專利名稱:無線lan通用移動電話系統(tǒng)交互工作設(shè)備中的用戶身份保護(hù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于在移動無線終端從一個無線網(wǎng)絡(luò)轉(zhuǎn)移到另一個無線網(wǎng)絡(luò)時保護(hù)用戶身份的技術(shù)。
背景技術(shù):
無線LAN技術(shù)領(lǐng)域的發(fā)展已經(jīng)帶來相對便宜的無線LAN設(shè)備的可用性����,其又導(dǎo)致了休息站、咖啡館��、圖書館和類似公共設(shè)施中公共可訪問無線LAN(例如����,“熱點”)的出現(xiàn)。現(xiàn)在�,無線LAN向用戶提供對專用數(shù)據(jù)網(wǎng)絡(luò)(如企業(yè)內(nèi)聯(lián)網(wǎng))或公共數(shù)據(jù)網(wǎng)絡(luò)(如因特網(wǎng))的接入。如果有也只是極少的公共可訪問無線LAN提供某種類型的電話服務(wù)��,更不用說��,無線電話服務(wù)了。
現(xiàn)在����,尋求無線電話服務(wù)的用戶典型地向這種服務(wù)的眾多提供商之一進(jìn)行訂閱。今天的無線電話服務(wù)提供商不僅提供語音呼叫�����,也提供通用分組無線電服務(wù)(GPRS)�,以通過移動無線終端來實現(xiàn)交換數(shù)據(jù)分組。而GPRS存在于眾多領(lǐng)域����,數(shù)據(jù)傳輸率一般不超過56Kbps,并且對無線網(wǎng)絡(luò)服務(wù)提供商來說��,支持這一服務(wù)的成本仍然較高�,使得GPRS比較昂貴。
為了提供增強(qiáng)的數(shù)據(jù)通信��,正在努力建立新的無線電話標(biāo)準(zhǔn)�����。這種成果之一是由第3代伙伴計劃(3GPP)所提出的“通用移動電信系統(tǒng)(UMTS)”標(biāo)準(zhǔn),用于無線電話網(wǎng)絡(luò)中的高級分組無線電服務(wù)����。UMTS標(biāo)準(zhǔn)提出了高達(dá)2Mbps的傳輸速率��。然而�,實現(xiàn)和運(yùn)行無線LAN相對低廉的成本,以及其可獲得的高帶寬(通常高于10兆比特/秒)使得無線LAN����,即使與UMTS網(wǎng)絡(luò)相比,也是優(yōu)選的接入機(jī)制����。有了較低成本和較高帶寬的優(yōu)勢,當(dāng)這種服務(wù)可用時���,移動無線終端的用戶通常會尋求轉(zhuǎn)向無線LAN���。當(dāng)無線LAN服務(wù)不再可用時,用戶將轉(zhuǎn)回?zé)o線電話網(wǎng)絡(luò)���。
對無線電話網(wǎng)絡(luò)和無線LAN的接入都需要用戶身份識別和驗證����。從網(wǎng)絡(luò)運(yùn)營商的角度來說,收入的產(chǎn)生依賴于可靠的用戶身份識別和驗證���。沒有正確的用戶身份識別和驗證�����,網(wǎng)絡(luò)運(yùn)營商將不能為這些服務(wù)開出賬單����。從用戶的角度來說�����,身份識別和驗證必須以能夠預(yù)防欺詐的安全方式來進(jìn)行��。所以���,用戶身份識別不應(yīng)當(dāng)以允許他人不正確地使用這些信息的方式來進(jìn)行�����。
現(xiàn)在���,尋求接入無線電話網(wǎng)絡(luò)的用戶接收臨時身份���,被稱為分組臨時移動訂戶身份(P-TMSI)。一般來說��,無線電話網(wǎng)絡(luò)中附屬于服務(wù)GPRS支持節(jié)點(SGSN)的拜訪位置寄存器(VLR)維護(hù)用戶的P-TMSI的副本����。SGSN把P-TMSI映射到永久身份����,被稱為國際移動訂戶身份(IMSI)。為了避免危及用戶身份的安全�,如果上次身份識別后經(jīng)歷了較長的時間間隔,無線電話網(wǎng)絡(luò)將不同的P-TMSI分配給用戶��。
現(xiàn)行的無線LAN缺少安全用戶身份識別和驗證機(jī)制���。對于尋求從無線電話網(wǎng)絡(luò)轉(zhuǎn)移到無線LAN的用戶�,存在潛在的安全風(fēng)險��。
所以�,需要一種用于在從一個無線網(wǎng)絡(luò)轉(zhuǎn)到另一個無線網(wǎng)絡(luò)時保護(hù)用戶的身份的技術(shù)。
發(fā)明內(nèi)容
簡單來說,依照本發(fā)明的優(yōu)選實施例����,提供一種方法,用于在從第一無線網(wǎng)絡(luò)轉(zhuǎn)移到第二無線網(wǎng)絡(luò)時識別移動無線終端的用戶����。所述方法開始于在第二網(wǎng)絡(luò)中接收來自于用戶的、在轉(zhuǎn)移到該網(wǎng)絡(luò)時的身份識別請求��。身份識別請求包括先前由移動無線終端提供的����、用于在第一無線網(wǎng)絡(luò)中識別其自身的臨時標(biāo)識符。根據(jù)身份識別請求����,對第一網(wǎng)絡(luò)中移動無線終端最后接入的節(jié)點進(jìn)行身份識別。在識別出最后接入節(jié)點時���,把第二網(wǎng)絡(luò)中所接收到的身份識別請求轉(zhuǎn)發(fā)給第一網(wǎng)絡(luò)中的最后接入節(jié)點����,而該節(jié)點根據(jù)臨時標(biāo)識符����,驗證用戶的永久身份�。然后�,把這一驗證信息返回到第二網(wǎng)絡(luò),作為響應(yīng)���,在成功的用戶驗證時���,允許用戶接入�����。通過在第二網(wǎng)絡(luò)中發(fā)送用于識別其自身的臨時身份����,用戶避免了在網(wǎng)絡(luò)轉(zhuǎn)移期間發(fā)送其永久身份的必要,在網(wǎng)絡(luò)轉(zhuǎn)移期間�����,其永久身份可能會被偵聽�����,并導(dǎo)致安全性隱患。
圖1示出了與無線LAN交互工作�����、以便向移動無線終端提供通信服務(wù)的無線電話網(wǎng)絡(luò)的方框示意圖�����。
具體實施例方式
圖1示出了依照本發(fā)明��、與無線局域網(wǎng)絡(luò)(LAN)14交互工作�����、以便為移動無線終端16提供通信服務(wù)的無線電話網(wǎng)絡(luò)12的示例性實施例����。實際上,移動無線終端16依附于無線電話網(wǎng)絡(luò)12來獲得語音和/或數(shù)據(jù)服務(wù)�����?��?墒?���,在進(jìn)入無線LAN的覆蓋區(qū)域時,由于其數(shù)據(jù)接入的較高速度���、較低成本���,移動無線終端16的用戶通常會從無線電話網(wǎng)絡(luò)12轉(zhuǎn)向無線LAN 14。而當(dāng)用戶離開了無線LAN時��,將發(fā)生對無線電話網(wǎng)絡(luò)的反向轉(zhuǎn)移�。
在示例性實施例中,無線電話網(wǎng)絡(luò)12具有“通用移動電信系統(tǒng)(UMTS)”標(biāo)準(zhǔn)針對高級分組無線電服務(wù)所提出的體系結(jié)構(gòu)���。因此,無線電話網(wǎng)絡(luò)12包括至少一個服務(wù)GPRS支持節(jié)點(SGSN)18�,用于驗證移動無線終端16。當(dāng)終端通過無線電話無線電網(wǎng)絡(luò)20與無線電話網(wǎng)絡(luò)12進(jìn)行通信時�,SGSN18還用于處理與移動無線終端交換的分組數(shù)據(jù)。雖然圖1描述了一個無線電話無線電網(wǎng)絡(luò)20����,無線電話網(wǎng)絡(luò)12可以包括多個無線電網(wǎng)絡(luò),每一個都由獨立的SGSN管理��。無線電話網(wǎng)絡(luò)12中的歸屬位置寄存器(HLR)22存儲當(dāng)前無線電話服務(wù)訂戶的記錄,并包含分組域訂閱信息以及位置信息���,其中SGSN18服務(wù)于特定的移動無線終端����,而無線電話網(wǎng)絡(luò)包括多個SGSN���。
無線電話網(wǎng)絡(luò)12還包括無線LAN(WLAN)交互工作接入服務(wù)器24���,用于管理無線LAN14和無線電話網(wǎng)絡(luò)間的接口。WLAN交互工作接入服務(wù)器24實現(xiàn)與SGSN18類似的功能���。所以�,WLAN交互工作接入服務(wù)器24驗證移動無線終端���。它可能處理���,也可能不處理分組數(shù)據(jù),這取決于數(shù)據(jù)連接是否需要通過無線電話網(wǎng)絡(luò)�����。依據(jù)本發(fā)明,WLAN交互工作接入服務(wù)器24與SGSN 18合作�����,以便在從無線電話網(wǎng)絡(luò)12轉(zhuǎn)移到無線LAN 14時���,使用由無線移動終端提供的P-TMSI�,實現(xiàn)移動無線終端16的安全身份識別���。如下進(jìn)一步詳細(xì)描述��,這種身份識別避免了移動無線終端16發(fā)送永久身份的必要��,從而提供了安全性��。
在第一次直接接入無線電話網(wǎng)絡(luò)12時���,作為注冊程序的一部分����,移動無線終端16接收臨時身份,通常稱為分組臨時移動訂戶身份(P-TMSI)�。在每次隨后直接接入無線電話網(wǎng)絡(luò)12時����,移動無線終端16通過無線電網(wǎng)絡(luò)20把它的P-TMSI傳遞給相應(yīng)的SGSN 18����。使用拜訪位置寄存器(VLR)23,SGSN 18把P-TMSI映射為用戶的永久身份���,稱為國際移動訂戶身份(IMSI)����,來驗證終端的用戶���。
當(dāng)接入無線電話網(wǎng)絡(luò)12時�,移動無線終端16使用其臨時身份(P-TMSI)����,從而其真實身份在初始注冊后,不再需要越過無線電接口�。在從一個SGSN切換到另一個SGSN的情況下,新SGSN從移動無線終端16接收P-TMSI���。如果新SGSN當(dāng)前并不服務(wù)于移動無線終端16�����,那么新SGSN將查詢“舊”SGSN�����。由此���,新SGSN將檢索到先前服務(wù)于移動無線終端16�����、并最后把終端的臨時身份映射到它的永久身份上的“舊”SGSN的地址����。新SGSN請求“舊”SGSN發(fā)送回與先前由移動無線終端16提供的臨時地址(P-TMSI)相關(guān)聯(lián)的IMSI�。
迄今為止,還沒有安全接入設(shè)備���,允許移動無線終端16從無線電話網(wǎng)絡(luò)12轉(zhuǎn)移到無線LAN14���,而又保持終端的身份安全不受到可能的偵聽�。一般說來��,移動無線終端16的用戶���,在轉(zhuǎn)到無線LAN 14時,需要把它的永久身份(即�,其IMSI)發(fā)送給無線LAN 14,因此會危及到它的身份的安全��。
依據(jù)本發(fā)明����,提供一種用于在從一個無線網(wǎng)絡(luò)(無線電話網(wǎng)絡(luò)12)轉(zhuǎn)移到無線LAN 14時保護(hù)移動無線終端16的IMSI的技術(shù)。為了保護(hù)用戶的身份����,本發(fā)明的技術(shù)使用由最后附屬的SGSN(例如,圖1中的SGSN 18)所保持的用戶身份信息(即�,P-TMSI)來驗證無線LAN 14中的用戶永久身份。這一身份識別和驗證如下1.在轉(zhuǎn)移到無線LAN 14時�,移動無線終端16發(fā)送與先前發(fā)送給無線電話網(wǎng)絡(luò)12相同的身份信息。這種身份信息包括舊(即��,先前發(fā)送的)P-TMSI����、P-TMSI簽名和路由區(qū)標(biāo)識符(RAI)��。如上所述���,P-TMSI構(gòu)成了臨時用戶身份。P-TMSI簽名提供對P-TMSI的驗證�����,而RAI區(qū)分可接入移動無線終端16的每個SGSN 18���。每個SGSN18以及WLAN交互工作接入服務(wù)器24�,都具有其自己惟一的RAI��。迄今為止����,RAI只識別無線電話網(wǎng)絡(luò)12中的SGSN。依據(jù)本發(fā)明的一個方面�,WLAN交互工作接入服務(wù)器24具有其自己的RAI,所以此服務(wù)器簡單地作為另一個SGSN出現(xiàn)���。這樣���,WLAN交互工作接入服務(wù)器24能夠以從移動無線終端接收到的P-TMSI來詢問舊SGSN����,達(dá)到獲得終端的IMSI的目的�����。
2.在接收到身份信息(即���,P-TMSI、P-TMSI簽名和RAI)時���,無線LAN 14把這些信息轉(zhuǎn)發(fā)給無線電話網(wǎng)絡(luò)12中的WLAN交互工作接入服務(wù)器24��。根據(jù)這些身份信息�����,WLAN交互工作接入服務(wù)器24先確定緊接在轉(zhuǎn)入無線LAN14之前����、由移動無線終端16先前接入的舊SGSN18的身份�����。典型地,WLAN交互工作接入服務(wù)器24通過與由移動無線終端16提供的RAI中的舊路由區(qū)的關(guān)聯(lián)���,找出舊SGSN的地址�,來識別舊SGSN���。典型地��,WLAN交互工作接入服務(wù)器24通過HLR 22得知無線電話網(wǎng)絡(luò)12中每個SGSN的地址���。在WLAN交互工作接入服務(wù)器24不知道舊SGSN 18的地址的情況下,服務(wù)器可以使用由移動無線終端16提供的邏輯地址�,從域名解析系統(tǒng)(DNS)服務(wù)器(圖中未標(biāo)出)中獲取地址。
3.識別了舊SGSN 18后�����,WLAN交互工作接入服務(wù)器24把P-TMSI���、P-TMSI簽名和RAI發(fā)送給舊SGSN18��,請求用戶的IMSI���。
4.響應(yīng)來自WLAN交互工作接入服務(wù)器24的請求��,舊SGSN 18把P-TMSI映射到IMSI上���。這樣,舊SGSN提供了身份識別響應(yīng)�����,其既包括IMSI���,又包括識別移動無線終端16的適當(dāng)?shù)尿炞C矢量。如果不能識別移動無線終端16���,則舊SGSN 18提供適當(dāng)?shù)腻e誤消息��。
5.在根據(jù)由舊SGSN 18執(zhí)行的映射��、建立起用戶身份后���,無線LAN 14將驗證移動無線終端16的用戶構(gòu)成了合法用戶,并有權(quán)使用無線LAN�。
6.當(dāng)用戶離開無線LAN轉(zhuǎn)回?zé)o線電話網(wǎng)絡(luò)時����,WLAN交互工作接入服務(wù)器24用作“舊”SGSN��。在接到請求時�,其將身份識別響應(yīng)發(fā)送到用戶終端將要依附的無線電話網(wǎng)絡(luò)中的新SGSN。
本發(fā)明的身份識別和驗證技術(shù)提供了以下優(yōu)點通過WLAN交互工作接入服務(wù)器24��,提供安全的用戶身份識別���,同時最小化重復(fù)接入HLR 20的次數(shù)�����。本發(fā)明的身份識別技術(shù)使用了無線電話網(wǎng)絡(luò)12的安全身份識別處理�,而不是廣播容易被他人偵聽的永久無線LAN標(biāo)識符��。所以�����,在從無線電話網(wǎng)絡(luò)12轉(zhuǎn)移到無線LAN 14時�,移動無線終端的用戶的身份一直都受到保護(hù)。
權(quán)利要求
1.一種用于在終端從第一無線網(wǎng)絡(luò)轉(zhuǎn)移到第二無線網(wǎng)絡(luò)時識別移動無線終端的方法�����,包括以下步驟在第二無線網(wǎng)絡(luò)中,從移動無線終端接收移動無線終端先前用于接入第一無線網(wǎng)絡(luò)的臨時身份信息�����;依據(jù)第二無線網(wǎng)絡(luò)中從移動無線終端接收到的臨時身份信息���,識別第一無線網(wǎng)絡(luò)中�、在轉(zhuǎn)移到第二無線網(wǎng)絡(luò)前最后服務(wù)于移動無線終端的服務(wù)節(jié)點�����;把移動無線終端的臨時身份信息轉(zhuǎn)發(fā)給第一無線網(wǎng)絡(luò)中的最后接入服務(wù)節(jié)點����,進(jìn)行身份識別��;從第一無線網(wǎng)絡(luò)中的最后接入服務(wù)節(jié)點接收表明是否已經(jīng)正確識別了移動無線終端的身份識別響應(yīng)���;以及依據(jù)身份識別響應(yīng)��,使移動終端生效��。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于接收臨時身份信息的步驟還包括接收分組臨時移動訂戶身份(P-TMSI)��、P-TMSI簽名和路由區(qū)標(biāo)識符(RAI)的步驟�����。
3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于識別第一無線網(wǎng)絡(luò)中的服務(wù)節(jié)點的步驟還包括依據(jù)從移動無線終端接收到的RAI來識別服務(wù)節(jié)點的步驟���。
4.根據(jù)權(quán)利要求3所述的方法�,其特征在于還包括以下步驟從移動無線終端接收邏輯地址信息�;以及接入域名解析系統(tǒng)(DNS)服務(wù)器,依據(jù)邏輯地址識別服務(wù)節(jié)點��。
5.根據(jù)權(quán)利要求1所述的方法���,其特征在于還包括在服務(wù)節(jié)點不能根據(jù)臨時身份信息識別移動無線終端時提供錯誤消息的步驟�����。
6.一種用于在終端從無線電話網(wǎng)絡(luò)轉(zhuǎn)移到無線局域網(wǎng)絡(luò)(LAN)時識別移動無線終端的方法����,包括以下步驟在無線LAN中,從移動無線終端接收移動無線終端先前用于接入無線電話網(wǎng)絡(luò)的臨時身份信息����;依據(jù)無線LAN中從移動無線終端接收到的臨時身份信息,識別無線電話網(wǎng)絡(luò)中��、在轉(zhuǎn)移到無線LAN前最后服務(wù)于移動無線終端的服務(wù)節(jié)點�;把移動無線終端的臨時身份信息轉(zhuǎn)發(fā)給無線電話網(wǎng)絡(luò)中的最后接入服務(wù)節(jié)點,進(jìn)行身份識別�;從無線電話網(wǎng)絡(luò)中的最后接入服務(wù)節(jié)點接收表明是否已經(jīng)正確識別了移動無線終端的身份識別響應(yīng)����;以及依據(jù)身份識別響應(yīng),使移動終端生效�。
7.根據(jù)權(quán)利要求1所述的方法,其特征在于接收臨時身份信息的步驟還包括接收分組臨時移動訂戶身份(P-TMSI)�����、P-TMSI簽名和路由區(qū)標(biāo)識符(RAI)的步驟。
8.根據(jù)權(quán)利要求7所述的方法���,其特征在于識別第一無線網(wǎng)絡(luò)中的服務(wù)節(jié)點的步驟還包括依據(jù)從移動無線終端接收到的RAI來識別服務(wù)節(jié)點的步驟�����。
9.根據(jù)權(quán)利要求8所述的方法����,其特征在于還包括以下步驟從移動無線終端接收邏輯地址信息�;以及接入域名解析系統(tǒng)(DNS)服務(wù)器,依據(jù)邏輯地址識別服務(wù)節(jié)點�����。
10.根據(jù)權(quán)利要求7所述的方法�,其特征在于還包括在服務(wù)節(jié)點不能根據(jù)臨時身份信息識別移動無線終端時提供錯誤消息的步驟。
11.一種無線電話網(wǎng)絡(luò)����,用于在終端從無線電話網(wǎng)絡(luò)轉(zhuǎn)移到無線局域網(wǎng)絡(luò)(LAN)時識別移動無線終端,所述無線電話網(wǎng)絡(luò)包括服務(wù)節(jié)點���,用于在接入無線電話網(wǎng)絡(luò)時���,識別移動無線終端�;以及接入服務(wù)器��,用于從無線LAN接收來自移動無線終端的��、由移動無線終端先前用于接入無線電話網(wǎng)絡(luò)的臨時身份信息�����,并用于識別第一無線網(wǎng)絡(luò)中���、在轉(zhuǎn)移到無線LAN前最后服務(wù)于移動無線終端的服務(wù)節(jié)點����,通過把移動無線終端的身份信息轉(zhuǎn)發(fā)給服務(wù)節(jié)點�����,進(jìn)行身份識別���,并根據(jù)身份識別響應(yīng),接入服務(wù)器表明是否已經(jīng)正確識別了移動無線終端,并把該響應(yīng)轉(zhuǎn)發(fā)給無線LAN���。
12.根據(jù)權(quán)利要求11所述的網(wǎng)絡(luò)���,其特征在于身份信息還包括從移動無線終端接收到的分組臨時移動訂戶身份(P-TMSI)、P-TMSI簽名和路由區(qū)標(biāo)識符(RAI)��。
13.根據(jù)權(quán)利要求11所述的網(wǎng)絡(luò)�,其特征在于接入服務(wù)器具有其自己的RAI,不同于分配給服務(wù)節(jié)點的RAI���。
全文摘要
一種移動無線終端(16)��,在從無線電話網(wǎng)絡(luò)(12)轉(zhuǎn)移到無限局域網(wǎng)絡(luò)(LAN)(14)時��,通過發(fā)送與用于無線電話網(wǎng)絡(luò)中的身份識別相同的身份信息����,尋求身份識別�����。在接收到身份信息時�����,無線電話網(wǎng)絡(luò)中的無線LAN接入服務(wù)器(24)識別在轉(zhuǎn)移前、在無線電話網(wǎng)絡(luò)中最后服務(wù)于所述無線終端的通用分組無線電業(yè)務(wù)服務(wù)節(jié)點(SGSN)(18)��。無線LAN接入服務(wù)器把身份信息轉(zhuǎn)發(fā)給SGSN�,而SGSN則提供身份識別響應(yīng),來使終端生效�。
文檔編號H04L12/46GK1692659SQ03818690
公開日2005年11月2日 申請日期2003年8月11日 優(yōu)先權(quán)日2002年8月13日
發(fā)明者謝利·維爾馬, 查爾斯·傳銘·王, 張軍標(biāo), 紀(jì)堯姆·比紹 申請人:湯姆森許可貿(mào)易公司