-
Verfahren
zum gezielten Blockieren von Diensten in einem IP Multimedia Subsystem
-
Die
Erfindung bezieht sich auf ein Verfahren zum gezielten Blockieren
von Diensten in einem IP Multimedia Subsystem, wobei für jeden
Benutzer ein Benutzerprofil angelegt ist.
-
In
den letzten Jahren haben sich Telekommunikationsnetze zu bedeutenden
Kommunikationsmedien entwickelt, um wechselseitig Daten bzw. Informationen
in Form von Sprache, Schrift, Bild, etc. auszutauschen. Zu den Telekommunikationsnetzen werden
beispielsweise Telefonnetze wie z.B. klassische, vermittelte Telefonnetze,
Mobilfunknetze, etc. und Computernetze, in denen meist verschiedene, primär selbständige elektronische
Systeme zusammengeschlossen werden und von denen Daten meist in
Form von Paketen – also
paketorientiert – übertragen
werden.
-
Von
Computernetzen, über
welche eine Vielzahl an Diensten wie z.B. Bereitstellung und Übertragung
von Daten und Informationen, etc. angeboten werden, werden für den Austausch
von Daten zwischen Rechnern innerhalb des Netzes oder auch verschiedener
Netze Protokolle eingesetzt. Wird für die Weitervermittlung von
Daten in Paketform das so genannte Internet Protokoll IP eingesetzt,
so werden diese Computernetze auch als IP-basierte Computernetze
bezeichnet. Diese IP-basierten Computernetze sind heute weit verbreitet.
Ein Computernetzwerk, von welchem das Internet Protokoll IP verwendet
wird, ist das weltweit bekannte Internet, wie die Gesamtheit aller
miteinander verbundenen Computernetze genannt wird, die ebenfalls
auf dem Internet Protokoll IP basieren.
-
Bei
den Telefonnetzen ist seit den neunziger Jahren vor allem die Bedeutung
von Mobilfunknetzen, bei denen die Endgeräte für Telefonie nicht über ortfeste Übergabepunkt
an das Telefonsnetz angebunden, sondern mobil sind, durch die Entwicklung neuer
Mobilfunkstandards wie z.B. Global System for Mobile Communications
GSM besonders stark gestiegen. Von diesen Standards wird die Basis
für die Mobilfunknetze
der so genannten zweiten Generation gebildet, von denen durch den
Einsatz digitaler Technik für
die Sprach- und Datenübertragung
erstmals Netzkapazitäten
für einen
Massenmarkt zur Verfügung
gestellt wurden. Mittlerweile sind die Mobilfunknetze durch neue
Standards wie z.B. Universal Mobile Telecommunications System UMTS
für höhere Datenübertragungsraten
optimiert worden und ermöglichen
z.B. Dienst wie beispielsweise Videotelefonie, die Übertragung
von Musik- oder
Videodateien auf ein mobiles Endgerät, Audio-/Video-Nachrichten, etc.
Die auf diesen neuen Standards basierenden Mobilfunknetze werden
auch als Netz der dritten Generation bezeichnet.
-
Durch
die große
Bedeutung von IP-basierten Computernetzen einerseits und Telefonsnetzen,
insbesondere Mobilfunknetzen andererseits gibt es mittlerweile Bestrebungen,
diese beiden Netztypen durch Konvergenz in so genannten Netzen der nächsten Generation
oder Next Generation Networks NGN aufzulösen. Von Next Generation Networks NGN
werden dann die Aufgaben beider Netztypen (des Telefon- und des
IP-basierten Computernetzes) übernommen,
d.h. durch sie wird einerseits Telefonie (Übertragung von Sprache) und
andererseits IPbasierte Datenübertragung
ermöglicht.
-
Die
Konvergenz kann z.B. bei der Telefonie beobachtet werden, wo zunehmend
klassische Telefonnetze in Next Generation Networks, von denen das
Telefonieren über
ein IP-basiertes Netz ermöglicht
wird, aufgelöst
werden oder beispielsweise bei den Mobilfunknetzen, über die
neben den herkömmlichen
Diensten wie z.B. Telefonie, Anrufbeantworterfunktion, Multimedia-
oder Short Message Service mittlerweile auch ein Großteil der
von IP-basierten Netzen wie z.B dem Internet zur Verfügung gestellten,
meist. auf dem Internet Protokoll IP basierenden Dienste wie z.B.
E-mail, Zugriff auf das World Wide Web, Austausch von Multimedia-Daten,
Laden von Audio- oder
Video-Dateien auf das Endgerät,
sofortige Nachrichtenübermittlung
(Instant Messaging), etc. am mobilen Endgeräte genutzt werden können.
-
Um
diese IP-basierten Dienste in einem Telefonsnetz, insbesondere einem
Mobilfunknetz verfügbar
zu machen, wird in den Next Generation Networks eine spezielle Architektur-Struktur eingesetzt – das so
genannte IP Multimedia Subsystem IMS. Das IP Multimedia Subsystem
ist vom 3rd Generation Partnership Project 3GPP in einer Vielzahl
technischer Spezifikationen TS standardisiert worden und stellt
eine offene, für
Netzbetreiber leicht in ihre Telekommunikationsnetzstruktur integrierbare
und standardisierte Architektur-Struktur
dar.
-
Der
Zugang zum IP Multimedia Subsystem ist von jedem Telefon- bzw. Computernetzwerk
mit paketorientierter Datenübertragung
möglich.
Für die Anbindung
von klassischen Telefonnetzen wie z.B. dem Public Switched Telephone
Network PSTN werden eigene Schnittstellensysteme eingesetzt. Von
einem Benutzer kann daher mittels verschiedener Methoden je nach
dem verwendeten Netz (z.B. vermitteltes Telefonnetz, Mobilfunknetz,
Wireless LAN, etc.) auf das IP Multimedia Subsystem zugegriffen werden,
wobei für
den Zugang üblicherweise
das Internet Protokoll IP eingesetzt wird.
-
Für die Nutzung
IP-basierter Dienste durch die Benutzer wird vom IP Multimedia Subsystem
eine Vermittlungsfunktion – die
so genannte Call Session Control-Funktion CSCF – zur Verfügung gestellt. Durch die Call
Session Control-Funktion, die von so genannten Vermittlungsrechnern
des IP Multimedia Subsystems ausgeführt wird, wird der Aufbau und Ablauf
einer multimedialen Verbindung zwischen Benutzern oder zur Nutzung
eines IP-basierten Dienstes kontrolliert und gesteuert. Als Protokoll
für das Management
dieser multimedialen Verbindungen wird das so genannte Session Initiation
Protocol SIP verwendet, das von der IETF (Internet Engineering Task Force)
entwickelt wurde und durch eine Anzahl an Request for Comments RFC
wie z.B. den RFC 3261, den RFC 3265, etc. definiert wird.
-
Die
Dienste, die mittels IP Multimedia Subsystem genutzt werden können, sowie
die zu den Diensten gehörenden
Daten sind auf so genannten Applikationsservern hinterlegt und werden
auch auf diesen ausgeführt.
Bei der Nutzung eines Dienstes wird mit Hilfe des SIP-Protokolls
von der Call Session Control-Funktion auf den bzw. die entsprechenden Applikationsserver
zugegriffen, wobei ein Aufruf eines Applikationsservers beispielsweise
mittels logischer Adressierung mittels einer so genannten Adresse
durchgeführt
wird.
-
Um
den Zugriff der Benutzer auf das IP Multimedia Subsystem bzw. auf
die zur Verfügung
gestellten Dienste zu kontrollieren, ist eine Benutzer-Datenbank – der so
genannte Home Subscriber Server – für Authentifizierungs- und Authorisierungszwecke
vorgesehen. In dieser Datenbank werden die so genannten Benutzerprofile
gespeichert. In diesen können
vom Netzbetreiber neben benutzerspezifischen Daten auch jene Dienste
spezifiziert werden, die von einem bestimmten Benutzer verwendet
werden dürfen.
-
Ein
möglicher
Aufbau eines solchen Home Subscriber Servers für einen Einsatz in Kombination mit
einem IP Multimedia Subsystem wird beispielsweise in der Schrift
KIM, C.-K., et. al.: A Design of Home Subscriber Server for IP Multimedia
Service in All-IP UMTS Network. In: Proc. Int. Symp. on Personal,
Indoor and Mobile Radio Communications, 20031, S. 2070–2077 beschrieben.
-
Ist
ein bestimmter Benutzer berechtigt, einen bestimmten Dienst zu nutzen,
so ist in seinem Benutzerprofil dafür ein bestimmter Eintrag hinterlegt,
in dem beispielsweise die Adresse für den Aufruf des zum Dienst
gehörenden
Applikationsservers enthalten ist. Ist ein Benutzer nicht berechtigt
einen bestimmten Dienst zu nutzen, so ist auch kein entsprechender
Eintrag für
diesen Dienst in seinem Benutzerprofil gespeichert. Es kann daher
auch kein Applikationsserver von der Call Session Control-Funktion des
IP Multimedia Subsystems aufgerufen werden.
-
Keine
Möglichkeit,
mittels der Benutzerprofile die Nutzung von Diensten zu unterbinden,
besteht allerdings für
den Betreiber dann, wenn für
die Erbringung eines Dienstes kein Applikationsserver benutzt wird.
Dies ist bei den so genannten End-to-End-Diensten der Fall, bei
denen der Dienst von einem Rechner eines Benutzers direkt für einen anderen
Benutzer ausgeführt
wird. Die Betreiber sind allerdings daran interessiert, diese Art
von Diensten gezielt zu blockieren, da von den Benutzern zwar das IP
Multimedia Subsystem und das Netz des Betreibers genutzt wird, nicht
aber die vom Betreiber zur Verfügung
gestellten, meist gebührenpflichtigen Dienste.
-
Um
Dienste z.B. End-to-End-Dienste zu blockieren, kann vom Betreiber
ein Versand bestimmter Nachrichten über das IP Multimedia Subsystem
unterbunden werden. Diese Vorgehensweise ist dem Szenario einer
Rufnummernblockierung bei einem Telekommunikationsnetz sehr ähnlich.
Allerdings ist für
das Unterbinden bestimmter Nachrichten – wie in Kapitel 6.4 der technischen
Spezifikation TS 23.218 V6.2.0 bzw. in Kapitel 5.4.3.2 der technischen
Spezifikation 24.229 V6.5.1 des 3GPP beschrieben – ein eigener
Applikationsserver notwendig, wodurch ein zusätzlicher Aufwand an Hardware
entsteht. Außerdem
wird durch den zusätzlichen
Applikationsserver, von dem jede versendete Nachricht geprüft werden muss,
das Netz sowie das IP Multimedia Subsystem zusätzlich belastet.
-
Bei
der in Schrift WO 2005/027459 A1 beschriebene Methode, mit deren
Hilfe der Zugang zu so genannten SIP-basierten Diensten, die von
einem IP Multimedia Subsystem ermöglicht werden, kontrolliert
werden kann, ist ebenfalls ein zusätzlicher Applikationsserver
vorgesehen. Bei dem in dieser Schrift beschriebenen Verfahren werden
für die
Zugangskontrolle einerseits benutzerspezifische Kontroll-Trigger
und andererseits ein so genannter Default-Trigger direkt auf dem
Vermittlungsrechner des IP Multimedia Subsystems, von dem die Call
Session Control-Funktion ausgeführt
wird, definiert. Dann werden beispielsweise beim Verbindungsaufbau
für eine
Dienstnutzung vom Benutzer gesendete SIP-Nachrichten (z.B. Invite,
etc.) vom IP Multimedia Subsystem auf die benutzerspezifischen Kontroll-Trigger überprüft. Beim
Fehlen dieser Trigger wird die SIP-Nachricht mittels des Default-Triggers an einen
speziellen, zusätzlichen
Applikationsserver weitergeleitet, von welchem eine so genannte
Screening-Funktion
zur Verfügung
gestellt. Dort wird überprüft, ob beispielsweise
ein Benutzer einen bestimmten Dienst subskribiert hat oder nicht.
Durch das beschriebene Verfahren kann zwar kontrolliert werden, ob
ein bestimmter Benutzer zum Bezug eines bestimmten Dienstes – z.B. mittels
Subskription - berechtigt
ist, aber ein gezieltes Blockieren von bestimmten Diensten bzw.
Dienst-Gruppen (z.B. End-to-End-Diensten) ist auf diese Weise nicht
bzw. nur mit großen
administrativen Aufwand möglich.
Da zum Durchführen
der Screening-Funktion ein zusätzlicher
Applikationsserver vorgesehen ist, an den zumindest ein Teil der
SIP-Nachrichten weitergeleitet wird, wird auch das Netz sowie das
IP Multimedia Subsystem zusätzlich
belastet.
-
In
der Schrift WO 2005/015 870 A1 wird ein Verfahren zum Routen einer
Anfrage für
eine Nutzung eines Dienstes beschrieben, bei welchem ebenfalls ein
zusätzlicher
Server - ein so
genannter Location Server – eingesetzt
wird. Von diesem Server werden neben Informationen bzw. Regeln für die Nutzung
eines Dienstes zur Verfügung
gestellt und verwaltet, wodurch zusätzlicher Verwaltungsaufwand und
eine zusätzliche
Belastung für
das Netz bzw. das IP Multimedia System entsteht, da dieser Server
vor jeder Nutzung eines Dienstes abgefragt werden muss.
-
Als
Alternative zu einem zusätzlichen
Applikationsserver bzw. Server besteht aber beispielsweise auch
die Möglichkeit,
direkt auf dem Vermittlungsrechner des IP Multimedia Subsystems,
von dem die Call Session Control-Funktion ausgeführt wird, einen Dienst zum
Unterbinden bestimmter Nachrichten einzurichten. Bei dieser Vorgehensweise
hat sich allerdings als nachteilig erwiesen, dass neben dem zusätzlichen
Implementierungsaufwand für
diesen Dienst auch die Call Session Control-Funktion angepasst und
dass dieser Dienst direkt am Vermittlungsrechner konfiguriert und
administriert werden muss. Außerdem
ist diese Vorgehensweise derzeit nicht in den technischen Spezifikationen
des 3GPP für
das IP Multimedia Subsystem vorgesehen.
-
Der
vorliegenden Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren
anzugeben, mit dem ohne zusätzlichen
Hardware-, Konfigurations- oder Administrationsaufwand und ohne
Reduktion der Netzkapazität
mit unveränderter
Call Session Control-Funktion gezielt Dienste in einem IP Multimedia
Subsystem blockiert werden können.
-
Die
Lösung
dieser Aufgabe erfolgt erfindungsgemäß durch ein Verfahren zum gezielten
Blockieren von Diensten in einem IP Multimedia Subsystem, wobei
für jeden
Benutzer ein Benutzerprofil angelegt ist, dann für einen gezielt zu blockierenden Dienst
am IP Multimedia Subsystem ein Eintrag mit einer Adresse eines Pseudo-Applikationsservers
erzeugt wird, daraufhin bei Auswahl eines gezielt zu blockierenden
Dienstes durch einen Benutzer vom IP Multimedia Subsystem anhand
dieser Adresse erkannt wird, dass kein Applikationsserver aufgerufen werden
soll, und dann vom IP Multimedia Subsystem die Nutzung dieses Dienstes
unterbunden wird und eine entsprechende Antwort gesendet wird.
-
Der
Hauptaspekt des erfindungsgemäß vorgeschlagenen
Verfahrens besteht darin, dass zur Durchführung keine zusätzliche
Hardware benötigt wird
und die Belastung des Netzes kaum ansteigt. Außerdem kann beim erfindungsgemäßen Verfahren die
Call Session Control-Funktion ohne große Änderungen ihres logischen Ablaufes
eingesetzt werden, wodurch die Administration der zu blockierenden Dienste
am IP Multimedia Subsystem analog zu den Diensten, deren Nutzung
erlaubt sein soll, durchgeführt
werden kann.
-
Zur
Lösung
der Aufgabe ist weiters vorgesehen, dass die Adresse des Pseudo-Applikationsserver
in den Benutzerprofilen eingetragen wird, wodurch von der Call Session
Control-Funktion
des IP Multimedia Subsystems vorteilhaft sofort anhand der Adresse
ein zu blockierender Dienst erkannt wird.
-
Es
ist günstig,
wenn die Antwort durch das IP Multimedia Subsystem konfigurierbar
gestaltet ist, damit vom Betreiber ein bestimmtes Antwortverhalten
des IP Multimedia Subsystems für
blockierte Dienste festgelegt werden kann.
-
Außerdem ist
es vorteilhaft, wenn die Antwort des IP Multimedia Subsystems als
Fehlermeldung an den Benutzer gestaltet ist, damit kann dem Benutzer
vom Betreiber mitgeteilt werden, dass bestimmte Dienste mittels
IP Multimedia Subsystem nicht verwendet werden dürfen.
-
Bevorzugter
Weise werden für
eine Auswertung der Adresse des Pseudo-Applikationsservers innerhalb
des IP Multimedia Subsystems die durch das 3GPP vorgegebenen Standards
für IP
Multimedia Subsystems genutzt. Durch die Benutzung der vorgegebenen
Standards kann die Konfiguration von zu blockierenden Diensten analog
der Konfiguration anderer Dienste, deren Benutzung erlaubt sein
soll, erfolgen. Außerdem
wird die Adresse des Pseudo-Applikationsservers von der Call Session
Control-Funktion genauso ausgewertet wie die Adressen der anderen
Applikationsserver. Das erfindungsgemäße Verfahren ist daher vorteilhafter
Weise für
jedes standardkonforme IP Multimedia Subsystem ohne großen Aufwand
einsetzbar.
-
Die
Erfindung wird nachfolgend in beispielhafter Weise unter Bezugnahme
auf die beigefügten Figuren
näher erläutert. Es
zeigen:
-
1 den
schematischen Ablauf der Auswahl eines Dienstes durch einen Benutzer
im IP Multimedia Subsystem
-
2 den
schematischen Ablauf der Auswahl eines Dienstes durch einen Benutzer
der entsprechend dem erfindungsgemäßen Verfahren gezielt im IP
Multimedia Subsystem blockiert wird
-
In 1 ist
ein IP Multimedia Subsystem IMS dargestellt, das eine Vermittlungsrechner
CSCF und einen Datenbank HSS umfasst. Weitere Komponenten des IP
Multimedia Subsystem IMS, welche für die beispielhaft erläuterten
Abläufe
unerheblich sind, sind aus Gründen
einer einfacheren Darstellung in 1 nicht
eingetragen.
-
Vom
Vermittlungsrechner CSCF wird die Call Session Control-Funktion durchgeführt, die
für Aufbau,
Steuerung und Kontrolle einer multimedialen Verbindung bei Nutzung
eines Dienstes durch Benutzer USER1, USER2 verantwortlich ist. Durch
die Call Session Control-Funktion des Vermittlungsrechners CSCF
werden ebenfalls für
die Ausführung
des Dienstes notwendige Applikationsserver AP aufgerufen, auf denen
Dienste ausgeführt
werden bzw. Daten für
Dienste gespeichert sind. Zur Durchführung der Verbindungssteuerung
und -kontrolle sowie für den
Zugriff auf die Applikationsserver AP wird vom Vermittlungsrechner
CSCF als Protokoll das Session Initiation Protocol SIP verwendet.
-
Die
Datenbank HSS, die auch als Home Subscriber Server bezeichnet wird,
umfasst die Benutzerprofile der Benutzer USER1, USER2, welche zur
Authentifizierung und Authorisierung der Benutzer USER1, USER2 verwendet
werden und in denen auch die Berechtungen zur Nutzung der verfügbaren Dienste
für die
einzelnen Benutzer USER1, USER2 eingetragen sind.
-
In 1 ist
in der Datenbank HSS ein beispielhaftes Benutzerprofil BP1 für einen
ersten Benutzer USER1 dargestellt. Dieses Benutzerprofil BP1 umfasst
beispielhaft eine ersten Eintrag INVITE für eine SIP-Nachricht Invite,
die für
den Aufbau von multimedialen Kommunikationsverbindungen zwischen
Benutzern USER1, USER2 wie z.B. bei der IP-Telefonie eingesetzt
wird, und eine zweiten Eintrag SUBSCRIBE für eine SIP-Nachricht Subscribe, die
für die
Subskription von Diensten wie z.B. die Nutzung von Online-Tauschbörsen zwischen
Benutzern USER1, USER2 verwendet wird.
-
Da
Dienste, von denen beim Verbindungsaufbau die SIP-Nachricht Invite
benutzt wird, wie z.B. IP-Telefonie zugelassen werden sollen, ist
im ersten Eintrag INVITE ein Verweis ADR1 auf die beispielhafte
Adresse AP@domain des Applikationsserver AP hinterlegt, der für die Nutzung
des Dienstes benötigt wird.
-
Dienste,
die für
die multimediale Verbindung die SIP-Nachricht Subscribe verwenden, sollen
allerdings im IP Multimedia Subsystem IMS gezielt blockiert werden,
daher ist im zweiten Eintrag SUBSCRIBE ein Verweis ADR2 gespeichert,
der auf die Adresse REJECT@pseudo eines nicht existenten, so genannten
Pseudo-Applikationsserver verweist. Zusätzlich umfasst der zweite Eintrag
SUBSCRIBE einen Fehlercode FC, durch den das Antwortverhalten des
IP Multimedia Subsystems IMS bei Auswahl eines blockierten Dienstes
festgelegt wird, und gegebenenfalls einen Antworttext ANT.
-
Wird
nun von einem ersten Benutzer USER1 eine multimediale Kommunikationsverbindung
mittels des IP Multimedia Subsystem IMS für beispielsweise IP-Telefonie
mit einem zweiten Benutzer USER2 aufgebaut, so wird vom ersten Benutzer USER1
in einem ersten Schritt 11 die SIP-Nachricht Invite zum
Vermittlungsrechner CSCF des IP Multimedia Subsystems IMS gesendet.
In einem zweiten Schritt 12 wird vom Vermittlungsrechner
CSCF das Benutzerprofil BP1 des ersten Benutzers USER1 in der Datenbank
HSS abgefragt. Dabei wird festgestellt, dass für die SIP-Nachricht Invite
ein erster Eintrag INVITE vorhanden ist, der den Verweis ADR1 auf
die Adresse AP@domain des Applikationsservers AP umfasst. Aufgrund
der Adresse AP@domain des Applikationsservers AP wird in einem dritten Schritt 13 dieser
Applikationsserver AP vom Vermittlungsrechner CSCF aufgerufen und
die SIP-Nachricht Invite an den Applikationsserver AP weitergeleitet.
In einem vierten Schritt 14 wird die SIP-Nachricht Invite
vom Applikationsserver AP bearbeitet und an den Vermittlungsrechner
CSCF zurückgesendet.
Von diesem wird die SIP-Nachricht
dann in einem fünften Schritt 15 zum
zweiten Benutzer USER2 übertragen, mit
dem die multimediale Kommunikationsverbindung aufgebaut werden soll.
-
In 2 sind
ebenfalls das beispielhafte IP Multimedia Subsystem IMS, von welchem
den Vermittlungsrechner CSCF sowie die Datenbank HSS umfasst werden,
sowie der beispielhafte Applikationsserver AP dargestellt. In der
Datenbank ist wieder das beispielhafte Benutzerprofil BP1 des ersten
Benutzers USER1 gespeichert. Es umfasst wieder – wie schon in 1 – die beiden
beispielhaften Einträge INVITE,
SUBSCRIBE für
die SIP-Nachrichten Invite bzw. Subscribe.
-
Wird
nun vom ersten Benutzer USER1 beispielsweise versucht, die Online-Tauschbörse des zweiten
Benutzers USER2 zu subskribieren, so wird in einem ersten Schritt 21 vom
ersten Benutzer USER1 die SIP-Nachricht Subscribe zum Vermittlungsrechner
CSCF des IP Multimedia Subsystem IMS gesendet. In einem zweiten
Schritt 22 wird dann vom Vermittlungsrechner CSCF das in
der Datenbank HSS abgelegte Benutzerprofil BP1 des ersten Benutzers
USER1 abgefragt. In diesem zweiten Schritt 22 wird vom
Vermittlungsrechner auch festgestellt, dass für die SIP-Nachricht Subscribe
der zweite Eintrag SUBSCRIBE im Benutzerprofil BP1 existiert, in
dem ein Verweis ADR2 auf die Adresse REJECT@pseudo eines Pseudo-Applikationsserver
sowie ein Fehlercode FC und ein Antworttext ANT gespeichert sind.
Daher wird in einem dritten Schritt 23 - ohne dass ein Applikationsserver AP
involviert wird – vom
Vermittlungsrechner CSCF die Nutzung des Dienstes blockiert, ein
dem Fehlercode FC entsprechenden Antwortverhalten ausgeführt und
beispielsweise eine. Fehlermeldung mit dem Antworttext ANT an den
ersten Benutzer USER1 gesendet.