專利名稱:用于在訪問多媒體服務(wù)時(shí)驗(yàn)證用戶的設(shè)備及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于驗(yàn)證通過在其中用戶已經(jīng)被驗(yàn)證的接入網(wǎng)來訪問多媒體網(wǎng)絡(luò)的用戶的簡化程序。
背景許多當(dāng)前存在的移動(dòng)網(wǎng)以及由標(biāo)準(zhǔn)化團(tuán)體定義的可能的未來網(wǎng)絡(luò)要求終端用戶和用戶代理在訪問網(wǎng)絡(luò)時(shí)����,更合適地說,在訪問與網(wǎng)絡(luò)關(guān)聯(lián)的服務(wù)時(shí)驗(yàn)證其自身���。在這方面����,如3GPP和3GPP2標(biāo)準(zhǔn)所定義的GSM�����、GPRS�����、無線局域網(wǎng)(WLAN)和多媒體(IMS)域都要求用戶的設(shè)備或終端被設(shè)置成在允許用戶或用戶代理對所述域進(jìn)行訪問之前運(yùn)行各具體技術(shù)域特定的驗(yàn)證程序����。特別是,上述技術(shù)域以及其它新興的技術(shù)域要求不同的安全等級(jí)�����,使得貫穿不同技術(shù)域的訪問更為復(fù)雜。這種訪問貫穿意味著不一定始終需要的額外安全性��,因而意味著額外的處理和信令能力以及用戶設(shè)備或終端中的額外復(fù)雜度�。目前,3GPP多媒體域中的驗(yàn)證過程按照3G TS 33.203標(biāo)準(zhǔn)所述以及
圖1中所示�����、根據(jù)基于會(huì)話發(fā)起協(xié)議(SIP)的信令流來執(zhí)行����。如圖1所示以及引用的技術(shù)規(guī)范所述,總是當(dāng)用戶在多媒體域中注冊時(shí)會(huì)執(zhí)行多媒體驗(yàn)證���,通常是通過發(fā)送給定保密和公開身份的SIP Register(SIP注冊)消息開始�����。在開始以上所述流程之前假定的初始條件是��,終端用戶必須在訪問多媒體域之前讓數(shù)據(jù)連接開通��。這個(gè)連接依據(jù)激活了PDP上下文可能是GPRS連接����,或者依據(jù)如IEEE 802.11標(biāo)準(zhǔn)規(guī)定的建立了數(shù)據(jù)連接可能是WLAN連接,或者另一個(gè)接入網(wǎng)為用戶側(cè)提供數(shù)據(jù)連接����。在這種情況中�����,終端用戶或用戶代理已經(jīng)通過無論是GPRS或WLAN還是另一個(gè)的接入網(wǎng)驗(yàn)證��,以便建立這種數(shù)據(jù)連接并且在向多媒體域發(fā)送SIPRegister之前�。具體來說,當(dāng)前使用的接入網(wǎng)�����、即GPRS以及WLAN提供各自的驗(yàn)證機(jī)制����,即用于GPRS的SIM/USIM-AKA以及用于WLAN的EAP-SIM/AKA,而多媒體域當(dāng)前利用提供與上述接入網(wǎng)類似的安全等級(jí)的驗(yàn)證機(jī)制��,即所謂的USIM-AKA����,它在SIP Register消息到達(dá)在服務(wù)呼叫狀態(tài)控制功能(S-CSCF)實(shí)體時(shí)被執(zhí)行���,如圖1所示。在這方面�,圖2說明對于已經(jīng)訪問其中RADIUS和MAP似乎是最可能的協(xié)議備選方案、但是DIAMETER也可用于取代RADIUS或MAP的WLAN網(wǎng)絡(luò)的用戶執(zhí)行EAP AKA驗(yàn)證要遵從的動(dòng)作序列����。目前,希望得到多媒體域的訪問權(quán)的用戶需要預(yù)先建立數(shù)據(jù)連接�,這常通過諸如GPRS或WLAN之類的接入網(wǎng)來執(zhí)行,因此���,首先采用WLAN接入網(wǎng)的EAP-SIM/AKA驗(yàn)證用戶�����,其次在用戶注冊到多媒體域時(shí)應(yīng)當(dāng)采用USIM-AKA對其進(jìn)一步驗(yàn)證�����?�?梢酝茢啵壳皼]有在諸如GPRS或WLAN之類的接入網(wǎng)與基于SIP的多媒體域之間對給定用戶執(zhí)行跨域驗(yàn)證的驗(yàn)證機(jī)制。換言之,不存在能夠代表用戶或SIP用戶代理來管理驗(yàn)證數(shù)據(jù)、并且一旦在用戶通過其進(jìn)行訪問的接入網(wǎng)中已經(jīng)發(fā)生驗(yàn)證時(shí)、使所述用戶或SIP用戶代理無需在多媒體域中執(zhí)行驗(yàn)證操作的現(xiàn)有服務(wù)或裝置,所述接入網(wǎng)可能是GPRS或WLAN。在這種情況中,如3G TS 33.203所述及圖1所示的多媒體域的驗(yàn)證在無線電路徑中添加額外信令,這在一些情況下可能不必要���。首先,在SIP Register由S-SCSF接收后��,S-SCSF通常向SIP用戶代理發(fā)送Authentication Challenge(驗(yàn)證查詢)消息���。如果這個(gè)操作成功,則S-CSCF將定期向SIP用戶代理發(fā)送Authentication-Vector-request(驗(yàn)證向量請求)�����,SIP用戶代理又必須以Authentication-Vector-response(驗(yàn)證向量響應(yīng))進(jìn)行響應(yīng)�。這兩種消息對多媒體域增加額外負(fù)荷以及更長的注冊時(shí)間。也就是說��,SIP用戶代理應(yīng)當(dāng)處理及響應(yīng)Authentication-Challenge和Authentication-Vector-request����。這些消息要求SIP用戶代理進(jìn)行的額外處理�����,這意味著SIP用戶代理必須利用這個(gè)過程的功率而不是利用像可能具有高功耗性質(zhì)的多媒體服務(wù)那么多的功率�����,并且記住電池的有限電力����。因此��,本發(fā)明的目的在于提供在接入網(wǎng)域與多媒體域之間為給定用戶執(zhí)行跨域驗(yàn)證的域間驗(yàn)證機(jī)制����,這種域間驗(yàn)證機(jī)制比現(xiàn)有機(jī)制簡單�����,并且在用戶驗(yàn)證已經(jīng)由接入網(wǎng)執(zhí)行的情況中適用�。
發(fā)明內(nèi)容
根據(jù)本發(fā)明,通過提供全部設(shè)置用于在不同網(wǎng)絡(luò)之間或者在不同技術(shù)域之間再用驗(yàn)證數(shù)據(jù)的權(quán)利要求1的裝置�����、權(quán)利要求10的用戶設(shè)備以及權(quán)利要求15的方法,并且借助于均為根據(jù)3GPP和3GPP2標(biāo)準(zhǔn)的多媒體域的實(shí)體的權(quán)利要求23的負(fù)責(zé)在多媒體域中驗(yàn)證用戶的在服務(wù)實(shí)體以及權(quán)利要求29的代理實(shí)體和權(quán)利要求32的詢問實(shí)體�����,來實(shí)現(xiàn)上述目的����。因此,根據(jù)本發(fā)明提供一種新特征���,以下稱作“多媒體域的隱式驗(yàn)證”��,它可實(shí)現(xiàn)為與訂戶服務(wù)器密切配合或者完全集成在所述訂戶服務(wù)器中的專用多媒體驗(yàn)證裝置�。所述訂戶服務(wù)器是在訂戶驗(yàn)證過程中涉及的訂戶數(shù)據(jù)庫�,例如歸屬訂戶服務(wù)器(HSS)或者驗(yàn)證-授權(quán)-記帳(AAA)服務(wù)器,以及多媒體驗(yàn)證裝置具有必要的邏輯和組件�,以便允許諸如無線局域網(wǎng)(WLAN)、通用分組無線電系統(tǒng)(GPRS)網(wǎng)絡(luò)���、通用移動(dòng)電信系統(tǒng)(UMTS)或者碼分多址(CDMA2000)網(wǎng)絡(luò)之類的接入網(wǎng)與所述多媒體域之間的驗(yàn)證數(shù)據(jù)的再用���。
根據(jù)本發(fā)明對于通過接入網(wǎng)訪問多媒體域的用戶的多媒體驗(yàn)證是有用的裝置被設(shè)置成在保存用戶的驗(yàn)證數(shù)據(jù)并且可由多媒體域訪問的接入網(wǎng)的訂戶服務(wù)器中使用或者與其配合。所述裝置包括用于判定用戶或者準(zhǔn)確地說是用戶設(shè)備與多媒體域之間的隱式驗(yàn)證可進(jìn)行的部件;以及用于指示負(fù)責(zé)在多媒體域中驗(yàn)證用戶的在服務(wù)實(shí)體可進(jìn)行隱式驗(yàn)證���。這種裝置的使用因而省略對于顯式驗(yàn)證的需要��。
在這種裝置中�,用于判定可進(jìn)行隱式驗(yàn)證的部件最好是包括用于確定通過所述接入網(wǎng)訪問多媒體域的信令路徑的潛在安全性的部件�����。為此��,裝置可能還包括設(shè)置成評估不同信令路徑的安全性的提供和配置數(shù)據(jù)部件��。此外���,用于判定可進(jìn)行隱式驗(yàn)證的部件可包括用于處理源自用戶設(shè)備的隱式驗(yàn)證的建議的部件����。
裝置有利地設(shè)置成確定隱式驗(yàn)證是否只是對可能強(qiáng)迫顯式驗(yàn)證的用戶設(shè)備的建議����,或者是網(wǎng)絡(luò)采取的最終決定���,使得不可執(zhí)行顯式驗(yàn)證�����。因此��,用于指示在服務(wù)實(shí)體可進(jìn)行隱式驗(yàn)證的部件包括用于表明最終判定是在用戶設(shè)備上的部件以及用于表明這是由網(wǎng)絡(luò)采取的最終判定的部件�。
在這個(gè)方面,裝置還包括用于通知用戶訪問多媒體域的用戶的隱式驗(yàn)證可由網(wǎng)絡(luò)執(zhí)行的部件���。然而����,這種通知部件也可能駐留在多媒體域的其它實(shí)體中����。
此外,假定對于是否執(zhí)行隱式驗(yàn)證的最終判定根據(jù)本發(fā)明可在用戶設(shè)備側(cè)����,所述裝置還包括用于接收源自用戶設(shè)備側(cè)的指示以便確認(rèn)網(wǎng)絡(luò)提出的隱式驗(yàn)證的接受的部件。在接收這種接受確認(rèn)的情況中����,裝置還包括用于向負(fù)責(zé)在多媒體域中驗(yàn)證用戶的在服務(wù)實(shí)體表明用戶設(shè)備已經(jīng)確認(rèn)隱式驗(yàn)證的部件����。裝置還可具有用于向所述在服務(wù)實(shí)體提供附加驗(yàn)證數(shù)據(jù)的部件���,所述附加驗(yàn)證數(shù)據(jù)包括從包括以下各項(xiàng)的元素組中選取的至少一個(gè)元素驗(yàn)證類型�;訪問信息�����;以及驗(yàn)證時(shí)標(biāo)�����。
按照傳統(tǒng)方式����,使用戶設(shè)備能夠得到通過接入網(wǎng)對多媒體域的訪問權(quán),因而設(shè)置成對于接入網(wǎng)執(zhí)行第一顯式驗(yàn)證過程以及對于多媒體域執(zhí)行第二顯式驗(yàn)證過程�。接入網(wǎng)包括訂戶服務(wù)器以便保存用戶的驗(yàn)證數(shù)據(jù),以及為了本發(fā)明����,所述訂戶服務(wù)器是多媒體域可訪問的��。根據(jù)本發(fā)明,用戶設(shè)備包括用于處理從包括以下各項(xiàng)的通知的組中選取的至少一個(gè)通知的部件來自多媒體域的通知����,表明可執(zhí)行用戶的隱式驗(yàn)證;以及送往多媒體域的通知�,表明用戶設(shè)備向網(wǎng)絡(luò)建議隱式驗(yàn)證。
這種部件可有利地包括用于從多媒體域接收最終判定在可能強(qiáng)迫顯式驗(yàn)證的用戶設(shè)備側(cè)或者它是網(wǎng)絡(luò)采取的最終判定的指示���、使得不可執(zhí)行顯式驗(yàn)證的部件��。特別是設(shè)置用于最終判定在用戶側(cè)的情況�����,用戶設(shè)備還包括用于向多媒體域發(fā)送確認(rèn)網(wǎng)絡(luò)所提出的隱式驗(yàn)證的接受的指示的部件��。此外��,用戶設(shè)備可具有用于向多媒體域提供附加驗(yàn)證數(shù)據(jù)的部件��,所述附加驗(yàn)證數(shù)據(jù)包括從包括以下各項(xiàng)的元素組中選取的至少一個(gè)元素驗(yàn)證類型���;訪問信息;以及驗(yàn)證時(shí)標(biāo)��。
還提供一種用于在多媒體域中當(dāng)用戶通過接入網(wǎng)對其訪問時(shí)驗(yàn)證用戶的方法,該方法傳統(tǒng)上包括在接入網(wǎng)中驗(yàn)證用戶的步驟�,所述接入網(wǎng)具有包含用戶的驗(yàn)證數(shù)據(jù)并且是多媒體域可訪問的訂戶服務(wù)器;以及把用戶注冊到多媒體域中的步驟����。
根據(jù)本發(fā)明,這種方法還包括-判定用戶與多媒體域之間的隱式驗(yàn)證可進(jìn)行���、因而省略對顯式驗(yàn)證的需要的步驟����;以及-指示負(fù)責(zé)在多媒體域中驗(yàn)證用戶的在服務(wù)實(shí)體可進(jìn)行隱式驗(yàn)證的步驟�����。
這種方法還可包括從多媒體域向用戶設(shè)備通知訪問多媒體域的用戶的隱式驗(yàn)證可被執(zhí)行的步驟���。
在這種方法中�����,判定可進(jìn)行隱式驗(yàn)證的步驟最好是包括確定通過所述接入網(wǎng)訪問多媒體域的信令路徑的潛在安全性的步驟�。此外�����,判定可進(jìn)行隱式驗(yàn)證的上述步驟還可包括從用戶設(shè)備向多媒體域建議要在所述用戶設(shè)備與多媒體域之間執(zhí)行隱式驗(yàn)證的步驟����。
另外在這種方法中,指示在服務(wù)實(shí)體可進(jìn)行隱式驗(yàn)證的步驟最好是包括表明最終判定是在可能強(qiáng)迫顯式驗(yàn)證的用戶設(shè)備上還是最終判定由網(wǎng)絡(luò)采取�、使得不可執(zhí)行顯式驗(yàn)證的步驟。另外���,特別是對于最終判定在用戶側(cè)的情況����,該方法還可包括從用戶設(shè)備確認(rèn)網(wǎng)絡(luò)所提出的隱式驗(yàn)證的接受的步驟�����。此外并且與上述步驟結(jié)合���,該方法還可包括向負(fù)責(zé)在多媒體域中驗(yàn)證用戶的在服務(wù)實(shí)體表明用戶已經(jīng)確認(rèn)隱式驗(yàn)證的步驟����。
本發(fā)明還提供負(fù)責(zé)在多媒體域中當(dāng)用戶通過先前已經(jīng)驗(yàn)證所述用戶的接入網(wǎng)對多媒體域訪問時(shí)驗(yàn)證用戶設(shè)備的在服務(wù)實(shí)體�����。根據(jù)本發(fā)明,這種在服務(wù)實(shí)體包括用于從上述裝置接收表明可進(jìn)行隱式驗(yàn)證的指示的部件��;以及用于通知用戶設(shè)備訪問多媒體域的用戶的隱式驗(yàn)證可由網(wǎng)絡(luò)來執(zhí)行的部件��。
這種在服務(wù)實(shí)體有利地以下列方式設(shè)置用于通知用戶隱式驗(yàn)證可由網(wǎng)絡(luò)來執(zhí)行的部件包括用于向用戶表明隱式驗(yàn)證是否是網(wǎng)絡(luò)采取的最終判定并且不可執(zhí)行顯式驗(yàn)證����、或者隱式驗(yàn)證是來自網(wǎng)絡(luò)的、用戶可能接受或者通過強(qiáng)迫顯式驗(yàn)證拒絕的建議的部件����。
在隱式驗(yàn)證是網(wǎng)絡(luò)的建議的情況中,在服務(wù)實(shí)體有利地包括用于接收源自用戶設(shè)備����、確認(rèn)網(wǎng)絡(luò)提出的這種隱式驗(yàn)證的接受的指示的部件。此外�,這種在服務(wù)實(shí)體最好是包括用于從上述裝置接收用戶已經(jīng)確認(rèn)隱式驗(yàn)證的這種指示的部件。
這種在服務(wù)實(shí)體可有利地包括用于檢查分別從上述裝置和用戶設(shè)備接收的附加驗(yàn)證數(shù)據(jù)的匹配���、以便提供額外安全性支持的其它部件�。這些附加驗(yàn)證數(shù)據(jù)包括包含以下各項(xiàng)的元素組中的至少一個(gè)元素驗(yàn)證類型;訪問信息�����;以及驗(yàn)證時(shí)標(biāo)����。
本發(fā)明還通過提供其它一些實(shí)體�、如代理和詢問實(shí)體以便針對遵循3GPP或3GPP2標(biāo)準(zhǔn)的典型拓?fù)鋪硌a(bǔ)充。
根據(jù)3GPP和3GPP2標(biāo)準(zhǔn)�,代理實(shí)體意在用作用戶通過已經(jīng)對用戶進(jìn)行驗(yàn)證的接入網(wǎng)訪問的多媒體域的入口點(diǎn)。根據(jù)本發(fā)明�,這種代理實(shí)體包括用于處理從包括以下各項(xiàng)的通知的組中選取的至少一個(gè)通知的部件-向用戶設(shè)備發(fā)送以表明訪問多媒體域的用戶的隱式驗(yàn)證可由網(wǎng)絡(luò)來執(zhí)行的通知;以及-從用戶設(shè)備接收以向多媒體域提出所述用戶設(shè)備與多媒體域之間的隱式驗(yàn)證的通知���。
這種代理實(shí)體還經(jīng)過有利地設(shè)置�����,使得用于通知用戶隱式驗(yàn)證可由網(wǎng)絡(luò)來執(zhí)行的部件包括用于向用戶表明隱式驗(yàn)證是網(wǎng)絡(luò)采取的最終判定并且不可執(zhí)行顯式驗(yàn)證����、還是隱式驗(yàn)證是來自網(wǎng)絡(luò)的用戶可能接受或者通過強(qiáng)迫顯式驗(yàn)證拒絕的建議的部件���。
在隱式驗(yàn)證是網(wǎng)絡(luò)建議的情況中��,代理實(shí)體有利地包括用于從用戶設(shè)備接收接受網(wǎng)絡(luò)提出的這種隱式驗(yàn)證的指示的部件��。
根據(jù)3GPP和3GPP2標(biāo)準(zhǔn)�,詢問實(shí)體用來查詢多媒體域中的訂戶服務(wù)器關(guān)于用戶已經(jīng)通過另一個(gè)接入網(wǎng)訪問所述多媒體域。這種詢問實(shí)體包括用于從用戶接收注冊請求的部件��;以及用于向用戶確認(rèn)這種注冊的部件���,以及根據(jù)本發(fā)明��,詢問實(shí)體還包括用于向用戶設(shè)備傳送訪問多媒體域的用戶的隱式驗(yàn)證可被執(zhí)行的指示的部件���。
為了實(shí)現(xiàn)本發(fā)明提供的其它有利特征,詢問實(shí)體最好是包括用于接收源自用戶設(shè)備的�����、確認(rèn)網(wǎng)絡(luò)提出的隱式驗(yàn)證的接受或者其本身提出這種隱式驗(yàn)證的指示的部件����;以及用于向從包括上述裝置和在服務(wù)實(shí)體的實(shí)體組中選取的至少一個(gè)實(shí)體傳送用戶接受的這種確認(rèn)的部件。
此外以及為了實(shí)現(xiàn)本發(fā)明提供的其它有利特征�����,詢問實(shí)體還包括用于向用戶設(shè)備傳送隱式驗(yàn)證是網(wǎng)絡(luò)采取的最終判定并且不可執(zhí)行顯式驗(yàn)證的指示的部件。
附圖概述 通過結(jié)合附圖閱讀本說明�,本發(fā)明的特征、目的和優(yōu)點(diǎn)將變得明顯��,其中 圖1說明根據(jù)3GPP TS 33.203在多媒體域中的驗(yàn)證流程的基本示意圖�。
圖2說明在通過WLAN接入網(wǎng)、遵循EAP-AKA機(jī)制的用戶的驗(yàn)證過程中的體系結(jié)構(gòu)組件和信令流的概覽����。
圖3說明流序列����,描述用于再用已經(jīng)通過GPRS或UMTS網(wǎng)絡(luò)訪問多媒體域的用戶的先前驗(yàn)證的當(dāng)前優(yōu)選實(shí)施例,其中�����,用戶設(shè)備接收這方面的通知并被提供接受或不接受隱式驗(yàn)證的可能性��。
圖4說明流序列�����,描述圖3所示實(shí)施例的備選實(shí)施例,在其中���,用戶設(shè)備接收這方面的通知�����,并且沒有被提供接受或不接受隱式驗(yàn)證的可能性�,而是收到關(guān)于已經(jīng)發(fā)生這種隱式驗(yàn)證的通知�����。
圖5說明備選流序列��,描述圖3和圖4所示實(shí)施例的備選實(shí)施例�����,在其中�����,用戶設(shè)備在定位過程中接收對多媒體域進(jìn)一步執(zhí)行隱式驗(yàn)證的邀請�����,因而對用戶提供接受或不接受隱式驗(yàn)證的可能性。
圖6說明對圖5所示實(shí)施例的備選流序列�,在其中,用戶設(shè)備通過短消息業(yè)務(wù)(SMS)接收對多媒體域進(jìn)一步執(zhí)行隱式驗(yàn)證的邀請�����,因而對用戶提供接受或不接受隱式驗(yàn)證的可能性����。
圖7說明流序列,描述用于再用已經(jīng)通過WLAN網(wǎng)絡(luò)訪問多媒體域的用戶的先前驗(yàn)證的當(dāng)前優(yōu)選實(shí)施例�,在其中,用戶設(shè)備接收這方面的通知并被提供接受或不接受隱式驗(yàn)證的可能性�。
圖8說明流序列���,描述用于由CDMA 2000網(wǎng)絡(luò)再用用戶的先前驗(yàn)證的另一個(gè)優(yōu)選實(shí)施例�����,用戶通過分組數(shù)據(jù)業(yè)務(wù)網(wǎng)絡(luò)訪問多媒體域����,在其中�����,用戶設(shè)備接收這方面的通知并被提供接受或不接受隱式驗(yàn)證的可能性。
圖9說明對圖5和圖6所示的那些實(shí)施例的備選流序列����,在其中,用戶設(shè)備不分別通過Update Location Answer(更新位置應(yīng)答)消息或者通過短消息業(yè)務(wù)(SMS)接收邀請以便進(jìn)一步執(zhí)行隱式驗(yàn)證��,而是用戶設(shè)備向網(wǎng)絡(luò)產(chǎn)生隱式驗(yàn)證的建議�。
優(yōu)選實(shí)施例的詳細(xì)說明 下面描述用于為用戶提供在通過已經(jīng)對用戶進(jìn)行驗(yàn)證的接入網(wǎng)進(jìn)行訪問時(shí)由多媒體域隱式驗(yàn)證的可能性的設(shè)備、用戶設(shè)備及方法的當(dāng)前優(yōu)選實(shí)施例���。接入網(wǎng)最好是無線局域網(wǎng)(WLAN)���、通用分組無線電系統(tǒng)(GPRS)網(wǎng)絡(luò)、全球移動(dòng)通信系統(tǒng)(GSM)網(wǎng)絡(luò)��、通用移動(dòng)電信系統(tǒng)(UMTS)網(wǎng)絡(luò)或者碼分多址網(wǎng)絡(luò)(CDMA 2000)��。
本發(fā)明提供與具體可由密切配合訂戶服務(wù)器的獨(dú)立裝置來執(zhí)行或者由訂戶服務(wù)器本身來執(zhí)行的特征“多媒體域的隱式驗(yàn)證”駐留的位置有關(guān)的若干方面����。
此外,本發(fā)明還提供與用戶設(shè)備�����、即用戶終端或SIM或USIM或者其組合有關(guān)的若干方面,取決于判定度是保留在用戶側(cè)還是保留在網(wǎng)絡(luò)側(cè)�。
根據(jù)本發(fā)明的第一方面,具體可能是3GPP中的HSS或者3GPP2標(biāo)準(zhǔn)和CDMA 2000網(wǎng)絡(luò)中的AAA服務(wù)器的訂戶服務(wù)器本身或者為特定用戶支持對多媒體域的訪問的多媒體驗(yàn)證裝置根據(jù)用戶通過其中進(jìn)行訪問的接入網(wǎng)所執(zhí)行的先前訂戶驗(yàn)證�,以及根據(jù)多媒體信令的安全承載通過接入網(wǎng)來執(zhí)行的假設(shè),來確定多媒體域的顯式驗(yàn)證可能是不必要的����。這種安全承載可能是例如在執(zhí)行訂戶驗(yàn)證時(shí)GPRS作為接入網(wǎng)的情況中的PDP上下文或者WLAN作為對于歸屬網(wǎng)絡(luò)的接入網(wǎng)的情況中的安全隧道。
根據(jù)本發(fā)明�����,訂戶服務(wù)器或者專用多媒體驗(yàn)證裝置向負(fù)責(zé)驗(yàn)證用戶的在服務(wù)實(shí)體��、即在服務(wù)呼叫狀態(tài)控制功能(S-CSCF)提供表明可根據(jù)通過接入網(wǎng)的先前承載驗(yàn)證對訪問多媒體域的所述用戶執(zhí)行隱式驗(yàn)證過程的驗(yàn)證策略��。
除了由用戶正訪問的網(wǎng)絡(luò)對用戶進(jìn)行驗(yàn)證之外�����,3GPP驗(yàn)證過程還支持由用戶對網(wǎng)絡(luò)的驗(yàn)證�。因此�,根據(jù)本發(fā)明的另一個(gè)方面����,訂戶服務(wù)器或?qū)S枚嗝襟w驗(yàn)證裝置能夠可選地向用戶設(shè)備表明另一個(gè)驗(yàn)證策略�,以便建議用戶可能或者可能不接受的一種可能的相互隱式驗(yàn)證。
由于“多媒體域的隱式驗(yàn)證”特征�����,減少了由用戶或者由用戶設(shè)備以及由網(wǎng)絡(luò)執(zhí)行的驗(yàn)證操作的量����,因而實(shí)現(xiàn)多媒體域中的可避免信令消息的減少,同時(shí)保持所需安全等級(jí)���,從而實(shí)現(xiàn)本發(fā)明的一個(gè)目的���。
本發(fā)明適用于不同情況,在其中��,用戶利用特定的接入網(wǎng)來訪問多媒體域��,從而產(chǎn)生本發(fā)明的不同實(shí)施例���。另外�,可從一個(gè)實(shí)施例到另一個(gè)實(shí)施例引入若干變更,而沒有實(shí)質(zhì)上背離本發(fā)明的范圍����。
出現(xiàn)第一種情況,其中��,用戶由UMTS網(wǎng)絡(luò)進(jìn)行了驗(yàn)證�����,并且還通過GPRS網(wǎng)絡(luò)訪問多媒體域��。
在這種情況下��,根據(jù)圖3所示的本發(fā)明的第一實(shí)施例���,提供一種用于在多媒體域中驗(yàn)證用戶的簡化機(jī)制����,其中�,通知用戶關(guān)于可能的隱式驗(yàn)證。用戶��、確切地說是用戶設(shè)備側(cè)(UE)在收到這個(gè)通知時(shí)可能接受隱式驗(yàn)證�����,或者根據(jù)多媒體域的適用標(biāo)準(zhǔn)強(qiáng)迫顯式驗(yàn)證�,如圖1所示。此外��,這種隱式驗(yàn)證可適用于由網(wǎng)絡(luò)對用戶的驗(yàn)證以及由用戶對網(wǎng)絡(luò)的驗(yàn)證����。另外,所述隱式驗(yàn)證可能如圖3所示由訂戶服務(wù)器��、如負(fù)責(zé)UMTS網(wǎng)絡(luò)中的用戶的先前驗(yàn)證的歸屬用戶服務(wù)器(HSS)來觸發(fā)�����,或者由與所述訂戶服務(wù)器配合工作的專用多媒體驗(yàn)證裝置來觸發(fā)��。
因此��,根據(jù)圖3所示的這個(gè)第一實(shí)施例���,終端用戶或用戶設(shè)備在UMTS中被附加并驗(yàn)證�����,并且讓GPRS PDP上下文開通���。在這個(gè)階段�,終端用戶和用戶代理通過發(fā)起SIP注冊過程得到對多媒體域的訪問權(quán)�。
這個(gè)SIP注冊過程包括從用戶側(cè)(UE)向代理呼叫狀態(tài)控制功能(P-CSCF)以及從這個(gè)實(shí)體向詢問呼叫狀態(tài)控制功能(I-CSCF)發(fā)送SIP Register消息。I-CSCF對歸屬訂戶服務(wù)器(HSS)發(fā)起通常所說的Cx-Selection-Info(Cx選擇信息)過程���,以便識(shí)別當(dāng)前負(fù)責(zé)用戶的在服務(wù)呼叫狀態(tài)控制功能(S-CSCF)�。一旦識(shí)別了這種S-CSCF�����,I-CSCF向S-CSCF發(fā)送相應(yīng)的SIP Register消息����。接收這種注冊消息的S-CSCF對歸屬訂戶服務(wù)器(HSS)發(fā)起通常所說的Cx-Put過程。
假定HSS先前已經(jīng)通過與在服務(wù)GPRS支持節(jié)點(diǎn)(SGSN)交換了用戶簡檔和驗(yàn)證向量來參與用戶的GPRS接入驗(yàn)證���,則HSS除了其它網(wǎng)絡(luò)拓?fù)湫畔⒅膺€采用它的關(guān)于訂戶所在的SGSN的信息�,來確定通過所述接入網(wǎng)訪問多媒體域的信令路徑的潛在安全性��。因此,根據(jù)本發(fā)明��,HSS本身或者專用多媒體驗(yàn)證裝置可為用戶決定隱式驗(yàn)證�。為此���,HSS在對S-CSCF的Cx-Put-response中包括“隱式驗(yàn)證”的指示���。
當(dāng)網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GGSN)屬于與HSS相同的歸屬域并且GGSN因而被認(rèn)為是安全及可信的時(shí),有利地作出向S-CSCF發(fā)送這個(gè)消息的決定�。一種特別適合的情況是當(dāng)HSS也信任訂戶所在的SGSN時(shí),因?yàn)槔缢鼈儍烧叨紝儆谙嗤木W(wǎng)絡(luò)運(yùn)營商�,并且與是否為用戶提供進(jìn)一步拒絕所建議的隱式驗(yàn)證的可能性無關(guān)。
另外���,特征“多媒體域的隱式驗(yàn)證”可包括基于訂戶的數(shù)據(jù)提供和數(shù)據(jù)配置�����,使得當(dāng)用戶讓這種服務(wù)提供并且用戶是可信的時(shí)����,HSS本身或者專用多媒體驗(yàn)證裝置可為該用戶確定隱式驗(yàn)證�����。在這個(gè)方面以及考慮到可能在多媒體域中為特定用戶提供多個(gè)用戶標(biāo)識(shí)符,以下涉及并在不同實(shí)施例中描述的隱式驗(yàn)證可應(yīng)用于多媒體域中的全部或者特定的用戶標(biāo)識(shí)符����。
另外,其它相關(guān)信息也可在Cx-Put-response消息中向S-CSCF發(fā)送�,諸如驗(yàn)證類型、例如IP地址和聯(lián)絡(luò)信息之類的訪問信息�����、驗(yàn)證時(shí)標(biāo)以及其它重要數(shù)據(jù)�����,以便提供額外的安全性支持�����。
因此�,對于上述的本發(fā)明的一個(gè)方面,可通知用戶關(guān)于網(wǎng)絡(luò)提出的����、用于讓用戶接受或不接受的隱式驗(yàn)證��。因此�����,S-CSCF以即時(shí)規(guī)定向SIP用戶代理發(fā)送稱作“SIP 4xx隱式驗(yàn)證”的新SIP消息��,使得SIP用戶代理在發(fā)現(xiàn)可接受時(shí)內(nèi)部禁用在傳統(tǒng)上被執(zhí)行的顯式多媒體驗(yàn)證過程。也就是說�,SIP用戶代理不會(huì)等待或預(yù)計(jì)接收3G TS 33.203中所述的Authentication-Challenge消息或者驗(yàn)證向量。此外���,SIP用戶代理或者更一般地說是用戶設(shè)備將認(rèn)為支持多媒體域的網(wǎng)絡(luò)經(jīng)過隱式驗(yàn)證�����。另一方面��,SIP用戶代理可能認(rèn)為隱式驗(yàn)證是不可接受的�,在這種情況下����,在任何附圖中均未示出的適當(dāng)否定確認(rèn)被發(fā)送給網(wǎng)絡(luò),以便根據(jù)上述適用標(biāo)準(zhǔn)強(qiáng)迫傳統(tǒng)的顯式驗(yàn)證機(jī)制�。
仍然參照圖3��,一旦SIP用戶代理已經(jīng)接受隱式驗(yàn)證����,則采用新的SIPRegister消息來響應(yīng)這個(gè)消息���。
在這個(gè)階段�,大家可能知道���,由于根據(jù)本發(fā)明�、通過對來自置信接入網(wǎng)的多媒體域驗(yàn)證數(shù)據(jù)進(jìn)行再用所執(zhí)行的隱式驗(yàn)證���,本發(fā)明還提供一種有利的解決方案來支持在訪問所述多媒體域之前已經(jīng)由接入網(wǎng)驗(yàn)證的用戶在多媒體域的單次登錄(SSO)����。
與這個(gè)有利的解決方案配合�,圖3說明最終從用戶設(shè)備的SIP用戶代理發(fā)送到S-CSCF的SIP Register包括“SSO使能”的指示,用于向網(wǎng)絡(luò)表明隱式驗(yàn)證被接受����。網(wǎng)絡(luò)向S-CSCF提交這種SIPRegister消息,S-CSCF又向用戶設(shè)備回送成功結(jié)果“SIP 200 OK”���。終端用戶這時(shí)注冊到多媒體域����,而沒有按照傳統(tǒng)方式在終端用戶的多媒體注冊中出現(xiàn)那些額外定期驗(yàn)證過程。
一般來說�����,對于這個(gè)實(shí)施例并且也適用于進(jìn)一步描述的其它實(shí)施例�,以及只要存在來自用戶設(shè)備關(guān)于隱式驗(yàn)證的通知,在服務(wù)實(shí)體(S-CSCF)可能還檢查分別包含在SIP Register以及Cx-Put-response中的其它相關(guān)數(shù)據(jù)是否與隱式驗(yàn)證和單次登錄訪問一致�。所述相關(guān)數(shù)據(jù)可能是例如驗(yàn)證類型���、如IP地址和聯(lián)絡(luò)信息之類的訪問信息�、驗(yàn)證時(shí)標(biāo)或者它們的組合以及其它重要數(shù)據(jù)��,以便提供額外的安全性支持����。
仍然在用戶已經(jīng)由UMTS網(wǎng)絡(luò)進(jìn)行驗(yàn)證并且進(jìn)一步通過GPRS網(wǎng)絡(luò)訪問多媒體域的上述情況下,以及根據(jù)圖4所示的第二實(shí)施例���,提供一種用于在多媒體域中驗(yàn)證用戶的更簡化機(jī)制�,其中,只是通知用戶由網(wǎng)絡(luò)采取的執(zhí)行隱式驗(yàn)證的決定��。在這個(gè)第二實(shí)施例中��,用戶附加到UMTS網(wǎng)絡(luò)�,并且在其中被驗(yàn)證,其中有歸屬訂戶服務(wù)器(HSS)的參與�,PDP上下文采用GPRS實(shí)體(SGSN、GGSN)來激活��,以及SIP Register消息被發(fā)送給呼叫狀態(tài)控制功能(P-CSCF���、I-CSCF����、S-CSCF)實(shí)體����,以便以第一實(shí)施例中進(jìn)行的相似方式注冊到多媒體域中。第一和第二實(shí)施例之間的差別在于���,HSS本身或者專用多媒體驗(yàn)證裝置作出為用戶執(zhí)行隱式驗(yàn)證的最終決定����。為此,HSS在對S-CSCF的Cx-Put-response中包括“由網(wǎng)絡(luò)進(jìn)行的隱式驗(yàn)證”的指示���。
然后�����,在已經(jīng)完成S-CSCF與HSS之間的“Cx-Pull-process”之后���,并且沒有請求用戶的接受,S-CSCF通過在特定的“SIP2xx OK”響應(yīng)中包括指示“由網(wǎng)絡(luò)進(jìn)行的隱式驗(yàn)證”而不是采用上述新的“SIP 4xx”消息��,來通知用戶網(wǎng)絡(luò)已經(jīng)主動(dòng)執(zhí)行隱式驗(yàn)證��。
在收到帶有指示“由網(wǎng)絡(luò)進(jìn)行的隱式驗(yàn)證”的所述“SIP2xx OK”響應(yīng)時(shí)���,SIP用戶代理不會(huì)等待或預(yù)計(jì)接收3G TS 33.203中所述的Authentication-Challenge消息或者驗(yàn)證向量。此外��,SIP用戶代理或者更一般地說是用戶設(shè)備可能認(rèn)為支持多媒體域的網(wǎng)絡(luò)經(jīng)過隱式驗(yàn)證�,只要用戶設(shè)備配置成執(zhí)行網(wǎng)絡(luò)的這種驗(yàn)證。
終端用戶這時(shí)注冊到多媒體域���,而沒有按照傳統(tǒng)方式在終端用戶的多媒體注冊中出現(xiàn)的那些額外定期驗(yàn)證過程��,并且具有比第一實(shí)施例中所述的更簡單的機(jī)制�����。
出現(xiàn)第二種情況�����,在其中�,在GSM附加以及位置更新過程之后,用戶由UMTS網(wǎng)絡(luò)進(jìn)行了驗(yàn)證�����,并且還通過GPRS網(wǎng)絡(luò)訪問多媒體域�。在這個(gè)方面,并且為了清楚起見���,UMTS網(wǎng)絡(luò)的歸屬訂戶服務(wù)器(HSS)包括所有基本功能性�����,并且用作GSM網(wǎng)絡(luò)的傳統(tǒng)歸屬位置寄存器(HLR)����,再加上用作多媒體域中的訂戶服務(wù)器所需的所有功能性。然而����,如果傳統(tǒng)HLR功能性駐留在與多媒體域的訂戶服務(wù)器不同的實(shí)體中,則兩種實(shí)體�����、即GSM HLR與多媒體域的訂戶服務(wù)器之間的附加接口用來共享用戶驗(yàn)證數(shù)據(jù)����。
圖5中說明在上述第二種情況下的第三實(shí)施例,其中����,新的字段在GSM附加和位置更新過程中返回給用戶設(shè)備的SIP用戶代理。因此��,多媒體域的訂戶服務(wù)器(HSS)在對于接入網(wǎng)中的在服務(wù)GPRS支持節(jié)點(diǎn)(SGSN)的GSM操作“插入訂戶數(shù)據(jù)”中包含“隱式驗(yàn)證”的指示�����。然后���,SGSN還在對SIP用戶代理的GSM操作“更新位置應(yīng)答”中包含“隱式驗(yàn)證”的這個(gè)指示�。
這個(gè)指示可應(yīng)用于多媒體域中的所有或特定用戶標(biāo)識(shí)符��,并且被用戶設(shè)備(UE)理解為用戶設(shè)備可能或者可能不接受的啟用對多媒體域的單次登錄(SSO)訪問的隱式邀請����。只要隱式驗(yàn)證由于不需要額外安全性而對于終端用戶(UE)是可接受的,則SIP Register消息發(fā)送到多媒體域(P-CSCF�����、I-CSCF)�,SIP Register消息包括用于向網(wǎng)絡(luò)表明隱式驗(yàn)證被接受的“SSO使能”的指示。
在詢問呼叫狀態(tài)控制功能(I-CSCF)實(shí)體中收到這種SIPRegister消息時(shí)�����,“SSO使能”的指示被加入采用多媒體域訂戶服務(wù)器(HSS)所保存的所謂“Cx-Selection-Info”過程中包含的“Cx-Query”消息的新字段����。這時(shí),HSS本身中或者專用多媒體驗(yàn)證裝置中的特征“多媒體域的隱式驗(yàn)證”處理“SSO使能”的指示���,以便在請求時(shí)進(jìn)一步提供用戶的驗(yàn)證數(shù)據(jù)����。
“SSO使能”的指示還被加入從I-CSCF向當(dāng)前選擇用于為用戶提供服務(wù)的在服務(wù)呼叫狀態(tài)控制功能(S-CSCF)實(shí)體發(fā)送的SIP Register。如在前面的實(shí)施例中那樣���,圖5所示的本實(shí)施例也說明從S-CSCF對HSS所執(zhí)行的“Cx-Put”操作��。因此����,HSS采用“Cx-Put-response”操作來指示S-CSCF�����,其中包括“隱式驗(yàn)證由用戶確認(rèn)”的指示��,以便排除終端用戶的進(jìn)一步驗(yàn)證以及避免為所述終端用戶發(fā)送驗(yàn)證向量����。S-CSCF又可能還檢查SIP Register中以及Cx-Put-response中分別包含的其它相關(guān)數(shù)據(jù)是否與隱式驗(yàn)證和單次登錄訪問一致,相關(guān)數(shù)據(jù)例如包括驗(yàn)證類型�����、如IP地址和聯(lián)絡(luò)信息之類的訪問信息���、驗(yàn)證時(shí)標(biāo)或者其組合以及其它重要數(shù)據(jù)�,以便提供額外的安全性支持��。
最后��,在已經(jīng)結(jié)束S-CSCF與訂戶服務(wù)器(HSS)之間的“Cx-Pull-process”之后�����,S-CSCF向用戶返回對于用戶設(shè)備的SIP用戶代理的傳統(tǒng)成功結(jié)果“SIP 200OK”�����。
圖6說明在上述第二種情況下的第四實(shí)施例�,其中,與圖5所示的先前第三實(shí)施例的唯一差別在于����,“隱式驗(yàn)證”的指示以從短消息服務(wù)中心(SMSC)發(fā)送的短消息返回給用戶設(shè)備的SIP用戶代理,如先前由訂戶服務(wù)器(HSS)本身或者由專用多媒體驗(yàn)證裝置所指示的那樣�,以及一旦GSM附加和驗(yàn)證過程結(jié)束,而不是在位置更新過程中進(jìn)行��。在附圖中為清楚起見�,圖5中的GPRS實(shí)體對SGSN和GGSN在圖6中用所謂的“GSN”實(shí)體來代替�����。對于上述實(shí)施例�,“隱式驗(yàn)證”的這種指示也可應(yīng)用于多媒體域中的所有或特定用戶標(biāo)識(shí)符����。一旦用戶設(shè)備知道已經(jīng)接收“隱式驗(yàn)證”的這個(gè)指示,并且只要發(fā)現(xiàn)這種隱式驗(yàn)證是可接受的��,則用戶設(shè)備處理該消息�,并且在被發(fā)送以訪問多媒體域(P-CSCF、I-CSCF)的SIP Register消息中包括“SSO使能”的指示��,“SSO使能”的指示用于向網(wǎng)絡(luò)表明隱式驗(yàn)證被用戶設(shè)備接受�。從這一點(diǎn)開始,信令流可與先前的第三實(shí)施例中相同��。
同樣在這個(gè)第二種情況下的實(shí)施例中�����,終端用戶注冊到多媒體域��,而沒有按照傳統(tǒng)方式在終端用戶的多媒體注冊中出現(xiàn)的那些額外定期驗(yàn)證過程�����,并且具有比按照傳統(tǒng)方法所執(zhí)行的更簡單的機(jī)制。
出現(xiàn)第三種情況�����,在其中���,通過無線局域網(wǎng)進(jìn)行訪問的用戶由UMTS網(wǎng)絡(luò)進(jìn)行了驗(yàn)證,并且還通過這個(gè)無線局域網(wǎng)(WLAN)訪問多媒體域����。
根據(jù)圖7所示的第五實(shí)施例,在這個(gè)第三種情況下���,終端用戶在WLAN中附加并由UMTS網(wǎng)絡(luò)進(jìn)行驗(yàn)證�����,終端用戶��、確切地說是用戶設(shè)備(UE)已經(jīng)最好是通過利用到歸屬網(wǎng)絡(luò)的通常所說的安全隧道使IP會(huì)話開通�。這種安全隧道最好是通過在加密消息凈荷中封裝來自上述IP會(huì)話的數(shù)據(jù)���、一般為IP地址��,在用戶設(shè)備與分組數(shù)據(jù)網(wǎng)關(guān)(PD-GW)之間建立��,同時(shí)沒有與IP會(huì)話相關(guān)的外部IP地址用于用戶設(shè)備(UE)與分組數(shù)據(jù)網(wǎng)關(guān)(PD-GW)之間����。
這時(shí),通過與圖3所示的第一實(shí)施例相似的方式��,圖7中的信令流說明終端用戶和SIP用戶代理�����、即用戶設(shè)備(UE)如何通過從用戶側(cè)(UE)向多媒體域(P-CSCF���、I-CSCF)發(fā)送SIP Register消息來獲得對多媒體域的訪問權(quán)����。
詢問呼叫狀態(tài)控制功能(I-CSCF)實(shí)體對歸屬訂戶服務(wù)器(HSS)����、即多媒體域中的訂戶服務(wù)器發(fā)起通常所說的“Cx-Selection-Info”過程,以便識(shí)別當(dāng)前負(fù)責(zé)用戶的在服務(wù)呼叫狀態(tài)控制功能(S-CSCF)。一旦識(shí)別了這種S-CSCF����,I-CSCF向S-CSCF發(fā)送相應(yīng)的SIP Register消息。接收這種注冊消息的S-CSCF對歸屬訂戶服務(wù)器(HSS)發(fā)起通常所說的Cx-Put過程�����。
假定HSS先前已經(jīng)通過與符合3GPP標(biāo)準(zhǔn)的所謂“驗(yàn)證��、授權(quán)和記帳”服務(wù)器(以下稱作AAA-3GPP)交換用戶簡檔和驗(yàn)證向量來參與用于WLAN訪問的用戶的驗(yàn)證��,如圖2所示��,則HSS除了其它網(wǎng)絡(luò)拓?fù)湫畔⒅膺€采用它的關(guān)于安全隧道的信息��,來確定通過所述接入網(wǎng)訪問多媒體域的信令路徑的潛在安全性�����。因此����,根據(jù)本發(fā)明�����,HSS本身或者專用多媒體驗(yàn)證裝置可為所述用戶決定隱式驗(yàn)證。當(dāng)分組數(shù)據(jù)網(wǎng)關(guān)(PD-GW)屬于與HSS相同的歸屬域時(shí)�����,或者在PD-GW被認(rèn)為安全且可信的其它情況中���,有利地作出這種決定��。此外����,如前面的實(shí)施例中那樣�����,特征“多媒體域的隱式驗(yàn)證”可包括基于訂戶的數(shù)據(jù)提供和數(shù)據(jù)配置����,使得當(dāng)用戶讓這種服務(wù)提供并且用戶是可信的時(shí),HSS本身或者專用多媒體驗(yàn)證裝置可為該用戶確定隱式驗(yàn)證��。
因此���,HSS在對S-CSCF的“Cx-Put-response”中加入“隱式驗(yàn)證”的指示���。有利地并且為了安全起見����,其它相關(guān)信息也可在“Cx-Put-response消息”中向S-CSCF發(fā)送��,例如驗(yàn)證類型�����、如IP地址和聯(lián)絡(luò)信息之類的訪問信息��、驗(yàn)證時(shí)標(biāo)以及其它重要數(shù)據(jù)���,以便提供額外的安全性支持。
圖7中的這個(gè)第五實(shí)施例與圖3的第一實(shí)施例一致����,并且這兩個(gè)實(shí)施例均按照上述本發(fā)明的一個(gè)方面,其中�,可通知用戶關(guān)于網(wǎng)絡(luò)提出的、用于讓用戶接受或不接受的隱式驗(yàn)證��。
因此,S-CSCF以即時(shí)規(guī)定向SIP用戶代理發(fā)送稱作“SIP4xx隱式驗(yàn)證”的新SIP消息���,使得SIP用戶代理在發(fā)現(xiàn)可接受時(shí)內(nèi)部禁用在傳統(tǒng)上被執(zhí)行的顯式多媒體驗(yàn)證過程���。也就是說,SIP用戶代理不會(huì)等待或預(yù)計(jì)接收3G TS 33.203中所述的Authentication-Challenge消息或者驗(yàn)證向量�����。
一旦SIP用戶代理已經(jīng)接受隱式驗(yàn)證���,則采用包括用于向網(wǎng)絡(luò)表明隱式驗(yàn)證被接受的“SSO使能”的指示的新SIP Register消息來響應(yīng)這個(gè)“SIP 4xx隱式驗(yàn)證”消息����。網(wǎng)絡(luò)(P-CSCF�����、I-CSCF)向S-CSCF提交這種SIP Register消息�����,S-CSCF又向用戶設(shè)備(UE)回送成功結(jié)果“SIP 200 OK”���。已經(jīng)通過WLAN網(wǎng)絡(luò)進(jìn)行訪問的終端用戶這時(shí)注冊到多媒體域��,而沒有通常在終端用戶的多媒體注冊中出現(xiàn)的那些額外定期驗(yàn)證過程����。
圖7中所示的第五實(shí)施例的描述盡可能地與圖3所示的第一實(shí)施例匹配。類似地�����,來自其中GPRS為接入網(wǎng)的圖4所示的第二實(shí)施例的理論可方便地適用于其中WLAN為接入網(wǎng)的另一個(gè)實(shí)施例��,后者由于上述實(shí)施例而無需進(jìn)一步說明����。
另一方面,其中GPRS為接入網(wǎng)的上述第三實(shí)施例實(shí)際上也適用于其中WLAN為接入網(wǎng)的另一個(gè)實(shí)施例���,因?yàn)榘l(fā)送給用戶設(shè)備的相關(guān)驗(yàn)證指示作為特定屬性值對(AVP)包含在WLAN訪問所采用的RADIUS或Diameter協(xié)議的相應(yīng)消息中。
最后����,其中GPRS為接入網(wǎng)的上述第四實(shí)施例也適用于其中WLAN為接入網(wǎng)的另一個(gè)實(shí)施例,假定對WLAN中的短消息業(yè)務(wù)(SMS)的支持����,或者通過在具有雙終端作為用戶設(shè)備的情況下把GRPS基礎(chǔ)結(jié)構(gòu)的電路交換技術(shù)用于SMS來進(jìn)行���。
出現(xiàn)第四種情況,在其中����,在分組數(shù)據(jù)業(yè)務(wù)附加過程之后,用戶由CDMA 2000網(wǎng)絡(luò)進(jìn)行驗(yàn)證����,并且還通過分組數(shù)據(jù)業(yè)務(wù)網(wǎng)絡(luò)訪問多媒體域。圖8說明與第一種情況下圖4中的實(shí)施例一致的第六實(shí)施例���,其中�����,驗(yàn)證�、授權(quán)和記帳服務(wù)器(AAA)用作CDMA 2000網(wǎng)絡(luò)的訂戶服務(wù)器����。在這個(gè)方面,并且為了清楚起見��,CDMA 2000網(wǎng)絡(luò)的驗(yàn)證、授權(quán)和記帳服務(wù)器(AAA)包括允許對CDMA 2000網(wǎng)絡(luò)中的分組數(shù)據(jù)業(yè)務(wù)進(jìn)行訪問所需的所有基本功能性以及用作多媒體域中的訂戶服務(wù)器所需的所有功能性�����。
然而����,只要訪問CDMA 2000分組數(shù)據(jù)業(yè)務(wù)的傳統(tǒng)已知AAA功能性駐留在與多媒體域的訂戶服務(wù)器不同的實(shí)體中,則兩種實(shí)體���、即傳統(tǒng)CDMA 2000 AAA與多媒體域的訂戶服務(wù)器之間的附加接口用來共享用戶驗(yàn)證數(shù)據(jù)�����。
除了這些考慮之外��,上述實(shí)施例也適用于涉及CDMA2000網(wǎng)絡(luò)的這種情況��,假定相關(guān)信息可采用對當(dāng)前RADIUS和Diameter接口的擴(kuò)展來傳輸���。
在上述示范的第一種情況下提供又一個(gè)實(shí)施例��,并且如圖9所示���,其中����,隱式驗(yàn)證的建議(SSO建議)實(shí)際上從用戶設(shè)備(UE)本身被觸發(fā),并且沒有接收來自多媒體域(IMS)的先前邀請�。因此,圖9中的流序列提供對圖5和圖6中的那些實(shí)施例的備選實(shí)施例�����,其中��,用戶設(shè)備(UE)直接向多媒體域(IMS)提交它對隱式驗(yàn)證的建議(SSO建議)��,而沒有通過更新位置應(yīng)答消息或者通過短消息業(yè)務(wù)(SMS)接收先前邀請���,以便在所述用戶設(shè)備與多媒體域之間執(zhí)行這種隱式驗(yàn)證�。
這種新的方法可能還適用于修改其它上述實(shí)施例����,并且與應(yīng)用情況無關(guān)。
以上以說明性而非限制性方式關(guān)于若干實(shí)施例描述了本發(fā)明�����。顯然,根據(jù)上述理論���,本發(fā)明的修改和變更是可行的����,以及落入權(quán)利要求的范圍之內(nèi)的對實(shí)施例的任何修改意在包含于其中���。
權(quán)利要求
1.一種用于通過接入網(wǎng)(UMTS����;WLAN�;GPRS;CDMA 2000)訪問多媒體域(IMS)的用戶(UE)的多媒體驗(yàn)證的裝置���,所述裝置供保存用戶的驗(yàn)證數(shù)據(jù)并且可由多媒體域(IMS)訪問的接入網(wǎng)的訂戶服務(wù)器(HSS����;AAA)中使用或者與其合作����,所述裝置的特征在于包括用于判定可進(jìn)行用戶(UE)與多媒體域(IMS)之間的隱式驗(yàn)證、從而省略對顯式驗(yàn)證的需要的部件;以及用于指示負(fù)責(zé)在多媒體域(IMS)中驗(yàn)證用戶(UE)的在服務(wù)實(shí)體(S-CSCF)可進(jìn)行隱式驗(yàn)證的部件�。
2.如權(quán)利要求1所述的裝置�,其特征在于,用于判定可進(jìn)行隱式驗(yàn)證的部件包括用于確定通過所述接入網(wǎng)訪問多媒體域的信令路徑的潛在安全性的部件����。
3.如權(quán)利要求1所述的裝置,其特征在于���,所述用于指示在服務(wù)實(shí)體可進(jìn)行隱式驗(yàn)證的部件包括用于表明(隱式驗(yàn)證)最終判定是在可能強(qiáng)迫顯式驗(yàn)證的用戶側(cè)(UE)的部件��。
4.如權(quán)利要求1所述的裝置��,其特征在于���,所述用于指示在服務(wù)實(shí)體可進(jìn)行隱式驗(yàn)證的部件包括用于表明(由網(wǎng)絡(luò)進(jìn)行的隱式驗(yàn)證)這是網(wǎng)絡(luò)采取的最終判定并且不可執(zhí)行顯式驗(yàn)證的部件。
5.如權(quán)利要求1所述的裝置�,其特征在于,還包括用于通知用戶設(shè)備用于訪問多媒體域的用戶的隱式驗(yàn)證可由網(wǎng)絡(luò)執(zhí)行的部件(隱式驗(yàn)證�����;由網(wǎng)絡(luò)進(jìn)行的隱式驗(yàn)證)����。
6.如權(quán)利要求1所述的裝置���,其特征在于,所述用于判定可進(jìn)行用戶(UE)與多媒體域(IMS)之間的隱式驗(yàn)證的部件包括用于接收源自用戶設(shè)備(UE)的隱式驗(yàn)證的建議(SSO建議)的部件���。
7.如權(quán)利要求3所述的裝置�����,其特征在于�����,還包括用于接收源自用戶設(shè)備(UE)的指示(SSO使能)以確認(rèn)網(wǎng)絡(luò)提出的隱式驗(yàn)證的接受的部件�����。
8.如權(quán)利要求7所述的裝置���,其特征在于,還包括用于向負(fù)責(zé)在多媒體域(IMS)中驗(yàn)證用戶的在服務(wù)實(shí)體(S-CSCF)表明(用戶確認(rèn)隱式驗(yàn)證)用戶已經(jīng)確認(rèn)隱式驗(yàn)證的部件���。
9.如權(quán)利要求8所述的裝置�,其特征在于,還包括用于向所述在服務(wù)實(shí)體(S-CSCF)提供附加驗(yàn)證數(shù)據(jù)的部件���,所述附加驗(yàn)證數(shù)據(jù)包括從包括以下元素的組中選取的至少一個(gè)元素驗(yàn)證類型��;訪問信息;以及驗(yàn)證時(shí)標(biāo)�。
10.一種用戶設(shè)備(UE),使它能夠獲得通過接入網(wǎng)(UMTS���;WLAN��;GPRS�;CDMA 2000)對多媒體域(IMS)的訪問權(quán)�����,并且設(shè)置成對于接入網(wǎng)執(zhí)行第一顯式驗(yàn)證過程�����,以及對于多媒體域(IMS)執(zhí)行第二顯式驗(yàn)證過程���,所述用戶設(shè)備(UE)的特征在于具有用于處理從包括以下通知的組中選取的至少一個(gè)通知的部件從多媒體域(IMS)接收的���、表明用戶的隱式驗(yàn)證可由網(wǎng)絡(luò)執(zhí)行的通知(隱式驗(yàn)證�����;由網(wǎng)絡(luò)進(jìn)行的隱式驗(yàn)證)����;以及從用戶設(shè)備(UE)向多媒體域(IMS)建議執(zhí)行所述用戶設(shè)備與多媒體域之間的隱式驗(yàn)證的通知(SSO建議)��。
11.如權(quán)利要求10所述的用戶設(shè)備(UE)����,其特征在于,所述用于處理從多媒體域(IMS)接收的通知的部件包括用于接收和處理最終判定是在可能強(qiáng)迫顯式驗(yàn)證的用戶設(shè)備(UE)上的指示(隱式驗(yàn)證)的部件��。
12.如權(quán)利要求11所述的用戶設(shè)備(UE)���,其特征在于�,還包括用于向多媒體域(IMS)發(fā)送指示(SSO使能)以確認(rèn)網(wǎng)絡(luò)提出的隱式驗(yàn)證的接受的部件��。
13.如權(quán)利要求12所述的用戶設(shè)備(UE)����,其特征在于����,還包括用于向多媒體域(IMS)提供附加驗(yàn)證數(shù)據(jù)的部件���,所述附加驗(yàn)證數(shù)據(jù)包括從包含以下元素的組中選取的至少一個(gè)元素驗(yàn)證類型�;訪問信息�;以及驗(yàn)證時(shí)標(biāo)。
14.如權(quán)利要求10所述的用戶設(shè)備(UE)����,其特征在于����,所述用于處理從多媒體域(IMS)接收的通知的部件包括用于接收和處理隱式驗(yàn)證是網(wǎng)絡(luò)采取的最終判定并且不可執(zhí)行顯式驗(yàn)證的指示(由網(wǎng)絡(luò)進(jìn)行的隱式驗(yàn)證)的部件。
15.一種用于驗(yàn)證通過接入網(wǎng)(UMTS�;WLAN;GPRS���;CDMA 2000)訪問多媒體域(IMS)的用戶(UE)的方法�,所述方法包括在用戶通過其訪問的接入網(wǎng)(UMTS�����;WLAN;GPRS�;CDMA 2000)中驗(yàn)證用戶的步驟,所述接入網(wǎng)具有包含用戶的驗(yàn)證數(shù)據(jù)并且多媒體域(IMS)可訪問的訂戶服務(wù)器(HSS��;AAA)���;以及把用戶(UE)注冊到多媒體域(IMS)中的步驟����;所述方法的特征在于包括判定可進(jìn)行用戶(UE)與多媒體域(IMS)之間的隱式驗(yàn)證�、從而省略對顯式驗(yàn)證的需要的步驟;以及指示負(fù)責(zé)在多媒體域(IMS)中驗(yàn)證用戶(UE)的在服務(wù)實(shí)體(S-CSCF)可進(jìn)行隱式驗(yàn)證的步驟��。
16.如權(quán)利要求15所述的方法�����,其特征在于��,還包括從多媒體域(IMS)向用戶設(shè)備(UE)通知(隱式驗(yàn)證����;由網(wǎng)絡(luò)進(jìn)行的隱式驗(yàn)證)可執(zhí)行用于訪問多媒體域的用戶的隱式驗(yàn)證的步驟。
17.如權(quán)利要求15所述的方法����,其特征在于���,所述判定可進(jìn)行隱式驗(yàn)證的步驟包括確定通過所述接入網(wǎng)訪問多媒體域的信令路徑的潛在安全性的步驟。
18.如權(quán)利要求15所述的方法����,其特征在于,所述判定可進(jìn)行隱式驗(yàn)證的步驟包括從用戶設(shè)備(UE)向多媒體域(IMS)建議在所述用戶設(shè)備與多媒體域之間執(zhí)行隱式驗(yàn)證的步驟�。
19.如權(quán)利要求15所述的方法,其特征在于����,所述指示在服務(wù)實(shí)體可進(jìn)行隱式驗(yàn)證的步驟包括表明(由網(wǎng)絡(luò)進(jìn)行的隱式驗(yàn)證)這是網(wǎng)絡(luò)采取的最終判定并且不可執(zhí)行顯式驗(yàn)證的步驟����。
20.如權(quán)利要求15所述的方法,其特征在于��,所述指示在服務(wù)實(shí)體可進(jìn)行隱式驗(yàn)證的步驟包括表明(隱式驗(yàn)證)最終判定是在可能強(qiáng)迫顯式驗(yàn)證的用戶設(shè)備上的步驟����。
21.如權(quán)利要求20所述的方法,其特征在于��,還包括從用戶設(shè)備(UE)確認(rèn)(SSO使能)網(wǎng)絡(luò)提出的隱式驗(yàn)證的接受的步驟。
22.如權(quán)利要求21所述的方法�,其特征在于,還包括向負(fù)責(zé)在多媒體域(IMS)中驗(yàn)證用戶(UE)的在服務(wù)實(shí)體(S-CSCF)表明(用戶確認(rèn)隱式驗(yàn)證)用戶已經(jīng)確認(rèn)隱式驗(yàn)證的步驟�����。
23.一種當(dāng)用戶通過先前已經(jīng)驗(yàn)證所述用戶的接入網(wǎng)(UMTS�����;WLAN�;GPRS;CDMA 2000)訪問多媒體域(IMS)時(shí)�、負(fù)責(zé)在所述多媒體域(IMS)中驗(yàn)證用戶(UE)的在服務(wù)實(shí)體(S-CSCF),所述在服務(wù)實(shí)體(S-CSCF)的特征在于包括用于接收和處理源自權(quán)利要求1的裝置����、表明可進(jìn)行隱式驗(yàn)證的指示(隱式驗(yàn)證;由網(wǎng)絡(luò)進(jìn)行的隱式驗(yàn)證)的部件�;以及用于向用戶設(shè)備(UE)通知(隱式驗(yàn)證;由網(wǎng)絡(luò)進(jìn)行的隱式驗(yàn)證)用于訪問多媒體域(IMS)的用戶的隱式驗(yàn)證可由網(wǎng)絡(luò)執(zhí)行的部件�����。
24.如權(quán)利要求23所述的在服務(wù)實(shí)體(S-CSCF),其特征在于���,還包括用于接收源自權(quán)利要求12的用戶設(shè)備(UE)的指示(SSO使能)以確認(rèn)網(wǎng)絡(luò)提出的隱式驗(yàn)證的接受的部件����。
25.如權(quán)利要求23所述的在服務(wù)實(shí)體(S-CSCF)���,其特征在于�,還包括用于接收源自權(quán)利要求8的裝置�����、表明用戶已經(jīng)確認(rèn)隱式驗(yàn)證的指示(用戶確認(rèn)隱式驗(yàn)證)的部件�。
26.如權(quán)利要求25所述的在服務(wù)實(shí)體(S-CSCF),其特征在于���,還包括用于檢查分別從權(quán)利要求9的裝置和權(quán)利要求13的用戶設(shè)備接收的附加驗(yàn)證數(shù)據(jù)的匹配����、以便提供額外安全性支持的部件�����。
27.如權(quán)利要求26所述的在服務(wù)實(shí)體(S-CSCF)����,其特征在于,所述附加驗(yàn)證數(shù)據(jù)包括從包含以下元素的組中選取的至少一個(gè)元素驗(yàn)證類型��;訪問信息���;以及驗(yàn)證時(shí)標(biāo)����。
28.如權(quán)利要求23所述的在服務(wù)實(shí)體(S-CSCF)��,其特征在于����,所述用于通知用戶(UE)隱式驗(yàn)證可由網(wǎng)絡(luò)執(zhí)行的部件包括用于向用戶(UE)表明(由網(wǎng)絡(luò)進(jìn)行的隱式驗(yàn)證)隱式驗(yàn)證是網(wǎng)絡(luò)采取的最終判定并且不可執(zhí)行顯式驗(yàn)證的部件。
29.一種打算用作用戶(UE)通過先前已經(jīng)驗(yàn)證所述用戶的接入網(wǎng)(UMTS�����;WLAN��;GPRS�����;CDMA 2000)訪問的多媒體域(IMS)的入口點(diǎn)的代理實(shí)體(P-CSCF),其特征在于具有用于處理從包含以下通知的組中選取的至少一個(gè)通知的部件向用戶設(shè)備(UE)發(fā)送的����、表明用于訪問多媒體域(IMS)的用戶的隱式驗(yàn)證可由網(wǎng)絡(luò)執(zhí)行的通知(隱式驗(yàn)證;由網(wǎng)絡(luò)進(jìn)行的隱式驗(yàn)證)���;以及從用戶設(shè)備(UE)接收的向多媒體域(IMS)建議所述用戶設(shè)備與多媒體域之間的隱式驗(yàn)證的通知(SSO建議)���。
30.如權(quán)利要求29所述的代理實(shí)體(P-CSCF),其特征在于�,還包括用于從用戶設(shè)備(UE)接收接受網(wǎng)絡(luò)提出的隱式驗(yàn)證的指示(SSO使能)的部件。
31.如權(quán)利要求29所述的代理實(shí)體(P-CSCF)����,其特征在于,還包括用于向用戶(UE)表明(由網(wǎng)絡(luò)進(jìn)行的隱式驗(yàn)證)隱式驗(yàn)證是網(wǎng)絡(luò)采取的最終判定并且不可執(zhí)行顯式驗(yàn)證的部件��。
32.一種在多媒體域(IMS)中關(guān)于已經(jīng)通過接入網(wǎng)(WLAN�;GPRS)訪問所述多媒體域的用戶(UE)查詢訂戶服務(wù)器(HSS;AAA-3GPP)的詢問實(shí)體(I-CSCF)��,所述詢問實(shí)體具有用于從用戶接收注冊請求的部件以及用于向用戶確認(rèn)這種注冊的部件��,其特征在于包括用于向用戶(UE)傳送用于訪問多媒體域(IMS)的用戶的隱式驗(yàn)證可執(zhí)行的指示(隱式驗(yàn)證���;由網(wǎng)絡(luò)進(jìn)行的隱式驗(yàn)證)的部件���。
33.如權(quán)利要求32所述的詢問實(shí)體(I-CSCF),其特征在于��,還包括用于接收源自用戶設(shè)備(UE)以使隱式驗(yàn)證能夠進(jìn)行的指示(SSO使能��;SSO建議)的部件�����;以及用于從用戶設(shè)備向從包括權(quán)利要求1的裝置和權(quán)利要求23的在服務(wù)實(shí)體(S-CSCF)的實(shí)體組中選取的至少一個(gè)實(shí)體傳送這種指示的部件�����。
34.如權(quán)利要求32所述的詢問實(shí)體(I-CSCF)��,其特征在于�����,還包括用于向用戶(UE)傳送隱式驗(yàn)證是網(wǎng)絡(luò)采取的最終判定并且不可執(zhí)行顯式驗(yàn)證的指示(由網(wǎng)絡(luò)進(jìn)行的隱式驗(yàn)證)的部件�����。
全文摘要
本發(fā)明提供在接入網(wǎng)域與多媒體域之間對給定用戶執(zhí)行跨域驗(yàn)證的域間驗(yàn)證機(jī)制,這種域間驗(yàn)證機(jī)制比現(xiàn)有機(jī)制更簡單����,并且在用戶已經(jīng)由接入網(wǎng)驗(yàn)證的情況中適用。因此����,根據(jù)本發(fā)明提供一種新特征、即“多媒體域的隱式驗(yàn)證”����,它可實(shí)現(xiàn)為與訂戶服務(wù)器密切配合或者完全集成在所述訂戶服務(wù)器中的專用多媒體驗(yàn)證裝置。為此�,提供新裝置、新用戶設(shè)備以及新方法����,它們?nèi)吭O(shè)置用于在不同網(wǎng)絡(luò)之間或者不同技術(shù)域之間再用驗(yàn)證數(shù)據(jù),并借助于根據(jù)本標(biāo)準(zhǔn)的多媒體域的其它實(shí)體��。
文檔編號(hào)H04L29/08GK1849837SQ03826984
公開日2006年10月18日 申請日期2003年8月26日 優(yōu)先權(quán)日2003年8月26日
發(fā)明者J·M·瓦爾克皮納, J·A·桑切斯埃雷羅 申請人:艾利森電話股份有限公司