HK1051610B - 認證方法、認證系統和網關設備 - Google Patents
認證方法、認證系統和網關設備 Download PDFInfo
- Publication number
- HK1051610B HK1051610B HK03103858.2A HK03103858A HK1051610B HK 1051610 B HK1051610 B HK 1051610B HK 03103858 A HK03103858 A HK 03103858A HK 1051610 B HK1051610 B HK 1051610B
- Authority
- HK
- Hong Kong
- Prior art keywords
- network
- authentication
- address
- mapping information
- user
- Prior art date
Links
Description
技术领域
本发明有关一种认证方法及系统,可用于在第二网络中识别第一网络的用户。
背景技术
在GPRS(通用分组无线业务)系统中,采用一种分组模式技术以有效的方式传送高速和低速数据和信令。GPRS对网络及无线资源的利用进行优化,支持基于标准数据协议的应用,采用IP网定义业务互通。从间断及突发的数据传送,到大量数据的临时传输,GPRS都能支持。一般是根据所传送的数据量进行计费。
GPRS需在GSM移动网络中新增两个网络节点。服务GPRS支持节点(SGSN)与移动交换中心(MSC)位于同一层次,跟踪各移动台(MS)的位置,实现安全功能及接入控制。SGSN通过帧中继连接到基站系统。网关GPRS支持节点(GGSN)提供与外部分组交换网络的互通,并通过一个基于IP的GPRS干线网与SGSN相连。GSM系统的HLR(原籍位置寄存器)内增加了GPRS用户信息,VLR(访问者位置寄存器)能更有效地协调GPRS业务与非GPRS业务以及功能性,例如电路交换呼叫可通过SGSN更加有效地进行寻呼,以及GPRS与非GPRS合并位置的更新。
为接入GPRS业务,一个MS首先通过执行一个GPRS加入操作(attach)使网络得知它的加入。该操作在MS与SGSN之间建立一条逻辑链路,使得MS可通过SGSN进行寻呼,并得知GPRS数据的来临(incoming)。为了发送和接收GPRS数据,MS需激活其希望使用的分组数据地址。该操作使MS被相应的GGSN识别,就可与外部数据网络进行互通。用户数据通过一种所谓封装与隧道的方法在MS与外部数据网络之间透明传送,其中数据分组附带着GPRS特定协议信息在MS与GGSN之间传送。这种透明传送方法减少了GPRS移动网络解释外部数据协议的需求,而且可使得以后易于添加另外的互通协议。
当一个移动用户希望接入一个IP网络提供的一种增值服务(VAS)时,对于移动业务运营者来说,相应的VAS平台必须具备一种计费专用服务功能。这意味着运营者需要能够根据诸如接入的WML内容或URL(统一资源定位器)和传送的消息进行计费的业务平台。然而,在连接到GPRS网络或其它的移动分组交换网络上的VAS平台中,MS识别并非没有价值。这是由于VAS从某个源地址仅接收IP分组,该源地址通常只是某个MS的一个动态IP地址,因而根本不足以识别该MS。
此外,还需要一个MSISDN(移动台ISDN号),MSISDN对于需避免额外的HLR查询的消息传递型业务(如多媒体消息传递)尤为重要。
已知的MS识别是通过诸如利用用户名称、密码或密钥等方法来实现的。然而,这些类型的解决方案对于移动业务运营者来说操作/管理较复杂。而且,这些解决方案通常要求采用它们自己的管理系统和数据库,而这些管理系统和数据库与移动业务运营者现有的、以IMSI(国际移动用户标识)或MSISDN作为CDRs(呼叫明细记录)密钥的帐单或计费系统不一定兼容。
另外一种是在HLR中进行认证。但这种解决方案会导致已是关键节点的HLR的负荷明显加重。
发明内容
本发明的目标之一就是提供一种认证方法及系统。通过这种方法及系统,VAS平台可识别该平台上的MS接入业务。
此目标可通过一种在第二网络中识别第一网络的用户的认证方法来实现,这种方法包含以下步骤:
给所述用户分配所述第二网络中的一个地址;
创建该用户在所述第二网络中的地址与一个用户标识之间的映像信息;
将该映像信息发送给所述第二网络。
此外,上述目标可通过一种在第二网络中识别第一网络的用户的认证系统来实现,该系统中包括:
一个网关设备,其中包含有用于给所述用户分配所述第二网络中的一个地址的分配装置,以及用于创建所述第二网络中的所述地址与一个用户标识之间的映像的信息并将所述映像信息发送给所述第二网络的认证客户机装置;
一台位于所述第二网络中的认证服务器,用来登录和保存所述映像信息。
此外,上述目标可通过连接第一网络与第二网络的一个网关设备来实现,该网关设备中包括:
分配装置,用于给所述第一网络的用户分配所述第二网络中的一个地址;以及
认证客户机装置,用于创建关于所述第二网络中的所述地址与一个用户标识之间的映像的信息并将所述映像信息发送给所述IP网络。
这样,第二网络的地址与用户标识之间的映像信息就产生出来并被送到第二网络,从而建立了客户-服务器链接,使得第二网络的一个动态地址对应的实际用户标识可被送到第二网络。第二网络根据第二网络的地址与用户标识间的映像关系来识别用户。
由于第一网络如GGSN中包含关于第二网络的地址与用户标识间的映像关系的信息,若映像关系改变,则可将新的映像数据发送到第二网络。
用户标识最好是该用户的IMSI和/或MSISDN。这样,多媒体消息传递型业务可根据MSISDN识别接收者,接收者可根据多媒体消息传递型业务中心提供的MSISDN来识别消息发送者,因而不再需要HLR查询。而且,计费功能可利用MSISDN或IMSI识别用户来实现专用服务计费。
映像信息可在一条诸如RADIUS接入请求消息的接入请求消息中传送。
最好给一个VAS平台提供一个认证服务器功能性模块,其中,接入请求消息被传送到VAS平台的认证服务器功能性模块,在VAS平台中根据映像信息来识别移动终端。在这种情况下,认证服务器功能性模块可以包含在VAS平台中,也可以采用一台专用的认证服务器作为认证服务器功能性模块。
在网关设备为GGSN的情况下,映像信息可由GGSN中的一个认证客户机功能性模块创建。
映像信息可用于专用服务计费。
认证服务器可以是用于第二网络中的VAS平台的一台RADIUS服务器,其中VAS平台根据映像信息来识别用户。
附图说明
下面将基于一个优选实施例并参照附图对本发明进行更详细的描述,其中:
图1为根据本发明的优选实施例,连接到一个IP网络上的一个GPRS网络的框图;
图2为根据本发明的优选实施例,接入IP网络的操作中的信息流及信息处理示意图。
具体实施方式
下面以一个GPRS网络作为第一网络、一个IP网络作为第二网络为例,在此基础上说明根据本发明的认证方法及系统的优选实施例。
根据图1,一个移动终端或移动台(MS)1以无线方式连接到一个GSM网络2,GSM网络2又与一个GPRS干线网的SGSN3连接。该GPRS干线网中包括有一台计费服务器4,以及与一个IP网络9(例如特定运营者的一个intranet网或国际互联网internet)连接的GGSN5。
GGSN5中包含有一个接入点单元(AP)51,AP 51负责接入IP网络9,并用来给要连接到IP网络9的MS分配一个IP地址。此外,GGSN5中还包含有一个认证客户机单元52,用来提供向IP网络9发出的接入请求所需的参数。而且,认证客户机单元52还可以用来明确/规定对送给IP网络9中预定VAS的用户名称及密码参数进行的处理。
根据图1中所示的优选实施例的一个示例,IP网络9为某个运营者的intranet干线网,其中包括有一台地址分配服务器6,如一台RADIUS(用户服务中的远程认证拨号)服务器、一台DHCP(动态主机配置协议)服务器或者一台DNS(域名服务器)等。地址分配服务器6通过一条接入许可或接入拒绝消息响应来自GGSN5的接入请求。此外,地址分配服务器6进行IP网络中的主机配置及地址分配。
此外,IP网络9(例如运营者的intranet)中还包括有一个增值服务(VAS)平台7。这种VAS平台例如可以是一个多媒体消息传递型中心(MMSC),MMSC用来向诸如MS1的请求用户传送多媒体消息。此外,VAS平台的另一个实例是一个无线应用协议(WAP)网关,WAP网关可通过相应的统一资源定位器(URL)接入万维网(WWW)。
根据本发明的优选实施例,IP网络中包含有一台用于VAS平台7的专用认证服务器8。认证服务器8可以是一台RADIUS服务器,接受或拒绝对VAS平台7的接入请求。此外,认证服务器8还用来登录或存储接入请求和相应移动用户标识,它们来自GGSN5中的认证客户机52,如RADIUS客户机。这样,GGSN5中的认证客户机52与地址分配服务器或特定认证服务器8进行通信,从而建立起认证客户机-服务器间的连接。
特别是,认证客户机52将映像信息合并或附加到接入请求中,使得向IP网络9请求服务的MS的实际MSISDN和/或IMSI可在认证服务器8中得出。映像信息中可包含当前IP地址、MSISDN和/或IMSI,或者任一组合或缩写形式,据此可由当前IP地址得出MSISDN和/或IMSI。MSISDN可由GGSN5通过SGSN3从GSM网络2中获取。
这样,GGSN5的认证客户机单元52提供IP地址与MSISDN和/或IMSI之间的映像关系信息。若映像关系改变,认证客户机单元52就将新的映像关系信息发送给IP网络9中的认证服务器8。因此,MSISDN和/或IMSI对于VAS平台7总是可用的。
MSISDN可作为一个附加GTP参数由SGSN3向GGSN5提供。IMSI可由SGSN3向GGSN5提供的TID得出。
GGSN5作为GSM GPRS数据网的一个接入点与IP网络9互通。在这种情况下,GPRS网络类似另一个IP网或子网。接入IP网络9可能包括一些特定功能,如用户认证、用户授权、MS与IP网络9之间端到端加密、分配一个位于IP网络9寻址空间内的动态IP地址。若为非透明接入IP网络9,则GGSN5参与上述操作。特别是,请求接入IP网络9的MS1被分配一个位于运营者寻址空间内的地址。该地址为预订的一个静态地址,或是通过PDP(分组数据协议)上下文激活给出的一个动态地址。该地址用于在IP网络9与GGSN5之间以及在GGSN5内的分组发送。
下面,根据图2说明经由GPRS干线网接入IP网络9的一个操作实例。图2为表示在实例接入操作过程中执行信令及处理操作的信息流及信息处理示意图。根据图2,MS1向SGSN3发送一条“激活PDP上下文请求”消息,其中包括协议配置选项以及诸如一个NSAPI(网络层业务接入点标识符)这样的参数。然后,SGSN3通过将存放在MM(移动管理)上下文中的IMSI与从MS接收来的MSAPI结合,为被请求的PDP上下文创建一个TID,其中SGSN从HLR获取MSISDN。随后,SGSN3向GGSN5发送一条“创建PDP上下文请求”消息,其中包括诸如一个APN(接入点名称)、TID以及MSISDN这样的参数。GGSN5中的AP单元51为MS1分配一个IP地址,认证客户机单元52将接入请求所需的参数一并送到认证服务器8。特别是,认证客户机单元52生成表示分配的IP地址与MSISDN/IMSI之间映像关系的映像数据。
GGSN5将包含有IP地址及映像数据的接入请求发送到用于VAS平台7的认证服务器8。随后,认证服务器8接受或拒绝收到的请求。此外,认证服务器8登录包含有IP地址及映像数据的请求。这样,VAS平台7就能根据认证服务器8存放的接入请求中包含的映像数据识别MS1。
GGSN5向SGSN3回送一条“创建PDP上下文答复”消息,其中根据认证结果设定了一个原因值(cause value),即接入拒绝或许可。根据在“创建PDP上下文答复”消息中收到的原因值,SGSN3向MS1发送一条“激活PDP上下文许可”或“激活PDP上下文拒绝”消息。
这样,通过上述接入过程,VAS平台7就可收到一个接入MS的IP地址、IMSI及MSISDN,从而在多媒体消息传递型业务中可基于MSISDN进行寻址,也使得专用服务计费成为可能。
总之,本发明有关一种认证方法及系统,可用于在第二网络中识别第一网络的用户,其中第二网络中的一个地址被分配给该用户。第二网络中的地址与用户标识之间的映像关系信息被创建并送到第二网络。这样,在第一网络与第二网络之间就建立起一个认证服务器连接,使得用户标识可被传送到第二网络。因此,第二网络中的VAS平台就能收到第二网络中的地址以及用户的用户标识,从而为了计费和/或寻址可对该VAS平台的用户接入业务进行识别。
需要说明的是,上述认证方法及系统可应用于两个网络的任何网关设备之间,如一个移动网与一个IP网,或者一个电话网(如ISDN、PSTN)与一个封闭或开放的数据网。而且,认证服务器8以及认证客户机单元52也不限于RADIUS型服务器和客户机。还要说明的是,在第二网络上可同时配置彼此相似或不同的多个VAS平台。
以上对优选实施例的说明以及附图仅用来说明本发明。本发明的优选实施例可在所附权利要求的范围内进行改动。
Claims (17)
1、一种用于在第二网络中识别第一网络(2)的用户的认证方法,其中提供用于一个VAS平台的认证服务器功能性,这种方法包含下列步骤:
a)给所述用户分配所述第二网络(9)中的一个地址;
b)创建关于该用户在所述第二网络(9)中的地址与一个用户标识之间的映像的信息;
c)将该映像信息发送到所述第二网络;以及
d)在VAS平台中根据所述映像信息识别所述用户。
2、根据权利要求1的一种认证方法,其中,当所述第二网络中的所述地址与用户标识之间的所述映像关系发生了改变时,所述映像信息被发送到所述第二网络。
3、根据权利要求1或2的一种认证方法,其中所述用户标识为用户的一个IMSI和/或MSISDN。
4、根据权利要求1至3中任一项的一种认证方法,其中所述映像信息在一条接入请求消息中发送。
5、根据权利要求4的一种认证方法,其中所述接入请求消息为一条RADIUS接入请求消息。
6、根据权利要求1的一种认证方法,其中所述认证服务器功能性包含在VAS平台中。
7、根据权利要求1的一种认证方法,其中所述认证服务器功能性由一台专用认证服务器提供。
8、根据前述权利要求1的一种认证方法,其中所述映像信息由一个GGSN中的一个认证客户机功能性创建。
9、根据前述权利要求1的一种认证方法,其中所述映像信息用于对移动终端进行专用服务计费和/或寻址。
10、一种用于在第二网络(9)中识别第一网络(2)的用户(1)的认证系统,其中包括:
a)一个网关设备(5),其中包含有用于给所述用户(1)分配所述第二网络(9)中的一个地址的分配装置(51),以及用于创建关于所述第二网络(9)中的所述地址与一个用户标识之间的映像的信息并将所述映像信息发送到所述第二网络(9)的认证客户机装置(52);以及
b)一台位于所述第二网络(9)中的认证服务器(8),用来登录和保存所述映像信息,
c)其中,所述认证服务器(8)是一台用于所述第二网络(9)中的一个VAS平台(7)的服务器,其中所述VAS平台(7)用来根据所述映像信息识别所述用户(1)。
11、根据权利要求10的一种认证系统,其中所述网关设备为一个GGSN(5)。
12、根据权利要求10或11的一种认证系统,其中所述认证客户机装置(52)为一台RADIUS客户机。
13、根据权利要求10的一种认证系统,其中所述认证服务器(8)为一台RADIUS服务器。
14、根据权利要求10的一种认证系统,其中所述用户标识为一个IMSI或MSISDN。
15、根据权利要求10的一种认证系统,其中所述认证客户机装置(52)将所述映像信息以一条接入请求消息发送到所述认证服务器(8)。
16、一个用来将第一网络(2)连接到第二网络(9)的网关设备,其中包括:
a)分配装置(51),用于给所述第一网络(2)的用户(1)分配所述第二网络(9)中的一个地址;以及
b)认证客户机装置(52),用于创建关于所述第二网络(9)中的所述地址与一个用户标识之间的映像的信息并将所述映像信息发送到所述IP网络(9),其中所述认证客户机装置(52)为一台RADIUS客户机。
17、根据权利要求16的一种网关设备,其中所述认证客户机装置(52)将所述映像信息以接入请求消息发送。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP1999/004625 WO2001003402A1 (en) | 1999-07-02 | 1999-07-02 | Authentication method and system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| HK1051610A1 HK1051610A1 (zh) | 2003-08-08 |
| HK1051610B true HK1051610B (zh) | 2005-01-28 |
Family
ID=
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1144440C (zh) | 认证方法、认证系统和网关设备 | |
| EP1119986B1 (en) | Method and apparatus for communicating data packets from an external packet network to a mobile radio station | |
| EP1493289B1 (en) | System and method for pushing data in an internet protocol network environment | |
| US7127489B2 (en) | Messaging service | |
| US6885871B2 (en) | Method for the addressing of a mobile terminal | |
| CN1138386C (zh) | 激活分组数据协议语境方法以及分组交换电信系统 | |
| CN1126388C (zh) | 使用动态分配地址对无线通信台寻址的方法和装置 | |
| FI108195B (fi) | Mekanismi verkon aloittamaa informaation siirtoa varten | |
| CN1836390A (zh) | 用于分组数据网络通信系统中的紧急接入的分组过滤 | |
| CN1484929A (zh) | 一种在电信网络上调用隐私的方法 | |
| CN1359582A (zh) | 用于异构型网络之间的互操作性的虚拟编号方案 | |
| CN1481182A (zh) | 用于从一个移动设备向一组移动设备提供位置信息的方法 | |
| EP1786176B1 (en) | System and method for processing packet mobile-terminated calls using dynamic IP | |
| EP1889452B1 (en) | Provision of a service to several separately managed networks | |
| CN1783844A (zh) | 在无线分组数据服务网络中定制数据会话重试机制 | |
| HK1051610B (zh) | 認證方法、認證系統和網關設備 | |
| KR20040026891A (ko) | 이동통신 망 및 이동통신 망의 이동 단말에 대한 착신 호서비스 방법 | |
| KR100565293B1 (ko) | 이동 통신 시스템의 아이피 데이터 전송 방법 | |
| JP2006230011A (ja) | 認証方法及びシステム |