RU2295200C2 - Способ и система для gsm-аутентификации при роуминге в беспроводных локальных сетях - Google Patents

Способ и система для gsm-аутентификации при роуминге в беспроводных локальных сетях Download PDF

Info

Publication number
RU2295200C2
RU2295200C2 RU2005107331/09A RU2005107331A RU2295200C2 RU 2295200 C2 RU2295200 C2 RU 2295200C2 RU 2005107331/09 A RU2005107331/09 A RU 2005107331/09A RU 2005107331 A RU2005107331 A RU 2005107331A RU 2295200 C2 RU2295200 C2 RU 2295200C2
Authority
RU
Russia
Prior art keywords
mobile
gsm
node
authentication
data
Prior art date
Application number
RU2005107331/09A
Other languages
English (en)
Other versions
RU2005107331A (ru
Inventor
Тони ШТАДЕЛЬМАНН (CH)
Тони Штадельманн
Михель КАУЦ (CH)
Михель КАУЦ
Original Assignee
Тогева Холдинг Аг
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Тогева Холдинг Аг filed Critical Тогева Холдинг Аг
Priority to RU2005107331/09A priority Critical patent/RU2295200C2/ru
Publication of RU2005107331A publication Critical patent/RU2005107331A/ru
Application granted granted Critical
Publication of RU2295200C2 publication Critical patent/RU2295200C2/ru

Links

Images

Abstract

Изобретение относится к способу автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS, при котором для аутентификации мобильный IP-узел запрашивает доступ к сети WLAN в пункте доступа, мобильный IP-узел на запрос сервера доступа передает к серверу доступа сохраненный на SIM-карте мобильного IP-узла IMSI-идентификатор, на основе IMSI-идентификатора посредством информации, сохраненной в SIM-банке данных пользователей, логический IP-канал данных сети WLAN добавляется к соответствующим GSM-данным для каналов сигнала и данных сети GSM в соответствии с пользователем, и проводится аутентификация мобильного IP-узла в регистре HLR и/или в регистре VLR сети GSM, что и является достигаемым техническим результатом. 2 н. и 14 з.п. ф-лы. 5 ил.

Description

Настоящее изобретение относится к способу и системе для автоматического роуминга между различными беспроводными локальными сетями (WLAN) и/или сетями стандартов GSM (Глобальная система мобильной связи)/GPRS (Общие услуги пакетной радиосвязи)/UMTS (Универсальная мобильная телекоммуникационная система), при котором для аутентификации мобильный узел межсетевого протокола (IP-узел) посредством беспроводного интерфейса внутри базовой области обслуживания сети WLAN требует доступа к сети WLAN через сервер доступа, при этом базовая область обслуживания сети WLAN включает в себя один или более пунктов доступа, соответствующих серверу доступа, и мобильный IP-узел аутентифицируется посредством международного идентификатора мобильного абонента (IMSI-идентификатора), сохраненного на карте модуля идентификации абонента (SIM-карте) мобильного IP-узла.
В последние годы число пользователей Интернет в мире и предлагаемой там информации возросло экспоненциально. Однако хотя Интернет обеспечивает глобальный доступ к информации, обычно пользователь не имеет доступа до тех пор, пока он не окажется у определенного входа в сеть, например, в офисе, в школе, в университете или дома. Растущее предложение мобильных приборов с возможностями работы по IP-протоколу, таких как PDA (персональный цифровой помощник), мобильные телефоны, портативные компьютеры, начинает изменять существующее представление об Интернет. Аналогичный переход от стационарных узлов в сетях к более гибким требованиям ввиду повышающейся мобильности еще только начался. В мобильной телефонии, например, эта тенденция проявляется на новых стандартах, таких как WAP, GPRS или UMTS. Чтобы понять различие между современной реальностью и возможностями соединений в будущем, можно иметь в виду в качестве сравнения развитие телефонии в направлении мобильности за последние двадцать лет. Потребности как в личной, так и в общественной сферах, в глобальном независимом беспроводном доступе к локальным сетям (LAN) (например, в аэропортах, в конференц-центрах, на выставочных территориях, в городах и т.д.) с помощью портативных компьютеров, PDA и т.д. возросли в огромной степени. Однако WLAN-сети, базирующиеся на IP-протоколе, не обеспечивают сервис, как, например, тот, который предоставляется стандартами GSM/GPRS и который позволил бы свободно перемещаться пользователям. Такие услуги, наряду с механизмами обеспечения защиты, как в GSM/GPRS, должны были бы включать в себя также возможности по авторизации сервиса и для биллинга, то есть расчетов за запрашиваемое обслуживание и т.д. С другой стороны, такие услуги еще не предоставляются нынешними провайдерами GSM/GPRS. Однако важен не только роуминг между различными сетями WLAN. Ввиду огромного роста информационных технологий с использованием сетей WLAN (с доступом к Интернет и т.д.) и такого же огромного роста в области мобильной телефонии целесообразно связать эти обе сферы. Только связывание этих обеих сфер обеспечивает в случае беспроводных локальных сетей (LAN) простой и автоматический роуминг, привычный для пользователей технологии мобильной телефонии. Тем самым существует потребность в обеспечении распространяющегося на различные стандарты роуминга между различными провайдерами услуг сетей WLAN, а также между провайдерами услуг сетей WLAN и провайдерами услуг GSM/GPRS.
Компьютерные сети или локальные сети (LAN) обычно состоят из так называемых узлов, которые связаны физическими средами передачи, например, в виде коаксиального кабеля, скрученной пары или оптического стекловолоконного кабеля. Эти сети LAN также называют проводными локальными сетями. В последние годы все более популярными становятся беспроводные локальные сети LAN (например, вследствие таких разработок, как система AirPort компании Apple Computer, Inc., и т.п.). Беспроводные локальные сети особенно пригодны для того, чтобы связывать мобильные устройства (узлы), такие как, например, портативные компьютеры, ноутбуки, PDA или мобильные устройства радиосвязи, в частности, мобильные телефоны, с соответствующим интерфейсом в локальной компьютерной сети. Мобильные узлы имеют адаптер, который содержит приемопередатчик, а также плату управления (например, ИК-адаптер или радиоволновой адаптер низкочастотного диапазона). Преимущество таких мобильных узлов состоит в том, что они могут свободно перемещаться в радиусе действия беспроводных локальных сетей. Мобильные узлы осуществляют связь друг с другом либо непосредственно (одноранговые беспроводные локальные сети), либо посылают свой сигнал на базовую станцию, которая усиливает сигнал и/или направляет его далее. Базовые станции также могут включать в себя функции мостов (шлюзов). Через такие базовые станции с функциями мостов, так называемые пункты доступа (АР), мобильные узлы беспроводной локальной сети могут получать доступ к проводной локальной сети. Типовые сетевые функции пункта доступа включают в себя передачу сообщений от одного мобильного узла к другому, передачу сообщений от проводной локальной сети к мобильному узлу и передачу сообщений от мобильного узла к проводной локальной сети.
Физический радиус действия пункта доступа определяется как базовая область обслуживания (BSA). Если мобильный узел находится внутри базовой области обслуживания пункта доступа, то он может осуществлять связь с этим пунктом доступа, если этот пункт доступа также находится в пределах радиуса действия сигнала (динамической области обслуживания - DSA) мобильного узла. Множество пунктов доступа соотносятся с одним сервером доступа, который, в числе прочего, контролирует и управляет авторизацией мобильных узлов с использованием банка пользовательских данных. Вся площадь, которая покрывается пунктом доступа сервера доступа, обозначается как, так называемая, «горячая точка». Мобильные узлы в типовом случае имеют мощность сигнала от 100 мВт до 1 Вт. Чтобы соединить беспроводную локальную сеть с проводной локальной сетью, для пункта доступа важно определить, назначено ли в сети определенное сообщение (информационный кадр) для узла, который находится внутри проводной или беспроводной локальной сети, и, при необходимости, передать далее эту информацию соответствующему узлу. Для этой цели пункты доступа имеют так называемую функцию моста, например, согласно стандарту IEEE Std 802.1D-1990 "Media Access Control Bridge" (31-74ff). В случае таких функций моста новый мобильный узел в беспроводной сети в типовом случае регистрируется в базе данных FDB (база данных фильтрации) пункта доступа (АР), в пределах радиуса действия которого находится узел. При каждом информационном кадре в локальной сети пункт доступа АР сравнивает целевой адрес с МАС-адресами (адресами управления доступом к среде передачи), которые сохранены в базе данных FBD, и посылает, отбрасывает или передает кадр в проводную локальную сеть или в беспроводную локальную сеть.
При мобильном использовании сетей существующий IP-доступ от приложений к мобильному узлу не должен прерываться, когда пользователь изменяет свое место пребывания в сети. Напротив, нужно, чтобы все изменения соединений или интерфейсов, например, при смене в различных горячих точках, в особенности, в различных сетях (Ethernet, сеть мобильной радиосвязи, WLAN, Bluetooth и т.д.) осуществлялись автоматически и не в интерактивном режиме, чтобы пользователю не нужно было ничего знать об этом. Это справедливо и при использовании приложений реального времени. Действительно мобильное пользование компьютерами по протоколу IP имеет множество преимуществ, базируясь на постоянном стабильном доступе к Интернет. При таком доступе пользователь может организовывать свою работу свободно и независимо от своего рабочего места. Однако требования к мобильным узлам в сетях отличаются от упомянутого выше развития в технике мобильной радиосвязи различным образом. Конечными пунктами в мобильной радиосвязи обычно являются люди. В случае мобильных узлов, однако, взаимодействия компьютерных приложений между другими участниками сети могут выполняться без какого-либо участия или вмешательства человека. Примеры этого можно в достаточной мере найти в самолетах, на судах, в автомобилях. Так, в частности, большое значение имеют мобильные компьютерные операции с доступом к Интернет, реализуемые совместно с другими приложениями, например, в комбинации с устройствами определения местоположения, такими как спутниковая система глобального определения местоположения (GPS).
Одной из проблем при мобильном сетевом доступе по IP-протоколу является то, что IP-протокол, который используется для маршрутизации в сети пакетов данных с адреса источника на адрес получателя, использует так называемые IP-адреса. Эти адреса соответствуют стационарному местоположению в сети, подобно тому, как номер телефона стационарной сети соответствует конкретной физической штепсельной розетке. Если адрес получателя пакетов данных является мобильным узлом, то это означает, что при каждой смене местоположения в сети должен присваиваться новый адрес IP-сети, что делает невозможным прозрачный мобильный доступ. Эти проблемы были решены в стандарте мобильного межсетевого протокола (Mobile IP) (IETF RFC 2002 Okt.1996) Исследовательской Группы по разработке проблем Интернет (IETF), согласно которому протокол Mobile IP разрешал мобильному узлу использовать два IP-адреса. Один из них представляет собой обычный статический IP-адрес (домашний адрес), который указывает место в исходной сети, в то время как второй является динамическим IP-адресом, который указывает на текущее местоположение мобильного узла в сети. Привязка обоих адресов позволяет передавать IP-пакеты данных на корректный текущий адрес мобильного узла.
Одним из наиболее часто применяемых протоколов для аутентификации пользователя в беспроводной локальной сети является протокол открытого источника IEEE 802.1x (в текущей версии 802.11) Ассоциации по Стандартам Института Инженеров по Электротехнике и Электронике. Аутентификация в соответствии со стандартом IEEE 802.1x обеспечивает возможность аутентифицированного доступа к средам передачи стандарта IEEE 802, таким как Ethernet, Tokenring (маркерная эстафетная передача) и/или к беспроводной сети стандарта 802.11. Протокол 802.11 формирует для беспроводной сети LAN, т.е. для беспроводных локальных сетей передачу со скоростью 1 Мбит/с, 2 Мбит/с или 11 Мбит/с в диапазоне 2,4 ГГц, причем используется FHSS (расширение спектра путем скачкообразного изменения частоты) или DSSS (расширение спектра путем прямой модуляции последовательностью). Протокол 802.1х поддерживает для аутентификации протокол ЕАР (Расширяемый протокол аутентификации) и TLS (Защита беспроводного транспортного уровня). Протокол 802.11 также поддерживает стандарт RADIUS. Хотя поддержка протоколом 802.1х стандарта RADIUS является факультативной, можно ожидать, что большинство аутентификаторов протокола 802.1х будут поддерживать стандарт RADIUS. Протокол IEEE 802.1x является протоколом базирующейся на порте аутентификации. Он может применяться в любой среде, в которой может быть определен порт, т.е. интерфейс прибора. При аутентификации на основе протокола 802.1х могут различаться три компонента: прибор пользователя (запрашивающий объект/клиент), аутентификатор и сервер аутентификации. Аутентификатор имеет функцию аутентификации запрашивающего объекта. Аутентификатор и запрашивающий объект связаны, например, через двухточечный сегмент локальной сети LAN или беспроводный канал протокола 802.11. Аутентификатор и запрашивающий объект имеют определенный порт, так называемый объект доступа к порту (РАЕ), который определяет физический или виртуальный порт стандарта 802.1х. Сервер аутентификации генерирует требуемые аутентификатору услуги аутентификации. Таким образом, он проверяет представленные запрашивающим объектом удостоверяющие данные по отношению к заявляемой идентичности.
Серверы аутентификации базируются чаще всего на услуге RADIUS (услуга дистанционной аутентификации пользователя набором номера), разработанной IETF. Использование протокола аутентификации RADIUS и системы учетных записей широко распространено в сетевых узлах, например, маршрутизаторах, серверах модемов, коммутаторах и т.д., и используется большинством провайдеров Интернет-сервиса (ISP). Если пользователь регистрируется у ISP-провайдера, он должен обычно ввести имя пользователя и пароль. Сервер RADIUS проверяет эту информацию и авторизует пользователя по отношению к ISP-системе. Причина распространения RADIUS, в числе прочего, состоит в том, что сетевые узлы в общем случае могут обходиться с не очень большим числом пользователей с соответственно различающейся информацией аутентификации, так как это превысило бы объем памяти отдельного сетевого узла. RADIUS обеспечивает возможность централизованного управления множеством сетевых пользователей (добавления, исключения пользователей и т.д.). Это является необходимой предпосылкой в случае ISP-провайдеров для предоставления их услуги, так как их число пользователей часто составляет многие тысячи и даже многие десятки тысяч. Кроме того, RADIUS обеспечивает определенную постоянную защиту от хакеров. Дистанционная аутентификация, осуществляемая посредством RADIUS на базе TACACS+ (Система управления доступом контроллера доступа терминалов) и LDAP (Облегченный протокол доступа к сетевому каналу), относительно надежна в качестве средства защиты от хакеров. Многие другие протоколы дистанционной аутентификации обеспечивают по сравнению с этим лишь временную, недостаточную защиту или вообще не обеспечивают никакой защиты от атак хакеров. Другое преимущество заключается в том, что RADIUS в настоящее время фактически является стандартом для дистанционной аутентификации, вследствие чего стандарт RADIUS поддерживается почти всеми системами, чего нет в случае других протоколов.
Вышеупомянутый Расширяемый Протокол Аутентификации (ЕАР) является собственно расширением двухточечного протокола (РРР) и определен посредством запроса на комментарии (RFC) 2284 PPP Extensible Authentification Protocol (EAP), разработанного IETF. Посредством протокола РРР компьютер может, например, зарегистрироваться на сервере ISP-провайдера. Протокол РРР работает на уровне канала данных Модели OSI (Протокол взаимодействия открытых систем) и посылает пакеты протокола TCP/IP компьютера на сервер ISP-провайдера, который образует интерфейс с сетью Интернет. В противоположность прежнему протоколу SLIP (Протокол Интернет последовательного канала), двухточечный протокол (РРР) работает более стабильно и обеспечивает исправление ошибок. Расширяемый протокол аутентификации ЕАР представляет собой протокол на весьма обобщенном уровне, который поддерживает различные способы аутентификации, как, например, Token Cards, Kerberos Массачусетского Технологического института (MIT), пароли со списком исключения, сертификаты, аутентификация с открытым ключом, интеллектуальные карты или так называемые чип-карты (ICC). Протокол IEEE 802.1x определяет требования, каким образом ЕАР должны интегрироваться в кадры локальной сети LAN. При коммуникациях в беспроводных сетях посредством протокола ЕАР пользователь посредством беспроводной передачи в пункт доступа (АР), т.е. установления соединения для клиента или запрашивающего объекта дистанционного доступа к сети WLAN, требует доступа к беспроводной локальной сети LAN. Пункт доступа (АР) требует затем от запрашивающего объекта идентификатор пользователя и передает идентификатор в вышеупомянутый сервер аутентификации, который базируется, например, на протоколе RADIUS. Сервер аутентификации позволяет пункту доступа подвергнуть идентификатор пользователя обратной проверке. Пункт доступа (АР) получает эти аутентификационные данные от запрашивающего объекта и передает их на сервер аутентификации, который завершает аутентификацию.
Согласно протоколу ЕАР, любой способ аутентификации создает соединение дистанционного доступа. Точная схема аутентификации определяется соответственно между запрашивающим объектом и аутентификатором (т.е. сервером дистанционного доступа, сервером сервиса аутентификации в Интернет (IAS), или, в случае сети WLAN, пунктом доступа). Как упомянуто выше, при этом EAP поддерживает множество различных схем аутентификации, таких, например, как базовые Token Card, MD5-Challenge, TLS (Защита на транспортном уровне) для интеллектуальных карт, S/Key и возможные будущие технологии аутентификации. EAP обеспечивает возможность не ограниченных по числу передач вопросов-ответов между запрашивающим объектом и аутентификатором, причем аутентификатор или сервер аутентификации направляет вопросы, а запрашивающий объект, то есть клиент дистанционного доступа, отвечает. Например, сервер аутентификации может потребовать через аутентификатор от запрашивающего объекта при аутентификации по так называемой схеме Security Token Card (карта защитного аппаратного ключа) по отдельности сначала имя пользователя, затем PIN (персональный идентификационный номер) и, наконец, значение карты аппаратного ключа. При этом в каждой процедуре вопроса-ответа реализуется следующий уровень аутентификации. Если все уровни аутентификации успешно пройдены, то запрашивающий объект аутентифицируется. Конкретная предусматриваемая протоколом ЕАР схема аутентификации обозначается как схема EAP-Typ. Обе стороны, т.е. запрашивающий объект и аутентификатор, должны поддерживать одинаковую схему EAP-Typ, чтобы можно было осуществить аутентификацию. Как упомянуто выше, это определяется вначале между запрашивающим объектом и аутентификатором. Серверы аутентификации, базирующиеся на протоколе RADIUS, поддерживают в нормальном случае протокол ЕАР, что дает возможность посылать ЕАР-сообщения на RADIUS-сервер.
В технике также известны основанные на ЕАР способы для аутентификации пользователя и для передачи ключей сеанса пользователю с помощью модуля идентификации абонента (SIM) стандарта GSM. GSM-аутентификация базируется на способе вопросов-ответов. В алгоритме аутентификации SIM-карты в качестве вопроса используется 128-битовое случайное число (обычно обозначаемое как RAND). На SIM-карте выполняется затем определенный соответствующим оператором доверительный алгоритм, который в качестве входных данных получает случайное число RAND и секретный сохраненный на SIM-карте ключ Ki и генерирует из него 32-битовый ответ (SRES) и 64-битовый ключ Kc. Ключ Кс предназначен для шифрования передачи данных через беспроводный интерфейс (Техническая спецификация GSM GSM 03.20 (ETS 300 534): «Цифровая сотовая телекоммуникационная система (Фаза 2); Сетевые функции, связанные с защитой», Европейский Институт Стандартов по Телекоммуникациям, Август 1997). При аутентификации по протоколу EAP/SIM применяется несколько случайных чисел RAND для генерации нескольких 64-битовых ключей Кс. Эти ключи Кс объединяются в один более длинный ключ сеанса. С использованием протокола EAP/SIM обычный способ GSM-аутентификации расширяется, при этом запросы RAND дополнительно содержат код аутентификации сообщения (МАС), чтобы провести взаимную аутентификацию. Чтобы провести GSM-аутентификацию, сервер аутентификации должен иметь интерфейс к сети GSM. Следовательно, сервер аутентификации работает как шлюз между сетью сервера сервиса аутентификации в Интернет (IAS) и GSM-инфраструктурой аутентификации. В начале аутентификации по протоколу ЕАР/SIM сервер аутентификации требует в первом ЕАР-запросе через аутентификатор от запрашивающего объекта, в числе прочего, международный идентификатор мобильного абонента (IMSI) для пользователя. С помощью IMSI-идентификатора сервер аутентификации на запрос от центра аутентификации (AuC) соответствующего провайдера услуг сети мобильной связи, обычно в GSM-сети обозначаемого как регистр исходного местоположения (HLR) или регистр местоположения визитера (VLR), получает n GSM-триплетов. Из триплетов сервер аутентификации получает код аутентификации сообщения для n*RAND и срок действия для ключа (вместе MAC_RAND), а также ключ сеанса. С этими данными сервер аутентификации может проводить GSM-аутентификацию на SIM-карте запрашивающего объекта или пользователя. Так как случайное число RAND дается вместе с кодом аутентификации сообщения MAC_RAND запрашивающему объекту, для запрашивающего объекта становится возможным проверить, являются ли числа RAND новыми и генерированы ли они GSM-сетью.
Однако уровню техники свойственны различные недостатки. А именно, возможно, например, с помощью ЕАР-SIM-аутентификации применить способ аутентификации GSM-сетей в рамках технологии беспроводных сетей LAN для аутентификации запрашивающего объекта или клиентов дистанционного доступа, в предположении, что пользователь имеет IMSI-идентификатор у провайдера услуг. Также в принципе возможно посредством, например, протокола Mobile IP, определенного группой IEFT, маршрутизировать потоки данных к соответствующему мобильному клиенту дистанционного доступа, зарегистрированному в сервере доступа через пункт доступа. Однако при этом решены далеко не все проблемы мобильного использования сети, которые обеспечили бы действительно свободный роуминг пользователя. Одна из проблем состоит в том, что в IP-сети больше не имеется условий, требуемых стандартом GSM, относительно защиты, расчетов и авторизации услуг. Это внутренним образом связано с открытой архитектурой IP-протокола. То есть в IP-стандарте отсутствует большое количество информации, которая обязательно требуется для полной совместимости с сетями стандарта GSM. К тому же сервер доступа формирует единственный поток данных, основанный, например, на протоколе RADIUS. Этот поток не может простым способом отображаться на состоящий из множества частей поток данных стандарта GSM. Другой недостаток предшествующего уровня техники состоит в том, что беспроводная локальная сеть LAN основывается в настоящее время на отдельных «горячих точках» (то есть базовой области обслуживания пунктов доступа серверов доступа), которые обеспечиваются по всему миру различными разработчиками программного обеспечения и аппаратных средств. Это затрудняет сопряжение обеих сфер, так как такие функции шлюза должны быть согласованы соответственно с конкретным решением. Технические спецификации для интерфейса аутентификации GSM можно найти в документе МАР (Раздел мобильных приложений) GSM 09.02 Phase 1 Version 3.10.0.
Задачей настоящего изобретения является создание нового способа для мобильных узлов в гетерогенных сетях WLAN. В частности, пользователю должна быть обеспечена возможность перемещаться (совершать роуминг) между различными горячими точками без каких-либо проблем, не заботясь о регистрации, расчетах, авторизации для услуг и т.д. у различных провайдеров услуг сетей WLAN, то есть с такими же удобствами, которые пользователь привык получать от технологии мобильной связи, например, согласно стандарту GSM. Изобретение должно обеспечить необходимые компоненты для расчетов, авторизации услуг и защиты для пользователя и провайдера услуг в сетях WLAN.
Согласно заявленному изобретению, эта цель достигается, в частности, посредством признаков независимых пунктов. Другие предпочтительные формы выполнения следуют из зависимых пунктов формулы изобретения и описания.
В частности, эти цели в соответствии с изобретением достигаются тем, что между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS для аутентификации мобильный IP-узел запрашивает доступ к сети WLAN в пункте доступа через беспроводный интерфейс внутри базовой области обслуживания сети WLAN, причем базовая область обслуживания сети WLAN содержит один или более относящихся к серверу доступа пунктов доступа, при этом мобильный IP-узел на запрос сервера доступа передает к серверу доступа сохраненный на SIM-карте мобильного IP-узла международный идентификатор мобильного абонента (IMSI-идентификатор), и посредством SIM-RADIUS-модуля IMSI-идентификатор мобильного IP-узла сохраняется, при этом на основе IMSI-идентификатора посредством информации, сохраненной в SIM-банке данных пользователей, логический IP-канал данных сети WLAN добавляется к соответствующим GSM-данным для каналов сигнала и данных сети GSM в соответствии с пользователем, при этом посредством модуля SIM-шлюза для проведения аутентификации IP-узла на основе GSM-данных формируются необходимые функции SS7/MAP (аутентификации и/или авторизации и/или информации конфигурации), при этом SIM-RADIUS-модуль посредством SIM-банка данных пользователей и модуля SIM-шлюза проводит аутентификацию мобильного IP-узла на основе IMSI-идентификатора SIM-карты мобильного узла в регистре HLR и/или в регистре VLR сети GSM, и при этом при успешной аутентификации осуществляется обновление данных местоположения, а также авторизация услуги в регистре HLR и/или в регистре VLR, и мобильный IP-узел получает соответствующую запись в пользовательской базе данных сервера доступа, и при этом сеть WLAN предоставляется для использования мобильному IP-узлу. В варианте выполнения, при успешной аутентификации, дополнительно к обновлению данных местоположения в регистре HLR и/или в регистре VLR проводится авторизация мобильного узла, причем в регистр HLR и/или в регистр VLR загружается соответствующий пользовательский профиль на основе IMSI-идентификатора. То есть авторизация услуги пользователя базируется на опросе соответствующего пользовательского профиля в регистре HLR и/или в регистре VLR. Это имеет преимущество, заключающееся в том, что становится возможным автоматический роуминг между различными гетерогенными сетями WLAN и сетями GSM. За счет соединения технологии WLAN, в особенности IP-сетей, с технологией GSM, становится возможным роуминг пользователя без каких-либо проблем, не заботясь о регистрации, расчетах, авторизации для услуг и т.д. у различных провайдеров услуг сетей WLAN, то есть с такими же удобствами, которые пользователь привык получать от технологии мобильной связи, например, согласно стандарту GSM. Одновременно полностью новым способом становится возможным связать преимущества открытой IP-среды (доступ к глобальной сети Интернет и т.д.) с преимуществами стандарта GSM (защита, расчеты, авторизация услуг и т.д.). Изобретение также обеспечивает способ роуминга в сетях WLAN, не требуя встраивания в каждый сервер доступа соответствующего модуля. В противоположность этому, инфраструктура (WLAN/GSM) за счет применения протокола RADIUS может быть использована в неизменном виде.
В варианте выполнения для аутентификации мобильного IP-узла используется сохраненный на SIM-карте мобильного IP-узла IMSI-идентификатор только до одного или нескольких первых шагов идентификации, а для всех остальных шагов аутентификации IMSI-идентификатор заменяется генерируемым временным IMSI-идентификатором (TIMSI). Это, в числе прочего, имеет преимущество, состоящее в повышении защиты при аутентификации или авторизации.
В варианте выполнения аутентификация мобильного IP-узла выполняется посредством расширяемого протокола аутентификации. Это, в числе прочего, имеет преимущество, состоящее в том, что в комбинации с RADIUS создается способ, полностью независимый от аппаратных средств и изготовителя (поставщика). В частности, протокол EAP предоставляет необходимые механизмы защиты для проведения аутентификации.
В варианте осуществления поток данных мобильного IP-узла при доступе к сети WLAN направляется от точки доступа через провайдера услуг сети мобильной связи. Это, в числе прочего, имеет преимущество, состоящее в том, что провайдер услуг сети мобильной связи имеет полный контроль над потоком данных. Так он может предоставить авторизации конкретным услугам, провести детальный расчет, создать механизмы защиты и/или предложить персонализированные услуги. Тем самым он может связать открытую, трудно контролируемую IP-среду, например, сеть Интернет, с преимуществами GSM-среды. Это играет особенно большую роль в последнее время, например, в связи с вопросами ответственности провайдера или поставщика услуг.
В другом варианте выполнения провайдер услуг мобильной связи, на основе аутентификации посредством IMSI-идентификатора, выдает авторизацию соответствующих услуг для использования различных услуг и/или проводит расчет за требуемые услуги. Этот вариант выполнения имеет, в числе прочего, те же преимущества, что и вышеописанные варианты выполнения.
В еще одном варианте выполнения SIM-банк данных пользователей связан с синхронизированным банком данных для изменения или удаления имеющихся блоков пользовательских данных или добавления новых блоков пользовательских данных, причем сравнение банков данных проводится периодически и/или инициируется изменениями синхронизированного банка данных и/или сбоем SIM-банка данных пользователей. Это имеет преимущество, заключающееся в том, что провайдер сети мобильной связи для изменения или удаления существующих блоков пользовательских данных или для добавления новых блоков пользовательских данных может действовать тем же способом, как и прежде с его банками данных пользователей, то есть исключая необходимость покупать или обслуживать дополнительные системы.
В варианте выполнения посредством модуля расчетов, записи расчетов гетерогенных сетей WLAN обрабатываются синхронизированным образом с пользовательскими данными и на основе GSM-стандарта ТАР. Это имеет, в числе прочего, преимущество, состоящее в том, что провайдеры услуг без модификации своего программного обеспечения и/или аппаратных средств могут применять привычный для GSM-стандарта способ расчетов. В частности, тем самым осуществляется и остальное распределение IP-потока данных в GSM-поток данных.
Кроме того, заявленное изобретение, наряду с соответствующим изобретению способом, также относится и к системе для осуществления этого способа.
Ниже варианты осуществления заявленного изобретения описаны на примерах со ссылками на чертежи, на которых представлено следующее:
Фиг. 1 показывает блок-схему, иллюстрирующую соответствующий изобретению способ и систему для автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS, причем мобильные IP-узлы 20 через контактный интерфейс соединены с SIM-картой 201 и/или ESIM (электронным SIM) и посредством беспроводного соединения 48 получают доступ к пунктам доступа 21/22 сети WLAN. Сервер доступа 23 сети WLAN аутентифицирует мобильный IP-узел 20 на основе сохраненного на SIM-карте IMSI-идентификатора в регистре HRL 37 и/или в регистре VLR 37 сети мобильной связи стандарта GSM.
Фиг. 2 показывает блок-схему, также иллюстрирующую соответствующий изобретению способ и систему для автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS, причем мобильные IP-узлы 20 через контактный интерфейс соединены с SIM-картой 201 и посредством беспроводного соединения 48 получают доступ к сети WLAN. Сеть WLAN связана через сервер 23 доступа с сетью мобильной связи стандарта GSM, в особенности с регистром HLR 37 и/или регистром VLR 37, узлом GGSN (представляющим собой шлюзовой узел поддержки GPRS) через узел GRX (GRX: коммутатор роуминга GPRS), провайдером 52 Интернет-сервиса и провайдером 53 расчетов для расчетов за требуемые услуги через оператора 54 системы расчетов с соответствующей расчетной системой 55 провайдера 52 Интернет-сервиса. Ссылочные позиции 60-64 обозначают двунаправленные сетевые соединения.
Фиг. 3 показывает блок-схему, иллюстрирующую соответствующий изобретению способ и систему для автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS, причем открытая IP-среда посредством соответствующего изобретению способа и системы через интерфейсы аутентификации 371 и авторизации 372 (SS7/MAP), авторизации 531 услуг и расчетов 532 соединены с соответствующей GSM-средой.
Фиг. 4 показывает блок-схему, которая иллюстрирует структуру базирующегося на порте способа аутентификации протокола IEEE 802.1x, причем запрашивающий объект или клиент 20 дистанционного доступа аутентифицируется посредством аутентификатора или сервера 21 дистанционного доступа в сервере 23 аутентификации, при этом сеть WLAN базируется на протоколе IEEE 802.11.
Фиг. 5 показывает блок-схему возможного варианта выполнения для SIM-аутентификации посредством расширяемого протокола аутентификации, причем применяется базирующийся на стандарте GSM способ вопросов-ответов.
На фиг. 1 представлена архитектура, которая может быть использована для реализации изобретения. Фиг. 1 показывает блок-схему, иллюстрирующую соответствующий изобретению способ и систему для автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS. На фиг. 1 ссылочной позицией 20 обозначен мобильный IP-узел, который имеет необходимую инфраструктуру, включая компоненты аппаратных средств и программного обеспечения, для реализации описываемых соответствующих изобретению способа и/или системы. Под мобильными узлами 20 следует понимать, в том числе, все возможное оборудование, устанавливаемое в помещении пользователя (СРЕ), которое предусматривается для использования в различных сетевых местоположениях и/или различных сетях. Оно включает в себя, например, все IP-приборы, такие как PDA, мобильные телефоны и портативные компьютеры. Мобильные узлы СРЕ или узлы 20 имеют один или более различных физических сетевых интерфейсов, которые могут поддерживать различные сетевые стандарты. Физические сетевые интерфейсы мобильного узла могут включать в себя, например, интерфейсы к беспроводной локальной сети (WLAN), системам стандартов Bluetooth, GSM (Глобальная система мобильной связи), GPRS (Общие услуги пакетной радиосвязи), USSD (Неструктурированные данные дополнительных услуг), UMTS (Универсальная мобильная телекоммуникационная система) и/или Ethernet или другой проводной локальной сети LAN и т.д. Ссылочная позиция 48 обозначает соответственно этому различные гетерогенные сети, такие как сеть Bluetooth, например, для установок в закрытых местах, сеть мобильной связи стандарта GSM и/или UMTS, беспроводную сеть LAN, например, базирующуюся на стандарте IEEE wireless 892.1x, а также проводную сеть LAN, то есть локальную стационарную сеть, в частности коммутируемую телефонную сеть общего пользования (PSTN). В принципе следует отметить, что соответствующий изобретению способ и/или система не связаны с конкретным сетевым стандартом, если имеют место соответствующие изобретению признаки, а могут быть реализованы с любой локальной сетью LAN. Интерфейсы 202 мобильного IP-узла могут использовать не только интерфейсы с коммутацией пакетов, как они непосредственно используются такими сетевыми протоколами, как, например, Ethernet или Tokenring, но и интерфейсы с коммутацией каналов, которые могут использоваться посредством протоколов, таких как PPP, SLIP, GPRS, то есть таких протоколов, которые не имеют сетевых адресов, таких как MAC- или DLC-адрес. Как частично уже упоминалось, связь в локальной сети LAN может осуществляться посредством специальных коротких сообщений, например SMS, усовершенствованных услуг передачи сообщений (EMS), или посредством канала сигнализации, как, например, посредством USSD или других методов, таких как MExE (мобильная среда исполнения), GPRS, WAP (протокол беспроводных приложений) или UMTS, или посредством канала IEEE wireless 802.1x или другого используемого канала. Мобильный IP-узел 20 может содержать модуль протокола Mobile-IP (Mobile-IP-модуль) и/или IPsec-модуль. Основная задача протокола Mobile-IP состоит в том, чтобы мобильный IP-модуль 20 аутентифицировать в IP-сети, и соответственно направлять IP-пакеты, имеющие IP-узел в качестве адреса получателя. В качестве других спецификаций Mobile IP можно также сослаться на IETF RFC 2002, IEEE Comm. Vol.35 No.5 1997 и т.д. Протокол Mobile IP поддерживает, в частности, протоколы IPv6 и IPv4. Свойства протокола Mobile IP можно предпочтительным образом комбинировать с защитными механизмами модуля протокола защиты IP (IPsec-модуля), чтобы гарантировать надежное мобильное управление данными в общедоступной сети Интернет. Протокол IPsec вырабатывает механизм аутентификации/достоверности между сетевыми узлами, использующими протокол IPsec, на основе пакетов или на основе разъема. Одна из гибких особенностей протокола IPsec состоит в том, что он может конфигурироваться для каждого пакета, но также и для отдельных разъемов. Протокол IPsec поддерживает IPvx, в частности, IPv6 и IPv4. Детальная информация о протоколе IPsec содержится, например, в следующих публикациях: Pete Loshin: IP Security Architecture; Morgan Kaufmann Publishers; 11/1999 или A Technical Guide to IPsec; James S et al., CRC Press, LLC; 12/2000 и т.д. Хотя протокол IPsec в этом примере выполнения описан в качестве примера для применения протоколов защиты на IP-уровне, изобретение включает в себя использование всех возможных других протоколов или механизмов защиты, а также отсутствие такого их использования.
Кроме того, IP-узел 20 связан через контактный интерфейс с SIM-картой 201 (SIM: модуль идентификации абонента), на которой сохранен IMSI-идентификатор пользователя сетей стандарта GSM. SIM-модуль может быть реализован аппаратными средствами, как карта, и/или программным обеспечением, как электронный SIM-модуль. Для аутентификации мобильный IP-узел требует доступа к сети WLAN через беспроводный интерфейс 202 в пределах базовой области обслуживания сети WLAN в пункте доступа 21/22. Как описано выше, различные сети WLAN различных «горячих точек» могут содержать гетерогенные сетевые протоколы и стандарты, как, например, сеть WLAN, базирующаяся на протоколах IEEE wireless 802.1x, Bluetooth и т.д. Базовая область обслуживания сети WLAN содержит один или более пунктов доступа 21/22, относящихся к серверу доступа 23. Мобильный IP-узел 20 передает по запросу сервера доступа 23 сохраненный на SIM-карте 201 мобильного IP-узла 20 IMSI-идентификатор на сервер доступа 23. IMSI-идентификатор мобильного IP-узла 20 сохраняется посредством SIM-RADIUS-модуля 30. На базе IMSI-идентификатора посредством сохраненной в SIM-банке данных 34 пользователей информации логический IP-канал данных сети WLAN добавляется соответственно пользователю к соответствующим GSM-данным для каналов сигнала и данных GSM-сети. GSM-система содержит каналы данных, так называемые каналы трафика, и каналы управления, так называемые каналы сигнализации. Каналы трафика (например, GPRS, речевой GSM-канал, GSM-канал данных и т.д.) резервируются для пользовательских данных, в то время как каналы сигнализации (например, МАР, SS7 и т.д.) применяются для сетевого управления, контрольных функций и т.д. Логические каналы не все одновременно используются через интерфейс, а лишь в определенных комбинациях на основе GSM-спецификаций. Посредством модуля 32 SIM-шлюза для проведения аутентификации IP-узла на основе GSM-данных генерируются необходимые SS7/MAP-функции (аутентификации и/или авторизации и/или информации конфигурации), причем SIM-RADIUS-модуль 30 посредством SIM-банка данных 34 пользователей и модуля 32 SIM-шлюза проводит аутентификацию мобильного IP-узла на основе IMSI-идентификатора SIM-карты 201 мобильного узла 20 в регистре HLR 37 и/или в регистре VLR 37. При успешной аутентификации, в качестве варианта выполнения, дополнительно к обновлению местоположения в регистре HLR (37) и/или в регистре VLR 37 проводится авторизация мобильного IP-узла 20, причем регистр HLR 37 и/или регистр VLR 37 загружают соответствующий профиль пользователя на основе IMSI-идентификатора. Также возможно, что для аутентификации мобильного IP-узла только на одном или нескольких первых шагах аутентификации используется сохраненный на SIM-карте мобильного IP-узла 20 IMSI-идентификатор, а на всех других шагах аутентификации IMSI-идентификатор заменяется на сформированный временный IMSI-идентификатор (TIMSI). Для осуществления расчетов, записи расчетов гетерогенных сетей WLAN синхронизируются с пользовательскими данными (IMSI/TIMSI) посредством расчетного модуля 533 и соответственно обрабатываются, так что они, например, в процедуре перевода счетов (ТАР) стандарта GSM, в частности, в стандарте ТАР-3, могут заимствоваться провайдерами услуг мобильной связи без адаптации их расчетных систем для дальнейшего применения к их клиентам. Процедура перевода счетов представляет собой протокол для расчетов между различными сетевыми провайдерами, причем версия 3 (ТАР-3) применяется и для расчетов по услугам с добавленной стоимостью в GPRS.
Как показано на фиг. 5, аутентификация мобильного IP-узла 20 может проводиться, например, посредством расширяемого протокола аутентификации (ЕАР). В основанном на протоколе ЕАР способе для аутентификации пользователя и для выдачи ключей сеанса пользователю посредством SIM-модуля стандарта GSM может применяться, например, следующий способ вопросов-ответов. Для алгоритма аутентификации SIM-карты в качестве вопроса используется 128-битовое случайное число (RAND). На SIM-карте выполняется затем специфический для соответствующего оператора доверительный алгоритм, который получает в качестве входных данных случайное число RAND и секретный сохраненный на SIM-карте ключ Ki и из этих данных генерирует 32-битовый ответ (SPEC) и 64-битовый ключ Кс. Ключ Кс служит для шифрования передачи данных через беспроводные интерфейсы (Технические Спецификации стандарта GSM 03.20 (ETS 300534): «Цифровая сотовая телекоммуникационная система (Фаза 2); Сетевые функции, связанные с защитой», Европейский Институт стандартов по телекоммуникациям, Август 1997). Для аутентификации применяется несколько вопросов RAND для генерирования нескольких 64-битовых ключей Кс. Эти ключи Кс комбинируются в один более длинный ключ сеанса. На фиг. 4 схематично представлена структура способа аутентификации, осуществляемого между мобильным IP-узлом 20, пунктом доступа 21 и сервером доступа 23 на основе порта по протоколу IEEE 802.1x, причем мобильный IP-узел 20 (клиент дистанционного доступа/запрашивающий объект) через пункт доступа 21 (аутентификатор) аутентифицируется в сервере доступа 23. Сеть WLAN базируется в этом примере выполнения на стандарте IEEE 802.11. Чтобы провести GSM-аутентификацию, модуль 32 SIM-шлюза функционирует в качестве шлюза между сетью сервера сервиса аутентификации в Интернет (IAS) и инфраструктурой GSM-аутентификации, то есть пунктом доступа 21/22 или сервером доступа 23 и регистром HLR 37 и/или регистром VLR 37. В начале EAP/SIM-аутентификации сервер доступа 23 запрашивает в первом ЕАР-запросе 1 через пункт доступа 21/22 от IP-мобильного узла 20, в числе прочего, IMSI-идентификатор пользователя. Этот идентификатор передается мобильным IP-узлом 20 посредством ЕАР-ответа 2 в пункт доступа 21/22. С помощью IMSI-идентификатора сервер доступа 23 получает на один запрос триплета от соответствующего регистра HLR 37 и/или регистра VLR 37 n GSM-триплетов. На основе этих триплетов сервер доступа 23 может получить код аутентификации сообщения для n*RAND и срок действия ключа (вместе МАС_RAND), а также ключ сеанса. На этапе 3 ЕАР (фиг. 5) сервер доступа 23 посылает затем, например, ЕАР-запрос типа 18 (SIM) к мобильному IP-узлу 20 и получает соответствующий ЕАР-ответ 4. ЕАР-пакеты данных типа SIM имеют дополнительно поле подтипа. Первый ЕАР-запрос/SIM соответствует подтипу 1 (запуск). Этот пакет содержит список номеров версий протокола EAP/SIM, которые поддерживаются сервером доступа 23. ЕАР-ответ/SIM (запуск) 4 (фиг.5) мобильного IP-узла содержит выбранный мобильным IP-узлом номер версии. Мобильный IP-узел 20 должен выбрать один из указанных в ЕАР-запросе номеров версий. ЕАР-ответ/SIM (запуск) мобильного IP-узла 20 содержит также предложение о сроке действия для ключа (Key) и случайное число NONCE_MT, которое сформировано мобильным IP-узлом. Все последующие EAP-запросы содержат ту же версию, что и EAP-ответ/SIM (запуск) пакета данных мобильного IP-узла 20. Как упомянуто, этот вариант выполнения, чтобы осуществить GSM-аутентификацию, использует модуль 32 SIM-шлюза, который функционирует в качестве шлюза между сервером доступа 23 и регистром HLR 37 или регистром VLR. После получения EAP-ответа/SIM сервер доступа 23 получает n GSM-триплетов от регистров HLR/VLR 37 GSM-сети. Из триплетов сервер доступа 23 вычисляет MAC_RAND и ключ сеанса К. Вычисление криптографических значений SIM-генерированного ключа сеанса К и кода аутентификации сообщений MAC-RAND и MAC_SRES описано, например, в документе "HMAC: Keyed-Hashing for Message Authentification", H.Krawczyk, M.Bellar, R.Canetti (RFC2104, Feb.1997). Следующий EAP-запрос 5 (фиг. 5) сервера доступа 23 является вопросом типа SIM и подтипа. Запрос 5 содержит вопросы RAND, определенный сервером доступа 23 срок действия ключа, код аутентификации сообщений для вопросов и срока действия (MAC_RAND). После получения EAP-запроса/SIM (вопроса) 5 на SIM-карте выполняется GSM-алгоритм аутентификации 6, который вычисляет копию MAC_RAND. Мобильный IP-узел 20 контролирует, является ли вычисленное значение MAC_RAND равным полученному значению MAC_RAND. Если отсутствует совпадение обоих значений, то мобильный IP-узел 20 прерывает процедуру аутентификации и не посылает вычисленное на SIM-карте значение аутентификации в сеть. Так как значение RAND получается вместе с кодом аутентификации сообщений MAC-RAND, мобильный IP-узел 20 может гарантировать, что значение RAND является новым и генерировано GSM-сетью. Если все проверки оказались корректными, мобильный IP-узел 20 посылает EAP-ответ/SIM (вопрос) 7, который в качестве ответа содержит MAC_SRES мобильного IP-узла 20. Сервер доступа 23 проверяет, является ли корректным MAC_RES и, наконец, посылает указывающий на успех проверки EAP пакет данных 8 (фиг. 5), который показывает мобильному IP-узлу 20, что аутентификация была успешной. Сервер доступа 23 может дополнительно послать полученный ключ сеанса с сообщением аутентификации (успех проверки EAP) в пункт доступа 21/22. При успешной аутентификации проводится обновление данных местоположения в регистре HLR 37 и/или в регистре VLR 37, и мобильный IP-узел 20 получает соответствующую запись в пользовательской базе данных сервера доступа, причем сеть WLAN предоставляется для использования мобильным IP-узлом 20. Как упомянуто, это имеет, в числе прочего, преимущество, заключающееся в том, что становится возможным автоматический роуминг между различными и гетерогенными сетями WLAN. За счет сопряжения технологии WLAN, в частности, IP-сетей, с технологией GSM, становится возможным роуминг пользователя, который при этом может не заботиться о регистрации, расчетах, авторизации услуг и т.д. у различных провайдеров услуг сети WLAN, то есть пользователь испытывает те же удобства, к которым он привык в связи с применением технологии мобильной связи, такой как GSM. Одновременно, совершенно новым способом можно связать преимущества открытой IP-среды (доступ к глобальной сети Интернет) с преимуществами обеспечения защиты, расчетов, авторизации услуг и т.д. Изобретение позволяет создать метод для роуминга в сетях WLAN, не требуя при этом встраивания в каждый сервер доступа соответствующего модуля. В противоположность этому, инфраструктура (WLAN/GSM) за счет применения протокола RADIUS может применяться в неизменном виде. Тем самым изобретение обеспечивает возможность автоматического роуминга между сетями WLAN, GSM, GPRS и UMTS.
На фиг. 3 представлена блок-схема, иллюстрирующая соответствующие изобретению способ и систему, показывающая, каким образом через интерфейсы аутентификации 371 и авторизации 372 (SS7/MAP), авторизацию услуг 531 и расчеты 532 открытая IP-среда 57 связывается с ограниченной GSM-средой 58. Ссылочная позиция 38 обозначает различных провайдеров услуг сети мобильной связи с соответствующими регистрами HLR/VLR 37. В качестве варианта выполнения возможно, что поток данных мобильного IP-узла 20 при доступе к сети WLAN от точки доступа 21/22 маршрутизируется через провайдера 38 услуг сети мобильной связи. Это позволяет провайдеру 38 услуг сети мобильной связи на основе аутентификации посредством соответствующей пользователю авторизации услуг, определяемой IMSI-идентификатором, предоставить для использования различные услуги и/или провести соответствующий пользователю расчет за затребованные услуги. Для авторизации услуг, после аутентификации пользователя, наряду с обновлением данных местоположения в регистрах HLR/VLR 37, загружается пользовательский профиль, из которого могут быть получены соответствующие данные относительно авторизации услуг пользователя. На основе пользовательского профиля в мобильном IP-узле устанавливаются соответствующие флаги авторизации для предоставления или отклонения определенных услуг. Предоставление услуг могло бы в принципе также осуществляться, например, с помощью модуля 214 непосредственно в пункте доступа 21/22 или, если поток данных перенаправляется, у провайдера 38 услуг сети мобильной связи.
Следует отметить, что в расширенном относительно описанного выше примера выполнения, SIM-банк данных 34 пользователей связан с модулем 35 синхронизации и с синхронизированным банком данных 36 для изменения или стирания существующих блоков пользовательских данных или для добавления новых блоков пользовательских данных, причем сравнение банков данных 34/36 проводится периодически и/или инициируется изменениями синхронизированного банка данных 36 и/или сбоем SIM-банка данных 34 пользователей. Модуль 35 синхронизации и синхронизированный банк данных 36 могут быть реализованы, как и остальные соответствующие изобретению компоненты аппаратными средствами и программным обеспечением как самостоятельные сетевые компоненты, например, самостоятельный IP-узел, и/или как подчиненные GSM-компоненту или другому компоненту, и/или как интегрированные в другой системный компонент. В этих вариантах выполнения провайдер 38 сети мобильной связи может действовать аналогичным способом для изменения или стирания существующих блоков пользовательских данных или для добавления новых блоков пользовательских данных, как он действовал до сих пор в отношении своих банков данных пользователей, то есть без необходимости приобретения или обслуживания дополнительных систем.

Claims (16)

1. Способ автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS, при котором для аутентификации мобильный IP-узел (20) запрашивает доступ к сети WLAN в пункте доступа (21/22) через беспроводный интерфейс внутри базовой области обслуживания сети WLAN, причем базовая область обслуживания сети WLAN содержит один или более относящихся к серверу доступа (23) пунктов доступа (21/22), при этом мобильный IP-узел (20) на запрос сервера доступа (23) передает к серверу доступа (23) сохраненный на SIM-карте (201) мобильного IP-узла (20) IMSI-идентификатор, и посредством SIM-RADIUS-модуля (30) IMSI-идентификатор мобильного IP-узла (20) сохраняется в банке данных (31) SIM-RADIUS-модуля (30), отличающийся тем, что на основе IMSI-идентификатора посредством информации, сохраненной в SIM-банке данных (34) пользователей, логический IP-канал данных сети WLAN добавляется к соответствующим GSM-данным для каналов сигнала и данных сети GSM в соответствии с пользователем, посредством модуля (32) SIM-шлюза для проведения аутентификации IP-узла (20) на основе GSM-данных формируются необходимые функции SS7/MAP, SIM-RADIUS-модуль (30) посредством SIM-банка данных (34) пользователей и модуля (32) SIM-шлюза проводит аутентификацию мобильного IP-узла (20) на основе IMSI-идентификатора SIM-карты (201) мобильного узла в регистре HLR (37) и/или в регистре VLR (37) сети GSM, и при успешной аутентификации осуществляется обновление данных местоположения в регистре HLR (37) и/или в регистре VLR (37), и мобильный IP-узел (20) получает соответствующую запись в пользовательской базе данных сервера доступа (23), при этом сеть WLAN предоставляется для использования мобильному IP-узлу (20).
2. Способ автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS по п.1, отличающийся тем, что при успешной аутентификации дополнительно к обновлению данных местоположения в регистре HLR (37) и/или в регистре VLR (37) проводится авторизация мобильного узла (20), причем в регистр HLR (37) и/или в регистр VLR (37) загружается соответствующий пользовательский профиль на основе IMSI-идентификатора.
3. Способ автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS по п.1 или 2, отличающийся тем, что для аутентификации мобильного IP-узла (20) используется сохраненный на SIM-карте мобильного IP-узла (20) IMSI-идентификатор только до одного или нескольких первых шагов аутентификации, а для всех остальных шагов аутентификации IMSI-идентификатор заменяется генерируемым временным IMSI-идентификатором.
4. Способ автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS по п.1 или 2, отличающийся тем, что аутентификация мобильного IP-узла (20) выполняется посредством расширяемого протокола аутентификации.
5. Способ автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS по п.1 или 2, отличающийся тем, что поток данных мобильного IP-узла (20) при доступе к сети WLAN направляется от пункта доступа (21/22) через провайдера услуг сети мобильной связи.
6. Способ автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS по п.5, отличающийся тем, что провайдер услуг мобильной связи на основе аутентификации посредством IMSI-идентификатора проводит авторизацию соответствующих услуг для использования различных услуг и/или проводит расчет за требуемые услуги.
7. Способ автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS по п.1 или 2, отличающийся тем, что SIM-банк данных (34) пользователей связан с модулем (35) синхронизации и с синхронизированным банком данных (36) для изменения или стирания имеющихся блоков пользовательских данных или добавления новых блоков пользовательских данных, причем сравнение банков данных (34/36) проводится периодически и/или инициируется изменениями синхронизированного банка данных (36) и/или сбоем SIM-банка данных (34) пользователей.
8. Способ автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS по п.1 или 2, отличающийся тем, что посредством модуля (533) расчетов записи расчетов гетерогенных сетей WLAN обрабатываются синхронизированным образом с пользовательскими данными и на основе GSM-стандарта ТАР.
9. Система автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS, причем система содержит, по меньшей мере, одну сеть WLAN с соответствующей базовой областью обслуживания сети WLAN, причем базовая область обслуживания сети WLAN содержит один или более относящихся к серверу доступа (23) пунктов доступа (21/22), при этом пункты доступа (21/22) содержат беспроводный интерфейс (211) для связи с мобильными IP-узлами (20), которые содержат SIM-карту (201) для сохранения IMSI-идентификатора, отличающаяся тем, что сервер доступа (23) содержит SIM-RADIUS-модуль (30) с банком данных (31) для сохранения IMSI-идентификатора, причем на основе IMSI-идентификатора посредством информации, сохраненной в SIM-банке данных (34) пользователей, логический IP-канал данных сети WLAN добавляется к GSM-данным для каналов сигнала и данных сети GSM в соответствии с пользователем, система содержит модуль (32) SIM-шлюза, посредством которого для проведения аутентификации IP-узла (20) на основе GSM-данных формируются необходимые функции SS7/MAP, сервер доступа (23) содержит пользовательскую базу данных, в которую могут заноситься данные аутентифицированных пользователей сети WLAN посредством SIM-RADIUS-модуля (30), причем при занесении проводится обновление местоположения для IMSI-идентификатора мобильного IP-узла (20) в регистре HLR (37) и/или в регистре VLR (37).
10. Система для автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS по п.9, отличающаяся тем, что при успешной аутентификации дополнительно к обновлению данных местоположения посредством пользовательского профиля регистра HLR (37) и/или регистра VLR (37) проводится авторизация мобильного IP-узла (20).
11. Система автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS по п.9 или 10, отличающаяся тем, что для аутентификации мобильного IP-узла (20) на по меньшей мере одном из шагов аутентификации IMSI-идентификатор заменяется генерируемым временным IMSI-идентификатором, генерируемым посредством соответствующего модуля.
12. Система автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS по п.9 или 10, отличающаяся тем, что аутентификация мобильного IP-узла (20) выполняется посредством расширяемого протокола аутентификации.
13. Система автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS по одному из п.9 или 10, отличающаяся тем, что система включает в себя провайдера услуг сети мобильной связи, через которого поток данных мобильного IP-узла (20) при доступе к сети WLAN направляется от пункта доступа (21/22).
14. Система автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS по п.13, отличающаяся тем, что провайдер услуг мобильной связи содержит модуль авторизации, который на основе аутентификации посредством IMSI-идентификатора выдает авторизацию соответствующих услуг для использования различных услуг, и/или содержит систему расчетов (53), которая проводит расчет за требуемые услуги.
15. Система автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS по п.9 или 10, отличающаяся тем, что система содержит модуль (35) синхронизации с синхронизированным банком данных (36), с которым соединен SIM-банк данных (34) пользователей для изменения или стирания имеющихся блоков пользовательских данных или добавления новых блоков пользовательских данных, причем сравнение банков данных проводится периодически и/или инициируется изменениями синхронизированного банка данных (36) и/или сбоем SIM-банка данных (34) пользователей.
16. Система автоматического роуминга между гетерогенными сетями WLAN и/или сетями GSM/GPRS/UMTS по п.9 или 10, отличающаяся тем, что посредством модуля (533) расчетов записи расчетов гетерогенных сетей WLAN обрабатываются синхронизированным образом с пользовательскими данными и на основе GSM-стандарта ТАР.
RU2005107331/09A 2002-08-16 2002-08-16 Способ и система для gsm-аутентификации при роуминге в беспроводных локальных сетях RU2295200C2 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2005107331/09A RU2295200C2 (ru) 2002-08-16 2002-08-16 Способ и система для gsm-аутентификации при роуминге в беспроводных локальных сетях

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2005107331/09A RU2295200C2 (ru) 2002-08-16 2002-08-16 Способ и система для gsm-аутентификации при роуминге в беспроводных локальных сетях

Publications (2)

Publication Number Publication Date
RU2005107331A RU2005107331A (ru) 2005-08-10
RU2295200C2 true RU2295200C2 (ru) 2007-03-10

Family

ID=35845000

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2005107331/09A RU2295200C2 (ru) 2002-08-16 2002-08-16 Способ и система для gsm-аутентификации при роуминге в беспроводных локальных сетях

Country Status (1)

Country Link
RU (1) RU2295200C2 (ru)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8130718B2 (en) 2004-12-09 2012-03-06 Interdigital Technology Corporation Method and system for interworking of cellular networks and wireless local area networks
US8145905B2 (en) 2007-05-07 2012-03-27 Qualcomm Incorporated Method and apparatus for efficient support for multiple authentications
US8155620B2 (en) 2007-06-13 2012-04-10 Qualcomm Incorporated Method and apparatus for accounting in a mobile data packet network
US8164440B2 (en) 2007-04-23 2012-04-24 Siemens Industry, Inc. Methods for emergency communication within a fire safety system
RU2458406C2 (ru) * 2007-04-23 2012-08-10 Сименс Индастри, Инк. Способы аварийной связи в системе противопожарной безопасности
RU2458481C2 (ru) * 2007-10-23 2012-08-10 Чайна Ивнкомм Ко., Лтд. Способ и система двусторонней идентификации объекта на основе доверенной третьей стороны
RU2459374C2 (ru) * 2007-10-08 2012-08-20 Квэлкомм Инкорпорейтед Управление доступом для беспроводной связи
RU2472222C1 (ru) * 2011-10-12 2013-01-10 Неирон.Ком.Лимитед Способ предоставления услуг абонентам мобильной связи, система предоставления услуг абонентам мобильной связи и машиночитаемые носители
RU2487482C2 (ru) * 2007-05-25 2013-07-10 Инститьют Телеком/Телеком Паритек Способ и устройство формирования защищающих данных и продукт компьютерной программы
US8751792B2 (en) 2009-09-30 2014-06-10 China Iwncomm Co., Ltd. Method and system for entity public key acquiring, certificate validation and authentication by introducing an online credible third party
RU2519821C2 (ru) * 2008-09-25 2014-06-20 Самсунг Электроникс Ко., Лтд. Способ и система управления разрешением доступа для системы мобильной связи
US9167505B2 (en) 2007-10-08 2015-10-20 Qualcomm Incorporated Access management for wireless communication
RU2609756C2 (ru) * 2013-12-13 2017-02-02 Гонконг ЮКЛАУДЛИНК Нетворк Тек, Лтд. Система и устройство разделения услуг
US9775096B2 (en) 2007-10-08 2017-09-26 Qualcomm Incorporated Access terminal configuration and access control

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0601007D0 (en) 2006-01-10 2006-03-01 Samsung Electronics Co Ltd Mobile Communications
TWI533738B (zh) 2006-10-20 2016-05-11 內數位科技公司 Lte增強b節點自行配置方法及裝置
TWI599259B (zh) 2006-12-27 2017-09-11 無線創新信號信託公司 基地台自行配置方法及裝置

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9686721B2 (en) 2004-12-09 2017-06-20 Interdigital Technology Corporation Method and system for interworking of cellular networks and wireless local area networks
US8130718B2 (en) 2004-12-09 2012-03-06 Interdigital Technology Corporation Method and system for interworking of cellular networks and wireless local area networks
US8164440B2 (en) 2007-04-23 2012-04-24 Siemens Industry, Inc. Methods for emergency communication within a fire safety system
RU2458406C2 (ru) * 2007-04-23 2012-08-10 Сименс Индастри, Инк. Способы аварийной связи в системе противопожарной безопасности
US8145905B2 (en) 2007-05-07 2012-03-27 Qualcomm Incorporated Method and apparatus for efficient support for multiple authentications
RU2487482C2 (ru) * 2007-05-25 2013-07-10 Инститьют Телеком/Телеком Паритек Способ и устройство формирования защищающих данных и продукт компьютерной программы
US8155620B2 (en) 2007-06-13 2012-04-10 Qualcomm Incorporated Method and apparatus for accounting in a mobile data packet network
RU2451399C2 (ru) * 2007-06-13 2012-05-20 Квэлкомм Инкорпорейтед Способ и устройство для учета в мобильной сети пакетной передачи данных
US9055511B2 (en) 2007-10-08 2015-06-09 Qualcomm Incorporated Provisioning communication nodes
US9775096B2 (en) 2007-10-08 2017-09-26 Qualcomm Incorporated Access terminal configuration and access control
RU2459374C2 (ru) * 2007-10-08 2012-08-20 Квэлкомм Инкорпорейтед Управление доступом для беспроводной связи
US9167505B2 (en) 2007-10-08 2015-10-20 Qualcomm Incorporated Access management for wireless communication
RU2458481C2 (ru) * 2007-10-23 2012-08-10 Чайна Ивнкомм Ко., Лтд. Способ и система двусторонней идентификации объекта на основе доверенной третьей стороны
US8356179B2 (en) 2007-10-23 2013-01-15 China Iwncomm Co., Ltd. Entity bi-directional identificator method and system based on trustable third party
US9980202B2 (en) 2008-09-25 2018-05-22 Samsung Electronics Co., Ltd. Access admission control method and system for mobile communication system
RU2519821C2 (ru) * 2008-09-25 2014-06-20 Самсунг Электроникс Ко., Лтд. Способ и система управления разрешением доступа для системы мобильной связи
US9019887B2 (en) 2008-09-25 2015-04-28 Samsung Electronics Co., Ltd. Access admission control method and system for mobile communication system
US8751792B2 (en) 2009-09-30 2014-06-10 China Iwncomm Co., Ltd. Method and system for entity public key acquiring, certificate validation and authentication by introducing an online credible third party
US9572023B2 (en) 2011-10-12 2017-02-14 Ivan Alexandrovich Petridi Method and system for providing services to mobile communication subscribers
RU2472222C1 (ru) * 2011-10-12 2013-01-10 Неирон.Ком.Лимитед Способ предоставления услуг абонентам мобильной связи, система предоставления услуг абонентам мобильной связи и машиночитаемые носители
WO2013055255A1 (ru) * 2011-10-12 2013-04-18 Нейрон.Ком.Лимитед Способ и система предоставления услуг абонентам мобильной связи
RU2609756C2 (ru) * 2013-12-13 2017-02-02 Гонконг ЮКЛАУДЛИНК Нетворк Тек, Лтд. Система и устройство разделения услуг

Also Published As

Publication number Publication date
RU2005107331A (ru) 2005-08-10

Similar Documents

Publication Publication Date Title
JP4832756B2 (ja) Wlanローミングの間にgsm認証を行う方法およびシステム
US9445272B2 (en) Authentication in heterogeneous IP networks
KR101075541B1 (ko) Ip 네트워크에서의 콘텐츠에 기초한 빌링을 위한 방법 및시스템
US8462947B2 (en) Managing user access in a communications network
US8261078B2 (en) Access to services in a telecommunications network
RU2295200C2 (ru) Способ и система для gsm-аутентификации при роуминге в беспроводных локальных сетях
KR101068424B1 (ko) 통신시스템을 위한 상호동작 기능
JP2007508614A5 (ru)
KR100864517B1 (ko) Wlan 로밍 중에 gsm 빌링을 위한 방법 및 시스템
KR100732655B1 (ko) Wlan 로밍 중에 gsm 인증을 위한 방법 및 시스템
ZA200501089B (en) Method system for GSM authentication during WLAN Roaming

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20090817