本發(fā)明涉及用于實現(xiàn)從公共通信網(wǎng)絡(luò)到移動訂戶裝置的語音和文本數(shù)據(jù)服務(wù)的方法,其包括:在移動訂戶裝置到達與數(shù)據(jù)網(wǎng)絡(luò)相關(guān)聯(lián)的接入點時,使用與移動訂戶裝置相關(guān)聯(lián)的歸屬位置寄存器和/或認證中心來認證移動訂戶裝置,其中認證包括:
-從移動訂戶裝置接收響應(yīng)于從接入點發(fā)送到移動訂戶裝置的身份請求包而作出的身份應(yīng)答;
-將所述身份應(yīng)答轉(zhuǎn)發(fā)到歸屬位置寄存器和/或認證中心;以及接收作為響應(yīng)的標識三元組;
-使用標識三元組質(zhì)詢移動訂戶裝置,并且從移動訂戶裝置的訂戶身份模塊(sim)接收質(zhì)詢應(yīng)答,該質(zhì)詢應(yīng)答包括國際移動訂戶身份(imsi)。
背景技術(shù):
歐洲專利公布ep-a-1624639公開了通過接入網(wǎng)絡(luò)(不支持安全協(xié)議ieee802.1x)的基于sim的認證的方法和系統(tǒng)。借助于用戶終端,用戶經(jīng)由連接到wisp網(wǎng)絡(luò)的接入點向移動運營商網(wǎng)絡(luò)中的eap-sim服務(wù)器進行認證。臨時憑證存儲在移動運營商網(wǎng)絡(luò)中的本地數(shù)據(jù)庫中。
國際專利公布wo2013/000645公開了為無線終端提供接入分組核心網(wǎng)的方法,具體地旨在實現(xiàn)對ip網(wǎng)絡(luò)的數(shù)據(jù)卸載。
技術(shù)實現(xiàn)要素:
本發(fā)明尋求提供方法和系統(tǒng),該方法和系統(tǒng)允許移動電話用戶在電話處于“飛行模式”時,即移動電話模塊關(guān)閉并且僅無線局域網(wǎng)(wlan)連接可用時發(fā)起和接收可在其自己的移動電話號碼和sim下獲得的語音呼叫和sms兩者。
根據(jù)本發(fā)明,提供了上述的根據(jù)開篇所定義的方法,其中認證還包括將imsi存儲在訪客位置寄存器中并且將訪客位置寄存器附接到歸屬位置寄存器;并且方法還包括在適于公共通信網(wǎng)絡(luò)的第一數(shù)據(jù)格式與適于數(shù)據(jù)網(wǎng)絡(luò)的第二數(shù)據(jù)格式之間轉(zhuǎn)換語音和文本數(shù)據(jù)服務(wù),并且為移動訂戶裝置提供用于語音和文本數(shù)據(jù)服務(wù)的通信路徑。
因此根據(jù)本發(fā)明,已經(jīng)描述了用于在沒有3gpp接入網(wǎng)絡(luò)的情況下為移動訂戶提供針對語音、sms和數(shù)據(jù)的漫游的方法和系統(tǒng)實施例。
在另外方面,根據(jù)本發(fā)明提供智能訂戶管理單元(ismu),其包括訪客位置寄存器、到公共通信網(wǎng)絡(luò)的接口以及經(jīng)由數(shù)據(jù)網(wǎng)絡(luò)到移動訂戶裝置的接口,其中智能訂戶管理單元包括第一部分,該第一部分被布置成在移動訂戶裝置到達與數(shù)據(jù)網(wǎng)絡(luò)相關(guān)聯(lián)的接入點時,使用與移動訂戶裝置相關(guān)聯(lián)的歸屬位置寄存器和/或認證中心認證移動訂戶裝置,其中認證包括
-從移動訂戶裝置接收響應(yīng)于從接入點發(fā)送到移動訂戶裝置的身份請求包而作出的身份應(yīng)答;
-將身份應(yīng)答轉(zhuǎn)發(fā)到歸屬位置寄存器和認證中心;以及接收作為響應(yīng)的標識三元組;
-使用標識三元組質(zhì)詢移動訂戶裝置,并且從移動訂戶裝置的訂戶身份模塊(sim)接收質(zhì)詢應(yīng)答,該質(zhì)詢應(yīng)答包括國際移動訂戶身份(imsi);
-將imsi存儲在訪客位置寄存器中并且將訪客位置寄存器附接到歸屬位置寄存器;
并且智能訂戶管理單元還包括轉(zhuǎn)換部分,該轉(zhuǎn)換部分用于在適于公共通信網(wǎng)絡(luò)的第一數(shù)據(jù)格式與適于數(shù)據(jù)網(wǎng)絡(luò)的第二數(shù)據(jù)格式之間轉(zhuǎn)換語音和文本數(shù)據(jù)服務(wù),并且使用到公共通信網(wǎng)絡(luò)的接口和到數(shù)據(jù)網(wǎng)絡(luò)的接口提供用于語音和文本數(shù)據(jù)服務(wù)的通信路徑。
提供本發(fā)明的方法實施例的功能,使得易于整合到現(xiàn)有的移動通信和數(shù)據(jù)網(wǎng)絡(luò)環(huán)境。
附圖說明
以下將參考附圖使用多個示例性實施例更詳細地描述本發(fā)明,其中
圖1示出了根據(jù)現(xiàn)有技術(shù)實現(xiàn)方式的與移動訂戶裝置有關(guān)的架構(gòu)的示意圖;
圖2示出了根據(jù)本發(fā)明的、用于為移動訂戶裝置提供語音和sms服務(wù)的架構(gòu)的實施例的示意圖;
圖3示出了根據(jù)本發(fā)明的智能訂戶管理單元的實施例的功能框圖;
圖4示出了根據(jù)本發(fā)明的方法的實施例的認證步驟的時序圖;
圖5示出了本發(fā)明方法的實施例的流程圖;并且
圖6示出了操作期間涉及移動訂戶裝置的通信的示意圖。
具體實施方式
本發(fā)明實施例使得移動電話用戶可以在電話處于“飛行模式”時發(fā)起和接收可在其自己的移動電話號碼和sim下獲得的語音呼叫和sms。電話模塊關(guān)閉并且僅需要wlan連接。
本發(fā)明實施例提供的解決方案把例如不被(私人)gsm(3gpp)服務(wù)覆蓋的私人wlan環(huán)境作為目標。這可以歸因于立法或例如技術(shù)環(huán)境的嚴格認證的其他因素。衛(wèi)星通信在航空環(huán)境中通??捎?,但機載電話服務(wù)被限制為僅呼出語音呼叫。存在對使用一個人自己的電話號碼的全功能語音和文本(sms)功能的需求。存在wlan被用于卸載3gpp環(huán)境中的數(shù)據(jù)流量(例如見于上述國際專利公布wo2013/000645)的情況,但通過wlan尤其是經(jīng)由衛(wèi)星連接實現(xiàn)語音和sms是新的。另外,解決方案應(yīng)適用于來自任何移動(3gpp)網(wǎng)絡(luò)的訂戶。
這里呈現(xiàn)的發(fā)明實施例涉及移動(3gpp)訂戶在不存在3gpp無線接入網(wǎng)絡(luò)的情況下使用數(shù)據(jù)、語音和sms服務(wù)的方法和系統(tǒng)。訂戶能夠使用3gpp(gsm/umts/lte等)之外的無線接入網(wǎng)絡(luò)來使用數(shù)據(jù)(互聯(lián)網(wǎng)、ip)服務(wù)。另外,還可以在其自己的唯一訂戶號碼(已知的msisdn)上發(fā)起并接收語音呼叫以及發(fā)送并接收sms消息。此發(fā)明在以下情況下進行操作:移動3gpp無線單元關(guān)閉(被稱為飛行模式),并且可代用的(ip)數(shù)據(jù)接入單元打開,而借助于存儲在裝置的sim卡上的國際移動訂戶身份(imsi),向替代的(無線)接入網(wǎng)絡(luò)認證訂戶的通信裝置。
圖1示出涉及移動訂戶裝置1(與連接到數(shù)據(jù)(ip)網(wǎng)絡(luò)3的接入點2通信)的現(xiàn)有技術(shù)通信的示意圖。例如在無線局域網(wǎng)(wlan)11環(huán)境中實現(xiàn)接入點2與移動訂戶裝置1之間的通信。朝向歸屬地移動網(wǎng)絡(luò)運營商環(huán)境的鏈路還包括radius服務(wù)器4,其用于經(jīng)由另外的ip網(wǎng)絡(luò)5和連接到公共通信網(wǎng)絡(luò)7(例如基于ss7的網(wǎng)絡(luò)7)的map代理6實現(xiàn)認證(參見下文),該公共通信網(wǎng)絡(luò)7包括歸屬位置寄存器hlr8和認證中心auc9。
在1990年代末,定義了無線通信網(wǎng)絡(luò)的第一行業(yè)標準,并且命名為,諸如ieee802.11、homerf(兩個標準都具有2mbit/s的總帶寬)或ieee802.11b(11mbit/s)。2,4ghz的頻率最初僅為工業(yè)、科學和醫(yī)療使用而保留并且不用于公共使用。最后決定還針對例如藍牙和wlan的無線通信技術(shù)使用ism帶(工業(yè)、科學和醫(yī)療)?,F(xiàn)在ieee802.11b是最常使用的標準。定義了對標準的許多修改以增加帶寬。ieee802.11g在這里處于特殊位置,因為其與ieee802.11向下兼容。還眾所周知的是在5ghz帶中工作的ieee802.11a標準。兩個標準達到54mbit/s的總帶寬。表2.1顯示所有重要的wlan相關(guān)標準及其全稱。采用wlan是廣泛的并且通常是在具有嚴格安裝和/或輻射限制的環(huán)境(諸如飛機)中可用的唯一網(wǎng)絡(luò)類型。下表中列出各種ieee標準(還指示為ieee802.1x):
radius協(xié)議最初已經(jīng)設(shè)計為能夠驗證撥號用戶。radius代表遠程認證撥入用戶服務(wù),并且在1997年被標準化為rfc2058。由于其被rfc2138替代,該rfc2138已被rfc2865及其擴展rfc替代。radius支持三個a,即,認證、授權(quán)和計費(authentication、authorization和accounting)。在下文中,術(shù)語認證在此語境中使用,并且可以包括授權(quán)和計費。
radius傳統(tǒng)架構(gòu)支持撥號服務(wù)器,撥號服務(wù)器被稱為網(wǎng)絡(luò)接入服務(wù)器(nas),其可部署在任何電信公司的骨干網(wǎng)中,并且可由客戶(即,電信公司)訪問而無需進行任何具體更改。因此,它能夠進行集中的用戶管理。在使用這種系統(tǒng)時,需要采取以下步驟來建立連接:
·用戶經(jīng)由調(diào)制解調(diào)器或isdn連接到nas。
·成功建立了調(diào)制解調(diào)器與nas之間的線路連接,客戶端發(fā)送其認證憑據(jù)。這通過ppp內(nèi)部認證協(xié)議(諸如pap或chap)完成。在這種情況下為eap,這將在后面解釋。
·這些憑證經(jīng)由radius協(xié)議傳輸?shù)絩adius服務(wù)器,該服務(wù)器檢查用戶數(shù)據(jù)的有效性??山?jīng)由用戶數(shù)據(jù)庫在radius服務(wù)器上進行檢查,該用戶數(shù)據(jù)庫例如可以存儲在sql服務(wù)器上。隨后將結(jié)果(接受或拒絕)發(fā)送回nas,這取決于結(jié)果授予或拒絕訪問。
·此外,可以利用radius包發(fā)送其他信息,例如允許用戶使用哪些服務(wù)。
為了評估radius協(xié)議的優(yōu)點,應(yīng)注意以下幾點:
·nas主要是從ppp內(nèi)部認證到radius的協(xié)議轉(zhuǎn)換裝置。
·在通常的設(shè)置中,nas不直接與實際的認證服務(wù)器進行通信。通常使用將包轉(zhuǎn)發(fā)到適當?shù)膔adius服務(wù)器的radius代理。
·為了支持漫游(這需要radius服務(wù)器的級聯(lián)),用戶名包含稱為“域”的后綴。這個域由@與用戶名分隔開。域幫助radius服務(wù)器將認證請求轉(zhuǎn)發(fā)到正確的數(shù)據(jù)庫或radius服務(wù)器。
·radius不僅用于撥號或wlan認證解決方案,還用于在vpn網(wǎng)關(guān)、防火墻器具或甚至web服務(wù)器上認證用戶。
gsm網(wǎng)絡(luò)(全球移動通信系統(tǒng))是全球領(lǐng)先的移動電話標準。本節(jié)在必要的程度上對此進行總結(jié)以便解釋本發(fā)明。如在傳統(tǒng)的電話網(wǎng)絡(luò)內(nèi),訂戶標識與他的固定電話號碼有關(guān)。在傳統(tǒng)的電話系統(tǒng)中,電話號碼綁定到電話插孔,在gsm系統(tǒng)中,它綁定到訂戶身份模塊(sim)。出于保密原因,gsm區(qū)分呼叫號碼msisdn(移動臺國際訂戶號碼簿號碼)與訂戶身份imsi(國際移動訂戶身份)。僅msisdn需要被公眾所知。唯一的映射msisdn<==>imsi在hlr(歸屬位置寄存器)中完成。因此,用于識別的imsi對于gsm運營商的網(wǎng)絡(luò)運營人員以外的任何人通常都是未知的。imsi存儲在sim中,以將sim識別到網(wǎng)絡(luò)。imsi和分配的密鑰ki是確保訂戶身份和機密性的機制的不可缺的部分。密鑰ki安全地存儲在sim卡上,并且永遠不通過空中接口傳輸。在移動電話運營方,ki存儲在歸屬地網(wǎng)絡(luò)運營商的auc(認證中心)處。gsm認證使用“質(zhì)詢和應(yīng)答”方法,a3/a8認證算法(3gppts43.020)。它在sim卡上運行,并且接收128位隨機數(shù)(rand)作為質(zhì)詢。sim基于rand和ki利用運算符特定算法來計算32位應(yīng)答sres和64位密鑰kc。kc密鑰用于加密gsm的空中接口。gsm認證三元組是包含三個gsm認證憑證rand、kc和sres的元組。
ieee802.1x的使用提供了用于認證并控制用戶流量進入受保護網(wǎng)絡(luò)的有效框架。其優(yōu)點之一是動態(tài)地改變加密密鑰。ieee802.1x使用最初指定用于撥號訪問的可擴展認證協(xié)議(eap)。有關(guān)eap的詳細信息,請參閱ietf的rfc3748。eap支持多種認證方法的擴展,諸如sim卡、公鑰證書和密碼哈希,但還限定令牌卡、kerberos、一次性密碼、證書以及公鑰認證的方法。
在802.1x通信的開始,請求者是未認證的(即,本文所使用的客戶端裝置或移動訂戶裝置)。當請求者嘗試連接到認證器(即802.11接入點)時,認證開始。接入點通過啟用僅允許來自客戶端的eap包到達位于接入點的有線側(cè)的認證服務(wù)器的端口來作出應(yīng)答。接入點阻止所有其他流量,諸如ip、icmp和dhcp包,直到接入點可以使用認證服務(wù)器(例如,radius)來驗證客戶端的身份。一旦被認證,接入點就打開客戶端的其他類型流量的端口。
·認證的開始取決于認證器的配置。在成功關(guān)聯(lián)之后,認證器發(fā)送eap身份請求而不需要請求者交互,或者請求者經(jīng)由eapol包明確地請求eap身份請求。
·請求者用eap身份應(yīng)答來回答該請求。認證器將該包轉(zhuǎn)發(fā)給認證服務(wù)器,認證服務(wù)器使用下面參考eap認證方法所描述的表中的一種認證算法。
·取決于所選擇的認證方法,質(zhì)詢包經(jīng)由認證器而在請求者與認證服務(wù)器之間進行交換。
·認證服務(wù)器向認證器發(fā)送接受或拒絕消息。
·認證器向請求者發(fā)送eap成功或拒絕包。如果認證服務(wù)器接受請求者,則認證器將端口設(shè)置為授權(quán)狀態(tài)并轉(zhuǎn)發(fā)額外流量。
eap/sim指定一種機制,用于經(jīng)由gsmsim卡而向與會話密鑰協(xié)議結(jié)合的網(wǎng)絡(luò)認證請求者。認證是相互的。eap/sim還提出了對gsm認證過程的一些增強。由于eap/sim是eap方法,eap/sim幀在接入點處被打包到radius包中。作為認證器,接入點只需要支持ieee802.1x和eap。當前,大多數(shù)radius服務(wù)器提供能夠處理eap/sim的插件。radius服務(wù)器使用三元組來質(zhì)詢客戶端。這些三元組由hlr(歸屬位置寄存器)或auc(認證中心)提供。
eap/sim協(xié)議改進了gsm認證和密鑰交換,因為它結(jié)合了多個認證三元組。這使得能夠生成更強大的認證答案和會話密鑰。gsm認證的弱點是缺乏互相認證以及64位加密密鑰對于數(shù)據(jù)網(wǎng)絡(luò)來說是不夠的事實。128位被認為是數(shù)據(jù)網(wǎng)絡(luò)中的最小密鑰長度。為了實現(xiàn)這一點,使用多個rand(隨機數(shù))進行質(zhì)詢,以獲得多個kc密鑰,隨后將多個kc密鑰組合成強大的密鑰材料。因此,kc密鑰不直接用于eap/sim,而是用于導(dǎo)出更強的密鑰。還通過消息認證碼(mac)來改進gsm認證,以確保認證的完整性。使用eap/sim,客戶端向網(wǎng)絡(luò)發(fā)出隨機數(shù)nonce_mt,以促成密鑰導(dǎo)出。這防止重放來自先前的交換的eap/sim請求。
關(guān)于eap/sim與gsm之間的認證和加密差異,存在四個主要差異:
·在gsm的情況下,僅客戶端被認證,并且客戶端無法檢查其是否連接到合法的gsm提供商。eap/sim提供相互認證以防止如gsm可能的中間人攻擊。
·在gsm標準中,用于加密空中接口的密鑰只有64位長。在eap/sim中,最長可多達128位。使用“多達(upto)”字,因為它取決于運營商的具體參數(shù),包括認證算法、ki密鑰的強度以及rand挑戰(zhàn)質(zhì)詢的質(zhì)量。例如,一些sim卡生成其中有10位設(shè)置為零的kc密鑰。這種限制可阻止級聯(lián)技術(shù)產(chǎn)生強的會話密鑰。
·為確保eap/sim認證的完整性,核心認證包用rfc2104中定義的hmac-sha1-128進行哈希處理。(hmac-sha1-128值通過將輸出截斷為16字節(jié)而從20字節(jié)的hmac-sha1值獲得)。
·ativ和atencrdata屬性可用于在eap/sim客戶端與服務(wù)器之間傳輸加密信息。傳輸tmsi或重新認證身份是傳輸?shù)募用軜撕灥?個示例。
所有四個差異使得eap/sim認證在安全性方面優(yōu)于gsm。eap/sim中有兩種認證方法和各種身份類型。本節(jié)的內(nèi)容對于理解本發(fā)明重要的eap/sim協(xié)議是必要的。三種身份類型是可區(qū)分的:
-永久身份(imsi):永久身份通常包含sim卡的imsi以及域。它僅在完全認證期間使用。
-假名身份(tmsi):在eap/sim包的加密部分內(nèi)在完全認證期間,將假名身份傳送給用戶。身份可用于完全認證而不是永久身份。這保護了imsi,因為它減少通過空中以清晰的文本變換的次數(shù)。
-重新認證身份:在完全認證期間,將在加密部分中向客戶端發(fā)出重新認證身份??蛻舳丝梢允褂迷撋矸輥磉M行重新認證而無需訪問sim卡。
一些客戶端實現(xiàn)方式在eap身份應(yīng)答包內(nèi)向radius服務(wù)器發(fā)送“啞id”。radius服務(wù)器不知道這些假名,因此,服務(wù)器經(jīng)由eap/sim包請求真實的id。eap/sim規(guī)范中未定義啞id,但也不禁止。
完全認證是eap/sim協(xié)議的基礎(chǔ),可以通過該認證來確認sim卡。以下步驟在完全認證期間進行,并依賴于來自hlr/auc的三元組。
1.認證開始于來自認證器的eap身份請求包(圖1中的框10)。
2.客戶端傳輸永久身份或永久假名(圖1中的框12),radius服務(wù)器從該永久假名導(dǎo)出永久身份。
3.由于請求者可能使用radius服務(wù)器未知的永久假名,radius服務(wù)器可以請求不同的身份,直到它識別了請求者。在eap/sim啟動包內(nèi),請求者和認證服務(wù)器也同意eap/sim的版本。
4.對于該身份,radius服務(wù)器請求來自hlr或auc的必要三元組(圖1中的框13)。這些三元組包含a3/a8算法的質(zhì)詢和結(jié)果。
5.radius服務(wù)器向客戶端發(fā)送質(zhì)詢,并且隨后將答案與從hlr或auc接收到的結(jié)果進行比較。請求者計算sim卡內(nèi)的答案。
6.認證成功后,進行授權(quán)過程。
7.之后是radius服務(wù)器發(fā)送密鑰材料,以用于加密到達接入點的空中接口??蛻舳艘呀?jīng)導(dǎo)出密鑰,并因此僅接收沒有密鑰的成功消息。
在重新認證期間,客戶端不訪問sim卡,這需要幾秒鐘,它比完全認證更快。認證所需的時間也因為更少的包被交換而減少。重新認證僅在完全認證之后可能進行,因為客戶端需要在完全認證期間獲得的臨時假名。原則上,此完全認證不必在同一會話中發(fā)生。但是由于這可以是安全問題,應(yīng)該由radius服務(wù)器防止。在會話開始時,radius服務(wù)器不應(yīng)接受重新認證。重新認證為radius服務(wù)器提供了檢查客戶端是否仍然存在的可能性。在重新認證期間,計算出新的空中接口加密密鑰。操作員也可通過強制重新認證來注銷活動用戶。這通過拒絕重新認證請求完成。
1.重新認證以接入點向客戶端發(fā)送eap身份請求開始。
2.客戶端將重新認證身份返回到接入點,該接入點將包轉(zhuǎn)發(fā)給radius服務(wù)器。
3.eap/sim啟動包的交換在重新認證中是任選的,因為不需要進行版本協(xié)商。如果客戶端在步驟2期間未發(fā)送有效的重新認證身份,則服務(wù)器可以明確地請求重新認證身份。
4.如果radius服務(wù)器檢測到有效的重新認證身份,則radius服務(wù)器發(fā)送重新認證請求,而不是eap/sim質(zhì)詢請求。radius服務(wù)器和客戶端使用來自完全認證的主密鑰來計算新的會話密鑰以用于加密與接入點的連接。
5.radius服務(wù)器將會話密鑰與成功消息一起發(fā)送到接入點。
eap/sim的標準化分兩步進行。第一個是eap/sim協(xié)議版本1,并且第二個包括協(xié)議的未來版本。發(fā)展的目標是版本1的標準化。現(xiàn)在在2006年注冊為rfc4186。自最后草案版本以來,也沒有根本的變化。例如,對加密提出的更改被拒絕,以保持向下兼容性。當前只有兩件事可以促進改變:雖然在ip世界中出現(xiàn)了標準,但eap/sim也觸及了gsm標準。因此,特殊的g3p工作組提出了一些建議。兩個工作組的結(jié)果在某些要素方面有所不同。例如,他們提出不同的域。安全和功能方面的一些細節(jié)可以再次改變。畢竟,這些都是具有最大變化在11、12以及13之間的部分。例如,如果服務(wù)器不發(fā)送新的三元組,或者如果三元組在認證中使用了不止一次,則現(xiàn)在允許客戶端拒絕認證。
當前,沒有計劃開發(fā)eap/sim的版本2。在版本1的設(shè)計期間,仍然考慮未來版本的可能性。它包括使用eap/sim啟動包的版本協(xié)商。還可能在客戶端遷移期間并行使用多于一個的版本。只需要更改radius服務(wù)器來支持兩個版本。接入點僅實現(xiàn)ieee802.1x和eap。
除了eap/sim,eap/aka也提供用于認證和會話密鑰分配的可擴展認證協(xié)議(eap)機制,該機制使用專用于ts33.102中的通用移動電信系統(tǒng)(umts)以及s.s0055-a中的cdma2000的第三代認證和密鑰協(xié)議機制(rfc4187)。umts和cdma2000是使用相同aka機制的全球第三代移動網(wǎng)絡(luò)標準。aka基于質(zhì)詢應(yīng)答機制和對稱密碼。aka通常在umts訂戶身份模塊(usim)或cdma2000(可移除)用戶身份模塊((r)uim)中運行。與諸如gsmaka的第二代機制相比,第三代aka提供實質(zhì)上更長的密鑰長度和相互認證。本發(fā)明可以使用eap-sim或eap-aka,因為它們可用于特定的目標裝置。當aka變得廣泛可用時,向eap-sim的回退可以是關(guān)于實現(xiàn)方式的最佳選擇。
本段解釋了radius服務(wù)器如何從hlr/auc獲得三元組,并描述了典型的生產(chǎn)環(huán)境設(shè)置。具有eap/sim插件的radius服務(wù)器從hlr/auc請求三元組,在這里,問題往往是hlr/auc處在ss7網(wǎng)絡(luò)中。這是特殊的非ip網(wǎng)絡(luò),其由gsm提供商用于他們的內(nèi)部通信。需要在ip與基于ss7的網(wǎng)絡(luò)之間部署轉(zhuǎn)換裝置。轉(zhuǎn)換裝置一方面要理解radius,并且另一方面要理解ss7map。具有eap/sim插件的radius服務(wù)器隨后經(jīng)由radius協(xié)議將三元組請求發(fā)送到轉(zhuǎn)換裝置,該轉(zhuǎn)換裝置隨后將請求作為ss7mapsendauthinfo請求發(fā)送到hlr/auc。一旦轉(zhuǎn)換裝置接收到ss7mapsendauthinfo應(yīng)答,它就生成相應(yīng)的應(yīng)答radius包。此類裝置,具有eap/sim插件的radius服務(wù)器以及到ss7世界中的接口是可商購獲得的。然而,本發(fā)明不僅提供radius-ss7轉(zhuǎn)換,而且充當將訂戶置于漫游場景的智能代理。本發(fā)明還提供對所供給服務(wù)的供應(yīng)、評級和計費。
在gsm網(wǎng)絡(luò)中關(guān)于由移動單元獲得的服務(wù)計費的現(xiàn)有技術(shù)中已知的是gsm協(xié)會的傳輸賬務(wù)數(shù)據(jù)交換組(tadig)的所謂tap協(xié)議(tap:傳輸賬務(wù)過程)。gsm基于漫游的概念,其允許移動無線電裝置的用戶在任何期望國家和網(wǎng)絡(luò)中使用他或她的移動無線電裝置。然而,所獲得服務(wù)的計費因此從不是微不足道的事情。當今全球已有超過400個gsm網(wǎng)絡(luò)在運行,并且另外在網(wǎng)絡(luò)運營商之間存在估計超過20000個單獨漫游協(xié)議。因此,看似簡單的漫游思路背后是數(shù)據(jù)采集、數(shù)據(jù)分配以及數(shù)據(jù)評估的非常復(fù)雜的過程,以便使計費成為可能。傳輸賬務(wù)過程(tap)是移動無線電網(wǎng)絡(luò)服務(wù)提供商交換漫游賬單信息的方法。在tap2和tap2+之后,tap3于2000年6月4日發(fā)布。tap3今天可以被稱為標準,盡管tap是進一步開發(fā)的協(xié)議。本發(fā)明使用tap文件來向訂閱服務(wù)的終端用戶收費(差異化)服務(wù)。
結(jié)合本發(fā)明使用的當前移動(訂戶)裝置是所謂的智能裝置,智能裝置包含其自己的操作系統(tǒng)(os),并且能夠加載軟件應(yīng)用程序(app)來添加功能或朝向終端用戶和/或可用的網(wǎng)絡(luò)連接執(zhí)行特定動作。終端用戶與網(wǎng)絡(luò)之間的交互變得越來越普遍,為終端用戶提供易于使用的通信服務(wù)。描述的發(fā)明與此特定軟件集成,以準備與本發(fā)明的中心部件進行通信的裝置。這使終端用戶能夠在撥打和接收呼叫以及發(fā)送和接收sms消息時具有相同的體驗。在需要時,此軟件還可以幫助終端用戶選擇正確的無線電接入網(wǎng)絡(luò)。軟件應(yīng)用程序利用智能裝置的應(yīng)用程序編程接口(api)來完全集成技術(shù)鏈。一旦終端用戶訂閱了服務(wù),軟件向裝置的注冊就使裝置能夠用網(wǎng)絡(luò)進行認證,因此本發(fā)明的核心要素可以將語音和sms流量朝向移動裝置重新路由。
sip(會話發(fā)起協(xié)議)是用于在基于ip的網(wǎng)絡(luò)中創(chuàng)建、管理和終止會話的信令協(xié)議。會話可以是簡單的雙向電話呼叫,或者其可以是協(xié)作的多媒體會議會話。sip在近期一直是與ip語音(voip)相關(guān)的服務(wù)的選擇。它是互聯(lián)網(wǎng)工程任務(wù)組(ietf)提出的標準(rfc3261)。隨著技術(shù)不斷擴展和發(fā)展,sip仍在發(fā)展并被修改以考慮所有相關(guān)特征。但應(yīng)注意的是,sip的工作僅限于會話的建立和控制。會話內(nèi)的數(shù)據(jù)交換的細節(jié),例如,與音頻/視頻媒體相關(guān)的編碼或編解碼器不受sip控制,并被其他協(xié)議所關(guān)注。sip僅限于會話的建立、修改和終止。它提供了四個主要目的:
-sip允許建立用戶位置(即,從用戶的名稱轉(zhuǎn)換為他們當前的網(wǎng)絡(luò)地址)。
-sip提供特征協(xié)商,使得會話中的所有參與者可以就其中要支持的特征達成一致。
-sip是呼叫管理的一種機制,例如添加、刪除或轉(zhuǎn)移參與者。
-sip允許在會話正在進行時更改會話的特征。
在sip場景中交互的實體稱為用戶代理(ua)。用戶代理可以以兩種方式運行:用戶代理客戶端(uac)(它生成請求并將其發(fā)送到服務(wù)器)或用戶代理服務(wù)器(uas)(它獲取請求、處理這些請求并生成應(yīng)答)。
一般來說,我們將客戶端的概念與終端用戶(即,在人們使用的系統(tǒng)上運行的應(yīng)用程序)相關(guān)聯(lián)。它可以是你的pc上運行的軟件電話應(yīng)用程序或你的ip電話中的消息裝置。當你嘗試通過網(wǎng)絡(luò)呼叫另一個人并將請求發(fā)送到服務(wù)器(通常是代理服務(wù)器)時,它會生成請求。
服務(wù)器通常是網(wǎng)絡(luò)的一部分。它們擁有一組預(yù)定義的規(guī)則來處理客戶端發(fā)送的請求。服務(wù)器可以有若干類型:
-代理服務(wù)器:這些是sip環(huán)境中最常見的服務(wù)器類型。當生成請求時,預(yù)先不知道接收方的確切地址。所以,客戶端將請求發(fā)送到代理服務(wù)器。代表客戶端的服務(wù)器(就像給它代理)將請求轉(zhuǎn)發(fā)到另一個代理服務(wù)器或接收方本身。
-重定向服務(wù)器:重定向服務(wù)器將請求重定向回到客戶端,指示客戶端需要嘗試不同的路由以到達接收方。這通常在接收方暫時或永久地從其原始位置移動時發(fā)生。
-注冊器:服務(wù)器的主要任務(wù)之一是檢測用戶在網(wǎng)絡(luò)中的位置。用戶不時通過向注冊器服務(wù)器注冊(發(fā)送特殊類型的消息)來刷新其位置。
-位置服務(wù)器:注冊器注冊的地址存儲在位置服務(wù)器中。
sip的命令包括:
invite:邀請用戶呼叫
ack:確認,用于促進針對invite的可靠消息交換。
bye:終止用戶之間的連接
cancel:終止對用戶的請求或搜索。如果客戶端發(fā)送invite,并隨后更改其呼叫接收方的決定,則使用它。
options:索取有關(guān)服務(wù)器能力的信息。
register:注冊用戶的當前位置
info:用于中段會話信令
隨后,典型的sip會話的示例如下:
照此,本發(fā)明實施例使用現(xiàn)有的技術(shù)和方法(如上所述)并結(jié)合另外的特征,以將語音和sms集成到不同于傳統(tǒng)3gpp路徑的數(shù)據(jù)載體中。在如先前所述的技術(shù)鏈中的可替代路徑(例如,具有802.1x的wlan)情況下,新的功能變得可用。
在一般術(shù)語中,本發(fā)明涉及一組實施例,其被定義為用于實現(xiàn)從公共通信網(wǎng)絡(luò)7到移動訂戶裝置1的語音和文本數(shù)據(jù)服務(wù)的方法,其包括在移動訂戶裝置1到達與數(shù)據(jù)網(wǎng)絡(luò)3(例如,ieee802.1x網(wǎng)絡(luò))相關(guān)聯(lián)的接入點2時,使用與移動訂戶裝置1相關(guān)聯(lián)的歸屬位置寄存器8和/或認證中心9來認證移動訂戶裝置1,其中認證包括:
-從移動訂戶裝置1接收響應(yīng)于從接入點2發(fā)送到移動訂戶裝置1的身份請求包而作出的身份應(yīng)答;
-將身份應(yīng)答轉(zhuǎn)發(fā)(并且非強制地,轉(zhuǎn)換)到歸屬位置寄存器8和/或認證中心9;以及接收作為響應(yīng)的標識三元組;
-使用標識三元組質(zhì)詢移動訂戶裝置(1),并且從移動訂戶裝置(1)的訂戶身份模塊(sim)接收質(zhì)詢應(yīng)答,該質(zhì)詢應(yīng)答包括國際移動訂戶身份(imsi(16));
-將imsi16存儲在(虛擬)訪客位置寄存器17中并且將訪客位置寄存器17附接到歸屬位置寄存器8;
并且還包括:在適于公共通信網(wǎng)絡(luò)7的第一數(shù)據(jù)格式與適于數(shù)據(jù)網(wǎng)絡(luò)3的第二數(shù)據(jù)格式之間轉(zhuǎn)換語音和文本數(shù)據(jù)服務(wù),并且向移動訂戶裝置1提供用于語音和文本數(shù)據(jù)服務(wù)的通信路徑。
圖2示出本發(fā)明實施例實現(xiàn)方式的示意圖。圖1的現(xiàn)有技術(shù)示意圖的radius服務(wù)器4、另外ip網(wǎng)絡(luò)5以及map代理6被包括訪客位置寄存器vlr17、radius/協(xié)議轉(zhuǎn)換器18以及主機移動網(wǎng)絡(luò)運營商網(wǎng)絡(luò)環(huán)境19的專用接口15替代。訪客位置寄存器17可以是移動虛擬網(wǎng)絡(luò)運營商網(wǎng)絡(luò)的一部分,因為不需要規(guī)則網(wǎng)絡(luò)運營商環(huán)境的所有功能來實現(xiàn)(虛擬)訪客位置寄存器vlr17。主機mno網(wǎng)絡(luò)環(huán)境19與公共通信(ss7)網(wǎng)絡(luò)7連接,并且任選地連接到規(guī)則公共交換電話網(wǎng)絡(luò)(pstn)20。圖2中還指示數(shù)據(jù)網(wǎng)絡(luò)3與接入點2之間的通信經(jīng)由衛(wèi)星通信3a(部分地)實現(xiàn)。
為了實現(xiàn)本發(fā)明實施例的關(guān)鍵功能(在沒有可用的3gpp無線電接入網(wǎng)絡(luò)的情況下呼出和呼入語音和sms),在運行鏈中需要多個技術(shù)部件(在圖2中部分示出):
-完整的mvno網(wǎng)絡(luò)(包括vlr)(ss7/map/scpp與主機mno互連),包括其漫游協(xié)議。入站呼叫/sms路由需要完整mvno。
-智能電話的軟電話應(yīng)用程序,其可以憑借使用eap-sim和/或eap-aka(umts)的wlan(ieee802.1x)網(wǎng)絡(luò)而進行連接并利用該wlan進行認證,具有用于入站和出站語音和sms的voip(sip)和消息傳遞(xmpp或smpp)能力。
-使用例如衛(wèi)星3a(inmarsat/iridium)的回傳路徑的從wlan位置到mvno網(wǎng)絡(luò)的ip連接
-認證器(通過eap-sim的移動應(yīng)用程序)與hmno和ip(sip/xmpp和smpp)之間的、朝向公共ss7互聯(lián)網(wǎng)絡(luò)的智能信令轉(zhuǎn)換。此信令轉(zhuǎn)換涉及sim對本地mno的訂戶認證、呼叫建立以及消息傳遞。
因此,在另一實施例中,從移動訂戶裝置1接收響應(yīng)于從接入點2發(fā)送到移動訂戶裝置1的身份請求包而作出的身份應(yīng)答,這使用eap-sim或eap-aka協(xié)議實現(xiàn)。
在另一個實施例中,將身份應(yīng)答轉(zhuǎn)發(fā)到歸屬位置寄存器8和/或認證中心9并且接收作為響應(yīng)的標識三元組,這使用遠程認證撥入用戶服務(wù)(radius)來實現(xiàn)。
在另一實施例中,使用會話發(fā)起協(xié)議(sip)來實現(xiàn)向移動訂戶裝置1提供用于語音服務(wù)的通信路徑。此外,可以使用可擴展消息傳遞與存在協(xié)議/對等短消息協(xié)議(xmpp/smpp)來實現(xiàn)向移動訂戶裝置1提供用于文本數(shù)據(jù)服務(wù)的通信路徑。
這樣,移動軟電話應(yīng)用程序可以啟動以下序列:
1.通過ieee802.1xwpa2網(wǎng)絡(luò)基礎(chǔ)設(shè)施,通過eap-sim或eap-aka將訂戶的認證請求發(fā)送到wlan網(wǎng)絡(luò)。
2.將認證通過radius和協(xié)議轉(zhuǎn)換轉(zhuǎn)發(fā)到歸屬地mno(hlr)。
3.執(zhí)行訂戶的位置更新,將訂戶的imsi放置到mvno網(wǎng)絡(luò)的vlr中。
4.針對此特定訂戶啟動收費和計費,利用現(xiàn)有漫游協(xié)議或使用cdr/tap文件流進行特殊計費。
5.呼入呼叫和sms消息通過公共(ss7)網(wǎng)絡(luò)頻道路由到mvno網(wǎng)絡(luò),如正常漫游場景。
6.如期望的,呼出呼叫和sms消息從mvno路由到其目的地。
如上參考圖2所述的整個技術(shù)要素鏈提供了向終端用戶傳送無縫體驗正常電話所需的關(guān)鍵功能:
-使用sim對歸屬地mno的端到端用戶認證。
-將用戶注冊為在mvno上漫游,將入站呼叫和sms消息路由到mvno。
-信令和流量的轉(zhuǎn)換要適應(yīng)可用承載網(wǎng);例如ip回傳、ss7互連和公共交換(tdm)網(wǎng)絡(luò)。
因此,在另一方法實施例中,使用在認證期間獲得的密鑰(諸如kc密鑰)來加密到達移動訂戶裝置1的語音和文本數(shù)據(jù)服務(wù)。在另一實施例中,公共通信網(wǎng)絡(luò)7是基于gsm的網(wǎng)絡(luò),并且在又一實施例中,數(shù)據(jù)網(wǎng)絡(luò)3可以是無線局域網(wǎng)(例如,ieee802.1x,包括作為ip網(wǎng)絡(luò)的一部分的可能的衛(wèi)星通信)。
本發(fā)明實施例的操作主要依賴于現(xiàn)有行業(yè)標準技術(shù)之間由中間系統(tǒng)處理的過程。此系統(tǒng)被稱為智能用戶管理單元(ismu)15,其在圖2的示意圖中將并入有vlr17和radius/協(xié)議轉(zhuǎn)換器18(以及與主機移動運營商網(wǎng)絡(luò)19的接口)。
操作的主要特征是這樣的部分:其中在不使用常規(guī)(3gpp)無線電接入網(wǎng)絡(luò)的情況下從移動裝置提取訂戶身份(imsi)。通過經(jīng)由接入點2向ieee802.1xeap-sim/aka網(wǎng)絡(luò)(例如wlan網(wǎng)絡(luò)3)注冊來發(fā)起此動作。所得radius請求包含訂戶的身份(imsi)16。一旦訂戶對歸屬地網(wǎng)絡(luò)進行認證,此imsi就存儲在駐留在ismu系統(tǒng)15內(nèi)的虛擬vlr17中并且可通過內(nèi)部api訪問,該內(nèi)部api還啟用訂戶管理功能(例如對訂戶的添加、刪除和計費)。位置更新僅發(fā)送到歸屬網(wǎng)絡(luò)(hlr)8一次,訂戶實際上向與ismu相關(guān)聯(lián)的sip服務(wù)器注冊,導(dǎo)致語音和sms流量重新路由回到ismu的交換部分。
一般來說,本發(fā)明在另一方面涉及智能訂戶管理單元(ismu),其包括
(虛擬)訪客位置寄存器17,到公共通信網(wǎng)絡(luò)7的接口以及經(jīng)由數(shù)據(jù)網(wǎng)絡(luò)3到移動訂戶裝置1的接口,
其中智能訂戶管理單元包括第一部分,該第一部分被布置成:在移動訂戶裝置1到達與數(shù)據(jù)網(wǎng)絡(luò)3相關(guān)聯(lián)的接入點2時,使用與移動訂戶裝置1相關(guān)聯(lián)的歸屬位置寄存器8和/或認證中心9來認證移動訂戶裝置1,其中認證包括
-從移動訂戶裝置1接收響應(yīng)于從接入點2發(fā)送到移動訂戶裝置1的身份請求包而作出的身份應(yīng)答;
-將身份應(yīng)答轉(zhuǎn)發(fā)(可能包括轉(zhuǎn)換)到歸屬位置寄存器8和認證中心9;以及接收作為響應(yīng)的標識三元組;
-使用標識三元組質(zhì)詢移動訂戶裝置1,并且從移動訂戶裝置1的訂戶身份模塊sim接收質(zhì)詢應(yīng)答,該質(zhì)詢應(yīng)答包括國際移動訂戶身份imsi16;
-將imsi16存儲在(虛擬)訪客位置寄存器17中并且將訪客位置寄存器17附接到歸屬位置寄存器8;
并且還包括轉(zhuǎn)換部分,該轉(zhuǎn)換部分用于在適于公共通信網(wǎng)絡(luò)7的第一數(shù)據(jù)格式與適于數(shù)據(jù)網(wǎng)絡(luò)3的第二數(shù)據(jù)格式之間轉(zhuǎn)換語音和文本數(shù)據(jù)服務(wù),并且使用到公共通信網(wǎng)絡(luò)7的接口和到數(shù)據(jù)網(wǎng)絡(luò)3的接口提供用于語音和文本數(shù)據(jù)服務(wù)的通信路徑。
本發(fā)明可以在核心部件中實施,正如圖2中的radius/協(xié)議轉(zhuǎn)換器18結(jié)合vlr17所進行的功能上的描述和描繪一樣。技術(shù)鏈的核心要素是本發(fā)明的核心,并且是區(qū)分本發(fā)明與任何其他現(xiàn)有系統(tǒng)的主要要素。核心要素已經(jīng)在上面進行了功能性指定。當描述本發(fā)明的核心時,圖2和圖3的圖本發(fā)明工作的邏輯系統(tǒng)和方法作了可視化。
在另一個實施例中,ismu還包括代理服務(wù)器31,該代理服務(wù)器31用于使用遠程認證撥入用戶服務(wù)(radius)來執(zhí)行將身份應(yīng)答轉(zhuǎn)發(fā)到歸屬位置寄存器8和/或認證中心9,并且作為響應(yīng),接收標識三元組。
ismu甚至可以還包括會話發(fā)起協(xié)議(sip)注冊器32,其用于向移動訂戶裝置1提供用于語音服務(wù)的通信路徑。
還可以提供消息傳遞網(wǎng)關(guān)33,用于向移動訂戶裝置1提供用于文本數(shù)據(jù)服務(wù)的通信路徑。
到公共通信網(wǎng)絡(luò)7的接口可以包括ss7/map接口和/或tdm/isup接口。
在另一個實施例中,到數(shù)據(jù)網(wǎng)絡(luò)3的接口包括以下各項中的一個或多個:ieee802.1xeap接口;sip接口;xmpp/smpp接口;rtp(g.729)接口。
所描繪的系統(tǒng)將802.1x認證的(wlan)客戶端橋接到中央單元,用于通過ss7/map對歸屬地(hlr)網(wǎng)絡(luò)進行端到端認證。在有效認證之后,sip客戶端可以向sip注冊器32注冊。從那時起,智能訂戶管理單元(ismu)30將從歸屬地網(wǎng)絡(luò)請求位置更新,并設(shè)置語音呼叫和sms消息的路由。從tdm到sip/rtp的轉(zhuǎn)碼使用根據(jù)g.729標準進行壓縮的(加密的)rtp流完成,以最小化客戶端側(cè)上的帶寬使用。圖4示出此方法實施例的消息傳送示例,其中信令網(wǎng)關(guān)37將vlr17的接口功能提供給歸屬地網(wǎng)絡(luò)(公共通信網(wǎng)絡(luò)7的一部分)中的hlr8。
訂戶漫游的認證、授權(quán)和注冊的邏輯過程在如圖5所示的流程圖中可視化。從過程的開始100,在步驟101中訪問移動訂戶裝置1的imsi儲存庫。使用radius發(fā)送用戶認證請求作為步驟102。在決策框103中測試所接收的應(yīng)答,如果其指示與imsi相關(guān)聯(lián)的訂戶被注冊,則流程進行到步驟104并向hlr8發(fā)送位置更新。如果不是,則步驟111進行(拒絕訪問),并且流程返回到在步驟102中的另一個用戶認證請求。
在步驟104之后,在決策框105中檢查是否接收到位置更新的確認,如果沒有,則流程再次返回到框111。如果接收到確認,則在框106中,相關(guān)聯(lián)的移動訂戶裝置1的imsi存儲在vlr17中,并且隨后提供流量路由(框107)。重復(fù)此操作直到訂戶斷開連接(決策框108),之后取消位置(步驟109)并從vlr17移除imsi(步驟110),并且流程再次返回到用戶認證請求的框。
在圖6的示意性架構(gòu)圖中示出了使用本發(fā)明實施例實現(xiàn)的具有用于到達移動訂戶裝置1的語音和文本數(shù)據(jù)服務(wù)的通信路徑的最終情況。在公共通信網(wǎng)絡(luò)7與移動訂戶裝置1之間,sms文本數(shù)據(jù)轉(zhuǎn)換為xmpp或smpp(框40),并且語音數(shù)據(jù)(ss7/isup)轉(zhuǎn)換成sip(框41)。
因此根據(jù)本發(fā)明,已經(jīng)描述了用于在沒有3gpp接入網(wǎng)絡(luò)的情況下為移動訂戶提供針對語音、sms和數(shù)據(jù)的漫游的方法和系統(tǒng)實施例。這使用對能夠漫游的訂戶的歸屬地網(wǎng)絡(luò)的sim(ieee802.1x-eapsim/aka)認證來實現(xiàn)。具體的優(yōu)點是促進來自多個網(wǎng)絡(luò)的訂戶的能力。不僅僅是主機網(wǎng)絡(luò)的訂戶,而有可能是通過主機網(wǎng)絡(luò)與訂戶的歸屬網(wǎng)絡(luò)之間的漫游協(xié)議而能夠入站漫游的所有訂戶。
使用本發(fā)明實施例,可以在其中訂戶不連接到歸屬地網(wǎng)絡(luò)并且通過本發(fā)明(執(zhí)行位置更新)而處于漫游情境中的特定情況下,在不使用3gpp無線電接入網(wǎng)絡(luò)的情況下從sim/裝置提取imsi并將其放置在vlr中。
與弱gsm認證和無線電加密相反,本發(fā)明實現(xiàn)了語音和sms流量的提高的安全性。gsm不提供相互認證,僅手機向網(wǎng)絡(luò)進行認證(a3/a8)。在主動攻擊中,gsm手機可能附接到假基站,并被強制禁用加密(a5/0)。即使當使用合法的基站時,a5/2的空中接口加密被證明是弱的,并且使用此算法中的弱點可以解密記錄的加密對話。本發(fā)明確保了移動單元和網(wǎng)絡(luò)兩者的強大空中接口加密和相互認證。
以上參考附圖所示的多個示例性實施例描述了本發(fā)明實施例。一些部分或元件的修改和替代實現(xiàn)是可能的,并且被包括在所附權(quán)利要求中限定的保護范圍內(nèi)。