-
Technisches Gebiet
-
Die
vorliegende Erfindung betrifft im Allgemeinen ein Verfahren und
Gerät zum
Schalten eines Zugangs für
ein Mobilendgerät
zwischen sich überlappenden
Mobilnetzwerken. Insbesondere wird das Übergabeverfahren zwischen Mobilnetzwerken
erleichtert.
-
Hintergrund
-
Mobilzugangsnetzwerke
sind oft als zellulare Netzwerke gestaltet, die eine Vielzahl von
Basisstationen einschließen,
die miteinander mittels von schaltenden Knoten verbunden sind, wie
zum Beispiel Basisstations-Steuergeräten (BSCs – Basis Station Controllers)
und/oder Mobilschaltzentren (MSCs – Mobil Station Controllers).
Jede Basisstation stellt eine Funkabdeckung über einen Bereich, der als
Zelle bekannt ist, zur Kommunikation über Funkkanäle mit Mobilendgeräten bereit,
die in der Zelle lokalisiert sind. Wenn ein kommunizierendes Mobilendgerät sich über eine
Zellengrenze bewegt, schaltet seine Funkverbindung zwischen den
entsprechenden Basisstationen mittels eines „Übergabe-" oder „Umschalt-Verfahrens" um. Jedem Mobilnetzwerkbetreiber wird
ein bestimmtes, begrenztes Funkfrequenzspektrum für Übertragungen
zugewiesen und es werden Anstrengungen von Netzwerkgestaltern unternommen,
eine hohe Verkehrskapazität
innerhalb des zugewiesenen Spektrums bereitzustellen.
-
Wenn
eine Funkverbindung mit Mobilendgeräten aufgebaut wird, werden
standardisierte Kommunikationsprotokolle und Funkkanäle, wie
zum Beispiel jene, die für
GSM, TDMA, PDC, UMTS, usw. definiert sind, zur Übertragung von Sprache und/oder Daten über die
Luftschnittstelle sowie innerhalb des Netzwerkes verwendet, die
eine bestimmte Datenrate bereitstellen. Heutige, digitale Leitungsvermittelte Funkkanäle, z.B.
gemäß dem GSM-Standard,
sind primär
zur Kommunikation kodierter Sprache gestaltet, die Datenraten von
weniger als 10 kbit/s bereitstellen.
-
Existierende
GSM-Netzwerke werden gegenwärtig
mit Paketbasierter GPRS-(General Packet Radio Service – Allgemeinpaketfunkdienst)-Technologie
erweitert, die eine Paket-geschaltete Funkkommunikation mit verbesserten
Datenraten, die zwischen 10 und 120 kbit/s liegen, für Mobilendgeräte mit GPRS-Fähigkeiten
bereitstellt. Weitere schaltende Knoten, wie zum Beispiel Schnittstellen-GPRS-Dienstknoten (GGSNs – Gateway
GPRS Service Nodes) und bedienende GPRS-Dienstknoten (SGSNs – Serving
GPRS Service Nodes) sind in GPRS-Netzwerken eingeschlossen. GSM/GPRS-Netzwerke und andere
zellulare Netzwerke stellen typischerweise eine Funkabdeckung über große Bereiche
bereit, die oft mehr oder weniger ganze Länder abdecken.
-
Gegenwärtig entstehen
verbesserte drahtlose Zugangstechnologien mit weit größeren Datenraten,
wie zum Beispiel WLAN (Wireless Local Area Network – Drahtloses,
lokales Bereichsnetzwerk), die viel kleinere Bereiche abdecken und
eine so genannte „Punktabdeckung" über Entfernungen um 100 m herum
bereitstellen. WLAN steht für
eine Vielzahl von drahtlosen Hochgeschwindigkeitstechnologien, z.B. ein
Verwenden von Frequenzspringen und Spreizspektrum-Funktechnologien,
die hier nicht weiter erläutert
werden, für
Paket-basierte Funkkommunikation mit Datenraten, die zwischen annähernd 2
bis 54 Mbit/s liegen. Funkkanäle
werden in frei verfügbaren Frequenzbändern verwendet,
wie zum Beispiel 2,4 GHz und darüber
hinaus, die keine Betreiberlizenz erfordern.
-
Ein
WLAN kann eine oder mehrere Funkstationen als Zugangspunkte verwenden,
mit denen Mobilendgeräte
mit WLAN-Fähigkeiten über vor
definierte Funkkanäle
verbunden werden können.
Eine WLAN-Funkstation kann direkt mit einer Erweiterung eines festen
LAN (Local Area Network – Lokales Bereichsnetzwerk)
verbunden sein, das wiederum durch unterschiedliche Gateways und/oder
Router einen Zugang zu dem globalen Internet oder einem Unternehmens-Intranet
bereitstellten kann. Im Falle des Internets wird normalerweise ein
Dienst von einem öffentlichen
Telekommunikationsbetreiber verwendet.
-
Ein
WLAN stellt typischerweise eine begrenzte Punktabdeckung bereit,
die geografisch mit den größeren Abdeckungen
von zellularen Netzwerken überlappt,
wie zum Beispiel GSM/GPRS-Netzwerken.
Die zellularen Netzwerke können
oft eine Konnektivität
in Stadtgebieten sowie in ländlichen Gebieten
bereitstellen, wohingegen WLAN Hochgeschwindigkeitsverbindungen
in kleinen Hot-Spot-Bereichen
anbieten kann. WLAN für
einen öffentlichen Zugang
wird gegenwärtig
hauptsächlich
in Flughäfen,
Hotels und Tagungsorten verwendet, was einen schnellen Internetzugang
und andere Datendienste für
die Besucher bereitstellt.
-
Heutzutage
ist eine Arbeit zum Entwickeln einer Vielzahl neuer Mobildienste
im Fortschritt, für
die es möglich
ist, verwendet zu werden, insbesondere wenn neue Technologien mit
größerer Kapazität und höhere Datenraten
eingeführt
werden. Die Inhalte der neuen Dienste umfassen Sprache, Text, Bilder, Audio-Dateien
und Video-Dateien in vielen unterschiedlichen Formaten und Kombinationen.
Das Internet-Browsen ist ebenso sehr populär geworden und in den vergangenen
Jahren konvergieren die drahtlosen und Internet-Domänen.
-
Fortschrittlichere
Mobilendgeräte
sind ebenso auf dem Markt verfügbar,
die mit einer Funktionalität
bereitgestellt sind, die mit den neuen Diensten übereinstimmt. Darüber hinaus
ist es möglich,
unterschiedliche Mobilendgeräte
zu kombinieren. Zum Beispiel kann ein tragbarer Laptop-Computer
mit einem Mobiltelefon mittels eines Kabels oder einer drahtlosen
Schnittstelle verbunden werden, wie zum Beispiel einer Bluetooth-Funkschnittstelle.
Das Mobiltelefon kann dann als eine Funkeinheit verwendet werden,
die einen Zugang über
ein zellulares Netzwerk bereitstellt, wie zum Beispiel ein GSM/GPRS-Netzwerk
und das Laptop wird als eine verbesserte Benutzerschnittstelle verwendet,
wohingegen das Mobiltelefon als ein „Modem" agiert. Laptop-Computer können ebenso
mit einem Funkgerät, z.B.
implementiert als eine PCCARD oder Ähnliches, für einen Funkzugang zu einem
WLAN bereitgestellt sein. Alternativ können mehrere Funkgeräte in ein einzelnes
Endgerät
z.B. einen Laptop-Computer, für eine
Funkkommunikation mit unterschiedlichen Netzwerken integriert sein,
wie zum Beispiel ein WLAN und ein GSM/GPRS-Netzwerk.
-
Für Benutzer
mit einer Mobilendgerätausrüstung, die
in der Lage einer Funkkommunikation über Mehrfachzugangsnetzwerke
ist, entweder als ein einzelnes, integriertes Gerät oder als
mehrere, verbundene Geräte,
ist es wünschenswert,
dass das Mobilendgerät
automatisch mit dem Zugangsnetzwerk verbunden wird, das die höchsten Datenraten
bereitstellt, falls gegenwärtig
mehr als ein Netzwerk verfügbar
ist. Der Benutzer profitiert dann von den best-verfügbaren Kommunikationsmöglichkeiten
an jedem gegebenen Ort. Zum Beispiel will ein Benutzer mit einem
Laptop mit WLAN-Fähigkeiten,
der mit einem Mobiltelefon mit GSM/GPRS-Fähigkeiten
verbunden ist, einen Zugang zu einem WLAN umschalten, statt mit
dem begrenzteren GSM/GPRS-Netzwerk verbunden zu werden.
-
In
der eigenen PCT-Anmeldung des Anmelders
WO 01/35585 ist ein Mechanismus zum
Auswählen
der „besten" und optimalen Netzwerkverbindung
beschrieben, wenn mehr als ein Netzwerk für ein oder mehrere Endgeräte verfügbar ist.
Die Auswahl wird bezüglich
Faktoren durchgeführt,
wie zum Beispiel einer verfügbaren
Bandbreite, einer Abrechnungsrate, einer Qualität, individuellen Vorzügen usw..
-
Ein
Zugangsschalter zwischen zwei Netzwerken erfordert, dass eine neue
Funkverbindung mit dem neuen Netzwerk aufgebaut wird, die die Erzeugung
eines neuen Kommunikationssitzungskontextes umfasst. Die vorliegende
Erfindung bezweckt ein Erleichtern des Schaltens von Zugang zwischen unterschiedlichen
Netzwerken mit gewährleisteter
Sicherheit.
-
Ein
Erzeugen eines Kommunikationssitzungskontextes umfasst ein Durchführen gewisser vordefinierter
Verfahren zur Authentifizierung, Autorisierung und Abrechnung, die
manchmal kurz als AAA bezeichnet werden. Zellulare Netzwerke verwenden AAA-Routinen
gemäß ihren
standardisierten Kommunikationsprotokollen, die als einen ziemlich
hohen Sicherheitslevel aufweisend betrachtet werden. Zum Beispiel
kann jedes Mobiltelefon mit einem geheimen Identitätscode oder Ähnlichem
bereitgestellt werden, der in dem Netzwerk bekannt ist und zur Authentifizierung
und/oder zum Erzeugen von Verschlüsselungsschlüsseln verwendet
wird. Der Identitätscode kann
in einer Smart-Card gespeichert sein, wie zum Beispiel einer SIM-(Subscriber
Identity Modul – Teilnehmeridentitätsmodul)-Karte,
wie bei GSM verwendet, die zwischen unterschiedlichen Endgeräten beweglich
ist.
-
Eine
WLAN-Verbindung kann mittels eines Zertifikats gesichert werden,
das in dem Endgerät
gespeichert ist, das als vertrauenswürdig betrachtet wird und verwendet
wird, um die Identität
des Benutzers oder Teilnehmers zu verifizieren. Das Zertifikat kann
ebenso zum Erzeugen unterschiedlicher Verschlüsselungsschlüssel und/oder
Sitzungsschlüssel verwendet
werden, um das Endgerät
zu authentifizieren und eine andauernde Sitzung gemäß wohlbekannter
Techniken zu schützen,
die hier nicht weiter erläutert
werden. Das Zertifikat kann von einer Zertifizierungsbehörde ausgegeben
werden und kann einen oder mehrere Geheim-Codes umfassen. Jedoch sind
derartige Geheim-Codes, Zertifikate und Verschlüsselungsschlüssel schwerfällig zu
administrieren und zu verteilen, insbesondere für Teilnehmer der allgemeinen Öffentlichkeit.
-
Zusätzlich zum
Verwenden gespeicherter Codes und Zertifikaten in dem Endgerät erfordern
einige Dienste, z.B. Internet-Dienste,
ein Login-Verfahren, das ein geteiltes Geheimnis umfasst, normalerweise
eine Benutzer-ID/Passwort-Kombination.
-
In
den vorliegenden Lösungen
ist, wenn ein Mobilendgerät
mit mehreren Fähigkeiten
von einem ersten Netzwerk zu einem zweiten Netzwerk umschaltet,
es ein Problem, dass der Sitzungskontext der ersten Verbindung verloren
wird und ein neuer Sitzungskontext mit dem zweiten Netzwerk hergestellt
werden muss, was unter Anderem ein neues Authentifizierungsverfahren
umfasst. Dies ist der Fall, wenn zum Beispiel zwischen einem GSM/GPRS-Netzwerk
und einem WLAN in einer Richtung von beiden umgeschaltet wird. Der
neue Sitzungskontext kann weiter unterschiedliche Benutzerschnittstellenmerkmale,
verfügbare
Dienste und Abrechnungsraten bestimmen, als von dem zweiten Netzwerk
vorgeschrieben.
-
Ein
Aufbauen eines Sitzungskontextes ist ein ziemlich komplexes Verfahren
und falls auf zwei unterschiedliche Netzwerke zugegriffen werden
soll, sind zwei getrennte Authentifizierungsmechanismen mit einem
bestimmten Sicherheitslevel erforderlich, von denen jedes die Verteilung
und das Speichern geheimer Codes und/oder Zertifikaten umfasst.
Weiter benötigen
beide Netzwerke einen oder mehrere Knoten mit geschützten Verbindungen
zum Durchführen
der Authentifizierungsroutinen.
-
Es
ist wünschenswert,
das Handhaben von geteilten Geheimnissen zwischen einem Teilnehmer und
Netzwerkbetreibern zu verringern, wobei zur gleichen Zeit eine Sicherheit
aufrechterhalten wird. Es ist ebenso wünschenswert, dass die Menge
an ausgetauschter Information und eine Verarbeitungsarbeit minimiert
werden, wenn zwischen Netzwerken geschaltet wird, zum Verringern
der Last auf den Übertragungsressourcen
und um Verzögerungen
zu verringern.
-
WO 01 581 77-A2 offenbart,
dass eine Mobilstation eine Verbindung zwischen unterschiedlichen Funkzugangsdomänen umschaltet,
die unterschiedliche Funktechnologien verwenden. Eine Übergabe wird
mittels zentraler Knoten ausgewählt
und überwacht,
die die Funkzugangsdomänen
steuern, die zu dem gleichen Mobilkommunikationsnetzwerk gehören. Außer einem
kurzen Erwähnen,
dass ein Sicherheitsagent verifiziert, dass eine Authentifizierung stattgefunden
hat, ist kein Authentifizierungsverfahren in diesem Dokument beschrieben.
-
WO 00/41427-A2 offenbart,
dass eine Mobileinheit eine Verbindung bei einer Übergabe
zwischen unterschiedlichen, stationären Einheiten umschaltet, die
die gleiche Funktechnologie verwenden und zu einer gemeinsamen administrativen
Netzwerkdomäne
gehören.
Zuvor aufgebaute Sicherheitsverknüpfungen werden bei der neuen
Verbindung wieder verwendet, um eine Neuaushandlung während der Übergabe
zu vermeiden. Spezifische, vorbestimmte Nachrichten müssen dann
zwischen den stationären
Einheiten innerhalb des gemeinsamen administrativen Netzwerkes hergestellt
und übertragen
werden.
-
Zusammenfassung
-
Das
Ziel dieser Erfindung ist es, die oben dargestellten Probleme zu
beseitigen. Dieses und andere Ziele werden durch Bereitstellen eines
Verfahrens und Gerätes
zum Umschalten von Zugang für
ein Mobilendgerät
zwischen Mobilnetzwerken gemäß den angehängten, unabhängigen Ansprüchen 1,
10 und 15 erhalten. Das Mobilendgerät umfasst ein erstes Funkgerät, das in
der Lage einer Kommunikation mit einem ersten Mobilnetzwerk ist
und ein zweites Funkgerät,
das in der Lage einer Kommunikation mit einem zweiten Mobilnetzwerk
ist, wobei das erste und zweite Funkgerät miteinander verbunden sind. Das
zweite Mobilnetzwerk weist eine Priorität über das erste Mobilnetzwerk
auf, zum Beispiel durch Anbieten einer höheren Übertragungsbitrate, einer höheren Qualität und/oder
von verbesserten Diensten.
-
Gemäß den erfindungsgemäßen Verfahren wird
eine Zugangsanfrage an das erste Mobilnetzwerk von dem Mobilendgerät durchgeführt, das
das erste Funkgerät
verwendet. Eine erste Verbindung wird zwischen dem ersten Funkgerät und dem
ersten Mobilnetzwerk autorisiert und hergestellt. Nutzlastdaten
können
dann über
die erste Verbindung mit der begrenzten Bitrate/Qualität/Diensten
wie von dem ersten Mobilnetzwerk angeboten kommuniziert werden.
Wenn es später
detektiert wird, dass das Mobilendgerät in einem Abdeckungsbereich
des zweiten Mobilnetzwerkes vorliegt, wird eine Authentifizierungsinformation
zwischen dem ersten Funkgerät und
einer Authentifizierungseinheit in dem ersten Mobilnetzwerk ausgetauscht.
Eine zweite Verbindung wird dann zwischen dem zweiten Funkgerät und dem
zweiten Mobilnetzwerk basierend auf der Autorisierung autorisiert
und hergestellt, die für
die erste Verbindung mit dem ersten Mobilnetzwerk durchgeführt ist,
wobei die ausgetauschte Authentifizierungsinformation von dem zweiten
Funkgerät
zum Zugreifen auf das zweite Mobilnetzwerk verwendet wird.
-
In
dieser Weise beruht eine Autorisierung der zweiten Verbindung auf
der Autorisierung, die für
die erste Verbindung durchgeführt
wird, wodurch im Wesentlichen ein Zugangsschalten von dem ersten
zu dem zweiten Netzwerk erleichtert wird. Der Sicherheitslevel des
ersten Netzwerkes wird ebenso aufrechterhalten und für das zweite
Mobilnetzwerk verwendet.
-
Die
ausgetauschte Authentifizierungsinformation kann Login-Information und einen
oder mehrere Verschlüsselungsschlüssel gemäß einer
vorbestimmten Authentifizierungsübereinkunft
zwischen dem ersten und zweiten Mobilnetzwerk umfassen.
-
Nutzlastdaten,
die zwischen dem zweiten Funkgerät
und dem zweiten Mobilnetzwerk in der zweiten Verbindung kommuniziert
werden, können dann
durch den einen oder mehrere ausgetauschte Verschlüsselungsschlüssel geschützt werden.
-
Die
vorliegende Erfindung umfasst weiter ein Mobilendgerät mit einem
ersten Funkgerät,
das in der Lage einer Kommunikation mit einem ersten Mobilnetzwerk
ist und ein zweites Funkgerät,
das in der Lage einer Kommunikation mit einem zweiten Netzwerk ist,
wobei die ersten und zweiten Funkgeräte miteinander verbunden sind
und das zweite Mobilnetzwerk eine Priorität über das erste Mobilnetzwerk aufweist.
Das erste Funkgerät
umfasst eine Vorrichtung zum Durchführen einer Zugangsanfrage an
das erste Mobilnetzwerk und Vorrichtungen zum Autorisieren und Herstellen
einer ersten Verbindung zwischen dem ersten Funkgerät und dem
ersten Mobilnetzwerk. Das erste Funkgerät umfasst weiter eine Vorrichtung
zum Austauschen von Authentifizierungsinformation mit einer Authentifizierungseinheit in
dem ersten Mobilnetzwerk in Reaktion auf die Detektion des Vorliegens
des Mobilendgerätes
in einem Abdeckungsbereich des zweiten Mobilnetzwerkes. Das zweite
Funkgerät
umfasst eine Vorrichtung zum Autorisieren und Herstellen einer zweiten
Verbindung mit dem zweiten Mobilnetzwerk durch Verwenden der Authentifizierungsinformation,
die zwischen dem ersten Funkgerät
und der Authentifizierungseinheit in dem ersten Mobilnetzwerk ausgetauscht
wird.
-
Die
vorliegende Erfindung umfasst weiter eine Authentifizierungseinheit
in einem ersten Mobilnetzwerk zum Authentifizieren eines Mobilendgerätes mit
einem ersten Funkgerät,
das in der Lage einer Kommunikation mit dem ersten Mobilnetzwerk
ist und ein zweites Funkgerät,
das in der Lage einer Kommunikation mit einem zweiten Mobilnetzwerk
ist, wobei die ersten und zweiten Funkgeräte miteinander verbunden sind
und das zweite Mobilnetzwerk eine Priorität über das erste Mobilnetzwerk
aufweist. Die Authentifizierungseinheit umfasst eine Vorrichtung
zum Autorisieren und Herstellen einer ersten Verbindung zwischen
dem ersten Funkgerät
und dem ersten Mobilnetzwerk in Reaktion auf eine Zugangsanfrage
von dem ersten Funkgerät.
Die Authentifizierungseinheit umfasst weiter eine Vorrichtung zum
Austauschen von Authentifizierungsinformation mit dem ersten Funkgerät in Reaktion
auf die Detektion des Vorliegens des Mobilendgerätes in einem Abdeckungsbereich
des zweiten Mobilnetzwerkes, wobei das zweite Funkgerät angeordnet
ist, nachfolgend die ausgetauschte Authentifizierungsinformation
zum Zugreifen auf das zweite Netzwerk zu verwenden.
-
Kurze Beschreibung der Zeichnungen
-
Die
vorliegende Erfindung wird nun in größerem Detail und unter Bezug
auf die begleitenden Zeichnungen beschrieben, in denen:
-
1 eine
schematische Ansicht eines Kommunikationsszenarios ist, in dem die
Erfindung implementiert sein kann.
-
2 ist
ein schematisches Signaldiagramm eines Verfahrens zum Umschalten
zwischen zwei Netzwerken.
-
Detaillierte Beschreibung
-
1 ist
eine schematische Ansicht eines beispielhaften Kommunikationsszenarios,
in dem die vorliegende Erfindung implementiert sein kann. 100 bezeichnet
eine Mobilendgerätausrüstung, mit
im Allgemeinen einem ersten Funkgerät 102 und einem zweiten
Funkgerät 104 zur
Kommunikation mit ersten beziehungsweise zweiten Mobilzugangsnetzwerken 106 und 107.
Mittels eines Beispiels kann das erste Funkgerät 102 ein Mobiltelefon
zur Funkkommunikation mit einem zellularen Netzwerk 106 sein
und das zweite Funkgerät 104 kann
ein Laptop-Computer sein, der mit einer PCCARD oder Ähnlichem
zur Funkkommunikation mit einem WLAN 108 ausgerüstet ist.
Das Mobiltelefon 102 und der Laptop 104 sind mittels
einer Kommunikationsverbindung miteinander verbunden, wie zum Beispiel
einem Kabel, einer Bluetooth-Schnittstelle oder einer Infrarotverbindung. Die
Funktionalität
sowohl des Mobiltelefons 102 als auch des Laptops 104 können daher
verwendet werden, ungeachtet dessen, welches Netzwerk verbunden
ist.
-
Es
sollte selbstverständlich
sein, dass das Mobilendgerät 100 in 1 lediglich
logisch als zwei Funkgeräte 102, 104 dargestellt
ist, sondern in vielen alternativen Weisen des Umfangs der vorliegenden Erfindung
gestaltet sein kann. Zum Beispiel kann das Mobilendgerät 100 stattdessen
eine integrierte Einheit sein, wie zum Beispiel ein einzelnes Laptop
mit einer PCCARD oder ein einzelnes Mobiltelefon, die beide in der
Lage einer Funkkommunikation mit beiden Netzwerken 106 und 108 sind.
-
Beide
Netzwerke 106, 108 werden weiter mit einem Rückgratnetzwerk 110 verbunden,
das das Internet sein kann, ein Intranet, ein festes öffentliches oder
privates Netzwerk oder irgendeine Kombination derartiger Netzwerk.
Ein Server 112 ist mit dem Rückgratnetzwerk 110 verbunden,
der in diesem Fall einen Dienst für das Mobilendgerät 100 bereitstellt.
-
Das
erste Netzwerk 106 deckt ein breites geografisches Gebiet
ab und das zweite Netzwerk 108 deckt einen begrenzten, überlappenden
Punktbereich ab und kann eine höhere
Datenübertragungsrate
als das erste Netzwerk 106 bereitstellen. Es wird daher
vorgezogen, dass das Mobilendgerät 100 mit dem
zweiten Netzwerk 108 verbunden wird, wenn dieses innerhalb
des Punktabdeckungsbereiches des zweiten Netzwerkes 108 ist.
Das zweite Netzwerk 108 kann ebenso eine höhere Qualität oder verbesserte
Dienste bereitstellen. Allgemein gesprochen, weist das zweite Netzwerk 108 eine
Priorität über das
erste Netzwerk 106 auf.
-
Das
erste Netzwerk 106 umfasst eine Authentifizierungseinheit 114,
die Zugriff auf unterschiedliche Authentifizierungsinformation aufweist, die
zum Authentifizieren des Mobilendgerätes 100 verwendet
wird. Die Authentifizierungsinformation wird in einer Datenbank
gespeichert, wie zum Beispiel einem HLR (Home Location Register – Heimatortregister),
nicht gezeigt, und kann Identitäts-Codes und/oder
Zertifikate einschließen,
die mit ähnlicher Information übereinstimmen,
die in dem Endgerät oder
in einer SIM-Karte oder Ähnlichem
gespeichert ist, die darin eingesetzt ist.
-
Ein
beispielhaftes Verfahren wird nun zum Zugreifen auf das erste Netzwerk 106 und
dann zum Umschalten eines Zugangs zu dem zweiten Netzwerk 108 mit
Bezug auf ein Signaldiagramm in 2 beschrieben.
Entsprechende Elemente sind mit den gleichen Bezugszeichen wie in 1 bezeichnet.
-
Zunächst führt das
Mobilendgerät 100 einen Zugang
zu dem ersten Netzwerk 106 unter Verwendung des ersten
Funkgerätes 102 in
einem ersten Schritt 200 durch. Wenn die Verbindung aufgebaut wird,
wird ein Sitzungs-Kontext hergestellt, der ein Authentifizierungsverfahren
einschließt.
Der Sitzungs-Kontext kann weiter Einstellungsparameter einschließen, wie
zum Beispiel Benutzerschnittstellenmerkmale, Dienstmerkmale, eine
Abrechnungsrate und Kommunikationsprotokolle, einschließlich einer
Datenrate.
-
Das
Authentifizierungsverfahren umfasst ein Austauschen von Geheim-Codes
und/oder Zertifikaten zwischen dem Mobilendgerät 100 und der Authentifizierungseinheit 114 in
einem Schritt 202 gemäß einer
Routine, die in dem ersten Netzwerk 106 vordefiniert ist.
Falls zum Beispiel das erste Netzwerk 106 ein GSM/GPRS-Netzwerk
ist, wird eine SIM-Karte in einem Mobiltelefon verwendet. Unterschiedliche Netzwerktypen
weisen ihre eigenen, spezifischen, vordefinierten Authentifizierungsverfahren
wie von standardisierten Protokollen vorgeschrieben auf, die hier
nicht weiter beschrieben werden.
-
Wenn
der Sitzungs-Kontext erzeugt ist und eine Verbindung autorisiert
ist, kann das Mobilendgerät 100 beginnen
Nutzlastdaten über
das erste Netzwerk 106 zu kommunizieren, in diesem Fall
mit einem Server 112, der einen Dienst an das Mobilendgerät 100 bereitstellt,
in einem Schritt 204. Die Datenrate ist dann auf die Bitrate
begrenzt, die von dem ersten Netzwerk 106 angeboten wird.
Da die zwei Funkgeräte 102, 104 miteinander
verbunden sind, kann die Funktionalität und Benutzerschnittstelle
von beiden von einem Benutzer verwendet werden, wie zuvor beschrieben.
Zum Beispiel kann eine IP-(Internet-Protokoll)-Verbindung zwischen
einem Mobiltelefon 102 und einem Paket-Kernnetzwerk, nicht
gezeigt, in dem ersten Netzwerk 106 hergestellt werden,
wobei die IP-Verbindung für
einen Laptop-Computer verfügbar
sein kann, der mit dem Mobiltelefon 102 verbunden ist.
-
Falls
sich das Mobilendgerät 100 in
dem Abdeckungsbereich des zweiten Zugangsnetzwerkes 108 bewegt,
kann dieses automatisch in einem Schritt 206 detektiert
werden, vorzugsweise mittels des zweiten Funkgerätes 104. Das Vorliegen
des Mobilendgerätes
in dem Abdeckungsbereich des zweiten Netzwerkes 108 kann
in der Tat in unterschiedlichen Weisen detektiert werden. Drei unterschiedliche Alternativen
sind unten gezeigt:
- 1. Das zweite Netzwerk 108 überträgt ein Identifikationssignal,
das das Mobilendgerät 100 in
dem zweiten Funkgerät 104 detektieren
kann, wie zum Beispiel eine PCCARD oder Ähnliches, die in einem Laptop-Computer
installiert ist. Zum Beispiel können
in einem WLAN Zugangspunkte kontinuierlich einen Identifikator übertragen, der
typischerweise als ESSID (Extended Service Set Identifier – erweiterter
Dienstsatzidentifikator) und/oder SSID bezeichnet wird, die das
zweite Funkgerät 104 empfangen
und als das WLAN identifizierend erkennen kann.
- 2. Das zweite Funkgerät 104 überträgt ein Identifikationssignal,
das von dem zweiten Netzwerk 108 detektiert wird, das dann
das Funkgerät 104 demgemäß benachrichtigen
kann.
- 3. Eine Lokalisierungsfunktion bestimmt, dass das Mobilgerät 100 innerhalb
des zweiten Netzwerkes 108 lokalisiert ist. Die Lokalisierung
kann von einer GPS-(Global Location System – Globales Ortungssystem)-Einheit
durchgeführt
werden oder von einer Funktion in dem ersten Netzwerk, wie zum Beispiel
einer Triangulation. Derartige Lokalisierungsfunktionen werden gegenwärtig für z.B. ein Übertragen
Orts-abhängiger
Nachrichten an Mobilendgeräte
und für
Suchzwecke verwendet. Die GPS-Einheit oder das erste Netzwerk 106 können dann
das Mobilendgerät 100 entsprechend
benachrichtigen.
-
Wenn
die Verfügbarkeit
des zweiten Netzwerkes 108 für das zweite Mobilendgerät 100 detektiert
worden ist, wie in Schritt 206 beschrieben, wird eine neue
Verbindung mit dem zweiten Netzwerk 108 basierend auf dem
Autorisieren für
die Verbindung mit dem ersten Netzwerk 106 autorisiert,
das in Schritt 202 durchgeführt wird. Die erste Funkeinheit 102 und
die Authentifizierungseinheit 114 tauschen dann Informationen
in einem Schritt 208 zum Autorisieren und Herstellen der
neuen Verbindung mit dem zweiten Netzwerk 108 aus.
-
Die
zweite Funkeinheit 102 kann durch Senden einer Zugangsanforderung
beginnen. Die Authentifizierungseinheit 114 antwortet dann
durch Senden von Login-Information, wie zum Beispiel einer Login-Identität und eines
temporären
Passwortes, das das Mobilendgerät 100 verwenden
kann, wenn es auf das zweite Netzwerk 108 mittels der zweiten
Funkeinheit 104 zugreift. Die Authentifizierungseinheit 11 kann
ebenso einen oder mehrere Verschlüsselungsschlüssel senden,
die während dem
Login-Verfahren
und/oder während
der Kommunikationssitzung verwendet werden sollen. Das erste Netzwerk 106 weist
eine vorbestimmte Authentifizierungsübereinkunft mit dem zweiten
Netzwerk 108 auf, das für
das Mobilendgerät 100 gültig ist,
einschließlich
ausgetauschter Login-Information und Verschlüsselungsschlüssel, die
daher in dem zweiten Netzwerk 108 bekannt sind.
-
Das
zweite Netzwerk 108 und die zweite Funkeinheit 104 tauschen
dann unterschiedliche Nachrichten zum Aufbauen eines neuen Sitzungs-Kontextes
in einem Schritt 210 unter Verwendung der Login-Information
und Verschlüsselungsschlüssel aus,
die in Schritt 208 erhalten werden.
-
In
dieser Weise wird die Authentifizierung, die mit dem ersten Netzwerk 106 in
Schritt 202 durchgeführt
wird, zum Autorisieren der nächsten
Sitzung mit dem zweiten Netzwerk 108 in Schritt 210 verwendet.
Zum Beispiel kann das zweite Netzwerk 108 einen Teilnehmeradministrationsserver
umfassen, der vereinbarte Login-Information und darin gespeicherte Verschlüsselungsschlüssel aufweist.
Der Teilnehmeradministrationsserver des zweiten Netzwerkes 108 kann
mit der Authentifizierungseinheit 114 des ersten Netzwerkes 106 in
einem Server integriert sein, der mit beiden Netzwerken 106, 108 verbunden
ist.
-
Daher
wird der hohe Sicherheitslevel, der in dem ersten Netzwerk 106 angeboten
wird, von dem zweiten Netzwerk verwendet, ohne dessen eigene Administration
und Verteilung von Geheim-Codes und Zertifikaten zu benötigen. Das
Authentifizierungsverfahren in Schritt 210 wird ebenso
durch Verringern der Menge an ausgetauschter Information ermöglicht, wodurch
ebenso die Verzögerungen
und eine Übertragungslast
verringert werden.
-
Wenn
der nächste
Sitzungs-Kontext hergestellt wird und eine Verbindung mit dem zweiten
Netzwerk 108 autorisiert wird, kann das Mobilendgerät 100 Nutzlastdaten
mit dem Server 112 mittels des zweiten Funkgerätes 104 in
einem Schritt 212 kommunizieren. In diesem Fall wird dann
die Datenrate auf die höhere
Bitrate erhöht,
die von dem zweiten Netzwerk 106 angeboten wird. Weiter
können
die kommunizierten Nutzlastdaten durch Verschlüsselungsschlüssel geschützt werden,
die von der Authentifizierungseinheit 114 über das
erste Netzwerk 106 während
Schritt 208 ausgegeben werden. Die Zugangsumschaltung zu
dem zweiten Netzwerk 108 ist voll automatisch, was keine
weiteren Anstrengungen von einem Benutzer erfordert.
-
Falls
sich das Mobilendgerät 100 aus
einer Funkabdeckung des zweiten Netzwerkes 108 bewegt,
bricht die Verbindung in einem Schritt 214 zusammen und
die Sitzung kehrt automatisch zu dem ersten Netzwerk 106 mittels
des ersten Funkgerätes 102 in
einem Schritt 216 zurück.
Da diese Verbindung bereits in Schritt 202 autorisiert
wurde, sind keine weiteren Authentifizierungsaktionen erforderlich.
-
In
der Praxis kann die Erfindung in einem Computerprogramm zur Verwendung
in dem Mobilendgerät 100 implementiert
sein und in einem Computerprogramm zur Verwendung der Authentifizierungseinheit 114.
-
Durch
Verwenden der beschriebenen Erfindung wird ein Zugangsschalten zwischen
zwei Netzwerken mit aufrechterhaltener Sicherheit ermöglicht, ohne
manuelle Anstrengungen von einem Nutzer zu erfordern. Ebenso werden
Verzögerungen
und eine Übertragungslast
verringert.
-
Obwohl
die Erfindung mit Bezug auf spezifische beispielhafte Ausführungen
beschrieben worden ist, wird diese durch die angehängten Ansprüche definiert.