亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

用于控制網(wǎng)絡接入的方法和系統(tǒng)的制作方法

文檔序號:7677546閱讀:145來源:國知局
專利名稱:用于控制網(wǎng)絡接入的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及用于提供對第一和第二網(wǎng)絡的接入的方法和系統(tǒng)。
背景技術(shù)
使得能夠接入通信網(wǎng)的方法和系統(tǒng)是公知的。例如,在提供對計算 機網(wǎng)絡的接入之前,大多數(shù)計算機網(wǎng)絡要求用戶在終端提供用戶名和密 碼。在該計算機網(wǎng)絡中,存在通常作為由網(wǎng)絡服務器執(zhí)行的適當?shù)挠嬎?機程序而提供的接入控制,該接入控制將該用戶名以及密碼與適當?shù)恼J 證準則進行比較,并且在所提供的用戶名和密碼符合該認證準則的情況 下允許來自終端的接入。
然而,用戶必需被告知要使用的用戶名和密碼。對于常見的有線計 算機網(wǎng)絡,通常以書面或口頭的方式通知用戶被分配了哪個用戶名和密 碼。在分配的密碼頻繁改變的情況下,這會變得不方便,這是由于需要 發(fā)送大量的紙質(zhì)郵件。而且,會使用戶花費相對長的時間來接收用戶名 和密碼。
在本領(lǐng)域中,用于控制無線局域網(wǎng)(WLAN)接入的系統(tǒng)是公知的, 其由總部設(shè)在瑞典斯德哥爾摩的ServiceFactory A.B.公司以"Orbyte認證 管理器"的名稱出售。該系統(tǒng)包括認證服務器,其可由終端訪問以獲得一 次性密碼(OTP)。終端可以通過互聯(lián)網(wǎng)經(jīng)由WLAN網(wǎng)關(guān)節(jié)點訪問該認 證服務器。在這方面,WLAN網(wǎng)關(guān)節(jié)點一般稱為"熱點網(wǎng)關(guān)"或簡稱為"熱 點"。經(jīng)由WLAN網(wǎng)關(guān)節(jié)點,認證服務器可以從用戶標識模塊(SIM)卡 中獲得數(shù)據(jù)以驗證所述終端的用戶是否訂購了 WLAN服務。如果用戶訂 購了 WLAN服務,則認證服務器生成OTP并通過互聯(lián)網(wǎng)經(jīng)由WLAN網(wǎng) 關(guān)節(jié)點并因此而通過WLAN將所分配的OTP發(fā)送到終端。此后,終端 將OTP提供給RADIUS服務器以實現(xiàn)WLAN接入。RADIUS服務器將所提供的OTN與所分配的OTP進行比較以確定是否準予接入。
然而,"Orbyte認證管理器"的缺點在于,在終端實際被準予接入 WLAN之前,WLAN就獲得了OTP。因此,WLAN網(wǎng)關(guān)、以及WLAN 的其他部分容易受到未授權(quán)的接入。而且,為了防止未授權(quán)的接入,要 求有大量安全措施。在WLAN由除了運營SIM對其有效網(wǎng)絡的實體以外 的另一實體運營的情況下這會特別麻煩。而且,認證服務器可經(jīng)由互聯(lián) 網(wǎng)來訪問,這使得使認證服務器容易受到未授權(quán)接入的影響并因此還要 求有大量的安全措施。
美國專利申請US 2004/0233893 (Transat技術(shù)公司)公開了用于傳
送無線網(wǎng)絡接入密碼的系統(tǒng)和方法。在所述專利申請公開的系統(tǒng)中,用 于傳送和/或分配網(wǎng)絡密碼的接入節(jié)點包括第一接口,用于將第一類型的 通信發(fā)送到在WLAN中工作的第一節(jié)點和從該第一節(jié)點接收該第一類型 的通信。該接入節(jié)點還包括第二接口,用于將第二類型的通信發(fā)送到移 動網(wǎng)絡(諸如GSM7GPRS)中的第二節(jié)點和從該第二節(jié)點接收該第二類 型的通信。接入節(jié)點可以經(jīng)由移動網(wǎng)絡從載有移動的MSISDN的移動設(shè) 備接收短消息服務(SMS)消息,并可以將SMS消息發(fā)送到載有用于 WLAN接入的所分配的OTP (—次性密碼)的移動設(shè)備。所分配的OTP 然后被輸入到WLAN以實現(xiàn)接入WLAN。
然而,從該現(xiàn)有技術(shù)文件所知的系統(tǒng)的缺點在于,為了使認證服務 器能夠生成和接收SMS消息,必須對認證服務器進行大量的修改。
而且,需要對無線客戶端和移動客戶端進行修改以實現(xiàn)自動接入(例 如生成包括移動客戶端的MSISDN在內(nèi)的短消息并發(fā)送該短消息并能夠 從接收到的SMS中提取OTP),或者用戶必須在WLAN中以手動方式輸 入所提供的OTP。
在這方面,應該注意,SMS不使用實際的電路交換GSM網(wǎng)絡,而 是經(jīng)由GSM網(wǎng)絡的信令信道(即,用以從/向移動設(shè)備發(fā)送監(jiān)視和控制 信號的信道)發(fā)送SMS消息。因此,需要大量修改,不僅為了使得能夠 發(fā)送SMS消息,而且為了以除了控制連接或在移動電話的顯示器處可視 地輸出來自信令信道的消息以外的另 一種方式處理這些消息。
6國際專利申請WO 03/088577 (諾基亞)公開了一種用于對無線局域 網(wǎng)(WLAN)中的終端的用戶進行認證的方法。在該已知的方法中,用 戶終端首先與WLAN的服務接入點(或"熱點")建立聯(lián)系,并且僅在此 之后才利用用戶的移動通信系統(tǒng)檢查用戶是否有接入權(quán)限。換句話說, 在用戶終端與其本地移動通信系統(tǒng)之間交換的消息傳送過所訪問的系 統(tǒng)。這要求用戶終端在被準予(完全)接入之前就已經(jīng)能夠進行一些(受 限的)接入。因此,必須進行適當?shù)脑O(shè)置以使得訪問用戶終端能夠?qū)Ψ?務點進行受限的接入。
國際專利申請WO 01/17310 (愛立信)公開了一種認證方法,在該 方法中使用GSM安全原理對請求接入分組數(shù)據(jù)網(wǎng)的用戶進行認證。該方 法由試圖實現(xiàn)對接入網(wǎng)的接入的用戶發(fā)起。然后,連接到該接入網(wǎng)的認 證實體將授權(quán)請求發(fā)送到認證服務器。經(jīng)由接入網(wǎng)發(fā)送到用戶的認證標 記經(jīng)由移動網(wǎng)絡被發(fā)送回認證服務器。因此,在接入網(wǎng)被準予實際的(完 全)接入之前就參與到授權(quán)過程中。因此,該已知的接入網(wǎng)必須能夠?qū)?受限的接入權(quán)限與完全的接入權(quán)限區(qū)分開。
2006年9月28日公布的國際專利申請WO 2006/101183 (松下),描 述了一種無線網(wǎng)絡中的自動安全認證系統(tǒng)。終端具有兩個通信單元用 于與接入點進行通信的第一單元,以及用于與GSM或類似網(wǎng)絡進行通信 的第二單元。接入節(jié)點能夠頒發(fā)要由終端使用的識別碼。換句話說,如 上述其他現(xiàn)有技術(shù)文獻所述,接入點在被準予實際接入之前就參與了信 息交換。

發(fā)明內(nèi)容
本發(fā)明的一個目的是提供一種用于提供第一網(wǎng)絡和第二網(wǎng)絡接入的 方法和系統(tǒng),其要求對現(xiàn)有的網(wǎng)絡和網(wǎng)絡部件進行少量的修改。因此, 根據(jù)本發(fā)明的通過利用終端來提供對第一網(wǎng)絡和第二網(wǎng)絡的接入的方法 包括以下步驟
終端在提供第一標識的同時經(jīng)由第一網(wǎng)絡請求接入第一 網(wǎng)絡, 第一網(wǎng)絡對第一標識進行驗證,如果驗證成功,則頒發(fā)第二標識,
7 終端在提供第二標識的同時經(jīng)由第一網(wǎng)絡請求接入第二網(wǎng)絡,
認證服務器對第二標識進行驗證,如果驗證成功,則頒發(fā)第三標
識,
第一網(wǎng)絡將第三標識發(fā)送到終端,以及 終端使用第三標識實現(xiàn)對第二網(wǎng)絡的接入。 通過僅訪問第一網(wǎng)絡直到準予接入第二網(wǎng)絡為止,不再必須準予部 分地和/或臨時地接入第二網(wǎng)絡。
這種方法要求較少量的修改,這是因為大多數(shù)終端已經(jīng)包括要連接 到分組交換網(wǎng)絡(例如根據(jù)IP協(xié)議工作的網(wǎng)絡)的適當?shù)能浖?或硬件, 以及要接收、發(fā)送和處理從分組交換網(wǎng)絡接收的數(shù)據(jù)和指令的軟件和/或
硬件(典型地為web瀏覽器)。而且,大多數(shù)認證服務器(例如用于允許 接入WLAN的RADIUS服務器)已經(jīng)包括要連接到分組交換網(wǎng)絡(例如 根據(jù)互聯(lián)網(wǎng)協(xié)議(IP)標準工作的網(wǎng)絡)的適當?shù)能浖?或硬件,并且 包括用于接收、發(fā)送和處理從分組交換網(wǎng)絡接收的數(shù)據(jù)和指令的軟件和/ 或硬件(例如web服務器應用程序)。因此,僅需要做出較小的修改,例 如使終端的web瀏覽器應用程序發(fā)送請求,并響應于該請求而使認證服 務器上的web服務器應用程序生成和發(fā)送認證碼。
第一標識優(yōu)選地是SIM卡標識,因此利用了存在于GSM終端和類 似終端中的標識設(shè)施。第二標識優(yōu)選地是網(wǎng)絡地址,更優(yōu)選地是IP (互 聯(lián)網(wǎng)協(xié)議)地址。這使得能夠現(xiàn)有的資源方便地進行標識。第三標識優(yōu) 選地是一次性密碼以獲得高度的安全性。
可以使用各種(類型的)網(wǎng)絡。然而,在優(yōu)選實施方式中,第一網(wǎng) 絡是無線網(wǎng)絡,優(yōu)選地是分組交換無線網(wǎng)絡(諸如GPRS網(wǎng)絡或GSM網(wǎng) 絡),而第二網(wǎng)絡是局域網(wǎng)(LAN),優(yōu)選地是無線局域網(wǎng)(WLAN)。
第二標識可以存儲在存儲器中,該存儲器還可以存儲有與第二標識 相關(guān)聯(lián)的用戶信息。如果第二標識是網(wǎng)絡地址,則用戶(和/或終端)信 息可與網(wǎng)絡地址一起存儲在適當?shù)拇鎯ζ髦校绱鎯υ贗P會話數(shù)據(jù)庫 中。用戶信息可以包括訂購信息。
當?shù)谝痪W(wǎng)絡和第二網(wǎng)絡具有不同運營商時,本發(fā)明尤其有利,因為第一網(wǎng)絡的運營商可以確定其用戶可以實現(xiàn)對哪些第二網(wǎng)絡的接入。
本發(fā)明還提供了執(zhí)行以上所限定的方法的至少一種計算機程序產(chǎn)
品。計算機程序產(chǎn)品可以包括存儲在數(shù)據(jù)載體(諸如CD或DVD)上的
一組計算機可執(zhí)行指令。使得可編程的計算機執(zhí)行以上所限定的方法的 該組計算機可執(zhí)行指令還可供例如經(jīng)由互聯(lián)網(wǎng)從遠程服務器下載。
本發(fā)明還提供了一種提供對第一網(wǎng)絡和第二網(wǎng)絡的接入的接入控制 裝置,以及包括這種接入控制裝置的網(wǎng)絡。本發(fā)明另外還提供了一種包
括第一網(wǎng)絡和第二網(wǎng)絡的系統(tǒng),該第一網(wǎng)絡被設(shè)置成
一旦從終端接收到第一接入請求和第一標識,就對所述第一標識 進行驗證,并且如果驗證成功,則頒發(fā)第二標識,以及
一旦從所述終端接收到第二接入請求和所述第二標識,就使用認 證服務器對從所述終端接收到的所述第二標識進行驗證,并且如果驗證 成功,則將第三標識發(fā)送到終端。
根據(jù)并參照下述實施方式,本發(fā)明的這些和其他方面將變得清楚并 得以闡明。在從屬權(quán)利要求中闡述了本發(fā)明的特定實施方式。


將參照附圖僅通過示例來描述本發(fā)明的進一步的細節(jié)、方面和實施 方式。
圖1示意性地示出了根據(jù)本發(fā)明的通信系統(tǒng)的示例性實施方式的框圖。
圖2示意性地示出了根據(jù)本發(fā)明的終端的示例性實施方式的框圖。 圖3示意性地示出了根據(jù)本發(fā)明的接入控制裝置的示例性實施方式
的框圖。
具體實施例方式
在本文中,以下縮寫和/或術(shù)語應理解為具有至少以下意義。無線
LAN或WLAN是如下網(wǎng)絡,在該網(wǎng)絡中移動用戶可以經(jīng)由無線(無線電) 連接而連接到局域網(wǎng)(LAN),例如符合IEEE標準802.11的網(wǎng)絡。RADIUS客戶端(其例如可以是網(wǎng)絡的接入服務器,如撥號服務器或無線接入點)
將用戶證書和連接參數(shù)信息以RADIUS消息的形式發(fā)送到RADIUS服務 器。在互聯(lián)網(wǎng)工程工作組(IESG)意見征求版(RFC) 2865 (Internet Engineering Steering Group (IESG) Request for Comments (RFC)2865 )中定 義了 RADIUS協(xié)議。RADIUS服務器對RADIUS客戶端請求進行認證和 授權(quán),并發(fā)送回RADIUS消息響應。RADIUS代理是在RADIUS客戶端、 RADIUS服務器和其它RADIUS代理之間轉(zhuǎn)發(fā)RADIUS消息的計算機。
SIM代表用戶標識模塊。SIM卡是一種插入到GSM電話中的智能卡。 SIM卡標識了網(wǎng)絡的用戶帳戶,對認證進行處理,并為基本用戶數(shù)據(jù)和 網(wǎng)絡信息提供數(shù)據(jù)存儲。
移動用戶ISDN號(MSISDN)是主叫者為了聯(lián)系上移動用戶而撥打 的號碼。國際移動臺識別碼(IMSI)是分配給GSM系統(tǒng)中的每個移動用 戶的唯一的、非撥號的號碼,它標識出了GSM網(wǎng)絡內(nèi)的用戶及其訂購。 IMSI通常存儲在SIM卡中。
服務GPRS支持節(jié)點或SGSN負責傳送來自或去往位于其服務區(qū)內(nèi) 的移動臺的數(shù)據(jù)分組。網(wǎng)關(guān)GPRS支持節(jié)點或GGSN用作主千網(wǎng)和SGSN 之間的接口。 GGSN將來自SGSN的數(shù)據(jù)分組轉(zhuǎn)換成適用于主干網(wǎng)的分 組數(shù)據(jù)協(xié)議并在主干網(wǎng)上將它們向外發(fā)送。另一方面,來自主干網(wǎng)的輸 入數(shù)據(jù)分組被轉(zhuǎn)換成適于由SGSN轉(zhuǎn)發(fā)到位于SGSN服務區(qū)內(nèi)的移動臺 的分組。GGSN還執(zhí)行認證和計費功能。通常,在SGSN和GGSN之間 具有多對多的關(guān)系。即, 一個GGSN可以針對一個或更多個SGSN工作, 并且一個SGSN可以使其分組在一個或更多個GGSN上路由以到達不同 的主干網(wǎng)。
歸屬位置寄存器或HLR包括無線網(wǎng)絡上的存儲有關(guān)于有效用戶的 相關(guān)信息(如MSISDN (即移動電話號碼)、IMSI、用戶的移動設(shè)備的接 入特許和/或當前位置)的(中央)數(shù)據(jù)庫。HLR例如可以存在于GGSN 上。
參見圖1,圖1所示的僅示例性的通信系統(tǒng)3包括分組交換第一網(wǎng) 絡1和第二網(wǎng)絡2。在圖1的例子中,分組交換第一網(wǎng)絡1是通信網(wǎng)絡,
10更具體地為分組交換移動網(wǎng)絡,例如GPRS(通用分組無線業(yè)務)或UMTS (通用移動通信系統(tǒng))網(wǎng)絡。然而,分組交換第一網(wǎng)絡可以是任何適當 類型的分組交換網(wǎng)絡。例如,分組交換第一網(wǎng)絡可以是由與第二網(wǎng)絡相 同的運營商運營的網(wǎng)絡,或者是由不同運營商運營的網(wǎng)絡。
第二網(wǎng)絡2可以是任何適當類型的網(wǎng)絡。例如,第二網(wǎng)絡可以為諸 如無線局域網(wǎng)(WLAN)之類的無線網(wǎng)絡,其可以由終端經(jīng)由無線連接 而接入。
如圖1所示的系統(tǒng)3還包括終端4和接入控制。在該示例中,接入 控制包括第一接入控制裝置和第二接入控制裝置,第一接入控制裝置包 括SGSN100、 GGSN110、 GPRS IP核心113以及認證服務器112,第二 接入控制裝置包括網(wǎng)關(guān)200、代理210、服務器220以及認證服務器112。
終端4可以如圖2所示實現(xiàn)。圖2所示的例子包括可連接到分組交 換網(wǎng)絡(例如圖1所示的第一網(wǎng)絡1)的第一終端輸出40。終端4還具 有可連接到分組交換網(wǎng)絡的終端輸入41。終端4具有可連接到另一網(wǎng)絡 (例如圖1的例子中的第二網(wǎng)絡2)的第二終端輸出42。終端4還具有 連接到終端輸入41、終端輸出40、 42的處理單元43。終端4還具有連 接到處理單元43的存儲器44。
存儲器44可以例如實現(xiàn)為SIM卡讀取器,在其中插入有適當?shù)腟IM 卡。然而,存儲器44可以按任何適當?shù)男问綄崿F(xiàn),并可以例如包括非易 失性存儲器(如SIM卡或其他類型的智能卡)。在存儲器44中,可以存 儲有用于第一網(wǎng)絡1的識別碼,例如MSISDN、 IMSI或其他適當類型的 碼。
處理單元43可以從存儲器44獲取用于接入第一網(wǎng)絡1所需的識別 碼和其他任何適當類型的信息。處理單元43還設(shè)置有適當?shù)挠布?或軟 件,借助于該適當?shù)挠布?或軟件可以在分組交換網(wǎng)絡上建立連接。例 如,處理單元43可以(例如)包括適當?shù)木W(wǎng)絡連接模塊,以連接到例如 IP網(wǎng)絡,并且處理單元43可以例如能夠運行web瀏覽器應用程序,該 web瀏覽器應用程序可以在該連接上收發(fā)數(shù)據(jù)并處理數(shù)據(jù)。例如,瀏覽 器應用程序可以向web服務器提出網(wǎng)頁請求,接收網(wǎng)頁并處理網(wǎng)頁,從而向終端4的用戶可視地輸出該網(wǎng)頁。處理單元43可以經(jīng)由第一終端輸
出40并因此而經(jīng)由第一網(wǎng)絡1將第一網(wǎng)絡的識別碼發(fā)送到接入控制。經(jīng) 由終端輸入41,處理單元43可以從接入控制接收第二網(wǎng)絡2 (例如圖l 的例子中WLAN)的所分配的認證碼。然后,所接收的碼可以在用戶接 口輸出。接著,終端認證碼可由用戶在終端以適當?shù)妮斎敕绞竭M行輸入, 以接入第二網(wǎng)絡4。終端認證碼由處理單元43從終端4經(jīng)由第二終端輸 出42發(fā)送到第二網(wǎng)絡。另選地,處理單元43可以被設(shè)置成將所接收的 碼自動轉(zhuǎn)發(fā)到第二網(wǎng)絡作為認證碼。
圖3示意性地示出了接入控制裝置5的例子。在圖3中,接入控制 裝置5示出為單個實體,然而應該注意到,例如如圖1所示,接入控制 裝置5可以包括幾個獨立的實體,例如以適當?shù)姆绞奖舜诉B接的SGSN 100、 GGSN110等。
在圖3中,接入控制裝置5包括控制輸入50,其用于經(jīng)由分組交換 第一網(wǎng)絡接收對認證碼的請求。認證碼生成器51連接到控制輸入50。認 證碼生成器51可以響應于該請求而生成為第二網(wǎng)絡2分配的認證碼。認 證碼生成器51連接到與第一網(wǎng)絡相連接的控制輸出52。通過控制輸出 52,認證碼可以經(jīng)由第一網(wǎng)絡1發(fā)送到終端4。
接入控制裝置5還包括連接到認證碼生成器51和第二網(wǎng)絡2的認證 控制器53。認證控制器53能夠啟用所分配的認證碼。即,在啟用了認證 碼的情況下,當?shù)诙W(wǎng)絡2接收到與所分配的認證碼相對應的認證碼時, 將允許終端4接入第二網(wǎng)絡2。在該示例中,認證控制器53連接到認證 碼處理器54,并且認證控制器53將所生成的或所分配的認證碼發(fā)送到認 證碼處理器54。
認證控制器系統(tǒng)5進一步包括認證控制器輸入55。認證控制器輸入 55連接到第二網(wǎng)絡2??梢栽谡J證控制器輸入55處接收由終端4通過第 二網(wǎng)絡2發(fā)送的終端認證碼。認證碼處理器54連接到認證控制器輸入55 。 認證碼處理器54可以將接收的終端認證碼與所分配的認證碼進行比較。 認證碼向連接到認證碼處理器53的第二接入控制56輸出比較的結(jié)果。 當終端認證碼對應于所分配的認證碼時,第二接入控制56允許接入第二網(wǎng)絡4。應當注意的是,此處使用的術(shù)語"對應"不一定意味著完全相同的 認證碼。在特定情況下,認證碼之間的不一致是可以接受的。然而,優(yōu) 選的是,認證碼應當充分相同以排除大多數(shù)或所有欺騙性的或惡意的接 入企圖。
接入控制裝置5可以進一步包括控制第一網(wǎng)絡接入的結(jié)構(gòu)。在圖1
的例子中,它是借助于SGNSN 100和GGSN 110實現(xiàn)的并與控制第二網(wǎng) 絡接入的實體(即網(wǎng)關(guān)200、代理210、服務器220和認證服務器112) 分離。然而,在圖3中,框圖示出為單個實體以更清楚地標識出在系統(tǒng)3 中可以存在控制第一 網(wǎng)絡接入的哪些單元。
在圖3中,接入控制裝置5經(jīng)由控制輸入50從終端4接收識別碼。 如圖3所示,驗證處理器57連接到控制輸入50。驗證處理器57可以依 據(jù)驗證準則來檢査接收到的識別碼。例如,在圖1中,SGSN100從諸如 HLR (歸屬位置寄存器)之類的存儲器101獲取用戶信息,并根據(jù)接收 到的識別碼確定是否準予接入第一網(wǎng)絡1。接入控制單元58連接到驗證 處理器57。當識別碼滿足驗證準則時,接入控制單元58允許終端4接入 第一網(wǎng)絡l,并且當識別碼不滿足驗證準則時,終止終端4接入第一網(wǎng)絡 1。接入控制單元58連接到控制輸出52以發(fā)送適于允許或終止接入的信 號。
在圖1的例子中,可以執(zhí)行根據(jù)本發(fā)明的方法。這種方法包括提供 對第一網(wǎng)絡1的接入和當提供了對第一網(wǎng)絡1的接入時提供對第二網(wǎng)絡2 的接入。提供對第一網(wǎng)絡1的接入可以形成提供對第二網(wǎng)絡2的接入的 方法的一部分。然而,在提供對第二網(wǎng)絡2的接入之前,例如在終端4 能夠連接到第二網(wǎng)絡2之前,終端可能己經(jīng)接入了第一網(wǎng)絡1 一個(長 的)時段。因此,在終端實際接入第二網(wǎng)絡之前,可以(確實)允許接 入第二網(wǎng)絡。
例如可以通過從終端4發(fā)送用于接入第一網(wǎng)絡的識別碼ID1來提供 對第一網(wǎng)絡i的接入。識別碼ID1可以伴隨著接入請求RQ1或者包含在 請求RQ1中。
識別碼ID1被發(fā)送到第一網(wǎng)絡,在該第一網(wǎng)絡中,例如在圖1的例
13子中的SGSN 100和GGSN 110處,依據(jù)驗證準則對識別碼ID1進行檢査。 例如,在圖1的例子中,終端4可以發(fā)送MSISDN禾口/或IMSI, SGSN 100 等可以將該MSISDN和/或IMSI與存儲在HLR 101中的信息進行比較。 在識別碼是正確的情況下,例如該MSIDSN禾n/或IMSI屬于連接到SGSN 100的網(wǎng)絡的用戶且終端沒有列入被盜的數(shù)據(jù)庫中,SGSN 100提供接入。 (當然,另一方面,在例如終端列為被盜或識別碼不正確的情況下,艮口, 識別碼不滿足驗證準則,由SGSN終止終端接入第一網(wǎng)絡)。在SGSN 100 已經(jīng)允許接入后,GGSN可以對識別碼進行驗證,以允許接入將認證服 務器連接到GGSN的分組交換網(wǎng)絡。GGSN例如可以執(zhí)行提供對GPRS IP 網(wǎng)絡的接入所需的計費、認證和管理(AAA)網(wǎng)絡安全服務。在圖1的 例子中,例如,GPRS IP核心網(wǎng)113經(jīng)由SGSN 100和GGSN 110將認證 服務器112連接到終端4。應當注意的是,GSM/GPRS網(wǎng)絡組合了語音 和數(shù)據(jù)通信網(wǎng)絡,其中,SGSN控制對整個網(wǎng)絡的接入,而GGSN可以 視為用于接入數(shù)據(jù)通信網(wǎng)絡的控制節(jié)點,例如圖1中的GPRS IP核心113。
以前,在實現(xiàn)對第一網(wǎng)絡1的接入期間或之后,可以將第一網(wǎng)絡1 的網(wǎng)絡地址分配給終端4,并且可以為終端4提供表示第一網(wǎng)絡1中的認 證服務器的網(wǎng)絡地址的數(shù)據(jù)。例如在圖1的例子中,GGSN和域SGSN 通過動態(tài)主機配置協(xié)議(DHCP)將IP地址或適用于特定類型網(wǎng)絡的任 何其他類型的網(wǎng)絡地址分配給終端4。
在提供對第一網(wǎng)絡的接入后,可以啟動用于實現(xiàn)對第二網(wǎng)絡的接入 的過程。如所述,在實現(xiàn)對第二網(wǎng)絡的接入和提供對第一網(wǎng)絡的接入之 間存在一個時間間隔。此外,可以提前請求和準予對第二網(wǎng)絡的多個接 入。
由于例如在圖1中由SGNS IOO和GGSN 110來驗證和控制對第一 網(wǎng)絡1的接入,認證服務器112不必對識別碼進行驗證,而僅需要關(guān)于 終端4的標識的信息以將第二網(wǎng)絡2的認證碼分配給終端4。因此,為獲
得該信息僅需要對認證服務器進行少量修改,而不需要對第一網(wǎng)絡l (例 如對SGSN100和GGSN110)進行修改。在圖1的例子中,認證服務器 112連接到存儲器(在圖1中為IP會話數(shù)據(jù)庫lll),其中GGSN存儲有
14與終端和/或終端的用戶的標識有關(guān)的信息以及終端的網(wǎng)絡地址(例如IP 地址)。
可以通過從終端4經(jīng)由分組交換第一網(wǎng)絡1向認證服務器112發(fā)送
對認證碼的接入請求RQ2來提供對第二網(wǎng)絡2 (例如圖1的例子中的 WLAN)的接入。響應于請求RQ2,認證服務器112可以生成為第二網(wǎng) 絡2 (例如圖1的例子中的WLAN)分配的認證碼ID3,并啟用所分配的 認證碼。即,在啟用認證碼ID3的情況下,當由第二網(wǎng)絡2 (例如圖1 的例子中的WLAN)接收到與所分配的認證碼ID3相對應的認證碼時, 將允許終端4接入第二網(wǎng)絡2。在圖1的例子中,例如,認證服務器可以 根據(jù)請求RQ2確定該請求的源,例如通過確定發(fā)起請求RQ2的IP地址。 認證服務器112可以,例如,從IP會話數(shù)據(jù)庫111獲取關(guān)于與所確定的 IP地址相關(guān)聯(lián)的用戶的標識的信息ID2,例如與所確定的IP地址相關(guān)聯(lián) 的MSISDN或IMSI。
基于關(guān)于用戶的標識的信息ID2或IP地址本身,認證服務器112可 以確定是否允許終端獲得第二網(wǎng)絡2的認證碼。例如,在與所確定的IP 地址相關(guān)聯(lián)的MSISDN和IMSI都不存在于IP會話數(shù)據(jù)庫111中的情況 下,認證服務器112可以確定該請求是欺騙性的并可以終止該過程。此 外,在與所確定的IP地址相關(guān)聯(lián)的MSISDN和IMSI揭示出用戶沒有經(jīng) 由第二網(wǎng)絡2訂購服務的情況下,認證服務器4可以終止該過程。
在認證服務器112繼續(xù)該過程的情況下,例如當IP地址對應于經(jīng)由 第二網(wǎng)絡2訂購了服務的用戶的MSISDN或IMSI時,認證服務器112 經(jīng)由分組交換第一網(wǎng)絡1可選地以加密的形式將認證碼ID3發(fā)送到終端 4。例如,在圖l的例子中,認證服務器112可以根據(jù)在加密套接層傳輸 協(xié)議(https)上的超文本將認證碼作為安全超文本文檔發(fā)送到請求的IP 地址。終端4可以在用戶接口輸出接收的認證碼ID3。用戶可以在發(fā)覺了 接收的認證碼(例如以可視方式或作為語音)后,接著將終端的認證碼 輸入到運行在終端4 ±的授權(quán)應用程序中,用于接入第二網(wǎng)絡2。
然而,終端4還可能自動地將接收到的認證碼輸入授權(quán)應用程序中 作為終端認證碼。例如,在終端上運行的web瀏覽器應用程序最初可以向認證服務器請求網(wǎng)頁,并且認證服務器可以響應于該請求將網(wǎng)頁發(fā)送 到終端,該網(wǎng)頁包含了第二網(wǎng)絡的填入了認證碼的登錄腳本。 一旦接收 到該網(wǎng)頁,終端的web瀏覽器程序就執(zhí)行登錄腳本并將預先填入的認證 碼發(fā)送到第二網(wǎng)絡2。
對第二網(wǎng)絡2的這種自動接入允許所謂的"無縫漫游"。在"無縫漫游" 中,終端4在網(wǎng)絡間自動切換,例如以切換到更適合的網(wǎng)絡,而不影響
終端的用戶。為了便于無縫漫游,例如,終端可以進一步設(shè)置有檢測器, 該檢測器可以自動檢測是否存在第二網(wǎng)絡。此后,可以自動實現(xiàn)對第二 網(wǎng)絡的接入,并且可以使用第二網(wǎng)絡來代替第一網(wǎng)絡從終端發(fā)送和接收 數(shù)據(jù)。此外,分配給所述終端用于第一網(wǎng)絡的網(wǎng)絡地址可以與分配給所 述終端用于所述第二網(wǎng)絡的網(wǎng)絡地址相同。并且,可以對終端進行控制, 使得當終端到了第二網(wǎng)絡的范圍之外時,使用第一網(wǎng)絡或另一網(wǎng)絡代替 第二網(wǎng)絡來發(fā)送或接收數(shù)據(jù)。
在第二網(wǎng)絡中,然后將終端認證碼與所分配的認證碼進行比較,當 終端認證碼對應于所分配的認證碼時,可以允許終端接入第二網(wǎng)絡。例
如,在圖1的例子中,終端4將終端認證碼可選地與諸如用戶名、終端 網(wǎng)絡地址之類的其他數(shù)據(jù)一起,發(fā)送到第二網(wǎng)絡2的網(wǎng)關(guān)200。終端4可 以例如發(fā)送包含終端認證碼的接入請求和可選的其他數(shù)據(jù)。
在第二網(wǎng)絡2中接收接入請求。例如,可以在第二網(wǎng)絡中的第一節(jié) 點處接收接入請求,并可以基于接收到的認證碼選擇第二節(jié)點,此后, 將接收到的認證碼從第一節(jié)點轉(zhuǎn)發(fā)到所選擇的第二節(jié)點。例如在圖1的 例子中,響應于接入請求,網(wǎng)關(guān)將必要數(shù)據(jù)轉(zhuǎn)發(fā)到認證服務器。例如, 網(wǎng)關(guān)可以根據(jù)接入請求可以確定適當?shù)恼J證服務器,例如,在用戶名是 user@provider.com類型的情況下,網(wǎng)關(guān)200可以將接入請求轉(zhuǎn)發(fā)到提供 商的網(wǎng)絡。例如在圖1的例子中,網(wǎng)關(guān)200可以經(jīng)由RADIUS代理210 將請求轉(zhuǎn)發(fā)到RADIUS服務器220。 RADIUS代理210例如可由與網(wǎng)關(guān) 200相同的運營商來運營,并可以包括與網(wǎng)關(guān)運營商達成協(xié)議的提供商的 RADIUS服務器的地址和名稱以及那些提供商的標識(例如在用戶名中 的符號"@"后的字符串)。RADIUS代理210例如可以從網(wǎng)關(guān)200接收接入請求,并根據(jù)用戶名確定相關(guān)聯(lián)的RADIUS服務器,并將對第二網(wǎng)絡
2的接入請求發(fā)送到該RADIUS服務器。RADIUS服務器220接收接入
請求,并且例如基于終端的IP地址或終端的用戶的標識,從認證服務器
檢索出哪個認證碼已經(jīng)分配給終端。RADIUS服務器將所分配的認證碼
與終端認證碼進行比較,并將"準予接入"消息或"拒絕接入"消息發(fā)送到網(wǎng)
關(guān)200。響應于該消息,網(wǎng)關(guān)200允許接入或拒絕接入。如虛線箭頭所示,
也可以不經(jīng)由服務器220 (和/或代理210)對網(wǎng)關(guān)200與認證服務器112
之間的通信進行路由。
在第一網(wǎng)絡具有不同于所述第二網(wǎng)絡的另一運營商的情況下,第二
節(jié)點(例如在該例中的RADIUS服務器220)可以包括存儲有與終端4 的用戶對第二網(wǎng)絡的使用有關(guān)的信息的存儲器,從而對第二網(wǎng)絡的使用 向用戶收費。對第二網(wǎng)絡的收費可以與對第一網(wǎng)絡的收費合并在一起。 由此,減少了管理負擔,這是因為不會由幾個實體向用戶收費。
所分配的認證碼例如可以為一次性密碼(OTP)。通常,在諸如酒吧、 餐館、車站、機場等的公共場所設(shè)置有WLAN。因此,WLAN的用戶會 相對短時間地連接到WLAN,并且大量的不同用戶將連接到WLAN,以 及用戶例如在旅行時將連接到不同的WLAN。 WLAN通常由除了用戶向 其訂購的團體(例如移動運營商)以外的不同實體運營。因而,在為用 戶提供能使用一次以上的認證碼的情況下,在大量WLAN中會輸入相同 的認證碼并因此而引起很大的安全風險,或者用戶僅能夠使用非常有限 數(shù)量的WLAN。因而,提供OTP減小了安全風險和/或增加了能夠使用 的WLAN的數(shù)量。
終端4可以檢測是否存在第二網(wǎng)絡。例如,終端可以包括適用于第 二網(wǎng)絡的發(fā)射機/接收機,并且圖2的例子中的處理單元43可以能夠檢測 從第二網(wǎng)絡接收的信號并發(fā)起與第二網(wǎng)絡(例如網(wǎng)關(guān)200)的通信。在以 本方法檢測到存在第二網(wǎng)絡的情況下,可選的是,在允許從終端接入第 一網(wǎng)絡后一段時間,并且可選的是,在終端的用戶接口請求允許用戶發(fā) 送該請求后,終端4自動地將接入請求發(fā)送到網(wǎng)關(guān)。
本發(fā)明還可以實現(xiàn)在運行在計算機系統(tǒng)上的計算機程序中,該計算
17機程序至少包括代碼部分,該代碼部分用于執(zhí)行當在可編程設(shè)備(例如 計算機系統(tǒng))上運行時根據(jù)本發(fā)明的方法的步驟,或者使得可編程設(shè)備 能夠執(zhí)行根據(jù)本發(fā)明的設(shè)備或系統(tǒng)的功能??梢栽诖鎯τ锌杉虞d到計算
機系統(tǒng)的存儲器中的數(shù)據(jù)的數(shù)據(jù)載體(諸如CD—ROM或盤)上提供這
種計算機程序,該數(shù)據(jù)代表計算機程序。該數(shù)據(jù)載體還可以是諸如電話 線或無線連接之類的數(shù)據(jù)連接。
在上述說明中,已經(jīng)參照本發(fā)明的實施方式的特定實施例描述了本 發(fā)明。然而,顯而易見的是,在不脫離所附權(quán)利要求中所闡述的本發(fā)明 的更廣泛的精神和范圍的情況下,可以在其中做出各種修改和變化。例
如,在圖l所示的實施方式中,第一網(wǎng)絡1可以包括UMTS網(wǎng)絡等來代 替GPRS網(wǎng)絡。并且,終端例如可以包括筆記本計算機、個人數(shù)字助理 或其他適當?shù)难b置。
此外,本發(fā)明不限于以非可編程的硬件實現(xiàn)的物理設(shè)備或單元,而 是還可以應用于能夠通過根據(jù)適當?shù)某绦虼a工作以執(zhí)行所期望的設(shè)備 功能的可編程設(shè)備或單元。而且,該設(shè)備可以在物理上分布于多個設(shè)備 上,而在功能上作為單個設(shè)備工作。例如,圖3所示的接入控制裝置5 在第一網(wǎng)絡i中的獨立的節(jié)點上實現(xiàn),例如圖1所示的SGSN 100、GGSN
110以及認證服務器112。此外,在功能上形成獨立設(shè)備的多個設(shè)備可集 成在單個物理設(shè)備中。例如,RADIUS服務器220和認證服務器112可 實現(xiàn)為第二網(wǎng)絡中的單個節(jié)點。
此外,第一網(wǎng)絡可以包括任何適當類型的移動通信網(wǎng)絡,并且例如 包括GPRS或UMTS網(wǎng)絡。此外,第一網(wǎng)絡和第二網(wǎng)絡中的一個或更多 個可以是(至少部分地是)諸如無線局域網(wǎng)的無線數(shù)據(jù)網(wǎng)絡。而且,第 一網(wǎng)絡可以具有不同于(部分)第二網(wǎng)絡的另一運營商。例如在圖1的
例子中,第二網(wǎng)絡2的包括網(wǎng)關(guān)200和代理210的第一部分21可以由不 同于第一網(wǎng)絡1以及第二網(wǎng)絡2的包括RADIUS服務器220的第二部分 22的實體運營,如圖1中的虛線所示。類似地,第一網(wǎng)絡1可以由第一 部分11和第二部分12組成,該第一部分11和第二部分12由不同的實 體運營。然而,其他修改、變型和替換也是可能的。因而,說明書和附圖應 當視為說明性的而不是限制性的。
在權(quán)利要求中,置于括號中的任何附圖標記不應理解為對權(quán)利要求 的限制。詞語"包括"并不排除存在除了權(quán)利要求中列出的部件或步驟之 外的部件或步驟。而且,詞語"一個"不應理解為"只有一個",而是用于說 明"至少一個",且并不排除有多個。特定手段記載在互不相同的權(quán)利要 求中這一事實并不表示不能利用這些手段的組合。
權(quán)利要求
1. 一種使用終端(4)提供對第一網(wǎng)絡和第二網(wǎng)絡(1,2)的接入的方法,該方法包括以下步驟·所述終端(4)在提供第一標識(ID1)的同時經(jīng)由所述第一網(wǎng)絡(1)請求(RQ1)接入所述第一網(wǎng)絡,·所述第一網(wǎng)絡對所述第一標識進行驗證,并且如果驗證成功,則頒發(fā)第二標識(ID2),·所述終端(4)在提供所述第二標識(ID2)的同時經(jīng)由所述第一網(wǎng)絡(1)請求(RQ2)接入所述第二網(wǎng)絡(2),·認證服務器(112)對所述第二標識進行驗證,并且如果驗證成功,則頒發(fā)第三標識(ID3),·所述第一網(wǎng)絡(1)將所述第三標識(ID3)發(fā)送到所述終端(4),以及·所述終端(4)使用所述第三標識(ID3)實現(xiàn)對所述第二網(wǎng)絡(2)的接入。
2. 根據(jù)權(quán)利要求1所述的方法,其中所述第一標識(ID1)是SIM 卡標識。
3. 根據(jù)權(quán)利要求1或2所述的方法,其中所述第二標識(ID2)是 網(wǎng)絡地址,優(yōu)選地是IP地址。
4. 根據(jù)權(quán)利要求l、 2或3所述的方法,其中所述第三標識(ID3) 是一次性密碼。
5. 根據(jù)前述權(quán)利要求中任意一項所述的方法,其中,所述第一網(wǎng)絡 (1)是無線網(wǎng)絡,優(yōu)選地是GPRS網(wǎng)絡或GSM網(wǎng)絡,和/或其中所述第二網(wǎng)絡(2)是局域網(wǎng),優(yōu)選地是無線局域網(wǎng)。
6. 根據(jù)前述權(quán)利要求中任意一項所述的方法,其中,所述第二標識 (ID2)存儲在存儲器(111)中,該存儲器還存儲有與所述第二標識相關(guān)聯(lián)的用戶信息。
7. 根據(jù)前述權(quán)利要求中任意一項所述的方法,該方法進一步包括以下步驟將所述認證服務器(112)的網(wǎng)絡地址提供給所述終端(4)。
8. 根據(jù)前述權(quán)利要求中任意一項所述的方法,該方法進一步包括以 下步驟 所述第二網(wǎng)絡(2)在第一節(jié)點(200)接收所述第三標識(ID3),以及 所述第一節(jié)點將所述第三標識(ID3)轉(zhuǎn)發(fā)到所述第二網(wǎng)絡的所選 擇的第二節(jié)點(220),所述第二節(jié)點(220)連接到所述第一網(wǎng)絡(1),其中,優(yōu)選的是使用接收的所述第三標識(ID3)來選擇所述第二節(jié) 點(220)。
9. 根據(jù)前述權(quán)利要求中任意一項所述的方法,其中所述第一網(wǎng)絡(l) 和所述第二網(wǎng)絡(2)由不同的運營商運營。
10. 根據(jù)前述權(quán)利要求中任意一項所述的方法,其中在所述終端(4) 檢測到所述第二網(wǎng)絡(2)時自動執(zhí)行該方法。
11. 一種用于執(zhí)行根據(jù)權(quán)利要求1-10中任意一項所述的方法的計算 機程序產(chǎn)品。
12. —種用于提供對第一網(wǎng)絡(1)和第二網(wǎng)絡(2)的接入的接入 控制裝置(5),該接入控制裝置包括 用于將第一接收標識(ID1)與第一分配標識進行比較的第一驗證 處理器單元(54), 連接到所述驗證處理器單元(54)以提供對所述第一網(wǎng)絡(1)的 接入的第一接入控制單元(58), 用于將第二接收標識(ID2)與第二分配標識進行比較的第二驗證 處理器單元(54), 連接到所述第二驗證處理器單元(54)以提供對所述第二網(wǎng)絡(2) 的接入的第二接入控制單元(53)。
13. —種通信網(wǎng)絡(1),其包括根據(jù)權(quán)利要求12的接入控制裝置(5)。
14. 一種包括第一網(wǎng)絡(1)和第二網(wǎng)絡(2)的系統(tǒng)(3),該第一 網(wǎng)絡被設(shè)置成 從終端(4)接收到第一接入請求(RQ1)和第一標識(ID1)時,對所述第一標識(ID1)進行驗證,并且如果驗證成功,則頒發(fā)第二標識(ID2)"以及 從所述終端(4)接收到第二接入請求(RQ2)和所述第二標識(ID2) 時,使用認證服務器(112)對從所述終端(4)接收到的所述第二標識 (ID2)進行驗證,并且如果驗證成功,則將第三標識(ID3)發(fā)送到終 端(4)以允許接入所述第二網(wǎng)絡(2)。
全文摘要
一種提供對第一和第二網(wǎng)絡(1,2)的接入的方法,包括以下步驟終端(4)在提供第一標識(ID1)的同時經(jīng)由第一網(wǎng)絡(1)請求(RQ1)接入第一網(wǎng)絡,第一網(wǎng)絡驗證第一標識,如果驗證成功,則頒發(fā)第二標識(ID2),終端(4)在提供第二標識(ID2)的同時經(jīng)由第一網(wǎng)絡(1)請求(RQ2)接入第二網(wǎng)絡(2),認證服務器(112)驗證第二標識,如果驗證成功,則頒發(fā)第三標識(ID3),第一網(wǎng)絡(1)將第三標識(ID3)發(fā)送到終端(4),終端(4)使用第三標識(ID3)實現(xiàn)對第二網(wǎng)絡(2)的接入。第一標識(ID1)可以是SIM卡標識,第二標識(ID2)可以是網(wǎng)絡地址,而第三標識(ID3)可由一次性密碼構(gòu)成。
文檔編號H04W88/04GK101473670SQ200780022860
公開日2009年7月1日 申請日期2007年6月19日 優(yōu)先權(quán)日2006年6月19日
發(fā)明者邁克爾·羅伯特·申克 申請人:荷蘭應用自然科學研究組織
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1