CN101030853A - 一种用户终端的鉴权方法 - Google Patents

Abstract

本发明公开了一种用户终端的鉴权方法，该方法包括：收到用户终端的请求消息时，判断所述的请求消息中是否包含用户终端的地址信息，如果包含，则比较请求消息中携带用户终端的地址信息和保存的用户终端的地址信息，如果地址信息匹配，用户终端鉴权通过。

Description

一种用户终端的鉴权方法

技术领域

本发明涉及通信领域，特别是涉及一种用户终端的鉴权方法。

背景技术

IP多媒体子系统(IMS)是3GPP在分组网络上叠加一个子系统，采用分组域为其控制信令和媒体传输的承载通道，引入会话发起协议(SIP协议)作为业务控制协议，利用SIP简单、易扩展、媒体组合方便的特点，通过将业务控制与承载控制分离，提供丰富的多媒体业务；IMS中主要的功能实体包括控制用户注册、会话控制等功能的呼叫会话控制功能实体CSCF、集中管理用户签约数据的归属用户服务器HSS，提供各种业务逻辑控制功能的应用服务器AS。

在IMS应用中，为了完成用户设备(UE)注册功能，以及主叫或者被叫的业务，3GPP定义了用户公共标识(IMPU)以及私有标识(IMPI)，用户使用公共用户标识IMPU进行通信，使用IMPI对用户终端进行鉴权。按照3GPP目前的定义，标准的IMS终端使用IMS AKA(Authentication and key agreement鉴权和密钥协定)鉴权方式。

IMS AKA鉴权流程如图1所示：

1.用户设备UE携带相关的鉴权信息和IPSec安全通道信息，发起注册请求。

2.代理呼叫会话控制功能P-CSCF保存IPSec安全通道信息，对注册请求中的归属网络地址使用DNS协议解析，获得用户的归属网络I-CSCF的地址。

3.问询呼叫会话控制功能I-CSCF向HSS查询用户注册状态，然后根据HSS返回的信息，获取指派给用户的服务呼叫会话控制功能S-CSCF的地址，

4.I-CSCF将注册消息发送到S-CSCF。

5.S-CSCF发现是初次注册，向HSS取鉴权集，根据HSS查询获得的鉴权信息。

6.S-CSCF选取鉴权矢量，向UE发送鉴权挑战(401 Challenge)。

7.I-CSCF原路返回转发401消息到P-CSCF。

8.P-CSCF根据401消息携带安全信息，建立P-CSCF到UE的安全通道，然后将消息转发给UE。

9.UE根据401消息的鉴权矢量，对网络进行鉴权，然后计算鉴权响应，使用建立的安全通道重新发起注册过程。

10.P-CSCF对注册请求中的归属网络地址使用DNS协议解析，获得用户的归属网络I-CSCF的地址。

11.I-CSCF向HSS查询用户注册状态，HSS返回的S-CSCF信息。

12.I-CSCF将注册消息发送到S-CSCF。

13.S-CSCF检查UE提供的鉴权响应，如匹配则鉴权成功，更新HSS的注册信息，并下载用户的签约数据。

14-16.原路返回注册成功确认消息。

IMS AKA鉴权方法通过注册过程，在IMS终端和P-CSCF之间的接入网，建立安全通道，保护后续消息的完整性和机密性。但是鉴于目前IMS终端的处理能力，很难提供基于IPSec安全通道。如果终端不建立安全通道，IMS终端发起的重注册和会话请求就得不到安全保护。现有的解决方法是在IMS终端发起重注册请求、注销请求以及对话请求和非注册的独立事务请求时，网络都发起鉴权流程，以保证用户的可靠性。由于网络对IMS终端的每次请求，都进行鉴权，导致请求处理时延增大，影响用户体验；同时导致网络消息流量增大，增加处理开销。其他鉴权方式，如分类鉴权(HTTP Digest)等，在初始鉴权通过后，采用每会话鉴权的方式，保证用户请求的可靠性，因此也存在同样的问题。

发明内容

有鉴于此，本发明的主要目的在于提供一种用户终端鉴权方法，以保证用户终端的可靠性，同时简化流程，增强用户体验。

为达到上述目的，本发明的技术方案是这样实现的：

一种用户终端的鉴权方法，包括以下步骤：

A、收到用户终端的请求消息时，判断所述的请求消息中是否包含用户终端的地址信息，如果包含，则执行步骤B；

B、比较请求消息中携带用户终端的地址信息和保存的用户终端的地址信息，如果地址信息匹配，用户终端鉴权通过。

步骤A之前进一步包括以下步骤：

A′、获取用户终端的地址信息，鉴权通过时，保存所述的地址信息。

步骤A′中所述的鉴权是初始鉴权或重鉴权，重鉴权由注册鉴权控制实体根据网络的运行状况、用户终端的注册信息或者设备配置向已经鉴权通过的用户终端发起，重鉴权通过后，刷新已保存的地址信息。

步骤A中所述的请求消息包括重注册请求消息、注销请求消息、对话请求消息以及独立的事务请求消息。

步骤B中，如果地址信息不匹配，则由注册鉴权控制实体向用户终端发起重鉴权，或者返回失败响应。

所述的地址信息为IP地址，相应的，步骤A′中的鉴权是初始鉴权时，所述步骤A′包括具体步骤：

A′1、用户终端发起注册鉴权请求，所述请求消息中携带用户终端的IP地址IP1；

A′2、网络接入控制实体比较接收到的注册鉴权请求消息中携带的IP1和接收所述注册鉴权请求消息使用的IP地址IP2：

如果不同，则将所述IP2也保存于注册鉴权请求消息中，并将注册鉴权请求消息转发给注册鉴权控制实体，

如果相同，则将携带有IP1的注册鉴权请求消息转发给注册鉴权控制实体；

A′3、注册鉴权控制实体对用户终端进行鉴权，鉴权通过，则保存注册鉴权请求消息中携带的IP地址。

所述的步骤A具体包括以下步骤：

A11、网络接入控制实体比较接收到的重注册请求消息中携带的IP1和接收所述重注册请求消息使用的IP地址IP2，

如果不同，则将所述IP2也保存于重注册请求消息中，并将重注册请求消息转发给注册鉴权控制实体，

如果相同，则将携带有IP1的重注册请求消息转发给注册鉴权控制实体；

A12、注册鉴权控制实体收到用户的重注册请求消息，判断重注册请求消息是否包含用户终端的IP地址。

所述的步骤A具体包括以下步骤：

A21、网络接入控制实体比较接收到的非注册请求消息中携带的IP1和接收所述非注册请求消息使用的IP地址IP2，

如果不同，则将所述IP2也保存于非注册请求消息中，并将非注册请求消息转发给会话控制实体，

如果相同，则将携带有IP1的非注册请求消息转发给会话控制实体；

A22、会话控制实体收到用户的非注册请求消息，判断非注册请求消息是否包含用户终端的IP地址。

所述的步骤A22中进一步包括，会话控制实体接收非注册鉴权请求消息后，判断是否为安全通道保护的请求消息，如果不是，则由会话控制实体判断请求中是否包含用户终端的IP地址。

所述的步骤A和B之间，进一步包括：会话控制实体从注册鉴权控制实体中获得已保存的IP地址，相应地，步骤B中，由会话控制实体比较请求消息中携带的IP地址和保存的IP地址；或者，

在所述步骤A和B之间，进一步包括：会话控制实体将接收到的非注册请求消息中的IP地址发送给注册鉴权控制实体，相应地，步骤B中，由注册鉴权控制实体比较请求消息中携带的IP地址和保存的IP地址。

步骤A′中所述的鉴权是初始鉴权，相应的，所述的步骤A′之前，进一步包括：

判断用户终端是否支持基于用户终端地址信息的鉴权方法。

由注册鉴权控制实体根据注册鉴权请求的内容或网络的配置信息判断用户终端是否支持基于用户终端地址信息的鉴权方法。

所述注册鉴权控制实体根据注册鉴权请求的内容判断用户终端是否支持基于IP地址鉴权方法在IMS网络中具体步骤包括：

I、代理呼叫会话控制功能实体P-CSCF将接收到的用户终端发送的注册鉴权请求转发给问询呼叫会话控制功能实体I-CSCF；

J、服务呼叫会话控制功能实体S-CSCF接收到I-CSCF转发的注册请求，如果注册消息包含Authorization头域且不包含Security-Client，或者注册消息包含Authorization头域和Security-Client，且Security-Client中不包含建立安全通道的信息，则S-CSCF认为终端支持基于IP地址鉴权方法。

由此可见，本发明具有以下优点：

在本发明中，当用户终端不建立安全通道的情况下，用户终端发起重注册请求、注销请求以及对话请求和非注册的独立事务请求时，既保证了用户终端的可靠性，同时也简化了相应的鉴权流程，使得网络消息的流程得到控制，减少处理开销。

附图说明

图1是现有技术中IMS AKA鉴权的流程图；

图2是本发明实施方式的网络逻辑结构图；

图3是本发明的初始注册鉴权请求流程图；

图4是本发明的重注册鉴权请求的流程图；

图5是本发明的重注册鉴权请求过程中发起重鉴权的流程图；

图6是本发明的非注册鉴权请求流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图及具体实施例对本发明作进一步地详细描述。

本发明实施网络包括但不限于IMS网络、NGN网络、Internet网络等分组网络；实施的信令包括但不限于SIP、HTTP等；网络对终端的鉴权方式包括但不限于IMS AKA、HTTP Digest等鉴权方式；终端和网络接入控制实体之间建立的安全通道包括但不限于IPSec安全通道，TLS安全通道等，或者没有安全通道。本发明的实施网络逻辑结构如图2所示，其中：

用户终端是任意可以接入分组网络的通信终端类型，如IMS终端、PC机等。

网络接入控制实体是向用户终端提供接入分组核心网的接入控制的网络实体，包括用户终端的注册、鉴权、会话等代理控制，并可以根据用户的鉴权信息，在用户终端和网络接入控制实体之间建立安全通道。在物理实现上，网络接入控制实体和会话控制实体可以集成在一起。

注册鉴权控制实体为用户提供注册机制和授权控制等功能，可以控制网络接入控制实体为已鉴权用户在接入网建立安全通道。在物理实现上，注册鉴权控制实体和会话控制实体可以集成在一起。

会话控制实体为已注册和授权的用户提供会话控制、路由接续、业务触发等功能。

E1接口为会话控制接口；E2接口为用户注册鉴权接口；E3接口为会话控制实体从注册鉴权控制实体获取用户注册鉴权信息接口；E4接口为会话控制实体和其他会话控制实体互通接口。

用户终端接入时，都要经过接入网认证后，获得IP地址，终端接入地址是可靠的。保证接入可靠的方法有多种，无线GPRS网络GGSN、固定接入网络CLF都可以保证IP地址的可靠性。在固网中有一种基于物理接入端口的鉴权方式，也是依赖接入网保证用户地址的可靠性。

终端接入地址可靠的前提下，网络在鉴权通过时，保留用户终端的地址信息。后续的重注册、注销请求、对话请求和非注册的独立事务请求消息，网络通过请求消息中携带的用户终端的地址信息和鉴权通过时保存的用户终端的地址信息进行比较，如果相同，则认为用户终端已经被鉴权通过；如果不同，网络对用户终端发起重鉴权流程，或者返回失败响应。其中，用户终端的地址信息可以是IP地址、端口号，或者FQDN(Full Qualified Domain Name全称域名)等。

本发明方法采用用户终端的IP地址作为用户终端地址信息的流程如下：

1、用户终端通过安全的方式获得用户终端的IP地址IP1，然后发起注册鉴权请求，并在请求消息中携带用户终端的IP地址IP1，注册鉴权控制实体根据注册鉴权请求的内容或者网络的配置信息判断终端是否支持基于IP地址鉴权方法，如果支持，则进入步骤2；

2、网络接入控制实体收到用户终端的注册鉴权请求后，比较接收的注册鉴权请求中包含的用户终端的IP地址IP1和从协议栈传输层获得的网络接入控制实体传输层接收用户终端请求使用的地址IP2是否相同：如果不同，将接收请求的IP地址IP2也保存在注册鉴权请求中，然后转发注册鉴权请求到注册鉴权控制实体，如果相同，那么将携带用户终端IP地址IP1的注册鉴权请求消息转发到注册鉴权控制实体；

3、注册鉴权控制实体使用用户终端支持的鉴权方式对用户终端进行鉴权，如果鉴权通过，注册鉴权控制实体保存其收到的注册鉴权请求消息中携带的IP地址；

4、在用户终端的注册生命期内，用户终端发起重注册请求时，请求中携带用户终端的IP地址IP1，网络接入控制实体收到用户终端的重注册请求后，比较接收的重注册请求消息中包含的用户终端的IP地址IP1和从协议栈传输层获得的网络接入控制实体传输层接收用户终端请求使用的地址IP2是否相同：如果不同，将接收请求的IP地址IP2也保存在重注册请求中，然后转发重注册请求到会话控制实体，如果相同，那么将携带用户终端IP地址IP1的重注册请求消息转发到注册鉴权控制实体；

5、注册鉴权控制实体接收到重注册请求消息后，判断请求中是否用户终端的IP地址信息，如果包括，则会话控制实体从注册鉴权控制实体中获得用户鉴权时保存的IP地址，然后比较保存的IP地址和请求消息中的IP地址信息，如果一致，则认为请求消息是从已经鉴权通过的用户终端发送来的；或者，也可以将非注册鉴权请求中的IP地址转发给注册鉴权控制实体，由注册鉴权控制实体比较二者的IP地址，将比较结果返回给会话控制实体；

6、用户终端发起非注册鉴权请求(包括对话请求消息和独立的事务请求)时，请求中携带用户终端的IP地址IP1，网络接入控制实体收到用户终端的非注册鉴权请求后，比较接收的非注册鉴权请求消息中包含的用户终端的IP地址IP1和从协议栈传输层获得的网络接入控制实体传输层接收用户终端请求使用的地址IP2是否相同：如果不同，将接收请求的IP地址IP2也保存在非注册鉴权请求中，然后转发非注册鉴权请求到会话控制实体，如果相同，那么将携带用户终端IP地址IP1的非注册鉴权请求消息转发到会话控制实体；

7、会话控制实体接收到非注册鉴权请求消息后，如果是没有安全通道保护的请求消息，会话控制实体判断请求中是否用户终端的IP地址信息，如果包括，则会话控制实体从注册鉴权控制实体中获得用户鉴权时保存的IP地址，而后比较二者的IP地址信息是否一致，如果一致，则认为请求消息是从已经鉴权的用户终端发送来的；或者，也可以将非注册鉴权请求中的IP地址转发给注册鉴权控制实体，由注册鉴权控制实体比较二者的IP地址，将比较结果返回给会话控制实体；

8、注册鉴权控制实体根据网络的运行状况或者用户的注册信息或者运营商的配置信息，对已经鉴权的用户的后续请求消息发起重鉴权，重鉴权通过后，刷新已保存的IP地址信息。

下面就上述实施方式结合具体实施例进行详细说明。

本发明的方法在IMS网络中采用IMS AKA鉴权的实施例：

如图3所示，初始注册的鉴权流程如下：

A.UE参照3GPP TS 24.229填写注册请求，注册消息包含Authorization头域，但不包含Security-Client和Security-Verify头域，或者Security-Client中不包含建立安全通道的信息；S-CSCF根据这一特征判断终端是否支持基于IP地址鉴权方法。

B.P-CSCF接收到UE发送的注册请求，P-CSCF检查注册消息中的Via头域的″sent-by″参数包含的IP地址IP1。如果″sent-by″参数包含的IP地址和IP包接收的源地址不同，P-CSCF将在Via头域值中增加参数″received″，参数包含接收请求使用的IP地址IP2。其余处理参照3GPP TS 24.229。然后转发注册消息到I-CSCF。

可选地，P-CSCF接收到UE发送的注册请求后，先根据注册消息的内容判断用户终端是否支持基于IP地址鉴权的方法，如果包含Authorization头域且不包含Security-Client头域，则P-CSCF认为用户终端支持基于IP地址鉴权方法。

C.I-CSCF收到P-CSCF转发的注册消息，然后转发注册消息到S-CSCF。

D.S-CSCF接收到I-CSCF转发的注册请求，如果注册消息包含Authorization头域且不包含Security-Client头域，则S-CSCF认为终端支持基于IP地址鉴权方法。S-CSCF根据HSS查询获得的用户鉴权信息，向UE发送鉴权挑战(401Challenge)。

E.I-CSCF转发注册鉴权挑战。

F.P-CSCF收到注册鉴权挑战后，不需要建立安全通道。对于IMS AKA鉴权的用户终端，在鉴权挑战消息中不需要添加Security-Server头域，或者Security-Server中不包含建立安全通道的信息。其余处理参照3GPP TS 24.229。然后转发注册鉴权挑战到UE。

G.UE收到注册鉴权挑战后，不需要建立安全通道。其余处理参照3GPPTS 24.229，对网络鉴权并计算鉴权响应，重新发起注册过程。

H.P-CSCF转发注册请求。

I.I-CSCF转发注册请求。

J.S-CSCF接收到注册请求，根据UE的鉴权响应，进行匹配；如匹配成功，将用户状态置为已注册状态。然后检查注册消息中的Via头域的″sent-by″参数是否包含了IP1或者″sent-by″参数、″received″参数是否包含了IP1、IP2。如果存在，则相应的保存IP1或者IP1和IP2。S-CSCF向UE发送成功确认。

K.I-CSCF转发成功确认。

L.P-CSCF转发成功确认。

如图4所示，用户终端发起重注册请求时的流程如下：

A.UE参照3GPP TS 24.229填写重注册请求，注册消息包含Authorization头域，但不包含Security-Client和Security-Verify头域，或者Security-Client中不包含建立安全通道的信息；S-CSCF根据这一特征判断终端是否支持基于IP地址鉴权方法。

B.P-CSCF检查注册消息中的Via头域的″sent-by″参数包含的IP地址IP1。如果″sent-by″参数包含的IP地址和IP包接收的源地址不同，P-CSCF将在Via头域值中增加参数″received″，参数包含IP包接收的源IP地址IP2。其余处理参照3GPP TS 24.229。然后转发注册消息到I-CSCF。

可选地，P-CSCF接收到UE发送的注册请求后，先根据注册消息的内容判断用户终端是否支持基于IP地址鉴权的方法，如果包含Authorization头域且不包含Security-Client头域，则P-CSCF认为用户终端支持基于IP地址鉴权方法。

C.I-CSCF收到P-CSCF转发的注册消息，然后转发注册消息到S-CSCF。

D.S-CSCF接收到重注册请求，S-CSCF先检查注册消息中的Via头域的″sent-by″参数是否包含了IP1或者″sent-by″参数、″received″参数是否包含了IP1、IP2，如果存在，将请求消息中的IP地址和对应的初始注册保存的IP地址进行比较，匹配则认为用户终端已经鉴权通过，返回成功确认；I-CSCF转发成功确认；P-CSCF转发成功确认。

如图5所示，用户终端发起重注册请求过程中发起重鉴权的流程如下：

A.UE参照3GPP TS 24.229填写注册请求，注册消息包含Authorization头域，但不包含Security-Client和Security-Verify头域，或者Security-Client中不包含建立安全通道的信息；S-CSCF根据这一特征判断终端是否支持基于IP地址鉴权方法。

B.P-CSCF接收到UE发送的注册请求，如果注册消息包含Authorization头域且不包含Security-Client头域，则P-CSCF认为终端支持基于IP地址鉴权方法。P-CSCF检查注册消息中的Via头域的″sent-by″参数包含的IP地址IP1。如果″sent-by″参数包含域名，或者包含的IP地址和IP包接收的源地址不同，P-CSCF将在Via头域值中增加参数″received″，参数包含IP包接收的源IP地址IP2。其余处理参照3GPP TS 24.229。然后转发注册消息到I-SCF。

可选地，P-CSCF接收到UE发送的注册请求后，先根据注册消息的内容判断用户终端是否支持基于IP地址鉴权的方法，如果包含Authorization头域且不包含Security-Client头域，则P-CSCF认为用户终端支持基于IP地址鉴权方法。

C.I-CSCF收到P-CSCF转发的注册消息，然后转发注册消息到S-CSCF。

D.S-CSCF接收到重注册请求，S-CSCF先检查注册消息中的Via头域的″sent-by″参数是否包含了IP1或者″sent-by″参数、″received″参数是否包含了IP1、IP2，如果存在，将请求消息中的IP地址和对应的初始注册保存的IP地址进行比较，如果不匹配，需要对用户终端重鉴权，则由S-CSCF根据HSS查询获得的用户鉴权信息，对UE发起重鉴权(401挑战)。是否需要对用户终端进行重鉴权，还可以根据网络的运行状况或者用户的注册信息或者运营商的配置信息等判断。

E.I-CSCF转发注册鉴权挑战。

F.P-CSCF收到注册鉴权挑战后，不需要建立安全通道。对于IMS AKA鉴权的用户终端，在鉴权挑战消息中不需要添加Security-Server头域，或者Security-Server中不包含建立安全通道的信息。其余处理参照3GPP TS 24.229。然后转发注册鉴权挑战到UE。

G.UE收到注册鉴权挑战后，不需要建立安全通道。其余处理参照3GPPTS 24.229，对网络鉴权并计算鉴权响应，重新发起注册过程。

H.P-CSCF转发注册请求。

I.I-CSCF转发注册请求。

J.S-CSCF接收到注册请求，根据UE的鉴权响应，进行匹配；如匹配成功，将用户状态置为已注册状态。然后检查注册消息中的Via头域的″sent-by″参数是否包含了IP1或者″sent-by″参数、″received″参数是否包含了IP1、IP2，如果包含，则相应的保存IP1或者IP1和IP2，刷新上次鉴权时保存的IP地址。S-CSCF向UE发送成功确认。

K.I-CSCF转发成功确认。

L.P-CSCF转发成功确认。

如图6所示，用户终端发起非注册鉴权请求时的主叫侧处理(MO)流程：

A.UE发送非注册鉴权请求，包括对话请求或非注册的独立事务请求：参照3GPP TS 24.229填写请求，请求中不包含Security-Verify头域，或者Security-Verify中不包含建立安全通道的信息。

B.P-CSCF处理参照3GPP TS 24.229，转发请求到请求的S-CSCF。但是如果P-CSCF在处理应答消息时，由于P-CSCF没有建立安全通道，重新填写Record-route头域中的被保护的服务区端口是一个未保护的服务区端口。

C.S-CSCF收到请求消息，先检查请求消息中的Via头域是否包含″sent-by″参数和″received″参数，如果不存在，则S-CSCF返回403(Forbidden)响应。如果存在，将请求消息中的参数值和对应的注册保存的参数值进行比较，如果不匹配则S-CSCF返回403(Forbidden)响应。如果匹配，则S-CSCF处理继续进行业务逻辑处理。

在IMS网络中采用Digest鉴权方式实现本发明的方法，流程同上，在此不再赘述。本发明的方法还可以应用于其他网络，比如SIP网络，其方法与上述方法相同，在此不再赘述。

总之，以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (13)

1、一种用户终端的鉴权方法，其特征在于，所述的方法包括以下步骤：

A、收到用户终端的请求消息时，判断所述的请求消息中是否包含用户终端的地址信息，如果包含，则执行步骤B；

B、比较请求消息中携带用户终端的地址信息和保存的用户终端的地址信息，如果地址信息匹配，用户终端鉴权通过。

2、根据权利要求1所述的方法，其特征在于，步骤A中所述的请求消息包括重注册请求消息、注销请求消息、对话请求消息以及独立的事务请求消息。

3、根据权利要求1所述的方法，其特征在于，所述的步骤B中，如果地址信息不匹配，则由注册鉴权控制实体向用户终端发起重鉴权，或者返回失败响应。

4、根据权利要求1所述的方法，其特征在于，步骤A之前进一步包括以下步骤：

A′、获取用户终端的地址信息，鉴权通过时，保存所述的地址信息。

5、根据权利要求4所述的方法，其特征在于，所述的步骤A′之前，进一步包括以下步骤：

判断用户终端是否支持基于用户终端地址信息的鉴权方法。

6、根据权利要求5所述的方法，其特征在于，由注册鉴权控制实体根据注册鉴权请求的内容或网络的配置信息判断用户终端是否支持基于用户终端地址信息的鉴权方法。

7、根据权利要求4至6任意一项所述的方法，其特征在于，步骤A′中所述的鉴权是初始鉴权或重鉴权，

重鉴权由注册鉴权控制实体根据网络的运行状况、用户终端的注册信息或者设备配置向已经鉴权通过的用户终端发起，重鉴权通过后，刷新已保存的地址信息。

8、根据权利要求7所述的方法，其特征在于，所述的地址信息为IP地址，相应的，步骤A′中的鉴权是初始鉴权时，所述步骤A′包括具体步骤：

A′1、用户终端发起注册鉴权请求，所述请求消息中携带用户终端的IP地址IP1；

A′2、网络接入控制实体比较接收到的注册鉴权请求消息中携带的IP1和接收所述注册鉴权请求消息使用的IP地址IP2：

如果不同，则将所述IP2也保存于注册鉴权请求消息中，并将注册鉴权请求消息转发给注册鉴权控制实体，

如果相同，则将携带有IP1的注册鉴权请求消息转发给注册鉴权控制实体；

A′3、注册鉴权控制实体对用户终端进行鉴权，鉴权通过，则保存注册鉴权请求消息中携带的IP地址。

9、根据权利要求8所述的方法，其特征在于，所述的步骤A具体包括以下步骤：

A11、网络接入控制实体比较接收到的重注册请求消息中携带的IP1和接收所述重注册请求消息使用的IP地址IP2，

如果不同，则将所述IP2也保存于重注册请求消息中，并将重注册请求消息转发给注册鉴权控制实体，

如果相同，则将携带有IP1的重注册请求消息转发给注册鉴权控制实体；

A12、注册鉴权控制实体收到用户的重注册请求消息，判断重注册请求消息是否包含用户终端的IP地址。

10、根据权利要求8所述的方法，其特征在于，所述的步骤A具体包括以下步骤：

A21、网络接入控制实体比较接收到的非注册请求消息中携带的IP1和接收所述非注册请求消息使用的IP地址IP2，

如果不同，则将所述IP2也保存于非注册请求消息中，并将非注册请求消息转发给会话控制实体，

如果相同，则将携带有IP1的非注册请求消息转发给会话控制实体；

A22、会话控制实体收到用户的非注册请求消息，判断非注册请求消息是否包含用户终端的IP地址。

11、根据权利要求10所述的方法，其特征在于，所述的步骤A22中进一步包括，会话控制实体接收非注册鉴权请求消息后，判断是否为安全通道保护的请求消息，如果不是，则由会话控制实体判断请求中是否包含用户终端的IP地址。

12、根据权利要求11所述的方法，其特征在于，所述的步骤A和B之间，进一步包括：会话控制实体从注册鉴权控制实体中获得已保存的IP地址，相应地，步骤B中，由会话控制实体比较请求消息中携带的IP地址和保存的IP地址；或者，

在所述步骤A和B之间，进一步包括：会话控制实体将接收到的非注册请求消息中的IP地址发送给注册鉴权控制实体，相应地，步骤B中，由注册鉴权控制实体比较请求消息中携带的IP地址和保存的IP地址。

13、根权利要求6所述的方法，其特征在于，所述注册鉴权控制实体根据注册鉴权请求的内容判断用户终端是否支持基于IP地址鉴权方法在IMS网络中具体步骤包括：

I、代理呼叫会话控制功能实体P-CSCF将接收到的用户终端发送的注册鉴权请求转发给问询呼叫会话控制功能实体I-CSCF；

J、服务呼叫会话控制功能实体S-CSCF接收到I-CSCF转发的注册请求，如果注册消息包含Authorization头域且不包含Security-Client，或者注册消息包含Authorization头域和Security-Client，且Security-Client中不包含建立安全通道的信息，则S-CSCF认为终端支持基于IP地址鉴权方法。

Images