專利名稱:一種ip多媒體子系統(tǒng)網(wǎng)絡(luò)鑒權(quán)系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及IP多媒體子系統(tǒng)領(lǐng)域���,具體涉及一種IP多媒體子系統(tǒng)網(wǎng)絡(luò)鑒權(quán)系統(tǒng)及方法。
背景技術(shù):
目前����,IP多媒體子系統(tǒng)(IMS����,IP Multimedia Subsystem)網(wǎng)絡(luò)在標(biāo)準(zhǔn)協(xié)議中定義采用AKAv1-MD5算法對用戶進行鑒權(quán)�����,因此�,用戶要想使用IMS網(wǎng)絡(luò)提供的服務(wù)�,就必須具有支持此算法的IMS用戶識別(ISIM,IMSSubscriber Identity Model)卡���。而由于用戶識別模塊(UIM����,User IdentityModule)卡或SIM卡只支持傳統(tǒng)的鑒權(quán)算法����,而不支持AKAv1-MD5算法,因此�����,那些使用UIM卡或SIM卡的用戶無法通過IMS域的鑒權(quán)。
為了使只能使用SIM卡的GPRS用戶能夠接入IMS網(wǎng)絡(luò)�����,3GPP制定的IMS標(biāo)準(zhǔn)協(xié)議定義了一種名為Early IMS的過程(具體參見3GPP協(xié)議TR33.878)���。它通過對給移動臺(MS�����,Mobile Station)分配的用戶IP地址和MS的國際移動用戶識別碼(IMSI���,International Mobile Subscriber Identity)或移動臺國際ISDN碼(MSISDN)進行綁定實現(xiàn)了將只支持SIM卡的GPRS用戶接入IMS網(wǎng)絡(luò),如圖1所示��,具體過程如下a�����、MS向GPRS網(wǎng)絡(luò)發(fā)起接入請求��,請求消息中帶有IMSI或MSISDN��,網(wǎng)關(guān)GPRS支持節(jié)點(GGSN,Gateway GPRS Support Node)給MS分配用戶IP地址�。
b、GGSN通過一個新定義的Gi接口將用戶IP地址和對應(yīng)的MS的IMSI或MSISDN通知IMS網(wǎng)絡(luò)的歸屬用戶服務(wù)器(HSS���,Home Subscriber Server)����,由HSS進行保存�。
c、MS向IMS網(wǎng)絡(luò)的服務(wù)呼叫會話控制功能(S-CSCF��,Serving Call SessionControl Function)發(fā)起注冊請求�����,注冊請求消息中帶有IMS私有用戶標(biāo)識(IMPI����,IM Private Identity)和MS的接入IP地址�。
IMPI是MS自身具有的參數(shù),且注冊請求消息帶有該參數(shù)�。
d、S-CSCF根據(jù)接收到的IMPI向HSS查詢與之對應(yīng)的IMSI或MSISDN����,進而查找到對應(yīng)的用戶IP地址����。
在MS開戶時�,HSS保存用戶的IMSI或MSISDN和IMPI,并建立IMSI或MSISDN和IMPI的對應(yīng)關(guān)系。
e、S-CSCF判斷注冊請求消息中攜帶的MS的接入IP地址和步驟d中查到的HSS保存的對應(yīng)用戶IP地址是否一致��,若是�,判定鑒權(quán)通過、MS注冊成功�;否則����,判定鑒權(quán)沒通過、MS注冊失敗���。
這種簡單地使用用戶IP地址對用戶進行合法性判斷的方法只是一種很初級的安全措施��,實際上沒有執(zhí)行任何鑒權(quán)算法�����,非法終端只要使用與HSS中保存的用戶IP地址相同的IP地址發(fā)起注冊請求��,且在請求消息中帶有與該IP地址對應(yīng)的IMPI����,就可以很容易地接入IMS網(wǎng)絡(luò),這樣會對被假冒的用戶造成經(jīng)濟損失���;另外��,IMS網(wǎng)絡(luò)要求MS的接入IP地址必須為公網(wǎng)IP地址�,若是私網(wǎng)IP地址����,那么IMS網(wǎng)絡(luò)會對其進行地址轉(zhuǎn)換,轉(zhuǎn)換后的地址與MS的接入IP地址不同�����,這樣HSS查找對應(yīng)關(guān)系就會失敗�����,從而MS注冊失敗�����,所以該方法要求接入IP地址必須為公網(wǎng)IP地址�����,在現(xiàn)有IP地址資源有限的情況下��,其應(yīng)用會受到限制�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種IMS網(wǎng)絡(luò)鑒權(quán)系統(tǒng)及方法���,以實現(xiàn)IMS網(wǎng)絡(luò)對只支持傳統(tǒng)鑒權(quán)算法的MS進行鑒權(quán)��,以避免用戶的經(jīng)濟損失���,同時保證MS鑒權(quán)成功。
為達到上述目的�����,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的
一種IP多媒體子系統(tǒng)IMS網(wǎng)絡(luò)鑒權(quán)系統(tǒng)���,包括移動臺MS和IMS網(wǎng)絡(luò)�,進一步包括歸屬位置寄存器HLR����,且在IMS網(wǎng)絡(luò)增加一個支持鑒權(quán)相關(guān)信令的接口��,所述IMS網(wǎng)絡(luò)通過所述接口連接到所述HLR��,其中��,HLR用于在接收到IMS網(wǎng)絡(luò)的鑒權(quán)請求消息后�,進行鑒權(quán)計算�����,將鑒權(quán)計算結(jié)果和鑒權(quán)必要參數(shù)發(fā)送給IMS網(wǎng)絡(luò)���;MS進一步用于接收IMS網(wǎng)絡(luò)發(fā)送來的鑒權(quán)必要參數(shù)�,進行鑒權(quán)計算�����,并將鑒權(quán)計算結(jié)果發(fā)送給IMS網(wǎng)絡(luò)�����;IMS網(wǎng)絡(luò)進一步用于轉(zhuǎn)發(fā)鑒權(quán)必要參數(shù)���,并比較來自HLR和MS的鑒權(quán)計算結(jié)果�,若兩者一致�,判定鑒權(quán)成功;否則���,判定鑒權(quán)失敗��。
所述IMS網(wǎng)絡(luò)包括呼叫會話控制功能CSCF用于在接收到MS的注冊請求消息后�����,向歸屬用戶服務(wù)器HSS獲取鑒權(quán)集�����,并將HSS發(fā)送來的鑒權(quán)必要參數(shù)傳遞給MS�����,同時用于接收并保存HLR的鑒權(quán)計算結(jié)果以及接收MS的鑒權(quán)計算結(jié)果����,并將HLR和MS的鑒權(quán)計算結(jié)果進行比較�����;HSS用于在接收到CSCF獲取鑒權(quán)集的消息后,向HLR發(fā)送鑒權(quán)請求消息�����,同時用于將HLR發(fā)送來的鑒權(quán)必要參數(shù)和鑒權(quán)計算結(jié)果傳遞給CSCF��。
所述CSCF包括代理CSCF用于接收MS的注冊請求消息和鑒權(quán)計算結(jié)果����,將它們傳遞給問訊CSCF,并用于接收問訊CSCF發(fā)送來的鑒權(quán)必要參數(shù)����,將其傳遞給MS;問訊CSCF用于接收代理CSCF發(fā)送來的MS的注冊請求消息和鑒權(quán)計算結(jié)果����,將它們傳遞給服務(wù)CSCF,并用于接收服務(wù)CSCF發(fā)送來的鑒權(quán)必要參數(shù)����,將其傳遞給代理CSCF;服務(wù)CSCF用于在接收到問訊CSCF傳遞來的MS的注冊請求消息后向HSS獲取鑒權(quán)集�����,并用于接收HSS發(fā)送來的鑒權(quán)必要參數(shù)���,將其傳遞給問訊CSCF���,同時用于接收和保存HSS傳遞來的HLR的鑒權(quán)計算結(jié)果以及接收問訊CSCF傳遞來的MS的鑒權(quán)計算結(jié)果,然后將HLR和MS的鑒權(quán)計算結(jié)果進行比較�。
一種在IMS網(wǎng)絡(luò)鑒權(quán)系統(tǒng)中進行的IMS網(wǎng)絡(luò)鑒權(quán)方法,所述系統(tǒng)包括MS�����、HLR和IMS網(wǎng)絡(luò)���,該方法包括A�、IMS網(wǎng)絡(luò)接收到MS發(fā)送的注冊請求消息后向HLR獲取鑒權(quán)集�����,HLR進行鑒權(quán)計算����,將鑒權(quán)計算結(jié)果和鑒權(quán)必要參數(shù)發(fā)送給IMS網(wǎng)絡(luò)�,IMS網(wǎng)絡(luò)保存該鑒權(quán)計算結(jié)果��,并將鑒權(quán)必要參數(shù)發(fā)送給MS��;B�、MS得到鑒權(quán)必要參數(shù)后,進行鑒權(quán)計算���,并將鑒權(quán)計算結(jié)果發(fā)送給IMS網(wǎng)絡(luò)�����;C����、IMS網(wǎng)絡(luò)比較MS和HLR發(fā)送來的鑒權(quán)計算結(jié)果�,若一致,判定鑒權(quán)成功�����;否則��,判定鑒權(quán)失敗。
所述IMS網(wǎng)絡(luò)包括CSCF和HSS��,其中步驟A所述IMS網(wǎng)絡(luò)接收到MS發(fā)送的注冊請求消息為CSCF接收��,步驟A所述HLR將鑒權(quán)計算結(jié)果和鑒權(quán)必要參數(shù)發(fā)送給IMS網(wǎng)絡(luò)為向HSS發(fā)送����,步驟A所述IMS網(wǎng)絡(luò)保存鑒權(quán)計算結(jié)果為HSS保存���,步驟B所述MS將鑒權(quán)計算結(jié)果發(fā)送給IMS網(wǎng)絡(luò)為發(fā)送給CSCF����,同時�����,步驟C所述比較MS和HLR發(fā)送來的鑒權(quán)計算結(jié)果是在CSCF中進行的���。
所述進行鑒權(quán)計算采用CDMA系統(tǒng)的CAVE算法��。
步驟A所述HLR自身保存的參數(shù)或步驟B所述MS自身保存的參數(shù)包括共享加密數(shù)據(jù)SSD���。
所述方法進一步包括更新SSD的步驟,所述更新SSD的步驟包括a、HLR向IMS網(wǎng)絡(luò)發(fā)起SSD更新請求����,請求消息中帶有鑒權(quán)隨機數(shù)、鑒權(quán)計算結(jié)果和SSD更新隨機數(shù)����,IMS網(wǎng)絡(luò)接收到更新請求后保存HLR的鑒權(quán)計算結(jié)果,然后給MS發(fā)送要求重新注冊的消息���,并將SSD更新隨機數(shù)發(fā)送給MS�;
b���、MS根據(jù)自身產(chǎn)生的基站查詢隨機數(shù)計算并保存基站查詢結(jié)果��,然后向IMS網(wǎng)絡(luò)發(fā)起注冊請求�����,請求消息中帶有基站查詢隨機數(shù)���,IMS網(wǎng)絡(luò)接收到消息后要求HLR進行基站查詢,HLR根據(jù)基站查詢隨機數(shù)計算基站查詢結(jié)果�,將該結(jié)果通過HSS返回給MS�;c�����、MS判斷自身計算得到的基站查詢結(jié)果和HLR返回的基站查詢結(jié)果是否一致�����,若是��,根據(jù)SSD更新隨機數(shù)更新SSD��,并根據(jù)此SSD和鑒權(quán)隨機數(shù)計算鑒權(quán)計算結(jié)果�����,將鑒權(quán)計算結(jié)果發(fā)送給IMS網(wǎng)絡(luò)����;d�、IMS網(wǎng)絡(luò)判斷MS和HLR的發(fā)送來的鑒權(quán)計算結(jié)果是否一致,若是��,通知HLR�,HLR更新自身的SSD;否則,本流程結(jié)束���。
步驟a所述IMS網(wǎng)絡(luò)將更新隨機數(shù)發(fā)送給MS是通過IMS網(wǎng)絡(luò)的HSS發(fā)送給IMS網(wǎng)絡(luò)的CSCF的注銷消息攜帶的�,然后由CSCF傳遞給MS�����。
步驟a所述IMS網(wǎng)絡(luò)將更新隨機數(shù)發(fā)送給MS是通過IMS網(wǎng)絡(luò)的HSS給IMS網(wǎng)絡(luò)的CSCF發(fā)送的多媒體鑒權(quán)響應(yīng)消息攜帶的��,然后由CSCF傳遞給MS��,同時�,所述步驟a在IMS網(wǎng)絡(luò)給MS發(fā)送要求重新注冊的消息之后、給MS發(fā)送更新隨機數(shù)之前進一步包括���,MS向CSCF發(fā)送注冊請求消息�,CSCF接收到該消息后向HSS發(fā)送MAR消息���,然后HSS將更新隨機數(shù)通過MAA消息發(fā)送給CSCF�。
所述進行鑒權(quán)計算采用GSM系統(tǒng)的A3或A8算法�。
與現(xiàn)有技術(shù)相比,本發(fā)明對原有電路域的網(wǎng)絡(luò)設(shè)備沒有改動���,只通過在IMS網(wǎng)絡(luò)增加一個支持鑒權(quán)相關(guān)信令的接口���,將HLR發(fā)送來的鑒權(quán)相關(guān)參數(shù)轉(zhuǎn)換為IMS網(wǎng)絡(luò)自身支持的參數(shù)��,使得傳統(tǒng)鑒權(quán)算法所需參數(shù)能夠在IMS網(wǎng)絡(luò)上傳遞���,而鑒權(quán)算法仍然在MS和HLR上實現(xiàn),不需IMS網(wǎng)絡(luò)實體支持傳統(tǒng)鑒權(quán)算法��,實現(xiàn)簡單���,同時本發(fā)明與MS的接入IP地址無關(guān)�����,通過傳統(tǒng)鑒權(quán)算法實現(xiàn)IMS網(wǎng)絡(luò)的鑒權(quán),保證了鑒權(quán)的可靠性和成功率�。
圖1為IMS網(wǎng)絡(luò)對GPRS用戶進行鑒權(quán)的Early IMS過程示意圖;圖2為本發(fā)明提供的IMS網(wǎng)絡(luò)鑒權(quán)系統(tǒng)的組成圖��;圖3是本發(fā)明提供的IMS網(wǎng)絡(luò)對只支持UIM卡的CDMA用戶進行鑒權(quán)的流程圖�����;圖4為網(wǎng)絡(luò)側(cè)發(fā)起的SSD更新的具體實施例一的流程圖;圖5為網(wǎng)絡(luò)側(cè)發(fā)起的SSD更新的具體實施例二的流程圖����;圖6為本發(fā)明提供的IMS網(wǎng)絡(luò)對只支持SIM卡的GSM用戶進行鑒權(quán)的流程圖。
具體實施例方式
下面結(jié)合附圖及具體實施例對本發(fā)明再作進一步詳細的說明�。
圖2是本發(fā)明提供的IMS網(wǎng)絡(luò)鑒權(quán)系統(tǒng)的組成圖,如圖2所示����,該系統(tǒng)主要包括MS用于向IMS網(wǎng)絡(luò)發(fā)送注冊請求消息,在本系統(tǒng)中進一步用于接收IMS網(wǎng)絡(luò)發(fā)送來的鑒權(quán)必要參數(shù)�����,并將自身計算出的鑒權(quán)計算結(jié)果發(fā)送給IMS網(wǎng)絡(luò)���。
HLR在本系統(tǒng)中進一步用于在接收到IMS網(wǎng)絡(luò)的鑒權(quán)請求消息后�����,將自身保存的鑒權(quán)必要參數(shù)和自身計算出的鑒權(quán)計算結(jié)果發(fā)送給IMS網(wǎng)絡(luò)��。
HLR屬于電路域的設(shè)備�����,在本發(fā)明中與IMS網(wǎng)絡(luò)和MS一起共同實現(xiàn)IMS網(wǎng)絡(luò)的鑒權(quán)��。
IMS網(wǎng)絡(luò)用于接收MS的注冊請求消息�,在本系統(tǒng)中進一步用于在接收到MS的注冊請求消息后向HLR發(fā)起鑒權(quán)請求,并將HLR發(fā)送來的鑒權(quán)必要參數(shù)傳遞給MS���,同時用于接收和保存HLR的鑒權(quán)計算結(jié)果以及接收MS的鑒權(quán)計算結(jié)果�����,并將HLR和MS的鑒權(quán)計算結(jié)果進行比較��。
IMS網(wǎng)絡(luò)主要包括
CSCF用于接收MS的注冊請求消息����,在本系統(tǒng)中進一步用于在接收到MS的注冊請求消息后向HSS獲取鑒權(quán)集�����,并將HSS發(fā)送來的鑒權(quán)必要參數(shù)傳遞給MS�,同時用于接收并保存HSS發(fā)送來的HLR的鑒權(quán)計算結(jié)果以及接收MS的鑒權(quán)計算結(jié)果�����,并將HLR和MS的鑒權(quán)計算結(jié)果進行比較。
HSS在本系統(tǒng)中進一步用于在接收到CSCF獲取鑒權(quán)集的消息后���,向HLR發(fā)送鑒權(quán)請求消息���,同時用于將HLR發(fā)送來的鑒權(quán)必要參數(shù)和鑒權(quán)計算結(jié)果傳遞給CSCF。
其中��,CSCF主要包括代理CSCF(P-CSCF)用于接收MS的注冊請求消息���,將其傳遞給I-CSCF���,在本系統(tǒng)中進一步用于接收I-CSCF發(fā)送來的鑒權(quán)必要參數(shù),將其傳遞給MS��,同時用于接收MS的鑒權(quán)計算結(jié)果�,將其傳遞給I-CSCF。
I-CSCF用于接收P-CSCF傳遞來的MS的注冊請求消息��,將其傳遞給S-CSCF����,在本系統(tǒng)中進一步用于接收S-CSCF發(fā)送來的鑒權(quán)必要參數(shù),將其傳遞給P-CSCF�����,并接收MS的鑒權(quán)計算結(jié)果,將其傳遞給S-CSCF����。
S-CSCF用于接收I-CSCF傳遞來的MS的注冊請求消息,在本系統(tǒng)中進一步用于在接收到MS的注冊請求消息后向HSS獲取鑒權(quán)集����,并用于接收HSS發(fā)送來的鑒權(quán)必要參數(shù),將其傳遞給I-CSCF�,并接收和保存HSS傳遞來的HLR的鑒權(quán)計算結(jié)果以及接收MS的鑒權(quán)計算結(jié)果,然后將HLR和MS的鑒權(quán)計算結(jié)果進行比較���。
由圖2可以看出�,本發(fā)明需要在IMS網(wǎng)絡(luò)的HSS上新增加一個網(wǎng)絡(luò)接口�����,該接口上運行MAP信令�,遵循MAP協(xié)議,以與電路域的歸屬位置寄存器(HLR����,Home Location Register)進行鑒權(quán)相關(guān)信令和數(shù)據(jù)的交換,從而在IMS域?qū)崿F(xiàn)傳統(tǒng)鑒權(quán)算法��。通過這個接口�,HSS充當(dāng)電路域拜訪位置寄存器(VLR,Visitor Location Register)的地位���。
對于CDMA系統(tǒng)���,該新增接口遵循CDMA的MAP協(xié)議TIA/EIA-41D;對于GSM系統(tǒng)�,該新增接口遵循GSM的MAP協(xié)議TS 29.002。
要在IMS域?qū)崿F(xiàn)傳統(tǒng)鑒權(quán)算法��,IMS網(wǎng)絡(luò)必須能夠傳遞實現(xiàn)算法的關(guān)鍵參數(shù)�����,具體實現(xiàn)過程是一��、對于CDMA系統(tǒng)�����,其UIM卡支持的傳統(tǒng)鑒權(quán)算法即CAVE算法中的關(guān)鍵參數(shù)有鑒權(quán)密鑰(A_Key)、電子序列號(ESN����,Electronic Serial Number)、IMSI和一個隨機數(shù)Rand�����,其中1�����、A_Key在MS和HLR中已經(jīng)存在���,不需要也不允許在IMS網(wǎng)絡(luò)中傳遞�����。
2����、ESN和IMSI可在MS開戶時保存在IMS網(wǎng)絡(luò)的HSS中����,并與用戶的IMPI建立起一一對應(yīng)關(guān)系��。當(dāng)用戶發(fā)起鑒權(quán)流程時����,HSS根據(jù)用戶的IMPI查找到對應(yīng)ESN和IMSI填入到發(fā)送給HLR的鑒權(quán)消息中����。
3���、Rand參數(shù)在IMS網(wǎng)絡(luò)支持的會話發(fā)起協(xié)議(SIP��,Session InitiationProtocol)中已有對應(yīng)參數(shù)����。
二�、對于GSM系統(tǒng),其SIM卡支持的傳統(tǒng)鑒權(quán)算法即A3/A8算法中的關(guān)鍵參數(shù)有鑒權(quán)密鑰(Ki)��、IMSI和一個隨機數(shù)Rand���,其中1�����、Ki在MS和HLR中已經(jīng)存在��,不需要也不允許在IMS網(wǎng)絡(luò)中傳遞�����。
2�、IMSI可在MS開戶時保存在IMS網(wǎng)絡(luò)的HSS中,并與用戶的IMPI建立起一一對應(yīng)關(guān)系����。當(dāng)用戶發(fā)起鑒權(quán)流程時,HSS根據(jù)用戶的IMPI查找到對應(yīng)IMSI填入到發(fā)送給HLR的鑒權(quán)消息中�。
3、Rand在IMS網(wǎng)絡(luò)支持的SIP中已有對應(yīng)參數(shù)�。
通過上述過程,傳統(tǒng)鑒權(quán)算法的關(guān)鍵參數(shù)已經(jīng)具備在IMS網(wǎng)絡(luò)中傳遞的基礎(chǔ)�。
需要注意的是,在CDMA系統(tǒng)中�����,A_Key并不直接參與CAVE算法�����,而是由其生成的共享加密數(shù)據(jù)SSD(SSD,Shared Secret Data)參與CAVE算法��。
以下是本發(fā)明提供的IMS網(wǎng)絡(luò)鑒權(quán)方法的具體實施例����,為便于理解,將具體實施例中的信令消息羅列如下SIP信令注冊請求消息(REGISTER)����,401 Unauthorized消息���,200 OK消息�,403 Forbidden消息�����,NOTIFY消息�;
Diameter信令多媒體鑒權(quán)消息(MAR),多媒體鑒權(quán)響應(yīng)消息(MAA)���,SAR�,SAA�����,注銷消息(RTR),注銷響應(yīng)消息(RTA)�;MAP信令鑒權(quán)請求消息(AUTHREQ),鑒權(quán)請求響應(yīng)消息(authreq)����,鑒權(quán)狀態(tài)報告消息(ASREPORT),鑒權(quán)狀態(tài)報告響應(yīng)消息(asreport)�����,基站查詢消息(BSCHALL)��,基站查詢響應(yīng)消息(bschall)���,鑒權(quán)指示消息(AUTHDIR)�����,鑒權(quán)指示響應(yīng)消息(authdir)��,鑒權(quán)請求消息(MAP_SEND_AUTHENTICATION_INFO Request)��,鑒權(quán)請求響應(yīng)消息(MAP_SEND_AUTHENTICATION_INFO Response)��。
在以下描述中提到的MS向S-CSCF發(fā)送的消息都是經(jīng)P-CSCF和I-CSCF傳遞給S-CSCF的��,同樣S-CSCF向MS發(fā)送的消息都是經(jīng)I-CSCF和P-CSCF傳遞給MS的��。
圖3是本發(fā)明提供的IMS網(wǎng)絡(luò)對只支持UIM卡的CDMA用戶進行鑒權(quán)的流程圖��,如圖3所示�,具體步驟如下aMS通過REGISTER消息向IMS網(wǎng)絡(luò)的S-CSCF發(fā)起注冊請求,消息中帶有參數(shù)IMPI����。
bS-CSCF接收到REGISTER消息后���,向HSS發(fā)送MAR消息以獲取鑒權(quán)集���,消息中帶有參數(shù)IMPI。
cHSS接收到MAR消息��,通過該消息攜帶的IMPI檢索到對應(yīng)的ESN和IMSI���,然后向HLR發(fā)送AUTHREQ消息�,消息中帶有參數(shù)IMSI和ESN��,但不帶有鑒權(quán)計算結(jié)果參數(shù)AUTHR。
dHLR接收到AUTHREQ消息后����,由于AUTHREQ消息中不帶AUTHR參數(shù),HLR根據(jù)自身保存的參數(shù)SSD和隨機數(shù)RANDU以及AUTHREQ消息攜帶的參數(shù)ESN和IMSI����,計算出獨特查詢結(jié)果AUTHU,然后給HSS返回authreq響應(yīng)消息以指示HSS發(fā)起獨特查詢請求�����,消息中帶有鑒權(quán)集參數(shù)獨特查詢隨機數(shù)RANDU和獨特查詢結(jié)果參數(shù)AUTHU���。
eHSS接收到authreq響應(yīng)消息后���,將該消息攜帶的鑒權(quán)集參數(shù)RANDU和AUTHU進行轉(zhuǎn)換,分別映射為IMS域的鑒權(quán)集參數(shù)RAND和XRES��,并將它們通過MAA消息返回給S-CSCF���。
fS-CSCF接收到MAA消息��,保存HLR的獨特查詢結(jié)果XRES���,并給MS返回401 Unauthorized響應(yīng)消息以指示MS進行鑒權(quán)�����,消息中帶有參數(shù)RAND�。
gMS得到RAND之后�����,結(jié)合自身保存的參數(shù)SSD以及ESN和IMSI����,通過CAVE算法計算出鑒權(quán)計算結(jié)果,填入SIP信令的RES參數(shù)中��,并通過新的REGISTER消息通知IMS網(wǎng)絡(luò)的S-CSCF��。
hS-CSCF判斷MS返回的鑒權(quán)計算結(jié)果RES和HLR生成的獨特查詢結(jié)果XRES是否一致�,若是���,認(rèn)為鑒權(quán)通過�,通過SAR消息向HSS報告并要求下載用戶數(shù)據(jù),執(zhí)行步驟i�����;否則��,認(rèn)為鑒權(quán)沒通過�,向HSS發(fā)送MAR消息通知HSS鑒權(quán)失敗,并給MS返回403 Forbidden響應(yīng)消息��,本流程結(jié)束���。
iHSS接收到SAR消息后���,向HLR發(fā)送ASREPORT消息,消息中的參數(shù)獨特查詢報告UCREPORT=SUCCESS以表明獨特查詢成功��。
jHLR接收到ASREPORT消息后�����,返回給HSS一個不帶任何參數(shù)的asreport消息�,以表明鑒權(quán)通過。
kHSS接收到asreport消息�����,更新用戶狀態(tài)信息,并通過SAA消息給S-CSCF返回用戶簽約數(shù)據(jù)���。
lS-CSCF接收到SAA消息給MS返回200 OK響應(yīng)消息��,表明用戶注冊成功�。
由于CAVE算法中�����,A_Key并不直接參與運算�����,而是由通過A_Key計算出的SSD來參與運算��,而MS和HLR中的SSD是有可能會出現(xiàn)不一致的情況����,因此網(wǎng)絡(luò)側(cè)需要發(fā)起SSD的更新流程��。
圖4是網(wǎng)絡(luò)側(cè)主動發(fā)起SSD更新的具體實施例一的流程圖��,如圖4所示,其具體步驟如下aHLR通過AUTHDIR消息向HSS發(fā)起SSD更新請求����,消息中帶有SSD更新的隨機數(shù)RANDSSD以及獨特查詢隨機數(shù)RANDU和獨特查詢結(jié)果AUTHU。
bHSS接收到AUTHDIR消息后�����,保存獨特查詢隨機數(shù)RANDU和獨特查詢操作結(jié)果AUTHU�����,并通過RTR消息通知S-CSCF注銷用戶����,RTR中帶有HLR上報的參數(shù)RANDSSD。
RTR是由DIAMETER協(xié)議制定的消息���,在這里�����,需擴展DIAMETER協(xié)議����,在RTR中增加RANDSSD參數(shù)。
cS-CSCF接收到RTR消息后�,通過NOTIFY消息通知MS進行重注冊,消息中的參數(shù)Require=SSDUpdate用以指示MS發(fā)起SSD更新����,且消息中帶有SSD更新隨機數(shù)RANDSSD,其中���,Authorization=RANDSSD�����。
dMS給S-CSCF返回200 OK響應(yīng)消息���。
eS-CSCF給HSS返回RTA響應(yīng)消息,RTA消息是步驟b中RTR消息的響應(yīng)消息���。
fHSS給HLR返回不帶任何參數(shù)的authdir響應(yīng)消息��,authdir消息是步驟a中AUTHDIR消息的響應(yīng)消息��。
g由于網(wǎng)絡(luò)要求MS進行SSD更新��,MS會先對網(wǎng)絡(luò)進行鑒權(quán)��,MS產(chǎn)生一個基站查詢隨機數(shù)RANDBS���,根據(jù)此隨機數(shù)和自身保存的SSD、ESN和IMSI���,通過CAVE算法計算出一個基站查詢結(jié)果��,并保存該結(jié)果����,然后通過REGISTER消息向S-CSCF發(fā)起重注冊請求�����,消息中帶有參數(shù)IMPI���,同時帶有基站查詢隨機數(shù)RANDBS�����,以指示IMS網(wǎng)絡(luò)進行基站查詢�����。
hS-CSCF接收到帶有RANDBS的REGISTER消息��,通過MAR消息將RANDBS發(fā)送給HSS�����,消息中同時帶有參數(shù)IMPI�����,并且在消息中通過參數(shù)SIP-Authentication-Scheme指示HSS發(fā)起基站查詢���,其中�����,SIP-Authorization=RANDBS��。
iHSS接收到MAR消息后����,根據(jù)IMPI查找到對應(yīng)的ESN和IMSI���,然后向HLR發(fā)送BSCHALL消息��,消息中帶有參數(shù)ESN�、IMSI和RANDBS。
jHLR根據(jù)自身保存的參數(shù)SSD以及BSCHALL消息攜帶的參數(shù)ESN�����、IMSI和RANDBS���,通過CAVE算法計算得到基站查詢結(jié)果AUTHBS,將該結(jié)果通過bschall響應(yīng)消息返回給HSS���。
kHSS接收到bschall響應(yīng)消息��,通過MAA消息向S-CSCF返回基站查詢結(jié)果AUTHBS��,消息中同時帶有獨特查詢隨機數(shù)RANDU和獨特查詢結(jié)果AUTHU���,以要求S-CSCF同時對MS進行獨特查詢。
lS-CSCF接收到MAA消息后���,保存HLR的獨特查詢結(jié)果AUTHU��,并向MS返回401 Unauthorized響應(yīng)消息�����,消息中帶有基站查詢結(jié)果AUTHBS��,同時帶有獨特查詢隨機數(shù)RANDU以告知MS在SSD更新完畢之后需要進行獨特查詢���。
mMS判斷HLR計算出的基站查詢結(jié)果AUTHBS是否與步驟d中自身計算得到的基站查詢結(jié)果相匹配����,若是���,則根據(jù)A_Key����、RANDSSD��、ESN和IMSI通過CAVE算法更新MS中的SSD���,然后用新的SSD執(zhí)行獨特查詢操作�,通過CAVE算法計算出獨特查詢結(jié)果AUTHU��,在新發(fā)送的REGISTER消息中帶給S-CSCF,執(zhí)行步驟n�����;否則����,認(rèn)為鑒權(quán)沒通過,本流程結(jié)束�。
在這里��,在MS判定HLR計算出的基站查詢結(jié)果AUTHBS與步驟d中自身計算得到的基站查詢結(jié)果不匹配時�,MS也可能重新通過REGISTER消息向IMS網(wǎng)絡(luò)發(fā)起注冊請求,消息中不攜帶鑒權(quán)計算結(jié)果以表明網(wǎng)絡(luò)鑒權(quán)沒通過���、需要重新進行鑒權(quán)��。
nS-CSCF判斷MS上報的AUTHU和步驟k中HSS上報的AUTHU是否一致����,若是����,則表示獨特查詢通過,S-CSCF向HSS發(fā)送SAR消息以表明鑒權(quán)成功并取用戶數(shù)據(jù),執(zhí)行步驟o��;否則�,S-CSCF向HSS發(fā)送MAR消息以表明鑒權(quán)失敗,并給MS返回403 Forbidden消息�����,本流程結(jié)束��。
oHSS接收到SAR消息后�����,通過ASREPORT消息將獨特查詢成功和SSD更新成功的結(jié)果報告給HLR��,其中參數(shù)獨特查詢結(jié)果報告UCREPORT=SUCCESS表示獨特查詢成功�,SSD更新結(jié)果報告SSDUPRPT=SUCCESS表示SSD更新成功。
pHLR接收到ASREPORT消息��,認(rèn)為SSD更新成功�,刷新自身保存的SSD,然后給HSS返回不帶任何參數(shù)的asreport響應(yīng)消息�����,表示鑒權(quán)過程結(jié)束。
在這里�,HLR已經(jīng)根據(jù)自身保存的A_Key、RANDSSD以及ESN和IMSI計算出SSD�����。
qHSS接收到asreport響應(yīng)消息��,更新用戶狀態(tài)信息��,并通過SAA消息給S-CSCF返回用戶簽約數(shù)據(jù)�����。
rS-CSCF接收到SAA消息給MS返回200 OK響應(yīng)����,表明用戶注冊成功���。
在SSD更新的流程中����,也可以不擴展DIAMETER協(xié)議��,即在圖4所示流程圖的步驟b中的RTR消息中不攜帶告知MS需要進行SSD更新的參數(shù)RANDSSD,而是在MS發(fā)起重注冊時通過401 Unauthorized消息來告知��,圖5為本實施例的流程圖�,如圖5所示,具體步驟如下步驟a����、d~f與圖4的對應(yīng)步驟相同。
步驟b改為HSS接收到AUTHDIR消息后����,通過RTR消息通知CSCF的S-CSCF注銷用戶,消息中不需帶有RANDSSD�����。
步驟c的NOTIFY消息不帶有參數(shù)RANDSSD�。
在這里,NOTIFY消息中的參數(shù)RANDSSD是可選的���。
步驟g~j為gMS通過REGISTER消息向S-CSCF發(fā)起注冊請求����,消息中帶有IMPI參數(shù)�����。
hS-CSCF接收到REGISTER消息,向HSS發(fā)送MAR消息以獲取鑒權(quán)集����,消息中帶有IMPI參數(shù)。
iHSS接收到MAR消息后�,向S-CSCF發(fā)送MAA消息,消息中帶有參數(shù)RANDSSD以指示S-CSCF對MS發(fā)起SSD更新流程����。
jS-CSCF接收到MAA消息,向MS發(fā)送401 Unauthorized消息���,消息中帶有參數(shù)RANDSSD以通知MS發(fā)起SSD更新流程�����。
步驟k~v與圖4的步驟g~r相同。
在IMS網(wǎng)絡(luò)實現(xiàn)對只支持SIM卡的GSM用戶進行鑒權(quán)的流程��,即如圖6所示與圖3基本相似���,不同之處在于1�、由于GSM的傳統(tǒng)鑒權(quán)算法A3/A8算法中的關(guān)鍵參數(shù)不包括ESN,所以步驟c中HSS接收到MAR消息后�,通過該消息攜帶的IMPI檢索到的是對應(yīng)的IMSI,向HLR發(fā)送MAP_SEND_AUTHENTICATION_INFO Request消息����,消息中只需帶有參數(shù)IMSI。
GSM系統(tǒng)的鑒權(quán)請求消息和鑒權(quán)請求響應(yīng)消息與CDMA系統(tǒng)的不同�。
2、步驟d中HLR給HSS返回MAP_SEND_AUTHENTICATION_INFOResponse消息��,消息中帶有的獨特查詢結(jié)果參數(shù)為SRES�����,而不是AUTHU�����,獨特查詢隨機數(shù)為RAND�,而不是RANDU。
3�����、步驟e中HSS接收到MAP_SEND_AUTHENTICATION_INFO Response消息后��,只將該消息攜帶的鑒權(quán)集參數(shù)SRES映射為IMS域的鑒權(quán)集參數(shù)XRES即可,這是因為在GSM系統(tǒng)中獨特查詢隨機數(shù)RAND與IMS網(wǎng)絡(luò)的RAND一致��,不必再進行轉(zhuǎn)換����。
4、步驟d和g中參與鑒權(quán)算法的參數(shù)是Ki�����、IMSI和RAND���。
5���、不包括圖3所示的步驟i和j,圖6的步驟i和j分別對應(yīng)圖3的步驟k和l���,且步驟i中HSS是在接收到SAR消息后給S-CSCF返回帶有用戶簽約數(shù)據(jù)的SAA響應(yīng)消息���。
在GSM系統(tǒng)的鑒權(quán)算法A3/A8中,Ki是直接參與運算的����。
以上所述僅為本發(fā)明的過程及方法實施例,并不用以限制本發(fā)明��,凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改���、等同替換�����、改進等����,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)�����。
權(quán)利要求
1.一種IP多媒體子系統(tǒng)IMS網(wǎng)絡(luò)鑒權(quán)系統(tǒng)�����,包括移動臺MS和IMS網(wǎng)絡(luò)���,其特征在于�����,進一步包括歸屬位置寄存器HLR�,且在IMS網(wǎng)絡(luò)增加一個支持鑒權(quán)相關(guān)信令的接口,所述IMS網(wǎng)絡(luò)通過所述接口連接到所述HLR��,其中��,HLR用于在接收到IMS網(wǎng)絡(luò)的鑒權(quán)請求消息后���,進行鑒權(quán)計算�����,將鑒權(quán)計算結(jié)果和鑒權(quán)必要參數(shù)發(fā)送給IMS網(wǎng)絡(luò)�����;MS進一步用于接收IMS網(wǎng)絡(luò)發(fā)送來的鑒權(quán)必要參數(shù)����,進行鑒權(quán)計算��,并將鑒權(quán)計算結(jié)果發(fā)送給IMS網(wǎng)絡(luò)���;IMS網(wǎng)絡(luò)進一步用于轉(zhuǎn)發(fā)鑒權(quán)必要參數(shù)��,并比較來自HLR和MS的鑒權(quán)計算結(jié)果�,若兩者一致�,判定鑒權(quán)成功;否則��,判定鑒權(quán)失敗���。
2.如權(quán)利要求1所述的系統(tǒng)���,其特征在于,所述IMS網(wǎng)絡(luò)包括呼叫會話控制功能CSCF用于在接收到MS的注冊請求消息后����,向歸屬用戶服務(wù)器HSS獲取鑒權(quán)集,并將HSS發(fā)送來的鑒權(quán)必要參數(shù)傳遞給MS���,同時用于接收并保存HLR的鑒權(quán)計算結(jié)果以及接收MS的鑒權(quán)計算結(jié)果���,并將HLR和MS的鑒權(quán)計算結(jié)果進行比較;HSS用于在接收到CSCF獲取鑒權(quán)集的消息后��,向HLR發(fā)送鑒權(quán)請求消息,同時用于將HLR發(fā)送來的鑒權(quán)必要參數(shù)和鑒權(quán)計算結(jié)果傳遞給CSCF�。
3.如權(quán)利要求2所述的系統(tǒng),其特征在于���,所述CSCF包括代理CSCF用于接收MS的注冊請求消息和鑒權(quán)計算結(jié)果����,將它們傳遞給問訊CSCF����,并用于接收問訊CSCF發(fā)送來的鑒權(quán)必要參數(shù),將其傳遞給MS����;問訊CSCF用于接收代理CSCF發(fā)送來的MS的注冊請求消息和鑒權(quán)計算結(jié)果,將它們傳遞給服務(wù)CSCF�,并用于接收服務(wù)CSCF發(fā)送來的鑒權(quán)必要參數(shù),將其傳遞給代理CSCF�;服務(wù)CSCF用于在接收到問訊CSCF傳遞來的MS的注冊請求消息后向HSS獲取鑒權(quán)集,并用于接收HSS發(fā)送來的鑒權(quán)必要參數(shù)��,將其傳遞給問訊CSCF�,同時用于接收和保存HSS傳遞來的HLR的鑒權(quán)計算結(jié)果以及接收問訊CSCF傳遞來的MS的鑒權(quán)計算結(jié)果,然后將HLR和MS的鑒權(quán)計算結(jié)果進行比較�。
4.一種在IMS網(wǎng)絡(luò)鑒權(quán)系統(tǒng)中進行的IMS網(wǎng)絡(luò)鑒權(quán)方法�,所述系統(tǒng)包括MS���、HLR和IMS網(wǎng)絡(luò)��,其特征在于��,該方法包括A、IMS網(wǎng)絡(luò)接收到MS發(fā)送的注冊請求消息后向HLR獲取鑒權(quán)集����,HLR進行鑒權(quán)計算,將鑒權(quán)計算結(jié)果和鑒權(quán)必要參數(shù)發(fā)送給IMS網(wǎng)絡(luò)���,IMS網(wǎng)絡(luò)保存該鑒權(quán)計算結(jié)果�����,并將鑒權(quán)必要參數(shù)發(fā)送給MS���;B、MS得到鑒權(quán)必要參數(shù)后��,進行鑒權(quán)計算���,并將鑒權(quán)計算結(jié)果發(fā)送給IMS網(wǎng)絡(luò)���;C���、IMS網(wǎng)絡(luò)比較MS和HLR發(fā)送來的鑒權(quán)計算結(jié)果,若一致�����,判定鑒權(quán)成功�����;否則����,判定鑒權(quán)失敗。
5.如權(quán)利要求4所述的方法�,其特征在于,所述IMS網(wǎng)絡(luò)包括CSCF和HSS����,其中步驟A所述IMS網(wǎng)絡(luò)接收到MS發(fā)送的注冊請求消息為CSCF接收,步驟A所述HLR將鑒權(quán)計算結(jié)果和鑒權(quán)必要參數(shù)發(fā)送給IMS網(wǎng)絡(luò)為向HSS發(fā)送��,步驟A所述IMS網(wǎng)絡(luò)保存鑒權(quán)計算結(jié)果為HSS保存,步驟B所述MS將鑒權(quán)計算結(jié)果發(fā)送給IMS網(wǎng)絡(luò)為發(fā)送給CSCF��,同時���,步驟C所述比較MS和HLR發(fā)送來的鑒權(quán)計算結(jié)果是在CSCF中進行的�。
6.如權(quán)利要求4所述的方法�����,其特征在于����,所述進行鑒權(quán)計算采用CDMA系統(tǒng)的CAVE算法�����。
7.如權(quán)利要求6所述的方法�,其特征在于,步驟A所述HLR自身保存的參數(shù)或步驟B所述MS自身保存的參數(shù)包括共享加密數(shù)據(jù)SSD���。
8.如權(quán)利要求7所述的方法�����,其特征在于�����,所述方法進一步包括更新SSD的步驟�����,所述更新SSD的步驟包括a�����、HLR向IMS網(wǎng)絡(luò)發(fā)起SSD更新請求���,請求消息中帶有鑒權(quán)隨機數(shù)����、鑒權(quán)計算結(jié)果和SSD更新隨機數(shù)���,IMS網(wǎng)絡(luò)接收到更新請求后保存HLR的鑒權(quán)計算結(jié)果�����,然后給MS發(fā)送要求重新注冊的消息���,并將SSD更新隨機數(shù)發(fā)送給MS����;b�、MS根據(jù)自身產(chǎn)生的基站查詢隨機數(shù)計算并保存基站查詢結(jié)果,然后向IMS網(wǎng)絡(luò)發(fā)起注冊請求���,請求消息中帶有基站查詢隨機數(shù)�,IMS網(wǎng)絡(luò)接收到消息后要求HLR進行基站查詢���,HLR根據(jù)基站查詢隨機數(shù)計算基站查詢結(jié)果�����,將該結(jié)果通過HSS返回給MS;c�����、MS判斷自身計算得到的基站查詢結(jié)果和HLR返回的基站查詢結(jié)果是否一致�,若是,根據(jù)SSD更新隨機數(shù)更新SSD���,并根據(jù)此SSD和鑒權(quán)隨機數(shù)計算鑒權(quán)計算結(jié)果��,將鑒權(quán)計算結(jié)果發(fā)送給IMS網(wǎng)絡(luò)�����;d���、IMS網(wǎng)絡(luò)判斷MS和HLR的發(fā)送來的鑒權(quán)計算結(jié)果是否一致��,若是�,通知HLR�,HLR更新自身的SSD;否則�,本流程結(jié)束。
9.如權(quán)利要求8所述的方法��,其特征在于�����,步驟a所述IMS網(wǎng)絡(luò)將更新隨機數(shù)發(fā)送給MS是通過IMS網(wǎng)絡(luò)的HSS發(fā)送給IMS網(wǎng)絡(luò)的CSCF的注銷消息攜帶的��,然后由CSCF傳遞給MS。
10.如權(quán)利要求8所述的方法��,其特征在于��,步驟a所述IMS網(wǎng)絡(luò)將更新隨機數(shù)發(fā)送給MS是通過IMS網(wǎng)絡(luò)的HSS給IMS網(wǎng)絡(luò)的CSCF發(fā)送的多媒體鑒權(quán)響應(yīng)消息攜帶的�����,然后由CSCF傳遞給MS��,同時���,所述步驟a在IMS網(wǎng)絡(luò)給MS發(fā)送要求重新注冊的消息之后����、給MS發(fā)送更新隨機數(shù)之前進一步包括����,MS向CSCF發(fā)送注冊請求消息,CSCF接收到該消息后向HSS發(fā)送MAR消息��,然后HSS將更新隨機數(shù)通過MAA消息發(fā)送給CSCF����。
11.如權(quán)利要求4所述的方法�����,其特征在于,所述進行鑒權(quán)計算采用GSM系統(tǒng)的A3或A8算法��。
全文摘要
本發(fā)明公開了一種IMS網(wǎng)絡(luò)鑒權(quán)系統(tǒng)����,在IMS網(wǎng)絡(luò)增加一個支持鑒權(quán)相關(guān)信令的接口,系統(tǒng)包含用于進行鑒權(quán)計算的MS和HLR以及用于傳遞鑒權(quán)相關(guān)參數(shù)和比較鑒權(quán)計算結(jié)果的IMS網(wǎng)絡(luò)����。本發(fā)明同時提供了一種IMS網(wǎng)絡(luò)鑒權(quán)方法,IMS網(wǎng)絡(luò)在接收到MS發(fā)起的注冊請求后���,向HLR獲取鑒權(quán)計算結(jié)果或鑒權(quán)相關(guān)參數(shù)����,保存該鑒權(quán)計算結(jié)果并將鑒權(quán)相關(guān)參數(shù)發(fā)送給MS����,MS根據(jù)此參數(shù)計算出鑒權(quán)計算結(jié)果并將其發(fā)送給IMS網(wǎng)絡(luò),IMS網(wǎng)絡(luò)判斷MS和HLR發(fā)送的鑒權(quán)計算結(jié)果是否一致�。本發(fā)明對原有電路域的網(wǎng)絡(luò)設(shè)備沒有改動,只在IMS網(wǎng)絡(luò)上增加一個與HLR進行通信的接口,不需IMS網(wǎng)絡(luò)實體支持傳統(tǒng)鑒權(quán)算法�,實現(xiàn)簡單,且保證了鑒權(quán)的可靠性和成功率��。
文檔編號H04L9/32GK1801706SQ200510006629
公開日2006年7月12日 申請日期2005年1月7日 優(yōu)先權(quán)日2005年1月7日
發(fā)明者徐杰 申請人:華為技術(shù)有限公司