CN101232707B - 一种ims网络中区分用户终端鉴权方式的方法及i-cscf - Google Patents

一种ims网络中区分用户终端鉴权方式的方法及i-cscf Download PDF

Info

Publication number
CN101232707B
CN101232707B CN2007100730235A CN200710073023A CN101232707B CN 101232707 B CN101232707 B CN 101232707B CN 2007100730235 A CN2007100730235 A CN 2007100730235A CN 200710073023 A CN200710073023 A CN 200710073023A CN 101232707 B CN101232707 B CN 101232707B
Authority
CN
China
Prior art keywords
cscf
authentication
access
header field
authentication mode
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2007100730235A
Other languages
English (en)
Other versions
CN101232707A (zh
Inventor
何承东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN2007100730235A priority Critical patent/CN101232707B/zh
Priority to PCT/CN2008/070149 priority patent/WO2008089699A1/zh
Publication of CN101232707A publication Critical patent/CN101232707A/zh
Application granted granted Critical
Publication of CN101232707B publication Critical patent/CN101232707B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/147Signalling methods or messages providing extensions to protocols defined by standardisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种IMS网络中区分用户终端鉴权方式的方法及I-CSCF,所述的方法包括如下步骤:a、代理-呼叫会话控制功能实体P-CSCF收到用户终端UE发送的注册REGISTER消息后,将所述的REGISTER消息转发到查询-呼叫会话控制功能实体I-CSCF;b、所述的I-CSCF收到所述的P-CSCF发来的REGISTER消息后,根据所述的REGISTER消息中的鉴权参数信息确定所述UE的鉴权方式;c、所述的I-CSCF根据所确定的鉴权方式进行后续的鉴权处理。本发明提供的技术方案可以解决多种接入网接入同一个IMS核心网时,I-CSCF如何区分各种鉴权方式的问题。

Description

一种IMS网络中区分用户终端鉴权方式的方法及I-CSCF
技术领域
本发明属于IMS(IP多媒体业务子系统)技术领域,尤其涉及IMS网络中接入终端鉴权的技术。
背景技术
IP多媒体子系统作为固定和移动网络的核心会话控制层,已经成为技术发展的一个方向,第三代移动通信系统(3G)以及TISPAN(Telecommunicationsand Intemet Converged Services and Protocols for Advanced Networking  先进网络的电信和互联网融合业务和协议)标准中定义了很多IMS相关的规范,包括网络架构、接口、协议等各个方面,其中安全是3G及TISPAN考虑的一个重要方面。现有的规范中从安全的角度将IMS网络划分为接入域和核心网域,并分别定义了接入域和核心网域的安全规范。
IMS网络的中关于传输网络(Transport)的部分与具体的接入网络有关,有可能为TISPAN/NGN(下一代网络)接入网络,分组电缆网(PacketCable)接入网络,无线局域网(WLAN)接入网络等。
目前3GPP(The Third Generation Partnership Project第三代移动通信系统)中支持的鉴权方式是AKA(Authentication and Key Agreement认证与密钥协商)和Early IMS(早期IMS认证)。
AKA机制在用户终端注册的应用流程如附图2所示,主要包括如下的步骤:
1、初始密钥K在UE(用户终端)与HSS(Home Subscribe Server归属用户服务器)间共享。
2、(SM1--CM2)用户发起注册请求SM1(SM表示两个实体之间的协议是SIP消息SIP Message),S-CSCF通过CM1(CM表示I/S-CSCF和HSS之间的Cx接口消息Cx interface Message,不是SIP协议,而是DIAMETER协议)向HSS请求数据。HSS基于初始密钥K及序列号SQN产生鉴权五元组并通过CM2下发S-CSCF(服务-呼叫会话控制功能实体),其中五元组包括(随机数据RAND、鉴权序号AUTN、期望结果XRES、完整性保护密钥IK、加密密钥CK)。
3、(SM4-SM5)S-CSCF向用户返回401响应(认证挑战),携带除XRES外的四元组信息。
4、(SM6)P-CSCF保存IK,CK信息,将(RAND,AUTN)信息在401响应中传给UE。
5、(SM7-SM9)UE依据初始密钥K及SQN等信息,结合收到的网络设备下发的AUTN,对网络设备是否可信进行认证,如验证通过,网络设备可信,则结合RAND和K,产生结果RES信息,RES将被当作密钥“password”用于终端计算响应response的过程,计算的结果在SM7(认证响应)中发送给网络侧,同时UE自行计算出IK、CK。
6、S-CSCF在SM9中接收到由RES生成的response信息,与其依据XRES计算后的结果相比较,如果两者相同,认为对用户的认证成功。
由以上流程可见:UE向IMS(IP Multimedia Core Network SubsystemIP多媒体业务子系统)网络发起注册,通过AKA实现了UE和IMS网络间的双向认证,同时也完成UE和P-CSCF(代理-呼叫会话控制功能实体)间安全联盟的建立,UE和P-CSCF之间共享了加密密钥CK和完整性保护密钥IK,这两个密钥将用于在UE与P-CSCF间安全通信通道的建立。
由于无线领域现有大量用户终端不符合3GPP协议规范,不支持3GPP TS33.203要求的接入域安全机制,例如使用用户识别卡(SIM卡)的用户终端或者使用USIM/ISIM(通用用户识别卡/IP多媒体网络子系统用户识别卡)卡的2G用户终端。为了能够向这类终端用户提供IMS业务,TR 33.878定义了称为“Early IMS”(早期IP多媒体网络子系统鉴权)的接入域安全机制。Early IMS接入域安全的基本原理,是将应用层安全建立在接入层安全之上。接入层对终端接入进行认证后,将经过认证的信息传送给应用层,应用层依据这些信息对用户请求进行应用层安全认证。
Early IMS(以下简称EIA)接入域安全机制如附图3所示,其中:用户终端通过GGSN(网关GPRS支持节点)接入GPRS(通用分组无线业务)网络,GGSN认证用户标识IMSI(国际移动用户标识)和MSISDN(移动台国际ISDN号码),为用户终端分配网络传输层标识(IP地址)。
步骤1、GGSN通过“Accounting Request Start”将用户标识和终端IP地址对应关系传送到HSS,HSS保存该对应关系;
步骤2、HSS通过“Accounting Request Answer”响应;
步骤3、用户终端发起注册请求REGISTER到P-CSCF。P-CSCF比较REGISTER消息中的via头域中的sent-by(发送)头域的IP地址是否与REGISTER消息所在IP头中的源IP地址一致,如果不一致,则增加一个received(接收)头域到via头域中,并填充为IP头中的源IP地址;P-CSCF转发上述REGISTER请求到S-CSCF。S-CSCF依据REGISTER请求中的公有用户标识,查询是否已注册;
步骤4、如未注册,向HSS请求公有用户标识对应的终端IP地址(HSS静态配置公有用户标识与MSISDN的对应关系,此时可通过公有用户标识获得对应的终端IP地址);
步骤5、HSS返回公有用户标识对应的终端IP地址;
步骤6、S-CSCF检查收到的REGISTER的终端源IP地址(如果via头域中有received头域,则优先比较received头域,否则比较via头域中的sent-by头域),如果与从HSS获得的IP地址相同,则通过认证,向GGSN发送200鉴权成功消息。
Early IMS接入域安全机制只针对特定的无线接入环境,而且对接入网有特殊要求,不能保证其他接入环境下的用户接入安全。
目前TISPAN(Telecommunications and Internet Converged Services andProtocols for Advanced Networking先进网络的电信和互联网融合业务和协议)网络中支持的鉴权方式分别是:AKA、NASS-Bundled-Authentication(IMS业务层鉴权和接入层鉴权绑定NBA)和HTTP DIGEST。
NBA鉴权方式的流程如附图3所示,具体包括如下的步骤:
步骤101,网络附着子系统(NASS)接入层附着认证,在连接位置功能实体(Connection Location Function,CLF)上记录用户终端(UE)的位置信息。
步骤102,UE向P-CSCF发送注册报文REGISTER消息,该报文携带有接入运营商标识及接入用户标识。
步骤103,P-CSCF通过检查REGISTER消息中是否包含安全协商参数(例如Security-Client)来判断是否需要建立和UE之间的安全联盟。如果有此参数,则需要建立,如果没有此参数,则不需要建立。一般来说,密钥协商(AKA)的情况肯定有此参数,而NASS-Bundled和超文本传输协议摘要(HTTPDIGEST)的情况肯定没有此参数。
步骤104,P-CSCF根据注册报文中的接入运营商标识以及预先设置的接入运营商标识与CLF之间的对应关系确定CLF。然后,P-CSCF根据注册报文的源IP地址,在上面确定的CLF中查询用户的位置信息。
步骤105,由于CLF中预先保存了与源IP地址对应的位置信息,因此在本步骤中CLF向P-CSCF返回相应的位置信息及其他信息。
步骤106,P-CSCF将携带上一步骤中查询得到的位置信息及其他信息的注册报文REGISTER发送给询问-呼叫会话控制功能实体(Interrogating-CallSession Control Function,I-CSCF)。
步骤107,I-CSCF向用户数据库(UPSF)发送用户授权请求(UAR)消息。
步骤108,UPSF返回用户授权应答(UAA)消息。
步骤109,I-CSCF根据从UPSF返回的消息选择相应的S-CSCF,即选择由哪个S-CSCF处理该注册报文。
步骤110,I-CSCF将包括上述位置信息的注册报文REGISTER转发给上面确定的S-CSCF。
步骤111,S-CSCF通过REGISTER消息中是否包含Integrity-Protected(完整性保护)参数来判断是哪种认证方式。如果有此参数,则肯定是AKA方式,S-CSCF发给UPSF的鉴权请求只是为了请求鉴权参数;如果没有此参数,则需要向UPSF查询配置的鉴权方式,S-CSCF发给UPSF的请求是为了请求鉴权方式和相应的鉴权参数。由于这里采用NASS-Bundled鉴权方式,所以REGISTER消息中不包含Integrity-Protected参数。S-CSCF向UPSF发送多媒体鉴权请求(MAR)消息,请求用户的鉴权向量和相应的鉴权参数。
步骤112,UPSF检查用户的鉴权签约数据,发现该用户的鉴权方式是NASS-Bundled鉴权方式。
步骤113,UPSF向S-CSCF发送多媒体鉴权应答(MAA)消息,返回用户的鉴权方式和鉴权参数即位置信息。
步骤114,S-CSCF比较从P-CSCF传来的位置信息与从UPSF查询得到的位置信息,如果一致,则说明鉴权成功,执行步骤115及其后续流程,即向UE发送鉴权成功的消息;如果不一致,则说明鉴权失败,执行步骤115及其后续步骤,即向UE发送鉴权失败的消息。
步骤115,S-CSCF向I-CSCF发送2xx Auth_OK消息,表示鉴权成功。
步骤116,I-CSCF将上述2xx Auth_OK消息发送给P-CSCF。
步骤117,P-CSCF将上述2xx Auth_OK消息发送给UE。
规范RFC3261对HTTP DIGEST鉴权方式已有相应的规定,其流程如附图4所示:
步骤201,UE向P-CSCF发送注册报文REGISTER。
步骤202,P-CSCF通过检查REGISTER消息中是否包含安全协商参数(例如Security-Client)来判断是否需要建立和UE之间的安全联盟。如果有此参数,则需要建立,如果没有此参数,则不需要建立。一般来说,密钥协商(AKA)的情况肯定有此参数,而NASS-Bundled和超文本传输协议摘要(HTTPDIGEST)的情况肯定没有此参数。
步骤203,P-CSCF将UE的注册报文REGISTER转发给I-CSCF。该报文中还携带了P-CSCF从CLF查询得到的UE的位置信息。
步骤204,I-CSCF跟UPSF之间通过Cx-Selection-Info消息选择相应的S-CSCF,即I-CSCF向UPSF发出请求,查找UPSF中的用户属性来确定由哪个S-CSCF处理该注册报文。
步骤205,I-CSCF将UE的注册报文REGISTER转发给步骤204中所确定的S-CSCF。
步骤206,S-CSCF通过REGISTER消息中是否包含Integrity-Protected参数来判断是哪种认证方式。如果有此参数,则肯定是AKA方式,S-CSCF发给UPSF的鉴权请求只是为了请求鉴权参数;如果没有此参数,则需要向UPSF查询配置的鉴权方式,S-CSCF发给UPSF的请求是为了请求鉴权方式和相应的鉴权参数。由于这里采用HTTP DIGEST鉴权方式,所以REGISTER消息中不包含Integrity-Protected参数。S-CSCF与UPSF之间通过Cx-Put消息,更新UPSF上的S-CSCF指示信息,告知UPSF该用户后续的处理在本S-CSCF进行。
步骤207,S-CSCF向UPSF发送MAR消息,请求该用户的鉴权方式和鉴权数据。
步骤208,UPSF检查用户的鉴权签约数据,根据鉴权签约数据得到该用户的鉴权方式是HTTP DIGEST鉴权方式,并产生例如nonce等鉴权向量以及期望结果(XRES)等等。
步骤209,UPSF向S-CSCF发送MAR消息,将该用户的鉴权方式信息HTTPDIGEST以及鉴权参数nonce、期望结果(XRES)等发送给S-CSCF。
步骤210,S-CSCF计算期望结果XRES。
步骤211,S-CSCF得到鉴权方式信息并保存XRES,然后向I-CSCF发送“4xx Auth_Challenge”消息,该消息的WWW-Authenticate头中Algorithm参数表示采用HTTP DIGEST鉴权方式。
步骤212,I-CSCF将“4xx Auth_Challenge”消息发送给P-CSCF,该消息的WWW-Authenticate头中Algorithm参数表示采用HTTP DIGEST鉴权方式。
步骤213,P-CSCF将“4xx Auth_Challenge”消息发送给UE。
步骤214,UE接收到“4xx Auth_Challenge”消息后,发现Algorithm参数表示HTTP DIGEST鉴权方式,重新向P-CSCF发送注册报文REGISTER,并携带用于鉴权的响应(RES)。
步骤215,P-CSCF将携带RES的注册报文REGISTER发送给I-CSCF。
步骤216,I-CSCF与UPSF之间通过Cx-Query确定该UE注册报文给哪个S-CSCF处理,即I-CSCF向UPSF查询该注册报文给哪个S-CSCF处理,UPSF根据保存的S-CSCF指示信息告知I-CSCF处理该注册报文的S-CSCF。在以下步骤中,S-CSCF将鉴权成功或鉴权失败的消息发送给UE。
步骤217,I-CSCF将注册报文REGISTER转发给步骤216确定的S-CSCF。
步骤218,S-CSCF比较从UPSF获得的XRES和UE发送过来的RES,当两者一致时,说明鉴权成功,当两者不一致时,说明鉴权失败。
步骤219,S-CSCF与UPSF之间通过Cx-Put消息,更新UPSF上的S-CSCF指示信息,告知UPSF该用户后续的处理在本S-CSCF进行。
步骤220,S-CSCF与UPSF通过Cx-Pull消息获取用户的签约数据信息。
步骤221,S-CSCF向I-CSCF发送表示鉴权成功的200消息,或者表示鉴权失败的403 Forbidden消息。在图中仅以鉴权成功时的200消息表示。
步骤222,I-CSCF将上述消息发送给P-CSCF。
步骤223,P-CSCF将上述消息发送给UE。
从上述各种鉴权方式的具体流程可以看出,3GPP/TISPAN都只考虑了相关的接入网分别和IMS核心网组网时的对终端UE的鉴权方式。但是当这些不同的接入网同时接入到同一个IMS核心网时,对于I-CSCF来说,就会存在如下问题:
1、对于Early IMS方式来说,I-CSCF需要根据IMPU(IMS公有用户标识)按如下方式推导出IMPI(IMS私有用户标识):将IMPU前面的URI(统一资源标识符)、端口号等去掉,作为IMPI,而对于其他的鉴权方式并不需要这样作。
2、对于AKA方式来说,I-CSCF需要执行如下S-CSCF重新选择的过程:如果前一个选择的S-CSCF不响应I-CSCF发送的REGISTER消息或者发送3XX或者480等响应消息,并且REGISTER消息中不包含″integrity-protected″头域,则I-CSCF执行S-CSCF重选过程选择一个新的S-CSCF,而对于其他的鉴权方式则不需要这样作。
3、对于NBA/HTTP DIGEST,由于注册消息中可能包含Authorization头域(带有IMPI),也可能不包括Authorization头域,即可能包括IMPI,也可能不包括IMPI,这样和UPSF通过Cx交互时,IMPI的获取方式就可能和Early IMS不一样。
因此I-CSCF需要一种能够区分上述几种鉴权方式的方法,以便未来能够作灵活性区分处理。
发明内容
本发明实施例的目的在于提供一种IMS网络中区分用户终端鉴权方式的方法及I-CSCF,旨在解决现有技术中存在的当不同点接入网接入到同一个IMS网络时,I-CSCF无法区分用户终端的鉴权方式的问题。
本发明实施例提供了一种IMS网络中区分用户终端鉴权方式的方法,所述的方法包括如下步骤:
a、代理-呼叫会话控制功能实体P-CSCF收到用户终端UE发送的注册REGISTER消息后,将所述的REGISTER消息转发到查询-呼叫会话控制功能实体I-CSCF;
b、所述的I-CSCF收到所述的P-CSCF发来的REGISTER消息后,根据所述的REGISTER消息中的鉴权参数信息确定所述UE的鉴权方式;
c、所述的I-CSCF根据所确定的鉴权方式进行后续的鉴权处理;
其中步骤b具体包括:
b1、所述的I-CSCF收到所述的P-CSCF发来的REGISTER消息后,根据所述的REGISTER消息中的Authorization头域和/或P-Access-Network-Info头域确定所述UE的鉴权方式。
本发明还提供了一种查询-呼叫会话控制功能实体I-CSCF,所述的I-CSCF还包括鉴权方式判断单元,用来根据所述的I-CSCF接收到UE发送的REGISTER消息中的鉴权参数信息确定所述UE的鉴权方式,其中,所述的鉴权方式判断单元用来根据所述的REGISTER消息中的Authorization头域和/或P-Access-Network-Info头域确定所述UE的鉴权方式;其中,所述的鉴权方式判断单元用来根据下述的规则判断向所述的I-CSCF发送REGISTER消息的UE的鉴权方式,所述的规则是:如果所述的REGISTER消息中有Authorization头域,并且其integrity-protected参数值与AKA的方式对应,则确定所述UE的鉴权方式为认证与密钥协商AKA;
如果所述的REGISTER消息中没有Authorization头域,并且没有P-Access-Network-Info头域或者P-Access-Network-Info头域中的access-type参数表示接入网类型为3GPP移动接入网,则确定所述UE的鉴权方式为早期IMS认证Early IMS;
如果所述的REGISTER消息中的Authorization头域中没有integrity-protected参数或者没有Authorization头域,并且P-Access-Network-Info头域中的access-type参数表示接入网类型为先进网络的电信和互联网融合业务和协议TISPAN固定接入网,则确定所述UE的鉴权方式为TISPAN的IMS业务层鉴权和NASS接入层鉴权绑定鉴权方式NBA或者HTTP摘要鉴权方式HTTP DIGEST。
本发明实施例克服现有技术的不足,采用由I-CSCF根据REGISTER消息中的(鉴权)Authorization头域和P-Access-Network-Info(私有接入网络信息)头域中的参数,或者Authorization头域和P-Access-Network-Info头域中的参数判断用户终端的鉴权方式,可以解决多种接入网接入同一个IMS核心网时,I-CSCF如何区分各种鉴权方式的问题。
附图说明
图1是现有技术中AKA鉴权方式的流程图;
图2是现有技术中Early IMS鉴权方式的流程图;
图3是现有技术中NBA鉴权方式的流程图;
图4是现有技术中HTTP DIGEST鉴权的流程图;
图5是本发明实施例所述的I-CSCF的原理框图;
图6为本发明实施例的基本流程图;
图7为本发明实施例中I-CSCF具体判断的流程图。
具体实施方式
本发明实施例的基本原理是当I-CSCF收到P-CSCF发送的REGISTER消息后,根据REGISTER消息中的Authorization头域和/或P-Access-Network-Info头域区分鉴权方式,然后进行后续的鉴权处理。
为了使本发明实施例的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例所述的I-CSCF的原理框图如图5所示,包括鉴权方式判断单元,该鉴权方式判断单元在I-CSCF收到REGISTER消息后,根据该消息中的Authorization头域和/或P-Access-Network-Info头域判断UE采用的鉴权方式,具体来说,鉴权方式判断单元对I-CSCF接收到的REGISTER消息进行分析:
如果该REGISTER消息中的Authorization头域中有integrity-protected(完整性保护)参数,并且其值与AKA的方式对应,则I-CSCF确定应该采用AKA鉴权方式;
如果REGISTER消息中没有Authorization头域,并且没有P-Access-Network-Info头域或者P-Access-Network-Info头域中的access-type(接入类型)参数表示3GPP移动接入网,则I-CSCF判断出应该采用3GPP early IMS鉴权方式;
如果REGISTER消息中的Authorization头域中没有integrity-protected参数或者没有Authorization头域,并且P-Access-Network-Info头域中的access-type参数表示TISPAN固定接入网,则I-CSCF判断出应该采用TISPAN的NBA或者HTTP DIGEST鉴权方式。
鉴权方式判断单元确定UE的鉴权方式后,I-CSCF将根据所确定的鉴权方式进行后续的鉴权处理。
本发明实施例的基本流程图如图6所示,具体包括如下步骤:
1、UE向P-CSCF发送REGISTER消息,请求注册;
2、P-CSCF将该REGISTER消息转发到I-CSCF;
3、I-CSCF接收该REGISTER消息后,根据其中的Authorization头域或P-Access-Network-Info头域中的参数,或者Authorization头域和P-Access-Network-Info头域中的参数判断用户终端的鉴权方式;
具体来说,判断的依据如下:
如果该REGISTER消息中的Authorization头域中有integrity-protected(完整性保护)参数,并且其值与AKA的方式对应,则I-CSCF确定应该采用AKA鉴权方式;
如果REGISTER消息中没有Authorization头域,并且没有P-Access-Network-Info头域或者P-Access-Network-Info头域中的access-type(接入类型)参数表示3GPP移动接入网,则I-CSCF判断出应该采用3GPP early IMS鉴权方式;
如果REGISTER消息中的Authorization头域中没有integrity-protected参数或者没有Authorization头域,并且P-Access-Network-Info头域中的access-type参数表示TISPAN固定接入网,则I-CSCF判断出应该采用TISPAN的NBA或者HTTP DIGEST鉴权方式。
4、I-CSCF判断出鉴权方式后,根据相应的鉴权方式进行后续的鉴权处理。
本发明实施例中,I-CSCF收到REGISTER消息后,根据Authorization和P-Access-Network-Info头域中的参数判断鉴权方式的具体流程如图7所示,包括如下的步骤:
1、UE向P-CSCF发送REGISTER消息,请求注册;
2、P-CSCF将该REGISTER消息转发到I-CSCF,I-CSCF接收REGISTER消息;
3、I-CSCF接收该REGISTER消息后,判断该消息中是否存在Authorization头域,如果没有,转步骤4,如果有,转步骤7;
4、I-CSCF进一步判断该REGISTER消息中是否存在P-Access-Network-Info头域,如果有,转步骤5,否则直接转步骤6;
5、I-CSCF进一步判断该P-Access-Network-Info头域中的access-type表示的接入网类型为3GPP移动接入网还是TISPAN固定接入网,如果是3GPP移动接入网,如3GPP-GERAN(全球移动通讯系统GSM边缘无线接入网GERAN)、3GPP-UTRAN-FDD(通用陆地无线接入网频分双工)或者3GPP-UTRAN-TDD(通用陆地无线接入网时分双工),转步骤6,如果是TISPAN固定接入网,如NASS(网络附着子系统)或者DSL(数字用户线),转步骤9;
6、I-CSCF确定鉴权方式为3GPP Early IMS;
7、I-CSCF判断该Authorization头域是否有integrity-protected参数,如果没有,转步骤8,否则转步骤10;
8、I-CSCF判断P-Access-Network-Info头域中的access-type是否表示接入网类型为TISPAN固定接入网,如果是,转步骤9,否则转步骤11;
9、I-CSCF确定采用TISPAN的NBA或者HTTP DIGEST鉴权方式,I-CSCF还可以进一步区分这两种鉴权方式如下:如果TISPAN固定接入网类型表示为NASS,则采用NBA鉴权方式,否则采用HTTP DIGEST鉴权方式;
10、I-CSCF判断integnty-protected参数的值是否与AKA对应(例如其值为”YES”或者“NO”),如果是,转步骤12,否则转步骤11;
11、I-CSCF将此作为其它情况处理;
12、I-CSCF确定鉴权方式为AKA。
I-CSCF按照上述的流程确定鉴权方式后,进行后续的鉴权处理流程,其步骤同背景技术中描述的对应的鉴权方式的步骤相同,此不赘述。
本发明实施例中,I-CSCF接收REGISTER消息后,首先判断该消息中是否存在Authorization头域,然后根据是Authorization的有无进行下一步的判断,但在实际的应用中,也可以先判断REGISTER消息中是否存在P-Access-Network-Info头域,然后根据P-Access-Network-Info头域的有无进行下一步的判断,也即是说,I-CSCF对Authorization头域和P-Access-Network-Info头域及其参数的判断并不局限于具体的顺序,根据两个头域之一或者两种结合能够唯一确定一种鉴权方式即可。
如上所述,I-CSCF根据REGISTER消息中的Authorization头域和P-Access-Network-Info头域中的参数,或者Authorization头域和P-Access-Network-Info头域中的参数判断用户终端的鉴权方式,可以解决多种接入网接入同一个IMS核心网时,I-CSCF如何区分各种鉴权方式的问题;同时,本发明实施例提供的技术方案同时也具备可扩展性,可以很容易解决未来其他的接入网接入同一个IMS核心网引入新的鉴权方式时,I-CSCF如何区分新的鉴权方式的问题。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种IMS网络中区分用户终端鉴权方式的方法,其特征在于,所述的方法包括如下步骤:
a、代理-呼叫会话控制功能实体P-CSCF收到用户终端UE发送的注册REGISTER消息后,将所述的REGISTER消息转发到查询-呼叫会话控制功能实体I-CSCF;
b、所述的I-CSCF收到所述的P-CSCF发来的REGISTER消息后,根据所述的REGISTER消息中的鉴权参数信息确定所述UE的鉴权方式;
c、所述的I-CSCF根据所确定的鉴权方式进行后续的鉴权处理,
其中步骤b具体包括:
b1、所述的I-CSCF收到所述的P-CSCF发来的REGISTER消息后,根据所述的REGISTER消息中的Authorization头域和/或P-Access-Network-Info头域确定所述UE的鉴权方式。
2.根据权利要求1所述的方法,其特征在于,其中步骤b1具体包括:
所述的I-CSCF收到所述的P-CSCF发来的REGISTER消息后,根据所述的Authorization头域中的完整性保护integrity-protected参数和/或P-Access-Network-Info头域中的接入类型access-type参数进行判断:
如果所述的REGISTER消息中有Authorization头域,并且其integrity-protected参数值与AKA的方式对应,则确定所述UE的鉴权方式为认证与密钥协商AKA;
如果所述的REGISTER消息中没有Authorization头域,并且没有P-Access-Network-Info头域或者P-Access-Network-Info头域中的access-type参数表示接入网类型为3GPP移动接入网,则确定所述UE的鉴权方式为早期IMS认证Early IMS;
如果所述的REGISTER消息中的Authorization头域中没有integrity-protected参数或者没有Authorization头域,并且P-Access-Network-Info头域中的access-type参数表示接入网类型为先进网络的电信和互联网融合业务和协议TISPAN固定接入网,则确定所述UE的鉴权方式为TISPAN的IMS业务层鉴权和NASS接入层鉴权绑定鉴权方式NBA或者HTTP摘要鉴权方式HTTP DIGEST。
3.根据权利要求1所述的方法,其特征在于,其中步骤b1具体包括:
所述的I-CSCF收到所述的P-CSCF发来的REGISTER消息后,判断所述的REGISTER消息中是否存在Authorization头域,
如果存在Authorization头域,则判断所述的Authorization头域中是否存在integrity-protected参数,如果存在integrity-protected参数,判断其值是否与AKA对应,若是则确定所述的UE的鉴权方式为AKA;如果不存在integrity-protected参数,判断所述的REGISTER消息中P-Access-Network-Info头域中的access-type参数是否表示接入网类型为TISPAN固定接入网,若是则确定所述UE的鉴权方式为TISPAN的IMS业务层鉴权和NASS接入层鉴权绑定鉴权方式NBA或者HTTP摘要鉴权方式HTTP DIGEST;
如果不存在Authorization头域,则判断所述的REGISTER消息是否存在P-Access-Network-Info头域,如果不存在,则确定所述UE的鉴权方式为早期IMS认证Early IMS;如果存在,则判断所述的P-Access-Network-Info头域中access-type参数表示的接入网类型为3GPP移动接入网还是TISPAN固定接入网,如果所述的access-type参数表示的接入网类型为3GPP移动接入网,则确定所述UE的鉴权方式为Early IMS,如果所述的access-type参数表示的接入网类型为TISPAN固定接入网,则确定所述UE的鉴权方式为TISPAN的NBA或者HTTP DIGEST。
4.根据权利要求2或者3所述的方法,其特征在于,所述的TISPAN固定接入网具体为数字用户线DSL或者NASS。
5.根据权利要求2或者3所述的方法,其特征在于,所述的确定所述UE的鉴权方式为TISPAN的NBA或者HTTP DIGEST具体为:
如果TISPAN固定接入网类型表示为网络附着子系统NASS,则确定所述UE的鉴权方式为NBA,否则为HTTP DIGEST。
6.根据权利要求2或者3所述的方法,其特征在于,所述的3GPP移动接入网具体为全球移动通讯系统GSM边缘无线接入网GERAN或者通用陆地无线接入网UTRAN。
7.一种查询-呼叫会话控制功能实体I-CSCF,其特征在于,所述的I-CSCF还包括鉴权方式判断单元,用来根据所述的I-CSCF接收到UE发送的REGISTER消息中的鉴权参数信息确定所述UE的鉴权方式,其中,所述的鉴权方式判断单元用来根据所述的REGISTER消息中的Authorization头域和/或P-Access-Network-Info头域确定所述UE的鉴权方式;
其中,所述的鉴权方式判断单元用来根据下述的规则判断向所述的I-CSCF发送REGISTER消息的UE的鉴权方式,所述的规则是:如果所述的REGISTER消息中有Authorization头域,并且其integrity-protected参数值与AKA的方式对应,则确定所述UE的鉴权方式为认证与密钥协商AKA;
如果所述的REGISTER消息中没有Authorization头域,并且没有P-Access-Network-Info头域或者P-Access-Network-Info头域中的access-type参数表示接入网类型为3GPP移动接入网,则确定所述UE的鉴权方式为早期IMS认证Early IMS;
如果所述的REGISTER消息中的Authorization头域中没有integrity-protected参数或者没有Authorization头域,并且P-Access-Network-Info头域中的access-type参数表示接入网类型为先进网络的电信和互联网融合业务和协议TISPAN固定接入网,则确定所述UE的鉴权方式为TISPAN的IMS业务层鉴权和NASS接入层鉴权绑定鉴权方式NBA或者HTTP摘要鉴权方式HTTP DIGEST。
CN2007100730235A 2007-01-23 2007-01-23 一种ims网络中区分用户终端鉴权方式的方法及i-cscf Active CN101232707B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN2007100730235A CN101232707B (zh) 2007-01-23 2007-01-23 一种ims网络中区分用户终端鉴权方式的方法及i-cscf
PCT/CN2008/070149 WO2008089699A1 (fr) 2007-01-23 2008-01-21 Procédé et système d'authentification d'un terminal utilisateur dans un réseau ims

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2007100730235A CN101232707B (zh) 2007-01-23 2007-01-23 一种ims网络中区分用户终端鉴权方式的方法及i-cscf

Publications (2)

Publication Number Publication Date
CN101232707A CN101232707A (zh) 2008-07-30
CN101232707B true CN101232707B (zh) 2012-03-21

Family

ID=39644139

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2007100730235A Active CN101232707B (zh) 2007-01-23 2007-01-23 一种ims网络中区分用户终端鉴权方式的方法及i-cscf

Country Status (2)

Country Link
CN (1) CN101232707B (zh)
WO (1) WO2008089699A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102917342B (zh) * 2008-09-28 2015-11-25 华为技术有限公司 用户设备活动信息通知方法、系统及网元设备、服务器
CN101815296A (zh) * 2009-02-23 2010-08-25 华为技术有限公司 一种进行接入认证的方法、装置及系统
CN104066073B (zh) * 2014-06-30 2017-08-25 中国联合网络通信集团有限公司 一种语音业务的处理方法及系统
CN104683347B (zh) * 2015-03-12 2017-10-17 东北大学 基于ims进行可信通信的信令交互方法及可信认证系统
CN115412912A (zh) * 2021-05-28 2022-11-29 华为技术有限公司 一种终端设备注册的方法、相关设备、系统以及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1414212A1 (en) * 2002-10-22 2004-04-28 Telefonaktiebolaget L M Ericsson (Publ) Method and system for authenticating users in a telecommunication system

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040043756A1 (en) * 2002-09-03 2004-03-04 Tao Haukka Method and system for authentication in IP multimedia core network system (IMS)
CN100395976C (zh) * 2005-07-05 2008-06-18 华为技术有限公司 一种因特网协议多媒体子系统的鉴权方法
CN101043744B (zh) * 2006-03-21 2012-06-06 华为技术有限公司 一种ims网络中用户终端接入鉴权的方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1414212A1 (en) * 2002-10-22 2004-04-28 Telefonaktiebolaget L M Ericsson (Publ) Method and system for authenticating users in a telecommunication system

Also Published As

Publication number Publication date
WO2008089699A1 (fr) 2008-07-31
CN101232707A (zh) 2008-07-30

Similar Documents

Publication Publication Date Title
US9503890B2 (en) Method and apparatus for delivering keying information
CN101043744B (zh) 一种ims网络中用户终端接入鉴权的方法
EP1879324B1 (en) A method for authenticating user terminal in ip multimedia sub-system
CN101573934B (zh) 在通信网络中的鉴别
CN100461942C (zh) Ip多媒体子系统接入域安全机制的选择方法
CN101401476B (zh) 通信网络中的接入控制
EP1973289B1 (en) Method for providing subscriptions to packet-switched networks
EP2938043B1 (en) Method of access provision
JP2009524314A (ja) 回線交換方式の無線アクセスネットワークとipマルチメディアサブシステムとの接続
US7600116B2 (en) Authentication of messages in a communication system
WO2017092229A1 (zh) 基于多业务的ims注册方法和ims注册系统
US20110173687A1 (en) Methods and Arrangements for an Internet Multimedia Subsystem (IMS)
CN100395976C (zh) 一种因特网协议多媒体子系统的鉴权方法
CN101232707B (zh) 一种ims网络中区分用户终端鉴权方式的方法及i-cscf
CN101106457B (zh) Ip多媒体子系统网络中确定用户终端鉴权方式的方法
CN101645901B (zh) Ims网络根据终端能力决策用户鉴权方式的方法
CN100442926C (zh) 一种ip多媒体子系统鉴权和接入层鉴权绑定的方法
CN101325759A (zh) 一种用户终端接入ims早期鉴权的方法及系统
CN101001145B (zh) 支持非ip多媒体业务子系统终端漫游的认证方法
CN100372329C (zh) 一种注册方法、代理装置与注册系统
CN101132358B (zh) 一种ims网络中用户终端ue接入鉴权方法
Díaz-Sánchez et al. A general IMS registration protocol for wireless networks interworking
Radier et al. A vehicle gateway to manage IP multimedia subsystem autonomous mobility
EP1958370A2 (en) Method and apparatus for delivering keying information

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant