Способ, устройство, система и компьютерный программный продукт для поддержки указания на пропуск аутентификации, передаваемого из p-cscf (прокси-функция управления сеансами вызовов) в s-cscf (обслуживающая функция управления сеансами вызовов)

ОБЛАСТЬ ТЕХНИКИ

[0001] Настоящее изобретение относится к защите идентификационной информации и, в частности, к способам, устройствам, системе и соответствующему компьютерному программному продукту, предназначенным для защиты идентификационной информации. Примеры осуществления настоящего изобретения могут применяться к централизованным службам мультимедийной IP-подсистемы (internet protocol (IP) multimedia subsystem (IMS) centralized services (ICS)).

УРОВЕНЬ ТЕХНИКИ

[0002] Службы ICS были рассмотрены и представлены в рамках программы сотрудничества по разработке систем третьего поколения (3GPP, 3^rd generation partnership program), например, в издании 8 технической спецификации 23.292.

[0003] Службы ICS могут предоставлять услуги связи таким образом, что все службы и управление службами основываются, например, на механизмах и средствах реализации IMS. Службы ICS предоставляют службы IMS для пользователей, подключенных, например, с помощью централизованной службы. Если пользователь ICS осуществляет доступ к службам IMS с использованием доступа с коммутацией каналов (CS, circuit switched), то есть, через сервер коммутационного центра мобильной связи с поддержкой ICS (IMSC-сервер, ICS mobile switching center server - MSC-сервер, поддерживающий ICS), то аутентификация и авторизация могут выполняться в IMSC-сервере, и, следовательно, обслуживающая функция управления сеансами вызовов (S-CSCF, serving call session control function) может не выполнять аутентификацию IMS для такого сеанса регистрации IMS.

[0004] Пользователю ICS может назначаться так называемый специальный личный идентификатор пользователя ICS IMS (IMPI, ICS IMS private user identity) при доступе к системе IMS, например, через домен CS. Функция S-CSCF может использовать этот специальный идентификатор ICS IMPI для указания на то, что IMSC-сервер уже выполнил аутентификацию и авторизацию пользователя. Однако идентификатор ICS IMPI не защищен от злонамеренного использования. Поскольку процесс аутентификации не выполняется, злоумышленник может с помощью такого идентификатора ICS IMPI использовать IMS-услугу, например, бесплатно.

[0005] В ранних версиях системы IMS эта проблема решалась с помощью функции P-CSCF, которая проверяла принятый от пользователя запрос на регистрацию и передавала его в функцию S-CSCF с указанием на то, мог ли этот запрос прийти от потенциального злоумышленника. Функция S-CSCF затем могла проверить запрос на регистрацию, если функция P-CSCF указывала, что этот запрос мог поступить от злоумышленника.

[0006] Однако в системе ICS ситуация отличается, поскольку регистрацию теперь выполняет центр IMSC и нужно избежать дополнительной аутентификации функцией S-CSCF, если пользователь уже успешно прошел аутентификацию и авторизацию в центре IMSC.

[0007] В организациях по стандартизации (например, 3GPP) обсуждалось использование заголовка PANI (P-Access-Network-Info) для передачи из центра IMSC в функцию S-CSCF указания на то, что аутентификацию можно не выполнять. Заголовок PANI может содержать информацию о сети доступа и параметр "network-provided" (предоставлено сетью). С помощью информации о сети доступа можно информировать функцию S-CSCF о том, что аутентификация уже выполнена.

[0008] Возможный недостаток решения, основанного на использовании заголовка PANI, заключается в том, что в более ранних версиях функции Р-CSCF может не поддерживаться механизм применения параметра "network-provided". Таким образом, существует вероятность того, что этот механизм может использовать злоумышленник. Злоумышленник может установить параметр "network-provided", а неосведомленная функция P-CSCF может не удалить данный параметр. В результате функция S-CSCF может не выполнить аутентификацию.

[0009] Одним из решений этой проблемы может являться соответствующее администрирование, то есть, функция S-CSCF на основе информации из базы данных может решить, следует ли принимать указание "network-provided". Однако такая база данных требует дополнительного администрирования, которое при роуминге трудно поддается контролю.

[0010] Другой подход заключается в использовании решения, основанного только на базах данных, в которых хранится информация обо всех MSC-серверах, поддерживающих службы ICS (IMSC-серверах). Кроме того, функция S-CSCF может не выполнять процесс аутентификации только в том случае, если пользователь ICS регистрируется в системе IMS с помощью такого IMSC-сервера. Однако этот вариант может вызывать неприемлемые административные сложности и серьезную проблему синхронизации баз данных.

[0011] Другой возможный недостаток может заключаться в том, что, в то время как в процессе роуминга пользователь ICS может также получать доступ к своему базовому IMS-домену через IMSC-сервер посещаемой сети, информация обо всех IMSC-серверах, расположенных во внешних CS-доменах роуминга, также должна сохраняться в базе данных. Это означает, что всякий раз при добавлении или удалении IMSC-сервера, базы данных во всех доменах с соглашением о роуминге должны обновляться. Этот приведет к недопустимым административным издержкам, а также к возникновению серьезной проблемы синхронизации баз данных.

[0012] С учетом вышесказанного, целью настоящего изобретения является устранение одного или более из упомянутых недостатков. В частности, в настоящем изобретении предлагаются способ, устройство, система и соответствующий компьютерный программный продукт для защиты идентификационной информации.

[0013] В первом аспекте настоящего изобретения, согласно примеру осуществления изобретения, эта цель достигается, например, с помощью способа, включающего:

передачу, после успешной регистрации терминала в сетевом объекте, сообщения регистрации, содержащего идентификационную информацию терминала и информацию индикации целостности, указывающую на положительную целостность идентификационной информации терминала.

[0014] В соответствии с уточнениями примера осуществления настоящего изобретения в контексте первого аспекта, изложенного выше,

- способ также включает генерацию сетевым объектом сообщения регистрации;

- сообщение регистрации является либо сообщением начальной регистрации, либо сообщением повторной регистрации, либо сообщением отмены регистрации;

- сетевой объект является усовершенствованным коммутационным центром мобильной связи централизованной службы мультимедийной IP-подсистемы.

[0015] Во втором аспекте настоящего изобретения, согласно примеру его осуществления, предлагается способ, включающий:

после приема сообщения регистрации, содержащего идентификационную информацию терминала и информацию индикации целостности, указывающую целостность идентификационной информации терминала, обработку принятого сообщения регистрации на основе идентификационной информации терминала и информации индикации целостности следующим образом:

i) если целостность указана положительной, процедуру аутентификации терминала не выполняют, или

ii) если целостность указана отрицательной, принятое сообщение регистрации отклоняют без предоставления ключевой информации (информации о ключах), связанной с регистрацией терминала.

[0016] В соответствии с уточнениями примера осуществления настоящего изобретения в контексте второго аспекта, изложенного выше, способ также включает прием сообщения регистрации;

- ключевая информация относится к выполнению безопасной регистрации между терминалом и сетевым объектом управления;

- обработку согласно (i) выполняют, если идентифицирована успешная регистрация терминала, а обработку согласно (ii) выполняют, если принятое сообщение о регистрации идентифицировано как незащищенное;

- информация индикации целостности, указывающая на отрицательную целостность, включает флаг защиты целостности, установленный на значение "нет".

[0017] В соответствии с уточнениями примера осуществления настоящего изобретения в контексте первого и второго аспектов, изложенных выше,

- информация индикации целостности, указывающая на положительную целостность, включает флаг защиты целостности, установленный на значение "да";

- сообщение регистрации является сообщением регистрации по протоколу инициирования сеансов;

- идентификационная информация терминала включает специальный личный идентификатор мультимедийной централизованной службы мультимедийной IP-подсистемы (ICS IMPI, internet protocol (IP) multimedia subsystem (IMS) centralized service internet protocol multimedia private identity).

[0018] В третьем аспекте настоящего изобретения, согласно примеру его осуществления, предлагается устройство, содержащее:

средства для передачи, после успешной регистрации терминала в устройстве, сообщения регистрации, содержащего идентификационную информацию терминала и информацию индикации целостности, указывающую на положительную целостность идентификационной информации терминала.

[0019] В соответствии с уточнениями примера осуществления настоящего изобретения в контексте третьего аспекта, изложенного выше,

- устройство также содержит средства для генерации сообщения регистрации;

- сообщение регистрации является либо сообщением начальной регистрации, либо сообщением повторной регистрации, либо сообщением отмены регистрации;

- устройство представляет собой усовершенствованный коммутационный центр мобильной связи централизованной службы мультимедийной IP-подсистемы.

[0020] В четвертом аспекте настоящего изобретения, согласно примеру его осуществления, предлагается устройство, содержащее:

средства для обработки, после приема сообщения регистрации, содержащего идентификационную информацию терминала и информацию индикации целостности, указывающую целостность идентификационной информации терминала, принятого сообщения регистрации на основе идентификационной информации терминала и информации/ индикации целостности следующим образом:

i) если целостность указана положительной, процедура аутентификации терминала не выполняется, или

ii) если целостность указана отрицательной, принятое сообщение регистрации отклоняется без предоставления ключевой информации, связанной с регистрацией терминала.

[0021] В соответствии с уточнениями примера осуществления настоящего изобретения в контексте четвертого аспекта, изложенного выше,

- ключевая информация относится к выполнению безопасной регистрации между терминалом и сетевым объектом управления;

устройство также содержит средства для приема сообщения регистрации;

- средства для приема выполнены с возможностью приема сообщения регистрации от сетевого объекта управления или от устройства, соответствующего третьему аспекту;

- средства для обработки выполнены с возможностью обработки в соответствии с (i), если идентифицирована успешная регистрация терминала, и в соответствии с (ii), если принятое сообщение регистрации идентифицировано как незащищенное;

- информация индикации целостности, указывающая на отрицательную целостность, включает флаг защиты целостности, установленный на значение "нет";

- устройство реализует обслуживающую функцию управления сеансами вызовов.

[0022] В соответствии с уточнениями примера осуществления настоящего изобретения в контексте третьего и четвертого аспектов, изложенных выше, - информация индикации целостности, указывающая на положительную целостность, включает флаг защиты целостности, установленный на значение "да";

- сообщение регистрации является сообщением регистрации по протоколу инициирования сеансов;

- идентификационная информация, терминала включает специальный личный идентификатор мультимедийной централизованной службы мультимедийной IP-подсистемы;

- сетевой объект управления реализует прокси-функцию управления сеансами вызовов;

- по меньшей мере один или более из таких компонентов, как средства для передачи, средства для генерации, средства для обработки, средства для приема и упомянутое устройство, выполнены в виде набора микросхем или модуля.

[0023] В пятом аспекте настоящего изобретения, согласно примеру его осуществления, предлагается устройство, содержащее:

передатчик, выполненный с возможностью передачи, после успешной регистрации терминала в устройстве, сообщения регистрации, содержащего идентификационную информацию терминала и информацию индикации целостности, указывающую на положительную целостность идентификационной информации терминала.

[0024] В соответствии с уточнениями примера осуществления настоящего изобретения в контексте пятого аспекта, изложенного выше,

- устройство также содержит генератор, выполненный с возможностью генерации сообщения регистрации;

сообщение регистрации является либо сообщением начальной регистрации, либо сообщением повторной регистрации, либо сообщением отмены регистрации;

- устройство представляет собой усовершенствованный коммутационный центр мобильной связи централизованной службы мультимедийной IP-подсистемы.

[0025] В шестом аспекте настоящего изобретения, согласно примеру его осуществления, предлагается устройство, содержащее:

процессор, сконфигурированный для обработки, после приема сообщения регистрации, содержащего идентификационную информацию терминала и информацию индикации целостности, указывающую целостность идентификационной информации терминала, принятого сообщения регистрации на основе идентификационной информации терминала и информации индикации целостности следующим образом:

i) если целостность указана положительной, процедура аутентификации терминала не выполняется, или

ii) если целостность указана отрицательной, принятое сообщение регистрации отклоняется без предоставления ключевой информации, связанной с регистрацией терминала.

[0026] В соответствии с уточнениями примера осуществления настоящего изобретения в контексте шестого аспекта, изложенного выше,

- ключевая информация относится к выполнению безопасной регистрации между терминалом и сетевым объектом управления;

- устройство также содержит приемник, выполненный с возможностью приема сообщения регистрации;

- приемник выполнен с возможностью приема сообщения регистрации от сетевого объекта управления или от устройства, соответствующего пятому аспекту изобретения;

- процессор сконфигурирован для обработки в соответствии с (i), если идентифицирована успешная регистрация терминала, и в соответствии с (ii), если принятое сообщение регистрации идентифицировано как незащищенное;

- информация индикации целостности, указывающая на отрицательную целостность, включает флаг защиты целостности, установленный на значение "нет";

- устройство реализует обслуживающую функцию управления сеансами вызовов.

[0027] В соответствии с уточнениями примера осуществления настоящего изобретения в контексте пятого и шестого аспектов изобретения, изложенных выше,

- информация индикации целостности, указывающая на положительную целостность, включает флаг защиты целостности, установленный на значение "да";

- сообщение регистрации является сообщением регистрации по протоколу инициирования сеансов;

- идентификационная, информация терминала включает специальный личный идентификатор мультимедийной централизованной службы мультимедийной IP-подсистемы;

- сетевой объект управления реализует прокси-функцию управления сеансами вызовов;

по меньшей мере один или более из таких компонентов, как передатчик, генератор, процессор, приемник и упомянутое устройство, выполнены в виде набора микросхем или модуля.

[0028] В седьмом аспекте настоящего изобретения, согласно примеру его осуществления, предлагается система, содержащая:

терминал;

устройство в соответствии с третьим или пятым аспектом изобретения, описанными выше; и

устройство в соответствии с четвертым или шестым аспектом изобретения, описанными выше.

[0029] В восьмом аспекте настоящего изобретения, согласно примеру его осуществления, предлагается компьютерный программный продукт, содержащий код для осуществления шагов способа в соответствии с первым или вторым описанными выше аспектами изобретения, при его выполнении средствами обработки или модулем.

[0030] В девятом аспекте настоящего изобретения, согласно примеру его осуществления, предлагается компьютерная программа, содержащая код для выполнения способа, включающего:

передачу, после успешной регистрации терминала в сетевом объекте, сообщения регистрации, содержащего идентификационную информацию терминала и информацию индикации целостности, указывающую на положительную целостность идентификационной информации терминала.

[0031] В соответствии с десятым аспектом настоящего изобретения предлагается компьютерная программа, содержащая код для выполнения способа, включающего:

после приема сообщения регистрации, содержащего идентификационную информацию терминала и информацию индикации целостности, указывающую целостность идентификационной информации терминала, обработку принятого сообщения регистрации на основе идентификационной информации терминала и информации индикации целостности следующим образом:

i) если целостность указана положительной, процедура аутентификации терминала не выполняется, или

ii) если целостность указана отрицательной, принятое сообщение регистрации отклоняется без предоставления ключевой информации, связанной с регистрацией терминала.

[0032] В связи с этим следует отметить, что примеры осуществления настоящего изобретения предоставляют одну или более из следующих возможностей:

- предоставление функции S-CSCF возможности проверки, является отправитель запроса на регистрацию центром IMSC или нет, путем обеспечения того, что согласно этой концепции только центр IMSC может послать такой запрос с защитой целостности, а через функцию P-CSCF в функцию S-CSCF может прийти только незащищенный запрос на регистрацию (REGISTER) для ICS-пользователей;

- согласно указанному выше, функция S-CSCF может не выполнять авторизацию и аутентификацию, если запрос на регистрацию принят из центра IMSC;

- решение проблемы, обсуждаемой в организациях по стандартизации (например, 3GPP);

- снижение административных сложностей и устранение проблем, связанных с синхронизацией баз данных;

- предоставление IMSC-серверу возможности генерации запроса на регистрацию, который дополнительно содержит, например, специальный идентификатор ICS IMPI.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

[0033] Примеры осуществления настоящего изобретения будут описаны ниже со ссылкой на прилагаемые чертежи:

[0034] на фиг.1 показаны способы защиты идентификационной информации в случае принятия запроса на регистрацию в соответствии с примером осуществления настоящего изобретения;

[0035] на фиг.2 показаны способы защиты идентификационной информации в случае отклонения запроса на регистрацию в соответствии с примером осуществления настоящего изобретения, и

[0036] на фиг.3 показаны устройства (например, центр IMSC 2021 и функция S-CSCF 2023) для защиты идентификационной информации в соответствии с примером осуществления настоящего изобретения.

ПОДРОБНОЕ ОПИСАНИЕ ИЗОБРЕТЕНИЯ

[0037] Ниже будут описаны примеры осуществления настоящего изобретения со ссылкой на прилагаемые чертежи.

[0038] Следует отметить, что в этом описании термины "IMSC, SIP REGISTER, специальный идентификатор ICS IMPI, флаг защиты целостности, флаг защиты целостности = «да» и флаг защиты целостности = «нет» представляют собой примеры следующего: "сетевой объект, сообщение регистрации, идентификационная информация терминала, информация индикации целостности, положительная целостность и отрицательная целостность", соответственно, без ограничения последних терминов техническими деталями или деталями реализации, относящимися к первым терминам.

[0039] На фиг.1 показаны способы защиты идентификационной информации в случае принятия запроса на регистрацию в соответствии с примером осуществления настоящего изобретения, в то время как на фиг.2 показан случай отклонения запроса на регистрацию. Сигнализация между элементами показана в горизонтальном направлении, в то время как временные соотношения могут отражаться посредством расположения последовательности сигнализации по вертикальной оси, а также с помощью порядковых номеров. Следует отметить, что временные аспекты, показанные на фиг.1 и 2, не ограничивают какой-либо из показанных шагов способа изображенной последовательностью шагов. Это применимо, в частности, к шагам способа, которые функционально разделены по отношению друг к другу. На фиг.1 и 2 для простоты описания средства или фрагменты, которые могут выполнять основные функции, обозначены в виде функциональных блоков или стрелок, изображенных с помощью сплошной линии и/или нормального шрифта, а средства или фрагменты, которые могут выполнять дополнительные функции, обозначены в виде функциональных блоков или стрелок, изображенных с помощью пунктирной линии и/или курсива.

[0040] Как показано на фиг.1, система 200 связи может включать терминал или пользовательское устройство (UE, user equipment) 201 и сеть 202. Сеть 202, в свою очередь, может содержать MSC-сервер или центр IMSC 2021 (называемый в этом описании "IMSC"), дополнительный домашний абонентский сервер/домашний регистр местоположения (HSS/HLR, home subscriber server/home location register) 2022 и функцию S-CSCF 2023.

[0041] В качестве подготовительных мер, на дополнительных шагах с S0-1 по S0-3 устройство UE 201, например, может выполнить регистрацию (или подсоединение) в центре IMSC 2021. Кроме того, на дополнительном шаге S1-0a центр IMSC 2021, например, может принять решение о регистрации IMS, принятой от устройства UE 201, а на дополнительном шаге S1-0b центр IMSC 2021, f например, может выполнить обнаружение IMS-адреса, относящегося к устройству UE 201.

[0042] На дополнительном шаге S1-1 центр IMSC 2021, например, может выполнить генерацию сообщения регистрации, содержащего идентификационную информацию терминала (например, специальный идентификатор ICS IMPI) и информацию индикации целостности (например, флаг защиты целостности), указывающую на положительную целостность (подтверждение целостности) идентификационной информации терминала (например, флаг = "да").

[0043] На шаге S1-2 центр IMSC 2021, например, может выполнить передачу, после успешной регистрации (см. дополнительные шаги с S0-1 по S0-3) терминала (например, устройства UE 201) в сетевом объекте (например, в центре IMSC 2021), сообщения регистрации (например, SIP REGISTER).

[0044] Что касается дальнейших уточнений описанного выше способа относительно центра IMSC 2021, то сообщение регистрации может быть либо сообщением начальной регистрации, либо сообщением повторной регистрации, либо сообщением отмены регистрации. Кроме того, сетевой объект может представлять собой усовершенствованный коммутационный центр мобильной связи централизованной службы мультимедийной IP-подсистемы.

[0045] Помимо этого, на дополнительном шаге S2-1 функция S-CSCF 2023, например, может выполнить прием сообщения регистрации, переданного на шаге S1-2.

[0046] Затем на шаге S2-2 функция S-CSCF 2023, после приема сообщения регистрации (например, SIP REGISTER), содержащего идентификационную информацию терминала (например, идентификатор ICS IMPI) и информацию индикации целостности (например, флаг защиты целостности), указывающую целостность идентификационной информации терминала, может, например, выполнить обработку принятого сообщения регистрации на основе идентификационной информации терминала и информации индикации целостности следующим образом:

i) если целостность указана положительной, процедура аутентификации терминала (например, устройства UE 201) не выполняется, или

ii) если целостность указана отрицательной (например, флаг = "нет"), принятое сообщение регистрации отклоняется без предоставления ключевой информации, связанной с регистрацией терминала (не показано на фиг.1).

[0047] В заключение, на дополнительном шаге S0-4 сеть 202, например, может завершить процесс сигнализации регистрации.

[0048] Что касается дальнейших уточнений описанного выше способа относительно функции S-CSCF 2023, то ключевая информация может относиться к выполнению безопасной регистрации между терминалом и сетевым объектом управления (например, функцией P-CSCF 2024, показанной на фиг.2). Кроме того, обработка согласно пункту i) может выполняться, если идентифицирована успешная регистрация терминала, и обработка по пункту ii) может выполняться, если принятое сообщение регистрации идентифицировано как незащищенное. Помимо этого, информация индикации целостности, указывающая отрицательную целостность, может включать флаг защиты целостности, установленный на значение "нет" (не показано на фиг.1).

[0049] Что касается дальнейших уточнений описанного выше способа относительно центра IMSC 2021 и функции S-CSCF 2023, то информация индикации целостности, указывающая на положительную целостность, может включать флаг защиты целостности, установленный на значение "да". Кроме того, сообщение регистрации может представлять собой сообщение регистрации по протоколу инициирования сеансов (SIP, session initiation protocol). Помимо этого, идентификационная информация терминала может включать специальный личный идентификатор мультимедийной централизованной службы мультимедийной IP-подсистемы.

[0050] Как было указано выше, на фиг.2 показаны способы, применяемые в случае отклонения запроса на регистрацию. Как показано на фиг.2, на дополнительном шаге SO-1 устройство UE 201 злоумышленника может, например, попытаться передать поддельный запрос SIP REGISTER, содержащий свой специальный идентификатор ICS IMPI и флаг защиты целостности, установленный на значение "да".

[0051] На дополнительном шаге S0-2 функция P-CSCF 2024 может, например, выполнить прием поддельного запроса SIP REGISTER. На дополнительном шаге S0-3 функция P-CSCF 2024 может, например, выполнить обработку таким образом, чтобы в том случае, если ассоциация безопасности (SA, security association) для принятого специального идентификатора ICS IMPI отсутствует в функции P-CSCF 2024, то запрос REGISTER может быть идентифицирован как принятый вне какого-либо соединения SA или с помощью соединения SA, не связанного со специальным идентификатором ICS IMPI. В этом случае функция P-CSCF 2024 может установить флаг защиты на значение "нет" или удалить этот параметр.

[0052] Кроме того, на дополнительном шаге S0-4 функция P-CSCF 2024 может, например, выполнить передачу запроса SIP REGISTER со специальным идентификатором ICS IMPI устройства UE 201 злоумышленника и флагом защиты целостности, установленным на значение "нет". Запрос SIP REGISTER может быть принят функцией S-CSCF 2021 на описанном выше дополнительном шаге S2-1.

[0053] Затем на шаге S2-2 функция S-CSCF 2023 может, например, выполнить обработку в соответствии с описанным выше пунктом ii).

[0054] В заключение, на дополнительном шаге S0-5 сеть 202 может, например, выполнить отклонение запроса REGISTER устройства UE 201 злоумышленника.

[0055] На фиг.3 показаны устройства (например, центр IMSC 2021 и функция S-CSCF 2023) для защиты идентификационной информации в соответствии с примером осуществления настоящего изобретения. На фиг.3 для простоты описания средства или фрагменты, которые могут выполнять основные функции, обозначены в виде функциональных блоков или стрелок, изображенных с помощью сплошной линии и нормального шрифта, а средства или фрагменты, которые могут выполнять дополнительные функции, обозначены в виде функциональных блоков или стрелок, изображенных с помощью пунктирной линии и курсива.

[0056] Центр IMSC 2021 может содержать процессор CPU (или базовую функциональность (CF, core functionality) 20211, память 20212, передатчик 20213 (или средства для передачи), опциональный приемник 20214 (или средства для приема) и опциональный генератор 20215 (или средства для генерации).

[0057] В свою очередь, функция S-CSCF 2023 может содержать процессор CPU 20231 (или базовую функциональность CF), который также может использоваться как процессор (или средства для обработки), память 20232, дополнительный передатчик 20233 (или средства для передачи) и дополнительный приемник 20234 (или средства для приема).

[0058] Дополнительная функция P-CSCF 2024 может иметь структуру, по существу аналогичную структуре функции S-CSCF 2023.

[0059] Средства 20215 для генерации центра IMSC 2021, показанные пунктирными линиями как расширение функционального блока CPU 20211, могут являться функциональностью, выполняемой в блоке CPU 20211 центра IMSC 2021 или, в альтернативном варианте, могут быть отдельным функциональным объектом или средством;

[0060] Процессоры CPU 20x1 (где x=21 и 23) могут быть соответственно сконфигурированы для обработки различных входных данных и для управления функциями памяти 20х2, средствами 202x3 для передачи и средствами 20х4 для приема (а также средствами 20215 для генерации центра IMSC 20221). В блоках памяти 20x2 может, например, храниться код для осуществления способов, соответствующих примеру осуществления настоящего изобретения, при его выполнении, например, процессорами CPU 20x1. Следует отметить, что средства 20x3 для передачи и средства 20x4 для приема в альтернативном варианте могут быть реализованы в виде соответствующих объединенных приемопередатчиков. Кроме того, следует отметить, что передатчики/приемники могут быть реализованы i) как физические передатчики/приемники для передачи/приема сигналов, например, по радиоинтерфейсу (например, в случае передачи между устройством UE 201 и центром IMSC 2021), ii) как объекты маршрутизации, например, для передачи/приема пакетов данных в сети с коммутацией пакетов (PS, packet switched) (например, между центром IMSC 2021 или функцией P-CSCF 2024 и функцией S-CSCF 2023 при размещении их в виде отдельных сетевых объектов), iii) в виде функциональности для записи информации в заданную область памяти или для чтения информации из заданной области памяти (например, в случае совместных/общих процессоров CPU или блоков памяти в центре IMSC 2021 или функции Р-CSCF 2024 и функции S-CSCF 2023 при размещении их в виде интегрального сетевого объекта (не показано на чертеже)) или iv) в виде любой подходящей комбинации вариантов с i) по iii).

[0061] В качестве подготовительных мер, устройство UE 201 (не показано на чертеже) может выполнить, например, регистрацию (или подсоединение) в центре IMSC 2021. Кроме того, центр IMSC 2021 может принять решение о регистрации IMS, принятой от устройства UE 201, и центр IMSC 2021 может выполнить, например, обнаружение IMS-адреса, относящегося к устройству UE 201 (например, специального идентификатора ICS IMPI).

[0062] Дополнительно, например, средства 20215 для генерации центра IMSC 2021 могут выполнить генерацию сообщения регистрации, содержащего идентификационную информацию терминала (например, специальный идентификатор ICS IMPI) и информацию индикации целостности (например, флаг защиты целостности), указывающую на положительную целостность идентификационной информации терминала (например, флаг = "да").

[0063] Затем, например, средства 20213 для передачи центра IMSC 2021 могут выполнить передачу, после успешной регистрации терминала (например, устройства UE 201) в сетевом объекте (например, непосредственно в центре IMSC 2021), сообщения регистрации (например, SIP REGISTER).

[0064] В альтернативном варианте функция P-CSCF 2024 может, например, выполнить прием поддельного запроса SIP REGISTER и выполнить обработку таким образом, чтобы в том случае, если ассоциация безопасности (SA) для принятого специального идентификатора ICS IMPI отсутствует в функции P-CSCF 2024, то запрос REGISTER может быть идентифицирован как принятый за пределами какого-либо соединения SA или с помощью соединения SA, не связанного со специальным идентификатором ICS IMPI. В этом случае функция P-CSCF 2024 может установить параметр защиты целостности на значение "нет" или удалить этот параметр и выполнить передачу запроса SIP REGISTER со специальным идентификатором ICS IMPI устройства UE 201 злоумышленника и флагом защиты целостности, установленным на значение "нет".

[0065] Что касается дальнейших уточнений относительно центра IMSC 2021, то сообщение регистрации может быть или сообщением начальной регистрации, или сообщением повторной регистрации, или сообщением отмены регистрации. Кроме того, сетевой объект может являться усовершенствованным коммутационным центром мобильной связи централизованной службы мультимедийной IP-подсистемы.

[0066] Дополнительно, средства 20234 для приема в функции S-CSCF 2023 могут, например, выполнить прием сообщения запроса на регистрацию (содержащего, например, параметр защиты целостности = "да"), переданного средствами 20213 для передачи центра IMSC 2021, или сообщение запроса на регистрацию (содержащего, например, параметр защиты целостности = "нет"), переданного функцией P-CSCF 2024.

[0067] Затем, например, средства 20231 обработки в функции S-CSCF 2023, после приема сообщения регистрации (например, SIP REGISTER), содержащего идентификационную информацию терминала (например, специальный идентификатор ICS IMPI) и информацию индикации целостности (например, флаг защиты целостности), указывающую целостность идентификационной информации терминала, могут выполнить обработку принятого сообщения регистрации на основе идентификационной информации терминала и информации индикации целостности следующим образом:

i) если целостность указана положительной, процедура аутентификации терминала (например, устройства UE 201) не выполняется, или

ii) если целостность указана отрицательной (например, флаг = "нет"), принятое сообщение регистрации отклоняется без предоставления ключевой информации, связанной с регистрацией терминала.

[0068] Что касается дальнейших уточнений относительно функции S-CSCF 2023, то ключевая информация может относиться к выполнению безопасной регистрации между терминалом и сетевым объектом управления (например, функцией P-CSCF 2024, показанной на фиг.2). Кроме того, средства для обработки могут быть выполнены с возможностью обработки в соответствии с пунктом i), если идентифицирована успешная регистрация терминала, и в соответствии с пунктом ii), если принятое сообщение регистрации идентифицировано как незащищенное. Помимо этого, информация индикации целостности, указывающая на отрицательную целостность, может включать флаг защиты целостности, установленный на значение "нет".

[0069] Что касается дальнейших уточнений описанного выше способа относительно центра IMSC 20221 и функции S-CSCF 2023, то информация индикации целостности, указывающая на положительную целостность может включать флаг защиты целостности, установленный на значение "да", Кроме того, сообщение регистрации может представлять собой сообщение регистрации по протоколу инициирования сеансов (SIP, session initiation protocol). Помимо этого, идентификационная информация терминала может включать специальный личный идентификатор мультимедийной централизованной службы мультимедийной IP-подсистемы.

[0070] Кроме того, по меньшей мере одно или более из следующих средств: средства 20213 для передачи, средства 20215 для генерации, средства 20231 для обработки, средства 20234 для приема и/или центр IMSC 2021 и/или функция S-CSCF 2023, или соответствующие функциональные блоки, могут быть выполнены в виде набора микросхем или модуля.

[0071] Наконец, настоящее изобретение также относится к системе, которая может содержать терминал или пользовательское устройство, описанный выше центр IMSC 2021 и описанную выше функцию S-CSCF 2023.

[0072] Без ограничения изобретения приводимыми ниже техническими подробностями, вариант его осуществления в целом можно описать следующим образом.

Если ICS-пользователь уже успешно прошел аутентификацию в CS-домене, то для него обеспечивается защита при связи IMS через CS-домен/IMSC-сервер. Таким образом, может использоваться параметр защиты целостности для передачи из MSC-сервера в функцию S-CSCF указания на то, что аутентификацию в IMS можно не выполнять. Предлагается использовать параметр в заголовке авторизации (Authorization header). Подходящим параметром может быть так называемый параметр защиты целостности (integrity-protected).

Если ICS-пользователь осуществляет доступ к подсистеме IMS, например, через IMSC-сервер, то IMSC-сервер должен использовать специальный идентификатор ICS IMPI для регистрации ICS-пользователя с использованием подсистемы IMS (как указано, например, в спецификации 3GPP TS 23.292). В запросе REGISTER параметр защиты целостности в заголовке данных авторизации может быть установлен на значение "да". Это обосновано тем, что пользователь уже прошел аутентификацию в центре IMSC. Если функция S-CSCF принимает запрос REGISTER и распознает специальный идентификатор IMPI и параметр защиты целостности, установленный на значение "да", процедура аутентификации для этого запроса REGISTER может не выполняться. При этом функция S-CSCF всегда может отклонить запрос REGISTER, содержащий специальный идентификатор ICS IMPI, в котором параметр защиты целостности не установлен на значение "да". Функция S-CSCF в случае отклонения никогда не предоставляет ключевой информации, позволяющей устройству UE и функции P-CSCF установить соединение SA для специального идентификатора ICS IMPI.

Поскольку введен параметр защиты целостности, все функции P-CSCF могут удостовериться в том, что, если параметр защиты целостности для запроса REGISTER установлен на значение "да", этот запрос REGISTER принят через ассоциацию безопасности (SA) для идентификатора ICS IMPI, содержащегося в запросе REGISTER. Таким образом, гарантируется, что злоумышленник не сможет использовать параметр защиты целостности. Поскольку функция S-CSCF никогда не предоставит устройству UE и функции P-CSCF ключи для установления соединения SA для специального идентификатора ICS IMPI, функция S-CSCF может только принять запрос REGISTER для специального идентификатора ICS IMPI от центра IMSC, в котором параметр защиты целостности установлен на значение "да". Таким образом, функция S-CSCF может безопасно пропустить выполнение аутентификации для такого запроса REGISTER.

Другими словами, если злоумышленник использует идентификатор ICS IMPI для регистрации с использованием подсистемы IMS, то соединение SA между функцией P-CSCF и устройством UE не может быть установлено, поскольку для этого идентификатора ICS IMPI функция S-CSCF ключи не предоставляет. Таким образом, функция P-CSCF не устанавливает параметр защиты целостности на значение "да" для такого запроса REGISTER, и функция S-CSCF может отклонить такой запрос REGISTER.

Другими словами, предлагается решение, позволяющее функции S-CSCF отклонить запрос без предоставления ключей, если распознан идентификатор ICS IMPI и флаг целостности установлен на значение "нет", и не выполнять процесс аутентификации, если флаг установлен на значение "да" и распознан специальный идентификатор ICS IMPI.

Помимо этого, функция S-CSCF версии 5 может, например, проверить подлинность незащищенного запроса REGISTER, при этом могут быть предоставлены ключи для защиты следующего запроса REGISTER. В этом случае устройство UE может затем включить ответ на проверку в защищенный запрос REGISTER. Функция S-CSCF может окончательно отклонить защищенный запрос REGISTER только в том случае, если ответ от устройства UE неверный. Существуют также другие исключительные варианты обработки защищенного запроса REGISTER. Однако в случае незащищенного запроса REGISTER функция S-CSCF версии 5 может попытаться проверить подлинность запроса, что является частью процедуры аутентификации.

Кроме того, отклонение зависит от определения этого отклонения: например, функция S-CSCF версии 5 может отклонить незащищенный запрос REGISTER с помощью процедуры проверки подлинности (например, код ответа 401, Unauthorized, несанкционированный). Устройство UE затем может ответить на проверку подлинности в следующем запросе REGISTER. Функция S-CSCF с поддержкой ICS-пользователей может отклонить незащищенный запрос REGISTER без проверки подлинности или предоставления ключей (например, код ответа 403, Forbidden (запрещено)). Оба случая можно рассматривать как отклонение, если отклонением считать отрицательный ответ. Функция S-CSCF с поддержкой ICS может использовать специальное отклонение. Для защиты связи между устройством UE и функцией P-CSCF такое специальное отклонение может не предоставлять никаких ключей.

[0073] [Дополнительные примеры]

[0074] Что касается описанного выше изобретения, следует отметить следующее.

- Технологией доступа может быть любая технология, посредством которой пользовательское устройство может выполнять доступ к сети доступа (или к базовой станции, соответственно). Может использоваться любая известная или будущая технология, например, WiMAX (Worldwide Interoperability for Microwave Access, всемирная совместимость для СВЧ доступа) или WLAN (Wireless Local Area Network, беспроводная локальная сеть), BlueTooth, связь в инфракрасной части спектра и т.п., и, хотя указанные выше технологии в основном являются технологиями беспроводного доступа в различных областях радиоспектра, в настоящем изобретении под технологией доступа могут также подразумеваться проводные технологии, например, такие технологии IP-доступа, как кабельные сети или фиксированная линия связи.

- Сетью может являться любое устройство, блок или средство, с помощью которого станция или другое пользовательское устройство может выполнять подключение к службам и/или использовать службы, предоставляемые сетью доступа, причем такие службы включают, помимо прочего, передачу данных и/или (аудио-) визуальной информации, загрузку данных и т.д.

- В общем, настоящее изобретение может применяться для сети/пользовательского устройства, ориентированных на схему пакетной передачи данных, в соответствии с которой данные передаются в пакетах, которые основаны, например, на Интернет-протоколе (IP, Internet Protocol). Настоящее изобретение, однако, этим не ограничено, и могут также применяться любые другие известные или будущие версии IP-протокола или мобильного IP-протокола (MIP, mobile IP), или, в более широком смысле, протокола, реализованного согласно принципам, аналогичным принципам протоколов (M)IPv4/6.

- Пользовательское устройство может представлять собой любое устройство, блок или средство, с помощью которого пользователь системы может получать службы, предоставляемые из сети доступа.

- Шаги способа, предполагаемые для реализации в виде фрагментов программного кода и выполнения процессором в сетевом элементе или терминале (в качестве примеров устройств, оборудования и/или модулей, или примеров объектов, включающих устройства и/или модули), не зависят от программного кода и могут быть определены с помощью любого известного или разработанного в будущем языка программирования, при условии, что сохранится функциональность, определенная шагами способа.

- В общем, любой шаг способа может быть реализован в виде программного или аппаратного обеспечения без изменения идеи изобретения в терминах реализуемой функциональности.

- Шаги способа и/или устройства, блоки или средства, предполагаемые для реализации в виде аппаратных компонентов в центре IMSC и/или функции S-CSCF, или любые модули этих компонентов не зависят от аппаратных средств и могут быть реализованы с помощью любой известной или разработанной в будущем технологии аппаратной реализации или комбинации таких технологий, как MOS (Metal Oxide Semiconductor, металл-оксид-полупроводник), CMOS (Complementary MOS, комплементарный MOS), BiMOS (Bipolar MOS, биполярный MOS), BiCMOS (Bipolar CMOS, биполярный CMOS), ECL (Emitter Coupled Logic, эмиттерно-связанная логика), TTL (Transistor-Transistor Logic, транзисторно-транзисторная логика), с использованием, например, компонентов ASIC (Application Specific Integrated Circuit, специализированная интегральная схема), FPGA (Field-programmable Gate Arrays, программируемая вентильная матрица), CPLD (Complex Programmable Logic Device, сложное устройство с программируемой логикой) или DSP (Digital Signal Processor, цифровой сигнальный процессор). Кроме того, любые шаги способа и/или устройства, блоки или средства, предполагаемые для реализации в виде программных компонентов, могут в альтернативном варианте основываться на любой безопасной архитектуре с возможностью, например, аутентификации, авторизации, использования ключа и/или защиты трафика.

- Устройства, блоки или средства (например, центр IMSC и/или функция S-CSCF, или любые соответствующие средства) могут быть выполнены как отдельные устройства, блоки или средства, однако это не должно исключать их реализации распределенным образом в системе, при условии сохранения функциональности упомянутых устройства, блока или средств.

- Устройство может представлять собой полупроводниковую микросхему, набор микросхем или (аппаратный) модуль, содержащий такую микросхему или набор микросхем, однако это не исключает возможности того, что функции устройства или модуля могут быть реализованы в виде программного обеспечения вместо аппаратного, в (программном) модуле таком, как компьютерная программа или компьютерный программный продукт, содержащий фрагменты исполняемого программного кода, для выполнения/прогона процессором.

- Устройство можно рассматривать как устройство или узел из нескольких устройств, выполняющих функции совместно друг с другом или самостоятельно, но расположенных, например, в одном корпусе.

[0075] Хотя настоящее изобретение описано выше со ссылкой на конкретные варианты его осуществления, оно не ограничено данными вариантами, и возможны различные модификации этих вариантов.

[0076] Для упрощения восприятия приведенного выше описания ниже в таблице содержится обзор используемых аббревиатур.

1. Способ передачи сообщений, включающий:
передачу после успешной регистрации терминала в сетевом объекте сообщения регистрации, содержащего идентификационную информацию терминала и информацию индикации целостности, указывающую на положительную целостность идентификационной информации терминала.

2. Способ по п.1, включающий генерацию сетевым объектом сообщения регистрации.

3. Способ по п.1, отличающийся тем, что сообщение регистрации является или сообщением начальной регистрации, или сообщением повторной регистрации, или сообщением отмены регистрации.

4. Способ по любому из пп.1-3, отличающийся тем, что информация индикации целостности, указывающая положительную целостность, включает флаг защиты целостности, установленный на значение "да".

5. Способ по любому из пп.1-3, отличающийся тем, что сообщение регистрации является сообщением регистрации по протоколу инициирования сеансов.

6. Способ по любому из пп.1-3, отличающийся тем, что идентификационная информация терминала включает личный идентификатор мультимедийной централизованной службы мультимедийной IP-подсистемы.

7. Способ обработки принятого сообщения, включающий:
после приема сообщения регистрации, содержащего идентификационную информацию терминала и информацию индикации целостности, указывающую целостность идентификационной информации терминала, обработку принятого сообщения регистрации на основе идентификационной информации терминала и информации индикации целостности таким образом, что процедура аутентификации терминала не выполняется в том случае, если целостность указана положительной.

8. Способ по п.7, включающий прием сообщения регистрации.

9. Способ по п.7 или 8, отличающийся тем, что информация индикации целостности, указывающая положительную целостность, включает флаг защиты целостности, установленный на значение "да".

10. Способ по п.7 или 8, отличающийся тем, что сообщение регистрации является сообщением регистрации по протоколу инициирования сеансов.

11. Способ по п.7 или 8, отличающийся тем, что идентификационная информация терминала включает личный идентификатор мультимедийной централизованной службы мультимедийной IP-подсистемы.

12. Устройство для передачи сообщений, содержащее:
средства для передачи после успешной регистрации терминала в устройстве сообщения регистрации, содержащего идентификационную информацию терминала и информацию индикации целостности, указывающую на положительную целостность идентификационной информации терминала.

13. Устройство по п.12, включающее средства для генерации сообщения регистрации.

14. Устройство по п.12, отличающееся тем, что сообщение регистрации является либо сообщением начальной регистрации, либо сообщением повторной регистрации, либо сообщением отмены регистрации.

15. Устройство по п.12, отличающееся тем, что оно представляет собой усовершенствованный коммутационный центр мобильной связи централизованной службы мультимедийной IP-подсистемы.

16. Устройство по любому из пп.12-15, отличающееся тем, что информация индикации целостности, указывающая положительную целостность, включает флаг защиты целостности, установленный на значение "да".

17. Устройство по любому из пп.12-15, отличающееся тем, что сообщение регистрации является сообщением регистрации по протоколу инициирования сеансов.

18. Устройство по любому из пп.12-15, отличающееся тем, что идентификационная информация терминала включает личный идентификатор централизованной службы мультимедийной IP-подсистемы.

19. Устройство по любому из пп.12-15, отличающееся тем, что по меньшей мере одно из следующего: средства для генерации, средства для передачи средства и устройство, выполнено в виде набора микросхем или модуля.

20. Устройство для обработки принятого сообщения, содержащее:
средства для обработки после приема сообщения регистрации, содержащего идентификационную информацию терминала и информацию индикации целостности, указывающую целостность идентификационной информации терминала, принятого сообщения регистрации на основе идентификационной информации терминала и информации индикации целостности таким образом, что, если целостность указана положительной, процедура аутентификации терминала не выполняется.

21. Устройство по п.20, включающее средства для приема сообщения регистрации.

22. Устройство по п.20, отличающееся тем, что оно реализует обслуживающую функцию управления сеансами вызовов.

23. Устройство по любому из пп.20-22, отличающееся тем, что информация индикации целостности, указывающая положительную целостность, включает флаг защиты целостности, установленный на значение "да".

24. Устройство по любому из пп.20-22, отличающееся тем, что сообщение регистрации является сообщением регистрации по протоколу инициирования сеансов.

25. Устройство по любому из пп.20-22, отличающееся тем, что идентификационная информация терминала включает личный идентификатор централизованной службы мультимедийной IP-подсистемы.

26. Устройство по любому из пп.20-22, отличающееся тем, что по меньшей мере одно из следующего: средства для обработки, средства для приема и устройство, выполнено в виде набора микросхем или модуля.

27. Система связи, содержащая:
терминал;
устройство по любому из пп.12-19 и
устройство по любому из пп.20-26.

28. Машиночитаемый носитель, содержащий код для осуществления шагов способа по любому из пп.1-6 при его выполнении средствами обработки или модулем.

29. Машиночитаемый носитель, содержащий код для осуществления шагов способа по любому из пп.7-11 при его выполнении средствами обработки или модулем.