CN101467421A - 用于在认证请求中包括会话控制服务器的操作模式指示的基于随机数的认证方案的方法、装置和计算机介质 - Google Patents
用于在认证请求中包括会话控制服务器的操作模式指示的基于随机数的认证方案的方法、装置和计算机介质 Download PDFInfo
- Publication number
- CN101467421A CN101467421A CNA2007800219286A CN200780021928A CN101467421A CN 101467421 A CN101467421 A CN 101467421A CN A2007800219286 A CNA2007800219286 A CN A2007800219286A CN 200780021928 A CN200780021928 A CN 200780021928A CN 101467421 A CN101467421 A CN 101467421A
- Authority
- CN
- China
- Prior art keywords
- session control
- control server
- server
- authentication
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
在基于会话的认证应用中的基于随机数的认证方案的用法,可用于包括会话控制服务器和认证服务器的通信系统,会话控制服务器和认证服务器配置为提供基于会话的认证应用,其中的认证根据基于随机数的认证方案,包括在认证请求中,从该会话控制服务器到认证服务器的会话控制服务器的操作模式的指示,其中所述操作模式包括代理模式和用户代理模式。
Description
相关申请的交叉引用
本申请要求2006年6月16日提交的美国临时专利申请系列号No.60/814,058,以及2007年6月8日提交的要求前项优先权的美国非临时专利申请系列号No.__________的优先权,通过引用将其全部内容合并于此。
技术领域
本发明涉及在基于会话的认证应用中的基于随机数的认证方案的使用。特别地,本发明涉及在包括会话控制服务器和认证服务器的通信系统中的认证,会话控制服务器和认证服务器配置为提供基于会话的认证应用,其中所述认证根据基于随机数的认证方案。
背景技术
在当今和未来的诸如GPRS(通用分组无线业务)、UMTS(通用移动电信服务)或CDMA(码分多址)的通信系统中,认证和授权代表基本的问题。
对于涉及与安全相关的、个人的和/或机密数据与服务的功能和服务、以及为了控制进入这样的网络系统及其部分来说,在这样的通信系统中确保安全与可靠尤其重要,为了在这样的通信系统中确保安全与可靠,通常执行用户认证。为此,多个认证、授权和计费(AAA)方法已经提出。然而,这样的AAA方法的适用性依赖于底层的网络概念和/或该通信系统的技术。
例如,第三代合作伙伴计划(3GPP)已经指定了所谓的IP多媒体子系统(IMS)。该IP多媒体子系统,除其它外,包括归属用户服务器(HSS)、多个呼叫状态控制功能(CSCF;CSCF分为代理CSCF、查询CSCF与服务CSCF)以及服务器定位功能(SLF)。在这些网络实体之间,在称为Cx和Dx的接口上,将根据如RFC 3855中、特别是其第1和第2节中定义的Diameter基础协议的Diameter协议用于认证目的。
在一个IMS网络中,由互联网工程任务组(IETF)制定的会话发起协议(SIP)通常用来作为会话控制协议。因此,HSS可以称为Diameter服务器,且(S-)CSCF可以称为SIP服务器。在该联系中,IMS定义了Diameter应用以在建立会话的期间与SIP信令交互,并定义其它应用以执行和/或控制其它SIP服务。如RFC 3261的第8节和第16节所定义的,SIP服务器可操作于用户代理模式中,从而代表终端系统,或操作于代理模式中,从而代表用户代理服务器和客户端间的中介。
在这方面,在2006年4月28日的互联网草案“draft-ietf-aaa-diameter-sip-app-12”(已经IETF批准为RFC,其号码尚未知)中已经提出了一种Diameter SIP应用。该提案描述了Diameter和SIP的交互工作,其中SIP服务器依赖于用于认证SIP请求(例如,如SIPREGISTER的SIP注册请求)和授权使用特殊SIP服务的DiameterAAA基础设施。所述Diameter SIP应用提供了与SIP服务器共置的Diameter客户端,其能够从Diameter服务器请求用户认证和SIP资源使用的授权。根据Diameter SIP应用的不同操作,实际的认证在Diameter服务器处执行或在Diameter客户端(即SIP服务器)处执行。
在下文中,Diameter SIP应用作为基于会话的认证应用的非限制性示例。
此外,已经提出了一种用于对与IP相关的网络环境提供安全性的解决方案,即认证,这通常被称为“HTTP Digest认证”。该解决方案是如RFC 2617中所披露,并利用加密散列认证的。例如,上述的Diameter SIP应用在根据SIP的会话控制中支持HTTP Digest作为唯一的认证方案。该Digest方案是基于将随机数值用于挑战的简单的挑战-响应模式,随机数(“一次使用数”)是用于认证的(伪)随机数字。
以下,HTTP Digest认证被作为基于随机数的认证方案的非限制性示例。
至于例如用于认证用户的HTTP Digest和Diameter SIP间的交互,适用下面的过程。
当SIP服务器希望认证SIP用户代理客户端(例如用户设备)时,该SIP服务器可从Diameter服务器获得用户相关的认证与授权数据。如上所述,当某SIP服务器希望从Diameter服务器获取用户信息时,必须共置Diameter客户端。在某SIP用户代理客户端(UAC)的认证期间,所述SIP服务器中的Diameter客户端必须向适当的Diameter服务器发送请求,并处理来自适当的Diameter服务器的响应。
当Diameter客户端要获取待认证的用户代理客户端的认证信息或希望认证该用户代理客户端时,那么该Diameter客户端将称为多媒体认证请求(Multimedia-Auth-Request,即MAR命令)的认证请求连同有效的用户数据一起发送至Diameter服务器。该Diameter服务器作为响应,将被称为多媒体认证应答(Multimedia-Auth-Answer,即MAA命令)的认证响应连同用户认证数据一起发送,或者发送认证结果,这在本示例情况下通过HTTP Digest执行。根据以下事实,即认证是在Diameter服务器处执行还是在Diameter客户端(即SIP服务器)处执行,交换两对MAR/MAA命令或一对MAR/MAA命令。
HTTP Digest认证需要由服务器产生的随机数,在此情况中服务器是Diameter服务器。此随机数由Diameter服务器在Diameter SIP应用的框架内产生。除随机数值外,针对在HTTP Digest认证中重用随机数的情况,也可能使用随机数计数值。
新的随机数能够利用200(OK)响应一起发布或通过发送401(未授权)或407(需代理认证)响应而发布。这取决于SIP服务器的操作模式,即用户代理模式或代理模式,其随机数选择是适用的。每当SIP服务器正操作于用户代理模式,即作为用户代理服务器时,其在每个200(OK)响应中发送新的随机数,因为优选的是在每个请求中使用新的随机数而不是更新随机数计数值。每当SIP服务器正操作于代理模式时,其优选地避免由随机数计数值使用挑战的额外的往返延迟。因此,SIP服务器发送新的随机数、随机数使用计数器的运营商策略和实际上触发随机数值不能再使用的随机数生命期。
然而,一个问题在于,预计将产生用于认证的随机数的Diameter服务器不能正确地应用HTTP Digest过程。如果将Diameter服务器指定为用分配给某个用户的随机数计数值管理随机数状态(这取决于运营商策略,但有益于避免重放攻击(replay attack)),则该Diameter服务器因此而没有信息(在成功的认证之后),无论是应产生新的随机数还是应更新随机数计数。
这可能是有害的,因为这可能导致在成功的认证之后,Diameter服务器丢弃旧的随机数(在之前的认证中使用)并产生新的随机数,且Diameter服务器预期从SIP服务器在“nextnonce(下一随机数)”参数中发送新的随机数。然而,可能发生的是,SIP服务器作为SIP代理服务器工作,且不可能利用由Diameter服务器产生的新的“nextnonce”随机数。然而,Diameter服务器应假定为SIP客户端(即用户代理客户端)将基于SIP协议使用“nextnonce”。因此,当用户代理客户端(例如用户设备)下一次使用旧随机数(具有增加了的随机数计数)利用HTTP Digest响应发送请求时,则预先产生的认证响应将是错误的。这导致该请求将由SIP服务器基于使用新随机数的Diameter服务器响应挑战。
尽管该行为并不妨碍用户代理客户端注册和使用SIP服务器,但失去了在HTTP Digest认证中使用随机数计数和“nextnonce”的益处。这导致在SIP服务器和Diameter服务器方面均增加了网络流量。
因此,以上问题和缺陷的解决方案需要在基于会话的认证应用中提供一种有效的基于随机数的认证方案的用法。
发明内容
本发明所关注的是消除上述缺陷,并相应地提供改进的方法、装置等。
根据本发明的一个方面,提供了一种如下所描述的认证方法。
根据本发明的一个方面,提供了一种如下所描述的用于会话控制服务器侧的装置。
根据本发明的一个方面,提供了一种操作根据如下所描述的第二方面装置的方法。
根据本发明的一个方面,提供了一种如下所描述的用于认证服务器侧的装置。
根据本发明的一个方面,提供了一种操作根据如下所描述的第四方面的装置的方法。
根据本发明的一个方面,提供了一种如下所描述的认证系统,其中该系统在一种实现中主要包括根据第二方面的装置和根据第四方面的装置。
根据本发明另外的方面,提供了计算机程序和数据结构,用以每个单独地或以任何组合的方式如下所描述地操作上述装置。
基本上,本发明包括从会话控制服务器到认证服务器的该会话控制服务器的操作模式的指示,其中可能的操作模式为代理模式和用户代理模式。更进一步地,本发明包括考虑到会话控制服务器的操作模式的基于随机数的认证过程的应用。此外,本发明包括根据会话控制服务器的操作模式的认证参数的扩展。
根据本发明的实施方式,改进了会话控制服务器与认证服务器之间的配合。相应地,认证服务器获得关于会话控制服务器所使用的认证模式类型的知识,即“用户到用户”模式或“代理到用户”模式。
通过本发明的实施方式,当在基于会话的认证应用中使用基于随机数的认证方案时,可以在如SIP服务器的会话控制服务器和如Diameter服务器的认证服务器之间,在如SIP水平的会话控制水平上实现同步。
本发明实施方式的另一方面是,支持在例如Diameter SIP应用的基于会话的认证应用中使用例如HTTP Digest的基于随机数的认证方案。这导致用户代理客户端可以在会话控制服务器操作模式的每种情况下,在基于会话的认证框架中利用基于随机数的认证方案的任何可能的特征。
因此,本发明的实施方式减少了网络流量。
附图说明
下面,将参考附图更详细地描述本发明,在附图中
图1示出了根据本发明的一个实施方式的方法的信令流程图,以及
图2示出了了根据本发明的一个实施方式的系统的框图。
具体实施方式
于此,参照特定的非限制性示例描述本发明。本领域的技术人员将理解本发明并非限于这些示例,且可以更广泛地应用。
特别地,本发明是就SIP Diameter应用框架中的HTTP Digest认证的用法作为一种示例实现而描述。同样,于此给出的方面和实施方式的描述特别提到直接涉及此示例的术语。然而,这样的术语仅用在该示例的上下文中,且不以任何方式限制本发明。
图1示出了根据本发明的一个实施方式的方法的信令流程图。在图1中,仅描绘了那些与描述本发明的实施方式相关的消息和操作。
需要指出的是,图1中所示的SIP服务器可以是直接从用户接收SIP请求(例如注册)的SIP服务器,也可以是从其他不适于各自的请求/用户的SIP服务器接收转发的SIP请求(例如注册)的(本地)SIP服务器。
如图1所示,SIP服务器(Diameter客户端与其共置)从Diameter服务器请求用户认证,并向该Diameter服务器指示其操作模式,该SIP服务器与该Diameter服务器配合以提供Diameter SIP应用(步骤S1)。例如,该步骤可在作为用户代理客户端的用户(未示出)的成功认证之后进行,或当从SIP服务器处的用户收到认证请求时进行,或在认证过程中的任何其他合适的时机进行。根据下面描述的本发明的实现,SIP服务器的操作模式可以是代理模式或用户代理模式,在代理模式中,SIP服务器代表用户代理客户端(UAC)和用户代理服务器(UAS)间的中介,在用户代理模式中,SIP服务器代表用户代理服务器(UAS)。
在图1中,示出了操作模式的指示将要在表示为MAR(MAR:多媒体认证请求)的认证请求中传输。MAR命令的消息格式在上述Diameter SIP应用的互联网草案的8.7节中定义。
当从SIP服务器收到这样的操作模式的指示时,Diameter服务器根据如下所列的实现备选方案中的一个来分析MAR命令(步骤S2)。在步骤S3中,根据所述实施方式的Diameter服务器产生一随机数,并也可能针对随后的认证产生以下称之为“nextnonce”的另一随机数。nextnonce的产生基于也因此考虑指示的会话控制服务器的操作模式,且如果适用的话,nextnonce的产生也基于其他有效的Digest参数。如上所述,在管理随机数状态的Diameter服务器处,创建新的随机数或更新随机数计数值。产生的nextnonce的类型基本上取决于SIP服务器的操作模式,以便当SIP服务器在用户代理模式中操作时通常产生新的随机数,且当SIP服务器在代理模式中操作时则更新随机数计数值。
于是,在步骤S4中,Diameter服务器基于先前的步骤S2的分析和/或先前的步骤S3的随机数的产生而将认证参数(可能包括产生的随机数)传输到SIP服务器。在图1中,示出了认证参数的传输将在表示为MAA(MAA:多媒体认证应答)的认证响应中实行。MAA命令的消息格式在上述Diameter SIP应用的互联网草案的8.8节中定义。
除其它外,MAA消息包括包含H(A1)的Digest-HA1 AVP(如RFC2617中所定义),且其允许Diameter客户端计算预期的响应。Digest-HA1 AVP的存在向SIP服务器(即Diameter客户端)指示,用户认证必须在那里进行。接着,SIP服务器可使用接收到的参数认证用户。
虽然未在图1中示出,但是除了传输或取代传输,Diameter服务器也可基于一个或多个上述步骤,在Diameter SIP应用框架中使用HTTP Digest认证方案执行认证。
需要指出的是,图1中描绘的方法流程仅仅是一个流程示例,但根据本发明其它实施方式的方法,也可包括所述步骤的仅仅一个步骤或者一些步骤,或可在所述步骤之间或者以其它次序包括其它的步骤。
关于上述两种情况(即在Diameter客户端执行认证或在Diameter服务器执行认证),图1的实施方式涉及第一种情况。然而,虽然没有描绘,但本发明的实施方式也适用于第二种情况,即Diameter服务器执行用户认证。在这种情况中,两对MAR/MAA命令在Diameter客户端和服务器间交换。从而,第一MAA命令包含随机数,且第二MAA命令包含nextnonce,二者都根据上述的原理在Diameter服务器处产生。在此情况中,图1中的步骤S1的操作模式指示可利用第一或第二MAR命令实行,且图1中的步骤S2和步骤S3的功能可在第一或第二MAR/MAA命令的往返期间实行。
根据一个实施方式的第一实现备选方案,通过使用MAR消息中的属性值对(AVP)来实行指示,该属性值对特别指定用于指示会话控制服务器模式。即引入了除了那些在目前的互联网草案中定义的AVP之外,引入新的AVP,因此,形成了新的数据结构。
这种新引入的Diameter AVP表示SIP服务器用户代理模式AVP(SIP-Server-UA-mode AVP),其中AVP是针对消息领域的专用但非限制性术语,用户代理模式AVP可向Diameter服务器指示SIP服务器是工作于代理模式中还是UA模式中。
在此情况中,如果SIP服务器用户代理模式AVP指示SIP UA模式,且HTTP Digest参数支持该模式使用,则Diameter服务器可在SIP认证信息AVP(SIP-Authentication-Info AVP)中发送nextnonce。如果新AVP中指示的SIP服务器模式是代理模式,那么即使其它Digest参数允许,Diameter服务器也不应发送SIP认证信息AVP。
如果需要,此备选的解决方案提供灵活的方式用以构成(populate)SIP服务器的工作模式。如果不需要,AVP可来自从SIP服务器(即Diameter客户端)发送的MAR命令。如果应用HTTPDigest之外的认证方案,此备选方案亦可使用。
根据一个实施方式的第二备选实现,通过在属性值对中使用参数来实现指示,该参数专门指定用于指示会话控制服务器模式,该属性值对指定用于指示会话控制方法。即,引入除了那些在目前的互联网草案中定义的用于SIP方法AVP(SIP-Method AVP)的参数之外的新参数,因此,形成了新的数据结构。
相应地,现有的SIP方法AVP扩展用以指示:在SIP服务器中,SIP请求是以代理模式处理还是以UAS模式处理。当Diameter服务器收到这样的MAR命令时,则必须从SIP方法AVP此新的参数来分析SIP服务器UA模式。在成功的认证之后,Diameter服务器可决定是否要应用用户到用户或代理到用户的HTTP Digest认证。
根据一个实施方式的第三备选实现,如果会话控制服务器处于代理模式中,则通过使用属性值对来实现指示,该属性值对专门指定用于指示该会话控制服务器模式;以及如果会话控制服务器处于用户代理模式中,则通过使用属性值对来实现指示,该属性值对指定用于基于会话的认证应用。即,在SIP服务器的操作模式的基础上,区分了所使用的指示类型。在此情况中,引入除了那些在目前的互联网草案中定义的AVP之外的新AVP用于至少一种情况,因此形成了新的数据结构。
相应地,为了SIP代理到用户的HTTP Digest认证的目的,定义新的Diameter AVP。这些AVP例如可以是SIP代理授权AVP(SIP-Proxy-Authorization AVP)以及SIP代理认证AVP(SIP-Proxy-Authentication AVP),以便分别与SIP报头的代理授权(Proxy-Authorization)和代理认证(Proxy-Authentication)相匹配。为了SIP用户到用户的HTTP Digest认证的目的,可使用已定义的Diameter AVP。这意味着已存在的SIP认证/SIP授权AVP分别匹配于SIP报头的WWW认证和授权。且现有的SIP认证信息AVP(Authentication-Info AVP)可映射到SIP报头的认证信息。
图2示出了根据本发明一个实施方式的系统的框图。如图2中所示,本发明的系统可包括SIP服务器和Diameter服务器,或者至少包括这些服务器中的装置,其相应地根据以上描述的方法操作。
根据一个实施方式,一种在SIP服务器侧(其在图2中示例性地示出为SIP服务器本身)的装置包括指示器,即用于向Diameter服务器指示操作模式(代理模式或用户代理模式)的部件。这样的指示器配置为使用如MAR命令的认证请求来指示,并为此目的,使用以上描述的任何一种备选的实现。所述装置进一步包括:接收器,即用于接收从Diameter服务器传输的认证参数的部件;和/或处理器,即使用接收到的参数(可能包括nextnonce)执行认证的部件。
根据一个实施方式,一种在Diameter服务器侧(其在图2中示例性地示出为Diameter服务器本身)的装置包括接收器,即用于在如MAR命令的认证请求中,从SIP服务器接收SIP服务器操作模式的指示的部件。所述装置可进一步包括分析器,即用于分析来自SIP服务器的认证请求的部件。该分析器连接到接收器,并配置为根据以上任何一种备选实现来分析接收到的认证请求。
而且,可提供一种发生器,即考虑到来自分析器输出的结果(即,指示的SIP服务器的操作模式),产生用于随后的认证的随机数的部件。提供一种存储器,用于利用随机数计数值保持随机数状态,以便Diameter服务器侧能够管理该随机数状态。为此,该存储器连接到发生器、处理器和传输器,从所述发生器处输入新产生的值,所述处理器即是用于基于产生的和/或存储的认证参数执行认证的部件,所述传输器即是用于将相应的认证参数传输到SIP服务器的部件。
为了认证的目的,使得两侧的处理器(虽然未示出)能够根据所使用的认证方案在HTTP Digest的此情况中合作。
需要指出的是,图2仅仅示出了那些直接与解释本发明相联系的装置、部分和元件。技术人员会理解,在实践中还包括哪些常规的装置、部分和元件以及如何包括常规的装置、部分和元件。
对于技术人员来说,图2中任何单个元件的操作,在参考根据图1的方法的细节描述时将进一步地显而易见。即,本发明的有形实施方式配置为根据本发明的方法实施方式来操作。因此,本发明亦包括实现本发明及其实施方式所需的特定数据结构和计算机程序。
总体来说,还需指出,如果所述如根据本发明的指示器和分析器那样的功能元件仅仅适于执行相应部分的所描述的功能的话,则其相应地可由任何已知方式实现,无论是在集成的或可移动的硬件和/或软件中。例如,分析器可由任何数据处理单元实现,例如微处理器,该数据处理单元配置为鉴于于此定义的操作模式的指示而分析认证请求。所述部分也可在单个功能模块中或由单个设备实现,或者一个或更多所述部分可在单独功能模块中或由单独设备实现。相应地,以上图2的阐述仅仅用于说明的目的,且并非以任何方式限制本发明的实现。
而且,很可能实现为软件代码部分、并使用处理器在一个实体处运行的方法步骤是独立的软件代码,且可使用例如Java、C、C++和汇编程序的任何已知的或未来开发的编程语言规定。很可能在一个对等实体处作为硬件部件实现的方法步骤和/或设备或装置是独立的硬件,且可使用任何已知的或未来开发的硬件技术或这些技术的任何组合实现,这些硬件技术例如MOS、CMOS、BiCMOS、ECL、TTL等,作为示例,例如使用例如ASIC组件或DSP组件实现。总体来说,任何方法步骤都适于作为软件或通过硬件实现,而不改变本发明的主旨。设备与装置可作为单个设备实现,但只要设备的功能得以保持,并不排除它们以遍及整个系统的分布式方式实现。这样的和类似的原理对于那些本领域中的技术人员应视为已知。
根据本发明的实施方式,如SIP服务器的会话控制服务器在如MAR命令的认证请求中,从会话控制信令的观点指示其正工作于代理模式还是工作于用户代理模式。如Diameter服务器的认证服务器接收所述指示,然后知道如何应用例如HTTP Digest认证的基于随机数的认证,并知道如何在如MAA命令的认证响应中组装参数到会话控制服务器。
本发明的实施方式可应用在任何包括会话控制服务器和认证服务器的通信系统中,其配置为提供基于会话的认证应用。这例如可以是IMS系统中的情况,其中,本发明特别适合于应用在Cx接口上。其它示例包括由ETSI(欧洲电信标准协会)定义的系统、3GPP和3GPP2(3GPP:第三代合作伙伴计划)以及TISPAN(电信与互联网的融合服务及用于高级网络的协议)。
简言之,以上描述的本发明的示例性实施方式可概括为在Diameter服务器中按需的HTTP Digest nextnonce的产生。
鉴于前述内容,很清楚的是本发明阐述了方法、实体及元件的多个方面,如下:
(第一方面)
一种认证方法,在包括会话控制服务器和认证服务器的通信系统中可用,其配置为提供基于会话的认证应用,其中认证根据基于随机数的认证方案,所述方法包括:
在认证请求中,从该会话控制服务器向认证服务器指示会话控制服务器的操作模式。
上述方法,其中会话控制服务器的操作模式包括代理模式和用户代理模式。
上述方法,其中指示操作模式是在成功的认证之前和/或之后实施。
上述方法,其中根据第一选择,指示操作模式是通过使用属性值对实行,该属性值对指定用于指示会话控制服务器模式。
上述方法,其中根据第二选择,指示操作模式是通过在属性值对中使用参数实行,该参数指定用于指示会话控制服务器模式,该属性值对指定用于指示会话控制方法。
上述方法,其中根据第三选择,如果会话控制服务器处于代理模式,则指示操作模式是通过使用属性值对实行,该属性值对是指定用于指示会话控制服务器模式;以及如果会话控制服务器处于用户代理模式,则指示操作模式是通过使用属性值对实行,该属性值对指定用于基于会话的认证应用。
上述方法,进一步包括:
在认证服务器处分析来自会话控制服务器的认证请求;以及
考虑指示的会话控制服务器的操作模式,在认证服务器处产生用于随后的认证的随机数。
上述方法,其中产生随机数包括创建新的随机数和更新先前随机数的随机数计数值。
上述方法,进一步包括:
考虑到指示的操作模式和/或产生的随机数,在认证响应中从认证服务器向会话控制服务器传输认证参数;和/或
考虑到指示的操作模式和/或产生的随机数,使用基于随机数的认证方案执行认证。
(第二方面)
一种装置,在包括会话控制服务器和认证服务器的通信系统中可用,其配置为提供基于会话的认证应用,其中的认证根据基于随机数的认证方案,所述装置包括:
指示器,配置为在认证请求中,从该会话控制服务器向认证服务器指示会话控制服务器的操作模式。
上述装置,其中会话控制服务器的操作模式包括代理模式和用户代理模式。
上述装置,其中指示器配置为在成功的认证之前和/或之后指示操作模式。
上述装置,其中根据第一选择,指示器配置为通过使用属性值对来指示操作模式,该属性值对指定用于指示会话控制服务器模式。
上述装置,其中根据第二选择,指示器配置为通过在属性值对中使用参数来指示操作模式,该参数指定用于指示会话控制服务器模式,该属性值对指定用于指示会话控制方法。
上述装置,其中根据第三选择,如果会话控制服务器处于代理模式,则指示器配置为通过使用属性值对指示操作模式,该属性值对指定用于指示会话控制服务器模式;以及如果会话控制服务器处于用户代理模式,则指示器配置为通过使用属性值对指示操作模式,该属性值对指定用于基于会话的认证应用。
上述装置,进一步包括:
接收器,配置为从认证服务器接收认证参数;和/或
处理器,配置为根据接收到的认证参数,使用基于随机数的认证方案执行认证。
上述装置,其中的认证参数包括随机数。
上述装置,其中该装置配置在会话控制服务器处。
(第三方面)
一种根据第一方面的方法来操作上述第二方面的装置的方法,其中的装置充当会话控制服务器。
(第四方面)
一种装置,在包括会话控制服务器和认证服务器的通信系统中可用,其配置为提供基于会话的认证应用,其中的认证根据基于随机数的认证方案,所述装置包括:
接收器,配置为在认证请求中,从会话控制服务器接收会话控制服务器操作模式的指示。
上述装置,其中会话控制服务器的操作模式包括代理模式和用户代理模式。
上述装置,进一步包括:
分析器,配置为分析来自会话控制服务器的认证请求;以及
发生器,配置为考虑到指示的会话控制服务器操作模式,产生用于随后的的认证的随机数。
上述装置,进一步包括配置为用随机数计数值保持随机数状态的存储器。
上述装置,其中的发生器配置为创建新的随机数并更新先前随机数的随机数计数值。
上述装置,进一步包括:
传输器,配置为在认证响应中,考虑指示的操作模式和/或产生的随机数,从认证服务器向会话控制服务器传输认证参数;和/或
处理器,配置为考虑指示的操作模式和/或产生的随机数而使用基于随机数的认证方案来执行认证。
上述装置,其中该装置配置在认证服务器处。
(第五方面)
一种根据第一方面的方法操作上述第四方面的装置的方法,其中所述装置充当认证服务器。
(第六方面)
一种认证系统,在包括会话控制服务器和认证服务器的通信系统中可用,其配置为提供基于会话的认证应用,其中的认证根据基于随机数的认证方案,所述系统包括:
指示器,配置为在认证请求中,从该会话控制服务器向认证服务器指示会话控制服务器的操作模式。
上述系统,其中会话控制服务器的操作模式包括代理模式和用户代理模式。
上述系统,其中指示器配置为结合以上的装置如所述那样操作。
上述系统,进一步包括:
分析器,配置为分析来自会话控制服务器的认证请求;以及
发生器,配置为考虑到指示的会话控制服务器操作模式,产生用于随后的认证的随机数。
上述系统,其中发生器配置为创建新的随机数并更新先前随机数的随机数计数值。
上述系统,进一步包括:
认证服务器处的传输器和会话控制服务器处的接收器,配置为在认证响应中,考虑指示的操作模式和/或产生的随机数,从认证服务器向会话控制服务器传输认证参数;和/或
处理器,配置为考虑指示的操作模式和/或产生的随机数而使用基于随机数的认证方案来执行认证。
上述系统包括第二方面的装置和/或第四方面的装置。
(第七方面)
一种包含在计算机可读介质中的计算机程序,包括配置为操作根据第二方面的装置的程序代码。
(第八方面)
一种包含在计算机可读介质中的计算机程序,包括配置为操作根据第四方面的装置的程序代码。
根据本发明的某些实施方式,上述方面的主题配置以使得:
- 基于会话的认证应用包括Diameter SIP应用,和/或
- 基于随机数的认证方案包括HTTP Digest认证,和/或
- 会话控制服务器包括SIP服务器和/或Diameter客户端,和/或
- 认证服务器包括Diameter服务器。
根据本发明的某些其他实施方式,上述方面的主题配置以使得:
- 通信系统包括IP多媒体子系统(IMS),和/或
- 会话控制服务器包括呼叫状态控制功能,和/或
- 认证服务器包括归属用户服务器。
总之,在基于会话的认证应用中,提供了一种基于随机数的认证方案的用法,在包括会话控制服务器和认证服务器的通信系统中可用,会话控制服务器和认证服务器配置为提供基于会话的认证应用,其中的认证考虑了基于随机数的认证方案,包括:在认证请求中,从该会话控制服务器向认证服务器指示会话控制服务器的操作模式,其中操作模式包括代理模式和用户代理模式。
尽管以上根据附图参考示例描述了本发明,但很显然,并非将本发明限定于此。而且,对于那些本领域中的技术人员很明显的是,可以以多种方式修改本发明而不脱离如上公开的发明主旨的范围。
Claims (40)
1.一种在通信系统中可用的认证方法,所述方法包括:
在认证请求中,从会话控制服务器向所述认证服务器指示所述会话控制服务器的操作模式,
其中所述通信系统包括会话控制服务器和认证服务器,其中所述会话控制服务器和所述认证服务器配置为提供基于会话的认证应用,其中认证根据基于随机数的认证方案。
2.根据权利要求1所述的方法,其中所述指示会话控制服务器的操作模式包括代理模式和用户代理模式。
3.根据权利要求1所述的方法,其中所述指示操作模式是在成功的认证之前和之后中的至少一处实施。
4.根据权利要求1所述的方法,其中所述指示操作模式是通过使用属性值对实行,所述属性值对指定用于指示会话控制服务器模式。
5.根据权利要求1所述的方法,其中所述指示操作模式是通过在属性值对中使用参数实行,所述参数指定用于指示会话控制服务器模式,所述属性值对指定用于指示会话控制方法。
6.根据权利要求1所述的方法,其中如果所述会话控制服务器处于代理模式中,则所述指示操作模式是通过使用属性值对实行,所述属性值对指定用于指示会话控制服务器模式,以及如果所述会话控制服务器处于用户代理模式中,则所述指示操作模式是通过使用属性值对实行,所述属性值对指定用于所述基于会话的认证应用。
7.根据权利要求1所述的方法,进一步包括:
在所述认证服务器处,分析来自所述会话控制服务器的认证请求;以及
在所述认证服务器处产生随机数,所述随机数用于考虑到指示的所述会话控制服务器操作模式的随后的认证。
8.根据权利要求7所述的方法,其中所述产生随机数包括创建新的随机数以及更新先前随机数的随机数计数值。
9.根据权利要求7所述的方法,进一步包括以下内容中的至少一个:
在认证响应中,考虑指示的操作模式以及产生的随机数中的至少一个,将认证参数从所述认证服务器传输到所述会话控制服务器;以及
考虑指示的操作模式以及产生的随机数中的至少一个,使用所述基于随机数的认证方案执行认证。
10.根据权利要求1所述的方法,其中所述基于会话的认证应用包括Diameter会话发起协议SIP认证。
11.根据权利要求1所述的方法,其中所述基于随机数的认证方案包括超文本传输协议HTTP Digest认证。
12.一种在包括会话控制服务器和认证服务器的通信系统中可用的装置,所述装置包括:
指示器,配置为在认证请求中,从所述会话控制服务器向所述认证服务器指示所述会话控制服务器的操作模式,
其中所述会话控制服务器和所述认证服务器配置为提供基于会话的认证应用,其中认证根据基于随机数的认证方案。
13.根据权利要求12所述的装置,其中所述会话控制服务器的所述操作模式包括代理模式和用户代理模式。
14.根据权利要求12所述的装置,其中所述指示器进一步配置为在成功认证之前和之后中的至少一处指示操作模式。
15.根据权利要求12所述的装置,其中所述指示器进一步配置为通过使用属性值对指示操作模式,所述属性值对指定用于指示会话控制服务器模式。
16.根据权利要求12所述的装置,其中所述指示器进一步配置为通过在属性值对中使用参数指示操作模式,所述参数指定用于指示会话控制服务器模式,所述属性值对指定用于指示会话控制方法。
17.根据权利要求12所述的装置,其中所述指示器进一步配置为,如果所述会话控制服务器处于代理模式中,则通过使用属性值对指示操作模式,所述属性值对指定用于指示会话控制服务器模式;以及如果所述会话控制服务器处于用户代理模式中,则通过使用属性值对指示操作模式,所述属性值对指定用于所述基于会话的认证应用。
18.根据权利要求12所述的装置,进一步包括:
接收器,配置为接收来自所述认证服务器的认证参数;以及
处理器,配置为根据接收到的认证参数,使用所述基于随机数的认证方案执行认证。
19.根据权利要求12所述的装置,其中所述认证参数包括随机数。
20.根据权利要求12所述的装置,其中所述装置配置在所述会话控制服务器处。
21.根据权利要求20所述的装置,其中所述会话控制服务器包括会话发起协议SIP服务器以及Diameter客户端中的至少一个。
22.一种在包括会话控制服务器和认证服务器的通信系统中可用的装置,所述装置包括:
接收器,配置为在认证请求中,从所述会话控制服务器接收所述会话控制服务器的操作模式的指示,
其中所述会话控制服务器和所述认证服务器配置为提供基于会话的认证应用,以及其中认证根据基于随机数的认证方案。
23.根据权利要求22所述的装置,其中所述会话控制服务器的所述操作模式包括代理模式和用户代理模式。
24.根据权利要求22所述的装置,进一步包括:
分析器,配置为分析来自所述会话控制服务器的认证请求;以及
发生器,配置为产生用于随后的考虑到指示的所述会话控制服务器操作模式的认证的随机数。
25.根据权利要求24所述的装置,进一步包括配置为用随机数计数值保持随机数状态的存储器。
26.根据权利要求24所述的装置,其中所述发生器进一步配置为创建新的随机数;并更新先前随机数的随机数计数值。
27.根据权利要求24所述的装置,进一步包括至少一个以下内容:
传输器,配置为在认证响应中,考虑指示的操作模式和产生的随机数中的至少一个,将认证参数从所述认证服务器传输到所述会话控制服务器;以及
处理器,配置为考虑指示的操作模式和产生的随机数中的至少一个,使用所述基于随机数的认证方案执行认证。
28.根据权利要求22所述的装置,其中所述装置配置在所述认证服务器处。
29.根据权利要求28所述的装置,其中所述认证服务器包括Diameter服务器。
30.一种在包括会话控制服务器和认证服务器的通信系统中可用的认证系统,所述系统包括:
指示器,所述指示器在所述会话控制服务器处,配置为在认证请求中,从所述会话控制服务器向所述认证服务器指示所述会话控制服务器的操作模式,
接收器,所述接收器在所述认证服务器处,配置为在认证请求中,从所述会话控制服务器接收所述会话控制服务器的操作模式的指示,
其中所述会话控制服务器和所述认证服务器配置为提供基于会话的认证请求,以及
其中认证根据基于随机数的认证方案。
31.根据权利要求30所述的系统,其中所述会话控制服务器的所述操作模式包括代理模式和用户代理模式。
32.根据权利要求30所述的系统,在所述认证服务器处进一步包括:
分析器,配置为分析来自所述会话控制服务器的认证请求;以及
发生器,配置为产生用于随后的考虑到指示的所述会话控制服务器的操作模式的认证的随机数。
33.根据权利要求30所述的系统,进一步包括以下内容中的至少一个:
在所述认证服务器处的传输器和在所述会话控制服务器处的接收器,配置为在认证响应中,考虑指示的操作模式和产生的随机数中的至少一个,将认证参数从所述认证服务器传输到所述会话控制服务器;以及
处理器,所述处理器在每个所述认证服务器和所述会话控制服务器处,配置为考虑指示的操作模式和产生的随机数中的至少一个,使用所述基于随机数的认证方案执行认证。
34.根据权利要求30所述的系统,其中所述通信系统包括互联网协议IP多媒体子系统IMS。
35.根据权利要求34所述的系统,其中所述会话控制服务器包括呼叫状态控制功能。
36.根据权利要求34所述的系统,其中所述认证服务器包括归属用户系统。
37.一种在包括会话控制服务器和认证服务器的通信系统中可用的装置,所述装置包括:
指示器部件,用于在认证请求中,从所述会话控制服务器向所述认证服务器指示所述会话控制服务器的操作模式,
其中所述会话控制服务器和所述认证服务器配置为提供基于会话的认证应用,其中认证根据基于随机数的认证方案。
38.一种在包括会话控制服务器和认证服务器的通信系统中可用的装置,所述装置包括:
接收器部件,用于在认证请求中,从所述会话控制服务器接收所述会话控制服务器的操作模式的指示,
其中所述会话控制服务器和所述认证服务器配置为提供基于会话的认证应用,以及其中认证根据基于随机数的认证方案。
39.一种利用计算机程序编码用于执行方法的计算机介质,所述方法包括:
在认证请求中,从所述会话控制服务器向认证服务器指示会话控制服务器的操作模式,
其中所述计算机可读介质在包括所述会话控制服务器和所述认证服务器的通信系统中可用,
其中所述会话控制服务器和所述认证服务器配置为提供基于会话的认证应用,以及
其中认证根据基于随机数的认证方案。
40.一种利用计算机程序编码用于执行方法的计算机可读介质,所述方法包括:
在认证服务器处,从会话控制服务器接收所述会话控制服务器的操作模式的指示,
其中所述计算机可读介质在包括所述会话控制服务器和所述认证服务器的通信系统中可用,
其中所述会话控制服务器和所述认证服务器配置为提供基于会话的认证应用,以及
其中认证根据基于随机数的认证方案。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US81405806P | 2006-06-16 | 2006-06-16 | |
| US60/814,058 | 2006-06-16 | ||
| US11/808,372 | 2007-06-08 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101467421A true CN101467421A (zh) | 2009-06-24 |
Family
ID=40806707
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007800219286A Pending CN101467421A (zh) | 2006-06-16 | 2007-06-14 | 用于在认证请求中包括会话控制服务器的操作模式指示的基于随机数的认证方案的方法、装置和计算机介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101467421A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105190621A (zh) * | 2013-05-09 | 2015-12-23 | 诺基亚技术有限公司 | 用于内容的异步分发的方法和装置 |
| CN107430657A (zh) * | 2015-02-27 | 2017-12-01 | 三星电子株式会社 | 通过代理的认证 |
-
2007
- 2007-06-14 CN CNA2007800219286A patent/CN101467421A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105190621A (zh) * | 2013-05-09 | 2015-12-23 | 诺基亚技术有限公司 | 用于内容的异步分发的方法和装置 |
| CN105190621B (zh) * | 2013-05-09 | 2019-09-10 | 诺基亚技术有限公司 | 用于内容的异步分发的方法和装置 |
| CN107430657A (zh) * | 2015-02-27 | 2017-12-01 | 三星电子株式会社 | 通过代理的认证 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100882326B1 (ko) | 가입자 신원들 | |
| JP4673364B2 (ja) | エンティティの第1のidおよび第2のidの検証方法 | |
| JP5179372B2 (ja) | 異なるプロトコル領域間の相互運用性を提供する技術 | |
| CN1697552B (zh) | 采用会话启动协议消息对服务器验证用户代理的验证方法 | |
| JP5143125B2 (ja) | ドメイン間情報通信のための認証方法、システム、およびその装置 | |
| EP1514194B1 (en) | Authentication for IP application protocols based on 3GPP IMS procedures | |
| CN101714978A (zh) | 不进行持续的重新验证的sip信令 | |
| US20050273595A1 (en) | Providing apparatus, communication device, method, and program | |
| JP2007528650A5 (zh) | ||
| US8365244B2 (en) | Systems, methods and computer program products supporting provision of web services using IMS | |
| JP4670598B2 (ja) | ネットワークシステム、プロキシサーバ、セッション管理方法、及びプログラム | |
| KR20100034321A (ko) | 네트워크 id 기반 연합 및 싱글사인온 인증 방법 | |
| US20100312887A1 (en) | Management system for warranting consistency between inter-client communication logs | |
| US20160156623A1 (en) | Method and System for Transmitting and Receiving Data, Method and Device for Processing Message | |
| CN101204038A (zh) | 鉴权协议转换方法 | |
| WO2005029256A2 (en) | Method and system for plug and play installation of network entities in a mobile wireless internet | |
| KR101326403B1 (ko) | 위임 오퍼레이션 수행을 위한 시스템 및 방법 | |
| US10979750B2 (en) | Methods and devices for checking the validity of a delegation of distribution of encrypted content | |
| US20070289007A1 (en) | Authentication Proxy Method, Distribution Management Device, And Authentication Proxy Method Program | |
| JP5051656B2 (ja) | 通信制御システムおよび通信制御方法 | |
| US20060020791A1 (en) | Entity for use in a generic authentication architecture | |
| CN102694779B (zh) | 组合认证系统及认证方法 | |
| CN101467421A (zh) | 用于在认证请求中包括会话控制服务器的操作模式指示的基于随机数的认证方案的方法、装置和计算机介质 | |
| US20080005785A1 (en) | Usage of nonce-based authentication scheme in a session-based authentication application | |
| JP5302665B2 (ja) | 認証サーバ提示方法、サービス提供システム、サービス提供装置、およびサービス提供プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20090624 |