一种通信方法和系统的制作方法

专利名称：一种通信方法和系统的制作方法
技术领域：
本发明涉及通信系统。更具体地说，涉及一种处理IP多媒体网关安全的方法和系统。
背景技术：
电信技术已经从模拟技术发展到数字技术，并将继续从电路交互发展为数据包交换，从面向连接的数据包交互发展为无连接的数据包交换，以及从窄带应用发展为宽带应用。随着电信技术的发展，运营商提供宽带基于IP的多媒体服务的能力也得到明显增强， 这些服务涉及从娱乐和日常生活应用(例如移动TV和移动支付)到专用服务(例如视频会议和实时数据交换)等方面。IP多媒体子系统(IMS)为IP多媒体服务的部署定义了体系结构框架。IMS定义了这些服务如何与底层电信网络连接和通信，还定义了它们如何与网络供应商的后端系统集成。IMS在一个数据包交换网络(例如GPRS核心网络和LTE核心网络)中结合了语音和数据，以提供网络控制的多媒体服务。在通过IP网络传递各种形式的多媒体应用时，广泛使用了各种因特网协议(IP)，例如会话发起协议(SIP)、用户数据报协议(UDP)、传输控制协议(TCP)和实时传输协议(RTP))。SIP是一种端对端的应用层信号传送协议，被用于建立、修改和断开经由IP网络传递的多媒体会话，例如音频/视频会议、互动游戏、虚拟现实和呼叫。UDP和TCP是传输层协议，用于经由IP网络的数据传递。TCP保障了数据传递和完整性，但是，UDP不能专门地保证数据的传递。RTP是因特网协议，用于传输实时数据，例如音频和视频数据。RTP不能专门地保证数据的实时传递，但是它能提供用于发送和接收应用以支持流数据的机制。比较本发明后续将要结合附图介绍的系统，现有技术的其它局限性和弊端对于本领域的普通技术人员来说是显而易见的。

发明内容
本发明提供了一种用于处理IP多媒体网关安全的系统和/或方法，结合至少一幅附图进行了详细描述，并在权利要求中得到了更完整的阐述。根据本发明的一个方面，提供一种通信方法，包括在IP多媒体网关(IMG)中识别客户端设备，所述客户端设备与所述IP多媒体网关通信连接，且目前不具备与服务管理器的安全性能相兼容的安全性能，安全性能以使能(enable)与所述服务管理器的安全通信和/或安全接收来自所述服务管理器的服务(service)；以及使能所述客户端设备与所述服务管理器之间的安全处理，以使能所述客户端设备从所述服务管理器接收所述服务。优选地，所述客户端设备的位置相对于所述IP多媒体网关的位置是本地的。优选地，所述客户端设备的位置相对于所述IP多媒体网关的位置是远程的。
3
优选地，所述客户端设备支持第一授权方法，所述第一授权方法与所述服务管理器要求的第二授权方法不同。优选地，所述方法还包括通过执行所述第一授权方法与所述第二授权方法之间的授权转换来使能所述客户端设备和所述服务管理器之间的所述安全处理。优选地，所述客户端设备使用第一密码方法，所述第一密码方法与所述服务管理器使用的第二密码方法不同。优选地，所述方法还包括通过执行所述第一密码方法和所述第二密码方法之间的密码转换来使能所述客户端设备和所述服务管理器之间的所述安全处理。优选地所述客户端设备不具备访问从所述服务管理器接收的特定内容的授权；以及所述特定内容对于具有访问所述特定内容的所述授权的至少一个其它客户端设备是可访问的。优选地，所述方法还包括通过针对所述客户端设备对所述特定内容执行访问控制转换来使能所述客户端设备和所述服务管理器之间的所述安全处理，其中所述特定内容对于具有访问所述特定内容的所述授权的所述至少一个其它客户端设备仍然是可访问的。优选地，所述方法还包括针对授权所述客户端设备访问所述特定内容，确定与所述特定内容相关的账单信息。根据本发明的另一个方面，提供一种通信系统，包括用于IP多媒体网关的一个或多个处理器和/或电路，所述一个或多个处理器和/ 或电路用于识别客户端设备，所述客户端设备与所述IP多媒体网关通信连接，且目前不具备与服务管理器的安全性能相兼容的安全性能，所述安全性能使能与所述服务管理器的安全通信和/或安全接收来自所述服务管理器的服务；以及使能所述客户端设备与所述服务管理器之间的安全处理，以使能所述客户端设备从所述服务管理器接收所述服务。优选地，所述客户端设备的位置相对于所述IP多媒体网关的位置是本地的。优选地，所述客户端设备的位置相对于所述IP多媒体网关的位置是远程的。优选地，所述客户端设备支持第一授权方法，所述第一授权方法与所述服务管理器要求的第二授权方法不同。优选地，所述一个或多个处理器和/或电路用于通过执行所述第一授权方法与所述第二授权方法之间的授权转换来使能所述客户端设备和所述服务管理器之间的所述安全处理。优选地，所述客户端设备使用第一密码方法，所述第一密码方法与所述服务管理器使用的第二密码方法不同。优选地，所述一个或多个处理器和/或电路用于通过执行所述第一密码方法和所述第二密码方法之间的密码转换来使能所述客户端设备和所述服务管理器之间的所述安全处理。优选地所述客户端设备不具备访问从所述服务管理器接收的特定内容的授权；以及
所述特定内容对于具有访问所述特定内容的所述授权的至少一个其它客户端设备是可访问的。优选地，所述一个或多个处理器和/或电路用于通过针对所述客户端设备对所述特定内容执行访问控制转换来使能所述客户端设备和所述服务管理器之间的所述安全处理，其中所述特定内容对于具有访问所述特定内容的所述授权的所述至少一个其它客户端设备仍然是可访问的。优选地，所述一个或多个处理器和/或电路用于针对授权所述客户端设备访问所述特定内容，确定与所述特定内容相关的账单信息。本发明的各种优点、各个方面和创新特征，以及其中所示例的实施例的细节，将在以下的说明书和附图中进行详细介绍。


图1是根据本发明一实施例的示范性通信系统的结构示意图，其中通信系统用于在IP多媒体网关中提供安全处理；图2是根据本发明一实施例的示范性通用IP多媒体网关(IMG)的结构示意图，其中IMG用于处理IP多媒体网关中的安全；图3是根据本发明一实施例的示范性授权转换处理的流程图；图4是根据本发明一实施例的示范性密码转换处理的流程图；图5是根据本发明一实施例的示范性访问控制转换处理的流程图；图6是根据本发明一实施例的用于处理IP多媒体网关中的安全的示范性步骤的流程图；图7是根据本发明一实施例的用于处理IP多媒体网关中的授权的示范性步骤的流程图；图8是根据本发明一实施例的用于处理IP多媒体网关中的密码的示范性步骤的流程图；图9是根据本发明一实施例的用于处理IP多媒体网关中的授权的示范性步骤的流程图。
具体实施例方式本发明的一些实施例提供了一种用于处理IP多媒体网关中的安全的方法和系统。在本发明的各种实施例中，IP多媒体网关(IMG)可以用于识别与IMG通信相连的客户端设备，该客户端设备目前可能不具备与服务管理器的安全性能相兼容的安全性能，以使能与服务管理器的安全通信和/或安全接收来自服务管理器的服务。IMG可以使能客户端设备与服务管理器之间的安全处理，以使能客户端设备从服务管理器接收服务。就此而言， 例如，客户端设备的位置相对IMG的位置可以是本地的和/或远程的。在本发明的一个示范性实施例中，所识别的客户端设备可以支持第一授权方法， 其中第一授权方法不同于服务管理器所要求的第二授权方法。此时，IMG可以用于通过执行第一授权方法和第二授权方法之间的授权转换来使能客户端设备与服务管理器之间的安全处理，上述安全处理可以是例如授权。
在本发明的一个示范性实施例中，所识别的客户端设备可以使用第一密码方法， 其中第一密码方法不同于服务管理器所使用的第二密码方法。此时，IMG可以通过执行第一密码方法和第二密码方法之间的密码转换来使能客户端设备与服务管理器之间的安全处理，上述安全处理可以是例如密码处理。在本发明的另一个示范性实施例中，所识别的客户端设备可能不具备访问从服务管理器接收的特定内容的授权。该特定内容可以由具有访问该特定内容的授权的至少一个其它客户端设备访问。此时，例如，IMG可以通过针对客户端设备对特定内容执行访问控制转换来使能客户端设备与服务管理器之间的安全处理，上述安全处理可以是例如授权处理。同时，该特定内容仍可以由具有访问该特定内容的授权的至少一个其它客户端设备访问。就此而言，例如，IMG可以用于针对授权客户端设备访问特定内容，确定与该特定内容相关的账单信息。图1是根据本发明一实施例的示范性通信系统的结构示意图，其中通信系统用于在IP多媒体网关中提供安全处理。参考图1，示出了通信系统100。通信系统100可以包括IP多媒体网关(IMG) 112、宽带IP网络120、多个客户端设备132a-132eU34a-134e ( 们分别统称为客户端设备132和134)以及服务管理器150。IMG 112可以包括合适的逻辑、电路、接口和/或代码，用于连接客户端设备132到宽带IP网络120以用于感兴趣的服务。服务可以由服务类型和服务类别描述或表示。服务的类型指的是针对该服务将要转换的信息的类型，例如数据、语音、文本或视频。具有给定服务类型的服务可由划分为多个示范性时序安排服务类别(scheduling service class), 即用于因特网接入和消息的数据服务，用于运营商级的语音和/或视频呼叫及会议的会话服务，用于TV的视频服务，用于用户通过中央服务器进行相互交互的视频即音乐流、游戏服务，以及用于接入企业内联网/电子邮件的公司VPN服务。针对每种服务类型和/或类别，可能对客户端设备132的接入网络和宽带IP网络120设置特别的要求，以确保所期望的端对端服务质量(QoQ。客户端设备132的接入网络和宽带IP网络120上的服务要求可以包括，例如系统定时(system timing)、⑶DEC、传输速率、节能机制、安全概况和内容类型。IMG 112可以是，例如位于居住位置的IP多媒体家庭网关(IMRG)。IMGl 12还可以位于非居住位置，包括，例如商用建筑、办公室、写字楼、公寓建筑和/或工厂。在本发明的各种示范性实施例中，IMG 112可以用于将本地客户端设备以及远程客户端设备集成到宽带IP网络120。可以通过设备相关接口远程接入IMG 112的客户端设备(例如客户端设备13h-132e)称为IMG 112的本地客户端设备。设备相关接口通常可以代表特定接入技术(例如以太网、Wi-Fi、蓝牙、无线和/或毫微微蜂窝式基站)的PHY和 MAC功能。可以通过设备相关接口(例如宽带IP网络120)远程接入IMG 112的客户端设备 (例如客户端设备13^-134c)称为IMG 112的远程客户端设备。可以通过其它IMGs (例如 IMG 114)远程接入IMG 112的客户端设备(例如客户端设备136a_136e)也可以称为IMG 112的远程客户端设备。在本发明的一个示范性实施例中，IMG 112可以用于识别客户端设备(例如客户端设备13 )，该客户端设备目前不具备与服务管理器(例如服务管理器150)的安全性能相兼容的安全性能，以用于处理和/或接收来自服务管理器150的服务。IMG 112可以使能客户端设备13 与服务管理器150之间的安全处理，以便允许客户端设备13 从服务管理器150接收服务。就此而言，例如，客户端设备(例如客户端设备132a)的位置可以相对IMG 112的位置是本地的。客户端设备(例如客户端设备134a)的位置也可以相对IMG 112是远程的。客户端设备(例如客户端设备132a)可以包括合适的逻辑、电路、接口和/或代码，用于通过宽带IP网络120和IMG 112从服务管理器150接收服务。在本发明的各种示范性实施例中，客户端设备13 可以用于利用接入技术特定接口(例如蓝牙、LTE、WiFi 和/或以太网)来与IMG 112进行服务通信，其中所述的服务是由服务供应商150通过宽带IP网络120提供的。客户端设备13 还可以用于与注册到IMG 112的其它客户端设备进行信息的通信或交换。就此而言，客户端设备13 可以与本地客户端设备(例如客户端设备132b-132e)以及远程客户端设备(例如客户端设备13^_134c)共享信息。客户设备 13 可由动态地配置用于通过宽带IP网络120以及从联网的客户端设备(例如客户端设备132e)接收服务。服务管理器150可以包括合适的逻辑、电路、接口和/或代码，用于通过宽带IP网络120和IMG 112向客户端设备132、134提供基于IP的服务。就此而言，服务管理器150 可由配置用于向客户端设备132、134传递运营商级以及非运营商级的宽带接入服务。服务供应商150可以用于安排运营商级的服务的传递，以确保服务完整性。当需要时，可以传递非运营商级的服务，此时不确保它的例如真实性和稳定性。宽带IP网络120可以包括合适的逻辑、电路、接口和/或代码，用于通过各种有线的和/或无线的技术(例如Tl/El、DSL、电缆调制解调器、FTTx, PLC和/或WiMAX)。在本发明的一个示范性实施例中，宽带IP网络120可以用于在服务管理器150和IMG 112之间
提供通信。在运行中，IMG 112可以用于识别客户端设备(例如客户端设备13 )，该客户端设备目前不具备与服务管理器(例如服务管理器150)的安全性能相兼容的安全性能以用于接收来自服务管理器150的服务。例如，IMG 112可以识别一个或多个客户端设备，例如客户端设备132a，这些客户端设备目前没有能力安全地与服务管理器150通信和/或安全地使用来自服务管理器150的内容。IMG 112可以使能客户端设备13 与服务管理器150 之间的安全处理，以便允许客户端设备13 从服务管理器150接收服务。就此而言，例如， 客户端设备(例如客户端设备132a)的位置可以相对IMG 112的位置是本地的。客户端设备(例如客户端设备13 )的位置也可以相对IMG 112是远程的。在本发明的一个示范性实施例中，所识别的客户端设备13 可以支持第一授权方法，其中第一授权方法不同于服务管理器150所要求的第二授权方法。此时，IMG 112可以用于通过执行第一授权方法和第二授权方法之间的授权转换来使能客户端设备13 与服务管理器150之间的安全处理，上述安全处理可以是例如授权处理。就此而言，例如，客户端设备13 可能仅仅支持密码登陆，而服务管理器150可能要求数字证书作为授权凭证。客户端设备13 可以使用密码和用户ID来登陆IMG 112。IMG 112可以用于执行客户端设备13 的密码和用户ID与数字证书之间的授权转换。IMG 112可以将客户端设备 132a的密码和用户ID与IMG 112的数字证书进行映射，并允许服务管理器150利用IMG 112的数字证书执行授权。
在本发明的一个示范性实施例中，所识别的客户端设备13 可以使用第一密码方法，其中第一密码方法不同于服务管理器150所使用的第二密码方法。此时，IMG 112可以通过执行第一密码方法和第二密码方法之间的密码转换来使能客户端设备13 与服务管理器150之间的安全处理，上述安全处理可以是例如密码处理。就此而言，例如，客户端设备13 可能只支持第一密码，而服务管理器150可能使用不同于第一密码的第二密码。 密码是一对算法，可以产生加密和反向的解密。IMG 112可以用于执行第一密码和第二密码之间的密码转换，从而使能客户端设备13 与服务管理器150之间的密码处理。在本发明的另一个示范性实施例中，所识别的客户端设备13 可能不具备访问从服务管理器150接收的特定内容的授权。该特定内容可由具有访问该特定内容的授权的至少一个其它客户端设备(例如客户端设备132d)访问。此时，例如，IMG 112可以通过针对客户端设备13 对特定内容执行访问控制转换来使能授权客户端设备13 访问特定内容的授权处理。同时，IMG 112可以用于保持该特定内容仍可由具有访问该特定内容的授权的至少一个其它客户端设备(例如客户端设备132d)访问。就此而言，例如，客户端设备 132d可能具有从服务管理器150接收特定视频内容的授权。该特定视频内容可能包括访问控制机制(例如条件访问(CA))，使得客户端设备13 可能不具备同时访问该特定视频内容的授权。条件访问(CA)通过在授权访问该内容前要求满足某些标准来提供对内容的保护。IMG 112可以用于执行访问控制转换。例如，IMG 112可以将CA转换为多种数字版权管理(DRM)，以用于特定视频内容，从而同时为多个客户端(例如客户端设备132d和客户端设备132a)提供关于特定视频内容的服务。DRM是一种访问控制机制，可以用于管理应用于数字内容(例如特定音频和/或视频内容)权限的版权。在本发明的一个示范性实施例中，IMG 112可以用于针对授权客户端设备13 访问特定内容，确定与该特定内容相关的账单信息。例如，客户端设备13 可由授权访问特定音频和/或视频内容，这些内容被账单价格标记，其中账单价格不同于客户端设备132d 的账单价格。图2是根据本发明一实施例的示范性通用IP多媒体网关(IMG)的结构示意图，其中IMG用于处理IP多媒体网关中的安全。参考图2，示出了 IMG200。IMG 200可以包括多标准调制解调器202、宽带调制解调器204、IMG处理器206、IMG数据库208和存储器210。多标准调制解调器202可以包括合适的逻辑、电路、接口和/或代码，用于利用设备相关接口(例如以太网、WiFi、蓝牙、无线和/或毫微微蜂窝式基站)与多个客户端设备 (例如客户端设备13h-132e)通信。宽带调制解调器204可以包括合适的逻辑、电路、接口和/或代码，用于遵循一个或多个因特网协议(IP)宽带标准发射语音和/或数据。宽带调制解调器204可以用于通过宽带连接(例如T1/E1线、DSL、电缆、FTTx, PLC和WiMAX)，发射语音和/或数据给宽带 IP网络120，和/或从宽带IP网络120接收语音和/或数据。宽带调制解调器204可以动态地配置一个或多个网络接口，在宽带调制解调器204中可以使用这些网络接口来连接宽带IP网络120。例如，当宽带调制解调器204被示意与VoIP软交换网络1 交换信息时， 宽带调制解调器204可由配置用于将FTTx作为接入VoIP软交换网络120的途径。IMG处理器206可以包括合适的逻辑、电路、接口和/或代码，用于执行各种信号处理任务，以维持或管理相关客户端设备132a-13&、134a-13k与宽带IP网络120之间
8的和/或相关客户端设备13h-132e、13^-13k相互间的通信。IMG处理器206可以用于执行多种功能，例如客户端设备接口、客户端设备适应、内部路由及控制、远程访问、宽带IP 网络适应和/或宽带IP网络接口。在本发明的一个示范性实施例中，IMG处理器206可以用于识别客户端设备(例如客户端设备13 )，该客户端设备目前不具备与服务管理器(例如服务管理器150)的安全性能相兼容的安全性能，该安全性能用于接收来自服务管理器150的服务。IMG处理器206 可以使能客户端设备13 与服务管理器150之间的安全处理，以便允许客户端设备13 从服务管理器150接收服务。就此而言，例如，客户端设备(例如客户端设备132a)的位置可以相对IMG 200的位置是本地的。客户端设备(例如客户端设备134a)的位置也可以相对IMG 200是远程的。在本发明的一个示范性实施例中，所识别的客户端设备13 可以支持第一授权方法，其中第一授权方法不同于服务管理器150所要求的第二授权方法。此时，IMG处理器 206可以通过执行第一授权方法和第二授权方法之间的授权转换来使能客户端设备13 与服务管理器150之间的安全处理和/或通信，即使能例如授权处理。就此而言，例如，客户端设备13 可能仅仅支持密码登陆，而服务管理器150可能要求数字证书作为授权凭证。客户端设备13 可以使用密码和用户ID来登陆IMG 200。IMG处理器206可以用于执行客户端设备13 的密码和用户ID与数字证书之间的授权转换。IMG处理器206可以将客户端设备13 的密码和用户ID与IMG 200的数字证书进行映射，并允许服务管理器 150利用IMG 200的数字证书执行授权。在本发明的一个示范性实施例中，所识别的客户端设备13 可以使用第一密码方法，其中第一密码方法不同于服务管理器150所使用的第二密码方法。此时，IMG处理器 206可以通过执行第一密码方法和第二密码方法之间的密码转换来使能客户端设备13 与服务管理器150之间的安全处理，以便为它们之间的安全处理和/或通信提供便利，上述安全处理可以是例如密码处理。就此而言，例如，客户端设备13 可能只支持第一密码，而服务管理器150可能使用不同于第一密码的第二密码。IMG处理器206可以用于执行第一密码和第二密码之间的密码转换，从而使能客户端设备13 与服务管理器150之间的密码处理。在本发明的另一个示范性实施例中，所识别的客户端设备13 可能不具备访问从服务管理器150接收的特定内容的授权。该特定内容可由具有访问该特定内容的授权的至少一个其它客户端设备(例如客户端设备132d)访问。此时，例如，IMG处理器206可以通过针对客户端设备13 对特定内容执行访问控制转换来使能用于授权客户端设备13 访问特定内容的授权处理。同时，IMG处理器206可以用于保持该特定内容仍可由具有访问该特定内容的授权的至少一个其它客户端设备(例如客户端设备132d)访问。就此而言， 例如，客户端设备132d可能具有从服务管理器150接收特定视频内容的授权。该特定视频内容可能包括访问控制机制(例如条件访问(CA))，使得客户端设备13 可能不具备同时访问该特定视频内容的授权。IMG处理器206可以用于执行访问控制转换。例如，IMG处理器206可以将CA转换为多种数字版权管理(DRM)，以用于特定视频内容，从而同时为多个客户端(例如客户端设备132d和客户端设备132a)提供关于特定视频内容的服务。在本发明的一个示范性实施例中，IMG处理器206可以用于针对授权客户端设备13 访问特定内容，确定与该特定内容相关的账单信息。例如，客户端设备13 可由授权访问特定视频内容，这些内容被账单价格标记，其中账单价格不同于客户端设备132d的账单价格。IMG数据库208可以包括合适的逻辑、电路、接口和/或代码，用于存储和管理客户端设备信息和网络信息。就此而言，IMG数据库208可以包括相关客户端设备(例如客户端设备13h-132e、13^-134c)的注册状态信息。关于IMG 200的客户端设备的注册状态可以是本地客户端设备(例如客户端设备132a)或远程客户端设备(例如客户端设备134a)。 IMG数据库208可以用于保持追踪或收集客户端设备功能和网络功能。可以使用收集的功能信息来动态地配置属于IMG 200的客户端设备13^i-132e、13^-i;Mc。存储器210可以包括合适的逻辑、电路、接口和/或代码，用于存储和管理可由IMG 处理器206用来执行IMG 200的各种功能的信息，例如可执行指令和数据。例如，存储器210 可以用于存储IMG处理器206处理的数据或生成的内容。存储器210可以包括RAM、ROM、 低延迟非易失性存储器(例如闪存)和/或其它合适的能够存储数据和指令的电子数据存储器。在示范性运行中，IMG(例如IMG 200)可以为各种客户端设备(例如客户端设备 132a-132e)提供到宽带IP网络(例如宽带IP网络120)的连接。IMG200中的IMG处理器 206可以用于识别客户端设备(例如客户端设备132a)，该客户端设备目前不具备与服务管理器(例如服务管理器150)的安全性能相兼容的安全性能，该安全性能用于接收来自服务管理器150的服务。IMG处理器206可以使能客户端设备13 与服务管理器150之间的安全处理，以便允许客户端设备13 从服务管理器150接收服务。就此而言，例如，客户端设备(例如客户端设备132a)的位置可以相对IMG 200的位置是本地的。客户端设备(例如客户端设备13 )的位置也可以相对IMG 200是远程的。在本发明的一个示范性实施例中，所识别的客户端设备13 可以支持第一授权方法，其中第一授权方法不同于服务管理器150所要求的第二授权方法。此时，IMG处理器 206可以通过执行第一授权方法和第二授权方法之间的授权转换来使能用于实现客户端设备13 与服务管理器150之间的安全处理和/或通信的安全处理，例如授权。就此而言，例如，客户端设备13 可能仅仅支持密码登陆，而服务管理器150可能要求数字证书作为授权凭证。客户端设备13 可以使用密码和用户ID来登陆IMG 200。IMG处理器206可以用于执行客户端设备13 的密码和用户ID与数字证书之间的授权转换。IMG处理器206 可以将客户端设备13 的密码和用户ID与IMG 200的数字证书进行映射，并允许服务管理器150利用IMG 200的数字证书执行授权。在本发明的一个示范性实施例中，所识别的客户端设备13 可以使用第一密码方法，其中第一密码方法不同于服务管理器150所使用的第二密码方法。此时，IMG处理器 206可以通过执行第一密码方法和第二密码方法之间的密码转换来使能客户端设备13 与服务管理器150之间的安全处理，上述安全处理可以是例如密码处理。就此而言，例如， 客户端设备13 可能只支持第一密码，而服务管理器150可能使用不同于第一密码的第二密码。IMG处理器206可以用于执行第一密码和第二密码之间的密码转换，从而使能客户端设备13 与服务管理器150之间的密码处理。在本发明的另一个示范性实施例中，所识别的客户端设备13 可能不具备访问从服务管理器150接收的特定内容的授权。该特定内容可由具有访问该特定内容的授权的至少一个其它客户端设备(例如客户端设备132d)访问。此时，例如，IMG处理器206可以通过针对客户端设备13 对特定内容执行访问控制转换来使能用于授权客户端设备13 访问特定内容的授权处理。同时，IMG处理器206可以用于保持该特定内容仍可由具有访问该特定内容的授权的至少一个其它客户端设备(例如客户端设备132d)访问。就此而言， 例如，客户端设备132d可能具有从服务管理器150接收特定视频内容的授权。该特定视频内容可能包括访问控制机制(例如条件访问(CA))，使得客户端设备13 可能不具备同时访问该特定视频内容的授权。IMG处理器206可以用于执行访问控制转换。例如，IMG处理器206可以将CA转换为多种数字版权管理(DRM)，以用于特定视频内容，从而同时为多个客户端(例如客户端设备132d和客户端设备132a)提供关于特定视频内容的服务。在本发明的一个示范性实施例中，IMG处理器206可以用于针对授权客户端设备 13 访问特定内容，确定与该特定内容相关的账单信息。例如，客户端设备13 可由授权访问特定视频内容，这些内容被账单价格标记，其中账单价格不同于客户端设备132d的账单价格。图3是根据本发明一实施例的示范性授权转换处理的流程图。参考图3，示出了客户端设备301、IMG 310和服务管理器320。客户端设备301可以与参考图1进行描述的客户端设备13 基本相同。IMG 310可以与参考图1进行描述的IMG 112基本相同。服务管理器320可以与参考图1进行描述的服务管理器150基本相同。在本发明的一个示范性实施例中，如附图标记1所示，客户端设备301可以提供密码和用户ID来登陆IMG 310。如附图标记2所示，IMG 310可以将客户端设备301的密码和用户ID与IMG 310的数字证书进行映射，并提供数字证书给服务管理器320。如附图标记3所示，服务供应商320可以利用数字证书验证IMG 310。如附图标记4所示，IMG 310 可以利用密码和用户ID验证客户端设备301。图4是根据本发明一实施例的示范性密码转换处理的流程图。参考图4，示出了客户端设备401、IMG 410和服务管理器420。客户端设备401可以与参考图1进行描述的客户端设备13 基本相同。IMG 410可以与参考图1进行描述的IMG 112基本相同。服务管理器420可以与参考图1进行描述的服务管理器150基本相同。在本发明的一个示范性实施例中，客户端设备401可能只支持第一密码402，而服务管理器420可能使用不同于第一密码402的第二密码412。如附图标记1和2所示，IMG 410可以执行第一密码402和第二密码412之间的密码转换，从而使能客户端设备401与服务管理器420之间的密码处理。图5是根据本发明一实施例的示范性访问控制转换处理的流程图。参考图5，示出了客户端设备501、IMG 510和服务管理器520。客户端设备501可以与参考图1进行描述的客户端设备13 基本相同。IMG 510可以与参考图1进行描述的IMG 112基本相同。 服务管理器520可以与参考图1进行描述的服务管理器150基本相同。在本发明的一个示范性实施例中，客户端设备501可能不具备访问特定视频内容的授权，其中特定视频内容包括条件访问512。如附图标记1和2所示，客户端设备501可以针对特定视频内容执行访问控制转换，将条件访问512转换为数字版权管理(DRM) 502， 从而使能客户端设备501接收特定视频内容。
11
图6是根据本发明一实施例的用于处理IP多媒体网关中的安全的示范性步骤的流程图。参考图6，示范性步骤从步骤601开始。步骤602中，IMG 112可以用于识别客户端设备132a，该客户端设备目前不具备与服务管理器150的安全性能相兼容的安全性能， 以用于接收来自服务管理器150的服务。步骤603中，IMG 112可以用于使能客户端设备 132a与服务管理器150之间的用于实现安全处理和/或通信的安全处理，以便允许客户端设备13 从服务管理器150接收服务。示范性步骤将进入结束步骤604。图7是根据本发明一实施例的用于处理IP多媒体网关中的授权的示范性步骤的流程图。参考图7，示范性步骤从步骤701开始。步骤702中，IMG 112可以用于识别支持第一授权方法的客户端设备132a，其中第一授权方法不同于服务管理器150所要求的第二授权方法。步骤703中，IMG 112可以用于通过执行第一授权方法和第二授权方法之间的授权转换来使能客户端设备13 与服务管理器150之间的授权处理。示范性步骤将进入结束步骤704。图8是根据本发明一实施例的用于处理IP多媒体网关中的密码的示范性步骤的流程图。参考图8，示范性步骤从步骤801开始。步骤802中，IMG 112可以用于识别使用第一密码方法的客户端设备132a，其中第一密码方法不同于服务管理器150所使用的第二密码方法。步骤803中，IMG 112可以通过执行第一密码方法和第二密码方法之间的密码转换来使能客户端设备13 与服务管理器150之间的密码处理。示范性步骤将进入结束步骤804。图9是根据本发明一实施例的用于处理IP多媒体网关中的授权的示范性步骤的流程图。参考图9，示范性步骤从步骤901开始。步骤902中，IMG 112可以用于识别客户端设备132a，该客户端设备13 不具备访问从服务管理器150接收的特定内容的授权。该特定内容可由具有访问该特定内容的授权的至少一个其它客户端设备(例如客户端设备 132d)访问。步骤903中，IMG 112可以通过对特定内容执行访问控制转换来使能客户端设备13 与服务管理器150之间的授权处理，以便授权客户端设备13 访问特定内容。该特定内容仍可由具有访问该特定内容的授权的至少一个其它客户端设备(例如客户端设备132d)访问。步骤904中，IMG 112可以针对授权客户端设备13 访问特定内容，确定与该特定内容相关的账单信息。示范性步骤将进入结束步骤905。在本发明的各种实施例中，IMG 112可以用于识别与IMG 112通信连接的客户端设备132a，客户端设备13 目前不具备与服务管理器150的安全性能相兼容的安全性能以使能与服务管理器150的安全通信和/或安全接收来自服务管理器150的服务。IMG 112 可以使能客户端设备13 与服务管理器150之间的安全处理，以使能客户端设备13 从服务管理器150接收服务。就此而言，例如，客户端设备(例如客户端设备132a)的位置可以相对IMG 112的位置是本地的。客户端设备(例如客户端设备134a)的位置也可以相对 IMGl 12是远程的。在本发明的一个示范性实施例中，所识别的客户端设备13 可以支持第一授权方法，其中第一授权方法不同于服务管理器150所要求的第二授权方法。此时，IMG 112可以用于通过执行第一授权方法和第二授权方法之间的授权转换来使能客户端设备13 与服务管理器150之间的用于为通信提供便利的安全处理，例如授权。在本发明的一个示范性实施例中，所识别的客户端设备13 可以使用第一密码方法，其中第一密码方法不同于服务管理器150所使用的第二密码方法。此时，IMG 112可以通过执行第一密码方法和第二密码方法之间的密码转换来使能客户端设备13 与服务管理器150之间的安全处理，例如密码处理。在本发明的另一个示范性实施例中，所识别的客户端设备13 可能不具备访问从服务管理器150接收的特定内容的授权。该特定内容可由具有访问该特定内容的授权的至少一个其它客户端设备(例如客户端设备132d)访问。此时，例如，IMG 112可以通过针对客户端设备13 对特定内容执行访问控制转换来使能客户端设备13 与服务管理器 150之间的安全处理，例如授权处理。同时，该特定内容仍可由具有访问该特定内容的授权的至少一个其它客户端设备(例如客户端设备132d)访问。就此而言，例如，IMG 112可以用于针对授权客户端设备13 访问特定内容，确定与该特定内容相关的账单信息。本发明的其它实施例可以提供一种机器和/或计算机可读存储器和/或媒介，其存储器储的机器代码和/或计算机程序包括至少一个代码段，所述至少一个代码段由机器和/或计算机执行，从而使该机器和/或计算机执行上述用于处理IP多媒体网关中的安全的步骤。因此，本发明可以通过硬件、软件，或者软、硬件结合来实现。本发明可以在至少一个计算机系统中以集中方式实现，或者由分布在几个互连的计算机系统中的不同部分以分散方式实现。任何可以实现方法的计算机系统或其它设备都是可适用的。常用软硬件的结合可以是安装有计算机程序的通用计算机系统，通过安装和执行程序控制计算机系统，使其按方法运行。本发明还可以通过计算机程序产品进行实施，程序包含能够实现本发明方法的全部特征，当其安装到计算机系统中时，可以实现本发明的方法。本文件中的计算机程序所指的是可以采用任何程序语言、代码或符号编写的一组指令的任何表达式，该指令组使系统具有信息处理能力，以直接实现特定功能，或在进行下述一个或两个步骤之后实现特定功能a)转换成其它语言、解码或符号；b)以不同的格式再现。虽然本发明是通过具体实施例进行说明的，本领域技术人员应当明白，在不脱离本发明范围的情况下，还可以对本发明进行各种变换及等同替代。另外，针对特定情形或材料，可以对本发明做各种修改，而不脱离本发明的范围。因此，本发明不局限于所公开的具体实施例，而应当包括落入本发明权利要求范围内的全部实施方式。
权利要求
1.一种通信方法，其特征在于，所述方法包括在IP多媒体网关中识别客户端设备，所述客户端设备与所述IP多媒体网关通信连接，且目前不具备与服务管理器的安全性能相兼容的安全性能以使能与所述服务管理器的安全通信和/或安全接收来自所述服务管理器的服务；以及使能所述客户端设备与所述服务管理器之间的安全处理，以使能所述客户端设备从所述服务管理器接收所述服务。
2.根据权利要求1所述的方法，其特征在于，所述客户端设备的位置相对于所述IP多媒体网关的位置是本地的。
3.根据权利要求1所述的方法，其特征在于，所述客户端设备的位置相对于所述IP多媒体网关的位置是远程的。
4.根据权利要求1所述的方法，其特征在于，所述客户端设备支持第一授权方法，所述第一授权方法与所述服务管理器要求的第二授权方法不同。
5.根据权利要求4所述的方法，其特征在于，包括通过执行所述第一授权方法与所述第二授权方法之间的授权转换来使能所述客户端设备和所述服务管理器之间的所述安全处理。
6.根据权利要求1所述的方法，其特征在于，所述客户端设备使用第一密码方法，所述第一密码方法与所述服务管理器使用的第二密码方法不同。
7.根据权利要求6所述的方法，其特征在于，包括通过执行所述第一密码方法和所述第二密码方法之间的密码转换来使能所述客户端设备和所述服务管理器之间的所述安全处理。
8.根据权利要求1所述的方法，其特征在于所述客户端设备不具备访问从所述服务管理器接收的特定内容的授权；以及所述特定内容对于具有访问所述特定内容的所述授权的至少一个其它客户端设备是可访问的。
9.根据权利要求8所述的方法，其特征在于，包括通过针对所述客户端设备对所述特定内容执行访问控制转换来使能所述客户端设备和所述服务管理器之间的所述安全处理， 其中所述特定内容对于具有访问所述特定内容的所述授权的所述至少一个其它客户端设备仍然是可访问的。
10.一种通信系统，其特征在于，包括用于IP多媒体网关的一个或多个处理器和/或电路，所述一个或多个处理器和/或电路用于识别客户端设备，所述客户端设备与所述IP多媒体网关通信连接，且目前不具备与服务管理器的安全性能相兼容的安全性能以使能与所述服务管理器的安全通信和/或安全接收来自所述服务管理器的服务；以及使能所述客户端设备与所述服务管理器之间的安全处理，以使能所述客户端设备从所述服务管理器接收所述服务。
全文摘要
本发明涉及一种通信方法和系统。IP多媒体网关(IMG)可以用于识别客户端设备，所述客户端设备目前可能不具备与服务管理器的安全性能相兼容的安全性能以从所述服务管理器接收服务。IMG可以使能所述客户端设备与所述服务管理器之间的安全处理，以使能所述客户端设备从所述服务管理器接收服务。所述客户端设备相对所述IMG可以是本地的，也可以是远程的。所述IMG可以通过执行授权转换来使能所述客户端设备与所述服务管理器之间的授权处理。所述IMG可以通过执行密码转换来使能所述客户端设备与所述服务管理器之间的密码处理。所述IMG可以通过执行访问控制转换来使能用于授权所述客户端设备访问特定内容的授权处理。
文档编号H04L29/06GK102377765SQ20111018220
公开日2012年3月14日 申请日期2011年6月30日 优先权日2010年7月1日
发明者山姆·安德森, 戈登·勇·李, 皮埃尔·蔻伊劳德, 陈雪敏 申请人:美国博通公司