[发明专利]用于在通信网络、对应网络和计算机程序产品中管理移动终端的鉴权的方法和系统

说明书

技术领域

本发明涉及用于实现在电信网络中鉴权移动终端的通信管理的技术。

由于对本发明在无线局域网、城域网或地理网中可能应用的特别关注，本发明已得到发展。

如本文所述，“鉴权”是指通常指定这样的过程，其使得给定终端得以识别(优选的是以安全方式)，并能够通过给定通信网络通信(同样优选的是以安全方式)。这样，所述指定扩展到那些允许交换“保密密钥”(例如加密密钥)，以建立从和/或到通信网络中终端的安全通信的技术。

背景技术

文献WO-A-03/100348说明了一种通过测量移动终端之间的距离来提供通信中的附加安全层，从而提高通信网络中的安全性的方法。在此方法中，两个终端之间的距离测量被用于确定属于所述网络的两个终端之间是否能够通信。所述距离测量是通过三角测量多个终端之间的距离，或使用已知TDOA(到达时间差)技术得到执行的。

文献WO-A-01/93434说明了一种方法，其中为了计算移动终端与属于网络的远程终端之间的距离，需要使用UWB(超宽带)发射机和接收机。可以根据所述远程设备与本地设备之间的距离，启动或禁止本地设备与所述远程设备之间的通信。同样，在文献US-A-2004/121 787所示的方法中，通过将已知TDOA(到达时间差)技术用于所述移动终端自身所传送的信号，确定所述移动终端被设置在WLAN(无线局域网)中的位置。

此外，文献US-A-2003/217 122示出了一种用于基于终端的位置，管理无线/有线网络的安全性的方法。在无线网络情况下，所述终端的位置可由终端自身提供，例如经由集成在其中的GPS设备，否则可通过网络从接入点对于终端所传送信号的功率或延迟测量(例如，使用三角技术)中得到。所述定位信息用于允许或拒绝对网络的完全或部分接入，以及对其可得到信息的完全或部分接入。

在文献US-A-2004/028 017、US-A-2004/059 914和US-A-2004/190 718中描述了实现相同目标的其他方法和系统。

就所述位置和距离用于允许或禁止所述通信而言，除了通常所使用的方法之外(例如基于用户名称和密码的方法)，所有上述系统都将距离或位置计算用作适当的鉴权方法。

在文献US-A-2003/140 246所示的另一方法中，所述终端的位置被用于判定将用于所述终端与网络之间的通信的安全级别。具体而言，在所述文献中，设想两个不同实施例，在第一实施例中，所述安全级别由设置在所述网络中的计算系统管理，所述计算系统从专门设置的位置传感系统接收所述终端的位置，在第二实施例中，所述安全级别完全由移动终端自身管理。仅根据对于第一实施例的具体分析，其包括了所述位置传感系统集成在所述用户终端中的场景。

所分析的场景设想所述位置传感系统例如是GPS接收机，或作为选择，所述终端具有用于计算其自己位置的算法(例如，基于其自身的测量)。在两种情况下，所述终端将其自己的位置经由通信系统传送到所述计算系统。

在这种情况下，创建与用于服务的系统并行的第二通信系统变得必要，或者，作为选择，使用相同的通信系统，以及用于服务的相同通信协议变得必要(例如通过将定位信息封装在TCP/IP分组中)。

两种布置都呈现出明显的缺点：第一个选择(并行通信系统)引起成本的显著增加，因为其需要提供仅用于传递定位信息的第二网络，而第二选择(将定位信息封装在TCP/IP分组中)危害了网络的安全性，因为诸如接入点、交换机和路由器的中间设备无法鉴权其接收并相应转发的分组的有效内容(对于这些设备而言，重要的是所述分组应当为以太网型、IP型等)。

在第二种情况下，未被授权接入给定区域的用户甚至可通过诉诸于持续发送ICMP/IP控制分组(例如所谓“乒乓效应”)执行对于网络的攻击，所述控制分组使用与用于所述用户数据和位置数据的通信协议相同的通信协议(IP协议)。

同样的问题也存在于另一种可能的场景，其中定位是由位置传感系统借助终端所做测量来执行的，所述测量由所述终端自身转移给所述位置传感系统。

发明内容

从以上对于现有情况的描述可见，产生了定义一种技术方案的需要，即所述技术方案与根据上述现有技术的方案相比，能够以更为满意的方式处理在电信网络中移动终端的鉴权。具体而言，即使或多或少地仔细考虑过能够完全或部分地实现在其位置处的终端鉴权的这些技术，然而问题仍然存在，即如何以简单而有效的方式使尚未被鉴权的终端能够向所述网络发送将被用于鉴权的定位信息。