专利名称:一种ip多媒体子系统中的注册鉴权方法
技术领域:
本发明涉及通信领域,尤其涉及一种IP (Internet Protocol,互联网协议) 多4某体子系统中的注册鉴权方法。
背景技术:
IP多媒体子系统(IP Multimedia Core Network Subsystem,简称IMS )基 于初始会话协议(Session Initial Protocol,简称SIP),而SIP是一种在两方 或者多方之间创建、修改、终结会话的应用层协议。
IMS中主要的功能实体包括用户设备(User Equipment,简称UE ); 用于控制用户注册、会话控制等功能的呼叫控制实体(Serving Call Session Control Function,简称CSCF);用于集中管理用户签约数据的归属用户服务 器(Home Subscriber Server,简称HSS )。其中,CSCF又分为代理呼叫会话 控制实体(Proxy Call Session Control Function,简称P-CSCF),服务呼叫会 话控制实体(Serving Call Session Control Function,简称S-CSCF)。
用户接入IMS网络要使用SIP的注册、鉴权过程。SIP的鉴权过程可以 使用多种鉴权算法,包括AKA (Authentication and Key Agreement,认证和 密钥协商),HTTP-DIGEST (HyperText Transfer Protocol- DIGEST,超文本 传输协议摘要),EARLY- IMS (早期IMS) , NASS-Bundled (网络附着子 系统绑定)等。
IPSec (Internet Protocol Security,互联网协议安全)是一个标准的网络安 全协i&,为IP网络通信提供透明的安全服务,保护TCP/IP (Transfer Control Protocol/ Internet Protocol,传输控制协i义/互联网协议)通信免遭窃听和篡改, 可以有效抵御网络攻击,同时保持易用性。
IPSec有两个基本目标1)保护IP数据包安全;2 )为抵御网络攻击提供防护措施。IPSec是一种基于端对端的安全模式。收发双方建立IPSec连接 后,发送方在数据传输前对数据实施加密,在整个传输过程中,报文都是以 密文方式传输,直到数据到达目的节点,才由接收端对其进行解密。
在IMS网络中,只有在注册过程中使用AKA算法进行鉴权时,UE与 P-CSCF之间才能进行IPSec协商,建立IPSec连接。UE在其发往P-CSCF的 SIP注册请求(Register)的Require和Proxy-Require字段中添力口 Sec-agree参 数,并添加Security-Client字段,表示UE需要进行IPSec协商。
IMS网络使用SIP协议的注册鉴权过程,实现用户接入IMS网络。IMS 用户注册鉴权流程如图1所示,包括以下步骤
SlOl, UE向P-CSCF发送注册请求消息,该消息中携带采用AKA作为 鉴权算法的标识信息。
注册请求中的Authorization (鉴权)字段的algorithm (算法)参数值为 AKAvl-MD5时,表明鉴权算法为AKA;若注册请求不包含Authorization字
段,则鉴权算法不确定。
S102, P-CSCF进行IPSec检查;检查内容在3GPP (3rd Generation Partnership Project,第三代合作伙伴计划)协议中规定,包括Require和 Proxy-Require头字段中是否有Sec-agree参数,是否有正确的Security-Client 头字段等;检查成功则继续下一步;检查不成功,则回送失败响应,结束此 次注册流程。
S103, P-CSCF向S-CSCF转发用户注册请求消息。
S104, S-CSCF向HSS发送MAR (Multimedia Auth Request,多媒体认证 请求)消息,以获取用户鉴权信息。
S105, HSS向S-CSCF返回成功的MAA (Multimedia Auth Answer,多媒 体认证应答)消息,该消息中携带采用AKA作为鉴权算法的标识信息。
MAA中的SDP誦Auth誦Data-Item Avp (Attribute Value Pair,属性值对)下 的SIP-Authentication-Scheme Avp用于标识鉴权算法,如杲其值为 Digest-AKAvl-MD5则表明采用AKA鉴权。5107, S-CSCF向P-CSCF返回401挑战消息,该消息中携带采用AKA 作为鉴权算法的标识信息。
401挑战消息中的WWW-Authenticate (环球网-鉴权)字段的algorithm 参数值为AKAv卜MD5时,表明用户的鉴权算法为AKA。
5108, P-CSCF转发上述401挑战消息到UE。
图1的注册过程是3GPP规定的IMS用户注册过程,UE在其注册请求中 携带鉴权算法为AKA的标识信息。但在现有通信网络中,存在非IMS的SIP 终端,它们在注册请求中可能不携带鉴权算法标识信息(即不包含 Authorization字段或不包含algorithm参数);或者鉴权算法不是AKA,比如 HTTP-DIGEST;或者用户可能签约了多种鉴权算法,在不同情况下(如接入 网络不同;用户有不同终端,且终端支持不同的鉴权方式),使用不同的鉴 权算法,此时UE不能决定使用哪种鉴权算法。按照图1的注册过程,在鉴 权算法不是AKA的情况下,P-CSCF在收到UE的注册请求时,也要进行IPSec 检查,检查失败会导致注册过程异常终止。该过程如图2所示,其中用户签 约的鉴权算法为EARLY-IMS,包括以下步骤
S201, UE向P-CSCF发送注册请求,不携带鉴权算法标识信息(采用 EARLY-IMS鉴权时注册请求中没有鉴权算法),并且Require和Proxy-Require 头字段中没有Sec-agree参数。
S202, P-CSCF进行IPSec检查不成功。
S203, P-CSCF回送注册失败响应,结束此次注册流程。
由以上描述可知,由于现有技术中P-CSCF接收到UE的注册请求后立即 进行!PSec检查,并且在IPSec检查失败后向UE返回注册失败的响应,因此 对于不支持Authorization字段或algorithm参数的非IMS终端、或在发送注册 请求时无法确定鉴权算法的终端,无法正常进行注册和鉴权
发明内容
本发明所要解决的技术问题是,克服现有技术的不足,提供一种IMS中 的注册鉴权方法,以解决非IMS终端、或者支持多种鉴权算法的终端无法成 功进行注册鉴权并接入IMS网络的问题。
为了解决上述问题,本发明提供 一 种IP多媒体子系统中的注册鉴权方法, 该方法包括
接收到用户设备UE发送的注册请求消息后,代理呼叫会话控制实体 P-CSCF记录该消息中包含的互联网协议安全IPSec信息,并将该注册请求消 息转发给服务呼叫会话控制实体S-CSCF;
接收到所述注册请求消息后,S-CSCF获取所述UE所属用户的签约鉴权 算法信息,并将其发送给P-CSCF;
当且仅当所述用户的签约鉴权算法为认证和密钥协商AKA时,P-CSCF 根据记录的所述IPSec信息进行IPSec检查,并根据检查结果执行后续的注册 鉴权操作。
此夕卜,S-CSCF获取所述用户的签约鉴权算法信息后,将其包含在401挑 战请求消息中发送给P-CSCF。
此外,若进行所述IPSec检查的结果为成功,则P-CSCF将所述401挑战 请求消息转发给所述UE。
此外,接收到S-CSCF发送的所述401挑战请求消息后,若所述签约鉴 权算法信息表明所述用户的签约鉴权算法不是AKA,则P-CSCF不进行IPSec 检查,直接将所述401挑战请求消息转发给所述UE。
此外,若进行所述IPSec检查的结果为失败,则P-CSCF向所述UE返回 注册失败响应消息。
此外,所述IPSec信息包含Require和Proxy-Require字段中的Sec-agree 参数值、以及是否包含Security-Client字段。
此外,所述IPSec检查是指检查所述IPSec信息中的Require和 Proxy-Require字段中是否包含正确的Sec-agree参数值,以及是否包含 Security-Client字段。
此外,S-CSCF采用如下方法获取所述用户的签约鉴;f又算法信息S-CSCF向归属用户服务器HSS发送多媒体认证请求消息;
HSS向S-CSCF返回包含所述用户的签约鉴权算法信息的多媒体认证应 答消息。
综上所述,采用本发明的方法,使非IMS终端、或者支持多种鉴权算法 的终端可以成功进行注册鉴权并接入IMS网络。
图1是现有IMS网络中的成功进行注册鉴权及TPSec检查方法流程图2是现有IMS网络中的进行注册鉴权及IPSec检查失败的流程图3是本发明实施例当用户签约的鉴权算法为AKA,该用户的UE发起 的注册请求中不携带鉴权算法标识信息时,成功进行注册鉴权的流程图4是本发明实施例当用户签约的鉴权算法为AKA,该用户的UE发起 的注册请求中携带的鉴权算法标识信息为HTTP-DIGEST时,成功进行注册 鉴权的流程图5是本发明实施例当用户签约的鉴权算法为HTTP-DIGEST,该用户的 UE发起的注册请求中不携带的鉴权算法标识信息时,进行注册鉴权的流程
图6是本发明实施例当用户签约的鉴权算法为AKA,该用户的UE发起 的注册请求中不携带鉴权算法标识信息时,进行注册鉴权的流程图。
具体实施例方式
下面将结合附图和实施例对本发明进行详细描述。
图3是本发明实施例IP多媒体子系统中的注册鉴权方法流程图,本实施 例描述了用户签约的鉴权算法为AKA,该用户的UE发起的注册请求中不携 带鉴权算法标识信息时,成功进行注册鉴权的流程,包括如下步骤
S301, UE向P-CSCF发送注册请求消息,该消息中不携带鉴权算法标识 信息(即不包含Authorization字段,或不包含algorithm参数值)。S302, P-CSCF收到注册请求消息后,记录该请求消息中的IPSec信息, 但不进行IPSec检查。
IPSec信息包含Require和Proxy-Require字段中的Sec-agree参数值,是 否包含Security-Client字段。
S303, P-CSCF向S-CSCF转发注册请求消息。
5304, S-CSCF向HSS发送MAR消息,以获取用户鉴权信息。
5305, HSS向S-CSCF返回成功的MAA消息,该消息中包含用户鉴4又 信息,用户签约的鉴权算法标识信息;其中,用户签约的鉴权算法为AKA。
5306, S-CSCF根据HSS返回的MAA消息,确定此次注册使用的鉴权 算法为AKA
S307, S-CSCF向P-CSCF发送401挑战请求消息,该消息中携带鉴权算 法为AKA的标识信息。
5308, P-CSCF接收到401挑战请求消息后,获知采用AKA作为鉴权算 法,因此使用步骤S302中记录的IPSec信息进行IPSec检查,检查成功。
IPSec检查就是检查IPSec信息中(即UE发送的注册请求中)的Require 和Proxy-Require字段中是否包含正确的Sec-agree参数值,以及是否包含 Security-Client字段。
5309, P-CSCF转发401挑战请求消息到UE,该消息中携带鉴权算法为 AKA的标识信息。
图4是本发明实施例IP多媒体子系统中的注册鉴权方法流程图,本实施 例描述了用户签约的鉴权算法为AKA,该用户的UE发起的注册请求中携带 的鉴权算法标识信息为HTTP-DIGEST时,成功进行注册鉴权的流程,包括 如下步骤
S401, UE向P-CSCF发送注册请求消息,该消息中携带的鉴权算法标识 信息为HTTP-DIGEST。
S402 , P-CSCF收到注册请求消息后,记录该请求消息中的IPSec信息,但不进行IPSec检查。
5403, P-CSCF向S-CSCF转发注册请求消息。
5404, S-CSCF向HSS发送MAR消息,以获取用户鉴权信息。
5405, HSS向S-CSCF返回成功的MAA消息,该消息中包含用户鉴权 信息,用户签约的鉴权算法标识信息;其中,用户签约的鉴权算法为AKA。
S406, S-CSCF根椐HSS返回的MAA消息,确定此次注册使用的鉴权 算法为AKA。
S407, S-CSCF向P-CSCF发送401挑战请求消息,该消息中携带鉴权算 法为AKA的标识信息。
S408 , P-CSCF接收到401挑战请求消息后,获知采用AKA作为鉴权算 法,因此使用步骤S402中记录的TPSec信息进行IPSec检查,检查成功。
S409, P-CSCF转发401挑战请求消息到UE,该消息中携带鉴权算法为 AKA的标识信息。
图5是本发明实施例IP多々某体子系统中的注册鉴权方法流程图,本实施 例描述了用户签约的鉴权算法为HTTP-DIGEST,该用户的UE发起的注册请 求中不携带的鉴权算法标识信息时,进行注册鉴权的流程,包括如下步骤
5501, UE向P-CSCF发送注册请求消息,该消息中携带的鉴权算法标识 信息为HTTP-DIGEST。
5502, P-CSCF收到注册请求消息后,记录该请求消息中的TPSec信息, 但不进行IPSec检查。
S503, P-CSCF向S-CSCF转发注册请求消息。
5504, S-CSCF向HSS发送MAR消息,以获取用户鉴权信息。
5505, HSS向S-CSCF返回成功的MAA消息,该消息中包含用户鉴权 信息,用户签约的鉴权算法标识信息;其中,用户签约的鉴权算法为 HTTP-DIGEST 。
S506, S-CSCF根据HSS返回的MAA消息,确定此次注册使用的鉴权 算法为HTTP-DIGEST。S507, S-CSCF向P-CSCF发送401挑战请求消息,该消息中携带鉴权算 法为HTTP-DIGEST的标识信息。S508, P-CSCF接收到401挑战请求消息后,获知采用HTTP-DIGEST作 为鉴权算法,因此不进行IPSec检查。S509, P-CSCF转发401挑战请求消息到UE,该消息中携带鉴权算法为 HTTP-DIGEST的标识信息。图6是本发明实施例TP多々某体子系统中的注册鉴权方法流程图,本实施 例描述了用户签约的鉴权算法为AKA,该用户的UE发起的注册请求中不携 带鉴权算法标识信息时,进行注册鉴;f又的流程,包括如下步骤S601, UE向P-CSCF发送注册请求消息,该消息中不携带鉴权算法标识 信息(即不包含Authorization字段,或不包含algorithm参数值),并且该消 息的Proxy-Require头字段中没有Sec-agree参数。5602 , P-CSCF收到注册请求消息后,记录该请求消息中的IPSec信息, 但不进行IPSec检查。5603 , P-CSCF向S-CSCF转发注册请求消息。5604 , S-CSCF向HSS发送MAR消息,以获取用户鉴权信息。S605, HSS向S-CSCF返回成功的MAA消息,该消息中包含用户鉴权 信息,用户签约的鉴权算法标识信息;其中,用户签约的鉴权算法为AKA。S606, S-CSCF根据HSS返回的MAA消息,确定此次注册使用的鉴权 算法为AKA。S607, S-CSCF向P-CSCF发送401挑战请求消息,该消息中携带鉴权算 法为AKA的标识信息。S608, P-CSCF接收到401挑战请求消息后,获知采用AKA作为鉴权算 法,因此使用步骤S602中记录的IPSec信息进行IPSec检查,由于记录的IPSec 信息表明Proxy-Require头字段中没有Sec-agree参数,检查失败。
权利要求
1、一种IP多媒体子系统中的注册鉴权方法,其特征在于,该方法包括接收到用户设备UE发送的注册请求消息后,代理呼叫会话控制实体P-CSCF记录该消息中包含的互联网协议安全IPSec信息,并将该注册请求消息转发给服务呼叫会话控制实体S-CSCF;接收到所述注册请求消息后,S-CSCF获取所述UE所属用户的签约鉴权算法信息,并将其发送给P-CSCF;当且仅当所述用户的签约鉴权算法为认证和密钥协商AKA时,P-CSCF根据记录的所述IPSec信息进行IPSec检查,并根据检查结果执行后续的注册鉴权操作。
2、 如权利要求l所述的方法,其特征在于,S-CSCF获取所述用户的签约鉴权算法信息后,将其包含在401挑战请求 消息中发送给P-CSCF。
3、 如权利要求2所述的方法,其特征在于,若进行所述IPSec检查的结果为成功,则P-CSCF将所述401挑战请求消 息转发给所述UE。
4、 如权利要求2所述的方法,其特征在于,接收到S-CSCF发送的所述401挑战请求消息后,若所述签约鉴权算法 信息表明所述用户的签约鉴权算法不是AKA,则P-CSCF不进行IPSec检查, 直接将所述401挑战请求消息转发给所述UE。
5、 如权利要求l所述的方法,其特征在于,若进行所述IPSec检查的结果为失败,则P-CSCF向所述UE返回注册失 败响应消息。
6、 如权利要求l所述的方法,其特征在于,所述IPSec信息包含Require和Proxy-Require字段中的Sec-agree参数值、以及是否包含Security-Client字段。
7、 如权利要求7所述的方法,其特征在于,所述IPSec检查是指检查所述IPSec信息中的Require和Proxy-Require 字段中是否包含正确的Sec-agree参数值,以及是否包含Security-Client字段。
8、 如权利要求l所述的方法,其特征在于,S-CSCF采用如下方法获取所述用户的签约鉴权算法信息S-CSCF向归属用户服务器HSS发送多々某体认证请求消息;HSS向S-CSCF返回包含所述用户的签约鉴权算法信息的多媒体认证应 答消息。
全文摘要
一种IP多媒体子系统中的注册鉴权方法,该方法包括接收到用户设备UE发送的注册请求消息后,代理呼叫会话控制实体P-CSCF记录该消息中包含的互联网协议安全IPSec信息,并将该注册请求消息转发给服务呼叫会话控制实体S-CSCF;接收到所述注册请求消息后,S-CSCF获取所述UE所属用户的签约鉴权算法信息,并将其发送给P-CSCF;当且仅当所述用户的签约鉴权算法为认证和密钥协商AKA时,P-CSCF根据记录的所述IPSec信息进行IPSec检查,并根据检查结果执行后续的注册鉴权操作。采用本发明的方法,使非IMS终端、或者支持多种鉴权算法的终端可以成功进行注册鉴权并接入IMS网络。
文档编号H04W60/00GK101577910SQ20081014441
公开日2009年11月11日 申请日期2008年7月29日 优先权日2008年7月29日
发明者斌 王, 陶运锋 申请人:中兴通讯股份有限公司