本发明专利技术公开了一种对终端用户标识模块进行IM域鉴权的方法,该方法在网络中设置用于提供IM业务的HSS,包括:S-CSCF收到UE发来的IM域注册请求后,向HSS发送鉴权向量请求,之后HSS向UE的归属设备发送用于获取鉴权向量的请求消息,UE的归属设备为该UE分配SQN,并基于该SQN生成相应的鉴权向量,将该鉴权向量通过HSS发送给S-CSCF,S-CSCF根据该鉴权向量对UE的终端用户标识模块进行鉴权;本发明专利技术同时公开了一种对终端用户标识模块进行IM域鉴权的系统,包括:UE、S-CSCF、HSS和UE的归属设备。本发明专利技术使得USIM用户不需换卡即可使用IM业务,大大降低了推广IM业务的难度,且杜绝了频繁再同步现象;另外,本发明专利技术只需对HSS和HLR/AUC进行简单升级,降低了在现有网络中实现IM域鉴权的成本和复杂度。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及对移动终端的鉴权技术,更确切地说是涉及一种在因特网多媒体(IM) 域对终端用户标识模块进行鉴权的方法及系统。
技术介绍
随着多媒体业务的发展,目前已出现了针对移动终端的多媒体业务。目前为移动 终端提供多媒体业务的IP多媒体子系统(IMS)的架构如图1所示,IMS起初是在第三代网 络(3G)已有的分组交换(PS)域之外叠加的一个子域,这个子域专门用于支持IP多媒体 (IM)业务。在条件成熟的情况下,IMS也可服务于以无线局域网(WLAN)或其它方式的IP 连通性接入网(IP-CAN)接入的用户。如图1所示,IMS主要由呼叫会话控制功能(CSCF)实体、媒体网关(MGW)、媒体资 源功能控制器(MRFC)、媒体资源功能处理器(MRFP)、媒体网关控制功能(MGCF)、中断网关 控制功能(BGCF)、签约定位器功能(SLF)、策略判决功能(PDF)等部件构成,在各个部件之 间主要使用会话发起协议(SIP)传输控制信令。呼叫控制部件是IMS中的关键部件,主要 完成呼叫控制、地址转换、计费、隐蔽移动终端(UE)的移动性等功能;媒体网关部件则是为 与现有公共交换电话网络(PSTN)兼容而引入的。另外,IMS中的归属用户服务器(HSS)是 归属网络中用于保存IMS用户签约信息的设备。IMS的安全功能包括用户在IMS的鉴权和SIP消息的保护。IMS的安全架构如图2 所示。其中,UE与归属网之间的鉴权及安全联盟(SAjecurityAssociation)协商采用IMS 鉴权密钥协议(AKA)双向认证机制,SIP消息的加密和完整性保护采用的是逐跳处理方式。具体来说,在IMS中,为实现对IP多媒体(IM)用户的鉴权,第三代合作伙伴组织 (3GPP)协议使用了专门的IMS用户标识模块(ISIM)作为用户侧的鉴权模块,并使用了通用 移动通信系统(UMTS)的AKA机制。IMS系统对用户的鉴权处理过程如图3所示,对应以下 步骤步骤301 :UE在需要使用IMS业务时,依次通过代理呼叫会话控制功能(P-CSCF) 及查询呼叫会话控制功能(I-CSCF)将注册请求发送给服务呼叫会话控制功能(S-CSCF)。步骤302 :S_CSCF在收到注册请求后,检测自身是否存在针对该用户的五元组鉴 权向量(AV),若存在,则直接利用该鉴权向量对用户进行鉴权,即进入步骤304 ;若不存在, 则向HSS请求AV,即进入步骤303。这里,五元组AV包括随机数(RAND)、鉴权令牌(AUTN)、全球移动通信(GSM)网使 用的加密密钥(CK)、完整性密钥(IK)及预期响应(XRES)。步骤303 :HSS收到S-CSCF发来的AV请求后,确定五元组AV,并发送给S-CSCF。其中,HSS确定五元组AV,具体是由HSS自身内嵌的鉴权中心(AUC)来确定序列号 (SQN),并根据该SQN生成相应的鉴权向量。当然,为提高效率,HSS 一般会按顺序向S-CSCF发送多组五元组AV,以便S-CSCF能够通过一次请求获取多组用于鉴权的五元组AV。步骤304 :S-CSCF保留自身保存的或HSS发送来的五元组AV中的XRES,将RAND、 AUTN、CK及IK放在鉴权考验(Auth_Challenge)消息中,并将该消息通过I-CSCF发送给 P-CSCF。如果HSS向S-CSCF发送多组五元组AV,则S-CSCF可以按顺序选择一组五元组AV, 其它五元组AV则留在针对该用户的下一次鉴权中使用。步骤305 :P-CSCF保留S-CSCF通过Auth_Challenge消息发送来的CK和IK,并将 RAND 禾口 AUTN 下发至lj UE。如果系统启动了一致性保护和保密性保护,则P-CSCF将在后续的会话中使用保 存下来的IK和CK作为密钥。步骤306 307 :UE将收到的RAND和AUTN发送到ISIM,ISIM对收到的AUTN进行 验证,并在验证通过后根据RAND计算响应(RES),然后将计算出的RES作为鉴权响应发送给 UE,并由UE将该RES返回给S-CSCF,同时ISIM还根据RAND计算出IK和CK,并将IK和CK发送给 UE。ISIM对收到的AUTN进行验证包括确定AUTN中包含的媒体接入控制(MAC)值是否 合法,以及确定AUTN中的序列号SQN是否可接受。其中,ISIM对SQN是否可接受的验证即 为验证是否需要再同步。UE具体会通过P-CSCF和I-CSCF将RES发送给S-CSCF,并保留IK和CK,以作为后 续会话中的密钥。步骤308 309 :S_CSCF将UE发送来的鉴权响应中的RES与自身保存的XRES进 行比较,如果相等,则确定鉴权通过,并通过I-CSCF及P-CSCF向UE发送鉴权成功消息;否 则,确定鉴权失败。上述处理过程要求使用单独的ISIM完成IM域的鉴权,也就是说,目前所设置的 ISIM是专门用于实现IM域的鉴权的,而目前能够用于3G的终端用户标识模块都是不包含 ISIM的,因此这些终端用户标识模块无法通过上述过程完成IM域的鉴权。比如,目前已出 现的针对3G的UICC卡一般只包含了用于电路交换(CS)域和PS域鉴权的USIM,这样也就 无法通过上述针对ISIM的处理完成IM域的鉴权。同时,HSS中也没有USIM的相关数据, 因此无法确定USIM用户鉴权所需的鉴权向量,也就无法直接通过上述方案对USIM进行鉴 权。若要使得HSS可以完成对USIM用户的鉴权,一种方案是将HLR中的数据集成到 HSS中,则HSS就能够具有USIM的相关数据,因此可以确定相应的鉴权向量。显然,这就需 要大规模地替换现有的HLR,但是,目前的IMS网络处于初始阶段,大规模替换HLR基本上 是不可能的。更为合理的解决方案是在现网的基础上叠加一个或多个专门提供IM业务的 HSS,而现有的HLR保持不变,继续提供CS和PS域的业务。但按照3GPP的建议方案,叠加 的HSS需要使用ISIM进行鉴权,原有的HLR则可以使用原来的USIM进行鉴权。这就需要 用户将卡更换为包含ISIM的卡。根据目前的运营模式,如果用户想要升级UE,可以通过各 种途径实现,包括购置新机、通过Java或者手机制造商提供的接口升级等,这些升级具有 很强的可操作性。但如果用户想要换卡,则必须到运营商授权的专门营业点进行更换,而为 保证业务的持续性,新卡中的国际移动用户标识(IMSI)与旧卡中的IMSI必须保证一定的关联性,比如,必须归属同一个HLR,因此,换卡在实际操作时必然非常繁琐。另外,即使HSS中存有USIM的相关数据,并且可以确定USIM用户鉴权所需的鉴权 向量,仍然会有其它的问题一个USIM同时为多个域鉴权会引起再同步问题。所谓再同步 是指USIM中保存了 SQNb,如果HSS/HLR下发的五元组中的SQN比USIM中保存的SQNms旧, 而下发的SQN是以HSS/HLR保存的SQNHE为准的,这说明SQNHE比SQNB旧,故将引发USIM会 用自身的SQNms去同步HSS/HLR中的SQNhe。并且,如果HSS和HLR中都存有SQN,则会存在 HSS和HLR中的SQN不一致的问题,这样,HSS和HLR之间也需要针对SQN进行再同步。以USIM本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】
【专利技术属性】
技术研发人员:谢红,王金城,朱东铭,顾炯炯,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。