CN1610441B - 通信系统中消息的验证 - Google Patents
通信系统中消息的验证 Download PDFInfo
- Publication number
- CN1610441B CN1610441B CN2004100841963A CN200410084196A CN1610441B CN 1610441 B CN1610441 B CN 1610441B CN 2004100841963 A CN2004100841963 A CN 2004100841963A CN 200410084196 A CN200410084196 A CN 200410084196A CN 1610441 B CN1610441 B CN 1610441B
- Authority
- CN
- China
- Prior art keywords
- subscriber equipment
- security mechanism
- service controller
- message
- communication system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1045—Proxies, e.g. for session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- General Business, Economics & Management (AREA)
- Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
- Computer And Data Communications (AREA)
Abstract
在其中服务控制器可被配置成支持第一安全机制和至少一个其它安全机制的通信系统中,注册请求从用户系统被发送给服务控制器,之后,在第二控制器中,确定用户设备支持不同于第一安全机制的另一安全机制。随后第二控制器可把用户设备使用不同于第一安全机制的另一安全机制的指示发送给服务控制器。服务控制器随后向用户设备发送和所述另一安全机制一致的质询。
Description
技术领域
本发明涉及通信系统,更具体地说,涉及通信系统中消息的验证。待验证的消息可包括,例如业务请求。
背景技术
通信系统可被看作能够实现与通信系统相关的两个或更多实体,例如用户设备和/或其它节点之间的通信会话的设施。通信可包括,例如,语音、数据、多媒体等的通信。用户设备可被提供双向电话呼叫或者多向会议呼叫。用户设备还可设有与应用服务器(AS),例如服务提供商服务器的连接,从而使得能够使用应用服务器提供的服务。
通信系统一般按照指定标准或规范工作,所述标准或规范陈述允许与通信系统相关的各个实体做什么,以及应如何做。例如,标准或规范可定义用户,或者更准确地说,用户设备是否可被提供电路交换业务和/或分组交换业务。还可定义将用于连接的通信协议和/或参数。换句话说,需要定义一组特定的“规则”,通信以该组规则为基础,从而使得借助通信系统实现通信。
向用户设备提供无线通信的通信系统已为人们所知。无线系统的一个例子是公用陆地移动通信网(PLMN)。PLMN一般以蜂窝技术为基础。在蜂窝系统中,基站收发器(BTS)或类似的接入实体通过其与也称为移动站(MS)的无线用户设备(UE)之间的无线接口,服务于无线用户设备(UE)。用户设备和通信网络的部件之间的无线接口上的通信可以恰当的通信协议为基础。基站设备和通信所需的其它设备的操作可由一个或多个控制实体控制。各个控制实体可以相互连接。
还可设置一个或多个网关节点,以使移动网络与其它网络连接,例如与公共交换电话网(PSTN)和/或其它通信网络,例如IP(因特网协议)和/或其它分组交换数据网络连接。例如,如果所请求的业务由位于其它网络中的服务提供商提供,那么业务请求通过移动网络被发送给所述其它网络,随后被发送给服务提供商。
可向用户,例如通信系统的订户提供的业务的一个例子是所谓的多媒体业务。能够提供多媒体业务的通信系统的一个例子是因特网协议(IP)多媒体网络。借助IP多媒体核心网络(CN)子系统,或者简单的说,IP多媒体子系统(IMS),可提供IP多媒体(IM)功能性。IMS包括用于提供多媒体业务的各种网络实体。
第三代合作伙伴计划(3GPP)已定义使用通用分组无线业务(GPRS)作为提供IMS业务的骨干通信系统。于是在本说明书中,GPRS将被用作能够实现多媒体业务的可能的骨干通信系统的一个例子。第三代合作伙伴计划(3GPP)还定义了第三代(3G)核心网络的参考体系结构,所述第三代(3G)核心网络将向用户设备的用户提供对多媒体业务的使用。该核心网络被分成三个主要域。它们是电路交换(CS)域,分组交换(PS)域和因特网协议多媒体(IM)域。
IM域用于确保充分地管理多媒体业务。3G IM域支持由因特网工程任务组(IETF)开发的会话起始协议(SIP).会话起始协议(SIP)是用于产生、修改和终止与一个或多个参与者(端点)的会话的应用层控制协议.
预期通过IMS系统,借助不同的应用服务器(AS),将提供各种类型的业务。对于业务来说,仅仅依靠与应用服务器通信的用户设备或任意其它节点是真实的,并且可被信任为其用户告诉的身份的假设是不够的。于是,当通过通信系统提供业务时,一般使用某一类型的数据安全机制。借助完整性保护和加密,可提供数据安全性。这些功能的目的是保护数据,从而未经授权的用户不能修改或读取数据。另一种安全机制被称为验证。验证可被用于核实数据的真实性,例如核实数据是正确的,并且来自适当的来源。为了在通过数据网络的数据传送期间,防范攻击,保护数据和用户的完整性,需要验证。其它例子包括用于防止未经授权的用户访问保存在数据库中的数据的验证,和用于防止业务的擅自使用的验证。
例如,在根据第三代合作伙伴计划(3GPP)安排的某些应用中,可能需要希望与IMS连接的用户设备能够支持用于验证的IMS验证和密钥协议(IKA)和用于完整性保护的安全因特网协议(IPsec)。目前的3GPP安全协议机制假定当启动安全协议机制时,客户机将在SIP请求中发送包括支持的安全机制的列表的安全性-客户机报头。在所述列表不包含支持3GPPIPsec的指示的情况下,那么将不允许继续与IMS进行注册。从而,不支持IPsec的用户设备不能使用IMS业务。该问题并不局限于3GPP环境,在其它通信系统中也会发生这种问题。于是,需要提供一种甚至在用户设备支持备选安全机制的情况下进行注册的途径。
发明内容
本发明的实施例目的在于解决一个或几个上述问题。
根据本发明的一个实施例,提供通信系统中的一种方法,所述通信系统中,服务控制器被配置成支持第一安全机制和至少一个其它安全机制。所述方法包括下述步骤:从用户设备向服务控制器发送注册请求,根据所述请求,在第二控制器中确定用户设备支持不同于第一安全机制的另一安全机制,从第二控制器向服务控制器发送用户设备使用不同于第一安全机制的另一安全机制的指示,并从服务控制器向用户设备发送和所述另一安全机制一致的质询。
根据另一实施例,提供一种通信系统,包括被配置为接受用户设备的注册,并支持至少两个不同的安全机制的服务控制器,和向服务控制器提供信息的装置,所述信息和已请求向服务控制器注册的用户设备支持的安全机制相关。服务控制器被配置成向用户设备发送和确定的安全机制一致的质询,并根据包括在来自用户设备的消息中的对质询的响应,验证该消息。
根据本发明的另一实施例,提供一种通信系统用代理控制器,包括:用于所述代理控制器被配置成把用户设备的注册转发给服务控制器的装置,用于以确定已向服务控制器请求注册的用户设备所支持的安全机制的装置,并用以及用于用信号把关于用户设备支持的安全机制的信息通知服务控制器的装置。
根据本发明的另一实施例,提供一种通信系统用代理控制器。该代理控制器被配置成把用户设备的注册转发给服务控制器,以确定已向服务控制器请求注册的用户设备所支持的安全机制,并用信号把关于用户设备所支持的安全机制的信息通知服务控制器。
在更具体的形式下,对质询的响应可包括在从用户设备到服务控制器的消息中。在服务控制器,该响应可被用于消息的验证。
第二控制器可包括在用户设备和服务控制器之间提供代理呼叫状态控制功能的网络实体。
实施例可提供能够使用作为服务控制器的默认安全机制的替换物的安全机制的方式。例如,代替使用IPSec,验证可基于3GPP体系结构中的HTTP摘要。从而,可向希望向提供例如多媒体业务的通信系统注册的用户,提供备选的和/或额外的安全机制。于是,可使现有技术中的更多用户设备能够获得IMS服务。
附图说明
为了更好地理解本发明,现在将参考附图进行举例说明,其中:
图1表示本发明的一个实施例;
图2是图解说明本发明一个实施例的操作的流程图;
图3表示根据本发明实施例的消息接发流程。
具体实施方式
下面将参考第三代(3G)移动通信系统的例证体系结构,举例说明本发明的某些实施例。但是,要认识到这些实施例可应用于任意适当的通信系统。
参见图1,图1表示了可具体体现本发明的网络体系结构的一个例子。图1中,提供IP多媒体网络45,以便向IP多媒体网络订户提供IP多媒体业务。
如上所述,可借助移动通信系统提供IP多媒体(IM)功能性。移动通信系统一般被安排成通过用户设备和通信系统的至少一个基站之间的无线接口,服务多个移动用户设备。逻辑上,可在无线电接入网络(RAN)和核心网络(CN)之间划分移动通信系统。
在系统中,基站31被安排成通过用户设备和无线电接入网络之间的无线接口,向移动用户(即,订户)的移动用户设备30传送信号,和从移动用户设备30接收信号。相应地,移动用户设备能够通过无线接口,向无线电接入网络传送信号,和从无线电接入网络接收信号。
在所述结构中,用户设备30可分别通过与基站31相关的接入网络,访问IMS网络45。虽然为了清楚起见,图1只表示了一个无线电接入网络的一个基站,不过要认识到,典型的通信网络系统通常包括许多无线电接入网络。
3G无线电接入网络(RAN)一般由恰当的无线电网络控制器(RNC)控制。为了清楚起见,图中未示出该控制器。控制器可被分配给每个基站,或者一个控制器能够控制多个基站,例如在无线电接入网络层次中的多个基站。从而,应认识到网络控制器的名称、位置和数目取决于系统。
移动用户设备30可包括适合于因特网协议(IP)通信,从而连接网络的任意适当的移动用户设备。例如,移动用户可借助个人计算机(PC)、个人数据助理(PDA)、移动站(MS)等接入蜂窝网络。在移动站的语境中描述下面的例子。
本领域的技术人员熟悉典型移动站的特征和操作.从而,指出用户可把移动站用于各种任务,例如发出和接收电话呼叫,从网络接收数据和把数据发送给网络,以及体验多媒体内容或者以其它方式使用多媒体业务就足够了.移动站可包括相对于移动通信网络的基站,无线收发信号的天线.移动站还可配备向移动用户设备的用户,显示图像和其它图形信息的显示器.可设置照相机装置,以便捕捉静态或视频图像.一般还设置扬声器装置.可借助适当的用户接口,例如控制按钮、语音命令等,控制移动站的操作.此外,移动站配备有处理器实体和存储装置.
要认识到虽然为了清楚起见,图1中只表示了一个移动站,不过许多移动站可同时与移动通信系统的基站通信。
核心网络(CN)实体一般包括各种交换和其它控制实体和网关,以便能够实现经由许多无线电接入网络的通信,另外还用于使单个通信系统与一个或多个通信系统,例如与其它的蜂窝系统和/或固定线路通信系统进行接口。在3GPP系统中,无线电接入网络控制器一般与恰当的一个或多个核心网络实体连接,例如(但不限于)服务通用分组无线业务支持节点(SGSN)33。无线电接入网络控制器通过适当的接口,例如在Iu接口上,与服务GPRS支持节点通信。虽然未示出,不过SGSN一般可以访问指定的订户数据库,所述订户数据库用于保存与相应用户设备的预订相关的信息。
服务GPRS支持节点一般又通过GPRS骨干网络32与网关GPRS支持节点通信。该接口一般是分组交换数据接口。
在3GPP网络中,建立分组数据会话,以便通过网络传送通信流。这种分组数据会话通常被称为分组数据协议(PDP)上下文。PDP上下文可包括在用户设备和无线电网络控制器之间提供的无线电承载,在用户设备、无线电网络控制器和SGSN之间提供的无线电接入承载,和在服务GPRS服务节点和网关GPRS服务节点之间提供的分组交换数据信道。每个PDP上下文通常提供特定用户设备和网关GPRS支持节点之间的通信路径,并且一旦被建立,一般能够传送多个通信流。每个通信流一般代表,例如特定的服务和/或特定服务的媒体分量。于是,PDP上下文通常代表越过网络的一个或多个通信流的逻辑通信路径。为了在用户设备和服务GPRS支持节点之间实现PDP上下文,需要建立无线电接入承载(RAB),它通常允许关于用户设备的数据传送。本领域的技术人员熟知这些逻辑和物理信道的实现,于是这里不再赘述。
图1表示了应用服务器50。用户设备30可通过GPRS网络,与应用服务器连接,所述应用服务器与一个或多个数据网络,例如(但不限于)例证的因特网协议(IP)网络连接。要认识到大量的应用服务器可与每个数据网络连接。
已沿着借助由控制器实体,例如服务器处理的数据网络的各种功能,向用户设备提供服务的方向,形成通信系统。例如,在目前的第三代(3G)无线多媒体网络体系结构中,假定提供各种控制功能的几个不同服务器被用于服务提供控制。这些包括诸如呼叫会话控制功能(CSCF)之类的功能。呼叫会话功能可被分成不同的类别,例如代理呼叫会话控制功能(P-CSCF),询问呼叫会话控制功能(I-CSCF),和服务呼叫会话控制功能(S-CSCF)。要认识到在不同的系统中,可用不同的名称提及类似的功能。例如,在某些应用中,CSCF可被称为呼叫状态控制功能。
希望通过IMS系统,使用应用服务器提供的服务的用户需要首先向服务控制器,例如服务呼叫会话控制功能(S-CSCF)36注册。如图1中所示,可通过至少一个代理呼叫会话控制功能(P-CSCF)35,路由S-CSCF 36和用户设备30之间的通信。从而,代理CSCF 35用于代理(proxying)从GGSN 34到服务呼叫会话控制功能36的消息。服务控制器,即图1中的CSCF 36再提供用户设备30需要向其注册的控制实体。为了使用户设备能够向通信系统请求业务,需要所述注册。
图1的系统还被安排成使已由骨干网络提供所需通信资源,并且向服务控制器36注册的用户必须通过在通信系统内,向服务控制器发送关于所需服务的请求,启动应用服务器50所述提供服务的使用。
还可设置用户信息存储实体,以便保存订户(即,用户)相关信息。在该特定实施例中,存储实体被表示成由本地订户服务器(HSS)37提供。在会话建立过程中以及以后,其它功能实体可通过适当的接口,询问本地订户服务器(HSS)37。订户信息可包括诸如验证所需的数据(例如订户或终端的注册身份)之类的信息。HSS 37还可被用于永久保存订户简档信息。
实施例以认识到下述情况为基础,即如果除了IMS验证和密钥协议(AKA)之外,或者作为IMS验证和密钥协议(AKA)的备选方案,本地IMS网络被配置成支持服务其用户设备不支持IPSec的订户的其它一些安全机制可能有利。
在所示的例子中,服务控制器36被配置成支持第一或默认的安全机制和至少一种其它安全机制。在这里详细说明的例子中,S-CSCF36被配置成支持作为默认安全机制的IPsec,和作为辅助安全机制的超文本传送协议摘要(HTTP摘要)。
现在参见图2,在步骤100中,用户设备(UE)30可通过向服务控制器,例如向图1的S-CSCF 36发送包括注册请求的消息,启动注册过程。随后在步骤102,根据请求消息,确定用户设备30支持的安全机制。
在一个优选实施例中,在另一控制器,例如在图1的P-CSCF 35中进行所述确定。在该实施例中,通过发送用户设备支持的安全机制的恰当指示,辅助或代理控制器35可把恰当的安全机制通知服务控制器36。
如果步骤102得到用户设备30支持不同于服务控制器36的第一安全机制的另一安全机制的结论(步骤104),那么服务控制器不同于默认程序地处理该用户设备。该程序包括步骤106,在步骤106,服务控制器36向用户设备30发送与所述另一安全机制一致的质询(challenge)。
当用户设备30需要向服务控制器发送另一消息,例如注册过程所需的另一消息或者业务请求时,在步骤108中,它把对所述质询的响应包括在所述另一消息中。随后在步骤110,服务控制器根据包括在所述另一消息中的响应,验证所述另一消息。
一旦消息的验证用掉质询和对质询的响应,那么在步骤112,向用户设备30发送新的质询。随后当向服务控制器发送下一消息时,用户设备30需要响应所述新质询。
该方案最好是这样的,即每次服务控制器响应来自用户设备的验证请求时,服务控制器包括一个新的质询。在该优选方案中,来自用户设备的下一请求将被拒绝,除非能够根据对包括在来自服务控制器的在先响应中的质询的响应,验证所述下一请求。
下面将更详细地说明一个实施例,其中借助基于HTTP摘要的安全机制,提供备选验证。
图3表示了实现向IMS的注册,更具体地说,向IMS的服务CSCF36注册,以致CSCF 36可验证使用HTTP摘要,而不是IPSec的订户的信令流程图.在用户设备提供的所支持安全机制的列表不包含用户设备30支持3GPP的IPsec的指示的情况下,是需要这样的.
质询可包括下一临时(nonce)值。下一临时值和消息一起从服务控制器被发送给用户设备,并且当从用户设备发送另一,即下一消息时,可被用于产生摘要。服务控制器随后可根据对前一消息中,发送给用户设备的下一临时值的响应,验证用户设备。所述前一消息可以是发送给用户设备的任意消息,从而不必在明确的质询消息中,发送与其它消息相关的临时值。
消息接发以会话起始协议(SIP)为基础。为了便于通过使两个或更多端点了解会话语义,启动两个或更多端点之间的会话,提出了SIP。与基于SIP的通信系统连接的用户可根据标准化的SIP消息,与通信系统的各种实体通信。用户设备或运行用户设备上的某些应用程序的用户向SIP骨干注册,从而特定会话的邀请可被正确地传送给这些端点。为了实现这一点,SIP向装置和用户提供注册机构,并且它应用诸如位置服务器和登记服务器之类的机构,恰当地路由会话邀请。可能的会话的例子包括因特网多媒体会议,因特网电话呼叫,和多媒体分配。
3GPP中使用的机制假定当启动安全协议机制时,客户机将在SIP请求中发送安全性-客户机报头。该报头可包括所支持的安全机制的指示。
请求注册的用户设备30经IMS系统向P-CSCF 35,再向S-CSCF36发送消息1。消息1可以是SIP REGISTER请求。在发送消息1之前,用户设备30把安全性-客户机报头包括在请求中。安全性-客户机报头包括可能提及,也可能不提及‘ipsec-3gpp’的列表。除此之外,请求1还可包括授权报头。授权报头可包括摘要-AKA或摘要授权所需的参数。
当收到该请求时,P-CSCF 35检测安全性-客户机报头。如果安全性-客户机报头未列举‘ipsec-3gpp’机制,那么P-CSCF 35断定特定的用户设备不支持3GPP的IPsec的使用。如果确定不支持IPsec,那么P-CSCF 35可用信号通知S-CSCF 36,该特定用户设备将不使用ipsec-3gpp。
如果不指示其它什么内容,那么这意味着在P-CSCF 35和用户设备30之间不存在完整性保护。于是,如果安全性-客户机报头指示用户设备支持HTTP摘要,并且P-CSCF 35知道S-CSCF 36也支持HTTP摘要机制,那么P-CSCF 35可从请求中除去安全性-客户机报头,并把代替‘ipsec-3gpp’安全机制,需要使用‘HTTP摘要’机制的指示包括在授权报头中。例如,在消息2的授权报头中,可插入表示出‘HTTP摘要’机制的使用的适当安全参数。
消息2,即,注册请求随后被转发给S-CSCF 36。如果S-CSCF 36发现消息2包括安全机制的指示,例如授权报头中的‘安全性:HTTP摘要’参数,那么S-CSCF 36可断定在用户设备30和P-CSCF 35之间不存在任何安全关联(SA)。从而,S-CSCF 36可判定需要将其中具有一个下一临时值的‘验证信息’报头包括在所有响应中。这是与用户发送的每个请求相联系的用户的验证所需要的。这是所希望的,因为否则将没有采取其它任何安全机制。
图3还详细表示了当S-CSCF 36判定具有‘下一临时’值的验证信息报头需要被插入对验证请求的所有响应时,操作的可能性。这种情形下,S-CSCF 36通过检查对在早先响应中发送的质询的响应,验证用户设备30的所有请求。
通过查询HSS 37,参见图3中的消息3,S-CSCF 36可获得产生质询,例如下一临时值所需的数据。诸如下一临时值之类的质询可包含在验证矢量(AV)中。在收到消息4中的所需信息之后,通过经由P-CSCF 35和IMS发送包括下一临时值的消息5,S-CSCF 36可质询用户设备30.消息5可以是,例如‘SIP 401’消息。
P-CSCF 35可把表示HTTP摘要的使用的安全性-服务器报头插入消息5中,之后,该消息作为消息6被发送给用户设备30。
用户设备30随后借助SIP REGISTER消息,发送请求验证的另一消息7。消息7可包括安全性-核实报头和授权报头,所述授权报头携带对在消息6中从S-CSCF 36接收的质询的响应。P-CSCF 35可除去安全性-核实报头,随后把该请求作为消息8转发给S-CSCF 36。
S-CSCF 36随后核实消息8中的响应是否等于预期的响应。在得到肯定的核实结果之后,S-CSCF 36发送包括具有新质询的验证信息报头的SIP 200OK消息9。在图3的例子中,该新质询包括下一临时值。下一临时值可以是,例如从HSS数据库37获得的新的HTTP摘要验证矢量(AV)。消息9作为消息10从P-CSCF 35被转发给用户设备30。消息10的接收完成注册程序。
当用户设备30向网络发送业务请求11时,业务请求11应包括包含对在消息10中收到的下一临时值的响应的授权报头。根据该响应,S-CSCF 36随后能够验证请求12,而不必在收到请求12之后,明确地质询用户。S-CSCF 36可对照在消息9中,发送给用户设备30的临时值,检查消息12的授权报头中的响应。
在肯定的验证结果的情况下,还在消息13中,把请求传送给恰当的网络实体,例如应用服务器50。当从应用服务器收到关于该请求的SIP ‘200OK’消息14时,S-CSCF 36可把验证信息报头插入该消息中,以致来自S-CFCS 36的消息15包含一个新的质询,例如下一临时值。
消息5和9可包含类似的质询,唯一的差别在于消息9中的值是对消息5的质询的“下一”质询。每次向用户数据库要求质询时,能够获得将被插入给用户设备的消息中的恰当质询。另一方面,在注册过程中,通过单一查询,例如借助图3的查询3,服务控制器能够获得关于许多质询的数据。
上述机制使不支持IPSec的用户设备能够向IMS注册。它还允许这样的用户设备的请求由S-CSCF验证。这提供了3GPP标准的一种备选的安全性解决方案。从而,并不完全遵从3GPP规范的用户设备,例如不支持基于IPSec的完整性保护,例如无线一键通(push totalk over cellular:PoC)的那些用户设备,通过改为使用HTTP摘要,也能与IMS连接。
除了基本验证之外,HTTP摘要还提供在服务应用中,可有利使用的其它一些特征,从而,即使用户设备支持IPsec,一些用户也可能宁愿用HTTP摘要,而不用IPsec。例如,HTTP摘要具有防止重放攻击,验证从用户设备(UE)接收的每条消息,为对质询的响应进行完整保护等的特征。
应认识到虽然关于诸如移动站之类的用户设备说明了本发明的实施例,不过本发明的实施例还适用于需要被验证的任意其它类型的设备。
上面在IMS系统和GPRS网络的环境下,说明了本发明的例子.本发明还适用于任意其它接入技术,包括码分多址访问,频分多址访问或时分多址访问,以及它们的任意混合物.此外,在具有全部SIP实体的所谓全SIP网络的环境下,说明了指定例子.本发明还适用于任意其它恰当的通信系统(无线系统或固定线路系统)和标准及协议.能够实现无线数据通信服务的其它可能通信系统的例子包括(但不限于)第三代移动通信系统,例如通用移动电信系统(UMTS),i-phone或CDMA2000及地面中继无线电(TETRA)系统,GSM演进的增强型数据速率(EDGE)移动数据网络.固定线路系统的例子包括向不同位置,例如在家里和办公室中的用户提供因特网接入的不同宽带技术.与用于通信网络的标准和协议无关,可在需要网络实体注册的所有通信网络中应用本发明.
在代理和服务呼叫状态控制功能的环境下,讨论了本发明的实施例。本发明的实施例可适用于适宜的其它网络部件。除了上述的本地订户服务器(HSS)之外,或者作为上述的本地订户服务器(HSS)的备选方案,可从保存用户专用信息的任意适当数据库获得所需的验证信息。
这里还要指出的是,虽然上面说明了本发明的例证实施例,不过在不脱离附加权利要求限定的本发明的范围的情况下,可对公开的解决方案做出各种变化和修改。
Claims (23)
1.通信系统中的一种方法,所述通信系统中,服务控制器被配置成支持第一安全机制和至少一个其它安全机制,所述方法包括下述步骤;
从用户设备向服务控制器发送注册请求;
根据所述请求,在第二控制器中确定用户设备支持不同于第一安全机制的另一安全机制;
从第二控制器向服务控制器发送用户设备使用不同于第一安全机制的另一安全机制的指示;和
从服务控制器向用户设备发送和所述另一安全机制一致的质询。
2.按照权利要求1所述的方法,还包括把对质询的响应包括在从用户设备到服务控制器的消息中的步骤。
3.按照权利要求2所述的方法,包括在服务控制器,把所述响应用于消息的验证的步骤。
4.按照前述任意权利要求所述的方法,其中第二控制器包括在用户设备和服务控制器之间,提供代理呼叫状态控制功能的网络实体。
5.按照权利要求1所述的方法,其中用户设备向服务控制器的注册包括下述步骤:从服务控制器向用户设备发送质询,从用户设备发送对所述质询的响应,和只有当从用户设备收到满意的响应时,才向服务控制器注册所述用户设备,还包括在注册步骤完成之后,向用户设备发送另一质询的步骤。
6.按照权利要求1所述的方法,包括从用户信息数据库获得用于发送质询的数据的步骤。
7.按照权利要求1所述的方法,其中质询包括验证矢量。
8.按照权利要求1所述的方法,其中第一安全机制包括根据安全因特网协议(IPSeC)的安全机制。
9.按照权利要求1所述的方法,其中另一安全机制包括根据超文本传送(HTTP)摘要协议的安全机制。
10.按照权利要求1所述的方法,包括在根据会话起始协议的消息中,至少发送质询或响应。
11.按照权利要求1所述的方法,包括向因特网多媒体子系统(IMS)的服务控制器注册用户设备的步骤。
12.按照权利要求2所述的方法,其中所述把对质询的响应包括在从用户设备到服务控制器的消息中的步骤还包括下述步骤:
把用户设备所支持的安全机制的列表包括在注册请求的安全性-客户机报头中;
在第二控制器,根据所述列表,判断用户设备支持另一安全机制,而不是第一安全机制;
从所述请求中除去安全性-客户机报头,并把将使用所述另一安全机制的指示包括在请求的授权报头中;和
把所述请求转发给服务控制器。
13.按照权利要求1所述的方法,包括在消息的验证信息报头中,把质询发送给用户设备的步骤。
14.按照权利要求1所述的方法,其中待验证的消息包括对应用服务器提供的服务的请求。
15.一种通信系统,包括:
被配置为接受用户设备的注册,并支持至少两种不同的安全机制的服务控制器;和
用于向服务控制器提供信息的装置,所述信息和已请求向服务控制器注册的用户设备所支持的安全机制相关,其中服务控制器被配置成向用户设备发送和确定的安全机制一致的质询,并根据包括在来自用户设备的消息中的对质询的响应,验证该消息。
16.按照权利要求15所述的通信系统,其中提供关于所支持的安全机制的信息的装置设置在第二控制器中。
17.按照权利要求16所述的通信系统,其中第二控制器包括在用户设备和服务控制器之间提供代理呼叫状态控制功能的网络实体。
18.按照权利要求15-17任一所述的通信系统,包括被配置为保存与质询相关的数据的用户信息数据库。
19.按照权利要求15所述的通信系统,其中服务控制器被配置成支持根据安全因特网协议(IPsec)的安全机制。
20.按照权利要求15所述的通信系统,其中服务控制器被配置成支持根据超文本传送(HTTP)摘要协议的安全机制。
21.按照权利要求15所述的通信系统,所述通信系统包括因特网多媒体子系统(IMS)。
22.按照权利要求15所述的通信系统,包括与应用服务器的连接,其中由服务控制器根据对质询的响应来验证的消息包括对应用服务器提供的服务的请求。
23.按照权利要求15所述的通信系统,其中由服务控制器根据对质询的响应来验证的消息包括向服务控制器的注册请求。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GBGB0324364.9A GB0324364D0 (en) | 2003-10-17 | 2003-10-17 | Authentication of messages in a communication system |
| GB0324364.9 | 2003-10-17 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1610441A CN1610441A (zh) | 2005-04-27 |
| CN1610441B true CN1610441B (zh) | 2010-05-12 |
Family
ID=29559498
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004100841963A Active CN1610441B (zh) | 2003-10-17 | 2004-10-15 | 通信系统中消息的验证 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7600116B2 (zh) |
| EP (1) | EP1524816B1 (zh) |
| CN (1) | CN1610441B (zh) |
| GB (1) | GB0324364D0 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114365134A (zh) * | 2019-08-14 | 2022-04-15 | 亚萨合莱有限公司 | 使用不可克隆函数的安全身份证 |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1603088A1 (fr) * | 2004-06-03 | 2005-12-07 | Nagracard S.A. | Composant pour module de sécurité |
| CN100571134C (zh) * | 2005-04-30 | 2009-12-16 | 华为技术有限公司 | 在ip多媒体子系统中认证用户终端的方法 |
| CN101053203B (zh) * | 2005-05-31 | 2010-09-08 | 华为技术有限公司 | 对终端用户标识模块进行因特网多媒体域鉴权的方法及系统 |
| CN100428848C (zh) * | 2005-05-31 | 2008-10-22 | 华为技术有限公司 | 一种对终端用户标识模块进行ip多媒体域鉴权的方法 |
| US8055262B1 (en) * | 2005-07-05 | 2011-11-08 | Nextel Communications Inc. | Dispatch network and IMS integration with centralized event notification server |
| US8191116B1 (en) * | 2005-08-29 | 2012-05-29 | At&T Mobility Ii Llc | User equipment validation in an IP network |
| US20070289009A1 (en) * | 2006-06-12 | 2007-12-13 | Nokia Corporation | Authentication in a multiple-access environment |
| US20080092226A1 (en) * | 2006-10-12 | 2008-04-17 | Motorola, Inc. | Pre-registration secure and authenticatedsession layer path establishment |
| WO2008061570A1 (en) * | 2006-11-24 | 2008-05-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication in a communications network |
| TW200929974A (en) * | 2007-11-19 | 2009-07-01 | Ibm | System and method for performing electronic transactions |
| JP5325296B2 (ja) | 2008-08-01 | 2013-10-23 | ノキア シーメンス ネットワークス オサケユキチュア | 認証をスキップすることをs−cscfに指示するためにレガシーp−cscfをサポートする方法、装置、システム及コンピュータプログラム製品 |
| US8181030B2 (en) * | 2008-12-02 | 2012-05-15 | Electronics And Telecommunications Research Institute | Bundle authentication system and method |
| US9258696B2 (en) * | 2009-02-11 | 2016-02-09 | Alcatel-Lucent | Method for secure network based route optimization in mobile networks |
| EP2395780B1 (en) * | 2010-06-14 | 2019-08-07 | Koninklijke KPN N.V. | Authenticity verification of authentication messages |
| NO331795B1 (no) * | 2010-06-17 | 2012-04-02 | Cisco Systems Int Sarl | System for a verifisere et videosamtalenummeroppslag i en katalogtjeneste |
| CN102791024A (zh) * | 2012-06-25 | 2012-11-21 | 华为软件技术有限公司 | 一种注册方法及客户端设备 |
| US9565216B2 (en) | 2014-10-24 | 2017-02-07 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for security protocol selection in internet protocol multimedia subsystem networks |
| BR112018003484A2 (pt) * | 2015-08-25 | 2018-09-25 | Huawei Tech Co Ltd | método, aparelho e sistema de transmissão de pacote de dados e dispositivo de nó |
| US9979730B2 (en) * | 2015-10-30 | 2018-05-22 | Futurewei Technologies, Inc. | System and method for secure provisioning of out-of-network user equipment |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5499297A (en) * | 1992-04-17 | 1996-03-12 | Secure Computing Corporation | System and method for trusted path communications |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2531354B2 (ja) * | 1993-06-29 | 1996-09-04 | 日本電気株式会社 | 認証方式 |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| US6621793B2 (en) * | 2000-05-22 | 2003-09-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Application influenced policy |
| FR2822320B1 (fr) * | 2001-03-16 | 2003-07-04 | Evolium Sas | Procede pour le controle de session d'appel multimedia dans un systeme cellulaire de radiocommunications mobiles |
| US20040121760A1 (en) * | 2001-04-25 | 2004-06-24 | Illkka Westman | Authentication in a communication system |
| US7243370B2 (en) * | 2001-06-14 | 2007-07-10 | Microsoft Corporation | Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication |
| DE10142959A1 (de) * | 2001-09-03 | 2003-04-03 | Siemens Ag | Verfahren, System und Rechner zum Aushandeln einer Sicherheitsbeziehung auf der Anwendungsschicht |
| US7082118B1 (en) * | 2001-11-15 | 2006-07-25 | Cisco Technology, Inc. | Maintaining session connectivity when a mobile node moves from one layer 3 network to another |
| ATE320684T1 (de) * | 2002-01-18 | 2006-04-15 | Nokia Corp | Verfahren und einrichtung zur zugriffskontrolle eines mobilen endgerätes in einem kommunikationsnetzwerk |
| US7219223B1 (en) * | 2002-02-08 | 2007-05-15 | Cisco Technology, Inc. | Method and apparatus for providing data from a service to a client based on encryption capabilities of the client |
| US20030159067A1 (en) * | 2002-02-21 | 2003-08-21 | Nokia Corporation | Method and apparatus for granting access by a portable phone to multimedia services |
| US7136635B1 (en) * | 2002-03-11 | 2006-11-14 | Nortel Networks Limited | Proxy SIP server interface for session initiation communications |
| DE60206634T2 (de) * | 2002-10-22 | 2006-06-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Verfahren und System zur Authentifizierung von Benutzern in einem Telekommunikationssystem |
-
2003
- 2003-10-17 GB GBGB0324364.9A patent/GB0324364D0/en not_active Ceased
-
2004
- 2004-01-21 US US10/760,521 patent/US7600116B2/en active Active
- 2004-10-04 EP EP04256120.9A patent/EP1524816B1/en active Active
- 2004-10-15 CN CN2004100841963A patent/CN1610441B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5499297A (en) * | 1992-04-17 | 1996-03-12 | Secure Computing Corporation | System and method for trusted path communications |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114365134A (zh) * | 2019-08-14 | 2022-04-15 | 亚萨合莱有限公司 | 使用不可克隆函数的安全身份证 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20050097363A1 (en) | 2005-05-05 |
| CN1610441A (zh) | 2005-04-27 |
| EP1524816A3 (en) | 2015-03-18 |
| EP1524816A2 (en) | 2005-04-20 |
| US7600116B2 (en) | 2009-10-06 |
| GB0324364D0 (en) | 2003-11-19 |
| EP1524816B1 (en) | 2018-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1610441B (zh) | 通信系统中消息的验证 | |
| US8126459B2 (en) | Controlling registration in a communication system | |
| CN1894985B (zh) | 通信系统中的控制决策 | |
| US9560083B2 (en) | Service denial and termination on a wireless network | |
| CN1748384B (zh) | 用于在网络中授权对用户信息进行访问的方法和系统 | |
| US8635343B2 (en) | Method and element for service control | |
| CN1871831B (zh) | 用于处理服务故障的方法 | |
| US20040121760A1 (en) | Authentication in a communication system | |
| US8295171B2 (en) | Sessions in a communication system | |
| US7484240B2 (en) | Mechanism to allow authentication of terminated SIP calls | |
| NZ544016A (en) | Registrations in a communication system | |
| US20040193920A1 (en) | Service provisioning in a communication system | |
| CN100571258C (zh) | 提供通信网之间安全通信的方法和系统 | |
| CN102934415A (zh) | 传送认证信息 | |
| CN102480487B (zh) | 基于认证的多用户在线视频游戏方法及系统 | |
| CN101601252B (zh) | 用于在ims网络中通过一组服务器提供网络服务的方法和设备 | |
| US20050086541A1 (en) | Service access | |
| EP1880556B1 (en) | Method and element for service control | |
| US20050159157A1 (en) | Authentications in a communication system | |
| US20040203432A1 (en) | Communication system | |
| KR20080016610A (ko) | 단말, 비상센터, 네트워크, 그리고 단말 신원을 이용하여비상 세션을 확립하기 위한 네트워크 요소, 시스템 및 방법 | |
| CN101155336B (zh) | 实现消息系统用户漫游的方法及其系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160121 Address after: Espoo, Finland Patentee after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Patentee before: Nokia Oyj |