WO2008025280A1 - Procédé et système d'authentification - Google Patents

Description

一种鉴权方法以及鉴权系统

技术领域

本发明涉及网络安全技术， 尤其涉及一种鉴权方法以及鉴权系统。 发明背景

在电子与通信技术的快速发展趋势下 , 人们在分别通过固定网络和 移动网络获得良好的服务后， 又提出了将上述两种网络相融合的需求。 在这种形势下， 作为下一代网络的核心技术的因特网协议 ( IP ) 多媒体 子系统（IMS )应运而生。 IMS能够支持固定网络和移动网络用户的接 入， 并使得固定网络和移动网络之间的界限淡化至消失。 从用户的角度 而言， IMS使得利用用户设备（UE )等终端来访问、 创建、 消费和分享 数字内容成为可能。

目前的第三代移动通信标准化伙伴项目 （ 3GPP )协议和高级网络中 的电信因特网融合业务及协议 ( TISPAN )协议都明确规定了终端接入的 鉴权方式。 在 3GPP协议中， 可以通过 IP多媒体子系统鉴权和密钥协商 ( IMS-AKA )方式或早期 IMS用户 （ Early-IMS )方式进行鉴权和认证， 并且通过会话发起协议 ( SIP ) 消息中是否携带有授权 ( Authorization ) 头域来确定使用何种鉴权方式；在 TISPAN协议中，可以通过 IMS-AKA 方式、超级文本传输协议摘要鉴权 ( HTTP Digest )方式或网络接入子系 统绑定认证 ( NBA )方式进行鉴权和认证， 并且在服务呼叫会话控制功 i ( S-CSCF )实体能够识别的情况下， 直接将鉴权方式指示给归属用户 服务器（HSS ), 在 S-CSCF实体无法识别的情况下， 由 HSS决定鉴权 方式。 可见， 3GPP协议并未采纳 HTTP摘要鉴权方式和 NBA方式， 而 TISPAN协议并未提及 Early-IMS方式，并且每种鉴权方式相互独立。 当 具有不同鉴权能力的呼叫会话控制功能（CSCF ) 实体与 HSS混合组网 时， 由于无法将所有的鉴权方式进行融合， CSCF实体与 HSS间无法正 常互通， 即 S-CSCF实体可能无法支持 HSS所指示的鉴权方式， 从而无 法对 UE进行鉴权。 因此， 现有的鉴权方法无法融合多种鉴权方式， 限 制了混合组网的灵活性， 网络服务的质量较低， 用户体验较差。 发明内容

为了解决现有技术中无法融合多种鉴权方式而导致无法对 UE进行 鉴权的问题， 本发明提供一种鉴权方法， 目的在于能够融合多种鉴权方 式。

并且，为了解决现有技术中无法融合多种鉴权方式而导致无法对 UE 进行鉴权的问题，本发明还提供一种鉴权系统，能够融合多种鉴权方式。

一种鉴权方法， 其包括：

A.呼叫会话控制功能 CSCF实体接收 UE发起的注册请求， 确定建 议鉴权方式并发送给归属用户服务器 HSS， HSS根据自身保存的用户签 约鉴权方式以及接收到的建议鉴权方式，选定鉴权方式，并通知给 CSCF 实体；

B. CSCF实体根据 HSS选定的鉴权方式确定所使用的鉴权方式，对 UE进行鉴权。

本发明中的鉴权系统包括： 呼叫会话控制功能 CSCF实体和归属用 户服务器， 其中，

所述 CSCF实体用于接收 UE发出的注册请求， 确定建议鉴权方式 并发送给 HSS,接收来自于 HSS的被选定的鉴权方式，确定所使用的鉴 权方式， 对 UE进行鉴权， 获得本次鉴权结果；

所述 HSS用于保存用户签约鉴权方式，接收来自于 CSCF实体的建 议鉴权方式， 根据建议鉴权方式和用户签约鉴权方式选择出被选定的鉴 权方式， 并发送给 CSCF实体。

本发明实施例在对 UE进行鉴权时 , CSCF实体与 HSS才 据实际能 力进行协商， 从多种鉴权方式中选择出所使用的鉴权方式， 进行鉴权。 这样， 在 S-CSCF实体和 HSS支持多种鉴权方式时， 根据双方的能力和 运营商的需要来选择最为合适的鉴权方式， 从而全面地融合了多种鉴权 方式， 有效解决了现有技术中由于无法融合多种鉴权方式而导致无法对 UE进行鉴权的问题。 附图简要说明

图 1为本发明实施例中鉴权方法的示例性流程图；

图 2为本发明实施例 1中鉴权方法的流程图；

图 3为本发明实施例 1中 NBA方式或者 Early-IMS方式下成功的鉴 权方法流程图；

图 4为本发明实施例 1中 HTTP摘要鉴权方式或者 IMS-AKA方式 下成功的鉴权方法流程图；

图 5为本发明实施例 2中鉴权方法的流程图；

图 6为本发明实施例中鉴权系统的示意图。 实施本发明的方式

为使本发明的目的、技术方案更加清楚明白， 以下参照附图并举实 施例， 对本发明做进一步的详细说明。

本发明为一种鉴权方法， 其基本思想是： S-CSCF实体与 HSS通过 协商来确定鉴权方式， 并按照所确定的鉴权方式对用户进行鉴权。

本发明实施例中参与鉴权的网络实体包括 CSCF实体以及 HSS。 图 1 示出了本发明实施例中鉴权方法的示例性流程图， 参见图 1， 该方法 包括：

在步骤 101中， UE发起注册请求， CSCF实体确定建议鉴权方式并 发送给 HSS, HSS根据自身保存的用户签约鉴权方式以及接收到的建议 鉴权方式选择被选定的鉴权方式， 并将选择出的被选定的鉴权方式通知 给 CSCF实体；

在步骤 102中， CSCF实体根据 HSS的被选定的鉴权方式确定所使 用的鉴权方式， 对 UE进行鉴权， 获得本次鉴权结果。

在本发明的 CSCF实体中， 包括用于实现 UE与网络侧连接的代理 呼叫会话控制功能（P-CSCF )实体、用于获取用户能力数据的查询呼叫 会话控制功能 （I-CSCF ) 实体和执行鉴权的服务呼叫会话控制功能 ( S-CSCF) 实体。

本发明实施例的鉴权方法中， 存在两种原则： 最大安全原则和最大 授权原则。 在最大安全原则下， 当 UE未明确指定鉴权方式时， 则选择 安全性最好的鉴权方式， 如果鉴权失败则拒绝 UE的接入； 在最大授权 原则下， 当 UE未明确指定鉴权方式时， 优先选择无需鉴权挑战消息的 鉴权方式， 当优先选择的鉴权方式鉴权失败后， 再利用需要鉴权挑战消 息的鉴权方式进行再次鉴权， 并在再次鉴权失败时， 拒绝 UE的接入。 下面通过实施例来伴细说明本发明实施例中的技术方案。

实施例 1

本实施例中采用最大安全原则确定鉴权方式，并且 HSS在选择鉴权 方式时， 除了考虑签约的鉴权方式和建议鉴权方式之外， 还将可获得鉴 权参数的鉴权方式作为考虑因素。 另外， HSS在选择了鉴权方式后， 为 所选择的鉴权方式确定优先级， S-CSCF 实体利用优先级最高的鉴权方 式进行鉴权。 图 2示出了本实施例中鉴权方法的信令流程图。 参见图 2, 该方法 包括：

在步骤 201〜202中， UE向 P-CSCF实体发送携带有用户标识的注 册请求（REGISTER )消息， 请求注册到网络中， P-CSCF实体根据接收 到的注册请求消息获取接入网信息 , 并将获取到的接入网信息携带于注 册请求消息中， 发送给 I-CSCF。

在步骤 203〜204中， I-CSCF实体从接收到的注册请求消息中获得 用户的因特网协议多媒体公有标识 （IMPU )和因特网协议多媒体私有 标识（ IMPI )， 将 IMPU和 IMPI携带于用户授权请求（ UAR ) 消息中 , 发送给 HSS； HSS根据接收到的 UAR消息获取用户数据 , 确定执行鉴 权的 S-CSCF实体， 并将用户数据和 S-CSCF实体名称携带于用户授权 响应 （ UAA ) 消息中， 发送给 I-CSCF实体。

这里， I-CSCF实体对注册请求消息进行解析， 从该消息的 TO头域 中获取 IMPU ; 然后， I-CSCF 实体判断注册请求消息中是否存在 Authorization 头域， 如果存在， 则将 Authorization 头域中的用户名 ( username M乍为 IMPI,否则 ,将 IMPU中的信息去掉 "sip: "或者 "sips: " 前缀后， 作为 IMPI。

由于 HSS中预先保存有 IMPU、 IMPI以及用户数据的对应关系， 则 HSS在从接收到的 UAR消息中解析出 IMPU和 IMPI后 ,以解析出的这 两个参数为索引， 查找对应的用户数据。 在找到用户数据的情况下， 确 定为该用户鉴权的 S-CSCF实体， 并从 HSS自身获取包括所支持的鉴权 算法等在内的 S-CSCF实体的能力信息。

在步骤 205中， I-CSCF实体从接收到的 UAA消息中获取 S-CSCF 实体名称， 并向该 S-CSCF实体发送携带有用户标识以及鉴权字段的注 册请求消息 , 请求对 UE进行鉴权。 在步骤 206 中， S-CSCF实体根据接收到的注册请求消息确定建议 鉴权方式， 并通过多媒体鉴权请求（MAR ) 消息发送给 HSS。

S-CSCF 实体中预先设置了建议鉴权方式的确定逻辑， 在接收到注 册请求消息后， S-CSCF 实体对接收到的消息进行解析， 并根据该注册 请求消息是否携带 Authorization头域、 鉴权算法的参数值、 是否进行完 整性保护等预先设置的确定因素， 确定建议鉴权方式。 表 1和表 2分别 示出了 TISPAN协议和 3GPP协议下 S-CSCF实体中建议鉴权方式的确 定逻辑。 参见表 1和表 2, 其中 AKAvl-MD5以及 MD5均为鉴权方式， UNKNOWN表示非 IMS- AKA鉴权方式， 并且标号 1、 2、 3等表示建议 鉴权方式的优选顺序。

是否携带 鉴权算法 是否有

建议鉴权方式

Authorization 参数值 完整性保护

是 AKAvl-MD5 有 1. AKAvl-MD5 是 AKAvl-MD5 无 拒绝

是 MD5 有 1. MD5 是 MD5 无 1. MD5

1. AKAvl-MD5 是 无 有 2. MD5

1. UNKNOWN 是 无 无 2. MD5

3. NBA

1. UNKNOWN

2. Early IMS 否 \ \

3. NBA

4. HTTP-Digest 表 1

是否携带 鉴权算法 是否有

建议鉴权方式

Authorization 参数值 完整性保护

是 AKAvl-MD5 有 1. AKAvl-MD5 是 AKAvl-MD5 无 1. AKAvl-MD5 是 MD5 有 1. MD5 是 MD5 无 1. MD5

1. AKAvl-MD5 是 无 有 2. MD5

1. AKAvl-MD5 是 无 无 2. MD5

3. NBA

1、 Early IMS 否 \ \ 2、 NBA

3、 HTTP-Digest 表 2

当按照表 1中的逻辑来确定建议鉴权方式时， 例如注册请求消息中 携带了 Authorization头域、 未携带鉴权算法的参数值、 无需完整性保护 时， S-CSCF实体确定建议鉴权方式为： UNKNOW、 MD5和 NBA。 当 按照表 2中的逻辑来确定建议鉴权方式时， 例如注册请求消息中携带了 Authorization 头域、 未携带鉴权算法的参数值、 无需完整性保护时， S-CSCF实体确定建议鉴权方式为： AKAvl-MD5、 MD5和 NBA。

在确定了建议鉴权方式后， 如果建议鉴权方式为 1种， 则将该建议 鉴权方式打包到鉴权算法项（ SIP-Auth-Data-Item )这一属性值对（ AVP ) 中， 并将该 AVP携带于 MAR消息中， 发送给 HSS; 如果建议鉴权方式 多于 1种， 则将优选的建议鉴权方式， 即标号为 1的建议鉴权方式打包 到鉴权算法项中， 将其余的建议鉴权方式分别打包到私有鉴权算法项 ( Private-SIP-Auth-Data-Item ) 中 , 并将两个 AVP携带于 MAR消息中 , 发送给 HSS。上述采用两个 AVP携带建议鉴权方式的目的在于： 当 HSS 无法识别 Private-SIP-Auth-Data-Item时， 只需从 SIP-Auth-Data-Item中 取出建议鉴权方式信息即可，从而避免因 HSS无法获得建议鉴权方式而 导致 HSS与 S-CSCF实体间的互通阻碍。 当然， 这里也可以仅发送标号为 1的建议鉴权方式， 而不发送其他 建议鉴权方式。

在步骤 207中 , HSS根据接收到的 MAR消息、 自身保存的用户签 约鉴权方式以及可获得鉴权参数的鉴权方式， 选定鉴权方式。

为了保证 HSS选定鉴权方式， HSS预先将该用户的签约鉴权方式保 存于用户签约鉴权方式集中。 并且， HSS还将目前能够获得鉴权参数的 鉴权方式保存于可获得鉴权参数的鉴权方式集中。对于 IMS-AKA方式、 HTTP摘要鉴权方式以及 NBA方式， HSS在本地生成用于鉴权的随机数 或签约数据等鉴权参数， 因此上述三种方式一直存在于可获得鉴权参数 的鉴权方式集中； 而对于 Early-IMS方式， 只有在通用分组无线业务网 关支持节点 （GGSN )上报了 IP地址后， HSS才能够获取到鉴权参数。

本步骤中， HSS接收到 MAR消息后， 从中解析出来自 S-CSCF实 体的建议鉴权方式， 合成为建议鉴权方式集。 然后， HSS对建议鉴权方 式集、 用户签约鉴权方式集和可获得鉴权参数的鉴权方式集取交集， 按 照鉴权算法的强弱， 例如安全性、 用户通过鉴权的难易程度等， 对该交 集中存在的被选定的鉴权方式进行优先级排序， 并将优先级最高的被选 定的鉴权方式作为首选鉴权方式， 将其他被选定的鉴权方式作为非首选 鉴权方式。

在步骤 208中， HSS将被选定的鉴权方式以及鉴权参数携带于多媒 体鉴权响应 ( MAA ) 消息中， 发送给 S-CSCF实体。

HSS在确定了被选定的鉴权方式后， 在本步骤中将首选鉴权方式信 息携带于 SIP- Auth-Data-Item 中， 将非首选鉴权方式信息携带于 Private-SIP-Auth-Data-Item 中， 连同首选鉴权方式对应的鉴权参数， 通 过 MAA消息发送给 S-CSCF实体。 当然， 在本实施例中也可以仅发送 首选鉴权方式。 在步骤 209 ~ 210中， S-CSCF实体根据接收到的 MAA消息确定所 使用的鉴权方式， 并按照该鉴权方式对 UE进行鉴权， 获得鉴权结果。

本实施例中，无论 MAA消息中是否携带有非首选鉴权方式， S-CSCF 实体都不解析 Private-SIP-Auth-Data-Item中的内容， 并将解析出的鉴权 方式作为后续步骤中使用的鉴权方式。

当 S-CSCF实体所确定的鉴权方式为诸如 NBA方式或者 Early-IMS 方式等直接鉴权方式时， 按照该鉴权方式规定的流程进行鉴权， 并在鉴 权失败时， 拒绝 UE注册。 图 3示出了 NBA方式或者 Early-IMS方式下 成功的鉴权方法流程图。 参见图 3， 该直接鉴权流程包括：

在步骤 301中， S-CSCF实体 ^据来自于 I-CSCF实体的注册请求消 息和来自于 HSS的 MAA消息， 对 UE进行鉴权， 确定鉴权结果， 如果 鉴权结果为成功， 则执行步骤 302; 否则， 通过 I-CSCF实体和 P-CSCF 实体通知 UE网络侧拒绝接入。

本步骤中， S-CSCF 实体从接收到的注册请求消息中获取到鉴权参 数， 根据 MAA消息所指示的鉴权方式， 将注册请求消息中的鉴权参数 和 MAA消息中的鉴权参数进行比较。如果两者一致， 则判定鉴权成功； 反之， 则判定鉴权失败。 例如： 当鉴权方式为 NBA方式时， 鉴权参数 为 UE签约的接入位置信息； 当鉴权方式为 Early-IMS方式时， 鉴权参 数为 UE的 IP地址。

在步骤 302 ~ 303 中， S-CSCF 实体向 HSS 发送服务器分配请求 ( SAR )消息， 请求用户数据； HSS将用户数据携带于服务器分配响应 ( SAA ) 消息， 发送给 S-CSCF实体。

在步骤 304 ~ 306中， S-CSCF实体通过 I-CSCF实体和 P-CSCF实体， 将表明鉴权成功的 200 OK消息发送给 UE。

当 S-CSCF实体所确定的鉴权方式为诸如 IMS-AKA方式或者 HTTP 摘要鉴权方式等非直接鉴权方式时 , 按照该鉴权方式规定的流程进行鉴 权， 并在鉴权失败时， 拒绝 UE注册。 图 4示出了 IMS-AKA方式或者 HTTP摘要鉴权方式下成功的鉴权方法流程图。 参见图 4, 该非直接鉴 权流程包括：

在步骤 401 ~ 403中， S-CSCF实体通过 I-CSCF实体和 P-CSCF实体， 将鉴权挑战消息， 即 401消息发送给 UE, 通知 UE上报鉴权比较量。

在步骤 404 ~ 406中， UE将计算出的响应 （RES )作为鉴权比较量 并携带于注册请求消息中， 通过 P-CSCF实体发送给 I-CSCF实体。

在 IMS-AKA和 HTTP摘要鉴权方式下， HSS在 MAA消息中携带 有随机数 RAND、 序列号 （SQN ) 以及鉴权令牌 ( AUTN ), S-CSCF实 体通过鉴权挑战消息将该随机数和 SQN发送给 UE。 UE根据自身保存 的初始密钥 K以及接收到的随机数、 SQN和 AUTN, 计算出鉴权比较 量 RES , 通过注册请求消息发送给 I-CSCF实体。

在步骤 406 ~ 407中， I-CSCF实体从接收到的注册请求消息中获得 用户的 IMPU和 IMPI, 将 IMPU和 IMPI携带于 UAR消息中 , 发送给 HSS; HSS 根据接收到的 UAR 消息获取用户数据， 并将用户数据和 S-CSCF实体名称携带于 UAA消息中， 发送给 I-CSCF实体。

在步骤 408 ~ 409中， I-CSCF实体将携带有来自于 UE的 RES的注 册请求消息发送给 S-CSCF实体， S-CSCF实体对 UE进行鉴权， 如果鉴 权成功， 则执行步骤 410; 否则， 通过 I-CSCF实体和 P-CSCF实体通知 UE网络侧拒绝接入。

在 IMS-AKA或者 HTTP摘要鉴权方式下， HSS在 MAA消息中携 带有随机数 RAND, 序列号 （SQN ) 以及鉴权令牌（AUTN ), S-CSCF 实体通过鉴权挑战消息将该随机数和 SQN发送给 UE。 UE根据自身保 存的初始密钥 K以及接收到的随机数、 SQN和 AUTN, 计算出鉴权比 较量 RES, 通过注册请求消息发送给 S-CSCF实体。 S-CSCF实体接收 到 RES后， 与自身保存的期望响应 （XRES )相比较， 如果两者一致， 则判定鉴权成功； 否则， 判定鉴权失败。 S-CSCF实体接收到 RES后， 与自身保存的期望响应 （XRES )相比较， 如果两者一致， 则判定鉴权 成功； 否则， 判定鉴权失败。

在步骤 410〜411中， S-CSCF实体向 HSS发送 SAR消息， 请求用 户数据； HSS将用户数据携带于 SAA消息， 发送给 S-CSCF实体。

在步骤 412 ~ 412中， S-CSCF实体通过 I-CSCF实体和 P-CSCF实体， 将表明鉴权成功的 200 OK消息发送给 UE。

至此完成本实施例中的鉴权流程。

在本实施例的最大安全原则下， S-CSCF 实体根据自身所支持的鉴 权能力以及判断逻辑， 确定建议鉴权方式并提供给 HSS， HSS根据来自 S-CSCF 实体的建议鉴权方式、 自身保存的用户开户时的用户签约鉴权 方式以及可获得鉴权参数的鉴权方式， 选定一个或者多个鉴权方式， 并 将首选鉴权方式携带在 AVP和经过扩展的 AVP中 , 指示给 S-CSCF实 不会对这些扩展 AVP 进行处理， 并且不会报错。 因此， 本实施例中 S-CSCF实体和 HSS通过协商来确定双方均支持的鉴权方式， 较好地将 多种鉴权方式融合在一起， 使得具有不同鉴权能力的 CSCF实体和 HSS 在混合组网环境下能够顺利互通。

实施例 2

本实施例采用最大授权原则确定鉴权方式，并且 HSS在选择鉴权方 式时， 除了考虑签约的鉴权方式和建议鉴权方式之外， 还将可获得鉴权 参数的鉴权方式作为考虑因素。 另外， HSS在选择了鉴权方式后， 为所 选择的鉴权方式确定优先级， S-CSCF 实体首先利用优先级最高的鉴权 方式进行鉴权， 在鉴权失败后， 选择下发鉴权挑战消息的鉴权方式再次 进行鉴权， 并在再次鉴权失败的情况下， 拒绝 UE的注册请求。

图 5示出了本实施例中鉴权方法的流程图。 参见图 5， 该方法包括： 在步骤 501 ~ 502中， UE向 P-CSCF实体发送携带有用户标识的注 册请求消息， 请求注册到网络中， P-CSCF 实体 据接收到的注册请求 消息获取接入网信息 , 并将获取到的接入网信息携带于注册请求消息 中， 发送给 I-CFCS。

在步骤 503 ~ 504中， I-CSCF实体从接收到的注册请求消息中获得 用户的 IMPU和 IMPI, 将 IMPU和 IMPI携带于 UAR消息中 , 发送给 HSS; HSS 接收到的 UAR 消息获取用户数据， 确定执行鉴权的 S-CSCF实体， 并将用户数据和 S-CSCF实体名称携带于 UAA消息中， 发送给 I-CSCF实体。

在步骤 505中， I-CSCF实体从接收到的 UAA消息中获取 S-CSCF 实体名称， 并向该 S-CSCF实体发送携带有用户标识以及鉴权字段的注 册请求消息， 请求对 UE进行鉴权。

在步骤 506 中， S-CSCF实体根据接收到的注册请求消息确定建议 鉴权方式， 并通过 MAR消息发送给 HSS。

在确定了建议鉴权方式后， 如果建议鉴权方式为 1种， 则将该建议 鉴权方式打包到 SIP- Auth-Data-Item这一 AVP中， 并将该 AVP携带于 MAR消息中， 发送给 HSS; 如果建议鉴权方式多于 1种， 则将优选的 建议鉴权方式， 即标号为 1的建议鉴权方式打包到鉴权算法项中， 将其 余的建议鉴权方式打包到 Private-SIP- Auth-Data-Item中 , 并将两个 AVP 携带于 MAR消息中， 发送给 HSS。

上述步骤 501至 506的操作与实施例中的步骤 201至 206完全相同。 在步骤 507中， HSS根据接收到的 MAR消息、 自身保存的用户签 约鉴权方式以及可获得鉴权参数的鉴权方式， 选定鉴权方式。

本步骤中， HSS也采用类似实施例 1的方式来选定鉴权方式。 具体 而言， HSS对建议鉴权方式集、 用户签约鉴权方式集和可获得鉴权参数 的鉴权方式集取交集， 按照鉴权算法的强弱， 对该交集中存在的被选定 的鉴权方式进行优先级排序， 并将优先级最高的被选定的鉴权方式作为 首选鉴权方式， 将其他被选定的鉴权方式作为非首选鉴权方式。 通常情 况下， 本实施例中的首选鉴权方式为无需下发鉴权挑战消息的鉴权方 式。

在步骤 508中， HSS将全部被选定的鉴权方式以及鉴权参数携带于 MAA消息中， 发送给 S-CSCF实体。

HSS在确定了被选定的鉴权方式后， 在本步骤中将首选鉴权方式信 息携带于 SIP- Auth-Data-Item 中， 将非首选鉴权方式信息携带于 Private-SIP-Auth-Data-Item 中， 连同首选鉴权方式对应的鉴权参数， 通 过 MAA消息发送给 S-CSCF实体。 由于在最大授权原则下， S-CSCF实 体对 MAA消息中的全部 AVP进行解析 , 因此， 这里的 M AA消息中既 包括 SIP- Auth-Data-Item, 又包括 Private-SIP-Auth-Data-Item。

在步骤 509 ~ 510中， S-CSCF实体根据接收到的 MAA消息确定所 使用的鉴权方式， 并按照该鉴权方式对 UE进行鉴权， 并判断鉴权是否 成功， 如果是， 则最终鉴权结果为成功； 否则， 根据 MAA消息确定再 次鉴权的鉴权方式， 进行再次鉴权， 并获得最终鉴权结果。

本实施例中， S-CSCF实体从 MAA消息中解析出首选鉴权方式和非 首选鉴权方式。 而后， S-CSCF 实体利用首选鉴权方式进行鉴权。 由于 这里的首选鉴权方式为无需下发鉴权挑战消息的直接鉴权方式 , 因此可 以按照图 3所示的步骤 301至 306来执行鉴权。 当直接鉴权失败后， 本 实施例中从非首选鉴权方式中选择需要下发鉴权挑战消息、 且优先级较 高的鉴权方式， 并按照图 4所示的步骤 401至 412来执行再次鉴权。 当直接鉴权或者再次鉴权成功时 , 本实施例中的最终鉴权结果为成 功， 允许 UE注册； 当再次鉴权失败时， 本实施例中的最终鉴权结果为 失败， 则拒绝 UE注册。

至此， 完成本实施例中的鉴权流程。

在本实施例的最大授权原则下， S-CSCF实体和 HSS经过协商确定 两者均支持的鉴权方式， 能够融合多种鉴权方式并支持混合组网时具有 不同鉴权能力的 CSCF实体与 HSS的互通。 并且， 为了能够提高签约多 种鉴权方式的 UE通过鉴权的成功率， 则 S-CSCF实体首先从 HSS提供 的被选定的鉴权方式中选出首选鉴权方式， 且该首选鉴权方式无需下发 鉴权挑战消息， 然后利用该首选鉴权方式进行鉴权， 并在鉴权失败的情 况下， 选择需要下发鉴权挑战消息的鉴权方式进行再次鉴权。 可见， 本 实施例中网络侧给予 UE的鉴权机会较实施例 1而言有所增加。

综合上述两个实施例，在需要扩展新的鉴权方式时，只需对 S-CSCF 实体中确定鉴权方式的逻辑稍加改变以及将 HSS 中的用户签约鉴权方 式集和可获得鉴权参数的鉴权方式集的内容按照实际情况进行修改即 可， 而无需增加新的鉴权机制和新的接口， 操作简单方便， 易于实现。

本发明还提供了一种鉴权系统， 用于执行上述的鉴权流程。 图 6示 出了本发明实施例中鉴权系统的示意图。 参见图 6， 该系统包括： CSCF 实体和 HSS。 其中， CSCF实体用于接收 UE发出的注册请求， 确定建 议鉴权方式并发送给 HSS,接收来自于 HSS的被选定的鉴权方式，确定 所使用的鉴权方式， 对 UE进行鉴权， 获得本次鉴权结果； HSS用于保 存用户签约鉴权方式， 接收来自于 CSCF实体的建议鉴权方式， 根据建 议鉴权方式和用户签约鉴权方式选择出被选定的鉴权方式， 并发送给 CSCF实体。 HSS还可以保存用于选择被选定的鉴权方式的可获得鉴权 参数的鉴权方式。

这里 CSCF实体包括： P-CSCF实体、 I-CSCF实体和 S-CSCF实体。 其中， P-CSCF实体用于接收来自于 UE的注册请求，将该注册请求 发送给 I-CSCF实体， 接收来自于 I-CSCF实体的鉴权结果， 并将该鉴权 结果发送给 UE; 另外， P-CSCF实体还可以接收来自于 I-CSCF实体的 鉴权挑战消息， 将该鉴权挑战消息发送给 UE。

I-CSCF实体用于接收来自于 P-CSCF实体的注册请求， 请求 HSS 开始鉴权， 接收来自于 HSS 的 S-CSCF 实体名称， 将注册请求发送给 S-CSCF实体，接收来自于 S-CSCF实体的鉴权结果，将该鉴权结果发送 给 P-CSCF实体； 另外， I-CSCF实体还可以接收来自于 S-CSCF实体的 鉴权挑战消息， 将该鉴权挑战消息发送给 P-CSCF实体。

S-CSCF 实体用于保存预先设置的建议鉴权方式确定逻辑， 接收来 自于 I-CSCF实体的注册请求， 根据建议鉴权方式确定逻辑来确定建议 鉴权方式并发送给 HSS,接收来自于 HSS的被选定的鉴权方式，从被选 定的鉴权方式中选择所使用的鉴权方式， 对 UE进行鉴权， 获得鉴权结 果并发送给 I-CSCF实体； 另外， S-CSCF实体还可以向 I-CSCF实体下 发鉴权挑战消息， 指明 UE提交鉴权相关数据。

无论上述的鉴权方法还是鉴权系统， S-CSCF实体都在与 HSS协商 后确定所使用的鉴权方式。 这样， 在 S-CSCF实体和 HSS支持多种鉴权 方式时， 根据双方的能力和运营商的需要来选择最为合适的鉴权方式， 从而全面地融合了多种鉴权方式， 保证了混合组网时 CSCF实体与 HSS 的顺利互通。

以上所述仅为本发明的较佳实施例而已， 并不用以限制本发明， 凡 在本发明的精神和原则之内， 所做的任何修改、 等同替换、 改进等， 均 应包含在本发明的保护范围之内。

Claims

权利要求书

1、 一种鉴权方法， 其特征在于， 该方法包括：

A.呼叫会话控制功能 CSCF实体接收用户设备 UE发起的注册请求， 确定建议鉴权方式并发送给归属用户服务器 HSS， HSS根据自身保存的 用户签约鉴权方式以及接收到的建议鉴权方式， 选定鉴权方式， 并通知 给 CSCF实体；

B. CSCF实体 HSS选定的鉴权方式确定所使用的鉴权方式， 对 UE进行鉴权。

2、如权利要求 1所述的方法， 其特征在于， 所述 CSCF实体为服务 呼叫会话功能 S-CSCF实体， 步骤 A所述确定建议鉴权方式为：

S-CSCF 实体根据预先设置的建议鉴权方式的确定逻辑以及预先设 置的确定因素， 确定建议鉴权方式， 并为所确定的建议鉴权方式确定优 选顺序。

3、 如权利要求 2所述的方法， 其特征在于， 所述确定因素包括： 注 册请求是否携带授权头域、 鉴权算法的参数值和是否进行完整性保护。

4、 如权利要求 2所述的方法， 其特征在于， 步骤 A所述 HSS选定 鉴权方式为：

HSS将接收到的建议鉴权方式放入建议鉴权方式集， 将自身保存的 用户签约鉴权方式放入用户签约鉴权方式集， 并获取建议鉴权方式集和 用户签约鉴权方式集的交集， 将交集中的鉴权方式作为被选定的鉴权方 式， 并为所选定的鉴权方式确定优先级。

5、如权利要求 4所述的方法， 其特征在于， 所述将交集中的鉴权方 式作为被选定的鉴权方式之前， 进一步包括：

将当前能够获得鉴权参数的鉴权方式放入可获得鉴权参数的鉴权方 式集， 对建议鉴权方式集和用户签约鉴权方式集的交集与所述可获得鉴 权参数的鉴权方式集取交集。

6、如权利要求 4所述的方法，其特征在于，步骤 A所述发送给 HSS 为： S-CSCF 实体将优选顺序最高的建议鉴权方式携带于多媒体鉴权请 求 MAR消息的鉴权算法项中， 发送给 HSS。

7、 如权利要求 6所述的方法， 其特征在于， 所述发送给 HSS之前， 进一步包括： S-CSCF 实体将除优选顺序最高的建议鉴权方式之外的其 他建议鉴权方式分别携带于所述 MAR消息的至少一个私有鉴权算法项 中。

8、 如权利要求 6或 7所述的方法， 其特征在于， 步骤 A所述通知 给 CSCF实体为： HSS将优先级最高的被选定的鉴权方式携带于多媒体 鉴权响应 MAA消息的鉴权算法项中， 发送给 S-CSCF实体。

9、 如权利要求 8所述的方法， 其特征在于， 所述发送给 S-CSCF实 体之前， 进一步包括： HSS将除优先级最高的被选定的鉴权方式之外的 其他被选定的鉴权方式分别携带于所述 MAA消息的至少一个私有鉴权 算法项中。

10、 如权利要求 8所述的方法， 其特征在于， 步骤 B所述确定所使 用的鉴权方式为： S-CSCF 实体将优先级最高的被选定的鉴权方式作为 所使用的鉴权方式。

11、 如权利要求 9所述的方法， 其特征在于， 步骤 B所述确定所使 用的鉴权方式为： S-CSCF 实体将优先级最高的被选定的鉴权方式作为 所使用的鉴权方式。

12、 一种鉴权系统， 其特征在于， 所述系统包括：

CSCF实体，用于接收 UE发出的注册请求，确定建议鉴权方式并发 送给 HSS,接收来自于 HSS的被选定的鉴权方式，确定所使用的鉴权方 式， 对 UE进行鉴权， 获得本次鉴权结果；

HSS, 用于保存用户签约鉴权方式， 接收来自于 CSCF实体的建议 鉴权方式， 根据建议鉴权方式和用户签约鉴权方式选择出被选定的鉴权 方式， 并发送给 CSCF实体。

13、如权利要求 12所述的系统，其特征在于，所述 CSCF实体包括： P-CSCF实体， 用于接收来自于 UE的注册请求， 将该注册请求发送给 I-CSCF实体， 接收来自于 I-CSCF实体的鉴权结果， 并将该鉴权结果发 送给 UE;

I-CSCF实体， 用于接收来自于 P-CSCF实体的注册请求， 请求 HSS 开始鉴权， 接收来自于 HSS 的 S-CSCF 实体名称， 将注册请求发送给 S-CSCF实体，接收来自于 S-CSCF实体的鉴权结果，将该鉴权结果发送 给 P-CSCF实体；

S-CSCF 实体， 用于保存预先设置的建议鉴权方式确定逻辑， 接收 来自于 I-CSCF实体的注册请求， 根据建议鉴权方式确定逻辑来确定建 议鉴权方式并发送给 HSS,接收来自于 HSS的被选定的鉴权方式，从被 选定的鉴权方式中选择所使用的鉴权方式， 对 UE进行鉴权， 获得鉴权 结果并发送给 I-CSCF实体。

14、 如权利要求 12所述的系统， 其特征在于， 所述 HSS进一步用 于保存可获得鉴权参数的鉴权方式， 该可获得鉴权参数的鉴权方式用于 选择所述被选定的鉴权方式。