CN1801706A - 一种ip多媒体子系统网络鉴权系统及方法 - Google Patents
一种ip多媒体子系统网络鉴权系统及方法 Download PDFInfo
- Publication number
- CN1801706A CN1801706A CN 200510006629 CN200510006629A CN1801706A CN 1801706 A CN1801706 A CN 1801706A CN 200510006629 CN200510006629 CN 200510006629 CN 200510006629 A CN200510006629 A CN 200510006629A CN 1801706 A CN1801706 A CN 1801706A
- Authority
- CN
- China
- Prior art keywords
- authentication
- ims network
- cscf
- hlr
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/40—Support for services or applications
- H04L65/4061—Push-to services, e.g. push-to-talk or push-to-video
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种IMS网络鉴权系统,在IMS网络增加一个支持鉴权相关信令的接口,系统包含:用于进行鉴权计算的MS和HLR以及用于传递鉴权相关参数和比较鉴权计算结果的IMS网络。本发明同时提供了一种IMS网络鉴权方法,IMS网络在接收到MS发起的注册请求后,向HLR获取鉴权计算结果或鉴权相关参数,保存该鉴权计算结果并将鉴权相关参数发送给MS,MS根据此参数计算出鉴权计算结果并将其发送给IMS网络,IMS网络判断MS和HLR发送的鉴权计算结果是否一致。本发明对原有电路域的网络设备没有改动,只在IMS网络上增加一个与HLR进行通信的接口,不需IMS网络实体支持传统鉴权算法,实现简单,且保证了鉴权的可靠性和成功率。
Description
技术领域
本发明涉及IP多媒体子系统领域,具体涉及一种IP多媒体子系统网络鉴权系统及方法。
背景技术
目前,IP多媒体子系统(IMS,IP Multimedia Subsystem)网络在标准协议中定义采用AKAv1-MD5算法对用户进行鉴权,因此,用户要想使用IMS网络提供的服务,就必须具有支持此算法的IMS用户识别(ISIM,IMSSubscriber Identity Model)卡。而由于用户识别模块(UIM,User IdentityModule)卡或SIM卡只支持传统的鉴权算法,而不支持AKAv1-MD5算法,因此,那些使用UIM卡或SIM卡的用户无法通过IMS域的鉴权。
为了使只能使用SIM卡的GPRS用户能够接入IMS网络,3GPP制定的IMS标准协议定义了一种名为Early IMS的过程(具体参见3GPP协议TR33.878)。它通过对给移动台(MS,Mobile Station)分配的用户IP地址和MS的国际移动用户识别码(IMSI,International Mobile Subscriber Identity)或移动台国际ISDN码(MSISDN)进行绑定实现了将只支持SIM卡的GPRS用户接入IMS网络,如图1所示,具体过程如下:
a、MS向GPRS网络发起接入请求,请求消息中带有IMSI或MSISDN,网关GPRS支持节点(GGSN,Gateway GPRS Support Node)给MS分配用户IP地址。
b、GGSN通过一个新定义的Gi接口将用户IP地址和对应的MS的IMSI或MSISDN通知IMS网络的归属用户服务器(HSS,Home Subscriber Server),由HSS进行保存。
c、MS向IMS网络的服务呼叫会话控制功能(S-CSCF,Serving Call SessionControl Function)发起注册请求,注册请求消息中带有IMS私有用户标识(IMPI,IM Private Identity)和MS的接入IP地址。
IMPI是MS自身具有的参数,且注册请求消息带有该参数。
d、S-CSCF根据接收到的IMPI向HSS查询与之对应的IMSI或MSISDN,进而查找到对应的用户IP地址。
在MS开户时,HSS保存用户的IMSI或MSISDN和IMPI,并建立IMSI或MSISDN和IMPI的对应关系。
e、S-CSCF判断注册请求消息中携带的MS的接入IP地址和步骤d中查到的HSS保存的对应用户IP地址是否一致,若是,判定鉴权通过、MS注册成功;否则,判定鉴权没通过、MS注册失败。
这种简单地使用用户IP地址对用户进行合法性判断的方法只是一种很初级的安全措施,实际上没有执行任何鉴权算法,非法终端只要使用与HSS中保存的用户IP地址相同的IP地址发起注册请求,且在请求消息中带有与该IP地址对应的IMPI,就可以很容易地接入IMS网络,这样会对被假冒的用户造成经济损失;另外,IMS网络要求MS的接入IP地址必须为公网IP地址,若是私网IP地址,那么IMS网络会对其进行地址转换,转换后的地址与MS的接入IP地址不同,这样HSS查找对应关系就会失败,从而MS注册失败,所以该方法要求接入IP地址必须为公网IP地址,在现有IP地址资源有限的情况下,其应用会受到限制。
发明内容
有鉴于此,本发明的主要目的在于提供一种IMS网络鉴权系统及方法,以实现IMS网络对只支持传统鉴权算法的MS进行鉴权,以避免用户的经济损失,同时保证MS鉴权成功。
为达到上述目的,本发明的技术方案是这样实现的:
一种IP多媒体子系统IMS网络鉴权系统,包括移动台MS和IMS网络,进一步包括归属位置寄存器HLR,且在IMS网络增加一个支持鉴权相关信令的接口,所述IMS网络通过所述接口连接到所述HLR,其中,
HLR用于在接收到IMS网络的鉴权请求消息后,进行鉴权计算,将鉴权计算结果和鉴权必要参数发送给IMS网络;
MS进一步用于接收IMS网络发送来的鉴权必要参数,进行鉴权计算,并将鉴权计算结果发送给IMS网络;
IMS网络进一步用于转发鉴权必要参数,并比较来自HLR和MS的鉴权计算结果,若两者一致,判定鉴权成功;否则,判定鉴权失败。
所述IMS网络包括:
呼叫会话控制功能CSCF:用于在接收到MS的注册请求消息后,向归属用户服务器HSS获取鉴权集,并将HSS发送来的鉴权必要参数传递给MS,同时用于接收并保存HLR的鉴权计算结果以及接收MS的鉴权计算结果,并将HLR和MS的鉴权计算结果进行比较;
HSS:用于在接收到CSCF获取鉴权集的消息后,向HLR发送鉴权请求消息,同时用于将HLR发送来的鉴权必要参数和鉴权计算结果传递给CSCF。
所述CSCF包括:
代理CSCF:用于接收MS的注册请求消息和鉴权计算结果,将它们传递给问讯CSCF,并用于接收问讯CSCF发送来的鉴权必要参数,将其传递给MS;
问讯CSCF:用于接收代理CSCF发送来的MS的注册请求消息和鉴权计算结果,将它们传递给服务CSCF,并用于接收服务CSCF发送来的鉴权必要参数,将其传递给代理CSCF;
服务CSCF:用于在接收到问讯CSCF传递来的MS的注册请求消息后向HSS获取鉴权集,并用于接收HSS发送来的鉴权必要参数,将其传递给问讯CSCF,同时用于接收和保存HSS传递来的HLR的鉴权计算结果以及接收问讯CSCF传递来的MS的鉴权计算结果,然后将HLR和MS的鉴权计算结果进行比较。
一种在IMS网络鉴权系统中进行的IMS网络鉴权方法,所述系统包括MS、HLR和IMS网络,该方法包括:
A、IMS网络接收到MS发送的注册请求消息后向HLR获取鉴权集,HLR进行鉴权计算,将鉴权计算结果和鉴权必要参数发送给IMS网络,IMS网络保存该鉴权计算结果,并将鉴权必要参数发送给MS;
B、MS得到鉴权必要参数后,进行鉴权计算,并将鉴权计算结果发送给IMS网络;
C、IMS网络比较MS和HLR发送来的鉴权计算结果,若一致,判定鉴权成功;否则,判定鉴权失败。
所述IMS网络包括CSCF和HSS,其中步骤A所述IMS网络接收到MS发送的注册请求消息为CSCF接收,步骤A所述HLR将鉴权计算结果和鉴权必要参数发送给IMS网络为向HSS发送,步骤A所述IMS网络保存鉴权计算结果为HSS保存,步骤B所述MS将鉴权计算结果发送给IMS网络为发送给CSCF,同时,步骤C所述比较MS和HLR发送来的鉴权计算结果是在CSCF中进行的。
所述进行鉴权计算采用CDMA系统的CAVE算法。
步骤A所述HLR自身保存的参数或步骤B所述MS自身保存的参数包括共享加密数据SSD。
所述方法进一步包括更新SSD的步骤,所述更新SSD的步骤包括:
a、HLR向IMS网络发起SSD更新请求,请求消息中带有鉴权随机数、鉴权计算结果和SSD更新随机数,IMS网络接收到更新请求后保存HLR的鉴权计算结果,然后给MS发送要求重新注册的消息,并将SSD更新随机数发送给MS;
b、MS根据自身产生的基站查询随机数计算并保存基站查询结果,然后向IMS网络发起注册请求,请求消息中带有基站查询随机数,IMS网络接收到消息后要求HLR进行基站查询,HLR根据基站查询随机数计算基站查询结果,将该结果通过HSS返回给MS;
c、MS判断自身计算得到的基站查询结果和HLR返回的基站查询结果是否一致,若是,根据SSD更新随机数更新SSD,并根据此SSD和鉴权随机数计算鉴权计算结果,将鉴权计算结果发送给IMS网络;
d、IMS网络判断MS和HLR的发送来的鉴权计算结果是否一致,若是,通知HLR,HLR更新自身的SSD;否则,本流程结束。
步骤a所述IMS网络将更新随机数发送给MS是通过IMS网络的HSS发送给IMS网络的CSCF的注销消息携带的,然后由CSCF传递给MS。
步骤a所述IMS网络将更新随机数发送给MS是通过IMS网络的HSS给IMS网络的CSCF发送的多媒体鉴权响应消息携带的,然后由CSCF传递给MS,同时,
所述步骤a在IMS网络给MS发送要求重新注册的消息之后、给MS发送更新随机数之前进一步包括,MS向CSCF发送注册请求消息,CSCF接收到该消息后向HSS发送MAR消息,然后HSS将更新随机数通过MAA消息发送给CSCF。
所述进行鉴权计算采用GSM系统的A3或A8算法。
与现有技术相比,本发明对原有电路域的网络设备没有改动,只通过在IMS网络增加一个支持鉴权相关信令的接口,将HLR发送来的鉴权相关参数转换为IMS网络自身支持的参数,使得传统鉴权算法所需参数能够在IMS网络上传递,而鉴权算法仍然在MS和HLR上实现,不需IMS网络实体支持传统鉴权算法,实现简单,同时本发明与MS的接入IP地址无关,通过传统鉴权算法实现IMS网络的鉴权,保证了鉴权的可靠性和成功率。
附图说明
图1为IMS网络对GPRS用户进行鉴权的Early IMS过程示意图;
图2为本发明提供的IMS网络鉴权系统的组成图;
图3是本发明提供的IMS网络对只支持UIM卡的CDMA用户进行鉴权的流程图;
图4为网络侧发起的SSD更新的具体实施例一的流程图;
图5为网络侧发起的SSD更新的具体实施例二的流程图;
图6为本发明提供的IMS网络对只支持SIM卡的GSM用户进行鉴权的流程图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
图2是本发明提供的IMS网络鉴权系统的组成图,如图2所示,该系统主要包括:
MS:用于向IMS网络发送注册请求消息,在本系统中进一步用于接收IMS网络发送来的鉴权必要参数,并将自身计算出的鉴权计算结果发送给IMS网络。
HLR:在本系统中进一步用于在接收到IMS网络的鉴权请求消息后,将自身保存的鉴权必要参数和自身计算出的鉴权计算结果发送给IMS网络。
HLR属于电路域的设备,在本发明中与IMS网络和MS一起共同实现IMS网络的鉴权。
IMS网络:用于接收MS的注册请求消息,在本系统中进一步用于在接收到MS的注册请求消息后向HLR发起鉴权请求,并将HLR发送来的鉴权必要参数传递给MS,同时用于接收和保存HLR的鉴权计算结果以及接收MS的鉴权计算结果,并将HLR和MS的鉴权计算结果进行比较。
IMS网络主要包括:
CSCF:用于接收MS的注册请求消息,在本系统中进一步用于在接收到MS的注册请求消息后向HSS获取鉴权集,并将HSS发送来的鉴权必要参数传递给MS,同时用于接收并保存HSS发送来的HLR的鉴权计算结果以及接收MS的鉴权计算结果,并将HLR和MS的鉴权计算结果进行比较。
HSS:在本系统中进一步用于在接收到CSCF获取鉴权集的消息后,向HLR发送鉴权请求消息,同时用于将HLR发送来的鉴权必要参数和鉴权计算结果传递给CSCF。
其中,CSCF主要包括:
代理CSCF(P-CSCF):用于接收MS的注册请求消息,将其传递给I-CSCF,在本系统中进一步用于接收I-CSCF发送来的鉴权必要参数,将其传递给MS,同时用于接收MS的鉴权计算结果,将其传递给I-CSCF。
I-CSCF:用于接收P-CSCF传递来的MS的注册请求消息,将其传递给S-CSCF,在本系统中进一步用于接收S-CSCF发送来的鉴权必要参数,将其传递给P-CSCF,并接收MS的鉴权计算结果,将其传递给S-CSCF。
S-CSCF:用于接收I-CSCF传递来的MS的注册请求消息,在本系统中进一步用于在接收到MS的注册请求消息后向HSS获取鉴权集,并用于接收HSS发送来的鉴权必要参数,将其传递给I-CSCF,并接收和保存HSS传递来的HLR的鉴权计算结果以及接收MS的鉴权计算结果,然后将HLR和MS的鉴权计算结果进行比较。
由图2可以看出,本发明需要在IMS网络的HSS上新增加一个网络接口,该接口上运行MAP信令,遵循MAP协议,以与电路域的归属位置寄存器(HLR,Home Location Register)进行鉴权相关信令和数据的交换,从而在IMS域实现传统鉴权算法。通过这个接口,HSS充当电路域拜访位置寄存器(VLR,Visitor Location Register)的地位。
对于CDMA系统,该新增接口遵循CDMA的MAP协议TIA/EIA-41D;对于GSM系统,该新增接口遵循GSM的MAP协议TS 29.002。
要在IMS域实现传统鉴权算法,IMS网络必须能够传递实现算法的关键参数,具体实现过程是:
一、对于CDMA系统,其UIM卡支持的传统鉴权算法即CAVE算法中的关键参数有:鉴权密钥(A_Key)、电子序列号(ESN,Electronic Serial Number)、IMSI和一个随机数Rand,其中:
1、A_Key在MS和HLR中已经存在,不需要也不允许在IMS网络中传递。
2、ESN和IMSI可在MS开户时保存在IMS网络的HSS中,并与用户的IMPI建立起一一对应关系。当用户发起鉴权流程时,HSS根据用户的IMPI查找到对应ESN和IMSI填入到发送给HLR的鉴权消息中。
3、Rand参数在IMS网络支持的会话发起协议(SIP,Session InitiationProtocol)中已有对应参数。
二、对于GSM系统,其SIM卡支持的传统鉴权算法即A3/A8算法中的关键参数有:鉴权密钥(Ki)、IMSI和一个随机数Rand,其中:
1、Ki在MS和HLR中已经存在,不需要也不允许在IMS网络中传递。
2、IMSI可在MS开户时保存在IMS网络的HSS中,并与用户的IMPI建立起一一对应关系。当用户发起鉴权流程时,HSS根据用户的IMPI查找到对应IMSI填入到发送给HLR的鉴权消息中。
3、Rand在IMS网络支持的SIP中已有对应参数。
通过上述过程,传统鉴权算法的关键参数已经具备在IMS网络中传递的基础。
需要注意的是,在CDMA系统中,A_Key并不直接参与CAVE算法,而是由其生成的共享加密数据SSD(SSD,Shared Secret Data)参与CAVE算法。
以下是本发明提供的IMS网络鉴权方法的具体实施例,为便于理解,将具体实施例中的信令消息罗列如下:
SIP信令:注册请求消息(REGISTER),401 Unauthorized消息,200 OK消息,403 Forbidden消息,NOTIFY消息;
Diameter信令:多媒体鉴权消息(MAR),多媒体鉴权响应消息(MAA),SAR,SAA,注销消息(RTR),注销响应消息(RTA);
MAP信令:鉴权请求消息(AUTHREQ),鉴权请求响应消息(authreq),鉴权状态报告消息(ASREPORT),鉴权状态报告响应消息(asreport),基站查询消息(BSCHALL),基站查询响应消息(bschall),鉴权指示消息(AUTHDIR),鉴权指示响应消息(authdir),鉴权请求消息(MAP_SEND_AUTHENTICATION_INFO Request),鉴权请求响应消息(MAP_SEND_AUTHENTICATION_INFO Response)。
在以下描述中提到的MS向S-CSCF发送的消息都是经P-CSCF和I-CSCF传递给S-CSCF的,同样S-CSCF向MS发送的消息都是经I-CSCF和P-CSCF传递给MS的。
图3是本发明提供的IMS网络对只支持UIM卡的CDMA用户进行鉴权的流程图,如图3所示,具体步骤如下:
a:MS通过REGISTER消息向IMS网络的S-CSCF发起注册请求,消息中带有参数IMPI。
b:S-CSCF接收到REGISTER消息后,向HSS发送MAR消息以获取鉴权集,消息中带有参数IMPI。
c:HSS接收到MAR消息,通过该消息携带的IMPI检索到对应的ESN和IMSI,然后向HLR发送AUTHREQ消息,消息中带有参数IMSI和ESN,但不带有鉴权计算结果参数AUTHR。
d:HLR接收到AUTHREQ消息后,由于AUTHREQ消息中不带AUTHR参数,HLR根据自身保存的参数SSD和随机数RANDU以及AUTHREQ消息携带的参数ESN和IMSI,计算出独特查询结果AUTHU,然后给HSS返回authreq响应消息以指示HSS发起独特查询请求,消息中带有鉴权集参数:独特查询随机数RANDU和独特查询结果参数AUTHU。
e:HSS接收到authreq响应消息后,将该消息携带的鉴权集参数RANDU和AUTHU进行转换,分别映射为IMS域的鉴权集参数RAND和XRES,并将它们通过MAA消息返回给S-CSCF。
f:S-CSCF接收到MAA消息,保存HLR的独特查询结果XRES,并给MS返回401 Unauthorized响应消息以指示MS进行鉴权,消息中带有参数RAND。
g:MS得到RAND之后,结合自身保存的参数SSD以及ESN和IMSI,通过CAVE算法计算出鉴权计算结果,填入SIP信令的RES参数中,并通过新的REGISTER消息通知IMS网络的S-CSCF。
h:S-CSCF判断MS返回的鉴权计算结果RES和HLR生成的独特查询结果XRES是否一致,若是,认为鉴权通过,通过SAR消息向HSS报告并要求下载用户数据,执行步骤i;否则,认为鉴权没通过,向HSS发送MAR消息通知HSS鉴权失败,并给MS返回403 Forbidden响应消息,本流程结束。
i:HSS接收到SAR消息后,向HLR发送ASREPORT消息,消息中的参数独特查询报告UCREPORT=SUCCESS以表明独特查询成功。
j:HLR接收到ASREPORT消息后,返回给HSS一个不带任何参数的asreport消息,以表明鉴权通过。
k:HSS接收到asreport消息,更新用户状态信息,并通过SAA消息给S-CSCF返回用户签约数据。
l:S-CSCF接收到SAA消息给MS返回200 OK响应消息,表明用户注册成功。
由于CAVE算法中,A_Key并不直接参与运算,而是由通过A_Key计算出的SSD来参与运算,而MS和HLR中的SSD是有可能会出现不一致的情况,因此网络侧需要发起SSD的更新流程。
图4是网络侧主动发起SSD更新的具体实施例一的流程图,如图4所示,其具体步骤如下:
a:HLR通过AUTHDIR消息向HSS发起SSD更新请求,消息中带有SSD更新的随机数RANDSSD以及独特查询随机数RANDU和独特查询结果AUTHU。
b:HSS接收到AUTHDIR消息后,保存独特查询随机数RANDU和独特查询操作结果AUTHU,并通过RTR消息通知S-CSCF注销用户,RTR中带有HLR上报的参数RANDSSD。
RTR是由DIAMETER协议制定的消息,在这里,需扩展DIAMETER协议,在RTR中增加RANDSSD参数。
c:S-CSCF接收到RTR消息后,通过NOTIFY消息通知MS进行重注册,消息中的参数Require=SSDUpdate用以指示MS发起SSD更新,且消息中带有SSD更新随机数RANDSSD,其中,Authorization=RANDSSD。
d:MS给S-CSCF返回200 OK响应消息。
e:S-CSCF给HSS返回RTA响应消息,RTA消息是步骤b中RTR消息的响应消息。
f:HSS给HLR返回不带任何参数的authdir响应消息,authdir消息是步骤a中AUTHDIR消息的响应消息。
g:由于网络要求MS进行SSD更新,MS会先对网络进行鉴权,MS产生一个基站查询随机数RANDBS,根据此随机数和自身保存的SSD、ESN和IMSI,通过CAVE算法计算出一个基站查询结果,并保存该结果,然后通过REGISTER消息向S-CSCF发起重注册请求,消息中带有参数IMPI,同时带有基站查询随机数RANDBS,以指示IMS网络进行基站查询。
h:S-CSCF接收到带有RANDBS的REGISTER消息,通过MAR消息将RANDBS发送给HSS,消息中同时带有参数IMPI,并且在消息中通过参数SIP-Authentication-Scheme指示HSS发起基站查询,其中,SIP-Authorization=RANDBS。
i:HSS接收到MAR消息后,根据IMPI查找到对应的ESN和IMSI,然后向HLR发送BSCHALL消息,消息中带有参数ESN、IMSI和RANDBS。
j:HLR根据自身保存的参数SSD以及BSCHALL消息携带的参数ESN、IMSI和RANDBS,通过CAVE算法计算得到基站查询结果AUTHBS,将该结果通过bschall响应消息返回给HSS。
k:HSS接收到bschall响应消息,通过MAA消息向S-CSCF返回基站查询结果AUTHBS,消息中同时带有独特查询随机数RANDU和独特查询结果AUTHU,以要求S-CSCF同时对MS进行独特查询。
l:S-CSCF接收到MAA消息后,保存HLR的独特查询结果AUTHU,并向MS返回401 Unauthorized响应消息,消息中带有基站查询结果AUTHBS,同时带有独特查询随机数RANDU以告知MS在SSD更新完毕之后需要进行独特查询。
m:MS判断HLR计算出的基站查询结果AUTHBS是否与步骤d中自身计算得到的基站查询结果相匹配,若是,则根据A_Key、RANDSSD、ESN和IMSI通过CAVE算法更新MS中的SSD,然后用新的SSD执行独特查询操作,通过CAVE算法计算出独特查询结果AUTHU,在新发送的REGISTER消息中带给S-CSCF,执行步骤n;否则,认为鉴权没通过,本流程结束。
在这里,在MS判定HLR计算出的基站查询结果AUTHBS与步骤d中自身计算得到的基站查询结果不匹配时,MS也可能重新通过REGISTER消息向IMS网络发起注册请求,消息中不携带鉴权计算结果以表明网络鉴权没通过、需要重新进行鉴权。
n:S-CSCF判断MS上报的AUTHU和步骤k中HSS上报的AUTHU是否一致,若是,则表示独特查询通过,S-CSCF向HSS发送SAR消息以表明鉴权成功并取用户数据,执行步骤o;否则,S-CSCF向HSS发送MAR消息以表明鉴权失败,并给MS返回403 Forbidden消息,本流程结束。
o:HSS接收到SAR消息后,通过ASREPORT消息将独特查询成功和SSD更新成功的结果报告给HLR,其中参数独特查询结果报告UCREPORT=SUCCESS表示独特查询成功,SSD更新结果报告SSDUPRPT=SUCCESS表示SSD更新成功。
p:HLR接收到ASREPORT消息,认为SSD更新成功,刷新自身保存的SSD,然后给HSS返回不带任何参数的asreport响应消息,表示鉴权过程结束。
在这里,HLR已经根据自身保存的A_Key、RANDSSD以及ESN和IMSI计算出SSD。
q:HSS接收到asreport响应消息,更新用户状态信息,并通过SAA消息给S-CSCF返回用户签约数据。
r:S-CSCF接收到SAA消息给MS返回200 OK响应,表明用户注册成功。
在SSD更新的流程中,也可以不扩展DIAMETER协议,即在图4所示流程图的步骤b中的RTR消息中不携带告知MS需要进行SSD更新的参数RANDSSD,而是在MS发起重注册时通过401 Unauthorized消息来告知,图5为本实施例的流程图,如图5所示,具体步骤如下:
步骤a、d~f与图4的对应步骤相同。
步骤b改为:HSS接收到AUTHDIR消息后,通过RTR消息通知CSCF的S-CSCF注销用户,消息中不需带有RANDSSD。
步骤c的NOTIFY消息不带有参数RANDSSD。
在这里,NOTIFY消息中的参数RANDSSD是可选的。
步骤g~j为:
g:MS通过REGISTER消息向S-CSCF发起注册请求,消息中带有IMPI参数。
h:S-CSCF接收到REGISTER消息,向HSS发送MAR消息以获取鉴权集,消息中带有IMPI参数。
i:HSS接收到MAR消息后,向S-CSCF发送MAA消息,消息中带有参数RANDSSD以指示S-CSCF对MS发起SSD更新流程。
j:S-CSCF接收到MAA消息,向MS发送401 Unauthorized消息,消息中带有参数RANDSSD以通知MS发起SSD更新流程。
步骤k~v与图4的步骤g~r相同。
在IMS网络实现对只支持SIM卡的GSM用户进行鉴权的流程,即如图6所示与图3基本相似,不同之处在于:
1、由于GSM的传统鉴权算法:A3/A8算法中的关键参数不包括ESN,所以步骤c中HSS接收到MAR消息后,通过该消息携带的IMPI检索到的是对应的IMSI,向HLR发送MAP_SEND_AUTHENTICATION_INFO Request消息,消息中只需带有参数IMSI。
GSM系统的鉴权请求消息和鉴权请求响应消息与CDMA系统的不同。
2、步骤d中HLR给HSS返回MAP_SEND_AUTHENTICATION_INFOResponse消息,消息中带有的独特查询结果参数为SRES,而不是AUTHU,独特查询随机数为RAND,而不是RANDU。
3、步骤e中HSS接收到MAP_SEND_AUTHENTICATION_INFO Response消息后,只将该消息携带的鉴权集参数SRES映射为IMS域的鉴权集参数XRES即可,这是因为在GSM系统中独特查询随机数RAND与IMS网络的RAND一致,不必再进行转换。
4、步骤d和g中参与鉴权算法的参数是:Ki、IMSI和RAND。
5、不包括图3所示的步骤i和j,图6的步骤i和j分别对应图3的步骤k和l,且步骤i中HSS是在接收到SAR消息后给S-CSCF返回带有用户签约数据的SAA响应消息。
在GSM系统的鉴权算法A3/A8中,Ki是直接参与运算的。
以上所述仅为本发明的过程及方法实施例,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1、一种IP多媒体子系统IMS网络鉴权系统,包括移动台MS和IMS网络,其特征在于,进一步包括归属位置寄存器HLR,且在IMS网络增加一个支持鉴权相关信令的接口,所述IMS网络通过所述接口连接到所述HLR,其中,
HLR用于在接收到IMS网络的鉴权请求消息后,进行鉴权计算,将鉴权计算结果和鉴权必要参数发送给IMS网络;
MS进一步用于接收IMS网络发送来的鉴权必要参数,进行鉴权计算,并将鉴权计算结果发送给IMS网络;
IMS网络进一步用于转发鉴权必要参数,并比较来自HLR和MS的鉴权计算结果,若两者一致,判定鉴权成功;否则,判定鉴权失败。
2、如权利要求1所述的系统,其特征在于,所述IMS网络包括:
呼叫会话控制功能CSCF:用于在接收到MS的注册请求消息后,向归属用户服务器HSS获取鉴权集,并将HSS发送来的鉴权必要参数传递给MS,同时用于接收并保存HLR的鉴权计算结果以及接收MS的鉴权计算结果,并将HLR和MS的鉴权计算结果进行比较;
HSS:用于在接收到CSCF获取鉴权集的消息后,向HLR发送鉴权请求消息,同时用于将HLR发送来的鉴权必要参数和鉴权计算结果传递给CSCF。
3、如权利要求2所述的系统,其特征在于,所述CSCF包括:
代理CSCF:用于接收MS的注册请求消息和鉴权计算结果,将它们传递给问讯CSCF,并用于接收问讯CSCF发送来的鉴权必要参数,将其传递给MS;
问讯CSCF:用于接收代理CSCF发送来的MS的注册请求消息和鉴权计算结果,将它们传递给服务CSCF,并用于接收服务CSCF发送来的鉴权必要参数,将其传递给代理CSCF;
服务CSCF:用于在接收到问讯CSCF传递来的MS的注册请求消息后向HSS获取鉴权集,并用于接收HSS发送来的鉴权必要参数,将其传递给问讯CSCF,同时用于接收和保存HSS传递来的HLR的鉴权计算结果以及接收问讯CSCF传递来的MS的鉴权计算结果,然后将HLR和MS的鉴权计算结果进行比较。
4、一种在IMS网络鉴权系统中进行的IMS网络鉴权方法,所述系统包括MS、HLR和IMS网络,其特征在于,该方法包括:
A、IMS网络接收到MS发送的注册请求消息后向HLR获取鉴权集,HLR进行鉴权计算,将鉴权计算结果和鉴权必要参数发送给IMS网络,IMS网络保存该鉴权计算结果,并将鉴权必要参数发送给MS;
B、MS得到鉴权必要参数后,进行鉴权计算,并将鉴权计算结果发送给IMS网络;
C、IMS网络比较MS和HLR发送来的鉴权计算结果,若一致,判定鉴权成功;否则,判定鉴权失败。
5、如权利要求4所述的方法,其特征在于,所述IMS网络包括CSCF和HSS,其中步骤A所述IMS网络接收到MS发送的注册请求消息为CSCF接收,步骤A所述HLR将鉴权计算结果和鉴权必要参数发送给IMS网络为向HSS发送,步骤A所述IMS网络保存鉴权计算结果为HSS保存,步骤B所述MS将鉴权计算结果发送给IMS网络为发送给CSCF,同时,步骤C所述比较MS和HLR发送来的鉴权计算结果是在CSCF中进行的。
6、如权利要求4所述的方法,其特征在于,所述进行鉴权计算采用CDMA系统的CAVE算法。
7、如权利要求6所述的方法,其特征在于,步骤A所述HLR自身保存的参数或步骤B所述MS自身保存的参数包括共享加密数据SSD。
8、如权利要求7所述的方法,其特征在于,所述方法进一步包括更新SSD的步骤,所述更新SSD的步骤包括:
a、HLR向IMS网络发起SSD更新请求,请求消息中带有鉴权随机数、鉴权计算结果和SSD更新随机数,IMS网络接收到更新请求后保存HLR的鉴权计算结果,然后给MS发送要求重新注册的消息,并将SSD更新随机数发送给MS;
b、MS根据自身产生的基站查询随机数计算并保存基站查询结果,然后向IMS网络发起注册请求,请求消息中带有基站查询随机数,IMS网络接收到消息后要求HLR进行基站查询,HLR根据基站查询随机数计算基站查询结果,将该结果通过HSS返回给MS;
c、MS判断自身计算得到的基站查询结果和HLR返回的基站查询结果是否一致,若是,根据SSD更新随机数更新SSD,并根据此SSD和鉴权随机数计算鉴权计算结果,将鉴权计算结果发送给IMS网络;
d、IMS网络判断MS和HLR的发送来的鉴权计算结果是否一致,若是,通知HLR,HLR更新自身的SSD;否则,本流程结束。
9、如权利要求8所述的方法,其特征在于,步骤a所述IMS网络将更新随机数发送给MS是通过IMS网络的HSS发送给IMS网络的CSCF的注销消息携带的,然后由CSCF传递给MS。
10、如权利要求8所述的方法,其特征在于,步骤a所述IMS网络将更新随机数发送给MS是通过IMS网络的HSS给IMS网络的CSCF发送的多媒体鉴权响应消息携带的,然后由CSCF传递给MS,同时,
所述步骤a在IMS网络给MS发送要求重新注册的消息之后、给MS发送更新随机数之前进一步包括,MS向CSCF发送注册请求消息,CSCF接收到该消息后向HSS发送MAR消息,然后HSS将更新随机数通过MAA消息发送给CSCF。
11、如权利要求4所述的方法,其特征在于,所述进行鉴权计算采用GSM系统的A3或A8算法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510006629 CN1801706B (zh) | 2005-01-07 | 2005-01-07 | 一种ip多媒体子系统网络鉴权系统及方法 |
| PCT/CN2006/000019 WO2006072219A1 (fr) | 2005-01-07 | 2006-01-09 | Systeme d'authentification d'un reseau de sous-systeme multimedia ip et procede associe |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510006629 CN1801706B (zh) | 2005-01-07 | 2005-01-07 | 一种ip多媒体子系统网络鉴权系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1801706A true CN1801706A (zh) | 2006-07-12 |
| CN1801706B CN1801706B (zh) | 2010-04-28 |
Family
ID=36647421
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200510006629 Expired - Fee Related CN1801706B (zh) | 2005-01-07 | 2005-01-07 | 一种ip多媒体子系统网络鉴权系统及方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN1801706B (zh) |
| WO (1) | WO2006072219A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008025280A1 (fr) * | 2006-08-24 | 2008-03-06 | Huawei Technologies Co., Ltd. | Procédé et système d'authentification |
| WO2008134930A1 (fr) * | 2007-04-30 | 2008-11-13 | Huawei Technologies Co., Ltd. | Procédé, appareil et système de traitement de message dans un réseau ims |
| CN103701780A (zh) * | 2013-12-13 | 2014-04-02 | 大唐移动通信设备有限公司 | 一种鉴权方法和系统 |
| WO2016078352A1 (zh) * | 2014-11-18 | 2016-05-26 | 中兴通讯股份有限公司 | Ssd更新方法、移动交换中心、通信系统及相关存储介质 |
| CN105636034A (zh) * | 2014-10-30 | 2016-06-01 | 南京悠信网络科技有限公司 | 一种用户设备的鉴权方法及装置 |
| CN108632991A (zh) * | 2017-03-16 | 2018-10-09 | 中国移动通信集团公司 | 一种VoLTE用户注册方法、MME及终端 |
| WO2019114320A1 (zh) * | 2017-12-14 | 2019-06-20 | 大唐移动通信设备有限公司 | 一种ims用户的注册方法及装置 |
| CN111641949A (zh) * | 2019-03-01 | 2020-09-08 | 华为技术有限公司 | 一种认证结果更新的方法和通信装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030159067A1 (en) * | 2002-02-21 | 2003-08-21 | Nokia Corporation | Method and apparatus for granting access by a portable phone to multimedia services |
| AU2002314148A1 (en) * | 2002-06-07 | 2003-12-22 | Siemens Aktiengesellschaft | Method and device for authenticating a subscriber for utilizing services in a wireless lan (wlan) |
| WO2004019641A1 (de) * | 2002-08-16 | 2004-03-04 | Siemens Aktiengesellschaft | Verfahren zum authentifizieren eines nutzers eines kommunikationsendgeräts beim registrieren in einem und bei nutzung von einem dienstnetz |
| DE10238928B4 (de) * | 2002-08-22 | 2009-04-30 | Nokia Siemens Networks Gmbh & Co.Kg | Verfahren zur Authentifizierung eines Nutzers eines Kommunikationsendgerätes bei Nutzung eines Dienstnetzes |
-
2005
- 2005-01-07 CN CN 200510006629 patent/CN1801706B/zh not_active Expired - Fee Related
-
2006
- 2006-01-09 WO PCT/CN2006/000019 patent/WO2006072219A1/zh not_active Application Discontinuation
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008025280A1 (fr) * | 2006-08-24 | 2008-03-06 | Huawei Technologies Co., Ltd. | Procédé et système d'authentification |
| WO2008134930A1 (fr) * | 2007-04-30 | 2008-11-13 | Huawei Technologies Co., Ltd. | Procédé, appareil et système de traitement de message dans un réseau ims |
| CN101043526B (zh) * | 2007-04-30 | 2010-08-04 | 华为技术有限公司 | 在ims网络中处理消息的方法、装置及系统 |
| CN103701780A (zh) * | 2013-12-13 | 2014-04-02 | 大唐移动通信设备有限公司 | 一种鉴权方法和系统 |
| CN105636034A (zh) * | 2014-10-30 | 2016-06-01 | 南京悠信网络科技有限公司 | 一种用户设备的鉴权方法及装置 |
| WO2016078352A1 (zh) * | 2014-11-18 | 2016-05-26 | 中兴通讯股份有限公司 | Ssd更新方法、移动交换中心、通信系统及相关存储介质 |
| CN108632991A (zh) * | 2017-03-16 | 2018-10-09 | 中国移动通信集团公司 | 一种VoLTE用户注册方法、MME及终端 |
| CN108632991B (zh) * | 2017-03-16 | 2021-02-23 | 中国移动通信集团公司 | 一种VoLTE用户注册方法、MME及终端 |
| WO2019114320A1 (zh) * | 2017-12-14 | 2019-06-20 | 大唐移动通信设备有限公司 | 一种ims用户的注册方法及装置 |
| US11381607B2 (en) | 2017-12-14 | 2022-07-05 | Datang Mobile Communications Equipment Co., Ltd. | IMS user registration method and device |
| CN111641949A (zh) * | 2019-03-01 | 2020-09-08 | 华为技术有限公司 | 一种认证结果更新的方法和通信装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006072219A1 (fr) | 2006-07-13 |
| CN1801706B (zh) | 2010-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1870822A (zh) | 一种非ims移动终端接入ims域的鉴权注册方法及装置 | |
| CN1801706A (zh) | 一种ip多媒体子系统网络鉴权系统及方法 | |
| CN1870812A (zh) | Ip多媒体子系统接入域安全机制的选择方法 | |
| US9491729B2 (en) | Connecting a circuit-switched wireless access network to an IP multimedia subsystem | |
| CN1852553A (zh) | 一种对终端用户标识模块进行ip多媒体域鉴权的方法 | |
| CN1859093A (zh) | 在ip多媒体子系统中认证用户终端的方法 | |
| CN1842084A (zh) | 实现ims和cs业务并发时的终端能力交互和路由控制的方法 | |
| CN1849837A (zh) | 用于在访问多媒体服务时验证用户的设备及方法 | |
| CN1801815A (zh) | 一种实现初始因特网协议多媒体子系统注册的方法 | |
| CN1878103A (zh) | 全球微波接入互操作网接入互联网协议多媒体子域的方法 | |
| KR101148036B1 (ko) | Lte망과 무선랜망간의 핸드오버 방법 및 그 시스템 | |
| CN1897578A (zh) | 一种消息转换方法与系统 | |
| CN1852323A (zh) | 核心网络子系统中用户接入相关的信息的处理 | |
| CN1848994A (zh) | 一种实现微波接入全球互操作系统鉴权的方法 | |
| CN1802022A (zh) | 在话音业务连续性业务中建立初始呼叫的方法及系统 | |
| CN101030854A (zh) | 多媒体子系统中网络实体的互认证方法及装置 | |
| CN1925450A (zh) | 一种防止媒体流迂回的通信方法 | |
| CN1925633A (zh) | 一种cs域呼叫终结系统和方法 | |
| CN1856155A (zh) | 在下一代网络中获取用户接入信息的方法 | |
| CN1756428A (zh) | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 | |
| CN1949923A (zh) | 无线通信系统中空闲模式移动性管理方法及无线通信系统 | |
| US9060005B2 (en) | Method, apparatus, system and related computer program product for handover management | |
| CN1874598A (zh) | 终端接入第二系统网络时进行鉴权的装置、系统及方法 | |
| CN101030853A (zh) | 一种用户终端的鉴权方法 | |
| CN101052054A (zh) | 保持ps域和ims域ip地址注销一致性的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100428 Termination date: 20130107 |