用于借由在一个网络上鉴权而获得另一网络上鉴权的方法及系统

发明领域

本发明通常涉及无线通信网络中的鉴权方法，更特别地，涉及借 由(leveraging)所建立的3G鉴权来获得2G鉴权。

发明背景

多种无线通信网络，例如第三代(3G)网络及第二代(2G)网络， 已经建立使用，而第四代(4G)网络将很快流行。由于更多网络建立， 蜂窝网络将包含旧的2G系统以及新的3G和4G兼容系统的混合。当 用户在多种蜂窝网络间漫游时，跨多种网络的鉴权存在多种缺点。

对于当前的3G移动系统，移动台与移动台归属域内的3G服务器 进行端到端的鉴权，从而实现在3G无线通信系统内的通信。当执行鉴 权时，移动台使用与3G服务器共享的秘密(共享的3G秘密)，并产 生一个或多个共享的保密3G密钥。该保密3G密钥可用于加密移动台 的通信。它们可由3G服务器使用，或者可由3G服务器向移动台及3G 服务器间通信路径中的信任委托使用。作为端到端相互鉴权的3G鉴权 可在移动台和归属系统间建立。

用于当前2G移动系统的端到端的3G鉴权并不安全，移动台向作 为访问2G网络一部分的中间交换机发送鉴权请求，并且交换机通知移 动台归属域内移动台的归属位置寄存器(HLR)。移动台和该HLR具 有共享的2G秘密。访问的2G网络的交换机向该HLR请求2G鉴权参 数，并且该鉴权在移动台和访问2G域的交换机间完成，而不是在移动 台及其归属域间完成。仅从交换机向HLR发送鉴权确认。该2G鉴权 不是端到端的。例如，其仅发生在移动台和当前正服务该移动台的交 换机之间。因此，如果移动台漫游进了另一2G网络，则鉴权是在移动 台和其它2G网络中的交换机之间。归属网络中的HLR在新的2G网络 中对移动台的鉴权中扮演微不足道的角色。3G移动台可能有时希望在 2G系统中操作，这里的2G系统可能属于独立的运营商。在每个这样 的2G系统中，移动台会需要HLR及与每个HLR的共享2G秘密。用 于每个2G网络的独立的共享2G秘密的需要引发了与移动台的提供问 题。

因此，存在借由所建立的3G鉴权获得2G鉴权的需要。

附图的简要说明

现在参考附图仅通过例子描述本发明的各个实施例，其中：

图1例示了根据本发明的一个实施例的移动台从第一无线通信系 统漫游到第二无线通信系统的系统。

图2表示了根据本发明的一个实施例的基于3G鉴权在第二无线通 信系统中登记移动台的流程图。

图3a-3b表示了根据本发明的一个实施例的在第二无线通信系统 中建立临时鉴权的流程图。

图4a-4b表示了根据本发明的一个实施例的协商3G鉴权的流程 图。

图5a-5b表示了根据本发明的一个实施例的在第二无线通信系统 中登记移动台的流程图。

具体实施方式

在详细描述根据本发明的实施例之前，应当观察到，实施例主要 存在于方法步骤及装备部件的组合中，该方法步骤和装备部件涉及用 于借由所建立的3G鉴权获得2G鉴权的方法及装备。因而，已经通过 附图中的常规符号适当表示了装备部件和方法步骤，其仅表示那些理 解本发明实施例有关的特定细节，从而不会由于那些从本说明获益的 本领域普通技术人员显而易见的细节模糊了本公开。因此，应当认识 到，为了例示的简单及清楚，在商用实施例中有用或必要的一般及公 知元件可能没有表示，从而有助于更小的阻碍对这些各个实施例的理 解。

在本文中，关系术语，例如第一和第二、顶部及底部等仅用于区 分一个实体或动作与另一个实体或动作，不需要或暗示在这些实体或 动作间任何实际的这种关系或次序。术语“包括”、“包括的”、“具 有”、“具有的”、“包含”、“包含的”、“含有”、“含有的” 及其任何变形期望覆盖非排他的包含，这样包括、具有、包含、含有 一系列的过程、方法、产品或装备不仅包括这些元素，还可包括其它 未明确列举的或该过程、方法、产品或装备固有的其它元素。由“包 括……”、“具有……”、“包含……”、“含有……”所限定的元 素在没有更多的限制的情况下，不排除在包括、具有、包含、含有该 元素的过程、方法、产品或装备中存在其它同样的元素。除非另有说 明，术语“一个”、“一”定义为一个或多个。术语“基本上”、“大 体上”、“近似地”、“大约”或其任何其它版本被定义为本领域普 通技术人员所理解的接近。术语“耦合”在此被定义为连接，尽管不 必直接或不必机械地连接。以某种方式被“配置”的设备或结构至少 以该方式被配置，但也可以其它未列举的方式被配置。

应当认识到，在此所述的本发明的实施例可包括一个或多个传统 的处理器，以及唯一存储的程序指令，该程序指令控制该一个或多个 处理器结合某些非处理器电路执行在此所述的用于借由所建立的3G 鉴权来获得2G鉴权的方法及准备的某些、多数或全部功能。该非处理 器电路包括但不限于，射频接收机、射频发射机、信号驱动器、时钟 电路、电源电路以及用户输入设备。如此，这些功能可解释为用于在 此所述的借由所建立的3G鉴权来获得2G鉴权的方法的步骤。可替换 地，某些或全部功能可由未存储程序指令的状态机实现，或者在一个 或多个专用集成电路(ASIC)中实现，其中每个功能或功能的某些特 定组合实现为用户逻辑。当然，可使用两种方案的组合。因此，在此 已经描述了用于这些功能的方法及装置。进一步，期望本领域普通技 术人员在受到在此公开的概念及原理的指引时，尽管可能需要很大的 努力及受到例如可用时间、现有技术及经济考虑的启示而进行多种设 计选择，但其很容易能够通过最小的实验生成这种软件指令及程序以 及IC。

本发明的一个实施例公开了一种系统及方法，其中无线通信设备， 例如在从第一通信系统漫游后连接到第二无线通信系统的移动台，被 编程用于建立对于该移动台的临时登记。该第二无线通信系统是2G无 线通信系统。2G无线通信系统可以是下述内容中的一个：集成数字增 强网络(iDEN)、全球移动通信系统(GSM)、时分多址(TDMA) 和码分多址(CDMA)系统。临时鉴权导致2G无线通信系统向移动台 提供授权。可对于受限的功能进行该授权，或者该授权可仅持续受限 的时间段。该受限的授权主要用于使得移动台与其归属域进行规律的 3G鉴权。可使用超文本传输协议(HTTP)或会话启动协议(SIP)， 与第一无线通信系统建立3G授权和/或鉴权。该第一无线通信系统可 例如是3G或4G无线通信系统。如本领域已知的，该3G无线通信系 统是第三代无线通信系统。4G指的是第四代无线通信设备和系统，即， 在3G之后的宽带移动通信的阶段。

作为规律的3G鉴权的一部分，委托鉴权代理从3G无线通信系统 获得保密3G密钥，同时移动台使用与信任的3G归属域相关联的共享 3G密钥计算相同的保密3G密钥。该移动台和委托鉴权代理然后被编 程用于实现真正的2G鉴权以及对于2G无线通信系统的鉴权。真正的 2G鉴权使用保密3G密钥，该保密3G密钥由委托鉴权代理获得并预先 由移动台在3G鉴权期间得到作为共享的2G秘密。因此，在2G无线 通信系统中鉴权移动台，而不需要具有预先提供的与2G无线通信系统 相关的共享2G秘密。已经与第一无线通信系统(例如使用规律3G鉴 权的3G/4G无线通信系统)成功鉴权的移动台被提供了到2G无线通信 系统的接入。

图1例示了一个系统，其中移动台从第一无线通信系统漫游到第 二无线通信系统。根据本发明的一个实施例，该第一无线通信系统可 以是3G无线通信系统115，并且该第二无线通信系统可以是2G无线 通信系统105。无线通信设备包括本领域公知的收发信机及处理器，其 可被使用来借由无线通信设备的3G鉴权来获得真正的2G鉴权，这在 后面详细公开。第一无线通信系统115可以是下述内容中的一个：因 特网协议多媒体系统(IMS)、Qchat、CDMA EV-DO(码分多址演进 数据优化)、通用移动电信系统(UMTS)及基于蜂窝的PTT(PoC) 系统。该第二无线通信系统105可以是下述内容中的一个：集成数字 增强网络(iDEN)、全球移动通信系统(GSM)、时分多址(TDMA) 及码分多址(CDMA)系统。

在一个实施例中，当移动台135从3G无线通信系统115漫游进 2G无线通信系统105中时，移动台135可被允许在2G系统中操作， 而不需要2G系统中的HLR以及不需要共享的2G秘密。此外，由于 2G登记不是端对端的，因而3G无线通信系统115和3G网关150都不 需要产生用于鉴权该移动台135的鉴权参数。鉴权参数的集合，也称 为鉴权三位组(authentication triplet)，包括网络询问随机号码、响应 及加密密钥，该加密密钥通常出于2G鉴权的目的由HLR向访问2G系 统中的交换机提供。3G移动台135在一个或多个2G系统105中操作 而不需要2G秘密的能力免除了网络运营商为单个的移动台135提供多 个共享的2G及3G秘密的需要。

从3G无线通信系统115漫游进2G无线通信系统105的移动台135 寻求启动与该2G无线通信系统105的临时登记。在一个实施例中，移 动台135漫游进2G无线通信系统105的区域或市区A 120。本领域技 术人员应认识到，在若干2G无线通信系统105中可能存在若干区域或 市区，例如市区B、市区C。为了减少说明，仅表示了一个这样的市区 120和一个这样的2G无线通信系统105。移动台135寻求通过对应于 在2G无线通信系统105中操作的移动台135的运营商进行登记。在移 动台135漫游到的每个2G无线通信系统105中，移动台135通常被指 配了2G归属位置寄存器(HLR)125和交换机130。该交换机130可 以是访问位置寄存器(VLR)，例如全球移动通信系统(GSM)交换 机。本领域技术人员可认识到，可存在移动台可漫游到的若干2G无线 通信系统，图1例示了一个2G无线通信系统105作为例子。移动台在 每个2G无线通信系统中可被指配一个2G交换机，其将在登记期间被 使用。

HLR 125是2G无线通信系统105内由移动台的归属运营商保持的 寄存器。该HLR 125包含了相关的设备信息，包括移动台135的地址、 账户状态以及偏好。包括VLR的交换机130保持临时信息(例如移动 台的当前位置)，用于管理用于漫游出其归属域的移动台的呼叫建立 请求。移动台135基于HLR 125和VLR中包含的信息被连接。本领域 技术人员将认识到，该HLR和VLR是本领域普遍公知的。

现在，根据实施例，登记的第一个阶段包括获得与2G无线通信系 统105的临时2G鉴权。移动台135向交换机130发送临时2G鉴权请 求。交换机130没有意识到由移动台135发送的该登记请求是临时鉴 权请求。该2G鉴权请求可以是可由交换机识别的标准的鉴权请求。交 换机130向委托鉴权代理140转发该鉴权请求。在系统中，例如，委 托鉴权代理140包括本领域公知的收发信机和处理器。该收发信机可 适应性地与处理器耦合，用于从交换机130接收临时鉴权请求。该临 时鉴权请求包括用于移动台135在2G无线通信系统105中操作的请 求。在一个实施例中，委托鉴权代理140作为用于移动台135的归属 代理或HLR。该委托鉴权代理140可被预先配置，以将鉴权请求识别 为临时鉴权请求，并因此向交换机130发送类似于已经由移动台的HLR 125发送的响应那样的响应，来支持对于移动台135的临时鉴权。该临 时2G鉴权过程已经使用图3详细公开了。要解释的是，临时2G鉴权 不需要在移动台和委托鉴权代理140间的共享的2G秘密，而是使用伪 的(非秘密)共享2G“秘密”代替。在其它实施例中，委托鉴权代理 140还可以是SIP委托、PBX或用于移动台135的数据网关，从而移动 台与其它网络的通信将传递通过该委托鉴权代理140，其它网络例如 3G无线通信系统115。这样，委托鉴权代理140在以下公开的后续阶 段期间可检查、过滤或改变移动台135的业务。

本领域技术人员应认识到，多个2G无线通信系统也可使用市区间 无线接入网互相连接。该多个2G无线网络可具有与每个2G无线通信 系统通信的若干委托鉴权代理，这样它们可具有公共的数据库，例如 委托数据库145，其存储已经在2G无线通信系统105中被鉴权的每个 移动台的信息。所存储的信息可用于实现对移动台的临时鉴权，并可 包括那些被允许使用临时鉴权或已经被使用了临时鉴权的移动台的标 识。一旦移动台135与2G无线通信系统105的临时鉴权完成，则该委 托鉴权代理140可向移动台135提供分组数据服务。该分组数据服务 使得移动台135能够与第一无线通信网络(移动台从其漫游的网络) 通信，例如3G/4G无线通信网络。

移动台现在处于鉴权进程的第二阶段。在该第二阶段中，移动台 135在临时鉴权下使用2G系统105提供的委托鉴权代理140的服务来 与其3G/4G归属域协商3G或会话启动协议(SIP)鉴权，该3G/4G归 属域例如3G无线通信系统115。该鉴权是标准的并且是基于在移动台 135和3G无线通信系统115间共享的共享3G秘密。该共享的3G秘密 也由移动台135在与3G无线通信系统115鉴权时使用，同时移动台 135在3G无线通信系统115中操作。传统的，共享的3G秘密对于移 动台135在与任何3G/4G无线通信网络的鉴权期间使用是唯一的。共 享的3G秘密对于任何2G无线通信系统是未知的。

根据实施例，在该第二阶段期间，委托鉴权代理140实现了移动 台135与3G无线通信系统115的鉴权。在该过程中，委托鉴权代理 140从3G无线通信系统115获得例如加密密钥的保密3G密钥，该3G 无线通信系统115可用于移动台的真正的2G鉴权(第三阶段)。使用 图4详细公开了3G鉴权的协商。该保密3G密钥由3G无线通信系统 115基于对于3G无线通信系统115和移动台135都已知的共享3G秘 密产生。委托鉴权代理140通过中间运营商网络110与3G无线通信系 统115通信。在本发明的实施例中，该中间运营商网络110可以是基 于IP的或基于SS7的广域网。一旦获得了保密3G密钥且完成了3G鉴 权过程，则委托鉴权140可向2G无线通信系统105通知已经建立的临 时2G鉴权现在已被终止并且2G无线通信系统105必须移除对应于移 动台135的未使用的鉴权参数集合。

在第三阶段中，移动台135和委托鉴权代理140准备好完成2G无 线通信网络105中真正的2G鉴权。取代在临时2G登记期间使用的伪 共享2G秘密，委托鉴权代理140和移动台135现在使用保密3G密钥 作为共享的2G秘密，以在2G无线通信系统105中进行鉴权，该共享 的2G秘密对于委托鉴权代理和移动台都是已知的。该共享的2G秘密 由委托鉴权代理140从3G无线通信网络接收，并由移动台135使用相 同的算法从第二阶段使用中的鉴权参数获得，该鉴权参数例如一个或 多个保密3G密钥。再次，对于2G交换机130，委托鉴权代理140扮 演了移动台135的HLR的角色。此时委托鉴权代理140了解移动台135， 并与移动台135共享例如从3G无线通信网络接收到的加密密钥的共享 的2G秘密，该委托鉴权代理140使用该共享的2G秘密计算2G询问 及2G响应，并向交换机130发送询问和响应，就像在第一阶段中那样。 再次，交换机130向移动台135转发该2G询问。移动台135使用该共 享的2G秘密计算2G响应，并向交换机130转发该响应。交换机130 从委托鉴权代理140及移动台135接收类似的响应，这样交换机130 可鉴权并登记该移动台135。因此，移动台135现在通过使用共享的 2G秘密独立得出对于2G鉴权询问的响应，已经完成了真正的2G鉴权， 该共享的2G秘密与委托鉴权代理140产生的响应匹配。委托鉴权代理 140现在可允许移动台140正常地操作，例如进行电话呼叫、调度呼叫 或使用分组数据会话，并可为移动台135提供因特网协议(IP)地址。 已经使用图5公开了真正的2G鉴权的细节。

现在转到图2，表示了根据本发明实施例，基于与第一无线通信系 统的鉴权，在第二无线通信系统中鉴权并登记移动台135的方法的流 程图。根据实施例，第一无线通信系统可以是3G/4G无线通信系统， 并且第二无线通信系统可以是2G无线通信系统。在步骤205，从3G 无线通信系统115漫游到2G无线通信系统105时，在步骤210，移动 台135向委托鉴权代理发送临时鉴权请求。在使用图3详述过程后， 在步骤215，移动台135与2G无线通信系统105建立临时鉴权。该临 时鉴权使得移动台135能够获得到第一无线通信系统的分组数据接入 权，该第一无线通信系统即3G无线通信系统115。移动台135启动鉴 权请求，用于通过委托鉴权代理140与3G无线通信系统115进行鉴权。

移动台135与3G无线通信系统115协商鉴权请求，以基于临时 2G鉴权获得鉴权参数的第一集合。该鉴权参数由移动台和鉴权委托代 理使用来计算共享的2G秘密，该共享的2G秘密然后用于与2G无线 通信系统105的真正的2G鉴权。在步骤230，移动台135使用该鉴权 参数的第一集合向2G无线通信系统105进行鉴权和登记。移动台使用 该鉴权参数的第一集合来获得或计算共享的2G秘密。委托鉴权代理 140在2G无线通信系统105和3G无线通信系统115间提供管道。

在完成步骤215后，基于获得的临时鉴权，移动台135可结合通 过委托鉴权代理140与3G无线通信系统115协商3G鉴权请求。当协 商3G鉴权时，移动台135从3G无线通信系统115获得鉴权参数的第 一集合，同时在步骤220基于临时2G鉴权通过该2G系统进行通信。 在步骤225，移动台成功完成与3G无线通信系统的鉴权，并基于从3G 无线通信系统115接收到的鉴权参数的第一集合，结合委托鉴权代理 启动真正的2G鉴权。在步骤230，移动台135可通过选择或计算鉴权 参数的第一集合，基于该鉴权参数的第一集合与2G无线通信系统115 进行鉴权。该鉴权可作为移动台135与2G无线通信系统115的新登记 的一部分进行。在完成与2G无线通信系统105的真正的鉴权时，移动 台135可被指配因特网协议(IP)地址，并被允许发送调度消息和/或 进行呼叫。因此，例如委托鉴权代理的系统实现了当移动台操作于2G 网络中时，移动台借由3G鉴权来获得真正的2G鉴权。

现在转到图3a-3b，该图表示了根据本发明的实施例，在第二无线 通信系统中建立临时鉴权的方法的流程图。根据一个实施例，该第二 无线通信系统105可以是2G无线通信系统105。在步骤305，移动台 135通过发送临时鉴权请求，启动在漫游进2G无线通信系统105后的 临时鉴权。移动台可向2G无线通信系统105内的交换机130发送临时 鉴权请求。交换机包括访问位置寄存器(VLR)，其包括关于漫游进 2G无线通信系统105的访问移动台的信息。

在步骤310，交换机130向委托鉴权代理140转发临时鉴权请求。 在实施例中，使用全局名称翻译(GTT)路由机制来向委托鉴权代理 140路由该鉴权请求。GTT向交换机130指出委托鉴权代理140是移动 台135的HLR。委托鉴权代理140向交换机130发送鉴权参数的第二 集合。在一个实施例中，该鉴权参数的第二集合包括鉴权询问、基于 共享2G秘密的对于该询问的鉴权响应、以及共享的2G密钥，例如加 密密钥。由于鉴权是对以移动台135的临时鉴权，因而在委托鉴权代 理140和移动台135之间不存在共享的2G秘密。伪(非秘密)的共享 2G秘密用于可由多个移动台及委托鉴权代理140所已知的临时鉴权。 因此，该伪或临时共享2G秘密可用于为多个移动台建立临时鉴权。在 步骤315，委托鉴权代理140基于该伪共享2G秘密产生对于从交换机 130接收到的临时鉴权请求的预先配置的响应。例如，委托鉴权代理 140将发送到交换机130的询问设置为移动台135可识别的预留值。例 如，该临时鉴权询问可被设置为0。委托鉴权代理140计算临时鉴权响 应及加密密钥，就好像共享的2G秘密是在委托鉴权代理140和移动台 135两者中被预先配置为相同值的预先配置的共享2G秘密。该预先配 置的共享2G秘密是对于移动台135也已知的预留值(例如0)或者是 移动台135的国际移动台标识(IMSI)。可以相同的方式通过委托鉴 权代理140及移动台135，很容易地确定期望的临时鉴权响应。

在步骤320，交换机130现在向移动台135发送询问。在步骤325， 当移动台135从交换机130接收到具有预留值的鉴权询问时，移动台 135计算临时鉴权响应，就好像预先配置的共享2G秘密是预留值(例 如0)一样，并向交换机130发送临时鉴权响应。交换机130比较从委 托鉴权代理140和移动台135接收到的临时鉴权响应。由于该临时鉴 权响应被预先配置为类似的，因而交换机认为临时鉴权是成功的，并 在步骤335结束临时鉴权。

鉴权是临时的。由于产生临时鉴权响应的方式，鉴权可对于多个 移动台是已知的，其中某些可能是欺诈设备。由于这个原因，临时鉴 权仅允许有限的功能，并可仅在有限的时间内有效。因此，委托鉴权 代理140进一步向交换机130和移动台135通知该受限的接入，例如 仅允许分组数据，而禁止语音呼叫和/或调度呼叫。提供分组数据接入 以使得移动台135能够联系第一无线通信系统115。在一个实施例中， 2G无线通信系统105对临时鉴权施加受限的存在期。可替换地，委托 鉴权代理140可在经过受限的存在期后强行终止临时鉴权。在本发明 的另一实施例中，委托鉴权代理140还可指令移动台135使用特定的 域名服务(DNS)来标识2G无线通信系统105提供的分组数据服务。 为了防止欺诈的移动台滥用分组数据权利，委托鉴权代理140向移动 台135指配临时移动IP归属地址，并规定委托鉴权代理140对应于移 动台135的移动IP归属代理。该委托鉴权代理140然后可监视所有与 移动台135相关的分组数据业务。

图4a-4b表示了根据本发明的实施例的协商3G鉴权的流程图。该 鉴权是标准的，并是基于移动台和第一无线通信系统间共享的共享3G 秘密。移动台135可被编程用于进行基于会话启动协议(SIP)的登记， 包括其在2G无线通信系统105中成功进行临时鉴权之后，与第一无线 通信系统进行鉴权。根据实施例，3G鉴权的目的可用于从3G无线通 信网络获得鉴权参数的第一集合，以完成真正的2G鉴权。移动台135 可使用域名服务器(DNS)来发现出站的SIP委托，以联系3G无线通 信系统115。该DNS通常可被编程用于返回临时鉴权过程期间牵涉的 相同委托鉴权代理140。在步骤405，移动台135指出需要包括3G鉴 权的新的SIP登记，并通过向委托鉴权代理140发送SIP登记请求来启 动3G鉴权。移动台135包括允许委托鉴权代理140识别移动台135是 已经完成了临时2G鉴权的相同移动台135的信息。根据实施例，移动 台135可在私有标识字段插入鉴权参数(例如对应于移动台135的临 时2G鉴权参数)第二集合的一部分。可替换地，移动台135可在“来 源”(from)报头或“联系”报头中包括临时指配的伪共享2G秘密作 为特别报头，或者包括其国际移动台标识(IMSI)作为移动台的唯一 标识。

在步骤410，委托鉴权代理140向第一无线通信网络115转发SIP 登记，该第一无线通信网络115例如3G无线通信网络。委托鉴权代理 140向移动台135的3G无线通信系统115中指定的SIP登记者路由登 记请求消息。3G无线通信系统115将需要SIP鉴权移动台135，并返 回未鉴权消息或其他消息，以指出移动台必须被鉴权。3G无线通信系 统115应向委托鉴权代理140发送415鉴权参数的第一集合。该鉴权 参数的第一集合包括鉴权请求，该鉴权请求包括询问及保密3G密钥， 例如用于移动台135的加密密钥。在步骤415，基于在移动台135和 3G无线通信网络115之间是持续共享的共享3G秘密，来计算保密3G 密钥。根据本领域已知的标准，该共享的3G秘密对于移动台135是唯 一的。该共享的3G秘密对于任何其它2G系统实体保持是未知的。特 别地，不需要委托鉴权代理140了解该共享的3G秘密。3G无线通信 系统在步骤420向委托鉴权代理140发送该鉴权参数的第一集合。

在步骤425，委托鉴权代理140保持来自3G无线通信系统115发 送的未鉴权消息的鉴权参数第一集合的第一部分。在一个实施例中， 该鉴权参数第一集合的第一部分包含一个或多个保密3G密钥，并且委 托鉴权代理140选择该保密3G密钥中的一个，例如加密密钥，来用作 鉴权秘密。委托鉴权代理140还可基于一个或多个保密3G密钥，通过 使用也是公知的且用于移动台135的算法，来计算鉴权秘密。在步骤 430，委托鉴权代理140向移动台转发鉴权参数第一集合的第二部分。 该鉴权参数第一集合的第二部分包括询问。当转发鉴权参数第一集合 的第二部分时，委托鉴权代理140还可向移动台135提供SIP调度联系 地址。该地址可基于移动台135通过其被连接的委托鉴权代理140而 改变。

移动台135现在可基于委托鉴权代理140发送的询问和移动台及 3G无线通信网络已知的共享3G秘密来得到435响应。因此，在步骤 435，移动台135可得到保密3G密钥中的一个或多个，例如加密密钥， 并选择3G密钥中的一个作为鉴权秘密。移动台135还可基于一个或多 个保密3G密钥，通过使用也是已知的且用于委托鉴权代理140的算法， 来计算鉴权秘密。移动台135保持鉴权秘密和保密3G密钥，并向委托 鉴权代理140发送430响应。在步骤440，委托鉴权代理140向3G无 线通信系统115转发该响应。

在步骤445，3G无线通信系统115检查从移动台135接收到的响 应，并实现3G鉴权。由于已经使用相同的共享3G秘密计算出了响应， 因而移动台135的3G鉴权将是成功的且被完成。在步骤450，当委托 鉴权代理140从3G无线通信系统115接收到对鉴权确认的响应时，委 托鉴权代理向移动台135转发鉴权确认。现在，作为3G鉴权的结果， 移动台135以及委托鉴权代理获得它们自己的保密3G密钥(例如加密 密钥)的复本。在步骤455，委托鉴权代理140通知移动台135启动真 正的2G鉴权。

图5a-5b表示了根据本发明实施例，在完成与第一无线通信系统 的鉴权后，在第二无线通信系统中登记移动台135的流程图。一旦移 动台135获得了鉴权秘密，例如保密3G密钥，则移动台135可启动与 移动台135在获得临时2G鉴权时所使用的相同交换机130的真正的 2G鉴权。基于若干参数，例如负载共享、对于移动台135的接近度及 交换机130的配置，合适的其它交换机也可被指配用于真正的2G登记。 本领域技术人员可认识到，只要使用了相同的委托鉴权代理140，则用 于真正的2G登记的交换机可从临时鉴权期间使用的先前的交换机130 发生改变。

在步骤505，移动台135向交换机130发送用于真正的2G登记的 登记请求。在步骤510，交换机130向委托鉴权代理140转发该真正的 2G鉴权请求。委托鉴权代理140识别该鉴权请求与移动台135相关联， 并断言已经获得临时鉴权的相同移动台正在寻求真正的2G鉴权。在步 骤515，委托鉴权代理140使用鉴权参数第一集合的一部分计算真正的 2G鉴权响应。在一个实施例中，鉴权参数第一集合的一部分可以是从 3G无线通信系统115接收到的保密3G密钥中的一个。在步骤520，委 托鉴权代理140向交换机130发送对应于真正的2G鉴权请求的真正的 2G鉴权响应。该2G鉴权响应包括询问和共享的2G密钥。然而，在真 正的2G鉴权期间，委托鉴权代理140优选地使用不等于预留询问值的 随机询问并计算响应，就好像共享的2G秘密是鉴权秘密一样，例如在 3G鉴权期间基于在协商3G鉴权时接收到的消息而获得的保密3G秘密 中的一个。

在步骤525，交换机130向移动台135转发从委托鉴权代理140 接收到的询问。现在，在步骤530，移动台135接收不等于预留询问值 的询问，并因此基于鉴权参数第一集合的一部分，使用鉴权秘密来计 算鉴权询问响应作为共享的2G秘密，该鉴权秘密例如是保密3G密钥 中的一个。因此，基于3G无线通信系统115和移动台135已知的共享 3G秘密，间接地计算鉴权询问响应。在步骤535，移动台135向交换 机130发送鉴权询问响应。交换机130从移动台135接收该鉴权询问 响应，并将该鉴权询问响应与从委托鉴权代理140接收到的真正的2G 鉴权响应进行比较。在步骤540，交换机实现移动台135的真正的2G 鉴权。在步骤545，由于移动台已经在2G无线通信系统中完成了真正 的2G鉴权，因而在该2G登记期间，委托鉴权代理向订户提供简档， 该简档允许移动台进行调度和进行分组数据。

在一个实施例中，在步骤555，一旦移动台135完成了真正的2G 鉴权，则可从系统中移除鉴权参数的第二集合，例如委托鉴权代理140 和移动台135使用的询问及共享2G秘密。在另一实施例中，在步骤 555，委托鉴权代理可使用动态主机配置协议(DHCP)来得到用于移 动台的移动IP地址并指配归属代理，或者委托鉴权代理可允许移动台 继续先前指配的IP地址和归属代理。通常，不同的委托鉴权代理140 共享公共的数据库，例如委托数据库145。在真正的2G鉴权期间，委 托鉴权代理在委托数据库145中插入用于对应于移动台135的交换机 130的标识。如果移动台从2G无线通信系统105漫游出并随后再次漫 游进入，则委托鉴权代理140可在指配给移动台135的数据库中发现 先前的交换机130，并且如果移动台135现在正使用另一交换机，则发 布取消位置。这对应于HLR上通常执行的行为。

在成功完成真正的2G鉴权后，移动台135可具有新的IP地址。 在这种情况下，在步骤560，其可与3G无线通信系统进行新的SIP登 记。再次，移动台135可查询域名服务器(DNS)来获得本地出站委 托，或者其可使用先前的委托鉴权代理140。该DNS可再次强迫移动 台使用本地委托鉴权代理140作为出站(outbound)委托。由于移动台 已经与3G无线通信网络115进行了鉴权，因而3G无线通信网络115 将返回鉴权成功消息，并且委托鉴权代理140可向移动台135转发鉴 权成功消息，以完成与3G无线通信系统115的SIP登记。

因此，移动台能够借由3G无线通信系统的鉴权来获得2G无线通 信系统上的鉴权。

在前述说明中，已经描述了本发明的特定实施例。然而，本领域 普通技术人员可认识到，可进行不超出以下权利要求所阐述的本发明 范围的各种修改及改变。因而，该说明及附图都被认为是例示性的， 而没有限制的意思，并且所有这样的修改都期望包括在本发明的范围 之内。益处、优点、问题的解决方案，以及可引发任何益处、优点或 解决方案发生或更加清晰的任何元素不会构成任何或全部权利要求的 严格的、需要的、或基本的特征或元素。本发明仅通过附加的权利要 求定义，其包括在本申请未决期间的任何修改及公开的那些权利要求 的所有等价。