CN107925848B - 用于跨多个平面的标识管理的方法和系统 - Google Patents

Abstract

这里的实施例提供了用于跨多个平面的标识管理的方法。该方法包括由MCPTT服务器从信令平面实体接收在第一MCPTT客户端与一个或多个第二MCPTT客户端之间建立呼叫的第一请求消息。第一请求消息包括一个或多个第二MCPTT客户端的应用平面标识。此外，方法包括在MCPTT服务器处将该一个或多个第二MCPTT客户端的应用平面标识转换为一个或多个第二MCPTT客户端的信令平面标识。此外，方法还包括MCPTT服务器经由信令平面实体向第二MCPTT客户端发送包括一个或多个第二MCPTT客户端的信令平面标识的一个或多个第二请求消息，以建立呼叫。

Description

用于跨多个平面的标识管理的方法和系统

技术领域

本公开的主题涉及无线通信，并且更具体地，涉及用于跨多个平面的标识管理的机制。

背景技术

用于公共安全的关键任务通信在电信标准化行业、国家监管机构、电信服务提供商、网络供应商、设备制造商等中具有重大利益，并被认为是非常重要的。随着公共安全和关键通信社区内对确保长期演进(Long-Term Evolution，LTE)作为用于公共安全通信的下一代平台持续增加的兴趣，超越诸如计划25(Project 25，P25)和陆地集群无线电(Terrestrial Trunked Radio，TETRA)系统等的传统窄带技术，第三代合作伙伴计划(Third Generation Partnership Project，3GPP)针对版本13(Release 13)建立了一个新的工作项目“关键任务一键通”(Mission Critical Push To Talk，MCPTT)。在3GPP中这项工作的主要目标是创建满足全局所有关键通信用户的需求的单一通用标准。

同时，采用诸如接近服务(Proximity Services，ProSe)和组通信服务使能器(Group Communication Services Enabler，GCSE)等举措，基于LTE的公共安全(PublicSafety over LTE，PS-LTE)标准已经存在于3GPP内的开发中。自3GPP版本12以来，MCPTT负责开发关键任务应用的整体应用和服务层方面。然而，预计MCPTT在必要时将利用诸如ProSe和GCSE的基础技术以实现MCPTT的要求。

为了支持用于MCPTT应用的多种部署模型，应用平面和信令平面的管理由不同的组织来处理，可以想象将会有两个或更多不同的标识(即一些在应用平面，另一些在信令平面)。换句话说，每个平面或域定义了它们自己的标识。

在考虑用于MCPTT应用的基于互联网协议(Internet Protocol，IP)多媒体子系统(Multimedia Subsystem，IMS)的体系结构(即，会话发起协议(Session InitiationProtocol，SIP)核心)方面做出了大量努力。然而，针对MCPTT服务，可能需要使用与IMS/LTE(例如，公共陆地移动网络(Public Land Mobile Network，PLMN))运营商所分配的移动/服务订户标识分开的其自身标识。这是由于下面的MCPTT要求。

MCPTT服务支持具有全局唯一标识的MCPTT用户，独立于由3GPP网络运营商为UE分配的国际移动订户标识(International Mobile Subscriber Identity，IMSI)。MCPTT标识应该是MCPTT应用服务域的一部分。MCPTT标识应形成用于MCPTT服务的MCPTT应用层安全性的基础。

当MCPTT UE开机时，它接入LTE系统，并连接到演进分组核心(Evolved PacketCore，EPC)。在此阶段期间，来自与MCPTT UE相关联的通用集成电路卡(UniversalIntegrated Circuit Card，UICC)上的通用订户标识模块(Universal SubscriberIdentity Module，USIM)应用(或可能地，如果使用IMS，则可能是ISIM应用)的凭证被用于与归属订户服务器(Home Subscriber Server，HSS)认证。紧接着位于MCPTT UE上的MCPTT应用在它的连接中采用MCPTT应用层安全性建立到MCPTT服务的连接。

此外，在当MCPTT服务提供商和IMS运营商是独立的一些场景中，由于下面的MCPTT要求，需要具有MCPTT用户标识和关键任务组织保密性(即，在MCPTT服务提供商和IMS运营商之间保持的MCPTT ID隐藏)。MCPTT服务应支持关键任务组织的标识的保密性。

MCPTT还具有用于从UE池共享UE的要求，即，每个UE可与任何其他UE互换，并且用户从池中随机选择一个或多个UE。基于MCPTT的要求和场景，需要建立、存储和利用MCPTT标识与IMS(SIP Core)运营商分配的标识之间的关系，以用于IMS(SIP核心)上的MCPTT服务的无缝操作。

因此，期望解决以上提及的缺点或者至少提供有用的替代方案。

发明内容

技术问题

这里的实施例的主要目的是提供用于跨多个平面的标识管理的方法和系统。

这里的实施例的另一目的是提供用于由MCPTT服务器从信令平面实体接收在第一MCPTT客户端与第二MCPTT客户端之间建立呼叫的第一请求消息的方法和系统。

这里的实施例的另一目的是提供用于在MCPTT服务器处将第二MCPTT客户端的应用平面标识转换为第二MCPTT客户端的信令平面标识的方法和系统。

这里的实施例的另一目的是提供用于由MCPTT服务器将包括一个或多个第二MCPTT客户端的信令平面标识的一个或多个第二请求消息发送到信令平面实体以建立呼叫的方法和系统。

这里的实施例的另一目的是提供用于在由第一MCPTT客户端发送的第一请求消息中对第一MCPTT客户端的应用平面标识和一个或多个第二MCPTT客户端的应用平面标识进行加密的方法和系统。

这里的实施例的另一目的是提供用于对第一MCPTT客户端的应用平面标识和一个或多个第二MCPTT客户端的应用平面标识进行解密的方法和系统。

这里的实施例的另一目的是提供用于在MCPTT服务器发送的请求消息中对一个或多个第二MCPTT客户端的信令平面标识进行加密的方法和系统。

技术方案

因此，这里的实施例公开了用于跨多个平面的标识管理的方法。该方法包括由MCPTT服务器从信令平面实体接收在第一MCPTT客户端与一个或多个第二MCPTT客户端之间建立呼叫的第一请求消息。第一请求消息包括第一MCPTT客户端的应用平面标识和一个或多个第二MCPTT客户端的应用平面标识。此外，该方法包括在MCPTT服务器处将一个或多个第二MCPTT客户端的应用平面标识转换为一个或多个第二MCPTT客户端的信令平面标识。此外，该方法还包括由MCPTT服务器经由信令平面实体将包括一个或多个第二MCPTT客户端的信令平面标识的一个或多个第二请求消息发送到第二MCPTT客户端，以建立呼叫。

在实施例中，将一个或多个第二MCPTT客户端的应用平面标识转换为一个或多个第二MCPTT客户端的信令平面标识包括：从标识管理实体识别一个或多个第二MCPTT客户端的信令平面标识。

在实施例中，将第二MCPTT客户端的应用平面标识转换成第二MCPTT客户端的信令平面标识包括：检索与应用平面标识相关联的第二MCPTT客户端中的每一个的MCPTT客户端标识，并从标识管理实体识别对应于第二MCPTT标识中的每一个的信令平面标识。

在实施例中，一个或多个第二MCPTT客户端的信令平面标识是预定义的，并且在服务注册期间被存储在标识管理实体中。

在实施例中，标识管理实体被存储在MCPTT服务器、组管理服务器和信令平面域实体中的一个处。

在实施例中，应用平面标识是MCPTT客户标识和MCPTTT组标识之一。

在实施例中，信令平面标识是公共用户标识。

在实施例中，信令平面标识是IP多媒体公共标识(IP Multimedia PublicIdentity，IMPU)。

在实施例中，信令平面标识是电话统一资源标识符(tel Uniform ResourceIdentifier，tel URI)。

在实施例中，信令平面标识是移动订户综合业务数字网络(Mobile SubscriberIntegrated Services Digital Network，MSISDN)标识。

在实施例中，信令平面实体是会话发起协议(Session Initiation Protocol，SIP)核心信令平面实体、IMS核心信令平面实体和HSS实体中的一个。

在实施例中，第一请求消息中的第一MCPTT客户端的应用平面标识和一个或多个第二MCPTT客户端的应用平面标识由第一MCPTT客户端加密。

在实施例中，MCPTT服务器通过获取与第一MCPTT客户端相关联的安全密钥来解密第一MCPTT客户端的应用平面标识和一个或多个第二MCPTT客户端的应用平面标识。

在实施例中，MCPTT服务器对一个或多个第二请求消息中的一个或多个第二MCPTT客户端的应用平面标识进行加密，其中，MCPTT服务器将加密后的应用平面标识发送到第一MCPTT客户端。

因此，这里的实施例公开了用于跨多个平面的标识管理的方法。该方法包括由信令平面实体从第一MCPTT客户端接收建立与一个或多个第二MCPTT客户端的呼叫的第一请求消息。第一请求消息包括一个或多个第二MCPTT客户端的应用平面标识。此外，该方法包括：由信令平面实体将第一请求消息发送到MCPTT服务器。此外，该方法包括由信令平面实体从MCPTT服务器接收一个或多个第二请求消息以建立到一个或多个第二MCPTT客户端的呼叫。一个或多个第二请求消息包括一个或多个第二MCPTT客户端的一个或多个信令平面标识。

因此，这里的实施例公开了用于跨多个平面的标识管理的MCPTT服务器。MCPTT服务器包括耦合到存储器单元的处理器单元。处理器单元被配置为从信令平面实体接收在第一MCPTT客户端与一个或多个第二MCPTT客户端之间建立呼叫的第一请求消息。第一请求消息包括一个或多个第二MCPTT客户端的应用平面标识。处理器单元还被配置为将一个或多个第二MCPTT客户端的应用平面标识转换为一个或多个第二MCPTT客户端的信令平面标识。处理器单元还被配置为将包括一个或多个第二MCPTT客户端的信令平面标识的一个或多个第二请求消息发送到信令平面实体，以建立呼叫。

因此，这里的实施例公开了用于跨多个平面的标识管理的信令平面实体。信令平面实体包括耦合到存储器单元的处理器单元。处理器单元被配置为从第一MCPTT客户端接收与一个或多个第二MCPTT客户端建立呼叫的第一请求消息。第一请求消息包括一个或多个第二MCPTT客户端的应用平面标识。处理器单元还被配置为将第一请求消息发送到MCPTT服务器。处理器单元还被配置为从MCPTT服务器接收一个或多个第二请求消息。第二请求消息包括一个或多个第二MCPTT客户端的至少一个信令平面标识。处理器单元还被配置为基于信令平面标识建立与一个或多个第二MCPTT客户端的呼叫。

因此，这里的实施例公开了用于跨多个平面的标识管理的系统。该系统包括信令平面实体，其被配置为从第一MCPTT客户端接收第一请求消息，以与一个或多个第二MCPTT客户端建立呼叫。第一请求消息包括一个或多个第二MCPTT客户端的应用平面标识。信令平面实体被配置为发送第一请求消息。MCPTT服务器被配置为从信令平面实体接收第一请求消息。MCPTT服务器还被配置为将一个或多个第二MCPTT客户端的应用平面标识转换为一个或多个第二MCPTT客户端的信令平面标识。MCPTT服务器还被配置为将包括一个或多个第二MCPTT客户端的信令平面标识的一个或多个第二请求消息发送到信令平面实体，以建立呼叫。信令平面实体被配置为从MCPTT服务器接收一个或多个第二请求消息。信令平面实体被配置为基于信令平面标识与一个或多个第二MCPTT客户端建立呼叫。

当结合考虑下面的描述和附图时，将更好地领会和理解这里的实施例的这些和其他方面。然而，应该理解的是，下面的描述虽然指示了优选实施例及其许多具体细节，但是是以举例说明而非限制的方式给出。可以在这里的实施例的范围内进行许多改变和修改，而不脱离它们的范围和精神，并且这里的实施例包括全部这种修改。

附图说明

在附图中示出了本发明，贯穿整个附图，相同的参考标记在不同附图中指示对应部分。从下面参照附图的描述将更好地理解这里的实施例，其中：

图1是根据这里公开的实施例的MCPTT系统的概况；

图2示出了根据这里公开的实施例的用于网络的MCPTT功能模型；

图3示出了根据这里公开的实施例的用于UE的MCPTT功能模型；

图4示出了根据这里公开的实施例的MCPTT服务器的各个单元；

图5示出了根据这里公开的实施例的信令平面实体的各个单元；

图6是示出根据这里公开的实施例的，用于MCPTT服务器处的跨多个平面的标识管理的方法的流程图；

图7是示出根据这里公开的实施例的，用于信令平面实体处的跨多个平面的标识管理的方法的流程图；

图8是示出根据这里公开的实施例的，用于映射表创建过程的各种信令消息的序列图；

图9是示出根据这里公开的实施例的，用于MCPTT私人呼叫设立的各种信令消息的序列图；

图10是示出根据这里公开的实施例的，用于使用映射表进行ID转换的各种信令消息的序列图；

图11是示出根据这里公开的实施例的，用于预先布置的组呼叫设立的各种信令消息的序列图；

图12是示出根据这里公开的实施例的，用于涉及来自多个MCPTT系统的组的组呼叫的各种信令消息的序列图；

图13a至图13e是示出根据这里公开的实施例的，用于标识隐藏的信令消息的序列图；

图14至16是示出根据这里公开的实施例的，用于使用标识(ID)隐藏实体进行标识隐藏的信令消息的序列图；

图17示出了根据这里公开的实施例的，由组呼叫中涉及的MCPTT客户端和MCPTT服务器插入的SIP报头和SIP主体(body)的内容；

图18示出了根据这里公开的实施例的，由私人呼叫中涉及的MCPTT客户端和MCPTT服务器插入的SIP报头和SIP主体的内容；以及

图19示出了根据这里公开的实施例的，实施用于跨多个平面的标识管理的机制的计算环境。

具体实施方式

这里的实施例及其它们的各种特征和有利细节将参考在附图中示出并且在下面描述中详细描述的非限制性实施例来更完整地解释。省略对熟知的组件和处理技术的描述，以免不必要地模糊这里的实施例。而且，这里描述的各种实施例不是必需相互排斥的，因为某些实施例可以与一个或多个其他实施例结合以形成新的实施例。这里使用的术语“或”是指非排他性的或，除非另有指示。这里使用的示例仅仅是意图方便对这里的实施例可以被实践的方式的理解，并且进一步使得本领域技术人员能够实践这里的实施例。因此，这些示例不应被解释为限制这里的实施例的范围。

贯穿整个描述，术语“IMS”和“SIP核心”可互换使用。

这里的实施例实现了用于跨多个平面的标识管理的方法。该方法包括由MCPTT服务器从信令平面实体接收在第一MCPTT客户端与一个或多个第二MCPTT客户端之间建立呼叫的第一请求消息。第一请求消息包括一个或多个第二MCPTT客户端的应用平面标识。此外，该方法包括在MCPTT服务器处将一个或多个第二MCPTT客户端的应用平面标识转换为一个或多个第二MCPTT客户端的信令平面标识。此外，该方法包括由MCPTT服务器将包括一个或多个第二MCPTT客户端的信令平面标识的一个或多个第二请求消息发送到信令平面实体，以建立呼叫。

所提出的方法可用于在单个服务内跨多个平面执行标识映射和转换。所提出的方法可用于提供一种机制，通过该机制，利用MCPTT系统的用户之间的多个标识的概念以及存储映射信息的逻辑位置来支持注册和非注册过程。

所提出的方法可用于提供对信令平面隐藏应用级别标识(即，加密标识)的机制。所提出的方法可用于识别MCPTT域中的安全关联，而不是相同域的标识(可以是较低层的标识或相同层的标识)，因为相同域的标识在被接收到时被加密。该过程使用经由其他域的标识(即，信令域的标识)到应用域处的安全关联(SA)的映射来实现。

在实施例中，IMPU和MCPTT ID的标识绑定被用于唯一地识别用于应用层标识加密的加密密钥。

现在参考附图，更具体地参考图1至图19，其示出了优选实施例，其中贯穿整个附图，相似的参考标记始终表示对应的特征。

图1是根据这里公开的实施例的MCPTT系统的概况。MCPTT系统包括UE 100、运营商域200和MCPTT服务器300。MCPTT系统定义可共享的UE100的概念。在实施例中，可共享的MCPTT UE 100可被认为是UE池，在其中每个UE可与任何其他MCPTT响应者/用户(公共安全(Public Safety，PS)代理)互换，并且MCPTT用户/响应者/PS代理随机地从池里选择一个或更多个能够实现MCPTT的UE 100。在实施例中，可共享的MCPTT UE 100可以由能获得对存储在UE 100上的MCPTT客户端102的接入，并且能变成认证的MCPTT用户的用户使用。

此外，UE 100包括MCPTT客户端102、信令用户代理104和LTE模块106。运营商域200包括基站202、主网关/次网关204、代理呼叫会话控制功能(Proxy-Call Session ControlFunction，P-CSCF)206、服务CSCF(208)、订户数据库210和移动性管理实体(MobilityManagement Entity，MME)212。

MCPTT系统利用以下方面来使能对MCPTT服务的支持：在3GPP TS23.228标准中定义的IMS体系结构、在3GPP TS 23.303标准中定义的ProSe体系结构、在3GPP TS 23.468标准中定义的用于LTE体系结构的组通信系统使能器(Group Communication SystemEnablers for LTE，GCSE_LTE)和在3GPPTS 23.237标准中定义的分组交换(PacketSwitched，PS)-分组交换(PacketSwitched，PS)接入传送过程。UE 100主要使用在3GPP TS23.401标准中定义的EPS体系结构经由演进通用陆地无线接入(Evolved UniversalTerrestrial Radio Access，E-UTRAN)获得对MCPTT服务的接入。可以使用E-UTRAN中的MCPTT UE或者使用经由非3GPP接入网络(例如，WLAN接入网络)的MCPTT UE来支持某些MCPTT功能(诸如调度和管理功能)。

此外，在MCPTT系统中，将基于IMS参考点来操作信令平面。信令平面对建立MCPTT呼叫或其他类型的服务中涉及的UE 100的用户的关联提供必要的信令支持。信令平面还提供服务接入并且控制服务的操作。信令控制平面使用承载平面的服务。当应用平面和信令平面携带不同的标识时，需要转换两个平面之间的标识并保持它们之间的映射。应用平面提供用户需要的服务(例如呼叫控制，发言权控制等)的全部以及支持媒体控制和传送所必需的功能。应用平面使用信令平面的服务来支持这些需要。应用平面还为媒体会议提供媒体的代码转换并提供音调和通告。

基于用户-设备关系(例如，一对一用户设备关系、一对多用户设备关系或者多对一用户设备的关系)，在设计解决方案体系结构时需要建立和考虑各种类型的映射信息场景。此外，定义如何用多个标识(例如，MCPTT系统的私人呼叫、多个用户之间的组呼叫)的概念以及存储映射信息的逻辑位置支持注册和非注册过程的方法是必要的，如此能方便地接入需要这种映射信息的MCPTT系统的功能实体。

MCPTT服务支持多个用户(即，组呼叫)之间的通信，其中每个用户都具有以仲裁方式取得通话权限接入的能力。MCPTT服务还支持两个用户之间的私人呼叫。

此外，MCPTT系统包括信令平面实体和MCPTT服务器300。信令平面实体可以是，例如但不限于SIP核心信令平面实体(例如，P-CSCF 206和S-CSCF 208)、IMS核心信令平面实体以及HSS实体(例如，订户数据库210)。信令平面实体被配置为接收通过MCPTT服务器300在第一MCPTT客户端与一个或多个第二MCPTT客户端之间建立呼叫的第一请求消息。第一请求消息包括一个或多个第二MCPTT客户端的应用平面标识。应用平面标识可以是，例如但不限于MCPTT客户端标识和MCPTT组标识。MCPTT服务器300被配置为从信令平面实体接收第一请求消息，并将一个或多个第二MCPTT客户端的应用平面标识转换为一个或多个第二MCPTT客户端的信令平面标识。信令平面标识可以是公共用户标识。在实施例中，一个或多个第二MCPTT客户端的信令平面标识是预定义的，并且在服务注册(即，SIP注册)期间被存储在标识管理实体中。标识管理实体被存储在MCPTT服务器300、组管理服务器和信令平面域实体中的一个处。

在实施例中，通过从标识管理实体识别一个或多个第二MCPTT客户端的信令平面标识，将一个或多个第二MCPTT客户端的应用平面标识转换到一个或多个第二MCPTT客户端的信令平面标识。

在实施例中，通过检索与应用平面标识相关联的第二MCPTT客户端中的每一个的MCPTT客户端标识，并且从标识管理实体识别与第二MCPTT标识的每一个对应的信令平面标识，来将一个或多个第二MCPTT客户端的应用平面标识转换到一个或多个第二MCPTT客户端的信令平面标识。

基于将一个或多个第二MCPTT客户端的应用平面标识转换为一个或多个第二MCPTT客户端的信令平面标识，MCPTT服务器300被配置为将包括一个或多个第二MCPTT客户端的信令平面标识的消息发送到信令平面实体，以建立呼叫。

此外，在实施例中，第一MCPTT客户端的应用平面标识和第一请求消息中的一个或多个第二MCPTT客户端的应用平面标识由第一MCPTT客户端加密。

在实施例中，MCPTT服务器300通过获取与第一MCPTT客户端相关联的安全密钥来解密第一MCPTT客户端的应用平面标识和一个或多个第二MCPTT客户端的应用平面标识。

在实施例中，在一个或多个第二请求消息中的一个或多个第二MCPTT客户端的应用平面标识由MCPTT服务器300加密。此外，MCPTT服务器300将加密后的应用平面标识发送给第一MCPTT客户端。MCPTT服务器300被配置为获取与第二MCPTT客户端相关联的安全密钥用于加密处理。

图1示出了MCPTT系统的有限概况，但是应该理解，其他实施例不限于此。此外，MCPTT系统包括彼此通信的任何数量的硬件或软件组件。

图2示出了根据这里公开的实施例的用于网络的MCPTT功能模型。MCPTT功能模型在MCPTT服务提供商域/应用平面400和IMS域/信令平面450之间操作。MCPTT服务提供商域/应用平面400包括ID管理服务器402、MCPTT AS 404、组管理服务器406和MCPTT标识408。IMS域/信令平面450包括SIP核心452和SIP标识454。MCPTT系统中的功能模型可能被涉及到实现不同标识之间的映射。与传统机制不同，跨越应用平面和信令平面之间的边界的每个消息需要标识转换操作，使得平面中的每一个在满足不同平面之间的各自的标识的要求的同时，能够用它们自己的平面标识对用户进行寻址。

图3示出了根据这里公开的实施例的用于UE 100的MCPTT功能模型。UE 100包括SIP用户代理104和MCPTT客户端102。此外，MCPTT系统中的MCPTT功能模型包括MCPTT用户标识和公共用户标识。MCPTT用户标识在MCPTT AS 404或应用平面处唯一地识别MCPTT用户和相关联的用户简档。MCPTT用户标识也被称为MCPTT ID。公共用户标识在IMS域450中也被称作IP多媒体公共标识(IP Multimedia Public Identity，IMPU)。它与信令控制平面层处的简档相关联。MCPTT用户代理与MCPTT服务器300之间的所有信令消息利用公共用户标识作为标识符，以使信令消息能够通过MCPTT系统被路由。该标识履行与3GPP TS 23.228标准中定义的公共用户标识相同的功能。

MCPTT用户标识与公共用户标识之间存在下面的关系：

在实施例中，由MCPTT用户标识所标识的用户可以从由公共用户标识所标识的MCPTT客户端102接入MCPTT AS 404服务。

在实施例中，单个MCPTT用户标识可以具有多于一个的公共用户标识(以支持多个UE)。

在实施例中，MCPTT ID可以被映射到一个或多个公共用户标识(例如多个UE、共享UE)。

在实施例中，公共用户标识可以被映射到一个或多个MCPTT ID(例如，UE到网络中继)。

在实施例中，MCPTT ID可以被映射到一个或多个公共的全球可路由用户代理URI(Globally Routable User Agent URI，GRUU)(例如，从多个UE登录的用户、共享相同UE的多个用户)。

在实施例中，多个MCPTT用户标识可以被映射到单个公共用户标识(以支持共享UE)。

下表描述了应用平面标识(即，MCPTT ID)和信令平面标识(即，IMPU)之间的关系。

【表格1】

IMPU-1A表示用户1的设备#1的IMPU

IMPU-1B表示用户1的设备#2的IMPU

ID-1A表示用户1的MCPTT ID

表1还示出了一对一用户设备关系、一对多用户设备关系以及多对一用户设备关系。

MCPTT用户标识与公共用户标识之间的这种关系可以在MCPTT应用域中保持。MCPTT应用域可以是，例如但不限于MCPTT服务器300、标识管理实体或其他类型的独立功能实体。根据在何处执行标识转换，MCPTT用户标识和公共用户标识之间的这种关系可以容易地被诸如组管理服务器和MCPTT服务器的其他应用域功能接入或在IMS运营商域(例如IMS核心、HSS或信令平面中的其他实体)中接入。

在实施例中，MCPTT服务器300被配置为管理MCPTT ID与公共用户标识之间的映射。

在实施例中，MCPTT服务器300被配置为管理MCPTT ID和公共GRUU之间的映射。

在实施例中，临时GRUU通过SIP核心542被映射到公共GRUU。

如果标识转换是由MCPTT应用域执行的，则MCPTT用户标识和公共用户标识之间的关系可以被存储在应用域实体(如MCPTT服务器300、标识管理实体、可以容易地被诸如组管理服务器和MCPTT服务器的其他应用域功能接入的其他普通功能实体)中。此外，如果标识关系被存储在MCPTT服务器300之外，则MCPTT服务器300负责处理MCPTT服务请求。MCPTT服务请求可以使用用于地址转换的标识之间的关系，或者存储标识关系的实体向MCPTT服务器300提供地址标识转换。

如果标识转换由IMS信令平面域执行，则MCPTT用户标识和公共用户标识之间的关系可以被存储在如IMS核心、HSS等的信令平面域实体中。此外，如果标识关系被存储在IMS核心之外，则IMS核心可以使用用于地址转换的标识之间的关系，或者存储标识关系的实体向IMS核心提供标识转换。

当MCPTT服务提供商和家庭网络运营商是相同组织的一部分时，信令平面处的公共用户标识在应用平面处标识MCPTT用户。在这种情况下，不需要地址转换。

在实施例中，当MCPTT服务提供商和家庭PLMN运营商是相同信任域的一部分时，SIP信令控制平面中的公共用户标识也可以在应用平面处标识MCPTT用户。

在实施例中，当MCPTT服务提供商和家庭PLMN运营商是相同信任域的一部分时，SIP信令控制平面中的公共服务标识也可以在应用平面标识MCPTT组ID。

非共享UE场景中的标识转换：

注册请求：UE 100生成用于MCPTT服务注册的SIP REGISTER请求。关于用户的MCPTT标识的信息被包括在SIP REGISER请求的SIP起始报头(from header)中，并且在MCPTT服务器300处被用于服务注册和认证。SIP报头除了起始报头的其他值与标准SIP(IMS)的过程相同。SIP核心542(例如，IMS域等)名称、用户的IMPU、UE 100的IP地址分别被包括在请求URI、到达报头(to header)和联系人报头(contact header)中。联系人报头中还携带了用于MCPTT服务的ICSI。在接收到SIP REGISTER请求并且随后成功注册到SIP核心452和MCPTT服务提供商两者之后，将用户的MCPTT用户标识与信令平面公共用户标识之间的关系信息存储在应用域和/或信令域。

非注册请求(单个MCPTT系统1-1请求)：填充用于1-1请求的非注册请求(例如SIPINVITE、SIP BYE)的实体(发起UE 100、终止UE 100、或发起MCPTT服务器300、终止MCPTT服务器300)将包括以下报头：

请求URI：取决于场景的目标用户的MCPTT用户标识或者目标用户的公共用户标识

起始报头：发起方的MCPTT用户标识(或者当主体携带MCPTT ID时可以是任何参数)

到达报头：目标用户的MCPTT用户标识(或者当主体中携带MCPTT ID时可以是任何参数)

P优先标识(P-preferred-identity)报头：发起方的公共用户标识

联系人：MCPTT发起方UE的IP地址

P优先服务(P-preferred-service)报头：MCPTT服务标识符

在MCPTT应用域，由于MCPTT应用域不知晓针对目标用户的公共用户标识，因此填充非注册请求的实体可以在请求URI中仅包括目标用户的MCPTT用户标识。在IMS运营商域处接收到请求时，它使用MCPTT服务标识符将请求路由到MCPTT服务器300。公共用户标识是在IMS运营商域处为了路由目的(即，用于处理请求并将请求路由到在MCPTT应用域中可识别的目标用户)通常所需要的标识。然后MCPTT服务器300从存储的MCPTT用户标识与用户的信令平面公共用户标识之间的关系信息中获得与该目标用户的MCPTT用户标识对应的公共用户标识，并将该目标用户的MCPTT用户标识替换为目标用户的公共用户标识。然后，向目标MCPTT用户传递非注册请求的剩余步骤与3GPP过程一样。

非注册请求(组请求)：填充用于组请求的非注册请求(例如SIP INVITE、SIP BYE)的实体(发起UE、终止UE、或发起MCPTT服务器、终止MCPTT服务器)将包括如下报头：

请求URI：公共服务标识符(预先配置在MCPTT组和成员配置元数据中)

起始报头：发起方的MCPTT ID(或者当主体中携带主叫方的MCPTT ID时可以是任何参数)

到达报头：组的MCPTT ID(或者当主体中携带组的MCPTT ID时可以是任何参数)

P优先标识(P-preferred-identity)报头：发起方的公共用户标识

联系人：MCPTT发起方UE的IP地址

P优先服务(P-preferred-service)报头：MCPTT服务标识符

针对类似组呼叫的场景，填充非注册请求的实体不知晓组成员的公共用户标识。从而在非注册请求中请求URI报头需要包括公共服务标识。公共服务标识标识组所有者或MCPTT服务器300，且在MCPTT服务器300处定义具体的组或托管组呼叫。为了在请求URI中填充公共服务标识，当请求MCPTT的用户是该组的成员时，MCPTT客户端102可以从组管理服务器中的组定义的元数据中获得该信息。MCPTT系统可以通过超文本传输协议(HypertextTransfer Protocol，HTTP)请求，从组定义中获取公共服务标识。

非注册请求可以在报头中包括MCPTT组标识，组所有者将使用该报头将MCPTT组标识解析为它的组成员的MCPTT用户标识。在IMS运营商域处接收到请求时，它将使用MCPTT服务标识符将请求路由到MCPTT服务器300。如果具有公共服务标识的请求URI不属于所接收的MCPTT系统，则它将该未注册请求转发回IMS核心以处理该请求。IMS核心查看请求URI能在MCPTT应用域中被标识的请求URI，以将请求路由到定义组的适当的目标MCPTT系统。在公共服务标识被定义(即，组被定义)的MCPTT服务器300处，MCPTT服务器300向其成员解析MCPTT组标识。MCPTT服务器300保持该组，MCPTT服务器300获得与组成员中的每一个的MCPTT用户标识对应的公共用户标识。MCPTT服务器300可能必须联系不同的MCPTT系统用于获得所存储的MCPTT用户标识与用户的信令平面公共用户标识之间的关系信息，如在多个MCPTT系统场景中的标识转换中所解释的。此外，在向IMS运营商域发送请求之前，将用于每个组成员的MCPTT用户标识替换为各自的公共用户标识，用于传递MCPTT用户标识。然后，向目标MCPTT用户传递非注册请求的剩余操作/功能如每个3GPP过程。

在实施例中，每个MCPTT组ID应该被映射到用于MCPTT服务器300的公共服务标识，其中在MCPTT服务器300处组被定义。MCPTT服务器300被配置为管理MCPTT组ID与公共服务标识之间的映射。

共享UE场景中的标识转换：

在实施例中，为了使共享UE概念为MCPTT服务工作，如何管理MCPTT用户标识和公共用户标识至少有三种方式。

预先配置每个UE的多个公共用户标识，每个公共用户标识与其各自的MCPTT用户标识相关联。

可以由多个MCPTT用户标识使用每个UE的一个公共用户标识。

基于MCPTT用户标识向UE动态地分配用户标识。

无论针对共享UE如何管理MCPTT用户标识和公共用户标识，MCPTT用户标识与用户的信令平面公共用户标识之间的关系是在IMS和MCPTT服务注册时建立的。从而，当MCPTT服务正被传递到共享UE时，MCPTT服务器300利用MCPTT用户标识和用户的信令平面公共用户标识之间的关系。

ID隐藏场景中的标识转换：

在实施例中，针对需要MCPTT用户标识隐藏的场景，非注册请求中的发起方或目标MCPTT用户标识被加密并且被携带在主体中或报头中。加密后的MCPTT用户标识可以仅由MCPTT运营商域解密，并且不能由IMS运营商域解密。用于MCPTT客户端和MCPTT服务器300之间的MCPTT用户标识隐藏的加密机制是预先约定的，并且可以利用现有的安全机制(如证书，令牌等)的任何一种来完成。

此外，MCPTT服务器300必须在经由IMS运营商域向目标MCPTT用户传递请求之前将在非注册请求中接收到的未加密的MCPTT用户标识替换为对应的公共用户标识。然而，接收具有加密的MCPTT用户标识的请求的UE 100可以在向MCPTT用户呈送请求之前解密。

多个MCPTT系统场景中的标识转换：

当诸如在MCPTT应用的互连场景中，需要执行标识转换并且将MCPTT用户标识与用户的信令平面公共用户标识之间的关系信息存储在另一MCPTT系统中(例如，因为MCPTT用户在另一MCPTT系统中是订户)时，一个MCPTT系统可以查询另一MCPTT系统以解析标识转换。在实施例中，MCPTT系统在全局唯一且全局可接入的数据库中保持MCPTT用户标识和用户的信令平面公共用户标识之间的关系信息，或者该关系信息可以在分布式数据库中。通过使用简单的HTTP查询等相关安全方法，在分布式系统中查询和检索关系信息的机制可以类似于两个MCPTT系统运营商之间的DNS查找或服务水平协议。在另一实施例中，可能存在到两个MCPTT系统之间的网络接口的专用网络以交换映射信息。从全局数据库获得关系信息的机制可以使用HTTP协议。

类似地，当发起或终止侧的MCPTT系统接收到仅包括目标用户的公共用户标识的非注册请求时，MCPTT服务器300可以在所存储的MCPTT用户标识和用户的信令平面公共用户标识之间的关系信息中进行反向查找以了解目标用户的MCPTT用户标识。

图4示出了根据这里公开的实施例的MCPTT服务器300的各个单元。MCPTT服务器300包括通信单元302、标识管理实体304、处理器单元306和存储器单元308。处理器单元306耦合到存储器单元308。处理器单元306被配置为从信令平面实体接收在第一MCPTT客户端100和一个或多个第二MCPTT客户端之间建立呼叫的第一请求消息。第一请求消息包括一个或多个第二MCPTT客户端的应用平面标识。应用平面标识可以是，例如但不限于MCPTT客户标识和MCPTTT组标识。接收到第一请求消息后，处理器单元306被配置为将一个或多个第二MCPTT客户端的应用平面标识转换为一个或多个第二MCPTT客户端的信令平面标识。信令平面标识可以是公共用户标识。在实施例中，一个或多个第二MCPTT客户端的信令平面标识是预定义的，并且在服务注册期间被存储在标识管理实体304中。标识管理实体被存储在MCPTT服务器300、组管理服务器、信令平面域实体等中的一个处。

在实施例中，通过从标识管理实体304识别一个或多个第二MCPTT客户端的信令平面标识来将一个或多个第二MCPTT客户端的应用平面标识转换到一个或多个第二MCPTT客户端的信令平面标识。

在实施例中，通过检索与应用平面标识相关联的第二MCPTT客户端中的每一个的MCPTT客户端标识，并且从标识管理实体304识别与第二MCPTT标识的每一个对应的信令平面标识，来将一个或多个第二MCPTT客户端的应用平面标识转换到一个或多个第二MCPTT客户端的信令平面标识。

基于将一个或多个第二MCPTT客户端的应用平面标识转换为一个或多个第二MCPTT客户端的信令平面标识，通信单元302被配置为将包括一个或多个第二MCPTT客户端的信令平面标识的一个或多个第二请求消息发送到信令平面实体，以建立呼叫。

此外，通信单元302被配置用于在内部单元之间进行内部通信以及经由一个或多个网络与外部设备通信。存储器单元308可以包括一个或多个计算机可读存储介质。存储器单元308可以包括非易失性存储元件。这种非易失性存储元件的示例可以包括磁性硬盘、光盘、软盘、闪存、或电气可编程存储器(electrically programmable memories，EPROM)或电气可擦除和可编程(electrically erasable and programmable，EEPROM)存储器的形式。另外，在一些示例中，存储器单元308可以被认为是非暂时性存储介质。术语“非暂时性”可以指示存储介质没有被体现在载波或传播信号中。然而，术语“非暂时性”不应被解释为存储器单元308是不可移动的。在一些示例中，存储器单元308可以被配置为存储比存储器更大量的信息。在某些示例中，非暂时性存储介质可以存储随时间变化(例如，在随机存取存储器(Random Access Memory，RAM)或高速缓存中)的数据。

虽然图4示出了MCPTT服务器300的示例性单元，但是应该理解，其他实施例不限于此。在其他实施例中，MCPTT服务器300可以包括更少或更多数量的单元。此外，单元的标号或名称仅用于说明的目的，并且不限制本发明的范围。在MCPTT服务器300中一个或多个单元可以被结合在一起以执行相同或基本相似的功能。

图5示出了根据这里公开的实施例的信令平面实体500的各个单元。信令平面实体500包括通信单元502、处理器单元504和存储器单元506。处理器单元504耦合到存储器单元506。信令平面实体可以是，例如但不限于SIP核心信令平面实体、IMS核心信令平面实体、HSS实体等。通信单元502被配置为从第一MCPTT客户端100接收建立与一个或多个第二MCPTT客户端的呼叫的第一请求消息。第一请求消息包括一个或多个第二MCPTT客户端的应用平面标识。基于从第一MCPTT客户端100接收第一请求消息，通信单元502被配置为向MCPTT服务器300发送第一请求消息。在将第一请求消息发送到MCPTT服务器300时，处理器单元504被配置为从MCPTT服务器300接收包括一个或多个第二MCPTT客户端的一个或多个信令平面标识的一个或多个第二请求消息。此外，处理器单元504被配置为基于信令平面标识来建立与一个或多个第二MCPTT客户端的呼叫。

此外，通信单元502被配置用于在内部单元之间进行内部通信以及经由一个或多个网络与外部设备通信。存储器单元506可以包括一个或多个计算机可读存储介质。存储器单元506可以包括非易失性存储元件。这种非易失性存储元件的示例可以包括磁性硬盘、光盘、软盘、闪存、或电气可编程存储器(EPROM)或电气可擦除和可编程(EEPROM)存储器的形式。另外，在一些示例中，存储器单元506可以被认为是非暂时性存储介质。术语“非暂时性”可以指示存储介质没有体现在载波或传播信号中。然而，术语“非暂时性”不应被解释为存储器单元506是不可移动的。在一些示例中，存储器单元506可以被配置为存储比存储器更大量的信息。在某些示例中，非暂时性存储介质可以存储随时间变化(例如，在随机存取存储器(RAM)或高速缓存中)的数据。

虽然图5示出了信令平面实体500的示例性单元，但是应该理解，其他实施例不限于此。在其他实施例中，信令平面实体500可以包括更少或更多数量的单元。此外，单元的标签或名称仅用于说明的目的，并且不限制本发明的范围。在信令平面实体500中，一个或多个单元可以被结合在一起以执行相同或基本类似的功能。

图6是示出根据这里公开的实施例的，用于在MCPTT服务器处跨多个平面的标识管理的方法600的流程图。在步骤602，方法600包括从信令平面实体接收建立第一MCPTT客户端和一个或多个第二MCPTT客户端之间的呼叫的第一请求消息。在实施例中，方法600允许通信单元302从信令平面实体接收建立第一MCPTT客户端100a与一个或多个第二MCPTT客户端100b或100c之间的呼叫的第一请求消息。在步骤604，方法600包括将一个或多个第二MCPTT客户端的应用平面标识转换为一个或多个第二MCPTT客户端100a的信令平面标识。在实施例中，方法600允许处理器单元304将一个或多个第二MCPTT客户端100b和100c的应用平面标识转换为至少一个第二MCPTT客户端100b或100c的信令平面标识。在步骤606，方法600包括将包括一个或多个第二MCPTT客户端的信令平面标识的一个或多个第二请求消息发送到信令平面实体，以建立呼叫。在实施例中，方法600允许通信单元302将包括一个或多个第二MCPTT客户端100b或100c的信令平面标识的一个或多个第二请求消息发送到信令平面实体，以建立呼叫。

方法600中的各种行为、动作、块、步骤等可以同时、以所呈现的顺序或以不同的顺序执行。此外，在一些实施例中，行为、动作、块、步骤等中的一些可以被省略、添加、修改、跳过等，而不脱离本发明的范围。

图7是示出根据这里公开的实施例的，用于在信令平面实体500处跨多个平面的标识管理的方法700的流程图；在步骤702，方法700包括从第一MCPTT客户端接收建立与一个或多个第二MCPTT客户端的呼叫的第一请求消息。在实施例中，方法700允许通信单元502从第一MCPTT客户端100a接收建立与一个或多个第二MCPTT客户端100b或100c的呼叫的第一请求消息。在步骤704，方法700包括将第一请求消息发送到MCPTT服务器300。在实施例中，方法700允许通信单元502将第一请求消息发送到MCPTT服务器300。在步骤706，方法700包括从MCPTT服务器300接收一个或多个第二请求消息以建立到一个或多个第二MCPTT客户端100b或100c的呼叫。在实施例中，方法700允许通信单元502从MCPTT服务器300接收一个或多个第二请求消息以建立到一个或多个第二MCPTT客户端100b或100c的呼叫。

方法700中的各种行动、动作、块、步骤等可以同时、以所呈现的顺序或以不同的顺序执行。此外，在一些实施例中，行动、动作、块、步骤等中的一些可以省略、添加、修改、跳过等，而不脱离本发明的范围。

图8是示出根据这里公开的实施例的，用于映射表创建过程的各种信令消息的序列图；在实施例中，可以为UE/用户动态地分配或预先分配SIP核心标识(即，私人和公共标识)。MCPTT标识(即MCPTT用户ID)、MCPTT公共ID和组ID是在UE 100(即，MCPTT客户端)中的预配置。组ID或MCPTT用户ID和/或MCPTT公共标识被被叫方(谁发起通信)用来标识被叫方(通信的另一个终止侧)，以用于服务建立。如果被叫方ID作为组ID寻址，那么它指的是多于一个的MCPTT用户ID。

在实施例中，UE 100向信令平面标识500注册(802)。基于该注册，在UE 100与信令平面标识500之间执行SIP核心认证过程(804)。信令平面标识500向MCPTT服务器300注册(806)。在注册之后，在UE 100与信令平面标识500之间执行MCPTT认证过程(808)。在信令平面标识500和MCPTT服务器300之间执行MCPTT认证过程(810)。在MCPTT认证过程之后，MCPTT服务器300生成映射表(812)。

在实施例中，UE 100生成用于MCPTT服务注册的SIP REGISTER请求。关于愿意注册的UE 100的用户的MCPTT用户标识的信息被包括在SIP REGISER请求的SIP起始报头中，并且经由SIP核心452被发送到MCPTT服务器300。该信息用于MCPTT AS 404处的服务注册和认证。除了起始报头之外，SIP报头的其他值与标准SIP(IMS)过程相同。SIP核心名称(例如，IMS域名称)、用户的IMPU、UE 100的IP地址分别被包括在请求URI、到达报头和联系人报头中。联系人报头中还携带了MCPTT服务标识符。在接收到SIP REGISTER请求之后，MCPTT AS404处理该请求并且在应用域(诸如标识管理服务器402和MCPTT AS 404)处存储用户的MCPTT ID与IMPU之间的映射信息。这仅仅是UE 100经由SIP核心452向MCPTT服务器300注册的注册过程的示例，然而，注册的顺序可能随实施选择而变化。

在实施例中，可以静态地创建映射表，其中IMPU被预分配给UE 100。如果网络保持静态映射表，则在注册消息中，UE 100可以不发送MCPTT用户ID。在成功注册之后，MCPTT服务器300可以参照映射过程将映射表中的标志设置为激活的，以指示注册成功完成。

在另一实施例中，如果IMPU对于用户是动态的，例如当使用共享UE时，那么IMPU可能属于UE(这意味着IMPI和IMPU可能被预先分配给UE)，在这种情况下，如图8所示生成映射表。

在另一实施例中，如果由MCPTT服务提供商域(例如，可以是标识管理服务器402)分配IMPU(例如，当使用受信任节点认证(Trusted Node Authentication，TNA)时，从IMPU池分配)，则标识管理服务器402可以在MCPTT服务器300和/或SIP核心452中动态地生成/填充映射表条目。

在实施例中，为了建立与一个或多个第二MCPTT客户端的呼叫，UE 100向信令平面实体注册。在向信令平面实体注册之后，在UE 100与信令平面实体之间执行SIP核心认证过程。在执行SIP核心认证过程之后，信令平面实体向MCPTT服务器300注册。基于SIP核心认证过程，在UE 300与信令平面实体之间执行MCPTT认证过程。在信令平面实体和MCPTT服务器300执行MCPTT认证过程。MCPTT服务器300生成映射表。基于映射表，发起呼叫建立过程。

图9是示出根据这里公开的实施例的，用于MCPTT私人呼叫设立(private callsetup)的各种信令消息的序列图。最初，注册了MCPTT UE-1 100a和MCPTT UE-2 100b(902)。UE 100的它们各自的用户被认证并授权用于MCPTT服务。此外，MCPTT UE-1 100a发起私人呼叫(904)，并且MCPTT UE-1 100a将MCPTT私人呼叫请求发送到信令平面实体500(906)。信令平面实体500向MCPTT服务器300发送MCPTT私人呼叫请求(908)。MCPTT服务器300授权参与呼叫并将MCPTT标识转换成信令平面标识(910)。MCPTT服务器300向信令平面实体500发送MCPTT私人呼叫请求消息(912)。信令平面实体500向MCPTT UE-2 100b发送MCPTT私人呼叫请求(914)。UE-2 100b向信令平面实体500发送MCPTT振铃指示(916)。一旦信令平面实体500从UE-2 100b接收到MCPTT振铃指示，则信令平面实体500将MCPTT振铃指示发送到MCPTT服务器300(918)。MCPTT服务器300向信令平面实体500发送MCPTT进度指示(920)。信令平面实体500向UE-1 100a发送MCPTT进度指示(922)。基于MCPTT进度指示，MCPTT服务器300将MCPTT振铃信号发送到信令平面实体500(924)。信令平面实体500向UE-1100a发送MCPTT振铃信号(926)。UE-2 100b向信令平面实体500发送确认消息(928)。信令平面实体500向MCPTT服务器300发送确认消息(930)。MCPTT服务器300向信令平面实体500发送确认消息(932)。

基于转换过程，在MCPTT UE-1 100a、MCPTT UE-2 100b、信令平面实体500和MCPTT服务器300当中建立媒体平面(934)。

在实施例中，MCPTT客户端1在不知晓目标用户的公共用户标识而知晓目标用户的MCPTT用户标识的情况下生成设立与目标用户的私人呼叫的SIPINVITE请求。从而，在请求URI中使用目标用户的MCPTT用户标识，而不是目标用户的公共服务标识。MCPTT客户端100a可以通过在P-优先-服务报头中包括MCPTT服务标识符来指示该消息是用于MCPTT服务的请求。作为发起方的MCPTT客户端1和作为目标用户的MCPTT客户端2的MCPTT用户标识可以分别被添加到起始报头和到达报头中，或者被添加在请求的主体中。信息可以被加密。此外，MCPTT客户端100a经由SIP核心452将该请求发送到正在为MCPTT客户端100a服务的MCPTT服务器300。当接收到来自发起方的INVITE请求时，SIP核心452确定P-优先-服务报头并且决定将该请求转发给MCPTT服务器300。此外，MCPTT服务器300查看请求URI中的目标用户的MCPTT用户标识，并通过查询在服务注册期间存储的MCPTT用户标识与公共服务标识之间的映射信息将其转换为目标用户的公共服务标识，如果是加密的ID，则对ID解密后进行上述操作。然后使用公共服务标识，进一步处理SIP INVITE消息。此外，该请求包括目标用户的公共服务标识而不是目标用户的MCPTT用户标识。

图10是示出根据这里公开的实施例的，用于使用映射表进行ID转换的各种信令消息的序列图。MCPTT AS 404接收针对UE-1 100a的邀请，其中UE-1 100a向MCPTT AS 404注册(1002)。一旦接收到邀请，则MCPTT服务器确定UE-1 100a的被叫方的MCPTT用户ID并且识别UE-1的IMPU。然后，MCPTT服务器将UE-1 100a的MCPTT用户ID转换到对应的UE-1的IMPU(1004)，使得SIP核心452可以将INVITE路由到UE-100(1006和1008)。应该注意的是，SIPINVITE消息除了包括上述参数之外，还包括了全部其他可能的参数。

图11是示出根据这里公开的实施例的，用于预先安排的组呼叫设立的各种信令消息的序列图。UE-1 100a、UE-2 100b和UE-3 100c被注册用于MCPTT服务(1102)。UE-1 100a发起组呼叫(1104)。UE-1 100a将组呼叫请求(group_call_request)连同组ID一起发送给信令平面实体500(1106)。信令平面实体500将组呼叫请求与组ID一起发送到MCPTT服务器300(1108)。MCPTT服务器300和组管理服务器406确定组标识并针对每个组成员将MCPTT ID转换到IMPU(1110)。MCPTT服务器300经由信令平面实体500将组呼叫请求(即，IMPU2)发送给UE-2 100b(1112)。UE-2 100b通知组呼叫(1114)。MCPTT服务器300经由信令平面实体500将组呼叫请求(即，IMPU3)发送给UE-3 100c(1116)。UE-3 100c通知组呼叫(1118)。UE-2100b经由信令平面实体500将确认消息发送给MCPTT服务器300(1120a)。MCPTT服务器300将确认消息发送给信令平面实体500(1120b)。信令平面实体500将确认消息发送给UE-1 100a(1120c)。UE-3 100c经由信令平面实体500将确认消息发送给MCPTT服务器300(1122a)。MCPTT服务器300将确认消息发送给信令平面实体500(1122b)。信令平面实体500将确认消息发送给UE-1 100a(1122c)。

在实施例中，由3GPP TS 23.179标准来定义图11中示出的预先安排的组呼叫设立。参考图11来描述MCPTT组呼叫设立过程以及ID转换如何为组呼叫服务工作。然而，就功能实体的名称和消息序列而言，并不限于图11中的流程。UE-1 100a、UE-2 100b和UE-3100c被注册用于MCPTT服务。UE-1 100a在不知晓组成员的IMPU而知晓托管组的MCPTT系统的公共服务标识的情况下生成用以与预先安排的组设立组呼叫的SIP INVITE请求。该信息与MCPTT系统的公共服务标识有关，在MCPTT系统中属于组成员的MCPTT客户端1通过接入组管理服务器406而被配置在UE-1 100a中。从而，MCPTT系统的公共服务标识或MCPTT组ID在请求URI中被用来设立组呼叫。UE-1 100a可以通过使用P-优先-服务报头中的MCPTT服务标识符来指示该消息是用于MCPTT服务的请求。发起方的MCPTT ID和组的MCPTT ID可以分别被添加到起始报头和到达报头中，或者被添加在主体中。信息可能被加密。在接收到来自UE-1 100a的INVITE请求之后，SIP核心452确定P-优先-服务报头，并确定将该请求转发到为UE-1 100a服务的MCPTT服务器300，然后将该请求发送到UE 100b。MCPTT服务器300确定请求URI中的公共服务标识符或组ID。MCPTT服务器300将基于公共服务标识符将该请求路由到组所有者。如果组所有者是MCPTT服务器300本身，则它解析组ID以识别组成员的MCPTT用户标识，并且使用MCPTT用户标识和公共用户标识之间的映射表针对每个组成员将MCPTT用户标识转换为公共用户标识。如果组成员由另一MCPTT系统托管，则MCPTT服务器300从托管的MCPTT系统获得该组成员的公共用户标识。该请求包括目标的公共用户标识而不是目标的MCPTT用户标识，并且经由SIP核心452被路由到目标用户(即，UE-2 100b或UE-3100c)。

图12是示出根据这里公开的实施例的，用于涉及来自多个MCPTT系统(即，主MCPTT服务器300a和伙伴MCPTT服务器300b)的组的组呼叫的各种信令消息的序列图。UE-1 100a将用以与预先安排的组设立组呼叫的SIPINVITE请求发送到主MCPTT服务器300a(1202)。主MCPTT服务器300a和组管理服务器406获得组信息并确定组成组(constituent group)的信息(1204)。在MCPTT ID到IMPU的转换过程之后，主MCPTT服务器300a启动呼叫邀请过程或通知可接入的组成员(1206)。主MCPTT服务器300a将呼叫设立与组ID一起发送到伙伴MCPTT服务器300b(1208)。在MCPTT ID到IMPU的转换之后，伙伴MCPTT服务器300触发呼叫邀请过程或通知可接入的组成员(1210)。伙伴MCPTT服务器300b将呼叫设立响应发送到主MCPTT服务器300a(1212)。主MCPTT服务器300a将呼叫设立完成信息发送到UE-1 100(1214)。在UE-1100a、主MCPTT服务器300a和伙伴MCPTT服务器300之间建立组呼叫通信(1216)。

图13a至图13d是示出根据这里公开的实施例的，用于标识隐藏的信令消息的序列图。如图13a和图13b所示，在步骤1302a，UE-100a向信令平面实体500注册。在注册过程之后，在步骤1304a，在UE-1 100a和信令平面实体500之间执行SIP核心认证过程。在步骤1306a，信令平面实体500向MCPTT服务器300注册。在注册过程之后，在步骤1308a，在UE-1100a和信令平面实体500之间执行MCPTT用户认证过程。在步骤1310a，在信令平面实体500和MCPTT服务器300之间执行MCPTT用户认证过程。在步骤1312a，UE-1 100a建立SA。在步骤1314a，MCPTT服务器300建立SA。在步骤1316a，UE-1 100a映射IMPU-1和MCPTT用户ID-1(MID1)。在步骤1318a，MCPTT服务器300映射IMPU-1和MID1，并映射IMPU-2和MCPTT用户ID-2(MID2)。在步骤1320a，UE-2 100c映射IMPU-2和MID2。在步骤1322a，UE-1 100a基于对应于UE1 100a和MCPTT服务器300的SA来加密MID1和MID2标识。在步骤1324a，UE-1 100a将SIPINVITE消息发送到信令平面实体500。SIP INVITE消息包括INVITE{MID2}、From:{MID1}、To:{MID2}、IMPU-1和ICSI。在步骤1326a，信令平面实体500将SIP INVITE消息发送到MCPTT服务器300。在步骤1328a，MCPTT服务器300使用IMPU-1识别对应于UE1 100a的SA。使用所识别的SA，MID1和MID2标识被解密。此外，使用映射表来识别对应于MID2的IMPU-2。此外，使用IMPU-2来识别对应于UE-2 100b的SA。使用所识别的SA，MID1和MID2标识被加密。在步骤1330a，MCPTT服务器300将SIP INVITE消息发送到信令平面实体500。SIP INVITE消息包括INVITE{MID2}、From:{MID1}、To:{MID2}和IMPU-2。在步骤1332a，信令平面实体500将SIPINVITE消息发送到UE-2 100b。在步骤1334a，UE-2 100b基于对应于UE-2 100b和MCPTT服务器300的SA来解密MID1和MID2标识。

如图13c所示，步骤(1302b至1320b)与图13a中解释的步骤(1302a至1320a)类似。在步骤1322b，UE-1 100a通过使用对应于UE1 100a和MCPTT服务器300的SA来加密MID1和MID2标识。在步骤1324b，UE-1 100a将SIP INVITE消息发送到信令平面实体500。SIPINVITE消息包括INVITE{MID2}、From:{MID1}、To:{MID2}、IMPU-1和ICSI。在步骤1326b，信令平面实体500利用ICSI到达MCPTT服务器300。在步骤1328b，信令平面实体500将SIPINVITE消息发送到MCPTT服务器300。在步骤1330b，MCPTT服务器300使用IMPU-1识别对应于UE1 100a的SA。基于所标识的SA，MCPTT服务器300解密MID1和MID2标识。此外，MCPTT服务器300使用映射表和请求URI来识别对应于MID2的IMPU-2。此外，MCPTT服务器300使用IMPU-2来识别对应于UE-2 100b的SA。基于所识别的SA，MCPTT服务器300解密MID1和MID2标识。在步骤1332b，MCPTT服务器300将SIP INVITE消息发送到信令平面实体500。SIP INVITE消息包括INVITE IMPU-2、From:{MID1}、To:{MID2}。在步骤1334b，信令平面实体500将SIPINVITE消息发送到UE-2 100b。在步骤1336b，UE-2 100b基于对应于UE-2 100和MCPTT服务器300的SA来解密MID1和MID2标识。

如图13d所示，步骤(1302c至1320c)与在图13a中解释的步骤(1302a至1320a)类似。在步骤1322c，UE-1 100a通过使用对应于UE1 100a和MCPTT服务器300的SA来加密MID1和MID2标识。在步骤1324c，UE-1 100a将SIP INVITE消息发送到信令平面实体500。SIPINVITE消息包括INVITE xyz、From：xyz To：xyz、IMPU-1、ICSI、Body{MID2，MID1}。在步骤1326c，信令平面实体500利用ICSI到达MCPTT服务器300。在步骤1328c，信令平面实体500将SIP INVITE消息发送到MCPTT服务器300。

在步骤1330c，MCPTT服务器300使用IMPU-1识别对应于UE1 100a的SA。基于所识别的SA，MCPTT服务器300解密MID1和MID2标识。此外，MCPTT服务器300使用映射表和请求URI来识别对应于MID2的IMPU-2。此外，MCPTT服务器300使用IMPU-2来识别对应于UE-2 100b的SA。基于所识别的SA，MCPTT服务器300解密MID1和MID2标识。在步骤1332c，MCPTT服务器300将SIP INVITE消息发送到信令平面实体500。SIP INVITE消息包括INVITE IMPU-2、From：xyz To：xyz、IMPU-1、ICSI和Body{MID2，MID1}。在步骤1334c，信令平面实体500将SIPINVITE消息发送到UE-2100b。在步骤1336c，UE-2 100b基于对应于UE-2 100和MCPTT服务器300的SA来解密MID1和MID2标识。

如图13e所示，步骤(1302d至1320d)与图13a中解释的步骤(1302a至1320a)类似。在步骤1322d，UE-1 100a通过使用对应于UE1 100a和MCPTT服务器300的SA来加密MID1、PSI和GID标识。在步骤1324d，UE-1 100a将SIP INVITE消息发送到信令平面实体500。SIPINVITE消息包括INVITE{PSI}、From：{MID1}、To:{MID2}IMPU-1和ICSI。在步骤1326d，信令平面实体500利用ICSI到达MCPTT服务器300。在步骤1328d，信令平面实体500将SIP INVITE消息发送到MCPTT服务器300。

在步骤1330d，MCPTT服务器300使用IMPU-1识别对应于UE1 100a的SA。基于所识别的SA，MCPTT服务器300解密MID1、PSI和GID标识。此外，如果PSI属于MCPTT服务提供商域，则MCPTT服务器300解析针对GID的组成员(例如从GMS)。此外，使用映射表来识别对应于每个接收者组成员的IMPU-2，并且该IMPU-2在请求URI中被使用。此外，MCPTT服务器300使用IMPU-2来识别对应于UE-2 100b的SA。基于所识别的SA，MCPTT服务器300加密MID1和MID2标识。

在步骤1332d，MCPTT服务器300将SIP INVITE消息发送到信令平面实体500。SIPINVITE消息包括INVITE IMPU-2、From：{MID1}和To:{GID}。在步骤1334d，信令平面实体500将SIP INVITE消息发送到UE-2 100b。在步骤1336d，UE-2 100b基于对应于UE-2 100和MCPTT服务器300的SA来解密MID1和MID2标识。

在实施例中，UE-1 100a执行SIP认证并注册IMPU。此外，信令平面实体500执行第三方注册。第三方注册包括IMPU。IMPU识别MCPTT服务提供商域(即，MCPTT服务器300)中的用户。MCPTT服务器300发起验证MCPTT用户ID的真伪的认证过程。紧接在认证过程之后或者作为认证过程的一部分，UE-1 100a和MCPTT服务器300建立用于标识隐藏的SA(例如，用于加密的密钥，可选地用于完整性保护的密钥、协商的加密算法等)。此外，在信令平面实体认证之后或之前执行通过MCPTT-1接口的MCPTT用户的认证。在示例中，对于可共享的UE 100a至UE 100c，MCPTT用户认证用MCPTT服务器300执行，以获得对存储在UE 100a至UE 100c中的MCPTT客户端102的接入，并成为认证的MCPTT用户。在成功的相互认证过程之后，在UE-1100a与MCPTT服务器300之间建立SA。MCPTT用户认证过程生成用于MCPTT用户标识的保护(加密和/或完整性保护)的ID隐藏密钥(例如“会话密钥”)。对于使用MCPTT-1接口的MCPTT用户认证，可以按照3GPPTS 33.203标准中所规定的来执行下面任何一个过程。

IMS认证和密钥协议(Authentication and Key Agreement，AKA)

SIP摘要认证

受信任节点认证

用SIP摘要单点登录

当UE-1 100a通过发起SIP消息(即，SIP INVITE)来发起MCPTT服务时，UE-1 100a对它的MCPTT ID(即，被叫方ID)加密，并且还对被叫方的MCPTT ID进行加密。执行对SIPINVITE的部分加密，即在SIP消息中仅加密MCPTT用户ID。使用被叫方的IMPU将SIP消息路由到信令平面实体500。

在实施例中，在MCPTT客户端102与MCPTT域中的MCPTT服务器300之间的信令平面中传送的特定值和标识符可以被公共安全用户视为敏感的。为了使这些值免受MCPTT域之外的全部其他实体的影响，本节定义了使用XML加密机制为这些值提供机密性保护的可选机制。

在实施例中，机密性保护可以仅应用于下面SIP消息中的标识符和值：MCPTT ID、MCPTT组ID、用户位置信息、警报和接入令牌。

此外，信令平面实体500使用由被叫方UE 100a包括在SIP消息中的IMS通信服务ID(IMS communication Service ID，ICSI)将SIP消息转发给MCPTT服务器300。此外，一旦MCPTT服务器300接收到具有被叫方的IMPU的SIP消息，则MCPTT服务器300可以获取与主叫方IMPU相关联的SA并且解密标识。基于经解密的被叫方的MCPTT ID，MCPTT服务器300从映射表(本地或来自被叫方的域)获取被叫方的IMPU。然后MCPTT服务器300包括被叫方的IMPU。MCPTT服务器300使用与被叫方的IMPU相关联的SA，并且在转发到被叫方的信令平面实体500之前加密MCPTT标识。

此外，信令平面实体500将适当的SIP消息转发到被叫方UE(即，UE-1 100a)。UE-1100a识别哪个MCPTT服务器300发送了识别SA的消息，并且UE-1 100a对MCPTT ID解密。

通过使用上述方法和系统，实现了对SIP核心的ID隐藏。以上流程考虑以SIPINVITE作为示例。

在实施例中，对信令平面实体500的ID隐藏被用于UE 100与MCPTT服务器300之间的全部非注册SIP消息(例如SUBSCRIBE、PUBLISH、BYE、ACK、OK等)。此外，SIP消息还包括除了以上参数之外的全部其他可能的参数，并且也可以使用SA建立过程来加密。

下面是示例。

报头中加密的MCPTT ID

1-1请求

组请求

主体中加密的MCPTT ID

1-1请求

组请求

报头中加密的MCPTT ID(1-1请求)

填充用于1-1请求的非注册请求(例如，SIP INVITE、SIP BYE)的实体(例如，发起UE、终止UE、MCPTT服务器300)将包括以下报头：

请求URI：{加密的目标UE的MCPTT用户标识}

起始报头：{加密的发起方UE的MCPTT用户标识}

到达报头：{加密的目标UE的MCPTT用户标识}

P-优先-标识报头：发起方UE的公共用户标识

联系人：MCPTT发起方UE的IP地址

P-优先-服务报头：MCPTT服务标识符

考虑，如果目标MCPTT UE2(MID2)在相同的MCPTT服务提供商域中，则对应的MCPTT服务器300利用本地可用的映射表，否则(即，如果目标MCPTT UE2(MID2)不在相同的MCPTT服务提供商域中)，则MCPTT服务器300经由全局数据库中的映射信息、或对其他MCPTT服务提供商域的按需请求、或MCPTT服务提供商域之间的服务水平协议来获得对应于MID2的IMPU-2。

主体中加密的MCPTT ID的操作(1-1请求)

填充用于1-1请求的非注册请求(例如，SIP INVITE、SIP BYE)的实体(例如，发起UE、终止UE、MCPTT服务器)将包括以下报头：

请求URI：{加密的目标UE的MCPTT用户标识}

起始报头：{加密的发起方UE的MCPTT用户标识}

到达报头：{加密的目标UE的MCPTT用户标识}

P-优先-标识报头：发起方UE的公共用户标识

联系人：MCPTT发起方UE的IP地址

P-优先-服务报头：MCPTT服务标识符

考虑，如果目标MCPTT UE2(MID2)在相同的MCPTT服务提供商域中，则对应的MCPTT服务器300利用本地可用的映射表，否则(即，如果目标MCPTT UE2(MID2)不在相同的MCPTT服务提供商域中)，则MCPTT服务器300经由全局数据库中的映射信息、或对其他MCPTT服务提供商域的按需请求、或MCPTT服务提供商域之间的服务水平协议来获得对应于MID2的IMPU-2。

报头中加密的MCPTT ID的操作(组请求)

填充用于组请求的非注册请求(例如，SIP INVITE，SIP BYE)的实体(例如，发起UE、终止UE、MCPTT服务器)将包括以下报头：

请求URI：加密的公共服务标识符

起始报头：加密的发起方UE的MCPTT ID

到达报头：加密的组的MCPTT ID

P-优先-标识报头：发起方UE的公共用户标识

联系人：MCPTT发起方UE的IP地址

P-优先-服务报头：MCPTT服务标识符

考虑，公共服务标识符(PSI)标识组的所有者，并且它可以被预先配置在MCPTT组和组成员配置元数据中。如果PSI属于相同的MCPTT服务提供商域1，则对应的MCPTT服务器300负责GID中的组成员解析，例如与组管理服务器(Group Management Server，GMS)交互。此外，经由本地可用的映射表或另一MCPTT服务提供商域中可用的映射表，对应于MID来解析每个组成员的IMPU-2。

如果PSI不属于相同的MCPTT服务提供商域1，则MCPTT服务器300经由全局数据库中的映射信息、或对MCPTT服务提供商域2的按需请求、或MCPTT服务提供商域之间的服务水平协议获得对应于PSI的IMPU-2。

在报头中加密的MCPTT ID(组请求)

在实施例中，PSI和GID可以被加密并经由主体发送，而不是在加密的报头中包括PSI和GID。在这种情况下，填充用于组请求的非注册请求(例如，SIP INVITE、SIP BYE)的实体(例如，发起UE、终止UE、MCPTT服务器300)将包括以下的报头和主体。

请求URI：可以为任意参数

起始报头：可以为任意参数

到达报头：可以为任意参数

P-优先-标识报头：发起方UE的公共用户标识

联系人：MCPTT发起方UE的IP地址

P-优先-服务报头：MCPTT服务标识符

主体：

{请求URI：加密的公共服务标识符(预先配置在MCPTT组和成员配置元数据中)

起始报头：加密的发起方的MCPTT用户标识

到达报头：加密的目标的MCPTT用户标识}

其余的过程与在报头中加密的实施例所解释的保持相同。

在实施例中，如果主叫方和被叫方位于不同的MCPTT服务提供商域(多域)中，则该过程如下。

UE 100执行SIP认证并注册IMPU。信令平面实体500执行第三方注册。第三方注册包括IMPU信息。IMPU信息标识在MCPTT服务提供商域中的用户(例如，MCPTT服务器300)。

MCPTT服务器300发起验证MCPTT用户ID的真伪的认证过程。紧接在认证过程之后或者作为认证过程的一部分，UE 100和MCPTT服务器300建立用于标识隐藏的SA。在信令平面实体认证之后或之前执行通过MCPTT-1接口的MCPTT用户的认证。对于可共享的MCPTT UE100a-100c，MCPTT用户认证用MCPTT服务器300执行，以获得对存储在UE 100上的MCPTT客户端102的接入，并成为认证的MCPTT用户。在成功的相互认证过程之后，在UE 100(即，MCPTT客户端)和MCPTT服务器300之间建立SA。MCPTT用户认证过程生成用于MCPTT用户标识的保护(加密和/或完整性保护)的ID隐藏密钥(例如，会话密钥等)。对于使用MCPTT-1接口的MCPTT用户认证，可以如3GPP TS 33.203标准中所规定的执行下面过程中的任何一个。

IMS AKA

SIP摘要认证

受信任节点认证

用SIP摘要单点登录

此外，当UE 100通过发起SIP消息(即，SIP INVITE)来发起MCPTT服务时，UE 100对它的MCPTT ID(即，被叫方)进行加密，并且还对被叫方的MCPTT ID进行加密。执行SIPINVITE的部分加密，即在SIP消息中仅加密MCPTT用户ID。使用被叫方的IMPU将SIP消息路由到信令平面实体500。

此外，信令平面实体500使用由被叫方UE包括在SIP消息中的ICSI将SIP消息转发给适当的MCPTT服务器300。一旦MCPTT服务器300接收到具有被叫方的IMPU的SIP消息，MCPTT服务器300可以识别与主叫方IMPU相关联的SA并且解密标识。基于经解密的被叫方的MCPTT ID，MCPTT服务器300解析被叫方的域和被叫方的MCPTT服务器。此外，MCPTT服务器300使用与被叫方的MCPTT服务器建立的安全关联来对SIP消息中的MCPTT ID加密。多个MCPTT服务器之间的SA可以静态地预先配置，或者使用用于SA建立的任何熟知的安全关联建立过程(像IKEv2这样)。此外，主叫方的MCPTT服务器300通过信令平面实体500将SIP消息转发给被叫方的MCPTT服务器。

在接收到来自主叫方的MCPTT服务器的消息后，被叫方的MCPTT服务器使用与主叫方的MCPTT服务器建立的SA对MCPTT ID解密。基于得到的被叫方的MCPTT用户ID，从映射表(本地或来自其他实体)检索被叫方的对应的IMPU。被叫方的MCPTT服务器包括被叫方的IMPU。被叫方的MCPTT服务器使用与被叫方的IMPU相关联的SA，并且在转发到被叫方的信令平面实体500之前对MCPTT标识加密。此外，信令平面实体500将适当的SIP消息转发给被叫方UE 100。UE 100知道哪个MCPTT服务器300发送了识别SA的消息并且UE 100对MCPTT ID解密。

在实施例中，MCPTT服务提供商400可以要求在MCPTT客户端102和在SIP-1和SIP-2接口上的MCPTT服务之间传送的MCPTT相关标识和其他敏感信息在应用层被保护而免受任何查看，该保护包括在SIP信令层免受查看的保护。使用客户端服务器密钥(Client ServerKey，CSK)的基于对称密钥的对SIP有效载荷的保护可以被用来满足该要求。

在实施例中，可以使用基于MIKEY-SAKKE RFC 6509的基于标识的公钥加密(Identity based Public Key Cryptography，IDPKC)来建立两个SIP端点之间的CSK。在MCPTT客户端可以使用IDPKC安全地共享加密密钥之前，MCPTT用户应首先由KMS授权MCPTT密钥管理服务。一旦MCPTT用户被授权，KMS就按照标准中所规定的将用户的密钥材料分配给MCPTT客户端102。

在实施例中，如果MCPTT服务提供商400需要对SIP-1和SIP-2接口的保护，则MCPTT客户端102将使用MIKEY-SAKKE RFC 6509来安全地将CSK通过SIP传输到MCPTT域内的全部服务器。

在实施例中，MCPTT服务器300接收具有受保护的CSK的SIP消息并从消息中检索它。MCPTT服务器300将MCPTT用户的SIP核心标识、MCPTTId和接收到的CSK相关联。标识绑定被用来在由MCPTT域内的MCPTT客户端102和MCPTT服务器300两者发送的后续SIP消息中唯一地标识在对SIP有效载荷的保护中使用的CSK。

CSK的目的如下：

在信令平面中保护敏感的MCPTT应用数据

在信令平面中保护接入令牌

图14至图16是示出根据本文公开的实施例的，使用标识(ID)隐藏实体进行标识隐藏的信令消息的序列图。如图14a和图14b所示，在步骤1402，UE-100a向信令平面实体500注册。在注册过程之后，在步骤1404，在UE-1 100a与信令平面实体500之间执行SIP核心认证过程。在步骤1406，信令平面实体500向MCPTT服务ID隐藏实体1400注册。在步骤1408，MCPTT服务ID隐藏实体1400向MCPTT服务器300注册。在注册过程之后，在步骤1410，在UE-1 100a与信令平面实体500之间执行MCPTT用户认证过程。

在步骤1412，在信令平面实体500和MCPTT服务ID隐藏实体1400之间执行MCPTT用户认证过程。在步骤1414，在MCPTT服务ID隐藏实体1400和MCPTT服务器300之间执行MCPTT用户认证过程。在步骤1416，UE-1 100a建立SA。在步骤1418，MCPTT服务器300创建SA。在步骤1420，UE-1 100a映射IMPU-1和MID1。在步骤1422，MCPTT服务器300映射IMPU-1和MID1，并映射IMPU-2和MID2。在步骤1424，UE-2 100c映射IMPU-2和MID2。在步骤1426，UE-1 100a基于SA对MID1和MID2标识进行加密。

在步骤1428，UE-1 100a将SIP INVITE消息发送到信令平面实体500。SIP INVITE消息包括INVITE{MID2}、From:{MID1}、To:{MID2}、IMPU-1和ICSI。在步骤1430，信令平面实体500将SIP INVITE消息发送到MCPTT服务ID隐藏实体1400。在步骤1432，MCPTT服务ID隐藏实体1400从MCPTT服务器300获取SA。在步骤1434，MCPTT服务ID隐藏实体1400建立SA。

在步骤1436，MCPTT服务ID隐藏实体1400使用IMPU-1识别对应于UE1 100a的SA。使用所识别的SA，MID1和MID2标识被解密。在步骤1438，MCPTT服务ID隐藏实体1400将SIPINVITE消息发送到MCPTT服务器300。

在步骤1440，MCPTT服务器300使用映射表来识别对应于MID2的IMPU-2。在步骤1442，MCPTT服务器300将SIP INVITE消息发送到信令平面实体500。在步骤1444，MCPTT服务ID隐藏实体1400使用IMPU-2识别对应于UE-2 100b的SA。使用所识别的SA，MID1和MID2标识被加密。

在步骤1446，MCPTT服务ID隐藏实体1400将SIP INVITE消息发送到信令平面实体500。SIP INVITE消息包括INVITE{MID2}、From:{MID1}、To:{MID2}和IMPU-2。在步骤1448，信令平面实体500将SIP INVITE消息发送到UE-2 100b。在步骤1450，UE-2 100b基于对应于UE-2 100b和MCPTT服务器300的SA来解密MID1和MID2标识。

在实施例中，MCPTT服务提供商域中的逻辑实体(例如，ID隐藏实体)和UE 100中的MCPTT应用执行ID隐藏。逻辑实体可能是MCPTT服务提供商域中的网关，也可能是全部MCPTT服务提供商域的集中网关。ID隐藏实体通过使用推模型或使用拉模型(或按需)从MCPTT服务器300获得安全关联。

如图14a和14b中所示，其示出拉模型，在该拉模型中，一旦MCPTT服务ID隐藏实体1400接收到非注册消息，MCPTT服务ID隐藏实体1400就获取对应于UE-1 100的SA。在另一实施例中，一旦在认证阶段中成功建立了对应于UE 100的SA，MCPTT服务器300就将该SA推送给ID隐藏实体1400。

在另一实施例中，MCPTT服务器300基于来自ID隐藏实体1400的、对对应于UE 100的SA的请求，发起与UE 100的认证过程。

在实施例中，使用虚拟ID或临时ID来提供用于MCPTT ID的完全隐藏的方法。考虑来自UE 100的注册消息或非注册消息(在创建UE 100和MCPTT服务器300之间的安全关联之前)可能向信令平面实体500暴露MCPTT用户ID(主叫方和/或被叫方的MCPTT用户ID或/和组ID)。在UE 100和MCPTT服务提供商域之间创建SA之后，全部的SIP消息都加密MCPTT标识。

在实施例中，通过使用虚拟标识(或临时ID或映射ID)，主叫方的MCPTT用户ID不会暴露给信令平面实体500。另外，当在UE 100与MCPTT服务提供商域之间不可能加密时、或者创建SA时、或者创建IMPU与MCPTT用户ID的映射时，也使用虚拟ID。虚拟ID在MCPTT服务提供商域中是唯一的，并标识用户。虚拟ID被MCPTT服务器300用来检索MCPTT用户ID和用户认证安全凭证。通过使用虚拟ID，服务器检索MCPTT用户认证安全凭证并执行MCPTT用户认证。在MCPTT用户认证和安全关联建立之后，主叫方UE使用所建立的SA来加密MCPTT用户标识，并且在朝向MCPTT服务提供商域的SIP消息中包括加密的MCPTT标识。

如图15a和图15b中所示，在步骤1502，在MCPTT客户端102中提供虚拟ID。在步骤1504，UE-100a向信令平面实体500注册。在注册过程之后，在步骤1506，在UE-1 100a与信令平面实体500之间执行SIP核心认证过程。在步骤1508，信令平面实体500自己注册IMPU。

在步骤1510，信令平面实体500向MCPTT服务器300注册IMPU。在步骤1512，MCPTT服务器300将确认消息发送到信令平面实体500。在步骤1514，UE-1 100a将SIP消息发送到信令平面实体500。SIP消息包括虚拟ID、IMPU-1和ICSI。在步骤1516，信令平面实体500将SIP消息发送到MCPTT服务器300。在步骤1518，MCPTT服务器300使用虚拟ID识别其对应的MID1。基于所识别的MID1，MCPTT服务器300识别用于MCPTT用户认证的安全凭证。在步骤1520，在UE-1 100a和信令平面实体500之间执行MCPTT用户认证过程。

在步骤1522，在信令平面实体500和MCPTT服务器300之间执行MCPTT用户认证过程。在步骤1524，UE-1 100a建立SA。在步骤1526，MCPTT服务器300建立SA。在步骤1528，UE-1100a映射IMPU-1和MID1。在步骤1530，MCPTT服务器300映射IMPU-1和MID1，并映射IMPU-2和MID2。在步骤1532，UE-2 100c映射IMPU-2和MID2。

在步骤1534，UE-1 100a基于SA对MID1和MID2标识进行加密。在步骤1536，UE-1100a将SIP INVITE消息发送到信令平面实体500。SIP INVITE消息包括INVITE{MID2}、From:{MID1}、To:{MID2}、IMPU-1和ICSI。在步骤1538，信令平面实体500将SIP INVITE消息发送到MCPTT服务器300。

在步骤1540，MCPTT服务器300使用IMPU-1识别对应于UE1 100a的SA。使用所识别的SA，MID1和MID2标识被解密。此外，MCPTT服务器300使用映射表来识别对应于MID2的IMPU-2。此外，MCPTT服务器300使用IMPU-2来识别对应于UE-2 100b的SA。使用所识别的SA，MID1和MID2标识被加密。

在步骤1542，MCPTT服务器300将SIP INVITE消息发送到信令平面实体500。SIPINVITE消息包括INVITE{MID2}、From:{MID1}、To:{MID2}和IMPU-2。在步骤1544，信令平面实体500将SIP INVITE消息发送到UE-2 100b。在步骤1546，UE-2 100b基于对应于UE-2100b和MCPTT服务器300的SA来解密MID1和MID2标识。

在实施例中，IMPI可以扮演虚拟ID的角色。

在实施例中，使用不包含MCPTT用户ID的SIP消息(即虚拟消息)来提供用于MCPTTID的完全隐藏的方法。在成功的IMPU注册之后，UE 100发起(虚拟)SIP消息。SIP消息仅包含IMPU，并且不包含任何MCPTT用户ID。仅包含IMPU的(虚拟)SIP消息被用于触发MCPTT用户认证和安全关联的创建。在SA建立之前，MCPTT用户ID不暴露给SIP核心，并且该替换考虑了在MCPTT服务提供商域中的MCPTT用户ID和IMPU之间的映射的可用性。一旦MCPTT服务器300得知IMPU，MCPTT服务器300就检索MCPTT用户ID和用于MCPTT用户认证的相关联用户安全凭证。在成功的MCPTT用户认证之后，创建SA以隐藏MCPTT用户标识。当在MCPTT用户认证之前，如标识管理服务器的实体提供IMPU与MCPTT用户标识之间的映射(例如，基于TNA的认证过程)时，这种替换方案是适用的。

如图16a和图16b所示，在步骤1602，UE-1 100a映射IMPU-1和MID1。在步骤1604，MCPTT服务器300映射IMPU-1和MID1，并映射IMPU-2和MID2。在步骤1606，UE-2 100c映射IMPU-2和MID2。在步骤1608，UE-100a向信令平面实体500注册。注册消息包括IMPI和IMPU。在步骤1610，在UE-1 100a和信令平面实体500之间执行SIP核心认证过程。

在步骤1612，信令平面实体500自己注册IMPU。在步骤1614，信令平面实体500向MCPTT服务器300注册IMPU。在步骤1616，MCPTT服务器300将确认消息发送到信令平面实体500。在步骤1618，UE-1 100a将SIP消息发送到信令平面实体500。SIP消息包括IMPU-1和ICSI。在步骤1620，信令平面实体500将SIP消息发送到MCPTT服务器300。

在步骤1622，MCPTT服务器300使用IMPU识别对应的MID1。此外，MCPTT服务器300基于MID1标识用于MCPTT用户认证的安全凭证。

在步骤1624，在UE-1 100a和信令平面实体500之间执行MCPTT用户认证过程。在步骤1626，在信令平面实体500和MCPTT服务器300之间执行MCPTT用户认证过程。在步骤1628，UE-1 100a建立SA。

在步骤1630，MCPTT服务器300基于SA加密MID1和MID2标识。在步骤1632，UE-1100a将SIP INVITE消息发送到信令平面实体500。SIPINVITE消息包括INVITE{MID2}、From:{MID1}、To:{MID2}、IMPU-1和ICSI。在步骤1634，信令平面实体500将SIP INVITE消息发送到MCPTT服务器300。

在步骤1636，MCPTT服务器300使用IMPU-1识别对应于UE1 100a的SA。使用所识别的SA，MID1和MID2标识被解密。此外，MCPTT服务器300使用映射表来识别对应于MID2的IMPU-2。此外，MCPTT服务器300使用IMPU-2来识别对应于UE-2 100b的SA。使用所识别的SA，MID1和MID2标识被加密。

在步骤1638，MCPTT服务器300将SIP INVITE消息发送到信令平面实体500。SIPINVITE消息包括INVITE{MID2}、From:{MID1}、To:{MID2}和IMPU-2。在步骤1640，信令平面实体500将SIP INVITE消息发送到UE-2 100b。在步骤1642，UE-2 100b基于对应于UE-2100b和MCPTT服务器300的SA来解密MID1和MID2标识。

在实施例中，可以使用在UE 100与MCPTT服务提供商域400之间的预先配置的安全关联并且用信令平面标识对其进行索引来提供用于MCPTT ID的完全隐藏的方法。在成功的IMPU注册之后，UE 100和MCPTT服务提供商域将所注册的(多个)IMPU索引到预先配置的安全关联，使得在从UE 100到MCPTT服务提供商域的初始消息中包括的MCPTT用户标识被加密。

图17示出了根据这里公开的实施例的，由组呼叫中涉及的MCPTT客户端100a-100c和MCPTT服务器300插入的SIP报头和SIP主体的内容。MCPTT服务器300包括O-PF功能实体、CF功能实体和T-PF功能实体。在步骤1702a和1702b，UE-1 100a或UE-2 100b将组呼叫会话发起请求发送到MCPTT服务器300。在步骤1704，UE-1 100a将包含组标识的请求URI发送到O-PF功能实体。在步骤1706，CF功能实体接收包括组标识和发起用户的MCPTT ID的信息。在步骤1708，CF功能实体将包括组标识和发起用户的MCPTT ID的信息发送给组管理服务器406。在步骤1710，T-PF功能实体接收包括终止用户的MCPTT ID、发起用户的MCPTT ID和组标识的信息。在步骤1710，T-PF功能实体向UE-2 100b发送包括终止用户的MCPTT ID、发起用户的MCPTT ID和组标识的信息。

表2解释了O-PF功能实体、CF功能实体和T-PF功能实体的操作和功能。此外，MCPTT服务器300中包括的O-PF功能实体、CF功能实体和T-PF功能实体的操作和功能类似于图11。

表2示出了由组呼叫中涉及的UE-1 100a、UE-2 100b和MCPTT服务器300插入的SIP报头和SIP主体的内容。

【表格2】

图18示出了根据这里公开的实施例的，由私人呼叫中涉及的MCPTT客户端和MCPTT服务器300插入的SIP报头和SIP主体的内容。表格3示出了由私人呼叫中涉及的UE-1 100a、UE-2 100b和MCPTT服务器300插入的SIP报头和SIP主体的内容。

MCPTT服务器300包括O-PF功能实体、CF功能实体和T-PF功能实体。在步骤1802a和1802b，UE-1100a或UE-2 100b将私人呼叫会话发起请求发送到MCPTT服务器300。在步骤1804，UE-1 100a将包含被叫用户的MCPTTID的请求URI发送到O-PF功能实体。在步骤1806，CF功能实体接收包括被叫用户的MCPTT ID和主叫用户的MCPTT ID的信息，并且T-PF功能实体接收包括主叫用户的MCPTT ID和被叫用户的MCPTT ID的信息。在步骤1808，T-PF功能实体将包括主叫用户的MCPTT ID和被叫用户的MCPTT ID的信息发送到UE-2 100b。

此外，表格3中解释了O-PF功能实体、CF功能实体和T-PF功能实体的操作和功能。此外，MCPTT服务器300中包括的O-PF功能实体、CF功能实体和T-PF功能实体的操作和功能类似于图9。

【表格3】

图19示出了根据这里所公开的实施例的，用于实施跨多个平面的标识管理的机制的计算环境1902。如图19所描绘的，计算环境1902包括配备有控制单元1904、算法逻辑单元(Arithmetic Logic Unit，ALU)1906的至少一个处理单元1908、存储器1910、存储单元1912、多个网络设备1916和多个输入输出(I/O)设备1914。处理单元1908负责处理技术的指令。处理单元1908从控制单元1904接收命令以执行其处理。此外，在ALU 1906的帮助下计算指令的执行中涉及的任何逻辑和算术运算。

总体计算环境1902可以由多个同构内核或异构内核、不同种类的多个CPU、特殊介质和其他加速器组成。处理单元1908负责处理技术的指令。此外，多个处理单元1904可以位于单个芯片上或多个芯片上。

包括实施所需的指令和代码的技术被存储在存储器单元1910或储存器1912中或二者中。在执行时，指令可以从对应的存储器1910或储存器1912获取，并由处理单元1908执行。

在任何硬件实施的情况下，各种网络设备1916或外部I/O设备1914可以通过网络单元和I/O设备单元连接到计算环境1902，以支持该实施。

这里公开的实施例可以通过在至少一个硬件设备上运行的至少一个软件程序并且执行控制元件的网络管理功能来实施。图1至图19中示出的元件包括可以是硬件设备、或者硬件设备和软件模块的组合中的至少一个的块。

虽然在上文已经详细描述了本发明的示范性实施例，但是应当理解，对本领域技术人员而言明显的、这里描述的基本发明构思的许多变化和修改将仍然落入本发明的示例性实施例的精神和范围。

前述对特定实施例的描述将如此充分地揭示这里的实施例的一般性质，使得其他人可以通过应用当前知识容易地修改和/或调整这些特定实施例的各种应用而不脱离一般概念，因此，这些调整和修改应当并且旨在被理解为在所公开的实施例的等同物的含义和范围内。应该理解，这里使用的措辞或术语是为了描述而不是限制的目的。因此，虽然这里的实施例已经根据优选实施例进行了描述，但是本领域技术人员将意识到，可以通过在这里所描述的实施例的精神和范围内的修改来实践这里的实施例。

Claims (20)

1.一种在通信系统中由关键任务一键通MCPTT服务器执行的方法，所述方法包括：

从信令平面实体接收用以建立第一MCPTT客户端与至少一个第二MCPTT客户端之间的呼叫的第一消息，所述第一消息包括所述至少一个第二MCPTT客户端的应用平面标识；

基于所述至少一个第二MCPTT客户端的应用平面标识识别所述至少一个第二MCPTT客户端的信令平面标识；以及

经由信令平面实体将至少一个第二消息发送到所述至少一个第二MCPTT客户端以建立呼叫，所述至少一个第二消息包括所述至少一个第二MCPTT客户端的信令平面标识。

2.根据权利要求1所述的方法，其中，识别所述至少一个第二MCPTT客户端的信令平面标识包括：

识别与所述应用平面标识相关联的所述至少一个第二MCPTT客户端的MCPTT客户端标识；并且

从标识管理实体识别对应于所述MCPTT客户端标识的信令平面标识。

3.根据权利要求1所述的方法，其中所述至少一个第二MCPTT客户端的信令平面标识是预定义的并且在服务注册期间被存储在标识管理实体中，并且

其中，所述标识管理实体被存储在MCPTT服务器、组管理服务器、以及信令平面域实体中的一个处。

4.根据权利要求1所述的方法，其中所述应用平面标识是MCPTT客户端标识和MCPTT组标识中的一个，并且

其中，所述信令平面标识是公共用户标识、IP多媒体公共标识IMPU、电话统一资源标识符tel URI和移动用户综合业务数字网络MSISDN标识中的至少一个，并且

其中，所述信令平面实体是会话发起协议SIP核心信令平面实体、互联网协议IP多媒体子系统IMS核心信令平面实体和归属用户服务器HSS实体中的一个。

5.根据权利要求1所述的方法，还包括：

对所述至少一个第二MCPTT客户端的应用平面标识进行加密；以及

在至少一个第二消息中将加密后的所述至少一个第二MCPTT客户端的应用平面标识发送到所述至少一个第二MCPTT客户端，

其中，所述第一消息中的所述至少一个第二MCPTT客户端的应用平面标识被第一MCPTT客户端加密。

6.根据权利要求1所述的方法，还包括：

识别与第一MCPTT客户端相关联的安全密钥；以及

基于所述安全密钥，对所述第一消息中的所述至少一个第二MCPTT客户端的应用平面标识进行解密。

7.一种在通信系统中由信令平面实体执行的方法，所述方法包括：

从第一关键任务一键通MCPTT客户端接收用以与至少一个第二MCPTT客户端建立呼叫的第一消息，所述第一消息包括所述至少一个第二MCPTT客户端的应用平面标识；

向MCPTT服务器发送所述第一消息；以及

从MCPTT服务器接收至少一个第二消息，以建立到所述至少一个第二MCPTT客户端的呼叫，所述至少一个第二消息包括所述至少一个第二MCPTT客户端的至少一个信令平面标识。

8.根据权利要求7所述的方法，其中，所述至少一个第二MCPTT客户端的信令平面标识是预定义的并且在服务注册期间被存储在标识管理实体中，

其中，所述标识管理实体被存储在MCPTT服务器、组管理服务器和信令平面域实体中的一个处。

9.根据权利要求7所述的方法，其中，所述应用平面标识是MCPTT客户端标识和MCPTT组标识中的一个，

其中，所述信令平面标识是公共用户标识、IP多媒体公共标识IMPU、电话统一资源标识符tel URI和移动用户综合业务数字网络MSISDN标识中的至少一个，并且

其中，所述信令平面实体是会话发起协议SIP核心信令平面实体、互联网协议IP多媒体子系统IMS核心信令平面实体和归属用户服务器HSS实体中的一个。

10.根据权利要求7所述的方法，

其中，所述第一消息中的至少一个第二MCPTT客户端的应用平面标识被第一MCPTT客户端加密，

其中，所述至少一个第二消息中的所述至少一个第二MCPTT客户端的应用平面标识被MCPTT服务器加密，并且

其中，MCPTT服务器将所述至少一个第二消息中的加密后的所述至少一个第二MCPTT客户端的应用平面标识发送到所述至少一个第二MCPTT客户端。

11.一种通信系统中的关键任务一键通MCPTT服务器，所述MCPTT服务器包括：

收发器；以及

耦合到收发器的处理器，其中，所述处理器被配置为：

从信令平面实体接收用以在第一MCPTT客户端与至少一个第二MCPTT客户端之间建立呼叫的第一消息，所述第一消息包括所述至少一个第二MCPTT客户端的应用平面标识；

基于所述至少一个第二MCPTT客户端的应用平面标识识别所述至少一个第二MCPTT客户端的信令平面标识，并且

经由信令平面实体将至少一个第二消息发送到所述至少一个第二MCPTT客户端以建立呼叫，所述至少一个第二消息包括所述至少一个第二MCPTT客户端的信令平面标识。

12.根据权利要求11所述的MCPTT服务器，其中，所述处理器被配置为：

识别与所述应用平面标识相关联的所述至少一个第二MCPTT客户端的MCPTT客户端标识；并且

从标识管理实体识别对应于所述MCPTT客户端标识的信令平面标识。

13.根据权利要求11的MCPTT服务器，其中，所述至少一个第二MCPTT客户端的信令平面标识是预定义的并且在服务注册期间被存储在标识管理实体中，并且

其中，所述标识管理实体被存储在MCPTT服务器、组管理服务器以及信令平面域实体中的一个处。

14.根据权利要求11所述的MCPTT服务器，其中，所述应用平面标识是MCPTT客户端标识和MCPTT组标识中的一个，

其中，所述信令平面标识是公共用户标识、IP多媒体公共标识IMPU、电话统一资源标识符tel URI和移动用户综合业务数字网络MSISDN标识中的至少一个，并且

其中，所述信令平面实体是会话发起协议SIP核心信令平面实体、互联网协议IP多媒体子系统IMS核心信令平面实体和归属用户服务器HSS实体中的一个。

15.根据权利要求11所述的MCPTT服务器，所述处理器被配置为：

对所述至少一个第二MCPTT客户端的应用平面标识进行加密；并且

在所述至少一个第二消息中将加密后的所述至少一个第二MCPTT客户端的应用平面标识发送到所述至少一个第二MCPTT客户端，

其中，所述第一消息中的所述至少一个第二MCPTT客户端的应用平面标识被第一MCPTT客户端加密。

16.根据权利要求11所述的MCPTT服务器，所述处理器被配置为：

识别与第一MCPTT客户端相关联的安全密钥；并且

基于所述安全密钥，对所述第一消息中的所述至少一个第二MCPTT客户端的应用平面标识进行解密。

17.一种通信系统中的信令平面实体，所述信令平面实体包括：

收发器；以及

耦合到收发器的处理器，其中，所述处理器被配置为：

从第一关键任务一键通MCPTT客户端接收用以与至少一个第二MCPTT客户端建立呼叫的第一消息，其中，所述第一消息包括所述至少一个第二MCPTT客户端的应用平面标识；

将第一消息发送到MCPTT服务器；

从MCPTT服务器接收包括所述至少一个第二MCPTT客户端的至少一个信令平面标识的至少一个第二消息；以及

基于所述至少一个信令平面标识与所述至少一个第二MCPTT客户端建立呼叫。

18.根据权利要求17所述的信令平面实体，其中，所述至少一个第二MCPTT客户端的信令平面标识是预定义的并且在服务注册期间被存储在标识管理实体中，

其中，所述标识管理实体被存储在MCPTT服务器、组管理服务器和信令平面域实体中的一个处。

19.根据权利要求17所述的信令平面实体，

其中，所述应用平面标识是MCPTT客户端标识和MCPTT组标识中的一个，

其中，所述信令平面标识是公共用户标识、IP多媒体公共标识IMPU、电话统一资源标识符tel URI和移动用户综合业务数字网络MSISDN标识中的至少一个，并且

其中，所述信令平面实体是会话发起协议SIP核心信令平面实体、互联网协议IP多媒体子系统IMS核心信令平面实体和归属用户服务器HSS实体中的一个。

20.根据权利要求17所述的信令平面实体，

其中，所述第一消息中的所述至少一个第二MCPTT客户端的应用平面标识被第一MCPTT客户端加密，

其中，所述至少一个第二消息中的所述至少一个第二MCPTT客户端的应用平面标识被MCPTT服务器加密，并且

其中，MCPTT服务器将所述至少一个第二消息中的加密后的所述至少一个第二MCPTT客户端的应用平面标识发送到所述至少一个第二MCPTT客户端。

Images