登记之前的安全的且已鉴权的会话层路径的建立.pdf

一种用于在用户设备与诸如服务呼叫会话控制功能的安全性代理之间建立安全的且已鉴权的会话层路径的系统和方法。在向安全性代理登记之前，在用户设备节点建立通信会话。用户设备在向安全性代理登记之前，通过通信会话来从安全性代理预订事件包。通过从用户设备节点向安全性代理并且因此向服务呼叫会话控制功能的通信会话，根据预订来建立安全的且已鉴权的会话层路径。在用户设备节点，根据由安全的且已鉴权的会话层路径提供的鉴权，通过该安全的且已鉴权的会话层路径，始发会话发起协议会话。

1.  一种用于在用户设备装置与安全性代理之间建立安全的且已鉴权的会话层路径的方法，所述方法包括：
在向所述安全性代理登记之前，从所述用户设备装置向所述安全性代理传送会话发起协议请求而不是登记请求；
响应于传送所述会话发起协议请求，接收会话发起协议质询响应消息；以及
在向所述安全性代理登记之前，使用鉴权响应从所述用户设备装置来对述会话发起协议质询响应消息进行响应，所述鉴权响应包含足以向所述安全性代理鉴权所述用户设备装置并且足以在所述用户设备装置与所述安全性代理之间创建安全的且已鉴权的会话层路径的信息。

2.  根据权利要求1所述的方法，其中，所述安全的且已鉴权的会话层路径被配置为按照IP多媒体子系统协议来传递数据，并且其中，所述安全性代理包括服务呼叫会话控制功能。

3.  根据权利要求1所述的方法，还包括：
在所述用户设备装置，在向所述安全性代理登记之前，通过所述安全的且已鉴权的会话层路径从所述安全性代理预订事件包，以将所述安全的且已鉴权的会话层路径的生存期扩展到由所述会话发起协议请求发起的会话的生存期之外。

4.  根据权利要求3所述的方法，其中，所述传送包括传送会话发起协议邀请请求。

5.  根据权利要求3所述的方法，其中，所述预订包括传送会话发起协议预订请求，所述会话发起协议预订请求包含与所述用户设备装置相关联的至少一个通用资源标识符，所述方法还包括：
响应于所述会话发起协议预订请求，从所述安全性代理接收会话发起协议通知消息，所述会话发起协议通知消息包括用于所述用户设备装置的所有被授权的通用资源标识符的列表和所述安全的且已鉴权的会话层路径的生存期的至少一个。

6.  根据权利要求1所述的方法，其中，所述会话发起协议请求包括对于来自所述安全性代理的事件包的会话发起协议预订请求，所述方法还包括：
响应于所述会话发起协议预订请求，从所述安全性代理接收会话发起协议通知消息，所述会话发起协议通知消息包括用于所述用户设备装置的所有被授权的通用资源标识符的列表和所述安全的且已鉴权的会话层路径的生存期的至少一个。

7.  根据权利要求1所述的方法，还包括：在所述用户设备装置，根据由所述安全的且已鉴权的会话层路径提供的鉴权，通过所述安全的且已鉴权的会话层路径传递会话发起协议请求，所述传递包括传送和接收所述会话发起协议请求的至少一个。

8.  根据权利要求7所述的方法，其中，在建立所述安全的且已鉴权的会话层路径之前，所述用户设备装置已经通过第一边缘代理服务器与所述安全性代理建立了预先建立的安全的且已鉴权的会话层路径，并且所述用户设备装置通过所述预先建立的安全的且已鉴权的会话层路径来保持与所述安全性代理的现有的会话发起协议通信会话，其中，所述安全的且已鉴权的会话层路径通过第二边缘代理在所述用户设备装置与所述安全性代理之间传递数据，并且其中，所述传递包括：
通过第二边缘代理来向所述安全性代理传送具有替代消息的会话发起协议邀请，其中，所述具有替代消息的会话发起协议邀请使用通过所述安全的且已鉴权的会话层路径操作的新的会话发起协议通信会话来替代现有的会话发起协议通信会话。

9.  一种用于在安全性代理与用户设备装置之间建立IP多媒体子系统会话的方法，所述方法包括：
在所述安全性代理，从所述用户设备装置接受会话发起协议请求而不是登记请求；
通过向所述用户设备装置发送质询响应消息来对所述会话发起协议请求进行响应；
在所述安全性代理，从用户设备装置接受鉴权响应，所述鉴权响应包含足以鉴权所述用户设备装置的信息；以及
根据所述鉴权响应，在所述安全性代理与所述用户设备装置之间建立安全的且已鉴权的会话层路径。

10.  根据权利要求9所述的方法，还包括：
在向所述安全性代理登记之前，通过所述安全的且已鉴权的会话层路径，在所述安全性代理从所述用户设备装置接收对于来自安全性代理的事件包的预订请求，以将所述安全的且已鉴权的会话层路径的生存期扩展到由所述会话发起协议请求发起的会话的生存期之外，其中，所述事件包包括用于定义所述安全的且已鉴权的会话层路径的信息。

11.  根据权利要求10所述的方法，其中，所述接收包括：接收会话发起协议预订请求，该会话发起协议预订请求包含与所述用户设备装置相关联的至少一个通用资源标识符，所述方法还包括：
响应于所述会话发起协议预订请求，从所述安全性代理传送会话发起协议通知消息，所述会话发起协议通知消息包括用于所述用户设备装置的所有被授权的通用资源标识符的列表和所述安全的且已鉴权的会话层路径的生存期的至少一个。

12.  根据权利要求9所述的方法，其中，所述会话发起协议请求包括会话发起协议预订请求，该会话发起协议预订请求包含与所述用户设备装置相关联的至少一个通用资源标识符，并且其中，所述方法还包括：
响应于所述建立并且在所述用户设备装置的登记之前，向所述用户设备装置传送会话发起协议通知消息；以及
在接受到所述鉴权响应之后并且在所述用户设备装置的登记之前，在所述安全性代理，通过所述安全的且已鉴权的会话层路径从所述用户设备装置接受会话发起协议会话请求。

13.  根据权利要求12所述的方法，其中，在建立所述安全的且已鉴权的会话层路径之前，所述用户设备装置已经通过第一边缘代理与所述安全性代理建立了预先建立的安全的且已鉴权的会话层路径，并且所述用户设备装置通过所述预先建立的安全的且已鉴权的会话层路径来保持与所述安全性代理的现有的会话发起协议通信会话，其中，所述安全的且已鉴权的会话层路径通过第二边缘代理来在所述用户设备装置与所述安全性代理之间传递数据，并且其中，所述会话发起协议会话请求包括具有替代消息的会话发起协议邀请，其中，所述具有替代消息的会话发起协议邀请使用通过所述安全的且已鉴权的会话层路径操作的新的会话发起协议通信会话来替代所述现有的会话发起协议通信会话。

14.  根据权利要求13所述的方法，还包括：从所述第二边缘代理接受对于所述会话发起协议事件包的会话发起协议预订请求，并且响应于从所述第二边缘代理接受到所述会话发起协议预订请求而发送第二会话发起协议通知消息，其中，所述第二会话发起协议通知消息包括与所述用户设备装置相关联的所有被授权的通用资源标识符的列表和所述安全的且已鉴权的会话层路径的生存期的规范的至少一个。

15.  根据权利要求13所述的方法，其中，所述安全的且已鉴权的会话层路径被配置为按照所述IP多媒体子系统协议来传递数据，其中，所述安全性代理包括服务呼叫会话控制功能，并且其中，所述第二边缘代理包括代理呼叫会话控制功能。

16.  一种用于无线数据通信系统的用户设备装置，所述用户设备装置包括：
通信会话控制器，适于在向安全性代理登记之前，向所述安全性代理传送会话发起协议请求而不是登记请求，
所述通信会话控制器还适于，在向所述安全性代理登记之前，使用鉴权响应来对会话发起协议质询响应消息进行响应，所述鉴权响应包含足以向所述安全性代理鉴权所述用户设备装置并且足以在所述用户设备装置与所述安全性代理之间创建安全的且已鉴权的会话层路径的信息，其中，所述会话发起协议质询响应消息是响应于所述传送而从所述安全性代理发送。

登记之前的安全的且已鉴权的会话层路径的建立
相关申请的交叉引用
本申请要求于2006年10月12日提交的、序列号为60/829,164号、题目为“Pre-registration Secure and Authenticated Session Layer PathEstablishment(登记之前的安全的且已鉴权的会话层路径的建立)”的临时申请的优先权，该临时申请被共同拥有，并且其通过引用被整体合并于此。
技术领域
本发明总体上涉及数据通信的领域，具体地涉及鉴权用户设备，并且控制用户设备对于网络服务的访问。
背景技术
当前的IP多媒体子系统(IMS)规范不有效地支持会话移动性。由于在可以发送INVITE(邀请)或者任何其他的SIP请求之前非常依赖于执行SIP登记，因此在当前的IMS规范下阻碍了会话移动性。对于IMS，在未预先登记用户设备联系地址的情况下，不能发送INVITE以始发或者刷新会话。但是，新的联系地址的登记使得旧的联系地址被取消登记，并且如果存在使用旧的联系地址的有效会话，则立即释放那些有效会话。这产生了鸡和蛋的问题。为了诸如经由目标刷新或者具有替代操作的INVITE来将IMS会话移动到新的联系地址，必须首先登记那个联系地址，其继而使得会话被释放。
在当前的IMS实现方式内的REGISTER(登记)操作用于执行下面的功能：1)鉴权；2)登记记录地址与联系地址的绑定；3)创建用于快速建立未来会话的安全路径；以及4)创建登记事件，其可以被UE或者P-CSCF针对当前的登记状态预订。
通过REGISTER操作来执行这这些多个功能产生在IMS登记与IMS安全性之间的较强的耦合。这个耦合向IMS用户对于IM核心的访问施加了下面的限制：1)IMS用户不能使用未登记的公共用户身份来始发IMS会话或者发送用于此事项的任何其他SIP请求；2)在未首先登记新的联系地址的情况下，IMS用户不能使用那个联系地址来发起IMS会话或者发送SIP请求；以及，3)IMS核心不能独立于用户的登记状态来管理IMS用户的访问安全性。最末的限制导致不期望的副作用，诸如当它使用的公共用户身份被取消登记或者使用新的联系地址被重新登记时，释放会话。
因此，需要克服如上所述的现有技术的问题。
发明内容
简而言之，根据本发明的一个方面，一种用于在用户设备节点与安全性代理之间建立安全的且已鉴权的会话层路径的方法包括：在向所述安全性代理登记之前，从所述用户设备节点向所述安全性代理传送会话发起协议请求而不是REGISTER请求。所述方法还包括：在向所述安全性代理登记之前，从所述用户设备节点使用鉴权响应来对会话发起协议质询响应消息进行响应，所述鉴权响应包含足以向所述安全性代理鉴权所述用户设备节点并且足以在所述用户设备节点与所述安全性代理之间创建安全的且已鉴权的会话层路径的信息。所述会话发起协议质询响应消息是响应于所述传送而从所述安全性代理被发送的。
根据本发明的另一个方面，一种用于无线数据通信系统的用户设备装置包括：通信会话控制器，其适于在向安全性代理登记之前，向所述安全性代理传送会话发起协议请求而不是REGISTER请求。所述通信会话控制器还适于，在向所述安全性代理登记之前，使用鉴权响应来对会话发起协议质询响应消息进行响应，所述鉴权响应包含足以向所述安全性代理鉴权所述用户设备节点并且足以在所述用户设备节点与所述安全性代理之间创建安全的且已鉴权的会话层路径的信息，其中，所述会话发起协议质询响应消息是响应于所述传送而从所述安全性代理被发送的。
根据本发明的另一个方面，一种用于在安全性代理与用户设备节点之间建立IP多媒体子系统会话的方法包括：在所述安全性代理，从所述用户设备节点接受会话发起协议请求而不是REGISTER请求。所述方法也包括：通过向所述用户设备节点发送质询响应消息来对所述会话发起协议请求进行响应。所述方法还包括：在所述安全性代理，从用户设备节点接受鉴权响应，该鉴权响应包含足以鉴权所述用户设备节点的信息。所述方法也包括：根据所述鉴权响应，在所述安全性代理与所述用户设备节点之间建立安全且已鉴权的会话层路径。
附图说明
附图用于进一步说明各个实施例，并且用于解释所有根据本发明的各种原理和优点，其中，在分立的视图内，相同的附图标记表示相同或者功能上类似的元素，并且所述附图与下面的详细说明一起被包含在说明书内并且形成说明书的一部分。
图1图示出根据本发明的一个实施例的、与无线会话发起协议(SIP)数据网络操作的无线数据通信装置的框图。
图2图示出根据本发明的一个实施例的、用于IP多媒体子系统(IMS)会话的基于预订的会话发起处理的处理流程图。
图3图示出根据本发明的一个实施例的基于预订的会话发起切换的处理流程图。
图4图示出根据本发明的一个实施例的、用于IP多媒体子系统(IMS)会话的基于预订的会话发起切换消息交换图。
图5图示出根据本发明的一个实施例的、安全性代理的安全的且已鉴权的会话层路径建立处理。
图6图示出根据本发明的一个实施例的安全性代理处理器的框图。
图7图示出根据本发明的一个实施例的用户设备(UE)处理器。
具体实施方式
按照要求，在此公开本发明的详细实施例；但是，应当明白，所公开的实施例仅仅是本发明的示例，其可以被体现为各种形式。因此，在此公开的具体结构和功能细节将不被解释为限定性的，而是仅仅作为权利要求的说明性示例，并且作为用于教授本领域内的技术人员来以实际上任何适当的详细结构不同地使用本发明的代表性基础。此外，在此使用的术语和短语不意图进行限制，而是提供本发明实施例的可理解的说明。
在此使用的术语“一个”被定义为一个或超过一个。在此使用的术语“多个”被定义为两个或者超过两个。在此使用的术语“另一个”被定义为至少第二个或者更多。在此使用的术语“包括”和/或“具有”被定义为包含(即开放语言)。在此使用的术语“耦合”被定义为连接，但是不必是直接连接，并且不必是机械连接。
图1图示出根据本发明的一个实施例的、与无线会话发起协议(SIP)数据网络100操作的无线数据通信装置的框图。这个示例的无线SIP数据网络100包括安全性代理112，其与登记器114通信。在该图示中的安全性代理112和登记器对应于IMS实现方式的服务呼叫会话控制功能116。一个实施例的安全性代理112连接到一个或多个边缘代理装置，诸如第一边缘代理108和第二边缘代理110。一个实施例的边缘代理装置向诸如第一天线塔104和第二天线塔106之类的天线塔传递数据，以向一个或多个用户设备装置无线地传递那个数据。所图示的边缘代理装置对应于IMS实现方式的代理呼叫会话控制功能装置。
所图示的示例示出了两个边缘代理，其能够与无线通信用户设备(UE)装置或者节点102进行通信。一个实施例的UE设备102对应于IMS实现方式的UE节点。虽然图示出无线通信系统的使用，但是本发明的另外的实施例使用有线连接或者有线和无线连接的组合来操作，以在用于向UE节点提供数据通信服务的多个边缘代理之间形成多个连接。
在无线SIP数据网络100的所图示的示例中，第一天线塔104连接到第一边缘代理108，第一边缘代理108对应于用于IMS实现方式的第一代理呼叫会话控制功能(P-CSCF)。第二天线塔106连接到第二边缘代理110，第二边缘代理110对应于第二代理呼叫会话控制功能(P-CSCF)。根据用于IMS基础结构的常规体系结构，P-CSCF与服务呼叫会话控制功能(S-CSCF)116通信，所述S-CSCF 116包含安全性代理112和登记器114。虽然仅仅两个P-CSCF被图示为与S-CSCF 116通信，但是，可以明白，多个P-CSCF能够与S-CSCF通信，并且多个天线塔能够与每个P-CSCF通信，如对于IMS基础结构体系结构当前定义的那样。在本发明的一些实施例中，边缘代理的一些，例如IMS实现方式的P-CSCF或者实现其他网络通信标准的等同处理器，是被访问的网络的一部分，如对于常规的SIP或者IMS基础结构所定义的那样。
UE设备102能够建立与第一天线塔104的第一无线通信连接120和与第二天线塔106的第二无线通信连接122。这些无线通信连接的每个能够在UE设备102与每个相应的天线塔之间传递用于传送SIP和/或IMS会话和服务的数字数据。这个示例的UE设备102能够通过边缘代理相应的天线塔与边缘代理，例如第一边缘代理108和第二边缘代理110，的任何一个或者两者建立IMS连接和会话。所述边缘代理然后与S-CSCF116的安全性代理112和登记器114传递这个数据。这些IMS连接能够支持例如各种数字通信协议，诸如由会话发起协议(SIP)控制的会话。
本发明的一个实施例通过下述方式来发起配置与S-CSCF 116的IMS会话：通过与预订事件包相结合来建立到S-CSCF 116的已鉴权的且安全的会话层路径。本发明的一些实施例通过预订具体标识的事件包来建立这些连接。事件包的示例包括具体定义的“安全事件包”、常规REGISTER事件包或者任何其他适当的包，其中，由用户设备(UE)结合与S-CSCF 116建立安全的且已鉴权的会话层路径而预订所述事件包，并且通过其可以发起IMS和/或SIP服务。本发明的另外实施例能够与建立到诸如S-CSCF 116的安全性代理的安全的且已鉴权的会话层路径相结合地预订任何适当的事件包。在一个实施例中，安全事件包是唯一的事件包，其与建立在登记之前建立的安全的且已鉴权的会话层路径相关联。
本发明的又一些实施例能够通过将S-CSCF配置为通过发送作为质询响应消息的“401未授权”的消息来对诸如INVITE方法的任何SIP会话始发方法进行响应，以在UE装置与S-CSCF之间建立安全的且已鉴权的会话级路径。这导致配置时间限制的已鉴权会话，其持续时间等于UE设备的鉴权的时间。除了对应于INVITE方法的会话的持续时间的安全的和且已鉴权的会话级路径的配置之外，本发明的这些实施例还在向安全性代理登记之前通过安全的且已鉴权的会话层路径从安全性代理112预订事件包。一个实施例通过向安全性代理112发送SIP预订请求来进行预订。这些实施例的安全性代理112被配置为通过下述方式而响应所述预订请求：将安全的且已鉴权的会话层路径的生存期扩展到由会话发起协议INVITE请求或者其他预先发送的SIP请求发起的会话的生存期之外。一个实施例通过下述方式来响应于这个预订请求：发送会话发起协议通知消息，其包含用于那个UE设备102的所有被授权的通用资源标识符的列表和所述安全的且已鉴权的会话层路径的生存期。
图2图示出根据本发明的一个实施例的、用于IP多媒体子系统(IMS)会话的基于预订的会话发起处理200的处理流程图。所述基于预订的会话发起处理流200通过下述方式而开始：在步骤202通过第一边缘代理108在UE设备102与诸如在S-CSCF 116内包括的安全性代理112之间建立不安全的和未鉴权的通信会话层路径。一个实施例通过下述方式来建立该通信会话：通过常规手段配置与天线塔的无线通信连接，诸如到天线塔104的无线通信连接120。然后能够按照本讨论修改的常规的IMS协议，通过等同于第一P-CSCF的第一边缘代理108向S-CSCF 116传递通过那个无线连接而传递的数据。
基于预订的会话发起处理200通过下述方式继续：UE设备102在步骤204针对事件包向在S-CSCF 116内的安全性代理112发送诸如会话发起协议SUBSCRIBE请求的预订请求。在一个实施例中，所述预订请求被传递到诸如边缘代理108的P-CSCF，并且那个P-CSCF的处理将所述SUBSCRIBE请求转发到诸如S-CSCF 116的适当的S-CSCF。本发明的一个实施例允许在向S-CSCF 116登记UE设备102之前，由S-CSCF 116发送和接受IMS预订请求。
基于预订的会话发起处理200通过下述方式继续：在步骤206根据预订请求在UE设备102与S-CSCF 116(具体而言是安全性代理112)之间建立安全的且已鉴权的会话层路径。下面进一步详细地描述与建立该安全的且已鉴权的会话层路径相关联的消息交换和处理。本发明的一个实施例允许在向S-CSCF 116登记UE设备102之前，建立安全的且已鉴权的会话层路径。
在已经建立了到在S-CSCF 116内包括的安全性代理112的安全的且已鉴权的会话层路径后，基于预订的会话发起处理200通过下述方式继续：在步骤208由UE设备102通过那个安全的且已鉴权的会话层路径而始发IMS服务请求。本发明的一个实施例的由UE设备102始发的IMS服务请求的示例包括通过会话发起协议(SIP)交换而发起和保持的通信会话。本发明的一个实施例允许SIP REGISTER消息以及INVITE、SUBSCRIBE和其他这样的消息。
图3图示出根据本发明的一个实施例的、基于预订的会话发起切换300的处理流程图。基于预订的会话发起切换300通过下述方式开始：在步骤302，通过第一边缘代理108在现有的安全的且已鉴权的会话层路径上建立在UE设备102与诸如在S-CSCF 116内包括的安全性代理112之间的第一通信会话。基于预订的会话发起切换300然后在步骤304，在通过第二边缘代理110向登记器114登记UE设备之前，通过第二边缘代理110在UE设备102与安全性代理112之间建立安全的且已鉴权的会话层路径。本发明的一个实施例按照基于预订的会话发起处理200来建立该路径。如上所述，本发明的一个实施例允许用户设备在用户设备向S-CSCF登记之前建立与S-CSCF的通信会话。
在基于预订的会话发起切换300的步骤306，UE设备102通过第二边缘代理110使用安全的且已鉴权的会话层路径来向安全性代理112发送对于事件包的预订请求。如上所述，并且如下更详细所述，向安全性代理112预订事件包允许UE装置通过那个边缘代理来发送和接收SIP会话请求。在一个实施例中，该预订请求包括SIP SUBSCRIBE消息，其指定与UE设备节点102相关联的至少一个通用资源指示符(URI)。
在基于预订的会话发起切换300的步骤308，UE设备102从在S-CSCF 116内包括的安全性代理112接收NOTIFY(通知)消息，其指定安全的且已鉴权的会话层路径的参数。在一个实施例中，该NOTIFY消息包括例如UE装置被授权使用的所有的URI(包括隐含地鉴权的URI)、安全的且已鉴权的会话层路径的生存期和其他这样的信息。
一旦UE设备102已经预订了事件包并且已经接收到NOTIFY消息，则在基于预订的会话发起切换300的步骤310，UE设备102通过安全的且已鉴权的会话层路径发送SIP服务请求，以使用第二边缘代理110将第一通信会话切换为使用安全的且已鉴权的会话层路径。该SIP服务请求例如包括具有替代消息的SIP邀请，用于将IMS服务会话切换为通过新建立的安全的且已鉴权的会话层路径而操作。在发送了该IMS服务请求之后，基于预订的会话发起切换300在步骤312通过第二边缘代理110在安全的且已鉴权的会话层路径上保持第一通信会话，例如IMS服务会话。在一个实施例中，UE设备102能够通过第一边缘代理108或者第二边缘代理110来发起或者终止与S-CSCF 116的通过安全的且已鉴权的会话层路径的任何SIP会话。而且，UE设备能够通过第一边缘代理108来终止安全的且已鉴权的会话层路径，并且仅仅继续通过第二边缘代理110经由安全的且已鉴权的会话层路径到安全性代理112和S-CSCF116的通信。
图4图示出根据本发明的一个实施例的、用于IP多媒体子系统(IMS)会话的基于预订的会话发起切换消息交换400图。基于预订的会话发起切换消息交换400图示出，当时间沿着垂直轴向下进行时在用户设备(UE)装置402、代理呼叫会话控制功能(P-CSCF)404和服务器呼叫会话控制功能(S-CSCF)406之间发生的通信会话控制消息交换。
当UE设备402上电并且试图向IMS网络预订时，基于预订的会话发起切换消息交换400开始。UE设备402向P-CSCF 404传送未受保护的SUBSCRIBE请求412，P-CSCF 404将请求414转发到适当的S-CSCF 406。响应于接收到SUBSCRIBE请求414，S-CSCF通过质询416 UE设备402来进行响应。该交换导致在UE设备402与P-CSCF 404之间建立临时安全性关联(SA)418。一旦建立了该临时安全性关联，则基于预订的会话发起切换消息交换400继续，UE设备402以包括鉴权响应的安全性响应420来进行响应。UE设备402然后向P-CSCF 404发送受保护的SUBSCRIBE请求422，该P-CSCF 404向适当的S-CSCF406转发受保护的SUBSCRIBE请求424。S-CSCF鉴权425 UE设备402，并且不对于UE设备402对于该S-CSCF或者其他的S-CSCF的登记状态执行任何改变。这导致在UE设备402与P-CSCF 404之间建立永久的安全性关联(SA)426。
一旦建立了永久的安全性关联(SA)426，则S-CSCF 406向P-CSCF404发送NOTIFY消息430，并且对应的NOTIFY消息428被转发到UE设备402。在NOTIFY消息内包含的预订生存期对应于永久SA 426的生存期。所述NOTIFY消息包括对于事件包的预订的生存期以及用于UE设备402的被授权的通用资源标识符(URI)的列表的规范。所述NOTIFY消息也指定了那个预订的生存期。UE设备402的处理因此知道434永久SA426的生存期和UE设备被授权使用的URI的全部集合，然后能够确定在预订内剩余的时间，因此确定对于永久安全性关联426剩余的时间。UE设备402可以使用在NOTIFY消息428内传送的、UE设备402被授权使用的URI的全部集合。
P-CSCF然后使用SUBSCRIBE请求438来预订436事件包，诸如特殊定义的安全事件包，以使用该永久SA 426来确定预订的生存期和用于UE设备402的被授权的URI。S-CSCF 406针对所预订的包用NOTIFY消息440来进行响应。UE设备402然后能够在444始发它期望的任何类型的SIP会话，并且能够传送442任何类型的IMS相关消息，诸如REGISTER、INVITE、SUBSCRIBE和MESSAGE等。
图5图示出根据本发明的一个实施例的、由诸如安全性代理112的安全性代理进行的安全的且已鉴权的会话层路径建立处理500。安全的且已鉴权的会话层路径建立处理500通过下述方式开始：在步骤502，在安全性代理，从未登记的用户设备装置接收预订请求。响应于接收到该预订请求，安全性代理在步骤504建立与未登记的用户设备装置相关联的时间限制的安全性关联。安全性代理然后在步骤506向未登记的用户设备装置传送NOTIFY消息。如上所述，该通知消息包括时间限制的安全性关联的生存期的规范。安全性代理然后在步骤508经由时间限制的安全性关联从未登记的用户设备装置接受会话发起协议(SIP)会话始发。
图6图示出根据本发明的一个实施例的、例如在S-CSCF 116或者S-CSCF 406内包括的安全性代理处理器600的框图。在该示例中的安全性代理处理器600执行在IP多媒体子系统(IMS)内使用的各种呼叫会话控制功能的处理。除了在本说明书内所述的修改的CSCF处理，安全性代理处理器600执行由通过各种实施例实现的各种协议所要求的常规CSCF处理。为了更清楚地和简明地描述本发明的一个实施例，不详细说明未修改的常规IMS处理。
安全性代理处理器600包括CPU 602，其执行由处理程序限定的编程的处理，如下所述。本发明的一些实施例的CPU 602能够包括可编程的微处理器、预先配置或者可重新配置的门阵列和/或任何其他适当的信号处理硬件，所述任何其他适当的信号处理硬件能够被配置或者重新配置为执行预先编程或者可重新编程的任务。CPU 602接受要传送的数据，并且通过数据通信接口604来提供所接收的数据。在本发明的一个实施例中，数据通信接口与无线通信电路603相结合地操作，以提供由在无线模式中操作的UE设备可访问的无线IMS网络。如本领域内的从业者所知，IMS网络的配置能够包括在特定的安全性代理处理器与实际的无线接口之间的介入处理节点，诸如位于第一天线塔104的那些。
CPU 602还接受计算机程序产品，其被编码在由数据读取器608读取的物理介质609上。数据读取器608读取计算机可读介质609以提取计算机程序，并且向CPU 602提供将被编码到程序存储器610内的计算机程序，如下更详细所述。
CPU还能够通过网络接口606来交换数据。网络接口606将该特定的安全性代理处理器连接到例如在IMS基础结构内的其他处理节点。网络接口606能够将例如S-CSCF连接到一个或多个P-CSCF。
安全性代理处理器600包括程序存储器610，其存储用于限定对于CPU 602限定的处理的程序。本发明的一个实施例的程序存储器610包括控制功能预订管理器程序614，其在UE设备向安全性代理登记之前，在安全性代理，通过安全的且已鉴权的会话层路径从UE设备接收对于来自安全性代理的事件包的SUBSCRIBE请求，以将安全的且已鉴权的会话层路径的生存期扩展到由会话发起协议请求发起的会话的生存期之外，其中，所述事件包包括用于限定安全的且已鉴权的会话层路径的信息。
程序存储器610还包括控制功能通信控制器程序616，其在安全性代理，从UE设备接受会话发起协议请求而不是REGISTER请求，并且通过向UE设备发送质询响应消息来对会话发起协议请求进行响应。控制功能通信控制器程序616也在安全性代理从UE设备接受包含足以鉴权用户设备节点的信息的鉴权响应，并且根据鉴权响应在安全性代理和用户设备节点之间建立安全的且已鉴权的会话层路径。
安全性代理处理器600包括数据存储器612。数据存储器612存储支持由CPU 602执行的处理的数据。本发明的一个实施例的数据存储器612包括事件包预订630，其限定由UE设备递交的事件包预订请求。数据存储器612还包括安全的且已鉴权的会话层路径数据632，其存储用于支持到UE设备的安全的且已鉴权的通信路径所需要的数据。在安全的且已鉴权的会话层路径数据632内存储的数据包括例如用户设备(UE)标识符和用于安全的通信链路的密钥数据，等等。
图7图示出根据本发明的一个实施例的、在UE设备或者节点内使用的用户设备(UE)处理器700，诸如UE设备102或者UE设备402的处理器。与安全性代理处理器600类似，UE处理器700包括CPU702、数据通信接口704、无线通信电路706、和数据读取器710，所述数据读取器读取物理介质709。这些部件与如上所述的对应部件类似，但是在一个实施例中被优化用于便携的电池供电的装置。
UE处理器700还与数据源708交换数据。数据源708是用户数据处理装置，其例如执行用户接口功能和其他数据处理，诸如个人数据助理(PDA)功能、语音和/或语音和视频通信等。
UE处理器700也包含程序存储器720，其存储用于限定对于CPU702限定的处理的程序。本发明的一个实施例的程序存储器720包括通信会话控制器程序724，其在向安全性代理登记之前，从对应的UE设备向安全性代理传送会话发起协议请求，而不是REGISTER请求。通信会话控制器程序724也在向安全性代理登记之前从UE设备以鉴权响应对会话发起协议质询响应消息进行响应，所述鉴权响应包含足以向安全性代理鉴权UE设备和足以在UE设备和安全性代理之间建立安全的且已鉴权的会话层路径的信息，其中，所述会话发起协议质询响应消息是响应于所述传送而从安全性代理被发送的。
程序存储器720也包括预订管理器程序726，其在向安全性代理登记之前，通过安全的且已鉴权的会话层路径在UE设备从安全性代理预订事件包，以将安全的且已鉴权的会话层路径的生存期扩展到由会话发起协议请求发起的会话的生存期之外。
UE处理器700也包括数据存储器722。数据存储器722存储用于支持由CPU 702执行的处理的数据。本发明的一个实施例的数据存储器722包括安全路径配置740，其包括例如加密密钥数据、鉴权时间帧(timeframe)和用于限定从UE设备到例如S-CSCF的安全通信路径的其他相关数据。数据存储器722还包括会话信息742，其存储与UE设备所进行的通信会话相关联的数据。数据存储器722也包括标识符744，其存储能够被UE设备使用的网络通信标识符。
本发明的一个实施例除了未使用登记之外，创建和使用新的“安全性”SIP事件包，用于在UE设备与IM核心网络之间建立和保持安全IMS连接，其类似于使用REGISTER请求被常规地建立的安全IMS连接。UE设备通过预订“安全性”事件包来建立安全IMS连接。“安全性”事件包是由作为所述包的通知器的IMS核心网络的S-CSCF服务的。用于一个实施例的“安全性”事件包的SIP SUBSCRIBE请求/响应承载IMS AKA鉴权报头和安全性机制协定报头(安全性客户端、安全性服务器、安全性验证)，其类似于当前在REGISTER请求和响应内所承载的那些。IMS AKA鉴权专用用户身份，并且所述安全机制协定协商由用于在UE设备与P-CSCF之间建立IPsec安全性关联的ipsec-3gpp安全性机制使用的算法。结果产生的预订对话路由集定义了在UE设备与S-SCSF之间的安全连接的服务路由，并且被用作用于在所述连接上发送的随后的SIP请求的初始路由集。
本发明的一个实施例的、诸如UE设备102和402的IMS用户能够建立到IM核心的多个“安全性”SIP事件包预订。每个预订能够使用不同的UE联系地址和不同的P-CSCF。这使得IMS用户能够经由不同的IP-CAN和/或被访问的IMS网络来建立多个安全的IMS连接。
本发明的一个实施例相对于常规的IMS操作提供了下列益处：1)IMS预订者能够使用未登记的公共用户身份(AOR)来始发会话；2)IMS预订者能够不用修改其AOR绑定(或者不必使用假的绑定)来发起会话；3)不用修改现有的AOR绑定而实现IMS会话移动性；4)能够创建用于同一公共用户ID和专用用户ID组合(例如在多个IP-CAN上)的多个安全的IMS安全性连接；5)能够创建新的安全IMS连接，而不引起现有的会话被终止；6)能够建立其上用于创建IMS会话的另一个安全IMS连接，并且提供了一种用于了解安全路径的生存期和状态的方式；7)IMS网络能够独立于任何登记状态而管理安全IMS连接；8)IMS网络能够独立于现有的所建立的会话而管理安全的IMS连接；以及9)大大地简化了IMS登记。
本发明也可以被嵌入计算机程序产品内，所述计算机程序产品包括用于实现在此所述的方法的实现的所有特征，并且其——当被加载到计算机系统内时——能够执行这些方法。在本上下文内的计算机程序手段或者计算机程序表示指令集的以任何语言、代码或者表示法的任何表达，所述指令集意欲使得具有信息处理能力的系统直接地或者在下面的任何一个或者两者之后执行特定的功能：a)转换为另一种语言、代码或者表示法；以及b)以不同的材料形式来再现。
每个计算机系统可以特别包括一个或多个计算机和至少一个计算机可读介质，所述至少一个计算机可读介质允许所述计算机读取数据、指令、消息或者消息分组和其他计算机可读信息。所述计算机可读介质可以包括非易失性存储器，诸如ROM、闪速存储器、盘驱动器存储器、CD-ROM、SIM卡和其他永久存储器。另外，计算机介质可以包括例如易失性存储器，诸如RAM、缓冲器、高速缓冲存储器和网络电路。
在此使用的术语程序和软件应用等被定义为被指定用于在计算机系统上执行的指令序列。程序、计算机程序或者软件应用可以包括子例程、函数、过程、对象方法、对象实施、可执行的应用、小应用程序、小服务程序、源代码、目标码、共享的库/动态负载库和/或被指定用于在计算机系统上执行的其他指令序列。
在整个说明书内，对于“一个实施例”的引用表示与所述实施例相关地描述的特定特征、结构或者特性被包括在本发明的至少一个实施例内。因此，在整个说明书内的不同位置的词组“在一个实施例中”的出现不必然都指的是同一实施例。另外，在一个或多个实施例中可以以任何适当的方式来组合所述特定特征、结构或者特性。而且，这些实施例仅仅是在此的创新性教导的许多有利使用的示例。一般，在本申请的说明书内进行的陈述不必然限制各种被要求保护的发明的任何一种。而且，一些陈述可以适用于一些发明特征，但是不适用于其他发明特征。一般，除非另外指示，单数元素可以是复数的，并且反之亦然，而不丧失一般性。
虽然已经图示和描述了本发明的各个实施例，但是清楚的是，本发明不限于此。在不脱离由所附的权利要求限定的精神和范围的情况下，本领域内的技术人员可以想到多种修改、改变、变化、替代和等同物。