專利名稱:Ip多媒體子系統(tǒng)網(wǎng)絡(luò)中確定用戶終端鑒權(quán)方式的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及IP多媒體子系統(tǒng)(IP Multimedia Core Network Subsystem, IMS)技術(shù)領(lǐng)域,特別是一種IMS網(wǎng)絡(luò)中確定用戶終端鑒權(quán)方式的方法。
背景技術(shù):
目前,第三代移動(dòng)通信系統(tǒng)(3GPP)中支持的鑒權(quán)方式是摘要認(rèn)證與 密鑰協(xié)商(DIGEST AKA )和早期IMS認(rèn)證(Early IMS )。
3GPP 33.203中定義了當(dāng)終端中含有IP多媒體用戶標(biāo)識(shí)模塊(ISIM)時(shí) 的DIGEST AKA (簡(jiǎn)稱AKA )鑒權(quán)機(jī)制。圖1所示的是DIGEST AKA的流 程,該流程中涉及的設(shè)備有用戶終端(UE)、代理呼叫會(huì)話控制功能 (P-CSCF)、查詢呼叫會(huì)話控制功能實(shí)體(I-CSCF)、服務(wù)呼叫會(huì)話控制 功能實(shí)體(S-CSCF)以及歸屬用戶服務(wù)器(HSS)。首先,在UE與HSS 間共享初始密鑰K,然后參見圖1, DIGEST AKA的過程如下
SMI至CM2,用戶發(fā)起注冊(cè)消息(REGISTER)SMI, S-CSCF通過CM 1 向HSS請(qǐng)求數(shù)據(jù)。HSS基于初始密鑰K及序列號(hào)(SQN)產(chǎn)生鑒權(quán)五元組 并通過CM2下發(fā)S-CSCF。五元組包括隨機(jī)數(shù)據(jù)(RAND )、期望響應(yīng)(XRES )、 加密密鑰(CK)、完整性密鑰(IK)和鑒權(quán)標(biāo)記(AUTN)。
SM4至SM5, S-CSCF向用戶返回401響應(yīng)(認(rèn)證挑戰(zhàn)),攜帶除XRES 外的四元組信息。
SM6, P-CSCF保存IK、 CK信息,將RAND和AUTN )息在401響應(yīng)
中傳給UE。
SM7至SM9 , UE依據(jù)初始密鑰K及SQN等信息,結(jié)合收到的網(wǎng)絡(luò)設(shè) 備下發(fā)的AUTN,對(duì)網(wǎng)絡(luò)設(shè)備是否可信進(jìn)行認(rèn)證。如驗(yàn)證通過,網(wǎng)絡(luò)設(shè)備可
信,則結(jié)合RAND和K,產(chǎn)生用于鑒權(quán)的響應(yīng)(RES )信息,RES將被當(dāng)作 "密碼(password)"用于終端計(jì)算響應(yīng)(response)的過程。計(jì)算的結(jié)果 在SM7即認(rèn)證響應(yīng)中發(fā)送給網(wǎng)絡(luò)側(cè),同時(shí)UE自行計(jì)算出IK、 CK。
此后,S-CSCF在SM9中接收到由RES生成的response信息,與其依 據(jù)XRES計(jì)算后的結(jié)果相比較,如果兩者相同,認(rèn)為對(duì)用戶的認(rèn)證成功。
由以上流程可見UE向IMS網(wǎng)絡(luò)發(fā)起注冊(cè),通過DIGEST AKA實(shí)3見 了 和IMS網(wǎng)絡(luò)間的雙向認(rèn)證,同時(shí)也完成UE和P-CSCF間安全聯(lián)盟的 建立,UE和P-CSCF之間共享了 CK和IK,這兩個(gè)密鑰將用于在UE與 P-CSCF間安全通信通道的建立。
由于無線領(lǐng)域現(xiàn)有大量用戶終端不符合3GPP協(xié)議規(guī)范,不支持3GPP TS 33.203要求的接入域鑒權(quán)機(jī)制,例如使用用戶識(shí)別模塊(SIM )卡的用戶 終端或者使用通用用戶標(biāo)識(shí)模塊(USIM)的2G用戶終端。為了能夠向這類 終端用戶提供IMS業(yè)務(wù),TR 33.978定義了稱為早期IMS (Early IMS)的接 入域鑒權(quán)機(jī)制。
參照?qǐng)D2, Early IMS (簡(jiǎn)稱EIA )接入域鑒權(quán)機(jī)制如下
步驟1至步驟2, PDP激活過程。用戶終端通過通用分組無線服務(wù) (GPRS)網(wǎng)關(guān)支持節(jié)點(diǎn)(GGSN )接入GPRS網(wǎng)絡(luò)。PDP激活過程,GGSN 認(rèn)證國(guó)際移動(dòng)用戶識(shí)別碼(IMSI )和移動(dòng)臺(tái)國(guó)際綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼 (MSISDN),為用戶終端分配網(wǎng)絡(luò)傳輸層標(biāo)識(shí)即IP地址。GGSN通過"計(jì) 數(shù)請(qǐng)求開始(Accounting Request Start)"將用戶標(biāo)識(shí)與終端IP地址的對(duì)應(yīng) 關(guān)系傳送到HSS。 HSS保存該對(duì)應(yīng)關(guān)系。
步驟3至步驟6,認(rèn)證注冊(cè)消息。用戶終端發(fā)起注冊(cè)消息REGISTER到 P-CSCF。 P-CSCF比較REGISTER消息中的via頭域中的發(fā)送者(sent-by ) 頭域的IP :地址是否與REGISTER消息所在IP頭中的源IP地址一致,如果 不一致,則增加一個(gè)接收者(received)頭域到via頭域中,并填充為IP頭 中的源IP地址。P-CSCF轉(zhuǎn)發(fā)上述REGISTER請(qǐng)求到S-CSCF。 S-CSCF依 據(jù)REGISTER請(qǐng)求中的公有用戶標(biāo)識(shí)(IMPU),查詢是否已注冊(cè),如未注
冊(cè),通過多媒體鑒權(quán)請(qǐng)求(MAR) /多媒體鑒權(quán)響應(yīng)(MAA)由HSS獲取公 有用戶標(biāo)識(shí)對(duì)應(yīng)的終端IP地址,因?yàn)樵贖SS中靜態(tài)配置公有用戶標(biāo)識(shí)與 MS1SDN的對(duì)應(yīng)關(guān)系,所以此時(shí)可通過公有用戶標(biāo)識(shí)獲得對(duì)應(yīng)的終端IP地 址。S-CSCF 4全查收到的REGISTER的終端源IP地址,如果與從HSS獲得 的IP地址相同,則通過認(rèn)證。其中,如果via頭域中有received頭域,則優(yōu) 先比4交received頭域,否則比較via頭域中的sent-by頭i或。
目前先進(jìn)網(wǎng)絡(luò)的電信和互聯(lián)網(wǎng)融合業(yè)務(wù)和協(xié)議(TISPAN ) /下一代 (NGN)網(wǎng)絡(luò)中支持的鑒權(quán)方式分別是DIGEST AKA、 IMS業(yè)務(wù)層鑒權(quán)和 網(wǎng)絡(luò)附著子系統(tǒng)(NASS )接入層鑒權(quán)綁定鑒權(quán)方式(NASS-Bundled-Authentication, NBA)、超文本傳輸協(xié)議摘要鑒權(quán)方式(HTTP DIGEST)。 其中,NBA鑒權(quán)方式的如圖3所示,包括
步驟101, NASS接入層附著認(rèn)證,在CLF上記錄UE的位置信息。 步驟102, UE向P-CSCF發(fā)送REGISTER消息,該REGISTER攜帶有
4妄入運(yùn)營(yíng)商標(biāo)識(shí)及接入用戶標(biāo)識(shí)。
步驟103, P-CSCF通過檢查REGISTER消息中是否包含安全協(xié)商參數(shù) (例如Security-Client)來判斷是否需要建立和UE之間的安全if關(guān)盟。如果
有此參數(shù),則需要建立,如果沒有此參數(shù),則不需要建立。 一般來說,DIGEST
AKA的情況肯定有此參數(shù),而NBA和HTTP DIGEST的情況肯定沒有此參數(shù)。
步驟104, P-CSCF根據(jù)注冊(cè)消息中的接入運(yùn)營(yíng)商標(biāo)識(shí)以及預(yù)先設(shè)置的 接入運(yùn)營(yíng)商標(biāo)識(shí)與CLF之間的對(duì)應(yīng)關(guān)系確定CLF。然后,P-CSCF沖艮據(jù)注冊(cè) 消息的源IP地址,在上面確定的CLF中查詢用戶的位置信息。
步驟105,由于CLF中預(yù)先保存了與源IP地址對(duì)應(yīng)的位置信息,因此 在本步驟中CLF向P-CSCF返回相應(yīng)的位置信息及其他信息。
步驟106, P-CSCF將攜帶上一步驟中查詢得到的位置信息及其他信息 的注冊(cè)消息REGISTER發(fā)送給I-CSCF。
步驟107, I-CSCF向用戶簽約服務(wù)功能實(shí)體(UPSF)發(fā)送用戶授權(quán)請(qǐng)
求(UAR)消息。
步驟108, UPSF返回用戶授權(quán)應(yīng)答(UAA)消息。
步驟109, I-CSCF根據(jù)從UPSF返回的消息選擇相應(yīng)的S-CSCF,即選 擇由哪個(gè)S-CSCF處理該注冊(cè)消息。
步驟110, I-CSCF將包括上述位置信息的注冊(cè)消息REGISTER轉(zhuǎn)發(fā)給 上面確定的S-CSCF。
步驟111, S-CSCF通過REGISTER消息中是否包含完整性保護(hù) (Integrity-Protected)參數(shù)來判斷是哪種認(rèn)證方式。如果有此參數(shù),則肯定 是HTTP DIGEST AKA方式,S-CSCF發(fā)給UPSF的鑒權(quán)請(qǐng)求只是為了請(qǐng)求 鑒權(quán)參數(shù);如果沒有此參數(shù),則需要向UPSF查詢配置的鑒權(quán)方式,S-CSCF 發(fā)給UPSF的請(qǐng)求是為了請(qǐng)求鑒權(quán)方式和相應(yīng)的鑒權(quán)參數(shù)。由于這里采用 NASS-Bundled鑒權(quán)方式,所以REGISTER消息中不包含Integrity-Protected 參數(shù)。S-CSCF向UPSF發(fā)送MAR消息,請(qǐng)求用戶的鑒權(quán)向量和相應(yīng)的鑒權(quán)
步驟112, UPSF檢查用戶的鑒權(quán)簽約數(shù)據(jù),發(fā)現(xiàn)該用戶的鑒權(quán)方式是
NASS-Bundled鑒沖又方式。
步驟U3, UPSF向S-CSCF發(fā)送MAA消息,返回用戶的鑒權(quán)方式和鑒
權(quán)參數(shù)即位置信息。
步驟114,S-CSCF比較從P-CSCF傳來的位置信息與從UPSF查詢得
到的位置信息,如果一致,則說明鑒權(quán)成功,執(zhí)行步驟115及其后續(xù)流程,
即向UE發(fā)送鑒權(quán)成功的消息;如果不一致,則說明鑒權(quán)失敗,執(zhí)行步驟115
及其后續(xù)步驟,即向UE發(fā)送鑒權(quán)失敗的消息。
步驟115, S-CSCF向I-CSCF發(fā)送2xx Auth—OK消息,表示鑒權(quán)成功。 步驟116, I-CSCF將上述2xx Auth—OK消息發(fā)送給P-CSCF。 步驟117, P-CSCF將上述2xx Auth—OK消息發(fā)送給UE。
HTTP DIGEST是已有的鑒權(quán)方式,它順從;現(xiàn)范RFC3261和RFC2617。
參照?qǐng)D4 , HTTP DIGEST的流程如下
步驟201 , UE向P-CSCF發(fā)送注冊(cè)消息REGISTER。 步驟202, P-CSCF通過檢查REGISTER消息中是否包含安全協(xié)商參數(shù) (例如Security-Client)來判斷是否需要建立和UE之間的安全聯(lián)盟。如果
有此參數(shù),則需要建立,如果沒有此參數(shù),則不需要建立。 一般來說,DIGEST
AKA)情況肯定有此參數(shù),而NBA和HTTP DIGEST的情況肯定沒有此參數(shù)。
步驟203, P-CSCF將UE的注冊(cè)消息REGISTER轉(zhuǎn)發(fā)給I-CSCF。該報(bào) 文中還攜帶了 P-CSCF從CLF查詢得到的UE的位置信息。
步驟204, I-CSCF跟UPSF之間通過Cx-Selection-Info消息選擇相應(yīng)的 S-CSCF,即I-CSCF向UPSF發(fā)出請(qǐng)求,查找UPSF中的用戶屬性來確定由 哪個(gè)S-CSCF處理該注冊(cè)消息。
步驟205, I-CSCF將UE的注冊(cè)消息REGISTER轉(zhuǎn)發(fā)給步驟204中所 確定S-CSCF。
步驟206, S-CSCF通過REGISTER消息中是否包含Integrity-Protected 參數(shù)來判斷是哪種認(rèn)證方式。如果有此參數(shù),則肯定是HTTP DIGEST AKA 方式,S-CSCF發(fā)給UPSF的鑒權(quán)請(qǐng)求只是為了請(qǐng)求鑒權(quán)參數(shù);如果沒有此 參數(shù),則需要向UPSF查詢配置的鑒權(quán)方式,S-CSCF發(fā)給UPSF的請(qǐng)求是 為了請(qǐng)求鑒權(quán)方式和相應(yīng)的鑒權(quán)參數(shù)。由于這里采用HTTP DIGEST鑒權(quán)方 式,所以REGISTER消息中不包含Integrity-Protected參數(shù)。S-CSCF與UPSF 之間通過Cx-Put消息,更新UPSF上的S-CSCF指示信息,告知UPSF該用 戶后續(xù)的處理在本S-CSCF進(jìn)行。
步驟207, S-CSCF向UPSF發(fā)送MAR消息,請(qǐng)求該用戶的鑒權(quán)方式和 鑒權(quán)數(shù)據(jù)。
步驟208, UPSF檢查用戶的鑒權(quán)簽約數(shù)據(jù),根據(jù)鑒權(quán)簽約數(shù)據(jù)得到該 用戶的鑒權(quán)方式是HTTP DIGEST鑒權(quán)方式,并產(chǎn)生例如nonce等鑒權(quán)向量 以及XRES等等。
步驟209, UPSF向S-CSCF發(fā)送MAR消息,將^ HTTP DIGEST以及鑒權(quán)參數(shù)nonce、 XRES等發(fā)送給S-CSCF。 步驟210, S-CSCF計(jì)算XRES。
步驟211, S-CSCF得到鑒權(quán)方式信息并保存XRES,然后向I-CSCF發(fā) 送"4xx Auth—Challenge"消息,該消息的WWW-Authenticate頭中Algorithm 參數(shù)表示采用HTTP DIGEST鑒權(quán)方式。
步驟212, I-CSCF將"4xx Auth—Challenge"消息發(fā)送給P-CSCF,該消 息的WWW-Authenticate頭中Algorithm參數(shù)表示采用HTTP DIGEST鑒權(quán) 方式。
步驟213, P-CSCF將"4xx Auth—Challenge"消息發(fā)送給UE。 步驟2M, UE接收到"4xx Auth—Challenge"消息后,發(fā)現(xiàn)Algorithm參 數(shù)表示HTTP DIGEST鑒權(quán)方式,重新向P-CSCF發(fā)送注冊(cè)消息REGISTER, 并攜帶用于鑒權(quán)的響應(yīng)(RES)。
步驟215, P-CSCF將攜帶'RES的注冊(cè)消息REGISTER發(fā)送給I-CSCF。 步驟216, I-CSCF與UPSF之間通過Cx-Query確定該UE注冊(cè)消息給 哪個(gè)S-CSCF處理,即I-CSCF向UPSF查詢?cè)撟?cè)消息給哪個(gè)S-CSCF處理, UPSF根據(jù)保存的S-CSCF指示信息告知I-CSCF處理該注冊(cè)消息的S-CSCF。 在以下步驟中,S-CSCF將鑒權(quán)成功或鑒權(quán)失敗的消息發(fā)送給UE。
步驟217, I-CSCF將注冊(cè)消息REGISTER轉(zhuǎn)發(fā)給步驟216確定的 S-CSCF。
步驟218, S-CSCF比較從UPSF獲得的XRES和UE發(fā)送過來的RES, 當(dāng)兩者一致時(shí),說明鑒權(quán)成功,當(dāng)兩者不一致時(shí),說明鑒權(quán)失敗。
步驟219, S-CSCF與UPSF之間通過Cx-Put消息,更新UPSF上的 S-CSCF指示信息,告知UPSF該用戶后續(xù)的處理在本S-CSCF進(jìn)行。
步驟220, S-CSCF與UPSF通過Cx-Pull消息獲取用戶的簽約數(shù)據(jù)信息。
步驟221, S-CSCF向I-CSCF發(fā)送表示鑒權(quán)成功的200消息,或者表示 鑒權(quán)失敗的403 Forbidden消息。在圖中僅以鑒權(quán)成功時(shí)的200消息表示。
步驟222, I-CSCF將上述消息發(fā)送給P-CSCF。 步驟223, P-CSCF將上述消息發(fā)送給UE。
AKA和帶有安全聯(lián)盟(SA)協(xié)商機(jī)制的HTTP DIGEST,其中DIGEST AKA 方式與前面所述的DIGEST AKA方式相同。
另外,帶有安全聯(lián)盟協(xié)商的HTTP DIGEST流程如圖5所示,包括
步驟301至304,用戶發(fā)起注冊(cè)消息REGISTER, S-CSCF通過Cx接口 消息向HSS請(qǐng)求數(shù)據(jù)。HSS基于初始密鑰K及SQN產(chǎn)生鑒權(quán)五元組并通過 Cx接口消息下發(fā)S-CSCF。
步驟305至步驟306, S-CSCF向用戶返回401響應(yīng)認(rèn)證挑戰(zhàn),該消息 中的Algorithm參數(shù)表示帶有安全聯(lián)盟協(xié)商的HTTP DIGEST鑒權(quán)。P-CSCF 保存IK、 CK信息,將RAND和AUTN )息在401響應(yīng)中傳給UE。
步驟307至步驟308, UE依據(jù)初始密鑰K及SQN等信息,結(jié)合收到的 網(wǎng)絡(luò)設(shè)備下發(fā)的AUTN,對(duì)網(wǎng)絡(luò)設(shè)備是否可信進(jìn)行認(rèn)證。如驗(yàn)證通過,網(wǎng)絡(luò) 設(shè)備可信,則結(jié)合RAND和K,產(chǎn)生RES信息,RES將被當(dāng)作"password" 用于終端response的過程。計(jì)算的結(jié)果發(fā)送給網(wǎng)絡(luò)側(cè),同時(shí)UE自行計(jì)算出 IK、 CK。
步驟309至步驟311, S-CSCF在接收到由RES生成的response信息, 與其依據(jù)XRES計(jì)算后的結(jié)果相比較,如果兩者相同,認(rèn)為對(duì)用戶的認(rèn)證成 功。
如上所述,3GPP或TISPAN或PacketCable都只考慮了與自身相關(guān)的接 入網(wǎng)分別和IMS核心網(wǎng)組網(wǎng)時(shí)的對(duì)UE的鑒權(quán)方式,當(dāng)這些不同的接入網(wǎng)同 時(shí)接入到同一個(gè)IMS核心網(wǎng)時(shí),這些不同的鑒權(quán)方式之間就會(huì)存在許多不 兼容甚至沖突問題
1、對(duì)于P-CSCF來說,對(duì)于EIA/NBA/HTTP DIGEST, UE發(fā)出的 REGISTER消息中都沒有Security-Client等安全協(xié)商頭域,但是對(duì)于AKA/
帶有安全聯(lián)盟協(xié)商的HTTP DIGEST,則都有此頭域。而且根據(jù)RFC3329, Security-Client還可能包含除AKA以外的其他鑒權(quán)機(jī)制,例如IP安全-互聯(lián) 網(wǎng)密鑰交換(IP SECurity-Internet Key Exchange, IPSEC-IKE ),傳輸層安 全(Transport Layer security, TLS )等。這種情況下,P-CSCF不再能夠單 獨(dú)根據(jù)該頭域的存在來區(qū)分AKA和非AKA。
2、 對(duì)于S-CSCF來說,對(duì)于EIA/NBA/HTTP DIGEST, P-CSCF轉(zhuǎn)發(fā)的 REGISTER消息中都沒有integrity-protect頭域,但是對(duì)于AKA/帶有安全聯(lián) 盟協(xié)商的HTTP DIGEST或者順從RFC3329的其他鑒權(quán)沖幾制,則可能都有此 頭域。S-CSCF不再能夠根據(jù)該頭域的存在來區(qū)分AKA和非AKA。
3、 對(duì)于HSS來講,目前AKA/EIA是由S-CSCF根據(jù)REGISTER的 integrity-protected頭域是否存在,來判斷采用哪種鑒權(quán)方式的。而NBA/HTTP DIGEST是配置在HSS中的用戶簽約數(shù)據(jù)中,并通過MAA返回給S-CSCF。 這樣就存在這樣一個(gè)問題假設(shè)UE同時(shí)支持NBA/EI A , UE實(shí)際采用EIA, S-CSCF通過Cx接口 MAR查詢時(shí)填寫的是EIA,但是由于HSS中的用戶 簽約數(shù)據(jù)只配置了NBA,結(jié)果在MAA中返回的卻是NBA,這樣會(huì)導(dǎo)致覆 蓋真正的E1A,因此此時(shí)HSS中的用戶簽約數(shù)據(jù)應(yīng)該配置這兩種鑒權(quán)方式 都支持。但是如果HSS中對(duì)于這兩種都配置,那么HSS收到MAR后,應(yīng) 該在MAA中返回哪一個(gè)鑒權(quán)方式?如果兩個(gè)都返回的話,S-CSCF又如何 知道到底該采用什么鑒權(quán)方式?當(dāng)然這些鑒權(quán)方式也有其他組合方式,不再 一一列舉。
因此,考慮到以后的系統(tǒng)可擴(kuò)展性,需要提供一個(gè)比較通用的方案,以 支持未來其他的接入網(wǎng)。
諾基亞(NOKIA)公司在10tTD272rl中提供了一種方案,如下 P-CSCF收到REGISTER時(shí),使用"integrity-protected"標(biāo)志向S-CSCF 指示AKA或者非AKA:如果Security-Client頭域中包含"ipsec-3gpp',,則 認(rèn)為是AKA,在授權(quán)(Authorization)中增力。"integrity-protected"頭域; 如果 Security-Client 頭域不存在,則認(rèn)為是非 AKA , 不增加
"integrity-protected"頭域。另夕卜,如果REGISTER是在某對(duì)應(yīng)的接入網(wǎng)收 到的,則#1行相應(yīng)的NBA/EIA過程。
S-CSCF發(fā)送MAR時(shí),如果收到的REGISTER消息中的Authorization 頭域中有"integrity-protected"頭域,則在MAR的鑒權(quán)方式參數(shù)中填寫表 示AKA的鑒權(quán)方式。對(duì)于非AKA的情況,在MAR的鑒權(quán)方式參數(shù)中填寫 "未知(unknown),,。
HSS/用戶簽約服務(wù)功能實(shí)體UPSF發(fā)送MAA時(shí),使用私有用戶標(biāo)識(shí) (IMPI)作為主鍵,MAR中填寫的鑒權(quán)方式作為次鍵。HSS/UPSF首先查 找為該IMPI預(yù)先配置的所有鑒權(quán)方式,如果MAR中填寫的鑒權(quán)方式是 AKA,并且HSS/UPSF中也預(yù)先配置有AKA,則只將AKA相關(guān)的鑒權(quán)數(shù)據(jù) 通過MAA發(fā)給S-CSCF;否則,把為該IMPI預(yù)先配置的所有非AKA鑒權(quán) 數(shù)據(jù)通過MAA都發(fā)給S-CSCF。
S-CSCF收到MAA時(shí),如果AKA可用,則執(zhí)行AKA鑒權(quán)過程;否則, 如果EIA或者NBA可用,則^I^亍相應(yīng)的EIA或者NBA鑒權(quán)過程。如果失 敗,并且從HSS/UPSF中也收到了 HTTP DIGEST鑒權(quán)數(shù)據(jù),則再執(zhí)行HTTP DIGEST鑒權(quán)過程。
但是上述現(xiàn)有技術(shù)具有如下的缺點(diǎn)
1 )在P-CSCF收到REGISTER時(shí),如果Security-Client頭域中包含的 不是"ipsec-3gpp",而是遵循RFC3329的其他值,則此時(shí)雖然不是AKA, 但是也可能在Authorization中增力口 "integrity-protected"頭域;那么,S-CSCF 發(fā)送MAR時(shí),不能再根據(jù)"integrity-protected"頭域判斷是否AKA。
2) HSS/UPSF發(fā)送MAA時(shí),如果MAR中填寫的鑒權(quán)方式是AKA, 但是HSS/UPSF中沒有預(yù)先配置有AKA的鑒權(quán)數(shù)據(jù),則除了對(duì)巴為該IMPI 預(yù)先配置的所有非AKA鑒權(quán)數(shù)據(jù)通過MAA都發(fā)給S-CSCF這種處理方式 以外,此時(shí)也可能需要返回錯(cuò)誤消息給S-CSCF。
3 ) S-CSCF收到MAA后的處理應(yīng)當(dāng)與發(fā)送MAR前的信息相配合來決 定采用什么鑒權(quán)方式。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提出了一種IMS網(wǎng)絡(luò)中確定UE鑒權(quán)方式的方法,用 以解決多種接入網(wǎng)接入同 一個(gè)IMS核心網(wǎng)時(shí)多種鑒權(quán)方式的并存問題。
根據(jù)上述目的,本發(fā)明提出了一種IMS網(wǎng)絡(luò)中確定UE鑒權(quán)方式的方法, 該方法包括
A. UE向P-CSCF發(fā)送REGISTER消息;
B. P-CSCF根據(jù)REGISTER消息中的信息和/或接入網(wǎng)類型,在 REGISTER消息中增加與鑒權(quán)方式相關(guān)的信息,并將該REGISTER消息轉(zhuǎn) 發(fā)至I-CSCF;
C. I-CSCF選擇S-CSCF,并把REGISTER消息轉(zhuǎn)發(fā)到該S-CSCF;
D. S-CSCF根據(jù)所述REGISTER消息中與鑒權(quán)方式相關(guān)的信息,通過 與HSS/UPSF交互獲得鑒權(quán)數(shù)據(jù),并根據(jù)鑒權(quán)數(shù)據(jù)進(jìn)行相應(yīng)的鑒權(quán)處理。
步驟B中所述在REGISTER消息中增加與鑒權(quán)方式相關(guān)的信息的步驟 包括P-CSCF在REGISTER消息中存在安全客戶端Security-Client頭域時(shí), 在授權(quán)Authorization頭域中增加完整性保護(hù)integrity-protected頭域。
可選地,步驟D包括
S-CSCF在多媒體鑒權(quán)請(qǐng)求MAR的鑒權(quán)方式頭域中填寫表示缺省是 AKA鑒權(quán)方式的值,并發(fā)送給HSS/UPSF;
HSS/UPSF查找為所述UE的私有用戶標(biāo)識(shí)IMPI配置的鑒權(quán)方式,在 HSS/UPSF中配置有AKA的鑒權(quán)數(shù)據(jù)時(shí),將AKA鑒權(quán)方式的鑒權(quán)數(shù)據(jù)填充 在MAA消息的頭域中,返回給S-CSCF;
S-CSCF進(jìn)行AKA鑒權(quán)方式的后續(xù)鑒權(quán)過程。
可選地,步驟D包括
S-CSCF在MAR的鑒權(quán)方式頭域中填寫表示缺省是AKA鑒權(quán)方式的 值,并發(fā)送給HSS/UPSF;
HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,在HSS/UPSF中沒
有配置AKA鑒權(quán)方式的鑒權(quán)數(shù)據(jù)但配置有AKA以外的需要安仝聯(lián)盟的鑒 權(quán)方式的鑒權(quán)數(shù)據(jù)時(shí),將所述AKA以外的需要安全聯(lián)盟的筌權(quán)方式的鑒權(quán) 數(shù)據(jù)填充在MAA消息的頭域中,返回給S-CSCF;
S-CSCF進(jìn)行所述AKA以外的需要安全聯(lián)盟的鑒權(quán)方式的后續(xù)鑒權(quán)過程。
可選地,步驟D包括
S-CSCF在MAR的鑒權(quán)方式頭域中填寫表示缺省是AKA鑒權(quán)方式的
值;
HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,在HSS/UPSF中只 配置有不需要安全聯(lián)盟的鑒權(quán)方式的鑒權(quán)數(shù)據(jù)時(shí),將所述不需要安全聯(lián)盟的 鑒權(quán)方式的鑒權(quán)數(shù)據(jù)填充在MAA消息的頭域中,返回給S-CSCF,或者通 過MAA消息返回錯(cuò)誤給S-CSCF;
S-CSCF返回鑒權(quán)失敗消息給UE。
可選地,步驟D包括''
S-CSCF在MAR消息的鑒權(quán)方式頭域中填寫鑒權(quán)方式的缺省值,并發(fā) 送給HSS/UPSF;
HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,將所查找到的鑒 權(quán)方式的鑒權(quán)數(shù)據(jù)填充在MAA消息的頭域中,返回給S-CSCF;
S-CSCF在返回的MAA消息中含有需要安全聯(lián)盟的鑒權(quán)方式的鑒權(quán)數(shù) 據(jù)時(shí),進(jìn)行該鑒權(quán)方式的后續(xù)鑒權(quán)過程;或者,在返回的MAA消息中不含 有需要安全聯(lián)盟的鑒權(quán)方式的鑒權(quán)數(shù)據(jù)時(shí),返回鑒權(quán)失敗消息給UE。
可選地,步驟D包括
S-CSCF在MAR的鑒權(quán)方式頭域填寫需要安全聯(lián)盟的鑒權(quán)方式,并在 鑒權(quán)方式個(gè)數(shù)頭域中填寫所述需要安全聯(lián)盟的鑒權(quán)方式個(gè)數(shù),然后發(fā)送給 HSS/UPSF;
HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,獲取所述配置的 鑒權(quán)方式中與MAR中填寫的鑒權(quán)方式相同的鑒權(quán)方式,將所述相同的鑒權(quán)
方式的鑒權(quán)數(shù)據(jù)和個(gè)數(shù)分別填寫在MAA消息的鑒權(quán)數(shù)據(jù)頭域和鑒權(quán)方式個(gè)
數(shù)頭域中,返回給S-CSCF;
S-CSCF在返回的MAA消息中含有需要安全聯(lián)盟的鑒權(quán)方式的鑒權(quán)數(shù) 據(jù)時(shí),進(jìn)行該鑒權(quán)方式的后續(xù)鑒權(quán)過程;或者,在返回的MAA消息中不含 有需要安全聯(lián)盟的鑒權(quán)方式的鑒權(quán)數(shù)據(jù)時(shí),返回鑒權(quán)失敗消息給UE。
較佳地,步驟B中所述在REGISTER消息中增加與鑒權(quán)方式相關(guān)的信 息的步驟進(jìn) 一 步包括P-CSCF根據(jù)Security-Client頭域的值在 integrity-protected頭域中填寫表示相應(yīng)鑒權(quán)方式的值。
所述根據(jù)Security-Client頭域的值在integrity-protected頭域中填寫表示 相應(yīng)鑒權(quán)方式的值的步驟包括P-CSCF在Security-Client中包含ipsec-3gpp 時(shí),在integrity-protected頭域中填寫表示摘要認(rèn)證與密鑰協(xié)商AKA鑒權(quán)方 式的值;在Security-Client中包含P-CSCF支持的其他鑒權(quán)方式時(shí),在 integrity-protected頭域中填寫表示該鑒權(quán)方式的值;在Security-Client中不 包含P-CSCF支持的鑒權(quán)方式時(shí),返回錯(cuò)誤消息給UE。
可選地,步驟D包括
S-CSCF在收到的REGISTER消息中的 Authorization頭域的 integrity-protected頭域的值表示需要安全聯(lián)盟的鑒權(quán)方式時(shí),在MAR的鑒 權(quán)方式頭域中填寫表示該鑒權(quán)方式的值,并發(fā)送給HSS/UPSF;
HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,在HSS/UPSF中配 置有該鑒權(quán)方式的鑒權(quán)數(shù)據(jù)時(shí),將該鑒權(quán)方式的鑒權(quán)數(shù)據(jù)填充在MAA消息 的頭域中,返回給S-CSCF;
S-CSCF進(jìn)行該鑒權(quán)方式的后續(xù)鑒權(quán)過程。
可選地,步驟D包括
S-CSCF在收到的 REGISTER消息中的 Authorization頭域的 integrity-protected頭域的值表示需要安全聯(lián)盟的鑒權(quán)方式時(shí),則在MAR的 鑒權(quán)方式頭域中填寫表示該鑒權(quán)方式的值,并發(fā)送給HSS/UPSF;
HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,在HSS/UPSF中只
配置有不需要安全聯(lián)盟的鑒權(quán)方式的鑒權(quán)數(shù)據(jù)時(shí),將所述不需要安全聯(lián)盟的
鑒權(quán)方式的鑒^K數(shù)據(jù)填充在MAA消息的頭域中,返回給S-CSCF,或者通 過MAA消息返回錯(cuò)誤給S-CSCF;
S-CSCF返回鑒權(quán)失敗消息給UE。
所述需要安全聯(lián)盟的鑒權(quán)方式為AKA、或者IP安全-互聯(lián)網(wǎng)密鑰交換 IPSEC-IKE、或者傳輸層安全TLS、或者需要安全聯(lián)盟的HTTPDIGEST。 較佳地,步驟B包括
P-CSCF在REGISTER消息中不存在Security-Client頭域時(shí),將沒有增 加integrity-protected頭域的REGISTER消息發(fā)送給I-CSCF。 可選地,步驟D包括
S-CSCF在MAR的鑒權(quán)方式頭域中填寫表示未知unknown的值; HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,將不需要安全聯(lián) 盟的鑒權(quán)方式的鑒權(quán)數(shù)據(jù)填充在MAA消息的頭域中,返回給S-CSCF; S-CSCF根據(jù)HSS/UPSF返回的鑒權(quán)數(shù)據(jù)進(jìn)行相應(yīng)的鑒權(quán)處理。 較佳地,步驟B進(jìn)一步包括
當(dāng)REGISTER消息來自通用無線分組業(yè)務(wù)GPRS對(duì)應(yīng)的移動(dòng)接入網(wǎng)時(shí), P-CSCF將攜帶有UE IP地址信息的REGISTER消息發(fā)送給I-CSCF;或者, 當(dāng)REGISTER消息來自網(wǎng)絡(luò)附著子系統(tǒng)NASS對(duì)應(yīng)的固定接入網(wǎng)時(shí),P-CSCF 將攜帶有UE位置信息的REGISTER消息發(fā)送給I-CSCF。
可選地,步驟D包括
S-CSCF在MAR消息的鑒權(quán)方式頭域中填寫鑒權(quán)方式的缺省值,并發(fā) 送給HSS/UPSF;
HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,將所查找到的鑒 權(quán)方式的鑒權(quán)數(shù)據(jù)填充在MAA消息的頭域中,返回給S-CSCF; S-CSCF根據(jù)HSS/UPSF返回的鑒權(quán)數(shù)據(jù)進(jìn)行相應(yīng)的鑒權(quán)處理。 所述鑒權(quán)方式的缺省值為AKA、或者HTTP DIGEST、或者EIA、或者 NBA。
可選地,步-腺D包括
S-CSCF在MAR的鑒權(quán)方式頭域填寫不需要安全聯(lián)盟的鑒權(quán)方式,并 在鑒權(quán)方式個(gè)數(shù)頭域中填寫所述不需要安全聯(lián)盟的鑒權(quán)方式個(gè)數(shù),然后發(fā)送 給HSS/UPSF;
HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,獲取所述配置的 鑒權(quán)方式中與MAR中填寫的鑒權(quán)方式相同的鑒權(quán)方式,將所述相同的鑒權(quán) 方式的鑒權(quán)數(shù)據(jù)和個(gè)數(shù)分別填寫在MAA消息的鑒權(quán)數(shù)據(jù)頭域和鑒權(quán)方式個(gè) 數(shù)頭域中,返回給S-CSCF;
S-CSCF根據(jù)HSS/UPSF返回的鑒權(quán)數(shù)據(jù)進(jìn)行相應(yīng)的鑒權(quán)處理。
可選地,步驟D包括
S-CSCF在MAR的鑒權(quán)方式頭域中填寫表示未知的值,并發(fā)送給 HSS/UPSF;
HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,把不需要安全聯(lián) 盟的鑒權(quán)方式的鑒權(quán)數(shù)據(jù)填充在MAA消息的頭域中,返回給S-CSCF; S-CSCF根據(jù)HSS/UPSF返回的鑒權(quán)數(shù)據(jù)進(jìn)行相應(yīng)的鑒權(quán)處理。 所述S-CSCF根據(jù)HSS/UPSF返回的鑒權(quán)數(shù)據(jù)進(jìn)行相應(yīng)的鑒權(quán)處理的步 驟包括
在MAA中只包含超文本傳輸協(xié)議摘要HTTP DIGEST鑒權(quán)方式的鑒權(quán) 數(shù)據(jù)時(shí),S-CSCF執(zhí)行HTTP DIGEST后續(xù)鑒權(quán)過程;或者,在MAA中包含 IMS業(yè)務(wù)層鑒權(quán)和網(wǎng)絡(luò)附著子系統(tǒng)接入層鑒權(quán)綁定NBA鑒權(quán)方式的鑒權(quán)數(shù) 據(jù)且所收到的REGISTER消息中有經(jīng)過合法檢查的UE位置信息時(shí),S-CSCF 執(zhí)行NBA鑒權(quán)方式的后續(xù)鑒權(quán)過程;或者,在MAA中包含NBA鑒權(quán)數(shù)據(jù) 和HTTP DIGEST鑒權(quán)方式的鑒權(quán)數(shù)據(jù),且所收到的REGISTER消息中有經(jīng) 過合法檢查的UE位置信息時(shí),執(zhí)行NBA鑒權(quán)方式的后續(xù)鑒權(quán)過程,并在 NBA鑒權(quán)方式鑒4又失敗時(shí),再執(zhí)行HTTP DIGEST鑒權(quán)方式的后續(xù)鑒權(quán)過 程;或者,在MAA中包含早期IMS EIA鑒權(quán)方式的鑒權(quán)數(shù)據(jù)且所收到的 REGISTER消息中有UE的IP地址信息時(shí),S-CSCF執(zhí)行EIA鑒權(quán)方式的后
續(xù)鑒權(quán)過程;否則,返回鑒權(quán)失敗消息給UE。
從上述方案中可以看出,由于本發(fā)明由P-CSCF根據(jù)REGISTER消息中 的信息和/或接入網(wǎng)類型,在REGISTER消息中增加與鑒權(quán)方式相關(guān)的信息, 并且由S-CSCF根據(jù)所述REGISTER消息中與鑒權(quán)方式相關(guān)的信息,通過 與HSS/UPSF交互獲得的鑒權(quán)數(shù)據(jù),并根據(jù)鑒權(quán)數(shù)據(jù)進(jìn)行相應(yīng)的鑒權(quán)處理, 從而解決了多種接入網(wǎng)接入同一個(gè)IMS核心網(wǎng)時(shí),各種鑒權(quán)方式的并存問 題。同時(shí),本發(fā)明還具備可擴(kuò)展性,能夠適應(yīng)未來其它的接入網(wǎng)接入IMS 核心網(wǎng)。
圖1為DIGEST AKA鑒權(quán)方式的流程示意圖; 圖2為EIA鑒權(quán)方式的流程示意圖; 圖3為NBA鑒權(quán)方式的流程示意圖; 圖4為HTTP DIGEST鑒權(quán)方式的流程示意圖5為帶有安全聯(lián)盟協(xié)商的HTTP DIGEST鑒權(quán)方式的流程示意圖6為本發(fā)明第一實(shí)施例的流程示意圖7為本發(fā)明第二實(shí)施例的流程示意圖8為本發(fā)明第三實(shí)施例的流程示意圖9為本發(fā)明第四實(shí)施例的流程示意圖10為本發(fā)明第五實(shí)施例的流程示意圖11為本發(fā)明第六實(shí)施例的流程示意圖。
具體實(shí)施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,以下舉實(shí)施例對(duì)本發(fā)明 進(jìn)一步詳細(xì)說明。
本發(fā)明的主要思想是
1 、 P-CSCF收到REGISTER時(shí),檢查收到的REGISTER消息中是否存
在安全客戶端(Security-Client)頭域。
如果 Security-Client 頭域存在,貝寸在 Authorization 中增力口 "integrity-protected" 頭域。^口果Security-Client中包含"ipsec-3gpp,,, 則 執(zhí)行AKA相關(guān)過程;如果Security-Client中包含其他鑒權(quán)機(jī)制,并且P-CSCF 支持該鑒權(quán)機(jī)制,則執(zhí)行該鑒權(quán)機(jī)制相關(guān)的鑒權(quán)過程?;蛘?,如果 Security-Client中包含"ipsec-3gpp,', 則integrity—protected的值設(shè)置成表示 AKA,并執(zhí)行AKA相關(guān)過程;如果Security-Client中包含其他鑒權(quán)機(jī)制, 并且P-CSCF支持該鑒權(quán)機(jī)制,則integrity-protected的值設(shè)置成表示該鑒權(quán) 機(jī)制,并執(zhí)行該鑒沖又機(jī)制相關(guān)的過程,此時(shí)對(duì)應(yīng)S-CSCF和HSS/UPSF的方 式4。如果Security-Client中包含其他鑒權(quán)機(jī)制,但是P-CSCF不支持該筌 權(quán)機(jī)制,則回 一個(gè)錯(cuò)誤消息給UE。
^口果Security-Client頭i或不存在,貝'J不i曾力口 "integrity-protected"頭i或。 如果REGISTER是在GRPS等移動(dòng)通信網(wǎng)絡(luò)對(duì)應(yīng)的接入網(wǎng)上收到的,則執(zhí) 行EIA過程。如果REGISTER是在NGN等固定通信網(wǎng)絡(luò)對(duì)應(yīng)的接入網(wǎng)上收 到的,且注冊(cè)消息中Authorization頭域的認(rèn)證方案頭域表示HTTP DIGEST, 則執(zhí)行HTTP DIGEST過程,否則執(zhí)行NBA過程。
然后P-CSCF將REGISTER消息通過I-CSCF發(fā)到S-CSCF。
2、 S-CSCF收到REGISTER后,向HSS/UPSF發(fā)送MAR時(shí),可能有如 下幾種處理方式
方式1:如果收到的REGISTER消息中的Authorization頭域中有 "integrity-protected"頭域,則在MAR的鑒權(quán)方式參數(shù)中填寫的值表示缺 省是AKA的鑒權(quán)方式,否則,在MAR的鑒權(quán)方式參數(shù)中填寫的值表示未 知 "unknown"。
方式2:S-CSCF在MAR消息的鑒權(quán)方式參數(shù)中統(tǒng)一填寫為 一個(gè)缺省值, 例如缺省為AKA,或者缺省為未知,或者缺省為其他值。
方式3 :如果收到的REGISTER消息中的Authorization頭域中有 "integrity-protected " 頭J或,則在 MAR 的鑒權(quán)方式個(gè)數(shù)頭域
SIP-Number-Auth-Items中填寫所有可能的需要安全聯(lián)盟協(xié)商的鑒權(quán)方式個(gè) 數(shù),在鑒權(quán)方式頭域SIP-Auth-Data-Item填寫可能的鑒權(quán)方式,其中鑒權(quán)方 式頭域的個(gè)數(shù)與鑒權(quán)方式個(gè)數(shù)頭域的取值相同。
如果收到的 REGISTER 消息中的 Authorization 頭域中無 "integrity-protected ,, 頭域,貝'J在 MAR 的鑒權(quán)方式個(gè)數(shù)頭域 SIP-Number-Auth-Items中填寫所有可能的不需要安全聯(lián)盟協(xié)商的鑒權(quán)方式 個(gè)數(shù),在鑒權(quán)方式頭域SIP-Auth-Data-Item填寫可能的鑒權(quán)方式,其中鑒權(quán) 方式頭域的個(gè)數(shù)與鑒權(quán)方式個(gè)數(shù)頭域的取值相同。
方式4:如果收到的REGISTER消息中的Authorization頭域中有 "integrity-protected"頭域,并且"integrity-protected"頭域的值表示AKA, 則在MAR的鑒權(quán)方式參數(shù)中填寫的值表示AKA的鑒權(quán)方式。如果收到的 REGISTER消息中的Authorization頭域中有"integrity-protected"頭域,并 且"integrity-protected"頭域的值表示其他需要安全聯(lián)盟協(xié)商的鑒權(quán)機(jī)制, 則在MAR的鑒權(quán)方式參數(shù)中填寫的值表示該鑒權(quán)機(jī)制。否則,在MAR的 鑒權(quán)方式參數(shù)中填寫的值表示未知。
3、 HSS/UPSF收到MAR后,向S-CSCF發(fā)送MAA時(shí),對(duì)應(yīng)于上述 S-CSCF的幾種處理方式,也有如下幾種對(duì)應(yīng)的處理方式
方式1: HSS/UPSF首先查找為該IMPI預(yù)先配置的所有鑒權(quán)方式,如果 MAR的鑒權(quán)方式參數(shù)表示缺省是AKA,并且HSS/UPSF中也預(yù)先配置有 AKA的鑒權(quán)數(shù)據(jù),則HSS/UPSF只將AKA相關(guān)的鑒權(quán)數(shù)據(jù)填充在MAA消 息的相應(yīng)頭域中,返回給S-CSCF。
如果MAR的鑒權(quán)方式參數(shù)表示缺省是AKA,但是HSS/UPSF中沒有配 置AKA鑒權(quán)數(shù)據(jù),但是配置有其他表示需要安全聯(lián)盟的鑒權(quán)方式的鑒權(quán)數(shù) 據(jù),則只將其他表示需要安全聯(lián)盟的鑒權(quán)方式相關(guān)的鑒權(quán)數(shù)據(jù)填充在MAA 消息的相應(yīng)頭域中,返回給S-CSCF。
如果MAR的鑒權(quán)方式參數(shù)表示缺省是AKA,但是HSS/UPSF中只配置 有不需要安全聯(lián)盟的鑒權(quán)方式相關(guān)的鑒權(quán)數(shù)據(jù),則把所有不需要安全聯(lián)盟的
鑒權(quán)方式相關(guān)的鑒權(quán)數(shù)據(jù)填充在MAA消息的相應(yīng)頭域中,返回給S-CSCF, 或者通過MAA消息返回錯(cuò)誤給S-CSCF。
其他情況下,把所有不需要安全聯(lián)盟的鑒權(quán)方式相關(guān)的鑒權(quán)數(shù)據(jù)填充在 MAA消息的相應(yīng)頭域中,返回給S-CSCF 。
方式2: HSS/UPSF首先查找為該IMPI預(yù)先配置的所有鑒權(quán)方式,不論 MAR的鑒權(quán)方式參數(shù)如何,將所有的鑒權(quán)方式對(duì)應(yīng)的鑒權(quán)數(shù)據(jù)填充在MAA 消息的相應(yīng)頭域中,返回給S-CSCF。
方式3: HSS/UPSF首先查找為該IMPI預(yù)先配置的所有鑒權(quán)方式,然后 取所有配置的鑒權(quán)方式集與MAR中填寫的所有可能的鑒權(quán)方式集兩者的交 集,然后填寫MAA消息的表示鑒權(quán)方式個(gè)數(shù)的頭域SIP-Number-Auth-Items 和鑒權(quán)數(shù)據(jù)的頭域SIP-Auth-Data-Item,其中鑒權(quán)數(shù)據(jù)頭域的個(gè)數(shù)與鑒權(quán)方 式個(gè)數(shù)頭域的取值一樣,返回給S-CSCF。
方式4: HSS/UPSF首先查找為該IMPI預(yù)先配置的所有鑒權(quán)方式,如果 MAR的鑒權(quán)方式參數(shù)表示是AKA,并且HSS/UPSF中也預(yù)先配置有AKA 的鑒權(quán)數(shù)據(jù),則只將AKA相關(guān)的鑒權(quán)數(shù)據(jù)填充在MAA消息的相應(yīng)頭域中, 返回給S-CSCF。如果MAR的鑒權(quán)方式參數(shù)表示其他需要安全聯(lián)盟協(xié)商的 鑒權(quán)機(jī)制,并且HSS/UPSF中也配置有該鑒權(quán)機(jī)制對(duì)應(yīng)的鑒權(quán)數(shù)據(jù),則只將 該鑒權(quán)機(jī)制的鑒權(quán)數(shù)據(jù)填充在MAA消息的相應(yīng)頭域中,返回給S-CSCF。 如果MAR的鑒權(quán)方式參數(shù)表示是AKA或者其他需要安全聯(lián)盟協(xié)商的鑒權(quán) 機(jī)制,但是HSS/UPSF中只配置有不需要安全聯(lián)盟的鑒權(quán)方式相關(guān)的鑒權(quán)數(shù) 據(jù),則把所有不需要安全聯(lián)盟的鑒權(quán)方式相關(guān)的鑒權(quán)數(shù)據(jù)填充在MAA消息 的相應(yīng)頭域中,返回給S-CSCF,或者通過MAA消息返回錯(cuò)誤給S-CSCF。 其他情況下,把所有不需要安全聯(lián)盟的鑒權(quán)方式相關(guān)的鑒權(quán)數(shù)據(jù)填充在 MAA消息的相應(yīng)頭域中,返回給S-CSCF。
4、 S-CSCF收到MAA后,對(duì)應(yīng)于HSS/UPSF的上述幾種處理方式,也 有如下幾種對(duì)應(yīng)的處理方式
方式1:如果以前填寫的MAR的鑒權(quán)方式參數(shù)表示缺省是AKA,并且
返回的MAA消息中只含有AKA的鑒權(quán)數(shù)據(jù),則S-CSCF進(jìn)行AKA后續(xù)鑒
權(quán)過程。
如果以前填寫的MAR的鑒權(quán)方式參數(shù)表示缺省是AKA,并且返回的 MAA消息中只含有其他表示需要安全聯(lián)盟的鑒權(quán)方式相關(guān)的鑒權(quán)數(shù)據(jù),則 S-CSCF進(jìn)行該鑒權(quán)方式后續(xù)鑒權(quán)過程。
如果以前填寫的MAR的鑒權(quán)方式參數(shù)表示缺省是AKA,但是返回的 MAA消息中只含有不需要安全聯(lián)盟的鑒權(quán)方式相關(guān)的鑒權(quán)數(shù)據(jù),或者返回 的MAA消息表示錯(cuò)誤,則S-CSCF返回給UE相應(yīng)的鑒權(quán)失敗消息。
另外,如果MAA中只包含HTTP DIGEST鑒權(quán)數(shù)據(jù),則S-CSCF執(zhí)行 HTTP DIGEST后續(xù)鑒權(quán)過程。如果MAA中包含NBA鑒權(quán)數(shù)據(jù),并且以前 收到的REGISTER消息中有經(jīng)過合法檢查的UE位置信息,則S-CSCF執(zhí)行 NBA后續(xù)鑒權(quán)過程。鑒權(quán)失敗的話,如果MAA返回的還有HTTP DIGEST鑒 權(quán)數(shù)據(jù),則S-CSCF再執(zhí)行HTTP DIGEST后續(xù)鑒權(quán)過程。如果MAA中包 含EIA鑒權(quán)數(shù)據(jù),并且以前收到的REGISTER消息中有UE IP地址信息, 則S-CSCF執(zhí)行EIA后續(xù)鑒權(quán)過程。其他情況下S-CSCF返回給UE相應(yīng)的 鑒權(quán)失敗消息。
方式2:如果以前收到的REGISTER消息中含有integrity-protected頭域, 并且返回的MAA消息中含有某種需要安全聯(lián)盟的鑒權(quán)方式的鑒權(quán)數(shù)據(jù),則 S-CSCF進(jìn)行該鑒權(quán)方式后續(xù)的鑒權(quán)過程,例如AKA。
如果以前收到的REGISTER消息中含有integrity-protected頭域,并且 返回的MAA消息中不含有任何一種需要安全聯(lián)盟的鑒權(quán)方式的鑒權(quán)數(shù)據(jù), 則S-CSCF返回給UE相應(yīng)的鑒一又失敗消息。
如果以前收到的REGISTER消息中不含有integrity-protected頭域,那 么如果MAA中只包含HTTP DIGEST鑒權(quán)數(shù)據(jù),則S-CSCF執(zhí)行HTTP DIGEST后續(xù)鑒權(quán)過程。如果MAA中包含NBA鑒權(quán)數(shù)據(jù),并且以前收到的 REGISTER消息中有經(jīng)過合法;險(xiǎn)查的UE位置信息,則S-CSCF執(zhí)行NBA 后續(xù)鑒權(quán)過程。鑒權(quán)失敗的話,如果MAA返回的還有HTTP DIGEST鑒權(quán)
數(shù)據(jù),則S-CSCF再執(zhí)行HTTP DIGEST后續(xù)鑒權(quán)過程。如杲MAA中包舍 EI A鑒權(quán)數(shù)據(jù),并且以前收到的REGISTER消息中有UE IP地址信息,則 S-CSCF執(zhí)行EIA后續(xù)鑒權(quán)過程。其他情況下S-CSCF返回給UE相應(yīng)的鑒 權(quán)失敗消息。
方式3:處理同方式2,這里不再贅述。
方式4:如果以前填寫的MAR的鑒權(quán)方式參數(shù)表示是AKA,并且返回 的MAA消息中只含有AKA的鑒權(quán)數(shù)據(jù),則S-CSCF進(jìn)行AKA后續(xù)鑒權(quán)過 程。如果以前填寫的MAR的鑒權(quán)方式參數(shù)表示是其他需要安全聯(lián)盟協(xié)商的 鑒權(quán)機(jī)制,并且返回的MAA消息中該鑒權(quán)方式相關(guān)的鑒權(quán)數(shù)據(jù),則S-CSCF 進(jìn)行該鑒權(quán)方式后續(xù)鑒權(quán)過程。如果以前填寫的MAR的鑒權(quán)方式參數(shù)表示 是AKA或者其他需要安全聯(lián)盟協(xié)商的鑒權(quán)機(jī)制,但是返回的MAA消息中 只含有不需要安全聯(lián)盟的鑒權(quán)方式相關(guān)的鑒權(quán)數(shù)據(jù),或者返回的MAA消息
表示錯(cuò)誤,則S-CSCF返回給UE相應(yīng)的鑒權(quán)失敗消息。
另外,如果MAA中只包含HTTP DIGEST鑒權(quán)數(shù)據(jù),則S-CSCF執(zhí)行 HTTP DIGEST后續(xù)鑒權(quán)過程。如果MAA中包含NBA鑒權(quán)數(shù)據(jù),并且以前 收到的REGISTER消息中有經(jīng)過合法檢查的UE位置信息,則S-CSCF執(zhí)行 NBA后續(xù)鑒權(quán)過程。鑒權(quán)失敗的話,如果MAA返回的還有HTTP DIGEST鑒 權(quán)數(shù)據(jù),則S-CSCF再執(zhí)行HTTP DIGEST后續(xù)鑒權(quán)過程。如果MAA中包 含EIA鑒權(quán)數(shù)據(jù),并且以前收到的REGISTER消息中有UE IP地址信息, 則S-CSCF執(zhí)行EIA后續(xù)鑒權(quán)過程。
其他情況下,S-CSCF返回給UE相應(yīng)的鑒權(quán)失敗消息。
第一實(shí)施例選擇AKA鑒權(quán)方式,其中S-CSCF和HSS/UPSF按方式
1處理。如圖6所示,第一實(shí)施例包括如下步驟
步驟1101, UE發(fā)送注冊(cè)消息REGISTER到P-CSCF 。
步驟1102, P-CSCF檢查注冊(cè)消息,發(fā)現(xiàn)Security-Client頭域存在,增
力口 "integrity-protected"頭域。并且由于Security-Client中包含"ipsec-3gpp",
則在"integrity-protected"頭域中填寫表示AKA的值。
步驟1103至步驟1105, P-CSCF通過I-(JSCF將REGISTER消息發(fā)給 滿足能力集要求的S-CSCF。
步驟1106至步驟1107, S-CSCF檢查REGISTER消息中的Authorization 頭域中有"integrity-protected"頭域,則在MAR的鑒權(quán)方式參數(shù)中填寫的 值表示缺省是AKA的鑒權(quán)方式,然后發(fā)送MAR給HSS/UPSF。
步驟1108至步驟1109, HSS/UPSF檢查MAR的鑒權(quán)方式參數(shù)表示缺 省是AKA,并且HSS/UPSF中預(yù)先配置有AKA的鑒權(quán)數(shù)據(jù),則只將AKA 相關(guān)的鑒權(quán)數(shù)據(jù)填充在MA A消息的相應(yīng)頭域中,然后發(fā)送MA A給S-CSCF 。
步驟1110至步驟1111, S-CSCF檢查以前填寫的MAR的鑒權(quán)方式參 數(shù)表示缺省是AKA,并且MAA返回AKA鑒權(quán)數(shù)據(jù),因此執(zhí)行AKA相應(yīng) 的后續(xù)鑒權(quán)處理。
第二實(shí)施例2:選擇NBA鑒權(quán)方式,其中S-CSCF和HSS/UPSF按方式 1處理。如圖7所示,第二實(shí)施例包括如下步驟
步驟1201 , UE發(fā)送注冊(cè)消息REGISTER到P-CSCF。
步驟1202, P-CSCF檢查注冊(cè)消息,發(fā)現(xiàn)Security-Client頭域不存在, 則不增加"integrity-protected"頭域。由于REGISTER是在NGN對(duì)應(yīng)的接 入網(wǎng)上收到的,且注冊(cè)消息中沒有Authorization頭域,執(zhí)行NBA相關(guān)過程。
步驟1203至步驟1205, P-CSCF通過I-CSCF將REGISTER消息發(fā)給 滿足能力集要求的S-CSCF。
步驟1206至步驟1207, S-CSCF檢查REGISTER消息中的Authorization 頭域中沒有"integrity-protected"頭域,則在MAR的鑒權(quán)方式參數(shù)中填寫 的值表示未知,然后發(fā)送MAR給HSS/UPSF。
步驟1208至步驟1209, HSS/UPSF檢查MAR的鑒權(quán)方式參數(shù)表示未 知,并且HSS/UPSF中預(yù)先配置有NBA的鑒權(quán)數(shù)據(jù),則將NBA相關(guān)的鑒權(quán) 數(shù)據(jù)填充在MAA消息的相應(yīng)頭域中,然后發(fā)送MAA給S-CSCF。
步驟1210至步驟1211, S-CSCF檢查MAA中包含NBA鑒權(quán)數(shù)據(jù),并 且以前收到的REGISTER消息中有經(jīng)過合法檢查的UE位置信息,則S-CSCF 執(zhí)行NBA后續(xù)鑒權(quán)過程。
第三實(shí)施例;選擇EIA鑒權(quán)方式,其中S-CSCF和HSS/UPSF按方式1 處理。如圖8所示,第三實(shí)施例包括如下步驟 步驟1301, UE發(fā)送注冊(cè)消息到P-CSCF。
步驟1302, P-CSCF檢查注冊(cè)消息,發(fā)現(xiàn)Security-Client頭域不存在, 不增力口 "integrity-protected"頭域。由于REGISTER是在GPRS對(duì)應(yīng)的接入 網(wǎng)上收到的,執(zhí)行EIA相關(guān)過程。
步驟1303至步驟1305, P-CSCF通過I-CSCF將REGISTER消息發(fā)給 滿足能力集要求的S-CSCF。
步驟306至步驟1307, S-CSCF檢查REGISTER消息中的Authorization 頭域中沒有"integrity-protected"頭域,則在MAR的鑒權(quán)方式參^:中填寫 的值表示未知,然后發(fā)送MAR給HSS/UPSF。
步驟1308至步驟1309, HSS/UPSF檢查MAR的鑒權(quán)方式參數(shù)表示未 知,并且HSS/UPSF中預(yù)先配置有EIA的鑒權(quán)數(shù)據(jù),則將EIA相關(guān)的鑒權(quán) 數(shù)據(jù)填充在MAA消息的相應(yīng)頭域中,然后發(fā)送MAA給S-CSCF。
步驟1310至步驟1311, S-CSCF檢查MAA中包含EIA鑒權(quán)數(shù)據(jù),并 且以前收到的REGISTER消息中有經(jīng)過合法一全查的UE IP信息,則S-CSCF 執(zhí)行EIA后續(xù)鑒權(quán)過程。
第四實(shí)施例選擇NBA筌權(quán)方式,其中S-CSCF和HSS/UPSF按方式2 處理。如圖9所示,第四實(shí)施例包括如下步驟 步驟1401, UE發(fā)送注冊(cè)消息到P-CSCF。
步驟1402, P-CSCF檢查注冊(cè)消息,發(fā)現(xiàn)Security-Client頭域不存在, 不增力。"integrity-protected"頭域。由于REGISTER是在NGN對(duì)應(yīng)的接入
網(wǎng)上收到的,且注冊(cè)消息中沒有Authorization頭域,執(zhí)行NBA相關(guān)過程。
步驟1403至步驟1405, P-CSCF通過I-CSCF將REGISTER消息發(fā)給 滿足能力集要求的S-CSCF。
步驟1406至步驟1407, S-CSCF統(tǒng)一在MAR的鑒權(quán)方式參數(shù)中填寫的 值表示未知,然后發(fā)送MAR纟合HSS/UPSF。
步驟1408至步驟1409, HSS/UPSF檢查MAR的鑒權(quán)方式參數(shù)表示未 知,并且HSS/UPSF中預(yù)先配置有NBA的鑒權(quán)數(shù)據(jù),則將包含NBA在內(nèi)的 所有鑒權(quán)數(shù)據(jù)填充在MAA消息的相應(yīng)頭域中,然后發(fā)送MAA給S-CSCF。
步驟1410至步驟11 , S-CSCF 4全查MAA中包含NBA鑒權(quán)數(shù)據(jù),并且 以前收到的REGISTER消息中有經(jīng)過合法檢查的UE位置信息,則S-CSCF 執(zhí)行NBA后續(xù)鑒權(quán)過程。
第五實(shí)施例選擇EIA鑒權(quán)方式,其中S-CSCF和HSS/UPSF按方式2 處理時(shí)。如圖10所示,第五實(shí)施例包括如下步驟 步驟1501, UE發(fā)送注冊(cè)消息到P-CSCF。
步驟1502, P-CSCF ^r查注冊(cè)消息,發(fā)現(xiàn)Security-Client頭域不存在, 不增加"integrity-protected"頭域。由于REGISTER是在GPRS對(duì)應(yīng)的接入 網(wǎng)上收到的,執(zhí)行EIA相關(guān)過程。
步驟1503至步驟1505, P-CSCF通過I-CSCF將REGISTER消息發(fā)給 S-CSCF。
步驟1506至步驟1507, S-CSCF統(tǒng)一在MAR的鑒權(quán)方式參數(shù)中填寫的 值表示未知,然后發(fā)送MAR給HSS/UPSF。
步驟1508至步驟1509, HSS/UPSF檢查MAR的鑒權(quán)方式參數(shù)表示未 知,并且HSS/UPSF中預(yù)先配置有EIA的鑒權(quán)數(shù)據(jù),則將包含EIA在內(nèi)的 所有鑒權(quán)數(shù)據(jù)填充在MAA消息的相應(yīng)頭域中,然后發(fā)送MAA給S-CSCF。
步驟1510至步驟1511, S-CSCF檢查MAA中包含EIA鑒權(quán)數(shù)據(jù),并 且以前收到的REGISTER消息中有經(jīng)過合法檢查的UE的IP信息,則S-CSCF
執(zhí)行EI A后續(xù)鑒權(quán)過程。
第六實(shí)施例6:選4奪NBA + HTTP DIGEST鑒權(quán)方式,其中S-CSCF和 HSS/UPSF 4安方式2處理。如圖11所示,第六實(shí)施例包括如下步驟 步驟1601 , UE發(fā)送注冊(cè)消息到P-CSCF。
步驟1602, P-CSCF檢查注冊(cè)消息,發(fā)現(xiàn)Security-Client頭域不存在, 不增加"integrity-protected"頭域。由于REGISTER是在NGN對(duì)應(yīng)的接入 網(wǎng)上收到的,且注冊(cè)消息中沒有Authorization頭域,執(zhí)行NBA相關(guān)過程。
步驟1603至步驟1605, P-CSCF通過I-CSCF將REGISTER消息發(fā)給 S-CSCF。
步驟1606至步驟1607,S-CSCF統(tǒng)一在MAR的鑒權(quán)方式參數(shù)中填寫的 值表示未知,然后發(fā)送MAR給HSS/UPSF。
步驟1608至步驟1609, HSS/UPSF檢查MAR的鑒權(quán)方式參數(shù)表示未 知,并且HSS/UPSF中預(yù)先配置有NBA和HTTP DIGEST的鑒權(quán)數(shù)據(jù)',則 將包含NBA和HTTP DIGEST在內(nèi)的所有鑒權(quán)數(shù)據(jù)填充在MAA消息的相應(yīng) 頭域中,然后發(fā)送MAA給S-CSCF。
步驟1610至步驟1611, S-CSCF檢查MAA中包含NBA鑒權(quán)數(shù)據(jù),并 且以前收到的REGISTER消息中有經(jīng)過合法檢查的UE位置信息,則S-CSCF 先執(zhí)行NBA后續(xù)鑒權(quán)過程。NBA鑒權(quán)失敗,再執(zhí)行HTTP DIGEST鑒權(quán)過 程。
以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本 發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在 本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1、一種IP多媒體子系統(tǒng)IMS網(wǎng)絡(luò)中確定用戶終端UE鑒權(quán)方式的方法,其特征在于,該方法包括A.UE向代理呼叫會(huì)話控制功能P-CSCF發(fā)送注冊(cè)REGISTER消息;B.P-CSCF根據(jù)REGISTER消息中的信息和/或接入網(wǎng)類型,在REGISTER消息中增加與鑒權(quán)方式相關(guān)的信息,并將該REGISTER消息轉(zhuǎn)發(fā)至查詢呼叫會(huì)話控制功能實(shí)體I-CSCF;C.I-CSCF選擇服務(wù)呼叫會(huì)話控制功能實(shí)體S-CSCF,并把REGISTER消息轉(zhuǎn)發(fā)到該S-CSCF;D.S-CSCF根據(jù)所述REGISTER消息中與鑒權(quán)方式相關(guān)的信息,通過與歸屬用戶服務(wù)器HSS/用戶簽約服務(wù)功能實(shí)體UPSF交互獲得鑒權(quán)數(shù)據(jù),并根據(jù)鑒權(quán)數(shù)據(jù)進(jìn)行相應(yīng)的鑒權(quán)處理。
2、 根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟B中所述在REGISTER 消息中增加與鑒權(quán)方式相關(guān)的信息的步驟包括P-CSCF在REGISTER消息中存在安全客戶端Security-Client頭域時(shí), 在授權(quán)Authorization頭域中增加完整性保護(hù) integrity-protected頭域。
3、 根據(jù)權(quán)利要求2所述的方法,其特征在于,步驟D包括 S-CSCF在多媒體鑒權(quán)請(qǐng)求MAR的鑒權(quán)方式頭域中填寫表示缺省是AKA鑒權(quán)方式的值,并發(fā)送給HSS/UPSF;HSS/UPSF查找為所述UE的私有用戶標(biāo)識(shí)IMPI配置的鑒權(quán)方式,在 HSS/UPSF中配置有AKA的鑒權(quán)數(shù)據(jù)時(shí),將AKA鑒權(quán)方式的鑒權(quán)數(shù)據(jù)填充 在MAA消息的頭域中,返回給S-CSCF;S-CSCF進(jìn)行AKA鑒權(quán)方式的后續(xù)鑒權(quán)過程。
4、 根據(jù)權(quán)利要求2所述的方法,其特征在于,步驟D包括 S-CSCF在MAR的鑒權(quán)方式頭域中填寫表示缺省是AKA鑒權(quán)方式的值,并發(fā)送給HSS/UPSF; HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,在HSS/UPSF中沒 有配置AKA鑒權(quán)方式的鑒權(quán)數(shù)據(jù)但配置有AKA以外的需要安全聯(lián)盟的鑒 權(quán)方式的鑒權(quán)數(shù)據(jù)時(shí),將所述AKA以外的需要安全聯(lián)盟的鑒權(quán)方式的鑒權(quán) 數(shù)據(jù)填充在MAA消息的頭域中,返回給S-CSCF;S-CSCF進(jìn)行所述AKA以外的需要安全聯(lián)盟的鑒權(quán)方式的后續(xù)鑒權(quán)過程。
5、 根據(jù)權(quán)利要求2所述的方法,其特征在于,步驟D包括S-CSCF在MAR的鑒權(quán)方式頭域中填寫表示缺省是AKA鑒權(quán)方式的值;HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,在HSS/UPSF中只 配置有不需要安全聯(lián)盟的鑒權(quán)方式的鑒權(quán)數(shù)據(jù)時(shí),將所述不需要安全聯(lián)盟的 鑒權(quán)方式的鑒權(quán)數(shù)據(jù)填充在MAA消息的頭域中,返回給S-CSCF,或者通 過MAA消息返回錯(cuò)誤給S-CSCF;S-CSCF返回鑒一又失敗消息》合UE。
6、 根據(jù)權(quán)利要求2所述的方法,其特征在于,步驟D包括 S-CSCF在MAR消息的鑒權(quán)方式頭域中填寫鑒權(quán)方式的缺省值,并發(fā)送給HSS/UPSF;HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,將所查找到的鑒 權(quán)方式的鑒權(quán)數(shù)據(jù)填充在MAA消息的頭域中,返回給S-CSCF;S-CSCF在返回的MAA消息中含有需要安全聯(lián)盟的鑒權(quán)方式的鑒權(quán)數(shù) 據(jù)時(shí),進(jìn)行該鑒權(quán)方式的后續(xù)鑒權(quán)過程;或者,在返回的MAA消息中不含 有需要安全聯(lián)盟的鑒權(quán)方式的鑒權(quán)數(shù)據(jù)時(shí),返回鑒權(quán)失敗消息給UE。
7、 根據(jù)權(quán)利要求2所述的方法,其特征在于,步驟D包括 S-CSCF在MAR的鑒權(quán)方式頭域填寫需要安全聯(lián)盟的鑒權(quán)方式,并在鑒權(quán)方式個(gè)數(shù)頭域中填寫所述需要安全聯(lián)盟的鑒權(quán)方式個(gè)數(shù),然后發(fā)送給 HSS/UPSF;HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,獲取所述配置的 鑒權(quán)方式中與MAR中填寫的鑒權(quán)方式相同的鑒權(quán)方式,將所速相同的鑒權(quán) 方式的鑒權(quán)數(shù)據(jù)和個(gè)數(shù)分別填寫在MAA消息的鑒權(quán)數(shù)據(jù)頭域和鑒權(quán)方式個(gè) 數(shù)頭域中,返回給S-CSCF;S-CSCF在返回的MAA消息中含有需要安全聯(lián)盟的鑒權(quán)方式的鑒權(quán)數(shù) 據(jù)時(shí),進(jìn)行該鑒權(quán)方式的后續(xù)鑒權(quán)過程;或者,在返回的MAA消息中不含 有需要安全聯(lián)盟的鑒權(quán)方式的鑒權(quán)數(shù)據(jù)時(shí),返回鑒權(quán)失敗消息給UE。
8 、根據(jù)權(quán)利要求2所述的方法,其特征在于,步驟B中所述在REGISTER 消息中增加與鑒權(quán)方式相關(guān)的信息的步驟進(jìn)一步包括P-CSCF根據(jù)Security-Client頭域的值在integrity-protected頭域中填寫 表示相應(yīng)鑒權(quán)方式的值。
9、 根據(jù)權(quán)利要求8所述的方法,其特征在于,所述根據(jù)Security-Client 頭域的值在integrity-protected頭域中填寫表示相應(yīng)鑒權(quán)方式的值的步驟包 括P-CSCF在Security-Client中包含ipsec-3gpp時(shí),在integrity-protected 頭域中填寫表示摘要認(rèn)證與密鑰協(xié)商AKA鑒權(quán)方式的值;在Security-Client 中包含P-CSCF支4寺的其他鑒權(quán)方式時(shí),在integrity-protected頭域中填寫表 示該鑒權(quán)方式的值;在Security-Client中不包含P-CSCF支持的鑒權(quán)方式時(shí), 返回錯(cuò)誤消息給UE。
10、 根據(jù)權(quán)利要求9所述的方法,其特征在于,步驟D包括 S-CSCF在收到的REGISTER消息中的 Authorization頭域的integrity-protected頭域的值表示需要安全聯(lián)盟的鑒權(quán)方式時(shí),在MAR的薟 權(quán)方式頭域中填寫表示該鑒權(quán)方式的值,并發(fā)送給HSS/UPSF;HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,在HSS/UPSF中配 置有該鑒權(quán)方式的鑒權(quán)數(shù)據(jù)時(shí),將該鑒權(quán)方式的鑒權(quán)數(shù)據(jù)填充在MAA消息 的頭域中,返回給S-CSCF;S-CSCF進(jìn)行該鑒權(quán)方式的后續(xù)鑒權(quán)過程。
11 、根據(jù)權(quán)利要求9所述的方法,其特征在于,步驟D包括 S-CSCF在收到的REGISTER消息中的Authorization頭城的 integrity-protected頭域的值表示需要安全聯(lián)盟的鑒權(quán)方式時(shí),則在MAR的 鑒權(quán)方式頭域中填寫表示該鑒權(quán)方式的值,并發(fā)送給HSS/UPSF;HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,在HSS/UPSF中只 配置有不需要安全聯(lián)盟的筌權(quán)方式的鑒權(quán)數(shù)據(jù)時(shí),將所述不需要安全聯(lián)盟的 鑒權(quán)方式的鑒權(quán)數(shù)據(jù)填充在MAA消息的頭域中,返回給S-CSCF,或者通 過MAA消息返回錯(cuò)誤給S-CSCF;S-CSCF返回鑒權(quán)失敗消息給UE。
12、 根據(jù)權(quán)利要求10或1所述的方法,其特征在于,所述需要安全聯(lián) 盟的鑒權(quán)方式為AKA、或者IP安全-互聯(lián)網(wǎng)密鑰交換IPSEC-IKE、或者傳輸 層安全TLS、或者需要安全聯(lián)盟的HTTPDIGEST。
13、 根據(jù)^l利要求1所述的方法,其特征在于,步驟B包括 P-CSCF在REGISTER消息中不存在Security-Client頭域時(shí),將沒有增加integrity-protected頭域的REGISTER消息發(fā)送給I-CSCF。
14、 根據(jù)權(quán)利要求13所述的方法,其特征在于,步驟D包括 S-CSCF在MAR的鑒權(quán)方式頭域中填寫表示未知unknown的值; HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,將不需要安全聯(lián)盟的鑒權(quán)方式的鑒權(quán)數(shù)據(jù)填充在MAA消息的頭域中,返回給S-CSCF; S-CSCF根據(jù)HSS/UPSF返回的鑒權(quán)數(shù)據(jù)進(jìn)行相應(yīng)的鑒權(quán)處理。
15、 根據(jù)權(quán)利要求13所述的方法,其特征在于,步驟B進(jìn)一步包括 當(dāng)REGISTER消息來自通用無線分組業(yè)務(wù)GPRS對(duì)應(yīng)的移動(dòng)接入網(wǎng)時(shí),P-CSCF將攜帶有UE IP地址信息的REGISTER消息發(fā)送給I-CSCF;或者, 當(dāng)REGISTER消息來自網(wǎng)絡(luò)附著子系統(tǒng)NASS對(duì)應(yīng)的固定接入網(wǎng)時(shí),P-CSCF 將攜帶有UE位置信息的REGISTER消息發(fā)送給I-CSCF。
16、 根據(jù)權(quán)利要求15所述的方法,其特征在于,步驟D包括 S-CSCF在MAR消息的鑒權(quán)方式頭域中填寫鑒權(quán)方式的缺省值,并發(fā)送給HSS/UPSF; HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,將所查找到的鑒 權(quán)方式的鑒權(quán)數(shù)據(jù)填充在MAA消息的頭域中,返回給S-CSCF; S-CSCF根據(jù)HSS/UPSF返回的鑒權(quán)數(shù)據(jù)進(jìn)行相應(yīng)的鑒權(quán)處理。
17、 根據(jù)權(quán)利要求6或15所述的方法,其特征在于,所述鑒權(quán)方式的 缺省值為AKA、或者HTTP DIGEST、或者EIA、或者NBA。
18、 根據(jù)權(quán)利要求15所述的方法,其特征在于,步驟D包括 S-CSCF在MAR的鑒權(quán)方式頭域填寫不需要安全耳關(guān)盟的鑒4又方式,并在鑒權(quán)方式個(gè)數(shù)頭域中填寫所述不需要安全聯(lián)盟的鑒權(quán)方式個(gè)數(shù),然后發(fā)送 給HSS/UPSF;HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,獲取所述配置的 鑒權(quán)方式中與MAR中填寫的鑒權(quán)方式相同的鑒權(quán)方式,將所述相同的鑒權(quán) 方式的鑒權(quán)數(shù)據(jù)和個(gè)數(shù)分別填寫在MAA消息的鑒權(quán)數(shù)據(jù)頭域和鑒權(quán)方式個(gè) H頭域中,返回給S-CSCF;S-CSCF根據(jù)HSS/UPSF返回的鑒權(quán)數(shù)據(jù)進(jìn)行相應(yīng)的鑒權(quán)處理。
19、 根據(jù)權(quán)利要求15所述的方法,其特征在于,步驟D包括 S-CSCF在MAR的鑒權(quán)方式頭域中填寫表示未知的值,并發(fā)送給HSS/UPSF;HSS/UPSF查找為所述UE的IMPI配置的鑒權(quán)方式,把不需要安全聯(lián) 盟的鑒權(quán)方式的鑒權(quán)數(shù)據(jù)填充在MAA消息的頭域中,返回給S-CSCF; S-CSCF根據(jù)HSS/UPSF返回的鑒權(quán)數(shù)據(jù)進(jìn)行相應(yīng)的鑒權(quán)處理。
20、 根據(jù)權(quán)利要求14、 16、 18或19中任一項(xiàng)所述的方法,其特征在于, 所述S-CSCF根據(jù)HSS/UPSF返回的鑒權(quán)數(shù)據(jù)進(jìn)行相應(yīng)的鑒權(quán)處理的步驟包 括在MAA中只包含超文本傳輸協(xié)議摘要HTTP DIGEST鑒權(quán)方式的鑒權(quán) 數(shù)據(jù)時(shí),S-CSCF執(zhí)行HTTP DIGEST后續(xù)鑒權(quán)過程;或者,在MAA中包含 IMS業(yè)務(wù)層鑒權(quán)和網(wǎng)絡(luò)附著子系統(tǒng)接入層鑒權(quán)綁定NBA鑒權(quán)方式的筌權(quán)數(shù) 據(jù)且所收到的REGISTER消息中有經(jīng)過合法4全查的UE位置信息時(shí),S-CSCF 執(zhí)行NBA鑒權(quán)方式的后續(xù)鑒權(quán)過程;或者,在MAA中包含NBA鑒權(quán)數(shù)據(jù) 和HTTP DIGEST鑒權(quán)方式的鑒權(quán)數(shù)據(jù),且所收到的REGISTER消息中有經(jīng) 過合法檢查的UE位置信息時(shí),執(zhí)行NBA鑒權(quán)方式的后續(xù)鑒權(quán)過程,并在 NBA鑒權(quán)方式鑒權(quán)失敗時(shí),再對(duì)丸行HTTP DIGEST鑒權(quán)方式的后續(xù)鑒權(quán)過 程;或者,在MAA中包含早期IMS EIA鑒權(quán)方式的鑒權(quán)數(shù)據(jù)且所收到的 REGISTER消息中有UE的IP地址信息時(shí),S-CSCF執(zhí)行EIA鑒權(quán)方式的后 續(xù)鑒權(quán)過程;否則,返回鑒權(quán)失敗消息給UE。
全文摘要
本發(fā)明公開了一種IMS網(wǎng)絡(luò)中確定UE鑒權(quán)方式的方法,該方法包括A.UE向P-CSCF發(fā)送注冊(cè)REGISTER消息;B.P-CSCF根據(jù)REGISTER消息中的信息和/或接入網(wǎng)類型,在REGISTER消息中增加與鑒權(quán)方式相關(guān)的信息,并將該REGISTER消息轉(zhuǎn)發(fā)至I-CSCF;C.I-CSCF選擇S-CSCF,并把REGISTER消息轉(zhuǎn)發(fā)到該S-CSCF;D.S-CSCF根據(jù)所述REGISTER消息中與鑒權(quán)方式相關(guān)的信息,通過與HSS/UPSF交互獲得的鑒權(quán)數(shù)據(jù),并根據(jù)鑒權(quán)數(shù)據(jù)進(jìn)行相應(yīng)的鑒權(quán)處理。本發(fā)明解決了多種接入網(wǎng)接入同一個(gè)IMS核心網(wǎng)時(shí),各種鑒權(quán)方式的并存問題。同時(shí),本發(fā)明還具備可擴(kuò)展性,能夠適應(yīng)未來其它的接入網(wǎng)接入IMS核心網(wǎng)。
文檔編號(hào)H04Q7/38GK101106457SQ20061010106
公開日2008年1月16日 申請(qǐng)日期2006年7月10日 優(yōu)先權(quán)日2006年7月10日
發(fā)明者何承東 申請(qǐng)人:華為技術(shù)有限公司