CN101971570A - 用于远程接入本地网络的方法和装置 - Google Patents
用于远程接入本地网络的方法和装置 Download PDFInfo
- Publication number
- CN101971570A CN101971570A CN2008801280318A CN200880128031A CN101971570A CN 101971570 A CN101971570 A CN 101971570A CN 2008801280318 A CN2008801280318 A CN 2008801280318A CN 200880128031 A CN200880128031 A CN 200880128031A CN 101971570 A CN101971570 A CN 101971570A
- Authority
- CN
- China
- Prior art keywords
- ims
- remote
- access
- long
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 244000287680 Garcinia dulcis Species 0.000 claims description 30
- 230000005641 tunneling Effects 0.000 claims description 7
- 238000012423 maintenance Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 27
- 238000004891 communication Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000011664 signaling Effects 0.000 description 5
- 230000000977 initiatory effect Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000001914 filtration Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000000295 complement effect Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 101000826116 Homo sapiens Single-stranded DNA-binding protein 3 Proteins 0.000 description 1
- 102100023008 Single-stranded DNA-binding protein 3 Human genes 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/283—Processing of data at an internetworking point of a home automation network
- H04L12/2834—Switching of information between an external network and a home network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1033—Signalling gateways
- H04L65/1036—Signalling gateways at the edge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/30—Types of network names
- H04L2101/395—Internet protocol multimedia private identity [IMPI]; Internet protocol multimedia public identity [IMPU]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/30—Managing network names, e.g. use of aliases or nicknames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种使位于本地网络之外的远程设备(300)能够远程接入本地网络的本地网关(302)的方法和设备。在IMS核心(304)中,针对远程接入来配置远程设备和本地网关的能力和凭证。通过将每一个被授权用户的IMS身份添加到基于IMS的ACL(接入控制列表),授权一个或更多个用户远程接入本地网络。如果远程设备用户的IMS身份已经存在于基于IMS的ACL中,则接受远程设备对本地网关的接入请求。然后,通过远程设备和本地网关的已配置的能力和凭证,建立远程接入连接。
Description
技术领域
本发明大体上涉及一种用于从位于本地网络之外的通信设备对本地网络中的服务和通信设备进行远程接入的方法和装置。
背景技术
针对使用IP(因特网协议)的基于分组的多媒体通信,已经开发出大量不同类型的通信终端,通常被简称为“设备”。典型地,多媒体服务涉及媒体以不同的格式和组合在IP网络上传输。例如,IP使能的终端可以与另一个IP使能的终端交换媒体,例如视觉和/或听觉信息,或者可以通过因特网从内容服务器下载媒体。
已经开发出被称作IMS(IP多媒体子系统)的网络架构,作为处理和控制基于IP的多媒体服务和会话的平台,通常被称作IMS网络或IMS核心。因此,IMS网络可以用于建立和控制与多个接入网络相连的通信终端的多媒体会话,无需考虑所使用的接入技术。
多媒体会话由IMS网络中特定的会话控制节点来处理,例如节点P-CSCF(代理呼叫会话控制功能元件)、S-CSCF(服务CSCF)和I-CSCF(询问CSCF)。此外,IMS网络中的数据库节点HSS(归属用户服务器)存储用户和认证数据。IMS网络还可以包括多个应用服务器,并且还可以与外部服务提供方相连。
根据IMS平台,一般使用被称作“SIP”(会话发起协议)的协议来发起、管理和终止多媒体会话。因此,IP终端或设备可使用标准SIP消息来建立会话,例如普通会话发起消息“SIP邀请”和普通响应消息“SIP 200 OK”。“会话描述协议”可作为自包含正文而嵌入SIP消息内,以指定即将发生的多媒体会话所需要的不同的通信参数。该协议一般用于交换会话建立过程中的必要信息,例如设备能力、媒体属性、当前使用的IP地址等等,并且是本领域中公知的。
基于IMS的服务也可被提供给本地网络或专属网络(例如住宅网络或办公室网络,有时称作LAN(局域网))中的设备。在本说明书中,一般术语“本地网络”用于表示任何的该网络,而且术语“设备”用于表示能够在本地网络中进行IP通信的任何终端。在该本地网络中,向网络中进行通信的每一个设备分配本地IP地址,尽管其不能在该网络之外的公共区域中路由消息和数据。
本地网络例如可以包括:固定和无线电话、计算机、媒体播放器、服务器和电视机。为了向这些设备提供IMS服务,定义了被称为“归属IMS网关(HIGA)”的多媒体网关,该网关能够模仿(emulate)从本地网络向IMS网络的IMS终端,为本地网络中的任意设备接入IMS服务。
UPnP(通用即插即用)是具有标准化设备协议的架构,用于本地网络内不同设备之间的通信,这些设备可能使用不同的接入方法、操作系统、编程语言、格式标准以及通信协议。特别地,UPnP支持被称作“发现”或“配对”的过程,在该过程中,设备能够加入本地网络,获得本地IP地址,宣布其名称和IP地址,并且与网络中的其他设备交换能力和服务。在本说明书中,为了简便,把针对数据传输、通信、编码、存储和显示的任何设备能力都称作“能力”。
UPnP还定义了远程接入架构RAA,使位于本地网络之外的远程“UPnP设备”能够与位于该网络内的设备通信。具体地,RAA规定了如何提供和配置实现远程接入连接所需的参数,该远程接入连接是分别具有远程接入服务器RAS的实体与具有远程接入客户端RAC的实体之间的连接。在该领域中,用于RAS和RAC功能的控制点有时一般被称作“UPnP RA管理台”。然而,UPnP RAA没有提供确保远程接入连接安全的任何方案,而且也没有规定如何传送安全连接所需的任何凭证(credential)或资格。例如,目前没有用于在从外部接入本地网络时对远程设备进行认证或验证的方案。
在图1中,所示出的本地网络100具有不同的本地设备,在该示例中包括无线电话、固定电话、电视机、膝上计算机以及媒体服务器。网络100还包括被称作“住宅网关RGW”的常规网关102,其连接至外部接入网络104,向其他网络和实体提供通信链路。RGW 102典型地包括NAT(网络地址转换)功能元件和本地DHCP(动态主机配置协议)服务器(没有示出),被配置为向设备分配本地IP地址,如本领域中所公知。
本地网络100还包括向IMS网络108提供连接的HIGA 106,在IMS网络108中示出了HSS 110。HIGA 106具有面向网络100中使用设备自适配协议的不同设备的适合接口,如虚线所示。在实践中,HIGA可以集成在RGW中,但在逻辑上,在本说明书中将HIGA看作单独的功能单元。
HIGA 106保持与IMS订阅和用户/服务简档相关联的IMS身份信息112,可用于接入IMS网络108。在IMS网络108处,相应的用户信息114存储在HSS节点110中。因此,用户可以通过HIGA 106从本地网络100中的设备登陆到IMS网络,然后所使用的设备的本地IP地址能够与用户简档相关联。在WO2006/045706(Ericsson)中,描述了本地网络中的设备如何通过HIGA来获得IMS服务。
当HIGA 106使用设备专用接口/协议从网络100中的设备接收到多媒体服务请求时,HIGA 106为该设备将该服务请求转换为有效IMS请求(例如SIP邀请),通过与IMS网络108进行适当的SIP消息通信而建立用于该设备的会话。以类似的方式,HIGA 106可以通过使用与网络100中的设备相关联的IMS身份112,针对与该设备通信的入局请求而建立IMS会话。在任一情况下,在RGW 102和接入网络104上来自或去往该设备的会话期间,路由任意的通信媒体,如双向箭头所示。
图1还示出了网络100中的本地设备100a移动到外部,成为远程设备100a’。然后,远程设备100a’能够通过IMS网络108向HIGA 106发送SIP邀请消息,从而发起与网络100中的剩余设备之一的媒体通信。然后,远程设备100a’必须具有有效IMS身份,以从网络100外部接入IMS网络。
为了远程地接入网络100中的本地设备,远程设备100a’必须在发现过程中以某种方式获知本地设备。远程设备可能已经执行了定期的发现过程不久(同时位于本地网络100内),该发现过程典型地包括根据被称作SSDP(简单会话发现协议)的协议交换特定的发现消息。然而,如果不是这样(例如当远程设备实际上并不位于本地网络内),那么需要远程地交换发现消息。
图2分别示出了本地网络中的远程设备200和本地网关202的可能的逻辑结构,用于实现对网络中的本地设备(未示出)的远程接入。本地网关202可以是RGW和/或HIGA。远程接入客户端RAC 200a已被配置于远程设备200中,并且相应的远程接入服务器RAS 202a已被配置于本地网关202中,该配置过程能够在两者处于本地网络中时进行,因为RAC 200a和RAS 202a应当以匹配的简档来配置。
RAC 200a包括远程接入发现代理RADA 200b,而RAS 202a包括相应的远程接入发现代理RADA 202b,被配置为交换两个实体200和202之间的发现消息。RAC 200a还包括远程接入传输代理RATA 200c,而RAS 202a包括相应的远程接入传输代理RATA 202c,被配置为建立用于两个实体200和202之间的媒体传输信道。实际上,RATA 200c和202c将作为远程接入的相对端点。
然而,UPnP RAA规定,其中实现RAC和RAS的实体必须物理上存在于相同的本地网络中,以执行必要的发现或配对过程,这自然是一个缺点。例如,位于因特网上某处的、能够实现UPnP远程接入的PC设备不能对位于因特网上其他地方的本地网络中的设备进行远程接入,除非首先把PC设备在物理上带入该本地网络,以执行所需的发现或配对过程。从实际性和可用性的观点来看,该要求很可能是一个问题。此外,还存在如下问题:不能为该远程接入提供信任模型(trust model),例如面向本地网络验证或证实远程设备,反之亦然。
发明内容
本发明的目的是解决上述问题。进一步地,本发明的目的是提供一种无需要求本地网络中的物理存在而实现对本地网络的安全的远程接入连接的方案。这些目的和其他目的可以通过提供根据所附独立权利要求的方法和设备来获得。
根据一个方面,提供了一种使位于本地网络之外的远程设备能够远程接入本地网络的本地网关的方法。首先,在IMS核心中,针对远程接入来配置远程设备和本地网关的能力和凭证。然后,通过将每一个被授权用户的IMS身份添加到基于IMS的接入控制列表ACL,授权一个或更多个用户远程接入本地网络。当通过IMS核心从远程设备接收对本地网关的接入请求时,如果远程设备的用户已经被授权通过基于IMS的ACL中该用户的IMS身份执行远程接入,则接受接入请求。在此情况下,则使用远程设备和本地网关的已配置的能力和凭证,建立远程接入连接。
根据另一方面,提供了一种IMS核心中的远程接入服务器,用于使位于本地网络之外的远程设备能够远程接入本地网络的本地网关。该远程接入服务器包括:用于针对远程接入在IMS核心中配置远程设备和本地网关的能力和凭证的装置;以及用于通过将每一个被授权用户的IMS身份添加到基于IMS的ACL来授权一个或更多个用户远程接入本地网络的装置。该远程接入服务器还包括:用于通过IMS核心从远程设备接收对本地网关的接入请求的装置;用于在远程设备的用户已经被授权通过基于IMS的ACL中该用户的IMS身份执行远程接入的情况下接受接入请求的装置;以及用于在接受的情况下使用远程设备和本地网关的已配置的能力和凭证来建立远程接入连接的装置。
根据又一方面,提供了一种本地网络的本地网关中的设备,用于使位于本地网络之外的远程设备能够远程接入本地网关。该设备包括:用于针对远程接入在IMS核心中配置本地网关的能力和凭证的装置;用于通过IMS核心从远程设备接收接入请求的装置;用于在远程设备的用户已经被授权通过该用户的IMS身份执行远程接入的情况下接受接入请求的装置;以及用于在接受的情况下通过远程设备和本地网关的已配置的能力和凭证来建立远程接入连接的装置。
上述方法、远程接入服务器和本地网关设备可能有不同的实施例。例如,可以在IMS核心中通过远程设备中的IMS客户端与IMS核心中的远程接入服务器之间的IMS消息收发来配置远程设备的能力和凭证。并且可以在IMS核心中通过远程设备中的IMS客户端与远程接入服务器之间的IMS消息收发来配置本地网关的能力和凭证。上述凭证可以包括用于VPN隧道建立的证书。此外,上述能力包括本地网关中的RAS的RATA能力以及远程设备中的RAC的RATA能力。
上述能力和凭证可以在远程设备位于本地网络之外时配置。授权用户能够通过该用户的IMS身份从任意终端远程接入本地网络。可以在本地网关处或在IMS核心处的远程接入服务器中维护基于IMS的ACL。
如果远程设备用户没有被授权通过该用户的IMS身份执行远程接入,则可以确定接入请求对于控制本地网络的本地网络所有者来说是否能够被接受,例如,向本地网络所有者询问是否能够接受接入请求。
还可以在本地网关中维护基于UPnP的ACL,该ACL包含被允许执行远程接入的设备的UUID。在该情况下,如果接入请求被接受,则可以把远程设备的UUID添加到基于UPnP的ACL。
通过下文来详细描述本发明的其他可能的特征和优点。
附图说明
通过参考附图和通过优选实施例,将更详细地描述本发明。附图中:
图1是示出了根据现有技术当远程设备从本地网络之外的位置接入该网络时的本地网络的示意图。
图2是示出了根据现有技术的远程设备和住宅网关中的远程接入特征的框图。
图3是示出了根据一个实施例的远程设备通过IMS核心接入本地网络的本地网关的框图。
图4是示出了根据另一实施例用于实现本地网络的安全远程接入的过程的流程图。
图5是示出了根据本发明另一实施例在IMS核心中针对远程接入服务来配置本地网关和远程设备的能力和凭证的信令图。
图6是示出了根据本发明又一实施例当IMS核心中维护ACL时如何认证用户X以便从远程设备接入本地网关的信令图。
图7是示出了根据本发明又一实施当本地网关中维护ACL时如何认证用户Y以便从远程设备接入本地网关的信令图。
图8是示出了根据本发明又一实施当已经认证用户时用于为远程设备建立对本地网络的远程接入的过程的信令图。
图9是示出了根据本发明又一实施当之前还没有认证用户时用于为远程设备建立对本地网络的远程接入的过程的信令图。
具体实施方式
本发明可以用于获得从远程设备到本地网络中的服务和/或设备的安全的远程接入,无需该远程设备在上述发现或配对过程中物理上位于该本地网络中。在该方案中,可通过在IMS核心中引入用于支持远程接入的认证和凭证传送的功能,通过IMS核心建立远程接入。在下面的描述中,该功能由IMS核心中的RA(远程接入)服务器来示意性地表示。此外,还分别在RAC和RAS中引入了用于支持基于IMS的远程接入的功能,在下面的描述中分别称作“远程接入支持模块”RASUM。
在本说明书中,术语RA服务器和RASUM一般用于表示具有下文所述特征的功能单元,但是本发明不限于这些单元的任何特定实现方式。此外,术语“本地网络所有者”一般用于表示控制本地网络的管理者、管理员或其他人,至少某种意义上处理远程接入服务并决定哪些用户和设备被允许以本文所述的方式远程地接入网络。
图3中大体上示出了本发明的上述设置的示范实施例。在本示例中,远程设备300能够通过IMS核心304接入本地网络的本地网关302,以建立与该网络中的本地设备(未示出)的通信。远程设备300可以是移动终端,而且本地网关302可以是HIGA,然而本发明并不限于此。远程设备300和本地网关302分别包括RASUM单元300a和302a,RA服务器304a驻留在IMS核心304中,并与其中的HSS节点304b相连。
每一个RASUM单元300a、302a包括IMS客户端300b、302b,适于与RA服务器304a交换IMS消息(例如,使用SIP),尤其用于配置IMS核心304中支持IMS的远程接入服务以及建立远程接入通信。远程设备300中的RASUM单元300a还包括RA(远程接入)管理台300c,适于借助UPnP动作(基本由UPnP RA架构来定义)与RAC 300d交互。同样,本地网关302中的RASUM单元302a也包括RA管理台302c,适于借助UPnP动作与RAS 302d交互。
简单说来,以下述方式,远程设备能够安全地获得对本地网络的基于IMS的远程接入,而无需在物理上存在于该本地网络中。首先,通过IMS客户端302b和RA服务器304a之间的IMS消息收发,以及IMS客户端300b和RA服务器304a之间的IMS消息收发,在IMS核心中分别配置用于远程接入的能力和凭证。在本说明书中,术语“凭证”是指用于建立安全连接所需的任何参数,例如下文详细描述的用于VPN(虚拟专属网络)隧道建立的证书。其次,通过IMS客户端302a和RA服务器304b之间的IMS消息收发,使用基于IMS安全性的信任模型来认证远程设备300对本地网络的远程接入。然后,通过IMS客户端300a和302a之间经由RA服务器304b的IMS消息收发,建立远程接入会话,数据在RAC 300d中的RATA和RAS 302d中的RATA之间传输,如底部的双向箭头所示。
下面参考图4中的流程图以及偶尔参考图3来描述用于实现从远程设备到本地网络的安全远程接入的过程。该过程提供了涉及网络中的本地网关302(例如HIGA)、IMS核心304中的RA服务器304a以及远程设备300的远程接入服务。通常,本地网络由本地网络所有者来管理和控制,至少以下述方式来进行。
在第一步骤400,在IMS核心304中,针对远程接入服务来配置远程接入端点302、300的能力和凭证。在该步骤中,本地网关302中的IMS客户端302a与RA服务器304b交换适合的IMS消息,以在IMS核心中确定RAS 302d的RATA能力。本地网关302的凭证由IMS核心304中的RA服务器304b产生,还被传送至网关302的RA端点(即RAS 302d中的RATA),这将在下文详细描述。
同样,远程设备300中的IMS客户端300a与RA服务器304b交换适合的IMS,以在IMS核心中配置远程设备300的能力(即RAC 300d的相应的RATA能力)以及设备300的凭证(被传送至相对RA端点,即RAC 300d中的RATA)。上述远程设备300的远程接入配置能够在位于本地网络之外时执行,因此无需物理上位于本地网络之中。
例如,网关302和设备300的凭证可分别是与所支持的隧道建立方法相对应的证书,例如基于IPSec(因特网协议安全性)的VPN隧道。在该示例中,证书可被称为“x.509证书”,这是本领域中公知的。然而,本发明不限于任何特定的凭证或证书。
根据步骤400在IMS核心304中分别配置RAS 302d和RAC 300d的RATA能力实际上对应于上述发现过程,然而无需远程设备300物理上存在于本地网络中。因此,步骤400可被看作大体上表示配置操作,即在IMS核心304中彼此独立地配置远程设备300和本地网关302用于远程接入。下文将参考图5来描述如何在实际中执行步骤400的示例。
在接下来的步骤402,按照本地网络所有者的规定,针对本地网络的远程接入认证一个或更多个特定用户,包括远程设备300的用户。针对特定用户的远程接入认证是基于该用户的IMS身份,其将会提供用于接入IMS核心中的服务所需的可信验证。IMS身份典型地是SIPURI(通用资源标识符),例如alice@op.net。因此,本方案使用IMS身份来验证或允许用户对本地网络进行远程接入,而不考虑所使用的终端。如上文结合图1所描述,远程设备用户必须使用有效的IMS身份来通过IMS核心接入本地网络。然后,已认证的用户基本上能够通过他/她的IMS身份从任何终端远程地接入本地网络,无需对实际使用的终端进行任何特殊认证。
在这个步骤中,当本地网络所有者明确指定允许用户远程接入网络时,建立有用的信任模型,例如通过把用户的IMS身份添加到本地网络的ACL(接入控制列表)等。因此,该信任模型基于如下概念:在允许用户的远程设备300接入本地网络之前,已经通过现有的IMS安全机制对他/她进行了认证和授权。这些IMS安全机制通常被看作可靠的和可信的。
ACL包含被允许远程接入的用户的IMS身份,而且可以在RA服务器304a或本地网关302中存储和维护,例如在RA管理台302c中存储和维护。步骤402可被看作基本上表示准备操作,即为远程设备的用户远程接入本地网络做准备。下文将参考图6和图7分别描述在实际中如何针对特定用户来执行步骤402的两个示例。
另外,基于UPnP的ACL还可用于控制不同UPnP设备的远程接入(例如“白列表”或“黑列表”,包含被允许或拒绝远程接入的每一个设备的UUID(通用唯一标识符))。UUID是用于UPnP设备的包含128比特的标准化标识符,其与设备而不是用户相关联。基于UPnP的ACL在本地网关的RAS中维护,而且在除了基于IMS的ACL之外还有其他用途,这将在下文参考图8和9中所示的某些实现示例来详细描述。如果基于IMS的ACL和基于UPnP的ACL都用于接入控制,则用户和设备将会独立地被授权,这将会显著增强接入控制。实际中,这些ACL在某种程度上将与UPNP和IMS中不同的方式实现。基于IMS的ACL基本上是形成用于远程接入服务的过滤标准的数据集合。基于UPnP的ACL被称作“RADA配置过滤器”,可以是白列表或黑列表。
回到图4,在步骤404,在某一时刻通过IMS核心从远程设备接收到接入请求。例如,请求设备的用户可能想从媒体服务器获取数据,或向网络中的媒体播放器(renderer)或存储器发送数据。在该步骤中,可以在IMS核心或本地网关处接收和处理接入请求,这取决于基于IMS的ACL存储和维护的位置,下文详细描述。
然后,在随后的步骤406中,根据上述步骤402来确定远程设备用户是否已经被授权进行远程接入。例如,可以根据在步骤402中建立的基于IMS的ACL来检查接入请求是否能够被接受,即远程设备用户的IMS身份是否存在于ACL中。
如果在步骤406中确定远程设备用户已被授权,则在步骤408中接受接入请求,然后执行涉及远程设备和本地网络中的本地设备的远程通信会话。另一方面,如果步骤406揭示远程设备用户没有被授权,则可以进一步确定接入请求是否能够被本地网络所有者接受,如步骤410所示。例如,可以询问本地网络所有者是否能够接受该设备的用户进行远程接入。备选地,可以简单地拒绝该接入请求,如虚线步骤410a所示。
步骤404-410/410a可被看作基本上表示运行时操作,即建立远程设备对本地网络的远程接入。下文将参考图8和图9分别描述在实际中如何针对特定用户来执行步骤404-410的两个示例。
图5更加详细地示出了用于在IMS核心中针对远程接入服务确定本地网关和远程设备的能力和配置本地网关和远程设备的凭证的示例实施例,即基本上根据上述步骤400来执行。实际中,该过程针对本地网关和远程设备分别执行。尽管这里仅对该过程描述一次,然而该过程对于本地网关和远程设备中任一方都有效。本地网关和远程设备包括RATA 500和具有RA管理器502和IMS客户端504的RASUM,如上文所述。本地网关可以是HIGA。
在远程设备中,RATA 500驻留在RAC中;而在本地网关中,RATA500驻留在RAS中。在本地网关中,RASUM可以是HIGA中的SIP用户代理的模块。IMS核心包括RA服务器506和HSS节点508。在本示例中,IMS客户端504和RA服务器506通过SIP而通信,然而本发明一般不限于此。
第一步骤5:1示出了本地网络所有者提供某个适合的输入以发起配置过程,向IMS客户端504产生触发信号。在下一步骤5:2,IMS客户端504在适合的SIP消息中向IMS核心发送针对远程接入服务的请求,该请求由RA管理器502接收。因此,这是服务激活步骤,并且优选地用户已经与IMS运营方达成了服务协议。
在下一步骤5:3,RA服务器506在另一适合的SIP消息中向IMS客户端504发送针对RATA 500的能力的请求。然后,RASUM能够从SIP消息中提取该能力请求。在下一步骤5:4,基本上从RATA 500获取RATA能力。在该步骤中,在对前一步骤中接收的SIP消息进行解析后,RASUM功能元件面向RA管理器502有效地创建和发布请求,RA管理器502从RATA 500获取能力,然后将这些能力传送回IMS客户端504。例如,RATA能力可以包括“支持基于证书的IPSec和IKE(因特网密钥建立)”。
在下一步骤5:5,IMS客户端504响应于上述步骤5:3中的能力请求,在另一个适合的SIP消息中向RA服务器506发送RATA能力。然后,RA服务器506把RATA能力存储在HSS节点508中供以后使用,这里表示为在步骤5:6中针对本地网关和远程设备中的每一个而更新远程接入服务数据。
在随后的步骤5:7,RA服务器506产生证书作为本地网关和远程设备中的每一个的远程接入凭证。如果支持基于证书的IPSec,则在此步骤中可以产生x.509证书。该步骤可以有效地通过第三方实体来执行,例如认可的证书授权方。
在下一步骤5:8,RA服务器506将产生的证书作为远程接入凭证分别发送给本地网关和远程设备中的IMS客户端504。如上所述,x.509证书可作为凭证由RA服务器506产生,或备选地由第三方产生(未示出)。凭证在传输网络上向IMS客户端的分发可以基于推技术(pull-based)或基于拉技术(pull-based)。基于推技术的凭证分发可以由来自RA服务器506的消息HTTP POST来实现,而基于拉技术的凭证分发可以由来自远程设备或本地网关、并由适合的SIP消息触发的消息HTTP GET来实现。
在接收到证书后,IMS客户端504将其作为凭证通过RA管理器502传送至RATA 500,如联合步骤5:9所示。最后,RA管理器502由RASUM触发,以便在RATA 500中创建新的简档,如最后的步骤5:10所示。该简档可以指示远程接入端点(即RAS或RAC)支持基于IPSec的VPN并具有必需的凭证(本示例中是证书)。分别位于本地网关和远程设备处的RATA 500此时在技术上已经准备好建立远程接入连接。然而,远程设备用户必需首先经过远程接入授权,如图4中所示的步骤402所规定。
不同的备选过程可用于本地网络所有者如何才能够创建包含用户的IMS身份的基于IMS的ACL等,以允许建立与本地网络的远程接入连接。图6a和6b示出了两个备选实施例,可分别被称为“服务器端”过程和“网关端”过程。同样能够以不同的方式来规定所允许的用户的身份。根据当前的IMS标准,基于所谓的“公有建议身份(P-asserted identity)”唯一地标示用户,该“公有建议身份”可以是例如SIP URI和/或tel URI(即电话号码,例如070123456)的标识符。
图6和7示出了对从位于本地网络之外的远程设备接入该网络的用户进行认证的两个备选实施例,即基本上根据上述步骤402来执行。在图6中,在IMS核心中维护用于本地网络的ACL,而在图7中,在本地网关中维护ACL。如上所述,可以额外使用基于UPnP的ACL来对用于远程接入本地网关的远程UPnP设备进行认证。
在图6中,本地网关包括RA用户管理模块600并且基于IMS的ACL在包括RA服务器602和HSS节点604的IMS核心中维护。RA用户管理模块600可以在RASUM单元中实现,而且ACL可以驻留在RA服务器602或HSS节点604中。此外,本地网络的特定过滤准则可能之前已经存储在HSS节点604中,以用于图5的配置过程期间的远程接入服务(例如在步骤5:2之后)。“邀请”通常是由端用户设备发起会话时使用的SIP消息。IMS网络中被称作P-CSCF(代理呼叫会话控制功能元件)的会话控制节点可以根据被存储用于远程接入服务(如果有的话)的过滤准则,针对任何接收的邀请消息应用过滤功能。
第一步骤6:1示出了本地网络所有者在适合的GUI(图形用户接口)处向RA用户管理模块600输入用户X的电话URI或SIP URI,从而将用户X添加到基于IMS的ACL中。在本示例中,使用服务器端过程,并且本地网络所有者可以向IMS核心提供用户X的SIP URI或电话URI或其他身份。在下面的步骤6:2,向RA服务器602提交认证用户X的请求,例如使用XCAP消息。可选地,认证请求可以从具有IMS客户端的任何设备发送。响应于该请求,RA服务器602在步骤6:3处检索并添加ACL中的用户X的SIP URI,并更新HSS节点604中的本地网关的服务数据(例如,包括上述过滤准则)。
在图7所示的实施例中,所示的RA用户管理模块600和RA服务器602基本上与图6中的相同,只是基于IMS的ACL在本地网关中维护,例如在RA用户管理模块600中。因此,认证用户Y的远程接入的过程与图6所示的过程有些不同;在本示例中,使用网关端的过程。在此场景中,本地网关通过检查呼叫方的SIP URI(公有建议身份)执行对来自呼叫方的、包含远程接入连接请求的入局SIP邀请消息的过滤。在把用户添加到ACL时,本地网关所有者可以指定该用户的SIP URI或电话URI。如果指定了电话URI,则本地网络必需知晓用于执行上述过滤操作的相应的SIP URI。因此,如果提供电话URI,那么本地网络需要向IMS核心询问该用户的相应的SIP URI。
在第一步骤7:1,将用户Y的电话URI或SIP URI作为输入而输入RA用户管理模块600中,该步骤与步骤6:1相同。然后,在接下来的步骤7:2,模块600确定在步骤7:1中输入的是SIP URI还是电话URI。如果在步骤7:1处输入了电话URI,则需要获取相应的SIP URI以存储在ACL中,因此在下一步骤7:3处,模块600向RA服务器602发送请求以请求与电话URI相对应的SIP URI。在接下来的步骤7:4处,RA服务器602基于电话URI从HSS 604获取相应的SIP URI。
响应于步骤7:2中的请求,RA服务器602在随后的步骤7:5中发送用户Y的SIP URI,即用户Y的公有建议身份。在该步骤中,SIP URI可以在适合的SIP消息中发送。最后,在最终步骤7:6,RA用户管理模块600将用户Y的SIP URI添加到ACL中。然而,如果在步骤7:2确定在步骤7:1输入的是SIP URI,则可以直接将其存储在ACL中,因此在此情况下将会省略步骤7:3-7:5。在任一情况下,优选地向本地网络所有者显示用户友好的身份而不是SIP URI。
由于本地网关现在执行针对远程接入的任何入局请求的过滤,例如作为邀请消息,这些远程接入请求应当优选地包含公共建议身份,这对呼叫方设备和IMS核心提出了要求。例如,呼叫方设备可能需要在SIP报头中指示合适的安全级别,而且IMS核心不应取出(stripe out)SIP报头中的公共建议身份,而是应当将其传递至本地网关中的SIP用户代理。作为远程接入连接发起方的呼叫方设备可将邀请消息中的隐私报头字段设为“无”。由此,公共建议身份将不会在向本地网关转发消息时被P-CSCF移除。
下面参考图8来描述根据示范实施例用于建立远程设备对本地网络的远程接入的过程。该图基本上示出了由图4中的步骤404-410/410a表示的运行时操作。假定先前已经在IMS核心中针对远程接入配置了网络中的本地网络以及远程设备的能力和凭证,例如图5中所描述。在该示例中,基于IMS的ACL包含被允许远程接入的用户的IMS身份,而且针对本地网关而被维护在IMS核心中,即服务器端过程已被用于上述用户授权。此外,在该示例中,远程设备的用户已被授权进行远程接入,因此已经存在于ACL中。此外,基于UPnP的ACL包含被允许远程接入的设备的UUID,而且也用于所示示例中的本地网关中,用于设备的远程接入控制。
本地网关包括RAS 800和包含RA管理台802和IMS客户端804的RASUM。基于UPnP的ACL维护在RAS 800中。IMS核心包括能够接入HSS所存储的信息的RA服务器806,而且基于IMS的ACL可作为过滤准则而维护在IMS核心中的RA服务器或HSS或其他适合的节点中,这取决于具体实现。远程设备包括RAC 808和同样的RASUM,该RASUM包含RA管理台810和IMS客户端812。假定本地网络所有者和设备用户是基于IMS的RA服务的用户,从而具有基于IMS安全性的可信关系。
在所示第一步骤8:1处,IMS核心从远程设备中的IMS客户端812接收邀请消息,该消息实际上是从设备用户向本地网关的会话邀请。该邀请消息可以是SIP邀请并包括设备用户的IMS身份,例如SIP URI。此外,远程设备的UUID包含在SIP正文中。
在接下来的步骤8:2中,检查IMS核心中的ACL,以验证设备用户被授权调用与本地网络的远程接入连接,而且还检查RAC 808具有与RAS 800的能力相匹配的能力。因此,如果设备用户存在于基于IMS的ACL中(例如作为图6所示的过程的结果)并且能够与RAS 800通信,则RAC 808与RAS 800之间的远程接入连接是可能的并且能够被允许。接下来,在随后的步骤8:3中,将步骤8:1中接收的邀请消息从RA服务器806发送至本地网关中的IMS客户端804。
在下面的步骤8:4中,现在在本地网关处检查设备身份UUID是否存在于RAS 800的基于UPnP的ACL中。如果设备身份UUID不存在于基于UPnP的ACL中,则在步骤8:4a中可通过来自RA管理台802的触发消息将设备身份UUID添加到基于UPnP的ACL中。然后,相应地配置RAS800的RADA,包括在步骤8:4b使用常规的UPnP远程接入的建立过程向基于UPnP的ACL添加UUID。在步骤8:4c,RA管理台802还向IMS客户端804确认远程设备已经被成功添加至基于UPnP的ACL。另一方面,如果在步骤8:4发现远程设备已经存在于基于UPnP的ACL中,则可以省略步骤8:4a-8:4c。
在任一情况下,可通过打开本地网关的NAT/防火墙中的“针孔(pin hole)”来执行进入(inbound)连接配置,以准备远程接入会话。然后,在步骤8:5处,通过从IMS客户端804至IMS客户端812的适合的OK消息(例如SIP 200OK,通过IMS核心来传递),向呼叫方设备用户通知该本地网关已经接受来自远程设备的远程接入。
在步骤8:6中从IMS客户端812至RAC 808的用于发起远程接入连接的适合的触发消息之后,在步骤8:7,最终在RAC 808和RAS 800之间建立连接。建立该连接可以包括基于RAS 800中存储的用于远程设备的凭证(例如根据图5中的步骤5:7-5:9所传递的凭证),在RAC 808和RAS 800之间设立VPN隧道。VPN隧道可以由RAC 808根据远程接入的UPnP规范来发起。
下面参考图9来描述用于建立远程设备对本地网络的远程接入的另一示范过程。所涉及的远程设备、IMS核心和本地网关基本上与图8中所示的相同,而且功能单元800-812在图9中重复使用。此外,假定远程设备和本地网关的能力和凭证已经在IMS核心中针对远程接入而被配置。在本示例中,本地网关的基于IMS的ACL同样维护在IMS核心中,但是远程设备的用户之前还没有被授权进行远程接入,因此他/她的IMS身份并不存在于ACL中。此外,在本示例中,基于UPnP的ACL也在RAS 800中维护,而且远程设备的UUID也不存在于基于UPnP的ACL中。
首先,在步骤9:1,IMS核心从远程设备接收邀请消息作为面向本地网关的会话邀请,该邀请消息包括用户的IMS身份和设备的UUID(即等效于上述步骤8:1)。在接下来的步骤9:2,在IMS核心检查本地网关的基于IMS的ACL,以查看设备用户是否能够被验证/允许进行远程接入。还可以检查远程设备和本地网关具有针对远程接入的相匹配的能力,即,是否已经根据图5中的过程对远程设备和网关的RATA能力和凭证进行配置。
然而,在本示例中没有在ACL中找到用户的IMS身份,因此在随后的步骤9:3中从RA服务器806向本地网关中的IMS客户端804发送邀请消息,指示设备用户还未根据基于IMS的ACL而被验证。这可以通过向邀请消息添加相应的密码等来指示,例如在SIP正文或SDP(会话描述协议)正文中添加。然而,远程设备通过具有匹配的能力,在技术上可以与本地网关建立连接。
在下一步骤9:4,由于设备用户还未能得以验证,本地网络所有者被通知未验证的用户已经做出针对远程接入会话的邀请,并且通过适合的GUI向所有者询问是否能够接受该设备用户进行远程接入。在本示例中,如下一步骤9:5所示,网络所有者接受该用户进行远程接入。在随后的步骤9:6,IMS客户端804触发RA管理台802将远程设备的UUID添加到RAS 800中的基于UPnP的ACL,并且在步骤9:7中使用常规UPnP远程接入设立过程来相应地配置RAS 800的RADA。在步骤9:8,RA管理台802还向IMS客户端804确认远程设备已经被成功添加到基于UPnP的ACL。现在,可通过打开本地网关的NAT/防火墙“针孔”来执行进入连接配置,以准备远程接入会话。
然后,在步骤9:9通过适合的OK消息(例如SIP 200 OK)从IMS客户端804向IMS客户端812发送通知,指示本地网关接受了来自远程设备的远程接入,其中该通知首先由RA服务器806接收。在接收到该通知后,在下一步骤9:10,RA服务器806通过添加用哦过户的IMS身份来更新基于IMS的ACL。在步骤9:11,RA服务器806还向IMS客户端812发送OK消息。在步骤9:12,IMS客户端812还向RAC 808发送连接触发消息,以发起远程接入连接。最后,在步骤9:13建立该连接,例如根据RAS 800中存储的针对远程设备的凭证在RAC 808和RAS 800之间设立VPN隧道(如先前在图8中描述的例子)。
使用本发明,信任模型的上述问题能够以如下方式得以解决:通过基于IMS的ACL中的授权用户的IMS身份来实现针对该授权用户的安全的远程接入连接,无需考虑所使用的设备。如上文所述,当前用于远程接入的设备也可在基于UPnP的ACL中被授权。还解决了在传递凭证的同时确保与UPnP RADA的兼容的问题。还可通过分别对RAC和RAS中的UPnP RADA与UPnP RATA以及管理台之间的所有交互进行模仿(mimick)来实现兼容。
通过再次使用用于可信建立的IMS认证/授权,上述方案还使IMS系统能够用于传递凭证(例如证书)。上述方案还能够用于避免RAC和RAS为了针对UPnP RA而定义的发现或配对过程而必须位于相同的物理本地网络中的要求,从而使UPnP远程接入架构更加具有吸引力且更加有用。
尽管参考特定的示范实施例描述了本发明,然而该描述不应被看作限制本发明的范围。本发明大体上由所附独立权利要求来限定。
Claims (25)
1.一种使位于本地网络之外的远程设备(300)能够远程接入本地网络的本地网关(302)的方法,包括如下步骤:
在IMS核心(304)中,针对远程接入来配置远程设备和本地网关的能力和凭证;
通过将每一个被授权用户的IMS身份添加到基于IMS的ACL,授权一个或更多个用户远程接入本地网络;
通过IMS核心从远程设备接收对本地网关的接入请求;
如果远程设备的用户已经被授权通过所述基于IMS的ACL中该用户的IMS身份执行远程接入,则接受所述接入请求;以及
如果接受,则使用远程设备和本地网关的已配置的能力和凭证建立远程接入连接。
2.如权利要求1所述的方法,其中,通过远程设备中的IMS客户端(300b)与IMS核心中的远程接入服务器(304a)之间的IMS消息收发来配置远程设备的所述能力和凭证,并且通过远程设备中的IMS客户端(302b)与远程接入服务器(304a)之间的IMS消息收发来配置本地网关的所述能力和凭证。
3.如权利要求1或2所述的方法,其中,所述凭证包括用于VPN隧道建立的证书。
4.如权利要求1至3中任意一项所述的方法,其中,所述能力包括本地网关中的RAS的RATA能力以及远程设备中的RAC的RATA能力。
5.如权利要求1至4中任意一项所述的方法,其中,所述能力和凭证在远程设备位于本地网络之外时配置。
6.如权利要求1至5中任意一项所述的方法,其中,授权用户能够通过该用户的IMS身份从任意终端远程接入本地网络。
7.如权利要求1至6中任意一项所述的方法,其中,在IMS核心处的远程接入服务器(304a)中维护基于IMS的ACL。
8.如权利要求1至6中任意一项所述的方法,其中,在本地网关处维护基于IMS的ACL。
9.如权利要求1至8中任意一项所述的方法,其中,如果远程设备用户没有被授权通过该用户的IMS身份执行远程接入,则确定所述接入请求对于控制本地网络的本地网络所有者来说是否能够被接受。
10.如权利要求9所述的方法,其中,向本地网络所有者询问是否能够接受接入请求。
11.如权利要求1至10中任意一项所述的方法,其中,在本地网关中维护基于UPnP的ACL,该基于UPnP的ACL包含被允许执行远程接入的设备的UUID。
12.如权利要求11所述的方法,其中,如果所述接入请求被接受,则把所述远程设备的UUID添加到基于UPnP的ACL。
13.一种IMS核心(304)中的远程接入服务器(304a),用于使位于本地网络之外的远程设备(300)能够远程接入本地网络的本地网关(302),所述远程接入服务器包括:
用于针对远程接入在IMS核心中配置远程设备和本地网关的能力和凭证的装置;
用于通过将每一个被授权用户的IMS身份添加到基于IMS的ACL来授权一个或更多个用户远程接入本地网络的装置;
用于通过IMS核心从远程设备接收对本地网关的接入请求的装置;
用于在远程设备的用户已经被授权通过所述基于IMS的ACL中该用户的IMS身份执行远程接入的情况下接受所述接入请求的装置;以及
用于在接受的情况下使用远程设备和本地网关的已配置的能力和凭证来建立远程接入连接的装置。
14.如权利要求14所述的远程接入服务器,适于通过远程设备中的IMS客户端(300b)与IMS核心中的远程接入服务器(304a)之间的IMS消息收发来配置远程设备的所述能力和凭证,以及通过远程设备中的IMS客户端(302b)与远程接入服务器(304a)之间的IMS消息收发来配置本地网关的所述能力和凭证。
15.如权利要求13或14所述的远程接入服务器,其中,所述凭证包括用于VPN隧道建立的证书。
16.如权利要求13至15中任意一项所述的远程接入服务器,其中,所述能力包括本地网关中的RAS(302d)的RATA能力以及远程设备中的RAC(300d)的RATA能力。
17.如权利要求13至16中任意一项所述的远程接入服务器,适于在远程设备位于本地网络之外时配置所述能力和凭证。
18.如权利要求13至17中任意一项所述的远程接入服务器,其中,授权用户能够通过该用户的IMS身份从任意终端远程接入本地网络。
19.如权利要求13至18中任意一项所述的远程接入服务器,其中,在IMS核心处的远程接入服务器(304a)中维护基于IMS的ACL。
20.如权利要求13至18中任意一项所述的远程接入服务器,其中,在本地网关处维护基于IMS的ACL。
21.一种本地网络的本地网关(302)中的设备,用于使位于本地网络之外的远程设备(300)能够远程接入本地网关,所述设备包括:
用于针对远程接入在IMS核心(304)中配置本地网关的能力和凭证的装置;
用于通过IMS核心从远程设备接收接入请求的装置;
用于在远程设备的用户已经被授权通过该用户的IMS身份执行远程接入的情况下接受所述接入请求的装置;以及
用于在接受的情况下通过远程设备和本地网关的已配置的能力和凭证来建立远程接入连接的装置。
22.如权利要求21所述的设备,适于在远程设备用户没有被授权通过该用户的IMS身份执行远程接入的情况下确定所述接入请求对于控制本地网络的本地网络所有者来说是否能够被接受。
23.如权利要求22所述的设备,适于向本地网络所有者询问是否能够接受接入请求。
24.如权利要求21至23中任意一项所述的设备,其中,在本地网关中维护基于UPnP的ACL,该基于UPnP的ACL包含被允许执行远程接入的设备的UUID。
25.如权利要求24所述的设备,适于在所述接入请求被接受的情况下把所述远程设备的UUID添加到基于UPnP的ACL。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| SE0800608 | 2008-03-14 | ||
| SE0800608-2 | 2008-03-14 | ||
| PCT/SE2008/050731 WO2009113931A1 (en) | 2008-03-14 | 2008-06-18 | Method and apparatus for remote access to a local network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101971570A true CN101971570A (zh) | 2011-02-09 |
| CN101971570B CN101971570B (zh) | 2016-04-27 |
Family
ID=41065462
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880128031.8A Expired - Fee Related CN101971570B (zh) | 2008-03-14 | 2008-06-18 | 用于远程接入本地网络的方法和装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8503462B2 (zh) |
| EP (1) | EP2255496B1 (zh) |
| JP (1) | JP5269916B2 (zh) |
| KR (1) | KR101507632B1 (zh) |
| CN (1) | CN101971570B (zh) |
| WO (1) | WO2009113931A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013159753A1 (zh) * | 2012-04-28 | 2013-10-31 | 华为终端有限公司 | 用于远程接入本地网络的方法及装置 |
| CN103503378A (zh) * | 2011-03-31 | 2014-01-08 | 阿尔卡特朗讯 | 用于通过可信监控代理的家庭网络接入的方法和装置 |
| CN103930879A (zh) * | 2011-06-30 | 2014-07-16 | 亚马逊科技公司 | 投影存储网关 |
| WO2016065637A1 (en) * | 2014-10-31 | 2016-05-06 | Huawei Technologies Co.,Ltd. | Method and apparatus for remote access |
Families Citing this family (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20100040658A (ko) * | 2008-10-10 | 2010-04-20 | 삼성전자주식회사 | UPnP 네트워크의 원격 접속 서비스에서 아이피 주소 충돌 해결 방법 및 장치 |
| US20110302275A1 (en) * | 2010-06-04 | 2011-12-08 | Rich Prodan | Method and System for Matching Content Consumption Preference Via a Broadband Gateway |
| JP5568576B2 (ja) * | 2009-03-03 | 2014-08-06 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 第2のローカルネットワーク内のサーバからローカルネットワーク内のレンダラへのメディア転送 |
| US10404485B2 (en) * | 2009-03-03 | 2019-09-03 | Samsung Electronics Co., Ltd | Method and apparatus for restricting disclosure of network information during remote access service |
| CN102025603B (zh) * | 2009-09-17 | 2015-01-28 | 中兴通讯股份有限公司 | 报文发送控制的方法、系统及注册、更新的方法及系统 |
| US9762583B2 (en) * | 2009-10-23 | 2017-09-12 | Interdigital Patent Holdings, Inc. | Protection against unsolicited communication |
| WO2011073584A1 (fr) * | 2009-12-18 | 2011-06-23 | France Telecom | Procede de controle d'acces a un reseau local |
| US8769630B2 (en) | 2009-12-18 | 2014-07-01 | France Telecom | Monitoring method and device |
| KR101630755B1 (ko) * | 2010-01-15 | 2016-06-15 | 삼성전자주식회사 | 모바일 디바이스 간 보안 통신 방법 및 장치 |
| WO2011096691A2 (en) | 2010-02-03 | 2011-08-11 | Samsung Electronics Co., Ltd. | System and method for file transfer in universal plug and play telephony service |
| US9325518B2 (en) * | 2010-03-03 | 2016-04-26 | France Telecom | Controlling a device of a remote network from a local network |
| CN101883119A (zh) * | 2010-07-09 | 2010-11-10 | 潘薇 | 利用“新型nat”实现路由网关设备防范arp病毒攻击的方法 |
| US20120096085A1 (en) * | 2010-10-14 | 2012-04-19 | Province of Ontario, Canada) | Communications system including instant message device control and related methods |
| US8649359B2 (en) * | 2010-11-19 | 2014-02-11 | Nokia Corporation | Apparatus and method for selection of a gateway of a local area network |
| US9451049B2 (en) * | 2010-12-13 | 2016-09-20 | Google Technology Holdings LLC | Sharing media among remote access clients in a universal plug and play environment |
| US8683560B1 (en) | 2010-12-29 | 2014-03-25 | Amazon Technologies, Inc. | Techniques for credential generation |
| JP5478546B2 (ja) * | 2011-04-12 | 2014-04-23 | 日本電信電話株式会社 | アクセス制御システム、およびアクセス制御方法 |
| KR101903989B1 (ko) * | 2011-05-09 | 2018-10-05 | 삼성전자주식회사 | 범용 플러그 앤드 플레이(upnp) 디바이스의 디바이스 기능을 서비스 네트워크 엔티티와 공유하기 위한 방법 및 시스템 |
| US8601134B1 (en) * | 2011-06-30 | 2013-12-03 | Amazon Technologies, Inc. | Remote storage gateway management using gateway-initiated connections |
| US8639921B1 (en) | 2011-06-30 | 2014-01-28 | Amazon Technologies, Inc. | Storage gateway security model |
| US8639989B1 (en) | 2011-06-30 | 2014-01-28 | Amazon Technologies, Inc. | Methods and apparatus for remote gateway monitoring and diagnostics |
| US8706834B2 (en) | 2011-06-30 | 2014-04-22 | Amazon Technologies, Inc. | Methods and apparatus for remotely updating executing processes |
| US8832039B1 (en) | 2011-06-30 | 2014-09-09 | Amazon Technologies, Inc. | Methods and apparatus for data restore and recovery from a remote data store |
| US8806588B2 (en) | 2011-06-30 | 2014-08-12 | Amazon Technologies, Inc. | Storage gateway activation process |
| US10754813B1 (en) | 2011-06-30 | 2020-08-25 | Amazon Technologies, Inc. | Methods and apparatus for block storage I/O operations in a storage gateway |
| CN102868997B (zh) * | 2011-07-06 | 2017-10-10 | 中兴通讯股份有限公司 | 本地网关信息处理方法及装置 |
| US8793343B1 (en) | 2011-08-18 | 2014-07-29 | Amazon Technologies, Inc. | Redundant storage gateways |
| US9208344B2 (en) * | 2011-09-09 | 2015-12-08 | Lexisnexis, A Division Of Reed Elsevier Inc. | Database access using a common web interface |
| US8789208B1 (en) | 2011-10-04 | 2014-07-22 | Amazon Technologies, Inc. | Methods and apparatus for controlling snapshot exports |
| US9363099B2 (en) * | 2011-12-13 | 2016-06-07 | Ericsson Ab | UPnP/DLNA with RADA hive |
| US9635132B1 (en) | 2011-12-15 | 2017-04-25 | Amazon Technologies, Inc. | Service and APIs for remote volume-based block storage |
| CN102571817B (zh) * | 2012-02-15 | 2014-12-10 | 华为技术有限公司 | 访问应用服务器的方法及装置 |
| FR2991838A1 (fr) * | 2012-06-11 | 2013-12-13 | France Telecom | Procede d'attribution de donnees d'authentifications temporaires pour l'acces a des services ims |
| US9686284B2 (en) * | 2013-03-07 | 2017-06-20 | T-Mobile Usa, Inc. | Extending and re-using an IP multimedia subsystem (IMS) |
| US9992183B2 (en) | 2013-03-15 | 2018-06-05 | T-Mobile Usa, Inc. | Using an IP multimedia subsystem for HTTP session authentication |
| CN104426887B (zh) * | 2013-09-04 | 2018-06-19 | 华为技术有限公司 | 业务权限确定方法和装置 |
| CN104519077A (zh) * | 2013-09-26 | 2015-04-15 | 中兴通讯股份有限公司 | 多媒体分享方法、注册方法、服务器及代理服务器 |
| US10614119B2 (en) | 2016-01-19 | 2020-04-07 | Regwez, Inc. | Masking restrictive access control for a user on multiple devices |
| US10530764B2 (en) * | 2016-12-19 | 2020-01-07 | Forescout Technologies, Inc. | Post-connection client certificate authentication |
| US10715996B1 (en) | 2019-06-06 | 2020-07-14 | T-Mobile Usa, Inc. | Transparent provisioning of a third-party service for a user device on a telecommunications network |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007104358A1 (en) * | 2006-03-14 | 2007-09-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Access control in a communication network |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7480915B2 (en) * | 2002-10-03 | 2009-01-20 | Nokia Corporation | WV-IMS relay and interoperability methods |
| US8909701B2 (en) * | 2003-05-02 | 2014-12-09 | Nokia Corporation | IMS conferencing policy logic |
| JP4041118B2 (ja) * | 2004-11-24 | 2008-01-30 | 株式会社東芝 | ゲートウェイ装置、ネットワークシステム、通信プログラム及び通信方法 |
| US8473617B2 (en) * | 2004-12-31 | 2013-06-25 | Sony Corporation | Media client architecture for networked communication devices |
| JP4663383B2 (ja) * | 2005-04-13 | 2011-04-06 | 株式会社日立製作所 | ホームゲートウェイ装置、ホームゲートウェイ装置の制御方法及び通信システムの制御方法 |
| US7613705B2 (en) * | 2005-08-26 | 2009-11-03 | Hewlett-Packard Development Company, L.P. | Initial filter criteria (IFC) database with class of service (COS) |
| EP1961178B1 (en) * | 2005-12-13 | 2010-02-10 | Telefonaktiebolaget LM Ericsson (publ) | A method and arrangement for enabling multimedia communication. |
| US7783771B2 (en) * | 2005-12-20 | 2010-08-24 | Sony Ericsson Mobile Communications Ab | Network communication device for universal plug and play and internet multimedia subsystems networks |
| US20070143488A1 (en) * | 2005-12-20 | 2007-06-21 | Pantalone Brett A | Virtual universal plug and play control point |
| JP4138808B2 (ja) * | 2006-01-10 | 2008-08-27 | 株式会社エヌ・ティ・ティ・ドコモ | 通信システムおよび通信方法 |
| JP2007272868A (ja) * | 2006-03-07 | 2007-10-18 | Sony Corp | 情報処理装置、情報通信システム、および情報処理方法、並びにコンピュータ・プログラム |
| US8522025B2 (en) * | 2006-03-28 | 2013-08-27 | Nokia Corporation | Authenticating an application |
| US20070254630A1 (en) | 2006-04-24 | 2007-11-01 | Nokia Corporation | Methods, devices and modules for secure remote access to home networks |
| US8285983B2 (en) * | 2006-05-15 | 2012-10-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatuses for establishing a secure channel between a user terminal and a SIP server |
| US20070288487A1 (en) | 2006-06-08 | 2007-12-13 | Samsung Electronics Co., Ltd. | Method and system for access control to consumer electronics devices in a network |
| US20080311890A1 (en) * | 2007-06-13 | 2008-12-18 | Benco David S | IMS network support for remote video recording and access |
-
2008
- 2008-06-18 JP JP2010550633A patent/JP5269916B2/ja not_active Expired - Fee Related
- 2008-06-18 CN CN200880128031.8A patent/CN101971570B/zh not_active Expired - Fee Related
- 2008-06-18 US US12/867,993 patent/US8503462B2/en active Active
- 2008-06-18 WO PCT/SE2008/050731 patent/WO2009113931A1/en active Application Filing
- 2008-06-18 KR KR1020107022914A patent/KR101507632B1/ko active IP Right Grant
- 2008-06-18 EP EP08767197.0A patent/EP2255496B1/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007104358A1 (en) * | 2006-03-14 | 2007-09-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Access control in a communication network |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103503378A (zh) * | 2011-03-31 | 2014-01-08 | 阿尔卡特朗讯 | 用于通过可信监控代理的家庭网络接入的方法和装置 |
| CN103503378B (zh) * | 2011-03-31 | 2016-09-21 | 阿尔卡特朗讯 | 用于通过可信监控代理的家庭网络接入的方法和装置 |
| CN103930879A (zh) * | 2011-06-30 | 2014-07-16 | 亚马逊科技公司 | 投影存储网关 |
| CN103930879B (zh) * | 2011-06-30 | 2017-12-26 | 亚马逊科技公司 | 投影存储网关 |
| WO2013159753A1 (zh) * | 2012-04-28 | 2013-10-31 | 华为终端有限公司 | 用于远程接入本地网络的方法及装置 |
| WO2016065637A1 (en) * | 2014-10-31 | 2016-05-06 | Huawei Technologies Co.,Ltd. | Method and apparatus for remote access |
| CN107005442A (zh) * | 2014-10-31 | 2017-08-01 | 华为技术有限公司 | 用于远程接入的方法和装置 |
| US10681010B2 (en) | 2014-10-31 | 2020-06-09 | Huawei Technologies Co., Ltd. | Establishing a connection between a user device and an access zone |
| US11570151B2 (en) | 2014-10-31 | 2023-01-31 | Beijing Huawei Digital Technologies Co., Ltd. | Establishing a connection between a user device and an access zone |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101507632B1 (ko) | 2015-03-31 |
| EP2255496B1 (en) | 2016-02-10 |
| JP5269916B2 (ja) | 2013-08-21 |
| US20110002341A1 (en) | 2011-01-06 |
| US8503462B2 (en) | 2013-08-06 |
| JP2011517169A (ja) | 2011-05-26 |
| CN101971570B (zh) | 2016-04-27 |
| KR20100130996A (ko) | 2010-12-14 |
| EP2255496A4 (en) | 2014-10-22 |
| EP2255496A1 (en) | 2010-12-01 |
| WO2009113931A1 (en) | 2009-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101971570B (zh) | 用于远程接入本地网络的方法和装置 | |
| EP2116006B1 (en) | Method for remotely controlling multimedia communication across local networks. | |
| TWI434562B (zh) | 藉由私人網路致能多媒體通信之方法與配置 | |
| CN102150408B (zh) | 用于从身份管理系统获得用于应用程序的用户证书的方法、设备和计算机程序产品 | |
| JP4875169B2 (ja) | ホームネットワークに対するリモートアクセスのための方法及び装置 | |
| US8041349B2 (en) | Home subscriber server configuration method and system | |
| US8239551B2 (en) | User device, control method thereof, and IMS user equipment | |
| CN101803325B (zh) | 多媒体网关和通信终端 | |
| US20080141313A1 (en) | Authentication bootstrap by network support | |
| US20080305794A1 (en) | Call session control server assignment method and call session control server assignment system | |
| CN101341720A (zh) | 虚拟通用即插即用控制点 | |
| WO2011079522A1 (zh) | 一种认证方法、系统和装置 | |
| WO2008075792A1 (en) | Authentication method, system, and apparatus thereof for inter-domain information communication | |
| JP2009027652A (ja) | 接続制御システム、接続制御方法、接続制御プログラムおよび中継装置 | |
| KR101923390B1 (ko) | 홈 네트워크를 이용한 통화 방법 및 장치 | |
| JP2017502624A (ja) | webRTCのための装置、システム、及び方法 | |
| CN103430506A (zh) | 网络通信系统和方法 | |
| US10623197B2 (en) | Method and apparatus for giving monopoly of call in call transmission/reception system using UPnP | |
| KR100987856B1 (ko) | 인터넷 전화 단말의 비밀번호 변경 방법 및 인증 처리 방법 | |
| JP4841357B2 (ja) | セキュアなシグナリングチャネルを用いたリソース更新方法、サーバ、端末及びプログラム | |
| CN117955694A (zh) | 卫星终端与ims核心网交互方法及注册代理网关设备 | |
| FI124824B (fi) | Multimediayhdyskäytävä viestintäpäätteitä varten ja |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160427 |