用户认证方法、装置、系统、节点、服务器及存储介质与流程

文档序号:18084414发布日期:2019-07-06 10:22阅读:240来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
用户认证方法、装置、系统、节点、服务器及存储介质与流程

本发明涉及lte(longtermevolution,长期演进)核心网技术领域,尤其涉及一种用户认证方法、装置、系统、节点、服务器及存储介质。



背景技术:

随着lte的覆盖的增强和volte(voiceoverlte,lte语音)终端的普及,越来越多的人可以使用volte业务进行高清通话。目前的volte技术方案规定,终端需要至少经过eps(evolvedpacketsystem,演进分组系统)注册和ims(ipmultimediasubsystem,ip多媒体子系统)注册两个过程后,才能正常进行volte通话业务。其中eps注册过程包含有eps认证鉴权过程,ims注册过程包含ims认证鉴权的过程,eps鉴权采用的是epsaka(authenticationandkeyagreement,认证与密钥协商)技术,ims鉴权采用的是imsaka技术。为了符合ims接入无关性的设计初衷,两个注册过程即两次鉴权延续的思路是ims网络是叠加在eps网络之上的网络,两个网络具有独立性,因此终端在eps网络鉴权完成之后,同样也需要在ims网络鉴权。并且当出现如终端通过wifi网络接入,或者在国外其他运营商漫游接入到归属地ims网络等情况时,由于接入网络与ims网络不是同一运营商的网络,也就是接入网非ims网络信任的网络,因此从安全角度出发,eps鉴权完成之后,ims网络对终端单独鉴权是有必要的。

由于目前普遍的方案为一次eps鉴权过程和一次ims鉴权过程,因此当volte终端接入的eps网络与ims网络都是同一个运营商的场景下,且终端所在运营商的ims网络可以信任同一运营商的eps鉴权结果时,仍然需要两次鉴权。例如设定如下场景,某一个运营商拥有整套volte的网络,也就是eps网络及ims网络,属于这个运营商的用户在本运营商eps网络接入使用volte业务,按照现有的两次鉴权流程是:首先volte终端附着到eps网络,volte终端在eps网络中进行鉴权,鉴权通过后eps网络中为volte终端建立默认承载,在默认承载建立后,volte终端向ims网络注册,注册过程中volte终端在ims网络中进行鉴权,鉴权通过后成功注册。

eps网络和ims网络属于同一运营商时,因为eps网络与ims网络是互相信任的网络,所以eps网络鉴权后,ims网络再对同一个终端进行鉴权的必要性并不强,并且在每次鉴权过程中,终端与网络之间会产生信令交互,每次信令交互都会占用有限的无线资源,并且会消耗终端电量。



技术实现要素:

本发明提供了一种用户认证方法、装置、系统、节点、服务器及存储介质,用以解决现有技术中过多占用无线资源和消耗终端电量的问题。

本发明提供一种用户认证方法,应用于移动管理节点mme,该方法包括:

接收ue发送的lte语音volte业务的附着请求,所述附着请求中携带所述ue归属用户的待验证信息;

根据所述待验证信息,对所述用户进行演进分组系统eps网络鉴权;

如果确定所述用户在eps网络中鉴权通过,根据所述待验证信息中包括的国际移动用户识别码imsi,判断所述用户是否为自身保存的ip多媒体子系统ims网络所属运营商的用户;

如果是,确定所述用户在ims网络中鉴权通过,将所述用户在所述ims网络中鉴权通过的第一鉴权结果信息,发送给所述ue和归属用户服务器hss。

进一步地,如果所述用户非ims网络所属运营商的用户,则所述方法还包括:

将所述用户在所述ims网络中鉴权未通过的第二鉴权结果信息,发送给所述ue和所述hss。

进一步地,所述确定所述用户在eps网络中鉴权通过后,在根据所述待验证信息中包括的imsi,判断所述用户是否为自身保存的ims网络所属运营商的用户之前,所述方法还包括:

判断所述待验证信息中是否包括联合认证标识;

如果是,进行后续步骤。

进一步地,如果确定所述用户在eps网络中鉴权通过,所述方法还包括:

确定所述用户的完整性保护密钥和加密密钥;

所述确定所述用户在ims网络中鉴权通过后,在所述将所述用户在所述ims网络中鉴权通过的第一鉴权结果信息发送给所述ue和hss之前,所述方法还包括:

生成携带有所述用户的完整性保护密钥和加密密钥的第一鉴权结果信息。

进一步地,如果确定所述用户在eps网络中鉴权通过,则所述方法还包括:

向网关发送携带所述ue的信息的控制信息,使所述网关接收到所述控制信息后,建立与所述ue之间的默认承载。

本发明提供一种用户认证方法,应用于呼叫会话控制功能cscf节点,该方法包括:

接收ue发送的lte语音volte业务的ip多媒体子系统ims注册请求,所述注册请求中携带所述ue归属用户的待注册信息;

根据所述待注册信息中包括的国际移动用户识别码imsi,向归属用户服务器hss发送携带有所述imsi的多媒体鉴权请求;

接收所述hss返回的多媒体鉴权响应;

如果所述多媒体鉴权响应中,携带有所述用户在ims网络中鉴权通过的第一鉴权结果信息,将所述用户在所述ims网络中注册成功的信息发送给所述ue。

进一步地,如果所述多媒体鉴权响应中,携带有所述用户在ims网络中鉴权通过的第一鉴权结果信息,所述方法还包括:

在所述第一鉴权结果信息中,获取并保存所述用户后续发起呼叫时,进行解密的所述用户的完整性保护密钥和加密密钥。

进一步地,如果所述多媒体鉴权响应中,携带有所述用户在所述ims网络中鉴权未通过的第二鉴权结果信息,所述方法还包括:

向所述ue返回拒绝所述注册请求的信息。

本发明提供一种用户认证方法,应用于归属用户服务器hss,该方法包括:

接收呼叫会话控制功能cscf节点发送的携带用户的国际移动用户识别码imsi的多媒体鉴权请求;

查找所述imsi的鉴权结果信息,将所述鉴权结果信息携带在多媒体鉴权响应中返回给所述cscf节点,其中所述鉴权结果信息为移动管理节点mme发送给所述hss的。

进一步地,如果所述鉴权结果信息为所述用户在ims网络中鉴权通过的第一鉴权结果信息,所述将所述鉴权结果信息携带在多媒体鉴权响应中返回给所述cscf节点包括:

将携带有所述用户的完整性保护密钥和加密密钥的第一鉴权结果信息,携带在多媒体鉴权响应中返回给cscf节点。

本发明提供一种用户认证装置,应用于移动管理节点mme,该装置包括:

接收模块,用于接收ue发送的lte语音volte业务的附着请求,所述附着请求中携带所述ue归属用户的待验证信息;

鉴权模块,用于根据所述待验证信息,对所述用户进行演进分组系统eps网络鉴权;

判断模块,用于如果确定所述用户在eps网络中鉴权通过,根据所述待验证信息中包括的国际移动用户识别码imsi,判断所述用户是否为自身保存的ip多媒体子系统ims网络所属运营商的用户;

确定模块,用于确定所述用户在ims网络中鉴权通过,将所述用户在所述ims网络中鉴权通过的第一鉴权结果信息,发送给所述ue和归属用户服务器hss。

本发明提供一种移动管理节点mme,包括存储器、处理器和收发机;

所述处理器,用于读取所述存储器中的程序,执行下列过程:控制所述收发机接收ue发送的lte语音volte业务的附着请求,所述附着请求中携带所述ue归属用户的待验证信息;根据所述待验证信息,对所述用户进行演进分组系统eps网络鉴权;如果确定所述用户在eps网络中鉴权通过,根据所述待验证信息中包括的国际移动用户识别码imsi,判断所述用户是否为自身保存的ip多媒体子系统ims网络所属运营商的用户;如果是,确定所述用户在ims网络中鉴权通过,控制所述收发机将所述用户在所述ims网络中鉴权通过的第一鉴权结果信息,发送给所述ue和归属用户服务器hss。

进一步地,所述处理器,还用于如果所述用户非ims网络所属运营商的用户,控制所述收发机将所述用户在所述ims网络中鉴权未通过的第二鉴权结果信息,发送给所述ue和所述hss。

进一步地,所述处理器,还用于确定所述用户在eps网络中鉴权通过后,判断所述待验证信息中是否包括联合认证标识;如果是,根据所述待验证信息中包括的imsi,判断所述用户是否为自身保存的ims网络所属运营商的用户。

进一步地,所述处理器,还用于如果确定所述用户在eps网络中鉴权通过,确定所述用户的完整性保护密钥和加密密钥;生成携带有所述用户的完整性保护密钥和加密密钥的第一鉴权结果信息。

进一步地,所述处理器,用于如果确定所述用户在eps网络中鉴权通过,向网关发送携带所述ue的信息的控制信息,使所述网关接收到所述控制信息后,建立与所述ue之间的默认承载。

本发明提供一种用户认证装置,应用于呼叫会话控制功能cscf节点,所述装置包括:

第一接收模块,用于接收ue发送的lte语音volte业务的ip多媒体子系统ims注册请求,所述注册请求中携带所述ue归属用户的待注册信息;

第一发送模块,用于根据所述待注册信息中包括的国际移动用户识别码imsi,向归属用户服务器hss发送携带有所述imsi的多媒体鉴权请求;

第二接收模块,用于接收所述hss返回的多媒体鉴权响应;

第二发送模块,用于如果所述多媒体鉴权响应中,携带有所述用户在ims网络中鉴权通过的第一鉴权结果信息,将所述用户在所述ims网络中注册成功的信息发送给所述ue。

本发明提供一种呼叫会话控制功能cscf节点,包括存储器、处理器和收发机;

所述处理器,用于读取所述存储器中的程序,执行下列过程:控制所述收发机接收ue发送的lte语音volte业务的ip多媒体子系统ims注册请求,所述注册请求中携带所述ue归属用户的待注册信息;根据所述待注册信息中包括的国际移动用户识别码imsi,向归属用户服务器hss发送携带有所述imsi的多媒体鉴权请求;接收所述hss返回的多媒体鉴权响应;如果所述多媒体鉴权响应中,携带有所述用户在ims网络中鉴权通过的第一鉴权结果信息,控制所述收发机将所述用户在所述ims网络中注册成功的信息发送给所述ue。

进一步地,所述处理器,还用于如果所述多媒体鉴权响应中,携带有所述用户在ims网络中鉴权通过的第一鉴权结果信息,在所述第一鉴权结果信息中,获取并保存所述用户后续发起呼叫时,进行解密的所述用户的完整性保护密钥和加密密钥。

进一步地,所述处理器,还用于如果所述多媒体鉴权响应中,携带有所述用户在所述ims网络中鉴权未通过的第二鉴权结果信息,控制所述收发机向所述ue返回拒绝所述注册请求的信息。

本发明提供一种用户认证装置,应用于归属用户服务器hss,所述装置包括:

接收模块,用于接收呼叫会话控制功能cscf节点发送的携带用户的国际移动用户识别码imsi的多媒体鉴权请求;

发送模块,用于查找所述imsi的鉴权结果信息,将所述鉴权结果信息携带在多媒体鉴权响应中返回给所述cscf节点,其中所述鉴权结果信息为移动管理节点mme发送给所述hss的。

本发明提供一种归属用户服务器hss,包括存储器、处理器和收发机;

所述处理器,用于读取所述存储器中的程序,执行下列过程:接收呼叫会话控制功能cscf节点发送的携带用户的国际移动用户识别码imsi的多媒体鉴权请求;查找所述imsi的鉴权结果信息,将所述鉴权结果信息携带在多媒体鉴权响应中返回给所述cscf节点,其中所述鉴权结果信息为移动管理节点mme发送给所述hss的。

进一步地,所述处理器,具体用于如果所述鉴权结果信息为所述用户在ims网络中鉴权通过的第一鉴权结果信息,将携带有所述用户的完整性保护密钥和加密密钥的第一鉴权结果信息,携带在多媒体鉴权响应中返回给cscf节点。

本发明提供一种移动管理节点mme,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;

所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行上述任一项所述方法的步骤。

本发明提供一种计算机可读存储介质,其存储有可由移动管理节点mme执行的计算机程序,当所述程序在所述mme上运行时,使得所述mme执行上述任一项所述方法的步骤。

本发明提供一种呼叫会话控制功能cscf节点,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;

所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行上述任一项所述方法的步骤。

本发明提供一种计算机可读存储介质,其存储有可由呼叫会话控制功能cscf节点执行的计算机程序,当所述程序在所述cscf节点上运行时,使得所述cscf节点执行上述任一项所述方法的步骤。

本发明提供一种归属用户服务器hss,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;

所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行上述任一项所述方法的步骤。

本发明提供一种计算机可读存储介质,其存储有可由呼叫会话控制功能cscf节点执行的计算机程序,当所述程序在所述cscf节点上运行时,使得所述cscf节点执行上述任一项所述方法的步骤。

本发明提供一种用户认证系统,所述用户认证系统包括:如上述任一所述的移动管理节点mme,如上述任一所述的呼叫会话控制功能cscf节点,和如上述任一所述的归属用户服务器hss。

本发明提供了一种用户认证方法、装置、系统、节点、服务器及存储介质,该方法应用于mme,包括接收ue发送的volte业务的附着请求,所述附着请求中携带所述ue归属用户的待验证信息;根据所述待验证信息,对所述用户进行eps网络鉴权;如果确定所述用户在eps网络中鉴权通过,根据所述待验证信息中包括的imsi,判断所述用户是否为自身保存的ims网络所属运营商的用户;如果是,确定所述用户在ims网络中鉴权通过,将所述用户在所述ims网络中鉴权通过的第一鉴权结果信息,发送给所述ue和hss。本发明对eps网络鉴权通过的用户,当确定该用户为自身保存的ims网络所属运营商的用户时,认为用户在ims网络中鉴权通过,在鉴权过程中,只需对用户进行一次网络鉴权,即可实现用户在eps网络和ims网络中的联合认证,减少了ue与网络侧设备之间的信令交互,从而减少了无线资源的使用以及ue电量的消耗。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。

图1为本发明实例1提供的一种用户认证过程的示意图;

图2为本发明实例4提供的一种用户认证过程的示意图;

图3为本发明实施例6提供的一种用户在eps网络和ims网络中的联合认证流程图;

图4为本发明实施例7提供的一种用户认证过程的示意图;

图5为本发明实施例9提供的一种用户认证系统的结构示意图;

图6为本发明实施例10提供的一种mme的结构示意图;

图7为本发明实施例11提供的一种mme的结构示意图;

图8为本发明实施例13提供的一种cscf节点的结构示意图;

图9为本发明实施例14提供的一种cscf节点的结构示意图;

图10为本发明实施例16提供的一种hss的结构示意图;

图11为本发明实施例17提供的一种hss的结构示意图;

图12为本发明实施例提供的一种应用于mme的用户认证装置示意图;

图13为本发明实施例提供的一种应用于cscf节点的用户认证装置示意图;

图14为本发明实施例提供的一种应用于hss的用户认证装置示意图。

具体实施方式

为了减少了无线资源的使用以及终端电量的消耗,本发明实施例提供了一种用户认证方法、装置、系统、节点、服务器及存储介质。

为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

实施例1:

图1为本发明实施例提供的一种用户认证过程的示意图,该过程包括以下步骤:

s101:接收ue(userequipment,用户终端)发送的volte业务的附着请求,所述附着请求中携带所述ue所属用户的待验证信息。

本发明实施例提供的用户认证方法应用于mme(mobilitymanagemententity,移动管理节点)。

mme位于eps网络中,当用户想要使用volte业务进行语音通话时,会使用ue向mme发送volte业务的附着请求(attachrequest),具体地,ue搜索与ue距离最近的基站enb,向enb发送附着请求,通过enb将附着请求转发给mme,从而使mme接收到ue发送的volte业务的附着请求。

ue发送的附着请求中携带有ue归属用户的待验证信息,ue归属用户的待验证信息可以与现有技术中附着请求中携带的信息相同,如包括ue所在地理位置的信息,用户的imsi(internationalmobilesubscriberidentificationnumber,国际移动用户识别码)等。

s102:根据所述待验证信息,对所述用户进行eps网络鉴权。

mme根据附着请求中携带的待验证信息,对用户进行eps网络鉴权,并确定用户在eps网络中是否鉴权通过。

具体地,mme可以是采用epsaka双向鉴权机制,对用户进行eps网络鉴权。

mme采用epsaka双向鉴权机制,对用户进行eps网络鉴权的过程与现有技术相同,在本发明实施例中不做赘述。

s103:如果确定所述用户在eps网络中鉴权通过,根据所述待验证信息中包括的imsi,判断所述用户是否为自身保存的ims网络所属运营商的用户;如果是,进行s104,如果否,进行s105。

mme如果确定用户在eps网络中鉴权通过,则为了减少ue与网络侧设备的信令交互,mme可以继续判断用户在ims网络中是否鉴权通过。

mme自身保存有ims网络的标识信息,mme中保存的ims网络的标识信息可以为与mme所在eps网络属于同一运营商的ims网络的标识信息,因此mme保存的ims网络所属运营商,即为自身所属运营商,或自身所在的eps网络所属运营商。mme可以根据ims网络的标识信息,保存该标识信息对应的ims网络所属运营商内全部用户的imsi信息。mme根据待验证信息中包括的待验证的用户的imsi,判断ims网络所属运营商内全部用户的imsi信息中,是否存在待验证的用户的imsi,从而根据待验证信息中包括的imsi,判断待验证的用户是否为自身保存的ims网络所属运营商的用户。

mme中保存的运营商内全部用户的imsi信息,可以为在hss(homesubscriberserver,归属用户服务器)中获取后保存的。

如果ims网络所属运营商内全部用户的imsi信息中存在该imsi,则确定该用户为自身保存的ims网络所属运营商的用户;如果ims网络所属运营商内全部用户的imsi信息中不存在该imsi,则确定该用户非自身保存的ims网络所属运营商的用户。

mme根据用户是否为自身保存的ims网络所属运营商的用户,确定用户是否在ims网络中鉴权通过,如果用户为ims网络所属运营商的用户,则确定用户在ims网络中鉴权通过,进行s104,如果用户非ims网络所属运营商的用户,则确定用户在ims网络中鉴权未通过,进行s105。

s104:确定所述用户在ims网络中鉴权通过,将所述用户在所述ims网络中鉴权通过的第一鉴权结果信息,发送给所述ue和hss。

如果该用户为自身保存的ims网络所属运营商的用户,则确定该用户为本网用户,用户在ims网络中鉴权通过。

mme将该用户在ims网络中鉴权通过的第一鉴权结果信息,发送给ue和hss,ue接收到第一鉴权结果信息后,可以进行后续ims注册的过程,hss接收到第一鉴权结果信息后,针对该用户保存第一鉴权结果信息。

mme将第一鉴权结果信息发送给ue和hss时,可以将依据现有3gpp传输协议,将第一鉴权结果信息携带在epf附着结果信息中,发送给ue和hss。

由于mme确定该用户在eps网络和ims网络中均鉴权通过,因此可以认为用户在eps网络和ims网络中的联合认证通过,hss当接收到用户在ims网络中鉴权通过的第一鉴权结果信息后,还可以保存用户在eps网络和ims网络中的联合认证通过的鉴权结果信息。

mme只进行了一次对用户的网络鉴权过程和简单的逻辑判断,即可实现用户在eps网络和ims网络中的联合认证,减少了ue与ims网络之间鉴权的信令流程,从而减少了无线资源的使用以及终端电量的消耗。

s105:将所述用户在所述ims网络中鉴权未通过的第二鉴权结果信息,发送给所述ue和所述hss。

如果用户非自身保存的ims网络所属运营商的用户,则确定用户非本网用户,用户在ims网络中鉴权未通过。

mme将用户在ims网络中鉴权未通过的第二鉴权结果信息,发送给ue和hss,ue接收到第二鉴权结果信息,可以发起ims鉴权的过程,hss接收到第二鉴权结果信息后,针对该用户保存第二鉴权结果信息。

mme将第二鉴权结果信息发送给ue和hss时,可以将依据现有3gpp传输协议,将第二鉴权结果信息携带在epf附着结果信息中,发送给ue和hss。

由于mme确定该用户在ims网络未鉴权通过,因此hss当接收到用户在ims网络鉴权未通过的第二鉴权结果信息后,还可以保存用户仅在eps网络中鉴权通过的鉴权结果信息。

hss在接收到mme发送的鉴权结果信息后,针对用户保存鉴权结果信息。当接收到用户的附着请求后,mme可以先在hss中查询是否保存有该用户的鉴权结果信息,如果保存有该用户的鉴权结果信息,并且该用户的鉴权结果信息,为用户在ims网络中鉴权通过的第一鉴权结果信息,则可以直接确定该用户在eps和ims网络中鉴权通过,无需再次进行鉴权。

如果hss中未保存有该用户的鉴权结果信息,则mme对用户进行eps网络鉴权和ims网络鉴权。

本发明实施例中对eps网络鉴权通过的用户,当确定该用户为自身保存的ims网络所属运营商的用户时,认为用户在ims网络中鉴权通过,在鉴权过程中,只需对用户进行一次网络鉴权,即可实现用户在eps网络和ims网络中的联合认证,减少了ue与网络侧设备之间的信令交互,从而减少了无线资源的使用以及ue电量的消耗。

实施例2:

在上述实施例的基础上,本发明实施例中,所述确定所述用户在eps网络中鉴权通过后,在根据所述待验证信息中包括的imsi,判断所述用户是否为自身保存的ims网络所属运营商的用户之前,所述方法还包括:

判断所述待验证信息中是否包括联合认证标识;

如果是,进行后续步骤。

mme可能同时接收并处理大量ue的附着请求,因此为了减少mme的处理压力,ue可以将联合认证标识包含在待验证信息中,mme对不包含联合认证标识的附着请求,只进行eps网络鉴权,不进行ims网络鉴权,从而减少mme的处理压力。

ue确定用户当前使用volte业务时,还可以在附着请求中携带有新增联合认证标识,该联合认证标识可以包括在待验证信息中,mme确定用户在eps网络中鉴权通过后,判断待验证信息中是否包括联合认证标识,如果是,则mme继续判断用户在ims网络中是否鉴权通过。

如果mme确定待验证信息中不包括联合认证标识,则mme可以不进行用户的ims网络鉴权。

该待验证信息中包括的联合认证标识,可以是基于3gpp24.301nas协议,在epsattachtypeinformationelement(附加类型信息元素)中增加对应的标识。更新后附加类型信息元素的标识及标识值如表1所示:

表1增强的epsattachtypeinformationelement

如表1所示,标识值为001的标识表示epsattach即eps附着,标识值为010的标识表示combinedeps/imsiattach即eps/imsi联合附着,标识值为110的标识表示epsemergencyattach即eps紧急附着,标识值为011的标识表示combinedeps/imsauthentication即eps/ims联合认证,标识值为111的标识表示reserved即预留标识。

依据表1中更新后附加类型信息元素的标识及标识值,当mme确定待验证信息中包括011的联合认证标识,则表示ue发起了联合认证,当mme确定用户在eps网络中鉴权通过后,继续判断用户在ims网络中是否鉴权通过。

如果待验证信息中包括联合认证标识,则mme对用户进行ims网络鉴权后,还可以将用户在eps网络和ims网络中的联合认证结果返回给ue和hss,具体地,mme将联合认证结果携带在eps附着结果信息中返回给ue和hss。该eps网络和ims网络的联合认证结果,可以是基于3gpp24.301nas协议,在epsattachresultvalue(eps附着结果值)中增加对应的附着结果标识,更新后的附着结果标识及标识值如表2所述:

表2增强的epsattachresultvalue

如表2所示,标识值为001的标识表示epsonly即仅附着了eps网络,标识值为010的标识表示combinedeps/imsiattach即eps/imsi联合附着,标识值为100的标识表示即epsauthenticationonly仅通过了epsaka鉴权,标识值为110的标识表示combinedeps/imsauthentication即eps和ims联合认证通过。

由于本发明实施例中ue将联合认证标识包含在待验证信息中,mme对不包含联合认证标识的附着请求,只进行eps网络鉴权,不进行ims网络鉴权,减少了mme的处理压力。

实施例3:

在上述各实施例的基础上,本发明实施例中,如果确定所述用户在eps网络中鉴权通过,所述方法还包括:

确定所述用户的完整性保护密钥和加密密钥;

所述确定所述用户在ims网络中鉴权通过后,在所述将所述用户在所述ims网络中鉴权通过的第一鉴权结果信息发送给所述ue和hss之前,所述方法还包括:

生成携带有所述用户的完整性保护密钥和加密密钥的第一鉴权结果信息。

为了保证ue后续发起的语音呼叫中数据的安全性,mme在用户eps网络中鉴权通过时,会产生用于用户后续发起呼叫时,加密数据的完整性保护密钥和加密密钥。

mme确定用户在eps网络中鉴权通过后,还会生成用户的完整性保护密钥和加密密钥,具体地mme以ck(cipheringkey,加密密钥)/ik(integritykey,完整性保护密钥)密钥对的形式,生成用户的完整性保护密钥和加密密钥。

所述mme生成用户的完整性保护密钥和加密密钥的过程属于现有技术,在本发明实施例中不做赘述。

mme在确定用户在ims网络中鉴权通过后,将用户的完整性保护密钥和加密密钥携带在第一鉴权结果信息中,生成携带有用户的完整性保护密钥和加密密钥的第一鉴权结果信息,将第一鉴权结果信息发送给ue和hss。

ue根据用户的完整性保护密钥和加密密钥,来对ue发送的数据进行加密,以及对ue接收的数据进行解密。

用户的完整性保护密钥和加密密钥是在eps网络鉴权通过后生成的,ue通常在ims网络鉴权通过后,才会使用用户的完整性保护密钥和加密密钥对数据进行加解密,因此对于用户在ims网络中鉴权未通过的第二鉴权结果信息,mme在第二鉴权结果信息中可以不携带用户的完整性保护密钥和加密密钥。

为了方便ue进行后续ims注册,则mme确定用户在ims网络中鉴权通过后,还会建立该ue与ims网络之间的默认承载,当默认承载建立完成后,ue通过该默认承载与ims网络进行信令交互。

建立默认承载的过程可以是:如果确定所述用户在eps网络中鉴权通过,则所述方法还包括:

向网关发送携带所述ue的信息的控制信息,使所述网关接收到所述控制信息后,建立与所述ue之间的默认承载。

mme建立确定用户在eps网络中鉴权通过,将携带ue的信息的控制信息发送给网关。网关接收到控制信息后,根据ue的信息,建立与该ue之间的默认承载。

网关可以为s/pgw,s/pgw包括sgw(servinggateway,服务网关)和pgw(pdngateway,pdn网关),则建立的ue与网关之间的默认承载为ue与s/pgw之间的默认承载,ue的信息可以为ue所属用户的imsi,也可以为此时为ue分配的ip地址信息等。

网关建立ue与网关之间默认承载的过程属于现有技术,在本发明实施例中不做赘述。

由于本发明实施例中mme在用户eps网络中鉴权通过时,会产生用于用户后续发起呼叫时,加密数据的完整性保护密钥和加密密钥,保证了ue后续发起的语音呼叫中数据的安全性。

实施例4:

图2为本发明实施例提供的一种用户认证过程的示意图,包括以下步骤:

s201:接收ue发送的volte业务的ims注册请求,所述注册请求中携带所述ue归属用户的待注册信息。

本发明实施例提供的用户认证方法应用于cscf(callsessioncontrolfunction,呼叫会话控制功能)节点,cscf节点位于ims网络中,cscf节点包括sbc(sessionbordercontroller,会话边界控制)/p-cscf(proxy-cscf,代理呼叫会话控制功能)节点,以及i/s-cscf节点,其中i/s-cscf节点包括i-cscf(interrogating-cscf,询问呼叫会话控制功能)节点和s-cscf(serving-cscf,服务呼叫会话控制功能)节点。

mme自身保存有ims网络的标识信息,ims网络的标识信息通常为位于该ims网络中的cscf节点的ip地址信息。mme还可以在用户的第一鉴权结果信息中携带有ims网络的标识信息发送给ue和hss,即将携带有cscf节点的ip地址的第一鉴权结果信息发送给ue和hss。ue根据cscf节点的ip地址,通过建立的默认承载,向cscf节点发送volte业务的ims注册请求,因为默认承载为ue与s/pgw之间的默认承载,因此ue发送的ims注册请求,通过s/pgw转发给该ip地址对应的cscf节点。

ims注册请求中携带有ue归属用户的待注册信息,待注册信息可以与现有技术中待注册信息相同或不同,待注册信息中至少包括待注册的用户的imsi。具体地,根据现有的3gpp传输协议,ims注册请求为sip(sessioninitiationprotocol,会话初始协议)register(注册)信令,sipregister信令中的authorization(授权)头中携带impi=imsi@ims.mnc000.mcc460.3gppnetwork.org,impu=sip:imsi@ims.mnc000.mcc460.3gppnetwork.org的信息。

具体地,用于接收sipregister信令的cscf节点可以为sbc/p-cscf节点。sbc/p-cscf节点将sipregister信令转发给i/s-cscf节点,i/s-cscf节点对用户进行ims注册。

s202:根据所述待注册信息中包括的imsi,向hss发送携带有所述imsi的多媒体鉴权请求。

i/s-cscf节点进行用户的ims注册处理。

hss中保存有ims网络所属运营商所有用户的信息及用户的鉴权结果信息,因此i/s-cscf节点根据待注册信息中包括的imsi,向hss发送携带有该imsi的多媒体鉴权请求,具体i/s-cscf节点发送的多媒体鉴权请求为mar(multimedia-authorization-request)。

s203:接收所述hss返回的多媒体鉴权响应。

hss接收到i/s-cscf节点的多媒体鉴权请求后,根据多媒体鉴权请求中携带的用户的imsi,以及保存的ims网络所属运营商所有用户的信息及用户的鉴权结果信息,确定多媒体鉴权请求中携带的imsi对应用户的鉴权结果信息。

将imsi对应用户的鉴权结果信息携带在多媒体鉴权响应中,返回给i/s-cscf节点,从而i/s-cscf节点接收hss返回的多媒体鉴权响应,具体i/s-cscf节点接收的多媒体鉴权响应为maa(multimedia-authorization-answer)。

s204:如果所述多媒体鉴权响应中,携带有所述用户在ims网络中鉴权通过的第一鉴权结果信息,将所述用户在所述ims网络中注册成功的信息发送给所述ue。

i/s-cscf节点根据多媒体鉴权响应,识别多媒体鉴权响应中携带的用户的鉴权结果信息,如果在多媒体鉴权响应中,确定携带的用户的鉴权结果信息为用户在ims网络中鉴权通过的第一鉴权结果信息,则确定用户已经完成ims网络中鉴权。具体地当i/s-cscf节点接收到的多媒体鉴权响应为maa(trustedimsi),即多媒体鉴权响应中指示该用户的imsi为可信imsi,则i/s-cscf节点确定用户在ims网络中鉴权通过。

i/s-cscf节点确定用户已经完成ims网络中鉴权后,更新用户的注册状态为在ims网络中已注册的状态,将用户在ims网络中注册成功的信息发送给ue,指示ue已经完成ims注册,可以发起语音呼叫。

i/s-cscf节点将用户在ims网络中注册成功的信息发送给ue,可以是通过sbc/p-cscf转发给ue的,根据3gpp协议,该用户在ims网络中注册成功的信息可以为200ok,也就是i/s-cscf节点将200ok,通过sbc/p-cscf转发给ue,ue接收到200ok后,确定用户在ims网络中注册成功。

本发明实施例中,cscf节点接收到ue的ims网络注册请求后,cscf节点无需对用户额外进行一次ims网络鉴权,通过直接在hss中获取用户的ims鉴权结果,来确定用户在ims网络中是否鉴权通过,减少了ue与网络侧设备之间的信令交互,从而减少了无线资源的使用以及ue电量的消耗。

实施例5:

在上述实施例的基础上,本发明实施例中,如果所述多媒体鉴权响应中,携带有所述用户在ims网络中鉴权通过的第一鉴权结果信息,所述方法还包括:

在所述第一鉴权结果信息中,获取并保存所述用户后续发起呼叫时,进行解密的所述用户的完整性保护密钥和加密密钥。

为了实现呼叫控制,cscf节点获取进行解密的用户的完整性保护密钥和加密密钥,从而对用户语音呼叫中的数据进行解密,实现呼叫控制。

如果hss中保存的第一鉴权结果信息中携带有用户的完整性保护密钥和加密密钥,则hss返回多媒体鉴权响应时还会携带用户的完整性保护密钥和加密密钥,如以maa(trustedimsick,ik)的形式发送多媒体鉴权响应。

i/s-cscf节点可以在多媒体鉴权响应的第一鉴权结果信息中,获取用户的完整性保护密钥和加密密钥,i/s-cscf节点针对该imsi对应的用户,保存用户的完整性保护密钥和加密密钥。

当用户发起语音呼叫时,i/s-cscf节点采用完整性保护密钥和加密密钥对呼叫中语音呼叫中加密的数据进行解密,以进行后续的呼叫控制。

此外,i/s-cscf节点还可以采用完整性保护密钥和加密密钥,对发送给用户对应的ue的数据进行加密,进一步实现数据安全。

由于本发明实施例中,cscf节点获取进行解密的用户的完整性保护密钥和加密密钥,从而对用户语音呼叫中的数据进行解密,实现呼叫控制。

实施例6:

在上述各实施例的基础上,本发明实施例中,如果所述多媒体鉴权响应中,携带有所述用户在所述ims网络中鉴权未通过的第二鉴权结果信息,所述方法还包括:

向所述ue返回拒绝所述注册请求的信息。

为了保证用户能够正常使用volte业务,cscf节点确定用户在ims网络中鉴权未通过时,返回注册请求的拒绝信息,使ue继续发起ims网络鉴权。

i/s-cscf节点根据多媒体鉴权响应,识别多媒体鉴权响应中携带的用户的鉴权结果信息,如果在多媒体鉴权响应中,确定携带的用户的鉴权结果信息为用户在ims网络中鉴权未通过的第二鉴权结果信息,则确定用户已经未完成在ims网络中的鉴权。

当i/s-cscf节点确定用户未完成在ims网络中的鉴权,则i/s-cscf节点向ue返回拒绝注册请求的信息,以告知ue继续发起用户在ims网络中的鉴权,当鉴权通过后,ue可以发起语音呼叫。

下面以一个具体的实施例对上述各实施例进行说明,图3为用户在eps网络和ims网络中的联合认证流程图,ue通过enb向eps网络中的mme发起attachrequest,mme对用户进行联合认证过程,即mme对用户进行eps网络鉴权,鉴权通过后,判断用户的imsi是否为本网用户,如果是本网用户,mme确定用户联合认证通过后。

mme将在eps鉴权通过后生成的完整性保护密钥和加密密钥ck,ik及联合鉴权结果,以及联合认证通过的结果通过eps附着结果信息发送给ue和hss。ue和hss保存联合认证通过的结果、完整性保护密钥和加密密钥ck,ik。s/pgw建立ue与s/pgw之间的默认承载。

ue向sbc/p-cscf节点发送sipregister信令,sbc/p-cscf节点将sipregister信令转发给i/s-cscf节点,i/s-cscf节点向hss发送携带有用户的imsi的多媒体鉴权请求mar,hss根据用户的imsi,确定该imsi对应的用户联合鉴权通过,向i/s-cscf节点返回多媒体鉴权响应maa(trustedimsi,ck,ik)。i/s-cscf节点根据多媒体鉴权响应确定用户通过了联合认证,通过sbc/p-cscf节点向ue返回200ok,ue接收到200ok,确认对应用户在ims网络中注册成功。

由于本发明实施例中cscf节点确定用户在ims网络中鉴权未通过时,返回注册请求的拒绝信息,使ue继续发起ims网络鉴权,保证了用户能够正常使用volte业务。

实施例7:

图4为本发明实施例提供的一种用户认证过程的示意图,包括以下步骤:

s401:接收cscf节点发送的携带用户的imsi的多媒体鉴权请求。

本发明实施例提供的用户认证方法应用于hss。

cscf节点在需要对用户进行ims注册前,需要确定用户在ims网络中的鉴权结果信息,因此cscf为了获取用户在ims网络中的鉴权结果信息,会向hss发送携带用户的imsi的多媒体鉴权请求,hss接收多媒体鉴权请求。

s402:查找所述imsi的鉴权结果信息,将所述鉴权结果信息携带在多媒体鉴权响应中返回给所述cscf节点,其中所述鉴权结果信息为mme发送给所述hss的。

hss中保存有ims网络所属运营商所有用户的信息及用户的鉴权结果信息,用户的鉴权结果信息为mme对用户进行eps和ims网络鉴权后,向hss发送的鉴权结果信息。

hss接收到多媒体鉴权请求后,根据多媒体鉴权请求中携带的imsi,查找该imsi对应的鉴权结果信息。

如果查找到该imsi对应的鉴权结果信息,则将该鉴权结果信息携带在多媒体鉴权响应中返回给cscf节点。

hss查找到的该imsi对应的鉴权结果信息可能为该imsi的用户在ims网络中鉴权通过的第一鉴权结果信息,也可能为该imsi的用户在ims网络中鉴权未通过的第二鉴权结果信息。具体地,如果hss查找到的该imsi对应的鉴权结果信息,为该imsi的用户在ims网络中鉴权通过的第一鉴权结果,则可以在多媒体鉴权响应中指示该imsi为可信imsi,指示该imsi为可信imsi的形式可以为maa(trustedimsi)。

cscf节点接收到多媒体鉴权响应后,如果根据多媒体鉴权响应确定用户已经完成ims网络中鉴权后,更新用户的注册状态为在ims网络中已注册的状态,将用户在ims网络中注册成功的信息发送给ue,指示ue已经完成ims注册,可以发起语音呼叫。

在本发明实施例中,hss中保存有mme发送的用户的鉴权结果信息,因此cscf节点可以直接在hss中获取用户的ims鉴权结果,来确定用户在ims网络中是否鉴权通过,减少了ue与网络侧设备之间的信令交互,从而减少了无线资源的使用以及ue电量的消耗。

实施例8:

在上述实施例的基础上,本发明实施例中,如果所述鉴权结果信息为所述用户在ims网络中鉴权通过的第一鉴权结果信息,所述将所述鉴权结果信息携带在多媒体鉴权响应中返回给所述cscf节点包括:

将携带有所述用户的完整性保护密钥和加密密钥的第一鉴权结果信息,携带在多媒体鉴权响应中返回给cscf节点。

hss中还保存有用户的完整性保护密钥和加密密钥,将用户的完整性保护密钥和加密密钥发送给cscf节点,可以实现cscf节点对发送数据的加密以及对接收数据的解密。

mme在确定用户在ims网络中鉴权通过后,会生成携带有用户的完整性保护密钥和加密密钥的第一鉴权结果信息,将第一鉴权结果信息发送给hss。

hss在保存用户的第一鉴权结果信息时,除保存用户在ims网络中鉴权通过的信息,还会保存第一鉴权结果中携带的用户的完整性保护密钥和加密密钥。因此如果hss确定用户的鉴权结果信息为用户在ims网络中鉴权通过的第一鉴权结果信息,还可以在将携带有用户的完整性保护密钥和加密密钥的第一鉴权结果信息返回给cscf节点。

当用户发起语音呼叫时,i/s-cscf节点采用完整性保护密钥和加密密钥对呼叫中语音呼叫中加密的数据进行解密,以进行后续的呼叫控制。

此外,i/s-cscf节点还可以采用完整性保护密钥和加密密钥,对发送给用户对应的ue的数据进行加密,进一步实现数据安全。

由于本发明实施例中hss中还保存有用户的完整性保护密钥和加密密钥,将用户的完整性保护密钥和加密密钥发送给cscf节点,可以实现cscf节点对发送数据的加密以及对接收数据的解密。

实施例9:

图5为本发明实施例提供的一种用户认证系统的结构示意图,所述用户认证系统包括mme41、cscf节点42和hss43;其中

所述mme41,用于接收ue发送的volte业务的附着请求,所述附着请求中携带所述ue归属用户的待验证信息;根据所述待验证信息,对所述用户进行eps网络鉴权;如果确定所述用户在eps网络中鉴权通过,根据所述待验证信息中包括的imsi,判断所述用户是否为自身保存的ims网络所属运营商的用户;如果是,确定所述用户在ims网络中鉴权通过,将所述用户在所述ims网络中鉴权通过的第一鉴权结果信息,发送给所述ue和归属用户服务器hss;

所述cscf节点42,用于接收ue发送的volte业务的ims注册请求,所述注册请求中携带所述ue归属用户的待注册信息;根据所述待注册信息中包括的imsi,向hss发送携带有所述imsi的多媒体鉴权请求;接收所述hss返回的多媒体鉴权响应;如果所述多媒体鉴权响应中,携带有所述用户在ims网络中鉴权通过的第一鉴权结果信息,将所述用户在所述ims网络中注册成功的信息发送给所述ue;

所述hss43,用于接收呼叫会话控制功能cscf节点发送的携带用户的国际移动用户识别码imsi的多媒体鉴权请求;查找所述imsi的鉴权结果信息,将所述鉴权结果信息携带在多媒体鉴权响应中返回给所述cscf节点,其中所述鉴权结果信息为移动管理节点mme发送给所述hss的。

为了减少无线资源的使用以及ue电量的消耗,本发明实施例提供了一种用户认证系统,该用户认证系统包括mme和cscf节点。

所述mme,还用于如果所述用户非ims网络所属运营商的用户,将所述用户在所述ims网络中鉴权未通过的第二鉴权结果信息,发送给所述ue和所述hss。

所述mme,还用于确定所述用户在eps网络中鉴权通过后,判断所述待验证信息中是否包括联合认证标识;如果是,根据所述待验证信息中包括的imsi,判断所述用户是否为自身保存的ims网络所属运营商的用户。

所述mme,还用于如果确定所述用户在eps网络中鉴权通过,确定所述用户的完整性保护密钥和加密密钥;确定所述用户在ims网络中鉴权通过后,生成携带有所述用户的完整性保护密钥和加密密钥的第一鉴权结果信息;将所述用户在所述ims网络中鉴权通过的第一鉴权结果信息发送给所述ue和hss;

所述hss,还用于如果所述鉴权结果信息为所述用户在ims网络中鉴权通过的第一鉴权结果信息,将携带有所述用户的完整性保护密钥和加密密钥的第一鉴权结果信息,携带在多媒体鉴权响应中返回给cscf节点;

所述cscf节点,还用于在所述第一鉴权结果信息中,获取并保存所述用户后续发起呼叫时,进行解密的所述用户的完整性保护密钥和加密密钥。

所述cscf节点,还用于如果所述多媒体鉴权响应中,携带有所述用户在所述ims网络中鉴权未通过的第二鉴权结果信息,向所述ue返回拒绝所述注册请求的信息。

所述mme,还用于如果确定所述用户在eps网络中鉴权通过,则向网关发送携带用户的标识信息的控制信息,使所述网关接收到所述控制信息后,建立与所述标识信息对应的ue之间的默认承载。

本发明实施例中对eps网络鉴权通过的用户,当确定该用户为自身保存的ims网络所属运营商的用户时,认为用户在ims网络中鉴权通过,在鉴权过程中,只需对用户进行一次网络鉴权,即可实现用户在eps网络和ims网络中的联合认证,减少了ue与网络侧设备之间的信令交互,从而减少了无线资源的使用以及ue电量的消耗。

实施例10:

在上述各实施例的基础上,本发明实施例还提供了一种mme,如图6所示,包括:处理器601、存储器602和收发机603;

所述处理器601,用于执行读取存储器602中的程序,执行下列过程:控制所述收发机603接收ue发送的volte业务的附着请求,所述附着请求中携带所述ue归属用户的待验证信息;根据所述待验证信息,对所述用户进行eps网络鉴权;如果确定所述用户在eps网络中鉴权通过,根据所述待验证信息中包括的imsi,判断所述用户是否为自身保存的ims网络所属运营商的用户;如果是,确定所述用户在ims网络中鉴权通过,控制所述收发机603将所述用户在所述ims网络中鉴权通过的第一鉴权结果信息,发送给所述ue和hss。。

基于同一发明构思,本发明实施例中还提供了一种mme,由于上述mme解决问题的原理与用户认证方法相似,因此上述mme的实施可以参见方法的实施,重复之处不再赘述。

在图6中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器601代表的一个或多个处理器和存储器602代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。收发机603可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器601负责管理总线架构和通常的处理,存储器602可以存储处理器601在执行操作时所使用的数据。

可选的,处理器601可以是cpu(中央处埋器)、asic(applicationspecificintegratedcircuit,专用集成电路)、fpga(field-programmablegatearray,现场可编程门阵列)或cpld(complexprogrammablelogicdevice,复杂可编程逻辑器件)。

所述处理器601,还用于如果所述用户非ims网络所属运营商的用户,控制所述收发机603将所述用户在所述ims网络中鉴权未通过的第二鉴权结果信息,发送给所述ue和所述hss。

所述处理器601,还用于确定所述用户在eps网络中鉴权通过后,判断所述待验证信息中是否包括联合认证标识;如果是,根据所述待验证信息中包括的imsi,判断所述用户是否为自身保存的ims网络所属运营商的用户。

所述处理器601,还用于如果确定所述用户在eps网络中鉴权通过,确定所述用户的完整性保护密钥和加密密钥;生成携带有所述用户的完整性保护密钥和加密密钥的第一鉴权结果信息。

所述处理器601,还用于如果确定所述用户在eps网络中鉴权通过,则向网关发送携带用户的标识信息的控制信息,使所述网关接收到所述控制信息后,建立与所述标识信息对应的ue之间的默认承载。

在本发明实施例中,对eps网络鉴权通过的用户,当确定该用户为自身保存的ims网络所属运营商的用户时,认为用户在ims网络中鉴权通过,在鉴权过程中,只需对用户进行一次网络鉴权,即可实现用户在eps网络和ims网络中的联合认证,减少了ue与网络侧设备之间的信令交互,从而减少了无线资源的使用以及ue电量的消耗。

实施例11:

在上述各实施例的基础上,本发明实施例还提供了一种mme,如图7所示,包括:处理器701、通信接口702、存储器703和通信总线704,其中,处理器701,通信接口702,存储器703通过通信总线704完成相互间的通信;

所述存储器703中存储有计算机程序,当所述程序被所述处理器701执行时,使得所述处理器701执行如下步骤:

接收ue发送的volte业务的附着请求,所述附着请求中携带所述ue归属用户的待验证信息;

根据所述待验证信息,对所述用户进行eps网络鉴权;

如果确定所述用户在eps网络中鉴权通过,根据所述待验证信息中包括的imsi,判断所述用户是否为自身保存的ims网络所属运营商的用户;

如果是,确定所述用户在ims网络中鉴权通过,将所述用户在所述ims网络中鉴权通过的第一鉴权结果信息,发送给所述ue和hss。

上述mme提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect,pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。

通信接口702用于上述mme与其他设备之间的通信。

存储器可以包括随机存取存储器(randomaccessmemory,ram),也可以包括非易失性存储器(non-volatilememory,nvm),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。

上述处理器可以是通用处理器,包括中央处理器、网络处理器(networkprocessor,np)等;还可以是数字指令处理器(digitalsignalprocessing,dsp)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。

在本发明实施例中,处理器执行存储器上所存放的程序时,实现对eps网络鉴权通过的用户,当确定该用户为自身保存的ims网络所属运营商的用户时,认为用户在ims网络中鉴权通过,在鉴权过程中,只需对用户进行一次网络鉴权,即可实现用户在eps网络和ims网络中的联合认证,减少了ue与网络侧设备之间的信令交互,从而减少了无线资源的使用以及ue电量的消耗。

实施例12:

在上述各实施例的基础上,本发明实施例还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由mme执行的计算机程序,当所述程序在所述mme上运行时,使得所述mme执行时实现如下步骤:

接收ue发送的volte业务的附着请求,所述附着请求中携带所述ue归属用户的待验证信息;

根据所述待验证信息,对所述用户进行eps网络鉴权;

如果确定所述用户在eps网络中鉴权通过,根据所述待验证信息中包括的imsi,判断所述用户是否为自身保存的ims网络所属运营商的用户;

如果是,确定所述用户在ims网络中鉴权通过,将所述用户在所述ims网络中鉴权通过的第一鉴权结果信息,发送给所述ue和hss。

上述计算机可读存储介质可以是mme中的处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(mo)等、光学存储器如cd、dvd、bd、hvd等、以及半导体存储器如rom、eprom、eeprom、非易失性存储器(nandflash)、固态硬盘(ssd)等。

在本发明实施例中提供的计算机可读存储介质内存储有计算机程序,计算机程序被处理器执行时,实现对eps网络鉴权通过的用户,当确定该用户为自身保存的ims网络所属运营商的用户时,认为用户在ims网络中鉴权通过,在鉴权过程中,只需对用户进行一次网络鉴权,即可实现用户在eps网络和ims网络中的联合认证,减少了ue与网络侧设备之间的信令交互,从而减少了无线资源的使用以及ue电量的消耗。

实施例13:

在上述各实施例的基础上,本发明实施例还提供了一种cscf节点,如图8所示,包括:处理器801、存储器802和收发机803;

所述处理器801,用于执行读取存储器802中的程序,执行下列过程:控制所述收发机803接收ue发送的lte语音volte业务的ip多媒体子系统ims注册请求,所述注册请求中携带所述ue归属用户的待注册信息;根据所述待注册信息中包括的国际移动用户识别码imsi,向归属用户服务器hss发送携带有所述imsi的多媒体鉴权请求;接收所述hss返回的多媒体鉴权响应;如果所述多媒体鉴权响应中,携带有所述用户在ims网络中鉴权通过的第一鉴权结果,控制所述收发机803将所述用户在所述ims网络中注册成功的信息发送给所述ue。

基于同一发明构思,本发明实施例中还提供了一种cscf节点,由于上述cscf节点解决问题的原理与用户认证方法相似,因此上述cscf节点的实施可以参见方法的实施,重复之处不再赘述。

在图8中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器801代表的一个或多个处理器和存储器802代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。收发机803可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器801负责管理总线架构和通常的处理,存储器802可以存储处理器801在执行操作时所使用的数据。

可选的,处理器801可以是cpu(中央处埋器)、asic(applicationspecificintegratedcircuit,专用集成电路)、fpga(field-programmablegatearray,现场可编程门阵列)或cpld(complexprogrammablelogicdevice,复杂可编程逻辑器件)。

所述处理器801,还用于如果所述多媒体鉴权响应中,携带有所述用户在ims网络中鉴权通过的第一鉴权结果,在所述第一鉴权结果中,获取并保存所述用户后续发起呼叫时,进行解密的所述用户的完整性保护密钥和加密密钥。

所述处理器801,还用于如果所述多媒体鉴权响应中,携带有所述用户在所述ims网络中鉴权未通过的第二鉴权结果,控制所述收发机803向所述ue返回拒绝所述注册请求的信息。

在本发明实施例中接收到ue的ims网络注册请求后,cscf节点无需对用户额外进行一次ims网络鉴权,通过直接在hss中获取用户的ims鉴权结果,来确定用户在ims网络中是否鉴权通过,减少了ue与网络侧设备之间的信令交互,从而减少了无线资源的使用以及ue电量的消耗。

实施例14:

在上述各实施例的基础上,本发明实施例还提供了一种cscf节点,如图9所示,包括:处理器901、通信接口902、存储器903和通信总线904,其中,处理器901,通信接口902,存储器903通过通信总线904完成相互间的通信;

所述存储器903中存储有计算机程序,当所述程序被所述处理器901执行时,使得所述处理器901执行如下步骤:

接收ue发送的volte业务的ims注册请求,所述注册请求中携带所述ue归属用户的待注册信息;

根据所述待注册信息中包括的imsi,向hss发送携带有所述imsi的多媒体鉴权请求;

接收所述hss返回的多媒体鉴权响应;

如果所述多媒体鉴权响应中,携带有所述用户在ims网络中鉴权通过的第一鉴权结果,将所述用户在所述ims网络中注册成功的信息发送给所述ue。

上述cscf节点提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect,pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。

通信接口902用于上述cscf节点与其他设备之间的通信。

存储器可以包括随机存取存储器(randomaccessmemory,ram),也可以包括非易失性存储器(non-volatilememory,nvm),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。

上述处理器可以是通用处理器,包括中央处理器、网络处理器(networkprocessor,np)等;还可以是数字指令处理器(digitalsignalprocessing,dsp)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。

在本发明实施例中,处理器执行存储器上所存放的程序时,实现接收到ue的ims网络注册请求后,cscf节点无需对用户额外进行一次ims网络鉴权,通过直接在hss中获取用户的ims鉴权结果,来确定用户在ims网络中是否鉴权通过,减少了ue与网络侧设备之间的信令交互,从而减少了无线资源的使用以及ue电量的消耗。

实施例15:

在上述各实施例的基础上,本发明实施例还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由cscf节点执行的计算机程序,当所述程序在所述cscf节点上运行时,使得所述cscf节点执行时实现如下步骤:

接收ue发送的volte业务的ims注册请求,所述注册请求中携带所述ue归属用户的待注册信息;

根据所述待注册信息中包括的imsi,向hss发送携带有所述imsi的多媒体鉴权请求;

接收所述hss返回的多媒体鉴权响应;

如果所述多媒体鉴权响应中,携带有所述用户在ims网络中鉴权通过的第一鉴权结果,将所述用户在所述ims网络中注册成功的信息发送给所述ue。

上述计算机可读存储介质可以是cscf节点中的处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(mo)等、光学存储器如cd、dvd、bd、hvd等、以及半导体存储器如rom、eprom、eeprom、非易失性存储器(nandflash)、固态硬盘(ssd)等。

在本发明实施例中提供的计算机可读存储介质内存储有计算机程序,计算机程序被处理器执行时,实现接收到ue的ims网络注册请求后,cscf节点无需对用户额外进行一次ims网络鉴权,通过直接在hss中获取用户的ims鉴权结果,来确定用户在ims网络中是否鉴权通过,减少了ue与网络侧设备之间的信令交互,从而减少了无线资源的使用以及ue电量的消耗。

实施例16:

在上述各实施例的基础上,本发明实施例还提供了一种hss,如图10所示,包括:处理器1001、存储器1002和收发机1003;

所述处理器1001,用于执行读取存储器1002中的程序,执行下列过程:控制所述收发机1003接收cscf节点发送的携带用户的imsi的多媒体鉴权请求;查找所述imsi的鉴权结果信息,控制所述收发机1003将所述鉴权结果信息携带在多媒体鉴权响应中返回给所述cscf节点,其中所述鉴权结果信息为mme发送给所述hss的。

基于同一发明构思,本发明实施例中还提供了一种hss,由于上述hss解决问题的原理与用户认证方法相似,因此上述hss的实施可以参见方法的实施,重复之处不再赘述。

在图10中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1001代表的一个或多个处理器和存储器1002代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。收发机1003可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器1001负责管理总线架构和通常的处理,存储器1002可以存储处理器1001在执行操作时所使用的数据。

可选的,处理器1001可以是cpu(中央处埋器)、asic(applicationspecificintegratedcircuit,专用集成电路)、fpga(field-programmablegatearray,现场可编程门阵列)或cpld(complexprogrammablelogicdevice,复杂可编程逻辑器件)。

所述处理器1001,具体用于如果所述鉴权结果信息为所述用户在ims网络中鉴权通过的第一鉴权结果信息,将携带有所述用户的完整性保护密钥和加密密钥的第一鉴权结果信息,携带在多媒体鉴权响应中返回给cscf节点。

在本发明实施例中hss中保存有mme发送的用户的鉴权结果信息,因此cscf节点可以直接在hss中获取用户的ims鉴权结果,来确定用户在ims网络中是否鉴权通过,减少了ue与网络侧设备之间的信令交互,从而减少了无线资源的使用以及ue电量的消耗。

实施例17:

在上述各实施例的基础上,本发明实施例还提供了一种hss,如图11所示,包括:处理器1101、通信接口1102、存储器1103和通信总线1104,其中,处理器1101,通信接口1102,存储器1103通过通信总线1104完成相互间的通信;

所述存储器1103中存储有计算机程序,当所述程序被所述处理器1101执行时,使得所述处理器1101执行如下步骤:

接收cscf节点发送的携带用户的imsi的多媒体鉴权请求;查找所述imsi的鉴权结果信息,将所述鉴权结果信息携带在多媒体鉴权响应中返回给所述cscf节点,其中所述鉴权结果信息为mme发送给所述hss的。

上述cscf节点提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect,pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。

通信接口1102用于上述hss与其他设备之间的通信。

存储器可以包括随机存取存储器(randomaccessmemory,ram),也可以包括非易失性存储器(non-volatilememory,nvm),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。

上述处理器可以是通用处理器,包括中央处理器、网络处理器(networkprocessor,np)等;还可以是数字指令处理器(digitalsignalprocessing,dsp)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。

在本发明实施例中,处理器执行存储器上所存放的程序时,实现hss中保存有mme发送的用户的鉴权结果信息,因此cscf节点可以直接在hss中获取用户的ims鉴权结果,来确定用户在ims网络中是否鉴权通过,减少了ue与网络侧设备之间的信令交互,从而减少了无线资源的使用以及ue电量的消耗。

实施例15:

在上述各实施例的基础上,本发明实施例还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由hss执行的计算机程序,当所述程序在所述hss上运行时,使得所述hss执行时实现如下步骤:

接收cscf节点发送的携带用户的imsi的多媒体鉴权请求;查找所述imsi的鉴权结果信息,将所述鉴权结果信息携带在多媒体鉴权响应中返回给所述cscf节点,其中所述鉴权结果信息为mme发送给所述hss的。

上述计算机可读存储介质可以是hss中的处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(mo)等、光学存储器如cd、dvd、bd、hvd等、以及半导体存储器如rom、eprom、eeprom、非易失性存储器(nandflash)、固态硬盘(ssd)等。

在本发明实施例中提供的计算机可读存储介质内存储有计算机程序,计算机程序被处理器执行时,实现hss中保存有mme发送的用户的鉴权结果信息,因此cscf节点可以直接在hss中获取用户的ims鉴权结果,来确定用户在ims网络中是否鉴权通过,减少了ue与网络侧设备之间的信令交互,从而减少了无线资源的使用以及ue电量的消耗。

图12为本发明实施例提供的一种用户认证装置示意图,应用于移动管理节点mme,该装置包括:

接收模块1201,用于接收ue发送的volte业务的附着请求,所述附着请求中携带所述ue归属用户的待验证信息;

鉴权模块1202,用于根据所述待验证信息,对所述用户进行eps网络鉴权;

判断模块1203,用于如果确定所述用户在eps网络中鉴权通过,根据所述待验证信息中包括的imsi,判断所述用户是否为自身保存的ims网络所属运营商的用户;

确定模块1204,用于确定所述用户在ims网络中鉴权通过,将所述用户在所述ims网络中鉴权通过的第一鉴权结果信息,发送给所述ue和hss。

所述确定模块,还用于如果所述用户非ims网络所属运营商的用户,将所述用户在所述ims网络中鉴权未通过的第二鉴权结果信息,发送给所述ue和所述hss。

所述判断模块,还用于确定所述用户在eps网络中鉴权通过后,判断所述待验证信息中是否包括联合认证标识;如果是,根据所述待验证信息中包括的imsi,判断所述用户是否为自身保存的ims网络所属运营商的用户。

所述判断模块,还用于确定所述用户在eps网络中鉴权通过,确定所述用户的完整性保护密钥和加密密钥;

所述确定模块,具体用于确定所述用户在ims网络中鉴权通过后,生成携带有所述用户的完整性保护密钥和加密密钥的第一鉴权结果信息,将所述用户在所述ims网络中鉴权通过的第一鉴权结果信息发送给所述ue和hss。

所述确定模块,还用于如果确定所述用户在eps网络中鉴权通过,则向网关发送携带用户的标识信息的控制信息,使所述网关接收到所述控制信息后,建立与所述标识信息对应的ue之间的默认承载。

本发明实施例中对eps网络鉴权通过的用户,当确定该用户为自身保存的ims网络所属运营商的用户时,认为用户在ims网络中鉴权通过,在鉴权过程中,只需对用户进行一次网络鉴权,即可实现用户在eps网络和ims网络中的联合认证,减少了ue与网络侧设备之间的信令交互,从而减少了无线资源的使用以及ue电量的消耗。

图13为本发明实施例提供的一种用户认证装置示意图,应用于呼叫会话控制功能cscf节点,该装置包括:

第一接收模块1301,用于接收ue发送的lte语音volte业务的ip多媒体子系统ims注册请求,所述注册请求中携带所述ue归属用户的待注册信息;

第一发送模块1302,用于根据所述待注册信息中包括的国际移动用户识别码imsi,向归属用户服务器hss发送携带有所述imsi的多媒体鉴权请求;

第二接收模块1303,用于接收所述hss返回的多媒体鉴权响应;

第二发送模块1304,用于如果所述多媒体鉴权响应中,携带有所述用户在ims网络中鉴权通过的第一鉴权结果,将所述用户在所述ims网络中注册成功的信息发送给所述ue。

所述第二发送模块,还用于如果所述多媒体鉴权响应中,携带有所述用户在ims网络中鉴权通过的第一鉴权结果,在所述第一鉴权结果中,获取并保存所述用户后续发起呼叫时,进行解密的所述用户的完整性保护密钥和加密密钥。

所述第二发送模块,还用于如果所述多媒体鉴权响应中,携带有所述用户在所述ims网络中鉴权未通过的第二鉴权结果,向所述ue返回拒绝所述注册请求的信息。

本发明实施例中,cscf节点接收到ue的ims网络注册请求后,cscf节点无需对用户额外进行一次ims网络鉴权,通过直接在hss中获取用户的ims鉴权结果,来确定用户在ims网络中是否鉴权通过,减少了ue与网络侧设备之间的信令交互,从而减少了无线资源的使用以及ue电量的消耗。

图14为本发明实施例提供的一种用户认证装置示意图,应用于hss,所述装置包括:

接收模块1401,用于接收cscf节点发送的携带用户的imsi的多媒体鉴权请求;

发送模块1402,用于查找所述imsi的鉴权结果信息,将所述鉴权结果信息携带在多媒体鉴权响应中返回给所述cscf节点,其中所述鉴权结果信息为mme发送给所述hss的。

所述发送模块,具体用于如果所述鉴权结果信息为所述用户在ims网络中鉴权通过的第一鉴权结果信息,将携带有所述用户的完整性保护密钥和加密密钥的第一鉴权结果信息,携带在多媒体鉴权响应中返回给cscf节点。

在本发明实施例中hss中保存有mme发送的用户的鉴权结果信息,因此cscf节点可以直接在hss中获取用户的ims鉴权结果,来确定用户在ims网络中是否鉴权通过,减少了ue与网络侧设备之间的信令交互,从而减少了无线资源的使用以及ue电量的消耗。

对于系统/装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。

本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

完整全部详细技术资料下载
当前第1页1 2 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:严志国
  • 技术所有人:中移(杭州)信息技术有限公司;中国移动通信集团公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
多节点服务器相关技术
双节点服务器相关技术
服务器相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2