CN104247374B - 用于客户端相关的安全关联的故障转移功能 - Google Patents
用于客户端相关的安全关联的故障转移功能 Download PDFInfo
- Publication number
- CN104247374B CN104247374B CN201280072599.9A CN201280072599A CN104247374B CN 104247374 B CN104247374 B CN 104247374B CN 201280072599 A CN201280072599 A CN 201280072599A CN 104247374 B CN104247374 B CN 104247374B
- Authority
- CN
- China
- Prior art keywords
- function
- agent
- client
- data
- security association
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006870 function Effects 0.000 claims description 298
- 238000000034 method Methods 0.000 claims description 57
- 238000012546 transfer Methods 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 21
- 230000000977 initiatory effect Effects 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 7
- 230000005055 memory storage Effects 0.000 claims description 7
- 230000001737 promoting effect Effects 0.000 claims description 6
- 238000001514 detection method Methods 0.000 claims description 4
- 230000006399 behavior Effects 0.000 claims 2
- 230000008569 process Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 15
- 238000004891 communication Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- JEOQACOXAOEPLX-WCCKRBBISA-N (2s)-2-amino-5-(diaminomethylideneamino)pentanoic acid;1,3-thiazolidine-4-carboxylic acid Chemical compound OC(=O)C1CSCN1.OC(=O)[C@@H](N)CCCN=C(N)N JEOQACOXAOEPLX-WCCKRBBISA-N 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000001976 improved effect Effects 0.000 description 3
- 239000007787 solid Substances 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 206010027476 Metastases Diseases 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000001680 brushing effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000005577 local transmission Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 229910044991 metal oxide Inorganic materials 0.000 description 1
- 150000004706 metal oxides Chemical class 0.000 description 1
- 230000009401 metastasis Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000007430 reference method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000008093 supporting effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5083—Techniques for rebalancing the load in a distributed system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1045—Proxies, e.g. for session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1029—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers using data related to the state of servers by a load balancer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1034—Reaction to server failures by a load balancer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1036—Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了用于客户端相关的安全关联的故障转移功能的措施。这样的措施示例性地包括:在代理功能处提供故障转移功能和/或在服务呼叫状态控制功能处促进提供故障转移功能,其中相应的故障转移功能涉及第一代理功能,服务功能用于服务第一代理功能和第二代理功能,第一代理功能具有与客户端的安全关联,并且第一代理功能和第二代理功能可用相同的网络地址到达。
Description
技术领域
本发明涉及用于客户端相关的安全关联(security association)的故障转移(failover)功能。更具体而言,本发明示例性地涉及用于实现用于客户端相关的安全关联的故障转移功能的措施(包括方法、设备和计算机程序产品)。
背景技术
在包括移动和固定网络的典型地基于IP的现代通信系统中,经常通过客户端和特定网络元件之间的客户端相关的安全关联来实现客户端认证。因此,在特定网络元件的故障导致安全关联的故障的情况下,在认证方面的问题及因而在依靠前面认证的通信方面的问题可能出现。
在下文中,为了示例性和说明性的目的,主要对3GPP移动网络作出参考,以便举例说明上述情况。将注意的是:虽然下文中主要对3GPP移动网络做出参考,但仅仅是通过举例的方式作出这种参考,而类似的考虑相应地同样适用于其它类型的移动网络和/或固定网络。
例如,在基于IMS或其它的基于SIP的网络中,SIP协议用于会话处理。SIP协议定义注册过程,注册过程是客户端的本地传输地址(例如IP地址和端口)与客户端的公知的记录地址(在IMS中被称为“公共身份”)的链接。在IMS中,认证的方面附加地与注册过程连接。对于认证,定义IMS AKA认证方法,其使用客户端和表示负责认证的特定网络元件的P-CSCF之间的 IPSec连接。在IPSec连接上,在注册的时候创建并在重新注册的时候刷新IPSec安全关联(SA)。
当通过IMS AKA认证方法认证客户端时,客户端可以仅仅经由对应的安全关联(SA)发送和接收SIP消息,在网络侧通过所述安全关联来认证客户端。当SA不再可用时,例如由于负责认证的特定网络元件(例如P-CSCF)的故障,网络不可到达客户端。根据先前提出的解决方案,在替代的P-CSCF等可发送和接收关于客户端的任何消息之前,客户端因而必须本身执行新的注册,所述新的注册将经由负责认证的替代的网络元件(例如替代的P-CSCF)发生。通过客户端的新的注册因此可由不成功的连接建立尝试触发,或者至少是通过客户端本身的重新注册。那意味着:在重新注册/注册时段(其范围例如可从半小时至几天)之内,网络不可到达客户端,这是不可接受的时间量。
因此,期望经由客户端相关的安全关联,避免在负责认证的网络元件的故障情况下,这样的不可接受的长服务中断。
也就是说,期望提供用于客户端相关的安全关联的改进的故障转移(failover)功能。
发明内容
本发明的各种示例性实施例旨在解决以上难题和/或问题及缺点的至少一部分。
在所附权利要求中阐述本发明示例性实施例的各种方面。
根据本发明的示例性方面,提供了一种方法,包括:提供与服务功能合作的第一代理功能的故障转移功能,服务功能被配置用于服务第一代理功能和第二代理功能,其中第一代理功能具有与客户端的安全关联,并且第一代理功能和第二代理功能可用相同的网络地址到达,其中提供故障转移功能包括:在第一代理功能处注册或重新注册客户端时,将安全关联的数据或安全关联的数据连同客户端注册的数据从第一代理功能发送到服务功能。
根据本发明的示例性方面,提供了一种方法,包括:提供与服务功能合作的第一代理功能的故障转移功能,服务功能被配置用于服务第一代理功能和第二代理功能,其中第一代理功能具有与客户端的安全关联,并且第一代理功能和第二代理功能可用相同的网络地址到达,其中提供故障转移功能包括:在第二代理功能处从服务功能接收安全关联的数据或安全关联的数据连同客户端注册的数据,并在接收的数据的基础上创建第二代理功能和客户端之间的替代的安全关联。
根据本发明的示例性方面,提供了一种方法,包括:促进在服务功能处提供与第一代理功能和第二代理功能合作的第一代理功能的故障转移功能,所述服务功能被配置用于服务第一代理功能和第二代理功能,其中第一代理功能具有与客户端的安全关联,并且第一代理功能和第二代理功能可用相同的网络地址到达,其中促进提供故障转移功能包括:在服务功能处从第一代理功能接收安全关联的数据或安全关联的数据连同客户端注册的数据,并在客户端的注册时段内存储接收的数据。
根据本发明的示例性方面,提供了一种装置,包括:被配置成与至少另一个装置通信的接口,被配置成存储计算机程序代码的存储器,以及处理器,被配置成使装置执行:提供与服务功能合作的第一代理功能的故障转移功能,服务功能被配置用于服务第一代理功能和第二代理功能,其中第一代理功能具有与客户端的安全关联,并且第一代理功能和第二代理功能可用相同的网络地址到达,其中处理器被配置成使装置执行,用于提供故障转移功能:在第一代理功能处注册或重新注册客户端时,向服务功能发送安全关联的数据或安全关联的数据连同客户端注册的数据。
根据本发明的示例性方面,提供了一种装置,包括:被配置成与至少另一个装置通信的接口,被配置成存储计算机程序代码的存储器,以及处理器,被配置成使装置执行:提供与服务功能合作的第一代理功能的故障转移功能,服务功能被配置用于服务第一代理功能和第二代理功能,其中第一代理功能具有与客户端的安全关联,并且第一代理功能和第二代理功能可用相同的网络地址到达,其中处理器被配置成使装置执行,用于提供故障转移功能:从服务功能接收安全关联的数据或安全关联的数据连同客户端注册的数据,并在接收的数据的基础上创建与客户端的替代的安全关联。
根据本发明的示例性方面,提供了一种装置,包括:被配置成与至少另一个装置通信的接口,被配置成存储计算机程序代码的存储器,以及处理器,被配置成使装置执行:促进在服务功能处提供与第一代理功能和第二代理功能合作的第一代理功能的故障转移功能,服务功能被配置用于服务第一代理功能和第二代理功能,其中第一代理功能具有与客户端的安全关联,并且第一代理功能和第二代理功能可用相同的网络地址到达,其中处理器被配置成使装置执行,用于促进提供故障转移功能:从第一代理功能接收安全关联的数据或安全关联的数据连同客户端注册的数据,并在客户端的注册时段内存储接收的数据。
根据本发明的示例性方面,提供了一种计算机程序产品,包括计算机可执行的计算机程序代码,当在计算机(例如根据本发明的上述装置相关的示例性方面中任一个的装置的计算机)上运行该程序时,计算机可执行的计算机程序代码被配置成使计算机执行根据本发明的上述方法相关的示例性方面中任一个的方法。
计算机程序产品可包括或可以被体现为在其上存储计算机可执行的计算机程序代码的(有形)计算机可读(储存)介质,和/或该程序可被直接加载到计算机或其处理器的内部存储器中。
下面阐述本发明的上述示例性方面的有利的进一步发展或修改。
通过本发明示例性实施例的方式,提供了用于客户端相关的安全关联的故障转移功能。
以上方面中的任何一个实现在响应时间方面(即在负责经由客户端相关的安全关联的认证的网络元件的故障之后服务中断的持续时间)改进用于客户端相关的安全关联的故障转移功能。
因此,通过使能/实现用于客户端相关的安全关联的故障转移功能的方法、装置和计算机程序产品获得改进。
附图说明
在下文中,将通过非限制性示例的方式,参考附图更详细地描述本发明,其中:
图1示出根据本发明示例性实施例的过程的示意图,
图2示出在根据本发明示例性实施例的过程中关于用于安全关联的安全连接建立的系统场景的示意图,
图3示出在根据本发明示例性实施例的过程中关于安全关联的创建的系统场景的示意图,
图4示出在根据本发明示例性实施例的过程中关于在与安全关联有关的故障的情况下的请求处理的系统场景的示意图,
图5示出在根据本发明示例性实施例的过程中关于用于替代的安全关联的安全连接建立的系统场景的示意图,以及
图6示出根据本发明示例性实施例的示例性装置的示意图。
具体实施方式
本文中参考特定的非限制性示例和目前被认为是本发明的可设想的实施例的示例来描述本发明。本领域技术人员将认识到:本发明决不限于这些示例,而且可以被更广泛地应用。
将注意的是:本发明及其实施例的下列描述主要是指被用作用于某些示例性网络配置和部署的非限制性示例的规范。即,本发明及其实施例主要关于3GPP规范而被描述,3GPP规范被用作用于某些示例性网络配置和部署的非限制性示例。例如,基于IMS或SIP的网络被用作用于这样描述的示例性实施例的适用性的非限制性示例。因此,本文给出的示例性实施例的描述特别是指与其直接相关的术语。这种术语仅用在呈现的非限制性示例的上下文中,并且自然不以任何方式限制本发明。相反,也可利用任何其它网络配置或系统部署等,只要符合本文所述的特征。
特别是,本发明及其实施例可适用于任何固定或移动通信系统和/或网络部署,其中经由在客户端和特定网络元件之间的客户端相关的安全关联来实现客户端认证。
在下文中,使用数个变形和/或替代方案描述本发明的各种实施例和实施方式及其方面或实施例。通常注意的是:根据某些需要和限制,可单独或以任何可设想的组合(还包括各种变型和/或替代方案的单独特征的组合)提供所有的所描述的变形和/或替代方案。
根据本发明的示例性实施例,在通常的方面,提供用于(使能/实现)用于客户端相关的安全关联的故障转移功能的措施和机制。
根据本发明示例性实施例的用于客户端相关的安全关联的故障转移功能在至少一个代理功能(诸如,代理呼叫状态控制功能(P-CSCF))和/或服务功能(诸如,服务呼叫状态控制功能(S-CSCF))处实现。故障转移功能涉及第一代理(呼叫状态控制)功能,服务(呼叫状态控制)功能用于服务第一代理(呼叫状态控制)功能和至少一个第二代理(呼叫状态控制)功能,第一代理(呼叫状态控制)功能具有与客户端的安全关联(SA)(或涉及与客户端的安全关联),并且第一代理(呼叫状态控制)功能和至少一个第二代理(呼叫状态控制)功能可用相同的网络地址(例如IP地址)到达(或表现出相同的网络地址(例如IP地址))。根据本发明示例性实施例的至少一个代理(呼叫状态控制)功能,即第一和/或第二代理(呼叫状态控制)功能,提供故障转移功能,和/或根据本发明示例性实施例的服务(呼叫状态控制)功能促进提供故障转移功能。
在下文中,为了清楚的缘故,P-CSCF 1被采用为根据本发明示例性实施例的第一代理功能的非限制性示例,P-CSCF 2被采用为根据本发明示例性实施例的第二代理功能的非限制性示例,并且S-CSCF被采用为根据本发明示例性实施例的服务功能的非限制性示例。
图1示出根据本发明示例性实施例的过程的示意图。
在图1的过程中,假定客户端(未示出)将在P-CSCF 1处由IMS AKA认证方法认证,其中经由IPSec连接上的安全关联(SA)完成认证。从客户端的角度看,P-CSCF 1和P-CSCF 2二者可使用相同的网络地址(例如IP地址)到达。这例如可通过使用放置在客户端和两个P-CSCF之间的负载平衡器(load balancer)(图中未示出)来实现。S-CSCF是服务P-CSCF 1和P-CSCF 2二者的网络元件。
如图1所示,在P-CSCF 1处注册或重新注册客户端的时候,在P-CSCF 1处创建或刷新SA。因此,在P-CSCF 1处数据(例如算法、SPI、密钥、IP地址、端口、模式等)被存储用于SA,即其相应的注册时段。在P-CSCF 1处注册或重新注册客户端时,P-CSCF 1向S-CSCF发送也是本地存储的SA数据(可能连同注册数据)。即,在注册或重新注册的时候,P-CSCF 1朝向服务网络元件提供所有必要的SA数据,其中该数据在当前注册时段内被存储/更新。正如下文所概述,可在注册消息和/或SIP消息或其报头(例如专有的专用报头或标准化的SIP报头内的一个或多个专有的专用参数)中携带SA数据(可能连同注册数据)。由此,在P-CSCF 1处/由P-CSCF 1提供用于P-CSCF 1的故障转移功能(或其与客户端的安全关联)。
如图1所示,S-CSCF从P-CSCF 1接收SA数据(可能连同注册数据),S-CSCF然后在当前的注册时段内存储(即新近存储或更新先前由接收的数据存储的数据)接收的数据。当S-CSCF检测到P-CSCF 1的故障时,S-CSCF选择P-CSCF 2作为针对故障的P-CSCF 1的故障转移P-CSCF,并向P-CSCF 2发送接收的(和本地存储的)数据,即从P-CSCF 1接收的SA数据(可能连同注册数据)。这就是说,S-CSCF能够识别:P-CSCF 1(在客户端的注册数据中分配的)不再可用,其例如可通过任何可用性监控技术来实现。另外,S-CSCF能够为故障的P-CSCF 1选择适当的故障转移功能或网络元件,即识别P-CSCF 2可被选为故障转移P-CSCF,例如用于待处理的当前终止会话,其例如可在配置数据的基础上实现。即,在检测到P-CSCF 1故障的时候,S-CSCF朝故障转移网络元件提供所有必要SA的数据,其中该数据用于故障转移目的。正如下文所概述,可在请求消息和/或SIP消息或其报头(例如专有的专用报头或标准化的报头内的一个或多个专有的专用参数)中携带SA数据(可能连同注册数据)。因此,在S-CSCF处/由S-CSCF促进提供用于P-CSCF 1的故障转移功能(或其与客户端的安全关联)。
如图1所示,P-CSCF 2从S-CSCF接收SA数据(可能连同注册数据),并且P-CSCF 2在接收的数据的基础上创建与客户端(未示出)的替代的SA,其中替代的SA取代P-CSCF 1和客户端之间的SA。在这点上,P-CSCF 2在当前的注册时段内存储(即新近存储或更新先前由接收的数据存储的数据)接收的数据,并至少使用SA数据,以便为故障的P-CSCF的先前的SA本地创建新的SA。正如下文所概述,可在请求消息和/或SIP消息或其报头(例如专有的专用报头或标准化的SIP报头内的一个或多个专有的专用参数)中携带SA数据(可能连同注册数据)。由此,在P-CSCF 2处/由P-CSCF 2提供用于P-CSCF 1的故障转移功能(或其与客户端的安全关联)。
本文中所称的SA数据可以是静态数据、动态数据或静态和动态数据之间的混合。
根据本发明的示例性实施例,实现用于SA(或包含涉及SA的P-CSCF)的故障转移功能,在于按需要经由S-CSCF(即通过S-CSCF的帮助/合作或中继)将所有必要的SA数据提供给替代的P-CSCF(不耦合、分组、分簇或与故障保险的(fail-safe)P-CSCF同步)。因此,有利的是:根据本发明的示例性实施例,在故障转移机制方面,两个P-CSCF因此不需要以任何方式协调和/或通信(彼此之间)。
根据本发明的示例性实施例,故障保险的P-CSCF(即图1中的P-CSCF 1)以及故障转移P-CSCF(即图1中的P-CSCF 2)可用相同的网络地址(例如IP地址)到达,即两个P-CSCF表现出关于客户端(即从客户端的角度来看)的相同的网络地址(例如IP地址)。也就是说,两个P-CSCF监听相同的网络地址(例如IP地址),并结合安全关联和/或与客户端的安全连接而使用相同的网络地址(例如IP地址)。正如下文所概述,这例如可通过使用放置在客户端和两个P-CSCF之间的负载平衡器来实现,其并不改变这样中继的消息,例如IP分组。由此,因为P-CSCF地址是SA的一部分,可在另一个P-CSCF处重新使用它(即用于另一个SA),由于从客户端的角度来看网络地址(例如IP地址)保持相同。
根据本发明的示例性实施例,可使用加密或不使用加密实现功能或网络节点之间的SA数据(可能连同注册数据)的发送,例如在图1中在P-CSCF 1和S-CSCF之间和/或S-CSCF和P-CSCF 2之间。
在下文中,详细描述根据本发明示例性实施例的过程,其关于包括基于IMS或基于SIP的网络的系统架构,该系统架构包括至少两个P-CSCF和服务两个P-CSCF的S-CSCF,以及与网络连接的客户端,例如IMS UE。
下文通过示例方式使用的系统架构中,负载平衡器被放置在客户端和网络之间,即在客户端和两个P-CSCF(或者甚至是网络的所有P-CSCF)之间,以便提供朝向网络的针对客户端(或者甚至是可连接到该网络的所有客户端)的单个入口/网关/接入点。任何客户端因此只能“看见”用于通信的单个(例如IP)端点。负载平衡器表示功能或网络元件的示例,用于实现:两个P-CSCF可用相同的网络地址(例如IP地址)到达,即两个P-CSCF出现具有关于朝向客户端(即从客户端的角度来看)的相同的网络地址(例如IP地址)。在这点上,可以说负载平衡器实现统一的Gm接口或参考点。
下列图2至图5中,仅描绘在根据本发明示例性实施例的故障转移相关的机制中可以涉及的底层系统架构的相关部分。例如,为了清楚的缘故,未示出客户端和基于IMS或基于SIP的网络之间的传输网络和/或接入网络。
图2示出在根据本发明示例性实施例的过程中关于用于安全关联的安全连接建立的系统场景的示意图。
更具体而言,图2示出当客户端在重新注册/注册过程中为了IMS AKA认证的目的而已建立朝向P-CSCF 1的IPSec连接并且在客户端和P-CSCF 1之间存在SA(由虚线指示)的情景。在图2的示例性系统场景中,经由负载平衡器建立IPSec连接,即负载平衡器不终止IPSec连接(但对于SA是透明的),并且SA在客户端和P-CSCF 1处可用。P-CSCF 1存储关于安全关联的SA数据(例如算法、SPI、密钥、IP地址、端口、模式……)。
正如图2中由负载平衡器、P-CSCF 1和P-CSCF 2处的点所指示,相同的IP地址(以下称为Gm_external_IP)在这三个功能或网络元件处同时可用,正如从客户端所见。这可如何实现的机制不是本发明及其示例性实施例的一部分。
图3示出在根据本发明示例性实施例的过程中关于安全关联的创建的系统场景的示意图。
更具体而言,图3图示将SA数据从P-CSCF 1传输到S-CSCF的原理,其中在重新注册/注册和/或SA创建/刷新时,它连同针对该注册的其它数据一起被存储。
如图3所示,注册过程可由从客户端到P-CSCF 1的SIP注册(REGISTER)消息(即注册消息)发起,其中在该示例中创建SA。来自客户端的SIP注册消息(即注册消息)可经由负载平衡器发送到P-CSCF 1和/或在P-CSCF 1处接收。在SA创建时,当再次从客户端接收到SIP注册消息(即注册消息)时,P-CSCF 1将由此创建的SA的SA数据发送到S-CSCF。例如,这可以在任何专有的SIP报头中实现或通过P-CSCF 1和S-CSCF理解的任何标准化的SIP报头内的一个或多个专有的参数实现。在它被存储和/或被发送到P-CSCF 2(参见图4)之前,该报头被S-CSCF去除,即SA数据被提取。在重新注册过程期间,可使用相同或类似的机制,以便更新从P-CSCF 1到S-CSCF的任何SA数据。
因此,关于安全关联的SA数据(例如算法、SPI、密钥、IP地址、端口、模式……)不仅在P-CSCF处被存储,而且在S-CSCF处被存储,而S-CSCF因此不处理任何IPSec连接和/或SA。
图4示出在根据本发明示例性实施例的过程中关于在与安全关联有关的故障的情况下的请求处理的系统场景的示意图。
更具体而言,图4示出当P-CSCF已经发生故障或崩溃并且S-CSCF执行P-CSCF故障转移机制的情景。
如图4所示,S-CSCF接收到目的地为客户端的终止请求(在该示例中的SIP邀请(INVITE)消息),终止请求从而被传递到注册的客户端。在试图经由P-CSCF 1传递接收的终止请求中,S-CSCF识别出P-CSCF 1(在目的地客户端的注册数据中分配的)不再可用。S-CSCF知道:P-CSCF 2可以例如根据配置数据而被选为用于待处理的该终止会话的故障转移P-CSCF。因此,S-CSCF将终止请求传递到故障转移P-CSCF 2,并添加针对目的地客户端和P-CSCF 1之间先前存在的安全关联的SA数据。例如,这可以在任何专有的SIP报头中实现或通过S-CSCF和P-CSCF 1理解的任何标准化的SIP报头内的一个或多个专有的参数实现。在它用于SA创建和/或被发送到客户端(参见图5)之前,该报头被P-CSCF 2去除,即SA数据被提取。P-CSCF 2可使用SA数据,以便本地创建替代/故障转移SA(SA')以用客户端替换先前存在的SA(经由负载平衡器)。当替代/故障转移SA(SA')被成功创建时,可经由该新近创建的SA(SA')朝向客户端发送终止请求。
可经由负载平衡器向客户端发送和/或在客户端处接收来自P-CSCF 2的SIP邀请消息,即请求消息。
正如图4所指示,在接收到目的地为客户端的请求消息(例如SIP邀请消息)时,可在S-CSCF处/通过S-CSCF执行故障检测操作。在这种情况下,根据在S-CSCF处接收的请求消息,通过S-CSCF的SA数据发送以及通过P-CSCF 2的SA数据接收可结合请求(例如SIP邀请消息)而被完成,即可包括请求的发送和接收。
应注意的是,图4的系统场景表示对于根据本发明示例性实施例的SA故障功能通过在S-CSCF处接收到客户端的终止请求而触发的情况的非限制性示例。然而,这不是对本发明的适用性的要求。也就是说,根据本发明示例性实施例的SA故障功能可由除了在S-CSCF处接收到客户端的终止请求之外的任何事件触发,或者可独立于诸如例如在S-CSCF处接收到客户端的终止请求之类的任何触发而被执行(例如以非周期或周期的方式)。
例如,在实际接收并且需要传递终止请求之前,可将(例如所有的)存储的SA数据从S-CSCF发送到P-CSCF 2,例如通过后台处理的方式。为了执行经由P-CSCF 2的重新路由的目的,S-CSCF可识别出P-CSCF 1的中断期(outage)。例如,该识别可由另一个订户的终止请求(即另一个事务/会话)、由S-CSCF朝P-CSCF执行的任何其它显式的可用性检测机制等触发。提前将存储的SA数据发送到P-CSCF 2(即在实际接收讨论中的订户的终止请求之前)的一个优点是:在客户端发起会话的情况下,SA已经在P-CSCF 2中可用,并因此可避免新的注册过程。
图5示出在根据本发明示例性实施例的过程中关于用于替代的安全关联的安全连接建立的系统场景的示意图。
更具体而言,图5示出由过程的执行所得到的最终情景。S-CSCF已经将SA数据发送到故障转移P-CSCF 2,并且S-CSCF可以保持SA数据本地存储,例如用于未来的故障转移情况。该替代的P-CSCF已经针对与在重新注册/注册时故障的P-CSCF 1已经使用的相同的IP地址(Gm_external_IP)创建了与客户端的替代/故障转移SA。即,P-CSCF 2使用这样接收的SA数据,以便为故障转移的目的而创建所需的SA。P-CSCF 2然后可仅经由新近创建的替代/故障转移SA、以与P-CSCF 1已经完成它相同的方式朝向客户端发送任何数据(例如涉及SA和/或终止请求)。即,P-CSCF 2使用替代/故障转移SA,以便向客户端发送终止请求,终止请求先前已由S-CSCF接收(从而发起P-CSCF故障检测操作)并且随后已被发送到P-CSCF 2。
结果,客户端看不出任何差异,即可能无法识别出它现在由P-CSCF 2代替(即代表)已经保持与其的原始SA的P-CSCF 1服务。因此,在原始涉及基于IMS AKA的注册的P-CSCF不再可用的情况下,目的地为客户端的终止请求还可被传递给客户端。
简言之,根据本发明的示例性实施例,提供了一种代理功能的故障转移功能,其中在第一代理功能发生故障时,第二代理功能为了客户端认证目的而介入代表关于安全关联的第一代理功能。
鉴于上文,本发明的示例性实施例提供在响应时间(即在负责经由客户端相关的安全关联的认证的网络元件的故障之后服务中断的持续时间)方面客户端相关的安全关联的改进的故障转移功能。即使客户端相关的安全关联不可用,例如由于涉及的代理功能的故障,通过代表原始安全关联的替代/故障转移的客户端相关的安全关联的方式,任何目的地为客户端的请求等可以在没有任何(显著的)服务中断的情况下被适当地递送。因此快速提供故障转移。
同样,可以仅在需要时(从而例如避免注册突发)、当使用一些适当的触发时提供故障转移,例如在S-CSCF处接收到针对客户端的终止请求,正如上面所例举。当例如通过后台处理的方式在P-CSCF 2处建立(例如所有)存储的SA(即与存储的SA数据有关的SA)时,也可避免注册突发。在这样的情况下,作为优点,在客户端是在P-CSCF 1中断期之后开始网络活动的第一个的情况下,客户端不需要发起新的注册过程,例如在S-CSCF处接收到针对客户端的终止请求之前,客户端发起原始呼叫尝试等。
鉴于上文,本发明的示例性实施例提供用于客户端相关的安全关联的故障转移功能,故障转移功能基于由两个独立的代理功能和通用业务服务功能的支持,并且其不需要客户端的支持或参与。另外,因为当需要时可迅速而可靠地创建故障转移安全关联,单个安全关联(即单个注册)足以被维持,并且不需要在故障之前已经建立多个(备份)安全关联(或注册)。
上述过程和功能可由相应的功能元件、处理器等实现,如下所述。
虽然在上文中主要参考方法、过程和功能描述本发明的示例性实施例,本发明对应的示例性实施例还涵盖相应的装置、网络节点和系统,包括其软件和/或硬件二者。
下面参考图6描述本发明相应的示例性实施例,同时为了简洁的缘故,参考各个对应的方案、方法和功能的详细描述以及根据图1至5的原理和操作。
在下面的图6中,实线块基本上被配置成执行如上所述的各个操作。实线块的整体基本上被配置成分别执行如上所述的方法和操作。关于图6,应注意的是:单独的块意为分别图示实现相应的功能、处理或过程的相应的功能块。这样的功能块是分别独立实现的,即可通过任何种类的硬件或软件实现。互连单独的块的箭头和线意为图示其间的操作耦合,其可以是物理和/或逻辑耦合,其一方面是独立实现的(例如有线或无线),而另一方面还可包括未示出的任意数量的中间功能实体。箭头的方向意为图示以其执行某些操作的方向和/或以其传送某些数据的方向。
另外,在图6中,仅示出涉及上述方法、过程和功能中任何一个的那些功能块。本领域技术人员将承认存在诸如例如电源、中央处理单元、相应的存储器等之类的各个结构布置的操作所需的任何其它常规的功能块。除其它以外,存储器尤其被提供用于存储用于控制单独的功能实体以如本文所述那样操作的程序或程序指令。
图6示出根据本发明示例性实施例的示例性装置的示意图。
鉴于上文,这样示出的装置10和20适合于在实施本发明的示例性实施例中使用,正如本文所述。
这样示出的装置10可表示根据本发明示例性实施例的(部分)代理功能,并且可被配置成执行程序和/或表现出关于图1至5的任一个中的P-CSCF 1和P-CSCF 2所述的功能。这样示出的装置20可表示根据本发明示例性实施例的(部分)服务功能,并且可以被配置成执行程序和/或表现出关于图1至5的任一个中的S-CSCF所述的功能。
特别地,图6中的装置10可表示P-CSCF 1或P-CSCF 2,或者两个P-CSCF的组合,或者两个P-CSCF以及负载平衡器的组合。在第一替代方案中,装置10例如可由独立的网络元件、ATCA型装置中的刀片等实现。在第二替代方案中,装置10例如可由ATCA型装置中的两个刀片、具有两个刀片的ATCA型装置、实现两个P-CSCF之一的每个刀片等来实现。在第三替代方案中,装置10例如可由虚拟网络元件(例如包括许多真实的P-CSCF实体/装置的大型可扩展的虚拟P-CSCF)等来实现。
虽然未示出,根据本发明示例性实施例的负载平衡器具有和图6中示出的装置10和20的结构类似的结构。
可以如图1至5的任何一个中所描述的那样配置这样图示的装置10和20中的任一个以及它们的架构关系和/或系统相关的相互关系。装置10和20的组合可以构成根据本发明的示例性实施例的系统。
正如图6中所指示,根据本发明的示例性实施例,装置10/20中的每一个包括通过总线14/24等连接的处理器11/21、存储器12/22和接口13/23。装置10和20可经由链路B连接,装置10可经由链路A与客户端和/或负载平衡器连接,并且装置20可经由链路C与主干或传输网络中的网络元件连接。
处理器11/21和/或接口13/23还可包括调制解调器等以促进分别通过(硬连线或无线)链路的通信。接口13/23可分别包括耦合到一个或多个天线的合适的收发器,或者用于与一个或多个链接或连接的设备(硬连线或无线)通信的通信装置。接口13/23通常被配置成与至少一个其它装置(即其接口)通信。
存储器12/22可存储假定成包括程序指令或计算机程序代码的各个程序,当由各个处理器执行时,程序指令或计算机程序代码使得各个电子设备或装置能够根据本发明的示例性实施例操作。例如,存储器12/22还可存储SA数据(可能连同注册数据),如上文所概述。
总体而言,各个设备/装置(和/或其部分)可表示用于执行各个操作和/或表现出各个功能的装置,和/或各个设备(和/或其部分)可具有用于执行各个操作和/或表现出各个功能的功能。
当在随后的描述中陈述处理器(或某些其它装置)被配置执行某些功能时,这将被解释为等同于一种描述,该描述陈述:可能与存储在各个装置的存储器中的计算机程序代码合作的一个(即至少一个)处理器或对应的电路被配置成使装置执行至少这样提到的功能。同样,这样的功能将被解释为可由用于执行各个功能的特定配置的电路或装置等效地实现(例如,表达“被配置成[使所述装置]执行xxx的处理器”被解释为等同于诸如“用于xxx的装置”之类的表达)。
在其最基本的形式中,根据本发明的示例性实施例,装置10或其处理器11被配置成执行提供与服务功能合作的第一代理功能的故障转移功能,服务功能被配置用于服务第一代理功能和第二代理功能,其中第一代理功能具有(或涉及)与客户端的安全关联,并且第一代理功能和第二代理功能可用相同的网络地址到达(或表现出相同的网络地址)。
因此,换言之,装置10可包括提供与服务功能合作的第一代理功能的故障转移功能的相应的部件。
当装置10涉及第一代理功能的可操作性/作为第一代理功能的可操作性时,装置10或其处理器11还被配置成:在第一代理功能处注册或重新注册客户端时,至少执行向服务功能发送安全关联的数据或安全关联的数据连同客户端注册的数据。
当装置10涉及第二代理功能的可操作性/作为第二代理功能的可操作性时,装置10或其处理器11还被配置成:至少执行从服务功能接收安全关联的数据或安全关联的数据连同客户端注册的数据,并在接收的数据的基础上创建与客户端的替代的安全关联。如上面所提到的,这样创建的替代的安全关联将取代第一代理功能和客户端之间的安全关联。
在其最基本的形式中,根据本发明的示例性实施例,装置20或其处理器21被配置成执行:促进在服务功能处提供与第一代理功能和第二代理功能合作的第一代理功能的故障转移功能,服务功能被配置用于服务第一代理功能和第二代理功能,其中第一代理功能具有(或涉及)与客户端的安全关联,并且第一代理功能和第二代理功能可用相同的网络地址到达(或表现出相同的网络地址)。
因此,换言之,装置20可包括用于促进提供与第一代理功能和第二代理功能合作的第一代理功能的故障转移功能的相应的部件。
在促进提供与第一代理功能和第二代理功能合作的第一代理功能的故障转移功能方面,装置20或其处理器21还可被配置成执行:从第一代理功能接收安全关联的数据或安全关联的数据连同客户端注册的数据,并在客户端的注册时段内存储接收的数据。同样,装置20或其处理器21还可被配置成执行:检测第一代理功能的故障,选择第二代理功能作为用于故障的第一代理功能的故障转移代理功能,以及将接收的数据发送到第二代理功能。
在其最基本的形式中,根据本发明的示例性实施例,表示/实现负载平衡器或其处理器的装置被配置成执行:支持提供与第二代理功能合作的第一代理功能的故障转移功能,其中第一代理功能具有(或涉及)与客户端的安全关联,并且第一代理功能和第二代理功能可用相同的网络地址到达(或表现出相同的网络地址)。
因此,换句话说,表示/实现负载平衡器的装置可包括用于支持提供与第二代理功能合作的第一代理功能的故障转移功能的相应的部件。
在支持提供与第二代理功能合作的第一代理功能的故障转移功能方面,表示/实现负载平衡器或其处理器的装置还可被配置成使得客户端能够使用/识别或监听用于负载平衡器、第一代理功能和第二代理功能/与其通信(包括安全关联的创建/刷新)的单个网络地址。因此,表示/实现负载平衡器或其处理器的装置可被配置成执行客户端与第一和第二代理功能中任一个之间的消息、数据等的中继(例如在安全的连接上和/或经由安全关联)。也就是说,当接收到具有正由常见的网络地址定义的目的地的消息等时,负载平衡器因此(从表现出相同网络地址的所有功能或网络元件中)决定该消息等将被中继或路由到的实际的功能或网络元件。因此,表示/实现负载平衡器或其处理器的装置可在客户端与代理功能之间实现单个/共同的入口/接入/网关点。
对于关于单独的装置的可操作性/功能的进一步的细节,分别参考关于图1至5中任一个的以上描述。
根据本发明的示例性实施例,处理器11/21、存储器12/22和接口13/23可被实现为单独的模块、芯片、芯片组、电路等,或者它们中的一个或多个可分别被实现为通用的模块、芯片、芯片组、电路等。
根据本发明的示例性实施例,系统可包括被配置成按如上所述的合作的这样描述的设备/装置和其它网络元件的任何可设想的组合。
通常,应注意的是:如果它仅适配成执行各个部分的所述功能,根据上述方面的各个功能块或元件可由任何已知的装置分别以硬件和/或软件实现。可在单独功能块中或由单独的设备实现提到的方法步骤,或者可在单个功能块中或由单个设备实现一个或多个方法步骤。
通常,任何方法步骤适合于被实现为软件或由硬件实现而不改变本发明的构思。这样的软件可以是独立的软件代码,并且可以使用任何已知或未来开发的编程语言来规定,诸如例如Java、C++、C和汇编语言,只要保留由方法步骤定义的功能。这样的硬件可以是独立的硬件类型,并且可以使用任何已知或未来开发的硬件技术或者这些的任何混合物来实现,诸如MOS(金属氧化物半导体)、CMOS(互补MOS)、BiMOS(双极MOS)、BiCMOS(双极CMOS)、ECL(发射极耦合逻辑)、TTL(晶体管-晶体管逻辑)等,例如使用ASIC(专用IC(集成电路))组件、FPGA(现场可编程门阵列)组件、CPLD(复杂可编程逻辑器件)组件或DSP(数字信号处理器)组件。设备/装置可由半导体芯片、芯片组或包括这样的芯片或芯片组的(硬件)模块来表示;然而,这不排除设备/装置或模块的功能不是被硬件实现而是被实现为(软件)模块(诸如包含用于在处理器上执行/运行的可执行软件代码部分的计算机程序或计算机程序产品)中的软件的功能的可能性。设备可以被视为设备/装置,或者被视为多于一个设备/装置的组装,例如,无论在功能上彼此合作还是在功能上彼此独立,但是在同一个设备外壳内。
装置和/或部件或其部分可被实现为单独的设备,但是这不排除它们在整个系统中以分布式的方式实现,只要保留设备的功能。这样的和类似的原理将被视为对于技术人员已知。
本描述意义上的软件包括软件代码,因此包括用于执行各个功能的代码部件或部分或计算机程序或计算机程序产品,以及在其上存储有相应的数据结构或代码部件/部分的诸如计算机可读(储存)介质之类的有形介质上体现或可能在其处理期间在信号中或芯片中体现的软件(或计算机程序或计算机程序产品)。
本发明还涵盖上述方法步骤和操作的任何可设想的组合,以及上述节点、装置、模块或元件的任何可设想的组合,只要上述方法论的概念和结构布置是适用的。
鉴于上文,提供了用于客户端相关的安全关联的故障转移功能的措施。这样的措施示例性地包括:在代理功能处提供故障转移功能和/或促进在服务呼叫状态控制功能处提供故障转移功能,其中相应的故障转移功能涉及第一代理功能,服务功能用于服务第一代理功能和第二代理功能,第一代理功能具有与客户端的安全关联,并且第一代理功能和第二代理功能可用相同的网络地址到达。
根据本发明示例性实施例的措施可应用于任何种类的网络环境,诸如例如用于固定通信系统,例如根据任何相关的IEEE/IETF标准,和/或移动通信系统,例如根据3GPP和/或3GPP2等的任何相关的标准,例如UMTS标准和/或HSPA标准和/或LTE标准(包括高级LTE及其演进)和/或WCDMA标准。
尽管以上参考根据附图的示例描述本发明,应理解的是本发明不限于此。相反,对本领域技术人员显而易见的是:可以在不脱离如本文所公开的本发明构思的范围的情况下以许多方式修改本发明。
缩略语及缩写词列表
3GPP 第三代合作伙伴计划
AKA 认证和密钥协商
ATCA 高级电信计算架构
CSCF 呼叫状态控制功能
HSPA 高速分组接入
IEEE 电气和电子工程师学会
IETF 互联网工程任务组
IMS IP多媒体子系统
IP 网际协议
LTE 长期演进
P-CSCF 代理-CSCF
S-CSCF 服务-CSCF
SA 安全关联
SIP 会话发起协议
SPI 安全参数索引
UE 用户设备
UMTS 通用移动电信系统
UTRAN 通用陆地无线电接入网
WCDMA 宽带码分多址。
Claims (28)
1.一种用于实现用于客户端相关的安全关联的故障转移功能的方法,包括:
提供与服务功能合作的第一代理功能的故障转移功能,所述服务功能被配置用于服务第一代理功能和第二代理功能,其中第一代理功能与客户端具有安全关联,并且第一代理功能和第二代理功能可用相同的网络地址到达,
其中提供故障转移功能包括:
在第一代理功能处注册或重新注册客户端时,将安全关联的数据或安全关联的数据连同客户端注册的数据从第一代理功能发送到服务功能;以及
在第二代理功能处从服务功能接收安全关联的数据或安全关联的数据连同客户端注册的数据,在接收数据的基础上,创建第二代理功能和客户端之间的替代的安全关联。
2.根据权利要求1的方法,其中提供故障转移功能进一步包括:
在第一代理功能处经由负载平衡器实体接收客户端的注册消息,其中
负载平衡器实体被配置用于服务第一代理功能和第二代理功能,并且
负载平衡器实体朝向客户端表现出与第一代理功能和第二代理功能相同的网络地址。
3.根据权利要求1或2的方法,其中:
所述安全关联在第一代理功能和客户端之间的IPSec连接上建立,和/或
所述安全关联在认证和密钥协商的基础上与第一代理功能处的客户端认证相关联,和/或
安全关联的数据或安全关联的数据连同客户端注册的数据在注册消息和/或会话发起协议消息或其报头中被发送。
4.根据权利要求1或2的方法,其中:
所述方法可在被配置成实现代理功能的网络元件处操作或可由该网络元件操作,和/或
所述方法可在基于IP多媒体子系统或会话发起协议的网络中操作,和/或
第一和/或第二代理功能表示代理呼叫状态控制功能,和/或
服务功能表示服务呼叫状态控制功能。
5.一种用于实现用于客户端相关的安全关联的故障转移功能的方法,包括:
提供与服务功能合作的第一代理功能的故障转移功能,所述服务功能被配置用于服务第一代理功能和第二代理功能,其中第一代理功能与客户端具有安全关联,并且第一代理功能和第二代理功能可用相同的网络地址到达,
其中提供故障转移功能包括:
在第二代理功能处从服务功能接收安全关联的数据或安全关联的数据连同客户端注册的数据,以及
在接收的数据的基础上,创建第二代理功能和客户端之间的替代的安全关联。
6.根据权利要求5的方法,其中:
所述接收进一步包括:根据目的地为客户端的请求消息而接收请求。
7.根据权利要求5或6的方法,其中提供故障转移功能进一步包括:
经由负载平衡器实体朝向客户端发送请求消息,其中,
负载平衡器实体被配置用于服务第一代理功能和第二代理功能,并且
负载平衡器实体朝向客户端表现出与第一代理功能和第二代理功能相同的网络地址。
8.根据权利要求5或6的方法,其中:
替代的安全关联在第二代理功能和客户端之间的IPSec连接上建立,和/或
安全关联在认证和密钥协商的基础上与第二代理功能处的客户端认证相关联,和/或
安全关联的数据或安全关联的数据连同客户端注册的数据在请求消息和/或会话发起协议消息或其报头中被接收。
9.根据权利要求5或6的方法,其中:
所述方法可在被配置成实现代理功能的网络元件处操作或可由该网络元件操作,和/或
所述方法可在基于IP多媒体子系统或会话发起协议的网络中操作,和/或
第一和/或第二代理功能表示代理呼叫状态控制功能,和/或
服务功能表示服务呼叫状态控制功能。
10.一种用于实现用于客户端相关的安全关联的故障转移功能的方法,包括:
促进在服务功能处提供与第一代理功能和第二代理功能合作的第一代理功能的故障转移功能,所述服务功能被配置用于服务第一代理功能和第二代理功能,其中第一代理功能与客户端具有安全关联,并且第一代理功能和第二代理功能可用相同的网络地址到达,
其中促进提供故障转移功能包括:
在服务功能处从第一代理功能接收安全关联的数据或安全关联的数据连同客户端注册的数据,
在客户端的注册时段内存储接收的数据;以及
在第二代理功能处从服务功能接收安全关联的数据或安全关联的数据连同客户端注册的数据,在接收数据的基础上,创建第二代理功能和客户端之间的替代的安全关联。
11.根据权利要求10的方法,其中促进提供故障转移功能进一步包括:
在服务功能处检测第一代理功能的故障,
选择第二代理功能作为针对故障的第一代理功能的故障转移代理功能,以及
将接收的数据从服务功能发送到第二代理功能。
12.根据权利要求11的方法,其中:
在接收到目的地为客户端的请求消息时执行用于检测第一代理功能的故障的检测操作,和/或
所述发送进一步包括:根据接收的请求消息而发送请求。
13.根据权利要求10至12中任一项的方法,其中:
所述安全关联在认证和密钥协商的基础上与第一代理功能处的客户端认证相关联,和/或
所述数据在注册消息和/或会话发起协议消息或其报头中从第一代理功能接收,和/或
所述数据在请求消息和/或会话发起协议消息或其报头中被发送到第二代理功能。
14.根据权利要求10至12中任一项的方法,其中:
所述方法可在被配置成实现服务功能的网络元件处操作或可由该网络元件操作,和/或
所述方法可在基于IP多媒体子系统或会话发起协议的网络中操作,和/或
第一和/或第二代理功能表示代理呼叫状态控制功能,和/或
服务功能表示服务呼叫状态控制功能。
15.一种用于实现用于客户端相关的安全关联的故障转移功能的装置,包括:
接口,被配置成与至少另一个装置通信,
存储器,被配置成存储计算机程序代码,以及
处理器,被配置成使所述装置执行:
提供与服务功能合作的第一代理功能的故障转移功能,所述服务功能被配置用于服务第一代理功能和第二代理功能,其中第一代理功能与客户端具有安全关联,并且第一代理功能和第二代理功能可用相同的网络地址到达,
其中所述处理器被配置成使所述装置执行,用于提供故障转移功能:
在第一代理功能处注册或重新注册客户端时,将安全关联的数据或安全关联的数据连同客户端注册的数据发送到服务功能;以及
在第二代理功能处从服务功能接收安全关联的数据或安全关联的数据连同客户端注册的数据,在接收数据的基础上,创建第二代理功能和客户端之间的替代的安全关联。
16.根据权利要求15的装置,其中所述处理器被配置成使所述装置进一步执行,用于提供故障转移功能:
经由负载平衡器实体接收客户端的注册消息,其中
负载平衡器实体被配置用于服务第一代理功能和第二代理功能,并且
负载平衡器实体朝向客户端表现出与第一代理功能和第二代理功能相同的网络地址。
17.根据权利要求15或16的装置,其中:
所述安全关联在第一代理功能和客户端之间的IPSec连接上建立,和/或
所述安全关联在认证和密钥协商的基础上与第一代理功能处的客户端认证相关联,和/或
所述处理器被配置成使所述装置:在注册消息和/或会话发起协议消息或其报头中发送安全关联的数据或安全关联的数据连同客户端注册的数据。
18.根据权利要求15或16的装置,其中:
所述装置可操作为被配置成实现代理功能的网络元件或可在该网络元件处操作,和/或
所述装置包括在高级电信计算架构中或作为虚拟网络元件的第一和第二代理功能,
所述装置可在基于IP多媒体子系统或会话发起协议的网络中操作,和/或
第一和/或第二代理功能表示代理呼叫状态控制功能,和/或
服务功能表示服务呼叫状态控制功能。
19.一种用于实现用于客户端相关的安全关联的故障转移功能的装置,包括:
接口,被配置成与至少另一个装置通信,
存储器,被配置成存储计算机程序代码,以及
处理器,被配置成使所述装置执行:
提供与服务功能合作的第一代理功能的故障转移功能,所述服务功能被配置用于服务第一代理功能和第二代理功能,其中第一代理功能与客户端具有安全关联,并且第一代理功能和第二代理功能可用相同的网络地址到达,
其中所述处理器被配置成使所述装置执行,用于提供故障转移功能:
从服务功能接收安全关联的数据或安全关联的数据连同客户端注册的数据,以及
在接收的数据的基础上,创建与客户端的替代的安全关联。
20.根据权利要求19的装置,其中:
所述处理器被配置成使所述装置进一步执行:在所述接收中,根据目的地为客户端的请求消息而接收请求。
21.根据权利要求19或20的装置,其中所述处理器被配置成使所述装置执行,用于提供故障转移功能:
经由负载平衡器实体朝向客户端发送请求消息,其中,
负载平衡器实体被配置用于服务第一代理功能和第二代理功能,并且
负载平衡器实体朝向客户端表现出与第一代理功能和第二代理功能相同的网络地址。
22.根据权利要求19或20的装置,其中
替代的安全关联在第二代理功能和客户端之间的IPSec连接上建立,和/或
安全关联在认证和密钥协商的基础上与第二代理功能处的客户端认证相关联,和/或
所述处理器被配置成使所述装置在请求消息和/或会话发起协议消息或其报头中接收安全关联的数据或安全关联的数据连同客户端注册的数据。
23.根据权利要求19或20的装置,其中:
所述装置可操作为被配置成实现代理功能的网络元件或可在该网络元件处操作,和/或
所述装置包括在高级电信计算架构中或作为虚拟网络元件的第一和第二代理功能,
所述装置可在基于IP多媒体子系统或会话发起协议的网络中操作,和/或
第一和/或第二代理功能表示代理呼叫状态控制功能,和/或
服务功能表示服务呼叫状态控制功能。
24.一种用于实现用于客户端相关的安全关联的故障转移功能的装置,包括:
接口,被配置成与至少另一个装置通信,
存储器,被配置成存储计算机程序代码,以及
处理器,被配置成使所述装置执行:
促进在服务功能处提供与第一代理功能和第二代理功能合作的第一代理功能的故障转移功能,所述服务功能被配置用于服务第一代理功能和第二代理功能,其中第一代理功能与客户端具有安全关联,并且第一代理功能和第二代理功能可用相同的网络地址到达,
其中所述处理器被配置成使所述装置执行,用于促进提供故障转移功能:
从第一代理功能接收安全关联的数据或安全关联的数据连同客户端注册的数据,
在客户端的注册时段内存储接收的数据;以及
在第二代理功能处从服务功能接收安全关联的数据或安全关联的数据连同客户端注册的数据,在接收数据的基础上,创建第二代理功能和客户端之间的替代的安全关联。
25.根据权利要求24的装置,其中所述处理器被配置成使所述装置进一步执行,用于促进提供故障转移功能:
检测第一代理功能的故障,
选择第二代理功能作为针对故障的第一代理功能的故障转移代理功能,以及
向第二代理功能发送接收的数据。
26.根据权利要求25的装置,其中所述处理器被配置,使得:
在接收到目的地为客户端的请求消息时执行用于检测第一代理功能的故障的检测操作,和/或
所述发送进一步包括:根据接收的请求消息而发送请求。
27.根据权利要求24至26中任一项的装置,其中:
所述安全关联在认证和密钥协商的基础上与第一代理功能处的客户端认证相关联,和/或
所述处理器被配置成使所述装置在注册消息和/或会话发起协议消息或其报头中从第一代理功能接收所述数据,和/或
所述处理器被配置成使所述装置在请求消息和/或会话发起协议消息或其报头中将所述数据发送到第二代理功能。
28.根据权利要求24至26中任一项的装置,其中:
所述装置可操作为被配置成实现服务功能的网络元件或可在该网络元件处操作,和/或
所述装置可在基于IP多媒体子系统或会话发起协议的网络中操作,和/或
第一和/或第二代理功能表示代理呼叫状态控制功能,和/或
服务功能表示服务呼叫状态控制功能。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2012/057367 WO2013159804A1 (en) | 2012-04-23 | 2012-04-23 | Failover functionality for client-related security association |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104247374A CN104247374A (zh) | 2014-12-24 |
| CN104247374B true CN104247374B (zh) | 2017-09-19 |
Family
ID=46025669
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280072599.9A Active CN104247374B (zh) | 2012-04-23 | 2012-04-23 | 用于客户端相关的安全关联的故障转移功能 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9417975B2 (zh) |
| EP (1) | EP2842294B1 (zh) |
| KR (1) | KR101777187B1 (zh) |
| CN (1) | CN104247374B (zh) |
| WO (1) | WO2013159804A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105765933B (zh) | 2013-09-24 | 2019-03-08 | 日本电气株式会社 | P-cscf恢复 |
| US9729588B2 (en) * | 2014-10-31 | 2017-08-08 | T-Mobile Usa, Inc. | SPI handling between UE and P-CSCF in an IMS network |
| US20160261576A1 (en) * | 2015-03-05 | 2016-09-08 | M-Files Oy | Method, an apparatus, a computer program product and a server for secure access to an information management system |
| EP3497570B1 (en) * | 2016-09-16 | 2024-01-03 | Siemens Aktiengesellschaft | Cyberattack-resilient control system design |
| US10574769B2 (en) | 2017-09-22 | 2020-02-25 | Verizon Patent And Licensing Inc. | Internet protocol multimedia subsystem connection management |
| US10798134B2 (en) * | 2018-03-28 | 2020-10-06 | Charter Communications Operating, Llc | Internet protocol (IP) multimedia subsystem (IMS) based session initiation protocol (SIP) call setup retry |
| US11252200B2 (en) * | 2019-04-25 | 2022-02-15 | Charter Communications Operating, Llc | Apparatus and method for P-CSCF failure detection and processing |
| EP3799379B1 (de) * | 2019-09-27 | 2023-03-01 | Deutsche Telekom AG | Verfahren und ip-basiertes kommunikationssystem zum wechseln von verbindungs-steuerungsinstanzen ohne neuregistrierung von endteilnehmern |
| US20210281646A1 (en) * | 2020-03-03 | 2021-09-09 | Comcast Cable Communications, Llc | Methods, systems, and apparatuses for voice restoration for originating calls |
| US11765618B2 (en) * | 2020-03-20 | 2023-09-19 | Nokia Technologies Oy | Wireless communication system |
| US11770389B2 (en) * | 2020-07-16 | 2023-09-26 | Vmware, Inc. | Dynamic rekeying of IPSec security associations |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7543182B2 (en) * | 2006-01-12 | 2009-06-02 | International Business Machines Corporation | Automated failover system for logical partitions |
| DE102006014594A1 (de) * | 2006-03-29 | 2007-10-04 | Siemens Ag | Verfahren zum Wiederherstellen einer mit IPsec kryptographisch gesicherten Verbindung |
| US8427938B2 (en) * | 2009-05-14 | 2013-04-23 | Avaya Inc. | Virtual local area network server redundancy and failover to enable seamless mobility in the mobility domain |
| JP5537349B2 (ja) | 2010-02-11 | 2014-07-02 | Kddi株式会社 | 端末の接続を継続した状態でsipサーバを変更する方法及びシステム |
| US20150304235A1 (en) * | 2014-04-17 | 2015-10-22 | Go Daddy Operating Company, LLC | Allocating and accessing website resources via domain name routing rules |
-
2012
- 2012-04-23 US US14/395,844 patent/US9417975B2/en active Active
- 2012-04-23 EP EP12718158.4A patent/EP2842294B1/en active Active
- 2012-04-23 CN CN201280072599.9A patent/CN104247374B/zh active Active
- 2012-04-23 WO PCT/EP2012/057367 patent/WO2013159804A1/en active Application Filing
- 2012-04-23 KR KR1020147032621A patent/KR101777187B1/ko active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| EP2842294A1 (en) | 2015-03-04 |
| KR20150002870A (ko) | 2015-01-07 |
| WO2013159804A1 (en) | 2013-10-31 |
| EP2842294B1 (en) | 2016-02-24 |
| KR101777187B1 (ko) | 2017-09-11 |
| CN104247374A (zh) | 2014-12-24 |
| US20150121123A1 (en) | 2015-04-30 |
| US9417975B2 (en) | 2016-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104247374B (zh) | 用于客户端相关的安全关联的故障转移功能 | |
| TWI289984B (en) | Method and system for handling service failures | |
| US10278106B2 (en) | Optimizations for voice handovers over wireless data access | |
| CA2612847C (en) | Exchange and use of globally unique device identifiers for circuit-switched and packet switched integration | |
| CN104823412B (zh) | 对等体复活检测的方法及装置 | |
| CN105580343B (zh) | Ip多媒体子系统、代理会话控制装置以及通信控制方法 | |
| US20130091546A1 (en) | Transmitting Authentication Information | |
| CN103685163B (zh) | Ims网络中的容灾方法、系统和设备 | |
| EP3262806B1 (en) | P-cscf recovery and reregistration | |
| WO2017036227A1 (zh) | 一种实现终端被叫业务恢复的方法及装置 | |
| CN103098439B (zh) | 用于维持用于紧急服务的注册的方法和设备 | |
| CN104185220A (zh) | Ims核心网设备失效切换方法和边缘接入控制设备 | |
| CN108293042B (zh) | 在互联网协议多媒体子系统中控制服务的方法和设备 | |
| EP2283628B1 (en) | Ims performance monitoring | |
| KR20150060248A (ko) | Ims 네트워크의 클라우드 시스템 | |
| CN101159761B (zh) | 注册状态订阅的处理方法 | |
| CN110784943B (zh) | 一种VoWiFi语音业务断网重连的处理方法和装置 | |
| CN103001935A (zh) | Ils网络的ue在ims网络中的认证方法和系统 | |
| US20130339531A1 (en) | Method and apparatus for transmitting an identity | |
| EP3214818B1 (en) | Method for an enhanced monitoring and/or synchronization between network nodes of an ip multimedia subsystem network, telecommunications network, system, program and computer program product | |
| EP4228223A1 (en) | Communication control mechanism with cloud based call state control function | |
| US20150264629A1 (en) | User location based network registration | |
| JP7045129B2 (ja) | セッション制御サーバの切り替え方法、管理サーバ及びプログラム | |
| EP4203541A1 (en) | User plane function (upf) decomposition | |
| JP2011172036A (ja) | 登録中の端末が接続するsipサーバを変更する方法、サーバ及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |