WO2011147258A1 - 一种实现卡鉴权的方法、系统及用户设备 - Google Patents

Abstract

本发明公开了一种实现卡鉴权的方法、系统及用户设备，包括：服务呼叫会话控制功能（S-CSCF）请求归属用户服务器（HSS）对用户设备（UE）进行鉴权；HSS在UE为使用三元组鉴权的网络中的用户时，获取该UE的三元组，并将该三元组转换为五元组，将得到的五元组下发给S-CSCF；UE在判断网络可登录后，将自身的三元组转换为五元组，将得到的五元组上报给S-CSCF；以及，S-CSCF根据HSS下发的五元组与UE上报的五元组，判断鉴权是否成功。本发明采用将三元组转换为IMS鉴权的五元组的思路，实现对SIM卡进行鉴权，可以仅对IMS的HSS和UE进行非常少量的改造，成本很低。

Description

一种实现卡鉴权的方法、 系统及用户设备

技术领域

本发明涉及 IP多媒体子系统， 尤其涉及一种实现卡鉴权的方法、 系统及 用户设备。

背景技术

在网络互联协议 ( Internet Protocol, IP )多媒体子系统（ IP Multimedia Core Network Subsystem, IMS )体系中， 控制层和业务层是分离的， 控制层不提 供具体业务， 只负责向业务层提供必要的触发、 路由、 计费等控制功能。 控 制层的控制功能是由呼叫会话控制功能（ Call Session Control Function, CSCF ) 完成的。

CSCF分为代理呼叫会话控制功能（ Proxy Call Session Control Function, P-CSCF )、查询呼叫会话控制功能（ Interrogating Call Session Control Function, I-CSCF )和服务呼叫会话控制功能（Serving Call Session Control Function, S-CSCF )三种类型。 其中， 负主要责任的是 S-CSCF, 用来接受用户注册， 触发应用服务器（ Application Server, AS )以及完成呼叫的控制和接续。 P-CSCF 是用户设备 ( User Equipment, UE )接入 IMS系统的入口， 主要功能是把 UE 发来的 SIP (会话初始协议） 注册、 会话等请求转发给 I-CSCF或 S-CSCF。 I-CSCF提供到归属网络的入口， 可通过归属用户服务器 （Home Subscriber Server, HSS )灵活选择 S-CSCF, 将 SIP业务消息路由到 S-CSCF。 业务层由 一系列 AS组成， 能提供具体业务服务， AS可以是独立的实体， 也可以存在 于 S-CSCF中。 S-CSCF根据用户的签约信息控制业务触发， 调用 AS上的业 务， 实现业务功能。 AS和 S-CSCF可以统称为服务设备（Server Equipment , SE ) 。

在移动通信领域卡鉴权主要有两种处理方式， 三元组和五元组， 三元组 对应 SIM(客户识别模块）卡，五元组对应 USIM ( Universal Subscriber Identity Module, 全球用户识别卡）和 ISIM ( IP Multimedia Service Identity Module, IP多媒体业务标识模块）卡， IMS中定义了对 USIM和 ISIM的支持， 即支 持五元组鉴权， USIM和 ISIM卡的 XRES (期望响应 )、 AKA ( Authentication and Key Agreement, 鉴权和密钥同意） _RAND (鉴权随机数） 、 IK (完整性 密钥）、 CK (安全性密钥）和 AUTN (鉴权令牌 )鉴权， 但未定义 IMS应当 如何支持三元组鉴权， 即 SIM卡的 SRES (符号响应 ) 、 RAND (随机数） 和 Kc (加密键）鉴权， 而 2G (第二代移动通讯技术）用户均釆用三元组鉴 权， 因此， 若 2G用户登录 IMS将无法进行鉴权。

发明内容

本发明的目的是提供一种实现卡鉴权的方法、 系统及用户设备， 解决使 用三元组鉴权的网络中的用户登录 IMS无法进行鉴权的问题， 实现使用三元 组鉴权的网络中的用户在 IMS中的鉴权。

为解决上述技术问题， 本发明的一种实现卡鉴权的方法， 包括： 服务呼叫会话控制功能（S-CSCF )请求归属用户服务器（HSS )对用户 设备 ( UE )进行鉴权；

HSS在 UE为使用三元组鉴权的网络中的用户时， 获取该 UE的三元组， 并将该三元组转换为五元组， 将得到的五元组下发给 S-CSCF;

UE在判断网络可登录后，将自身的三元组转换为五元组，将得到的五元 组上报给 S-CSCF; 以及

S-CSCF根据 HSS下发的五元组与 UE上报的五元组，判断鉴权是否成功。

HSS与 UE釆用相同的方式将 UE的三元组转换为五元组。

HSS与 UE通过如下方式将 UE的三元组转换为五元组包括：

从三元组中选择一个或多个参数生成中间参数； 釆用中间参数， 根据所需的位数得到 SQNAKA (序列号鉴权和密侧意 ） 、 鉴权 管理域（AMF )和 AKA— Key (鉴权和密钥同意—鉴权密钥） ， 并按照位数随 机生成 AKA_RAND (鉴权和密钥同意 _鉴权随机数） ； 以及

釆用 SQNAKA、 AMF, AKA— Key和 AKA— RAND生成五元组。 S-CSCF通过向 HSS发送鉴权请求来请求该 HSS对 UE进行鉴权， 并在 鉴权请求中携带 UE的公有身份信息和私有身份信息；

该方法还包括： HSS在接收到鉴权请求后， 根据该鉴权请求中携带的公 有身份信息和私有身份信息判断 UE是否为使用三元组鉴权的网络中的用户， 如果是， 才执行获取该 UE的三元组的步骤。

本发明还提供一种实现卡鉴权的系统， 包括： UE以及相互连接的归属用 户服务器（HSS )和服务呼叫会话控制功能（S-CSCF ) ， 其中：

S-CSCF设置成： 请求 HSS对用户设备（UE )进行鉴权， 接收 UE上报 的五元组， 并根据 HSS下发的五元组与 UE上报的五元组， 判断鉴权是否成 功；

HSS设置成：根据 S-CSCF的请求，在 UE为使用三元组鉴权的网络中的 用户时， 获取该 UE的三元组， 并将该三元组转换为五元组， 将得到的五元 组下发给 S-CSCF;

UE设置成：在判断网络可登录时，将自身的三元组进行转换得到五元组， 并将得到的五元组上 ^艮给 S-CSCF。

HSS与 UE釆用相同的方式将 UE的三元组转换为五元组。

HSS和 UE是设置成通过如下方式将 UE的三元组转换为五元组： 从三元组中选择一个或多个参数生成中间参数； 釆用中间参数， 根据所需的位数得到 SQNAKA (序列号鉴权和密侧意 ） 、 鉴权 管理域（AMF )和 AKA— Key (鉴权和密钥同意—鉴权密钥） ， 并按照位数随 机生成 AKA_RAND (鉴权和密钥同意 _鉴权随机数） ； 以及

釆用 SQNAKA、 AMF, AKA— Key和 AKA— RAND生成五元组。

S-CSCF是设置成通过向 HSS发送鉴权请求来请求该 HSS对 UE进行鉴 权， 并在鉴权请求中携带 UE的公有身份信息和私有身份信息；

HSS还设置成在接收到鉴权请求后， 根据该鉴权请求中携带的公有身份 信息和私有身份信息判断 UE是否为使用三元组鉴权的网络中的用户， 如果 是， 才获取该 UE的三元组。 本发明还提供一种用户设备， 包括： 相互连接的鉴权判断模块和数据转 换模块， 其中：

鉴权判断模块设置成： 判断网络是否可登录， 若可登录， 则通知数据转 换模块网络可登录；

数据转换模块设置成： 在获知网络可登录后， 将该用户设备的三元组转 换为五元组， 将得到的五元组上 ^艮给服务呼叫会话控制功能。

数据转换模块是设置成通过如下方式将用户设备的三元组转换为五元 组：

从三元组中选择一个或多个参数生成中间参数； 釆用中间参数， 根据所需的位数得到 SQNAKA (序列号鉴权和密侧意 ） 、 鉴权 管理域（AMF )和 AKA— Key (鉴权和密钥同意—鉴权密钥） ， 并按照位数随 机生成 AKA_RAND (鉴权和密钥同意 _鉴权随机数） ； 以及

釆用 SQNAKA、 AMF, AKA— Key和 AKA— RAND生成五元组。

综上所述， 本发明釆用将三元组转换为 IMS鉴权的五元组的思路， 实现 在 IMS中对 SIM卡进行鉴权， 同时可以仅对 IMS的 HSS和 UE进行非常少 量的改造，成本很低，本发明在实现在 IMS中对 SIM卡鉴权进行支持的同时， 还可以实现 2G用户在 IMS中产生 IP安全（SEC ) 密钥， 增强了用户的安全 性。

附图概述 图 1为本发明实施方式实现卡鉴权的方法的流程图；

图 2为本发明实施方式实现卡鉴权的系统的架构图；

图 3为本发明实施方式的用户设备的结构图。

本发明的较佳实施方式

本实施方式中 HSS在接收到鉴权请求后， 若判断鉴权的 UE为釆用三元 组鉴权的网络（如 2G网络）中的用户， 则从 HLR (归属位置寄存器）或 AUC (鉴权中心）获取 UE的三元组， 将获取到的对 SIM卡鉴权的三元组转换为 五元组， 并将得到的五元组下发给 S-CSCF , S-CSCF 下发五元组中的 RAND— AKA、 AUTN, IK和 CK (鉴权向量）给 P-CSCF, P-CSCF下发鉴权 向量中的 RAND— AKA和 AUTN给 UE, UE釆用接收到的 RAND— AKA和 AUTN认证网络， 判断是否可登录， 若可登录则釆用与 HSS同样的方法将三 元组转换为五元组， 并将五元组中的 RES (响应）上报给 S-CSCF, S-CSCF 比较 UE上报的 RES与 HSS下发的 XRES是否相同， 若相同则鉴权成功， 通 知 UE鉴权成功； 若不同则鉴权失败。

图 1为本实施方式实现卡鉴权的方法， 包括：

步骤 101 : UE向 IMS核心网发起 Register (注册）请求消息， 在该消息 中需携带用户的公有身份和私有身份信息；

步骤 102: 核心网的 P-CSCF接收到 Register请求消息后， 将该消息发送 给 I-CSCF;

步骤 103: I-CSCF接收到 Register请求消息后， 向 HSS发送 UAR ( User registration status query,用户注册状态查询）消息，查询为 UE服务的 S-CSCF 的信息；

步骤 104: HSS将为 UE服务的 S-CSCF的信息返回给 I-CSCF;

步骤 105: I-CSCF根据 S-CSCF 的信息将 Register请求消息转发至该 S-CSCF;

步骤 106: S-CSCF接收到 Register请求消息后， 向 HSS发起鉴权请求， 在鉴权请求中携带 UE的公有身份和私有身份信息；

步骤 107: HSS接收到 S-CSCF的鉴权请求后， 若根据 UE的公有身份和 私有身份信息判断 UE为 2G用户， 则向 HLR或 AUC获取三元组；

若 HSS根据 UE的公有身份和私有身份信息判断 UE为釆用五元组鉴权 的网络中的用户， 则直接釆用现有方法进行鉴权。

步骤 108: HSS或 AUC将三元组返回给 HSS;

步骤 109: HSS接收到三元组后， 将三元组转换为五元组；

HSS可以釆用如下方法将三元组转换为五元组， 但本实施方式并不对转 换方法进行限制， 本实施方式的核心在于将三元组转换为五元组后， 可以不 对 IMS核心网进行大范围的改动即可实现 2G用户的鉴权， 本领域技术人员 应当了解，除了釆用以下的转换方法外还可以釆用任意的其它方法进行转换， 只要满足各个参数的位数要求即可， 如何取值均可任意选择， 只要与 UE预 先约定好即可， 釆用何种转换方法并不影响本实施方式的实施。

Key_material=SHAl ( KC | SRES ) ；

Key— material为中间参数， SHA1为哈希函数， KC和 SRES为三元组中 的参数， 此处也可以不釆用哈希函数， 如可以釆用高低位互换或也可以不进 行运算等， 同样， 哈希函数的参数也可以选择三元组中任意的一个或多个。

SQNAKA (序列号鉴权和密钥同意 ） =SQN_Hss I Key— material的高 8位；

SQNHSS 为 HSS中签约的鉴权鉴权流水号， 共 40位， 此处同样不限定为 SQNHSS, 其它 40位的序列也可以， 并且不限定 Key— material的高 8位， 任意 8位均可， 只要满足 SQNAKA48位的位数要求即可。

AMF (鉴权管理域） = Key_material的紧跟高 8位的 16位（ 8~23 ) ；

AMF也可以取 Key— material的任意 16位， 取高 8位后紧跟的 16位是基 于 SQNAKA中釆用 Key— material的高 8位， 这种取法可以增加安全性。

AKA Key ( AKA鉴权密钥） =Key_material的低 128位；

AKA Key同样可取 Key— material任意 128位。

AKA_RAND=128位随机数。

得到 SQNAKA、 AMF, AKA— Key和 AKA— RAND这四个参数后， 釆用协 议号为 3GPP33.401的协议中规定的 F1 F5函数，将得到的上述四个参数作为 入参， 得到五元组。

或者釆用如下规则得到上述四个入参：

Key_material=SHAl ( KC | SRES ) ；

SQNAKA=SQN_HSS| Key— material的低 8位；

AMF= Key— material低 8位前紧挨的 16位；

AKA_Key= Key— material的高 128位； AKA_RAND=128位随机数。

步骤 110: HSS将转换得到的五元组下发给 S-CSCF;

步骤 111 : S-CSCF接收到五元组后，将鉴权向量（ RAND— AKA、 AUTN、 IK和 CK )通过 I-CSCF转发给 P-CSCF;

步骤 112: P-CSCF接收到鉴权向量后， 将鉴权向量中的 RAND— AKA和

AUTN下发给 UE;

步骤 113 : UE从 P-CSCF接收到 RAND— AKA和 AUTN后， 进行网络认 证判断是否可登录到网络中， 若可登录， 则釆用与 HSS同样的方法将三元组 转换为五元组；

步骤 114: UE将五元组中的 RES通过 PCSCF和 ICSCF上报给 S-CSCF; 步骤 115: S-CSCF比较 UE上报的 RES与 HSS下发的 XRES是否相同 以判断鉴权是否成功， 若相同则鉴权成功， 若不同则鉴权失败；

步骤 116: S-CSCF通过 ICSCF和 PCSCF将鉴权结果下发给 UE。

图 2所示为本实施方式的实现卡鉴权的系统， 包括： UE、 HSS , S-CSCF, P-CSCF、 I-CSCF和 HLR (或 AUC ) ， 其中， S-CSCF、 P-CSCF和 I-CSCF 相互连接， HSS分别与 S-CSCF、 HLR和 I-CSCF相连；

HSS设置成：在接收到 S-CSCF对 UE的鉴权请求后，根据鉴权请求中携 带的 UE的公有身份信息和私有身份信息，判断 UE是否为使用三元组鉴权的 网络中的用户， 在判断该 UE为使用三元组鉴权的网络中的用户时， 从 HLR 获取该 UE的三元组， 并将该三元组转换为五元组， 将得到的五元组下发给 S-CSCF。

S-CSCF设置成接收 UE上报的五元组， 并比较 HSS下发的五元组与 UE 上报的五元组， 判断鉴权是否成功；

UE设置成： 在判断网络可登录时， 将自身的三元组转换得到的五元组， 并将得到的五元组上 ^艮给 S-CSCF。

HSS与 UE釆用相同的方式将三元组转换为五元组。 HSS和 UE将三元 组转换为五元组的过程为： 从三元组中选择一个或多个参数生成中间参数； 釆用中间参数， 根据所需的位数得到 SQNAKA、 鉴权管理域 （AMF ) 和 AKA Key, 并按照位数随机生成 AKA— RAND; 以及， 釆用 SQNAKA、 AMF、 AKA Key和 AKA— RAND生成五元组。

系统中各功能单元的所实现的其它功能请参考方法内容的描述。

如图 3所示， 本实施方式还提供了一种用户设备， 包括： 相互连接的鉴 权判断模块和数据转换模块， 其中：

鉴权判断模块设置成判断网络是否可登录， 若可登录， 则通知数据转换 模块网络可登录；

数据转换模块设置成在获知网络可登录后， 将该用户设备的三元组转换 为五元组， 将得到的五元组上报给服务呼叫会话控制功能。 数据转换模块将 三元组转换为五元组的过程为： 从三元组中选择一个或多个参数生成中间参 数； 釆用中间参数， 根据所需的位数得到 SQNAKA、 鉴权管理域（AMF )和 AKA Key, 并按照位数随机生成 AKA— RAND; 以及， 釆用 SQNAKA、 AMF, AKA Key和 AKA— RAND生成五元组。

当然， 本发明还可有其他多种实施例， 在不背离本发明精神及其实质的 但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围， 例如 本发明还有其他形式的根据三元组生成五元组的方法， 这些并不作为对本发 明的限制。

工业实用性

与现有技术相比， 本发明通过将三元组转换为 IMS鉴权的五元组实现对 SIM卡的鉴权，可以仅对 IMS的 HSS和 UE进行非常少量的改造，成本很低， 在实现 IMS对 SIM卡鉴权进行支持的同时，可以实现 2G用户在 IMS中产生 IP安全（SEC ) 密钥， 增强了用户的安全性。

Claims

权 利 要 求 书

1、 一种实现卡鉴权的方法， 包括：

服务呼叫会话控制功能（S-CSCF )请求归属用户服务器（HSS )对用户 设备 ( UE )进行鉴权；

所述 HSS在所述 UE为使用三元组鉴权的网络中的用户时， 获取该 UE 的三元组， 并将获取的三元组转换为五元组， 将得到的五元组下发给所述 S-CSCF;

所述 UE在判断网络可登录后， 将自身的三元组转换为五元组， 将得到 的五元组上报给所述 S-CSCF; 以及

所述 S-CSCF根据所述 HSS下发的五元组与所述 UE上>¾的五元组， 判 断鉴权是否成功。

2、 如权利要求 1所述的方法， 其中，

所述 HSS与所述 UE釆用相同的方式将所述 UE的三元组转换为五元组。

3、 如权利要求 2所述的方法， 其中， 所述 HSS与所述 UE釆用相同的方 式将所述 UE的三元组转换为五元组的步骤包括：

从所述三元组中选择一个或多个参数生成中间参数；

釆用所述中间参数， 根据所需的位数得到序列号鉴权和密侧 * ( SQNAKA ) 、 鉴权管理域（AMF )和鉴权和密钥同意—鉴权密钥 （AKA— Key ) , 并按照位 数随机生成鉴权和密钥同意 _鉴权随机数 ( AKA RAND ) ； 以及

釆用所述 SQNAKA、 AMF, AKA— Key和 AKA— RAND生成所述五元组。

4、 如权利要求 1或 2所述的方法， 其中，

S-CSCF请求 HSS对 UE进行鉴权的步骤包括：所述 S-CSCF通过向所述 HSS发送鉴权请求来请求该 HSS对所述 UE进行鉴权， 并在所述鉴权请求中 携带所述 UE的公有身份信息和私有身份信息；

所述方法还包括： 所述 HSS在接收到所述鉴权请求后， 根据该鉴权请求 中携带的所述公有身份信息和私有身份信息判断所述 UE是否为使用三元组 鉴权的网络中的用户， 如果是， 才执行获取所述 UE的三元组的步骤。

5、 一种实现卡鉴权的系统， 包括： 用户设备（UE ) 以及相互连接的归 属用户服务器（HSS )和服务呼叫会话控制功能（S-CSCF ) ， 其中：

所述 S-CSCF设置成： 请求所述 HSS对 UE进行鉴权， 接收所述 UE上 报的五元组以及所述 HSS下发的五元组，并根据所述 HSS下发的五元组与所 述 UE上报的五元组， 判断鉴权是否成功；

所述 HSS设置成： 根据所述 S-CSCF的请求， 在所述 UE为使用三元组 鉴权的网络中的用户时， 获取该 UE的三元组， 并将所获取的三元组转换为 五元组， 将得到的五元组下发给所述 S-CSCF;

所述 UE设置成： 在判断网络可登录时， 将自身的三元组进行转换得到 五元组， 并将所得到的五元组上^艮给所述 S-CSCF。

6、 如权利要求 5所述的系统， 其中，

所述 HSS与所述 UE釆用相同的方式将所述 UE的三元组转换为五元组。

7、 如权利要求 6所述的方法， 其中， 所述 HSS和所述 UE是设置成通过 如下方式将所述 UE的三元组转换为五元组：

从所述三元组中选择一个或多个参数生成中间参数；

釆用所述中间参数， 根据所需的位数得到序列号鉴权和密侧 * ( SQNAKA ) 、 鉴权管理域（AMF )和鉴权和密钥同意—鉴权密钥 （AKA— Key ) , 并按照位 数随机生成鉴权和密钥同意 _鉴权随机数 ( AKA RAND ) ； 以及

釆用所述 SQNAKA、 AMF, AKA— Key和 AKA— RAND生成所述五元组。

8、 如权利要求 5或 6所述的系统， 其中，

所述 S-CSCF是设置成通过向所述 HSS发送鉴权请求来请求该 HSS对所 述 UE进行鉴权，并在所述鉴权请求中携带所述 UE的公有身份信息和私有身 份信息；

所述 HSS还设置成在接收到所述鉴权请求后， 根据该鉴权请求中携带的 所述公有身份信息和私有身份信息判断所述 UE是否为使用三元组鉴权的网 络中的用户， 如果是， 才获取该 UE的三元组。

9、 一种用户设备， 包括： 相互连接的鉴权判断模块和数据转换模块， 其 中：

所述鉴权判断模块设置成判断网络是否可登录， 若可登录， 则通知所述 数据转换模块网络可登录；

所述数据转换模块设置成在获知网络可登录后， 将该用户设备的三元组 转换为五元组， 将得到的五元组上 ^艮给服务呼叫会话控制功能。

10、 如权利要求 9所述的用户设备， 其中， 所述数据转换模块是设置成 通过如下方式将所述三元组转换为五元组：

从所述三元组中选择一个或多个参数生成中间参数；

釆用所述中间参数， 根据所需的位数得到序列号鉴权和密侧 * ( SQNAKA ) 、 鉴权管理域（AMF )和鉴权和密钥同意—鉴权密钥 （AKA— Key ) , 并按照位 数随机生成鉴权和密钥同意 _鉴权随机数 ( AKA RAND ) ； 以及

釆用所述 SQNAKA、 AMF, AKA— Key和 AKA— RAND生成所述五元组。