专利名称:利用接通服务器安全接通移动台的系统和方法
技术领域:
本发明一般地说针对无线网络,更具体地说,针对用于对蜂窝电话手机或其它移动装置执行安全的空中(OTA:over-the-air)接通的系统。
可靠的预测表明到2000年,全球将有超过三亿蜂窝电话用户。在美国,由蜂窝业务经营者、地方贝尔公司、国家长途经营者来提供蜂窝业务。增强的竞争已驱使蜂窝业务的价格降低到大部分人承受得起的程度。
当前一代蜂窝电话主要用于使用用户手机(无线移动台)的一方与使用相同类型用户手机的另一方之间的通过无线网络的语音对话。少量无线移动台是数据设备,诸如装有蜂窝/无线调制解调器的个人计算机(PC)。由于当前一代无线移动台的带宽通常限制在每秒数十千位(Kbps),所以,当前一代无线移动台的应用相对受限。可是,预期这在新一(第三)代蜂窝/无线技术、有时称为“3G”蜂窝/无线技术中会有所改变,其中每一个无线移动台将可获得更大的带宽(例如125 kbps或更大)。更高的数据率将使无线移动台的因特网应用更普遍。例如,3G蜂窝电话(或具有3G蜂窝调制解调器的PC)可通过因特网浏览网站、发送和接收图形、执行流式音频和/或视频应用等。总言之,由3G蜂窝系统处理的无线业务的更大一部分将是因特网协议(IP)的业务,而较小一部分将是传统的语音业务。
为了使无线业务尽可能的方便和尽可能的负担得起,无线业务经营者经常从超市和商场的展示亭直接向潜在的用户出售蜂窝手机(或其它类型的移动台)。提供简单的说明来指导购买者激活蜂窝手机并签约承担无线业务的义务而成为用户。在传统的蜂窝系统中,手机购买者按照新手机的说明书通过在新手机键盘上拨打“*228xx”来启动新手机并签约承担无线业务的义务。“xx”的值随着销售手机的无线业务经营者的标识而变化。
尽管最初未被接通,然而新手机必然必须具有使自身能被接通的某些最小射频(RF)通信能力。在新手机键盘上拨打“*228xx”便自动地启动特定目的的呼叫,后者把新手机购买者连接到经营者。经营者需要所述购买者的某些帐户信息,诸如个人信息、信用卡号、归属记帐地址(home billing address)、等等。当收集了帐户信息并设立了帐户时,经营者指示新手机购买者输入几串密码、码号、菜单选择命令等,启动新手机中的一些功能。
上述过程通常被称为“服务接通”。服务接通可以在蜂窝手机中激活号码指配模组(NAM),后者向手机提供唯一的呼入电话号码并通过标识认定的无线运营者(identifying approved wirelesscarriers)而提供漫游能力。服务接通还可以在手机中启动优选漫游列表(PRL:Preferred Roaming List),后者是一列各个地理区域中各个运营者所拥有的频率/频带并且还可以标识各个区域中优选的和/或禁止的频率。服务接通还在蜂窝手机中激励验证码,有时称为“A密钥”。当用户想要接入无线网络时,手机利用A密钥来对手机进行验证。
无线网络利用归属位置寄存器(HLR)来存储A密钥、电话号码、漫游能力信息、和有关已经或正在被无线网络验证及接通的各个手机的其它数据。HLR是无线业务经营者使用的永久数据库,用以标识/验证用户并存储各个用户有关特性和业务的数据。当用户正在用户归属覆盖区域接入无线网络时,用户的无线业务经营者使用HLR数据。当用户正在用户归属覆盖区域之外漫游时,其它无线业务经营者也使用HLR数据(通常经由有线电话网络来访问)。
上述传统接通过程具有许多缺点。操作员必须通过按键和核查屏幕结果的处理过程来与用户对话。这样做耗费时间并且经常产生错误,特别是对于没有经验的用户,情况更是这样。最初可能会忽视某些错误,然后用户可能因蜂窝业务不能象告知的那样工作而变得失望。最终诊断出错误时,可能需要至少部分地重新执行接通过程。经营者还增加了接通过程的劳动力费用。
最好尽可能最大程度地自动进行蜂窝服务接通,以便降低劳动力成本、消除错误,并通过最小化或消除用户交互行为而使所述处理更加对用户友好。具体地说,通过经由互联网从未接通的手机接入接通服务器而进行空中(OTA)蜂窝服务接通会更加方便。在这种情况下,手机不是向操作员进行语音呼叫,而是向无线网络的基站进行发送因特网协议(IP)数据包的数据呼叫以及从无线网络的基站接收IP数据包。3G系统将使手机的OTA服务接通更容易、更普通。
可是,对无线业务经营者来说,手机的OTA服务接通会出现严重的安全问题,特别是有关欺骗方面的问题。对来自未接通的手机的初始建立数据呼叫进行处理的基站可能没有存储所需的接通数据。而基站通常是从无线业务经营者的网络中的一个或多个接通服务器来访问接通数据并且有可能可以或不可以通过内部网或通过因特网来访问所述接通服务器。许多无线业务经营者经营着彼此不是直接连接、而是连接到地方贝尔电话公司和/或主要长途电信公司的基站组。如果没有因特网或内部网连接,每一组基站需要其自己的接通服务器。要不然,无线电信公司必须向地方贝尔公司和/或长途电信公司支付额外的线路费用来把基站连接到接通服务器。
利用因特网连接使得无线业务经营者可以将所有服务接通应用程序和数据结合在一个中心存储库,而不是费用极高地在许多服务器中保持这些信息的冗余备份。可是,可以预知有经验的用户可以利用未接通的手机(可能具有一些微小的改动)假借服务接通来访问无线网络,然后利用无线网络来访问因特网上的所有IP地址、而不仅仅是接通服务器的IP地址。实际上,用户可以利用未接通的手机免费在因特网上冲浪(surf)而欺骗无线业务经营者。
这种问题因几种原因而存在。第一,公众免费获得其它服务的IP地址。第二,传统的无线网络没有提供能够阻止对未授权的IP地址进行访问的方法或装置,后者是通过网络对未接通移动台的了解而启动的。第三,即使网络向移动台提供用于接通的IP地址,所述移动台也必须被被信得过只使用所述IP地址。
因此,技术上需要改进的系统和方法,用于执行无线手机(和其它类型的移动台)的自动服务接通。具体地说,技术上需要执行无线装置的安全空中(OTA)接通的系统和装置。更具体地说,需要能够防止未授权者利用未接通的手机或其它类型的移动台浏览因特网的系统和方法。
针对上述先有技术的不足,本发明的主要目的是提供一种用于包括许多基站的无线网络的安全装置,其中每一个基站能够与许多移动台进行通信。所述安全装置能够避免许多移动台中未接通的移动台通过无线网络访问因特网协议(IP)数据网络。在本发明的优选实施例中,所述安全装置包括第一控制器,后者能够从未接通的移动台接收包含IP数据包头标和IP数据包净荷的IP数据包、以及用包含无线网络的至少一个接通服务器中被选择的一个服务器IP地址的置换IP数据包头标来代替所述IP数据包头标、并且对IP净荷的至少一部分进行加密。
按照本发明的一个实施例,所述第一控制器设置在许多基站中的至少一个基站。
按照本发明的另一个实施例,所述第一控制器设置在无线网络的移动交换中心。在本发明的其它实施例中,所述第一控制器可以设置在无线网络的互通功能单元、或者可以分隔在移动交换中心和互通功能单元之间。
按照本发明的又一个实施例,所述安全装置还包括第二控制器,后者能够确定未接通的移动台未被接通。
按照本发明的再一个实施例,如果对所述无线网络来说未接通的移动台是不能验证的,则所述第二控制器确定所述未接通的移动台未被接通。
按照本发明的另一个实施例,所述第二控制器根据预定电话号码、预定IP地址、或与服务接通过程有关的其它唯一标识符中由未接通的移动台选择的一个来确定未接通的移动台未被接通。
按照本发明的又一个实施例,所述第二控制器根据从与无线网络有关的归属位置寄存器中检索的数据来确定未接通的移动台未被接通。
按照本发明的再一个实施例,所述第一控制器包括能够执行与数据处理器有关的存储器中存储的加密程序的数据处理器。
按照本发明又一个实施例,所述第一控制器根据负荷分散算法(load spreading algorithm)、通过选择置换IP数据包头标中的IP地址来选择最小负荷的一个接通服务器。
上面相当概括地概述了本发明的特征和技术优点,以便本领域的技术人员可以更好地理解下文对本发明的详细描述。下文将对形成本发明权利要求书主题的、本发明另外的特征和优点进行描述。本领域的技术人员会意识到他们可以容易地以有关的概念和所公开的特定实施例为基础来修改或设计其它结构,用于实现与本发明相同的目的。本领域的技术人员还会意识到这样的等效结构不脱离本发明的精神和范围,而是在本发明更大的范围之中。
在进行详细描述之前,对贯穿本专利文件所使用的某些词和短语进行定义可能是有益的术语“包括”和“包含,”、以及其派生词意指无限制包含;术语“或,”是包含的,意指和/或;短语“与…有关的”和“与其有关的,”以及其派生词可以指包括、被包括在…、与…互联、包含、被包含在…、连接到…或与…连接、耦合到…或与…耦合、可与…通信、与…合作、交错、并列、近似于…、结合到…或与…结合、具有、具有…的特性等;以及术语“控制器”意指任何装置、系统或其部件,它至少控制一种操作,这种装置可以用硬件、固件或软件、或它们中至少两个的某种组合来实现。应当指出与任何特定控制器有关的功能可以或者本地地或者远程地集中或分散。某些词和短语的定义贯穿本专利文件,本领域的普通技术人员应该理解即使不是在大多数例子中的话,那也是在许多例子中,这样的定义适用于现有、及将来对这样定义的词和短语的使用。
为了更完整理解本发明及本发明的优点,现结合附图进行下面的描述,其中相同的标号表示相同的对象,附图中
图1示出按照本发明一个实施例的典型无线网络的概图;图2示出按照本发明一个实施例执行空中(OTA)服务接通的图1中的典型无线网络的各选用部分的替换图;图3示出按照本发明另一个实施例执行空中(OTA)服务接通的图1中的典型无线网络的被选择部分的替换图;图4更详细地示出按照本发明实施例的典型基站;图5更详细地示出按照本发明一个实施例的接通安全控制器;图6更详细地示出按照本发明另一个实施例的接通安全控制器;图7是说明按照本发明一个实施例的、图1和图2中无线网络中典型安全服务接通操作的流程图;和图8是说明按照本发明另一个实施例的、图1和图2中无线网络中典型安全服务接通操作的流程图。
在本专利文件中,下面讨论的图1到图8及用于描述本发明原理的各种实施例只作为说明、而不应以任何方式解释为对本发明范围的限制。本专业的技术人员将理解可以在任何适当地配置的无线网络中实现本发明的原理。
图1示出按照本发明一个实施例的典型无线网络100的概图。无线电话网络100包含许多小区站点121-123,其中每一个都包含基站BS 101、BS 102和BS 103中的一个。基站101-103可用来与许多无线移动台(MS)111-114进行通信。无线移动台111-114可以是任何合适的无线通信装置,包括传统的蜂窝电话机、个人通信系统(PCS)手机装置、便携式计算机、遥测装置等。
虚线表示基站101-103位于其中的小区站点121-123的大致边界。仅仅出于说明和解释目的而将小区站点大致示为圆形。应该清楚地知道按照所选择的小区配置和自然及人为障碍物,小区站点可以具有不规则的形状。
在本发明的一个实施例中,BS 101、BS 102和BS 103可以包括基站控制器(BSC)和基站收发信机台(BTS)。对本领域的技术人员来说,基站控制器和基站收发信机台是众所周知。基站控制器是在无线通信网络中管理特定小区的无线通信资源的装置,其中无线通信资源包括基站收发信机台。基站收发信机台包括RF收发信机、天线和位于每一个小区站点的其它电气设备。该设备可以包括空调单元、加热单元、电源、电话线路接口、和RF发射机及RF接收机、以及呼叫处理电路。为了简单明了地解释本发明的操作,分别用BS101、BS 102和BS 103来整个地表示小区121、122和123中每一个的基站收发信机台和与每一个基站收发信机台有关的基站控制器。
BS 101、BS 102和BS 103在彼此之间以及经由通信线路131和移动交换中心(MSC)140而与公众电话系统(未示出)之间传送语音和数据信号。对本领域的技术人员来说,移动交换中心140是众所周知的。移动交换中心140是在无线网络和诸如公众电话系统和/或因特网的外部网络的用户之间提供服务和协调的交换装置。通信线路131可以是任何合适的连接装置,包括T1线、T3线、光纤链路、网络干线连接等。在本发明的一些实施例中,通信线路131可以是几种不同的数据链路,其中每一种数据链路将BS 101、BS 102和BS 103中的一个连接到MSC 140。
在典型的无线网络100中,MS 111位于小区站点121中并与BS 101通信,MS 113位于小区站点122中并与BS 102通信,MS 114位于小区站点123中并与BS 103通信。MS 112也位于小区站点121中,它接近小区站点123的边缘。靠近MS 112的方向箭头表示MS 112朝小区站点123移动。在某些位置,由于MS 112移入小区站点123并移出小区站点121,因而将发生“越区切换”。
众所周知,越区切换程序将呼叫控制从第一小区转移到第二小区。例如,如果MS 112在与BS 101通信并检测到来自BS 101的信号正变得无法接受地弱,则MS 112可切换到具有更强信号的基站,诸如BS 103发送的信号就更强。MS 112与BS 103建立新的通信链路,并且信号被发送给BS 101和公众电话网络,以便通过BS 103传送正进行的语音、数据、或控制信号。从而将所述呼叫无缝隙地从BS 101转移到BS 103。“空闲”越区切换是正在控制或寻呼信道中进行通信、而不是正在常规业务信道中发送语音和/或数据信号的移动装置的小区之间的越区切换。
移动台111-114中的一个或一个以上最初可以是未接通的装置。即,诸如号码指配模组(NAM)数据、优选漫游列表(PRL)数据、或验证码(A密钥)数据等必要的配置数据可能不出现在例如MS 112中,或者,如果出现的话,则可能未被适当配置或启动,以致MS 112不能与BS 101进行通信。为了使这样的未接通的装置能够在无线网络100中工作,在无线网络100中提供空中(OTA)服务接通能力。
图2示出按照本发明一个实施例执行空中(OTA)服务接通的典型无线网络100的被选择部分的替换图。象图1那样,MS 112、BS 101、和MSC 140仍然出现。在图2中,无线网络100还包括互通功能(IWF)150、归属位置寄存器(HLR)155、和接通服务器160、161、及162。接通服务器160-162是全系统中心服务器,它们远离无线网络100的其它部件、即远离BS 101、MSC 140、IWF 150、和HLR 155。为了访问接通服务器160-162中的数据,MSC 140经由内部网/因特网165(下文称“因特网165”)与接通服务器160-162中的一个进行通信。由于根据无线业务经营者作出的选择可以以多种通信协议中的一种或一种以上的协议在无线网络100中传送数据,因而IWF 150需要将无线网络100中传送应用数据的“本机(native)”通信传输协议转换成基于适合在因特网165上传输的数据包的因特网协议(IP)。
象下面将更详细地解释的那样,当未接通的移动台、诸如MS 112访问无线网络100(经由BS 101)时,则BS 101和/或MSC 140利用HLR 155中的手机数据将MS 112标识为未接通的手机并经由因特网165与接通服务器160-162中的一个建立会话,以便进行MS 112的服务接通。可是,因为因特网165不由营运无线网络100的无线业务经营者拥有或控制,所以本发明提供防止未授权者利用MS 112访问因特网165中的其它服务器/网站的安全保护。而且,为了平衡接通服务器160-162中的负荷,本发明根据系统定义的“负荷分散(load spreading)”算法来选择接通服务器160-162中的一个而进行服务接通。例如,本发明可以将数据呼叫从MS 112引导到接通服务器160-162中最不忙的一个,以避免接通服务器160-162的任何一个出现瓶颈。
应该注意到本发明的范围不限于利用因特网链接基站和接通服务器的无线网络。在本发明的其它实施例中,因特网可能实际上是一个大的内部网,后者允许较低的安全性,它将一组基站链接到一个或一个以上的接通服务器。
图3说明按照本发明另一个实施例的进行空中(OTA)服务接通的典型无线网络100的被选择部分的替换图。象图1中那样,MS 112、BS 101、和MSC 140仍然出现。在图3中,无线网络100还包括互通功能(IWF)150、归属位置寄存器(HLR)155、和接通服务器160。接通服务器160是全系统中心服务器,它远离无线网络100的其它部件、即远离BS 101、MSC 140、IWF 150、和HLR 155。为了访问接通服务器160中的数据,MSC 140经由内部网/因特网165(下文称“因特网165”)与接通服务器160进行通信。由于根据无线业务经营者作出的选择可以以多种通信协议中的一种或一种以上种协议在无线网络100中传送数据,因而IWF 150需要将无线网络100中传送应用数据的“本机”通信传输协议转换成基于适合在因特网165上传输的数据包的因特网协议(IP)。
象下面将更详细地解释的那样,当未接通的移动台、诸如MS 112访问无线网络100(经由BS 101)时,则BS 101和/或MSC 140利用HLR 155中的手机数据将MS 112标识为未接通的手机并经由因特网165与接通服务器160建立会话,以便进行MS 112的服务接通。可是,因为因特网165不由营运无线网络100的无线业务经营者拥有或控制,所以本发明提供防止未授权者利用MS 112访问因特网165中的其它服务器/网站的安全保护。
应该注意到本发明的范围不限于利用因特网链接基站和接通服务器的无线网络。在本发明的其它实施例中,因特网可能实际上是一个大的内部网,后者允许较低的安全性,它将一组基站链接到一个或一个以上的接通服务器。
图4更详细地说明按照本发明一个实施例的典型基站101。基站101包括基站控制器(BSC)210和基站收发信机台(BTS)220。前面结合图1描述了基站控制器和基站收发信机台。BSC 210管理小区站点121中的资源,包括BTS 220。BTS 220包括BTS控制器225、信道控制器235、收发信机接口(IF)245、RF收发信机单元250、天线阵列255、和接通安全控制器265,其中信道控制器235包括代表信道元件(representative channel element)240,下面将更详细地进行描述。
BTS控制器225包括能够执行对BTS 220的整个操作进行控制的操作程序并与BSC 210进行通信的处理电路和存储器。在正常情况下,BTS控制器225指导信道控制器235的操作,信道控制器235包括多个信道元件,包括信道元件240,这些信道元件在前向信道和反向信道中进行双向通信。“前向”信道涉及从基站到移动台的出站信号,而“反向”信道涉及从移动台到基站的入站信号。在本发明的一个优选实施例中,在小区121中,信道元件根据码分多址协议(CDMA)与移动台进行通信。收发信机IF 245在信道控制器240和RF收发信机单元250之间传送双向信道信号。
天线阵列255将从RF收发信机单元250接收的前向信道信号发送到BS 101覆盖区域中的移动台。天线阵列255还将从BS 101覆盖区域中的移动台接收的反向信道信号发送给收发信机250。在本发明的优选实施例中,天线阵列255是多扇形(multi-sector)天线。诸如三扇形天线,其中每一个天线扇形负责120度弧线覆盖区中的发送和接收。另外,RF收发信机250可以包括天线选择单元,用于在发送和接收操作期间选择天线阵列255中的不同天线。
在本发明的一个实施例中,BTS控制器225还包括验证控制器260,后者标识/核查正在访问BS 101的移动台、诸如MS 112以前是否被无线网络100验证过。接通安全控制器265和验证控制器260提供必要的安全来防止未授权者利用未接通的MS 112访问接通服务器160-162之外的因特网服务器和网站。
在本发明另一个实施例中,BTS控制器225还包括验证控制器260,后者核查正在接入BS 101的移动台、诸如MS 112以前是否被无线网络100验证过。验证控制器260与接通安全控制器265一道工作,也提供必要的安全功能,后者用来防止利用MS 112访问与无线网络100有关的接通服务器之外的因特网服务器或网站。在本发明另外一些实施例中,可以在MSC 140或无线网络100中别处进行验证,验证的结果可以发送给BTS控制器225。
可经由BS 101在MS 112和无线网络100其余部分和/或因特网165之间进行任何通信之前,验证控制器260必须首先通过确定MS 112是否具有例如适当的公用加密数据(SSD)码和所需的接通数据来就MS 112已被服务接通进行验证(即鉴权)。在一种类型的传统服务接通过程中,用户通常在最初接通处理期间将验证码(即A密钥)输入到移动台。可是,其它方法可被用来输入A密钥或得到A密钥。随后,移动台可从A密钥或通过另外的算法而自动地产生公用加密数据(SSD)码。在两种情况之一的情况下,移动台传送其SSD码,作为验证处理的部分。一旦移动台被接通,所述网络中每一个基站将具有与被接通的移动台的SSD码相对应的SSD码。
北美的移动通信系统通常利用用于验证目的的蜂窝验证核查和加密(CAVE:Cellular Authentication Verification andEncryption)算法。在本发明的优选实施例中,BS 101和接口装置利用用于验证目的的CAVE算法。BS 101通过经由小区站点121的控制信道在总体控制消息中传送验证(AUTH)位来开始验证过程。当MS112认可AUTH位时,MS 112自动地向BS 101发送标识数据,包括SSD信息、电子序号(ESN)数据、记帐信息、拨号用户号码、和其它启动数据。
对用于无线网络100的验证过程的以上描述仅仅作为例子。本领域的技术人员将认识到存在许多不同的和众所周知的验证处理,这些验证处理可在本发明另外一些实施例中用于无线网络100。这些验证处理在本发明的范围之内。
验证控制器260最初对来自MS 112的输入数据进行存储并将接收的SSD信息与从HLR 155检索的SSD信息进行比较。如果验证控制器260确定从MS 112接收的SSD信息有效,则验证控制器260检查存储在HLR 155中的诸如NAM数据和记帐信息的其它数据,以便确定MS 112是否已被接通。如果验证控制器260证实MS 112被适当接通,则语音/数据呼叫被传送到MSC 140用于正常呼叫处理。如果验证控制器260证实MS 112以前未被接通(即无记帐信息、无NAM数据等),则验证控制器260将所有输入IP数据包传送给接通安全控制器265,用来修改每一个输入IP数据包中的IP头标信息和/或加密并通过MSC 140和因特网165后续传送到接通服务器160-162中被选择的一个,就象下面更详细描述的那样。
在本发明另外的实施例中,验证控制器260可以通过其它方法来确定正在接入BS 101的移动台是未接通的。例如,如果MS 112甚至本身不能适当地验证,则验证控制器260可以简单地拒绝呼叫或自动地将来自MS 112的所有输入IP数据包传送到接通安全控制器265,用于修改和/或加密,并通过MSC 140和因特网165传送到接通服务器160-162中的一个。另外,如果MS 112已经拨打保留用于服务接通的诸如“*228xx”的特定电话号码,则验证控制器260可以自动地将来自MS 112的所有输入IP数据包传送到接通安全控制器265用于修改和/或加密,并传送到接通服务器160-162中的一个。
图5更详细地说明按照本发明一个实施例的接通安全控制器265。典型的接通安全控制器265包括数据处理器405和存储器410,存储器410包括用于IP头标更换应用程序411的存储空间、IP头标字段415、IP数据包净荷字段420、接通服务器负荷统计字段425、接通服务器160 IP地址字段430、接通服务器161 IP地址字段435、和接通服务器162 IP地址字段440。当检测到未接通的移动台、诸如MS 112时,数据处理器405从验证控制器260接收输入IP数据包,并且在存储在存储器410中的IP头标更换应用程序411的控制下用从接通服务器160 IP地址字段430、接通服务器161 IP地址字段435、和接通服务器162 IP地址字段440中的一个所选择的IP头标来替换每一个输入IP数据包的原始IP头标。然后将头标修改的IP数据包返回到验证控制器260,作为输出IP数据包流。
存储器410存储与接通安全控制器265和IP头标更换应用程序411有关的数据和程序。输入IP数据包包括IP头标和IP净荷,其中IP头标包括所述IP数据包正被发往的目标装置的目标地址,IP净荷包括正被发往所述目标装置的用户数据和/或命令。从验证控制器260接收到输入IP数据包时,数据处理器405在IP头标更换应用程序411的控制下将IP头标信息存储在IP头标字段415中并将IP数据包的净荷存储在IP数据包净荷字段420中。
接着,数据处理器405用存储在接通服务器160 IP地址字段430、接通服务器161 IP地址字段435、和接通服务器162 IP地址字段440的IP地址中被选择的一个来替代存储在IP头标字段415中的原始IP头标数据。然后,数据处理器405通过将修改的(即更换的)IP头标信息重新附加到从IP数据包净荷字段430中检索的原始IP数据包净荷中来重组各个IP数据包。然后,将重组的IP数据包返回给验证控制器260,作为输出IP数据包流。
由于用接通服务器160-162中的一个服务器的预定IP地址替代所述IP头标,所以可以只将IP数据包净荷发送给接通服务器160-162中的一个。这种特征阻止未授权者或装置企图利用未接通的MS 112通过无线网络100来访问因特网165。除了一个接通服务器或接通服务器160-162外,未授权者或装置不能访问任何其它网站或服务器。接通服务器160-162对来自未接通的MS 112的合法服务接通请求进行处理而对未授权者或装置利用未接通的MS 112发送的与服务接通请求无关的任何数据和/或命令不予理睬。另外,在本发明的一个实施例中,可将编址到不适当IP地址的IP数据包保存到接通服务器160-162中的一个或一个以上的“日志”文件中,之后可用于欺骗分析。
选择接通服务器160-162中的一个的方法可以通过存储在接通服务器负荷统计字段425中的数据来确定。接通服务器负荷统计字段425存储与接通服务器160-162中的每一个都有关的业务负荷统计。在本发明的一个实施例中,由与无线网络100有关的各个接通服务器来提供接通服务器负荷统计。然而,这种负荷信息可由其它源来提供。
在IP头标更换应用程序411的控制下,数据处理器405通过将接通请求分配给存储在接通服务器160 IP地址字段430、接通服务器161 IP地址字段435、和接通服务器162 IP地址字段440的因特网地址中的被选择的一个来扩展接通服务器160-162中的服务接通负荷。一旦数据处理器405从验证控制器260收到需要接通的指示,数据处理器405就对接通服务器负荷统计425进行存取并利用负荷分散算法来确定接通服务器160-162中的哪一个最能对未接通的MS112进行服务接通。
各种负荷分散算法都有可能用来对哪一个接通服务器被用来对特定的移动台进行接通而进行选择。在一个实施例中,数据处理器405可以选择最不忙的接通服务器对未接通的MS 112进行服务接通。在另一个实施例中,数据处理器405可以顺序改变服务器,只要顺序中的下一个服务器没有超过最大数据业务阈值。在又一个实施例中,数据处理器405可以分配每一个接通服务器来对预定的一组小区站点进行服务,而不管业务负荷。在再一个实施例,数据处理器405可以按照轮换方式来分配服务器,而不管接通服务器160-162中任何一个的业务负荷。
一旦选择了接通服务器160-162中的一个,数据处理器405从接通服务器160 IP地址字段430、接通服务器161 IP地址字段435和接通服务器162 IP地址字段440中相应的一个来检索被选择的接通服务器的IP地址。被检索的IP地址用来替代原始IP头标信息,就象前面描述的那样。
图6更详细地说明按照本发明另一个实施例的接通安全控制器265。典型的接通安全控制器265包括数据处理器405和存储器410,存储器410包括用于加密应用程序450、IP头标字段455、IP数据包净荷字段460、和加密的净荷字段465的存储空间。当检测到未接通的移动台、诸如MS 112时,数据处理器405从验证控制器260接收输入IP数据包,并且在加密更换应用程序450的控制下对接收的IP数据包的净荷信息进行加密。然后将加密的IP数据包返回到验证控制器260,作为输出加密IP数据包流。
存储器410存储与接通安全控制器265和加密应用程序450有关的数据和程序。输入IP数据包包括IP头标和IP净荷,其中IP头标包括所述数据包正被发往的目标装置的目标地址,IP净荷包括正被发往所述目标装置的用户数据和/或命令。从验证控制器260接收到输入IP数据包时,数据处理器405在加密应用程序450的控制下将IP头标信息存储在IP头标字段420中并将IP数据包的净荷存储在IP数据包净荷字段460中。
接着,数据处理器405按照加密应用程序450执行的加密算法对IP数据包净荷字段460中的原始数据进行加密并将加密的数据存储在加密净荷字段465中。加密应用程序450可以执行任何已知的加密算法。然后,数据处理器405通过将从IP头标字段455检索的原始(和未加密的)IP头标信息重新附加到从加密净荷字段465中检索的加密的IP数据包中来重组每个IP数据包。然后,将重组的IP数据包返回给验证控制器260,作为输出加密IP数据包流。
然后,验证控制器260将加密的IP数据包经由MSC 140和IWF 150发送到因特网165。由于IP头标未被加密,所以加密的IP数据包仍然被传送到MS 112指定的目标IP地址。可是,由于整个净荷被加密,所以当加密的IP数据包到达目标地址时,除非目标IP地址的装置知道加密算法,不然所述IP数据包是无用的。这种特征阻止未授权者或装置企图利用未接通的MS 112通过无线网络100来访问因特网165。由于接通服务器160具有BS 101所用的加密算法的密钥,因而接通服务器160能够对来自未接通的MS 112的合法服务接通请求进行处理。
图7示出流程图500,它说明按照本发明一个实施例的无线网络100中的典型安全服务接通操作。首先,BS 101通过确定MS 112已经对BS 101发送的AUTH码起反应而检测MS 112的访问尝试(处理步骤505)BS 101从MS112接收验证数据,而验证控制器260利用从MS 112接收的验证数据来访问用户接通数据,如果在HLR 155中有用户接通数据的话,则确定对于无线网络100无线移动台MS 112是否被接通(处理步骤510)。BS 101可以通过一种或多种方法来确定这种接通状态,包括存在唯一的拨号接通号码、缺少SSD信息、缺少记帐信息等。
如果MS 112已被接通,则BS 101将接收的语音和/或数据包发送给MSC 140用于正常呼叫处理,包括因特网处理(处理步骤515)。如果BS 101不能对MS 112进行验证或用某些其它方式确定MS 112未被接通,则接通安全控制器265根据负荷分散算法而用选择的接通服务器IP地址来替代接收的IP地址(步骤520)。
此后,BS 101继续替换(即重新编址)从MS 112接收的IP头标,用于在无线网络100和因特网165之间传送,直到MS 112的用户终止MS 112的当前呼叫。如果MS 112的用户是首次企图接通MS 112的合法用户,则这意味着BS 101继续替换IP数据包头标,直到完成服务接通处理以及使用MS 112的用户结束呼叫为止(处理步骤525)。一旦被接通,MS 112随时可以正常使用。
图8示出流程图500,它说明按照本发明的一个实施例的无线网络100中的典型安全服务接通操作。首先,BS 101通过确定MS 112已对BS 101发送的AUTH码起反应而检测MS 112的访问尝试(处理步骤505)BS 101从MS 112接收验证数据,而验证控制器260利用从MS 112接收的验证数据来访问用户接通数据,如果在HLR 155中有用户接通数据的话,则确定对于无线网络100无线移动台MS 112是否被接通(处理步骤510)。BS 101可以通过一种或多种方法来确定这种接通状态,包括存在唯一的拨号接通号码、缺少SSD信息、缺少记帐信息等。
如果MS 112已被接通,则BS 101将接收的语音和/或数据包发送给MSC 140用于正常呼叫处理,包括未加密的因特网范围的净荷(处理步骤515)。如果BS 101不能对MS 112进行验证或用某些其它方式确定MS 112未被接通,则接通安全控制器265对从MS 112接收的IP数据包净荷进行加密并使BS 101向因特网165发送加密的IP数据包(处理步骤550)。BS 101继续对IP信息包净荷进行加密,用于在无线网络100和因特网165之间传送,直到MS 112的用户终止MS 112的当前呼叫。如果MS 112的用户是首次企图接通MS112的合法用户,则这意味着BS 101继续对IP数据包净荷进行加密,用于传送到因特网165,直到完成服务接通处理以及使用MS 112的用户结束呼叫为止(处理步骤555)。一旦被接通,MS 112随时可以正常使用。
在本发明另外一些实施例中,验证控制器260和接通安全控制器265中的一个或两者可以设置在基站101之外。例如,验证控制器260和接通安全控制器265可以作为直接或间接连接到BS 101的独立装置。在本发明的另一个实施例中,验证控制器260和接通安全控制器265可以例如设置在MSC 140、IWF 150中或者分布在MSC 140和IWF 150之间。在本发明的再一个实施例中,验证控制器260和接通安全控制器265可以仅仅设置在无线网络的某些基站中。在这样的实施例中,两个或两个以上的基站可以共享设置在仅仅一个基站中的同一验证控制器260和接通安全控制器265。
尽管已经详细地描述了本发明,本领域的技术人员应该意识到在不脱离本发明的精神和范围的情况下,他们能够以本发明最广泛的形式进行各种改变、替代和变化。
权利要求
1.用于包括许多基站的无线网络的安全装置,所述基站中的每一个都能与多个移动台通信,所述安全装置能够避免所述多个移动台中未接通的移动台通过所述无线网络访问因特网协议(IP)数据网络,所述安全装置包括第一控制器,它能够从所述未接通的移动台接收包括IP数据包头标和IP数据包净荷的IP数据包并用包括所述无线网络的至少一个接通服务器中被选择的一个服务器的IP地址的更换IP数据包头标来替代所述IP数据包头标。
2.权利要求1的安全装置,其特征在于所述第一控制器能够对所述IP数据包净荷的至少一部分加密。
3.权利要求1或2的安全装置,其特征在于所述第一控制器设置在所述多个基站中的至少一个基站。
4.权利要求1或2的安全装置,其特征在于所述第一控制器设置在所述无线网络的移动交换中心和互通功能中的至少一个之中。
5.权利要求1或2的安全装置,其特征在于还包括能够确定所述未接通的移动台未被接通的第二控制器。
6.权利要求1或2的安全装置,其特征在于如果对于所述无线网络所述未接通的移动台不能验证,则所述第二控制器确定所述未接通的移动台未被接通。
7.权利要求1或2的安全装置,其特征在于所述第二控制器根据与所述未接通的移动台选择的服务接通处理有关的预定电话号码来确定所述未接通的移动台未被接通。
8.权利要求1或2的安全装置,其特征在于所述第二控制器根据从与所述无线网络有关的归属位置寄存器中检索的数据来确定所述未接通的移动台未被接通。
9.权利要求1或2的安全装置,其特征在于所述第一控制器根据负荷分散算法通过选择所述更换IP数据包头标中的所述IP地址来选择所述至少一个接通服务器。
10.权利要求2的安全装置,其特征在于所述第一控制器包括数据处理器,后者能够执行存储在与该数据处理器有关的存储器中的加密程序。
11.一种无线网络,它包括多个基站,所述基站中的每一个都能与多个移动台通信;至少一个接通服务器;和安全装置,它能够避免所述多个移动台中未接通的移动台通过所述无线网络访问因特网协议(IP)数据网络,所述安全装置包括第一控制器,它能够从所述未接通的移动台接收包括IP数据包头标和IP数据包净荷的IP数据包并用包括所述至少一个接通服务器中被选择的一个服务器的IP地址的更换IP数据包头标来替代所述IP数据包头标。
12.权利要求11的无线网络,其特征在于所述第一控制器还能够对所述IP数据包净荷的至少一部分进行加密。
13.权利要求11或12的无线网络,其特征在于所述第一控制器设置在所述多个基站中的至少一个基站。
14.权利要求11或12的无线网络,其特征在于所述第一控制器设置在所述无线网络的移动交换中心中。
15.权利要求11或12的无线网络,其特征在于还包括能够确定所述未接通的移动台未被接通的第二控制器。
16.权利要求11或12的无线网络,其特征在于如果对于所述无线网络所述未接通的移动台不能验证,则所述第二控制器确定所述未接通的移动台未被接通。
17.权利要求11或12的无线网络,其特征在于所述第二控制器根据与所述未接通的移动台选择的服务接通处理有关的预定电话号码来确定所述未接通的移动台未被接通。
18.权利要求11或12的无线网络,其特征在于所述第二控制器根据从与所述无线网络有关的归属位置寄存器中检索的数据来确定所述未接通的移动台未被接通。
19.权利要求11的无线网络,其特征在于所述第一控制器根据负荷分散算法通过选择所述更换IP数据包头标中的所述IP地址来选择所述至少一个接通服务器。
20.权利要求12的无线网络,其特征在于所述第一控制器包括数据处理器,后者能够执行存储在与该数据处理器有关的存储器中的加密程序。
21.一种用于包括多个基站的无线网络中避免多个移动台中未接通的移动台通过所述无线网络访问因特网协议(IP)数据网络的方法,所述基站中的每一个都能与所述多个移动台通信,所述方法包括从所述未接通的移动台接收包括IP数据包头标和IP数据包净荷的IP数据包;确定所述未接通的移动台未被接通;和用包括所述无线网络的至少一个接通服务器中被选择的一个服务器的IP地址的更换IP数据包头标来替代所述IP数据包头标。
22.权利要求21的方法,其特征在于还包括如下步骤对所述IP数据包净荷的至少一部分进行加密。
23.权利要求21或22的方法,其特征在于所述确定的步骤包括如下的步骤确定对于所述无线网络所述未接通的移动台不能验证。
24.权利要求21或22的方法,其特征在于所述确定的步骤包括如下的步骤确定所述未接通的移动台选择的与服务接通处理有关的预定电话号码。
25.权利要求21或22的方法,其特征在于确定所述未接通的移动台未被接通的步骤包括如下的步骤检查从与所述无线网络有关的归属寄存器检索的数据。
全文摘要
公开一种用于无线网络的安全装置。所述安全装置包括第一控制器和第二控制器,用来避免未接通的移动台通过所述无线网络访问因特网协议(IP)数据网络。第一控制器从未接通的移动台接收包含IP数据包头标和IP数据包净荷的IP数据包,并用被选接通服务器的IP地址的更换IP数据包头标替代所述IP数据包头标而来选择接通服务器。第二控制器用于确定未接通的移动台实际上未被接通。在一个实施例中,第一控制器包括执行加密程序的数据处理器。
文档编号H04L12/28GK1308469SQ0110121
公开日2001年8月15日 申请日期2001年1月2日 优先权日1999年12月30日
发明者B·J·莫勒斯, S·P·赫勒 申请人:三星电子株式会社