用web实时通信（WebRTC）访问IP多媒体子系统（IMS）的安全的制作方法

本申请要求来自2014年1月13日提交的美国瞬时申请号61/926,621的优先权。特此通过引用整体地合并了该早先提交的申请的全部内容。

背景技术：

技术领域：

本发明的实施例一般地涉及web实时通信（WebRTC），并且特别地，某些实施例可以涉及WebRTC客户端对互联网协议（IP）多媒体子系统（IMS）的访问的安全方面。

相关领域的描述：

互联网协议（IP）多媒体子系统（IMS）是用于递送IP多媒体服务的架构框架。为了促进与因特网的集成，IMS在可能时使用互联网工程任务组（IETF）协议，诸如会话发起协议（SIP）。IMS被设计成帮助从无线终端或设备访问语音和多媒体应用。

web实时通信（WebRTC）是通过执行从适当的服务器下载的Javascript代码来使能来自客户端的网络浏览器的实时通信的新技术。3GPP已经开始了用以使从WebRTC客户端对IMS的访问标准化的活动。

技术实现要素：
：

一个实施例针对一种可以包括通过网络节点每互联网协议多媒体子系统（IMS）订阅存储至少一个参数的方法。至少一个参数包括被授权对WebRTC中的互联网协议多媒体子系统（IMS）订户进行认证的任何web实时通信（WebRTC）web服务器功能的至少一个身份。方法还可以包括从呼叫状态控制功能接收web实时通信（WebRTC）web服务器功能身份、将接收的web实时通信（WebRTC）web服务器功能身份与和互联网协议多媒体子系统（IMS）订阅相关联的至少一个参数进行比较，以及当在接收的web实时通信（WebRTC）web服务器功能身份与和互联网协议多媒体子系统（IMS）订阅相关联的至少一个参数之间不存在匹配时拒绝互联网协议多媒体子系统（IMS）通信。

在实施例中，网络节点包括归属订户服务器（HSS），并且呼叫状态控制功能包括询问呼叫状态控制功能（I-CSCF）或服务呼叫状态控制功能（S-CSCF）。

另一实施例针对一种可以包括至少一个处理器和包括计算机程序代码的至少一个存储器的装置。至少一个存储器和计算机程序代码被配置成利用至少一个处理器使得装置至少每互联网协议多媒体子系统（IMS）订阅存储至少一个参数。至少一个参数包括被授权对WebRTC中的互联网协议多媒体子系统（IMS）订户进行认证的任何web实时通信（WebRTC）web服务器功能的至少一个身份。至少一个存储器和计算机程序代码还被配置成利用至少一个处理器使得装置至少从呼叫状态控制功能接收web实时通信（WebRTC）web服务器功能身份、将接收的web实时通信（WebRTC）web服务器功能身份与和互联网协议多媒体子系统（IMS）订阅相关联的至少一个参数进行比较，以及当在接收的web实时通信（WebRTC）web服务器功能身份与和互联网协议多媒体子系统（IMS）订阅相关联的至少一个参数之间不存在匹配时拒绝互联网协议多媒体子系统（IMS）通信。

在实施例中，装置包括归属订户服务器（HSS），并且呼叫状态控制功能包括询问呼叫状态控制功能（I-CSCF）或服务呼叫状态控制功能（S-CSCF）。

另一实施例针对一种可以包括用于每互联网协议多媒体子系统（IMS）订阅存储至少一个参数的手段的装置。至少一个参数包括被授权对WebRTC中的互联网协议多媒体子系统（IMS）订户进行认证的任何web实时通信（WebRTC）web服务器功能的至少一个身份。装置还可以包括用于从呼叫状态控制功能接收web实时通信（WebRTC）web服务器功能身份的手段、用于将接收的web实时通信（WebRTC）web服务器功能身份与和互联网协议多媒体子系统（IMS）订阅相关联的至少一个参数进行比较的手段，以及用于当在接收的web实时通信（WebRTC）web服务器功能身份与和互联网协议多媒体子系统（IMS）订阅相关联的至少一个参数之间不存在匹配时拒绝互联网协议多媒体子系统（IMS）通信的手段。

另一实施例针对一种在非瞬时计算机可读介质上体现的计算机程序。计算机程序可以被配置成控制处理器执行过程，所述过程可以包括每互联网协议多媒体子系统（IMS）订阅存储至少一个参数。至少一个参数包括被授权对WebRTC中的互联网协议多媒体子系统（IMS）订户进行认证的任何web实时通信（WebRTC）web服务器功能的至少一个身份。过程还可以包括从呼叫状态控制功能接收web实时通信（WebRTC）web服务器功能身份、将接收的web实时通信（WebRTC）web服务器功能身份与和互联网协议多媒体子系统（IMS）订阅相关联的至少一个参数进行比较，以及当在接收的web实时通信（WebRTC）web服务器功能身份与和互联网协议多媒体子系统（IMS）订阅相关联的至少一个参数之间不存在匹配时拒绝互联网协议多媒体子系统（IMS）通信。

另一实施例针对一种方法，所述方法可以包括通过呼叫状态控制功能从归属订户服务器检索用于与互联网协议多媒体子系统（IMS）订阅相关联的所有web实时通信（WebRTC）web服务器功能身份的至少一个身份、从针对WebRTC增强的代理呼叫状态控制功能（eP-CSCF）接收web实时通信（WebRTC）web服务器功能身份、将用于所有web实时通信（WebRTC）web服务器功能身份的至少一个身份与从呼叫状态控制功能接收的WebRTC web服务器功能身份进行比较，以及当在用于所有web实时通信（WebRTC）web服务器功能身份的至少一个身份与从呼叫状态控制功能接收的WebRTC web服务器功能身份之间不存在匹配时拒绝互联网协议多媒体子系统（IMS）通信。

在实施例中，方法还可以包括将从针对WebRTC增强的代理呼叫状态控制功能（eP-CSCF）接收的WebRTC web服务器功能身份发送到归属订户服务器（HSS）。

另一实施例针对一种可以包括至少一个处理器和包括计算机程序代码的至少一个存储器的装置。至少一个存储器和计算机程序代码被配置成利用至少一个处理器使得装置至少从归属订户服务器检索用于与互联网协议多媒体子系统（IMS）订阅相关联的所有web实时通信（WebRTC）web服务器功能身份的至少一个身份、从针对WebRTC增强的代理呼叫状态控制功能（eP-CSCF）接收web实时通信（WebRTC）web服务器功能身份、将用于所有web实时通信（WebRTC）web服务器功能身份的至少一个身份与从呼叫状态控制功能接收的WebRTC web服务器功能身份进行比较，以及当在用于所有web实时通信（WebRTC）web服务器功能身份的至少一个身份与从呼叫状态控制功能接收的WebRTC web服务器功能身份之间不存在匹配时拒绝互联网协议多媒体子系统（IMS）通信。

在实施例中，至少一个存储器和计算机程序代码被进一步配置成利用至少一个处理器使得装置至少将从针对WebRTC增强的代理呼叫状态控制功能（eP-CSCF）接收的WebRTC web服务器功能身份发送到归属订户服务器（HSS）。根据一个实施例，装置包括询问呼叫状态控制功能或服务呼叫状态控制功能。

另一实施例针对一种装置，所述装置可以包括用于从归属订户服务器检索用于与互联网协议多媒体子系统（IMS）订阅相关联的所有web实时通信（WebRTC）web服务器功能身份的至少一个身份的手段、用于从针对WebRTC增强的代理呼叫状态控制功能（eP-CSCF）接收web实时通信（WebRTC）web服务器功能身份的手段、用于将用于所有web实时通信（WebRTC）web服务器功能身份的至少一个身份与从呼叫状态控制功能接收的WebRTC web服务器功能身份进行比较的手段，以及用于当在用于所有web实时通信（WebRTC）web服务器功能身份的至少一个身份与从呼叫状态控制功能接收的WebRTC web服务器功能身份之间不存在匹配时拒绝互联网协议多媒体子系统（IMS）通信的手段。

另一实施例针对一种在非瞬时计算机可读介质上体现的计算机程序。计算机程序可以被配置成控制处理器执行过程，所述过程可以包括从归属订户服务器检索用于与互联网协议多媒体子系统（IMS）订阅相关联的所有web实时通信（WebRTC）web服务器功能身份的至少一个身份、从针对WebRTC增强的代理呼叫状态控制功能（eP-CSCF）接收web实时通信（WebRTC）web服务器功能身份、将用于所有web实时通信（WebRTC）web服务器功能身份的至少一个身份与从呼叫状态控制功能接收的WebRTC web服务器功能身份进行比较，以及当在用于所有web实时通信（WebRTC）web服务器功能身份的至少一个身份与从呼叫状态控制功能接收的WebRTC web服务器功能身份之间不存在匹配时拒绝互联网协议多媒体子系统（IMS）通信。

另一实施例针对一种方法，所述方法可以包括通过网络节点存储包括被阻断的任何web实时通信（WebRTC）web服务器功能的身份的至少一个参数、从呼叫状态控制功能接收web实时通信（WebRTC）web服务器功能身份、将从呼叫状态控制功能接收的WebRTC web服务器功能身份与被阻断的WebRTC web服务器功能身份进行比较，以及当在从呼叫状态控制功能接收的WebRTC web服务器功能身份与被阻断的WebRTC web服务器功能身份之间存在匹配时拒绝互联网协议多媒体子系统（IMS）通信。

在一个实施例中，网络节点包括归属订户服务器（HSS），并且呼叫状态控制功能包括询问呼叫状态控制功能（I-CSCF）或服务呼叫状态控制功能（S-CSCF）。根据实施例，拒绝进一步包括将WebRTC web服务器功能身份的阻断通知所有服务呼叫状态控制功能。在某些实施例中，至少一个参数被一次添加到归属订户服务器（HSS）。

另一实施例针对一种可以包括至少一个处理器和包括计算机程序代码的至少一个存储器的装置。至少一个存储器和计算机程序代码被配置成利用至少一个处理器使得装置至少存储包括被阻断的任何web实时通信（WebRTC）web服务器功能的身份的至少一个参数、从呼叫状态控制功能接收web实时通信（WebRTC）web服务器功能身份、将从呼叫状态控制功能接收的WebRTC web服务器功能身份与被阻断的WebRTC web服务器功能身份进行比较，以及当在从呼叫状态控制功能接收的WebRTC web服务器功能身份与被阻断的WebRTC web服务器功能身份之间存在匹配时拒绝互联网协议多媒体子系统（IMS）通信。

在实施例中，装置包括归属订户服务器（HSS），并且呼叫状态控制功能包括询问呼叫状态控制功能（I-CSCF）或服务呼叫状态控制功能（S-CSCF）。根据一个实施例，至少一个存储器和计算机程序代码被进一步配置成利用至少一个处理器使得装置至少将WebRTC web服务器功能身份的阻断通知所有服务呼叫状态控制功能。在某些实施例中，至少一个参数被一次添加到归属订户服务器（HSS）。

另一实施例针对一种装置，所述装置可以包括用于存储包括被阻断的任何web实时通信（WebRTC）web服务器功能的身份的至少一个参数的手段、用于从呼叫状态控制功能接收web实时通信（WebRTC）web服务器功能身份的手段、用于将从呼叫状态控制功能接收的WebRTC web服务器功能身份与被阻断的WebRTC web服务器功能身份进行比较的手段，以及用于当在从呼叫状态控制功能接收的WebRTC web服务器功能身份与被阻断的WebRTC web服务器功能身份之间存在匹配时拒绝互联网协议多媒体子系统（IMS）通信的手段。

另一实施例针对一种在非瞬时计算机可读介质上体现的计算机程序。计算机程序可以被配置成控制处理器执行过程，所述过程可以包括存储包括被阻断的任何web实时通信（WebRTC）web服务器功能的身份的至少一个参数、从呼叫状态控制功能接收web实时通信（WebRTC）web服务器功能身份、将从呼叫状态控制功能接收的WebRTC web服务器功能身份与被阻断的WebRTC web服务器功能身份进行比较，以及当在从呼叫状态控制功能接收的WebRTC web服务器功能身份与被阻断的WebRTC web服务器功能身份之间存在匹配时拒绝互联网协议多媒体子系统（IMS）通信。

另一实施例针对一种方法，所述方法可以包括通过网络节点存储或检索被阻断的任何web实时通信（WebRTC）web服务器功能的身份、从针对WebRTC增强的代理呼叫状态控制功能（eP-CSCF）接收web实时通信（WebRTC）web服务器功能身份、将被阻断的WebRTC web服务器功能身份与从eP-CSCF接收的WebRTC web服务器功能身份进行比较，以及当在被阻断的WebRTC web服务器功能身份与从eP-CSCF接收的WebRTC web服务器功能身份之间存在匹配时拒绝互联网协议多媒体子系统（IMS）通信。

在实施例中，检索包括从归属订户服务器（HSS）检索被阻断的WebRTC web服务器功能的身份。根据一个实施例，方法进一步包括将从eP-CSCF接收的WebRTC web服务器功能身份发送到HSS。在某些实施例中，网络节点包括服务呼叫状态控制功能并且方法进一步包括针对与被阻断的WebRTC web服务器功能相关联的所有用户发起网络解除登记。

另一实施例针对一种可以包括至少一个处理器和包括计算机程序代码的至少一个存储器的装置。至少一个存储器和计算机程序代码被配置成利用至少一个处理器使得装置至少存储或检索被阻断的任何web实时通信（WebRTC）web服务器功能的身份、从针对WebRTC增强的代理呼叫状态控制功能（eP-CSCF）接收web实时通信（WebRTC）web服务器功能身份、将被阻断的WebRTC web服务器功能身份与从eP-CSCF接收的WebRTC web服务器功能身份进行比较，以及当在被阻断的WebRTC web服务器功能身份与从eP-CSCF接收的WebRTC web服务器功能身份之间存在匹配时拒绝互联网协议多媒体子系统（IMS）通信。

在一个实施例中，至少一个存储器和计算机程序代码被进一步配置成利用至少一个处理器使得装置至少从归属订户服务器（HSS）检索被阻断的WebRTC web服务器功能的身份。根据实施例，至少一个存储器和计算机程序代码被进一步配置成利用至少一个处理器使得装置至少将从eP-CSCF接收的WebRTC web服务器功能身份发送到HSS。在某些实施例中，装置包括服务呼叫状态控制功能，并且至少一个存储器和计算机程序代码被进一步配置成利用至少一个处理器使得装置至少针对与被阻断的WebRTC web服务器功能相关联的所有用户发起网络解除登记。

另一实施例针对一种装置，所述装置可以包括用于存储或检索被阻断的任何web实时通信（WebRTC）web服务器功能的身份的手段、用于从针对WebRTC增强的代理呼叫状态控制功能（eP-CSCF）接收web实时通信（WebRTC）web服务器功能身份的手段、用于将被阻断的WebRTC web服务器功能身份与从eP-CSCF接收的WebRTC web服务器功能身份进行比较的手段，以及用于当在被阻断的WebRTC web服务器功能身份与从eP-CSCF接收的WebRTC web服务器功能身份之间存在匹配时拒绝互联网协议多媒体子系统（IMS）通信的手段。

在实施例中，用于检索的手段包括用于从归属订户服务器（HSS）检索被阻断的WebRTC web服务器功能的身份的手段。根据一个实施例，装置进一步包括用于将从eP-CSCF接收的WebRTC web服务器功能身份发送到HSS的手段。在某些实施例中，装置包括服务呼叫状态控制功能并且装置进一步包括用于针对与被阻断WebRTC web服务器功能相关联的所有用户发起网络解除登记的手段。

另一实施例针对一种在非瞬时计算机可读介质上体现的计算机程序。计算机程序可以被配置成控制处理器执行过程，所述过程可以包括存储或检索被阻断的任何web实时通信（WebRTC）web服务器功能的身份、从针对WebRTC增强的代理呼叫状态控制功能（eP-CSCF）接收web实时通信（WebRTC）web服务器功能身份、将被阻断的WebRTC web服务器功能身份与从eP-CSCF接收的WebRTC web服务器功能身份进行比较，以及当在被阻断的WebRTC web服务器功能身份与从eP-CSCF接收的WebRTC web服务器功能身份之间存在匹配时拒绝互联网协议多媒体子系统（IMS）通信。

附图说明：

为了适当地理解本发明，应该参考附图，在所述附图中：

图1图示了根据实施例的系统的示例；

图2图示了根据一个实施例的方法的流程图的示例；

图3图示了根据另一实施例的方法的流程图的示例；

图4图示了根据另一实施例的方法的流程图的示例；

图5图示了根据实施例的装置的框图；

图6图示了根据另一实施例的装置的框图；以及

图7图示了根据另一实施例的装置的框图。

具体实施方式：

将容易地理解，如本文中一般地描述和在图中图示的那样，可以以多种不同的配置来布置和设计本发明的部件。因此，如在附图中表示的用于提供WebRTC客户端与IMS之间的安全的系统、方法、装置以及计算机程序产品的实施例的以下详细描述不意图限制本发明的范围，而是仅表示本发明的所选实施例。

可以在一个或多个实施例中以任何适当的方式组合贯穿本说明书描述的本发明的特征、结构或特性。例如，遍及本说明书的短语“某些实施例”、“一些实施例”或其他类似的语言的使用指在本发明的至少一个实施例中可以包括结合实施例描述的特定特征、结构或特性的事实。因此，遍及本说明书的短语“在某些实施例中”、“在一些实施例中”、“在其他实施例中”或其他类似语言的出现不一定全部指同一组实施例，并且可以在一个或多个实施例中任何适当的方式组合描述的特征、结构或特性。

另外，如果被期望，则可以以不同的顺序和/或相互同时地执行下面讨论的不同功能。更进一步地，如果被期望，则描述的功能中的一个或多个可以是可选的或者可以被组合。同样地（as such），以下描述应该被视为仅说明本发明的原理、教导和实施例并且不限制其。

如上面提及的那样，某些实施例涉及WebRTC客户端的对IMS的访问的安全方面。在3GPP TR 23.701 v0.3.0“Study on Web Real Time Communication (WebRTC) access to IMS (Stage 2)”中为3GPP架构考虑提供资料（document），并且在3GPP TR 33.abc v0.1.0“Study on Security for WebRTC IMS Client access to IMS”中为初始的安全考虑提供资料。特此通过引用整体地合并了3GPP TR 23.701 v0.3.0和3GPP TR 33.abc v0.1.0。

3GPP TR 23.701附录A.2.1.1描述了将由对IMS的WebRTC访问支持的若干认证场景。某些实施例适用于3GPP TR 23.701的所谓场景2，但是实施例还可以适用于在3GPP TR 23.701及其他地方中描述的其他场景。

图1图示了根据一个实施例的系统的示例，包括WebRTC客户端IMS访问的架构。如在图1中图示的那样，在该示例中，系统可以包括WebRTC IMS客户端（WIC）、WebRTC web服务器功能（WWSF）、针对WebRTC增强的代理呼叫状态控制功能（eP-CSCF）、询问呼叫状态控制功能（I-CSCF）、服务呼叫状态控制功能（S-CSCF）以及归属订户服务器（HSS）。从IMS架构（参见例如3GPP TS 23.228）良好地知道I-CSCF、S-CSCF以及HSS及其功能。在图1中图示的IMS-ALG部件、elMS-AGW及其接口不一定与某些实施例相关。

WIC是能够与WebRTC IMS访问架构互操作的WebRTC Javascript（JS）应用。WIC应用可以被从WWSF下载并提供对IMS的通信服务的访问。

WWSF位于运营商网络或被运营商网络授权的第三方网络中。WWSF可以基于web凭证来执行WIC的认证，并且可以声明（assert）WIC的某些IMS身份与该WIC的已认证的web身份相关联。

eP-CSCF位于运营商网络中。eP-CSCF可以通过核实由WWSF提供的声明来核实由WWSF执行的任何用户设备（UE）认证，并且可以针对已经由WWSF认证的UE在IMS中执行如在3GPP TS 33.203附录U中定义的受信任节点认证（TNA）。更进一步地，3GPP TS 23.701陈述了eP-CSCF核实WWSF被授权提供关于与WIC相关联的IMS身份的声明。

在3GPP TR 23.701的上面提及的场景2中，客户端具有有规律的IMS订阅，但是通过使用web凭证和在3GPP的指示（remit）外的某种web认证方案（即，不使用当前由3GPP指定的认证方案中的一个）来提供客户端的认证。WIC可以在IMS中登记（register）来自该现有IMS订阅的其IMPU（IP多媒体公共身份）中的一个。WWSF可以执行web认证并且例如经由数据库查找而学习了用户的IMPU与用户的web身份之间的（静态）关联。WWSF将通常生成例如使用密码手段来声明WWSF认证了具有特定IMPU的WIC的令牌，并且该令牌将被经由WIC传递到eP-CSCF。场景2的描述不包含将限制由WWSF向与该WWSF相关联的IMPU的特定集合进行的IMPU的指派的任何提供（provision）；因此这可以是任何IMS订阅的任何IMPU。

因为安全缺口一直是可能的，所以期望的是尽可能多地包含这样的潜在安全缺口的任何后果。因此，本发明的实施例解决和/或防止在由第三方WWSF操作的web认证方案中的潜在安全缺口的后果。

存在至少两个某些实施例能够解决的相关问题；然而，实施例可以提供用于没有在本文中列举的其他问题的解决方案。第一问题涉及限制例如在由WWSF采用的web认证方案中的影响WWSF的安全缺口对IMS订户的冲击（impact）。

如果假设攻击者能够损害WWSF的安全，则攻击者可以生成假令牌，其错误地声明WWSF认证了具有攻击者选择的IMPU的用户，假如该IMPU与现有的IMS订阅相关的话。这样，攻击者可以作为发起者利用该IMPU发起WebRTC呼叫并且因此冒充与该IMPU合法地相关联的用户。取决于呼叫的目的和内容，这对于用户和/或IMS服务提供者而言可能不仅具有财务牵连，而且可能毁坏他们的名誉或者导致法律起诉。虽然eP-CSCF被分派核实WWSF被授权分配其向WIC指派的IMS身份的任务是真的，但eP-CSCF不能停止该冒充，因为假设是涉及现有IMS订阅的任何IMPU可以由WWSF指派。冒充可以影响任何IMS订户，即使他们与操作WWSF的任何第三方（例如，社交网络）没有商业关系或者将甚至不使用WebRTC。

第二问题涉及选择性地阻断（block）是安全问题的潜在来源的WWSF。如果假设在一个WWSF处存在安全缺口或者由一个WWSF认证的WebRTC客户端的行为示出一些异常，则IMS服务提供者将具有在不影响与其他WWSF相关联的客户端的情况下隔离安全缺口的冲击的兴趣。因此，IMS服务提供者应该能够（瞬时地）选择性地阻断示出安全异常或遭受安全缺口的WWSF，而不影响与其他WWSF相关联的客户端。

如上面建议的那样，第一实施例被至少部分地指向限制影响WWSF的安全缺口对IMS订户的冲击。根据该实施例，第三方WWSF可以仅被授权从IMPU的良好地定义的集合指派IMPU，所述IMPU的良好地定义的集合即已经选择用以经由该WWSF的web认证方案访问IMS并且不是针对任意IMPU的选项的IMS订户的IMPU。该实施例可以包括对现有IMS系统的以下增强中的某些或全部。

例如，在该实施例中，可以通过使HSS每IMS订阅存储一个或若干附加参数来增强HSS，所述一个或若干附加参数即被授权对WebRTC中的 IMS订户进行认证的任何WWSF的身份/多个身份。相反地，在IMS订阅的数据中的这样的附加参数的缺少将指示根据该IMS订阅，认证不被任何WWSF允许。

在该实施例中，可以通过使eP-CSCF将eP-CSCF从其接收到涉及WebRTC中的IMS订户的认证的声明的任何WWSF的身份/多个身份作为登记消息的部分发送到I-/S-CSCF而相对于如在3GPP TR 23.701中描述的eP-CSCF和现有P-CSCF两者增强eP-CSCF。

另外，在该实施例中，可用以如下两个可能方式中的至少一个来增强I-CSCF或S-CSCF：a）通过使其从HSS检索与IMS订阅相关联的所有WWSF身份中的身份/多个身份，和/或b）通过是其将从eP-CSCF接收的WWSF身份发送到HSS。

更进一步地，在该实施例中，利用比较和拒绝功能来增强I-CSCF、S-CSCF和/或HSS。例如，当I-CSCF或S-CSCF被配置成从HSS检索与IMS订阅相关联的所有WWSF身份中的身份/多个身份（例如，上面提及的情况a））时，I-CSCF或S-CSCF可以将来自HSS的与IMS订阅相关联的所有WWSF身份中的身份/多个身份与从eP-CSCF接收的WWSF身份进行比较并且在不存在匹配时拒绝IMS通信。图2图示了根据该示例的描绘用于每IMS订阅检查WWSF的授权的示例信息流的信令图。

当I-CSCF或S-CSCF被配置成将从eP-CSCF接收的WWSF身份发送到HSS（例如，上面提及的情况b））时，HSS可以将从I-CSCF或S-CSCF接收的WWSF身份与被存储在HSS中的与IMS订阅相关联的所有WWSF身份中的身份/多个身份进行比较并且在不存在匹配时拒绝IMS通信。

如上面提及的那样，第二实施例被至少部分地指向选择性地阻断是安全问题的潜在来源的WWSF。一些人可能认为根据该第二实施例的用于选择性地阻断是安全问题的潜在来源的WWSF的方法是多余的，因为如果WWSF被阻断，则可以根据第一实施例简单地移除被存储在HSS中的WWSF身份，并且然后实际上没有涉及该WWSF的通信将成功。然而，这将是非常麻烦的，因为大量IMS的订阅记录可能被影响。更进一步地，WWSF的安全问题可能是瞬时的，并且然后一旦WWSF安全问题被修理，所有那些WWSF身份就将必须被添加回到该大量IMS订阅记录。因此，该第二实施例是另外有用的。

该第二实施例可以使用与针对上面讨论的第一实施例定义的机制略微类似的机制。应该注意，上面讨论的第一实施例和下面讨论的第二实施例可以共存并且可以被并行地使用。

该实施例可以包括对现有IMS系统的以下增强中的某些或全部。例如，在该实施例中，可以通过使HSS存储一个或若干附加参数来增强HSS，所述一个或若干附加参数即被阻断的任何WWSF的身份（在这里与第一实施例的差异是向HSS添加附加参数一次并不是每IMS订阅添加附加参数）。还可以通过通知所有S-CSCF关于WWSF的阻断（例如，HSS发起的推送消息）来增强HSS。

在该实施例中，可以通过使eP-CSCF发送eP-CSCF从其接收涉及WebRTC中的IMS订户的认证的声明的任何WWSF的身份/多个身份而相对于如在3GPP TR 23.701中描述的eP-CSCF和现有P-CSCF两者增强eP-CSCF。

另外，在该实施例中，可以以如下可能方式中的至少一个来增强I-CSCF或S-CSCF：

c）通过使其基于按照第一实施例从eP-CSCF接收的指示而针对每个用户存储WWSF的身份；（在第一实施例中，S-CSCF需要仅针对登记（register）过程使用WWSF ID。在该实施例中，需要将其存储达整个登记时段）。

d）通过使其从HSS检索所有被阻断的WWSF身份；（与第一实施例的差异是检索不同类型的附加参数）。

e）通过使其将从eP-CSCF接收的WWSF身份发送到HSS。

f）通过使其存储一个或若干附加参数，即被阻断的任何WWSF的身份，如果未在HSS中完成该存储的话。

g）仅针对S-CSCF：通过使其针对与被阻断的WWSF相关联的所有用户发起网络发起的解除登记，其中按照上面的c）标识受影响的用户。这避免了在WWSF还没有被阻断但可能已经被损害的时间处的由被阻断的WWSF认证的用户的通信。

更进一步地，在该实施例中，可以利用比较和拒绝功能来增强I-CSCF、S-CSCF和/或HSS。例如，当I-CSCF或S-CSCF被配置成从HSS检索所有被阻断的WWSF身份（即，上面讨论的情况d））时，I-CSCF或S-CSCF可以将从HSS接收的被阻断的WWSF身份与从eP-CSCF接收的WWSF身份进行比较并且在存在匹配时拒绝IMS通信。图3图示了根据该示例的描绘用于阻断被损害的WWSF的示例性信息流的信令图。

当-CSCF或S-CSCF被配置成将从eP-CSCF接收的WWSF身份发送到HSS（即，上面讨论的情况e））时，HSS可以将从I-CSCF或S-CSCF接收的WWSF身份与被存储在HSS中的所有被阻断的WWSF身份进行比较并且在存在匹配时拒绝IMS通信。

当I-CSCF或S-CSCF被配置成如果未在HSS中完成该存储则存储诸如被阻断的任何WWSF的身份之类的一个或若干附加参数（即，上面讨论的情况f））时，I-CSCF或S-CSCF可以将被存储在I-CSCF或S-CSCF中的被阻断的WWSF身份与从eP-CSCF接收的WWSF身份进行比较并且在存在匹配时拒绝IMS通信。

图4图示了描绘针对当HSS通知所有S-CSCF关于WWSF的阻断（例如，HSS发起的推送消息）且S-CSCF根据上面讨论的情况g）将受影响的用户解除登记时的情况的示例性信息流的信令图。

图5图示了根据实施例的装置20的示例。在实施例中，装置20可以是在通信网络中或者服务这样的网络的节点、主机或服务器，诸如IMS中的HSS。应该注意，本领域普通技术人员将理解装置20可以包括图5中未示出的部件或特征。

如图5中图示的那样，装置20可以包括处理器32，用于处理信息和执行指令或操作。处理器32可以是任何类型的通用或专用处理器。虽然在图5中示出了单个处理器32，但可以根据其他实施例利用多个处理器。事实上，作为示例，处理器32可以包括通用计算机、特殊用途计算机、微处理器、数字信号处理器（DSP）、现场可编程门阵列（FPGA）、专用集成电路（ASIC）以及基于多核处理器架构的处理器中的一个或多个。

装置20可以进一步包括或被耦合到（内部或外部）存储器34，所述存储器34可以被耦合到处理器32，用于存储可以由处理器32执行的信息和指令。存储器34可以是一个或多个存储器并且是适于本地应用环境的任何类型的，并且可以使用任何适当的易失性或非易失性数据存储技术来实现，所述易失性或非易失性数据存储技术诸如基于半导体的存储器设备、磁存储器设备和系统、光学存储器设备和系统、固定存储器和可移除存储器。例如，存储器34可以包括随机访问存储器（RAM）、只读存储器（ROM）、诸如磁盘或光盘之类的静态储存器或任何其他类型的非瞬时机器或计算机可读介质的任何组合。被存储在存储器34中的指令可以包括在被处理器32运行时使得装置20能够执行如本文中描述的任务的程序指令或计算机程序代码。

装置20可以进一步包括或被耦合到收发机38，所述收发机38被配置成传输和接收信息、信号和/或数据。

处理器32可以执行与装置20的操作相关联的功能，其没有限制地包括对形成通信消息的单个位的编码和解码、对信息的格式化以及对装置20的全面控制，所述全面控制包括与通信资源的管理相关的过程。

在实施例中，存储器34存储在被处理器32执行时提供功能的软件模块。模块可以包括例如为装置20提供操作系统功能的操作系统。存储器还可以存储诸如应用或程序之类的一个或多个功能模块来为装置20提供附加功能。装置20的部件可以在硬件中被实现或者被实现为硬件和软件的任何适当组合。

如上面提及的那样，根据一个实施例，装置20可以是在通信网络中或者服务这样的网络的服务器、节点或主机，诸如IMS中的HSS。在该实施例中，可以通过存储器34和处理器32控制装置20每IMS订阅存储一个或若干参数。参数可以包括被授权对WebRTC中的IMS订户进行认证的任何WWSF的身份/多个身份。根据实施例，在IMS订阅的数据中的（一个或多个）这样的附加参数的缺少指示针对该IMS订阅，认证不被任何WWSF允许。在一个实施例中，当装置20接收到从I-CSCF或S-CSCF发送的WWSF身份时，可以控制装置20将从I-CSCF或S-CSCF接收的WWSF身份与被存储在HSS中的与IMS订阅相关联的所有WWSF身份中的身份/多个身份进行比较并且在不存在匹配时拒绝IMS通信。

在另一实施例中，可以通过存储器34和处理器32控制装置20存储一个或若干参数，其可以是被阻断的任何WWSF的身份。在该实施例中，向HSS一次（而不是每IMS订阅）添加（一个或多个）参数。在实施例中，可以控制装置200将从I-CSCF或S-CSCF接收的WWSF身份与被存储在装置20中的所有被阻断的WWSF身份进行比较并且在存在匹配的情况下拒绝IMS通信。然后可以控制装置20例如经由HSS发起的推送消息通知所有S-CSCF关于WWSF的阻断。

图6图示了根据实施例的装置40的示例。在实施例中，装置40可以是在通信网络中或者服务这样的网络的节点、主机或服务器，诸如eP-CSCF。应该注意，本领域普通技术人员将理解装置40可以包括图6中未示出的部件或特征。

如图6中图示的那样，装置40可以包括处理器42，用于处理信息和执行指令或操作。处理器42可以是任何类型的通用或专用处理器。虽然在图6中示出了单个处理器42，但可以根据其他实施例利用多个处理器。事实上，作为示例，处理器42可以包括通用计算机、特殊用途计算机、微处理器、数字信号处理器（DSP）、现场可编程门阵列（FPGA）、专用集成电路（ASIC）以及基于多核处理器架构的处理器中的一个或多个。

装置40可以进一步包括或被耦合到（内部或外部）存储器44，所述存储器44可以被耦合到处理器42，用于存储可以由处理器42执行的信息和指令。存储器44可以是一个或多个存储器并且是适于本地应用环境的任何类型的，并且可以使用任何适当的易失性或非易失性数据存储技术来实现，所述易失性或非易失性数据存储技术诸如基于半导体的存储器设备、磁存储器设备和系统、光学存储器设备和系统、固定存储器和可移除存储器。例如，存储器44可以包括随机访问存储器（RAM）、只读存储器（ROM）、诸如磁盘或光盘之类的静态储存器或任何其他类型的非瞬时机器或计算机可读介质的任何组合。被存储在存储器44中的指令可以包括在被处理器42运行时使得装置40能够执行如本文中描述的任务的程序指令或计算机程序代码。

装置40可以进一步包括或被耦合到收发机48，所述收发机48被配置成传输和接收信息、数据或信号。

处理器42可以执行与装置40的操作相关联的功能，其没有限制地包括对形成通信消息的单个位的编码和解码、对信息的格式化以及对装置40的全面控制，所述全面控制包括与通信资源的管理相关的过程。

在实施例中，存储器44存储在被处理器42执行时提供功能的软件模块。模块可以包括例如为装置40提供操作系统功能的操作系统。存储器还可以存储诸如应用或程序之类的一个或多个功能模块来为装置40提供附加功能。装置40的部件可以在硬件中被实现或者被实现为硬件和软件的任何适当组合。

如上面提及的那样，根据一个实施例，装置40可以是在通信网络中或者服务这样的网络的服务器、节点或主机，诸如eP-CSCF。在该实施例中，可以通过存储器34和处理器32控制装置40将装置40从其接收到涉及WebRTC中的IMS订户的认证的声明的任何WWSF的身份/多个身份作为登记消息的部分发送到I/S-CSCF。

图7图示了根据实施例的装置50的示例。在实施例中，装置50可以是在通信网络中或者服务这样的网络的节点、主机或服务器，诸如IMS中的I-CSCF或S-CSCF。应该注意，本领域普通技术人员将理解装置50可以包括图7中未示出的部件或特征。

如图7中图示的那样，装置50可以包括处理器52，用于处理信息和执行指令或操作。处理器52可以是任何类型的通用或专用处理器。虽然在图7中示出了单个处理器52，但可以根据其他实施例利用多个处理器。事实上，作为示例，处理器52可以包括通用计算机、特殊用途计算机、微处理器、数字信号处理器（DSP）、现场可编程门阵列（FPGA）、专用集成电路（ASIC）以及基于多核处理器架构的处理器中的一个或多个。

装置50可以进一步包括或被耦合到（内部或外部）存储器54，所述存储器54可以被耦合到处理器52，用于存储可以由处理器52执行的信息和指令。存储器54可以是一个或多个存储器并且是适于本地应用环境的任何类型的，并且可以使用任何适当的易失性或非易失性数据存储技术来实现，所述易失性或非易失性数据存储技术诸如基于半导体的存储器设备、磁存储器设备和系统、光学存储器设备和系统、固定存储器和可移除存储器。例如，存储器54可以包括随机访问存储器（RAM）、只读存储器（ROM）、诸如磁盘或光盘之类的静态储存器或任何其他类型的非瞬时机器或计算机可读介质的任何组合。被存储在存储器54中的指令可以包括在被处理器52运行时使得装置50能够执行如本文中描述的任务的程序指令或计算机程序代码。

装置50可以进一步包括或被耦合到收发机58，所述收发机58被配置成传输和接收信息、数据或信号。

处理器52可以执行与装置50的操作相关联的功能，其没有限制地包括对形成通信消息的单个位的编码和解码、对信息的格式化以及对装置50的全面控制，所述全面控制包括与通信资源的管理相关的过程。

在实施例中，存储器54存储在被处理器52执行时提供功能的软件模块。模块可以包括例如为装置50提供操作系统功能的操作系统。存储器还可以存储诸如应用或程序之类的一个或多个功能模块来为装置50提供附加功能。装置50的部件可以在硬件中被实现或者被实现为硬件和软件的任何适当组合。

如上面提及的那样，根据一个实施例，装置50可以是在通信网络中或者服务这样的网络的服务器、节点或主机，诸如IMS中的I-CSCF或S-CSCF。在实施例中，可以通过存储器54和处理器52控制装置50从HSS检索与IMS订阅相关联的所有WWSF身份中的身份/多个身份。然后可以控制装置50将来自HSS的与IMS订阅相关联的所有WWSF身份中的身份/多个身份与从eP-CSCF接收的WWSF身份进行比较并且在不存在匹配时拒绝IMS通信。在另一实施例中，可以通过存储器54和处理器52控制装置50将从eP-CSCF接收的WWSF身份发送到HSS。

根据另一实施例，可以通过存储器54和处理器52控制装置50基于从eP-CSCF接收的指示针对每个用户存储WWSF的身份。在实施例中，可以通过存储器54和处理器52控制装置50从HSS检索所有被阻断的WWSF身份。根据该实施例，然后可以通过存储器54和处理器52控制装置50将从HSS检索的被阻断的WWSF身份与从eP-CSCF接收的WWSF身份进行比较并且在存在匹配时拒绝IMS通信。

在实施例中，可以通过存储器54和处理器52控制装置50将从eP-CSCF接收的WWSF身份发送到HSS。在一个实施例中，可以通过存储器54和处理器52控制装置50存储一个或若干附加参数，其可以包括被阻断的任何WWSF的身份，如果在HSS中未完成存储的话。根据该实施例，然后可以通过存储器54和处理器52控制装置50将被存储在I-CSCF或S-CSCF中的被阻断的WWSF身份与从eP-CSCF接收的WWSF身份进行比较并且在存在匹配时拒绝IMS通信。

在实施例中，当装置50是S-CSCF时，可以通过存储器54和处理器52控制装置50针对与被阻断的WWSF相关联的所有用户发起网络发起的解除登记。这避免了在WWSF还没有被阻断但可能已经被损害的时间处的由被阻断的WWSF认证的用户的通信。

在某些实施例中，本文中描述的任何方法（诸如上面讨论的图2-4中图示的那些）的功能可以通过被存储在存储器或其他计算机可读或有形介质中的软件和/或计算机程序代码或其部分来实现，并由处理器来执行。在某些实施例中，装置可以与至少一个软件应用、模块、单元或实体包括在一起或者相关联，所述至少一个软件应用、模块、单元或实体被配置为由至少一个操作处理器执行的（一个或多个）算术运算或被配置为由至少一个操作处理器执行的程序或其部分（包括被添加或更新的软件例程）。包括软件例程、applet和宏的程序（也被称作程序产品或计算机程序）可以被存储在任何装置可读数据存储介质中，并且其包括用以执行特定任务的程序指令。计算机程序产品可以包括一个或多个计算机可执行部件，其在程序被运行时被配置成执行实施例。一个或多个计算机可执行部件可以是至少一个软件代码或其部分。可以将用于实现实施例的功能要求的修改和配置作为（一个或多个）例程来执行，其可以被实现为（一个或多个）被添加或更新的软件例程。（一个或多个）软件例程可以被下载到装置中。

软件或计算机程序代码或其部分可以以源代码形式、目标代码形式或以某中间形式，并且其可以被存储在可以是能够承载程序的任何实体或设备的某种载体、分布介质或计算机可读介质中。例如，这样的载体包括记录介质、计算机存储器、只读存储器、光电和/或电载波信号、电信信号以及软件发布包。取决于需要的处理能力，可以在单个电子数字计算机中执行计算机程序，或者其可以被分布在许多计算机之间。计算机可读介质或计算机可读存储介质可以是非瞬时介质。

在其他实施例中，可以通过硬件，例如经由专用集成电路（ASIC）、可编程门阵列（PGA）、现场可编程门阵列（FPGA）或硬件和软件的任何其他组合的使用，来执行功能。在又一实施例中，可以将功能实现为信号，可以由从因特网或其他网络下载的电磁信号承载的非有形手段。

根据实施例，可以将诸如节点、设备或相应部件之类的装置配置为计算机或微处理器，诸如单片计算机元件，或者作为芯片组，至少包括用于提供被用于算术运算的存储容量的存储器和用于执行算术运算的操作处理器。

本领域普通技术人员将容易地理解，可以利用以不同顺序的步骤和/或利用在与公开的那些配置不同的配置中的硬件元件来实施如上面讨论的本发明。因此，尽管已经基于这些优选实施例描述了本发明，但对本领域那些技术人员而言将显然的是某些修改、变化和替代构造将是显然的，同时保持在本发明的精神和范围内。因此，为了确定本发明的界限，应该参考所附权利要求书。