专利名称:outbound方式下的注册及IPSec协商方法
技术领域:
本发明涉及通信领域,更具体地涉及一种在IMS网络中outbound方式下 的注册及IPSec协商方法。
背景技术:
IP多媒体子系统(IP Multimedia Core Network Subsystem,简称IMS )基 于SIP协议(一种在两方或者多方间创建、修改、终结会话的应用层协议)。 IMS中主要的功能实体包括用户设备UE (User Equipment),控制用户注 册、会话控制等功能的呼叫会话控制实体CSCF ( Serving Call Session Control Function),集中管理用户签约数据的归属用户服务器HSS (Home Subscriber Server) 。 CSCF又分为代理呼叫会话控制实体P-CSCF (Proxy Call Session Control Function),服务呼叫会话控制实体S-CSCF( Serving Call Session Control Function)。
IPSec (网际协议安全)是一个工业标准网络安全协议,为IP网络通信提 供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络 攻击,同时保持易用性。IPSec有两个基本目标l)保护IP数据包安全;2) 为抵御网络攻击提供防护措施。IPSec基于一种端-对-端的安全模式。发送方 在数据传输前对数据实施加密,在整个传输过程中,报文都是以密文方式传 输,直到数据到达目的节点,才由接收端对其进行解密。
安全关耳关SA (Security Association)是在两个4吏用IPSec的实体间建立 的逻辑连接,定义了实体间如何使用安全服务(如加密)进行通信。它由下 列元素组成1)安全参数索引SPI; 2) IP目的地址;3)安全协议。SA是 一个单向的逻辑连接,在一次通信中,IPSec需要建立两个(一对)SA, — 个用于入站通信,另一个用于出站通信。使用SA接收或发送的消息,称为 一皮保护消息;不使用SA接收或发送的消息,称为不纟皮保护消息。
4在IMS中,在UE和P-CSCF之间,可以建立IPSec的SA,建立的SA 与私有用户标识PVI (Private User Identity)关联。3GPP规定,同一PVI最 多只能与3对SA关联。注册过程中,UE与P-CSCF之间首先建立1对临时 SA;注册成功后,UE和P-CSCF把这对临时SA转换为正式SA。正式SA建 立后,UE与P-CSCF之间交互的SIP信令均使用正式SA。
outbound是使同 一用户用同一个终端或不同的终端通过不同的接入网络 接入的技术。outbound中每个终端有唯一的且与其他终端不同的设备标识 instance-id,终端用不同的注册标识reg-id在网络的一个成功^妄入。
IMS网络使用SIP协议的注册过程,实现用户接入IMS网络,并在UE 与P-CSCF之间建立SA。 IMS用户初始注册及IPSec协商流程图1所示,包 括以下步骤
SlOl, UE向P-CSCF发送初始注册请求,该消息不被保护,携带UE的 IPSec协商参数。
S102, P-CSCF检查与用户PVI关联的SA信息,如果PVI上已经关联3 对SA,则结束此次注册流程。
S103 S104, P-CSCF向S-CSCF转发用户注册消息,S-CSCF回送401挑战。
S105, P-CSCF删除PVI关联的所有临时SA,建立一对新的临时SA, 并与PVI关联。
S106, P-CSCF向UE下发401挑战,携带UE和P-CSCF的IPSec协商参数。
S107 S109, UE发挑战响应Register,通过P-CSCF在S-CSCF上注册成 功,S-CSCF向P-CSCF发送注册成功响应。
S110, P-CSCF启用S105中创建的SA,删除PVI关联的其他SA。
这里是删除PVI上除本次建立外的所有SA。
Slll, P-CSCF使用S105中创建的SA下发注册成功响应。SI 12, UE使用S105中创建的SA向P-CSCF发送会话请求,P-CSCF 解密成功转发该请求。
在图1过程中,用户第一条注册请求不^皮保护(后称不,皮保护注册), 注册成功后,P-CSCF要删除该用户PVI关联的除本次注册建立的所有SA。 而outbound方式引入IMS后,同一 PVI可以在不同的UE上注册,这些的区 别在于设备标识instance-id不同;同一 PVI也可以在同一 UE上有多个注册, 这些的区别在于注册序号reg-id不同。
按现有机制,在outbound方式下,PVI在设备UE1上不被保护注册成功 并建立了 IPSec的SA1;然后PVI在UE2上不^皮保护注册成功并建立IPSec 的SA2,此时P-CSCF会删除SA1,导致UE1后续会话请求由于P-CSCF解 密失败而失败。该过程如图2所示,包括以下步骤
S201, UE1用PVI、 instance-id1 、 reg-idl在S-CSCF上不被保护注册成功, 在并P-CSCF上建立SA1 ,与PVI关联。其流程与图1所述的S101 SI 11的 流程基本相同,详见图l对应流程的描述。
S202, UE2用PVI、 instance-id2、 reg-id2在S-CSCF上不被保护注册成功, P-CSCF建立临时SA2,与PVI关联,S-CSCF向P-CSCF发送的注册成功响 应。其流程与图1所述的S101 S109的流程基本相同,详见图1对应流程的 描述。
S203, P-CSCF启用S202中创建的SA2,删除与PVI关联的SA1。 S204, P-CSCF使用S202中创建的SA2向UE2下发注册成功响应。 S205, l正l使用SA1向P-CSCF发送呼叫请求。 S206, P-CSCF上SA1已经一皮删除,解密失败,丢弃该消息。
由图2所述流程可见,outbound引入IMS网络后,由于同 一个PVI可以 在不同的终端上接入IMS网络,原有的把SA与PVI关联的IPSec机制无法 使用。
发明内容
本发明要解决的技术问题是提供一种outbound方式下注册及IPSec协商 方法,以解决用户使用同一 PVI,用多个终端,通过不同接入网络接入 时,使用IPSec机制的问题。
为了解决上述问题,本发明提供了 一种outbound方式下用户注册及IPSec 协商方法,在用户注册及IPSec协商的过程中,采用用户的私有用户标识PVI、 用户设备的设备标识instance-id及注册标识reg-id三个参数来确定一对安全关 联SA,并据此进行安全关联SA的操作,以实现用户注册及呼叫。
进一步地,对安全关联SA的操作包括判断、删除和建立。
进一步地,该方法包括以下步骤
(a)用户设备UE向呼叫会话控制实体CSCF发送不被保护注册请求, 其中携带PVI、 instance-id、 reg-id及IPSec协商参数;
(b ) CSCF根据UE注册请求建立临时安全关联SA,该临时SA与PVI、 instance-id、 reg-id关联;
(c ) UE向CSCF发送注册请求;
(d) CSCF启用建立的临时SA。
进一步地,步骤(b)中CSCF建立临时SA前,先检查与用户PVI、 instance-id、reg-id关耳关的SA信息,如果相同PVI、相同instance-id及相同reg-id
上已经关联的SA对数达到系统上限,则结束此次注册流程。
进一步地,SA对数的系统上限是3对。
进一步地,步骤(b)中,建立新的临时SA前,CSCF删除所有与初始 注册请求中相同的PVI、相同的instance-id及相同的reg-id的临时SA,步骤 (d)中,CSCF启用建立的临时SA后,删除与该SA的PVI、 instance-id及 reg-id都分别相同的其他SA。
进一步地,CSCF包括代理呼叫会话控制实体P-CSCF和服务呼叫会话控 制实体S-CSCF, UE与S-CSCF通过P-CSCF交互信息,由S-CSCF完成注册, 由P-CSCF完成对安全关联SA的判断、删除、建立及启用。
7进一步地,outbound方式下,用户用同一 PVI在多个终端注册并进行呼叫。
进一步地,outbound方式下,用户用同一 PVI同一个终端多次注册并进 4亍呼叫。
本发明方法采用三个参数PVI、 instance-id、 reg-id来建立和删除安全关 联SA,对不同终端来说,终端标识instance-id必然不同,因此可以保证不同 终端通过各自的安全关联发起呼叫,实现网际协议安全机制的建立。
图1为现有IMS网络中用户注册及IPSec协商的流程图2为outbound引入IMS网络后,用户使用同一 PVI在多个终端注册及 IPSec协商的流程图3为outbound引入IMS网络后,本发明用户注册及IPSec协商的流程
图4为本发明应用实例一用户使用同一 PVI在两个终端注册及IPSec协 商的流程图5是本发明应用实例二用户使用同一PVI在一个终端两次注册及IPSec 协商的流程图。
具体实施例方式
本发明outbound方式下,在IMS网络中用户注册及IPSec协商过程中, 使建立的安全关联SA与用户的私有用户标识PVI、用户设备(终端)的设备 标识instance-id、注册标识reg-id均关l关,即釆用PVI、 instance-id及reg-id
三个参数来确定一对安全关联SA,并据此进行安全关联SA的判断、删除和 建立及启用操作,以完成用户注册过程。(a)用户设备UE向呼叫会话控制实体CSCF发送不被保护注册请求, 其中携带PVI、 insmnce-id、 reg-id及IPSec协商参数;
(b ) CSCF根据UE注册请求建立临时安全关联SA,该临时SA与PVI、 instance-id、 reg-id关联;
(c ) UE向CSCF发送注册请求;
(d) CSCF启用建立的临时SA。
与现有技术相比,使用本发明,在outbound方式引入IMS后,用户使用 同一PVI,用多个终端,通过不同接入网络接入,也可正常使用IPSec。
下面结合附图和具体实施方式
对本发明作进一步详细的说明。
图3是本发明的中outbound引入IMS网络后,用户注册及IPSec协商的 流程图,描述了改进的用户注册和IPSec协商流程。包括以下步骤
5301, UE向代理呼叫会话控制实体P-CSCF发送注册请求,该消息不被 保护,携带PVI、 instance-id、 reg-id和IPSec协商参数。
5302, P-CSCF检查与PVI、 instance-id、 reg-id关联的SA信息,如果相 同的PVI、相同的instance-id以及相同的reg-id上已经关联3对SA,则结束 此次注册流程,否则纟丸行步骤S303;
当达到3对时,有1对为临时SA, 2对为正式SA。其中1对正式SA在 短时间内会#:删除。
S303 S304, P-CSCF向服务呼叫会话控制实体S-CSCF转发用户注册消 息,S-CSCF回送401挑战;
S305, P-CSCF收到S-CSCF的注册认证挑战401时,删除相同PVI、相 同instance-id及相同reg-id的临时SA,并建立一对新的临时SA,并与PVI、 instance-id及reg-id关联;
S306, P-CSCF向UE下发401挑战,携带UE和P-CSCF的IPSec协商
参数;
S307 S309, UE发挑战响应Register,通过P-CSCF在S-CSCF上注册成功,S-CSCF向P-CSCF发送注册成功响应;
S310, P-CSCF收到S-CSCF的注册成功响应200时,启用步骤S305中 创建的SA,将其标记为正式使用的SA,删除相同PVI、相同instance-id、及 相同reg-id关联的其他SA;
S311, P-CSCF使用S105中创建的SA下发注册成功响应。
以上流程中,步骤S302中,P-CSCF是以3对作为相同的SA对数的系 统上限的,具体应用中,系统可以参照协议或系统能力确定相同SA对数的 上限。
应用实例1
图4是本发明的中outbound引入IMS网络后,用户使用同一 PVI在两个 终端UEl、 l正2注册及IPSec协商的应用实例的流程图,描述了改进的用户 注册和IPSec协商流程。其中,UEl的具有设备标识instance-id 1,此次注册 的注册标识为reg-idl; UE2的具有设备标识instance-id2 ,此次注册的注册标 识为reg-id2; instance隱idl与instance-id2不相同,reg隱idl和reg-id2可能相同 也可能不同。包括以下步骤
S401, UEl用PVI、 instance-idl 、 reg-idl在S-CSCF上不^皮保护注册成功, 在并P-CSCF上建立SA1,与PVI、 instance-idl 、 reg-idl关联。其流程与图3 所述的S301~ S311的流程基本相同,详见图3对应流程的描述。
S402, UE2用PVI、 instance-id2、 reg-id2在S-CSCF上不一皮保护注册成功, P-CSCF建立临时SA2,与PVI、 instance誦id2、 reg誦id2关联,S-CSCF向P-CSCF
发送的注册成功响应。其流程与图3所述的S301 S311的流程基本相同,详 见图3对应流程的描述。
5403, UE1使用SA1通过P-CSCF发起呼叫。
5404, P-CSCF解密成功,转发呼叫请求。
5405, UE2使用SA2通过P-CSCF发起呼叫。
5406, P-CSCF解密成功,转发呼叫请求。
10应用实例2
本发明的中outbound引入IMS网络后,用户使用同一 PVI在同 一终端 UE注册及IPSec协商的的应用实例流程图。其中,UE的具有设备标识 instance-id,第一次注册的注册标识为reg-idl ,第二次注册的注册标识为 reg-id2, reg-idl和reg-id2不同,包括以下步骤
S501, UE用PVI、 mstance-id、 reg-idl在S-CSCF上不被保护注册成功, 在并P-CSCF上建立SA1,与PVI、 instance-id、 reg-idl关联。其流程与图3 所述的S301 S311的流程基本相同,详见图3对应流程的描述。
S502, UE用PVI、 instance-id、 reg-id2在S-CSCF上不被保护注册成功, P-CSCF建立临时SA2,与PVI、 instance-id、 reg-id2关联,S-CSCF向P-CSCF 发送的注册成功响应。其流程与图3所述的S301 S311的流程基本相同,详 见图3对应流程的描述。
S503 , UE使用SA1通过P-CSCF发起呼叫。
S504, P-CSCF解密成功,转发呼叫请求。
S505 , UE使用SA2通过P-CSCF发起呼叫。
S506, P-CSCF解密成功,转发呼叫请求。
本发明方法采用三个参数PVI、 instance-id、 reg-id来建立和删除安全关 联SA,对不同终端来i兌,终端标识instance-id必然不同,因此可以保证不同 终端通过各自的安全关联发起呼叫,实现网际协议安全机制的建立。
权利要求
1、一种outbound方式下用户注册及IPSec协商方法,其特征在于,在用户注册及IPSec协商的过程中,采用用户的私有用户标识PVI、用户设备的设备标识instance-id及注册标识reg-id三个参数来确定一对安全关联SA,并据此进行安全关联SA的操作,以实现用户注册及呼叫。
2、 如权利要求l所述的方法,其特征在于对安全关联SA的操作包括 判断、删除和建立。
3、 如权利要求l所述的方法,其特征在于,该方法包括以下步骤(a) 用户设备UE向呼叫会话控制实体CSCF发送不被保护注册请求, 其中携带PVI、 instance-id、 reg-id及IPSec协商参数;(b) CSCF根据UE注册请求建立临时安全关联SA,该临时SA与PVI、 instance-id、 reg-id关联;(c ) UE向CSCF发送注册请求;(d) CSCF启用建立的临时SA。
4、 如权利要求2所述的方法,其特征在于步骤(b)中CSCF建立临 时SA前,先4全查与用户PVI、 instance-id、 reg-id关联的SA信息,如果相同 PVI、相同instance-id及相同reg-id上已经关联的SA对数达到系统上限,则 结束此次注册流程。
5、 如权利要求4所述的方法,其特征在于SA对数的系统上限是3对。
6、 如权利要求2所述的方法,其特征在于步骤(b)中,建立新的临 时SA前,CSCF删除所有与初始注册请求中相同的PVI、相同的instance-id 及相同的reg-id的临时SA,步骤(d)中,CSCF启用建立的临时SA后,删 除与该SA的PVI、 instance-id及reg-id都分别相同的其他SA。
7、 如权利要求2所述的方法,其特征在于CSCF包括代理呼叫会话控 制实体P-CSCF和服务呼叫会话控制实体S-CSCF , UE与S-CSCF通过P-CSCF交互信息,由S-CSCF完成注册,由P-CSCF完成对安全关联SA的判断、删除、建立及启用。
8、 如权利要求l所述的方法,其特征在于outbound方式下,用户用同 一 PVI在多个终端注册并进行呼叫。
9、 如权利要求l所述的方法,其特征在于outbound方式下,用户用同 一 PVI同 一个终端多次注册并进行呼叫。
全文摘要
本发明提供了一种outbound方式下用户注册及IPSec协商方法,在用户注册及IPSec协商的过程中,采用用户的私有用户标识PVI、用户设备的设备标识instance-id及注册标识reg-id三个参数来确定一对安全关联SA,并据此进行安全关联SA的操作,以实现用户注册及呼叫。本发明方法采用三个参数PVI、instance-id、reg-id来建立和删除安全关联SA,保证不同终端通过各自的安全关联发起呼叫,实现网际协议安全机制的建立。
文档编号H04W12/02GK101459910SQ200810100469
公开日2009年6月17日 申请日期2008年6月16日 优先权日2008年6月16日
发明者斌 王 申请人:中兴通讯股份有限公司