专利名称:在gprs核心网中的透明接入认证的制作方法
技术领域:
本发明涉及一种在2G和2.5G移动接入网中进行透明接入认证的方法和系统。其包括本领域技术人员所熟知的GSM、GPRS、UMTS标准的通信网络。
在通用移动通信系统标准(UMTS第5版)中,预见了范围很广的措施用于在应用层上进行认证,而无需与下层的无线和传输网络协同工作。这种机制是基于以下假设即为开展IP多媒体子系统(IMS)业务而预先准备了特定的环境。它包括使用IMS SIM(ISIM)应用,而该应用又需要在所连接的终端设备中使用Rel.99UICC来处理认证和密钥协定(AKA)。当在以使用SIM卡为特征的网络环境中开展IMS和基于IMS的业务时,将不能再应用该标准化认证机制。
本发明的目的是提供用于透明接入认证的方法和系统,其允许相对于终端设备透明地执行认证,而不需要扩展所有权,也不需要网络或客户端的功能。
该任务通过独立权利要求中所描述的方法和系统来实现。
其他用来限定本发明的特征在从属权利要求中给出。
本发明描述了一种对通过2G或2.5G通用分组无线业务(GPRS)核心网或3G UMTS网络连接到认证网络主域的用户设备进行应用层认证的方法。所述认证是基于在GPRS网络中创建PDP context期间由网络层所组装的数据。这一信息通过标准SIM卡应用程序来进行保密。与用于在3G网络中进行认证的相同机制一样,也可以应用进一步所描述的机制。在使用2G或2.5G接入网时,没有以任何方式给出标准,因为在该标准中并没有预见应用层上的认证。对于UMTS第五版标准以及在此之后的版本,该标准预见了特定的方法。可以使用进一步所描述的方法,但需要关闭标准认证机制。关闭标准认证机制可以被解释为标准的敏感性,但接下来使用进一步描述的机制仍将是符合标准的。此外,还描述了向UMTS第5版标准化认证的移植路径,以及同时使用两种机制的概念。
现在将参考附图更详细地描述本发明。
图1示出了用于实施本发明的系统的整体结构。
图2示出了移植到符合IMS的结构的本发明实施例。
参考图1,在创建PDP context的过程中,服务GPRS支持节点(SGSN)对在GSM和2.5G GPRS及EDGE接入网的情况下使用基于终端设备SIM卡的A3/A8算法的用户设备进行认证。
网关GPRS支持节点1(GGSN)接收一个context创建请求,并对一个范围(登录)服务器2(远程认证拨号接入用户服务器)进行询问,以获得为特定PDP context所分配的IP地址。在所述context内,所述范围服务器2接收用户设备的MSISDN和/或IMSI。从而在范围服务器2的会话数据库3中为每个PDP context存储了一对IP地址和IMSI/MSISDN。一旦PDP context已经创建,则GGSN 1基于隧道端点ID(TEID)对所有经过PDP context的分组进行过滤,以得到正确的IP源地址。这意味着GGSN 1对匹配的TEID/IP地址对进行检查,从而避免了对源地址的篡改、以及对PDP context的整个生命周期的所谓“IP欺骗”。TEID在接收GTP-U(GPRS隧道协议-用户)或GTP-C(GPRS隧道协议-控制)协议实体中明确地识别出一个隧道端点。一个GTP隧道的接收方为发送方在本地分配TEID值用于使用。这个TEID值在UTRAN(UMTS陆地无线接入网)中使用GTP-C消息(或RANAP(无线接入网应用部分))的隧道端点之间进行交换。
在应用主域中存在一个用户设备数据库4,它存储用户设备在该主域中所使用的所有PubID,使其关联到它的PrivID,这个PrivID在各个应用主域中是唯一的。这个PriveID通过一个MSISDN和/或IMSI来校正。
在所述请求中,用户给出他的PrivID以进行登录。当接收到登录请求时,登录代理服务器5对包含有用户设备ID(包括公共的和私有的)以及MSISDN/IMSI的用户设备数据库4进行询问。该数据存储在代理服务器平台上的一个表中。
接着,代理服务器5对范围服务器2的会话数据库3进行询问,以得到该会话的所分配的IP地址以及已经由网络的归属位置寄存器(HLR)所认证的IMSI/MSISDN。HLR的认证进一步确保了IP地址也能被认证,该信息也存储在代理服务器平台上的表中。
现在代理服务器5开始执行根据本发明的认证过程。
首先,代理服务器5检验来自范围服务器2数据库3和应用主域数据库4的IMSI/MSISDN是否匹配。如果这个数据对未匹配,则说明用户设备试图以不正确的PrivID来登录,这个错误的PrivID没有和它的IMSI/MSISDN相对应。如果这个数据对相匹配,则执行下一个步骤。
第二个步骤是检验IP网络层中的用户设备IP地址,即检验源地址的IP分组的附加字段(overhead field)中的IP地址是否与范围服务器3所分配的IP地址相匹配。由于IP地址已经被分配给经过IMSI/MSISDN认证的会话,因此也可以认为IP地址经过了认证。
如果所述数据对不匹配,则说明用户设备使用了错误的IP地址。如果所述数据对相匹配,则执行下面的步骤。
代理服务器5对例如SIP登录消息、SDP消息体等的包头中所给出的IP地址进行应用层解析,并检验是否与IP地址相匹配,这里的IP地址是已经过检验与范围服务器2所分配的IP地址相匹配的地址。如果这个数据对不匹配,则说明用户设备使用了不正确的信令信息,例如响应地址等。如果这个数据对相匹配,则可以认为会话建立经过了认证。
在所有后续到达代理服务器5的消息中,检验源地址的IP分组附加字段中的IP地址是否与应用层协议头字段中的地址相匹配,并且验证相对于范围服务器2所分配的IP地址匹配的数据对。如果PubID在后续的会话中使用,则在询问应用主域数据库4之后相对于PrivID对这个PubID进行检验,这里所述PrivID已经存储在代理服务器平台上的一个表中。
所述的功能使得网络操作员能够执行对于终端设备透明的认证,而不需要扩展所有权、也不需要网络或客户端的功能。在基于SIP的信令的情况下,向完全符合标准UMTS第5版机制的移植以及用于同时操作的策略是必要的,现在将对此进行描述。
由于IMS主域像标准UMTS第5版一样包括其自身的认证机制,需要支持这样一种场景即用户设备移植到可采用ISIM的终端设备。为了充分利用标准化认证机制的优势,需要同时支持这两种机制。
这通过一种附加的功能来完成,即检验每个到来的信令消息,如果协议是除了SIP以外的任何协议,则首先对协议进行检验,该会话被路由至代理服务器5。
参照图2,如果消息是基于SIP,则进行相同的路由判决,但客户并不支持标准化的UMTS第5版认证。如果客户支持标准化的认证方法,例如可以采用ISIM,则消息被路由至符合标准的代理服务器呼叫状态控制功能(P-CSCF)。如上所述,用于其它触发机制的第一个触发机制是协议类型。其他触发机制可以是用于在UE和P-CSCF之间建立保密连接的密钥交换机制(如果终端设备启动了密钥协定,则可以认为是符合标准的,并将请求路由至P-CSCF),或者是包含在UMTS第5版包头中的其他单元,以及任何私有扩展,但这可能并不是必需的。如果在信令中可用的触发点不够,也可以利用数据库查询来使路由判决进行下去。
认证过程如下首先,由节点P-CSCF 6或代理服务器5来请求一个判决,对寄存器进行路由。为此,提供了一个路由模块7,它是用于所有消息的标准入口点。路由模块7通过分析PrivID来判断由哪个节点来处理消息。路由模块7与网络接入识别符(NAI)的主域部分内的子域相关联(例如user@gprs.tmo.de和user@tmo.umts.de),参见3GPP标准23.228。这需要用于3G用户设备的NAI必须提供子域。
路由模块7应当仅通过使用PrivID来设定一个路由实体,后续的消息通过路由表中列出的IP源地址来进行识别。路由模块7通过分析PrivID(URI子域)来识别负责的代理服务器功能,即代理服务器5或P-CSCF 6。这样需要根据该功能来选择IMSI/MSISDN。
在使用除了SIP外的其他协议的情况下,如SMTP、HTTP、SOAP(.NET)等,必须对代理服务器5加以扩展,并通过使用IP地址来对用户设备进行认证,接着对IMSI/MSISDN进行解析,并对协议的特定识别符进行匹配,它存储在用户设备数据库4的用户设备概况信息中。这要求带有所需数据单元的用户设备概况信息的数目统计和路由模块的扩展能够进行与协议相关的路由。
在使用单独的接入网的情况下,应用平台必须知道使用何种类型的接入网来相应地适配于所提供的服务。这要求相对于SGSN提出一个变更信息,以使其能够将接入类型发送到GGSN,GGSN将其包含在范围请求中,从而在会话数据库3中可以获得接入网的类型。这使得所有应用都能够请求接入网类型并使用它,例如用于服务质量(QoS)装置。
缩写2.5G两代半(例如GPRS,EDGE)2G 第二代(例如GSM)3G 第三代(例如UMTS)AKA 认证和密钥协定CC 电路交换IMS IP多媒体子系统IMSI国际移动用户设备标识ISIMIMS SIMMSISDN 移动台ISDN号NAI 网络接入识别符P-CSCF 代理服务器-呼叫-状态-控制-功能SIM(卡) (GSM)用户设备识别模块(卡)SIP 会话发起协议TEID隧道端点IDUE 用户设备UICCUMTS IC卡UMTS通用移动通信系统URI 统一资源定位符
权利要求
1.一种对通过2G或2.5G GPRS核心网或3G UMTS网络连接到认证网络主域的用户设备进行应用层认证的方法,其特征在于,使用在GPRS网络中创建PDP context期间由网络层所组装的数据。
2.如权利要求1所述的方法,包括以下步骤在创建PDPcontext的过程中,服务GPRS支持节点(SGSN)对使用基于终端设备SIM卡的A3/A8算法的用户设备进行认证。
3.如以上权利要求中任一项所述的方法,包括以下步骤网关GPRS支持节点(1)收到一个context创建请求,并对一个登录服务器(2)进行询问,以获得为特定PDP context所分配的IP地址,并且在所述context内,所述登录服务器(2)接收用户设备的MSISDN和/或IMSI,并在一个会话数据库(3)中为每个PDP context存储一对IP地址和IMSI/MSISDN。
4.如以上权利要求中任一项所述的方法,包括以下步骤提供一个代理服务器(5),它检验来自范围服务器(2)数据库(3)和应用主域数据库(4)的IMSI/MSISDN是否匹配。
5.如以上权利要求中任一项所述的方法,包括以下步骤如果所述IMSI/MSISDN数据对相匹配,则范围服务器(5)检验出IP网络层中的用户设备IP地址与范围服务器(3)所分配的IP地址相匹配。
6.如以上权利要求中任一项所述的方法,包括以下步骤代理服务器(5)对登录消息的包头中给出的IP地址进行应用层解析,并检验其是否与已经过检验和范围服务器(2)所分配的IP地址相匹配的IP地址相匹配。
7.如以上权利要求中任一项所述的方法,包括以下步骤在所有后续到达代理服务器(5)的消息中,检验源地址的IP分组附加字段中的IP地址是否与应用层协议头字段中的地址相匹配,并且相对于范围服务器(2)所分配的IP地址匹配验证的数据对。
8.如以上权利要求中任一项所述的方法,包括以下步骤提供一个路由模块(7),它是用于所有消息的标准入口点,并且通过分析PrivID来判断哪个网络节点对消息进行处理。
9.移动通信网络中的单元的系统,其特征在于,至少一个第一认证单元(2)经由数据线连接到一个第二单元(5;6),所述第二单元根据权利要求1所述的方法来组装数据。
10.如权利要求9所述的系统,其中所述第一单元包括一个登录服务器(2)。
11.如权利要求9或10所述的系统,其中所述第一单元(2)连接到一个会话数据库(3)。
12.如权利要求9至11中任一项所述的系统,其中所述第二单元包括一个代理服务器(5)。
13.如权利要求9至12中任一项所述的系统,其中所述第二单元包括一种代理服务器呼叫状态控制功能(6)。
14.如权利要求9至13中任一项所述的系统,其中所述第二单元(5;6)连接到一个用户设备数据库(4)。
15.如权利要求9至14中任一项所述的系统,其中提供了一个路由模块(7),它通过分析PrivID来判断哪个网络节点对消息进行处理。
全文摘要
本发明涉及一种对通过2G或2.5G GPRS核心网或3G UMTS网络连接到认证网络主域的用户设备进行应用层认证的方法,其特征在于使用在GPRS网络中创建PDP context期间由网络层所组装的数据。本发明还涉及移动通信网络中的单元的系统,其包括至少一个第一认证单元,它经由数据线连接到一个第二单元,所述第二单元根据上述方法来组装数据。
文档编号H04Q7/38GK1830191SQ200480021472
公开日2006年9月6日 申请日期2004年7月30日 优先权日2003年7月31日
发明者斯蒂芬·布里克尔, 马塞厄斯·布里特施 申请人:T-移动网德国有限公司