CN100583766C - 多媒体子系统及其建立通道的方法和装置 - Google Patents
多媒体子系统及其建立通道的方法和装置 Download PDFInfo
- Publication number
- CN100583766C CN100583766C CN200610170633A CN200610170633A CN100583766C CN 100583766 C CN100583766 C CN 100583766C CN 200610170633 A CN200610170633 A CN 200610170633A CN 200610170633 A CN200610170633 A CN 200610170633A CN 100583766 C CN100583766 C CN 100583766C
- Authority
- CN
- China
- Prior art keywords
- cscf
- message
- password
- authentication challenge
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000004321 preservation Methods 0.000 claims description 17
- 230000005540 biological transmission Effects 0.000 claims description 8
- 238000012217 deletion Methods 0.000 claims description 7
- 230000037430 deletion Effects 0.000 claims description 7
- 230000011664 signaling Effects 0.000 abstract description 15
- 238000009795 derivation Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Landscapes
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供多媒体子系统及其建立通道的方法和装置,用于在IMS子系统中建立PSK TLS链接。本发明通过在注册消息中携带PSK TSL为可选安全策略,在信令注册的过程中进行共享密钥的协商,有效加快PSK TSL和信令注册的过程。
Description
技术领域
本发明涉及通信领域,尤其涉及多媒体子系统及其建立通道的方法和装置。
背景技术
目前,多媒体子系统(IMS,IP Multimedia Subsystem IP)网络中许多场景下采用传输层安全(TLS,Transport Layer Security)进行会话初始协议(SIP,Session Initiation Protocol)信令的加密。现有技术中终端与代理呼叫会话控制功能实体(P-CSCF,Proxy Call Session Control Function)建立TLS时,采用SIP信令的注册与建立TLS分开的思路,在注册前建立TLS链接,之后所有的SIP消息在此链路上传送。
由于现有技术中建立TLS链路与SIP信令的注册分离,建立TLS链路前必须先在终端和P-CSCF建立TCP链接,整个过程时延较长;且由于建立TLS与信令注册是分开的过程,在信令注册的过程中终端和P-CSCF之间都需要进行HTTP Digest的认证,终端用户必须判断证书的有效性,用户使用麻烦;其次,由于先建立TLS,再进行SIP信令的传输,若网络中存在恶意用户只建立TLS,不进行SIP信令的传输,在终端和P-CSCF之间建立大量的TLS,会造成P-CSCF的资源耗尽。
发明内容
本发明要解决的技术问题是提供一种多媒体子系统中建立通道的方法及多媒体子系统及终端及代理呼叫会话控制功能实体,可以减少终端和P-CSCF间建立PSK TLS链接以及在所述PSK TLS链接上进行SIP信令注册、传送的时延。
为解决上述技术问题,本发明的目的是通过以下技术方案实现的:
本发明实施例提供一种多媒体子系统中建立通道的方法,包括:
终端向代理呼叫会话控制功能实体P-CSCF发送注册消息,所述注册消息包含共享密钥实现传输层安全PSK TLS的安全策略;P-CSCF将所述注册消息发送到服务呼叫会话控制功能实体S-CSCF;所述S-CSCF计算密码摘要,将携带用户名和所述密码摘要的认证挑战消息发送到所述P-CSCF;P-CSCF若支持PSK TLS安全策略,保存服务呼叫会话控制功能实体S-CSCF返回的认证挑战消息中携带的用户名和密码摘要,从认证挑战消息中删除用户名和密码摘要;P-CSCF向终端发送删除了用户名和密码摘要的认证挑战消息;终端与P-CSCF协商密钥派生算法,建立PSK TLS链接。
可选的,所述P-CSCF若不支持PSK TLS的安全策略,向终端返回认证挑战错误消息。
可选的,所述P-CSCF将所述表明共享密钥实现传输层安全PSK TLS为安全策略的注册消息发送到服务呼叫会话控制功能S-CSCF后,所述S-CSCF计算密码摘要,将携带所述用户名和所述密码摘要的认证挑战消息发送到所述P-CSCF之前,包括:
所述S-CSCF向归属签约用户服务器HSS发送携带用户名的密码索取消息;
HSS根据用户名查询用户配置数据,将携带与所述用户名对应的密码和用户名的密码索取消息返回给S-CSCF。
本发明实施例还提供一种多媒体子系统,包括:
P-CSCF,用于接收终端发送的注册消息,所述注册消息包含共享密钥实现传输层安全PSK TLS的安全策略;将所述注册消息发送到服务呼叫会话控制功能S-CSCF,判断若支持PSK TLS安全策略,保存服务呼叫会话控制功能实体S-CSCF返回的认证挑战消息中携带的用户名和密码摘要,与终端协商密码派生算法,建立与终端之间的PSK TLS链接;S-CSCF,用于计算密码摘要,将携带所述用户名和所述密码摘要的认证挑战消息发送到所述P-CSCF。
可选的,所述P-CSCF,用于若不支持PSK TLS安全策略,向所述终端返回认证挑战错误消息。
可选的,所述多媒体子系统包括:
所述S-CSCF,用于向归属签约用户服务器HSS发送携带用户名的密码索取消息;
HSS,用于根据用户名查询用户配置数据,将携带与所述用户名对应的密码和用户名的密码索取消息返回给S-CSCF。
本发明实施例还提供一种终端,包括:
注册消息发送单元,用于向代理呼叫会话控制功能实体P-CSCF发送注册消息,所述注册消息包含共享密钥实现传输层安全PSK TLS的安全策略;认证挑战消息接收单元,用于在所述注册消息发送单元向所述P-CSCF发送注册消息后,接收P-CSCF发送的未携带用户名和密码摘要的认证挑战消息;密钥算法协商单元,用于在所述认证挑战消息接收单元接收P-CSCF发送的未携带用户名和密码摘要的认证挑战消息后,与P-CSCF协商密钥派生算法;建立PSK TLS单元,用于在所述密钥算法协商单元与P-CSCF协商密钥派生算法后,建立与P-CSCF之间的PSK TLS链接。
本发明实施例还提供一种代理呼叫会话控制功能实体,包括:
注册消息转发单元,用于将终端发送的注册消息发送给S-CSCF,所述注册消息包含共享密钥实现传输层安全PSK TLS的安全策略;安全策略判断单元,用于判断是否支持PSK TLS安全策略,若支持则通知密码保存单元保存S-CSCF返回的认证挑战消息中携带的用户名和密码摘要;密码保存单元,用于在所述安全策略判断单元判断支持PSK TLS安全策略后,保存S-CSCF返回的认证挑战消息中携带的用户名和密码摘要,并从认证挑战消息中删除用户名和密码摘要;认证挑战消息转发单元,用于将所述密码保存单元删除了用户名和密码摘要的认证挑战消息发送到终端。密钥协商单元,用于在所述认证挑战消息转发单元将所述密码保存单元删除了用户名和密码摘要的认证挑战消息发送到终端后,与终端协商密钥派生算法;建立PSK TLS链接单元,用于在密钥协商单元与终端协商密钥派生算法后建立与终端之间的PSK TLS链接。
以上技术方案可以看出,由于本发明在注册消息中表明共享密钥实现传输层安全PSK TLS为安全策略,在信令注册过程中协商安全策略,减少了建立PSK TLS链接和信令注册的时间,有效地减少信令注册、传送的时延。
进一步的,由于本发明在注册消息中携带的是用户名和密码摘要,有效地防止密码在传输的过程中被窃听,且注册消息中不需要再携带认证消息,终端和服务器端都不需要再进行认证信息的判断,用户使用方便。
进一步的,本发明提供若P-CSCF不支持PSK TLS的安全策略,向终端返回认证挑战错误消息,避免若P-CSCF不支持PSK TLS的安全策略时,终端长时间得不到响应,浪费用户时间。
进一步的,由于本发明提供P-CSCF通过S-CSCF向HSS索取用户名以及与用户名对应的密码,S-CSCF计算密码摘要反馈给P-CSCF,减少P-CSCF的负担。
进一步的,由于本发明在建立PSK TLS链接时,进行密码摘要算法的协商,保证终端和P-CSCF密码摘要算法的一致性,保证顺利建立PSK TLS链接。
附图说明
图1是本发明提供的多媒体子系统中建立通道的方法实施例图;
图2是本发明实施例提供的多媒体子系统结构图。
具体实施方式
本发明提供一种在多媒体子系统中建立通道的方法及多媒体子系统及终端及代理呼叫会话控制功能实体,可以实现在终端和P-CSCF间建立PSK TLS链接。本发明通过在注册消息中携带PSK TSL为可选安全策略,在信令注册的过程中进行共享密钥的协商,有效加快PSK TSL和信令注册的过程。
以下本发明提供详细的实施例。
请参阅图1是本发明提供的多媒体子系统中建立通道的方法实施例图。
101、终端向P-CSCF发送注册消息;
终端向P-CSCF发送的注册消息中包含共享密钥实现传输层安全PSKTLS的安全策略。
102、P-CSCF收到注册消息后,将注册消息发送到S-CSCF;
P-CSCF向S-CSCF发送的注册消息中包含共享密钥实现传输层安全PSKTLS的安全策略。
103、S-CSCF向HSS发送密码索取消息;
S-CSCF向HSS发送密码索取消息(MAR消息),密码索取消息中携带注册消息中携带的用户名;
S-CSCF根据所述表明共享密钥实现传输层安全PSK TLS为安全策略的注册消息中携带的用户名向归属签约用户服务器(HSS,Home SubscriberServer)请求与用户名对应的密码。
104、HSS将携带与所述用户名对应的密码和用户名的密码索取消息返回给S-CSCF;
HSS查询存储的注册用户注册的登陆密码返回给S-CSCF。
105、S-CSCF向P-CSCF发送认证挑战消息;
S-CSCF根据HSS返回的密码,采用MD5算法计算密码摘要;将携带用户名和密码摘要的认证挑战消息(4xx-Auth_Challenge)中发送给P-CSCF;P-CSCF收到认证挑战消息后判断是否支持PSK TLS安全策略,若支持则保存认证挑战消息中携带的用户名和密码摘要,并删除认证挑战消息中的用户名和密码摘要;P-CSCF若不支持PSK TLS安全策略,向终端返回认证挑战错误消息。
106、P-CSCF向终端发送认证挑战消息;
P-CSCF将S-CSCF发送的认证挑战消息中的用户名密码摘要提取出来并保存。P-CSCF向终端发送未携带用户名和密码摘要的认证挑战消息中。
107、终端与P-CSCF协商密钥派生算法;
终端收到P-CSCF发送的认证挑战消息后,向P-CSCF发送ClientHello消息,携带密钥派生算法为PSK方式或者DH方式。
P-CSCF收到终端发送的ClientHello消息后,向终端发送ServerHello消息,选择与ClientHello消息中携带相同的密钥派生算法,为PSK方式或者DH方式。
108、建立终端与P-CSCF之间的PSK TLS;
终端与P-CSCF进行密钥派生算法的协商后,利用终端和P-CSCF已有的密码摘要派生成加密密钥和完整性密钥,建立终端与P-CSCF之间的PSKTLS。
109、终端通过PSKTLS向P-CSCF发送后续注册消息,进行后续的标准流程;
注册请求消息REGISTER将认证回应(用户名和密码以及校验信息)携带到P-CSCF实体,以进行后续的标准注册流程。
请参阅图2是本发明提供的多媒体子系统结构图。
P-CSCF300,用于接收终端发送注册消息,将所述注册消息发送到服务呼叫会话控制功能实体S-CSCF,判断若支持PSK TLS安全策略,保存服务呼叫会话控制功能实体S-CSCF返回的认证挑战消息中携带的用户名和密码摘要,与终端协商密钥派生算法,建立与终端之间的PSK TLS链接;
S-CSCF400,用于计算密码摘要,将携带所述用户名和所述密码摘要的认证挑战消息发送到所述P-CSCF。
在上述方案基础上,所述P-CSCF300若不支持PSK TLS安全策略,向所述终端返回认证挑战错误消息。
同样可选的,所述S-CSCF400,用于向归属签约用户服务器HSS发送携带用户名的密码索取消息;
HSS500,用于根据用户名查询用户配置数据,将携带与所述用户名对应的密码和用户名的密码索取消息返回给S-CSCF。
本发明还提供一种终端,包括:注册消息发送单元,用于向代理呼叫会话控制功能实体P-CSCF发送注册消息,所述注册消息包含共享密钥实现传输层安全PSK TLS的安全策略;认证挑战消息接收单元,用于在所述注册消息发送单元向所述P-CSCF发送注册消息后,接收P-CSCF发送的未携带用户名和密码摘要的认证挑战消息;密钥算法协商单元,用于在所述认证挑战消息接收单元接收P-CSCF发送的未携带用户名和密码摘要的认证挑战消息后,与P-CSCF协商密钥派生算法;建立PSK TLS单元,用于在所述密钥算法协商单元与P-CSCF协商密钥派生算法后,建立与P-CSCF之间的PSK TLS链接。
本发明还提供一种代理呼叫会话控制功能实体,包括:
注册消息转发单元,用于将所述终端发送的注册消息发送给S-CSCF,所述注册消息包含共享密钥实现传输层安全PSK TLS的安全策略;安全策略判断单元,用于判断是否支持PSK TLS安全策略,若支持则通知密码保存单元保存S-CSCF返回的认证挑战消息中携带的用户名和密码摘要;密码保存单元,用于在所述安全策略判断单元判断支持PSK TLS安全策略后,保存S-CSCF返回的认证挑战消息中携带的用户名和密码摘要,并删除所述认证挑战消息中携带的用户名和密码摘要;认证挑战消息转发单元,用于将所述密码保存单元删除了用户名和密码摘要的认证挑战消息发送到终端。密钥协商单元,用于在所述认证挑战消息转发单元将所述密码保存单元删除了用户名和密码摘要的认证挑战消息发送到终端后,与终端协商密钥派生算法;建立PSK TLS链接单元,用于在密钥协商单元与终端协商密钥派生算法后建立与终端之间的PSK TLS链接。
以上对本发明所提供的一种在多媒体子系统中建立通道的方法及多媒体子系统及一种终端及一种代理呼叫会话控制功能实体进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (8)
1、一种多媒体子系统中建立通道的方法,其特征在于,包括:
终端向代理呼叫会话控制功能实体P-CSCF发送注册消息,所述注册消息包含共享密钥实现传输层安全PSK TLS的安全策略;
P-CSCF将所述注册消息发送到服务呼叫会话控制功能实体S-CSCF;
所述S-CSCF计算密码摘要,将携带用户名和所述密码摘要的认证挑战消息发送到所述P-CSCF;
P-CSCF若支持PSK TLS安全策略,保存服务呼叫会话控制功能实体S-CSCF返回的认证挑战消息中携带的用户名和密码摘要,从认证挑战消息中删除用户名和密码摘要;
P-CSCF向终端发送删除了用户名和密码摘要的认证挑战消息;
终端与P-CSCF协商密钥派生算法,建立PSK TLS链接。
2、根据权利要求1所述的多媒体子系统中建立通道的方法,其特征在于,包括:所述P-CSCF若不支持PSK TLS的安全策略,向终端返回认证挑战错误消息。
3、根据权利要求2所述的多媒体子系统中建立通道的方法,其特征在于,所述P-CSCF将所述表明共享密钥实现传输层安全PSK TLS为安全策略的注册消息发送到服务呼叫会话控制功能S-CSCF后,所述S-CSCF计算密码摘要,将携带所述用户名和所述密码摘要的认证挑战消息发送到所述P-CSCF之前,包括:
所述S-CSCF向归属签约用户服务器HSS发送携带用户名的密码索取消息;
HSS根据用户名查询用户配置数据,将携带与所述用户名对应的密码和用户名的密码索取消息返回给S-CSCF。
4、一种多媒体子系统,其特征在于,包括:
P-CSCF,用于接收终端发送的注册消息,所述注册消息包含共享密钥实现传输层安全PSK TLS的安全策略;将所述注册消息发送到服务呼叫会话控制功能S-CSCF,判断若支持PSK TLS安全策略,保存服务呼叫会话控制功能实体S-CSCF返回的认证挑战消息中携带的用户名和密码摘要,与终端协商密码派生算法,建立与终端之间的PSK TLS链接;
S-CSCF,用于计算密码摘要,将携带所述用户名和所述密码摘要的认证挑战消息发送到所述P-CSCF。
5、根据权利要求4所述的多媒体子系统,其特征在于,所述P-CSCF,用于若不支持PSK TLS安全策略,向所述终端返回认证挑战错误消息。
6、根据权利要求5所述的多媒体子系统,其特征在于,所述多媒体子系统包括:
所述S-CSCF,用于向归属签约用户服务器HSS发送携带用户名的密码索取消息;
HSS,用于根据用户名查询用户配置数据,将携带与所述用户名对应的密码和用户名的密码索取消息返回给S-CSCF。
7、一种终端,其特征在于,包括:
注册消息发送单元,用于向代理呼叫会话控制功能实体P-CSCF发送注册消息,所述注册消息包含共享密钥实现传输层安全PSK TLS的安全策略;
认证挑战消息接收单元,用于在所述注册消息发送单元向所述P-CSCF发送注册消息后,接收P-CSCF发送的未携带用户名和密码摘要的认证挑战消息;
密钥算法协商单元,用于在所述认证挑战消息接收单元接收P-CSCF发送的未携带用户名和密码摘要的认证挑战消息后,与P-CSCF协商密钥派生算法;
建立PSK TLS单元,用于在所述密钥算法协商单元与P-CSCF协商密钥派生算法后,建立与P-CSCF之间的PSK TLS链接。
8、一种代理呼叫会话控制功能实体,其特征在于,包括:
注册消息转发单元,用于将终端发送的注册消息发送给S-CSCF,所述注册消息包含共享密钥实现传输层安全PSK TLS的安全策略;
安全策略判断单元,用于判断是否支持PSK TLS安全策略,若支持则通知密码保存单元保存S-CSCF返回的认证挑战消息中携带的用户名和密码摘要;
密码保存单元,用于在所述安全策略判断单元判断支持PSK TLS安全策略后,保存S-CSCF返回的认证挑战消息中携带的用户名和密码摘要,并从认证挑战消息中删除用户名和密码摘要;
认证挑战消息转发单元,用于将所述密码保存单元删除了用户名和密码摘要的认证挑战消息发送到终端。
密钥协商单元,用于在所述认证挑战消息转发单元将所述密码保存单元删除了用户名和密码摘要的认证挑战消息发送到终端后,与终端协商密钥派生算法;
建立PSK TLS链接单元,用于在密钥协商单元与终端协商密钥派生算法后建立与终端之间的PSK TLS链接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610170633A CN100583766C (zh) | 2006-12-22 | 2006-12-22 | 多媒体子系统及其建立通道的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610170633A CN100583766C (zh) | 2006-12-22 | 2006-12-22 | 多媒体子系统及其建立通道的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101207484A CN101207484A (zh) | 2008-06-25 |
| CN100583766C true CN100583766C (zh) | 2010-01-20 |
Family
ID=39567394
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610170633A Expired - Fee Related CN100583766C (zh) | 2006-12-22 | 2006-12-22 | 多媒体子系统及其建立通道的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100583766C (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729528B (zh) * | 2009-05-21 | 2012-11-28 | 中兴通讯股份有限公司 | Ims会议电话的媒体安全实现方法和系统 |
| CN102685742B (zh) * | 2011-03-15 | 2016-01-27 | 中国移动通信集团公司 | 一种wlan接入认证方法和装置 |
| EP3120501B1 (en) * | 2014-03-18 | 2018-12-05 | TWC Patent Trust LLT | Low latency, high payload, high volume api gateway |
| CN107231332B (zh) * | 2016-03-24 | 2020-09-25 | 华为技术有限公司 | 安全策略确定方法及装置 |
| CN107612931B (zh) * | 2017-10-20 | 2020-04-28 | 苏州科达科技股份有限公司 | 多点会话方法及多点会话系统 |
-
2006
- 2006-12-22 CN CN200610170633A patent/CN100583766C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN101207484A (zh) | 2008-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7434258B2 (en) | Method and communication system for controlling security association lifetime | |
| JP5881949B2 (ja) | Imsシステムにおけるエンド・ツー・エッジのメディア保護のための方法および装置 | |
| US7574735B2 (en) | Method and network element for providing secure access to a packet data network | |
| US8959238B2 (en) | Systems, methods and computer program products for providing access to web services via device authentication in an IMS network | |
| US8613058B2 (en) | Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network | |
| US8713634B2 (en) | Systems, methods and computer program products supporting provision of web services using IMS | |
| US20080120705A1 (en) | Systems, Methods and Computer Program Products Supporting Provision of Web Services Using IMS | |
| US8990563B2 (en) | Sending protected data in a communication network | |
| US7940748B2 (en) | Systems, methods and computer program products supporting provision of web services using IMS | |
| US20160119788A1 (en) | Authentication of browser-based services via operator network | |
| KR101369793B1 (ko) | 미디어 데이터를 인코딩 및 디코딩하기 위한 방법, 장치들 및 컴퓨터 프로그램 제품 | |
| CN100583766C (zh) | 多媒体子系统及其建立通道的方法和装置 | |
| WO2008040213A1 (fr) | Procédé, système et dispositif de chiffrement et de signature de messages dans un système de communication | |
| CN101030853B (zh) | 一种用户终端的鉴权方法 | |
| US11218515B2 (en) | Media protection within the core network of an IMS network | |
| US8683034B2 (en) | Systems, methods and computer program products for coordinated session termination in an IMS network | |
| US20080005785A1 (en) | Usage of nonce-based authentication scheme in a session-based authentication application | |
| Belmekki et al. | Enhances security for IMS client |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170814 Address after: 519031, Guangdong, Zhuhai province Hengqin financial industry service base building No. 5 2-I Patentee after: The International Intellectual Property Trading Center Co. Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: Huawei Technologies Co., Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20171222 Address after: No. 1523, Shuangqiao District, Chengde City, Hebei Province, Guangzhou Patentee after: Zhang Jinyan Address before: 519031, Guangdong, Zhuhai province Hengqin financial industry service base building No. 5 2-I Patentee before: The International Intellectual Property Trading Center Co. Ltd. |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100120 Termination date: 20171222 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |