专利名称:一种ims网络中的鉴权方法、鉴权装置和鉴权系统的制作方法
技术领域:
本发明涉及网络通讯技术领域,具体涉及一种IMS网络中的鉴权方法、鉴权装置和鉴权系统。
背景技术:
IMS(IP Multimedia Subsystem,IP多媒体子系统)新引入了IMPI(IMSPrivate Identity,IMS私有标识)和IMPU(IMS Public Identity,IMS公共标识)两种用户标识,IMPI为IMS用户的私有标识,用来标识UE,并与UE一一对应;IMPU为IMS用户的公共标识,用来标识彼此通信的一种符号,相当于电话号码。
IMS鉴权沿袭WCDMAR4的双向认证方式,即IMS鉴权除了包括网络对终端的有效性进行认证外,还包括终端对网络合法性的验证过程。IMS网络对UE的鉴权也就是对IMPI和IMPU的有效性进行认证的过程。
IMS鉴权过程也称为注册,注册状态包括鉴权未决(AuthenticationPending)、已注册(Registered)、非注册业务状态(Unregistered)、未注册(Not registered),共4种状态。
注册根据注册前UE的状态不同,又可以分为首次注册和重注册两种。首次注册是指当前UE尚未和网络附着时发起的注册,UE发起首次注册前的注册状态为非注册业务状态或者为未注册。重注册是指当前UE已经通过双向鉴权,UE的注册状态为已注册(Registered),UE为了和网络保持联络而周期性发起的注册。
UE注册状态的变迁过程如附图1所示。图1中,IMS新开户后,UE注册状态为Not registered,当UE发起注册时,UE的注册状态可变为AuthenticationPending,当UE签约有非注册状态业务而被呼叫时,UE的注册状态也可变为Unregistered;当UE的注册状态为Authentication Pending后,其注册状态只能向Registered迁移;注册状态为Unregistered的UE经过注销后,可变迁为Notregistered;注册状态为Unregistered的UE经过MAR/MAA(Multimedia-Auth-Request/Multimedia-Auth-Answer)消息流申请鉴权五元组后,变迁为Authentication Pending;注册状态为Unregistered的UE经过注册后变为Registered;注册状态为Registered的UE经过不同方式的注销操作后,其注册状态或者变为Unregistered,或者变为Not registered。
IMS鉴权的要素为鉴权五元组,注册过程参与的网元主要包括UE、P-CSCF(Proxy CSCF,代理呼叫会话控制功能)、I-CSCF(Interrogating CSCF,查询呼叫会话控制功能)、S-CSCF(Serving CSCF,服务的呼叫会话控制功能)以及HSS(Home Subscriber Server,归属签约用户服务器),其中,CSCF之间的协议为基于SIP协议的Mw参考点;CSCF与HSS之间的通信协议为基于Diameter消息的Cx参考点。
UE首次注册由UE在首次接入IMS网络时发起,如UE开机后发起首次注册,UE经过P-CSCF进入IMS,整个注册过程如附图2所示。
图2中,在步骤1、UE在拜访网络获得与IP网络互连的通路后,发送SIP注册消息流到P-CSCF,SIP注册消息流主要IE(Information Element,信元)包括IMPU、IMPI、归属网域名和UE的IP地址。
到步骤2、P-CSCF接收到注册消息流后,通过检查归属网域名找到归属网的I-CSCF,并将注册消息流转发给I-CSCF,转发的注册消息流主要IE包括P-CSCF的IP地址或域名、IMPU、IMPI、P-CSCF网络标识和UE的IP地址。
到步骤3、I-CSCF通过向HSS发送UAR(User-Authorization-Request,用户授权请求)消息流进行UE接入权限认证,UAR消息流主要IE包括IMPU、IMPI和P-CSCF网络标识。
在步骤3中,HSS同时进行UE的注册状态查询,并根据UE签约以及运营商的约束决定是否允许UE通过该P-CSCF进行注册。
到步骤4、UAA(User-Authorization-Answer,用户授权应答)作为UAR的响应消息流,由HSS发送给I-CSCF,UAA主要反馈可为UE服务的S-CSCF名称或能力。如果HSS知道UE的S-CSCF,则返回S-CSCF名称,并且在有必要重新选择新S-CSCF时,返回S-CSCF能力。当UAA包含S-CSCF名称和能力时,I-CSCF可以执行一个新S-CSCF指派。当UAA只包含S-CSCF能力时,I-CSCF应该基于返回S-CSCF能力进行新S-CSCF的选择。如果HSS检入不成功,UAA中应该返回拒绝尝试的注册。
到步骤5、I-CSCF通过域名-地址机制、利用S-CSCF名称确定S-CSCF的IP地址,同时通过基于HSS返回的信息确定相匹配的归属网络接入点。归属网络接入点可以是S-CSCF本身或者是一个希望网络配置被隐藏的I-CSCF。
到步骤6、S-CSCF向HSS发送MAR消息流进行鉴权五元组申请,该消息流主要IE包括IMPU、IMPI、S-CSCF名称、申请的鉴权五元组数量和申请的鉴权模式。
到步骤7、HSS为该UE保存下发的S-CSCF名称,同时将该UE的注册状态置为鉴权未决(Authentication Pending)后,返回MAA消息流给S-CSCF,返回的MAA主要IE包括IMPU、IMPI、鉴权五元组数量和所有的鉴权五元组。
在步骤8至步骤15为S-CSCF将申请到的其中一组鉴权五元组用于UE与IMS网络之间的双向认证过程。
在步骤18、S-CSCF向HSS发送SAR(Server-Assignment-Request,服务器指派请求)注册通知消息流,消息流主要IE包括IMPU、IMPI和S-CSCF名称。
在步骤19、HSS清除UE的鉴权未决(Authentication Pending)注册状态,并将注册状态置为已注册(Registered)后,通过SAA(Server-Assignment-Answer,服务器指派应答)消息流向S-CSCF下发UE相关的用户数据和计费信息。
在步骤第20至步骤22、S-CSCF将注册成功的SIP消息流通过I-CSCF、P-CSCF通知UE。
上述UE整个注册流程涉及的交互比较多,在与HSS交互的步骤6和步骤7中,涉及的消息流为MAR/MAA。MAR消息流为由S-CSCF向HSS申请鉴权五元组的请求,每次可以申请多组鉴权五元组。MAA消息流为HSS根据S-CSCF申请鉴权五元组的要求返回指定组数的鉴权五元组,UE每次鉴权只使用其中一组。
从上述描述可知,UE在首次注册前,其注册状态可以为Not registered、或者Unregistered,当UE注册状态为Unregistered时,S-CSCF仍然保存有UE相关的数据,这其中包括在UE以前的注册过程中,S-CSCF为UE申请的、尚未使用完毕的鉴权五元组。根据当前协议规范,在UE首次注册的流程中,S-CSCF均需要通过MAR/MAA消息流向HSS进行鉴权五元组申请,这样,当S-CSCF尚保存有UE的大量S-CSCF鉴权五元组时,S-CSCF通过MAR/MAA申请鉴权五元组的步骤显然是冗余的,而且,由于多了该步骤中的消息交互,当用户容量较大时,必然会影响整个系统的UE注册业务效率。
发明内容
本发明的目的在于,提供一种IMS网络中的鉴权方法、鉴权装置和鉴权系统,通过利用S-CSCF自身存储的可供UE鉴权使用的鉴权信息,避免了S-CSCF从HSS处获取供UE鉴权使用的鉴权信息的过程,减少了UE鉴权过程中的消息交互,提高了UE的鉴权效率。
为达到上述目的,本发明提供的一种IMS网络中的鉴权方法,包括服务呼叫会话控制功能S-CSCF在确定用户设备UE的注册状态为非注册业务状态、且其自身存储有可供UE鉴权使用的、与UE相关的鉴权信息时,S-CSCF根据所述存储的鉴权信息继续UE和IMS网络之间的鉴权处理过程。
所述S-CSCF自身存储的可供UE鉴权使用的、与UE相关的鉴权信息为在该UE曾经进行过的鉴权过程中,S-CSCF通过媒体鉴权请求MAR和媒体鉴权应答MAA消息流获得的、且尚未使用的、与UE相关的鉴权信息。
S-CSCF通过MAR和MAA消息流获得与UE相关的鉴权信息时,S-CSCF在MAR消息流中携带归属签约用户服务器HSS支持的最大可申请的鉴权信息组的数量,HSS将所述数量的、与UE相关的鉴权信息组通过MAA消息流返回给S-CSCF。
所述方法包括步骤动态配置所述MAR消息流中携带的HSS支持的最大可申请的鉴权信息组的数量。
所述方法具体包括S-CSCF在确定用户设备UE的注册状态为非注册业务状态、且其自身存储有可供UE鉴权使用的、与UE相关的鉴权信息时,根据预定策略确定是否需要向HSS请求该与UE相关的鉴权信息;如果需要向HSS请求该与UE相关的鉴权信息,S-CSCF通过MAR和MAA消息流从HSS处获得与UE相关的鉴权信息,并根据其获得的鉴权信息继续UE和IMS网络之间的鉴权处理过程;如果不需要向HSS请求该与UE相关的鉴权信息,S-CSCF根据所述存储的、与UE相关的鉴权信息继续UE和IMS网络之间的鉴权处理过程。
所述预定策略为业务量低于预定值、和/或预定时间段、和/或S-CSCF自身存储的可供UE鉴权使用的、与UE相关的鉴权信息组的数量为预定值。
所述方法还包括步骤HSS在接收到S-CSCF注册通知的SAR消息流、并确定UE的注册状态不为未注册、且SAR消息流中的S-CSCF名称与HSS自身存储的S-CSCF名称一致时,将UE的注册状态设置为已注册。
所述方法还包括步骤HSS在接收到S-CSCF注册通知的SAR消息流、并确定UE的注册状态为未注册时,向S-CSCF返回DIAMETER_ERROR_IN_ASSIGNMENT_TYPE信息;或者HSS在接收到S-CSCF注册通知的SAR消息流、并确定SAR消息流中的S-CSCF名称与HSS自身存储的S-CSCF名称不一致时,向S-CSCF返回DIAMETER_ERROR_IDENTITY_AUREADY_REGISTERED信息。
本发明还提供一种鉴权装置,所述鉴权装置设置于基于服务呼叫会话控制功能S-CSCF的网络设备中;所述鉴权装置用于在确定用户设备UE的注册状态为非注册业务状态、且基于服务呼叫会话控制功能的网络设备自身存储有可供UE鉴权使用的鉴权信息时,根据所述存储的鉴权信息继续UE和IMS网络之间的鉴权处理过程。
所述鉴权装置包括判决模块和鉴权模块;判决模块用于在确定用户设备UE的注册状态为非注册业务状态、且S-CSCF自身存储有可供UE鉴权使用的鉴权信息时,根据预定策略判断是否需要向HSS请求该与UE相关的鉴权信息,并通知鉴权模块;鉴权模块用于在接收到需要向HSS请求该与UE相关的鉴权信息的通知时,通过MAR和MAA消息流从HSS处获得与UE相关的鉴权信息,并根据其获得的鉴权信息继续UE和IMS网络之间的鉴权处理过程;在接收到不需要向HSS请求该与UE相关的鉴权信息的通知时,根据S-CSCF自身存储的鉴权信息继续UE和IMS网络之间的鉴权处理过程。
本发明还提供一种鉴权系统,包括S-CSCF和HSS,所述S-CSCF中设置有鉴权装置,所述HSS中设置有注册状态变更模块;鉴权装置用于在确定用户设备UE的注册状态为非注册业务状态、且基于服务呼叫会话控制功能的网络设备自身存储有可供UE鉴权使用的鉴权信息时,根据所述存储的鉴权信息继续UE和IMS网络之间的鉴权处理过程;注册状态变更模块用于在HSS接收到S-CSCF注册通知的SAR消息流、并确定UE的注册状态不为未注册、且SAR消息流中的S-CSCF名称与HSS自身存储的S-CSCF名称一致时,将HSS中的UE的注册状态设置为已注册。其特征在于,所述鉴权装置还包括设置于HSS中的注册状态变更模块;通过上述技术方案的描述可知,本发明通过利用S-CSCF自身存储的可供UE鉴权使用的鉴权信息完成UE和IMS网络之间的鉴权处理过程,为注册状态为Unregistered、且S-CSCF保存有鉴权信息的UE在下一次首次注册时,提供了一种可以忽略S-CSCF通过MAR、MAA消息流向HSS为UE申请鉴权五元组的鉴权方案实现流程;由于本发明避免了S-CSCF和HSS之间的MAR、MAA消息流,优化了UE首次注册的鉴权流程;由于HSS生成鉴权五元组向量的计算过程属于比较耗时的计算,本发明通过减少MAR、MAA消息流的交互,减少了鉴权五元组的申请次数,节约了HSS的计算资源,提高了UE后续的首次注册的效率;本发明通过减少S-CSCF发起MAR/MAA消息流的交互次数,也就减少了鉴权过程中的出错环节的数量,提高了UE首次注册的成功率;本发明的鉴权过程的其他方面的消息流交互出于注册安全性的需要,并没有作任何的更改,保证了优化后的鉴权流程与优化前的鉴权流程的非冲突性,保证了优化后的鉴权流程的兼容性;本发明通过在后续的SAR、SAA消息流中,为HSS提供新的修改UE注册状态的判决条件,使UE的首次注册流程在不与现行协议规范存在冲突的前提下,不但能够持续,还不失注册安全性;从而通过本发明提供的技术方案实现了提高UE的鉴权效率、提高UE鉴权成功率的目的。
图1是UE注册状态的变迁示意图;
图2是现有技术中的UE首次注册的鉴权流程图;图3是本发明实施例的UE首次注册的鉴权流程图;图4是本发明实施例的HSS中对SAR消息流的处理流程图。
具体实施例方式
当UE(用户设备)注册状态为Unregistered时,S-CSCF(服务的呼叫会话控制功能)仍然保存有与UE相关的数据,这其中包括在UE以前的注册过程中,S-CSCF为UE申请的、尚未使用完毕的、与UE相关的鉴权信息,如鉴权五元组信息等,如果能够充分利用S-CSCF中存储的这些鉴权信息对UE进行鉴权,则能够有效避免S-CSCF从HSS处获取供UE鉴权使用的鉴权信息的过程,从而减少UE鉴权过程中的消息交互,最终提高UE的鉴权效率。
因此,本发明在UE发起首次注册流程过程中,即在UE发起首次鉴权过程中,如果UE的注册状态为Unregistered(非注册业务状态)、且S-CSCF自身存储有可供UE鉴权使用的鉴权信息,则S-CSCF可以不再通过MAR、MAA消息流从HSS处获得与UE相关的鉴权信息如鉴权五元组信息,而是直接根据其自身存储的鉴权信息继续UE和IMS网络之间的鉴权处理过程。
从上述描述可以看出,在本发明的技术方案中,UE首次注册即首次鉴权流程的前提主要有两个,即1、UE的注册状态为Unregistered。
2、为UE服务的S-CSCF中保存有尚未使用的、与UE相关的鉴权信息如鉴权五元组信息。
下面结合附图3对本发明提供的UE首次注册的鉴权流程做进一步的描述。
图3中的步骤3-1到步骤3-5和背景技术图2中的步骤1到步骤5完全相同,在此不再详细描述。
在图3中的步骤3-6到步骤3-13,S-CSCF利用其自身存储的其中一组鉴权五元组信息进行UE与IMS网络之间的双向认证过程。
到步骤3-14、S-CSCF向HSS发送SAR(Server-Assignment-Request,服务器指派请求)注册通知消息流,消息流主要IE包括IMPU、IMPI和S-CSCF名称。
到步骤3-15、HSS将UE的注册状态置为已注册(Registered)后,通过SAA(Server-Assignment-Answer,服务器指派应答)消息流向S-CSCF下发UE相关的用户数据和计费信息。
在步骤第3-16至步骤3-18、S-CSCF将注册成功的SIP消息流通过I-CSCF、P-CSCF通知UE。
对比图2和图3的鉴权流程可知,在本发明的鉴权流程中,S-CSCF可以直接根据其自身存储的鉴权信息继续UE和IMS网络之间的鉴权处理过程,从上述实施例的描述可以看出,本发明为注册状态为Unregistered、且S-CSCF保存有鉴权五元组的UE在下一次首次注册时,提供了一种可以忽略S-CSCF通过MAR、MAA消息流向HSS为UE申请鉴权五元组的鉴权方案实现流程。由于本发明避免了S-CSCF和HSS之间的MAR、MAA消息流,即在本发明的鉴权流程中,不存在图2中的步骤5和步骤6的S-CSCF与HSS之间的MAR和MAA消息流交互的流程,减少了S-CSCF用于申请鉴权五元组与HSS进行的MAR、MAA消息流的交互,如交互次数等,从而优化了UE首次注册的鉴权流程。由于HSS生成鉴权五元组向量的计算过程属于比较耗时的计算,本发明通过减少AA消息流交互,减少了鉴权五元组的申请次数,从而提高了UE后续的首次注册的效率。由于减少S-CSCF发起MAR/MAA消息流的交互次数,也就减少了鉴权过程中的出错环节的数量,从而提高了UE首次注册的成功率。在鉴权过程的其他方面的消息流交互出于注册安全性的需要,并没有作任何的更改,从而保证了优化后的鉴权流程与优化前的鉴权流程的非冲突性,保证了优化后的鉴权流程的兼容性。
在本发明的鉴权优化流程中,S-CSCF侧需要解决的主要问题是1、S-CSCF如何决定不向HSS发起MAR消息流和MAA消息流;2、如何使本发明的鉴权流程得到最大程度的优化,即如何使鉴权流程的效率得到最大程度的提高。
对于问题1,S-CSCF可以通过判断UE的注册状态、和判断S-CSCF当前存储的信息是否包含可供UE鉴权使用的鉴权信息如鉴权五元组信息这两个判断来解决。即当且仅当UE的注册状态为Unregistered、且S-CSCF存储有可供UE鉴权使用的与UE相关的鉴权五元组信息时,S-CSCF确定可以忽略向HSS发起交互的MAR和MAA消息流。
对于问题1,S-CSCF还可以在上述前提条件下,根据预定策略来判断是否需要向HSS发起MAR、MAA消息流。这里的预定策略可以为业务量低于预定值,即业务繁忙程度,如当前业务量低于预定值、再如当前业务量低于业务低峰值等;也可以为预定的时间段,如UE的鉴权申请时间发生在凌晨等;预定策略还可以为S-CSCF自身保存的可以使用的与UE相关的鉴权五元组的数量,如该数量低于预定数量1等。
当预定策略为当前业务量低于预定值时,S-CSCF在UE的注册状态为Unregistered、并S-CSCF存储有可供UE鉴权使用的与UE相关的鉴权五元组信息、且确定当前业务量不低于预定值时,S-CSCF可以确定忽略向HSS发起交互的MAR/MAA消息流。也就是说,在本发明的两个前提条件均满足、且在业务量不处于低峰值时,S-CSCF可以确定忽略向HSS发起交互的MAR/MAA消息流。
当预定策略为预定时间段时,S-CSCF在UE的注册状态为Unregistered、并S-CSCF存储有可供UE鉴权使用的与UE相关的鉴权五元组信息、且确定UE的鉴权申请时间不在预定时间段内时,S-CSCF可以确定忽略向HSS发起交互的MAR/MAA消息流。
当然,预定策略可以为上述三者之外的其它内容,如预定策略为上述三者的任意组合等。
当S-CSCF自身存储的可供UE使用的鉴权五元组的数量为零组时,S-CSCF应发起MAR/MAA消息流,以向HSS申请与UE相关的鉴权五元组信息,即当S-CSCF自身存储的、与UE相关的鉴权五元组信息使用完毕后,在UE首次注册过程中,S-CSCF需要向HSS申请与UE相关的鉴权五元组信息。当然S-CSCF还可以根据预定策略决定向HSS发起MAR/MAA消息流。
从上述描述可知,本发明为S-CSCF如何发起MAR/MAA消息流进行申请鉴权五元组提供一个可行的参考策略。
S-CSCF向HSS发送的MAR消息流中存在一个申请鉴权五元组数量的关键IE,该IE支持的最大值因不同的设备供应商而异。为了解决问题2,即为了使本发明优化的鉴权流程的效率得到最大程度的提高,S-CSCF在其它鉴权过程中,向HSS申请与UE相关的鉴权信息如鉴权五元组时,可以将MAR消息流中携带的鉴权五元组的数量配置为HSS支持的最大值。由于不同的设备供应商提供的HSS支持的鉴权五元组的数量不相同,为适应不同设备供应商提供的HSS,本发明可以根据HSS的实际情况灵活、动态的配置MAR消息流中携带的申请鉴权五元组的数量。
在背景技术介绍的鉴权流程中,MAR、MAA消息流的交互对于S-CSCF而言,其主要作用在于为UE申请鉴权五元组信息,此过程中不包含UE首次注册鉴权失败后进行的鉴权失败同步MAR、MAA消息流场景。而对于HSS而言,MAR、MAA消息流的作用不仅仅在于HSS生成与UE相关的鉴权五元组数据、S-CSCF从HSS处获得与UE相关的鉴权信息,MAR、MAA消息流的作用还在于HSS在接收到MAR消息流时,将UE的注册状态置为Authentication Pending。
为了提高鉴权业务的效率和成功率,同时针对S-CSCF没有通过MAR、MAA消息流向HSS申请鉴权五元组的后续首次注册流程得以持续而又不失注册安全性,本发明还提供一种不与现行协议规范存在冲突的、可参考的后续鉴权流程。
在本发明优化的鉴权流程中,HSS侧需要解决的问题是如何在S-CSCF发起首次注册流程的SAR/SAA消息流交互过程中判定优化首次注册的合法安全性。在背景技术中,HSS可以利用UE的注册状态Authentication Pending作为鉴权流程的首次注册的合法判定条件,在本发明的鉴权流程中,HSS仍然以UE的注册状态Authentication Pending作为优化的鉴权流程的首次注册的合法判定条件,显然是不合适的,其原因是S-CSCF没有发起将UE的注册状态置为Authentication Pending的交互MAR/MAA消息流。
当UE的注册状态为Unregistered时,在HSS中,必然保存有为该UE服务的S-CSCF的名称,这样,以UE的Unregistered注册状态,再联合SAR消息流中携带的S-CSCF名称作为鉴权流程的首次注册的合法判定条件,就可以达到优化首次注册流程的合法安全性的目的。
HSS对SAR消息流的处理流程如附图4所示。
图4中,设定SAR消息流中的所有IE均正确合法,HSS对SAR消息流的处理过程包括如下步骤在步骤400、HSS接收到S-CSCF传输来的SAR消息流,开始对SAR消息流进行处理。
到步骤410,HSS根据消息流的关键IE,即消息流的Server-Assignment-Type,判定其接收的消息流是否为注册的SAR消息流,如果不是注册的SAR消息流,则到步骤411,进入其他消息流的处理过程,HSS对其他消息流的具体处理过程不在本实施例中进行详细描述。HSS对其他消息流处理结束后,到步骤440,HSS处理消息流的过程结束。
在步骤410,如果HSS判定其接收到的消息流是注册的SAR消息流,则到步骤420,HSS判断UE的注册状态,如果确定UE的注册状态为Not registered,到步骤430,确定出现错误,将DIAMETER_ERROR_IN_ASSIGNMENT_TYPE返回至S-CSCF。到步骤440,HSS处理消息流的过程结束。
在步骤420、如果HSS确定UE的注册状态不为Not registered,则到步骤450,HSS继续判断其接收的SAR消息流中的S-CSCF名称即IE Server-Name是否和HSS自身保存的为UE服务的S-CSCF名称一致,如果一致,到步骤460,HSS将该UE的注册状态置为Registered,并向S-CSCF返回DIAMETER_SUCCESS。到步骤440,HSS处理消息流的过程结束。
在步骤450,如果HSS确定其接收的SAR消息流中的S-CSCF名称和HSS自身保存的为UE服务的S-CSCF名称不一致,到步骤470,确定出现错误,向S-CSCF返回DIAMETER_ERROR_IDENTITY_AUREADY_REGISTERED信息。到步骤440,HSS处理消息流的过程结束。
当UE注销或被注销时,S-CSCF应显式发起使UE注册状态变为Unregistered的注销SAR消息流,需要注意的是当且仅当此时的HSS可以保存为UE服务的S-CSCF时,上述的UE注册状态才能够被设置为Unregistered。
从上述实施例的描述可知,本发明对UE的首次注册流程进行了优化,在对首次注册流程进行了优化后,对S-CSCF侧和HSS侧的鉴权处理过程分别进行了详细的说明,明确、完善了整个鉴权流程。
本发明提供的鉴权装置主要设置于基于S-CSCF的网络设备中,该鉴权装置主要用于在确定UE的注册状态为非注册业务状态、且基于S-CSCF的网络设备自身存储有可供UE鉴权使用的鉴权信息时,根据基于S-CSCF的网络设备自身存储的鉴权信息继续UE和IMS网络之间的鉴权处理过程,也就是说,本发明的鉴权装置不需要执行图2中的步骤5和步骤6,具体如上述方法中的描述。
鉴权装置的主要功能由判决模块和鉴权模块来实现。
判决模块主要用于在确定用户设备UE的注册状态为非注册业务状态、且S-CSCF自身存储有可供UE鉴权使用的鉴权信息时,根据预定策略判断是否需要向HSS请求该与UE相关的鉴权信息,并将需要向HSS请求该与UE相关的鉴权五元组的信息或者不需要向HSS请求该与UE相关的鉴权五元组的信息通知鉴权模块。这里的预定策略可以为业务繁忙程度、预定时间段以及可用鉴权五元组数量等,具体如上述方法中的描述。
鉴权模块主要用于在接收到需要向HSS请求该与UE相关的鉴权五元组的通知时,通过MAR和MAA消息流从HSS处获得与UE相关的鉴权五元组信息,并根据其获得的鉴权五元组信息继续UE和IMS网络之间的鉴权处理过程,即继续图2中步骤6、步骤7及后面的鉴权流程;鉴权模块在接收到不需要向HSS请求该与UE相关的鉴权五元组信息的通知时,根据S-CSCF自身存储的与UE相关的鉴权五元组信息继续UE和IMS网络之间的鉴权处理过程,即继续图3中步骤3-6及后面的鉴权流程。具体如上述方法中的描述。
本发明提供的鉴权系统包括S-CSCF和HSS,S-CSCF中设置有鉴权装置,具体如上述实施例中对鉴权装置的描述。HSS中设置有注册状态变更模块,注册状态变更模块主要用于判断HSS接收到的消息流是否为S-CSCF注册通知的SAR消息流,如果不是注册的SAR消息流,则通知HSS进入其他消息流的处理过程;如果是注册的SAR消息流,则继续判断UE的注册状态,如果确定UE的注册状态为Not registered,将DIAMETER_ERROR_IN_ASSIGNMENT_TYPE返回至S-CSCF;如果注册状态变更模块确定UE的注册状态不为Not registered,则继续判断HSS接收的SAR消息流中的S-CSCF名称即IE Server-Name是否和HSS自身保存的为UE服务的S-CSCF名称一致,如果一致,注册状态变更模块将该UE的注册状态置为Registered,并向S-CSCF返回DIAMETER_SUCCESS信息;如果注册状态变更模块确定HSS接收的SAR消息流中的S-CSCF名称和HSS自身保存的为UE服务的S-CSCF名称不一致,则确定出现错误,向S-CSCF返回DIAMETER_ERROR_IDENTITY_ALREADY_REGISTERED信息。具体如上述方法中的描述。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,本发明的申请文件的权利要求包括这些变形和变化。
权利要求
1.一种IMS网络中的鉴权方法,其特征在于,所述方法包括服务呼叫会话控制功能S-CSCF在确定用户设备UE的注册状态为非注册业务状态、且其自身存储有可供UE鉴权使用的、与UE相关的鉴权信息时,S-CSCF根据所述存储的鉴权信息继续UE和IMS网络之间的鉴权处理过程。
2.如权利要求1所述的一种IMS网络中的鉴权方法,其特征在于,所述S-CSCF自身存储的可供UE鉴权使用的、与UE相关的鉴权信息为在该UE曾经进行过的鉴权过程中,S-CSCF通过媒体鉴权请求MAR和媒体鉴权应答MAA消息流获得的、且尚未使用的、与UE相关的鉴权信息。
3.如权利要求2所述的一种IMS网络中的鉴权方法,其特征在于S-CSCF通过MAR和MAA消息流获得与UE相关的鉴权信息时,S-CSCF在MAR消息流中携带归属签约用户服务器HSS支持的最大可申请的鉴权信息组的数量,HSS将所述数量的、与UE相关的鉴权信息组通过MAA消息流返回给S-CSCF。
4.如权利要求3所述的一种IMS网络中的鉴权方法,其特征在于,所述方法包括步骤动态配置所述MAR消息流中携带的HSS支持的最大可申请的鉴权信息组的数量。
5.如权利要求1所述的一种IMS网络中的鉴权方法,其特征在于,所述方法具体包括S-CSCF在确定用户设备UE的注册状态为非注册业务状态、且其自身存储有可供UE鉴权使用的、与UE相关的鉴权信息时,根据预定策略确定是否需要向HSS请求该与UE相关的鉴权信息;如果需要向HSS请求该与UE相关的鉴权信息,S-CSCF通过MAR和MAA消息流从HSS处获得与UE相关的鉴权信息,并根据其获得的鉴权信息继续UE和IMS网络之间的鉴权处理过程;如果不需要向HSS请求该与UE相关的鉴权信息,S-CSCF根据所述存储的、与UE相关的鉴权信息继续UE和IMS网络之间的鉴权处理过程。
6.如权利要求5所述的一种IMS网络中的鉴权方法,其特征在于,所述预定策略为业务量低于预定值、和/或预定时间段、和/或S-CSCF自身存储的可供UE鉴权使用的、与UE相关的鉴权信息组的数量为预定值。
7.如权利要求1至6中任一权利要求所述的一种IMS网络中的鉴权方法,其特征在于,所述方法还包括步骤HSS在接收到S-CSCF注册通知的SAR消息流、并确定UE的注册状态不为未注册、且SAR消息流中的S-CSCF名称与HSS自身存储的S-CSCF名称一致时,将UE的注册状态设置为已注册。
8.如权利要求7所述的一种IMS网络中的鉴权方法,其特征在于,所述方法还包括步骤HSS在接收到S-CSCF注册通知的SAR消息流、并确定UE的注册状态为未注册时,向S-CSCF返回DIAMETER_ERROR_IN_ASSIGNMENT_TYPE信息;或者HSS在接收到S-CSCF注册通知的SAR消息流、并确定SAR消息流中的S-CSCF名称与HSS自身存储的S-CSCF名称不一致时,向S-CSCF返回DIAMETER_ERROR_IDENTITY_ALREADY_REGISTERED信息。
9.一种鉴权装置,其特征在于,所述鉴权装置设置于基于服务呼叫会话控制功能S-CSCF的网络设备中;所述鉴权装置用于在确定用户设备UE的注册状态为非注册业务状态、且基于服务呼叫会话控制功能的网络设备自身存储有可供UE鉴权使用的鉴权信息时,根据所述存储的鉴权信息继续UE和IMS网络之间的鉴权处理过程。
10.如权利要求9所述的一种鉴权装置,其特征在于,所述鉴权装置包括判决模块和鉴权模块;判决模块用于在确定用户设备UE的注册状态为非注册业务状态、且S-CSCF自身存储有可供UE鉴权使用的鉴权信息时,根据预定策略判断是否需要向HSS请求该与UE相关的鉴权信息,并通知鉴权模块;鉴权模块用于在接收到需要向HSS请求该与UE相关的鉴权信息的通知时,通过MAR和MAA消息流从HSS处获得与UE相关的鉴权信息,并根据其获得的鉴权信息继续UE和IMS网络之间的鉴权处理过程;在接收到不需要向HSS请求该与UE相关的鉴权信息的通知时,根据S-CSCF自身存储的鉴权信息继续UE和IMS网络之间的鉴权处理过程。
11.一种鉴权系统,所述系统包括S-CSCF和HSS,其特征在于,所述S-CSCF中设置有鉴权装置,所述HSS中设置有注册状态变更模块;鉴权装置用于在确定用户设备UE的注册状态为非注册业务状态、且基于服务呼叫会话控制功能的网络设备自身存储有可供UE鉴权使用的鉴权信息时,根据所述存储的鉴权信息继续UE和IMS网络之间的鉴权处理过程;注册状态变更模块用于在HSS接收到S-CSCF注册通知的SAR消息流、并确定UE的注册状态不为未注册、且SAR消息流中的S-CSCF名称与HSS自身存储的S-CSCF名称一致时,将HSS中的UE的注册状态设置为已注册。
全文摘要
本发明提供一种IMS网络中的鉴权方法、鉴权装置和鉴权系统,通过利用S-CSCF自身存储的可供UE鉴权使用的鉴权信息,来完成UE和IMS网络之间的鉴权处理过程,为注册状态为Unregistered、且S-CSCF保存有鉴权信息的UE在下一次首次注册时,提供了一种可以忽略S-CSCF通过MAR、MAA消息流向HSS为UE申请鉴权五元组的鉴权方案实现流程;本发明通过减少MAR、MAA消息流的交互,优化了UE首次注册的鉴权流程,避免了HSS生成鉴权五元组向量的计算过程,减少了鉴权五元组的申请次数,减少了鉴权过程中的出错环节的数量;从而实现了提高UE的鉴权效率、提高UE鉴权成功率的目的。
文档编号H04L9/32GK1866823SQ20061000308
公开日2006年11月22日 申请日期2006年2月8日 优先权日2006年2月8日
发明者萧超海 申请人:华为技术有限公司