于WiFi可以是幾百米或者對于WiMAX無線接口甚至可以是數千米。
這個地理區域Z在圖1中表現為近似圓形，然而實際上這個區域或多或少取決于地形的障礙。
同樣應該注意同一個接入設備EA可以具有多個無線接口從而能夠使用多種無線通信技術進行傳送。
接入設備EA還具有與固定通信網絡N的有線接口IF，一個或者幾個遠程設備ED鏈接到該通信網絡。
移動主機H1、H2、H3可以在空間中運動并在給定的時刻處于鏈接到接入設備EA的無線接口IR的區域Z中。如上面所述，這些移動主機可以是移動無線通信終端、個人數字助理(PDAs)、裝備有無線接口的便攜式計算機，等等。
在圖1的例子中，移動主機H1和H2在地理區域Z之中。移動主機H3處于地理區域Z之外，因此不能夠和接入設備EA進行物理通信。
當移動主機在地理區域Z中的時候，其能夠請求接入通信網絡N，以除其他功能外和遠程設備ED進行通信。遠程設備ED可以是其希望交換信息的主機(例如電話或者視頻呼叫)。也可以是視頻服務器或者到其它網絡的網關(在圖中未示出)。
在移動主機和接入設備EA之間交換的數據包可以符合IP協議并且優選地符合協議IPv6(因特網協議-版本6)。在這種情況中，接入設備EA包括IP包路由器。
已經知道將授權主機的列表加入接入設備。根據本發明這個列表應該優選地符合ACL(接入控制列表)技術。這是授權可以連接到設備的主機的標識符的列表。這個技術還不是標準化工作的目標但是被設備制造商廣泛地使用。
通過在請求接入的移動主機H1、H2和通信網絡N的接入設備EA之間交換數據包產生接入通信網絡N的請求。
如果接入請求成功則將該主機加入授權移動主機列表，存儲在接入設備EA中。
然后接入設備EA可以在這兩方之間傳送數據流。
這些數據流作為數據包集合出現。后者可以為單向的或者雙向的。
屬于數據流的數據包包含源地址和目標地址，允許數據包通過通信網絡N進行尋路。這個信息包含在明顯區別于包傳送的有用信息的首部中。
圖2給出了接入設備EA可能的功能結構更詳細的表達。
其具有傳送裝置MT，用于允許通信網絡和移動主機(未示出)之間的數據流F。在上面提到的兩個方向都可以發生這個傳送。
如果移動主機已經事先通過認證，這些傳送裝置MT會實際地傳送數據流。
因此在接入設備EA中提供了授權移動主機的ACL列表。所以，如果移動主機不屬于該ACL列表，傳送裝置MT將不會傳送任何到該主機的數據包流或任何來自該主機的數據包流。然后該主機將完全從通信網絡斷開。相反地，如果移動主機屬于ACL列表則可以傳送數據流F。
根據本發明，這個授權移動主機的ACL列表最初是空的。在這個狀態下沒有移動主機能夠和通信網絡傳送數據流。
每一個請求接入通信網絡的移動主機和包含在接入設備EA中的協商裝置MN交換數據包NS、NA。
通過這種交換，移動主機傳送信息到協商裝置MN，使接入設備EA能夠對其進行認證。
相關的交換在圖3中以垂直時序圖的形式描述。時間從頂部開始向下，而箭頭指示了在移動主機H(在左側)和接入設備EA(在右側)之間發送的各種消息的傳送方向。
在第一個步驟中接入設備傳送消息RA到主機H。這個公告消息RA是路由公告，其允許符合IP協議的設備宣布它所在的環境中它的存在。由于這個RA公告消息以多播模式周期性傳送，因此可以通知移動主機在其附近存在接入設備EA(或者更確切地說其正處于鏈接到接入設備EA的地理區域Z中)。公告消息RA特別地包括接入設備EA的路由器所公告的一個或者幾個子網前綴的列表。
在公告消息RA中發送的信息的格式和類型在IETF的RFC 2461中定義，其題名為《Neighbor Discovery for IP Version 6(IPv6)(用于IP版本6(IPv6)的鄰居發現)》，描述了NDP(鄰居發現協議)。
然后移動主機H發送請求消息NS(鄰居請求)。這種消息符合前面提到的RFC 2461。
因此，包含的消息的格式符合ICMPv6標準，也就是符合TLV形式，《類型，長度，值》。
請求消息NS包括報頭并有可能包括一系列選項。區別于每個IP包起始的IP報頭，這個報頭是NDP協議專用的報頭。NDP報頭包括-針對《鄰居請求消息》類型的NS請求消息的值為《135》的《類型》域。
-值為《0》的《編碼》域。
-《校驗和》域，符合ICMPv6標準并允許控制請求消息內容的完整性。
-這個類型的消息不使用的《保留》域。
-《目標地址》域，指示請求消息的收信方的IP地址。這是接入設備EA的IP地址，通過主機H接收到的RA公告消息，主機H知道該地址。
-可能的一個或者多個《選項》域。
已經定義了多種選項。選項《源鏈路層地址》已經在RFC 2461中定義。
題名為《Secure Neighbor Discovery(安全鄰居發現)(SEND)》的RFC 3971定義了其他選項，也就是-《CGA選項》-《RSA簽名選項》RSA(發明者Rivest、Shamir和Adleman的名字)加密方法的特點是解密和加密使用不同的密鑰。因此這個方法允許使用《公共》密鑰加密并使用《私人》密鑰解密。如在RFC 3971中詳細解釋的，主機H使用自己的其私人密鑰對一系列數據(IP地址、請求消息報頭等等)加密從而創建了他的《簽名》。最后將這個簽名插入到消息結構中的《RSA簽名選項》域。
《CGA選項》域包括在RFC 3972中定義的CGA參數數據結構，也就是，特別地是一個修正值(modifier value)、移動主機H的IPv6地址的子網前綴、一個碰撞計數值以及根據CGA方法加密地產生IPv6地址時使用的公共密鑰。CGA方法使移動主機H能夠通過計算屬于該主機的公共密鑰的加密雜湊(hash)來產生其IPv6地址的接口標識符。
根據本發明，加入了《證書》選項到NS請求消息。
其允許主機H向接入設備EA的協商裝置MN傳送信息，使其得到認證。
這個證書可以包括由可信任第三方簽名的主機H的標識符。例如其可以包含它的IP地址。
證書可以符合ITU-T(國際電信聯盟)的建議書X.509，題名為《Information technology-Open systems interconnection-TheDirectoryPublic-Key and attribute certificate frameworks(信息技術——開放系統互連——目錄公共密鑰和特征證書框架》，并以IETF(互聯網工程任務小組)將此建議適用于IP棧的協議所做的工作作為基礎。這些工作在各種RFC和《因特網草案》中被具體化并在1995年秋天建立的工作組PKIX(用于公共密鑰基礎設施(X.509))中重組。PKIX工作組定義的第一份標準化文件是文件RFC 2459，題名為《Public Key Infrastucture Certificate and CRL Profiles(公共密鑰基礎設施證書和CRL特征文件)》。
這個證書優選地使用鏈接到移動主機H的可信任第三方(或者代表《證書授權》的CA)的私人密鑰進行簽名。典型地對證書施加一種算法以提供簡化信息。然后這個簡化信息可以由可信任第三方通過該私人密鑰加密，接下來簡化信息和加密的簡化信息在證書在NS請求消息中發送之前附在證書中的《證書》選項。
例如，移動主機H在請求消息NS的“證書”選項中傳送至少一個證書，其包括證書的一個序列號、證書授權者的名字、證書的有效期限、證書擁有者的名字(可以是個人或者法律實體)、證書擁有者的公共密鑰、證書授權者使用的簽名算法的指定以及至少一個授權者的簽名。一個證書也可以帶有幾個認證授權者的多個數字簽名，其可以例如以樹形或者分層的形式組織。單個的請求消息NS也可以包含具有上面形式或者相似形式的多個認證以指定多個證書授權者。
一旦接收到請求消息NS，控制裝置MC就可以驗證后者的內容。更特殊地，它們可以驗證《CGA選項》和《RSA簽名選項》選項是否符合在RFC 3971中定義的SEND協議的要求。當使用了“CGA”選項的時候，控制裝置繼續驗證主機H的IPv6地址和它的公共密鑰之間的關聯。驗證方法在RFC 3972中描述。
進一步地，協商裝置MN通過控制裝置MC驗證包含在《證書》選項中的一個或多個證書。
為了這個目的，接入設備EA有可信任第三方的列表——例如通過網絡管理員配置——其定義了接入設備承認的證書授權者。在接收的請求消息的“證書”選項中，控制裝置MC搜索屬于該可信任第三方列表的證書授權者發放的證書。如果出現了一個，這就意味著主機H和接入設備EA識別出了證書授權者。這個共享的可信任第三方的存在對于接入程序的繼續是強制性的。然后，讀取對應的證書以提取移動主機的公共密鑰。當使用“RSA簽名”選項的時候控制裝置MC使用這個密鑰來驗證附在這個選項中的簽名。
在《證書》選項以上述的方式簽名的情況中，控制裝置MC使用可信任第三方的公共密鑰解密所加密的簡化信息以檢查證書的有效性。對所加密簡化信息解密的結果通常應當產生同樣在《證書》選項中傳送的簡化信息。
如果確實是這種情況，控制裝置MC可以確定證書的確是由可信任第三方簽名。然后請求消息NS通過認證。如果不是這種情況，則其不會通過認證并應當被拒絕。
為了解密所加密的簡化信息，控制裝置MC必須取得移動主機H使用的可信任第三方的公共密鑰。這個公共密鑰對于控制裝置MC應該已經是可以得到的。可能還需要訪問在通信網絡N上可訪問的可信任第三方的數據庫。
則根據實行的PKI(公共密鑰基礎設施)可以有多種實施方式。PKI工作組的工作允許多種選擇，而且目前并沒有領先于其他基礎設施的可能的基礎設施。
因此，本發明不必受限于這些PKI基礎設施的任何一種或者上述的例子。
在一個優選的實施方式中，以結合的方式使用選項“RSA簽名”、“CGA”和“證書”來認證主機H。因此，該證書使得可以知道私人和公共密鑰對的授權擁有者的名字。數字簽名可以確定請求消息NS確實是由密鑰對擁有者發送的，該擁有者應該是唯一知道私人密鑰的人。加密產生的地址可以確定這個IP地址的擁有者和公共密鑰經授權的擁有者是同一個人。相結合的檢查建立了在證書中署名的人和移動終端的IP地址之間的可信任的關聯。
根據在請求消息NS中使用的選項，存在多種可以造成認證過程失敗并拒絕主機H的情況。因此，使用三個選項的結合，只要控制裝置MC檢測到下面的情況中的任何一種，認證就會失敗。
·沒有識別出證書，因為其不是由可信任的第三方授權。
·識別出了證書，但是無效。
·主機H的數字簽名的驗證失敗。
·IPv6地址和主機H的公共密鑰之間的關聯驗證失敗。
在本發明的一個特定實現中，一旦移動主機H通過認證，控制裝置MC就可以驗證移動主機H的接入權限。
實際上，移動主機H可以通過認證但不一定必須被授予所有的接入權限。在某些情況中，他的認證可以使其請求被拒絕。在如果他已經進入《黑列表》的情況中，他可以只是被授予受限的接入權限(接入部分網絡，接入網絡上可用的部分服務，等等)。
如果控制裝置MC認證主機H有權接入通信網絡，則它會修改授權移動主機的列表。這個修改可以包括將主機H的IP地址加入ACL數據庫。因此傳送裝置MT收到的每一個以此IP地址作為源地址的包將被發送到通信網絡，而傳送裝置MT將每一個以此IP地址作為目標地址的包向主機H發送。
進一步優選地，協商裝置MN返回公告消息NA到移動主機H以通知其請求的狀態。
這個公告消息NA可以是在IETF的RFC 2461(第4.4節)中定義的《鄰居請求》類型。這個《鄰居公告》公告消息的格式和上面描述的請求消息NS《鄰居請求》的格式相似。
附加的《策略通知選項》選項可以用于傳送請求消息NS發送的請求的狀態。
這個選項可以例如有三個值-《0》，如果接入設備EA接受了證書，并且準許接入網絡。
-《1》，如果接入設備EA不能評估證書，例如因為是未知類型。
-《2》，如果接入設備EA拒絕接入請求。
通過這種方法，一旦接收到公告消息NA，通知主機H其是否應當傳送新的證書(在選項是《1》的情況中)或者其包是否將被接入設備發送。根據這個，它可以決定選擇可能的位于地理區域Z中的另一接入設備，或者通知用戶他被拒絕接入通信網絡。
通過使用SEND協議，接入設備EA還可以傳送信息使主機H能夠在公告消息NA(鄰居公告)中認證接入設備EA。例如，“RSA簽名”和“CGA”選項可以在相反的方向中以相似的方式使用。因此，在兩個方向都可以使用SEND協議消息進行接入設備EA和移動主機H的互相認證。
協商裝置和控制裝置可以用硬件、軟件或者硬件和軟件實現。協商裝置和控制裝置可以有利地通過在至少一種硬件上運行并執行所述的功能的至少一種軟件程序如C、C++或者JAVA實現。程序語言的列表是示例性的而不是窮舉性的。協商裝置和控制裝置可以以并置方式或者分布式方式實現，也就是借助于幾種硬件單元的協作執行所述的功能。合適的硬件包括像專用集成電路(ASIC)、現場可編程門陣列(FPGA)和/或者微處理器這樣的裝置。
權利要求
1.一種接入通信網絡(N)的接入設備(EA)，其裝備有無線通信接口(IR)，能夠和位于鏈接到所述相關的接口(IR)的地理區域(Z)中的移動主機(H1、H2、H3)交換數據包；協商裝置(MN)，用于和處在所述相關地理區域中的請求接入所述通信網絡的移動主機建立數據包(RA、NS、NA)的交換，以及傳送裝置(MT)，用于在位于所述通信網絡中的一個或者多個遠程設備(ED)和所述移動主機之間傳送形成數據流(F)的數據包，所述移動主機記錄在所述接入設備存儲的經授權的移動主機的列表(ACL)上，其中所述傳送裝置不傳送任何到未記錄在所述經授權的移動主機的列表上的移動主機的數據包或者任何來自這些移動主機的數據包，其特征在于，這些協商裝置能夠從所述移動主機接收包含數字簽名的請求消息(NS)，該數字簽名借助于和公共密鑰、使用所述公共密鑰產生的所述移動主機的IP地址以及由至少一個證書授權者數字簽名的證書關聯的私人密鑰獲得，所述證書包括所述公共密鑰以及所述公共和私人密鑰對的擁有者的名字，所述協商裝置包括能夠驗證所述證書授權者的所述數字簽名、并且然后使用在所述證書中接收的所述公共密鑰驗證所述數字簽名和所述移動主機的所述IP地址的控制裝置(MC)，為了認證所述移動主機，所述控制裝置(MC)能夠根據所述認證修改所述經授權的移動主機的列表。
2.根據權利要求1的接入設備，其中所述經授權的移動主機的列表是一個ACL類型數據庫。
3.根據權利要求1的接入設備，其中所述協商裝置能夠傳送包含所述相關的認證狀態的公告消息(NA)到所述移動主機。
4.根據權利要求3的接入設備，其中當所述接入設備承認所述證書的時候，包含在所述公告消息中的所述認證狀態具有第一值，當所述接入設備不能評估所述證書的時候，包含在所述公告消息中的所述認證狀態具有第二值，而當所述接入設備拒絕所述接入請求的時候，包含在所述公告消息中的所述認證狀態具有第三值。
5.根據權利要求1到4的任意一個的接入設備，其中所述請求消息包括通過所述證書授權者的所述私人密鑰加密的簡化信息以及所述非加密的簡化信息，所述控制裝置能夠使用所述證書授權者的所述公共密鑰來解密所述加密的簡化信息，并將所述解密的簡化信息和所述非加密的簡化信息進行比較。
6.根據權利要求1到4的任意一個的接入設備，其中所述控制裝置(MC)能夠確定所述至少一個證書授權者是否是所述接入設備識別的可信任第三方，而如果不是則拒絕所述認證。
7.根據權利要求1到4的任意一個的接入設備，其中使用根據RFC3972的CGA方法獲得所述IP地址。
8.一種處理過程，其用于控制所述移動主機(H1、H2、H3)通過裝備有無線通信接口(IR)的接入設備(EA)接入通信網絡(N)，當所述移動主機位于鏈接到所述接入設備(EA)的地理區域(Z)中的時候，該接口能夠和所述移動主機之一交換數據包，所述處理過程包括在所述接入設備和所述移動主機之間的數據包(RA、NS、NA)交換步驟，以及傳送步驟，其包括，當且僅當所述移動主機先前已經記錄在所述接入設備存儲的經授權的移動主機的列表(ACL)上時，才通過所述接入設備，在位于所述通信網絡中的一個或者多個遠程設備(ED)和所述移動主機之間傳送形成數據流(F)的數據包，所述處理過程的特征在于，在所述傳送步驟之前，所述接入設備從請求接入所述通信網絡的移動主機接收包含數字簽名的請求消息(NS)，該數字簽名借助于和公共密鑰、使用所述公共密鑰產生的IP地址以及由至少一個證書授權者數字簽名的證書關聯的私人密鑰獲得，所述證書包括所述公共密鑰以及所述公共和私人密鑰對的擁有者的名字，使用在所述證書中接收的所述公共密鑰，通過驗證所述數字簽名和所述IP地址，繼續請求接入所述通信網絡的所述移動主機的認證，并根據這個認證修改所述經授權的移動主機的列表。
全文摘要
本發明公開了一種到通信網絡(N)的接入設備(E
文檔編號H04L29/06GK1984077SQ20061011543
公開日2007年6月20日 申請日期2006年8月9日 優先權日2005年8月10日
發明者克里斯托夫·普雷吉卡 申請人:阿爾卡特公司