TWI314414B

TWI314414B -

Info

Publication number: TWI314414B
Application number: TW95118609A
Authority: TW
Inventors: Kai Wen; jiong-jiong Gu
Priority date: 2006-05-25
Filing date: 2006-05-25
Publication date: 2009-09-01

Description

-B14414 . 98·06.11第95118即9號專利說明書及申請專利範圍修正本 . 九、發明說明： • 【發明所屬之技術領域】 _ 本發明係關於一種用於IP〔 Internet Protocol，網際網路通訊協定〕多媒體子系統登入安全的方法，特別是關於通信領域的安全技術中之用於IP多媒體子系統〔IMS〕登 -入安全的方法。，【先前技術1 • 一 IP 多媒體子系統〔IMS，IP Multimedia Subsystem 〕作為一固定網路及/或一移動網路之會話控制層，一直是業界討論的重點’第三代移動通信系統〔3G〕及先進電信網際網路整合服務通訊協定〔TISPAN〕標準就從各個方面為該IP多媒體子‘系統定義了許多規範，比如一網路之架構、介面及協定等，其中該IP多媒體子系統網路的安全機制是第三代移動通信系統及先進電信網際網路整合服務通訊協定中著重考慮的内容。習用IP多媒體子系統網路之安全模型係如第1圖所示，吞亥IP多媒體子糸統網路設置有一呼叫會話控制功能〔 • CSCF，Call Server Control Function〕實體，對呼叫、會話進行控制及路由。按照實現的功能不同，該啤叫會話控制功能實體進一步劃分為：代理-呼叫會話控制功能〔 P-CSCF〕實體、業務-呼叫會話控制功能〔S_CSCF〕實體及查詢-呼叫會話控制功能〔I-CSCF，Interrogating-CSCF 〕實體。其中，該代理-呼叫會話控制功能負責用戶終端〔 UE〕的登入，所有用戶終端都是通過該代理_呼叫會話控 1314414 卵·〇6.η第酬號專利說明書及申請專利範圍修正本 · 制功能登入到該1Ρ多媒體子系統網路’·該業務-呼叫合話控制功能完成會話控制及路由等核心功能；該曰於_業務·呼叫會話控制功能，林同“ 商或不同區域的網路之間實現互通，或執行網路遮罩等，比如將該查詢_呼啊話控制功作為不_ 一出入口。内為了全面保障該1?多媒體子系統網路的安全，可將其 -登人域及—網路域，再分別為該登人域及網路域疋女全規範。在第三代行動通訊合作計晝〔3Gpp，τ_ Generation Partnership㈣⑽〕協定中該ιρ多媒體子系 =匕且入文王包括一用戶認證及/或一通信安全，該用戶認战^日的疋該迮多媒體子系統網路對請求登入的一用戶終，的真μ性進行鑒別，並授權合法的該用戶終端登入該ιρ 夕媒體子系統網路；該通信安全指的是通過在二實體之間建立安全通道，來保證二者間的信令傳輸安全。如第1圖上不，一介面1及一介面2就是該IP多媒體子系統網路中 °玄登入域的二外部介面，此二介面都與用戶終端連接。其中忒介面1負責用戶認證，用戶終端與該IP多媒體子系、、先、’罔路之間的雙向認證就是通過該介面1完成的；該介面 2負貝保障用戶終端與該代理-呼叫會話控制功能之間的通信安全。在實際應用中’該介面1上執行的用戶認證可以有多種方式。同樣地，該介面2上用於保證通信安全的安全通運也可以有多種類型。其中，一 IP多媒體子系統認證與密 1314414 98. 06.11第95118609號專利說明書及申請專利範圍修正本鑰協商〔IMS AKA〕就是現有技術中定義的一種用戶認證方式，其具體内容請詳見TS33.203及RFC3310協定定義，此處不再贅述。雖然TS33.203協定提供了該IP多媒體子糸統3忍3豎與後輪協商認證方式，但是必須在用戶終端支援TS33.203協定的情況下，才能使用這種用戶認證方式對3亥IP多媒體子糸統網路的登入安全進行保障。對於不符合TS33.203協定的用戶終端，比如使用SIM卡的用戶終端’該IP多媒體子系統認證與密鑰協商認證方式不適用。為了向更多的用戶終端提供該IP多媒體子系統業務 ’同時還能保證該IP多媒體子系統網路的登入安全， TR33.978中定義了一早期ip多媒體子系統〔Early ims〕認證方式，該認證方式的具體實現如第2圖所示。 §亥IP多媒體子糸統認證與密鑰協商認證方式及早期 IP多媒體子系統認證方式的區別在於：採用該IP多媒體子系統認證與密鑰協商認證方式時，用戶終端發出的一註冊請求消息中攜帶有一安全頭域「Authorization」；而該早期 IP多媒體子系統認證方式不要求用戶終端在該註冊請求消息中攜帶該安全頭域。一般而言’上述習用具有下列缺點’例如：如果只要求該IP多媒體子系統網路支援上述二種用戶認證方式，就可以通過檢測該註冊請求〔REGISTER〕中是否包含該安全頭域來確定對該用戶終端使用哪種用戶認證方式，以保障該IP多媒體子系統之登入安全。但是，一旦要求該ip 多媒體子系統網路支援更多的用戶認證方式，現有技術的 1314414 98.06.11第95m_號專利說明書及申請專利範雖正本 _ 廷種方法就不適用，也就是說，該方法的相容性和擴展性比較差。再者，_麟的這種方法先由該Ip乡舰子系統網用戶終端選擇的用戶認證方式，再根據該用戶認适方式實_ IPS舰子純之登人安全，該Ip多媒體子系統網路無法根據自身的安全需要決定對某個用戶線端使用何種用戶認證方式’故該制方法實麟心媒體子系統的登入安全的靈活性差。此外，在實現該正多媒體子系統之登入安全時，習用技術也沒有提供一種方法，使得網路能1¾根據需要靈活設置肝終端和該代理呼叫會話控制功能之間的安全通道類型。因此，有必要進一步改良上述習用IP多媒體子系統登入安全的方法。【發明内容】本發明的主要目的係提供一種用於IP多媒體子系統登入安全的方法，以增強-IP多媒體子系統之登入安全的擴展性和靈活性。根據本發明之用於IP多媒體子系統登入安全的方法 ’其包括以下步驟：在一 IP多媒體子系統網路之網路設備上預先配置至少一種安全通道類型之登入安全機制；該網路設備接收到一用戶終端發出之一請求消息後，從預先配置中選擇該用戶終端使用之一登入安全機制，再由該IP多媒體子系統網路根據所選擇之該登入安全機制，對該用戶終端的登入進行安全控制。 * B14414 _ 98.06.11第95118609號專利說明書及申請專利範圍修正本 - 該登入安全機制包括一用戶認證方式。 . 在該IP多媒體子系統網路之網路設備上配置該登入安全機制的方法為：在一用戶歸屬伺服器〔HSS，Home • Subscriber Server〕上根據一用戶標識設置對應的至少一用戶認證方式。選擇該用戶終端使用的登入安全機制的方法為：該用 , 戶歸屬伺服器接收到該IP多媒體子系統網路中該業務-呼叫會話控制功能實體的一多媒體認證請求後，根據該請求中攜帶的該用戶標識查找自身設置的該至少一用戶認證方式’從中選擇一種用戶認證方式，並生成與所選擇的該用戶認證方式對應的一認證資料返回給該業務-呼叫會話控制功能實體。 t 該多媒體認證請求中攜帶該用戶認證方式，則選擇該用戶終端使用的登入安全機制的方法為：該用戶歸屬伺服器根據該多媒體認證請求中攜帶的該用戶標識判斷，為該用戶標識設置的用戶認證方式中是否存在該請求中攜帶的用戶認證方式；如果存在，則將該請求中攜帶的用戶認證方式確定為 ' 該用戶終端使用的登入安全機制； - 如果不存在，則該用戶歸屬伺服器從自身為該用戶標識設置的用戶認證方式中選擇該用戶終端使用的登入安全機制。 δ亥多媒體認證請求攜帶用戶認證方式的方法為：該用戶終端通過該代理呼叫會話控制功能實體，向該業務-呼 1314414 98. 06.11第95118609號專利說明書及申請專利範圍修正本叫會話控制功能實體發出該請求消息，其係該攜帶自身聲明的用戶認證方式;該業務_呼叫會話控制功能實體獲取該用戶認證方式’添加到該多媒體認證請求中發送給該用戶歸屬伺服器。 §亥代理-呼叫會話控制功能實體根攄一登入網路設置該用戶認證方式’則該多媒體認證請求攜帶用戶認證方式的方法為： §亥代理呼叫會話控制功能實體接收到該用戶終端的請求消息後’判斷該請求消息中是否攜帶該用戶終端聲明的用戶認證方式；如果不存在’該代理-呼叫會話控制功能實體根據一網路介面或一 IP位址域判斷出該用戶終端的登入網路，並將自身為該登入網路設置的該用戶認證方式添加到該請求消息中發送到該業務-呼叫會話控制功能實體，再由該業務_ 呼叫會話控制功能實體獲取該用戶認證方式，添加到該多媒體認證請求中發送給該用戶歸屬飼服器；如果存在，則進一步判斷該代理-呼叫會話控制功能實體配置的該用戶認證方式中是否存在該用戶終端聲明的用戶認證方式，如果存在，該代理-呼叫會話控制'功能實體直接轉發接收到的該請求消息，否則，該代理-啤叫會話控制功能實體將該請求消息中攜帶的該甩戶認證方式按照自身設置進行修改後，將該請求消息發送至該業務_呼叫會話控制功能實體’再由該業務-呼叫會話控制功能實體獲取該用戶認證方式，添加到該多媒體認證請求中發送給該用戶歸 1314414 - 98· 06.11第95118609號專利說明書及申請專利範圍修正本 ' 屬伺服器。 • 該用戶歸屬伺服器從自身設置中選擇一種用戶認證方式的方法為：該用戶歸屬伺服器選擇優先順序高的用戶 : 認證方式。選擇該用戶終端使用之登入安全機制的方法為：該用戶歸屬伺服器接收到該IP多媒體子系統網路中該業務-呼叫會話控制功能實體的多媒體認證請求後，根據 &亥凊求中攜帶的用戶標識查找到自身設置的該用戶認證方式’並為所設置的每個用戶認證方式生成對應的認證資料返回給該業務-呼叫會話控制功能實體；該業務-呼叫會話控制功能實體將該用戶認證方式傳送給該用戶終端，該用戶終端選擇其中一種用戶認證方式作為自身使用的登入安全機制。、该用戶認證方式為一消息摘要認證〔Digest MD5〕方式、該IP多媒體子系統認證與密鑰協商認證方式或早期 IP多媒體子系統認證方式。該登入安全機制包括一安全通道類型。在汶IP多媒體子系統網路的網路設備上配置該登入 . 於鋪的方法為：在該代理呼叫會話控制功能實體上根 - 據該登入網路設置對應的該安全通道類型；、則H亥用戶終端使用的登入安全機制的方法為：該代理乎彳會雜制功能實體接收到該用戶終端的請求消息後，根據該網路介面或IP位址域判斷出該用户終端的登入網路，並麵自身為該登人_設置的安全通道類型， 1314414 , 98.06.11第95118609號專利說明書及申請專利範圍修正本再從中選出一種安全通道類型。該用戶歸屬伺服器根據該用戶標識設置該安全通道類型，則選擇該用戶終端使用的登入安全機制的方法為：該用戶歸屬伺服器接收到該多媒體認證請求後，根據該請求中的用戶標識查找到與該用戶標識對應的安全通道類型，並通過該多媒體認證回應將該安全通道類型發送給該業務-呼叫會話控制功能實體；該業務呼叫會話控制功能實體將該用戶歸屬飼服器設置的安全通道類型轉發給該代理 __呼叫會話控制功能實體’由該代理_呼叫會話控制功能實體確定與該用戶終端之間建立的該安全通道類型。該方法進一步包括：該用戶終端與該代理_呼叫會話控制功能實體之間建立安全通道後，該代理_呼叫會話控制功能實體將該安全通道類型上報給該業務―呼叫會話控制功能實體。曰工該安全通道類型為一網際網路安全性協定〔IpSec〕或傳輸層安全性〔TLS〕，甚或不設置安全通道。亥用戶松識為一私有用戶標識、—公有用戶標識或一用戶類型。該登入網路為：一移動登入網、一固定登入網、一非對稱數位用戶網路〔ADSL〕、一區域網路〔LAN〕、一光纖同軸混合網路〔HFC〕或-無線區域網路〔WLAN〕〇由上述技術方案可見，本發明之用於圧登入安全的方法，預先在該用戶歸相服㈣或代^

—12 — 1314414 98.06.11第95118609號專利說明書及申請專利範圍修正本

叫會話控制功能上配置一種或多種登入安全機制，兮A 女全機制包括該用戶認證方式及/或安全通道類型，由: 戶歸屬伺服器、代理-呼叫會話控制功能或用戶終端根際情況選擇其中一種登入安全機制，使得該Ip多媒體子二統登入安全的實現更為靈活。 ^ 糸 -方面’本發_方法能相容#前存在的各種登全機制，具有很強的靈活性。比如，若要支援一 TS33.203定義的登入安全機制，可以在該用戶歸屬伺服器上將該用戶認證方式配置為「Ip夕媒體子系統認證與密鑰協商」，並在該代理_呼叫會話抑= 功能上將安全通道類型設置為「網際網路安全性協定二1 又比如，若要允許該用戶終端採用該早期Ip多=罐°子系統認證方式登人該IP多媒體子祕網路，_該用戶歸屬伺服器上配置該用戶終端的用戶認證方式為「早期正多媒體子系統」，使得該IP多媒體子系統網路能夠依據該^ 戶終端之IP地址及用戶標識的對應_，對該用戶終端發出之註冊請求進行賴。該早期IP多舰子系統認證方式時，由於該IP地址無法仿冒，故該用戶終端之金已得到一底層IP組網的保證’因此該代理_呼叫會^控制功能上配置的該安全通道類型可以是「不需要建立安全通道」。 $ 另一方面，本發明的方法能夠為將來出現的各種可能的登入安全_提供紐，即财法通和擴展性強，能夠滿足各_戶終端登人該IP多媒體子系統網路的安 —13 — 1314414 隨η第咖09號專利說明書及申請專利範園修正本 · 全需求。將：ίν料商相減自身f要進仙下擴展配置，、^ 織方式崎m摘要認證〔Di脚應〕安全通道類型配置為「不需要建立安全通道」等， .上述配置實則p多媒體子系統之登入安全。【實施方式】為讓本發明之上述及其他目的、特徵 ==本發明之較佳實施例，並配合所附圖式 -用戶編L 環獅安全需求，本發明在听屬飼服器及/或一代理_呼叫會話控制夕媒體衫統網·讀上職配置—種❹種登入安域制’並結合-用戶終端發出的註冊請求中聲 = ==最終對該用戶終端使用的登入安全機：，：：據所確定的該登入安全機制進行登入安全控制_再根，方法具體為··在該用戶歸屬値器上針對— ，配置至少-_戶認證方式及/或至少—種安= 〜或者，在該代理-呼叫會話控制 : 配置至少一種用戶認證方式及二違且^網路該登入安全機财_在制戶能上針對該登入網路進行_ 話控制功在錢^屬飼服器和該代理-呼叫會話控制㊉ 14 - / B14414 98. 06.11第95118609號專利說明書及申請專利範圍修正本功能上進行配置。在该用戶歸屬伺服器上針對該用戶標識配置該登入文全機制時，該用戶標識可以是一私有用戶標識、一公有用戶標識或一用戶類型，該私有用戶標識指的是存儲在 - ISIM卡等設備上的一資訊標識，該公有用戶標識指的是一，话號碼等，該用戶類型指的是一固定用戶或一移動用戶等。對於在該代理-呼叫會話控制功能上配置該〗p多媒體子系統登入安全機制的情況，該用戶終端通過不同的登入網路，經由該代理_呼叫會話控制功能登入到該IP多媒體 :系統網路，該代理-呼叫會話控制功能對外提供多個網路 , W面不同的該網路介面可以對應不同的該登入網路，例如一移動登入網〔UMTS/GPRS〕、一固定登入網、一非對稱數位用戶網路〔ADSL，Asymmetric Digkal Sub_w

Line〕、區域網路〔lan，Local Area Network〕、光纖同軸此口網路〔HFC，Hybrid Fiber-Coaxial〕或無線區域網路〔WLAN，Wireless Local Area Network〕。因此，運營商可在該代理-呼叫會話控制功能上針對該登入網路配置該登入安全機制，即針對該代理十情話控制功能的每個網路介面，運營商可以配置特定的該登入安全機制。通過任-個網路介面登域ίρ多_子钱，網路之用戶終端，需要使用對應的該登入安全機制實現安全登入。除了通過該網路介面區分不同的該登入網路外，還可以通過一正地址域區分用戶對應_登人網路，㈣1?地址分域，不 —15 — 1314414 98. 06.11第95118609號專利說明書及申請專利範圍修正本同的IP地址域對應不同的登入網路。這樣，運營商可以為不同的IP位址域配置不同的該登入安全機制。請參照第3圖所示，本發明之IP多媒體子系統網路能同時支援多種登入安全機制。其中，數虛線指示的是該用戶認證方式，包括一 IP多媒體子系統認證與密鑰協商、一早期IP多媒體子系統及一消息摘要認證等；數實線指示的是該安全通道類型，包括一網際網路安全性協定及—傳輸層安全性〔TLS，Transport Layer Security〕等。該消息摘要認證及早期IP多媒體子系統此二種用戶認證方式均能將不支援該IP多媒體子系統認證與密鑰協商的SIP終端等登入到該IP多媒體子系統網路。請參照第4圖所示’本發明之第一實施例之業務_呼叫會話控制功能根據該用戶歸屬伺服器的配置，對該用戶終端的註冊請求實施該消息摘要認證的認證過程，具體步驟如下：步驟401 :該用戶終端向該代理-呼叫會話控制功能發出δ主冊請求消息，該消息沒有攜帶一 Authorization頭域。步驟402 :該代理•呼叫會話控制功能將該註冊請求消息轉發給該業務·呼叫會話控制功能。步驟403 :該業務·呼叫會話控制功能向該用戶歸屬伺服器發出一多媒體認證請求〔MAR〕消息，攜帶該用戶終端之用戶標識，該用戶標識是從該註冊請求消息中獲得的〇步驟404 :該用戶歸屬伺服器接收到該多媒體認證請 • 1344414 98. 06.11第95118609號專利說明書及申請專利範圍修正本 ' 求消息後’根據该用戶標識在自身查找該用戶終端的配置冑料’並判斷應雜該用戶終端採用何種用戶認證方式。如果§亥多媒體認證請求中攜帶有該用戶認證方式，該 - 肖戶歸屬伺服器查看自身保存的與該用戶標識對應的該用 ' 戶認證方式，並判斷其中是否存在該多媒體認證請求中攜帶的該用戶認證方式，如果存在則為該用戶認證方式生成認證資料。如果該業務-呼叫會話控制功能發出的該多媒體認證請求中沒有攜帶用戶認證方式，該用戶歸屬伺服器可以按照缺省配置選擇一種用戶認證方式，比如選擇優先順序高的該用戶認證方式，並為所選擇的該用戶認證方式生成認證資料返(回給該業務-呼叫會話控制功能，以便該業務_呼叫會話控制功能對發出一註冊請求〔REGISTER〕消息的用戶終端進行認證。於本發明之第一實施例中，假定該用戶歸屬伺服器為該用戶終端選擇的是消息摘要認證方式。該用戶歸屬飼服器將配置資料中的一用戶名〔username-value〕、一功能變數名稱〔realm-value〕及一用戶密碼〔passwd〕，按照 — RFC2617 協定定義的.公式 H(Al)=H(unq(username-value)M:"unq(realm-value)":"passwd) ，計算出一用戶鑒權向量〔H(A1)〕，並向該業務-呼叫會話控制功能返回攜帶該用戶鑒權向量的一多媒體請求消息〔MAA〕。該步驟中，該功能變數名稱可以在該業務-呼叫會話控 —17 — 1314414 ϊ* 98. 06.11第95118609號專利說明書及申請專利範圍修正本制功能中配置，並由該業務-啤叫會話控制功能根據該用戶註冊請求中的用戶標識，將該用戶標識對應的該功能變數名稱傳遞給該用戶歸屬祠服器；或者，該用戶歸廣饲服器自身配置有该用戶標識對應的該功能變數名稱。藉此，該功能變數名稱就不需要在該介面中傳遞。步驟4〇5 .該業務_呼叫會話控制功能保存該多媒體請求消息〔ΜΑΑ〕中攜帶的用戶鑒權向量，並生成一 WWW-Authenticate頭域’再通過一 4〇丨回應消息將所生成的該WWW-Authenticate頭域下發給該代理_呼叫會話控制功能。步驟406 :該代理_呼叫會話控制功能接收到來自該業務-呼叫會話控制功能的‘401回應消息後，將該4〇1回應消息透傳給該用戶終端。步驟407 :該用戶終端從該4〇1回應中獲取該 WWW-Authenticate頭域，結合自身密鑰計算出一 request-digest值’填寫到認證回應該Authorization頭域的一 response參數中，並重新發起該註冊請求消息，將該認證回應返回給該代理·呼叫會話控制功能。步驟408〜409 :該代理_呼叫會話控制功能將該註冊請求消息發送到該業務·呼叫會話控制功能，該業務_呼叫會話控制功能根據該註冊請求消息中攜帶的認證回應，結合自身保存的s亥用戶鐾權向量計算出該reqUest_digest值，再將自身汁算出的值與認證回應的該reSp〇nse參數中記錄的内容進行比較。如果兩者相同，則該業務_呼叫會話控制功 1314414 98. 06.11第95118609號專利說明書及申請專利範圍修正本能判定該用戶終端的註冊認證通過，並向該代理-呼叫會話控制功能返回一 200回應消息，然後執行步驟410，否則本次認證失敗。步驟410 :該代理-呼叫會話控制功能將該200回應消息轉發給該用戶終端，認證流程結束。請參照第5圖所示，本發明之第二實施例之用戶終端聲明自身支援的用戶認證方式，由該用戶歸屬伺服器確定最終對該用戶終端使用的用戶認證方式的過程，具體步驟如下：步驟501〜502 :該用戶終端（該用戶標識為ID1)通過該代理-呼叫會話控制功能向該業務-哔叫會話控制功能發出該註冊請求消息，該註冊請求消息中攜帶該 Authorization頭域，用於向該IP多媒體子系統網路聲明該用戶認證方式。例如，該用戶終端採用下列之該Authorization頭域表明自身要求的是該IP多媒體子系統認證與密鑰協商方式：

Authorization : Digest username="userl_private@homel.net", realm="registrar.homel.net",nonce="",uri="sip:registrar.hom el .net”,response:””,algorithm=AKAvl-MD5。步驟503 :該業務-呼叫會話控制功能通過一 Cx介面向該用戶歸屬伺服器發送該多媒體認證請求消息，該多媒體認證請求消息的一 Authentication Scheme資訊單元記錄有該用戶終端聲明的用戶認證方式。 1314414 . 98. 〇6_ Π第95118609號專利說明書及申請專利範圍修正本步驟504 :該用戶歸屬何服器從該多媒體認證請求消息獲得該用戶終端的用戶標識iD1，並查詢自身針對該用戶標識ID1的配置資料。假設為該用戶標識ID1配置的該用戶認證方式有該早期IP多媒體子系統及ιρ多媒體子系統認證與密鑰協商此二種，由於該多媒體認證請求消息中記錄有用戶終端聲明的用戶認證方式為該IP多媒體子系統認證與密鑰協商，故該用戶歸屬伺服器優先選擇該IP多媒體子系統認證與密鑰協商作為該用戶終端的用戶認證方式，並通過該多媒體請求消息將所選擇的用戶認證方式和對應的認證資料返回給該業務-呼叫會話控制功能。該步驟中，該用戶歸屬伺服器作為該用戶認證方式的決策點，如果接收到的該多媒體認證請求消息中指示的該用戶認證方式不在其為該用戶終端預先配置的認證方式列表中，則根據自身配置從列表中選擇一個缺省的認證方式，作為該用戶終端的用戶認證方式。或者，在這種情況下 ’該用戶歸屬伺服器返回失敗回應’拒絕對該用戶終端的註冊請求消息進行認證。步驟505〜510與本發明第4圖中的步驟405〜410相同，此處不再贅述。請參照第6圖所示，本發明第三實施例之用戶歸屬伺服器向該用戶終端提供備選的用戶認證方式，由該用戶終端選擇最終的認證方式的過程，具體步雜如下：步驟601〜602 :該用戶終端〔該用戶標識為ID2〕通過該代理-呼叫會話控制功能向該業務-呼叫會話控制功能 -1314414 . ⑽.06.11第95118609號專利說明書及申請專利範圍修正本，發起該註冊請求〔腿㈣R〕，該消息沒有攜帶該

Authorization 頭域。步驟603 :該業務呼叫會話控制功能通過該&介面向該用戶歸屬伺服器發送該多媒體認證消息，請求獲得認 - 證資料，該多媒體認證消息中未攜帶該Authentication

Scheme資訊單元。，步驟604 :該用戶歸屬伺服器從該多媒體認證消息中獲得该用戶標識ID2後，查詢預先配置的該用戶標識與用戶e忍證方式的對應關係。假設該用戶標識對應的是該早期IP多媒體子系統及消息摘要認證方式，則該用戶歸屬伺服器通過該多媒體請求消息將該早期Ip多媒體子系統、消息摘要認證方式及相應的認證資料返回給該業務_呼叫會話控制功能實體。該步驟中’由於該業務-呼叫會話控制功能收到的註冊請求消息中沒有攜帶該Authorization頭域，故該業務_啤叫會話控制功能發出的該多媒體認證消息沒有攜帶該 Authentication Scheme資訊單元。同時，該用戶歸屬伺服器又沒有足夠的依據從多種用戶認證方式中確定出一種，故該用戶歸屬伺服器就向該業務-呼叫會話控制功能返回該多媒體請求消息，攜帶各種用戶認證方式及其對應的認證資料。步驟605〜606 ··業務·呼叫會話控制功能實體收到該多媒體請求消息後，依據獲得的認證資料分別生成該 WWW-Authenticate頭域，並通過該401回應攜帶給該用戶 —21 — 1314414 98. 06.11第95118609號專利說明書及申請專利範圍修正本終端。該步驟中，該業務·呼叫會話控制功能在下發的該4〇1 回應中指示該IP多媒體子系統網路支援的多種用戶認證方式’供該用戶終端自行選擇。例如，該業務_呼叫會話控制功能向該用戶終端下發的該401回應消息中一次攜帶二個該 WWW-Authenticate 頭域，每個該 WWW_Authenticate 頭域對應一種用戶認證方式。步驟607 :該用戶終端從該401回應消息中得到該 WWW-Authenticate頭域，從而獲知該π>多媒體子系統網路支援該早期IP多媒體子系統及消息摘要認證此二種認證方式。隨後，該用戶終端從中選出自.身支援能力最強的認證方式，例如該早期IP多媒體子系統認證方式，再重新發起該註冊請求消息，該註冊請求消息攜帶該用戶終端的一源IP位址。步驟608〜610 .該業務-呼叫會話控制功能依據該註冊請求消息中之用戶標識’查詢該用戶終端是否已註冊，若未註冊，則通過該Cx介面的多媒體認證請求/多媒體請求消息〔MAR/MAA〕過程從該用戶歸屬伺服器獲取與該用戶標識對應的認證IP位址’再將該註冊請求消息中攜帶的該源IP位址’和從該用戶歸屬伺服器獲得的該認證Ιρ地址進行比較，如果二者相同則通過註冊認證。該認證位址是在一：PDP啟動中，一 GGSN通過一 Accounting-Request START消息發送給該用戶歸屬伺服器的，此處不再贅述。_ — 22 — 1314414 ‘ 98·06.11冑95118_號專利說明書及申請專利範圍修正本、註冊過程完成後，該業務-呼叫會話控制功能會保存該 - 用戶標識和認證IP位址的對應關係。對於該用戶終端發出的任何非註冊請求，該業務-呼叫會話控制功能都要比較非註冊請求中攜帶的源IP地址與該業務-呼叫會話控制功能 - 保存的認證IP地址是否相同，如果不同則拒絕該非註冊請求。 . 如果該用戶歸屬伺服器針對某個用戶標識僅配置有一種認證方式，則無論接收到的該多媒體認證請求中指示的認證方式是什麼，該用戶歸屬伺服器總是以自身配置的認證方式作為該用戶終端使用的用戶認證方式。類似地，該用戶歸屬伺服器上也可以針對該用戶標識配置該安全通道類型。藉此，在第5及6圖的流獐中，該業務-呼叫會話控制功能與該用戶歸屬伺服器進行多媒體認證請求/多媒體請求消息〔MAR/MAA〕交互時，該業務 _呼叫會話控制功能還可以獲得該用戶歸屬伺服器為某個用戶終端配置的該安全通道類型，並將所獲得的該安全通道類型通過該4 01回應發送給該代理_呼叫會話控制功能實體。例如，該業務-呼叫會話控制功能在該4〇1回應中增加一個私有擴展頭域s ecurity-Channel，用於向該代理_呼叫 - 會話控制功能表明該安全通道類型。該代理-呼叫會話控制功能實體作為該安全通道的建立點，在接收到該業務-呼叫會話控制功能實體的401回應消息後，參考該4〇1回應消息中攜帶的安全通道類型，與該用戶終端經過協商確定最終要建立的該安全通道類型。 —23 1314414 98·06, u第9511_號專利說明書及申請專利範圍修正本 '* 明參&、第7圖所不，本發明第四實翻巾，運營商在 ^代理上啤^會雜制功能上針對登人該網路預先配置該 6戶認證方式及安全通道類型，並參考上述配置實現登入女全的過程，具體步驟如下：乂驟701 ·該代理_呼叫會話控制功能接收到該用戶終 =註冊請求消息後，根據卿息_路介面或ιρ地址域定登入該網路，並從自身的配置資料中獲得與該登入網對應的a人安全機制。然後，該代理·呼叫貪話控制功能保存該用戶終^的安全通道類型，並將該用戶認證方式通過該註冊請求消息傳送給該業務十彳會話控制功能。該步驟中，若該用戶終端發出的註冊請求消息未攜帶該Authorization頭域，該代理_呼叫會話控制功能會在自身發出的躲冊請求^& +增加該AuthGrizatk)n頭域，並將該用戶認證方式記錄在該頭域中，發送給該業務_啤叫會話控制功能。右該用戶終端發出的該註冊請求消息已攜帶該 Authorization頭域，該代理_呼叫會話控制功能讀取該頭域中的一 algorithm參數’並將其與本地配置的該用戶認證方式進行比較。當二用戶認證方式不相同時，該代理_呼叫會話控制功能將該algorithm參數修改為本地配置的用戶認證方式，再將修改後的註冊請求消息發送給該業務-呼叫會話控制功能。步驟702 :該業務-呼叫會話控制功能實體收到該註冊請求後，向該用戶歸屬伺服器發出該多媒體認證請求，攜 ~ 24 — • 1344414 • 98· 06.11第95118609號專利說明書及申請專利範圍修正本 ' 帶該Authentication Scheme資訊單元，將該用戶認證方式 - 告知該用戶歸屬伺服器。該步驟中’該多媒體認證請求的該Authenticati〇n 、 Scheme資訊單元攜帶有該註冊請求消息中記錄的該用戶 . 認證方式，該用戶認證方式可以由該用戶終端聲明，也可以是該代理-呼叫會話控制功能填寫的。該業務_呼叫會話 • 控制功能並不區分該Authorization頭域中攜帶的該用戶認 . 證方式是由該用戶终端聲明的，還是在該註冊請求消息經過該代理-呼叫會話控制功能時由該代理_呼叫會話控制功能填寫的。也就是說，該業務-呼叫會話控制功能會直接將自身接收到的該註冊請求消息中揭帶的該用戶認證方式，，通過該多媒體認證請求指示給該用戶歸屬伺服器。步驟703 :如果該用戶歸屬伺服器上沒有針對該用戶標識配置該登入安全機制，該用戶歸屬伺服器會依據該多媒體認證請求中指示的該用戶認證方式生成認證資料，並通過该多媒體請求消息返回給該業務_呼叫會話控制功能實體。後續步驟與第4圖中的步驟405相同，不再贅述於此。如果該用戶歸屬伺服器不支援該多媒體認證請求中指示的該用戶認證方式，會通過多媒體請求消息告知該業務-呼叫會話控制功能實體，該業務-呼叫會話控制功能實體就會向該用戶終端返回一 4XX回應，比如一 42〇無效延伸〔420 Bad Extension〕等。步驟704 :該代理-呼叫會話控制功能實體接收到該 ——25 — 1314414 98· 06· 11第95118609號專利說明書及申請專利範圍修正本 01回應後’根據自身保存的安全通道類塑與_戶終端協商建立安全通道。山表4步驟中，該代理__呼叫會話控制功能實體向該用戶終端叙送該401回應，在該401回應的保安〔Security-Server j域攜帶所選擇的該安全通道類型。如果二者之間的該安王通道建立成功’該代理_呼叫會話控制功能將在所建立的5亥文全通道上接收並處理後續請求。 6 5亥用戶終端與該代理·呼叫會話控制功能之間建立該安全通這後，該代理_呼叫會話控制功能通過該註冊請求中攜帶的一 SIP消息頭域，例如該私有擴展頭域

SeCUrity_C}mnnel，告知該業務_啤叫會話控制功能自身與該用戶終端之間建立的該安全通道類型。在後續過程中，該業務-呼叫會話控制功能可能使用到該安全通道類型資訊，例如該業務_呼叫會話控制功能判斷忒用戶終端是否建立該安全通道，並對沒有建立該安全通道的及用戶終端發出的每條請求消息都進行該消息摘要認證，或者為沒有建立該安全通道的該用戶終端提供受限的該ip多媒體子系統業務。此外，該業務-呼叫會話控制功能獲得該安全通道類型後，也可以作為—用戶簽約資訊使用’比如對具有相同該安全通道類型的該用戶終端執行統一的處理’而不針對某個具體用戶。、請參照第8圖所示，對於運營商同時在該用戶歸屬伺服器和該代理-呼叫會話控制功能上配置登入安全機制的情況’本發明之處理流程如下： * 1344414 . 98. 06.11第9511_9號專利說明書及申請專利範圍修正本 ' 步驟801 :該代理·呼叫會話控制功能接收到該註冊請 - 求消息後，根據發送消息的該登入網路，獲知發出該註冊睛求的用戶終端支援的該用戶認證方式及安全通道類型。該代理-呼叫會話控制功能記錄自身為該用戶終端設置的 - 該安全通道類型，並將該用戶認證方式通過該註冊請求消息的Authorization頭域發送給該業務_呼叫會話控制功能。，步驟802 :該業務-呼叫會話控制功能將該

Authorizati〇n頭域中記錄的該用戶認證方式通過該多媒體認證消息傳遞給該用戶歸屬祠服器。步驟803 :該用戶歸屬伺服器依據該用戶終端的用戶才示識，從本地配置資料中獲得自身為該用戶終端設置的該用戶認:證方式及安全通道類型，結合該多媒體認證消息中攜帶的該用戶認證方式，確定該用戶終端最終使用的用戶認證方式，生成該認證資料返還給該業務_呼叫會話控制功能。同時，該用戶歸屬伺服器也會將自身設置的該安全通道類型通過該多媒體請求消息傳遞給該業務_呼叫會話控 • 制功能。 1 步驟804 :該業務-呼叫會話控制功能根據接收到的該 - 5忍證賓料構造该WWW-Authenticate頭域，在該401回應 >肖息中添加該私有擴展頭域§ecurity_channel ’用於記錄令亥用戶歸屬伺服器設置的安全通道類型，再將該4〇1回應消息傳遞給該代理·呼叫會話控制功能。步驟805 :該代理_呼叫會話控制功能接收到該業務- —27 — 1314414 #* 98. 06· 11第95118609號專利說明書及申請專利範圍修正本呼叫會話控制功能的該401回應消息後，讀取該 Secufity-Channel頭域中記錄的安全通道類型，並結合自身保存的該安全通道類型，確定自身與該用戶終端之間建立的該安全通道類型。上述流程在實際使用時可.以衍生出多種情況。例如，若運營商在該用戶歸屬伺服器上針對該用戶標識僅配置該用戶認證方式，在該代理_呼叫會話控制功能上針對該登入網路僅配置該安全通道類型，那麼該代理_呼叫會話控制功能就不參與該用戶認證方式的選擇和確定；同樣地’在決定該安全通道類型時，該用戶歸屬伺服器也不參與其中。 5亥用戶認證方式及安全通道類型的配置是相互獨立的，例如運營商在諒用戶歸屬伺服器及/或該代理-呼叫會 5舌控制功能上設置該安全通道類型時，該用戶歸屬伺服器及/或該代理-呼叫會話控制功能上可以配置有該用戶認證方式，也可以沒有配置有該用戶認證方式。在某些登入環境下，運營商通過該底層IP組網保證該用戶終端與該代理-呼叫會話控制功能之間的通信安全。那麼’運營商在確定某個登入網路已提供安全保證時，比如登入網路為一虛擬私有網路〔VPN，virtual Private

Network〕，就不會另行在該代理_呼叫會話控制功能及登入網路的用戶終端之間建立安全通道。對於該用戶終端及代理-呼叫會話控制功能之間既不存在該安全通道’底層IP組網又無法保證兩者間的通信安全的情況，為防止用戶欺騙，可在一註冊及會話建立過程 1314414 98_ 〇6.11第95118609號專利說明書及申請專利範圍修正本、士《亥用戶終進行認證，例如一會話建立過程中，該業務-呼叫會話控制功能收到用戶終端發起的該會話請求時、’首先對制戶終端進行該消息摘要認證，只有在該認證通過後才繼續執行呼叫建立，否則拒絕該會話請求。進一步地’賴務·呼叫會話控制功能可以對該用戶終端發起的任何請求消息都進行息摘要紐。又或者，該代理_ 呼Η會洁控制功能在該用戶註冊成功後，保存該用戶終端的IP位址及用戶標識的對應關係。對於該用戶終端在後續 =程中發出的業務請求，該代理·呼叫會話控制功能首先檢了該業務請求中攜帶的該用戶標識和源IP位址的對應關 t ’與預先保存的對應義是否相同，如果相關允許該業務請求，否則拒絕該業務請求。上述檢查過程可以定義為種安王通道類型’並配置在該代理_呼叫會話控制功能上’以便在保障登入安全時使用。也就是說，安全通道類型可以根據實際需要進行擴展定義，而不局限於該網際網路安全性協定及/或TLS。此外，该用戶認證及通信安全的實現過程具有一定的聯繫。如果對制戶終端採_ ^舰子纽認證與密输協商認證方式，在認證過程中該代理_呼叫會話控制功能及用戶、、冬端都將獲4^•-逸、鑰IK/CK，該密输IK/CK是建立該安全通道的密錄。如果對該用戶終端採用該消息摘要認證方式’由於該認證過程不產生建立該安全通道的密鍮，故需要採用其他方式建立該安全通道，例如在該代理_呼叫曰話控制功能上設置-第二方權威機構發佈的數位證書， I44i4 98,〇6·1ΐ n - 、系95Π8609號專利說明書及申請專利範圍修正本 =讀數位證書發送給該用戶終端。這樣，該用戶終端及埯呼叫會話控制功能就可利用該數位證書建立該安全蝥上述的各實施例可見，本發明用於IP多媒體子系統吁安全的方法，預先在該用戶歸屬伺服器及/或該代理_ 用叫T話控制功能上配置一種或多種登入安全機制，由該輕^ Ϊ屬伺服器、該代理"'呼叫會話控制功能或該用戶終端 ^貫際情況選擇其中-種登入安全機制，使得該正多媒 ~子系統登入文全的實現更為靈活，並且該方法通用性和擴展性強，能夠滿足各類用戶終端登入該IP多媒體子系統網路的安全需求。雖然本發明已利用上述較佳實施例揭示，然其並非用以限疋本發明，任何熟習此技藝者，在不脫離本發明之精神和範圍之内，當可作各種更動與修改，因此本發明之保護範圍當視後附之申請專利範圍所界定者為準。 —30 — 1344414 98. 06.11第95118609號專利說明書及申請專利範圍修正本【圖式簡單說明】第1圖：習用IP多媒體子系統網路登入安全的方塊流程圖。第2圖：習用IP多媒體子系統網路登入安全的方法之 • Early IMS認證方式的方塊流程圖。第3圖：本發明中IP多媒體子系統網路同時支援多種登入安全機制的方塊流程圖。第4圖：本發明第-實施例中以消息摘要認證方式執行之流程圖。第5圖.本發明第一貫施例中根據用戶歸屬的用戶體方式執行IP多媒體子系統登入安第6圖：本發明第三實施例中用戶終端根據用戶歸屬祠服器所提供的選擇確定用戶認證方式的流程圖。第7圖：本發明第四實施例中根據代理·呼叫會話控制功能設置的登入安全機制執行IP多媒體子系統登入^全的流程圖。 » 8圖：本發明第五實施例中用戶歸屬飼服器及代理_ 呼叫會話控制功能均設置登入安全機制時之執行登的流程圖。【主要元件符號說明】 1 接口 2 接口 401實施消息摘要認證之認證步驟 1314414 98. 06.11第95118609號專利說明書及申請專利範圍修正本 402實施消息摘要認證之認證步驟 403實施消息摘要認證之認證步驟 404實施消息摘要認證之認證步驟 405實施消息摘要認證之認證步驟 406實施消息摘要認證之認證步驟 407實施消息摘要認證之認證步驟 408實施消息摘要認證之認證步驟 409實施消息摘要認證之認證步驟 410實施消息摘要認證之認證步驟 501 HSS確定用戶認證方式之認證步驟 502 HSS確定用戶認證方式之認證步驟 503 HSS確定用戶認證方式之認證步驟 504 HSS確定用戶認證方式之認證步驟 505 HSS確定用戶認證方式之認證步驟 506 HSS確定用戶認證方式之認證步驟 507 HSS確定用戶認證方式之認證步驟 5 0 8 HS S確定用戶認證方式之認證步驟 509 HSS確定用戶認證方式之認證步驟 510 HSS確定用戶認證方式之認證步驟 601用戶終端確定用戶認證方式之認證步驟 602用> 終端確定用戶認證方式之認證步驟 603用戶終端確定用戶認證方式之認證步驟 604用戶終端確定用戶認證方式之認證步驟 605用戶終端確定用戶認證方式之認證步驟 —32 — • 13-14414 98. 06.11第95118609號專利說明書及申請專利範圍修正本 . 606用戶終端確定用戶認證方式之認證步驟 . 607用戶終端確定用戶認證方式之認證步驟 608用戶終端確定用戶認證方式之認證步驟 ^ 609用戶終端確定用戶認證方式之認證步驟 • 610用戶終端確定用戶認證方式之認證步驟 701於P-CSCF預置用戶認證方式及安全通道類型之認證步驟 702.於P-CSCF預置用戶認證方式及安全通道類型之認證步驟 703於P-CSCF預置用戶認證方式及安全通道類型之認證步驟 704於P-CSCF預置用戶認證方式及安全通道網型之認證步驟 801於HSS及P-CSCF配置登入安全機制之認證步驟 802於HSS及P-CSCF配置登入安全機制之認證步驟 803於HSS及P-CSCF配置登入安全機制之認證步驟 804於HSS及P-CSCF配置登入安全機制之認證步驟 805於HSS及P-CSCF配置登入安全機制之認證步驟 —33 —

Claims

1314414 98.06.1〗第95118609號專利說明書及申請專利範圍修正本十、申請專利範園： 1、一種IP多雜子純登人安全的方法，其包含下：在- IP多雜子纽轉的鱗設備上預先配置至少一種安全通道類型之登入安全機制；於該網路設備類一用戶終端發出的—請求消息後，由 =預先配置之至少-種登人安全機制中選擇該用戶終端使用的登人安全機制，再由該^媒體子系拫據所選擇_登人安全_，對_戶終端進d 安全之控制。丁且 :=請專利第丨項所述之Ip多媒體子系統登入安 I配ίΐ ’ ΐ中在該ΙΡ μ體子系統網路的網路設備 j配置豆入女全機制的方法為：在—代理-呼叫奋話控 =能實體上根據-登人網路設置對應的該安錢^ 則選擇該用戶終端使用的登入安話控制功能實體接獲該用4::請： ^後，根據-網路介面或—1?錄域 ::::入網路’並查找該代理_呼叫會話控制:能實 =身為該登入網路設置的該安全通道類型，再從所設置的文全通道類型中選出一種安全通道類型。請專概圍第1項所述之1?多媒體子王的方法’其卜用戶歸屬她根據設置 (S) 1314414 98歲11第95118609號專利說明書及申請專利範圍修正本該安全通道類型，則選擇該用户終端使用的登入安當該用戶歸翻服器接收到多媒體認證請求後’根據鮮媒體認證請求巾的剌戶, 該用戶標識對應的該安全通道 _應將該安全通道類型發送予一業秦呼叫會話控制功此實體’該業務牛彳會雜制功能實體將該用戶屬他H設置之安全通道麵轉發給—代理· ，制功能實體，並由該代理·呼叫會話控制功能實^ 定與該用戶終端之間建立的該安全通道類型。 4、 t=範Τ或3項所述之1”媒體子系統登女王的方法，其中該方法進—步包括：該用戶代理呼叫會話控制功能實體之間建立該安全通道該代理-呼叫會話控制功能實體將該安全通 ’ 給該業務·呼叫會話控制功能實體。、艮 5、依申請專利範圍第1項所述之IP多媒體子系統八6 :::法’其找安全通綱係選自一網際網協疋、—傳輸層安全性及不設置安全通道之一 6、依申請專利範圍第3項所述之ip多媒體子一。全的方法，其中該用戶標識係選自一為私有用^入女 —公有用戶標識或一用戶類型之一。標識、 7依申晴專利範圍第2項所述之IP多媒體子系統a — 全的方法，其中該登入網路係選自一移動’且入女 ,λ 足乡罔、一固疋且入網、一非對稱數位用戶網路、一區域網路 “ 纖同轴混合網路及一無線區域網路之—。光 —35—— 1314414 98. 06.11第95118609號專利說明書及申請專利範圍修正本七、指定代表圖： (一) 本案指定代表圖為：第〔4 〕圖。 (二) 本代表圖之元件符號簡單說明： 401貫施消息摘要認證之認證步驟 402實施消息摘要認證之認證步驟 403實施消息摘要認證之認證步驟 404實施消息摘要認證之認證步驟 405實施消息摘要認證之認證步驟 406實施消息摘要認證之認證步驟 407實施消息摘要認證之認證步驟 408貫施消息摘要認證之認證步驟 '409實施消息摘要認證之認證步驟 410實施消息摘要認證之認證步驟八、本案若有化學式時，請揭示最能顯示發明特徵的化學式：