通過在用戶終端實施通信量計數對漫游移動物體進行gprs通信量計費的制作方法

專利名稱：通過在用戶終端實施通信量計數對漫游移動物體進行gprs通信量計費的制作方法
技術領域：
本發明涉及對3GPP GPRS移動物體的可靠計費(charging)，并且尤 其涉及在外部公共陸地移動網絡(PL匪)中漫游的移動物體。
背景技術：
在3GPP中，正在主動定義基于PS的服務的下一代體系結構。這項工 作是在工作項目SAE (系統體系結構演變)下進行。在該上下文中討論 移動網絡的新體系結構。該工作集中在簡化和成本效益更合算的體系結 構上，使得網絡中需要較少的節點。還集中在更加有效的協議和支持具 有更高性能需求的服務上。較小的延遲和較高的吞吐量是重要問題。當 通信量需要例如經由本地網絡(Home network) 一皮j氐效; 各由而用戶正在 訪問的PLMN (VPLMN)中漫游時，就出現過多的延遲。
經由本地網絡的^各由纟皮稱作長號(tromboning )效應，并且這在CS (電路交換)域中是眾所周知的，其中電話呼叫可以從VPLMN經過HPLMN (本地PLMN)路由到B方終端用戶。存在例如VoIP (因特網電話)和 IMS( IP多媒體子系統)的情況，其中對存在于與主叫用戶相同的VPLMN 中的對等用戶進行呼叫，^(旦是通信量必須通過IMS和HPLMN中的GGSN 發送。這不是最優的。
漫游用戶由本地操作器(operator)收費(bill)。當GPRS用戶正 在漫游時，VPLMN中的SGSN將會進行通信量測量和對被處理的通信量數 量進行計數。通信量報告被發送到本地操作器作為CDR(計費數據記錄)， 用于在操作器之間記賬(accounting)。在當前的解決方案中，通信量 還通過HPLMN,在那里本地操作器生成其自己的CDR,并且復核(double check)訪問操作器從本地操作器要求的通信量計費(還有用戶收費) 是否正確。
當前存在的3GPP指定的GPRS體系結構是為對等待時間有中等需要的 ES (分^1交換)應JK而不是為對延遲敏感的實時應用,諸如VoIP或 游戲精心設計的。對于這些類型的應用，本地路由(長號)可能存在問
4對于路由問題和長號效應的解決方案可以是被稱作本地突圍
(breakout)的方法(或CS域中的最優路由)，而不是將PS通信量從 VPL國通過HPLMN和本地GGSN路由出到互聯網或者到達其它網絡，通信 量被從VPLMN直接發送到外部網絡或服務網絡，參見圖1中的路由A。
然而，本地突圍方法從通信量方面考慮可能是有吸引力的，但是從控 制面的觀點考慮就少有吸引力效果。新的問題出現了。當通信量被直接 從VPL匪路由出來的時候，在HPLMN中沒有可能的控制面活動。本地操 作器將不能夠進行通信量計量(metering )或任意其它的通信量流控制。 然而，本地操作器還仍然必須對用戶收費，但是在這種情況下完全基于 由訪問操作器生成的CDR。本地操作器將沒有辦法檢查訪問操作器的要 求。這些情況需要對本地和訪問操作器之間的關系有強烈的信任。
不解決計費信任問題，本地突圍方法可能不會得S 'J操作器的允許。

發明內容
為了解決為漫游移動用戶提供的本地突圍服務中不同參加者之間的 信任問題，本發明的目標是引入一種新穎的方法，對通信量計數并報告 修補一些與已知解決方案相關的問題。這以幾種方式完成，第一方面， 提供一種在無線通信網絡中執行財務交易(financial transaction) 的方法，包括如下步驟
在訪問公共陸地移動網絡(VPLMN)的支持節點中從用戶設備(UE) 中接收通信量計數信息以及數字簽名；
在VPLMN中生成通信量計數記錄(15 ),所述通信量計數記錄具有來 自UE的通信量計數信息、連同數字簽名和來自VPLMN的通信量計數信 息；和
將該通信量計數記錄發送到本地公共陸地移動網絡(HPLMN)設備。
該方法進一步包括將來自UE的通信量計數信息與來自VPLMN設備的 通信量計數信息相比較的步驟。
該方法甚至進一步包括對UE通信量計數信息與VPL匪通信量計數信 息之間的差別有所反應的步驟。
數字簽名可以被加密。
通信量計數信息可以包括關于通信量容量、持續時間、連接時間、連
5接斷開時間、數據分組數目、上行鏈路/下行鏈路、PDP上下文、IP地 址、每個應用(例如電子郵件、游戲、因特網電話(VoIP)或者瀏覽)
和APN (接入點)至少其中之一的信息。
VPLMN設備可被安排為，只在使用本地突圍會話時使用該方法。該方 法可進一步包括將通信量計數信息與預付費信息數據相比較的步驟。
本發明的另一方面提供一種基礎結構網絡，其包括用于實施上述方法 的基礎結構設備。
本發明的又一方面提供一種用戶設備，其包括處理器，所述處理器被 安排為計數通信量信息，并被安排為將通信量信息與數字簽名一起發送 到訪問公共陸地移動網絡(VPL隱)。
用戶可進一步被安排為使用聯邦信息處理標準(FIPS186)、聯邦信 息處理標準(FIPS186)數字簽名標準(DSS)、全域Hash、基于RSA的 RSA-PSS (概率簽名方案)、DSA (數字簽名算法)、ECDSA (橢圓曲線 DSA)、 EIGamal簽名方案、不可爭辯的簽名，或者利用RSA生成簽名的 SHA (安全Hash算法)的至少其中之一。
本發明的再一方面提供一種包括處理設備的本地位置記賬服務器，所 述處理設備被安排為接收通信量計數記錄，所述通信量計數記錄具有來 自用戶設備(UE)的組合的通信量計數信息、數字簽名和來自訪問公共 陸地移動網絡(VPLMN)的計數信息。
該處理設備被進一步安排為使用聯邦信息處理標準(FIPS186)、聯 邦信息處理標準(FIPS186)數字簽名標準(DSS)、全域Hash、基于 RSA的RSA-PSS (概率簽名方案)、DSA (數字簽名算法)、ECDSA (橢 圓曲線DSA) 、 EIGaraal簽名方案、不可爭辯的簽名，或者利用RSA控 制數字簽名真實性的SHA (安全Hash算法)的至少其中之一。
本發明的另 一方面，提供一種在移動通信基礎結構中用于生成計費記 錄的支持節點，包括用于如下步驟的裝置
從用戶設備(UE)接收通信量計數信息以及數字簽名；
生成通信量計數記錄，所述通信量計數記錄具有來自UE的通信量計 數信息、連同數字簽名和來自支持節點的通信量計數信息；和
將該通信量計數記錄發送到本地公共陸地移動網絡(HPLMN)。
本發明提供一種解決方案，用于使可由操作器接收的本地突圍、用戶 本地操作器和掌握該用戶正在其中訪問的網絡的操作器能夠接收該解決方案，因為這樣可以在某些點上控制通信量計數信息并將它們互相比 較。通信通信量不需要通過本地網絡路由，而可以是到達與訪問網絡直 接聯系的其它用戶設備的捷徑，由此降低通信基礎結構網絡中所需的通 信量容量。另一優點是，訪問操作器能夠實時地控制來自用戶設備的通 信量計數信息，并且如果發現任何偽造企圖則迅速采取適當措施。本發 明還與記賬和預付費通信協議兼容。


下面將參照附圖中所示的示例性實施例，對本發明進行非限制性和更 詳細的描述，其中
圖1示意性地示出了本地突圍體系結構；
圖2示意性地示出了本地突圍和增強型收費體系結構；
圖3以框圖形式示意性地示出了根據本發明的方法；
圖4以框圖形式示意性地示出了根據本發明的基礎結構節點；以及
圖5以框圖形式示意性地示出了根據本發明的用戶設備。
具體實施例方式
圖1中，附圖標記10 —般表示本發明運行所在的通信網絡。用戶設 備(UE)被連接到遠離本地公共陸地移動網絡(HPLMN) 4的訪問公共陸 地移動網絡(VPLMN) 3。本發明涉及這樣的情況，其中訪問UE 1與另 一 UE 2通信并且作為與訪問UE 1的HPLMN 4通信的代替，其可能感興 趣于通過VPLMN 3直接通信以便降低不同網絡組件之間的通信量路由。 該網絡1 0進一步包括UE 1 、 2之間的通信鏈3各7和VPLMN 3與HPLMN 4 之間的基礎結構通信《連3各11。 VPLMN 3和HPLMN 4可通過各自的通信鏈 路8和9而被連接到各自通信網絡5和6。
本地操作器需要得到 一種方法來檢查來自訪問操作器的報告是正確 的還是至少似乎是真實的。提供這種功能的一種方法是在通信量計數中 涉及UE1 (用戶設備，例如移動電話)，因為所有輸出通信量是從UE 1 發起的。這可以以不同方式完成，在原理上足夠可以使UE 1單獨完全 控制計數通信量，而無需網絡10中的任何計數。然而，該方法是不可 靠的，因為對用戶設備1的用戶來說，存在為了得到免費或成本降低的 服務而篡改通信量計數算法的動機。
7更現實的方法是使UE 1和VPLMN 3操作器一起對通信量容量計數。 基于計數的值，UE 1生成可靠通信量報告，其被發送到該網絡。可靠報 告應被周期性生成，例如每次超過(pass )通信量容量限制時、以規則 的時間間隔或者通過來自HPLMN 4操作器系統的輪詢。可靠報告應通過 訪問操作器而被發送到本地操作器。可靠通信量報告被用信號通知給訪 問操作器，訪問操作器會將其插入VPLMN通信量計數信息中，例如作為 CDR (計費數據記錄)并將其發送給本地操作器，即訪問操作器會將來 自UE 1的可靠報告附加到由訪問操作器系統3產生的CDR,形成包括 UE 1通信量計數信息和VPLMN 3通信量計數信息二者的報告。這樣，當 CDR被本地操作器4接收時，將會有來自訪問操作器3和UE 1 二者的 CDR中的通信量計數信息。以這種方式，本地操作器可以將兩個值進行 相互對照地復核。為了使訪問操作器3不操縱生成可靠通信量報告的UE 1,需要通過一些適當方式進行保護，例如數字簽名、加密數據，或者 用于降低篡改風險的其它方法。除了 CDR，還可以使用其它通信量計數 信息結構。
從UE 1和VPLMN 3生成通信量報告的優點是，偽造通信量報告的動 機在不同方向上驅動報告值UE 1得益于低計數，而VPLMN 3操作器得 益于高計數。這種情況保證了對HPLMN 4操作器來說復核該報告的有效 方式，并保證了終端用戶和VPLMN 3操作器在違法活動中是不合作的。
圖2示出了根據本發明的本地突圍和增強型收費體系結構。訪問UE 1 和其它UE 2之間的通信量被在本地突圍路徑A 8上發送，而不通過本 地PLMN 4。
UE 1具有能夠利用任意的精確度和顆粒度對通過其的通信量容量進 行計數的軟件SW,并且在某一觸發點上，通過附加到UE 1上的SIM (用 戶身份模塊)17的幫助，生成密碼的數字簽名，具有通信量計數信息的 "SIGN(簽名)"，其與通信量報告一起被發送12到網絡，即例如VPL顧 3或者直接發送到HPLMN 4。
訪問網絡3有能力捕獲新的信息元、通信量報告和"SIGN",并將其 插入到由VPL罷3產生13的下一個CDR 15中，其為UE 1被發送14到 本地操作器，例如發送到本地操作器收費系統16或者用作中間通信代 理人的收費代理。
本地操作器收費系統16能夠解密信息通信量報告和"SIGN",并將其用于驗證訪問網絡所報告的計數字節的正確性。
根據本發明的方法被示于圖3，其中示出了下面的步驟
301. UE 1生成具有通信量計數信息的數字簽名("SIGN")，并將其 與UE生成的通信量報告一起發送到訪問網絡；
302. 訪問網絡對到達UE 1的通信量進行計^:;
303. 當訪問網絡生成CDR 15時，其將"SIGN"與UE 1生成的通信量 計數和VPLMN 3生成的報告一起插入；
304. CDR 15被發送到本地操作器收費系統16;
305. 在"SIGN"與UE 1生成的通信量報告的幫助下，本地操作器收 費系統16檢查來自VPL匪3的通信量計數凈艮告的有效性；和
306. 本地操作器對用戶收費。
UE 1對在上行鏈路和下行鏈路上通過它的全部通信量進行計數。在特 定的本地操作器定義的觸發點上，其可以是基于量的，基于時間的，或 者輪詢的，UE l計算通信量報告。基于時間的計數可以包括持續時間、 連接時間和連接斷開時間。該報告可包括僅僅量的一個總和，或者可以 被分在具有較高顆粒度的計數中，諸如每個上行鏈路/下行鏈路、每個 PDP上下文、每個IP地址、每個應用(例如電子郵件、游戲、VoIP或 瀏覽)、每個APN (接入點)等。通過使用每個APN計數，訪問操作器 可以精確地將用戶已經計數的通信量容量看作通過訪問操作器APN。基 于該通信量報告，在例如SIM卡或某些其它能夠有理由不能篡改的獨特 標識符的幫助下，數字簽名"SIGN"被計算。如本領域技術人員所知， 數字簽名可以以任何適當的方式加密。適當的數字簽名方案可以包括但 不限于聯邦信息處理標準(FIPS186)、聯邦信息處理標準(FIPS186) 數字簽名標準(DSS)、全域Hash、基于RSA的RSA-PSS (概率簽名方 案)、DSA (數字簽名算法)、ECDSA (橢圓曲線DSA) 、 EIGamal簽名 方案、不可爭辯的簽名，或者利用RSA的SHA (安全Hash算法)(通常 是SHA-1)。數字簽名保護通信量報告，使得"SIGN"顯示通信量報告 是否已經被改變。
數字簽名也是鑒權(authentication),表示該報告由正確的UE 1 可信地生成。這由HPL匪4用于看出它不是試圖影響收費系統16的偽 造UE 1。
通信量報告和數字簽名與要被包括在下一 CDR 15中的請求一起被發送到VPLMN 3，所述下一CDR 15由VPLMN 3生成并一皮發送到HPLMN 4。
訪問網絡4必須捕獲UE 1生成的通信量報告和"SIGN"并將其插入 CDR 15中。CDR 3#皮發送到HPL麗4以用于記賬和報告。利用FBC/PCC (基于流的計費/策略控制和計費)，可以向VPLMN 3指示對未被VPLMN 3計費的特定服務流進行零(null )計數。然而，為了報告的目的，即 使未被計費，所有通信量也都應該被計數并報告給HPLMN 4。
利用UE 1生成的通信量報告被公開發送并受簽名保護的方法，VPL麗 3能夠閱讀該報告但不能改變它。然后，VPL匪3可以驗證由UE l發送 的報告是否與其自己的通信量計數相符合。如果檢測出差異，則VPLMN 3 能立即采取行動，例如禁止欺騙性的UE 1接入該網絡。這對VPLMN 3 操作器來說也是有益的UE 1生成的通信量報告可以不同方式被發送到 HPLMN 4。上面已經給出了通過VPLMN 3發送它的優點，^f旦盡管如此可 以有利用其它方法的優點，例如HPLMN 4可以獨立于VPLMN 3而直接從 UE1提取報告。在任何情況下，讓網絡(NW)來決定報告方法是重要的。 通過利用從VPLMN 3發送到UE l的標志，指示VPLMN 3是否需要UE 1 報告，這對于VPLMN 3來說是可以做到的。
在UE 1在本地PLMN 4中的期間，以及在利用某些例如AAA協議(鑒 權、授權和記賬)，諸如半徑或直徑協議或任何其它標準或專有協議的 適當互連協議的漫游周期期間，本地PLMN收費系統16接收UE 1生成 的數字簽名保護的通信量報告的連續流。通過將UE生成的報告與VPL廳 生成的CDR相比較，本地PLMN收費系統16可能能夠將UE 1中的通信 量計數與本地NW中的通信量計數、訪問冊中的通信量計數相關聯并且 借助包括在通信量報告中的時間戳。這樣則可以檢測訪問操作器計數中 的任何不連續性或不規則性(給定本地操作器能夠信任UE 1數字簽名 保護的計數)。
收費信任問題可能足夠嚴重，使得技術上更有吸引力的本地突圍方法 會可能被放在一邊，而吸引力較弱的解決方案將會被指定在3GPP中的 SAE中。對于漫游的移動物體的記賬來說即使是在本地突圍的情況下， 本發明確保操作器能夠彼此信任，并做出最佳的技術上的選擇。
現在轉向圖4，示意性框圖中示出了根據本發明的基礎結構節點(例 如支持節點)，其中處理單元401處理通信數據和通信控制信息。基礎 結構節點400進一步包括易失性(例如RAM) 402和/或非易失性存儲器(例如硬盤或閃存盤)403、接口單元404。基礎結構節點400可進一步 包括移動通信單元405和骨干通信單元406，每一個具有各自的連接接 口。基礎結構節點中的全部單元能夠互相之間直接通信，或者通過處理 單元401間接地通信。用于處理到附連到網絡的移動單元以及來自該移 動單元的通信的軟件至少部分地在該節點中執行，并且也可被存儲在節 點中；然而，該軟件還可在該節點開始時或在稍后例如服務間隔期間的 階段上被動態加載。該軟件可以實現為計算^/L程序產品和分布在可移除 計算機可讀介質上，例如磁盤、CD-ROM (緊湊型只讀存儲器)、DVD(數 字化視頻盤)、閃存或類似的可移除存儲介質(例如緊湊型閃存、SD安 全數字、記憶棒、迷你SD、 MMC多媒體卡、智能媒體、transf lash、 XD )、 HD-DVD (高清晰度DVD)或藍光DVD、基于USB (通用串行總線)的可移 除存儲介質、磁帶介質、光存儲介質、磁-光介質、磁泡存儲器或分布 為通過計算機網絡(例如互耳關網、局域網(LAN)或類似網絡)的傳播 信號。
圖5以示意性框圖的形式示出了根據本發明的用戶設備(UE),其中 處理單元501處理通信數據和通信控制信息。UE 500進一步包括易失性
(例如RAM) 502和/或非易失性存儲器(例如硬盤或閃存盤)503、接 口單元5(M。 UE 500可進一步包括具有各自連接接口的移動通信單元 50、 UE中的全部單元能夠互相之間直接通信，或者通過處理單元501 間接地通信。用于實現根據本發明方法的軟件可以在UE 500中執行。 UE 500還可以包括用于與諸如SIM卡的識別單元通信的4fe口 506,所述 識別單元唯一地識別網絡中的UE并用于識別"SIGN"(即通信量計數 和UE的數字簽名)。經常出現在UE中的其它特征未在圖5中示出，但 是本領域技術人員應當理解，例如對于移動電話來說的天線、攝像頭、 可替換存儲器、屏幕和按鍵。
應當注意到，雖然CDR分析經常在后面階段離線進行，它們也可以實 時地執行(稱作在線計費)。例如，不同形式的預付費功能可以與本發 明一起實現，例如通過將Gy接口用于在線計費信用(credit)的分布。 然而，本領域技術人員明白，對于涉及FBC (基于流的計費)的系統， 利用SGSN或GGSN節點而不是預付費通信量信息的方法被稱作"桶
(bucket)"而不是CDR。 VPL匪或HPLMN系統可一皮安4非為將通信量信 息數據與預付費信息數據相比較，以使得只要剩下的預付費數據中存在信用，則UE就能夠通信。
應當進一步注意到，詞語"包括"不排除存在與這里所列不同的其它 元素或步驟，且元素之前的詞語"一"或"一個"不排除存在多個這種 元素。本發明至少可以部分地在軟件或硬件中實現。應當進一步注意到， 任何參考標記不限制本發明的范圍，并且幾個"裝置"、"設備"和"單 元"可以用同一件硬件來代表。
上面提到和描述的實施例只是作為例子給出，而不應當限制本發明。 如下面所述專利權利要求中所述的本發明范圍內的其它解決方案、用 途、目的和功能對本領域技術人員來說應該是顯而易見的。
定義
GGSN 網關GPRS支持節點
GSN GPRS支持節點
IE 信息元
SGSN 服務GPRS支持節點
UE 用戶設備
權利要求
1、一種在無線通信網絡中執行財務交易的方法，包括如下步驟-在訪問公共陸地移動網絡(VPLMN)的支持節點(3，400)中從用戶設備(UE)(1)中接收通信量計數信息和數字簽名；-在VPLMN(3)中生成通信量計數記錄(15)，所述通信量計數記錄具有來自UE(1)的通信量計數信息、連同所述數字簽名和來自VPLMN(3)的通信量計數信息；和-將所述通信量計數記錄(15)發送到本地公共陸地移動網絡(HPLMN)設備(4)。
2、 根據權利要求1所述的方法，包括將來自UE ( 1 )的通信量計數信 息與來自VPL固設備(3)的通信量計數信息相比較的步驟。
3、 根據權利要求2所述的方法，包括對UE通信量計數信息與VPLMN 通信量計數信息之間的差別有所反應的步驟。
4、 根據權利要求1所述的方法，其中所述數字簽名被加密。
5、 根據權利要求1所述的方法，其中所述通信量計數信息包括關于 通信量容量、持續時間、連接時間、連接斷開時間、數據分組數目、上 行鏈^各/下行鏈路、PDP上下文、IP地址、每個應用(例如電子郵件、 游戲、因特網電話(VoIP)或者瀏覽)和APN (接入點)至少其中之一的信息。
6、 根據權利要求1所述的方法，其中VPL麗設備(3)被安排為只在 使用本地突圍會話時使用該方法。
7、 根據權利要求1所述的方法，進一步包括將通信量計數信息與預 付費信息數據相比較的步驟。
8、 一種基礎結構網絡，其包括用于實施根據權利要求1所述的方法 的基礎結構設備(7)。
9、 一種用戶設備(l),其包括處理器，所述處理器被安排為計數通 信量信息，并被安排為將通信量信息與數字簽名 一起發送到訪問公共陸地移動網絡(VPLMN) ( 3)。
10、 根據權利要求8所述的用戶設備，進一步被安排為使用聯邦信息 處理標準(FIPS186 )、聯邦信息處理標準(FIPS186 )數字簽名標準(DSS )、 全域Hash、基于RSA的RSA-PSS (概率簽名方案)、DSA (數字簽名算 法)、ECDSA (橢圓曲線DSA) 、 EIGamal簽名方案、不可爭辯的簽名， 或者利用RSA生成簽名的SHA (安全Hash算法)的至少其中之一。
11、 一種包括處理設備的本地位置記賬服務器，所述處理設備被安排 為接收通信量計數記錄(15),所述通信量計數記錄具有來自用戶設備(UE) ( 1 )的組合通信量計數信息、數字簽名和來自訪問公共陸地移 動網絡(VPLMN) (3)的計數信息。
12、 根據權利要求10所述的本地位置記賬服務器，其中該處理設備 被進一步安排為使用聯邦信息處理標準(FIPS186)、聯邦信息處理標 準(FIPS186)數字簽名標準(DSS)、全域Hash、基于RSA的RSA-PSS(概率簽名方案)、DSA(數字簽名算法)、ECDSA (橢圓曲線DSA)、 EIGamal簽名方案、不可爭辯的簽名，或者利用RSA控制數字簽名真實 性的SHA (安全Hash算法)的至少其中之一。
13、 一種移動通信基礎結構(10)中用于生成計費記錄(15 )的支持 節點(3， 400 ),包括用于如下步驟的裝置-從用戶設備(UE) (1)中接收通信量計數信息和數字簽名；-生成通信量計數記錄(15 ),所述通信量計數記錄具有來自UE ( 1 )的通信量計數信息、連同數字簽名和來自支持節點(3， 400 )的通信量計凄t信息；和-將所述通信量計數記錄(15 )發送到本地公共陸地移動網絡(HPLMN )("。
全文摘要
本申請涉及對來自終端的通信量計費，尤其涉及對來自正在訪問PLMN(未要求)中漫游的GPRS移動終端的通信量計費。根據申請人公認的現有技術，通信量通過本地PLMN或本地操作器依賴于訪問操作器，以生成要被本地操作器用于收費的CDR。然而，第一種解決方案導致長號和低效的通信量計數，第二種解決方案需要本地與訪問操作器之間很強的信任關系。本發明規避了兩個問題，這是因為終端生成通信量計數信息并將其發送到訪問網絡。訪問網絡生成通信量計數記錄，該通信量計數記錄包括來自終端的通信量計數信息和來自訪問網絡的通信量計數信息。該通信量計數記錄接下來被發送到本地網絡。
文檔編號H04W4/24GK101479989SQ200680055216
公開日2009年7月8日 申請日期2006年7月4日 優先權日2006年7月4日
發明者G·里德內爾, L·洛夫森, S·阿克塞爾森 申請人:艾利森電話股份有限公司