TWI314414B - - Google Patents
Download PDFInfo
- Publication number
- TWI314414B TWI314414B TW95118609A TW95118609A TWI314414B TW I314414 B TWI314414 B TW I314414B TW 95118609 A TW95118609 A TW 95118609A TW 95118609 A TW95118609 A TW 95118609A TW I314414 B TWI314414 B TW I314414B
- Authority
- TW
- Taiwan
- Prior art keywords
- user
- authentication
- control function
- session control
- call session
- Prior art date
Links
Landscapes
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
-B14414 . 98·06.11第95118即9號專利說明書及申請專利範圍修正本 . 九、發明說明: • 【發明所屬之技術領域】 _ 本發明係關於一種用於IP〔 Internet Protocol,網際網 路通訊協定〕多媒體子系統登入安全的方法,特別是關於 通信領域的安全技術中之用於IP多媒體子系統〔IMS〕登 -入安全的方法。 , 【先前技術1 • 一 IP 多媒體子系統〔IMS,IP Multimedia Subsystem 〕作為一固定網路及/或一移動網路之會話控制層,一直是 業界討論的重點’第三代移動通信系統〔3G〕及先進電信 網際網路整合服務通訊協定〔TISPAN〕標準就從各個方 面為該IP多媒體子‘系統定義了許多規範,比如一網路之架 構、介面及協定等,其中該IP多媒體子系統網路的安全機 制是第三代移動通信系統及先進電信網際網路整合服務通 訊協定中著重考慮的内容。 習用IP多媒體子系統網路之安全模型係如第1圖所示 ,吞亥IP多媒體子糸統網路設置有一呼叫會話控制功能〔 • CSCF,Call Server Control Function〕實體,對呼叫、會話 進行控制及路由。按照實現的功能不同,該啤叫會話控制 功能實體進一步劃分為:代理-呼叫會話控制功能〔 P-CSCF〕實體、業務-呼叫會話控制功能〔S_CSCF〕實體 及查詢-呼叫會話控制功能〔I-CSCF,Interrogating-CSCF 〕實體。其中,該代理-呼叫會話控制功能負責用戶終端〔 UE〕的登入,所有用戶終端都是通過該代理_呼叫會話控 1314414 卵·〇6.η第酬號專利說明書及申請專利範圍修正本 · 制功能登入到該1Ρ多媒體子系統網路’·該業務-呼叫合話 控制功能完成會話控制及路由等核心功能;該 曰 於_業務·呼叫會話控制功能,林同“ 商或不同區域的網路之間實現互通,或執行網路遮罩等, 比如將該查詢_呼啊話控制功作為不_ 一出入口。 内 為了全面保障該1?多媒體子系統網路的安全,可將其 -登人域及—網路域,再分別為該登人域及網路域 疋女全規範。在第三代行動通訊合作計晝〔3Gpp,τ_ Generation Partnership㈣⑽〕協定中該ιρ多媒體子系 =匕且入文王包括一用戶認證及/或一通信安全,該用戶認 战^日的疋該迮多媒體子系統網路對請求登入的一用戶終 ,的真μ性進行鑒別,並授權合法的該用戶終端登入該ιρ 夕媒體子系統網路;該通信安全指的是通過在二實體之間 建立安全通道,來保證二者間的信令傳輸安全。如第1圖 上不,一介面1及一介面2就是該IP多媒體子系統網路中 °玄登入域的二外部介面,此二介面都與用戶終端連接。其 中忒介面1負責用戶認證,用戶終端與該IP多媒體子系 、、先、’罔路之間的雙向認證就是通過該介面1完成的;該介面 2負貝保障用戶終端與該代理-呼叫會話控制功能之間的通 信安全。 在實際應用中’該介面1上執行的用戶認證可以有多 種方式。同樣地,該介面2上用於保證通信安全的安全通 運也可以有多種類型。其中,一 IP多媒體子系統認證與密 1314414 98. 06.11第95118609號專利說明書及申請專利範圍修正本 鑰協商〔IMS AKA〕就是現有技術中定義的一種用戶認 證方式,其具體内容請詳見TS33.203及RFC3310協定定 義,此處不再贅述。雖然TS33.203協定提供了該IP多媒 體子糸統3忍3豎與後輪協商認證方式,但是必須在用戶終端 支援TS33.203協定的情況下,才能使用這種用戶認證方式 對3亥IP多媒體子糸統網路的登入安全進行保障。對於不符 合TS33.203協定的用戶終端,比如使用SIM卡的用戶終 端’該IP多媒體子系統認證與密鑰協商認證方式不適用。 為了向更多的用戶終端提供該IP多媒體子系統業務 ’同時還能保證該IP多媒體子系統網路的登入安全, TR33.978中定義了一早期ip多媒體子系統〔Early ims〕 認證方式,該認證方式的具體實現如第2圖所示。 §亥IP多媒體子糸統認證與密鑰協商認證方式及早期 IP多媒體子系統認證方式的區別在於:採用該IP多媒體子 系統認證與密鑰協商認證方式時,用戶終端發出的一註冊 請求消息中攜帶有一安全頭域「Authorization」;而該早期 IP多媒體子系統認證方式不要求用戶終端在該註冊請求消 息中攜帶該安全頭域。 一般而言’上述習用具有下列缺點’例如:如果只要 求該IP多媒體子系統網路支援上述二種用戶認證方式,就 可以通過檢測該註冊請求〔REGISTER〕中是否包含該安 全頭域來確定對該用戶終端使用哪種用戶認證方式,以保 障該IP多媒體子系統之登入安全。但是,一旦要求該ip 多媒體子系統網路支援更多的用戶認證方式,現有技術的 1314414 98.06.11第95m_號專利說明書及申請專利範雖正本 _ 廷種方法就不適用,也就是說,該方法的相容性和擴展性 比較差。 再者,_麟的這種方法先由該Ip乡舰子系統網 用戶終端選擇的用戶認證方式,再根據該用戶認 适方式實_ IPS舰子純之登人安全,該Ip多媒體 子系統網路無法根據自身的安全需要決定對某個用戶線端 使用何種用戶認證方式’故該制方法實麟心媒體子 系統的登入安全的靈活性差。此外,在實現該正多媒體子 系統之登入安全時,習用技術也沒有提供一種方法,使得 網路能1¾根據需要靈活設置肝終端和該代理呼叫會話 控制功能之間的安全通道類型。因此,有必要進一步改良 上述習用IP多媒體子系統登入安全的方法。 【發明内容】 本發明的主要目的係提供一種用於IP多媒體子系統 登入安全的方法,以增強-IP多媒體子系統之登入安全的 擴展性和靈活性。 根據本發明之用於IP多媒體子系統登入安全的方法 ’其包括以下步驟: 在一 IP多媒體子系統網路之網路設備上預先配置至 少一種安全通道類型之登入安全機制; 該網路設備接收到一用戶終端發出之一請求消息後 ,從預先配置中選擇該用戶終端使用之一登入安全機制, 再由該IP多媒體子系統網路根據所選擇之該登入安全機 制,對該用戶終端的登入進行安全控制。 * B14414 _ 98.06.11第95118609號專利說明書及申請專利範圍修正本 - 該登入安全機制包括一用戶認證方式。 . 在該IP多媒體子系統網路之網路設備上配置該登入 安全機制的方法為:在一用戶歸屬伺服器〔HSS,Home • Subscriber Server〕上根據一用戶標識設置對應的至少一 用戶認證方式。 選擇該用戶終端使用的登入安全機制的方法為:該用 , 戶歸屬伺服器接收到該IP多媒體子系統網路中該業務-呼 叫會話控制功能實體的一多媒體認證請求後,根據該請求 中攜帶的該用戶標識查找自身設置的該至少一用戶認證方 式’從中選擇一種用戶認證方式,並生成與所選擇的該用 戶認證方式對應的一認證資料返回給該業務-呼叫會話控 制功能實體。 t 該多媒體認證請求中攜帶該用戶認證方式,則選擇該 用戶終端使用的登入安全機制的方法為:該用戶歸屬伺服 器根據該多媒體認證請求中攜帶的該用戶標識判斷,為該 用戶標識設置的用戶認證方式中是否存在該請求中攜帶的 用戶認證方式; 如果存在,則將該請求中攜帶的用戶認證方式確定為 ' 該用戶終端使用的登入安全機制; - 如果不存在,則該用戶歸屬伺服器從自身為該用戶標 識設置的用戶認證方式中選擇該用戶終端使用的登入安全 機制。 δ亥多媒體認證請求攜帶用戶認證方式的方法為:該用 戶終端通過該代理呼叫會話控制功能實體,向該業務-呼 1314414 98. 06.11第95118609號專利說明書及申請專利範圍修正本 叫會話控制功能實體發出該請求消息,其係該攜帶自身聲 明的用戶認證方式;該業務_呼叫會話控制功能實體獲取該 用戶認證方式’添加到該多媒體認證請求中發送給該用戶 歸屬伺服器。 §亥代理-呼叫會話控制功能實體根攄一登入網路設置 該用戶認證方式’則該多媒體認證請求攜帶用戶認證方式 的方法為: §亥代理呼叫會話控制功能實體接收到該用戶終端的 請求消息後’判斷該請求消息中是否攜帶該用戶終端聲明 的用戶認證方式; 如果不存在’該代理-呼叫會話控制功能實體根據一網 路介面或一 IP位址域判斷出該用戶終端的登入網路,並將 自身為該登入網路設置的該用戶認證方式添加到該請求消 息中發送到該業務-呼叫會話控制功能實體,再由該業務_ 呼叫會話控制功能實體獲取該用戶認證方式,添加到該多 媒體認證請求中發送給該用戶歸屬飼服器; 如果存在,則進一步判斷該代理-呼叫會話控制功能實 體配置的該用戶認證方式中是否存在該用戶終端聲明的用 戶認證方式,如果存在,該代理-呼叫會話控制'功能實體直 接轉發接收到的該請求消息,否則,該代理-啤叫會話控制 功能實體將該請求消息中攜帶的該甩戶認證方式按照自身 設置進行修改後,將該請求消息發送至該業務_呼叫會話控 制功能實體’再由該業務-呼叫會話控制功能實體獲取該用 戶認證方式,添加到該多媒體認證請求中發送給該用戶歸 1314414 - 98· 06.11第95118609號專利說明書及申請專利範圍修正本 ' 屬伺服器。 • 該用戶歸屬伺服器從自身設置中選擇一種用戶認證 方式的方法為:該用戶歸屬伺服器選擇優先順序高的用戶 : 認證方式。 選擇該用戶終端使用之登入安全機制的方法為: 該用戶歸屬伺服器接收到該IP多媒體子系統網路中 該業務-呼叫會話控制功能實體的多媒體認證請求後,根據 &亥凊求中攜帶的用戶標識查找到自身設置的該用戶認證方 式’並為所設置的每個用戶認證方式生成對應的認證資料 返回給該業務-呼叫會話控制功能實體; 該業務-呼叫會話控制功能實體將該用戶認證方式傳 送給該用戶終端,該用戶終端選擇其中一種用戶認證方式 作為自身使用的登入安全機制。 、该用戶認證方式為一消息摘要認證〔Digest MD5〕 方式、該IP多媒體子系統認證與密鑰協商認證方式或早期 IP多媒體子系統認證方式。 該登入安全機制包括一安全通道類型。 在汶IP多媒體子系統網路的網路設備上配置該登入 . 於鋪的方法為:在該代理呼叫會話控制功能實體上根 - 據該登入網路設置對應的該安全通道類型; 、則H亥用戶終端使用的登入安全機制的方法為:該 代理乎彳會雜制功能實體接收到該用戶終端的請求消 息後,根據該網路介面或IP位址域判斷出該用户終端的登 入網路,並麵自身為該登人_設置的安全通道類型, 1314414 , 98.06.11第95118609號專利說明書及申請專利範圍修正本 再從中選出一種安全通道類型。 該用戶歸屬伺服器根據該用戶標識設置該安全通道 類型,則選擇該用戶終端使用的登入安全機制的方法為: 該用戶歸屬伺服器接收到該多媒體認證請求後,根據該請 求中的用戶標識查找到與該用戶標識對應的安全通道類型 ,並通過該多媒體認證回應將該安全通道類型發送給該業 務-呼叫會話控制功能實體;該業務呼叫會話控制功能實 體將該用戶歸屬飼服器設置的安全通道類型轉發給該代理 __呼叫會話控制功能實體’由該代理_呼叫會話控制功能實 體確定與該用戶終端之間建立的該安全通道類型。 該方法進一步包括:該用戶終端與該代理_呼叫會話控 制功能實體之間建立安全通道後,該代理_呼叫會話控制功 能實體將該安全通道類型上報給該業務―呼叫會話控制功 能實體。 曰 工 該安全通道類型為一網際網路安全性協定〔IpSec〕 或傳輸層安全性〔TLS〕,甚或不設置安全通道。 亥用戶松識為一私有用戶標識、—公有用戶標識或一 用戶類型。 該登入網路為:一移動登入網、一固定登入網、一非 對稱數位用戶網路〔ADSL〕、一區域網路〔LAN〕、一 光纖同軸混合網路〔HFC〕或-無線區域網路〔WLAN〕 〇 由上述技術方案可見,本發明之用於圧 登入安全的方法,預先在該用戶歸相服㈣或代^
—12 — 1314414 98.06.11第95118609號專利說明書及申請專利範圍修正本
叫會話控制功能上配置一種或多種登入安全機制,兮A 女全機制包括該用戶認證方式及/或安全通道類型,由: 戶歸屬伺服器、代理-呼叫會話控制功能或用戶終端根 際情況選擇其中一種登入安全機制,使得該Ip多媒體子二 統登入安全的實現更為靈活。 ^ 糸 -方面’本發_方法能相容#前存在的各種登 全機制,具有很強的靈活性。 比如,若要支援一 TS33.203定義的登入安全機制,可 以在該用戶歸屬伺服器上將該用戶認證方式配置為「Ip夕 媒體子系統認證與密鑰協商」,並在該代理_呼叫會話抑= 功能上將安全通道類型設置為「網際網路安全性協定二1 又比如,若要允許該用戶終端採用該早期Ip多=罐°子 系統認證方式登人該IP多媒體子祕網路,_該用戶歸 屬伺服器上配置該用戶終端的用戶認證方式為「早期正多 媒體子系統」,使得該IP多媒體子系統網路能夠依據該^ 戶終端之IP地址及用戶標識的對應_,對該用戶終端發 出之註冊請求進行賴。該早期IP多舰子系統認證 方式時,由於該IP地址無法仿冒,故該用戶終端之 金已得到一底層IP組網的保證’因此該代理_呼叫會^控 制功能上配置的該安全通道類型可以是「不需要建立安全 通道」。 $ 另一方面,本發明的方法能夠為將來出現的各種可能 的登入安全_提供紐,即财法通和擴展性強, 能夠滿足各_戶終端登人該IP多媒體子系統網路的安 —13 — 1314414 隨η第咖09號專利說明書及申請專利範園修正本 · 全需求。 將:ίν料商相減自身f要進仙下擴展配置, 、^ 織方式崎m摘要認證〔Di脚應〕 安全通道類型配置為「不需要建立安全通道」等, .上述配置實則p多媒體子系統之登入安全。 【實施方式】 為讓本發明之上述及其他目的、特徵 ==本發明之較佳實施例,並配合所附圖式 -用戶編L 環獅安全需求,本發明在 听屬飼服器及/或一代理_呼叫會話控制 夕媒體衫統網·讀上職配置—種❹種登入安域 制’並結合-用戶終端發出的註冊請求中聲 = ==最終對該用戶終端使用的登入安全機:,:: 據所確定的該登入安全機制進行登入安全控制_再根 ,方法具體為··在該用戶歸屬値器上針對— ,配置至少-_戶認證方式及/或至少—種安= 〜或者,在該代理-呼叫會話控制 : 配置至少一種用戶認證方式及 二違且^網路 該登入安全機财_在制戶 能上針對該登入網路進行_ 話控制功 在錢^屬飼服器和該代理-呼叫會話控制 ㊉ 14 - / B14414 98. 06.11第95118609號專利說明書及申請專利範圍修正本 功能上進行配置。 在该用戶歸屬伺服器上針對該用戶標識配置該登入 文全機制時,該用戶標識可以是一私有用戶標識、一公有 用戶標識或一用戶類型,該私有用戶標識指的是存儲在 - ISIM卡等設備上的一資訊標識,該公有用戶標識指的是一 ,话號碼等,該用戶類型指的是一固定用戶或一移動用戶 等。 對於在該代理-呼叫會話控制功能上配置該〗p多媒體 子系統登入安全機制的情況,該用戶終端通過不同的登入 網路,經由該代理_呼叫會話控制功能登入到該IP多媒體 :系統網路,該代理-呼叫會話控制功能對外提供多個網路 , W面不同的該網路介面可以對應不同的該登入網路,例 如一移動登入網〔UMTS/GPRS〕、一固定登入網、一非對 稱數位用戶網路〔ADSL,Asymmetric Digkal Sub_w
Line〕、區域網路〔lan,Local Area Network〕、光纖同 軸此口網路〔HFC,Hybrid Fiber-Coaxial〕或無線區域網 路〔WLAN,Wireless Local Area Network〕。因此,運營 商可在該代理-呼叫會話控制功能上針對該登入網路配置 該登入安全機制,即針對該代理十情話控制功能的每個 網路介面,運營商可以配置特定的該登入安全機制。通過 任-個網路介面登域ίρ多_子钱,網路之用戶終端 ,需要使用對應的該登入安全機制實現安全登入。除了通 過該網路介面區分不同的該登入網路外,還可以通過一正 地址域區分用戶對應_登人網路,㈣1?地址分域,不 —15 — 1314414 98. 06.11第95118609號專利說明書及申請專利範圍修正本 同的IP地址域對應不同的登入網路。這樣,運營商可以為 不同的IP位址域配置不同的該登入安全機制。 請參照第3圖所示,本發明之IP多媒體子系統網路能 同時支援多種登入安全機制。其中,數虛線指示的是該用 戶認證方式,包括一 IP多媒體子系統認證與密鑰協商、一 早期IP多媒體子系統及一消息摘要認證等;數實線指示的 是該安全通道類型,包括一網際網路安全性協定及—傳輸 層安全性〔TLS,Transport Layer Security〕等。該消息摘 要認證及早期IP多媒體子系統此二種用戶認證方式均能 將不支援該IP多媒體子系統認證與密鑰協商的SIP終端等 登入到該IP多媒體子系統網路。 請參照第4圖所示’本發明之第一實施例之業務_呼叫 會話控制功能根據該用戶歸屬伺服器的配置,對該用戶終 端的註冊請求實施該消息摘要認證的認證過程,具體步驟 如下: 步驟401 :該用戶終端向該代理-呼叫會話控制功能發 出δ主冊請求消息,該消息沒有攜帶一 Authorization頭域。 步驟402 :該代理•呼叫會話控制功能將該註冊請求消 息轉發給該業務·呼叫會話控制功能。 步驟403 :該業務·呼叫會話控制功能向該用戶歸屬伺 服器發出一多媒體認證請求〔MAR〕消息,攜帶該用戶終 端之用戶標識,該用戶標識是從該註冊請求消息中獲得的 〇 步驟404 :該用戶歸屬伺服器接收到該多媒體認證請 • 1344414 98. 06.11第95118609號專利說明書及申請專利範圍修正本 ' 求消息後’根據该用戶標識在自身查找該用戶終端的配置 冑料’並判斷應雜該用戶終端採用何種用戶認證方式。 如果§亥多媒體認證請求中攜帶有該用戶認證方式,該 - 肖戶歸屬伺服器查看自身保存的與該用戶標識對應的該用 ' 戶認證方式,並判斷其中是否存在該多媒體認證請求中攜 帶的該用戶認證方式,如果存在則為該用戶認證方式生成 認證資料。 如果該業務-呼叫會話控制功能發出的該多媒體認證 請求中沒有攜帶用戶認證方式,該用戶歸屬伺服器可以按 照缺省配置選擇一種用戶認證方式,比如選擇優先順序高 的該用戶認證方式,並為所選擇的該用戶認證方式生成認 證資料返(回給該業務-呼叫會話控制功能,以便該業務_呼 叫會話控制功能對發出一註冊請求〔REGISTER〕消息的 用戶終端進行認證。 於本發明之第一實施例中,假定該用戶歸屬伺服器為 該用戶終端選擇的是消息摘要認證方式。該用戶歸屬飼服 器將配置資料中的一用戶名〔username-value〕、一功能變 數名稱〔realm-value〕及一用戶密碼〔passwd〕,按照 — RFC2617 協 定 定 義 的.公 式 H(Al)=H(unq(username-value)M:"unq(realm-value)":"passwd) ,計算出一用戶鑒權向量〔H(A1)〕,並向該業務-呼叫會 話控制功能返回攜帶該用戶鑒權向量的一多媒體請求消息 〔MAA〕。 該步驟中,該功能變數名稱可以在該業務-呼叫會話控 —17 — 1314414 ϊ* 98. 06.11第95118609號專利說明書及申請專利範圍修正本 制功能中配置,並由該業務-啤叫會話控制功能根據該用戶 註冊請求中的用戶標識,將該用戶標識對應的該功能變數 名稱傳遞給該用戶歸屬祠服器;或者,該用戶歸廣饲服器 自身配置有该用戶標識對應的該功能變數名稱。藉此,該 功能變數名稱就不需要在該介面中傳遞。 步驟4〇5 .該業務_呼叫會話控制功能保存該多媒體請 求消息〔ΜΑΑ〕中攜帶的用戶鑒權向量,並生成一 WWW-Authenticate頭域’再通過一 4〇丨回應消息將所生成 的該WWW-Authenticate頭域下發給該代理_呼叫會話控制 功能。 步驟406 :該代理_呼叫會話控制功能接收到來自該業 務-呼叫會話控制功能的‘401回應消息後,將該4〇1回應消 息透傳給該用戶終端。 步驟407 :該用戶終端從該4〇1回應中獲取該 WWW-Authenticate頭域,結合自身密鑰計算出一 request-digest值’填寫到認證回應該Authorization頭域的 一 response參數中,並重新發起該註冊請求消息,將該認 證回應返回給該代理·呼叫會話控制功能。 步驟408〜409 :該代理_呼叫會話控制功能將該註冊請 求消息發送到該業務·呼叫會話控制功能,該業務_呼叫會 話控制功能根據該註冊請求消息中攜帶的認證回應,結合 自身保存的s亥用戶鐾權向量計算出該reqUest_digest值,再 將自身汁算出的值與認證回應的該reSp〇nse參數中記錄的 内容進行比較。如果兩者相同,則該業務_呼叫會話控制功 1314414 98. 06.11第95118609號專利說明書及申請專利範圍修正本 能判定該用戶終端的註冊認證通過,並向該代理-呼叫會話 控制功能返回一 200回應消息,然後執行步驟410,否則 本次認證失敗。 步驟410 :該代理-呼叫會話控制功能將該200回應消 息轉發給該用戶終端,認證流程結束。 請參照第5圖所示,本發明之第二實施例之用戶終端 聲明自身支援的用戶認證方式,由該用戶歸屬伺服器確定 最終對該用戶終端使用的用戶認證方式的過程,具體步驟 如下: 步驟501〜502 :該用戶終端(該用戶標識為ID1)通 過該代理-呼叫會話控制功能向該業務-哔叫會話控制功能 發出該註冊請求消息,該註冊請求消息中攜帶該 Authorization頭域,用於向該IP多媒體子系統網路聲明該 用戶認證方式。 例如,該用戶終端採用下列之該Authorization頭域表 明自身要求的是該IP多媒體子系統認證與密鑰協商方式:
Authorization : Digest username="userl_private@homel.net", realm="registrar.homel.net",nonce="",uri="sip:registrar.hom el .net”,response:””,algorithm=AKAvl-MD5。 步驟503 :該業務-呼叫會話控制功能通過一 Cx介面 向該用戶歸屬伺服器發送該多媒體認證請求消息,該多媒 體認證請求消息的一 Authentication Scheme資訊單元記錄 有該用戶終端聲明的用戶認證方式。 1314414 . 98. 〇6_ Π第95118609號專利說明書及申請專利範圍修正本 步驟504 :該用戶歸屬何服器從該多媒體認證請求消 息獲得該用戶終端的用戶標識iD1,並查詢自身針對該用 戶標識ID1的配置資料。假設為該用戶標識ID1配置的該 用戶認證方式有該早期IP多媒體子系統及ιρ多媒體子系 統認證與密鑰協商此二種,由於該多媒體認證請求消息中 記錄有用戶終端聲明的用戶認證方式為該IP多媒體子系 統認證與密鑰協商,故該用戶歸屬伺服器優先選擇該IP多 媒體子系統認證與密鑰協商作為該用戶終端的用戶認證方 式,並通過該多媒體請求消息將所選擇的用戶認證方式和 對應的認證資料返回給該業務-呼叫會話控制功能。 該步驟中,該用戶歸屬伺服器作為該用戶認證方式的 決策點,如果接收到的該多媒體認證請求消息中指示的該 用戶認證方式不在其為該用戶終端預先配置的認證方式列 表中,則根據自身配置從列表中選擇一個缺省的認證方式 ,作為該用戶終端的用戶認證方式。或者,在這種情況下 ’該用戶歸屬伺服器返回失敗回應’拒絕對該用戶終端的 註冊請求消息進行認證。 步驟505〜510與本發明第4圖中的步驟405〜410相同 ,此處不再贅述。 請參照第6圖所示,本發明第三實施例之用戶歸屬伺 服器向該用戶終端提供備選的用戶認證方式,由該用戶終 端選擇最終的認證方式的過程,具體步雜如下: 步驟601〜602 :該用戶終端〔該用戶標識為ID2〕通 過該代理-呼叫會話控制功能向該業務-呼叫會話控制功能 -1314414 . ⑽.06.11第95118609號專利說明書及申請專利範圍修正本 , 發起該註冊請求〔腿㈣R〕,該消息沒有攜帶該
Authorization 頭域。 步驟603 :該業務呼叫會話控制功能通過該&介面 向該用戶歸屬伺服器發送該多媒體認證消息,請求獲得認 - 證資料,該多媒體認證消息中未攜帶該Authentication
Scheme資訊單元。 ,步驟604 :該用戶歸屬伺服器從該多媒體認證消息中 獲得该用戶標識ID2後,查詢預先配置的該用戶標識與用 戶e忍證方式的對應關係。假設該用戶標識對應的是該 早期IP多媒體子系統及消息摘要認證方式,則該用戶歸屬 伺服器通過該多媒體請求消息將該早期Ip多媒體子系統 、消息摘要認證方式及相應的認證資料返回給該業務_呼叫 會話控制功能實體。 該步驟中’由於該業務-呼叫會話控制功能收到的註冊 請求消息中沒有攜帶該Authorization頭域,故該業務_啤叫 會話控制功能發出的該多媒體認證消息沒有攜帶該 Authentication Scheme資訊單元。同時,該用戶歸屬伺服 器又沒有足夠的依據從多種用戶認證方式中確定出一種, 故該用戶歸屬伺服器就向該業務-呼叫會話控制功能返回 該多媒體請求消息,攜帶各種用戶認證方式及其對應的認 證資料。 步驟605〜606 ··業務·呼叫會話控制功能實體收到該 多媒體請求消息後,依據獲得的認證資料分別生成該 WWW-Authenticate頭域,並通過該401回應攜帶給該用戶 —21 — 1314414 98. 06.11第95118609號專利說明書及申請專利範圍修正本 終端。 該步驟中,該業務·呼叫會話控制功能在下發的該4〇1 回應中指示該IP多媒體子系統網路支援的多種用戶認證 方式’供該用戶終端自行選擇。例如,該業務_呼叫會話控 制功能向該用戶終端下發的該401回應消息中一次攜帶二 個該 WWW-Authenticate 頭域,每個該 WWW_Authenticate 頭域對應一種用戶認證方式。 步驟607 :該用戶終端從該401回應消息中得到該 WWW-Authenticate頭域,從而獲知該π>多媒體子系統網 路支援該早期IP多媒體子系統及消息摘要認證此二種認 證方式。隨後,該用戶終端從中選出自.身支援能力最強的 認證方式,例如該早期IP多媒體子系統認證方式,再重新 發起該註冊請求消息,該註冊請求消息攜帶該用戶終端的 一源IP位址。 步驟608〜610 .該業務-呼叫會話控制功能依據該註冊 請求消息中之用戶標識’查詢該用戶終端是否已註冊,若 未註冊,則通過該Cx介面的多媒體認證請求/多媒體請求 消息〔MAR/MAA〕過程從該用戶歸屬伺服器獲取與該用 戶標識對應的認證IP位址’再將該註冊請求消息中攜帶的 該源IP位址’和從該用戶歸屬伺服器獲得的該認證Ιρ地 址進行比較,如果二者相同則通過註冊認證。 該認證位址是在一:PDP啟動中,一 GGSN通過一 Accounting-Request START消息發送給該用戶歸屬伺服器 的,此處不再贅述。_ — 22 — 1314414 ‘ 98·06.11冑95118_號專利說明書及申請專利範圍修正本 、 註冊過程完成後,該業務-呼叫會話控制功能會保存該 - 用戶標識和認證IP位址的對應關係。對於該用戶終端發出 的任何非註冊請求,該業務-呼叫會話控制功能都要比較非 註冊請求中攜帶的源IP地址與該業務-呼叫會話控制功能 - 保存的認證IP地址是否相同,如果不同則拒絕該非註冊請 求。 . 如果該用戶歸屬伺服器針對某個用戶標識僅配置有 一種認證方式,則無論接收到的該多媒體認證請求中指示 的認證方式是什麼,該用戶歸屬伺服器總是以自身配置的 認證方式作為該用戶終端使用的用戶認證方式。 類似地,該用戶歸屬伺服器上也可以針對該用戶標識 配置該安全通道類型。藉此,在第5及6圖的流獐中,該 業務-呼叫會話控制功能與該用戶歸屬伺服器進行多媒體 認證請求/多媒體請求消息〔MAR/MAA〕交互時,該業務 _呼叫會話控制功能還可以獲得該用戶歸屬伺服器為某個 用戶終端配置的該安全通道類型,並將所獲得的該安全通 道類型通過該4 01回應發送給該代理_呼叫會話控制功能實 體。例如,該業務-呼叫會話控制功能在該4〇1回應中增加 一個私有擴展頭域s ecurity-Channel,用於向該代理_呼叫 - 會話控制功能表明該安全通道類型。該代理-呼叫會話控制 功能實體作為該安全通道的建立點,在接收到該業務-呼叫 會話控制功能實體的401回應消息後,參考該4〇1回應消 息中攜帶的安全通道類型,與該用戶終端經過協商確定最 終要建立的該安全通道類型。 —23 1314414 98·06, u第9511_號專利說明書及申請專利範圍修正本 '* 明參&、第7圖所不,本發明第四實翻巾,運營商在 ^代理上啤^會雜制功能上針對登人該網路預先配置該 6戶認證方式及安全通道類型,並參考上述配置實現登入 女全的過程,具體步驟如下: 乂驟701 ·該代理_呼叫會話控制功能接收到該用戶終 =註冊請求消息後,根據卿息_路介面或ιρ地址域 定登入該網路,並從自身的配置資料中獲得與該登入網 對應的a人安全機制。然後,該代理·呼叫貪話控制功能 保存該用戶終^的安全通道類型,並將該用戶認證方式通 過該註冊請求消息傳送給該業務十彳會話控制功能。 該步驟中,若該用戶終端發出的註冊請求消息未攜帶 該Authorization頭域,該代理_呼叫會話控制功能會在自身 發出的躲冊請求^& +增加該AuthGrizatk)n頭域,並將 該用戶認證方式記錄在該頭域中,發送給該業務_啤叫會話 控制功能。 右該用戶終端發出的該註冊請求消息已攜帶該 Authorization頭域,該代理_呼叫會話控制功能讀取該頭域 中的一 algorithm參數’並將其與本地配置的該用戶認證方 式進行比較。當二用戶認證方式不相同時,該代理_呼叫會 話控制功能將該algorithm參數修改為本地配置的用戶認 證方式,再將修改後的註冊請求消息發送給該業務-呼叫會 話控制功能。 步驟702 :該業務-呼叫會話控制功能實體收到該註冊 請求後,向該用戶歸屬伺服器發出該多媒體認證請求,攜 ~ 24 — • 1344414 • 98· 06.11第95118609號專利說明書及申請專利範圍修正本 ' 帶該Authentication Scheme資訊單元,將該用戶認證方式 - 告知該用戶歸屬伺服器。 該步驟中’該多媒體認證請求的該Authenticati〇n 、 Scheme資訊單元攜帶有該註冊請求消息中記錄的該用戶 . 認證方式,該用戶認證方式可以由該用戶終端聲明,也可 以是該代理-呼叫會話控制功能填寫的。該業務_呼叫會話 • 控制功能並不區分該Authorization頭域中攜帶的該用戶認 . 證方式是由該用戶终端聲明的,還是在該註冊請求消息經 過該代理-呼叫會話控制功能時由該代理_呼叫會話控制功 能填寫的。也就是說,該業務-呼叫會話控制功能會直接將 自身接收到的該註冊請求消息中揭帶的該用戶認證方式, , 通過該多媒體認證請求指示給該用戶歸屬伺服器。 步驟703 :如果該用戶歸屬伺服器上沒有針對該用戶 標識配置該登入安全機制,該用戶歸屬伺服器會依據該多 媒體認證請求中指示的該用戶認證方式生成認證資料,並 通過该多媒體請求消息返回給該業務_呼叫會話控制功能 實體。後續步驟與第4圖中的步驟405相同,不再贅述於 此。 如果該用戶歸屬伺服器不支援該多媒體認證請求中 指示的該用戶認證方式,會通過多媒體請求消息告知該業 務-呼叫會話控制功能實體,該業務-呼叫會話控制功能實 體就會向該用戶終端返回一 4XX回應,比如一 42〇無效 延伸〔420 Bad Extension〕等。 步驟704 :該代理-呼叫會話控制功能實體接收到該 ——25 — 1314414 98· 06· 11第95118609號專利說明書及申請專利範圍修正本 01回應後’根據自身保存的安全通道類塑與_戶終端 協商建立安全通道。 山表4步驟中,該代理__呼叫會話控制功能實體向該用戶終 端叙送該401回應,在該401回應的保安〔Security-Server j域攜帶所選擇的該安全通道類型。如果二者之間的該 安王通道建立成功’該代理_呼叫會話控制功能將在所建立 的5亥文全通道上接收並處理後續請求。 6 5亥用戶終端與該代理·呼叫會話控制功能之間建立該 安全通這後,該代理_呼叫會話控制功能通過該註冊請求中 攜帶的一 SIP消息頭域,例如該私有擴展頭域
SeCUrity_C}mnnel,告知該業務_啤叫會話控制功能自身與該 用戶終端之間建立的該安全通道類型。 在後續過程中,該業務-呼叫會話控制功能可能使用到 該安全通道類型資訊,例如該業務_呼叫會話控制功能判斷 忒用戶終端是否建立該安全通道,並對沒有建立該安全通 道的及用戶終端發出的每條請求消息都進行該消息摘要認 證,或者為沒有建立該安全通道的該用戶終端提供受限的 該ip多媒體子系統業務。此外,該業務-呼叫會話控制功 能獲得該安全通道類型後,也可以作為—用戶簽約資訊使 用’比如對具有相同該安全通道類型的該用戶終端執行統 一的處理’而不針對某個具體用戶。 、 請參照第8圖所示,對於運營商同時在該用戶歸屬伺 服器和該代理-呼叫會話控制功能上配置登入安全機制的 情況’本發明之處理流程如下: * 1344414 . 98. 06.11第9511_9號專利說明書及申請專利範圍修正本 ' 步驟801 :該代理·呼叫會話控制功能接收到該註冊請 - 求消息後,根據發送消息的該登入網路,獲知發出該註冊 睛求的用戶終端支援的該用戶認證方式及安全通道類型。 該代理-呼叫會話控制功能記錄自身為該用戶終端設置的 - 該安全通道類型,並將該用戶認證方式通過該註冊請求消 息的Authorization頭域發送給該業務_呼叫會話控制功能。 , 步驟802 :該業務-呼叫會話控制功能將該
Authorizati〇n頭域中記錄的該用戶認證方式通過該多媒體 認證消息傳遞給該用戶歸屬祠服器。 步驟803 :該用戶歸屬伺服器依據該用戶終端的用戶 才示識,從本地配置資料中獲得自身為該用戶終端設置的該 用戶認:證方式及安全通道類型,結合該多媒體認證消息中 攜帶的該用戶認證方式,確定該用戶終端最終使用的用戶 認證方式,生成該認證資料返還給該業務_呼叫會話控制功 能。 同時,該用戶歸屬伺服器也會將自身設置的該安全通 道類型通過該多媒體請求消息傳遞給該業務_呼叫會話控 • 制功能。 1 步驟804 :該業務-呼叫會話控制功能根據接收到的該 - 5忍證賓料構造该WWW-Authenticate頭域,在該401回應 >肖息中添加該私有擴展頭域§ecurity_channel ’用於記錄令亥 用戶歸屬伺服器設置的安全通道類型,再將該4〇1回應消 息傳遞給該代理·呼叫會話控制功能。 步驟805 :該代理_呼叫會話控制功能接收到該業務- —27 — 1314414 #* 98. 06· 11第95118609號專利說明書及申請專利範圍修正本 呼叫會話控制功能的該401回應消息後,讀取該 Secufity-Channel頭域中記錄的安全通道類型,並結合自身 保存的該安全通道類型,確定自身與該用戶終端之間建立 的該安全通道類型。 上述流程在實際使用時可.以衍生出多種情況。例如, 若運營商在該用戶歸屬伺服器上針對該用戶標識僅配置該 用戶認證方式,在該代理_呼叫會話控制功能上針對該登入 網路僅配置該安全通道類型,那麼該代理_呼叫會話控制功 能就不參與該用戶認證方式的選擇和確定;同樣地’在決 定該安全通道類型時,該用戶歸屬伺服器也不參與其中。 5亥用戶認證方式及安全通道類型的配置是相互獨立 的,例如運營商在諒用戶歸屬伺服器及/或該代理-呼叫會 5舌控制功能上設置該安全通道類型時,該用戶歸屬伺服器 及/或該代理-呼叫會話控制功能上可以配置有該用戶認證 方式,也可以沒有配置有該用戶認證方式。 在某些登入環境下,運營商通過該底層IP組網保證該 用戶終端與該代理-呼叫會話控制功能之間的通信安全。那 麼’運營商在確定某個登入網路已提供安全保證時,比如 登入網路為一虛擬私有網路〔VPN,virtual Private
Network〕,就不會另行在該代理_呼叫會話控制功能及登 入網路的用戶終端之間建立安全通道。 對於該用戶終端及代理-呼叫會話控制功能之間既不 存在該安全通道’底層IP組網又無法保證兩者間的通信安 全的情況,為防止用戶欺騙,可在一註冊及會話建立過程 1314414 98_ 〇6.11第95118609號專利說明書及申請專利範圍修正本 、士《亥用戶終進行認證,例如一會話建立過程中,該業 務-呼叫會話控制功能收到用戶終端發起的該會話請求時 、’首先對制戶終端進行該消息摘要認證,只有在該認證 通過後才繼續執行呼叫建立,否則拒絕該會話請求。進一 步地’賴務·呼叫會話控制功能可以對該用戶終端發起的 任何請求消息都進行息摘要紐。又或者,該代理_ 呼Η會洁控制功能在該用戶註冊成功後,保存該用戶終端 的IP位址及用戶標識的對應關係。對於該用戶終端在後續 =程中發出的業務請求,該代理·呼叫會話控制功能首先檢 了該業務請求中攜帶的該用戶標識和源IP位址的對應關 t ’與預先保存的對應義是否相同,如果相關允許該 業務請求,否則拒絕該業務請求。上述檢查過程可以定義 為種安王通道類型’並配置在該代理_呼叫會話控制功能 上’以便在保障登入安全時使用。也就是說,安全通道類 型可以根據實際需要進行擴展定義,而不局限於該網際網 路安全性協定及/或TLS。 此外,该用戶認證及通信安全的實現過程具有一定的 聯繫。如果對制戶終端採_ ^舰子纽認證與密 输協商認證方式,在認證過程中該代理_呼叫會話控制功能 及用戶、、冬端都將獲4^•-逸、鑰IK/CK,該密输IK/CK是建立 該安全通道的密錄。如果對該用戶終端採用該消息摘要認 證方式’由於該認證過程不產生建立該安全通道的密鍮, 故需要採用其他方式建立該安全通道,例如在該代理_呼叫 曰話控制功能上設置-第二方權威機構發佈的數位證書, I44i4 98,〇6·1ΐ n - 、系95Π8609號專利說明書及申請專利範圍修正本 =讀數位證書發送給該用戶終端。這樣,該用戶終端及 埯呼叫會話控制功能就可利用該數位證書建立該安全 蝥上述的各實施例可見,本發明用於IP多媒體子系統 吁安全的方法,預先在該用戶歸屬伺服器及/或該代理_ 用叫T話控制功能上配置一種或多種登入安全機制,由該 輕^ Ϊ屬伺服器、該代理"'呼叫會話控制功能或該用戶終端 ^貫際情況選擇其中-種登入安全機制,使得該正多媒 ~子系統登入文全的實現更為靈活,並且該方法通用性和 擴展性強,能夠滿足各類用戶終端登入該IP多媒體子系統 網路的安全需求。 雖然本發明已利用上述較佳實施例揭示,然其並非用 以限疋本發明,任何熟習此技藝者,在不脫離本發明之精 神和範圍之内,當可作各種更動與修改,因此本發明之保 護範圍當視後附之申請專利範圍所界定者為準。 —30 — 1344414 98. 06.11第95118609號專利說明書及申請專利範圍修正本 【圖式簡單說明】 第1圖:習用IP多媒體子系統網路登入安全的方塊流 程圖。 第2圖:習用IP多媒體子系統網路登入安全的方法之 • Early IMS認證方式的方塊流程圖。 第3圖:本發明中IP多媒體子系統網路同時支援多種 登入安全機制的方塊流程圖。 第4圖:本發明第-實施例中以消息摘要認證方式執行 之流程圖。 第5圖.本發明第一貫施例中根據用戶歸屬 的用戶體方式執行IP多媒體子系統登入安 第6圖:本發明第三實施例中用戶終端根據用戶歸屬祠 服器所提供的選擇確定用戶認證方式的流程圖。 第7圖:本發明第四實施例中根據代理·呼叫會話控制 功能設置的登入安全機制執行IP多媒體子系統登入^全 的流程圖。 » 8圖:本發明第五實施例中用戶歸屬飼服器及代理_ 呼叫會話控制功能均設置登入安全機制時之執行登 的流程圖。 【主要元件符號說明】 1 接口 2 接口 401實施消息摘要認證之認證步驟 1314414 98. 06.11第95118609號專利說明書及申請專利範圍修正本 402實施消息摘要認證之認證步驟 403實施消息摘要認證之認證步驟 404實施消息摘要認證之認證步驟 405實施消息摘要認證之認證步驟 406實施消息摘要認證之認證步驟 407實施消息摘要認證之認證步驟 408實施消息摘要認證之認證步驟 409實施消息摘要認證之認證步驟 410實施消息摘要認證之認證步驟 501 HSS確定用戶認證方式之認證步驟 502 HSS確定用戶認證方式之認證步驟 503 HSS確定用戶認證方式之認證步驟 504 HSS確定用戶認證方式之認證步驟 505 HSS確定用戶認證方式之認證步驟 506 HSS確定用戶認證方式之認證步驟 507 HSS確定用戶認證方式之認證步驟 5 0 8 HS S確定用戶認證方式之認證步驟 509 HSS確定用戶認證方式之認證步驟 510 HSS確定用戶認證方式之認證步驟 601用戶終端確定用戶認證方式之認證步驟 602用> 終端確定用戶認證方式之認證步驟 603用戶終端確定用戶認證方式之認證步驟 604用戶終端確定用戶認證方式之認證步驟 605用戶終端確定用戶認證方式之認證步驟 —32 — • 13-14414 98. 06.11第95118609號專利說明書及申請專利範圍修正本 . 606用戶終端確定用戶認證方式之認證步驟 . 607用戶終端確定用戶認證方式之認證步驟 608用戶終端確定用戶認證方式之認證步驟 ^ 609用戶終端確定用戶認證方式之認證步驟 • 610用戶終端確定用戶認證方式之認證步驟 701於P-CSCF預置用戶認證方式及安全通道類型之認 證步驟 702.於P-CSCF預置用戶認證方式及安全通道類型之認 證步驟 703於P-CSCF預置用戶認證方式及安全通道類型之認 證步驟 704於P-CSCF預置用戶認證方式及安全通道網型之認 證步驟 801於HSS及P-CSCF配置登入安全機制之認證步驟 802於HSS及P-CSCF配置登入安全機制之認證步驟 803於HSS及P-CSCF配置登入安全機制之認證步驟 804於HSS及P-CSCF配置登入安全機制之認證步驟 805於HSS及P-CSCF配置登入安全機制之認證步驟 —33 —
Claims (1)
1314414 98.06.1〗第95118609號專利說明書及申請專利範圍修正本 十、申請專利範園: 1、一種IP多雜子純登人安全的方法,其包含 下: 在- IP多雜子纽轉的鱗設備上預先配置至少 一種安全通道類型之登入安全機制; 於該網路設備類一用戶終端發出的—請求消息後,由 =預先配置之至少-種登人安全機制中選擇該用戶終 端使用的登人安全機制,再由該^媒體子系 拫據所選擇_登人安全_,對_戶終端進d 安全之控制。 丁且 :=請專利第丨項所述之Ip多媒體子系統登入安 I配ίΐ ’ ΐ中在該ΙΡ μ體子系統網路的網路設備 j配置豆入女全機制的方法為:在—代理-呼叫奋話控 =能實體上根據-登人網路設置對應的該安錢^ 則選擇該用戶終端使用的登入安 話控制功能實體接獲該用4::請: ^後,根據-網路介面或—1?錄域 ::::入網路’並查找該代理_呼叫會話控制:能實 =身為該登入網路設置的該安全通道類型,再從所設 置的文全通道類型中選出一種安全通道類型。 請專概圍第1項所述之1?多媒體子 王的方法’其卜用戶歸屬她根據設置 (S) 1314414 98歲11第95118609號專利說明書及申請專利範圍修正本 該安全通道類型,則選擇該用户終端使用的登入安 當該用戶歸翻服器接收到多媒體認證請 求後’根據鮮媒體認證請求巾的剌戶, 該用戶標識對應的該安全通道 _應將該安全通道類型發送予一業秦呼叫會話控制 功此實體’該業務牛彳會雜制功能實體將該用戶 屬他H設置之安全通道麵轉發給—代理· ,制功能實體,並由該代理·呼叫會話控制功能實^ 定與該用戶終端之間建立的該安全通道類型。 4、 t=範Τ或3項所述之1”媒體子系統登 女王的方法,其中該方法進—步包括:該用戶 代理呼叫會話控制功能實體之間建立該安全通道 該代理-呼叫會話控制功能實體將該安全通 ’ 給該業務·呼叫會話控制功能實體。 、 艮 5、 依申請專利範圍第1項所述之IP多媒體子系統八6 :::法’其找安全通綱係選自一網際網 協疋、—傳輸層安全性及不設置安全通道之一 6、 依申請專利範圍第3項所述之ip多媒體子一。 全的方法,其中該用戶標識係選自一為私有用^入女 —公有用戶標識或一用戶類型之一。 標識、 7依申晴專利範圍第2項所述之IP多媒體子系統a — 全的方法,其中該登入網路係選自一移動’且入女 ,λ 足乡罔、一固 疋且入網、一非對稱數位用戶網路、一區域網路 “ 纖同轴混合網路及一無線區域網路之—。 光 —35—— 1314414 98. 06.11第95118609號專利說明書及申請專利範圍修正本 七、指定代表圖: (一) 本案指定代表圖為:第〔4 〕圖。 (二) 本代表圖之元件符號簡單說明: 401貫施消息摘要認證之認證步驟 402實施消息摘要認證之認證步驟 403實施消息摘要認證之認證步驟 404實施消息摘要認證之認證步驟 405實施消息摘要認證之認證步驟 406實施消息摘要認證之認證步驟 407實施消息摘要認證之認證步驟 408貫施消息摘要認證之認證步驟 '409實施消息摘要認證之認證步驟 410實施消息摘要認證之認證步驟 八、本案若有化學式時,請揭示最能顯示發明特徵的化學 式:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW95118609A TWI314414B (zh) | 2006-05-25 | 2006-05-25 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW95118609A TWI314414B (zh) | 2006-05-25 | 2006-05-25 |
Publications (1)
Publication Number | Publication Date |
---|---|
TWI314414B true TWI314414B (zh) | 2009-09-01 |
Family
ID=45072929
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW95118609A TWI314414B (zh) | 2006-05-25 | 2006-05-25 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI314414B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI451738B (zh) * | 2007-02-22 | 2014-09-01 | Ericsson Telefon Ab L M | 對網際網路協定多媒體子系統服務群組存取 |
-
2006
- 2006-05-25 TW TW95118609A patent/TWI314414B/zh active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI451738B (zh) * | 2007-02-22 | 2014-09-01 | Ericsson Telefon Ab L M | 對網際網路協定多媒體子系統服務群組存取 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3752941B1 (en) | Security management for service authorization in communication systems with service-based architecture | |
US10038692B2 (en) | Characteristics of security associations | |
US8613058B2 (en) | Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network | |
US9237142B2 (en) | Client and server group SSO with local openID | |
US8543814B2 (en) | Method and apparatus for using generic authentication architecture procedures in personal computers | |
US8914636B2 (en) | Automated negotiation and selection of authentication protocols | |
JP5709322B2 (ja) | 認証方法、システムおよび装置 | |
US8689301B2 (en) | SIP signaling without constant re-authentication | |
US8832821B2 (en) | Method and apparatuses for end-to-edge media protection in an IMS system | |
JP5496907B2 (ja) | セキュアな通信のための鍵管理 | |
CN100461942C (zh) | Ip多媒体子系统接入域安全机制的选择方法 | |
WO2006116921A1 (fr) | Procede d'authentification d'un terminal utilisateur dans un sous-systeme multimedia ip | |
US20160380999A1 (en) | User Identifier Based Device, Identity and Activity Management System | |
JP2008506139A (ja) | ユーザ認証及びサービス承認を管理し、シングル・サイン・オンを実現して、複数のネットワーク・インタフェースにアクセスするためのシステム及び方法 | |
WO2007009343A1 (fr) | Systeme d'autorisation d'acces d'un reseau de communication et son procede | |
WO2005112338A1 (fr) | Procede de distribution de cles | |
WO2007104245A1 (fr) | Système de cadre de référence pour développement des services web et son procédé d'authentification | |
WO2006072209A1 (fr) | Procede de negociation d'une cle dans un sous-systeme multimedia ip | |
WO2007000115A1 (fr) | Procede d'authentification de dispositif recevant un message de demande sip | |
CN100544247C (zh) | 安全能力协商方法 | |
CN101098336B (zh) | Ims终端配置服务器及ims本地化入口点检测方法 | |
TWI314414B (zh) | ||
WO2011147258A1 (zh) | 一种实现卡鉴权的方法、系统及用户设备 | |
KR101465838B1 (ko) | 부트스트랩된 어플리케이션 인증을 제공하는 장치 및 방법 | |
Maachaoui et al. | Multi-level authentication based single sign-on for ims services |