CN101573934A - 在通信网络中的鉴别 - Google Patents

Abstract

一种在IP多媒体子系统网络中鉴别用户的方法，该方法包括从接入网络接收定义终端物理位置的接入标识符，从数据库中检索与用户关联的已注册的接入标识符；然后确定接收的接入标识符与已注册的接入标识符是否匹配，如果匹配则在IMS网络中鉴别用户，如果不匹配则执行可替换的鉴别方法。该方法允许在接入网络中的游牧用户向IP多媒体子系统网络注册。

Description

在通信网络中的鉴别

技术领域

本发明涉及通信网络中鉴别用户的领域。

背景技术

IP多媒体(IPMM)是提供在同一会话内声音，视频，消息接发，数据等动态组合的服务的例子。伴随着可能组合的基本应用和媒体的数量增加，提供给最终用户的服务数量也将增加，并且用户间通信体验也将更加丰富。这带来了新一代个性化，丰富多彩的多媒体通信服务，例如，对等多媒体通信，IPTV等。

这些服务可以基于IP多媒体子系统(IMS)架构，这是由第三代伙伴计划(3GPP)定义的技术，在移动通信网络上提供IP多媒体服务(3GPP TS22.228，TS23.228，TS24.229，TS29.228，TS29.229，TS29.328和TS29.329版本5到7)。

IMS利用会话发起协议(SIP)在用户终端(或者用户终端和应用服务器)之间建立和控制呼叫或会话。由SIP信令承载的会话描述协议(SDP)用来描述和协商会话的媒体成分。图1示意性地示出在3GPP PS接入域的情况下IMS如何适应于移动网络架构。

当用户希望从固定线路接入任何网络时，可能首先使用网络附着子系统(NASS)(ETSI TS 282 004 v1.1.1)在接入网络中鉴别该用户。NASS给在使用中的固定线路分配IP地址，并且鉴别和授权该用户。NASS还可用于依据由NASS存储的用户简档在接入网络中配置优先权。

当在接入网络中鉴别最终用户时，用户终端发送与终端用来接入网络的固定线路关联的使用中线路标识符(LID)。LID被转发到称为连接会话位置和存储功能(CLF)的NASS实体。CLF然后将用户LID与用户被分配的IP地址相关联。

对于用户从固定线路接入IMS网络，ETSI TS 183033TISPAN定义了一种IMS用户的鉴别方法。这种方法就是所知的NASS-IMS捆绑(NAB)。如图2所示，NAB方法允许IMS层重复使用已存的网络附着子系统(NASS)鉴别状态。IMS网络执行线路ID检验，并且如果成功则TISPAN IMS网络信任接入网络鉴别状态并标记用户为已鉴别。

更详细的，在IMS-SIP注册时，IMS网络中的代理-呼叫会话控制功能(P-CSCF)查询接入网络中的CLF来检索使用中LID和分配给使用中线路的IP地址。P-CSCF在SIP注册中使用检索的IP地址作为查询密钥。使用中LID利用SIP注册消息的P-接入-网络-信息(PANI)参数插入到SIP注册消息中。包括LID值的注册消息然后被发送给服务-呼叫会话控制功能(S-CSCF)。当S-CSCF执行多媒体鉴别请求(MAR)操作时，它可能并不知道所使用的鉴别方案，所以S-CSCF将MAR中的鉴别-方案属性值对(AVP)设置为“未知”。MAR被发送给归属订阅者服务器(HSS)，其基于订阅的鉴别方法选择鉴别方案。用在SIP注册程序中的用户IMS私有身份(IMPI)和IMS公有身份(IMPU)被包含在发送给HSS的MAR中。

HSS从数据库检索已注册的线路标识符(LID’)。LID′是与用户关联并存储在用户简档中的已注册线路标识符。当HSS以多媒体鉴别应答响应S-CSCF时，HSS将所述鉴别-方案AVP设置为“NASS捆绑”，并且在多媒体鉴别应答中包含LID′。

S-CSCF比较从HSS返回的LID′与从接入终端接收的LID。如果LID匹配LID′，则S-CSCF发送SAR消息给HSS。在这种情况下，用户被认为已成功鉴别。上面描述的信令序列示于图3中。

这个解决方案的问题在于它依赖于从NASS中的CLF获取的使用中线路标识符(LID)值与存储在用户的IMS简档中的已注册线路标识符LID′之间的正确关联。

参考示于图4中的示例场景，游牧用户利用第三方的固定线路宽带连接(例如，用户可能是第三方归属地的访客，并利用可用DSL线路或光纤线路)。IMS注册依赖于注册用户具有通常存储在卡上的IMS身份。为了向IMS网络注册，用户必须将他们的身份发送给该网络。游牧用户通过许多标准方式中的任一种附着到固定线路连接。例如，游牧用户可能将3G使能的笔记本电脑插入到调制解调器，利用可用的WLAN路由器，或者将他们的智能卡/SIM卡/ISIM卡插入到本地装置。如果通过用户接入授权功能/简档数据库功能(UAAF/PDBF)在常规NASS中的鉴别是成功的，则用户可以不管用户的IMS证书使用固定线路宽带连接。然而，如果游牧用户然后决定向IMS网络注册以利用IMS服务，则依据3GPP TS 24.229V7.4.0(2006-06)用户发送它的IMS私有身份(IMPI)和IMS公有身份(IMPU)给IMS S-CSCF。S-CSCF将下列信息发送给UPSF/HSS作为注册的一部分：

●鉴别-方案AVP设置为“未知”

●用户的IMPI和IMPU

如果尝试IMS注册的用户在他的订阅中有使能的NASS-捆绑鉴别方案，则HSS/UPSF返回用户的已注册LID′给S-CSCF。但是由于用户不是使用被注册给那个用户的固定线路连接，所以使用中LID不同于存储在用户简档中的LID′。因而，S-CSCF不能鉴别用户并相应通知用户终端。终端向所述IMS网络注册的进一步尝试可能被IMS网络解释为服务攻击或欺骗尝试而拒绝，导致IMS最终用户被列入黑名单或阻止。ETSI TS 183033TISPAN没有解决这一问题。

无论何时IMS用户(NAB鉴别机制被使能)通过使用中LID值而利用固定线路连接，而使用中LID值不同于存储在HSS中且与用户关联的他们IMS简档中的已注册LID′值时，这一问题就会出现，例如，无论何时IMS用户作为访客用户利用访问的WLAN/Wimax接入点(其最终使用固定线路连接到网络)时。

发明内容

在游牧用户的LID值与他们IMS简档中的与用户关联的LID′值不匹配的情况下，允许使用NASS-捆绑鉴别来在IMS网络中鉴别游牧用户是期望的。

根据本发明的第一方面，提供一种在IP多媒体子系统网络中鉴别用户的方法，所述方法包括：

从接入网络接收定义终端物理位置的接入标识符；

从数据库中检索与用户关联的已注册接入标识符；然后

确定接收的接入标识符与已注册接入标识符是否匹配，如果匹配则在IMS网络中鉴别用户，如果不匹配则执行可替换的鉴别方法。

优选地，所述可替换的鉴别方法是从包含在由所述IP多媒体子系统网络存储的用户简档中的鉴别方法的列表中选择的。所述选择在从用户偏好(preference)；运营商偏好；网络域；安全参数；和接入技术中选取的标准的基础上进行。

优选地，从接入网络接收的接入标识符是定义了终端所连接的线路的使用中线路标识符。然而，也可使用其他类型的定义了线路的标识符，包括服务集标识符。

在优选实施例中，所述方法包括在接收接入标识符之前在接入网络中接收使用中线路标识符的步骤。然后在接入网络中鉴别用户。从接入网络数据库中检索预先注册的线路标识符，并确定所述预先注册的线路标识符是否匹配于使用中线路标识符。如果不匹配则生成访问线路标识符，其在IMS网络中被用作接收的线路标识符。

所述可替换的鉴别方法可包括确定从所述接入网络接收的所述线路标识符是否是访问线路标识符，并且如果是则鉴别该用户。

从接入网络接收的线路标识符可以是包括所述访问线路标识符和使用中线路标识符的串接线路标识符。

当使用了串接标识符时，所述方法进一步包括将所述串接线路标识符分散成访问线路标识符和使用中线路标识符；然后使用使用中线路标识符用于以下任意一个：

在网络中鉴别用户；

确定用户的地理位置；

触发与用户会话相关的初始滤波器标准；以及

详细制作与使用访问线路标识符的IP多媒体子系统网络的用户相关的统计。

所述方法进一步包括从数据库检索与使用中线路标识符关联的IP多媒体子系统用户的用户简档。这样就可以获取与使用中线路标识符关联的用户的用户简档，这用来确定是否允许向IMS网络注册用户的注册。

可通过http代理接入所述接入网络。

根据本发明的第二个方面，提供了一种用于IP多媒体子系统网络的节点，所述节点包括：

接收机，用于从接入网络接收与用户终端关联的线路标识符；

检索装置，用于从数据库检索与用户关联的已注册线路标识符；

鉴别装置，用于确定接收的线路标识符与检索的线路标识符是否匹配，如果匹配则在IP多媒体子系统网络中鉴别用户，如果不匹配则执行可替换的鉴别方法。

所述节点可以是呼叫会话控制功能。

根据本发明的第三个方面，提供了一种用于接入网络的节点，所述节点包括：

接收机，用于接收与用户终端关联的线路标识符；

检索装置，用于从数据库检索与用户关联的预先注册的线路标识符；

确定装置，用于确定接收的线路标识符与检索的线路标识符是否匹配；以及

生成装置，用于如果确定接收的线路标识符与预先注册的线路标识符不匹配，则生成访问线路标识符。

所述节点可以是连接会话位置和存储功能。

附图说明

图1示意性示出了在3GPP PS接入域情况下IMS如何适于移动网络架构；

图2示意性示出了使用网络附着子系统IMS捆绑鉴别的接入网络中用户的鉴别；

图3示意性示出了使用网络附着子系统IMS捆绑鉴别的鉴别接入网络中用户的信令序列；

图4示意性示出了游牧用户使用网络附着子系统IMS捆绑鉴别尝试接入IMS网络的过程；

图5示意性示出了其中用户的线路标识符与存储在用户的简档中的线路标识符不匹配时，用于游牧用户的可替换的鉴别方法。

图6示意性示出了标记线路标识符为访问线路标识符的过程；

图7示意性示出了基于访问线路标识符的网络附着子系统IMS捆绑鉴别；

图8示意性示出了包含连接线路标识符和访问线路标识符的串接线路标识符；

图9示意性示出了其中服务-会话控制功能获取与连接线路标识符相关的简档信息的方式；

图10示意性示出了NASS-IMS和NASS-Ut捆绑鉴别架构；

图11示意性示出了用于NASS-Ut捆绑鉴别的信令；

具体实施方式

一种使用网络附着子系统捆绑(NAB)鉴别来鉴别固定线路接入网络中的用户的方式，允许服务-呼叫会话控制功能(S-CSCF)执行可替换的鉴别程序，其中重新注册的LID′与使用中LID不匹配。参考图5，当游牧用户尝试SIP注册时，所述服务-呼叫会话控制功能(S-CSCF)从归属订阅者服务器(HSS)/UPSF检索用户简档。所述用户简档包括一个或更多个存储在他们的IMS简档中的预先注册的线路标识符值LID′。所述用户简档可能还包括允许的用户鉴别方法的列表。在游牧用户的情况下，当检索的LID′不同于网络接收的LID(LD′<>LID)时，则S-CSCF从由HSS/UPSF以前提供的用户简档的列表中选择可替换的用户鉴别方法。例如，如果IMS AKA(如在3GPPTS 33.203中定义的)被包含在允许的鉴别程序的列表中，则S-CSCF发送Cx鉴别向量请求给HSS/UPSF，并发送SIP不-授权-鉴别质询请求给终端。

S-CSCF可能基于可变标准集选择可替换的鉴别程序，例如用户偏好，运营商偏好，使用中NASS域，需要的安全和信任度，使用中接入技术等。然而，对于当IMS最终用户仅仅在列表中使能NASS捆绑鉴别，或者如果终端仅仅支持NASS捆绑时的情况，则不可能使用上面描述的解决方案。

在第二实施例中，在网络附着子系统(NASS)信令中引入被称为访问线路标识符的额外参数。这一参数可以被S-CSCF在接下来的IMS注册期间用作可替换的鉴别程序。当终端在NASS中已成功鉴别，则终端使用的线路被分配了IP地址。称为用户接入授权功能/简档数据库功能(UAAF/PDBF)的订阅者鉴别实体和/或订阅者数据库存储预先注册的线路标识符LID′、与所述用户的NASS简档关联。分配的IP地址与使用中LID(也称为逻辑接入Id)的关联被注册在NASS中的连接会话位置和存储功能(CLF)中。游牧用户在PDBF中存储了简档，该简档包含LID′。存储在UAAF/PDBF中的LID′值以及使用中LID值和任何其他与用户关联的简档发送到CLF。当所述用户为游牧时，则线路标识符值LID’不同于使用中线路标识符LID。在这种情况下，CLF将LID′标记为访问LID并存储这一值以及用户的其余接入会话信息。

图6描述了标记线路标识符为访问线路标识符的过程。图6仍基于TISPANNASS序列流(在ETSI TS 282004v1.1.1第七章中可用)，尽管它修正了序列流，增加了当前未被NASS标准考虑的访问线路标识符。图6的步骤2包括由UAAF/PDBF发送给CLF的值LID′。这一参数可能或可能不使用与也由UAFF/PDBF发送给CLF的并且ETSI TS 282004v1.1.1中描述的当前可选参数订阅者-Id同样的值。

如图7所示，当用户在NASS中已成功鉴别，并接下来尝试发起IMS SIP注册程序，则代理-呼叫会话控制功能(P-CSCF)向NASS中的CLF查询使用中LID。如果在CLF中LID’没有被标记为访问线路标识符，则CLF返回使用中LID值给P-CSCF。在SIP注册期间，当在LID和存储在用户IMS简档中预先注册的LID′作出比较的情况下，返回给P-CSCF的LID值被发送给S-CSCF。假定LID与LID′匹配，则用户在IMS网络中被鉴别。

如果在CLF中LID′已经被标记为访问线路标识符，则CLF返回访问LID值而不是使用中LID给P-CSCF。访问LID标记的使用可以包含在如前所述的用户简档中用户支持的鉴别方法列表中(由HSS返回给S-CSCF)。即使LID′与LID不匹配，IMS网络信任NASS网络并鉴别IMS网络中的用户。

如图8所示，所述第二实施例的变型包括定义LID参数为线路标识符的串接。线路标识符被定义为使用中LID和访问LID的串接。既然在用户的NASS鉴别期间CLF接收了这两个值，则所述串接在CLF处执行。如前所述当用户尝试向IMS网络注册时，CLF返回串接的线路标识符给P-CSCF，P-CSCF将其发送给S-CSCF。S-CSCF将线路标识符分散成使用中LID值和访问LID值。S-CSCF使用访问LID通过前述的NASS捆绑鉴别来鉴别IMS最终用户。S-CSCF可能还使用使用中LID用于下列目的：

●作为检查所述已鉴别的游牧用户是否被允许利用使用中线路用于IMS的授权标准。这可以基于订阅者的用户简档标准，运营商标准，网络资源利用标准和这些的任意合并。

●作为物理定位IMS用户的手段。

●作为获取关于通过利用给定的使用中LID的访问LID标记的IMS用户的数量，他们的行为模式，每访问LID生成的IMS通信量与使用中LID上全部通信量等统计的手段。这一功能可以用来阻止可能的欺骗尝试。

●作为通过考虑使用中线路标识符值和访问LID值两者的初始滤波器标准触发特定IMS服务的手段。

S-CSCF可能还发送串接线路标识符给HSS(一旦所述用户在IMS网络中被鉴别)，以便HSS/UPSF通过Sh接口提供这一值给应用服务器。

当S-CSCF接收到串接线路标识符时，如前所述它将标识符分散成使用中LID和访问LID。访问LID属于向IMS网络注册的IMS用户，而使用中LID属于拥有使用中LID的第二个用户。在IMS注册程序期间从HSS中获取用户的简档信息。为了获取与使用中LID的拥有者相关的简档信息，S-CSCF使用使用中LID值作为查询密钥来查询简档数据库。S-CSCF解析使用中LID归属的网络域，这还包括数字可移植性校验(portability check)。查询和解析操作可以通过ENUM/DNS(域名系统)或S7号信令机制完成。一旦执行了这些操作，S-CSCF接收与使用中LID相关的并且可以用来正确路由查询到订阅者数据库域的SIP URI或TEL URI。通过获取拥有使用中LID的用户简档信息，依据包含在获取的用户简档中的信息，S-CSCF可以决定是否授权所述要注册的IMS用户。

如图9所示S-CSCF可以执行下面动作之一：

●发起新的Diameter/Cx请求给HSS/UPSF，连接线路标识符的值作为用户-id。在这种情况下要注意的是S-CSCF和HSS可能属于不同的域由此这种情况的生存性取决于这两个域之间信任和安全的程度。为了避免从一个域中的HSS/UPSF发送全部的用户简档给另一个域中的S-CSCF，只有与游牧用户利用给定使用中LID的问题相关的数据由HSS返回给S-CSCF。这一数据然后由S-CSCF用来作出决定并强加策略于访问线路标识符。

●实施在S-CSCF与策略和计费规则功能(PCRF)之间的新接口。这一接口基于(但是不同于)Diamter/Gx。在这个例子中，还提供了域之间的PCRF<->PCRF接口用来传送信息给S-CSCF。

●实现在特定服务器中与游牧用户利用使用中LID的问题相关的数据。S-CSCF与另一个能够提供与用户相关信息的实体之间的接口可以是任意协议(SIP，LDAP，Diameter等)。

图9中描述了最复杂的情况。最简单的情况是当游牧用户的IMS归属域和连接线路标识符的IMS归属域相同时。

通过SIP接口不仅提供了通过TISPAN固定接入宽带网连接到IMS网络的用户客户端。这种客户端很可能还具有http接口如Ut接口，一般用于自我管理和通过所述TISPAN-IMS连接到不同可用的应用提供用户数据。

用户通过Ut接入网络一般经http代理来安排。代理对接许多应用服务器或服务提供商，并能代表他们执行一些功能，包括用户鉴别。作为一个例子，由OMA定义并在3GPP基于IMS的存在架构中重复利用的存在和组管理使能器，使用鉴别接入XDM服务器中用户的所谓汇聚代理。在3GPP(移动)环境，汇聚或鉴别代理使用由早期的IMS，GAA/GBA或私有接口如Ericsson的Zx定义的机制来鉴别用户。在本发明的可替换实施例中，如图10和11所示用户通过http接口(如Ut)从TISPAN固定宽带接入网络接入到应用服务器。用户利用前述的增强NASS-IMS捆绑机制被鉴别。

一旦NASS鉴别发生，IMS鉴别信令序列如下：

●用户终端发起包括它的IP地址和用户身份(如IMPU)的http请求。

●为了接收线路标识符，http-代理(图10和11中的AP)使用接收的终端IP地址执行CLF查询。取决于用户是否为游牧，从CLF返回给AP的LID信息可能是使用中LID或者访问LID。

●AP向HSS请求用于那个特定用户IMPU的预先注册的LID’信息。AP可以重新使用Sh或者Zx接口和消息。Zx需要更新，因而HSS提供所述订阅的线路D以响应AP

●AP比较从HSS检索的LID′与通过CLF由NASS提供的LID。

在系统中没有http代理的情况下，每个AS/SP实现到CLF和HSS的接口来执行NASS-Ut捆绑鉴别的程序。

上述的本发明提供TISPAN接入层中的游牧用户利用TISPAN IMS层中的NASS-捆绑鉴别，并避免由于使用中LID与游牧用户预先注册的LID′不匹配而导致NASS-捆绑鉴别失败的机制。TISPAN IMS层可以应用与线路(使用中LID)的拥有者以及线路(访问LID)的用户相关的规则和策略。

本领域熟练技术人员应当理解，上述实施例进行各种修改而都不脱离本发明的范畴。例如，在固定线路接入网络方面描述了本发明。然而，本发明也可以应用在例如使用无线局域网(WLAN)的接入中。在这种情况下，用于区分一个WLAN与另一个WLAN的服务集标识符(SSID)可以代替LID来使用。

Claims (14)

1、一种在IP多媒体子系统网络中鉴别用户的方法，所述方法包括：

从接入网络接收定义终端物理位置的接入标识符；

从数据库中检索与该用户关联的已注册接入标识符；然后

确定接收的接入标识符与已注册接入标识符是否匹配，如果匹配则在IMS网络中鉴别用户，如果不匹配则执行可替换的鉴别方法。

2、根据权利要求1的方法，包括从包含在由IP多媒体子系统网络存储的用户简档的鉴别方法列表中选择可替换的鉴别方法。

3、根据权利要求2的方法，所述选择在从用户偏好；运营商偏好；网络域；安全偏好；和接入技术中选取的标准的基础上进行。

4、根据权利要求1、2或3的方法，其中从接入网络接收的接入标识符是从使用中线路标识符；和服务集标识符中选取的。

5、根据权利要求1、2或3的方法，在接收所述接入标识符之前包括步骤：

在接入网络中接收使用中线路标识符；

在接入网络中鉴别所述用户；

从接入网络数据库中检索预先注册的线路标识符；

确定预先注册的线路标识符与使用中线路标识符是否匹配，如果不匹配则生成访问线路标识符；

其中IP多媒体子系统网络从接入网络接收的接入标识符包括生成的访问线路标识符。

6、根据权利要求4的鉴别用户的方法，其中可替换的鉴别方法包括确定从接入网络接收的线路标识符是否是访问线路标识符，并且如果是则鉴别所述用户。

7、根据权利要求5或6的方法，其特征在于从接入网络接收的线路标识符是包括访问线路标识符和使用中线路标识符的串接线路标识符。

8、根据权利要求7的方法，进一步包括将串接线路标识符分散成访问线路标识符和使用中线路标识符；以及使用使用中线路标识符用于以下任意一个：

在网络中鉴别用户；

确定用户的地理位置；

触发与用户会话相关的初始滤波器标准；以及

详细制作与使用访问线路标识符的IP多媒体子系统网络的用户相关的统计。

9、根据权利要求7或8的方法，进一步包括从数据库检索与使用中线路标识符关联的IP多媒体子系统用户的用户简档。

10、根据前述任一权利要求的方法，进一步包括通过http代理接入所述接入网络。

11、一种用于IP多媒体子系统网络的节点，所述节点包括：

接收机，用于从接入网络接收与用户终端关联的线路标识符；

检索装置，用于从数据库检索与用户关联的已注册线路标识符；

鉴别装置，用于确定接收的线路标识符与检索的线路标识符是否匹配，如果匹配则在IP多媒体子系统网络中鉴别用户，如果不匹配则执行可替换的鉴别方法。

12、根据权利要求11的节点，其中所述节点是呼叫会话控制功能。

13、一种用于接入网络的节点，所述节点包括：

接收机，用于接收与用户终端关联的线路标识符；

检索装置，用于从数据库检索与用户关联的预先注册的线路标识符；

确定装置，用于确定接收的线路标识符与检索的线路标识符是否匹配；以及

生成装置，用于如果确定接收的线路标识符与预先注册的线路标识符不匹配，则生成访问线路标识符。

14、根据权利要求10的节点，其中所述节点是连接会话位置和存储功能。

Images