CN101083838A - Ip多媒体子系统中的http摘要鉴权方法 - Google Patents
Ip多媒体子系统中的http摘要鉴权方法 Download PDFInfo
- Publication number
- CN101083838A CN101083838A CNA2007101260415A CN200710126041A CN101083838A CN 101083838 A CN101083838 A CN 101083838A CN A2007101260415 A CNA2007101260415 A CN A2007101260415A CN 200710126041 A CN200710126041 A CN 200710126041A CN 101083838 A CN101083838 A CN 101083838A
- Authority
- CN
- China
- Prior art keywords
- authentication
- control function
- network element
- http
- function network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
一种IP多媒体子系统中的HTTP摘要鉴权方法,包括以下步骤:用户终端向服务呼叫会话控制功能网元发送加入了鉴权类型是关于HTTP摘要鉴权信息的第一注册消息;服务呼叫会话控制功能网元收到第一注册消息后,根据HTTP摘要鉴权信息来构造鉴权消息,并将鉴权消息发送给归属用户服务器来请求鉴权;以及归属用户服务器在鉴权响应中携带HTTP摘要相关信息,并将鉴权响应返回服务呼叫会话控制功能网元,用户终端与服务呼叫会话控制功能网元协商,完成关于HTTP摘要的鉴权。从而,能够在IMS的框架下为IMS业务接入提供一种简单的安全保护机制,提供用户级的鉴权类型选择。
Description
技术领域
本发明涉及IP多媒体子系统(IP Multimedia Subsystem,IMS)通讯领域,尤其涉及一种IP多媒体子系统中使用普通HTTP(Hypertext Transfer Protocol)Digest鉴权的方法。
背景技术
IMS是第三代移动伙伴计划(3GPP)在Release 5阶段标准中提出的支持IP多媒体业务的支持平台(图1)。它基于会话发起协议(Session Initiation Protocol,SIP)的体系,SIP是按客户端/服务器方式工作的基于文本的信令协议,IMS使用SIP呼叫控制机制来创建、管理和终结各种类型的多位体业务。除会话管理外,IMS体系还涉及完成服务提供所必须的功能(例如注册、安全、计费、承载控制等)。IMS提供了业务融合的基础,基于互联网协议(IP)技术同时支持语音和新的多媒体应用。
IMS层接入鉴权沿袭通用移动通信系统(Universal MobileCommunication System,UMTS)引入的鉴权与密钥协商(Authentication and Key Agreement,AKA)双向鉴权方式,即IMS鉴权不但包括网络侧对终端的认证,还包括终端对网络的验证过程。但为支持IMS AKA鉴权,3GPP使用了专门的IMS用户标识模块(IPMultimedia Services Identity Module,ISIM)作为用户侧的鉴权模块。也就是说ISIM模块是专门用于实现IMS AKA鉴权的,而目前2G/3G的终端用户标识是不包含ISIM模块的,因此这些终端是无法完成IMS AKA鉴权的。
在IMS部署初期,就是使用2G终端或固网接入IMS业务,此时需要提供一些安全机制来应对早期IMS实现中最常见的安全威胁。为此3GPP在TR 33.978中提供了一种新的鉴权方式-Early IMS鉴权,另外基于密码的HTTP Digest(RFC 2617)鉴权也可以被利用来提供这种简单的安全保护。
又由于IMS可以有不同的终端接入,有些终端带ISIM支持IMSAKA,而其他的终端接入支持其他的鉴权方式,所以必须支持用户级的鉴权类型选择。
在3GPP TS 24.228中,当用户支持IMS AKA鉴权时,在初始注册消息中携带Authorization字段。而当用户支持Early IMS鉴权时,在初始注册消息中不携带Authorization字段,代理呼叫会话控制功能(Proxy-Call Session Control Function,P-CSCF)、问讯呼叫会话控制功能(Interrogating-Call Session Control Function,I-CSCF)及服务呼叫会话控制功能(Serving-Call Session Control Function,S-CSCF)网元均根据Authorization存在与否决定是IMS AKA还是Early IMS鉴权方式,特别是S-CSCF会根据Authorization的有无向归属用户服务器(Home Subscriber Server,HSS)发送不同的MAR(Multimedia-Authentication-Request)消息,对SIP-Auth-Data-Item的SIP-Authentication-Scheme赋不同的值:有Authorization时,鉴权方案为Digest-AKAv1-MD5;没有Authorization时,鉴权方案为Early-IMS-Security。
而在RFC 2617定义的HTTP Digest中,客户端向服务器端发送的第一个请求中也没有携带Authorization字段,这样在S-CSCF将不能区分HTTP Digest和Early IMS的鉴权方式。另外HTTP Digest中的服务器只是一个实体,而IMS中鉴权数据的存储和鉴权过程的执行分布在两个不同的网元-HSS和S-CSCF上。还有HTTP Digest在HTTP中实际上是在会话建立时(请求数据时),对用户作的认证。而普通的IMS鉴权是在注册时发生,会话建立时是不作鉴权的。
普通的HTTP Digest鉴权过程如下(RFC 2617):
a.客户端向服务器端发送读取数据请求;
b.服务器端生成一个Nonce。发给客户端(WWW-authenticate相当于这里的authenticate AVP);
c.客户端收到Nonce后,客户端生成一个Cnonce。然后客户端会通过如下方法计算Response:response=MD5[HA1:nonce:nc:cnonce:qop:HA2],其中HA1=MD5(username:realm:password),HA2=MD5(method:URI)。客户端将Response和Cnonce一起发给服务器端(Authorization字段)。
d.服务器端根据收到的Cnonce,以及前面自己生成的Nonce,用客户端同样的方法计算一个Response2。验证Response2是否和从客户端收到的Response以相同。若相同,说明网络认证用户成功。若服务器支持双向鉴权,则服务器端计算一个Rspauth给客户端,以表示它知道用户的密码,rspauth的计算和计算response2大体相同(仅仅在HA2上稍有区别,HA2=MD5(:URI))。服务器端同时生成一个Nextnonce,连同rspauth发给客户端。Nextnonce是客户端将来再次鉴权时使用的nonce值。
e.客户端验证根据服务器端同样的方法计算rspauth,验证网络。
因此,需要一种IP多媒体子系统中使用HTTP Digest鉴权的方法,能够在IMS的框架下为IMS业务接入提供一种简单的安全保护机制,提供用户级的鉴权类型选择。
发明内容
考虑到上述问题而做出本发明,为此,本发明的主要目的在于,提供一种IP多媒体子系统中的HTTP摘要鉴权方法,包括以下步骤:
步骤S102,用户终端向服务呼叫会话控制功能网元发送加入了鉴权类型是关于HTTP摘要鉴权信息的第一注册消息;
步骤S104,服务呼叫会话控制功能网元收到第一注册消息后,根据HTTP摘要鉴权信息来构造鉴权消息,并将鉴权消息发送给归属用户服务器来请求鉴权;以及
步骤S106,归属用户服务器在鉴权响应中携带HTTP摘要相关信息,并将鉴权响应返回服务呼叫会话控制功能网元,用户终端与服务呼叫会话控制功能网元协商,完成关于HTTP摘要的鉴权。
步骤104还包括:服务呼叫会话控制功能网元当收到第一注册消息之后向归属服务器发送多媒体鉴权请求,多媒体鉴权请求中的鉴权类型被写为HTTP摘要类型;归属用户服务器查询用户的鉴权类型,如果用户终端的鉴权类型为HTTP摘要类型,则返回鉴权响应。
根据用户终端的鉴权类型以及所述归属用户服务的配置来确定返回的鉴权类型和与鉴权类型相关的数据。
与鉴权类型相关的数据可包括由归属用户服务器或由所述服务呼叫会话控制功能网元生成的第一随机数、Realm参数以及由归属用户服务器生成的HA1。
可将HA1参数存储到服务呼叫会话控制功能网元。
步骤S106中的用户终端与服务呼叫会话控制功能网元的协商包括:用户终端根据用户输入的密码计算第一响应值;用户终端向服务呼叫会话控制功能网元发送包括多个参数的第二注册消息;以及服务呼叫会话控制功能网元根据多个参数和HA1计算第二响应值,并比较第一响应值和第二响应值,如果第一响应值等于第二响应值,则HTTP摘要鉴权成功。
多个参数可包括第二随机数、随机数计数、和第一响应值。
从而,能够在IMS的框架下为IMS业务接入提供一种简单的安全保护机制,提供用户级的鉴权类型选择。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是根据本发明的IP多媒体子系统中的鉴权方法的流程图;
图2是根据本发明的IMS系统的核心网络的示意图;以及
图3是根据本发明实施例的在IP多媒体子系统使用HTTPDigest鉴权的流程图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
图1是根据本发明的IP多媒体子系统中的HTTP摘要鉴权方法的流程图。
参照图1,提供了一种IP多媒体子系统中的HTTP摘要鉴权方法,包括以下步骤:
步骤S102,用户终端向服务呼叫会话控制功能网元发送加入了鉴权类型是关于HTTP摘要鉴权信息的第一注册消息;
步骤S104,服务呼叫会话控制功能网元收到第一注册消息后,根据HTTP摘要鉴权信息来构造鉴权消息,并将鉴权消息发送给归属用户服务器来请求鉴权;以及
步骤S106,归属用户服务器在鉴权响应中携带HTTP摘要相关信息,并将鉴权响应返回服务呼叫会话控制功能网元,用户终端与服务呼叫会话控制功能网元协商,完成关于HTTP摘要的鉴权。
步骤104还包括:服务呼叫会话控制功能网元当收到第一注册消息之后向归属服务器发送多媒体鉴权请求,多媒体鉴权请求中的鉴权类型被写为HTTP摘要类型;归属用户服务器查询用户的鉴权类型,如果用户终端的鉴权类型为HTTP摘要类型,则返回鉴权响应。
根据用户终端的鉴权类型以及所述归属用户服务的配置来确定返回的鉴权类型和与鉴权类型相关的数据。
与鉴权类型相关的数据可包括由归属用户服务器或由所述服务呼叫会话控制功能网元生成的第一随机数、Realm参数以及由归属用户服务器生成的HA1。。
可将HA1参数存储到服务呼叫会话控制功能网元。
步骤S106中的用户终端与服务呼叫会话控制功能网元的协商包括:用户终端根据用户输入的密码计算第一响应值;用户终端向服务呼叫会话控制功能网元发送包括多个参数的第二注册消息;以及服务呼叫会话控制功能网元根据多个参数和HA1计算第二响应值,并比较第一响应值和第二响应值,如果第一响应值等于第二响应值,则HTTP摘要鉴权成功。
多个参数可包括第二随机数、随机数计数、和第一响应值。
下面,参照图2和图3,详细描述本发明的具体过程。
步骤201:终端发起注册请求,发送给P-CSCF,注册消息中携带Authorization头字段和鉴权类型,比如可以为“md5”。
步骤202:P-CSCF将注册请求转发给I-CSCF。
步骤203:I-CSCF通过UAR(用户鉴权请求User-Authorization-Request)查询用户注册信息。
步骤204:HSS通过UAA(用户鉴权请求响应User-Authorization-Answer)返回用户状态查询结果。
步骤205:I-CSCF将注册请求发送分配的S-CSCF。
步骤206:S-CSCF从Authorization字段提取用户的IMPI,并发送MAR消息到HSS以获取与认证该用户相关的认证数据,并根据Authorization字段中的鉴权类型将鉴权方案直接写为HTTPDigest鉴权方案,比如可以为“HTTP-Digest-MD5”。
步骤207:HSS通过用户的IMPI查询到用户的鉴权信息,若签约的鉴权类型为HTTP Digest鉴权,查询到该用户的密码,产生用于质询用户的随机数(Nonce),计算出HA1。HSS在MAA中将HA1连同Nonce等参数发送给S-CSCF。
步骤208:S-CSCF收到MAA后,将MAA带回的HA1保存,并构造401 Unauthorized响应消息,将nonce和realm等参数放到响应消息中,比如可以放到WWW-Authenticate字段中。S-CSCF将401 Unauthorized响应消息发送给I-CSCF。
步骤209:I-CSCF将401 Unauthorized响应消息转发给P-CSCF。
步骤210:P-CSCF将此响应消息转给UE。
步骤211:UE收到响应消息后,产生cnonce和nonce-count参数,提示用户输入密码,用户确认密码输入完成后,UE计算出响应值response1。并构造第二条注册消息,将response1连同cnonce和nonce-count放入注册消息的Authorization字段中发送给P-CSCF。
步骤212:P-CSCF将第二条注册消息转发给I-CSCF。
步骤213:I-CSCF通过UAR(User-Authorization-Request)查询用户注册信息。
步骤214:HSS通过UAA(User-Authorization-Answer)返回用户状态查询结果。
步骤215:I-CSCF将注册请求发送分配的S-CSCF。
步骤216:S-CSCF将根据前面收到的HA1以及注册消息中cnonce等参数来计算回送给终端的响应数Response2;若Response2和Response1相同,则发送SAR(服务器分配请求)消息到S-CSCF。
步骤217:HSS修改用户的注册状态,并记录相关注册信息,将成功消息返回给S-CSCF。
步骤218:S-CSCF构造200 OK响应消息,并发送给I-CSCF。
步骤219:I-CSCF将200 OK响应消息发给P-CSCF。
步骤220:P-CSCF将该消息最终返回给UE。鉴权成功。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种IP多媒体子系统中的HTTP摘要鉴权方法,其特征在于,包括:
步骤S102,用户终端向服务呼叫会话控制功能网元发送加入了鉴权类型是关于HTTP摘要鉴权信息的第一注册消息;
步骤S104,所述服务呼叫会话控制功能网元收到所述第一注册消息后,根据所述HTTP摘要鉴权信息来构造鉴权消息,并将所述鉴权消息发送给归属用户服务器来请求鉴权;以及
步骤S106,所述归属用户服务器在鉴权响应中携带HTTP摘要相关信息,并将所述鉴权响应返回所述服务呼叫会话控制功能网元,所述用户终端与所述服务呼叫会话控制功能网元协商,完成关于HTTP摘要的鉴权。
2.根据权利要求1所述的鉴权方法,其特征在于,所述步骤104包括:
所述服务呼叫会话控制功能网元当收到所述第一注册消息之后向归属服务器发送多媒体鉴权请求,所述多媒体鉴权请求中的鉴权类型被写为HTTP摘要类型;以及
所述归属用户服务器查询用户的所述鉴权类型,如果用户终端的所述鉴权类型为HTTP摘要类型,则返回所述鉴权响应。
3.根据权利要求2所述的鉴权方法,其特征在于,根据用户终端的鉴权类型以及所述归属用户服务的配置来确定返回的鉴权类型和与鉴权类型相关的数据。
4.根据权利要求3所述的鉴权方法,其特征在于,所述与鉴权类型相关的数据包括由所述归属用户服务器生成的第一随机数、HA1、和Realm参数。
5.根据权利要求3所述的鉴权方法,其特征在于,所述与鉴权类型相关的数据包括由所述服务呼叫会话控制功能网元生成的第一随机数、Realm参数以及由归属用户服务器生成的HA1。
6.根据权利要求4或5所述的鉴权方法,其特征在于,所述HA1参数被存储到所述服务呼叫会话控制功能网元。
7.根据权利要求6所述的鉴权方法,其特征在于,所述步骤S106中的所述用户终端与所述服务呼叫会话控制功能网元的协商包括:
所述用户终端根据用户输入的密码计算第一响应值;
所述用户终端向所述服务呼叫会话控制功能网元发送包括多个参数的第二注册消息;以及
所述服务呼叫会话控制功能网元根据所述多个参数和所述HA1计算第二响应值,并比较所述第一响应值和所述第二响应值,如果所述第一响应值等于第二响应值,则HTTP摘要鉴权成功。
8.根据权利要求7所述的鉴权方法,其特征在于,所述多个参数包括第二随机数、随机数计数、和所述第一响应值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101260415A CN101083838B (zh) | 2007-06-29 | 2007-06-29 | Ip多媒体子系统中的http摘要鉴权方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101260415A CN101083838B (zh) | 2007-06-29 | 2007-06-29 | Ip多媒体子系统中的http摘要鉴权方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101083838A true CN101083838A (zh) | 2007-12-05 |
| CN101083838B CN101083838B (zh) | 2012-11-28 |
Family
ID=38913052
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101260415A Active CN101083838B (zh) | 2007-06-29 | 2007-06-29 | Ip多媒体子系统中的http摘要鉴权方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101083838B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010081313A1 (zh) * | 2009-01-16 | 2010-07-22 | 中兴通讯股份有限公司 | Wapi终端接入ims网络的安全管理方法及系统 |
| CN101800985A (zh) * | 2010-02-10 | 2010-08-11 | 中兴通讯股份有限公司 | 鉴权方法及系统、终端、服务器与数据下载方法及装置 |
| CN112953718A (zh) * | 2019-11-26 | 2021-06-11 | 中国移动通信集团安徽有限公司 | Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1756428A (zh) * | 2004-09-30 | 2006-04-05 | 华为技术有限公司 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
-
2007
- 2007-06-29 CN CN2007101260415A patent/CN101083838B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1756428A (zh) * | 2004-09-30 | 2006-04-05 | 华为技术有限公司 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
Non-Patent Citations (2)
| Title |
|---|
| TECHNICAL SPECIFICATION GROUP CORE NETWORK AND TERMINALS: "《3GPP TS 24.228 v5.14.0》", 31 December 2005 * |
| TECHNICAL SPECIFICATION GROUP SERVICES AND SYSTEM ASPECTS: "《3GPP TR 33.978 v6.6.0》", 31 December 2006 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010081313A1 (zh) * | 2009-01-16 | 2010-07-22 | 中兴通讯股份有限公司 | Wapi终端接入ims网络的安全管理方法及系统 |
| US8595485B2 (en) | 2009-01-16 | 2013-11-26 | Zte Corporation | Security management method and system for WAPI terminal accessing IMS network |
| CN101800985A (zh) * | 2010-02-10 | 2010-08-11 | 中兴通讯股份有限公司 | 鉴权方法及系统、终端、服务器与数据下载方法及装置 |
| WO2011097849A1 (zh) * | 2010-02-10 | 2011-08-18 | 中兴通讯股份有限公司 | 鉴权方法及系统、终端、服务器与数据下载方法及装置 |
| CN101800985B (zh) * | 2010-02-10 | 2014-12-17 | 中兴通讯股份有限公司 | 鉴权方法及系统、终端、服务器与数据下载方法及装置 |
| CN112953718A (zh) * | 2019-11-26 | 2021-06-11 | 中国移动通信集团安徽有限公司 | Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 |
| CN112953718B (zh) * | 2019-11-26 | 2024-05-28 | 中国移动通信集团安徽有限公司 | Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101083838B (zh) | 2012-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1879324B1 (en) | A method for authenticating user terminal in ip multimedia sub-system | |
| CN100596084C (zh) | 移动电路域用户接入ims网络的系统及其接入的注册方法 | |
| KR101461455B1 (ko) | 인증 방법, 시스템 및 장치 | |
| CN1327681C (zh) | 一种实现初始因特网协议多媒体子系统注册的方法 | |
| CN102474523B (zh) | 用于发起在ip多媒体子系统网络的hss中对订户数据进行预配置的方法和装置 | |
| Lin et al. | One-pass GPRS and IMS authentication procedure for UMTS | |
| US20100030904A1 (en) | User device, control method thereof, and ims user equipment | |
| JP2009517937A (ja) | 鍵情報を配信する方法及び装置 | |
| WO2006095265A1 (en) | Method and apparatuses for authenticating a user by comparing a non-network originated identities | |
| WO2012045376A1 (en) | A method, a system and a network element for ims control layer authentication from external domains | |
| US20080307518A1 (en) | Security in communication networks | |
| CN102196426A (zh) | 一种接入ims网络的方法、装置和系统 | |
| KR20150058534A (ko) | 인증 정보 전송 | |
| CN103259763B (zh) | Ip多媒体子系统ims域注册方法、系统和装置 | |
| CN101668016A (zh) | 鉴权方法及装置 | |
| US20040043756A1 (en) | Method and system for authentication in IP multimedia core network system (IMS) | |
| CN101083838B (zh) | Ip多媒体子系统中的http摘要鉴权方法 | |
| CN102065069B (zh) | 一种身份认证方法、装置和系统 | |
| CN101106457A (zh) | Ip多媒体子系统网络中确定用户终端鉴权方式的方法 | |
| CN102694779A (zh) | 组合认证系统及认证方法 | |
| JP4980813B2 (ja) | 認証処理装置、認証処理方法及び認証処理システム | |
| Jadoon | Evaluation of UICC-based IMS authentication schemes | |
| CN102638441A (zh) | 在ims网络中实现单点登录的方法和系统 | |
| Proserpio et al. | Introducing Infocards in NGN to enable user-centric identity management | |
| Nguyen | Identity Management in a Fixed Mobile convergent IMS environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |