CN101106457B - Ip多媒体子系统网络中确定用户终端鉴权方式的方法 - Google Patents
Ip多媒体子系统网络中确定用户终端鉴权方式的方法 Download PDFInfo
- Publication number
- CN101106457B CN101106457B CN200610101062A CN200610101062A CN101106457B CN 101106457 B CN101106457 B CN 101106457B CN 200610101062 A CN200610101062 A CN 200610101062A CN 200610101062 A CN200610101062 A CN 200610101062A CN 101106457 B CN101106457 B CN 101106457B
- Authority
- CN
- China
- Prior art keywords
- cscf
- authentication mode
- authentication
- header field
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种IMS网络中确定UE鉴权方式的方法,该方法包括:A.UE向P-CSCF发送注册REGISTER消息;B.P-CSCF根据REGISTER消息中的信息和/或接入网类型,在REGISTER消息中增加与鉴权方式相关的信息,并将该REGISTER消息转发至I-CSCF;C.I-CSCF选择S-CSCF,并把REGISTER消息转发到该S-CSCF;D.S-CSCF根据所述REGISTER消息中与鉴权方式相关的信息,通过与HSS/UPSF交互获得的鉴权数据,并根据鉴权数据进行相应的鉴权处理。本发明解决了多种接入网接入同一个IMS核心网时,各种鉴权方式的并存问题。同时,本发明还具备可扩展性,能够适应未来其它的接入网接入IMS核心网。
Description
技术领域
本发明涉及IP多媒体子系统(IP Multimedia Core Network Subsystem,IMS)技术领域,特别是一种IMS网络中确定用户终端鉴权方式的方法。
背景技术
目前,第三代移动通信系统(3GPP)中支持的鉴权方式是摘要认证与密钥协商(DIGEST AKA)和早期IMS认证(Early IMS)。
3GPP 33.203中定义了当终端中含有IP多媒体用户标识模块(ISIM)时的DIGEST AKA(简称AKA)鉴权机制。图1所示的是DIGEST AKA的流程,该流程中涉及的设备有用户终端(UE)、代理呼叫会话控制功能(P-CSCF)、查询呼叫会话控制功能实体(I-CSCF)、服务呼叫会话控制功能实体(S-CSCF)以及归属用户服务器(HSS)。首先,在UE与HSS间共享初始密钥K,然后参见图1,DIGEST AKA的过程如下:
SM1至CM2,用户发起注册消息(REGISTER)SM1,S-CSCF通过CM1向HSS请求数据。HSS基于初始密钥K及序列号(SQN)产生鉴权五元组并通过CM2下发S-CSCF。五元组包括随机数据(RAND)、期望响应(XRES)、加密密钥(CK)、完整性密钥(IK)和鉴权标记(AUTN)。
SM4至SM5,S-CSCF向用户返回401响应(认证挑战),携带除XRES外的四元组信息。
SM6,P-CSCF保存IK、CK信息,将RAND和AUTN)息在401响应中传给UE。
SM7至SM9,UE依据初始密钥K及SQN等信息,结合收到的网络设备下发的AUTN,对网络设备是否可信进行认证。如验证通过,网络设备可信,则结合RAND和K,产生用于鉴权的响应(RES)信息,RES将被当作“密码(password)”用于终端计算响应(response)的过程。计算的结果在SM7即认证响应中发送给网络侧,同时UE自行计算出IK、CK。
此后,S-CSCF在SM9中接收到由RES生成的response信息,与其依据XRES计算后的结果相比较,如果两者相同,认为对用户的认证成功。
由以上流程可见:UE向IMS网络发起注册,通过DIGEST AKA实现了UE和IMS网络间的双向认证,同时也完成UE和P-CSCF间安全联盟的建立,UE和P-CSCF之间共享了CK和IK,这两个密钥将用于在UE与P-CSCF间安全通信通道的建立。
由于无线领域现有大量用户终端不符合3GPP协议规范,不支持3GPPTS 33.203要求的接入域鉴权机制,例如使用用户识别模块(SIM)卡的用户终端或者使用通用用户标识模块(USIM)的2G用户终端。为了能够向这类终端用户提供IMS业务,TR 33.978定义了称为早期IMS(Early IMS)的接入域鉴权机制。
参照图2,Early IMS(简称EIA)接入域鉴权机制如下:
步骤1至步骤2,PDP激活过程。用户终端通过通用分组无线服务(GPRS)网关支持节点(GGSN)接入GPRS网络。PDP激活过程,GGSN认证国际移动用户识别码(IMSI)和移动台国际综合业务数字网号码(MSISDN),为用户终端分配网络传输层标识即IP地址。GGSN通过“计数请求开始(Accounting Request Start)”将用户标识与终端IP地址的对应关系传送到HSS.HSS保存该对应关系.
步骤3至步骤6,认证注册消息。用户终端发起注册消息REGISTER到P-CSCF。P-CSCF比较REGISTER消息中的via头域中的发送者(sent-by)头域的IP地址是否与REGISTER消息所在IP头中的源IP地址一致,如果不一致,则增加一个接收者(received)头域到via头域中,并填充为IP头中的源IP地址。P-CSCF转发上述REGISTER请求到S-CSCF。S-CSCF依据REGISTER请求中的公有用户标识(IMPU),查询是否已注册,如未注册,通过多媒体鉴权请求(MAR)/多媒体鉴权响应(MAA)由HSS获取公有用户标识对应的终端IP地址,因为在HSS中静态配置公有用户标识与MSISDN的对应关系,所以此时可通过公有用户标识获得对应的终端IP地址。S-CSCF检查收到的REGISTER的终端源IP地址,如果与从HSS获得的IP地址相同,则通过认证。其中,如果via头域中有received头域,则优先比较received头域,否则比较via头域中的sent-by头域。
目前先进网络的电信和互联网融合业务和协议(TISPAN)/下一代(NGN)网络中支持的鉴权方式分别是:DIGEST AKA、IMS业务层鉴权和网络附着子系统(NASS)接入层鉴权绑定鉴权方式(NASS-Bundled-Authentication,NBA)、超文本传输协议摘要鉴权方式(HTTP DIGEST)。
其中,NBA鉴权方式的如图3所示,包括:
步骤101,NASS接入层附着认证,在CLF上记录UE的位置信息。
步骤102,UE向P-CSCF发送REGISTER消息,该REGISTER携带有接入运营商标识及接入用户标识。
步骤103,P-CSCF通过检查REGISTER消息中是否包含安全协商参数(例如Security-Client)来判断是否需要建立和UE之间的安全联盟。如果有此参数,则需要建立,如果没有此参数,则不需要建立。一般来说,DIGESTAKA的情况肯定有此参数,而NBA和HTTP DIGEST的情况肯定没有此参数。
步骤104,P-CSCF根据注册消息中的接入运营商标识以及预先设置的接入运营商标识与CLF之间的对应关系确定CLF。然后,P-CSCF根据注册消息的源IP地址,在上面确定的CLF中查询用户的位置信息。
步骤105,由于CLF中预先保存了与源IP地址对应的位置信息,因此在本步骤中CLF向P-CSCF返回相应的位置信息及其他信息。
步骤106,P-CSCF将携带上一步骤中查询得到的位置信息及其他信息的注册消息REGISTER发送给I-CSCF。
步骤107,I-CSCF向用户签约服务功能实体(UPSF)发送用户授权请求(UAR)消息。
步骤108,UPSF返回用户授权应答(UAA)消息。
步骤109,I-CSCF根据从UPSF返回的消息选择相应的S-CSCF,即选择由哪个S-CSCF处理该注册消息。
步骤110,I-CSCF将包括上述位置信息的注册消息REGISTER转发给上面确定的S-CSCF。
步骤111,S-CSCF通过REGISTER消息中是否包含完整性保护(Integrity-Protected)参数来判断是哪种认证方式。如果有此参数,则肯定是HTTP DIGEST AKA方式,S-CSCF发给UPSF的鉴权请求只是为了请求鉴权参数;如果没有此参数,则需要向UPSF查询配置的鉴权方式,S-CSCF发给UPSF的请求是为了请求鉴权方式和相应的鉴权参数。由于这里采用NASS-Bundled鉴权方式,所以REGISTER消息中不包含Integrity-Protected参数。S-CSCF向UPSF发送MAR消息,请求用户的鉴权向量和相应的鉴权参数。
步骤112,UPSF检查用户的鉴权签约数据,发现该用户的鉴权方式是NASS-Bundled鉴权方式。
步骤113,UPSF向S-CSCF发送MAA消息,返回用户的鉴权方式和鉴权参数即位置信息。
步骤114,S-CSCF比较从P-CSCF传来的位置信息与从UPSF查询得到的位置信息,如果一致,则说明鉴权成功,执行步骤115及其后续流程,即向UE发送鉴权成功的消息;如果不一致,则说明鉴权失败,执行步骤115及其后续步骤,即向UE发送鉴权失败的消息。
步骤115,S-CSCF向I-CSCF发送2xx Auth_OK消息,表示鉴权成功。
步骤116,I-CSCF将上述2xx Auth_OK消息发送给P-CSCF。
步骤117,P-CSCF将上述2xx Auth_OK消息发送给UE。
HTTP DIGEST是已有的鉴权方式,它顺从规范RFC3261和RFC2617。参照图4,HTTP DIGEST的流程如下:
步骤201,UE向P-CSCF发送注册消息REGISTER。
步骤202,P-CSCF通过检查REGISTER消息中是否包含安全协商参数(例如Security-Client)来判断是否需要建立和UE之间的安全联盟。如果有此参数,则需要建立,如果没有此参数,则不需要建立。一般来说,DIGESTAKA)情况肯定有此参数,而NBA和HTTP DIGEST的情况肯定没有此参数。
步骤203,P-CSCF将UE的注册消息REGISTER转发给I-CSCF。该报文中还携带了P-CSCF从CLF查询得到的UE的位置信息。
步骤204,I-CSCF跟UPSF之间通过Cx-Selection-Info消息选择相应的S-CSCF,即I-CSCF向UPSF发出请求,查找UPSF中的用户属性来确定由哪个S-CSCF处理该注册消息。
步骤205,I-CSCF将UE的注册消息REGISTER转发给步骤204中所确定S-CSCF。
步骤206,S-CSCF通过REGISTER消息中是否包含Integrity-Protected参数来判断是哪种认证方式。如果有此参数,则肯定是HTTP DIGEST AKA方式,S-CSCF发给UPSF的鉴权请求只是为了请求鉴权参数;如果没有此参数,则需要向UPSF查询配置的鉴权方式,S-CSCF发给UPSF的请求是为了请求鉴权方式和相应的鉴权参数。由于这里采用HTTP DIGEST鉴权方式,所以REGISTER消息中不包含Integrity-Protected参数。S-CSCF与UPSF之间通过Cx-Put消息,更新UPSF上的S-CSCF指示信息,告知UPSF该用户后续的处理在本S-CSCF进行。
步骤207,S-CSCF向UPSF发送MAR消息,请求该用户的鉴权方式和鉴权数据。
步骤208,UPSF检查用户的鉴权签约数据,根据鉴权签约数据得到该用户的鉴权方式是HTTP DIGEST鉴权方式,并产生例如nonce等鉴权向量以及XRES等等。
步骤209,UPSF向S-CSCF发送MAR消息,将该用户的鉴权方式信息HTTP DIGEST以及鉴权参数nonce、XRES等发送给S-CSCF.
步骤210,S-CSCF计算XRES。
步骤211,S-CSCF得到鉴权方式信息并保存XRES,然后向I-CSCF发送“4xx Auth_Challenge”消息,该消息的WWW-Authenticate头中Algorithm参数表示采用HTTP DIGEST鉴权方式。
步骤212,I-CSCF将“4xx Auth_Challenge”消息发送给P-CSCF,该消息的WWW-Authenticate头中Algorithm参数表示采用HTTP DIGEST鉴权方式。
步骤213,P-CSCF将“4xx Auth_Challenge”消息发送给UE。
步骤214,UE接收到“4xx Auth_Challenge”消息后,发现Algorithm参数表示HTTP DIGEST鉴权方式,重新向P-CSCF发送注册消息REGISTER,并携带用于鉴权的响应(RES)。
步骤215,P-CSCF将携带RES的注册消息REGISTER发送给I-CSCF。
步骤216,I-CSCF与UPSF之间通过Cx-Query确定该UE注册消息给哪个S-CSCF处理,即I-CSCF向UPSF查询该注册消息给哪个S-CSCF处理,UPSF根据保存的S-CSCF指示信息告知I-CSCF处理该注册消息的S-CSCF。在以下步骤中,S-CSCF将鉴权成功或鉴权失败的消息发送给UE。
步骤217,I-CSCF将注册消息REGISTER转发给步骤216确定的S-CSCF。
步骤218,S-CSCF比较从UPSF获得的XRES和UE发送过来的RES,当两者一致时,说明鉴权成功,当两者不一致时,说明鉴权失败。
步骤219,S-CSCF与UPSF之间通过Cx-Put消息,更新UPSF上的S-CSCF指示信息,告知UPSF该用户后续的处理在本S-CSCF进行。
步骤220,S-CSCF与UPSF通过Cx-Pull消息获取用户的签约数据信息。
步骤221,S-CSCF向I-CSCF发送表示鉴权成功的200消息,或者表示鉴权失败的403Forbidden消息。在图中仅以鉴权成功时的200消息表示。
步骤222,I-CSCF将上述消息发送给P-CSCF。
步骤223,P-CSCF将上述消息发送给UE。
另外,分组电缆网(PacketCable)规范中支持的鉴权方式分别为DIGESTAKA和带有安全联盟(SA)协商机制的HTTP DIGEST,其中DIGEST AKA方式与前面所述的DIGEST AKA方式相同。
另外,带有安全联盟协商的HTTP DIGEST流程如图5所示,包括:
步骤301至304,用户发起注册消息REGISTER,S-CSCF通过Cx接口消息向HSS请求数据。HSS基于初始密钥K及SQN产生鉴权五元组并通过Cx接口消息下发S-CSCF。
步骤305至步骤306,S-CSCF向用户返回401响应认证挑战,该消息中的Algorithm参数表示带有安全联盟协商的HTTP DIGEST鉴权。P-CSCF保存IK、CK信息,将RAND和AUTN)息在401响应中传给UE。
步骤307至步骤308,UE依据初始密钥K及SQN等信息,结合收到的网络设备下发的AUTN,对网络设备是否可信进行认证。如验证通过,网络设备可信,则结合RAND和K,产生RES信息,RES将被当作“password”用于终端response的过程。计算的结果发送给网络侧,同时UE自行计算出IK、CK。
步骤309至步骤311,S-CSCF在接收到由RES生成的response信息,与其依据XRES计算后的结果相比较,如果两者相同,认为对用户的认证成功.
如上所述,3GPP或TISPAN或PacketCable都只考虑了与自身相关的接入网分别和IMS核心网组网时的对UE的鉴权方式,当这些不同的接入网同时接入到同一个IMS核心网时,这些不同的鉴权方式之间就会存在许多不兼容甚至冲突问题:
1、对于P-CSCF来说,对于EIA/NBA/HTTP DIGEST,UE发出的REGISTER消息中都没有Security-Client等安全协商头域,但是对于AKA/带有安全联盟协商的HTTP DIGEST,则都有此头域。而且根据RFC3329,Security-Client还可能包含除AKA以外的其他鉴权机制,例如IP安全-互联网密钥交换(IP SECurity-Internet Key Exchange,IPSEC-IKE),传输层安全(Transport Layer security,TLS)等。这种情况下,P-CSCF不再能够单独根据该头域的存在来区分AKA和非AKA。
2、对于S-CSCF来说,对于EIA/NBA/HTTP DIGEST,P-CSCF转发的REGISTER消息中都没有integrity-protect头域,但是对于AKA/带有安全联盟协商的HTTP DIGEST或者顺从RFC3329的其他鉴权机制,则可能都有此头域。S-CSCF不再能够根据该头域的存在来区分AKA和非AKA。
3、对于HSS来讲,目前AKA/EIA是由S-CSCF根据REGISTER的integrity-protected头域是否存在,来判断采用哪种鉴权方式的。而NBA/HTTPDIGEST是配置在HSS中的用户签约数据中,并通过MAA返回给S-CSCF。这样就存在这样一个问题:假设UE同时支持NBA/EIA,UE实际采用EIA,S-CSCF通过Cx接口MAR查询时填写的是EIA,但是由于HSS中的用户签约数据只配置了NBA,结果在MAA中返回的却是NBA,这样会导致覆盖真正的EIA,因此此时HSS中的用户签约数据应该配置这两种鉴权方式都支持。但是如果HSS中对于这两种都配置,那么HSS收到MAR后,应该在MAA中返回哪一个鉴权方式?如果两个都返回的话,S-CSCF又如何知道到底该采用什么鉴权方式?当然这些鉴权方式也有其他组合方式,不再一一列举。
因此,考虑到以后的系统可扩展性,需要提供一个比较通用的方案,以支持未来其他的接入网。
诺基亚(NOKIA)公司在10tTD272r1中提供了一种方案,如下:
P-CSCF收到REGISTER时,使用“integrity-protected”标志向S-CSCF指示AKA或者非AKA:如果Security-Client头域中包含“ipsec-3gpp”,则认为是AKA,在授权(Authorization)中增加“integrity-protected”头域;如果Security-Client头域不存在,则认为是非AKA,不增加“integrity-protected”头域。另外,如果REGISTER是在某对应的接入网收到的,则执行相应的NBA/EIA过程。
S-CSCF发送MAR时,如果收到的REGISTER消息中的Authorization头域中有“integrity-protected”头域,则在MAR的鉴权方式参数中填写表示AKA的鉴权方式。对于非AKA的情况,在MAR的鉴权方式参数中填写“未知(unknown)”。
HSS/用户签约服务功能实体UPSF发送MAA时,使用私有用户标识(IMPI)作为主键,MAR中填写的鉴权方式作为次键。HSS/UPSF首先查找为该IMPI预先配置的所有鉴权方式,如果MAR中填写的鉴权方式是AKA,并且HSS/UPSF中也预先配置有AKA,则只将AKA相关的鉴权数据通过MAA发给S-CSCF;否则,把为该IMPI预先配置的所有非AKA鉴权数据通过MAA都发给S-CSCF。
S-CSCF收到MAA时,如果AKA可用,则执行AKA鉴权过程;否则,如果EIA或者NBA可用,则执行相应的EIA或者NBA鉴权过程。如果失败,并且从HSS/UPSF中也收到了HTTP DIGEST鉴权数据,则再执行HTTPDIGEST鉴权过程。
但是上述现有技术具有如下的缺点:
1)在P-CSCF收到REGISTER时,如果Security-Client头域中包含的不是“ipsec-3gpp”,而是遵循RFC3329的其他值,则此时虽然不是AKA,但是也可能在Authorization中增加“integrity-protected”头域;那么,S-CSCF发送MAR时,不能再根据“integrity-protected”头域判断是否AKA。
2)HSS/UPSF发送MAA时,如果MAR中填写的鉴权方式是AKA,但是HSS/UPSF中没有预先配置有AKA的鉴权数据,则除了把为该IMPI预先配置的所有非AKA鉴权数据通过MAA都发给S-CSCF这种处理方式以外,此时也可能需要返回错误消息给S-CSCF。
3)S-CSCF收到MAA后的处理应当与发送MAR前的信息相配合来决定采用什么鉴权方式。
发明内容
有鉴于此,本发明提出了一种IMS网络中确定UE鉴权方式的方法,用以解决多种接入网接入同一个IMS核心网时多种鉴权方式的并存问题。
根据上述目的,本发明提出了一种IMS网络中确定UE鉴权方式的方法,该方法包括:
A.UE向P-CSCF发送REGISTER消息;
B.P-CSCF根据REGISTER消息中的信息和/或接入网类型,在REGISTER消息中增加与鉴权方式相关的信息,并将该REGISTER消息转发至I-CSCF;
C.I-CSCF选择S-CSCF,并把REGISTER消息转发到该S-CSCF;
D.S-CSCF根据所述REGISTER消息中与鉴权方式相关的信息,通过与HSS或UPSF交互获得鉴权数据,并根据鉴权数据进行相应的鉴权处理。
步骤B中所述在REGISTER消息中增加与鉴权方式相关的信息的步骤包括:P-CSCF在REGISTER消息中存在安全客户端Security-Client头域时,在授权Authorization头域中增加完整性保护integrity-protected头域。
可选地,步骤D包括:
S-CSCF在多媒体鉴权请求MAR的鉴权方式头域中填写表示缺省是AKA鉴权方式的值,并发送给HSS或UPSF;
HSS或UPSF查找为所述UE的私有用户标识IMPI配置的鉴权方式,在HSS或UPSF中配置有AKA的鉴权数据时,将AKA鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF;
S-CSCF进行AKA鉴权方式的后续鉴权过程。
可选地,步骤D包括:
S-CSCF在MAR的鉴权方式头域中填写表示缺省是AKA鉴权方式的值,并发送给HSS或UPSF;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,在HSS或UPSF中没有配置AKA鉴权方式的鉴权数据但配置有AKA以外的需要安全联盟的鉴权方式的鉴权数据时,将所述AKA以外的需要安全联盟的鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF;
S-CSCF进行所述AKA以外的需要安全联盟的鉴权方式的后续鉴权过程。
可选地,步骤D包括:
S-CSCF在MAR的鉴权方式头域中填写表示缺省是AKA鉴权方式的值;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,在HSS或UPSF中只配置有不需要安全联盟的鉴权方式的鉴权数据时,将所述不需要安全联盟的鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF,或者通过MAA消息返回错误给S-CSCF;
S-CSCF返回鉴权失败消息给UE。
可选地,步骤D包括:
S-CSCF在MAR消息的鉴权方式头域中填写鉴权方式的缺省值,并发送给HSS或UPSF;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,将所查找到的鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF;
S-CSCF在返回的MAA消息中含有需要安全联盟的鉴权方式的鉴权数据时,进行该鉴权方式的后续鉴权过程;或者,在返回的MAA消息中不含有需要安全联盟的鉴权方式的鉴权数据时,返回鉴权失败消息给UE。
可选地,步骤D包括:
S-CSCF在MAR的鉴权方式头域填写需要安全联盟的鉴权方式,并在鉴权方式个数头域中填写所述需要安全联盟的鉴权方式个数,然后发送给HSS或UPSF;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,获取所述配置的鉴权方式中与MAR中填写的鉴权方式相同的鉴权方式,将所述相同的鉴权方式的鉴权数据和个数分别填写在MAA消息的鉴权数据头域和鉴权方式个数头域中,返回给S-CSCF;
S-CSCF在返回的MAA消息中含有需要安全联盟的鉴权方式的鉴权数据时,进行该鉴权方式的后续鉴权过程;或者,在返回的MAA消息中不含有需要安全联盟的鉴权方式的鉴权数据时,返回鉴权失败消息给UE。
较佳地,步骤B中所述在REGISTER消息中增加与鉴权方式相关的信息的步骤进一步包括:P-CSCF根据Security-Client头域的值在integrity-protected头域中填写表示相应鉴权方式的值。
所述根据Security-Client头域的值在integrity-protected头域中填写表示相应鉴权方式的值的步骤包括:P-CSCF在Security-Client中包含ipsec-3gpp时,在integrity-protected头域中填写表示摘要认证与密钥协商AKA鉴权方式的值;在Security-Client中包含P-CSCF支持的其他鉴权方式时,在integrity-protected头域中填写表示该P-CSCF支持的其他鉴权方式的值;在Security-Client中不包含P-CSCF支持的鉴权方式时,返回错误消息给UE。
可选地,步骤D包括:
S-CSCF在收到的REGISTER消息中的Authorization头域的integrity-protected头域的值表示需要安全联盟的鉴权方式时,在MAR的鉴权方式头域中填写表示该需要安全联盟的鉴权方式的值,并发送给HSS或UPSF;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,在HSS或UPSF中配置有该需要安全联盟的鉴权方式的鉴权数据时,将该需要安全联盟的鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF;
S-CSCF进行该需要安全联盟的鉴权方式的后续鉴权过程。
可选地,步骤D包括:
S-CSCF在收到的REGISTER消息中的Authorization头域的integrity-protected头域的值表示需要安全联盟的鉴权方式时,则在MAR的鉴权方式头域中填写表示该需要安全联盟的鉴权方式的值,并发送给HSS或UPSF;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,在HSS或UPSF中只配置有不需要安全联盟的鉴权方式的鉴权数据时,将所述不需要安全联盟的鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF,或者通过MAA消息返回错误给S-CSCF;
S-CSCF返回鉴权失败消息给UE。
所述需要安全联盟的鉴权方式为AKA、或者IP安全-互联网密钥交换IPSEC-IKE、或者传输层安全TLS、或者需要安全联盟的HTTP DIGEST。
较佳地,步骤B包括:
P-CSCF在REGISTER消息中不存在Security-Client头域时,将没有增加integrity-protected头域的REGISTER消息发送给I-CSCF。
可选地,步骤D包括:
S-CSCF在MAR的鉴权方式头域中填写表示未知unknown的值;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,将不需要安全联盟的鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF;
S-CSCF根据HSS或UPSF返回的鉴权数据进行相应的鉴权处理。
较佳地,步骤B进一步包括:
当REGISTER消息来自通用无线分组业务GPRS对应的移动接入网时,P-CSCF将携带有UE IP地址信息的REGISTER消息发送给I-CSCF;或者,当REGISTER消息来自网络附着子系统NASS对应的固定接入网时,P-CSCF将携带有UE位置信息的REGISTER消息发送给I-CSCF。
可选地,步骤D包括:
S-CSCF在MAR消息的鉴权方式头域中填写鉴权方式的缺省值,并发送给HSS或UPSF;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,将所查找到的鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF;
S-CSCF根据HSS或UPSF返回的鉴权数据进行相应的鉴权处理。
所述鉴权方式的缺省值为AKA、或者HTTP DIGEST、或者EIA、或者NBA。
可选地,步骤D包括:
S-CSCF在MAR的鉴权方式头域填写不需要安全联盟的鉴权方式,并在鉴权方式个数头域中填写所述不需要安全联盟的鉴权方式个数,然后发送给HSS或UPSF;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,获取所述配置的鉴权方式中与MAR中填写的鉴权方式相同的鉴权方式,将所述相同的鉴权方式的鉴权数据和个数分别填写在MAA消息的鉴权数据头域和鉴权方式个数头域中,返回给S-CSCF;
S-CSCF根据HSS或UPSF返回的鉴权数据进行相应的鉴权处理。
可选地,步骤D包括:
S-CSCF在MAR的鉴权方式头域中填写表示未知的值,并发送给HSS或UPSF;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,把不需要安全联盟的鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF;
S-CSCF根据HSS或UPSF返回的鉴权数据进行相应的鉴权处理。
所述S-CSCF根据HSS或UPSF返回的鉴权数据进行相应的鉴权处理的步骤包括:
在MAA中只包含超文本传输协议摘要HTTP DIGEST鉴权方式的鉴权数据时,S-CSCF执行HTTP DIGEST后续鉴权过程;或者,在MAA中包含IMS业务层鉴权和网络附着子系统接入层鉴权绑定NBA鉴权方式的鉴权数据且所收到的REGISTER消息中有经过合法检查的UE位置信息时,S-CSCF执行NBA鉴权方式的后续鉴权过程;或者,在MAA中包含NBA鉴权数据和HTTP DIGEST鉴权方式的鉴权数据,且所收到的REGISTER消息中有经过合法检查的UE位置信息时,执行NBA鉴权方式的后续鉴权过程,并在NBA鉴权方式鉴权失败时,再执行HTTP DIGEST鉴权方式的后续鉴权过程;或者,在MAA中包含早期IMS EIA鉴权方式的鉴权数据且所收到的REGISTER消息中有UE的IP地址信息时,S-CSCF执行EIA鉴权方式的后续鉴权过程;否则,返回鉴权失败消息给UE。
从上述方案中可以看出,由于本发明由P-CSCF根据REGISTER消息中的信息和/或接入网类型,在REGISTER消息中增加与鉴权方式相关的信息,并且由S-CSCF根据所述REGISTER消息中与鉴权方式相关的信息,通过与HSS/UPSF交互获得的鉴权数据,并根据鉴权数据进行相应的鉴权处理,从而解决了多种接入网接入同一个IMS核心网时,各种鉴权方式的并存问题。同时,本发明还具备可扩展性,能够适应未来其它的接入网接入IMS核心网。
附图说明
图1为DIGEST AKA鉴权方式的流程示意图;
图2为EIA鉴权方式的流程示意图;
图3为NBA鉴权方式的流程示意图;
图4为HTTP DIGEST鉴权方式的流程示意图;
图5为带有安全联盟协商的HTTP DIGEST鉴权方式的流程示意图;
图6为本发明第一实施例的流程示意图;
图7为本发明第二实施例的流程示意图;
图8为本发明第三实施例的流程示意图;
图9为本发明第四实施例的流程示意图;
图10为本发明第五实施例的流程示意图;
图11为本发明第六实施例的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,以下举实施例对本发明进一步详细说明。
本发明的主要思想是:
1、P-CSCF收到REGISTER时,检查收到的REGISTER消息中是否存在安全客户端(Security-Client)头域。
如果Security-Client头域存在,则在Authorization中增加“integrity-protected”头域。如果Security-Client中包含“ipsec-3gpp”,则执行AKA相关过程;如果Security-Client中包含其他鉴权机制,并且P-CSCF支持该鉴权机制,则执行该鉴权机制相关的鉴权过程。或者,如果Security-Client中包含“ipsec-3gpp”,则integrity-protected的值设置成表示AKA,并执行AKA相关过程;如果Security-Client中包含其他鉴权机制,并且P-CSCF支持该鉴权机制,则integrity-protected的值设置成表示该鉴权机制,并执行该鉴权机制相关的过程,此时对应S-CSCF和HSS/UPSF的方式4。如果Security-Client中包含其他鉴权机制,但是P-CSCF不支持该鉴权机制,则回一个错误消息给UE。
如果Security-Client头域不存在,则不增加“integrity-protected”头域。如果REGISTER是在GRPS等移动通信网络对应的接入网上收到的,则执行EIA过程。如果REGISTER是在NGN等固定通信网络对应的接入网上收到的,且注册消息中Authorization头域的认证方案头域表示HTTP DIGEST,则执行HTTP DIGEST过程,否则执行NBA过程。
然后P-CSCF将REGISTER消息通过I-CSCF发到S-CSCF。
2、S-CSCF收到REGISTER后,向HSS/UPSF发送MAR时,可能有如下几种处理方式:
方式1:如果收到的REGISTER消息中的Authorization头域中有“integrity-protected”头域,则在MAR的鉴权方式参数中填写的值表示缺省是AKA的鉴权方式,否则,在MAR的鉴权方式参数中填写的值表示未知“unknown”。
方式2:S-CSCF在MAR消息的鉴权方式参数中统一填写为一个缺省值,例如缺省为AKA,或者缺省为未知,或者缺省为其他值。
方式3:如果收到的REGISTER消息中的Authorization头域中有“integrity-protected”头域,则在MAR的鉴权方式个数头域SIP-Number-Auth-Items中填写所有可能的需要安全联盟协商的鉴权方式个数,在鉴权方式头域SIP-Auth-Data-Item填写可能的鉴权方式,其中鉴权方式头域的个数与鉴权方式个数头域的取值相同。
如果收到的REGISTER消息中的Authorization头域中无“integrity-protected”头域,则在MAR的鉴权方式个数头域SIP-Number-Auth-Items中填写所有可能的不需要安全联盟协商的鉴权方式个数,在鉴权方式头域SIP-Auth-Data-Item填写可能的鉴权方式,其中鉴权方式头域的个数与鉴权方式个数头域的取值相同。
方式4:如果收到的REGISTER消息中的Authorization头域中有“integrity-protected”头域,并且“integrity-protected”头域的值表示AKA,则在MAR的鉴权方式参数中填写的值表示AKA的鉴权方式.如果收到的REGISTER消息中的Authorization头域中有“integrity-protected”头域,并且“integrity-protected”头域的值表示其他需要安全联盟协商的鉴权机制,则在MAR的鉴权方式参数中填写的值表示该鉴权机制.否则,在MAR的鉴权方式参数中填写的值表示未知.
3、HSS/UPSF收到MAR后,向S-CSCF发送MAA时,对应于上述S-CSCF的几种处理方式,也有如下几种对应的处理方式:
方式1:HSS/UPSF首先查找为该IMPI预先配置的所有鉴权方式,如果MAR的鉴权方式参数表示缺省是AKA,并且HSS/UPSF中也预先配置有AKA的鉴权数据,则HSS/UPSF只将AKA相关的鉴权数据填充在MAA消息的相应头域中,返回给S-CSCF。
如果MAR的鉴权方式参数表示缺省是AKA,但是HSS/UPSF中没有配置AKA鉴权数据,但是配置有其他表示需要安全联盟的鉴权方式的鉴权数据,则只将其他表示需要安全联盟的鉴权方式相关的鉴权数据填充在MAA消息的相应头域中,返回给S-CSCF。
如果MAR的鉴权方式参数表示缺省是AKA,但是HSS/UPSF中只配置有不需要安全联盟的鉴权方式相关的鉴权数据,则把所有不需要安全联盟的鉴权方式相关的鉴权数据填充在MAA消息的相应头域中,返回给S-CSCF,或者通过MAA消息返回错误给S-CSCF。
其他情况下,把所有不需要安全联盟的鉴权方式相关的鉴权数据填充在MAA消息的相应头域中,返回给S-CSCF。
方式2:HSS/UPSF首先查找为该IMPI预先配置的所有鉴权方式,不论MAR的鉴权方式参数如何,将所有的鉴权方式对应的鉴权数据填充在MAA消息的相应头域中,返回给S-CSCF。
方式3:HSS/UPSF首先查找为该IMPI预先配置的所有鉴权方式,然后取所有配置的鉴权方式集与MAR中填写的所有可能的鉴权方式集两者的交集,然后填写MAA消息的表示鉴权方式个数的头域SIP-Number-Auth-Items和鉴权数据的头域SIP-Auth-Data-Item,其中鉴权数据头域的个数与鉴权方式个数头域的取值一样,返回给S-CSCF。
方式4:HSS/UPSF首先查找为该IMPI预先配置的所有鉴权方式,如果MAR的鉴权方式参数表示是AKA,并且HSS/UPSF中也预先配置有AKA的鉴权数据,则只将AKA相关的鉴权数据填充在MAA消息的相应头域中,返回给S-CSCF。如果MAR的鉴权方式参数表示其他需要安全联盟协商的鉴权机制,并且HSS/UPSF中也配置有该鉴权机制对应的鉴权数据,则只将该鉴权机制的鉴权数据填充在MAA消息的相应头域中,返回给S-CSCF。如果MAR的鉴权方式参数表示是AKA或者其他需要安全联盟协商的鉴权机制,但是HSS/UPSF中只配置有不需要安全联盟的鉴权方式相关的鉴权数据,则把所有不需要安全联盟的鉴权方式相关的鉴权数据填充在MAA消息的相应头域中,返回给S-CSCF,或者通过MAA消息返回错误给S-CSCF。其他情况下,把所有不需要安全联盟的鉴权方式相关的鉴权数据填充在MAA消息的相应头域中,返回给S-CSCF。
4、S-CSCF收到MAA后,对应于HSS/UPSF的上述几种处理方式,也有如下几种对应的处理方式:
方式1:如果以前填写的MAR的鉴权方式参数表示缺省是AKA,并且返回的MAA消息中只含有AKA的鉴权数据,则S-CSCF进行AKA后续鉴权过程。
如果以前填写的MAR的鉴权方式参数表示缺省是AKA,并且返回的MAA消息中只含有其他表示需要安全联盟的鉴权方式相关的鉴权数据,则S-CSCF进行该鉴权方式后续鉴权过程。
如果以前填写的MAR的鉴权方式参数表示缺省是AKA,但是返回的MAA消息中只含有不需要安全联盟的鉴权方式相关的鉴权数据,或者返回的MAA消息表示错误,则S-CSCF返回给UE相应的鉴权失败消息.
另外,如果MAA中只包含HTTP DIGEST鉴权数据,则S-CSCF执行HTTP DIGEST后续鉴权过程。如果MAA中包含NBA鉴权数据,并且以前收到的REGISTER消息中有经过合法检查的UE位置信息,则S-CSCF执行NBA后续鉴权过程。鉴权失败的话,如果MAA返回的还有HTTP DIGEST鉴权数据,则S-CSCF再执行HTTP DIGEST后续鉴权过程。如果MAA中包含EIA鉴权数据,并且以前收到的REGISTER消息中有UE IP地址信息,则S-CSCF执行EIA后续鉴权过程。其他情况下S-CSCF返回给UE相应的鉴权失败消息。
方式2:如果以前收到的REGISTER消息中含有integrity-protected头域,并且返回的MAA消息中含有某种需要安全联盟的鉴权方式的鉴权数据,则S-CSCF进行该鉴权方式后续的鉴权过程,例如AKA。
如果以前收到的REGISTER消息中含有integrity-protected头域,并且返回的MAA消息中不含有任何一种需要安全联盟的鉴权方式的鉴权数据,则S-CSCF返回给UE相应的鉴权失败消息。
如果以前收到的REGISTER消息中不含有integrity-protected头域,那么:如果MAA中只包含HTTP DIGEST鉴权数据,则S-CSCF执行HTTPDIGEST后续鉴权过程。如果MAA中包含NBA鉴权数据,并且以前收到的REGISTER消息中有经过合法检查的UE位置信息,则S-CSCF执行NBA后续鉴权过程。鉴权失败的话,如果MAA返回的还有HTTP DIGEST鉴权数据,则S-CSCF再执行HTTP DIGEST后续鉴权过程。如果MAA中包含EIA鉴权数据,并且以前收到的REGISTER消息中有UE IP地址信息,则S-CSCF执行EIA后续鉴权过程。其他情况下S-CSCF返回给UE相应的鉴权失败消息。
方式3:处理同方式2,这里不再赘述。
方式4:如果以前填写的MAR的鉴权方式参数表示是AKA,并且返回的MAA消息中只含有AKA的鉴权数据,则S-CSCF进行AKA后续鉴权过程。如果以前填写的MAR的鉴权方式参数表示是其他需要安全联盟协商的鉴权机制,并且返回的MAA消息中该鉴权方式相关的鉴权数据,则S-CSCF进行该鉴权方式后续鉴权过程。如果以前填写的MAR的鉴权方式参数表示是AKA或者其他需要安全联盟协商的鉴权机制,但是返回的MAA消息中只含有不需要安全联盟的鉴权方式相关的鉴权数据,或者返回的MAA消息表示错误,则S-CSCF返回给UE相应的鉴权失败消息。
另外,如果MAA中只包含HTTP DIGEST鉴权数据,则S-CSCF执行HTTP DIGEST后续鉴权过程。如果MAA中包含NBA鉴权数据,并且以前收到的REGISTER消息中有经过合法检查的UE位置信息,则S-CSCF执行NBA后续鉴权过程。鉴权失败的话,如果MAA返回的还有HTTP DIGEST鉴权数据,则S-CSCF再执行HTTP DIGEST后续鉴权过程。如果MAA中包含EIA鉴权数据,并且以前收到的REGISTER消息中有UE IP地址信息,则S-CSCF执行EIA后续鉴权过程。
其他情况下,S-CSCF返回给UE相应的鉴权失败消息。
第一实施例:选择AKA鉴权方式,其中S-CSCF和HSS/UPSF按方式1处理。如图6所示,第一实施例包括如下步骤:
步骤1101,UE发送注册消息REGISTER到P-CSCF。
步骤1102,P-CSCF检查注册消息,发现Security-Client头域存在,增加“integrity-protected”头域。并且由于Security-Client中包含“ipsec-3gpp”,则在“integrity-protected”头域中填写表示AKA的值。
步骤1103至步骤1105,P-CSCF通过I-CSCF将REGISTER消息发给满足能力集要求的S-CSCF。
步骤1106至步骤1107,S-CSCF检查REGISTER消息中的Authorization头域中有“integrity-protected”头域,则在MAR的鉴权方式参数中填写的值表示缺省是AKA的鉴权方式,然后发送MAR给HSS/UPSF。
步骤1108至步骤1109,HSS/UPSF检查MAR的鉴权方式参数表示缺省是AKA,并且HSS/UPSF中预先配置有AKA的鉴权数据,则只将AKA相关的鉴权数据填充在MAA消息的相应头域中,然后发送MAA给S-CSCF。
步骤1110至步骤1111,S-CSCF检查以前填写的MAR的鉴权方式参数表示缺省是AKA,并且MAA返回AKA鉴权数据,因此执行AKA相应的后续鉴权处理。
第二实施例2:选择NBA鉴权方式,其中S-CSCF和HSS/UPSF按方式1处理。如图7所示,第二实施例包括如下步骤:
步骤1201,UE发送注册消息REGISTER到P-CSCF。
步骤1202,P-CSCF检查注册消息,发现Security-Client头域不存在,则不增加“integrity-protected”头域。由于REGISTER是在NGN对应的接入网上收到的,且注册消息中没有Authorization头域,执行NBA相关过程。
步骤1203至步骤1205,P-CSCF通过I-CSCF将REGISTER消息发给满足能力集要求的S-CSCF。
步骤1206至步骤1207,S-CSCF检查REGISTER消息中的Authorization头域中没有“integrity-protected”头域,则在MAR的鉴权方式参数中填写的值表示未知,然后发送MAR给HSS/UPSF。
步骤1208至步骤1209,HSS/UPSF检查MAR的鉴权方式参数表示未知,并且HSS/UPSF中预先配置有NBA的鉴权数据,则将NBA相关的鉴权数据填充在MAA消息的相应头域中,然后发送MAA给S-CSCF。
步骤1210至步骤1211,S-CSCF检查MAA中包含NBA鉴权数据,并且以前收到的REGISTER消息中有经过合法检查的UE位置信息,则S-CSCF执行NBA后续鉴权过程。
第三实施例;选择EIA鉴权方式,其中S-CSCF和HSS/UPSF按方式1处理。如图8所示,第三实施例包括如下步骤:
步骤1301,UE发送注册消息到P-CSCF。
步骤1302,P-CSCF检查注册消息,发现Security-Client头域不存在,不增加“integrity-protected”头域。由于REGISTER是在GPRS对应的接入网上收到的,执行EIA相关过程。
步骤1303至步骤1305,P-CSCF通过I-CSCF将REGISTER消息发给满足能力集要求的S-CSCF。
步骤1306至步骤1307,S-CSCF检查REGISTER消息中的Authorization头域中没有“integrity-protected”头域,则在MAR的鉴权方式参数中填写的值表示未知,然后发送MAR给HSS/UPSF.
步骤1308至步骤1309,HSS/UPSF检查MAR的鉴权方式参数表示未知,并且HSS/UPSF中预先配置有EIA的鉴权数据,则将EIA相关的鉴权数据填充在MAA消息的相应头域中,然后发送MAA给S-CSCF。
步骤1310至步骤1311,S-CSCF检查MAA中包含EIA鉴权数据,并且以前收到的REGISTER消息中有经过合法检查的UE IP信息,则S-CSCF执行EIA后续鉴权过程。
第四实施例:选择NBA鉴权方式,其中S-CSCF和HSS/UPSF按方式2处理。如图9所示,第四实施例包括如下步骤:
步骤1401,UE发送注册消息到P-CSCF。
步骤1402,P-CSCF检查注册消息,发现Security-Client头域不存在,不增加“integrity-protected”头域。由于REGISTER是在NGN对应的接入网上收到的,且注册消息中没有Authorization头域,执行NBA相关过程。
步骤1403至步骤1405,P-CSCF通过I-CSCF将REGISTER消息发给满足能力集要求的S-CSCF。
步骤1406至步骤1407,S-CSCF统一在MAR的鉴权方式参数中填写的值表示未知,然后发送MAR给HSS/UPSF。
步骤1408至步骤1409,HSS/UPSF检查MAR的鉴权方式参数表示未知,并且HSS/UPSF中预先配置有NBA的鉴权数据,则将包含NBA在内的所有鉴权数据填充在MAA消息的相应头域中,然后发送MAA给S-CSCF。
步骤1410至步骤11,S-CSCF检查MAA中包含NBA鉴权数据,并且以前收到的REGISTER消息中有经过合法检查的UE位置信息,则S-CSCF执行NBA后续鉴权过程。
第五实施例:选择EIA鉴权方式,其中S-CSCF和HSS/UPSF按方式2处理时。如图10所示,第五实施例包括如下步骤:
步骤1501,UE发送注册消息到P-CSCF。
步骤1502,P-CSCF检查注册消息,发现Security-Client头域不存在,不增加“integrity-protected”头域。由于REGISTER是在GPRS对应的接入网上收到的,执行EIA相关过程。
步骤1503至步骤1505,P-CSCF通过I-CSCF将REGISTER消息发给S-CSCF。
步骤1506至步骤1507,S-CSCF统一在MAR的鉴权方式参数中填写的值表示未知,然后发送MAR给HSS/UPSF。
步骤1508至步骤1509,HSS/UPSF检查MAR的鉴权方式参数表示未知,并且HSS/UPSF中预先配置有EIA的鉴权数据,则将包含EIA在内的所有鉴权数据填充在MAA消息的相应头域中,然后发送MAA给S-CSCF。
步骤1510至步骤1511,S-CSCF检查MAA中包含EIA鉴权数据,并且以前收到的REGISTER消息中有经过合法检查的UE的IP信息,则S-CSCF执行EIA后续鉴权过程。
第六实施例6:选择NBA+HTTP DIGEST鉴权方式,其中S-CSCF和HSS/UPSF按方式2处理。如图11所示,第六实施例包括如下步骤:
步骤1601,UE发送注册消息到P-CSCF。
步骤1602,P-CSCF检查注册消息,发现Security-Client头域不存在,不增加“integrity-protected”头域.由于REGISTER是在NGN对应的接入网上收到的,且注册消息中没有Authorization头域,执行NBA相关过程.
步骤1603至步骤1605,P-CSCF通过I-CSCF将REGISTER消息发给S-CSCF。
步骤1606至步骤1607,S-CSCF统一在MAR的鉴权方式参数中填写的值表示未知,然后发送MAR给HSS/UPSF。
步骤1608至步骤1609,HSS/UPSF检查MAR的鉴权方式参数表示未知,并且HSS/UPSF中预先配置有NBA和HTTP DIGEST的鉴权数据,则将包含NBA和HTTP DIGEST在内的所有鉴权数据填充在MAA消息的相应头域中,然后发送MAA给S-CSCF。
步骤1610至步骤1611,S-CSCF检查MAA中包含NBA鉴权数据,并且以前收到的REGISTER消息中有经过合法检查的UE位置信息,则S-CSCF先执行NBA后续鉴权过程。NBA鉴权失败,再执行HTTP DIGEST鉴权过程。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (20)
1.一种IP多媒体子系统IMS网络中确定用户终端UE鉴权方式的方法,其特征在于,该方法包括;
A.UE向代理呼叫会话控制功能P-CSCF发送注册REGISTER消息;
B.P-CSCF根据REGISTER消息中的信息和/或接入网类型,在REGISTER消息中增加与鉴权方式相关的信息,并将该REGISTER消息转发至查询呼叫会话控制功能实体I-CSCF;
C.I-CSCF选择服务呼叫会话控制功能实体S-CSCF,并把REGISTER消息转发到该S-CSCF;
D.S-CSCF根据所述REGISTER消息中与鉴权方式相关的信息,通过与归属用户服务器HSS或用户签约服务功能实体UPSF交互获得鉴权数据,并根据鉴权数据进行相应的鉴权处理。
2.根据权利要求1所述的方法,其特征在于,步骤B中所述在REGISTER消息中增加与鉴权方式相关的信息的步骤包括:
P-CSCF在REGISTER消息中存在安全客户端Security-Client头域时,在授权Authorization头域中增加完整性保护integrity-protected头域。
3.根据权利要求2所述的方法,其特征在于,步骤D包括:
S-CSCF在多媒体鉴权请求MAR的鉴权方式头域中填写表示缺省是AKA鉴权方式的值,并发送给HSS或UPSF;
HSS或UPSF查找为所述UE的私有用户标识IMPI配置的鉴权方式,在HSS或UPSF中配置有AKA的鉴权数据时,将AKA鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF;
S-CSCF进行AKA鉴权方式的后续鉴权过程。
4.根据权利要求2所述的方法,其特征在于,步骤D包括:
S-CSCF在MAR的鉴权方式头域中填写表示缺省是AKA鉴权方式的值,并发送给HSS或UPSF;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,在HSS或UPSF中没有配置AKA鉴权方式的鉴权数据但配置有AKA以外的需要安全联盟的鉴权方式的鉴权数据时,将所述AKA以外的需要安全联盟的鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF;
S-CSCF进行所述AKA以外的需要安全联盟的鉴权方式的后续鉴权过程。
5.根据权利要求2所述的方法,其特征在于,步骤D包括:
S-CSCF在MAR的鉴权方式头域中填写表示缺省是AKA鉴权方式的值;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,在HSS或UPSF中只配置有不需要安全联盟的鉴权方式的鉴权数据时,将所述不需要安全联盟的鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF,或者通过MAA消息返回错误给S-CSCF;
S-CSCF返回鉴权失败消息给UE。
6.根据权利要求2所述的方法,其特征在于,步骤D包括:
S-CSCF在MAR消息的鉴权方式头域中填写鉴权方式的缺省值,并发送给HSS或UPSF;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,将所查找到的鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF;
S-CSCF在返回的MAA消息中含有需要安全联盟的鉴权方式的鉴权数据时,进行该鉴权方式的后续鉴权过程;或者,在返回的MAA消息中不含有需要安全联盟的鉴权方式的鉴权数据时,返回鉴权失败消息给UE.
7.根据权利要求2所述的方法,其特征在于,步骤D包括:
S-CSCF在MAR的鉴权方式头域填写需要安全联盟的鉴权方式,并在鉴权方式个数头域中填写所述需要安全联盟的鉴权方式个数,然后发送给HSS或UPSF;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,获取所述配置的鉴权方式中与MAR中填写的鉴权方式相同的鉴权方式,将所述相同的鉴权方式的鉴权数据和个数分别填写在MAA消息的鉴权数据头域和鉴权方式个数头域中,返回给S-CSCF;
S-CSCF在返回的MAA消息中含有需要安全联盟的鉴权方式的鉴权数据时,进行该鉴权方式的后续鉴权过程;或者,在返回的MAA消息中不含有需要安全联盟的鉴权方式的鉴权数据时,返回鉴权失败消息给UE。
8.根据权利要求2所述的方法,其特征在于,步骤B中所述在REGISTER消息中增加与鉴权方式相关的信息的步骤进一步包括:
P-CS CF根据Security-Client头域的值在integrity-protected头域中填写表示相应鉴权方式的值。
9.根据权利要求8所述的方法,其特征在于,所述根据Security-Client头域的值在integrity-protected头域中填写表示相应鉴权方式的值的步骤包括:
P-CSCF在Security-Client中包含ipsec-3gPP时,在integrity-protected头域中填写表示摘要认证与密钥协商AKA鉴权方式的值;在Security-Client中包含P-CSCF支持的其他鉴权方式时,在integrity-protected头域中填写表示该P-CSCF支持的其他鉴权方式的值;在Security-Client中不包含P-CSCF支持的鉴权方式时,返回错误消息给UE。
10.根据权利要求9所述的方法,其特征在于,步骤D包括:
S-CSCF在收到的REGISTER消息中的Authorization头域的integrity-protected头域的值表示需要安全联盟的鉴权方式时,在MAR的鉴权方式头域中填写表示该需要安全联盟的鉴权方式的值,并发送给HSS或UPSF;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,在HSS或UPSF中配置有该需要安全联盟的鉴权方式的鉴权数据时,将该需要安全联盟的鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF;
S-CSCF进行该需要安全联盟的鉴权方式的后续鉴权过程。
11.根据权利要求9所述的方法,其特征在于,步骤D包括:
S-CSCF在收到的REGISTER消息中的Authorization头域的integrity-protected头域的值表示需要安全联盟的鉴权方式时,则在MAR的鉴权方式头域中填写表示该需要安全联盟的鉴权方式的值,并发送给HSS或UPSF;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,在HSS或UPSF中只配置有不需要安全联盟的鉴权方式的鉴权数据时,将所述不需要安全联盟的鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF,或者通过MAA消息返回错误给S-CSCF;
S-CSCF返回鉴权失败消息给UE。
12.根据权利要求10或11所述的方法,其特征在于,所述需要安全联盟的鉴权方式为AKA、或者IP安全-互联网密钥交换IPSEC-IKE、或者传输层安全TLS、或者需要安全联盟的HTTP DIGEST。
13.根据权利要求1所述的方法,其特征在于,步骤B包括:
P-CSCF在REGISTER消息中不存在Security-Client头域时,将没有增加integrity-protected头域的REGISTER消息发送给I-CSCF。
14.根据权利要求13所述的方法,其特征在于,步骤D包括:
S-CSCF在MAR的鉴权方式头域中填写表示未知unknown的值;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,将不需要安全联盟的鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF;
S-CSCF根据HSS或UPSF返回的鉴权数据进行相应的鉴权处理。
15.根据权利要求13所述的方法,其特征在于,步骤B进一步包括:
当REGISTER消息来自通用无线分组业务GPRS对应的移动接入网时,P-CSCF将携带有UE IP地址信息的REGISTER消息发送给I-CSCF;或者,当REGISTER消息来自网络附着子系统NASS对应的固定接入网时,P-CSCF将携带有UE位置信息的REGISTER消息发送给I-CSCF。
16.根据权利要求15所述的方法,其特征在于,步骤D包括:
S-CSCF在MAR消息的鉴权方式头域中填写鉴权方式的缺省值,并发送给HSS或UPSF;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,将所查找到的鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF;
S-CSCF根据HSS或UPSF返回的鉴权数据进行相应的鉴权处理。
17.根据权利要求6或15所述的方法,其特征在于,所述鉴权方式的缺省值为AKA、或者HTTP DIGEST、或者EIA、或者NBA。
18.根据权利要求15所述的方法,其特征在于,步骤D包括:
S-CSCF在MAR的鉴权方式头域填写不需要安全联盟的鉴权方式,并在鉴权方式个数头域中填写所述不需要安全联盟的鉴权方式个数,然后发送给HSS或UPSF;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,获取所述配置的鉴权方式中与MAR中填写的鉴权方式相同的鉴权方式,将所述相同的鉴权方式的鉴权数据和个数分别填写在MAA消息的鉴权数据头域和鉴权方式个数头域中,返回给S-CSCF;
S-CSCF根据HSS或UPSF返回的鉴权数据进行相应的鉴权处理。
19.根据权利要求15所述的方法,其特征在于,步骤D包括:
S-CSCF在MAR的鉴权方式头域中填写表示未知的值,并发送给HSS或UPSF;
HSS或UPSF查找为所述UE的IMPI配置的鉴权方式,把不需要安全联盟的鉴权方式的鉴权数据填充在MAA消息的头域中,返回给S-CSCF;
S-CSCF根据HSS或UPSF返回的鉴权数据进行相应的鉴权处理。
20.根据权利要求14、16、18或19中任一项所述的方法,其特征在于,所述S-CSCF根据HSS或UPSF返回的鉴权数据进行相应的鉴权处理的步骤包括:
在MAA中只包含超文本传输协议摘要HTTP DIGEST鉴权方式的鉴权数据时,S-CSCF执行HTTP DIGEST后续鉴权过程;或者,在MAA中包含IMS业务层鉴权和网络附着子系统接入层鉴权绑定NBA鉴权方式的鉴权数据且所收到的REGISTER消息中有经过合法检查的UE位置信息时,S-CSCF执行NBA鉴权方式的后续鉴权过程;或者,在MAA中包含NBA鉴权数据和HTTP DIGEST鉴权方式的鉴权数据,且所收到的REGISTER消息中有经过合法检查的UE位置信息时,执行NBA鉴权方式的后续鉴权过程,并在NBA鉴权方式鉴权失败时,再执行HTTP DIGEST鉴权方式的后续鉴权过程;或者,在MAA中包含早期IMS EIA鉴权方式的鉴权数据且所收到的REGISTER消息中有UE的IP地址信息时,S-CSCF执行EIA鉴权方式的后续鉴权过程;否则,返回鉴权失败消息给UE。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610101062A CN101106457B (zh) | 2006-07-10 | 2006-07-10 | Ip多媒体子系统网络中确定用户终端鉴权方式的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610101062A CN101106457B (zh) | 2006-07-10 | 2006-07-10 | Ip多媒体子系统网络中确定用户终端鉴权方式的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101106457A CN101106457A (zh) | 2008-01-16 |
| CN101106457B true CN101106457B (zh) | 2010-05-12 |
Family
ID=39000161
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610101062A Expired - Fee Related CN101106457B (zh) | 2006-07-10 | 2006-07-10 | Ip多媒体子系统网络中确定用户终端鉴权方式的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101106457B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222507B (zh) * | 2008-01-22 | 2013-08-21 | 张建中 | 一种在网络中进行移动通讯的方法和装置以及系统 |
| CN101800985B (zh) * | 2010-02-10 | 2014-12-17 | 中兴通讯股份有限公司 | 鉴权方法及系统、终端、服务器与数据下载方法及装置 |
| CN104683347B (zh) * | 2015-03-12 | 2017-10-17 | 东北大学 | 基于ims进行可信通信的信令交互方法及可信认证系统 |
| CN107454045B (zh) * | 2016-06-01 | 2020-09-11 | 宇龙计算机通信科技(深圳)有限公司 | 一种用户ims注册认证的方法、装置及系统 |
| CN108243403B (zh) * | 2016-12-26 | 2021-01-01 | 中国移动通信集团河南有限公司 | 一种控制VoLTE用户注册S-CSCF的方法及I-CSCF网元 |
| CN108668274B (zh) * | 2017-03-29 | 2021-04-02 | 中国移动通信集团北京有限公司 | 一种实现VoLTE IMS注册的方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1756428A (zh) * | 2004-09-30 | 2006-04-05 | 华为技术有限公司 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
-
2006
- 2006-07-10 CN CN200610101062A patent/CN101106457B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1756428A (zh) * | 2004-09-30 | 2006-04-05 | 华为技术有限公司 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101106457A (zh) | 2008-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101043744B (zh) | 一种ims网络中用户终端接入鉴权的方法 | |
| CN101573934B (zh) | 在通信网络中的鉴别 | |
| US8335487B2 (en) | Method for authenticating user terminal in IP multimedia sub-system | |
| US7567796B2 (en) | System and method of registering subscription characteristics using user identities | |
| KR100882326B1 (ko) | 가입자 신원들 | |
| JP4136946B2 (ja) | 通信システム及び方法 | |
| US7574735B2 (en) | Method and network element for providing secure access to a packet data network | |
| EP1755311B1 (en) | A method for implementing the access domain security of an ip multimedia subsystem | |
| EP2938043B1 (en) | Method of access provision | |
| US8270418B2 (en) | Access control in a communication network | |
| US20070055874A1 (en) | Bundled subscriber authentication in next generation communication networks | |
| CN101106457B (zh) | Ip多媒体子系统网络中确定用户终端鉴权方式的方法 | |
| US7600116B2 (en) | Authentication of messages in a communication system | |
| US20110173687A1 (en) | Methods and Arrangements for an Internet Multimedia Subsystem (IMS) | |
| US9692835B2 (en) | Method and apparatuses for the provision of network services offered through a set of servers in an IMS network | |
| CN101232707B (zh) | 一种ims网络中区分用户终端鉴权方式的方法及i-cscf | |
| US9332055B2 (en) | Method and apparatus for routing XCAP requests | |
| CN101001145B (zh) | 支持非ip多媒体业务子系统终端漫游的认证方法 | |
| CN101083838B (zh) | Ip多媒体子系统中的http摘要鉴权方法 | |
| CN101132358B (zh) | 一种ims网络中用户终端ue接入鉴权方法 | |
| KR20120097897A (ko) | Ims망내 와일드카드 번호체계 가입자의 위치등록전달방법 및 그 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100512 Termination date: 20130710 |