公众网络认证的系统与方法

1.一种公众网络认证的系统，其特征在于，该系统至少包括：
一移动台；
一认证服务器；
一认证代理器，具备与该移动台相对应的一用户识别模块；
其中该移动台由该认证代理器进行认证，该认证代理器使用该用户识别模 块由该认证服务器进行认证。
2.如权利要求1所述的系统，其特征在于，该系统进一步包括：
一接入网络；
其中，该移动台经该认证代理器认证成功，由该认证代理器控制该接入网 络，以准许该移动台连上互联网。
3.如权利要求1所述的系统，其特征在于，该系统进一步包括：
一记帐中心；
一路由器；
其中，该认证代理器控制该路由器产生帐单给该记帐中心。
4.如权利要求1所述的系统，其特征在于，该系统进一步包括：
一外部接入网络，包含一使用权控制器；
该移动台漫游至该外部接入网络，该移动台经该认证代理器认证成功，由 该认证代理器通知该使用权控制器准许该移动台连上互联网。
5.一种公众网络认证的方法，其特征在于，该方法包括：
一移动台与具有与该移动台相对应的一用户识别模块的一认证代理器以 一第一协议进行认证；以及
该认证代理器使用该用户识别模块与一认证服务器以一第二协议进行认 证。
6.如权利要求5所述的方法，其特征在于，该方法进一步包括：
该移动台经该认证代理器认证成功，由该认证代理器控制接入网络，准许 该移动台连上互联网。
7.如权利要求5所述的方法，其特征在于，该方法进一步包括：
由该认证代理器控制一路由器产生帐单给一记帐中心。
8.如权利要求5所述的方法，其特征在于，该方法进一步包括：
该移动台漫游至一外部接入网络，该移动台经该认证代理器认证成功，由 该认证代理器通知一使用权控制器准许该移动台连上互联网。
9.一种公众网络的认证代理器，其特征在于，该认证代理器具有与一移动 台相对应的一用户识别模块，该认证代理器与该移动台使用一第一协议进行认 证，该认证代理器根据该用户识别模块与一认证服务器使用一第二协议进行认 证。
10.如权利要求9所述的认证代理器，其特征在于，该认证代理器控制一 接入网络以准许该移动台连上互联网。
11.如权利要求9所述的认证代理器，其特征在于，该认证代理器控制一 路由器产生帐单给一记帐中心。
12.如权利要求9所述的认证代理器，其特征在于，该认证代理器通知一 外部接入网络的一使用权控制器，准许该移动台漫游至该外部接入网络时连上 互联网。

(1)技术领域\n本发明有关一种公众网络(Public Network)，尤指一种无线局域网络 (Wireless Local Area Network，WLAN)提供公众服务(Public Services)时的认证 系统与方法。\n(2)背景技术\n自全球移动电话系统(Global System for Mobile communication，GSM)启用 以来，无线通讯在安全性方面有重大突破。这突破来自GSM将用户识别模块 (Subscriber Identity Module，SIM)安装在移动电话上，协助移动网络进行认证 (Authentication)与加密(Encryption)。图1是先前技术的GSM认证系统架构图。 移动电话100具备SIM卡88，与GSM网络进行认证。在GSM网络中，基地台36(Base Station，BS)负责交换来自移动电话100的无线电信号与来自移动交换中心 (Mobile Switch Center，MSC)70的有线信号。移动交换中心70与参访位置注册 器(Visitor Location Register，VLR)75的任务是对移动电话100进行认证的程 序。(移动交换中心70与参访位置注册器75通常被设计在一起)。每当移动电话 100要求服务时，参访位置注册器75要求移动交换中心70对移动电话100进行认 证。移动交换中心70负责对移动电话100发出认证要求(Authentication Request)，并接收来自移动电话100的认证响应(Authentication Response)，比 较移动电话100的认证响应是否认证成功。若认证成功，移动交换中心70知会移 动电话100服务接受；若失败，则移动交换中心70知会移动电话100服务拒绝。 在GSM网络的其它组件中，认证中心(Authentication Center，AuC)95负责保管 移动电话100的认证钥匙Ki，产生认证参数(如：RAND，SRES等)，经由本籍位置 注册器(Home Location Register，HLR)90传送给参访位置注册器75。记帐中心 (Billing Center，BC)80接受移动交换中心70所产生的帐单(Charging Data Record)86，以便出帐。\n近年来，由于无线局域网络(Wireless Local Area Network，WLAN)市场的成 长，促使无线局域网络可用于提供公众服务(Public Services)。当大众使用无线 局域网络卡，通过服务业者(Service Provider)所铺设的公众无线局域网络取得互 联网服务时，安全性便是最重要的课题。因此，国际大厂在无线局域网络卡产品内 安装SIM卡，用以提升无线局域网络的安全性。图2是先前技术的公众无线局域网 络认证系统架构图。本架构包含四大类组件：客户端、接入网络端、互联网端、与 GSM核心网络端。客户端组件包含移动台(Mobile Station，MS)10与无线局域网络 卡200，其中无线局域网络卡200具备SIM卡88。接入网络端包含无线局域网络的 基地台(Access Point，AP)30、路由器(Router)40与认证网关(Authentication Gateway，AG)250。互联网端包含互联网50与服务器(Server)60。GSM核心网络端 的组件包含移动交换中心70、参访位置注册器75、认证中心95、本籍位置注册器 90与记帐中心80(与图1完全相同)。在图2架构中，若移动台10通过认证，则可 拥有基地台30与路由器40的使用权(Access Right)，连上互联网50，取得服务 器60的互联网服务。在认证过程中，当移动台10需要互联网服务时，向认证网关 250发出服务要求(Service Request)。认证网关250将此服务要求转送给参访位 置注册器75，参访位置注册器75要求移动交换中心70对移动台10发出认证要求。 这认证要求经由认证网关250转送到移动台10，移动台10根据无线局域网络卡200 的SIM卡88执行认证响应。这认证响应经由认证网关250转送到移动交换中心70， 比较是否认证成功。若认证成功，移动交换中心70知会认证网关250服务接受 (Services Accept)，认证网关250开放移动台10使用基地台30与路由器40连上 互联网50；若失败，则移动交换中心70知会认证网关250服务拒绝(Services Reject)。当移动台10认证成功后，路由器40产生使用记录，认证网关250根据 这些使用记录产生帐单86给记帐中心80。所以，认证网关的任务主要是处理移动 台的服务要求，转送移动台与移动交换中心的认证信令，控制移动台连上互联网的 使用权，及产生帐单给记帐中心。\n由于图2的无线局域网络卡200将SIM卡88嵌入，增加无线局域网络卡设计 的复杂度。所以，有厂商寻求不改变现有无线局域网络卡的设计，但使移动台具备 SIM卡的功能。如图3所示的移动台10，配备无线局域网络卡20，另外通过计算 机界面300(如：PCMCIA、USB、RS232等)读取SIM卡88的数据，以向网络进行认 证。(图3的网络端组件与图2完全相同)。\n由图1、图2与图3明显得知，SIM卡88皆嵌入在客户端设备中。这些客户 端设备如图1的移动电话100、图2的无线局域网络卡200以及图3的笔记本计算 机移动台10。在这些先前的认证系统中，客户端设备使用SIM卡与认证服务器 (Authentication Server，如：移动交换中心)进行认证。然而，SIM卡嵌入在客 户端设备必须在客户端设备中设计SIM卡插槽，这将增加客户端设备设计复杂度与 成本。\n(3)发明内容\n本发明的目的是提出一种公众无线网络认证的系统与方法，可避免变更客 户端设备的设计，降低客户端设备的成本，而可进行公众无线网络认证。\n本发明的公众网络认证的系统，其特点是，该系统至少包括：一移动台； 一认证服务器；一认证代理器，具备与该移动台相对应的一用户识别模块；其 中该移动台由该认证代理器进行认证，该认证代理器使用该用户识别模块由该 认证服务器进行认证。\n该移动台并不须安装用户识别模块(SIM卡)，而将该移动台的SIM卡安 装在该认证代理器上，这使得该移动台由该认证代理器进行认证，该认证代理 器使用该移动台的SIM卡由该认证服务器进行认证。此外，认证代理器还负责 处理移动台的服务要求，控制移动台连上互联网的使用权及产生帐单给记帐中 心等工作。\n为进一步说明本发明的目的、结构特点和效果，以下将结合附图对本发明进 行详细的描述。\n(4)附图说明\n图1是先前技术的GSM认证系统架构图。\n图2是先前技术的公众无线局域网络认证系统架构图。\n图3是先前技术的公众无线局域网络认证系统架构图。\n图4是本发明的公众无线网络认证系统架构图。\n图5是本发明的一般移动台于认证系统信令流程图(Signaling Flow Chart)。\n图6是本发明的漫游移动台于认证系统信令流程图。\n(5)具体实施方式\n图4是本发明的公众无线网络认证系统架构图。本架构包含五大类组件： 客户端、接入网络端、外部接入网络端、互联网端、与GSM核心网络端。客户 端组件包含移动台(Mobile Station，MS)10与无线局域网络卡20。接入网络 端包含无线局域网络的基地台30、路由器40与认证代理器(Authentication Agent，AA)800。其中，认证代理器800通过计算机界面886连接SIM卡插槽 888，SIM卡插槽888包含SIM卡88等。计算机界面886可以是RS232、USB、 PCI总线、或PCMCIA等，使认证代理器800可以读取SIM卡88的认证信息。 外部接入网络端包含无线局域网络的基地台35、路由器45与使用权控制器 (Access Right Controller，ARC)600。互联网端包含互联网50与服务器60。 GSM核心网络端的组件包含移动交换中心70、参访位置注册器75、认证中心95、 本籍位置注册器90、与记帐中心80(GSM核心网络端的组件与图1完全相同)。\n在图4架构中，当移动台10需要互联网服务时，移动台10须与认证代理 器800认证，认证代理器800使用移动台10的SIM卡88与移动交换中心70 认证。移动台10与认证代理器800间认证的通讯协议，不一定需要标准 (Standard)，如远程认证嵌入用户服务(Remote Authentication User Service， RADIUS)或Kerberos，也可以由服务提供业者自行定义(Proprietary)。若移动 台10认证失败，则服务拒绝。若移动台10通过认证，则可以拥有基地台30 与路由器40的使用权，连上互联网50，取得服务器60的互联网服务。当移动 台10取得互联网服务，路由器40产生使用记录，认证代理器800根据这些使 用记录产生帐单86给记帐中心80。\n图5是本发明的认证系统信令流程图。在图5中，包含三个认证组件：一 个移动台10、一个认证代理器800、一个认证服务器700。其中，认证代理器 800具有移动台10的SIM卡88，代理移动台10协助对认证服务器700认证。 认证服务器700可以是GSM网络中的移动交换中心70，负责对SIM卡88执行 认证。当移动台10需要互联网服务时，向认证代理器800发出服务要求(信令 510)，并与认证代理器800进行认证(信令520)。若移动台10认证失败，则服 务拒绝；若认证成功，认证代理器800对认证服务器700发出服务要求(信令 530)。认证服务器700发出认证要求(信令540)给认证代理器800，认证代理 器800根据移动台10的SIM卡88执行认证响应(信令550)。当认证服务器700 收到认证响应550后，比较是否认证成功。若认证成功，认证服务器700知会 认证代理器800服务接受(信令560)，认证代理器800再知会移动台10服务接 受(信令570)，认证代理器800并开放移动台10连上互联网；若失败，则认证 服务器700知会认证代理器800服务拒绝(信令580)，认证代理器800再知会 移动台10服务拒绝(信令590)。\n所以，本发明认证系统的认证代理器具有移动台的SIM卡，任务包含处理 移动台的服务要求，与移动台认证，与认证服务器(如：移动交换中心)认证， 控制移动台连上互联网的使用权，及产生帐单给记帐中心等。\n在图4架构中，移动台10可能漫游到外部接入网络。若移动台10需要互 联网服务，必须先取得基地台35与与路由器45的使用权。在外部接入网络中， 基地台35与路由器45的使用权由使用权控制器600监控。所以，移动台10 必须向使用权控制器600发出服务要求，直到取得使用权控制器600的服务接 受。\n图6是本发明的漫游移动台于认证系统信令流程图。在图6中，包含四个 认证组件：一个移动台10、一个使用权控制器600、一个认证代理器800、与 一个认证服务器700。当移动台10漫游到外部接入网络并需要互联网服务时， 移动台10向使用权控制器600发出服务要求(信令610)。使用权控制器600再 向移动台10的认证代理器800发出服务要求(信令615)。认证代理器800开始 对移动台10进行认证620。若移动台10认证失败，则服务拒绝；若认证成功， 认证代理器800与认证服务器700进行认证(同图5的信令530~580)。若认证 成功，认证代理器800知会使用权控制器600服务接受(信令660)，再由使用 权控制器600知会移动台10服务接受(信令665)，使用权控制器600并开放移 动台10连上互联网；若失败，则认证代理器800知会使用权控制器600服务 拒绝(信令680)，再由使用权控制器600知会移动台10服务拒绝(信令685)。\n本发明的公众认证系统，不将SIM卡安装在移动台上，而安装在认证代理 器内，使得用户的移动台不用变更设计，并节省移动台制造成本。通过移动台 由认证代理器进行认证以及认证代理器使用该移动台的SIM卡由认证服务器进 行认证，亦达到移动台由认证服务器进行认证的目的。\n虽本实施例的系统应用于公众无线局域网络，但亦可以应用于公众有线网 络。\n当然，本技术领域中的普通技术人员应当认识到，以上的实施例仅是用来说 明本发明，而并非用作为对本发明的限定，只要在本发明的实质精神范围内，对以 上所述实施例的变化、变型都将落在本发明权利要求书的范围内。