用于移动订户的语音和文本数据服务的制作方法

本发明涉及用于实现从公共通信网络到移动订户装置的语音和文本数据服务的方法，其包括：在移动订户装置到达与数据网络相关联的接入点时，使用与移动订户装置相关联的归属位置寄存器和/或认证中心来认证移动订户装置，其中认证包括：

-从移动订户装置接收响应于从接入点发送到移动订户装置的身份请求包而作出的身份应答；

-将所述身份应答转发到归属位置寄存器和/或认证中心；以及接收作为响应的标识三元组；

-使用标识三元组质询移动订户装置，并且从移动订户装置的订户身份模块(sim)接收质询应答，该质询应答包括国际移动订户身份(imsi)。

背景技术：

欧洲专利公布ep-a-1624639公开了通过接入网络(不支持安全协议ieee802.1x)的基于sim的认证的方法和系统。借助于用户终端，用户经由连接到wisp网络的接入点向移动运营商网络中的eap-sim服务器进行认证。临时凭证存储在移动运营商网络中的本地数据库中。

国际专利公布wo2013/000645公开了为无线终端提供接入分组核心网的方法，具体地旨在实现对ip网络的数据卸载。

技术实现要素：

本发明寻求提供方法和系统，该方法和系统允许移动电话用户在电话处于“飞行模式”时，即移动电话模块关闭并且仅无线局域网(wlan)连接可用时发起和接收可在其自己的移动电话号码和sim下获得的语音呼叫和sms两者。

根据本发明，提供了上述的根据开篇所定义的方法，其中认证还包括将imsi存储在访客位置寄存器中并且将访客位置寄存器附接到归属位置寄存器；并且方法还包括在适于公共通信网络的第一数据格式与适于数据网络的第二数据格式之间转换语音和文本数据服务，并且为移动订户装置提供用于语音和文本数据服务的通信路径。

因此根据本发明，已经描述了用于在没有3gpp接入网络的情况下为移动订户提供针对语音、sms和数据的漫游的方法和系统实施例。

在另外方面，根据本发明提供智能订户管理单元(ismu)，其包括访客位置寄存器、到公共通信网络的接口以及经由数据网络到移动订户装置的接口，其中智能订户管理单元包括第一部分，该第一部分被布置成在移动订户装置到达与数据网络相关联的接入点时，使用与移动订户装置相关联的归属位置寄存器和/或认证中心认证移动订户装置，其中认证包括

-从移动订户装置接收响应于从接入点发送到移动订户装置的身份请求包而作出的身份应答；

-将身份应答转发到归属位置寄存器和认证中心；以及接收作为响应的标识三元组；

-使用标识三元组质询移动订户装置，并且从移动订户装置的订户身份模块(sim)接收质询应答，该质询应答包括国际移动订户身份(imsi)；

-将imsi存储在访客位置寄存器中并且将访客位置寄存器附接到归属位置寄存器；

并且智能订户管理单元还包括转换部分，该转换部分用于在适于公共通信网络的第一数据格式与适于数据网络的第二数据格式之间转换语音和文本数据服务，并且使用到公共通信网络的接口和到数据网络的接口提供用于语音和文本数据服务的通信路径。

提供本发明的方法实施例的功能，使得易于整合到现有的移动通信和数据网络环境。

附图说明

以下将参考附图使用多个示例性实施例更详细地描述本发明，其中

图1示出了根据现有技术实现方式的与移动订户装置有关的架构的示意图；

图2示出了根据本发明的、用于为移动订户装置提供语音和sms服务的架构的实施例的示意图；

图3示出了根据本发明的智能订户管理单元的实施例的功能框图；

图4示出了根据本发明的方法的实施例的认证步骤的时序图；

图5示出了本发明方法的实施例的流程图；并且

图6示出了操作期间涉及移动订户装置的通信的示意图。

具体实施方式

本发明实施例使得移动电话用户可以在电话处于“飞行模式”时发起和接收可在其自己的移动电话号码和sim下获得的语音呼叫和sms。电话模块关闭并且仅需要wlan连接。

本发明实施例提供的解决方案把例如不被(私人)gsm(3gpp)服务覆盖的私人wlan环境作为目标。这可以归因于立法或例如技术环境的严格认证的其他因素。卫星通信在航空环境中通常可用，但机载电话服务被限制为仅呼出语音呼叫。存在对使用一个人自己的电话号码的全功能语音和文本(sms)功能的需求。存在wlan被用于卸载3gpp环境中的数据流量(例如见于上述国际专利公布wo2013/000645)的情况，但通过wlan尤其是经由卫星连接实现语音和sms是新的。另外，解决方案应适用于来自任何移动(3gpp)网络的订户。

这里呈现的发明实施例涉及移动(3gpp)订户在不存在3gpp无线接入网络的情况下使用数据、语音和sms服务的方法和系统。订户能够使用3gpp(gsm/umts/lte等)之外的无线接入网络来使用数据(互联网、ip)服务。另外，还可以在其自己的唯一订户号码(已知的msisdn)上发起并接收语音呼叫以及发送并接收sms消息。此发明在以下情况下进行操作：移动3gpp无线单元关闭(被称为飞行模式)，并且可代用的(ip)数据接入单元打开，而借助于存储在装置的sim卡上的国际移动订户身份(imsi)，向替代的(无线)接入网络认证订户的通信装置。

图1示出涉及移动订户装置1(与连接到数据(ip)网络3的接入点2通信)的现有技术通信的示意图。例如在无线局域网(wlan)11环境中实现接入点2与移动订户装置1之间的通信。朝向归属地移动网络运营商环境的链路还包括radius服务器4，其用于经由另外的ip网络5和连接到公共通信网络7(例如基于ss7的网络7)的map代理6实现认证(参见下文)，该公共通信网络7包括归属位置寄存器hlr8和认证中心auc9。

在1990年代末，定义了无线通信网络的第一行业标准，并且命名为，诸如ieee802.11、homerf(两个标准都具有2mbit/s的总带宽)或ieee802.11b(11mbit/s)。2,4ghz的频率最初仅为工业、科学和医疗使用而保留并且不用于公共使用。最后决定还针对例如蓝牙和wlan的无线通信技术使用ism带(工业、科学和医疗)。现在ieee802.11b是最常使用的标准。定义了对标准的许多修改以增加带宽。ieee802.11g在这里处于特殊位置，因为其与ieee802.11向下兼容。还众所周知的是在5ghz带中工作的ieee802.11a标准。两个标准达到54mbit/s的总带宽。表2.1显示所有重要的wlan相关标准及其全称。采用wlan是广泛的并且通常是在具有严格安装和/或辐射限制的环境(诸如飞机)中可用的唯一网络类型。下表中列出各种ieee标准(还指示为ieee802.1x)：

radius协议最初已经设计为能够验证拨号用户。radius代表远程认证拨入用户服务，并且在1997年被标准化为rfc2058。由于其被rfc2138替代，该rfc2138已被rfc2865及其扩展rfc替代。radius支持三个a，即，认证、授权和计费(authentication、authorization和accounting)。在下文中，术语认证在此语境中使用，并且可以包括授权和计费。

radius传统架构支持拨号服务器，拨号服务器被称为网络接入服务器(nas)，其可部署在任何电信公司的骨干网中，并且可由客户(即，电信公司)访问而无需进行任何具体更改。因此，它能够进行集中的用户管理。在使用这种系统时，需要采取以下步骤来建立连接：

·用户经由调制解调器或isdn连接到nas。

·成功建立了调制解调器与nas之间的线路连接，客户端发送其认证凭据。这通过ppp内部认证协议(诸如pap或chap)完成。在这种情况下为eap，这将在后面解释。

·这些凭证经由radius协议传输到radius服务器，该服务器检查用户数据的有效性。可经由用户数据库在radius服务器上进行检查，该用户数据库例如可以存储在sql服务器上。随后将结果(接受或拒绝)发送回nas，这取决于结果授予或拒绝访问。

·此外，可以利用radius包发送其他信息，例如允许用户使用哪些服务。

为了评估radius协议的优点，应注意以下几点：

·nas主要是从ppp内部认证到radius的协议转换装置。

·在通常的设置中，nas不直接与实际的认证服务器进行通信。通常使用将包转发到适当的radius服务器的radius代理。

·为了支持漫游(这需要radius服务器的级联)，用户名包含称为“域”的后缀。这个域由@与用户名分隔开。域帮助radius服务器将认证请求转发到正确的数据库或radius服务器。

·radius不仅用于拨号或wlan认证解决方案，还用于在vpn网关、防火墙器具或甚至web服务器上认证用户。

gsm网络(全球移动通信系统)是全球领先的移动电话标准。本节在必要的程度上对此进行总结以便解释本发明。如在传统的电话网络内，订户标识与他的固定电话号码有关。在传统的电话系统中，电话号码绑定到电话插孔，在gsm系统中，它绑定到订户身份模块(sim)。出于保密原因，gsm区分呼叫号码msisdn(移动台国际订户号码簿号码)与订户身份imsi(国际移动订户身份)。仅msisdn需要被公众所知。唯一的映射msisdn<＝＝>imsi在hlr(归属位置寄存器)中完成。因此，用于识别的imsi对于gsm运营商的网络运营人员以外的任何人通常都是未知的。imsi存储在sim中，以将sim识别到网络。imsi和分配的密钥ki是确保订户身份和机密性的机制的不可缺的部分。密钥ki安全地存储在sim卡上，并且永远不通过空中接口传输。在移动电话运营方，ki存储在归属地网络运营商的auc(认证中心)处。gsm认证使用“质询和应答”方法，a3/a8认证算法(3gppts43.020)。它在sim卡上运行，并且接收128位随机数(rand)作为质询。sim基于rand和ki利用运算符特定算法来计算32位应答sres和64位密钥kc。kc密钥用于加密gsm的空中接口。gsm认证三元组是包含三个gsm认证凭证rand、kc和sres的元组。

ieee802.1x的使用提供了用于认证并控制用户流量进入受保护网络的有效框架。其优点之一是动态地改变加密密钥。ieee802.1x使用最初指定用于拨号访问的可扩展认证协议(eap)。有关eap的详细信息，请参阅ietf的rfc3748。eap支持多种认证方法的扩展，诸如sim卡、公钥证书和密码哈希，但还限定令牌卡、kerberos、一次性密码、证书以及公钥认证的方法。

在802.1x通信的开始，请求者是未认证的(即，本文所使用的客户端装置或移动订户装置)。当请求者尝试连接到认证器(即802.11接入点)时，认证开始。接入点通过启用仅允许来自客户端的eap包到达位于接入点的有线侧的认证服务器的端口来作出应答。接入点阻止所有其他流量，诸如ip、icmp和dhcp包，直到接入点可以使用认证服务器(例如，radius)来验证客户端的身份。一旦被认证，接入点就打开客户端的其他类型流量的端口。

·认证的开始取决于认证器的配置。在成功关联之后，认证器发送eap身份请求而不需要请求者交互，或者请求者经由eapol包明确地请求eap身份请求。

·请求者用eap身份应答来回答该请求。认证器将该包转发给认证服务器，认证服务器使用下面参考eap认证方法所描述的表中的一种认证算法。

·取决于所选择的认证方法，质询包经由认证器而在请求者与认证服务器之间进行交换。

·认证服务器向认证器发送接受或拒绝消息。

·认证器向请求者发送eap成功或拒绝包。如果认证服务器接受请求者，则认证器将端口设置为授权状态并转发额外流量。

eap/sim指定一种机制，用于经由gsmsim卡而向与会话密钥协议结合的网络认证请求者。认证是相互的。eap/sim还提出了对gsm认证过程的一些增强。由于eap/sim是eap方法，eap/sim帧在接入点处被打包到radius包中。作为认证器，接入点只需要支持ieee802.1x和eap。当前，大多数radius服务器提供能够处理eap/sim的插件。radius服务器使用三元组来质询客户端。这些三元组由hlr(归属位置寄存器)或auc(认证中心)提供。

eap/sim协议改进了gsm认证和密钥交换，因为它结合了多个认证三元组。这使得能够生成更强大的认证答案和会话密钥。gsm认证的弱点是缺乏互相认证以及64位加密密钥对于数据网络来说是不够的事实。128位被认为是数据网络中的最小密钥长度。为了实现这一点，使用多个rand(随机数)进行质询，以获得多个kc密钥，随后将多个kc密钥组合成强大的密钥材料。因此，kc密钥不直接用于eap/sim，而是用于导出更强的密钥。还通过消息认证码(mac)来改进gsm认证，以确保认证的完整性。使用eap/sim，客户端向网络发出随机数nonce_mt，以促成密钥导出。这防止重放来自先前的交换的eap/sim请求。

关于eap/sim与gsm之间的认证和加密差异，存在四个主要差异：

·在gsm的情况下，仅客户端被认证，并且客户端无法检查其是否连接到合法的gsm提供商。eap/sim提供相互认证以防止如gsm可能的中间人攻击。

·在gsm标准中，用于加密空中接口的密钥只有64位长。在eap/sim中，最长可多达128位。使用“多达(upto)”字，因为它取决于运营商的具体参数，包括认证算法、ki密钥的强度以及rand挑战质询的质量。例如，一些sim卡生成其中有10位设置为零的kc密钥。这种限制可阻止级联技术产生强的会话密钥。

·为确保eap/sim认证的完整性，核心认证包用rfc2104中定义的hmac-sha1-128进行哈希处理。(hmac-sha1-128值通过将输出截断为16字节而从20字节的hmac-sha1值获得)。

·ativ和atencrdata属性可用于在eap/sim客户端与服务器之间传输加密信息。传输tmsi或重新认证身份是传输的加密标签的2个示例。

所有四个差异使得eap/sim认证在安全性方面优于gsm。eap/sim中有两种认证方法和各种身份类型。本节的内容对于理解本发明重要的eap/sim协议是必要的。三种身份类型是可区分的：

-永久身份(imsi)：永久身份通常包含sim卡的imsi以及域。它仅在完全认证期间使用。

-假名身份(tmsi)：在eap/sim包的加密部分内在完全认证期间，将假名身份传送给用户。身份可用于完全认证而不是永久身份。这保护了imsi，因为它减少通过空中以清晰的文本变换的次数。

-重新认证身份：在完全认证期间，将在加密部分中向客户端发出重新认证身份。客户端可以使用该身份来进行重新认证而无需访问sim卡。

一些客户端实现方式在eap身份应答包内向radius服务器发送“哑id”。radius服务器不知道这些假名，因此，服务器经由eap/sim包请求真实的id。eap/sim规范中未定义哑id，但也不禁止。

完全认证是eap/sim协议的基础，可以通过该认证来确认sim卡。以下步骤在完全认证期间进行，并依赖于来自hlr/auc的三元组。

1.认证开始于来自认证器的eap身份请求包(图1中的框10)。

2.客户端传输永久身份或永久假名(图1中的框12)，radius服务器从该永久假名导出永久身份。

3.由于请求者可能使用radius服务器未知的永久假名，radius服务器可以请求不同的身份，直到它识别了请求者。在eap/sim启动包内，请求者和认证服务器也同意eap/sim的版本。

4.对于该身份，radius服务器请求来自hlr或auc的必要三元组(图1中的框13)。这些三元组包含a3/a8算法的质询和结果。

5.radius服务器向客户端发送质询，并且随后将答案与从hlr或auc接收到的结果进行比较。请求者计算sim卡内的答案。

6.认证成功后，进行授权过程。

7.之后是radius服务器发送密钥材料，以用于加密到达接入点的空中接口。客户端已经导出密钥，并因此仅接收没有密钥的成功消息。

在重新认证期间，客户端不访问sim卡，这需要几秒钟，它比完全认证更快。认证所需的时间也因为更少的包被交换而减少。重新认证仅在完全认证之后可能进行，因为客户端需要在完全认证期间获得的临时假名。原则上，此完全认证不必在同一会话中发生。但是由于这可以是安全问题，应该由radius服务器防止。在会话开始时，radius服务器不应接受重新认证。重新认证为radius服务器提供了检查客户端是否仍然存在的可能性。在重新认证期间，计算出新的空中接口加密密钥。操作员也可通过强制重新认证来注销活动用户。这通过拒绝重新认证请求完成。

1.重新认证以接入点向客户端发送eap身份请求开始。

2.客户端将重新认证身份返回到接入点，该接入点将包转发给radius服务器。

3.eap/sim启动包的交换在重新认证中是任选的，因为不需要进行版本协商。如果客户端在步骤2期间未发送有效的重新认证身份，则服务器可以明确地请求重新认证身份。

4.如果radius服务器检测到有效的重新认证身份，则radius服务器发送重新认证请求，而不是eap/sim质询请求。radius服务器和客户端使用来自完全认证的主密钥来计算新的会话密钥以用于加密与接入点的连接。

5.radius服务器将会话密钥与成功消息一起发送到接入点。

eap/sim的标准化分两步进行。第一个是eap/sim协议版本1，并且第二个包括协议的未来版本。发展的目标是版本1的标准化。现在在2006年注册为rfc4186。自最后草案版本以来，也没有根本的变化。例如，对加密提出的更改被拒绝，以保持向下兼容性。当前只有两件事可以促进改变：虽然在ip世界中出现了标准，但eap/sim也触及了gsm标准。因此，特殊的g3p工作组提出了一些建议。两个工作组的结果在某些要素方面有所不同。例如，他们提出不同的域。安全和功能方面的一些细节可以再次改变。毕竟，这些都是具有最大变化在11、12以及13之间的部分。例如，如果服务器不发送新的三元组，或者如果三元组在认证中使用了不止一次，则现在允许客户端拒绝认证。

当前，没有计划开发eap/sim的版本2。在版本1的设计期间，仍然考虑未来版本的可能性。它包括使用eap/sim启动包的版本协商。还可能在客户端迁移期间并行使用多于一个的版本。只需要更改radius服务器来支持两个版本。接入点仅实现ieee802.1x和eap。

除了eap/sim，eap/aka也提供用于认证和会话密钥分配的可扩展认证协议(eap)机制，该机制使用专用于ts33.102中的通用移动电信系统(umts)以及s.s0055-a中的cdma2000的第三代认证和密钥协议机制(rfc4187)。umts和cdma2000是使用相同aka机制的全球第三代移动网络标准。aka基于质询应答机制和对称密码。aka通常在umts订户身份模块(usim)或cdma2000(可移除)用户身份模块((r)uim)中运行。与诸如gsmaka的第二代机制相比，第三代aka提供实质上更长的密钥长度和相互认证。本发明可以使用eap-sim或eap-aka，因为它们可用于特定的目标装置。当aka变得广泛可用时，向eap-sim的回退可以是关于实现方式的最佳选择。

本段解释了radius服务器如何从hlr/auc获得三元组，并描述了典型的生产环境设置。具有eap/sim插件的radius服务器从hlr/auc请求三元组，在这里，问题往往是hlr/auc处在ss7网络中。这是特殊的非ip网络，其由gsm提供商用于他们的内部通信。需要在ip与基于ss7的网络之间部署转换装置。转换装置一方面要理解radius，并且另一方面要理解ss7map。具有eap/sim插件的radius服务器随后经由radius协议将三元组请求发送到转换装置，该转换装置随后将请求作为ss7mapsendauthinfo请求发送到hlr/auc。一旦转换装置接收到ss7mapsendauthinfo应答，它就生成相应的应答radius包。此类装置，具有eap/sim插件的radius服务器以及到ss7世界中的接口是可商购获得的。然而，本发明不仅提供radius-ss7转换，而且充当将订户置于漫游场景的智能代理。本发明还提供对所供给服务的供应、评级和计费。

在gsm网络中关于由移动单元获得的服务计费的现有技术中已知的是gsm协会的传输账务数据交换组(tadig)的所谓tap协议(tap：传输账务过程)。gsm基于漫游的概念，其允许移动无线电装置的用户在任何期望国家和网络中使用他或她的移动无线电装置。然而，所获得服务的计费因此从不是微不足道的事情。当今全球已有超过400个gsm网络在运行，并且另外在网络运营商之间存在估计超过20000个单独漫游协议。因此，看似简单的漫游思路背后是数据采集、数据分配以及数据评估的非常复杂的过程，以便使计费成为可能。传输账务过程(tap)是移动无线电网络服务提供商交换漫游账单信息的方法。在tap2和tap2+之后，tap3于2000年6月4日发布。tap3今天可以被称为标准，尽管tap是进一步开发的协议。本发明使用tap文件来向订阅服务的终端用户收费(差异化)服务。

结合本发明使用的当前移动(订户)装置是所谓的智能装置，智能装置包含其自己的操作系统(os)，并且能够加载软件应用程序(app)来添加功能或朝向终端用户和/或可用的网络连接执行特定动作。终端用户与网络之间的交互变得越来越普遍，为终端用户提供易于使用的通信服务。描述的发明与此特定软件集成，以准备与本发明的中心部件进行通信的装置。这使终端用户能够在拨打和接收呼叫以及发送和接收sms消息时具有相同的体验。在需要时，此软件还可以帮助终端用户选择正确的无线电接入网络。软件应用程序利用智能装置的应用程序编程接口(api)来完全集成技术链。一旦终端用户订阅了服务，软件向装置的注册就使装置能够用网络进行认证，因此本发明的核心要素可以将语音和sms流量朝向移动装置重新路由。

sip(会话发起协议)是用于在基于ip的网络中创建、管理和终止会话的信令协议。会话可以是简单的双向电话呼叫，或者其可以是协作的多媒体会议会话。sip在近期一直是与ip语音(voip)相关的服务的选择。它是互联网工程任务组(ietf)提出的标准(rfc3261)。随着技术不断扩展和发展，sip仍在发展并被修改以考虑所有相关特征。但应注意的是，sip的工作仅限于会话的建立和控制。会话内的数据交换的细节，例如，与音频/视频媒体相关的编码或编解码器不受sip控制，并被其他协议所关注。sip仅限于会话的建立、修改和终止。它提供了四个主要目的：

-sip允许建立用户位置(即，从用户的名称转换为他们当前的网络地址)。

-sip提供特征协商，使得会话中的所有参与者可以就其中要支持的特征达成一致。

-sip是呼叫管理的一种机制，例如添加、删除或转移参与者。

-sip允许在会话正在进行时更改会话的特征。

在sip场景中交互的实体称为用户代理(ua)。用户代理可以以两种方式运行：用户代理客户端(uac)(它生成请求并将其发送到服务器)或用户代理服务器(uas)(它获取请求、处理这些请求并生成应答)。

一般来说，我们将客户端的概念与终端用户(即，在人们使用的系统上运行的应用程序)相关联。它可以是你的pc上运行的软件电话应用程序或你的ip电话中的消息装置。当你尝试通过网络呼叫另一个人并将请求发送到服务器(通常是代理服务器)时，它会生成请求。

服务器通常是网络的一部分。它们拥有一组预定义的规则来处理客户端发送的请求。服务器可以有若干类型：

-代理服务器：这些是sip环境中最常见的服务器类型。当生成请求时，预先不知道接收方的确切地址。所以，客户端将请求发送到代理服务器。代表客户端的服务器(就像给它代理)将请求转发到另一个代理服务器或接收方本身。

-重定向服务器：重定向服务器将请求重定向回到客户端，指示客户端需要尝试不同的路由以到达接收方。这通常在接收方暂时或永久地从其原始位置移动时发生。

-注册器：服务器的主要任务之一是检测用户在网络中的位置。用户不时通过向注册器服务器注册(发送特殊类型的消息)来刷新其位置。

-位置服务器：注册器注册的地址存储在位置服务器中。

sip的命令包括：

invite：邀请用户呼叫

ack：确认，用于促进针对invite的可靠消息交换。

bye：终止用户之间的连接

cancel：终止对用户的请求或搜索。如果客户端发送invite，并随后更改其呼叫接收方的决定，则使用它。

options：索取有关服务器能力的信息。

register：注册用户的当前位置

info：用于中段会话信令

随后，典型的sip会话的示例如下：

照此，本发明实施例使用现有的技术和方法(如上所述)并结合另外的特征，以将语音和sms集成到不同于传统3gpp路径的数据载体中。在如先前所述的技术链中的可替代路径(例如，具有802.1x的wlan)情况下，新的功能变得可用。

在一般术语中，本发明涉及一组实施例，其被定义为用于实现从公共通信网络7到移动订户装置1的语音和文本数据服务的方法，其包括在移动订户装置1到达与数据网络3(例如，ieee802.1x网络)相关联的接入点2时，使用与移动订户装置1相关联的归属位置寄存器8和/或认证中心9来认证移动订户装置1，其中认证包括：

-从移动订户装置1接收响应于从接入点2发送到移动订户装置1的身份请求包而作出的身份应答；

-将身份应答转发(并且非强制地，转换)到归属位置寄存器8和/或认证中心9；以及接收作为响应的标识三元组；

-使用标识三元组质询移动订户装置(1)，并且从移动订户装置(1)的订户身份模块(sim)接收质询应答，该质询应答包括国际移动订户身份(imsi(16))；

-将imsi16存储在(虚拟)访客位置寄存器17中并且将访客位置寄存器17附接到归属位置寄存器8；

并且还包括：在适于公共通信网络7的第一数据格式与适于数据网络3的第二数据格式之间转换语音和文本数据服务，并且向移动订户装置1提供用于语音和文本数据服务的通信路径。

图2示出本发明实施例实现方式的示意图。图1的现有技术示意图的radius服务器4、另外ip网络5以及map代理6被包括访客位置寄存器vlr17、radius/协议转换器18以及主机移动网络运营商网络环境19的专用接口15替代。访客位置寄存器17可以是移动虚拟网络运营商网络的一部分，因为不需要规则网络运营商环境的所有功能来实现(虚拟)访客位置寄存器vlr17。主机mno网络环境19与公共通信(ss7)网络7连接，并且任选地连接到规则公共交换电话网络(pstn)20。图2中还指示数据网络3与接入点2之间的通信经由卫星通信3a(部分地)实现。

为了实现本发明实施例的关键功能(在没有可用的3gpp无线电接入网络的情况下呼出和呼入语音和sms)，在运行链中需要多个技术部件(在图2中部分示出)：

-完整的mvno网络(包括vlr)(ss7/map/scpp与主机mno互连)，包括其漫游协议。入站呼叫/sms路由需要完整mvno。

-智能电话的软电话应用程序，其可以凭借使用eap-sim和/或eap-aka(umts)的wlan(ieee802.1x)网络而进行连接并利用该wlan进行认证，具有用于入站和出站语音和sms的voip(sip)和消息传递(xmpp或smpp)能力。

-使用例如卫星3a(inmarsat/iridium)的回传路径的从wlan位置到mvno网络的ip连接

-认证器(通过eap-sim的移动应用程序)与hmno和ip(sip/xmpp和smpp)之间的、朝向公共ss7互联网络的智能信令转换。此信令转换涉及sim对本地mno的订户认证、呼叫建立以及消息传递。

因此，在另一实施例中，从移动订户装置1接收响应于从接入点2发送到移动订户装置1的身份请求包而作出的身份应答，这使用eap-sim或eap-aka协议实现。

在另一个实施例中，将身份应答转发到归属位置寄存器8和/或认证中心9并且接收作为响应的标识三元组，这使用远程认证拨入用户服务(radius)来实现。

在另一实施例中，使用会话发起协议(sip)来实现向移动订户装置1提供用于语音服务的通信路径。此外，可以使用可扩展消息传递与存在协议/对等短消息协议(xmpp/smpp)来实现向移动订户装置1提供用于文本数据服务的通信路径。

这样，移动软电话应用程序可以启动以下序列：

1.通过ieee802.1xwpa2网络基础设施，通过eap-sim或eap-aka将订户的认证请求发送到wlan网络。

2.将认证通过radius和协议转换转发到归属地mno(hlr)。

3.执行订户的位置更新，将订户的imsi放置到mvno网络的vlr中。

4.针对此特定订户启动收费和计费，利用现有漫游协议或使用cdr/tap文件流进行特殊计费。

5.呼入呼叫和sms消息通过公共(ss7)网络频道路由到mvno网络，如正常漫游场景。

6.如期望的，呼出呼叫和sms消息从mvno路由到其目的地。

如上参考图2所述的整个技术要素链提供了向终端用户传送无缝体验正常电话所需的关键功能：

-使用sim对归属地mno的端到端用户认证。

-将用户注册为在mvno上漫游，将入站呼叫和sms消息路由到mvno。

-信令和流量的转换要适应可用承载网；例如ip回传、ss7互连和公共交换(tdm)网络。

因此，在另一方法实施例中，使用在认证期间获得的密钥(诸如kc密钥)来加密到达移动订户装置1的语音和文本数据服务。在另一实施例中，公共通信网络7是基于gsm的网络，并且在又一实施例中，数据网络3可以是无线局域网(例如，ieee802.1x，包括作为ip网络的一部分的可能的卫星通信)。

本发明实施例的操作主要依赖于现有行业标准技术之间由中间系统处理的过程。此系统被称为智能用户管理单元(ismu)15，其在图2的示意图中将并入有vlr17和radius/协议转换器18(以及与主机移动运营商网络19的接口)。

操作的主要特征是这样的部分：其中在不使用常规(3gpp)无线电接入网络的情况下从移动装置提取订户身份(imsi)。通过经由接入点2向ieee802.1xeap-sim/aka网络(例如wlan网络3)注册来发起此动作。所得radius请求包含订户的身份(imsi)16。一旦订户对归属地网络进行认证，此imsi就存储在驻留在ismu系统15内的虚拟vlr17中并且可通过内部api访问，该内部api还启用订户管理功能(例如对订户的添加、删除和计费)。位置更新仅发送到归属网络(hlr)8一次，订户实际上向与ismu相关联的sip服务器注册，导致语音和sms流量重新路由回到ismu的交换部分。

一般来说，本发明在另一方面涉及智能订户管理单元(ismu)，其包括

(虚拟)访客位置寄存器17，到公共通信网络7的接口以及经由数据网络3到移动订户装置1的接口，

其中智能订户管理单元包括第一部分，该第一部分被布置成：在移动订户装置1到达与数据网络3相关联的接入点2时，使用与移动订户装置1相关联的归属位置寄存器8和/或认证中心9来认证移动订户装置1，其中认证包括

-从移动订户装置1接收响应于从接入点2发送到移动订户装置1的身份请求包而作出的身份应答；

-将身份应答转发(可能包括转换)到归属位置寄存器8和认证中心9；以及接收作为响应的标识三元组；

-使用标识三元组质询移动订户装置1，并且从移动订户装置1的订户身份模块sim接收质询应答，该质询应答包括国际移动订户身份imsi16；

-将imsi16存储在(虚拟)访客位置寄存器17中并且将访客位置寄存器17附接到归属位置寄存器8；

并且还包括转换部分，该转换部分用于在适于公共通信网络7的第一数据格式与适于数据网络3的第二数据格式之间转换语音和文本数据服务，并且使用到公共通信网络7的接口和到数据网络3的接口提供用于语音和文本数据服务的通信路径。

本发明可以在核心部件中实施，正如图2中的radius/协议转换器18结合vlr17所进行的功能上的描述和描绘一样。技术链的核心要素是本发明的核心，并且是区分本发明与任何其他现有系统的主要要素。核心要素已经在上面进行了功能性指定。当描述本发明的核心时，图2和图3的图本发明工作的逻辑系统和方法作了可视化。

在另一个实施例中，ismu还包括代理服务器31，该代理服务器31用于使用远程认证拨入用户服务(radius)来执行将身份应答转发到归属位置寄存器8和/或认证中心9，并且作为响应，接收标识三元组。

ismu甚至可以还包括会话发起协议(sip)注册器32，其用于向移动订户装置1提供用于语音服务的通信路径。

还可以提供消息传递网关33，用于向移动订户装置1提供用于文本数据服务的通信路径。

到公共通信网络7的接口可以包括ss7/map接口和/或tdm/isup接口。

在另一个实施例中，到数据网络3的接口包括以下各项中的一个或多个：ieee802.1xeap接口；sip接口；xmpp/smpp接口；rtp(g.729)接口。

所描绘的系统将802.1x认证的(wlan)客户端桥接到中央单元，用于通过ss7/map对归属地(hlr)网络进行端到端认证。在有效认证之后，sip客户端可以向sip注册器32注册。从那时起，智能订户管理单元(ismu)30将从归属地网络请求位置更新，并设置语音呼叫和sms消息的路由。从tdm到sip/rtp的转码使用根据g.729标准进行压缩的(加密的)rtp流完成，以最小化客户端侧上的带宽使用。图4示出此方法实施例的消息传送示例，其中信令网关37将vlr17的接口功能提供给归属地网络(公共通信网络7的一部分)中的hlr8。

订户漫游的认证、授权和注册的逻辑过程在如图5所示的流程图中可视化。从过程的开始100，在步骤101中访问移动订户装置1的imsi储存库。使用radius发送用户认证请求作为步骤102。在决策框103中测试所接收的应答，如果其指示与imsi相关联的订户被注册，则流程进行到步骤104并向hlr8发送位置更新。如果不是，则步骤111进行(拒绝访问)，并且流程返回到在步骤102中的另一个用户认证请求。

在步骤104之后，在决策框105中检查是否接收到位置更新的确认，如果没有，则流程再次返回到框111。如果接收到确认，则在框106中，相关联的移动订户装置1的imsi存储在vlr17中，并且随后提供流量路由(框107)。重复此操作直到订户断开连接(决策框108)，之后取消位置(步骤109)并从vlr17移除imsi(步骤110)，并且流程再次返回到用户认证请求的框。

在图6的示意性架构图中示出了使用本发明实施例实现的具有用于到达移动订户装置1的语音和文本数据服务的通信路径的最终情况。在公共通信网络7与移动订户装置1之间，sms文本数据转换为xmpp或smpp(框40)，并且语音数据(ss7/isup)转换成sip(框41)。

因此根据本发明，已经描述了用于在没有3gpp接入网络的情况下为移动订户提供针对语音、sms和数据的漫游的方法和系统实施例。这使用对能够漫游的订户的归属地网络的sim(ieee802.1x-eapsim/aka)认证来实现。具体的优点是促进来自多个网络的订户的能力。不仅仅是主机网络的订户，而有可能是通过主机网络与订户的归属网络之间的漫游协议而能够入站漫游的所有订户。

使用本发明实施例，可以在其中订户不连接到归属地网络并且通过本发明(执行位置更新)而处于漫游情境中的特定情况下，在不使用3gpp无线电接入网络的情况下从sim/装置提取imsi并将其放置在vlr中。

与弱gsm认证和无线电加密相反，本发明实现了语音和sms流量的提高的安全性。gsm不提供相互认证，仅手机向网络进行认证(a3/a8)。在主动攻击中，gsm手机可能附接到假基站，并被强制禁用加密(a5/0)。即使当使用合法的基站时，a5/2的空中接口加密被证明是弱的，并且使用此算法中的弱点可以解密记录的加密对话。本发明确保了移动单元和网络两者的强大空中接口加密和相互认证。

以上参考附图所示的多个示例性实施例描述了本发明实施例。一些部分或元件的修改和替代实现是可能的，并且被包括在所附权利要求中限定的保护范围内。