WO2004019641A1 - Verfahren zum authentifizieren eines nutzers eines kommunikationsendgeräts beim registrieren in einem und bei nutzung von einem dienstnetz - Google Patents

Verfahren zum authentifizieren eines nutzers eines kommunikationsendgeräts beim registrieren in einem und bei nutzung von einem dienstnetz Download PDF

Info

Publication number
WO2004019641A1
WO2004019641A1 PCT/DE2002/003061 DE0203061W WO2004019641A1 WO 2004019641 A1 WO2004019641 A1 WO 2004019641A1 DE 0203061 W DE0203061 W DE 0203061W WO 2004019641 A1 WO2004019641 A1 WO 2004019641A1
Authority
WO
WIPO (PCT)
Prior art keywords
communication terminal
address
ims
service
public
Prior art date
Application number
PCT/DE2002/003061
Other languages
English (en)
French (fr)
Inventor
Georg Kastelewicz
Peter Kim
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to PCT/DE2002/003061 priority Critical patent/WO2004019641A1/de
Priority to AU2002336038A priority patent/AU2002336038A1/en
Priority to DE10297809T priority patent/DE10297809D2/de
Publication of WO2004019641A1 publication Critical patent/WO2004019641A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Definitions

  • mobile radio users are offered services which are provided by special networks (service networks) which are optimized for the provision of services.
  • service networks are connected to the service network via an access network (for example a communication network operating according to the GPRS standard). It is often of interest for network operators to determine the identity of the service users before the service is provided and to register these users if the authentication is successful.
  • An example of such a service network is a so-called IMS (IP Multimedia Subsystem) standardized in the context of 3GPP Release 5.
  • IMS IP Multimedia Subsystem
  • a prerequisite for the charging of services requested by a user (service charging) in the IMS is the identification of the user in the IMS, as can be implemented according to the mechanisms described in the 3GPP TS 23.228 version 5.4.1.
  • These mechanisms are based, among other things, on the use of a new SIM card (ISIM) in the communication terminal, generation of key material in a home register of the service network, a SIP-based registration procedure and control mechanisms in the access network, such as a GPRS access network , which is controlled from the service network via a new interface.
  • ISIM SIM card
  • the implementation of these mechanisms requires that communication terminals and the access network essentially have to be adapted or comply with the 3GPP standardization release 5, which is not yet implemented. This leads to a security gap, especially when charging for services and content offered in the IMS. It is possible for a user acting with fraudulent intent to fake the network a false identity, so that another Participants would be billed for the services used. The network would also be more susceptible to denial of service attacks.
  • a registration procedure as required above is the subject of the German patent application DE 10223248.2. It enables reliable identification of a service network user (IMS user) in the event that the service network is connected to an existing Release 99 GPRS network or that services of the service network based on existing Release 99 communication terminals are used that do not have ISIM and also do not allow access to information on the SIM card.
  • IMS user service network user
  • access networks such as GPRS access networks, in which non-standardized, specific access network nodes, such as GGSNs in the GPRS access network, are able to verify login IP addresses assigned by them to the respective communication terminals when logging on to the access network.
  • the GGSN can check whether a login IP address which is also transmitted with a message actually comes from the communication terminal to which this login IP address was previously assigned.
  • a method for authenticating a user of a communication terminal (UE) when registering and when using a service network (IMS) organizing a communication service is provided, with a communication terminal (UE) accessing the service network (IMS) via an access network (GPRS) connecting the communication terminal (UE) to the service network (IMS) takes place in which - in a preliminary step - a registration IP address (IP-SRC-UE) which is used when the communication terminal (UE) registers with the Access network (GPRS) was assigned to the communication terminal (UE) by an access network node (GGSN), received by the service network (IMS) and stored in it for the respective user of the communication terminal, - the registration IP address (IP-SRC-UE ) from the service network (IMS)
  • IP-SRC-UE registration IP address
  • IP-SRC-UE login IP address assigned to the communication terminal and in the service network that of the login -IP address (IP-SRC-UE) assigned public identifier (SIP Public ID) are verified,
  • the method according to the invention advantageously does not require any communication terminals or access networks which correspond to standardization regulations of 3GPP "Release 5". Rather, the method according to the invention can also be used with the currently prevailing communication terminals and access networks which standardization regulations of 3GPP "Release 1999” (also as “Release.” 3 ") are sufficient. For example, common communication terminals today are those which only have a conventional" Subscriber Identity Module (SIM) "card.
  • SIM Subscriber Identity Module
  • Another advantage of the method according to the invention is that the method is very simple and efficient. It is not necessary to create a license plate here, as is provided in the method from DE10223248, nor must this code be decoded again. The process steps are much simpler and can therefore be carried out more quickly.
  • the method according to the invention can also be designed such that, in addition to the verification of the login IP address (IP-SRC-UE) and the public identifier assigned to the login IP address (SIP public ID), a verification of a private identifier (SIP private ID) of the communication terminal is carried out and only after successful verification of the login IP address, the public identifier assigned to the login IP address (SIP public ID) and the private identifier (SIP private ID ) a successful one Registration is recognized and / or the requested communication service is executed.
  • IP-SRC-UE the public identifier assigned to the login IP address
  • SIP public ID a verification of a private identifier of the communication terminal is carried out and only after successful verification of the login IP address, the public identifier assigned to the login IP address (SIP public ID) and the private identifier (SIP private ID ) a successful one Registration is recognized and / or the requested communication service is executed.
  • the verification of the public identifier assigned to the registration IP address is carried out by a switching center (S-CSCF) of the service network (IMS).
  • S-CSCF switching center of the service network
  • SID-Private-ID is preferably also carried out by a switching center (S-CSCF) of the service network (IMS).
  • S-CSCF switching center of the service network
  • the communication terminal upon successful verification of the login IP address (IP-SRC-UE) in the access network node (GGSN) and the public identifier assigned to the login IP address, the communication terminal is registered in the service network (IMS) and / or an execution of the requested service by a switching center (S-CSCF) of the service network (IMS) and, if the registration IP address (IP-SRC-UE) is not verified in the access network node (GGSN) and / or the public identifier assigned to the login IP address (SIP public ID) is refused registration and / or execution of the requested service by the switching center (S-CSCF).
  • IMS service network
  • S-CSCF switching center
  • GGSN access network node
  • Figure 1 shows an embodiment of an arrangement for performing the method according to the invention
  • Figure 2 is a schematic representation of an embodiment of the method according to the invention
  • Figure 3 is a schematic representation of a further embodiment of the method according to the invention.
  • the first network connection SIP1 can be connected to a first communication terminal UE 1.
  • the access network has a second GPRS gateway switching center GGSN2, which can be connected to a second communication terminal UE2 via a second signal connection SIP2 operating according to the SIP standard UE1 and the second communication terminal UE2 can be, for example, mobile telephones, laptops or palmtops with a mobile radio module.
  • the first GPRS gateway switching center GGSN1 and the second GPRS gateway switching center GGSN2 are via data connections 3 and 4 with an “authentication authorization” Accounting "server AAA of Ceia Network connected.
  • HSS Home Subscriber Server
  • IP Multimedia Core Network Subsystem operating as a service network IMS.
  • S-CSCF Call Session Control Function
  • S-CSCF Serving-CSCF
  • the first communication terminal UE1 e.g. a message called "IMS Instant Message" is sent to the second communication terminal UE2; however, the first communication terminal UE1 and possibly also the second communication terminal UE2 must be registered (registration, registration) beforehand.
  • IMS Instant Message a message called "IMS Instant Message”
  • Authentication of a user of a communication terminal is carried out when the communication terminal logs into the GPRS access network. If authentication is successful, a PDP context is generated and the GGSN assigns a temporary IP address for the communication terminal. This IP address allows other network participants to send IP packets to this communication terminal.
  • An MSISDN is also assigned to users of communication terminals that use a GPRS access network. The MSISDN is a number under which the respective user of the communication terminal can be reached in the GPRS and in the GSM. In addition, the user or the communication terminal must register with the service network IMS and authenticate in the process.
  • Both procedures, the registration in the GPRS access network and the registration (registration) in the IMS service network, are carried out automatically, for example, when the terminal is switched on.
  • An essential part of registering with the Service network represents authentication by the service network.
  • a user of the communication terminal is authenticated during the registration of the communication terminal with the service network. Exactly considered, the SIM card of the user, which is inserted in the communication terminal, is recognized and thus the person of the user is inferred.
  • Authentication of a user of a communication terminal in the service network essentially includes verification of a SIP address assigned to the user of the communication terminal, i.e. an address at which the user of the communication terminal can be reached in the service network.
  • the verification of the SIP Public User ID is of particular importance, since it is used to charge for services used from the service network.
  • the SIP private user ID is verified from the SIP public user ID, since there is only one SIP private user ID for each SIP public user ID.
  • the SIP Public User ID must be verified on the one hand when a user of a communication terminal device is registered in the service network and on the other hand when using a service of the service network. If a user of a communication terminal wants to register in the service network, such as IMS, the communication terminal sends a SIP REGISTER message to the service network (IMS). The aim of the IMS authentication is to check whether the in this
  • SIP Public User ID Message specified SIP Public User ID is correct.
  • SIP Private User ID can also be checked for greater security.
  • the inventive method is based 'substantially on the following two fundamental ideas: a verifiable binding of a user of a communication terminal who would like to use a service network (IMS) to the temporary IP address which was assigned by the access network node (GGSN) during the registration into the GPRS access network,
  • IMS service network
  • GGSN access network node
  • FIG. 2 shows how user authentication is carried out according to the invention during the registration of a communication terminal in a service network (IMS).
  • the message flow shown here (SIP message flow) is identical to that in the 3GPP in the publication TS 24.228 version 5.0.0 for the IMS registration of a communication terminal or a user standardized message flow.
  • the message flow (SIP message flow) shown in FIG. 2 differs from the standard in the authentication procedure that is carried out in the service network (IMS).
  • the process sequence shown in FIG. 2 begins with a user communication terminal being booked into a GPRS access network.
  • a temporary IP address is assigned to the communication terminal. This is referred to in Figure 2 as IP-SRC-UE.
  • An AAA server in the access network allows access control and is for collecting
  • the AAA server receives the temporary IP address of the communication terminal and a corresponding MSISDN of the associated communication terminal from the access node GGSN. These two parameters are then transmitted to a home register HSS of the service network IMS. Communication between the GGSN and the AAA server is in the 3GPP standard TS 29,061. The data exchange between the AAA server and the HSS is proprietary. Alternatively, the HSS could be connected directly to the access network node GGSN via a proprietary or standardized interface. After receiving the parameters mentioned, the home register HSS can use the MSISDN to determine the SIP public user ID belonging to the temporary IP address (IP-SRC-UE). This is possible because each communication terminal using the service network (IMS) is entered in the user profile in addition to its SIP public user ID and its SIP private user ID as well as its MSISDN.
  • IMS SIP public user ID belonging to the temporary IP address
  • IP-SRC-UE temporary IP address
  • the switching center (S-CSCF) loads the parameter pair ⁇ IP-SRC-UE; SIP Public ID> from the home register HSS of the service network (IMS) and stores it in a local database of the exchange S-CSCF.
  • This pair of parameters is compared with the parameters specified in the SIP REGISTER message.
  • the SIP private user ID from the SIP REGISTER can be can be compared with the SIP Private User ID stored in the user's profile for the SIP Public User ID.
  • the communication terminal is authenticated in the service network (IMS) if the SIP public user ID stored for the IP address on the exchange S-CSCF matches the SIP public user ID from the SIP REGISTER message and that for this SIP public user ID SIP private user ID stored on the exchange S-CSCF matches the SIP private user ID from the SIP REGISTER message.
  • IMS service network
  • the result of this authentication is communicated to the communication terminal.
  • the associated message flow again corresponds to the standard.
  • a successful authentication is assumed in FIG. 2, which is communicated to the communication terminal via a SIP 200 OK message which is sent from the switching center S-CSCF to the communication terminal.
  • the home register HSS is informed of the successful authentication.
  • an index method could advantageously be used.
  • Registration in a service network is usually only valid for a certain period, such as with an IMS. This duration is determined by the service network and thus by the network operator and communicated to the communication terminal during successful registration. In order to maintain registration in the service network for a longer period of time, the communication terminal must Register again before the registration period expires. This is called re-registration. The re-registration is usually carried out automatically at periodic intervals by the communication terminal in accordance with the method described.
  • the parameter pair can also be used for authentication of a communication terminal when requesting a service of the service network IMS.
  • IMS services may only be carried out after successful registration in the IMS service network.
  • Figure 3 shows the establishment of a so-called chat session in a service network IMS. IMS chat sessions are established by a so-called SIP INVITE message and dismantled by a so-called SIP BYE message.
  • An inventive check of the parameter pair ⁇ IP-SRC-UE; SIP Public ID> ensures that only an authenticated communication terminal can start and end a chat session.
  • the validity of the parameter pair ⁇ IP-SRC-UE; SIP Public ID> is checked by the exchange S-CSCF before the service is carried out.
  • the switching center S-CSCF carries out the same checks that are carried out during registration in the service network (IMS) and authentication for SIP REGISTER messages.
  • the check differs only in that the SIP private user ID is not checked, since only SIP REGISTER messages contain these as parameters.
  • the message flow shown in FIG. 3 is identical to the message flow standardized in the 3GPP in the publication TS 24.228 version 5.0.0 for setting up a SIP chat session. It differs from the standard in the authentication procedure that is carried out in the service network (IMS).
  • IMS service network
  • a communication terminal UE-A registers in the GPRS access network and in the IMS service network.
  • the parameter pair ⁇ IP-SRC-UE;SlP-Pub-lic-ID> transferred to the exchange S-CSCF.
  • a user A After registration, a user A starts an IMS service on his communication terminal UE-A.
  • the message flow that follows is identical to the flow specified in the standard TS 23.228.
  • a SIP INVITE message is first sent from the communication terminal UE-A to a further communication terminal UE-B of another user B.
  • the SIP INVITE message contains the IP address (IP-SRC-UE-1) of the communication terminal UE-A.
  • IP-SRC-UE-1 IP address
  • the SIP INVITE message also contains the SIP
  • This parameter can also be manipulated.
  • the parameters sent in the SIP INVITE message are compared with the parameter pair ⁇ IP-SRC-UE stored in the switching center S-CSCF during the registration procedure; SIP Public ID> compared. This corresponds to steps 2 to 6 in FIG. 3.
  • User A with his communication terminal UE-A is authenticated if the SIP public user ID stored for the IP address on the S-CSCF matches the SIP public user ID from the SIP INVITE message.
  • the communication terminal UE-A is S-CSCF sent a SIP-401-UNAUTHORIZED message to the communication terminal UE-A of user A.
  • the message flow continues in accordance with the standard TS 23.228 (steps 7 to 27). However, for each message that arrives at the exchange S-CSCF, the parameter pair ⁇ IP-SRC-UE; SIP Public ID> checked as described.
  • the method according to the invention has a number of advantages. It does not require new interfaces or network elements. No services can be used without a clear authentication of a service user in an IMS service network.
  • the method according to the invention represents a possibility for secure authentication of a user of the service network.
  • the method according to the invention can be used both for charging for services in an IMS service network and for charging for content that is offered in the IMS service network.
  • the proposed method according to the invention provides the same security as exists today, for example, for WAP services.
  • Another advantage of the method according to the invention is that, in addition to WAP services, a user can also use IMS services without having to log in again, for example using a password.
  • the Release 99 GPRS networks implemented today can also be used as access networks for the IMS service network, since the method according to the invention allows secure authentication of a user of an IMS service network.
  • the method according to the invention is based on the fact that in the IMS
  • Service network a relationship between the temporary IP address that a user of a communication terminal or a commu- nikationsendgerat assigned to a GPRS registration by a GGSN access network node and the public identifier, the so-called SIP Public User ID, which is used for charging.
  • the GGSN access network node is able to check the authenticity of the IP address specified in the SIP messages, this enables the SIP Public User ID and the SIP Private User ID to be securely identified. This enables secure authentication of a user of IMS services.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Verfahren zum Authen-tifizieren eines Nutzers eines Kommunikationsendgeräts (UE) beim Registrieren und bei Nutzung eines einen Kommunikations-dienst organisierenden Dienstnetzes (IMS), wobei ein kommuni-kationsendgeräteseitiger (UE) Zugriff auf das Dienstnetz (IMS) über ein das Kommunikationsendgerät (UE) mit dem Dienstnetz (IMS) verbindendes Zugangsnetz (GPRS) erfolgt, bei dem- in einem Vorausschritt- eine Anmelde-IP-Adresse (IP-SRC-UE), welche bei einem Anmelden des Kommunikationsendgeräts (UE) bei dem Zu-gangsnetz (GPRS) dem Kommunikationsendgerät (UE) von ei-nem Zugangsnetzknoten (GGSN) zugeordnet wurde, von dem Dienstnetz (IMS) empfangen und in diesem für den jewei-ligen Nutzer des Kommunikationsendgerätes abgespeichert wurde,- der Anmelde-IP-Adresse (IP-SRC-UE) von dem Dienstnetz (IMS) eine öffentlichen Kennung (SIP-Public-ID) des Kom-munikationsendgerätes (UE) eindeutig zugeordnet und im Dienstnetz (IMS) gekoppelt mit der Anmelde-IP-Adresse gespeichert wird,- bei der Registrierung des Kommunikationsendgerätes in dem Dienstnetz und/oder bei Anforderung eines Kommunikations-dienstes durch das Kommunikationsendgerät im Zugangsnetz-knoten (GGSN) die dem Kommunikationsendgerät zugeordnete Anmelde-IP-Adresse (IP-SRC-UE) und im Dienstnetz die der Anmelde-IP-Adresse (IP-SRC-UE) zugeordnete öffentliche Kennung (SIP-Public-ID) verifiziert werden,- bei Verifizierung der Anmelde-IP-Adresse im Zugangsnetz-knoten (GGSN) und der der Anmelde-IP-Adresse (IP-SRC-UE) zugeordneten öffentlichen Kennung (SIP-Public-ID) im Dienstnetz (IMS) ein erfolgreiches Registrieren erkannt wird und/oder der angeforderte Kommunikationsdienst ausge-führt wird, und- bei Nicht-Verifizierung der Anmelde-IP-Adresse im Zugangs-netzknoten (GGSN) und/oder der der Anmelde-IP-Adresse (IP-SRC-UE) zugeordneten öffentlichen Kennung (SIP-Public-ID) im Dienstnetz (IMS) ein erfolgloses Registrieren erkannt wird und/oder eine Ausführung des angeforderten Kommunika-tionsdienstes verweigert wird

Description

Beschreibung
Verfahren zum Authentifizieren eines Nutzers eines Kommunikationsendgeräts beim Registrieren in einem und bei Nutzung von einem Dienstnetz
Bei Mobilfunknetzen der zweiten und dritten Generation werden Mobilfunknutzern Dienste angeboten, die von für eine Diensterbringung optimierten Spezialnetzen (Dienstnetzen) er- bracht werden. Die Dienstnutzer werden dabei über ein Zugangsnetz (z.B. ein nach dem GPRS-Standard arbeitendes Kommunikationsnetz) mit dem Dienstnetz verbunden. Es ist oftmals für Netzbetreiber von Interesse, vor einer Diensterbringung die Identität der Dienstnutzer festzustellen und bei erfolg- reicher Authentifizierung diese Nutzer zu registrieren. Ein Beispiel für ein derartiges Dienstnetz bildet ein sogenanntes, im Rahmen von 3GPP Release 5 standardisiertes IMS (IP Multimedia Subsystem) . Eine Voraussetzung für das Vergebühren von von einem Nutzer angeforderten Diensten (Service Char- ging) im IMS ist die Identifizierung des Nutzers im IMS, wie sie entsprechend den in der Druckschrift 3GPP TS 23.228 Version 5.4.1 beschriebenen Mechanismen realisierbar ist. Diese Mechanismen beruhen im wesentlichen unter anderem auf der Nutzung einer neuen SIM-Karte (ISIM) im Kommunikationsendge- rät, einer Erzeugung von Schlüsselmaterial in einem Heimatregister des Dienstnetzes, einer SIP basierten Registrierungs- prozedur und auf Kontrollmechanismen im Zugangsnetz, wie beispielsweise einem GPRS Zugangsnetz, die über eine neue Schnittstelle vom Dienstnetz aus gesteuert wird. Allerdings erfordert die Ausführung dieser Mechanismen dass Kommunikationsendgeräte und das Zugangsnetz im wesentlichen dem 3GPP Standardisierungsrelease 5 angepasst bzw. genügen müssen, was momentan noch nicht realisiert ist. Dieses führt zu einer Sicherheitslücke insbesondere bei der Vergebührung von im IMS angebotenen Diensten und Inhalten. Dabei ist es einem in betrügerischer Absicht handelndem Nutzer möglich, dem Netzwerk eine falsche Identität vorzutäuschen, so dass ein anderer Teilnehmer für die in Anspruch genommenen Leistungen vergebührt werden würde. Darüber hinaus wäre das Netzwerk anfälliger für Denial-of-Service Angriffe.
Um auch momentan verfügbare Kommunikationsendgeräte und Zugangsnetze, wie beispielsweise GPRS-Netze, zu nutzen, müssen demnach Übergangslösungen gefunden werden.
Ein wie oben gefordertes Registrierungsverfahren ist Ge- genstand der deutschen Patentanmeldung DE 10223248.2. Es ermöglicht eine zuverlässige Identifizierung eines Dienstnetznutzers (IMS-Nutzer) für den Fall, dass das Dienstnetz an ein existierendes Release 99 GPRS Netzwerk angeschlossen wird bzw. dass Dienste des Dienstnetzes auf der Basis existieren- der Release 99 Kommunikationsendgeräte genutzt werden, die keine ISIM besitzen und auch keinen Zugang zu Informationen auf der SIM-Karte erlauben.
Auch wenn es momentan noch keine Zugangsnetze gibt, die in ausreichender Form über Authentifizierungsmechanismen der Release 5 verfügen, so gibt es doch schon Zugangsnetze, wie beispielsweise GPRS Zugangsnetze, in welchen nicht standardisierte, spezifische Zugangsnetzknoten, wie beispielsweise GGSNs im GPRS Zugangsnetz in der Lage sind, von ihnen an je- weilige Kommunikationsendgeräte beim Anmelden im Zugangsnetz vergebene Anmelde-IP-Adressen zu verifizieren. Der GGSN kann dabei überprüfen, ob eine Anmelde-IP-Adresse, die mit einer Nachricht mit übertragen wird, auch wirklich von dem Kommunikationsendgerät stammt, welchem zuvor diese Anmelde-IP-Ad- resse zugeordnet wurde.
Eine Aufgabe der vorliegenden Erfindung war es, unter dieser Vorbedingung im Zugangsnetz ein sicheres, zuverlässiges und einfach durchführbares Verfahren zur Verfügung zu stellen, um einen Dienstnutzer beim Registrieren in einem und/oder bei Nutzung von einem Dienstnetz authentifizieren zu können. Gemäß Anspruch 1 der vorliegenden Erfindung wird ein Verfahren zum Authentifizieren eines Nutzers eines Kommunikationsendgeräts (UE) beim Registrieren und bei Nutzung eines einen Kommunikationsdienst organisierenden Dienstnetzes (IMS) be- reit gestellt, wobei ein kommunikationsendgeräteseitiger (UE) Zugriff auf das Dienstnetz (IMS) über ein das Kommunikationsendgerät (UE) mit dem Dienstnetz (IMS) verbindendes Zugangsnetz (GPRS) erfolgt, bei dem in einem Vorausschritt - eine Anmelde-IP-Adresse (IP-SRC-UE) , welche bei einem Anmelden des Kommunikationsendgeräts (UE) bei dem Zugangsnetz (GPRS) dem Kommunikationsendgerät (UE) von einem Zugangsnetzknoten (GGSN) zugeordnet wurde, von dem Dienstnetz (IMS) empfangen und in diesem für den jeweiligen Nutzer des Kommunikationsendgerätes abgespeichert wurde, - der Anmelde-IP-Adresse (IP-SRC-UE) von dem Dienstnetz (IMS) eine öffentlichen Kennung (SIP-Public-ID) des Kommunikationsendgerätes (UE) eindeutig zugeordnet und im Dienstnetz (IMS) gekoppelt mit der Anmelde-IP-Adresse gespeichert wird,
- bei der Registrierung des Kommunikationsendgerätes in dem Dienstnetz und/oder bei Anforderung eines Kommunikations- dienstes durch das Kommunikationsendgerät im Zugangsnetz- knoten (GGSN) die dem Kommunikationsendgerät zugeordnete Anmelde-IP-Adresse (IP-SRC-UE) und im Dienstnetz die der Anmelde-IP-Adresse (IP-SRC-UE) zugeordnete öffentliche Kennung (SIP-Public-ID) verifiziert werden,
- bei Verifizierung der Anmelde-IP-Adresse im Zugangsnetz- knoten (GGSN) und der der Anmelde-IP-Adresse (IP-SRC-UE) zugeordneten öffentlichen Kennung (SIP-Public-ID) im Dienstnetz (IMS) ein erfolgreiches Registrieren erkannt wird und/oder der angeforderte Kommunikationsdienst ausgeführt wird, und - bei Nicht-Verifizierung der Anmelde-IP-Adresse im Zugangs- netzknoten (GGSN) und/oder der der Anmelde-IP-Adresse (IP- SRC-UE) zugeordneten öffentlichen Kennung (SIP-Public-ID) im Dienstnetz (IMS) ein erfolgloses Registrieren erkannt wird und/oder eine Ausführung des angeforderten Kommunikationsdienstes verweigert wird.
Im Gegensatz zum Verfahren, das in der DE 10223248 beschrieben wird, ist es bei dem vorliegenden Verfahren nicht nötig, ein Kennzeichen (Token) zu verwenden, da im Zugangsnetz bzw. im entsprechenden Zugangsnetzknoten (GGSN) die Anmelde-IP-Adresse verifiziert werden kann.
Das erfindungsgemäße Verfahren benötigt vorteilhafterweise keine Kommunikationsendgeräte oder Zugangsnetze, welche Standardisierungsvorschriften der 3GPP „Release 5" entsprechen. Vielmehr ist das erfindungsgemäße Verfahren auch mit den heute vorherrschenden Kommunikationsendgeräten und Zugangs- netzen einsetzbar, welche Standardisierungsvorschriften der 3GPP „Release 1999" (auch als „Release 3" bezeichnet) genügen. Zum Beispiel sind heute gebräuchliche Kommunikationsendgeräte geeignet, welche lediglich eine herkömmliche „Subscri- ber Identity Module (SIM) "-Karte aufweisen. Ein weiterer Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass das Verfahren sehr einfach und effizient ist. Es ist hier nicht nötig, ein Kennzeichen zu kreieren wie die in dem Verfahren aus der DE10223248 vorgesehen ist, noch muss man dieses Kenn- zeichen dann wieder entschlüsseln. Die Verfahrensschritte sind wesentlich einfacher und somit schneller durchführbar.
Vorteilhafterweise kann das erfindungsgemäße Verfahren auch so ausgestaltet sein, dass zusätzlich zur Verifizierung der Anmelde-IP-Adresse (IP-SRC-UE) und der der Anmelde-IP-Adresse zugeordneten öffentlichen Kennung (SIP-Public-ID) eine Verifizierung einer privaten Kennung (SIP-Private-ID) des Kommunikationsendgerätes durchgeführt wird und nur bei erfolgreicher Verifizierung der Anmelde-IP-Adresse, der der Anmelde- IP-Adresse zugeordneten öffentlichen Kennung (SIP-Public-ID) und der privaten Kennung (SIP-Private-ID) ein erfolgreiches Registrieren erkannt wird und/oder der angeforderte Kommunikationsdienst ausgeführt wird.
In einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird die Verifizierung der der Anmelde-IP-Adresse zugeordneten öffentlichen Kennung (SID-Public-ID) von einer Vermittlungsstelle (S-CSCF) des Dienstnetzes (IMS) vorgenommen.
Ferner wird vorzugsweise die Verifizierung der privaten Kennung (SID-Private-ID) ebenfalls von einer Vermittlungsstelle (S-CSCF) des Dienstnetzes (IMS) vorgenommen.
In einer weiteren bevorzugten Ausführungsform des erfindungs- gemäßen Verfahrens wird bei erfolgreicher Verifizierung der Anmelde-IP-Adresse (IP-SRC-UE) im Zugangsnetzknoten (GGSN) und der der Anmelde-IP-Adresse zugeordneten öffentlichen Kennung eine Registrierung des Kommunikationsendgerätes in dem Dienstnetz (IMS) und/oder eine Ausführung des angeforderten Dienstes durch eine Vermittlungsstelle (S-CSCF) des Dienstnetzes (IMS) veranlasst, und bei Nicht-Verifizierung der Anmelde-IP-Adresse (IP-SRC-UE) im Zugangsnetzknoten (GGSN) und/oder der der Anmelde-IP-Adresse zugeordneten öffentlichen Kennung (SIP-Public-ID) eine Re- gistrierung und/oder eine Ausführung des angeforderten Dienstes durch die Vermittlungsstelle (S-CSCF) verweigert.
In einer weiteren vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens ist es aber auch möglich, dass bei Nicht-Verifizierung der Anmelde-IP-Adresse im Zugangsnetzknoten (GGSN) bereits hier eine Registrierung und/oder eine Ausführung des angeforderten Dienstes verweigert wird bzw. dass der weitere Verfahrensablauf einfach gestoppt wird.
Zur weiteren Erläuterung der Erfindung ist in
Figur 1 ein Ausführungsbeispiel einer Anordnung zur Ausführung des erfindungsgemäßen Verfahrens, in Figur 2 eine schematische Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens und in Figur 3 eine schematische Darstellung eines weiteren Ausführungsbeispiels des erfindungsgemäßen Verfahrens dargestellt.
In Figur 1 ist als Zugangsnetz ein nach „General Packet Radio Service"-Vorgaben arbeitendes Mobilfunknetz GPRS dargestellt. Dieses Zugangsnetz GPRS beinhaltet eine erste GPRS- Gateway-Vermittlungsstelle GGSNl (GGSN = Gateway GPRS Support Node) , welche über eine nach dem SIP-Standard arbeitende erste Signalverbindung SIP1 mit einem ersten Kommunikationsendgerät UEl verbindbar ist. Weiterhin weist das Zugangsnetz eine zweite GPRS-Gateway-Vermittlungsstelle GGSN2 auf, die über eine nach dem SIP-Standard arbeitende zweite Signalverbindung SIP2 mit einem zweiten Kommunikationsendgerät UE2 verbindbar ist. Bei dem ersten Kommunikationsendgerät UEl und dem zweiten Kommunikationsendgerät UE2 kann es sich z.B. um Mobiltelefone, Laptops oder Palmtops mit Mobilfunkmodul han- dein. Die erste GPRS-Gateway-Vermittlungsstelle GGSNl und die zweite GPRS-Gateway-Vermittlungsstelle GGSN2 sind über Datenverbindungen 3 und 4 mit einem „Authentication Authorisation Accounting"-Server AAA des Zugangsnetzes verbunden. Der Server AAA ist über eine Datenverbindung 5 mit einem Heimatre- gister HSS (HSS = Home Subscriber Server) eines als Dienstnetz IMS arbeitenden „IP Multimedia Core Network Subsystem" verbunden. Über die Datenverbindungen 3, 4 und 5 werden im Verlaufe des Verfahrens Mobilfunkrufnummern (MSISDN) und temporär gültige IP-Adressen der Kommunikationsendgeräte über- tragen.
Von dem Dienstnetz IMS ist weiterhin schematisch lediglich eine Vermittlungsstelle S-CSCF (CSCF = Call Session Control Function; S-CSCF = Serving-CSCF) dargestellt, welche einerseits über eine Datenverbindung 7 mit dem Heimatregister HSS und andererseits über Datenverbindungen 9 und 10 mit der ersten GPRS-Gateway-Vermittlungsstelle GGSNl und der zweiten GPRS-Gateway-Vermittlungsstelle GGSN2 verbunden ist. Über die Datenverbindung 7 werden Informationen zur Nutzerauthentifi- zierung mit dem Heimatregister HSS ausgetauscht, über die Datenverbindungen 9 und 10 können SIP-Nachrichten an die erste GPRS-Gateway-Vermittlungsstelle GGSNl und die zweite GPRS-Ga- teway-Vermittlungsstelle GGSN2 gesendet werden.
Mittels des ersten Kommunikationsendgeräts UEl kann z.B. eine „IMS Instant Message" genannte Nachricht an das zweite Kommunikationsendgerät UE2 gesendet werden; zuvor ist jedoch eine Registrierung (Anmeldung, Einbuchung) des ersten Kommunikationsendgeräts UEl und ggf. auch des zweiten Kommunikationsendgeräts UE2 vorzunehmen.
Wenn also ein Nutzer eines Kommunikationsendgerätes Dienste des Dienstnetzes IMS nutzen möchte, so wird dessen Kommunikationsendgerät in das Zugangsnetz eingebucht (das Zugangsnetz ist heute oftmals durch ein sog. „Release 1999"-GPRS-Netzwerk realisiert) . Beim Einbuchen in das GPRS-Netz wird eine an sich bekannte GPRS-Nutzer-Authentifizierung durchgeführt, diese nutzt die im Endgerät vorhandene SIM-Karte. Die GPRS
Authentifizierung eines Nutzers eines Kommunikationsendgerätes wird ausgeführt, wenn sich das Kommunikationsendgerät in das GPRS Zugangsnetz einbucht. Bei erfolgreicher Authentifizierung wird ein PDP-Kontext erzeugt und von dem GGSN wird eine temporäre IP-Adresse für das Kommunikationsendgerät vergeben. Diese IP-Adresse erlaubt es anderen Netzteilnehmern, IP-Pakete an dieses Kommunikationsendgerät zu schicken. Nutzern von Kommunikationsendgeräten, die ein GPRS Zugangsnetz nutzen, wird des weiteren eine MSISDN zugeordnet. Die MSISDN ist eine Rufnummer unter der der jeweilige Nutzer des Kommunikationsendgerätes im GPRS und im GSM erreichbar ist. Zusätzlich dazu muß sich der Nutzer bzw. das Kommunikationsendgerät beim Dienstnetz IMS registrieren und dabei authentifizieren. Beide Prozeduren, die Anmeldung im Zugangsnetz GPRS und die Anmeldung (Registrierung) im Dienstnetz IMS, werden z.B. automatisch beim Einschalten des Endgerätes durchgeführt. Einen wesentlichen Teil des Registrierens bei dem Dienstnetz stellt das Authentifizieren durch das Dienstnetz dar. Dabei wird während des Registrierens des Kommunikationsendgerätes bei dem Dienstnetz ein Nutzer des Kommunikationsendgerätes authentifiziert. Genau betrachtet wird dabei die SIM-Karte des Nutzers, welche in das Kommunikationsendgerät eingelegt ist, erkannt und dadurch auf die Person des Nutzers geschlossen.
Eine Authentifizierung eines Nutzers eines Kommunikationsend- gerätes im Dienstnetz beinhaltet im wesentlichen die Verifikation einer dem Nutzer des Kommunikationsendgerätes zugeordneten SIP-Adresse, d.h. einer Adresse, unter welcher der Nutzer des Kommunikationsendgerätes in dem Dienstnetz erreichbar ist. Dies beinhaltet die Verifikation einer öffentlichen Ken- nung, einer sogenannten SIP Public User ID und einer privaten Kennung, einer sogenannten SIP Private User ID. Von besonderer Bedeutung ist dabei die Verifikation der SIP Public User ID, da diese für die Vergebührung genutzter Dienste aus dem Dienstnetz verwendet wird. Die Verifikation der SIP Private User ID folgt aus der SIP Public User ID, da es zu jeder SIP Public User ID nur eine SIP Private User ID gibt.
Die Verifikation der SIP Public User ID muss zum einen bei der Registrierung eines Nutzers eines Kommunikationsendgerä- tes im Dienstnetz und zum anderen bei Nutzung eines Dienstes des Dienstnetzes durchgeführt werden. Will sich ein Nutzer eines Kommunikationsendgerät im Dienstnetz, wie beispielsweise IMS anmelden, sendet das Kommunikationsendgerät eine SIP REGISTER Nachricht an das Dienstnetz (IMS) . Ziel der IMS Authentifizierung ist es zu überprüfen, ob die in dieser
Nachricht angegebene SIP Public User ID korrekt ist. Ferner kann zur größeren Sicherheit auch die SIP Private User ID überprüft werden.
Das erfindungsgemäße Verfahren beruht dabei' im wesentlichen auf den folgenden beiden Grundideen: - einer verifizierbaren Bindung eines Nutzers eines Kommunikationsendgerätes, der ein Dienstnetz (IMS) nutzen möchte, an die temporäre IP-Adresse, die während des Einbuchens in das GPRS Zugangsnetz von dem Zugangsnetzknoten (GGSN) vergeben worden ist,
- der Nutzung der existierenden Release 99 Standard-GPRS Nutzer Authentifikation zur Verifikation der SIP Public User ID. Dies beinhaltet eine Abbildung (Mapping) der temporären IP- Adresse des Kommunikationsendgerätes auf die zugehörige SIP Public User ID. Eine verifizierte SIP Public User ID erlaubt wiederum die Verifikation der SIP Private User ID.
Figur 2 zeigt, wie eine Nutzer-Authentifizierung während der Registrierung eines Kommunikationsendgerätes in einem Dienst- netz (IMS) erfindungsgemäß durchgeführt wird. Der hier dargestellte Nachrichtenfluss (SIP Message Flow) ist dabei identisch zu dem in der 3GPP in der Druckschrift TS 24.228 Version 5.0.0 für die IMS Registrierung eines Kommunikationsend- gerätes bzw. eines Nutzers standardisierten Nachrichtenflusses. Jedoch unterscheidet sich der in Figur 2 gezeigte Nach- richtenfluss (SIP Message Flow) vom Standard in der Authenti- fizierungsprozedur, die im Dienstnetz (IMS) ausgeführt wird.
Der in Figur 2 gezeigte Verfahrensablauf beginnt mit einer Einbuchung eines Kommunikationsendgerätes eines Nutzers in ein GPRS Zugangsnetz. Dabei wird an das Kommunikationsendgerät eine temporäre IP-Adresse vergeben. Diese wird in Figur 2 als IP-SRC-UE bezeichnet. Ein AAA-Server im Zugangsnetz er- laubt eine Zugangskontrolle und ist für das Sammeln von
Accountingdaten verantwortlich. Während der Einbuchung erhält der AAA-Server die temporäre IP-Adresse des Kommunikationsendgerätes sowie eine entsprechende MSISDN des zugehörigen Kommunikationsendgerätes von dem Zugangsknoten GGSN. Diese beiden Parameter werden anschließend zu einem Heimatregister HSS des Dienstnetzes IMS übertragen. Die Kommunikation zwischen dem GGSN und dem AAA-Server ist im 3GPP Standard TS 29.061 beschrieben. Der Datenaustausch zwischen dem AAA-Server und dem HSS ist proprietär. Alternativ könnte das HSS über eine proprietäre oder standardisierte Schnittstelle direkt an den Zugangsnetzknoten GGSN angeschlossen werden. Nach Erhalt der genannten Parameter kann das Heimatregister HSS mittels der MSISDN die zur temporären IP-Adresse (IP-SRC-UE) gehörende SIP Public User ID ermitteln. Dies ist möglich, da im Nutzer-Profil jedes das Dienstnetz (IMS) nutzendes Kommunikationsendgerätes neben dessen SIP Public User ID und des- sen SIP Private User ID auch dessen MSISDN eingetragen ist.
Nach der Einbuchung in das Zugangsnetz GPRS erfolgt eine SIP basierte Registrierung beim Dienstnetz (IMS) . Die entsprechende SIP REGISTER Nachricht enthält die temporäre IP-Ad- resse (IP-SRC-UE) des Kommunikationsendgerätes. Diese muss aber nicht zwangsläufig diejenige sein, die das Kommunikationsendgerät während der Einbuchung in das GPRS Zugangsnetz erhalten hat. Ein betrügerischer Nutzer, der die Software seines Kommunikationsendgerätes verändert hat, könnte hier auch eine falsche IP-Adresse eingeben. Dies wird durch die existierende Release 99 GPRS Zugangsnetze in der Regel nicht überprüft. Es sind allerdings auch bereits Zugangsnetzknoten GGSN realisiert, wie beispielsweise die GGSN „CPG-3000" von Siemens, die über eine proprietäre Funktionalität verfügen, die IP-Adresse überprüfen bzw. verifizieren zu können. Bei der vorliegenden Erfindung werden nur solche Zugangsnetzknoten verwendet .
Wenn nun die SIP REGISTER Nachricht in einer Vermittlungs- stelle S-CSCF des Dienstnetzes eintrifft (Schritt 8) , lädt die Vermittlungsstelle (S-CSCF) das Parameterpaar <IP-SRC-UE; SIP-Public-ID> vom Heimatregister HSS des Dienstnetzes (IMS) und speichert es in einer lokalen Datenbank der Vermittlungsstelle S-CSCF. Dieses Parameterpaar wird mit den in der SIP REGISTER Nachricht angegebenen Parametern verglichen. Zusätzlich kann die SIP Private User ID aus der SIP REGISTER Nach- rieht mit der für die SIP Public User ID im Profil des Nutzers gespeicherten SIP Private User ID verglichen werden.
Das Kommunikationsendgerät ist im Dienstnetz (IMS) authenti- fiziert, wenn die für die IP-Adresse auf der Vermittlungsstelle S-CSCF gespeicherte SIP Public User ID mit der SIP Public User ID aus der SIP REGISTER Nachricht übereinstimmt und die für diese SIP Public User ID auf der Vermittlungsstelle S-CSCF gespeicherte SIP Private User ID mit der SIP Private User ID aus der SIP REGISTER Nachricht übereinstimmt.
Falls eines der genannten Kriterien nicht erfüllt ist, ist die Authentifizierung im Dienstnetz (IMS) gescheitert.
Nach der Authentifizierung des Kommunikationsendgerätes auf der Vermittlungsstelle S-CSCF des Dienstnetzes (IMS) wird dem Kommunikationsendgerät das Ergebnis dieser Authentifizierung mitgeteilt. Der zugehörige Nachrichtenfluss entspricht wieder dem Standard. In Figur 2 wird eine erfolgreiche Authentifi- zierung angenommen, was dem Kommunikationsendgerät über eine SIP 200 OK Nachricht mitgeteilt wird, die von der Vermittlungsstelle S-CSCF an das Kommunikationsendgerät geschickt wird. Zusätzlich wird das Heimatregister HSS über die erfolgreiche Authentifizierung informiert.
Um bei der Authentifizierung eines Kommunikationsendgerätes in einem Dienstnetz (IMS) auf der Vermittlungsstelle S-CSCF die Suche nach der zugehörigen IP-Adresse zu beschleunigen könnte vorteilhafterweise ein Index-Verfahren genutzt werden.
Eine Registrierung in einem Dienstnetz ist meist nur, wie beispielsweise bei einem IMS, für eine bestimmte Dauer gültig. Diese Dauer wird durch das Dienstnetz und damit durch den Netzoperator bestimmt und dem Kommunikationsendgerät wäh- rend der erfolgreichen Registrierung mitgeteilt. Um die Registrierung in dem Dienstnetz für einen längeren Zeitraum aufrecht zu erhalten, muss sich das Kommunikationsendgerät vor dem Ablauf der Registrierungsdauer erneut registrieren. Dies wird als Re-Registrierung bezeichnet. Die Re-Registrie- rung wird in der Regel in periodischen Abständen automatisch durch das Kommunikationsendgerät entsprechend dem beschriebe- nen Verfahren durchgeführt .
Neben der Nutzung des auf der Vermittlungstelle S-CSCF gespeicherten Parameterpaares <IP-SRC-UE; SIP-Public-ID> bei der Registrierung eines Kommunikationsendgerätes in dem Dienstnetz IMS, kann das Parameterpaar auch für eine Authentifizierung eines Kommunikationsendgerätes bei der Anforderung eines Dienstes des Dienstnetzes IMS genutzt werden. IMS- Dienste dürfen erst nach einer erfolgreichen Registrierung in dem Dienstnetz IMS ausgeführt werden. Figur 3 zeigt den Auf- bau einer sogenannten Chat-Session in einem Dienstnetz IMS. IMS Chat Sessions werden durch eine sogenannte SIP INVITE Nachricht aufgebaut und durch eine sogenannte SIP BYE Nachricht abgebaut. Eine erfindungsgemäße Überprüfung des Parameterpaares <IP-SRC-UE; SIP-Public-ID> sichert, dass nur ein authentifiziertes Kommunikationsendgerät eine Chat Session starten und beenden darf . Die Gültigkeit des Parameterpaares <IP-SRC-UE; SIP-Public-ID> wird vor der Ausführung des Dienstes durch die Vermittlungsstelle S-CSCF geprüft. Dazu führt die Vermittlungsstelle S-CSCF die gleichen Überprüfun- gen durch, die während der Registrierung im Dienstnetz (IMS) und Authentifizierung für SIP REGISTER Nachrichten durchgeführt werden. Die Überprüfung unterscheidet sich nur dadurch, dass die SIP Private User ID nicht überprüft wird, da nur SIP REGISTER Nachrichten diese als Parameter enthalten.
Der in Figur 3 dargestellte Nachrichtenfluss ist identisch zu dem in der 3GPP in der Druckschrift TS 24.228 Version 5.0.0 für den Aufbau einer SIP Chat Session standardisierten Nachrichtenfluss . Er unterscheidet sich vom Standard in der Au- thentifizierungsprozedur, die im Dienstnetz (IMS) ausgeführt wird. In einem Vorausschritt (Schritt 1) registriert sich ein Kommunikationsendgerät UE-A im GPRS Zugangsnetz und im IMS Dienstnetz. Dabei wird das Parameterpaar <IP-SRC-UE; SlP-Pub- lic-ID> auf die Vermittlungsstelle S-CSCF übertragen.
Nach der Registrierung startet ein Nutzer A auf seinem Kommunikationsendgerät UE-A einen IMS-Dienst. Der nun folgende Nachrichtenfluss ist identisch zu dem im Standard TS 23.228 angegebenen Fluss . Beim Aufbau eines IMS-Dienstes wird zuerst eine SIP INVITE Nachricht von dem Kommunikationsendgerät UE-A zu einem weiteren Kommunikationsendgerät UE-B eines weiteren Nutzers B gesendet. Die SIP INVITE Nachricht enthält die IP- Adresse (IP-SRC-UE-1) des Kommunikationsendgerätes UE-A. Diese muss aber nicht zwangsläufig diejenige sein, die das Kommunikationsendgerät UE-A während der Einbuchung in das
GPRS Zugangsnetz erhalten hat. Ein unredlicher Nutzer könnte hier auch eine falsche Adresse eingeben. Der GGSN Zugangs- netzknoten ist jedoch entsprechend den Voraussetzungen der vorliegenden Erfindung in der Lage, die IP-Adresse zu über- prüfen. Weiterhin enthält die SIP INVITE Nachricht die SIP
Public User ID. Auch dieser Parameter kann manipuliert werden. Um dies zu überprüfen werden erfindungsgemäß die in der SIP INVITE Nachricht gesendeten Parameter mit dem bei der Registrierungsprozedur in der Vermittlungsstelle S-CSCF gespei- cherten Parameterpaar <IP-SRC-UE; SIP-Public-ID> verglichen. Dies entspricht den Schritten 2 bis 6 in Figur 3.
Der Nutzer A mit seinem Kommunikationsendgerät UE-A ist authentifiziert, wenn die für die IP-Adresse auf der S-CSCF ge- speicherte SIP Public User ID mit der SIP Public User ID aus der SIP INVITE Nachricht übereinstimmt.
Falls das genannte Kriterium nicht zutrifft, ist die Authentifzizierung gescheitert, der angeforderte Dienst, nämlich der Aufbau einer Chat Session wird nicht ausgeführt. In diesem Fall wird dem Kommunikationsendgerät UE-A von der Ver- mittlungsstelle S-CSCF eine SIP-401-UNAUTHORIZED Nachricht an das Kommunikaitonsendgerät UE-A des Nutzers A gesendet.
Nach erfolgreicher Authentifizierung auf der Vermittlungsstelle S-CSCF wird der Nachrichtenfluss analog dem Standard TS 23.228 fortgesetzt (Schritt 7 bis 27) . Jedoch wird bei jeder Nachricht, die auf der Vermittlungsstelle S-CSCF eintrifft, das Parameterpaar <IP-SRC-UE; SIP-Public-ID> wie beschrieben überprüft .
Das erfindungsgemäße Verfahren weist eine Reihe von Vorteilen auf. Es erfordert keine neuen Schnittstellen oder Netzelemente. Ohne eine eindeutige Authentifizierung eines Dienstnutzers in einem IMS Dienstnetz können keine Dienste verge- bührt werden. Das erfindungsgemäße Verfahren stellt eine Möglichkeit für eine sichere Authentifizierung eines Nutzers des Dienstnetzes dar. Das erfindungsgemäße Verfahren ist sowohl für eine Vergebührung von Diensten in einem IMS Dienstnetz als auch zur Vergebührung von Inhalten, die im IMS Dienstnetz angeboten werden, anwendbar. Das vorgeschlagene erfindungsgemäße Verfahren liefert die gleiche Sicherheit, wie sie heute beispielsweise für WAP Dienste existiert.
Ein weiterer Vorteil des erfindungsgemäßen Verfahrens liegt darin, dass ein Nutzer neben WAP Diensten auch IMS Dienste nutzen kann, ohne sich erneut, beispielsweise durch ein Passwort, anmelden zu müssen.
Weiterhin ist es von großem Vorteil, dass auch die heute rea- lisierten Release 99 GPRS Netze als Zugangsnetze für das IMS Dienstnetz genutzt werden können, da das erfindungsgemäße Verfahren eine sichere Authentifizierung eines Nutzers eines IMS Dienstnetzes erlaubt.
Das erfindungsgemäße Verfahren beruht darauf, dass im IMS
Dienstnetz eine Beziehung zwischen der temporären IP-Adresse, die ein Nutzer eines Kommunikationsendgerätes bzw. ein Kommu- nikationsendgerat bei einer GPRS-Registrierung von einem GGSN Zugangsnetzknoten zugewiesen bekommen hat und der öffentlichen Kennung, der sogenannten SIP Public User ID, die zur Vergebührung verwendet wird, hergestellt wird. Unter der Vor- aussetzung, dass der GGSN Zugangsnetzknoten in der Lage ist, die Echtheit der in den SIP Nachrichten angegebenen IP-Adresse zu überprüfen, erlaubt dies eine sichere Identifzierung der SIP Public User ID und der SIP Private User ID. Somit kann eine sichere Authentifizierung eines Nutzers von IMS Diensten gewährleistet werden.

Claims

Patentansprüche
1. Verfahren zum Authentifizieren eines Nutzers eines Kommunikationsendgeräts (UE) beim Registrieren und bei Nutzung ei- nes einen Kommunikationsdienst organisierenden Dienstnetzes (IMS) , wobei ein kommunikationsendgeräteseitiger (UE) Zugriff auf das Dienstnetz (IMS) über ein das Kommunikationsendgerät (UE) mit dem Dienstnetz (IMS) verbindendes Zugangsnetz (GPRS) erfolgt, bei dem - in einem Vorausschritt
- eine Anmelde-IP-Adresse (IP-SRC-UE) , welche bei einem Anmelden des Kommunikationsendgeräts (UE) bei dem Zugangsnetz (GPRS) dem Kommunikationsendgerät (UE) von einem Zugangsnetzknoten (GGSN) zugeordnet wurde, von dem Dienstnetz (IMS) empfangen und in diesem für den jeweiligen Nutzer des Kommunikationsendgerätes abgespeichert wurde ,
- der Anmelde-IP-Adresse (IP-SRC-UE) von dem Dienstnetz
(IMS) eine öffentlichen Kennung (SIP-Public-ID) des Kom- munikationsendgerätes (UE) eindeutig zugeordnet und im Dienstnetz (IMS) gekoppelt mit der Anmelde-IP-Adresse gespeichert wird,
- bei der Registrierung des Kommunikationsendgerätes in dem Dienstnetz und/oder bei Anforderung eines Kommunikations- dienstes durch das Kommunikationsendgerät im Zugangsnetzknoten (GGSN) die dem Kommunikationsendgerät zugeordnete Anmelde-IP-Adresse (IP-SRC-UE) und im Dienstnetz die der Anmelde-IP-Adresse (IP-SRC-UE) zugeordnete öffentliche Kennung (SIP-Public-ID) verifiziert werden, - bei Verifizierung der Anmelde-IP-Adresse im Zugangsnetzknoten (GGSN) und der der Anmelde-IP-Adresse (IP-SRC-UE) zugeordneten öffentlichen Kennung (SIP-Public-ID) im Dienstnetz (IMS) ein erfolgreiches Registrieren erkannt wird und/oder der angeforderte Kommunikationsdienst ausge- führt wird, und
- bei Nicht-Verifizierung der Anmelde-IP-Adresse im Zugangs- netzknoten (GGSN) und/oder der der Anmelde-IP-Adresse (IP- SRC-UE) zugeordneten öffentlichen Kennung (SIP-Public-ID) im Dienstnetz (IMS) ein erfolgloses Registrieren erkannt wird und/oder eine Ausführung des angeforderten Kommunikationsdienstes verweigert wird.
2. Verfahren nach Anspruch 1 , d a d u r c h g e k e n n z e i c h n e t , dass zusätzlich zur Verifizierung der Anmelde-IP-Adresse (IP-SRC- UE) und der der Anmelde-IP-Adressse zugeordneten öffentlichen Kennung (SIP-Public-ID) eine Verifizierung einer privaten
Kennung (SIP-Private-ID) des Kommunikationsendgerätes durchgeführt wird und nur bei erfolgreicher Verifizierung der Anmelde-IP-Adresse, der der Anmelde-IP-Adresse zugeordneten öffentlichen Kennung (SIP-Public-ID) und der privaten Kennung (SIP-Private-ID) ein erfolgreiches Registrieren erkannt wird und/oder der angeforderte Kommunikationsdienst ausgeführt wird.
3. Verfahren nach Anspruch 1 oder 2 , d a d u r c h g e k e n n z e i c h n e t , dass
- die Verifizierung der der Anmelde-IP-Adresse zugeordneten öffentlichen Kennung (SID-Public-ID) von einer Vermittlungsstelle (S-CSCF) des Dienstnetzes (IMS) vorgenommen wird.
4. Verfahren nach einem der Ansprüche 2 oder 3, d a d u r c h g e k e n n z e i c h n e t , dass
- die Verifizierung der privaten Kennung (SID-Private-ID) von einer Vermittlungsstelle (S-CSCF) des Dienstnetzes
(IMS) vorgenommen wird.
5. Verfahren nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , dass
- durch eine Vermittlungsstelle (S-CSCF) des Dienstnetzes
(IMS) bei erfolgreicher Verifizierung der Anmelde-IP-Ad- resse (IP-SRC-UE) im Zugangsnetzknoten (GGSN) und der der Anmelde-IP-Adresse zugeordneten öffentlichen Kennung im Dienstnetz eine Registrierung des Kommunikationsendgerätes in dem Dienstnetz (IMS) und/oder eine Ausführung des angeforderten Dienstes veranlasst wird, und durch die Vermittlungsstelle (S-CSCF) bei Nicht-Verifizierung der Anmelde-IP-Adresse (IP-SRC-UE) im Zugangsnetzknoten (GGSN) und/oder der der Anmelde-IP-Adresse zugeordneten öffentlichen Kennung (SIP-Public-ID) eine Registrierung und/oder eine Ausführung des angeforderten Dienstes verweigert wird.
PCT/DE2002/003061 2002-08-16 2002-08-16 Verfahren zum authentifizieren eines nutzers eines kommunikationsendgeräts beim registrieren in einem und bei nutzung von einem dienstnetz WO2004019641A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
PCT/DE2002/003061 WO2004019641A1 (de) 2002-08-16 2002-08-16 Verfahren zum authentifizieren eines nutzers eines kommunikationsendgeräts beim registrieren in einem und bei nutzung von einem dienstnetz
AU2002336038A AU2002336038A1 (en) 2002-08-16 2002-08-16 Method for authenticating a user of a communication terminal during registration in a service network and during use of the same
DE10297809T DE10297809D2 (de) 2002-08-16 2002-08-16 Verfahren zum Authentifizieren eines Nutzers eines Kommunikationsendgeräts beim Registrieren in einem und bei Nutzung von einem Dienstnetz

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/DE2002/003061 WO2004019641A1 (de) 2002-08-16 2002-08-16 Verfahren zum authentifizieren eines nutzers eines kommunikationsendgeräts beim registrieren in einem und bei nutzung von einem dienstnetz

Publications (1)

Publication Number Publication Date
WO2004019641A1 true WO2004019641A1 (de) 2004-03-04

Family

ID=31892775

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2002/003061 WO2004019641A1 (de) 2002-08-16 2002-08-16 Verfahren zum authentifizieren eines nutzers eines kommunikationsendgeräts beim registrieren in einem und bei nutzung von einem dienstnetz

Country Status (3)

Country Link
AU (1) AU2002336038A1 (de)
DE (1) DE10297809D2 (de)
WO (1) WO2004019641A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005015875A1 (en) * 2003-07-31 2005-02-17 T-Mobile Deutschland Gmbh Transparent access authentication in gprs core networks
WO2006072219A1 (fr) * 2005-01-07 2006-07-13 Huawei Technologies Co., Ltd. Systeme d'authentification d'un reseau de sous-systeme multimedia ip et procede associe
CN100428848C (zh) * 2005-05-31 2008-10-22 华为技术有限公司 一种对终端用户标识模块进行ip多媒体域鉴权的方法
CN111062010A (zh) * 2019-11-08 2020-04-24 支付宝(杭州)信息技术有限公司 一种身份验证方法、装置及设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002032165A1 (en) * 2000-10-09 2002-04-18 Nokia Corporation Method and system for establishing a connection between network elements

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002032165A1 (en) * 2000-10-09 2002-04-18 Nokia Corporation Method and system for establishing a connection between network elements

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
"Digital cellular telecommunications system (Phase 2+); Universal Mobile Telecommunications System (UMTS); Interworking between the Public Land Mobile Network (PLMN) supporting Packet based services and Packet Data Networks (PDN) (3GPP TS 29.061 version 5.2.1 Release 5)", ETSI TS 129 061, 1 July 2002 (2002-07-01), pages 1 - 71, XP002235160 *
"Digital cellular telecommunications system (Phase 2+); Universal Mobile Telecommunications System (UMTS); Signalling flows for the IP multimedia call control based on SIP and SDP; Stage 3 (3GPP TS 24.228 version 5.1.0 Release 5)", ETSI TS 124 228, 1 June 2002 (2002-06-01), pages 1 - 690, XP002235159 *
"Digital cellular telecommunicationss system (Phase 2+); Universal Mobile Telecommunications System (UMTS); General Packet Radio Service (GPRS) Service description; Stage 2 (3GPP TS 23.060 version 5.2.0 Release 5)", ETSI TS 123060, 1 June 2002 (2002-06-01), 1-203, XP002235158 *
"Universal Mobile telecommunications system (UMTS); IP Multimedia Subsystem (IMS); Stage 2 (3GPP TS 23.228 version 5.4.1 Release 5)", ETSI TS 123 228 V5.4.1, XX, XX, April 2002 (2002-04-01), pages 1 - 149, XP002223358 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005015875A1 (en) * 2003-07-31 2005-02-17 T-Mobile Deutschland Gmbh Transparent access authentication in gprs core networks
US7770216B2 (en) 2003-07-31 2010-08-03 T-Mobile Deutschland Gmbh Transparent access authentication in GPRS core networks
WO2006072219A1 (fr) * 2005-01-07 2006-07-13 Huawei Technologies Co., Ltd. Systeme d'authentification d'un reseau de sous-systeme multimedia ip et procede associe
CN100428848C (zh) * 2005-05-31 2008-10-22 华为技术有限公司 一种对终端用户标识模块进行ip多媒体域鉴权的方法
US8027666B2 (en) 2005-05-31 2011-09-27 Huawei Technologies Co., Ltd. Method and system for authenticating terminal subscriber identity module in IP multimedia domain
CN111062010A (zh) * 2019-11-08 2020-04-24 支付宝(杭州)信息技术有限公司 一种身份验证方法、装置及设备
CN111062010B (zh) * 2019-11-08 2022-04-22 支付宝(杭州)信息技术有限公司 一种身份验证方法、装置及设备

Also Published As

Publication number Publication date
AU2002336038A1 (en) 2004-03-11
DE10297809D2 (de) 2005-07-07

Similar Documents

Publication Publication Date Title
EP1365620B1 (de) Verfahren zum Registrieren eines Kommunikationsendgeräts in einem Dienstnetz (IMS)
WO2004019640A1 (de) Verfahren zum identifizieren eines kommunikationsendgeräts
DE19722424C5 (de) Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System
DE60313445T2 (de) Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang
DE60206634T2 (de) Verfahren und System zur Authentifizierung von Benutzern in einem Telekommunikationssystem
EP2014047B1 (de) Vereinfachtes verfahren zur ims registrierung bei notrufen
DE102012103106A1 (de) Verfahren zum Authentifizieren eines Nutzers an einem Dienst auf einem Diensteserver, Applikation und System
DE202008018306U1 (de) Netzsystem zur Ausführung einer Anwenderregistrierung
WO2005084058A1 (de) Verfahren zur steuerung und auswertung eines nachrichtenverkehrs einer kommunikationseinheit durch eine erste netzwerkeinheit innerhalb eines mobilfunksystems, dazugehörige kommunikationseinheit und erste netzwerkeinheit
EP3799379B1 (de) Verfahren und ip-basiertes kommunikationssystem zum wechseln von verbindungs-steuerungsinstanzen ohne neuregistrierung von endteilnehmern
DE602004008293T2 (de) Transparente Zugangsauthentifikation in GPRS-Kern-Netzwerken
EP1673921A1 (de) Verfahren zur sicherung des datenverkehrs zwischen einem mobilfunknetz und einem ims-netz
WO2004019641A1 (de) Verfahren zum authentifizieren eines nutzers eines kommunikationsendgeräts beim registrieren in einem und bei nutzung von einem dienstnetz
DE10025270C2 (de) Verfahren und System zum Anmelden einer Teilnehmer-Station an der Paketdienst-Dienstezustands-Steuerfunktion CSCF in einem Kommunikationssystem
EP2031832B1 (de) Verfahren zur bereitstellung und aktivierung eines persönlichen netzwerks
DE10238928B4 (de) Verfahren zur Authentifizierung eines Nutzers eines Kommunikationsendgerätes bei Nutzung eines Dienstnetzes
WO2008058841A2 (de) Bootstrapping-verfahren
WO2006079298A1 (de) Mobilfunknetz, verfahren zum betreiben eines endgerätes in einem solchen und endgerät mit integrierten elektronischen schaltungsanordnungen zur speicherung von das endgerät identifizierenden parametern
DE102022001848B3 (de) Verfahren zum nutzerbezogenen Einrichten eines Endgerätes
DE10225784A1 (de) Verfahren und Vorrichtungen zum Aufbau einer Kommunikationsverbindung zwischen einer Zentrale und einem Endgerät
WO2009039866A1 (de) Zugangskontrolle für beispielsweise einem webserver mittels einer durch den benutzer initiierten telefon kommunikationsverbindung
EP3058696B1 (de) Verfahren zur automatischen authentifizierung eines benutzers gegenüber einem elektronischen netzwerkdienst
EP1985086B1 (de) Verfahren zur übermittlung von daten in einem kommunikationsnetz
DE10356091A1 (de) Verfahren zur Sicherung des Datenverkehrs zwischen einem Mobilfunknetz und einem IMS-Netz
DE102005055147A1 (de) Verfahren zum Aufbau zumindest einer geschützten Datenverbindung nach einem Wechsel des Zugangsnetzes in einem mobilen Kommunikationssystem

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ OM PH PL PT RO RU SD SE SG SI SK SL TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LU MC NL PT SE SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
REF Corresponds to

Ref document number: 10297809

Country of ref document: DE

Date of ref document: 20050707

Kind code of ref document: P

WWE Wipo information: entry into national phase

Ref document number: 10297809

Country of ref document: DE

122 Ep: pct application non-entry in european phase
NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Ref document number: JP