Настоящее изобретение относится к способу и системе для беспрепятственного роуминга в гетерогенных беспроводных локальных сетях (WLAN), при котором для выставления счетов и бухгалтерского учета мобильный узел межсетевого протокола (IP-узел) посредством беспроводного интерфейса внутри базовой области обслуживания сети WLAN требует доступа к сети WLAN через сервер доступа, при этом базовая область обслуживания сети WLAN включает в себя один или более пунктов доступа, относящихся к серверу доступа, и мобильный IP-узел аутентифицируется посредством международного идентификатора мобильного абонента (IMSI-идентификатора), сохраненного на карте модуля идентификации абонента (SIM-карте) мобильного IP-узла.
В последние годы число пользователей сети Интернет в мире и предлагаемой там информации возросло экспоненциально. Однако хотя Интернет обеспечивает глобальный доступ к информации, обычно пользователь не имеет доступа до тех пор, пока он не окажется у определенного входа в сеть, например, в офисе, в школе, в университете или дома. Растущее предложение мобильных приборов с возможностями работы по IP-протоколу, таких как PDA (персональный цифровой помощник), мобильные телефоны, портативные компьютеры, начинает изменять существующее представление об Интернет. Аналогичный переход от стационарных узлов в сетях к более гибким требованиям ввиду повышающейся мобильности только начался. В мобильной телефонии, например, эта тенденция проявляется в новых стандартах, таких как WAP (Протокол беспроводных приложений для распространения информационных материалов в Интернет), GPRS (Общие услуги пакетной радиосвязи) или UMTS (Универсальная телекоммуникационная система). Чтобы понять различие между современной реальностью и возможностями соединений в будущем, можно иметь в виду, в качестве сравнения, развитие телефонии в направлении мобильности за последние двадцать лет. Потребности, как в личной, так и в общественной сферах, в глобальном независимом беспроводном доступе к локальным сетям (LAN) (например, в аэропортах, в городах и т.д.) с помощью портативных компьютеров, PDA и т.д., возросли в огромной степени. Однако WLAN-сети, базирующиеся на IP-протоколе, не обеспечивают сервис, как, например, тот, который предоставляется стандартами GSM/GPRS и который позволил бы пользователям свободно перемещаться. Такие услуги, наряду с механизмами обеспечения защиты, как в GSM/GPRS, должны были бы включать в себя также возможности по авторизации сервиса и для биллинга (выставления счетов), то есть взаимных расчетов за запрашиваемое обслуживание и т.д. С другой стороны, такие услуги еще не предоставляются и нынешними провайдерами GSM/GPRS. Однако важен не только роуминг между различными сетями WLAN. Ввиду огромного роста информационных технологий с использованием сетей WLAN (с доступом к Интернет и т.д.) и такого же огромного роста в области мобильной телефонии целесообразно связать эти обе сферы. Только связывание этих обеих сфер обеспечивает в случае беспроводных локальных сетей (LAN) простой и беспрепятственный роуминг, привычный для пользователей технологии мобильной телефонии. Тем самым существует потребность в обеспечении распространяющегося на различные стандарты роуминга между различными провайдерами услуг сетей WLAN, а также между провайдерами услуг сетей WLAN и провайдерами услуг GSM/GPRS.
Компьютерные сети или локальные сети (LAN) обычно состоят из так называемых узлов, которые связаны физическими средами передачи, например, в виде коаксиального кабеля, скрученной пары или оптического стекловолоконного кабеля. Эти сети LAN также называют проводными локальными сетями. В последние годы все более популярными становятся беспроводные локальные сети LAN (например, вследствие таких разработок, как система AirPort компании Apple Computer, Inc., и т.п.). Беспроводные локальные сети особенно пригодны для того, чтобы связывать мобильные устройства (узлы), такие как, например, портативные компьютеры, ноутбуки, PDA или мобильные устройства радиосвязи, в частности, мобильные телефоны, с соответствующим интерфейсом в локальной компьютерной сети. Мобильные узлы имеют адаптер, который содержит приемопередатчик, а также плату управления (например, ИК-адаптер или радиоволновой адаптер низкочастотного диапазона). Преимущество таких мобильных узлов состоит в том, что они могут свободно перемещаться в радиусе действия беспроводных локальных сетей. Мобильные узлы осуществляют связь друг с другом либо непосредственно (одноранговые беспроводные локальные сети), либо посылают свой сигнал на базовую станцию, которая усиливает сигнал и/или направляет его далее. Базовые станции также могут включать в себя функции мостов (шлюзов). Через такие базовые станции с функциями мостов, так называемые пункты доступа (АР), мобильные узлы беспроводной локальной сети могут получать доступ к проводной локальной сети. Типовые сетевые функции пункта доступа включают в себя передачу сообщений от одного мобильного узла к другому, передачу сообщений от проводной локальной сети к мобильному узлу и передачу сообщений от мобильного узла к проводной локальной сети.
Физическая дальность действия пункта доступа определяется как базовая область обслуживания (BSA). Если мобильный узел находится внутри базовой области обслуживания пункта доступа, то он может осуществлять связь с этим пунктом доступа, если этот пункт доступа также находится в пределах дальности действия сигнала (динамической области обслуживания - DSA) мобильного узла. Множество пунктов доступа относятся к одному серверу доступа, который, в числе прочего, контролирует и управляет авторизацией мобильных узлов с использованием банка пользовательских данных. Вся площадь, которая покрывается пунктом доступа сервера доступа, обозначается как так называемая «горячая точка». Мобильные узлы в типовом случае имеют мощность сигнала от 100 мВт до 1 Вт. Чтобы соединить беспроводную локальную сеть с проводной локальной сетью, для пункта доступа важно установить, назначено ли в сети определенное сообщение (информационный кадр) для узла, который находится внутри проводной или беспроводной локальной сети, и, при необходимости, передать далее эту информацию соответствующему узлу. Для этой цели пункты доступа имеют так называемую функцию моста, например, согласно стандарту IEEE Std 802.1D-1990 "Media Access Control Bridge" (31-74 ff). В случае таких функций моста новый мобильный узел в беспроводной сети в типовом случае регистрируется в базе данных FDB (база данных фильтрации) пункта доступа (АР), в пределах дальности действия которого находится узел. По каждому информационному кадру в локальной сети пункт доступа АР сравнивает целевой адрес с МАС-адресами (адресами управления доступом к среде передачи), которые сохранены в базе данных FBD, и посылает, отбрасывает или передает кадр в проводную локальную сеть LAN или в беспроводную локальную сеть LAN.
При мобильном использовании сетей существующий IP-доступ от приложений к мобильному узлу не должен прерываться, когда пользователь изменяет свое место пребывания в сети. Напротив, нужно, чтобы все изменения соединений или интерфейсов, например, при смене в различных горячих точках, в особенности, в различных сетях (Ethernet, сеть мобильной радиосвязи, WLAN, Bluetooth и т.д.) осуществлялись автоматически и не в интерактивном режиме, чтобы пользователю не нужно было ничего знать об этом. Это справедливо и при использовании приложений реального времени. Действительно мобильное пользование компьютерами по протоколу IP имеет множество преимуществ, базируясь на постоянном стабильном доступе к Интернет. При таком доступе пользователь может организовывать свою работу свободно и независимо от своего рабочего места. Однако требования к мобильным узлам в сетях отличаются от упомянутого выше развития техники мобильной радиосвязи в разных аспектах. Конечными пунктами в мобильной радиосвязи обычно являются люди. В случае мобильных узлов, однако, взаимодействия компьютерных приложений между другими участниками сети могут выполняться без какого-либо участия или вмешательства человека. Примеры этого можно в достаточной мере найти на самолетах, судах, в автомобилях. Так, в частности, большое значение имеют мобильные компьютерные операции с доступом к Интернет, реализуемые совместно с другими приложениями, например в комбинации с устройствами определения местоположения, такими как спутниковая система глобального определения местоположения (GPS).
Одной из проблем при мобильном сетевом доступе по IP-протоколу является то, что IP-протокол, который используется для маршрутизации в сети пакетов данных с адреса источника на адрес получателя, использует так называемые IP-адреса. Эти адреса соответствуют стационарному местоположению в сети, подобно тому, как номер телефона стационарной сети соответствует конкретной физической штепсельной розетке. Если адрес получателя пакетов данных является мобильным узлом, то это означает, что при каждой смене местоположения в сети должен присваиваться новый адрес IP-сети, что делает невозможным прозрачный мобильный доступ. Эти проблемы были решены в стандарте мобильного межсетевого протокола (Mobile IP) (IETF RFC 2002 Okt.1996) Исследовательской Группы по разработке проблем Интернет (IETF), согласно которому протокол Mobile IP разрешал мобильному узлу использовать два IP-адреса. Один из них представляет собой обычный статический IP-адрес (домашний адрес), который указывает место в исходной сети, в то время как второй является динамическим IP-адресом, который указывает на текущее местоположение мобильного узла в сети. Привязка обоих адресов позволяет передавать IP-пакеты данных на корректный текущий адрес мобильного узла.
Одним из наиболее часто применяемых протоколов для аутентификации пользователя в беспроводной локальной сети является протокол открытого источника IEEE 802.1x (в текущей версии 802.11) Ассоциации по Стандартам Института Инженеров по Электротехнике и Электронике. Аутентификация в соответствии со стандартом IEEE 802.1x обеспечивает возможность аутентифицированного доступа к средам передачи стандарта IEEE 802, таким как Ethernet, Tokenring (маркерная эстафетная передача) и/или к беспроводной сети стандарта 802.11. Протокол 802.11 формирует для беспроводной сети LAN, т.е. для беспроводных локальных сетей передачу со скоростью 1 или 2 Мбит/с в диапазоне 2,4 ГГц, причем используется FHSS (расширение спектра путем скачкообразного изменения частоты) или DSSS (расширение спектра путем прямой модуляции последовательностью). Протокол 802.1х поддерживает для аутентификации протокол ЕАР (Расширяемый протокол аутентификации) и TLS (Защита беспроводного транспортного уровня). Протокол 802.11 также поддерживает стандарт RADIUS. Хотя поддержка протоколом 802.1х стандарта RADIUS является факультативной, можно ожидать, что большинство аутентификаторов протокола 802.1х будут поддерживать стандарт RADIUS. Протокол IEEE 802.1x является протоколом базирующейся на порте аутентификации. Он может применяться в любой среде, в которой может быть определен порт, т.е. интерфейс прибора. При аутентификации на основе протокола 802.1х могут различаться три компонента: прибор пользователя (запрашивающий объект/клиент), аутентификатор и сервер аутентификации. Аутентификатор имеет функцию аутентификации запрашивающего объекта. Аутентификатор и запрашивающий объект связаны, например, через двухточечный сегмент локальной сети LAN или беспроводный канал протокола 802.11. Аутентификатор и запрашивающий объект имеют определенный порт, так называемый объект доступа к порту (РАЕ), который определяет физический или виртуальный порт стандарта 802.1х. Сервер аутентификации генерирует требуемые аутентификатору услуги аутентификации. Таким образом, он проверяет представленные запрашивающим объектом удостоверяющие данные по отношению к заявляемой идентичности.
Серверы аутентификации базируются чаще всего на услуге RADIUS (услуга дистанционной аутентификации пользователя набором номера), разработанной IETF. Использование протокола аутентификации RADIUS и системы учетных записей широко распространено в сетевых узлах, например маршрутизаторах, серверах модемов, коммутаторах и т.д., и используется большинством провайдеров Интернет-сервиса (ISP). Если пользователь регистрируется у ISP-провайдера, он должен обычно ввести имя пользователя и пароль. Сервер RADIUS проверяет эту информацию и авторизует пользователя по отношению к ISP-системе. Причина распространения RADIUS, в числе прочего, состоит в том, что сетевые узлы в общем случае могут обходиться с не очень большим числом пользователей с соответственно различающейся информацией аутентификации, так как это превысило бы объем памяти отдельного сетевого узла. RADIUS обеспечивает возможность централизованного управления множеством сетевых пользователей (добавления, исключения пользователей и т.д.). Это является необходимой предпосылкой в случае провайдеров Интернет-сервиса (ISP-провайдеров) для предоставления их услуги, так как их число пользователей часто составляет многие тысячи и даже многие десятки тысяч. Кроме того, RADIUS обеспечивает определенную постоянную защиту от хакеров. Дистанционная аутентификация, осуществляемая посредством RADIUS на базе TACACS+ (Система управления доступом контроллера доступа терминалов) и LDAP (Облегченный протокол доступа к сетевому каналу), относительно надежна в качестве средства защиты от хакеров. Многие другие протоколы дистанционной аутентификации обеспечивают по сравнению с этим лишь временную, недостаточную защиту или вообще не обеспечивают никакой защиты от атак хакеров. Другое преимущество заключается в том, что RADIUS в настоящее время фактически является стандартом для дистанционной аутентификации, вследствие чего стандарт RADIUS поддерживается почти всеми системами, чего нет в случае других протоколов.
Вышеупомянутый Расширяемый протокол аутентификации (ЕАР) является собственно расширением двухточечного протокола (РРР) и определен посредством запроса на комментарии (RFC) 2284 PPP Extensible Authentification Protocol (EAP), разработанного IETF. Посредством протокола РРР компьютер может, например, зарегистрироваться на сервере ISP-провайдера. Протокол РРР работает на уровне канала данных Модели OSI (Протокол взаимодействия открытых систем) и посылает пакеты протокола TCP/IP компьютера на сервер ISP-провайдера, который образует интерфейс с сетью Интернет. В противоположность прежнему протоколу SLIP (Протокол Интернет последовательного канала) двухточечный протокол (РРР) работает более стабильно и обеспечивает исправление ошибок. Расширяемый протокол аутентификации ЕАР представляет собой протокол на весьма обобщенном уровне, который поддерживает различные способы аутентификации, как, например, Token Cards, Kerberos Массачусетского Технологического института (MIT), пароли со списком исключения, сертификаты, аутентификация с открытым ключом, интеллектуальные карты или так называемые чип-карты (ICC). Протокол IEEE 802.1x определяет требования, каким образом протокол ЕАР должен интегрироваться в кадры локальной сети LAN. При коммуникациях в беспроводных сетях посредством протокола ЕАР пользователь посредством беспроводной передачи в пункт доступа (АР), т.е. установления соединения для клиента или запрашивающего объекта дистанционного доступа к сети WLAN, требует доступа к беспроводной локальной сети LAN. Пункт доступа (АР) требует затем от запрашивающего объекта идентификатор пользователя и передает идентификатор в вышеупомянутый сервер аутентификации, который базируется, например, на протоколе RADIUS. Сервер аутентификации позволяет пункту доступа подвергнуть идентификатор пользователя обратной проверке. Пункт доступа (АР) получает эти аутентификационные данные от запрашивающего объекта и передает их на сервер аутентификации, который завершает аутентификацию.
Согласно протоколу ЕАР, любой способ аутентификации создает соединение дистанционного доступа. Точная схема аутентификации определяется соответственно между запрашивающим объектом и аутентификатором (т.е. сервером дистанционного доступа, сервером сервиса аутентификации в Интернет (IAS), или, в случае сети WLAN, пунктом доступа). Как упомянуто выше, при этом EAP поддерживает множество различных схем аутентификации, таких, например, как базовые Token Card, MD5-Challenge, TLS (Защита на транспортном уровне) для интеллектуальных карт, S/Key и возможные будущие технологии аутентификации. EAP обеспечивает возможность не ограниченных по числу передач вопросов-ответов между запрашивающим объектом и аутентификатором, причем аутентификатор или сервер аутентификации направляет вопросы, а запрашивающий объект, то есть клиент дистанционного доступа, отвечает. Например, сервер аутентификации может потребовать через аутентификатор от запрашивающего объекта при аутентификации по так называемой схеме Security Token Card (карта защитного аппаратного ключа) по отдельности сначала имя пользователя, затем PIN (персональный идентификационный номер) и, наконец, значение карты аппаратного ключа. При этом в каждой процедуре вопроса-ответа реализуется следующий уровень аутентификации. Если все уровни аутентификации успешно пройдены, то запрашивающий объект аутентифицируется. Конкретная предусматриваемая протоколом ЕАР схема аутентификации обозначается как схема EAP-Typ. Обе стороны, т.е. запрашивающий объект и аутентификатор, должны поддерживать одинаковую схему EAP-Typ, чтобы можно было осуществить аутентификацию. Как упомянуто выше, это определяется вначале между запрашивающим объектом и аутентификатором. Серверы аутентификации, базирующиеся на протоколе RADIUS, поддерживают в нормальном случае протокол ЕАР, что дает возможность посылать ЕАР-сообщения на RADIUS-сервер.
В технике также известны основанные на ЕАР способы для аутентификации пользователя и для передачи ключей сеанса пользователю с помощью модуля идентификации абонента (SIM) стандарта GSM. GSM-аутентификация базируется на способе вопросов-ответов. В алгоритме аутентификации SIM-карты в качестве вопроса используется 128-битовое случайное число (обычно обозначаемое как RAND). На SIM-карте выполняется затем определенный соответствующим оператором доверительный алгоритм, который в качестве входных данных получает случайное число RAND и секретный сохраненный на SIM-карте ключ Ki и генерирует из него 32-битовый ответ (SRES) и 64-битовый ключ Kc. Ключ Кс предназначен для шифрования передачи данных через беспроводный интерфейс (Техническая спецификация GSM 03.20 (ETS 300 534): «Цифровая сотовая телекоммуникационная система (Фаза 2); Сетевые функции, связанные с защитой», Европейский Институт Стандартов по Телекоммуникациям, Август 1997). При аутентификации по протоколу EAP/SIM применяется несколько случайных чисел RAND для генерации нескольких 64-битовых ключей Кс. Эти ключи Кс объединяются в один более длинный ключ сеанса. С использованием протокола EAP/SIM обычный способ GSM-аутентификации расширяется, при этом запросы RAND дополнительно содержат код аутентификации сообщения (МАС), чтобы провести взаимную аутентификацию. Чтобы провести GSM-аутентификацию, сервер аутентификации должен иметь интерфейс к сети GSM. Следовательно, сервер аутентификации работает как шлюз между сетью сервера сервиса аутентификации в Интернет (IAS) и GSM-инфраструктурой аутентификации. В начале аутентификации по протоколу ЕАР/SIM сервер аутентификации требует в первом ЕАР-запросе через аутентификатор от запрашивающего объекта, в числе прочего, международный идентификатор мобильного абонента (IMSI) для пользователя. С помощью IMSI-идентификатора сервер аутентификации на запрос от центра аутентификации (AuC) соответствующего провайдера услуг сети мобильной связи, обычно в GSM-сети обозначаемого как регистр исходного местоположения (HLR) или регистр местоположения визитера (VLR), получает n GSM-триплетов. Из триплетов сервер аутентификации получает код аутентификации сообщения для n*RAND и срок действия для ключа (вместе MAC_RAND), а также ключ сеанса. С этими данными сервер аутентификации может проводить GSM-аутентификацию на SIM-карте запрашивающего объекта или пользователя. Так как случайное число RAND дается вместе с кодом аутентификации сообщения MAC_RAND запрашивающему объекту, для запрашивающего объекта становится возможным проверить, являются ли числа RAND новыми и генерированы ли они GSM-сетью.
Для выставления счетов за запрошенные мобильными устройствами услуги в сетях GSM в уровне техники известен так называемый протокол ТАР (ТАР: Процедура перевода счетов), разработанный Группой обмена данными переведенного счета (TADIG) GSM-Ассоциации. GSM основывается на концепции роуминга, которая позволяет пользователю устройства мобильной связи использовать свое мобильное устройство в любой стране и сети. Однако выставление счетов за запрошенные услуги не является тривиальным. В настоящее время в мире используется более 400 сетей GSM и к тому же существует, по оценкам, более 20000 индивидуальных соглашений по роумингу между провайдерами сетей. Чтобы сделать возможным выставление счетов, за простой, на первый взгляд, идеей роуминга скрывается сложный процесс определения информации, распределения информации и оценки информации. Протокол ТАР обеспечивает способ, посредством которого провайдеры услуг мобильной связи обмениваются информацией выставления счетов. 04 июня 2000 вслед за протоколами ТАР2 и ТАР2+ наконец был выпущен протокол ТАР3. Протокол ТАР3 может в настоящее время обозначаться как стандарт, хотя ТАР является динамически развивающимся протоколом.
Большая часть речевого трафика или трафика данных в сетях GSM поступает или завершается в другой сети по сравнению с той, где находится мобильный пользователь в данный момент времени. Провайдер локальной сети собирает сборы за каждый вызов, который заканчивается у одного из его пользователей, независимо от того, идет ли речь о стационарной сети или мобильной сети. При этом локальные провайдеры стационарной сети заключают с локальными провайдерами мобильной сети соглашения, чтобы упростить взимание сборов. Тем самым в таком случае нет необходимости в том, чтобы для расчетов по вызову швейцарского пользователя мобильной сети к канадскому пользователю стационарной сети швейцарский провайдер мобильной сети заключал соглашение с канадским провайдером стационарной сети. Обычно швейцарский провайдер стационарной сети уже имеет с канадским провайдером стационарной сети соглашение относительно способа расчетов и сборов, и швейцарский провайдер мобильной сети производит расчеты через швейцарского провайдера стационарной сети согласно соответствующему договору. Стоимость обычно ставится в счет пользователю либо непосредственно (розничный биллинг), либо через провайдера услуг (оптовый биллинг). Конкретный вид расчетов за трафик данных или речевой трафик при роуминге между различными мобильными сетями (PMN: мобильная сеть общего пользования) реализуется по протоколам ТАР. Записи вызовов при роуминге в типовом случае осуществляются как записи протокола ТАР или протокола CIBER (Обмен биллинговыми данными при роуминге между линиями связи телефонных компаний сотовой связи). Записи протокола CIBER используются операторами мобильных сетей, которые работают с технологиями, базирующимися на стандарте AMPS (Усовершенствованная система мобильной радиотелефонной связи), такими как AMPS, IS-136 TDMA (Множественный доступ с временным разделением каналов) и IS-95 CDMA (Множественный доступ с кодовым разделением каналов). Протокол ТАР используется прежде всего провайдерами мобильной сети GSM и является главным протоколом для взаимных расчетов в областях с доминирующим стандартом GSM.
Детальные данные вызова регистрируются в центре коммутации мобильной связи (MSC) через пользователя, который находится в чужой сети (VPLMN: Посещаемая наземная мобильная сеть общего пользования). Каждый вызов генерирует, таким образом, одну или более записей вызова. Стандарт GSM для этих записей определен в GSM 12.05, хотя многие провайдеры используют свои собственные форматы. Записи вызовов центра MSC передаются в систему выставления счетов сети VPLMN для взаимных расчетов. Эти записи вызовов затем преобразуются в формат протокола TAP и соотносятся с соответствующим пользователем. Затем, в течение не более 36 часов, записи протокола ТАР пересылаются соответствующему провайдеру услуг мобильной сети. ТАР-файлы содержат дополнительно информацию относительно тарифа за услуги провайдера (IOT: межоператорный тариф) и все другие двусторонние соглашения и схемы льгот. Записи протокола TAP посылаются непосредственно или обычно через центр проведения взаимных расчетов, например через клиринговую компанию. Когда оператор исходной (домашней) сети (HPMN: исходная мобильная сеть общего пользования) передает запись протокола TAP от сети VPLMN, эта запись преобразуется в соответствующий внутренний формат и рассчитывается вместе с обычными записями вызовов пользователя, который он осуществил в исходной сети. При оптовом биллинге, при котором провайдер услуг приходящуюся на определенный период стоимость рассчитывает для пользователя, сеть HPNM направляет записи далее к провайдеру услуг, который может заново рассчитать вызовы, в частности, по собственному тарифу, и формирует счет с детальными данными вызовов для пользователя.
Протокол TAP3 поддерживает множество услуг. Протокол TAP3 применяется в настоящее время для выставления счетов за роуминг между провайдерами услуг стандарта GSM и провайдерами услуг стандарта GSM, между провайдерами услуг стандарта GSM и провайдерами услуг стандарта не-GSM («межстандартный» роуминг) и между провайдерами услуг стандарта GSM и провайдерами услуг спутниковой связи и т.д. Три основополагающие категории услуг - речь, факсимильная связь и так называемые дополнительные услуги поддерживаются уже начиная со стандарта TAP1. Выставление счетов за услугу передачи коротких сообщений (SMS) из-за использования Центра службы коротких сообщений (SMS-C) по отношению к третьим сторонам менее тривиально. Следующие причины затрудняют выставление счетов за услугу SMS: 1) пользователь режима роуминга может во время роуминга принять сообщение SMS (МТ-SMS), 2) пользователь режима роуминга может во время роуминга отправить сообщение SMS (МО-SMS), при этом он использует центр SMS-C своей исходной сети, и 3) пользователь режима роуминга может во время роуминга принять сообщение SMS (МО-SMS), при этом он использует центр SMS-C чужой сети. Поэтому выставление счетов за услуги SMS поддерживается полностью только начиная с протокола TAP2+. Начиная с протокола TAP3 поддерживается выставление счетов за услуги SCSD (передача данных одного коммутируемого канала), HSCSD (высокоскоростная передача данных коммутируемого канала) и GPRS. Протокол TAP3 также поддерживает все услуги с добавленной стоимостью (VAS), например, так называемый «биллинг за содержимое». Однако взаимные расчеты за услуги с добавленной стоимостью часто весьма сложны, так как это предполагает согласованный подход провайдеров услуг к услугам, по которым ведутся взаимные расчеты. Начиная с ТАР3.4 поддерживается протокол CAMEL (Усовершенствованная логика специализированных мобильных приложений). Протокол CAMEL особенно важен для применений в случае услуг с предоплатой для пользователей в режиме роуминга и в будущем может приобрести существенное значение. Другим важным применением TAP3 является поддержка взаимных расчетов на основе межоператорного тарифа (IOT). IOT позволяет провайдеру услуг исходной сети (HPMN) проверять специальные предложения и тарифы чужих провайдеров услуг (VPMN) и передавать далее пользователю в режиме роуминга. Так может, например, сеть VPMN предоставить льготы или скидки для различных услуг или уровней вызова, а сеть HPMN может проверить их простым способом и согласовать свои тарифы. Возможность проведения взаимных расчетов за услуги роуминга независимо от того, где находится в данный момент пользователь, является весьма полезным вспомогательным средством для провайдеров услуг мобильных сетей, которое устраняет потери доходов при периодических льготах, обеспечиваемых сетью VPMN. Протокол TAP включает в себя, начиная с TAP3, также детализированную информацию относительно того, откуда был инициирован вызов или запрошена услуга и т.д., и куда они были направлены. Эта информация позволяет установить профиль соответствующего пользователя, основываясь на его поведении, что дает важную информацию, позволяющую согласовать предложение услуг с потребностями пользователей и оптимизировать его. В частности, это может быть использовано для того, чтобы предлагать специальные основанные на местоположении услуги, например предложение спортивных и концертных мероприятий и т.д. Наконец, с помощью процедуры возвращенных счетов (RAP) протокол TAP3 обеспечивает дифференцированную обработку ошибок. Так с помощью процедуры RAP сеть HPMN, в числе прочего, может проверять входящие TAP-файлы на их действительность и согласованность со стандартом TAP и в случае необходимости отклонять, исключая тем самым бесполезные расчеты показателей.
Однако уровню техники свойственны различные недостатки. Правда можно, например, с помощью ЕАР-SIM-аутентификации применить способ аутентификации GSM-сетей в рамках технологии беспроводных сетей LAN для аутентификации запрашивающего объекта или клиентов дистанционного доступа в предположении, что пользователь имеет IMSI-идентификатор у провайдера услуг GSM. Также в принципе возможно посредством, например, протокола Mobile IP, определенного группой IEFT, маршрутизировать потоки данных к соответствующему мобильному клиенту дистанционного доступа, зарегистрированному в сервере доступа через пункт доступа. Однако при этом решены далеко не все проблемы мобильного использования сети, которые обеспечили бы действительно свободный роуминг пользователя. Одна из проблем состоит в том, что в IP-сети больше не имеется условий, требуемых стандартом GSM, относительно защиты, расчетов и авторизации услуг. Это внутренним образом связано с открытой архитектурой IP-протокола. То есть в IP-стандарте отсутствует большое количество информации, которая обязательно требуется для полной совместимости с сетями стандарта GSM. К тому же сервер доступа формирует единственный поток данных, основанный, например, на протоколе RADIUS. Этот поток не может простым способом отображаться на состоящий из множества частей поток данных стандарта GSM. Другой недостаток предшествующего уровня техники состоит в том, что беспроводная локальная сеть LAN основывается в настоящее время на отдельных «горячих точках» (то есть базовой области обслуживания пунктов доступа сервера доступа), которые обеспечиваются по всему миру различными разработчиками программного обеспечения и аппаратных средств. Это затрудняет сопряжение обеих сфер, так как такие функции шлюза должны быть согласованы соответственно с конкретным решением. Технические спецификации для интерфейса аутентификации GSM можно найти в документе МАР (Раздел мобильных приложений) GSM 09.02 Phase 1 Version 3.10.0.
Задачей настоящего изобретения является создание нового способа для мобильных узлов в гетерогенных сетях WLAN. В частности, пользователю должна быть обеспечена возможность перемещаться (совершать роуминг) между различными горячими точками без каких-либо проблем, не заботясь о регистрации, расчетах, авторизации для услуг и т.д. у различных провайдеров услуг сетей WLAN, то есть с такими же удобствами, которые пользователь привык получать от технологии мобильной связи, например, согласно стандарту GSM.
Согласно заявленному изобретению эта цель достигается, в частности, посредством признаков независимых пунктов. Другие предпочтительные формы выполнения следуют из зависимых пунктов формулы изобретения и описания.
В частности, эти цели в соответствии с изобретением достигаются тем, что для учета предоставленной услуги и взаимного расчета при роуминге мобильного IP-узла в гетерогенных сетях WLAN мобильный IP-узел через беспроводный интерфейс внутри базовой области обслуживания сети WLAN получает доступ к пункту доступа сети WLAN, причем базовая область обслуживания сети WLAN содержит один или более относящихся к серверу доступа пунктов доступа, при этом мобильный IP-узел на запрос сервера доступа передает к серверу доступа сохраненный на SIM-карте мобильного IP-узла международный идентификатор мобильного абонента (IMSI-идентификатор), и IMSI-идентификатор мобильного IP-узла сохраняется в банке данных SIM-RADIUS-модуля; при этом SIM-RADIUS-модуль посредством SIM-банка данных пользователей и модуля SIM-шлюза добавляет логический IP-канал данных сети WLAN к соответствующим GSM-данным для каналов сигнала и данных сети GSM в соответствии с пользователем, посредством указанных каналов сигналов и данных проводится аутентификация и/или авторизация услуг мобильного IP-узла на основе IMSI-идентификатора SIM-карты мобильного узла в регистре HLR и/или в регистре VLR сети GSM, причем модуль расчетов посредством интерфейса шлюза расчетов получает доступ к серверу доступа, через указанный интерфейс шлюза расчетов первые записи детальных данных вызова мобильного IP-узла передаются от сервера доступа к модулю расчетов, при этом указанный интерфейс шлюза расчетов содержит относящийся к нему банк данных управления расчетами с профилем конфигурации каждого сервера доступа, при этом вторые записи детальных данных вызова мобильного IP-узла передаются на модуль-посредник, указанный модуль-посредник определяет, по меньшей мере, идентификационные данные мобильного IP-узла и/или продолжительность времени, и/или провайдера запрашиваемой услуги и передает далее в модуль расчетов, модуль расчетов в соответствии с запрашиваемой услугой, на основе данных модуля-посредника и первых записей детальных данных вызова, формирует ТАР-файлы и передает их вместе с распоряжениями о выписке счетов-фактур на модуль клиринговых (взаимных) расчетов, указанные распоряжения о выписке счетов-фактур включают в себя, по меньшей мере, соответствующие пользователю и/или соответствующие провайдеру услуг данные взаимных расчетов, модуль клиринговых расчетов производит расчеты за запрошенную услугу пользователя провайдеру стационарной сети и/или передает ТАР-файлы для взаимных расчетов провайдеру услуг GSM. Вторая запись детальных данных вызова может составляться в качестве варианта выполнения, например, по меньшей мере, на основе IP-адреса мобильного IP-узла и идентификации провайдера услуг, услуга которого была запрошена. Банк данных управления расчетами может, например, включать в себя IP-адреса и/или GSM-идентификацию пользователя и/или провайдера услуг. Первые записи детальных данных вызова мобильного IP-узла, которые передаются от сервера доступа к модулю расчетов, могут составляться на основе, в числе прочего, SIM-модуля, в то время как вторые записи детальных данных вызова, которые передаются от сервера доступа к модулю-посреднику, могут составляться на основе IP, как, например, на информации RADIUS. Это имеет, в числе прочего, преимущество, состоящее в том, что становится возможным беспрепятственный роуминг между различными и гетерогенными сетями WLAN. За счет соединения технологии WLAN, в особенности IP-сетей, с технологией GSM становится возможным роуминг пользователя без каких-либо проблем, не заботясь о регистрации, расчетах, авторизации услуг и т.д., у различных провайдеров услуг сетей WLAN, то есть с такими же удобствами, которые пользователь привык получать от технологии мобильной связи, например, согласно стандарту GSM. Одновременно полностью новым способом становится возможным связать преимущества открытой IP-среды (доступ к глобальной сети Интернет и т.д.) с такими преимуществами, как защита, расчеты, авторизация услуг и т.д. Изобретение также обеспечивает способ роуминга в сетях WLAN, не требуя встраивания в каждый сервер доступа соответствующего модуля. В противоположность этому, инфраструктура (WLAN/GSM) за счет применения протокола RADIUS может быть использована в неизменном виде.
В варианте выполнения поток данных мобильного IP-узла при доступе к сети WLAN направляется от точки доступа через провайдера услуг сети мобильной связи. Это, в числе прочего, имеет преимущество, состоящее в том, что провайдер услуг сети мобильной связи имеет полный контроль над потоком данных. Так он может предоставить авторизации конкретным услугам, провести детальный расчет, создать механизмы защиты. Тем самым он может связать открытую, трудно контролируемую IP-среду, например сеть Интернет, с преимуществами GSM-среды. Это играет особенно большую роль в последнее время, например, в связи с вопросами ответственности провайдера или поставщика услуг.
В другом варианте выполнения ТАР-файлы формируются, главным образом, на основе межоператорных тарифов, а также кодов идентификации ТАР мобильной сети общего пользования. В комбинации с этим или в качестве самостоятельного варианта осуществления также можно предположить, что банк данных управления расчетами включает в себя межоператорные тарифы (IOT), а также коды идентификации ТАР мобильной сети общего пользования. Этот вариант осуществления, в числе прочего, имеет преимущество, заключающееся в том, что провайдер услуг исходной (домашней) сети (HPMN) может просто проверить тарифы IOT провайдера услуг чужой сети (VPMN), в которой в данный момент находится (совершает роуминг) пользователь. Тем самым сеть VPMN может, например, предоставить льготы для конкретных соединений, а сеть HPMN может проконтролировать, чтобы они применялись корректным образом. Независимо от каких-либо программ льгот или уровней вызовов сети VPMN, сеть HPMN может, таким образом, просто заново пересчитать каждое соединение и/или каждый вызов в соответствии со своими собственными тарифами. Возможность определения цен за услуги независимо от того, в какой сети, чужой и/или исходной, находится в данный момент пользователь, может являться ценным средством при расчетах за услуги для сети HPMN, посредством которого можно, например, избежать потерь от особых снижений тарифов сети VPMN. Также можно за счет этого реализовать определенные схемы взаимных расчетов для сети HPMN, например, специальные цены за соединения с исходной сетью и/или страной проживания пользователя, и/или за вызовы внутри союзов стран, как, например, в Европе.
Кроме того, заявленное изобретение, наряду с соответствующим изобретению способом, также относится и к системе для осуществления этого способа.
Ниже варианты осуществления заявленного изобретения описаны на примерах со ссылками на чертежи, на которых представлено следующее.
Фиг.1 показывает блок-схему, иллюстрирующую соответствующий изобретению способ и систему для аутентификации пользователя при роуминге в гетерогенных сетях WLAN, причем мобильные IP-узлы 20 через контактный интерфейс соединены с SIM-картой 201 и посредством беспроводного соединения 48 получают доступ к пунктам доступа 21/22 сети WLAN. Сервер доступа 23 сети WLAN аутентифицирует мобильный IP-узел 20 на основе сохраненного на SIM-карте IMSI-идентификатора в регистре HRL 37 и/или в регистре VLR 37 сети мобильной связи стандарта GSM.
Фиг.2 показывает блок-схему, также иллюстрирующую соответствующий изобретению способ и систему для аутентификации пользователя при роуминге в гетерогенных сетях WLAN, причем мобильные IP-узлы 20 через контактный интерфейс соединены с SIM-картой 201 и посредством беспроводного соединения 48 получают доступ к сети WLAN. Сеть WLAN связана через сервер доступа 23 с сетью мобильной связи стандарта GSM, в особенности с регистром HLR 37 и/или регистром VLR 37, узлом GGSN (представляющим собой шлюзовой узел поддержки GPRS) 50 через узел GRX (GRX: коммутатор роуминга GPRS) 51, провайдером 52 Интернет-сервиса и системой 53 клиринговых расчетов для расчетов за требуемые услуги.
Фиг.3 показывает блок-схему, иллюстрирующую соответствующий изобретению способ и систему для беспрепятственного роуминга в гетерогенных сетях WLAN, причем открытая IP-среда посредством соответствующего изобретению способа и системы через интерфейсы аутентификации 371, SS7 372, авторизации 531 услуг и расчетов 532 соединены с соответствующей GSM-средой.
Фиг.4 показывает блок-схему, которая иллюстрирует структуру базирующегося на порте способа аутентификации протокола IEEE 802.1x, причем запрашивающий объект или клиент 20 дистанционного доступа аутентифицируется посредством аутентификатора или сервера 21 дистанционного доступа в сервере 23 аутентификации, при этом сеть WLAN базируется на протоколе IEEE 802.11.
Фиг.5 показывает блок-схему возможного варианта выполнения для SIM-аутентификации посредством расширяемого протокола аутентификации (ЕАР), причем применяется базирующийся на стандарте GSM способ вопросов-ответов.
Фиг.6 показывает блок-схему, которая схематично иллюстрирует структуру учета услуги и взаимных расчетов (выставления счетов и бухгалтерского учета) в смешанной среде сетей GSM 63/64 и/или стационарных сетей (PSTN) 61/62 согласно уровню техники. В частности, на Фиг.6 показаны функции протокола ТАР при выставлении счетов и бухгалтерском учете согласно GSM между различными провайдерами сетевых услуг 61/62/63/64.
Фиг.7 показывает блок-схему, которая схематично иллюстрирует структуру учета услуги и взаимных расчетов (выставления счетов и бухгалтерского учета) между провайдером услуг 80 исходной сети GSM и провайдером услуг 81 чужой сети GSM согласно уровню техники с применением протокола ТАР.
Фиг.8 показывает блок-схему, которая схематично иллюстрирует соответствующий изобретению способ и систему для учета услуги и взаимных расчетов при роуминге мобильного IP-узла в гетерогенных сетях WLAN. При этом первые записи детальных данных вызова от сервера доступа 21/1001 передаются в модуль 1003 расчетов, а вторые записи детальных данных вызова передаются от сервера доступа к модулю-посреднику 1002. Посредством модуля 1004 клиринговых расчетов производится расчет 1016 за затребованную услугу у провайдера 1008 стационарной сети 1007, и/или ТАР-файлы 1017 для взаимных расчетов передаются к провайдеру услуг 1006 GSM 1005.
На Фиг.1 представлена архитектура, которая может быть использована для реализации аутентификации согласно изобретению. Фиг.1 показывает блок-схему, иллюстрирующую соответствующий изобретению способ и систему для аутентификации пользователя при роуминге в гетерогенных сетях WLAN. На Фиг.1 ссылочной позицией 20 обозначен мобильный IP-узел, который имеет необходимую инфраструктуру, включая компоненты аппаратных средств и программного обеспечения, для реализации описываемых соответствующих изобретению способа и/или системы. Под мобильными узлами 20 следует понимать, в том числе, все возможное оборудование, устанавливаемое в помещении пользователя (СРЕ), которое предусматривается для использования в различных сетевых местоположениях и/или различных сетях. Оно включает в себя, например, все IP-приборы, такие как PDA, мобильные телефоны и портативные компьютеры. Мобильные узлы СРЕ или узлы 20 имеют один или более различных физических сетевых интерфейсов, которые могут поддерживать различные сетевые стандарты. Физические сетевые интерфейсы мобильного узла могут включать в себя, например, интерфейсы к беспроводной локальной сети (WLAN), системам стандартов Bluetooth, GSM (Глобальная система мобильной связи), GPRS (Общие услуги пакетной радиосвязи), USSD (Неструктурированные данные дополнительных услуг), UMTS (Универсальная мобильная телекоммуникационная система) и/или Ethernet или другой проводной локальной сети LAN и т.д. Ссылочная позиция 48 обозначает соответственно этому различные гетерогенные сети, такие как сеть Bluetooth, например, для установок в закрытых местах, сеть мобильной связи стандарта GSM и/или UMTS, беспроводную сеть LAN, например, базирующуюся на стандарте IEEE wireless 892.1x, а также проводную сеть LAN, то есть локальную стационарную сеть, в частности коммутируемую телефонную сеть общего пользования (PSTN) и т.д. В принципе следует отметить, что соответствующий изобретению способ и/или система не связаны с конкретным сетевым стандартом, если имеют место соответствующие изобретению признаки, а могут быть реализованы с любой локальной сетью LAN. Интерфейсы 202 мобильного IP-узла могут использовать не только интерфейсы с коммутацией пакетов, как они непосредственно используются такими сетевыми протоколами, как, например, Ethernet или Tokenring, но и интерфейсы с коммутацией каналов, которые могут использоваться посредством протоколов, таких как PPP, SLIP, GPRS, то есть таких протоколов, которые не имеют сетевых адресов, таких как MAC- или DLC-адрес. Как частично уже упоминалось, связь в локальной сети LAN может осуществляться посредством специальных коротких сообщений, например SMS, усовершенствованных услуг передачи сообщений (EMS), или посредством канала сигнализации, как, например, посредством USSD или других методов, таких как MExE (мобильная среда исполнения), GPRS, WAP (протокол беспроводных приложений) или UMTS, или посредством канала IEEE wireless 802.1x или другого используемого канала. Мобильный IP-узел 20 может содержать модуль протокола Mobile-IP (Mobile-IP-модуль) и/или IPsec-модуль. Основная задача протокола Mobile-IP состоит в том, чтобы мобильный IP-модуль 20 аутентифицировать в IP-сети и соответственно направлять IP-пакеты, имеющие IP-узел, в качестве адреса получателя. В качестве других спецификаций Mobile IP можно также сослаться на IETF RFC 2002, IEEE Comm. Vol.35 No.5 1997 и т.д. Протокол Mobile IP поддерживает, в частности, протоколы IPv6 и IPv4. Свойства протокола Mobile IP можно предпочтительным образом комбинировать с защитными механизмами модуля протокола защиты IP (IPsec-модуля), чтобы гарантировать надежное мобильное управление данными в общедоступной сети Интернет. Протокол IPsec вырабатывает механизм аутентификации/достоверности между сетевыми узлами, использующими протокол IPsec, на основе пакетов или на основе разъема. Одна из гибких особенностей протокола IPsec состоит в том, что он может конфигурироваться для каждого пакета, но также и для отдельных разъемов. Протокол IPsec поддерживает IPvx, в частности IPv6 и IPv4. Детальная информация о протоколе IPsec содержится, например, в следующих публикациях: Pete Loshin: IP Security Architecture; Morgan Kaufmann Publishers; 11/1999 или A Technical Guide to IPsec; James S et al., CRC Press, LLC; 12/2000 и т.д. Хотя протокол IPsec в этом примере выполнения описан в качестве примера для применения протоколов защиты на IP-уровне, изобретение включает в себя использование всех возможных других протоколов или механизмов защиты, а также отсутствие такого их использования.
Кроме того, IP-узел 20 связан через контактный интерфейс с SIM-картой 201 (SIM: модуль идентификации абонента), на которой сохранен IMSI-идентификатор пользователя сетей стандарта GSM. Для аутентификации мобильный IP-узел 20 требует доступа к сети WLAN через беспроводный интерфейс 202 в пределах базовой области обслуживания сети WLAN в пункте доступа 21/22. Как описано выше, различные сети WLAN различных «горячих точек» могут содержать гетерогенные сетевые протоколы и стандарты, как, например, сеть WLAN, базирующаяся на протоколах IEEE wireless 802.1x, Bluetooth и т.д. Базовая область обслуживания сети WLAN содержит один или более пунктов доступа 21/22, относящихся к серверу доступа 23. Мобильный IP-узел 20 передает по запросу сервера доступа 23 сохраненный на SIM-карте 201 мобильного IP-узла 20 IMSI-идентификатор на сервер доступа 23. IMSI-идентификатор мобильного IP-узла 20 сохраняется посредством SIM-RADIUS-модуля 30. На основе IMSI-идентификатора посредством сохраненной в SIM-банке данных 34 пользователей информации логический IP-канал данных сети WLAN добавляется соответственно пользователю к соответствующим GSM-данным для каналов сигнала и данных GSM-сети. GSM-система содержит каналы данных, так называемые каналы трафика, и каналы управления, так называемые каналы сигнализации. Каналы трафика (например, TCH/FS, TCH/HS, TCH/F9, 8/4.8/2.4 и TCH/H4.8/2.4 и т.д.) резервируются для пользовательских данных, в то время как каналы сигнализации (например, CCCH: общие каналы управления, RACH: каналы случайного доступа, DCCH: выделенные каналы управления, CBCH: каналы сотовой широковещательной передачи и т.д.) применяются для сетевого управления, контрольных функций и т.д. Логические каналы не все одновременно используются через интерфейс, а лишь в определенных комбинациях на основе GSM-спецификаций. Посредством модуля 32 SIM-шлюза для проведения аутентификации IP-узла на основе GSM-данных генерируются необходимые SS7/MAP-функции (SS7: Система сигнализации 7 Международного Союза по телекоммуникациям (ITU); MAP: Раздел мобильных приложений стандарта GSM), причем SIM-RADIUS-модуль 30 посредством SIM-банка данных 34 пользователей и модуля 32 SIM-шлюза проводит аутентификацию мобильного IP-узла на основе IMSI-идентификатора SIM-карты 201 мобильного узла 20 в регистре HLR 37 и/или в регистре VLR 37. Телекоммуникационный протокол SS7 ITU характеризуется так называемой высокоскоростной коммутацией каналов с внеполосной сигнализацией, причем применяются пункты коммутации услуг (SSP), пункты передачи сигнала (STP) и пункты управления услугами (SCP) (часто совместно обозначаемые также SS7-узлами). Внеполосная сигнализация представляет собой передачу сигналов, для которой применяется не тот же канал данных, который используется для передачи данных или речи. Для этого формируется отдельный цифровой канал (канал сигнала), по которому могут передаваться сигналы между двумя сетевыми компонентами в типовом случае со скоростью 56 или 64 кбит в секунду. Архитектура SS7 сформирована таким образом, что каждый сетевой компонент (узел) может обмениваться сигналами с каждым другим SS7-узлом, а не только с коммутаторами, которые непосредственно связаны друг с другом.
Как показано на Фиг.5, аутентификация мобильного IP-узла 20 может проводиться, например, посредством расширяемого протокола аутентификации (ЕАР). В основанном на протоколе ЕАР способе для аутентификации пользователя и для выдачи ключей сеанса пользователю посредством SIM-модуля стандарта GSM может применяться, например, следующий способ вопросов-ответов. Для алгоритма аутентификации SIM-карты в качестве вопроса используется 128-битовое случайное число (RAND). На SIM-карте выполняется затем специфический для соответствующего оператора доверительный алгоритм, который получает в качестве входных данных случайное число RAND и секретный сохраненный на SIM-карте ключ Ki и из этих данных генерирует 32-битовый ответ (SPEC) и 64-битовый ключ Kc. Ключ Кс служит для шифрования передачи данных через беспроводные интерфейсы (Технические Спецификации стандарта GSM 03.20 (ETS 300534): «Цифровая сотовая телекоммуникационная система (Фаза 2); Сетевые функции, связанные с защитой», Европейский Институт стандартов по телекоммуникациям, Август 1997). Для аутентификации применяется несколько вопросов RAND для генерирования нескольких 64-битовых ключей Кс. Эти ключи Кс комбинируются в один более длинный ключ сеанса. На Фиг.4 схематично представлена структура способа аутентификации, осуществляемого между мобильным IP-узлом 20, пунктом доступа 21 и сервером доступа 23 на основе порта по протоколу IEEE 802.1x, причем мобильный IP-узел 20 (клиент дистанционного доступа/запрашивающий объект) через пункт доступа 21 (аутентификатор) аутентифицируется в сервере доступа 23. Сеть WLAN базируется в этом примере выполнения на стандарте IEEE 802.11. Чтобы провести GSM-аутентификацию, модуль 32 SIM-шлюза функционирует в качестве шлюза между сетью сервера сервиса аутентификации в Интернет (IAS) и инфраструктурой GSM-аутентификации, то есть пунктом доступа 21/22 или сервером доступа 23 и регистром HLR 37 и/или регистром VLR 37. В начале EAP/SIM-аутентификации сервер доступа 23 запрашивает в первом ЕАР-запросе 1 через пункт доступа 21/22 от мобильного IP-узла 20, в числе прочего, IMSI-идентификатор пользователя. Этот идентификатор передается мобильным IP-узлом 20 посредством ЕАР-ответа 2 в пункт доступа 21/22. С помощью IMSI-идентификатора сервер доступа 23 получает на один запрос триплета от соответствующего регистра HLR 37 и/или регистра VLR 37 n GSM-триплетов. На основе этих триплетов сервер доступа 23 может получить код аутентификации сообщения для n*RAND и срок действия ключа (вместе МАС_RAND), а также ключ сеанса. На этапе 3 ЕАР (Фиг.5) сервер доступа 23 посылает затем, например, ЕАР-запрос типа 18 (SIM) к мобильному IP-узлу 20 и получает соответствующий ЕАР-ответ 4. ЕАР-пакеты данных типа SIM имеют дополнительно поле подтипа. Первый ЕАР-запрос/SIM соответствует подтипу 1 (запуск). Этот пакет содержит список номеров версий протокола EAP/SIM, которые поддерживаются сервером доступа 23. ЕАР-ответ/SIM (запуск) 4 (фиг.5) мобильного IP-узла содержит выбранный мобильным IP-узлом номер версии. Мобильный IP-узел 20 должен выбрать один из указанных в ЕАР-запросе номеров версий. ЕАР-ответ/SIM (запуск) мобильного IP-узла 20 содержит также предложение о сроке действия для ключа (Key) и случайное число NONCE_MT, которое сформировано мобильным IP-узлом. Все последующие EAP-запросы содержат ту же версию, что и EAP-ответ/SIM (запуск) пакета данных мобильного IP-узла 20. Как упомянуто, этот вариант выполнения, чтобы осуществить GSM-аутентификацию, использует модуль 32 SIM-шлюза, который функционирует в качестве шлюза между сервером доступа 23 и регистром HLR 37 или регистром VLR. После получения EAP-ответа/SIM сервер доступа 23 получает n GSM-триплетов от регистров HLR/VLR 37 GSM-сети. Из триплетов сервер доступа 23 вычисляет MAC_RAND и ключ сеанса К. Вычисление криптографических значений SIM-генерированного ключа сеанса К и кода аутентификации сообщений MAC-RAND и MAC_SRES описано, например, в документе "HMAC: Keyed-Hashing for Message Authentification", H.Krawczyk, M.Bellar, R.Canetti (RFC2104, Feb.1997). Следующий EAP-запрос 5 (фиг.5) сервера доступа 23 является вопросом типа SIM и подтипа. Запрос 5 содержит вопросы RAND, определенный сервером доступа 23 срок действия ключа, код аутентификации сообщений для вопросов и срока действия (MAC_RAND). После получения EAP-запроса/SIM (вопроса) 5 на SIM-карте выполняется GSM-алгоритм аутентификации 6, который вычисляет копию MAC_RAND. Мобильный IP-узел 20 контролирует, является ли вычисленное значение MAC_RAND равным полученному значению MAC_RAND. Если отсутствует совпадение обоих значений, то мобильный IP-узел 20 прерывает процедуру аутентификации и не посылает вычисленное на SIM-карте значение аутентификации в сеть. Так как значение RAND получается вместе с кодом аутентификации сообщений MAC-RAND, мобильный IP-узел 20 может гарантировать, что значение RAND является новым и генерировано GSM-сетью. Если все проверки оказались корректными, мобильный IP-узел 20 посылает EAP-ответ/SIM (вопрос) 7, который в качестве ответа содержит MAC_SRES мобильного IP-узла 20. Сервер доступа 23 проверяет, является ли корректным MAC_RES и, наконец, посылает указывающий на успех проверки EAP пакет данных 8 (Фиг.5), который показывает мобильному IP-узлу 20, что аутентификация была успешной. Сервер доступа 23 может дополнительно послать полученный ключ сеанса с сообщением аутентификации (успех проверки EAP) в пункт доступа 21/22. При успешной аутентификации проводится обновление данных местоположения в регистре HLR 37 и/или в регистре VLR 37, и мобильный IP-узел 20 получает соответствующую запись в пользовательской базе данных сервера доступа, причем сеть WLAN предоставляется для использования мобильным IP-узлом 20. Как упомянуто, это имеет, в числе прочего, преимущество, заключающееся в том, что становится возможным беспрепятственный роуминг между различными и гетерогенными сетями WLAN. За счет сопряжения технологии WLAN, в частности IP-сетей, с технологией GSM становится возможным роуминг пользователя, который при этом может не заботиться о регистрации, расчетах, авторизации услуг и т.д. у различных провайдеров услуг сети WLAN, то есть пользователь испытывает те же удобства, к которым он привык в связи с применением технологии мобильной связи, такой как GSM. Одновременно, совершенно новым способом можно связать преимущества открытой IP-среды (доступ к глобальной сети Интернет) с преимуществами обеспечения защиты, расчетов, авторизации услуг и т.д. Изобретение позволяет создать метод для роуминга в сетях WLAN, не требуя при этом встраивания в каждый сервер доступа соответствующего модуля. В противоположность этому, инфраструктура (WLAN/GSM) за счет применения протокола RADIUS может применяться в неизменном виде.
Фиг.2 и Фиг.3 представляют на блок-схеме соответствующие изобретению способ и систему, поясняя, каким образом через интерфейсы аутентификации 371, SS7 372, авторизацию услуг 531 и расчеты 532 открытая IP-среда 57 связывается с ограниченной GSM-средой 58. Ссылочная позиция 38 обозначает различных провайдеров услуг сети мобильной связи с соответствующими регистрами HLR/VLR 37. В качестве варианта выполнения возможно, что поток данных мобильного IP-узла 20 при доступе к сети WLAN от точки доступа 21/22 маршрутизируется через провайдера 38 услуг сети мобильной связи. Это позволяет провайдеру 38 услуг сети мобильной связи на основе аутентификации посредством соответствующей пользователю авторизации услуг, определяемой IMSI-идентификатором, предоставить для использования различные услуги и/или провести соответствующий пользователю расчет за затребованные услуги. Авторизация услуг могла бы в принципе также осуществляться, например, с помощью модуля 214 непосредственно в пункте доступа 21/22. Согласно Фиг.2 другие мобильные IP-узлы 20 через контактный интерфейс связаны с SIM-картой и за счет беспроводного соединения 48 получают доступ к сети WLAN. Сеть WLAN через сервер доступа 23 связана с мобильной сетью GSM, в частности с регистром HLR 37 и/или регистром VLR 37, узлом GGSN 50 через модуль GRX 51, провайдером Интернет-сервиса 52 и системой 53 клиринговых расчетов для выставления счетов за затребованные услуги.
Следует отметить, что в расширенном относительно описанного выше примера выполнения SIM-банк данных 34 пользователей связан с модулем 35 синхронизации и с синхронизированным банком данных 36 для изменения или стирания существующих блоков пользовательских данных или для добавления новых блоков пользовательских данных, причем сравнение банков данных 34/36 проводится периодически и/или инициируется изменениями синхронизированного банка данных 36 и/или сбоем SIM-банка данных 34 пользователей. Модуль 35 синхронизации и синхронизированный банк данных 36 могут быть реализованы, как и остальные соответствующие изобретению компоненты, аппаратными средствами и программным обеспечением как самостоятельные сетевые компоненты, например самостоятельный IP-узел, и/или как подчиненные GSM-компоненту или другому компоненту, и/или как интегрированные в другой системный компонент. В этих вариантах выполнения провайдер 38 сети мобильной связи может действовать аналогичным способом для изменения или стирания существующих блоков пользовательских данных или для добавления новых блоков пользовательских данных, как он действовал до сих пор в отношении своих банков данных пользователей, то есть без необходимости приобретения или обслуживания дополнительных систем.
На Фиг.6 показана блок-схема, которая схематично представляет структуру учета услуги и взаимных расчетов (выставления счетов и бухгалтерского учета) в смешанной среде сетей GSM 63/64 и/или стационарных сетей (PSTN) 61/62 согласно уровню техники. В противоположность этому, Фиг.7 показывает блок-схему, которая схематично иллюстрирует структуру учета услуги и взаимных расчетов (выставления счетов и бухгалтерского учета) между провайдером услуг 80 исходной сети GSM и провайдером услуг 81 чужой сети GSM согласно уровню техники с применением протокола ТАР. Для выставления счетов и бухгалтерского учета за услуги, запрошенные мобильными компонентами в сетях GSM, согласно уровню техники применяется протокол TAP (Процедура перевода счетов), разработанный Группой обмена данными переведенного счета (TADIG) GSM-Ассоциации. На Фиг.6 ссылочные позиции 61 и 62 обозначают провайдеров услуг стационарных сетей (PSTN/ISDN). Ссылочная позиция 70 обозначает функции выставления счетов и бухгалтерского учета за вызовы в стационарной сети, обеспечиваемые провайдерами стационарных сетей согласно уровню техники. Ссылочная позиция 71 обозначает функции выставления счетов и бухгалтерского учета между различными провайдерами 63/64 мобильных сетей согласно протоколу ТАР. Ссылочная позиция 72 соответствует вышеупомянутому «оптовому биллингу», а ссылочная позиция 73 соответственно представляет «розничный биллинг». Ссылочные позиции 65/66 относятся к провайдерам услуг GSM. Следовательно, пользователям 57/58 выставляются счета-фактуры либо посредством оптового биллинга 72 через провайдера 65/66 услуг, либо прямо посредством розничного биллинга 73 через провайдера 63/64 услуг мобильной сети GSM.
Фиг.7 показывает возможный обмен данными между двумя сетевыми провайдерами 80/81 на основе протокола ТАР. Детальные данные 813 вызова регистрируются пользователем 90, который находится в чужой сети VPLMN (посещаемая наземная мобильная сеть общего пользования) 81/902, в центре MSC 812 (центр коммутации мобильной связи) сети 81. Каждый вызов формирует, таким образом, один или более записей 813 вызовов. Стандарт GSM для этих записей определен в GSM 12.05, хотя многие провайдеры используют свои собственные форматы. Записи 813 вызовов центра MSC 812 передаются в систему 811 расчетов сети VPLMN 81 для взаимных расчетов. Эти записи 813 вызова затем преобразуются в TAP-формат 814 и соотносятся с соответствующим пользователем 90. Не позже чем в течение 36 часов ТАР-записи 814 пересылаются соответствующему провайдеру 801 услуг мобильной сети исходной сети 80. ТАР-файлы 814 дополнительно содержат информацию относительно тарифов за услуги провайдера (IOT) и всех других двусторонних соглашений и схем льгот. ТАР-записи посылаются непосредственно или, более часто, через центр взаимных расчетов, например центр клиринговых расчетов. После того как провайдер 801 исходной сети HPMN получит ТАР-запись 814 из сети VPLMN 811, он преобразует эту запись в соответствующий внутренний формат 802 и производит по ней расчеты вместе с обычными записями вызова пользователя 90, сформированными им в исходной сети 80. При оптовом биллинге, при котором провайдер 82 услуг пересчитывает 901 понесенные расходы на счет пользователя 90, сеть HPMN 801 передает запись 802 далее провайдеру 82 услуг, который может заново пересчитать вызовы, в частности, согласно собственным тарифам, и формирует 821 итоговый счет 83 с детальными данными вызова для пользователя 90. При таком способе расчет 901 для пользователя 90 всегда производится через сеть HPLMN 801.
Фиг.8 иллюстрирует соответствующие изобретению способ и систему для учета услуг и взаимных расчетов при роуминге мобильного IP-узла 20 в гетерогенных сетях WLAN, согласно которым мобильный IP-узел через беспроводный интерфейс внутри базовой области обслуживания сети WLAN получает доступ к пункту доступа 21/22 сети WLAN. Базовая область обслуживания сети WLAN содержит один или более относящихся к серверу доступа 23/1001 пунктов доступа 21/22. Мобильный IP-узел 20 через соответствующий пункт доступа 21/22 передает на запрос сервера доступа 23/1001 по запросу сервера доступа 23/1001 сохраненный на SIM-карте 201 мобильного IP-узла 20 IMSI-идентификатор. IMSI-идентификатор мобильного IP-узла 20 сохраняется в банке данных 31 SIM-RADIUS-модуля 30. SIM-RADIUS-модуль 30 посредством SIM-банка данных 34 пользователей и модуля 32 SIM-шлюза добавляет логический IP-канал данных сети WLAN в соответствии с пользователем к соответствующим GSM-данным для каналов сигналов и данных сети GSM. Через добавленные каналы сигналов и данных проводится аутентификация и/или авторизация услуг мобильного IP-узла на основе IMSI-идентификатора SIM-карты 201 мобильного узла 20 в регистре HLR 37 и/или в регистре VLR 37 сети GSM, как представлено на Фиг.1, 2 и 3. Для выставления счетов и бухгалтерского учета модуль 1003 расчетов обращается через интерфейс 1031 шлюза расчетов к серверу доступа 23/1001. Через интерфейс 1031 шлюза расчетов первые записи детальных данных вызова мобильного IP-узла передаются от сервера доступа 23/1001 к модулю 1003 расчетов. Модуль 1003 расчетов имеет соответствующий реализованный программными и/или аппаратными средствами модуль, посредством которого он может получать CDR-файлы через интерфейс 1031 шлюза расчетов от сервера доступа 23/1001 и передавать на модуль 1003 расчетов и/или модуль-посредник 1002. Загрузка может происходить периодически, например, ежедневно, или по запросам сервера доступа 23/1001, и/или модуля 1003 расчетов, и/или модуля-посредника 1002. Подобная первая запись детальных данных вызова может, например, обозначаться соответственно определенным файловым идентификатором приложения в модуле 1003 расчетов. Первая запись детальных данных (CDR) вызова может, например, включать в себя основанную на SIM-модуле информацию аутентификации. Основанная на SIM-модуле информация аутентификации может включать в себя, в числе прочего, ИД «горячей точки», номер файла в последовательности полученных файлов, а также иметь так называемую временную метку завершения переноса (как, например, определено в документе GSM PRD TD.57). Чтобы обеспечить простой доступ к серверу доступа, записи CDR могут сохраняться, например, в трех различных директориях на сервере доступа. Например, одна директория содержит открытые файлы, то есть файлы, которые еще изменяются, другая директория содержит файлы, которые хотя и являются закрытыми (то есть больше не изменяются), но маркированы как не подлежащие пересылке, и еще одна директория содержит файлы, которые закрыты и готовы для пересылки. Интерфейс 1031 шлюза расчетов содержит банк данных 1032 управления расчетами с профилем конфигурации каждого сервера доступа 23/1001. То есть модуль 1003 расчетов может получать коммуникационный профиль для желательного сервера доступа 23/1001 горячей точки от банка данных 1032 управления расчетами. Банк данных 1032 управления расчетами содержит все необходимые профили и операционные конфигурации, которые необходимы для обмена данными и работы с провайдерами 1006 услуг GSM, провайдерами услуг сетей WLAN и горячими точками. Банк данных 1032 управления расчетами может содержать, в частности, IP-адреса и/или GSM-идентификацию пользователей и/или провайдеров услуг. На основе, в том числе, информации банка данных 1032 управления расчетами выдаются, в том числе, записи CDR (IP-адреса и т.д.), TAP-файлы (PMN-коды (код ТАР-идентификатора мобильной сети), тарифы IOT), распоряжения о выставлении счетов-фактур для провайдеров услуг сетей WLAN (сумма счета и т.д.) и авторизация горячих точек для провайдера услуг GSM (сигнализация и т.д.). В качестве варианта выполнения может быть указано на автоматизированный способ обновления данных банка данных управления расчетами посредством модуля шлюза сигнализации. Такой способ обновления данных позволил бы реализовать согласованную и актуальную аутентификацию и авторизацию модуля 1003 расчетов в различных серверах доступа. Кроме того, вторые записи детальных данных вызовов мобильного IP-узла 20 передаются 1010 на модуль-посредник 1002, причем модуль-посредник 1002 определяет идентификационные данные мобильного IP-узла 20 и/или срок действия и/или провайдера запрошенной услуги и передает 1012 далее на модуль 1003 расчетов. Загрузка может происходить посредством упомянутого реализованного программными или аппаратными средствами модуля, который может получать CDR-файлы через интерфейс 1031 шлюза расчетов от сервера доступа 23/1001 и передавать на модуль 1003 расчетов и/или модуль-посредник 1002. Загрузка может происходить периодически, например, ежедневно, или по запросам сервера доступа 23/1001, и/или модуля 1003 расчетов, и/или модуля-посредника 1002. Вторые записи детальных данных вызова могут формироваться, например, по меньшей мере, на основе IP-адреса мобильного IP-узла и идентификаций провайдеров услуг, услуги которых были запрошены мобильным узлом. То есть первые записи детальных данных вызовов мобильного IP-узла, которые передаются от сервера доступа к модулю расчетов, формируются на основе SIM-модуля, в то время как вторые записи детальных данных вызовов, которые передаются от сервера доступа к модулю-посреднику, формируются на основе IP-протокола, например, на информации RADIUS. Информация вторых записей CDR требуется, в том числе, для выставления счетов и взаимных расчетов органами управления пользователя и провайдера услуг WLAN. Модуль 1003 расчетов формирует соответственно запрошенным услугам TAP-файлы 1014 и передает их вместе с распоряжениями 1013 на выставление счетов-фактур в модуль 1004 клиринговых расчетов. То есть входящие идентифицированные IMSI-идентификаторами записи CDR преобразуются соответственно в ТАР-формат. ТАР-файлы могут формироваться, например, также на основе межоператорных тарифов IOT, а также кодов ТАР-идентификации мобильных сетей общего пользования. В комбинации с этим или в качестве самостоятельного варианта выполнения, также, например, возможно, что банк данных управления расчетами содержит межоператорные тарифы IOT и коды ТАР-идентификации мобильных сетей общего пользования. Распоряжения 1013 на выставление счетов-фактур содержат, по меньшей мере, данные взаимных расчетов, соответствующие пользователям и/или провайдерам услуг. Модуль 1004 клиринговых расчетов может произвести расчеты за запрошенную услугу пользователя 1008 для провайдера 1008 стационарной сети 1007 и/или передать ТАР-файлы 1017 для расчетов провайдеру 1006 услуг GSM 1005. Следует отметить, что все соответствующие изобретению модули и/или сетевые компоненты могут быть реализованы программными или аппаратными средствами. Поток данных мобильного IP-узла 20 может, например, при доступе к сети WLAN из пункта доступа 21/22 направляться через провайдера услуг мобильной сети. Тем самым провайдер мобильной сети получает полный контроль за потоком данных пользователя. Так он может предоставлять авторизацию также для услуг, характерных для IP-среды, выполнять детальные расчеты и встраивать механизмы защиты. Таким образом, он может тем самым связать открытую трудно контролируемую IP-среду, например Интернет, с преимуществами среды GSM. Это играет особенно большую роль в последнее время, например, в связи с вопросами ответственности провайдера или поставщика услуг.
Изобретение относится к способу и системе учета услуг и взаимных расчетов при роуминге мобильного IP-узла в гетерогенных сетях WLAN. Техническим результатом является обеспечение возможности совершать роуминг между различными горячими без каких-либо проблем, например, не заботясь о регистрации, расчетах и авторизации для услуг у различных провайдеров услуг сетей WLAN. Для этого первые записи детальных данных вызова передаются от сервера доступа к модулю расчетов, а вторые записи детальных данных вызова передаются на модуль-посредник. Посредством модуля расчетов производятся расчеты за запрошенную услугу у провайдера стационарной сети и/или передаются ТАР-файлы для взаимных расчетов провайдеру услуг GSM. 2 н. и 10 з.п. ф-лы, 8 ил.
| СПОСОБ ПРЕДОСТАВЛЕНИЯ ПОЛЬЗОВАТЕЛЯМ ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ ДОСТУПА К ОБЪЕКТАМ | 1998 |
|
RU2169437C1 |
| Печь для непрерывного получения сернистого натрия | 1921 |
|
SU1A1 |
| WO 00/79822 A1, 28.12.2000 | |||
| Аппарат для очищения воды при помощи химических реактивов | 1917 |
|
SU2A1 |
| Дорожная спиртовая кухня | 1918 |
|
SU98A1 |
