WO2006072219A1

WO2006072219A1 - Systeme d'authentification d'un reseau de sous-systeme multimedia ip et procede associe

Info

Publication number: WO2006072219A1
Application number: PCT/CN2006/000019
Authority: WO
Inventors: Jie Xu
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2005-01-07
Filing date: 2006-01-09
Publication date: 2006-07-13
Also published as: CN1801706B; CN1801706A

Description

N2006/000019 一种 IP多媒体子系统网络鉴权系统及方法技术领域

本发明涉及 BP多媒体子系统领域，具体涉及一种 IP多媒体子系统网络鉴权系统及方法。发明背景

目前， EP 多媒体子系统（IMS ) 网络在标准协议中定义采用 AKAvl-MD5算法对用户进行鉴权,用户要想使用 MS'网络提供的服务，就必须具有支持此算法^ IMS用户识别（ISIM )卡。 ^由于用户识别模块（UIM )卡或用户识别模块 ( SIM )卡只支持传统的鉴权算法，而不支持 AKAvl-MD5算法，因此，那些使用 UIM卡或 SM卡的用户无法通过 IMS域的鉴权。

为了使只能使用 SM卡的通用分组无线业务（ GPRS )用户能够接入 IMS网络，第三代合作伙伴组织（3GPP )制定的 .MS标准协议技术报告 ( TR ) 33.878中定义了一种名为 Early IMS的过程。它通过将为移动台（ MS )分配的用户 IP地址和 MS的国际移动用户识別标识（ IMSI ) 或移动台国际综合业务数字网号码（MSISDN )进行绑定，使得只支持 SM卡的 GPRS用户能够接入 IMS网络，如图 1所示，其具体步骤如下：步驟 101: MS向 GPRS网络的网关 GPRS支持节点（ GGSN )发起接入请求，该接入请求消息中带有 IMSI或 MSISDN、 GGSN给 MS分 ^的用户 IP地址等。

■ 步骤 102: GGSN收到接入请求后，通过自身的 Gi接口将用户 EP 地址和 IMSI,或将用户 DP地址和 MSISDN通知 MS网络的归属用户服务器（HSS ),

系。

步驟 103: MS向 IMS网络的服务呼叫会话控制功能（S-CSCF )发起注册请求，该注册请求消息中带有 MS私有用户标识（MH )和 MS 的接入 IP地址。

IMPI是 MS自身具有的参数，且注册请求消息带有该参数。

步驟 104: S-CSCF根据接收到的 IMPI向 HSS查询与之对应的 IMSI 或 MSISDN, 进而查找到对应的用户 IP地址。

在 MS开户时,. HSS保存 MS的 IMSI和 ΓΜΡΙ,或保存 MS的 MSISDN 和 IMPI, 并对应建立 MSI或 MSISDN与 IMPI的对应关系。

步驟 105: S-CSCF判断注册请求消息中携带的 MS'的接入 IP地址和步骤 104中查到的 HSS保存的用户 IP地址是否一致，若是，判定鉴权通过，通知 MS注册成功；否则，判定鉴权没通过，通知 MS注册失败。

这种简单地使用用户 IP地址对用户进行合法性判断的方法只是一种 [艮初级的安全措施，实际上没有执行任何鉴权算法，非法终端只要使用与 HSS中保存的用户 IP ^址相同的 IP地址发起注册請求，且在注册请求消息中带有与该 IP地址对应的 IMPI, 就可以很容易地接入 IMS网络，这样会对被假冒.的用户造成经济损失；另外， MS网络要求 MS的接入 IP地址必须为公网 IP地址，因为：若接入 IP地址是私网 IP地址，那么 IMS网络会对其进行地址转换，转换后的地址与 MS的接入 IP地址很可能不同，这样转换后的地址与步骤 104中 HSS查找到的用户 IP 地址就会不一致，从而导致 MS'注册失败, 所以该方法要求接入 IP地址必须为公网 ΓΡ地址，在现有 IP地址资源有限的情况下，其应用必然会受到限制。发明内容

有鉴于此，本发明的主要目的在于提供一种 IMS网络鉴权系统及方法，以实现 IMS网络对只支持传统鉴权算法的 MS进行鉴权，以避免用户的经济损失，同时保证 MS鉴权成功。

为达到上述目的，本发明的技术方案是这样实现的：

一种 IMS网络鉴权系统, 包括：只支持传统鉴权算法的 MS、 CSCF 和至少支持传统鉴权算法的鉴权单元，其中，

鉴权单元，用于利用传统鉴权算法进行鉴权计算，并将鉴权计算结果和鉴权必要参数发送给 CSCF;

MS,用于根据 CSCF发来的鉴权必要参数，利用传统鉴权算法进行鉴权计算，并将鉴权计算结果发送给 CSCF;

CSCF, 用于将鉴权单元发来的鉴权必要参数转发给 MS, 并比较来自鉴权单元和 MS的鉴权计算结果,若两者一致，判定鉴权成功；否则，判定鉴权失败。

所述鉴权单元包括：鉴权计算单元和鉴权转发单元，且在所述鉴权转发单元上增加支持鉴权相关信令和数据的接口，所述鉴权转发单元通过所述接口连接到所述鉴权计算单元，其中，

鉴权计算单元，用于利用传统鉴权算法进行鉴权计算, 并将鉴权计算结果和鉴权必要参数发送给鉴权转发单元；

鉴权转发单元，用于将鉴权计算单元发来的鉴权计算结果和鉴权必要参数转发给 CSCF。

所述 CSCF包括：

代理 CSCF,用于将 MS发来的鉴杈计算结果传递给问讯 CSCF,将问讯 CSCF发来的鉴权必要参数传递给 MS;

问讯 CSCF, 用于将代理 CSCF发来的 MS的聲权计算结果传递给服务 CSCF, 将服务 CSCF发来的鉴权必要参数传递给代理 CSCF; 服务 CSCF , 用于将鉴权单元发来的鉴权必要参数传递给问讯 CSCF, 接收^保存鉴权单元发来的鉴权计算结果以及接收问讯 CSCF 传递来的 MS的鉴权计算结果，然后将鉴权单元和 MS的鉴权计算结果进行比较。

一种在 IMS网络鉴权系统中进行的 MS网络鉴权方法，所述 IMS 网络鉴权系统包括只支持传统鉴权算法的 MS、 CSCF和至少支持传统鉴权算法的鉴权单元，其特征在于，该方法包括：

A、鉴权单元根据自身保存的鉴权参数，利用传统鉴权算法进行鉴权计算，并将鉴权计算结果和鉴权必要参数发送至 CSCF, 之后 CSCF 将鉴权必要参数发送给 MS;

B、 MS收到鉴权必要参数后，根据该鉴权必要参数和自身保存的鉴权参数，利用传统鉴权算法进行鉴权计算，并将鉴权计算结果发送给 CSCF;

C、 CSCF判断鉴权单元和 MS发来的鉴权计算结果是否一致，若一致，判定鉴权成功；否则，判定鉴权失败。 .

所述鉴权单元包括鉴权计算单元和鉴权转发单元，其中步骤 A所述鉴权单元进行鉴权计算为：鉴权计算单元进行鉴权 i十算，步骤 A所述鉴权单元将鉴权计算结果和鉴权必要参数发送至 CSCF为：鉴权计算单元将鉴权计算结果和鉴权必要参数先发送至鉴权转发单元，再由鉴权转发单元发送至 CSCF。

所述步骤 A之前进一步包括: MS向 CSCF发送注册请求消息， CSCF 收到该注册请求消息后向鉴权单元发送获取鉴权集消息，鉴权单元收到获取鉴权集消息后，且检测到 MS只支持传统鉴权算法，转至步驟入。

所述传统鉴权算法为： CDMA系统的 CAVE算法。步骤 A所述鉴权单元将鉴权计算结果和鉴权必要参数发送至 CSCF 之后、 CSCF将鉴权必要参数发送给 MS之前，进一步包括：

CSCF向 MS发送要求重注册消息， MS收到该要求重注册消息后，向 CSCF发送注册请求消息，之后 CSCF接收该注册请求消息。

步驟 A所述鉴权单元保存的鉴权参数和步骤 B所述 MS保存的鉴权参数包括 SSD。

所述方法进一步'包括更新 SSD的步骤，所述更新 SSD的步骤包括： a、鉴权单元计算 SSD, 然后向 MS.发送要求重新注册的消息，并将 SSD更新随机数发送给 MS;

" b、 MS根据自身产生的基站查询随机数计算并保存基站查询结果，然后向 CSCF发起注册请求，该注册请求消息中带有基站查询随机数， CSCF收到注册请求消息后要求鉴权单元进行基站查询，之后鉴权单元根据基站查询随机数计算基站查询结果，将该基站查询结果和鉴权计算结果返回给 MS ;

c、 MS判断自身计算得到的基站查询结果和鉴权单元返回的基站查询结果是否一致，若是，根据 SSD更新随机数更新 SSD,并根据此 SSD 和鉴权随机数计算鉴权计算结果，将鉴权计算结果发送给 CSCF;

d、 CSCF判断 MS和鉴权单元发来的鉴权计算结果是否一致，若是，通知鉴权单元鉴权成功，之后鉴权单元更新自身保存的 SSD; 否则，本流程结束。

步驟 a所述鉴权单元将 SSD更新随机数发送给 MS为：鉴权单元将 SSD更新随机数携带在注销消息中发送至 CSCF, 之后 CSCF将该携带 SSD更新随机数的注销消息传递给 MS。 . ：

步骤 a所述鉴权单元将 SSD更新随机数发送给 MS为：鉴权单元将 SSD更新随机数携带在多媒体鉴权响应消息中发送至 CSCF ,之后 CSCF 将该携带 SSD更新随机数的多媒体鉴权响应消息发送给 MS, 同时' - 步骤 a所述鉴权单元向 MS发送要求重新注册的消息之后、向 MS 发送 SSD更新随机数之前，进一步包括：

MS向 CSCF发送注册请求消息， CSCF收到该注册请求消息后向鉴权单元发送多媒体鉴权请求消息，鉴权单元收到该鉴权请求消息后将 SSD更新随机数通过多媒体鉴权响应消息发送给 CSCF。

所述传统鉴权算法为： GSM系统的 A3或 A8算法。

所述鉴权必要参数为鉴权随机数。

与现有技术相比，本发明对原有电路域的网络设备没有改动，只需鉴权单元将鉴权必要参数通过 CSCF传递给 MS,而鉴权算法仍然在 MS 和鉴权单元上实现，不需 IMS网络实体支持传统鉴权算法，实现筒单，同时本发明与 MS的接入 IP地址无关，通过传统鉴权算法实现 IMS网络的鉴权，保证了鉴权的可靠性和成功率。附图简要说明

图 1为 IMS网络对 GPRS用户进行鉴权的 Early IMS过程示意图；图 2为本发明提供的 IMS网络鉴权系统的组成图一；

图 3为本发明提供的 IMS网络鉴权系统的组成图二；

图 4为本发明提供的 MS网格进行赛权的流程图；

图 5 为本发明提供的终端发起的 MS 网络对只支持 UIM 卡的

CDMA用户进行鉴权的消息流程时序图；

图 6 为本发明提供的网络发起的 IMS 网络对只支持 UIM 卡的

CDMA用户进行鉴权的消息流程时^图.； , .

图 7为网络发起的 SSD更新的具体实施例一的消息流程时序图；图 8为网络发起的 SSD更新的具体实施例二的消息流程时序图；图 9为本发明提供的 MS网络对只支持 SM卡的 GSM用户进行鉴权的消息流程时序图。 . 实施本发明的方式 - 下面结合附图及具体实施例对本发明再作进一步详细的说明。

图 2是本发明提供的 IMS网络鉴权系统的组成图，如图 2所示，该系统主要包括：

MS21: 在本系綵中进一步用于接收 CSCF22发来的鉴权必要参数，并将根据该鉴权必要参数和自身保存的鉴权参数，利用传统鉴权算法计算出的鉴权计算结果发送给 CSCF22。

MS21只支持传统鉴权算法，本发明中的传统鉴权算法指 CDMA系统的 CAVE算法，或 GSM系统的 A3或 A8算法。

CSCF22: 在本系统中进一步用于将鉴权单元 23发来的鉴权必要参数传递给 MS21 , 同时用于接收并保存鉴权单元 23发来的鉴权计算结果以及接收 MS21的鉴权计算结果，并将鉴权单元 23和 MS21的鉴权计算结果进行比较；

鉴权单元 23: 用于根据自身保存的鉴权参数，利用传统鉴权算法计算出鉴权计算结果，在本系统中进一步用于将该鉴权计算结果和鉴权必要参数发送给 CSCF22。

本发明中的鉴权单元 23 至少支持传统鉴权算法，也可以支持其它鉴权算法。 '

鉴权流程可由 MS21发起，也可由鉴权单元 23发起。在由 MS21 发起鉴权流程时， CSCF22进一步用于，在收到 MS21 ,发来的注册请求消息后，向鉴权单元 23发送获取鉴权集消息，鉴权单元 23进一步用于，收到该获取鉴权集消息后，若检测到 MS只支持传统鉴权算法，则将鉴 006 000019 权必要参数和自身计算出的鉴权计算结果发送给 CSCF22; 在由鉴权单元 23发起鉴权流程时，鉴权单元 23主动将自身保存的鉴权必要参数和自身计算出的鉴权计算结果发送给 CSCF22。

' MS开户时，向鉴权单元 23上报自身是否只支持传统鉴权算法，鉴

5 权单元 23保存只支持传统鉴权算法的 MS标识。

图 3是本发明提供的 IMS网络鉴权系统的组成图二，如图 3所示，与图 2相比：

鉴权单元 23包括：鉴权计算单元 231和鉴权转发单元 232, 其中：鉴权计算单元 231: 用于根据自身保存的鉴权参数，利用传统鉴权 10 算法计算出鉴权计算结果，在本系统中进一步用于将该鉴权计算结果和自身保存的鉴权必要参数发送给鉴权转发单元 232。

鉴权计算单元 231可位于归属位置寄存器（HLR ) 中；鉴权计算单元 231至少支持传统鉴权算法，也可以支持其它鉴权算法。

鉴权转发单元 232: 在本系统中进一步用于将鉴权计算单元 231发 15 送来的鉴权必要参数和鉴权计算结果传递给 CSCF22。

鉴权转发单元 232可位于 HSS中。

在由 MS21发起鉴权流程时， CSCF22进一步用于，在收到 MS21 发来的注册请求消息后 , 向鉴权转发单元 232发送获取鉴权集消息，鉴权转发单元 232收到该获取鉴权集消息后，若检测到 MS只支持传統鉴 20 权算法，则向鉴权计算单元 231发送获取鉴权集消息。

CSCF 22包括：代理 CSCF( P-CSCF )221、 I-CSCF222和 S-CSCF223 , 其中： ' ' '

' . ' - . P-CSCF221: 在本系统中进一步用乎接收 I-CSCF222发送来的鉴权必要参数，并将该鉴权必要参数传递给 MS21 , 同时用于接收 MS21发 25 ' 来的鉴权计算结果，并将该鉴权计算结果传递给 I-CSCF222; I-CSCF222:.在本系统中进一步用于接收 S-CSCF223发送来的鉴权必要参数，将该鉴权必要参数传递给 P-CSCF221 , 并接收 P-CSCF221 传递来的 MS21的鉴权计算结果,将该鉴权计算结果传递给 S-CSCF223;

S-CSCF223:在本系统中进一步用于将鉴权单元 23发送来的鉴权必要参数传递给 I-CSCF222,并接收和保存鉴权单元 23传递来的鉴权计算结果以及接收 I-CSCF222发来的 MS21的鉴权计算结果，然后将鉴权单元 23和 MS21的鉴权计算结果进行比较。

由图 3可以看出，本发明需要在鉴权转发单元 232上新增加一个网络接口，该网矣口上运行移动应用部分（ MAP )信令，遵循 MAP协议，以与鉴权计算单元 231进行鉴权相关信令和数据的交换，从而在 IMS 域实现传统鉴权算法。通过这个网络接口，鉴权转发单元 232充当电路域拜访位置寄存器（VLR ) 的地位。

对于码分多址（ CDMA )系统，该新增网络接口遵循 CDMA的 MAP 协议 TIA/EIA-41D; 对于全球移通信（ GSM ) 系统，该新增接口遵循 GSM的 MAP协议 TS 29.002ο

要在 IMS域实现传统鉴权算法， IMS网络必须能够传递实现传统鉴权算法的关键参数，具体实现过程是：

一、对于 CDMA系统，其 UIM卡支持的传统鉴权算法即 CAVE算法中的关键参数有：鉴权密钥（AJ« ey )、电子序列号（ESN )、 IMSI和一个随机数（Rand ), 其中：

1、 A— Key在 MS和鉴权计算单元 231 中已经存在，不需要也不允许在 IMS网络中传递。

MS的 IMPI建立起——对应关系。当 MS发起鉴权流程时，鉴权转发单元 232 MS的 MPI查找到对应的 ESN和 MSI,并将该 ESN和 I SI N2006/000019 填入到发送给鉴权计算单元 231的鉴权相关消息中。

3、 Rand在 IMS网络支持的^舌发起协议（SEP ) 中已有对应参数。二、对于 GSM系统，.其 SM卡支持的传统鉴权算法即 A3或 A8 算法中的关键参数有：鉴权密钥（Ki )、 MSI和一个随机数（Rand ), 其中：

1、 Ki在 MS和鉴权计算单元 231中已经存在，不需要也不允许在 IMS网络中传递。

2、 IMSI可在 MS开户时保存在 IMS网络的鉴权转发单元 232中，并与 MS的 IMPI建立起一^ ^对应.关系。当 MS发起鉴权流程时，鉴权转发单元 232根据 MS的 MPI查找到对应的 MSI, 并将该 IMSI填入到发送给鉴权计算单元 231的鉴权相关消息中。

3、 Rand在 IMS网络支持的 SEP中已有对应参数。

通过上述过程，传统鉴权算法的关键参数已经具备在 MS网络中传递的基石出。

需要注意的是，在 CDMA系统中， A— Key并不直接参与 CAVE算法，而是由由其生成的共享加密数据 ( SSD )参与 CAVE算法。

以下是本发明提供的 MS 网络进行鉴权的具体实施例，为便于理解，将具体实施例中的信令消息罗列如下：

SIP信令：注册请求（ REGISTER )消息， 401未授权 ( Unauthorized ) 消息， 200 响应（ OK )消息， 403禁止（ Forbidden )消息，通知（ NOTIFY ) 消息；

Diameter信令：多媒体鉴权（ MAR )消息，多媒体鉴权响应（ MAA ) 消息:，'服务器指配请求 CSAR ) 消息, '·: '服务器指配 '响'应 ( SAA ) 消息，注销（RTR ) 消息，注销响应（RTA ) 消息；

MAP信令：鉴权请求（ AUTHREQ )消息，鉴权请求响应（autoeq ) 消息，鉴权状态报告（ASREPORT )消息，鉴权状态报告响应（asreport ) 消息，基站查询（BSCHALL )消息，基站查询响应（bschall )消息，鉴权指示，（AUTHDIR ) 消息，鉴权指示响应（autMir ) 消息，鉴权请求 ( MAP_SE D_AUTHENTICATION_INPO Request ) 消息，鉴权请求响应（MAP_SEND—AUTHENTiCATION— INFO Response ) 消息。

在以下描述中提到的 .MS向 S-CSCF发送的所有消息都是经 P-CSCF 和 I-CSCF传递给 S-CSCF的，同样 S-CSCF向 MS发送的所有消息都是经 I-CSCF和 P-CSCF传递给 MS的。

图 4是本发明提供的 MS网络进行鉴权的流程图，如图 4所示，其具体步骤如下：

步骤 401: 鉴权单元根据自身保存的鉴权参数，利用传统鉴权算法进行鉴权计算，并将鉴权计算结果和鉴权必要参数发送给 CSCF。

步骤 402: CSCF收到鉴权单元发来的鉴权计算结果和鉴权必要参数后，保存该鉴权计算结果，并将鉴权必要参数发送给 MS。

步驟 403: MS收到该鉴权必要参数后，根据该鉴权必要参数和自身保存的鉴权参数，利用传统鉴权算法计算鉴权计算结果，并将鉴权计算结果发送给鉴权单元。

步骤 404: 鉴权单元收到 MS发来的鉴权计算结果后，判断鉴权单元和 MS发来的鉴权计算结果是否一致，若是，判定鉴权通过；否则，判定鉴权失败。

在具体应用中，鉴权单元可包括鉴权计算单元和鉴权转发单元，以下具体实施例中，设定鉴权计算单元位于 HLR中，鉴权转发单元位于 HSS中。

图 5 是本发明提供的终端发起的 MS 网络对只支持 Ό1Μ卡的 CDMA用户进行鉴权的消息流程时序图，如图 5所示，其具体步骤如下：步骤 501: MS通过注册请求消息向 MS网络的 S-CSGF发起注册请求，该注册请求消息中带有 ΓΜΡΙ。 .· '

步骤 502: S-CSCF接收到注册请求消息后，向 HSS发送 MAR消息以获取鉴权集，该 MAR消息中带有 IMPI。

步骤 503： HSS接收到 MAR消息后，根据该 MAR消息带有的 IMPI 检测到 MS只支持传统鉴权算法，然后在自身查找到该 IMH对应的 ESN 和 IMSI, 然后向 HLR发送鉴 ^又请求 ( AUTHREQ ) 消息，该鉴权请求消息中带有 MSI和 ESN, 但不带有独特查询结果参数： AUTHR参数。

MS开户时，由网络管理员等将 MS支持的鉴权算法信息配置到 HSS 上，即 HSS保存有 MS标识与 MS支持的鉴权算法的对应关系， MS标识可以是 IMPI等，此后 HSS可根据 MS标识查询 MS是否只支持传统鉴权算法。

步驟 504: HLR接收到鉴权请求消息后，检测到该鉴权 -清求消息中不带 AUTHR参数，则 HLR根据自身保存的 SSD和随机数： RA DU 以及鉴权请求消息携带的 ESN和 IMSI, 利用 CAVE算法计算出独特查询结果： AUTHU, 然后向 HSS返回鉴权请求响应（authreq ) 消息以指示 HSS发起独特查询请求，该鉴权请求响应消息中带有鉴权集：独特查询随机数： RANDU和独特查询结果： AUTHU。

步驟 505: HSS接收到鉴权请求响应消息后，将该鉴权请求响应消息携带的鉴权集： RANDU和 AUTHU进行转换，分别映射为 IMS域的鉴权集： RAND和 XRES, 并将 RAND和 XRES通过 MAA消息返回给 S-CSCF。 ■ .·

步骤 506: .· S-CSC¾F:接收到. MAA消息后，保存该 MAA消息携带的 /' HLR的独特查询结果 XRES, 并向 MS返回 401未授权消息以指示 MS 进行鉴权，该 401未授权消息中带有 RAND。 ■ 步骤 507: MS收到 401未授权消息后，.根据该 .401未'授权消息带有的 RAND, 并结合自身保存的 SSD、 ESN和 IMSI, 利用 CAVE算法计算出独特查询结果，将该独特查询结果填入 SIP信令的 RES参数中，并通过新的注册请求消息通知 IMS网络的 S-CSCF。

步驟 508: S-CSCF 收到注册请求消息后，判断该注册请求消息的 RES参数中带有的独特查询结果和步骤 506中收到的 MAA消息带有的 HLR上 4艮的独特查询结果是否一致，若是，认为鉴权通过，通过 SAR 消息向 HSS报告鉴权已通过并要求下载用户签约数据，执行步骤 509; 否则，认为鉴权没通过，通过 MAR消息通知 HSS鉴权失败，并向 MS 返回 403禁止消息，本流程结束。

步驟 509: HSS接收到 SAR消息后，向 HLR发送鉴权状态报告消息，该鉴权状态报告消息中的独特查询报告 ( UCREPORT )参数指示成功, 以表明独特查询成功。

. 步骤 510: HLR接收到指示独特查询成功的鉴权状态报告消息后，向 HSS返回一个不带任何参数的鉴权状态报告响应消息，以表明鉴权通过。 .

步骤 511: HSS接收到指示鉴权通过的鉴权状态报告响应消息后，将自身保存的 MS的用户状态信息中的未鉴权、未注册信息对应更新为鉴权成功、注册成功信息，并通过 SAA消息向 S-CSCF返回用户签约数据。

步骤 512: S-CSCF接收到 SAA消息后，向 MS返回 200响应消息，表明用户注册成功。

^J- ' '".图， 5.：是由终端侧主动发起的对只 '支持 ϋΜ '卡的 DMA用.户进行鉴权的消息流程，在实际应用中，网络侧也可能主动发起对只支持 UIM卡的 CDMA用户进行鉴权的消息流程，如图 6所示，其具体步骤如下：步驟 601： HLR向 HSS发送鉴权指示消息，该鉴权指示消息带有鉴权集:：'独特查询随机数 RANDU和独特查询结果 AUTHU, 以指示 HSS 发起独特查询请求。 ■

步骤 602: HSS收到鉴权指示消息后,. 将该鉴权指示消息携带的鉴权集: RANDU和 AUTHU进行转换,分别映射为 IMS域的鉴权集: RAND 和 XRES, 并保存该 RAM)和 XRES, 并通过 RTR消息通知 S-CSCF注销用户。

步骤 603: S-CSCF收到 RTR消息后，通过通知消息通知 MS进行重注册。

步驟 604: MS收到通知消息后，向 S-CSCF返回 200响应消息。步驟 605: S-CSCF收到 200响应消息后，向 HSS返回 RTA消息， RTA消息是步驟 602中 RTR消息的响应消息。

步骤 606: HSS收到 RTA消息后，向 HLR返回不带任何参数的鉴权指示响应消息，鉴权指示响应消息是步骤 601中鉴权指示消息的响应消息。

• 步骤 607: MS收到要求进行重注册的通知消息之后，向 S-CSCF发送注册请求消息，该注册请求消息中不带有鉴权相关参数。

步骤 608: S-CSCF收到注册请求消息后，向 HSS发送 MAR消息，以获取餮权集。

步骤 609: HSS收到 MAR消息后 , 向 S-CSCF返回 MAA消息 , 该

MAA消息带有步驟 602中保存的 RAND和 XRES。

步骤 610: S-CSCF收到 MAA消息后，保存该 MAA消息带有的 HLR的独特查询结果 XRES, 并向 "MS返回 401·未授权消息，该 .401,未授权消息中带有独特查询随机数 RAND。

步驟 611: MS收到 401未授权消息后，根据自身保存的 A_Key、

、 \ SSD、 ESN和 IMSI利用 CAVE算法计算出独特查询结果 RES，并将该独特查询结果 RES携带在注册请求消息中发送给 S-CSCF。

步驟 612: S-CSCF收到注册请求消息后，判断该注册请求消息带有的 MS上寺艮的独特查询结果和步骤 610中收到的 MAA消息中的 HLR上艮的独特查询结果是否一致，若是，则表示独特查询通过， S-CSCF 向 HSS发送 SAR消息，以表明鉴权成功并要求下载用户签约数据，执行步骤 613; 否则， S-CSCF向 HSS发送 MAR消息以表明鉴权失败，并向 MS返回 403禁止消息，本流程结束。

步骤 613: HSS收到 SAR消息后，向 HLR发送鉴权状态报告消息，该鉴权状态报告消息中的独特查询结果报告 ( UCREPORT )参数指示成功，以表明独特查询成功。

步骤 614: HLR收到指示独特查询成功的鉴权状态报告消息后，得知独特查询成功，然后向 HSS返回不带任何参数的鉴权状态报告响应消息，表示鉴权成功。

步驟 615: HSS收到指示鉴权成功的鉴权状态报告响应消息后，将自身保存的 MS的用户状态信息中的未鉴权、未注册信息对应更新为鉴权成功、注册成功信息，并向 S-CSCF返回带有用户签约数据的 SAA消息。

步驟 616: S-CSCF收到 SAA消息后，向 MS返回 200响应消息，表明用户注册成功。

由于在 CAVE算法中， A— Key并不直接参与运算，而是由通过 A— Key 计算出的 SSD来参与运算，而 MS中的 SSD和 HLR中的 SSD有可能出. 现不^ ^致的情况，因此网絡侧需要发起 SSD的更新流程。 ' ' .' ·■ 图 Ί是网络侧主动发起 SSD更新的具体实施例一的消息流程时序图，如图 7所示，其具体步骤如下：步驟 701: HLR通过鉴权指示消息向 HSS发起 SSD更新请求，该 SSD更新请求消息中带有 SSD更新所需的随机数 RANDSSD以及独特查询随机数 RAKDU和独特查询结果 AUTHU; 同时， HLR根据自身保存的 A— Key、 RANDSSD以及 MS的 ESN和 IMSI计算出 SSD。

步骤 702: HSS接收到鉴权指示消息后，保存该鉴权指示消息带有的独特查询随机数 RANDU和独特查询操作结果 AUTHU, 并通过 RTR 消息通知 S-CSCF注销用户，该 RITL消息中带有 HLR上报的随机数 RANDSSDo

RTR 消息是由 DIAMETER协议制定的消息，在这里，需扩展 DIAMETER协议，在 RTR消息中增加支持 RANDSSD的参数。

步驟 703: S-CSCF接收到 RTR消息后，通过通知消息通知 MS进行重注册，通知消息中的请求（Require )参数指示要求 MS发起 SSD更新，且通知消息中带有 SSD 更新所需的随机数 RANDSSD, 具体地， RANDSSD携带在 Authorization参数中。

步驟 704: MS向 S-CSCF返回 200响应消息。

步骤 705: S-CSCF向 HSS返回 RTA消息， RTA消息是步驟 ⁵02中 RTR消息的响应消息。

—步驟 706: HSS收到 RTA消息后，向 HLR返回不带任何参数的鉴权指示响应消息，養权指示响应消息是步驟 701中鉴权指示消息的响应消息。

■ 步骤 707: 由于网 ^^求 MS进行 SSD更新， MS会先对网络进行鉴权， '此时 MS产生一个基站查询随机数 RANDBS，根据该 RANDBS 和'自身保存的' SSD、 ESN和 IMSI, .利用 CAVE算法计算出.: 个基站查询结果，并保存该基站查询结果，然后通过注册请求消息向 S-CSCF发起重注册请求，该注册请求消息中带有 MH, 同时带有基站查询随机数 RANDBS, 以指示 MS网络进行基站查询。

' -步驟 708: S-CSCF接收到带有 RANDBS 的注册请求消息，通过 MAR消息将 RANDBS发送给 HSS,该 MAR消息中同时带有参数 IMPI, 并且在 MAR消息中通过 SIP鉴权机制 ( SIP-Authentication-Scheme )参数指示 HSS发起基站查询，其中， RANDBS携带在 SIP-Authorization 参数中。

步驟 709: HSS接收到 MAR消息后，根据该 MAR消息带有的 IMPI 查找到对应的 ESN和 IMSI，然后向 HLR发送基站查询消息，该基站查询消息中带有 ESN、和 RANDBS。

步驟 710: HLR收到基站查询消息后，根据自身保存的参数 SSD以及该基站查询消息携带的 ESN、 MSI和 RANDBS, 利用 CAVE算法计算得到基站查询结果 AUTHBS，将该 AUTHBS通过基站查询响应消息返回给 HSS。

步骤 711 : HSS接收到基站查询响应消息后，通过 MAA 消息向 S-CSCF返回基站查询结果 AUTHBS, 该 MAA消息中同时带有独特查询随机数 RA DU和独特查询结果 AUTHU,以要求 S-CSCF同时对 MS 进行独特查询。

步骤 712: S-CSCF接收到 MAA消息后，保存该 MAA消息带有的 HLR的独特查询结果 AUTHU, 并向 MS返回 401未授权消息，该 401 未授权消息中带有基站查询结果 AUTHBS, 同时带有独特查询随机数 RANDU, 以告知 MS在 SSD更新完毕之后需要进行独特查询。

H 713: MS收到: 401未授权消息后，判断该 401未授权消息带有的 HLR '计算出的基站奎询结果 ^:A¥THBS .是否与步驟 707中自：身计算得到的基站查询结果相匹配，若是，则根据自身保存的 A—Key、RANDSSD、 ESN和 IMSI利用 CAVE算法更新 MS中的 SSD,然后用新的 SSD执行独特查询操作，利用 CAVE算法计算出独特查询结果 AUTHU, 并将该 AUTHU携带在新发送的注册请求消息中带给 S-CSCF, 执行步骤 71⁴； . 否则认为鉴权没通过，本流程结束。 - 在这里，在 MS判定 HLR计算出的基站查询结果 AUTHBS与步骤 707中自身计算得到的基站查询结果不匹配时', MS也可能重新通过注册请求消息向 MS网络发起注册请求，该注册请求消息中不携带鉴权计算结果以表明网络鉴权没通过、需要重新进行鉴权。

步骤 714: S-CSCF收到注册请求消息后， .判断该注册奇求消息带有的 MS上报的 AUTHU和步骤 712中收到的 MAA消息中的 HLR上报的 AUTHU是否一致，若是，则表示独特查询通过， S-CSCF向 HSS发送 SAR消息以表明鉴权成功并要求下载用户签约数据，执行步驟 715; 否则， S-CSCF向 HSS发送 MAR消息以表明鉴权失败，并向 MS返回 403 禁止消息，本流程结束。 '

步骤 715: HSS接收到 SAR消息后，通过鉴权状态报告消息将独特查询成功信息和 SSD更新成功信息报告给 HLR, 其中，独特查询结果报告 ( UCREPORT )参数指示成功， SSD更新结果报告 ( SSDUPRPT ) 参数指示成功。

步骤 716: HLR接收到指示独特查询成功和 SSD更新成功的鉴权状态报告消息后，得知 SSD更新成功，以步骤 701中计算出的 SSD刷新自身保存的当前 SSD,然后向 HSS返回不带任何参数的鉴权状态报告响应消息，表示鉴权成功。

' 步骤 717·: HSS.接收到指示鉴权成功的鉴权状态报告'响应消息后，将自身保存的' MS的用户状态信息中的未鉴权:、未注册信息对应更新为 ., 鉴权成功、注册成功信息，并通过 SAA消息向 S-CSCF返回用户签约数据。步驟 718: S-CSCF接收到 SAA消息后，向 MS返回 200响应消息，表明用户注册成功。 ' .

在 SSD更新的流程中，也可以不扩展 DIAMETER协议，即在图 7 所示流程图的步驟 702中的 RTR消息中不携带告知 MS需要进行 SSD 更新的随机数 RANDSSD, 而是在 MS发起重注册请求时通过 401未授权消息来告知，图 8为本实施例的消息流程时序图，如图 8所示，具体步骤如下：

步骤 801、 804 806与步骤 701、 704 706相同。

步驟 802 为： HSS接收到鉴权指示消息后，通过 RTR消息通知 S-CSCF注销用户 , 该 RTR消息中不需带有随机数 RANDSSD。

步驟 803与 703的区别在于：通知消息不带有随机数 RANDSSD。在这里，通知消息中的支持 RANDSSD的参数是可选的。

步骤 807〜810为：

步驟 807: MS通过注册请求消息向 S-CSCF发起注册请求，该注册请求消息中带有 PL

步骤 808: S-CSCF接收到注册请求消息后，向 HSS发送 MAR消息以获取鉴权集，该 MAR消息中带有 E DPL

. 步驟 809: HSS接收到 MAR消息后，向 S-CSCF发送 MAA消息，该 MAA消息中带有随机数 RANDSSD,以指示 S-CSCF对 MS发起 SSD 更新流程„ ,

步骤 810: S-CSCF接收到 MAA消息后，向 MS发送 401未授权消息，.该 401未授权消息中带有随机数 RANDSSD,, 以通知 MS发起 SSD '更新流程。'：

步骤 811 822与图 7的步骤 707~718相同。

在 IMS网络中，实现对只支持 SIM卡的 GSM用户进行鉴权的消息 000019 流程，如图 9所示，该图所示消息流程与图 5相比：

步驟 901~902与步驟 501^502相同；

步骤 903为： HSS接收到 MAR消息后，根据该 MAR消息带有的 IMPI, 在自身查找到该 IMPI对应的 MSI, 然后向 HLR发送鉴权请求 5 ( MAP— SEND— AUTHENTICATION— INFO Request ) 消息，该鉴权请求消息带有 MSI;

这里，由于 GSM的传统鉴权算法： A3/ A8算法中的关键参数不包括 ESN，所以 HSS接收到 MAR消息后，通过该 MAR消息携带的 IMPI 检索到的是 IMSI而不是 IMSI和 ESN, 且向 HLR发送的鉴权请求消息 10 只需带有 MSI。另外需注意， GSM系统的鉴权奇求消息和鉴权请求响应消息与 CDMA系统的不同。

步骤 904为： HLR接收到鉴权请求消息后，检测到该鉴权请求消息不带有鉴权挑战结果参数： AUTHR参数，则 HLR根据自身保存的 Ki、 RAND和鉴权请求消息带有的 IMSI, 利用 A3或 A8算法计算出鉴权挑 15 战结果： SRES , 然后向 HSS 返回鉴权倩求响应 ( MAP— SEND— AUTHENTICATION—INFO Response )消息，该鉴权请求响应消息中带有鉴权 4兆战结果 SRES和鉴权挑战随机数 RAND;

步驟 905与步骤 505的区别在于： HSS接收到鉴权请求响应消息后，只将该鉴权请求响应消息携带的鉴权集参数 SRES映射为 MS域的鉴权 20 集参数 X ES即可，这是因为：在 GSM系统中鉴权挑战随机数 RAND 与 MS网络的 RAND—致，不必再进行转换；

' 步骤 906为： S-CSCF接收到 MAA消息后，保存该 MAA消息携带

■ 、的. HLR的鉴权挑战结果 XRESV"并向 MS返回' 401未授权消息以指示

•MS进行鉴权，该 401未授权消息中带有 RAND。

25 步骤 907: MS收到 401未授权消息后，根据该 401未授权消息带有

\ 、的 RAND, 并结合自身保存的 Ki、 IMSI, 利用 A3或 A8算法计算出鉴权挑战结果，将该鉴权挑战结果填入 SIP信令的 RES参数中，并通过新的注册请求消息通知 IMS网络的 S-CSCF。

步驟 908: S-CSCF 收到注册请求消息后，判断该注册清求消息的 RES参数中带有的鉴权挑战结果和步骤 906中收到的 MAA消息带有的 HLR上报的鉴权挑战结果是否一致，若是，认为鉴权通过，通过 SA 消息向 HSS报告鉴权已通过并要求下载用户签约数据，执行步骤 909; 否则，认为鉴权没通过，通过 MAR消息通知 HSS鉴权失败，并向 MS 返回 403禁止消息，本流程结束。

步骤 909为： HSS接收到 SAR消息后，向 S-CSCF返回带有用户签约数据的 SAA消息；

步骤 910与步驟 512相同。

这里, 图 9所示消息流程不包括图 5所示的步驟 509和 510, 另外需注意的是：在 GSM系统的鉴权算法 A3或 A8中， Ki是直接参与运算的。

以上所述仅为本发明的过程及方法实施例，并不用以限制本发明 , 凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种 IP多媒体子系统 MS网络鉴权系统，其特征在于，包括：只支持传统鉴权算法的移动台 MS、呼叫会话控制功能 CSCF和至少支持传统鉴权算法的鉴权单元，其中，

2、如权利要求 1 所述的系统，其特征在于，所述鉴权单元包括：鉴权计算单元和鉴权转发单元，且在所述鉴权转发单元上增加支持鉴权相关信令和数据的接口，所述鉴权转发单元通过所述接口连接到所述鉴权计算单元，其中，

鉴权计算单元，用于利用传统鉴权算法进行鉴权计算，并将鉴权计算结果和鉴权必要参数发送给鉴权转发单元；

3、如权利要求 1所述的系统，其特征在于，所述 CSCF包括：代理 CSCF,用于将 MS发来的鉴杯计算结果传递给问讯 CSCF,将问讯 CSCF发来的鉴权必要参数传递给 MS;

问讯 CSCF, 用于将代理 CSCF发来的 MS的鉴权计算结果传递给服务 CSCF，将服务 CSCF发来的鉴权必要参数传递给代理 CSCF; 服务 CSCF , 用于将鉴权单元发来的鉴权必要参数传递给问讯 CSCF, 接收和保存鉴权单元发来的鉴权计算结果以及接收问讯 CSCF 传递来的 MS的鉴权计算结果，然后将鉴权单元和 MS的鉴权计算结果进行比较。

4、一种在 IMS网絡鉴权系统中进行的 MS网络鉴权方法，所述 IMS 网络鉴权系统包括只支持传统鉴权算法的 MS、 CSCF和至少支持传统鉴权算法的鉴权单元，其特征在于，该方法包括：

A、鉴权单元根据自身保存的鉴权参数，利用传统鉴权算法进行鉴权计算，并将鉴权计算结果和鉴权必要参数发送至 CSCF, 之后 CSCF 将鉴权必要参数发送给 MS; ,

C、 CSCF判断鉴权单元和 MS发来的鉴权计算结果是否一致，若一致，判定鉴权成功；否则，判定鉴权失败。

5、如权利要求 4所述的方法，其特征在于，所述鉴权单元包括鉴权计算单元和鉴权转发单元，其中步骤 A所述鉴权单元进行鉴权计算为：鉴权计算单元进行鉴权计算，步驟 A所述鉴权单元将鉴权计算结果和鉴权必要参数发送至 CSCF为：鉴权计算单元将鉴权计算结果和鉴权必要参数先发送至鉴权转发单元，再由鉴权转发单元发送至 CSCF。

6、如权利要求 4所述的方法，其特征在于，所述步骤 A之前进一步包括： MS向 CSCF发送注册请求消息， CSCF收到该注册请求消息后，向鉴权单元发送获取鉴权集消息，鉴权单元收到获取鉴权集消 '息后，'且检测到 MS只支持传统鉴权算法，转至步骤 A。

7、如权利要求 4所述的方法，其特征在于，所述传统鉴权算法为：码分多址 CDMA系统的 CAVE算法。

• 8、如权利要求 7所述的方法，其特征在于，步骤 A所述鉴权单元将鉴权计算结果和鉴权必要参数发送至 CSCF之后、 CSCF将鉴权必要参数发送给 MS之前，进一步包括：

9、如权利要求 7所述的方法，其特征在于，步骤 A所述鉴权单元保存的鉴权参数和步驟 B所述 MS保存的鉴权参数包括共享加密数据 SSD。

10、如权利要求 9所述的方法，其特征在于，所述方法进一步包括更新 SSD的步骤，所述更新 SSD的步骤包括：

a、鉴权单元计算 SSD, 然后向 MS发送要求重新注册的消息，并将 SSD更新随机数发送给 MS; ·

b、 MS根据自身产生的基站查询随机数计算并保存基站查询结果，然后向 CSCF发起注册请求，该注册请求消息中带有基站查询随机数， CSCF收到注册请求消息后要求鉴权单元进行基站查询，之后鉴权单元根据基站查询随机数计算基站查询结果，将该基站查询结果和鉴权计算结果返回给 MS ;

■ d、 CSCF判断 MS和鉴权单元发来的鉴权计算结果是否一致，若是，通知鉴权单元鉴权成功、, 之后鉴权单元更新自身'保存的 SSD; .否则，本流程结束。

11、如权利要求 10所述的方法，其特征在于，步骤 a所述鉴权单元将 SSD更新随机数发送给 MS为：鉴权单元将 SSD更新随机数携带在注销消息中发送至 CSCF, 之后 CSCF'将该携带 SSD更新随机数的注销消息传递给 MS。 -

12、如权利要求 10所述的方法，其特征在于，步驟 a所述鉴权单元将 SSD更新随机数发送给 MS为：鉴权单元将 SSD更新随机数携带在多媒体鉴权响应消息中发送至 CSCF , 之后 CSCF将该携带 SSD更新随机数的多媒体鉴权响应消息发送给 MS, 同时，

步骤 a所述鉴权单元向 MS发送要求重新注册的消息之后、向 MS 发送 SSD更新随机数之前，进一步包括:

MS向 CSCF发送注册请求消息， CSCF收到该注册请求消息后向鉴权单元发送多媒体鉴权请求消息，鉴权单元收到该鉴权请求消息后将 SSD更新随机数通过多媒体鉴权响应消息发送给 CSCFo

13、如权利要求 4所述的方法，其特征在于，所述传统鉴权算法为：全球移动通信 GSM系统的 A3或 A8算法。

14、如权利要求 4所述的方法，其特征在于，所述鉴权必要参数为鉴权随机数。