專利名稱:利用接通服務(wù)器安全接通移動臺的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明一般地說針對無線網(wǎng)絡(luò),更具體地說��,針對用于對蜂窩電話手機(jī)或其它移動裝置執(zhí)行安全的空中(OTA:over-the-air)接通的系統(tǒng)���。
可靠的預(yù)測表明到2000年��,全球?qū)⒂谐^三億蜂窩電話用戶�。在美國���,由蜂窩業(yè)務(wù)經(jīng)營者�����、地方貝爾公司�����、國家長途經(jīng)營者來提供蜂窩業(yè)務(wù)��。增強(qiáng)的競爭已驅(qū)使蜂窩業(yè)務(wù)的價格降低到大部分人承受得起的程度�。
當(dāng)前一代蜂窩電話主要用于使用用戶手機(jī)(無線移動臺)的一方與使用相同類型用戶手機(jī)的另一方之間的通過無線網(wǎng)絡(luò)的語音對話。少量無線移動臺是數(shù)據(jù)設(shè)備���,諸如裝有蜂窩/無線調(diào)制解調(diào)器的個人計(jì)算機(jī)(PC)。由于當(dāng)前一代無線移動臺的帶寬通常限制在每秒數(shù)十千位(Kbps)��,所以����,當(dāng)前一代無線移動臺的應(yīng)用相對受限??墒牵A(yù)期這在新一(第三)代蜂窩/無線技術(shù)���、有時稱為“3G”蜂窩/無線技術(shù)中會有所改變���,其中每一個無線移動臺將可獲得更大的帶寬(例如125 kbps或更大)����。更高的數(shù)據(jù)率將使無線移動臺的因特網(wǎng)應(yīng)用更普遍�。例如,3G蜂窩電話(或具有3G蜂窩調(diào)制解調(diào)器的PC)可通過因特網(wǎng)瀏覽網(wǎng)站����、發(fā)送和接收圖形、執(zhí)行流式音頻和/或視頻應(yīng)用等�。總言之�����,由3G蜂窩系統(tǒng)處理的無線業(yè)務(wù)的更大一部分將是因特網(wǎng)協(xié)議(IP)的業(yè)務(wù)����,而較小一部分將是傳統(tǒng)的語音業(yè)務(wù)。
為了使無線業(yè)務(wù)盡可能的方便和盡可能的負(fù)擔(dān)得起��,無線業(yè)務(wù)經(jīng)營者經(jīng)常從超市和商場的展示亭直接向潛在的用戶出售蜂窩手機(jī)(或其它類型的移動臺)����。提供簡單的說明來指導(dǎo)購買者激活蜂窩手機(jī)并簽約承擔(dān)無線業(yè)務(wù)的義務(wù)而成為用戶。在傳統(tǒng)的蜂窩系統(tǒng)中,手機(jī)購買者按照新手機(jī)的說明書通過在新手機(jī)鍵盤上撥打“*228xx”來啟動新手機(jī)并簽約承擔(dān)無線業(yè)務(wù)的義務(wù)�����?��!皒x”的值隨著銷售手機(jī)的無線業(yè)務(wù)經(jīng)營者的標(biāo)識而變化��。
盡管最初未被接通�,然而新手機(jī)必然必須具有使自身能被接通的某些最小射頻(RF)通信能力�����。在新手機(jī)鍵盤上撥打“*228xx”便自動地啟動特定目的的呼叫�,后者把新手機(jī)購買者連接到經(jīng)營者���。經(jīng)營者需要所述購買者的某些帳戶信息�����,諸如個人信息��、信用卡號��、歸屬記帳地址(home billing address)�����、等等�����。當(dāng)收集了帳戶信息并設(shè)立了帳戶時�,經(jīng)營者指示新手機(jī)購買者輸入幾串密碼、碼號�����、菜單選擇命令等���,啟動新手機(jī)中的一些功能��。
上述過程通常被稱為“服務(wù)接通”��。服務(wù)接通可以在蜂窩手機(jī)中激活號碼指配模組(NAM)�,后者向手機(jī)提供唯一的呼入電話號碼并通過標(biāo)識認(rèn)定的無線運(yùn)營者(identifying approved wirelesscarriers)而提供漫游能力��。服務(wù)接通還可以在手機(jī)中啟動優(yōu)選漫游列表(PRL:Preferred Roaming List)���,后者是一列各個地理區(qū)域中各個運(yùn)營者所擁有的頻率/頻帶并且還可以標(biāo)識各個區(qū)域中優(yōu)選的和/或禁止的頻率���。服務(wù)接通還在蜂窩手機(jī)中激勵驗(yàn)證碼����,有時稱為“A密鑰”�����。當(dāng)用戶想要接入無線網(wǎng)絡(luò)時���,手機(jī)利用A密鑰來對手機(jī)進(jìn)行驗(yàn)證�����。
無線網(wǎng)絡(luò)利用歸屬位置寄存器(HLR)來存儲A密鑰��、電話號碼、漫游能力信息�����、和有關(guān)已經(jīng)或正在被無線網(wǎng)絡(luò)驗(yàn)證及接通的各個手機(jī)的其它數(shù)據(jù)�。HLR是無線業(yè)務(wù)經(jīng)營者使用的永久數(shù)據(jù)庫,用以標(biāo)識/驗(yàn)證用戶并存儲各個用戶有關(guān)特性和業(yè)務(wù)的數(shù)據(jù)。當(dāng)用戶正在用戶歸屬覆蓋區(qū)域接入無線網(wǎng)絡(luò)時�,用戶的無線業(yè)務(wù)經(jīng)營者使用HLR數(shù)據(jù)。當(dāng)用戶正在用戶歸屬覆蓋區(qū)域之外漫游時�,其它無線業(yè)務(wù)經(jīng)營者也使用HLR數(shù)據(jù)(通常經(jīng)由有線電話網(wǎng)絡(luò)來訪問)。
上述傳統(tǒng)接通過程具有許多缺點(diǎn)���。操作員必須通過按鍵和核查屏幕結(jié)果的處理過程來與用戶對話��。這樣做耗費(fèi)時間并且經(jīng)常產(chǎn)生錯誤����,特別是對于沒有經(jīng)驗(yàn)的用戶����,情況更是這樣。最初可能會忽視某些錯誤��,然后用戶可能因蜂窩業(yè)務(wù)不能象告知的那樣工作而變得失望����。最終診斷出錯誤時,可能需要至少部分地重新執(zhí)行接通過程�����。經(jīng)營者還增加了接通過程的勞動力費(fèi)用。
最好盡可能最大程度地自動進(jìn)行蜂窩服務(wù)接通���,以便降低勞動力成本�、消除錯誤����,并通過最小化或消除用戶交互行為而使所述處理更加對用戶友好。具體地說����,通過經(jīng)由互聯(lián)網(wǎng)從未接通的手機(jī)接入接通服務(wù)器而進(jìn)行空中(OTA)蜂窩服務(wù)接通會更加方便。在這種情況下�,手機(jī)不是向操作員進(jìn)行語音呼叫,而是向無線網(wǎng)絡(luò)的基站進(jìn)行發(fā)送因特網(wǎng)協(xié)議(IP)數(shù)據(jù)包的數(shù)據(jù)呼叫以及從無線網(wǎng)絡(luò)的基站接收IP數(shù)據(jù)包��。3G系統(tǒng)將使手機(jī)的OTA服務(wù)接通更容易���、更普通��。
可是��,對無線業(yè)務(wù)經(jīng)營者來說,手機(jī)的OTA服務(wù)接通會出現(xiàn)嚴(yán)重的安全問題���,特別是有關(guān)欺騙方面的問題��。對來自未接通的手機(jī)的初始建立數(shù)據(jù)呼叫進(jìn)行處理的基站可能沒有存儲所需的接通數(shù)據(jù)�����。而基站通常是從無線業(yè)務(wù)經(jīng)營者的網(wǎng)絡(luò)中的一個或多個接通服務(wù)器來訪問接通數(shù)據(jù)并且有可能可以或不可以通過內(nèi)部網(wǎng)或通過因特網(wǎng)來訪問所述接通服務(wù)器���。許多無線業(yè)務(wù)經(jīng)營者經(jīng)營著彼此不是直接連接�、而是連接到地方貝爾電話公司和/或主要長途電信公司的基站組�。如果沒有因特網(wǎng)或內(nèi)部網(wǎng)連接,每一組基站需要其自己的接通服務(wù)器�����。要不然����,無線電信公司必須向地方貝爾公司和/或長途電信公司支付額外的線路費(fèi)用來把基站連接到接通服務(wù)器。
利用因特網(wǎng)連接使得無線業(yè)務(wù)經(jīng)營者可以將所有服務(wù)接通應(yīng)用程序和數(shù)據(jù)結(jié)合在一個中心存儲庫�����,而不是費(fèi)用極高地在許多服務(wù)器中保持這些信息的冗余備份�����。可是��,可以預(yù)知有經(jīng)驗(yàn)的用戶可以利用未接通的手機(jī)(可能具有一些微小的改動)假借服務(wù)接通來訪問無線網(wǎng)絡(luò)����,然后利用無線網(wǎng)絡(luò)來訪問因特網(wǎng)上的所有IP地址、而不僅僅是接通服務(wù)器的IP地址�����。實(shí)際上���,用戶可以利用未接通的手機(jī)免費(fèi)在因特網(wǎng)上沖浪(surf)而欺騙無線業(yè)務(wù)經(jīng)營者����。
這種問題因幾種原因而存在�����。第一�,公眾免費(fèi)獲得其它服務(wù)的IP地址。第二�,傳統(tǒng)的無線網(wǎng)絡(luò)沒有提供能夠阻止對未授權(quán)的IP地址進(jìn)行訪問的方法或裝置�����,后者是通過網(wǎng)絡(luò)對未接通移動臺的了解而啟動的。第三��,即使網(wǎng)絡(luò)向移動臺提供用于接通的IP地址���,所述移動臺也必須被被信得過只使用所述IP地址��。
因此���,技術(shù)上需要改進(jìn)的系統(tǒng)和方法,用于執(zhí)行無線手機(jī)(和其它類型的移動臺)的自動服務(wù)接通����。具體地說,技術(shù)上需要執(zhí)行無線裝置的安全空中(OTA)接通的系統(tǒng)和裝置���。更具體地說�,需要能夠防止未授權(quán)者利用未接通的手機(jī)或其它類型的移動臺瀏覽因特網(wǎng)的系統(tǒng)和方法�����。
針對上述先有技術(shù)的不足,本發(fā)明的主要目的是提供一種用于包括許多基站的無線網(wǎng)絡(luò)的安全裝置��,其中每一個基站能夠與許多移動臺進(jìn)行通信����。所述安全裝置能夠避免許多移動臺中未接通的移動臺通過無線網(wǎng)絡(luò)訪問因特網(wǎng)協(xié)議(IP)數(shù)據(jù)網(wǎng)絡(luò)。在本發(fā)明的優(yōu)選實(shí)施例中���,所述安全裝置包括第一控制器�����,后者能夠從未接通的移動臺接收包含IP數(shù)據(jù)包頭標(biāo)和IP數(shù)據(jù)包凈荷的IP數(shù)據(jù)包��、以及用包含無線網(wǎng)絡(luò)的至少一個接通服務(wù)器中被選擇的一個服務(wù)器IP地址的置換IP數(shù)據(jù)包頭標(biāo)來代替所述IP數(shù)據(jù)包頭標(biāo)�����、并且對IP凈荷的至少一部分進(jìn)行加密�。
按照本發(fā)明的一個實(shí)施例��,所述第一控制器設(shè)置在許多基站中的至少一個基站�����。
按照本發(fā)明的另一個實(shí)施例,所述第一控制器設(shè)置在無線網(wǎng)絡(luò)的移動交換中心���。在本發(fā)明的其它實(shí)施例中�,所述第一控制器可以設(shè)置在無線網(wǎng)絡(luò)的互通功能單元����、或者可以分隔在移動交換中心和互通功能單元之間�����。
按照本發(fā)明的又一個實(shí)施例���,所述安全裝置還包括第二控制器���,后者能夠確定未接通的移動臺未被接通。
按照本發(fā)明的再一個實(shí)施例��,如果對所述無線網(wǎng)絡(luò)來說未接通的移動臺是不能驗(yàn)證的�����,則所述第二控制器確定所述未接通的移動臺未被接通。
按照本發(fā)明的另一個實(shí)施例�����,所述第二控制器根據(jù)預(yù)定電話號碼�����、預(yù)定IP地址�����、或與服務(wù)接通過程有關(guān)的其它唯一標(biāo)識符中由未接通的移動臺選擇的一個來確定未接通的移動臺未被接通�����。
按照本發(fā)明的又一個實(shí)施例�����,所述第二控制器根據(jù)從與無線網(wǎng)絡(luò)有關(guān)的歸屬位置寄存器中檢索的數(shù)據(jù)來確定未接通的移動臺未被接通��。
按照本發(fā)明的再一個實(shí)施例�����,所述第一控制器包括能夠執(zhí)行與數(shù)據(jù)處理器有關(guān)的存儲器中存儲的加密程序的數(shù)據(jù)處理器。
按照本發(fā)明又一個實(shí)施例��,所述第一控制器根據(jù)負(fù)荷分散算法(load spreading algorithm)�、通過選擇置換IP數(shù)據(jù)包頭標(biāo)中的IP地址來選擇最小負(fù)荷的一個接通服務(wù)器。
上面相當(dāng)概括地概述了本發(fā)明的特征和技術(shù)優(yōu)點(diǎn)�,以便本領(lǐng)域的技術(shù)人員可以更好地理解下文對本發(fā)明的詳細(xì)描述。下文將對形成本發(fā)明權(quán)利要求書主題的��、本發(fā)明另外的特征和優(yōu)點(diǎn)進(jìn)行描述���。本領(lǐng)域的技術(shù)人員會意識到他們可以容易地以有關(guān)的概念和所公開的特定實(shí)施例為基礎(chǔ)來修改或設(shè)計(jì)其它結(jié)構(gòu),用于實(shí)現(xiàn)與本發(fā)明相同的目的����。本領(lǐng)域的技術(shù)人員還會意識到這樣的等效結(jié)構(gòu)不脫離本發(fā)明的精神和范圍,而是在本發(fā)明更大的范圍之中����。
在進(jìn)行詳細(xì)描述之前,對貫穿本專利文件所使用的某些詞和短語進(jìn)行定義可能是有益的術(shù)語“包括”和“包含���,”��、以及其派生詞意指無限制包含�����;術(shù)語“或�,”是包含的,意指和/或����;短語“與…有關(guān)的”和“與其有關(guān)的,”以及其派生詞可以指包括�、被包括在…、與…互聯(lián)����、包含、被包含在…��、連接到…或與…連接�、耦合到…或與…耦合、可與…通信�、與…合作、交錯�����、并列���、近似于…���、結(jié)合到…或與…結(jié)合�����、具有����、具有…的特性等�����;以及術(shù)語“控制器”意指任何裝置��、系統(tǒng)或其部件���,它至少控制一種操作,這種裝置可以用硬件����、固件或軟件、或它們中至少兩個的某種組合來實(shí)現(xiàn)�����。應(yīng)當(dāng)指出與任何特定控制器有關(guān)的功能可以或者本地地或者遠(yuǎn)程地集中或分散。某些詞和短語的定義貫穿本專利文件�����,本領(lǐng)域的普通技術(shù)人員應(yīng)該理解即使不是在大多數(shù)例子中的話���,那也是在許多例子中�����,這樣的定義適用于現(xiàn)有����、及將來對這樣定義的詞和短語的使用��。
為了更完整理解本發(fā)明及本發(fā)明的優(yōu)點(diǎn)����,現(xiàn)結(jié)合附圖進(jìn)行下面的描述,其中相同的標(biāo)號表示相同的對象�,附圖中
圖1示出按照本發(fā)明一個實(shí)施例的典型無線網(wǎng)絡(luò)的概圖;圖2示出按照本發(fā)明一個實(shí)施例執(zhí)行空中(OTA)服務(wù)接通的圖1中的典型無線網(wǎng)絡(luò)的各選用部分的替換圖�;圖3示出按照本發(fā)明另一個實(shí)施例執(zhí)行空中(OTA)服務(wù)接通的圖1中的典型無線網(wǎng)絡(luò)的被選擇部分的替換圖�����;圖4更詳細(xì)地示出按照本發(fā)明實(shí)施例的典型基站���;圖5更詳細(xì)地示出按照本發(fā)明一個實(shí)施例的接通安全控制器;圖6更詳細(xì)地示出按照本發(fā)明另一個實(shí)施例的接通安全控制器�����;圖7是說明按照本發(fā)明一個實(shí)施例的���、圖1和圖2中無線網(wǎng)絡(luò)中典型安全服務(wù)接通操作的流程圖��;和圖8是說明按照本發(fā)明另一個實(shí)施例的����、圖1和圖2中無線網(wǎng)絡(luò)中典型安全服務(wù)接通操作的流程圖�。
在本專利文件中�����,下面討論的圖1到圖8及用于描述本發(fā)明原理的各種實(shí)施例只作為說明�����、而不應(yīng)以任何方式解釋為對本發(fā)明范圍的限制。本專業(yè)的技術(shù)人員將理解可以在任何適當(dāng)?shù)嘏渲玫臒o線網(wǎng)絡(luò)中實(shí)現(xiàn)本發(fā)明的原理�����。
圖1示出按照本發(fā)明一個實(shí)施例的典型無線網(wǎng)絡(luò)100的概圖����。無線電話網(wǎng)絡(luò)100包含許多小區(qū)站點(diǎn)121-123,其中每一個都包含基站BS 101���、BS 102和BS 103中的一個�����?��;?01-103可用來與許多無線移動臺(MS)111-114進(jìn)行通信。無線移動臺111-114可以是任何合適的無線通信裝置���,包括傳統(tǒng)的蜂窩電話機(jī)���、個人通信系統(tǒng)(PCS)手機(jī)裝置�、便攜式計(jì)算機(jī)���、遙測裝置等�����。
虛線表示基站101-103位于其中的小區(qū)站點(diǎn)121-123的大致邊界����。僅僅出于說明和解釋目的而將小區(qū)站點(diǎn)大致示為圓形��。應(yīng)該清楚地知道按照所選擇的小區(qū)配置和自然及人為障礙物��,小區(qū)站點(diǎn)可以具有不規(guī)則的形狀�����。
在本發(fā)明的一個實(shí)施例中��,BS 101���、BS 102和BS 103可以包括基站控制器(BSC)和基站收發(fā)信機(jī)臺(BTS)���。對本領(lǐng)域的技術(shù)人員來說,基站控制器和基站收發(fā)信機(jī)臺是眾所周知���?��;究刂破魇窃跓o線通信網(wǎng)絡(luò)中管理特定小區(qū)的無線通信資源的裝置,其中無線通信資源包括基站收發(fā)信機(jī)臺����。基站收發(fā)信機(jī)臺包括RF收發(fā)信機(jī)���、天線和位于每一個小區(qū)站點(diǎn)的其它電氣設(shè)備����。該設(shè)備可以包括空調(diào)單元�����、加熱單元����、電源、電話線路接口、和RF發(fā)射機(jī)及RF接收機(jī)�、以及呼叫處理電路。為了簡單明了地解釋本發(fā)明的操作�����,分別用BS101���、BS 102和BS 103來整個地表示小區(qū)121����、122和123中每一個的基站收發(fā)信機(jī)臺和與每一個基站收發(fā)信機(jī)臺有關(guān)的基站控制器��。
BS 101�����、BS 102和BS 103在彼此之間以及經(jīng)由通信線路131和移動交換中心(MSC)140而與公眾電話系統(tǒng)(未示出)之間傳送語音和數(shù)據(jù)信號�����。對本領(lǐng)域的技術(shù)人員來說���,移動交換中心140是眾所周知的�����。移動交換中心140是在無線網(wǎng)絡(luò)和諸如公眾電話系統(tǒng)和/或因特網(wǎng)的外部網(wǎng)絡(luò)的用戶之間提供服務(wù)和協(xié)調(diào)的交換裝置�。通信線路131可以是任何合適的連接裝置����,包括T1線、T3線���、光纖鏈路���、網(wǎng)絡(luò)干線連接等。在本發(fā)明的一些實(shí)施例中���,通信線路131可以是幾種不同的數(shù)據(jù)鏈路���,其中每一種數(shù)據(jù)鏈路將BS 101、BS 102和BS 103中的一個連接到MSC 140�����。
在典型的無線網(wǎng)絡(luò)100中�,MS 111位于小區(qū)站點(diǎn)121中并與BS 101通信�,MS 113位于小區(qū)站點(diǎn)122中并與BS 102通信�,MS 114位于小區(qū)站點(diǎn)123中并與BS 103通信。MS 112也位于小區(qū)站點(diǎn)121中����,它接近小區(qū)站點(diǎn)123的邊緣?���?拷麺S 112的方向箭頭表示MS 112朝小區(qū)站點(diǎn)123移動。在某些位置�����,由于MS 112移入小區(qū)站點(diǎn)123并移出小區(qū)站點(diǎn)121�,因而將發(fā)生“越區(qū)切換”。
眾所周知�,越區(qū)切換程序?qū)⒑艚锌刂茝牡谝恍^(qū)轉(zhuǎn)移到第二小區(qū)。例如�,如果MS 112在與BS 101通信并檢測到來自BS 101的信號正變得無法接受地弱,則MS 112可切換到具有更強(qiáng)信號的基站����,諸如BS 103發(fā)送的信號就更強(qiáng)。MS 112與BS 103建立新的通信鏈路�,并且信號被發(fā)送給BS 101和公眾電話網(wǎng)絡(luò)�����,以便通過BS 103傳送正進(jìn)行的語音���、數(shù)據(jù)、或控制信號��。從而將所述呼叫無縫隙地從BS 101轉(zhuǎn)移到BS 103����?��!翱臻e”越區(qū)切換是正在控制或?qū)ず粜诺乐羞M(jìn)行通信��、而不是正在常規(guī)業(yè)務(wù)信道中發(fā)送語音和/或數(shù)據(jù)信號的移動裝置的小區(qū)之間的越區(qū)切換��。
移動臺111-114中的一個或一個以上最初可以是未接通的裝置���。即,諸如號碼指配模組(NAM)數(shù)據(jù)���、優(yōu)選漫游列表(PRL)數(shù)據(jù)��、或驗(yàn)證碼(A密鑰)數(shù)據(jù)等必要的配置數(shù)據(jù)可能不出現(xiàn)在例如MS 112中�,或者,如果出現(xiàn)的話�,則可能未被適當(dāng)配置或啟動,以致MS 112不能與BS 101進(jìn)行通信����。為了使這樣的未接通的裝置能夠在無線網(wǎng)絡(luò)100中工作,在無線網(wǎng)絡(luò)100中提供空中(OTA)服務(wù)接通能力��。
圖2示出按照本發(fā)明一個實(shí)施例執(zhí)行空中(OTA)服務(wù)接通的典型無線網(wǎng)絡(luò)100的被選擇部分的替換圖��。象圖1那樣�,MS 112、BS 101�、和MSC 140仍然出現(xiàn)。在圖2中����,無線網(wǎng)絡(luò)100還包括互通功能(IWF)150、歸屬位置寄存器(HLR)155�����、和接通服務(wù)器160�����、161、及162�����。接通服務(wù)器160-162是全系統(tǒng)中心服務(wù)器����,它們遠(yuǎn)離無線網(wǎng)絡(luò)100的其它部件、即遠(yuǎn)離BS 101���、MSC 140、IWF 150����、和HLR 155。為了訪問接通服務(wù)器160-162中的數(shù)據(jù)����,MSC 140經(jīng)由內(nèi)部網(wǎng)/因特網(wǎng)165(下文稱“因特網(wǎng)165”)與接通服務(wù)器160-162中的一個進(jìn)行通信。由于根據(jù)無線業(yè)務(wù)經(jīng)營者作出的選擇可以以多種通信協(xié)議中的一種或一種以上的協(xié)議在無線網(wǎng)絡(luò)100中傳送數(shù)據(jù)��,因而IWF 150需要將無線網(wǎng)絡(luò)100中傳送應(yīng)用數(shù)據(jù)的“本機(jī)(native)”通信傳輸協(xié)議轉(zhuǎn)換成基于適合在因特網(wǎng)165上傳輸?shù)臄?shù)據(jù)包的因特網(wǎng)協(xié)議(IP)�。
象下面將更詳細(xì)地解釋的那樣�,當(dāng)未接通的移動臺����、諸如MS 112訪問無線網(wǎng)絡(luò)100(經(jīng)由BS 101)時,則BS 101和/或MSC 140利用HLR 155中的手機(jī)數(shù)據(jù)將MS 112標(biāo)識為未接通的手機(jī)并經(jīng)由因特網(wǎng)165與接通服務(wù)器160-162中的一個建立會話�,以便進(jìn)行MS 112的服務(wù)接通?����?墒?��,因?yàn)橐蛱鼐W(wǎng)165不由營運(yùn)無線網(wǎng)絡(luò)100的無線業(yè)務(wù)經(jīng)營者擁有或控制�,所以本發(fā)明提供防止未授權(quán)者利用MS 112訪問因特網(wǎng)165中的其它服務(wù)器/網(wǎng)站的安全保護(hù)�。而且,為了平衡接通服務(wù)器160-162中的負(fù)荷����,本發(fā)明根據(jù)系統(tǒng)定義的“負(fù)荷分散(load spreading)”算法來選擇接通服務(wù)器160-162中的一個而進(jìn)行服務(wù)接通。例如����,本發(fā)明可以將數(shù)據(jù)呼叫從MS 112引導(dǎo)到接通服務(wù)器160-162中最不忙的一個,以避免接通服務(wù)器160-162的任何一個出現(xiàn)瓶頸。
應(yīng)該注意到本發(fā)明的范圍不限于利用因特網(wǎng)鏈接基站和接通服務(wù)器的無線網(wǎng)絡(luò)���。在本發(fā)明的其它實(shí)施例中��,因特網(wǎng)可能實(shí)際上是一個大的內(nèi)部網(wǎng)�����,后者允許較低的安全性���,它將一組基站鏈接到一個或一個以上的接通服務(wù)器。
圖3說明按照本發(fā)明另一個實(shí)施例的進(jìn)行空中(OTA)服務(wù)接通的典型無線網(wǎng)絡(luò)100的被選擇部分的替換圖����。象圖1中那樣,MS 112���、BS 101、和MSC 140仍然出現(xiàn)�。在圖3中,無線網(wǎng)絡(luò)100還包括互通功能(IWF)150���、歸屬位置寄存器(HLR)155�、和接通服務(wù)器160。接通服務(wù)器160是全系統(tǒng)中心服務(wù)器��,它遠(yuǎn)離無線網(wǎng)絡(luò)100的其它部件����、即遠(yuǎn)離BS 101、MSC 140���、IWF 150�����、和HLR 155���。為了訪問接通服務(wù)器160中的數(shù)據(jù),MSC 140經(jīng)由內(nèi)部網(wǎng)/因特網(wǎng)165(下文稱“因特網(wǎng)165”)與接通服務(wù)器160進(jìn)行通信����。由于根據(jù)無線業(yè)務(wù)經(jīng)營者作出的選擇可以以多種通信協(xié)議中的一種或一種以上種協(xié)議在無線網(wǎng)絡(luò)100中傳送數(shù)據(jù),因而IWF 150需要將無線網(wǎng)絡(luò)100中傳送應(yīng)用數(shù)據(jù)的“本機(jī)”通信傳輸協(xié)議轉(zhuǎn)換成基于適合在因特網(wǎng)165上傳輸?shù)臄?shù)據(jù)包的因特網(wǎng)協(xié)議(IP)�����。
象下面將更詳細(xì)地解釋的那樣�,當(dāng)未接通的移動臺、諸如MS 112訪問無線網(wǎng)絡(luò)100(經(jīng)由BS 101)時,則BS 101和/或MSC 140利用HLR 155中的手機(jī)數(shù)據(jù)將MS 112標(biāo)識為未接通的手機(jī)并經(jīng)由因特網(wǎng)165與接通服務(wù)器160建立會話����,以便進(jìn)行MS 112的服務(wù)接通?����?墒?�,因?yàn)橐蛱鼐W(wǎng)165不由營運(yùn)無線網(wǎng)絡(luò)100的無線業(yè)務(wù)經(jīng)營者擁有或控制���,所以本發(fā)明提供防止未授權(quán)者利用MS 112訪問因特網(wǎng)165中的其它服務(wù)器/網(wǎng)站的安全保護(hù)���。
應(yīng)該注意到本發(fā)明的范圍不限于利用因特網(wǎng)鏈接基站和接通服務(wù)器的無線網(wǎng)絡(luò)。在本發(fā)明的其它實(shí)施例中�,因特網(wǎng)可能實(shí)際上是一個大的內(nèi)部網(wǎng),后者允許較低的安全性���,它將一組基站鏈接到一個或一個以上的接通服務(wù)器����。
圖4更詳細(xì)地說明按照本發(fā)明一個實(shí)施例的典型基站101��?;?01包括基站控制器(BSC)210和基站收發(fā)信機(jī)臺(BTS)220。前面結(jié)合圖1描述了基站控制器和基站收發(fā)信機(jī)臺�����。BSC 210管理小區(qū)站點(diǎn)121中的資源�����,包括BTS 220���。BTS 220包括BTS控制器225���、信道控制器235、收發(fā)信機(jī)接口(IF)245��、RF收發(fā)信機(jī)單元250��、天線陣列255�、和接通安全控制器265,其中信道控制器235包括代表信道元件(representative channel element)240�,下面將更詳細(xì)地進(jìn)行描述。
BTS控制器225包括能夠執(zhí)行對BTS 220的整個操作進(jìn)行控制的操作程序并與BSC 210進(jìn)行通信的處理電路和存儲器���。在正常情況下���,BTS控制器225指導(dǎo)信道控制器235的操作���,信道控制器235包括多個信道元件,包括信道元件240����,這些信道元件在前向信道和反向信道中進(jìn)行雙向通信?��!扒跋颉毙诺郎婕皬幕镜揭苿优_的出站信號��,而“反向”信道涉及從移動臺到基站的入站信號����。在本發(fā)明的一個優(yōu)選實(shí)施例中�,在小區(qū)121中,信道元件根據(jù)碼分多址協(xié)議(CDMA)與移動臺進(jìn)行通信�����。收發(fā)信機(jī)IF 245在信道控制器240和RF收發(fā)信機(jī)單元250之間傳送雙向信道信號����。
天線陣列255將從RF收發(fā)信機(jī)單元250接收的前向信道信號發(fā)送到BS 101覆蓋區(qū)域中的移動臺。天線陣列255還將從BS 101覆蓋區(qū)域中的移動臺接收的反向信道信號發(fā)送給收發(fā)信機(jī)250���。在本發(fā)明的優(yōu)選實(shí)施例中�����,天線陣列255是多扇形(multi-sector)天線����。諸如三扇形天線����,其中每一個天線扇形負(fù)責(zé)120度弧線覆蓋區(qū)中的發(fā)送和接收。另外����,RF收發(fā)信機(jī)250可以包括天線選擇單元,用于在發(fā)送和接收操作期間選擇天線陣列255中的不同天線�����。
在本發(fā)明的一個實(shí)施例中�����,BTS控制器225還包括驗(yàn)證控制器260,后者標(biāo)識/核查正在訪問BS 101的移動臺��、諸如MS 112以前是否被無線網(wǎng)絡(luò)100驗(yàn)證過���。接通安全控制器265和驗(yàn)證控制器260提供必要的安全來防止未授權(quán)者利用未接通的MS 112訪問接通服務(wù)器160-162之外的因特網(wǎng)服務(wù)器和網(wǎng)站����。
在本發(fā)明另一個實(shí)施例中�����,BTS控制器225還包括驗(yàn)證控制器260����,后者核查正在接入BS 101的移動臺、諸如MS 112以前是否被無線網(wǎng)絡(luò)100驗(yàn)證過���。驗(yàn)證控制器260與接通安全控制器265一道工作����,也提供必要的安全功能����,后者用來防止利用MS 112訪問與無線網(wǎng)絡(luò)100有關(guān)的接通服務(wù)器之外的因特網(wǎng)服務(wù)器或網(wǎng)站�。在本發(fā)明另外一些實(shí)施例中����,可以在MSC 140或無線網(wǎng)絡(luò)100中別處進(jìn)行驗(yàn)證�����,驗(yàn)證的結(jié)果可以發(fā)送給BTS控制器225�����。
可經(jīng)由BS 101在MS 112和無線網(wǎng)絡(luò)100其余部分和/或因特網(wǎng)165之間進(jìn)行任何通信之前�����,驗(yàn)證控制器260必須首先通過確定MS 112是否具有例如適當(dāng)?shù)墓眉用軘?shù)據(jù)(SSD)碼和所需的接通數(shù)據(jù)來就MS 112已被服務(wù)接通進(jìn)行驗(yàn)證(即鑒權(quán))����。在一種類型的傳統(tǒng)服務(wù)接通過程中,用戶通常在最初接通處理期間將驗(yàn)證碼(即A密鑰)輸入到移動臺���?�?墒?�,其它方法可被用來輸入A密鑰或得到A密鑰����。隨后,移動臺可從A密鑰或通過另外的算法而自動地產(chǎn)生公用加密數(shù)據(jù)(SSD)碼�����。在兩種情況之一的情況下����,移動臺傳送其SSD碼,作為驗(yàn)證處理的部分��。一旦移動臺被接通����,所述網(wǎng)絡(luò)中每一個基站將具有與被接通的移動臺的SSD碼相對應(yīng)的SSD碼。
北美的移動通信系統(tǒng)通常利用用于驗(yàn)證目的的蜂窩驗(yàn)證核查和加密(CAVE:Cellular Authentication Verification andEncryption)算法�。在本發(fā)明的優(yōu)選實(shí)施例中,BS 101和接口裝置利用用于驗(yàn)證目的的CAVE算法�。BS 101通過經(jīng)由小區(qū)站點(diǎn)121的控制信道在總體控制消息中傳送驗(yàn)證(AUTH)位來開始驗(yàn)證過程。當(dāng)MS112認(rèn)可AUTH位時,MS 112自動地向BS 101發(fā)送標(biāo)識數(shù)據(jù)���,包括SSD信息��、電子序號(ESN)數(shù)據(jù)��、記帳信息��、撥號用戶號碼�����、和其它啟動數(shù)據(jù)。
對用于無線網(wǎng)絡(luò)100的驗(yàn)證過程的以上描述僅僅作為例子�����。本領(lǐng)域的技術(shù)人員將認(rèn)識到存在許多不同的和眾所周知的驗(yàn)證處理��,這些驗(yàn)證處理可在本發(fā)明另外一些實(shí)施例中用于無線網(wǎng)絡(luò)100�����。這些驗(yàn)證處理在本發(fā)明的范圍之內(nèi)���。
驗(yàn)證控制器260最初對來自MS 112的輸入數(shù)據(jù)進(jìn)行存儲并將接收的SSD信息與從HLR 155檢索的SSD信息進(jìn)行比較��。如果驗(yàn)證控制器260確定從MS 112接收的SSD信息有效��,則驗(yàn)證控制器260檢查存儲在HLR 155中的諸如NAM數(shù)據(jù)和記帳信息的其它數(shù)據(jù)�,以便確定MS 112是否已被接通。如果驗(yàn)證控制器260證實(shí)MS 112被適當(dāng)接通����,則語音/數(shù)據(jù)呼叫被傳送到MSC 140用于正常呼叫處理。如果驗(yàn)證控制器260證實(shí)MS 112以前未被接通(即無記帳信息�、無NAM數(shù)據(jù)等),則驗(yàn)證控制器260將所有輸入IP數(shù)據(jù)包傳送給接通安全控制器265�,用來修改每一個輸入IP數(shù)據(jù)包中的IP頭標(biāo)信息和/或加密并通過MSC 140和因特網(wǎng)165后續(xù)傳送到接通服務(wù)器160-162中被選擇的一個,就象下面更詳細(xì)描述的那樣�����。
在本發(fā)明另外的實(shí)施例中����,驗(yàn)證控制器260可以通過其它方法來確定正在接入BS 101的移動臺是未接通的。例如�����,如果MS 112甚至本身不能適當(dāng)?shù)仳?yàn)證,則驗(yàn)證控制器260可以簡單地拒絕呼叫或自動地將來自MS 112的所有輸入IP數(shù)據(jù)包傳送到接通安全控制器265�,用于修改和/或加密,并通過MSC 140和因特網(wǎng)165傳送到接通服務(wù)器160-162中的一個�。另外,如果MS 112已經(jīng)撥打保留用于服務(wù)接通的諸如“*228xx”的特定電話號碼�,則驗(yàn)證控制器260可以自動地將來自MS 112的所有輸入IP數(shù)據(jù)包傳送到接通安全控制器265用于修改和/或加密,并傳送到接通服務(wù)器160-162中的一個�����。
圖5更詳細(xì)地說明按照本發(fā)明一個實(shí)施例的接通安全控制器265�。典型的接通安全控制器265包括數(shù)據(jù)處理器405和存儲器410,存儲器410包括用于IP頭標(biāo)更換應(yīng)用程序411的存儲空間���、IP頭標(biāo)字段415、IP數(shù)據(jù)包凈荷字段420���、接通服務(wù)器負(fù)荷統(tǒng)計(jì)字段425��、接通服務(wù)器160 IP地址字段430�、接通服務(wù)器161 IP地址字段435�、和接通服務(wù)器162 IP地址字段440。當(dāng)檢測到未接通的移動臺�����、諸如MS 112時,數(shù)據(jù)處理器405從驗(yàn)證控制器260接收輸入IP數(shù)據(jù)包�,并且在存儲在存儲器410中的IP頭標(biāo)更換應(yīng)用程序411的控制下用從接通服務(wù)器160 IP地址字段430、接通服務(wù)器161 IP地址字段435���、和接通服務(wù)器162 IP地址字段440中的一個所選擇的IP頭標(biāo)來替換每一個輸入IP數(shù)據(jù)包的原始IP頭標(biāo)�。然后將頭標(biāo)修改的IP數(shù)據(jù)包返回到驗(yàn)證控制器260����,作為輸出IP數(shù)據(jù)包流。
存儲器410存儲與接通安全控制器265和IP頭標(biāo)更換應(yīng)用程序411有關(guān)的數(shù)據(jù)和程序���。輸入IP數(shù)據(jù)包包括IP頭標(biāo)和IP凈荷��,其中IP頭標(biāo)包括所述IP數(shù)據(jù)包正被發(fā)往的目標(biāo)裝置的目標(biāo)地址����,IP凈荷包括正被發(fā)往所述目標(biāo)裝置的用戶數(shù)據(jù)和/或命令����。從驗(yàn)證控制器260接收到輸入IP數(shù)據(jù)包時,數(shù)據(jù)處理器405在IP頭標(biāo)更換應(yīng)用程序411的控制下將IP頭標(biāo)信息存儲在IP頭標(biāo)字段415中并將IP數(shù)據(jù)包的凈荷存儲在IP數(shù)據(jù)包凈荷字段420中�����。
接著,數(shù)據(jù)處理器405用存儲在接通服務(wù)器160 IP地址字段430��、接通服務(wù)器161 IP地址字段435�、和接通服務(wù)器162 IP地址字段440的IP地址中被選擇的一個來替代存儲在IP頭標(biāo)字段415中的原始IP頭標(biāo)數(shù)據(jù)。然后����,數(shù)據(jù)處理器405通過將修改的(即更換的)IP頭標(biāo)信息重新附加到從IP數(shù)據(jù)包凈荷字段430中檢索的原始IP數(shù)據(jù)包凈荷中來重組各個IP數(shù)據(jù)包。然后��,將重組的IP數(shù)據(jù)包返回給驗(yàn)證控制器260���,作為輸出IP數(shù)據(jù)包流���。
由于用接通服務(wù)器160-162中的一個服務(wù)器的預(yù)定IP地址替代所述IP頭標(biāo),所以可以只將IP數(shù)據(jù)包凈荷發(fā)送給接通服務(wù)器160-162中的一個�����。這種特征阻止未授權(quán)者或裝置企圖利用未接通的MS 112通過無線網(wǎng)絡(luò)100來訪問因特網(wǎng)165�����。除了一個接通服務(wù)器或接通服務(wù)器160-162外�,未授權(quán)者或裝置不能訪問任何其它網(wǎng)站或服務(wù)器。接通服務(wù)器160-162對來自未接通的MS 112的合法服務(wù)接通請求進(jìn)行處理而對未授權(quán)者或裝置利用未接通的MS 112發(fā)送的與服務(wù)接通請求無關(guān)的任何數(shù)據(jù)和/或命令不予理睬����。另外,在本發(fā)明的一個實(shí)施例中���,可將編址到不適當(dāng)IP地址的IP數(shù)據(jù)包保存到接通服務(wù)器160-162中的一個或一個以上的“日志”文件中���,之后可用于欺騙分析。
選擇接通服務(wù)器160-162中的一個的方法可以通過存儲在接通服務(wù)器負(fù)荷統(tǒng)計(jì)字段425中的數(shù)據(jù)來確定�����。接通服務(wù)器負(fù)荷統(tǒng)計(jì)字段425存儲與接通服務(wù)器160-162中的每一個都有關(guān)的業(yè)務(wù)負(fù)荷統(tǒng)計(jì)���。在本發(fā)明的一個實(shí)施例中���,由與無線網(wǎng)絡(luò)100有關(guān)的各個接通服務(wù)器來提供接通服務(wù)器負(fù)荷統(tǒng)計(jì)。然而�,這種負(fù)荷信息可由其它源來提供。
在IP頭標(biāo)更換應(yīng)用程序411的控制下�����,數(shù)據(jù)處理器405通過將接通請求分配給存儲在接通服務(wù)器160 IP地址字段430、接通服務(wù)器161 IP地址字段435���、和接通服務(wù)器162 IP地址字段440的因特網(wǎng)地址中的被選擇的一個來擴(kuò)展接通服務(wù)器160-162中的服務(wù)接通負(fù)荷�。一旦數(shù)據(jù)處理器405從驗(yàn)證控制器260收到需要接通的指示����,數(shù)據(jù)處理器405就對接通服務(wù)器負(fù)荷統(tǒng)計(jì)425進(jìn)行存取并利用負(fù)荷分散算法來確定接通服務(wù)器160-162中的哪一個最能對未接通的MS112進(jìn)行服務(wù)接通。
各種負(fù)荷分散算法都有可能用來對哪一個接通服務(wù)器被用來對特定的移動臺進(jìn)行接通而進(jìn)行選擇�。在一個實(shí)施例中,數(shù)據(jù)處理器405可以選擇最不忙的接通服務(wù)器對未接通的MS 112進(jìn)行服務(wù)接通��。在另一個實(shí)施例中����,數(shù)據(jù)處理器405可以順序改變服務(wù)器,只要順序中的下一個服務(wù)器沒有超過最大數(shù)據(jù)業(yè)務(wù)閾值�。在又一個實(shí)施例中,數(shù)據(jù)處理器405可以分配每一個接通服務(wù)器來對預(yù)定的一組小區(qū)站點(diǎn)進(jìn)行服務(wù)���,而不管業(yè)務(wù)負(fù)荷。在再一個實(shí)施例�,數(shù)據(jù)處理器405可以按照輪換方式來分配服務(wù)器�,而不管接通服務(wù)器160-162中任何一個的業(yè)務(wù)負(fù)荷���。
一旦選擇了接通服務(wù)器160-162中的一個�,數(shù)據(jù)處理器405從接通服務(wù)器160 IP地址字段430�����、接通服務(wù)器161 IP地址字段435和接通服務(wù)器162 IP地址字段440中相應(yīng)的一個來檢索被選擇的接通服務(wù)器的IP地址��。被檢索的IP地址用來替代原始IP頭標(biāo)信息�����,就象前面描述的那樣�����。
圖6更詳細(xì)地說明按照本發(fā)明另一個實(shí)施例的接通安全控制器265����。典型的接通安全控制器265包括數(shù)據(jù)處理器405和存儲器410,存儲器410包括用于加密應(yīng)用程序450��、IP頭標(biāo)字段455����、IP數(shù)據(jù)包凈荷字段460����、和加密的凈荷字段465的存儲空間��。當(dāng)檢測到未接通的移動臺����、諸如MS 112時,數(shù)據(jù)處理器405從驗(yàn)證控制器260接收輸入IP數(shù)據(jù)包�����,并且在加密更換應(yīng)用程序450的控制下對接收的IP數(shù)據(jù)包的凈荷信息進(jìn)行加密�。然后將加密的IP數(shù)據(jù)包返回到驗(yàn)證控制器260,作為輸出加密IP數(shù)據(jù)包流��。
存儲器410存儲與接通安全控制器265和加密應(yīng)用程序450有關(guān)的數(shù)據(jù)和程序��。輸入IP數(shù)據(jù)包包括IP頭標(biāo)和IP凈荷�����,其中IP頭標(biāo)包括所述數(shù)據(jù)包正被發(fā)往的目標(biāo)裝置的目標(biāo)地址,IP凈荷包括正被發(fā)往所述目標(biāo)裝置的用戶數(shù)據(jù)和/或命令�。從驗(yàn)證控制器260接收到輸入IP數(shù)據(jù)包時,數(shù)據(jù)處理器405在加密應(yīng)用程序450的控制下將IP頭標(biāo)信息存儲在IP頭標(biāo)字段420中并將IP數(shù)據(jù)包的凈荷存儲在IP數(shù)據(jù)包凈荷字段460中���。
接著,數(shù)據(jù)處理器405按照加密應(yīng)用程序450執(zhí)行的加密算法對IP數(shù)據(jù)包凈荷字段460中的原始數(shù)據(jù)進(jìn)行加密并將加密的數(shù)據(jù)存儲在加密凈荷字段465中�����。加密應(yīng)用程序450可以執(zhí)行任何已知的加密算法����。然后,數(shù)據(jù)處理器405通過將從IP頭標(biāo)字段455檢索的原始(和未加密的)IP頭標(biāo)信息重新附加到從加密凈荷字段465中檢索的加密的IP數(shù)據(jù)包中來重組每個IP數(shù)據(jù)包�����。然后���,將重組的IP數(shù)據(jù)包返回給驗(yàn)證控制器260��,作為輸出加密IP數(shù)據(jù)包流����。
然后,驗(yàn)證控制器260將加密的IP數(shù)據(jù)包經(jīng)由MSC 140和IWF 150發(fā)送到因特網(wǎng)165�。由于IP頭標(biāo)未被加密,所以加密的IP數(shù)據(jù)包仍然被傳送到MS 112指定的目標(biāo)IP地址����。可是��,由于整個凈荷被加密�,所以當(dāng)加密的IP數(shù)據(jù)包到達(dá)目標(biāo)地址時,除非目標(biāo)IP地址的裝置知道加密算法���,不然所述IP數(shù)據(jù)包是無用的����。這種特征阻止未授權(quán)者或裝置企圖利用未接通的MS 112通過無線網(wǎng)絡(luò)100來訪問因特網(wǎng)165�����。由于接通服務(wù)器160具有BS 101所用的加密算法的密鑰����,因而接通服務(wù)器160能夠?qū)碜晕唇油ǖ腗S 112的合法服務(wù)接通請求進(jìn)行處理。
圖7示出流程圖500����,它說明按照本發(fā)明一個實(shí)施例的無線網(wǎng)絡(luò)100中的典型安全服務(wù)接通操作���。首先,BS 101通過確定MS 112已經(jīng)對BS 101發(fā)送的AUTH碼起反應(yīng)而檢測MS 112的訪問嘗試(處理步驟505)BS 101從MS112接收驗(yàn)證數(shù)據(jù)�����,而驗(yàn)證控制器260利用從MS 112接收的驗(yàn)證數(shù)據(jù)來訪問用戶接通數(shù)據(jù)�,如果在HLR 155中有用戶接通數(shù)據(jù)的話����,則確定對于無線網(wǎng)絡(luò)100無線移動臺MS 112是否被接通(處理步驟510)。BS 101可以通過一種或多種方法來確定這種接通狀態(tài)��,包括存在唯一的撥號接通號碼�����、缺少SSD信息�、缺少記帳信息等。
如果MS 112已被接通�����,則BS 101將接收的語音和/或數(shù)據(jù)包發(fā)送給MSC 140用于正常呼叫處理,包括因特網(wǎng)處理(處理步驟515)��。如果BS 101不能對MS 112進(jìn)行驗(yàn)證或用某些其它方式確定MS 112未被接通���,則接通安全控制器265根據(jù)負(fù)荷分散算法而用選擇的接通服務(wù)器IP地址來替代接收的IP地址(步驟520)�。
此后����,BS 101繼續(xù)替換(即重新編址)從MS 112接收的IP頭標(biāo),用于在無線網(wǎng)絡(luò)100和因特網(wǎng)165之間傳送�����,直到MS 112的用戶終止MS 112的當(dāng)前呼叫��。如果MS 112的用戶是首次企圖接通MS 112的合法用戶��,則這意味著BS 101繼續(xù)替換IP數(shù)據(jù)包頭標(biāo)�,直到完成服務(wù)接通處理以及使用MS 112的用戶結(jié)束呼叫為止(處理步驟525)。一旦被接通�,MS 112隨時可以正常使用。
圖8示出流程圖500��,它說明按照本發(fā)明的一個實(shí)施例的無線網(wǎng)絡(luò)100中的典型安全服務(wù)接通操作�����。首先,BS 101通過確定MS 112已對BS 101發(fā)送的AUTH碼起反應(yīng)而檢測MS 112的訪問嘗試(處理步驟505)BS 101從MS 112接收驗(yàn)證數(shù)據(jù)����,而驗(yàn)證控制器260利用從MS 112接收的驗(yàn)證數(shù)據(jù)來訪問用戶接通數(shù)據(jù),如果在HLR 155中有用戶接通數(shù)據(jù)的話�,則確定對于無線網(wǎng)絡(luò)100無線移動臺MS 112是否被接通(處理步驟510)。BS 101可以通過一種或多種方法來確定這種接通狀態(tài)�,包括存在唯一的撥號接通號碼、缺少SSD信息���、缺少記帳信息等。
如果MS 112已被接通����,則BS 101將接收的語音和/或數(shù)據(jù)包發(fā)送給MSC 140用于正常呼叫處理,包括未加密的因特網(wǎng)范圍的凈荷(處理步驟515)���。如果BS 101不能對MS 112進(jìn)行驗(yàn)證或用某些其它方式確定MS 112未被接通�,則接通安全控制器265對從MS 112接收的IP數(shù)據(jù)包凈荷進(jìn)行加密并使BS 101向因特網(wǎng)165發(fā)送加密的IP數(shù)據(jù)包(處理步驟550)�。BS 101繼續(xù)對IP信息包凈荷進(jìn)行加密,用于在無線網(wǎng)絡(luò)100和因特網(wǎng)165之間傳送�����,直到MS 112的用戶終止MS 112的當(dāng)前呼叫。如果MS 112的用戶是首次企圖接通MS112的合法用戶��,則這意味著BS 101繼續(xù)對IP數(shù)據(jù)包凈荷進(jìn)行加密��,用于傳送到因特網(wǎng)165�����,直到完成服務(wù)接通處理以及使用MS 112的用戶結(jié)束呼叫為止(處理步驟555)����。一旦被接通,MS 112隨時可以正常使用�。
在本發(fā)明另外一些實(shí)施例中,驗(yàn)證控制器260和接通安全控制器265中的一個或兩者可以設(shè)置在基站101之外��。例如���,驗(yàn)證控制器260和接通安全控制器265可以作為直接或間接連接到BS 101的獨(dú)立裝置�。在本發(fā)明的另一個實(shí)施例中�,驗(yàn)證控制器260和接通安全控制器265可以例如設(shè)置在MSC 140、IWF 150中或者分布在MSC 140和IWF 150之間����。在本發(fā)明的再一個實(shí)施例中���,驗(yàn)證控制器260和接通安全控制器265可以僅僅設(shè)置在無線網(wǎng)絡(luò)的某些基站中。在這樣的實(shí)施例中���,兩個或兩個以上的基站可以共享設(shè)置在僅僅一個基站中的同一驗(yàn)證控制器260和接通安全控制器265���。
盡管已經(jīng)詳細(xì)地描述了本發(fā)明,本領(lǐng)域的技術(shù)人員應(yīng)該意識到在不脫離本發(fā)明的精神和范圍的情況下�,他們能夠以本發(fā)明最廣泛的形式進(jìn)行各種改變、替代和變化��。
權(quán)利要求
1.用于包括許多基站的無線網(wǎng)絡(luò)的安全裝置���,所述基站中的每一個都能與多個移動臺通信,所述安全裝置能夠避免所述多個移動臺中未接通的移動臺通過所述無線網(wǎng)絡(luò)訪問因特網(wǎng)協(xié)議(IP)數(shù)據(jù)網(wǎng)絡(luò)�����,所述安全裝置包括第一控制器�����,它能夠從所述未接通的移動臺接收包括IP數(shù)據(jù)包頭標(biāo)和IP數(shù)據(jù)包凈荷的IP數(shù)據(jù)包并用包括所述無線網(wǎng)絡(luò)的至少一個接通服務(wù)器中被選擇的一個服務(wù)器的IP地址的更換IP數(shù)據(jù)包頭標(biāo)來替代所述IP數(shù)據(jù)包頭標(biāo)。
2.權(quán)利要求1的安全裝置�����,其特征在于所述第一控制器能夠?qū)λ鯥P數(shù)據(jù)包凈荷的至少一部分加密���。
3.權(quán)利要求1或2的安全裝置����,其特征在于所述第一控制器設(shè)置在所述多個基站中的至少一個基站����。
4.權(quán)利要求1或2的安全裝置,其特征在于所述第一控制器設(shè)置在所述無線網(wǎng)絡(luò)的移動交換中心和互通功能中的至少一個之中�。
5.權(quán)利要求1或2的安全裝置,其特征在于還包括能夠確定所述未接通的移動臺未被接通的第二控制器��。
6.權(quán)利要求1或2的安全裝置���,其特征在于如果對于所述無線網(wǎng)絡(luò)所述未接通的移動臺不能驗(yàn)證����,則所述第二控制器確定所述未接通的移動臺未被接通。
7.權(quán)利要求1或2的安全裝置�����,其特征在于所述第二控制器根據(jù)與所述未接通的移動臺選擇的服務(wù)接通處理有關(guān)的預(yù)定電話號碼來確定所述未接通的移動臺未被接通��。
8.權(quán)利要求1或2的安全裝置���,其特征在于所述第二控制器根據(jù)從與所述無線網(wǎng)絡(luò)有關(guān)的歸屬位置寄存器中檢索的數(shù)據(jù)來確定所述未接通的移動臺未被接通����。
9.權(quán)利要求1或2的安全裝置�����,其特征在于所述第一控制器根據(jù)負(fù)荷分散算法通過選擇所述更換IP數(shù)據(jù)包頭標(biāo)中的所述IP地址來選擇所述至少一個接通服務(wù)器�����。
10.權(quán)利要求2的安全裝置�,其特征在于所述第一控制器包括數(shù)據(jù)處理器�����,后者能夠執(zhí)行存儲在與該數(shù)據(jù)處理器有關(guān)的存儲器中的加密程序��。
11.一種無線網(wǎng)絡(luò),它包括多個基站�,所述基站中的每一個都能與多個移動臺通信;至少一個接通服務(wù)器���;和安全裝置�,它能夠避免所述多個移動臺中未接通的移動臺通過所述無線網(wǎng)絡(luò)訪問因特網(wǎng)協(xié)議(IP)數(shù)據(jù)網(wǎng)絡(luò)�����,所述安全裝置包括第一控制器�,它能夠從所述未接通的移動臺接收包括IP數(shù)據(jù)包頭標(biāo)和IP數(shù)據(jù)包凈荷的IP數(shù)據(jù)包并用包括所述至少一個接通服務(wù)器中被選擇的一個服務(wù)器的IP地址的更換IP數(shù)據(jù)包頭標(biāo)來替代所述IP數(shù)據(jù)包頭標(biāo)。
12.權(quán)利要求11的無線網(wǎng)絡(luò)��,其特征在于所述第一控制器還能夠?qū)λ鯥P數(shù)據(jù)包凈荷的至少一部分進(jìn)行加密���。
13.權(quán)利要求11或12的無線網(wǎng)絡(luò)���,其特征在于所述第一控制器設(shè)置在所述多個基站中的至少一個基站。
14.權(quán)利要求11或12的無線網(wǎng)絡(luò)�����,其特征在于所述第一控制器設(shè)置在所述無線網(wǎng)絡(luò)的移動交換中心中。
15.權(quán)利要求11或12的無線網(wǎng)絡(luò)�����,其特征在于還包括能夠確定所述未接通的移動臺未被接通的第二控制器��。
16.權(quán)利要求11或12的無線網(wǎng)絡(luò)����,其特征在于如果對于所述無線網(wǎng)絡(luò)所述未接通的移動臺不能驗(yàn)證,則所述第二控制器確定所述未接通的移動臺未被接通���。
17.權(quán)利要求11或12的無線網(wǎng)絡(luò)���,其特征在于所述第二控制器根據(jù)與所述未接通的移動臺選擇的服務(wù)接通處理有關(guān)的預(yù)定電話號碼來確定所述未接通的移動臺未被接通。
18.權(quán)利要求11或12的無線網(wǎng)絡(luò)��,其特征在于所述第二控制器根據(jù)從與所述無線網(wǎng)絡(luò)有關(guān)的歸屬位置寄存器中檢索的數(shù)據(jù)來確定所述未接通的移動臺未被接通��。
19.權(quán)利要求11的無線網(wǎng)絡(luò)�,其特征在于所述第一控制器根據(jù)負(fù)荷分散算法通過選擇所述更換IP數(shù)據(jù)包頭標(biāo)中的所述IP地址來選擇所述至少一個接通服務(wù)器。
20.權(quán)利要求12的無線網(wǎng)絡(luò)�����,其特征在于所述第一控制器包括數(shù)據(jù)處理器����,后者能夠執(zhí)行存儲在與該數(shù)據(jù)處理器有關(guān)的存儲器中的加密程序。
21.一種用于包括多個基站的無線網(wǎng)絡(luò)中避免多個移動臺中未接通的移動臺通過所述無線網(wǎng)絡(luò)訪問因特網(wǎng)協(xié)議(IP)數(shù)據(jù)網(wǎng)絡(luò)的方法��,所述基站中的每一個都能與所述多個移動臺通信���,所述方法包括從所述未接通的移動臺接收包括IP數(shù)據(jù)包頭標(biāo)和IP數(shù)據(jù)包凈荷的IP數(shù)據(jù)包�;確定所述未接通的移動臺未被接通����;和用包括所述無線網(wǎng)絡(luò)的至少一個接通服務(wù)器中被選擇的一個服務(wù)器的IP地址的更換IP數(shù)據(jù)包頭標(biāo)來替代所述IP數(shù)據(jù)包頭標(biāo)。
22.權(quán)利要求21的方法����,其特征在于還包括如下步驟對所述IP數(shù)據(jù)包凈荷的至少一部分進(jìn)行加密。
23.權(quán)利要求21或22的方法�,其特征在于所述確定的步驟包括如下的步驟確定對于所述無線網(wǎng)絡(luò)所述未接通的移動臺不能驗(yàn)證。
24.權(quán)利要求21或22的方法����,其特征在于所述確定的步驟包括如下的步驟確定所述未接通的移動臺選擇的與服務(wù)接通處理有關(guān)的預(yù)定電話號碼。
25.權(quán)利要求21或22的方法�,其特征在于確定所述未接通的移動臺未被接通的步驟包括如下的步驟檢查從與所述無線網(wǎng)絡(luò)有關(guān)的歸屬寄存器檢索的數(shù)據(jù)�����。
全文摘要
公開一種用于無線網(wǎng)絡(luò)的安全裝置����。所述安全裝置包括第一控制器和第二控制器,用來避免未接通的移動臺通過所述無線網(wǎng)絡(luò)訪問因特網(wǎng)協(xié)議(IP)數(shù)據(jù)網(wǎng)絡(luò)�����。第一控制器從未接通的移動臺接收包含IP數(shù)據(jù)包頭標(biāo)和IP數(shù)據(jù)包凈荷的IP數(shù)據(jù)包,并用被選接通服務(wù)器的IP地址的更換IP數(shù)據(jù)包頭標(biāo)替代所述IP數(shù)據(jù)包頭標(biāo)而來選擇接通服務(wù)器�����。第二控制器用于確定未接通的移動臺實(shí)際上未被接通���。在一個實(shí)施例中,第一控制器包括執(zhí)行加密程序的數(shù)據(jù)處理器�����。
文檔編號H04L12/28GK1308469SQ0110121
公開日2001年8月15日 申請日期2001年1月2日 優(yōu)先權(quán)日1999年12月30日
發(fā)明者B·J·莫勒斯, S·P·赫勒 申請人:三星電子株式會社