专利名称:向互联网协议多媒体子系统(ims)鉴权可移除的用户身份模块的制作方法
技术领域:
本发明通常涉及通信系统,尤其涉及无线通信系统。
背景技术:
蜂窝网的安全在近年得到了快速的发展,这主要是由于用户对无线业务,诸如语音通信、数据通信以及视频电话类的多媒体业务的需求的增长。可以在诸如第二代(2G)无线通信系统的数字通信系统中实现密码数字鉴权,以保护业务提供商使其网络不会被盗用并向用户提供私密性。例如,电信工业协会(TIA)、电子工业协会(EIA)等研发了被称为ANSI TIA/EIA-41的64位安全方案。TIA/EIA-41安全方案提供了原籍鉴权中心(例如原籍位置寄存器/鉴权中心,HLR/AuC)与用户身份模块(UIM)间的相互鉴权,该用户身份模块例如是可移除的用户身份模块(R-UIM),其通常是可插入移动外壳的卡或者是集成的UIM。
在TIA/EIA-41安全方案中,向HLR/AuC和R-UIM中的受到充分保护的数据库预先配置专用密钥,诸如被称为A-KEY的64位随机密钥。该专用密钥可用于保证HLR/AuC和R-UIM之间的无线链路的安全。例如,该专用密钥可用于产生临时的辅助密钥(称为共享保密数据,SSD,密钥)。然后,该系统可通过向R-UIM提供随机数(RAND)来启动全球质询鉴权,其计算短数字签名AUTHR=f(RAND,SSD_A,ESN,AUTH_DATA),其中f()是被称为CAVE的标准函数,SSD_A是所选择的SSD密钥部分,ESN是与该R-UIM相关的电子序列号,AUTH_DATA基于移动单元的移动识别号(MIN)而提供。R-UIM向该系统(如HLR/AuC)提供AUTHR数字签名,该系统可基于AUTHR数字签名来证实R-UIM。R-UIM和HLR/AuC也可计算附加密钥,例如64位信令消息密钥(SMEKEY)和520位语音保密掩码(VPM),该附加密钥可用作种子以产生专用长码掩码(PLCM),与专用长码掩码(PLCM)相对,公用长码掩码可根据移动单元的公知电子序列号(ESN)产生。
第二代无线通信系统和网络正在由依照第三代(3G)无线通信标准操作的无线通信系统和网络所取代,该第三代(3G)无线通信标准例如是由第三代合作伙伴计划(3GPP)所定义的UMTS无线通信标准,以及由第三代合作伙伴计划-2(3GPP2)所定义的CDMA通信标准。例如,3GPP33.203和3GPP2S.R0086技术规范定义了互联网协议(IP)多媒体子系统(IMS),该子系统定义了用于使用被称为会话启动协议(SIP)的信令协议的标准。SIP可用于支持通过空中接口提供给移动单元的各种多媒体业务。典型的IMS业务包括互联网会议电话、互联网电话、视频电话、事件通知、即时通信等。
第三代无线通信标准需要使用相互鉴权的鉴权以及密钥协定(AKA)安全协议。例如,3GPP33.203和3GPP2 S.R0086标准对IMS安全协议做出了定义,即IMS安全协议定义使用AKA安全协议来建立IP多媒体用户实体(UE)和IMS网络的第一入口节点之间的安全关联,该第一入口节点例如是代理呼叫会话控制功能(P-CSCF)。该UE通常包括IMS用户身份模块(ISIM)。该网络和UE(和/域ISIM)于是可使用存储在原籍用户服务器(HSS)和/或从原籍用户服务器(HSS)得到的信息、鉴权、授权、计费服务器(AAA)和/或服务器呼叫会话控制功能(S-CSCF)来相互鉴别。一旦该网络和UE相互鉴别已经完成,它们可以使用互联网协议安全(IPSec)进行通信,该IPSec是由互联网工程任务组(IETF)所开发的、用于支持互联网协议层上的分组安全交换的一系列协议。
在CDMA2000网络中使用第二代R-UIM卡的用户可能希望访问一些或全部由第三代技术提供的附加业务。例如,用户可购买支持根据IMS协议提供的多媒体业务的移动单元。但是,第二代R-UIM卡不支持AKA安全协议,并且第三代网络不能与第二代R-UIM卡相互鉴权。因此,用户将不能利用由IMS协议所定义的业务,即使该移动单元包含可以支持IMS功能的第二代R-UIM卡。用户也可能勉强地放弃他们的R-UIM卡,并使用兼容3G的卡取代它们,兼容3G的卡可逐渐的采用并且执行第三代技术所允许的多媒体业务。
简单地向使用第二代R-UIM卡的用户提供到第三代IMS功能的访问可能容易使网络和/或第二代R-UIM卡受到各种安全威胁。例如,攻击者可通过附加到CDMA2000分组交换网来冒充用户的身份,该网络然后会向该攻击者分配IP地址。该攻击者可使用其IMS身份来登记到IMS,然后使用其源IP地址,而不是使用CDMA2000网络中该用户的IMS身份来发送SIP邀请消息。传统的第三代网络不检查承载层上的IP地址与SIP层中的公用和/或专用用户身份之间的绑定。因此,冒充攻击可能成功,导致使用IMS业务的攻击者将账单记到该用户的头上。另一个例子是,攻击者可诱骗用户的IP地址。传统的第三代网络并不检查分配给每个UE的IP地址与随后UE发送分组时使用的源IP地址之间的绑定。因此,当第二代UE被允许访问第三代IMS业务时,IP诱骗可能成功,导致攻击者接收IMS业务,同时将IP连接的费用记到IMS网络中的该用户头上。
发明内容
本发明用于解决以上所指出的一个或多个问题的影响。为了提供对本发明一些方面的基本理解,以下给出了本发明的简单概述。该概述不是本发明的穷尽概括。其目的并不是要说明本发明的关键或至关重要的元素,或勾画本发明的范围。其唯一的目的是以简化的形式呈现一些概念,作为后面讨论的更详细说明的前序。
在本发明的一个实施例中,提供了一种方法,该方法可能包括访问由移动单元提供的第一地址和识别符,提供该识别符,响应于提供该识别符而接收与该识别符相关的第二地址,以及基于该第一和第二地址来鉴权该移动单元。
参考下述结合附图的说明可理解本发明,其中同样的附图标记代表同样的单元,其中图1概念性地示出了依照本发明的无线通信系统的一个实施例;图2概念性地示出了依照本发明的可用于鉴权移动单元的登记消息流程的一个实例性实施例;以及图3概念性地示出了依照本发明的可用于拒绝移动单元鉴权的登记消息流程的一个实例性实施例。
本发明具有多种修改和备选形式,借助实例在附图中示出了其特定实施例,并在下文中进行了详细描述。但应该理解的是,这里对特定实施例的详细描述并不是要将体发明限制于所公开的特定形式,与此相反,本发明覆盖在所附权利要求书中限定的本发明精神和范围内的所有修改、等同物和备选形式。
具体实施例方式
以下将描述本发明的示例性实施例。为了清楚起见,本文中并没有描述实际实施方式的所有特征。当然应当理解的是,在任何这种具体实施例的开发中,应当做出多种特定于实施方式的判定以实现开发者的特定目的,例如符合与系统相关和与商业相关的限制,这种限制对于不同实施方式而言是不同的。此外,应当理解的是,这种研发努力可能是复杂和耗时的,但对于从本发明获益的本领域技术人员而言,这是例行任务。
本发明的部分和相应的详细说明以软件,或是计算机存储器内数据比特上操作的符号表示和算法的形式来呈现。本领域技术人员可通过这些说明和表示将其工作的实质有效传达给其他本领域技术人员。这里作为术语使用的算法如其通常使用中一样,被认为是导致所需结果的前后一致的步骤序列。这些步骤需要物理量的物理操控。通常而言,尽管不是必要的,这些物理量具有光、电或磁信号的形式,能够被存储、传递、组合、比较和进行其他操控。已经证明,有时出于一般使用的原因,将这些信号称为比特、值、元素、符号、字符、项、号码等是方便的。
但应当记住的是,所有这些及类似的术语将与合适的物理量相关,并且仅是应用于这些物理量的方便的标签。除非有其他特别的规定,或从讨论中是显而易见的,否则诸如“处理”、“计算”、“运算”、“确定”或“显示”等术语表示计算机系统、相似电子计算设备的动作和过程,计算机系统或者相似电子计算设备操控并将该计算机系统寄存器中和存储器中被表示为物理、电子量的数据,转换成该计算机系统存储器、或寄存器、或者诸如信息存储、传输或显示设备中同样被表示为物理的其他数据。
同样应当注意的是,实施本发明的一些方面的软件通常编码在某种形式的程序存储媒介上,或在某种传输媒介上实施。该程序存储媒介可以是磁的(例如软盘或硬盘驱动器),或是光的(例如只读光盘存储器或“CDROM”),并可以是只读的或是随机存取的。类似地,该传输媒介可以是绞合线对、同轴电缆、光纤或现有技术已知的其他一些适合的传输媒介。本发明不限于任何已给出的实施方式的这些方面。
以下将参照附图对本发明进行描述。仅为了解释的目的在附图中示意性描述了各种结构、系统和设备,从而不会以本领域技术人员熟知的细节模糊本发明。然而,附图被包括用来描述和解释本发明示意性的实例。在此使用的词汇和短语应被理解和解释为与本技术领域技术人员对这些单词和短语的理解具有一致的意思。没有术语和短语的特别定义,即没有与那些本领域技术人员所理解的通常和习惯的意思不同的定义,意味着该短语和术语在本文中的使用前后一致。就希望术语或短语具有特定的意思,即具有技术人员所理解的不同的意思来说,这样的特殊定义将在本文中以定义的方式清楚的阐述,其直接和明确地提供该术语或短语的特定定义。
图1概念性地例示了无线通信系统100的一个实施例。在所示出的实施例中,无线通信系统100可依照第三代无线通信协议,例如在ANSI TIA/EIA-2000标准中定义的码分多址(CDMA)协议提供无线连接。但是,本领域技术人员应当认识到,本发明并不仅限于依照CDMA协议操作的无线通信系统100。在备选的实施例中,可使用任何无线通信协议来提供无线连接。此外,在一些实施例中,该无线通信系统100可能包括或被连接到一个或多个有线通信系统。
图1中所示的无线通信系统100可向一个或多个移动单元105(1-3)提供无线连接。为了清楚起见,当集体地提到移动单元105时可在下文中去掉索引(1-3)。但当单独的提到移动单元105或移动单元105的子集时可使用索引(1-3)。对于区别共享一个附图标记的部件的其它索引而言,可使用相同的惯例。移动单元105可以是任何类型的移动单元,包括但不限于蜂窝电话105(1)、个人数据助理105(2)和膝上型电脑105(3)。但是,从本文收益的本领域技术人员应认识到,本发明并不仅限于移动单元105的这些特定实施例,在备选实施例中,也可使用其他类型的移动单元105。本领域技术人员还应当认识到,移动单元105也可以用其他术语表示,例如移动外壳、用户设备、用户终端、接入终端等等。
用户可提供用户身份模块110(1-3),用户身份模块110(1-3)包括用于指示用户的信息,以及可用于向无线通信系统100证实用户身份的信息。在说明性的实施例中,用户身份模块110是可移除用户身份模块(R-UIM)110,其依照诸如TIA/EIA-41标准和ANSI TIA/EIA/IS-2000标准的第二代无线通信标准进行操作。用户身份模块110可包括一个或多个密钥,这些密钥用于建立与无线通信系统100的安全关联。例如,每一用户身份模块110都可包括一个预先配置的被称为A-KEY的64位随机码。因此,用户身份模块110可支持在ANSITIA/EIA/IS-2000和ANSI TIA/EIA-41中规定的2G鉴权内容,能够处理2G鉴权请求,并能生成2G会话密钥,诸如SMEKEY和专用长码掩码(PLCM)。
移动单元105可通过空中接口115(1-3)与无线通信系统100建立一个或多个无线链路。该空中接口115可将移动单元105连接到无线通信系统100的第一入口节点120。在该说明性的实施例中,该第一入口节点是分组数据交换网络(PDSN)120,其可通信地耦合到代理呼叫会话控制功能(P-CSCF)125。PDSN120通常负责建立、维持和终止到该移动单元105的点对点协议(PPP)会话,P-CSCF125通常负责转发从移动单元105接收到的SIP消息。该P-CSCF125可通信地耦合到提供会话控制服务的服务器CSCF(S-CSCF)130,以及提供多种数据库服务的原籍预订服务器(HSS)135。该PDSN120、P-CSCF125、S-CSCF130和HSS135是本领域公知的,为了清楚起见,在以下描述中仅对这些部件与本发明相关的操作方面进行描述。此外,从本文受益的本领域技术人员应当认识到,在备选实施例中,第一入口节点120可以耦合无线通信系统100的更多、更少和/或不同的部件。
当移动单元105向通信系统100进行登记时,该移动单元105可向第一入口节点120提供用户身份。在一个实施例中,该移动单元105提供可存储在用户身份模块110上的国际移动用户身份(IMSI)。例如,当该第一入口节点120在用于将移动单元105登记到系统100的登记请求消息中接收到该用户身份对,该第一入口节点120可向原籍预订服务器135提供记账请求。该记账请求可包括该原籍预订服务器135用于各种记账目的的信息。该原籍预订服务器135响应于接收到该记账请求,向移动单元105分配诸如互联网协议地址的地址。该原籍预订服务器135也可以将该用户身份绑定到该分配的地址,从而使得该用户身份与该分配的地址唯一地相关,并存储该用户身份和该分配的地址间的绑定以备将来参考。如下文中所述的,该通信系统100然后使用该用户身份和该分配的地址之间的绑定,鉴权移动单元105和/或提供与该移动单元105的安全通信。
图2概念性地例示了可用于鉴权移动单元(MU)的登记消息流程200的一个示例性实施例。在该说明性的实施例中,移动单元(MU)是支持SIP协议但不支持第三代AKA鉴权和/或IPSec的第三代设备。例如,移动单元(MU)可包括用于IMS网络的移动外壳和第二代可移除用户身份模块(2G R-UIM)。该移动单元(MU)可用于接入第三代(3G)子系统,例如使用会话启动协议(SIP)的互联网协议(IP)多媒体子系统(IMS)。该SIP可用于支持通过空中接口提供给移动单元(MU)的多种多媒体业务。示例性的IMS业务包括网络会议电话、互联网电话、视频电话、事件通知、即时消息等等。但是,从本文获益的本领域技术人员应当认识到,该登记消息流程200是示例性的,并非用于限制本发明。在备选的实施例中,图2所例示的技术可应用于其他类型的移动单元和其他无线通信系统间的通信。
为了建立呼叫会话,移动单元可向分组数据交换网(PDSN)提供登记请求,如箭头205所示。例如,该移动单元可提供无线电业务信道建立消息来指示该移动单元希望建立无线电业务信道。该分组数据交换网络响应于接收到该登记请求,向移动单元分配(在210处)一个地址。例如,该分组数据交换网可向该移动单元分配(在210处)互联网协议地址。该分组数据交换网然后可提供请求,以向该原籍预订服务器(HSS)分配会话,如箭头215所示。在一个实施例中,分组数据交换网络提供(在215处)包括指示所分配的信息的记账请求,以及与该移动单元有关的用户身份。例如,该用户身份可能包括IMSI和/或移动站国际综合业务数字网(ISDN)号码(MSISDN)。在一个实施例中,可通过P-CSCF来提供(在215处)该记帐请求。
该原籍预订服务器可将该分配的地址绑定(在220处)到用户识别符上,并存储指示该分配的地址和该用户识别符的绑定的信息。例如,可将分配给各个移动单元的地址与和这些移动单元相关的用户识别符的绑定存储到驻留在(或可存取到)原籍预订服务器上的数据库中。该原籍预订服务器也可向分组数据交换网提供指示登记过程完成的消息,如箭头225所示,且该分细数据交换网可向该移动单元提供确认,如箭头230所示。流程图200的上述部分可被认为是登记进程,以下描述的部分可被认为是鉴权进程。
当该移动单元想要使用一个或多个IMS应用时,该移动单元可向分组数据交换网提供SIP登记消息,如箭头235所示。在一个实施例中,该SIP登记消息是将移动单元登记到一个或多个IMS应用的请求,该请求包括一个标题,该标题包含指示与该移动单元相关的地址和用户识别符的信息。例如,该SIP登记消息标题包括“发自于”字段,该字段包含与该移动单元相关的IP地址和该移动单元的公共用户识别符。由该移动单元提供的登记消息可不包括由常规3GIMS安全方案使用的授权标题字段,其指示该移动单元不支持这些安全方案中的一种或多种。
该分组数据交换网可检查(在240处)该登记消息,以确定该移动单元是否试图诱骗与其他移动单元相关的一个或多个地址。在一个实施例中,该分组数据交换网可检查(在240处)与该移动单元传送的分组相关的源IP地址,且如果该源IP地址与该分组数据交换网在建立该呼叫会话期间内分配的IP地址不同,则不允许移动单元发送该分组。如果该分组数据交换网确定(在240处)该移动单元不是试图诱骗IP地址,则该分组数据交换网可向相关的P-CSCF提供登记消息(或其中包括的信息),如箭头245所示。
当该P-CSCF接收到由移动单元提供的登记消息时,该P-CSCF可检查与该移动单元相关的地址。例如,该P-CSCF可检查包含在移动单元所提供登记消息的标题字段的“发自于”参数中的IP地址。如果该“发自于”参数包含域名或是不同于IP分组标题中所包含的分组源IP地址的IP地址,则该P-CSCF可向该登记消息的标题字段中添加(在250处)新的参数。例如,P-CSCF可添加(在250处)“接收到”参数,该参数包含指示所接收分组的来源的源IP地址。该P-CSCF然后向S-CSCF提供包含所添加参数的登记请求,如箭头255所示。
该S-CSCF可存取登记消息中的用户识别符。在一个实施例中,当登记请求不包括授权标题时,该S-CSCF存取登记请求的“发到”标题中的公共用户身份,其中所述授权标题可指示该移动单元不支持一些第三代安全特征。该S-CSCF然后可向原籍预订服务器提供对于与该移动单元相关的地址的请求,如箭头260所示。在一个实施例中,该对于地址的请求(在260处)可包括登记消息中所包含的用户识别符。该原籍预定务器然后可检索(在265处)与移动单元相关的地址。例如,原籍预订服务器可将与该移动单元相关的公共用户识别符映射(在265处)到与该移动单元相关的IMSI,然后使用该IMSI绑定来取回(在265处)在该呼叫会话建立期间内分配给该移动单元的地址。该原籍预订服务器可将所取回的地址提供给S-CSCF,如箭头270所示。
该S-CSCF可将原籍预订服务器所提供的地址与登记消息中提供的地址进行比较(在275处)。例如,S-CSCF可将该移动单元所提供登记消息的标题字段中的“已接收”参数中的地址,与存储在该原籍预订服务器中的地址进行比较(在275处)。如果两个地址匹配,则S-CSCF可鉴权该移动单元,并向该移动单元提供指示成功鉴权的消息,如箭头280所示。例如,该S-CSCF可提供(在280处)“200ok”消息来指示该鉴权成功。
图3概念性地例示了一个可用于鉴权一个或多个移动单元(MU1,MU2)的登记消息流的示例性实施例。在该说明性的实施例中,该移动单元(MU1,MU2)是支持SIP协议,而不支持第三代AKA鉴权和/或IPSec的3G装置,但如上所述,该移动单元(MU1,MU2)可用于访问诸如利用会话启动协议(SIP)的互联网协议(IP)多媒体子系统(IMS)的第三代(3G)子系统。为了建立呼叫会话,第一移动单元(MU1)可向分组数据交换网(PDSN)提供登记请求,如箭头305所示。该分组数据交换网响应于接收到该登记请求,向第一移动单元分配(在310处)地址,然后提供向原籍预订服务器(HSS)分配会话的请求,如箭头315所示。
该原籍预订服务器可将第一移动单元的已分配地址绑定(在320处)到与该第一移动单元相关的用户识别符,并存储指示该已分配地址和用户识别符的绑定的信息。例如,可将分配给各个移动单元的地址与和这些移动单元相关的用户识别符的绑定存储到驻留在(或可存取到)原籍预订服务器上的数据库中。原籍预订服务器也可向该分组数据交换网提供指示对于第一移动单元的登记进程完成的消息,如箭头325所示,且该分组数据交换网可向该第一移动单元提供确认,如箭头330所示。
在该说明性的实施例中,第二移动单元(MU2),例如攻击者,试图通过在登记消息中提供与第一移动单元相关的信息而欺骗性地使用与第一移动单元相关的信息,如箭头335所示。例如,该第二移动单元可尝试通过提供包含分配给该第二移动单元的地址以及与该第一移动单元相关的识别符的消息,接入一个或多个IMS业务,从而冒充该第一移动单元。在另一实例中,该第二移动单元可尝试通过提供包含分配给该第一移动单元的地址以及与该第二移动单元相关的识别符的消息,接入一个或多个IMS业务,从而冒充该第一移动单元。
该分组数据交换网可检查(在340处)该登记消息,以确定该第二移动单元是否正尝试诱骗一个或多个与第一移动单元相关的地址。在一个实施例中,该分组数据交换网可检查(在340处)与第二移动单元所传送的分组相关的源IP地址,如果该源IP地址不同于在建立呼叫会话期间由该分组数据交换网所分配的IP地址,例如分配给第一移动单元的IP地址,则不允许该第二移动单元传送分组。如果该分组数据交换网确定(在340处)该第二移动单元并未尝试诱骗IP地址,则该分组数据交换网可向相关的P-CSCF提供登记消息(或其中包括的信息),如箭头345所示。
当该P-CSCF接收到由第二移动单元提供的登记消息时,该P-CSCF可检查与该第二移动单元相关的地址。例如,P-CSCF可检查包含在该第二移动单元提供的标题字段的“发自于”参数中的IP地址。如果该“发自于”参数包含域名或是不同于分组源IP地址的IP地址,则该P-CSCF可向标题字段中添加(在350处)新参数。例如,该P-CSCF可添加(在350处)“接收到”参数,该参数包含指示所接收分组的来源的源IP地址。该P-CSCF然后向S-CSCF提供可能包含所添加参数的登记请求,如箭头355所示。
该S-CSCF可存取登记消息中的用户识别符。在一个实施例中,当登记请求不包括授权标题时,其可能指示该第二移动单元不支持一些第三代安全特征,则该S-CSCF存取登记请求的“发至”标题中的公共用户身份。该S-CSCF然后可向原籍预订服务器提供对于与该第二移动单元相关的地址的请求,如箭头360所示。在一个实施例中,对于地址的请求(在360处)可包括登记消息中所包含的用户识别符。该原籍预订服务器然后可检索(在365处)与该第二移动单元相关的该地址。例如,该原籍预订服务器可将与该第二移动单元相关的公共用户识别符映射(在365处)到与该第二移动单元相关的IMSI,然后使用IMSI绑定来检索(在365处)在呼叫会话建立期间分配给该第二移动单元的地址。该原籍预订服务器可将所检索的地址提供给该S-CSCF,如箭头370所示。
该S-CSCF可将原籍预订服务器提供的地址与登记消息中提供的地址进行比较(在375处)。例如,该S-CSCF可将第二移动单元所提供登记消息的标题字段的“已接收”参数中的地址,与存储在原籍预订服务器中的地址进行比较(在375处)。如果两个地址匹配,则该S-CSCF可鉴权该移动单元,并向该移动单元提供指示成功鉴权的消息,如箭头280所示。但是,如果两个地址不匹配,则S-CSCF可不鉴权该第二移动单元。例如,如果第二移动单元正尝试通过提供与第一移动单元相关的用户身份来冒充第一移动单元,其中两个地址并不匹配,则S-CSCF可不鉴权该第二移动单元。在另一个实例中,如果该第二移动单元正尝试通过提供与第一移动单元相关的IP地址来诱骗该第一移动单元,其中两个地址并不匹配,则S-CSCF可不鉴权该第二移动单元。该S-CSCF然后可向第二移动单元提供指示鉴权失败的消息,如箭头380所示。例如,该S-CSCF可提供(在380处)“403禁止”消息来指示鉴权不成功。因此,通过执行上述鉴权技术的实施例,可阻止攻击者(MU2)诱骗合法IMS用户(MU1)的IMS身份的企图,或是MU1诱骗MU1的IMS身份的企图。
以上所公开的特定实施例仅是示例性的,对于从本文获益的本领域技术人员而言,显然可以不同但等同的方式对本发明进行修改和实施。此外,并不将本发明限制于在此所示出的结构或设计细节,对其的限制如以下权利要求书所述。因而,上述特定实施例显然可进行改变或修改,且所有这些变化都被认为是在本发明的范围和精神之内。因此,在此所寻求的保护如以下权利要求书所述。
权利要求
1.一种方法,包括存取由移动单元展供的第一地址和识别符;提供所述识别符;响应于提供所述识别符,接收与所述识别符相关的第二地址;以及基于所述第一和第二地址,鉴权所述移动单元。
2.根据权利要求1的方法,其中所述存取第一地址和识别符的步骤包括存取包含在所述移动单元所提供消息的标题中的第一地址和识别符。
3.根据权利要求1的方法,其中所述存取第一地址和识别符的步骤包括存取由CDMA2000移动单元提供的第一互联网协议地址和公共用户识别符,其中所述CDMA2000移动单元包括第二代可移除用户身份模块。
4.根据权利要求1的方法,其中所述提供识别符的步骤包括向原籍用户服务器提供所述识别符。
5.根据权利要求1的方法,其中所述接收第二地址的步骤包括接收基于所述识别符和第二地址之间的绑定而确定的第二地址。
6.根据权利要求1的方法,其中所述鉴权移动单元的步骤包括比较所述第一和第二地址。
7.根据权利要求6的方法,其中所述鉴权移动单元的步骤包括如果所述第一和第二地址相同,则提供所述移动单元鉴权成功的指示。
8.根据权利要求6的方法,其中所述鉴权移动单元的步骤包括如果所述第一和第二地址不同,则提供所述移动单元鉴权失败的指示。
9.一种方法,包括接收由移动单元提供的识别符,其中所述移动单元还提供第一地址;以及基于所述识别符,并且基于所述识别符与第二地址之间的绑定,确定第二地址。
10.根据权利要求9的方法,其中所述接收识别符的步骤包括接收包含在由所述移动单元所提供消息的标题中的识别符。
11.根据权利要求9的方法,其中所述接收识别符的步骤包括接收公共用户识别符。
12.根据权利要求9的方法,其中所述基于识别符确定第二地址的步骤包括基于所述识别符,确定用户身份。
13.根据权利要求12的方法,其中所述确定第二地址的步骤包括使用所述用户身份来确定所述第二地址。
14.根据权利要求9的方法,包括提供所述第二地址的步骤。
15.根据权利要求14的方法,其中所述提供第二地址的步骤包括向呼叫会话控制功能提供所述第二地址,其中所述呼叫会话控制功能被配置为基于所述第一和第二地址而鉴权所述移动单元。
16.根据权利要求9的方法,包括接收记账请求,所述记账请求包括用于指示用户身份的信息。
17.根据权利要求16的方法,包括分配所述第二地址,并且将所述第二地址绑定到所述用户身份。
18.一种方法,包括在消息中接收由移动单元提供的识别符和第一地址;确定指示消息源的第二地址,其中所述消息是从所述消息源接收到的;以及提供所述识别符以及所述第一和第二地址。
19.根据权利要求18的方法,其中所述接收识别符和第一地址的步骤包括接收由所述移动单元所提供分组的标题字段的第一地址中的识别符。
20.根据权利要求18的方法,其中所述确定第二地址的步骤包括确定分组源互联网协议地址。
21.根据权利要求18的方法,其中所述提供识别符以及第一和第二地址包括向原籍预订服务器提供所述识别符以及所述第一和第二地址。
全文摘要
本发明提供了这样一种方法,即所述方法包括存取由移动单元提供的第一地址和标识符,提供所述标识符,响应于提供所述标识符而接收与该标识符相关的第二地址,以及基于所述第一和第二地址鉴权所述移动单元。
文档编号H04L29/06GK101018128SQ20061007114
公开日2007年8月15日 申请日期2006年2月10日 优先权日2006年2月10日
发明者朱红儒 申请人:朗迅科技公司