CN101053203A - 对终端用户标识模块进行因特网多媒体域鉴权的方法及系统 - Google Patents
对终端用户标识模块进行因特网多媒体域鉴权的方法及系统 Download PDFInfo
- Publication number
- CN101053203A CN101053203A CNA2006800010952A CN200680001095A CN101053203A CN 101053203 A CN101053203 A CN 101053203A CN A2006800010952 A CNA2006800010952 A CN A2006800010952A CN 200680001095 A CN200680001095 A CN 200680001095A CN 101053203 A CN101053203 A CN 101053203A
- Authority
- CN
- China
- Prior art keywords
- hss
- domains
- authentication
- authentication vector
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种对终端用户标识模块进行IM域鉴权的方法,该方法在网络中设置用于提供IM业务的HSS,包括:S-CSCF收到UE发来的IM域注册请求后,向HSS发送鉴权向量请求,之后HSS向UE的归属设备发送用于获取鉴权向量的请求消息,UE的归属设备为该UE分配SQN,并基于该SQN生成相应的鉴权向量,将该鉴权向量通过HSS发送给S-CSCF,S-CSCF根据该鉴权向量对UE的终端用户标识模块进行鉴权;本发明同时公开了一种对终端用户标识模块进行IM域鉴权的系统,包括:UE、S-CSCF、HSS和UE的归属设备。本发明使得USIM用户不需换卡即可使用IM业务,大大降低了推广IM业务的难度,且杜绝了频繁再同步现象;另外,本发明只需对HSS和HLR/AUC进行简单升级,降低了在现有网络中实现IM域鉴权的成本和复杂度。
Description
对终端用户标识模块进行因特网多媒体域鉴权的方法及系统 技术领域^
本发明涉及对移动终端的鉴权技术, 更确切地说是涉及一种在因特 网多媒体(IM)域对终端用户标识模块进行鉴权的方法及系统。 发明背景
随着多媒体业务的发展, 目前已出现了针对移动终端的多媒体业 务。 目前为移动终端提供多媒体业务的 IP多媒体子系统 ( IMS )的架构 如图 1所示, IMS起初是在第三代网络 (3G) 已有的分组交换(PS)域 之外叠加的一个子域, 这个子域专门用于支持 IP多媒体 (IM)业务。 在条件成熟的情况下, IMS也可服务于以无线局域网 (WLAN)或其它 方式的 IP连通性接入网 (IP-CAN)接入的用户。
如图 1 所示, IMS主要由呼叫会话控制功能(CSCF) 实体、 媒体 网关 (MGW)、 媒体资源功能控制器 (MRFC)、 媒体资源功能处理器 (MRFP)、 媒体网关控制功能( MGCF )、 中断网关控制功能( BGCF )、 签约定位器功能(SLF)、 策略判决功能(PDF)等部件构成, 在各个部 件之间主要使用会话发起协议(SIP)传输控制信令。 呼叫控制部件是 IMS中的关键部件, 主要完成呼叫控制、 地址转换、 计费、 隐蔽移动终 端(UE)的移动性等功能; 媒体网关部件则是为与现有公共交换电话网 络(PSTN)兼容而引入的。 另夕卜, IMS中的归属用户服务器(HSS)是 归属网络中用于保存 IMS用户签约信息的设备。
IMS的安全功能包括用户在 IMS的鉴权和 SIP消息的保护。 IMS的 安全架构如图 2所示。 其中, UE与归属网之间的鉴权及安全联盟(SA,
Security Association)协商采用 IMS鉴权密钥协议 (AKA)双向认证机 制, SIP消息的加密和完整性保护采用的是逐跳处理方式。
具体来说, 在 IMS中, 为实现对 IP多媒体(IM)用户的鉴权, 第 作为用户侧的鉴权模块, 并使用了通用移动通信系统(UMTS)的 AKA 机制。 IMS系统对用户的鉴权处理过程如图 3所示, 对应以下步骤: 步骤 301: UE在需要使用 IMS业务时, 依次通过代理呼叫会话控 制功能(P-CSCF)及查询呼叫会话控制功能(I-CSCF)将注册请求发送 给服务呼叫会话控制功能( S-CSCF )。
步骤 302: S-CSCF在收到注册请求后,检测自身是否存在针对该用 户的五元组鉴权向量(AV), 若存在, 则直接利用该答权向量对用户进 行鉴权, 即进入步骤 304; 若不存在, 则向 HSS请求 AV, 即进入步骤 303。
这里, 五元组 AV包括: 随机数(RAND )、 鉴权令牌(AUTN)、 全 球移动通信 (GSM) 网使用的加密密钥 (CK)、 完整性密钥 (IK)及预 期响应 (XRES)。
步骤 303: HSS收到 S-CSCF发来的 AV请求后, 确定五元组 AV, 并发送给 S-CSCF。
其中, HSS确定五元组 AV, 具体是由 HSS 自身内嵌的鉴权中心 (AUC)来确定序列号 (SQN), 并根据该 SQN生成相应的鉴权向量。
当然, 为提高效率, HSS—般会按顺序向 S-CSCF发送多组五元组 AV, 以便 S-CSCF能够通过一次请求获取多组用于鉴权的五元组 AV。
步骤 304: S-CSCF保留自身保存的或 HSS发送来的五元组 AV中 的 X ES,将 RA D、 AUTN、 CK及 IK放在鉴权考验 ( Auth— Challenge ) 消息中, 并将该消息通过 I-CSCF发送给 P-CSCF。
如果 HSS向 S-CSCF发送多组五元组 AV, 则 S-CSCF可以按顺序 选择一組五元組 AV,其它五元组 AV则留在针对该用户的下一次鉴权中 使用。
步骤 305: P-CSCF保留 S-CSCF通过 Auth— Challenge消息发送来的 CK和 IK, 并将 RAND和 AUTN下发到 UE。
如果系统启动了一致性保护和保密性保护, 则 P-CSCF将在后续的 会话中使用保存下来的 IK和 CK作为密钥。
步驟 306~307: UE将收到的 RAND和 AUTN发送到 ISIM, ISIM 对收到的 AUTN进行验证,并在验证通过后根据 RAND计算响应( RES ), 然后将计算出的 RES作为鉴权响应发送给 UE, 并由 UE将该 RES返回 给 S-CSCF, 同时 ISIM还根据 RAN 计算出 IK和 CK, 并将 IK和 CK 发送给 UE。
ISIM对收到的 AUTN进行验证包括确定 AUTN中包含的媒体接入 控制 ( MAC )值是否合法, 以及确定 AUTN中的序列号 SQN是否可接 受。 其中, ISIM对 SQN是否可接受的验证即为验证是否需要再同步。
UE具体会通过 P-CSCF和 I-CSCF将 RES发送给 S-CSCF, 并保留 IK和 CK, 以作为后续会话中的密钥。
步骤 308〜309: S-CSCF将 UE发送来的鉴权响应中的 RES与自身 保存的 XRES进行比较, 如果相等, 则确定鉴权通过, 并通过 I-CSCF 及 P-CSCF向 UE发送鉴权成功消息; 否则, 确定鉴权失败。
上述处理过程要求使用单独的 ISIM完成 IM域的鉴权, 也就是说, 目前所设置的 ISIM是专门用于实现 IM域的鉴权的, 而目前能够用于 3G的终端用户标识模块都是不包含 ISIM的, 因此这些终端用户标识模 块无法通过上述过程完成 IM域的鉴权。比如, 目前已出现的针对 3G的 UICC卡一般只包含了用于电路交换 ( CS )域和 PS域鉴权的 USIM, 这
样也就无法通过上述针对 ISIM的处理完成 IM域的鉴权。 同时, HSS 中也没有 USIM的相关数据, 因此无法确定 USIM用户鉴权所需的鉴权 向量, 也就无法直接通过上述方案对 USIM进行鉴权。
若要使得 HSS可以完成对 USIM用户的鉴权,一种方案是:将 HLR 中的数据集成到 HSS中, 则 HSS就能够具有 USIM的相关数据, 因此 可以确定相应的鉴权向量。 显然, 这就需要大规模地替换现有的 HLR, 但是, 目前的 IMS网络处于初始阶段, 大规模替换 HLR基本上是不可 能的。 更为合理的解决方案是在现网的基础上叠加一个或多个专门提供 IM业务的 HSS,而现有的 HLR保持不变,继续提供 CS和 PS域的业务。 但按照 3GPP的建议方案, 叠加的 HSS需要使用 ISIM进行鉴权, 原有 的 HLR则可以使用原来的 USIM进行鉴权。 这就需要用户将卡更换为 包含 ISIM的卡。 根据目前的运营模式, 如果用户想要升级 UE, 可以通 过各种途径实现, 包括购置新机、通过 Java或者手机制造商提供的接口 升级等, 这些升级具有很强的可操作性。 但如果用户想要换卡, 则必须 到运营商授权的专门营业点进行更换, 而为保证业务的持续性, 新卡中 的国际移动用户标识(IMSI )与旧卡中的 IMSI必须保证一定的关联性, 比如, 必须归属同一个 HLR, 因此, 换卡在实际操作时必然非常繁瑣。
另外, 即使 HSS中存有 USIM的相关数据, 并且可以确定 USIM用 户鉴权所需的鉴权向量, 仍然会有其它的问题: 一个 USIM同时为多个 域鉴权会引起再同步问题。 所谓再同步是指: USIM中保存了 SQNMS, 下发的 SQN是以 HSS/HLR保存的 SQNHE为准的, 这说明 SQNHE比 SQNMS旧, 故将引发 USIM会用自身的 SQNMS去同步 HSS/HLR中的 SQNHE。 并且' 如果 HSS和 HLR中都存有 SQN, 则会存在 HSS和 HLR 中的 SQN不一致的问题, 这样, HSS和 HLR之间也需要针对 SQN进
行再同步。
以 USIM与 HLR间的再同步为例。 为提高网络的存取效率, 在现 有的网络中 , 针对 CS域的拜访位置寄存器( VLR )及针对 PS域的服务 通用分组无线业务支持节点(SGSN )通常都会一次索取多组鉴权向量, 每次只使用其中一组进行鉴权处理, 并自行緩存剩余的鉴权向量。 在这 种情况下, 如果各个域的操作频度不同, 比如, SGSN和 VLR先后向 HSS 获取了 5 組鉴权元组, 在各自使用了一组之后, 可能由于用户在 CS 域的操作很频繁, 使得 SGSN 中已緩存的 4组剩余鉴权向量将比 USIM中的 USIM接受的最高序列号( SQN MS ) 旧, 此时 USIM中保存 的 SQNMS以 VLR下发的 SQN为准, 这样, USIM就会用自身的 SQNMS 去同步 HLR中的 SQNHE, 该 SQNHE为 HLR/AUC中为每个用户保存的 个人序列号,进而导致 SGSN/VLR当前緩存的所有鉴权向量失效。从上 述例子可见, 如果不同域的操作频度相差较大, 则必然会引起频繁的再 同步。
综上所述, 目前要想使用 IM业务, 则用户的终端用户标识模块中 必须包含 ISIM, 或者替换现有的 HLR。 显然, 替换现有 HLR在短时间 内不太可能实现, 终端用户标识模块中包含 ISIM则对终端用户标'识模 块的要求比较高, 往往需要用户更换自身的 USIM卡才能实现。 而换卡 在实际操作中非常繁瑣, 必然会大大降低 IM业务的吸引力, 增加运营 商推广 IM业务的难度。 发明内容
有鉴于此, 本发明提供一种对终端用户标识模块进行 IM域鉴权的 方法及系统, 以便使用 USIM卡的用户不需要更换新卡, 即可使用 IM 业务。
为解决上述问题, 本发明的技术方案是这样实现的: 一种对终端用户标识模块进行 IM域鉴权的方法, 该方法在网络中 设置用于提供 IM域业务的 HSS, 包括:
a:网络中的 S-CSCF在收到 UE发送来的 IM域注册请求后,向 HSS 发送鉴权向量请求;
b: HSS在收到所述请求后, 向 UE的归属设备发送用于获取鉴权向 量的请求消息;
c: UE的归属设备在收到所述请求消息后, 为该 UE分配 SQN, 并 基于该 SQN生成鉴权向量, 之后将该鉴权向量发送给 HSS;
d: HSS将所述鉴权向量发送给 S-CSCF, S-CSCF根据所述鉴权向 量对所述 UE的终端用户标识模块进行鉴权。
步骤 b所述 HSS向 UE的归属设备发送的请求消息为:发送鉴权信 息消息, 所述发送鉴权信息消息中携带 CS域或 PS域的请求节点类型; 步骤 c所述 UE的归属设备根据请求消息为该用户分配 SQN为: UE的归属设备根据发送鉴权信息消息中的请求节点类型确定该 HSS归 属于 PS域还是 CS域, 并为该 HSS的归属域分配 SQN。
该方法进一步包括: 预先将发送鉴权信息消息中的请求节点类型扩 展为: CS域、 PS域及 IM域, 且, 所述 UE的归属设备将每个用户的个 人序列号 SQNHE预先划分为 CS域、 PS域及 IM域三类;
步驟 b所述 HSS向 UE的归属设备发送的请求消息为发送鉴权信息 消息, 且所述发送鉴权信息消息中携带 IM域的请求节点类型信息; 步骤 c所述 UE的归属设备分配 SQN为: UE的归属设备根据发送 鉴又信息消息中的请求节点类型确定该 HSS归属于 IM域, 并根据预先 为 IM域划分的 SQNHE为该 IM域分配 SQN。
该方法进一步包括: 预先在 HSS中配置归属设备能否为 IM域分配
SQN的信息;
步骤 b所述 HSS向 UE的归属设备发送鉴权信息消息之前,进一步 包括: HSS根据自身保存的信息确定 UE当前的归属设备是否能够为 IM 域分配 SQN, 如果能, 则在所述发送鉴权信息消息中携带 IM域的请求 节点类型信息; 否则,在所述发送鉴权信息消息中携带 CS域或 PS域的 请求节点类型信息。
所述 UE的归属设备划分给 IM域的 SQN的有效范围小于划分给 CS域和 /或 PS域的 SQN的有效范围。
步驟 c所述 UE的归属设备根据 SQNHE为 IM域分配 SQN为:为 IM 域分配一个以上的 SQN; 所述基于 SQN生成相应的鉴权向量为: 基于 每个 SQN生成一组鉴权向量;
步骤 d所述 S-CSCF根据所述鉴权向量对所述 UE的终端用户标识 模块进行鉴权为: S-CSCF从收到的鉴权向量中选择一组鉴权向量对终 端用户标识模块进行鉴权, 并保存其它鉴权向量。
步骤 a所述 S-CSCF向 HSS发送鉴权向量请求之前, 进一步包括: 判断自身是否存在针对该 UE的鉴权向量, 如果是, 则直接根据该鉴权 向量对 UE的终端用户标识模块进行鉴权, 结束本处理流程; 否则, 执 行向 HSS发送鉴权向量请求的步骤。
该方法进一步包括: 在 HSS中配置终端用户标识模块的数据信息; 步骤 b所述 HSS向 UE的归属设备发送鉴权信息消息之前,进一步 包括: 判断该 UE是否签约了 CS域和 /或 PS域的业务, 如果是, 则执行 所述发送鉴权信息消息的步骤; 否则, HSS根据所述终端用户标识模块 的数据信息计算鉴权向量, 之后执行步骤 d。
所述 S-CSCF与 HSS之间使用 UE的 IMS私有标识 ( IMPI )作为用 户标识;
步骤 b所述 HSS向 UE的归属设备发送请求消息之前,进一步包括: HSS将鉴权向量请求中的 IMH转换为国际移动用户标识(IMSI ), 并根 据该 IMSI及路由原则确定 UE当前的归属设备,之后执行向该归属设备 发送用于获取鉴权向量的请求消息的步骤;
步骤 d所述 HSS将所述鉴权向量发送给 S-CSCF之前,进一步包括: 将所述 IMSI转换为 IMPI, 之后将 IMPI 与所述鉴权向量一起发送给 S-CSCF。
所述 UE的归属设备为: UE当前归属的归属位置寄存器 HLR/鉴权 中心 AUC。
所述 UE使用的终端用户标识模块为: USIM。
一种对终端用户标识模块进行 IM 域鉴权的系统, 包括: UE、 S-CSCF, UE的归属设备, 还包括 HSS, 其中:
UE: 用于向 S-CSCF发起 IM域注册请求, 并和 S-CSCF交互对自 身的终端用户标识模块进行鉴权的相关消息;
S-CSCF: 用于根据 UE发来的 IM域注册请求, 向 HSS发送鉴权向 量请求, 根据 HSS发来的鉴权向量与 UE交互对 UE的终端用户标识模 块进行鉴权的相关消息;
HSS: 用于根据 S-CSCF发来的鉴权向量请求, 向 UE的归属设备 发送用于获取鉴权向量的请求消息, 将 UE的归属设备返回的鉴权向量 发送给 S-CSCF;
UE的归属设备: 用于根据 HSS发来的用于获取鉴权向量的请求消 息, 为 UE分配 SQN, 并基于该 SQN生成相应的鉴权向量, 将该鉴权 向量发送给 HSS。
本发明方案通过 UE 的当前归属设备分配 SQN, 并基于所分配的 SQN生成相应的鉴权向量, 之后将所生成的鉴权向量通过 HSS发送给
S-CSCF, 使得 USIM卡用户不需要换卡即可使用 IM业务, 大大降低了 推广 IM业务的难度。
并且本发明方案还通过 HLR分别针对 CS域、 PS域及 IM域分配 SQNHE的范围,终端用户标识模块可以分别对各个域内的 SQNMS进行比 较, 解决了现有技术中的频繁再同步问题。
另外, 本发明方案的所有修改和改造只涉及了 HSS和 HLR/AUC, 对于 II前的 GSM/通用无线分组业务(GPRS ) /UMTS等其它设备没有 任何额外的要求, 并且只是将 HLR/AUC进行简单的升级, 而不是替换, 在降低实现成本和复杂度的前提下, 使得在现有网络上叠加一个专门用 于提供 IM域鉴权的 IMS成为可能。 附图简要说明
图 1为目前的 IMS结构示意图;
图 2为 IMS的安全架构示意图;
图 3为现有技术中 IMS通过 ISIM对 UE进行鉴权的消息流时序图; 图 4为本发明实施例提供的对终端中的 USIM进行 IM域鉴权的消 息流时序图;
图 5为本发明实施例提供的对终端中的 USIM进行 IM域鉴权的系 统框图。 实施本发明的方式
本发明首先要在现有网络中叠加 HSS , 以实现在现网上叠加一个 IMS。 在现有网络中叠加了 HSS之后, 为实现共享 USIM, 在鉴权处理 过程中, HSS收到 S-CSCF发送来的鉴权向量请求消息后, 需要向用户 的归属设备, 比如 HLR/AUC, 发送用于获取鉴权向量的发送鉴权信息
的鉴权向量, 并将该鉴权向量发送给 HSS, HSS则将收到的鉴权向量再 发送给 S-CSCF。 从而使得 USIM卡用户能够完成 IM域的鉴权。
其中, 在用户为 USIM用户的情况下, HSS在收到 S-CSCF发送来 的鉴权向量请求消息后,并需要从 UE当前的归属设备获取鉴权向量时, 可以模拟 VLR或者 SGSN向 UE当前所归属的设备, 比如 HLR/AUC, 发送用于获取鉴权向量的发送鉴权信息消息, 则该发送鉴权信息消息中 应包含 CS域或 PS域的请求节点类型信息; HLR/AUC则根据该发送鉴 权信息消息中携带的请求节点类型确定 HSS归属于 PS域还是 CS域, 然后为该域分配 SQN, 并根据该域所对应的 SQN计算鉴权向量, 然后 将该鉴权向量发送给 HSS, 并由 HSS将这些鉴权向量下发给 S-CSCF。
另外, 在上述处理过程中, HSS在向 HLR/AUC发送用于获取鉴权 向量的发送鉴权信息消息之前, 还需要对 HLR/AUC进行寻址。 HSS向 HLR/AUC的寻址可完全遵循现网 MSC/VLR/SGSN向现网 HLR的寻址 方式。 具体来说, 由于 UE到 HSS的消息路径使用 UE的 IMS私有标识 ( IMPI )作为用户标识, 因此 S-CSCF与 HSS之间也使用 UE的 IMPI 作为用户标识, 又由于 MSC/VLR/SGSN通过 IMSI对 HLR进行寻址 , 因此 HSS需要完成 IMPI到 IMSI的转换, 并将转换得到的 IMSI作为用 户标识填充到发送鉴权信息消息中, 同时根据现网的路由原则及 IMSI 确定用户所在的 HLR/AUC, 之后将发送鉴权信息消息依据本地配置的 全局 ( GT )码或者目的信令点编码(DPC )发给目的 HLR/AUC; HSS 在收到目的 HLR/AUC返回的响应消息之后, 再完成从 IMSI到 IMPI的 转换, 并将 IMPI作为用户标识下发给 S-CSCF。
显然,上述方式不需要升级现有的 HLR, USIM用户也不需要换卡。 但由于 IM域业务占用了 CS域或 PS域的 SQN有效范围, 这可能会带 来一定的频繁再同步问题, 使得整个系统的效率有一定的降低。 当然,
由于 HSS是模拟 VLR或 SGSN向 HLR发起发送鉴权信息消息,因此其 再同步的影响范围只包括 IM域和 CS域, 或者是 IM域和 PS域。
对于这种由 HSS模拟 VLR或 SGSN的情况来说, 由于 PS域的鉴 权操作频度比较低, 因此 HSS应尽量将自身模拟为 SGSN, 以降低再同 步的频度。
如果要完全避免由此可能带来的频繁再同步问题,则可以由 HSS明 确通知 HLR/AUC该用于获取鉴权向量的发送鉴权信息消息来自 IM域, HLR/AUC 则首先根据所收到的发送鉴权信息消息确定该 UE处于 IM 域, 并为该 UE所处的 IM域分配 SQN, 然后再基于所分配的 SQN生成 相应的鉴权向量, 并将该鉴权向量通过 HSS发送给 S-CSCF。 当然, 这 种方式需要将现有的 HLR/AUC升级, 以支持新的协议扩展。 也就是使 现网中的 HLR能够将下发的 SQN划分为 CS域、 PS域和 IM域, 这样, USIM可以分别对各个域内的 SQN进行比较, 只要能够保证 HLR下发 给每个域的鉴权元组所对应的 SQN是有序的, 就不会导致不必要的再 同步过程。由于每个域中都只有一个网络实体用于緩存鉴权元组, 比如, CS域中由 VLR緩存, PS域中由 SGSN緩存, IM域中由 S-CSCF緩存, 因此通过 HLR对 SQN的分域划分可以解决再同步问题。
下面结合附图及具体实施例对本发明中完全避免频繁再同步的具 体方案作进一步详细的说明。
目前的 3GPP R4/R5/R6 29.002协议在发送鉴权信息 (MAP-SEND- AUTHENTICATION-INFO ) 消 息 中 定 义 了 请 求 节 点 类 型 ( requestingNodeType )信元,用以标识请求节点的类型是属于 CS域如: 当信元值为 vlr时还是 PS域如: 当信元值为 sgsn时。基于该定义, HLR 在向 S-CSCF下发鉴权向量之前, 首先将鉴权向量的 AUTN中的 SQN 划分为 CS域和 PS域, 然后根据 requestingNodeType信元确定请求节点
的类型是 VLR还是 SGSN, 并利用与该节点类型一致的 SQN生成相应 的鉴权向量, 然后再将所生成的鉴权向量发送给该节点。 这样, 就可以 保证 HLR下发到各个域中的 SQN是有序的, 同时使得在 USIM卡上管 理的 SQNMS也分别对应 CS域和 PS域, 各个域的 SQN校验相对独立, 不互相干扰, 从而避免了因两个域中操作频度不同而导致频繁触发再同 步的问题。
因此, 为使 HLR/AUC能够为 UE所处的 IM域分配 SQN, 以避免 前述因 HSS模拟 VLR或 SGSN而导致的频繁再同步的问题, 本发明方 案可以对发送鉴权信息消息进行扩展, 具体是将发送鉴权信息消息中的 requestingNodeType信元进行扩展, 将该信元中的两个枚举值: 表示 CS 域的值如: vlr和表示 PS域的值如: sgsn扩展为三个枚举值, 即: 表示 CS域的值、 表示 PS域的值及表示 IM域的值如: im, 其它所有信元则 保持不变。
扩展后,原有的 VLR/SGSN不需要作任何的改动,且仍可使用原有 的发送鉴权信息消息获取鉴权向量,新增的 HSS则使用扩展后的发送鉴 权信息消息来获取鉴权向量, 其中, 针对 IM域的 requestingNodeType 信元应写为 im。 当然, 原有的 HLR/AUC还需要进行必要的升级, 其改 动点主要包括: 使 HLR/AUC 兼容扩展后的发送鉴权信息消息; HLR/AUC需要将 SQNHE划分为 CS域、 PS域和 IM域, 根据发送鉴权 信息消息所携带的 requestingNodeType信元及 IM域的 SQNHE生成针对 IM域的 SQN, 并才据该 SQN生成相应的鉴权向量, 然后再将所生成的 鉴权向量发送给发起请求的网络节点。
由于针对 AUC及 HLR的鉴权向量获取过程相同, 因此下面仅以 HLR为例。
通过上述设置, 具体的鉴权处理消息流时序如图 4所示, 其具体包
括以下步骤:
步骤 401~402: S-CSCF在收到 UE发送来的 IM域注册请求后, 向 HSS发送鉴权向量请求(Cx-AuthDataReq )。
步骤 403: HSS在收到 S-CSCF发来的鉴权向量请求后, 发送发送 鉴权信息(MAP-SEND-AUTHENTICATION-INFO ) 消息给该用户当前 所归属的归属设备, 即 HLR/AUC。
其中, 若该 HLR 已经升级支持新的协议扩展, 则该发送鉴权信息 消息中所携带的 requestingNodeType信元填写为 im; 若该 HLR未升级, 则该发送鉴权信息消息中所携带的 requestingNodeType信元填写为 sgsn 或 vlr, 建议用 sgsn。
该步骤具体可以是在 HSS中配置 HLR是否能为 IM域分配 SQNHE 的信息, HSS则可以根据该信息确定相应的 HLR是否已支持新的协议 扩展, 并根据该确定的信息发送相应的发送鉴权信息消息。
步骤 404: HLR/AUC在收到发送鉴权信息消息后,根据该消息中的 requestingNodeType 信元确定该消息来自哪个域, 并根据自身保存的 SQNHE生成满足该域要求的 SQN,并根据该 SQN生成相应的鉴权向量, 之后将该鉴权向量作为发送鉴权信息消息的响应消息发送给 HSS。
其中, 如果 HLR/AUC根据 requestingNodeType信元确定该发送鉴 权信息消息来自 IM域, 则根据自身保存的 SQNHE生成满足 IM域要求 的 SQN; 如果根据 requestingNodeType信元确定该发送鉴权信息消息来 自 CS或 PS域, 则根据自身保存的 SQNHE生成满足 CS域或 PS域要求 的 SQN。
步骤 405: HSS将 HLR/AUC发来的鉴权向量发送给 S-CSCF。
步骤 406: S-CSCF根据 HSS发来的鉴权向量对 UE进行鉴权。 在得到鉴权向量后, S-CSCF的具体鉴权过程如图 3 中的步骤 304
及后续步驟所示, 只是将其中的 ISIM改为 USIM即可, 因此不再赘述。 通过上述步骤, 即可实现本发明的目的。
为提高效率, S-CSCF在收到注册请求后, 还可以向 HSS请求多组 鉴权向量。 这样, 在上述步骤 401~402中, S-CSCF在收到注册请求后, 首先要判断自身是否还有有效的鉴权向量, 如果有, 则 S-CSCF可以直 接根据该鉴权向量对 UE进行鉴权; 如果没有, 则 S-CSCF再向 HSS发 送鉴权向量请求消息, 以请求多组鉴权向量。 HSS向 HLR/AUC转发的 发送鉴权信息消息同样也用于请求多组鉴权向量, HLR/AUC 则会相应 地为 IM域分配多个 SQN, 并依据这些 SQN生成多组鉴权向量。
另外, 如果 UE没有签约 CS/PS域业务, 也即 UE只签约了 IM域 业务, 则不会出现再同步的问题。 因此, HSS在收到 S-CSCF发送来的 鉴权向量请求消息后, 可以先判断该用户是否已签约了 CS/PS域业务, 如果是, 则发送发送鉴权信息消息到用户归属的 HLR/AUC, 如前所述, 该消息中 requestingNodeType信元的填充内容可根据该 HLR/AUC的能 力决定, 即根据 HLR/AUC是否支持 requestingNodeType信元的扩展决 定; 如果该用户没有签约 CS PS域业务, 则该 USIM与现有的 ISIM相 同, 即只支持 IM域业务, 因此可以按照 ISIM的处理方式在 HSS内嵌 的 AUC中为该用户生成鉴权向量并下发, 当然, 与 ISIM相同, 同样需 要在 HSS中预设 USIM的相关数据。
还需要说明的是,对于目前的使用情况来说,与 CS域和 PS域相比, IM域的鉴权频度较低, 因此 HLR AUC可以为 IM域分配较小范围的 SQN。
图 5为基于本发明实施例提供的对终端中的 USIM进行 IM域鉴权 的系统组成图, 如图 5所示, 其主要包括: UE、 S-CSCF, UE的归属设 备如: HLR/AUC和 HSS, 其中:
UE: 用于向 S-CSCF发起 IM域注册请求, 并和 S-CSCF交互对自 身的 USIM进行鉴权的相关消息;
S-CSCF: 用于根据 UE发来的 IM域注册请求, 向 HSS发送鉴权向 量请求, 根据 HSS发来的鉴权向量与 UE交互对 UE的 USIM进行鉴权 的相关消息;
HSS: 用于根据 S-CSCF发来的鉴权向量请求, 向 UE的归属设备 发送用于获取鉴权向量的请求消息, 将 UE的归属设备返回的鉴权向量 发送给 S-CSCF;
UE的归属设备: 用于根据 HSS发来的用于获取鉴权向量的请求消 息, 为 UE分配 SQN, 并基于该 SQN生成相应的鉴权向量, 将该鉴权 向量发送给 HSS。
以上所述仅为本发明的过程及方法实施例, 并不用以限制本发明, 凡在本发明的精神和原则之内所做的任何修改、 等同替换、 改进等, 均 应包含在本发明的保护范围之内。
Claims (9)
- 权利要求书1、 一种对终端用户标识模块进行因特网协议多媒体域鉴权的方法, 其特征在于, 在网络中设置用于提供因特网协议多 &某体 IM域业务的归 属用户服务器 HSS, 该方法包括:a: 网络中的服务呼叫会话控制功能 S-CSCF在收到移动终端 UE发 送来的 IM域注册请求后, 向 HSS发送鉴权向量请求;b: HSS在收到所述请求后, 向 UE的归属设备发送用于获取鉴权向 量的请求消息;c: UE 的归属设备在收到所述请求消息后, 为该 UE分配序列号 SQN, 并基于该 SQN生成鉴权向量, 之后将该鉴权向量发送给 HSS; d: HSS将所述鉴权向量发送给 S-CSCF, S-CSCF根据所述鉴权向 量对所述 UE的终端用户标识模块进行鉴权。
- 2、 根据权利要求 1所述的方法, 其特征在于, 步骤 b所述 HSS向 UE 的归属设备发送的请求消息为: 发送鉴权信息消息, 所述发送鉴权 信息消息中携带电路交换 CS域或分组交换 PS域的请求节点类型;步骤 c所述 UE的归属设备根据请求消息为该用户分配 SQN为: UE的归属设备根据发送鉴权信息消息中的请求节点类型确定该 HSS归 属于 PS域还是 CS域, 并为该 HSS的归属域分配 SQN。
- 3、 根据权利要求 2所述的方法, 其特征在于, 该方法进一步包括: 预先将发送鉴权信息消息中的请求节点类型扩展为: CS域、 PS域及 IM 域, 且, 所述 UE的归属设备将每个用户的个人序列号 SQNHE预先划分 为 CS域、 PS域及 IM域三类;步骤 b所述 HSS向 UE的归属设备发送的请求消息为发送鉴权信息 消息, 且所述发送鉴权信息消息中携带 IM域的请求节点类型信息; 步骤 c所述 UE的归属设备分配 SQN为: UE的归属设备根据发送 鉴权信息消息中的请求节点类型确定该 HSS归属于 IM域, 并根据预先 为 IM域划分的 SQNHE为该 IM域分配 SQNo
- 4、 根据权利要求 3所述的方法, 其特征在于, 该方法进一步包括: 预先在 HSS中配置归属设备能否为 IM域分配 SQN的信息;步骤 b所述 HSS向 UE的归属设备发送鉴权信息消息之前,进一步 包括: HSS根据自身保存的信息确定 UE当前的归属设备是否能够为 IM 域分配 SQN, 如果能, 则在所述发送鉴权信息消息中携带 IM域的请求 节点类型信息; 否则,在所述发送鉴权信息消息中携带 CS域或 PS域的 请求节点类型信息。
- 5、根据权利要求 3所述的方法, 其特征在于, 所述 UE的归属设备 划分给 IM域的 SQN的有效范围小于划分给 CS域和 /或 PS域的 SQN的 有效范围。
- 6、根据权利要求 3所述的方法, 其特征在于, 步驟 c所述 UE的归 属设备根据 SQNHE为 IM域分配 SQN为:为 IM域分配一个以上的 SQN; 所述基于 SQN生成相应的鉴权向量为: 基于每个 SQN生成一组鉴权向 量;步骤 d所述 S-CSCF ^^据所述鉴权向量对所述 UE的终端用户标识 模块进行鉴权为: S-CSCF从收到的鉴权向量中选择一组鉴权向量对终 端用户标识模块进行鉴权, 并保存其它鉴权向量。
- 7、 根据权利要求 6所述的方法, 其特征在于, 步骤 a所述 S-CSCF 向 HSS发送鉴权向量请求之前,进一步包括: 判断自身是否存在针对该 UE的鉴权向量,如果是,则直接根据该鉴权向量对 UE的终端用户标识 模块进行鉴权, 结束本处理流程; 否则, 执行向 HSS发送鉴权向量请求 的步骤。 8、 根据权利要求 1至 Ί中任意一项所述的方法, 其特征在于, 该 方法进一步包括: 在 HSS中配置终端用户标识模块的数据信息;步骤 b所述 HSS向 UE的归属设备发送鉴权信息消息之前,进一步 包括: 判断该 UE是否签约了 CS域和 /或 PS域的业务, 如果是, 则执行 所述发送鉴权信息消息的步骤; 否则, HSS根据所述终端用户标识模块 的数据信息计算鉴权向量, 之后执行步骤 d。9、 根据权利要求 1至 7中任意一项所述的方法, 其特征在于, 所 述 S-CSCF与 HSS之间使用 UE的 IMS私有标识 IMPI作为用户标识; 步骤 b所述 HSS向 UE的归属设备发送请求消息之前,进一步包括: HSS将鉴权向量请求中的 IMPI转换为国际移动用户标识 IMSI, 并根据 该 IMSI及路由原则确定 UE当前的归属设备,之后执行向该归属设备发 送用于获取鉴权向量的请求消息的步骤;步驟 d所述 HSS将所述鉴权向量发送给 S-CSCF之前,进一步包括: 将所述 IMSI转换为 IMPI, 之后将 IMPI 与所述鉴权向量一起发送给 S-CSCF。
- 10、 根据权利要求 1至 7中任意一项所述的方法, 其特征在于, 所 述 UE 的归属设备为: UE 当前归属的归属位置寄存器 HLR/鉴权中心 AUC。
- 11、 根据权利要求 1至 7中任意一项所述的方法, 其特征在于, 所 述 UE使用的终端用户标识模块为: 用户服务识别模块 USIM。12、 一种对终端用户标识模块进行 IM域鉴权的系统, 包括: UE、 S-CSCF, UE的归属设备, 其特征在于, 还包括 HSS, 其中:UE: 用于向 S-CSCF发起 IM域注册请求, 并和 S-CSCF交互对自 身的终端用户标识模块进行鉴权的相关消息;S-CSCF: 用于根据 UE发来的 IM域注册请求, 向 HSS发送鉴权向 量请求, 根据 HSS发来的鉴权向量与 UE交互对 UE的终端用户标识模 块进行鉴权的相关消息;HSS: 用于根据 S-CSCF发来的鉴权向量请求, 向 UE的归属设备 发送用于获取鉴权向量的请求消息, 将 UE的归属设备返回的鉴权向量 发送给 S-CSCF;UE的归属设备: 用于根据 HSS发来的用于获取鉴权向量的请求消 息, 为 UE分配 SQN, 并基于该 SQN生成相应的鉴权向量, 将该鉴权 向量发送给 HSS。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006800010952A CN101053203B (zh) | 2005-05-31 | 2006-05-31 | 对终端用户标识模块进行因特网多媒体域鉴权的方法及系统 |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100733639A CN100428848C (zh) | 2005-05-31 | 2005-05-31 | 一种对终端用户标识模块进行ip多媒体域鉴权的方法 |
| CN200510073363.9 | 2005-05-31 | ||
| PCT/CN2006/001161 WO2006128373A1 (fr) | 2005-05-31 | 2006-05-31 | Procede pour l'authentification de domaine im pour le module d'identification d'utilisateur de terminal et systeme associe |
| CN2006800010952A CN101053203B (zh) | 2005-05-31 | 2006-05-31 | 对终端用户标识模块进行因特网多媒体域鉴权的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101053203A true CN101053203A (zh) | 2007-10-10 |
| CN101053203B CN101053203B (zh) | 2010-09-08 |
Family
ID=38783562
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800010952A Expired - Fee Related CN101053203B (zh) | 2005-05-31 | 2006-05-31 | 对终端用户标识模块进行因特网多媒体域鉴权的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101053203B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115022878A (zh) * | 2022-08-08 | 2022-09-06 | 中国电子科技集团公司第三十研究所 | 对选定VoLTE用户接管的方法、设备及介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100428848C (zh) | 2005-05-31 | 2008-10-22 | 华为技术有限公司 | 一种对终端用户标识模块进行ip多媒体域鉴权的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0324364D0 (en) * | 2003-10-17 | 2003-11-19 | Nokia Corp | Authentication of messages in a communication system |
-
2006
- 2006-05-31 CN CN2006800010952A patent/CN101053203B/zh not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115022878A (zh) * | 2022-08-08 | 2022-09-06 | 中国电子科技集团公司第三十研究所 | 对选定VoLTE用户接管的方法、设备及介质 |
| CN115022878B (zh) * | 2022-08-08 | 2022-11-11 | 中国电子科技集团公司第三十研究所 | 对选定VoLTE用户接管的方法、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101053203B (zh) | 2010-09-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8027666B2 (en) | Method and system for authenticating terminal subscriber identity module in IP multimedia domain | |
| ES2371109T3 (es) | Sistema y aparato para usuarios de cs móvil para acceder a la red de ims y el método de registro para el acceso. | |
| US10285042B2 (en) | System and method for terminating communication sessions with roaming mobile devices | |
| US7813730B2 (en) | Providing mobile core services independent of a mobile device | |
| US8887235B2 (en) | Authentication interworking | |
| US20080273704A1 (en) | Method and Apparatus for Delivering Keying Information | |
| CN101094061B (zh) | 数字网关系统、设备和网络终端设备的接入签权认证方法 | |
| EP1861983A1 (en) | Method and apparatuses for authenticating a user by comparing a non-network originated identities | |
| WO2008116804A1 (en) | Method for providing subscriptions to packet-switched networks | |
| Psimogiannos et al. | An IMS-based network architecture for WiMAX-UMTS and WiMAX-WLAN interworking | |
| CN101401476A (zh) | 通信网络中的接入控制 | |
| WO2017092229A1 (zh) | 基于多业务的ims注册方法和ims注册系统 | |
| CN100413273C (zh) | 全球微波接入互操作网接入互联网协议多媒体子域的方法 | |
| EP2297916B1 (en) | Method, apparatus, system and related computer program product for handover management | |
| US20120284775A1 (en) | Method for providing ip services to a user of a public network | |
| CN101106457B (zh) | Ip多媒体子系统网络中确定用户终端鉴权方式的方法 | |
| CN101232707B (zh) | 一种ims网络中区分用户终端鉴权方式的方法及i-cscf | |
| KR20080016610A (ko) | 단말, 비상센터, 네트워크, 그리고 단말 신원을 이용하여비상 세션을 확립하기 위한 네트워크 요소, 시스템 및 방법 | |
| CN101053203A (zh) | 对终端用户标识模块进行因特网多媒体域鉴权的方法及系统 | |
| CN102857900B (zh) | 接入设备接入ims网络方法及agcf和s‑cscf | |
| CN1801706B (zh) | 一种ip多媒体子系统网络鉴权系统及方法 | |
| CN101505470B (zh) | 策略控制方法和设备 | |
| CN100459804C (zh) | 终端接入第二系统网络时进行鉴权的装置、系统及方法 | |
| CN103001935A (zh) | Ils网络的ue在ims网络中的认证方法和系统 | |
| CN115022878B (zh) | 对选定VoLTE用户接管的方法、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1099153 Country of ref document: HK |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100908 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |