DE102005055147A1 - Protected data link setting method for use in mobile communication system, involves making protected data link according to safety key for registering communication service between communication terminal and control unit over access network - Google Patents
Protected data link setting method for use in mobile communication system, involves making protected data link according to safety key for registering communication service between communication terminal and control unit over access network Download PDFInfo
- Publication number
- DE102005055147A1 DE102005055147A1 DE102005055147A DE102005055147A DE102005055147A1 DE 102005055147 A1 DE102005055147 A1 DE 102005055147A1 DE 102005055147 A DE102005055147 A DE 102005055147A DE 102005055147 A DE102005055147 A DE 102005055147A DE 102005055147 A1 DE102005055147 A1 DE 102005055147A1
- Authority
- DE
- Germany
- Prior art keywords
- cscf
- mobile communication
- access network
- unit
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5084—Providing for device mobility
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
Abstract
Description
Die Erfindung betrifft ein Verfahren zum Aufbau zumindest einer geschützten Datenverbindung nach einem Wechsel des Zugangsnetzes in einem mobilen Kommunikationssystem, welches zur Bereitstellung von Kommunikationsdiensten zumindest ein Internet Protocoll (IP)-basiertes Dienstekommunikationssystem aufweist und an das über zumindest zwei unterschiedliche Zugangsnetze zumindest ein mobiles Kommunikationsendgerät anschließbar ist. Das zumindest eine mobile Kommunikationsendgerät wird gesteuert über eine erste Verbindungssteuereinheit für zumindest einen Kommunikationsdienst im IP-basierten Dienstekommunikationssystems registriert, wobei zur Registrierung des zumindest einen Kommunikationsdienstes zwischen dem zumindest einen mobilen Kommunikationsendgerät und der ersten Verbindungssteuereinheit über ein erstes Zugangsnetz eine erste geschützte Datenverbindung gemäß vorgegebenen Sicherheitsparameter aufgebaut wird.The The invention relates to a method for constructing at least one protected data connection a change of the access network in a mobile communication system, which at least provides for the provision of communication services an Internet Protocol (IP) -based service communication system and to the over at least two different access networks at least one mobile communication terminal connectable is. The at least one mobile communication terminal is controlled via a first connection control unit for at least one communication service in the IP-based service communication system registered, wherein the registration of the at least one communication service between the at least one mobile communication terminal and the first connection control unit via a first access network a first protected data connection according to predetermined Safety parameters is built.
Bestehende mobile Kommunikationssysteme bzw. Mobilfunksysteme weisen beispielsweise ein Kommunikationsnetzwerk („Core Network") auf, an das über Zugangsnetze („Access Networks") einzelne mobile Kommunikationsendgeräte angeschlossen sind. Bei zukünftigen Mobilfunksystemen werden neben einem auf der „General Packet Radio Service" (GPRS) Zugangstechnologie basierenden Zugangsnetz noch weitere Zugangsnetze basierend auf Zugangstechnologien wie beispielsweise „Universal Mobile Telecommunication System" (UMTS), „Wireless Local Area Network" (WLAN) oder „Worldwide Interoperability for Microwave Access" (WIMAX) zum Einsatz kommen.existing mobile communication systems or mobile radio systems have, for example Communication network ("Core Network "), on the above Access networks ("Access Networks ") individual mobile communication terminals are connected. At future Mobile radio systems will be in addition to one on the "General Packet Radio Service" (GPRS) access technology access network based on other access networks Access technologies such as Universal Mobile Telecommunication System "(UMTS)," Wireless Local Area Network "(WLAN) or "Worldwide Interoperability for Microwave Access "(WIMAX) be used.
Zur Bereitstellung von multimedialen Kommunikationsdiensten über die beschriebenen Zugangsnetze wird in Mobilfunksystemen der dritten Generation zumindest ein Spezialkommunikationssystem bzw. Dienstekommunikationssystem wie beispielsweise das „Internet Protocol Multimedia Subsystem" (IMS) Dienstekommunikationssystem vorgesehen. An dieser Stelle seien beispielhaft für Kommunikations- bzw. Multimediadienste Sprachdienste, Datendienste, Audiodienste, Videodienste, Informationsdienste und Programmkommunikationsdienste genannt.to Providing multimedia communications services via the access networks is used in third-generation mobile communications systems at least one special communication system or service communication system such as the "Internet Protocol Multimedia Subsystem "(IMS) Provided service communication system. At this point are exemplary for communication or multimedia services, voice services, data services, audio services, Video services, information services and program communication services.
Zum Aufbau von Kommunikationsdiensten innerhalb einem derartigen „Internet Protocol Multimedia Subsystem" bzw. „Internet Protocol" (IP) basierten Dienstekommunikationssystem weist dieses ein „Session Initiation Protocol" (SIP) Signalisierungsprotokoll auf, welches eine Registrierung jedes mobilen Kommunikationsendgerätes am IP basierten Dienstekommunikationssystem (siehe 3GPP TS 23.228 und 24.229) erfordert. Zur Implementierung des SIP Signalisierungsprotokolls sind spezielle Servereinheiten vorgesehen, die Verbindungs- und Dienstesteuerfunktionen, so genannte „Call State Control Functions" (CSCF) bereitstellen. Hierzu sind in einem IP basierten Dienstekommunikationssystem beispielsweise eine „Serving Call Session Control Function" (S-CSCF)-Einheit, eine „Interlocation Call Session Control Function" (I-CSCF)-Einheit sowie eine „Proxy Call Session Control Function" (P-CSCF)-Einheit vorgesehen, die jeweils unterschiedliche Signalisierungsaufgaben übernehmen. Hierbei ist jeweils zumindest einem Zugangsnetz eine P-CSCF-Einheit zugeordnet, so dass ein Wechsel des Zugangsnetzes gegebenenfalls auch einen Wechsel des zuständigen P-CSCF-Einheit nach sich ziehen kann.To the Building communication services within such an "Internet Protocol Multimedia Subsystem "or" Internet Protocol "(IP) based Service communication system assigns this a "Session Initiation Protocol" (SIP) signaling protocol on which a registration of each mobile communication terminal on the IP based service communication system (see 3GPP TS 23.228 and 24,229). To implement the SIP signaling protocol special server units are provided, the connection and service control functions, so-called "call State Control Functions "(CSCF) provide. For example, in an IP based service communication system a "serving Call Session Control Function "(S-CSCF) unit, an "interlocation Call Session Control Function "(I-CSCF) unit as well as a" Proxy Call Session Control Function "(P-CSCF) unit provided, each take over different signaling tasks. in this connection in each case at least one access network is assigned a P-CSCF unit, so that a change of the access network may also require a change of the responsible P-CSCF unit.
Beispielsweise ist die S-CSCF-Einheit für die Registrierung eines mobilen Kommunikationsendgerätes im IP basierten Dienstekommunikationssystem zuständig, welche dazu dient, eine Verknüpfung der Adressinformation auf SIP-Ebene (SIP-URI) mit der Adressinformation auf IP-Ebene (IP-Adresse) herzustellen, wobei im Rahmen der IMS Architektur einer Registrierung eine Authentisierung des jeweiligen mobilen Kommunikationsendgerätes vorgeschaltet ist.For example is the S-CSCF unit for the registration of a mobile communication terminal in the IP based service communication system, which serves a shortcut the address information at the SIP level (SIP URI) with the address information at the IP level (IP address), using the IMS Architecture of a registration an authentication of the respective mobile communication terminal upstream.
Unabhängig von der Authentisierung und Registrierung eines mobilen Kommunikationsendgerätes am IP basierten Dienstekommunikationssystem erfordert die Bereitstellung eines Zuganges jeweils die Zuteilung einer IP-Adresse durch das entsprechende Zugangsnetz, welche üblicherweise beim Aufbau einer Kommunikationsverbindung dem mobilen Kommunikationsendgerät zugeteilt wird.Independent of the authentication and registration of a mobile communication terminal on the IP based service communication system requires deployment an access in each case the allocation of an IP address by the corresponding access network, which usually when building a Communication link assigned to the mobile communication terminal becomes.
Wechselt der Benutzer eines mobilen Kommunikationsendgerätes das Zugangsnetz, beispielsweise von UMTS auf WLAN oder von UMTS auf WiMax, so ist dem mobilen Kommunikationsendgerätes des Nutzers durch das neue Zugangsnetz eine neue IP-Adresse zugeordnet.switches the user of a mobile communication terminal the access network, for example from UMTS to WLAN or from UMTS to WiMax, so is the mobile communication terminal of the User assigned a new IP address through the new access network.
Ein Wechsel des Zugangsnetzes bzw. der IP-Adresse erfordert gemäß dem derzeitigen Standardisierungsstatus für das „Internet Protocol Multimedia Subsystem" den Abbau der jeweils bestehenden Kommunikationsdienste und eine anschließende Authentisierung sowie Neuregistrierung des Nutzers des mobilen Kommunikationsendgerätes unter der neu zugeteilten IP-Adresse am IP-basierten Dienstekommunikationssystem. Hierdurch entstehen Verzögerungen in der Datenübertragung von beispielsweise mehreren Sekunden, welche insbesondere bei Echtzeit-Multimediakommunikationsdiensten dem Nutzer nicht zuzumuten sind.One Changing the access network or the IP address requires according to the current Standardization status for the Internet Protocol Multimedia Subsystem "the Reduction of existing communication services and subsequent authentication and re-registration of the user of the mobile communication terminal under the newly assigned IP address on the IP-based service communication system. This causes delays in the data transmission for example, several seconds, especially in real-time multimedia communication services the user can not be expected.
Aufgabe der vorliegenden Erfindung ist es, ein verbessertes Verfahren zum Aufbau einer geschützten Datenverbindung nach einem Wechsel des Zugangsnetzes bei einem bestehenden Kommunikationsdienst innerhalb eines IP basierten Dienstekommunikationssystems anzugeben, durch dass die beim Wechsel für den Benutzer entstehenden Beeinträchtigung der Übertragungsqualität nahezu vollständig beseitigt wird sowie der hierzu erforderliche Signalisierungsaufwand deutlich reduziert wird. Die Aufgabe wird ausgehend von den Merkmalen des Oberbegriffes des Patentanspruches 1 durch dessen kennzeichnende Merkmale gelöst.Object of the present invention is an improved method for building a ge protected data connection after a change of the access network in an existing communication service within an IP based service communication system indicate that the resulting in the change for the user impairment of the transmission quality is almost completely eliminated and the required signaling effort is significantly reduced. The object is achieved on the basis of the features of the preamble of claim 1 by its characterizing features.
Der wesentliche Aspekt des erfindungsgemäßen Verfahrens ist darin zu sehen, dass nach einem Wechsel des mobilen Kommunikationsendgerätes von dem ersten Zugangsnetzes zu einem weiteren Zugangsnetz zur erneuten Registrierung des mobilen Kom munikationsendgerätes für den zumindest einen Kommunikationsdienst am IP-basierten Dienstekommunikationssystem über das weitere Zugangsnetz eine zweite geschützte Datenverbindung aufgebaut wird, und zwar unter erneuter Verwendung der bereits zum Aufbau der ersten geschützten Datenverbindung vorgegeben Sicherheitsparameter. Vorteilhaft werden beim erfindungsgemäßen Verfahren die zum Aufbau der ersten geschützten Datenverbindung vorgesehnen Sicherheitsparameter, welche bereits im mobilen Kommunikationsendgerät sowie in der „alten" Verbindungssteuereinheit gespeichert sind, nach dem Wechsel des Zugangsnetzes zum Aufbau der zweiten geschützten Datenverbindung erneut verwendet, wodurch die ursprünglich erforderliche vier Signalisierungsnachrichten auf lediglich zwei Signalisierungsnachrichten reduziert werden können.Of the essential aspect of the method according to the invention is to see that after a change of the mobile communication terminal of the first access network to another access network for renewed Registration of the mobile com munikationsendgerätes for the at least one communication service on the IP-based service communication system via the further access network a second protected Data connection is established, with reuse of the already specified for setting up the first protected data connection Security parameters. Advantageous in the method according to the invention to build the first protected Data connection envisioned security parameters, which already in the mobile communication terminal as well as in the "old" connection control unit are stored, after the change of the access network to the structure the second protected Data connection is reused, reducing the original required four signaling messages on only two signaling messages can be reduced.
Weitere vorteilhafte Ausbildungen des erfindungsgemäßen Verfahrens, insbesondere eine mobiles Kommunikationssystem zur Bereitstellung von Kommunikationsdiensten sind den weiteren Ansprüchen zu entnehmen.Further advantageous embodiments of the method according to the invention, in particular a mobile communication system for providing communication services are the further claims refer to.
Im Folgenden wird die Erfindung an mehreren Ausführungsbeispielen und zugehöriger Figuren näher erläutert. Es zeigen:in the The invention will be explained in more detail below with reference to several exemplary embodiments and associated figures. It demonstrate:
Das
in
Zur Bereitstellung von derartigen Kommunikations- bzw. Multimediadiensten im mobilen Kommunikationssystem KS ist ein Dienstekommunikationssystem IMS vorgesehen, welches beispielsweise als „Internet Protocol Multimedia Subsystem" bzw. IP-basiertes Dienstekommunikationssystem IMS ausgebildet ist. Beispielhaft seien an dieser Stelle für Kommunikations- bzw. Multimediadienste Sprachdienste, Datendienste, Audiodienste, Videodienste, Informationsdienste und Programmkommunikationsdienste genannt.to Provision of such communication or multimedia services in the mobile communication system KS is a service communication system IMS provided, for example, as "Internet Protocol Multimedia Subsystem "or IP-based Service communication system IMS is formed. Exemplary at this point for communication or multimedia services, voice services, data services, audio services, Video services, information services and program communication services called.
Die zum Anschluss des ersten und/oder zweiten Kommunikationsendgerätes MKE1, MKE2 an das mobile Kommunikationssystem KS vorgesehenen Zugangsnetze AN können hierbei unterschiedliche Zugangstechnologien aufweisen, beispielsweise die „General Packet Radio Service" (GPRS) Zugangstechnologie, die „Universal Mobile Telecommunication System" (UMTS) Zugangstechnologie, die „Wireless Local Area Network" (WLAN) Zugangstechnologie und die „Worldwide Interoperability for Microwave Access" (WiMax) Zugangstechnologie.The for connecting the first and / or second communication terminal MKE1, MKE2 provided to the mobile communication system KS access networks AN can have different access technologies, for example the "General Packet Radio Service "(GPRS) Access technology, the "universal Mobile Telecommunication System "(UMTS) Access technology, the "Wireless Local Area Network "(WLAN) access technology and the "Worldwide Interoperability for Microwave Access "(WiMax) access technology.
In vorliegendem Ausführungsbeispiel sind beispielsweise ein erstes bis drittes, die „Universal Mobile Telecommunication System"-Zugangstechnologie unterstützendes Zugangsnetz UMTS1 bis UMTS3 vorgesehen, welche über eine erste bis dritte Verbindungssteuereinheit P1 bis P3 mit einer Teilnehmerdatenbankeinheit („Home Subscriber Server") HSS verbunden sind. Hierbei ist das erste mobile Kommunikationsendgerät. MKE1 über das erste Zugangsnetz UMTS1 mit der ersten Verbindungssteuereinheit P1 und das zweite mobile Kommunikationsendgerät MKE3 über das dritte Zugangsnetz UMTS3 mit der dritten Verbindungssteuereinheit P3 verbunden.In the present exemplary embodiment, for example, a first to third, the "Universal Mobile Telecommunication System" access technology supporting access network UMTS1 to UMTS3 are provided, which are connected via a first to third connection control unit P1 to P3 with a subscriber database unit ("Home Subscriber Server") HSS. Here is the first mobile communication terminal. MKE1 over the first Access network UMTS1 connected to the first connection control unit P1 and the second mobile communication terminal MKE3 via the third access network UMTS3 to the third connection control unit P3.
Darüber hinaus sind ein viertes die „Wireless Local Area Network"-Zugangstechnologie unterstützendes Zugangsnetz WLAN sowie ein fünftes die „Worldwide Interoperability for Microwave Access"-Zugangstechnologie unterstützendes Zugangsnetz WiMax vorgesehen, welche ebenfalls über die erste bzw. zweite Verbindungssteuereinheit P1, P2 mit der Teilnehmerdatenbankeinheit HSS verbunden sind. Somit ist für die Steuerung der Bereitstellung von Kommunikationsdiensten innerhalb des ersten und vierten Zugangsnetzes UMTS1, WLAN die erste Verbindungssteuereinheit P1 und innerhalb des zweiten und fünften Zugangsnetzes UMTS2, WiMax die zweite Verbindungssteuereinheit P2 sowie innerhalb des dritten Zugangsnetz UMTS3 die dritte Verbindungssteuereinheit P3 zuständig.Furthermore are a fourth the "Wireless Local Area Network "access technology supportive Access network Wi-Fi and a fifth the "Worldwide Interoperability for Microwave Access "access technology supportive Access network WiMax provided, which also via the first and second connection control unit P1, P2 are connected to the subscriber database unit HSS. Consequently is for the control of the provision of communication services within of the first and fourth access networks UMTS1, WLAN, the first connection control unit P1 and within the second and fifth access networks UMTS2, WiMax the second connection control unit P2 and within the third access network UMTS3 the third connection control unit P3 responsible.
Zum Aufbau von Kommunikationsdiensten stellt das IP-basierte Dienstekommunikationssystem IMS ein „Session Initiation Protocol"-Signalisierungsprotokoll SIP bereit, über welches die Authentifizierung des jeweiligen Nutzers am IP-basierten Dienstekommunikationssystem IMS sowie dessen Registrierung für einen Kommunikationsdienst erfolgt.To the Establishment of communication services is provided by the IP-based service communication system IMS a "session Initiation Protocol "signaling protocol SIP ready, over which is the authentication of the respective user on the IP-based Service communication system IMS and its registration for one Communication service is done.
Zur Implementierung des SIP-Signalisierungsprotokolls SIP sind innerhalb des mobilen Kommunikationssystems KS spezielle Servereinheiten vorgesehen, die die unterschiedlichen Verbindungs- und Dienstesteuerfunktionen des „Internet Protocol Multimedia Subsystem" Dienstekommunikationssystem IMS, so genannte „Call State Control Functions" (CSCF) bereitstellen.to Implementation of the SIP signaling protocol SIP are within the mobile communication system KS special server units provided the different connection and service control functions of the "Internet Protocol Multimedia Subsystem "service communication system IMS, called "Call State Control Functions "(CSCF) provide.
Hierzu sind die zwischen den Zugangsnetzen AN und der Teilnehmerdatenbankeinheit HSS vorgesehenen ersten bis dritten Verbindungssteuereinheiten P1, P2, P3 als erste bis dritte „Proxy Call Session Control Function"-Einheit P1, P2, P3 ausgebildet.For this are those between the access networks AN and the subscriber database unit HSS provided first to third connection control units P1, P2, P3 as the first to third "proxy Call Session Control Function "unit P1, P2, P3 formed.
Ferner sind zumindest eine „Serving Call Session Control Function"-Einheit S-CSCF sowie zumindest eine „Interlocation Call Session Control Function"-Einheit I-CSCF vorgesehen, welche jeweils mit der Teilnehmerdatenbankeinheit HSS über SIP-Signalisierungsverbindungen SIP verbunden sind. Zur Realisierung der unterschiedlichen Verbindungs- und Dienstesteuerfunktionen innerhalb des IP-basierten Dienstekommunikationssystem IMS sind die zumindest eine S-CSCSF-Einheit S-CSCF, die zumindest eine I-CSCF-Einheit I-CSCF vorzugsweise über die Teilnehmerdatenbankeinheit HSS mit der ersten bis dritten „Proxy Call Session Control Function"-Einheit P1, P2, P3 über das SIP-Signalisierungsprotokoll SIP verbunden.Further are at least a "serving Call Session Control Function "unit S-CSCF and at least one "Interlocation Call Session Control Function "unit I-CSCF provided, each with the subscriber database unit HSS via SIP signaling connections SIP are connected. To realize the different connection and service control functions within the IP-based service communication system IMS are the at least one S-CSCSF unit S-CSCF, which at least an I-CSCF unit I-CSCF preferably via the subscriber database unit HSS with the first to third proxy call session control function units P1, P2, P3 over the SIP signaling protocol SIP connected.
Zur Registrierung beispielsweise des ersten mobilen Kommunikationsendgerätes MKE1 über das erste Zugangsnetz UMTS1 am IP-basierten Dienstekommunikationssystem IMS wird standardgemäß zunächst eine Authentifizierung (3GPP TS 33203-670) des Nutzers des ersten mobilen Kommunikationsendgerätes MKE1 im IP-basierten Dienstekommunikationssystem IMS durchgeführt. Hierzu wird zumindest zwei SIP-Register-Nachrichten über die zugeordnete erste P-CSCF-Einheit P1 an den SIP-Registrar bzw. die S-CSCF-Einheit S-CSCF des IP-basierten Dienstkommunikationssystems IMS gesendet. Das hierzu standardisierte Authentifizierungsverfahren ist im Standard 3GPP TS 33203-670 und die einzelnen Signalisierungsschritte in den Standards 3GPP TS 24.229 sowie 3GPP TS 24.228 beschrieben.to Registration of, for example, the first mobile communication terminal MKE1 over the first Access network UMTS1 on the IP-based service communication system IMS is a standard first Authentication (3GPP TS 33203-670) of the user of the first mobile communication terminal MKE1 performed in the IP-based service communication system IMS. For this is at least two SIP register messages via the associated first P-CSCF unit P1 to the SIP registrar or the S-CSCF unit S-CSCF of the IP-based Service communication system IMS sent. The standardized for this purpose Authentication method is standard in 3GPP TS 33203-670 and the individual signaling steps in the standards 3GPP TS 24.229 and 3GPP TS 24.228.
Im Rahmen dieses standardisierten Authentifizierungs- und Registrierungsverfahrens wird im ersten mobilen Kommunikationsendgerät MKE1 und in der diesem zugeordneten ersten P-CSCF-Einheit P1 eine erste geschützte Datenverbindung SA1 gemäß vorgegebener Sicherheitsvereinbarungen („security association") vorgesehen, welche zur geschützten Übertragung der Sig nalisierungsnachrichten zwischen dem ersten mobilen Kommunikationsendgerät MKE1 und der diesem zugeordneten ersten P-CSCF-Einheit P1 über das erste Zugangsnetz UMTS1 dient. Basierend auf der jeweils vorgegebene Sicherheitsvereinbarung werden Sicherheitsparameter SS vorgesehen, welche die erste geschützte Datenverbindung SA1 definieren. Insbesondere wird ein erster Sicherheitsschlüssel bzw. „Security/Integrity Key"IK1 gebildet, mittels dem eine Verschlüsselung der in den jeweiligen SIP-Signalisierungsnachrichten enthaltenen Daten erfolgt.in the Framework of this standardized authentication and registration process is in the first mobile communication terminal MKE1 and assigned to this first P-CSCF unit P1 a first protected Data connection SA1 according to predetermined Security agreements ("security Association "), which for protected transmission the Sig nalisierungsnachrichten between the first mobile communication terminal MKE1 and the first P-CSCF unit associated therewith P1 over the first access network UMTS1 is used. Based on the given one Safety agreement SS safety parameters are provided, which is the first protected data connection Define SA1. In particular, a first security key or "Security / Integrity Key "IK1 formed, by means of encryption the one contained in the respective SIP signaling messages Data takes place.
Vorteilhaft wird beim erfindungsgemäßen Verfahren beim Wechsel des Zugangsnetzes AN, beispielsweise vom ersten Zugangsnetz UMTS1 zum vierten Zugangsnetz WLAN oder fünften Zugangsnetz WiMax im Rahmen der Neu-Authentifikation des Nutzers am IP-basierten Zugangsnetzes bzw. der Neu-Registrierung für einen Kommunikationsdienstes der bereits vorgesehene erste Sicherheitsschlüssel IK1 im neuen Zugangsnetz AN wieder verwendet.Advantageous becomes in the procedure according to invention when changing the access network AN, for example, from the first access network UMTS1 to the fourth access network WLAN or fifth access network WiMax im Framework of re-authentication of the user on the IP-based access network or the re-registration for a communication service, the already provided first security key IK1 used again in the new access network AN.
Zur Erläuterung des erfindungsgemäßen Verfahrens wird beispielhaft angenommen, dass das erste mobile Kommunikationsendgerät MKE1 über das erste Zugangsnetz UMTS1 mit dem mobilen Kommunikationssystem KS verbunden ist und der Nutzer des ersten mobilen Kommunikationsendgerätes MKE1 für zumindest einen Kommunikationsdienst im IP basierten Dienstkommunikationssystem IMS bereits registriert ist, d.h. bereits eine erste geschützte Datenverbindung SA1 zwischen dem ersten mobilen Kommunikationsendgerät MKE1 und der ersten P-CSCF-Einheit P1 über das erste Zugangsnetz UMTS1 aufgebaut ist. Hierbei kann der Nutzer auch gleichzeitig mehrere Kommunikationsdienste innerhalb des IP basierten Dienstekommunikationssystems IMS nutzen, beispielsweise gleichzeitig einen Videokonferenzdienst und einen Chat-Kommunikationsdienst.To explain the method according to the invention, it is assumed by way of example that the first mobile communication terminal MKE1 is connected to the mobile communication system KS via the first access network UMTS1 and the user of the first mobile communication terminal MKE1 is already registered for at least one communication service in the IP-based service communication system IMS, ie already a first ge protected data connection SA1 is constructed between the first mobile communication terminal MKE1 and the first P-CSCF unit P1 via the first access network UMTS1. In this case, the user can also simultaneously use a plurality of communication services within the IP-based service communication system IMS, for example simultaneously a video conference service and a chat communication service.
Aufgrund der Mobilität der Nutzer des ersten und/oder zweiten mobilen Kommunikationsendgerätes MKE1, MKE2 ist von Zeit zu Zeit ein Wechsel des Zugangsnetzes AN erforderlich, der jeweils eine Zuteilung einer neuen IP-Adresse an das wechselnde mobile Kommunikationsendgerät MKE1, MKE2 durch das jeweils neue Zugangsnetz AN erfordert.by virtue of mobility the user of the first and / or second mobile communication terminal MKE1, From time to time, MKE2 requires a change of access network AN, each assigning a new IP address to the changing mobile communication terminal MKE1, MKE2 required by the respective new access network AN.
Hierbei möchte der Nutzer im Rahmen eines derartigen Wechsels naturgemäß seine bereits bestehenden Kommunikationsdienste weiterhin aufrechterhalten. Gemäß dem derzeit gültigen Standard ist jedoch bei einer Änderung der IP-Adresse eine Neuregistrierung des jeweiligen mobilen Kommunikationsendgerätes MKE1; MKE2 am IP-basierten Dienstekommunikationssystem IMS erforderlich, d.h. im vorliegenden Ausführungsbeispiel sind die bereits über das erste Zugangsnetz UMTS1 aufgebauten Kommunikationsdienste abzubauen und nach erfolgtem Wechsel des Zugangsnetzes AN nach einer Neu-Registrierung des Nutzers am IP-basierten Dienstekommunikationssystem IMS wieder erneut aufzubauen. Hierbei werden im Wesentlichen zwei unterschiedliche Wechselszenarien betrachtet.in this connection would like to the user in the context of such a change naturally his existing communication services. According to the currently valid However, default is on a change the IP address a re-registration of the respective mobile communication terminal MKE1; MKE2 is required on the IP-based service communication system IMS, i.e. in the present embodiment are already over reduce the first access network UMTS1 established communication services and after a successful change of the access network AN after a new registration the user of the IP-based service communication system IMS again rebuild. Here are essentially two different Considered change scenarios.
Im ersten Fall wechselt der Nutzer des ersten mobilen Kommunikationsendgerätes MKE1 vom ersten Zugangsnetz UMTS1 in das benachbarte vierte Zugangsnetz WLAN, dessen Verbindungssteuerfunktionen ebenfalls durch die erste P-CSCF-Einheit P1 wahrgenommen werden. Somit ist trotz eines Wechsels des Zugangsnetzes AN kein Wechsel der ersten P-CSCF-Einheit P1 erforderlich, d.h. die Verbindungssteuerung des im Empfangsbereich des vierten Zugangsnetz WLAN befindlichen ersten Kommunikationsendgerätes MKE1* erfolgt weiterhin über die erste P-CSCF-Einheit P1.in the In the first case, the user of the first mobile communication terminal MKE1 changes from the first access network UMTS1 into the adjacent fourth access network WLAN, whose connection control functions also by the first P-CSCF unit P1 can be perceived. Thus, despite a change of the access network AN no change of the first P-CSCF unit P1 required, i.e. the connection control of the in the reception area of the fourth Access network WLAN first communication terminal MKE1 * continues via the first P-CSCF unit P1.
Im zweiten Fall wechselt der Nutzer des ersten mobilen Kommunikationsendgerätes MKE1 vom ersten Zugangsnetzes UMTS1 in ein benachbartes fünftes Zugangsnetz WiMax, welches jedoch einen Wechsel der Verbindungssteuereinheit P1, P2, und zwar von der ersten P-CSCF-Einheit P1 auf die zweite P-CSCF-Einheit P2, nach sich zieht, d.h. die Verbindungssteuerfunktionen bzgl. des im Empfangsbereich des fünften Zugangsnetzes WiMax befindlichen ersten Kommunikationsendgerätes MKE1** erfolgen durch die zweite P-CSCF-Einheit P2.in the second case, the user of the first mobile communication terminal MKE1 changes from the first access network UMTS1 into a neighboring fifth access network WiMax, which, however, a change of the connection control unit P1, P2, from the first P-CSCF unit P1 to the second P-CSCF unit P2, entails, i. the connection control functions regarding the in the reception area of the fifth Access network WiMax located first communication terminal MKE1 ** are performed by the second P-CSCF unit P2.
Unabhängig vom Wechsel der Zuständigkeit der Verbindungssteuer- bzw. P-CSCF-Einheit P1, P2 ist in beiden Fällen jedoch eine Neuregistrierung des ersten mobilen Kommunikationsendgerätes MKE1*, MKE1** am IP basierten Dienstekommunikationssystem IMS erforderlich.Independent of Change of responsibility of However, connection control or P-CSCF unit P1, P2 is in both cases a re-registration of the first mobile communication terminal MKE1 *, MKE1 ** IP based service communication system IMS required.
Aufgrund der bestehenden Registrierung des ersten mobilen Kommunikationsendgerätes MKE1 für einen Kommunikationsdienst am IP-basierten Dienstekommunikationssystem IMS besteht bereits die erste geschützte Datenverbindung SA1 zwischen dem ersten mobilen Kommunikationsendgerät MKE1 und der zugeordneten ersten P-CSCF-Einheit P1. Auch ist dem ersten mobilen Kommunikationsendgerät MKE1 bereits durch das erste Zugangsnetz UMTS1 eine erste IP-Adresse ip1 zugeteilt, welche im Rahmen des Zuteilungsprozesses in der Teilnehmerdatenbankeinheit HSS mit der Benutzeridentität („user identity") des Nutzers des ersten mobilen Kommunikationsendgerätes MKE1 verknüpft und dort gespeichert wird.by virtue of the existing registration of the first mobile communication terminal MKE1 for one Communication service on the IP-based service communication system IMS already exists the first protected data connection SA1 between the first mobile communication terminal MKE1 and the associated first P-CSCF unit P1. Also, the first mobile communication terminal MKE1 is already assigned a first IP address ip1 by the first access network UMTS1, which in the context of the allocation process in the subscriber database unit HSS with the user identity of the user first mobile communication terminal MKE1 linked and there is stored.
Die im Rahmen des Aufbaus der ersten geschützten Datenverbindung SA1 zwischen dem ersten mobilen Kommunikationsendgerät MKE1 und der ersten P-CSCF-Einheit P1 ausgetauschten Sicherheitsparameter SS werden sowohl im ersten mobilen Kommunikationsendgerät MKE1 als auch in der zugeordneten ersten P-CSCF-Einheit P1 gespeichert. Beispielhaft seien als Sicherheitsparameter SS der „random challenge" (RAND)-Parameter RAND, der „sequence number" (SQN)-Parameter SQN, der „authentication management field" (AMF)-Parameter AMF und die „security parameter index" SPI-Parameter spi_u, spi_d genannt.The as part of the construction of the first protected data connection SA1 between the first mobile communication terminal MKE1 and the first P-CSCF unit P1 exchanged safety parameters SS are both in the first mobile communication terminal MKE1 and stored in the associated first P-CSCF unit P1. exemplary Let SS be the random challenge (RAND) parameter as security parameter SS EDGE, the "sequence number "(SQN) parameter SQN, the "authentication management field "(AMF) parameter AMF and the "security parameter index "SPI parameter spi_u, called spi_d.
Die SPI-Parameter spi_u, spi_d bildet innerhalb des IP-basierten Dienstekommunikationssystems IMS eine eindeutige Kennung zur Identifizierung einer geschützten Datenverbindung aus. Da eine geschützte Datenverbindung jeweils aus einer geschützten Downstream-Datenverbindung und einer geschützten Upstream-Datenverbindung besteht, werden zur Kennzeichnung beispielsweise der ersten geschützten Datenverbindung SA1 ein erster SPI-Parameter spi1_d zur Kennzeichnung einer ersten geschützten Downstream-Datenverbindung und ein zweiter SPI- Parameter spi1_u zur Kennzeichnung einer ersten geschützten Upstream-Datenverbindung vorgesehen. Der ersten geschützten Downstream- und Upstream-Datenverbindung werden erste Eingangsportnummern p1 zugeordnet, welche mittels der ersten IP-Adresse ip1 eine Verknüpfung zur IP-Schicht ermöglichen.The SPI parameter spi_u, spi_d forms within the IP based service communication system IMS a unique identifier to identify a protected data connection out. As a protected Data connection from a protected downstream data connection and a protected one For example, upstream data connection exists the first protected Data connection SA1 a first SPI parameter spi1_d for identification a first protected Downstream data connection and a second SPI parameter spi1_u to identify a first protected Upstream data connection provided. The first protected downstream and upstream data connection become first input port numbers p1 assigned, which by means of the first IP address ip1 a link to Enable IP layer.
Der erste Sicherheitsschlüssels IK1, ggf. ein weiterer Sicherheitsschlüssel („cipher key") CK sowie ein erster „Message Authentication Code" MAC-Parameter HMAC_1 werden unter anderem durch Auswertung der Sicherheitsparameter RAND, SQN und AMF gebildet.The first security key IK1, possibly another security key ("cipher key") CK and a first "Message Authentication Code" MAC parameter HMAC_1 are inter alia by Off evaluation of the safety parameters RAND, SQN and AMF.
Wechselt
nun im betrachteten Ausführungsbeispiel
gemäß
Beim betrachteten Ausführungsbeispiels ist aufgrund der gemeinsamen Zuständigkeit der ersten P-CSCF-Einheit P1 sowohl für das erste als auch für das vierte Zugangsnetz UMTS1, WLAN kein Wechsel der ersten P-CSCF-Einheit P1 erforderlich (erster Fall), d.h. die Sicherheitsparameter SS und die zugehörige erste Sicherheitsschlüssel IK1 sind bereits in der ersten P-CSCF-Einheit P1 und im ersten mobilen Kommunikationsendgeräte MKE1 gespeichert und können für den Aufbau der zweiten geschützten Verbindung SA2 zwischen der ersten P-CSCF-Einheit P1 und dem nunmehr im vierten Zugangsnetzes WLAN befindlichen mobilen Kommunikationsendgerät MKE1 wieder verwendet werden. Insbesondere kann der erste Sicherheitsschlüssel IK1 bei der erneuten Authentisierung des ersten mobilen Kommunikationsendgerätes MKE1 für den Kommunikationsdienst wieder verwendet werden. Dieser muss hierzu mit der neu zugeordneten zweiten IP-Adresse ip2 verknüpft werden.At the considered embodiment is due to the shared competence of the first P-CSCF unit P1 both for the first as well as for that fourth access network UMTS1, WLAN no change of the first P-CSCF unit P1 required (first case), i. the safety parameters SS and the associated first security key IK1 are already in the first P-CSCF unit P1 and in the first mobile communication terminal MKE1 saved and can for the Building the second protected Connection SA2 between the first P-CSCF unit P1 and the now in the fourth access network WLAN mobile communication terminal MKE1 again be used. In particular, the first security key IK1 in the renewed authentication of the first mobile communication terminal MKE1 for the Communication service to be used again. This must be with this the newly assigned second IP address ip2 are linked.
Gemäß der in
Nach Empfang der zweite IP-Adresse ip2 wird durch die S-CSCF-Einheit S-CSCF mittels einer an die Teilnehmerdatenbankeinheit HSS gerichteten Check-Nachricht die korrekte Verknüpfung der zweiten IP-Adresse ip2 mit der Benutzeridentität des Nutzers des ersten mobilen Kommunikationsendgerätes MKE1 verifiziert. Bei einem positiven Verifikationsergebnis wird durch die Teilnehmerdatenbankeinheit HSS der Wechsel von der ersten auf die zweite IP-Adresse ip1, ip2 der S-CSCF-Einheit S-CSCF mittels einer 200-Ok-Nachricht bestätigt. Daraufhin wird durch die S-CSCF-Einheit S-CSCF mittels einer weiteren 200-OK-Nachricht die Gültigkeit des durchgeführten Wechsels auf die zweiten IP-Adresse ip2 der ersten P-CSCF-Einheit P1 angezeigt, welche diese dem ersten mobilen Kommunikationsendgerät MKE1 mittels einer weiteren 200-OK-Nachricht bestätigt.To Reception of the second IP address ip2 is performed by the S-CSCF unit S-CSCF a check message directed to the subscriber database unit HSS the correct link the second IP address ip2 with the user identity of the user of the first mobile communication terminal MKE1 verified. At a positive verification result is through the subscriber database unit HSS the change from the first to the second IP address ip1, ip2 the S-CSCF unit S-CSCF confirmed by means of a 200-ok message. thereupon is sent by the S-CSCF unit S-CSCF by means of another 200-OK message the validity of the performed Change to the second IP address ip2 of the first P-CSCF unit P1 displayed, which this the first mobile communication terminal MKE1 means another 200-OK message confirmed.
Von der ersten P-CSCF-Einheit P1 werden zur Kennzeichnung der zweiten geschützten Datenverbindung SA2 ein dritter und vierter SPI-Parameter sip2_d, sip2_u sowie zugehörige zweite Eingangsportnummern p2 für Downstream- und Upstream-Übertragungsrichtung ermittelt und an das erste mobile Kommunikationsendgerät MKE1 über die letztgenannte 200-OK-Nachricht übertragen. Mittels der dritten und vierten SPI-Parameter sip2_d, sip2_u sowie der zugehörige zweite Eingangsportnummern p2 wird im Anschluss daran die zweite geschützten Verbindung SA2 zwischen dem ersten mobilen Kommunikationsendgerät MKE1 und der ersten P-CSCF-Einheit P1 aufgebaut. Die zweiten Eingangsportnummern p2 sind mit der zweiten IP-Adresse ip2 verknüpft und stellen somit eine neue Verbindung zur IP-Schicht her. Wir die erste geschützte Datenverbindung SA1 nicht mehr benötigt, so wird nach Löschung der ersten IP-Adresse ip1 auch die Reservierung der ersten Eingangsportnummern p1 aufgehoben, um Übertragungskonflikte zu vermeiden.From of the first P-CSCF unit P1 are used to identify the second protected Data connection SA2 a third and fourth SPI parameter sip2_d, sip2_u and related second input port numbers p2 for Downstream and upstream transmission direction determined and sent to the first mobile communication terminal MKE1 via the transfer the latter 200-OK message. By means of the third and fourth SPI parameters sip2_d, sip2_u and the associated second one Input port numbers p2 will then become the second protected connection SA2 between the first mobile communication terminal MKE1 and of the first P-CSCF unit P1. The second input port numbers p2 are linked to the second IP address ip2 and thus provide a new connection to the IP layer. We are the first protected data connection SA1 no longer needed, so will after deletion the first IP address ip1 also the reservation of the first input port numbers p1 repealed to transfer conflicts to avoid.
Im zweiten Falle wechselt der Nutzer des ersten mobilen Kommunikationsendgerätes MKE1 vom ersten Zugangsnetz UMTS1 in das fünfte Zugangsnetz WiMAx, dessen Verbindungssteuerfunktionen von der zweiten P-CSCF-Einheit P2 wahrgenommen werden. Somit ist ein Wechsel von der ersten P-CSCF-Einheit P1 zur zweiten P-CSCF-Einheit P2 erforderlich. Zur erfindungsgemäßen Wiederverwendung der für den Aufbau der ersten geschützten Datenverbindung SA1 vorgesehenen Sicherheitsparameter SS wird zumindest der erste Sicherheitsschlüssel IK1 durch die erste P-CSCF-Einheit P1 der zweiten P-CSCF-Einheit P2 zur Verfügung gestellt, so dass zum Aufbau der zweiten geschützten Datenverbindung SA2 zwischen dem im fünften Zugangsnetz WiMax befindlichen ersten mobilen Kommunikationsendgerät MKE1 und der zweiten P-CSCF-Einheit P2 lediglich eine reduzierte Anzahl von Signalisierungsnachrichten erforderlich ist.in the second case, the user of the first mobile communication terminal MKE1 changes from first access network UMTS1 into the fifth access network WiMAx, whose Connection control functions are perceived by the second P-CSCF unit P2 become. Thus, a change from the first P-CSCF unit P1 to second P-CSCF unit P2 required. For reuse according to the invention the for the structure of the first protected data connection SA1 provided safety parameters SS will be at least the first security key IK1 through the first P-CSCF unit P1 of the second P-CSCF unit P2 available so as to establish the second protected data connection SA2 between in the fifth Access network WiMax located first mobile communication terminal MKE1 and the second P-CSCF unit P2 only a reduced number of Signaling messages is required.
Die
hierzu erforderlichen einzelnen Signalisierungsschritte zwischen
dem ersten mobilen Kommunikationsendgerät MKE1, der ersten und zweiten P-CSCF-Einheit
P1, P2 sind in den
Anschließend wird basierend auf den zusätzlich ermittelten Informationen durch die zweite P-CSCF-Einheit P2 eine Context-Request-Nachricht erzeugt und über diese der erste Sicherheitsschlüssel IK1 von der ersten P-CSCF-Einheit P1 angefordert. Nach Empfang der Context-Request-Nachricht in der ersten P-CSCF-Einheit P1 wird in dieser eine Context-Transfer-Nachricht erzeugt und über diese der erste Sicherheitsschlüssel IK1 an die zweite P-CSCF-Einheit P2 übertragen.Subsequently, will based on the additional determined information through the second P-CSCF unit P2 a Context request message generates and on this the first security key IK1 requested by the first P-CSCF unit P1. After receiving the context request message in the first P-CSCF unit P1 becomes a context transfer message in this generated and over this the first security key IK1 transferred to the second P-CSCF unit P2.
Analog zum ersten Fall wird im Anschluss daran durch die zweite P-CSCF-Einheit P2 eine Update-Nachricht erzeugt und an die S-CSCF-Einheit S-CSCF übermittelt, über welche dieser die zweite IP-Adresse ip2 übertragen wird. Mittels einer Check-Nachricht wird durch die S-CSCF-Einheit S-CSCF die Teilnehmerdatenbankeinheit HSS zur Verifikation der Zuordnung der zweiten IP-Adresse ip2 zur Benutzeridentität des Nutzers des ersten mobilen Kommunikationsendgerätes MKE1 überprüft. Nach erfolgter Überprüfung wird über eine 200-OK-Nachricht die S-CSCF-Einheit S-CSCF über den Wechsel informiert.Analogous in the first case, this is followed by the second P-CSCF unit P2 generates an update message and transmits it to the S-CSCF unit S-CSCF, via which this is the second IP address ip2 transmitted. By means of a check message is through the S-CSCF unit S-CSCF the subscriber database unit HSS for verification the assignment of the second IP address ip2 to the user identity of the user the first mobile communication terminal MKE1 checked. After verification is over a 200-OK message the S-CSCF unit S-CSCF over the Bills informed.
Von der S-CSCF-Einheit S-CSCF wird der erfolgreiche Wechsel der Zugangsnetzes AN mittels einer 200-OK-Nachricht der zweiten P-CSCF-Einheit P2 bestätigt. Zusätzlich werden an das erste mobile Kommunikationsendgerät MKE1 mittels einer durch die zweite P-CSCF-Einheit P2 erzeugte 200-OK-Nachricht die zum Aufbau der zweiten geschützten Datenverbindung SA2 erforderlichen SPI-Parameter sowie die zugehörigen Portnummern übertragen.From The S-CSCF unit S-CSCF will be the successful change of access network AN by means of a 200-OK message from the second P-CSCF unit P2 approved. additionally be to the first mobile communication terminal MKE1 means of a through the second P-CSCF unit P2 generated the 200 OK message to be set up the second protected Data connection SA2 required SPI parameters and the associated port numbers.
Zur
Erläuterung
der im Rahmen der in
In
der Re-Authentification-Nachricht
Durch das erste mobile Kommunikationsendgerät MKE1 wird abhängig von der zugeordneten zweiten IP-Adresse ip2 zunächst ein dritter SPI-Parameter spi2_d zur Kennzeichnung der zweiten geschützten Downstream-Datenverbindung innerhalb der zweiten geschützten Datenverbindung SA2 ermittelt und in die Migrate-Nachricht MIGRATE eingefügt. Die Verschlüsselung der zweiten geschützten Downstream-Datenverbindung erfolgt hierbei mittels des im ersten mobilen Kommunikationsendgerät MKE1 gespeicherten ersten Sicherheitsschlüssels IK1 der ersten geschützten Datenverbindung SA1.By the first mobile communication terminal MKE1 becomes dependent on the assigned second IP address ip2 first a third SPI parameter spi2_d to identify the second downstream protected data connection protected within the second Data connection SA2 determined and in the Migrate message MIGRATE inserted. The encryption the second protected downstream data connection takes place here by means of the stored in the first mobile communication terminal MKE1 first security key IK1 the first protected Data connection SA1.
In die Migrate-Nachricht MIGRATE werden durch das erste mobile Kommunikationsendgerät MKE1 neben dem dritten SPI-Parameter spi2_d weitere Parameter eingefügt, und zwar der erste SPI-Parameter spi1_d, die ersten und zweiten Portnummern p1 sowie die erste und zweite IP-Adresse ip1, ip2.In the migrate message MIGRATE are next by the first mobile communication terminal MKE1 the third SPI parameter spi2_d inserted further parameters, the first SPI parameter spi1_d, the first and second Port numbers p1 and the first and second IP address ip1, ip2.
In
Das
die Migrate-Nachricht MIGRATE aufweisende erste IP-Datenpaket x wird
in die Re-Authentification-Nachricht
Im
Anschluss daran wird die als zweites „IP-Datenpaket" ausgebildete Re-Authentification-Nachricht
In
der ersten P-CSCF-Einheit P1 wird der in der Context-Request-Nachricht
Durch
die zweite P-CSCF-Einheit P2 wird über den dritten MAC-Parameter HMAC_P
die Context-Transfer-Nachricht
Daraufhin
wird durch die zweite P-CSCF-Einheit P2 mittels einer 200-OK-Nachricht
Im Anschluss daran wird zwischen dem ersten mobilen Kommunikationsendgerät MKE1 und der zweiten P-CSCF-Einheit P2 die zweite geschützte Datenverbindung SA2 unter Verwendung des dritten und vierten SPI-Parameter spi2_d, spi2_u sowie der zweiten Eingangsportnummern p2 aufgebaut. Die erste geschützte Datenverbindung SA1 besteht zunächst noch weiter.in the Connection is made between the first mobile communication terminal MKE1 and the second P-CSCF unit P2, the second protected data connection SA2 below Use of the third and fourth SPI parameters spi2_d, spi2_u and the second input port numbers p2. The first protected data connection SA1 exists first further.
Um
den vor dem Wechsel des Zugangsnetzes An zwischen der ersten und
zweiten Kommunikationsendgerät
MKE1, MKE2 bestehenden Kommunikationsdienst erneut aufzubauen, wird
gemäß dem in
Mittels dem beschriebenen Verfahren zur Migration der Sicherheitsvereinbarungen einer ersten geschützten Datenverbindung SA1 in das erneute Authentifikationsverfahren im Rahmen des Wechsel der Zugangsnetzes AN können bereits existierende Sicherheitsschlüssel IK1 wieder verwendet werden und somit der zur Durchführung des Zugangsnetzwechsel erforderliche Signalisierungsaufwand deutlich reduziert werden.through the method described for the migration of security agreements a first protected Data connection SA1 in the re-authentication procedure in As part of the change of the access network AN already existing security key IK1 be used again and thus the one to carry out the access network change required signaling costs are significantly reduced.
Insbesondere sind für eine vollständige Registrierung anstelle der Übertragung von vier Signalisierungsnachrichten zwischen dem ersten mobilen Kommunikationsendgerät MKE1 und der zugeordneten P-CSCF-Einheit P1, P2 nur noch zwei Signalisierungsnachrichten erforderlich, welche über die Luftschnittstelle übertragen werden müssen.Especially are for a complete Registration instead of transfer of four signaling messages between the first mobile communication terminal MKE1 and the associated P-CSCF unit P1, P2 only two signaling messages required which over transmit the air interface Need to become.
Die Erfindung wurde voranstehend an einem Ausführungsbeispiels beschrieben. Es versteht sich, dass zahlreiche Änderungen sowie Abwandlungen möglich sind, ohne dass dadurch der der Erfindung zugrundeliegende Erfindungsgedanke verlassen wird.The The invention has been described above with reference to an exemplary embodiment. It is understood that numerous changes and modifications are possible, without thereby the idea of the invention underlying the invention will leave.
- 11
- Re-Authentication-NachrichtRe-Authentication Message
- 22
- Context-Request-NachrichtContext Request message
- 33
- Context-Transfer-NachrichtContext transfer message
- 44
- 200-OK-Nachricht200 OK message
- AMFAMF
- „authentication management field"-Parameter"authentication management field "parameter
- ANAT
- Zugangsnetzeaccess networks
- CKCK
- weiterer SicherheitsschlüsselAnother security key
- CNCN
- KommunikationsnetzwerkCommunication network
- ESPESP
- „Encapsulated Security Payload"-Parameter"Encapsulated Security Payload Parameters
- HMAC_1HMAC_1
- erster MAC-Parameterfirst MAC parameters
- HMAC_2HMAC_2
- zweiter MAC-Parametersecond MAC parameters
- HMAC_PHMAC_P
- dritter MAC-Parameterthird MAC parameters
- HSSHSS
- TeilnehmerdatenbankeinheitSubscriber database unit
- I-CSCFI-CSCF
- „Interlocation Call Session Control Function"-Einheit"Interlocation Call Session Control Function "unit
- IK1IK1
- erster Sicherheitsschlüsselfirst security key
- IMSIMS
- IP-basiertes DienstkommunikationssystemIP-based Service communication system
- ip1ip1
- erste IP-Adressefirst IP address
- ip2ip2
- zweite IP-Adressesecond IP address
- KSKS
- mobiles Kommunikationssystemmobile communication system
- MACMAC
- „Message Authentication Code"-Parameter"Message Authentication Code "parameter
- MIGRATEMIGRATE
- Migrate-NachrichtMigrate message
- MKE1, MKE1*,MKE1***MKE1, MKE1 * MKE1 ***
- erstes mobiles Kommunikationsendgerätfirst mobile communication terminal
- MKE2MKE2
- zweites mobiles Kommunikationsendgerätsecond mobile communication terminal
- p1p1
- erste Portnummernfirst port numbers
- P1P1
- erste „Proxy Call Session Control Function"-Einheitfirst "proxy Call Session Control Function "unit
- p2p2
- zweite Portnummernsecond port numbers
- P2P2
- zweite „Proxy Call Session Control Function"-Einheitsecond "proxy Call Session Control Function "unit
- P3P3
- dritte „Proxy Call Session Control Function"-Einheitthird "proxy Call Session Control Function "unit
- RANDEDGE
- "random challenge"-Parameter"random challenge" parameter
- SA1SA1
- erste geschützte Datenverbindungfirst protected Data Connection
- SA2SA2
- zweite geschützte Datenverbindungsecond protected Data Connection
- SA3SA3
- dritte geschützte Datenverbindungthird protected Data Connection
- S-CSCFS-CSCF
- „Serving Call Session Control Function"-Einheit"serving Call Session Control Function "unit
- SIPSIP
- Session Initiation Protocol"-Signalisierungsprotokollsession Initiation Protocol "signaling protocol
- spi_u, spi_dspi_u, spi_d
- „security parameter index"-Parameter"security parameter index "parameter
- spi1_dspi1_d
- erste geschützte Downstream-Datenverbindungfirst protected downstream data connection
- spi1_uspi1_u
- erste geschützte Upstream-Datenverbindungfirst protected upstream data connection
- spi2_dspi2_d
- zweite geschützte Downstream-Datenverbindungsecond protected downstream data connection
- spi2_uspi2_u
- zweite geschützte Upstream-Datenverbindungsecond protected upstream data connection
- SSSS
- Sicherheitsparametersecurity parameters
- SQNSQN
- „sequence number"-Parameter"sequence number "parameter
- UMTS1UMTS1
- erstes Zugangsnetzfirst access network
- UMTS2UMTS2
- zweites Zugangsnetzsecond access network
- UMTS3UMTS3
- drittes Zugangsnetzthird access network
- WiMaxWiMax
- fünftes Zugangsnetzfifth access network
- WLANWIRELESS INTERNET ACCESS
- viertes Zugangsnetzfourth access network
- xx
- erstes IP-Datenpaketfirst IP data packet
Claims (32)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102005055147A DE102005055147A1 (en) | 2005-11-18 | 2005-11-18 | Protected data link setting method for use in mobile communication system, involves making protected data link according to safety key for registering communication service between communication terminal and control unit over access network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102005055147A DE102005055147A1 (en) | 2005-11-18 | 2005-11-18 | Protected data link setting method for use in mobile communication system, involves making protected data link according to safety key for registering communication service between communication terminal and control unit over access network |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102005055147A1 true DE102005055147A1 (en) | 2007-05-24 |
Family
ID=37989442
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102005055147A Ceased DE102005055147A1 (en) | 2005-11-18 | 2005-11-18 | Protected data link setting method for use in mobile communication system, involves making protected data link according to safety key for registering communication service between communication terminal and control unit over access network |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102005055147A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009092310A1 (en) * | 2008-01-18 | 2009-07-30 | Huawei Technologies Co., Ltd. | Service provision method and device for a user |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1465385A1 (en) * | 2003-03-31 | 2004-10-06 | Lucent Technologies Inc. | Method for common authentication and authorization across disparate networks |
-
2005
- 2005-11-18 DE DE102005055147A patent/DE102005055147A1/en not_active Ceased
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1465385A1 (en) * | 2003-03-31 | 2004-10-06 | Lucent Technologies Inc. | Method for common authentication and authorization across disparate networks |
Non-Patent Citations (6)
Title |
---|
3GPP TS 23.228: Technical Specification Group Ser- vices and System Aspects, IP Multimedia Subsystem (IMS), Stage 2 (Release 7) [online], September 2005, V7.1.0, S.1-189 [recherchiert am 24.07.06]. Im Internet: <URL: http://www.3gpp.org/ftp/Specs/h tml-info/23228.htm> |
3GPP TS 23.228: Technical Specification Group Ser-vices and System Aspects, IP Multimedia Subsystem (IMS), Stage 2 (Release 7) [online], September 2005, V7.1.0, S.1-189 [recherchiert am 24.07.06]. Im Internet: <URL: http://www.3gpp.org/ftp/Specs/html-info/23228.htm> * |
3GPP TS 24.229: Technical Specification Group Core Network and Terminals, IP Multimedia Call Control Protocol based on Session Initiation Protocol (SIP) and Session Description Protocol (SDP), Stage 3 (Release 5) [online], September 2005, V5.1 4.0, S.1-264 [recherchiert am 24.07.06]. Im Inter- net: <URL:http://www.3gpp.org/ftp/Specs/html-info/ 24229.htm> |
3GPP TS 24.229: Technical Specification Group Core Network and Terminals, IP Multimedia Call Control Protocol based on Session Initiation Protocol (SIP) and Session Description Protocol (SDP), Stage 3 (Release 5) [online], September 2005, V5.14.0, S.1-264 [recherchiert am 24.07.06]. Im Inter-net: <URL:http://www.3gpp.org/ftp/Specs/html-info/24229.htm> * |
3GPP TS 33.203: Technical Specification Group Ser- vices and System Aspects, 3G security, Access se- curity for IP-based services (Release 6) [online], July 2005, V6.7.0, S.1-44 [rech. am 24.07.06]. Im Internet: <URL:http://www.3gpp.org/ftp/Specs/html -info/33203.htm> |
3GPP TS 33.203: Technical Specification Group Ser-vices and System Aspects, 3G security, Access se- curity for IP-based services (Release 6) [online], July 2005, V6.7.0, S.1-44 [rech. am 24.07.06]. Im Internet: <URL:http://www.3gpp.org/ftp/Specs/html-info/33203.htm> * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009092310A1 (en) * | 2008-01-18 | 2009-07-30 | Huawei Technologies Co., Ltd. | Service provision method and device for a user |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE602004009940T2 (en) | PROVISION OF MULTIMEDIA SERVICES BY MEANS OF A LINE-TRANSFER CARRIER | |
DE60222874T2 (en) | TRACTION METHOD AND SYSTEM | |
EP1869928B1 (en) | Maintenance of data connections during the changeover of a communication access network | |
DE10223248A1 (en) | Method for registering a communication terminal | |
EP2027738A1 (en) | Method for multiple registration of a multimodal communication terminal | |
EP1814278B1 (en) | Method for assigning of at least one data connection to at least one multiplex connection | |
DE102004026785B4 (en) | A communication system, communication terminal, conference control unit, method for controlling a communication system, method for controlling a communication terminal, and method for controlling a conference control unit | |
EP3799379B1 (en) | Method and ip-based communication system for changing connection control instances without reregistration of end subscribers | |
WO2007025905A1 (en) | Communications system, switching node computer and method for determining a control node | |
DE602004008293T2 (en) | Transparent access authentication in GPRS core networks | |
EP1673921A1 (en) | Method for securing the data traffic between a mobile radio network and an ims network | |
DE102005035723B3 (en) | Speech connection e.g. global system for mobile communications speech connection, handover method for use over cellular mobile network, involves transmitting cipher and integrity keys to call continuity control function for ciphering data | |
DE102005055147A1 (en) | Protected data link setting method for use in mobile communication system, involves making protected data link according to safety key for registering communication service between communication terminal and control unit over access network | |
EP1430693B1 (en) | Method and device for implementation of a firewall application for communication data | |
EP1771993B1 (en) | Method for monitoring message traffic, and a first and second network unit for the execution thereof | |
DE10238928B4 (en) | Method for authenticating a user of a communication terminal when using a service network | |
DE102006054091A1 (en) | Bootstrapping procedure | |
DE10025270A1 (en) | Method and system for registering a subscriber station with the packet service status control function CSCF in a communication system | |
DE10322539A1 (en) | Method for establishing a communication link and communication system | |
DE102005014852A1 (en) | Decision to allocate and allocate resources for at least one stream and at least one payload | |
DE102004032714B4 (en) | A communication system, method for controlling a communication system, signaling device, control device and method for allocating radio resources in a communication system | |
WO2004019641A1 (en) | Method for authenticating a user of a communication terminal during registration in a service network and during use of the same | |
DE102015108507B4 (en) | Devices and methods for managing mobile radio terminals | |
DE102006008055A1 (en) | Push-to talk-over-cellular-communication service and direction-oriented communication service exchanging method for e.g. universal mobile telecommunication system, involves transferring exchange information via signaling connection | |
WO2004086717A1 (en) | Method for transmitting data in a data network comprising a plurality of computers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8131 | Rejection |