[发明专利]用于提高通信系统中的安全的措施

说明书

技术领域

本发明涉及通信系统中的安全的提高。具体地讲，本发明涉及一种用于提供对通信系统(诸如3GPP通信系统)中的两个对等实体之间的连接进行操作的安全性的方法、通信设备、中间设备、系统和计算机程序产品。

背景技术

近几年，通信技术已在用户数量和用户对电信服务的使用量方面广泛普及。这也导致了不同技术和所使用的技术构思的数量的增加。

一方面在于在总的通信系统框架内网络、技术和服务的不统一性。这样的网络的示例例如可以包括GSM(全球移动通信系统)、GPRS(通用分组无线服务)、UMTS(通用移动电信服务)。在这样的通信布置中，多个服务提供商基本地为在他那注册的用户提供了通信或信息服务。今天，然而，存在许多安全相关和/或用户相关的服务，这些服务规定了通信系统中的诸如认证和授权强制的安全方面。例如，许多将来的互联网(IP)服务或移动通信服务也将需要这样的功能。如果用户例如想使用另一服务提供商的安全相关服务，则该用户必须对他自己进行认证和/或授权。

传统上，在通信网络“的顶部”构建用于执行如上所述的这样的功能的专用网络，通常称该专用网络为AAA(授权、认证和计帐)网络。如此实现的功能(像系统访问和数据库查询)可在特定的分离的AAA节点中发生，但是实际上，通常在底层通信系统的节点内实现这些节点，这样具有联合使用硬件从而降低成本的优点。

AAA技术的使用作为益处提供了增加的灵活性和控制、可扩展性和标准化认证方法的使用。然而，还需要专用的安全和路由协议用于正确地执行AAA功能和对与AAA功能相关的各消息进行路由。技术人员已知的这样的标准化AAA协议的示例包括RADIUS(远程访问拨入用户服务)、TACACS+(终端访问控制器访问系统)和Kerberos，所述RADIUS由IETF(互联网工程任务组)进行标准化。这些协议用于主要从外部对AAA网络进行拨号和终端服务器访问。作为示例，在另一服务提供商而非用户自己的提供商的域中漫游的用户必须在这个域内对他自己进行认证。因此，他将请求可能与密码一起或者可能像密码的请求发送到他的归属域内的AAA节点以用于为他提供需要的服务。

这种类型的另一协议是称作“直径(Diameter)”的AAA协议。“直径”由IETF定义。不同种类的访问技术和应用可利用”直径”基础协议的性能，并发送/接收它们的特定的AAA消息。

“直径”基础协议为AAA功能和AAA消息的路由提供面向会话和非面向会话的框架。在许多方面，“直径”协议类似于现在普遍使用的询问响应类型的RADIUS协议。由IETF RFC3588(”直径”基础协议)在2003年9月版本中定义的术语将形成在进一步描述中使用的术语的基础。

在这种背景下，应该指出，在本应用中，将连接理解为两个对等实体之间的用于交换各自消息(比如，“直径”消息)的传输级链接。将对等实体理解为包括终端设备的网络节点，特定节点、服务器或通信设备(也称为对等实体)具有与所述对等实体的直接传输连接。

“直径”基础协议，以下仅称作“直径”，例如用在3GPP IP多媒体子系统(IMS)中，特别是用在其中所定义的Cx、Dx、Sh、Th、Ro和Rf接口上。

为了提供安全特征，特别是提供网络和传输级安全特征，“直径”基本地依赖于IPSec(互联网协议安全协议)或TLS(传输层安全协议)，这两个协议都是本领域的技术人员公知的安全协议。从而，提供了用于对“直径”连接的通信实体(以下称为“直径”对等实体)进行认证的方法。因而，这样的方法的使用确保了只有信任的(即，认证的)对等实体能够交换消息。在以上所提及的RFC3588中还可找到关于“直径”安全问题的更多细节。

与Sh参考点(如在比如2004年12月的3GPP规范TS 29.328，V6.4.0中具体说明)相关的“直径”应用以所谓的AS许可列表为特征，所述AS许可列表用于控制Sh参考点上的操作。每个应用服务器AS具有它自己的许可集，通过它的“直径”身份对它进行标识。(这个“直径”身份包括在作为每个“直径”消息的必选部分的原始主机AVP中。)在AS许可列表中，定义了系统中存在的多个单个应用服务器和许可给每个应用服务器的特定操作之间的关联。各许可应用于归属客户服务器所服务的所有用户，因而它们不是用户专用的。