專利名稱：：在ip多媒體子系統(tǒng)通信網(wǎng)絡(luò)中處理信任的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及在IP多媒體子系統(tǒng)通信網(wǎng)絡(luò)中處理信任的領(lǐng)域。
背景技術(shù)：
：IP多媒體服務(wù)在相同會(huì)話內(nèi)提供語音、視頻、消息傳遞、數(shù)據(jù)等的動(dòng)態(tài)組合。通過增大基本應(yīng)用和可能組合的媒體的數(shù)量，向最終用戶提供的服務(wù)數(shù)量將增大，并且人與人之間的通信體驗(yàn)將會(huì)變豐富。這將導(dǎo)致新一代的個(gè)性化、豐富多媒體通信服務(wù)。IP多媒體子系統(tǒng)(IMS)是第三代合作伙伴項(xiàng)目(3GPP)為通過移動(dòng)通信網(wǎng)絡(luò)提供IP多媒體服務(wù)而定義的技術(shù)(3GPPTS22.228、TS23.228、TS24.229、TS29.228、TS29.229、TS29.328和TS29.329發(fā)行版5到8)。MS通過使用標(biāo)準(zhǔn)化MS服務(wù)使能器(MSServiceEnabler)來提供關(guān)鍵特性，以豐富最終用戶人到人的通信體驗(yàn)，這促進(jìn)基于IP的網(wǎng)絡(luò)上新的、豐富的人到人(客戶端到客戶端)通信服務(wù)及人到內(nèi)容(客戶機(jī)到服務(wù)器)服務(wù)。IMS利用會(huì)話啟動(dòng)協(xié)議(SIP)來建立和控制用戶終端(或用戶終端與應(yīng)用服務(wù)器)之間的呼叫或會(huì)話。SIP信令攜帶的會(huì)話描述協(xié)議(SDP)用于描述和協(xié)商會(huì)話的媒體組件。雖然SIP創(chuàng)建為用戶到用戶協(xié)議，但I(xiàn)MS允許運(yùn)營商和服務(wù)提供商控制用戶對(duì)服務(wù)的接入并相應(yīng)地對(duì)用戶計(jì)費(fèi)。圖1中示意示出IP多媒體子系統(tǒng)集成到3G移動(dòng)通信系統(tǒng)中。MS認(rèn)證和密鑰協(xié)定(AKA)用于在諸如移動(dòng)電話等用戶設(shè)備(UE)101與IMS網(wǎng)絡(luò)103中的代理呼叫會(huì)話控制功能(P-CSCF)102之間建立共享密鑰。這允許通過使用具有預(yù)共享密鑰的IP-Sec隧道，安全地加密UE101與IMS網(wǎng)絡(luò)103之間發(fā)送的信號(hào)。P-CSCF101可位于如圖2所示的歸屬公共陸地移動(dòng)網(wǎng)絡(luò)(PLMN)中或在如圖3所示的受訪PLMN中。歸屬PLMN201是UE202在其中注冊(cè)的網(wǎng)絡(luò)，而受訪PLMN203是UE202可附連到的網(wǎng)絡(luò)。服務(wù)會(huì)話控制功能(S-CSCF)204位于歸屬PLMN201中，并在UE加入網(wǎng)絡(luò)時(shí)控制UE202的認(rèn)證和授權(quán)，例如，參見TS33.203。設(shè)想IMS將不僅應(yīng)用到3GPPIMS網(wǎng)絡(luò)，而且應(yīng)用到諸如電信和因特網(wǎng)融合服務(wù)及高級(jí)網(wǎng)絡(luò)協(xié)議(ETSITISPAN)和PacketCable等非3GPPMS網(wǎng)絡(luò)，例如，參見ETSIES282007和PKT-SP-23.228-102-061013。然而，IMS的TISPAN和PacketCable部署不使用如3GPPMS網(wǎng)絡(luò)使用的IMSAKA。在某些情形中，授權(quán)TISPAN或PacketCable終端中的通用訂戶身份模塊(USIM)或IP多媒體服務(wù)身份模塊(ISIM)接入3GPPIMS網(wǎng)絡(luò)對(duì)于這些接入技術(shù)是一個(gè)障礙。TISPAN和PacketCable已引入了其它安全性解決方案，如用于SIP的HTTP摘要(HTTPDigest)、網(wǎng)絡(luò)附連子系統(tǒng)(NASS)-MS捆綁認(rèn)證和傳輸層安全性(TLS)。然而，這些安全性機(jī)制提供比MSAKA更低的安全性級(jí)別。期望3GPPIMS網(wǎng)絡(luò)能夠與TISPAN和PacketCable網(wǎng)絡(luò)互通以改善可用于網(wǎng)絡(luò)的用戶的選擇。為了允許此情況，MS網(wǎng)絡(luò)中的S-CSCF必須能夠處理和支持不同接入技術(shù)之間的互通。這將允許使用不同接入技術(shù)的終端相互通信。除了可使用例如3GPP、TISPAN和PacketCable的不同接入技術(shù)來接入MS網(wǎng)絡(luò)外，MS網(wǎng)絡(luò)也可使用諸如PSTN互連(例如，參見3GPPTS23.002)、MS互連(例如，參見43GPPTS23.228)和因特網(wǎng)互連等互連技術(shù)來接入。注意因特網(wǎng)互連不是一種指定的協(xié)議或系統(tǒng)，并且傾向于基于專有實(shí)現(xiàn)。這些允許接入非MS網(wǎng)絡(luò)的終端接入來自IMS網(wǎng)絡(luò)的IMS服務(wù)。不同類型的網(wǎng)絡(luò)和接入技術(shù)使IMS網(wǎng)絡(luò)面臨來自不同網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)或終端的信令，其可能對(duì)相同頂S網(wǎng)絡(luò)內(nèi)的其它節(jié)點(diǎn)具有不同的信任級(jí)別。由于互連網(wǎng)絡(luò)不可能具有有關(guān)與其互連的另一網(wǎng)絡(luò)中使用的不同信任級(jí)別的任何知識(shí)，因此，對(duì)于MS互連，這是一個(gè)突出的問題?；ミB網(wǎng)絡(luò)將因此平等地處理所有進(jìn)入業(yè)務(wù)。在當(dāng)前IMS網(wǎng)絡(luò)中，只有一個(gè)給予信令的信任域，因此，消息受信任或不受信任。如果用于建立會(huì)話的SIP請(qǐng)求不受信任，則在SIP請(qǐng)求被轉(zhuǎn)發(fā)到非受信任域前，從其去除SIP請(qǐng)求中包含的斷言的用戶身份P-Asserted-Id(參見RFC3325)。IMS網(wǎng)絡(luò)運(yùn)營商必須接受使用的更低安全性級(jí)別，例如，早期的IMS安全性(參見TR33.978)或HTTP摘要(參見RFC2617)，或者不接受它并從請(qǐng)求去除任何斷言的信息。IMS提供極強(qiáng)的安全性，但在與其它接入技術(shù)和網(wǎng)絡(luò)的互操作性增大時(shí)，則可能降低應(yīng)用到IMS通信的安全性。這導(dǎo)致對(duì)于每個(gè)IMS用戶的未經(jīng)請(qǐng)求通信的增大風(fēng)險(xiǎn)，這是不令人滿意的。它還能降低IMS被用于要求強(qiáng)安全性架構(gòu)的服務(wù)的可能性，例如其中可對(duì)各個(gè)用戶或用戶群加密媒體流的IPTV。
發(fā)明內(nèi)容本發(fā)明人認(rèn)識(shí)到在當(dāng)前IMS網(wǎng)絡(luò)中與信任級(jí)別相關(guān)聯(lián)的問題，并且設(shè)計(jì)了解決方案以向IMS網(wǎng)絡(luò)中的節(jié)點(diǎn)指示應(yīng)給予信令的信任級(jí)別。通過在SIP消息中包括附加信息來擴(kuò)展SIP協(xié)議，所述附加信息與消息的信任級(jí)別有關(guān)。這允許在網(wǎng)絡(luò)之間的IMS會(huì)話中靈活地處理信任。信息元素可由網(wǎng)絡(luò)中的不同實(shí)體添加、驗(yàn)證和實(shí)施。根據(jù)本發(fā)明的第一方面，提供一種在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中處理信任的方法。IP多媒體子系統(tǒng)網(wǎng)絡(luò)中的節(jié)點(diǎn)接收來自遠(yuǎn)程節(jié)點(diǎn)的會(huì)話啟動(dòng)協(xié)議消息。所述消息包括指示從遠(yuǎn)程節(jié)點(diǎn)發(fā)送到IP多媒體子系統(tǒng)節(jié)點(diǎn)的通信的信任級(jí)別的指示符?；谠撝甘痉?，節(jié)點(diǎn)將安全性策略應(yīng)用到所述消息。這具有的優(yōu)點(diǎn)是節(jié)點(diǎn)能對(duì)于給予消息多少信任做出決定。當(dāng)遠(yuǎn)程節(jié)點(diǎn)安置在可以不是IMS網(wǎng)絡(luò)的另一網(wǎng)絡(luò)中時(shí)，這可能特別有利。SIP消息通常用于建立通信會(huì)話，因此，作為一種選擇，安全性策略應(yīng)用到與所述會(huì)話啟動(dòng)協(xié)議消息相關(guān)聯(lián)的所有信令，如媒體。作為一種選擇，指示符是數(shù)字，在這種情況下，數(shù)字能直接映射到安全性策略。備選的是，指示符是描述，在這種情況下，描述映射到安全性策略。作為一種選擇，指示符包括多個(gè)指示符元素，每個(gè)指示符元素涉及遠(yuǎn)程節(jié)點(diǎn)與所述節(jié)點(diǎn)之間的信令路徑中不同節(jié)點(diǎn)的信任級(jí)別。這允許在SIP消息沿到其目的地的路徑經(jīng)過不同節(jié)點(diǎn)時(shí)構(gòu)造信任級(jí)別指示符，并且與經(jīng)過的節(jié)點(diǎn)有關(guān)的信任信息能包括在信任級(jí)別指示符中。指示符元素可包括從其接收到SIP消息的網(wǎng)絡(luò)的指示。信任級(jí)別指示符可選地從可能影響應(yīng)給予消息的信任級(jí)別的任何信息得出。此類信息包括用戶終端類型、加密類型、網(wǎng)絡(luò)類型、節(jié)點(diǎn)類型、最終用戶認(rèn)證機(jī)制和域內(nèi)安全性機(jī)制。作為一種選擇，從去除P-Asserted-Identity報(bào)頭、應(yīng)用拓?fù)潆[藏、禁止所述通信、允許所述通信無修改、根據(jù)可允許的消息源的數(shù)據(jù)庫來過濾消息以及對(duì)涉及所述SIP消息的進(jìn)入信令應(yīng)用惡意軟件檢測(cè)中的任何項(xiàng)來選擇應(yīng)用的安全性策略。在與應(yīng)用此類策略相關(guān)的任何節(jié)點(diǎn)，可選地應(yīng)用安全性策略。此類節(jié)點(diǎn)包括邊界單元、應(yīng)用服務(wù)器、用戶設(shè)備和呼叫會(huì)話控制功能。根據(jù)本發(fā)明的第二方面，提供一種用于在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中使用的節(jié)點(diǎn)。所述節(jié)點(diǎn)包括用于接收來自遠(yuǎn)程節(jié)點(diǎn)的會(huì)話啟動(dòng)協(xié)議消息的接收器。所述消息包括指示從遠(yuǎn)程節(jié)點(diǎn)發(fā)送到該節(jié)點(diǎn)的通信的信任級(jí)別的指示符。所述節(jié)點(diǎn)還包括用于將安全性策略應(yīng)用到消息的處理器。所述安全性策略從指示符中包含的信息來確定。此類節(jié)點(diǎn)用于基于指示符中包含的信息將安全性策略應(yīng)用到消息。這具有的優(yōu)點(diǎn)是允許根據(jù)節(jié)點(diǎn)給予消息的信任級(jí)別靈活地將安全性策略應(yīng)用到消息。節(jié)點(diǎn)可選地從用戶設(shè)備、呼叫會(huì)話控制功能、邊界單元和應(yīng)用服務(wù)器之一來選擇。根據(jù)本發(fā)明的第三方面，提供一種用于在通信網(wǎng)絡(luò)中使用的節(jié)點(diǎn)。所述節(jié)點(diǎn)包括用于收集信任級(jí)別信息的部件和用于基于信任級(jí)別信息來生成信任級(jí)別指示符的處理器。所述處理器還用于修改會(huì)話啟動(dòng)協(xié)議消息，使得所述會(huì)話啟動(dòng)協(xié)議消息包括信任級(jí)別指示符。所述節(jié)點(diǎn)還包括用于發(fā)送會(huì)話啟動(dòng)協(xié)議消息的傳送器。此類節(jié)點(diǎn)具有的優(yōu)點(diǎn)是允許發(fā)送包含信任級(jí)別指示符的SIP消息。如上所述，信任級(jí)別指示符能用于確定應(yīng)用到消息的安全性策略，并且允許根據(jù)網(wǎng)絡(luò)給予消息的信任程度，靈活地將不同的安全性策略應(yīng)用到消息。所述處理器優(yōu)選布置成通過將信任級(jí)別指示符元素添加到SIP消息中的現(xiàn)有信任級(jí)別指示符來修改所述現(xiàn)有信任級(jí)別指示符，信任級(jí)別指示符元素涉及其中安置所述節(jié)點(diǎn)的網(wǎng)絡(luò)或所述節(jié)點(diǎn)的信任級(jí)別。節(jié)點(diǎn)優(yōu)選從用戶設(shè)備、呼叫會(huì)話控制功能、邊界單元和應(yīng)用服務(wù)器之一來選擇。根據(jù)本發(fā)明的第四方面，提供一種在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中處理信任的方法。在網(wǎng)絡(luò)節(jié)點(diǎn)收集信任級(jí)別信息，并且基于信任級(jí)別信息來創(chuàng)建信任級(jí)別指示符。隨后，將信任級(jí)別指示符添加到會(huì)話啟動(dòng)協(xié)議消息。創(chuàng)建或修改SIP消息以包括信任級(jí)別指示符的優(yōu)點(diǎn)在于其它節(jié)點(diǎn)能基于信任級(jí)別指示符來確定應(yīng)給予SIP消息或相關(guān)聯(lián)消息多少信任，并在能應(yīng)用到消息的安全性策略的類型方面提供靈活性。作為一種選擇，信任級(jí)別指示符添加到網(wǎng)絡(luò)節(jié)點(diǎn)創(chuàng)建的新會(huì)話啟動(dòng)協(xié)議消息，或者添加到網(wǎng)絡(luò)節(jié)點(diǎn)接收的現(xiàn)有會(huì)話啟動(dòng)協(xié)議。信任級(jí)別信息可選地基于數(shù)據(jù)庫信息、用戶終端類型、加密類型、網(wǎng)絡(luò)類型、節(jié)點(diǎn)類型、最終用戶認(rèn)證機(jī)制和域內(nèi)安全性機(jī)制中的任何項(xiàng)。圖1在框圖中示意示出IP多媒體子系統(tǒng)集成到3G移動(dòng)通信系統(tǒng)中；圖2在框圖中示意示出當(dāng)P-CSCF安置在受訪網(wǎng)絡(luò)中時(shí)用于IMS網(wǎng)絡(luò)的安全性架構(gòu)；圖3在框圖中示意示出當(dāng)P-CSCF安置在歸屬網(wǎng)絡(luò)中時(shí)用于IMS網(wǎng)絡(luò)的安全性架6構(gòu)；圖4示意示出根據(jù)本發(fā)明的實(shí)施例的消息格式的示例；圖5在框圖中示意示出根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于在通信網(wǎng)絡(luò)中使用的節(jié)點(diǎn)；圖6是示出本發(fā)明的基本步驟的流程圖；圖7在框圖中示意示出始發(fā)MS網(wǎng)絡(luò)與終止MS網(wǎng)絡(luò)之間SIP消息的路由；以及圖8示意示出根據(jù)本發(fā)明的一個(gè)實(shí)施例的互連網(wǎng)絡(luò)中的功能劃分。具體實(shí)施例方式通過將信任級(jí)別的指示引入信令中，IMS網(wǎng)絡(luò)中的節(jié)點(diǎn)能查明什么信任級(jí)別被給予來自諸如用戶設(shè)備(UE)等遠(yuǎn)程節(jié)點(diǎn)的信令。信任級(jí)別可取決于各種因素，例如UE處的安全性和從UE到IMS網(wǎng)絡(luò)中節(jié)點(diǎn)的傳輸路徑中不同節(jié)點(diǎn)處的安全性。有幾種方式能形成信任的指示。指示信任的第一種方式是用數(shù)字表示；例如，新信任級(jí)別可位于某個(gè)范圍內(nèi)，如1到IO，其中，IO指示的信任級(jí)別分配給完全受信任的接入技術(shù)或安全性機(jī)制，并且1指示的信任級(jí)別分配給接收信令的IMS節(jié)點(diǎn)不信任的接入技術(shù)。IMS網(wǎng)絡(luò)運(yùn)營商可通過信任級(jí)別將支持不同接入技術(shù)和安全性機(jī)制的不同終端分類。表1是給予不同接入技術(shù)和安全性機(jī)制的信任級(jí)別的示例。表1<table>tableseeoriginaldocumentpage7</column></row><table>通過上述數(shù)字示例，信任級(jí)別指示只是數(shù)字。然而，不同的IMS網(wǎng)絡(luò)運(yùn)營商可根據(jù)其自己的安全性策略和風(fēng)險(xiǎn)評(píng)估，對(duì)能給予給定接入技術(shù)或安全性機(jī)制多少信任有不同的看法。這種情況下，信任指示符是描述性的而不是數(shù)字。信任指示符包括可影響應(yīng)給予消息的信任級(jí)別的因素的描述。描述是標(biāo)準(zhǔn)化的，并且能由每個(gè)網(wǎng)絡(luò)運(yùn)營商映射到該網(wǎng)絡(luò)運(yùn)營商覺得正確的某個(gè)信任級(jí)別。因此，不同的IMS網(wǎng)絡(luò)運(yùn)營商可給予確切具有給定描述性信任級(jí)別指示符的信令不同的信任級(jí)別，但是信任級(jí)別指示符是標(biāo)準(zhǔn)化的，以便每個(gè)網(wǎng)絡(luò)運(yùn)營商能對(duì)要給予的信任級(jí)別采用其自己的看法。以下元素可作為描述性信任級(jí)別指示符的部分包括在信令中參應(yīng)用的最終用戶網(wǎng)絡(luò)接入安全性機(jī)制(如果可用)參使用的最終用戶MS認(rèn)證機(jī)制參用于接入安全性的消息完整性保護(hù)參用于接入安全性的消息機(jī)密性保護(hù)參應(yīng)用的域內(nèi)安全性機(jī)制。此外，還可能對(duì)發(fā)送到MS網(wǎng)絡(luò)的信令有益的是還包括以下信息(如果其可用)參終端類型，即，使用什么類型的硬件和軟件以及這是否能被證實(shí)。參媒體安全性級(jí)別，即網(wǎng)絡(luò)是否應(yīng)用任何特定媒體安全性機(jī)制的指示。參信令是否包括來自受信任AS或GW的網(wǎng)絡(luò)生成的請(qǐng)求的指示。這對(duì)于"突然"呼叫有用，其中，代表用戶生成請(qǐng)求的是網(wǎng)絡(luò)。參互連網(wǎng)絡(luò)。這包括從其始發(fā)信令的網(wǎng)絡(luò)的身份或信令進(jìn)入終止網(wǎng)絡(luò)前經(jīng)過的網(wǎng)絡(luò)的身份。這特別是在某個(gè)運(yùn)營商與比該運(yùn)營商自己的網(wǎng)絡(luò)更不可靠的網(wǎng)絡(luò)具有協(xié)定時(shí)使用，例如不具有強(qiáng)用戶認(rèn)證的純因特網(wǎng)電話、PSTN網(wǎng)絡(luò)等。當(dāng)MS會(huì)話使用SIP信令建立時(shí)，有益的是在用于建立會(huì)話的SIP信令中包括信任級(jí)別指示符而不是發(fā)送單獨(dú)的信令以提供信任信息。參照?qǐng)D4A，示意示出了SIP消息401的示例，其具有作為消息的部分的信任級(jí)別指示符402。下面是包括信任級(jí)別指示符的SIP消息的示例INVITEsip:peter@company.comSIP/2.0Via:SIP/2.0/UDPpel.company,com;branch=sdher4ty56dfMax-Forwards:40To:Peter〈sip:peter@company.com>From:Monica〈sip:monica@company.com>;tag=123456789Call-ID:762947fed38Trustlnfo-Authentication=HTTPDigest:Confidentiality=TLS-AES-CBC-128;Integrity=TLS-薩C-SHAH60;Contact:〈sip:monica@pcl.company.com>Content-Type:即plication/sdpContent-Lengyh:167〈SDPcontect.>信任級(jí)別指示符無需是用于信令的單個(gè)指示符。信任級(jí)別指示符可由信任級(jí)別指示符元素來組成，這些元素在SIP消息經(jīng)過不同節(jié)點(diǎn)到IMS網(wǎng)絡(luò)中其目的地時(shí)由那些節(jié)點(diǎn)8確定并添加到信任級(jí)別指示符。如圖4B所示，信任級(jí)別指示符403可由P-CSCF添加，包括描述使用什么類型的機(jī)密性和完整性保護(hù)的信任級(jí)別指示符元素TL1404。S-CSCF可添加描述已成功應(yīng)用的認(rèn)證機(jī)制的信任級(jí)別指示符元素TL2405?；ミB功能可添加信任級(jí)別指示符元素TL3406，其標(biāo)識(shí)從其接收SIP消息的網(wǎng)絡(luò)。以此方式，當(dāng)SIP消息401在IMS網(wǎng)絡(luò)中終止前經(jīng)過不同節(jié)點(diǎn)時(shí)構(gòu)造信任級(jí)別指示符403。參照本文中的圖5，示意示出根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于在通信網(wǎng)絡(luò)中使用的節(jié)點(diǎn)。節(jié)點(diǎn)501包括用于接收SIP消息的接收器502、用于分析收到的SIP消息并修改它以包括信任級(jí)別指示符的處理器503。處理器可訪問數(shù)據(jù)庫504以獲得要包括在信任級(jí)別指示符中的信息。此數(shù)據(jù)庫可位于遠(yuǎn)程位置，或者可安置在節(jié)點(diǎn)內(nèi)。用于信任級(jí)別指示符的信息也可從圖5中未示出的其它收集源接收。在SIP消息包含給定信任級(jí)別指示符的情況下，數(shù)據(jù)庫504還可包括將信任級(jí)別指示符映射到要應(yīng)用的安全性策略的映射數(shù)據(jù)庫。對(duì)于消息不在節(jié)點(diǎn)終止的情況，節(jié)點(diǎn)501還包括用于轉(zhuǎn)發(fā)修改的SIP消息的傳送器505。節(jié)點(diǎn)的功能可以位于處理消息的任何或所有節(jié)點(diǎn)，包括用戶設(shè)備、應(yīng)用服務(wù)器、呼叫會(huì)話控制功能以及邊界或互連單元。SIP消息中的信任級(jí)別指示符可由IMS網(wǎng)絡(luò)中的節(jié)點(diǎn)用于將安全性策略應(yīng)用到與SIP消息相關(guān)聯(lián)的任何信令。例如，SIP消息可用于在兩個(gè)UE之間建立媒體流，并且基于該SIP消息中的信任級(jí)別指示符，可將安全性策略應(yīng)用到該媒體流。圖6中示出本發(fā)明的一個(gè)實(shí)施例的基本步驟的流程圖。為了創(chuàng)建信任級(jí)別指示符，在節(jié)點(diǎn)收集(601)信任級(jí)別信息。節(jié)點(diǎn)基于收集的信息創(chuàng)建(602)信任級(jí)別指示符。信任級(jí)別指示符應(yīng)用(603)到新SIP消息或者添加到現(xiàn)有SIP消息，之后消息被發(fā)送(604)到IMS節(jié)點(diǎn)。可能在與節(jié)點(diǎn)處于不同網(wǎng)絡(luò)中的IMS節(jié)點(diǎn)從節(jié)點(diǎn)接收(605)SIP消息。SIP消息包含信任級(jí)別指示符，并且IMS節(jié)點(diǎn)將指示符(其可以是數(shù)字和描述，并且可由多個(gè)信任級(jí)別指示符元素來組成)映射(606)到安全性策略。隨后，安全性策略應(yīng)用(607)到消息和相關(guān)聯(lián)的信令，安全性策略通過信任級(jí)別指示符來確定。在一些情況下，IMS網(wǎng)絡(luò)運(yùn)營商與其它IMS運(yùn)營商具有漫游和互連協(xié)定。在這種情況下，IMS運(yùn)營商與另一IMS運(yùn)營商就某個(gè)信任級(jí)別達(dá)成協(xié)定，使得從或經(jīng)該運(yùn)營商接收到的任何業(yè)務(wù)將最多具有協(xié)定的信任級(jí)別，或者換而言之，將得到已應(yīng)用安全性機(jī)制的某個(gè)定義的集合的保證。在漫游合作伙伴的情況下，例如，在P-CSCF由另一運(yùn)營商分配給用戶的情況下，該另一運(yùn)營商網(wǎng)絡(luò)可能不支持相同的安全性機(jī)制。在這些情況下，當(dāng)用戶漫游時(shí)，他們可能在被給予低于其歸屬網(wǎng)絡(luò)的信任級(jí)別的網(wǎng)絡(luò)中。類似地，用戶可在給予用戶的歸屬網(wǎng)絡(luò)低信任級(jí)別的受訪網(wǎng)絡(luò)中漫游。這種情況下，受訪和歸屬網(wǎng)絡(luò)的任一個(gè)或兩者可將安全性策略應(yīng)用到在受訪與歸屬網(wǎng)絡(luò)之間傳遞的信令。由不同網(wǎng)絡(luò)實(shí)體包括在信任級(jí)別指示符中的附加信息元素在協(xié)商和實(shí)施正確的信任級(jí)別和一致的安全性策略中使用。有幾種情況中可使用信任級(jí)別指示符，并且基于信任級(jí)別指示符來實(shí)施安全性策略。這些情況的示例如下參在實(shí)施運(yùn)營商范圍的安全性策略的邊界或互連單元，信任級(jí)別指示符用于執(zhí)行進(jìn)入業(yè)務(wù)的廣泛過濾。參在應(yīng)用服務(wù)器(AS)，信任級(jí)別指示符用于執(zhí)行特定服務(wù)行為(或禁止某個(gè)服務(wù)行為)。例如，如果應(yīng)用服務(wù)器認(rèn)為消息具有低信任級(jí)別，則可能應(yīng)用特定的內(nèi)容過濾以查看消息是否包括一些病毒、垃圾郵件等。另外，可能禁用特殊的收費(fèi)服務(wù)(如DRM內(nèi)容的音樂下載)以確保這些內(nèi)容只發(fā)送到"受信任"源。AS可代表用戶來動(dòng)作以進(jìn)行基于用戶的監(jiān)管(policing)。參在最終用戶終端，其中信任級(jí)別指示符可用于執(zhí)行進(jìn)入業(yè)務(wù)的特定處理或者將有關(guān)進(jìn)入業(yè)務(wù)的信任級(jí)別通知最終用戶。例如，可能對(duì)照"垃圾郵件"列表來檢查具有低信任級(jí)別的進(jìn)入呼叫，或者甚至在用戶希望完全阻止此類業(yè)務(wù)時(shí)阻止它。如圖7所示，在SIP消息經(jīng)過"始發(fā)MS網(wǎng)絡(luò)"701和"終止IMS網(wǎng)絡(luò)"702兩個(gè)域時(shí)，路由到域?yàn)閺哪硞€(gè)域接收的所有SIP請(qǐng)求做出靜態(tài)決定。如果信任級(jí)別低于以前已協(xié)商并在漫游和互連協(xié)定中定義的某個(gè)級(jí)別，則要求適當(dāng)?shù)膭?dòng)作。對(duì)于不具有足夠信任的信任級(jí)別指示符的SIP消息，適當(dāng)?shù)膭?dòng)作可以是去除P-Asserted-Identity報(bào)頭，或者可應(yīng)用拓?fù)潆[藏，或者可簡單地禁止SIP消息。這要求為邊界實(shí)體提供域之間的協(xié)定，例如，在運(yùn)營商之間簽署漫游和/或互連協(xié)定時(shí)達(dá)成的協(xié)定。當(dāng)始發(fā)IMS網(wǎng)絡(luò)701授權(quán)SIP請(qǐng)求時(shí)，始發(fā)IMS網(wǎng)絡(luò)701將信任級(jí)別指示符添加到SIP請(qǐng)求。在SIP請(qǐng)求被發(fā)送到另一終止IMS網(wǎng)絡(luò)702時(shí)，終止IMS網(wǎng)絡(luò)702檢查信任級(jí)別指示符，并確保它在與兩個(gè)網(wǎng)絡(luò)之間協(xié)定的最小信任級(jí)別相同或更高的信任級(jí)別。終止IMS網(wǎng)絡(luò)邊界單元也可添加附加的信任信息，如它從哪個(gè)網(wǎng)絡(luò)收到該消息。隨后，將SIP請(qǐng)求路由到用戶設(shè)備(UE)703和其它實(shí)體(例如應(yīng)用服務(wù)器AS)704，其使用信任級(jí)別指示符來決定是否信任SIP請(qǐng)求中包括的信息(例如，P-Asserted-Identity報(bào)頭)。如果始發(fā)IMS網(wǎng)絡(luò)701不支持信任級(jí)別指示符所指示的安全性機(jī)制，則發(fā)送到終止IMS網(wǎng)絡(luò)702的SIP請(qǐng)求將不包括任何信任信息。終止IMS網(wǎng)絡(luò)702隨后基于與始發(fā)IMS網(wǎng)絡(luò)的漫游或互連協(xié)定，對(duì)應(yīng)該給予該SIP請(qǐng)求哪個(gè)信任級(jí)別采取靜態(tài)決定。如圖8所示的特殊互連網(wǎng)絡(luò)801可在兩個(gè)或更多運(yùn)營商之間用于將業(yè)務(wù)路由到正確的終止網(wǎng)絡(luò)(這經(jīng)常是為了避免世界上每個(gè)運(yùn)營商之間的雙邊協(xié)定)。例如，兩個(gè)運(yùn)營商可以是歸屬網(wǎng)絡(luò)802的運(yùn)營商和另一IMS網(wǎng)絡(luò)803的單獨(dú)運(yùn)營商。這種情況下，對(duì)不同邊界單元804、805有益的是添加邊界單元已經(jīng)從其接收到消息的網(wǎng)絡(luò)的指示。通過這樣做，終止MS網(wǎng)絡(luò)的邊界單元804、805隨后能確?；谑盏降男湃涡畔⒑拖⒁呀?jīng)過哪些以前的網(wǎng)絡(luò)來使用策略。應(yīng)用服務(wù)器也能利用信任級(jí)別指示符。能應(yīng)用基于信任級(jí)別指示符的對(duì)于服務(wù)的特殊預(yù)訂，例如，在用戶只希望接收被給予某個(gè)信任級(jí)別的SIP消息的情況下。此類服務(wù)能在AS中實(shí)現(xiàn)。AS能從HSS205檢索預(yù)訂信息(備選的是，信任級(jí)別指示符從UE經(jīng)Ut接口來發(fā)送)，并且如果SIP請(qǐng)求具有比用戶要求的信任級(jí)別更低的信任級(jí)別指示符，則可給予該SIP請(qǐng)求特殊處理，例如忽略、登記、拒絕、轉(zhuǎn)發(fā)到語音郵件等。其中能使用此處理的一個(gè)可行示例是在處理未經(jīng)請(qǐng)求的通信的服務(wù)(SPAM/SPIT過濾器)中，所述服務(wù)因此可根據(jù)收到的SIP消息的信任級(jí)別指示符來應(yīng)用不同的策略。此類策略的示例如下參如果從因特網(wǎng)互連收到SIP消息，則始終應(yīng)用嚴(yán)格過濾，只允許來自用戶配置的白名單中用戶身份的進(jìn)入呼叫，并且還對(duì)進(jìn)入業(yè)務(wù)應(yīng)用反惡意軟件檢測(cè)；參如果SIP消息從IMS網(wǎng)絡(luò)收到，使用NBA或摘要認(rèn)證，則對(duì)進(jìn)入分組應(yīng)用反惡意軟件保護(hù)，并且每分鐘只允許一定數(shù)量的呼叫；參如果SIP消息從IMS網(wǎng)絡(luò)收到，具有IMSAKA使用和"受信任終端"，則不應(yīng)用任何特殊的安全性規(guī)則。UE也能不同地利用信任級(jí)別指示符。此類利用的示例包括如下參向用戶呈現(xiàn)(得出的)信任級(jí)別(對(duì)于特定MS通信)，用戶隨后能決定是接受呼叫、還是向遠(yuǎn)程用戶詢問多個(gè)問題(以確保該遠(yuǎn)程用戶是"正確的"用戶，這可用于進(jìn)入和外出呼叫)；參如果應(yīng)用允許，則執(zhí)行附加的認(rèn)證；參執(zhí)行對(duì)于呈現(xiàn)給用戶的呼叫的數(shù)量的過濾，或者直接將呼叫轉(zhuǎn)發(fā)到例如語音郵件。如果UE是處理多個(gè)裝置的網(wǎng)關(guān)(如歸屬M(fèi)S網(wǎng)關(guān)或住宅網(wǎng)關(guān)RGW，例如，參見ETSITS187003)，則信任級(jí)別指示符能用于決定專用網(wǎng)絡(luò)中哪個(gè)實(shí)體應(yīng)該得到進(jìn)入請(qǐng)求。目前，有一種認(rèn)識(shí)是IMS網(wǎng)絡(luò)中的信任和安全性是同類且完全雙邊的，并且其中最小安全性級(jí)別是IMS網(wǎng)絡(luò)中允許的最不安全的安全性機(jī)制。通過將信任級(jí)別指示符引入IMS網(wǎng)絡(luò)，處理IMS通信的實(shí)體能注意到它們能依賴SIP消息中接收的信息的程度。這限制了未經(jīng)請(qǐng)求通信的風(fēng)險(xiǎn)，從而給出要求安全性架構(gòu)的服務(wù)由于IMS嵌入的安全性而將采用頂S的更高可能性。這還確保能避免當(dāng)前的雙邊安全性級(jí)別(即，兩個(gè)通信方必須彼此信任達(dá)到相同級(jí)別)。雖然不同的實(shí)施例已詳細(xì)描述和示出，但權(quán)利要求不限于任一特定實(shí)施例或示例。上述說明均不應(yīng)理解為暗示任何特定單元、步驟、范圍或功能是必需的，使得它必須包括在權(quán)利要求的范圍中。專利主題的范圍只由權(quán)利要求來定義。法律保護(hù)的程度由允許的權(quán)利要求中記載的文字及其等效物來定義。權(quán)利要求一種在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中處理信任的方法，所述方法包括在所述IP多媒體子系統(tǒng)網(wǎng)絡(luò)中的節(jié)點(diǎn)，接收來自遠(yuǎn)程節(jié)點(diǎn)的會(huì)話啟動(dòng)協(xié)議消息，所述消息包括指示從所述遠(yuǎn)程節(jié)點(diǎn)發(fā)送到所述IP多媒體子系統(tǒng)節(jié)點(diǎn)的通信的信任級(jí)別的指示符；以及將安全性策略應(yīng)用到所述消息，所述安全性策略通過所述指示符來確定。2.如權(quán)利要求1所述的在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中處理信任的方法，其中所述遠(yuǎn)程節(jié)點(diǎn)是安置在另一網(wǎng)絡(luò)中的節(jié)點(diǎn)。3.如權(quán)利要求1或2所述的在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中處理信任的方法，還包括將所述安全性策略應(yīng)用到與所述會(huì)話啟動(dòng)協(xié)議消息相關(guān)聯(lián)的所有信令。4.如權(quán)利要求1、2或3所述的在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中處理信任的方法，其中所述指示符是數(shù)字，所述方法還包括將所述數(shù)字映射到安全性策略。5.如權(quán)利要求1、2或3所述的在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中處理信任的方法，其中所述指示符是描述，所述方法還包括將所述描述映射到安全性策略。6.如權(quán)利要求5所述的在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中處理信任的方法，其中所述指示符包括多個(gè)指示符元素，每個(gè)指示符元素涉及所述遠(yuǎn)程節(jié)點(diǎn)與所述節(jié)點(diǎn)之間的信令路徑中不同節(jié)點(diǎn)的信任級(jí)別。7.如權(quán)利要求6所述的在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中處理信任的方法，其中指示符元素包括從其接收到所述SIP消息的網(wǎng)絡(luò)的指示。8.如前面權(quán)利要求任一項(xiàng)所述的在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中處理信任的方法，其中根據(jù)從用戶終端類型、加密類型、網(wǎng)絡(luò)類型、節(jié)點(diǎn)類型、最終用戶認(rèn)證機(jī)制和域內(nèi)安全性機(jī)制中任何項(xiàng)選擇的信息來確定所述信任級(jí)別指示符。9.如前面權(quán)利要求任一項(xiàng)所述的在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中處理信任的方法，其中從去除P-Asserted-Identity報(bào)頭、應(yīng)用拓?fù)潆[藏、禁止所述通信、允許所述通信無修改、根據(jù)可允許的消息源的數(shù)據(jù)庫來過濾所述消息以及對(duì)涉及所述SIP消息的進(jìn)入信令應(yīng)用惡意軟件檢測(cè)中的任何項(xiàng)來選擇所應(yīng)用的安全性策略。10.如前面權(quán)利要求任一項(xiàng)所述的在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中處理信任的方法，其中在邊界單元、應(yīng)用服務(wù)器、用戶設(shè)備和呼叫會(huì)話控制功能之一應(yīng)用所述安全性策略。11.一種用于在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中使用的節(jié)點(diǎn)，所述節(jié)點(diǎn)包括接收器，用于接收來自遠(yuǎn)程節(jié)點(diǎn)的會(huì)話啟動(dòng)協(xié)議消息，所述消息包括指示從所述遠(yuǎn)程節(jié)點(diǎn)發(fā)送到所述IP多媒體子系統(tǒng)節(jié)點(diǎn)的通信的信任級(jí)別的指示符；以及處理器，用于將安全性策略應(yīng)用到所述消息，所述安全性策略通過所述指示符來確定。12.如權(quán)利要求11所述的節(jié)點(diǎn)，其中從用戶設(shè)備、呼叫會(huì)話控制功能、邊界單元和應(yīng)用服務(wù)器之一來選擇所述節(jié)點(diǎn)。13.—種用于在通信網(wǎng)絡(luò)中使用的節(jié)點(diǎn)，所述節(jié)點(diǎn)包括部件，用于收集信任級(jí)別信息，處理器，用于在所述信任級(jí)別信息的基礎(chǔ)上生成信任級(jí)別指示符，以及用于修改會(huì)話啟動(dòng)協(xié)議消息，使得所述會(huì)話啟動(dòng)協(xié)議消息包括所述信任級(jí)別指示符；傳送器，用于發(fā)送所述會(huì)話啟動(dòng)協(xié)議消息。14.如權(quán)利要求13所述的節(jié)點(diǎn)，其中所述處理器布置成通過將信任級(jí)別指示符元素添加到會(huì)話啟動(dòng)協(xié)議消息中的現(xiàn)有信任級(jí)別指示符來修改所述現(xiàn)有信任級(jí)別指示符，所述信任級(jí)別指示符元素涉及其中安置所述節(jié)點(diǎn)的網(wǎng)絡(luò)或所述節(jié)點(diǎn)的信任級(jí)別。15.如權(quán)利要求13和權(quán)利要求14所述的節(jié)點(diǎn)，其中從用戶設(shè)備、呼叫會(huì)話控制功能、邊界單元和應(yīng)用服務(wù)器之一來選擇所述節(jié)點(diǎn)。16.—種在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中處理信任的方法，所述方法包括在網(wǎng)絡(luò)節(jié)點(diǎn)，收集信任級(jí)別信息；從所收集的信任級(jí)別信息，創(chuàng)建信任級(jí)別指示符；以及將所述信任級(jí)別指示符添加到會(huì)話啟動(dòng)協(xié)議消息。17.如權(quán)利要求16所述的在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中處理信任的方法，其中將所述信任級(jí)別指示符添加到所述網(wǎng)絡(luò)節(jié)點(diǎn)創(chuàng)建的新會(huì)話啟動(dòng)協(xié)議和所述網(wǎng)絡(luò)節(jié)點(diǎn)接收的現(xiàn)有會(huì)話啟動(dòng)協(xié)議之一。18.如權(quán)利要求16或17所述的在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中處理信任的方法，其中所述信任級(jí)別信息是基于數(shù)據(jù)庫信息、用戶終端類型、加密類型、網(wǎng)絡(luò)類型、節(jié)點(diǎn)類型、最終用戶認(rèn)證機(jī)制和域內(nèi)安全性機(jī)制中的任何項(xiàng)。全文摘要在IP多媒體子系統(tǒng)通信網(wǎng)絡(luò)中處理信任的方法。用于在IP多媒體子系統(tǒng)網(wǎng)絡(luò)中處理信任的方法和設(shè)備。IP多媒體子系統(tǒng)網(wǎng)絡(luò)中的節(jié)點(diǎn)接收(605)來自遠(yuǎn)程節(jié)點(diǎn)的會(huì)話啟動(dòng)協(xié)議消息。消息包括指示從遠(yuǎn)程節(jié)點(diǎn)發(fā)送到IP多媒體子系統(tǒng)節(jié)點(diǎn)的通信的信任級(jí)別的指示符。節(jié)點(diǎn)隨后能將安全性策略應(yīng)用(607)到消息，安全性策略通過指示符來確定。文檔編號(hào)H04L29/06GK101796797SQ200780100638公開日2010年8月4日申請(qǐng)日期2007年9月14日優(yōu)先權(quán)日2007年9月14日發(fā)明者F·林德霍爾姆,M·威夫森,P·赫德曼申請(qǐng)人:艾利森電話股份有限公司