-
Bereich der
Erfindung
-
Die
Erfindung bezieht sich auf eine dynamische Benutzerautorisierung
in einem zellbasierten System zur drahtlosen Kommunikation. Die
Erfindung ist anwendbar auf einen terminalbasierten Dienstidentifikations-
und Modifikationsmechanismus, um Zugriff auf einen Dienst oder ein
Dienstniveau in solch einem System zu erhalten, aber nicht darauf
begrenzt.
-
Hintergrund
der Erfindung
-
Systeme
zur drahtlosen Kommunikation, beispielsweise zellulare Fernsprechtechnik-
oder private Mobilfunkkommunikationssysteme, stellen typischerweise
Funktelekommunikationsverbindungen zur Verfügung, die zwischen einer Vielzahl
von Basistransceiverstationen (BTSs) und einer Vielzahl von Teilnehmereinheiten
einzurichten sind, die oftmals mobile Stationen (MSs) bezeichnet
werden.
-
Systeme
zur drahtlosen Kommunikation werden von Festnetz-Kommunikationssystemen,
solchen wie das öffentliche
Telefonnetz (PSTN), vornehmlich darin unterschieden, dass mobile
Stationen sich zwischen einer BTS (und/oder unterschiedlichen Dienstanbietern)
bewegen und dabei variierende Funkausbreitungsumgebungen antreffen.
-
In
einem System zur drahtlosen Kommunikation hat jede BTS ein bestimmtes
geographisches Abdeckungsgebiet (oder eine Zelle) zugeordnet. Ein bestimmter
Bereich definiert das Abdeckungsgebiet, in dem die BTS akzeptable
Kommunikationen mit den MSs, die innerhalb ihrer bedienenden Zelle
betrieben werden, aufrechterhalten kann. Eine Teilnehmereinheit
meldet sich in einer bestimmten Zelle (BTS) an, wann immer ein Roaming
(ein Eintreten) in eine Zelle durchgeführt wird, so dass Anrufe zu/von der
Teilnehmereinheit geleitet werden können. Das Netz wird der Teilnehmereinheit
eine "Heim"-Zelle zuordnen,
in der die Teilnehmereinheit typischerweise betrieben wird. Die
Heimzelle leitet dann jegliche Anrufe, Benutzerprofile, Präferenzen,
etc. zu einer beliebigen Zelle, die von der Teilnehmereinheit besucht wird.
Oftmals vereinigen sich diese Zellen, um ein ausgedehntes Abdeckungsgebiet
zu erzeugen.
-
Heutige
Kommunikationssysteme, sowohl drahtlose als auch drahtgebundene,
haben die Anforderung, Daten zwischen Kommunikationseinheiten zu übertragen.
Daten umfassen in diesem Zusammenhang Signalisierungsinformationen
und einen Signalisierungsverkehr, solche wie Video- und Sprachkommunikation.
Solche Datenübertragungen
müssen
effektiv und ef fizient zur Verfügung
gestellt werden, um die Verwendung von begrenzten Kommunikationsressourcen
zu optimieren.
-
Den
Neuerungen des drahtlosen (mobilen) Internetzugangs folgend ist
es erforderlich neue Dienste und Funktionalitäten durch UEs zu unterstützen. Ein
solches Kommunikationssystem bezieht sich auf die Authentifikation
des Benutzers, die Autorisierung für die spezifischen Dienste
oder die Qualität
der Dienste, die der Benutzer anfordert, und das in Rechnung Stellen
für die
Verwendung der Kommunikationsressource/-dienstes durch die UE, im
Allgemeinen als "AAA"-Funktionen bezeichnet.
-
Kommunikationssysteme
werden nun gemäß einer
dritten Generation von Standards vorbereitet. Unter den Zellularstandards
dritter Generation sind Systeme, solche wie die UMTS 3GPP- und 3GPP2-Standards
des europäischen
Instituts für
Telekommunikationsnormen (ETSI) und die IMT-2000-Standards (IMT-2000 = International
Mobile Telecommunications-2000), die Kommunikationsprotokolle verwenden,
die einige Internetprotokolle unterstützen und AAA-Funktionen umfassen.
-
Das
bevorzugte Ausführungsbeispiel
der vorliegenden Erfindung wird unter Bezugnahme auf das Partnerschaftsprojekt
dritter Generation (3GPP = Third Generation Partnership Project)
beschrieben, das Abschnitte des UMTS (UMTS = Universal Mobile Telecommunications
Standards) definiert, die den TD-CDMA-Betriebsmodus (TD-CDMA = Time
Division-Code Division Multiple Access/zeit- und code-gesteuertes
Multiplexverfahren). In dem UMTS-Fachjargon wird eine BTS als ein
Knoten B bezeichnet, wobei eine Teilnehmerausstattung als Benutzerausstattung
(UE) bezeichnet wird. Mit der rapiden Entwicklung von Diensten,
die den Benutzern auf der Bühne
der drahtlosen Kommunikation zur Verfügung gestellt werden, umfassen
die UEs viele Ausbildungen von Kommunikationsvorrichtungen, von
zellularen Fernsprechvorrichtungen oder funkbasierten Geräten hindurch
zu Handcomputern (PDAs) und MP3-Player bis zu drahtlosen Videoeinheiten
und drahtlosen Interneteinheiten.
-
Das
Memorandum, das durch die Internet Engineering Task Force Organisation
veröffentlicht wurde,
mit der Nummer RFC2904 vom August 2000, das den Titel "AAA Authorization
Framework" trägt, präsentiert
die grundlegenden konzeptionellen Funktionseinheiten, die als Teilnehmer
in einer Autorisierung zugelassen werden können:
- (i)
ein Benutzer, der Zugriff auf einen Dienst oder eine Ressource möchte;
- (ii) eine Benutzerheimorganisation, die eine Vereinbarung mit
dem Benutzer hat und überprüft, ob der
Benutzer die Berechtigung hat, den angeforderten Dienst oder die
angeforderte Ressource zu erhalten. Diese Funktionseinheit kann
Informationen tragen, die zum Autorisieren des Benutzers erforderlich
sind und dem Dienstanbieter nicht bekannt sein könnte (solche wie eine Kreditgrenze);
- (iii) ein AAA-Server eines Dienstanbieters, welcher einen Dienst
basierend auf einer Vereinbarung mit der Verbraucherheimorganisation
ohne spezifisches Wissen über
den individuellen Benutzer autorisiert. Diese Vereinbarung kann
Elemente enthalten, die nicht für
einen individuellen Benutzer (zum Beispiel die gesamte vereinbarte Bandbreite
zwischen den Heimbenutzerorganisation und dem Dienstanbieter) sind;
und
- (iv) eine Dienstaustattung eines Dienstanbieters, welche den
Dienst an sich zur Verfügung
stellt.
-
Die
bestehenden Internetprotokolle sind primär derart gestaltet, dass sie
eine AAA-Funktionalität für drahtleitungsbasierte
Netze zur Verfügung
stellen. Folglich sind die Protokolle nicht gut für Netze
zur drahtlosen Kommunikation geeignet, insbesondere für das Bedienen
eines ein Roaming durchführenden Benutzers
von Mobiltelefonen/funkbasierten Geräten. 1 der beiliegen
Zeichnungen veranschaulicht einen bekannten Mechanismus, um einem
ein Roaming durchführenden
Benutzer 110 drahtlosen Internetzugang zur Verfügung zu
stellen. Der ein Roaming durchführende
Benutzer 110 wurde einem Heimnetz 150 zugeordnet,
das einen Heim-AAA-Dienstanbieter 155 umfasst. Der ein
Roaming durchführende
Benutzer 110 wird so gezeigt, als habe er ein Roaming in
ein besuchtes Netz 120 durchgeführt und muss durch einen AAA-Client 130 (zum
Beispiel einen Access- bzw. Zugriffs-Router) kommunizieren. Ein
lokaler AAA-Server 125 in dem besuchten Netz 120 unterstützt den
AAA-Client.
-
Es
ist bekannt, AAA-Funktionen gemäß den Schemata
auszuführen,
bei welchen sowohl die Authentifikation als auch die Autorisierung
eine Zwei-Wege-Kommunikation zwischen dem Heim-AAA-Server 155 und
dem besuchten AAA-Server 125 erfordern. Der Prozess, um
die Authentifikation und die Autorisierung zur Verfügung zu
stellen, erfordert, dass der ein Roaming durchführende Benutzer 110 dem
lokalen AAA-Client 175 seine Berechtigungsnachweise zur
Verfügung
stellt. Der lokale AAA-Client 175 leitet die Berechtigungsnachweise zu
dem lokalen AAA-Server (AAAL, besuchte Netz-AAA-Autorität) 125 zu
Authentifikationszwecken weiter.
-
Der
AAAL 125 erkennt, dass es nicht möglich ist, diesen Benutzer
zu authentifizieren, wenn der ein Roaming durchführende Benutzer 110 nicht
zu der Domain bzw. der Do mäne
bzw. dem Bereich gehört, der
der AAAL 125 dient. Der AAAL-Server 125 leitet dann
die Berechtigungsnachweise über
das Internet 140 zu dem Heimnetz-AAA-Server (AAAH) 155 zu Authentifikationszwecken
weiter. Der AAAH-Server 155 authentifiziert die Berechtigungsnachweise
und sendet eine Validierungsnachricht zu dem AAAL-Server 125 in
dem besuchten Netz 120. Der AAAL-Server 125 leitet
dann die Authentifikationsvalidierung zu dem AAA-Client 175 weiter,
wobei dem ein Roaming durchführenden
Benutzer 110 dann Zugriff auf das besuchte Netz 120 gewährt wird.
-
Unglücklicherweise
ist das Auftreten solch eines Datentransfers zwischen dem ein Roaming durchführenden
Benutzer 110, dem lokalen AAA-Server 125 und seiner
Heim-AAA-Autorität 155 nicht
lediglich auf die anfängliche
Authentifikationsanfrage begrenzt, wenn ein ein Roaming durchführender
Benutzer 110 ein Roaming in ein besuchtes Netz 120 durchführt. Zum
Beispiel ist der AAAH-Server 125 ebenso in anschließende Autorisierungsanfragen
involviert, wodurch der AAAL-Server 125 sicherstellen muss,
dass korrekt für
den Dienst, der durch den ein Roaming durchführenden Benutzer 110 beantragt
wird, bezahlt wird. In diesem Fall involviert die Inter-Domain-Kommunikation
den AAAH 155, welcher das Verkehrsprofil kennt, das durch
den ein Roaming durchführenden
Benutzer 110 beansprucht wird.
-
Darüber hinaus
wird solch eine Inter-Domain-Kommunikation
für jede
Autorisierungsanfrage für
einen spezifischen Dienst aufgerufen. Zusätzlich wird die Inter-Domain-Kommunikation
für jede
Authentifikationsanfrage aufgerufen, die der AAAL-Server 125 zu
dem ein Roaming durchführenden
Benutzer 110 senden kann. Es ist wahrscheinlich, dass diese
zusätzlichen
Authentifikationsanfragen entweder periodisch oder dann, wenn der
Benutzer Zugriff auf einen bestimmten Dienst beantragt, auftreten.
-
Die
drei verschiedenen Mechanismen, die zur Autorisierung (Agent-Sequence,
Push-Sequence, Pull-Sequence) in dem oben erwähnten Memorandum mit der Nummer
RFC2904 beschrieben sind, involvieren alle die Zwei-Wege-Kommunikation mit
dem AAAH 155. Das Memorandum, das den Titel "AAA Local Security
Association (LSA): The Temporary Shared Key (TSK)" trägt und im
Juli 2001 durch die Internet Engineering Task Force organisation
veröffentlicht
wurde, beschreibt einen Mechanismus zum Einrichten einer Local-Security-Association (LSA)
zwischen einem Benutzer und dem besuchten Netz, wenn der Benutzer
ein Roaming durchführt.
Jedoch stellt dieser Vorschlag dem AAAH lediglich die Befähigung zur
Verfügung,
sein Authentifikationsvermögen
zu delegieren, nachdem er bereits den mobilen Benutzer zuerst authentifiziert
hat.
-
Es
wird erkannt, dass lange Verzögerungen im
Falle eines ein Roaming durchführenden
mobilen Benutzers für
die Authentifikation und/oder Autorisierung auftreten können, die
die Zwei-Wege-Kommunikation (Hin- und Zurück-Austausch) mit dem Heim-AAA-Server 155 involvieren.
Dies ist insbesondere der Fall, wenn das besuchte Netz 120 geographisch
entfernt von dem Heimnetz ist, wobei das mehrmalige Ausführen eines
Hin- und Zurück-Austauschs
der AAA-Nachrichten einen wesentlichen Kommunikationsmehraufwand
darstellt, der insbesondere in dem Fall der drahtlosen Kommunikationen
unbefriedigend ist.
-
Die
Erfinder der vorliegenden Erfindung haben erkannt, dass die derzeitigen
Lösungen
für drahtlosen
Internetzugang für
einen ein Roaming durchführenden
Benutzer, insbesondere bei Unterstützen der AAA-Funktionalität, auf netzbasieren den
Prozessen fokussiert sind. All die bekannten Lösungen versuchen, das besuchte
Netz mit einer Informationsbasis zu verbinden, entweder lokal oder
entfernt, um die Benutzerinformationen zu erhalten. Zum Beispiel
erfordert eine auf einer Managementinformationsbasis (MIB = management
information base) basierende Lösung,
dass all die besuchten Domains bzw. Domänen eine Verbindung zu der
MIB explizit herzustellen, um jeden/jede Berechtigungsnachweis/Berechtigung eines
besuchenden Benutzers zu authentifizieren, Darüber hinaus ist eine MIB basierende
Lösung
statisch konfiguriert und schlägt
fehl, die dynamischen Anforderungen eines ein Roaming durchführenden Benutzers
angemessen anzugehen. Der gleiche Stellungnahme gilt ebenso für die PIB
(PIB = Policy Information Base) basierende Lösung, welche als eine MIB mit
einer unterschiedlichen objektorientierten Struktur betrachtet werden
kann.
-
Eine
unkomplizierte Lösung
kann sein, eine direkte Verbindung zwischen dem AAAL-Server 125 und
dem AAAH-Server 155 herzustellen. Jedoch bedeutet solch
eine Lösung,
dass sich für
jede Zeit ein ein Roaming durchführender
Benutzer 110 zu einer neuen Domain bzw. einer neuen Domäne bewegt, wobei
eine Kommunikation zwischen dem AAAL-Server 125 und dem
AAAH-Server 155 bestehen sollte.
-
Darüber hinaus
ist für
dynamische Änderungen
eines Dienstprofils des Benutzers die einzige Lösung, die derzeit besteht,
dass der AAAH-Server 155 eine Verbindung mit dem besuchten
AAAL-Server 125 herstellt, um die Benutzerinformationen
zu aktualisieren. Eine konzeptionelle Veranschaulichung von dieser
ist in 2 gezeigt. 2 veranschaulicht die
Netzkommunikation 200, die erforderlich ist, unterschiedlichen
Betreibern zu erleichtern, sich unter scheidende administrative Domänen zu haben,
die unterschiedliche Dienste und Dienstniveaus zur Verfügung stellen.
Drei Domänen
bzw. Bereiche 220, 230, 240 sind gezeigt
mit entsprechenden Diensten 225, 235, 245,
die durch jede unterstützt
werden. Jeder Dienst 225, 235, 245 hat
mehrere Dienstniveaus 228 (lediglich in Bezug auf die Dienstdatenbank 225 zu
Klarheitszwecken gezeigt) zugeordnet.
-
Die
Erfinder der vorliegenden Erfindung haben ebenso erkannt, dass die
Kommunikation von solch einem Dienst oder einer Dienstniveauinformation 210 zwischen
Domänen
ein sehr ineffizienter Mechanismus ist, der wertvolle Kommunikationsressourcen
verwendet. Zusätzlich
ist er ein Mechanismus, der nicht leicht skalierbar ist und deshalb
sowohl eine hohe Netzbelastung als auch eine hohe AAAH-Belastung
verursacht.
-
Die
WO 00/38440 (Lee Kok Seng) offenbart ein Verfahren zum Kommunizieren
eines benannten Dienstes, wobei das Benutzerprofil, das in dem Profil gespeichert
ist, Dienstdaten enthält.
Das Benutzerprofil wird unter Verwendung eines privaten Schlüssels kodiert
und zu dem ein Roaming durchführenden Server
gesendet, um unter Verwendung der Öffentliche-Schlüssel- bzw.
Public-Key-Kryptographie extrahiert zu werden. Jedoch betrachtet
dieses Verfahren nicht die Kompatibilität von proprietären Benutzerprofilen
und die Last auf das Netz, die ein Public-Key-System erzeugen kann,
wenn irgendeine Benutzerprofiländerung
beantragt wird.
-
Ein
Bedarf besteht deshalb für
einen verbesserten Dienstidentifikationsmechanismus, vorzugsweise
einen terminalbasierten Dienstidentifikationsmechanismus, und einen
Mechanismus zum Unterstützen
einer dynamischen Modifikation von Dienstprofilen, wobei die oben
erwähnten
Nachteile, die den dem Stand der Technik angehörenden Mechanismen zugeordnet
sind, verringert werden können.
-
Erfindungsbeschreibung
-
In Übereinstimmung
mit einem ersten Aspekt der vorliegenden Erfindung wird ein terminalbasiertes
Dienstidentifikationsverfahren zur Verfügung gestellt, wie in Anspruch
1 beansprucht.
-
In Übereinstimmung
mit einem zweiten Aspekt der vorliegenden Erfindung wird ein Server
für eine
Zelle eines zellbasierten Systems zur drahtlosen Kommunikation zur
Verfügung
gestellt, wie in Anspruch 10 beansprucht.
-
In Übereinstimmung
mit einem dritten Aspekt der vorliegenden Erfindung wird ein System
zur drahtlosen Kommunikation zur Verfügung gestellt, wie in Anspruch
16 beansprucht.
-
Weitere
Aspekte der vorliegenden Erfindung werden in den abhängigen Ansprüchen beansprucht.
-
Zusammengefasst
stellen die erfinderischen Konzepte der vorliegenden Erfindung einen
Mechanismus zur Verfügung,
um das Autorisierungsvermögen
eines Servers, zum Beispiel eines AAA-Servers, durch Bereitstellen
einer Dienstprofildatenbank an dem Server, die auf einer Vielzahl
von Serverdienstprofilen basiert, zu verbessern. Ein drahtloses
ein Roaming durchführendes
Teilnehmer-Terminal enthält
Dienstprofildaten. Das drahtlose ein Roaming durchführende Teilnehmer-Terminal
sendet die Dienstprofildaten zu dem besuchten Server, bei dem sie
gegenüber
der Dienstprofildatenbank zugeordnet werden, um einen Dienst oder
ein Dienstniveau zu bestimmen, der/das der drahtlosen ein Roaming durchführenden
Teilnehmereinheit zur Verfügung
zu stellen ist.
-
Auf
diese Weise besteht kein Bedarf für die besuchte Zelle, mit der
Heimzelle der drahtlosen ein Roaming durchführenden Teilnehmereinheit zu
kommunizieren, um den Dienst oder das Dienstniveau zu bestimmen,
der/das zur Verfügung
zu stellen ist, wodurch eine wesentliche Zwischen-Zellkommunikation vermieden
wird.
-
Darüber hinaus
wird ein Mechanismus für
ein Terminal zum Modifizieren dessen Dienstprofils beschrieben,
wodurch das modifizierte Dienstprofil durch einen Server in einer
besuchten Kommunikationszelle authentifiziert und autorisiert werden
kann.
-
Kurze Beschreibung
der Zeichnungen
-
1 veranschaulicht
einen bekannten Mechanismus, um einem ein Roaming durchführenden Benutzer
einen drahtlosen Internetzugang zur Verfügung zu stellen.
-
2 veranschaulicht
eine bekannte Kommunikationsnetzanordnung, die erforderlich ist,
um unterschiedlichen Betreibern zu erleichtern, sich unterscheidende
administrative Domänen
zu haben, die sich unterscheidende Dienste und/oder Dienstniveaus
zur Verfügung
stellen.
-
Exemplarische
Ausführungsbeispiele
der vorliegenden Erfindung werden nun beschrieben unter Bezugnahme
auf die beiliegenden Zeichnungen, wovon:
-
3 ein
Domänen-basiertes
3GPP-Kommunikationssystem
veranschaulicht, das dazu angepasst ist, das erfinderische Konzept
eines bevorzugten Ausführungsbeispiels
der vorliegenden Erfindung zu unterstützen.
-
4 einen
Mechanismus veranschaulicht, um dynamisch Dienstprofile in Übereinstimmung
mit einem bevorzugten Ausführungsbeispiel
der vorliegenden Erfindung zur Verfügung zu stellen.
-
5 eine
Einheit zur drahtlosen Kommunikation (UE) zeigt, die dazu angepasst
ist, das erfinderische Konzept des bevorzugten Ausführungsbeispiels
der Erfindung anzuwenden.
-
6 einen
Mechanismus veranschaulicht, um dynamisch Dienstprofile in Übereinstimmung
mit einem bevorzugten Ausführungsbeispiel
der vorliegenden Erfindung zu modifizieren.
-
Beschreibung
der bevorzugten Ausführungsbeispiele
Bezug nehmend zuerst auf 3 ist ein UMTS-Kommunikationssystem/-Netz 300 in
einer hierarchischen Ausbildung gezeigt. Das Kommunikationssystem 300 ist
konform mit UMTS und/oder dem GPRS-Air-Interface (GPRS = general
packet radio system/allgemeines packetorientiertes Funksystem) und
enthält
Netzelemente, die dazu im Stande sind, über diese betrieben zu werden.
Insbesondere bezieht sich die Erfindung auf die 3GPP-Spezifikation (3GPP
= Third Generation Partnership Project/Partnerschaftsprojekt dritter
Generation) für
einen WCDMA-Standard (WCDMA = wide-band CDMA = wide-band code-division
multiple access), der sich auf die Heimnetz-/bedienende Netzschnittstelle
bezieht (Beschrieben in der 3G TS 25.xxx Reihe der Spezifikationen).
-
Das
Netz wird zweckmäßiger Weise
derart angesehen, dass es aufweist: eine Benutzeraustattungs-Domäne 310,
die aus einer USIM-Domäne 320 (USIM
= user subscriber identity module/Benutzerteilnehmeridentitätsmodul)
und eine mobile Ausstattungs-Domäne 330 gebildet
wird; und eine Infrastruktur-Domäne 340,
die aus einer Zugriffsnetz-Domäne 350 und
einer Core-Netz-Domäne 360 gebildet
ist, welcher wiederum aus einer bedienenden Netz-Domäne 370,
einer Transit-Netz-Domäne 380 und
einer Heimnetz-Domäne 390 gebildet
ist.
-
In
der mobilen Ausstattungs-Domäne 330 empfängt eine
Benutzerausstattung (UE) 330A Daten von einem Benutzer-SIM 320A in
der USIM-Domäne 320 über die
verdrahtete CU-Schnittstelle. Die UE 330A kommuniziert
Daten mit einem Knoten-B 350A in der Netzzugriffs-Domäne 350 über die
drahtlose UU-Schnittstelle. Innerhalb der
Netzzugriffs-Domäne 350 enthalten
die Knoten-Bs 350A eine oder mehrere Transceivereinheiten
und kommunizieren mit dem Rest der zellbasierten Systeminfrastruktur, zum
Beispiel einer Funknetzsteuereinrichtung (RNC) 350B, über eine
Iub-Schnittstelle,
wie in der UMTS-Spezifikation definiert ist.
-
Die
RNC 350B kommuniziert mit anderen RNCs (nicht gezeigt) über die
Iur-Schnittstelle. Die RNC 350B kommuniziert
mit einem bedienenden GPRS-Unterstützungsknoten (SGSN) 370A in
der bedienenden Netz-Domäne 370 über die
IU-Schnittstelle.
Innerhalb der bedienenden Netz-Domäne 370 kommuniziert
der SGSN 370A mit einem Gateway-GPRS-Unterstützungsknoten (GGSN) 370B über die
Gn-Schnittstelle, wobei der SGSN 370A mit einem VLR-Server
(VLR = visitor location register/Besucheraufenthaltsregister) 370C über die GS-Schnittstelle. Der SGSN 370A kommuniziert
mit einem HLR-Server (HLR = home location register/Heimatregister) 190A in
der Heimnetz-Domäne 390 über die
ZU-Schnittstelle.
-
Der
GGSN 370B kommuniziert mit dem öffentlichen Datennetz in der
Transit-Netz-Domäne 380 über die
Yu-Schnittstelle.
-
Der
GGSN 370B (und/oder der SGSN) ist für die UMTS-Kopplung (oder die GPRS-Kopplung) mit einem öffentlich
gestalteten Datenwerk (PSTN) 380A, solch eines wie das
Internet oder ein öffentliches
Telefonnetz (PSTN), verantwortlich. Der SGSN 370A führt eine
Routing- und Tunneling-Funktion
für den
Verkehr, angenommen innerhalb eines UMTS-Core-Netzes, aus, solange ein GGSN 370B an
die externen Paketnetze angebunden ist, in diesem Fall eines, das
auf den UMTS-Modus des Systems zugreift.
-
Daher
sind die Elemente RNC 350B, SGSN 370A und GGSN 370B herkömmlicherweise
als diskrete und separate Einheiten (an deren eigenen entsprechenden
Software-/Hardware-Plattformen)
zur Verfügung
gestellt, die über
die Zugriffsnetz-Domäne 350 und
die bedienende Netz-Domäne 370 aufgeteilt sind.
-
Die
RNC 350B ist das UMTS-UTRAN-Element (UTRAN = terrestrial
radio access network), das für
die Steuerung und Zuweisung von Ressourcen für zahlreiche Knoten-Bs 350A verantwortlich
ist; typischerweise können
50 bis 100 Knoten-Bs durch eine RNC 350B gesteuert werden.
Die RNC 350B stellt ebenso eine verlässliche Lieferung von Benutzerverkehr über das
Air-Interface zur Verfügung.
Die RNCs kommunizieren miteinander (über die Iur-Schnittstelle),
um einen Handover und eine Makrodiversität zu unterstützen.
-
Der
GGSN 370B ist das UMTS-Core-Netz-Element, das für das Konzentrieren
und Tunneling von Benutzerdaten innerhalb des Core-Packet-Netzes
zu dem endgültigen
Zielort (zum Beispiel einem Internetdienstanbieter (ISP)) verantwortlich ist.
-
Der
SGSN 370A ist das UMTS-Core-Netz-Element, das für die Session-Steuerung
und die Schnittstelle zu den Standortregistern (HLR und VLR) verantwortlich
ist. Der SGSN 370A ist eine große zentralisierte Steuereinrichtung
für viele
RNCs. In Übereinstimmung
mit den bevorzugten Ausführungsbeispielen
der vorliegenden Erfindung wurde der SGSN 370A zusammen
mit ein oder mehreren VLR-Servern 370C und HLR-Servern
(390A) angepasst, um das hier beschriebene erfinderische
Konzept zu unterstützen
und die Menge der Signalgebung zu verringern, die die Gs-
und Gn-Schnittstelle durchläuft.
-
Der
Betrieb des SGSN 370A, des VLR-Servers 370C und
der HLR-Servers (390A) gemäß dem bevorzugten Ausführungsbeispiel
der vorliegenden Erfindung wird weiter unter Bezugnahme auf 4 beschrieben.
-
Darüber hinaus
wurde bei dem bevorzugten Ausführungsbeispiel
der Erfindung zumindest eine UE 330A angepasst, um SP-Daten
(SP = service profile/Dienstprofil), die sich auf AAA-Nachrichten beziehen,
zu speichern, verarbeiten und zu einem VLR-Server 370 senden.
Die UE 330A gemäß dem bevorzugten
Ausführungsbeispiel
der vorliegenden Erfindung wird weiter unter Bezugnahme auf 5 und 6 beschrieben.
Das drahtlose ein Roaming durchführende
Teilnehmer-Terminal
sendet die Dienstprofildaten zu dem besuchten Server, bei dem sie
gegenüber
einer Dienstprofildatenbank eines Servers einer besuchten Zelle
zugeordnet werden, um einen Dienst oder ein Dienstniveau zu bestimmen,
der bzw. das der drahtlosen ein Roaming durchführenden Teilnehmereinheit zur
Verfügung
zu stellen ist.
-
Auf
diese Weise besteht kein Bedarf für die besuchte Zelle, mit der
Heimzelle einer drahtlosen ein Roaming durchführenden Teilnehmereinheit zu kommunizieren,
um den Dienst oder das Dienstniveau zu bestimmen, der bzw. das zur
Verfügung
zu stellen ist, wodurch im eine beträchtliche Zwischen-Zellkommunikation
vermieden wird.
-
Darüber hinaus
wird ein Mechanismus für
ein Terminal zum Modifizieren von dessen Dienstprofil beschrieben,
wodurch das modifizierte Dienstprofil durch einen Server in einer
besuchten Kommunikationszelle authentifiziert und autorisiert werden
kann.
-
Allgemeiner
können
die obigen Anpassungen in den entsprechenden Kommunikationseinheiten
auf jegliche geeignete Art und Weise umgesetzt werden. Zum Beispiel
kann eine neue Vorrichtung zu einer herkömmlichen Kommunikationseinheit
hinzugefügt
werden, oder alternativ können
bestehende Teile einer herkömmlichen
Kommunikationseinheit angepasst werden, zum Beispiel durch Umprogrammierung
von einem oder mehreren Prozessor(en). Als solche kann die erforderliche
Anpassung in der Ausbildung von prozessor-implementierbaren Anweisungen
umgesetzt werden, die auf einem Speichermedium gespeichert sind,
solche wie eine Diskette, eine Festplatte, ein PROM, ein RAM oder
irgendeine Kombination von diesen oder einen anderen Speichermedienverbund.
-
Im
Falle anderer Netz-Infrastrukturen kann die Umsetzung der Verarbeitungsbetriebe
bei jedem geeigneten Knoten ausgeführt werden, wie jede andere
angemessene Bauart einer Basisstation, einer Basisstationsteuereinrichtung,
einen GGSN, einer mobilen Vermittlungsstelle (MSC), etc. Alternativ können die
vorstehend erwähnten
Schritte durch verschiedene Komponenten ausgeführt werden, die bei unterschiedlichen
Standorten oder Funktionseinheiten innerhalb eines geeigneten Netzes
oder Systems aufgeteilt sind.
-
Unter
Bezugnahme auf 4 wird nun ein Mechanismus 400 in Übereinstimmung
mit einem bevorzugten Ausführungsbeispiel
der vorliegenden Erfindung veranschaulicht, um dynamisch Dienstprofile zur
Verfügung
zu stellen. Zusammengefasst verbessert der bevorzugte Mechanismus
das Autorisierungsvermögen
eines AAA-Servers, indem er eine Dienstprofildatenbank an dem AAAL 420 zur
Verfügung
stellt. Zusätzlich
wird ein dynamischer SP-Indikator (SP = Service profile/Dienstprofil)
in der UE 330A zur Verfügung
gestellt, die ein Roaming in die Kommunikationszelle durchgeführt hat,
die durch den AAAL 420 bedient wird.
-
Es
wird angenommen, dass der AAAH des HLR 390A und der AAAL 420 des
VLR 370A eine Beziehung haben, die zulässt, dass der AAAL 420 Informationen über andere
AAA-Server aufrechterhält, zum
Beispiel:
- (i) Die AAAH-Dienstniveau-Spezifikation
(SLS) für jeden
Dienst, der durch die besuchende Zelle zur Verfügung gestellt wird;
- (ii) Die AAAH-SP-Initialisierungsparameter von einer oder mehrerer
UEs; und
- (iii) die AAAH-Benutzerauthentifikationsdaten.
-
Darüber hinaus
wird angenommen, dass der AAAH jeden seiner (heimzugeordneten) Benutzer konfigurieren
wird, um jegliche angemessenen Informationen/Daten entsprechend
der Beziehung mit anderen AAA-Servern aufrechtzuerhalten. Es wird
in Betracht gezogen, dass sich solche Daten beispielsweise auf Dienste
oder Dienstniveaus beziehen können,
die zu bestimmten Tageszeiten zur Verfügung gestellt werden. Es wird
ebenso in Betracht gezogen, dass solche Informationen einem Takt
eines Pseudozufallszahlgenerators (PRNG) des AAA-Servers zugeordnet
werden können,
um den Benutzer zu authentifizieren und den Benutzer mit dem SP
zu autorisieren, der durch den Benutzer angezeigt wird.
-
Im
Betrieb bewegt sich eine UE 330A von deren Heim-Domäne zu einer
anderen (besuchten) Domäne.
Der AAAL-Server 420 der besuchten Domäne sendet eine AAA-Anfrage 425 zu
der UE 330A, um zu ermitteln, ob Dienste oder Dienstniveaus
für die
UE 330A verfügbar
sind, und wenn dies der Fall ist, welche.
-
Die
UE 330A sendet eine Dienstanfragenachricht 430 zu
dem AAAL-Server 420, wie in der europäischen Parallelanmeldung durch
den gleichen Anmelder beschrieben ist, die durch das Aktenzeichen
CR00545P des Anmelders bezeichnet ist. Die Dienstanfragenachricht 430 umfasst
einen UE-Identifizierer (ID) 432, einen Dienstprofil-SP-ID 434,
der der UE 330A zugeordnet ist, ein Codierungssignal Si 436 und
einen Autorisierungscode 438.
-
Der
AAAL-Server 420 extrahiert 440 einen Identifizierer
bzw. ein Profil des SL 445 (SL = service level/Dienstniveau)
von dem SP-ID 434, der in der Dienstanfragenachricht 430 gesendet
wird. Der AAAL-Server 420 gleicht dann den Identifizierer
bzw. das Profil des SL 445 mit der entsprechenden SL-Profildatenbank 442 ab.
In dem bevorzugten Ausführungsbeispiel
der vorliegenden Erfindung wird solch eine Extraktion und solch
ein Vergleich unter Verwendung einer Zahl bewirkt, die durch den
PRNG innerhalb des AAA-Servers
zur Verfügung
gesellt wird, um den bzw. das orginalen bzw. originale Identifizierer
bzw. Profil des SL der UE 330A wiederzuerlangen.
-
Es
sei angemerkt, dass der bzw. das orginale Identifizierer bzw. Profil
des SL durch Kombinieren von diesem mit einer entsprechenden Zahl,
die von dem PRNG in der UE
330A erzeugt wird, geschützt wurde,
wie ebenso in der europäischen
Parallelpatentanmeldung durch den gleichen Anmelder beschrieben
ist, die als
EP 1317159 veröffentlicht
ist.
-
Der
AAAL-Server 420 ordnet dann die Zahl, die durch das SP
gegebenen ist, das dem AAAH von dieser UE 330A zugewiesen
ist, zu 450, 460 und bestimmt 470 den
Dienst oder das Dienstniveau 465, der/das dem bestimmten
Profil der UE 330A zur Verfügung gestellt werden kann und
für dieses
abgerechnet werden kann. Der AAAL-Server 420 autorisiert
dann 480 die UE 330A für den/das entsprechende/n Dienst
oder Dienstniveau.
-
Vorzugsweise
teilt sich jeder Mitglieds- bzw. Member-AAA-Server mit anderen AAA-Servern einen
Dienstmapper bzw. Dienstzuordner 450, welcher einen Dienstprofilidentifizierer
von der UE 330A, beispielsweise einen Ein-Byte-Code 460,
mit einem entsprechenden Dienstprofil 564 zuordnet. Ein
Beispiel eines Dienstprofils, das einer UE 330A angeboten wird,
könnte
ein Video-Streaming bei einem Mbps sein mit einer Stimmkommunikationsverbindung niedriger
Qualität.
Vorteilhafterweise ist keine Konsistenz zwischen unterschiedlichen
Zuordnungen von unterschiedlichen Betreibern erforderlich, da jeder
Partner des AAA-Servers die gesamte Kodierung herunterlädt, die
den Server-Profilen zugeordnet ist, die der Partner des Servers
anbietet. Darüber
hinaus hält
der AARL-Server 420 in Übereinstimmung
mit den bevorzugten Ausführungsbeispiel
der vorliegenden Erfindung lediglich Informationen über die
unterschiedlichen Dienstprofile aufrecht, die mit den AAAHs bestehen,
mit welchen er eine Beziehung hat.
-
In
dem bevorzugten Ausführungsbeispiel
der vorliegenden Erfindung wurde der lokale Betreiber angepasst,
um die SP-Festlegung für
die Benutzer-Session zu decodieren, wie durch die UE 330A gesendet.
Die Anpassung wird vorzugsweise die SP-Festlegung in Abhängigkeit
von der PRNG-Verifikation berücksichtigen.
Vorteilhafterweise besteht kein Bedarf für den AAAL-Server 420,
um Infomationen über
jede UE zu speichern, die potentiell ein Roaming in sein Gebiet
durchführen
kann. Dies ist ein bedeutender Nutzen, welcher von der Tatsache herrührt, dass
die Informationen über
die unterschiedlichen Dienstniveaus für jede fremde Domäne einmal
für alle
Benutzer gespeichert sind, die zu der Domäne gehören. Die einzigen Informationen,
die in dem AAAL-Server 420 gespeichert werden muss, ist/sind
der/die SP-Parameter des entsprechenden AAAH. Durch Umsetzen eines
PRNG-Verifikationsschemas,
wie ebenso in der europäischen
Parallel-Patentanmeldung durch den gleichen Anmelder beschrieben
ist, die durch das Aktenzeichen CR00545P des Anmelders bezeichnet
ist, ist es leicht, den Benutzer zu authentifizieren und ihn mit dem
SP zu autorisieren, das er anzeigt.
-
In
dem bevorzugten Ausführungsbeispiel
der vorliegenden Erfindung besteht die Auswirkung auf den Heimbetreiber/AAAH
darin, dass die individuellen Benutzerkonfigurationen innerhalb
der UE 330A gespeichert werden, vorzugsweise innerhalb
deren SIM-Karte im Gegensatz zu dem AAAH. Es wird ebenso vergegenwärtigt, dass
der AAAH wünschen kann,
das SP einer UE entfernt zu modifizieren, wenn dieser Benutzer es
wünscht.
Dies kann durch irgendeine Anzahl von Mitteln erreicht werden, beispielsweise
eine Over-the-air-Programmierung (OTAP),
wie im Stand der Technik bekannt ist.
-
Unter
Bezugnahme auf 5 wird nun eine funktionelle
Blockdarstellung einer drahtlosen Kommunikationseinheit 330A,
beispielsweise einer UE, die dazu im Stande ist, in dem 3GPP-Kommunkationssystem 300 betrieben
zu werden, gezeigt, die in Übereinstimmung
mit dem erfinderischen Konzepten der vorliegenden Erfindung angepasst
ist. Die UE 330A enthält
eine Antenne 502, die mit einem Duplexfilter gekoppelt
ist, einen Antennen-Switch oder -Zirkulator 504, der eine
Isolation zwischen der Empfängerkette 540 und
der Sendekette 550 innerhalb der UE 330A zur Verfügung stellt.
-
Die
Empfängerkette 540,
wie sie im Stand der Technik bekannt ist, kann ein scannende und/oder
schaltbares Empfänger-Front-End-Schaltschema 506 umfassen
(stellt effektiv einen Empfang, eine Filterung und eine Zwischen-
oder Basisbandfrequenzkonvertierung zur Verfügung). Die scannende Front-End-Schaltung
ist in Reihe mit einer Signalverarbeitungsfunktion 508 geschaltet.
Ein Ausgang von der Signalverarbeitungsfunktion 508 kann
geeigneten Ausgangsvorrichtungen, solch eine wie einem Bildschirm 510,
zur Verfügung
gestellt werden.
-
Die
Empfängerkette 540 hat
ebenso ein RSSI-Schaltschema
(RSSI = received signal strenght indicator/Empfangsfeldstärke-Indikator) 512,
welcher wiederum an eine Steuereinrichtung 514 gekoppelt ist,
die zum Aufrechterhalten einer Gesamtsteuerung der unterschiedlichen
Funktionen und Module der UE 330A betrieben wird. Die Steuereinrichtung 514 ist ebenso
mit dem scannenden Empfänger-Front-End-Schaltschema 506 und
der Signalverarbeitungsfunktion 508 verbunden (im Allgemeinen durch
zumindest einen digitalen Signalprozessor (DSP) realisiert). In Übereinstimmung
mit dem bevorzugten Ausführungsbeispiel
der vorliegenden Erfindung nimmt die Verarbeitungsfunktion 508 einen Pseudozu fallszahlgenerator 530 auf,
um den UE-Verifikations-/Autorisierungsprozess zu unterstützen.
-
Die
Steuereinrichtung 514 umfasst ein Speicherelement 516 (oder
ist damit betriebsfähig
verbunden), das Betriebsarten speichert, solche wie Decodier-/Codierfunktionen
und dergleichen. Ein Zeitgeber 518 ist typischerweise mit
der Steuereinrichtung 514 gekoppelt, um die Zeitgebung
der Betriebe (Übertragung
oder Empfang von Zeitabhängigen
Signalen) innerhalb der UE 330A zu steuern.
-
Die
Sendekette 550 betreffend umfasst diese im Wesentlichen
eine Eingabevorrichtung 520, solch eine wie eine Tastatur,
ein Tastenfeld, ein Mikrophon oder dergleichen. Die Eingabevorrichtung
ist in Reihe durch ein Sender-/Modulations-Schaltschema 522 und
einen Leistungsverstärker 524 mit
der Antenne 502 geschaltet. Das Sender-/Modulationsschaltschema 522 und
der Leistungsverstärker 524 sprechen auf
die Steuereinrichtung 514 betriebsfähig an.
-
In Übereinstimmung
mit dem bevorzugten Ausführungsbeispiel
der vorliegenden Erfindung wurde das Speicherelement 516 der
UE 330A angepasst, um Benutzerprofilinformationen zu speichern, beispielsweise
unterschiedliche Dienstniveaus, die durch den Benutzer beansprucht
werden (subscribed). Es wird in Betracht gezogen, dass solche Dienstniveaus,
die dem Benutzer zur Verfügung
gestellt werden, abhängig
von dem Tag oder der Tageszeit sein können. Darüber hinaus wurden der Signalprozessor 508 und
der PRNG 530 in Verbindung mit der Steuereinrichtung 514,
dem Zeitgeber 518 und der Sendekette 550 angepasst,
um Dienstanfragenachrichten zu erzeugen, die mit einer Zufallszahl kombiniert
werden, die durch den PRNG 530 erzeugt wird, um eine sichere Übertragung
zu dem AAAL zu gewährleisten.
-
Das
derzeit beantragte Dienstniveau würde zu dem AAAL zusammen mit
der Zahl, die durch den PRNG 530 erzeugt wird, gesendet
werden, um den Verifikationsprozess zu unterstützen. Darüber hinaus wird eine Änderung
zu einem Dienstprofil (im Falle von verschiedenen SPs) oder eine Änderung
eines Dienstniveaus innerhalb eines einzigen SP (beispielsweise
im Falle des Vorliegens eines Dienstes, der der Tageszeit zugewiesen
ist) direkt den Wert des SP beeinflussen, das der UE 330A zur
Verfügung
gestellt werden wird. Solche Änderungen
können
durch Auswählen
der angemessenen PRNG-Zahl bewirkt werden oder können als verschiedene SP-Optionen eingeschlossen
sein, die in dem Speicherelement 516 gespeichert sind.
-
Es
ist im Sinne der Erfindung, dass solche eine Dienstanfrageprozedur
und Dienstprofile in der UE 330A in der Form von prozessorimplementierbaren
Anweisungen und/oder Daten eingebracht werden können.
-
Es
ist im Sinne der Erfindung, dass der Prozessor 508 und/oder
die Steuereinrichtung 514, die in den obigen Ausführungsbeispielen
beschrieben sind, in einer geeigneten Ausbildung aus Software, Firmware
oder Hardware ausgeführt
werden kann. Darüber
hinaus werden verschiedene Komponenten innerhalb der UE 330A in
diesem Ausführungsbeispiel in
integrierter Komponentenausbildung realisiert. Natürlich können sie
in anderen Ausführungsbeispielen in
diskreter Ausbildung oder als ein Mischgebilde aus integrierten
Komponenten und diskreten Komponenten oder in der Tat als jede andere
geeignete Ausbildung realisiert werden. Weiter wird die Steuereinrichtung 514 in
diesem Ausführungsbeispiel
als ein programmierbarer Prozessor umgesetzt, kann aber in an deren
Ausführungsbeispielen
ein zugeordnetes Schaltschema oder jede andere geeignete Ausbildung
aufweisen, Zusätzlich
kann der Prozessor 508 und/oder die Steuereinrichtung 514 durch
prozessorimplementierbare Anweisungen und/oder Daten gesteuert werden,
um die oben beschriebenen Verfahren und Prozesse auszuführen, welche
in einem Speichermedium oder Speicher gespeichert sind, beispielsweise
dem Speicher 516. Der Speicher kann eine Schaltungskomponente
oder -modul sein, zum Beispiel ein RAM oder PROM oder ein entfernbares
Speichermedium, solch eines wie eine Diskette, oder ein anderes
geeignetes Medium.
-
Unter
Bezugnahme auf 6 wird nun ein Mechanismus 600 für einen
Benutzer veranschaulicht, um ein Dienstprofil in Übereinstimmung
mit einem bevorzugten Ausführungsbeispiel
der vorliegenden Erfindung dynamisch zu modifizieren. Es ist im Sinne
der Erfindung, dass die UE 330A, wenn das Profil des Benutzers
anzeigt, dass sich dessen Dienstniveau (SL) zu einer bestimmten
Zeit ändern wird,
dann automatisch eine SL-Änderungsanfragenachricht 610 zu
dem AARL-Server 420 senden wird. Alternativ kann solch
eine Anfrage durch den Benutzer initiiert werden, beispielsweise
durch Auswählen eines
Dienstprofils oder eines Dienstniveaus von einer Liste, die in der
SIM-Karte der UE 330A enthalten ist und an dem Display 510 dargestellt
wird.
-
In Übereinstimmung
mit dem bevorzugten Ausführungsbeispiel
der vorliegenden Erfindung autorisiert der AAAL-Server 420 die UE 330A derart, dass
sie dazu im Stande ist, das SL zu modifizieren, wie bezüglich 4 beschrieben
ist. Sobald die Autorisierung empfangen wurde, sendet die UE 330A die
neue SL-Anfrage 640 mit einem neuen SP-ID zu dem AAAL-Server 420.
Im Ansprechen auf den neuen SP-ID macht der AAAL-Server 420 gleiche Überprüfungen wie
zuvor und gewährt 650 der
UE 330A ein neues Dienstniveau 630.
-
Es
ist im Sinne der Erfindung, dass eine vollständige Liste von verfügbaren SPs
in der UE 330A gespeichert werden kann. Damit wird dem
Benutzer die Befähigung
zur Verfügung
gestellt, sein SP auf die gleiche Weise auszuwählen oder zu modifizieren, wie
oben bezüglich
der SLs beschrieben ist.
-
Auf
diese Weise ist die UE 330A dazu im Stande, neue Dienstniveaus
zu initiieren, wenn sie ein Roaming in eine Besucher-Domäne durchgeführt hat.
Es ist im Sinne der Erfindung, dass dem UE-Benutzer die Möglichkeit
angeboten wird, das SL dynamisch zu ändern, voraussichtlich für Kosten,
die durch den besuchenden Domänen-Betreiber
aufzubringen sind.
-
Es
ist ersichtlich, dass der terminalbasierte Dienstidentifikationsmechanismus,
der oben beschrieben ist, zumindest die folgenden Vorteile zur Verfügung stellt:
- (i) Er minimiert die Signalgebung zwischen
der Heim-Domäne und der
besuchten Domäne;
- (ii) Er stellt eine dynamische SL/SP-Autorisierung des Benutzers
zum Zugriff auf Dienste zur Verfügung;
- (iii) Er stellt eine Skalierbarkeit zur Verfügung, da die unterschiedlichen
besuchten Domänen
keine Informationen über
jeden Benutzer behalten müssen.
Lediglich ein Schlüssel
wird benötigt;
- (iv) Er stellt dem Benutzer eine auswählbare Profilauswahl zur Verfügung; und
- (v) Er stellt ein leichtes Rechnungslegungsmodell für die ein
Roaming durchführenden
Benutzer zur Verfügung.
-
Es
ist im Sinne der Erfindung, dass andere Kommunikationssysteme vergleichbare
Techniken anwenden könnten,
zum Beispiel die vorstehend erwähnten
erfinderischen Konzepte des Auswählens oder
Modifizierens anderer Benutzerprofile oder Benutzerprioritäten. Darüber hinaus
können
andere Systeme entfernte Server auf eine unterschiedliche Weise
zu dem AAAL, der oben unter Bezugnahme auf ein 3GGP-System beschrieben
ist, umsetzen, aber immer noch die vorstehend erwähnten erfinderischen
Konzepte verwenden.
-
Während die
spezifischen und bevorzugten Umsetzungen der Ausführungsbeispiele
der vorliegenden Erfindung oben beschrieben sind, ist es klar, dass
der Fachmann leicht Variationen und Modifikationen von solchen erfinderischen
Konzepten bewerkstelligen kann.
-
Daher
wurden ein verbessertes Kommunikationssystem, eine Kommunikationseinheit
und ein Verfahren zum Erleichtern von AAA-Diensten beschrieben,
wobei die vorstehend erwähnten
Nachteile, die den Stand-der-Technik-Anordnungen zugeordnet sind,
im Wesentlichen reduziert wurden.