用于在网络中授权对用户信息进行访问的方法和系统转让专利
申请号 : CN200480003424.8
文献号 : CN1748384B
文献日 : 2011-06-29
发明人 : 克里斯兹蒂昂·基斯 , 马库·蒂奥伊诺 , 伊卡·韦斯特芒
申请人 : 诺基亚公司
摘要 :
本发明提供一种方法和系统,用于授权对用户信息的访问。系统包括第一网络实体和第二网络实体。第一网络实体向第二网络实体发送对用户信息的请求。第二网络实体接收对用户信息的请求,对第一网络实体被授权接收所请求的信息进行检验,以及,如果第一网络被授权接收信息,则生成授权该请求的响应。检验可包括对第一网络实体和用户的所有非禁止公共用户身份进行比较,对第一网络实体和在先前请求中标识的所有网络实体进行比较,以及对第一网络实体和不属于用户所连接的网络外部第三方提供者的所有应用服务器进行比较。
权利要求 :
1.一种用于授权用户信息的方法,包括:
在网络实体上从发起者接收对用户信息的请求;
对所述发起者被授权接收所述信息进行检验;以及
如果所述发起者被授权接收所述信息,则生成授权所述请求的响应,其中所述检验进一步包括:对所述请求的发起者与所述用户的非禁止公众用户身份进行比较,以及对所述请求的发起者和包含在先前请求中的Path首部中所标识的网络实体进行比较。
2.根据权利要求1所述的方法,其中所述信息是所述用户的注册信息。
3.根据权利要求1所述的方法,进一步包括基于存储在所述网络实体中的动态信息以及所述请求中的信息,对所述网络实体被授权接收所述信息进行检验。
4.根据权利要求1所述的方法,其中所述请求包括对注册状态事件包的订制请求。
5.根据权利要求1所述的方法,其中所述Path首部包括所述用户所附属的代理呼叫会话控制功能(P-CSCF)设备。
6.根据权利要求1所述的方法,所述检验进一步包括对所述请求的发起者和不属于所述用户所连接的网络外部第三方提供者的应用服务器进行比较。
7.根据权利要求6所述的方法,所述检验进一步包括对所述请求的发起者和为与所述请求相关联的Register事件匹配用户配置文件过滤准则的应用服务器进行比较。
8.根据权利要求1所述的方法,其中所述响应进一步包括用户注册截止信息。
9.根据权利要求8所述的方法,所述用户注册截止信息包括包含在所述请求中的第二用户注册截止信息的相同值或下降值。
10.根据权利要求9所述的方法,所述响应进一步包括Expires首部,其包含所述用户注册截止信息,并且所述请求包括第二Expires首部,其包含所述第二用户注册截止信息。
11.根据权利要求1所述的方法,所述响应进一步包括由所述网络实体生成的Contact首部,所述Contact首部包括一个标识符,其有助于关联对所述请求的更新。
12.根据权利要求1所述的方法,进一步包括在生成所述响应之后由所述网络实体执行注册状态通知过程。
13.根据权利要求1所述的方法,其中所述网络实体是服务呼叫会话控制功能(S-CSCF)。
14.一种用于授权用户信息的设备,包括:
接收器,被配置用于从发起者接收对用户信息的请求;
检验器,被配置用于对所述发起者被授权接收所述信息进行检验,其中所述检验器被进一步配置用于:对所述请求的发起者和所述用户的非禁止公共用户身份进行比较,以及对所述请求的发起者和包含在先前请求中的Path首部中所标识的网络实体进行比较;以及生成器,被配置用于如果所述发起者被授权接收所述信息,则生成授权所述请求的响应。
15.根据权利要求14所述的设备,其中所述设备是服务呼叫会话控制功能(S-CSCF)。
16.一种用于授权对用户信息进行访问的系统,包括:第一网络实体,所述第一网络实体被配置用于发送对用户信息的请求;以及第二网络实体,所述第二网络实体被配置用于接收对所述用户信息的请求,通过对所述请求的发起者与所述用户的非禁止公众用户身份进行比较以及对所述请求的发起者和包含在先前请求中的Path首部中所标识的网络实体进行比较,对所述第一网络实体被授权接收所述请求的信息进行检验,以及如果所述第一网络实体被授权接收所述信息,则生成授权所述请求的响应。
17.一种用于授权用户信息的设备,包括:
接收装置,用于在网络实体上从发起者接收对用户信息的请求;
检验装置,用于对所述发起者被授权接收所述信息进行检验;以及生成装置,用于如果所述发起者被授权接收所述信息,则生成授权所述请求的响应,其中所述检验装置进一步包括比较装置,用于:对所述请求的发起者和所述用户的非禁止公共用户身份进行比较,以及对所述请求的发起者和在先前请求中包含的Path首部中所标识的网络实体进行比较。
说明书 :
用于在网络中授权对用户信息进行访问的方法和系统
技术领域
[0001] 本发明涉及网络,尤其涉及在网络或系统中授权对用户信息进行访问。
背景技术
[0002] 网络上的设备和实体通常在彼此之间定期通信,发送指令和/或数据。为了使第一网络设备向第二网络设备发送信息,第一网络设备必须知道第二网络设备实际连接到网络上,并且能够接收该信息。在一些网络中,网络设备必须向网络实体注册,由此,向这个网络实体发送关于网络设备及其当前向网络注册的信息。希望向已注册的网络设备发送信息的网络设备则可在试图向已注册的网络设备发送信息之前,访问包含该信息的网络实体,以确定已注册的网络实体确实注册了。此外,网络实体可执行检验过程和/或验证过程,从而对请求其它网络设备信息的网络设备进行检验,以确定发出请求的网络设备被授权接收第二网络设备的信息。如果第一网络设备未经授权,则网络实体可以不向第一网络设备发送关于第二网络设备的信息。如果第一网络设备被授权接收第二网络设备的信息,网络实体则可将这个信息转发至第一网络设备。第一网络设备则可开始与第二网络设备通信或向第二网络设备发送信息。但是,当网络或系统只允许由实际用户或用户的其它身份访问用户信息时就出现问题了。
[0003] 这类问题的一个示例是在第三代合作伙伴计划国际移动用户IP多媒体子域(3GPP IMS)Release5网络中,其使用会话发起协议(SIP)注册状态事件包,以向网络设备通知订户对事件包的注册状态。3GPPIMS Release5使用SIP注册状态事件包,以通知订户对事件包的注册状态。所有SIP事件包,包括注册状态事件包,在被通知者(请求的接收者)接受之前需要对SIP SUBSCRIBE请求进行验证和授权。当前这种诸如在注册期间解决验证问题的网络/系统中,代理呼叫状态控制功能(P-CSCF)通常将用户的可信身份插入到所有随后SIP请求中。
[0004] 但是,当前Rel-5网络/系统不提供对注册状态事件包的任何授权解决方案。Rel-5规范限制了成为其注册状态正被讨论的用户的经过授权的订户以及特定用户的所有SIP通信传送经过的P-CSCF的列表。服务呼叫状态控制功能(S-CSCF)(事件包的通知者)如何判断SIP SUBSCRIBE请求的发起者(source)是否经过授权的实际解决方法还未定义。
未经授权,任何用户都可以订制其他人的注册状态并且接收那个特定用户的所有公共用户身份的状态。
未经授权,任何用户都可以订制其他人的注册状态并且接收那个特定用户的所有公共用户身份的状态。
发明内容
[0005] 本法明提供一种方法和系统,用于授权对用户信息的访问。系统包括第一网络实体和第二网络实体。第一网络实体向第二网络实体发送对用户信息的请求。第二网络实体接收对用户信息的请求,对第一网络实体被授权接收所请求的信息进行检验,以及,如果第一网络实体被授权接收信息,生成授权该请求的响应。检验可包括,对第一网络实体和用户的所有非禁止公共用户身份进行比较,对第一网络实体和在先前请求中标识的所有网络实体进行比较,以及对第一网络实体和不属于用户所连接的网络外部第三方提供者的所有应用服务器进行比较。
附图说明
[0006] 下面通过本发明各实施方式的非限定示例,参照所示的多个附图进一步详述本发明,其中同样的参考标号在附图的各个视图中代表相似的部件,其中:
[0007] 图1是根据本发明一个示例性实施方式的系统,用于授权对用户信息的访问;
[0008] 图2是根据本发明一个示例性实施方式用于在网络中授权对用户信息进行访问的过程示例的流程图;
[0009] 图3是根据本发明一个示例性实施方式的用户设备请求用户信息的信令图;
[0010] 图4是根据本发明一个示例性实施方式的用户设备通过代理发送对用户信息请求的信令图;
[0011] 图5是根据本发明一个示例性实施方式的代理发送对用户信息请求的信令图;
[0012] 图6是根据本发明一个示例性实施方式的应用服务器发送对用户信息请求的信令图;
[0013] 图7是根据本发明一个示例性实施方式在3GPP IMS网络中授权对用户信息的访问的信令图;以及
[0014] 图8是根据本发明一个示例性实施方式用于将用户的注册状态事件包授权给订户的过程示例的流程图。
具体实施方式
[0015] 在这里所示的各种特例作为示例的方式,其目的在于说明本发明的各实施方式。结合附图的描述,使得本领域的技术人员了解实际上如何具体实现本发明。
[0016] 此外,可用框图形式表示各种方案,以避免本发明晦涩难懂,而且,也考虑到关于这种框图方案的实现方式细节高度依赖于实现本发明的平台的事实,也就是细节应该是在本领域熟练的技术人员所能理解的范围内的事实。虽然为描述本发明各示例性实施方式,对各种具体细节(例如电路、流程图)进行了描述,但是本领域的技术人员应该可以了解到,没有这些具体细节同样可以实现本发明。最后,应该了解到,可以使用硬连线硬件电路和软件指令的任何组合实现本发明的各实施方式,也就是,本发明并不限于硬件电路和软件指令的任何特定组合。
[0017] 虽然在示例性的主单元环境中使用示例性系统框图来描述本发明的各示例性实施方式,但是本发明的实现并不限于其中,也就是可以在其它类型的环境中用其它类型的系统实现本发明。
[0018] 本说明书中对“一个实施方式”或“实施方式”的引用,表示连同实施方式进行描述的特定特性、结构、或特征包括在本发明的至少一个实施方式中。“一个实施方式”这个词在本说明书多个位置的出现并不必然都是指同一个实施方式。
[0019] 本发明涉及一种方法和系统,用于授权对用户信息进行访问。用户的用户设备可与具有其它网络设备和网络实体的网络或系统相连。网络设备或实体可以是任何类型的网络设备,例如,其它用户设备、服务器、代理、网关、路由器、终端等。网络中的一个或多个网络实体可包含关于网络中各用户和/或用户设备的信息。其它网络设备或实体可能希望获得有关一个特定用户的信息,因此,可能向包含(例如,存储)用户信息的服务网络实体请求对这个信息进行访问。服务网络实体则可对请求的发起者被授权接收该用户的信息进行检验,而且如果被授权,则服务网络实体则可生成响应,授权该请求并且向发起请求的网络设备或实体提供用户信息。授权可包括,对请求中标识请求者的信息和存储在服务网络实体中的被授权访问特定用户信息的网络设备/实体的信息进行比较。被授权访问特定用户信息的网络设备/实体的信息最初可在网络/系统初始化或网络实体初始化期间载入并存储在服务网络实体中,和/或可在网络/系统运行期间动态地发送至服务网络实体和/或进行修改。
[0020] 用户设备可以是具有相关联用户的任何类型的、固定的或无线的网络设备,例如终端、计算机、无线电话、服务器、个人数字助理(PDA)、便携式计算机等。而且,用户信息可以包括多种类型的信息,例如注册信息、用户身份、用户位置、用户设备类型、用户设备容量等。
[0021] 图1表示依照本发明一个示例性实施方式的系统,用于授权对用户信息进行访问。该系统包括服务网络实体10,其可接收并存储关于一个或多个用户的信息,以及接收对于这个信息的请求。该系统还可包括多种其它类型的网络或系统设备,其可向服务网络实体10发送信息或向服务网络实体10请求信息,该网络实体诸如,用户设备12,经由代理16、17的用户设备14、15,应用服务器或其它服务器18、20或其它网络实体22、24。
[0022] 用户设备12可能希望访问关于其本身或另一个用户,例如用户设备14的信息。用户设备12则可向服务网络实体10请求这个信息,由此服务网络实体10对用户设备12被授权接收用户设备14的信息进行检验,而且如果被授权,则将信息转发至用户设备12。在一些系统中,可能存在通过代理或其它设备16只连接到服务网络实体10的用户设备。在这种示例性情况下,希望获得另一个用户或其自身用户信息的用户设备14可向代理16发送请求,然后,代理16将请求转发至服务网络实体10。服务网络实体10则可在对用户设备14被授权接收所请求的信息进行检验之后,将所请求的信息转发至代理16,然后,代理16再将其转发至用户设备14。相似地,应用服务器18、20或其它网络实体22、24可能希望获得另一个或其自身用户的信息,并将请求直接转发至服务网络实体10,由此检验它们的请求是否被授权接收该信息,而且如果经过授权,就将所请求的信息转发至相应的应用服务器或网络实体。
[0023] 图2表示依照本发明一个示例性实施方式用于在网络中授权对用户信息访问的过程示例的流程图。接收到对用户信息的请求(S1)。可对请求的发起者和被授权接收所请求用户信息的网络实体和/或用户身份进行比较(S2)。然后,可确定发起者是否被授权接收所请求的信息(S3),并且如果未经授权,则可生成响应,拒绝对所请求的用户信息进行访问(S4)。如果发起者经过授权,则可生成授权该请求的响应(S5),并且将所请求的信息转发至请求的发起者(S6)。
[0024] 图3表示依照本发明一个示例性实施方式的用户设备请求用户信息的信令图。用户设备12可向网络实体10发送请求用户信息的请求。网络实体10则可向用户设备12发送确认消息,确认接收到请求。网络实体10可通过对请求中的信息和存储在服务网络实体10中的信息进行比较,对用户设备12被授权接收所请求的信息进行检验。如果经过授权,则网络实体10可发送响应,通知用户设备12这个事实,并也可通过该响应和/或单独的响应发送所请求的用户信息。用户设备12然后可确认接收到该响应。
[0025] 图4表示依照本发明一个示例性实施方式的用户设备通过代理发送对用户信息的请求的信令图。在这个示例性实施方式中,用户设备14可通过代理网络实体16与服务网络实体10相连。因此,用户设备14可向代理网络实体16发送对用户信息的请求,然后,代理网络实体16再将这个请求转发至服务网络实体10。服务网络实体10则可通过代理网络实体16向用户设备14发送确认消息,确认接收到对信息的请求。服务网络实体10通过对请求中的信息和存储在服务网络实体10中的信息进行比较,检测用户设备14是否被授权接收用户信息,并通过代理网络实体16向用户设备14发送同意或拒绝访问信息的响应。如果同意访问,则响应还可包括部分或全部所请求信息。用户设备14则可通过代理网络实体16向服务网络实体10发送确认接收到响应的确认。
[0026] 图5表示依照本发明一个示例性实施方式的代理发送对用户信息请求的信令图。代理网络实体17可向网络实体10发送请求用户信息的请求。网络实体10则可向代理网络实体17发送确认消息,确认接收到请求。网络实体10可通过对请求中的信息和存储在服务网络实体10中的信息进行比较,对代理网络实体17被授权接收所请求的信息进行检验。如果经过授权,网络实体10可发送响应,通知代理网络实体17这个事实,并也可通过该响应和/或单独的响应发送所请求的用户信息。代理网络实体17则可确认接收到响应。
[0027] 图6表示依照本发明一个示例性实施方式的应用服务器发送对用户信息请求的信令图。应用服务器18可向网络实体10发送请求用户信息的请求。网络实体10则可向应用服务器18发送确认消息,确认接收到请求。网络实体10可通过对请求中的信息和存储在服务网络实体10中的信息进行比较,对应用服务器18被授权接收所请求的信息进行检验。如果经过授权,网络实体10可发送响应,通知应用服务器18这个事实,并也可通过该响应和/或单独的响应发送所请求的用户信息。应用服务器18则可确认接收到响应。
[0028] 图7表示依照本发明一个示例性实施方式在3GPP IMS网络中授权对用户信息的访问的信令图。在这个示例性实施方式中,用户设备可通过代理呼叫会话控制功能(P-CSCF)向作为服务呼叫会话控制功能(S-CSCF)的服务网络实体发送请求。在本发明的这个示例性实施方式中,请求可能是对用户注册状态事件包的订制请求。用户设备可发出这个请求,P-CSCF可自己发出这个请求,或者应用服务器或其它网络实体可向S-CSCF发出这个请求。
[0029] 在接收到对订制信息的请求时,服务呼叫状态控制功能则可通过代理呼叫状态控制功能向用户设备发送确认消息,确认接收到请求。然后,服务呼叫状态控制功能可对用户设备被授权接收所请求用户的注册状态事件包进行检验。在本发明的这个示例性实施方式中,经过授权的请求发起者可包括用户的所有非禁止公共用户ID,已经包括在先前REGISTER请求中发送至服务呼叫状态控制功能的PATH首部中的所有实体,以及不属于第三方提供者的所有应用服务器。这些应用服务器还可为事件匹配用户配置文件。S-CSCF对订制信息请求的授权可包括对请求中的信息和经过授权的发起者进行比较。
[0030] 如果请求的发起者未经授权,则服务呼叫状态控制功能可禁止对用户订制信息的访问。如果请求的发起者经过授权,则服务呼叫状态控制功能可生成响应,确认该订制请求并且指示经过授权的订制是成功的。另外,响应可包括Expires首部,其包含与订制请求中Expires首部相同或减少的值,和/或Contact首部,其是生成于服务呼叫状态控制功能内的标识符,有助于关联对订制的更新。然后,服务呼叫状态控制功能可执行通知注册状态的过程,如在3GPP IMS规范中所述的那样。
[0031] 经过授权的应用服务器可包括在与先前REGISTER请求相关联的过滤准则中提及的应用服务器。过滤准则可以是一种规则,用于挑选或选择那些被用户访问的应用服务器的部分订户信息。在接收到对用户注册状态事件包的任何请求之前,服务呼叫状态控制功能可知道每个用户的所有非禁止公共用户ID、包括在所接收到的PATH首部中的实体、以及不属于第三方提供者的所有应用服务器。而且,服务呼叫状态控制功能还可知道用户其他未注册的用户ID。
[0032] 因此,在本发明的这个示例性实施方式中,在通知者(也就是S-CSCF)接受之前,可能需要对所有SIP事件包订制(SIP SUBSCRIBE)进行验证和授权。提出一种方法,根据这种方法,允许定制注册状态事件包的网络实体(例如服务器)可以从会话发起协议(SIP)REGISTER请求的Path首部进行挑选。假设那些实体/服务器需要接收发往用户的SIP通信,并由此应该被授权订制注册状态事件包。
[0033] 根据本发明的这个实施方式,S-CSCF可使用SIP注册的特定元素,以实现对注册状态事件包进行授权的目的。这些元素可包括用户的公共用户身份以及在REGITER请求中接收到的Path列表。Path列表代表位于SIP REGISTER请求路径上的那些用于接收将来发往用户的未来SIP通信的服务器。从而,那些服务器可能存储有关用户注册的信息。因此,这些服务器,部分路径列表,应该是用户注册状态事件包的经授权用户。
[0034] 因此,当通知者(也就是将向SUBSCRIBE发送相应NOTIFY的元素,也就是S-CSCF)接收到对于特定用户注册状态事件包的SUBSCRIBE请求时,本发明的这个实施方式为S-CSCF提供对注册状态事件包的授权。在检验SUBSCRIBE请求的发起者(通过检测P-Asserted-Identity首部字段的方式)之后,通知者可以对照路径列表和用户的公共用户身份,检测SUBSCRIBE请求的发起者。只有在匹配的情况下订制才会获得授权。
[0035] 图8表示依照本发明一个示例性实施方式的用于将用户的注册状态事件包授权给订户的过程示例的流程图。在服务呼叫状态控制功能处接收到来自发起者的订制请求(S10)。服务呼叫状态控制功能对请求中的信息和所存储的经授权订户的信息(也就是,网络实体和用户身份)进行比较(S11)。经过授权的订户可以包括请求发起者的用户所拥有的以及S-CSCF所知道的所有非禁止公共用户身份、由在先前REGISTER请求中发送的PATH首部标识的所有实体、或者不属于第三方提供者的所有应用服务器。确定请求的发起者是非禁止公共用户身份(S12)、由在先前SIP REGISTER请求中发送的PATH首部标识的实体(S13)、还是不属于第三方提供者的应用服务器(S14)。如果请求的发起者不是这些中的任何一个,则发起者没有被授权接收所请求的信息,而且服务呼叫状态控制功能可发送响应,表明订制授权失败(S15)。如果请求的发起者是这些中的一个,则服务呼叫状态控制功能可生成响应,确认该订制请求并且指示经过授权的订制成功(S16),然后执行通知注册的过程(S17)。
[0036] 由于本发明允许基于存储在S-CSCF中的动态数据进行授权判决,而且不需要预先配置的静态地址表(例如,漫游伙伴的所有P-CSCF地址),本发明是有优势的。而且,本发明允许将用户信息授权给其它网络实体,并非仅是用户的其它公共用户身份。
[0037] 注意,提供前述各示例仅用于说明目的,决不能将其解释为对本发明的限制。虽然本发明是参照优选实施方式进行描述的,但可以理解,在这里所使用的文字是描述性和说明性的文字,而不是限制性的文字。可以在不偏离本发明各方面范围和宗旨的前提下,在如同当前陈述及修改的所附的权利要求书的范围内进行各种变化。尽管在这里本发明是参照特定方法、材料和实施方式进行描述的,但本发明并不旨在限于这里公开的各种特例,相反,本发明延伸至在所附权利要求书的范围内的所有功能上等同的结构、方法和用途。