Es
besteht daher Bedarf an einem Interworking-System zwischen dem WLAN-Funkzugangsnetz und dem
GSM/GPRS-Kernnetz, das dem GSM-Dienst ermöglicht, Benutzer transparent über dieses
neue Funkzugangsnetz zu verbinden, während den GSM-Kunden alle von
den Kunden erwarteten Dienste bereitgestellt werden. Darüber hinaus
wäre es
wünschenswert,
wenn diese Interworking-Systeme
erweitert werden könnten, um
andere Funkzugangsnetze wie beispielsweise 3G 802.11a, oder HIghPErformance
Radio Local Area Networks (HIPERLAN) in der Zukunft mit geringen
oder keinen zusätzlichen
Modifikationen zu unterstützen.
Ein solches System würde
jegliche Modifizierungsanforderungen der WLAN-Elemente vermeiden
und die beiden Netze an den niedrigst möglichen Netwerkschichten verbinden,
und auch zusätzliche
Merkmale an den niedrigst möglichen
Netzwerkschichten bereitstellen, um bestmöglichen Nutzen aus den bereits
eingerichteten GSM-Standards zu erzielen. Diese Merkmale sollten über getrennte
Vernetzungselemente bereitgestellt werden. Auf diese Weise kann
anderen Funkzugangsnetzen mit geringem zusätzlichen Aufwand Funktionalität hinzugefügt werden.It
There is therefore a need for an interworking system between the WLAN radio access network and the
GSM / GPRS core network enabling the GSM service makes users transparent about this
to connect new radio access network while the GSM customers all of
services expected to be provided to customers. Furthermore
would it be
desirable,
if these interworking systems
could be extended to
other radio access networks such as 3G 802.11a, or HIghPErformance
Radio Local Area Networks (HIPERLAN) in the future with low
or no additional
To support modifications.
Such a system would
avoid any modification requirements of the WLAN elements
and connect the two nets to the lowest possible network layers,
and also additional
Characteristics at the lowest possible
Provide network layers to get the most out of them already
established GSM standards. These features should be separate
Networking elements are provided. This way you can
be added to other radio access networks with little additional effort and functionality.
ZUSAMMENFASSUNG
DER ERFINDUNGSUMMARY
THE INVENTION
Gemäß der vorligenden
Erfindung werden ein Verfahren und ein System zum Integrieren eines WLAN-Funkzugangsnetzes
in ein GSM/GPRS-Kernnetz bereitgestellt, wobei Gateways hinzugefügt werden, deren
Funktion es ist, Dienste zwischen zwei ungleichen Typen von Netzen,
wie beispielsweise WLAN und GSM, transparent zu transportieren.
Ein weitere Aspekt der Erfindung ist die sichere Authentisierung.
Das System gemäß der Erfindung
weist zwei Netzelemente auf, einen Funkverbindungsmanager (Radio
Link Manager (RLM)) und einen Funkzugangskontroller (Radio Access
Controller (RAC)), und eine Softwareanwendung, einen Mehrfachverbindungs-Client
(Multi-Link Client (MLC)) zur Steuerung der Funktionalität der Integration.
Der MLC befindet sich in einem Benutzergerät wie beispielsweise, aber
nicht abschließend,
ein Laptop, PDA oder ein zellulares Telefon (Mobiltelefon). Das
WLAN-Funkzugangsnetz (WLAN Radio Access Network (RAN)) umfasst ein
Client-Funkgerät,
das typischerweise entweder in ein Client-Rechnergerät eingebaut oder über eine PCMCIA-Karte
installiert ist, und einen Zugangspunkt (AP), der eine Übersetzung
der drahtlosen Signale von dem Clientfunkgerät in ein drahtgebundenes Vernetzungsprotokoll
bereitstellt. Gemäß dem Verfahren
der Erfindung befindet sich der Funkverbindungsmanager zwischen
dem AP und dem Kernnetz (CN), um dieses RAN mit dem GSM/GPRS-Kernnetz zu verbinden,
und stellt einen Endpunkt bereit für eine sichere Verbindung von
der MLC-Software auf dem Client-Rechnergerät. Der RLM leitet Authentisierungsnachrichten
von dem MLC an den RAC weiter. Der RAC stellt Protokollstapel und
Interworking-Funktionen bereit, um es dem MLC zu ermöglichen,
mit einem Heimatregister (Home Location Register (HLR)) zu sprechen,
welches ein die Authentisierung handhabendes Standardnetzelement
in dem GSM-Kernnetz
ist. Nachdem der Kunde authentisiert ist, richten der RLM und der
MLC einen "Tunnel" ein unter Einsatz
des Punkt-zu-Punkt-Protokolls (Point-to-Point-Protocol (PPP)) über Ethernet (PPP Over Ethernet
(PPPOE)), und alle auf die sem Tunnel empfangenen Datenpakete werden
durch den RLM an den Gateway-GPRS-Unterstützungsknoten (Gateway GPRS
Support Note (GGSN)) weitergeleitet, ein Standardnetzelemente in
dem GSM/GPRS-Netz, das eine Verbindung zum Internet oder anderen
Paketdatennetzen bereitstellt. Zur Durchführung dieser Weiterleitung richtet
der RLM einen Tunnel von dem RLM zum GGSN ein unter Verwendung des
GPRS-Tunnelprotokolls (GPRS Tunneling Protocol (GTP)). Als Alternative
könnte
ein Datenverbindungstunnel (Data Link Tunnel) von dem RLM zu einem
Internet-Gateway verlaufen, der Tunnelerzeugungs- und Adressenzuweisungsfähigkeiten als
Teil eines globalen Paketdatennetzes aufweist. Beispiele sind das
Generic Routing Encapsulation (GRE) Protokoll, IP bei der IP-Tunnelerzeugung,
das Transportprotokoll der Schicht 2 (Layer 2 Transport Protocol (L2TP)),
Mobile IP und Metricom's
Ricochet Tunneling Protocol, das sich auf disparate Maschennetze
bezieht. Es kann andere Beispiele geben, die äquivalent aber zum Zeitpunkt
noch nicht vorhersehbar sind.According to the present invention, there is provided a method and system for integrating a WLAN radio access network into a GSM / GPRS core network, adding gateways whose function is to transparently service between two dissimilar types of networks, such as WLAN and GSM to transport. Another aspect of the invention is secure authentication. The system according to the invention comprises two network elements, a radio link manager (RLM) and a radio access controller (RAC), and a software application, a multi-link client (MLC) Control of the functionality of the integration. The MLC resides in a user device such as, but not limited to, a laptop, PDA, or a cellular telephone (mobile phone). The WLAN Radio Access Network (RAN) comprises a client radio typically installed either in a client computing device or installed via a PCMCIA card and an access point (AP) that translates the wireless signals from the client radio into a wired networking protocol. According to the method of the invention, the radio link manager is between the AP and the core network (CN) to connect this RAN to the GSM / GPRS core network and provides an end point for a secure connection from the MLC software on the client computing device. The RLM forwards authentication messages from the MLC to the RAC. The RAC provides protocol stacks and interworking functions to enable the MLC to speak with a Home Location Register (HLR), which is a standard network element handling authentication in the GSM core network. After the customer is authenticated, the RLM and the MLC establish a "tunnel" using Ethernet (PPP Over Ethernet (PPPOE)) using Point-to-Point Protocol (PPP), and all data packets received on this channel are forwarded by the RLM to the Gateway GPRS Support Note (GGSN), a standard network element in the GSM / GPRS network that provides connection to the Internet or other packet data networks. To perform this routing, the RLM establishes a tunnel from the RLM to the GGSN using the GPRS Tunneling Protocol (GTP). Alternatively, a data link tunnel could run from the RLM to an Internet gateway having tunneling and address assignment capabilities as part of a global packet data network. Examples include the Generic Routing Encapsulation (GRE) protocol, IP in IP tunneling, the Layer 2 Transport Protocol (L2TP) transport protocol, Mobile IP, and Metricom's Ricochet Tunneling Protocol, which applies to disparate mesh networks. There may be other examples that are equivalent but not yet foreseeable at the time.
Die
zwei Netze können
nahtlos interoperieren, wodurch ein kontinuierliches Empfangen aller
gerade unter GSM verfügbaren
Vernetzungsdienste durch einen Kunden ermöglicht wird, unabhängig von
dem zu einem gegeben Zeitpunkt verwendeten Funkzugangsnetz.The
two networks can
seamlessly interoperate, creating a continuous reception of all
currently available under GSM
Networking services are enabled by a customer, regardless of
the radio access network used at a given time.
Die
Erfindung wird leichter verstanden werden unter Bezugnahme auf die
folgende nähere
Beschreibung in Verbindung mit den beiliegenden Zeichnungsfiguren.The
The invention will be more readily understood with reference to the
following details
Description in conjunction with the attached drawing figures.
KURZBESCHREIBUNG
DER ZEICHNUNGENSUMMARY
THE DRAWINGS
1 zeigt
den Netzstapel für
die IEEE-WLAN-Spezifikationen und den durch die IETF spezifizierten Netzstapel
für das
Internetprotokoll und vergleicht diesen mit dem OSI-Vernetzungsmodell
(Stand der Technik). 1 Figure 4 shows the network stack for the IEEE WLAN specifications and the internet protocol network stack specified by the IETF and compares it to the OSI networking model (prior art).
2 zeigt
eine ipRAN-für-WLAN-Architektur
gemäß der Erfindung. 2 shows an ipRAN for WLAN architecture according to the invention.
3 zeigt
ein GSM-Netz in seiner Verbesserung zur Unterstützung von GPRS und WLAN gemäß der vorliegenden
Erfindung. 3 shows a GSM network in its improvement to support GPRS and WLAN according to the present invention.
4 zeigt
eine in einem spezifischen Ausführungsbeispiel
der vorliegenden Erfindung erforderliche Anwenderausstattung (User
Equipment). 4 shows a user equipment required in a specific embodiment of the present invention.
5 zeigt
zwischen den verschiedenen Elementen des ipRAN für WLAN und des GSM/GPRS-Kernnetzes
passierende Nachrichten zur Authentisierung eines Kunden. 5 shows messages passing between the different elements of the ipRAN for WLAN and the GSM / GPRS core network for the authentication of a customer.
6 zeigt
ein bevorzugte Ausführungsbeispiel
der Paketformate in dem RR-Protokoll
zwischen einem Funkverbindungsmanager und einem Funkzugangscontroller. 6 shows a preferred embodiment of the packet formats in the RR protocol between a radio link manager and a radio access controller.
BESCHREIBUNG
SPEZIFISCHER AUSFÜHRUNGSBEISPIELE
DER ERFINDUNGDESCRIPTION
SPECIFIC EMBODIMENTS
THE INVENTION
Die
vorliegende Erfindung ist ein Verfahren und eine Vorrichtung zum
Verbinden eines drahtlosen Lokalnetz-Funkzugangsnetzes (Wireless
Local Area Network Radio Access Network (WLAN RAN)) mit einem zellularen
GSM-Telefonsystem, das durch GPRS-Fähigkeiten verbessert ist. Zur
Bereitstellung der GPRS-Fähigkeiten
muss dem GSM-Netz sowohl ein Bedien-GPRS-Unterstützungsknoten (Serving GPRS
Support Node (SGSN)) 304 als auch ein Gateway-GPRS-Unterstützungsknoten
(Gateway GPRS Support Node (GGSN)) 326 gemäß 3 hinzugefügt werden.The present invention is a method and apparatus for connecting a Wireless Local Area Network Radio Access Network (WLAN RAN) to a cellular GSM telephone system enhanced by GPRS capabilities. To provide the GPRS capabilities, the GSM network must have both a Serving GPRS Support Node (SGSN) 304 as well as a gateway GPRS support node (Gateway GPRS Support Node (GGSN)) 326 according to 3 to be added.
Um
die durch die vorliegende Erfindung dargestellten Verbesserungen
zu verstehen, ist es hilfreich, zunächst die aus dem Stand der
Technik bekannten Elemente zu identifizieren. Die Standardnetzelemente
in GSM/GPRS sind auf der linken Seite der 3 gezeigt.
Vor einer GPRS-Verbesserung unterstützt das zellulare System oder
Mobilfunksystem Sprachanrufe die von einem Basisstationskontrollrechner
(Base Station Controller (BSC)) 303 zu einer Mobilvermittlungsstelle
(Mobile Switching Center (MSC)) 327 geleitet werden und
von dort in das Fernsprechnetz (Public Switched Telephone Network
(PSTN)) 329. Für
GPRS, das Daten unterstützt,
werden die Datenverbinden von den BSC 303 zu dem SGSN 304 geleitet,
danach zu einem GGSN 326 und von dort zu einem Paketdatennetz
(PDN) 306. Der Signalpfad für GPRS ist physikalisch derselbe
wie für
Sprachanrufe. GPRS verwendet aber andere Protokolle auf allen Verbindungen.
Beim her kömmlichen
Betrieb unterstützt
ein Anwendergerät 301 eine
GPRS-Funkverbindung 313 und
sendet Pakete zu einer Basisstation (Basestation Transmitter Server
(BTS)) 302. Der BTS 302 leitet die Pakete über eine
Direktverbindung 14 zu einem der BSCs 303 weiter
unter Verwendung der Rahmenübertragung
oder eines anderen Protokolls. Die BTS 302 und der BSC 303 handhaben
auch Sprachanrufe und die gesamte für solchen Verkehr erforderliche
zusätzliche
Komplexität.
Datenpakte werden allerdings immer über die Direktverbindung 315 zu
einem SGSN 304 geleitet. Der SGSN 304 leitet dann
die Datenpakte über
die Netzverbindung 317 zu dem GGSN 326, typischerweise
unter Verwendung von GTP-über-Internet-Protokollen.
Der SGSN 304 führt
auch eine Regelung und Aufzeichnung der Servicequalität (Quality
of Service (QOS)) der Datenpaktverbindung und der Anzahl von Paketen
und Dauer der Verbindung gemäß der Definition
in den GPRS-Protokollen durch. Der SGSN 304 sendet diese
Information über
eine Direktverbindung 316 zu einer Abrechnungs-Gateway-Funktion
(Charging Gateway Function) 305, um eine Abrechnung der
Anwender entsprechend der Servicequalität (QOS) zu ermöglichen.
Der SGSN 304 überträgt auch
das Authentisierungsprotokoll von einem Teilnehmeridentitätsmodul
(Subscriber Identity Modul (SIM)) 417 (4)
innerhalb der Anwenderausstattung (User Equipment (UE)) 301 zu
einem Heimatregister (Home Location Register (HLR)) 311 über ein
Netz 324 vom System-7-Signalisierungs(SS7)-Typ unter Verwendung
des Mobil Application Part (MAP) Protokolls. Der GGSN 326 überträgt die Datenpakete über das
Netz 319 zu einem öffentlichen
Datennetz (Public Data Network (PDN)) 306, typischerweise
das Internet, typischerweise unter Verwendung des Internetprotokolls.To understand the improvements presented by the present invention, it will be helpful to first identify the elements known in the art. The default network elements in GSM / GPRS are on the left side of the 3 shown. Before a GPRS upgrade, the cellular system or cellular system supports voice calls made by a base station controller (BSC) 303 to a Mobile Switching Center (MSC) 327 and from there into the public switched telephone network (PSTN). 329 , For GPRS supporting data, the data connections are from the BSC 303 to the SGSN 304 then to a GGSN 326 and from there to a packet data network (PDN) 306 , The signal path for GPRS is physically the same as for voice calls. GPRS uses other protocols on all connections. Conventional operation is supported by a user device 301 a GPRS radio connection 313 and sends packets to a base station (Basestation Transmitter Server (BTS)) 302 , The BTS 302 routes the packets via a direct connection 14 to one of the BSCs 303 continue using the frame transfer or another protocol. The BTS 302 and the BSC 303 also handle voice calls and all the additional complexity required for such traffic. However, data packets are always via the direct connection 315 to a SGSN 304 directed. The SGSN 304 then routes the data packets over the network connection 317 to the GGSN 326 typically using GTP over Internet protocols. The SGSN 304 Also performs control and recording of the quality of service (QOS) of the data pact connection and the number of packets and duration of the connection as defined in the GPRS protocols. The SGSN 304 sends this information via a direct connection 316 to a billing gateway function (Charging Gateway Function) 305 to allow billing of users according to the quality of service (QOS). The SGSN 304 also transmits the authentication protocol from a Subscriber Identity Module (SIM) 417 ( 4 ) within the User Equipment (UE) 301 to a home location register (HLR) 311 over a network 324 System 7 Signaling (SS7) type using the Mobile Application Part (MAP) protocol. The GGSN 326 transmits the data packets over the network 319 to a public data network (PDN) 306 typically the Internet, typically using the internet protocol.
Gemäß der Erfindung
und nunmehr unter Bezugnahme auf die rechte Seite der 3 wird
das von der WLAN unterstützenden
UE 309 gesendete Datenpaket gegebenenfalls zu dem PDN 306 gesendet.
Das Datenpaket wird über
eine WLAN-Funkverbindung 322 von der UE 309 zu
einem WLAN-Zugangspunkt (AP) 308 gesendet. Der AP 308 leitet
das Paket an einen Funkverbindungsmanager (Radio Link Manager (RLM)) 307 über das überbrückte (bridged)
Netz 321, typischerweise Ethernet, aber möglicherweise über DSL,
Glasfaser oder ein anderes geeignetes physikalisches Medium. Der
RLM 307 leitet das Datenpaket über das Netz 320,
typischerweise unter Verwendung von GTP über das Internetprotokoll (GTP/IP),
zu dem GGSN 326 weiter. Der GGSN 326 leitet dann
die Datenpakete über
die Netzverbindung 319 zu dem Paketdatennetz 306 weiter,
typischerweise unter Verwendung des Internetprotokolls. In der hier
beschriebenen Erfindung spalten die Netzelemente zum Bereitstellen
der Interworking-Funktionen für
das WLAN die Datenpakete und Steuerpakete des Protokolls von der
UE 308 an dem RLM 307 in die verschiedenen Netzelemente
lediglich in benötigter Weise
auf. Die Authentisierungspakete werden zu dem Funkzugangscontroller
(Radio Access Controller (RAC)) 310 über die Netzverbindung 325 übertragen,
typischerweise unter Verwendung des RLM-nach-RAC-Protokolls (RLM
to RAC protocol (RR)) über
das Internetprotokoll. Der RAC 310 leitet die Authentisierungspakete
zu dem HLR 311 über
das SS7-Netz 323 weiter unter Verwendung von MAP. Das Authentisierungsprotokoll
arbeitet ausgehend von der WLAN unterstützenden UE 309 unter
Verwendung ihrer SIM-Karte über
die Mehrfachverbindungs-Client-Software.
In GPRS oder in WLAN sendet der GGSN 326 Abrechnungsdaten über die
Direktverbindung 318 zu der Abrechungs-Gateway-Funktion 305.
Die Abrechnungs-Gateway-Funktion zeichnet die Gesamtverbindungszeit
und Menge von durch die UE 309 oder 301 zu dem
PDN 306 gesendeten Datenpaketen auf.According to the invention and now with reference to the right side of 3 becomes the UE supporting the WLAN 309 if necessary sent to the PDN 306 Posted. The data packet is transmitted via a WLAN radio link 322 from the UE 309 to a wireless access point (AP) 308 Posted. The AP 308 Forwards the package to a Radio Link Manager (RLM) 307 over the bridged network 321 typically Ethernet, but possibly over DSL, fiber or other suitable physical medium. The RLM 307 directs the data packet over the network 320 typically using GTP over the Internet Protocol (GTP / IP), to the GGSN 326 further. The GGSN 326 then routes the data packets over the network connection 319 to the packet data network 306 further, typically using the internet protocol. In the invention described herein, the network elements for providing the interworking functions for the WLAN separate the data packets and control packets of the protocol from the UE 308 at the RLM 307 in the various network elements only in the required manner. The authentication packets become the radio access controller (RAC) 310 over the network connection 325 typically transmitted using the RLM to RAC protocol (RLM to RAC protocol (RR)) over the internet protocol. The RAC 310 routes the authentication packets to the HLR 311 over the SS7 network 323 continue using MAP. The authentication protocol works based on the WLAN supporting UE 309 using their SIM card through the multi-client software. In GPRS or in WLAN the GGSN sends 326 Billing data via the direct connection 318 to the billing gateway feature 305 , The billing gateway feature records the total connection time and amount of through the UE 309 or 301 to the PDN 306 sent data packets.
Im
Falle von WLAN gibt es kein QOS auf der Funkverbindung 322,
im Gegensatz zum Falle des GPRS, wo die BTS 302 QOS über die
Funkverbindung 313 bereitstellen kann. In GPRS wird diese
Information aufgezeichnet und über
die Direkt-Verbindung 316 von
dem SGSN 304 zu der Abrechnungs-Gateway-Funktion 305 gesendet.
Im WLAN-Fall wird diese Information nicht benötigt und kann somit ignoriert
werden.In the case of WLAN, there is no QOS on the radio link 322 , in contrast to the case of GPRS, where the BTS 302 QOS over the radio connection 313 can provide. In GPRS this information is recorded and via the direct connection 316 from the SGSN 304 to the billing gateway feature 305 Posted. In the WLAN case, this information is not needed and can therefore be ignored.
Zu
den Kernnetzelementen des GSM, das den GGSN 326 und die
Abrechnungs-Gateway-Funktion 305 aufweist,
emuliert die WLAN-Verbindung nun einen GPRS-Verbindung. Der RLM 307 emuliert
den SGSN 304 für
die Verbindung zu den GGSN 326. Der RAC 310 emuliert
den SGSN 304 für
die Verbindung zu dem HLR 311, während die Verbindung von dem
SGSN 304 zu der Abrechnungs-Gateway-Funktion für WLAN nicht benötigt wird,
da keine QOS-Fähigkeiten
in der WLAN-Funkverbindung vorhanden sind. Auf diese Weise kann die
Bereitstellung des WLAN-Dienstes für einen bestimmten Anwender
in das HLR 311 eingegeben werden in gleicher Weise wie
der GPRS-Dienst des Anwenders eingegeben wird. Die Abrechnung kann
auch an der Abrechungs- Gateway-Funktion 305 in
exakt analoger Weise durchgeführt
werden. Somit kann das WLAN RAN mittels den durch den RLM 307 und
den RAC 310 bereitgestellten Interworking-Funktionen mit
einem GSM/GPRS-Kernnetz verbunden werden ohne Modifikationen des
Kernnetzes oder beliebiger Prozeduren, die zum Handhaben und Bereitstellung
von Diensten auf dem Kernnetz verwendet werden.To the core network elements of the GSM, the GGSN 326 and the billing gateway feature 305 The WLAN connection now emulates a GPRS connection. The RLM 307 emulates the SGSN 304 for the connection to the GGSN 326 , The RAC 310 emulates the SGSN 304 for the connection to the HLR 311 while the connection from the SGSN 304 to the billing gateway feature for WLAN is not needed because there are no QOS capabilities in the wireless LAN connection. In this way, the provision of the WLAN service for a particular user into the HLR 311 are entered in the same way as the GPRS service of the user is entered. Billing can also be done at the billing gateway feature 305 be carried out in exactly the same way. Thus, the WLAN RAN can be used by the RLM 307 and the RAC 310 provided interworking functions are connected to a GSM / GPRS core network without modifications of the core network or any procedures used to handle and provide services on the core network.
Bezugnehmend
auf 2 ist ein spezifisches Ausführungsbeispiel der die Erfindung
implementierenden Hardwareelemente gezeigt. Andere Ausführungsbeispiele
können
für den
Fachmann auf dem Gebiet der Vernetzung offensichtlich sein und werden
durch die vorliegende Beschreibung nicht ausgeschlossen. Die Intrworking-Elemente
zwischen dem WLAN und dem GSM/GPRS-Kernnetz enthalten einen MLC
(Muli-Link-Client), wobei es sich um eine in der Client-Hardware 201 befindliche
Software handelt, einen RLM (Radio Link Manager) 206, wobei
es sich um den Leit- und Steuerpunkt für die Authentisierung und den
Datenfluss handelt, und den RAC (Radio Access Controller) 207,
der das Interworking-Element für
die Authentisierung und Bereitstellung darstellt.Referring to 2 A specific embodiment of the hardware elements implementing the invention is shown. Other embodiments may be apparent to those skilled in the art Networking are obvious and are not excluded by the present description. The intrworking elements between the WLAN and the GSM / GPRS core network include an MLC (Muli Link Client), which is one in the client hardware 201 software is an RLM (Radio Link Manager) 206 , which is the control and control point for authentication and data flow, and the RAC (Radio Access Controller) 207 , which represents the interworking element for authentication and deployment.
Die
Anwenderausstattung (UE) ist ein Rechnergerät mit einen WLAN-Funkgerät, wie beispielsweise, aber
nicht abschließend,
ein Personal Data Assistant (PDA) 202, ein zellulares Telefon
oder Mobiltelefon 203 oder ein Laptop 204. Eine
durch das in den Rechnergeräten 202, 203 oder 204 eingebettete
WLAN-Funkgerät verwendete
Funkverbindung 218 kann auf der Spezifikation IEEE 802.11b
basieren oder auf einer beliebigen anderen Funkverbindung, die über den
Zugangspunkt (AP) 204 auf ein überbrücktes Netz übersetzt werden kann. Beispiele
anderer Funkverbindungsprotokolle und Funkgeräte, die verwendet werden können, sind
die Spezifikationen IEEE 802.11a oder 802.11g, die HIPERLAN-Spezifikationen
oder einige andere noch zu bestimmende Funkverbindungen. In dem
bevorzugten Ausführungsbeispiel
liegt das einzige Erfordernis darin, dass der AP 204 die Überbrückungsprotokollspezifikation
IEEE 802.1d unterstützt.
Dieses Protokoll kann unter Verwendung der physikalischen Schicht
des Ethernet auf dem Netz 214 über eine Bridge oder einen
Hub 205, der Pakete über
das Netz 215 zu dem RLM 206 weiterleitet, betrieben
werden. Das Netz 215 kann auch das Ethernet verwenden,
wobei aber die Bridge oder der Hub 205 durch ein DSL-(Digital
Subscriber Line)-Modem 219 und einen abgesetzten DSLAM
(Digital Subscriber Line Access Manager) 221, der über ein
verdrilltes Kupferdrahtpaar 220 angeschlossen ist, ersetzt
werden, solange das Paket auf dem Netz 215 in gleicher
Weise wie auf dem Netz 214 erscheint und solange die Brückenprotokollspezifikation
IEEE 802.1d zwischen beiden physikalischen Netzverbindungen 214 und 215 erfüllt ist,
damit beide bezüglich
den RLMs 206 als ein überbrücktes Netzwerk
erscheinen. Andere Verfahren zum Verbinden der APs 204 mit
den RLMs 206 sollten für den
Fachmann auf dem Gebiet der Vernetzung offensichtlich sein. Es ist
auch offensichtlich für
einen Fachmann auf dem Gebiet der Vernetzung, dass die Zahl der
APs 204 in den Netzen 215 nicht festgelegt ist,
es kann eine beliebige Zahl verwendet werden zur Redundanz und Kapazität.The User Equipment (UE) is a computing device with a WLAN radio such as, but not limited to, a Personal Data Assistant (PDA). 202 , a cellular phone or cellphone 203 or a laptop 204 , One through in the computing devices 202 . 203 or 204 embedded wireless radio used wireless connection 218 can be based on the IEEE 802.11b specification, or on any other wireless connection using the access point (AP) 204 can be translated to a bridged network. Examples of other wireless connection protocols and radios that may be used are the IEEE 802.11a or 802.11g specifications, the HIPERLAN specifications, or some other wireless connection to be determined. In the preferred embodiment, the only requirement is that the AP 204 supports the bypass protocol specification IEEE 802.1d. This protocol can be done using the physical layer of Ethernet on the network 214 over a bridge or a hub 205 , the packets over the network 215 to the RLM 206 forwarded, operated. The network 215 can also use ethernet, but the bridge or the hub 205 through a DSL (Digital Subscriber Line) modem 219 and a remote Digital Subscriber Line Access Manager (DSLAM) 221 , over a twisted copper wire pair 220 connected, be replaced as long as the package is on the net 215 in the same way as on the net 214 appears and as long as the bridge protocol specification IEEE 802.1d between both physical network connections 214 and 215 is fulfilled, so that both with respect to the RLMs 206 appear as a bridged network. Other methods for connecting the APs 204 with the RLMs 206 should be apparent to those skilled in the art of networking. It is also obvious to a person skilled in the networking field that the number of APs 204 in the networks 215 is not fixed, any number can be used for redundancy and capacity.
Die
UE 201, 202 oder 203 ist in 4 im
Detail dargestellt. Die UE 201 weist ein Gerätegehäuse 414 mit
einer CPU (Central Processing Unit) 402, die über eine
Verbindung oder einen Bus 410 mit einem nichtflüchtigen
Speicher 403 kommuniziert, wo verschiedene Programme in
Form von Softwarebefehlen mehrere Geräte 405, 406, 404 und 417 steuern
und ihre Funktionen durch deren befehlsweises Interpretieren durch
die CPU in der UE durchführen.
Die Mehrfachverbindungs-Client-Software ist ebenfalls in dem nichtflüchtigen Speicher 403 der
UE gespeichert. Wenn die UE eingeschaltet wird, kann die CPU 402 die
Programme über eine
Verbindung oder einen Bus 409 in einen Speicher 401 mit
wahlfreiem Zugriff kopieren oder die Programme direkt aus dem nichtflüchtigen
Speicher 403 starten. Die Anwenderausstattung weist typischerweise,
aber nicht notwendigerweise, ein Ausgabegerät 404 auf, wie beispielsweise
einen Bildschirm oder einen Lautsprecher, der über eine Verbindung 412 mit
der CPU 402 kommuniziert. Dieses Ausgabegerät 404 kann
gesteuert werden durch in dem nichtflüchtigen Speicher 403 oder
dem wahlfreien Speicher 401 gespeicherte Programme. Das
Gerät weist
typischerweise, aber nicht notwendigerweise, ein Eingabegerät 405 auf,
wie beispielsweise eine Tastatur, eine Maus oder ein Mikrofon, das
mit der CPU 402 über
eine Verbindung 413 kommuniziert. Dieses Eingabegerät 405 kann
gesteuert werden durch die in dem nichtflüchtigen Speicher 403 oder
dem wahlfreiem Speicher 401 gespeicherten Programme. Das
UE-Gerät
muss ein WLAN-Funkgerät 406 oder
etwas Äquivalentes
aufweisen, das mit der CPU 402 über eine Verbindung oder einen
Bus 411 und mit einer Antenne 407 über eine
Verbindung 408 verbunden ist, typischerweise aber nicht
notwendigerweise außerhalb des
Gerätegehäuses 414.
In dem bevorzugten Ausführungsbeispiel weist
das Gerät
einen SIM-Leser 416 auf, der mit der CPU 402 über eine
Verbindung 415 verbunden ist, der eine SIM-Karte 417 akzeptieren
und Informationen von der SIM-Karte 417 senden und empfangen
kann.The UE 201 . 202 or 203 is in 4 shown in detail. The UE 201 has a device housing 414 with a CPU (Central Processing Unit) 402 that have a connection or a bus 410 with a non-volatile memory 403 communicates where different programs in the form of software commands multiple devices 405 . 406 . 404 and 417 control and perform their functions by interpreting them by the CPU in the UE. The multiple client software is also in the nonvolatile memory 403 stored the UE. When the UE is turned on, the CPU can 402 the programs via a connection or a bus 409 into a store 401 with random access or copy the programs directly from the nonvolatile memory 403 start. The user equipment typically, but not necessarily, has an output device 404 on, such as a screen or a speaker connected via a connection 412 with the CPU 402 communicated. This output device 404 can be controlled by in the non-volatile memory 403 or random memory 401 stored programs. The device typically, but not necessarily, has an input device 405 on, such as a keyboard, a mouse, or a microphone connected to the CPU 402 over a connection 413 communicated. This input device 405 can be controlled by those in the non-volatile memory 403 or the random memory 401 stored programs. The UE device must be a WLAN radio 406 or something equivalent with the CPU 402 over a connection or a bus 411 and with an antenna 407 over a connection 408 is connected, but typically not necessarily outside of the device housing 414 , In the preferred embodiment, the device has a SIM reader 416 on that with the cpu 402 over a connection 415 connected to a SIM card 417 accept and information from the SIM card 417 can send and receive.
In
einem spezifischen Ausführungsbeispiel
wird diese SIM-Karten-Information über eine Verbindung oder einen
Bus 415 zu der CPU 402 gesendet. Der SIM-Leser 416 kann
in dem Gerätegehäuse 414 eingebettet
sein oder kann sich außerhalb
des Gerätegehäuses 414 befinden.In a specific embodiment, this SIM card information is transmitted over a connection or a bus 415 to the CPU 402 Posted. The SIM reader 416 can in the device case 414 be embedded or may be outside of the device body 414 are located.
Ein
geeignetes Verfahren wird verwendet zum Aufrufen und Starten des
Softwareprogramms, genannt der MLC (Multi-Link Client), in der Anwenderausstattung 201, 202 oder 203,
wie beispielsweise, aber nicht notwendigerweise, dadurch, dass der
Anwender der Ausstattung auf ein Piktogramm (Icon) auf einem Bildschirm (Ausgabegerät 404)
unter Verwendung einer Maus (Eingabegerät 405) klickt, oder
in einem alternativen Ausführungsbeispiel
kann ein auf der Anwenderausstattung vorinstalliertes Programm ein
Signal von dem WLAN-Funkgerät 406 erkennen,
das über
die Verbindung 411 zu der CPU 402 gesendet wird,
die die MLC-Software über
die Tatsache alarmiert, dass sich das WLAN-Funkgerät 406 an
einen AP 204 ankoppeln kann.A suitable method is used to call and start the software program called the MLC (Multi-Link Client) in the user equipment 201 . 202 or 203 , such as, but not necessarily, by the user of the equipment accessing a pictogram (icon) on a screen (output device 404 ) using a mouse (input device 405 ) or, in an alternative embodiment, a program preinstalled on the user equipment may receive a signal from the WLAN radio 406 recognize that via the connection 411 to the CPU 402 is sent, which alerts the MLC software about the fact that the wireless LAN radio 406 to an AP 204 link up can.
In
einem alternativen Ausführungsbeispiel
kann ein Knopf (Eingabegerät 405)
gedrückt
werden oder ein anderes Verfahren kann verwendet werden, wie es
offensichtlich für
einen Fachmann auf dem Gebiet der Computergestaltung und Programmierung
wäre. Sobald
er davon in Kenntnis gesetzt wurde, dass die Datenverbindung gestartet
werden soll, versucht der MLC nun sich gegenüber dem HLR 217, das
Teil des GSM-Kernnetzes ist, zu authentisieren. In dem bevorzugten
Ausführungsbeispiel
der Erfindung sollten die Netze 214 und 215 über eine
Bridge oder einen Hub 205 überbrückte Ethernet-Netze sein, da
die Mehrfachverbindungs-Client-Software das Point-to-Point Protocol
over Ethernet (PPPOE) zum Einrichten eines Tunnels von der UE 201, 202 oder 203 zu
einem RLM 206 verwendet. Falls ein anderes Medium in den
Netzen 214 und 215 verwendet werden soll, könnte ein
anderes Protokoll zum Einkapseln der über die Funkverbindung 218 gesendeten
Datenpakete verwendet werden, das dieselbe erforderliche Funktionalität enthält: Die
Fähigkeit
einen RLM 206 aufzufinden, der einen Tunnelserver bereitstellt,
der einen in dem MLC beginnenden Tunnel beenden kann, und die Fähigkeit
zum Senden der Pakete über
den Tunnel durch einen AP 204. Ein Beispiel für ein anderes
Protokollverfahren, das geeignet wäre zum Tunneln von Pakete von
der UE 201, 202 oder 203 zu dem RLM 206 ist
das Layer 2 Transport Protocol (L2TP). Noch weitere Beispiele sind
das Generic-Routing-Encapsulation
(GRE) Protocol, das IP beim IP-Tunnelaufbau, Mobil IP, und Metricom's-Ricochet-Tunnel-Protocol,
das sich auf disparate Maschennetze bezieht. Es können auch
andere Beispiele vorhanden sein, die äquivalent aber zum jetzigen
Zeitpunkt nicht vorhersehbar sind.In an alternative embodiment, a button (input device 405 ) or another method could be used as would be apparent to one skilled in the computer design and programming arts. As soon as it is informed that the data connection is to be started, the MLC will now attempt to contact the HLR 217 , which is part of the GSM core network, to authenticate. In the preferred embodiment of the invention, the networks should 214 and 215 over a bridge or a hub 205 bridged Ethernet networks because the multi-client software is Point-to-Point Protocol over Ethernet (PPPOE) to set up a tunnel from the UE 201 . 202 or 203 to an RLM 206 used. If another medium in the nets 214 and 215 could be used, another protocol for encapsulating the over the radio link 218 sent data packets containing the same required functionality: The capability of an RLM 206 providing a tunnel server that can terminate a tunnel starting in the MLC and the ability to send the packets across the tunnel through an AP 204 , An example of another protocol method that would be suitable for tunneling packets from the UE 201 . 202 or 203 to the RLM 206 is the Layer 2 Transport Protocol (L2TP). Yet other examples are the Generic Routing Encapsulation (GRE) Protocol, IP IP Tunneling, Mobile IP, and Metricom's Ricochet Tunnel Protocol, which refers to disparate mesh networks. There may be other examples that are equivalent but not foreseeable at the present time.
In
diesem Ausführungsbeispiel
dient der MLC in der UE 201, 202, 203 als
ein L2TP-Zugangs-Client und das Netz 214 und 215 ist
ein leitbares (routable) Netz, das das Internetprotokoll verwendet.
In diesem Ausführungsbeispiel
ersetzt eine Gruppe von Routern die Bridge oder den Hub 205 und
dient zum Transportieren von Paketen zwischen dem AP 204 und
dem RLM 206. Der RLM dient als ein L2TP-Netzserver. Der
MLC ist konfiguriert mit der IP-Adresse des RLM 206. In
einem alternativen Ausführungsbeispiel
verwendet der MLC eine Standard-Domain-Name-Service-(DNS)-Anfrage
zum Auffinden des RLM 206. Diese Anfrage stellt die erforderliche
Funktionalität
bereit; sie findet den RLM 206 und ermöglicht das Tunneln von Paketen
von der UE 201, 202 oder 203 zu dem RLM 206.
Andere zum Tunneln von Paketen von der UE 201, 202, 203 zu
dem RLM 206 verwendete Verfahren sind für den Fachmann auf dem Gebiet
der Vernetzung offensichtlich. Die Architektur beschränkt den
Anwender nicht lediglich auf einen oder zwei RLM 206 pro
Netz, sondern ermöglicht
eine beliebige Zahl von RLM 206, wie sie für Redundanz
und Kapazität
erforderlich ist.In this embodiment, the MLC serves in the UE 201 . 202 . 203 as an L2TP access client and the network 214 and 215 is a routable network that uses the internet protocol. In this embodiment, a group of routers replaces the bridge or hub 205 and is used to transport packets between the AP 204 and the RLM 206 , The RLM serves as an L2TP network server. The MLC is configured with the IP address of the RLM 206 , In an alternative embodiment, the MLC uses a standard Domain Name Service (DNS) request to find the RLM 206 , This request provides the required functionality; she finds the RLM 206 and allows tunneling of packets from the UE 201 . 202 or 203 to the RLM 206 , Others for tunneling packets from the UE 201 . 202 . 203 to the RLM 206 Methods used will be apparent to those skilled in the art of networking. The architecture does not limit the user to just one or two RLMs 206 per network, but allows any number of RLM 206 as required for redundancy and capacity.
In
einem spezifischen Ausführungsbeispiel
unter Verwendung der Protokolle IEEE 802.11 dient der AP 204 als
eine Brücke,
zum Weiterleiten aller Datenpakete auf der Funkverbindung 218 auf
das überbrückte Netz 214 und
zum Weiterleiten aller Datenpakete von dem überbrückten Netz 214 zu
der korrekten UE 201, 202 oder 203. Das
WLAN-Funkgerät 406 in
der Anwenderausstattung 201, 202 oder 203 sendet
Pakete über
die Verbindung 408 zu der Antenne 407 über die
Funkverbindung 218, die durch den AP 204 empfangen
werden. Das WLAN-Funkgerät 406 verwendet
das Protokoll IEEE 802.11 um an einem der APs 204 anzukoppeln.
Sobald das WLAN-Funkgerät 406 an
einen AP 204 angekoppelt ist, setzt es die CPU 402 über die
Verbindung 413 darüber
in Kenntnis und in formiert die in dem nichtflüchtigen Speicher 403 oder
dem Speicher (RAM) 401 mit wahlfreiem Zugang gespeicherte
Gerätetreibersoftware.
Die Gerätetreibersoftware
verwendet eine Standardsignalisierung über die CPU 402 und
den Bus 409 oder 410, um die MLC-Software über das
Ankopplungsereignis in Kenntnis zu setzen. Der MLC sendet dann ein
PPPOE-Active-Discovery-Initiation-(PADI)-Paket an den Gerätetreiber aus, der das WLAN-Funkgerät 406 anweist,
dieses zu dem AP 204 zu senden. Der AP 204 wird
das PADI-Paket zu dem Netz 214 weiterleiten. Da dieses
Paket an die Rundfunk-Ethernet-Adresse auf einem überbrückten Netz
adressiert ist, wird das Paket auf die Netze 215, 214 und
Funkverbindungen 218 repliziert.In a specific embodiment using the IEEE 802.11 protocols, the AP is used 204 as a bridge, to forward all data packets on the radio link 218 on the bridged network 214 and for forwarding all data packets from the bridged network 214 to the correct UE 201 . 202 or 203 , The wireless radio 406 in the user equipment 201 . 202 or 203 sends packets over the connection 408 to the antenna 407 over the radio connection 218 passing through the AP 204 be received. The wireless radio 406 uses the IEEE 802.11 protocol at one of the APs 204 to dock. Once the wireless radio 406 to an AP 204 docked, it sets the CPU 402 about the connection 413 about this and in the non-volatile memory 403 or the memory (RAM) 401 with random access stored device driver software. The device driver software uses standard signaling via the CPU 402 and the bus 409 or 410 to notify the MLC software of the docking event. The MLC then sends out a PPPOE Active Discovery Initiation (PADI) packet to the device driver that hosts the wireless LAN radio 406 instructs this to the AP 204 to send. The AP 204 the PADI packet becomes the network 214 hand off. Since this packet is addressed to the broadcast Ethernet address on a bridged network, the packet will be on the networks 215 . 214 and radio links 218 replicated.
Alle
RLM 206, die eine Verbindung akzeptieren können, werden
auf das PADI-Paket
mit einem Unicast-PPPOE-Active-Discover-Offer-(PADO)-Antwortpaket
antworten, das an die UE 201, 202 oder 203 adressiert
ist. DAS PADO-Paket wird durch die UE 201, 202 oder 203 empfangen
und an den MLC weitergeleitet. Der MLC hat mit der Gerätetreiber
des WLAN-Funkgeräts 406 eine
Registrierung durchgeführt
zum Empfangen von Kopien aller dieser Pakettypen. Die PADO-Pakete enthalten
die IEEE-MAC-Adresse der RLM 206. Auf diese Weise kann
der MLC die Adresse der RLM 206 erfassen. Der MLC verwendet
nun diese Adresse über
die überbrückten Netze 214 und 215 und
Funkverbindung 218, um einen PPPOE-Tunnel zwischen sich selbst
und seinem gewählten
RLM 206 einzurichten. Der MLC verwendet das in dem PPPOE-Protokoll
eingekapselte PPP zum Aushandeln einer PPP-Verbindung mit dem RLM 206 unter
Verwendung der Quelladresse des PADO-Pakets.All RLM 206 who can accept a connection will respond to the PADI packet with a unicast PPPOE Active Discover Offer (PADO) response packet sent to the UE 201 . 202 or 203 is addressed. THE PADO package is provided by the UE 201 . 202 or 203 received and forwarded to the MLC. The MLC has with the device driver of the wireless radio 406 a registry performed to receive copies of all of these packet types. The PADO packets contain the IEEE MAC address of the RLM 206 , In this way, the MLC can address the RLM 206 to capture. The MLC now uses this address over the bridged networks 214 and 215 and radio connection 218 a PPPOE tunnel between itself and its chosen RLM 206 to set up. The MLC uses the PPP encapsulated in the PPPOE protocol to negotiate a PPP connection with the RLM 206 using the source address of the PADO packet.
Gemäß der Erfindung
verwenden der MLC und der RLM 206 ein erweiterbares Authentisierungsprotokoll,
wie beispielsweise PPP oder 802.1X, zum Weitergeben der für die Authentisierung
der SIM-Karte 411 erforderlichen Information an das HLR 208,
und auch zum Authentisieren des RLM 206 gegenüber dem
MLC. Ist die Authentisierung abgeschlossen, so wird eine Information
in Form von individuellen Schlüsseln
durch das HLR 208 für
den RLM 206 und durch die SIM-Karte 417 für den MLC bereitgestellt, um
diesen das Einrichten einer sicheren Verbindung zwischen den beiden
Geräten
zu ermöglichen.
Jedes Paket wird mit dem lediglich dem RLM 206 und MLC
bekannten individuellen Schlüssel
verschlüsselt.
Der MLC dient dann als ein Zugangsschutzsystem (Firewall) für die UE 201, 202 oder 203 und
lässt alle
Pakete fallen, mit Ausnahme derer, die in korrekter Weise mit dem
individuellen Schlüssel
verschlüsselt
sind. Dies verhindert, dass die UE 201, 202 oder 203 einen
AP 204, ein anderes Teil der Anwenderausstattung 201, 202 oder 203,
die Bridge 205 oder beliebige andere Kernnetzelemente des
GSM-Systems adressieren kann, außer über den RLM 206, der
die Pakete einkapselt und die Pakete über das Kernnetz zu dem GGSN 212 weiterleitet,
der lediglich die Pakete zu dem PDN 210, dem Internet,
weiterleitet, wodurch alle Kernnetzelemente gegenüber jeglichen
Angriffen von UE 201, 202 oder 203 geschützt sind.
Darüber
hinaus gibt es kein Verfahren für
eine beliebige andere UE 201, 202 oder 203 oder
ein beliebiges anderes Gerät,
wie beispielsweise der Hub oder die Bridge 205 zum Einkoppeln
von Paketen, die durch die UE empfangen werden, da der MLC alle
Pakete, die nicht von dem PPPOE-Tunnel
des RLM 206 stammen, fallen lässt, wodurch sie gegenüber beliebigen
Angriffen von beliebigen an die Kernnetzverbindung 212 oder
das überbrückte Netzwerk 214 und 215 oder
die Funkverbindung 218 angeschlossenen Geräten abgesichert
ist, eine sichere öffentliche
Paketweiterleitung für
die UE 201, 202 oder 203 bereitgestellt ist,
und der Kunde von Angriffssorgen oder Missbrauch der UE 201, 202 oder 203 befreit
ist.According to the invention, the MLC and the RLM use 206 an extensible authentication pro tokoll, such as PPP or 802.1X, to pass on the authentication of the SIM card 411 required information to the HLR 208 , and also to authenticate the RLM 206 opposite the MLC. Once authentication is complete, information is provided in the form of individual keys by the HLR 208 for the RLM 206 and through the SIM card 417 provided for the MLC to allow it to establish a secure connection between the two devices. Each package comes with only the RLM 206 and MLC known individual key encrypted. The MLC then serves as an access protection system (firewall) for the UE 201 . 202 or 203 and drops all packets except those correctly encrypted with the individual key. This prevents the UE 201 . 202 or 203 an AP 204 , another part of the user equipment 201 . 202 or 203 , the bridge 205 or any other core network elements of the GSM system, except via the RLM 206 that encapsulates the packets and the packets over the core network to the GGSN 212 forwarding only the packets to the PDN 210 , the Internet, forwards, eliminating all core network elements from any attack by UE 201 . 202 or 203 are protected. In addition, there is no method for any other UE 201 . 202 or 203 or any other device, such as the hub or bridge 205 for injecting packets received by the UE, since the MLC all packets that are not from the PPPOE tunnel of the RLM 206 come down, thereby preventing them from arbitrary attacks from arbitrary to the core network connection 212 or the bridged network 214 and 215 or the radio connection 218 secured devices, a secure public packet forwarding for the UE 201 . 202 or 203 and the customer is aware of any concern or misuse of the UE 201 . 202 or 203 is free.
Bezug
nehmend auf das Paketflussdiagramm in 5 werden
Nachrichten zwischen den verschiedenen Netzelementen in dem WLAN
RAN und dem GSM/GPRS-Kernnetz für
die Authentisierung der SIM-Karte des Kunden in der UE 520 gegenüber dem
HLR 523 weitergegeben. Diese Nachrichten führen eine
Autorisation dahingehend durch, dass der Kunde das WLAN benutzen
kann, und starten die Abrechnung und enthalten die erforderlichen
Einrichtnachrichten zum Aufbau eines End-zu-End-Tunnels von der
UE 520 zu dem RLM 521 und von dem RLM 521 zu
dem GGSN 524, wo der Datenverkehr empfangen und gesendet
wird. Wie vorstehend beschrieben findet die UE 520 den
RLM 521 unter Verwendung von PPPOE-Entdeckungspaketen und
kapselt PPP-Pakete in dieses Protokoll ein, um sie zwischen der
UE 520 und dem RLM 521 zu transportieren. 5 zeigt
eine Paketkommunikation zwischen den getrennten Netzelementen: Der
UE 520, dem RLM 521, dem RAC 522, dem
HLR 523 und dem GGSN 524. Die Zeit schreitet fort
von oben nach unten. Jedes Paket oder jede Nachricht wird durch
eine separate Nummer markiert, wobei eine Pfeillinie von dem den
Ursprung des Pakets bildenden Netzelement an dem das Paket empfangenden
Netzelement endet.Referring to the packet flowchart in FIG 5 Messages between the various network elements in the WLAN RAN and the GSM / GPRS core network for the authentication of the customer's SIM card in the UE 520 opposite the HLR 523 passed. These messages carry out an authorization that the customer can use the WLAN, and start the billing and contain the necessary setup messages for the construction of an end-to-end tunnel from the UE 520 to the RLM 521 and from the RLM 521 to the GGSN 524 where the traffic is received and sent. As described above, the UE finds 520 the RLM 521 using PPPOE discovery packets and encapsulates PPP packets in this protocol to pass them between the UE 520 and the RLM 521 to transport. 5 shows a packet communication between the separate network elements: the UE 520 , the RLM 521 , the RAC 522 , the HLR 523 and the GGSN 524 , Time is progressing from top to bottom. Each packet or message is marked by a separate number, with an arrow-line terminating from the network element forming the origin of the packet at the network element receiving the packet.
5 zeigt
auch die Reihenfolge der Pakete. Zeitlich früher gesendete Pakete befinden
sich näher
am oberen Ende des Diagramms. 5 zeigt
auch die Namen der gewählten
Protokolle, die zwischen der UE 520 und dem RLM 521 verwendet
werden, lediglich für
Informationszwecke. In einem spezifischen Ausführungsbeispiel verwenden die
Geräte
PPP zum Senden der Pakete in rückwärtiger und
vorwärtiger
Richtung und zum Verhandeln der Authentisierung und anderer Netzkonfiguration,
die erforderlich ist damit die UE 520 ein vollwertig teilnehmendes
Netzelement in dem an den GGSN 524 angekoppelten Paketdatennetz
wird. 5 also shows the order of the packages. Previously sent packets are closer to the top of the chart. 5 also shows the names of the chosen protocols that exist between the UE 520 and the RLM 521 used for informational purposes only. In a specific embodiment, the devices use PPP to send the packets in the backward and forward directions and to negotiate the authentication and other network configuration required by the UE 520 a fully participating network element in the GGSN 524 coupled packet data network.
Zwischen
der UE 520 und dem RLM 521 können mehrere Unterprotokolle
des PPP verwendet werden. Diese Protokolle enthalten das Link Control
Protcol (LCP), das Challenge Authentication Protocol (CHAP) und das
IP Control Protocol (IPCP). Es können
auch andere Protokolle wie beispielsweise 802.1X verwendet werden.
Die Pakete oder Nachrichten in jedem Protokoll sind für Informationszwecke
gruppiert, wobei Markierungen an der linken Seite des Diagramms
in abwärtiger
Richtung verlaufen.Between the UE 520 and the RLM 521 Several subprotocols of the PPP can be used. These protocols include the Link Control Protcol (LCP), the Challenge Authentication Protocol (CHAP), and the IP Control Protocol (IPCP). Other protocols, such as 802.1X, can also be used. The packets or messages in each log are grouped for information purposes, with marks on the left side of the chart running in a downward direction.
In
einem spezifischen Ausführungsbeispiel
verwendet der MLC in der UE 520 PPP zum Verhandeln des
LCP-Konfigurationsoptionstyps 0x20 wobei die Länge 18 die internationale Mobilteilnehmeridentifizierung (International
Mobile Subscriber Identifier (IMSI)) enthält und den LCP-Konfigurationsoptionstyp
0x21 mit einer Länge
von 18 Byte für
den Nonce, eine Pseudo-Zufallszahl mit einer Länge von 16 Byte, die sich in
jedem Augenblick so unvorhersehbar wie möglich ändert, durch Senden des PPP-LCP-Konfigurationsoptionspakets 501 zu
dem RLM 521.In a specific embodiment, the MLC uses in the UE 520 PPP for negotiating the LCP configuration option type 0x20, where length 18 includes the International Mobile Subscriber Identifier (IMSI) and the LCP configuration option type 0x21 having a length of 18 bytes for the nonce, a pseudorandom number having a length of 16 Byte that changes as unpredictably as possible at any moment by sending the PPP LCP configuration option packet 501 to the RLM 521 ,
Ein
weiteres Verfahren zum Bereitstellen dieser Information liegt in
der Verwendung Händler-spezifischer
LCP-Konfigurationsverfahren und -felder. Der RLM 521 empfängt die
LCP-Optionen und erinnert sich an den Nonce (eine für die Aufforderung
(Challenge) verwendete Zufallszahl) zur späteren Verwendung. Er leitet dann
die IMSI an den RAC 522 in dem Ankopplungsanforderungspaket 502 des
RAC-to-RLM-(RR)-Protokolls weiter, wie in der Tabelle 2 beschrieben
ist.Another method of providing this information is to use merchant-specific LCP configuration methods and fields. The RLM 521 receives the LCP options and remembers the nonce (a random number used for the challenge) for later use. He then leads the IMSI to the RAC 522 in the dock request packet 502 of the RAC-to-RLM (RR) protocol as described in Table 2.
Das
RR-Protokoll gemäß 6 und
Tabelle 1 weist in einem spezifischen Ausführungsbeispiel eine 8-Bit-Versionsnummer
auf, gefolgt von einer 8-Bit-Nachrichtennummer,
gefolgt durch eine 16-Bit-Länge
in Byte der zu folgenden Nachrichtennutzlast, gefolgt von der 32-Bit-Identifizierung
der UE 520, wie sie durch den RLM 521 zugewiesen
wurde und die aus 20 Bit der individuellen Identifizierung des RLM 521 und
aus 12 Bit der durch den RLM 521 zugewiesenen individuellen
Identifizierung für
die UE 520 besteht, gefolgt von der Nachrichtennutzlast
selbst.The RR protocol according to 6 and Table 1 shows a specific embodiment 8-bit version number followed by an 8-bit message number, followed by a 16-bit length in bytes of the next message payload, followed by 32-bit identification of the UE 520 as by the RLM 521 has been assigned and made up of 20 bits of individual identification of the RLM 521 and 12 bits by the RLM 521 assigned individual identification for the UE 520 exists, followed by the message payload itself.
Tabelle
1 Table 1
Die
Nachrichtennummer in dem RR-Protokoll ist für jede der Nachrichten zwischen
dem RAC und dem RLM in Tabelle 1 aufgelistet. Die Nutzlasten des
Ankopplungsanforderungspakets 502 für das RR-Protokoll zwischen
dem RAC und RLM sind in Tabelle 2 beschrieben.The message number in the RR protocol is listed in Table 1 for each of the messages between the RAC and the RLM. The payloads of the dock request packet 502 for the RR protocol between the RAC and RLM are described in Table 2.
Tabelle
2 Table 2
In
einem erfindungsgemäßen Verfahren
leitet der RAC 522 die Ankopplungsanforderung an das HLR 523 weiter,
wobei alle Kommunikationen das MAP-Protokoll über ein SS7-Netz verwenden.
Das HLR 523 weist die Anforderung entweder mit einer Ankopplungszurückweisung 516a zurück, falls
der Kunde beispielsweise seine Rechnung nicht bezahlt hat oder der
Mobilfunkbetreiber des Kunden kein Roaming-Abkommen mit dem Netzbetreiber
abgeschlossen hat; oder fordert die SIM-Karte auf, sich durch Senden
eines Authentisierungsanforderungspakets 516 zu authentisieren,
das den Kc, einen durch geheime lediglich dem HLR und der SIM-Karte
bekannte Geheimparameter erzeugter Schlüssel unter Verwendung des A8-Typ-GSM-Authentisierungsprotokolls
und einer oder mehrerer RANDs, einer Zufallszahl aus 64 Bits, und
die signierte Antwort (SRES) enthält, die unter Verwendung des
A5-Typ-Authentisierungsprotokolls authentisiert werden kann, wodurch
nachgewiesen wird, dass das HLR das mit der SIM-Karte geteilte Geheimnis kennt und zur
Bereitstellung einer Authentisierung der SIM-Karte gegenüber dem
Netz des Betreibers verwendet wird. Der RAC 521 leitet
die Information in dem Authentisierungsanforderungspaket 516 weiter
unter Verwendung des Authentisierungsanforderungspakets 503 des
RR-Protokolls zwischen dem RAC und dem RLM mit der in Tabelle 3
beschriebenen Nutzlast, typischerweise über das Internetprotokoll.In a process according to the invention, the RAC initiates 522 the docking request to the HLR 523 and all communications use the MAP protocol over an SS7 network. The HLR 523 indicates the request with either a docking rejection 516a for example, if the customer has not paid his bill or the customer's mobile operator has not signed a roaming agreement with the network operator; or request the SIM card to contact itself by sending an authentication request packet 516 authenticating the Kc, a key generated by secret secret parameters known only to the HLR and the SIM card, using the A8-type GSM authentication protocol and one or more RANDs, a 64-bit random number, and the signed response (SRES ), which can be authenticated using the A5-type authentication protocol, thereby proving that the HLR knows the secret shared with the SIM card and is used to provide authentication of the SIM card to the operator's network. The RAC 521 routes the information in the authentication request packet 516 further using the authentication request packet 503 the RR protocol between the RAC and the RLM with the payload described in Table 3, typically via the Internet Protocol.
Tabelle
3 Table 3
Als
Alternative leitet der RAC 521 die Information in dem Ankopplungszurückweisungspaket 516a unter
Verwendung des Authentisierungszurückweisungspakets 503a des
RR-Protokolls weiter, wie es in den Tablellen 4 und 5 beschrieben
ist, typischerweise über
das Internetzprotokoll zu dem RLM 521.As an alternative, the RAC heads 521 the information in the docking rejection packet 516a using the authentication rejection packet 503a of the RR protocol, as described in Tables 4 and 5, typically over the Internet Protocol to the RLM 521 ,
Tabelle
4 Table 4
Tabelle
5 Table 5
Tabelle
5 zeigt Gründe
für die
Zurückweisung
der Ankopplungsanforderung und einen in das Zurückweisungscodefeld (Reject
Code) des Anforderungszurückweisungspakets
zu platzierenden Feldwert. Falls der RLM die Authentisierungsanforderung 503 empfängt, leitet
er die PPP-LCP-Annahmenachricht 504 an die UE 520 weiter,
die dem PPP-Client erlaubt, seinen Zustandsautomat fortzuführen und
auf Authentisierungsanforderungen zu antworten. Falls der RLM 521 die
Authentisierungszurückweisungsnachricht 503a empfängt, leitet
er die PPP-LCP-Zurückweisungsnachricht 504a an
die UE 520 weiter, die dann die PPP-Verhandlung beendet.Table 5 shows reasons for the rejection of the dock request and a field value to be placed in the rejection packet of the request reject packet. If the RLM is the authentication request 503 receives, it passes the PPP LCP acceptance message 504 to the UE 520 which allows the PPP client to continue its state machine and respond to authentication requests. If the RLM 521 the authentication reject message 503a receives, it forwards the PPP LCP rejection message 504a to the UE 520 which then ends the PPP negotiation.
Nach
dem Senden der PPP-LCP-Annahmenachricht 504 an die UE 520,
initiiert der PPP-Zustandsautomat an dem RLM 521 eine CHAP-Sitzung
(CHAP Session) durch Senden eines Aufforderungspakets 505 in dem
bevorzugten Ausführungsbeispiel
unter Verwendung der LCP-Konfigurationsoption des Typs 3, Authentisierungsprotokollwert
0xc223 für
CHAP. Für
das Algorithmusfeld verwenden wir den Wert 0x88 für SIM-basierte
Authentisierung zum Zuweisen unseres unten beschriebenen Algorithmus.
Während
das CHAP-Austausch bestehen die in dem Paket 505 von dem
RLM 521 zu der UE 520 gesendeten Aufforderungsfelddaten aus
zwei 16-Byte-Zufallszahlen und dem MAC RAND, wobei es sich um eine
signierte Version der beiden Zufallszahlen in Kombination mit dem
Nonce, den beiden Kcs, der IMSI, und den beiden SRESs unter Verwendung
des shah-1-Algorithmus, einem Hash-Algorithmus, handelt. Andere
Hash-Algorithmen
wie beispielsweise MD-5 können
ebenfalls verwendet werden. Ein Kc kann durch den MLC in der UE 520 aus
jeder in der Nachricht 503 zu dem RLM 521 und
zu der UE 520 in der CHAP-Aufforderungsnachricht 505 weitergeleiteten
RAND erzeugt werden, durch Senden einer jeden RAND zu der SIM-Karte 417 und
gewinnen eines Kc als die durch den GSM-Algorithmus A8 erzeugte
Antwort. Unter Verwendung dieser erzeugten Schlüssel, Kc, kann die UE 520 verifizieren,
dass die Information in der Nachricht 505 korrekt signiert
war; falls dies erfolgreich ist, weist dies der UE 520 nach,
dass der RLM 521 mit dem HLR 523 sprechen konnte
und den Kc kannte, wodurch authentisiert wird, dass der RLM 521 eine
berechtigte Interworking-Box für
den Betreiber des Kunden ist. Der MLC in der UE 520 antwortet
mit der CHAP-Antwortnachricht 506, die die MRC SRES enthält, bei
der es sich handelt um die signierte Version der beiden SRESs, der
beiden Kcs, des Nonce und der in der Nachricht 503 zu dem
RLM 521 unter Verwendung des shah-1-Algorithmus gesendeten
IMSI. Die UE 520 erzeugt jede SRES aus der ihr in der Nachricht 505 gesendeten
RAND, die weitergeleitet wurde aus dem Wert in dem RAND-Feld des
Authentisierungsanforderungspakets 503 zum gleichen Zeitpunkt,
indem es die Kcs von der SIM-Karte 417 erzeugt hat. Wenn
der RLM 521 die MAC SRES empfängt, so verifiziert er, dass
die MAC SRES durch die UE 520 korrekt signiert war, wodurch
verifiziert wird, dass die UE 520 die korrekte SIM-Karte 417 besitzt,
so dass die UE 520 des Kunden gegenüber dem RLM 521 authentisiert
wird oder nachgewiesen wird, dass die UE 502 sich nicht
authentisieren konnte durch Erkennen dass die MAC SRES nicht korrekt
signiert war. Der RLM 521 leitet dann diese Authentisierungstatsache
mit einem Authentisierungsantwortpaket 507 an den RAC 522 weiter,
dessen Nutzlast in Tabelle 6 gezeigt ist.After sending the PPP LCP acceptance message 504 to the UE 520 , initiates the PPP state machine on the RLM 521 a CHAP session by sending a prompt packet 505 in the preferred embodiment using the LCP configuration option of type 3, authentication protocol value 0xc223 for CHAP. For the Algorithm field, we use the value 0x88 for SIM-based authentication to assign our algorithm described below. While the CHAP exchange exist in the package 505 from the RLM 521 to the UE 520 sent request field data from two 16-byte random numbers and the MAC RAND, which is a signed version of the two random numbers in combination with the Nonce, the two Kcs, the IMSI, and the two SRESs using the shah-1 algorithm, a hashing algorithm. Other hash algorithms such as se MD-5 can also be used. A Kc can through the MLC in the UE 520 from everyone in the message 503 to the RLM 521 and to the UE 520 in the CHAP prompt message 505 forwarded RAND by sending each RAND to the SIM card 417 and gain a Kc as the response generated by the GSM algorithm A8. Using these generated keys, Kc, the UE 520 verify that the information in the message 505 was correctly signed; if this is successful, this indicates the UE 520 after that the RLM 521 with the HLR 523 could speak and knew the Kc, which authentifies that the RLM 521 is a legitimate interworking box for the customer's operator. The MLC in the UE 520 responds with the CHAP response message 506 containing the MRC SRES, which is the signed version of the two SRESs, the two Kcs, the Nonce, and the one in the message 503 to the RLM 521 IMSI sent using the shah-1 algorithm. The UE 520 generates each SRES from yours in the message 505 sent RAND which has been forwarded from the value in the RAND field of the authentication request packet 503 at the same time, putting the Kcs from the SIM card 417 has generated. If the RLM 521 the MAC SRES receives, it verifies that the MAC SRES through the UE 520 was correctly signed, which verifies that the UE 520 the correct SIM card 417 owns, so the UE 520 the customer to the RLM 521 is authenticated or proven to be the UE 502 could not authenticate itself by recognizing that the MAC SRES was not properly signed. The RLM 521 then forwards this authentication fact with an authentication response packet 507 to the RAC 522 whose payload is shown in Table 6.
Tabelle
6 Table 6
Der
RAC 522 antwortet dann dem RLM 521 mit einer Ankopplungsannahmenachricht 508,
mit der angezeigt wird, dass er die Authentisierungstatsache ver standen
hat. Angenommen die Authentisierung war erfolgreich, so sendet der
RLM 521 eine PDP-Kontextaktivierungsnachricht 509 an
den GGSN 524 über
das GTP-Steuerprotokoll, um den GGSN darüber zu informieren, dass ein
GTP-Tunnel für die UE 520 eingerichtet werden
sollte, damit die UE 520 an das Paketdatennetz ankoppeln
kann. Der RLM 521 sendet dann eine CHAP-Erfolgsnachricht 510 an die
UE 520, um zu verifizieren, dass die Authentisierung korrekt
erfolgte, oder eine CHAP-Fehlschlagmeldung 510a, falls
die Authentisierung nicht erfolgreich war. Der RLM 521 sendet
dann eine Ankopplungsbeendigungsnachricht 511 an den RAC 522,
sodass er seinen Zustandsautomat beenden kann und die in Zukunft
für die
Umbuchung (Handover) zu verwendenden Parameter der Ankopplung der
UE 520 speichern kann. Wenn der GGSN 524 die Aktivierung
des GTP-Tunnels beendet hat, so sendet er eine PDP-Kontextantwortnachricht 512 an
den RLM 521, der dann die IP-Zuweisungsinformation in der Nachricht 513 zu
der UE 520 sendet, inklusive der für das Senden von IP-Paketen
an das PDN 306 durch die UE 520 erforderlichen
Information. Der RLM 521 leitet eine Mitteilung über die
erfolgreiche Einrichtung des GTP-Tunnels an der RAC 522 weiter,
um dem RAC 522 die Aktualisierung dessen Zustandsautomats
und die Speicherung der in Zukunft für Umbuchungen zu verwendenden
Parameter des Tunnels der UE 520 zu ermöglichen.The RAC 522 then answer the RLM 521 with a dock accept message 508 , which indicates that he has understood the authentication fact. Assuming the authentication was successful, the RLM sends 521 a PDP context activation message 509 to the GGSN 524 via the GTP control protocol to inform the GGSN that a GTP tunnel for the UE 520 should be established so that the UE 520 can connect to the packet data network. The RLM 521 then sends a CHAP success message 510 to the UE 520 to verify that the authentication was correct or a CHAP failure message 510a if the authentication was unsuccessful. The RLM 521 then sends a docking completion message 511 to the RAC 522 so that he can terminate his state machine and the parameters of the coupling of the UE to be used in the future for the handover 520 can save. If the GGSN 524 has completed the activation of the GTP tunnel, it sends a PDP context response message 512 to the RLM 521 which then returns the IP allocation information in the message 513 to the UE 520 including sending IP packets to the PDN 306 through the UE 520 required information. The RLM 521 forwards a communication on the successful establishment of the GTP tunnel at the RAC 522 continue to the RAC 522 the updating of its state machine and the storage of the parameters of the tunnel of the UE to be used in the future for reposting 520 to enable.
Tabelle
7 beschreibt die Nutzlast des Ankopplungsannahmepakets.table
7 describes the payload of the dock accepting packet.
Tabelle
7 Table 7
Tabelle
8 zeigt eine Nutzlastbeschreibung des Ankopplungsbeendigungspakets 511.Table 8 shows a payload description of the docking termination packet 511 ,
Tabelle
8 Table 8
Die
UE 520 wurde durch diese Prozedur erfolgreich durch das
GSM/GPRS-Kernnetz
authentisiert und besitzt ein für
sie eingerichtetes Paar von Tunneln, wobei der erste unter Verwendung
von PPPOE zwischen dem MLC und der UE 520 und dem RLM 521 veräuft; der
zweite unter Verwendung von GTP zwischen dem RLM 521 und
dem GGSN 524 verläuft.
Der PPPOE-Tunnel verwendet eine vorgegebene Verschlüsselung
basierend auf AES mit den individuellen gemeinsamen Schlüsseln basierend
auf Kc, dem Augenblick, und der IMSI, wodurch garantiert ist, das
durch die UE 520 gesendete Pakete nicht von einem Dritten
eines beliebigen Netzes vorgetäuscht
werden können
und dass die Pakete persönlich
sind und nicht durch Dritte auf dem Pfad von der UE 520 zu
dem RLM 521 ausspioniert werden können. Der RLM 521 entnimmt
die von der UE 520 auf dem PPPOE-Tunnel empfangenen IP-Pakete,
die erfolgreich dekodiert wurden, und platziert sie in den GTP-Tunnel
zu dem GGSN 524. Der GGSN 524 entnimmt diese Pakete
und sendet sie zu dem PDN 306. An die UE 520 adressierte
Datenpakete werden durch den GGSN 524 empfangen, der zur
Verbindung mit dem Paketdatennetz des Internets einen öffentlichen
Leitweg zu der der UE 520 zugewiesenen IP-Adresse ankündigt. Der
GGSN 524 platziert diese Pakete in den GTP-Tunnel und sendet
sie zu dem RLM 521. Der RLM 521 entnimmt diese
Pakete, verschlüsselt
sie und leitet sie über
den PPPOE-Tunnel an die UE 520 weiter. Der MLC in der UE 520 entnimmt
die empfangenen Pakete über
den PPPOE-Tunnel und reicht sie nach deren erfolgreicher Entschlüsselung
auf den Stapel zu anderen Prozessen in der UE 520 weiter,
wodurch eine Paketdatennetzverbindung, typischerweise eine Internetverbindung,
zu der UE 520 bereitgestellt wird. Auf diese Weise wird
durch das bevorzugte Ausführungsbeispiel
der Erfindung ein sicherer und authentisierter Zugriff zu Paketdatennetzen über ein
unmodifiziertes GSM/GPRS-Kernnetz eines Betreibers für eine UE 520 bereitgestellt, die
lediglich ein WLAN-Funkgerät 416 und
einen SIM-Kartenleser 416 und eine SIM-Karte 417 aufweist.The UE 520 has been successfully authenticated by the GSM / GPRS core network by this procedure and has a pair of tunnels set up for it, the first using PPPOE between the MLC and the UE 520 and the RLM 521 veräuft; the second using GTP between the RLM 521 and the GGSN 524 runs. The PPPOE tunnel uses a default encryption based on AES with the individual common keys based on Kc, the instant, and the IMSI, which is guaranteed by the UE 520 sent packets can not be faked by a third party of any network and that the packets are personal and not by third parties on the path from the UE 520 to the RLM 521 can be spied on. The RLM 521 withdraws from the UE 520 IP packets received on the PPPOE tunnel that have been successfully decoded and placed in the GTP tunnel to the GGSN 524 , The GGSN 524 takes these packets and sends them to the PDN 306 , To the UE 520 addressed data packets are sent by the GGSN 524 receive a public route to the UE for connection to the packet data network of the Internet 520 assigned IP address. The GGSN 524 Place these packets in the GTP tunnel and send them to the RLM 521 , The RLM 521 takes these packets, encrypts them and forwards them to the UE via the PPPOE tunnel 520 further. The MLC in the UE 520 extracts the received packets via the PPPOE tunnel and passes them, after their successful decryption on the stack, to other processes in the UE 520 whereby a packet data network connection, typically an internet connection, to the UE 520 provided. In this way, the preferred embodiment of the invention provides secure and authenticated access to packet data networks over an unmodified GSM / GPRS core network of an operator for a UE 520 provided only a wireless LAN radio 416 and a SIM card reader 416 and a SIM card 417 having.
Die
Erfindung wurde unter Bezugnahme auf spezifische Ausführungsbeispiele
erläutert.
Andere Ausführungsbeispiele
sind für
den Fachmach ersichtlich. Die Erfindung soll daher nicht beschränkt sein,
mit Ausnahme der Angaben in den beigefügten Patentansprüchen.The
The invention has been described with reference to specific embodiments
explained.
Other embodiments
are for
the Fachmach apparent. The invention should therefore not be limited
except as indicated in the appended claims.