专利名称:一种ip多媒体子系统网络鉴权系统及方法
技术领域:
本发明涉及IP多媒体子系统领域,具体涉及一种IP多媒体子系统网络鉴权系统及方法。
背景技术:
目前,IP多媒体子系统(IMS,IP Multimedia Subsystem)网络在标准协议中定义采用AKAv1-MD5算法对用户进行鉴权,因此,用户要想使用IMS网络提供的服务,就必须具有支持此算法的IMS用户识别(ISIM,IMSSubscriber Identity Model)卡。而由于用户识别模块(UIM,User IdentityModule)卡或SIM卡只支持传统的鉴权算法,而不支持AKAv1-MD5算法,因此,那些使用UIM卡或SIM卡的用户无法通过IMS域的鉴权。
为了使只能使用SIM卡的GPRS用户能够接入IMS网络,3GPP制定的IMS标准协议定义了一种名为Early IMS的过程(具体参见3GPP协议TR33.878)。它通过对给移动台(MS,Mobile Station)分配的用户IP地址和MS的国际移动用户识别码(IMSI,International Mobile Subscriber Identity)或移动台国际ISDN码(MSISDN)进行绑定实现了将只支持SIM卡的GPRS用户接入IMS网络,如图1所示,具体过程如下a、MS向GPRS网络发起接入请求,请求消息中带有IMSI或MSISDN,网关GPRS支持节点(GGSN,Gateway GPRS Support Node)给MS分配用户IP地址。
b、GGSN通过一个新定义的Gi接口将用户IP地址和对应的MS的IMSI或MSISDN通知IMS网络的归属用户服务器(HSS,Home Subscriber Server),由HSS进行保存。
c、MS向IMS网络的服务呼叫会话控制功能(S-CSCF,Serving Call SessionControl Function)发起注册请求,注册请求消息中带有IMS私有用户标识(IMPI,IM Private Identity)和MS的接入IP地址。
IMPI是MS自身具有的参数,且注册请求消息带有该参数。
d、S-CSCF根据接收到的IMPI向HSS查询与之对应的IMSI或MSISDN,进而查找到对应的用户IP地址。
在MS开户时,HSS保存用户的IMSI或MSISDN和IMPI,并建立IMSI或MSISDN和IMPI的对应关系。
e、S-CSCF判断注册请求消息中携带的MS的接入IP地址和步骤d中查到的HSS保存的对应用户IP地址是否一致,若是,判定鉴权通过、MS注册成功;否则,判定鉴权没通过、MS注册失败。
这种简单地使用用户IP地址对用户进行合法性判断的方法只是一种很初级的安全措施,实际上没有执行任何鉴权算法,非法终端只要使用与HSS中保存的用户IP地址相同的IP地址发起注册请求,且在请求消息中带有与该IP地址对应的IMPI,就可以很容易地接入IMS网络,这样会对被假冒的用户造成经济损失;另外,IMS网络要求MS的接入IP地址必须为公网IP地址,若是私网IP地址,那么IMS网络会对其进行地址转换,转换后的地址与MS的接入IP地址不同,这样HSS查找对应关系就会失败,从而MS注册失败,所以该方法要求接入IP地址必须为公网IP地址,在现有IP地址资源有限的情况下,其应用会受到限制。
发明内容
有鉴于此,本发明的主要目的在于提供一种IMS网络鉴权系统及方法,以实现IMS网络对只支持传统鉴权算法的MS进行鉴权,以避免用户的经济损失,同时保证MS鉴权成功。
为达到上述目的,本发明的技术方案是这样实现的
一种IP多媒体子系统IMS网络鉴权系统,包括移动台MS和IMS网络,进一步包括归属位置寄存器HLR,且在IMS网络增加一个支持鉴权相关信令的接口,所述IMS网络通过所述接口连接到所述HLR,其中,HLR用于在接收到IMS网络的鉴权请求消息后,进行鉴权计算,将鉴权计算结果和鉴权必要参数发送给IMS网络;MS进一步用于接收IMS网络发送来的鉴权必要参数,进行鉴权计算,并将鉴权计算结果发送给IMS网络;IMS网络进一步用于转发鉴权必要参数,并比较来自HLR和MS的鉴权计算结果,若两者一致,判定鉴权成功;否则,判定鉴权失败。
所述IMS网络包括呼叫会话控制功能CSCF用于在接收到MS的注册请求消息后,向归属用户服务器HSS获取鉴权集,并将HSS发送来的鉴权必要参数传递给MS,同时用于接收并保存HLR的鉴权计算结果以及接收MS的鉴权计算结果,并将HLR和MS的鉴权计算结果进行比较;HSS用于在接收到CSCF获取鉴权集的消息后,向HLR发送鉴权请求消息,同时用于将HLR发送来的鉴权必要参数和鉴权计算结果传递给CSCF。
所述CSCF包括代理CSCF用于接收MS的注册请求消息和鉴权计算结果,将它们传递给问讯CSCF,并用于接收问讯CSCF发送来的鉴权必要参数,将其传递给MS;问讯CSCF用于接收代理CSCF发送来的MS的注册请求消息和鉴权计算结果,将它们传递给服务CSCF,并用于接收服务CSCF发送来的鉴权必要参数,将其传递给代理CSCF;服务CSCF用于在接收到问讯CSCF传递来的MS的注册请求消息后向HSS获取鉴权集,并用于接收HSS发送来的鉴权必要参数,将其传递给问讯CSCF,同时用于接收和保存HSS传递来的HLR的鉴权计算结果以及接收问讯CSCF传递来的MS的鉴权计算结果,然后将HLR和MS的鉴权计算结果进行比较。
一种在IMS网络鉴权系统中进行的IMS网络鉴权方法,所述系统包括MS、HLR和IMS网络,该方法包括A、IMS网络接收到MS发送的注册请求消息后向HLR获取鉴权集,HLR进行鉴权计算,将鉴权计算结果和鉴权必要参数发送给IMS网络,IMS网络保存该鉴权计算结果,并将鉴权必要参数发送给MS;B、MS得到鉴权必要参数后,进行鉴权计算,并将鉴权计算结果发送给IMS网络;C、IMS网络比较MS和HLR发送来的鉴权计算结果,若一致,判定鉴权成功;否则,判定鉴权失败。
所述IMS网络包括CSCF和HSS,其中步骤A所述IMS网络接收到MS发送的注册请求消息为CSCF接收,步骤A所述HLR将鉴权计算结果和鉴权必要参数发送给IMS网络为向HSS发送,步骤A所述IMS网络保存鉴权计算结果为HSS保存,步骤B所述MS将鉴权计算结果发送给IMS网络为发送给CSCF,同时,步骤C所述比较MS和HLR发送来的鉴权计算结果是在CSCF中进行的。
所述进行鉴权计算采用CDMA系统的CAVE算法。
步骤A所述HLR自身保存的参数或步骤B所述MS自身保存的参数包括共享加密数据SSD。
所述方法进一步包括更新SSD的步骤,所述更新SSD的步骤包括a、HLR向IMS网络发起SSD更新请求,请求消息中带有鉴权随机数、鉴权计算结果和SSD更新随机数,IMS网络接收到更新请求后保存HLR的鉴权计算结果,然后给MS发送要求重新注册的消息,并将SSD更新随机数发送给MS;
b、MS根据自身产生的基站查询随机数计算并保存基站查询结果,然后向IMS网络发起注册请求,请求消息中带有基站查询随机数,IMS网络接收到消息后要求HLR进行基站查询,HLR根据基站查询随机数计算基站查询结果,将该结果通过HSS返回给MS;c、MS判断自身计算得到的基站查询结果和HLR返回的基站查询结果是否一致,若是,根据SSD更新随机数更新SSD,并根据此SSD和鉴权随机数计算鉴权计算结果,将鉴权计算结果发送给IMS网络;d、IMS网络判断MS和HLR的发送来的鉴权计算结果是否一致,若是,通知HLR,HLR更新自身的SSD;否则,本流程结束。
步骤a所述IMS网络将更新随机数发送给MS是通过IMS网络的HSS发送给IMS网络的CSCF的注销消息携带的,然后由CSCF传递给MS。
步骤a所述IMS网络将更新随机数发送给MS是通过IMS网络的HSS给IMS网络的CSCF发送的多媒体鉴权响应消息携带的,然后由CSCF传递给MS,同时,所述步骤a在IMS网络给MS发送要求重新注册的消息之后、给MS发送更新随机数之前进一步包括,MS向CSCF发送注册请求消息,CSCF接收到该消息后向HSS发送MAR消息,然后HSS将更新随机数通过MAA消息发送给CSCF。
所述进行鉴权计算采用GSM系统的A3或A8算法。
与现有技术相比,本发明对原有电路域的网络设备没有改动,只通过在IMS网络增加一个支持鉴权相关信令的接口,将HLR发送来的鉴权相关参数转换为IMS网络自身支持的参数,使得传统鉴权算法所需参数能够在IMS网络上传递,而鉴权算法仍然在MS和HLR上实现,不需IMS网络实体支持传统鉴权算法,实现简单,同时本发明与MS的接入IP地址无关,通过传统鉴权算法实现IMS网络的鉴权,保证了鉴权的可靠性和成功率。
图1为IMS网络对GPRS用户进行鉴权的Early IMS过程示意图;图2为本发明提供的IMS网络鉴权系统的组成图;图3是本发明提供的IMS网络对只支持UIM卡的CDMA用户进行鉴权的流程图;图4为网络侧发起的SSD更新的具体实施例一的流程图;图5为网络侧发起的SSD更新的具体实施例二的流程图;图6为本发明提供的IMS网络对只支持SIM卡的GSM用户进行鉴权的流程图。
具体实施例方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
图2是本发明提供的IMS网络鉴权系统的组成图,如图2所示,该系统主要包括MS用于向IMS网络发送注册请求消息,在本系统中进一步用于接收IMS网络发送来的鉴权必要参数,并将自身计算出的鉴权计算结果发送给IMS网络。
HLR在本系统中进一步用于在接收到IMS网络的鉴权请求消息后,将自身保存的鉴权必要参数和自身计算出的鉴权计算结果发送给IMS网络。
HLR属于电路域的设备,在本发明中与IMS网络和MS一起共同实现IMS网络的鉴权。
IMS网络用于接收MS的注册请求消息,在本系统中进一步用于在接收到MS的注册请求消息后向HLR发起鉴权请求,并将HLR发送来的鉴权必要参数传递给MS,同时用于接收和保存HLR的鉴权计算结果以及接收MS的鉴权计算结果,并将HLR和MS的鉴权计算结果进行比较。
IMS网络主要包括
CSCF用于接收MS的注册请求消息,在本系统中进一步用于在接收到MS的注册请求消息后向HSS获取鉴权集,并将HSS发送来的鉴权必要参数传递给MS,同时用于接收并保存HSS发送来的HLR的鉴权计算结果以及接收MS的鉴权计算结果,并将HLR和MS的鉴权计算结果进行比较。
HSS在本系统中进一步用于在接收到CSCF获取鉴权集的消息后,向HLR发送鉴权请求消息,同时用于将HLR发送来的鉴权必要参数和鉴权计算结果传递给CSCF。
其中,CSCF主要包括代理CSCF(P-CSCF)用于接收MS的注册请求消息,将其传递给I-CSCF,在本系统中进一步用于接收I-CSCF发送来的鉴权必要参数,将其传递给MS,同时用于接收MS的鉴权计算结果,将其传递给I-CSCF。
I-CSCF用于接收P-CSCF传递来的MS的注册请求消息,将其传递给S-CSCF,在本系统中进一步用于接收S-CSCF发送来的鉴权必要参数,将其传递给P-CSCF,并接收MS的鉴权计算结果,将其传递给S-CSCF。
S-CSCF用于接收I-CSCF传递来的MS的注册请求消息,在本系统中进一步用于在接收到MS的注册请求消息后向HSS获取鉴权集,并用于接收HSS发送来的鉴权必要参数,将其传递给I-CSCF,并接收和保存HSS传递来的HLR的鉴权计算结果以及接收MS的鉴权计算结果,然后将HLR和MS的鉴权计算结果进行比较。
由图2可以看出,本发明需要在IMS网络的HSS上新增加一个网络接口,该接口上运行MAP信令,遵循MAP协议,以与电路域的归属位置寄存器(HLR,Home Location Register)进行鉴权相关信令和数据的交换,从而在IMS域实现传统鉴权算法。通过这个接口,HSS充当电路域拜访位置寄存器(VLR,Visitor Location Register)的地位。
对于CDMA系统,该新增接口遵循CDMA的MAP协议TIA/EIA-41D;对于GSM系统,该新增接口遵循GSM的MAP协议TS 29.002。
要在IMS域实现传统鉴权算法,IMS网络必须能够传递实现算法的关键参数,具体实现过程是一、对于CDMA系统,其UIM卡支持的传统鉴权算法即CAVE算法中的关键参数有鉴权密钥(A_Key)、电子序列号(ESN,Electronic Serial Number)、IMSI和一个随机数Rand,其中1、A_Key在MS和HLR中已经存在,不需要也不允许在IMS网络中传递。
2、ESN和IMSI可在MS开户时保存在IMS网络的HSS中,并与用户的IMPI建立起一一对应关系。当用户发起鉴权流程时,HSS根据用户的IMPI查找到对应ESN和IMSI填入到发送给HLR的鉴权消息中。
3、Rand参数在IMS网络支持的会话发起协议(SIP,Session InitiationProtocol)中已有对应参数。
二、对于GSM系统,其SIM卡支持的传统鉴权算法即A3/A8算法中的关键参数有鉴权密钥(Ki)、IMSI和一个随机数Rand,其中1、Ki在MS和HLR中已经存在,不需要也不允许在IMS网络中传递。
2、IMSI可在MS开户时保存在IMS网络的HSS中,并与用户的IMPI建立起一一对应关系。当用户发起鉴权流程时,HSS根据用户的IMPI查找到对应IMSI填入到发送给HLR的鉴权消息中。
3、Rand在IMS网络支持的SIP中已有对应参数。
通过上述过程,传统鉴权算法的关键参数已经具备在IMS网络中传递的基础。
需要注意的是,在CDMA系统中,A_Key并不直接参与CAVE算法,而是由其生成的共享加密数据SSD(SSD,Shared Secret Data)参与CAVE算法。
以下是本发明提供的IMS网络鉴权方法的具体实施例,为便于理解,将具体实施例中的信令消息罗列如下SIP信令注册请求消息(REGISTER),401 Unauthorized消息,200 OK消息,403 Forbidden消息,NOTIFY消息;
Diameter信令多媒体鉴权消息(MAR),多媒体鉴权响应消息(MAA),SAR,SAA,注销消息(RTR),注销响应消息(RTA);MAP信令鉴权请求消息(AUTHREQ),鉴权请求响应消息(authreq),鉴权状态报告消息(ASREPORT),鉴权状态报告响应消息(asreport),基站查询消息(BSCHALL),基站查询响应消息(bschall),鉴权指示消息(AUTHDIR),鉴权指示响应消息(authdir),鉴权请求消息(MAP_SEND_AUTHENTICATION_INFO Request),鉴权请求响应消息(MAP_SEND_AUTHENTICATION_INFO Response)。
在以下描述中提到的MS向S-CSCF发送的消息都是经P-CSCF和I-CSCF传递给S-CSCF的,同样S-CSCF向MS发送的消息都是经I-CSCF和P-CSCF传递给MS的。
图3是本发明提供的IMS网络对只支持UIM卡的CDMA用户进行鉴权的流程图,如图3所示,具体步骤如下aMS通过REGISTER消息向IMS网络的S-CSCF发起注册请求,消息中带有参数IMPI。
bS-CSCF接收到REGISTER消息后,向HSS发送MAR消息以获取鉴权集,消息中带有参数IMPI。
cHSS接收到MAR消息,通过该消息携带的IMPI检索到对应的ESN和IMSI,然后向HLR发送AUTHREQ消息,消息中带有参数IMSI和ESN,但不带有鉴权计算结果参数AUTHR。
dHLR接收到AUTHREQ消息后,由于AUTHREQ消息中不带AUTHR参数,HLR根据自身保存的参数SSD和随机数RANDU以及AUTHREQ消息携带的参数ESN和IMSI,计算出独特查询结果AUTHU,然后给HSS返回authreq响应消息以指示HSS发起独特查询请求,消息中带有鉴权集参数独特查询随机数RANDU和独特查询结果参数AUTHU。
eHSS接收到authreq响应消息后,将该消息携带的鉴权集参数RANDU和AUTHU进行转换,分别映射为IMS域的鉴权集参数RAND和XRES,并将它们通过MAA消息返回给S-CSCF。
fS-CSCF接收到MAA消息,保存HLR的独特查询结果XRES,并给MS返回401 Unauthorized响应消息以指示MS进行鉴权,消息中带有参数RAND。
gMS得到RAND之后,结合自身保存的参数SSD以及ESN和IMSI,通过CAVE算法计算出鉴权计算结果,填入SIP信令的RES参数中,并通过新的REGISTER消息通知IMS网络的S-CSCF。
hS-CSCF判断MS返回的鉴权计算结果RES和HLR生成的独特查询结果XRES是否一致,若是,认为鉴权通过,通过SAR消息向HSS报告并要求下载用户数据,执行步骤i;否则,认为鉴权没通过,向HSS发送MAR消息通知HSS鉴权失败,并给MS返回403 Forbidden响应消息,本流程结束。
iHSS接收到SAR消息后,向HLR发送ASREPORT消息,消息中的参数独特查询报告UCREPORT=SUCCESS以表明独特查询成功。
jHLR接收到ASREPORT消息后,返回给HSS一个不带任何参数的asreport消息,以表明鉴权通过。
kHSS接收到asreport消息,更新用户状态信息,并通过SAA消息给S-CSCF返回用户签约数据。
lS-CSCF接收到SAA消息给MS返回200 OK响应消息,表明用户注册成功。
由于CAVE算法中,A_Key并不直接参与运算,而是由通过A_Key计算出的SSD来参与运算,而MS和HLR中的SSD是有可能会出现不一致的情况,因此网络侧需要发起SSD的更新流程。
图4是网络侧主动发起SSD更新的具体实施例一的流程图,如图4所示,其具体步骤如下aHLR通过AUTHDIR消息向HSS发起SSD更新请求,消息中带有SSD更新的随机数RANDSSD以及独特查询随机数RANDU和独特查询结果AUTHU。
bHSS接收到AUTHDIR消息后,保存独特查询随机数RANDU和独特查询操作结果AUTHU,并通过RTR消息通知S-CSCF注销用户,RTR中带有HLR上报的参数RANDSSD。
RTR是由DIAMETER协议制定的消息,在这里,需扩展DIAMETER协议,在RTR中增加RANDSSD参数。
cS-CSCF接收到RTR消息后,通过NOTIFY消息通知MS进行重注册,消息中的参数Require=SSDUpdate用以指示MS发起SSD更新,且消息中带有SSD更新随机数RANDSSD,其中,Authorization=RANDSSD。
dMS给S-CSCF返回200 OK响应消息。
eS-CSCF给HSS返回RTA响应消息,RTA消息是步骤b中RTR消息的响应消息。
fHSS给HLR返回不带任何参数的authdir响应消息,authdir消息是步骤a中AUTHDIR消息的响应消息。
g由于网络要求MS进行SSD更新,MS会先对网络进行鉴权,MS产生一个基站查询随机数RANDBS,根据此随机数和自身保存的SSD、ESN和IMSI,通过CAVE算法计算出一个基站查询结果,并保存该结果,然后通过REGISTER消息向S-CSCF发起重注册请求,消息中带有参数IMPI,同时带有基站查询随机数RANDBS,以指示IMS网络进行基站查询。
hS-CSCF接收到带有RANDBS的REGISTER消息,通过MAR消息将RANDBS发送给HSS,消息中同时带有参数IMPI,并且在消息中通过参数SIP-Authentication-Scheme指示HSS发起基站查询,其中,SIP-Authorization=RANDBS。
iHSS接收到MAR消息后,根据IMPI查找到对应的ESN和IMSI,然后向HLR发送BSCHALL消息,消息中带有参数ESN、IMSI和RANDBS。
jHLR根据自身保存的参数SSD以及BSCHALL消息携带的参数ESN、IMSI和RANDBS,通过CAVE算法计算得到基站查询结果AUTHBS,将该结果通过bschall响应消息返回给HSS。
kHSS接收到bschall响应消息,通过MAA消息向S-CSCF返回基站查询结果AUTHBS,消息中同时带有独特查询随机数RANDU和独特查询结果AUTHU,以要求S-CSCF同时对MS进行独特查询。
lS-CSCF接收到MAA消息后,保存HLR的独特查询结果AUTHU,并向MS返回401 Unauthorized响应消息,消息中带有基站查询结果AUTHBS,同时带有独特查询随机数RANDU以告知MS在SSD更新完毕之后需要进行独特查询。
mMS判断HLR计算出的基站查询结果AUTHBS是否与步骤d中自身计算得到的基站查询结果相匹配,若是,则根据A_Key、RANDSSD、ESN和IMSI通过CAVE算法更新MS中的SSD,然后用新的SSD执行独特查询操作,通过CAVE算法计算出独特查询结果AUTHU,在新发送的REGISTER消息中带给S-CSCF,执行步骤n;否则,认为鉴权没通过,本流程结束。
在这里,在MS判定HLR计算出的基站查询结果AUTHBS与步骤d中自身计算得到的基站查询结果不匹配时,MS也可能重新通过REGISTER消息向IMS网络发起注册请求,消息中不携带鉴权计算结果以表明网络鉴权没通过、需要重新进行鉴权。
nS-CSCF判断MS上报的AUTHU和步骤k中HSS上报的AUTHU是否一致,若是,则表示独特查询通过,S-CSCF向HSS发送SAR消息以表明鉴权成功并取用户数据,执行步骤o;否则,S-CSCF向HSS发送MAR消息以表明鉴权失败,并给MS返回403 Forbidden消息,本流程结束。
oHSS接收到SAR消息后,通过ASREPORT消息将独特查询成功和SSD更新成功的结果报告给HLR,其中参数独特查询结果报告UCREPORT=SUCCESS表示独特查询成功,SSD更新结果报告SSDUPRPT=SUCCESS表示SSD更新成功。
pHLR接收到ASREPORT消息,认为SSD更新成功,刷新自身保存的SSD,然后给HSS返回不带任何参数的asreport响应消息,表示鉴权过程结束。
在这里,HLR已经根据自身保存的A_Key、RANDSSD以及ESN和IMSI计算出SSD。
qHSS接收到asreport响应消息,更新用户状态信息,并通过SAA消息给S-CSCF返回用户签约数据。
rS-CSCF接收到SAA消息给MS返回200 OK响应,表明用户注册成功。
在SSD更新的流程中,也可以不扩展DIAMETER协议,即在图4所示流程图的步骤b中的RTR消息中不携带告知MS需要进行SSD更新的参数RANDSSD,而是在MS发起重注册时通过401 Unauthorized消息来告知,图5为本实施例的流程图,如图5所示,具体步骤如下步骤a、d~f与图4的对应步骤相同。
步骤b改为HSS接收到AUTHDIR消息后,通过RTR消息通知CSCF的S-CSCF注销用户,消息中不需带有RANDSSD。
步骤c的NOTIFY消息不带有参数RANDSSD。
在这里,NOTIFY消息中的参数RANDSSD是可选的。
步骤g~j为gMS通过REGISTER消息向S-CSCF发起注册请求,消息中带有IMPI参数。
hS-CSCF接收到REGISTER消息,向HSS发送MAR消息以获取鉴权集,消息中带有IMPI参数。
iHSS接收到MAR消息后,向S-CSCF发送MAA消息,消息中带有参数RANDSSD以指示S-CSCF对MS发起SSD更新流程。
jS-CSCF接收到MAA消息,向MS发送401 Unauthorized消息,消息中带有参数RANDSSD以通知MS发起SSD更新流程。
步骤k~v与图4的步骤g~r相同。
在IMS网络实现对只支持SIM卡的GSM用户进行鉴权的流程,即如图6所示与图3基本相似,不同之处在于1、由于GSM的传统鉴权算法A3/A8算法中的关键参数不包括ESN,所以步骤c中HSS接收到MAR消息后,通过该消息携带的IMPI检索到的是对应的IMSI,向HLR发送MAP_SEND_AUTHENTICATION_INFO Request消息,消息中只需带有参数IMSI。
GSM系统的鉴权请求消息和鉴权请求响应消息与CDMA系统的不同。
2、步骤d中HLR给HSS返回MAP_SEND_AUTHENTICATION_INFOResponse消息,消息中带有的独特查询结果参数为SRES,而不是AUTHU,独特查询随机数为RAND,而不是RANDU。
3、步骤e中HSS接收到MAP_SEND_AUTHENTICATION_INFO Response消息后,只将该消息携带的鉴权集参数SRES映射为IMS域的鉴权集参数XRES即可,这是因为在GSM系统中独特查询随机数RAND与IMS网络的RAND一致,不必再进行转换。
4、步骤d和g中参与鉴权算法的参数是Ki、IMSI和RAND。
5、不包括图3所示的步骤i和j,图6的步骤i和j分别对应图3的步骤k和l,且步骤i中HSS是在接收到SAR消息后给S-CSCF返回带有用户签约数据的SAA响应消息。
在GSM系统的鉴权算法A3/A8中,Ki是直接参与运算的。
以上所述仅为本发明的过程及方法实施例,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种IP多媒体子系统IMS网络鉴权系统,包括移动台MS和IMS网络,其特征在于,进一步包括归属位置寄存器HLR,且在IMS网络增加一个支持鉴权相关信令的接口,所述IMS网络通过所述接口连接到所述HLR,其中,HLR用于在接收到IMS网络的鉴权请求消息后,进行鉴权计算,将鉴权计算结果和鉴权必要参数发送给IMS网络;MS进一步用于接收IMS网络发送来的鉴权必要参数,进行鉴权计算,并将鉴权计算结果发送给IMS网络;IMS网络进一步用于转发鉴权必要参数,并比较来自HLR和MS的鉴权计算结果,若两者一致,判定鉴权成功;否则,判定鉴权失败。
2.如权利要求1所述的系统,其特征在于,所述IMS网络包括呼叫会话控制功能CSCF用于在接收到MS的注册请求消息后,向归属用户服务器HSS获取鉴权集,并将HSS发送来的鉴权必要参数传递给MS,同时用于接收并保存HLR的鉴权计算结果以及接收MS的鉴权计算结果,并将HLR和MS的鉴权计算结果进行比较;HSS用于在接收到CSCF获取鉴权集的消息后,向HLR发送鉴权请求消息,同时用于将HLR发送来的鉴权必要参数和鉴权计算结果传递给CSCF。
3.如权利要求2所述的系统,其特征在于,所述CSCF包括代理CSCF用于接收MS的注册请求消息和鉴权计算结果,将它们传递给问讯CSCF,并用于接收问讯CSCF发送来的鉴权必要参数,将其传递给MS;问讯CSCF用于接收代理CSCF发送来的MS的注册请求消息和鉴权计算结果,将它们传递给服务CSCF,并用于接收服务CSCF发送来的鉴权必要参数,将其传递给代理CSCF;服务CSCF用于在接收到问讯CSCF传递来的MS的注册请求消息后向HSS获取鉴权集,并用于接收HSS发送来的鉴权必要参数,将其传递给问讯CSCF,同时用于接收和保存HSS传递来的HLR的鉴权计算结果以及接收问讯CSCF传递来的MS的鉴权计算结果,然后将HLR和MS的鉴权计算结果进行比较。
4.一种在IMS网络鉴权系统中进行的IMS网络鉴权方法,所述系统包括MS、HLR和IMS网络,其特征在于,该方法包括A、IMS网络接收到MS发送的注册请求消息后向HLR获取鉴权集,HLR进行鉴权计算,将鉴权计算结果和鉴权必要参数发送给IMS网络,IMS网络保存该鉴权计算结果,并将鉴权必要参数发送给MS;B、MS得到鉴权必要参数后,进行鉴权计算,并将鉴权计算结果发送给IMS网络;C、IMS网络比较MS和HLR发送来的鉴权计算结果,若一致,判定鉴权成功;否则,判定鉴权失败。
5.如权利要求4所述的方法,其特征在于,所述IMS网络包括CSCF和HSS,其中步骤A所述IMS网络接收到MS发送的注册请求消息为CSCF接收,步骤A所述HLR将鉴权计算结果和鉴权必要参数发送给IMS网络为向HSS发送,步骤A所述IMS网络保存鉴权计算结果为HSS保存,步骤B所述MS将鉴权计算结果发送给IMS网络为发送给CSCF,同时,步骤C所述比较MS和HLR发送来的鉴权计算结果是在CSCF中进行的。
6.如权利要求4所述的方法,其特征在于,所述进行鉴权计算采用CDMA系统的CAVE算法。
7.如权利要求6所述的方法,其特征在于,步骤A所述HLR自身保存的参数或步骤B所述MS自身保存的参数包括共享加密数据SSD。
8.如权利要求7所述的方法,其特征在于,所述方法进一步包括更新SSD的步骤,所述更新SSD的步骤包括a、HLR向IMS网络发起SSD更新请求,请求消息中带有鉴权随机数、鉴权计算结果和SSD更新随机数,IMS网络接收到更新请求后保存HLR的鉴权计算结果,然后给MS发送要求重新注册的消息,并将SSD更新随机数发送给MS;b、MS根据自身产生的基站查询随机数计算并保存基站查询结果,然后向IMS网络发起注册请求,请求消息中带有基站查询随机数,IMS网络接收到消息后要求HLR进行基站查询,HLR根据基站查询随机数计算基站查询结果,将该结果通过HSS返回给MS;c、MS判断自身计算得到的基站查询结果和HLR返回的基站查询结果是否一致,若是,根据SSD更新随机数更新SSD,并根据此SSD和鉴权随机数计算鉴权计算结果,将鉴权计算结果发送给IMS网络;d、IMS网络判断MS和HLR的发送来的鉴权计算结果是否一致,若是,通知HLR,HLR更新自身的SSD;否则,本流程结束。
9.如权利要求8所述的方法,其特征在于,步骤a所述IMS网络将更新随机数发送给MS是通过IMS网络的HSS发送给IMS网络的CSCF的注销消息携带的,然后由CSCF传递给MS。
10.如权利要求8所述的方法,其特征在于,步骤a所述IMS网络将更新随机数发送给MS是通过IMS网络的HSS给IMS网络的CSCF发送的多媒体鉴权响应消息携带的,然后由CSCF传递给MS,同时,所述步骤a在IMS网络给MS发送要求重新注册的消息之后、给MS发送更新随机数之前进一步包括,MS向CSCF发送注册请求消息,CSCF接收到该消息后向HSS发送MAR消息,然后HSS将更新随机数通过MAA消息发送给CSCF。
11.如权利要求4所述的方法,其特征在于,所述进行鉴权计算采用GSM系统的A3或A8算法。
全文摘要
本发明公开了一种IMS网络鉴权系统,在IMS网络增加一个支持鉴权相关信令的接口,系统包含用于进行鉴权计算的MS和HLR以及用于传递鉴权相关参数和比较鉴权计算结果的IMS网络。本发明同时提供了一种IMS网络鉴权方法,IMS网络在接收到MS发起的注册请求后,向HLR获取鉴权计算结果或鉴权相关参数,保存该鉴权计算结果并将鉴权相关参数发送给MS,MS根据此参数计算出鉴权计算结果并将其发送给IMS网络,IMS网络判断MS和HLR发送的鉴权计算结果是否一致。本发明对原有电路域的网络设备没有改动,只在IMS网络上增加一个与HLR进行通信的接口,不需IMS网络实体支持传统鉴权算法,实现简单,且保证了鉴权的可靠性和成功率。
文档编号H04L9/32GK1801706SQ200510006629
公开日2006年7月12日 申请日期2005年1月7日 优先权日2005年1月7日
发明者徐杰 申请人:华为技术有限公司