CN1849837A - 用于在访问多媒体服务时验证用户的设备及方法 - Google Patents
用于在访问多媒体服务时验证用户的设备及方法 Download PDFInfo
- Publication number
- CN1849837A CN1849837A CNA038269848A CN03826984A CN1849837A CN 1849837 A CN1849837 A CN 1849837A CN A038269848 A CNA038269848 A CN A038269848A CN 03826984 A CN03826984 A CN 03826984A CN 1849837 A CN1849837 A CN 1849837A
- Authority
- CN
- China
- Prior art keywords
- implicit expression
- user
- mmd
- checking
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/04—Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
本发明提供在接入网域与多媒体域之间对给定用户执行跨域验证的域间验证机制,这种域间验证机制比现有机制更简单,并且在用户已经由接入网验证的情况中适用。因此,根据本发明提供一种新特征、即“多媒体域的隐式验证”,它可实现为与订户服务器密切配合或者完全集成在所述订户服务器中的专用多媒体验证装置。为此,提供新装置、新用户设备以及新方法,它们全部设置用于在不同网络之间或者不同技术域之间再用验证数据,并借助于根据本标准的多媒体域的其它实体。
Description
发明领域
[0001]本发明涉及用于验证通过在其中用户已经被验证的接入网来访问多媒体网络的用户的简化程序。
背景
[0002]许多当前存在的移动网以及由标准化团体定义的可能的未来网络要求终端用户和用户代理在访问网络时,更合适地说,在访问与网络关联的服务时验证其自身。在这方面,如3GPP和3GPP2标准所定义的GSM、GPRS、无线局域网(WLAN)和多媒体(IMS)域都要求用户的设备或终端被设置成在允许用户或用户代理对所述域进行访问之前运行各具体技术域特定的验证程序。特别是,上述技术域以及其它新兴的技术域要求不同的安全等级,使得贯穿不同技术域的访问更为复杂。这种访问贯穿意味着不一定始终需要的额外安全性,因而意味着额外的处理和信令能力以及用户设备或终端中的额外复杂度。
[0003]目前,3GPP多媒体域中的验证过程按照3G TS 33.203标准所述以及图1中所示、根据基于会话发起协议(SIP)的信令流来执行。如图1所示以及引用的技术规范所述,总是当用户在多媒体域中注册时会执行多媒体验证,通常是通过发送给定保密和公开身份的SIP Register(SIP注册)消息开始。
[0004]在开始以上所述流程之前假定的初始条件是,终端用户必须在访问多媒体域之前让数据连接开通。这个连接依据激活了PDP上下文可能是GPRS连接,或者依据如IEEE 802.11标准规定的建立了数据连接可能是WLAN连接,或者另一个接入网为用户侧提供数据连接。在这种情况中,终端用户或用户代理已经通过无论是GPRS或WLAN还是另一个的接入网验证,以便建立这种数据连接并且在向多媒体域发送SIPRegister之前。
[0005]具体来说,当前使用的接入网、即GPRS以及WLAN提供各自的验证机制,即用于GPRS的SIM/USIM-AKA以及用于WLAN的EAP-SIM/AKA,而多媒体域当前利用提供与上述接入网类似的安全等级的验证机制,即所谓的USIM-AKA,它在SIP Register消息到达在服务呼叫状态控制功能(S-CSCF)实体时被执行,如图1所示。在这方面,图2说明对于已经访问其中RADIUS和MAP似乎是最可能的协议备选方案、但是DIAMETER也可用于取代RADIUS或MAP的WLAN网络的用户执行EAP AKA验证要遵从的动作序列。
[0006]目前,希望得到多媒体域的访问权的用户需要预先建立数据连接,这常通过诸如GPRS或WLAN之类的接入网来执行,因此,首先采用WLAN接入网的EAP-SIM/AKA验证用户,其次在用户注册到多媒体域时应当采用USIM-AKA对其进一步验证。
[0007]可以推断,目前没有在诸如GPRS或WLAN之类的接入网与基于SIP的多媒体域之间对给定用户执行跨域验证的验证机制。换言之,不存在能够代表用户或SIP用户代理来管理验证数据、并且一旦在用户通过其进行访问的接入网中已经发生验证时、使所述用户或SIP用户代理无需在多媒体域中执行验证操作的现有服务或装置,所述接入网可能是GPRS或WLAN。
[0008]在这种情况中,如3G TS 33.203所述及图1所示的多媒体域的验证在无线电路径中添加额外信令,这在一些情况下可能不必要。首先,在SIP Register由S-SCSF接收后,S-SCSF通常向SIP用户代理发送Authentication Challenge(验证查询)消息。如果这个操作成功,则S-CSCF将定期向SIP用户代理发送Authentication-Vector-request(验证向量请求),SIP用户代理又必须以Authentication-Vector-response(验证向量响应)进行响应。这两种消息对多媒体域增加额外负荷以及更长的注册时间。也就是说,SIP用户代理应当处理及响应Authentication-Challenge和Authentication-Vector-request。这些消息要求SIP用户代理进行的额外处理,这意味着SIP用户代理必须利用这个过程的功率而不是利用像可能具有高功耗性质的多媒体服务那么多的功率,并且记住电池的有限电力。
[0009]因此,本发明的目的在于提供在接入网域与多媒体域之间为给定用户执行跨域验证的域间验证机制,这种域间验证机制比现有机制简单,并且在用户验证已经由接入网执行的情况中适用。
发明内容
[0010]根据本发明,通过提供全部设置用于在不同网络之间或者在不同技术域之间再用验证数据的权利要求1的装置、权利要求10的用户设备以及权利要求15的方法,并且借助于均为根据3GPP和3GPP2标准的多媒体域的实体的权利要求23的负责在多媒体域中验证用户的在服务实体以及权利要求29的代理实体和权利要求32的询问实体,来实现上述目的。因此,根据本发明提供一种新特征,以下称作“多媒体域的隐式验证”,它可实现为与订户服务器密切配合或者完全集成在所述订户服务器中的专用多媒体验证装置。所述订户服务器是在订户验证过程中涉及的订户数据库,例如归属订户服务器(HSS)或者验证-授权-记帐(AAA)服务器,以及多媒体验证装置具有必要的逻辑和组件,以便允许诸如无线局域网(WLAN)、通用分组无线电系统(GPRS)网络、通用移动电信系统(UMTS)或者码分多址(CDMA2000)网络之类的接入网与所述多媒体域之间的验证数据的再用。
[0011]根据本发明对于通过接入网访问多媒体域的用户的多媒体验证是有用的装置被设置成在保存用户的验证数据并且可由多媒体域访问的接入网的订户服务器中使用或者与其配合。所述装置包括:用于判定用户或者准确地说是用户设备与多媒体域之间的隐式验证可进行的部件;以及用于指示负责在多媒体域中验证用户的在服务实体可进行隐式验证。这种装置的使用因而省略对于显式验证的需要。
[0012]在这种装置中,用于判定可进行隐式验证的部件最好是包括用于确定通过所述接入网访问多媒体域的信令路径的潜在安全性的部件。为此,装置可能还包括设置成评估不同信令路径的安全性的提供和配置数据部件。此外,用于判定可进行隐式验证的部件可包括用于处理源自用户设备的隐式验证的建议的部件。
[0013]装置有利地设置成确定隐式验证是否只是对可能强迫显式验证的用户设备的建议,或者是网络采取的最终决定,使得不可执行显式验证。因此,用于指示在服务实体可进行隐式验证的部件包括用于表明最终判定是在用户设备上的部件以及用于表明这是由网络采取的最终判定的部件。
[0014]在这个方面,装置还包括用于通知用户访问多媒体域的用户的隐式验证可由网络执行的部件。然而,这种通知部件也可能驻留在多媒体域的其它实体中。
[0015]此外,假定对于是否执行隐式验证的最终判定根据本发明可在用户设备侧,所述装置还包括用于接收源自用户设备侧的指示以便确认网络提出的隐式验证的接受的部件。在接收这种接受确认的情况中,装置还包括用于向负责在多媒体域中验证用户的在服务实体表明用户设备已经确认隐式验证的部件。装置还可具有用于向所述在服务实体提供附加验证数据的部件,所述附加验证数据包括从包括以下各项的元素组中选取的至少一个元素:验证类型;访问信息;以及验证时标。
[0016]按照传统方式,使用户设备能够得到通过接入网对多媒体域的访问权,因而设置成对于接入网执行第一显式验证过程以及对于多媒体域执行第二显式验证过程。接入网包括订户服务器以便保存用户的验证数据,以及为了本发明,所述订户服务器是多媒体域可访问的。根据本发明,用户设备包括用于处理从包括以下各项的通知的组中选取的至少一个通知的部件:来自多媒体域的通知,表明可执行用户的隐式验证;以及送往多媒体域的通知,表明用户设备向网络建议隐式验证。
[0017]这种部件可有利地包括用于从多媒体域接收最终判定在可能强迫显式验证的用户设备侧或者它是网络采取的最终判定的指示、使得不可执行显式验证的部件。特别是设置用于最终判定在用户侧的情况,用户设备还包括用于向多媒体域发送确认网络所提出的隐式验证的接受的指示的部件。此外,用户设备可具有用于向多媒体域提供附加验证数据的部件,所述附加验证数据包括从包括以下各项的元素组中选取的至少一个元素:验证类型;访问信息;以及验证时标。
[0018]还提供一种用于在多媒体域中当用户通过接入网对其访问时验证用户的方法,该方法传统上包括:在接入网中验证用户的步骤,所述接入网具有包含用户的验证数据并且是多媒体域可访问的订户服务器;以及把用户注册到多媒体域中的步骤。
[0019]根据本发明,这种方法还包括:
-判定用户与多媒体域之间的隐式验证可进行、因而省略对显式验证的需要的步骤;以及
-指示负责在多媒体域中验证用户的在服务实体可进行隐式验证的步骤。
[0020]这种方法还可包括从多媒体域向用户设备通知访问多媒体域的用户的隐式验证可被执行的步骤。
[0021]在这种方法中,判定可进行隐式验证的步骤最好是包括确定通过所述接入网访问多媒体域的信令路径的潜在安全性的步骤。此外,判定可进行隐式验证的上述步骤还可包括从用户设备向多媒体域建议要在所述用户设备与多媒体域之间执行隐式验证的步骤。
[0022]另外在这种方法中,指示在服务实体可进行隐式验证的步骤最好是包括表明最终判定是在可能强迫显式验证的用户设备上还是最终判定由网络采取、使得不可执行显式验证的步骤。另外,特别是对于最终判定在用户侧的情况,该方法还可包括从用户设备确认网络所提出的隐式验证的接受的步骤。此外并且与上述步骤结合,该方法还可包括向负责在多媒体域中验证用户的在服务实体表明用户已经确认隐式验证的步骤。
[0023]本发明还提供负责在多媒体域中当用户通过先前已经验证所述用户的接入网对多媒体域访问时验证用户设备的在服务实体。根据本发明,这种在服务实体包括:用于从上述装置接收表明可进行隐式验证的指示的部件;以及用于通知用户设备访问多媒体域的用户的隐式验证可由网络来执行的部件。
[0024]这种在服务实体有利地以下列方式设置:用于通知用户隐式验证可由网络来执行的部件包括用于向用户表明隐式验证是否是网络采取的最终判定并且不可执行显式验证、或者隐式验证是来自网络的、用户可能接受或者通过强迫显式验证拒绝的建议的部件。
[0025]在隐式验证是网络的建议的情况中,在服务实体有利地包括用于接收源自用户设备、确认网络提出的这种隐式验证的接受的指示的部件。此外,这种在服务实体最好是包括用于从上述装置接收用户已经确认隐式验证的这种指示的部件。
[0026]这种在服务实体可有利地包括用于检查分别从上述装置和用户设备接收的附加验证数据的匹配、以便提供额外安全性支持的其它部件。这些附加验证数据包括包含以下各项的元素组中的至少一个元素:验证类型;访问信息;以及验证时标。
[0027]本发明还通过提供其它一些实体、如代理和询问实体以便针对遵循3GPP或3GPP2标准的典型拓扑来补充。
[0028]根据3GPP和3GPP2标准,代理实体意在用作用户通过已经对用户进行验证的接入网访问的多媒体域的入口点。根据本发明,这种代理实体包括用于处理从包括以下各项的通知的组中选取的至少一个通知的部件:
-向用户设备发送以表明访问多媒体域的用户的隐式验证可由网络来执行的通知;以及
-从用户设备接收以向多媒体域提出所述用户设备与多媒体域之间的隐式验证的通知。
[0029]这种代理实体还经过有利地设置,使得用于通知用户隐式验证可由网络来执行的部件包括用于向用户表明隐式验证是网络采取的最终判定并且不可执行显式验证、还是隐式验证是来自网络的用户可能接受或者通过强迫显式验证拒绝的建议的部件。
[0030]在隐式验证是网络建议的情况中,代理实体有利地包括用于从用户设备接收接受网络提出的这种隐式验证的指示的部件。
[0031]根据3GPP和3GPP2标准,询问实体用来查询多媒体域中的订户服务器关于用户已经通过另一个接入网访问所述多媒体域。这种询问实体包括:用于从用户接收注册请求的部件;以及用于向用户确认这种注册的部件,以及根据本发明,询问实体还包括用于向用户设备传送访问多媒体域的用户的隐式验证可被执行的指示的部件。
[0032]为了实现本发明提供的其它有利特征,询问实体最好是包括:用于接收源自用户设备的、确认网络提出的隐式验证的接受或者其本身提出这种隐式验证的指示的部件;以及用于向从包括上述装置和在服务实体的实体组中选取的至少一个实体传送用户接受的这种确认的部件。
[0033]此外以及为了实现本发明提供的其它有利特征,询问实体还包括用于向用户设备传送隐式验证是网络采取的最终判定并且不可执行显式验证的指示的部件。
附图概述
[0034]通过结合附图阅读本说明,本发明的特征、目的和优点将变得明显,其中:
[0035]图1说明根据3GPP TS 33.203在多媒体域中的验证流程的基本示意图。
[0036]图2说明在通过WLAN接入网、遵循EAP-AKA机制的用户的验证过程中的体系结构组件和信令流的概览。
[0037]图3说明流序列,描述用于再用已经通过GPRS或UMTS网络访问多媒体域的用户的先前验证的当前优选实施例,其中,用户设备接收这方面的通知并被提供接受或不接受隐式验证的可能性。
[0038]图4说明流序列,描述图3所示实施例的备选实施例,在其中,用户设备接收这方面的通知,并且没有被提供接受或不接受隐式验证的可能性,而是收到关于已经发生这种隐式验证的通知。
[0039]图5说明备选流序列,描述图3和图4所示实施例的备选实施例,在其中,用户设备在定位过程中接收对多媒体域进一步执行隐式验证的邀请,因而对用户提供接受或不接受隐式验证的可能性。
[0040]图6说明对图5所示实施例的备选流序列,在其中,用户设备通过短消息业务(SMS)接收对多媒体域进一步执行隐式验证的邀请,因而对用户提供接受或不接受隐式验证的可能性。
[0041]图7说明流序列,描述用于再用已经通过WLAN网络访问多媒体域的用户的先前验证的当前优选实施例,在其中,用户设备接收这方面的通知并被提供接受或不接受隐式验证的可能性。
[0042]图8说明流序列,描述用于由CDMA 2000网络再用用户的先前验证的另一个优选实施例,用户通过分组数据业务网络访问多媒体域,在其中,用户设备接收这方面的通知并被提供接受或不接受隐式验证的可能性。
[0043]图9说明对图5和图6所示的那些实施例的备选流序列,在其中,用户设备不分别通过Update Location Answer(更新位置应答)消息或者通过短消息业务(SMS)接收邀请以便进一步执行隐式验证,而是用户设备向网络产生隐式验证的建议。
优选实施例的详细说明
[0044]下面描述用于为用户提供在通过已经对用户进行验证的接入网进行访问时由多媒体域隐式验证的可能性的设备、用户设备及方法的当前优选实施例。接入网最好是无线局域网(WLAN)、通用分组无线电系统(GPRS)网络、全球移动通信系统(GSM)网络、通用移动电信系统(UMTS)网络或者码分多址网络(CDMA 2000)。
[0045]本发明提供与具体可由密切配合订户服务器的独立装置来执行或者由订户服务器本身来执行的特征“多媒体域的隐式验证”驻留的位置有关的若干方面。
[0046]此外,本发明还提供与用户设备、即用户终端或SIM或USIM或者其组合有关的若干方面,取决于判定度是保留在用户侧还是保留在网络侧。
[0047]根据本发明的第一方面,具体可能是3GPP中的HSS或者3GPP2标准和CDMA 2000网络中的AAA服务器的订户服务器本身或者为特定用户支持对多媒体域的访问的多媒体验证装置根据用户通过其中进行访问的接入网所执行的先前订户验证,以及根据多媒体信令的安全承载通过接入网来执行的假设,来确定多媒体域的显式验证可能是不必要的。这种安全承载可能是例如在执行订户验证时GPRS作为接入网的情况中的PDP上下文或者WLAN作为对于归属网络的接入网的情况中的安全隧道。
[0048]根据本发明,订户服务器或者专用多媒体验证装置向负责验证用户的在服务实体、即在服务呼叫状态控制功能(S-CSCF)提供表明可根据通过接入网的先前承载验证对访问多媒体域的所述用户执行隐式验证过程的验证策略。
[0049]除了由用户正访问的网络对用户进行验证之外,3GPP验证过程还支持由用户对网络的验证。因此,根据本发明的另一个方面,订户服务器或专用多媒体验证装置能够可选地向用户设备表明另一个验证策略,以便建议用户可能或者可能不接受的一种可能的相互隐式验证。
[0050]由于“多媒体域的隐式验证”特征,减少了由用户或者由用户设备以及由网络执行的验证操作的量,因而实现多媒体域中的可避免信令消息的减少,同时保持所需安全等级,从而实现本发明的一个目的。
[0051]本发明适用于不同情况,在其中,用户利用特定的接入网来访问多媒体域,从而产生本发明的不同实施例。另外,可从一个实施例到另一个实施例引入若干变更,而没有实质上背离本发明的范围。
[0052]出现第一种情况,其中,用户由UMTS网络进行了验证,并且还通过GPRS网络访问多媒体域。
[0053]在这种情况下,根据图3所示的本发明的第一实施例,提供一种用于在多媒体域中验证用户的简化机制,其中,通知用户关于可能的隐式验证。用户、确切地说是用户设备侧(UE)在收到这个通知时可能接受隐式验证,或者根据多媒体域的适用标准强迫显式验证,如图1所示。此外,这种隐式验证可适用于由网络对用户的验证以及由用户对网络的验证。另外,所述隐式验证可能如图3所示由订户服务器、如负责UMTS网络中的用户的先前验证的归属用户服务器(HSS)来触发,或者由与所述订户服务器配合工作的专用多媒体验证装置来触发。
[0054]因此,根据图3所示的这个第一实施例,终端用户或用户设备在UMTS中被附加并验证,并且让GPRS PDP上下文开通。在这个阶段,终端用户和用户代理通过发起SIP注册过程得到对多媒体域的访问权。
[0055]这个SIP注册过程包括从用户侧(UE)向代理呼叫状态控制功能(P-CSCF)以及从这个实体向询问呼叫状态控制功能(I-CSCF)发送SIP Register消息。I-CSCF对归属订户服务器(HSS)发起通常所说的Cx-Selection-Info(Cx选择信息)过程,以便识别当前负责用户的在服务呼叫状态控制功能(S-CSCF)。一旦识别了这种S-CSCF,I-CSCF向S-CSCF发送相应的SIP Register消息。接收这种注册消息的S-CSCF对归属订户服务器(HSS)发起通常所说的Cx-Put过程。
[0056]假定HSS先前已经通过与在服务GPRS支持节点(SGSN)交换了用户简档和验证向量来参与用户的GPRS接入验证,则HSS除了其它网络拓扑信息之外还采用它的关于订户所在的SGSN的信息,来确定通过所述接入网访问多媒体域的信令路径的潜在安全性。因此,根据本发明,HSS本身或者专用多媒体验证装置可为用户决定隐式验证。为此,HSS在对S-CSCF的Cx-Put-response中包括“隐式验证”的指示。
[0057]当网关GPRS支持节点(GGSN)属于与HSS相同的归属域并且GGSN因而被认为是安全及可信的时,有利地作出向S-CSCF发送这个消息的决定。一种特别适合的情况是当HSS也信任订户所在的SGSN时,因为例如它们两者都属于相同的网络运营商,并且与是否为用户提供进一步拒绝所建议的隐式验证的可能性无关。
[0058]另外,特征“多媒体域的隐式验证”可包括基于订户的数据提供和数据配置,使得当用户让这种服务提供并且用户是可信的时,HSS本身或者专用多媒体验证装置可为该用户确定隐式验证。在这个方面以及考虑到可能在多媒体域中为特定用户提供多个用户标识符,以下涉及并在不同实施例中描述的隐式验证可应用于多媒体域中的全部或者特定的用户标识符。
[0059]另外,其它相关信息也可在Cx-Put-response消息中向S-CSCF发送,诸如验证类型、例如IP地址和联络信息之类的访问信息、验证时标以及其它重要数据,以便提供额外的安全性支持。
[0060]因此,对于上述的本发明的一个方面,可通知用户关于网络提出的、用于让用户接受或不接受的隐式验证。因此,S-CSCF以即时规定向SIP用户代理发送称作“SIP 4xx隐式验证”的新SIP消息,使得SIP用户代理在发现可接受时内部禁用在传统上被执行的显式多媒体验证过程。也就是说,SIP用户代理不会等待或预计接收3G TS 33.203中所述的Authentication-Challenge消息或者验证向量。此外,SIP用户代理或者更一般地说是用户设备将认为支持多媒体域的网络经过隐式验证。另一方面,SIP用户代理可能认为隐式验证是不可接受的,在这种情况下,在任何附图中均未示出的适当否定确认被发送给网络,以便根据上述适用标准强迫传统的显式验证机制。
[0061]仍然参照图3,一旦SIP用户代理已经接受隐式验证,则采用新的SIPRegister消息来响应这个消息。
[0062]在这个阶段,大家可能知道,由于根据本发明、通过对来自置信接入网的多媒体域验证数据进行再用所执行的隐式验证,本发明还提供一种有利的解决方案来支持在访问所述多媒体域之前已经由接入网验证的用户在多媒体域的单次登录(SSO)。
[0063]与这个有利的解决方案配合,图3说明最终从用户设备的SIP用户代理发送到S-CSCF的SIP Register包括“SSO使能”的指示,用于向网络表明隐式验证被接受。网络向S-CSCF提交这种SIPRegister消息,S-CSCF又向用户设备回送成功结果“SIP 200 OK”。终端用户这时注册到多媒体域,而没有按照传统方式在终端用户的多媒体注册中出现那些额外定期验证过程。
[0064]一般来说,对于这个实施例并且也适用于进一步描述的其它实施例,以及只要存在来自用户设备关于隐式验证的通知,在服务实体(S-CSCF)可能还检查分别包含在SIP Register以及Cx-Put-response中的其它相关数据是否与隐式验证和单次登录访问一致。所述相关数据可能是例如验证类型、如IP地址和联络信息之类的访问信息、验证时标或者它们的组合以及其它重要数据,以便提供额外的安全性支持。
[0065]仍然在用户已经由UMTS网络进行验证并且进一步通过GPRS网络访问多媒体域的上述情况下,以及根据图4所示的第二实施例,提供一种用于在多媒体域中验证用户的更简化机制,其中,只是通知用户由网络采取的执行隐式验证的决定。在这个第二实施例中,用户附加到UMTS网络,并且在其中被验证,其中有归属订户服务器(HSS)的参与,PDP上下文采用GPRS实体(SGSN、GGSN)来激活,以及SIP Register消息被发送给呼叫状态控制功能(P-CSCF、I-CSCF、S-CSCF)实体,以便以第一实施例中进行的相似方式注册到多媒体域中。第一和第二实施例之间的差别在于,HSS本身或者专用多媒体验证装置作出为用户执行隐式验证的最终决定。为此,HSS在对S-CSCF的Cx-Put-response中包括“由网络进行的隐式验证”的指示。
[0066]然后,在已经完成S-CSCF与HSS之间的“Cx-Pull-process”之后,并且没有请求用户的接受,S-CSCF通过在特定的“SIP2xx OK”响应中包括指示“由网络进行的隐式验证”而不是采用上述新的“SIP 4xx”消息,来通知用户网络已经主动执行隐式验证。
[0067]在收到带有指示“由网络进行的隐式验证”的所述“SIP2xx OK”响应时,SIP用户代理不会等待或预计接收3G TS 33.203中所述的Authentication-Challenge消息或者验证向量。此外,SIP用户代理或者更一般地说是用户设备可能认为支持多媒体域的网络经过隐式验证,只要用户设备配置成执行网络的这种验证。
[0068]终端用户这时注册到多媒体域,而没有按照传统方式在终端用户的多媒体注册中出现的那些额外定期验证过程,并且具有比第一实施例中所述的更简单的机制。
[0069]出现第二种情况,在其中,在GSM附加以及位置更新过程之后,用户由UMTS网络进行了验证,并且还通过GPRS网络访问多媒体域。在这个方面,并且为了清楚起见,UMTS网络的归属订户服务器(HSS)包括所有基本功能性,并且用作GSM网络的传统归属位置寄存器(HLR),再加上用作多媒体域中的订户服务器所需的所有功能性。然而,如果传统HLR功能性驻留在与多媒体域的订户服务器不同的实体中,则两种实体、即GSM HLR与多媒体域的订户服务器之间的附加接口用来共享用户验证数据。
[0070]图5中说明在上述第二种情况下的第三实施例,其中,新的字段在GSM附加和位置更新过程中返回给用户设备的SIP用户代理。因此,多媒体域的订户服务器(HSS)在对于接入网中的在服务GPRS支持节点(SGSN)的GSM操作“插入订户数据”中包含“隐式验证”的指示。然后,SGSN还在对SIP用户代理的GSM操作“更新位置应答”中包含“隐式验证”的这个指示。
[0071]这个指示可应用于多媒体域中的所有或特定用户标识符,并且被用户设备(UE)理解为用户设备可能或者可能不接受的启用对多媒体域的单次登录(SSO)访问的隐式邀请。只要隐式验证由于不需要额外安全性而对于终端用户(UE)是可接受的,则SIP Register消息发送到多媒体域(P-CSCF、I-CSCF),SIP Register消息包括用于向网络表明隐式验证被接受的“SSO使能”的指示。
[0072]在询问呼叫状态控制功能(I-CSCF)实体中收到这种SIPRegister消息时,“SSO使能”的指示被加入采用多媒体域订户服务器(HSS)所保存的所谓“Cx-Selection-Info”过程中包含的“Cx-Query”消息的新字段。这时,HSS本身中或者专用多媒体验证装置中的特征“多媒体域的隐式验证”处理“SSO使能”的指示,以便在请求时进一步提供用户的验证数据。
[0073]“SSO使能”的指示还被加入从I-CSCF向当前选择用于为用户提供服务的在服务呼叫状态控制功能(S-CSCF)实体发送的SIP Register。如在前面的实施例中那样,图5所示的本实施例也说明从S-CSCF对HSS所执行的“Cx-Put”操作。因此,HSS采用“Cx-Put-response”操作来指示S-CSCF,其中包括“隐式验证由用户确认”的指示,以便排除终端用户的进一步验证以及避免为所述终端用户发送验证向量。S-CSCF又可能还检查SIP Register中以及Cx-Put-response中分别包含的其它相关数据是否与隐式验证和单次登录访问一致,相关数据例如包括验证类型、如IP地址和联络信息之类的访问信息、验证时标或者其组合以及其它重要数据,以便提供额外的安全性支持。
[0074]最后,在已经结束S-CSCF与订户服务器(HSS)之间的“Cx-Pull-process”之后,S-CSCF向用户返回对于用户设备的SIP用户代理的传统成功结果“SIP 200OK”。
[0075]图6说明在上述第二种情况下的第四实施例,其中,与图5所示的先前第三实施例的唯一差别在于,“隐式验证”的指示以从短消息服务中心(SMSC)发送的短消息返回给用户设备的SIP用户代理,如先前由订户服务器(HSS)本身或者由专用多媒体验证装置所指示的那样,以及一旦GSM附加和验证过程结束,而不是在位置更新过程中进行。在附图中为清楚起见,图5中的GPRS实体对SGSN和GGSN在图6中用所谓的“GSN”实体来代替。对于上述实施例,“隐式验证”的这种指示也可应用于多媒体域中的所有或特定用户标识符。一旦用户设备知道已经接收“隐式验证”的这个指示,并且只要发现这种隐式验证是可接受的,则用户设备处理该消息,并且在被发送以访问多媒体域(P-CSCF、I-CSCF)的SIP Register消息中包括“SSO使能”的指示,“SSO使能”的指示用于向网络表明隐式验证被用户设备接受。从这一点开始,信令流可与先前的第三实施例中相同。
[0076]同样在这个第二种情况下的实施例中,终端用户注册到多媒体域,而没有按照传统方式在终端用户的多媒体注册中出现的那些额外定期验证过程,并且具有比按照传统方法所执行的更简单的机制。
[0077]出现第三种情况,在其中,通过无线局域网进行访问的用户由UMTS网络进行了验证,并且还通过这个无线局域网(WLAN)访问多媒体域。
[0078]根据图7所示的第五实施例,在这个第三种情况下,终端用户在WLAN中附加并由UMTS网络进行验证,终端用户、确切地说是用户设备(UE)已经最好是通过利用到归属网络的通常所说的安全隧道使IP会话开通。这种安全隧道最好是通过在加密消息净荷中封装来自上述IP会话的数据、一般为IP地址,在用户设备与分组数据网关(PD-GW)之间建立,同时没有与IP会话相关的外部IP地址用于用户设备(UE)与分组数据网关(PD-GW)之间。
[0079]这时,通过与图3所示的第一实施例相似的方式,图7中的信令流说明终端用户和SIP用户代理、即用户设备(UE)如何通过从用户侧(UE)向多媒体域(P-CSCF、I-CSCF)发送SIP Register消息来获得对多媒体域的访问权。
[0080]询问呼叫状态控制功能(I-CSCF)实体对归属订户服务器(HSS)、即多媒体域中的订户服务器发起通常所说的“Cx-Selection-Info”过程,以便识别当前负责用户的在服务呼叫状态控制功能(S-CSCF)。一旦识别了这种S-CSCF,I-CSCF向S-CSCF发送相应的SIP Register消息。接收这种注册消息的S-CSCF对归属订户服务器(HSS)发起通常所说的Cx-Put过程。
[0081]假定HSS先前已经通过与符合3GPP标准的所谓“验证、授权和记帐”服务器(以下称作AAA-3GPP)交换用户简档和验证向量来参与用于WLAN访问的用户的验证,如图2所示,则HSS除了其它网络拓扑信息之外还采用它的关于安全隧道的信息,来确定通过所述接入网访问多媒体域的信令路径的潜在安全性。因此,根据本发明,HSS本身或者专用多媒体验证装置可为所述用户决定隐式验证。当分组数据网关(PD-GW)属于与HSS相同的归属域时,或者在PD-GW被认为安全且可信的其它情况中,有利地作出这种决定。此外,如前面的实施例中那样,特征“多媒体域的隐式验证”可包括基于订户的数据提供和数据配置,使得当用户让这种服务提供并且用户是可信的时,HSS本身或者专用多媒体验证装置可为该用户确定隐式验证。
[0082]因此,HSS在对S-CSCF的“Cx-Put-response”中加入“隐式验证”的指示。有利地并且为了安全起见,其它相关信息也可在“Cx-Put-response消息”中向S-CSCF发送,例如验证类型、如IP地址和联络信息之类的访问信息、验证时标以及其它重要数据,以便提供额外的安全性支持。
[0083]图7中的这个第五实施例与图3的第一实施例一致,并且这两个实施例均按照上述本发明的一个方面,其中,可通知用户关于网络提出的、用于让用户接受或不接受的隐式验证。
[0084]因此,S-CSCF以即时规定向SIP用户代理发送称作“SIP4xx隐式验证”的新SIP消息,使得SIP用户代理在发现可接受时内部禁用在传统上被执行的显式多媒体验证过程。也就是说,SIP用户代理不会等待或预计接收3G TS 33.203中所述的Authentication-Challenge消息或者验证向量。
[0085]一旦SIP用户代理已经接受隐式验证,则采用包括用于向网络表明隐式验证被接受的“SSO使能”的指示的新SIP Register消息来响应这个“SIP 4xx隐式验证”消息。网络(P-CSCF、I-CSCF)向S-CSCF提交这种SIP Register消息,S-CSCF又向用户设备(UE)回送成功结果“SIP 200 OK”。已经通过WLAN网络进行访问的终端用户这时注册到多媒体域,而没有通常在终端用户的多媒体注册中出现的那些额外定期验证过程。
[0086]图7中所示的第五实施例的描述尽可能地与图3所示的第一实施例匹配。类似地,来自其中GPRS为接入网的图4所示的第二实施例的理论可方便地适用于其中WLAN为接入网的另一个实施例,后者由于上述实施例而无需进一步说明。
[0087]另一方面,其中GPRS为接入网的上述第三实施例实际上也适用于其中WLAN为接入网的另一个实施例,因为发送给用户设备的相关验证指示作为特定属性值对(AVP)包含在WLAN访问所采用的RADIUS或Diameter协议的相应消息中。
[0088]最后,其中GPRS为接入网的上述第四实施例也适用于其中WLAN为接入网的另一个实施例,假定对WLAN中的短消息业务(SMS)的支持,或者通过在具有双终端作为用户设备的情况下把GRPS基础结构的电路交换技术用于SMS来进行。
[0089]出现第四种情况,在其中,在分组数据业务附加过程之后,用户由CDMA 2000网络进行验证,并且还通过分组数据业务网络访问多媒体域。图8说明与第一种情况下图4中的实施例一致的第六实施例,其中,验证、授权和记帐服务器(AAA)用作CDMA 2000网络的订户服务器。在这个方面,并且为了清楚起见,CDMA 2000网络的验证、授权和记帐服务器(AAA)包括允许对CDMA 2000网络中的分组数据业务进行访问所需的所有基本功能性以及用作多媒体域中的订户服务器所需的所有功能性。
[0090]然而,只要访问CDMA 2000分组数据业务的传统已知AAA功能性驻留在与多媒体域的订户服务器不同的实体中,则两种实体、即传统CDMA 2000 AAA与多媒体域的订户服务器之间的附加接口用来共享用户验证数据。
[0091]除了这些考虑之外,上述实施例也适用于涉及CDMA2000网络的这种情况,假定相关信息可采用对当前RADIUS和Diameter接口的扩展来传输。
[0092]在上述示范的第一种情况下提供又一个实施例,并且如图9所示,其中,隐式验证的建议(SSO建议)实际上从用户设备(UE)本身被触发,并且没有接收来自多媒体域(IMS)的先前邀请。因此,图9中的流序列提供对图5和图6中的那些实施例的备选实施例,其中,用户设备(UE)直接向多媒体域(IMS)提交它对隐式验证的建议(SSO建议),而没有通过更新位置应答消息或者通过短消息业务(SMS)接收先前邀请,以便在所述用户设备与多媒体域之间执行这种隐式验证。
[0093]这种新的方法可能还适用于修改其它上述实施例,并且与应用情况无关。
[0094]以上以说明性而非限制性方式关于若干实施例描述了本发明。显然,根据上述理论,本发明的修改和变更是可行的,以及落入权利要求的范围之内的对实施例的任何修改意在包含于其中。
Claims (34)
1.一种用于通过接入网(UMTS;WLAN;GPRS;CDMA 2000)访问多媒体域(IMS)的用户(UE)的多媒体验证的装置,所述装置供保存用户的验证数据并且可由多媒体域(IMS)访问的接入网的订户服务器(HSS;AAA)中使用或者与其合作,所述装置的特征在于包括:
用于判定可进行用户(UE)与多媒体域(IMS)之间的隐式验证、从而省略对显式验证的需要的部件;以及
用于指示负责在多媒体域(IMS)中验证用户(UE)的在服务实体(S-CSCF)可进行隐式验证的部件。
2.如权利要求1所述的装置,其特征在于,用于判定可进行隐式验证的部件包括用于确定通过所述接入网访问多媒体域的信令路径的潜在安全性的部件。
3.如权利要求1所述的装置,其特征在于,所述用于指示在服务实体可进行隐式验证的部件包括用于表明(隐式验证)最终判定是在可能强迫显式验证的用户侧(UE)的部件。
4.如权利要求1所述的装置,其特征在于,所述用于指示在服务实体可进行隐式验证的部件包括用于表明(由网络进行的隐式验证)这是网络采取的最终判定并且不可执行显式验证的部件。
5.如权利要求1所述的装置,其特征在于,还包括用于通知用户设备用于访问多媒体域的用户的隐式验证可由网络执行的部件(隐式验证;由网络进行的隐式验证)。
6.如权利要求1所述的装置,其特征在于,所述用于判定可进行用户(UE)与多媒体域(IMS)之间的隐式验证的部件包括用于接收源自用户设备(UE)的隐式验证的建议(SSO建议)的部件。
7.如权利要求3所述的装置,其特征在于,还包括用于接收源自用户设备(UE)的指示(SSO使能)以确认网络提出的隐式验证的接受的部件。
8.如权利要求7所述的装置,其特征在于,还包括用于向负责在多媒体域(IMS)中验证用户的在服务实体(S-CSCF)表明(用户确认隐式验证)用户已经确认隐式验证的部件。
9.如权利要求8所述的装置,其特征在于,还包括用于向所述在服务实体(S-CSCF)提供附加验证数据的部件,所述附加验证数据包括从包括以下元素的组中选取的至少一个元素:验证类型;访问信息;以及验证时标。
10.一种用户设备(UE),使它能够获得通过接入网(UMTS;WLAN;GPRS;CDMA 2000)对多媒体域(IMS)的访问权,并且设置成对于接入网执行第一显式验证过程,以及对于多媒体域(IMS)执行第二显式验证过程,所述用户设备(UE)的特征在于具有用于处理从包括以下通知的组中选取的至少一个通知的部件:
从多媒体域(IMS)接收的、表明用户的隐式验证可由网络执行的通知(隐式验证;由网络进行的隐式验证);以及
从用户设备(UE)向多媒体域(IMS)建议执行所述用户设备与多媒体域之间的隐式验证的通知(SSO建议)。
11.如权利要求10所述的用户设备(UE),其特征在于,所述用于处理从多媒体域(IMS)接收的通知的部件包括用于接收和处理最终判定是在可能强迫显式验证的用户设备(UE)上的指示(隐式验证)的部件。
12.如权利要求11所述的用户设备(UE),其特征在于,还包括用于向多媒体域(IMS)发送指示(SSO使能)以确认网络提出的隐式验证的接受的部件。
13.如权利要求12所述的用户设备(UE),其特征在于,还包括用于向多媒体域(IMS)提供附加验证数据的部件,所述附加验证数据包括从包含以下元素的组中选取的至少一个元素:验证类型;访问信息;以及验证时标。
14.如权利要求10所述的用户设备(UE),其特征在于,所述用于处理从多媒体域(IMS)接收的通知的部件包括用于接收和处理隐式验证是网络采取的最终判定并且不可执行显式验证的指示(由网络进行的隐式验证)的部件。
15.一种用于验证通过接入网(UMTS;WLAN;GPRS;CDMA 2000)访问多媒体域(IMS)的用户(UE)的方法,所述方法包括:
在用户通过其访问的接入网(UMTS;WLAN;GPRS;CDMA 2000)中验证用户的步骤,所述接入网具有包含用户的验证数据并且多媒体域(IMS)可访问的订户服务器(HSS;AAA);以及
把用户(UE)注册到多媒体域(IMS)中的步骤;
所述方法的特征在于包括:
判定可进行用户(UE)与多媒体域(IMS)之间的隐式验证、从而省略对显式验证的需要的步骤;以及
指示负责在多媒体域(IMS)中验证用户(UE)的在服务实体(S-CSCF)可进行隐式验证的步骤。
16.如权利要求15所述的方法,其特征在于,还包括从多媒体域(IMS)向用户设备(UE)通知(隐式验证;由网络进行的隐式验证)可执行用于访问多媒体域的用户的隐式验证的步骤。
17.如权利要求15所述的方法,其特征在于,所述判定可进行隐式验证的步骤包括确定通过所述接入网访问多媒体域的信令路径的潜在安全性的步骤。
18.如权利要求15所述的方法,其特征在于,所述判定可进行隐式验证的步骤包括从用户设备(UE)向多媒体域(IMS)建议在所述用户设备与多媒体域之间执行隐式验证的步骤。
19.如权利要求15所述的方法,其特征在于,所述指示在服务实体可进行隐式验证的步骤包括表明(由网络进行的隐式验证)这是网络采取的最终判定并且不可执行显式验证的步骤。
20.如权利要求15所述的方法,其特征在于,所述指示在服务实体可进行隐式验证的步骤包括表明(隐式验证)最终判定是在可能强迫显式验证的用户设备上的步骤。
21.如权利要求20所述的方法,其特征在于,还包括从用户设备(UE)确认(SSO使能)网络提出的隐式验证的接受的步骤。
22.如权利要求21所述的方法,其特征在于,还包括向负责在多媒体域(IMS)中验证用户(UE)的在服务实体(S-CSCF)表明(用户确认隐式验证)用户已经确认隐式验证的步骤。
23.一种当用户通过先前已经验证所述用户的接入网(UMTS;WLAN;GPRS;CDMA 2000)访问多媒体域(IMS)时、负责在所述多媒体域(IMS)中验证用户(UE)的在服务实体(S-CSCF),所述在服务实体(S-CSCF)的特征在于包括:
用于接收和处理源自权利要求1的装置、表明可进行隐式验证的指示(隐式验证;由网络进行的隐式验证)的部件;以及
用于向用户设备(UE)通知(隐式验证;由网络进行的隐式验证)用于访问多媒体域(IMS)的用户的隐式验证可由网络执行的部件。
24.如权利要求23所述的在服务实体(S-CSCF),其特征在于,还包括用于接收源自权利要求12的用户设备(UE)的指示(SSO使能)以确认网络提出的隐式验证的接受的部件。
25.如权利要求23所述的在服务实体(S-CSCF),其特征在于,还包括用于接收源自权利要求8的装置、表明用户已经确认隐式验证的指示(用户确认隐式验证)的部件。
26.如权利要求25所述的在服务实体(S-CSCF),其特征在于,还包括用于检查分别从权利要求9的装置和权利要求13的用户设备接收的附加验证数据的匹配、以便提供额外安全性支持的部件。
27.如权利要求26所述的在服务实体(S-CSCF),其特征在于,所述附加验证数据包括从包含以下元素的组中选取的至少一个元素:验证类型;访问信息;以及验证时标。
28.如权利要求23所述的在服务实体(S-CSCF),其特征在于,所述用于通知用户(UE)隐式验证可由网络执行的部件包括用于向用户(UE)表明(由网络进行的隐式验证)隐式验证是网络采取的最终判定并且不可执行显式验证的部件。
29.一种打算用作用户(UE)通过先前已经验证所述用户的接入网(UMTS;WLAN;GPRS;CDMA 2000)访问的多媒体域(IMS)的入口点的代理实体(P-CSCF),其特征在于具有用于处理从包含以下通知的组中选取的至少一个通知的部件:
向用户设备(UE)发送的、表明用于访问多媒体域(IMS)的用户的隐式验证可由网络执行的通知(隐式验证;由网络进行的隐式验证);以及
从用户设备(UE)接收的向多媒体域(IMS)建议所述用户设备与多媒体域之间的隐式验证的通知(SSO建议)。
30.如权利要求29所述的代理实体(P-CSCF),其特征在于,还包括用于从用户设备(UE)接收接受网络提出的隐式验证的指示(SSO使能)的部件。
31.如权利要求29所述的代理实体(P-CSCF),其特征在于,还包括用于向用户(UE)表明(由网络进行的隐式验证)隐式验证是网络采取的最终判定并且不可执行显式验证的部件。
32.一种在多媒体域(IMS)中关于已经通过接入网(WLAN;GPRS)访问所述多媒体域的用户(UE)查询订户服务器(HSS;AAA-3GPP)的询问实体(I-CSCF),所述询问实体具有用于从用户接收注册请求的部件以及用于向用户确认这种注册的部件,其特征在于包括用于向用户(UE)传送用于访问多媒体域(IMS)的用户的隐式验证可执行的指示(隐式验证;由网络进行的隐式验证)的部件。
33.如权利要求32所述的询问实体(I-CSCF),其特征在于,还包括:
用于接收源自用户设备(UE)以使隐式验证能够进行的指示(SSO使能;SSO建议)的部件;以及
用于从用户设备向从包括权利要求1的装置和权利要求23的在服务实体(S-CSCF)的实体组中选取的至少一个实体传送这种指示的部件。
34.如权利要求32所述的询问实体(I-CSCF),其特征在于,还包括用于向用户(UE)传送隐式验证是网络采取的最终判定并且不可执行显式验证的指示(由网络进行的隐式验证)的部件。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/SE2003/001316 WO2005020619A1 (en) | 2003-08-26 | 2003-08-26 | Apparatus and method for authenticating a user when accessing to multimedia services |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1849837A true CN1849837A (zh) | 2006-10-18 |
CN1849837B CN1849837B (zh) | 2010-11-10 |
Family
ID=34215034
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN038269848A Expired - Lifetime CN1849837B (zh) | 2003-08-26 | 2003-08-26 | 用于在访问多媒体服务时验证用户的设备及方法 |
Country Status (10)
Country | Link |
---|---|
US (1) | US7836487B2 (zh) |
EP (3) | EP1658746B1 (zh) |
JP (1) | JP4555224B2 (zh) |
CN (1) | CN1849837B (zh) |
AU (1) | AU2003256191A1 (zh) |
BR (1) | BRPI0318446B1 (zh) |
CA (1) | CA2532538C (zh) |
DK (2) | DK2642723T3 (zh) |
ES (1) | ES2645270T3 (zh) |
WO (1) | WO2005020619A1 (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008095421A1 (fr) * | 2007-02-07 | 2008-08-14 | Huawei Technologies Co., Ltd. | Système, dispositif et procédé de fourniture de service |
CN101521930B (zh) * | 2009-03-25 | 2011-09-21 | 中兴通讯股份有限公司 | 一种策略控制方法及系统 |
CN101552987B (zh) * | 2008-03-31 | 2011-11-16 | 华为技术有限公司 | 防止认证向量被滥用的方法、装置和系统 |
CN102546574A (zh) * | 2010-12-24 | 2012-07-04 | 中国移动通信集团公司 | 基于ip多媒体子系统的流媒体点播方法和装置 |
CN102934415A (zh) * | 2010-06-18 | 2013-02-13 | 诺基亚西门子通信公司 | 传送认证信息 |
CN101828371B (zh) * | 2007-07-24 | 2013-06-12 | T移动国际股份两合公司 | 在电信网络中交换用户信息的方法 |
CN103324876A (zh) * | 2012-03-19 | 2013-09-25 | 阿瓦雅公司 | 用于网络和应用访问的单个认证上下文 |
Families Citing this family (46)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7624270B2 (en) * | 2002-11-26 | 2009-11-24 | Cisco Technology, Inc. | Inter subnet roaming system and method |
US6940844B2 (en) | 2003-10-17 | 2005-09-06 | Interdigital Technology Corporation | Method and apparatus for reporting WLAN capabilities of a dual mode GPRS/WLAN or UMTS/WLAN WTRU |
CN101032142B (zh) * | 2003-12-29 | 2011-05-18 | 艾利森电话股份有限公司 | 通过接入网单一登录访问服务网络的装置和方法 |
US20060051061A1 (en) * | 2004-09-09 | 2006-03-09 | Anandpura Atul M | System and method for securely transmitting data to a multimedia device |
BRPI0517521B1 (pt) * | 2004-10-26 | 2019-04-09 | Telecom Italia S.P.A. | Método e sistema para autenticar um assinante de uma primeira rede para acessar um serviço de aplicação através de uma segunda rede |
US20060106726A1 (en) * | 2004-11-18 | 2006-05-18 | Contentguard Holdings, Inc. | Method, system, and device for license-centric content consumption |
KR100656079B1 (ko) * | 2005-03-23 | 2006-12-11 | 에스케이 텔레콤주식회사 | 홈 네트워크 기반의 디지털 액자 서비스 제공 방법 |
CN1319350C (zh) * | 2005-06-08 | 2007-05-30 | 华为技术有限公司 | 实现路由控制的系统和方法 |
US20060225128A1 (en) * | 2005-04-04 | 2006-10-05 | Nokia Corporation | Measures for enhancing security in communication systems |
CN100428718C (zh) * | 2005-10-19 | 2008-10-22 | 华为技术有限公司 | 一种非ims移动终端接入ims域的鉴权注册方法及装置 |
CN100440997C (zh) * | 2005-10-22 | 2008-12-03 | 华为技术有限公司 | 一种将传统移动终端接入多媒体域的系统和方法 |
WO2007062108A2 (en) | 2005-11-23 | 2007-05-31 | Pak Siripunkaw | Method of upgrading a platform in a subscriber gateway device |
US20080095070A1 (en) * | 2005-12-05 | 2008-04-24 | Chan Tat K | Accessing an IP multimedia subsystem via a wireless local area network |
WO2007078663A2 (en) * | 2005-12-16 | 2007-07-12 | Interdigital Technology Corporation | Mobility middleware architecture for multiple radio access technology apparatus |
CN100454840C (zh) * | 2006-01-05 | 2009-01-21 | 华为技术有限公司 | 归属用户服务器的备份实现方法及ip多媒体网络 |
CN100592781C (zh) * | 2006-03-02 | 2010-02-24 | 华为技术有限公司 | 一种电子节目单获取系统和方法 |
DE602006012446D1 (de) * | 2006-04-03 | 2010-04-08 | Alcatel Lucent | Verfahren zur Sicherung der Kommunikation zwischen einem Zugangsnetz und einem Vermittlungsnetz |
CN100596084C (zh) | 2006-04-20 | 2010-03-24 | 华为技术有限公司 | 移动电路域用户接入ims网络的系统及其接入的注册方法 |
US8060612B1 (en) * | 2006-09-29 | 2011-11-15 | Sprint Communications Company L.P. | NAI (Network Access Identifier) embedding |
CN101170553B (zh) * | 2006-10-24 | 2011-07-20 | 华为技术有限公司 | 实现互联网协议多媒体子系统容灾的方法和装置 |
CN101573934B (zh) * | 2006-11-24 | 2016-03-09 | 艾利森电话股份有限公司 | 在通信网络中的鉴别 |
JP4946422B2 (ja) * | 2006-12-22 | 2012-06-06 | 日本電気株式会社 | 通信システム、通信装置、サービス処理装置及びそれらに用いる通信方法 |
US8216221B2 (en) | 2007-05-21 | 2012-07-10 | Estech, Inc. | Cardiac ablation systems and methods |
ES2619423T3 (es) * | 2007-05-22 | 2017-06-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Método, aparatos y programa informático para configurar dinámicamente una función de control de sesión de llamada proxy del subsistema multimedia IP desde un servidor de reglas de control de política |
US9154526B2 (en) * | 2007-06-08 | 2015-10-06 | At&T Intellectual Property I, Lp | System for communicating with an internet protocol multimedia subsystem network |
WO2009002143A1 (en) * | 2007-06-22 | 2008-12-31 | Telefonaktiebolaget Lm Ericsson (Publ) | Method of providing a service through a user equipment unit in an ip multimedia subsystem telecommunications network, including a user database server, service policy server and application server for use with said method |
JP4980813B2 (ja) * | 2007-07-23 | 2012-07-18 | 株式会社エヌ・ティ・ティ・ドコモ | 認証処理装置、認証処理方法及び認証処理システム |
US8108911B2 (en) * | 2007-11-01 | 2012-01-31 | Comcast Cable Holdings, Llc | Method and system for directing user between captive and open domains |
US8949950B2 (en) * | 2007-12-20 | 2015-02-03 | Telefonaktiebolaget L M Ericsson (Publ) | Selection of successive authentication methods |
CN101911651A (zh) * | 2008-01-11 | 2010-12-08 | 爱立信电话股份有限公司 | 保护联系信息的安全 |
ES2684299T3 (es) * | 2008-08-01 | 2018-10-02 | Nokia Siemens Networks Oy | Método, aparato, sistema y producto de programa informático para soportar P-CSCF heredada para indicar a la S-CSCF que omita autenticación |
DK2396939T3 (da) * | 2009-02-16 | 2020-06-08 | Nokia Solutions & Networks Oy | Fremgangsmåder, apparater, system, relaterede computerprogrammer og datastrukturer til levering af abonnementsoplysninger |
US8537762B2 (en) * | 2009-04-27 | 2013-09-17 | Qualcomm Incorporated | System and method for optimally transferring data traffic on networks |
US8838815B2 (en) * | 2009-05-29 | 2014-09-16 | At&T Intellectual Property I, L.P. | Systems and methods to make a resource available via a local network |
US8756705B2 (en) * | 2009-07-01 | 2014-06-17 | Fiserv, Inc. | Personalized security management |
CN102355663B (zh) * | 2011-06-30 | 2014-08-20 | 北京交通大学 | 基于分离机制网络的可信域间快速认证方法 |
US9094208B2 (en) | 2011-12-13 | 2015-07-28 | Sharp Laboratories Of America, Inc. | User identity management and authentication in network environments |
US9449156B2 (en) * | 2012-10-01 | 2016-09-20 | Microsoft Technology Licensing, Llc | Using trusted devices to augment location-based account protection |
US9756056B2 (en) | 2013-09-04 | 2017-09-05 | Anton Nikolaevich Churyumov | Apparatus and method for authenticating a user via multiple user devices |
CN106161361B (zh) * | 2015-04-03 | 2018-10-02 | 北京神州泰岳软件股份有限公司 | 一种跨域资源的访问方法及装置 |
US10951600B2 (en) * | 2017-05-08 | 2021-03-16 | Microsoft Technology Licensing, Llc | Domain authentication |
CN110234112B (zh) * | 2018-03-05 | 2020-12-04 | 华为技术有限公司 | 消息处理方法、系统及用户面功能设备 |
US10972463B2 (en) | 2018-06-06 | 2021-04-06 | Cisco Technology, Inc. | Blockchain-based NB-IoT devices |
US10505718B1 (en) | 2018-06-08 | 2019-12-10 | Cisco Technology, Inc. | Systems, devices, and techniques for registering user equipment (UE) in wireless networks using a native blockchain platform |
US10673618B2 (en) | 2018-06-08 | 2020-06-02 | Cisco Technology, Inc. | Provisioning network resources in a wireless network using a native blockchain platform |
US11394702B2 (en) * | 2019-09-23 | 2022-07-19 | T-Mobile Usa, Inc. | Authentication system when authentication is not functioning |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6173406B1 (en) * | 1997-07-15 | 2001-01-09 | Microsoft Corporation | Authentication systems, methods, and computer program products |
US6609198B1 (en) * | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
US6763233B2 (en) * | 2000-01-05 | 2004-07-13 | Nortel Networks Limited | Terminal roaming operations between intergenerational wireless networks |
DE10025270C2 (de) * | 2000-05-22 | 2002-12-12 | Siemens Ag | Verfahren und System zum Anmelden einer Teilnehmer-Station an der Paketdienst-Dienstezustands-Steuerfunktion CSCF in einem Kommunikationssystem |
US6725036B1 (en) * | 2000-05-30 | 2004-04-20 | Nokia Telecommunications Ojy | System and method of controlling application level access of a subscriber to a network |
JP2003535506A (ja) * | 2000-05-30 | 2003-11-25 | ノキア コーポレイション | ネットワークへの加入者のアプリケーション・レベル・アクセスを制御するシステム及び方法 |
US7024688B1 (en) * | 2000-08-01 | 2006-04-04 | Nokia Corporation | Techniques for performing UMTS (universal mobile telecommunications system) authentication using SIP (session initiation protocol) messages |
WO2002045449A1 (en) * | 2000-11-28 | 2002-06-06 | Nokia Corporation | System and method for authentication of a roaming subscriber |
GB0110900D0 (en) | 2001-05-03 | 2001-06-27 | Nokia Corp | Registrations in a communication system |
GB0131046D0 (en) * | 2001-12-28 | 2002-02-13 | Nokia Corp | Service access |
US20030159067A1 (en) * | 2002-02-21 | 2003-08-21 | Nokia Corporation | Method and apparatus for granting access by a portable phone to multimedia services |
-
2003
- 2003-08-26 CA CA2532538A patent/CA2532538C/en not_active Expired - Lifetime
- 2003-08-26 WO PCT/SE2003/001316 patent/WO2005020619A1/en active Application Filing
- 2003-08-26 US US10/595,110 patent/US7836487B2/en active Active
- 2003-08-26 DK DK13172208.4T patent/DK2642723T3/en active
- 2003-08-26 EP EP03818323A patent/EP1658746B1/en not_active Expired - Lifetime
- 2003-08-26 DK DK03818323.2T patent/DK1658746T3/da active
- 2003-08-26 EP EP12164429.8A patent/EP2482576B1/en not_active Expired - Lifetime
- 2003-08-26 JP JP2005508227A patent/JP4555224B2/ja not_active Expired - Lifetime
- 2003-08-26 BR BRPI0318446A patent/BRPI0318446B1/pt active IP Right Grant
- 2003-08-26 EP EP13172208.4A patent/EP2642723B1/en not_active Expired - Lifetime
- 2003-08-26 AU AU2003256191A patent/AU2003256191A1/en not_active Abandoned
- 2003-08-26 ES ES13172208.4T patent/ES2645270T3/es not_active Expired - Lifetime
- 2003-08-26 CN CN038269848A patent/CN1849837B/zh not_active Expired - Lifetime
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008095421A1 (fr) * | 2007-02-07 | 2008-08-14 | Huawei Technologies Co., Ltd. | Système, dispositif et procédé de fourniture de service |
US8175055B2 (en) | 2007-02-07 | 2012-05-08 | Huawei Technologies Co., Ltd. | System, apparatus and method for providing services |
CN101828371B (zh) * | 2007-07-24 | 2013-06-12 | T移动国际股份两合公司 | 在电信网络中交换用户信息的方法 |
CN101552987B (zh) * | 2008-03-31 | 2011-11-16 | 华为技术有限公司 | 防止认证向量被滥用的方法、装置和系统 |
US8600054B2 (en) | 2008-03-31 | 2013-12-03 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for preventing abuse of authentication vector |
CN101521930B (zh) * | 2009-03-25 | 2011-09-21 | 中兴通讯股份有限公司 | 一种策略控制方法及系统 |
CN102934415A (zh) * | 2010-06-18 | 2013-02-13 | 诺基亚西门子通信公司 | 传送认证信息 |
CN102546574A (zh) * | 2010-12-24 | 2012-07-04 | 中国移动通信集团公司 | 基于ip多媒体子系统的流媒体点播方法和装置 |
CN102546574B (zh) * | 2010-12-24 | 2014-10-08 | 中国移动通信集团公司 | 基于ip多媒体子系统的流媒体点播方法和装置 |
CN103324876A (zh) * | 2012-03-19 | 2013-09-25 | 阿瓦雅公司 | 用于网络和应用访问的单个认证上下文 |
Also Published As
Publication number | Publication date |
---|---|
CA2532538A1 (en) | 2005-03-03 |
AU2003256191A1 (en) | 2005-03-10 |
ES2645270T3 (es) | 2017-12-04 |
CA2532538C (en) | 2016-02-16 |
JP4555224B2 (ja) | 2010-09-29 |
EP1658746A1 (en) | 2006-05-24 |
DK1658746T3 (da) | 2012-09-17 |
EP1658746B1 (en) | 2012-06-06 |
JP2007521527A (ja) | 2007-08-02 |
EP2482576A3 (en) | 2012-08-08 |
EP2482576A2 (en) | 2012-08-01 |
CN1849837B (zh) | 2010-11-10 |
EP2642723A2 (en) | 2013-09-25 |
EP2482576B1 (en) | 2013-07-31 |
US20070130471A1 (en) | 2007-06-07 |
DK2642723T3 (en) | 2017-10-02 |
WO2005020619A1 (en) | 2005-03-03 |
BRPI0318446B1 (pt) | 2017-05-16 |
US7836487B2 (en) | 2010-11-16 |
BR0318446A (pt) | 2006-08-01 |
EP2642723A3 (en) | 2014-03-05 |
EP2642723B1 (en) | 2017-07-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1849837A (zh) | 用于在访问多媒体服务时验证用户的设备及方法 | |
US8412192B2 (en) | Apparatus, and associated method, for providing an instance identifier to a network database node of a mobile network | |
ES2371109T3 (es) | Sistema y aparato para usuarios de cs móvil para acceder a la red de ims y el método de registro para el acceso. | |
CN1230031C (zh) | 电信网络中用户初始注册期间的完整性保护 | |
KR101502801B1 (ko) | 긴급 호의 경우에 ims 등록을 위한 단순화된 방법 | |
CN101039269A (zh) | 提供接入ip多媒体子系统的方法 | |
US9264411B2 (en) | Methods, apparatuses and computer program product for user equipment authorization based on matching network access technology specific identification information | |
US10349262B2 (en) | Realm translation in an IMS network | |
US9060005B2 (en) | Method, apparatus, system and related computer program product for handover management | |
CN1842176B (zh) | 一种基于ip接入的ip用户实现移动数据业务的方法 | |
JP5633947B2 (ja) | パケットデータ接続における非常サービスの登録方法及び装置 | |
CN102118731A (zh) | 一种基于ip接入的ip用户实现移动数据业务的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CX01 | Expiry of patent term |
Granted publication date: 20101110 |
|
CX01 | Expiry of patent term |