Способ и система предоставления защищенной связи с использованием сотовой сети для множества устройств специализированной связи

Иллюстрации

Показать все

Изобретение относится к области сетей беспроводной связи. Технический результат заключается в повышении безопасности при взаимодействии телефонных аппаратов разных поставщиков услуг. Сущность изобретения заключается в том, что способ предоставления защищенной связи для множества специализированных устройств включает в себя аутентификацию одного или более первых устройств в первой сети; аутентификацию одного или более вторых устройств во второй сети; передачу ключа группы в аутентифицированные первые устройства и в аутентифицированные вторые устройства; установление специализированной сети, по меньшей мере, посредством одного из аутентифицированных первых устройств и, по меньшей мере, одного из аутентифицированных вторых устройств с помощью ключа группы и обмен данными в рамках специализированной сети, по меньшей мере, между одним из аутентифицированных первых устройств и, по меньшей мере, одним из аутентифицированных вторых устройств. 3 н. и 7 з.п. ф-лы, 5 ил.

Реферат

Область техники, к которой относится изобретение

Настоящее изобретение, в общем, относится к системам беспроводной связи, в частности, к защищенной связи для множества устройств специализированной связи.

Уровень техники

Инфраструктурная беспроводная сеть в типичном варианте включает в себя сеть связи со стационарными и проводными шлюзами. Многие инфраструктурные беспроводные сети используют мобильный блок или хост, который обменивается данными со стационарной базовой станцией, которая подключена к проводной сети. Мобильный блок может перемещаться географически в то время, когда он обменивается данными по линии беспроводной связи с базовой станцией. Когда мобильный блок выходит за пределы диапазона одной базовой станции, он может подключиться или "передать обслуживание" новой базовой станции, и начинает обмен данными с проводной сетью через новую базовую станцию.

В сравнении с инфраструктурными беспроводными сетями, такими как сотовые сети или спутниковые сети, специализированные (ad-hoc) сети, такие как сети, образующие связь устройство-устройство, являются самоформирующимися сетями, которые могут работать при отсутствии какой-либо стационарной инфраструктуры, и в некоторых случаях специализированная сеть полностью сформирована из мобильных узлов. Специализированная сеть в типичном варианте включает в себя ряд географически распределенных потенциально мобильных блоков, иногда упоминаемых как "узлы", которые соединены беспроводным способом друг с другом посредством одной или более линий связи (к примеру, радиочастотных каналов связи). Узлы могут обмениваться данными друг с другом по беспроводным носителям без поддержки инфраструктурной или проводной сети. Линии связи или соединения между этими узлами могут изменяться динамически произвольным способом по мере того, как существующие узлы перемещаются в пределах произвольно организующейся сети, как новые узлы присоединяются или вступают в произвольно организующуюся сеть или как существующие узлы покидают либо выходят из произвольно организующейся сети.

В последнее время наблюдается растущий интерес к интеграции беспроводных сетей. Примеры интегрированных сетей включают в себя усовершенствованную службу мобильных телефонов (AMPS), комбинированную с сотовыми сетями IS-95, глобальную систему позиционирования (GPS), применяемую в сотовых сетях, комбинированные спутниковые и сотовые сети и комбинированные сотовые и беспроводные локальные вычислительные сети (LAN).

В последнее время интеграция сотовых сетей и специализированных сетей также получает интерес. Следует принимать во внимание, что структура специализированных сетей зависит от надлежащей плотности специализированных устройств. Дополнительно следует принимать во внимание, что в области, где имеется достаточная плотность телефонных аппаратов, допускающих присоединение к специализированной сети, может быть множество изготовителей телефонных аппаратов и множество поставщиков услуг для телефонных аппаратов. Одна проблема в этом окружении заключается в том, что каждый поставщик услуг не привык к совместному участию или взаимодействию с другими поставщиками услуг. Следовательно, любая попытка установить специализированную сеть, которая содержит телефонные аппараты от нескольких поставщиков услуг, с большой вероятностью будет заблокирована. Одна причина блокировки формации устройство-устройство заключается в проблеме безопасности абонентов поставщика услуг и проблеме неавторизованного использования услуг, предоставляемых поставщиком услуг (к примеру, услуге игр или электронной почты).

Краткое описание чертежей

Прилагаемые чертежи, на которых одинаковые цифры ссылок ссылаются на идентичные или функционально аналогичные элементы на всех отдельных представлениях и которые вместе с нижеприведенным подробным описанием содержатся и составляют часть описания изобретения, служат для того, чтобы дополнительно проиллюстрировать различные варианты осуществления и описать различные принципы и преимущества в соответствии с настоящим изобретением.

Фиг.1 - это примерная сеть связи в соответствии с некоторыми вариантами осуществления изобретения.

Фиг.2 - это примерное устройство связи для работы в сети связи в соответствии с некоторыми вариантами осуществления изобретения.

Фиг.3 - это блок-схема последовательности операций способа, иллюстрирующая примерную работу сети связи по фиг.1 в соответствии с некоторыми вариантами осуществления настоящего изобретения.

Фиг.4 - это блок-схема последовательности операций способа, иллюстрирующая примерную работу устройства связи по фиг.2 в соответствии с некоторыми вариантами осуществления настоящего изобретения.

Фиг.5 - это схема потоков сообщений, иллюстрирующая примерную работу сети по фиг.1 в соответствии с некоторыми вариантами осуществления настоящего изобретения.

Специалисты в данной области техники должны принимать во внимание, что элементы на чертежах проиллюстрированы для простоты и ясности и необязательно нарисованы так, чтобы представляться в определенном масштабе. Например, размеры некоторых элементов чертежей могут быть чрезмерно увеличены относительно других элементов, чтобы помочь улучшить понимание вариантов осуществления настоящего изобретения.

Осуществление изобретения

Перед подробным описанием вариантов осуществления в соответствии с настоящим изобретением следует отметить, что варианты осуществления базируются главным образом на комбинациях этапов способов и компонентов устройств, связанных с предоставлением защищенной связи с использованием сотовой сети для множества устройств специализированной связи. Следовательно, надлежащим образом представлены компоненты устройств и этапы способов посредством традиционных символов на чертежах, показывая только те конкретные детали, которые относятся к пониманию настоящего изобретения, с тем, чтобы не затруднять понимание сущности подробностями, которые должны быть очевидными для специалистов в данной области техники, в чем состоит преимущество данного описания.

В этом документе относительные термины, такие как первый и второй, верхний и нижний и т.п., могут быть использованы исключительно для того, чтобы отличать один объект или действие от другого объекта или действия без обязательного требования, или подразумевания любого фактического подобного отношения, или порядка между этими объектами или действиями. Термин "содержит", "содержащий" или любая другая его разновидность служит для того, чтобы охватить неисключительное включение, так чтобы процесс, способ, изделие или устройство, которое содержит список элементов, не включали в себя только эти элементы, а могли включать в себя другие элементы, не перечисленные в явном виде или внутренне присущие такому процессу, способу, изделию или устройству. Элемент, предваряемый "содержит...", не препятствует без дополнительных ограничений наличию дополнительных идентичных элементов в процессе, способе, изделии или устройстве, которое содержит элемент.

Следует принимать во внимание, что варианты осуществления изобретения, описанные в данном документе, могут состоять из одного или более традиционных процессоров и уникальных хранимых программных инструкций, которые управляют одним или более процессоров так, чтобы реализовать совместно с определенными непроцессорными схемами некоторые, большинство или все из функций предоставления защищенной связи с использованием сотовой сети для множества устройств специализированной связи, описанных в данном документе. Непроцессорные схемы могут включать в себя, но не только, радиоприемное устройство, радиопередающее устройство, формирователи сигналов, схемы тактовых генераторов, схемы источников питания и устройства пользовательского ввода. По существу, эти функции могут быть интерпретированы как этапы способа для того, чтобы осуществлять защищенную связь с использованием сотовой сети для множества устройств специализированной связи. Альтернативно, некоторые или все функции могут быть реализованы посредством конечного автомата, который не имеет сохраненных программных инструкций, или одной или более специализированных интегральных схем (ASIC), в которых каждая функция или некоторые комбинации определенных функций реализованы как настроенная под потребности логика. Разумеется, может быть использована комбинация двух подходов. Таким образом, способы и средства для этих функций описаны в данном документе. Дополнительно предполагается, что специалисты в данной области техники, несмотря на возможно значительные усилия и множество вариантов проектирования, что обусловлено, например, доступным временем, современным уровнем техники и экономическими соображениями, когда руководствуются идеями и принципами, раскрытыми в данном документе, должны легко допускать создание таких программных команд и программ и интегральных схем (IC) с минимальным экспериментированием.

Настоящее изобретение предоставляет применение ключей, используемых в иерархической сети (к примеру, специализированные сети 802.11 перекрываемой глобальной вычислительной сетью, содержащей центр обслуживания для распространения ключей). В частности, настоящее изобретение использует иерархическую структуру ключей, чтобы предоставить возможность частным приложениям использовать ретрансляцию от операторов похожих и отличных услуг или только от операторов похожих услуг. Способ включает в себя периодическое обновление ключей, чтобы исключить ключи неоплачивающих пользователей или злоумышленников. Несколько ключей управляются посредством телефонного аппарата и перекрывающегося центра обслуживания (к примеру, сотового реестра собственных абонентов (HLR)). Каждый ключ имеет уникальную функциональность, которая вместе предоставляет возможность равноправного взаимодействия между телефонными аппаратами, даже если телефонные аппараты имеют различных производителей и/или различных поставщиков услуг.

Фиг.1 - это примерная сеть 100 связи в соответствии с некоторыми вариантами осуществления изобретения. Как проиллюстрировано, сеть 100 связи состоит, по меньшей мере, из двух сотовых сетей, первой сотовой сети 105 и второй сотовой сети 110. Специалисты в данной области техники должны принимать во внимание, что сеть 100 связи может состоять из одной или более сетей связи, включая сотовые сети (как проиллюстрировано), беспроводные телефонные сети, беспроводные локальные вычислительные сети, двухсторонние радиосети и т.п. Дополнительно следует принимать во внимание, что каждая из сетей в рамках сети 100 связи может администрироваться посредством уникального поставщика услуг, не связанного с другими. Каждый поставщик услуг в типичном варианте не принимает участие или не взаимодействует с другими поставщиками услуг в сети связи.

Специалисты в данной области техники должны принимать во внимание, что первая сотовая сеть 101 и вторая сотовая сеть 110 по фиг.1 могут работать в соответствии, по меньшей мере, с одним из нескольких стандартов. Эти стандарты включают в себя аналоговые, цифровые и двухрежимные протоколы системы связи, такие как, но не только, усовершенствованная система мобильных телефонов (AMPS), узкополосная усовершенствованная система мобильных телефонов (NAMPS), глобальная система мобильной связи (GSM), цифровая сотовая система IS-136 с множественным доступом с временным разделением каналов (TDMA), цифровая сотовая система IS-95 с множественным доступом с кодовым разделением каналов (CDMA), система CDMA 2000, система широкополосного CDMA (W-CDMA), система персональной связи (PCS), система третьего поколения (3G), универсальная система мобильной связи (UMTS) и разновидности и развития данных протоколов. В нижеследующем описании термин "сотовая сеть" относится к любой из систем, упомянутых выше или эквивалентных.

В соответствии с настоящим изобретением каждая из сотовых сетей включает в себя центр службы безопасности для управления защищенной связью в рамках каждой сотовой сети. Например, первая сотовая сеть 105 включает в себя первый центр 130 службы безопасности, а вторая сотовая сеть 110 включает в себя второй центр 135 службы безопасности.

Как показано на фиг.1, множество устройств связи работают в каждой из двух или более сотовых сетей. Например, устройства 115-n связи (в том числе 115-1, 115-2, 115-3, 115-4, 115-5, как проиллюстрировано) работают в первой сотовой сети 105. Аналогично устройства 120-n связи (в том числе 120-1, 120-2, 120-3 и 120-4, как проиллюстрировано) работают во второй сотовой сети 105. Специалисты в данной области техники должны принимать во внимание, что каждое из устройств 115-n и 120-n связи может быть мобильным сотовым телефоном, мобильным радиотерминалом передачи данных, мобильным сотовым телефоном, имеющим присоединенный или интегрированный терминал передачи данных, двухсторонним устройством обмена сообщениями или эквивалентом, как надлежит для работы в пределах каждой из сетей для сети 100 связи. Аналогично устройство связи может быть любым другим электронным устройством, таким как персональное цифровое устройство или дорожный компьютер, имеющий возможности беспроводной связи. В нижеследующем описании термин "устройство связи" относится к любой комбинации устройств, упомянутых выше или эквивалентных.

В соответствии с настоящим изобретением, по меньшей мере, некоторые из устройств 115-n связи допускают обмен данными с несколькими сетями связи, такими как первая сотовая сеть 105 и специализированная сеть 125. Например, как проиллюстрировано на фиг.1, устройства 115-2, 115-3, 115-4 и 115-5 связи работают в рамках первой сотовой сети 105 и специализированной специализированной сети 125. Аналогично, по меньшей мере, некоторые из устройств 120-n связи допускают обмен данными с несколькими сетями связи, такими как вторая сотовая сеть 110 и специализированная сеть 125. Например, как проиллюстрировано на фиг.1, устройства 120-2, 120-3 и 120-4 связи работают в рамках второй сотовой сети 110 и специализированной специализированной сети 125.

Специалисты в данной области техники должны принимать во внимание, что специализированная сеть 125 может быть сетью в архитектуре с поддержкой сетки (MEA) или сетью 802.11 (т.е. 802.11a, 802.11b или 802.11g). Специалисты в данной области техники должны принимать во внимание, что специализированная сеть 125 альтернативно может содержать любую пакетированную сеть связи. Например, сеть 100 связи может быть сетью, использующей протоколы с коммутацией пакетов, такие как TDMA (множественный доступ с временным разделением каналов), GPRS (общая служба пакетной радиопередачи) и EGPRS (улучшенная GPRS).

Специализированная сеть 125 включает в себя множество мобильных узлов (в общем, упоминаемых как узлы или мобильные узлы, или устройства связи), таких как устройства 115-3, 115-4, 115-5, 120-2, 120-3 и 120-4 связи, проиллюстрированные на фиг.1. Дополнительно специализированная сеть может, но необязательно, включать в себя стационарную сеть, имеющую множество интеллектуальных точек доступа (IAP) для предоставления доступа к стационарной сети (не показана) узлам. Стационарная сеть 104 может включать в себя, например, базовую локальную вычислительную сеть (LAN) и множество серверов и шлюзовых маршрутизаторов, чтобы предоставлять сетевым узлам доступ к другим сетям, таким как другие специализированные сети, коммутируемая телефонная сеть общего пользования (PSTN) и Интернет. Специализированная сеть 125 дополнительно может включать в себя множество стационарных маршрутизаторов для маршрутизации пакетов данных между другими узлами (не показаны). Следует отметить, что для целей данного описания узлы, поясненные выше, могут вместе упоминаться как "узлы" или альтернативно как "устройства связи".

Специалисты в данной области техники могут принимать во внимание, что узлы в специализированной специализированной сети 125 допускают обмен данными друг с другом напрямую или через один или более других узлов, работающих как маршрутизатор или маршрутизаторы для пакетов, отправляемых между узлами. Каждый узел обменивается данными с другими соседними узлами с помощью линии передачи данных, ассоциативно связанной с узлом и каждым из соседних узлов.

Фиг.2 - это примерное устройство 200 связи для работы в сети 100 связи в соответствии с некоторыми вариантами осуществления изобретения. Устройством 200 связи, например, может быть, например, устройство 115-n и 120-n связи, как проиллюстрировано на фиг.1. В соответствии с настоящим изобретением устройство 200 связи является двухрежимным устройством. Только в качестве примера, устройство 200 связи может допускать работу в пределах как специализированной сети 125, так и одной из сотовых сетей 105, 110 по фиг.1.

Устройство 200 связи включает в себя аппаратные средства традиционного устройства (не представлены для простоты), такие как пользовательские интерфейсы, схемы оповещений, дисплей и т.п., которые интегрированы в компактный корпус.

Устройство 200 связи дополнительно включает в себя антенну 205 сотовой сети и приемо-передающее устройство 210 сотовой сети для обмена данными с сотовой сетью 105, 110.

Антенна 205 сотовой сети перехватывает передаваемые сигналы из одной или более сотовых сетей 105, 110 и передает сигналы в одну или более сотовых сетей 105, 110. Антенна 205 сотовой сети соединена с приемо-передающим устройством 210 сотовой сети, которое использует традиционные методики демодуляции для приема сигналов связи. Приемо-передающее устройство 210 сотовой сети соединено с процессором 225 и реагирует на команды из процессора 225. Когда приемо-передающее устройство 210 сотовой сети принимает команду из процессора 225, приемо-передающее устройство 210 сотовой сети отправляет сигнал через антенну 205 сотовой сети в одну или более сотовых сетей 105, 110. В альтернативном варианте осуществления (не показан) устройство 200 связи включает в себя приемную антенну и приемное устройство для приема сигналов из одной или более сотовых сетей 105, 110 и передающую антенну и передающее устройство для передачи сигналов в одну или более сотовых сетей 105, 110. Специалисты в данной области техники должны принимать во внимание, что другие аналогичные электронные блок-схемы того же или альтернативного типа могут быть использованы для блока сотовой сети устройства 200 связи.

Устройство 200 связи дополнительно включает в себя антенну 215 специализированной сети и приемо-передающее устройство 220 специализированной сети для обмена данными специализированной сетью 125. Антенна 215 специализированной сети перехватывает передаваемые сигналы из одного или более узлов в специализированной сети 125 и передает сигналы в один или более узлов в специализированной сети 125. Антенна 215 специализированной сети соединена с приемо-передающим устройством 220 специализированной сети, которое использует традиционные методики демодуляции для приема и передачи сигналов связи, таких как пакетированные сигналы, в и из устройства 200 связи под управлением процессора 225. Пакетированные сигналы данных могут включать в себя, например, речь, данные или мультимедийную информацию и пакетированные сигналы управления, включающие в себя информацию обновления узлов. Когда приемо-передающее устройство 220 специализированной сети принимает команду от процессора 225, приемо-передающее устройство 220 специализированной сети отправляет сигнал посредством антенны 215 специализированной сети в один или более узлов в рамках специализированной сети 125. В альтернативном варианте осуществления (не показан) устройство 200 связи включает в себя приемную антенну и приемное устройство для приема сигналов из специализированной сети 125 и передающую антенну и передающее устройство для передачи сигналов в специализированную сеть 125. Специалисты в данной области техники должны принимать во внимание, что другие аналогичные электронные блок-схемы того же или альтернативного типа могут быть использованы для самоорганизующегося блока устройства 200 связи.

С приемо-передающим устройством 210 сотовой сети и приемо-передающим устройством 220 специализированной сети соединен процессор 225, использующий традиционные методики обработки сигналов для обработки принимаемых сообщений. Специалисты в данной области техники должны принимать во внимание, что дополнительные процессоры могут быть использованы, как требуется для того, чтобы выполнять обработку согласно требованиям обработки процессора 225.

В соответствии с настоящим изобретением процессор 225 включает в себя процессор 235 аутентификации для аутентификации различной передачи данными в и из устройства 200 связи. Дополнительно в соответствии с настоящим изобретением процессор 225 включает в себя процессор 240 приложений для обработки различных программно-реализованных прикладных программ в устройстве 200 связи. Специалисты в данной области техники должны принимать во внимание, что процессор 235 аутентификации и процессор 240 приложений могут быть жестко закодированы или запрограммированы в устройстве 200 связи при изготовлении, могут быть запрограммированы по радиоинтерфейсу при абонентской подписке или могут быть загружаемым приложением. Следует принимать во внимание, что другие способы программирования могут быть использованы для программирования процессора 235 аутентификации и процессора 240 приложений в устройстве 200 связи. Специалисты в данной области техники дополнительно должны принимать во внимание, что каждый из процессора 235 аутентификации и процессора 240 приложений может быть аппаратной схемой в устройстве 200 связи. В соответствии с настоящим изобретением каждый из процессора 235 аутентификации и процессора 240 приложений может содержаться в процессоре 225, как проиллюстрировано, или альтернативно может быть отдельным блоком, функционально соединенным с процессором 225 (не показан).

Чтобы выполнять требуемые функции устройства 200 связи, процессор 225 соединяется с запоминающим устройством 230, которое предпочтительно включает в себя оперативное запоминающее устройство (RAM), постоянное запоминающее устройство (ROM), электрически стираемое программируемое постоянное запоминающее устройство (EEPROM) и флэш-память.

Запоминающее устройство 230 в соответствии с настоящим изобретением включает в себя области памяти для хранения одного или более ключей и управляющей информации 245 и одного или более приложений 250. В соответствии с настоящим изобретением один или более ключей 245 могут включать в себя, но не только, секретный ключ 255, ключ 260 общей группы, ключ 265 группы обслуживания, смещение 270 на задержку для повторной аутентификации, открытый ключ 275, сеансовый ключ 280 и время 285 смены ключа, каждое из которых подробнее описывается ниже.

Специалисты в данной области техники должны признавать, что запоминающее устройство 230 может быть интегрировано в устройство 200 связи или альтернативно может, по меньшей мере, частично содержаться во внешнем запоминающем устройстве, таком как запоминающее устройство хранения. Запоминающим устройством хранения, например, может быть карта модуля идентификации абонента (SIM). SIM-карта - это электронное устройство, в типичном варианте включающее в себя микропроцессор и запоминающее устройство, подходящее для инкапсуляции в небольшой гибкой пластиковой карте. SIM-карта дополнительно включает в себя некоторую форму интерфейса для обмена данными с устройством 200 связи.

Фиг.3 - это блок-схема последовательности операций способа, иллюстрирующая примерную работу сети связи по фиг.1 в соответствии с некоторыми вариантами осуществления настоящего изобретения. Как проиллюстрировано, некоторым видом обмена данными, включенным в примерную работу, является обмен 305 данными по сотовой сети, и некоторым видом обмена данными, включенным в примерную работу, является обмен 310 данными по специализированной сети.

Процесс на фиг.3 начинается на этапе 310, на котором каждое устройство связи аутентифицирует себя в ассоциативно связанном центре службы безопасности сотовой сети, в которой оно работает. Например, каждое из устройств 115-n связи аутентифицирует себя в первом центре 130 службы безопасности сети 100. Аналогично каждое из устройств 120-n связи аутентифицирует себя во втором центре 135 службы безопасности сети 100. Ссылаясь на устройство 200 связи, процессор 235 аутентификации извлекает секретный ключ 255 и открытый ключ 275 из запоминающего устройства 230, шифрует открытый ключ 275 с помощью секретного ключа 255 и отправляет зашифрованный открытый ключ в ассоциативно связанный центр службы безопасности посредством приемо-передающего устройства 210 сотовой сети и антенны 205 сотовой сети. В настоящем изобретении секретный ключ 255 встраивается в телефонный аппарат во время изготовления и известен только ассоциативно связанному центру службы безопасности. Ассоциативно связанный центр службы безопасности расшифровывает открытый ключ 275 с помощью своей известной копии секретного ключа 255 и сохраняет открытый ключ для будущего использования.

Далее на этапе 315 ключ общей группы передается во все аутентифицированные устройства. Тот же ключ общей группы передается во все аутентифицированные устройства связи в сети 100 независимо от поставщика услуг/сотовой сети, в которой работает устройство связи. Например, центр 130 службы безопасности передает ключ общей группы в каждое устройство 115-n связи в ответ на аутентификацию устройства 115-n связи. Аналогично, центр 135 службы безопасности передает ключ общей группы в каждое устройство 120-n связи в ответ на аутентификацию устройства 120-n связи. Ключ общей группы шифруется с помощью секретного ключа 255, соответствующего устройству 115-n или 120-n связи, которое аутентифицируется. В альтернативном варианте осуществления ключ общей группы зашифрован с помощью открытого ключа 275, соответствующего устройству 115-n или 120-n связи, которое аутентифицируется. Ссылаясь на устройство 200 связи, зашифрованный ключ 260 общей группы принимается посредством антенны 205 сотовой сети и приемо-передающего устройства 210 сотовой сети, расшифровывается посредством устройства 200 связи и сохраняется посредством процессора 225 в запоминающем устройстве 230 для будущего использования посредством устройства связи. В соответствии с настоящим изобретением все устройства связи, работающие в специализированной сети 125, имеющие ключ 260 общей группы, затем (этап 320) могут использовать ключ 260 общей группы для того, чтобы защищено обмениваться управляющими пакетами по специализированной сети 125 друг с другом.

Далее на этапе 325 каждый центр службы безопасности передает ключ группы обслуживания всем аутентифицированным устройствам связи, работающим в той же сотовой сети. Например, первый центр 130 службы безопасности передает первый ключ группы обслуживания в аутентифицированные устройства 115-n связи; а второй центр 130 службы безопасности передает второй ключ группы обслуживания в аутентифицированные устройства 120-n связи. Ключ группы обслуживания шифруется с помощью секретного ключа 255, соответствующего устройству 115-n или 120-n связи, которое аутентифицируется. В альтернативном варианте осуществления ключ группы обслуживания зашифрован с помощью открытого ключа 275, соответствующего устройству 115-n или 120-n связи, которое аутентифицируется. Ссылаясь на устройство 200 связи, зашифрованный ключ 265 группы обслуживания принимается посредством антенны 205 сотовой сети и приемо-передающего устройства 210 сотовой сети, расшифровывается посредством устройства 200 связи и сохраняется посредством процессора 225 в запоминающем устройстве 230 для будущего использования посредством устройства 200 связи. В соответствии с настоящим изобретением все устройства связи, работающие в одной сотовой сети, имеющие ключ группы обслуживания, затем (этап 330) могут использовать ключ группы обслуживания для того, чтобы защищено обмениваться управляющими пакетами и пакетами данных по специализированной сети друг с другом.

Далее на этапе 335 каждый центр службы безопасности передает смещение 270 на задержку для повторной аутентификации всем аутентифицированным устройствам связи, работающим в той же сотовой сети. Например, первый центр 130 службы безопасности передает первое смещение на задержку для повторной аутентификации в аутентифицированные устройства 115-n связи; а второй центр 130 службы безопасности передает второе смещение на задержку для повторной аутентификации в аутентифицированные устройства 120-n связи. Ссылаясь на устройство 200 связи, смещение 270 на задержку для повторной аутентификации принимается посредством антенны 205 сотовой сети и приемо-передающего устройства 210 сотовой сети и сохраняется посредством процессора 225 в запоминающем устройстве 230 для будущего использования посредством устройства 200 связи. В соответствии с настоящим изобретением это смещение на задержку для повторной аутентификации выбирается произвольным образом для каждого аутентифицированного устройства связи. Он представляет время задержки, которое аутентифицированное устройство связи должно подождать, прежде чем оно сформирует новый запрос аутентификации. На этапе 340, когда текущее время, по меньшей мере, равно смещению на задержку для повторной аутентификации, операция циклически возвращается к этапам 315 и 325. Далее повторная аутентификация формируется после приема сетевой широковещательной рассылки, чтобы повторно установить ключ 260 общей группы и ключ 265 группы обслуживания. Этот способ позволяет периодическое обновление ключей, чтобы исключить ключи неоплачивающих пользователей или злоумышленников.

Ссылаясь теперь снова на связь со специализированной сетью 125, после того как ключ общей группы принят посредством различных аутентифицированных двухрежимных устройств связи, специализированная сеть 125 может быть установлена на этапе 345, как хорошо известно в данной области техники. Другими словами, специализированная сеть 125 может быть установлена так, чтобы включать в себя устройства 115-2, 115-3, 115-4, 115-5, 120-2, 120-3 и 120-4 связи, используя ключ 260 общей группы для шифрования управляющих пакетов для обнаружения маршрута. Далее, на этапе 350 связь между различными участвующими устройствами в специализированной сети 125 осуществляется в защищенном режиме через ассоциативно связанный канал связи по специализированной сети. Например, устройства одного поставщика услуг обмениваются управляющими пакетами и пакетами данных на этапе 330.

Следует принимать во внимание, что периодически новый ключ группы обслуживания и/или новый ключ общей группы должен передаваться, чтобы изменять ключи. На этапе 355 центр службы безопасности передает в широковещательном режиме сообщение оповещения о смене ключа в каждое устройство связи. Сообщение оповещения включает в себя будущее время смены ключа, к которому все устройства связи должны завершить процедуру повторной аутентификации. Это будущее время смены ключа позже, чем текущее время плюс максимальное смещение на задержку для повторной аутентификации, принимаемое посредством любого устройства связи. Ссылаясь на устройство 200 связи, смещение 270 на задержку для повторной аутентификации используется в качестве смещения времени от текущего времени, в соответствии с которым по истечении устройство 200 связи должно инициировать процедуру повторной аутентификации, как задано ранее на этапах 310, 315 и 325. Центр службы безопасности должен аутентифицировать только те устройства связи, которым разрешено быть участниками специализированной сети 125. Как задано выше на этапе 315, каждый центр службы безопасности передает ключ общей группы во все аутентифицированные устройства связи, работающие внутри сети 100, независимо от поставщика услуг/сотовой сети, в которой работает устройство связи. Как ранее задано на этапе 325, каждый центр службы безопасности передает ключ группы обслуживания всем аутентифицированным устройствам связи, работающим в той же сотовой сети. Все ключи, принятые из центра службы безопасности, доставляются в каждое устройство связи через сотовый канал управления или передачи данных. На этапе 360 каждое аутентифицированное устройство связи определяет то, равно или нет текущее время переданному времени 285 смены ключа. Когда текущее время - это время 285 смены ключа, процесс возвращается обратно к этапу 315 и устройство связи начинает использование нового ключа общей группы и нового ключа группы обслуживания для всего будущего обмена данными, когда текущее время равно времени 285 смены ключа. Специалисты в данной области техники должны принимать во внимание, что хотя фиг.3 иллюстрирует примерный вариант осуществления, в котором ключ общей группы и новый ключ группы обслуживания передаются во время или после времени 285 смены ключа, соответственно, новый ключ общей группы и новый ключ группы обслуживания может передаваться и сохраняться в устройствах связи в любое время до времени 285 смены ключа.

Фиг.4 - это блок-схема последовательности операций способа, иллюстрирующая примерную работу устройства 200 связи по фиг.2 в соответствии с некоторыми вариантами осуществления настоящего изобретения. В частности, фиг.4 иллюстрирует примерную работу этапа 350 связи по фиг.1 в соответствии с некоторыми вариантами осуществления настоящего изобретения.

Процесс по фиг.4 начинается на этапе 400, на котором устройство 200 связи запускает приложение. Например, процессор 240 приложений запускает приложение, сохраненное в запоминающем устройстве 250 приложения. Далее на этапе 405 устройство 200 связи идентифицирует равноправное устройство для приложения. Например, процессор 240 приложений идентифицирует равноправное устройство из сохраненных данных приложения, хранимых в запоминающем устройстве 250 приложения. Затем на этапе 410 устройство 200 связи принимает открытый ключ 275 и сеансовый ключ 280, чтобы совместно использовать приложение с равноправным устройством через сотовую сеть, в которой работают устройство связи и равноправное устройство. Например, исходное устройство 200 связи запрашивает использование совместного использования приложения между собой и идентифицированным равноправным устройством. Центр службы безопасности передает сеансовый ключ и открытый ключ равноправного устройства в устройство связи (сеансовый ключ и открытый ключ равноправного устройства зашифрованы с помощью открытого ключа устройства 200 связи). Затем на этапе 415 устройство связи 200 аутентифицирует равноправное устройство с помощью принятого открытого ключа. В одном варианте осуществления настоящего изобретения заголовки связи по линии передачи данных и заголовки связи на сетевом уровне зашифрованы с помощью ключа общей группы, запрос аутентификации зашифрован с помощью ключа группы обслуживания, а содержимое запроса аутентификации (к примеру, открытый ключ исходного устройства 200 связи) зашифровано с помощью открытого ключа равноправного устройства. Это позволяет любому аутентифицированному устройству в специализированной сети (независимо от сотовой сети, которой оно принадлежит) маршрутизировать запрос в равноправное устройство. Помимо этого тот факт, что выполняется попытка аутентификации, известен только устройствам связи в сотовой сети, которая содержит исходное устройство 200 связи. Специалисты в данной области техники должны принимать во внимание, что другие реализации использования этих ключей также находятся в рамках области применения настоящего изобретения. Равноправное устройство должно ответить на запрос аутентификации с помощью открытого ключа исходного устройства 200 связи, а также других ключей, как только что описано. Далее на этапе 420 устройство связи шифрует сеансовый ключ с помощью открытого ключа равноправного устройства в запросе сеанса приложения. Затем на этапе 425 устройство связи обменивается сеансовым ключом с равноправным устройством посредством специализированной сети. В качестве примера в варианте осуществления настоящего изобретения заголовки связи по линии передачи данных и заголовки связи на сетевом уровне зашифрованы с помощью ключа общей группы запрос аутентификации зашифровано с помощью ключа группы обслуживания, а содержимое запроса аутентификации (т.е. сеансовый ключ) зашифрован с помощью открытого ключа равноп