一种ims网络中区分用户终端鉴权方式的方法及i-cscf的制作方法

专利名称：一种ims网络中区分用户终端鉴权方式的方法及i-cscf的制作方法
技术领域：
本发明属于IMS (IP多媒体业务子系统)技术领域，尤其涉及IMS网络中 接入终端鉴权的技术。
背景技术：
IP多媒体子系统作为固定和移动网络的核心会话控制层，已经成为技术 发展的一个方向，第三代移动通信系统(3G)以及TISPAN( Telecommunications and Internet Converged Services and Protocols for Advanced Networking 先进网 络的电信和互联网融合业务和协议)标准中定义了很多IMS相关的规范，包括 网络架构、接口、协议等各个方面，其中安全是3G及TISPAN考虑的一个重 要方面。现有的规范中从安全的角度将IMS网络划分为接入域和核心网域，并 分别定义了接入域和核心网域的安全规范。IMS网络的中关于传输网络(Transport)的部分与具体的接入网络有关， 有可能为TISPAN/NGN (下一代网络)接入网络，分组电缆网(PacketCable) 接入网络，无线局域网(WLAN)接入网络等。目前3GPP ( The Third Generation Partnership Project第三代移动通信系统) 中支持的鉴4又方式是AKA ( Authentication and Key Agreement认证与密钥协 商)和Early IMS (早期IMS认证)。AKA机制在用户终端注册的应用流程如附图2所示，主要包括如下的步骤1 、初始密钥K在UE (用户终端)与HSS (Home Subscribe Server归属 用户服务器)间共享。2、 (SMI—CM2)用户发起注册请求SM1 ( SM表示两个实体之间的协议是SIP消息SIP Message), S-CSCF通过CMl( CM表示I/S-CSCF和HSS之 间的Cx接口消息Cx interface Message,不是SIP协议，而是DIAMETER协议) 向HSS请求数据。HSS基于初始密钥K及序列号SQN产生鉴权五元组并通过 CM2下发S-CSCF (服务-呼叫会话控制功能实体)，其中五元组包括(随机 数据RAND、鉴权序号AUTN、期望结果XRES、完整性保护密钥IK、加密密 钥CK)。3、 (SM4~SM5)S-CSCF向用户返回401响应(认证挑战)，携带除XRES 外的四元组信息。4、 (SM6)P-CSCF保存IK， CK信息，将(RAND, AUTN)信息在401响 应中传给UE。5 、 (SM7-SM9) UE依据初始密钥K及SQN等信息，结合收到的网络设备 下发的AUTN，对网络设备是否可信进行认证，如验证通过，网络设备可信， 则结合RAND和K，产生结果RES信息，RES将被当作密钥"password"用于 终端计算响应response的过程，计算的结果在SM7 (认证响应)中发送给网络 侧，同时UE自行计算出IK、 CK。6、 S-CSCF在SM9中接收到由RES生成的response信息，与其依据XRES 计算后的结果相比较，如果两者相同，认为对用户的认证成功。由以上流程可见UE向IMS ( IP Multimedia Core Network Subsystem IP多媒体业务子系统)网络发起注册，通过AKA实现了 UE和IMS网络间的 双向认证，同时也完成UE和P-CSCF (代理-呼叫会话控制功能实体)间安全 联盟的建立，UE和P-CSCF之间共享了加密密钥CK和完整性保护密钥IK， 这两个密钥将用于在UE与P-CSCF间安全通信通道的建立。由于无线领域现有大量用户终端不符合3GPP协议规范，不支持3GPP TS 33.203要求的接入域安全机制，例如使用用户识别卡(SIM卡)的用户终端或 者使用USIM/ISIM (通用用户识别卡/IP多媒体网络子系统用户识别卡)卡的 2G用户终端。为了能够向这类终端用户提供IMS业务，TR33.878定义了称为"Early IMS"(早期IP多媒体网络子系统鉴权)的接入域安全机制。Early IMS 接入域安全的基本原理，是将应用层安全建立在接入层安全之上。接入层对终 端接入进行认证后,将经过认证的信息传送给应用层，应用层依据这些信息对 用户请求进行应用层安全认证。Early IMS(以下简称EIA辨入域安全机制如附图3所示，其中用户终端 通过GGSN (网关GPRS支持节点)接入GPRS (通用分组无线业务)网络， GGSN认证用户标识IMSI (国际移动用户标识)和MSISDN(移动台国际ISDN 号码)，为用户终端分配网络传输层标识(IP地址)。步骤1 、 GGSN通过"Accounting Request Start"将用户标识和终端IP地址 对应关系传送到HSS, HSS保存该对应关系；步骤2、 HSS通过"Accounting Request Answer"响应；步骤3、用户终端发起注册请求REGISTER到P-CSCF。 P-CSCF比较 REGISTER消息中的via头域中的sent-by (发送)头域的IP地址是否与 REGISTER消息所在IP头中的源IP地址一致，如果不一致，则增加一个received (接收)头域到via头域中，并填充为IP头中的源IP地址；P-CSCF转发上述 REGISTER请求到S-CSCF。 S-CSCF依据REGISTER请求中的公有用户标识， 查询是否已注册；步骤4、如未注册，向HSS请求公有用户标识对应的终端IP地址(HSS 静态配置公有用户标识与MSISDN的对应关系，此时可通过公有用户标识获得 对应的终端IP地址)；步骤5、 HSS返回公有用户标识对应的终端IP地址；步骤6、 S-CSCF检查收到的REGISTER的终端源IP地址(如果via头域中 有received头域，则优先比较received头域，否则比较via头域中的sent-by头 域)，如杲与从HSS获得的IP地址相同，则通过认证，向GGSN发送200鉴权 成功消息。Early IMS接入域安全机制只针对特定的无线接入环境，而且对接入网有特 殊要求，不能保证其他接入环境下的用户接入安全。目前TISPAN ( Telecommunications and Internet Converged Services and Protocols for Advanced Networking先进网络的电信和互联网融合业务和协i义) 网络中支持的鉴权方式分别是AKA、 NASS-Bundled-Authentication (IMS业务 层鉴权和接入层鉴权绑定NBA)和HTTPDIGEST。NBA鉴权方式的流程如附图3所示，具体包括如下的步骤步骤IOI,网络附着子系统(NASS)接入层附着认证，在连接位置功能实 体(Connection Location Function, CLF )上记录用户终端(UE)的位置信息。步骤102， UE向P-CSCF发送注册报文REGISTER消息，该报文携带有接 入运营商标识及接入用户标识。步骤103， P-CSCF通过检查REGISTER消息中是否包含安全协商参数(例 如Security-Client)来判断是否需要建立和UE之间的安全联盟。如果有此M， 则需要建立，如果没有此参数，则不需要建立。 一般来说，密钥协商(AKA) 的情况肯定有此参数，而NASS-Bundled和超文本传输协议摘要(HTTP DIGEST)的情况肯定没有此参数。步骤104, P-CSCF根据注册报文中的接入运营商标识以及预先设置的接入 运营商标识与CLF之间的对应关系确定CLF。然后，P-CSCF根据注册报文的 源IP地址，在上面确定的CLF中查询用户的位置信息。步骤105，由于CLF中预先保存了与源IP地址对应的位置信息，因此在本 步骤中CLF向P-CSCF返回相应的位置信息及其他信息。步骤106， P-CSCF将携带上一步骤中查询得到的位置信息及其他信息的注 册报文REGISTER发送给询问-呼叫会话控制功能实体(Interrogating-Call Session Control Function, I陽CSCF )。步骤107， I-CSCF向用户数据库(UPSF)发送用户授权请求(UAR)消息。步骤108， UPSF返回用户授权应答(UAA)消息。步骤109， I-CSCF根据从UPSF返回的消息选择相应的S-CSCF，即选择 由哪个S-CSCF处理该注册才艮文。步骤110， I-CSCF将包括上述位置信息的注册报文REGISTER转发给上面 确定的S-CSCF。步骤111， S-CSCF通过REGISTER消息中是否包含Integrity-Protected (完 整性保护)^来判断是哪种认证方式。如果有此参数，则肯定是AKA方式， S-CSCF发给UPSF的鉴权请求只是为了请求鉴权参数；如果没有此参数，则需 要向UPSF查询配置的鉴权方式，S-CSCF发给UPSF的请求是为了请求鉴权方 式和相应的鉴权参数。由于这里采用NASS-Bundled鉴权方式，所以REGISTER 消息中不包含Integrity-Protected参数。S-CSCF向UPSF发送多i某体鉴权请求 (MAR)消息，请求用户的鉴权向量和相应的鉴权参数。步骤112， UPSF检查用户的鉴权签约数据，发现该用户的鉴权方式是 NASS-Bundled鉴权方式。步骤113， UPSF向S-CSCF发送多媒体鉴权应答(MAA)消息，返回用户 的鉴权方式和鉴权^:即位置信息。步骤114， S-CSCF比较从P-CSCF传来的位置信息与从UPSF查询得到的 位置信息，如果一致，则说明鉴权成功，执行步骤115及其后续流程，即向UE 发送鉴权成功的消息；如果不一致，则说明鉴权失败，执行步骤115及其后续 步骤，即向UE发送鉴权失败的消息。步骤115， S-CSCF向I-CSCF发送2xxAuth—OK消息，表示鉴权成功。 步骤116， I-CSCF将上述2xx Auth_OK消息发送给P-CSCF。 步骤117， P-CSCF将上述2xxAuth—OK消息发送给UE。 规范RFC3261对HTTPDIGEST鉴权方式已有相应的规定，其流程如附图 4所示步骤201 ， UE向P-CSCF发送注册报文REGISTER。歩骤202， P-CSCF通过检查REGISTER消息中是否包舍姿仝协商参数(例 如Security-Client)来判断是否需要建立和UE之间的安全联盟。如果有此参数， 则需要建立，如果没有此Wt，则不需要建立。 一般来说，密钥协商(AKA) 的情况肯定有此参数，而NASS-Bundled和超文本传输协议摘要(HTTP DIGEST)的情况肯定没有此参数。步骤203， P-CSCF将UE的注册报文REGISTER转发给I-CSCF。该报文 中还携带了 P-CSCF从CLF查询得到的UE的位置信息。步骤204， I-CSCF跟UPSF之间通过Cx-Selection-Info消息选择相应的 S-CSCF，即I-CSCF向UPSF发出请求，查找UPSF中的用户属性来确定由哪 个S-CSCF处理该注册报文。步骤205 ， I-CSCF将UE的注册报文REGISTER转发给步骤204中所确定 的S-CSCF。步骤206, S-CSCF通过REGISTER消息中是否包含Integrity-Protected参 数来判断是哪种认证方式。如果有此参数，则肯定是AKA方式，S-CSCF发给 UPSF的鉴权请求只是为了请求鉴权参数；如果没有此参数，则需要向UPSF 查询配置的鉴4又方式，S-CSCF发给UPSF的请求是为了请求鉴权方式和相应的 鉴权参数。由于这里采用HTTP DIGEST鉴权方式，所以REGISTER消息中不 包含Integrity-Protected参数。S-CSCF与UPSF之间通过Cx-Put消息，更新UPSF 上的S-CSCF指示信息，告知UPSF该用户后续的处理在本S-CSCF进行。步骤207， S-CSCF向UPSF发送MAR消息，请求该用户的鉴权方式和鉴 权数据。步骤208, UPSF检查用户的鉴权签约数据，根据鉴权签约数据得到该用户 的鉴权方式是HTTP DIGEST鉴权方式，并产生例如nonce等鉴权向量以及期 望结果(XRES)等等。步骤209, UPSF向S-CSCF发送MAR消息，将该用户的鉴权方式信息HTTP DIGEST以及鉴权参数nonce、期望结果(XRES)等发送给S-CSCF 。步骤210， S-CSCF计算期望结杲XRES。步骤211, S-CSCF得到鉴权方式信息并保存XRES，然后向I-CSCF发送 "4xx Auth—Challenge"消息，该消息的WWW-Authenticate头中Algorithm参 数表示采用HTTP DIGEST鉴权方式。步骤212， I-CSCF将"4xx Auth—Challenge"消息发送给P-CSCF，该消息 的WWW-Authenticate头中Algorithm参数表示采用HTTP DIGEST鉴权方式。步骤213, P-CSCF将"4xxAuth—Challenge"消息发送给UE。步璩214， UE接收到"4xx Auth—Challenge"消息后，发现Algorithm参数 表示HTTP DIGEST鉴权方式，重新向P-CSCF发送注册报文REGISTER,并 携带用于鉴权的响应(RES)。步骤215， P-CSCF将携带RES的注册报文REGISTER发送给I-CSCF。步骤216， I-CSCF与UPSF之间通过Cx-Query确定该UE注册报文给哪个 S-CSCF处理，即I-CSCF向UPSF查询该注册报文给哪个S-CSCF处理，UPSF 根据保存的S-CSCF指示信息告知I-CSCF处理该注册报文的S-CSCF。在以下 步骤中，S-CSCF将鉴权成功或鉴权失败的消息发送给UE。步骤217， I-CSCF将注册报文REGISTER转发给步骤216确定的S-CSCF。步骤218， S-CSCF比较从UPSF获得的XRES和UE发送过来的RES，当 两者一致时，说明鉴权成功，当两者不一致时，说明鉴权失败。步骤219， S-CSCF与UPSF之间通过Cx-Put消息，更新UPSF上的S-CSCF 指示信息，告知UPSF该用户后续的处理在本S-CSCF进行。步骤220， S-CSCF与UPSF通过Cx-Pull消息获取用户的签约数据信息。步骤221， S-CSCF向I-CSCF发送表示鉴权成功的200消息，或者表示鉴 权失败的403 Forbidden消息。在图中仅以鉴权成功时的200消息表示。步骤222， I-CSCF将上述消息发送给P-CSCF。步骤223 ， P-CSCF将上述消息发送给UE。从上述各种鉴权方式的具体流程可以看出，3GPP/TISPAN都只考虑了相关的接入网分别和IMS核心网组网时的对终端UE的鉴权方式。但是当这些不 同的接入网同时接入到同一个IMS核心网时，对于I-CSCF来说，就会存在如 下问题
1 、对于Early IMS方式来说，I-CSCF需要根据IMPU (IMS公有用户标识) 按如下方式推导出IMPI (IMS私有用户标识)将IMPU前面的URI (统一资 源标识符)、端口号等去掉，作为IMPI，而对于其他的鉴权方式并不需要这样 作。
2、 对于AKA方式来说，I-CSCF需要执行如下S-CSCF重新选择的过程
或者480等响应消息，并且REGISTER消息中不包含"integrity-protected"头域， 则I-CSCF执行S-CSCF重选过程选择一个新的S-CSCF，而对于其他的鉴权方 式则不需要这样作。
3、 对于NBA/HTTP DIGEST,由于注册消息中可能包含Authorization头域 (带有IMPI)，也可能不包括Authorization头域，即可能包括IMPI，也可能
不包括IMPI，这样和UPSF通过Cx交互时，IMPI的获取方式就可能和Early IMS 不一样。
因此I-CSCF需要一种能够区分上述几种鉴权方式的方法，以便未来能够 作灵活性区分处理。

发明内容
本发明实施例的目的在于提供一种IMS网络中区分用户终端鉴权方式的方 法及I-CSCF，旨在解决现有技术中存在的当不同点接入网接入到同一个IMS 网络时，I-CSCF无法区分用户终端的鉴权方式的问题。
本发明实施例提供了一种IMS网络中区分用户终端鉴权方式的方法，所述 的方法包括如下步骤
a、代理-呼叫会话控制功能实体P-CSCF收到用户终端UE发送的注册REGISTER消息后，将所述的REGISTER消息转发到查询-呼叫会话控制功 能实体l-CSCF;
b、 所述的I-CSCF收到所述的P-CSCF发来的REGISTER消息后，根据所 述的REGISTER消息中的鉴权参数信息确定所述UE的鉴权方式；
c、 所述的I-CSCF根据所确定的鉴权方式进行后续的鉴权处理。 本发明还提供了 一种查询-呼叫会话控制功能实体I-CSCF，所述的I-CSCF
还包括鉴权方式判断单元，用来根据所述的I-CSCF接收到UE发送的 REGISTER消息中的鉴权参数信息确定所述UE的鉴权方式。
本发明实施例克服现有技术的不足，采用由I-CSCF根据REGISTER消息 中的(鉴权)Authorization头域和P-Access-Network-Info (私有接入网络信息) 头域中的参数，或者Authorization头域和P-Access-Network-Info头域中的^lt 判断用户终端的鉴权方式，可以解决多种接入网接入同一个IMS核心网时， I-CSCF如何区分各种鉴权方式的问题。
附困说明


图1是现有技术中AKA鉴权方式的流程图2是现有技术中Early IMS鉴权方式的流程图3是现有技术中NBA鉴权方式的流程图4是现有技术中HTTP DIGEST鉴权的流程图5是本发明实施例所述的I-CSCF的原理框图6为本发明实施例的基本流程图7为本发明实施例中I-CSCF具体判断的流程图。
具体实施例方式
本发明实施例的基本原理是当I-CSCF收到P-CSCF发送的REGISTER消 息后，才艮据REGISTER消息中的Authorization头域和/或P-Access-Network-Info头域区分鉴权方式，然后进行后续的鉴权处理。
为了使本发明实施例的目的、技术方案及优点更加清楚明白，以下结合附 图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实 施例仅仅用以解释本发明，并不用于限定本发明。
本发明实施例所述的I-CSCF的原理框图如图5所示，包括鉴权方式判断 单元，该鉴权方式判断单元在I-CSCF收到REGISTER消息后，根据该消息中
具体来说，鉴权方式判断单元对I-CSCF接收到的REGISTER消息进行分析
如果该REGISTER消息中的Authorization头域中有integrity-protected (完 整性保护)参数，并且其值与AKA的方式对应，则I-CSCF确定应该采用AKA
鉴权方式；
如果REGISTER消息中没有Authorization头域，并且没有 P-Access-Network-Info头域或者P-Access-Network-Info头域中的access國type(接 入类型)参数表示3GPP移动接入网，则I-CSCF判断出应该采用3GPP early IMS 鉴权方式；
如果REGISTER消息中的Authorization头域中没有integrity-protected参数 或者没有Authorization头域，并且P-Access-Network-Info头域中的access-type 参数表示TISPAN固定接入网，则I-CSCF判断出应该采用TISPAN的NBA或 者HTTP DIGEST鉴权方式。
鉴权方式判断单元确定UE的鉴权方式后，I-CSCF将根据所确定的鉴权方 式进行后续的鉴权处理。
本发明实施例的基本流程图如图6所示，具体包括如下步骤
1、 UE向P-CSCF发送REGISTER消息，请求注册；
2、 P-CSCF将该REGISTER消息转发到I-CSCF;
3、 I-CSCF接收该REGISTER消息后，根据其中的Authorization头域或 P-Access-Network-Info 头域中的参数，或者 Authorization 头域和P-Access-Network-Info头城中的参数判断用户终端的鉴权方式； 具体来说，判断的依据如下
如果该REGISTER消息中的Authorization头域中有integrity-protected (完 整性保护)参数，并且其值与AKA的方式对应，则I-CSCF确定应该采用AKA 鉴权方式；
如果REGISTER消息中没有 Authorization头域，并且没有 P-Access-Network-Info头域或者P-Access-Network-Info头域中的access-type(接 入类型)参数表示3GPP移动接入网，则I-CSCF判断出应该采用3GPP early IMS 鉴权方式；
如果REGISTER消息中的Authorization头域中没有integrity-protected参数 或者没有Authorization头域，并且P-Access-Network-Info头域中的access-type 参数表示TISPAN固定接入网，则I-CSCF判断出应该采用TISPAN的NBA或 者HTTP DIGEST鉴权方式。
4、 I-CSCF判断出鉴权方式后，根据相应的鉴权方式进行后续的鉴权处理。 本发明实施例中，I-CSCF收到REGISTER消息后，根据Authorization和 P-Access-Network-Info头域中的参数判断鉴权方式的具体流程如图7所示，包 括如下的步骤
1、 UE向P-CSCF发送REGISTER消息，请求注册；
2、 P-CSCF将该REGISTER消息转发到I-CSCF， I-CSCF接收REGISTER
消息；
3 、 I-CSCF接收该REGISTER消息后，判断该消息中是否存在Authorization 头域，如果没有，转步骤4，如果有，转步骤7;
4、 I-CSCF进一步判断该REGISTER消息中是否存在P-Access-Network-Info 头域，如果有，转步骤5，否则直接转步骤6;
5、 I-CSCF进一步判断该P-Access-Network-Info头域中的access-type表示 的接入网类型为3GPP移动接入网还是TISPAN固定接入网，如杲是3GPP移动接入网，如3GPP-GERAN (全球移动通讯系统GSM边缘无线接入网 GERAN) 、 3GPP-UTRAN-FDD (通用陆地无线接入网频分双工)或者 3GPP-UTRAN-TDD(通用陆地无线接入网时分双工)，转步骤6，如果是TISPAN 固定接入网，如NASS (网络附着子系统)或者DSL (数字用户线)，转步骤 9;
6、 I-CSCF确定鉴权方式为3GPP Early IMS;
7、 I-CSCF判断该Authorization头域是否有integrity-protected参数，如果 没有，转步骤8，否则转步骤10;
8、 I-CSCF判断P-Access-Network-Info头域中的access-type是否表示接入 网类型为TISPAN固定接入网，如果是，转步骤9，否则转步骤ll;
9、 I-CSCF确定采用TISPAN的NBA或者HTTP DIGEST鉴权方式，I-CSCF 还可以进一步区分这两种鉴权方式如下如果TISPAN固定接入网类型表示为 NASS，则采用NBA鉴权方式，否则采用HTTP DIGEST鉴权方式；
10、 I-CSCF判断integrity-protected参数的值是否与AKA对应(例如其值 为"YES"或者"NO")，如果是，转步骤12，否则转步骤ll;
11、 I-CSCF将此作为其它情况处理；
12、 I-CSCF确定鉴权方式为AKA。
I-CSCF按照上述的流程确定鉴权方式后，进行后续的鉴权处理流程，其步 骤同背景技术中描述的对应的鉴权方式的步骤相同，此不赘述。
本发明实施例中，I-CSCF接收REGISTER消息后，首先判断该消息中是 否存在Authorization头域，然后根据是Authorization的有无进行下一步的判断， 但在实际的应用中，也可以先判断REGISTER消息中是否存在 P-Access-Network-Info头域，然后4艮据P-Access-Network-Info头域的有无进4亍 下一步的判断，也即是说，I-CSCF对Authorization头域和P-Access-Network-Info 头域及其参数的判断并不局限于具体的顺序，根据两个头域之一或者两种结合 能够唯一确定一种鉴权方式即可。如上所述，I-CSCF根据REGISTER消息中的Authorization头域和 P-Access-Network-Info 头域中的参数，或者 Authorization 头域和 P-Access-Network-Info头域中的参数判断用户终端的鉴权方式，可以解决多种 接入网接入同一个IMS核心网时，I-CSCF如何区分各种鉴权方式的问题；同 时，本发明实施例提供的技术方案同时也具备可扩展性，可以很容易解决未来 其他的接入网接入同一个IMS核心网引入新的鉴权方式时，I-CSCF如何区分 新的鉴权方式的问题。以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发 明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明 的保护范围之内。
权利要求
1. 一种IMS网络中区分用户终端鉴权方式的方法，其特征在于，所述的方法包括如下步骤a、代理-呼叫会话控制功能实体P-CSCF收到用户终端UE发送的注册REGISTER消息后，将所述的REGISTER消息转发到查询-呼叫会话控制功能实体I-CSCF；b、所述的I-CSCF收到所述的P-CSCF发来的REGISTER消息后，根据所述的REGISTER消息中的鉴权参数信息确定所述UE的鉴权方式；c、所述的I-CSCF根据所确定的鉴权方式进行后续的鉴权处理。
2、 根据权利要求1所述的方法，其特征在于，其中步骤b具体包括bl、所述的I-CSCF收到所述的P-CSCF发来的REGISTER消息后，根据 所述的REGISTER消息中的Authorization头域和/或P-Access-Network-Info头 域确定所述UE的鉴权方式。
3、 根据权利要求2所述的方法，其特征在于，其中步骤bl具体包括 所述的I-CSCF收到所述的P-CSCF发来的REGISTER消息后，根据所述的 Authorization 头域中的完整性保护 integrity-protected 参数和/或 P-Access-Network-Info头域中的接入类型access-type参凄t进行判断如果所述的REGISTER消息中有Authorization头域，并且其 integrity-protected参数值与AKA的方式对应，则确定所述UE的鉴权方式为认 证与密钥协商AKA;如果所述的REGISTER消息中没有Authorization头域，并且没有 P-Access-Network-Info头域或者P-Access-Network-Info头域中的access-type参 数表示接入网类型为3GPP移动接入网，则确定所述UE的鉴权方式为早期IMS 认证Early IMS;如果所述的REGISTER消息中的Authorization头域中没有 integrity-protected参数或者;殳有Authorization头i或，并且P-Access-Network-Info头城中的access-type参数表示接入网类型为先进网络的电信和互联网融合业务 和协议TISPAN固定接入网，则确定所述UE的鉴权方式为TISPAN的IMS业 务层鉴权和NASS接入层鉴权绑定鉴权方式NBA或者HTTP摘要鉴权方式 HTTPDIGEST。
4、 根据权利要求2所述的方法，其特征在于，其中步骤bl具体包括 所述的I-CSCF收到所述的P-CSCF发来的REGISTER消息后，判断所述的REGISTER消息中是否存在Authorization头域，如果存在Authorization头域，则判断所述的Authorization头域中是否存在 integrity-protected参数，长口果存在integrity-protected参数，判断其值是否与AKA 对应，若是则确定所述的UE的鉴权方式为AKA;如果不存在integrity-protected Wt，判断所述的REGISTER消息中P-Access-Network-Info头域中的 access-type 参数是否表示接入网类型为TISPAN固定接入网，若是则确定所述UE的鉴权者HTTP摘要鉴权方式HTTP DIGEST;如果不存在Authorization头域，则判断所述的REGISTER消息是否存在 P-Access-Network-Info头域，如果不存在，则确定所述UE的鉴权方式为早期 IMS认证Early IMS;如果存在，则判断所述的P-Access-Network-Info头域中 access-type ^!t表示的接入网类型为3GPP移动接入网还是TISPAN固定接入 网，如果所述的access-type参数表示的接入网类型为3GPP移动接入网，则确 定所述UE的鉴权方式为Early IMS,如果所述的access-type参数表示的接入网 类型为TISPAN固定接入网，则确定所述UE的鉴权方式为TISPAN的NBA或 者HTTP DIGEST。
5、 根据权利要求3或者4所述的方法，其特征在于，所述的TISPAN固定 接入网具体为数字用户线DSL或者NASS。
6、 根据权利要求3或者4所述的方法，其特征在于，所述的确定所述UE 的鉴权方式为TISPAN的NBA或者HTTP DIGEST具体为如杲TISPAN固定接入网类型表示为网络附着子系统NASS，则确定所速 UE的鉴权方式为NBA,否则为HTTP DIGEST。
7、 根据权利要求3或者4所述的方法，其特征在于，所述的3GPP移动接 入网具体为全球移动通讯系统GSM边缘无线接入网GERAN或者通用陆地无 线接入网UTRAN。
8、 一种查询-呼叫会话控制功能实体I-CSCF,其特征在于，所述的I-CSCF 还包括鉴权方式判断单元，用来根据所述的I-CSCF接收到UE发送的 REGISTER消息中的鉴权参数信息确定所述UE的鉴权方式。
9、 根据权利要求8所述的I-CSCF,其特征在于，所述的鉴权方式判断单 元用来才艮据所述的REGISTER消息中的Authorization头域和/或 P-Access-Network-Info头域确定所述UE的鉴外又方式。
10、 根据权利要求8所述的I-CSCF，其特征在于，所述的鉴权方式判断单 元用来根据下述的规则判断向所述的I-CSCF发送REGISTER消息的UE的鉴 权方式，所述的规则是如果所述的REGISTER消息中有Authorization头域， 并且其integrity-protected参数值与AKA的方式对应，则确定所述UE的鉴权方 式为认证与密钥协商AKA;如果所述的REGISTER消息中没有Authorization头域，并且没有 P-Access-Network-Info头域或者P-Access-Network-Info头域中的access-type参 数表示接入网类型为3GPP移动接入网，则确定所述UE的鉴权方式为早期IMS 认证Early IMS;如果所述的REGISTER消息中的 Authorization头域中没有 integrity-protected参数或者没有Authorization头域，并且P-Access-Network-Info 头域中的access-type参数表示接入网类型为先进网络的电信和互联网融合业务 和协议TISPAN固定接入网，则确定所述UE的鉴权方式为TISPAN的IMS业 务层鉴权和NASS接入层鉴权绑定鉴权方式NBA或者HTTP摘要鉴权方式 HTTPDIGEST。
全文摘要
本发明提供了一种IMS网络中区分用户终端鉴权方式的方法及I-CSCF，所述的方法包括如下步骤a.代理-呼叫会话控制功能实体P-CSCF收到用户终端UE发送的注册REGISTER消息后，将所述的REGISTER消息转发到查询-呼叫会话控制功能实体I-CSCF；b.所述的I-CSCF收到所述的P-CSCF发来的REGISTER消息后，根据所述的REGISTER消息中的鉴权参数信息确定所述UE的鉴权方式；c.所述的I-CSCF根据所确定的鉴权方式进行后续的鉴权处理。本发明提供的技术方案可以解决多种接入网接入同一个IMS核心网时，I-CSCF如何区分各种鉴权方式的问题。
文档编号H04L9/32GK101232707SQ20071007302
公开日2008年7月30日 申请日期2007年1月23日 优先权日2007年1月23日
发明者何承东 申请人:华为技术有限公司