CN100384120C - Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 - Google Patents
Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 Download PDFInfo
- Publication number
- CN100384120C CN100384120C CNB2004100848426A CN200410084842A CN100384120C CN 100384120 C CN100384120 C CN 100384120C CN B2004100848426 A CNB2004100848426 A CN B2004100848426A CN 200410084842 A CN200410084842 A CN 200410084842A CN 100384120 C CN100384120 C CN 100384120C
- Authority
- CN
- China
- Prior art keywords
- cscf
- authentication
- tlv triple
- user identification
- rand
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种在IP多媒体子系统中对终端用户标识模块进行鉴权的方法,该方法首先由IMS系统在收到UE发送来的注册请求后,确定针对该UE的三元组鉴权向量,所述三元组鉴权向量至少包含RAND和SRES,保留三元组中的SRES,并将RAND下发到UE;UE将所述RAND传送到自身的终端用户标识模块;终端用户标识模块计算RES,并将RES通过UE返回给IMS系统;IMS系统判断UE返回的RES是否与自身保存的SRES相等,如果是,则鉴权通过,否则,鉴权失败。本发明方案解决了现有技术中必须通过ISIM才能实现鉴权的问题。通过本发明方案实现了在IMS系统中通过SIM及USIM模块等对UE的鉴权,大大降低了IM业务的推广难度,且对现有网络的改动很小。
Description
技术领域
本发明涉及对移动终端的鉴权技术,更确切地说是涉及在IP多媒体子系统(IMS)中对终端用户标识模块进行鉴权的方法。
背景技术
随着多媒体业务的发展,目前已出现了针对移动终端的多媒体业务。现在为移动终端提供多媒体业务的IMS系统如图1所示,该系统起初是在第三代网络(3G)已有的分组域之外叠加的一个子域,这个子域专门用于支持IP多媒体业务。在条件成熟的情况下,IMS系统也可服务于终端局域网(WLAN)等其他方式接入的用户。
IMS系统主要由呼叫控制实体和媒体网关部件构成,在各个部件之间主要使用会话发起协议(SIP)传输控制信令。呼叫控制部件主要完成呼叫控制、地址转换、计费、隐蔽移动终端(UE)的移动性等功能,是IMS系统中的关键部件;媒体网关部件则是为与现有公共开关电话网络(PSTN)网络兼容而引入的。另外,IMS系统中的归属用户服务器(HSS)是归属网络中用于保存IMS用户签约信息的设备。
IMS系统的安全包括用户在IMS系统的鉴权和SIP消息的保护。IMS系统的安全架构如图2所示。其中,UE与归属网之间的鉴权及安全联盟(SA:Security Association)协商采用IMS鉴权密钥协议(AKA)双向认证机制,SIP消息的加密和完整性保护采用的是逐跳处理方式。
具体来说,在IMS系统中,为实现对IP多媒体(IM)用户的鉴权,3GPP协议组织使用了专门的IMS用户标识模块(ISIM)模块作为用户侧的鉴权模块,并使用了通用移动通信系统(UMTS)的AKA机制。IMS系统对用户的鉴权处理过程如图3所示,对应以下步骤:
步骤301、UE在需要使用IMS业务时,依次通过代理-呼叫状态控制功能(P_CSCF)及查询-呼叫扩控制功能(I_CSCF)将注册请求发送给服务呼叫状态控制功能(S_CSCF)。
步骤302、S_CSCF在收到注册请求后,如果自身存在针对该用户的五元组鉴权向量(AV),则直接利用该鉴权向量对用户进行鉴权,即进入步骤304;如果没有,则向HSS请求AV。
这里,五元组AV包括:随机数(RAND)、鉴权令牌(AUTN)、全球移动通信网使用的加密密钥(CK)、完整性密钥(IK)及预期响应(XRES)。
步骤303、HSS收到S_CSCF的请求后,确定五元组AV,并发送给S_CSCF。
当然,为提高效率,HSS一般会按顺序向S_CSCF发送多组五元组AV。
步骤304、S_CSCF保留HSS发送来的五元组AV中的XRES,将RAND、AUTN、CK及IK放在鉴权考验(Auth_Challenge)消息中,并将该消息通过I_CSCF发送给P_CSCF。
如果HSS发送多组五元组AV,则S_CSCF可以按顺序选择一组五元组AV,其他五元组AV则留在针对该用户的下一次鉴权中使用。
步骤305、P_CSCF保留S_CSCF通过Auth_Challenge消息发送来的CK和IK,并将RAND和AUTN下发到UE。
如果系统启动了一致性保护和保密性保护,则P_CSCF将在后续的会话中使用保存下来的IK和CK作为密钥。
步骤306、UE将收到的RAND和AUTN发送到ISIM。
步骤307、ISIM对收到的AUTN进行验证,并在验证通过后根据RAND计算响应(RES),然后将计算出的RES作为鉴权响应发送给UE,并由UE将该RES返回给S_CSCF,同时ISIM还根据RAND计算出IK和CK,并将IK和CK发送给UE。
ISIM对收到的AUTN进行验证包括确定AUTN中包含的MAC值是否合法,以及确定SQN是否可接受。其中,ISIM对SQN是否可接受的验证即为验证是否需要再同步。
UE具体会通过P_CSCF和I_CSCF将RES发送给S_CSCF,并保留IK和CK,以作为后续会话中的密钥。
步骤308~309、S_CSCF将UE发送来的鉴权响应中的RES与自身保存的XRES进行比较,如果相等,则确定鉴权通过,并通过I_CSCF及P_CSCF向UE发送鉴权成功消息;否则,确定鉴权失败。
上述处理过程要求使用单独的ISIM模块完成IM域的鉴权,也就是说,目前所设置的ISIM模块是专门用于实现IM域的鉴权的,而目前能够用于3G的终端用户标识模块都是不包含ISIM模块的,因此这些终端用户标识模块无法通过上述过程完成IM域的鉴权。比如,用户目前大多使用基于GSM/GPRS网络的用户标识模块(SIM)卡,即使部分网络升级到了3G网络,由于UE实现了双模应用,因此用户仍然可以通过SIM卡接入3G系统,这种情况下,由于SIM卡中没有ISIM模块,因此无法通过上述处理过程完成IM域的鉴权。再比如,目前已出现的针对3G的UICC卡,一般只包含了用于CS域和PS域鉴权的USIM模块,这样也就无法通过上述处理过程完成IM域的鉴权。
如果不用上述基于ISIM模块的处理过程完成对IM域的鉴权,而是希望通过USIM模块实现鉴权,则会出现因USIM模块在实现CS域或PS域鉴权的同时对IM域进行鉴权而引起频繁再同步的问题。所谓再同步是指:USIM模块中保存了SQNMS,如果HSS/HLR下发的五元组中的SQN比USIM模块中保存的SQNMS旧,而下发的SQN是以HSS/HLR保存的SQNHE为准的,这说明SQNHE比SQNMS旧,故将引发USIM模块会用自身的SQNMS去同步HSS/HLR中的SQNHE。
具体来说,为提高网络的存取效率,针对CS域的VLR、针对PS域的SGSN,以及针对IM域的S_CSCF在索取鉴权向量时都会索取多组,每次只使用其中一组进行鉴权处理,并自行缓存剩余的鉴权向量。在这种情况下,如果各个域的操作频度不同,比如,SGSN和VLR先后向HSS获取了5组鉴权元组,在各自使用了一组之后,可能由于用户在CS域的操作很频繁,使得SGSN中已缓存的4组剩余鉴权向量将比USIM模块中的SQNMS旧,此时USIM模块中保存的SQNMS以VLR下发的SQN为准,这样,USIM模块就会用自身的SQNMS去同步HSS/HLR中的SQNHE,进而导致SGSN/VLR当前缓存的所有鉴权向量失效。从上述例子可见,如果不同域的操作频度相差较大,则必然会引起频繁的再同步。
为解决上述频繁再同步的问题,可以用HSS来替代现网中的所有HLR,因为HSS可以将下发的SQN划分为CS域、PS域和IM域,这样,USIM模块可以分别对各个域内的SQN进行比较,只要能够保证HSS下发给每个域的鉴权元组所对应的SQN是有序的,就不会导致不必要的再同步过程。
由于每个域中都只有一个网络实体用于缓存鉴权元组,比如,CS域中有VLR缓存、PS域中有SGSN缓存,IM域中则有S_CSCF缓存,因此通过HSS对SQN的划分可以解决再同步问题。
但是,由于目前的网络处于初始阶段,大规模替换HLR基本上是不可能的,更为合理的解决方案是在现网的基础上叠加一个或多个专门提供IM业务的HSS,而现有的HLR保持不变,继续提供CS和PS域的业务,HSS则通过与现网中HLR的交互获取用户的CS/PS信息。这种组网情况下,新增的IM域和已有的CS/PS域可以共享USIM,且IM域的HSS能够从用户归属的HLR获取鉴权向量,但由于HLR无法将下发的SQN划分为CS域、PS域和IM域,因此频繁再同步的问题仍然没有解决。
另外,如果采用在现有网络上叠加建设IMS系统时,由于需要对SQN进行校验,因此需要现网的HLR与新增的HSS共享同一个AUC,对现网的影响较大。
从以上描述可知,要想SIM卡中实现IM业务,或者使用USIM卡实现IM业务且不会出现频繁再同步的问题,目前按照3GPP的建议方案就是将卡更换为包含ISIM模块的卡。根据目前的运营模式,如果用户想要升级UE,可以通过各种途径实现,包括购置新机、通过Java或者手机制造商提供的接口升级等,这些升级具有很强的可操作性。但如果用户想要换卡,则必须到运营商授权的专门营业点进行更换,而为保证业务的持续性,新卡中的IMSI与旧卡中的IMSI必须保证一定的关联性,比如,必须归属同一个HLR,因此,换卡在实际操作时必然非常繁琐。
综上所述,目前要想使用IM业务,则用户的终端用户标识模块中必须包含ISIM模块,显然这对终端用户标识模块的要求比较高,往往需要用户更换自身的SIM卡或USIM卡才能实现。而换卡在实际操作中非常繁琐,必然会大大降低IM业务的吸引力,增加运营商推广IM业务的难度。
发明内容
有鉴于此,本发明的主要目的在于提供在IMS系统中对终端用户标识模块进行鉴权的方法,以使用户不用更换自身的终端用户标识模块,即可使用3G系统中的IM业务。
为达到以上目的,本发明的技术方案是这样实现的:一种在IP多媒体子系统中对终端用户标识模块进行鉴权的方法,该方法包括以下步骤:
a.IP多媒体子系统IMS在收到移动终端UE发送来的注册请求后,由所述IMS系统中的归属用户服务器HSS或服务一呼叫状态控制功能S CSCF确定针对该UE的三元组鉴权向量,所述三元组鉴权向量至少包含随机数RAND和符号响应SRES,保留三元组中的SRES,并将RAND下发到UE;
b.UE将所述RAND传送到自身的终端用户标识模块;其中,所述终端用户标示模块为SIM模块或USIM模块;
c.终端用户标识模块根据RAND计算RES,并将RES通过UE返回给IMS系统;
d.IMS系统中的S_CSCF判断UE返回的RES是否与自身保存的SRES相等,如果是,则鉴权通过,否则,鉴权失败。
所述步骤a中,所述IMS系统确定针对UE的三元组鉴权向量包括:IMS系统中的S_CSCF判断自身是否存有针对该UE的三元组鉴权向量,如果是,则执行后续步骤;否则,向归属用户服务器HSS请求针对该UE的三元组鉴权向量;
HSS在收到S_CSCF发送来的鉴权向量请求后,确定针对该UE的三元组鉴权向量,并发送给S_CSCF。
当所述UE中的终端用户标识模块为用户标识模块SIM时,所述HSS直接确定针对该UE中SIM模块的三元组鉴权向量。
当所述UE中的终端用户标识模块为用户服务标识模块USIM时;所述HSS确定针对UE的三元组鉴权向量包括:HSS首先确定针对USIM模块的五元组鉴权向量,并将所述五元组鉴权向量转换为三元组鉴权向量。
所述三元组鉴权向量进一步包括:Kc;所述五元组鉴权向量包括:RAND、XRES、IK、CK和AUTN;所述将五元组鉴权向量转换为三元组鉴权向量为:丢弃五元组中的AUTN,保留RAND,将XRES转换为SRES,并将IK和CK转换为Kc。
所述步骤c中,所述终端用户标识模块根据RAND计算RES包括:USIM模块根据是否收到AUTN判断是否将五元组转换为三元组,比如判断是否需要启动3G+Kc模式,如果没有收到AUTN,则启动3G+Kc模式,并根据RAND计算出XRES,将XRES转换为SRES;如果收到AUTN,则不启动3G+Kc模式,并结束本处理流程。
所述步骤a中,IMS系统将RAND下发到UE为:S_CSCF通过I_CSCF及P_CSCF将RAND下发到UE;
步骤c中,所述终端用户标识模块将RES通过UE返回给IMS系统为:终端用户标识模块将RES发送给UE,UE再将所述RES通过代理呼叫状态控制功能P_CSCF及I_CSCF发送给S_CSCF。
所述系统启用一致性保护和保密性保护;且所述三元组中进一步包括Kc;
所述步骤a进一步包括:IMS系统中的S_CSCF将三元组中的Kc转换为CK和IK,并将所述CK和IK通过I_CSCF发送给P_CSCF;
所述步骤c进一步包括:终端用户标识模块计算Kc,并将所述Kc上传给UE;
该方法进一步包括:UE将终端用户标识模块上传的Kc转换为IK和CK;UE和P_CSCF将所述IK和CK作为后续会话中的密钥。
所述系统启用一致性保护和保密性保护;
所述步骤a进一步包括:IMS系统中的S_CSCF将三元组中的Kc直接通过I_CSCF发送给P_CSCF;
所述步骤c进一步包括:终端用户标识模块计算Kc,并将所述Kc上传给UE;
该方法进一步包括:P_CSCF及UE将自身收到的Kc转换为CK和IK;UE和P_CSCF并将所述IK和CK作为后续会话中的密钥。
所述终端用户标识模块为USIM模块;
步骤c中,所述终端用户标识模块计算Kc进一步包括:USIM模块判断是否收到AUTN,如果没有收到AUTN,则确定需要将五元组转换为三元组,比如需要启动3G+Kc模式后,根据RAND计算出IK和CK,并将IK和CK转换为Kc,之后将所述Kc发送给UE。
本发明方案通过IMS系统使用三元组鉴权向量对终端用户标识模块进行鉴权,在实现了使用现有的SIM模块或USIM模块进行鉴权的同时,还避开了USIM模块对SQN的校验,继而使得在现网基础上新建的HSS不需要与现网中的HLR共享同一个AUC,也就是说,可以针对HSS单独设置AUC,从而使得在现网中增加HSS时,不需要因鉴权问题升级任何已有的现网设备。
通过本发明方案,使得使用诸如SIM模块、USIM模块之类的用户不需要升级或换卡即可享受IM业务,大大降低了IM业务的推广难度。
另外,本发明方案所涉及的所有修改和改造都是在IM域的相关网络实体中实现的,对于目前的GSM、GPRS以及UMTS中的所有设备都没有任何的额外要求,使得在现有网络上叠加一个专门用于提供IM域的IMS系统成为可能。
附图说明
图1为目前的IMS系统结构示意图;
图2为IMS的安全架构示意图;
图3为现有技术中IMS系统通过ISIM对UE进行鉴权的消息流时序图;
图4为本发明中IMS系统通过SIM对UE进行鉴权的消息流时序图;
图5为本发明中IMS系统通过SIM对UE进行鉴权的另一种方案的消息流时序图;
图6为本发明中IMS系统通过USIM对UE进行鉴权的消息流时序图;
图7为本发明中IMS系统通过USIM对UE进行鉴权的另一种方案的消息流时序图。
具体实施方式
由于图3所示处理过程需要验证AUTN,对于SIM模块及USIM模块来说,验证AUTN会带来频繁再同步的问题,因此,本发明的核心思想在于:S_CSCF在需要对UE进行鉴权时,利用不包含AUTN的三元组鉴权向量进行鉴权来避开对SQN的校验。这样,HSS发送给S_CSCF的鉴权向量也应该为三元组。
下面分别以SIM和USIM作为终端用户标识模块为例,结合附图对本发明方案作详细的说明。
图4所示为SIM卡接入IM域的鉴权处理过程,对应以下步骤:
步骤401、UE在需要使用IMS业务时,依次通过P_CSCF及I_CSCF将注册请求发送给S_CSCF。
步骤402、S_CSCF在收到注册请求后,判断自身是否存在针对该用户的三元组AV,如果存在,则直接利用该AV对用户进行鉴权,即进入步骤404;如果不存在,则向HSS请求AV。
这里,三元组AV包括:RAND、符号响应SRES和Kc。
步骤403、HSS在收到S_CSCF的请求后,确定针对该SIM模块的三元组AV,并发送给S_CSCF。
由于SIM本身就支持三元组AV,因此HSS可以直接确定针对该SIM的三元组AV。
另外,为提高效率,HSS一般会按顺序向S_CSCF发送多组三元组AV。
步骤404、S_CSCF保留HSS发送来的三元组AV中的SRES,使用标准算法将Kc转换为CK和IK,之后将RAND及转换得到的CK和IK通过Auth_Challenge消息发送给P_CSCF。
如果HSS发送的是多组三元组AV,则S_CSCF可以按顺序选择一组AV,其他AV则留在针对该用户的下一次鉴权中使用。
步骤405、P_CSCF保留S_CSCF通过Auth_Challenge消息发送来的CK和IK,并将RAND下发到UE。
如果系统启动了一致性保护和保密性保护,则P_CSCF将在后续的会话中使用保存下来的IK和CK作为密钥。
步骤406、UE将收到的RAND传送给SIM。
步骤407、SIM在收到RAND后,根据RAND计算出RES和Kc,并将RES作为鉴权响应通过UE返回给S_CSCF,同时将Kc上传给UE。
UE具体会依次通过P_CSCF和I_CSCF将SIM返回的鉴权响应发送给S_CSCF。
步骤408~409、S_CSCF将UE发送来的鉴权响应中的RES与自身保存的SRES进行比较,如果相等,则确定鉴权通过,并通过I_CSCF及P_CSCF向UE发送鉴权成功消息;否则,确定鉴权失败。
通过上述处理过程即可实现对SIM的鉴权。当然,如果系统启动了一致性保护和保密性保护,则UE还需要将SIM发送来的Kc转换为IK和CK,以作为后续会话的一致性密钥和完整性密钥。
在上述处理过程中,S_CSCF与UE使用的转换算法可以是3GPP TS33.102中给定的三元组和五元组转换算法,从而提高通用性。
对于针对SIM卡鉴权的过程来说,还可以通过图5所示过程实现。该过程与上述图4所示过程相比,图5中的步骤501~503,以及步骤506~509与图4中的相应步骤相同,其主要区别在于:
在步骤504中,S_CSCF不对Kc进行转换,而是直接将Kc通过Auth_Challenge消息发送给P_CSCF。
在步骤505中,P_CSCF保留的是S_CSCF通过Auth_Challenge消息发送来的Kc。当然,如果系统启动了一致性保护和保密性保护,则P_CSCF还需要使用标准算法将该Kc转换为CK和IK,并在后续的会话中使用保存下来的IK和CK作为密钥。
上述结合图4及图5对通过SIM鉴权的过程进行了描述,对于通过USIM进行鉴权的过程来说,则如图6所示,对应以下步骤:
步骤601、UE在需要使用IMS业务时,依次通过P_CSCF及I_CSCF将注册请求发送给S_CSCF。
步骤602、S_CSCF在收到注册请求后,判断自身是否存在针对该用户的三元组AV,如果存在,则直接利用该AV对用户进行鉴权,即进入步骤604;如果不存在,则向HSS请求三元组AV。
这里,三元组AV包括:RAND、SRES和Kc。
步骤603、HSS在收到S_CSCF的请求后,确定与该USIM对应的五元组AV,该五元组AV包括RAND、XRES、IK、CK和AUTN,再使用标准转换算法将该五元组AV转换为相应的三元组AV,该三元组AV包括RAND、SRES和Kc,然后将所得的三元组AV下发给S_CSCF。
由于USIM本身不支持三元组AV,因此HSS需要首先确定USIM所支持的五元组AV,再将其转换为相应的三元组AV。主要转换工作为:保留原有的RAND,丢弃AUTN,将XRES转换为SRES,以及将IK和CK转换为Kc。
另外,为提高效率,HSS一般会确定多个五元组AV,并将每个五元组AV转换为相应的三元组AV,然后再将转换得到的三元组AV按顺序发送给S_CSCF。
步骤604、S_CSCF保留HSS发送来的三元组AV中的SRES,使用标准算法将Kc转换为CK和IK,之后将RAND及转换得到的CK和IK通过Auth_Challenge消息发送给P_CSCF。
当然,如果HSS发送的是多组三元组AV,则S_CSCF可以按顺序选择一组AV,其他AV则留在针对该用户的下一次鉴权中使用。
步骤605、P_CSCF保留S_CSCF通过Auth_Challenge消息发送来的CK和IK,并将RAND下发到UE。
如果系统启动了一致性保护和保密性保护,则P_CSCF将在后续的会话中使用保存下来的IK和CK作为密钥。
步骤606、UE将收到的RAND传送给USIM。
步骤607、USIM在收到RAND后,在根据AUTN确定需要将五元组转换为三元组后,利用RAND计算出XRES、IK及CK,然后再使用转换算法将XRES转换为RES,将IK和CK转换为Kc,并将所述RES作为鉴权响应通过UE返回给S_CSCF,同时将转换得到的Kc上传给UE。
其中,USIM根据AUTN确定需要将五元组转换为三元组,可以是根据AUTN确定需要启动3G+Kc模式。USIM根据AUTN确定是否需要启动3G+Kc模式具体为:USIM判断是否收到AUTN,如果收到AUTN,则不启动3G+Kc模式,并按照原有处理逻辑进行处理;如果没有收到AUTN,则启动3G+Kc模式,之后执行所述后续处理过程。
UE具体会依次通过P_CSCF和I_CSCF将USIM返回的鉴权响应发送给S_CSCF。
步骤608~609、S_CSCF将UE发送来的鉴权响应中的RES与自身保存的SRES进行比较,如果相等,则确定鉴权通过,并通过I_CSCF及P_CSCF向UE发送鉴权成功消息;否则,鉴权失败。
当然,如果系统启动了一致性保护和保密性保护,则UE还需要将USIM发送来的Kc转换为IK和CK,以作为后续会话的一致性密钥和完整性密钥。
同样,上述处理所使用的转换算法可以是3GPP TS 33.102中给定的三元组和五元组转换算法,从而提高通用性。
对于针对USIM卡鉴权的过程来说,还可以通过图7所示过程实现。该过程与上述图6所示过程相比,其主要区别与上述SIM卡鉴权过程中图4与图5所示流程之间的区别相同。也就是说,S_CSCF可以对Kc不作转换,而是直接发送给P_CSCF,如果系统启动了一致性保护和保密性保护,则P_CSCF还需要使用标准算法将该Kc转换为CK和IK,并将其作为后续会话中的密钥。
以上所述仅为本发明方案的较佳实施例,并不用以限定本发明的保护方案。
Claims (10)
1.一种在IP多媒体子系统中对终端用户标识模块进行鉴权的方法,其特征在于,该方法包括以下步骤:
a.IP多媒体子系统IMS在收到移动终端UE发送来的注册请求后,由所述IMS系统中的归属用户服务器HSS或服务-呼叫状态控制功能S_CSCF确定针对该UE的三元组鉴权向量,所述三元组鉴权向量至少包含随机数RAND和符号响应SRES,保留三元组中的SRES,并将RAND下发到UE;
b.UE将所述RAND传送到自身的终端用户标识模块;其中,所述终端用户标识模块为SIM模块或USIM模块;
c.终端用户标识模块根据RAND计算RES,并将RES通过UE返回给IMS系统;
d.IMS系统中的S_CSCF判断UE返回的RES是否与自身保存的SRES相等,如果是,则鉴权通过,否则,鉴权失败。
2.根据权利要求1所述的方法,其特征在于,所述步骤a中,所述IMS系统确定针对UE的三元组鉴权向量包括:S_CSCF判断自身是否存有针对该UE的三元组鉴权向量,如果是,则执行后续步骤;否则,
向HSS请求针对该UE的三元组鉴权向量;HSS在收到S_CSCF发送来的鉴权向量请求后,确定针对该UE的三元组鉴权向量,并发送给S_CSCF。
3.根据权利要求2所述的方法,其特征在于,当所述UE中的终端用户标识模块为用户标识模块SIM时,所述HSS直接确定针对该UE中SIM模块的三元组鉴权向量。
4.根据权利要求2所述的方法,其特征在于,当所述UE中的终端用户标识模块为用户服务标识模块USIM时;
所述HSS确定针对UE的三元组鉴权向量包括:HSS首先确定针对USIM模块的五元组鉴权向量,并将所述五元组鉴权向量转换为三元组鉴权向量。
5.根据权利要求4所述的方法,其特征在于,所述三元组鉴权向量进一步包括:全球移动通信网使用的加密密钥Kc;所述五元组鉴权向量包括:RAND、预期响应XRES、完整性密钥IK、加密密钥CK和鉴权令牌AUTN;
所述将五元组鉴权向量转换为三元组鉴权向量为:丢弃五元组中的AUTN,保留RAND,将XRES转换为SRES,并将IK和CK转换为Kc。
6.根据权利要求4所述的方法,其特征在于,所述步骤c中,所述终端用户标识模块根据RAND计算RES包括:USIM模块根据是否收到AUTN判断是否需要将五元组转换为三元组,如果没有收到AUTN,则确定需要将五元组转换为三元组,根据RAND计算出XRES,将XRES转换为SRES;如果收到AUTN,则不执行转换,并结束本处理流程。
7.根据权利要求1所述的方法,其特征在于,所述步骤a中,IMS系统将RAND下发到UE为:S_CSCF通过代理呼叫状态控制功能P_CSCF将RAND下发到UE;
步骤c中,所述终端用户标识模块将RES通过UE返回给IMS系统为:终端用户标识模块将RES发送给UE,UE再将所述RES通过P_CSCF发送给S_CSCF。
8.根据权利要求7所述的方法,其特征在于,所述系统启用一致性保护和保密性保护;所述三元组中进一步包括Kc;
所述步骤a进一步包括:IMS系统中的S_CSCF将三元组中的Kc转换为CK和IK,并将所述CK和IK发送给P_CSCF;
所述步骤c进一步包括:终端用户标识模块计算Kc,并将所述Kc上传给UE;
该方法进一步包括:UE将终端用户标识模块上传的Kc转换为IK和CK;UE和P_CSCF将所述IK和CK作为后续会话中的密钥。
9.根据权利要求7所述的方法,其特征在于,所述系统启用一致性保护和保密性保护;
所述步骤a进一步包括:IMS系统中的S_CSCF将三元组中的Kc直接发送给P_CSCF;
所述步骤c进一步包括:终端用户标识模块计算Kc,并将所述Kc上传给UE;
该方法进一步包括:P_CSCF及UE将自身收到的Kc转换为CK和IK;UE和P_CSCF并将所述IK和CK作为后续会话中的密钥。
10.根据权利要求8或9所述的方法,其特征在于,当所述终端用户标识模块为USIM模块;
步骤c中,所述终端用户标识模块计算Kc进一步包括:USIM模块判断是否收到AUTN,如果没有收到AUTN,则确定需要将五元组转换为三元组,根据RAND计算出IK和CK,并将IK和CK转换为Kc,之后将所述Kc发送给UE。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100848426A CN100384120C (zh) | 2004-09-30 | 2004-09-30 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100848426A CN100384120C (zh) | 2004-09-30 | 2004-09-30 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1756428A CN1756428A (zh) | 2006-04-05 |
| CN100384120C true CN100384120C (zh) | 2008-04-23 |
Family
ID=36689283
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100848426A Expired - Fee Related CN100384120C (zh) | 2004-09-30 | 2004-09-30 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100384120C (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068196B (zh) * | 2006-05-01 | 2010-05-12 | 中兴通讯股份有限公司 | 一种蓝牙手机接入蓝牙网关的业务接入控制方法 |
| DE102006026929B4 (de) * | 2006-06-09 | 2008-03-06 | Siemens Ag | Verfahren zur mehrfachen Registrierung eines multimodalen Kommunikationsendgerätes |
| CN101106457B (zh) * | 2006-07-10 | 2010-05-12 | 华为技术有限公司 | Ip多媒体子系统网络中确定用户终端鉴权方式的方法 |
| CN101247630B (zh) * | 2007-02-14 | 2012-05-09 | 中国移动通信集团公司 | 实现多媒体广播业务密钥协商的系统及方法 |
| CN101083838B (zh) * | 2007-06-29 | 2012-11-28 | 中兴通讯股份有限公司 | Ip多媒体子系统中的http摘要鉴权方法 |
| CN101163010B (zh) * | 2007-11-14 | 2010-12-08 | 华为软件技术有限公司 | 对请求消息的鉴权方法和相关设备 |
| CN101466096B (zh) * | 2007-12-17 | 2010-07-21 | 大唐移动通信设备有限公司 | 一种触发鉴权过程同步失败的方法及系统 |
| CN101662768B (zh) * | 2008-08-28 | 2013-06-19 | 阿尔卡特朗讯公司 | 基于个人手持电话系统的用户标识模块的认证方法和设备 |
| CN102056171A (zh) * | 2009-11-10 | 2011-05-11 | 中国移动通信集团公司 | 对不同网络间漫游的用户卡进行认证的方法、系统及装置 |
| CN101854630A (zh) * | 2010-05-25 | 2010-10-06 | 中兴通讯股份有限公司 | 一种实现卡鉴权的方法、系统及用户设备 |
| CN102378174A (zh) * | 2010-08-25 | 2012-03-14 | 大唐移动通信设备有限公司 | 一种sim卡的用户终端的接入方法、装置及系统 |
| CN103581153A (zh) * | 2012-08-08 | 2014-02-12 | 中国移动通信集团公司 | 物联网系统中的加密方法和装置 |
| CN103581154B (zh) * | 2012-08-08 | 2017-01-25 | 中国移动通信集团公司 | 物联网系统中的鉴权方法和装置 |
| CN107005842B (zh) * | 2014-12-02 | 2019-12-24 | 华为技术有限公司 | 一种无线通信网络中的鉴权方法、相关装置及系统 |
| CN106657034B (zh) * | 2016-12-02 | 2020-09-25 | 中国联合网络通信集团有限公司 | 一种业务鉴权的方法及鉴权能力开放服务器 |
| CN109041205A (zh) * | 2018-08-23 | 2018-12-18 | 刘高峰 | 客户端注册方法、装置及系统 |
| CN115022878B (zh) * | 2022-08-08 | 2022-11-11 | 中国电子科技集团公司第三十研究所 | 对选定VoLTE用户接管的方法、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1430835A (zh) * | 2000-03-31 | 2003-07-16 | 诺基亚有限公司 | 分组数据网中的验证 |
| WO2003084257A1 (en) * | 2002-03-28 | 2003-10-09 | Nokia Corporation | Method and system for re-authentication in ip multimedia core network system (ims) |
| US20030200433A1 (en) * | 2002-04-18 | 2003-10-23 | Nokia Corporation | Method and apparatus for providing peer authentication for an internet key exchange |
| WO2003105436A1 (de) * | 2002-06-07 | 2003-12-18 | Siemens Aktiengesellschaft | Verfahren und vorrichtung zur authentifizierung eines teilnehmers für die inanspruchnahme von diensten in einem wireless lan (wlan) |
| CN1474586A (zh) * | 2002-08-07 | 2004-02-11 | 华为技术有限公司 | Ip多媒体域用户呼叫的快速摘要认证方法 |
| US20040153667A1 (en) * | 2002-05-22 | 2004-08-05 | Georg Kastelewicz | Method for registering a communication terminal |
-
2004
- 2004-09-30 CN CNB2004100848426A patent/CN100384120C/zh not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1430835A (zh) * | 2000-03-31 | 2003-07-16 | 诺基亚有限公司 | 分组数据网中的验证 |
| WO2003084257A1 (en) * | 2002-03-28 | 2003-10-09 | Nokia Corporation | Method and system for re-authentication in ip multimedia core network system (ims) |
| US20030200433A1 (en) * | 2002-04-18 | 2003-10-23 | Nokia Corporation | Method and apparatus for providing peer authentication for an internet key exchange |
| US20040153667A1 (en) * | 2002-05-22 | 2004-08-05 | Georg Kastelewicz | Method for registering a communication terminal |
| WO2003105436A1 (de) * | 2002-06-07 | 2003-12-18 | Siemens Aktiengesellschaft | Verfahren und vorrichtung zur authentifizierung eines teilnehmers für die inanspruchnahme von diensten in einem wireless lan (wlan) |
| CN1474586A (zh) * | 2002-08-07 | 2004-02-11 | 华为技术有限公司 | Ip多媒体域用户呼叫的快速摘要认证方法 |
Non-Patent Citations (2)
| Title |
|---|
| 3GPP TS 33.102 v5.4.0. 3GPP,全文. 2004 * |
| 3GPP2 S.R0086-A,Version:1.0 IMS Security Framework. 3GPP2,全文. 2004 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1756428A (zh) | 2006-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100428848C (zh) | 一种对终端用户标识模块进行ip多媒体域鉴权的方法 | |
| CN100384120C (zh) | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 | |
| US9432363B2 (en) | System and method for using credentials of a first client station to authenticate a second client station | |
| AU2005236981B2 (en) | Improved subscriber authentication for unlicensed mobile access signaling | |
| US8887235B2 (en) | Authentication interworking | |
| US7813730B2 (en) | Providing mobile core services independent of a mobile device | |
| CN100596084C (zh) | 移动电路域用户接入ims网络的系统及其接入的注册方法 | |
| CN101606372B (zh) | 支持无uicc呼叫 | |
| US8626708B2 (en) | Management of user data | |
| US20060128362A1 (en) | UMTS-WLAN interworking system and authentication method therefor | |
| US7593717B2 (en) | Authenticating access to a wireless local area network based on security value(s) associated with a cellular system | |
| KR100755394B1 (ko) | Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법 | |
| KR101427447B1 (ko) | 원 패스 인증 메커니즘 및 시스템 | |
| US8611859B2 (en) | System and method for providing secure network access in fixed mobile converged telecommunications networks | |
| US20060154645A1 (en) | Controlling network access | |
| WO2007097101A1 (ja) | 無線アクセスシステムおよび無線アクセス方法 | |
| US20060023882A1 (en) | Communication system and method for authentication therefor | |
| EP2486741B1 (en) | System and method for managing security keys for multiple security contexts of a wireless user device to handover communications in a network | |
| US11943624B2 (en) | Electronic subscriber identity module transfer eligibility checking | |
| CN101053203B (zh) | 对终端用户标识模块进行因特网多媒体域鉴权的方法及系统 | |
| KR100578375B1 (ko) | 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증방법 및 시스템 | |
| WO2015149891A1 (en) | Mobile device authentication | |
| KR20110108680A (ko) | 인증 방법 및 장치 | |
| Kotuliak et al. | Provisioning of VoIP Services for Mobile Subscribers Using WiFi Access Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080423 |