專利名稱:Ip多媒體子系統(tǒng)中對終端用戶標(biāo)識模塊進(jìn)行鑒權(quán)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及對移動終端的鑒權(quán)技術(shù)����,更確切地說是涉及在IP多媒體子系統(tǒng)(IMS)中對終端用戶標(biāo)識模塊進(jìn)行鑒權(quán)的方法。
背景技術(shù):
隨著多媒體業(yè)務(wù)的發(fā)展���,目前已出現(xiàn)了針對移動終端的多媒體業(yè)務(wù)?���,F(xiàn)在為移動終端提供多媒體業(yè)務(wù)的IMS系統(tǒng)如圖1所示�,該系統(tǒng)起初是在第三代網(wǎng)絡(luò)(3G)已有的分組域之外疊加的一個子域,這個子域?qū)iT用于支持IP多媒體業(yè)務(wù)����。在條件成熟的情況下�,IMS系統(tǒng)也可服務(wù)于終端局域網(wǎng)(WLAN)等其他方式接入的用戶。
IMS系統(tǒng)主要由呼叫控制實(shí)體和媒體網(wǎng)關(guān)部件構(gòu)成��,在各個部件之間主要使用會話發(fā)起協(xié)議(SIP)傳輸控制信令。呼叫控制部件主要完成呼叫控制����、地址轉(zhuǎn)換、計費(fèi)�、隱蔽移動終端(UE)的移動性等功能,是IMS系統(tǒng)中的關(guān)鍵部件����;媒體網(wǎng)關(guān)部件則是為與現(xiàn)有公共開關(guān)電話網(wǎng)絡(luò)(PSTN)網(wǎng)絡(luò)兼容而引入的。另外��,IMS系統(tǒng)中的歸屬用戶服務(wù)器(HSS)是歸屬網(wǎng)絡(luò)中用于保存IMS用戶簽約信息的設(shè)備����。
IMS系統(tǒng)的安全包括用戶在IMS系統(tǒng)的鑒權(quán)和SIP消息的保護(hù)。IMS系統(tǒng)的安全架構(gòu)如圖2所示����。其中,UE與歸屬網(wǎng)之間的鑒權(quán)及安全聯(lián)盟(SASecurity Association)協(xié)商采用IMS鑒權(quán)密鑰協(xié)議(AKA)雙向認(rèn)證機(jī)制�,SIP消息的加密和完整性保護(hù)采用的是逐跳處理方式。
具體來說��,在IMS系統(tǒng)中���,為實(shí)現(xiàn)對IP多媒體(IM)用戶的鑒權(quán)��,3GPP協(xié)議組織使用了專門的IMS用戶標(biāo)識模塊(ISIM)模塊作為用戶側(cè)的鑒權(quán)模塊�����,并使用了通用移動通信系統(tǒng)(UMTS)的AKA機(jī)制����。IMS系統(tǒng)對用戶的鑒權(quán)處理過程如圖3所示,對應(yīng)以下步驟步驟301�、UE在需要使用IMS業(yè)務(wù)時,依次通過代理-呼叫狀態(tài)控制功能(P_CSCF)及查詢-呼叫擴(kuò)控制功能(I_CSCF)將注冊請求發(fā)送給服務(wù)呼叫狀態(tài)控制功能(S_CSCF)����。
步驟302、S_CSCF在收到注冊請求后���,如果自身存在針對該用戶的五元組鑒權(quán)向量(AV)���,則直接利用該鑒權(quán)向量對用戶進(jìn)行鑒權(quán),即進(jìn)入步驟304�����;如果沒有����,則向HSS請求AV。
這里���,五元組AV包括隨機(jī)數(shù)(RAND)�、鑒權(quán)令牌(AUTN)����、全球移動通信網(wǎng)使用的加密密鑰(CK)、完整性密鑰(IK)及預(yù)期響應(yīng)(XRES)����。
步驟303、HSS收到S_CSCF的請求后���,確定五元組AV�����,并發(fā)送給S_CSCF����。
當(dāng)然,為提高效率�����,HSS一般會按順序向S_CSCF發(fā)送多組五元組AV����。
步驟304、S_CSCF保留HSS發(fā)送來的五元組AV中的XRES�,將RAND、AUTN�、CK及IK放在鑒權(quán)考驗(yàn)(Autn_Challenge)消息中,并將該消息通過I_CSCF發(fā)送給P_CSCF����。
如果HSS發(fā)送多組五元組AV,則S_CSCF可以按順序選擇一組五元組AV����,其他五元組AV則留在針對該用戶的下一次鑒權(quán)中使用。
步驟305�、P_CSCF保留S_CSCF通過Autn_Challenge消息發(fā)送來的CK和IK,并將RAND和AUTN下發(fā)到UE����。
如果系統(tǒng)啟動了一致性保護(hù)和保密性保護(hù)����,則P_CSCF將在后續(xù)的會話中使用保存下來的IK和CK作為密鑰�。
步驟306�����、UE將收到的RAND和AUTN發(fā)送到ISIM��。
步驟307���、ISIM對收到的AUTN進(jìn)行驗(yàn)證��,并在驗(yàn)證通過后根據(jù)RAND計算響應(yīng)(RES)�,然后將計算出的RES作為鑒權(quán)響應(yīng)發(fā)送給UE���,并由UE將該RES返回給S_CSCF���,同時ISIM還根據(jù)RAND計算出IK和CK,并將IK和CK發(fā)送給UE�����。
ISIM對收到的AUTN進(jìn)行驗(yàn)證包括確定AUTN中包含的MAC值是否合法,以及確定SQN是否可接受�。其中,ISIM對SQN是否可接受的驗(yàn)證即為驗(yàn)證是否需要再同步���。
UE具體會通過P_CSCF和I_CSCF將RES發(fā)送給S_CSCF��,并保留IK和CK�����,以作為后續(xù)會話中的密鑰��。
步驟308~309�、S_CSCF將UE發(fā)送來的鑒權(quán)響應(yīng)中的RES與自身保存的XRES進(jìn)行比較�,如果相等,則確定鑒權(quán)通過���,并通過I_CSCF及P_CSCF向UE發(fā)送鑒權(quán)成功消息��;否則�,確定鑒權(quán)失敗��。
上述處理過程要求使用單獨(dú)的ISIM模塊完成IM域的鑒權(quán),也就是說��,目前所設(shè)置的ISIM模塊是專門用于實(shí)現(xiàn)IM域的鑒權(quán)的����,而目前能夠用于3G的終端用戶標(biāo)識模塊都是不包含ISIM模塊的�����,因此這些終端用戶標(biāo)識模塊無法通過上述過程完成IM域的鑒權(quán)�����。比如���,用戶目前大多使用基于GSM/GPRS網(wǎng)絡(luò)的用戶標(biāo)識模塊(SIM)卡��,即使部分網(wǎng)絡(luò)升級到了3G網(wǎng)絡(luò)�����,由于UE實(shí)現(xiàn)了雙模應(yīng)用��,因此用戶仍然可以通過SIM卡接入3G系統(tǒng),這種情況下��,由于SIM卡中沒有ISIM模塊����,因此無法通過上述處理過程完成IM域的鑒權(quán)����。再比如�,目前已出現(xiàn)的針對3G的UICC卡��,一般只包含了用于CS域和PS域鑒權(quán)的USIM模塊�,這樣也就無法通過上述處理過程完成IM域的鑒權(quán)����。
如果不用上述基于ISIM模塊的處理過程完成對IM域的鑒權(quán),而是希望通過USIM模塊實(shí)現(xiàn)鑒權(quán),則會出現(xiàn)因USIM模塊在實(shí)現(xiàn)CS域或PS域鑒權(quán)的同時對IM域進(jìn)行鑒權(quán)而引起頻繁再同步的問題��。所謂再同步是指USIM模塊中保存了SQNMS���,如果HSS/HLR下發(fā)的五元組中的SQN比USIM模塊中保存的SQNMS舊,而下發(fā)的SQN是以HSS/HLR保存的SQNHE為準(zhǔn)的��,這說明SQNHE比SQNMS舊�����,故將引發(fā)USIM模塊會用自身的SQNMS去同步HSS/HLR中的SQNHE�。
具體來說����,為提高網(wǎng)絡(luò)的存取效率,針對CS域的VLR�����、針對PS域的SGSN,以及針對IM域的S_CSCF在索取鑒權(quán)向量時都會索取多組����,每次只使用其中一組進(jìn)行鑒權(quán)處理,并自行緩存剩余的鑒權(quán)向量��。在這種情況下���,如果各個域的操作頻度不同�,比如�,SGSN和VLR先后向HSS獲取了5組鑒權(quán)元組,在各自使用了一組之后���,可能由于用戶在CS域的操作很頻繁�,使得SGSN中已緩存的4組剩余鑒權(quán)向量將比USIM模塊中的SQNMS舊����,此時USIM模塊中保存的SQNMS以VLR下發(fā)的SQN為準(zhǔn),這樣�,USIM模塊就會用自身的SQNMS去同步HSS/HLR中的SQNHE,進(jìn)而導(dǎo)致SGSN/VLR當(dāng)前緩存的所有鑒權(quán)向量失效�。從上述例子可見,如果不同域的操作頻度相差較大�����,則必然會引起頻繁的再同步。
為解決上述頻繁再同步的問題���,可以用HSS來替代現(xiàn)網(wǎng)中的所有HLR�,因?yàn)镠SS可以將下發(fā)的SQN劃分為CS域��、PS域和IM域�����,這樣�,USIM模塊可以分別對各個域內(nèi)的SQN進(jìn)行比較,只要能夠保證HSS下發(fā)給每個域的鑒權(quán)元組所對應(yīng)的SQN是有序的�����,就不會導(dǎo)致不必要的再同步過程��。由于每個域中都只有一個網(wǎng)絡(luò)實(shí)體用于緩存鑒權(quán)元組�����,比如�����,CS域中有VLR緩存�����、PS域中有SGSN緩存����,IM域中則有S_CSCF緩存,因此通過HSS對SQN的劃分可以解決再同步問題���。
但是�,由于目前的網(wǎng)絡(luò)處于初始階段�����,大規(guī)模替換HLR基本上是不可能的���,更為合理的解決方案是在現(xiàn)網(wǎng)的基礎(chǔ)上疊加一個或多個專門提供IM業(yè)務(wù)的HSS��,而現(xiàn)有的HLR保持不變����,繼續(xù)提供CS和PS域的業(yè)務(wù),HSS則通過與現(xiàn)網(wǎng)中HLR的交互獲取用戶的CS/PS信息����。這種組網(wǎng)情況下,新增的IM域和已有的CS/PS域可以共享USIM�,且IM域的HSS能夠從用戶歸屬的HLR獲取鑒權(quán)向量,但由于HLR無法將下發(fā)的SQN劃分為CS域��、PS域和IM域���,因此頻繁再同步的問題仍然沒有解決��。
另外�����,如果采用在現(xiàn)有網(wǎng)絡(luò)上疊加建設(shè)IMS系統(tǒng)時�����,由于需要對SQN進(jìn)行校驗(yàn)�,因此需要現(xiàn)網(wǎng)的HLR與新增的HSS共享同一個AUC���,對現(xiàn)網(wǎng)的影響較大��。
從以上描述可知�����,要想SIM卡中實(shí)現(xiàn)IM業(yè)務(wù)��,或者使用USIM卡實(shí)現(xiàn)IM業(yè)務(wù)且不會出現(xiàn)頻繁再同步的問題����,目前按照3GPP的建議方案就是將卡更換為包含ISIM模塊的卡����。根據(jù)目前的運(yùn)營模式,如果用戶想要升級UE��,可以通過各種途徑實(shí)現(xiàn)��,包括購置新機(jī)��、通過Java或者手機(jī)制造商提供的接口升級等�,這些升級具有很強(qiáng)的可操作性。但如果用戶想要換卡���,則必須到運(yùn)營商授權(quán)的專門營業(yè)點(diǎn)進(jìn)行更換����,而為保證業(yè)務(wù)的持續(xù)性,新卡中的IMSI與舊卡中的IMSI必須保證一定的關(guān)聯(lián)性��,比如��,必須歸屬同一個HLR�,因此,換卡在實(shí)際操作時必然非常繁瑣�。
綜上所述,目前要想使用IM業(yè)務(wù)����,則用戶的終端用戶標(biāo)識模塊中必須包含ISIM模塊,顯然這對終端用戶標(biāo)識模塊的要求比較高�,往往需要用戶更換自身的SIM卡或USIM卡才能實(shí)現(xiàn)。而換卡在實(shí)際操作中非常繁瑣�,必然會大大降低IM業(yè)務(wù)的吸引力,增加運(yùn)營商推廣IM業(yè)務(wù)的難度���。
發(fā)明內(nèi)容
有鑒于此��,本發(fā)明的主要目的在于提供在IMS系統(tǒng)中對終端用戶標(biāo)識模塊進(jìn)行鑒權(quán)的方法�����,以使用戶不用更換自身的終端用戶標(biāo)識模塊���,即可使用3G系統(tǒng)中的IM業(yè)務(wù)。
為達(dá)到以上目的�,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種在IP多媒體子系統(tǒng)中對終端用戶標(biāo)識模塊進(jìn)行鑒權(quán)的方法,該方法包括以下步驟a.IP多媒體子系統(tǒng)IMS在收到移動終端UE發(fā)送來的注冊請求后�,確定針對該UE的三元組鑒權(quán)向量,所述三元組鑒權(quán)向量至少包含隨機(jī)數(shù)RAND和符號響應(yīng)SRES��,保留三元組中的SRES�,并將RAND下發(fā)到UE;b.UE將所述RAND傳送到自身的終端用戶標(biāo)識模塊�����;c.終端用戶標(biāo)識模塊根據(jù)RAND計算RES�����,并將RES通過UE返回給IMS系統(tǒng)�;d.IMS系統(tǒng)判斷UE返回的RES是否與自身保存的SRES相等,如果是����,則鑒權(quán)通過��,否則�����,鑒權(quán)失敗�。
所述步驟a中�,所述IMS系統(tǒng)確定針對UE的三元組鑒權(quán)向量包括IMS系統(tǒng)中的S_CSCF判斷自身是否存有針對該UE的三元組鑒權(quán)向量,如果是���,則執(zhí)行后續(xù)步驟�����;否則�,向歸屬用戶服務(wù)器HSS請求針對該UE的三元組鑒權(quán)向量����;HSS在收到S_CSCF發(fā)送來的鑒權(quán)向量請求后,確定針對該UE的三元組鑒權(quán)向量�����,并發(fā)送給S_CSCF。
所述UE中的終端用戶標(biāo)識模塊為用戶標(biāo)識模塊SIM���,所述HSS直接確定針對該UE中SIM模塊的三元組鑒權(quán)向量���。
所述UE中的終端用戶標(biāo)識模塊為用戶服務(wù)標(biāo)識模塊USIM;所述HSS確定針對UE的三元組鑒權(quán)向量包括HSS首先確定針對USIM模塊的五元組鑒權(quán)向量�����,并將所述五元組鑒權(quán)向量轉(zhuǎn)換為三元組鑒權(quán)向量���。
所述三元組鑒權(quán)向量進(jìn)一步包括Kc;所述五元組鑒權(quán)向量包括RAND����、XRES、IK�����、CK和AUTN���;所述將五元組鑒權(quán)向量轉(zhuǎn)換為三元組鑒權(quán)向量為丟棄五元組中的AUTN�����,保留RAND��,將XRES轉(zhuǎn)換為SRES��,并將IK和CK轉(zhuǎn)換為Kc�����。
所述步驟c中�,所述終端用戶標(biāo)識模塊根據(jù)RAND計算RES包括USIM模塊根據(jù)是否收到AUTN判斷是否將五元組轉(zhuǎn)換為三元組,比如判斷是否需要啟動3G+Kc模式�����,如果沒有收到AUTN���,則啟動3G+Kc模式����,并根據(jù)RAND計算出XRES�����,將XRES轉(zhuǎn)換為SRES;如果收到AUTN��,則不啟動3G+Kc模式��,并結(jié)束本處理流程�����。
所述步驟a中���,IMS系統(tǒng)將RAND下發(fā)到UE為S_CSCF通過I_CSCF及P_CSCF將RAND下發(fā)到UE;步驟c中���,所述終端用戶標(biāo)識模塊將RES通過UE返回給IMS系統(tǒng)為終端用戶標(biāo)識模塊將RES發(fā)送給UE����,UE再將所述RES通過代理呼叫狀態(tài)控制功能P_CSCF及I_CSCF發(fā)送給S_CSCF�。
所述系統(tǒng)啟用一致性保護(hù)和保密性保護(hù);且所述三元組中進(jìn)一步包括Kc���;所述步驟a進(jìn)一步包括IMS系統(tǒng)中的S_CSCF將三元組中的Kc轉(zhuǎn)換為CK和IK�,并將所述CK和IK通過I_CSCF發(fā)送給P_CSCF���;所述步驟c進(jìn)一步包括終端用戶標(biāo)識模塊計算Kc����,并將所述Kc上傳給UE;該方法進(jìn)一步包括UE將終端用戶標(biāo)識模塊上傳的Kc轉(zhuǎn)換為IK和CK����;UE和P_CSCF將所述IK和CK作為后續(xù)會話中的密鑰。
所述系統(tǒng)啟用一致性保護(hù)和保密性保護(hù)�;所述步驟a進(jìn)一步包括IMS系統(tǒng)中的S_CSCF將三元組中的Kc直接通過I_CSCF發(fā)送給P_CSCF;所述步驟c進(jìn)一步包括終端用戶標(biāo)識模塊計算Kc��,并將所述Kc上傳給UE�����;該方法進(jìn)一步包括P_CSCF及UE將自身收到的Kc轉(zhuǎn)換為CK和IK�;UE和P_CSCF并將所述IK和CK作為后續(xù)會話中的密鑰。
所述終端用戶標(biāo)識模塊為USIM模塊�����;步驟c中�����,所述終端用戶標(biāo)識模塊計算Kc進(jìn)一步包括USIM模塊在根據(jù)沒有收到AUTN確定需要將五元組轉(zhuǎn)換為三元組,比如需要啟動3G+Kc模式后��,根據(jù)RAND計算出IK和CK��,并將IK和CK轉(zhuǎn)換為Kc�����,之后將所述Kc發(fā)送給UE����。
本發(fā)明方案通過IMS系統(tǒng)使用三元組鑒權(quán)向量對終端用戶標(biāo)識模塊進(jìn)行鑒權(quán),在實(shí)現(xiàn)了使用現(xiàn)有的SIM模塊或USIM模塊進(jìn)行鑒權(quán)的同時����,還避開了USIM模塊對SQN的校驗(yàn)�,繼而使得在現(xiàn)網(wǎng)基礎(chǔ)上新建的HSS不需要與現(xiàn)網(wǎng)中的HLR共享同一個AUC,也就是說����,可以針對HSS單獨(dú)設(shè)置AUC,從而使得在現(xiàn)網(wǎng)中增加HSS時���,不需要因鑒權(quán)問題升級任何已有的現(xiàn)網(wǎng)設(shè)備���。
通過本發(fā)明方案�����,使得使用諸如SIM模塊��、USIM模塊之類的用戶不需要升級或換卡即可享受IM業(yè)務(wù)���,大大降低了IM業(yè)務(wù)的推廣難度。
另外����,本發(fā)明方案所涉及的所有修改和改造都是在IM域的相關(guān)網(wǎng)絡(luò)實(shí)體中實(shí)現(xiàn)的,對于目前的GSM���、GPRS以及UMTS中的所有設(shè)備都沒有任何的額外要求��,使得在現(xiàn)有網(wǎng)絡(luò)上疊加一個專門用于提供IM域的IMS系統(tǒng)成為可能��。
圖1為目前的IMS系統(tǒng)結(jié)構(gòu)示意圖����;圖2為IMS的安全架構(gòu)示意圖;圖3為現(xiàn)有技術(shù)中IMS系統(tǒng)通過ISIM對UE進(jìn)行鑒權(quán)的消息流時序圖�����;圖4為本發(fā)明中IMS系統(tǒng)通過SIM對UE進(jìn)行鑒權(quán)的消息流時序圖�����;圖5為本發(fā)明中IMS系統(tǒng)通過SIM對UE進(jìn)行鑒權(quán)的另一種方案的消息流時序圖��;圖6為本發(fā)明中IMS系統(tǒng)通過USIM對UE進(jìn)行鑒權(quán)的消息流時序圖���;圖7為本發(fā)明中IMS系統(tǒng)通過USIM對UE進(jìn)行鑒權(quán)的另一種方案的消息流時序圖�����。
具體實(shí)施例方式
由于圖3所示處理過程需要驗(yàn)證AUTN���,對于SIM模塊及USIM模塊來說,驗(yàn)證AUTN會帶來頻繁再同步的問題���,因此,本發(fā)明的核心思想在于S_CSCF在需要對UE進(jìn)行鑒權(quán)時����,利用不包含AUTN的三元組鑒權(quán)向量進(jìn)行鑒權(quán)來避開對SQN的校驗(yàn)����。這樣����,HSS發(fā)送給S_CSCF的鑒權(quán)向量也應(yīng)該為三元組。
下面分別以SIM和USIM作為終端用戶標(biāo)識模塊為例��,結(jié)合附圖對本發(fā)明方案作詳細(xì)的說明��。
圖4所示為SIM卡接入IM域的鑒權(quán)處理過程�,對應(yīng)以下步驟
步驟401、UE在需要使用IMS業(yè)務(wù)時�����,依次通過P_CSCF及I_CSCF將注冊請求發(fā)送給S_CSCF��。
步驟402����、S_CSCF在收到注冊請求后,判斷自身是否存在針對該用戶的三元組AV�,如果存在�,則直接利用該AV對用戶進(jìn)行鑒權(quán)����,即進(jìn)入步驟404;如果不存在�����,則向HSS請求AV�����。
這里�����,三元組AV包括RAND����、符號響應(yīng)SRES和Kc。
步驟403�、HSS在收到S_CSCF的請求后,確定針對該SIM模塊的三元組AV�,并發(fā)送給S_CSCF。
由于SIM本身就支持三元組AV�,因此HSS可以直接確定針對該SIM的三元組AV。
另外��,為提高效率��,HSS一般會按順序向S_CSCF發(fā)送多組三元組AV��。
步驟404��、S_CSCF保留HSS發(fā)送來的三元組AV中的SRES���,使用標(biāo)準(zhǔn)算法將Kc轉(zhuǎn)換為CK和IK��,之后將RAND及轉(zhuǎn)換得到的CK和IK通過Auth_Challenge消息發(fā)送給P_CSCF�。
如果HSS發(fā)送的是多組三元組AV�����,則S_CSCF可以按順序選擇一組AV�����,其他AV則留在針對該用戶的下一次鑒權(quán)中使用���。
步驟405�、P_CSCF保留S_CSCF通過Auth_Challenge消息發(fā)送來的CK和IK,并將RAND下發(fā)到UE�。
如果系統(tǒng)啟動了一致性保護(hù)和保密性保護(hù),則P_CSCF將在后續(xù)的會話中使用保存下來的IK和CK作為密鑰����。
步驟406、UE將收到的RAND傳送給SIM����。
步驟407、SIM在收到RAND后���,根據(jù)RAND計算出RES和Kc�����,并將RES作為鑒權(quán)響應(yīng)通過UE返回給S_CSCF�,同時將Kc上傳給UE�。
UE具體會依次通過P_CSCF和I_CSCF將SIM返回的鑒權(quán)響應(yīng)發(fā)送給S_CSCF。
步驟408~409��、S_CSCF將UE發(fā)送來的鑒權(quán)響應(yīng)中的RES與自身保存的SRES進(jìn)行比較���,如果相等����,則確定鑒權(quán)通過��,并通過I_CSCF及P_CSCF向UE發(fā)送鑒權(quán)成功消息�;否則��,確定鑒權(quán)失敗�����。
通過上述處理過程即可實(shí)現(xiàn)對SIM的鑒權(quán)���。當(dāng)然����,如果系統(tǒng)啟動了一致性保護(hù)和保密性保護(hù)����,則UE還需要將SIM發(fā)送來的Kc轉(zhuǎn)換為IK和CK,以作為后續(xù)會話的一致性密鑰和完整性密鑰����。
在上述處理過程中,S_CSCF與UE使用的轉(zhuǎn)換算法可以是3GPP TS33.102中給定的三元組和五元組轉(zhuǎn)換算法��,從而提高通用性。
對于針對SIM卡鑒權(quán)的過程來說�,還可以通過圖5所示過程實(shí)現(xiàn)��。該過程與上述圖4所示過程相比,圖5中的步驟501~503����,以及步驟506~509與圖4中的相應(yīng)步驟相同,其主要區(qū)別在于在步驟504中���,S_CSCF不對Kc進(jìn)行轉(zhuǎn)換��,而是直接將Kc通過Auth_Challenge消息發(fā)送給P_CSCF���。
在步驟505中,P_CSCF保留的是S_CSCF通過Auth_Challenge消息發(fā)送來的Kc���。當(dāng)然����,如果系統(tǒng)啟動了一致性保護(hù)和保密性保護(hù)�����,則P_CSCF還需要使用標(biāo)準(zhǔn)算法將該Kc轉(zhuǎn)換為CK和IK��,并在后續(xù)的會話中使用保存下來的IK和CK作為密鑰�����。
上述結(jié)合圖4及圖5對通過SIM鑒權(quán)的過程進(jìn)行了描述����,對于通過USIM進(jìn)行鑒權(quán)的過程來說��,則如圖6所示��,對應(yīng)以下步驟步驟601����、UE在需要使用IMS業(yè)務(wù)時,依次通過P_CSCF及I_CSCF將注冊請求發(fā)送給S_CSCF����。
步驟602��、S_CSCF在收到注冊請求后���,判斷自身是否存在針對該用戶的三元組AV,如果存在�����,則直接利用該AV對用戶進(jìn)行鑒權(quán)�,即進(jìn)入步驟404;如果不存在���,則向HSS請求三元組AV�����。
這里�,三元組AV包括RAND���、SRES和Kc�。
步驟603、HSS在收到S_CSCF的請求后���,確定與該USIM對應(yīng)的五元組AV���,該五元組AV包括RAND、XRES���、IK�����、CK和AUTN�,再使用標(biāo)準(zhǔn)轉(zhuǎn)換算法將該五元組AV轉(zhuǎn)換為相應(yīng)的三元組AV�����,該三元組AV包括RAND����、SRES和Kc��,然后將所得的三元組AV下發(fā)給S_CSCF���。
由于USIM本身不支持三元組AV�,因此HSS需要首先確定USIM所支持的五元組AV,再將其轉(zhuǎn)換為相應(yīng)的三元組AV��。主要轉(zhuǎn)換工作為保留原有的RAND���,丟棄AUTN�,將XRES轉(zhuǎn)換為SRES�,以及將IK和CK轉(zhuǎn)換為Kc。
另外��,為提高效率�,HSS一般會確定多個五元組AV,并將每個五元組AV轉(zhuǎn)換為相應(yīng)的三元組AV�,然后再將轉(zhuǎn)換得到的三元組AV按順序發(fā)送給S_CSCF。
步驟604�、S_CSCF保留HSS發(fā)送來的三元組AV中的SRES,使用標(biāo)準(zhǔn)算法將Kc轉(zhuǎn)換為CK和IK�,之后將RAND及轉(zhuǎn)換得到的CK和IK通過Auth_Challenge消息發(fā)送給P_CSCF。
當(dāng)然��,如果HSS發(fā)送的是多組三元組AV���,則S_CSCF可以按順序選擇一組AV��,其他AV則留在針對該用戶的下一次鑒權(quán)中使用�����。
步驟605�����、P_CSCF保留S_CSCF通過Auth_Challenge消息發(fā)送來的CK和IK�����,并將RAND下發(fā)到UE���。
如果系統(tǒng)啟動了一致性保護(hù)和保密性保護(hù)���,則P_CSCF將在后續(xù)的會話中使用保存下來的IK和CK作為密鑰���。
步驟606�����、UE將收到的RAND傳送給USIM�����。
步驟607���、USIM在收到RAND后��,在根據(jù)AUTN確定需要將五元組轉(zhuǎn)換為三元組后��,利用RAND計算出XRES���、IK及CK,然后再使用轉(zhuǎn)換算法將XRES轉(zhuǎn)換為RES��,將IK和CK轉(zhuǎn)換為Kc��,并將所述RES作為鑒權(quán)響應(yīng)通過UE返回給S_CSCF����,同時將轉(zhuǎn)換得到的Kc上傳給UE。
其中�,USIM根據(jù)AUTN確定需要將五元組轉(zhuǎn)換為三元組,可以是根據(jù)AUTN確定需要啟動3G+Kc模式�。USIM根據(jù)AUTN確定是否需要啟動3G+Kc模式具體為USIM判斷是否收到AUTN,如果收到AUTN��,則不啟動3G+Kc模式,并按照原有處理邏輯進(jìn)行處理����;如果沒有收到AUTN,則啟動3G+Kc模式����,之后執(zhí)行所述后續(xù)處理過程。
UE具體會依次通過P_CSCF和I_CSCF將USIM返回的鑒權(quán)響應(yīng)發(fā)送給S_CSCF��。
步驟608~609�����、S_CSCF將UE發(fā)送來的鑒權(quán)響應(yīng)中的RES與自身保存的SRES進(jìn)行比較����,如果相等,則確定鑒權(quán)通過�����,并通過I_CSCF及P_CSCF向UE發(fā)送鑒權(quán)成功消息�����;否則��,鑒權(quán)失敗�。
當(dāng)然,如果系統(tǒng)啟動了一致性保護(hù)和保密性保護(hù)��,則UE還需要將USIM發(fā)送來的Kc轉(zhuǎn)換為IK和CK����,以作為后續(xù)會話的一致性密鑰和完整性密鑰。
同樣�,上述處理所使用的轉(zhuǎn)換算法可以是3GPP TS 33.102中給定的三元組和五元組轉(zhuǎn)換算法,從而提高通用性��。
對于針對USIM卡鑒權(quán)的過程來說�����,還可以通過圖7所示過程實(shí)現(xiàn)���。該過程與上述圖6所示過程相比�,其主要區(qū)別與上述SIM卡鑒權(quán)過程中圖4與圖5所示流程之間的區(qū)別相同�����。也就是說,S_CSCF可以對Kc不作轉(zhuǎn)換�,而是直接發(fā)送給P_CSCF,如果系統(tǒng)啟動了一致性保護(hù)和保密性保護(hù)�,則P_CSCF還需要使用標(biāo)準(zhǔn)算法將該Kc轉(zhuǎn)換為CK和IK,并將其作為后續(xù)會話中的密鑰����。
以上所述僅為本發(fā)明方案的較佳實(shí)施例,并不用以限定本發(fā)明的保護(hù)方案�����。
權(quán)利要求
1.一種在IP多媒體子系統(tǒng)中對終端用戶標(biāo)識模塊進(jìn)行鑒權(quán)的方法����,其特征在于,該方法包括以下步驟a.IP多媒體子系統(tǒng)IMS在收到移動終端UE發(fā)送來的注冊請求后�,確定針對該UE的三元組鑒權(quán)向量,所述三元組鑒權(quán)向量至少包含隨機(jī)數(shù)RAND和符號響應(yīng)SRES��,保留三元組中的SRES�,并將RAND下發(fā)到UE;b.UE將所述RAND傳送到自身的終端用戶標(biāo)識模塊�;c.終端用戶標(biāo)識模塊根據(jù)RAND計算RES,并將RES通過UE返回給IMS系統(tǒng);d.IMS系統(tǒng)判斷UE返回的RES是否與自身保存的SRES相等��,如果是��,則鑒權(quán)通過����,否則����,鑒權(quán)失敗。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于所述步驟a中��,所述IMS系統(tǒng)確定針對UE的三元組鑒權(quán)向量包括IMS系統(tǒng)中的服務(wù)-呼叫狀態(tài)控制功能S_CSCF判斷自身是否存有針對該UE的三元組鑒權(quán)向量���,如果是�����,則執(zhí)行后續(xù)步驟����;否則,向歸屬用戶服務(wù)器HSS請求針對該UE的三元組鑒權(quán)向量���;HSS在收到S_CSCF發(fā)送來的鑒權(quán)向量請求后���,確定針對該UE的三元組鑒權(quán)向量,并發(fā)送給S_CSCF���。
3.根據(jù)權(quán)利要求2所述的方法���,其特征在于,所述UE中的終端用戶標(biāo)識模塊為用戶標(biāo)識模塊SIM���,所述HSS直接確定針對該UE中SIM模塊的三元組鑒權(quán)向量���。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于����,所述UE中的終端用戶標(biāo)識模塊為用戶服務(wù)標(biāo)識模塊USIM;所述HSS確定針對UE的三元組鑒權(quán)向量包括HSS首先確定針對USIM模塊的五元組鑒權(quán)向量����,并將所述五元組鑒權(quán)向量轉(zhuǎn)換為三元組鑒權(quán)向量。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于��,所述三元組鑒權(quán)向量進(jìn)一步包括全球移動通信網(wǎng)使用的加密密鑰Kc��;所述五元組鑒權(quán)向量包括RAND��、預(yù)期響應(yīng)XRES�、完整性密鑰IK�、加密密鑰CK和鑒權(quán)令牌AUTN;所述將五元組鑒權(quán)向量轉(zhuǎn)換為三元組鑒權(quán)向量為丟棄五元組中的AUTN�,保留RAND,將XRES轉(zhuǎn)換為SRES��,并將IK和CK轉(zhuǎn)換為Kc���。
6.根據(jù)權(quán)利要求4所述的方法�����,其特征在于所述步驟c中���,所述終端用戶標(biāo)識模塊根據(jù)RAND計算RES包括USIM模塊根據(jù)是否收到AUTN判斷是否需要將五元組轉(zhuǎn)換為三元組,如果沒有收到AUTN���,則確定需要將五元組轉(zhuǎn)換為三元組����,根據(jù)RAND計算出XRES,將XRES轉(zhuǎn)換為SRES�����;如果收到AUTN���,則不執(zhí)行轉(zhuǎn)換���,并結(jié)束本處理流程。
7.根據(jù)權(quán)利要求1所述的方法�,其特征在于所述步驟a中,IMS系統(tǒng)將RAND下發(fā)到UE為S_CSCF通過代理呼叫狀態(tài)控制功能P_CSCF將RAND下發(fā)到UE�����;步驟c中�,所述終端用戶標(biāo)識模塊將RES通過UE返回給IMS系統(tǒng)為終端用戶標(biāo)識模塊將RES發(fā)送給UE,UE再將所述RES通過P_CSCF發(fā)送給S_CSCF���。
8.根據(jù)權(quán)利要求7所述的方法�����,其特征在于��,所述系統(tǒng)啟用一致性保護(hù)和保密性保護(hù)�����;所述三元組中進(jìn)一步包括Kc����;所述步驟a進(jìn)一步包括IMS系統(tǒng)中的S_CSCF將三元組中的Kc轉(zhuǎn)換為CK和IK��,并將所述CK和IK發(fā)送給P_CSCF���;所述步驟c進(jìn)一步包括終端用戶標(biāo)識模塊計算Kc����,并將所述Kc上傳給UE�����;該方法進(jìn)一步包括UE將終端用戶標(biāo)識模塊上傳的Kc轉(zhuǎn)換為IK和CK�����;UE和P_CSCF將所述IK和CK作為后續(xù)會話中的密鑰。
9.根據(jù)權(quán)利要求7所述的方法��,其特征在于�,所述系統(tǒng)啟用一致性保護(hù)和保密性保護(hù);所述步驟a進(jìn)一步包括IMS系統(tǒng)中的S_CSCF將三元組中的Kc直接發(fā)送給P_CSCF����;所述步驟c進(jìn)一步包括終端用戶標(biāo)識模塊計算Kc,并將所述Kc上傳給UE���;該方法進(jìn)一步包括P_CSCF及UE將自身收到的Kc轉(zhuǎn)換為CK和IK�;UE和P_CSCF并將所述IK和CK作為后續(xù)會話中的密鑰��。
10.根據(jù)權(quán)利要求8或9所述的方法�,其特征在于,所述終端用戶標(biāo)識模塊為USIM模塊��;步驟c中��,所述終端用戶標(biāo)識模塊計算Kc進(jìn)一步包括USIM模塊在根據(jù)沒有收到AUTN確定需要將五元組轉(zhuǎn)換為三元組后��,根據(jù)RAND計算出IK和CK�,并將IK和CK轉(zhuǎn)換為Kc�,之后將所述Kc發(fā)送給UE�。
全文摘要
本發(fā)明公開了一種在IP多媒體子系統(tǒng)中對終端用戶標(biāo)識模塊進(jìn)行鑒權(quán)的方法,該方法首先由IMS系統(tǒng)在收到UE發(fā)送來的注冊請求后���,確定針對該UE的三元組鑒權(quán)向量��,所述三元組鑒權(quán)向量至少包含RAND和SRES���,保留三元組中的SRES,并將RAND下發(fā)到UE�;UE將所述RAND傳送到自身的終端用戶標(biāo)識模塊;終端用戶標(biāo)識模塊計算RES��,并將RES通過UE返回給IMS系統(tǒng)��;IMS系統(tǒng)判斷UE返回的RES是否與自身保存的SRES相等���,如果是,則鑒權(quán)通過�����,否則��,鑒權(quán)失敗。本發(fā)明方案解決了現(xiàn)有技術(shù)中必須通過ISIM才能實(shí)現(xiàn)鑒權(quán)的問題�。通過本發(fā)明方案實(shí)現(xiàn)了在IMS系統(tǒng)中通過SIM及USIM模塊等對UE的鑒權(quán),大大降低了IM業(yè)務(wù)的推廣難度��,且對現(xiàn)有網(wǎng)絡(luò)的改動很小���。
文檔編號H04W12/06GK1756428SQ20041008484
公開日2006年4月5日 申請日期2004年9月30日 優(yōu)先權(quán)日2004年9月30日
發(fā)明者謝紅, 王金城, 朱東銘, 顧炯炯 申請人:華為技術(shù)有限公司