专利名称:用于在移动无线电系统内由第一网络单元控制和分析通信单元的消息通信业务的方法 ...的制作方法
技术领域:
本发明所基于的任务是,在移动无线电系统内通过第一网络单元以更简单和有效的方式提供对通信单元的消息通信业务的控制和分析。该任务通过以下的本发明方法来解决用于在移动无线电系统内通过第一网络单元控制和分析通信单元的消息通信业务的方法,其方式是消息通信业务的所有消息都经由第一网络单元发送;其方式是由第一网络单元借助于通信单元KE的一个或者多个有用信息判定一个或者多个消息是被继续传输给第二网络单元用于继续处理还是被阻止;并且其方式是由第一网络单元借助于通信单元的一个或者多个有用信息判定消息通信业务的相应消息是否由第一网络单元被记录在登记文件(Protokolldatei)中。
有利地,通过本发明方法来控制和分析通信单元的消息通信业务。借助于相应的通信单元的一个或者多个有用信息可以为不同的通信单元考虑不同的和单独的判定规则来进行控制和分析。
此外,通过本发明方法能够有利地实现对相应的通信单元的应用的消息通信业务的记录。因为在应用层执行记录,所以可以使该记录依赖于在各个消息中所包含的内容、也即消息数据。因此,在记录时可以将具有多媒体内容(例如视频序列或者语音记录)的消息的数据量注册为付费的数据量,并且具有控制信息的消息不被记录。
另外,本发明还涉及用于在移动无线电系统内控制和分析通信单元的消息通信业务的第一网络单元,其具有接收单元,借助于所述接收单元能够接收通信单元的消息通信业务的所有消息;具有发送单元,借助于所述发送单元能够发出消息通信业务的所有消息;以及具有处理单元,借助于所述处理单元能够判定消息通信业务的至少一个消息根据通信单元的一个或者多个有用信息被继续传输给第二网络单元用于继续处理还是被阻止,并且借助于所述处理单元可以判定消息通信业务的至少一个消息根据通信单元的一个或者多个有用信息是否由第一网络单元被记录在登记文件中。
本发明也涉及一种通信单元,其中在移动无线电系统内通过第一网络单元控制和分析消息通信业务,所述通信单元具有借助于其可接收消息通信业务的所有消息的接收单元,并且具有借助于其可发出消息通信业务的所有消息的发送单元。
在从属权利要求中描述本发明的其他改进方案。
下面根据附图更详细地说明本发明和其改进方案。
图1以示意图的形式示出按照本发明方法的第一变型方案以及所属的修改用于在移动无线电系统内通过由一组网元所组成的网络单元来控制和分析通信单元的消息通信业务的装置,图2针对根据图1的应用例示出可能的消息通信业务的流程图,图3以示意图的形式示出所调用的具有两个用户标识的有用信息的可能结构,图4以示意图的形式示出使用IMS标准的利用本发明方法的另一变型方案以及所属的修改的用于在移动无线电系统内通过由一组网元所组成的网络单元来控制和分析通信单元的消息通信业务的装置,图5针对根据图4的应用例示出可能的消息通信业务的流程图,图6针对根据图5的应用例示出所述流程图的可能补充,以及图7针对另一应用例示出消息通信业务的可能的流程图,在所述另一应用例中,具有SIP信令的消息和具有有效数据的消息在通信单元和网络单元之间是相结合的。
1.第一实施例1.1设备在图1中示出了用于执行本发明方法的第一可能的设备。图1示出可能的网络架构的简化图示。在图1中停留在受访网VN(VN-VisitedNetwork)中的通信单元KE的归属网HN(HN-Home Network)位于图1的中间。该情况通常也被称为“漫游”。归属网HN和受访网VN位于移动无线电系统MS中。通信单元KE例如被安置在符合GSM标准(GSM-全球移动系统)或者UMTS标准(UMTS-通用移动电信系统)的无线电设备中。该通信单元KE允许借助于其发送单元SE1发送消息以及借助于其接收单元EE1接收消息。另外,通信单元KE还具有允许执行例如应用程序AP的处理单元VE1。该应用程序AP尤其是浏览器应用程序或者一键通应用程序。接收单元EE1、发送单元SE1和处理单元VE1借助于连接网络XN1相连接,并且由此能够交换信息。
通信单元KE在受访网VN中经由第一连接V1与第一网元NW1相连接。该第一网元NW1尤其是GGSN(GGSN-GPRS网关支持节点)(GPRS-通用分组无线电系统)。正如在3GPP(3GPP-第三代合作伙伴计划)TS 23.060版本5.3.0“General Packet Radio Service GPRS”阶段2中所描述的那样,该第一连接V1借助于名为PDP上下文激活流程(PDP-分组数据协议)的流程来建立。在建立该第一连接V1时确定该第一连接V1仅仅允许被用于在通信单元KE和第一网元NW1之间交换消息(例如具有有效数据ND的消息)。有效数据优选地应当理解为如图像或者语音记录的数据,而不是信令信息。在该第一连接V1上所发送的具有有效数据ND的所有消息自动地从第一网元NW1经由第二连接V2被继续传输给第二网元NW2。该第二网元NW2优选地是数据网关。
一方面,第二网元NW2具有直达面向分组的公众网PN(PN-PublicNetwork公众网)(例如因特网)的第四连接V4。这一面向分组的公众网PN例如包括第二网络单元NE2(例如视频流服务器)。另一方面,也存在至第三网元NW3的第三连接V3,所述第三网元位于通信单元KE的归属网HN中。第三网元NW3优选地是数据网关。
另外,第三网元NW3经由第五连接V5与数据库HSS(优选地为归属用户服务)相互连接起来。该数据库HSS包含通信单元KE的与用户有关的信息。此外,第三网元NW3经由第六连接V6与面向分组的公众网PN相连接。附加地,受访网VN中的第二网元NW2可直接与数据库HSS相连接。这在图1中用虚线表示的第七连接V7表示。
第一网络单元NE1可以由多个网元NEE组成。在图1中,第一网元NE1包括第一、第二和第三网元NW1、NW2、NW3。对于通信单元KE位于其归属网HN中的情况,第二和第三网元NW2或者NW3可以被安置在唯一网元中,这个网元涵盖了第二和第三网元NW2或者NW3的功能。第一网络单元NE1包括用于传输消息的发送单元SE2和用于接收消息的接收单元EE2。此外,该第一网络单元NE1还包括用于控制和分析通信单元KE的应用程序AP的数据通信业务的处理单元VE2。发送单元SE2、接收单元EE 2和处理单元VE2可以借助于连接网XN2交换信息。在图1中,每个网元NEE分别包含自身的发送单元、自身的接收单元、自身的处理单元和自身的连接网。在图1中,针对第二网元NW2示例性地示出发送单元SE2、接收单元EE2、处理单元VE2和连接网XN2。
1.2请求消息下面,借助于图1更详细地描述通信单元的鉴权。该鉴权是必要的,以便第二网元NW2可以确定,通信单元是否确实是那个它自己所声称的通信单元,以及该通信单元是否有权经由该第二网元NW2与面向分组的公众网PN交换消息。
在图2中示出此鉴权所必须的一种可能的消息通信业务的流程图。这里,尤其探讨通信单元KE和面向分组的公众网PN之间的消息交换的问题。
如果通信单元KE向面向分组的公众网PN请求消息(例如具有有效数据ND的消息)、或者想要向该面向分组的公众网PN发送消息,则通信单元KE向第二网元NW2发送请求消息AN。对于使用HTTP协议(HTTP-超文本传输协议)的情况,该请求消息AN是HTTP请求。在该请求消息AN中包含有接收方地址EA,其中从所述接收方地址请求和/或发送有效数据ND。可以按URI(URI-统一资源标识符)的形式来构造该接收方地址EA。为了对通信单元KE进行鉴权,可以使用按照IETF(IETF-国际工程任务组)RFC(RFC-请求注解)3310“Hyper Text TransferProtocol(HTTP)Digest Authentification Using AuthentificationAnd Key Agreement(AKA)”(参见www.ietf.org)的机制。对此,具有名称“授权”的消息行被添加到请求消息AN中。该消息行此外还包括关于用户标识NID的信息。
1.3用户标识用户标识NID是某一通信单元(例如通信单元KE)的明确的标记。根据具有该用户标识NID的信息行,第二网元NW2可以在第一判定步骤A1中确定,通信单元KE属于哪个网络(例如归属网HN)。此外,确定第二网元NW2是否已经存储有进行询问的通信单元KE的一个或者多个鉴权信息。因为第二网元NW2仍然不具有这种鉴权信息,所以第二网元NW2将该请求消息AN转发给第三网元NW3。假定第三连接V3是安全的,并且第三方不可能截获、改变或者读取消息。
1.4有用信息在以下的步骤中,第三网元NW3利用包含有用户标识NID的第三消息N3向数据库HSS优选地询问用于通信单元KE的以下有用信息NI-一个或者多个第二密钥SP2,其将由第二网元NW2用来鉴权和加密通信单元KE的消息;-挑战(Herausforderung)HEF,其将被通信单元KE使用来进行鉴权,例如参见IETF RFC 3310;-一个或者多个过滤器指令FW。
下面假定,只向数据库DB询问第二密钥SP2。
1.5过滤器指令该过滤器指令FW尤其包括以下的准则中的一个或者多个-一个或者多个有效的接收方地址PEA,其可被通信单元KE寻址到;-一个或者多个无效的接收方地址NEA,其不能被通信单元KE寻址到;-一个或者多个待记录的接收方地址XEA,其将由第一网络单元NE1记录。在图1中,记录通过第二网元NW2来进行。
借助于该过滤器指令FW,第二网元NW2能够限制通信单元KE对面向分组的公众网PN中的一个或者多个确定的接收方地址EA的接入。附加地,该过滤器指令FW也可以被用于通知第二网元NW2与其他访问分开地检测对确定的接收方地址EA的访问。因为多个用户标识NID可以被分配给一个通信单元KE,所以一个或者多个过滤器指令FW可以显性地被分配给确定的用户标识NID。因此,用户标识NID分别被符合目的地分配给应用程序AP。
借助于第四消息N4,所述有用信息NI从数据库HSS被传输给第三网元NW3。第三网元NW3接下来将该有用信息NI以第五消息N5的形式发送给第二网元NW2。对于为此使用HTTP协议的情况,为了通信单元KE的挑战HEF所确定的该有用信息NI被添加到具有名称“WWW-授权”的信息行中(参见IETF RFC 3310和IETF RFC 2617“HTTPAuthentificationBasic and Digest Access Authentification”)。类似地,用于加密、鉴权和保证完整性所需要的所有第二密钥被处理。附加地,在该第五消息N5中可能包含挑战HEF的期望的应答AEH。这能够使第二网元NW2利用所期望的应答AEH来检查由通信单元KE基于挑战响应HEF所发送的应答AGH。在该情况下,不再需要将该消息AGH转发给第三网元NW3来检查真实性。
一个或者多个过滤器指令FW可以被包含在该第五消息N5的新类型的消息体中,所述第五消息例如在使用HTTP协议的情况下以HTTP消息的形式来形成。该新类型的消息体通过明确的说明是可标识的。这在实际上是合理的,因为在原本的HTTP消息中该明确的说明包含在名为“内容-类型(Content-Type)”的消息行中,所述消息行例如按照标准IETF RFC 2045“Multipurpose Internet Mail Extensions(MIME)Part OneFormat of Internet Message Bodies”形成。由此,第二网元NW2能够仅仅根据该明确的说明来确定HTTP消息的内容,例如过滤器指令FW是否被包含在其中。
图3示例性地示出在消息体NK中所包含的多个过滤器指令FW的结构。该消息体NK对于每个用户标识NID1或者NID2来说分别包括两个列表L11、L12或者L21、L22。相应的用户标识NID1或者NID2的相应的第一列表L11或者L21包含有待记录的接收地址XEA的列表。相应的用户标识NID1或者NID2的相应的第二列表L12或者L22说明不可由通信单元KE寻址的一个或者多个无效的接收方地址NEA和/或可由通信单元KE寻址的一个或者多个有效的接收方地址PEA。
在接收到第五消息N5之后,在第二步骤A2中,第二网元NW2从名为“WWW-鉴权”的信息行中取出第二密钥SP2。根据名为“内容-类型”的信息行,第二网元NW2识别出在消息体NK中包含一个或者多个过滤器指令FW,并且同样将其取出。接着,第二网元NW2将这个被修改的第五消息N5作为第六消息N6传输给通信单元KE。通信单元KE随后从名为“WWW-鉴权”的信息行中取出挑战HEF。现在,借助于一个或者多个在通信单元KE的SIM卡(SIM-用户识别模块)上所存储的信息计算适当的第一密钥SP1,所述第一密钥可以被用于加密通信单元KE和第二网元NW2之间的消息以及用于鉴权和保证完整性。第一密钥SP1和所属的第二密钥SP2形成配套的密钥对SCP。此外,通信单元KE借助于第一密钥SP1计算出对挑战HEF的应答AGH。
1.6修改的请求消息在接下来的步骤中,通信单元KE将被修改的请求消息ANM发送给第二网元NW2。对于HTTP语法被用于所修改的请求消息ANM的情况,这个被修改的请求消息ANM对应于HTTP请求。这个被修改的请求消息ANM不仅包括接收方地址EA而且还包括名为“授权”的信息行,其中有效数据ND应该从所述接收方地址EA被发送给通信单元KE。该信息行除了包括用户标识NID之外还包括对挑战HEF的应答AGH。
在接收到修改的请求消息ANM之后,在第三判定步骤A3中,第二网元NW2根据在名为“授权”的消息行中所包含的用户标识NID检查第二网元NW2是否已经存储有该通信单元KE的鉴权信息。现在,这在该实施例的先前的步骤运行完之后已经存在。因此,第二网元NW2从被修改的请求消息ANM中取出名为“授权”的信息行。借助于在第二网元NW2中所存储的第二密钥SP2,在接下来的步骤中检查对挑战HEF的应答AGH的正确性。如果所传输的应答AGH不正确,则借助于第十消息N10拒绝修改过的请求消息ANM。如果该检查得出与对挑战响应HEF的所期望的应答AEH的正确的一致性,则在第四判定步骤A4中检查在被修改的请求消息ANM中所包含的接收方地址EA对于通信单元KE是否可寻址。对于该接收方地址EA与无效的接收方地址NEA一致的情况,拒绝该修改的请求消息ANM用于传输有用信息ND。这借助于第十消息N10被通知给通信单元KE。可代替地,代替借助于至少一个无效的接收方地址NEA来检查接收方地址EA,可以根据至少一个有效的接收方地址PEA来进行检查。在这里,检查接收方地址EA是否对应于有效的接收方地址PEA。如果它们不相符,则该修改的请求消息ANM被拒绝。
1.7记录对于接收方地址EA可寻址的情况,另外还检查接收方地址EA是否对应于待记录的接收方地址XEA,针对所述待记录的接收方地址XEA,第二网元NW2应该单独地检测数据量。如果是这样,则新的第一数据记录DS1在第二网元NW2中被存放至数据总量中,所述新的第一数据记录优选地至少包括下面的数据记录元素-数据纪录的明确的标识;-通信单元KE所访问的接收方地址EA,-数据量;-对该接收方地址EA的访问的次数。
如果接收方地址EA不对应于待记录的接收方地址XEA,则新的第二数据记录DS2被存放至数据总量中,所述新的第二数据纪录优选地包括下面的数据纪录元素-数据纪录的明确的标识;-数据量。
如果在通信单元KE和接收方地址EA之间交换一个或者多个可能包括有效数据ND的消息,所述接收方地址EA根据相应的过滤器指令FW不对应于待记录的接收方地址XEA,则该第二数据记录DS2或者具有数据量说明的数据记录元素总是被更新。
所有第一或者第二数据记录DS1或者DS2被存储在存储元件SM的登记文件(Protokolldatei)PD上。
接下来,根据被修改的请求消息ANM产生第八消息N8,该第八消息被转发给后置的第二网络单元NW2或者被转发给通过接收方地址EA寻址的单元。该第二网络单元NE2位于面向分组的公众网PN中。对该第八消息N8的应答(在图2中被实现为第九消息N9)在通过第二网元NW2接收之后被分配给相应的数据记录DS1或者DS2,其中利用所述相应的数据记录DS1或者DS2已经记录了被修改的请求消息ANM。随后,第九消息N9通过第二网元NW2借助于第七消息N7被转发给通信单元KE。
1.8分析登记文件第二网元NW2在稍后的时刻将登记文件PD经由第八连接V8借助于记录消息PDN转发给分析单元AWE(例如计费站)。该分析单元AWE分析登记文件PD的一个或者多个第一或或第二数据记录DS1或DS2,以便例如从中完成针对通信单元KE的计算。
此外,至数据总量的一个或者多个第一或第二数据纪录DS1或DS2可以如此通过分析单元AWE来分析,以致从中可以产生控制信息用于优化一个或者多个网络(例如对于归属网HN)内的数据通信业务。
在该方面,使用过滤器指令FW是有利的,因为这能够根据所传输的内容(例如有效数据ND)来计费。因此,可以单独地检测对存在-服务器(Presence-Server)的访问,其中该存在-服务器的地址被过滤。此外,对于实践有利的是,计费不依赖于位于其中的传输网(例如GPRS)。仅仅在数据-网关类型的网元中(如在该实施例中在第二网元NW2中)实现数据纪录(例如第一数据纪录DS1)的建立用于检测数据总量。位于其中的GPRS-传输网可能免费地提供通信单元KE和直接通向第二网元NW2的第一网元NW1之间的连接。于是,在GPRS的情况下也仅仅经由第二和/或第三网元NW2或NW3来进行计费。由此,GPRS传输网不必提供计费功能。
1.9扩展和变型借助于图1和图2更详细地描述该实施例的一种可能的扩展。对此,第一网元NW1和第二网元NW2之间的附加的被修改的第二连接V2M被添加到图1的架构中。这个被修改的第二连接V2M使第二网元NW2能够通知第一网元NW1该第一网元NW1何时应该断开通信单元KE和第一网元NW1之间的第一连接V1。如果例如通信单元KE的鉴权失败,则第二网元NW2指示第一网元NW1断开第一连接V1,并因此又释放由该第一连接V1所占用的无线电资源。对此,第二网元NW2在传输了第十消息N10之后将第十二消息N12发送给第一网元NW1,以便由此请求第一网元NW1断开第一连接V1。该第十二消息N12包含待断开的连接(例如第一连接V1)的明确的标识。
根据本发明方法的一个扩展,在开始配置新的通信连接时,第一网元NW1分配连接标识VID。这里,配置通信连接意味着在各个网元NEE和通信单元KE之间建立一个或者多个连接,以便该通信单元KE能够将一个或者多个请求消息AN发送给第二网络单元NW2。对于通信单元KE可能同时存在多个通信连接。例如,对于通信单元KE的三个不同的用户标识NID分别同时存在三个不同的通信连接。该连接标识VID明确地标识出该新的通信连接的第一和第二网元NW1和NW2之间的连接。借助于通信单元KE的IP地址(IP-因特网协议)和该连接标识VID,通信单元KE和第一网元NW1之间的连接也是可明确地标识的。
第一网元NW1在第十一消息N11中将该连接标识VID连同通信单元KE的IP地址IPA一起传输给第二网元NW2。该第二网元NW2利用第十四消息N14确认第十一消息N11的接收。该实现变型方案是有利的,因为该实现变型方案仅仅要求第一和第二网元NW1或NW2之间的另一信令。因此,该通信连接的明确标识对于第一和第二网元NW1或NW2是已知的。这在实际上是合理的,因为通信单元KE能够具有以相同的IP地址IPA与第一网元NW1的多个通信连接。如果第二网元NW2在第十二消息N12中说明IP地址IPA和连接标识VID,则第一网元NW1明确地识别出要断开哪个通信连接、或者通信单元KE和第一网元NW1之间的连接。该第一网元NW1借助于第十三消息N13确认第十二消息N12的接收。
利用第十一和第十四消息N11或N14的附加信令此外还可以被用于将GPRS-计费信息发送给第二网元NW2。该第二网元NW2可以将该GPRS-计费信息添加到第二网元NW2的一个或者多个数据记录DS1或DS2,并且将其传输给分析单元AWE。该分析单元AWE可以使GPRS传输网的(例如具有计费功能的)计费信息与数据记录DS1或DS2相互关联起来,并且由此完成通信单元KE的连接费用的结算。
代替使用连接标识VID,可以使用IPSec-隧道IIP(IPSec-因特网协议安全)。例如,这可以借助于使用如IETF RFC 2401“SecurityArchitecture for the Internet-Protocol”中的IPSec-技术来实现。一标识被分配给该IPSec隧道IIP。为了断开通信单元KE和第一网元NW1之间的连接,第二网元NW2仅仅将IPSec隧道IIP的该标识传输给第一网元NW1。该标识在第一以及第二网元NW1或NW2中是明确已知的。第一网元NW1知道IPSec隧道IIP的标识至所属的在第一网元NW1和通信单元KE之间的连接的映射。
对于该解决方案,为通信单元KE的每个通信连接分别提供第一和第二网元NW1或NW2之间的IPSec隧道。该代替方案在实际上是合理的,因为将IPSec隧道的该标识通知给第二网元NW2不需要附加的信令。这里,不需要第十一或第十四消息N11或N14。
在成功地断开(其通过第二网元NW2的第十二消息N12而引起)通信单元KE和第一网元NW1之间的第一连接V1之后,第一网元NW1将确认消息N13发送回第二网元NW2。
2.第二实施例2.1设备和结构在另一实施例中,描述用于借助于第二网元NW2对通信单元KE进行鉴权和保证通信单元KE的完整性的代替方案。第二网元NW2可以以数据-网关的形式来实现。在图4中示出用于执行该实施例的可能的设备。通信单元KE位于受访网VN中。一个或者多个消息可以借助于SIP语法(SIP-会话发起协议)来形成(参见IEFT RFC 3261“SIP InitiationProtocol”)。
通信单元KE在受访网中经由第一连接V1与第一网元NW1相连接。如在3GPP TS 23.06.0版本5.3.0中所述的那样,借助于名为“PDP上下文激活流程”的流程来建立该第一连接V1。因此,该第一连接V1利用第一PDP上下文来实现。在建立该第一连接V1时确定该第一连接仅仅被允许用于在通信单元KE和第二网元NW2之间的消息交换。在该第一连接V1上所发送的所有消息自动地从第一网元NW1经由第二连接V2被转发给第二网元NW2。第二网元NW2具有至面向分组的公众网PN的第四连接V4。附加地,第二网元NW2具有至SIP-代理PCS的第三连接V3。在此,该SIP-代理PSC总是位于与第一网元NW1相同的网络中(在该实施例中也即位于受访网VN中)。
此外,借助于名为“PDP上下文激活流程”的流程来建立通信单元KE和第一网元NW1之间的名为“第五连接V5”的另一连接。该第五连接V5借助于第二PDP上下文实现。该第五连接V5主要用于交换SIP-消息,此外,第一网元NW1经由第六连接V6与SIP-代理PCS相连接,该SIP-代理PCS附加地保持至第二SIP-代理SCS的第七连接V7。经由第五和第六连接V5和V6,在通信单元KE和SIP-代理PCS之间仅仅交换不带有效数据ND的消息。第二SIP-代理SCS总是位于通信单元KE的归属网HN中,并且此外具有SIP注册者的功能(参见IETF RFC 3261“SIP InitiationProtocol”)。第二SIP代理SCS具有与数据库HSS的第十连接V10。为了也与面向分组的公众网PN中的一个或者多个通信单元KE交换SIP消息,第二SIP-代理SCS利用第九连接V9与该面向分组的公众网PN连接。
借助于图5,根据此实施例更详细地描述那些为了鉴权和保证完整性以及分配一个或者多个密钥而交换的消息。为了使用一个或者多个IMS业务(IMS-IP多媒体子系统),通信单元KE首先在IMS-网络中注册。在文献IETF RFC 3261和3GPP TS 24.229(版本5.2.0,“IPMultimedia Call Control Protocol based on SIP and SDP”)中详细地描述了注册的过程。另外,在文献3GPP TS 24.228“SignalingFlows for the IP Multimedia Call Control based on SIP and SDP”中可以找到针对消息交换的例子。
2.2请求消息通信单元KE为了注册首先经由第五和第六连接V5或V6将名为“注册”的请求消息AN发送给SIP-代理PCS。该SIP-代理将该请求消息AN借助于第二消息N2转发给归属网HN中的第二SIP-代理SCS。请求消息AN以及第二消息N2都包含用户标识NID。如在文献IETF RFC 3310和IETFRFC 2617中所述的那样,为鉴权而要使用的用户标识NID在相应的消息AN和N2中被包含在名为“授权”的信息行中。
2.3有用信息根据该用户标识NID,第二SIP-代理SCS现在借助于第三消息N3向数据库HSS询问一个或者多个有用信息NI。为了继续考察,区分两种不同的第二密钥SP2P和SP2N。其中一个第二密钥下面被称为第二代理密钥SP2P。该第二代理密钥包括至少一个用于鉴权和保证完整性以及用于加密通信单元KE和SIP-代理PCS之间的连接的密钥,并且是为SIP-代理PCS所确定的。另一第二密钥下面被称为第二网络密钥SP2N。该第二网络密钥包括至少一个用于保证完整性和用于加密通信单元KE和第二网元NW2之间的连接的密钥,并且是为第二网元NW2所确定的。下面,假定存在一个第二网络密钥SP2N和一个第二代理密钥SP2P。在接收到第三消息N3之后,数据库HSS利用包含一个或者多个有用信息NI的第四消息N4进行应答。这里,一个或者多个有用信息NI包括第二代理密钥SP2P和挑战HEF,所述挑战HEF在稍后的步骤中被传输给通信单元KE用于进行鉴权。第二SIP-代理SCS现在将该有用信息NI在名为“401未授权”的第五消息N5中发送给SIP-代理PCS。该第五消息N5不仅包括第二代理密钥SP2P而且也包括挑战HEF,这两者被用于在通信单元KE和第二SIP-代理SCS之间进行通信单元KE的鉴权。根据文献IETF RFC 3310和IETF RFC 2617,该第二代理密钥SP2P以及挑战HEF被添加到第五消息N5中的名为“WWW-鉴权”的信息行中。SIP-代理PCS从第五消息N5中取出代理密钥SP2P用于保证完整性和加密,并且将该修改过的消息以第六消息N6的形式继续发送给通信单元KE。通信单元KE现在根据挑战HEF中的信息来产生第一密钥,所述第一密钥下面被称为第一代理密钥SP1P,并且被用于保证完整性和加密。此外,通信单元KE利用第一代理密钥SP1P完成对挑战HEF的应答AGH。
2.4被修改的请求消息接下来,通信单元KE将名为“注册”的被修改的第二请求消息ANM发送给SIP-代理PCS。该被修改的请求消息ANM包含对挑战响应的应答AGH。根据文献IETF RFC 3310和IETF RFC 2617,该被修改的请求消息ANM在名为“授权”的信息行中包含该应答AGH。此外,该被修改的请求消息ANM的完整性借助于所产生的第一代理密钥SP1P来保证。
SIP-代理PCS现在借助于从第二SIP-代理SCS接收的第二代理密钥SP2P来检查被修改的请求消息ANM在其创建之后是否已经被通信单元KE改变。如果根据完整性的检查证实该完整性没有问题,则SIP-代理PCS将该被修改的请求消息ANM以第八消息N8的形式继续发送给第二SIP-代理SCS。
第二SIP-代理SCS根据对挑战响应HEF的应答AGH检查通信单元KE是否被授权在IMS网络注册。如果所述检查得出通信单元KE拥有此权利,则第二SIP-代理SCS借助于第九消息N9通知数据库HSS通信单元KE现在已注册。
2.5其他的有用信息接着,数据库HSS借助于第十消息N10将一个或者多个其他的有用信息NIW发送给第二SIP-代理SCS。一个或者多个其他的有用信息NIW例如包括第二网络密钥NP2N,所述第二网络密钥NP2N被用于保证完整性,并且用于加密通信单元KE和第二网元NW2之间的连接。此外,包含一个或者多个过滤器指令FW,其被第二网元NW2用来过滤消息通信业务。除了借助于第十消息N10传输其他的有用信息NIW,所述其他的有用信息NIW也可以已经借助于一个或者多个有用信息NI和第四消息N4一起被传输。一个或者多个过滤器指令FW根据先前的实施例被创建。
在接下来的步骤中,第二SIP-代理SCS将名为“200OK”的第十一消息N11发送给SIP-代理PCS。该第十一消息N11包括用于保证完整性和用于加密的由第二网元NW2所使用的一个或者多个第二网络密钥SP2N。此外,该第十一消息N11还包含通信单元KE需要的附加信息,以便在其侧计算第一网络密钥SP1N。每一个第一网络密钥SP1N分别和一个相应的第二网络密钥SP2N形成配套的密钥对SCP,用于保证第二网元NW2和通信单元KE之间的连接。
可代替地,代替不同的密钥,对于通信单元KE与第二网元NW2之间的相应连接和通信单元KE与SIP-代理PCS之间的相应连接可以使用共同的密钥对SCP。
2.6用户标识多个用户标识NID可以被分配给一个通信单元KE。这里,在一个有利的扩展中,附加地分别将一个或者多个用户标识分配给相应的一个或者多个密钥在实际上是合理的,其中相应的密钥允许和所述用户标识一起被使用。第二网元NW2能够在使用确定的用户标识(例如第一用户标识NID1)的情况下允许、或者在使用另一用户标识(例如第一用户标识NID2)的情况下拒绝在通信单元KE和第二网元NW2之间交换消息。因此,为通信单元创建不同的用户简档是可能的。
SIP-代理PCS从第十一消息N11中取出第二网络密钥SP2N和所有过滤器指令FW。根据该第十一消息N11的名称“200OK”,SIP-代理PCS识别出所述鉴权已成功。
SIP-代理PCS将该修改过的第十一消息N11作为第十四消息N14发送给通信单元KE。借助于在该第十四消息N14中所包含的信息,通信单元KE现在在其侧计算第一网络密钥SP1N用于保证完整性和用于加密。该第一网络密钥SP1N被用于通信单元KE和第二网元NW2之间的消息交换。另外,SIP-代理PCS借助于第十二消息N12将其网络密钥SP2N以及所有过滤器指令FW交给第二网元NW2,所述第二网元利用第十三消息N13确认接收。
2.7消息交换接下来,通信单元KE和第二网元NW2能够相互交换消息。这借助于图6更详细地说明。通信单元KE将请求消息AN发送给第二网元NW2。该请求消息AN包含用户标识NID和所希望的接收方地址EA,向所述所希望的接收方地址请求有效数据ND。对于使用HTTP协议的情况,该请求消息AN是HTTP请求。该请求消息AN借助于用于保证完整性的第一网络密钥SP1N来保证,并且可以被加密。第二网元NW2能够利用它的网络密钥SP2N解密所接收的请求消息AN,并且检查该请求消息AN在通过通信单元KE确立之后是否已被改变。第二网元NW2接着检查所发送的用户标识NID是否允许与所使用的第一网络密钥SP1N或相应的第二网络密钥SP2N一起使用,并因此授权通信单元KE发送一个或者多个消息。
在通信单元有权发送一个或者多个消息的情况下,第二网元NW2另外还借助于从SIP-代理PCS接收的过滤器指令FW检查通信单元KE是否允许以由其所使用的用户标识NID访问在请求消息AN中所包含的接收方地址EA。如果是这种情况,则第二网元将该请求消息AN以第十六消息N16的形式转发给相应的接收方地址EA。此外,第二网元NW2检查对于对所希望的接收方地址EA的访问,该第二网元是否应将一个或者多个数据记录存放至数据总量中。在此,一个或者多个数据记录的存放对应于如在先前的实施例中所述的流程。
如果通信单元KE没有被授权以所提及的用户标识NID与第二网元NW2交换消息、或者以所提及的用户标识NID根据一个或者多个过滤器指令FW不允许访问所希望的接收方地址EA,则第二网元NW2将第十八消息N18发送回给通信单元KE。该第十八消息N18通知通信单元KE该通信单元未被授权以所提及的标识NID访问所提及的接收方地址EA。
最后,一个或者多个数据记录经由第八连接V8被传输给分析单元AEW用于分析。
3.第三实施例-SIP信令和消息的联合根据本发明方法的一种扩展,下面描述实施例,如何能够使在通信单元KE和第二网元NW2之间的具有有效数据ND的一个或者多个消息与信令事务联合。对此假定通信单元KE已经在IMS-网络处注册过,并因此不仅已成功地结束了鉴权,而且在第二网元NW2中和在通信单元KE中已存在用于保证完整性、用于加密的相应密钥。借助于图7,更详细地描述该实施例的消息流。除了根据图4所知的网元之外,对于该实施例还引入了名为“应用服务器AS”的新网元。在该实施例中,该应用服务器AS是存在服务器。
该应用服务器AS应该将其他通信单元(可能是通信单元KE2)的存在信息的变化通知通信单元KE。在这种情况下,在使用SIP协议来发送信令时,应用服务器AS使用具有名称“通知”的SIP消息。这里合理的是,具有名称“通知”的SIP消息附加地包含当前的存在信息PI。如果该存在信息PI非常大,则在实际上有利的是,不经由与其他SIP消息相同的连接传输该存在-信息,以便由此不使一个或者多个SIP-代理(例如SIP-代理PCS或者第二SIP-代理SCS)负担过重。对此,在文献“Draft-IETS-SIP-CONTENT-INDIRECT-MECH-00”、“A mechanism forcontent indirection in SIP-messages”(参见www.ietf.org)中描述了一种可能的方法,利用所述方法,通信单元被转接到包含一个或者多个有效数据ND的接收方地址上。在该实施例中,该有效数据ND对应于当前存在-信息PI。对此,转接信息UNI包含在SIP消息中。该转接信息例如包括在其中可找到该存在-信息PI的已被转接的接收方地址UEA。此外,该转接信息说明应该利用哪种协议(例如HTTP)询问该存在-信息PI。
首先,应用服务器AS借助于第一消息N1将转接信息UNI发送给第二SIP-代理SCS,其中该转接信息也说明第二通信单元KE2的存在-信息PI在被转接的接收方地址UEA上可用。该存在-信息PI对于通信单元KE是确定的。第二SIP-代理SCS用检测标识EI扩展该第一消息N1。检测标识EI明确地识别SIP事务(也即在这种情况下指的是关于第二通信单元KE2的存在信息PI对通信单元KE的通知)。可能的是,借助于消息中的名为“媒体授权”(参见IETF RFC 3310)的信息行用信令发送该检测标识EI。该检测标识EI通知应该单独地检测那些消息,该消息应该根据在所述第一消息N1中所包含的转接信息UNI在通信单元KE和第二网元NW2之间被交换。
在接下来的步骤中,第二SIP代理SCS将该扩展的消息以第二消息N2的形式发送给SIP-代理PCS。该第二消息N2包括转接信息UNI和检测标识EI。另外,第二SIP代理SCS也可以确定所允许的访问的次数和/或允许访问被转接的接收方地址UEA的持续时间。此外,第二SIP代理SCS存放数据记录DS,该数据记录随后可以被用于控制和分析消息通信业务。该数据记录DS优选地包括下面的数据记录元素-应用服务器AS的消息的类型,例如类型“通知”或者“信息”的SIP消息;-在相应的消息中所参照的被转接的接收方地址UEA;-检测标识EI;-用户标识NID;可代替地,代替第二SIP代理SCS,应用服务器AS也可以已经存放了数据记录DS,并且创建检测标识EI。
SIP代理PCS将第二消息N2以第三消息N3的形式转发给通信单元KE。与之并行地,SIP-代理PCS将第四消息N4传输给第二网元NW2。该第四消息N4通知第二网元NW2如果在通信单元KE的消息中包含检测标识EI,则该第二网元应该单独地检测与通信单元KE的消息通信业务。对此,在第四消息N4中包含检测标识EI和借助于检测标识EI允许访问的被转接的接收方地址UEA。这在实际上是有利的,因为第二网元NW2因此能够借助于该检测标识EI禁止通向不同于被转接的接收方地址UEA的其他接收方地址的消息。此外,在第四消息N4中包含用户标识NID,其中通信单元KE利用该用户标识NID允许发送具有该检测标识EI的消息。
另外,该第四消息N4可以包含重复信息,所述重复信息说明通信单元KE允许如何频繁地使用该检测标识EI。如果消息在通信单元KE和第二网元NW2之间的连接上丢失,则借助于该重复信息可以说明通信单元KE允许如何频繁地重复发送该消息。由此,能够利用相同的检测标识EI多次传输确定的消息。然而,通信单元KE为附加的信息使用相同的检测标识EI的可能性受到限制。该重复信息也可以已经从第二SIP-代理SCS以第二消息N2的形式被交给SIP-代理PCS。
SIP-代理PCS和第二网元NW2总是位于相同的网络中(例如在图4中位于受访网VN中)。期间,在“漫游”的情况下,第二SIP-代理SCS可以位于与通信单元不同的网络中(例如在图4中位于归属网HN中)。因此,SIP-代理PCS知道哪种类型的连接(例如有损耗的或者无损耗的)由第二网元NW2支持或者使用。
第二网元NW2现在借助于第五消息N5确认第四消息N4的接收。通信单元KE借助于第六消息N6确认第三消息N3的接收。在接收该第六消息N6之后,SIP代理PCS将该消息以第七消息N7的形式转发给第二SIP代理SCS,所述第二SIP代理随后将该第七消息N7以第八消息N8的形式转发给应用服务器AS。由此,应用服务器AS知道通信单元KE已经获得转接信息UNI。
随后,通信单元KE将请求消息AN发送给第二网元NW2,以便向在第三消息N 3中所说明的被转接的接收方地址UEA请求一个或者多个有效数据ND。如果为请求消息AN使用HTTP协议,则涉及HTTP请求。该请求消息不仅包括被转接的接收方地址UEA而且还包括用户标识NID。该用户标识NID在如IETF RFC 3310和IETF RFC 2617中所描述的该请求消息AN中被包含在名为“授权”的信息行中。附加地,检测标识EI被结合在该请求消息AN中。
在该实施例的一种可能的扩展中,在为请求消息AN使用HTTP协议的情况下,该检测标识EI可以被包含在名为“访问授权”的新的待定义的信息行中。
第二网元NW2根据由SIP代理PCS所接收的信息检查通信单元KE是否被授权以在请求消息中所包含的用户标识NID在说明检测标识EI的情况下访问所说明的被转接的接收方地址UEA。在检查已经允许访问之后,第二网元NW2将该请求消息AN转发给被转接的接收方地址UEA。这以第十消息N10的形式实现。此外,第二网元现在根据该请求消息AN单独地检测消息交换。对此,第二网元存放第二数据记录,所述第二数据记录优选地包括下面的数据记录元素
-检测标识EI;-通信单元KE访问的被转接的接收方地址UEA;-用户标识NID;-所有消息的大小;-在该检测标识EI的情况下所交换的消息的数量。
对第十消息N10的应答借助于第十一消息N11被发送给第二网元NW2。该第十一消息N11在第二数据记录中被列入,并且随后以第十二消息N12的形式被转发给通信单元KE。
对于通信单元没有被授权将请求消息AN发送给第二网元NW2的情况,第二网元NW2将第十三消息N13发送回给通信单元KE。该第十三消息N13通知请求消息AN没有被转发。第十、第十一和第十二消息N10或N11或N12在这种情况下不被发送。
3.1分析数据记录在接下来的步骤中,第二网元NW2可以将用于分析和控制的该第二数据记录DS2发送给分析单元AWE(例如计费中心)。附加地,数据记录DS也可以被传输给分析单元AWE。
借助于两个数据记录DS和DS2,分析单元AWE现在能够使具有信令信息的消息(也即例如SIP事务)和通信单元KE和第二网元NW2之间的消息相互关联起来。这里,检测标识EI标识根据确定的SIP事务所产生的那些消息。这在实际上是有利的,因为在通信单元KE和第二网元NW2之间的通过SIP信令所发起的那些消息能够与其他消息通信业务不同地被分析、例如被计费。例如具有包含图像或者网页的有效数据ND的消息可能被配以比通过SIP信令所产生的那些消息更高的收费率。另外,根据所传输的消息的数据量也可以得出一种分析准则。例如在所传输的数据量较大时,每所传输的单位数据量的价格变得更优惠。此外,分析准则可以根据对确定的接收方地址的访问来产生。因此,例如付费的调用业务(例如在基于因特网的电话信息的情况下对电话号码的询问)被分配给确定的接收方地址。根据该选择准则,对所述确定的接收方地址的访问利用特殊的计费来结算。
附加地,对接收方地址的多次访问可以被不同地分析。对确定的接收方地址的第一次访问可能是免费的,而每次此外的访问是付费的。使对所传输的消息的分析依赖于所传输的用户标识NID在实际上也可能是合理的。确定的用户标识NID可能被分配给可免费使用的确定的应用程序AP。
除为了出于通信单元计费的目的而分析一个或者多个数据记录之外,分析单元AWE也可以根据该分析来控制和/或优化一个或者多个网络内的消息通信业务。因此,包含有效数据的数据服务器的接收方地址可以被滤出,其中所述有效数据经常被访问并且导致待传输的大的数据量。在另一步骤中,该有效数据被复制到多个数据服务器上(可能在不同的网络中),以便从而更好地分配待传输的数据量。
权利要求
1.用于在移动无线电系统(MS)内由第一网络单元(NE1)控制和分析通信单元(KE)的消息通信业务的方法,其方式是所述消息通信业务的所有消息经由第一网络单元(NE1)来发送,其方式是由所述第一网络单元(NE1)借助于所述通信单元(KE)的一个或者多个有用信息(NI)判定一个或者多个消息是被转发给第二网络单元(NE2)用于继续处理还是被阻止,以及其方式是由所述第一网络单元(NE1)借助于所述通信单元(KE)的一个或者多个有用信息(NI)判定所述消息通信业务的相应消息是否由所述第一网络单元(NE1)记录在登记文件(PD)中。
2.按照权利要求1所述的方法,其特征在于,从数据库(HSS)中调用一个或者多个有用信息(NI),所述一个或者多个有用信息确定对所述通信单元(KE)的消息通信业务的一个或者多个的消息的控制和分析。
3.按照前述权利要求之一所述的方法,其特征在于,有用信息(NI)的特定的组分别被分配给用户标识(NID),其中有用信息(NI)的所述特定的组被用于控制和分析所述通信单元(KE)的消息通信业务的至少一个消息。
4.按照权利要求3所述的方法,其特征在于,所述用户标识(NID)被分配给所述通信单元(KE)的应用程序(AP)。
5.按照前述权利要求之一所述的方法,其特征在于,以下过滤器指令(FW)中的至少一个被添加到至少一个有用信息(NI)中-对于所述通信单元(KE)可寻址的一个或者多个有效的接收方地址(PEA);-对于所述通信单元(KE)不可寻址的一个或者多个无效的接收方地址(NEA);-由所述第一网络单元(NE1)所记录的一个或者多个待记录的接收方地址(XEA)。
6.按照前述权利要求之一所述的方法,其特征在于,利用检测标识(NI)标出所述消息通信业务的待记录的消息。
7.按照前述权利要求之一所述的方法,其特征在于,所述登记文件(PD)由第一网络单元(NE1)借助于登记消息(PDN)转发给分析单元(AWE)用于分析。
8.按照权利要求7所述的方法,其特征在于,在所述登记文件(PD)中所记录的消息由所述分析单元(AWE)根据下面的准则中的至少一个进行分析-消息的有效数据(ND);-消息的接收方地址(EA);-对所述接收方地址(EA)的访问的次数;-数据量;-被发送的带有确定的用户标识(NID)的消息;-被发送的带有确定的检测标识(EI)的消息;-消息与信令信息和/或有效数据(ND)的相互关系。
9.按照前述权利要求之一所述的方法,其特征在于,所述通信单元(KE)被授权用于交换消息,并且一个或者多个密钥对(SCP)被用于提供可靠的消息通信业务。
10.按照前述权利要求之一所述的方法,其特征在于,用于根据IP多媒体子系统以及借助于会话发起协议的构架中。
11.按照前述权利要求之一所述的方法,其特征在于,所述第一网络单元(NE1)通过一组网元(NEE)来实现。
12.尤其按照前述权利要求的至少一个的、用于在移动无线电系统(MS)内控制和分析通信单元(KE)的消息通信业务的第一网络单元(NE1),具有接收单元(EE2),借助于所述接收单元能够接收所述通信单元(KE)的消息通信业务的所有消息,具有发送单元(SE2),借助于所述发送单元能够发出所述消息通信业务的所有消息,以及具有处理单元(VE2),借助于所述处理单元能够判定消息通信业务的至少一个消息根据所述通信单元(KE)的一个或者多个有用信息(NI)是被转发给第二网络单元(NE2)用于继续处理还是被阻止,并且借助于所述处理单元能够判定消息通信业务的至少一个消息根据所述通信单元(KE)的一个或者多个有用信息(NI)是否由所述第一网络单元(NW1)记录在登记文件(PD)中。
13.通信单元(KE),其中尤其按照权利要求1和11的至少一个所述,所述消息通信业务在移动无线电系统(MS)内由第一网络单元(NE1)进行控制和分析,具有接收单元(EE1),借助于所述接收单元能够接收所述消息通信业务的所有消息,和具有发送单元(SE1),借助于所述发送单元能够发出所述消息通信业务的所有消息。
全文摘要
用于在移动无线电系统中由第一网络单元控制和分析通信单元的消息通信业务的方法、以及所属的通信单元和第一网络单元。用于在其中经由第一网络单元(NE1)发送消息通信业务的所有消息的移动无线电系统(MS)内由该第一网络单元(NE1)控制和分析通信单元(KE)的消息通信业务的方法中,不仅由第一网络单元(NE1)借助于通信单元(KE)的一个或者多个有用信息(NI)判定一个或者多个消息是被转发给第二网络单元(NE2)用于继续处理还是被阻止,而且由第一网络单元(NE1)借助于通信单元(KE)的一个或者多个有用信息(NI)判定消息通信业务的相应消息是否由第一网络单元(NE1)记录在登记文件(PD)中。
文档编号H04W76/02GK1922912SQ200580005874
公开日2007年2月28日 申请日期2005年1月18日 优先权日2004年2月26日
发明者M·贝克曼, M·埃克尔特, M·汉斯 申请人:西门子公司