專利名稱:提供通信網(wǎng)之間安全通信的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信方法�����。
背景技術(shù):
可以將通信系統(tǒng)看作一種能夠在兩個(gè)或者兩個(gè)以上的實(shí)體之間進(jìn)行通信會(huì)話的設(shè)施����,其中實(shí)體例如是用戶設(shè)備和/或其它與通信系統(tǒng)相關(guān)聯(lián)的節(jié)點(diǎn)��。通信可以包括�,例如��,語音通信���、數(shù)據(jù)通信�����、多媒體通信等���。會(huì)話可以包括,例如�,在各用戶之間的電話呼叫或者多路會(huì)議會(huì)話����,或者在用戶設(shè)備和應(yīng)用服務(wù)器(AS)(例如,服務(wù)提供商服務(wù)器)之間的通信會(huì)話�����。這些會(huì)話的建立一般能夠向用戶提供各種服務(wù)。
通信系統(tǒng)通常根據(jù)給定的標(biāo)準(zhǔn)或規(guī)范來工作�����,該標(biāo)準(zhǔn)和規(guī)范規(guī)定了各種與通信系統(tǒng)相關(guān)的實(shí)體所允許做的以及應(yīng)該怎樣實(shí)現(xiàn)����。例如,標(biāo)準(zhǔn)或者規(guī)范可以定義用戶����,或者更精確地用戶設(shè)備,是否配置有電路交換服務(wù)和/或分組交換服務(wù)�。還定義了用于進(jìn)行連接的通信協(xié)議和/或參數(shù)。換句話說���,定義了通信所基于的一個(gè)特定“規(guī)則”集合以便能夠通過系統(tǒng)來進(jìn)行通信��。
為用戶設(shè)備提供無線通信的通信系統(tǒng)是已知的��。無線系統(tǒng)的一個(gè)示例是公共陸地移動(dòng)網(wǎng)絡(luò)(PLMN)���。PLMN通常基于蜂窩技術(shù)�。在蜂窩系統(tǒng)中��,基站收發(fā)機(jī)(BTS)或者類似的接入實(shí)體通過這些實(shí)體間的無線接口為無線用戶設(shè)備(UE)�����,亦稱為移動(dòng)臺(tái)(MS)提供服務(wù)��。在用戶設(shè)備和通信網(wǎng)絡(luò)網(wǎng)元之間的無線接口上的通信可以基于適當(dāng)?shù)耐ㄐ艆f(xié)議�。進(jìn)行通信所需的基站設(shè)備和其它設(shè)備的操作可以由一個(gè)或者幾個(gè)控制實(shí)體來控制�。各種控制實(shí)體可以互相連接。
也可以設(shè)置一個(gè)或者多個(gè)網(wǎng)關(guān)節(jié)點(diǎn)以用于將蜂窩網(wǎng)絡(luò)連接到其它網(wǎng)絡(luò)�,例如連接到公共交換電話網(wǎng)絡(luò)(PSTN)和/或其它通信網(wǎng)絡(luò),諸如IP(因特網(wǎng)協(xié)議)和/或其它分組交換數(shù)據(jù)網(wǎng)絡(luò)�����。在這種設(shè)置中���,移動(dòng)通信網(wǎng)絡(luò)提供接入網(wǎng)絡(luò)���,它能夠使得具有無線用戶設(shè)備的用戶接入外部網(wǎng)絡(luò)�、主機(jī)或者由具體服務(wù)提供商所提供的服務(wù)。然后����,移動(dòng)通信網(wǎng)絡(luò)的接入點(diǎn)或者網(wǎng)關(guān)節(jié)點(diǎn)提供到外部網(wǎng)絡(luò)或者外部主機(jī)的進(jìn)一步接入�����。例如�����,如果由位于其它網(wǎng)絡(luò)的服務(wù)提供商提供所請(qǐng)求的服務(wù)�����,則服務(wù)請(qǐng)求通過該網(wǎng)關(guān)路由到服務(wù)提供商���。該路由可以基于由移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商存儲(chǔ)的移動(dòng)訂戶數(shù)據(jù)中的定義。
可以向諸如訂戶的通信系統(tǒng)的用戶提供的服務(wù)的示例為所謂的多媒體服務(wù)���。能夠提供多媒體服務(wù)的一些通信系統(tǒng)稱為因特網(wǎng)協(xié)議(IP)多媒體網(wǎng)絡(luò)�?�?梢酝ㄟ^IP多媒體核心網(wǎng)(CN)子系統(tǒng)�����,或者簡(jiǎn)稱為IP多媒體子系統(tǒng)(IMS),來提供IP多媒體(IM)功能��。IMS包括用于提供多媒體服務(wù)的各種網(wǎng)絡(luò)實(shí)體�。IMS服務(wù)旨在提供移動(dòng)用戶設(shè)備之間的IP連接,以及其它服務(wù)���。
第三代合作伙伴計(jì)劃(3GPP)已經(jīng)定義了用于提供IMS服務(wù)的通用分組無線服務(wù)(GPRS)的使用��,并且由此將其在下文中用作支持IMS服務(wù)的可能的骨干通信網(wǎng)的示例�。示例性的通用分組無線服務(wù)(GPRS)操作環(huán)境包括一個(gè)或者多個(gè)子網(wǎng)絡(luò)服務(wù)區(qū)域���,通過GPRS骨干網(wǎng)將它們彼此互聯(lián)�。子網(wǎng)絡(luò)包括多個(gè)分組數(shù)據(jù)服務(wù)節(jié)點(diǎn)(SN)����。在這種應(yīng)用中,服務(wù)節(jié)點(diǎn)將被稱為服務(wù)GPRS支持節(jié)點(diǎn)(SGSN)����。將每個(gè)SGSN連接到至少一個(gè)移動(dòng)通信網(wǎng)絡(luò),通常連接到基站系統(tǒng)���。通常地�����,通過無線網(wǎng)絡(luò)控制器(RNC)或者諸如基站控制器(BSC)的其它接入系統(tǒng)控制器��,以這樣一種方式進(jìn)行該連接通過多個(gè)基站為移動(dòng)用戶設(shè)備提供分組服務(wù)���。中間移動(dòng)通信網(wǎng)絡(luò)在支持節(jié)點(diǎn)和移動(dòng)用戶設(shè)備之間提供分組交換數(shù)據(jù)傳輸。不同的子網(wǎng)絡(luò)通過網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GGSN)依次連接到外部數(shù)據(jù)網(wǎng)絡(luò)�����,例如�����,到公共交換數(shù)據(jù)網(wǎng)絡(luò)(PSPDN)���。GPRS業(yè)務(wù)因此允許在移動(dòng)數(shù)據(jù)終端和外部數(shù)據(jù)網(wǎng)絡(luò)之間進(jìn)行分組數(shù)據(jù)傳輸�。
在這種網(wǎng)絡(luò)中����,建立分組數(shù)據(jù)會(huì)話以通過網(wǎng)絡(luò)攜帶業(yè)務(wù)流。這種分組數(shù)據(jù)會(huì)話通常被稱為分組數(shù)據(jù)協(xié)議(PDP)上下文。PDP上下文可以包括在用戶設(shè)備�、無線網(wǎng)絡(luò)控制器和SGSN之間設(shè)置的無線接入承載,以及在服務(wù)GPRS支持節(jié)點(diǎn)和網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)之間設(shè)置的交換分組數(shù)據(jù)信道����。
然后,可以在所建立的PDP上下文中實(shí)現(xiàn)用戶設(shè)備和其它方之間的數(shù)據(jù)通信會(huì)話�����。每個(gè)PDP上下文能夠攜帶多于一個(gè)的業(yè)務(wù)流�����,但是對(duì)于在一個(gè)特定PDP上下文中的所有業(yè)務(wù)流都關(guān)于其通過網(wǎng)絡(luò)的傳輸以相同的方式進(jìn)行處理��。PDP上下文處理要求基于與業(yè)務(wù)流相關(guān)聯(lián)的PDP上下文處理屬性���,例如服務(wù)質(zhì)量和/或計(jì)費(fèi)屬性����。
第三代合作伙伴項(xiàng)目(3GPP)也已經(jīng)為第三代(3G)核心網(wǎng)定義了一種參考體系結(jié)構(gòu)����,該第三代核心網(wǎng)將向用戶設(shè)備的用戶提供到多媒體服務(wù)的接入。該核心網(wǎng)被劃分為三個(gè)主要的域。它們是電路交換(CS)域��、分組交換(PS)域以及因特網(wǎng)協(xié)議多媒體(IM)域����。其中的后者����,IM域是用于確保對(duì)多媒體業(yè)務(wù)進(jìn)行充分地管理。
IM域支持由因特網(wǎng)工程任務(wù)小組(IETF)開發(fā)的會(huì)話發(fā)起協(xié)議(SIP)�����。會(huì)話發(fā)起協(xié)議(SIP)是應(yīng)用層控制協(xié)議����,用于創(chuàng)建、修改以及終止與一個(gè)或者多個(gè)參與者(端點(diǎn))的會(huì)話�。一般地,開發(fā)SIP以允許通過使得端點(diǎn)能夠明了會(huì)話語意在因特網(wǎng)中兩個(gè)或者更多端點(diǎn)之間發(fā)起會(huì)話��。連接到基于SIP的通信系統(tǒng)的用戶可以與基于標(biāo)準(zhǔn)化的SIP消息的各種通信系統(tǒng)實(shí)體進(jìn)行通信�。將用戶設(shè)備或者在該用戶設(shè)備上運(yùn)行一定應(yīng)用的用戶注冊(cè)到SIP骨干網(wǎng),以便使特定會(huì)話的發(fā)起能夠被正確地遞送到這些端點(diǎn)���。為了實(shí)現(xiàn)這一點(diǎn)�,SIP為設(shè)備和用戶提供了注冊(cè)機(jī)制,并且其應(yīng)用諸如位置服務(wù)器和注冊(cè)器之類的機(jī)制����,以適當(dāng)?shù)芈酚蓵?huì)話邀請(qǐng)?��?梢酝ㄟ^SIP信令提供的可能的會(huì)話示例包括因特網(wǎng)多媒體會(huì)議�、因特網(wǎng)電話呼叫以及多媒體發(fā)布��。
參考IETF文獻(xiàn)RFC 3325�����,通過參考將其引入本文�。該文獻(xiàn)描述了對(duì)于SIP的隱私擴(kuò)展,其使得所信任的SIP服務(wù)器的網(wǎng)絡(luò)能夠證實(shí)最終用戶或最終系統(tǒng)的身份��,并且能夠傳送最終用戶所要求的隱私的指示��。這些擴(kuò)展的使用可以應(yīng)用在如“Short term requirements for NetworkAsserted Identity”中所定義的“信任域”之中�。在這種信任域中的節(jié)點(diǎn)明確地受到其用戶和最終系統(tǒng)的信任,以便公開地證實(shí)每一方的身份�����,并且在要求了隱私性時(shí)負(fù)責(zé)在信任域之外拒絕提供該身份。
為了能夠應(yīng)用RFC 3325中所描述的隱私過程���,存在檢測(cè)下一跳網(wǎng)絡(luò)的值得信任程度的需要�����。如果下一跳是可信的,則將涉及不同隱私選項(xiàng)的過程授權(quán)給下一跳���。否則�����,需要執(zhí)行隱私過程����。
作為一個(gè)示例�����,如果呼叫者要求身份隱私���,則必須將P-Asserted-Identity報(bào)頭在其到達(dá)被叫方之前除去�����。由呼叫者發(fā)送的消息包含了標(biāo)識(shí)發(fā)送者的報(bào)頭����,稱為P-Asserted-Identity報(bào)頭。如果發(fā)送者是具有公知用戶標(biāo)識(shí)的用戶���,則該報(bào)頭的格式為<sip:userl_publicl@homel.net>�����。呼叫者的本地網(wǎng)絡(luò)僅在被叫方的本地網(wǎng)絡(luò)不受信任的情況下才必須去除該報(bào)頭��。如果被叫方的本地網(wǎng)絡(luò)(其為對(duì)于呼叫者的本地網(wǎng)絡(luò)的下一跳)是可信的�,則呼叫者的本地網(wǎng)絡(luò)將不會(huì)除去該報(bào)頭�����。這是所需要的����,以便遵循RFC 3325�,其中規(guī)定P-Asserted-Identity報(bào)頭必須由所信任域的最后網(wǎng)元除去��。
在RFC 3325中���,所提出的機(jī)制依賴于稱為“P-Asserted-Identity”的報(bào)頭字段����,該字段包含URI(通常為SIP URI)以及可選顯示名稱����。處理消息的代理服務(wù)器在以某種方式(例如摘要式驗(yàn)證DigestAuthentication)驗(yàn)證發(fā)端用戶之后能夠?qū)⑦@種P-Asserted-Identity報(bào)頭字段插入到消息中,并且將該消息轉(zhuǎn)發(fā)到其它可信代理��。將要將該消息轉(zhuǎn)發(fā)到其不信任的代理服務(wù)器或者UA的代理會(huì)除去所有P-Asserted-Identity報(bào)頭字段值���,如果該用戶要求將該信息保持隱私的話。用戶可以要求這種類型的隱私�����。
對(duì)于將在正確地點(diǎn)應(yīng)用的過程�����,必須以某種方式檢測(cè)下一跳的值得信任程度。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的第一方面����,提供一種在第一網(wǎng)絡(luò)的呼叫方和第二網(wǎng)絡(luò)的被叫方之間進(jìn)行通信的方法,包括以下步驟在該第一網(wǎng)絡(luò)中確定與所述被叫方相關(guān)聯(lián)的地址�;
基于所述地址確定所述被叫方是否處于所信任的網(wǎng)絡(luò);以及取決于所述被叫方是否處于所信任的網(wǎng)絡(luò)����,控制該被叫方和該呼叫方之間進(jìn)行的通信。
根據(jù)第二方面���,提供一種通信系統(tǒng)�����,包括具有呼叫方的第一網(wǎng)絡(luò)以及具有被叫方的第二網(wǎng)絡(luò)��,所述第一網(wǎng)絡(luò)包括用于確定與所述被叫方相關(guān)聯(lián)的地址的確定裝置����;用于基于所述地址確定所述被叫方是否處于所信任的網(wǎng)絡(luò)的確定裝置����;以及用于取決于所述被叫方是否處于所信任的網(wǎng)絡(luò)��、控制該被叫方和該呼叫方之間進(jìn)行的通信的控制裝置����。
根據(jù)第三方面����,提供一種具有呼叫方的第一網(wǎng)絡(luò),該呼叫方被設(shè)置為呼叫在第二網(wǎng)絡(luò)中的被叫方�����,所述第一網(wǎng)絡(luò)包括用于確定與所述被叫方相關(guān)聯(lián)的地址的確定裝置����;用于基于所述地址確定所述被叫方是否處于所信任的網(wǎng)絡(luò)的確定裝置;以及用于取決于所述被叫方是否處于所信任的網(wǎng)絡(luò)���、控制該被叫方和該呼叫方之間進(jìn)行的通信的控制裝置。
根據(jù)第四方面�����,提供一種在第一網(wǎng)絡(luò)的呼叫方和第二網(wǎng)絡(luò)的被叫方之間進(jìn)行通信的方法�,包括以下步驟在該第一網(wǎng)絡(luò)中確定是否存在與所述第二網(wǎng)絡(luò)的安全連接����;以及如果確定了不存在與所述第二網(wǎng)絡(luò)的安全連接��,則丟棄或者修改從該呼叫方到該被叫方的消息����。
為了更好地理解本發(fā)明,將以示例方式參考給出的附圖����,其中圖1示出了其中可以實(shí)現(xiàn)本發(fā)明的通信系統(tǒng);圖2為表示本發(fā)明一個(gè)實(shí)施例的操作的流程圖���;圖3為其中可以設(shè)置本發(fā)明的一個(gè)實(shí)施例的環(huán)境�。
具體實(shí)施例方式
本發(fā)明的實(shí)施例特別地涉及但不僅僅涉及Rel-5 IMS網(wǎng)絡(luò)�����。本發(fā)明的實(shí)施例還可以應(yīng)用于其它版本的IMS網(wǎng)絡(luò)����。本發(fā)明的實(shí)施例可以應(yīng)用于其它SIP網(wǎng)絡(luò)。本發(fā)明的一些實(shí)施例可以找到SIP和IMS環(huán)境以外的更寬的應(yīng)用。
將參考第三代(3G)移動(dòng)通信系統(tǒng)的示例性體系結(jié)構(gòu)����,通過示例的方式描述本發(fā)明特定實(shí)施例。但是�����,應(yīng)當(dāng)理解��,某些實(shí)施例可以應(yīng)用于任何其它適當(dāng)形式的網(wǎng)絡(luò)����。通常地,移動(dòng)通信系統(tǒng)被設(shè)置為一般通過用戶設(shè)備和通信系統(tǒng)的基站之間的無線接口�,為多個(gè)移動(dòng)用戶設(shè)備服務(wù)。移動(dòng)通信系統(tǒng)可以邏輯上地被劃分為無線接入網(wǎng)(RAN)和核心網(wǎng)(CN)�����。
參考圖1�����,其示出了其中可以實(shí)現(xiàn)本發(fā)明的網(wǎng)絡(luò)體系結(jié)構(gòu)的示例���。圖1示出了IP多媒體網(wǎng)絡(luò)45�����,用于為IP多媒體網(wǎng)絡(luò)訂戶提供IP多媒體服務(wù)�。IP多媒體(IM)功能能夠通過核心網(wǎng)(CN)子系統(tǒng)來提供��,該核心網(wǎng)子系統(tǒng)包括用于提供服務(wù)的多種實(shí)體�。
基站31和43被設(shè)置為通過無線接口向移動(dòng)用戶的移動(dòng)用戶設(shè)備30和44傳送信號(hào)或者從移動(dòng)用戶的移動(dòng)用戶設(shè)備30和44接收信號(hào),其中移動(dòng)用戶即為訂戶�。相應(yīng)地,每個(gè)移動(dòng)用戶設(shè)備能夠通過無線接口向基站傳送信號(hào)或者從基站接收信號(hào)����。在圖1的簡(jiǎn)化表示中,基站31和43屬于不同的無線接入網(wǎng)(RAN)��。在所示的設(shè)置中��,用戶設(shè)備30�、44的每一個(gè)可以分別通過兩個(gè)與基站31和43相關(guān)聯(lián)的接入網(wǎng)接入IMS網(wǎng)絡(luò)45。應(yīng)該理解���,雖然為了清楚起見����,圖1示出了僅兩個(gè)無線接入網(wǎng)的基站,但是典型的移動(dòng)通信網(wǎng)通常包括多個(gè)無線接入網(wǎng)���。
3G無線接入網(wǎng)(RAN)通常由適當(dāng)?shù)臒o線網(wǎng)絡(luò)控制器(RNC)進(jìn)行控制�。為了清晰起見����,該控制器未示出?��?梢詾槊總€(gè)基站指派一個(gè)控制器���,或者控制器可以控制多個(gè)基站。在其中將控制器既設(shè)置于獨(dú)立基站處又設(shè)置于無線接入網(wǎng)絡(luò)層次上以控制多個(gè)基站的方案也是已知的����。因此,應(yīng)該理解��,網(wǎng)絡(luò)控制器的名稱�����、位置以及數(shù)量取決于系統(tǒng)。
移動(dòng)用戶可以使用適用于因特網(wǎng)協(xié)議(IP)通信以連接到網(wǎng)絡(luò)的任何適當(dāng)?shù)囊苿?dòng)設(shè)備�����。例如�����,移動(dòng)用戶可以通過個(gè)人計(jì)算機(jī)(PC)����、個(gè)人數(shù)據(jù)助理(PDA)��、移動(dòng)臺(tái)(MS)等接入蜂窩網(wǎng)絡(luò)���。以下的示例是在移動(dòng)臺(tái)的背景下描述的��。
本領(lǐng)域熟練的技術(shù)人員熟悉典型移動(dòng)臺(tái)的特征和操作�����。因此�,這些特征的詳細(xì)解釋是不必要的����。應(yīng)該注意����,用戶可以使用移動(dòng)臺(tái)以用于任務(wù)���,例如用于進(jìn)行電話呼叫并且接收電話呼叫����,用于接收來自網(wǎng)絡(luò)的數(shù)據(jù)或者向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)�����,以及用于體驗(yàn)例如多媒體內(nèi)容����。移動(dòng)臺(tái)通常配置有處理器和存儲(chǔ)裝置以用于完成這些任務(wù)。移動(dòng)臺(tái)可以包括天線裝置��,用于無線地從移動(dòng)通信網(wǎng)的基站接收信號(hào)以及向移動(dòng)通信網(wǎng)的基站發(fā)射信號(hào)���。移動(dòng)臺(tái)還可以配置有顯示器��,用于為移動(dòng)用戶設(shè)備的用戶顯示圖像以及其它圖形信息����。還可以設(shè)置揚(yáng)聲器裝置。移動(dòng)臺(tái)的操作可以通過適當(dāng)?shù)挠脩艚涌诶缈刂瓢粹o���、語音命令等來進(jìn)行控制����。
應(yīng)該理解�,雖然為了清楚起見在圖1中僅示出兩個(gè)移動(dòng)臺(tái)��,但是多個(gè)移動(dòng)臺(tái)可以同時(shí)與移動(dòng)通信系統(tǒng)的每個(gè)基站進(jìn)行通信����。移動(dòng)臺(tái)還可以具有幾個(gè)同時(shí)的會(huì)話,例如多個(gè)SIP會(huì)話以及激活的PDP上下文����。用戶還可以進(jìn)行電話呼叫并且同時(shí)連接到至少一個(gè)其它服務(wù)。
核心網(wǎng)(CN)實(shí)體通常包括各種控制實(shí)體和網(wǎng)關(guān)�,用于支持通過多個(gè)無線接入網(wǎng)的通信,并且還用于將單個(gè)的通信系統(tǒng)與一個(gè)或多個(gè)通信系統(tǒng)��,例如與其它蜂窩系統(tǒng)和/或固定線路通信系統(tǒng)進(jìn)行對(duì)接���。在圖1中�����,服務(wù)GPRS支持節(jié)點(diǎn)33�����、42以及網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)34�、40用于在網(wǎng)絡(luò)中分別提供對(duì)GPRS服務(wù)32、41的支持��。
無線接入網(wǎng)控制器通常連接到適當(dāng)?shù)囊粋€(gè)或多個(gè)核心網(wǎng)實(shí)體����,例如但不限于服務(wù)通用分組無線服務(wù)支持節(jié)點(diǎn)(SGSN)33和42。雖然未示出����,但是每個(gè)SGSN通常能夠訪問指定的訂戶數(shù)據(jù)庫(kù),該數(shù)據(jù)庫(kù)被配置為用于存儲(chǔ)與各用戶設(shè)備訂制相關(guān)聯(lián)的信息����。
在無線接入網(wǎng)中的用戶設(shè)備可以通過無線網(wǎng)絡(luò)信道與無線網(wǎng)絡(luò)控制器進(jìn)行通信,該無線網(wǎng)絡(luò)信道通常是指無線承載(RB)�。每個(gè)用戶設(shè)備可以與無線網(wǎng)絡(luò)控制器在任何時(shí)刻開通一個(gè)或多個(gè)無線網(wǎng)絡(luò)信道�。無線接入網(wǎng)控制器通過適當(dāng)?shù)慕涌?���,例如Iu接口,與服務(wù)GPRS支持節(jié)點(diǎn)進(jìn)行通信�����。
接著����,服務(wù)GPRS支持節(jié)點(diǎn)通常通過GPRS骨干網(wǎng)32����、41與網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)進(jìn)行通信。該接口普通地為交換分組數(shù)據(jù)接口��。服務(wù)GPRS支持節(jié)點(diǎn)和/或網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)用于在網(wǎng)絡(luò)中提供對(duì)于GPRS服務(wù)的支持���。
在接入實(shí)體處的用戶設(shè)備和網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)之間的所有通信一般是由分組數(shù)據(jù)協(xié)議(PDP)上下文來提供的����。每個(gè)PDP上下文通常提供在特定用戶設(shè)備和網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)之間的通信通路��,并且一旦建立,則PDP上下文通常能夠攜帶多路流���。每路流一般表示例如特定服務(wù)和/或特定服務(wù)的媒體組件���。由此,PDP上下文經(jīng)常表示對(duì)于通過網(wǎng)絡(luò)的一路或者多路流的邏輯通信通路�。為了實(shí)現(xiàn)用戶設(shè)備和服務(wù)GPRS支持節(jié)點(diǎn)之間的PDP上下文,需要建立無線接入承載(RAB)���,它通常允許對(duì)于用戶設(shè)備的數(shù)據(jù)傳輸�����。這些邏輯和物理信道的實(shí)現(xiàn)對(duì)于本領(lǐng)域熟練的技術(shù)人員來說是已知的�����,并且因此不在這里作進(jìn)一步的討論��。
用戶設(shè)備30�、44可以通過GPRS網(wǎng)絡(luò)連接到應(yīng)用服務(wù)器�����,該應(yīng)用服務(wù)器一般連接到IMS。
已經(jīng)開發(fā)了這樣的通信系統(tǒng)��,使得可以向用戶設(shè)備通過網(wǎng)絡(luò)的各種功能提供服務(wù)���,上述網(wǎng)絡(luò)的各種功能由稱為服務(wù)器的網(wǎng)絡(luò)實(shí)體進(jìn)行處理��。例如����,在當(dāng)前的第三代(3G)無線多媒體網(wǎng)絡(luò)體系結(jié)構(gòu)中���,假設(shè)將幾個(gè)不同的服務(wù)器用于處理不同的功能�����。這包括諸如呼叫會(huì)話控制功能(CSCF)的功能?��?梢詫⒑艚袝?huì)話控制功能劃分為各種類別���,例如代理呼叫會(huì)話控制功能(P-CSCF)35和39、查詢呼叫會(huì)話控制功能(I-CSCF)37,以及服務(wù)呼叫會(huì)話控制功能(S-CSCF)36和38��。希望通過IMS系統(tǒng)使用由應(yīng)用服務(wù)器提供的服務(wù)的用戶可能需要向服務(wù)控制實(shí)體注冊(cè)���。服務(wù)呼叫會(huì)話控制功能(S-CSCF)可以在3G IMS設(shè)置中形成用戶需要向其注冊(cè)以便能夠請(qǐng)求來自通信系統(tǒng)的服務(wù)的實(shí)體�����。CSCF可以定義UMTS系統(tǒng)的IMS網(wǎng)絡(luò)�����。
應(yīng)該理解���,類似的功能可能在不同的系統(tǒng)中被稱為不同的名稱。例如���,在一定應(yīng)用中�,CSCF可以被稱為呼叫狀態(tài)控制功能�����。
可以設(shè)置通信系統(tǒng)�����,使得已經(jīng)由骨干網(wǎng)向其提供了所需通信資源的用戶必須通過經(jīng)由通信系統(tǒng)發(fā)送對(duì)所期望服務(wù)的請(qǐng)求來發(fā)起服務(wù)的使用。例如�,用戶可以從適當(dāng)?shù)木W(wǎng)絡(luò)實(shí)體請(qǐng)求一次會(huì)話、交易或者其它類型的通信����。
在本發(fā)明的一個(gè)實(shí)施例中,在呼叫方本地網(wǎng)絡(luò)的S-CSCF處存在一個(gè)數(shù)據(jù)庫(kù)���,其列出了所有本地網(wǎng)絡(luò)信任的已知IMS網(wǎng)絡(luò)域名和IP地址����。
必須在SIP層數(shù)據(jù)庫(kù)中維護(hù)包含了IMS網(wǎng)絡(luò)域名和相應(yīng)的I-CSCF的IP地址的數(shù)據(jù)庫(kù)�。因?yàn)镾IP請(qǐng)求可以在請(qǐng)求(R)通用資源指示符中既可以包含域名也可以包含IP地址。在數(shù)據(jù)庫(kù)中僅存儲(chǔ)域名是不夠的�。呼叫方因此可以通過查看存儲(chǔ)在該數(shù)據(jù)庫(kù)中的與被叫方相關(guān)聯(lián)的域名或者IP地址,來檢查被叫方是處于所信任的網(wǎng)絡(luò)還是處于不被信任的網(wǎng)絡(luò)�����。
但是�����,有可能在本發(fā)明的一種可選實(shí)施例中�,只要在R-URI中收到IP地址而不是域名,就進(jìn)行反向DNS域名服務(wù)器查詢��。因此����,以下簡(jiǎn)化的方案也是有可能的,將參考圖2對(duì)其進(jìn)行描述數(shù)據(jù)庫(kù)保持有本地網(wǎng)絡(luò)信任的IMS網(wǎng)絡(luò)域名����。
在步驟S1中,確定請(qǐng)求中包含域名�����。
如果結(jié)果肯定�,則下一步執(zhí)行步驟S2,其中進(jìn)行檢查以便了解該域是否在數(shù)據(jù)庫(kù)中��。如果結(jié)果肯定���,則下一跳被認(rèn)為是所信任的域����,并且應(yīng)用相應(yīng)的過程(步驟S3)。如果該域不在數(shù)據(jù)庫(kù)中�����,則認(rèn)為下一跳是不被信任的域���,并且應(yīng)用相應(yīng)的過程-步驟S4���。
如果被叫方為不被信任方,則可以丟棄消息或者可選地對(duì)其進(jìn)行修改��。如果對(duì)消息進(jìn)行了修改��,則將除去標(biāo)識(shí)呼叫方的信息�����。該信息可以是P-Asserted報(bào)頭�。如果呼叫方已經(jīng)請(qǐng)求了隱私,則該處理將被執(zhí)行���,即其身份將被保密�����。
如果該請(qǐng)求中未包含域名���,則確定是否在R-URI中接收了具有IP地址的請(qǐng)求-步驟S5。步驟S5和步驟S1可以合并到一個(gè)單獨(dú)的步驟中��。如果該請(qǐng)求包含IP地址��,則進(jìn)行反向DNS查詢���,以便找到相應(yīng)的域-步驟6�。也就是向域名服務(wù)器發(fā)送對(duì)于與該IP地址相關(guān)聯(lián)的域名的請(qǐng)求�����。然后����,下一步驟將為步驟S2,對(duì)數(shù)據(jù)庫(kù)進(jìn)行檢查�。
在本發(fā)明的另一實(shí)施例中,僅在本地網(wǎng)絡(luò)的S-CSCF處保持?jǐn)?shù)據(jù)庫(kù)�����,該數(shù)據(jù)庫(kù)列出了本地網(wǎng)絡(luò)信任的所有已知IMS網(wǎng)絡(luò)域名。
如果R-URI包含IP地址而不是域名(并且因此不能在數(shù)據(jù)庫(kù)中對(duì)其進(jìn)行檢查)�,則簡(jiǎn)單地假設(shè)下一跳是不被信任的域。
在本發(fā)明又一實(shí)施例中�����,在安全網(wǎng)關(guān)(SPD)中以這樣一種方式配置NDS網(wǎng)絡(luò)域安全將通過安全連接發(fā)送來自該域的CSCF的IP分組���,其中網(wǎng)關(guān)是該域的CSCF的一部分���。如果到目的地的安全連接不存在,則將分組簡(jiǎn)單地丟棄并且生成ICMP因特網(wǎng)控制消息協(xié)議消息��。ICMP是一種因特網(wǎng)協(xié)議���,其關(guān)于IP數(shù)據(jù)報(bào)處理在網(wǎng)關(guān)或者目的主機(jī)和源主機(jī)之間遞送差錯(cuò)和控制消息����。ICMP能夠例如報(bào)告IP數(shù)據(jù)報(bào)處理中的差錯(cuò)��。ICMP通常是IP協(xié)議的一部分���。因此�,本地網(wǎng)絡(luò)總是假設(shè)下一跳是可信任的,并且不除去P-Asserted-Identity����。如果發(fā)生了下一跳是不被信任的����,則分組被丟棄,并且它不會(huì)到達(dá)被叫方�。
該方案的結(jié)果是,CSCF將僅能夠與屬于所信任域的SIP實(shí)體進(jìn)行通信�����。
參考第三代合作伙伴項(xiàng)目規(guī)范第TS33.210號(hào)版本3.3.0�,將其通過參考引入本文。該文獻(xiàn)描述了網(wǎng)絡(luò)域安全體系結(jié)構(gòu)的大綱�����。參考圖3��,其示出了可以應(yīng)用本發(fā)明的實(shí)施例的這種體系結(jié)構(gòu)��。
首先��,將給出關(guān)于在網(wǎng)絡(luò)之間以及網(wǎng)絡(luò)之中分別存在的Za和Zb接口的解釋。該解釋采用自3GPP TS 33.210V6.0.0(2002年12月)技術(shù)規(guī)范���,版本6�。圖3示出了二個(gè)安全域�,以及在這些域的實(shí)體之間的Za和Zb接口。
定義接口以便保護(hù)本地基于IP的協(xié)議Za接口(SEG-SEG)Za接口覆蓋所有安全域之間的NDS/IP(網(wǎng)絡(luò)域安全/因特網(wǎng)協(xié)議)業(yè)務(wù)�。SEG(安全網(wǎng)關(guān))使用IKE(因特網(wǎng)密鑰交換),來協(xié)商����、建立并維護(hù)它們之間的安全ESP(封裝的安全載荷)通道。服從于漫游協(xié)議��,正常地在所有時(shí)刻交互SEG通道(inter-SEG tunnel)都是可用的���,但是也能夠在所需時(shí)建立該通道�。ESP將與加密和認(rèn)證/完整性一起使用���,但是允許僅為認(rèn)證/完整性模式���。接著,使用通道在安全域A和安全域B之間轉(zhuǎn)發(fā)NDS/IP業(yè)務(wù)。
一個(gè)SEG能夠?qū)S糜趦H為所有漫游伙伴的一個(gè)確定的子集提供服務(wù)���。這將限制需要維護(hù)的SA和通道的數(shù)量�����。
遵循這種規(guī)范的所有安全域應(yīng)該操作Za接口����。
Zb接口(NE-SEG/NE-NE)Zb接口位于SEG和NE之間以及相同安全域之內(nèi)的NE之間�����。Zb接口的實(shí)現(xiàn)是可選的�����。如果被實(shí)現(xiàn)��,則其將實(shí)現(xiàn)ESP+IKE���。
在Zb接口,ESP將總是與認(rèn)證/完整性保護(hù)一起使用�。加密的使用是可選的。ESP安全關(guān)聯(lián)將用于需要安全保護(hù)的所有控制平面業(yè)務(wù)。
是否當(dāng)需要時(shí)或者先驗(yàn)地建立安全關(guān)聯(lián)�,是由安全域運(yùn)營(yíng)商決定的。然后����,安全關(guān)聯(lián)用于在NE之間交換NDS/IP業(yè)務(wù)。
在Za接口上建立的安全策略服從于漫游協(xié)議��。這不同于在Zb接口上實(shí)現(xiàn)的安全策略�,它是由安全域運(yùn)營(yíng)商單方地決定的。
對(duì)于NDS/IP體系結(jié)構(gòu)的基本思想是提供逐跳的安全��。這符合操作的鏈?zhǔn)酵ǖ?chained-tunnel)或者中心輻射(hub-and-spoke)模型�。使用逐跳的安全還使得易于在內(nèi)部以及對(duì)其它外部安全域操作獨(dú)立的安全策略。
在NDS/IP中�����,僅安全網(wǎng)關(guān)(SEG)會(huì)直接涉及與其它用于NDS/IP業(yè)務(wù)的安全域中的實(shí)體進(jìn)行的通信�。然后,SEG將在安全域之間以通道模式建立并且維護(hù)IPsec保護(hù)的ESP安全關(guān)聯(lián)�����。正常地��,SEG將維護(hù)至少一條IPsec通道,該通道在所有時(shí)刻對(duì)于特定的對(duì)等SEG是可用的����。該SEG將邏輯上維護(hù)每個(gè)接口的獨(dú)立SAD以及SPD數(shù)據(jù)庫(kù)。
NE可能能夠在需要時(shí)向同一安全域內(nèi)的SEG或者其它NE建立并且維護(hù)ESP安全關(guān)聯(lián)�。從一個(gè)安全域的NE向不同的安全域的NE的所有NDS/IP業(yè)務(wù)將通過SEG進(jìn)行路由,并且將由到最后目的地的逐跳安全保護(hù)來承擔(dān)���。
運(yùn)營(yíng)商可以決定在兩個(gè)通信的安全域之間僅建立一個(gè)ESP安全關(guān)聯(lián)��。這會(huì)導(dǎo)致粗粒度的安全粒度����。這一點(diǎn)的益處在于其給出了相對(duì)于業(yè)務(wù)流分析的一定量的保護(hù)�����,而缺點(diǎn)在于將不能夠區(qū)分在通信實(shí)體之間給定的安全保護(hù)����。這不排除由通信實(shí)體決定的更細(xì)粒度的安全粒度的協(xié)商�。
在本發(fā)明的實(shí)施例中,呼叫方的SEG將確定被叫方的分組是否將通過安全連接發(fā)送到被叫方的SEG����。如果不存在安全連接����,則將分組丟棄�。如果存在安全連接,則發(fā)送分組��。
在一個(gè)實(shí)施例中���,如果不存在安全連接��,則呼叫方的SEG將從消息中除去身份信息�����,亦即P-Asserted報(bào)頭���。然后將修改的消息發(fā)送到被叫方。
在本發(fā)明的實(shí)施例中���,從分組中除去P-asserted報(bào)頭信息�����。在本發(fā)明的可選實(shí)施例中�����,其中不具有P-Asserted信息�,則將會(huì)除去涉及呼叫方身份的標(biāo)識(shí)信息。
數(shù)據(jù)庫(kù)被描述為僅存儲(chǔ)所信任方身份�。在一種改進(jìn)中,其能夠僅存儲(chǔ)不被信任方的身份�,或者將不被信任方和所信任方連同指示其是否可信的信息一起進(jìn)行存儲(chǔ)。
應(yīng)該理解���,對(duì)一個(gè)其中存在GPRS系統(tǒng)的實(shí)施例的描述僅是以示例的方式進(jìn)行的��,并且也可以在本發(fā)明的可選實(shí)施例中使用其它系統(tǒng)�。
應(yīng)該理解�����,雖然本發(fā)明的實(shí)施例已經(jīng)相對(duì)于諸如移動(dòng)臺(tái)的用戶設(shè)備進(jìn)行了描述��,但是本發(fā)明的實(shí)施例可以應(yīng)用于任何其它適合的用戶設(shè)備類型��。
本發(fā)明的示例已經(jīng)在IMS系統(tǒng)和GPRS網(wǎng)絡(luò)的背景下進(jìn)行了描述�。該發(fā)明還可以應(yīng)用于任何其它接入技術(shù)。而且��,該給定的示例是在帶有支持SIP實(shí)體的SIP網(wǎng)絡(luò)的背景下描述的���。該發(fā)明還可以應(yīng)用于任何其它適當(dāng)?shù)耐ㄐ畔到y(tǒng)(既可以是無線的也可以是固定線路的系統(tǒng))以及標(biāo)準(zhǔn)和協(xié)議����。
本發(fā)明的實(shí)施例已經(jīng)在呼叫狀態(tài)控制功能的背景下進(jìn)行了討論�����。本發(fā)明的實(shí)施例能夠應(yīng)用于可以使用的其它網(wǎng)元����。
這里還要注意,雖然上面描述了本發(fā)明的示例性的實(shí)施例����,還存在可以對(duì)所公開的方案進(jìn)行的多種變形和改進(jìn),而不背離如在所附權(quán)利要求中限定的本發(fā)明的范圍�。
權(quán)利要求
1.一種在第一網(wǎng)絡(luò)的呼叫方和第二網(wǎng)絡(luò)的被叫方之間進(jìn)行通信的方法,包括以下步驟在該第一網(wǎng)絡(luò)中確定與所述被叫方相關(guān)聯(lián)的地址��;基于所述地址確定所述被叫方是否處于所信任的網(wǎng)絡(luò)�����;以及取決于所述被叫方是否處于所信任的網(wǎng)絡(luò),控制該被叫方和該呼叫方之間進(jìn)行的通信���。
2.根據(jù)權(quán)利要求1所述的方法�,其中該地址包含在所述被叫方的消息中�。
3.根據(jù)權(quán)利要求2所述的方法,其中該消息是分組形式的���。
4.根據(jù)前述任一權(quán)利要求所述的方法��,其中確定該被叫方是否處于所信任的網(wǎng)絡(luò)的步驟包括檢查該地址是否包含在所信任網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)中���。
5.根據(jù)權(quán)利要求4所述的方法,其中所述數(shù)據(jù)庫(kù)處于所述第一網(wǎng)絡(luò)��。
6.根據(jù)權(quán)利要求4或5所述的方法��,其中該數(shù)據(jù)庫(kù)設(shè)置在CSCF中或者安全網(wǎng)關(guān)中����。
7.根據(jù)權(quán)利要求4-7之任一權(quán)利要求所述的方法��,其中所述數(shù)據(jù)庫(kù)包括與所信任的網(wǎng)絡(luò)相關(guān)聯(lián)的域名,以及可選地包括所信任網(wǎng)絡(luò)的IP地址��。
8.根據(jù)前述任一權(quán)利要求所述的方法����,其中所述確定地址的確定步驟包括確定該地址是否包含域名。
9.根據(jù)權(quán)利要求8所述的方法����,其中如果確定了該地址未包含域名,則發(fā)送對(duì)于該域名的請(qǐng)求��。
10.根據(jù)權(quán)利要求9所述的方法����,其中向域名服務(wù)器發(fā)送所述請(qǐng)求。
12.根據(jù)權(quán)利要求8所述的方法�,其中如果確定了該地址未包含域名,則假設(shè)該被叫方處于不被信任的網(wǎng)絡(luò)��。
13.根據(jù)前述任一權(quán)利要求所述的方法����,其中如果該被叫方未處于所信任的網(wǎng)絡(luò),則該控制步驟包括丟棄對(duì)該被叫方的至少一個(gè)消息。
14.根據(jù)權(quán)利要求1-12之任一權(quán)利要求所述的方法�,其中如果該被叫方未處于所信任的網(wǎng)絡(luò),則修改對(duì)該被叫方的至少一個(gè)消息����。
15.根據(jù)權(quán)利要求14所述的方法,其中通過除去涉及所述呼叫方的身份信息來修改所述對(duì)該被叫方的至少一個(gè)消息����。
16.根據(jù)權(quán)利要求15所述的方法,其中所述身份信息是P-Asserted-Identity報(bào)頭���。
17.根據(jù)前述任一權(quán)利要求所述的方法����,其中所述第一和第二網(wǎng)絡(luò)依據(jù)SIP進(jìn)行操作����。
18.根據(jù)前述任一權(quán)利要求所述的方法,其中該確定該被叫方是否處于所信任的網(wǎng)絡(luò)的步驟包括確定從該呼叫網(wǎng)絡(luò)到該被叫網(wǎng)絡(luò)的連接是否是安全的��。
19.根據(jù)權(quán)利要求19所述的方法�,其中在該呼叫網(wǎng)絡(luò)的網(wǎng)關(guān)處執(zhí)行確定該被叫方是否處于所信任的網(wǎng)絡(luò)的步驟。
20.根據(jù)權(quán)利要求19所述的方法�����,其中確定該被叫方是否處于所信任的網(wǎng)絡(luò)的步驟包括該呼叫網(wǎng)絡(luò)的網(wǎng)關(guān)確定在該呼叫網(wǎng)絡(luò)的網(wǎng)關(guān)和該被叫網(wǎng)絡(luò)的網(wǎng)關(guān)之間的連接是否為安全連接����。
21.一種通信系統(tǒng),包括具有呼叫方的第一網(wǎng)絡(luò)以及具有被叫方的第二網(wǎng)絡(luò)��,所述第一網(wǎng)絡(luò)包括用于確定與所述被叫方相關(guān)聯(lián)的地址的確定裝置�;用于基于所述地址確定所述被叫方是否處于所信任的網(wǎng)絡(luò)的確定裝置;以及用于取決于所述被叫方是否處于所信任的網(wǎng)絡(luò)����、控制該被叫方和該呼叫方之間進(jìn)行的通信的控制裝置。
22.一種具有呼叫方的第一網(wǎng)絡(luò)����,該呼叫方被設(shè)置為呼叫在第二網(wǎng)絡(luò)中的被叫方,所述第一網(wǎng)絡(luò)包括用于確定與所述被叫方相關(guān)聯(lián)的地址的確定裝置�;用于基于所述地址確定所述被叫方是否處于所信任的網(wǎng)絡(luò)的確定裝置;以及用于取決于所述被叫方是否處于所信任的網(wǎng)絡(luò)�����、控制該被叫方和該呼叫方之間進(jìn)行的通信的控制裝置�。
23.一種在第一網(wǎng)絡(luò)的呼叫方和第二網(wǎng)絡(luò)的被叫方之間進(jìn)行通信的方法,包括以下步驟在該第一網(wǎng)絡(luò)中確定是否存在與所述第二網(wǎng)絡(luò)的安全連接;以及如果確定了不存在與所述第二網(wǎng)絡(luò)的安全連接��,則丟棄或者修改從該呼叫方到該被叫方的消息��。
24.根據(jù)權(quán)利要求23所述的方法�,其中在網(wǎng)關(guān)處執(zhí)行所述確定步驟。
25.根據(jù)權(quán)利要求24所述的方法�,其中所述網(wǎng)關(guān)為安全網(wǎng)關(guān)。
全文摘要
本發(fā)明涉及一種在第一網(wǎng)絡(luò)的呼叫方和第二網(wǎng)絡(luò)的被叫方之間進(jìn)行通信的方法����,包括以下步驟在該第一網(wǎng)絡(luò)中確定與所述被叫方相關(guān)聯(lián)的地址;基于所述地址確定所述被叫方是否處于所信任的網(wǎng)絡(luò)���;以及取決于所述被叫方是否處于所信任的網(wǎng)絡(luò)�,控制該被叫方和該呼叫方之間進(jìn)行的通信����。
文檔編號(hào)H04L29/06GK1871834SQ200480031388
公開日2006年11月29日 申請(qǐng)日期2004年9月27日 優(yōu)先權(quán)日2003年9月30日
發(fā)明者加博爾·巴伊科, 阿基·尼米, 瓦爾特里·尼米 申請(qǐng)人:諾基亞公司