CN100591012C - 一种鉴权协商方法及一种通讯系统 - Google Patents
一种鉴权协商方法及一种通讯系统 Download PDFInfo
- Publication number
- CN100591012C CN100591012C CN200610127603A CN200610127603A CN100591012C CN 100591012 C CN100591012 C CN 100591012C CN 200610127603 A CN200610127603 A CN 200610127603A CN 200610127603 A CN200610127603 A CN 200610127603A CN 100591012 C CN100591012 C CN 100591012C
- Authority
- CN
- China
- Prior art keywords
- authentication
- control unit
- user
- session control
- call session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种鉴权协商方法及一种通讯系统,用于提高鉴权类型判定的精确性。所述方法包括:归属用户服务器读取用户签约的鉴权类型;查询所述鉴权类型中优先级最高的鉴权类型;将所述优先级最高的鉴权类型对应的鉴权数据发送给服务呼叫会话控制单元;服务呼叫会话控制单元根据接收到的鉴权数据对用户进行鉴权。所述系统包括:归属用户服务器,用于读取用户签约的鉴权类型,在用户签约的鉴权类型中查询优先级最高的鉴权类型,并将所述优先级最高的鉴权类型对应的鉴权数据发送给服务呼叫会话控制单元;服务呼叫会话控制单元,根据接收到的鉴权数据对用户进行鉴权。本发明可以有效地提高鉴权类型判定的精确性。
Description
技术领域
本发明涉及通信领域,尤其涉及一种鉴权协商方法及一种通讯系统。
背景技术
在互联网协议多媒体子系统(IMS,Internet protocol Multimedia Subsystem)网络中,终端的方式是多种多样的,终端的能力不同,鉴权类型也不相同,所以要求IMS核心网能够支持多种鉴权类型。目前IMS核心网所能支持的鉴权类型有IMS AKA鉴权、Early IMS鉴权和HTTP Digest鉴权。
现有技术中一种鉴权方法流程图如图1所示:
101~102、用户终端通过代理呼叫会话控制单元(P-CSCF,Proxy CallSession Control Function)向查询呼叫会话控制单元(I-CSCF,InterrogatingCall Session Control Function)发送注册消息;
103、I-CSCF向用户属性服务器(HSS,Home Subscriber Server)发送用户状态查询请求信息;
104、HSS向I-CSCF反馈用户状态查询响应信息;
105、I-CSCF根据响应信息选择对应的服务呼叫会话控制单元(S-CSCF,Serving Call Session Control Function);
106、选择到对应的S-CSCF之后,I-CSCF将注册消息给所述S-CSCF;
107、S-CSCF收到注册消息后向HSS发起鉴权向量请求;
108、HSS选择对应的鉴权向量;
109、HSS将选择到的鉴权向量反馈给S-CSCF;
110~112、S-CSCF通过I-CSCF以及P-CSCF向用户终端发送Unauthorized消息,要求用户进行鉴权;
113~114、用户终端通过P-CSCF向I-CSCF发送携带RES参数的注册消息;
115~116、I-CSCF向HSS请求用户状态并得到HSS的反馈;
117、I-CSCF将携带RES参数的注册消息发送给S-CSCF;
118、S-CSCF根据注册消息中的RES参数与本地存储的RES参数对用户进行鉴权;
119、鉴权通过后,S-CSCF向HSS发送用户注册/注销请求消息;
120、HSS向S-CSCF反馈用户注册/注销响应消息;
121~123、用户注册/注销成功后,S-CSCF通过I-CSCF以及P-CSCF向用户终端反馈成功确认消息。
3GPP TS24.229v6.9.0规定了采用AKA鉴权的ISIM卡用户的第一次注册消息(如图1步骤101中所发送的注册消息)中一定会带有Authorization头域,其中会带有用户的私有标识和算法名称。
3GPP TS33.978v630中规定了采用Early IMS鉴权的用户的注册消息一定不会带有Authorization头域,同时支持IMS AKA鉴权和Early IMS鉴权的IMS网络通过判断注册消息中是否带有Authorization头域来确定用户期望采用何种鉴权。
RFC2617和RFC3261中描述的HTTP Digest鉴权流程中,用户的第一次注册消息一般不会带有Authorization头域。用户的第二次注册消息中一定会带有Authorization,其中会带有用户的username和算法名称。
但是由于现有技术不能区分Early IMS鉴权和HTTP Digest鉴权的注册消息。如果用户发送的SIP注册消息中没有带有Authorization头域,那么IMS核心网无法确切的知道用户期望采取哪种鉴权方式,所以也就无法向HSS请求相应的鉴权数据。
发明内容
本发明要解决的技术问题是提供一种鉴权协商方法及一种通讯系统,用于提高鉴权类型判定的精确性。
本发明提供的鉴权协商方法,包括:归属用户服务器读取用户签约的鉴权类型;查询所述鉴权类型中优先级最高的鉴权类型;将所述优先级最高的鉴权类型对应的鉴权数据发送给服务呼叫会话控制单元;服务呼叫会话控制单元根据接收到的鉴权数据对用户进行鉴权。
可选地,所述优先级由用户在签约时指定,或者由归属用户服务器指定。
可选地,所述优先级为按照鉴权算法的强度排列。
可选地,在归属用户服务器读取用户签约的鉴权类型之前进一步包括:判断服务呼叫会话控制单元是否能确定鉴权类型,若不能,则向归属用户服务器请求获取鉴权数据。
可选地,所述向归属用户服务器请求获取鉴权数据的步骤包括:将不携带会话发起协议鉴权规则参数的鉴权向量请求消息发送至归属用户服务器。
可选地,在将不携带会话发起协议鉴权规则参数的鉴权向量请求消息发送至归属用户服务器之前进一步包括:将鉴权向量请求消息中的会话发起协议鉴权规则参数的属性设置为可选。
可选地,所述向归属用户服务器请求获取鉴权数据的步骤包括:设置会话发起协议鉴权规则的值为未知;将携带所述会话发起协议鉴权规则的值的鉴权向量请求消息发送至归属用户服务器。
可选地,在设置所述会话发起协议鉴权规则的值为未知之前进一步包括:对所述鉴权向量请求消息进行扩展。
本发明提供的通讯系统,包括:归属用户服务器以及服务呼叫会话控制单元;所述归属用户服务器用于读取用户签约的鉴权类型,在用户签约的鉴权类型中查询优先级最高的鉴权类型,并将所述优先级最高的鉴权类型对应的鉴权数据发送给服务呼叫会话控制单元;所述服务呼叫会话控制单元根据接收到的鉴权数据对用户进行鉴权。
可选地,所述系统还包括:代理呼叫会话控制单元、查询呼叫会话控制单元以及用户终端;所述用户终端向代理呼叫会话控制单元发送注册消息;所述代理呼叫会话控制单元接收用户终端发送的注册消息并将所述注册消息转发至查询呼叫会话控制单元;所述查询呼叫会话控制单元根据接收到的注册消息向归属用户服务器发送用户注册状态查询请求消息。
以上技术方案可以看出,本发明具有以下优点:
首先,本发明中,归属用户服务器向服务呼叫会话控制单元发送鉴权类型,而归属用户服务器中本身存有用户的签约数据以及鉴权数据,所以由归属用户服务器确定鉴权类型可以提高鉴权类型判定的精确度;
其次,本发明中,当用户支持多种鉴权类型时,归属用户服务器根据预置的优先级别向服务呼叫会话控制单元发送优先级最高的鉴权类型,所以可以提高鉴权的精确度;
再次,本发明中,优先级可以由归属用户服务器设置,也可以由用户根据实际需要进行设置,所以提高了鉴权类型获取的灵活性;
最后,本发明中,服务呼叫会话控制单元可以通过多种方式向归属用户服务器请求获取鉴权类型,所以提高了本发明的适应灵活性。
附图说明
图1为现有技术信令流程图;
图2为本发明鉴权协商方法总体流程图;
图3为本发明鉴权协商方法详细流程图;
图4为本发明系统示意图。
具体实施方式
本发明提供了一种鉴权协商方法及一种通讯系统,用于提高鉴权类型判定的精确性。
请参阅图2,本发明鉴权协商方法总体流程如下:
201、读取鉴权类型;
其中,HSS从本地数据中读取用户签约时的鉴权类型。
202、查询优先级最高的鉴权类型;
其中,HSS查询读取到的鉴权类型中优先级最高的鉴权类型。
203、发送鉴权数据;
其中,HSS将查询到的优先级最高的鉴权类型对应的鉴权数据发送给S-CSCF。
其中,鉴权数据中包含有鉴权类型。
204、进行鉴权。
其中,S-CSCF根据接收到的鉴权数据进行鉴权。
请参阅图3,本发明鉴权协商方法详细流程如下:
301、获取注册消息;
其中,用户终端向P-CSCF发送注册消息,P-CSCF将接收到的注册消息转发给I-CSCF,I-CSCF向HSS发送用户注册状态查询请求消息,HSS向I-CSCF反馈用户注册状态查询响应消息,之后I-CSCF根据得到的用户注册状态查询响应消息选择S-CSCF并将注册消息发送至该S-CSCF。
302、判断S-CSCF是否能够确定鉴权类型,若能,则转向步骤307,若不能,则转向步骤303;
其中,由于IMS AKA鉴权中,第一次注册消息中一定会带有Authorization头域,Early IMS鉴权中的用户的注册消息中一定不带有Authorization头域,而HTTP Digest鉴权中的用户的注册消息可能带有Authorization头域,也可能不带,所以S-CSCF不一定能够判断出用户所需要进行的鉴权类型。
303、请求获取鉴权类型;
其中,当S-CSCF不能确定鉴权类型时需要向HSS请求获取鉴权类型,本实施例是通过S-CSCF向HSS发送经过扩展的鉴权向量请求消息(MAR,Multimedia Auth Request)来实现请求鉴权类型的。
具体的扩展可以通过以下两种方式实现:
一、将MAR消息中的AVP:SIP-Authentication-Scheme的属性改变为可选属性,若携带该参数,则表明S-CSCF可以确定鉴权类型,不需要HSS进行鉴权类型的选择,若未携带该参数,则表明S-CSCF无法确定鉴权类型,需要HSS选择鉴权类型对应的鉴权数据并下发。
将MAR消息更改为如下表所示的格式:
表1
元素名称 | AVP映射 | 可选/必选 | 描述 |
鉴权规则 | 会话发起协议鉴权规则 | 可选 | ......当S-CSCF需要HSS选择鉴权类型时,则该参数应该不被携带,否则应该被选中,且鉴权类型为IMSAKA...... |
... | ... | ... | ... |
二、扩展AVP:SIP-Authentication-Scheme的取值,一种可能的取值是″Unknown″(即“未知”),而AVP:SIP-Authentication-Scheme的属性仍然为必选。这需要HSS与S-CSCF都能够明白″Unknown″所表示的含义,即若取值为″Unknown″,则表明S-CSCF无法确定鉴权类型。
将MAR消息更改为如下表所示的格式:
表2
元素名称 | AVP映射 | 可选/必选 | 描述 |
鉴权规则 | 会话发起协议鉴权规则 | 必选 | ......当S-CSCF需要HSS选择鉴权类型时,则该参数的取值应为″Unknown″...... |
... | ... | ... | ... |
在根据上述两种扩展方式中任一种对MAR消息进行扩展之后,S-CSCF将MAR消息发送给HSS,HSS根据接收到的MAR消息判断出S-CSCF需要获取鉴权类型。
304、读取鉴权类型;
其中,由于用户所支持的鉴权类型和鉴权数据都通过签约保存在HSS中,所以HSS知道用户支持哪种鉴权方式。当S-CSCF无法通过注册消息得到用户的鉴权类型时,HSS获取本地存储的用户支持的所有鉴权类型。
305、查询优先级最高的鉴权类型;
其中,HSS在获取到的用户支持的所有鉴权类型中查询优先级最高的鉴权类型,若用户只支持一种鉴权类型,则默认为该鉴权类型优先级最高。
优先级可以由用户签约时指定,也可以由HSS指定,对所有用户生效。如果由HSS指定此优先级,一种可能的优先级是按照鉴权算法的强度排列,从高到低依次为IMS AKA鉴权、Early IMS鉴权、HTTP Digest鉴权。
306、发送鉴权类型;
其中,HSS将查询到的优先级最高的鉴权类型发送给S-CSCF。
307、进行鉴权。
其中,S-CSCF根据接收到的鉴权类型进行鉴权。
请参阅图4,本发明通讯系统包括:归属用户服务器404以及服务呼叫会话控制单元405;所述归属用户服务器404用于读取签约的鉴权类型,在读取到的鉴权类型中查询优先级最高的鉴权类型,并将所述优先级最高的鉴权类型发送给服务呼叫会话控制单元405;所述服务呼叫会话控制单元405根据接收到的鉴权类型对用户进行鉴权。
其中,所述系统还包括:代理呼叫会话控制单元402、查询呼叫会话控制单元403以及用户终端401;所述用户终端401向代理呼叫会话控制单元402发送注册消息;所述代理呼叫会话控制单元402接收用户终端401发送的注册消息并将所述注册消息转发至查询呼叫会话控制单元403;所述查询呼叫会话控制单元403根据接收到的注册消息向归属用户服务器404发送用户注册状态查询请求消息。
以上对本发明所提供的一种鉴权协商方法及一种通讯系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1、一种鉴权协商方法,其特征在于,包括:
判断服务呼叫会话控制单元是否能确定鉴权类型,若不能,则将不携带会话发起协议鉴权规则参数的鉴权向量请求消息发送至归属用户服务器;
归属用户服务器读取用户签约的鉴权类型;
查询所述鉴权类型中优先级最高的鉴权类型;
将所述优先级最高的鉴权类型对应的鉴权数据发送给服务呼叫会话控制单元;
服务呼叫会话控制单元根据接收到的鉴权数据对用户进行鉴权。
2、根据权利要求1所述的鉴权协商方法,其特征在于,所述优先级由用户在签约时指定,或者由归属用户服务器指定。
3、根据权利要求1或2所述的鉴权协商方法,其特征在于,所述优先级为按照鉴权算法的强度排列。
4、根据权利要求1或2所述的鉴权协商方法,其特征在于,在将不携带会话发起协议鉴权规则参数的鉴权向量请求消息发送至归属用户服务器之前进一步包括:
将鉴权向量请求消息中的会话发起协议鉴权规则参数的属性设置为可选。
5、一种鉴权协商方法,其特征在于,包括:
判断服务呼叫会话控制单元是否能确定鉴权类型,若不能,则设置会话发起协议鉴权规则的值为未知且将鉴权向量请求消息中的会话发起协议鉴权规则参数的属性设置为必选,将携带所述会话发起协议鉴权规则的值的鉴权向量请求消息发送至归属用户服务器;
归属用户服务器读取用户签约的鉴权类型;
查询所述鉴权类型中优先级最高的鉴权类型;
将所述优先级最高的鉴权类型对应的鉴权数据发送给服务呼叫会话控制单元;
服务呼叫会话控制单元根据接收到的鉴权数据对用户进行鉴权。
6、根据权利要求5所述的鉴权协商方法,其特征在于,所述优先级由用户在签约时指定,或者由归属用户服务器指定。
7、根据权利要求5或6所述的鉴权协商方法,其特征在于,所述优先级为按照鉴权算法的强度排列。
8、根据权利要求5或6所述的鉴权协商方法,其特征在于,在设置所述会话发起协议鉴权规则的值为未知之前进一步包括:
对所述鉴权向量请求消息进行扩展。
9、一种通讯系统,其特征在于,包括:
归属用户服务器以及服务呼叫会话控制单元;
所述归属用户服务器用于读取用户签约的鉴权类型,在用户签约的鉴权类型中查询优先级最高的鉴权类型,并将所述优先级最高的鉴权类型对应的鉴权数据发送给服务呼叫会话控制单元;
所述服务呼叫会话控制单元用于判断是否能确定鉴权类型,若不能,则将不携带会话发起协议鉴权规则参数的鉴权向量请求消息发送至归属用户服务器,或,设置会话发起协议鉴权规则的值为未知且将鉴权向量请求消息中的会话发起协议鉴权规则参数的属性设置为必选,将携带所述会话发起协议鉴权规则的值的鉴权向量请求消息发送至归属用户服务器,并根据接收到的鉴权数据对用户进行鉴权。
10、根据权利要求9所述的通讯系统,其特征在于,所述系统还包括:代理呼叫会话控制单元、查询呼叫会话控制单元以及用户终端;所述用户终端向代理呼叫会话控制单元发送注册消息;所述代理呼叫会话控制单元接收用户终端发送的注册消息并将所述注册消息转发至查询呼叫会话控制单元;所述查询呼叫会话控制单元根据接收到的注册消息向归属用户服务器发送用户注册状态查询请求消息。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610127603A CN100591012C (zh) | 2006-08-29 | 2006-08-29 | 一种鉴权协商方法及一种通讯系统 |
PCT/CN2007/070572 WO2008034377A1 (fr) | 2006-08-29 | 2007-08-28 | Procédé et système de consultation d'authentification |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610127603A CN100591012C (zh) | 2006-08-29 | 2006-08-29 | 一种鉴权协商方法及一种通讯系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1913438A CN1913438A (zh) | 2007-02-14 |
CN100591012C true CN100591012C (zh) | 2010-02-17 |
Family
ID=37722223
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200610127603A Expired - Fee Related CN100591012C (zh) | 2006-08-29 | 2006-08-29 | 一种鉴权协商方法及一种通讯系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN100591012C (zh) |
WO (1) | WO2008034377A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100591012C (zh) * | 2006-08-29 | 2010-02-17 | 华为技术有限公司 | 一种鉴权协商方法及一种通讯系统 |
CN112953718B (zh) * | 2019-11-26 | 2024-05-28 | 中国移动通信集团安徽有限公司 | Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB0205399D0 (en) * | 2002-03-07 | 2002-04-24 | Nokia Corp | Allocation of an S-CSCF to a subscriber |
GB0417296D0 (en) * | 2004-08-03 | 2004-09-08 | Nokia Corp | User registration in a communication system |
CN1294722C (zh) * | 2004-09-23 | 2007-01-10 | 华为技术有限公司 | 网络侧选择鉴权方式的方法 |
CN1327681C (zh) * | 2005-08-08 | 2007-07-18 | 华为技术有限公司 | 一种实现初始因特网协议多媒体子系统注册的方法 |
CN100591012C (zh) * | 2006-08-29 | 2010-02-17 | 华为技术有限公司 | 一种鉴权协商方法及一种通讯系统 |
-
2006
- 2006-08-29 CN CN200610127603A patent/CN100591012C/zh not_active Expired - Fee Related
-
2007
- 2007-08-28 WO PCT/CN2007/070572 patent/WO2008034377A1/zh active Application Filing
Also Published As
Publication number | Publication date |
---|---|
CN1913438A (zh) | 2007-02-14 |
WO2008034377A1 (fr) | 2008-03-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
USRE49428E1 (en) | Method for implementing IP multimedia subsystem registration | |
CN101573934B (zh) | 在通信网络中的鉴别 | |
US9860737B2 (en) | Communication system and method | |
CN101518016B (zh) | 通信网络中接入信息的提供 | |
US8239551B2 (en) | User device, control method thereof, and IMS user equipment | |
EP2137931B1 (en) | A method and arrangement for handling profiles in a multimedia service network | |
US7890101B2 (en) | Call controlling apparatus, call controlling method, and computer program | |
CN101401476B (zh) | 通信网络中的接入控制 | |
US20100232368A1 (en) | Method for multiple registration of a multimodal communication terminal | |
CN101132279B (zh) | 一种鉴权方法以及鉴权系统 | |
CN100395976C (zh) | 一种因特网协议多媒体子系统的鉴权方法 | |
WO2007052894A1 (en) | Distributed hss (home subscriber server) architecture | |
CN100442926C (zh) | 一种ip多媒体子系统鉴权和接入层鉴权绑定的方法 | |
CN100591012C (zh) | 一种鉴权协商方法及一种通讯系统 | |
CN1984140B (zh) | 实现网际协议多媒体子系统服务能力协商的方法 | |
CN100433913C (zh) | 在ip多媒体子系统中实现注册的方法 | |
CN101001145A (zh) | 支持非ip多媒体业务子系统终端漫游的认证方法 | |
CN101083838B (zh) | Ip多媒体子系统中的http摘要鉴权方法 | |
KR101004556B1 (ko) | 아이피 멀티미디어 서브 시스템 및 아이피 멀티미디어 서브 시스템 기반의 호 처리 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100217 Termination date: 20120829 |