通信网络和对应网络中管理移动终端的鉴权的方法和系统的制作方法
【专利说明】
[0001] 本申请是申请日为2005年6月20日的、申请号为200580051166.5(国际申请号 为PCT/EP2005/006582)以及发明名称为"用于在通信网络、对应网络和计算机程序产品中 管理移动终端的鉴权的方法和系统"的发明专利申请的分案申请。
技术领域
[0002] 本发明涉及用于实现在电信网络中鉴权移动终端的通信管理的技术。
[0003] 由于对本发明在无线局域网、城域网或地理网中可能应用的特别关注,本发明已 得到发展。
[0004] 如本文所述,"鉴权"是指通常指定这样的过程,其使得给定终端得以识别(优选的 是以安全方式),并能够通过给定通信网络通信(同样优选的是以安全方式)。这样,所述 指定扩展到那些允许交换"保密密钥"(例如加密密钥),以建立从和/或到通信网络中终 端的安全通信的技术。
【背景技术】
[0005] 文献W0-A-03/100348说明了一种通过测量移动终端之间的距离来提供通信中的 附加安全层,从而提高通信网络中的安全性的方法。在此方法中,两个终端之间的距离测量 被用于确定属于所述网络的两个终端之间是否能够通信。所述距离测量是通过三角测量多 个终端之间的距离,或使用已知TD0A(到达时间差)技术得到执行的。
[0006] 文献W0-A-01/93434说明了一种方法,其中为了计算移动终端与属于网络的远 程终端之间的距离,需要使用UWB(超宽带)发射机和接收机。可以根据所述远程设备与 本地设备之间的距离,启动或禁止本地设备与所述远程设备之间的通信。同样,在文献 US-A-2004/121 787所示的方法中,通过将已知TD0A(到达时间差)技术用于所述移动终端 自身所传送的信号,确定所述移动终端被设置在WLAN (无线局域网)中的位置。
[0007] 此外,文献US-A-2003/217 122示出了一种用于基于终端的位置,管理无线/有线 网络的安全性的方法。在无线网络情况下,所述终端的位置可由终端自身提供,例如经由 集成在其中的GPS设备,否则可通过网络从接入点对于终端所传送信号的功率或延迟测量 (例如,使用三角技术)中得到。所述定位信息用于允许或拒绝对网络的完全或部分接入, 以及对其可得到信息的完全或部分接入。
[0008] 在文献 US-A-2004/028 017、US-A-2004/059 914 和 US-A-2004/190 718 中描述了 实现相同目标的其他方法和系统。
[0009] 就所述位置和距离用于允许或禁止所述通信而言,除了通常所使用的方法之外 (例如基于用户名称和密码的方法),所有上述系统都将距离或位置计算用作适当的鉴权 方法。
[0010] 在文献US-A-2003/140 246所示的另一方法中,所述终端的位置被用于判定将用 于所述终端与网络之间的通信的安全级别。具体而言,在所述文献中,设想两个不同实施 例,在第一实施例中,所述安全级别由设置在所述网络中的计算系统管理,所述计算系统从 专门设置的位置传感系统接收所述终端的位置,在第二实施例中,所述安全级别完全由移 动终端自身管理。仅根据对于第一实施例的具体分析,其包括了所述位置传感系统集成在 所述用户终端中的场景。
[0011] 所分析的场景设想所述位置传感系统例如是GPS接收机,或作为选择,所述终端 具有用于计算其自己位置的算法(例如,基于其自身的测量)。在两种情况下,所述终端将 其自己的位置经由通信系统传送到所述计算系统。
[0012] 在这种情况下,创建与用于服务的系统并行的第二通信系统变得必要,或者,作为 选择,使用相同的通信系统,以及用于服务的相同通信协议变得必要(例如通过将定位信 息封装在TCP/IP分组中)。
[0013] 两种布置都呈现出明显的缺点:第一个选择(并行通信系统)引起成本的显著 增加,因为其需要提供仅用于传递定位信息的第二网络,而第二选择(将定位信息封装在 TCP/IP分组中)危害了网络的安全性,因为诸如接入点、交换机和路由器的中间设备无法 鉴权其接收并相应转发的分组的有效内容(对于这些设备而言,重要的是所述分组应当为 以太网型、IP型等)。
[0014] 在第二种情况下,未被授权接入给定区域的用户甚至可通过诉诸于持续发送 ICMP/IP控制分组(例如所谓"乒乓效应")执行对于网络的攻击,所述控制分组使用与用 于所述用户数据和位置数据的通信协议相同的通信协议(IP协议)。
[0015] 同样的问题也存在于另一种可能的场景,其中定位是由位置传感系统借助终端所 做测量来执行的,所述测量由所述终端自身转移给所述位置传感系统。
【发明内容】
[0016] 从以上对于现有情况的描述可见,产生了定义一种技术方案的需要,即所述技术 方案与根据上述现有技术的方案相比,能够以更为满意的方式处理在电信网络中移动终端 的鉴权。具体而言,即使或多或少地仔细考虑过能够完全或部分地实现在其位置处的终端 鉴权的这些技术,然而问题仍然存在,即如何以简单而有效的方式使尚未被鉴权的终端能 够向所述网络发送将被用于鉴权的定位信息。
[0017] 本发明的特定目的是提供一种方法和系统,其能够基于无线终端所呈现的位置来 管理所述无线终端的鉴权,而无需创建并行通信系统,同时也不会危害网络安全性。
[0018] 因此,本发明目的是提供对上述需要提供满意的回答。
[0019] 根据本发明,所述目的是借助一种由具有所附权利要求书阐述的特征的方法来实 现。本发明还涉及通信系统、相关网络以及计算机程序产品,所述计算机程序产品可装入至 少一个计算机的内存,并包括用于当该产品在计算机上运行时执行本发明方法步骤的软件 代码部分。如本文所使用的,术语"计算机程序产品"用于指代包含用以控制计算机系统来 协调执行本发明方法的指令的计算机可读媒体。"至少一个计算机"显然意在强调以分布式 /模块化方式实施本发明的可能性。
[0020] 权利要求书构成在此的本发明的公开的完整部分。
[0021] 因此,本发明优选实施例是一种在通信网络中鉴权终端的方法(即用于允许所述 终端通过所述通信网络通信),其中所述通信网络包含所述终端,基于从所述终端传送到所 述网络中至少一个服务器的定位信息来实现鉴权,通过:
[0022] -一在所述网络中为所述终端提供至少一个接入点,所述接入点被配置为基于给 定鉴权协议(例如ΕΑΡ),允许未被鉴权的终端将鉴权消息传送到所述网络中的鉴权服务 器;以及
[0023] -一通过经由所述给定鉴权协议传递所述定位信息,将所述定位信息从所述终端 传送到所述鉴权服务器。
[0024] 在本文优选实施例中,在此描述的布置基于传递所述移动终端的定位信息的两种 不同场景。
[0025] 在第一种场景下,所述定位信息由集成在所述终端中的位置传感系统传送到鉴权 系统。
[0026] 作为选择,在第二种场景下,所述终端做出的测量被传送到所述终端外部的位置 传感系统,所述位置传感系统通过处理所述测量,能够计算所述终端的位置。
[0027] 在上述优选实施例中,优选的是借助信令协议,尤其优选的方式是借助ΕΑΡ (扩展 鉴权协议),传送所述终端的定位信息。所述ΕΑΡ协议由IETF (因特网工程任务组)研发,其 在以下文献中描述:RFC3748, B. Aboba,L. Blunk,J. Vollbrecht,J. Carlson,H. Levkowetz ; "扩展鉴权协议(ΕΑΡ) ",可在IETF网址http://www. ietf. org杳阁。
[0028] 该协议通常在网络中用于在终端与鉴权服务器之间转移所有所述鉴权消息。
[0029] 为了能够在所述布置中使用所述协议,将其功能扩展为其能够传递上述定位信息 或所述用于计算位置的测量。如此,所述的布置的优点在于无需创建第二组织通信网络,并 借助所述ΕΑΡ的特性最大程度保证了安全性。
[0030] 所述接入点(ΑΡ)阻塞来自给定终端的业务,直至所述终端已肯定完成所述鉴权