Ngn中身份標識和位置分離的附著方法及系統的製作方法

2023-05-04 05:13:56 1

專利名稱：Ngn中身份標識和位置分離的附著方法及系統的製作方法
技術領域：
本發明涉及通信技術領域，尤其涉及一種NGN(Next Generation Networks，下一 代網絡)中身份標識和位置分離的附著過程的實現方法及系統。
背景技術：
在網際網路的TCP/IP協議中，IP位址具有雙重功能，既作為網絡層的通信終端主 機網絡接口在網絡拓撲中的位置標識，又作為傳輸層主機網絡接口的身份標識。隨著NGN 的發展，用戶移動性和主機多穴性的問題越來越普遍。這種IP位址的語義過載缺陷日益 明顯，當主機的IP位址發生變化時，不僅路由要發生變化，通信終端主機的身份標識也發 生變化，身份標識的變化導致應用和連接的中斷。為了支持移動性和多穴性，需要將主機 的身份標識與其位置進行分離，業界提出了 IP分離(IPSPLIT)技術，IPSPLIT技術用主機 標識符(Host ID)作為主機的身份標識，全球唯一地標識每臺連接到Internet的主機，為 Internet提供一個安全的主機移動和多穴性的方法，提供一個加密的主機標識，更容易地 對通信雙方進行認證，從而實現安全的、可信任的網絡系統。NGN體系架構如附圖1所示，包括網絡接入控制部分、資源控制部分、傳輸部分、 業務控制部分和用戶終端/用戶網絡部分。其中，網絡接入控制部分為接入NGN網絡的用 戶終端/用戶網絡提供註冊、鑑權授權、地址分配、參數配置、位置管理等功能，例如ITU-T NGN 網絡中網絡附著控制功能(Network Attachment Control Functions, NACF)。資源控 制部分基於策略和網絡資源狀態，完成用戶終端/用戶網絡接入網絡時的接納控制、資源 預留等功能，例如ITU-TNGN網絡中資源接納控制功能(Resource and Admission Control Functions, RACF), NGN 中接入管理功能(Acess Management Functions, AMF)。傳輸部分 完成信息的傳輸功能，例如ITU-T NGN網絡中傳輸功能(Transport Functions)。業務控 制(Service Control Functions, SCF)部分屬於業務層中的一部分，在業務層次上完成注 冊、鑑權授權、資源控制等功能，例如ITU-TNGN網絡中業務終端認證和鑑權過程。用戶終端 /用戶網絡部分向用戶提供網絡接入功能，例如ITU-TNGN網絡中UE(User Equipment,UE)。NGN網絡中IP位址既標識用戶所在的位置又標識用戶的身份，用戶的附著過程通 過用戶標識來查找用戶，當用戶因移動性或多穴性導致其位置發生變化時身份標識也發生 變化，從而導致應用和連接的中斷，導致正在進行的通信會話和業務中斷。一般NGN網絡中 用戶附著的實現示意圖如圖3所示。步驟一，認證和鑑權過程。UE通過接入管理功能實體((Access Management Functional Entity, AM-FE)將鑑權請求發送給認證和鑑權功能實體(Transport Authentication and Authorization Functional Entity, TAA-FE), TAA-FE 中存有用戶標 識符和證書，這裡的用戶標識符可以是全局唯一的IP位址或傳輸層配置的標識符，TAA-FE 返回認證鑑權響應通過AM-FE返回給用戶，完成認證和鑑權過程。步驟二，IP配置過程。IP配置過程可以通過動態主機配置協議DHCP方式獲得也 可以通過自配置過程完成，圖3是通過DHCP方式進行IP位址配置。
步驟三，傳輸位置管理過程。TLM-FE通過查詢業務控制功能SCF進行傳輸位置的 查詢。SCF每次獲得用戶當前傳輸所用的唯一 IP位址。當用戶發生移動，用戶所在位置發 生改變時，需要重新進行認證鑑權過程附著，獲得新的IP位址。本發明提出了一種基於IPSPLIT的NGN中身份標識和位置分離的附著過程的實現 方法，能夠與NGN中現有的各種功能實體很好的結合，用戶身份標識用Host ID表示，附著 過程中通過Host ID來查找用戶且在認證過程中對HostID提供一種密鑰認證方法，當用戶 因移動性或多穴性導致其位置發生變化時Host ID不發生變化，傳輸層的應用和連接是與 用戶標識綁定的，從而應用和連接不會中斷，正在進行的通信會話和業務不會中斷，保證了 附著的安全性和主機因移動性或多穴性位置發生變化時的無縫切換。

發明內容
有鑑於此，本發明的主要目的在於提供一種NGN中身份標識和位置分離的附著方 法，用於實現NGN中身份標識與位置分離的安全附著。為達到上述目的，本發明的技術方案是這樣實現的一種NGN中身份標識和位置分離的附著方法，用戶通過身份標識與位置分離映射 功能實體ILSM-FE進行網絡附著過程，在認證和鑑權的過程中使用用戶身份標識Host ID, 具體步驟包括步驟A、在認證和鑑權的過程中，通過身份標識與位置分離映射功能實體ILSM-FE 對用戶身份進行認證和鑑權；步驟B、通過IP位址配置過程，為用戶終端分配IP位址；步驟C、用戶終端UE通過ILSM-FE進行用戶身份標識Host ID與代表用戶終端位 置的IP位址的映射。進一步地，步驟A具體為步驟Al、用戶終端UE發送附著請求給接入管理功能實體AM-FE ；步驟A2、AM-FE向認證和鑑權功能實體TAA-FE發送鑑權請求，在所述鑑權請求中 攜帶用於對用戶身份標識Host ID進行認證所需的安全參數；步驟A3、TAA_FE向身份標識與位置分離映射功能實體ILSM-FE發送鑑權信息查詢 請求消息，在所述鑑權信息查詢請求消息中攜帶用於對用戶身份標識Host ID進行認證所 需的安全參數；步驟A4、ILSM-FE根據依據所述安全參數進行對用戶身份標識Host ID的認證和 鑑權，並將認證和鑑權結果通過鑑權信息查詢響應消息發送給TAA-FE ；步驟A5、TAA-FE接收到鑑權信息查詢響應消息後將鑑權結果通過鑑權響應消息 發送給AM-ra;步驟A6、AM-FE通過附著響應消息將鑑權結果發送給UE。進一步地，所述Host ID為一個公鑰，用於唯一地標識一個用戶，ILSM-FE依據所 述安全參數根據密鑰算法對Host ID進行認證。進一步地，步驟C中，由用戶終端發起Host ID與IP位址的映射過程步驟Cll、UE發送ID/L0C映射請求消息給ILSM-FE，映射請求中包含用戶獲得的 IP位址信息；
步驟C12、ILSM-FE進行Host ID與IP位址的映射，並向UE反饋ID/L0C映射響應消息。進一步地，步驟C中，由用戶終端發起Host ID與IP位址的映射過程，且傳輸位置 管理功能實體TLM-FE參與映射過程步驟C21 =UE發送ID/L0C映射請求消息給TLM-FE，映射請求中包含用戶獲得的IP 地址；步驟C22 =TLM-FE將ID/L0C映射請求轉發給ILSM-FE ；步驟C23 =ILSM-FE進行Host ID與IP位址的映射後，ILSM-FE返回ID/L0C映射 響應消息給TLM-FE ；步驟C 24 =TLM-FE轉發ID/L0C映射響應消息給UE。進一步地，步驟C中，由網絡發起Host ID與IP位址的映射過程步驟C31 由TLM-FE發送ID/L0C映射請求給ILSM-FE ；步驟C32 =ILSM-FE進行Host ID與IP位址的映射後，ILSM-FE返回ID/L0C映射 響應給TLM-FE。進一步地，在用戶是移動性或多穴性的情況下，同一時刻或不同時刻同一個用戶 身份標識Host ID可以對應多個IP位址，ILSM-FE資料庫中用戶身份標識Host ID與IP地 址的映射關係包括一對一、一對多。基於上述方法，本發明還提出一種NGN中身份標識和位置分離的附著系統，具體 實現方案如下一種NGN中身份標識和位置分離的附著系統，包括用戶終端UE、接入管理功能實 體AM-FE、傳輸控制管理功能實體TLM-FE、認證和鑑權功能實體TAA-FE、身份標識與位置分 離映射功能實體ILSM-FE 用戶終端UE，用於向TLM-FE發送ID/L0C映射請求；接入管理功能實體AM-FE，用於通過TAA-FE向ILSM-FE發送鑑權請求，在所述鑑權 請求中攜帶用於對用戶身份標識Host ID進行認證所需的安全參數；傳輸控制管理功能實體TLM-FE，用於將所述ID/L0C映射請求轉發給ILSM-FE ；身份標識與位置分離映射功能實體ILSM-FE，用於根據接收到的所述安全參數，進 行對用戶身份標識Host ID的認證和鑑權；根據接收到的所述ID/L0C映射請求，執行Host ID與IP位址的映射。進一步地，由UE發送包含用戶獲得的IP位址信息的ID/L0C映射請求消息給 ILSM-FE ；ILSM-FE接收到ID/L0C映射請求消息後進行Host ID與IP位址的映射，並向UE 反饋ID/L0C映射響應消息；或，由UE發送包含用戶獲得的IP位址的ID/L0C映射請求消息給TLM-FE，TLM-FE將 所述ID/L0C映射請求消息轉發給ILSM-FE ；ILSM-FE進行Host ID與IP位址的映射後通過 TLM-FE轉發ID/L0C映射響應消息給UE ；或，由TLM-FE直接發送包含用戶獲得的IP位址的ID/L0C映射請求給ILSM-FE ； ILSM-FE進行Host ID與IP位址的映射後反饋ID/L0C映射響應給TLM-FE。應用了本發明後，NGN中身份標識與位置分離的安全的附著方法得以實現。在 ILSM-FE中存有Host ID與LOC的映射，這個映射可能是一對一的，也可能是一對多的，如果
6是一對多的，在通信過程中當用戶從一個IP位址切換到另一個IP位址，SCF只需根據用戶 標識Host ID在ILSM-FE中進行查找，更新Host ID與LOC的映射就可以，不需象一般NGN 網絡那樣需要重新認證附著過程才可以實現。從而保證了附著過程通過查找全球唯一的加 密的用戶標識來進行，保證了附著過程的安全性；保證了當用戶位置發生變化時附著過程 與用戶的地址無關，保證了用戶位置發生變化時正在進行的應用和業務不會中斷，保證了 通信的無縫切換。


圖1為Ipsplit-based NGN體系架構示意圖；圖2為Ipsplit-based NGN體系功能框架圖；圖3為NGN中傳統的附著過程示意圖；圖4為NGN中身份標識與位置分離的附著過程示意圖(用戶終端發起映射請求且 無網關參與)；圖5為NGN中身份標識與位置分離的附著過程示意圖(用戶終端發起映射請求且 有網關參與)；圖6為NGN中身份標識與位置分離的附著過程示意圖(網絡側發起映射請求)。
具體實施例方式本發明的核心思想是用戶進行網絡附著時，在認證和鑑權的過程中使用Host ID,並通過身份標識與位置分離映射功能實體ILSM-FE進行用戶附著過程。身份標識與位 置分離映射功能實體ILSM-FE對用戶身份標識Host ID進行認證和鑑權。UE通過接入管理 功能實體AM-FE進行DHCH請求，並通過網絡接入控制功能實體NAC-FE獲得IP位址；通過 ILSM-FE進行用戶身份標識HostID與IP位址的映射。為使本發明的目的、技術方案和優點更加清楚明白，以下舉實施例並參照附圖，對 本發明進一步詳細說明。在NGN的傳輸控制功能上增加身份標識與位置分離控制功能(Id-loc-split control functions, ILSCF)，ILSCF功能中有身份標識與位置分離映射功能實體 (Id-loc-split mapping function entity, ILSM-FE)，它作為 NGN 中用戶身份標識與位置 分離系統的映射資料庫實體，用於實現用戶身份標識Host ID與一個或多個位置LOC的映 射，本發明只使用IP位址的位置屬性來表示用戶的位置L0C，ILSM-FE裡存儲有和用戶有關 的參數，同時ILSM-FE提供鑑權的隨機數數組供用戶終端計算出加密密鑰，在ILSM-FE裡還 進行用戶身份標識Host ID與位置LOC映射的綁定。基於IPSPLIT的NGN體系功能框架如圖2所示，其中各功能實體的作用如下傳輸層用戶配置功能實體(TransportUser Profile Functional Entity, TUP-FE)用於負責保存與傳送層面相關的用戶信息；認證禾口鑑權功能實體(Transport Authentication and Authorization Functional Entity, TAA-FE)用於提供傳送層鑑權和認證功能，基於用戶信息對用戶的網 絡接入執行鑑權和授權檢查；接入管理功能實體(AccessManagement Functional Entity, AM-FE)用於對用
7戶發起的網絡接入請求進行翻譯轉換，將分配IP位址和其他網絡配置參數的請求發送給 NAC-FE ；傳輸層位置管理功能實體(Transport Location Management Functional Entity, TLM-FE)用於註冊分配給用戶的IP位址和NAC-FE提供的其它網絡位置信息；網絡接入管理功能實體(Network Access Configuration Functional Entity, NAC-FE)用於負責向用戶終端分配IP位址，同時可能向用戶終端分配其他網絡配置參數， 如DNS伺服器的地址、信令代理的地址等。實施例1 圖4為終端發起映射請求且無網關參與的NGN系統中身份標識與位置分離的終端 附著過程示意圖，具體的步驟如下(1)認證和鑑權過程步驟401 =UE向AM-FE發送附著請求，請求網絡附著。步驟402 =AM-FE接收到UE的附著請求後向認證和鑑權功能實體(TAA-FE)發送鑑 權請求消息，消息中攜帶用於用戶身份認證所需的安全參數；步驟403 =TAA-FE向ILSM-FE發送鑑權信息查詢請求消息，消息中攜帶用於用戶身 份認證所需的安全參數。步驟404 =ILSM-FE根據所述的安全參數進行用戶身份認證和鑑權，將鑑權結果通 過鑑權信息查詢響應消息發送給TAA-FE，所述響應消息中攜帶鑑權結果(成功或失敗)。步驟405 =TAA-FE發送鑑權響應給AM-FE，攜帶鑑權結果。步驟406 =AM-FE發送附著請求響應消息給UE，攜帶鑑權結果。(2) IP位址配置過程IP配置過程可以通過自配置進行也可以通過DHCP方式獲得，本實施例採用DHCP 方式獲得IP位址。 步驟411 :UE通過DHCP請求AM-FE分配IP位址。步驟412 =AM-FE將請求轉發給NAC-FE。步驟413 =NAC-FE發送綁定信息給TLM-FE。綁定信息裡包含NAC-FE為UE分配的臨時地址和其它如邏輯、物理埠地址等與 傳輸相關的信息。步驟414 =TLM-FE將策略信息推送給RACF。策略信息指服務質量Qos配置信息等。步驟415 =TLM-FE將用戶地址的綁定信息通過綁定響應消息發送給NAC-FE。步驟416 =NAC-FE通過DHCP響應消息將新的IP位址發送給UE。(3) ID/L0C 映射過程用戶如因移動性或多穴性其位置發生改變時通過ILSM-FE進行地址更新，用戶獲 得新的IP位址後，在ILSM-FE中執行與Host ID的映射，這個過程中用戶身份標識Host ID 不變，ID/L0C映射過程如下。步驟421 =UE發送ID/L0C映射請求給ILSM-FE，消息中攜帶用戶的IP位址。用戶獲得IP位址後，要在ILSM-FE中進行Host ID與IP位址的映射，映射過程可 以由終端主動發起也可以由網絡側主動發起，本實施例中由UE主動發起。
8
步驟422 ILSM-FE返回ID/L0C映射響應給UE。ILSM-FE完成Host ID與LOC的映射後發送ID/L0C映射響應消息給UE。在用戶是移動性或多穴性的情況下，同一時刻或不同時刻同一個用戶標識Host ID可以對應多個IP位址。即ILSM-FE的資料庫中用戶標識Host ID與IP位址的映射可以 是一對一的也可以是一對多的。這與一般NGN網絡中同一時刻在TLM中只有一個IP位址 對應一個用戶不同。(4)傳輸位置管理過程SCF向ILSM-FE請求當前用戶所在的位置信息，ILSM-FE將用戶當前所在的位置 LOC上報給SCF。在這個過程中，SCF根據用戶標識Host ID來查找用戶當前所在位置L0C， SCF先找到ILSM-FE，然後根據Host ID與LOC的映射找到用戶當前所在的位置L0C。這與 一般NGN網絡中SCF直接通過TLM-FE查找用戶當前的IP位址不同。實施例2 圖5為終端發起映射請求且有網關參與的NGN系統中身份標識與位置分離的終端 附著過程示意圖，具體步驟如下(1)認證和鑑權過程有網關參與時的認證鑑權過程與實施方式一中無網關參與時的認證鑑權過程一致。(2) IP位址配置過程有網關參與時的IP位址配置過程與實施方式一中無網關參與時的IP位址配置過
程一致。(3) ID/L0C 映射過程步驟521 =UE發送ID/L0C映射請求消息給TLM-FE，消息中攜帶UE的IP位址。步驟522 =TLM-FE將ID/L0C映射請求消息轉發給ILSM-FE。步驟523 =ILSM-FE進行Host ID與IP位址的綁定映射後，ILSM-FE返回ID/L0C 映射響應給TLM-FE ；步驟524 =TLM-FE發送ID/L0C映射響應消息給UE.(4)傳輸位置管理過程有網關參與時的傳輸位置管理過程與實施方式一中無網關參與時的傳輸位置管 理過程的處理方式一致。實施方式三圖6為網絡側發起映射請求的NGN系統中身份標識與位置分離的終端附著過程示 意圖，具體步驟如下(1)認證和鑑權過程本實施例中的認證和鑑權過程與實施方式一中無網關參與時的認證鑑權過程一致。(2) IP位址配置過程本實施例中的IP位址配置過程與實施方式一中無網關參與時的IP位址配置過程一致。(3) ID/L0C 映射過程
步驟621 由TLM-FE發送ID/L0C映射請求給ILSM-FE。步驟622 JLSM-FE 返回 ID/L0C 映射響應給 TLM-FE。(4)傳輸位置管理過程該實施方式的傳輸位置管理過程與實施方式一中無網關參與時的傳輸位置管理 過程的處理方式一致。以上所述，僅為本發明的較佳實施例而已，並非用於限定本發明的保護範圍。
權利要求
一種NGN中身份標識和位置分離的附著方法，其特徵在於，用戶通過身份標識與位置分離映射功能實體ILSM FE進行網絡附著過程，在認證和鑑權的過程中使用用戶身份標識Host ID，具體步驟包括A、在認證和鑑權的過程中，通過身份標識與位置分離映射功能實體ILSM FE對用戶身份進行認證和鑑權；B、通過IP位址配置過程，為用戶終端分配IP位址；C、用戶終端UE通過ILSM FE進行用戶身份標識Host ID與代表用戶終端位置的IP位址的映射。
2.根據權利要求1所述的方法，其特徵在於，步驟A具體為Al、用戶終端UE發送附著請求給接入管理功能實體AM-FE ；A2、AM-FE向認證和鑑權功能實體TAA-FE發送鑑權請求，在所述鑑權請求中攜帶用於 對用戶身份標識Host ID進行認證所需的安全參數；A3、TAA-FE向身份標識與位置分離映射功能實體ILSM-FE發送鑑權信息查詢請求消 息，在所述鑑權信息查詢請求消息中攜帶用於對用戶身份標識HostID進行認證所需的安 全參數；A4、ILSM-FE根據依據所述安全參數進行對用戶身份標識Host ID的認證和鑑權，並將 認證和鑑權結果通過鑑權信息查詢響應消息發送給TAA-FE ；A5、TAA-FE接收到鑑權信息查詢響應消息後將鑑權結果通過鑑權響應消息發送給 AM-FE ；A6、AM-FE通過附著響應消息將鑑權結果發送給UE。
3.根據權利要求1所述的方法，其特徵在於，所述HostID為一個公鑰，用於唯一地標 識一個用戶，ILSM-FE依據所述安全參數根據密鑰算法對Host ID進行認證。
4.根據權利要求1所述的方法，其特徵在於，步驟C中，由用戶終端發起HostID與IP 地址的映射過程ClUUE發送ID/L0C映射請求消息給ILSM-FE，映射請求中包含用戶獲得的IP位址信息；C12、ILSM-FE進行Host ID與IP位址的映射，並向UE反饋ID/L0C映射響應消息。
5.根據權利要求1所述的方法，其特徵在於，步驟C中，由用戶終端發起HostID與IP 地址的映射過程，且傳輸位置管理功能實體TLM-FE參與映射過程C21 =UE發送ID/L0C映射請求消息給TLM-FE，映射請求中包含用戶獲得的IP位址；C22 =TLM-FE將ID/L0C映射請求轉發給ILSM-FE ；C23 =ILSM-FE進行Host ID與IP位址的映射後，ILSM-FE返回ID/L0C映射響應消息給 TLM-FE ；C 24 =TLM-FE轉發ID/L0C映射響應消息給UE。
6.根據權利要求1所述的方法，其特徵在於，步驟C中，由網絡發起HostID與IP位址 的映射過程C31 由TLM-FE發送ID/L0C映射請求給ILSM-FE ；C32 =ILSM-FE進行Host ID與IP位址的映射後，ILSM-FE返回ID/L0C映射響應給 TLM-FE0
7.根據權利要求4、5或6所述的方法，其特徵在於，在用戶是移動性或多穴性的情況下，同一時刻或不同時刻同一個用戶身份標識Host ID可以對應多個IP位址，ILSM-FE資料庫中用戶身份標識Host ID與IP位址的映射關係 包括一對一、一對多。
8.—種NGN中身份標識和位置分離的附著系統，其特徵在於，包括用戶終端UE、接入管 理功能實體AM-FE、傳輸控制管理功能實體TLM-FE、認證和鑑權功能實體TAA-FE、身份標識 與位置分離映射功能實體ILSM-FE 用戶終端UE，用於向TLM-FE發送ID/L0C映射請求；接入管理功能實體AM-FE，用於通過TAA-FE向ILSM-FE發送鑑權請求，在所述鑑權請求 中攜帶用於對用戶身份標識Host ID進行認證所需的安全參數；傳輸控制管理功能實體TLM-FE，用於將所述ID/L0C映射請求轉發給ILSM-FE ；身份標識與位置分離映射功能實體ILSM-FE，用於根據接收到的所述安全參數，進行對 用戶身份標識Host ID的認證和鑑權；根據接收到的所述ID/L0C映射請求，執行Host ID 與IP位址的映射。
9.根據權利要求8所述的系統，其特徵在於，所述HostID為一個公鑰，用於唯一地 標識一個用戶，由ILSM-FE依據鑑權信息查詢請求消息中攜帶的安全參數對用戶身份標識 Host ID進行認證和鑑權。
10.根據權利要求8所述的系統，其特徵在於，由UE發送包含用戶獲得的IP位址信息的ID/L0C映射請求消息給ILSM-FE ； ILSM-FE 接收到ID/L0C映射請求消息後進行Host ID與IP位址的映射，並向UE反饋ID/L0C映射 響應消息；或，由UE發送包含用戶獲得的IP位址的ID/L0C映射請求消息給TLM-FE，TLM-FE將所 述ID/L0C映射請求消息轉發給ILSM-FE ；ILSM-FE進行Host ID與IP位址的映射後通過 TLM-FE轉發ID/L0C映射響應消息給UE ；或，由TLM-FE直接發送包含用戶獲得的IP位址的ID/L0C映射請求給ILSM-FE ； ILSM-FE 進行Host ID與IP位址的映射後反饋ID/L0C映射響應給TLM-FE。
全文摘要
本發明公開了一種NGN中身份標識和位置分離的附著方法及系統，用於實現基於IPSPLIT的NGN中身份標識和位置分離的附著過程，能夠與NGN中現有的各種功能實體很好的結合，用戶身份標識用Host ID表示，附著過程中通過Host ID來查找用戶且在認證過程中對Host ID提供一種密鑰認證方法，當用戶因移動性或多穴性導致其位置發生變化時Host ID不發生變化，傳輸層的應用和連接是與用戶標識綁定的，從而應用和連接不會中斷，正在進行的通信會話和業務不會中斷，保證了附著的安全性和主機因移動性或多穴性位置發生變化時的無縫切換。
文檔編號H04W80/04GK101959172SQ20091015794
公開日2011年1月26日 申請日期2009年7月17日 優先權日2009年7月17日
發明者吳強, 吳波, 趙凝霞 申請人:中興通訊股份有限公司