CN101577910B - 一种ip多媒体子系统中的注册鉴权方法 - Google Patents
一种ip多媒体子系统中的注册鉴权方法 Download PDFInfo
- Publication number
- CN101577910B CN101577910B CN2008101444127A CN200810144412A CN101577910B CN 101577910 B CN101577910 B CN 101577910B CN 2008101444127 A CN2008101444127 A CN 2008101444127A CN 200810144412 A CN200810144412 A CN 200810144412A CN 101577910 B CN101577910 B CN 101577910B
- Authority
- CN
- China
- Prior art keywords
- cscf
- authentication
- ipsec
- register
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种IP多媒体子系统中的注册鉴权方法,该方法包括:接收到用户设备UE发送的注册请求消息后,代理呼叫会话控制实体P-CSCF记录该消息中包含的互联网协议安全IPSec信息,并将该注册请求消息转发给服务呼叫会话控制实体S-CSCF;接收到所述注册请求消息后,S-CSCF获取所述UE所属用户的签约鉴权算法信息,并将其发送给P-CSCF;当且仅当所述用户的签约鉴权算法为认证和密钥协商AKA时,P-CSCF根据记录的所述IPSec信息进行IPSec检查,并根据检查结果执行后续的注册鉴权操作。采用本发明的方法,使非IMS终端、或者支持多种鉴权算法的终端可以成功进行注册鉴权并接入IMS网络。
Description
技术领域
本发明涉及通信领域,尤其涉及一种IP(Internet Protocol,互联网协议)多媒体子系统中的注册鉴权方法。
背景技术
IP多媒体子系统(IP Multimedia Core Network Subsystem,简称IMS)基于初始会话协议(Session Initial Protocol,简称SIP),而SIP是一种在两方或者多方之间创建、修改、终结会话的应用层协议。
IMS中主要的功能实体包括:用户设备(User Equipment,简称UE);用于控制用户注册、会话控制等功能的呼叫控制实体(Serving Call SessionControl Function,简称CSCF);用于集中管理用户签约数据的归属用户服务器(Home Subscriber Server,简称HSS)。其中,CSCF又分为代理呼叫会话控制实体(Proxy Call Session Control Function,简称P-CSCF),服务呼叫会话控制实体(Serving Call Session Control Function,简称S-CSCF)。
用户接入IMS网络要使用SIP的注册、鉴权过程。SIP的鉴权过程可以使用多种鉴权算法,包括:AKA(Authentication and Key Agreement,认证和密钥协商),HTTP-DIGEST(HyperText Transfer Protocol-DIGEST,超文本传输协议摘要),EARLY-IMS(早期IMS),NASS-Bundled(网络附着子系统绑定)等。
IPSec(Internet Protocol Security,互联网协议安全)是一个标准的网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP(Transfer ControlProtocol/ Internet Protocol,传输控制协议/互联网协议)通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。
IPSec有两个基本目标:1)保护IP数据包安全;2)为抵御网络攻击提 供防护措施。IPSec是一种基于端对端的安全模式。收发双方建立IPSec连接后,发送方在数据传输前对数据实施加密,在整个传输过程中,报文都是以密文方式传输,直到数据到达目的节点,才由接收端对其进行解密。
在IMS网络中,只有在注册过程中使用AKA算法进行鉴权时,UE与P-CSCF之间才能进行IPSec协商,建立IPSec连接。UE在其发往P-CSCF的SIP注册请求(Register)的Require和Proxy-Require字段中添加Sec-agree参数,并添加Security-Client字段,表示UE需要进行IPSec协商。
IMS网络使用SIP协议的注册鉴权过程,实现用户接入IMS网络。IMS用户注册鉴权流程如图1所示,包括以下步骤:
S101,UE向P-CSCF发送注册请求消息,该消息中携带采用AKA作为鉴权算法的标识信息。
注册请求中的Authorization(鉴权)字段的algorithm(算法)参数值为AKAv1-MD5时,表明鉴权算法为AKA;若注册请求不包含Authorization字段,则鉴权算法不确定。
S102,P-CSCF进行IPSec检查;检查内容在3GPP(3rd GenerationPartnership Project,第三代合作伙伴计划)协议中规定,包括:Require和Proxy-Require头字段中是否有Sec-agree参数,是否有正确的Security-Client头字段等;检查成功则继续下一步;检查不成功,则回送失败响应,结束此次注册流程。
S103,P-CSCF向S-CSCF转发用户注册请求消息。
S104,S-CSCF向HSS发送MAR(Multimedia Auth Request,多媒体认证请求)消息,以获取用户鉴权信息。
S105,HSS向S-CSCF返回成功的MAA(Multimedia Auth Answer,多媒体认证应答)消息,该消息中携带采用AKA作为鉴权算法的标识信息。
MAA中的SIP-Auth-Data-Item Avp(Attribute Value Pair,属性值对)下的SIP-Authentication-Scheme Avp用于标识鉴权算法,如果其值为Digest-AKAv1-MD5则表明采用AKA鉴权。
S107,S-CSCF向P-CSCF返回401挑战消息,该消息中携带采用AKA作为鉴权算法的标识信息。
401挑战消息中的WWW-Authenticate(环球网-鉴权)字段的algorithm参数值为AKAv1-MD5时,表明用户的鉴权算法为AKA。
S108,P-CSCF转发上述401挑战消息到UE。
图1的注册过程是3GPP规定的IMS用户注册过程,UE在其注册请求中携带鉴权算法为AKA的标识信息。但在现有通信网络中,存在非IMS的SIP终端,它们在注册请求中可能不携带鉴权算法标识信息(即不包含Authorization字段或不包含algorithm参数);或者鉴权算法不是AKA,比如HTTP-DIGEST;或者用户可能签约了多种鉴权算法,在不同情况下(如接入网络不同;用户有不同终端,且终端支持不同的鉴权方式),使用不同的鉴权算法,此时UE不能决定使用哪种鉴权算法。按照图1的注册过程,在鉴权算法不是AKA的情况下,P-CSCF在收到UE的注册请求时,也要进行IPSec检查,检查失败会导致注册过程异常终止。该过程如图2所示,其中用户签约的鉴权算法为EARLY-IMS,包括以下步骤:
S201,UE向P-CSCF发送注册请求,不携带鉴权算法标识信息(采用EARLY-IMS鉴权时注册请求中没有鉴权算法),并且Require和Proxy-Require头字段中没有Sec-agree参数。
S202,P-CSCF进行IPSec检查不成功。
S203,P-CSCF回送注册失败响应,结束此次注册流程。
由以上描述可知,由于现有技术中P-CSCF接收到UE的注册请求后立即进行IPSec检查,并且在IPSec检查失败后向UE返回注册失败的响应,因此对于不支持Authorization字段或algorithm参数的非IMS终端、或在发送注册请求时无法确定鉴权算法的终端,无法正常进行注册和鉴权。
发明内容
本发明所要解决的技术问题是,克服现有技术的不足,提供一种IMS中的注册鉴权方法,以解决非IMS终端、或者支持多种鉴权算法的终端无法成功进行注册鉴权并接入IMS网络的问题。
为了解决上述问题,本发明提供一种互联网协议IP多媒体子系统中的注册鉴权方法,该方法包括:
接收到用户设备UE发送的注册请求消息后,代理呼叫会话控制实体P-CSCF记录该消息中包含的互联网协议安全IPSec信息,并将该注册请求消息转发给服务呼叫会话控制实体S-CSCF;
接收到所述注册请求消息后,S-CSCF向归属用户服务器HSS发送多媒体认证请求消息,HSS向S-CSCF返回包含所述UE归属用户的签约鉴权算法信息的多媒体认证应答消息,S-CSCF将所述用户的签约鉴权算法信息发送给P-CSCF;
当且仅当所述用户的签约鉴权算法为认证和密钥协商AKA时,P-CSCF根据记录的所述IPSec信息进行IPSec检查,并根据检查结果执行后续的注册鉴权操作。
此外,S-CSCF获取所述用户的签约鉴权算法信息后,将其包含在401挑战请求消息中发送给P-CSCF。
此外,若进行所述IPSec检查的结果为成功,则P-CSCF将所述401挑战请求消息转发给所述UE。
此外,接收到S-CSCF发送的所述401挑战请求消息后,若所述签约鉴权算法信息表明所述用户的签约鉴权算法不是AKA,则P-CSCF不进行IPSec检查,直接将所述401挑战请求消息转发给所述UE。
此外,若进行所述IPSec检查的结果为失败,则P-CSCF向所述UE返回注册失败响应消息。
此外,所述IPSec信息包含:Require和Proxy-Require字段中的Sec-agree参数值、以及是否包含Security-Client字段。
此外,所述IPSec检查是指:检查所述IPSec信息中的Require和 Proxy-Require字段中是否包含正确的Sec-agree参数值,以及是否包含Security-Client字段。
综上所述,采用本发明的方法,使非IMS终端、或者支持多种鉴权算法的终端可以成功进行注册鉴权并接入IMS网络。
附图说明
图1是现有IMS网络中的成功进行注册鉴权及IPSec检查方法流程图;
图2是现有IMS网络中的进行注册鉴权及IPSec检查失败的流程图;
图3是本发明实施例当用户签约的鉴权算法为AKA,该用户的UE发起的注册请求中不携带鉴权算法标识信息时,成功进行注册鉴权的流程图;
图4是本发明实施例当用户签约的鉴权算法为AKA,该用户的UE发起的注册请求中携带的鉴权算法标识信息为HTTP-DIGEST时,成功进行注册鉴权的流程图;
图5是本发明实施例当用户签约的鉴权算法为HTTP-DIGEST,该用户的UE发起的注册请求中不携带的鉴权算法标识信息时,进行注册鉴权的流程图;
图6是本发明实施例当用户签约的鉴权算法为AKA,该用户的UE发起的注册请求中不携带鉴权算法标识信息时,进行注册鉴权的流程图。
具体实施方式
下面将结合附图和实施例对本发明进行详细描述。
图3是本发明实施例IP多媒体子系统中的注册鉴权方法流程图,本实施例描述了用户签约的鉴权算法为AKA,该用户的UE发起的注册请求中不携带鉴权算法标识信息时,成功进行注册鉴权的流程,包括如下步骤:
S301,UE向P-CSCF发送注册请求消息,该消息中不携带鉴权算法标识信息(即不包含Authorization字段,或不包含algorithm参数值)。
S302,P-CSCF收到注册请求消息后,记录该请求消息中的IPSec信息,但不进行IPSec检查。
IPSec信息包含:Require和Proxy-Require字段中的Sec-agree参数值,是否包含Security-Client字段。
S303,P-CSCF向S-CSCF转发注册请求消息。
S304,S-CSCF向HSS发送MAR消息,以获取用户鉴权信息。
S305,HSS向S-CSCF返回成功的MAA消息,该消息中包含用户鉴权信息,用户签约的鉴权算法标识信息;其中,用户签约的鉴权算法为AKA。
S306,S-CSCF根据HSS返回的MAA消息,确定此次注册使用的鉴权算法为AKA。
S307,S-CSCF向P-CSCF发送401挑战请求消息,该消息中携带鉴权算法为AKA的标识信息。
S308,P-CSCF接收到401挑战请求消息后,获知采用AKA作为鉴权算法,因此使用步骤S302中记录的IPSec信息进行IPSec检查,检查成功。
IPSec检查就是检查IPSec信息中(即UE发送的注册请求中)的Require和Proxy-Require字段中是否包含正确的Sec-agree参数值,以及是否包含Security-Client字段。
S309,P-CSCF转发401挑战请求消息到UE,该消息中携带鉴权算法为AKA的标识信息。
图4是本发明实施例IP多媒体子系统中的注册鉴权方法流程图,本实施例描述了用户签约的鉴权算法为AKA,该用户的UE发起的注册请求中携带的鉴权算法标识信息为HTTP-DIGEST时,成功进行注册鉴权的流程,包括如下步骤:
S401,UE向P-CSCF发送注册请求消息,该消息中携带的鉴权算法标识信息为HTTP-DIGEST。
S402,P-CSCF收到注册请求消息后,记录该请求消息中的IPSec信息, 但不进行IPSec检查。
S403,P-CSCF向S-CSCF转发注册请求消息。
S404,S-CSCF向HSS发送MAR消息,以获取用户鉴权信息。
S405,HSS向S-CSCF返回成功的MAA消息,该消息中包含用户鉴权信息,用户签约的鉴权算法标识信息;其中,用户签约的鉴权算法为AKA。
S406,S-CSCF根据HSS返回的MAA消息,确定此次注册使用的鉴权算法为AKA。
S407,S-CSCF向P-CSCF发送401挑战请求消息,该消息中携带鉴权算法为AKA的标识信息。
S408,P-CSCF接收到401挑战请求消息后,获知采用AKA作为鉴权算法,因此使用步骤S402中记录的IPSec信息进行IPSec检查,检查成功。
S409,P-CSCF转发401挑战请求消息到UE,该消息中携带鉴权算法为AKA的标识信息。
图5是本发明实施例IP多媒体子系统中的注册鉴权方法流程图,本实施例描述了用户签约的鉴权算法为HTTP-DIGEST,该用户的UE发起的注册请求中不携带的鉴权算法标识信息时,进行注册鉴权的流程,包括如下步骤:
S501,UE向P-CSCF发送注册请求消息,该消息中携带的鉴权算法标识信息为HTTP-DIGEST。
S502,P-CSCF收到注册请求消息后,记录该请求消息中的IPSec信息,但不进行IPSec检查。
S503,P-CSCF向S-CSCF转发注册请求消息。
S504,S-CSCF向HSS发送MAR消息,以获取用户鉴权信息。
S505,HSS向S-CSCF返回成功的MAA消息,该消息中包含用户鉴权信息,用户签约的鉴权算法标识信息;其中,用户签约的鉴权算法为HTTP-DIGEST。
S506,S-CSCF根据HSS返回的MAA消息,确定此次注册使用的鉴权算法为HTTP-DIGEST。
S507,S-CSCF向P-CSCF发送401挑战请求消息,该消息中携带鉴权算法为HTTP-DIGEST的标识信息。
S508,P-CSCF接收到401挑战请求消息后,获知采用HTTP-DIGEST作为鉴权算法,因此不进行IPSec检查。
S509,P-CSCF转发401挑战请求消息到UE,该消息中携带鉴权算法为HTTP-DIGEST的标识信息。
图6是本发明实施例IP多媒体子系统中的注册鉴权方法流程图,本实施例描述了用户签约的鉴权算法为AKA,该用户的UE发起的注册请求中不携带鉴权算法标识信息时,进行注册鉴权的流程,包括如下步骤:
S601,UE向P-CSCF发送注册请求消息,该消息中不携带鉴权算法标识信息(即不包含Authorization字段,或不包含algorithm参数值),并且该消息的Proxy-Require头字段中没有Sec-agree参数。
S602,P-CSCF收到注册请求消息后,记录该请求消息中的IPSec信息,但不进行IPSec检查。
S603,P-CSCF向S-CSCF转发注册请求消息。
S604,S-CSCF向HSS发送MAR消息,以获取用户鉴权信息。
S605,HSS向S-CSCF返回成功的MAA消息,该消息中包含用户鉴权信息,用户签约的鉴权算法标识信息;其中,用户签约的鉴权算法为AKA。
S606,S-CSCF根据HSS返回的MAA消息,确定此次注册使用的鉴权算法为AKA。
S607,S-CSCF向P-CSCF发送401挑战请求消息,该消息中携带鉴权算法为AKA的标识信息。
S608,P-CSCF接收到401挑战请求消息后,获知采用AKA作为鉴权算法,因此使用步骤S602中记录的IPSec信息进行IPSec检查,由于记录的IPSec信息表明Proxy-Require头字段中没有Sec-agree参数,检查失败。
S609,P-CSCF转发注册失败响应到UE。
Claims (7)
1.一种互联网协议IP多媒体子系统中的注册鉴权方法,其特征在于,该方法包括:
接收到用户设备UE发送的注册请求消息后,代理呼叫会话控制实体P-CSCF记录该消息中包含的互联网协议安全IPSec信息,并将该注册请求消息转发给服务呼叫会话控制实体S-CSCF;
接收到所述注册请求消息后,S-CSCF向归属用户服务器HSS发送多媒体认证请求消息,HSS向S-CSCF返回包含所述UE所属用户的签约鉴权算法信息的多媒体认证应答消息,S-CSCF将所述用户的签约鉴权算法信息发送给P-CSCF;
当且仅当所述用户的签约鉴权算法为认证和密钥协商AKA时,P-CSCF根据记录的所述IPSec信息进行IPSec检查,并根据检查结果执行后续的注册鉴权操作。
2.如权利要求1所述的方法,其特征在于,
S-CSCF获取所述用户的签约鉴权算法信息后,将其包含在401挑战请求消息中发送给P-CSCF。
3.如权利要求2所述的方法,其特征在于,
若进行所述IPSec检查的结果为成功,则P-CSCF将所述401挑战请求消息转发给所述UE。
4.如权利要求2所述的方法,其特征在于,
接收到S-CSCF发送的所述401挑战请求消息后,若所述签约鉴权算法信息表明所述用户的签约鉴权算法不是AKA,则P-CSCF不进行IPSec检查,直接将所述401挑战请求消息转发给所述UE。
5.如权利要求1所述的方法,其特征在于,
若进行所述IPSec检查的结果为失败,则P-CSCF向所述UE返回注册失败响应消息。
6.如权利要求1所述的方法,其特征在于,
所述IPSec信息包含:Require和Proxy-Require字段中的Sec-agree参数值、以及是否包含Security-Client字段。
7.如权利要求7所述的方法,其特征在于,
所述IPSec检查是指:检查所述IPSec信息中的Require和Proxy-Require字段中是否包含正确的Sec-agree参数值,以及是否包含Security-Client字段。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101444127A CN101577910B (zh) | 2008-07-29 | 2008-07-29 | 一种ip多媒体子系统中的注册鉴权方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101444127A CN101577910B (zh) | 2008-07-29 | 2008-07-29 | 一种ip多媒体子系统中的注册鉴权方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101577910A CN101577910A (zh) | 2009-11-11 |
| CN101577910B true CN101577910B (zh) | 2011-03-16 |
Family
ID=41272656
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101444127A Expired - Fee Related CN101577910B (zh) | 2008-07-29 | 2008-07-29 | 一种ip多媒体子系统中的注册鉴权方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101577910B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8959343B2 (en) | 2009-11-26 | 2015-02-17 | China Mobile Communications Corporation | Authentication system, method and device |
| CN102111379B (zh) * | 2009-12-24 | 2013-07-17 | 中国移动通信集团公司 | 认证系统、方法及设备 |
| CN102082769B (zh) * | 2009-11-26 | 2013-10-23 | 中国移动通信集团公司 | Ims终端在获取非ims业务时的认证系统、装置及方法 |
| CN108076452A (zh) * | 2016-11-18 | 2018-05-25 | 大唐移动通信设备有限公司 | 一种通知业务能力的方法、装置和系统 |
| CN114422940B (zh) * | 2022-01-19 | 2024-05-14 | 北京百度网讯科技有限公司 | 定位方法、装置、电子设备和介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1642083A (zh) * | 2004-09-23 | 2005-07-20 | 华为技术有限公司 | 网络侧选择鉴权方式的方法 |
| CN1753363A (zh) * | 2004-09-23 | 2006-03-29 | 华为技术有限公司 | 网络侧选择鉴权方式的方法 |
| CN1893352A (zh) * | 2005-07-05 | 2007-01-10 | 华为技术有限公司 | 一种因特网协议多媒体子系统的鉴权方法 |
-
2008
- 2008-07-29 CN CN2008101444127A patent/CN101577910B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1642083A (zh) * | 2004-09-23 | 2005-07-20 | 华为技术有限公司 | 网络侧选择鉴权方式的方法 |
| CN1753363A (zh) * | 2004-09-23 | 2006-03-29 | 华为技术有限公司 | 网络侧选择鉴权方式的方法 |
| CN1893352A (zh) * | 2005-07-05 | 2007-01-10 | 华为技术有限公司 | 一种因特网协议多媒体子系统的鉴权方法 |
Non-Patent Citations (2)
| Title |
|---|
| 3rd Generation Partnership Project.Technical Specification Group Services and System Aspects * |
| IP Multimedia Subsystem(IMS).《3GPP TS 23.228 V6.6.0》.2004,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101577910A (zh) | 2009-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7844815B2 (en) | Method and communication system for controlling security association lifetime | |
| US7574735B2 (en) | Method and network element for providing secure access to a packet data network | |
| KR100976635B1 (ko) | Ims 네트워크에서 미디어 보안을 제공하는 방법 및 미디어 보안을 제공하는 ims 네트워크 | |
| EP2095224B1 (en) | Systems, methods, media, and means for hiding network topology | |
| EP1305911B1 (en) | Techniques for performing umts-authentication using sip (session initiation protocol) messages | |
| KR101461455B1 (ko) | 인증 방법, 시스템 및 장치 | |
| JP5392879B2 (ja) | 通信デバイスを認証するための方法および装置 | |
| EP2632103A1 (en) | Ims multimedia communication method and system, terminal and ims core network | |
| CN101878631A (zh) | Ims系统中的端到边缘媒体保护的方法和设备 | |
| JP2006518121A (ja) | 移動無線システムにおける暗号鍵を形成および配布する方法および移動無線システム | |
| CN103987037A (zh) | 一种保密通信实现方法及装置 | |
| EP2628329B1 (en) | Method and apparatus for sending protected data in a communication network via an intermediate unit | |
| CN101577910B (zh) | 一种ip多媒体子系统中的注册鉴权方法 | |
| KR100928247B1 (ko) | 통신 네트워크들 간의 보안 통신을 제공하기 위한 방법 및시스템 | |
| US20040043756A1 (en) | Method and system for authentication in IP multimedia core network system (IMS) | |
| US8539564B2 (en) | IP multimedia security | |
| EP3132627B1 (en) | Gsm a3/a8 authentication in an ims network | |
| KR102003694B1 (ko) | 이동통신시스템에서 세션 설정 방법 및 장치 | |
| WO2008020015A1 (en) | Secure transport of messages in the ip multimedia subsystem | |
| CN101459910B (zh) | outbound方式下的注册及IPSec协商方法 | |
| Moon | Fast and secure session mobility in IMS-based vertical handover scenario | |
| KR102273762B1 (ko) | VoLTE(Voice over Long Term Evolution) 시스템 및 그 제어방법과 및 이 시스템에 포함되는 PGW(PDN Gateway) 및 CSCF(Call Session Control Function)과 그 제어방법 | |
| Belmekki et al. | Enhances security for IMS client | |
| CN101754148B (zh) | 一种用户业务互通方法、系统以及usi系统 | |
| JP4980813B2 (ja) | 認証処理装置、認証処理方法及び認証処理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110316 Termination date: 20200729 |