Профиль пользователя, политика и распределение ключей pmip в сети беспроводной связи

Иллюстрации

Показать все

Изобретение относится к системам связи, а именно к способу, содействующему безопасному распределению информации подвижного устройства в пределах беспроводной сети связи. Техническим результатом является повышение безопасности связи. Технический результат достигается тем, что способ содержит следующие этапы: прием запроса аутентификации доступа от беспроводного аутентификационного однорангового элемента, генерирование вторичного идентификатора пользователя, связанного с первичным идентификатором пользователя для беспроводного аутентификационного однорангового элемента, предоставление вторичного идентификатора пользователя аутентификатору, связанному с аутентификационным одноранговым элементом, извлечение информации профиля пользователя на основании первичного идентификатора пользователя, и предоставление информации профиля пользователя аутентификатору. 12 н. и 35 з.п. ф-лы, 16 ил.

Реферат

Уровень техники

Притязание на приоритет по §119 раздела 35 кодекса законов США

Настоящая заявка испрашивает приоритет предварительной патентной заявки США № 60/895298 под названием "3GPP2 Network Evolution: User Profile Policy, and PMIP Key" ("Эволюция сетей 3GPP2: профиль пользователя, политика и ключ PMIP"), зарегистрированной 16 марта 2007 г. и переуступленной ее правопреемнику, и которая тем самым полностью включена здесь путем ссылки.

Область техники, к которой относится изобретение

По меньшей мере один признак относится к системам связи, а более конкретно к способу, содействующему безопасному распределению информации подвижного устройства в пределах беспроводной сети связи, такой как сверхмобильная широкополосная (UMB) сеть связи.

Уровень техники

В развитии различных сетей беспроводной связи в пределах 3GPP2 (Проекта партнерства 3-его поколения 2) один тип сетевой архитектуры, известный как сверхмобильная широкополосная (UMB) сеть связи, предназначен для того, чтобы усовершенствовать стандарт мобильных телефонов CDMA2000 (множественного доступа с кодовым разделением каналов 2000) для применений и требований следующего поколения. UMB сети пакетной передачи данных, основанные на технологиях сетеобразования Интернета (TCP/IP (протокол управления передачей/межсетевой протокол)), функционирующих в системе радиосвязи следующего поколения, предназначены для того, чтобы быть более эффективными и способными предоставлять больше услуг, чем технологии, которые они заменяют. UMB предназначена для того, чтобы быть технологией четвертого поколения (4G), и она использует сеть связи, имеющую полосу пропускания большой ширины, с малым временем ожидания, основанную на TCP/IP, с услугами высокого уровня, такими как речевая связь, построенная на верхнем уровне. Значительно большая ширина полосы (по сравнению с предыдущими поколениями) и значительно меньшие периоды времени ожидания предоставляют возможность использования различных типов прикладных программ, которые прежде были невозможны, в то же время продолжая предоставлять услуги речевой связи высокого качества (или более высокого качества).

UBM сети имеют менее централизованное управление своими узлами доступа сети, известными как выделенные базовые станции (eBS). Например, такие узлы доступа могут выполнять многие из таких же функций, какие выполняют базовая станция (BS) и контроллер базовой станции (BSC) в сети CDMA (множественного доступа с кодовым разделением каналов). Из-за такой более дистрибутивной сетевой архитектуры при попытке поддерживать безопасность идентификаторов доступа к сети (NAI) терминала доступа (AT) возникают несколько проблем.

При некоторых сетевых архитектурах предшествующего уровня техники, NAI (или эквивалентный ему идентификатор терминала доступа) передается терминалом доступа по радио в узел пакетной передачи данных (PDSN), который использует его для функций аутентификации, бухгалтерского отчета и/или извлечения политики. При передаче NAI по радио он делается чувствительным к перехвату и незащищенным.

В UMB сети NAI не посылается по радио. Вместо этого в зависимости от способов расширяемого протокола аутентификации (EAP) NAI терминала доступа может быть не известен аутентификатору. Он может упоминаться как анонимный NAI. Однако проблема возникает в том, как аутентифицировать AT при реализации анонимного NAI.

В UMB сети профиль пользователя и качество, и класс предоставляемых услуг передачи данных для профиля пользователя посылаются в сеансовый опорный сетевой контроллер(SRNC) от (объекта) локальной и домашней аутентификации, авторизации и учета (LAAA/HAAA) через успешную аутентификацию доступа. Однако профиль пользователя также должен посылаться в шлюз доступа (AGW) (например, через аутентификацию услуг IP). Таким образом, существует проблема, заключающаяся в том, как посылать профиль пользователя в AGW при реализации анонимного NAI.

Если между eBS и AGW в пределах UMB сети используется туннель PMIPv4, ключ MN-HA (домашнего агента подвижного узла) (например, это может быть ключ, основанный на AT, или ключ, основанный на паре eBS-AGW) должен посылаться и на eBS, и в AGW. Поэтому проблема возникает в том, как посылать в SRNC и AGW ключ MN-HA, используемый для туннеля PMIPv4 между eBS и AGW.

Следовательно, необходим путь, направленный на решение этих проблем при реализации анонимного NAI в пределах UMB сети.

Сущность изобретения

Предоставлен способ, действующий на аутентификационном сервере для сети беспроводной связи, предназначенный для предоставления безопасности первичного ключа пользователя. Принимается запрос аутентификации доступа от беспроводного аутентификационного однорангового элемента. Генерируется вторичный идентификатор пользователя, в котором вторичный ключ пользователя связан с первичным идентификатором пользователя для беспроводного аутентификационного однорангового элемента. Предоставляется вторичный идентификатор пользователя для аутентификатора, связанного с аутентификационным одноранговым элементом. На основании первичного идентификатора пользователя может быть выведена информация о профиле пользователя. Информация о профиле пользователя может быть послана в аутентификатор.

Сеть связи может включать в себя по меньшей мере одну из сверхмобильной широкополосной (UMB) совместимой сети связи, совместимой сети связи WiMAX (общемировой совместимости широкополосного беспроводного доступа) или совместимой сети связи долгосрочного развития (LTE). Аутентификационный сервер может быть объектом аутентификации, авторизации и учета (AAA), а аутентификационный одноранговый элемент может быть беспроводным терминалом доступа (AT). Аутентификатором может быть сеансовый опорный сетевой контроллер (SRNC), связанный с базовой станцией (BS), обслуживающей беспроводной терминал доступа (AT) в сверхмобильной широкополосной (UMB) совместимой сети связи, а первичным идентификатором пользователя может быть идентификатор доступа к сети (NAI) для беспроводного терминала доступа. Обслуживающая базовая станция может быть расположена совместно с сеансовым опорным сетевым контроллером (SRNC).

Вторичным идентификатором пользователя может быть случайным образом сгенерированное число, которое впоследствии связывается с первичным идентификатором пользователя. Вторичным идентификатором пользователя также может быть первичный идентификатор пользователя. Вторичным идентификатором пользователя может быть функция первичного идентификатора пользователя.

Предоставлен аутентификационный сервер, включающий в себя схему обработки данных, адаптированную для: (a) приема запроса аутентификации доступа от беспроводного аутентификационного однорангового элемента; (b) генерирования вторичного идентификатора пользователя, связанного с первичным идентификатором пользователя для беспроводного аутентификационного однорангового элемента; (c) предоставления вторичного идентификатора пользователя для аутентификатора, связанного с аутентификационным одноранговым элементом; (d) выполнения извлечения информации о профиле пользователя на основании первичного идентификатора пользователя; (e) предоставления информации о профиле пользователя для аутентификатора.

Аутентификационный сервер дополнительно может содержать интерфейс связи, адаптированный для того, чтобы осуществлять связь по меньшей мере через одну сеть, совместимую с сверхмобильным широкополосным доступом (UMB), сети, совместимой с WiMAX, или сети, совместимой с проектом долгосрочного развития (LTE). Аутентификационный сервер может быть объектом аутентификации, авторизации и учета (AAA), а аутентификационный одноранговый элемент может быть беспроводным терминалом доступа (AT). Аутентификатором может быть сеансовый опорный сетевой контроллер (SRNC), связанный с базовой станцией (BS), обслуживающей беспроводной терминал доступа (AT) сети, совместимой с сверхмобильным широкополосным доступом (UMB), а первичным идентификатором пользователя может быть идентификатор доступа к сети (NAI) для беспроводного терминала доступа. Вторичный идентификатор пользователя может быть (a) случайным образом сгенерированным числом, которое впоследствии связывается с первичным идентификатором пользователя, (b) первичным идентификатором пользователя, и/или (c) функцией первичного идентификатора пользователя.

Поэтому также предоставлен аутентификационный сервер, содержащий: (a) средство для приема запроса аутентификации доступа от беспроводного аутентификационного однорангового элемента; (b) средство для генерирования вторичного идентификатора пользователя, связанного с первичным идентификатором пользователя для беспроводного аутентификационного однорангового элемента; (c) средство для предоставления вторичного идентификатора пользователя для аутентификатора, связанного с аутентификационным одноранговым элементом; (d) средство для выполнения извлечения информации о профиле пользователя на основании первичного идентификатора пользователя; и/или (e) средство для предоставления информации о профиле пользователя для аутентификатора.

Также предоставлена компьютерная программа, действующая на аутентификационном сервере для предоставления безопасности первичного идентификатора пользователя, которая при выполнении процессором заставляет процессор: (a) принимать запрос аутентификации доступа от беспроводного аутентификационного однорангового элемента; (b) генерировать вторичный идентификатор пользователя, связанный с первичным идентификатором пользователя для беспроводного аутентификационного однорангового элемента; (c) предоставлять вторичный идентификатор пользователя для аутентификатора, связанного с аутентификационным одноранговым элементом; (d) выполнять извлечение информации о профиле пользователя на основании первичного идентификатора пользователя; и/или (e) предоставлять информацию о профиле пользователя для аутентификатора.

Также с помощью аутентификационного сервера предоставлен способ распределения информации о профиле пользователя и/или политики в пределах сети связи. Аутентифицируется аутентификационный одноранговый элемент, пытающийся установить связь через первый узел доступа сети. Выполняется извлечение информации о профиле пользователя, связанной с аутентификационным одноранговым элементом, и посылается в узел сетевого шлюза, который содействует обслуживанию связи для аутентификационного однорангового элемента. Также посылается информация о профиле пользователя в аутентификатор, который содействует осуществлению связи для аутентификационного однорангового элемента. Аутентификационным сервером может быть объект аутентификации, авторизации и учета (AAA), который является частью сети связи.

В одном примере отправка информации о профиле пользователя в узел сетевого шлюза может включать в себя наличие аутентификатора для сети связи, отправляющей информацию о профиле пользователя в узел сетевого шлюза. В другом примере отправка информации о профиле пользователя в узел сетевого шлюза включает в себя наличие аутентификационного сервера, посылающего информацию о профиле пользователя в узел сетевого шлюза. Информация о профиле пользователя может включать в себя по меньшей мере одно из: профиль пользователя, политика пользователя, качество сервисов для профиля пользователя, для услуг связи аутентификационного однорангового элемента.

Кроме того, способ может дополнительно содержать: (a) отправку запроса политики от узла сетевого шлюза на объект управления политикой и назначения ресурса (PCRF); (b) отправку запроса первичного идентификатора пользователя от объекта PCRF на аутентификационный сервер, в котором первичный идентификатор пользователя уникально связан с аутентификационным одноранговым элементом; (c) отправку ответа с аутентификационного сервера на объект PCRF, включающего в себя запрашиваемый первичный идентификатор пользователя; (d) получение политики пользователя в объекте PCRF для аутентификационного однорангового элемента, используя первичный идентификатор пользователя; и/или (e) отправку политики пользователя с объекта PCRF в узел сетевого шлюза.

Аутентификатор может быть сеансовым опорным сетевым контроллером (SRNC), связанным с базовой станцией, обслуживающей аутентификационный одноранговый элемент в сети, совместимой с сверхмобильным широкополосным доступом (UMB), а конфиденциальный идентификатор может быть идентификатором доступа к сети для беспроводного терминала доступа.

Также предоставлен аутентификационный сервер, включающий в себя схему обработки данных, адаптированную для: (a) аутентификации аутентификационного однорангового элемента, пытающегося установить связь через первый узел доступа сети; (b) выполнения извлечения информации о профиле пользователя, связанной с аутентификационным одноранговым элементом; (c) отправки информации о профиле пользователя в узел сетевого шлюза, который содействует оказанию услуг связи для аутентификационного однорангового элемента; (d) отправки информации о профиле пользователя для аутентификатора, который содействует осуществлению связи для аутентификационного однорангового элемента; (e) приема запроса первичного идентификатора пользователя от объекта PCRF, в котором первичный идентификатор пользователя уникально связан с аутентификационным одноранговым элементом; и/или (f) отправки ответа на объект PCRF, включающего в себя запрашиваемый первичный идентификатор пользователя.

Поэтому предоставлен аутентификационный сервер, содержащий: (a) средство для аутентификации аутентификационного однорангового элемента, пытающегося установить связь через первый узел доступа сети; (b) средство для выполнения извлечения информации о профиле пользователя, связанной с аутентификационным одноранговым элементом; (c) средство для отправки информации о профиле пользователя в узел сетевого шлюза, который содействует оказанию услуг связи для аутентификационного однорангового элемента; (d) средство для отправки информации о профиле пользователя в аутентификатор, который содействует осуществлению связи для аутентификационного однорангового элемента; (e) средство для приема запроса первичного идентификатора пользователя от объекта PCRF, в котором первичный идентификатор пользователя уникально связан с аутентификационным одноранговым элементом; и/или (f) средство для отправки ответа на объект PCRF, включающего в себя запрашиваемый первичный идентификатор пользователя.

Также предоставлена компьютерная программа, действующая на аутентификационном сервере для предоставления информации пользователя, которая при выполнении процессором заставляет процессор: (a) аутентифицировать аутентификационный одноранговый элемент, пытающийся установить связь через первый узел доступа сети; (b) выполнять извлечение информации о профиле пользователя, связанной с аутентификационным одноранговым элементом; (c) отправлять информацию о профиле пользователя в узел сетевого шлюза, который содействует оказанию услуг связи для аутентификационного однорангового элемента; (d) отправлять информацию о профиле пользователя в аутентификатор, который содействует осуществлению связи для аутентификационного однорангового элемента; (e) принимать запрос первичного идентификатора пользователя от объекта PCRF, в котором первичный идентификатор пользователя уникально связан с аутентификационным одноранговым элементом; и/или (f) отправлять ответ на объект PCRF, включающий в себя запрашиваемый первичный идентификатор пользователя.

Предоставлен способ, действующий в сети связи. Предоставлена возможность подключения беспроводной сети для аутентификационного однорангового элемента через первый узел доступа сети. Предоставляется ключ PMIP (протокола мобильной связи с Интернетом модуля доступа) для обоих концов туннеля PMIP между первым узлом доступа сети и сетевым узлом PMIP, используемым для предоставления связи аутентификационному одноранговому элементу. Затем предоставляется ключ PMIP для первого аутентификатора, связанного с первым узлом доступа сети. Связь может быть направлена к первому узлу доступа сети.

Впоследствии, в сетевом узле PMIP может быть принят запрос от запрашивающего объекта, чтобы изменить направление связи для аутентификационного однорангового элемента. Сетевой узел PMIP может проверять, знает ли запрашивающий объект ключ PMIP. В одном примере связь может быть перенаправлена ко второму узлу доступа сети, если запрашивающий объект успешно подтверждает, что он знает ключ PMIP. В другом примере связь может быть перенаправлена ко второму узлу сетевого шлюза, если запрашивающий объект успешно подтверждает, что он знает ключ PMIP. Изменение направления связи может включать в себя установление нового посреднического мобильного IP туннеля между первым сетевым узлом PMIP и новым обслуживающим сетевым объектом. В одном примере ключ PMIP может быть сгенерирован на объекте аутентификации, авторизации и учета (AAA) или в узле сетевого шлюза. Сетевой узел PMIP может быть узлом сетевого шлюза.

Также предоставлен сетевой узел PMIP, включающий в себя схему обработки данных, адаптированную для: (a) предоставления возможности беспроводного соединения к сети аутентификационному одноранговому элементу через первый узел доступа сети; (b) предоставления ключа PMIP для обоих концов туннеля PMIP между первым узлом доступа сети и сетевым узлом PMIP, используемым для предоставления связи с аутентификационным одноранговым элементом; (c) предоставления ключа PMIP для первого аутентификатора, связанного с первым узлом доступа сети; (d) приема запроса от запрашивающего объекта, чтобы изменить направление связи для аутентификационного однорангового элемента; (e) проверки, знает ли запрашивающий объект ключ PMIP; (f) изменения направления связи ко второму узлу доступа сети, если запрашивающий объект успешно подтверждает, что он знает ключ PMIP; и/или (g) изменения направления связи ко второму узлу сетевого шлюза, если запрашивающий объект успешно подтверждает, что он знает ключ PMIP. Изменение направления связи может включать в себя установление нового посреднического мобильного IP туннеля между первым сетевым узлом PMIP и новым обслуживающим сетевым объектом.

Поэтому также предоставлен сетевой узел PMIP, содержащий: (a) средство для предоставления возможности беспроводного соединения к сети аутентификационному одноранговому элементу через первый узел доступа сети; (b) средство для предоставления ключа PMIP для обоих концов туннеля PMIP между первым узлом доступа сети и сетевым узлом PMIP, используемым для предоставления связи аутентификационному одноранговому элементу; (c) средство для предоставления ключа PMIP для первого аутентификатора, связанного с первым узлом доступа сети; приема запроса от запрашивающего объекта, чтобы изменить направление связи для аутентификационного однорангового элемента; (d) средство для проверки, знает ли запрашивающий объект ключ PMIP; (e) средство для изменения направления связи ко второму узлу доступа сети, если запрашивающий объект успешно подтверждает, что он знает ключ PMIP; и/или (f) средство для изменения направления связи ко второму узлу сетевого шлюза, если запрашивающий объект успешно подтверждает, что он знает ключ PMIP. Изменение направления связи может включать в себя установление нового посреднического мобильного IP туннеля между первым сетевым узлом PMIP и новым обслуживающим сетевым объектом.

Также предоставлена компьютерная программа, действующая на сетевом узле PMIP, которая при выполнении процессором заставляет процессор: (a) предоставлять возможность подключения в беспроводной сети для аутентификационного однорангового элемента через первый узел доступа сети; (b) предоставлять ключ PMIP для обоих концов туннеля PMIP между первым узлом доступа сети и сетевым узлом PMIP, используемым для предоставления связи аутентификационному одноранговому элементу; (c) предоставлять ключ PMIP для первого аутентификатора, связанного с первым узлом доступа сети; (d) принимать запрос от запрашивающего объекта, чтобы изменять направление связи для аутентификационного однорангового элемента; (e) проверять, знает ли запрашивающий объект ключ PMIP; (f) изменять направление связи ко второму узлу доступа сети, если запрашивающий объект успешно подтверждает, что он знает ключ PMIP; и/или (g) изменять направление связи ко второму узлу сетевого шлюза, если запрашивающий объект успешно подтверждает, что он знает ключ PMIP.

Краткое описание чертежей

Различные признаки, основные свойства и преимущества могут стать очевидными из сформулированного ниже подробного описания, приведенного совместно с чертежами, на которых подобные ссылочные позиции повсюду обозначают соответственно подобные элементы.

Фиг. 1 - блок-схема UMB сети связи, в которой могут быть реализованы один или больше признаков безопасного распределения NAI, безопасного распределения профиля пользователя и политики и/или распределения ключей PMIP в соответствии с одним примером.

Фиг. 2 - блок-схема процесса, иллюстрирующая способ выполнения аутентификации, с помощью которого во время проведения аутентификации доступа к сети между терминалом доступа (AT) и домашним объектом аутентификации, авторизации и учета (HAAA) идентификатор доступа к сети (NAI) не передается по радио.

Фиг. 3 иллюстрирует способ, действующий на аутентификационном сервере (например, HAAA) для сети беспроводной связи для предоставления безопасности первичного ключа пользователя.

Фиг. 4 - блок-схема, иллюстрирующая то, как может быть предоставлено беспроводное обслуживание для AT, когда он перемещается от первой eBS ко второй eBS в UMB сети.

Фиг. 5 иллюстрирует, как AGW может извлекать профиль пользователя из LAAA, когда устанавливается новый туннель PMIP, и запрашивать политику пользователя от PCRF в распределенной конфигурации SRNC.

Фиг. 6 иллюстрирует, как AGW может извлекать профиль пользователя из LAAA, когда устанавливается новый туннель PMIP, и запрашивать политику пользователя от PCRF в централизованной конфигурации SRNC.

Фиг. 7 иллюстрирует, как AGW может получать информацию о профиле пользователя в виде части процесса аутентификации и политику пользователя от PCRF в распределенной конфигурации SRNC.

Фиг. 8 иллюстрирует, как AGW может получать информацию о профиле пользователя в виде части процесса аутентификации и политику пользователя от PCRF в распределенной конфигурации SRNC.

Фиг. 9 иллюстрирует, как LAAA может помещать профиль пользователя в AGW, а AGW может запрашивать политику пользователя от PCRF в распределенной конфигурации SRNC.

Фиг. 10 иллюстрирует, как LAAA может помещать профиль пользователя в AGW, а AGW может запрашивать политику пользователя от PCRF в централизованной конфигурации SRNC.

Фиг. 11 иллюстрирует способ работы аутентификационного сервера для предоставления аутентификатору информации о профиле пользователя.

Фиг. 12 иллюстрирует способ предоставления узла сетевого шлюза информацией о политике пользователя для аутентификационного однорангового элемента, действующего в сети связи.

Фиг. 13 иллюстрирует способ проверки запросов новых туннелей в сети связи.

Фиг. 14 иллюстрирует аутентификационную архитектуру, которую можно найти в некоторых сетях связи.

Фиг. 15 - блок-схема, иллюстрирующая аутентификационный сервер. Аутентификационный сервер может включать в себя схему 1504 обработки данных, подсоединенную к сетевому интерфейсу связи.

Фиг. 16 - блок-схема, иллюстрирующая пример устройства сетевого узла PMIP.

Подробное описание

В последующем описании даются специфические детали для предоставления более полного понимания конфигураций. Однако специалистам в данной области техники должно быть понятно, что эти конфигурации могут быть реализованы без таких специфических деталей. Например, схемы могут быть показаны в виде блок-схем, чтобы не делать непонятными эти конфигурации ненужными подробностями. В других примерах известные схемы, структуры и методы могут быть подробно показаны так, чтобы не делать непонятными эти конфигурации.

Также следует отметить, что конфигурации могут быть описаны как процесс, который изображен в виде блок-схемы процесса, схемы последовательности операций, структурной схемы или блок-схемы. Хотя блок-схема процесса может описывать операции в виде последовательного процесса, многие из операций могут выполняться параллельно или одновременно. Кроме того, порядок операций может быть изменен. Процесс заканчивается, когда его операции завершаются. Процесс может соответствовать способу, функции, процедуре, подпрограмме, стандартной подпрограмме и т.д. Когда процесс соответствует функции, ее завершение соответствует возвращению функции к функции вызова или главной функции.

В одном или больше примерах и/или конфигурациях описанные функции могут быть реализованы в аппаратном обеспечении, программном обеспечении, встроенном программном обеспечении или любой их комбинации. Если функции реализованы в программном обеспечении, они могут сохраняться или передаваться через одну или больше команд или через код на пригодной для чтения компьютером среде. Пригодные для чтения компьютером среды включают в себя и запоминающие среды для компьютеров, и среды передачи данных, включающие в себя любую среду, которая содействует переносу компьютерной программы с одного места на другое. Запоминающие среды могут быть любыми располагаемыми средами, к которым может быть получен доступ с помощью компьютера общего назначения или специализированного компьютера. Посредством примера, а не ограничения, такие пригодные для чтения компьютером среды могут содержать ОЗУ (оперативное запоминающее устройство), ПЗУ (постоянное запоминающее устройство), ЭСППЗУ (электрически стираемое программируемое ПЗУ), CD-ROM (неперезаписываемый компакт-диск) или другие запоминающие устройства на оптических дисках, на магнитных дисках, или другие магнитные запоминающие устройства, или любую другую среду, которая может использоваться для переноса или хранения требуемого средства программного кода в форме команд или структур данных, к которым может быть получен доступ с помощью компьютера общего назначения или специализированного компьютера, или процессора общего назначения или специализированного процессора. Также любое соединение правильно называть пригодной для чтения компьютером средой. Например, если программное обеспечение передается с сайта, сервера или другого удаленного источника с использованием коаксиального кабеля, волоконно-оптического кабеля, скрученной пары, цифровой абонентской линии (ЦАЛ) или беспроводных технологий, таких как связь в инфракрасном, радиочастотном и сверхвысокочастотном диапазоне, то коаксиальный кабель, волоконно-оптический кабель, скрученная пара, ЦАЛ или беспроводные технологии, такие как связь в инфракрасном, радиочастотном и сверхвысокочастотном диапазоне, включены в это определение среды. Термины "disk" и "disc" (диск), как используются в данном описании, включают в себя компакт-диск (CD), лазерный диск, оптический диск, универсальный цифровой диск (DVD), гибкий диск и диск технологии blu-ray, где disks (диски) обычно воспроизводят данные магнитным способом, в то время как discs (диски) воспроизводят данные оптическим способом с помощью лазеров. Комбинации вышеупомянутых устройств также должны быть включены в область определения пригодной для чтения компьютером среды.

Кроме того, запоминающая среда может представлять собой одно или больше устройств для хранения данных, включающих в себя постоянное запоминающее устройство (ПЗУ), оперативное запоминающее устройство (ОЗУ), запоминающие устройства на магнитных дисках, оптические запоминающие устройства, устройства флэш-памяти и/или другие машиночитаемые среды для сохранения информации.

Кроме того, конфигурации могут быть реализованы посредством аппаратного обеспечения, программного обеспечения, встроенного программного обеспечения, промежуточного программного обеспечения, микрокода или любой их комбинации. Когда они реализованы в программном обеспечении, встроенном программном обеспечении, промежуточном программном обеспечении или микрокоде, сегменты программного кода или кода для выполнения необходимых задач могут сохраняться на пригодной для чтения компьютером среде, такой как запоминающая среда или другое запоминающее устройство (запоминающие устройства). Процессор может выполнять необходимые задачи. Сегмент кода может представлять процедуру, функцию, подпрограмму, программу, стандартную подпрограмму, модуль, пакет программ, категорию обслуживания или любую комбинацию команд, структур данных или операторов программ. Сегмент кода может быть связан с другим сегментом кода или жестко смонтированной схемой посредством просмотра и/или приема информации, данных, независимых переменных, параметров или содержания запоминающего устройства. Информация, независимые переменные, параметры, данные и т.д. могут прогоняться, отправляться или передаваться через любое соответствующее средство, включающее в себя совместное использование памяти, передачу сообщений, эстафетную передачу данных, сетевую передачу и т.д.

В последующем описании для описания определенных признаков используется определенная терминология. Термины "терминал доступа" и "устройство связи" могут использоваться взаимозаменяемым образом и относиться к подвижному устройству, мобильному телефону, беспроводному терминалу и/или другим типам мобильных или стационарных аппаратов связи, способных осуществлять связь через беспроводную сеть связи.

Сетевая среда

Описанные в данном описании признаки могут быть реализованы в различных типах сетей, включающих в себя сети связи, совместимые с UMB, WiMAX и LTE.

Фиг. 14 иллюстрирует аутентификационную архитектуру, которую можно найти в некоторых сетях связи. Сеть 1400 связи (например, сети связи UMB, WiMAX или долгосрочного развития (LTE)) может включать в себя множество узлов 1404 и 1408 IP с аутентификационным одноранговым элементом 1402, аутентификатором 1406 и аутентификационным сервером 1410. Во время работы аутентификационный одноранговый элемент 1402 (например, терминал доступа) может быть аутентифицирован аутентификатором 1406 с помощью аутентификационного сервера 1410. В одном примере аутентификатор 1406 может быть сеансовым опорным сетевым контроллером (SRNC), а аутентификационный сервер 1410 может быть домашним объектом аутентификации, авторизации и учета (HAAA). Дополнительно, узлы 1404 и 1408 IP могут включать в себя базовую станцию, шлюз и/или другие сетевые объекты. Объект 1412 политики (например, PCRF) может хранить информацию о политике для аутентификационного однорангового элемента 1402.

В предоставлении услуг связи для аутентификационного однорангового элемента 1402 в сети 1400 связи необходим механизм или способ, чтобы распределять профиль пользователя для аутентификационного однорангового элемента 1402 и для аутентификатора 1406, и для узла В IP (шлюза). Это, в частности, имеет место там, где аутентификатор 1406 не расположен совместно с узлом В IP (шлюзом) 1408.

Дополнительно, когда используется псевдо-NAI, чтобы идентифицировать для сети связи аутентификационного однорангового элемента 1402, становится трудно распределять политику пользователя от объекта политики (например, домашнего PCRF) для узлов 1404 и 1408 IP.

Дополнительно, также проблематично генерировать и распределять ключ PMIP между двумя узлами IP, которые нуждаются в установке туннеля PMIP. Например, в UMB сети связи ключ PMIP может быть распределен для базовой станции и шлюза или для шлюза и точки привязки локальной мобильности (LMA).

Хотя различные примеры, приведенные в данном описании, могут быть проиллюстрированы с точки зрения UMB сети связи, описанные в данном описании признаки можно применять к другим типам сетей связи, например, к таким как WiMAX и LTE.

Фиг. 1 представляет блок-схему UMB сети связи, в которой могут быть реализованы один или больше признаков безопасного распределения NAI, профиля пользователя и политики, и/или распределения ключей PMIP в соответствии с одним примером. UMB сеть связи может использовать плоскую архитектуру, которая не полагается на централизованный объект, такой как контроллер базовой станции (BSC), для координирования подключений через выделенную для UMB базовую станцию (eBS). Станция eBS может объединять функции традиционной базовой станции, BSC и некоторые функции обслуживающего узла пакетной передачи данных (PDSN) в единый узел, делая использование UMB сети более простым. Поскольку количество компонентов сокращается (по сравнению с сетями связи предшествующего уровня техники), UMB сеть связи может быть более надежной, более гибкой, более простой в использовании и/или менее дорогостоящей для работы. Например, в унаследованных сетях связи, BS, BSC, PDSN и домашний агент (HA) мобильной связи IP, все взаимодействуют так, чтобы обслуживать поток обмена информацией пользователя. UMB сети связи многократно используют большую часть основной инфраструктуры сети, но объединяют функции в меньшем количестве сетевых компонентов. Объединение этих функций в меньшее количество узлов снижает время задержки, уменьшает капитальные и эксплуатационные расходы и уменьшает сложность взаимодействий между узлами, чтобы предоставлять сквозное качество и класс предоставляемых услуг передачи данных.

Этот пример иллюстрирует, как UMB сеть 102 доступа и обслуживающая сеть 113 связи могут предоставлять беспроводной доступ к сети для множества терминалов доступа AT 106, 108, 110, 122 (например, для аутентификационных одноранговых элементов) при многократном использовании основной инфраструктуры сети (например, домашней сети 103 связи). Обслуживающая сеть 113 связи может быть "домашней" сетью связи для терминалов AT 106, 108, 110, 122, но терминалы AT также могут передвигаться или посещать другие сети связи и получать возможность подключения в беспроводной сети от таких других сетей связи.

В этом примере UMB сеть 102 доступа включает в себя первую eBS 104 и вторую eBS 107 (широко упоминаемые как "узлы доступа сети"), которые предоставляют возможность одному или больше терминалам доступа (AT) 106, 108 и 110 соединяться с обслуживающей сетью 113 связи и домашней сетью 103 связи. Первая eBS 104 может быть подсоединена к первому сеансовому опорному сетевому контроллеру (SRNC) 114 (широко упоминаемому как "аутентификатор") и первому шлюзу доступа (AGW) 112 (широко упоминаемому как "узел сетевого шлюза") в обслуживающей сети 113 связи, которая связана с инфраструктурой 103 домашней сети связи. Точно также вторая eBS 107 может быть подсоединена ко второму SRNC 109 и первому AGW 112. Обслуживающая сеть 113 связи может включать в себя AGW-a 112 и AGW-в 120, которые подсоединены к локальному объекту аутентификации, авторизации и учета (LAAA) 124 и визитному объекту управления политикой и назначения ресурса (vPCRF) 132, чтобы содействовать осуществлению связи и/или возможность подключения для станций eBS и терминалов AT. Домашняя сеть 103 связи может включать в себя домашнего агента (HA) 126, домашний AAA (HAAA) 128 и домашний PCRF (hPCRF) 130. Дополнительно, для предоставления возможности подключения в беспроводной сети к терминалам доступа, к HA 126 и/или LAAA 124 также могут быть подсоединены другие сети 105 доступа.

В различных реализациях UMB сеть 102 доступа может включать в себя другие станции eBS 116 и 117, контроллеры SRNC 118 и шлюзы AGW 120, которые могут предоставлять возможность подключения в беспроводной сети к другим терминалам AT 122. Сети 102, 113, 105 и/или 103 связи показаны в качестве примера системы связи, в которой могут действовать один или больше новых признаков, описанных в данном описании. Однако устройства и/или функциональные возможности таких устройств в этих сетях могут быть расположены в других сетях, отличающихся от показанных (или в отличающейся сети связи), не отступая при этом от действия и признаков, описанных в данном описании.

В соответствии с различными примерами, терминалами AT 106, 108, 110 и/или 122 могут быть устройства беспроводной связи, мобильные телефоны, беспроводные терминалы и другие типы подвижных и/или беспроводных устройств, которые поддерживают способность к беспроводному подключению посредством радиосвязи через UMB сеть связи.

Станции eBS 104, 107 и 116 поддерживают UMB радиоинтерфейс. Станц