用于在会话发起协议中携带受信任网络所提供的接入网络信息的系统和方法

专利名称：用于在会话发起协议中携带受信任网络所提供的接入网络信息的系统和方法
技术领域：
本发明通常涉及通信网络中的认证。更具体地说，本发明涉及携带接 入网络信息以用于认证的目的。
背景技术：
这个部分意欲提供用于在权利要求中所陈述的发明的背景或上下文。 在此的描述可以包括可以被推行的构思，但并非一定是先前已经构想过或 者推行过的构思。因此，除非在此另外指出，否则在这个部分中所描述的 内容并非是对于该申请中的说明书和权利要求的现有技术，并且不应认为 被包括在这个部分中就是现有技术。
电信和互联网融合服务及高级网络协议(TISPAN)为基于IP多媒体 子系统(IMS)的服务提供了用户认证构思。TISPAN已经引入了网络附 着子系统(NASS)绑定认证(NBA)，其使用网络认可的接入信息，尤 其是line-id，以用于i人证的目的。代理呼叫会话控制功能单元(P-CSCF) 从接入网络获得line-id，并且P-CSCF在P-Access-Network-Info头部中将 line-id交付给服务呼叫会话控制功能单元(S-CSCF)，以用作用于认证的 基础。然而，该方法没有达到理想状况。
首先，如当前在RFC3455中所定义的那样，P-Access-Network-Info 头部通常被设计为将信息从用户设备(UE)携带到网络(NW)。这个 头部没有被配置为将access-info从一个网络单元携带到另 一网络单元。事 实上，RFC3455明确禁止这种类型的使用。此外，当"NBA意识，，的P-CSCF和传统"非NBA意识，，的P-CSCF (例如在已经部署的3GPPR5/R6系统中所出现的P-CSCF)两者共存时， 将这种在P-Access-Network-Info ( P-A-N-I )的处理方面的偏差引入 P-CSCF可能导致兼容性问题，并且甚至可能导致系统中的安全性漏洞。 如图1所示，附着到传统P-CSCF的UE可以将虚假line-id信息;^ P-A-N-I。在此情况下，传统P-CSCF将不触及P-A-N-I，因而这个虛假 line-id信息可以将其送入S-CSCF。如果S-CSCF 4吏用这个虚假信息作为 NBA的基础，则犯罪UE可能基于这个虚假信息而得到认证。即使犯罪 UE附着到"NBA意识"的P-CSCF，该P-CSCF也将被要求屏蔽所有 P-A-N-I的内容，以便封锁所附着的犯罪UE。这可能不利地影响到系统性 能。
这样，需要改进的认证系统和方法，解决当前方案的兼容性、安全性 以及性能问题。

发明内容
本发明实施例可以包括用于认证用户设备接入受信任网络的的方法、 计算机代码产品和系统。所述用户设备可以由唯一用户身份来标识，并且 所述受信任网络可以包括代理呼叫会话控制功能单元(P-CSCF )和服务呼 叫会话控制功能单元(S-CSCF)。所述方法、计算机代码产品和系统可以 包括在P-CSCF处从用户设备接收注册请求，在P-CSCF处接收用户特 定位置信息(例如所述用户设备的line-id);在所述P-CSCF生成网络信 任头部，所述网络信任头部包括所接收的用户特定位置信息；朝向所述 S-CSCF转发所述网络信任头部，以用于认证，在S-CSCF中对所述用户 特定位置信息与已批准的用户特定位置信息的列表进行比较，并且如果找 到匹配，则对于接入所述受信任IMS网络，使所述用户设备认证通过。网 络信任头部可以是包括通信系统的网络实体可以信任的内容的头部，因为 网络实体得知所述头部的内容来自另 一受信任网络实体而非例如恶意用户 设备，所以通信系统的网络实体可以信任所述内容。所述网络信任头部可以包括所述用户特定位置信息可以被插入至其中 的参数。所述参数具有任意名称，但在此被称为 pani-np，其可以具有以下
示例句法
pani-np ="<信息字段名1> - eq - <信息字段值1>… <信息字段名n> - eq - <信息字段名n>"， 其中，11=被包括在所述参数中的信息字段的数量。
携带在pani-np中的最值得注意的用户特定位置信息是line-id，然而， 同样可以携带其它信息。 一般来说，当既在NBA意识的P-CSCF又在非 NBA意识的P-CSCF中处理REGISTER时，由P-CSCF生成的任意头部 都可以用作用于携带所述pani-叩头部的网络信任头部。示例可以包括 P-Visited國Network画ID头部、Via头部、Path头部、P-Charging國Vector头 部，等等。
本发明实施例可以进一步包括由所述S-CSCF验证所使用的网络信 任头部，以确保所携带的pani-np参数已经由P-CSCF而不是某个另外的 实体插入。这种验证可以基于可以用于标识所使用的载体头部中的异常性 的所述S-CSCF可得到的信息，这种在所使用的载体头部中的异常性可能 是由恶意用户设备将虚假pani-叩信息放入头部并且试图使其显得似乎该 信息是由P-CSCF所插入的所导致的。
在处理REGISTER中从P-CSCF和用户设备的标准行为中导出的规 则和约束可以用于执行所述發江。也可以使用S-CSCF的其它"本地知识"。 例如，当所使用的网络信任头部是P-Visitied-Network-ID ( P-V-N-I)头部 时，在IMS架构中在S-CSCF所接收的REGISTER中的头部的数量是已 知的。这种知识可以用作用于执行所述發逸的准则。例如，如果恶意用户 设备将附加的P-V-N-I头部方"列表中，则由S-CSCF所接收的P-V-N-I 头部列表中的项的数量将大于预期的数量。这可以用于对可能的问题进行 信号传送，并且在此情况下，验证将失败。相似的规则适用于 P-Carging-Vector头部(例如由S-CSCF所接收的REGISTER中的这样的 头部的数量是已知的)。本发明实施例还包括由所述P-CSCF进一步验证所使用的网络信任 头部。这可以用于识别由用户i殳备对头部信息的可能的恶意插入。才艮据IMS 架构，由所述P-CSCF从用户设备所接收的REGISTER仅包含一个Via 头部，没有Path头部，没有P-Visited-Network-ID ， 也没有 P-Charging-Vestor头部。如果P-CSCF识别出多于一个的Via头部，或其 它所列出的三个头部中的任意一个，则可以识别出来自所述用户设备侧的 潜在欺骗，并且所述P-CSCF可以拒绝所述请求。
本发明实施例可以进一步包括由所述P-CSCF对所接收的用户身份 进行数字签名，并且在S-CSCF验证所述数字签名。所述受信任网络可以 是IP多媒体子系统。
互连边界控制功能提供在不同服务提供商网络之间的边界的整个控 制。通过实现拓朴隐藏网络间网关(THIG)子功能，就信令信息而言， 可以对IMS核心网络提供安全性。这个子功能可以基于源信令地址和目的 信令地址，而执行基于信令的拓朴隐藏、IPv4-IPv6互通以及会话屏蔽。在 某种情况下，拓朴隐藏可以存在于归属IMS网络与受访IMS网络之间。
如果拓朴隐藏应用于受访IMS网络中的P-CSCF，并且应用了所^^用 的载体头部的加密，则执行隐藏操作的互连边界控制功能单元(IBCF)可 以从已加密的令牌移除前述pani-np参数，从而使得其仍然对于S-CSCF 可读。
在本发明替换实施例中，所述用户特定位置信息可以继续在P-A-N-I 中被发送，并且所述S-CSCF可以被提供有显示哪些P-CSCF是NAB意 识的哪些P-CSCF不是NAB意识的数据。以此方式，所迷S-CSCF可以 基于哪个P-CSCF正在发送信息而判断NBA过程是否可应用于注册。所 述列表可以是P-CSCF特定的、域特定的(可应用于该域内的所有 P-CSCF)、或是由IP地址范围来配置的。可以存在白列表(哪些P-CSCF 是NBA意识的)或黑列表(哪些P-CSCF不是NBA意识的)。所述S-CSCF 可以对照其列表来检查所述P-CSCF名称/IP地址或所述P-CSCF所处的 域，以判断所述NBA过程是否可应用于经由特定P-CSCF而达到的注册。
12本发明实施例可以包括用于i人证用户i殳^^接入受信任网络的方法、计 算机代码产品和系统。所述用户设备可以由唯一用户身份来标识，并且所 述受信任网络可以包括代理呼叫会话控制功能单元(P-CSCF )和服务呼叫 会话控制功能单元(S-CSCF)。所述方法、计算机代码产品和系统可以包 括在P-CSCF处从所述用户设备接收注册请求，在P-CSCF处接收用户 特定位置信息(例如所述用户i殳备的line-id);在所迷P-CSCF中在 P-Access-Network-Info中插入所述用户特定位置信息；朝向所述S-CSCF 转发所述P-A-N-I头部，以用于i^人证，在所述S-CSCF确定所迷转发 P-CSCF是否是NAB意识的，并且如果所述转发P-CSCF是NAB意识的， 则在所述S-CSCF中对所述用户特定位置信息与已批准的用户特定位置信 息的列表进行比较。如果找到匹配，则对于接入所述受信任IMS网络，可 以使所述用户设备认证通过。如所提及的那样，在本发明这些实施例中， S-CSCF可以被提供有显示哪些P-CSCF是NAB意识的哪些P-CSCF不是 NAB意识的数据。
当结合附图时，本发明的这些和其它目的、优点和特征连同其操作的 组织和方式将从以下详细描述变得清楚，其中，贯穿以下所描述的几个附 图，相似的元件具有相似的标号。


图1是示出现有系统的潜在问题的TISPAN认证系统的概览示图； 图2是在其中可以实现本发明的TISPAN Release 1架构系统的概览示
图3是可以使用在本发明 一个实施例的实现方式中的信令流示图； 图4是根据本发明一个实施例的TISPAN认证系统的概览示图； 图5是示出根据本发明一个实施例的NASS绑定认证的形式化映射的 概览示图；以及
图6和图7是可以使用在本发明一个实施例的实现方式中的信令流示图。M实施方式
本发明实施例涉及认证对于核心IMS子系统的接入，并且具体地说， 对于核心IMS子系统的TISPAN接入。参照图2， 一般由标号100所表示 的TISPAN Release 1架构包括几个子系统。从NASS绑定认证(NBA )的 观点来看，特别感兴趣的是NASS子系统102和IMS子系统104。 NASS 子系统102包括连接性会话位置和贮存功能单元(CLF) 106。 CLF 106 可以被配置为处理所分配的IP地址和linejd的绑定。IMS子系统104 包括P-CSCF 108、质询呼叫会话控制功能单元(I-CSCF )110、S-CSCF 112、 归属订户服务器(HSS) 114。用户设备(UE) 116可以被授权通过NASS 子系统102接入IMS子系统104。
P-CSCF 108是可以;故标识为在IP多媒体核心网络(IM CN )内的UE 的第一联系点的IMS元件。P-CSCF 108的功能可以包括转发从UE116 接收的SIP消息。可以根据该消息的类型以及正进行的过程来将该消息发 送给I-CSCF 110或S-CSCF 112。 P-CSCF 108还可以负责生成呼叫详细 记录(CDR)。可以作为涉及建立IP连接性的会话管理过程的一部分来 发现P-CSCF地址。也就是说，可以在分组数据协议(PDP)上下文激活 处理期间提供P-CSCF地址。或者，可以通过动态主^L配置协议询问/响应 处理而在PDP上下文激活处理之后来解析地址。在此情况下，UE 116可 以请求IP地址以及其它变量，以建立IP会话。
I-CSCF 110是可以在运营商网络内提供联系点从而允许网络的订户 或漫游订户注册的IMS元件。 一般来说，I-CSCF IIO处理注册、收费、 SIP消息的路由和转发。
S-CSCF 112是为UE 116提供M控制服务的IMS元件。这使得网络 运营商能够支持各种服务'S-CSCF功能可以包括管理移动注册，维持 会活，与其它服务进行交互，收费和安全性。在一个实施例中，S-CSCF 112 是SIP服务器。它的责任可以包括为了安全性而与关于移动性的网络数 据库(例如HSS 114)和接入、授权和计费服务器进行交互。作为SIP注册处理的一部分，用户通常将被分配驻留在订户的归属公共地面移动网络
中的S-CSCF 112。该S-CSCF 112将负责用于订户的会话控制的所有方面。 HSS 114通常是用于公共地面移动网络的主数据库。其可以负责各种 功能，例如用户移动性服务器、归属位置寄存器、域名服务器、安全性和 网络接入数据库。虽然它在逻辑上^^作一个实体，但在实践中它可以包 括几个物理数据库，这取决于订户的数量以及所需支持的服务的范围。HSS 114可以保存用于支持、建立并且维持由订户所进行的呼叫和会话的变量 和身份。所述变量和身份可以包括订户的国际移动订户身份、安全性变量、 位置信息。除了提供基本归属位置寄存器/认证中心功能之外，HSS114还 可以通过使用附加数据库和参考点而被增强。这可以使得网络能够通过基 于用于移动网络增强逻辑的定制应用(CAMEL)、开放服务接入(OSA) 和SIP而与服务应用服务器进行接口来为订户提供先进的服务和特征。
本发明实施例涉及认证UE 116对IMS子系统104的接入。在本发明 各个实施例中，可以通过在P-CSCF 108的强制载体SIP头部的参数中而 不是在P-A-N-I中携带网络认可的接入信息(例如linejd)来实现该^^。 网络信任头部是这样的头部通信系统的网络实体可以信任其内容，从而 使得网络实体得知该头部的内容一定来自另一受信任网络实体，而不是 例如来自恶意UE。在一个实施例中，所述参数被命名为 (P曙A國N-I-network-provided )，并且包括引证串，该引证串含有待由 P-CSCF 108报告给S-CSCF 112的linejd。该参数还可以包括其它有关的 接入信息，例如接入类型。
在一个实施例中，可以按以下格式而来配置pani-np参数。 pani-np ="<参数名1〉-eq-〈参数值1> ... <参数名n、eq画〈参数值n>" 其中，可以将1至n个参数包括在pani-ip参数中。例如，当将Via头部 用作网络信任载体头部时，如果line—id=12345678M，并且接入类型是dsl， 则由P-CSCF 108所添加的最顶部的Via头部可以从
SIP/2.0/UDP pcscfl .visitedl .net;branch-z9hG4bK240f34.1
改变为SIP/2.0/UDP pcscfl .visitedl .net;branch=z9hG4bK240f34.1 ; pani-np="lineid-eq-1234567890 accesstype-eq-dsl"。
如果相同示例应用于P-V-N-I，则将出现以下改变
P-Visited-Network—ID:"Visited Network Number 1"
改变为
P-Visited-NetworkID:"Visited Network Number l";pani-np="lindd-eq-
1234567890 accesstype-eq-dsl"。
在该示例中，NW (P-CSCF 108)将告诉S-CSCF 112:接入类型是 DSL，并且line—id是1234567890。
通过实现本发明实施例，P-CSCF 108将通过以下方式来实现NBA: 使用由P-CSCF所生成的强制网络信任头部中的参数pani-np，而不是使 用P-A-N-I，来携带linejd信息。对这种非应允的P-A-N-I使用的替换提 供了 一种SIP应允的方式，以用于将必要接入信息(例如line—id )从P-CSCF 108携带到S-CSCF 112以在SIP中实现NBA。本发明实施例不需要新的 SIP头部，并且因此解决了传统非NBA意识的P-CSCF问题。如果linejd 信息被携带在新的SIP头部中或甚至在某些现有头部中，则传统P-CSCF 可能不检查这些头部，从而使得允许欺骗信息送入S-CSCF。网络信任头 部总是由P-CSCF 108来构建，但仅NBA意识的P-CSCF将pani-np参数 方丈入该头部中。这样，传统P-CSCF将总是生成该头部，但将不把pani-np 参数插入到其载体头部，并且UE将不能够把虛假linejd信息推送给传统 系统中的S-CSCF。
例如，在本发明一个实施例中，S-CSCF例如基于从P-CSCF和UE 的标准行为中导出的规则和约束来对所接收的载体头部执行验证。如果所 -使用的载体头部是P-V-N-I,则可以通过以下方式来完成一个可能的mi 检查对在S-CSCF接收的P-V-N-I头部列表中的项的数量与从标准IMS SIP信令流中导出的已知结果进行比较。相似的验证准则可以应用于
16P-Charging-Vector。在另一实施例中，P-CSCF还可以对与所使用的网络 信任头部有关的REGISTER消息提供验ii，以滤除由UE对该头部的恶意 插入。例如，如果在REGISTER请求中存在多于一个的Via头部，或者 如果其包含任何P-Visited訓Network國ID、 Path或P-Charging-Vector头部， 则P-CSCF可以拒绝该REGISTER请求。
在本发明一个实施例中，可以由P-CSCF 108对 pani画np信息进行数 字签名，以向认证过程提供进一步的安全性。在此情况下，S-CSCF 112 可以在继续进行i人证之前验证pani-np上的数字签名。
本发明实施例可以概括为将任意受信任信息从一个SIP节点携带到另 一 SIP节点。这种受信任信息可以作为扩展参数而被携带在由对应节点生 成的一些所选强制载体头部中。如果存在从源节点(在此情况下是 P-CSCF)到接收节点(在此情况下是S-CSCF)的逐跳信任，则在源节点 之前的节点(在此情况下是UE)可以不将虚假信息推送给利用对于传统 网络节点的"如果我不理解它就不碰它"SIP默认行为的接收节点。
图3示出根据本发明一个实施例的使用NBA的成功注册尝试的信令 流200,并且图4示出根据本发明一个实施例的TISPAN认证系统的概览。 在该实施例中，UE116执行对NASS子系统102的接入级附着，从而使得 其被分配IP地址，并且IP连接性被启用(步骤201)。于是，在步骤202， UE 116将REGISTER消息发送给P-CSCF 108，以发起对IMS子系统104 的注册。REGISTER消息可以包括授权头部，或者可以不包括授权头部。
刚一接收到REGISTER消息，P-CSCF 108就可以对为携带位置信息 而选择的网络信任头部执行验证，例如进行检查以确保在Register中仅有 一个Via头部并iU殳有P訓Visited画Network-ID、 Path、 P画Charding-Vector。 P-CSCF 108于是可以向CLF 106执行位置信息询问(步骤204)。例如， P-CSCF 108可以具有连接到不同接入网的多个网洛接口。在此情况下， P-CSCF 108可以净皮配置为根据网洛接口执行与NBA有关的功能性。CLF 地址还可以由配置装置才艮据网络接口来确定。IP头部中可见的源IP地址 可以用作位置信息询问的密钥。在TISPAN架构中，P-CSCF到CLF的接口表示为e2接口 。这是一种基于DIAMETER的接口 。此外，在订购时间， NBA被提供作为对于UE 116的认证方案，并且一个或者一组引用 line—id—ref被存储在HSS 114中以用于订户。
在步骤206, CLF 106使用LocationlnformationResponse消息将链接 到所分配的IP地址的line—id发送回到P-CSCF 108。在现有系统中， P-CSCF 108将把所接收的line—id编码为在发送给I-CSCF 110的SIP消息 中的P-A-N-I头部中的"dsl-location"参数。还可以在P-A-N-I头部中添 加"network-provided"参数，以指示由网络提供line—id。然而，如上所 述，这是一种产生了兼容性和安全性问题的P-A-N-I的禁用操作。根据本 发明实施例，可以将line—id (以及其它信息)加到在由P-CSCF 108所生 成的网络信任头部中的新参数——pani-np参数。根据本发明实施例，在步 骤208，在网络信任头部中将该信息发送给I-CSCF 110,并且发送到 S-CSCF 112。此外，P-CSCF 108可以对pani-叩参数信息进行数字签名， 以用于增加安全性。
在步骤210， I-CSCF 110可以执行与HSS 114的UAR/UAA Cx操作， 以定位S-CSCF 112。由于line一id在网络信任头部中被传递，因此可以由 S-CSCF 112提取line—id。如果P-CSCF 108数字签名了 pani-叩参数，则 S-CSCF 112可以验证数字签名。在步骤212和214， S-CSCF 112可以分 别执行与hss 114的mar操作和maa操作。hss 114可以发送一个或 多个参考line-id-ref参数，并且还可以确认或者指示认证方案是NBA。
如果从HSS 114接收的认证方案确认将NBA应用于UE 116，则 S-CSCF 112可以基于从标准IMS注册过程导出的规则和约束或者基于本 地知识或者是它们两者的结合，而对所接收的网络信任载体头部首先执行 验证。如果所述^iiL成功，则S-CSCF 112可以在步骤216对Via头部的 pani-np参数中所包含的line-id (如果出现，并且如果其包括 "network-provided"参数)与参考line-id-ref (line-id-refset)进行比较。 如果存在至少一个匹配，则该用户被认为是通过认证的，并且在步骤218、 220和222， 2000K被义送回到UE 116，以指示注册成功。NASS绑定认证(NBA )通过将NASS层中的成功认证扩展到服务层 来运作。在网络附着期间，NASS认证UE，并且分配IP地址。它将层2 和层3身份存储在NASS简档中。当UE向P-CSCF注册时，P-CSCF询 问NASS (实际上是CLF功能实体)，以获得其位置信息。P-CSCF以由 P-CSCF构建的Via头部中的参数的形式将所述位置信息嵌入到SIP消息， 并且将其朝向S-CSCF转发，以用于验证。S-CSCF以从UPSF获得的位 置信息来验汪该位置信息。刚一成功验证，就在IMS层对用户进行认证。
应注意，如果对P-CSCF应用向归属网络的拓朴隐藏，则执行这种隐 藏的IBCF应该从已加密的令牌取出Via ^t，因而Via参数对于S-CSCF 仍然可读。此外，拓朴隐藏可能对于NBA是不可应用的，或者NBA不需 要拓朴隐藏。
在架构级别，两个接口受影响 "e2"接口，通过该接口传送来自NASS的位置信息。 "Cx"接口，通过该接口发送存储在UPSF中的用户简档。
图5、图6和图7示出这些以及可视化的网络流。
在方法步骤的一般情境中描述了本发明，其可以由程序产品在一个实 施例中实现，所述程序产品包括由网络化的环境中的计算机所执行的计算 机可执行指令，例如程序代码。通常，程序模块包括执行特定任务或实现 特定抽象数据类型的历程、程序、对象、组件、数据结构等等。程序模块、 关联数据结构和计算机可执行指令表示用于执行在此所公开的方法步骤的 程序代码示例。这样特定顺序的可执行指令或关联数据结构表示用于实现 在这些步骤中所描述的功能的对应动作示例。
可以通过具有基于规则的逻辑以及其它逻辑的标准编程技术来实现本 发明的软件和web实现方式，以实现各个数据库搜索步骤、相关步骤、比 较步骤和判断步骤。应注意，在此以及在权利要求中所使用的文字"组件，， 和"模块"意欲包括使用一行或多行软件代码的实现方式、和/或硬件实现 方式、和/或用于接收手动输入的设备。
前面的本发明实施例的描述是为了说明和描述的目的而呈现的。并非意欲对本发明进行无遗漏的描述，或者将本发明限制为在此所公开的形式， 有可能根据上述技术或者可以从本发明的实践获取修改和变形。选取并且 描述实施例是为了解释本发明及其实际应用的原理，以使得本领域技术人 员能够以各个实施例并且以适用于特定使用并且可以预期的各个修改，来 使用本发明。
权利要求
1. 一种用于对用户设备进行认证的方法，包括在受信任网络的代理实体处从所述用户设备接收注册请求；在所述受信任网络的代理实体处接收所述用户设备的用户特定位置信息；在所述代理实体中生成网络信任头部，所述网络信任头部包括所接收的用户特定位置信息；将所述网络信任头部转发给服务实体，以用于认证；在所述服务实体中将所述用户特定位置信息与已批准的参考的列表进行比较；如果所述用户特定位置信息匹配于所述已批准的参考的列表中的条目，则对于接入所述受信任网络，使所述用户设备认证通过。
2. 如权利要求1所述的方法，其中，所述网络信任头部包括 所述用户特定位置信息能够被插入至其中的参数。
3. 如权利要求1-2中的任意一项所述的方法，其中，所述用 户特定位置信息包括由所述代理实体所获得的line-id。
4. 如权利要求1-3中的任意一项所述的方法，进一步包括 由所述代理实体对所接收的用户身份进行数字签名； 在所述服务实体处验证所述数字签名。
5. 如权利要求1-4中的任意一项所述的方法，其中，互连边 界控制功能单元(IBCF)执行用于所述代理实体向所述服务实体 的可选拓朴隐藏，并且其中，所述IBCF被配置为从已加密的 令牌提取所述用户特定位置信息，从而使得其变为对于所述服务 实体可读。
6. 如权利要求1-5中的任意一项所迷的方法，其中，基于所 述代理实体所述服务实体检查NASS绑定认证(NBA)是否可应用于认证所述用户i殳备。
7. 如权利要求1-6中的任意一项所述的方法，其中，所述服 务实体被提供有这样的数据，所述数据包含代理实体名称和IP地 址、所述代理实体的域名、以及与代理实体有关的IP地址范围中 的至少一个，并且其中，所述服务实体对照所提供的数据来检查 所述代理实体名称和IP地址、所述代理实体的域名、以及与代理 实体有关的IP地址范围中的所述至少一个。
8. 如权利要求1-7中的任意一项所述的方法，其中，所述受 信任网络是IP多媒体子系统。
9. 如权利要求1-8中的任意一项所述的方法，其中，所述服 务实体对所接收的网络信任头部执行健全性检查。
10. 如权利要求1-9中的任意一项所述的方法，其中，所述服 务实体通过以下方式来执行所述健全性检查对照从标准IP多媒 体子系统会话发起协议信令流中导出的已知结果来检查所述载体 头部列表中的项的数量。
11. 如权利要求1-10中的任意一项所述的方法，其中，所迷 代理实体使用从标准ip多媒体子系统会话发起协议信令流和本地知识中的一个中导出的规则和约束来对所接收的与所选择的网络 信任头部有关的注册消息执行健全性检查。
12. 如权利要求1-11中的任意一项所迷的方法，其中，所述 代理实体检查从所述用户设备接收的注册消息，并且如果从所述 用户设备接收的注册消息包含多于一个的网络信任头部，或者包 含/f壬意P-Visited-network-ID、 Path或P腳Charging-Vector,则所述代理实体能够拒绝所述注册消息。
13. 如权利要求1-12中的任意一项所述的方法，其中，所述 代理实体包括代理呼叫会话控制功能单元(P-CSCF)。
14. 如权利要求1-13中的任意一项所述的方法，其中，所述 服务实体包括服务呼叫会话控制功能单元(S-CSCF)。
15. —种计算机程序产品，其实施在计算机可读介质上，包括 用于执行权利要求1的处理的计算机代码。
16， 一种用于对用户设备进行认证的系统，包括 代理实体，其被配置为从所述用户设备接收注册请求； 接收标识所述用户设备的用户特定位置信息； 生成包括所述用户特定位置信息的网络信任头部； 将所述网络信任头部转发给服务实体，以用于认证； 所述服务实体被配置为将所述用户特定位置信息与已批准的位置信息的列表进行比较；如果所述用户特定位置信息匹配于已批准的参考的 列表中的条目，则对于接入所述受信任网络，使所述用户设备认 证通过。
17. 如权利要求16所述的系统，其中，所述网络信任头部包 括所述用户特定位置信息能够被插入至其中的参数。
18. 如权利要求16-17中的任意一项所述的系统，其中，所述 代理实体被进一步配置为对所接收的用户身份进行数字签名， 并且所述服务实体被进一步配置为验证所述数字签名。
19. 如权利要求16-18中的任意一项所述的系统，其中，互连 边界控制功能单元(IBCF)为所述代理实体执行向所述服务实体 的可选拓朴隐藏，并且其中，所述IBCF被配置为从已加密的 令牌提取所述用户特定位置信息，从而其变为对所述服务实体可 读。
20. 如权利要求16-19中的任意一项所述的系统，其中，基于 所述代理实体，所述服务实体检查NASS绑定认证(NBA)是否 可应用于i人证所述用户i殳备。
21. 如寿又利要求16-20中的4壬意一项所述的系统，其中，所述服务实体被提供有这样的数据，所述数据包含代理实体名称和IP 地址、所述代理实体的域名、以及与代理实体有关的IP地址范围 中的至少一个，并且其中，所述服务实体对照所提供的数据来检 查所述代理实体名称和IP地址、所述代理实体的域名、以及与代 理实体有关的IP地址范围中的所述至少一个。
22. 如权利要求16-21中的任意一项所述的系统，其中，所述 受信任网络是IP多媒体子系统。
23. —种用于在服务层对用户设备进行认证的方法，包括 在网络附着层处对所述用户设备进行认证， 响应于所述网络附着层认证，在身份贮存实体处存储在所述用户设备的网络附着层身份与所述用户设备的服务层身份之间的 绑定，在服务层注册过程期间，在代理实体处基于所述用户设备的 网络附着层身份而向所述身份贮存实体询问所述用户设备的服务 层身份，将所述用户设备的服务层身份嵌入到注册消息的网络信任头部，将所述注册消息发送给服务实体，在所述服务实体处从用户简档实体检索所述用户设备的服务 层身份，如果所述注册消息的网络信任头部中所发送的所述用户设备 的服务层身份匹配于从所述用户简档实体检索的所述用户设备的 服务层身份，则在所述服务层使所述用户设备认证通过。
24. 如权利要求23所述的方法，其中，所述网络信任头部包括会话发起协议的网络信任头部。
25. 如权利要求23-24中的任意一项所述的方法，其中，所述 网络信寸壬头部包括P-Visited-Network-ID头部、Path头部和 P-Charging-Vector头部中的一个。
26. 如权利要求23-25中的任意一项所述的方法，其中，所述 网络信任头部包括所述用户特定位置信息能够被插入至其中的参 数。
27. 如权利要求23-26中的任意一项所述的方法，进一步包括由所述代理实体对所接收的用户身份进行数字签名；以及 在所述服务实体处验证所述数字签名。
28. 如权利要求23-37中的任意一项所述的方法，其中，执行 用于所述代理实体向所述服务实体的拓朴隐藏，由此使得所述网 络信任头部将被加密。
29. 如权利要求23-28中的任意一项所述的方法，其中，所述 服务实体对所接收的网络信任头部执行健全性检查。
30. 如权利要求23-29中的任意一项所述的方法，其中，所述 服务实体通过以下方式来执行所述健全性检查对照从标准IP多 媒体子系统会话发起协议信令流中导出的已知结果来检查所述载 体头部的列表中的项的数量。
31. 如权利要求23-30中的任意一项所述的方法，其中，所述 代理实体使用从标准IP多媒体子系统会话发起协议信令流和本地 知识中的一个中导出的规则和约束来对所接收的与所选择的网络 信任头部有关的注册消息执行健全性检查。
32. 如权利要求23-31中的任意一项所述的方法，其中，所述 代理实体检查从所述用户设备接收的注册消息，并且如果从所述用户设备接收的注册消息包含多于一个的网络信任头部，或者包 含任意P-Visited-network-ID、 Path或P-Charging-Vector，则所 述代理实体能够拒绝所述注册消息。
33. 如权利要求23-32中的任意一项所迷的方法，其中，所述 代理实体包括代理呼叫会话控制功能单元(P-CSCF)。
34. 如权利要求23-32中的任意一项所述的方法，其中，所述服务实体包括服务呼叫会话控制功能单元(S-CSCF)。
35. —种用于对接入网络进行接口的控制实体，其被配置为 接收用于注册用户的注册请求；询问身份贮存实体，以获得与所述用户关联的唯一用户特定 位置信息；将所述唯一用户特定位置信息嵌入到所述注册请求中的网络 4言4壬头部；以及朝向服务控制实体转发所述注册请求。
36. 如权利要求35所述的控制实体，其中，所述控制实体被 进一步配置为将所述唯一用户特定位置信息嵌入到所述网络信 任头部中。
37. 如权利要求35-36中的任意一项所述的控制实体，其中， 所述控制实体被进一步配置为将所述唯一用户特定位置信息嵌 入到P-Visited-Network-ID头部、Path头部、和P-Charging-Vector 头部中的一个中。
38. —种用于对接入受信任网络的用户设备进行认证的系统， 所述用户设备由唯一位置信息来标识，所述系统包括代理实体，其被配置为对从所述用户设备所接收的注册请求进行健全性检查；接收所述用户设备的位置信息； 生成包括所接收的用户特定位置信息的网络信任头部；以及将所述载体头部转发给服务实体，以用于认证；以及所述服务实体被配置为对所接收的所述注册请求中的网络信任头部进行健全性检查；如果所述服务实体的健全性检查成功，则将所述位置信息与已批准的位置信息列表进行比较；以及如果所述位置信息匹配于已批准的参考的列表中的 条目，则对于接入所述受信任网络，使所述用户设备认证通过。
39. 如权利要求38所述的系统，其中，所选择的网络信任头 部包括所述用户特定位置信息能够被插入至其中的参数。
40. 如权利要求38-39中的任意一项所述的系统，其中，所述 代理实体被进一步配置为对所接收的用户身份进行数字签名， 并且其中，所述服务实体被进一步配置为验证所述数字签名。
全文摘要
用于认证用户设备接入受信任网络的方法、计算机代码产品和系统可以包括接收唯一地标识所述用户设备的用户身份。所述受信任网络中的代理实体可以生成包括用户身份的网络信任头部，并且将其转发给网络中的服务实体。服务实体对所接收的载体头部执行验证，并且可以对所述用户身份与已批准的用户ID列表进行比较，并且如果找到匹配，则对于接入所述网络，所述用户设备可以被认证通过。如果所述代理实体所生成的参数在载体头部中被加密，则为执行代理实体向归属IMS网络的可选隐藏的IBCF可以从已加密的令牌提取所述代理实体所生成的参数，使得其对于所述服务实体可读。当处理来自所述用户设备的注册请求时，所述代理实体还可以提供所使用的头部的验证。或者，所述服务实体可以被提供有与在各个代理实体中或代理实体所处的域所支持的NBA有关的数据，从而使得对于经由特定代理实体或受访网络所接收的注册，所述服务实体可以判断是否继续进行NBA过程。
文档编号H04L29/06GK101444062SQ200780010857
公开日2009年5月27日 申请日期2007年3月27日 优先权日2006年3月28日
发明者S·潘-安 申请人:诺基亚公司