CN101072230A - 一种因特网协议多媒体业务子系统的鉴权方法 - Google Patents
一种因特网协议多媒体业务子系统的鉴权方法 Download PDFInfo
- Publication number
- CN101072230A CN101072230A CN 200610082224 CN200610082224A CN101072230A CN 101072230 A CN101072230 A CN 101072230A CN 200610082224 CN200610082224 CN 200610082224 CN 200610082224 A CN200610082224 A CN 200610082224A CN 101072230 A CN101072230 A CN 101072230A
- Authority
- CN
- China
- Prior art keywords
- cscf
- message
- upsf
- information
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种IMS的鉴权方法,在UPSF/HSS上配置可信任的P-CSCF信息,该方法进一步包括:A.P-CSCF收到来自UE的注册报文后,通过注册报文将该P-CSCF的信息发送给S-CSCF;B.检查设备检查所述UE的鉴权数据,判断出采用IMS业务层与接入层绑定的鉴权方式后,根据所配置的可信任的P-CSCF信息以及所述P-CSCF的信息判断所述P-CSCF是否是可信任的,在所述P-CSCF为可信任的情况下,S-CSCF对所述P-CSCF发送来的注册报文进行鉴权。本发明能够有效防止非法用户进行NBA伪装攻击,并且对现有技术影响很小,从而后向兼容性好;另外,本发明的可信任P-CSCF信息配置在数量较少的UPSF/HSS上,因此可维护性较好。
Description
技术领域
本发明涉及因特网协议(IP)多媒体业务子系统(IMS)技术领域,特别是一种IP多媒体子系统的鉴权方法。
背景技术
在先进网络的电信和互联网融合业务的协议/下一代网络(TISPAN/NGN)网络中,如果接入网络和业务网络不属于同一个运营商,接入网络对用户的鉴权和业务网络对用户的鉴权是相互独立的。在此种情况下,一个用户若要享用某种业务,通常需要两次鉴权,一次为接入层的鉴权,在通过接入层的鉴权后用户能够接入到TISPAN/NGN网络;另一次为业务层的鉴权,在通过业务层的鉴权后用户可以享用该业务网络提供的业务。
如果业务网络和接入网络属于同一个运营商时,或者业务网络运营商和接入网络运营商之间存在某种合作关系时,在某些组网情况下,业务网络运营商可以将业务层的鉴权同接入层的鉴权绑定,即在用户通过接入层鉴权后,就认为该用户是安全的,不再需要进行业务层的鉴权。这种方式称为“IMS业务层鉴权和接入层鉴权绑定”鉴权方式,即NASS-Bundled鉴权方式,简称为NBA鉴权方式。
参照图1,NBA鉴权方式的流程如下:
步骤101,网络附着子系统(NASS)接入层附着认证,在连接位置功能实体(Connection Location Function,CLF)上记录用户终端(UE)的IP地址和位置信息的对应关系。
步骤102,UE向代理呼叫会话控制功能实体(Proxy-Call Session ControlFunction,P-CSCF)发送注册报文REGISTER消息。
步骤103,P-CSCF通过检查REGISTER消息中是否包含安全协商参数来判断是否需要建立和UE之间的安全联盟,所述安全协商参数例如Security-Client。NBA鉴权方式中没有此参数,因此不需要建立安全联盟。
步骤104,P-CSCF根据注册报文的源IP地址,在CLF中查询UE的位置信息。
步骤105,由于CLF中预先保存了与源IP地址对应的位置信息,因此在本步骤中CLF向P-CSCF返回相应的位置信息。
步骤106,P-CSCF在注册报文REGISTER中增加私有接入网络信息(P-Access-Network-Info)头域,以携带UE的位置信息。然后P-CSCF将携带位置信息的注册报文发送给询问呼叫会话控制功能实体(Interrogating-Call Session Control Function,I-CSCF)。
步骤107,I-CSCF向用户数据库(UPSF)发送用户授权请求(UAR)消息。
步骤108,UPSF返回用户授权应答(UAA)消息。
步骤109,I-CSCF根据从UPSF返回的UAA消息选择相应的服务呼叫会话控制功能实体(Service-Call Session Control Function,S-CSCF),即选择由哪个S-CSCF处理该注册报文。
步骤110,I-CSCF将包括上述位置信息的注册报文REGISTER消息转发给步骤109中确定的S-CSCF。
步骤111,S-CSCF发现REGISTER消息中没有完整性保护(Integrity-Protected)参数,并且包含位置信息,则可以判断出有可能采用NBA鉴权方式。S-CSCF向UPSF发送多媒体鉴权请求(MAR)消息,请求用户的鉴权数据。
步骤112,UPSF上预先配置有UE的私有用户标识(IMPI)与鉴权数据的对应关系,这里的鉴权数据至少包括NBA鉴权方式和位置信息。UPSF检查用户的鉴权数据,发现该UE的鉴权方式是NBA鉴权方式。如果是其它鉴权方式,则按照相应的鉴权方式进行处理,这里不详细描述。
步骤113,UPSF向S-CSCF发送多媒体鉴权应答(MAA)消息,返回UE的NBA鉴权方式和鉴权数据,所述鉴权数据即位置信息。
步骤114,S-CSCF比较从P-CSCF传来的位置信息与从UPSF查询得到的位置信息,如果两者一致,则说明鉴权成功,执行步骤115及其后续步骤,即向UE发送鉴权成功的消息;如果不一致,则说明鉴权失败,执行步骤115及其后续步骤,即向UE发送鉴权失败的消息。
鉴权成功时,步骤115至步骤117为:
步骤115,S-CSCF向I-CSCF发送2xx Auth OK消息,表示鉴权成功。其中2xx表示成功相应的消息,xx为00~99的一个数字。
步骤116,I-CSCF将上述2xx Auth OK消息发送给P-CSCF。
步骤117,P-CSCF将上述2xx Auth OK消息发送给UE。
鉴权失败时,步骤115至步骤117为:
步骤115’,S-CSCF向I-CSCF发送4xx错误消息,表示鉴权失败。其中4xx表示一类错误,xx代表从00~99的一个数字。
步骤116’,I-CSCF将上述4xx消息发送给P-CSCF。
步骤117’,P-CSCF将上述4xx消息发送给UE,表示鉴权失败。
目前仅代表固网NASS接入网的TISPAN规范R1版本中支持NBA鉴权方式,而代表移动通用无线分组(GPRS)接入网的3GPP规范R5/R6版本不支持NBA鉴权方式,即后者这两个版本的P-CSCF不识别携带UE位置信息的P-Access-Network-Info头域,本申请中将这种不识别携带UE位置信息的P-Access-Network-info头域的P-CSCF称为不可信任的P-CSCF(P-CSCF_Legacy)。
3GPP规范R7版本要求同时支持固网NASS和移动GPRS接入,因此3GPP规范R7版本必须也支持NBA鉴权方式。由于UE也可以对P-Access-Network-Info头域进行操作,而P-CSCF_Legacy收到注册报文后不会查询CLF,也不会对该头域进行任何操作,因此可能带来如下所述的安全漏洞:攻击者UE(UE攻击者)不需要进行步骤101所述的NASS附着过程,只需要伪造一个注册报文,其中携带受害者UE_NBA的私有用户标识,以及在P-Access-Network-Info头域携带受害者UE_NBA的位置信息,然后发送给P-CSCF_Legacy;由于P-CSCF_Legacy不支持NBA机制,因此P-CSCF_Legacy通过I-CSCF将REGISTER消息透传到S-CSCF;S-CSCF利用注册报文中的受害者UE_NBA的IMPI到UPSF/归属用户服务器(HSS)中查询,得到受害者UE_NBA的位置信息。然后与P-CSCF_Legacy上报的受害者UE_NBA的位置信息相比较,如果两者一致,则UE攻击者鉴权通过。
此安全漏洞的本质原因是:目前的NBA机制中UE和P-CSCF都可以对同一个P-Access-Network-Info头域进行操作,导致S-CSCF无法知道P-CSCF所上报的携带在P-Access-Network-Info头域中的位置信息是P-CSCF亲自增加的,即可信任的,还是UE伪造后通过P-CSCF_Legacy传过来的,亦即P-Access-Network-Info头域中的位置信息不是P-CSCF_Legacy亲自增加的,即不可信任的。因此S-CSCF需要知道P-CSCF是否是可信任的。
现有技术一:
针对上述安全漏洞,诺基亚(NOKIA)公司提出了一种解决方案,其主要思想是:P-CSCF希望在通过REGISTER消息上报位置信息给S-CSCF时,通过某个新增的头域通知S-CSCF这个位置信息是P-CSCF自己创建的,而不是UE伪造的。S-CSCF收到REGISTER消息后,根据新增的头域就可以信任收到的位置信息确实是P-CSCF创建的。该解决方案有如下两种实现方式:
1)由于P-CSCF在转发REGISTER消息到S-CSCF的过程中,会亲自创建一个via头域,P-CSCF可以在此via头域中增加一个标识参数,以告知S-CSCF此位置信息是自己创建的,而不是UE伪造的,而位置信息还是保存在P-Access-Network-Info中;
2)由于P-CSCF在转发REGISTER消息到S-CSCF的过程中,会亲自创建一个via头域,P-CSCF可以在此via头域中增加一个位置信息参数,用于直接保存UE的位置信息,以告知S-CSCF此位置信息是自己创建的,而不是UE伪造的。
在以上两种方式下,由于只有新版本的P-CSCF才会在其亲自创建的via头域中添加所述头域参数,旧版本的P-CSCF_Legacy是不会添加这些头域参数的,因此S-CSCF据此可以判断出位置信息确实是P-CSCF亲自创建的,不是UE伪造的。
但是,现有技术一的方案是一种通过协议扩展的解决方案。3GPP规范R7版本的P-CSCF需要在创建的via中新增一个头域参数,TISPAN规范R1版本的P-CSCF是直接将位置信息保存在参数P-Access-Network-Info中,而实际应用中这两种版本的P-CSCF是可能共存的。S-CSCF收到P-CSCF发来的注册报文后,可能需要直接读取保存在P-Access-Network-Info中的位置信息呢,也可能需要读取保存在via头域中的位置信息,还可能需要既读取via头域中的标识参数,又读取保存在P-Access-Network-Info中的位置信息。由于这几种情况是可能同时存在的,因此对于S-CSCF来说实现起来比较复杂,所以该方案的后向兼容性不好。
现有技术二:
西门子(SIEMENS)公司给出了另外一种解决方案,这种方案的主要思想是:S-CSCF上预先配置好可以信任的P-CSCF列表。P-CSCF还是将位置信息保存在P-Access-Network-Info中。S-CSCF收到P-CSCF发来的位置信息后,先检查P-CSCF是否可信任,然后再从HSS查询相应的位置信息,并与P-CSCF上报的位置信息比较,进行NBA鉴权。
现有技术二的方案是一种纯配置方式的解决方案。可信任的P-CSCF信息配置在S-CSCF上,而不是配置在UPSF/HSS上,由于所有的S-CSCF上都需要作这样的配置,一旦P-CSCF的信息发生改变,则需要在所有的S-CSCF上更新,因此现有技术二的可维护性较差。
发明内容
有鉴于此,本发明提出了一种IMS的鉴权方法,用以避免攻击者UE通过不可信任的P-CSCF透传伪造的注册报文进行攻击,并且保证鉴权方法的后向兼容性和可维护性。
根据上述目的,本发明提供了一种IMS的鉴权方法,在UPSF/HSS上配置可信任的P-CSCF信息,该方法进一步包括以下步骤:
A.P-CSCF收到来自UE的注册报文后,通过注册报文将该P-CSCF的信息发送给S-CSCF;
B.检查设备检查所述UE的鉴权数据,判断出所述UE采用IMS业务层与接入层绑定的鉴权方式后,根据所配置的可信任的P-CSCF信息以及所述P-CSCF的信息判断所述P-CSCF是否是可信任的,在所述P-CSCF为可信任的情况下,执行步骤C;
C.S-CSCF对所述P-CSCF发送来的注册报文进行鉴权,并将鉴权结果返回给UE。
所述检查设备为S-CSCF。步骤B之前进一步包括:B11.S-CSCF发送MAR消息给UPSF/HSS;B12.UPSF/HSS检查所述UE的鉴权数据判断出采用IMS业务层与接入层绑定的鉴权方式后,发送MAA消息给S-CSCF,该MAA消息中携带鉴权数据以及所配置的可信任的P-CSCF信息。
步骤B进一步包括:S-CSCF判断出所述P-CSCF为不可信任的,则向UE发送表示鉴权失败的消息。
所述检查设备为UPSF/HSS。步骤B之前进一步包括:B21.S-CSCF判断出所述UE采用IMS业务层与接入层绑定的鉴权方式后,发送MAR消息给UPSF/HSS,该MAR消息中携带所述P-CSCF的信息。步骤C之前进一步包括:C21.UPSF/HSS发送MAA消息给S-CSCF,该MAA消息中携带鉴权数据。
步骤B中进一步包括:UPSF/HSS判断出所述P-CSCF为不可信任,则向S-CSCF发送表示鉴权失败的错误消息,S-CSCF收到该消息后向UE发送表示鉴权失败的消息。
所述P-CSCF的信息为该P-CSCF的IP地址或域名,所配置的可信任的P-CSCF信息为可信任的P-CSCF的IP地址或域名。
所述P-CSCF的信息为该P-CSCF所在的拜访网络标识,所配置的可信任的P-CSCF信息为可信任的P-CSCF所在的拜访网络标识。
从上述技术方案中可以看出,本发明能够检查出可信任的P-CSCF和不可信任的P-CSCF,从而有效防止非法用户进行NBA伪装攻击,因而安全可靠,避免了所述安全漏洞。与现有技术1相比,S-CSCF上的处理方式统一,不需要区分两种版本的P-CSCF对NBA鉴权方式处理不同的情况,对现有技术影响很小,后向兼容性好。另外,与现有技术二相比,可信任的P-CSCF信息配置在UPSF/HSS上,而不是S-CSCF上,由于UPSF/HSS的数目比S-CSCF的数目要少很多,因此只需要在更少的实体上配置,这样一旦P-CSCF的信息发生改变,只需要在少数的UPSF/HSS上更新,因此可维护性较好。
另外,本发明的技术方案进一步还充分地利用现有技术中的P-Visited-Network-ID头域检查P-CSCF是否可信,因此不需要扩展SIP头域,对现有技术影响最小,后向兼容性好。
附图说明
图1为现有的NBA鉴权方式的流程示意图。
图2为本发明第一实施例的流程示意图。
图3为本发明第二实施例的流程示意图。
图4为本发明第三实施例的流程示意图。
图5为本发明第四实施例的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,以下举实施例对本发明进一步详细说明。
本发明第一实施例中采取配置方式和协议扩展相结合的方式。P-CSCF还是将位置信息保存在P-Access-Network-Info中,同时扩展S-CSCF和UPSF/HSS之间的Cx接口协议DIAMETER中的MAR消息,使其可以携带P-CSCF信息,并在UPSF/HSS上配置可以信任的P-CSCF信息。在具体流程中,为了描述方便以UPSF为例说明。
在第一实施例中,S-CSCF在收到P-CSCF发来的带有位置信息的REGISTER消息后,将P-CSCF的相关信息(例如地址或者域名)通过DIAMETER协议扩展携带在MAR消息中,发送给UPSF/HSS查询UE位置信息。UPSF/HSS发现配置的是NBA,则先通过预先配置的可信任的P-CSCF信息检查所述P-CSCF是否可以信任。检查成功后,即所述P-CSCF为可信任的P-CSCF时,UPSF/HSS才通过MAA消息发送配置的UE位置信息给S-CSCF,S-CSCF再比较UPSF/HSS返回的位置信息与P-CSCF上报的位置信息,执行NBA鉴权过程。检查失败,即所述P-CSCF不是可信任的P-CSCF时,UPSF/HSS通过MAA消息返回对应的错误码给S-CSCF,S-CSCF也返回对应的错误码给UE,通知鉴权失败。
参照图2,本发明第一实施例包括以下步骤:
步骤1101,NASS接入层附着认证,在CLF上记录UE的IP地址和位置信息的对应关系。
步骤1102,UE向P-CSCF发送注册报文REGISTER消息。
步骤1103,P-CSCF通过检查REGISTER消息中是否包含安全协商参数来判断是否需要建立和UE之间的安全联盟,所述安全协商参数例如Security-Client。NBA鉴权方式中没有此参数,因此不需要建立安全联盟。
步骤1104,P-CSCF根据注册报文的源IP地址,在CLF中查询UE的位置信息。
步骤1105,由于CLF中预先保存了与源IP地址对应的位置信息,因此在本步骤中CLF向P-CSCF返回相应的位置信息。
步骤1106,P-CSCF在注册报文中增加P-Access-Network-Info头域,以携带UE位置信息,然后发送给I-CSCF。
步骤1107,I-CSCF向UPSF发送UAR消息。
步骤1108,UPSF返回UAA消息。
步骤1109,I-CSCF根据从UPSF返回的UAA消息选择相应的S-CSCF,即选择由哪个S-CSCF处理该注册报文。
步骤1110,I-CSCF将包括上述位置信息的注册报文REGISTER消息转发给步骤1109确定的S-CSCF。
步骤1111,S-CSCF发现REGISTER消息中没有Integrity-Protected参数,并且包含位置信息,例如P-Access-Network-Info头域中包含位置信息,或者其中信息指示该REGISTER消息是从TISPAN/NGN接入网收到的,例如P-Access-Network-Info头域中的接入网类型(access-type)或者网络提供商(network-provider)头域表示TISPAN/NGN接入网,则判断出有可能采用NBA鉴权方式。S-CSCF向UPSF发送MAR消息,其中携带P-CSCF的信息,例如IP地址或者域名等,请求用户的鉴权数据。注意这里MAR是否携带P-CSCF的信息是可选的,如果S-CSCF发现该用户鉴权方式不是NBA方式,例如是AKA方式或者早期IMS鉴权方式(EIA),则不需要携带该信息。
步骤1112,UPSF上预先配置有用户的IMPI与鉴权数据即NBA方式和位置信息之间的对应关系。UPSF上还预先配置有可信任的P-CSCF信息,例如可信任的P-CSCF的IP地址或域名等。UPSF检查用户的鉴权数据,发现该用户的鉴权方式是NBA方式,则UPSF首先根据配置的可信任的P-CSCF信息检查MAR中携带的P-CSCF是否可信任。如果是其它鉴权方式,则按照相应的鉴权方式进行处理,这里不详细描述。
如果P-CSCF可信任,则继续执行NBA鉴权方式的步骤1113至步骤1117。
如果P-CSCF不可信任,则UPSF通过步骤1113中的MAA返回对应的错误码给S-CSCF。S-CSCF在步骤1114中发现UPSF返回的是错误码,则也通过步骤1115至步骤1117返回该对应的错误码给UE表示鉴权失败。
步骤1113,UPSF向S-CSCF发送MAA消息,返回用户的NBA鉴权方式和鉴权数据,即NBA方式和位置信息。
步骤1114,S-CSCF比较从P-CSCF传来的位置信息与从UPSF查询得到的位置信息,如果两者一致,则说明鉴权成功,执行步骤1115及其后续步骤,即向UE发送鉴权成功的消息;如果不一致,则说明鉴权失败,执行步骤1115及其后续步骤,即向UE发送鉴权失败的消息。
鉴权成功时,步骤1115至步骤1117为:S-CSCF向I-CSCF发送2xxAuth_OK消息,表示鉴权成功;I-CSCF将上述2xx Auth_OK消息发送给P-CSCF;P-CSCF将上述2xx Auth_OK消息发送给UE。
鉴权失败时,步骤1115至步骤1117为:S-CSCF向I-CSCF发送4xx错误消息,表示鉴权失败;I-CSCF将上述4xx消息发送给P-CSCF;P-CSCF将上述4xx消息发送给UE,表示鉴权失败。为了清楚的目的,图2中只给出了步骤1115至步骤1117在鉴权成功时的情况。
本发明的第二实施例与第一实施例相似,不同的是,在本发明的第二实施例中,不是扩展MAR消息,而是扩展MAA消息携带可信任的P-CSCF信息。S-CSCF收到P-CSCF发来的位置信息后,发送MAR消息给UPSF/HSS查询UE位置信息。UPSF/HSS发现配置的是NBA方式,通过MAA消息将配置的NBA鉴权方式、位置信息以及可信任的P-CSCF信息返回给S-CSCF。S-CSCF发现该用户的鉴权方式是NBA,则首先根据返回的可信任的P-CSCF信息检查P-CSCF是否可信任,检查通过后,即所述P-CSCF是可信任的P-CSCF时,再比较UPSF/HSS返回的位置信息与P-CSCF上报的位置信息,执行NBA鉴权过程。检查失败,即所述P-CSCF不是可信任的P-CSCF时,S-CSCF直接返回对应的错误码给UE,通知鉴权失败。
参照图3,本发明第二实施例的流程包括以下步骤:
步骤1201,NASS接入层附着认证,在CLF上记录UE的IP地址和位置信息的对应关系。
步骤1202,UE向P-CSCF发送注册报文REGISTER消息。
步骤1203,P-CSCF通过检查REGISTER消息中是否包含安全协商参数来判断是否需要建立和UE之间的安全联盟,所述安全协商参数例如Security-Client。NBA鉴权方式中没有此参数,因此不需要建立安全联盟。
步骤1204,P-CSCF根据注册报文的源IP地址,在CLF中查询UE的位置信息。
步骤1205,由于CLF中预先保存了与源IP地址对应的位置信息,因此在本步骤中CLF向P-CSCF返回相应的位置信息。
步骤1206,P-CSCF在注册报文中增加P-Access-Network-Info头域,以携带UE的位置信息,将携带位置信息的注册报文发送给I-CSCF。
步骤1207,I-CSCF向UPSF发送UAR消息。
步骤1208,UPSF返回UAA消息。
步骤1209,I-CSCF根据从UPSF返回的UAA消息选择相应的S-CSCF,即选择由哪个S-CSCF处理该注册报文。
步骤1210,I-CSCF将包括上述位置信息的注册报文REGISTER消息转发给步骤1209确定的S-CSCF。
步骤1211,S-CSCF向UPSF发送MAR消息,请求用户的鉴权数据。
步骤1212,UPSF上预先配置有UE的IMPI与鉴权数据的对应关系,这里的鉴权数据至少包括NBA鉴权方式和位置信息。UPSF检查用户的鉴权数据,发现该UE的鉴权方式是NBA鉴权方式。
步骤1213,UPSF发送MAA给S-CSCF,其中携带UE的鉴权方式NBA、位置信息以及可信任的P-CSCF信息。注意这里MAA是否携带可信任的P-CSCF信息是可选的,如果UPSF发现该用户鉴权方式不是NBA方式,例如AKA或者EIA,则不需要携带该信息。如果是其它鉴权方式,则按照相应的鉴权方式进行处理,这里不详细描述。
步骤1214,S-CSCF根据返回的信息发现该用户的鉴权方式是NBA,则首先根据返回的可信任的P-CSCF信息检查所述P-CSCF是否可信任。
如果P-CSCF可以信任,则比较UPSF返回的位置信息与P-CSCF上报的位置信息,如果两者一致,则说明鉴权成功,执行步骤1215至步骤1217,即向UE发送鉴权成功的消息;如果不一致,则说明鉴权失败,执行步骤1215至步骤1217,即向UE发送鉴权失败的消息。
如果P-CSCF不可以信任,则执行步骤1215至步骤1217,通知UE鉴权失败。
步骤1215至步骤1217与第一实施例中的步骤1115至步骤1117相同,这里不再赘述。
本发明的第三实施例和第四实施例利用现有的拜访网络标识信息(P-Visited-Network-ID)头域区分P-CSCF是否可信任。P-CSCF还是将位置信息保存在P-Access-Network-Info中。在现有技术中,不管是可信任的P-CSCF,还是不可信任的P-CSCF_Legacy,当其转发REGISTER消息到S-CSCF时,都会主动增加一个P-Visited-Network-ID头域,以指明P-CSCF所处的拜访网络标识。
在第三实施例中,S-CSCF收到P-CSCF发来的REGISTER消息后,发送MAR消息给UPSF/HSS查询UE位置信息。UPSF/HSS发现配置的是NBA,通过MAA消息将配置的UE NBA鉴权方式、位置信息以及可信任的P-CSCF所在的拜访网络标识列表返回给S-CSCF。S-CSCF发现该用户的鉴权方式是NBA,则首先根据返回的可信任的P-CSCF所在的拜访网络标识列表检查P-CSCF是否可信任,检查通过后再比较UPSF/HSS返回的位置信息与P-CSCF上报的位置信息,执行NBA鉴权过程。检查失败则S-CSCF直接返回对应的错误码给UE,通知鉴权失败。
参照图4,本发明第三实施例的流程如下:
步骤1301,NASS接入层附着认证,在CLF上记录UE的IP地址和位置信息的对应关系。
步骤1302,UE向P-CSCF发送注册报文REGISTER消息。
步骤1303,P-CSCF通过检查REGISTER消息中是否包含安全协商参数来判断是否需要建立和UE之间的安全联盟,所述安全协商参数例如Security-Client。NBA鉴权方式中没有此参数,因此不需要建立安全联盟。
步骤1304,P-CSCF根据注册报文的源IP地址,在CLF中查询UE的位置信息。
步骤1305,由于CLF中预先保存了与源IP地址对应的位置信息,因此在本步骤中CLF向P-CSCF返回相应的位置信息。
步骤1306,P-CSCF在注册报文中增加P-Access-Network-Info头域,以携带UE的位置信息。同时增加一个P-Visited-Network-ID头域,以指明P-CSCF所处的拜访网络标识。然后,P-CSCF将注册报文发送给I-CSCF。
步骤1307,I-CSCF向UPSF发送UAR消息。
步骤1308,UPSF返回UAA消息。
步骤1309,I-CSCF根据从UPSF返回的UAA消息选择相应的S-CSCF,即选择由哪个S-CSCF处理该注册报文。
步骤1310,I-CSCF将包括上述位置信息和拜访网络标识信息的注册报文REGISTER消息转发给步骤1309确定的S-CSCF。
步骤1311,S-CSCF向UPSF发送MAR消息,请求用户的鉴权数据。
步骤1312,UPSF上预先配置有UE的IMPI与鉴权数据的对应关系,这里的鉴权数据包括NBA鉴权方式和位置信息。UPSF检查用户的鉴权数据,发现该UE的鉴权方式是NBA鉴权方式。
步骤1313,UPSF发送MAA消息给S-CSCF,其中携带UE的鉴权方式NBA、位置信息以及可信任的P-CSCF所在的拜访网络标识列表。注意这里MAA消息是否携带可信任的P-CSCF所在的拜访网络标识列表信息是可选的,如果UPSF发现该用户鉴权方式不是NBA方式,例如AKA或者EIA,则不需要携带该信息。如果是其它鉴权方式,则按照相应的鉴权方式进行处理,这里不详细描述。
步骤1314,S-CSCF根据返回的信息发现该用户的鉴权方式是NBA,则首先根据返回的可信任的P-CSCF信息检查所述P-CSCF是否可信任。
如果P-CSCF可以信任,则比较UPSF返回的位置信息与P-CSCF上报的位置信息,如果两者一致,则说明鉴权成功,执行步骤1315至步骤1317,即向UE发送鉴权成功的消息;如果不一致,则说明鉴权失败,执行步骤1315至步骤1317,即向UE发送鉴权失败的消息。
如果P-CSCF不可以信任,则执行步骤1315至步骤1317,通知UE鉴权失败。
步骤1315至步骤1317与第一实施例中的步骤1115至步骤1117相同,这里不再赘述。
与第三实施例扩展MAA消息不同的是,在本发明第四实施例中扩展了MAR消息。S-CSCF收到P-CSCF发来的REGISTER消息中有位置信息后,将P-Visited-Network-ID头域通过DIAMETER协议扩展携带在MAR消息中,发送给UPSF/HSS查询UE位置信息。UPSF/HSS发现配置的是NBA,则先通过预先配置的可信任的P-CSCF所在的拜访网络标识列表检查所述P-CSCF是否可以信任。如果所述P-CSCF为可信任的,UPSF/HSS才通过MAA消息发送配置的UE位置信息给S-CSCF,S-CSCF再比较UPSF/HSS返回的位置信息与P-CSCF上报的位置信息,执行NBA鉴权过程。如果所述P-CSCF是不可信任的,则UPSF/HSS通过MAA消息返回对应的错误码给S-CSCF,S-CSCF也返回对应的错误码给UE通知鉴权失败。
参照图5,本发明第四实施例包括以下步骤:
步骤1401,NASS接入层附着认证,在CLF上记录UE的IP地址和位置信息的对应关系。
步骤1402,UE向P-CSCF发送注册报文REGISTER消息。
步骤1403,P-CSCF通过检查REGISTER消息中是否包含安全协商参数来判断是否需要建立和UE之间的安全联盟,所述安全协商参数例如Security-Client。NBA鉴权方式中没有此参数,因此不需要建立安全联盟。
步骤1404,P-CSCF根据注册报文的源IP地址,在CLF中查询UE的位置信息。
步骤1405,由于CLF中预先保存了与源IP地址对应的位置信息,因此在本步骤中CLF向P-CSCF返回相应的位置信息。
步骤1406,P-CSCF在注册报文中增加P-Access-Network-Info头域,以携带UE位置信息。同时增加一个P-Visited-Network-ID头域,以指明P-CSCF所处的拜访网络标识。然后,P-CSCF将注册报文发送给I-CSCF。
步骤1407,I-CSCF向UPSF发送UAR消息。
步骤1408,UPSF返回UAA消息。
步骤1409,I-CSCF根据从UPSF返回的UAA消息选择相应的S-CSCF,即选择由哪个S-CSCF处理该注册报文。
步骤1410,I-CSCF将包括上述位置信息和拜访网络标识信息的注册报文REGISTER消息转发给步骤1409确定的S-CSCF。
步骤1411,S-CSCF发现REGISTER消息中没有Integrity-Protected参数,并且包含位置信息,或者其中信息指示该REGISTER消息是从TISPAN/NGN接入网收到的,例如P-Access-Network-Info头域中的access-type或者network-provider头域表示TISPAN/NGN接入网,则可以判断出有可能采用NBA鉴权方式。S-CSCF向UPSF发送MAR消息,其中携带P-Visited-Network-ID头域,请求用户的鉴权数据。注意这里MAR是否携带P-Visited-Network-ID头域是可选的,如果S-CSCF发现该用户鉴权方式不是NBA方式,例如AKA或者EIA,则不需要携带该信息。
步骤1412,UPSF上预先配置有用户的IMPI与鉴权数据对应关系,UPSF上还预先配置了可信任的P-CSCF所在的拜访网络标识列表。UPSF检查用户的鉴权数据,发现该用户的鉴权方式是NBA,则UPSF首先根据配置的可信任的P-CSCF所在的拜访网络标识系列表检查P-CSCF是否可信任。如果是其它鉴权方式,则按照相应的鉴权方式进行处理,这里不详细描述。
如果P-CSCF可信任,则继续执行步骤1413至步骤1417。
如果P-CSCF不可信任,则UPSF通过步骤1413中的MAA消息返回对应的错误码给S-CSCF。S-CSCF在步骤1414中发现UPSF返回的是错误码,则通过步骤1415至步骤1417返回对应的错误码给UE,表示鉴权失败。
步骤1413,UPSF向S-CSCF发送MAA消息,返回用户的NBA鉴权方式和鉴权数据即位置信息。
步骤1414,S-CSCF比较从P-CSCF传来的位置信息与从UPSF查询得到的位置信息,如果两者一致,则说明鉴权成功,执行步骤1415至步骤1417,向UE发送鉴权成功的消息;如果不一致,则说明鉴权失败,执行步骤1415至步骤1417,向UE发送鉴权失败的消息。
步骤1415至步骤1417与第一实施例中的步骤1115至步骤1117相同,这里不再赘述。
在第一实施例和第四实施例中,UPSF/HSS为检查P-CSCF是否可信任的检查设备,而在第二实施例和第三实施例中,S-CSCF为检查P-CSCF是否可信任的检查设备。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1、一种因特网协议多媒体业务子系统IMS的鉴权方法,其特征在于,在用户数据库/归属用户服务器UPSF/HSS上配置可信任的代理呼叫会话控制功能实体P-CSCF信息,该方法进一步包括以下步骤:
A.P-CSCF收到来自用户终端UE的注册报文后,通过注册报文将该P-CSCF的信息发送给服务呼叫会话控制功能实体S-CSCF;
B.检查设备检查所述UE的鉴权数据,判断出所述UE采用IMS业务层与接入层绑定的鉴权方式后,根据所配置的可信任的P-CSCF信息以及所述P-CSCF的信息判断所述P-CSCF是否是可信任的,在所述P-CSCF为可信任的情况下,执行步骤C;
C.S-CSCF对所述P-CSCF发送来的注册报文进行鉴权,并将鉴权结果返回给UE。
2、根据权利要求1所述的方法,其特征在于,所述检查设备为S-CSCF;
步骤B之前进一步包括:
B11.S-CSCF发送多媒体鉴权请求MAR消息给UPSF/HSS;
B12.UPSF/HSS检查所述UE的鉴权数据判断出采用IMS业务层与接入层绑定的鉴权方式后,发送多媒体鉴权应答MAA消息给S-CSCF,该MAA消息中携带鉴权数据以及所配置的可信任的P-CSCF信息。
3、根据权利要求2所述的方法,其特征在于,
步骤B进一步包括:S-CSCF判断出所述P-CSCF为不可信任的,则向UE发送表示鉴权失败的消息。
4、根据权利要求1所述的方法,其特征在于,所述检查设备为UPSF/HSS;
步骤B之前进一步包括:
B21.S-CSCF判断出所述UE采用IMS业务层与接入层绑定的鉴权方式后,发送MAR消息给UPSF/HSS,该MAR消息中携带所述P-CSCF的信息;
步骤C之前进一步包括:
C21.UPSF/HSS发送MAA消息给S-CSCF,该MAA消息中携带鉴权数据。
5、根据权利要求4所述的方法,其特征在于,步骤B中进一步包括:UPSF/HSS判断出所述P-CSCF为不可信任,则向S-CSCF发送表示鉴权失败的错误消息,S-CSCF收到该消息后向UE发送表示鉴权失败的消息。
6、根据权利要求1~5任一项所述的方法,其特征在于,所述P-CSCF的信息为该P-CSCF的IP地址或域名,所配置的可信任的P-CSCF信息为可信任的P-CSCF的IP地址或域名。
7、根据权利要求1~5任一项所述的方法,其特征在于,所述P-CSCF的信息为该P-CSCF所在的拜访网络标识,所配置的可信任的P-CSCF信息为可信任的P-CSCF所在的拜访网络标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610082224 CN101072230A (zh) | 2006-05-12 | 2006-05-12 | 一种因特网协议多媒体业务子系统的鉴权方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610082224 CN101072230A (zh) | 2006-05-12 | 2006-05-12 | 一种因特网协议多媒体业务子系统的鉴权方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101072230A true CN101072230A (zh) | 2007-11-14 |
Family
ID=38899218
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200610082224 Pending CN101072230A (zh) | 2006-05-12 | 2006-05-12 | 一种因特网协议多媒体业务子系统的鉴权方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101072230A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016183745A1 (zh) * | 2015-05-15 | 2016-11-24 | 华为技术有限公司 | 用于建立连接的方法和设备 |
-
2006
- 2006-05-12 CN CN 200610082224 patent/CN101072230A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016183745A1 (zh) * | 2015-05-15 | 2016-11-24 | 华为技术有限公司 | 用于建立连接的方法和设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11956284B2 (en) | System and method for determining trust for SIP messages | |
| US8666402B2 (en) | Method for triggering user registration in IP multimedia subsystem | |
| US8792480B2 (en) | IMS and method of multiple S-CSCF operation in support of single PUID | |
| US20080155658A1 (en) | Authentication type selection | |
| US9882943B2 (en) | Method of access provision | |
| US20070055874A1 (en) | Bundled subscriber authentication in next generation communication networks | |
| KR100703426B1 (ko) | 아이피 기반 멀티미디어 서브시스템에서 가입자 정보유실시 발신 및 착신 호를 가능하게 하는 방법 및 장치 | |
| WO2007090348A1 (fr) | Procédé, appareil et système de vérification de la validité pour système uri d'agent utilisateur globalement routable | |
| CN101001145B (zh) | 支持非ip多媒体业务子系统终端漫游的认证方法 | |
| CN101072230A (zh) | 一种因特网协议多媒体业务子系统的鉴权方法 | |
| WO2008084071A2 (en) | Communication system with transparent subscriber mobility based on group registration | |
| CN101155186A (zh) | 一种因特网协议多媒体业务子系统的鉴权方法 | |
| CN101132358B (zh) | 一种ims网络中用户终端ue接入鉴权方法 | |
| KR20120097897A (ko) | Ims망내 와일드카드 번호체계 가입자의 위치등록전달방법 및 그 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |