CN101053203B - 对终端用户标识模块进行因特网多媒体域鉴权的方法及系统 - Google Patents
对终端用户标识模块进行因特网多媒体域鉴权的方法及系统 Download PDFInfo
- Publication number
- CN101053203B CN101053203B CN2006800010952A CN200680001095A CN101053203B CN 101053203 B CN101053203 B CN 101053203B CN 2006800010952 A CN2006800010952 A CN 2006800010952A CN 200680001095 A CN200680001095 A CN 200680001095A CN 101053203 B CN101053203 B CN 101053203B
- Authority
- CN
- China
- Prior art keywords
- territory
- hss
- sqn
- authentication
- authentication vector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 230000005540 biological transmission Effects 0.000 claims description 33
- 230000008569 process Effects 0.000 claims description 13
- 230000000977 initiatory effect Effects 0.000 claims description 5
- 230000004044 response Effects 0.000 description 11
- 230000006870 function Effects 0.000 description 10
- 230000008859 change Effects 0.000 description 9
- 230000001360 synchronised effect Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000004088 simulation Methods 0.000 description 3
- 238000004846 x-ray emission Methods 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- HCBIBCJNVBAKAB-UHFFFAOYSA-N Procaine hydrochloride Chemical compound Cl.CCN(CC)CCOC(=O)C1=CC=C(N)C=C1 HCBIBCJNVBAKAB-UHFFFAOYSA-N 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000037361 pathway Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种对终端用户标识模块进行IM域鉴权的方法,该方法在网络中设置用于提供IM业务的HSS,包括:S-CSCF收到UE发来的IIVI域注册请求后,向HSS发送鉴权向量请求,之后HSS向UE的归属设备发送用于获取鉴权向量的请求消息,UE的归属设备为该UE分配SQN,并基于该SQN生成相应的鉴权向量,将该鉴权向量通过HSS发送给S-CSCFF,S-CSCF根据该鉴权向量对UE的终端用户标识模块进行鉴权;本发明同时公开了一种对终端用户标识模块进行IM域鉴权的系统,包括:UE、S-CSCF,HSS和UE的归属设备。本发明使得USIM用户不需换卡即可使用IM业务,大大降低了推广IM业务的难度,且杜绝了频繁再同步现象;另外,本发明只需对HSS和HLR/AUC进行简单升级,降低了在现有网络中实现IM域鉴权的成本和复杂度。
Description
技术领域
本发明涉及对移动终端的鉴权技术,更确切地说是涉及一种在因特网多媒体(IM)域对终端用户标识模块进行鉴权的方法及系统。
背景技术
随着多媒体业务的发展,目前已出现了针对移动终端的多媒体业务。目前为移动终端提供多媒体业务的IP多媒体子系统(IMS)的架构如图1所示,IMS起初是在第三代网络(3G)已有的分组交换(PS)域之外叠加的一个子域,这个子域专门用于支持IP多媒体(IM)业务。在条件成熟的情况下,IMS也可服务于以无线局域网(WLAN)或其它方式的IP连通性接入网(IP-CAN)接入的用户。
如图1所示,IMS主要由呼叫会话控制功能(CSCF)实体、媒体网关(MGW)、媒体资源功能控制器(MRFC)、媒体资源功能处理器(MRFP)、媒体网关控制功能(MGCF)、中断网关控制功能(BGCF)、签约定位器功能(SLF)、策略判决功能(PDF)等部件构成,在各个部件之间主要使用会话发起协议(SIP)传输控制信令。呼叫控制部件是IMS中的关键部件,主要完成呼叫控制、地址转换、计费、隐蔽移动终端(UE)的移动性等功能;媒体网关部件则是为与现有公共交换电话网络(PSTN)兼容而引入的。另外,IMS中的归属用户服务器(HSS)是归属网络中用于保存IMS用户签约信息的设备。
IMS的安全功能包括用户在IMS的鉴权和SIP消息的保护。IMS的安全架构如图2所示。其中,UE与归属网之间的鉴权及安全联盟(SA,SecurityAssociation)协商采用IMS鉴权密钥协议(AKA)双向认证机制,SIP消息的加密和完整性保护采用的是逐跳处理方式。
具体来说,在IMS中,为实现对IP多媒体(IM)用户的鉴权,第三代合作伙伴组织(3GPP)协议使用了专门的IMS用户标识模块(ISIM)作为用户侧的鉴权模块,并使用了通用移动通信系统(UMTS)的AKA机制。IMS系统对用户的鉴权处理过程如图3所示,对应以下步骤:
步骤301:UE在需要使用IMS业务时,依次通过代理呼叫会话控制功能(P-CSCF)及查询呼叫会话控制功能(I-CSCF)将注册请求发送给服务呼叫会话控制功能(S-CSCF)。
步骤302:S-CSCF在收到注册请求后,检测自身是否存在针对该用户的五元组鉴权向量(AV),若存在,则直接利用该鉴权向量对用户进行鉴权,即进入步骤304;若不存在,则向HSS请求AV,即进入步骤303。
这里,五元组AV包括:随机数(RAND)、鉴权令牌(AUTN)、全球移动通信(GSM)网使用的加密密钥(CK)、完整性密钥(IK)及预期响应(XRES)。
步骤303:HSS收到S-CSCF发来的AV请求后,确定五元组AV,并发送给S-CSCF。
其中,HSS确定五元组AV,具体是由HSS自身内嵌的鉴权中心(AUC)来确定序列号(SQN),并根据该SQN生成相应的鉴权向量。
当然,为提高效率,HSS一般会按顺序向S-CSCF发送多组五元组AV,以便S-CSCF能够通过一次请求获取多组用于鉴权的五元组AV。
步骤304:S-CSCF保留自身保存的或HSS发送来的五元组AV中的XRES,将RAND、AUTN、CK及IK放在鉴权考验(Auth_Challenge)消息中,并将该消息通过I-CSCF发送给P-CSCF。
如果HSS向S-CSCF发送多组五元组AV,则S-CSCF可以按顺序选择一组五元组AV,其它五元组AV则留在针对该用户的下一次鉴权中使用。
步骤305:P-CSCF保留S-CSCF通过Auth_Challenge消息发送来的CK和IK,并将RAND和AUTN下发到UE。
如果系统启动了一致性保护和保密性保护,则P-CSCF将在后续的会话中使用保存下来的IK和CK作为密钥。
步骤306~307:UE将收到的RAND和AUTN发送到ISIM,ISIM对收到的AUTN进行验证,并在验证通过后根据RAND计算响应(RES),然后将计算出的RES作为鉴权响应发送给UE,并由UE将该RES返回给S-CSCF,同时ISIM还根据RAND计算出IK和CK,并将IK和CK发送给UE。
ISIM对收到的AUTN进行验证包括确定AUTN中包含的媒体接入控制(MAC)值是否合法,以及确定AUTN中的序列号SQN是否可接受。其中,ISIM对SQN是否可接受的验证即为验证是否需要再同步。
UE具体会通过P-CSCF和I-CSCF将RES发送给S-CSCF,并保留IK和CK,以作为后续会话中的密钥。
步骤308~309:S-CSCF将UE发送来的鉴权响应中的RES与自身保存的XRES进行比较,如果相等,则确定鉴权通过,并通过I-CSCF及P-CSCF向UE发送鉴权成功消息;否则,确定鉴权失败。
上述处理过程要求使用单独的ISIM完成IM域的鉴权,也就是说,目前所设置的ISIM是专门用于实现IM域的鉴权的,而目前能够用于3G的终端用户标识模块都是不包含ISIM的,因此这些终端用户标识模块无法通过上述过程完成IM域的鉴权。比如,目前已出现的针对3G的UICC卡一般只包含了用于电路交换(CS)域和PS域鉴权的USIM,这样也就无法通过上述针对ISIM的处理完成IM域的鉴权。同时,HSS中也没有USIM的相关数据,因此无法确定USIM用户鉴权所需的鉴权向量,也就无法直接通过上述方案对USIM进行鉴权。
若要使得HSS可以完成对USIM用户的鉴权,一种方案是:将HLR中的数据集成到HSS中,则HSS就能够具有USIM的相关数据,因此可以确定相应的鉴权向量。显然,这就需要大规模地替换现有的HLR,但是,目前的IMS网络处于初始阶段,大规模替换HLR基本上是不可能的。更为合理的解决方案是在现网的基础上叠加一个或多个专门提供IM业务的HSS,而现有的HLR保持不变,继续提供CS和PS域的业务。但按照3GPP的建议方案,叠加的HSS需要使用ISIM进行鉴权,原有的HLR则可以使用原来的USIM进行鉴权。这就需要用户将卡更换为包含ISIM的卡。根据目前的运营模式,如果用户想要升级UE,可以通过各种途径实现,包括购置新机、通过Java或者手机制造商提供的接口升级等,这些升级具有很强的可操作性。但如果用户想要换卡,则必须到运营商授权的专门营业点进行更换,而为保证业务的持续性,新卡中的国际移动用户标识(IMSI)与旧卡中的IMSI必须保证一定的关联性,比如,必须归属同一个HLR,因此,换卡在实际操作时必然非常繁琐。
另外,即使HSS中存有USIM的相关数据,并且可以确定USIM用户鉴权所需的鉴权向量,仍然会有其它的问题:一个USIM同时为多个域鉴权会引起再同步问题。所谓再同步是指:USIM中保存了SQNMS,如果HSS/HLR下发的五元组中的SQN比USIM中保存的SQNMS旧,而下发的SQN是以HSS/HLR保存的SQNHE为准的,这说明SQNHE比SQNMS旧,故将引发USIM会用自身的SQNMS去同步HSS/HLR中的SQNHE。并且,如果HSS和HLR中都存有SQN,则会存在HSS和HLR中的SQN不一致的问题,这样,HSS和HLR之间也需要针对SQN进行再同步。
以USIM与HLR间的再同步为例。为提高网络的存取效率,在现有的网络中,针对CS域的拜访位置寄存器(VLR)及针对PS域的服务通用分组无线业务支持节点(SGSN)通常都会一次索取多组鉴权向量,每次只使用其中一组进行鉴权处理,并自行缓存剩余的鉴权向量。在这种情况下,如果各个域的操作频度不同,比如,SGSN和VLR先后向HSS获取了5组鉴权元组,在各自使用了一组之后,可能由于用户在CS域的操作很频繁,使得SGSN中已缓存的4组剩余鉴权向量将比USIM中的USIM接受的最高序列号(SQNMS)旧,此时USIM中保存的SQNMS以VLR下发的SQN为准,这样,USIM就会用自身的SQNMS去同步HLR中的SQNHE,该SQNHE为HLR/AUC中为每个用户保存的个人序列号,进而导致SGSN/VLR当前缓存的所有鉴权向量失效。从上述例子可见,如果不同域的操作频度相差较大,则必然会引起频繁的再同步。
综上所述,目前要想使用IM业务,则用户的终端用户标识模块中必须包含ISIM,或者替换现有的HLR。显然,替换现有HLR在短时间内不太可能实现,终端用户标识模块中包含ISIM则对终端用户标识模块的要求比较高,往往需要用户更换自身的USIM卡才能实现。而换卡在实际操作中非常繁琐,必然会大大降低IM业务的吸引力,增加运营商推广IM业务的难度。
发明内容
有鉴于此,本发明提供一种对终端用户标识模块进行IM域鉴权的方法及系统,以便使用USIM卡的用户不需要更换新卡,即可使用IM业务。
为解决上述问题,本发明的技术方案是这样实现的:
一种对终端用户标识模块进行IM域鉴权的方法,该方法在网络中设置用于提供IM域业务的HSS,包括:
a:网络中的S-CSCF在收到UE发送来的IM域注册请求后,向HSS发送鉴权向量请求;
b:HSS在收到所述请求后,向UE的归属设备发送用于获取鉴权向量的请求消息;
c:UE的归属设备在收到所述请求消息后,为该UE分配SQN,并基于该SQN生成鉴权向量,之后将该鉴权向量发送给HSS;
d:HSS将所述鉴权向量发送给S-CSCF,S-CSCF根据所述鉴权向量对所述UE的终端用户标识模块进行鉴权;
其中,所述UE的归属设备中每个UE的个人序列号SQNHE包括与至少一种域对应的至少一个SQNHE;
所述向UE的归属设备发送请求消息为:
向UE的归属设备发送发送鉴权信息消息,其中所述发送鉴权信息消息中携带请求节点类型;
所述UE的归属设备为该UE分配SQN为:
UE的归属设备根据所述请求节点类型确定该HSS归属的域,并根据该HSS归属的域所对应的SQNHE为该HSS归属的域分配SQN。
所述UE的归属设备中每个UE的个人序列号SQNHE包括:与电路交换CS域的SQNHE和分组交换PS域对应的SQNHE中的至少一种;所述发送鉴权信息消息中携带CS域或PS域的请求节点类型;
步骤c所述UE的归属设备为该UE分配SQN为:UE的归属设备根据发送鉴权信息消息中的请求节点类型确定该HSS归属于PS域还是CS域,并根据该HSS归属的域所对应的SQNHE为该HSS归属的域分配SQN。
该方法进一步包括:所述UE的归属设备中每个UE的个人序列号SQNHE包括:与IM域对应的SQNHE;
步骤所述发送鉴权信息消息中携带IM域的请求节点类型信息;
步骤c所述UE的归属设备分配SQN为:UE的归属设备根据发送鉴权信息消息中的请求节点类型确定该HSS归属于IM域,并根据与IM域对应的SQNHE为该IM域分配SQN。
所述UE的归属设备中每个UE的个人序列号SQNHE进一步包括:与电路交换CS域的SQNHE和分组交换PS域对应的SQNHE中的至少一种;该方法进一步包括:
步骤b所述HSS向UE的归属设备发送鉴权信息消息之前,进一步包括:HSS根据自身保存的信息确定UE当前的归属设备是否能够为IM域分配SQN,如果能,则在所述发送鉴权信息消息中携带IM域的请求节点类型信息;否则,在所述发送鉴权信息消息中携带CS域或PS域的请求节点类型信息。
所述UE的归属设备划分给IM域的SQN的有效范围小于划分给CS域和/或PS域的SQN的有效范围。
步骤c所述UE的归属设备根据SQNHE为IM域分配SQN为:为IM域分配一个以上的SQN;所述基于SQN生成相应的鉴权向量为:基于每个SQN生成一组鉴权向量;
步骤d所述S-CSCF根据所述鉴权向量对所述UE的终端用户标识模块进行鉴权为:S-CSCF从收到的鉴权向量中选择一组鉴权向量对终端用户标识模块进行鉴权,并保存其它鉴权向量。
步骤a所述S-CSCF向HSS发送鉴权向量请求之前,进一步包括:判断自身是否存在针对该UE的鉴权向量,如果是,则直接根据该鉴权向量对UE的终端用户标识模块进行鉴权,结束本处理流程;否则,执行向HSS发送鉴权向量请求的步骤。
该方法进一步包括:在HSS中配置终端用户标识模块的数据信息;
步骤b所述HSS在收到所述请求后,向UE的归属设备发送用于获取鉴权向量的请求消息之前,进一步包括:判断该UE是否签约了CS域和/或PS域的业务,如果是,则执行所述发送用于获取鉴权向量的请求消息的步骤;否则,HSS根据所述终端用户标识模块的数据信息计算鉴权向量,之后执行步骤d。
所述S-CSCF与HSS之间使用UE的IMS私有标识(IMPI)作为用户标识;
步骤b所述HSS向UE的归属设备发送请求消息之前,进一步包括:HSS将鉴权向量请求中的IMPI转换为国际移动用户标识(IMSI),并根据该IMSI及路由原则确定UE当前的归属设备,之后执行向该归属设备发送用于获取鉴权向量的请求消息的步骤;
步骤d所述HSS将所述鉴权向量发送给S-CSCF之前,进一步包括:将所述IMSI转换为IMPI,之后将IMPI与所述鉴权向量一起发送给S-CSCF。
所述UE的归属设备为:UE当前归属的归属位置寄存器HLR/鉴权中心AUC。
所述UE使用的终端用户标识模块为:USIM。
一种对终端用户标识模块进行IM域鉴权的系统,包括:UE、S-CSCF、UE的归属设备,还包括HSS,其中:
UE:用于向S-CSCF发起IM域注册请求,并和S-CSCF交互对自身的终端用户标识模块进行鉴权的相关消息;
S-CSCF:用于根据UE发来的IM域注册请求,向HSS发送鉴权向量请求,根据HSS发来的鉴权向量与UE交互对UE的终端用户标识模块进行鉴权的相关消息;
HSS:用于根据S-CSCF发来的鉴权向量请求,向UE的归属设备发送用于获取鉴权向量的请求消息,将UE的归属设备返回的鉴权向量发送给S-CSCF;
UE的归属设备:用于根据HSS发来的用于获取鉴权向量的请求消息,为UE分配SQN,并基于该SQN生成相应的鉴权向量,将该鉴权向量发送给HSS。
所述UE的归属设备为UE当前归属的归属位置寄存器HLR/鉴权中心AUC。
本发明方案通过UE的当前归属设备分配SQN,并基于所分配的SQN生成相应的鉴权向量,之后将所生成的鉴权向量通过HS S发送给S-CSCF,使得USIM卡用户不需要换卡即可使用IM业务,大大降低了推广IM业务的难度。
并且本发明方案还通过HLR分别针对CS域、PS域及IM域分配SQNHE的范围,终端用户标识模块可以分别对各个域内的SQNMS进行比较,解决了现有技术中的频繁再同步问题。
另外,本发明方案的所有修改和改造只涉及了HSS和HLR/AUC,对于目前的GSM/通用无线分组业务(GPRS)/UMTS等其它设备没有任何额外的要求,并且只是将HLR/AUC进行简单的升级,而不是替换,在降低实现成本和复杂度的前提下,使得在现有网络上叠加一个专门用于提供IM域鉴权的IMS成为可能。
附图说明
图1为目前的IMS结构示意图;
图2为IMS的安全架构示意图;
图3为现有技术中IMS通过ISIM对UE进行鉴权的消息流时序图;
图4为本发明实施例提供的对终端中的USIM进行IM域鉴权的消息流时序图;
图5为本发明实施例提供的对终端中的USIM进行IM域鉴权的系统框图。
具体实施方式
本发明首先要在现有网络中叠加HSS,以实现在现网上叠加一个IMS。在现有网络中叠加了HSS之后,为实现共享USIM,在鉴权处理过程中,HSS收到S-CSCF发送来的鉴权向量请求消息后,需要向用户的归属设备,比如HLR/AUC,发送用于获取鉴权向量的发送鉴权信息消息;HLR/AUC则为该UE分配SQN,并基于所分配的SQN生成相应的鉴权向量,并将该鉴权向量发送给HSS,HSS则将收到的鉴权向量再发送给S-CSCF。从而使得USIM卡用户能够完成IM域的鉴权。
其中,在用户为USIM用户的情况下,HSS在收到S-CSCF发送来的鉴权向量请求消息后,并需要从UE当前的归属设备获取鉴权向量时,可以模拟VLR或者SGSN向UE当前所归属的设备,比如HLR/AUC,发送用于获取鉴权向量的发送鉴权信息消息,则该发送鉴权信息消息中应包含CS域或PS域的请求节点类型信息;HLR/AUC则根据该发送鉴权信息消息中携带的请求节点类型确定HS S归属于PS域还是CS域,然后为该域分配SQN,并根据该域所对应的SQN计算鉴权向量,然后将该鉴权向量发送给HSS,并由HSS将这些鉴权向量下发给S-CSCF。
另外,在上述处理过程中,HSS在向HLR/AUC发送用于获取鉴权向量的发送鉴权信息消息之前,还需要对HLR/AUC进行寻址。HSS向HLR/AUC的寻址可完全遵循现网MSC/VLR/SGSN向现网HLR的寻址方式。具体来说,由于UE到HSS的消息路径使用UE的IMS私有标识(IMPI)作为用户标识,因此S-CSCF与HSS之间也使用UE的IMPI作为用户标识,又由于MSC/VLR/SGSN通过IMSI对HLR进行寻址,因此HSS需要完成IMPI到IMSI的转换,并将转换得到的IMSI作为用户标识填充到发送鉴权信息消息中,同时根据现网的路由原则及IMSI确定用户所在的HLR/AUC,之后将发送鉴权信息消息依据本地配置的全局(GT)码或者目的信令点编码(DPC)发给目的HLR/AUC;HSS在收到目的HLR/AUC返回的响应消息之后,再完成从IMSI到IMPI的转换,并将IMPI作为用户标识下发给S-CSCF。
显然,上述方式不需要升级现有的HLR,USIM用户也不需要换卡。但由于IM域业务占用了CS域或PS域的SQN有效范围,这可能会带来一定的频繁再同步问题,使得整个系统的效率有一定的降低。当然,由于HSS是模拟VLR或SGSN向HLR发起发送鉴权信息消息,因此其再同步的影响范围只包括IM域和CS域,或者是IM域和PS域。
对于这种由HSS模拟VLR或SGSN的情况来说,由于PS域的鉴权操作频度比较低,因此HSS应尽量将自身模拟为SGSN,以降低再同步的频度。
如果要完全避免由此可能带来的频繁再同步问题,则可以由HSS明确通知HLR/AUC该用于获取鉴权向量的发送鉴权信息消息来自IM域,HLR/AUC则首先根据所收到的发送鉴权信息消息确定该UE处于IM域,并为该UE所处的IM域分配SQN,然后再基于所分配的SQN生成相应的鉴权向量,并将该鉴权向量通过HSS发送给S-CSCF。当然,这种方式需要将现有的HLR/AUC升级,以支持新的协议扩展。也就是使现网中的HLR能够将下发的SQN划分为CS域、PS域和IM域,这样,USIM可以分别对各个域内的SQN进行比较,只要能够保证HLR下发给每个域的鉴权元组所对应的SQN是有序的,就不会导致不必要的再同步过程。由于每个域中都只有一个网络实体用于缓存鉴权元组,比如,CS域中由VLR缓存,PS域中由SGSN缓存,IM域中由S-CSCF缓存,因此通过HLR对SQN的分域划分可以解决再同步问题。
下面结合附图及具体实施例对本发明中完全避免频繁再同步的具体方案作进一步详细的说明。
目前的3GPP R4/R5/R629.002协议在发送鉴权信息(MAP-SEND-AUTHENTICATION-INFO)消息中定义了请求节点类型(requestingNodeType)信元,用以标识请求节点的类型是属于CS域如:当信元值为vlr时还是PS域如:当信元值为sgsn时。基于该定义,HLR在向S-CSCF下发鉴权向量之前,首先将鉴权向量的AUTN中的SQN划分为CS域和PS域,然后根据requestingNodeType信元确定请求节点的类型是VLR还是SGSN,并利用与该节点类型一致的SQN生成相应的鉴权向量,然后再将所生成的鉴权向量发送给该节点。这样,就可以保证HLR下发到各个域中的SQN是有序的,同时使得在USIM卡上管理的SQNMS也分别对应CS域和PS域,各个域的SQN校验相对独立,不互相干扰,从而避免了因两个域中操作频度不同而导致频繁触发再同步的问题。
因此,为使HLR/AUC能够为UE所处的IM域分配SQN,以避免前述因HSS模拟VLR或SGSN而导致的频繁再同步的问题,本发明方案可以对发送鉴权信息消息进行扩展,具体是将发送鉴权信息消息中的requestingNodeType信元进行扩展,将该信元中的两个枚举值:表示CS域的值如:vlr和表示PS域的值如:sgsn扩展为三个枚举值,即:表示CS域的值、表示PS域的值及表示IM域的值如:im,其它所有信元则保持不变。
扩展后,原有的VLR/SGSN不需要作任何的改动,且仍可使用原有的发送鉴权信息消息获取鉴权向量,新增的HSS则使用扩展后的发送鉴权信息消息来获取鉴权向量,其中,针对IM域的requestingNodeType信元应写为im。当然,原有的HLR/AUC还需要进行必要的升级,其改动点主要包括:使HLR/AUC兼容扩展后的发送鉴权信息消息;HLR/AUC需要将SQNHE划分为CS域、PS域和IM域,根据发送鉴权信息消息所携带的requestingNodeType信元及IM域的SQNHE生成针对IM域的SQN,并根据该SQN生成相应的鉴权向量,然后再将所生成的鉴权向量发送给发起请求的网络节点。
由于针对AUC及HLR的鉴权向量获取过程相同,因此下面仅以HLR为例。
通过上述设置,具体的鉴权处理消息流时序如图4所示,其具体包括以下步骤:
步骤401~402:S-CSCF在收到UE发送来的IM域注册请求后,向HSS发送鉴权向量请求(Cx-AuthDataReq)。
步骤403:HSS在收到S-CSCF发来的鉴权向量请求后,发送发送鉴权信息(MAP-SEND-AUTHENTICATION-INFO)消息给该用户当前所归属的归属设备,即HLR/AUC。
其中,若该HLR已经升级支持新的协议扩展,则该发送鉴权信息消息中所携带的requestingNodeType信元填写为im;若该HLR未升级,则该发送鉴权信息消息中所携带的requestingNodeType信元填写为sgsn或vlr,建议用sgsn。
该步骤具体可以是在HSS中配置HLR是否能为IM域分配SQNHE的信息,HSS则可以根据该信息确定相应的HLR是否已支持新的协议扩展,并根据该确定的信息发送相应的发送鉴权信息消息。
步骤404:HLR/AUC在收到发送鉴权信息消息后,根据该消息中的requestingNodeType信元确定该消息来自哪个域,并根据自身保存的SQNHE生成满足该域要求的SQN,并根据该SQN生成相应的鉴权向量,之后将该鉴权向量作为发送鉴权信息消息的响应消息发送给HSS。
其中,如果HLR/AUC根据requestingNodeType信元确定该发送鉴权信息消息来自IM域,则根据自身保存的SQNHE生成满足IM域要求的SQN;如果根据requestingNodeType信元确定该发送鉴权信息消息来自CS或PS域,则根据自身保存的SQNHE生成满足CS域或PS域要求的SQN。
步骤405:HSS将HLR/AUC发来的鉴权向量发送给S-CSCF。
步骤406:S-CSCF根据HSS发来的鉴权向量对UE进行鉴权。
在得到鉴权向量后,S-CSCF的具体鉴权过程如图3中的步骤304及后续步骤所示,只是将其中的ISIM改为USIM即可,因此不再赘述。
通过上述步骤,即可实现本发明的目的。
为提高效率,S-CSCF在收到注册请求后,还可以向HSS请求多组鉴权向量。这样,在上述步骤401~402中,S-CSCF在收到注册请求后,首先要判断自身是否还有有效的鉴权向量,如果有,则S-CSCF可以直接根据该鉴权向量对UE进行鉴权;如果没有,则S-CSCF再向HSS发送鉴权向量请求消息,以请求多组鉴权向量。HSS向HLR/AUC转发的发送鉴权信息消息同样也用于请求多组鉴权向量,HLR/AUC则会相应地为IM域分配多个SQN,并依据这些SQN生成多组鉴权向量。
另外,如果UE没有签约CS/PS域业务,也即UE只签约了IM域业务,则不会出现再同步的问题。因此,HSS在收到S-CSCF发送来的鉴权向量请求消息后,可以先判断该用户是否已签约了CS/PS域业务,如果是,则发送发送鉴权信息消息到用户归属的HLR/AUC,如前所述,该消息中requestingNodeType信元的填充内容可根据该HLR/AUC的能力决定,即根据HLR/AUC是否支持requestingNodeType信元的扩展决定;如果该用户没有签约CS/PS域业务,则该USIM与现有的ISIM相同,即只支持IM域业务,因此可以按照ISIM的处理方式在HSS内嵌的AUC中为该用户生成鉴权向量并下发,当然,与ISIM相同,同样需要在HSS中预设USIM的相关数据。
还需要说明的是,对于目前的使用情况来说,与CS域和PS域相比,IM域的鉴权频度较低,因此HLR/AUC可以为IM域分配较小范围的SQN。
图5为基于本发明实施例提供的对终端中的USIM进行IM域鉴权的系统组成图,如图5所示,其主要包括:UE、S-CSCF、UE的归属设备如:HLR/AUC和HSS,其中:
UE:用于向S-CSCF发起IM域注册请求,并和S-CSCF交互对自身的USIM进行鉴权的相关消息;
S-CSCF:用于根据UE发来的IM域注册请求,向HSS发送鉴权向量请求,根据HSS发来的鉴权向量与UE交互对UE的USIM进行鉴权的相关消息;
HSS:用于根据S-CSCF发来的鉴权向量请求,向UE的归属设备发送用于获取鉴权向量的请求消息,将UE的归属设备返回的鉴权向量发送给S-CSCF;
UE的归属设备:用于根据HSS发来的用于获取鉴权向量的请求消息,为UE分配SQN,并基于该SQN生成相应的鉴权向量,将该鉴权向量发送给HSS。
以上所述仅为本发明的过程及方法实施例,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种对终端用户标识模块进行因特网协议多媒体域鉴权的方法,其特征在于,在网络中设置用于提供因特网协议多媒体IM域业务的归属用户服务器HSS,该方法包括:
a:网络中的服务呼叫会话控制功能S-CSCF在收到移动终端UE发送来的IM域注册请求后,向HSS发送鉴权向量请求;
b:HSS在收到所述请求后,向UE的归属设备发送用于获取鉴权向量的请求消息;
c:UE的归属设备在收到所述请求消息后,为该UE分配序列号SQN,并基于该SQN生成鉴权向量,之后将该鉴权向量发送给HSS;
d:HSS将所述鉴权向量发送给S-CSCF,S-CSCF根据所述鉴权向量对所述UE的终端用户标识模块进行鉴权;
所述UE的归属设备中每个UE的个人序列号SQNHE包括与至少一种域对应的至少一个SQNHE;
所述向UE的归属设备发送请求消息为:
向UE的归属设备发送发送鉴权信息消息,其中所述发送鉴权信息消息中携带请求节点类型;
所述UE的归属设备为该UE分配SQN为:
UE的归属设备根据所述请求节点类型确定该HSS归属的域,并根据该HSS归属的域所对应的SQNHE为该HSS归属的域分配SQN。
2.根据权利要求1所述的方法,其特征在于,所述UE的归属设备中每个UE的个人序列号SQNHE包括:与电路交换CS域的SQNHE和分组交换PS域对应的SQNHE中的至少一种;
所述发送鉴权信息消息中携带电路交换CS域或分组交换PS域的请求节点类型;
步骤c所述UE的归属设备为该UE分配SQN为:
UE的归属设备根据发送鉴权信息消息中的请求节点类型确定该HSS归属于PS域还是CS域,并根据该HSS归属的域所对应的SQNHE为该HSS归属的域分配SQN。
3.根据权利要求1所述的方法,其特征在于,所述UE的归属设备中每个UE的个人序列号SQNHE包括:与IM域对应的SQNHE;
步骤b所述发送鉴权信息消息中携带IM域的请求节点类型信息;
步骤c所述UE的归属设备分配SQN为:UE的归属设备根据发送鉴权信息消息中的请求节点类型确定该HSS归属于IM域,并根据与IM域对应的SQNHE为该IM域分配SQN。
4.根据权利要求3所述的方法,其特征在于,所述UE的归属设备中每个UE的个人序列号SQNHE进一步包括:与电路交换CS域的SQNHE和分组交换PS域对应的SQNHE中的至少一种;该方法进一步包括:
步骤b所述HSS向UE的归属设备发送鉴权信息消息之前,进一步包括:HSS根据自身保存的信息确定UE当前的归属设备是否能够为IM域分配SQN,如果能,则在所述发送鉴权信息消息中携带IM域的请求节点类型信息;否则,在所述发送鉴权信息消息中携带CS域或PS域的请求节点类型信息。
5.根据权利要求3所述的方法,其特征在于,所述UE的归属设备划分给IM域的SQN的有效范围小于划分给CS域和/或PS域的SQN的有效范围。
6.根据权利要求3所述的方法,其特征在于,步骤c所述UE的归属设备根据SQNHE为IM域分配SQN为:为IM域分配一个以上的SQN;所述基于SQN生成相应的鉴权向量为:基于每个SQN生成一组鉴权向量;
步骤d所述S-CSCF根据所述鉴权向量对所述UE的终端用户标识模块进行鉴权为:S-CSCF从收到的鉴权向量中选择一组鉴权向量对终端用户标识模块进行鉴权,并保存其它鉴权向量。
7.根据权利要求6所述的方法,其特征在于,步骤a所述S-CSCF向HSS发送鉴权向量请求之前,进一步包括:判断自身是否存在针对该UE的鉴权向量,如果是,则直接根据该鉴权向量对UE的终端用户标识模块进行鉴权,结束本处理流程;否则,执行向HSS发送鉴权向量请求的步骤。
8.根据权利要求1至7中任意一项所述的方法,其特征在于,该方法进一步包括:在HSS中配置终端用户标识模块的数据信息;
步骤b所述HSS在收到所述请求后,向UE的归属设备发送用于获取鉴权向量的请求消息之前,进一步包括:判断该UE是否签约了CS域和/或PS域的业务,如果是,则执行所述发送用于获取鉴权向量的请求消息的步骤;否则,HSS根据所述终端用户标识模块的数据信息计算鉴权向量,之后执行步骤d。
9.根据权利要求1至7中任意一项所述的方法,其特征在于,所述S-CSCF与HSS之间使用UE的IMS私有标识IMPI作为用户标识;
步骤b所述HSS向UE的归属设备发送请求消息之前,进一步包括:HSS将鉴权向量请求中的IMPI转换为国际移动用户标识IMSI,并根据该IMSI及路由原则确定UE当前的归属设备,之后执行向该归属设备发送用于获取鉴权向量的请求消息的步骤;
步骤d所述HSS将所述鉴权向量发送给S-CSCF之前,进一步包括:将所述IMSI转换为IMPI,之后将IMPI与所述鉴权向量一起发送给S-CSCF。
10.根据权利要求1至7中任意一项所述的方法,其特征在于,所述UE的归属设备为:UE当前归属的归属位置寄存器HLR/鉴权中心AUC。
11.根据权利要求1至7中任意一项所述的方法,其特征在于,所述UE使用的终端用户标识模块为:用户服务识别模块USIM。
12.一种对终端用户标识模块进行IM域鉴权的系统,包括:UE、S-CSCF、UE的归属设备,其特征在于,还包括HSS,其中:
UE:用于向S-CSCF发起IM域注册请求,并和S-CSCF交互对自身的终端用户标识模块进行鉴权的相关消息;
S-CSCF:用于根据UE发来的IM域注册请求,向HSS发送鉴权向量请求,根据HSS发来的鉴权向量与UE交互对UE的终端用户标识模块进行鉴权的相关消息;
HSS:用于根据S-CSCF发来的鉴权向量请求,向UE的归属设备发送用于获取鉴权向量的请求消息,将UE的归属设备返回的鉴权向量发送给S-CSCF;
UE的归属设备:用于根据HSS发来的用于获取鉴权向量的请求消息,为UE分配SQN,并基于该SQN生成相应的鉴权向量,将该鉴权向量发送给HSS。
13.根据权利要求12所述的系统,其特征在于,所述UE的归属设备为UE当前归属的归属位置寄存器HLR/鉴权中心AUC。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006800010952A CN101053203B (zh) | 2005-05-31 | 2006-05-31 | 对终端用户标识模块进行因特网多媒体域鉴权的方法及系统 |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200510073363.9 | 2005-05-31 | ||
| CNB2005100733639A CN100428848C (zh) | 2005-05-31 | 2005-05-31 | 一种对终端用户标识模块进行ip多媒体域鉴权的方法 |
| PCT/CN2006/001161 WO2006128373A1 (fr) | 2005-05-31 | 2006-05-31 | Procede pour l'authentification de domaine im pour le module d'identification d'utilisateur de terminal et systeme associe |
| CN2006800010952A CN101053203B (zh) | 2005-05-31 | 2006-05-31 | 对终端用户标识模块进行因特网多媒体域鉴权的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101053203A CN101053203A (zh) | 2007-10-10 |
| CN101053203B true CN101053203B (zh) | 2010-09-08 |
Family
ID=38783562
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800010952A Expired - Fee Related CN101053203B (zh) | 2005-05-31 | 2006-05-31 | 对终端用户标识模块进行因特网多媒体域鉴权的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101053203B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8027666B2 (en) | 2005-05-31 | 2011-09-27 | Huawei Technologies Co., Ltd. | Method and system for authenticating terminal subscriber identity module in IP multimedia domain |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115022878B (zh) * | 2022-08-08 | 2022-11-11 | 中国电子科技集团公司第三十研究所 | 对选定VoLTE用户接管的方法、设备及介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1524816A2 (en) * | 2003-10-17 | 2005-04-20 | Nokia Corporation | Authentication of messages in a communication system |
-
2006
- 2006-05-31 CN CN2006800010952A patent/CN101053203B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1524816A2 (en) * | 2003-10-17 | 2005-04-20 | Nokia Corporation | Authentication of messages in a communication system |
Non-Patent Citations (1)
| Title |
|---|
| HENRY HAVERINEN et al.CELLULAR ACCESS CONTROL AND CHARGINGFORMOBILE OPERATOR WIRELESS LOCALAREANETWORKS.IEEE Wireless Communications9 6.2002,9(6),52-60. * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8027666B2 (en) | 2005-05-31 | 2011-09-27 | Huawei Technologies Co., Ltd. | Method and system for authenticating terminal subscriber identity module in IP multimedia domain |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101053203A (zh) | 2007-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100428848C (zh) | 一种对终端用户标识模块进行ip多媒体域鉴权的方法 | |
| US9374744B2 (en) | Apparatus and method for seamless handoff of a service between different types of networks | |
| ES2371109T3 (es) | Sistema y aparato para usuarios de cs móvil para acceder a la red de ims y el método de registro para el acceso. | |
| US8488575B2 (en) | Methods, devices, and computer program products for providing a plurality of application services via a customized private network connection | |
| US7813730B2 (en) | Providing mobile core services independent of a mobile device | |
| CN101401476B (zh) | 通信网络中的接入控制 | |
| EP2603024B1 (en) | Key separation method and device | |
| EP2245873B1 (en) | System and method of user authentication in wireless communication networks | |
| US20080092212A1 (en) | Authentication Interworking | |
| CN103781069B (zh) | 一种双向认证的方法、设备及系统 | |
| WO2006095265A1 (en) | Method and apparatuses for authenticating a user by comparing a non-network originated identities | |
| CN100384120C (zh) | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 | |
| WO2008116804A1 (en) | Method for providing subscriptions to packet-switched networks | |
| WO2017092229A1 (zh) | 基于多业务的ims注册方法和ims注册系统 | |
| CN102984164A (zh) | 一种ims注册方法及装置 | |
| CN100428718C (zh) | 一种非ims移动终端接入ims域的鉴权注册方法及装置 | |
| CN100413273C (zh) | 全球微波接入互操作网接入互联网协议多媒体子域的方法 | |
| CN101053203B (zh) | 对终端用户标识模块进行因特网多媒体域鉴权的方法及系统 | |
| CN103167572B (zh) | 一种基于wlan接入ims的注册方法、系统及服务器 | |
| CN101232707B (zh) | 一种ims网络中区分用户终端鉴权方式的方法及i-cscf | |
| CN1801706B (zh) | 一种ip多媒体子系统网络鉴权系统及方法 | |
| CN1929678B (zh) | 一种更新用户终端接入码的方法及装置 | |
| KR100801892B1 (ko) | 다중 모드 휴대용 단말기에서 응급 호 연결을 수행하기위한 방법 및 장치 | |
| CN106685890A (zh) | 一种呼叫VoLTE用户的优化方法、装置和系统 | |
| KR100933779B1 (ko) | 아이피 멀티미디어 서브시스템 통신망 등록 방법 및 등록시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1099153 Country of ref document: HK |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100908 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |