用于接入专用数据通信 网的安全接入方法及相关设备 本发明一般涉及无线主机与位于网络的设备之间的通信。更具体地,本发明涉及用于允许无线主机接入诸如专用IP网的专用数据通信网的方法和相关设备。
在专用数据通信网由专用IP网形成的实施例中,专用IP网耦合到由诸如蜂窝通信系统的无线通信系统的网络基础结构形成的无线接入网。一旦允许无线主机接入专用IP网,则由专用IP网给无线主机分配IP地址。在专用IP网络上接入的信息利用由专用IP网分配的IP地址寻址到此无线主机。
由无线主机发出的由无线主机接入专用IP网的请求首先发送到无线接入网。执行验证程序以确认允许无线主机利用无线接入网通信。如果此无线主机被验证,就将识别无线主机的无线主机识别(WHI)传送给专用IP网。如果WHI识别允许接入专用IP网的无线主机,则允许此无线主机接入此专用IP网,此专用IP网随后给此无线主机分配一个IP地址,此IP地址用于寻址数据给此无线主机。
提供一种用于接入专用IP或其他数据通信网的简单和有效的方法。WHI用于在无线接入网和专用IP网中识别无线主机。当WHI存储在无线接入网时,则不必通过空中接口发送给无线接入网基础结构。并且,如果允许此无线主机接入专用IP网,则由专用IP网给此无线主机分配一个IP地址,此IP地址能动态地分配给无线主机,而且不必永久地给此无线主机分配单独的IP地址。
【发明背景】
通信技术地发展已允许显著改善能用于在发送与接收站之间传送数据的方法。
例如,在无线电通信中,数字通信技术的发展已允许引入和推广新类型的通信系统。例如,利用数字通信技术的蜂窝通信系统已在许多地区安装并被广泛使用。
通信技术的发展也已促进计算机系统的分散化。处理装置能分布在单独的位置并通过网络连接连接在一起。分布式处理装置之间的网络连接及其之间的通信例如已加速诸如互联网的IP网的出现和广泛利用。已同样形成了其他的专用数据通信网。
通信技术中的发展也允许无线与网络连接的通信系统的合并。例如,诸如便携式计算机的终端设备有可能通过无线链路耦合到无线通信系统的网络基础结构,并且又利用网络连接耦合到互联网(Internet)连接的网络设备。所以终端设备形成至互联网连接的网络设备的无线主机,由于不能与终端设备形成诸如硬连接的物理链路。
专用IP网由一组利用网络连接连接在一起的网络设备组成,但限制这些设备对网络的接入。专用IP网的数量正在增加,并且利用无线主机接入这些专用IP网的需求日益增加。其他数据通信网的数量增加,并且利用无线主机接入这些通信网的需求日益增加。
由于专用网的限制接入特性,需要保证此无线主机被授权接入此专用网。而且,如果此无线主机被授权接入此专用网,相应需要保证无线主机正确接收接入专用网的可接受电平。也就是说,此无线主机应看作虚拟主机,给定与实际耦合到这样的网络的主机所给定的电平相同的接入专用网的电平。
由于无线主机至专用数据通信网的网络设备的耦合包括无线链路,所以必须利用地址来识别无线主机,以便能传送数据给此主机。在其中无线主机能与网络设备通信的一些现有通信系统中,动态分配无线主机的地址。也就是说,例如,在专用数据通信网由专用IP网组成的实施例中,不是给无线主机分配永久的IP地址,而是在要传送数据给此无线主机时给此主机分配临时IP地址。IPv6动态IP地址分配是用于动态分配IP地址给无线主机的分配方法的示例。在这种方法中,为了提供无线主机的固定识别,分配DNS(域名系统)名。DNS名是提供给无线主机和连到IP网的其他设备的符号名。
无线主机能接入专用IP网的一种方式是利用从无线主机至专用IP网的拨出连接。一旦形成交换连接,利用口令识别此无线主机。
无线主机有时能接入专用IP网的另一种方式是利用验证隧道(tunnel)接入专用IP网。无线主机利用验证隧道连到专用IP网,并且在专用IP网上利用识别与口令来验证此无线主机。这样的隧穿方法有时称为“层2隧穿”。Micro_Soft公司开发的PPTP系统、SyscoSystems开发的L2F系统以及IETF开发的L2TP系统涉及隧穿PPP。
无线主机接入专用IP或其他数据通信网的现有方法要求大量的协议开销。如在带宽限制的通信系统中,协议开销是带宽消耗的。
当无线主机利用蜂窝通信系统的网络基础结构接入专用网时,网络基础结构部分起着无线接入网的作用。例如,当专用数据通信网形成专用IP网时,需要两个IP地址来允许无线主机与专用IP网之间的通信。在由网络基础结构部分形成的无线接入网需要第一IP地址,并且在专用IP网需要第二IP地址。从而,要求此无线主机属于两个网络,即接入IP网络与专用IP网。结果,必须给此无线主机分配两个IP地址。如果在这两个网络中使用DNS,也必需在这两个网络中分配DNS名。
层2隧穿方法要求形成具有三个附加层的协议栈,这三个附加层是PPP层,层2隧穿层和基本IP层。由于这样的附加协议层而导致的协议开销是带宽消耗的,这样的要求在带宽有限系统中一般是不希望的。
一些无线主机另外能利用电路交换以及分组交换连接传送分组数据。GSM(全球移动通信系统)蜂窝通信系统是允许其中无线主机可操作的利用分组交换并且也利用电路交换连接传送分组数据的蜂窝通信系统的示例。提供一种允许无线主机利用相同的接入程序接入专用IP或其他数据通信网而不管要在其间传送的数据类型的方法将是有益的。
在用于提供无线主机接入例如专用IP网的常规方法中,直接进行至专用IP网的拨号连接。例如,可以进行至专用IP网的远程接入服务器的那个连接。与拨号连接相关的电话费用可以是显著的。例如,如果在蜂窝通信系统的网络基础结构与专用IP网之间要求LATA之间的交换连接等,则可能收取长途电话费来形成拨号连接。当然,希望无线主机能接入尽可能靠近此无线主机所在位置的无线接入网,并随后利用此无线接入网与专用IP网之间的IP传输。
更好地允许无线主机接入专用数据通信网以便在其间传送分组数据的方法将是有利的。
本发明的显著改进涉及与无线主机接入和专用IP网有关的此背景信息。
发明概述
本发明有益地提供一种用于允许无线主机接入诸如专用IP网的专用数据通信网的方法和相关设备。本发明还有益地提供一种一旦同意接入专用网就动态分配临时地址给无线主机的方法和相关设备,此动态分配的地址用于寻址要传送给此无线主机的数据。
在本发明的一个方面中,无线主机利用空中接口耦合到诸如GSM网络的PLMN(公用陆地移动网)的网络基础结构。PLMN又耦合到专用IP网。网络基础结构从而形成无线接入网。当无线主机请求接入专用IP网时,首先在由PLMN的网络基础结构形成的无线接入网上验证通信,执行验证程序以确认允许利用无线接入网的通信。如果验证程序确认允许这样的通信,则先前存储在无线接入网上并识别无线主机的无线主机识别(WHI)传送给专用IP网,如果提供给专用IP网的无线主机识别对应于允许接入专用IP网的无线主机的识别,则专用IP网允许接入无线主机。由专用IP网给此无线主机分配一个IP地址,这样的IP地址用于寻址传送给此无线主机的数据,此IP地址可以是动态分配的地址,用于在所选的时间临时识别此无线主机。
从而,不要求无线主机具有单独的IP识别来接入无线接入网。相反地,存储在由PLMN基础结构形成的无线接入网上的无线主机识别用于在专用IP网上识别此无线主机。此无线主机识别可以例如作为无线接入网中的鉴约数据来提供。例如,由专用IP网的操作员选择无线主机识别,并且此无线主机识别根据专用IP网操作员与PLMN操作员之间的协议提供给PLMN的网络基础结构并存储在此基础结构上。
一旦提供至专用IP网的接入,就由专用IP网而不是由PLMN提供无线主机的IP地址。允许此无线主机变成专用IP网的虚拟主机,从而保证用户与专用IP网的包括安全和防火墙的主机环境应同样适用于此无线主机。在PLMN与专用IP网之间使用IP隧穿。IP遂道能利用验证过程或通过安排PLMN与专用IP网操作员之间的安排的安全传输来保证安全。遂道验证密钥可以与WHI一起存储在HLR、SIM卡或无线主机,以提供无线主机识别以及其他数据的安全传输。然而,遂穿不扩展到空中接口。相反地,特定于空中接口传输协议用于在无线主机与PLMN的网络基础结构之间传送数据报。
因此,在这些和其他方面中,安全接入方法及实施此方法的相关设备利用远程通信站接入专用数据通信网。一旦提供接入,就在专用数据通信网与远程通信站之间传送数据,此专用数据通信网耦合到无线通信系统的网络基础结构。远程通信站识别存储在无线通信系统的网络基础结构上。由远程通信站生成登记请求来请求远程通信站的登记,以便接入网络基础结构来允许利用此基础结构的数据通信。在网络基础结构上检测此登记请求。验证远程通信站以确认授权远程通信站利用网络基础结构通信。如果验证远程通信站,其中由远程通信站识别来识别此远程通信站,就将网络接入请求传送给专用数据通信网。为响应网络接入请求,确定是否允许远程通信站接入专用数据通信网。并且,如果确定允许此远程通信站接入专用网,则允许此远程通信站接入此专用数据通信网。在同意允许接入专用数据通信网之后,可以给此无线主机分配一个地址,诸如临时地址。
从下面简单概括的附图、之后本发明目前优选实施例的具体描述和所附的权利要求书中能更全面理解本发明及其范围。
附图简述
图1表示其中本发明一个实施例可操作的通信系统的功能方框图;
图2表示在无线主机与专用IP网之间传送的数据的路由选择的逻辑功能方框图;
图3表示包括本发明一个实施例分配用于寻址传送给无线主机的数据的地址的专用IP网的功能方框图;
图4表示本发明实施例方法的方法步骤的逻辑流程图。
详细描述
首先参见图1,一般以10表示的通信系统允许远程通信站12与专用IP网14之间的数据通信。专用IP网14在这里形成允许有选择地接入的专用内联网。在远程通信站12允许接入专用IP网14时,能在其间传送数据。在一个实施例中,在远程通信站12与专用IP网14之间传送分组数据。虽然在图中所示的示例性实施例中示出专用IP网,但在其他实施例中,能通过本发明实施例的操作同样接入其他类型的专用数据通信网。因此,虽然下面的描述结合专用IP网14来说明,但应理解,本发明也可用于允许接入其他数据通信网。
在此图中所示的示例性实施例中,通信系统10由GSM(全球移动通信系统)蜂窝通信系统组成,此GSM通信系统的网络基础结构形成专用IP网14所耦合的无线接入网。在其他实施例中,通信系统10可选择地由其他结构组成。
无线通信站10包括无线收发信机,这里为GSM移动终端16。此移动终端16包括SIM(用户识别模块)卡18,它插入或连到移动终端16,在这里利用线22表示。
SIM卡18包括以常规方式存储验证信息的存储位置24,此SIM卡18还包括用于存储专用IP网14地址的存储位置26。在本发明的一个实施例中,此SIM卡还包括用于存储WHI(无线主机识别符)的存储位置28,其他用户数据能另外存储在SIM卡18的其他存储位置上。
这里移动终端16利用线路34耦合到无线主机32。在一个实施例中,无线主机32形成便携式计算机,它能利用专用IP网14的网络设备接收传送给它的数据。无线主机32可以选择地利用例如红外耦合器的无触点耦合器耦合到移动终端16。在本发明的一个实施例中,无线主机32包括用于存储类似于存储在存储位置24、26与28上的数据的存储位置36、38和42。即,在这样的实施例中,验证信息、专用IP地址14的地址和WHI的值分别存储在存储位置36-42上。在此图中所示的示例性实施例中,这样的信息冗余地存储在SIM卡18与无线主机32的存储位置上。在其他实施例中,只有验证信息存储在存储位置24或36之一上。
通信系统10的网络基础结构形成利用骨干网46耦合到专用IP网14的无线接入网。由GSM系统的网络基础结构形成的无线接入网在这里表示为包括BTS(基站收发信机)52。BTS52可用于生成下行链路信号54和在由远程通信站与BTS52之间的无线链路形成的空中接口上接收上行链路信号56。
在其中通信系统10的部分由GSM通信系统结构形成的实施例中,这样的结构以及在远程通信站12与BTS52之间形成的空中接口由GSM系统特定标准来定义。
BTS组(在此图中示出单个BTS52)利用线路58耦合到BSC(基站控制器)62。BSC62特别可用于控制与之耦合的BTS的操作,BSC62在此利用线路64还耦合到MSC/VLR(移动交换中心/被访位置寄存器)66,MSC/VLR66可以常规方式来形成适当的连接,以便在BSC62与PSTN(公用交换电话网)68之间利用线路72形成通信路径。
MSC/VLR66还利用线路74耦合到HLR(归属位置寄存器)76。HLR76包括验证中心(未单独示出),在此中心上特别存储IMSI(国际移动用户识别)和伪随机号码值,在用于确认远程通信站的鉴别验证程序期间使用该值。
在本发明一个实施例中,与无线主机32有关的WHI值也存储在HLR76上。并且,在本发明的另一个实施例中,与专用IP网14有关的地址也存储在HLR76上。
BSC62与HLR76还耦合到SGSN(服务GPRS支持节点)82,BSC62利用线路84耦合到SGSN82。并且,HLR76利用线路86耦合到SGSN82,SGSN82还利用线路88耦合到骨干网46。从而,SGSN82耦合到专用IP网14。
专用IP网14在此形成HIPN(归属智能外围网),在此表示为包括GGSN(网关GPRS支持节点)92和归属IP接入控制网络94。下面将结合图3描述形成专用IP网14的HIPN的其他细节。
骨干网46还耦合到另外的IP网络,诸如IP网96。
骨干网46还表示为利用GGSN98耦合到利用互联网连接104形成另一HIPN(这里为HIPN102)的另一IP网。并且,骨干网46也耦合到另一专用IP网,利用互联网连接108形成另一HIPN106。这样的附加HIPN96、102与106是示例性的并且表示为说明专用IP网能用于耦合到诸如此图中所示的GSM系统的网络基础结构的无线接入网的方式。
在操作期间,在无线主机32的操作员希望接入专用IP网14时,在无线主机上生成合适的命令来发出接入专用IP网14的请求。表示如此请求的信号提供给移动终端16,并且移动终端16生成一个请求,作为上行链路信号56通过空中接口传送给BTS52。在GSM通信系统中,开始连接程序,BTS52通过BSC62传送此请求给MSC/VLR66。
从HLR76中恢复IMSI和伪随机号码值,并执行验证程序。虽然能在GSM系统的特定标准中找到在GSM通信系统中完成的验证程序的具体细节,但一般地,验证程序验证,即确认,允许移动终端16利用形成无线接入网的网络基础结构通信。一旦成功完成验证程序,即,确认移动终端16为允许利用由网络基础结构形成的无线接入网通信的验证终端,就将与此无线主机有关的WHI值传送给专用IP网14。
在一个实施例中,当WHI存储在HLR76上时,所存储的值利用线路86提供给SGSN82并通过骨干网46提供给专用IP网14。如果验证程序确认移动终端16的验证性,存储在HLR上的WHI传送给SGSN82。从而,利用无线接入网执行的验证程序来验证WHI的值。WHI在HLR76或在无线接入网的另一部分上的存储要求专用IP网14操作员与无线接入网操作员之间用于在无线接入网上WHI值安全存储的协议。仅在专用IP网14上提供单独IP地址或DNS(域名业务)名,而不在任何其他地方提供。从而,由于在专用IP网上提供IP地址与DNS名,所以无线主机32在允许接入专用IP网时变成网络14的虚拟主机。包括网络安全性和网络防火墙的网络14的用户与主机环境也适用于无线主机32。
无线主机32同样能接入其他网络,诸如HIPN96、102与106。
在一个实施例中,也在SGSN82与GGSN92之间通过骨干网46执行验证的IP遂穿,以保证专用IP网14与由网络基础结构形成的无线接入网之间的WHI与其他数据的安全传输。执行这样的验证的隧穿,是因为骨干网46可能由许多不同操作员共享并且不能保证骨干网的安全性。例如,如果要接入HIPN106,利用公用互联网108为数据选择路由。执行验证的IP隧穿以验证SGSN82与GGSN92之间的业务,即数据通信。验证通过骨干网进行路由选择的业务保证在GGSN92上收到WHI值时此WHI值的有效性。当例如要接入HIPN102时,同样利用验证程序来验证通过互联网104的传输。
在一个实施例中,GGSN92包括接入控制机构,以保证只允许所要的WHI值接入专用IP网。所要的WHI的表存储在GGSN92的接入控制机构上。并且,还可以执行WHI验证程序来进一步增加安全等级和使响应WHI管理错误而错误接入专用IP网的可能性最小。虽然未在图1中单独示出,但利用位于骨干网46的防火墙来保护SGSN82与GGSN92。
在专用IP网14中,使用标准的HIPN安全性程序,诸如防火墙和口令。从而,一旦允许无线主机32接入专用IP网,则给无线主机32提供与直接连到网络14的其他主机相同的环境和安全等级。
图2表示图1所示的通信系统10部分的逻辑安排。而且,在本发明实施例操作期间,这里为无线主机32的无线主机有选择地允许接入专用IP网,这里再次表示为形成HIPN14。
在无线主机32将接入专用IP网14时,移动终端16生成连到由GSM系统的网络基础结构形成的无线接入网的连接请求。在利用分组交换电路连接时,根据SGSN82执行连接程序。并且,在使用电路交换电路连接时,根据MSC/VLR66执行连接程序。
在连接程序期间,IMSI、WHI值和其他相关用户数据从HLR76下载到MSC/VLR66与SGSN82中合适的一个。其他合适的用户数据包括专用IP网14的地址。诸如HIPN96、102与106(图1所示的)的其他专用IP网的地址也可以下载,以允许接入可选择的或第二选择的可选IP网。识别专用IP网14的HIPN地址在一个实施例中是诸如专用IP网14的GGSN92的GGSN的地址。
此后,移动终端16在合适时生成“PDP路由选择上下文激活请求”给SGSN82或接入MSC/VLR66。例如,通过设置在移动终端始发的呼叫来执行至MSC/VLR66的接入。可选择地,能进行通过空中接口明确表示应接入MSC/VLR的附加协议的标准化。
根据至SGSN82的激活请求或至MSC/VLR66的接入,将接入哪个HIPN的指示在合适时还提供给SGSN或MSC/VLR。例如,移动终端16表示,利用存储在HLR上的HIPN地址识别的专用IP网是要接入的专用IP网地址。可选择地,移动终端16自己能提供将接入的专用IP网的地址,或能利用默认的地址来识别将接入的专用IP网。
SGSN82与MSC/VLR66中合适的一个,分析提供给它的IMSI值,并在未提供地址给它时确定默认的专用IP网的地址。
SGSN82和MSC/VLR66中合适的一个生成“产生PDP上下文”命令,它在要接入专用IP网14时,利用骨干网46传送给GGSN92,或在要接入另一网络时,传送给另一GGSN。“产生PDP上下文”命令包括无线主机的WHI,并且此值在形成专用IP网14的HIPN上用作主机识别。
图2还表示可利用无线链路连到另一WAR(无线接入路由器)114的无线主机112。并且WAR114耦合到骨干网46。无线主机112是可能允许其接入IP网14的另一示例性设备。
图3表示前面图1与2所示的HIPN形成的专用IP网14的逻辑模型。由网络14形成的HIPN提供包括以下的业务和用户环境:DHCP(动态主机配置分布)业务、DNS(域名业务)业务、新闻业务、邮件业务、登录业务、NTP业务、WWW(万维网)业务、其他应用服务器、至互联网的连接、至内联网的连接、至骨干网的连接和在连到另一网络的每个接口上的防火墙。
无线主机32至专用IP网的接入提供纵向业务和至移动终端归属组织的接入。在这样的情况中,专用IP网是业务提供者的专用网的一部分。公用IP网提供公用互联网业务。相反地,如果接入公用IP网,公用IP网位于互联网业务提供者的由其操作员或专用互联网业务提供者提供的归属或被访PLMN(公用陆地移动网)上。
然后,参见图3,再次示出耦合到骨干网46的形成专用IP网14的HIPN。也起着防火墙作用的WHR(无线主机路由器)124耦合到骨干网46。WHR124由特别支持有选择地允许诸如无线主机32的无线主机变为网络的虚拟主机的路由器形成。网络14包括分别连到互联网132与内联网134的其他路由器,这里为路由器126与128。路由器124-128利用也耦合DHCP(动态主机配置分布)设备142与DNS(域名业务)设备144的局域网(LAN)138相连。在此图中也示出也连到LAN138的其他可选的应用服务器,其中服务器146是代表性的。并且,直接耦合到专用IP网14的无线主机148在此图中还表示为与LAN138相连接。
DHCP142可分配地址给无线主机,诸如无线主机32。WHI值在DHCP142上用作无线主机地址。DNS144用于存储诸如无线主机32的无线主机的名。WHI值用作DNS144上的主名,并且也能与WHI一起存储其他附属名。示例性地,例如,DNS名包括WHI244450123456789@org.country;MSISDN467051234567@org.country;和my host @org.country。
由于WHI值是无线网络提供的明确识别在无线主机上使用的无线预约的识别,所以能有益地使用此WHI值。通过在HLR76(图1所示)上存储作为用户数据的WHI值,利用合适的安全等级存储WHI值。由于接入GSM网络的无线主机在接收允许使用所存储的WHI之前进行验证,所以不需要单独的登录来接入专用IP网14。
必须保证专用IP网14与无线接入路由器124之间传输的安全。为保证此传输的安全性,无线主机路由器124与形成GSM一部分的无线接入路由器,无线接入网存储有关允许其间进行通信的各个路由器的地址与验证信息。这样的测量保证到达无线主机路由器124的WHI是安全和正确的。如果需要,可以加密路由器之间的传输来提供数据机密性与可靠性更大的保证。可选地,WHR124上的验证程序可以与WHI有关,从而在WHI管理中保护IP网不出差错。
也可以从无线主机32接收WHI和验证密钥,并且能在同意无线主机32接入专用IP网之前,在专用IP网上另外执行验证程序。
GGSN拒绝没有有效WHI的接入尝试。而且,必须在WHR124以及DHCP142与DNS144中预先配置有效的WHI。DHCP142利用所分配的用于寻址要传送给无线主机的数据的IP地址来更新DNS144。
虽然图3所示的专用IP网14仅表示单个LAN138,但能在几个物理LAN实现此网络或在没有物理LAN的单个平台上实现此网络。当在几个物理位置上出现与WHR124相同的WHR时,每个WHR认为是形成专用IP网的HIPN的子网络(SHIPN)。在这样的安排中,每个SHIPN能利用骨干网与另一SHIPN通信。
图4表示本发明实施例的方法,一般以152表示。方法152提供一种由远程通信站接入专用IP网的安全接入方法。
首先,并如方框154所示,远程通信站识别存储在形成无线通信系统的无线接入网的网络基础结构上,远程通信站识别和与远程通信站有关的验证数据一起存储。
然后,并如方框156所示,由远程通信站生成请求接入网络基础结构的请求,以允许通过此基础结构进行数据通信。
如方框158所示,在网络基础结构上检测此请求。如方框162所示,验证远程通信站,以确认远程通信站授权利用网络基础结构通信。
此后,如方框164所示,将IP网络接入请求传送给专用IP网。然后,如方框166所示,确定是否允许远程通信站接入此专用IP网。
并且,如果确定允许此远程通信站接入此网络,允许此远程通信站接入专用IP网。
在本发明实施例操作过程中允许无线主机变成专用IP网的虚拟主机,无线主机识别(WHI)在专用IP网中用作主机识别符。无线主机只需在无线接入网与专用IP网操作员之间不存在有关例如识别信息安全性的安全存储条约时在专用IP网上验证它自己。验证程序确认发送接入请求的结构的验证性。在通过空中接口传送IP分组时,也有益地减少通过空中接口生成接入专用IP网请求所需的带宽,这是因为只利用特定于空中接口的协议来通过空中接口传送IP分组。
前面的描述是实施本发明的优选示例,而本发明范围不必受此描述限制。本发明的范围由下面的权利要求书来定义。