專利名稱:一種對終端用戶標識模塊進行ip多媒體域鑒權的方法
技術領域:
本發(fā)明涉及對移動終端的鑒權技術�,更確切地說是涉及一種對終端用戶標識模塊在IP多媒體(IM)域進行鑒權的方法����。
背景技術:
隨著多媒體業(yè)務的發(fā)展,目前已出現(xiàn)了針對移動終端的多媒體業(yè)務?���,F(xiàn)在為移動終端提供多媒體業(yè)務的IMS系統(tǒng)如圖1所示,該系統(tǒng)起初是在第三代網絡(3G)已有的分組域之外疊加的一個子域����,這個子域專門用于支持IP多媒體業(yè)務��。在條件成熟的情況下�����,IMS系統(tǒng)也可服務于終端局域網(WLAN)等其他方式接入的用戶�。
IMS系統(tǒng)主要由呼叫控制實體和媒體網關部件構成��,在各個部件之間主要使用會話發(fā)起協(xié)議(SIP)傳輸控制信令���。呼叫控制部件主要完成呼叫控制����、地址轉換��、計費����、隱蔽移動終端(UE)的移動性等功能,是IMS系統(tǒng)中的關鍵部件���;媒體網關部件則是為與現(xiàn)有公共開關電話網絡(PSTN)網絡兼容而引入的����。另外,IMS系統(tǒng)中的歸屬用戶服務器(HSS)是歸屬網絡中用于保存IMS用戶簽約信息的設備����。
IMS系統(tǒng)的安全包括用戶在IMS系統(tǒng)的鑒權和SIP消息的保護。IMS系統(tǒng)的安全架構如圖2所示��。其中�����,UE與歸屬網之間的鑒權及安全聯(lián)盟(SA����,Security Association)協(xié)商采用IMS鑒權密鑰協(xié)議(AKA)雙向認證機制,SIP消息的加密和完整性保護采用的是逐跳處理方式���。
具體來說��,在IMS系統(tǒng)中,為實現(xiàn)對IP多媒體(IM)用戶的鑒權�����,3GPP協(xié)議組織使用了專門的IMS用戶標識模塊(ISIM)作為用戶側的鑒權模塊���,并使用了通用移動通信系統(tǒng)(UMTS)的AKA機制��。IMS系統(tǒng)對用戶的鑒權處理過程如圖3所示���,對應以下步驟步驟301��、UE在需要使用IMS業(yè)務時�,依次通過代理-呼叫狀態(tài)控制功能(P_CSCF)及查詢-呼叫狀態(tài)控制功能(I_CSCF)將注冊請求發(fā)送給服務呼叫狀態(tài)控制功能(S_CSCF)��。
步驟302���、S_CSCF在收到注冊請求后��,如果自身存在針對該用戶的五元組鑒權向量(AV)���,則直接利用該鑒權向量對用戶進行鑒權,即進入步驟304�;如果沒有,則向HSS請求AV����。
這里,五元組AV包括隨機數(RAND)��、鑒權令牌(AUTN)、全球移動通信網使用的加密密鑰(CK)���、完整性密鑰(IK)及預期響應(XRES)�����。
步驟303���、HSS收到S_CSCF的請求后,確定五元組AV�,并發(fā)送給S_CSCF。
其中�����,HSS確定五元組AV�����,具體是由HSS自身內嵌的AUC來確定SQN�����,并根據該SQN生成相應的鑒權向量的���。
當然���,為提高效率,HSS一般會按順序向S_CSCF發(fā)送多組五元組AV�����,以便S_CSCF能夠通過一次請求獲取多組用于鑒權的五元組AV����。
步驟304、S_CSCF保留HSS發(fā)送來的五元組AV中的XRES�����,將RAND��、AUTN����、CK及IK放在鑒權考驗(Auth_Challenge)消息中,并將該消息通過I_CSCF發(fā)送給P_CSCF���。
如果HSS發(fā)送多組五元組AV��,則S_CSCF可以按順序選擇一組五元組AV�,其他五元組AV則留在針對該用戶的下一次鑒權中使用。
步驟305�、P_CSCF保留S_CSCF通過Auth_Challenge消息發(fā)送來的CK和IK,并將RAND和AUTN下發(fā)到UE�����。
如果系統(tǒng)啟動了一致性保護和保密性保護�����,則P_CSCF將在后續(xù)的會話中使用保存下來的IK和CK作為密鑰��。
步驟306����、UE將收到的RAND和AUTN發(fā)送到ISIM。
步驟307����、ISIM對收到的AUTN進行驗證,并在驗證通過后根據RAND計算響應(RES)�,然后將計算出的RES作為鑒權響應發(fā)送給UE,并由UE將該RES返回給S_CSCF,同時ISIM還根據RAND計算出IK和CK����,并將IK和CK發(fā)送給UE����。
ISIM對收到的AUTN進行驗證包括確定AUTN中包含的MAC值是否合法,以及確定AUTN中的序列號(SQN)是否可接受�����。其中�����,ISIM對SQN是否可接受的驗證即為驗證是否需要再同步�。
UE具體會通過P_CSCF和I_CSCF將RES發(fā)送給S_CSCF,并保留IK和CK��,以作為后續(xù)會話中的密鑰�����。
步驟308~309�、S_CSCF將UE發(fā)送來的鑒權響應中的RES與自身保存的XRES進行比較,如果相等,則確定鑒權通過��,并通過I_CSCF及P_CSCF向UE發(fā)送鑒權成功消息�����;否則����,確定鑒權失敗。
上述處理過程要求使用單獨的ISIM模塊完成IM域的鑒權����,也就是說,目前所設置的ISIM模塊是專門用于實現(xiàn)IM域的鑒權的�,而目前能夠用于3G的終端用戶標識模塊都是不包含ISIM模塊的�����,因此這些終端用戶標識模塊無法通過上述過程完成IM域的鑒權。比如�,目前已出現(xiàn)的針對3G的UICC卡一般只包含了用于電路交換(CS)域和包交換(PS)域鑒權的USIM模塊,這樣也就無法通過上述針對ISIM模塊的處理完成IM域的鑒權����。而HSS中沒有USIM模塊的相關數據��,因此無法確定USIM用戶鑒權所需的鑒權向量���,也就無法直接通過上述方案對USIM模塊進行鑒權。
如果將HLR中的數據集成到HSS中����,則HSS就能夠具有USIM模塊的相關數據�,因此可以確定相應的鑒權向量,顯然�,這就需要大規(guī)模地替換現(xiàn)有的HLR。但是��,目前的網絡處于初始階段��,大規(guī)模替換HLR基本上是不可能的�,更為合理的解決方案是在現(xiàn)網的基礎上疊加一個或多個專門提供IM業(yè)務的HSS,而現(xiàn)有的HLR保持不變����,繼續(xù)提供CS和PS域的業(yè)務。但按照3GPP的建議方案����,疊加的HSS需要使用ISIM進行鑒權�,原有的HLR則可以使用原來的USIM進行鑒權�。這就需要用戶將卡更換為包含ISIM模塊的卡。
同樣���,要想不對現(xiàn)網作任何更改���,且通過上述處理過程完成IM域的鑒權,則需要用戶將卡更換為包含ISIM模塊的卡��。根據目前的運營模式����,如果用戶想要升級UE,可以通過各種途徑實現(xiàn)����,包括購置新機、通過Java或者手機制造商提供的接口升級等�����,這些升級具有很強的可操作性��。但如果用戶想要換卡�,則必須到運營商授權的專門營業(yè)點進行更換����,而為保證業(yè)務的持續(xù)性���,新卡中的IMSI與舊卡中的IMSI必須保證一定的關聯(lián)性�����,比如���,必須歸屬同一個HLR���,因此��,換卡在實際操作時必然非常繁瑣���。
另外,即使HSS中存有USIM模塊的相關數據�����,并且可以確定USIM用戶鑒權所需的鑒權向量��,仍然會有其他的問題一個USIM模塊同時為多個域鑒權會引起再同步問題。所謂再同步是指USIM模塊中保存了SQNMS�����,如果HSS/HLR下發(fā)的五元組中的SQN比USIM模塊中保存的SQNMS舊�����,而下發(fā)的SQN是以HSS/HLR保存的SQNHE為準的����,這說明SQNHE比SQNMS舊,故將引發(fā)USIM模塊會用自身的SQNMS去同步HSS/HLR中的SQNHE�。
并且,如果HSS和HLR中都存有SQN���,則會存在HSS和HLR中的SQN不一致的問題��,這樣�,HSS和HLR之間也需要針對SQN進行再同步����。
以USIM模塊與HLR間的再同步為例。為提高網絡的存取效率��,在現(xiàn)有的網絡中,針對CS域的VLR及針對PS域的SGSN在索取鑒權向量時都會索取多組��,每次只使用其中一組進行鑒權處理�,并自行緩存剩余的鑒權向量。在這種情況下���,如果各個域的操作頻度不同,比如����,SGSN和VLR先后向HSS獲取了5組鑒權元組,在各自使用了一組之后����,可能由于用戶在CS域的操作很頻繁��,使得SGSN中已緩存的4組剩余鑒權向量將比USIM模塊中的USIM接受的最高序列號(SQNMS)舊�,此時USIM模塊中保存的SQNMS以VLR下發(fā)的SQN為準,這樣�����,USIM模塊就會用自身的SQNMS去同步HLR中的SQNHE���,該SQNHE為HLR/AUC中為每個用戶保存的個人序列號��,進而導致SGSN/VLR當前緩存的所有鑒權向量失效���。從上述例子可見����,如果不同域的操作頻度相差較大�����,則必然會引起頻繁的再同步��。
綜上所述�����,目前要想使用IM業(yè)務����,則用戶的終端用戶標識模塊中必須包含ISIM模塊,或者替換現(xiàn)有的HLR���。顯然�����,替換現(xiàn)有HLR在短時間內不太可能實現(xiàn)�����,終端用戶標識模塊中包含ISIM模塊則對終端用戶標識模塊的要求比較高�����,往往需要用戶更換自身的USIM卡才能實現(xiàn)���。而換卡在實際操作中非常繁瑣�,必然會大大降低IM業(yè)務的吸引力�,增加運營商推廣IM業(yè)務的難度。
發(fā)明內容
有鑒于此����,本發(fā)明所要解決的主要問題在于提供一種在IMS系統(tǒng)中對終端用戶標識模塊進行鑒權的方法����,以便使用USIM卡的用戶不需要更換新卡,即可使用IM業(yè)務。
為解決上述問題���,本發(fā)明的技術方案是這樣實現(xiàn)的一種對終端用戶標識模塊進行IP多媒體域鑒權的方法���,在網絡中設置用于提供IP多媒體IM域業(yè)務的HSS,該方法進一步包括以下步驟a.網絡中的服務呼叫狀態(tài)控制功能S_CSCF在收到移動終端UE發(fā)送來的IM域注冊請求后����,向歸屬用戶服務器HSS發(fā)送鑒權向量獲取請求;b.HSS在收到所述獲取請求后����,向UE的歸屬設備發(fā)送用于獲取鑒權向量的請求消息;c.UE的歸屬設備在收到所述請求消息后��,為該UE分配序列號SQN�,并基于該SQN生成相應的鑒權向量,之后將該鑒權向量發(fā)送給HSS�����;d.HSS將所述鑒權向量發(fā)送給S_CSCF�,S_CSCF根據所述鑒權向量對所述UE的終端用戶標識模塊進行鑒權。
所述步驟b中���,所述HSS向UE的歸屬設備發(fā)送的請求消息為發(fā)送鑒權消息���,所述發(fā)送鑒權消息中攜帶電路交換CS/包交換PS域的請求節(jié)點類型�;步驟c中���,所述UE的歸屬設備根據請求消息為該用戶分配SQN為UE的歸屬設備根據發(fā)送鑒權消息中的請求節(jié)點類型確定該HSS歸屬于PS域或CS域��,并為該域分配SQN�����。
該方法進一步包括將發(fā)送鑒權消息中的請求節(jié)點類型擴展為CS域���、PS域及IM域;所述UE的歸屬設備將每個用戶的個人序列號SQNHE預先劃分為CS域��、PS域及IM域���;步驟b中��,所述HSS向UE的歸屬設備發(fā)送的請求消息為發(fā)送鑒權消息����,且所述發(fā)送鑒權消息中攜帶IM域的請求節(jié)點類型信息��;步驟c中���,所述UE的歸屬設備分配SQN為UE的歸屬設備根據發(fā)送鑒權消息中的請求節(jié)點類型確定該HSS歸屬于IM域����,并根據預先為IM域劃分的SQNHE為該IM域分配SQN�����。
該方法進一步包括預先在HSS中配置歸屬設備能否為IM域分配SQN的信息���;步驟b中�����,所述HSS向UE的歸屬設備發(fā)送鑒權消息之前���,進一步包括HSS根據自身保存的信息確定UE當前的歸屬設備是否能夠為IM域分配SQN,如果能��,則在所述發(fā)送鑒權消息中攜帶IM域的請求節(jié)點類型信息�,否則���,在所述發(fā)送鑒權消息中攜帶CS/PS域的請求節(jié)點類型信息。
所述UE的歸屬設備劃分給IM域的SQN的有效范圍小于劃分給CS域和/或PS域的SQN的有效范圍���。
所述步驟c中���,所述UE的歸屬設備根據SQNHE為IM域分配SQN為為IM域分配一個以上的SQN;所述基于SQN生成相應的鑒權向量為基于每個SQN生成一組鑒權向量���;步驟d中��,所述S_CSCF根據所述鑒權向量對所述UE的終端用戶標識模塊進行鑒權為S_CSCF從收到的鑒權向量中選擇一組對終端用戶標識模塊進行鑒權��,并保存其他鑒權向量���。
所述步驟a中,所述S_CSCF向HSS發(fā)送獲取請求之前�����,進一步包括判斷自身是否存在針對該UE的鑒權向量�,如果是,則結束本處理流程����;否則�,執(zhí)行向HSS發(fā)送獲取請求的步驟����。
該方法進一步包括在HSS中配置終端用戶標識模塊的數據信息��;步驟b中���,所述HSS向UE的歸屬設備發(fā)送鑒權消息之前�����,進一步包括判斷該UE是否簽約了CS域和/或PS域的業(yè)務�,如果是�,則執(zhí)行所述發(fā)送鑒權消息的步驟;否則���,HSS根據所述終端用戶標識模塊的數據信息計算鑒權向量����,之后執(zhí)行步驟d��。
所述S-CSCF與HSS之間使用UE的IMS私有標識IMPI作為用戶標識;步驟b中�����,所述HSS向UE的歸屬設備發(fā)送請求消息之前����,進一步包括HSS將鑒權向量獲取請求中的IMPI轉換為國際移動用戶標識IMSI,并根據該IMSI及路由原則確定UE當前的歸屬設備���,之后執(zhí)行向該歸屬設備發(fā)送請求消息的步驟�;步驟d中�,所述HSS將所述鑒權向量發(fā)送給S_CSCF之前,進一步包括將所述IMSI轉換為IMPI���,之后將IMPI與所述鑒權向量一起發(fā)送給S_CSCF���。
所述UE的歸屬設備為UE當前歸屬的歸屬位置寄存器HLR/鑒權中心AUC。
所述UE使用的終端用戶標識模塊為用戶服務識別模塊USIM����。
本發(fā)明方案通過UE的當前歸屬設備分配SQN,并基于所分配的SQN生成相應的鑒權向量���,之后將所生成的鑒權向量通過HSS發(fā)送給S-CSCF�,使得USIM卡用戶不需要換卡即可使用IM業(yè)務,大大降低了推廣IM業(yè)務的難度��。
并且本發(fā)明方案還通過HLR分別針對CS域�、PS域及IM域分配SQNHE的范圍,終端用戶標識模塊可以分別對各個域內的SQNMS進行比較��,解決了現(xiàn)有技術中的頻繁再同步問題�。
另外���,本發(fā)明方案的所有修改和改造只涉及了HSS和HLR/AUC���,對于目前的GSM/GPRS/UMTS等其他設備沒有任何額外的要求,并且只是將HLR/AUC進行簡單的升級���,而不是替換���,使得在現(xiàn)有網絡上疊加一個專門用于提供IM域的IMS系統(tǒng)成為可能。
圖1為目前的IMS系統(tǒng)結構示意圖�����;
圖2為IMS的安全架構示意圖;圖3為現(xiàn)有技術中IMS系統(tǒng)通過ISIM對UE進行鑒權的消息流時序圖����;圖4為基于本發(fā)明方案進行鑒權的消息流時序圖;圖5為與圖4對應的流程圖����。
具體實施例方式
本發(fā)明首先要在現(xiàn)有網絡中疊加HSS功能實體,以實現(xiàn)在現(xiàn)網上疊加一個IMS子系統(tǒng)����。在現(xiàn)有網絡中疊加了HSS之后,為實現(xiàn)共享USIM�,在鑒權處理過程中,HSS收到S-CSCF發(fā)送來的鑒權向量請求消息后�����,需要向用戶的歸屬設備���,比如HLR/AUC���,發(fā)送用于獲取鑒權向量的請求消息;HLR/AUC則為該UE分配SQN,并基于所分配的SQN生成相應的鑒權向量���,并將該鑒權向量發(fā)送給HSS���,HSS則將收到的鑒權向量再發(fā)送給S-CSCF。從而使得USIM卡用戶能夠完成IM域的鑒權�。
其中,在用戶為USIM用戶的情況下�����,HSS在收到S-CSCF發(fā)送來的鑒權向量請求消息后��,并需要從UE當前的歸屬設備獲取鑒權向量時�,可以模擬VLR或者SGSN向UE當前所歸屬的設備���,比如HLR/AUC�����,發(fā)送用于獲取鑒權向量的請求消息���,則該請求消息中應包含CS域或PS域的請求節(jié)點類型信息;HLR/AUC則根據該請求消息中攜帶的請求節(jié)點類型確定HSS歸屬于PS域或CS域,為該域分配SQN��,并根據該域所對應的SQN計算鑒權向量�����,然后將該鑒權向量發(fā)送給HSS���,并由HSS將這些鑒權向量下發(fā)給S-CSCF��。
另外���,在上述處理過程中,HSS在向HLR/AUC發(fā)送請求消息之前��,還需要對HLR/AUC進行尋址���。HSS向HLR/AUC的尋址可完全遵循現(xiàn)網MSC/VLR/SGSN向現(xiàn)網HLR的尋址方式��。具體來說��,由于UE到HSS的消息路徑使用UE的IMS私有標識(IMPI)作為用戶標識����,因此S_CSCF與HSS之間也使用UE的IMPI作為用戶標識,又由于MSC/VLR/SGSN通過IMSI對HLR進行尋址�,因此HSS需要完成IMPI到IMSI的轉換,并將轉換得到的IMSI作為用戶標識填充到發(fā)送鑒權信息(MAP-SEND-AUTHENTICATION-INFO)中����,同時根據現(xiàn)網的路由原則及IMSI確定用戶所在的HLR/AUC,之后將SEND-AUTHENTICATION-INFO消息依據本地配置的GT碼或者DPC碼發(fā)給目的HLR/AUC�;HSS在收到目的HLR/AUC返回的響應消息之后,再完成從IMSI到IMPI的轉換���,并將IMPI作為用戶標識下發(fā)給S-CSCF���。
顯然,上述方式不需要升級現(xiàn)有的HLR����,USIM卡的用戶也不需要換卡����。但由于IM域業(yè)務占用了CS域或PS域的SQN有效范圍,這可能會帶來一定的頻繁再同步問題����,使得整個系統(tǒng)的效率有一定的降低。當然,由于HSS是模擬VLR或SGSN向HLR發(fā)起鑒權請求����,因此其再同步的影響范圍只包括IM域和CS域,或者是IM域和PS域���。
對于這種由HSS模擬VLR或SGSN的情況來說�,由于PS域的鑒權操作頻度比較低�,因此HSS應盡量將自身模擬為SGSN,以降低再同步的頻度�。
如果要完全避免由此可能帶來的頻繁再同步問題,則可以由HSS明確通知HLR/AUC該請求來自IM域��,HLR/AUC則首先根據所收到的請求消息確定該UE處于IM域�����,并為該UE所處的IM域分配SQN���,然后再基于所分配的SQN生成相應的鑒權向量��,并將該鑒權向量通過HSS發(fā)送給S-CSCF��。當然����,這種方式需要將現(xiàn)有的HLR/AUC升級,以支持新的協(xié)議擴展����。也就是使現(xiàn)網中的HLR能夠將下發(fā)的SQN劃分為CS域、PS域和IM域�����,這樣���,USIM模塊可以分別對各個域內的SQN進行比較�����,只要能夠保證HLR下發(fā)給每個域的鑒權元組所對應的SQN是有序的�,就不會導致不必要的再同步過程���。由于每個域中都只有一個網絡實體用于緩存鑒權元組,比如����,CS域中有VLR緩存����,PS域中有SGSN緩存����,IM域中有S_CSCF緩存,因此通過HLR對SQN的分域劃分可以解決再同步問題���。
下面結合附圖及具體實施例對本發(fā)明中完全避免頻繁再同步的具體方案作進一步詳細的說明��。
目前的3GPP R4/R5/R6 29.002協(xié)議在MAP-SEND-AUTHENTICATION-INFO中定義了請求節(jié)點類型(requestingNodeType)信元���,用以標識請求節(jié)點的類型是屬于CS域(vlr)還是PS域(sgsn)?���;谠摱x,HLR在向S_CSCF下發(fā)鑒權向量之前����,首先將鑒權向量的AUTN中的SQN劃分為CS域和PS域,然后根據requestingNodeType信元確定請求節(jié)點的類型是VLR還是SGSN��,并利用與該節(jié)點類型一致的SQN生成相應的鑒權向量���,然后再將所生成的鑒權向量發(fā)送給該節(jié)點����。這樣,就可以保證HLR下發(fā)到各個域中的SQN是有序的����,同時使得在USIM卡上管理的SQNMS也分別對應CS域和PS域,各個域的SQN校驗相對獨立����,不互相干擾,從而避免了因兩個域中操作頻度不同而導致頻繁觸發(fā)再同步的問題����。
因此,為使HLR/AUC能夠為UE所處的IM域分配SQN��,以避免前述因HSS模擬VLR或SGSN而導致的頻繁再同步的問題�����,本發(fā)明方案可以對MAP-SEND-AUTHENTICATION-INFO消息進行擴展���,具體是將MAP-SEND-AUTHENTICATION-INFO消息中的requestingNodeType信元進行擴展���,將該信元中的兩個枚舉值CS域(vlr)和PS域(sgsn)擴展為三個枚舉值,即CS域(vlr)����、PS域(sgsn)及IM域(im),其他所有信元則保持不變���。
擴展后�����,原有的VLR/SGSN不需要作任何的改動��,且仍可使用原有的MAP-SEND-AUTHENTICATION-INFO消息獲取鑒權向量��,新增的HSS則使用擴展后的MAP-SEND-AUTHENTICATION-INFO消息來獲取鑒權向量�����,其中�����,針對IM域的requestingNodeType信元應寫為im�。當然,原有的HLR/AUC還需要進行必要的升級��,其改動點主要包括使HLR/AUC兼容擴展后的MAP-SEND-AUTHENTICATION-INFO消息��;HLR/AUC需要將SQNHE劃分為CS域��、PS域和IM域��,根據MAP-SEND-AUTHENTICATION-INFO消息所攜帶的requestingNodeType信元及IM域的SQNHE生成針對IM域的SQN���,并根據該SQN生成相應的鑒權向量��,然后再將所生成的鑒權向量發(fā)送給發(fā)起請求的網絡節(jié)點�����。
由于針對AUC及HLR的鑒權向量獲取過程相同����,因此下面僅以HLR為例��。
通過上述設置���,具體的鑒權處理消息流時序如圖4所示����,其所對應的具體流程如圖5所示,具體包括以下步驟步驟501�、S-CSCF在收到UE發(fā)送來的IM域注冊請求后���,向HSS發(fā)送鑒權向量請求�。
步驟502�、HSS在收到S-CSCF的請求后,發(fā)送MAP-SEND-AUTHENTICATION-INFO消息給該用戶當前所歸屬的歸屬設備��,即HLR/AUC�����。
其中��,若該HLR已經升級支持新的協(xié)議擴展��,則該請求消息中所攜帶的requestingNodeType信元填寫為im����;若該HLR未升級,則該請求消息中所攜帶的requestingNodeType信元填寫為sgsn或vlr,建議用sgsn����。
該步驟具體可以是在HSS中配置HLR是否能為IM域分配SQNHE的信息,HSS則可以根據該信息確定相應的HLR是否已支持新的協(xié)議擴展��,并根據該確定的信息發(fā)送相應的MAP-SEND-AUTHENTICATION-INFO消息�����。
步驟503�、HLR/AUC在收到所述請求消息后,根據該消息中的requestingNodeType信元確定該請求消息來自哪個域����,并根據所保存的SQNHE生成滿足該域要求的SQN,并在此基礎上生成相應的鑒權向量��,之后將該鑒權向量作為MAP-SEND-AUTHENTICATION-INFO消息的響應消息發(fā)送給HSS�����。
其中��,如果根據該信元確定該請求消息來自IM域�����,則根據所保存的SQNHE生成滿足IM域要求的SQN;如果根據該信元確定該請求消息來自CS或PS域�,則根據所保存的SQNHE生成滿足CS域或PS域要求的SQN。
步驟504�����、HSS將HLR發(fā)送來的鑒權向量發(fā)送給S-CSCF���。
步驟505、S-CSCF則根據該鑒權向量對UE進行鑒權�����。
在得到鑒權向量后��,S_CSCF的具體鑒權過程如圖3中的步驟304及后續(xù)步驟所示�����,只是將其中的ISIM模塊改為USIM模塊即可����,因此不再贅述�。
通過上述步驟�,即可實現(xiàn)本發(fā)明的目的。
為提高效率����,S-CSCF在收到注冊請求后,還可以向HSS請求多組鑒權向量����。這樣,在上述步驟501中��,S-CSCF在收到注冊請求后���,首先要判斷自身是否還有有效的鑒權向量���,如果有,則S-CSCF可以直接根據該鑒權向量對UE進行鑒權�����;如果沒有����,則S-CSCF再向HSS發(fā)送鑒權向量請求消息�,該請求消息用于請求多組鑒權向量�����。HSS向HLR/AUC轉發(fā)的請求消息同樣也用于請求多組鑒權向量����,HLR/AUC則會相應地為IM域分配多個SQN,并依據這些SQN生成多組鑒權向量��。
另外��,如果UE沒有簽約CS/PS域業(yè)務��,也即只有IM域業(yè)務����,則不會出現(xiàn)再同步的問題�����。因此����,HSS在收到S-CSCF發(fā)送來的鑒權向量請求消息后����,可以先判斷該用戶是否已簽約了CS/PS域業(yè)務��,如果是����,則發(fā)送MAP-SEND-AUTHENTICATION-INFO消息到用戶歸屬的HLR/AUC,如前所述�����,該消息中requestingNodeType信元的填充內容可根據該HLR/AUC的能力決定���,即根據HLR/AUC是否支持requestingNodeType信元的擴展決定���;如果該用戶沒有簽約CS及PS域業(yè)務,則該USIM模塊與現(xiàn)有的ISIM模塊相同���,即只支持IM域業(yè)務�,因此可以按照ISIM模塊的處理方式在HSS內嵌的AUC中為該用戶生成鑒權向量并下發(fā)���,當然���,與ISIM模塊相同����,同樣需要在HSS中預設USIM模塊的相關數據���。
還需要說明的是����,對于目前的使用情況來說�,與CS域和PS域相比,IM域的鑒權頻度較低��,因此HLR/AUC可以為IM域分配較小范圍的SQN��。
以上所述僅為本發(fā)明方案的較佳實施例����,并不用以限定本發(fā)明的保護范圍�����。
權利要求
1.一種對終端用戶標識模塊進行IP多媒體域鑒權的方法�,其特征在于��,在網絡中設置用于提供IP多媒體IM域業(yè)務的HSS����,該方法進一步包括以下步驟a.網絡中的服務呼叫狀態(tài)控制功能S_CSCF在收到移動終端UE發(fā)送來的IM域注冊請求后�����,向歸屬用戶服務器HSS發(fā)送鑒權向量獲取請求�;b.HSS在收到所述獲取請求后,向UE的歸屬設備發(fā)送用于獲取鑒權向量的請求消息����;c.UE的歸屬設備在收到所述請求消息后,為該UE分配序列號SQN�����,并基于該SQN生成相應的鑒權向量���,之后將該鑒權向量發(fā)送給HSS���;d.HSS將所述鑒權向量發(fā)送給S_CSCF,S_CSCF根據所述鑒權向量對所述UE的終端用戶標識模塊進行鑒權。
2.根據權利要求1所述的方法�,其特征在于所述步驟b中,所述HSS向UE的歸屬設備發(fā)送的請求消息為發(fā)送鑒權消息��,所述發(fā)送鑒權消息中攜帶電路交換CS/包交換PS域的請求節(jié)點類型�;步驟c中,所述UE的歸屬設備根據請求消息為該用戶分配SQN為UE的歸屬設備根據發(fā)送鑒權消息中的請求節(jié)點類型確定該HSS歸屬于PS域或CS域��,并為該域分配SQN����。
3.根據權利要求1所述的方法,其特征在于�,該方法進一步包括將發(fā)送鑒權消息中的請求節(jié)點類型擴展為CS域、PS域及IM域��;所述UE的歸屬設備將每個用戶的個人序列號SQNHE預先劃分為CS域�、PS域及IM域;步驟b中���,所述HSS向UE的歸屬設備發(fā)送的請求消息為發(fā)送鑒權消息��,且所述發(fā)送鑒權消息中攜帶IM域的請求節(jié)點類型信息��;步驟c中,所述UE的歸屬設備分配SQN為UE的歸屬設備根據發(fā)送鑒權消息中的請求節(jié)點類型確定該HSS歸屬于IM域�,并根據預先為IM域劃分的SQNHE為該IM域分配SQN����。
4.根據權利要求3所述的方法�����,其特征在于�����,該方法進一步包括預先在HSS中配置歸屬設備能否為IM域分配SQN的信息�;步驟b中�,所述HSS向UE的歸屬設備發(fā)送鑒權消息之前,進一步包括HSS根據自身保存的信息確定UE當前的歸屬設備是否能夠為IM域分配SQN��,如果能�����,則在所述發(fā)送鑒權消息中攜帶IM域的請求節(jié)點類型信息����,否則,在所述發(fā)送鑒權消息中攜帶CS/PS域的請求節(jié)點類型信息。
5.根據權利要求3所述的方法��,其特征在于�����,所述UE的歸屬設備劃分給IM域的SQN的有效范圍小于劃分給CS域和/或PS域的SQN的有效范圍�。
6.根據權利要求3所述的方法�,其特征在于所述步驟c中����,所述UE的歸屬設備根據SQNHE為IM域分配SQN為為IM域分配一個以上的SQN���;所述基于SQN生成相應的鑒權向量為基于每個SQN生成一組鑒權向量�����;步驟d中��,所述S_CSCF根據所述鑒權向量對所述UE的終端用戶標識模塊進行鑒權為S_CSCF從收到的鑒權向量中選擇一組對終端用戶標識模塊進行鑒權�,并保存其他鑒權向量。
7.根據權利要求6所述的方法��,其特征在于所述步驟a中�,所述S_CSCF向HSS發(fā)送獲取請求之前�����,進一步包括判斷自身是否存在針對該UE的鑒權向量�,如果是��,則結束本處理流程��;否則�,執(zhí)行向HSS發(fā)送獲取請求的步驟。
8.根據權利要求1至7中任意一項所述的方法�����,其特征在于�,該方法進一步包括在HSS中配置終端用戶標識模塊的數據信息;步驟b中���,所述HSS向UE的歸屬設備發(fā)送鑒權消息之前��,進一步包括判斷該UE是否簽約了CS域和/或PS域的業(yè)務����,如果是,則執(zhí)行所述發(fā)送鑒權消息的步驟��;否則��,HSS根據所述終端用戶標識模塊的數據信息計算鑒權向量�����,之后執(zhí)行步驟d���。
9.根據權利要求1至7中任意一項所述的方法�����,其特征在于��,所述S-CSCF與HSS之間使用UE的IMS私有標識IMPI作為用戶標識��;步驟b中�����,所述HSS向UE的歸屬設備發(fā)送請求消息之前�,進一步包括HSS將鑒權向量獲取請求中的IMPI轉換為國際移動用戶標識IMSI,并根據該IMSI及路由原則確定UE當前的歸屬設備�,之后執(zhí)行向該歸屬設備發(fā)送請求消息的步驟;步驟d中����,所述HSS將所述鑒權向量發(fā)送給S_CSCF之前�,進一步包括將所述IMSI轉換為IMPI,之后將IMPI與所述鑒權向量一起發(fā)送給S_CSCF����。
10.根據權利要求1至7中任意一項所述的方法,其特征在于���,所述UE的歸屬設備為UE當前歸屬的歸屬位置寄存器HLR/鑒權中心AUC�����。
11.根據權利要求1至7中任意一項所述的方法�,其特征在于���,所述UE使用的終端用戶標識模塊為用戶服務識別模塊USIM����。
全文摘要
本發(fā)明公開了一種對終端用戶標識模塊進行IP多媒體域鑒權的方法,在網絡中設置用于提供IP多媒體IM業(yè)務的HSS�,該方法進一步包括網絡中的S_CSCF在收到移動終端UE發(fā)送來的IM域注冊請求后,向HSS發(fā)送鑒權向量獲取請求�;HSS在收到所述獲取請求后,向UE的歸屬設備發(fā)送用于獲取鑒權向量的請求消息��;UE的歸屬設備在收到所述請求消息后�����,為該UE分配SQN���,并基于該SQN生成相應的鑒權向量�����,之后將該鑒權向量發(fā)送給HSS���;HSS將所述鑒權向量發(fā)送給S_CSCF,S_CSCF根據所述鑒權向量對所述UE的終端用戶標識模塊進行鑒權�����。本發(fā)明方案解決了現(xiàn)有技術中通過USIM模塊使用IM業(yè)務時存在的問題。通過本發(fā)明方案在實現(xiàn)USIM模塊使用IM業(yè)務的同時��,還杜絕了頻繁再同步現(xiàn)象�����。
文檔編號H04W12/06GK1852553SQ20051007336
公開日2006年10月25日 申請日期2005年5月31日 優(yōu)先權日2005年5月31日
發(fā)明者謝紅, 王金城, 朱東銘, 顧炯炯 申請人:華為技術有限公司