用于在认证请求中包括会话控制服务器的操作模式指示的基于随机数的认证方案的方法...的制作方法

专利名称：用于在认证请求中包括会话控制服务器的操作模式指示的基于随机数的认证方案的方法 ...的制作方法
技术领域：
的使用。特别地，本发明涉及在包括会话控制服务器和认证服务器 的通信系统中的认证，会话控制服务器和认证服务器配置为提供基 于会话的认证应用，其中所述认证根据基于随机数的认证方案。
背景技术：
在当今和未来的诸如GPRS (通用分组无线业务)、UMTS (通 用移动电信服务)或CDMA (码分多址)的通信系统中，认证和授 权代表基本的问题。
对于涉及与安全相关的、个人的和/或机密数据与服务的功能和 服务、以及为了控制进入这样的网络系统及其部分来说，在这样的 通信系统中确保安全与可靠尤其重要，为了在这样的通信系统中确 保安全与可靠，通常执行用户认证。为此，多个认证、授权和计费 (AAA)方法已经提出。然而，这样的AAA方法的适用性依赖于底 层的网络概念和/或该通信系统的技术。
例如，第三代合作伙伴计划(3GPP)已经指定了所谓的IP多媒 体子系统(IMS)。该IP多媒体子系统，除其它外，包括归属用户
8服务器(HSS)、多个呼叫状态控制功能(CSCF; CSCF分为代理 CSCF、查询CSCF与月良务CSCF)以及服务器定位功能(SLF )。在 这些网络实体之间，在称为Cx和Dx的接口上，将根据如RFC 3855 中、特别是其第1和第2节中定义的Diameter基础协议的Diameter 协i义用于iU正目的。
在一个IMS网络中，由互联网工程任务组(IETF)制定的会话 发起协议(SIP)通常用来作为会话控制协议。因此，HSS可以称为 Diameter服务器，且(S-) CSCF可以称为SIP服务器。在该联系中， IMS定义了 Diameter应用以在建立会话的期间与SIP信令交互，并 定义其它应用以执行和/或控制其它SIP服务。如RFC 3261的第8 节和第16节所定义的，SIP服务器可操作于用户代理模式中，从而 代表终端系统，或操作于代理模式中，从而代表用户代理服务器和 客户端间的中介。
在这方面，在2006年4月28日的互联网草案"draft-ietf-aaa-diameter-sip-app-12"(已经IETF批准为RFC，其号码尚未知)中已 经提出了 一种Diameter SIP应用。该提案描述了 Diameter和SIP的 交互工作，其中SIP服务器依赖于用于认证SIP请求(例如，如SIP REGISTER的SIP注册请求)和授权使用特殊SIP服务的Diameter AAA基础设施。所述Diameter SIP应用提供了与SIP服务器共置的 Diameter客户端，其能够从Diameter服务器请求用户认证和SIP资 源使用的授权。根据Diameter SIP应用的不同操作，实际的认证在 Diameter服务器处执行或在Diameter客户端(即SIP服务器)处执 行。
在下文中，Diameter SIP应用作为基于会话的认证应用的非限制
性示例。
此外，已经提出了一种用于对与IP相关的网络环境提供安全性 的解决方案，即认证，这通常被称为"HTTP Digest认证，，。该解决 方案是如RFC 2617中所披露，并利用加密散列认证的。例如，上述 的Diameter SIP应用在根据SIP的会话控制中支持HTTP Digest作为唯一的认证方案。该Digest方案是基于将随机数值用于挑战的简单 的挑战-响应模式，随机数("一次使用数")是用于认证的(伪) 随机数字。
以下，HTTP Digest认证被作为基于随机数的认证方案的非限制 性示例。
至于例如用于认证用户的HTTP Digest和Diameter SIP间的交 互，适用下面的过程。
当SIP服务器希望认证SIP用户代理客户端(例如用户设备)时， 该SIP服务器可从Diameter服务器获得用户相关的认证与授权数据。 如上所述，当某SIP服务器希望从Diameter服务器获取用户信息时， 必须共置Diameter客户端。在某SIP用户代理客户端(UAC )的认 证期间，所述SIP月良务器中的Diameter客户端必须向适当的Diameter 服务器发送请求，并处理来自适当的Diameter服务器的响应。
当Diameter客户端要获取待认证的用户代理客户端的认证信息 或希望i人证该用户代理客户端时，那么该Diameter客户端将称为多 媒体认证请求(Multimedia画Auth國Request ,即MAR命令)的认证请 求连同有效的用户数据一起发送至Diameter服务器。该Diameter服 务器作为响应，将^皮称为多々某体认证应答(Multimedia-Auth-Answer, 即MAA命令)的认证响应连同用户认证数据一起发送，或者发送 认证结果，这在本示例情况下通过HTTP Digest执行。根据以下事实， 即认证是在Diameter服务器处执行还是在Diameter客户端(即SIP 服务器)处执行，交换两对MAR/MAA命令或一对MAR/MAA命令。
HTTP Digest认证需要由服务器产生的随机数，在此情况中服务 器是Diameter服务器。此随机数由Diameter服务器在Diameter SIP 应用的框架内产生。除随才几数值外，针对在HTTP Digest认证中重用 随机数的情况，也可能使用随机数计数值。
新的随机数能够利用200 (OK)响应一起发布或通过发送401 (未授权)或407 (需代理认证)响应而发布。这取决于SIP服务器 的操作模式，即用户代理模式或代理模式，其随机数选择是适用的。
10每当SIP服务器正操作于用户代理模式，即作为用户代理服务器时， 其在每个200 (OK)响应中发送新的随机数，因为优选的是在每个 请求中使用新的随机数而不是更新随机数计数值。每当SIP服务器 正操作于代理模式时，其优选地避免由随机数计数值使用挑战的额 外的往返延迟。因此,SIP服务器发送新的随机数、随机数使用计数 器的运营商策略和实际上触发随机数值不能再使用的随机数生命 期。
然而， 一个问题在于，预计将产生用于认证的随4几数的Diameter 服务器不能正确地应用HTTP Digest过程。如果将Diameter服务器 指定为用分配给某个用户的随机数计数值管理随机数状态(这取决 于运营商策略，但有益于避免重放攻击(replay attack)),则该 Diameter服务器因此而没有信息(在成功的认证之后)，无论是应 产生新的随机数还是应更新随机数计数。
这可能是有害的，因为这可能导致在成功的认证之后，Diameter 服务器丢弃旧的随机数(在之前的认证中使用)并产生新的随机数， 且Diameter服务器预期从SIP服务器在"nextnonce (下一随机数)，， 参数中发送新的随机数。然而，可能发生的是，SIP服务器作为SIP 代理服务器工作，且不可能利用由Diameter服务器产生的新的 "nextnonce"随机数。然而，Diameter服务器应假定为SIP客户端 (即用户代理客户端)将基于SIP协议使用"nextnonce"。因此， 当用户代理客户端(例如用户设备)下一次使用旧随机数(具有增 加了的随机数计数)利用HTTP Digest响应发送请求时，则预先产生 的认证响应将是错误的。这导致该请求将由SIP服务器基于使用新 随机数的Diameter服务器响应挑战。
尽管该行为并不妨碍用户代理客户端注册和使用SIP服务器，但 失去了在HTTP Digest认证中使用随机数计数和"nextnonce"的益 处。这导致在SIP服务器和Diameter服务器方面均增加了网络流量。
因此，以上问题和缺陷的解决方案需要在基于会话的认证应用 中提供 一 种有效的基于随机数的认证方案的用法。

发明内容
本发明所关注的是消除上述缺陷，并相应地提供改进的方法、
装置等。
根据本发明的一个方面，提供了一种如下所描述的认证方法。
根据本发明的 一 个方面，提供了 一种如下所描述的用于会话控 制服务器侧的装置。
根据本发明的 一 个方面，提供了 一种操作根据如下所描述的第 二方面装置的方法。
根据本发明的一个方面，提供了一种如下所描述的用于认证服 务器侧的装置。
根据本发明的一个方面，提供了 一种操作根据如下所描述的第 四方面的装置的方法。
根据本发明的 一 个方面，提供了 一种如下所描述的认证系统， 其中该系统在一种实现中主要包括根据第二方面的装置和根据第四 方面的装置。
根据本发明另外的方面，提供了计算机程序和数据结构，用以 每个单独地或以任何组合的方式如下所描述地操作上述装置。
基本上，本发明包括从会话控制服务器到认证服务器的该会话 控制服务器的操作模式的指示，其中可能的操作模式为代理模式和 用户代理模式。更进一步地，本发明包括考虑到会话控制服务器的 操作模式的基于随机数的认证过程的应用。此外，本发明包括根据 会话控制服务器的操作模式的认证参数的扩展。
根据本发明的实施方式，改进了会话控制服务器与认证服务器 之间的配合。相应地，认证服务器获得关于会话控制服务器所使用 的认证模式类型的知识，即"用户到用户"模式或"代理到用户" 模式。
通过本发明的实施方式，当在基于会话的认证应用中使用基于
随机数的认证方案时，可以在如SIP服务器的会话控制服务器和如
12Diameter服务器的认证服务器之间，在如SIP水平的会话控制水平 上实现同步。
本发明实施方式的另 一方面是，支持在例如Diameter SIP应用的 基于会话的认证应用中使用例如HTTP Digest的基于随机数的认证 方案。这导致用户代理客户端可以在会话控制服务器操作模式的每 种情况下，在基于会话的认证框架中利用基于随机数的认证方案的 任何可能的特征。
因此，本发明的实施方式减少了网络流量。


下面，将参考附图更详细地描述本发明，在附图中
图1示出了根据本发明的一个实施方式的方法的信令流程图，
以及
图2示出了 了根据本发明的一个实施方式的系统的框图。
具体实施例方式
于此，参照特定的非限制性示例描述本发明。本领域的技术人 员将理解本发明并非限于这些示例，且可以更广泛地应用。
特别地，本发明是就SIP Diameter应用框架中的HTTP Digest认 证的用法作为一种示例实现而描述。同样，于此给出的方面和实施 方式的描述特别提到直接涉及此示例的术语。然而，这样的术语仅 用在该示例的上下文中，且不以任何方式限制本发明。
图1示出了根据本发明的一个实施方式的方法的信令流程图。 在图1中，仅描绘了那些与描述本发明的实施方式相关的消息和操 作。
需要指出的是，图1中所示的SIP服务器可以是直接从用户接收 SIP请求(例如注册)的SIP服务器，也可以是从其他不适于各自的 请求/用户的SIP服务器接收转发的SIP请求(例如注册)的(本地) SIP服务器。
13如图1所示，SIP服务器(Diameter客户端与其共置)从Diameter 服务器请求用户认证，并向该Diameter服务器指示其操作模式，该 SIP服务器与该Diameter服务器配合以提供Diameter SIP应用(步骤 SI)。例如，该步骤可在作为用户代理客户端的用户(未示出)的 成功认证之后进行，或当从SIP服务器处的用户收到认证请求时进 行，或在认证过程中的任何其他合适的时机进行。根据下面描述的 本发明的实现，SIP服务器的操作模式可以是代理模式或用户代理模 式，在代理模式中，SIP服务器代表用户代理客户端(UAC)和用户 代理服务器(UAS)间的中介，在用户代理模式中，SIP服务器代表 用户代理服务器(UAS)。
在图1中，示出了操作模式的指示将要在表示为MAR (MAR: 多媒体认证请求)的认证请求中传输。MAR命令的消息格式在上述 Diameter SIP应用的互联网草案的8.7节中定义。
当从SIP服务器收到这样的操作模式的指示时，Diameter服务器 根据如下所列的实现备选方案中的一个来分析MAR命令(步骤S2 )。 在步骤S3中，根据所述实施方式的Diameter服务器产生一随机数， 并也可能针对随后的iU正产生以下称之为"nextnonce"的另一随枳』 数。nextnonce的产生基于也因此考虑指示的会话控制服务器的操作 模式，且如果适用的话，nextnonce的产生也基于其他有效的Digest 参数。如上所述，在管理随机数状态的Diameter服务器处，创建新 的随机数或更新随机数计数值。产生的nextnonce的类型基本上取决 于SIP服务器的操作模式，以便当SIP服务器在用户代理模式中操 作时通常产生新的随机数，且当SIP服务器在代理模式中操作时则 更新随机数计数值。
于是，在步骤S4中，Diameter服务器基于先前的步骤S2的分 析和/或先前的步骤S3的随机数的产生而将认证参数(可能包括产生 的随机数)传输到SIP服务器。在图1中，示出了认证参数的传输 将在表示为MAA (MAA:多々某体认证应答)的认证响应中实行。 MAA命令的消息格式在上述Diameter SIP应用的互联网草案的8.8节中定义。
除其它外，MAA消息包括包含H ( Al )的Digest-HA1 AVP (如 RFC2617中所定义)，且其允许Diameter客户端计算预期的响应。 Digest画HAl AVP的存在向SIP服务器(即Diameter客户端)指示，
用户认证必须在那里进行。接着，SIP服务器可使用接收到的参数认 证用户。
虽然未在图1中示出，但是除了传输或取代传输，Diameter服务 器也可基于一个或多个上述步骤，在Diameter SIP应用框架中使用 HTTP Digest认证方案执行认证。
需要指出的是，图1中描绘的方法流程仅仅是一个流程示例， 但根据本发明其它实施方式的方法，也可包括所述步骤的仅仅一个
的步骤。
关于上述两种情况(即在Diameter客户端执行认证或在Diameter 服务器执行认证)，图1的实施方式涉及第一种情况。然而，虽然 没有描绘，但本发明的实施方式也适用于第二种情况，即Diameter 服务器执行用户认证。在这种情况中，两对MAR/MAA命令在 Diameter客户端和服务器间交换。从而，第一 MAA命令包含随机数， 且第二 MAA命令包含nextnonce ， 二者都根据上述的原理在Diameter 服务器处产生。在此情况中，图1中的步骤S1的操作模式指示可利用 第一或第二 MAR命令实行，且图1中的步骤S2和步骤S3的功能可 在第 一 或第二 MAR/MAA命令的往返期间实行。
根据一个实施方式的第一实现备选方案，通过使用MAR消息中 的属性值对(AVP)来实行指示，该属性值对特别指定用于指示会 话控制服务器模式。即引入了除了那些在目前的互联网草案中定义 的AVP之外，引入新的AVP,因此，形成了新的数据结构。
这种新引入的Diameter AVP表示SIP服务器用户代理模式AVP (SIP-Server-UA-mode AVP ),其中AVP是针对消息领域的专用但 非限制性术语，用户代理模式AVP可向Diameter服务器指示SIP服务器是工作于代理模式中还是UA模式中。
在此情况中，如果SIP服务器用户代理模式AVP指示SIPUA 模式，且HTTP Digest参数支持该模式使用，则Diameter服务器可 在SIP认证信息AVP ( SIP-Authentication-Info AVP )中发送 nextnonce。如果新AVP中指示的SIP服务器模式是代理模式，那么 即使其它Digest参数允许，Diameter服务器也不应发送SIP认证信 息AVP。
如果需要，此备选的解决方案提供灵活的方式用以构成 (populate)SIP服务器的工作模式。如果不需要，AVP可来自从SIP 服务器(即Diameter客户端)发送的MAR命令。如果应用HTTP Digest之外的认证方案，此备选方案亦可使用。
根据一个实施方式的第二备选实现，通过在属性值对中使用参 数来实现指示，该参数专门指定用于指示会话控制服务器模式，该 属性值对指定用于指示会话控制方法。即，引入除了那些在目前的 互联网草案中定义的用于SIP方法AVP ( SIP-Method AVP )的参数 之外的新参数，因此，形成了新的数据结构。
相应地，现有的SIP方法AVP扩展用以指示在SIP服务器中， SIP请求是以代理才莫式处理还是以UAS才莫式处理。当Diameter服务 器收到这样的MAR命令时，则必须从SIP方法AVP此新的参数来 分析SIP服务器UA才莫式。在成功的认证之后，Diameter服务器可决 定是否要应用用户到用户或代理到用户的HTTP Digest认证。
根据一个实施方式的第三备选实现，如果会话控制服务器处于 代理模式中，则通过使用属性值对来实现指示，该属性值对专门指 定用于指示该会话控制服务器模式；以及如果会话控制服务器处于 用户代理模式中，则通过使用属性值对来实现指示，该属性值对指 定用于基于会话的认证应用。即，在SIP服务器的操作模式的基础 上，区分了所使用的指示类型。在此情况中，引入除了那些在目前 的互联网草案中定义的AVP之外的新AVP用于至少一种情况，因 此形成了新的数据结构。
16相应地，为了 SIP代理到用户的HTTP Digest认证的目的，定义 新的Diameter AVP。这些AVP例如可以是SIP代理授权AVP (SIP-Proxy-Authorization AVP )以及SIP代理认证AVP (SIP画Proxy画Authentication AVP ),以便分别与SIP报头的代理授权 (Proxy-Authorization )和^理i人^正(Proxy-Authentication)相匹酉己。 为了 SIP用户到用户的HTTP Digest认证的目的，可使用已定义的 Diameter AVP。这意味着已存在的SIP认证/SIP授权AVP分别匹配 于SIP报头的WWW认证和授权。且现有的SIP认证信息AVP (Authentication-Info AVP )可映射到SIP报头的认证信息。
图2示出了根据本发明一个实施方式的系统的框图。如图2中 所示，本发明的系统可包括SIP服务器和Diameter服务器，或者至 少包括这些服务器中的装置，其相应地根据以上描述的方法操作。
根据一个实施方式， 一种在SIP服务器侧(其在图2中示例性地 示出为SIP服务器本身)的装置包括指示器，即用于向Diameter月良 务器指示操作模式(代理模式或用户代理模式)的部件。这样的指 示器配置为使用如MAR命令的认证请求来指示，并为此目的，使用 以上描述的任何一种备选的实现。所述装置进一步包括接收器， 即用于接收从Diameter服务器传输的认证参数的部件；和/或处理器， 即使用接收到的参数(可能包括nextnonce)执行认证的部件。
根据一个实施方式， 一种在Diameter服务器侧(其在图2中示 例性地示出为Diameter服务器本身)的装置包括接收器，即用于在 如MAR命令的认证请求中，从SIP服务器接收SIP服务器操作模式 的指示的部件。所述装置可进一步包括分析器，即用于分析来自SIP 服务器的认证请求的部件。该分析器连接到接收器，并配置为根据 以上任何一种备选实现来分析接收到的认证请求。
而且，可提供一种发生器，即考虑到来自分析器输出的结果(即， 指示的SIP服务器的操作模式)，产生用于随后的认证的随机数的 部件。提供一种存储器，用于利用随机数计数值保持随机数状态， 以便Diameter服务器侧能够管理该随机数状态。为此，该存储器连
17接到发生器、处理器和传输器，从所述发生器处输入新产生的值， 所述处理器即是用于基于产生的和/或存储的认证参数执行认证的部 件，所述传输器即是用于将相应的认证参数传输到SIP服务器的部件。
为了认证的目的，使得两侧的处理器(虽然未示出)能够根据
所使用的认证方案在HTTP Digest的此情况中合作。
需要指出的是，图2仅仅示出了那些直接与解释本发明相联系 的装置、部分和元件。技术人员会理解，在实践中还包括哪些常规 的装置、部分和元件以及如何包括常规的装置、部分和元件。
对于技术人员来说，图2中任何单个元件的操作，在参考根据 图1的方法的细节描述时将进一步地显而易见。即，本发明的有形 实施方式配置为根据本发明的方法实施方式来操作。因此，本发明 亦包括实现本发明及其实施方式所需的特定数据结构和计算机程 序。
总体来说，还需指出，如果所述如根据本发明的指示器和分析 器那样的功能元件仅仅适于执行相应部分的所描述的功能的话，则 其相应地可由任何已知方式实现，无论是在集成的或可移动的硬件 和/或软件中。例如，分析器可由任何数据处理单元实现，例如微处 理器，该数据处理单元配置为鉴于于此定义的操作模式的指示而分 析认证请求。所述部分也可在单个功能模块中或由单个设备实现，
或者一个或更多所述部分可在单独功能模块中或由单独设备实现。 相应地，以上图2的阐述仅仅用于说明的目的，且并非以任何方式 限制本发明的实现。
而且，很可能实现为软件代码部分、并使用处理器在一个实体 处运行的方法步骤是独立的软件代码，且可使用例如Java、 C、 C++ 和汇编程序的任何已知的或未来开发的编程语言规定。很可能在一 个对等实体处作为硬件部件实现的方法步骤和/或设备或装置是独立
的硬件，且可使用任何已知的或未来开发的硬件技术或这些技术的 任何组合实现，这些硬件技术例如MOS、 CMOS、 BiCMOS、 ECL、TTL等，作为示例，例如使用例如ASIC组件或DSP组件实现。总 体来说，任何方法步骤都适于作为软件或通过硬件实现，而不改变 本发明的主旨。设备与装置可作为单个设备实现，但只要设备的功 能得以保持，并不排除它们以遍及整个系统的分布式方式实现。这
根据本发明的实施方式，如SIP服务器的会话控制服务器在如 MAR命令的认证请求中，从会话控制信令的观点指示其正工作于代 理模式还是工作于用户代理模式。如Diameter服务器的认证服务器 接收所述指示，然后知道如何应用例如HTTP Digest认证的基于随机 数的认证，并知道如何在如MAA命令的认证响应中组装参数到会话 控制服务器。
本发明的实施方式可应用在任何包括会话控制服务器和认证服 务器的通信系统中，其配置为提供基于会话的认证应用。这例如可 以是IMS系统中的情况，其中，本发明特别适合于应用在Cx接口 上。其它示例包括由ETSI (欧洲电信标准协会)定义的系统、3GPP 和3GPP2 ( 3GPP:第三代合作伙伴计划)以及TISPAN (电信与互 联网的融合服务及用于高级网络的协议)。
简言之，以上描述的本发明的示例性实施方式可概括为在 Diameter服务器中按需的HTTP Digest nextnonce的产生。
鉴于前述内容，很清楚的是本发明阐述了方法、实体及元件的 多个方面，如下 (第一方面)
一种认证方法，在包括会话控制服务器和认证服务器的通信系 统中可用，其配置为提供基于会话的认证应用，其中认证根据基于 随机数的认证方案，所述方法包括
在认证请求中，从该会话控制服务器向认证服务器指示会话控 制服务器的操作模式。
上述方法，其中会话控制服务器的操作模式包括代理模式和用 户代理模式。
19上述方法，其中指示操作模式是在成功的认证之前和/或之后实
施o
上述方法，其中根据第一选择，指示操作模式是通过使用属性 值对实行，该属性值对指定用于指示会话控制服务器模式。
上述方法，其中根据第二选择，指示操作模式是通过在属性值 对中使用参数实行，该参数指定用于指示会话控制服务器模式，该 属性值对指定用于指示会话控制方法。
上述方法，其中根据第三选择，如果会话控制服务器处于代理 模式，则指示操作模式是通过使用属性值对实行，该属性值对是指
定用于指示会话控制服务器模式；以及如果会话控制服务器处于用 户代理模式，则指示操作模式是通过使用属性值对实行，该属性值 对指定用于基于会话的认证应用。 上述方法，进一步包括
在认证服务器处分析来自会话控制服务器的认证请求；以及
考虑指示的会话控制服务器的操作模式，在认证服务器处产生 用于随后的认证的随机数。
上述方法，其中产生随机数包括创建新的随机数和更新先前随 机数的随机数计数值。
上述方法，进一步包括
考虑到指示的操作模式和/或产生的随机数，在认证响应中从认 证服务器向会话控制服务器传输认证参数；和/或
考虑到指示的操作模式和/或产生的随机数，使用基于随机数的 认证方案执行认证。 (第二方面)
一种装置，在包括会话控制服务器和认证服务器的通信系统中 可用，其配置为提供基于会话的认证应用，其中的认证根据基于随 机数的认证方案，所述装置包括
指示器，配置为在认证请求中，从该会话控制服务器向认证服 务器指示会话控制服务器的操作模式。
20上述装置，其中会话控制服务器的操作模式包括代理模式和用 户代理模式。
上述装置，其中指示器配置为在成功的认证之前和/或之后指示 操作模式。
上述装置，其中根据第一选择，指示器配置为通过使用属性值 对来指示操作模式，该属性值对指定用于指示会话控制服务器模式。
上述装置，其中根据第二选择，指示器配置为通过在属性值对 中使用参数来指示操作模式，该参数指定用于指示会话控制服务器 模式，该属性值对指定用于指示会话控制方法。
上述装置，其中根据第三选择，如果会话控制服务器处于代理 模式，则指示器配置为通过使用属性值对指示操作模式，该属性值
对指定用于指示会话控制服务器模式；以及如果会话控制服务器处 于用户代理模式，则指示器配置为通过使用属性值对指示操作模式, 该属性值对指定用于基于会话的认证应用。 上述装置，进一步包括
接收器，配置为从认证服务器接收认证参数；和/或 处理器，配置为根据接收到的认证参数，使用基于随机数的认 证方案纟丸行认证。
上述装置，其中的认证参数包括随机数。 上述装置，其中该装置配置在会话控制服务器处。 (第三方面)
一种根据第一方面的方法来操作上述第二方面的装置的方法， 其中的装置充当会话控制服务器。 (第四方面)
一种装置，在包括会话控制服务器和认证服务器的通信系统中 可用，其配置为提供基于会话的认证应用，其中的认证根据基于随 机数的认证方案，所述装置包括
接收器，配置为在认证请求中，从会话控制服务器接收会话控 制服务器操作模式的指示。上述装置，其中会话控制服务器的操作模式包括代理模式和用 户代理模式。
上述装置，进一步包括
分析器，配置为分析来自会话控制服务器的认证请求；以及 发生器，配置为考虑到指示的会话控制服务器操作模式，产生
用于随后的的认证的随机数。
上述装置，进一步包括配置为用随机数计数值保持随机数状态
的存储器。
上述装置，其中的发生器配置为创建新的随机数并更新先前随 机数的随机数计数值。
上述装置，进一步包括
传输器，配置为在认证响应中，考虑指示的操作模式和/或产生 的随机数，从认证服务器向会话控制服务器传输认证参数；和/或
处理器，配置为考虑指示的操作模式和/或产生的随机数而使用 基于随机数的认证方案来执行认证。
上述装置，其中该装置配置在认证服务器处。 (第五方面)
一种根据第一方面的方法操作上述第四方面的装置的方法，其 中所述装置充当认证服务器。 (第六方面)
一种认证系统，在包括会话控制服务器和认证服务器的通信系 统中可用，其配置为提供基于会话的认证应用，其中的认证根据基 于随机数的认证方案，所述系统包括
指示器，配置为在认证请求中，从该会话控制服务器向认证服 务器指示会话控制服务器的操作模式。
上述系统，其中会话控制服务器的操作模式包括代理模式和用 户代理模式。
上述系统，其中指示器配置为结合以上的装置如所述那样操作。 上述系统，进一步包括
22分析器，配置为分析来自会话控制服务器的认证请求；以及
发生器，配置为考虑到指示的会话控制服务器操作模式，产生 用于随后的认证的随机数。
上述系统，其中发生器配置为创建新的随机数并更新先前随机 数的随机数计数值。
上述系统，进一步包括
认证服务器处的传输器和会话控制服务器处的接收器，配置为 在认证响应中，考虑指示的操作模式和/或产生的随机数，从认证服 务器向会话控制服务器传输认证参数；和/或
处理器，配置为考虑指示的操作模式和/或产生的随机数而使用 基于随机数的认证方案来执行认证。
上述系统包括第二方面的装置和/或第四方面的装置。 (第七方面)
一种包含在计算机可读介质中的计算机程序，包括配置为操作 根据第二方面的装置的程序代码。
(第八方面)
一种包含在计算机可读介质中的计算机程序，包括配置为操作 根据第四方面的装置的程序代码。
根据本发明的某些实施方式，上述方面的主题配置以使得 -基于会话的认证应用包括Diameter SIP应用，和/或 -基于随机数的认证方案包括HTTP Digest认证，和/或 -会话控制服务器包括SIP服务器和/或Diameter客户端，和/或 -认证服务器包括Diameter服务器。
根据本发明的某些其他实施方式，上述方面的主题配置以使得 -通信系统包括IP多媒体子系统(IMS),和/或 -会话控制服务器包括呼叫状态控制功能，和/或 -认证服务器包括归属用户服务器。
总之，在基于会话的认证应用中，提供了一种基于随机数的认 证方案的用法，在包括会话控制服务器和认证服务器的通信系统中可用，会话控制服务器和认证服务器配置为提供基于会话的认证应
用，其中的认证考虑了基于随机数的认证方案，包括在认证请求 中，从该会话控制服务器向认证服务器指示会话控制服务器的操作 模式，其中操作模式包括代理模式和用户代理模式。 尽管以上根据附图参考示例描述了本发明，但很显然，并非将本发 明限定于此。而且，对于那些本领域中的技术人员很明显的是，可 以以多种方式修改本发明而不脱离如上公开的发明主旨的范围。
权利要求
1. 一种在通信系统中可用的认证方法，所述方法包括在认证请求中，从会话控制服务器向所述认证服务器指示所述会话控制服务器的操作模式，其中所述通信系统包括会话控制服务器和认证服务器，其中所述会话控制服务器和所述认证服务器配置为提供基于会话的认证应用，其中认证根据基于随机数的认证方案。
2. 根据权利要求1所述的方法，其中所述指示会话控制服务器 的操作模式包括代理模式和用户代理模式。
3. 根据权利要求1所述的方法，其中所述指示操作模式是在成 功的认证之前和之后中的至少 一处实施。
4. 根据权利要求1所述的方法，其中所述指示操作模式是通过 使用属性值对实行，所述属性值对指定用于指示会话控制服务器模 式。
5. 根据权利要求1所述的方法，其中所述指示操作模式是通过 在属性值对中使用参数实行，所述参数指定用于指示会话控制服务 器模式，所述属性值对指定用于指示会话控制方法。
6. 根据权利要求1所述的方法，其中如果所述会话控制服务器 处于代理模式中，则所述指示操作模式是通过使用属性值对实行， 所述属性值对指定用于指示会话控制服务器模式，以及如果所述会 话控制服务器处于用户代理模式中，则所述指示操作模式是通过使 用属性值对实行，所述属性值对指定用于所述基于会话的认证应用。
7. 根据权利要求1所述的方法，进一步包括 在所述认证服务器处，分析来自所述会话控制服务器的认证请求；以及在所述认证服务器处产生随机数，所述随机数用于考虑到指示的 所述会话控制服务器操作模式的随后的认证。
8. 根据权利要求7所述的方法，其中所述产生随机数包括创建 新的随机数以及更新先前随机数的随机数计数值。
9. 根据权利要求7所述的方法，进一步包括以下内容中的至少 —个在认证响应中，考虑指示的操作模式以及产生的随机数中的至少 一个，将认证参数从所述认证服务器传输到所述会话控制服务器； 以及考虑指示的操作模式以及产生的随机数中的至少 一个，使用所述 基于随机数的认证方案执行认证。
10. 根据权利要求1所述的方法，其中所述基于会话的认证应用 包括Diameter会话发起协议SIP认证。
11. 根据权利要求1所述的方法，其中所述基于随机数的认证方 案包括超文本传输协议HTTP Digest认证。
12. —种在包括会话控制服务器和认证服务器的通信系统中可用 的装置，所述装置包括指示器，配置为在认证请求中，从所述会话控制服务器向所述认 证服务器指示所述会话控制服务器的操作模式，其中所述会话控制服务器和所述认证服务器配置为提供基于会 话的认证应用，其中i人证根据基于随机数的认证方案。
13. 根据权利要求12所述的装置，其中所述会话控制服务器的 所述操作模式包括代理模式和用户代理模式。
14. 根据权利要求12所述的装置，其中所述指示器进一步配置 为在成功认证之前和之后中的至少一处指示操作模式。
15. 根据权利要求12所述的装置，其中所述指示器进一步配置 为通过使用属性值对指示操作模式，所述属性值对指定用于指示会 话控制服务器模式。
16. 根据权利要求12所述的装置，其中所述指示器进一步配置 为通过在属性值对中使用参数指示操作模式，所述参数指定用于指 示会话控制服务器模式，所述属性值对指定用于指示会话控制方法。
17. 根据权利要求12所述的装置，其中所述指示器进一步配置 为，如果所述会话控制服务器处于代理模式中，则通过使用属性值对指示操作模式，所述属性值对指定用于指示会话控制服务器模式；以及如果所述会话控制服务器处于用户代理模式中，则通过使用属 性值对指示操作模式，所述属性值对指定用于所述基于会话的认证 应用。
18. 根据权利要求12所述的装置，进一步包括接收器，配置为接收来自所述认证服务器的认证参数；以及 处理器，配置为根据接收到的认证参数，使用所述基于随机数的 认证方案执行认证。
19. 根据权利要求12所述的装置，其中所述认证参数包括随机数。
20. 根据权利要求12所述的装置，其中所述装置配置在所述会 话控制服务器处。
21. 根据权利要求20所述的装置，其中所述会话控制服务器包 括会话发起协议SIP服务器以及Diameter客户端中的至少 一个。
22. —种在包括会话控制服务器和认证服务器的通信系统中可用 的装置，所述装置包括接收器，配置为在认证请求中，从所述会话控制服务器接收所述 会话控制服务器的操作模式的指示，其中所述会话控制服务器和所述认证服务器配置为提供基于会 话的认证应用，以及其中认证根据基于随机数的认证方案。
23. 根据权利要求22所述的装置，其中所述会话控制服务器的 所述操作模式包括代理模式和用户代理模式。
24. 根据权利要求22所述的装置，进一步包括分析器，配置为分析来自所述会话控制服务器的认证请求；以及 发生器，配置为产生用于随后的考虑到指示的所述会话控制服务 器操作模式的认证的随机数。
25. 根据权利要求24所述的装置，进一步包括配置为用随机数 计数值保持随机数状态的存储器。
26. 根据权利要求24所述的装置，其中所述发生器进一步配置为创建新的随机数；并更新先前随机数的随机数计数值。
27. 根据权利要求24所述的装置，进一步包括至少一个以下内答传输器，配置为在认证响应中，考虑指示的操作模式和产生的随 机数中的至少一个，将认证参数从所述认证服务器传输到所述会话 控制服务器；以及处理器，配置为考虑指示的操作模式和产生的随机数中的至少一 个，使用所述基于随机数的认证方案执行认证。
28. 根据权利要求22所述的装置，其中所述装置配置在所述认 证服务器处。
29. 根据权利要求28所述的装置，其中所述认证服务器包括 Diameter月良务器。
30. —种在包括会话控制服务器和认证服务器的通信系统中可用 的认证系统，所述系统包括指示器，所述指示器在所述会话控制服务器处，配置为在认证请 求中，从所述会话控制服务器向所述认证服务器指示所述会话控制 服务器的操作模式，接收器，所述接收器在所述认证服务器处，配置为在认证请求中， 从所述会话控制服务器接收所述会话控制服务器的操作模式的指示，其中所述会话控制服务器和所述认证服务器配置为提供基于会 话的认证请求，以及其中认证根据基于随机数的认证方案。
31. 根据权利要求30所述的系统，其中所述会话控制服务器的 所述操作模式包括代理模式和用户代理模式。
32. 根据权利要求30所述的系统，在所述认证服务器处进一步 包括分析器，配置为分析来自所述会话控制服务器的认证请求；以及 发生器，配置为产生用于随后的考虑到指示的所述会话控制服务器的操作模式的认证的随机数。
33. 根据权利要求30所述的系统，进一步包括以下内容中的至 少一个在所述认证服务器处的传输器和在所述会话控制服务器处的接 收器，配置为在认证响应中，考虑指示的操作模式和产生的随机数 中的至少一个，将认证参数从所述认证服务器传输到所述会话控制 服务器；以及处理器，所述处理器在每个所述认证服务器和所述会话控制服务 器处，配置为考虑指示的操作模式和产生的随机数中的至少一个， 使用所述基于随机数的认证方案执行认证。
34. 根据权利要求30所述的系统，其中所述通信系统包括互联 网协议IP多々某体子系统IMS。
35. 根据权利要求34所述的系统，其中所述会话控制服务器包 括呼叫状态控制功能。
36. 根据权利要求34所述的系统，其中所述认证服务器包括归 属用户系统。
37. —种在包括会话控制服务器和认证服务器的通信系统中可用 的装置，所述装置包括指示器部件，用于在认证请求中，从所述会话控制服务器向所述 认证服务器指示所述会话控制服务器的操作模式，其中所述会话控制服务器和所述认证服务器配置为提供基于会 话的认证应用，其中认证根据基于随机数的认证方案。
38. —种在包括会话控制服务器和认证服务器的通信系统中可用 的装置，所述装置包括接收器部件，用于在认证请求中，从所述会话控制服务器接收所 述会话控制服务器的操作模式的指示，其中所述会话控制服务器和所述认证服务器配置为提供基于会 话的认证应用，以及其中认证根据基于随机数的认证方案。
39. —种利用计算机程序编码用于执行方法的计算机介质，所述方法包4舌在认证请求中，从所述会话控制服务器向认证服务器指示会话控 制服务器的操作模式，其中所述计算机可读介质在包括所述会话控制服务器和所述认 证服务器的通信系统中可用，其中所述会话控制服务器和所述认证服务器配置为提供基于会 话的认证应用，以及其中认证根据基于随机数的认证方案。
40. —种利用计算机程序编码用于执行方法的计算机可读介质， 所述方法包括在认证服务器处，从会话控制服务器接收所述会话控制服务器的操作模式的指示，其中所述计算机可读介质在包括所述会话控制服务器和所述认证服务器的通信系统中可用，其中所述会话控制服务器和所述认证服务器配置为提供基于会 话的认证应用，以及其中认证根据基于随机数的认证方案。
全文摘要
在基于会话的认证应用中的基于随机数的认证方案的用法，可用于包括会话控制服务器和认证服务器的通信系统，会话控制服务器和认证服务器配置为提供基于会话的认证应用，其中的认证根据基于随机数的认证方案，包括在认证请求中，从该会话控制服务器到认证服务器的会话控制服务器的操作模式的指示，其中所述操作模式包括代理模式和用户代理模式。
文档编号H04L29/06GK101467421SQ200780021928
公开日2009年6月24日 申请日期2007年6月14日 优先权日2006年6月16日
发明者A·莱诺南, G·安格瓦里 申请人:诺基亚有限公司