WO2004019640A1 - Method for identifying a communications terminal - Google Patents

Method for identifying a communications terminal Download PDF

Info

Publication number
WO2004019640A1
WO2004019640A1 PCT/DE2002/003060 DE0203060W WO2004019640A1 WO 2004019640 A1 WO2004019640 A1 WO 2004019640A1 DE 0203060 W DE0203060 W DE 0203060W WO 2004019640 A1 WO2004019640 A1 WO 2004019640A1
Authority
WO
WIPO (PCT)
Prior art keywords
identifier
service
public
service network
communication terminal
Prior art date
Application number
PCT/DE2002/003060
Other languages
German (de)
French (fr)
Inventor
Georg Kastelewicz
Peter Kim
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to CNB028294548A priority Critical patent/CN100362896C/en
Priority to BR0215842-6A priority patent/BR0215842A/en
Priority to AU2002336891A priority patent/AU2002336891A1/en
Priority to DE10297762T priority patent/DE10297762D2/en
Priority to PCT/DE2002/003060 priority patent/WO2004019640A1/en
Publication of WO2004019640A1 publication Critical patent/WO2004019640A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/147Signalling methods or messages providing extensions to protocols defined by standardisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/04Real-time or near real-time messaging, e.g. instant messaging [IM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/58Message adaptation for wireless communication

Definitions

  • mobile radio users are offered services which are provided by special networks (service networks) which are optimized for the provision of services.
  • service networks are connected to the service network via an access network (e.g. a communication network working according to the GPRS standard). It is often of interest for network operators to ascertain the identity of the service users before a service is provided and to register these users if authentication is successful.
  • IMS IP Multimedia Subsystem
  • a prerequisite for the charging of services requested by a user (service charging) in the IMS is the identification of the user in the IMS, as can be implemented according to the mechanisms described in the 3GPP TS 23.228 version 5.4.1. However, the implementation of these mechanisms requires that communication terminals and the access network essentially have to be adapted or comply with the 3GPP standardization release 5, which is not yet implemented.
  • a registration procedure as required above is the subject of German patent application DE 10223248.2.
  • a method for identifying a communication terminal (UE) registered in a service network (IMS) when using a ⁇ TO ⁇ is provided with a communication service that can be organized, with communication end devices (UE) accessing the service network (IMS) via an access network (GPRS) connecting the communication terminal device (UE) to the service network (IMS), in which a Pre-step a registration IP address (IP-SRC-UE), which was assigned to the communication terminal (UE) when the communication terminal (UE) registered with the access network (GPRS), received by the service network (IMS) and in this was stored for the respective user of the communication terminal, the registration IP address (IP-SRC-UE) of the service network (IMS) was assigned a public identifier (SIP-Public-ID) of the communication terminal (UE), and during registration of the communication terminal in the service network gives the communication terminal an identifier Chen (token) was assigned by the service network
  • IMS IP-SRC-UE
  • RN random number
  • the identifier (token) and a public identifier are also transmitted, before providing the requested communication service, the identifier transmitted with the messages (SIP Message, SIP INVITE,) on the part of the communication terminal with the identifier data and the transmitted public Identifier can be compared with the corresponding public identifier stored in the service network and - with simultaneous agreement of the identifier with the identifier data and the public identifier contained in the messages to be sent by the communication terminal for the provision of the communication service with the public identifier stored in the service network Identifier the requested communication service is carried out, and - if the identifier does not match the identifier data and / or the messages to be sent by the communication terminal to provide the communication service e Contained public identifier with the public identifier stored in the service network, an execution of the requested communication service is denied.
  • the method according to the invention advantageously does not require any communication terminals or access networks which correspond to standardization regulations of 3GPP "Release 5". Rather, the method according to the invention can also be used with the communication terminals and access networks prevailing today which standardization regulations of 3GPP "Release 1999” (also as “Release.” 3 ") are sufficient. For example, common communication terminal devices are now suitable which only have a conventional" Subscriber Identity Module (SIM) "card.
  • SIM Subscriber Identity Module
  • a further advantage of the method according to the invention is that the license plate can be “guessed” only with great difficulty, since the license plate is generated from the login IP address and a random number by means of an encryption method
  • This and the routing in the access network advantageously ensures that the identifier only reaches the communication terminal with the login IP address, so that in the further course of the method only for this a communication terminal can successfully identify.
  • the method according to the invention can be designed such that the identifier is stored in the service network as identifier data, when the identifier assigned to the communication terminal is compared with the identifier data stored in the service network, the identifier assigned to the communication network is compared with the stored identifier. and with simultaneous agreement of the identifier assigned to the communication terminal with the stored identifier and that in the to provide the Communication service on the part of the communication terminal to be sent messages containing the public identifier with the public identifier stored in the service network
  • the identification can be carried out in a particularly simple manner, since in just one comparison step the identifier already assigned to the communication terminal during the registration of the communication terminal in the service network needs to be compared with the stored identifier. It is also not necessary to decrypt the license plates, so that the resources of the service network are used only slightly.
  • the method according to the invention can also be designed such that the registration IP address and the random number are stored in the service network as identifier data and, after receipt of messages to be sent from the communication terminal to the service network in order to provide the communication service, from the service network ( IMS) the license plate transmitted with these messages is decrypted.
  • a comparison of the transmitted identifier with the identifier data stored in the service network then means that the login IP address recovered during the decryption is compared with the stored login IP address. If the recovered login IP address coincides with the stored login IP address and the public ID contained in the messages to be sent by the communication terminal to provide the communication service the requested communication service is carried out with the public identifier stored in the service network.
  • the license plate is marked as invalid when a predetermined validity period of the license plate has elapsed.
  • the license plate can only be used for a certain period of validity. If the license plate becomes known to unauthorized persons, the duration of any undesired use is limited.
  • the number plate can also be decrypted by the switching center of the service network.
  • the method according to the invention can also be carried out in such a way that a switching center of the service network compares the license plate number transmitted by the communications terminal to be sent to provide the communication service with the license plate data and the transmitted public identifier with the public identifier stored in the service network the requested communication service is carried out by the switching center with simultaneous agreement of the license plate with the license plate data and the transmitted public identification with the public identification stored in the service network, and by the switching center if the number plate does not match the registration number Data and / or the transmitted public identifier with the public identifier stored in the service network, the execution of the requested communication service is refused.
  • FIG. 1 shows an exemplary embodiment of an arrangement for carrying out the method according to the invention
  • FIG. 2 shows a schematic representation of an exemplary embodiment of the method according to the invention.
  • the first communication terminal UE1 and the second communication terminal UE2 can be, for example, mobile telephones, laptops or palmtops with a mobile radio module.
  • a service network IMS IP multimedia subsystem
  • S-CSCF Call session control function
  • S-CSCF Serv ing-CSCF
  • a message called "IMS Instant Message" can be sent to the second communication terminal UE2; that is, a specific service is requested. This request can only be made after successful registration. If the communication terminal UE1 is successfully registered in the IMS, it must identify or authenticate again immediately before or when requesting a service.
  • a user of a communication terminal wants to use services of the IMS service network, his communication terminal is logged into the access network (the access network is now often implemented by a so-called "Release 1999" GPRS network).
  • a GPRS user authentication known per se is carried out, this uses the SIM card present in the terminal device.
  • the communication terminal device has to register with the service network IMS and thereby authenticate. Both procedures, the registration in the access network GPRS and the registration (registration) in the Service network IMS, for example, are carried out automatically when the terminal is switched on.
  • An essential part of the registration with the service network is authentication by the service network.
  • a user of the communication terminal is authenticated during registration of the communication terminal with the service network ie the SIM card of the user, which is inserted in the communication terminal, is recognized and thus closed to the person of the user.
  • FIG. 2 shows how an IMS user identification for using a communication service or here an IMS service is carried out according to the invention.
  • the displayed message flow (SIP message flow) is identical to a standardized message flow shown in the 3GPP in the document TS 24.228 version 5.00, but differs from the standard on the one hand in that the communication terminal has an identifier, a so-called Token is also sent and on the other hand in the identification procedure according to the invention, which is carried out in the service network IMS.
  • the exemplary embodiment begins with the registration of a communication terminal UE-A of a subscriber A in an access network, in this example a GPRS access network.
  • IP-SRC-UE assign a temporary IP address IP-SRC-UE to the communication terminal UE-A. This IP address allows other network participants to send IP packets to the communication terminal.
  • Another communication terminal UE-B of a second subscriber B is also logged in.
  • the communication terminal UE-A registers in the service network IMS. In the course of the registration process, which is known from DE 10223248, an identifier (token) is transmitted to the communication terminal UE-A.
  • subscriber A After registration, subscriber A starts a communication service or an IMS service on his communication terminal UE-A.
  • the message flow that follows is analogous to the message flow specified in the standard TS 23.228.
  • a so-called SIP INVITE message is first sent from the communication terminal UE-A of subscriber A to the communication terminal UE-B of subscriber B.
  • the SIP INVITE message contains the speed IP address (IP-SRC-UE-1) of the communication terminal
  • the SIP-INVITE message also contains a public identifier SIP-Public-ID-1, which was assigned to the communication terminal UE-A by the service network IMS. This parameter can also be manipulated by a dishonest participant A. To check this, the token assigned during registration is inserted into the SIP INVITE message by the communication terminal UE-A.
  • the sequence described so far comprises steps 2 to 5 in FIG. 2.
  • a switching center S-CSCF of the service network IMS receives the SIP INVITE message with the identifier (token) (step 6).
  • the identifier (token) from the SIP INVITE message is compared with the identifier (token) stored on the exchange S-CSCF or the identifier (token) from the SIP-INVITE message is first decrypted in the switching center S-CSCF and the parameters RN and IP-SRC-UE obtained therefrom are then entered with a corresponding entry ⁇ RN, IP-SRC-UE; SIP Public ID> compared in a database of the exchange S-CSCF.
  • the public identifier the so-called SIP Public User ID from the SIP INVITE message with the SIP Public IP assigned to this identifier (token) or with the corresponding ⁇ RN, IP-SRC-UE, SIP Public -ID> Triple stored SIP Public User ID compared.
  • the subscriber A is identified if either the identifier (token) from the SIP INVITE message with that on the Switch S-CSCF matches the identifier (token) and the public identifier SIP-Public-ID stored for this identifier (token) on the switch S-CSCF matches the public identifier SIP-Public-ID-1 from the SIP-INVITE message matches or if for the parameters RN and IP-SRC-UE decrypted from the identifier (token) of the SIP INVITE message a suitable ⁇ RN, IP-SRC-UE; SIP-Public-ID> entry on the switching center S-CSCF exists and the public identifier SIP-Public-ID stored in this entry matches the public identifier SIP-Public-ID-1 from the SIP-INVITE message.
  • the exchange S-CSCF sends a SIP-401-UNAUTHORIZED message to the communication terminal UE-A of subscriber A.
  • the message flow is continued analogously to the standard TS 23.228 (step 7-27).
  • the identifier (token) is also added to the sent message and the check just described for the SIP INVITE message is carried out.
  • the message flow according to FIG. 2 is only continued in the event of success, otherwise the communication service is terminated.
  • IP-SRC-UE In order to search for the associated identifier (token) or the associated data record entry ⁇ RN, IP-SRC-UE; in the IMS user authentication at the switching center S-CSCF; SIP Public ID> to accelerate, for example, an index ver drive can be used in the switching center database.
  • the database index required for this can be e.g. from the
  • IP address IP-SRC-UE is only delivered to the terminal device which has been assigned this IP address by the gateway GPRS switching center GGSN « . This is ensured by routing in the GPRS access network.
  • the encryption of all messages during transmission via the air interface ensures that the token cannot be intercepted by other GPRS devices.
  • the use of a random number in the token generation prevents the token (identifier) from being used by dishonest intentions from another terminal device that is randomly assigned the same temporary IP address at a later point in time.
  • the method according to the invention does not require any new interfaces or network elements. Without a clear identification of a subscriber who wants to use a communication service of a service network, no communication services can be billed.
  • the method according to the invention provides a solution for secure subscriber authentication.
  • the method according to the invention can be used both for charging for services in a service network, such as IMS, and for charging content that is offered in the service network, such as IMS.
  • the method according to the invention provides the same security as exists today for WAP services.
  • a great advantage for a network operator is that for a service network like IMS, today's Release 99 GPRS networks can be used as access networks, since a secure authentication of a service user is possible by means of the method according to the invention.
  • An advantage for a service user is that in addition to GPRS (e.g. WAP) services, he can also use IMS services without having to log in again, for example with a password.
  • GPRS e.g. WAP
  • the method described can advantageously be used to prevent messages which, for example, are sent with dishonest intentions with an incorrect IP address or an incorrect SIP Public User ID, which leads to incorrect authentication.
  • An essential aspect of the method is that a communication terminal is assigned an identifier by addressing it with a specific temporary IP address to the terminal that actually has this specific temporary IP address. This is ensured by the routing mechanisms of the access network (e.g. a GPRS network). If a device only faked a temporary IP address during registration, it will not receive this identifier. However, the indicator is required for a successful request from an IMS service. in the
  • the license plate allows verification of the temporary IP address. This in turn then allows the public identifier SIP-Public-ID and a corresponding private identifier SIP-Private-ID to be reliably identified.
  • IP multimedia subsystem IP multimedia subsystem
  • IMS IP multimedia subsystem
  • the problem is that a subscriber can fraudulently modify a communication device, which can result in SIP messages with an incorrect IP address and an incorrect SIP Public User ID being sent, resulting in incorrect charging
  • the described method enables the IMS user to be reliably identified even in the event that the service network IMS is connected to a “Release 1999” GPRS network that is common today or that existing “Release 1999” Devices that do not have an ISIM card, for example, can be used by doing this for the purpose of registration in the IMS to the communication device t sent identifier (token) is used to check the identity or authenticity of a subscriber who wants to use an IMS service and for this purpose sends service-related messages.
  • identifier token
  • the service network IMS is able to check whether the temporary IP address or the SIP public user ID specified in the service-relevant messages matches that which was specified and verified when the communication terminal was registered. Through this secure authentication the subscriber may be charged for IMS services.
  • An example scenario is the following:
  • a fraudulent subscriber logs into a 1999 GPRS access network. He would like to send an IMS instant message to another subscriber and thereby cause a connected service network, such as an IMS, to charge a third party of the service network for costs incurred for sending the instant message.
  • the dishonest participant logs on under his own identity in the GPRS access network and in the service network such as IMS. According to the registration procedure from DE 10223248, every subscriber of the service network IMS receives a token during the successful booking into the IMS. Up to this step, the dishonest participant must behave correctly, otherwise he will not be logged into the IMS service network. This also gives him a valid token.
  • the service network IMS would deliver the instant message to the recipient and charge according to the wrong information that the dishonest participant has inserted in the instant message. This means that the wrong IMS participant is billed, which must be excluded in any case.
  • the method according to the invention requires that IMS services can only be used if the identifier is specified.
  • the indicator enables the specified IP address and the specified SIP public ID to be checked.
  • Each IMS participant only receives his own identifier (token) when registering and not that of another IMS participant. It is also difficult to guess the token (token) due to the random number it contains. It is also not possible to listen to the license plate (token), since all messages are encrypted and transmitted over the air interface.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The method for verifying the identity of a mobile subscriber comprises the following steps: a) during registration, the subscriber is allocated an IP address by the access network (GPRS) and a Public ID (SIP-Public-ID) by the service network (IMS); b) during registration, an identifier (token) consisting of a random number and of the IP address of the subscriber is calculated using an encryption algorithm and is transmitted with the address and the Public ID to the subscriber and stored thereby; c) the subscriber sends his stored data such as the IP address, Public ID and the token along with the transmission of a service request from the subscriber to the service network; d) the data sent therewith are compared by the service network with the copies, which are stored thereon or which are recalculated, and; e) in the event of a match, the requested service is performed.

Description

Beschreibungdescription
Verfahren zum Identifizieren eines KommunikationsendgerätsMethod for identifying a communication terminal
Bei Mobilfunknetzen der zweiten und dritten Generation werden Mobilfunknutzern Dienste angeboten, die von für eine Diensterbringung optimierten Spezialnetzen (Dienstnetzen) erbracht werden. Die Dienstnutzer werden dabei über ein Zugangsnetz (z.B. ein nach dem GPRS-Standard arbeitendes Kommu- nikationsnetz) mit dem Dienstnetz verbunden. Es ist oftmals für Netzbetreiber von Interesse, vor einer Diensterbringung die Identität der Dienstnutzer festzustellen und bei erfolgreicher Authentifizierung diese Nutzer zu registrieren. Ein Beispiel für ein derartiges Dienstnetz bildet ein sogenann- tes, im Rahmen von 3GPP Release 5 standardisiertes IMS (IPIn the case of mobile radio networks of the second and third generation, mobile radio users are offered services which are provided by special networks (service networks) which are optimized for the provision of services. The service users are connected to the service network via an access network (e.g. a communication network working according to the GPRS standard). It is often of interest for network operators to ascertain the identity of the service users before a service is provided and to register these users if authentication is successful. An example of such a service network is a so-called IMS (IP
Multimedia Subsystem) . Eine Voraussetzung für das Vergebühren von von einem Nutzer angeforderten Diensten (Service Char- ging) im IMS ist die Identifizierung des Nutzers im IMS, wie sie entsprechend den in der Druckschrift 3GPP TS 23.228 Ver- sion 5.4.1 beschriebenen Mechanismen realisierbar ist. Allerdings erfordert die Ausführung dieser Mechanismen dass Kommunikationsendgeräte und das Zugangsnetz im wesentlichen dem 3GPP Standardisierungsrelease 5 angepasst bzw. genügen müssen, was momentan noch nicht realisiert ist.Multimedia subsystem). A prerequisite for the charging of services requested by a user (service charging) in the IMS is the identification of the user in the IMS, as can be implemented according to the mechanisms described in the 3GPP TS 23.228 version 5.4.1. However, the implementation of these mechanisms requires that communication terminals and the access network essentially have to be adapted or comply with the 3GPP standardization release 5, which is not yet implemented.
Um auch momentan verfügbare Kommunikationsendgeräte und Zugangsnetze, wie beispielsweise GPRS-Netze, zu nutzen, müssen demnach Übergangslösungen gefunden werden.In order to use currently available communication terminals and access networks such as GPRS networks, interim solutions must be found.
Ein wie oben gefordertes Registrierungsverfahren ist Gegenstand der deutschen Patentanmeldung DE 10223248.2. Um eine noch höhere Sicherheit bieten zu können, ist es wünschenswert auch nach der Registrierung eines Dienstnutzers im Dienstnetz, aber unmittelbar vor oder während der Nutzung eines Dienstes des Dienstnetzes seitens des Dienstnutzers eine Identifizierung bzw. Authentifizierung des Dienstnutzers vorzunehmen .A registration procedure as required above is the subject of German patent application DE 10223248.2. In order to be able to offer an even higher level of security, it is desirable to carry out an identification or authentication of the service user even after the registration of a service user in the service network, but immediately before or during the use of a service of the service network.
Es war nun eine Aufgabe der vorliegenden Erfindung, ein sicheres, zuverlässiges und einfach durchführbares Verfahren zur Verfügung zu stellen, um einen Dienstnutzer bei oder vor der Nutzung eines Dienstes des Dienstnutzers authentifizieren zu können.It was now an object of the present invention to provide a secure, reliable and easily implementable method in order to be able to authenticate a service user when or before using a service of the service user.
Gemäß Anspruch 1 der vorliegenden Erfindung wird ein Verfah- ren zum Identifizieren eines in einem Dienstnetz (IMS) registrierten Kommunikationsendgeräts (UE) bei Nutzung eines ΛTOΏ. dem Dienstnetz (IMS) organisierbaren Kommunikations- dienstes bereitgestellt, wobei ein kommunikationsendgeräte- seitiger (UE) Zugriff auf das Dienstnetz (IMS) über ein das Kommunikationsendgerät (UE) mit dem Dienstnetz (IMS) verbindendes Zugangsnetz (GPRS) erfolgt, bei dem in einem Vorausschritt eine Anmelde-IP-Adresse (IP-SRC-UE) , welche bei einem Anmelden des Kommunikationsendgeräts (UE) bei dem Zu- gangsnetz (GPRS) dem Kommunikationsendgerät (UE) zugeordnet wurde, von dem Dienstnetz (IMS) empfangen und in diesem für den jeweiligen Nutzer des Kommunikationsendgerätes abgespeichert wurde, der Anmelde-IP-Adresse (IP-SRC-UE) von dem Dienstnetz (IMS) eine öffentlichen Kennung (SIP-Public-ID) des Kommunikationsendgerätes (UE) zugeordnet wurde, und bei der Registrierung des Kommunikationsendgerätes in dem Dienstnetz dem Kommunikationsendgerät ein Kennzei- chen (Token) zugewiesen wurde, das von dem DienstnetzAccording to claim 1 of the present invention, a method for identifying a communication terminal (UE) registered in a service network (IMS) when using a ΛTOΏ. the service network (IMS) is provided with a communication service that can be organized, with communication end devices (UE) accessing the service network (IMS) via an access network (GPRS) connecting the communication terminal device (UE) to the service network (IMS), in which a Pre-step a registration IP address (IP-SRC-UE), which was assigned to the communication terminal (UE) when the communication terminal (UE) registered with the access network (GPRS), received by the service network (IMS) and in this was stored for the respective user of the communication terminal, the registration IP address (IP-SRC-UE) of the service network (IMS) was assigned a public identifier (SIP-Public-ID) of the communication terminal (UE), and during registration of the communication terminal in the service network gives the communication terminal an identifier Chen (token) was assigned by the service network
(IMS) aus der Anmelde-IP-Adresse (IP-SRC-UE) und einer Zufallszahl (RN) mittels eines Verschlüsselungsverfahrens erzeugt wurde, in dem Kommunikationsendgerät (UE) gespeichert wurde und zu dem Kennzeichen (Token) gehörende Kennzeichen-Daten (RN, IP-SRC-UE, SIP-Public-ID) in dem Dienstnetz abgespeichert wurden, bei Anforderung eines Kommunikationsdienstes seitens des Kommunikationsendgerätes in einigen, vorzugsweise in allen vom Kommunikationsendgerät zum Dienstnetz zur Erbringung des Kommunikationsdienstes zu sendenden Nachrichten (SIP(IMS) was generated from the registration IP address (IP-SRC-UE) and a random number (RN) by means of an encryption method, in which the communication terminal (UE) was stored and the identifier data (RN) belonging to the identifier (token) , IP-SRC-UE, SIP-Public-ID) were stored in the service network, when requesting a communication service from the communication terminal in some, preferably in all messages to be sent from the communication terminal to the service network to provide the communication service (SIP
Message, SIP INVITE, ) das Kennzeichen (Token) und eine öffentliche Kennung mit übertragen werden, vor Erbringung des angeforderten Kommunikationsdienstes das mit den Nachrichten (SIP Message, SIP INVITE, ) seitens des Kommunikationsendgerätes übertragene Kennzeichen mit den Kennzeichen-Daten und die übertragene öffentliche Kennung mit der entsprechenden in dem Dienstnetz abgespeicherten öffentlichen Kennung verglichen werden und - bei gleichzeitiger Übereinstimmung des Kennzeichens mit den Kennzeichen-Daten und der in den zur Erbringung des Kommunikationsdienstes seitens des Kommunikationsendgerätes zu sendenden Nachrichten enthaltenen öffentlichen Kennung mit der in dem Dienstnetz abgespeicherten öffentli- chen Kennung der angeforderte Kommunikationsdienst ausgeführt wird, und - bei Nicht-Übereinstimmung des Kennzeichens mit den Kennzeichen-Daten und/oder der in den zur Erbringung des Kommunikationsdienstes seitens des Kommunikationsendgerätes zu sendenden Nachrichten enthaltenen öffentlichen Kennung mit der in dem Dienstnetz abgespeicherten öffentlichen Kennung eine Ausführung des angeforderten Kommunikations- dienstes verweigert wird. Das erfindungsgemäße Verfahren benötigt vorteilhafterweise keine Kommunikationsendgeräte oder Zugangsnetze, welche Standardisierungsvorschriften der 3GPP „Release 5" entsprechen. Vielmehr ist das erfindungsgemäße Verfahren auch mit den heute vorherrschenden Kommunikationsendgeräten und Zugangs- netzen einsetzbar, welche Standardisierungsvorschriften der 3GPP „Release 1999" (auch als „Release 3" bezeichnet) genügen. Zum Beispiel sind heute gebräuchliche Kommunikationsend- gerate geeignet, welche lediglich eine herkömmliche „Subscri- ber Identity Module (SIM) "-Karte aufweisen. Ein weiterer Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass das Kennzeichen nur sehr schwer „erraten" werden kann, da das Kennzeichen aus der Anmelde-IP-Adresse und einer Zufallszahl mittels eines Verschlüsselungsverfahrens erzeugt wird. Das Kennzeichen wird mittels einer Transportnachricht, die mit der Anmelde-IP-Adresse adressiert wird, zu dem Kommunikationsendgerät übertragen. Dadurch und durch das Routing im Zugangsnetz wird vorteilhafterweise sichergestellt, dass das Kennzeichen ausschließlich zu dem Kommunikationsendgerät mit der Anmelde-IP-Adresse gelangt, so dass im weiteren Verlauf des Verfahrens nur für dieses eine Kommunikationsendgerät eine erfolgreiche Identifizierung stattfinden kann.Message, SIP INVITE,) the identifier (token) and a public identifier are also transmitted, before providing the requested communication service, the identifier transmitted with the messages (SIP Message, SIP INVITE,) on the part of the communication terminal with the identifier data and the transmitted public Identifier can be compared with the corresponding public identifier stored in the service network and - with simultaneous agreement of the identifier with the identifier data and the public identifier contained in the messages to be sent by the communication terminal for the provision of the communication service with the public identifier stored in the service network Identifier the requested communication service is carried out, and - if the identifier does not match the identifier data and / or the messages to be sent by the communication terminal to provide the communication service e Contained public identifier with the public identifier stored in the service network, an execution of the requested communication service is denied. The method according to the invention advantageously does not require any communication terminals or access networks which correspond to standardization regulations of 3GPP "Release 5". Rather, the method according to the invention can also be used with the communication terminals and access networks prevailing today which standardization regulations of 3GPP "Release 1999" (also as "Release." 3 ") are sufficient. For example, common communication terminal devices are now suitable which only have a conventional" Subscriber Identity Module (SIM) "card. A further advantage of the method according to the invention is that the license plate can be “guessed” only with great difficulty, since the license plate is generated from the login IP address and a random number by means of an encryption method This and the routing in the access network advantageously ensures that the identifier only reaches the communication terminal with the login IP address, so that in the further course of the method only for this a communication terminal can successfully identify.
Das erfindungsgemäße Verfahren kann so ausgestaltet sein, dass in dem Dienstnetz als Kennzeichen-Daten das Kennzeichen abgespeichert wird, bei dem Vergleich des dem Kommunikationsendgerät zugewiesenen Kennzeichens mit den in dem Dienstnetz abgespeicherten Kennzeichen-Daten das dem Kommunikationsnetz zugewiesene Kennzeichen mit dem abgespeicherten Kennzeichen verglichen wird, und bei gleichzeitiger Übereinstimmung des dem Kommunikationsendgerät zugewiesenen Kennzeichens mit dem abgespeicherten Kennzeichen und der in den zur Erbringung des Kommunikationsdienstes seitens des Kommunikationsendgerätes zu sendenden Nachrichten enthaltenen öffentlichen Kennung mit der in dem Dienstnetz abgespeicherten öffentlichen KennungThe method according to the invention can be designed such that the identifier is stored in the service network as identifier data, when the identifier assigned to the communication terminal is compared with the identifier data stored in the service network, the identifier assigned to the communication network is compared with the stored identifier. and with simultaneous agreement of the identifier assigned to the communication terminal with the stored identifier and that in the to provide the Communication service on the part of the communication terminal to be sent messages containing the public identifier with the public identifier stored in the service network
(SIP-Public-ID) der angeforderte Kommunikationsdienst ausge- führt wird.(SIP-Public-ID) the requested communication service is executed.
Bei dieser Ausgestaltung des Verfahrens ist besonders vorteilhaft, dass das Identifizieren auf eine besonders einfache Weise ausgeführt werden kann, da in lediglich einem Ver- gleichschritt das bereits während der Registrierung des Kommunikationsendgerätes im Dienstnetz dem Kommunikationsendgerät zugewiesene Kennzeichen mit dem abgespeicherten Kennzeichen verglichen werden braucht. Dazu ist auch kein Entschlüsseln der Kennzeichen notwendig, so dass die Ressourcen des Dienstnetzes nur gering belastet werden.In this embodiment of the method, it is particularly advantageous that the identification can be carried out in a particularly simple manner, since in just one comparison step the identifier already assigned to the communication terminal during the registration of the communication terminal in the service network needs to be compared with the stored identifier. It is also not necessary to decrypt the license plates, so that the resources of the service network are used only slightly.
Das erfindungsgemäße Verfahren kann auch so ausgestaltet sein, dass in dem Dienstnetz als Kennzeichen-Daten die Anmelde-IP-Adresse und die Zufallszahl abgespeichert werden und nach Empfang von von dem Kommunikationsendgerät zum Dienst- netz zur Erbringung des Kommunikationsdienstes zu sendenden Nachrichten von dem Dienstnetz (IMS) eine Entschlüsselung des mit diesen Nachrichten übertragenen Kennzeichens vorgenommen wird. Unter Vergleich des übertragenen Kennzeichens mit den in dem Dienstnetz abgespeicherten Kennzeichen-Daten ist dabei dann zu verstehen, dass die bei der Entschlüsselung zurückgewonnene Anmelde-IP-Adresse mit der abgespeicherten Anmelde- IP-Adresse verglichen wird. Bei gleichzeitiger Übereinstimmung der zurückgewonnenen Anmelde-IP-Adresse mit der abge- speicherten Anmelde-IP-Adresse und der in den zur Erbringung des Kommunikationsdienstes seitens des Kommunikationsendgerätes zu sendenden Nachrichten enthaltenen öffentlichen Kennung mit der in dem Dienstnetz abgespeicherten öffentlichen Kennung wird der angeforderte Kommunikationsdienst ausgeführt .The method according to the invention can also be designed such that the registration IP address and the random number are stored in the service network as identifier data and, after receipt of messages to be sent from the communication terminal to the service network in order to provide the communication service, from the service network ( IMS) the license plate transmitted with these messages is decrypted. A comparison of the transmitted identifier with the identifier data stored in the service network then means that the login IP address recovered during the decryption is compared with the stored login IP address. If the recovered login IP address coincides with the stored login IP address and the public ID contained in the messages to be sent by the communication terminal to provide the communication service the requested communication service is carried out with the public identifier stored in the service network.
Entsprechend dem Verfahren aus der DE 10223248 wird bei Ver- streichen einer vorbestimmten Gültigkeitsdauer des Kennzeichens das Kennzeichen als ungültig markiert. Dadurch ist vorteilhafterweise das Kennzeichen nur eine gewisse Gültigkeitsdauer lang benutzbar. Sollte das Kennzeichen Unbefugten bekannt werden, so ist die Dauer einer eventuellen unerwünsch- ten Benutzung begrenzt.According to the method from DE 10223248, the license plate is marked as invalid when a predetermined validity period of the license plate has elapsed. As a result, the license plate can only be used for a certain period of validity. If the license plate becomes known to unauthorized persons, the duration of any undesired use is limited.
Das Kennzeichen kann auch von der Vermittlungsstelle des Dienstnetzes entschlüsselt werden.The number plate can also be decrypted by the switching center of the service network.
Das erfindungsgemäße Verfahren kann auch so ablaufen, dass durch eine Vermittlungsstelle des Dienstnetzes das durch die zur Erbringung des Kommunikationsdienstes zu sendenden Nachrichten seitens des Kommunikationsendgerätes übertragene Kennzeichen mit den Kennzeichen-Daten und die übertragene öf- fentliche Kennung mit der in dem Dienstnetz abgespeicherten öffentlichen Kennung verglichen werden, durch die Vermittlungsstelle bei gleichzeitiger Übereinstimmung des Kennzeichens mit den Kennzeichen-Daten und der übertragenen öffentlichen Kennung mit der in dem Dienstnetz abgespeicherten öf- fentlichen Kennung der angeforderte Kommunikationsdienst ausgeführt wird, und durch die Vermittlungsstelle bei Nicht- Übereinstimmung des Kennzeichens mit den Kennzeichen-Daten und/oder der übertragenen öffentlichen Kennung mit der in dem Dienstnetz abgespeicherten öffentlichen Kennung die Ausfüh- rung des angeforderten Kommunikationsdienstes verweigert wird.The method according to the invention can also be carried out in such a way that a switching center of the service network compares the license plate number transmitted by the communications terminal to be sent to provide the communication service with the license plate data and the transmitted public identifier with the public identifier stored in the service network the requested communication service is carried out by the switching center with simultaneous agreement of the license plate with the license plate data and the transmitted public identification with the public identification stored in the service network, and by the switching center if the number plate does not match the registration number Data and / or the transmitted public identifier with the public identifier stored in the service network, the execution of the requested communication service is refused.
Zur weiteren Erläuterung der Erfindung ist in Figur 1 ein Ausführungsbeispiel einer Anordnung zur Ausführung des erfindungsgemäßen Verfahrens und in Figur 2 eine schematische Darstellung eines Ausführungsbei- spiels des erfindungsgemäßen Verfahrens dargestellt.To further explain the invention is in 1 shows an exemplary embodiment of an arrangement for carrying out the method according to the invention, and FIG. 2 shows a schematic representation of an exemplary embodiment of the method according to the invention.
In Figur 1 ist als Zugangsnetz ein nach „General Packet Radio Service"-Vorgaben arbeitendes Mobilfunknetz GPRS dargestellt. Dieses Zugangsnetz GPRS beinhaltet eine erste GPRS- Gateway-Vermittlungsstelle GGSN1 (GGSN = Gateway GPRS Support Node) , welche über eine nach dem SIP-Standard arbeitende erste SignalVerbindung SIP1 mit einem ersten Kommunikationsendgerät UEl verbindbar ist. Weiterhin weist das Zugangsnetz eine zweite GPRS-Gateway-Vermittlungsstelle GGSN2 auf, die über eine nach dem SIP-Standard arbeitende zweite Signalver- bindung SIP2 mit einem zweiten Kommunikationsendgerät UE2 verbindbar ist. Bei dem ersten Kommunikationsendgerät UEl und dem zweiten Kommunikationsendgerät UE2 kann es sich z.B. um Mobiltelefone, Laptops oder Palmtops mit Mobilfunkmodul handeln. Ferner ist ein Dienstnetz IMS (IP Multimedia Subsystem) dargestellt. Von dem Dienstnetz IMS ist weiterhin schematisch lediglich eine Vermittlungsstelle S-CSCF (CSCF = Call Session Control Function; S-CSCF = Serving-CSCF) dargestellt, welche über Datenverbindungen 9 und 10 mit der ersten GPRS-Gateway- Vermittlungsstelle GGSN1 und der zweiten GPRS-Gateway-Ver- mittlungsstelle GGSN2 verbunden ist. Über Datenverbindungen 9 und 10 können SIP-Nachrichten an die erste GPRS-Gateway-Vermittlungsstelle GGSN1 und die zweite GPRS-Gateway-Vermittlungsstelle GGSN2 gesendet werden.1 shows a mobile radio network GPRS operating according to "General Packet Radio Service" specifications. This access network GPRS includes a first GPRS gateway switching center GGSN1 (GGSN = Gateway GPRS Support Node), which uses a network based on the SIP standard working first signal connection SIP1 can be connected to a first communication terminal UE 1. Furthermore, the access network has a second GPRS gateway switching center GGSN2, which can be connected to a second communication terminal UE2 via a second signal connection SIP2 working according to the SIP standard The first communication terminal UE1 and the second communication terminal UE2 can be, for example, mobile telephones, laptops or palmtops with a mobile radio module. Furthermore, a service network IMS (IP multimedia subsystem) is shown. Of the service network IMS, only one switching center S-CSCF (CSCF = Call session control function; S-CSCF = Serv ing-CSCF), which is connected via data connections 9 and 10 to the first GPRS gateway switching center GGSN1 and the second GPRS gateway switching center GGSN2. SIP data can be sent to the first GPRS gateway switching center GGSN1 and the second GPRS gateway switching center GGSN2 via data connections 9 and 10.
Mittels des ersten Kommunikationsendgeräts UEl kann z.B. eine „IMS Instant Message" genannte Nachricht an das zweite Kommunikationsendgerät UE2 gesendet werden; das heißt, es wird ein bestimmter Dienst angefordert. Diese Anforderung kann erst nach erfolgreicher Registrierung realisiert werden. Ist das Kommunikationsendgerät UEl erfolgreich im IMS registriert, so muss es sich aber unmittelbar vor bzw. bei der Anforderung eines Dienstes nochmals identifizieren bzw. authentifizieren.Using the first communication terminal UE1, for example, a message called "IMS Instant Message" can be sent to the second communication terminal UE2; that is, a specific service is requested. This request can only be made after successful registration. If the communication terminal UE1 is successfully registered in the IMS, it must identify or authenticate again immediately before or when requesting a service.
Wenn also ein Nutzer eines Kommunikationsendgerätes Dienste des Dienstnetzes IMS nutzen möchte, so wird dessen Kommunikationsendgerät in das Zugangsnetz eingebucht (das Zugangsnetz ist heute oftmals durch ein sog. „Release 1999" -GPRS-Netzwerk realisiert) . Beim Einbuchen in das GPRS-Netz wird eine an sich bekannte GPRS-Nutzer-Authentifizierung durchgeführt, diese nutzt die im Endgerät vorhandene SIM-Karte. Zusätzlich dazu muß sich das Kommunikationsendgerät beim Dienstnetz IMS registrieren und dabei authentifizieren. Beide Prozeduren, die Anmeldung im Zugangsnetz GPRS und die Anmeldung (Registrierung) im Dienstnetz IMS, werden z.B. automatisch beim Einschalten des Endgerätes durchgeführt. Einen wesentlichen Teil des Registrierens bei dem Dienstnetz stellt das Authentifizieren durch das Dienstnetz dar. Dabei wird während des Registrierens des Kommunikationsendgerätes bei dem Dienstnetz ein Nutzer des Kommunikationsendgerätes authentifiziert. Genau betrachtet wird dabei die SIM-Karte des Nutzers, welche in das Kommunikationsendgerät eingelegt ist, erkannt und dadurch auf die Person des Nutzers geschlossen.So if a user of a communication terminal wants to use services of the IMS service network, his communication terminal is logged into the access network (the access network is now often implemented by a so-called "Release 1999" GPRS network). When logging into the GPRS network, a GPRS user authentication known per se is carried out, this uses the SIM card present in the terminal device. In addition, the communication terminal device has to register with the service network IMS and thereby authenticate. Both procedures, the registration in the access network GPRS and the registration (registration) in the Service network IMS, for example, are carried out automatically when the terminal is switched on. An essential part of the registration with the service network is authentication by the service network. A user of the communication terminal is authenticated during registration of the communication terminal with the service network ie the SIM card of the user, which is inserted in the communication terminal, is recognized and thus closed to the person of the user.
Figur 2 zeigt, wie eine IMS-Nutzer-Identifizierung zur Nutzung eines Kommunikationsdienstes bzw. hier eines IMS-Diens- tes erfindungsgemäß durchgeführt wird. Der dargestellte Nach- richtenfluss (SIP Message Flow) ist dabei zwar identisch zu einem in der 3GPP in der Druckschrift TS 24.228 Version 5.00 aufgezeigten und standardisierten Nachrichtenfluss, unterscheidet sich aber vom Standard einerseits darin, dass von dem Kommunikationsendgerät ein Kennzeichen, ein sogenannter Token mitgesendet wird und andererseits in der erfindungsgemäßen Identifizierungsprozedur, die im Dienstnetz IMS ausgeführt wird.FIG. 2 shows how an IMS user identification for using a communication service or here an IMS service is carried out according to the invention. The displayed message flow (SIP message flow) is identical to a standardized message flow shown in the 3GPP in the document TS 24.228 version 5.00, but differs from the standard on the one hand in that the communication terminal has an identifier, a so-called Token is also sent and on the other hand in the identification procedure according to the invention, which is carried out in the service network IMS.
Das Ausführungsbeispiel beginnt mit der Einbuchung eines Kommunikationsendgerätes UE-A eines Teilnehmers A in ein Zugangsnetz, in diesem Beispiel in ein GPRS Zugangsnetz. Dabei wird eine GPRS-Nutzer-Authentifizierung ausgeführt. Ist diese erfolgreich, wird ein sog. „PDP Context" erzeugt und von der Gateway-GPRS-Vermittlungsstelle GGSN (GGSN = Gateway GPRSThe exemplary embodiment begins with the registration of a communication terminal UE-A of a subscriber A in an access network, in this example a GPRS access network. GPRS user authentication is carried out. If this is successful, a so-called “PDP Context” is generated and sent by the gateway GPRS switching center GGSN (GGSN = Gateway GPRS
Support Node) eine temporäre IP-Adresse IP-SRC-UE an das Kommunikationsendgerät UE-A vergeben. Diese IP-Adresse erlaubt es anderen Netzteilnehmern, IP-Pakete an das Kommunikationsendgerät zu schicken. Ein weiteres Kommunikationsendgerät UE- B eines zweiten Teilnehmers B ist ebenfalls eingebucht.Support Node) assign a temporary IP address IP-SRC-UE to the communication terminal UE-A. This IP address allows other network participants to send IP packets to the communication terminal. Another communication terminal UE-B of a second subscriber B is also logged in.
Ferner registriert sich das Kommunikationsendgerät UE-A im Dienstnetz IMS. Im Verlauf des Registrierungsverfahrens, das aus der DE 10223248 bekannt ist, wird ein Kennzeichen (Token) auf das Kommunikationsendgerät UE-A übertragen.Furthermore, the communication terminal UE-A registers in the service network IMS. In the course of the registration process, which is known from DE 10223248, an identifier (token) is transmitted to the communication terminal UE-A.
Nach der Registrierung startet der Teilnehmer A einen Kommunikationsdienst bzw. einen IMS-Dienst auf seinem Kommunikationsendgerät UE-A. Der nun folgende Nachrichtenfluss ist ana- log zu dem im Standard TS 23.228 angegebene Nachrichtenfluss . Beim Anfordern eines IMS-Dienstes wird zuerst eine sogenannte SIP-INVITE-Nachricht vom Kommunikationsendgerät UE-A des Teilnehmers A an das Kommunikationsendgerät UE-B des Teilnehmers B gesendet. Die SIP-INVITE-Nachricht enthält die tempo- rare IP-Adresse (IP-SRC-UE-1) des KommunikationsendgerätesAfter registration, subscriber A starts a communication service or an IMS service on his communication terminal UE-A. The message flow that follows is analogous to the message flow specified in the standard TS 23.228. When requesting an IMS service, a so-called SIP INVITE message is first sent from the communication terminal UE-A of subscriber A to the communication terminal UE-B of subscriber B. The SIP INVITE message contains the speed IP address (IP-SRC-UE-1) of the communication terminal
UE-A. Diese muss aber nicht zwangsläufig diejenige sein, die das Kommunikationsendgerät UE-A während der Einbuchung in das GPRS Zugangsnetz erhalten hat. Ein unredlicher Teilnehmer A könnte mit seinem Kommunikationsendgerät UE-A auch eine falsche IP-Adresse vorspiegeln. Dies wird durch die bekannten Release 99 GPRS Zugangsnetze, wie beispielsweise durch die GGSNs, nicht überprüft. Weiterhin enthält die SIP-INVITE- Nachricht eine öffentliche Kennung SIP-Public-ID-1, die dem Kommunikationsendgerät UE-A von dem Dienstnetz IMS zugeordnet wurde. Auch dieser Parameter kann durch einen unredlichen Teilnehmer A manipuliert werden. Um dies zu überprüfen wird vom Kommunikationsendgerät UE-A das bei der Registrierung vergebene Kennzeichen Token in die SIP-INVITE-Nachricht eingefügt. Der bislang beschriebene Ablauf umfasst die Schritte 2 bis 5 in Figur 2.UE-A. However, this does not necessarily have to be the one that the communication terminal UE-A received during the registration into the GPRS access network. A dishonest participant A could also simulate an incorrect IP address with its UE-A communication terminal. This is not checked by the known Release 99 GPRS access networks, such as the GGSNs. The SIP-INVITE message also contains a public identifier SIP-Public-ID-1, which was assigned to the communication terminal UE-A by the service network IMS. This parameter can also be manipulated by a dishonest participant A. To check this, the token assigned during registration is inserted into the SIP INVITE message by the communication terminal UE-A. The sequence described so far comprises steps 2 to 5 in FIG. 2.
Eine Vermittlungsstelle S-CSCF des Dienstnetzes IMS erhält die SIP-INVITE-Nachricht mit dem Kennzeichen (Token) (Schritt 6) . In Abhängigkeit von den auf der Vermittlungsstelle S-CSCF gespeicherten Informationen wird entweder das Kennzeichen (Token) aus der SIP-INVITE-Nachricht mit dem auf der Vermittlungsstelle S-CSCF gespeicherten Kennzeichen (Token) vergli- chen oder das Kennzeichen (Token) aus der SIP-INVITE-Nachricht wird in der Vermittlungsstelle S-CSCF zunächst entschlüsselt und die daraus erhaltenen Parameter RN und IP-SRC- UE werden dann mit einem entsprechenden Eintrag <RN, IP-SRC- UE; SIP-Public-ID> in einer Datenbank der Vermittlungsstelle S-CSCF verglichen. Anschließend wird die öffentliche Kennung, die sogenannte SIP Public User ID aus der SIP-INVITE-Nachricht mit der diesem Kennzeichen (Token) zugeordneten SIP- Public-IP beziehungsweise mit der in dem entsprechendem <RN, IP-SRC-UE, SIP-Public-ID> Tripel gespeicherten SIP Public User ID verglichen.A switching center S-CSCF of the service network IMS receives the SIP INVITE message with the identifier (token) (step 6). Depending on the information stored on the exchange S-CSCF, either the identifier (token) from the SIP INVITE message is compared with the identifier (token) stored on the exchange S-CSCF or the identifier (token) from the SIP-INVITE message is first decrypted in the switching center S-CSCF and the parameters RN and IP-SRC-UE obtained therefrom are then entered with a corresponding entry <RN, IP-SRC-UE; SIP Public ID> compared in a database of the exchange S-CSCF. Then the public identifier, the so-called SIP Public User ID from the SIP INVITE message with the SIP Public IP assigned to this identifier (token) or with the corresponding <RN, IP-SRC-UE, SIP Public -ID> Triple stored SIP Public User ID compared.
Der Teilnehmer A ist identifiziert, wenn entweder das Kennzeichen (Token) aus der SIP-INVITE-Nachricht mit dem auf der Vermittlungsstelle S-CSCF gespeicherten Kennzeichen (Token) übereinstimmt und die für dieses Kennzeichen (Token) auf der Vermittlungsstelle S-CSCF gespeicherte öffentliche Kennung SIP-Public-ID mit der öffentlichen Kennung SIP-Public-ID-1 aus der SIP-INVITE-Nachricht übereinstimmt oder wenn für die aus dem Kennzeichen (Token) der SIP-INVITE-Nachricht entschlüsselten Parameter RN und IP-SRC-UE ein passender <RN, IP-SRC-UE; SIP-Public-ID> Eintrag auf der Vermittlungsstelle S-CSCF existiert und die in diesem Eintrag gespeicherte öf- fentliche Kennung SIP-Public-ID mit der öffentlichen Kennung SIP-Public-ID-1 aus der SIP-INVITE-Nachricht übereinstimmt.The subscriber A is identified if either the identifier (token) from the SIP INVITE message with that on the Switch S-CSCF matches the identifier (token) and the public identifier SIP-Public-ID stored for this identifier (token) on the switch S-CSCF matches the public identifier SIP-Public-ID-1 from the SIP-INVITE message matches or if for the parameters RN and IP-SRC-UE decrypted from the identifier (token) of the SIP INVITE message a suitable <RN, IP-SRC-UE; SIP-Public-ID> entry on the switching center S-CSCF exists and the public identifier SIP-Public-ID stored in this entry matches the public identifier SIP-Public-ID-1 from the SIP-INVITE message.
Falls keines der genannten Kriterien zutrifft, ist die Identifizierung des Teilnehmers A in dem Dienstnetz IMS geschei- tert. In diesem Fall wird von der Vermittlungsstelle S-CSCF eine SIP-401-UNAUTHORIZED-Nachricht an das Kommunikationsendgerät UE-A des Teilnehmers A gesendet.If none of the criteria mentioned applies, the identification of subscriber A in the service network IMS has failed. In this case, the exchange S-CSCF sends a SIP-401-UNAUTHORIZED message to the communication terminal UE-A of subscriber A.
Nach erfolgreicher Identifizierung des Teilnehmers A auf der Vermittlungsstelle S-CSCF wird der Nachrichtenfluss analog dem Standard TS 23.228 fortgesetzt (Schritt 7-27). Jedoch wird bei jeder Nachricht, die das Kommunikationsendgerät UE-A des Teilnehmers A sendet, das Kennzeichen (Token) an die gesendete Nachricht mit angefügt und die gerade für die SIP- INVITE-Nachricht beschriebene Überprüfung durchgeführt. Nur im Erfolgsfall wird der Nachrichtenfluss entsprechend Figur 2 fortgesetzt, anderenfalls wird der Kommunikationsdienst abgebrochen.After subscriber A has been successfully identified on the switching center S-CSCF, the message flow is continued analogously to the standard TS 23.228 (step 7-27). However, with every message that the communication terminal UE-A of the subscriber A sends, the identifier (token) is also added to the sent message and the check just described for the SIP INVITE message is carried out. The message flow according to FIG. 2 is only continued in the event of success, otherwise the communication service is terminated.
Um bei der IMS-Nutzer-Authentifizierung auf der Vermittlungsstelle S-CSCF die Suche nach dem zugehörigen Kennzeichen (Token) oder dem zugehörigen Datensatz-Eintrag <RN, IP-SRC- UE; SIP-Public-ID> zu beschleunigen, kann z.B. ein Indexver- fahren bei der Vermittlungsstellen-Datenbank genutzt werden.In order to search for the associated identifier (token) or the associated data record entry <RN, IP-SRC-UE; in the IMS user authentication at the switching center S-CSCF; SIP Public ID> to accelerate, for example, an index ver drive can be used in the switching center database.
Der dazu benötigte Datenbankindex läßt sich z.B. aus demThe database index required for this can be e.g. from the
Kennzeichen selbst oder aus den Kennzeichen-Daten (Tokenpara- metern) erstellen.Create the license plate yourself or from the license plate data (token parameters).
Ein wesentlicher Gedanke des beschriebenen Verfahrens besteht also darin, dass das Kennzeichen (Token) für die temporäreAn essential idea of the described method is that the identifier (token) for the temporary
IP-Adresse IP-SRC-UE nur an dasjenige Endgerät zugestellt wird, welches diese IP-Adresse von der Gateway-GPRS-Vermitt- lungsstelle GGSN «zugewiesen bekommen hat. Dies ist durch das Routing im GPRS Zugangsnetz sichergestellt. Zudem sichert die Verschlüsselung aller Nachrichten bei der Übertragung über die Luftschnittstelle, dass das Token nicht durch andere GPRS Endgeräte abgehört werden kann. Die Verwendung einer Zufalls- zahl bei der Tokenerzeugung verhindert, dass das Token (Kennzeichen) von einem anderen Endgerät, dass zu einem späteren Zeitpunkt zufällig die gleiche temporäre IP-Adresse zugewiesen bekommt, in unredlicher Absicht genutzt werden kann. Das erfindungsgemäße Verfahren erfordert keine neuen Schnittstel- len oder Netzelemente. Ohne eine eindeutige Identifizierung eines Teilnehmers, der einen Kommunikationsdienst eines Dienstnetzes nutzen möchte, können keine Kommunikations- dienste vergebührt werden. Das erfindungsgemäße Verfahren stellt eine Lösung für eine sichere Teilnehmer-Authentifizie- rung bereit. Das erfindungsgemäße Verfahren ist sowohl für die Vergebührung von Diensten in einem Dienstnetz wie beispielsweise IMS als auch zur Vergebührung von Inhalten, die im Dienstnetz wie beispielsweise IMS angeboten werden, anwendbar. Das erfindungsgemäße Verfahren liefert die gleiche Sicherheit wie sie heute für WAP Dienste existiert.IP address IP-SRC-UE is only delivered to the terminal device which has been assigned this IP address by the gateway GPRS switching center GGSN « . This is ensured by routing in the GPRS access network. In addition, the encryption of all messages during transmission via the air interface ensures that the token cannot be intercepted by other GPRS devices. The use of a random number in the token generation prevents the token (identifier) from being used by dishonest intentions from another terminal device that is randomly assigned the same temporary IP address at a later point in time. The method according to the invention does not require any new interfaces or network elements. Without a clear identification of a subscriber who wants to use a communication service of a service network, no communication services can be billed. The method according to the invention provides a solution for secure subscriber authentication. The method according to the invention can be used both for charging for services in a service network, such as IMS, and for charging content that is offered in the service network, such as IMS. The method according to the invention provides the same security as exists today for WAP services.
Ein großer Vorteil für einen Netzwerkbetreiber besteht darin, dass für ein Dienstnetz wie IMS auch die heutigen Release 99 GPRS-Netze als Zugangsnetze verwendet werden können, da mittels des erfindungsgemäßen Verfahrens eine sichere Authentifizierung eines Dienstnutzers möglich ist.A great advantage for a network operator is that for a service network like IMS, today's Release 99 GPRS networks can be used as access networks, since a secure authentication of a service user is possible by means of the method according to the invention.
Ein Vorteil für einen Dienstnutzer liegt darin, dass er neben GPRS- (z.B. WAP-) Diensten auch IMS Dienste nutzen kann, ohne sich erneut, beispielsweise durch ein Passwort, anmelden zu müssen.An advantage for a service user is that in addition to GPRS (e.g. WAP) services, he can also use IMS services without having to log in again, for example with a password.
Mit dem beschriebenen Verfahren kann vorteilhafterweise verhindert werden, dass Nachrichten, welche z.B. in unredlicher Absicht mit einer falschen IP-Adresse oder einer falschen SIP Public User ID versendet werden, zu einer fehlerhaften Authentifizierung führen.The method described can advantageously be used to prevent messages which, for example, are sent with dishonest intentions with an incorrect IP address or an incorrect SIP Public User ID, which leads to incorrect authentication.
Ein wesentlicher Aspekt des Verfahrens besteht darin, dass einem Kommunikationsendgerät ein Kennzeichen durch Adressierung mit einer bestimmten temporären IP-Adresse an dasjenige Endgerät zugeordnet wird, das diese bestimmte temporäre IP- Adresse wirklich besitzt. Dies wird durch die Routing-Mechanismen des Zugangsnetzes (z.B. eines GPRS-Netzes) sichergestellt. Sollte ein Endgerät eine temporäre IP-Adresse während der Registrierung nur vorgetäuscht haben, erhält es also dieses Kennzeichen nicht. Das Kennzeichen wird jedoch für eine erfolgreiche Anforderung eines IMS-Dienstes benötigt. ImAn essential aspect of the method is that a communication terminal is assigned an identifier by addressing it with a specific temporary IP address to the terminal that actually has this specific temporary IP address. This is ensured by the routing mechanisms of the access network (e.g. a GPRS network). If a device only faked a temporary IP address during registration, it will not receive this identifier. However, the indicator is required for a successful request from an IMS service. in the
Dienstnetz (z.B. in einem IP Multimedia System IMS) erlaubt das Kennzeichen die Verifizierung der temporären IP-Adresse. Dies wiederum erlaubt dann eine sichere Identifizierung der öffentlichen Kennung SIP-Public-ID und einer entsprechenden privaten Kennung SIP-Private-ID.Service network (e.g. in an IP Multimedia System IMS) the license plate allows verification of the temporary IP address. This in turn then allows the public identifier SIP-Public-ID and a corresponding private identifier SIP-Private-ID to be reliably identified.
Das Dienstnetz IMS (IP Multimedia Subsystem) als solches ist bekannt und beispielsweise in der Druckschrift „TS 23.228 V5.4.1 (2002-04); 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; IP Multimedia Subsystem (IMS) ; Stage 2 (Release 5) " beschrieben. In dem Fall, dass das IMS an ein heute gebräuchliches „Re- lease 1999"-GPRS-Netzwerk angeschlossen wird bzw. dass existierende „Release 1999"-Endgeräte genutzt werden, die z.B. keine ISIM-Karte aufweisen, liegt das Problem darin, dass ein Teilnehmer ein Kommunikationsgerät in betrügerischer Absicht modifizieren kann. Dies kann dazu führen, dass SIP Nachrich- ten mit einer falschen IP-Adresse und einer falschen SIP Public User ID verschickt werden, was zu einer fälschlichen Vergebührung eines anderen IMS Teilnehmers führen kann. Das beschriebene Verfahren ermöglicht eine zuverlässige Identifizierung des IMS-Nutzers auch in dem Fall, dass das Dienstnetz IMS an ein heute gebräuchliches „Release 1999"-GPRS-Netzwerk angeschlossen wird bzw. dass existierende „Release 1999"-End- geräte genutzt werden, die z.B. keine ISIM-Karte aufweisen. Dies wird dadurch erreicht, dass das zum Zwecke der Registrierung in das IMS an das Kommunikationsendgerät versen- dete Kennzeichen (Token) verwendet wird, um die Identität bzw. die Authentizität eines Teilnehmers, der einen IMS Dienst nutzen möchte und dazu dienstrelevante Nachrichten versendet, überprüft wird. Sollte ein Kommunikationsendgerät eine temporäre IP-Adresse bzw. eine falsche SIP Public User ID während der Dienstnutzung nur vortäuschen, widersprechen diese Parameter den in dem Kennzeichen (Token) gespeicherten bzw. dem Kennzeichen (Token) zugeordneten Werten. Dadurch ist das Dienstnetz IMS in der Lage, zu überprüfen, ob die in den dienstrelevanten Nachrichten angegebene temporäre IP-Adresse bzw. die SIP Public User ID mit derjenigen übereinstimmt, die bei der Registrierung des Kommunikationsendgerätes angegeben und verifiziert wurde. Durch diese sichere Authentifizierung des Teilnehmers ist eine Vergebührung von IMS Diensten möglich.The service network IMS (IP multimedia subsystem) is known as such and is described, for example, in the publication “TS 23.228 V5.4.1 (2002-04); 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; IP multimedia subsystem (IMS); Stage 2 (Release 5) ". In the event that the IMS is connected to a currently used" Release 1999 "GPRS network or that existing" Release 1999 "terminals are used which, for example, do not use ISIM The problem is that a subscriber can fraudulently modify a communication device, which can result in SIP messages with an incorrect IP address and an incorrect SIP Public User ID being sent, resulting in incorrect charging The described method enables the IMS user to be reliably identified even in the event that the service network IMS is connected to a “Release 1999” GPRS network that is common today or that existing “Release 1999” Devices that do not have an ISIM card, for example, can be used by doing this for the purpose of registration in the IMS to the communication device t sent identifier (token) is used to check the identity or authenticity of a subscriber who wants to use an IMS service and for this purpose sends service-related messages. If a communication terminal only pretends a temporary IP address or an incorrect SIP public user ID during service use, these parameters contradict the values stored in the identifier (token) or assigned to the identifier (token). As a result, the service network IMS is able to check whether the temporary IP address or the SIP public user ID specified in the service-relevant messages matches that which was specified and verified when the communication terminal was registered. Through this secure authentication the subscriber may be charged for IMS services.
Ein vorstellbares Szenario ist beispielsweise das Folgende:An example scenario is the following:
Ein betrügerischer Teilnehmer bucht sich in ein Release 1999 GPRS Zugangsnetz ein. Er möchte eine IMS Instant Message zu einem anderen Teilnehmer schicken und dabei ein angeschlossenes Dienstnetz, wie beispielsweise ein IMS, veranlassen, an- fallende Kosten für das Versenden der Instant Message einem dritten Teilnehmer des Dienstnetzes in Rechnung zu stellen. Zunächst bucht sich der unredliche Teilnehmer unter seiner eigenen Identität im GPRS Zugangsnetz und in dem Dienstnetz wie beispielsweise IMS ein. Gemäß dem Registrierungsverfahren aus der DE 10223248 erhält jeder Teilnehmer des Dienstnetzes IMS während der erfolgreichen Einbuchung in das IMS ein Kennzeichen (Token) . Bis zu diesem Schritt muss sich der unredliche Teilnehmer korrekt verhalten, anderenfalls wird er nicht in das Dienstnetz IMS eingebucht. Dadurch erhält er auch ein gültiges Kennzeichen (Token) .A fraudulent subscriber logs into a 1999 GPRS access network. He would like to send an IMS instant message to another subscriber and thereby cause a connected service network, such as an IMS, to charge a third party of the service network for costs incurred for sending the instant message. First, the dishonest participant logs on under his own identity in the GPRS access network and in the service network such as IMS. According to the registration procedure from DE 10223248, every subscriber of the service network IMS receives a token during the successful booking into the IMS. Up to this step, the dishonest participant must behave correctly, otherwise he will not be logged into the IMS service network. This also gives him a valid token.
Anschließend erzeugt er ein IMS Instant Message, die jedoch weder seine Identität (SIP Public User ID) noch die temporäre IP-Adresse enthält, die er bei der Einbuchung in das GPRS Zu- gangsnetz erhalten hat. Statt dessen nutzt er die SIP Public User ID und die temporäre IP-Adresse eines dritten IMS Teilnehmers, der auch gerade im IMS Dienstnetz eingebucht ist. Nach der Erzeugung der Instant Message mit den falschen Informationen, verschickt der betrügerische Teilnehmer diese Nachricht an das Dienstnetz IMS.He then generates an IMS instant message, which, however, does not contain his identity (SIP Public User ID) or the temporary IP address that he received when he logged into the GPRS access network. Instead, he uses the SIP Public User ID and the temporary IP address of a third IMS subscriber who is currently logged into the IMS service network. After generating the instant message with the wrong information, the fraudulent subscriber sends this message to the IMS service network.
Ohne die Anwendung des erfindungsgemäßen Verfahrens würde das Dienstnetz IMS die Instant Message an den Empfänger zustellen und entsprechend der falschen Informationen, die der unredliche Teilnehmer in die Instant Message eingefügt hat, vergebühren. Dies bedeutet eine Vergebührung des falschen IMS Teilnehmers, was in jedem Fall ausgeschlossen werden muss .Without using the method according to the invention, the service network IMS would deliver the instant message to the recipient and charge according to the wrong information that the dishonest participant has inserted in the instant message. This means that the wrong IMS participant is billed, which must be excluded in any case.
Das erfindungsgemäße Verfahren verlangt, dass IMS-Dienste nur bei Angabe des Kennzeichens genutzt werden können. Das Kennzeichen ermöglicht die Überprüfung der angegebenen IP-Adresse und der angegebenen SIP-Public-ID. Bei Nutzung des erfindungsgemäßen Verfahrens können IMSThe method according to the invention requires that IMS services can only be used if the identifier is specified. The indicator enables the specified IP address and the specified SIP public ID to be checked. When using the method according to the invention, IMS
Dienste nicht oder nur sehr schwer im Namen anderer IMS Teilnehmer genutzt werden. Jeder IMS Teilnehmer erhält bei der Registrierung nur sein eigenes Kennzeichen (Token) und nicht das eines anderen IMS Teilnehmers . Auch ein Erraten des Kenn- Zeichens (Token) ist auf Grund der darin enthaltenen Zufalls- zahl schwierig. Weiterhin ist ein Abhören des Kennzeichens (Tokens) nicht möglich, da alle Nachrichten verschlüsselt über die Luftschnittstelle übertragen werden. Services are not used or are used only with great difficulty on behalf of other IMS participants. Each IMS participant only receives his own identifier (token) when registering and not that of another IMS participant. It is also difficult to guess the token (token) due to the random number it contains. It is also not possible to listen to the license plate (token), since all messages are encrypted and transmitted over the air interface.

Claims

Patentansprüche claims
1. Verfahren zum Identifizieren eines in einem Dienstnetz (IMS) registrierten Kommunikationsendgeräts (UE) bei Nutzung eines von dem Dienstnetz (IMS) organisierbaren Kommunikationsdienstes, wobei ein kommunikationsendgeräteseitiger (UE) Zugriff auf das Dienstnetz (IMS) über ein das Kommunikationsendgerät (UE) mit dem Dienstnetz (IMS) verbindendes Zugangsnetz (GPRS) erfolgt, bei dem - in einem Vorausschritt eine Anmelde-IP-Adresse (IP-SRC-UE) , welche bei einem Anmelden des Kommunikationsendgeräts (UE) bei dem Zugangsnetz (GPRS) dem Kommunikationsendgerät (UE) zugeordnet wurde, von dem Dienstnetz (IMS) empfangen und in diesem für den jeweiligen Nutzer des Kommunikationsendgerätes abgespeichert wurde, der Anmelde-IP-Adresse (IP-SRC-UE) von dem Dienstnetz (IMS) eine öffentlichen Kennung (SIP-Public-ID) des Kommunikationsendgerätes (UE) zugeordnet und im Dienstnetz (IMS) gespeichert wurde, und bei der Registrierung des Kommunikationsendgerätes (UE) in dem Dienstnetz dem Kommunikationsendgerät ein Kennzeichen (Token) zugewiesen wurde, das von dem Dienstnetz (IMS) aus der Anmelde-IP-Adresse (IP-SRC-UE) und einer Zufallszahl (RN) mittels eines Verschlüsselungsverfahrens erzeugt wurde, in dem Kommunikationsendgerät (UE) gespeichert wurde und zu dem Kennzeichen (Token) gehörende Kennzeichen-Daten (RN, IP-SRC-UE, SIP-Public-ID) in dem Dienstnetz (IMS) abgespeichert wurden, - bei Anforderung eines Kommunikationsdienstes seitens des1. A method for identifying a communication terminal (UE) registered in a service network (IMS) when using a communication service that can be organized by the service network (IMS), with a communication terminal-side (UE) accessing the service network (IMS) via the communication terminal (UE) access network (GPRS) connecting the service network (IMS), in which - in a preliminary step a registration IP address (IP-SRC-UE), which when the communication terminal (UE) logs on to the access network (GPRS) the communication terminal ( UE) was assigned, received by the service network (IMS) and stored in it for the respective user of the communication terminal, the login IP address (IP-SRC-UE) by the service network (IMS) a public identifier (SIP-Public -ID) of the communication terminal (UE) was assigned and stored in the service network (IMS), and when the communication terminal (UE) was registered in the service network, the communic ation terminal a token was assigned, which was generated by the service network (IMS) from the login IP address (IP-SRC-UE) and a random number (RN) by means of an encryption process in which the communication terminal (UE) was stored and identifier data (RN, IP-SRC-UE, SIP-Public-ID) belonging to the identifier (token) were stored in the service network (IMS), - when a communication service is requested by the
Kommunikationsendgerätes in einigen, insbesondere in allen vom Kommunikationsendgerät zum Dienstnetz zur Erbringung des Kommunikationsdienstes zu sendenden Nachrichten (SIP Message, SIP INVITE, ) das Kennzeichen und eine öffentliche Kennung mit übertragen werden, vor Erbringung des angeforderten Kommunikationsdienstes das mit den Nachrichten (SIP Message, SIP INVITE, ) seitens des Kommunikationsendgerätes übertragene Kennzeichen mit den Kennzeichen-Daten und die übertragene öffentliche Kennung mit der in dem Dienstnetz (IMS) gespeicherten öffentlichen Kennung verglichen werden, bei gleichzeitiger Übereinstimmung des Kennzeichens (Token) mit den Kennzeichen-Daten (RN, IP-SRC-UE, SIP-Public-ID) und der mit den zur Erbringung des Kommunikations- dienstes seitens des Kommunikationsendgerätes zu sendenden Nachrichten übertragenen öffentlichen Kennung mit der in dem Dienstnetz (IMS) gespeicherten öffentlichen Kennung (SIP-Public-ID) der angeforderte Kommunikationsdienst ausgeführt wird, und bei Nicht-Übereinstimmung des Kennzeichens mit den Kennzeichen-Daten und/oder der mit den zur Erbringung des Kommunikationsdienstes seitens des Kommunikationsendgerätes zu sendenden Nachrichten übertragenen öffentlichen Kennung mit der in dem Dienstnetz (IMS) gespeicherten öffentlichen Kennung eine Ausführung des angeforderten Kommunikations- dienstes verweigert wird.Communication terminal in some, in particular in all messages to be sent from the communication terminal to the service network to provide the communication service (SIP Message, SIP INVITE,) the identifier and a public identifier are also transmitted, before providing the requested communication service, the identifier transmitted with the messages (SIP message, SIP INVITE,) on the part of the communication terminal with the identifier data and the transmitted public identifier with the public identifier stored in the service network (IMS) are compared, while the identifier (token) matches the identifier data (RN, IP-SRC-UE, SIP-Public-ID) and that for the provision of the communication service Public identification transmitted by the communication terminal to be sent with the public identification (SIP-Public-ID) stored in the service network (IMS), the requested communication service is carried out, and if the identification does not match with the identification data and / or with for the provision of the communication service on the part of the communication the device to be sent, the public identifier transmitted with the public identifier stored in the service network (IMS), an execution of the requested communication service is refused.
2. Verfahren nach Anspruch 1, d a d u r c h g e k e n n z e i c h n e t , dass in dem Dienstnetz (IMS) als Kennzeichen-Daten das Kennzeichen abgespeichert wird, beim Vergleich des dem Kommunikationsendgerät zugewiesenen Kennzeichens mit den in dem Dienstnetz abgespeicherten2. The method according to claim 1, which also means that the identifier is stored in the service network (IMS) as identifier data when comparing the identifier assigned to the communication terminal with those stored in the service network
Kennzeichen-Daten das dem Kommunikationsendgerät zugewiesene Kennzeichen mit dem in dem Dienstnetz abgespeicherten Kennzeichen verglichen wird, und bei gleichzeitiger Übereinstimmung des dem Kommunikationsendgerät zugewiesenen Kennzeichens mit dem in dem Dienst- netz abgespeicherten Kennzeichen und der in den zur Erbringung des Kommunikationsdienstes seitens des Kommuni- kationsendgerätes zu sendenden Nachrichten enthaltenen öffentlichen Kennung mit der im Dienstnetz gespeicherten öffentlichen Kennung der angeforderte Kommunikationsdienst ausgeführt wird.Identifier data, the identifier assigned to the communication terminal is compared with the identifier stored in the service network, and with simultaneous correspondence of the identifier assigned to the communication terminal with the identifier stored in the service network and the public identifier contained in the messages to be sent by the communication terminal to provide the communication service, the requested communication service is carried out with the public identifier stored in the service network.
3. Verfahren nach Anspruch 1, d a d u r c h g e k e n n z e i c h n e t , dass in dem Dienstnetz als Kennzeichen-Daten die Anmelde-IP-Adresse (IP-SRC-UE) und die Zufallszahl (RN) abgespeichert wird, - nach Empfang von vom Kommunikationsendgerät zum Dienstnetz zur Erbringung des Kommunikationsdienstes zu sendenden Nachrichten von dem Dienstnetz (IMS) eine Entschlüsselung des mit diesen Nachrichten übertragenen Kennzeichens vorgenommen wird, - beim Vergleich des übertragenen Kennzeichens mit den in dem Dienstnetz abgespeicherten Kennzeichen-Daten die bei der Entschlüsselung zurückgewonnene Anmelde-IP-Adresse mit der in dem Dienstnetz abgespeicherten Anmelde-IP-Adresse verglichen wird, und - bei gleichzeitiger Übereinstimmung der zurückgewonnenen3. The method according to claim 1, characterized in that the registration IP address (IP-SRC-UE) and the random number (RN) is stored in the service network as identifier data - after receipt of the communication terminal to the service network to provide the Communication service to send messages from the service network (IMS) a decryption of the license plate transmitted with these messages is carried out, - when comparing the transmitted license plate with the license plate data stored in the service network, the login IP address recovered during the decryption with that in the Service network stored login IP address is compared, and - while the recovered match
Anmelde-IP-Adresse mit der in dem Dienstnetz abgespeicherten Anmelde-IP-Adresse und der in den zur Erbringung des Kommunikationsdienstes seitens des Kommunikationsendgerätes zu sendenden Nachrichten enthaltenen öffentlichen Ken- nung mit der in dem Dienstnetz gespeicherten öffentlichenRegistration IP address with the registration IP address stored in the service network and the public identifier contained in the messages to be sent by the communication terminal for the provision of the communication service with the public identifier stored in the service network
Kennung (SIP-Public-ID) der angeforderte Dienst ausgeführt wird. Identifier (SIP Public ID) of the requested service is executed.
4. Verfahren nach einem der Ansprüche 1 bis 3, d a d u r c h g e k e n n z e i c h n e t , dass das Kennzeichen (Token) von einer Vermittlungsstelle (S- CSCF) des Dienstnetzes (IMS) entschlüsselt wird.4. The method according to any one of claims 1 to 3, so that the identifier (token) is decrypted by a switching center (S-CSCF) of the service network (IMS).
5. Verfahren nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , dass durch eine Vermittlungsstelle (S-CSCF) des Dienstnetzes (IMS) der Vergleich des empfangenen Kennzeichens mit den Kennzeichen-Daten und der in den zur Erbringung des Kommunikationsdienstes seitens des Kommunikationsendgerätes zu sendenden Nachrichten enthaltenen öffentlichen Kennung mit der in dem Dienstnetz gespeicherten öffentlichen Kennung (SIP-Public-ID) vorgenommen wird, - durch die Vermittlungsstelle (S-CSCF) bei gleichzeitiger5. The method according to any one of the preceding claims, characterized in that by a switching center (S-CSCF) of the service network (IMS) the comparison of the received license plate with the license plate data and contained in the messages to be sent by the communication terminal to provide the communication service public identifier is made with the public identifier stored in the service network (SIP-Public-ID), - by the switching center (S-CSCF) at the same time
Übereinstimmung des Kennzeichens mit den Kennzeichen-Daten und der in den zur Erbringung des Kommunikationsdienstes seitens des Kommunikationsendgerätes zu sendenden Nachrichten enthaltenen öffentlichen Kennung mit der in dem Dienstnetz gespeicherten öffentlichen Kennung (SIP-Public-Correspondence of the identifier with the identifier data and the public identifier contained in the messages to be sent by the communication terminal for the provision of the communication service with the public identifier stored in the service network (SIP public
ID) eine Ausführung des angeforderten Dienstes veranlasst wird, und durch die Vermittlungsstelle (S-CSCF) bei Nicht-Übereinstimmung des Kennzeichens mit den Kennzeichen-Daten und/oder der in den zur Erbringung des Kommunikations- dienstes seitens des Kommunikationsendgerätes zu sendenden Nachrichten enthaltenen öffentlichen Kennung mit der in dem Dienstnetz gespeicherten öffentlichen Kennung (SIP- Public-ID) eine Ausführung des angeforderten Dienstes ver- weigert wird. ID) an execution of the requested service is initiated, and by the switching center (S-CSCF) if the identifier does not match the identifier data and / or the public messages contained in the messages to be sent by the communication terminal for the provision of the communication service Identifier with the public identifier stored in the service network (SIP public ID) is denied execution of the requested service.
PCT/DE2002/003060 2002-08-16 2002-08-16 Method for identifying a communications terminal WO2004019640A1 (en)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CNB028294548A CN100362896C (en) 2002-08-16 2002-08-16 Method for identifying communications terminal device
BR0215842-6A BR0215842A (en) 2002-08-16 2002-08-16 Process for identifying a communication terminal
AU2002336891A AU2002336891A1 (en) 2002-08-16 2002-08-16 Method for identifying a communications terminal
DE10297762T DE10297762D2 (en) 2002-08-16 2002-08-16 Method for identifying a communication terminal
PCT/DE2002/003060 WO2004019640A1 (en) 2002-08-16 2002-08-16 Method for identifying a communications terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/DE2002/003060 WO2004019640A1 (en) 2002-08-16 2002-08-16 Method for identifying a communications terminal

Publications (1)

Publication Number Publication Date
WO2004019640A1 true WO2004019640A1 (en) 2004-03-04

Family

ID=31892774

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2002/003060 WO2004019640A1 (en) 2002-08-16 2002-08-16 Method for identifying a communications terminal

Country Status (5)

Country Link
CN (1) CN100362896C (en)
AU (1) AU2002336891A1 (en)
BR (1) BR0215842A (en)
DE (1) DE10297762D2 (en)
WO (1) WO2004019640A1 (en)

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006126962A2 (en) * 2005-05-25 2006-11-30 Telefonaktiebolaget Lm Ericsson (Publ) Authentication of an application layer media flow request for radio resources
WO2006128373A1 (en) * 2005-05-31 2006-12-07 Huawei Technologies Co., Ltd. A method for im domain authenticating for the terminal user identifier module and a system thereof
WO2007012247A1 (en) * 2005-07-29 2007-02-01 Huawei Technologies Co., Ltd A method and apparatus for saving interacting of wireless terminal user identification
CN1327680C (en) * 2005-03-25 2007-07-18 华为技术有限公司 Method of establishing circuit exchange network to IMS network calling route
EP1830536A1 (en) * 2006-03-01 2007-09-05 Siemens Aktiengesellschaft Method for self-provisioning of subscriber data in the IP multimedia subsystem (IMS)
CN100366031C (en) * 2005-05-20 2008-01-30 北京交通大学 Method for implementing support to paralel transmission of compression packet in IPv6 sensor network
WO2008041798A1 (en) * 2006-10-02 2008-04-10 Lg Electronics Inc. Method for transmitting legacy service message through internet protocol multimedia subsystem network and user equipment therefor
CN100396156C (en) * 2005-07-26 2008-06-18 华为技术有限公司 Synchronous SQN processing method
US20080184029A1 (en) * 2007-01-30 2008-07-31 Sims John B Method and system for generating digital fingerprint
CN100417285C (en) * 2005-08-29 2008-09-03 华为技术有限公司 Method for continuous'y using authentication tuple
CN100433909C (en) * 2005-04-29 2008-11-12 华为技术有限公司 Method for transmitting call command from electric switching network to IMS network
CN100433738C (en) * 2005-01-19 2008-11-12 华为技术有限公司 Method for implementing capability interaction between terminals
CN100455110C (en) * 2005-06-06 2009-01-21 华为技术有限公司 Random access channel distribution and access method
WO2010039569A2 (en) * 2008-09-30 2010-04-08 Qualcomm Incorporated Third party validation of internet protocol addresses
CN102546574A (en) * 2010-12-24 2012-07-04 中国移动通信集团公司 Streaming media on-demand method and device based on internet protocol (IP) multimedia subsystem
CN103152342A (en) * 2006-12-22 2013-06-12 日本电气株式会社 Circuit switching user agent system, communication device, and service providing method used therefor
US8548467B2 (en) 2008-09-12 2013-10-01 Qualcomm Incorporated Ticket-based configuration parameters validation
US8862872B2 (en) 2008-09-12 2014-10-14 Qualcomm Incorporated Ticket-based spectrum authorization and access control
US9037732B2 (en) 2005-03-28 2015-05-19 Huawei Technologies Co., Ltd. Method of implementing UE capability exchange and route control for parallel IMS and CS services

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100440997C (en) * 2005-10-22 2008-12-03 华为技术有限公司 System and method for traditional mobile terminal to access domain of multimedia
CN1980250B (en) * 2005-11-29 2012-02-29 中国移动通信集团公司 Network protocol multi-media sub-system and method for obtaining access-in point information
PL1955510T3 (en) * 2005-12-01 2009-09-30 Ericsson Telefon Ab L M Call handling for ims registered user
CN101030853B (en) * 2006-03-02 2010-04-14 华为技术有限公司 Method for authenticating user terminal
CN101166177B (en) * 2006-10-18 2010-09-22 大唐移动通信设备有限公司 A method and system for initialization signaling transmission at non access layer
CN101079903B (en) * 2007-06-21 2011-01-19 中国工商银行股份有限公司 Method and system based on remote login of user terminal
CN101217374B (en) * 2008-01-18 2010-06-23 北京工业大学 A protection method on user privacy in three-party conversation
US9332000B2 (en) * 2008-02-21 2016-05-03 Alcatel Lucent One-pass authentication mechanism and system for heterogeneous networks
CN102752324B (en) * 2011-04-18 2015-06-24 阿里巴巴集团控股有限公司 Network communication system and method
US10558808B2 (en) * 2016-03-03 2020-02-11 Qualcomm Incorporated Methods and apparatus for packet-based validation of control-flow transfers for hardware control-flow enforcement

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4919545A (en) * 1988-12-22 1990-04-24 Gte Laboratories Incorporated Distributed security procedure for intelligent networks

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2790177B1 (en) * 1999-02-22 2001-05-18 Gemplus Card Int AUTHENTICATION IN A RADIOTELEPHONY NETWORK

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4919545A (en) * 1988-12-22 1990-04-24 Gte Laboratories Incorporated Distributed security procedure for intelligent networks

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"UMTS (Phase 2+); 3G security; Access security for IP-based services (3GPP TS 33.203 version 5.2.0 Release 5); ETSI TS 133 203 V5.2.0", ETSI TS 133 203 V5.2.0, June 2002 (2002-06-01), pages 1 - 37, XP002225941 *
A. NIEMI, J. ARKKO, V. TORVINEN: "HTTP Digest Authentication Using AKA, NETWORK WORKING GROUP INTERNET-DRAFT, draft-ietf-sip-digest-aka-01", NETWORK WORKING GROUP INTERNET-DRAFT, 25 April 2002 (2002-04-25), pages 1 - 18, XP002225942 *

Cited By (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100433738C (en) * 2005-01-19 2008-11-12 华为技术有限公司 Method for implementing capability interaction between terminals
CN1327680C (en) * 2005-03-25 2007-07-18 华为技术有限公司 Method of establishing circuit exchange network to IMS network calling route
US10237726B2 (en) 2005-03-28 2019-03-19 Huawei Technologies Co., Ltd. Method of implementing UE capability exchange and route control for parallel IMS and CS services
US9037732B2 (en) 2005-03-28 2015-05-19 Huawei Technologies Co., Ltd. Method of implementing UE capability exchange and route control for parallel IMS and CS services
CN100433909C (en) * 2005-04-29 2008-11-12 华为技术有限公司 Method for transmitting call command from electric switching network to IMS network
CN100366031C (en) * 2005-05-20 2008-01-30 北京交通大学 Method for implementing support to paralel transmission of compression packet in IPv6 sensor network
WO2006126962A3 (en) * 2005-05-25 2007-02-15 Ericsson Telefon Ab L M Authentication of an application layer media flow request for radio resources
WO2006126962A2 (en) * 2005-05-25 2006-11-30 Telefonaktiebolaget Lm Ericsson (Publ) Authentication of an application layer media flow request for radio resources
WO2006128373A1 (en) * 2005-05-31 2006-12-07 Huawei Technologies Co., Ltd. A method for im domain authenticating for the terminal user identifier module and a system thereof
US8027666B2 (en) 2005-05-31 2011-09-27 Huawei Technologies Co., Ltd. Method and system for authenticating terminal subscriber identity module in IP multimedia domain
CN100455110C (en) * 2005-06-06 2009-01-21 华为技术有限公司 Random access channel distribution and access method
CN100396156C (en) * 2005-07-26 2008-06-18 华为技术有限公司 Synchronous SQN processing method
WO2007012247A1 (en) * 2005-07-29 2007-02-01 Huawei Technologies Co., Ltd A method and apparatus for saving interacting of wireless terminal user identification
CN100417285C (en) * 2005-08-29 2008-09-03 华为技术有限公司 Method for continuous'y using authentication tuple
US8805361B2 (en) 2006-03-01 2014-08-12 Nokia Siemens Networks Gmbh & Co. Kg Method for self-provisioning of subscriber data in the IP multimedia subsystem (IMS)
EP1830536A1 (en) * 2006-03-01 2007-09-05 Siemens Aktiengesellschaft Method for self-provisioning of subscriber data in the IP multimedia subsystem (IMS)
WO2007099090A1 (en) * 2006-03-01 2007-09-07 Nokia Siemens Networks Gmbh & Co.Kg Method for self-provisioning of subscriber data in the ip multimedia subsystem (ims)
EP2066091A1 (en) 2006-03-01 2009-06-03 Nokia Siemens Networks Gmbh & Co. Kg Method for self-provisioning of subscriber data in the IP Multimedia Subsystem (IMS)
WO2008041798A1 (en) * 2006-10-02 2008-04-10 Lg Electronics Inc. Method for transmitting legacy service message through internet protocol multimedia subsystem network and user equipment therefor
CN103152342A (en) * 2006-12-22 2013-06-12 日本电气株式会社 Circuit switching user agent system, communication device, and service providing method used therefor
US8689300B2 (en) * 2007-01-30 2014-04-01 The Boeing Company Method and system for generating digital fingerprint
US20080184029A1 (en) * 2007-01-30 2008-07-31 Sims John B Method and system for generating digital fingerprint
US8548467B2 (en) 2008-09-12 2013-10-01 Qualcomm Incorporated Ticket-based configuration parameters validation
US8862872B2 (en) 2008-09-12 2014-10-14 Qualcomm Incorporated Ticket-based spectrum authorization and access control
US8913995B2 (en) 2008-09-12 2014-12-16 Qualcomm Incorporated Ticket-based configuration parameters validation
WO2010039569A3 (en) * 2008-09-30 2010-10-21 Qualcomm Incorporated Third party validation of internet protocol addresses
US9148335B2 (en) 2008-09-30 2015-09-29 Qualcomm Incorporated Third party validation of internet protocol addresses
WO2010039569A2 (en) * 2008-09-30 2010-04-08 Qualcomm Incorporated Third party validation of internet protocol addresses
CN102546574A (en) * 2010-12-24 2012-07-04 中国移动通信集团公司 Streaming media on-demand method and device based on internet protocol (IP) multimedia subsystem

Also Published As

Publication number Publication date
CN1650659A (en) 2005-08-03
BR0215842A (en) 2005-06-21
CN100362896C (en) 2008-01-16
DE10297762D2 (en) 2005-04-07
AU2002336891A1 (en) 2004-03-11

Similar Documents

Publication Publication Date Title
WO2004019640A1 (en) Method for identifying a communications terminal
EP1365620B1 (en) Method for registration of a communication terminal in a service network (IMS)
DE19722424C1 (en) Secure access method
EP1449324B1 (en) Use of a public key key pair in the terminal for authentication and authorisation of the telecommunication user with the network operator and business partners
DE60114986T2 (en) METHOD FOR OUTPUTTING ELECTRONIC IDENTITY
DE69929574T2 (en) Method for securing a radio connection in a wireless system
DE60313445T2 (en) Apparatus and method for authentication with one-time password entry via an insecure network access
DE60314673T2 (en) MEDIUM AND METHOD FOR CONTROLLING SERVICE PROGRESSION BETWEEN DIFFERENT DOMAINS
EP2443853A1 (en) Method for registering a mobile radio in a mobile radio network
WO2004034717A1 (en) Verifying check-in authentication by using an access authentication token
EP1290905B1 (en) Method for the cryptographically verifiable identification of a physical unit in a public, wireless telecommunications network
EP2705477A1 (en) Response to queries by means of the communication terminal of a user
EP3799379B1 (en) Method and ip-based communication system for changing connection control instances without reregistration of end subscribers
WO2007073842A1 (en) Method for the preparation of a chip card for electronic signature services
WO2003063409A2 (en) Method for securing data traffic in a mobile network environment
WO2004019641A1 (en) Method for authenticating a user of a communication terminal during registration in a service network and during use of the same
EP1414260A1 (en) Method, system and devices for subscriber authentication in a telecommunication network
EP1419638A2 (en) Computer system and method for data access control
WO2009039866A1 (en) Access control for, for example, a web server by means of a telephone communication connection initiated by the user
EP1844619A1 (en) Mobile radio network, method for operating a terminal device in such a network and terminal device with integrated electronic circuit arrangements for storing parameters that identify the terminal device
EP2723111B1 (en) Multiple factor authentification for mobile end devices
EP1300981B1 (en) Method for generating an authentic electronic certificate
DE102023100866A1 (en) Authenticity verification of communication partners in a communication network
EP1244270B1 (en) Method for generating an authentic electronic certificate
EP1985086B1 (en) Method for transferring data in a communication network

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ OM PH PL PT RO RU SD SE SG SI SK SL TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LU MC NL PT SE SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 20028294548

Country of ref document: CN

Ref document number: 1020057002630

Country of ref document: KR

ENP Entry into the national phase

Ref document number: 2005107327

Country of ref document: RU

Kind code of ref document: A

REF Corresponds to

Ref document number: 10297762

Country of ref document: DE

Date of ref document: 20050407

Kind code of ref document: P

WWE Wipo information: entry into national phase

Ref document number: 10297762

Country of ref document: DE

WWP Wipo information: published in national office

Ref document number: 1020057002630

Country of ref document: KR

122 Ep: pct application non-entry in european phase
NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Ref document number: JP