Спосіб та система виставляння рахунків з урахуванням вмісту в ip-мережах

1. Комп'ютеризований спосіб виставляння рахунків з урахуванням вмісту в IP-мережах, де ІРвузол (20) використовує постачальника інтернетпослуг для доступу до інформаційних ресурсів, що потребують оплати, від одного чи більше провайдерів інформаційних ресурсів у мережі, де ІРвузол (20), на вимогу, передає IMSI, що зберігається на SIM-картці (201), з ІР-вузла (20), і де переданий IMSI з ІР-вузла (20) зберігають у базі даних в модулі SIM-R ADIUS (30), який відрізняється тим, що модуль SIM-RADIUS (30) використовують для здійснення аутентифікації та/або надання прав доступу до послуг для ІР-вузла (20) на основі IMSI на SIM-картці (201) з ІР-вузла (20) в HLR (37) та/або VLR (37) для мережі GSM та для передачі її до модуля контрольного шлюзу (22), тим, що доступ ІР-вузла (20) до інформаційного вмісту від провайдера інформаційних ресурсів у мережі переадресовують через модуль контрольного шлюзу (22), і модуль контрольного шлюзу (22) використовують для перевірки того, чи він потребує оплати, на основі адреси призначення доступу, тим, що модуль процесора ядра (59), під час доступу до модуля контрольного шлюзу (22), реєструє детальну інформацію про виклик на основі послуги, одержаної ІР-вузлом (20), причому зареєстрована детальна інформація про виклик включає щонайменше ідентифікаційну інформацію ІР-вузла (20) та/або період часу та/або провайдера використаної послуги, та надсилають до модуля виставляння рахунків, і тим, що детальна інформація про виклик та/або дані про розрахунки та/або ТАРфайли на основі детальної інформації про виклик 2 (19) 1 3 85592 4 створюються щонайменше на основі тарифів пощодо виставляння рахунків і де модуль розрахунсередника роумінгу, а також ідентифікаційних ків (1004) може бути використаний для розрахунку CDR/TAP-кодів мобільної мережі загального кори(1016) послуги, використаної користувачем, (1008) стування. до провайдера (1008) наземної мережі (1007), 8. Комп'ютеризований спосіб за одним з пп. 1-7, та/або ТАР-файли (1017) можуть бути передані до який відрізняється тим, що база даних керування провайдера (1006) GSM-послуг (1005) та/або повиставлянням рахунків включає IP-адреси та/або стачальника інтернет-послуг (ISP) з метою розраGSM ідентифікацію користувачів та/або провайдехунку. рів послуг. 12. Система за п. 11, яка відрізняється тим, що 9. Комп'ютеризований спосіб за одним з пп. 1-8, інструкції щодо виставляння рахунків включають який відрізняється тим, що база даних керування щонайменше дані, потрібні для розрахунку корисвиставлянням рахунків включає тарифи посередтувача та/або провайдера послуг. ника роумінгу, а також ідентифікаційні ТАР-коди 13. Система за одним з пп. 1-12, яка відрізняєтьмобільної мережі загального користування. ся тим, що IP-вузол є мобільним IP-вузлом в гете10. Система виставляння рахунків з урахуванням рогенних WLAN, де мобільний ІР-вузол (20) вклювмісту в IP-мережах, що включає щонайменше чає безпровідний інтерфейс для доступу в точці один ІР-вузол (20) з інтерфейсом до постачальнидоступ у у базовій зоні обслуговування WLAN, бака Інтернет-послуг та одного чи більше провайдезова зона обслуговування WLAN включає одну чи рів інформаційних ресурсів, де провайдери інфорбільше точок доступу, асоційованих з сервером маційних ресурсів включають бази даних, доступ доступ у, і сервер доступу включає модуль контродо яких може здійснюватися через мережу, і які льного шлюзу, або модуль контрольного шлюзу містять інформаційні ресурси, що потребують (22) реалізований як елемент вищого рівня, зокоплати, причому IP-вузол включає SIM-картку рема, для системи вузла безпровідного доступу до (201) для зберігання IMSI, яка відрізняється тим, Iнтернету. що модуль SIM-R ADIUS (30) включає засоби ауте14. Система за п. 13, яка відрізняється тим, що нтифікації та/або надання прав доступу до послуг база даних користувачів SIM (34) та модуль шлюзу для ІP-вузла (20) на основі IMSI на SIM-картці SIM (32) можуть бути використані для розширення (201) з мобільного вузла (20) в HLR (37) та/або логічного IP-каналу передачі даних WLAN на осVLR (37) для мережі GSM, тим, що доступ ІР-вузла нові даних користувача для створення відповідних (20) до інформаційного вмісту від провайдера інGSM-даних для сигнального каналу та каналу пеформаційних ресурсів у мережі може бути перередачі даних GSM-мережі. адресований через модуль контрольного шлюзу, і 15. Система за п. 14, яка відрізняється тим, що модуль контрольного шлюзу (22) може бути викобаза даних користувачів SIM (34) та модуль шлюзу ристаний для перевірки того, чи він потребує SIM (32) можуть бути використані для створення оплати, на основі адреси призначення доступу, запису з інформацією про виклики щонайменше на тим, що модуль процесора ядра (59) включає заоснові IP-адреси ІР-вузла (20) та ідентифікаційних соби реєстрації інформації про доступ до модуля даних провайдерів послуг, чиї послуги були викоконтрольного шлюзу (59) на основі послуги, одерристані ІР-вузлом. жаної ІР-вузлом, причому детальна інформація 16. Система за одним з пп. 11-15, яка відрізняпро виклик включає щонайменше ідентифікаційну ється тим, що ТАР-файли (1014) включають щоінформацію ІР-вузла та/або період часу та/або найменше інформацію, що стосується тарифів провайдера використаної послуги, і направляє її посередника роумінгу, а також ідентифікаційні до модуля виставляння рахунків, і тим, що детаТАР-коди мобільної мережі загального користульна інформація про виклик та/або дані про розвання. рахунки на основі детальної інформації про виклик 17. Система за одним з пп. 10-16, яка відрізнята/або ТАР-файли на основі детальної інформації ється тим, що база даних керування виставлянпро виклик можуть бути розраховані за допомогою ням рахунків (1032) включає IP-адреси та/або GSM системи виставляння рахунків провайдера послуг ідентифікації користувачів та/або провайдерів поабо банку. слуг. 11. Система за п. 10, яка відрізняється тим, що 18. Система за одним з пп. 10-17, яка відрізнямодуль виставляння рахунків включає засоби ється тим, що база даних керування виставлянстворення ТАР-файлів (1014) на основі використаням рахунків (1032) включає тарифи посередника ної послуги з використанням даних від модуля роумінгу, а також ідентифікаційні ТАР-коди мобіпроцесора ядра, де ТАР-файли можуть бути перельної мережі загального користування. дані до модуля розрахунків разом з інструкціями Даний винахід стосується способу та системи виставляння рахунків з урахуванням вмісту в IPмережах, де IP-вузол використовує постачальника інтернет-послуг (ISP) для доступу до інформаційних ресурсів, що потребують оплати, від одного чи більше провайдерів інформаційних ресурсів у ме режі, і де ІР-вузол, на вимогу, передає міжнародний ідентифікаційний номер мобільного абонента (IMSI), що зберігається на SIM-картці, з IP-вузла до модуля контрольного шлюзу, і IMSI з IP-вузла зберігається у базі даних в модулі SIM-RADIUS. 5 85592 6 Винахід особливо стосується мобільних IP-вузлів мобільні радіотелефони, з придатним інтерфейдля роумінгу в гетерогенних мережах. сом до локальної комп'ютерної мережі. Мобільні Число користувачів інтернету в усьому світі і, вузли мають адаптер, який включає приотже, кількість надаваної їм інформації протягом ймач/передавач, а також плату керування (такий останнього десятиріччя зростало експоненціально. як інфрачервоний (IR) адаптер або низькочастотні Хоч інтернет надає доступ до інформації в усьому радіохвильові адаптери). Перевага таких мобільсвіті, однак, користувач звичайно не має доступу них вузлів полягає в тому, що вони можуть вільно до неї, поки він не опиниться в конкретній точці переміщатися в межах дії безпровідної LAN. Мобідоступ у до мережі, такої як в офісі, у школі, в льні вузли або встановлюють зв'язок безпосеред.університеті або вдома. Зростаюча кількість ІРньо один з одним (пірингова (peer-to-peer) безпросумісних пристроїв, особливо, мобільних пристровідна LAN) або надсилають свій сигнал до базової їв, таких як кишенькові комп'ютери (PDAs), мобільстанції, яка посилює та/або пересилає сигнал. Бані радіотелефони та портативні комп'ютери, почизові станції можуть також виконувати функції моснає змінювати наше сприйняття інтернету. та. Використовуючи такі базові станції з функціями Аналогічний перехід від фіксованих вузлів у меремоста, відомі як точки доступу (АР), мобільні вузли жах до більш гнучких вимог в результаті зростаюу безпровідній LAN можуть одержувати доступ до чої мобільності тільки лише почався. В мобільній провідної LAN. Типові мережні функції точки дорадіотелефонії, наприклад, ця тенденція також ступу включають передачу повідомлень від одного спостерігається у нових стандартах, таких як WAP, мобільного вузла на інший, пересилання повідомGPRS або UMTS, поміж інших. Для то го, щоб зролення з провідної LAN на мобільний вузол та пезуміти різницю між сучасною реальністю та майбуредачу повідомлення з мобільного вузла до провітніми можливостями ІР-з'єднання, можна зробити дної LAN. Фізичний радіус дії АР називають порівняння з розвитком телефонії в напрямку до базовою зоною обслуговування (BSA). Якщо мобімобільності, яке відбулось перед нашими очима за льний вузол знаходиться в межах BSA АР, то він останні двадцять років. Потребу у всесві тньому може встановлювати зв'язок з цією АР, якщо АР, незалежному безпровідному доступі до локальних аналогічно, находиться в межах дальності примереж (LAN) за допомогою портативних комп'ютеймання сигналів (динамічна зона обслуговування рів, PDA і т.д. у приватному та бізнес-секторах (DSA)) мобільного вузла. Множина АР звичайно (наприклад, в аеропортах, містах і т.д., і т.п.) є веасоційована з одним сервером доступу, який, поличезною. Однак, безпровідні локальні мережі між іншого, контролює та керує наданням прав (WLAN), основані на IP, наприклад, не надають доступ у мобільним вузлам за допомогою бази дапослуг у такий спосіб, як це робиться, наприклад, з них користувачів. Загальна площа, охоплювана АР GSM/GPRS, що не дозволяє забезпечити вільний сервера доступу, називається точкою безпровіднороумінг користувачів. Ці послуги мають обов'язкого виходу в інтернет (hot spot). Мобільні вузли тиво включати не лише механізми безпеки, як у пово мають інтенсивність сигналу від 100мВт до GSM/GPRS, але також і можливості надання прав одного вата. Для підключення безпровідної LAN до доступ у до послуг та виставляння рахунків, тобто, провідної LAN, важливо, щоб АР визначали, чи розподіл надаваних послуг і т.д. З іншого боку, призначене конкретне повідомлення (блок даних) така послуга не забезпечується й існуючими опеу мережі для вузла, що входить до складу провідраторами GSM/GPRS. Однак, важливий не лише ної LAN або безпровідної LAN, щоб надіслати цю роумінг між різними WLAN. Високий рівень зросінформацію, якщо треба, до потрібного вузла. З тання інформаційних те хнологія з WLAN (із достуцією метою, АР мають функції, відомі як функції пом до інтернету і т.д.) та такий саме високий рімоста, наприклад, на основі стандарту IEEE вень росту мобільної радіотелефонії означає, що 802.1D-1990 "Media Access Control Bridge" (31-74 ці два світи слід розвивати далі. У випадку безff). У випадку таких функцій моста, новій мобільний провідних LAN простий та плавний роумінг, гїрувивузол у безпровідній LAN типово реєструється у чний для користувачів мобільних радіотехнологій, FDB (база даних фільтрації) в АР, в зоні якої розстане можливим тільки при об'єднанні цих двох ташований вузол. Для кожного блока даних у LAN, світів. Таким чином, існує потреба в провайдерах, АР порівнює адреси призначення (адреси МАС які дозволяли б міжстандартний роумінг між різни(адреси керування доступом до середовища переми провайдерами послуг WL AN та між провайдедачі)), які зберігаються в FDB та надсилає, відхирами послуг WL AN та провайдерами послуг ляє або передає блок у провідну LAN або в безGSM/GPRS. провідну LAN. Комп'ютерні мережі або локальні мережі (LAN) У випадку використання мобільної мережі, ісзвичайно включають об'єкти, відомі як вузли, з'єднуючий доступ IP-пристроїв до мобільного вузла нані за допомогою фізичних засобів зв'язку, таких не повинен перериватися, якщо користувач змінює як коаксіальний кабель, виті пари або волоконносвоє положення у мережі. Навпаки, всі зміни з'єдоптичні кабелі. Ці LAN також називаються провіднання та інтерфейсу, наприклад, у випадку переними LAN (провідні наземні мережі). Останніми ходу до інших точок безпровідного виходу в інтерроками безпровідні LAN також набули більшої понет, особливо, в інші мережі (мережа Ethernet, пулярності (наприклад, завдяки таким розробкам, мережа мобільного радіо, WLAN, Bluetooth і т.д.), як система AirPort фірми Apple Computers, Inc. і мають бути здатними відбуватися автоматично та т.д.). Безпровідні LAN є особливо придатними для в односторонньому порядку, так щоб користувач з'єднання мобільних пристроїв (вузлів), таких як навіть не знав про них. Це також стосується, напортативні комп'ютери, ноутбуки, PDA (особисті приклад, використання засобів реального часу. електронні секретарі) або мобільні радіо, зокрема, Обчислення фактичного мобільного IP має багато 7 85592 8 переваг завдяки стабільному доступ у до інтернету кол IEEE 802.1x відомий як протокол в будь-який час. Такий доступ дозволяє працювати аутенти фікації на основі портів. Він може бути вивільно та незалежно від робочого місця. Однак, користаний в будь-якому середовищі, у якому мовимоги до мобільних вузлів у мережах в різний же бути визначений порт, тобто, інтерфейс приспосіб відрізняються від напрямків розвитку техстрою. У випадку аутенти фікації на основі 802.1х, нологи мобільного радіозв'язку, згаданих на початможна розрізнити три типи елементів: пристрій ку. Кінцевими точками мобільного радіозв'язку користувача (запитувач/клієнт), а утенти фікатор та звичайно є люди. У випадку мобільних вузлів, одсервер аутентифікації. Аутентифікатор відповідає нак, комп'ютерні пристрої можуть забезпечувати за аутентифікацію запитувача. Аутентифікатор та взаємодії між іншими абонентами мережі без запитувач з'єднані, наприклад, за допомогою двобудь-яких дій чи втручання з боку людини. Багато точкового. сегмента LAN або лінії радіозв'язку прикладів цього можна побачити в літаках, кораб802.11. Аутенти фікатор та запитувач мають визналях та автомобілях. Зокрема, можуть бути засточений порт, так званий елемент доступу до порта совані мобільні комп'ютерні середовища з досту(РАЕ), який визначає фізичний або віртуальний пом до інтернету разом з іншими пристроями, порт 802.1х. Сервер аутентифікації надає послуги наприклад, у комбінації з пристроями визначення аутенти фікації, яких вимагає аутенти фікатор. Він положення, такими як супутникова GPS (глобальтаким чином перевіряє дані, потрібні для надання на система навігації та визначення положення). прав доступу, які надає запитувач, з погляду їхньої Однією з проблем доступу до мобільної мерестверджуваної ідентичності. жі з використанням інтернет-протоколу (IP) є те, Сервера аутентифікації звичайно основані на що застосовувані для цього IP-протоколи викориспротоколі RADIUS (Служба дистанційної аутентитовують те, що відомо як IP-адреси (IP: інтернетфікації користувачів по комутованих лініях), розропротокол) для маршрутизації пакетів даних від бленому IETF (Комітет з інженерних питань інтерадреси джерела до адреси призначення у мережі. нету). Застосування протоколу аутенти фікації та Ці адреси асоційовані з фіксованим місцезнахосистеми рахунків RADIUS є широко поширеним дженням у мережі, аналогічно тому, як телефонні для елементів мережі, таких як маршрутизатори, номери наземної мережі асоційовані з фізичною модемні сервери, комутатори і т.д., і використовурозеткою. Якщо адреса призначення пакетів даних ється більшістю постачальників інтернет-послуг є мобільним вузлом, то це означає, що при кожній (ISP). Коли користувач додзвонюється до ISP, він зміні місцезнаходження у мережі необхідно призвичайно має ввести ім'я користувача та пароль. значати нову адресу у IP-мережі, що робить проСервер RADIUS перевіряє цю інформацію та назорий мобільний доступ неможливим. Ці проблеми дає користувачу дозвіл на вхід в систему ISP. були вирішені у стандарті мобільного IP (IEFT RFC Причина розосередження системи RADIUS, поміж 2002, жовтень 1996p.), розробленому Комітетом з іншим, полягає в тому, що елементи мережі загаінженерних питань інтернету (IETF), за рахунок лом не можуть працювати з дуже великою кількістого, що мобільний IP дозволяє мобільному вузлу тю користувачів мережі, кожен з яких має відмінну використовува ти дві IP-адреси. Одна з них є норінформацію аутентифікації, оскільки це, напримальною, статичною IP-адресою (домашня адреклад, перевищувало б ємність пам'яті індивідуальса), яка вказує місцезнаходження домашньої мених елементів мережі. RADIUS забезпечує можлирежі, у той час як друга є допоміжною динамічною вість центрального керування великою кількістю IP-адресою, що визначає поточне місцезнахокористувачів мережі (додавання та видалення дження мобільного вузла у мережі. Зв'язок між користувачів і т.д.). Як приклад, для ISP (постачадвома адресами дозволяє перенаправляти пакети льники інтернет-послуг) це є необхідною передуданих IP на правильну поточну адресу мобільного мовою надання їхніх послуг, оскільки число їхніх вузла. користувачів часто складає від кількох тисяч до Одним з найчастіше використовуваних протокількох десятків тисяч користувачів. R ADIUS також колів аутентифікації користувача у безпровідній забезпечує специфічний постійний захист проти LAN є протокол кодів відкритого доступ у IEEE хакерів. Віддалена аутентифікація RADIUS, осно802.1x (у поточній версії 802.11) Асоціації стандарвана на TACACS+ (система контролю доступу до тів Інституту інженерів з електротехніки та радіоконтролера доступу терміналів+) та LDAP (спроелектроніки. Аутентифікація IEEE 802.1x дозволяє щений протокол доступу до каталогів), є відносно аутенти фікований доступ до середовища IEEE захищеною проти хакерів. На відміну від неї, бага802, такого як Ethernet, Token Ring та/або безпрото інших віддалених протоколів аутентифікації відна LAN 802.11. Протокол 802.11 забезпечує мають лише періодичний, незадовільний або нашвидкість передачі 1 або 2 Mbps у смузі 2,4ГГц віть ніякого захисту проти атак хакерів. Іншою педля безпровідної LAN, тобто, для безпровідних ревагою є те, що RADIUS є зараз фактичним (deлокальних мереж, з використанням FHSS (стрибfacto) стандартом віддаленої аутентифікації, що коподібна зміна робочої частоти з розширенням означає, що RADIUS також підтримується майже спектра) або DSSS (розширення спектра сигналу усіма системами, на відміну від інших протоколів. прямою послідовністю). Для аутентифікації, 802.1х Вищезгаданий розширюваний протокол аутенпідтримує ΕΑΡ (розширюваний протокол аутентитифікації (ΕΑΡ) є фактично розширенням РРР фікації) та TLS (безпровідний протокол захисту (двоточковий протокол) і визначений у Робочій транспортного рівня). 802.11 також підтримує пропозиції (Requests for Comments, RFC) 2284 RADIUS. Хоч підтримка RADIUS у 802.1х є необоРРР Extensible Authentication Protocol (ΕΑΡ) від в'язковою, слід очікувати, що більшість 802.1х ауIETF. Комп'ютер може використовува ти РРР, натентифікаторів буде підтримувати RADIUS. Протоприклад, для з'єднання з сервером ISP. РРР пра 9 85592 10 цює на канальному рівні моделі OSI та надсилає ΕΑΡ, що надає можливість надсилання ΕΑΡпакети TCP/IP комп'ютера на сервер ISP, який повідомлення до сервера RADIUS. створює інтерфейс з інтернетом. На відміну від У відомому рівні техніки відомі також основані раніше існувавшого SLIP-протокола (інтернетна ΕΑΡ способи аутентифікації користувача та протокол послідовної лінії), РРР працює більш присвоєння сеансових ключів користувачу І за достабільно та має функцію виправляння помилок. помогою GSM-модулів ідентифікації абонента Розширюваний протокол аутентифікації є прото(SIM). GSM-а утенти фікація основана на методі колом дуже загального рівня, який підтримує найзапит-відповідь. Алгоритм аутентифікації SIMрізноманітніші способи аутентифікації, такі як карткартки одержує як виклик 128-бітове випадкове ки-жетони (картки-жетони), систему Kerberos, число (яке звичайно називається RAND). SIMрозроблену Масачусетським технологічним інстикартка потім виконує секретний алгоритм, специтутом (МІТ), оперативно генеровані (scratchlist) фічний для відповідного оператора, який, отримує паролі, сертифікати, аутентифікація з відкритим як вхідні параметри RAND та секретний ключ Kі, ключем та смарт-картки або картки, відомі як картщо зберігається на SIM-картці та генерує з них 32ки на чіпах (ICC). IEEE 802.1x визначає специфікабітовий відклик (SRES) та 64-бітовий ключ Kc. Kс ції стосовно способу, яким ΕΑΡ має бути інтегропризначений для шифрування передачі даних чеваний в LAN-фрейми. У випадку зв'язку у рез безпровідні інтерфейси (технічна специфікація безпровідний мережі з використанням ΕΑΡ, корисGSM 03.20 (ETS 300 534): "Digital cellular тувач використовує безпровідний зв'язок для наtelecommunication system (phase 2); Security related дання запиту про доступ до безпровідної LAN від network functions", European Telecommunications точки доступу (АР), тобто, з'єднання HUP для клієStandards Institute, August 1997). Аутенти фікація нта віддаленого доступу або запитувача для ΕΑΡ/SIM використовує множину RAND-викликів WLAN. АР потім запитує у запитувача ідентифікадля генерування множини 64-бітових Kс-ключів. Ці цію користувача та передає ідентифікацію на виKс-ключі комбінують для створення більш довгого щезгаданий сервер аутентифікації, наприклад, сеансового ключа. При використанні ΕΑΡ/SIM нооснований на RADIUS. Сервер аутентифікації дормальна GSM розширює способи аутентифікації зволяє точці доступу перевірити ідентифікацію за допомогою викликів RAND, які додатково мають користувача. АР отримує ці дані аутентифікації від код аутентифікації повідомлення (МАС), для прозапитувача та передає їх на сервер аутенти фікаведення взаємної аутентифікації. Для здійснення ції, який закінчує аутентифікацію. GSM-а утентифікації, сервер аутентифікації повиУ випадку ΕΑΡ, довільний спосіб аутентифіканен мати інтерфейс з GSM-мережею. Сервер ауції створює з'єднання віддаленого доступу. Точна тентифікації тому працює як шлюз між службою схема аутентифікації, відповідно, оговорюються інтернет-аутенти фікації (IAS), серверною мережею запитувачем та аутентифікатором (тобто, сервета інфраструктурою GSM-аутентифікації. Під час ром віддаленого доступу, сервером послуг інтерΕΑΡ/SIM а утенти фікації, сервер аутентифікації, нет-аутентифікації (IAS) або, у випадку WLAN, точпоміж іншого, використовує перший ΕΑΡ-виклик кою доступу). Як згадувалося вище, ΕΑΡ в цьому аутенти фікатора для того, щоб запитати у запитувипадку підтримує велику кількість різних схем вача користувача міжнародний ідентифікаційний аутенти фікації, таких як універсальні карткиномер мобільного абонента (IMSI). Разом з IMSI, жетони, MD5 Challenge, протокол захисту транссервер аутентифікації одержує n GSM-триплетів портного рівня (TLS) для смарт-карток, S/Key та на вимогу центра аутенти фікації (AuC) для відпоможливі і майбутні технології аутентифікації. ΕΑΡ відного провайдера послуг мобільної мережі разабезпечує можливість зв'язку в режимі запитдіозв'язку, які звичайно називаються реєстром відповідь між запитувачем та аутенти фікатором, положення "домашній" (HLR) або реєстром переякий не обмежений кількісно, причому аутенти фіміщення "візитний" (VLR) у мережі GSM. З триплекатор або сервер аутентифікації вимагає надання тів, сервер аутентифікації одержує код аутентифіспецифічної інформації аутентифікації, а запитукації повідомлення для n*RAND та термін служби вач, тобто, клієнт віддаленого доступу, відповідає. для ключа (разом MAC_RAND), а також сеансовий Як приклад, у випадку "захищених карток-жетонів", ключ. Сервер аутентифікації може використовувасервер аутентифікації може індивідуально запитути їх для проведення GSM-аутентифікації по SIMвати спочатку ім'я користувача, а потім PIN (перкартці запитувача або користувача. Оскільки сональний ідентифікаційний номер) і, зрештою, RAND разом з кодом аутентифікації повідомлення значення картки-жетона у запитувача через аутенMAC_RAND пересилається запитувачу, запитувач тифікатор. В даному випадку, при кожному сеансі одержує змогу перевірити, чи є R AND новими та запит-відповідь використовується наступний річи вони були генеровані мережею GSM. вень аутентифікації. Якщо на всіх рівнях аутентиДля виставляння рахунків за послуги, викорисфікації були надані вірні відповіді, запитувач буде товувані мобільними пристроями у GSM-мережі, у аутенти фікований. Специфічна схема ЕАРвідомому рівні техніки використовується протокол аутенти фікації позначається як тип ΕΑΡ. Для того, TAP (Transferred Account Procedure, процедура щоб можна було .провести аутентифікацію, обидві переведення рахунків), розроблений Групою з обсторони, тобто, запитувач та аутенти фікатор, поміну даними про переведені рахунки (Transferred винні підтримувати один й той самий тип ΕΑΡ. Як Account Data Interchange Group, TADIG) з угоди згадувалося, це визначається на початку запитупро GSM. GSM оснований на концепції роумінгу, вачем та аутентифікатором. Сервера аутентифіякий дозволяє користувачу мобільного радіозв'язкації на основі RADIUS нормально підтримують ку використовувати його мобільний радіозв'язок в будь-якій країні та мережі. Однак, виставляння 11 85592 12 рахунків за використані послуги не є тривіальною власні формати. Записи про виклики передаються задачею. На сьогодні, у світі працюють більш ніж від MSC до системи виставляння рахунків VPMN 400 GSM-мереж, які мають за розрахунками більш для віднесення. Ці записи про виклики потім переніж 20000 індивідуальних угод про роумінг між творюються у формат ТАР і асоціюються з відпооператорами мереж. Тому для забезпечення можвідним користувачем. Не пізніше, ніж через 36 голивості виставляння рахунків, за уявно простою дин, записи ТАР надсилаються провайдеру послуг ідеєю роумінгу існує надзвичайно складна система відповідної мережі мобільного радіозв'язку. Файли запису інформації, поширення інформації та оцінТАР додатково містять інформацію, що стосується ки інформації. Протокол процедури переведення тарифу провайдера на послуги (IOТ: міжоператоррахунків (ТАР) є способом, який використовується ський тариф) та всіх інших двосторонніх угод та провайдерами послуг мереж мобільного радіозв'япільгових схем. Записи ТАР відсилаються прямо зку для обміну інформацією про виставляння раабо, звичайніше, через точку віднесення, таку як хунків за роумінг. 4 червня 2000р. після ТАР2 та розрахунковий центр. Коли оператор домашньої TAP2+ був зрештою запущений ТАР3. ТАР3 на мережі (HPMN: домашня мобільна мережа загальсьогодні може бути названий стандартом, незваного користування) одержує запис ТАР від VPMN, жаючи на те, що розробка протоколу ТАР триває він перетворюється на відповідний внутрішній фонадалі. рмат та відноситься разом з нормальними запиБільшість голосового трафіку або потоків дасами про виклики користувача, які він робить у них у мережі GSM надходить з іншої мережі або домашній мережі. У випадку оптового виставляння закінчується в іншій мережі, а не в тій, де знахорахунків, коли провайдер послуг відносить понедиться в цей час мобільний користувач. Оператор сені витрати на користувача, HPMN надсилає залокальної мережі стягує платежі за кожний виклик, писи провайдеру послуг, який може провести пещо закінчується у одного з його користувачів, неревід несення викликів, зокрема, на основі своїх залежно від того, чи є вона наземною мережею власних тарифів, та генерує рахунок з детальною або мережею мобільного радіозв'язку. Тому опеінформацією про виклик, наприклад, для користуратори локальних фіксованих мереж проводять вача. взаємні розрахунки з операторами локальної меТАР3 підтримує велику кількість послуг. TAP3 режі мобільного радіозв'язку для спрощення стягвикористовується зараз для виставляння рахунків нення платежів. Це означає, що при цьому операміж провайдерами GSM послуг і провайдерами тор швейцарської мережі мобільного радіозв'язку GSM послуг, між провайдерами GSM послуг і проне має потреби укладати угоду з провайдером вайдерами не-GSM послуг (міжстандартний роуканадської наземної мережі для того, щоб віднести мінг) та між провайдерами GSM послуг і провайвиклик користувачем швейцарської мережі мобідерами послуг супутникового зв'язку і т.д. Після льного радіозв'язку користувача канадської наземТАР1 було вже введено підтримку трьох фунданої мережі. Нормально, провайдер швейцарської ментальних категорій послуг - голосові, факсові та наземної мережі вже уклав угоду щодо типу віднетак звані додаткові послуги. На відміну від цього, сення та платежів з провайдером канадської навиставляння рахунків за службу коротких повідомземної мережі, і оператор швейцарської мережі лень (SMS) є менш тривіальним завдяки викорисмобільного радіозв'язку здійснює віднесення через танню центрів служби коротких повідомлень (SMSпровайдера швейцарської наземної мережі за відC) від треті х сторін. Виставляння рахунків за SMS повідною угодою. Витрати нормально відносяться є більш складним з таких причин: 1) користувач на користувача безпосередньо (роздрібне виставроумінгу є здатним отримувати SMS під час роуміляння рахунків) або через провайдера послуг (опнгу (MT-SMS), 2) користувач роумінгу є здатним тове виставляння рахунків). Тип віднесення даних надсилати SMS (MO-SMS) під час роумінгу, викороумінгу або голосового трафіку між різними меристовуючи SMS-C своєї домашньої мережі, і 3) режами мобільного радіозв'язку (PMN: мобільна користувач ро умінгу є здатним надсилати SMS мережа загального користування) визначають за (MO-SMS) під час роумінгу, використовуючи SMSдопомогою протоколу ТАР. Записи про роумінг C зарубіжної мережі. Тому виставляння рахунків викликів типово створюються як записи ТАР або як за SMS-послуги підтримується тільки починаючи з записи CIBER (обмінний роумер взаємного вистаТАР2+. Починаючи з TAP3, підтримується також вляння рахунків стільникового зв'язку). Записи виставляння рахунків за комутовану одноканальну CIBER використовуються операторами мережі передачу даних, HSCSD (високошвидкісна перемобільного радіозв'язку, що користуються технодача даних з комутацією каналів) та GPRS (служлогіями на основі AMPS, такими як AMPS, IS-136 ба пакетної передачі даних загального призначенTDMA та IS-95 CDMA. TAP використовується, зокня). TAP3 аналогічно підтримує всі послуги з рема, провайдерами послуг мережі мобільного доданою вартістю (VAS), такі як так зване виставрадіозв'язку GSM і є головним протоколом віднеляння рахунків за вміст. Однак, віднесення З посення в регіонах, де домінує GSM. слуг з доданою вартістю є часто важким, оскільки Детальна інформація про виклик користувача, вважається, що провайдер послуг погоджується з який знаходиться в зарубіжній мережі (VPMN: відвіднесеними послугами, індивідуальне застосувідувана мобільна мережа загального користуванвання мобільного зв'язку із вдосконаленою логікою ня) реєструється центром комутації мобільного (CAMEL) підтримуються, починаючи з ТАР3.4. зв'язку (MSC) мережі. Таким чином, кожний виклик CAMEL є особливо важливим для застосування з створює один чи більше записів про виклик. Станнаперед оплаченими послугами для користувачів дарт GSM для цих записів визначений у GSM роумінгу та повинен стати надзвичайно важливим 12.05, хоч багато провайдерів використовують свої у майбутньому. Іншим важливим застосуванням 13 85592 14 TAP3 є підтримка віднесення на основі міжопераступу сервера доступу), які створюються в усьому торських тарифів (IOT). IOT дозволяють провайсвіті різними розробниками програмного забезпедеру послуг домашньої мережі (HPMN) перевіряти чення та апаратних засобів. Через це важко об'єдспеціальні пропозиції та тарифи від зарубіжного нати два світи, оскільки кожна така шлюзова фунпровайдера послуг (VPMN) та передавати їх корикція повинна мати специфічне рішення. Технічні стувачу роумінгу. Спочатку, наприклад, VPMN моспецифікації, що стосуються інтерфейсу аутентиже надавати пільги або знижки за різні послуги або фікації GSM, можна знайти в МАР (прикладна підрівні викликів і HPMN може легко перевіряти їх та система контролю) GSM 09.02 Phase 1 Version коригувати власні тарифи. Опція віднесення по3.10.0. слуг ро умінгу незалежно від того, де в даний час Метою даного винаходу є створення нового находиться користувач, є цінною допомогою для способу для ІР-вузлів, особливо, для мобільних IPпровайдерів послуг мобільних мереж та запобігає вузлів в гетерогенних WLAN. Зокрема, метою є втраті прибутку у випадку тимчасових пільг VPMN. надання змоги користувачу легко переміщатися Починаючи з TAP3, ТАР протокол аналогічно між різними точками доступу (роумінг) без необвключає детальну інформацію про те, звідки саме хідності займатися реєстрацією, виставлянням був зроблений виклик або використана послуга і рахунків, наданням права доступу до послуг і т.д. з т.д., та куди він був спрямований. Ця інформація різними провайдерами послуг WLAN, тобто, коридопомагає створити профіль відповідного користустуватися такими ж зручностями, як при користувача на основі його поведінки, який містить важливанні технологіями мобільного радіозв'язку, такиву інформацію для регулювання та оптимізації ми як GSM. послуг, що пропонуються для задоволення потреб Даний винахід досягає цих цілей, зокрема, за користувачів. Зокрема, вона може бути використадопомогою елементів, розкритих у незалежних на для надання спеціальних послуг, пов'язаних з пунктах формули. Інші кращі варіанти втілення місцезнаходженням, таких як повідомлення про можна також знайти в залежних пунктах формули спортивні події або концерти і т.д. Зрештою, вона та в описі. дозволяє TAP3 диференціювати обробку помилок Зокрема, винахід досягає цих цілей тим, що за допомогою протоколу процедури обробки поведля виставляння рахунків з урахуванням вмісту в рнених рахунків (RAP). Таким чином, RAP може ІР-мережах IP-вузол використовує постачальника бути використаний HPMN для перевірки файлів інтернет-послуг для доступу до інформаційних ТАР, що надходять, поміж іншого, на їхню достовіресурсів, що потребують оплати, від одного чи рність та відповідність стандарту ТАР і, якщо требільше провайдерів інформаційних ресурсів у меба, відхиляти їх, не втрачаючи при цьому віднесережі, тим, що IP-вузол, на вимогу, передає IMSI, них на послуги витрат. Посилання на поточну що зберігається на SIM-картці, з IP-вузла, та тим, версію ТАР 3 дається, наприклад, у документі що IMSI, переданий з IP-вузла, зберігається у базі TD.57. даних в модулі SIM-RADIUS, причому модуль SIMОднак, відомий рівень техніки має багато різRADIUS використовується для здійснення аутенноманітних недоліків. Загальновизнано можлитифікації та/або надання прав доступу до послуг вість, наприклад, за допомогою ΕΑΡ-SIM, викорисдля IP-вузла на основі IMSI на SIM-картці з мобітовувати способи аутенти фікації з мережі GSM в льного вузла у HLR та/або VLR для мережі GSM технології безпровідної LAN для аутентифікації та для передачі його модулю контрольного шлюзу, запитувачів або клієнтів віддаленого доступу, за маршрутизація доступу IP-вузла до інформаційноумови, що користувач має IMSI у провайдера пого вмісту від провайдера інформаційних ресурсів у слуг GSM. В принципі, аналогічно можливо викомережі здійснюється через модуль контрольного ристовувати мобільний IP, розроблений IEFT (Кошлюзу, і модуль контрольного шлюзу використомітет з інженерних питань інтернету), наприклад, вується для перевірки того, чи він потребує оплати для переадресації (роутінгу) потоків даних відповіна основі адреси призначення доступу, причому дному мобільному клієнту віддаленого доступу, модуль процесора ядра, під час доступу до модузареєстрованому на сервері доступу через точку ля контрольного шлюзу, реєстр ує де тальну інфодоступ у. Однак, це далеко не вирішує всі проблермацію про виклик на основі послуги, одержаної ми користування мобільною мережею, створюючи ІР-вузлом, де детальна інформація про виклик для користувачів можливість дійсно вільного роувключає щонайменше ідентифікаційну інформацію мінгу. Однією з проблем є те, що IP-мережа вже не IP-вузла та/або період часу та/або провайдера відповідає передумовам, необхідним за стандарвикористаної послуги, та надсилає її до модуля том GSM для забезпечення безпеки, виставляння виставляння рахунків, і де детальна інформація рахунків та надання прав доступу до послуг. Це є про виклик та/або дані про розрахунки та/або ТАРневід'ємною складовою відкритої архітектури IPфайли на основі детальної інформації про виклик протоколу. Це означає, що в ІР-стандарті відсутня відносяться за допомогою системи виставляння велика кількість інформації, яка є абсолютно нерахунків провайдера послуг або банку. Модуль обхідною для сумісності з мережами GSM. Крім виставляння рахунків може створювати ТАРтого, сервер доступ у на основі RADIUS, наприфайли на основі використаної послуги, тобто, на клад, доставляє єдиний потік даних. Він не може основі даних від модуляпроцесора ядра, та може бути легко перетворений на багатоелементний передавати їх разом з інструкціями щодо виставпотік даних за стандартом GSM. Іншим недоліком ляння рахунків до модуля розрахунків, а модуль відомого рівня техніки є те, що безпровідні LAN розрахунків відносить послугу, використану корисосновані зараз на індивідуальних точках доступу тувачем, до провайдера наземної мережі та/або (тобто, базових зонах обслуговування точок допередає ТАР-файли провайдеру GSM-послуг 15 85592 16 та/або постачальнику інтернет-послуг (ISP) з мевтілення має, поміж іншого, ту перевагу, що протою віднесення. Інструкції щодо виставляння равайдер послуг домашньої мережі (HPMN) може хунків можуть включати, наприклад, щонайменше, просто перевірити IOT провайдера послуг зарубідані віднесення, що стосуються користувача жної мережі (VPMN), в якій зараз знаходиться кота/або провайдера послуг. Використовуваний IPристувач (роумінг). Це означає, що VPMN може вузол може бути мобільним IP-вузлом у гетеронадавати пільги, наприклад, для конкретних з'єдгенних WLAN, наприклад, у яких мобільний IPнань, a HPMN може перевіряти правильність їхвузол використовує безпровідний інтерфейс у банього застосування. Незалежно від наявності зовій зоні обслуговування WLAN для доступ у до будь-яких програм надання пільг або рівнів виклиточки доступу WL AN, де базова зона обслуговуку VPMN, HPMN також може при цьому просто вання WLAN включає одну чи більше точок входу, зробити перерахунок для кожного з'єднання та/або асоційованих з сервером доступу, і де сервер докожного виклику на основі своїх власних тарифів і ступу включає модуль контрольного шлюзу та/або т.д. Можливість визначення цін на послуги незапередає відповідні дані до модуля контрольного лежно від того, в якій зарубіжній мережі та/або шлюзу. В цілях ідентифікації, база даних користудомашній мережі зараз знаходиться користувач, вачів SIM та модуль шлюзу SIM, наприклад, моможе бути цінним засобом віднесення послуг для жуть бути використані для розширення логічного HPMN, який може бути використаний, наприклад, ІР-каналу передачі даних WLAN на основі даних для уникнення втрати певних знижок від VPMN. користувача для створення відповідних даних Аналогічно, це дозволяє втілити певні схеми відGSM для сигнального каналу та каналу передачі несення для HPMN, такі як спеціальні ціни за з'єдданих GSM-мережі. Запис з інформацією про винання з домашньою мережею та/або рідною країклик може бути створений, наприклад, щонайменною користувача та/або, наприклад, виклики до ше на основі ІР-адреси IP-вузла та ідентифікаційкраїн, що входять до спілки, такої як Європа, і т.д. них даних провайдерів послуг, послуги яких були Тут слід вказати, що даний винахід стосується використані IP-вузлом. База даних керування вине лише способу за винаходом, але також і систеставлянням рахунків може включати, наприклад, ми для здійснення цього способу. IP-адреси та/або GSM ідентифікації користувачів Варіанти втілення даного винаходу описані та/або провайдерів послуг. Це має, поміж іншого, нижче з використанням прикладів. Приклади варіту перевагу, що стає можливим плавний роумінг антів втілення проілюстровані наступними прикламіж різними та гетерогенними WLAN. За вдяки об'деними фігурами: єднанню технології WLAN, особливо в IP-мережах, Фігура 1 зображує блок-схему, яка схематично з технологією GSM, для користувача стає можлиілюструє спосіб за винаходом та систему виставвим роумінг, який не потребує від нього займатися ляння рахунків з урахуванням вмісту в IP-мережах, реєстрацією, виставлянням рахунків, наданням у якій мобільні ІР-вузли 20 з'єднані з SIM-карткою прав доступу до послуг і т.д., з різними провайде201 через контактний інтерфейс та використовурами послуг WLAN, тобто, користувач має такі ють з'єднання 48 для доступу до модуля контросаме зручності, якими він користується завдяки льного шлюзу та/або точок доступу 21/22. Модуль технологіям мобільного радіозв'язку, таким як контрольного шлюзу та/або сервер доступу 23 GSM. В той же час, можливо зовсім по-новому WLAN аутентифікує ІР-вузол 20 на основі IMSI, що об'єднати переваги відкритого IP-світу (доступ до зберігається на SIM-картці 201 у HLR 37 та/або всесвітньої мережі Інтернет і т.д.) з перевагами VLR 37 для мережі GSM мобільного радіозв'язку. (безпека, виставляння рахунків, надання прав доСтадія 1102 показує одну можливу аутенти фікаступу до послуг і т.д.). Винахід також робить можцію, у якій, як приклад, JAVA-аплет завантажуєтьливим створити спосіб роумінгу у WLAN без необся за допомогою браузера, IMSI зчитується з SIMхідності обладнання кожного сервера доступу картки та проводиться обмін відповідними аутенвідповідним модулем. З іншого боку, інфраструктифікаційними даними. Стадія 1103 показує протура (WLAN/GSM) може бути пристосована без цес перетворення, у якому IP з ІР-вузла 20 перевнесення змін шляхом використання RADIUS. Як творюється на SS7 і HLR вимагає підтвердження приклад, віднесення з використанням системи IMSI. На стадії 1104, зрештою, відбувається геневиставляння рахунків провайдера послуг може рування та віднесення відповідного виставляння бути здійснене за рахунок того, що система вистарахунків та/або даних про розрахунки. вляння рахунків генерує та/або створює файли, Фігури 2 та 3 зображують блок-схему, яка схещо містять CDR, які надсилаються, наприклад, матично ілюструє спосіб за винаходом та систему розрахунковим центрам ISP або· мобільного опевиставляння рахунків з урахуванням вмісту в ІРратора, та/або за рахунок того, що розрахункові мережах, де ІР-вузол 20 використовує постачальцентри отримують ці CDR-файли, наприклад, від ника інтернет-послуг для доступу до інформаційсистеми виставляння рахунків. них ресурсів, що потребують оплати, від одного чи В іншому варіанті втілення, ТАР-файли ствобільше провайдерів інформаційних ресурсів у мерюються щонайменше на основі міжоператорських режі, і де ІР-вузол 20 передає, на вимогу, IMSI, що тарифів, а також ідентифікаційних ТАР-кодів мобізберігається на SIM-картці 201, з ІР-вузла 20 до льної мережі загального користування. В комбінамодуля контрольного шлюзу 22, а IMSI з ІР-вузла ції з цим або як окремий варіант втілення, можна 20 зберігається у базі даних в модулі SIM-R ADIUS також передбачити, наприклад, що база даних 30. керування виставлянням рахунків включає міжФігура 1 ілюструє архітектуру, яка може бути операторські тарифи, а також ідентифікаційні ТАРвикористана для здійснення аутентифікації за викоди мережі загального користування. Цей варіант находом. Фігура 1 зображує блок-схему, яка схе 17 85592 18 матично ілюструє спосіб за винаходом та систему клад, SMS (служба коротких повідомлень), EMS виставляння рахунків з урахуванням вмісту в IP(служба передачі розширених повідомлень), з вимережах, де ІР-вузол 20 використовує постачалькористанням каналу сигналізації, такого як USSD ника інтернет-послуг для доступу до інформацій(неструктуровані дані про додаткові послуги), або них ресурсів, що потребують оплати, від одного чи інших методів, таких як МЕхЕ (середовище викобільше провайдерів інформаційних ресурсів у менання прикладних програм мобільної станції), режі, і де ІР-вузол 20 передає, на вимогу, IMSI, що GPRS (пакетний радіозв'язок загального призназберігається на SIM-картці 201, з ІР-вузла 20 до чення), WAP (протокол безпровідного доступу) чи модуля контрольного шлюзу 22, a IMSI з ІР-вузла UMTS (універсальна система мобільного зв'язку), 20 зберігається у базі даних в модулі SIM-R ADIUS або з використанням стандартів безпровідного 30. На Фігурах 1, 2 та 3, номер позиції 20 стосуєтьзв'язку IEEE 802.1x, або іншого придатного каналу. ся ІР-вузла, особливо, мобільного вузла, який має Мобільний ІР-вузол 20 може включати мобільний необхідну інфраструктуру, включаючи апаратні та ІР-модуль та/або IPsec-модуль. Головною задапрограмні компоненти, для здійснення описаних чею мобільного IP є аутентифікація мобільного ІРспособу та/або системи за винаходом. ІР-вузол вузла 20 в IP-мережі та належна переадресація IPможе бути, наприклад, стаціонарно встановленим пакетів, адресою призначення яких є мобільний або мобільним IP-вузлом. Таким чином, ІР-вузол вузол 20. Ін шими мобільними IP-специфікаціями є 20 може бути, наприклад, персональним комп'ютакож розроблений IEFT (Комітет з інженерних тером (PC) або, в іншому випадку, стаціонарно питань інтернету) документ RFC 2002, IEEE встановленим IP-сумісним мережним пристроєм. Comm. Vol. 35 No. 5, 1997 і т.д. Мобільні IP, наприЯкщо він є мобільним вузлом 20, то слід розуміти, клад, підтримуються, зокрема, в IPv6 та IPv4. Мощо він має означати, поміж іншого, всю можливу жливості мобільного IP можуть краще бути об'єд"апаратур у, що встановлюється в приміщенні конані із захисними механізмами модуля IPsec ристувача" (СРЕ), призначену для використання в (захищений IP-протокол) для того, щоб гарантуварізних сайтах мережі та/або різних мережах. Як ти захищене керування мобільними даними у всеприклад, вони включають всі ІР-сумісні пристрої, світній мережі загального користування. IPsec (затакі як PDA, мобільні радіотелефони та портативні хи щений IP-протокол) створює механізми комп'ютери. Мобільні СРЕ або вузли 20 мають аутенти фікаци/конфіденціальності між мережними один чи більше різних фізичних мережних інтервузлами, якщо вони обидва використовують IPsec, фейсів, які також можуть підтримувати множину на основі попакетної (packet-by-packet) передачі різних мережних стандартів. Фізичні мережні інданих або передачі даних двоспрямованим канатерфейси мобільного вузла можуть включати, налом (socket-by-socket). Однак, однією з ознак гнучприклад, інтерфейси до WLAN (безпровідна локакості IPsec є, зокрема, те, що він може бути також льна мережа), Bluetooth, GSM (глобальна система сконфігурований для індивідуальних двоспрямомобільного зв'язку), GPRS (пакетний радіозв'язок ваних каналів на основі попакетної передачі дазагального призначення), USSD (неструктуровані них. IPsec підтримує IPvx, зокрема, IPv6 та IPv4. дані про додаткові послуги), UMTS (універсальна Для більш детального опису специфікації IPsec система мобільного зв'язку) та/або Ethernet або див., наприклад, Pete Loshin: IP Security іншої провідної LAN (локальна мережа) і т.д. НоArchitecture; Morgan Kaufmann Publishers; 11/1999, мер позиції 48 відповідно позначає різні гетероабо A Technical Guide to IPsec; James S. et al.; CRC генні мережі, такі як мережа Bluetooth, наприклад, press, LLC; 12/2000, і т.д.. Хоч IPsec був описаний для установки в охоплених районах, мережа мобів цьому прикладі варіанта втілення як приклад льного радіозв'язку з GSM та/або UMTS і т.д., безвикористання протоколів системи захисту на IPпровідна LAN, наприклад, на основі стандарту рівні, винахід передбачає всі інші можливі протобезпровідного зв'язку IEEE 802.1x, або провідна коли систем захисту чи механізми або навіть відLAN, тобто, локальна наземна мережа, зокрема, сутність протоколів систем захисту. така, що включає PSTN (телефонна комутована Крім того, ІР-вузол 20 з'єднаний з SIM-карткою мережа загального користування), і т.д. В принци201 (SIM: модуль ідентифікації абонента), що збепі, можна сказати, що спосіб та/або система за рігає IMSI (міжнародний ідентифікаційний номер винаходом не зв'язані з якимось певним мережним мобільного абонента) користувача GSM-мережі, стандартом, якщо присутні ознаки винаходу, але через контактний інтерфейс. У випадку ІР-вузлів можуть бути реалізовані з будь-якою бажаною 20 у наземній мережі, ІР-вузол 20 забезпечується LAN. Інтерфейси 202 IP-вузла можуть бути не лидоступом, наприклад, за допомогою xDSL, комутоше інтерфейсами з комутацією пакетів, що безпованого з'єднання по телефонній лінії у телефонній середньо використовуються мережними протокомережі загального користування з використанням лами, такими як Ethernet або Tokenring, але також РРР або локальній мережі з трасованим з'єднанінтерфейсами з комутацією каналів, які можуть ням і т.д. і т.п., наприклад, доступом до всесвітньої бути використані за допомогою таких протоколів, магістральної мережі Інтернет або іншої мережі, як РРР (двоточковий протокол), SLIP (міжмережз'єднаної з провайдерами інформаційних ресурсів. ний протокол для послідовного каналу) або GPRS Модуль SIM-R ADIUS 30 використовується для (пакетний радіозв'язок загального призначення), проведення аутентифікації та/або надання прав тобто, інтерфейси яких не мають мережної адредоступ у до послуг для ІР-вузла 20 на основі IMSI си, наприклад, такої, як адреса МАС або DLC. Як на SIM-картці 201 від вузла 20 у HLR 37 та/або згадувалося, в певній мірі, зв'язок може здійснюVLR 37 для мережі GSM та передає його модулю ватися за допомогою LAN, наприклад, з викорисконтрольного шлюзу (22). У випадку мобільних ІРтанням спеціальних коротких повідомлень, напривузлів 20, ІР-вузол 20 використовує для аутенти 19 85592 20 фікації безпровідний інтерфейс 202 у базовій зоні ня множини 64-бітових Kс-ключів. Ці Kс-ключі об'обслуговування WLAN для того, щоб запитати у єднують для одержання довшого сеансового точки доступу 21/22 дозволу на доступ до WLAN. ключа. Для мобільного ІР-вузла 20, система між Як вже було описано, різні WLAN в різних точках точкою доступу 21 та сервером доступу 23 може доступ у можуть включати різнотипні мережні ставключати, як згадувалося, спосіб аутентифікації ндарти та протоколи, такі як WLAN на основі безIEEE 802.1х на основі порту, причому мобільний провідного IEEE 802.1x, Bluetooth і т.д. Базова зоІР-вузол 20 (клієнт віддаленого доступу/запитувач) на обслуговування WLAN включає одну чи більше аутенти фікується сервером доступу 23 (сервер точку доступу 21/22, асоційовану з сервером доаутенти фікації) за допомогою точки доступу 21 ступу 23. Мобільний IP-вузол 20 передає, на вимо(аутенти фікатор). В цьому прикладі варіанта втігу від сервера доступу 23, IMSI, що зберігається на лення, WLAN основана на IEEE 802.11. У випадку SlM-картці 201, з мобільного ІР-вузла 20 до сервеІР-вузлів 20 у наземній мережі, цей самий спосіб ра доступу 23. IMSI від мобільного ІР-вузла 20 може бути здійснений за допомогою модуляконтзберігається за допомогою модуля SIM-R ADIUS рольного шлюзу 22. Для проведення GSM30. На основі IMSI, інформація, що зберігається у аутенти фікації, модуль шлюзу SIM 32 працює як базі даних користувачів SIM 34, використовується шлюз між сервером служби інтернетдля розширення логічного ІР-каналу передачі дааутентй фікації (IAS) мережі та інфраструктурою них WLAN на основі даних користувача для ствоGSM-а утентифікації, тобто, модулем контрольного рення відповідних GSM-даних для каналів сигналу шлюзу 22 або точкою доступу 22 (сервер доступу та передачі даних GSM-мережі. Система GSM 23) та HLR 37 або VLR 37. На початку EAP/SIM включає канали передачі даних, відомі як інфораутенти фікації, модуль контрольного шлюзу 22 маційні канали, та канали сигналів керування, вівикористовує перший запит ΕΑΡ 1 через модуль домі, як канали службових сигналів. Інформаційні контрольного шлюзу 22 для запитування у ІРканали (наприклад, TCH/FS, TCH/HS, TCH/F9, вузла 20, поміж іншого, міжнародного ідентифіка6/4.8/2.4 та ТСН/Н4.8/2.4 і т.д.) зарезервовані для ційного номера абонента (IMSI) користувача. У даних користувача, у той час як канали службових випадку WLAN, сервер доступу 23 використовує сигналів (наприклад, СССН: канали загального перший запит ΕΑΡ 1 через точку доступ у 22 для керування, RACH: канали довільного доступу, запитування у мобільного ІР-вузла 20, поміж іншоDCCH: виділені канали керування, СВСН: канал го, міжнародного ідентифікаційного номера абонеширокомовлення коротких повідомлень і т.д.) винта (IMSI) користувача. Він передається з ІР-вузла користовуються для керування мережею, контро20 за допомогою відповіді ΕΑΡ 2 модулю контрольних функцій і т.д. Логічні канали не можуть викольного шлюзу 22 або точці доступу 21. Маючи ристовуватися інтерфейсом всі одночасно, а лише IMSI, сервер доступ у 23 одержує η GSM-триплетів в певних комбінаціях згідно зі специфікаціями у відповідь на триплетний запит, позначений відGSM. За допомогою модуля шлюзу SIM 32, генеповідно HLR 37 або VLR 37. На основі триплетів, руються необхідні функції SS7/MAP для провесервер доступу 23 може одержати код аутентифідення аутентифікації ІР-вузла на основі даних кації повідомлення для n*RAND та термін служби GSM, причому модуль SIM-RADIUS 30 використоключа (разом MAC_RAND), а також сеансовий вує базу даних користувачів SIM 34 та модуль ключ. На стадії 3-1 ΕΑΡ 3, сервер доступу 23 після шлюзу SIM 32 для здійснення аутентифікації мобіцього надсилає ΕΑΡ-запит про тип 18 (SIM) на льного ІР-вузла на основі IMSI на SlM-картці 201 з мобільний ІР-вузол 20 та одержує відповідну ΕΑΡ мобільного вузла 20 в HLR 37 (реєстр положення відповідь 4. ΕΑΡ пакети даних про тип SIM додат"домашній") та/або VLR 37 (реєстр переміщення ково мають спеціальне поле підтипу. Перший за"візитний") для мережі GSM. пит EAP/SIM має підтип 1 (старт). Цей пакет місІР-вузол 20 може бути аутенти фікований з витить перелік номерів версій протоколів EAP/SIM, користанням, наприклад, розширюваного протокоякі підтримуються сервером доступу 23. Відповідь лу аутентифікації. В способі на основі ΕΑΡ для EAP/SIM (старт) 4 з ІР-вузла 20 містить номер веаутенти фікації користувача та для призначення рсії, вибраний ІР-вузлом 20. ІР-вузол 20 має вибсеансових ключей користувачу за допомогою морати один з номерів версій, вказаних у запиті ΕΑΡ. дуля ідентифікації абонента GSM (SIM) може бути Відповідь EAP/SIM (старт) з ІР-вузла 2 аналогічно використаний, наприклад, такий спосіб запитумістить пропозицію про термін служби ключа та відповіді. Алгоритм аутентифікації SIM-картки одевипадкове число NONCE_MT, згенероване IPржує 128-бітове випадкове число (RAND) як сигвузлом. Всі наступні запити ΕΑΡ містять таку ж нал виклику. SIM-картка потім виконує секретний саме версію, як і пакет даних відповіді ΕΑΡ/SIM алгоритм, специфічний для відповідного операто(старт) з ІР-вузла 20. Як згадувалося, цей варіант ра, який отримує як вхідний сигнал випадкове чисвтілення має модуль шлюзу SIM 32, який функціоло RAND та секретний ключ Ki, що зберігаються нує як шлюз між сервером доступу 23 та HLR 27 на SlM-картці, та генерує з них 32-бітову відповідь або VLR 37, для проведення GSM-аутенти фікації. (SRES) та 64-бітовий ключ Kc. Kc використовуєтьПісля одержання відповіді ΕΑΡ/SIM, сервер достуся для шифрування передачі даних через безпропу 23 одержує n GSM триплетів від HLR/VLR 37 відні інтерфейси (GSM Technical Specification GSM для GSM-мережі. З триплетів сервер доступу 23 03.20 (ETS 300 534) "Digital cellular telecommunicaобчислює MAC_RAND та сеансовий ключ K. Обчиtion system (Phase 2); Security related network funcслення криптографічних значень SIMtions", European Telecommunications Standards генерованого сеансового ключа K та кодів аутенInstitute, August 1997). При аутентифікації використифікації повідомлень MAC-R AND та MAC_SRES товується множина викликів RAND для генеруванможна взяти, наприклад, з документа "НМАС: 21 85592 22 Keyed-Hashing for Message Authentication" by Η. користувачів і, таким чином, для забезпечення Krawczyk, Μ. Bellar and R. Canettti (RFC2104, оплати та розрахункових послуг. Модуль процесоFebruary 1997). Наступний запит ΕΑΡ 5 від сервера ядра реєструє детальну інформацію про виклик ра доступу 23 належить до типу SIM та підтипу при доступі до модуля контрольного шлюзу 22 на Виклик. Запит 5 містить виклики RAND, термін основі послуги, одержаної ІР-вузлом 20, причому служби ключа, вибраний сервером доступу 23, код детальна інформація про виклик включає, щонайаутенти фікації повідомлення для викликів та терменше, ідентифікаційну інформацію ІР-вузла 20 мін служби (MAC_RAND). Після одержання запиту та/або період часу та/або провайдера використаΕΑΡ/SIM (виклик) 5, на SIM-картці виконується ної послуги, і надсилає її до модуля виставляння алгоритм аутентифікації GSM 6, який обчислює рахунків. Детальна інформація про виклик та/або копію MAC_RAND. Мобільний ІР-вузол 20 перевідані про розрахунки та/або ТАР-файли на основі ряє, щоб обчислене значення MAC_RAND було детальної інформації про виклик відносяться за таким самим, як і одержане значення MAC_RAND. допомогою системи виставляння рахунків 55 до Якщо ці два значення не співпадають, мобільний провайдера послуг або банку. Крім засобів аутенІР-вузол 20 припиняє спосіб аутентифікації та не тифікації користувача, які були описані вище, іннадсилає до мережі ніяких аутенти фікаційних кофраструктура системи за винаходом по суті вклюдів, обчислених SIM-карткою. Оскільки значення чає два додаткових компоненти, які є істотними RAND одержують разом з кодом аутентифікації для установки та інтеграції. Ці два компоненти є повідомлення MAC_RAND, ІР-вузол 20 може гарамодулем процесора ядра 59 та вищезгаданим монтувати, що RAND є новим і був згенерований дулем контрольного шлюзу 22. Взаємодія та задаGSM-мережею. Якщо всі перевірки дали вірні речі двох компонентів описані нижче. зультати, ІР-вузол 20 надсилає відповідь ΕΑΡ/SIM Модуль контрольного шлюзу 22 ідентифікує (виклик) 7, яка містить, як відповідь, MAC_SRES будь-який доступ користувача до платних ресурдля ІР-вузла 20. Сервер доступу 23 перевіряє, чи сів, тобто послуг, що потребують оплати, від проMAC_RES є вірним і з рештою надсилає пакет вайдера інформаційних ресурсів. Модуль контроданих успіху ΕΑΡ 8, який вказує ІР-вузлу 20, що льного шлюзу 22 працює як шлюз або пристрій аутенти фікація пройшла успішно. Сервер доступу контролю доступу до платних ресурсів і відмовляє 23 може додатково надсилати одержаний сеансоабо надає доступ до послуг провайдерів інформавий ключ з повідомленням про аутентифікацію ційних ресурсів. Для цього інтернет-запити від ко(ΕΑΡ-успіх) точці доступу 22 або модулю контрористувача або ІР-вузла 20 направляються до мольного шлюзу 22. У випадку успішної аутенти фікадуля контрольного шлюзу 22 замість надсилання ції, здійснюється корекція місцезнаходження у HLR безпосередньо до провайдера інформаційних ре37 та/або VLR 37 і ІР-вузол 20 одержує відповідсурсів. Вхідні запити перевіряються модулем контний запис у базі даних користувачів сервера дорольного шлюзу 22 з використанням адреси приступу. У випадку ІР-вузлів 20 у наземних мережах значення (URL) для перевірки того, чи вони та у випадку мобільних ІР-вузлів 20 у WL AN, від"потребують оплати". Перед наданням дозволу на повідний запис робиться в модулі пам'я ті модуля доступ, модуль контрольного шлюзу 22 встановконтрольного шлюзу 22. лює ідентичність користувача, як описано вище, за Якщо IP-вузол 20 або IMSI був а утентифіковадопомогою IMSI та серверів RADIUS. Модуль конний, ІР-вузол 20 може бути використаний для затрольного шлюзу 22 запитує додаткові інструкції питування про доступ до інформаційного вмісту, від модуля процесора ядра 59, використовуючи цю наприклад, до файлів, що потребують оплати, інформацію аутентифікації. Провайдери інформапровайдерів інформаційних ресурсів. Для ІР-вузла ційних ресурсів можуть встановити, наприклад, 20 для забезпечення доступу до вмісту від проапаратну та/або програмну логіку, наприклад, з вайдера інформаційних ресурсів у мережі, доступ використанням JAVA-аплету і т.д., на своїй вебмаршрутизується через модуль контрольного сторінці, яка переадресовує доступ користувача до шлюзу 22. При використанні модуля контрольного відповідного модуля контрольного шлюзу 22. Як шлюзу 22, адреса призначення береться за основу приклад, може бути використаний код сценарію для перевірки того, чи потребує доступ оплати. для запитання правильного маршруту для запиту Згадуваний тут провайдер інформаційних ресурсів користувача від мережного модуля, в результаті є таким, що продукує інформаційні ресурси та/або чого запит про структур у HTML-сторінки переадпублікує і торгує ними в інтернеті. Ресурси не пересується на цей шлях за допомогою HTTP реміщаються до ISP, a залишаються в розпоряRedirects або подібних способів. Використовуючи дженні провайдера інформаційних ресурсів. Промодуль контрольного шлюзу 22, користувач може вайдери інформаційних ресурсів виставляють на тепер здійснювати доступ до платних ресурсів або продаж та продають послуги, рахунки на оплату послуг провайдера інформаційних ресурсів. Мояких виставляються за допомогою системи за видуль контрольного шлюзу 22 потребує з'єднання з находом. Провайдери послуг нормально пересимодулем процесора ядра 59 для того, щоб предлають ресурси від провайдерів інформаційних ставляти користувачу інформацію, що стосується ресурсів через свою мережу користувачам та/або транзакції, та для контролю і документування опедозволяють користувачу доступ до таких ресурсів. рацій доступу до платних ресурсів. Модуль контСистема та/або спосіб за винаходом можуть бути рольного шлюзу 22 може бути встановлений або використані провайдерами послуг для віднесення інтегрований в мережу провайдера послуг, напритаких послуг, що потребують оплати, від провайклад, аналогічно до прокси-сервера. Модуль контдерів інформаційних ресурсів, незалежно від того, рольного шлюзу 22 не містить ніякої контекстної де ця послуга здійснюється чи надається, на своїх інформації і тому може бути просто використаний 23 85592 24 та масштабований в середовищах з балансуванбути виконаний на міжплатформенній основі, і таням навантаження, таких як DNS Robin або Web ким чином може використовуватися на великій Switches. кількості платформ серверів прикладних програм. Модуль процесора ядра 59 сполучається з База даних, використовувана для модуля процемодулем контрольного шлюзу 22 та генерує дані сора ядра 59, може бути, наприклад, реляційною для виставляння рахунків. Кожного разу, коли кобазою даних, що відповідає стандарту JDBC. Мористувач хоче одержати послуги, що потребують дуль процесора ядра 59 потребує інтерфейсу для оплати, через ІР-вузол 20, транзакція контролюописаного вище способу аутентифікації для іденється та документується модулем процесора ядра тифікації індивідуальних користувачів. Крім того, 22. Робиться запис про то, який користувач запимодуль процесора ядра 59 може включати інтертує який URL за якою ціною в який час та підтверфейс до системи виставляння рахунків провайдеджує оплату. Для виставляння рахунків провайдер ра послуг для захисту необхідних даних для виінформаційних ресурсів може, наприклад, скласти ставляння рахунків користувачам (наприклад, у прейскурант та зберігати його в базі даних процевигляді щомісячного рахунку до сплати). Прейскусора ядра, так щоб він міг бути доступним. Для рант може бути представлений за допомогою проздійснення транзакції та генерування запису даних дукту або каталогу послуг, який містить перелік для виставляння рахунків, модуль процесора ядра послуг та асоційовані ціни на платні ресурси. Для 59 має ідентифікувати або аутентифікувати корисідентифікації платних ресурсів, спосіб за винахотувача (див. ви ще), надати йому цінову інформадом може використовувати те хнологію, подібну до цію про запитуван у послугу з бази даних і, на остієї, що використовується для керування так званові підтвердження користувача, надати або ними чорними списками. Іншими словами, інтерзаблокувати доступ до послуги. Чи буде транзакнет-адреси (URL) оцінюються за допомогою модуція здійснена, може залежати, зокрема, від лімітів, ля процесора ядра 59 та/або модуля контрольного встановлених провайдером послуг, та від самого шлюзу 22. Провайдер інформаційних ресурсів використувача, настройок фільтру користувача та користовує прейскурант для визначення, для певінших параметрів профілю, та загальних правил. них ділянок свого веб-сайта, цін за надання достуМодуль процесора ядра 59 може мати форму припу до платних ресурсів. Наступний приклад кладної JAVA-програми, тобто, наприклад, може показує кілька можливих цінових записів: URL http://www.sоmеnеwsпровайдер.соm/stocks/*.html http://www.sоmеnеwsпровайдер.соm/stockarch/*.htm http://www.sоmеnеwsпровайдер.соm/аrсhіvе/1440 В цьому прикладі, провайдер інформаційних ресурсів хоче продавати користувачам ринкову інформацію за ціною 1 евро за виборку результатів пошук у. За ринковий пошук в архіві він вимагає 3 євро, а пошук в загальному архіві може бути здійснений протягом 24 годин (1440 хвилин) та коштує 5 євро. Згідно з цим прикладом, провайдер інформаційних ресурсів може просто структурувати вміст свого веб-сервера таким чином, щоб він задавав відповідну цінову модель. Крім того, провайдер інформаційних ресурсів може визначити правила доступу, наприклад, таким чином, щоб користувачі провайдера послуг могли мати доступ до платних ресурсів безпосередньо, без додаткової реєстрації на веб-сайті. Загальнодоступні інформаційні ресурси можуть продовжувати транспортуватися загальнодоступним шляхом, навіть якщо використовуються спосіб та/або система за винаходом. Через систему мають направлятися лише операції доступу до платних ресурсів - конкретніше, за допомогою модуля контрольного шлюзу 22, який надає дозвіл на доступ та контролює передачу даних. Як приклад, додатковим агентом аутенти фікації може бути також гнучкий елемент, який сполучається з інтерфейсом провайдера послуг для запитування ідентифікації про рахунок за IP-адресою. Як приклад, агент аутенти фікації може встановлювати TCP-з'єднання з інтерфейсом аутенти фікації для надсилання запиту. Однак, можливо також використовувати для цього будь-яку іншу міжмережну взаємодію, таку як захист за допомогою SSL, використання запитів до бази даних Захист/час 5 5 1440 Ціна 1 3 5 (JDBC, ODBC, власні інтерфейси і т.д.). Однак, агент аутентифікації такого роду вже не потребує аутенти фікації, здійснюваної на основі RADIUS, і може бути використаний, наприклад, для подальшого підвищення безпеки системи. Для визначення розмірів апаратної частини модуля контрольного шлюзу 22, можна використовувати, наприклад, ряд можливих одночасних з'єднань від маршрутизатора до модуля контрольного шлюзу 22. Як емпіричне правило, можна прийняти, як приклад, що 10% користувачів, підключених в даний час до інтернету, є одночасно причиною з'єднання з модулем контрольного шлюзу 22. Число мережних карт може бути визначено, наприклад, таким чином, щоб можна було обробляти розрахункове число одночасних з'єднань з модулем контрольного шлюзу 22. Орієнтовно, 100-Мбітний NIC (інформаційний центр мережі) може обробляти, наприклад, приблизно 1400 HTTP-викликів за секунду. Модуль контрольного шлюзу 22 може мати характеристики, подібні до прокси-сервера, наприклад: (1) модуль контрольного шлюзу 22 працює як прокси-сервер: нове вихідне з'єднання (до веб-сервера) встановлюється (http або https) для вхідного з'єднання (від браузера); (2) вихідне з'єднання з модулем процесора ядра 59 встановлюється (https) для вхідного з'єднання, якщо воно потребує оплати. Для того, щоб якомога повніше виключити фактори, що впливають на з'єднання, може бути бажаним забезпечити окремий мережний інтерфейс для кожного напрямку зв'язку. Наступні розрахунки можуть бути ви 25 85592 26 користані, наприклад, як основа для визначення необхідного апаратного забезпечення: Опис Розрахунок Для кожного 100-Мбітного NIC може здійснюватися до 1400 httpзапитів за секунду При використанні HTTPS, може бути досягнута продуктивність, 1400/4 рівна приблизно 1/4 HTTP Пік запитів (пік одночасних запитів за секунду) становить при350*5 близно 20% від активних користувачів За нашими оцінками, пік платежів (пік одночасних користувачів, 1750*100 які запитують проведення транзакцій зі сплати) становить 1% від бази активних користувачів Модуль контрольного шлюзу 22 може, наприклад, не містити контекстної інформації про з'єднання користувачів. Відповідно, можна використовувати стандартні механізми розподілу навантаження для розподілу запитів на множину машин, таких як DNS Robin та/або Web Switches. Якщо буде бажаний високий рівень доступності, може бути потрібним, наприклад, розрахувати систему з щонайменше подвоєним апаратним забезпеченням. Апаратне забезпечення може бути обладнано придатною операційною системою, наприклад, такою, як Sun Solaris та/або Linux/Intel та/або FreeBSC/lntel і т.д. Функції модуля контрольного шлюзу 22 можуть відповідати зворотному HTTP серверу, який, як прокси-сервер, розміщений як шлюз між споживачем та сервером інформаційних ресурсів. Програмне забезпечення може бути розроблено, наприклад, на основі стандарту НТТР/1.1 та відповідати вимогам до шлюзу на основі RFC 2068. Модуль контрольного шлюзу 22 Результат 1400 http/c 350 https/c 1750 одночасних платних користувачів 175000 одночасних користувачів інтернету може працювати, наприклад, як серверний процес, який може бути встановлений та запущений під час надання користувачу прав доступ у. Може бути використаний, наприклад, привілейований порт 80 (стандарт порт http), але доступ може бути відповідно встановлений як переадресація порту. Важливо відзначити, що система за винаходом дозволяє провайдерам послуг здійснювати віднесення послуг від провайдерів інформаційних ресурсів на своїх користувачів незалежно від того, де організована чи надається ця послуга, і таким чином забезпечити сплату та розрахункові послуги. Зокрема, дана система забезпечує високий стандарт безпеки для провайдера послуг (ISP), провайдера інформаційних ресурсів та користувача при виставлянні рахунків за інформаційні ресурси, що потребують оплати, що неможливо при використанні звичайної системи на основі відомого рівня техніки. 27 Комп’ютерна в ерстка О. Гапоненко 85592 Підписне 28 Тираж 28 прим. Міністерство осв іт и і науки України Держав ний департамент інтелектуальної в ласності, вул. Урицького, 45, м. Київ , МСП, 03680, Україна ДП “Український інститут промислов ої в ласності”, вул. Глазунова, 1, м. Київ – 42, 01601