用于验证通信终端设备的方法

摘要

用于检验移动无线用户的身份的本方法包括如下步骤：a)在注册期间由接入网络(GPRS)将IP地址分配给用户，并由服务网络(IMS)将公共ID(SIP－Public－ID)分配给该用户；b)在注册期间还借助加密算法从一个随机数和用户的IP地址中计算出一个权标(Token)，与该地址和公共ID一起发送到该用户，并且由该用户存储；c)利用发送服务请求由用户向服务网络发送他所存储的数据，如IP地址、公共ID和权标；d)服务网络将一起发送的数据与该网路中存储或新计算的副本进行比较，e)在一致的情况下执行所请求的服务。

说明书

背景技术

在第二代和第三代移动无线网络中为移动无线用户提供了由针对服务产生而优化的专用网络(服务网络)产生的服务。其中，服务用户通过接入网络(例如根据GPRS标准工作的通信网络)与该服务网络连接。对于网络运营商来说，通常感兴趣的是在产生服务之前确定该服务用户的身份，并在验证成功的条件下使该用户注册。这种服务网络的一个例子是所谓的在3GPP第5版框架下标准化的IMS(IP多媒体子系统)。在IMS中获得由用户请求的服务的前提是用户在IMS中得到验证，就像根据文献3GPP TS 23.228 Version 5.4.1中描述的机制所能实现的那样。但是，实施这些机制要求通信终端设备和接入网络基本上适应或者说满足3GPP标准化版5，这在目前来说还是无法实现的。

因此，为了也能使用目前可用的通信终端设备和诸如GPRS网络的接入网络，必须找到过渡的解决方法。

如上要求的注册方法是德国专利申请DE 10223248.2的内容。

为了能提供更高的安全性能，期望也在服务用户注册到服务网络之后、但直接在使用该服务网络的服务之前或在此期间由服务用户进行对他的身份证明或者说验证。

发明内容

本发明要解决的技术问题是，提供一种安全可靠的、且可简单实施的方法来在服务用户使用服务时或在此之前验证该服务用户的身份。

根据本发明的权利要求1，一种用于在使用可由服务网络(IMS)组织的通信服务时验证注册到该服务网络(IMS)的通信终端设备(UE)身份的方法，其中该通信终端设备通过将该通信终端设备(UE)与该服务网络(IMS)连接的接入网络(GPRS)来访问该服务网络(IMS)，其中

-在前序步骤中，

-在该通信终端设备(UE)登录该接入网络(GPRS)时分配给该通信终端设备(UE)的登录-IP地址(IP-SRC-UE)由所述服务网络(IMS)接收，并将其为该通信终端设备的相应用户存储在该服务网络(IMS)中，

-所述登录-IP地址(IP-SRC-UE)由该服务网络(IMS)分配一个该通信终端设备(UE)的公共标识(SIP-Public-ID)并存储在该服务网络(IMS)中，以及

-在该通信终端设备(UE)注册到所述服务网络时向该通信终端设备分配一个权标(Token)，该权标由所述服务网络(IMS)借助加密方法由所述登录-IP地址(IP-SRC-UE)和一个随机数(RN)产生，并存储在所述通信终端设备(UE)中，以及将属于该权标(Token)的权标数据(RN，IP-SRC-UE，SIP-Public-ID)存储在所述服务网络中，

-在所述通信终端设备请求通信服务时，在若干、尤其是所有从通信终端设备向服务网络发送的、用于获得该通信服务的消息(SIP消息，SIP INVITE，...)中一起传送所述权标和一个公共标识，

-在获得所请求的通信服务之前，将与所述通信终端设备的消息(SIP消息，SIP INVITE，...)一起传送的权标与权标数据进行比较，并将所传送的公共标识与存储在所述服务网络(IMS)中的公共标识进行比较，

-当所述权标(Token)与权标数据(RN，IP-SRC-UE，SIP-Public-ID)，以及与所述通信终端设备发送的、用于获得通信服务的消息一起传送的公共标识与服务网络(IMS)中存储的公共标识(SIP-Public-ID)同时一致时，实施所请求的通信服务，以及

-当所述权标与权标数据不一致，和/或与所述通信终端设备发送的、用于获得通信服务的消息一起传送的公共标识与服务网络(IMS)中存储的公共标识不一致时，拒绝执行所请求的通信服务。

优选的，根据本发明的方法不需要符合3GPP第5版的标准化规则的通信终端设备或接入网络。相反，根据本发明的方法也可以利用当前主要采用的、符合3GPP 1999版(也称为第3版)的标准化规则的通信终端设备和接入网络来实现。例如，当前常用的、只具有一个传统“用户标识模块”(SIM)卡的通信终端设备是合适的。根据本发明的方法的另一个优点在于，该权标很难被“猜中”，因为该权标是借助加密方法由登录-IP地址和一个随机数产生的。该权标利用一个用该登录-IP地址来寻址的传送消息来发送到通信终端设备。由此以及通过在接入网络中的路由可以有利地保证，该权标只发送到具有该登录IP地址的通信终端设备，从而在该方法的进一步执行中只能对该通信终端设备进行成功的验证。

根据本发明的方法可以这样构成，在服务网络中将所述权标存储为权标数据，在将分配给通信终端设备的权标与存储在该服务网络中的权标数据进行比较时，将分配给该通信终端设备的权标与存储的权标进行比较，当分配给通信终端设备的权标与存储的权标，以及所述通信终端设备发送的、用于获得通信服务的消息中包含的公共标识与服务网络中存储的公共标识同时一致时，实施所请求的通信服务。

在本发明的这种实施方式中，尤其有利的是，可以通过非常简单的方式进行验证，因为只需要在一个比较步骤中将通信终端设备注册到服务网络期间已经分配给该通信设备的权标与存储的权标进行比较。为此也不需要解密该权标，从而服务网络的资源负担很小。

根据本发明的方法还可以这样实施，在服务网络中将登录-IP地址和该随机数存储为权标数据，并在服务网络(IMS)接收了由通信终端设备向服务网络发送的、用于获得通信服务的消息之后对利用该消息传送的权标进行解密。将所传送的权标与服务网络中存储的权标数据进行比较应当理解为，将解密时重新获得的登录-IP地址与存储的登录-IP地址进行比较。在重新获得的登录-IP地址与存储的登录-IP地址，以及在通信终端设备所发送的、用于获得通信服务的消息中包含的公共标识与服务网络中存储的公共标识同时一致时，实施所请求的通信服务。

根据DE10223248中的方法，在经过一个预定的权标有效持续时间之后将该权标标记为无效。由此有利的是，该权标只能使用一个特定的有效持续时间那么长。如果得知该权标未经授权，则可能的不期望使用的持续时间是有限的。

权标还可以由服务网络的中继站进行解密。

根据本发明的方法还可以这样运行，即通过服务网络的中继站将由通信终端设备发送的、用于获得通信服务的消息传送的权标与权标数据进行比较，以及将传送的公共标识与服务网络中存储的公共标识进行比较，在所述权标与权标数据，以及传送的公共标识与服务网络中存储的公共标识同时一致时，通过中继站执行所请求的通信服务，并在所述权标与权标数据不一致和/或传送的公共标识与服务网络中存储的公共标识不一致时，通过中继站拒绝执行所请求的通信服务。

附图说明

为了进一步解释本发明，

图1示出用于实施本发明方法的实施例，

图2示出本发明方法的实施例的示意图。

具体实施方式

在图1中示出作为接入网络的、按照“通用分组无线电服务”规定工作的移动无线网络GPRS。该接入网络GPRS包括第一GPRS网关中继站GGSN1(GGSN＝网关GPRS支持节点)，其通过按照SIP标准工作的第一信号连接SIP1与第一通信终端设备UE1连接。此外，该接入网络具有第二GPRS网关中继站GGSN2，其通过按照SIP标准工作的第二信号连接SIP2与第二通信终端设备UE2连接。第一通信终端设备UE1和第二通信设备UE2可以例如是移动电话、具有移动无线模块的膝上型电脑或掌中电脑。此外还示出服务网络IMS(IP多媒体子系统)。在服务网络IMS中只示意性地示出一个中继站S-CSCF(CSCF＝呼叫会话控制功能；S-CSCF＝服务CSCF)，其通过数据连接9和10与第一GPRS网关中继站GGSN1和第二GPRS网关中继站GGSN2连接。通过数据连接9和10可以将SIP消息发送到第一GPRS网关中继站GGSN1和第二GPRS网关中继站GGSN2。

借助第一通信终端设备UE1可以例如将称为“IMS即时消息”的消息发送到第二通信终端设备UE2；也就是说请求一特定的服务。该请求仅在成功注册之后才能实现。如果通信终端设备UE1成功注册到IMS中，则该通信终端设备UE1必须直接在请求服务之前或在此期间再次获得验证。

如果通信终端设备的用户想要使用服务网络IMS的服务，则该用户的通信终端设备注册进该接入网络(该接入网络目前通常由所谓的“1999版”GPRS网络实现)。在注册进该GPRS网络时进行公知的GPRS用户验证，这种验证使用终端设备中具有的SIM卡。此外，通信终端设备必须注册到服务网络IMS中，并在该网络中得到验证。注册接入网络GPRS和注册服务网络IMS的两个过程例如都自动在接通终端设备时执行。注册进服务网络的一个重要部分是通过服务网络来进行验证。其中，在通信终端设备注册进服务网络期间验证该通信终端设备的用户。其中，可以识别已插入该通信终端设备中的该用户的SIM卡，并由此推断是用户本人。

图2示出是如何为了使用通信服务或者说使用IMS服务来根据本发明实施IMS用户验证的。所示的消息流(SIP消息流)虽然与3GPP中文献TS24.228第5.00版所标示和标准化的消息流相同，但还是与该标准有所不同，一方面由通信终端设备一起发送一个权标，即所谓的Token，另一方面根据本发明的验证过程是在服务网络IMS中执行的。

本实施例以用户A的通信终端设备UE-A注册接入网络开始，在本例中是注册进GPRS接入网络。在此进行GPRS用户验证。如果验证成功，则产生所谓的“PDP上下文”，并由网关GPRS中继站GGSN(GGSN＝网关GPRS支持节点)向该通信终端设备UE-A发送临时IP地址IP-SRC-UE。该IP地址允许其他网络用户将IP分组发送到该通信终端设备。另一个第二用户B的通信终端设备UE-B同样进行注册。

此外，通信终端设备UE-A还登录服务网络IMS。在由DE10223248公开的注册方法中，将一个权标传送到该通信终端设备UE-A。

在注册之后，用户A在其通信终端设备UE-A上启动通信服务或IMS服务。下面的消息流类似于在标准TS23.228中给出的消息流。在请求IMS服务时，首先由用户A的通信终端设备UE-A将所谓的SIP-INVITE消息发送到用户B的通信终端设备UE-B。SIP-INVITE消息包括该通信终端设备UE-A的临时IP地址。但该地址不需要一定是通信终端设备UE-A在登录该GPRS接入网络时所获得的地址。欺诈用户A可能用其通信终端设备UE-A伪造一个错误的IP地址。这是无法被公知的99版GPRS接入网络，例如GGSN检查到的。此外SIP-INVITE消息还包含一个公共标识SIP-Public-ID-1，其由服务网络IMS分配给通信终端设备UE-A。该参数也能被欺诈用户A操纵。为了检查到这一点，通信终端设备UE-A将在注册时给定的权标Token插入到该SIP-INVITE消息中。到目前所描述的流程包括图2中的步骤2至5。

服务网络IMS的中继站S-CSCF获得具有权标(Token)的SIP-INVITE消息(步骤6)。根据存储在中继站S-CSCF的信息，或者将来自SIP-INVITE消息的权标与存储在中继站S-CSCF的权标进行比较，或者首先将来自SIP-INVITE消息的权标在中继站S-CSCF中解密，然后将由此获得的参数RN和IP-SRC-UE与中继站S-CSCF的数据库中的对应条目<RN，IP-SRC-UE；SIP-Public-ID>进行比较。接着将来自SIP-INVITE消息的公共标识，即所谓的SIP公共用户ID与对应于权标的SIP-Public-IP或者说与对应的三元条目<RN，IP-SRC-UE；SIP-Public-ID>中存储的SIP公共用户ID进行比较。

如果来自SIP-INVITE消息的权标与中继站S-CSCF上存储的权标一致，并且对于该权标存储在中继站S-CSCF中的公共标识SIP-Public-ID与来自SIP-INVITE消息的公共标识SIP-Public-ID-1一致，或者如果对于从SIP-INVITE消息的权标中解密的参数RN和IP-SRC-UE来说在中继站S-CSCF上存在匹配的<RN，IP-SRC-UE；SIP-Public-ID>条目，并且在该条目中存储的公共标识SIP-Public-ID与来自SIP-INVITE消息的公共标识SIP-Public-ID-1一致，则用户A就得到了验证。

如果不满足上述判据，则该用户A在服务网络IMS中的验证失败。在这种情况下，中继站S-CSCF将SIP-401-UNAUTHORIZED消息发送到该用户A的通信终端设备UE-A。

在用户A在中继站S-CSCF上被成功验证之后，消息流类似于标准TS23.228地继续(步骤7-27)。但是对于用户A的通信终端设备UE-A发送的每个消息，都将权标添加到所发送的消息中，并执行上面对SIP-INVITE消息描述的检查。只有在成功的情况下才继续根据图2的消息流，否则中断通信服务。

为了在中继站S-CSCF进行IMS用户验证时加快对所属权标或所属数据组条目<RN，IP-SRC-UE；SIP-Public-ID>的搜索，可以例如在中继站数据库中使用索引方法。为此所需的数据库索引可以例如从权标本身或从权标数据(Token参数)中产生。

因此，所描述方法的重要思想在于，针对临时IP地址IP-SRC-UE的权标只发送到已经从网关GPRS中继站GGSN那里获得该IP地址的终端设备。这可以通过在GPRS接入网络中的路由来保证。另外，对所有消息在通过无线接口传送时的加密确保了，所述权标不可能被其他GPRS终端设备窃听到。在产生权标时采用随机数防止了，该权标被另一个在较晚时刻偶然分配到相同临时IP地址的终端设备恶意使用。根据本发明的方法不需要新的接口或网络元件。在没有唯一识别希望使用服务网络的通信服务的用户时，不能获得通信服务。根据本发明的方法为可靠的用户验证提供了一种解决方案。本发明的方法既可以用于在诸如IMS的服务网络中获得服务，又可用于获得在诸如IMS的服务网络中提供的内容。本方法提供了与目前对于WAP服务相同的安全性。

为网络运营商提供的一个巨大优点在于，对于诸如IMS的服务网络来说，也可以采用目前的99版GPRS网络作为接入网络，因为借助本发明的方法可以安全验证服务用户。

为服务用户提供的优点在于，该用户除了GPRS(例如WAP)服务之外还可以使用IMS服务，而无需例如通过密码来重新登录。

利用所描述的方法可以有利防止例如恶意利用错误的IP地址或错误的SIP公共用户ID发送的消息而导致的错误验证。

本发明方法的重要方面在于，通过用真实拥有一特定临时IP地址的终端设备的该特定临时IP地址来进行寻址，从而为该通信终端设备分配一个权标。这可以通过接入网络(例如GPRS网络)的路由机制来保证。如果终端设备只伪装地具有注册期间的临时IP地址，则该终端设备不能获得该权标。但是，该权标对于成功请求IMS服务来说是必需的。在服务网络中(例如在IP多媒体系统IMS中)，该权标允许检验该临时IP地址。然后这又允许安全验证公开标识SIP-Public-ID和对应的专用标识SIP-Private-ID。

象服务网络IMS(IP多媒体子系统)这样的服务网络是公知的，并例如描述在文献“TS23.228 V5.4.1(2002-04)；3^rd Generation Partnership Project；TechnicalSpecification Group Services and System Aspects；IP Multimedia Subsystem(IMS)；Stage 2(Release 5)”中。在IMS与目前常用的“1999版”GPRS网络连接或者采用现有的例如不具有ISIM卡的“1999版”终端设备时存在一个问题，即用户可以恶意修改通信终端设备。这可能导致利用错误的IP地址和错误的SIP公共用户ID来发送SIP消息，而这又会导致另一个IMS用户错误获得服务。所描述的方法使得可以可靠验证该IMS用户，即使在服务网络IMS与目前常用的“1999版”GPRS网络连接或者说采用现有的不具有ISIM卡的终端设备时也是如此。这通过以下方式实现，即采用为了注册到IMS而向通信终端设备发送的权标，以检查希望使用IMS服务并为此发送与服务有关的消息的用户的身份或真实性。如果通信终端设备在服务使用期间只是伪造了一个临时IP地址和错误的SIP公共用户ID，则这些参数与权标中存储的或者与该权标对应的值抵触。由此服务网络IMS可以检验，在与服务有关的消息中给出的临时IP地址和SIP公共用户ID是否与该通信终端设备注册时给出并经过验证的临时IP地址和SIP公共用户ID一致。通过对用户的安全验证可以获得IMS服务。

可设想到的情况例如如下所述：

欺诈用户注册到1999版GPRS接入网络。他希望将IMS即时消息发送到另一个用户，在此所连接的服务网络(例如IMS)向该服务网络的第三用户计算该发送即时消息的费用。首先该欺诈用户以他自己的身份登录GPRS接入网络，并登录诸如IMS的服务网络。根据DE10223248公开的注册方法，服务网络IMS的每个用户都在成功登录该IMS期间获得一个权标。直到这个步骤为止欺诈用户都必须正确操作，否则他将不能登录服务网络IMS。由此他也获得一个有效权标。

接着他产生一个IMS即时消息，但该消息既没有包含他的身份标识(SIP公共用户ID)也没有包含他在登录GPRS接入网络时获得的临时IP地址。相反，他使用恰好也登录到IMS服务网络的第三IMS用户的SIP公共用户ID和临时IP地址。在产生包含错误信息的即时消息之后，该欺诈用户将该消息发送到服务网络IMS。

如果不采用本发明的方法，则服务网络IMS将该即时消息发送到接收者，并根据该欺诈用户已经添加到该即时消息中的错误信息来计费。这意味着错误的IMS用户被计费，这是无论如何都必须排除的。

根据本发明的方法要求，只能在给出权标时才能使用IMS服务。该权标使得可以检查所给出的IP地址和SIP-Public-ID。

在采用本发明方法的情况下，不能或很难以其他IMS用户的名义来使用IMS服务。每个IMS用户在注册时都只获得他自己的权标，而不能获得另一个IMS用户的权标。由于该权标中包含的随机数，因此猜中该权标也是很困难的。此外不可能窃听该权标，因为所有的消息都是加密地通过无线接口传输的。