專利名稱:用戶身份的制作方法
技術領域:
本發(fā)明涉及通信終端的�、特別是在移動終端中的身份���,并且更具體地�,但不僅僅局限于,涉及一種用于在移動終端的公共身份與私有身份之間的認證的機制��。
背景技術:
目前的移動處理與網(wǎng)絡技術的發(fā)展帶來了多種接入技術的變革����,也為用戶在其本身的歸屬網(wǎng)絡外接入互聯(lián)網(wǎng)提供了便利��。為用戶提供真正普遍存在的萬維網(wǎng)(WWW)接入的第一個公眾通信網(wǎng)絡是基于GSM的移動電話網(wǎng)�����。
至今����,人機通信主宰著互聯(lián)網(wǎng)的應用,即信息服務�。向著所謂的第三代(3G)無線網(wǎng)絡的演進引領著移動多媒體通信的發(fā)展,也將改變公眾移動網(wǎng)絡中對基于IP的服務的利用方式�。由第三代合作伙伴項目(3GPP)規(guī)范的IP多媒體子系統(tǒng)(IMS)整合了互聯(lián)網(wǎng)技術與移動語音通信,使得能夠在移動網(wǎng)絡中利用基于IP的多媒體服務�。
在第三代無線網(wǎng)絡中,對于移動多媒體通信存在一個重要問題���,即身份的一致性校核問題�����。這個問題滲透到了應用認證和通用認證架構領域���。
新的多媒體移動終端(多媒體電話)為應用發(fā)展商提供了一個廣闊的發(fā)展平臺�����,允許獨立的應用開發(fā)商為多媒體環(huán)境設計新的服務和應用�����。而用戶可以把這些新服務/應用下載到其移動終端��,并且在其中使用這些新服務/應用�。
除了應用認證�����,網(wǎng)絡運營商還需要能夠監(jiān)控這些應用是否在被善意用戶使用�。善意用戶是已經(jīng)合法地下載了網(wǎng)絡應用并且支付了應用所有者需要的任何費用的用戶。典型地���,網(wǎng)絡運營商在終端或投遞系統(tǒng)(deliverysystem)中采取一些安全措施���,從而確保只有善意用戶可以有權使用所述應用�����?���?梢岳帽O(jiān)控信息檢測應用于終端或投遞系統(tǒng)中的安全措施可能存在的漏洞��,其中所述漏洞與應用認證相關�。一旦檢測到漏洞����,就可以防止非授權用戶使用網(wǎng)絡上的應用。
圖1示出了應用認證的基本原理�����,以及組成部分網(wǎng)絡的多個有關的網(wǎng)絡單元����。(1)第一終端10下載從投遞服務器(DS)11下載應用和應用認證所需的相關信息,例如密鑰��。(2)DS11向應用認證(AA)代理15提供應用認證所需的必要信息,例如密鑰����,還可以提供移動臺ISDN號碼(MSISDN)。(3)第一終端10中的應用被啟動��,并且第一終端10向代理會話狀態(tài)控制功能單元(P-CSCF)12發(fā)送會話初始協(xié)議(SIP)消息�����,例如INVITE�,從而啟動例如與第二終端的游戲會話。在所述SIP消息被發(fā)送到P-CSCF后�,所述SIP消息又從P-CSCF 12被傳送到查詢狀態(tài)控制功能單元(I-CSCF)13����。I-CSCF 13從P-CSCF接收SIP消息����,并且將其發(fā)送給服務狀態(tài)控制功能單元(S-CSCF)14。(4)S-CSCF 14接收所述SIP消息��,并且識別出需要進行應用認證,S-CSCF 14將所述SIP消息轉發(fā)給AA代理15�。S-CSCF 14同時把終端用戶的IMPU(IMS公共身份)發(fā)送給AA代理15�。AA代理15從S-CSCF 14接收所述SIP消息和IMPU�,并且向第一終端10發(fā)送質詢。AA代理15將所述質詢發(fā)送給S-CSCF 14��,S-CSCF 14將所述質詢傳送給I-CSCF 13����,I-CSCF 13將所述質詢傳送給P-CSCF 12,P-CSCF 12將所述質詢發(fā)送給第一終端10����。
第一終端10接收所述質詢��,(6)基于例如密鑰來計算質詢響應���。接著���,第一終端10把所述質詢響應發(fā)送給AA代理15����。(7)AA代理15接收來自第一終端10的質詢響應���。僅當來自第一終端10的所述質詢響應正確時���,所述應用才接收認證����,并且繼續(xù)會話建立進程��。(8)一旦從AA代理15接收認證�,S-CSCF 14就通過將所述SIP消息轉發(fā)給所述第二終端,來允許會話建立�����。
應用認證可以應用于基于IP(互聯(lián)網(wǎng)協(xié)議)的IMS(IP多媒體子系統(tǒng))網(wǎng)絡中����,以確保運營在網(wǎng)絡上的對等應用使用為其指定的標識符?����?梢詮耐哆f服務器(DS)11向終端下載應用和相關權限�。也可以下載其他信息,例如應用認證中可能也需要的密鑰�。一旦在第一終端中啟動了應用,就向另一方發(fā)送INVITE�,所述另一方可以包括第二終端。然后��,網(wǎng)絡能夠對所述應用進行認證�。在應用認證可靠的情況下,可以使用例如預付費模型�����。網(wǎng)絡端的認證由應用認證代理(AA代理)15執(zhí)行�����。
應用認證可通過在通用認證架構GAA中定義的用戶接口來實施�����。稍后將描述GAA�����。
在應用下載期間��,投遞服務器(DS)11接收用戶的MSISDN�。所述MSISDN可以與應用認證所需的其他信息一起被發(fā)送給所述AA代理���。
然而,這種機制存在一個問題���。如上所述�����,可以通過經(jīng)由IMS網(wǎng)絡從第一對等體向第二對等體發(fā)送SIP消息的方式來啟動對等應用的使用�。所述消息由AA代理進行認證�����。在所述SIP消息中����,所用的用戶身份是IMS公共身份(IMPU)。為了使AA代理校核所發(fā)送的IMPU屬于所述第一對等體�,并且所述第一對等體已經(jīng)合法地下載了所使用的應用(即,所述第一對等體為善意用戶)���,有必要能夠驗證IMPU和MSISDN����,但是,目前沒有提出或公開對此的機制���。
IP多媒體子系統(tǒng)(IMS)使用兩種身份IMPU和IMPI(IMS私有身份)。IMPI可以從國際移動用戶身份(IMSI)獲取�����。該方法源自3GPP標準��,其中����,在通用用戶識別模塊(USIM)被用于終端中的情況下,將形成IMPI�。擁有IMPI的用戶可能擁有多個IMPU?��?梢哉J為這些IMPU與IMPI相關聯(lián)�����。歸屬用戶服務器中儲存對于每個IMPI的IMPU列表����。
現(xiàn)將參考通用認證架構(GAA),描述的身份綁定校核問題����。GAA是將被用作對于多種未來應用與服務的安全規(guī)程。然而���,發(fā)明人指出了在用作應用安全系統(tǒng)的GAA中��,把終端公共身份作為用戶身份��,存在缺陷����。
在安全專用信號處理中�,GAA把IMPI(IMS私有身份)作為用戶身份。一些使用GAA的應用僅使用IMPU作為用戶身份�����,而不使用IMPI����。在安全規(guī)程中,這些GAA應用可以把從用戶設備(UE)獲得的IMPU作為密鑰�。在這種情況下�����,所述UE有機會利用其IMPI執(zhí)行自舉(bootstrapping)操作����,從而基于與另一個IMPI相對應的IMPU的安全證書等�,接收服務���。也就是說���,GAA存在的問題是,擁有私有身份的第一終端可以使用第二終端的公共身份��,這樣使得所述第一終端能夠獲得沒有授權給它的服務�。
發(fā)明人指出了GAA中現(xiàn)有機制的一個問題,在這種機制中�����,不能獨立地向網(wǎng)絡應用功能單元(NAF)發(fā)送用于GAA服務中的所自舉的IMPI和IMPU����,以使得NAF可以執(zhí)行一致性校核��。圖2示出了部分網(wǎng)絡單元�,以說明對于GAA應用的現(xiàn)有GAA標識符流程�����。
現(xiàn)將對圖1和圖2中的現(xiàn)有系統(tǒng)進行比較�����。圖1中的投遞服務器11大致對應于圖2中的自舉服務器功能單元(BSF)28�。類似地,圖1中的AA代理15和S-CSCF 14對應于NAF 29����。這些項目大致對應是因為它們在認證處理中擔當?shù)慕巧嗨疲?���,應注意,圖1和圖2涉及無線通信網(wǎng)絡中的不同實施例��。比如��,區(qū)別在于,圖2中的UE 20并不從BSF 28下載應用���,UE 20只是通過運行與BSF的自舉程序��,簡單地建立安全連接(參見3GPP TS 33.220中的定義)��。另外���,圖2中的BSF 28也不向NAF29發(fā)送有關安全性關聯(lián)的信息,NAF 29必須使用TID作為密鑰向BSF 28請求所述安全性關聯(lián)�。此外,圖1所示的AA代理15的部分功能將由圖2中的BSF 28來實施��,即與認證和密鑰協(xié)商(AKA)過程相關的認證處理��。更多的關于AKA程序的細節(jié)將在下文描述���。
一旦完成會話初始化,可以是移動終端的用戶實體(UE)20���,就經(jīng)由Ub接口向自舉服務器功能單元(BSF)28發(fā)送其IMPI�����?��?梢詫⑦@個步驟描述為UE 20利用其IMPI執(zhí)行自舉�,其中�,由TID唯一標識該自舉會話。BSF 28利用接收到的IMPI�,經(jīng)由Zh接口,與歸屬用戶服務器(HSS)27進行通信�����。當執(zhí)行完自舉后��,NAF 29經(jīng)由Ua接口從UE 20接收TID和IMPU���。然后��,NAF 29利用Zn接口與BSF 28進行通信����。NAF 29可選地包括授權代理(AP)25和特定應用服務器(AS)26����??蛇x地��,NAF 29可以經(jīng)由Sh接口與HSS 27通信�。所述Sh接口用來從HSS 27獲得特定IMPU檔案信息。所述特定IMPU檔案信息可以與NAF 29正在實現(xiàn)的服務相關���。應注意�����,無論是Sh接口還是通用用戶檔案(GUP)均可以用于完成上述功能���。
從BSF 28向NAF 29傳送IMPI的操作是可選的。僅當NAF被委托接收IMPI時才執(zhí)行該傳送����。典型地�����,僅當關于所述IMPU屬于用戶的驗證充分時����,才通過驗證TID到IMPU的映射進行確認,其中,TID為事務標識符�����。TID到IMPU的映射需要在BSF 28中的自舉會話識別�。僅BSF 28和UE 20能夠驗證TID到IMPU的映射。
圖2中所示裝置的缺陷在于沒有包括用于GAA服務的���、驗證在IMPI和IMPU之間的一致性的機制�。
本發(fā)明的實施例旨在解決上述問題�。
發(fā)明內容
本發(fā)明的實施例提供一種在應用認證和通用認證架構領域中,驗證用戶身份的一致性的方法����。
本發(fā)明的實施例可以利用定義于3GPP中的MAP(移動應用部分)和DIAMETER接口來驗證用戶的MSISDN/IMPU關系或IMPI/IMPU關系。
本發(fā)明的實施例還提供一種DIAMETER接口的改進方案�,從而允許用戶的IMS身份(IMPI和IMPU)的通用提取。在用戶的MSISDN和IMS身份之間的綁定驗證將為更廣泛的問題提供有益的幫助�。
根據(jù)本發(fā)明的第一方面,提供一種用于驗證實體的第一身份和第二身份的方法��,所述方法包括在校核實體接收所述實體的第一和第二身份�����;向歸屬用戶實體發(fā)送與所述第一和第二身份中的至少一個相關的信息;以及����,驗證從所述實體接收到的所述第一和第二身份都屬于所述實體。
根據(jù)本發(fā)明的第二方面��,提供一種系統(tǒng)���,包括實體�,其第一身份和第二身份將被驗證��;校核實體�����,其被配置為接收所述實體的第一和第二身份�����;歸屬用戶實體�����,其被配置為接收與所述第一和第二身份中的至少一個相關的信息�,其中,所述校核實體和所述用戶歸屬實體之一被配置為驗證從所述實體接收到的所述第一和第二身份都屬于所述實體��。
根據(jù)本發(fā)明的第三方面����,提供一種用于這樣的系統(tǒng)中的校核實體,所述系統(tǒng)包括其第一身份和第二身份將被驗證的實體���,所述校核實體被配置為接收所述實體的第一和第二身份��;向歸屬用戶實體發(fā)送與所述第一和第二身份中的至少一個相關的信息����,以及���,驗證從所述實體接收到的所述第一和第二身份都屬于所述實體���。
根據(jù)本發(fā)明的第四方面,提供一種用于這樣的系統(tǒng)中的歸屬用戶實體���,所述系統(tǒng)包括其第一身份和第二身份將被驗證的實體����,所述歸屬用戶實體被配置為接收與所述第一和第二身份相關的信息;以及��,驗證所述第一和第二身份都屬于所述實體���。
為了更好地理解本發(fā)明以及本發(fā)明是如何實施的�����,以下將結合附圖進行說明�,其中圖1示出應用認證的概要圖��;圖2示出對于GAA應用的已知GAA標識符流程���;圖3示出利用SAR/SAA的身份綁定驗證方法���;圖4示出利用UAR/UAA的身份綁定驗證方法;圖5示出利用修改的UAR/UAA的身份綁定驗證方法�����;圖6示出利用修改的SAR/SAA的身份綁定驗證方法���;圖7示出利用Zh/Zn傳遞IMPU的GAA應用標識符流程���;圖8示出利用Zh/Zn傳遞USS的GAA應用標識符流程;圖9示出利用Sh傳遞IMPI的GAA應用標識符流程��;圖10示出利用Sh傳遞IMPI的可選的GAA應用標識符流程��;以及圖11示出利用Zh/Zn傳遞IMPU的可選的GAA應用標識符流程�����。
具體實施例方式
歸屬用戶服務器(HSS)17中的MAP(移動應用部分)接口具有稱為Send_IMSI的操作�����,所述操作可以用于基于給定的MSISDN獲取用戶的IMSI�。3GPP定義了Cx的接口(使用DIAMETER協(xié)議),該接口用于在IMS網(wǎng)絡中的HSS 17和I-CSCF 13之間��,以及HSS 17和S-CSCF 14之間�。IMPI被從IMSI導出,并且�����,利用在AA代理中的可用信息(MSISDN和IMPU)�,AA代理可以通過使用朝著HSS的接口來驗證IMPU/MSISDN關系�。
圖3至圖6所示的實施例都處于具有與圖1相似結構的IMS系統(tǒng)的背景下�,因此,不再詳述該結構����。
圖3介紹了本發(fā)明實施例的第一階段,其中��,校核MSISDN/IMPU的綁定�。可以在每次執(zhí)行應用認證時�����,實施實時校核�。或者�����,AA代理15可以每隔預定時間段實施一次校核��,并且隨后存儲MSISDN/IMPU綁定以備后用���。AA代理15向HSS 17發(fā)送Send_IMSI指令��,其中�����,將MSISDN集作為所述指令中的參數(shù)�����。HSS 17向AA代理15回復包括用戶的IMSI的Send_IMSI_ack命令�。
接下來將討論本發(fā)明的四種可選實施例��。這些實施例的共同點在于第一階段��,在該階段中����,AA代理15接收第一終端或用戶的公共和私有身份。AA代理15從投遞服務器(DS)11接收第一終端10的MSISDN��。第一終端10的IMPI可以從其IMSI中導出�����,其中,所述IMSI來源于上述的Send_IMSI命令��。當從S-CSCF 14轉發(fā)所述SIP消息時����,由AA代理15接收第一終端10的IMPU。于是���,AA代理15接收到第一終端10的IMPU��,并且從所述IMSI導出所述第一終端的IMPI����,其中所述IMSI是利用從第一終端10接收到的MSISDN從HSS中獲取的����。
在所述第一階段中,AA代理15使用Send_IMSI命令����,以從HSS 17獲取用戶的IMSI,該IMSI基于從第一終端接收的MSISDN�。隨后,從IMSI導出IMPI���,從而使得AA代理15具有由所述第一終端傳送來的IMPI和IMPU��。在第二階段���,AA代理可以驗證來自所述第一終端的兩個身份屬于同一用戶���。該功能可以通過以下將要分別參考第一至第四實施例介紹的四種方法中的一種來完成。
圖3示出了本發(fā)明的第一實施例�,其中����,所述第二狀態(tài)包括利用從AA代理15向HSS 17發(fā)送的服務器分配請求(SAR)命令。SAR命令通常被服務呼叫控制功能單元(S-CSCF)14用來更新在歸屬用戶服務器(HSS)17中的用戶注冊狀態(tài)�。SAR命令包括從第一終端10獲得的IMPI和IMPU。一般情況下�����,HSS 17向S-CSCF 14發(fā)送服務器分配確認命令���,作為對SAR命令的應答�����。如圖3所示�,根據(jù)本發(fā)明的實施例,SAR命令被從AA代理15發(fā)送至HSS 17�。該SAR命令包括第一終端10使用的IMPI和IMPU。HSS 17在服務器分配應答(SAA)確認命令中�,向AA代理15返回用戶數(shù)據(jù)。HSS 17驗證第一終端10的IMPI和IMPU的一致性��,意思是����,所述HSS驗證確認由第一終端10使用的IMPU和MSISDN是否同屬于相同用戶。這是因為所述IMPI是從利用MSISDN獲得的IMSI導出的�����。
根據(jù)本發(fā)明的一個實施例�����,AA代理向HSS 17發(fā)送SAR命令��,以驗證MSISDN和IMPU屬于同一用戶��,并且從而驗證擁有所接收的IMPU的用戶已經(jīng)合法地下載了所述應用���。HSS 17從AA代理15接收包含IMPI和IMPU的SAR命令����。如果在所述SAR命令中發(fā)送的所述IMPI和所述IMPU相互關聯(lián),也就是說��,HSS 17將校核所述IMPI和所述IMPU與同一實體相關���,那么HSS 17僅通過向AA代理15發(fā)送SAA命令進行回應��。
默認地�,HSS 17校核所述SAR命令來自用戶當前的S-CSCF地址���。在本實施例中,該步驟并不是必須的��,并且因此����,優(yōu)選修改HSS 17以跳過所述地址校核步驟。
圖4示出了本發(fā)明的第二實施例�,其中,所述第二階段包括用戶授權請求(UAR)命令的使用�。一般情況下��,查詢呼叫狀態(tài)控制功能單元(I-CSCF)13利用所述UAR命令��,從HSS 17獲取用戶的當前S-CSCF地址����。所述UAR命令中包含IMPI和IMPU���。通常���,HSS 17向I-CSCF 13回復包含當前S-CSCF地址的用戶授權應答(UAA)。
根據(jù)本發(fā)明的第二實施例��,AA代理15向HSS 17發(fā)送UAR命令����。所述UAR命令包括所述第一終端的IMPI和IMPU。HSS 17在用于UAR命令中的IMPI和IMPU之間進行驗證����。于是,HSS 17驗證特定IMPI(如上所述�����,所述IMPI從MSISDN獲得)和特定IMPU屬于同一用戶,并且因此�����,驗證擁有所述特定IMPU的用戶已經(jīng)合法地下載了使用中的應用��。如果在所述UAR命令中發(fā)送的所述IMPI和所述IMPU相互關聯(lián)�����,那么HSS 17僅通過向AA代理15發(fā)送UAA命令進行回應���。
所述第二實施例可以被應用到現(xiàn)存的通信網(wǎng)絡中���,而無需對所述系統(tǒng)作任何修改。進而��,所述實施例提供了這樣的解決方案���,其中,可以利用由3GPP定義的現(xiàn)有MAP和DIAMETER接口來驗證用戶的公共和私有身份關系���。
圖5示出了本發(fā)明的第三實施例�����,其中��,所述第二階段包括對從AA代理15向HSS 17發(fā)送的擴展的用戶授權請求(UAR)命令的使用��。該消息發(fā)送描述如下��。從AA代理15向HSS 17發(fā)送所述擴展的UAR命令�。所述UAR命令包括IMPI和IMPU,并且被擴展為在現(xiàn)有用戶授權類型屬性值對(AVP)中傳送新數(shù)值�。所述新數(shù)值可以是例如APPLICATIONAUTHENTICATION。在圖5中����,所述擴展的UAR命令被表示為UAR-AVP。當所述校核產(chǎn)生肯定的結果時��,HSS 17將向AA代理15返回擴展UAA(用戶授權應答)命令�����,所述命令包含新的可選分組AVP(例如���,公共身份列表AVP)����,以發(fā)送用戶的多個IMPU中的全部,其中所述多個IMPU中的每一個都與所述IMPI相關���。在圖5中����,所述擴展的UAA命令被標識為UAA-AVP��。一旦接收到用戶的所述多個IMPU����,AA代理15就可以驗證所述IMPU列表包含從第一終端10接收的IMPU,從而驗證在所述第一終端所用的IMPI和IMPU之間的一致性���。
本發(fā)明的上述實施例允許更寬泛地使用UAR/UAA命令�,以校核身份一致性���。在可選實施例中����,對擴展的UAR/UAA命令的使用不僅僅局限于AA代理���。例如���,在某些實施例中,I-CSCF 13使用所述擴展的UAR/UAA命令可能會有利����。
圖6示出了本發(fā)明的第四實施例,其中����,所述第二階段包括對擴展的服務器分配請求(SAR)命令的使用,所述命令在圖6中以SAR-AVP表示����。所述SAR命令被擴展為實現(xiàn)在HSS 17中的類似于所述第三實施例所述的功能。要實現(xiàn)所述功能�,需要在現(xiàn)有服務器分配類型屬性值對(AVP)中使用的新數(shù)值,例如APPLICATION AUTHENTICATION�����。AA代理15將所述SAR-SVP命令發(fā)送給HSS 17��。這使得HSS 17驗證所述IMPI和所述IMPU是相關互關聯(lián)的,并且進一步使得HSS 17向AA代理15返回用戶IMPU的列表�。該列表被合并在所述擴展的服務器分配請求(SAA)命令中,在圖6中���,所述擴展的SAA命令以SAA-AVP表示���。一旦接收到用戶的所述多個IMPU,AA代理15可以驗證所述IMPU列表包含從第一終端10接收的IMPU���,從而驗證在所述第一終端所用的IMPI和IMPU的一致性�����。
本發(fā)明的上述實施例允許更寬泛地使用SAR/SAA命令以校核身份一致性����。在可選實施例中�����,對擴展的SAR/SAA命令的使用不僅僅局限于AA代理���。例如�����,在某些實施例中�,S-CSCF 14使用所述擴展的SAR/SAA命令可能會有利�。
本發(fā)明的第三和第四實施例提供了一種用于在歸屬用戶服務器中的應用認證的專用行為。
發(fā)明人認為�,上述AA代理15可以采用在此所述的通用認證架構的至少一個接口。例如�,除了利用SAR/SAA和UAR/UAA命令外,AA代理15還可以使用Zh或Sh接口連接HSS 17����,以驗證至少一個身份的相關性。
在使用GAA的本發(fā)明可選實施例中��,授權網(wǎng)絡應用功能單元(NAF)和自舉服務器功能單元(BSF)中的一個����,來驗證在私有身份(例如IMPI)和公共身份(例如IMPU)之間的一致性。所述驗證允許使用具有采用IMPU(而不是IMPI)作為唯一用戶身份的服務的通用應用認證(GAA)架構�����。以下的實施例使用與圖2所示的實施例相同的通用結構���,因此�����,此處不再詳述該架構����。
在GAA架構中的接口中使用了多個協(xié)議。Ua和Ub是HTTP(超文本傳輸協(xié)議)和TCP(傳輸控制協(xié)議)通信所需的接口�。Zh和Zn是SCTP(簡單控制傳輸協(xié)議)通信和DIAMETER消息所需的接口。
與GAA一樣�,本發(fā)明的實施例可以應用于結合通用自舉架構(GBA)的網(wǎng)絡中。GBA提供了一種使用認證和密鑰協(xié)商(AKA)在UE和服務器之間建立共享密鑰的機制���。
AKA是一種用于移動網(wǎng)絡中的非常強大的機制�����。GBA有效利用所述機制完成應用安全自舉�����。GBA引進稱作自舉服務器功能單元(BSF)28的網(wǎng)絡單元(NE)���。該BSF 28與HSS 17之間有接口連接���。UE 20運行經(jīng)由BSF 28與HSS 27的AKA,并且會話密鑰被導出以用于BSF 28和UE20�����。應用服務器(稱為網(wǎng)絡應用功能單元(NAF)29)可以從BSF 28獲得會話密鑰����,同時獲得用戶檔案信息集�����。通過這種方式�,所述應用服務器(NAF 29)與UE 20共享密鑰,該密鑰隨后可以被用于應用安全�。特別地,所述密鑰可以被用于在應用會話啟動時認證UE 20和NAF 29(用于完整性和機密性保護中的至少一種)����。接下來的通信是獨立的應用在UE 20和BSF 28之間的通信;在NAF 29和BSF 28之間的通信����;以及在BSF 28和HSS 27之間的通信��。
本發(fā)明實施例所述的方法有利地減小了不同類型的網(wǎng)絡單元的數(shù)量��,同時也減少了從HSS 27提取認證矢量(AV)的網(wǎng)絡單元的總數(shù)�����。BSF28需要通過網(wǎng)絡矢量以執(zhí)行與UE 20的AKA�。網(wǎng)絡矢量是用戶特定的��,并且在每次執(zhí)行AKA時都會更改��。
本發(fā)明還為多個不同應用提供了一個通用機制�����,從而避免了眾多不同機制的存在�����,允許以一致的方式一次解決安全問題�����。
圖7顯示了本發(fā)明的第五實施例����。GAA可以經(jīng)由自舉服務器功能單元(BSF)28�,從HSS 27向NAF 29下載與給定IMPI相關的IMPU����。所述IMPI被BSF 28經(jīng)由過Zh接口發(fā)送給HSS 27。作為響應�,HSS 27發(fā)送相關的IMPU,作為單獨的DIAMETER AVPs���。所述IMPU被經(jīng)由Zh接口從HSS 27下載到BSF 28。隨后�����,通過將可選的公眾標識符AVP添加到多媒體認證應答����,這些IMPU被經(jīng)由Zn接口從BSF 28下載到NAF 29。由此�,對于UE 20在Ua接口中所用的TID和IMPU,NAF 29從HSS 27接收到與所述TID相關的所有IMPU的列表�����,并且可選地還接收到其本身IMPI。隨之��,NAF 29驗證UE 20所用的IMPU被包括在所接收的IMPU列表中�,從而確保在UE 20所用的IMPI和IMPU之間的一致性。所述IMPU可以由NAF 29從用戶設備20接收���。
圖8示出了本發(fā)明的第六實施例���。BSF 28經(jīng)由Zh接口向HSS 27發(fā)送IMPI。作為響應���,HSS 27在應用的用戶安全設置(USS)中�����,向BSF 28發(fā)送相關的IMPU�。隨后�����,這些IMPU經(jīng)由Zn接口從BSF 28被下載到NAF 29���。用戶檔案(即��,用戶安全設置����,USS)被配置為,使其支持GAA應用的特定用戶檔案信息����。在某些實施例中,為每個GAA應用都創(chuàng)建用戶檔案����。所述用戶檔案信息被分離地存儲在HSS 27中,并且經(jīng)由Zh和Zn接口被自動地傳送����。因此�,可以將IMPU定義為所下載的使用IMPU的應用的用戶檔案的一部分,所述IMPU經(jīng)由Zh和Zn接口而被下載�����,即經(jīng)由BSF 28從HSS 27到NAF 29����。本實施例提供了現(xiàn)有特定用戶檔案AVP(現(xiàn)有檔案)的定義�����,其中包括歸屬運營商允許驗證的IMPU����。
USS數(shù)據(jù)的結構和內容取決于其所屬的GAA應用����。通常,USS數(shù)據(jù)包括與特定GAA應用相關的用戶安全設置��。舉例來說���,如果NAF 29是一個公共密鑰基礎構架(PKI)入口�����,那么所述USS數(shù)據(jù)將包括兩個標記����,用于向所述PKI入口(即��,NAF 29)指示是否允許所述PKI入口為用戶(UE 20)頒發(fā)用戶證書;一個標記用于標識所述認證證書的狀態(tài)��,另一個標記用于標識認可證書的狀態(tài)�。USS數(shù)據(jù)可以包括IMPU,這使得與圖7所示的通信方案極為相似�。
圖9示出了本發(fā)明的第七實施例。本實施例擴展了在NAF 29和HSS 27之間的Sh接口的容量�����。所述Sh接口使得NAF 29能夠使用IMPI和IMPU請求用戶檔案����,其中,所述IMPI是從UE 20經(jīng)由BSF 28發(fā)送的���,所述IMPU是從所述UE接收的�。所述請求是通過將IMPI(即�,用戶名�,AVP)添加到在所述Sh接口中的用戶身份AVP而完成的,這可以通過添加新的可選IMPI AVP����,擴大所述分組用戶身份AVP的容量,來實現(xiàn)。作為對所述新請求的響應�����,HSS 27返回與所接收的IMPU相關聯(lián)的IMPU列表�。隨后,NAF 29驗證UE 20所用的IMPU被包含在所接收到的IMPU列表中���,以確保在所接收到的IMPI和UE 20所用的IMPU之間的相關性����。
圖10示出了本發(fā)明的第八實施例��。本實施例擴展了在NAF 29和HSS27之間的Sh接口的容量��。NAF 29從UE接收IMPU并且經(jīng)由BSF從所述UE接收IMPI��。所述Sh接口使得NAF 29能夠使用從UE 20經(jīng)由BSF28發(fā)送的IMPI����,來請求用戶檔案。所述請求通過將IMPI和IMPU綁定到用戶數(shù)據(jù)AVP中而完成���,其中�,所述IMPI是從UE經(jīng)由BSF 28發(fā)送的,所述IMPU是由UE 20發(fā)送的�。從HSS 27向NAF 29發(fā)送用戶數(shù)據(jù)應答消息,其包括與所述IMPI相關的所有IMPU的列表以及所發(fā)送的IMPU的IMPI�����。所述所發(fā)送的IMPU的IMPI被包括在所述用戶數(shù)據(jù)應答消息的用戶數(shù)據(jù)AVP中��。隨后�����,NAF 29可以驗證UE 20所用的IMPU被包含在所接收的IMPU列表中��,以確保在所述所接收的IMPI和所述UE 20所用的IMPU之間的相關性��。
在圖9和圖10中���,所述Sh接口被用來根據(jù)用戶IMPU��,從HSS 27獲取用戶檔案信息��,并且將其傳送至應用服務器�。Sh接口規(guī)范并不支持在請求中利用IMPI獲取用戶檔案�����。即便當從HSS 27向應用服務器26發(fā)送用戶檔案時��,通常也不通過Zh接口發(fā)送IMPI�����。為了通過Sh接口傳輸用戶的IMPI��,有必要提供對基于IMPI的檔案提取的支持和在相應的應用戶檔案中的IMPI-AVP�����。
圖11示出了本發(fā)明的第九實施例�����。在本實施例中�,BSF 28執(zhí)行身份驗證。BSF 28經(jīng)由Ub接口從UE 20接收IMPI�。BSF 28經(jīng)由Zh接口把所接收到的IMPI發(fā)送給HSS 27。作為對接收該IMPI的響應���,HSS 27經(jīng)由所述Zh接口向BSF 28發(fā)送IMPU列表�����。NAF 29從UE 20接收IMPU����。NAF 29經(jīng)由所述Zn接口將所述IMPU發(fā)送給BSF 28。隨后�,BSF 28可以驗證由UE 20所用的IMPU被包含在從HSS 27接收到的IMPU列表中,以確保在所述所接收到的IMPI和所述由UE 20所用的IMPU之間的相關性�。一旦完成了所述驗證,BSF 28就向NAF 29發(fā)送確定是否通過驗證的指示����,在圖11中所述確認以“ok or not”的標識。Ks_naf是由NAF 29用于對UE 20實施認證的NAF專用密鑰����。
圖2中所示的現(xiàn)有裝置的缺陷在于,未包括對GAA服務所用的IMPI和IMPU一致性的驗證機制�。盡管NAF 29確實從UE 20接收所述IMPU,并且選擇地可以接收來自BSF 28的IMPI(所述IMPI源自UE 20)��,但NAF 29并未執(zhí)行驗證����,以確保在UE 20所用的IMPU與UE 20所用的IMPI之間的相關性���。因此���,本發(fā)明的實施例旨在���,通過獨立地向NAF 29發(fā)送IMPI和IMPU,使得NAF 29可以執(zhí)行相關性校核�,從而解決上述問題。
第五至第八實施例使得NAF能夠為利用GAA的應用�����,校核在用戶的IMPI和IMPU之間的一致性�����。第九實施例使得BSF能夠為使用GAA的應用����,校核在用戶的IMPI和IMPU之間的一致性。所述校核或驗證�����,使得使用IMPU(而不是IMPI)作為用戶身份的GAA架構服務的運用成為現(xiàn)實。
第五和第六實施例使得能夠為這樣的GAA應用在NAF中進行IMPI/IMPU一致性校核��,所述GAA應用既沒有與HSS的接口���,也沒有直接從HSS下載IMPU的接口����。
第七和第八實施例可以通過與HSS連接的應用專用接口擴展來實現(xiàn)��。
第九實施例使得能夠為在GAA應用在BSF中執(zhí)行IMPI/IMPU一致性校核�����。
因此����,本發(fā)明的實施例提供了驗證終端的用戶公共和私有身份的方法,該方法可以實時地配置為會話建立進程的一部分�����。
本發(fā)明的實施例可以應用于通信系統(tǒng)中���,而不僅僅只是所描述的第三代系統(tǒng)�。
本發(fā)明的實施例可以用于驗證用戶設備或相關用戶的任意兩個身份,而不僅僅局限于所舉例的公共和私有身份���。特別地�,本發(fā)明的實施例是參照其中所用私有身份和公共身份為IMPI和IMPU的IP多媒體子系統(tǒng)進行闡述的��。然而�����,本發(fā)明可以應用于其中一個實體擁有多個用戶身份的任意通信系統(tǒng)中����。
本發(fā)明的實施例已經(jīng)對認證INVITE消息進行了描述����。應理解��,本發(fā)明的實施例也可用于可以被類似地認證的SIP消息�����,諸如MESSAGE��、REFER�、SUBSCRIBE,等等��。應理解����,本發(fā)明的實施例也可以用于非SIP消息的驗證。本發(fā)明的實施例還可以應用于任何這樣的情況�����,其中實體使用兩個或多個身份�����,并且需要在所述實體之間實施校核���。
由此�,申請人在本發(fā)明中公開了所述每個單獨的特征和所述特征中的兩個或多個的任意結合��,根據(jù)本領域技術人員的普通知識�����,可以基于現(xiàn)有規(guī)范實施所述特征及其結合,而無需考慮上述特征及其結合解決的技術問題在本發(fā)明中有無提及��,也無需受到本發(fā)明權利要求所保護范圍的限制�。申請人指出,本發(fā)明的方面可以包括任意上述單獨的特征或其結合�。基于上述描述����,對于本領域技術人員來說,顯然�,在本發(fā)明的范圍內,可以作多種修改�����。
權利要求
1.一種用于驗證實體的第一身份和第二身份的方法���,所述方法包括在校核實體接收所述實體的第一和第二身份;將與所述第一和第二身份中的至少一個相關的信息發(fā)送給歸屬用戶實體�����;以及����,驗證從所述實體接收到的所述第一和第二身份都屬于所述實體�。
2.如權利要求1所述的方法�,其中,在所述發(fā)送步驟����,發(fā)送對第三身份的請求,所述第三身份與所述第一身份相關���。
3.如權利要求2所述的方法����,其中����,所述第三身份是IMSI。
4.如權利要求2或3所述的方法���,其中���,在所述發(fā)送步驟,可選地��,將關于所述第三身份的信息與所述第一身份或所述第二身份或與兩者一起,發(fā)送到所述歸屬用戶實體�����。
5.如權利要求1至4中的任一項所述的方法���,其中��,所述發(fā)送步驟包括從所述校核實體或從自舉功能單元發(fā)送所述信息���。
6.如權利要求1至5中的任一項所述的方法,其中�����,所述驗證步驟�����,在所述歸屬用戶實體�����,或所述校核實體����,或所述歸屬用戶服務器和所述校核實體兩者中實施。
7.如權利要求1至6中的任一項所述的方法�����,其中�,所述發(fā)送步驟包括發(fā)送與所述第一和第二身份都相關的、或者僅與所述第一和第二身份中的一個相關的信息�����。
8.如權利要求1至7中的任一項所述的方法�,其中,所述發(fā)送步驟包括發(fā)送SAR和UAR消息中的至少一個���。
9.如權利要求8所述的方法�����,其中���,從所述校核實體、S-CSCF和I-CSCF中的至少一個發(fā)送所述SAR和UAR消息中的至少一個��。
10.如權利要求8或9所述的方法,其中��,在所述SAR或UAR消息中包括屬性值對��,所述SAR或UAR消息被用于使歸屬用戶實體驗證所述第一和第二身份��。
11.如權利要求8至10中的任一項所述的方法��,包括�����,僅當所述身份被驗證時��,才發(fā)送對于所述SAR或UAR消息的應答��。
12.如權利要求1至11中的任一項所述的方法�����,包括����,從所述歸屬用戶實體向所述校核實體發(fā)送有關多個身份的信息����,所述多個身份與所述第一和第二身份之一相關�����。
13.如權利要求12所述的方法���,其中,所述驗證步驟包括確定所述第一和第二身份之一是否被包含在所述有關多個身份的信息中�,所述多個身份是從所述歸屬用戶實體接收到的。
14.如權利要求12或13所述的方法�����,其中�����,所述有關多個身份的信息是經(jīng)由Sh接口或自舉功能單元發(fā)送的�����。
15.如權利要求12����,13或14所述的方法�����,其中�,所述多個身份包括至少一個公共身份和/或至少一個私有身份���。
16.如權利要求12至15中的任一項所述的方法�,其中���,所述有關所述多個身份的信息以AVP格式發(fā)送�。
17.如權利要求1至16中的任一項所述的方法�����,其中�����,所述校核實體包括認證代理����。
18.如權利要求1至17中的任一項所述的方法,其中,所述第一和第二身份中的至少一個包括私有身份��。
19.如權利要求18所述的方法��,其中�,所述私有身份包括IMPI��。
20.如權利要求1至19中的任一項所述的方法�����,其中����,所述第一和第二身份中的至少一個包括公共身份。
21.如權利要求20所述的方法�����,其中�,所述公共身份包括IMPU。
22.如權利要求1至21中的任一項所述的方法�����,其中,發(fā)送與所述第一和第二身份中的至少一個相關的信息�����,包括發(fā)送與至少一個第三身份相關的信息��,所述第三身份是從所述第一和第二身份中的至少一個導出的��。
23.如權利要求1至22中的任一項所述的方法��,其中�,所述校核實體包括AA代理、NAF和自舉功能單元中的一個����。
24.如權利要求1至23中的任一項所述的方法,其中���,所述校核實體被配置為從NAF接收所述第一和第二身份中的一個����。
25.如權利要求1至24中的任一項所述的方法��,其中��,所述第一和第二身份經(jīng)由不同路徑被提供給所述校核實體。
26.一種系統(tǒng)�,包括實體,其第一身份和第二身份將被驗證���;校核實體,其被配置為接收所述實體的第一和第二身份����;歸屬用戶實體,其被配置為接收與所述第一和第二身份中的至少一個相關的信息���;其中�,所述校核實體和所述用戶歸屬實體之一被配置為驗證從所述實體接收到的所述第一和第二身份都屬于所述實體���。
27.如權利要求26所述的系統(tǒng)�,其中�����,所述系統(tǒng)包括IMS系統(tǒng)或GAA系統(tǒng)���。
28.如權利要求26或27所述的系統(tǒng)��,其中����,所述實體包括用戶設備。
29.如權利要求26至28任一項所述的系統(tǒng)��,其中�,所述校核實體包括自舉功能單元、NAF和AA代理中的至少一個����。
30.一種用于這樣的系統(tǒng)中的校核實體,所述系統(tǒng)包括其第一身份和第二身份將被驗證的實體��,所述校核實體被配置為接收所述實體的第一和第二身份�����;向歸屬用戶實體發(fā)送與所述第一和第二身份中的至少一個相關的信息�����;以及�,驗證從所述實體接收到的所述第一和第二身份都屬于所述實體。
31.一種用于這樣的系統(tǒng)中的歸屬用戶實體���,所述系統(tǒng)包括其第一身份和第二身份將被驗證的實體����,所述歸屬用戶實體被配置為接收與所述第一和第二身份相關的信息;以及��,驗證所述第一和第二身份都屬于所述實體����。
全文摘要
本發(fā)明公開了一種驗證實體的第一身份和第二身份的方法���,所述方法包括在校核實體接收所述實體的第一和第二身份�;將與所述第一和第二身份中的至少一個相關的信息發(fā)送給歸屬用戶實體�����;以及�,驗證從所述實體接收到的所述第一和第二身份都屬于所述實體。
文檔編號H04L29/12GK1957581SQ200580016726
公開日2007年5月2日 申請日期2005年4月27日 優(yōu)先權日2004年4月28日
發(fā)明者A·哈蒂凱寧, K·塔米, T·米埃迪寧, L·萊蒂寧, P·金澤伯格, P·萊蒂寧 申請人:諾基亞公司