CN1294722C - 网络侧选择鉴权方式的方法 - Google Patents
网络侧选择鉴权方式的方法 Download PDFInfo
- Publication number
- CN1294722C CN1294722C CNB2005100938198A CN200510093819A CN1294722C CN 1294722 C CN1294722 C CN 1294722C CN B2005100938198 A CNB2005100938198 A CN B2005100938198A CN 200510093819 A CN200510093819 A CN 200510093819A CN 1294722 C CN1294722 C CN 1294722C
- Authority
- CN
- China
- Prior art keywords
- authentication
- cscf
- user
- information
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络侧选择鉴权方式的方法,关键是,HSS根据接收到的来自S-CSCF的鉴权矢量请求消息中所请求的鉴权信息,以及请求用户的类型,给S-CSCF返回支持Early IMS鉴权方式的鉴权信息,或支持3G鉴权方式的鉴权信息,或直接给S-CSCF返回失败信息。如果是前两者,则采用相应鉴权方式鉴权后,由S-CSCF根据鉴权结果给用户返回允许接入或拒绝接入的信息。如果是最后一种情况,则S-CSCF直接给UE发送禁止接入信息。应用本发明,使网络侧能够根据用户的需要选择正确的鉴权方式对用户进行鉴权,提高了网络侧对异常情况处理的能力,使网络侧在最大程度上兼容原有安全协议。
Description
技术领域
本发明涉及移动通信技术领域,特别是指在用户应用多媒体子系统(IMS)网络时,由网络侧选择鉴权方式的方法。
背景技术
随着宽带网络的发展,移动通信不仅仅局限于传统的话音通信,通过与呈现业务(presence)、短消息、网页(WEB)浏览、定位信息、推送业务(PUSH)以及文件共享等数据业务的结合,移动通信能够实现音频、视频、图片和文本等多种媒体类型的业务,以满足用户的多种需求。
第三代移动通信标准化伙伴项目(3GPP)以及第三代移动通信标准化伙伴项目2(3GPP2)等组织都先后推出了基于IP的多媒体子系统(IMS)架构,其目的是在移动网络中使用一种标准化的开放结构来实现多种多样的多媒体应用,以给用户提供更多的选择和更丰富的感受。
IMS架构叠加在分组域网络之上,该架构与鉴权相关的实体包括呼叫状态控制功能(CSCF)实体和归属签约用户服务器(HSS)功能实体。
CSCF又可以分成服务CSCF(S-CSCF)、代理CSCF(P-CSCF)和查询CSCF(I-CSCF)三个逻辑实体,该三个逻辑实体可能在不同的物理设备上,也可能在同一个物理设备内不同的功能模块中。S-CSCF是IMS的业务交换中心,用于执行会话控制,维持会话状态,管理用户信息,产生计费信息等;P-CSCF是终端用户接入IMS的接入点,用于完成用户注册,服务质量(QoS)控制和安全管理等;I-CSCF负责IMS域之间的互通,管理S-CSCF的分配,对外隐藏网络拓扑结构和配置信息,并产生计费数据等。HSS是非常重要的用户数据库,用于支持各个网络实体对呼叫和会话的处理。
IMS是基于第三代移动通信网络的,因而IMS上的业务非常丰富,所以出现了运营商在2G的网络上使用IMS的需求。但在2G的网络上是无法支持基于3G网络IMS的安全相关功能的,例如基于IMS层的接入认证等,因此,在现有技术中出现了为2G应用IMS业务的过渡鉴权方案,该鉴权方案也称为Early IMS鉴权方案或IP-based鉴权方案,该鉴权方案为2G用户应用IMS业务提供一定的安全功能。当网络升级到3G之后,再应用完整的基于3G的鉴权方式。
现有的基于2G的应用IMS时的鉴权方式,也就是Early IMS鉴权方案如下:
用户终端首先接入3GPP的分组域(PS-Domain),该分组域网络会对用户进行鉴权,鉴权通过后,分组网络的分组网络网关节点(GGSN)给用户分配一个IP地址,该IP地址也是该用户使用IMS业务时所应用的IP地址。GGSN将这个IP地址和用户的电话号码(MSIDSN)通过中间实体通知给HSS,HSS通过用户的MSISDN查找到用户在IMS中的私有身份标识IMPI,并将该用户的IMPI、MSISDN以及IP地址等信息进行绑定保存。当用户要使用IMS时,用户终端首先会发出登记请求消息(Register),这个消息经过中间实体转发后到达S-CSCF,S-CSCF从HSS中取得该用户的IMPI与IP地址的绑定关系后并保存,然后S-CSCF检查来自用户终端的IMPI及其使用的IP地址是否与自身保存的该IMPI与IP地址的绑定相匹配,如果是,则认为其是一个合法用户终端,控制该用户终端接入,允许该用户使用IMS业务,否则认为其是一个非法用户,拒绝该2G用户接入。
现有的基于3G的应用IMS时的鉴权方式如下:
用户终端首先接入到3GPP的分组域(PS-Domain),经过分组域的认证鉴权后,GGSN给用户分配IP地址建立连接。如果用户要使用IMS业务,则该用户终端在IMS域发起Register,该消息被转发到S-CSCF后,由S-CSCF向HSS请求鉴权矢量并使用鉴权和密钥协商协议(AKA)对用户进行IMS业务层鉴权,鉴权成功后S-CSCF允许用户接入,为用户提供IMS业务,否则拒绝该用户应用IMS业务。
虽然基于2G的用户和基于3G的用户都能够接入并应用IMS中的业务,且基于2G和3G的接入IMS的方式相兼容,但目前存在的问题是,对于已经升级到3G的系统而言,IMS中的核心网络收到用户的登记请求后,并不清楚应该使用哪种鉴权方式对接入的用户进行鉴权,而是直接应用基于3G的鉴权方式对该用户进行鉴权。这样,如果是一个合法的2G用户,同样不能接入,这是因为,网络侧对2G用户的鉴权方式与对3G用户的鉴权方式不同,且2G用户不能通过基于3G的鉴权方式,此时网络侧将认为该用户为非法接入的用户,因而导致合法用户不能正常接入,使网络的容错能力差。
发明内容
有鉴于此,本发明的目的在于提供一种网络侧选择鉴权方式的方法,使网络侧能够根据用户的需要选择正确的鉴权方式。
为达到上述目的,本发明的技术方案是这样实现的:
一种网络侧选择鉴权方式的方法,适用于多媒体子系统网络,该方法包括以下步骤:
a、服务呼叫状态控制功能实体S-CSCF接收到来自用户终端的登记请求后,向归属签约用户服务器HSS发送包含所需鉴权方式标识的鉴权矢量请求;
b、HSS根据所需鉴权方式标识判断S-CSCF是否请求基于Early IMS鉴权方式的鉴权信息,如果是,则执行步骤d;否则,再判断该请求接入用户的类型,如果是3G用户,则给S-CSCF返回支持3G鉴权方式的鉴权信息,然后执行步骤c;如果是2G用户,则执行步骤e;
c、S-CSCF采用基于3G的鉴权方式对请求接入的用户进行鉴权,如果鉴权通过,则给用户返回允许接入的信息,结束;如果鉴权失败且失败原因为不支持该鉴权方式,S-CSCF向HSS发送包含请求Early IMS鉴权方式标识的鉴权矢量请求,然后执行步骤b;
d、HSS给S-CSCF返回基于Early IMS的鉴权信息,由S-CSCF根据获取的采用Early IMS鉴权方式的鉴权结果,给用户终端返回允许接入或拒绝接入的信息,结束;
e、HSS给S-CSCF返回指示不支持该鉴权方式的失败信息,S-CSCF接收到该失败信息后通知用户终端禁止接入,结束。
较佳地,步骤a所述S-CSCF接收到来自用户终端的登记请求信息中,进一步包括:用户接入网类型信息;
步骤c所述鉴权失败且失败原因为不支持该鉴权方式时,进一步包括:S-CSCF判断该用户接入网类型,如果接入网类型是2G网络,则继续执行后续步骤,如果接入网类型是3G网络,则直接给用户返回拒绝接入的信息。
较佳地,所述S-CSCF向HSS发送的包含所需鉴权方式标识的鉴权矢量请求中,进一步包括:用户接入网类型信息;
步骤b所述HSS判断出S-CSCF需要基于Early IMS鉴权方式的鉴权信息后,进一步包括:HSS判断该用户接入网类型,如果接入网类型是2G网络,则继续执行后续步骤,如果接入网类型是3G网络,且请求接入的用户是3G用户,则给S-CSCF返回支持3G鉴权方式的鉴权信息,S-CSCF接收到该信息后,或者执行步骤c或者直接给用户返回拒绝接入的信息。
较佳地,所述支持3G鉴权方式的鉴权信息为AKA鉴权矢量信息;步骤c所述采用3G的鉴权方式对请求接入的用户进行鉴权的过程为:采用AKA协议对用户进行鉴权。
较佳地,所述支持Early IMS鉴权方式的鉴权信息为用户身份标识和IP地址的绑定信息;步骤d所述S-CSCF获取采用Early IMS鉴权方式的鉴权结果的过程为:S-CSCF检查从用户终端接收到的该用户IP地址与从HSS收到的该用户身份标识和IP地址的绑定信息中的IP地址是否匹配,如果是则通过鉴权,否则该用户不能通过鉴权,从而直接获取鉴权结果。
较佳地,步骤d所述HSS给S-CSCF返回基于Early IMS的鉴权信息的方法为:
HSS直接给S-CSCF返回基于Early IMS的鉴权信息,或者,
HSS给S-CSCF返回指示不支持该鉴权方式的失败信息,S-CSCF接收到该失败信息后,再向HSS发送包含请求基于Early IMS鉴权方式标识的鉴权矢量请求,HSS根据该请求再给S-CSCF返回基于Early IMS的鉴权信息。
较佳地,步骤a所述S-CSCF向HSS发送的鉴权矢量请求中进一步包括申请用户的IP地址;所述支持Early IMS鉴权方式的鉴权信息为用户身份标识和IP地址的绑定信息;步骤d所述S-CSCF获取采用Early IMS鉴权方式的鉴权结果的过程为:HSS检查来自S-CSCF的用户的IP地址与自身保存的该用户身份标识和IP地址的绑定信息中的IP地址是否匹配,如果是则通过鉴权,发送鉴权成功的信息给S-CSCF,否则,发送鉴权失败的信息给S-CSCF。
较佳地,步骤a所述S-CSCF向HSS发送包含所需鉴权方式标识的鉴权矢量请求时,判断来自用户终端的登记请求消息中是否有请求支持EarlyIMS鉴权方式的标识,如果有,则向HSS发送包含请求支持Early IMS鉴权方式的鉴权矢量请求,否则,向HSS发送包含请求支持3G鉴权方式的鉴权矢量请求。
较佳地,所述用户终端发送的登记请求消息中包含的请求支持EarlyIMS鉴权方式的标识,承载于该消息中预先设置的字段中,或者,通过预设的默认值,表示使用支持Early IMS鉴权方式;所述预设的默认值为缺省3G鉴权方式消息中使用的安全消息头security headers。
较佳地,所述S-CSCF发送给HSS的鉴权矢量请求消息中的请求支持Early IMS鉴权方式的标识,承载于该消息中用于标识请求基于3G鉴权方式的字段中。
实现本发明目的另一技术方案是这样实现的:
一种网络侧选择鉴权方式的方法,适用于多媒体子系统网络,该方法包括以下步骤:
a、服务呼叫状态控制功能实体S-CSCF接收到来自用户终端的登记请求后,向归属签约用户服务器HSS发送包含所需鉴权方式标识的鉴权矢量请求;
b、HSS根据所需鉴权方式标识判断S-CSCF是否请求基于Early IMS鉴权
HSS直接给S-CSCF返回基于Early IMS的鉴权信息,或者,
HSS给S-CSCF返回指示不支持该鉴权方式的失败信息,S-CSCF接收到该失败信息后,再向HSS发送包含请求基于Early IMS鉴权方式标识的鉴权矢量请求,HSS根据该请求再给S-CSCF返回基于Early IMS的鉴权信息。
较佳地,步骤a所述S-CSCF向HSS发送的鉴权矢量请求中进一步包括申请用户的IP地址;所述支持Early IMS鉴权方式的鉴权信息为用户身份标识和IP地址的绑定信息;步骤d所述S-CSCF获取采用Early IMS鉴权方式的鉴权结果的过程为:HSS检查来自S-CSCF的用户的IP地址与自身保存的该用户身份标识和IP地址的绑定信息中的IP地址是否匹配,如果是则通过鉴权,发送鉴权成功的信息给S-CSCF,否则,发送鉴权失败的信息给S-CSCF。
较佳地,步骤a所述S-CSCF向HSS发送包含所需鉴权方式标识的鉴权矢量请求时,判断来自用户终端的登记请求消息中是否有请求支持EarlyIMS鉴权方式的标识,如果有,则向HSS发送包含请求支持Early IMS鉴权方式的鉴权矢量请求,否则,向HSS发送包含请求支持3G鉴权方式的鉴权矢量请求。
较佳地,所述用户终端发送的登记请求消息中包含的请求支持EarlyIMS鉴权方式的标识,承载于该消息中预先设置的字段中,或者,通过预设的默认值,表示使用支持Early IMS鉴权方式;所述预设的默认值为缺省3G鉴权方式消息中使用的安全消息头security headers。
较佳地,所述S-CSCF发送给HSS的鉴权矢量请求消息中的请求支持Early IMS鉴权方式的标识,承载于该消息中用于标识请求基于3G鉴权方式的字段中。
实现本发明目的另一技术方案是这样实现的:
一种网络侧选择鉴权方式的方法,适用于多媒体子系统网络,该方法包括以下步骤:
a、服务呼叫状态控制功能实体S-CSCF接收到来自用户终端的登记请求后,向归属签约用户服务器HSS发送包含所需鉴权方式标识的鉴权矢量请求;
b、HSS根据所需鉴权方式标识判断S-CSCF是否请求基于Early IMS鉴权方式的鉴权信息,如果是,则执行步骤d;否则,再判断该请求接入用户的类型,如果是3G用户,则给S-CSCF返回支持3G鉴权方式的鉴权信息,然后执行步骤c;如果是2G用户,则执行步骤d;
c、S-CSCF采用基于3G的鉴权方式对请求接入的用户进行鉴权,如果鉴权通过,则给用户返回允许接入的信息,结束;如果鉴权失败且失败原因为不支持该鉴权方式,S-CSCF向HSS发送包含请求Early IMS鉴权方式标识的鉴权矢量请求,然后执行步骤b;
d、HSS给S-CSCF返回基于Early IMS的鉴权信息,由S-CSCF根据获取的采用Early IMS鉴权方式的鉴权结果,给用户终端返回允许接入或拒绝接入的信息,结束。
较佳地,步骤a所述S-CSCF接收到来自用户终端的登记请求信息中,进一步包括:用户接入网类型信息;
步骤c所述鉴权失败且失败原因为不支持该鉴权方式时,进一步包括:S-CSCF判断该用户接入网类型,如果接入网类型是2G网络,则继续执行后续步骤,如果接入网类型是3G网络,则直接给用户返回拒绝接入的信息。
较佳地,所述S-CSCF向HSS发送的包含所需鉴权方式标识的鉴权矢量请求中,进一步包括:用户接入网类型信息;
步骤b所述HSS判断出S-CSCF需要基于Early IMS鉴权方式的鉴权信息后,进一步包括:HSS判断该用户接入网类型,如果接入网类型是2G网络,则继续执行后续步骤,如果接入网类型是3G网络,且请求接入的用户是3G用户,则给S-CSCF返回支持3G鉴权方式的鉴权信息,S-CSCF接收到该信息后,或者执行步骤c或者直接给用户返回拒绝接入的信息。
较佳地,所述支持3G鉴权方式的鉴权信息为AKA鉴权矢量信息;步骤c所述采用3G的鉴权方式对请求接入的用户进行鉴权的过程为:采用AKA协议对用户进行鉴权。
较佳地,所述支持Early IMS鉴权方式的鉴权信息为用户身份标识和IP地址的绑定信息;步骤d所述S-CSCF获取采用Early IMS鉴权方式的鉴权结果的过程为:S-CSCF检查从用户终端接收到的该用户IP地址与从HSS收到的该用户身份标识和IP地址的绑定信息中的IP地址是否匹配,如果是则通过鉴权,鉴权信息,再判断该请求接入用户的类型,如果是3G用户,则给S-CSCF返回支持3G鉴权方式的鉴权信息,并采用基于3G的鉴权方式对该请求接入的用户进行鉴权;如果是2G用户,则HSS给S-CSCF返回失败信息,由S-CSCF通知UE此次鉴权失败禁止接入,或者,HSS给S-CSCF返回基于Early IMS的鉴权信息,采用Early IMS的鉴权方式对该请求接入的用户进行鉴权,最后根据鉴权结果,由S-CSCF给用户返回允许接入或拒绝接入的信息。
应用本发明,使网络侧能够根据用户的需要选择正确的鉴权方式对用户进行鉴权,提高了网络侧对异常情况处理的能力,使网络侧在最大程度上兼容原有安全协议。
附图说明
图1所示为应用本发明的实施例一的流程示意图;
图2所示为应用本发明的实施例二的流程示意图;
图3所示为应用本发明的实施例三的流程示意图。
具体实施方式
下面结合附图及具体实施例,对本发明再做进一步地详细说明。
对于3G网络,现有协议的S-CSCF发送给HSS的鉴权矢量请求消息中,有一字段专门用于标识请求基于3G鉴权方式即AKA鉴权方案的鉴权矢量,且该字段中的内容是唯一的。为了3G网络能够识别Early IMS鉴权方式的需要,为该字段增加一个新的可选鉴权方式标识,用以表示请求支持EarlyIMS鉴权方式的鉴权矢量。并且设置请求支持3G鉴权方式的标识为该字段的默认选项,请求支持Early IMS鉴权方式的标识为该字段的可选项。
当然,在S-CSCF发送给HSS的鉴权矢量请求消息中,增加用于指示请求支持3G鉴权方式标识或请求支持Early IMS鉴权方式标识,只要HSS能够识别出是请求支持3G鉴权方式的鉴权信息还是请求支持Early IMS鉴权方式的鉴权信息即可,具体实现方式并不限于上述方案。
图1所示为应用本发明的实施例一的流程示意图。本实施例中的用户为使用2G终端或3G终端的2G用户。
步骤101,当UE需要使用IMS业务时,在IMS域内发起登记请求(Register),该Register经P-CSCF和I-CSCF到达到S-CSCF。
步骤102,S-CSCF按照现有协议流程选择支持3G鉴权方式即AKA鉴权方案向HSS发送鉴权矢量请求消息,即向HSS请求基于AKA鉴权矢量信息,同时,该请求消息中还包含有用户的身份标识。该身份标识可以是IMPI,也可以是用户公共身份标识(IMPU),如果是IMPU,则由HSS根据IMPU找到对应的IMPI。
步骤103,HSS收到来自S-CSCF的鉴权矢量请求,根据该请求消息中的请求鉴权方式的标识获知其请求AKA鉴权矢量的信息后,再根据该请求消息中的用户身份标识查找该用户的描述信息以判断该请求接入用户的类型,在本实施例中,HSS判断出该请求接入的用户为2G用户不能够支持AKA鉴权方案,此时,HSS有两套执行方案,一套是执行步骤104~105,另一套是执行步骤104’~106’,具体执行哪套方案由运营商设定。下面就两套方案分别说明。
步骤104~105,HSS向S-CSCF返回不支持该鉴权方式的失败信息,S-CSCF接收到该失败信息后,发送消息通知UE发生错误,即禁止UE接入,UE收到错误通知的消息后将不自动进行再次注册,至此,本流程结束。
如果用户终端设备支持Early IMS鉴权方式,且用户知道该用户终端设备的能力,那么用户可以操纵用户终端设备重新发起登记请求,即重新执行步骤101,开始新一轮的登记请求,该登记请求消息中包含了请求支持EarlyIMS鉴权方式的标识,S-CSCF收到该请求后,会直接向HSS请求支持EarlyIMS鉴权方式的鉴权矢量,其后续处理与下面图3所示的处理方式相同,具体处理过程可参见图3,在此不再详细说明。
步骤104’,HSS给S-CSCF返回支持Early IMS鉴权方式的鉴权矢量信息,即该用户的IMPI和该用户IP地址的绑定信息。
在具体应用时,HSS给S-CSCF返回支持Early IMS鉴权方式的鉴权矢量信息的过程有两种实现方式,下面分别说明。具体采用哪种方式由运营商设定。
一种是,HSS直接给S-CSCF返回支持Early IMS鉴权方式的鉴权信息;另一种是,HSS向S-CSCF返回不支持该鉴权方式的失败信息,S-CSCF接收到该失败信息后,再重新向HSS发送鉴权矢量请求,该请求中包含请求支持Early IMS鉴权方式的标识,HSS判断出S-CSCF请求支持Early IMS鉴权方式的鉴权信息后,给S-CSCF返回支持Early IMS鉴权方式的鉴权信息。
步骤105’,S-CSCF收到返回的消息后,采用Early IMS鉴权方式对该用户进行鉴权,即检查来自UE的Register中的用户IP是否与从HSS收到的IMPI与IP地址的绑定信息中的IP地址相匹配,如果匹配则认为该用户是合法用户,并保存该用户的IMPI与IP地址的绑定信息。
上述步骤105’中对UE进行鉴权的工作也可以由HSS完成,如果由HSS执行对UE的鉴权操作,则在步骤102中所发送的鉴权矢量请求中携带请求接入用户的IP地址,HSS检查该IP地址是否与自身保存的IMPI与IP地址的绑定信息中的IP地址相匹配,如果匹配则认为该用户是合法用户,此时,HSS给S-CSCF返回的信息中指示该UE已通过鉴权,同时还包括该用户的IMPI与IP地址的绑定信息,以便S-CSCF在以后的操作中应用;如果不匹配则认为该用户是非法用户,此时,HSS给S-CSCF返回的信息中指示该UE未通过鉴权,即返回鉴权失败的信息。
步骤106’,通过鉴权后,S-CSCF向UE发送允许接入的信息。如果鉴权未通过,则S-CSCF向UE发送禁止接入的信息。
上述实施例中,如果HSS判断出S-CSCF请求AKA鉴权方式所需的鉴权信息且该用户是3G用户,则给S-CSCF返回支持3G鉴权方式的鉴权信息,相应地,后面鉴权过程也是基于3G的鉴权方式。
图2所示为应用本发明的实施例二的流程示意图。本实施例中的用户为使用2G终端的3G用户。
步骤201,当UE需要使用IMS业务时,在IMS域内发起Register,该Register经P-CSCF和I-CSCF到达到S-CSCF。
步骤202,S-CSCF按照现有协议流程选择支持3G鉴权方式即AKA鉴权方案向HSS发送鉴权矢量请求消息,即向HSS请求AKA鉴权矢量信息,同时,该请求消息中还包含有用户的IMPI或IMPU,如果是IMPU,则由HSS根据IMPU找到对应的IMPI。
步骤203,HSS收到来自S-CSCF的鉴权矢量请求,根据该请求消息中的请求鉴权方式的标识获知其请求AKA鉴权矢量的信息后,再根据该请求消息中的用户身份标识查找该用户的描述信息以判断该请求接入用户的类型,在本实施例中,HSS判断出该用户为3G用户后,给S-CSCF返回支持3G鉴权方式的鉴权信息,即AKA鉴权矢量信息。
步骤204,S-CSCF向用户终端发送鉴权请求。
步骤205,由于该用户的终端为2G终端,其不支持基于3G的鉴权方式,因此,UE向S-CSCF返回失败原因为不支持该鉴权方式的鉴权失败的信息,具体实现时,可在UE返回的信息中增加一字段用于表示失败原因为不支持该鉴权方式,也可以采用其它方法,只要能够表示出失败原因为不支持该鉴权方式即可。
步骤206,S-CSCF接收到失败原因为不支持该鉴权方式的失败信息后,重新向HSS发送鉴权矢量请求,该请求中包含请求支持Early IMS鉴权方式的标识。
步骤207,HSS接收到步骤206所述请求后,给S-CSCF返回支持EarlyIMS鉴权方式的鉴权信息,即用户的IMPI与IP地址的绑定信息。
步骤208,S-CSCF收到返回的消息后,采用Early IMS鉴权方式对该用户进行鉴权,即检查来自UE的Register中的用户IP是否与从HSS收到的IMPI与IP地址的绑定信息中的IP地址相匹配,如果匹配则认为该用户是合法用户,并保存该用户的IMPI与IP地址的绑定信息。
上述对UE进行鉴权的工作也可以由HSS完成,如果由HSS执行对UE的鉴权操作,则在步骤206中所发送的鉴权矢量请求中携带请求接入用户的IP地址,HSS检查该IP地址是否与自身保存的IMPI与IP地址的绑定信息中的IP地址相匹配,如果匹配则认为该用户是合法用户,此时,HSS给S-CSCF返回的信息中指示该UE已通过鉴权,同时还包括该用户的IMPI与IP地址的绑定信息,以便S-CSCF在以后的操作中应用;如果不匹配则认为该用户是非法用户,此时,HSS给S-CSCF返回的信息中指示该UE未通过鉴权,即返回鉴权失败的信息。
步骤209,通过鉴权后,S-CSCF向UE发送允许接入的信息。如果鉴权没通过,则S-CSCF向UE发送禁止接入的信息。
另外,在S-CSCF接收到来自用户终端的失败原因为不支持该鉴权方式的失败信息后,可进一步判断登记请求消息中的接入网类型字段,以防止有能力执行3G鉴权方式但拒绝执行基于3G的鉴权方式的恶意用户骗取业务。例如用户使用3G的用户卡和3G的手机,但却在步骤205中返回不支持该鉴权方式的失败消息,这个时候S-CSCF就可以通过判断Register消息中的接入网类型字段来判断该用户是否为恶意用户,如果该字段显示接入网类型为3G网络,那么S-CSCF就可以确定该用户是一个恶意的用户而拒绝其接入。因为2G的用户终端是不能够通过3G的接入网络而接入的。
图3所示为应用本发明的实施例三的流程示意图。本实施例中的用户为使用2G终端的2G用户。
步骤301,当UE需要使用IMS业务时,在IMS域内发起Register,该Register经P-CSCF和I-CSCF到达到S-CSCF,并且,该登记请求消息中包含请求支持Early IMS鉴权方式的标识。
具体实现时,可在Register消息中增加一字段,用于表示请求支持EarlyIMS鉴权方式;也可以在Register消息中通过预设默认值,也即缺省部分消息内容的方法来表示其支持2G过渡的鉴权方式,例如,在Register消息中不包含3G鉴权方式消息中使用的安全消息头security headers,来表示希望使用支持Early IMS鉴权方式;也可以采用其它方法,只要能够表示出请求支持Early IMS鉴权方式的鉴权信息即可。
步骤302,S-CSCF根据接收到的登记请求信息向HSS发送鉴权矢量请求,该鉴权矢量请求中包含请求支持Early IMS鉴权方式标识,同时,该请求消息中还包含有用户的IMPI或IMPU,如果是IMPU,则由HSS根据IMPU找到对应的IMPI。
步骤303,HSS接收到步骤302所述请求后,给S-CSCF返回支持EarlyIMS鉴权方式的鉴权信息,即用户的IMPI与IP地址的绑定信息。
步骤304,S-CSCF收到返回的消息后,采用Early IMS鉴权方式对该用户进行鉴权,即检查来自UE的Register中的用户IP是否与从HSS收到的IMPI与IP地址的绑定信息中的IP地址相匹配,如果匹配则认为该用户是合法用户,并保存该用户的IMPI与IP地址的绑定信息。
上述对UE进行鉴权的工作也可以由HSS完成,如果由HSS执行对UE的鉴权操作,则在步骤302中所发送的鉴权矢量请求中携带请求接入用户的IP地址,HSS检查该IP地址是否与自身保存的IMPI与IP地址的绑定信息中的IP地址相匹配,如果匹配则认为该用户是合法用户,此时,HSS给S-CSCF返回的信息中指示该UE已通过鉴权,同时还包括该用户的IMPI与IP地址的绑定信息,以便S-CSCF在以后的操作中应用;如果不匹配则认为该用户是非法用户,此时,HSS给S-CSCF返回的信息中指示该UE未通过鉴权,即返回鉴权失败的信息。
步骤305,通过鉴权后,S-CSCF向UE发送允许接入的信息。如果鉴权没通过,则S-CSCF向UE发送禁止接入的信息。
另外,为了防止有能力执行3G鉴权方式但拒绝执行基于3G的鉴权方式的恶意用户骗取业务,可在步骤302所发送的鉴权矢量请求中包含接入网类型信息,如果HSS发现该用户是3G用户,且其接入网类型是3G网络,那么就可以断定该用户终端也是3G的终端(因为2G终端不能够连接到3G的接入网上),从而认为该用户应该选择基于3G的鉴权方式,而不是基于Early IMS的鉴权方式。在HSS给S-CSCF的应答消息中,指示出HSS选择3G的鉴权方式并包含相关鉴权信息,而不是给S-CSCF返回基于Early IMS的鉴权方式的鉴权信息。S-CSCF在收到HSS返回的信息后,可以选择使用基于3G的鉴权方式对用户进行鉴权,也可以选择拒绝该用户当前的登记请求。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (20)
1、一种网络侧选择鉴权方式的方法,适用于多媒体子系统网络,其特征在于,该方法包括以下步骤:
a、服务呼叫状态控制功能实体S-CSCF接收到来自用户终端的登记请求后,向归属签约用户服务器HSS发送包含所需鉴权方式标识的鉴权矢量请求;
b、HSS根据所需鉴权方式标识判断S-CSCF是否请求基于Early IMS鉴权方式的鉴权信息,如果是,则执行步骤d;否则,再判断该请求接入用户的类型,如果是3G用户,则给S-CSCF返回支持3G鉴权方式的鉴权信息,然后执行步骤c;如果是2G用户,则执行步骤e;
c、S-CSCF采用基于3G的鉴权方式对请求接入的用户进行鉴权,如果鉴权通过,则给用户返回允许接入的信息,结束;如果鉴权失败且失败原因为不支持该鉴权方式,S-CSCF向HSS发送包含请求Early IMS鉴权方式标识的鉴权矢量请求,然后执行步骤b;
d、HSS给S-CSCF返回基于Early IMS的鉴权信息,由S-CSCF根据获取的采用Early IMS鉴权方式的鉴权结果,给用户终端返回允许接入或拒绝接入的信息,结束;
e、HSS给S-CSCF返回指示不支持该鉴权方式的失败信息,S-CSCF接收到该失败信息后通知用户终端禁止接入,结束。
2、根据权利要求1所述的方法,其特征在于,步骤a所述S-CSCF接收到来自用户终端的登记请求信息中,进一步包括:用户接入网类型信息;
步骤c所述鉴权失败且失败原因为不支持该鉴权方式时,进一步包括:S-CSCF判断该用户接入网类型,如果接入网类型是2G网络,则继续执行后续步骤,如果接入网类型是3G网络,则直接给用户返回拒绝接入的信息。
3、根据权利要求1所述的方法,其特征在于,所述S-CSCF向HSS发送的包含所需鉴权方式标识的鉴权矢量请求中,进一步包括:用户接入网类型信息;
步骤b所述HSS判断出S-CSCF需要基于Early IMS鉴权方式的鉴权信息后,进一步包括:HSS判断该用户接入网类型,如果接入网类型是2G网络,则继续执行后续步骤,如果接入网类型是3G网络,且请求接入的用户是3G用户,则给S-CSCF返回支持3G鉴权方式的鉴权信息,S-CSCF接收到该信息后,或者执行步骤c或者直接给用户返回拒绝接入的信息。
4、根据权利要求1~3所述任一方法,其特征在于,所述支持3G鉴权方式的鉴权信息为AKA鉴权矢量信息;步骤c所述采用3G的鉴权方式对请求接入的用户进行鉴权的过程为:采用AKA协议对用户进行鉴权。
5、根据权利要求1~3所述任一方法,其特征在于,所述支持Early IMS鉴权方式的鉴权信息为用户身份标识和IP地址的绑定信息;步骤d所述S-CSCF获取采用Early IMS鉴权方式的鉴权结果的过程为:S-CSCF检查从用户终端接收到的该用户IP地址与从HSS收到的该用户身份标识和IP地址的绑定信息中的IP地址是否匹配,如果是则通过鉴权,否则该用户不能通过鉴权,从而直接获取鉴权结果。
6、根据权利要求5所述的方法,其特征在于,步骤d所述HSS给S-CSCF返回基于Early IMS的鉴权信息的方法为:
HSS直接给S-CSCF返回基于Early IMS的鉴权信息,或者,
HSS给S-CSCF返回指示不支持该鉴权方式的失败信息,S-CSCF接收到该失败信息后,再向HSS发送包含请求基于Early IMS鉴权方式标识的鉴权矢量请求,HSS根据该请求再给S-CSCF返回基于Early IMS的鉴权信息。
7、根据权利要求1~3所述任一方法,其特征在于,步骤a所述S-CSCF向HSS发送的鉴权矢量请求中进一步包括申请用户的IP地址;所述支持Early IMS鉴权方式的鉴权信息为用户身份标识和IP地址的绑定信息;步骤d所述S-CSCF获取采用Early IMS鉴权方式的鉴权结果的过程为:HSS检查来自S-CSCF的用户的IP地址与自身保存的该用户身份标识和IP地址的绑定信息中的IP地址是否匹配,如果是则通过鉴权,发送鉴权成功的信息给S-CSCF,否则,发送鉴权失败的信息给S-CSCF。
8、根据权利要求1~3所述任一方法,其特征在于,步骤a所述S-CSCF向HSS发送包含所需鉴权方式标识的鉴权矢量请求时,判断来自用户终端的登记请求消息中是否有请求支持Early IMS鉴权方式的标识,如果有,则向HSS发送包含请求支持Early IMS鉴权方式的鉴权矢量请求,否则,向HSS发送包含请求支持3G鉴权方式的鉴权矢量请求。
9、根据权利要求8所述的方法,其特征在于,所述用户终端发送的登记请求消息中包含的请求支持Early IMS鉴权方式的标识,承载于该消息中预先设置的字段中,或者,通过预设的默认值,表示使用支持Early IMS鉴权方式;所述预设的默认值为缺省3G鉴权方式消息中使用的安全消息头securityheaders。
10、根据权利要求1~3所述任一方法,其特征在于,所述S-CSCF发送给HSS的鉴权矢量请求消息中的请求支持Early IMS鉴权方式的标识,承载于该消息中用于标识请求基于3G鉴权方式的字段中。
11、一种网络侧选择鉴权方式的方法,适用于多媒体子系统网络,其特征在于,该方法包括以下步骤:
a、服务呼叫状态控制功能实体S-CSCF接收到来自用户终端的登记请求后,向归属签约用户服务器HSS发送包含所需鉴权方式标识的鉴权矢量请求;
b、HSS根据所需鉴权方式标识判断S-CSCF是否请求基于Early IMS鉴权方式的鉴权信息,如果是,则执行步骤d;否则,再判断该请求接入用户的类型,如果是3G用户,则给S-CSCF返回支持3G鉴权方式的鉴权信息,然后执行步骤c;如果是2G用户,则执行步骤d;
c、S-CSCF采用基于3G的鉴权方式对请求接入的用户进行鉴权,如果鉴权通过,则给用户返回允许接入的信息,结束;如果鉴权失败且失败原因为不支持该鉴权方式,S-CSCF向HSS发送包含请求Early IMS鉴权方式标识的鉴权矢量请求,然后执行步骤b;
d、HSS给S-CSCF返回基于Early IMS的鉴权信息,由S-CSCF根据获取的采用Early IMS鉴权方式的鉴权结果,给用户终端返回允许接入或拒绝接入的信息,结束。
12、根据权利要求11所述的方法,其特征在于,步骤a所述S-CSCF接收到来自用户终端的登记请求信息中,进一步包括:用户接入网类型信息;
步骤c所述鉴权失败且失败原因为不支持该鉴权方式时,进一步包括:S-CSCF判断该用户接入网类型,如果接入网类型是2G网络,则继续执行后续步骤,如果接入网类型是3G网络,则直接给用户返回拒绝接入的信息。
13、根据权利要求11所述的方法,其特征在于,所述S-CSCF向HSS发送的包含所需鉴权方式标识的鉴权矢量请求中,进一步包括:用户接入网类型信息;
步骤b所述HSS判断出S-CSCF需要基于Early IMS鉴权方式的鉴权信息后,进一步包括:HSS判断该用户接入网类型,如果接入网类型是2G网络,则继续执行后续步骤,如果接入网类型是3G网络,且请求接入的用户是3G用户,则给S-CSCF返回支持3G鉴权方式的鉴权信息,S-CSCF接收到该信息后,或者执行步骤c或者直接给用户返回拒绝接入的信息。
14、根据权利要求11~13所述任一方法,其特征在于,所述支持3G鉴权方式的鉴权信息为AKA鉴权矢量信息;步骤c所述采用3G的鉴权方式对请求接入的用户进行鉴权的过程为:采用AKA协议对用户进行鉴权。
15、根据权利要求11~13所述任一方法,其特征在于,所述支持Early IMS鉴权方式的鉴权信息为用户身份标识和IP地址的绑定信息;步骤d所述S-CSCF获取采用Early IMS鉴权方式的鉴权结果的过程为:S-CSCF检查从用户终端接收到的该用户IP地址与从HSS收到的该用户身份标识和IP地址的绑定信息中的IP地址是否匹配,如果是则通过鉴权,否则该用户不能通过鉴权,从而直接获取鉴权结果。
16、根据权利要求15所述的方法,其特征在于,步骤d所述HSS给S-CSCF返回基于Early IMS的鉴权信息的方法为:
HSS直接给S-CSCF返回基于Early IMS的鉴权信息,或者,
HSS给S-CSCF返回指示不支持该鉴权方式的失败信息,S-CSCF接收到该失败信息后,再向HSS发送包含请求基于Early IMS鉴权方式标识的鉴权矢量请求,HSS根据该请求再给S-CSCF返回基于Early IMS的鉴权信息。
17、根据权利要求11~13所述任一方法,其特征在于,步骤a所述S-CSCF向HSS发送的鉴权矢量请求中进一步包括申请用户的IP地址;所述支持EarlyIMS鉴权方式的鉴权信息为用户身份标识和IP地址的绑定信息;步骤d所述S-CSCF获取采用Early IMS鉴权方式的鉴权结果的过程为:HSS检查来自S-CSCF的用户的IP地址与自身保存的该用户身份标识和IP地址的绑定信息中的IP地址是否匹配,如果是则通过鉴权,发送鉴权成功的信息给S-CSCF,否则,发送鉴权失败的信息给S-CSCF。
18、根据权利要求11~13所述任一方法,其特征在于,步骤a所述S-CSCF向HSS发送包含所需鉴权方式标识的鉴权矢量请求时,判断来自用户终端的登记请求消息中是否有请求支持Early IMS鉴权方式的标识,如果有,则向HSS发送包含请求支持Early IMS鉴权方式的鉴权矢量请求,否则,向HSS发送包含请求支持3G鉴权方式的鉴权矢量请求。
19、根据权利要求18所述的方法,其特征在于,所述用户终端发送的登记请求消息中包含的请求支持Early IMS鉴权方式的标识,承载于该消息中预先设置的字段中,或者,通过预设的默认值,表示使用支持Early IMS鉴权方式;所述预设的默认值为缺省3G鉴权方式消息中使用的安全消息头securityheaders。
20、根据权利要求11~13所述任一方法,其特征在于,所述S-CSCF发送给HSS的鉴权矢量请求消息中的请求支持Early IMS鉴权方式的标识,承载于该消息中用于标识请求基于3G鉴权方式的字段中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100938198A CN1294722C (zh) | 2004-09-23 | 2005-08-30 | 网络侧选择鉴权方式的方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200410080104.4 | 2004-09-23 | ||
| CNA2004100801044A CN1642083A (zh) | 2004-09-23 | 2004-09-23 | 网络侧选择鉴权方式的方法 |
| CNB2005100938198A CN1294722C (zh) | 2004-09-23 | 2005-08-30 | 网络侧选择鉴权方式的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1753363A CN1753363A (zh) | 2006-03-29 |
| CN1294722C true CN1294722C (zh) | 2007-01-10 |
Family
ID=36680056
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100938198A Active CN1294722C (zh) | 2004-09-23 | 2005-08-30 | 网络侧选择鉴权方式的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1294722C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101330384B (zh) * | 2007-06-19 | 2011-12-07 | 中兴通讯股份有限公司 | 终端设备鉴权方法 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100562019C (zh) * | 2006-04-24 | 2009-11-18 | 华为技术有限公司 | Ip多媒体子系统中的操作处理方法和归属签约用户服务器 |
| CN101068196B (zh) * | 2006-05-01 | 2010-05-12 | 中兴通讯股份有限公司 | 一种蓝牙手机接入蓝牙网关的业务接入控制方法 |
| CN101106795B (zh) * | 2006-07-12 | 2010-09-08 | 华为技术有限公司 | 一种ims域隐含注册的方法 |
| CN101132279B (zh) * | 2006-08-24 | 2011-05-11 | 华为技术有限公司 | 一种鉴权方法以及鉴权系统 |
| CN100591012C (zh) * | 2006-08-29 | 2010-02-17 | 华为技术有限公司 | 一种鉴权协商方法及一种通讯系统 |
| CN101309439B (zh) * | 2007-05-16 | 2012-06-20 | 华为技术有限公司 | 融合消息能力中心及融合消息业务的发送方法 |
| CN101350748B (zh) * | 2007-07-20 | 2012-02-29 | 中兴通讯股份有限公司 | 获取数据摘要计算参数失败后控制终端接入的方法和系统 |
| CN101188860B (zh) * | 2007-12-19 | 2010-11-10 | 华为技术有限公司 | 一种识别异常终端的方法及装置 |
| CN101577910B (zh) * | 2008-07-29 | 2011-03-16 | 中兴通讯股份有限公司 | 一种ip多媒体子系统中的注册鉴权方法 |
| CN101645901B (zh) * | 2009-09-03 | 2012-10-17 | 烽火通信科技股份有限公司 | Ims网络根据终端能力决策用户鉴权方式的方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002082731A1 (en) * | 2001-04-03 | 2002-10-17 | Nokia Corporation | Registering a user in a communication network |
| WO2003065680A1 (en) * | 2002-01-31 | 2003-08-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for providing multiple sdp media flows in a single pop context |
-
2005
- 2005-08-30 CN CNB2005100938198A patent/CN1294722C/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002082731A1 (en) * | 2001-04-03 | 2002-10-17 | Nokia Corporation | Registering a user in a communication network |
| WO2003065680A1 (en) * | 2002-01-31 | 2003-08-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for providing multiple sdp media flows in a single pop context |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101330384B (zh) * | 2007-06-19 | 2011-12-07 | 中兴通讯股份有限公司 | 终端设备鉴权方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1753363A (zh) | 2006-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1294722C (zh) | 网络侧选择鉴权方式的方法 | |
| CN1642083A (zh) | 网络侧选择鉴权方式的方法 | |
| CN100379315C (zh) | 对用户终端进行鉴权的方法 | |
| CN1885787A (zh) | 一种在用户注册过程中注册异常的处理方法 | |
| CN101573934B (zh) | 在通信网络中的鉴别 | |
| CN101192920B (zh) | 一种应答请求的方法和设备 | |
| CN101193068B (zh) | 一种应答请求的方法和设备 | |
| CN1838610A (zh) | 一种实现网际协议多媒体子系统中用户注册的方法 | |
| CN1878087A (zh) | 服务呼叫会话控制功能实体备份方法及其系统 | |
| EP2250791B1 (en) | Securing contact information | |
| WO2021093997A1 (en) | A method for supporting authentication of a user equipment | |
| CN1871834A (zh) | 提供通信网之间安全通信的方法和系统 | |
| US9692835B2 (en) | Method and apparatuses for the provision of network services offered through a set of servers in an IMS network | |
| CN101645901B (zh) | Ims网络根据终端能力决策用户鉴权方式的方法 | |
| CN1303793C (zh) | 一种实现应用服务器通信的方法 | |
| US8732321B2 (en) | Control entity and method for setting up a session in a communications network, subscriber database and communications network | |
| CN1874279A (zh) | 在用户注册过程中注册异常的处理方法 | |
| CN101064940A (zh) | 一种实现呼叫的方法 | |
| CN100433913C (zh) | 在ip多媒体子系统中实现注册的方法 | |
| CN101001145A (zh) | 支持非ip多媒体业务子系统终端漫游的认证方法 | |
| CN101035029A (zh) | 用户业务数据的查询装置、方法、系统以及多媒体子系统 | |
| CN1968262A (zh) | 一种ims网络中的会话控制方法和装置 | |
| CN1774123A (zh) | 一种防止具有3g能力用户使用过渡鉴权方式的方法 | |
| CN101039334A (zh) | 一种ip地址注销方法 | |
| CN101072230A (zh) | 一种因特网协议多媒体业务子系统的鉴权方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160425 Address after: American California Patentee after: Snaptrack, Inc. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: Huawei Technologies Co., Ltd. |