專利名稱:網(wǎng)絡(luò)側(cè)選擇鑒權(quán)方式的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信技術(shù)領(lǐng)域,特別是指在用戶應(yīng)用多媒體子系統(tǒng)(IMS)網(wǎng)絡(luò)時(shí),由網(wǎng)絡(luò)側(cè)選擇鑒權(quán)方式的方法。
背景技術(shù):
隨著寬帶網(wǎng)絡(luò)的發(fā)展,移動(dòng)通信不僅僅局限于傳統(tǒng)的話音通信,通過與呈現(xiàn)業(yè)務(wù)(presence)、短消息、網(wǎng)頁(WEB)瀏覽、定位信息、推送業(yè)務(wù)(PUSH)以及文件共享等數(shù)據(jù)業(yè)務(wù)的結(jié)合,移動(dòng)通信能夠?qū)崿F(xiàn)音頻、視頻、圖片和文本等多種媒體類型的業(yè)務(wù),以滿足用戶的多種需求。
第三代移動(dòng)通信標(biāo)準(zhǔn)化伙伴項(xiàng)目(3GPP)以及第三代移動(dòng)通信標(biāo)準(zhǔn)化伙伴項(xiàng)目2(3GPP2)等組織都先后推出了基于IP的多媒體子系統(tǒng)(IMS)架構(gòu),其目的是在移動(dòng)網(wǎng)絡(luò)中使用一種標(biāo)準(zhǔn)化的開放結(jié)構(gòu)來實(shí)現(xiàn)多種多樣的多媒體應(yīng)用,以給用戶提供更多的選擇和更豐富的感受。
IMS架構(gòu)疊加在分組域網(wǎng)絡(luò)之上,該架構(gòu)與鑒權(quán)相關(guān)的實(shí)體包括呼叫狀態(tài)控制功能(CSCF)實(shí)體和歸屬簽約用戶服務(wù)器(HSS)功能實(shí)體。
CSCF又可以分成服務(wù)CSCF(S-CSCF)、代理CSCF(P-CSCF)和查詢CSCF(I-CSCF)三個(gè)邏輯實(shí)體,該三個(gè)邏輯實(shí)體可能在不同的物理設(shè)備上,也可能在同一個(gè)物理設(shè)備內(nèi)不同的功能模塊中。S-CSCF是IMS的業(yè)務(wù)交換中心,用于執(zhí)行會(huì)話控制,維持會(huì)話狀態(tài),管理用戶信息,產(chǎn)生計(jì)費(fèi)信息等;P-CSCF是終端用戶接入IMS的接入點(diǎn),用于完成用戶注冊(cè),服務(wù)質(zhì)量(QoS)控制和安全管理等;I-CSCF負(fù)責(zé)IMS域之間的互通,管理S-CSCF的分配,對(duì)外隱藏網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和配置信息,并產(chǎn)生計(jì)費(fèi)數(shù)據(jù)等。HSS是非常重要的用戶數(shù)據(jù)庫,用于支持各個(gè)網(wǎng)絡(luò)實(shí)體對(duì)呼叫和會(huì)話的處理。
IMS是基于第三代移動(dòng)通信網(wǎng)絡(luò)的,因而IMS上的業(yè)務(wù)非常豐富,所以出現(xiàn)了運(yùn)營商在2G的網(wǎng)絡(luò)上使用IMS的需求。但在2G的網(wǎng)絡(luò)上是無法支持基于3G網(wǎng)絡(luò)IMS的安全相關(guān)功能的,例如基于IMS層的接入認(rèn)證等,因此,在現(xiàn)有技術(shù)中出現(xiàn)了為2G應(yīng)用IMS業(yè)務(wù)的過渡鑒權(quán)方案,該鑒權(quán)方案也稱為Early IMS鑒權(quán)方案或IP-based鑒權(quán)方案,該鑒權(quán)方案為2G用戶應(yīng)用IMS業(yè)務(wù)提供一定的安全功能。當(dāng)網(wǎng)絡(luò)升級(jí)到3G之后,再應(yīng)用完整的基于3G的鑒權(quán)方式。
現(xiàn)有的基于2G的應(yīng)用IMS時(shí)的鑒權(quán)方式,也就是Early IMS鑒權(quán)方案如下用戶終端首先接入3GPP的分組域(PS-Domain),該分組域網(wǎng)絡(luò)會(huì)對(duì)用戶進(jìn)行鑒權(quán),鑒權(quán)通過后,分組網(wǎng)絡(luò)的分組網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點(diǎn)(GGSN)給用戶分配一個(gè)IP地址,該IP地址也是該用戶使用IMS業(yè)務(wù)時(shí)所應(yīng)用的IP地址。GGSN將這個(gè)IP地址和用戶的電話號(hào)碼(MSIDSN)通過中間實(shí)體通知給HSS,HSS通過用戶的MSISDN查找到用戶在IMS中的私有身份標(biāo)識(shí)IMPI,并將該用戶的IMPI、MSISDN以及IP地址等信息進(jìn)行綁定保存。當(dāng)用戶要使用IMS時(shí),用戶終端首先會(huì)發(fā)出登記請(qǐng)求消息(Register),這個(gè)消息經(jīng)過中間實(shí)體轉(zhuǎn)發(fā)后到達(dá)S-CSCF,S-CSCF從HSS中取得該用戶的IMPI與IP地址的綁定關(guān)系后并保存,然后S-CSCF檢查來自用戶終端的IMPI及其使用的IP地址是否與自身保存的該IMPI與IP地址的綁定相匹配,如果是,則認(rèn)為其是一個(gè)合法用戶終端,控制該用戶終端接入,允許該用戶使用IMS業(yè)務(wù),否則認(rèn)為其是一個(gè)非法用戶,拒絕該2G用戶接入。
現(xiàn)有的基于3G的應(yīng)用IMS時(shí)的鑒權(quán)方式如下用戶終端首先接入到3GPP的分組域(PS-Domain),經(jīng)過分組域的認(rèn)證鑒權(quán)后,GGSN給用戶分配IP地址建立連接。如果用戶要使用IMS業(yè)務(wù),則該用戶終端在IMS域發(fā)起Register,該消息被轉(zhuǎn)發(fā)到S-CSCF后,由S-CSCF向HSS請(qǐng)求鑒權(quán)矢量并使用鑒權(quán)和密鑰協(xié)商協(xié)議(AKA)對(duì)用戶進(jìn)行IMS業(yè)務(wù)層鑒權(quán),鑒權(quán)成功后S-CSCF允許用戶接入,為用戶提供IMS業(yè)務(wù),否則拒絕該用戶應(yīng)用IMS業(yè)務(wù)。
雖然基于2G的用戶和基于3G的用戶都能夠接入并應(yīng)用IMS中的業(yè)務(wù),且基于2G和3G的接入IMS的方式相兼容,但目前存在的問題是,對(duì)于已經(jīng)升級(jí)到3G的系統(tǒng)而言,IMS中的核心網(wǎng)絡(luò)收到用戶的登記請(qǐng)求后,并不清楚應(yīng)該使用哪種鑒權(quán)方式對(duì)接入的用戶進(jìn)行鑒權(quán),而是直接應(yīng)用基于3G的鑒權(quán)方式對(duì)該用戶進(jìn)行鑒權(quán)。這樣,如果是一個(gè)合法的2G用戶,同樣不能接入,這是因?yàn)?,網(wǎng)絡(luò)側(cè)對(duì)2G用戶的鑒權(quán)方式與對(duì)3G用戶的鑒權(quán)方式不同,且2G用戶不能通過基于3G的鑒權(quán)方式,此時(shí)網(wǎng)絡(luò)側(cè)將認(rèn)為該用戶為非法接入的用戶,因而導(dǎo)致合法用戶不能正常接入,使網(wǎng)絡(luò)的容錯(cuò)能力差。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的在于提供一種網(wǎng)絡(luò)側(cè)選擇鑒權(quán)方式的方法,使網(wǎng)絡(luò)側(cè)能夠根據(jù)用戶的需要選擇正確的鑒權(quán)方式。
為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種網(wǎng)絡(luò)側(cè)選擇鑒權(quán)方式的方法,適用于多媒體子系統(tǒng)網(wǎng)絡(luò),該方法包括以下步驟a、服務(wù)呼叫狀態(tài)控制功能實(shí)體S-CSCF接收到來自用戶終端的登記請(qǐng)求后,向歸屬簽約用戶服務(wù)器HSS發(fā)送包含所需鑒權(quán)方式標(biāo)識(shí)的鑒權(quán)矢量請(qǐng)求;b、HSS根據(jù)所需鑒權(quán)方式標(biāo)識(shí)判斷S-CSCF是否請(qǐng)求基于Early IMS鑒權(quán)方式的鑒權(quán)信息,如果是,則執(zhí)行步驟d;否則,再判斷該請(qǐng)求接入用戶的類型,如果是3G用戶,則給S-CSCF返回支持3G鑒權(quán)方式的鑒權(quán)信息,然后執(zhí)行步驟c;如果是2G用戶,則執(zhí)行步驟d或步驟e;c、S-CSCF采用基于3G的鑒權(quán)方式對(duì)請(qǐng)求接入的用戶進(jìn)行鑒權(quán),如果鑒權(quán)通過,則給用戶返回允許接入的信息,結(jié)束;如果鑒權(quán)失敗且失敗原因?yàn)椴恢С衷撹b權(quán)方式,S-CSCF向HSS發(fā)送包含請(qǐng)求Early IMS鑒權(quán)方式標(biāo)識(shí)的鑒權(quán)矢量請(qǐng)求,然后執(zhí)行步驟b;
d、HSS給S-CSCF返回基于Early IMS的鑒權(quán)信息,由S-CSCF根據(jù)獲取的采用Early IMS鑒權(quán)方式的鑒權(quán)結(jié)果,給用戶終端返回允許接入或拒絕接入的信息,結(jié)束;e、HSS給S-CSCF返回指示不支持該鑒權(quán)方式的失敗信息,S-CSCF接收到該失敗信息后通知用戶終端禁止接入,結(jié)束。
較佳地,步驟a所述S-CSCF接收到來自用戶終端的登記請(qǐng)求信息中,進(jìn)一步包括用戶接入網(wǎng)類型信息;步驟c所述鑒權(quán)失敗且失敗原因?yàn)椴恢С衷撹b權(quán)方式時(shí),進(jìn)一步包括S-CSCF判斷該用戶接入網(wǎng)類型,如果接入網(wǎng)類型是2G網(wǎng)絡(luò),則繼續(xù)執(zhí)行后續(xù)步驟,如果接入網(wǎng)類型是3G網(wǎng)絡(luò),則直接給用戶返回拒絕接入的信息。
較佳地,所述S-CSCF向HSS發(fā)送的包含所需鑒權(quán)方式標(biāo)識(shí)的鑒權(quán)矢量請(qǐng)求中,進(jìn)一步包括用戶接入網(wǎng)類型信息;步驟b所述HSS判斷出S-CSCF需要基于Early IMS鑒權(quán)方式的鑒權(quán)信息后,進(jìn)一步包括HSS判斷該用戶接入網(wǎng)類型,如果接入網(wǎng)類型是2G網(wǎng)絡(luò),則繼續(xù)執(zhí)行后續(xù)步驟,如果接入網(wǎng)類型是3G網(wǎng)絡(luò),且請(qǐng)求接入的用戶是3G用戶,則給S-CSCF返回支持3G鑒權(quán)方式的鑒權(quán)信息,S-CSCF接收到該信息后,或者執(zhí)行步驟c或者直接給用戶返回拒絕接入的信息。
較佳地,所述支持3G鑒權(quán)方式的鑒權(quán)信息為AKA鑒權(quán)矢量信息;步驟c所述采用3G的鑒權(quán)方式對(duì)請(qǐng)求接入的用戶進(jìn)行鑒權(quán)的過程為采用AKA協(xié)議對(duì)用戶進(jìn)行鑒權(quán)。
較佳地,所述支持Early IMS鑒權(quán)方式的鑒權(quán)信息為用戶身份標(biāo)識(shí)和IP地址的綁定信息;步驟d所述S-CSCF獲取采用Early IMS鑒權(quán)方式的鑒權(quán)結(jié)果的過程為S-CSCF檢查從用戶終端接收到的該用戶IP地址與從HSS收到的該用戶身份標(biāo)識(shí)和IP地址的綁定信息中的IP地址是否匹配,如果是則通過鑒權(quán),否則該用戶不能通過鑒權(quán),從而直接獲取鑒權(quán)結(jié)果。
較佳地,步驟d所述HSS給S-CSCF返回基于Early IMS的鑒權(quán)信息的方法為
HSS直接給S-CSCF返回基于Early IMS的鑒權(quán)信息,或者,HSS給S-CSCF返回指示不支持該鑒權(quán)方式的失敗信息,S-CSCF接收到該失敗信息后,再向HSS發(fā)送包含請(qǐng)求基于Early IMS鑒權(quán)方式標(biāo)識(shí)的鑒權(quán)矢量請(qǐng)求,HSS根據(jù)該請(qǐng)求再給S-CSCF返回基于Early IMS的鑒權(quán)信息。
較佳地,步驟a所述S-CSCF向HSS發(fā)送的鑒權(quán)矢量請(qǐng)求中進(jìn)一步包括申請(qǐng)用戶的IP地址;所述支持Early IMS鑒權(quán)方式的鑒權(quán)信息為用戶身份標(biāo)識(shí)和IP地址的綁定信息;步驟d所述S-CSCF獲取采用Early IMS鑒權(quán)方式的鑒權(quán)結(jié)果的過程為HSS檢查來自S-CSCF的用戶的IP地址與自身保存的該用戶身份標(biāo)識(shí)和IP地址的綁定信息中的IP地址是否匹配,如果是則通過鑒權(quán),發(fā)送鑒權(quán)成功的信息給S-CSCF,否則,發(fā)送鑒權(quán)失敗的信息給S-CSCF。
較佳地,步驟a所述S-CSCF向HSS發(fā)送包含所需鑒權(quán)方式標(biāo)識(shí)的鑒權(quán)矢量請(qǐng)求時(shí),判斷來自用戶終端的登記請(qǐng)求消息中是否有請(qǐng)求支持EarlyIMS鑒權(quán)方式的標(biāo)識(shí),如果有,則向HSS發(fā)送包含請(qǐng)求支持Early IMS鑒權(quán)方式的鑒權(quán)矢量請(qǐng)求,否則,向HSS發(fā)送包含請(qǐng)求支持3G鑒權(quán)方式的鑒權(quán)矢量請(qǐng)求。
較佳地,所述用戶終端發(fā)送的登記請(qǐng)求消息中包含的請(qǐng)求支持EarlyIMS鑒權(quán)方式的標(biāo)識(shí),承載于該消息中預(yù)先設(shè)置的字段中,或者,通過預(yù)設(shè)的默認(rèn)值,表示使用支持Early IMS鑒權(quán)方式;所述預(yù)設(shè)的默認(rèn)值為缺省3G鑒權(quán)方式消息中使用的安全消息頭security headers。
較佳地,所述S-CSCF發(fā)送給HSS的鑒權(quán)矢量請(qǐng)求消息中的請(qǐng)求支持Early IMS鑒權(quán)方式的標(biāo)識(shí),承載于該消息中用于標(biāo)識(shí)請(qǐng)求基于3G鑒權(quán)方式的字段中。
應(yīng)用本發(fā)明,當(dāng)HSS接收到來自S-CSCF的鑒權(quán)矢量請(qǐng)求后,判斷其所請(qǐng)求的鑒權(quán)矢量信息,如果S-CSCF請(qǐng)求支持Early IMS鑒權(quán)方式的鑒權(quán)信息,則給S-CSCF返回基于Early IMS的鑒權(quán)信息,并采用Early IMS鑒權(quán)方式對(duì)該請(qǐng)求接入的用戶進(jìn)行鑒權(quán);如果S-CSCF請(qǐng)求支持3G鑒權(quán)方式的鑒權(quán)信息,再判斷該請(qǐng)求接入用戶的類型,如果是3G用戶,則給S-CSCF返回支持3G鑒權(quán)方式的鑒權(quán)信息,并采用基于3G的鑒權(quán)方式對(duì)該請(qǐng)求接入的用戶進(jìn)行鑒權(quán);如果是2G用戶,則HSS給S-CSCF返回失敗信息,由S-CSCF通知UE此次鑒權(quán)失敗禁止接入,或者,HSS給S-CSCF返回基于Early IMS的鑒權(quán)信息,采用Early IMS的鑒權(quán)方式對(duì)該請(qǐng)求接入的用戶進(jìn)行鑒權(quán),最后根據(jù)鑒權(quán)結(jié)果,由S-CSCF給用戶返回允許接入或拒絕接入的信息。
應(yīng)用本發(fā)明,使網(wǎng)絡(luò)側(cè)能夠根據(jù)用戶的需要選擇正確的鑒權(quán)方式對(duì)用戶進(jìn)行鑒權(quán),提高了網(wǎng)絡(luò)側(cè)對(duì)異常情況處理的能力,使網(wǎng)絡(luò)側(cè)在最大程度上兼容原有安全協(xié)議。
圖1所示為應(yīng)用本發(fā)明的實(shí)施例一的流程示意圖;圖2所示為應(yīng)用本發(fā)明的實(shí)施例二的流程示意圖;圖3所示為應(yīng)用本發(fā)明的實(shí)施例三的流程示意圖。
具體實(shí)施例方式
下面結(jié)合附圖及具體實(shí)施例,對(duì)本發(fā)明再做進(jìn)一步地詳細(xì)說明。
對(duì)于3G網(wǎng)絡(luò),現(xiàn)有協(xié)議的S-CSCF發(fā)送給HSS的鑒權(quán)矢量請(qǐng)求消息中,有一字段專門用于標(biāo)識(shí)請(qǐng)求基于3G鑒權(quán)方式即AKA鑒權(quán)方案的鑒權(quán)矢量,且該字段中的內(nèi)容是唯一的。為了3G網(wǎng)絡(luò)能夠識(shí)別Early IMS鑒權(quán)方式的需要,為該字段增加一個(gè)新的可選鑒權(quán)方式標(biāo)識(shí),用以表示請(qǐng)求支持EarlyIMS鑒權(quán)方式的鑒權(quán)矢量。并且設(shè)置請(qǐng)求支持3G鑒權(quán)方式的標(biāo)識(shí)為該字段的默認(rèn)選項(xiàng),請(qǐng)求支持Early IMS鑒權(quán)方式的標(biāo)識(shí)為該字段的可選項(xiàng)。
當(dāng)然,在S-CSCF發(fā)送給HSS的鑒權(quán)矢量請(qǐng)求消息中,增加用于指示請(qǐng)求支持3G鑒權(quán)方式標(biāo)識(shí)或請(qǐng)求支持Early IMS鑒權(quán)方式標(biāo)識(shí),只要HSS能夠識(shí)別出是請(qǐng)求支持3G鑒權(quán)方式的鑒權(quán)信息還是請(qǐng)求支持Early IMS鑒權(quán)方式的鑒權(quán)信息即可,具體實(shí)現(xiàn)方式并不限于上述方案。
圖1所示為應(yīng)用本發(fā)明的實(shí)施例一的流程示意圖。本實(shí)施例中的用戶為使用2G終端或3G終端的2G用戶。
步驟101,當(dāng)UE需要使用IMS業(yè)務(wù)時(shí),在IMS域內(nèi)發(fā)起登記請(qǐng)求(Register),該Register經(jīng)P-CSCF和I-CSCF到達(dá)到S-CSCF。
步驟102,S-CSCF按照現(xiàn)有協(xié)議流程選擇支持3G鑒權(quán)方式即AKA鑒權(quán)方案向HSS發(fā)送鑒權(quán)矢量請(qǐng)求消息,即向HSS請(qǐng)求基于AKA鑒權(quán)矢量信息,同時(shí),該請(qǐng)求消息中還包含有用戶的身份標(biāo)識(shí)。該身份標(biāo)識(shí)可以是IMPI,也可以是用戶公共身份標(biāo)識(shí)(IMPU),如果是IMPU,則由HSS根據(jù)IMPU找到對(duì)應(yīng)的IMPI。
步驟103,HSS收到來自S-CSCF的鑒權(quán)矢量請(qǐng)求,根據(jù)該請(qǐng)求消息中的請(qǐng)求鑒權(quán)方式的標(biāo)識(shí)獲知其請(qǐng)求AKA鑒權(quán)矢量的信息后,再根據(jù)該請(qǐng)求消息中的用戶身份標(biāo)識(shí)查找該用戶的描述信息以判斷該請(qǐng)求接入用戶的類型,在本實(shí)施例中,HSS判斷出該請(qǐng)求接入的用戶為2G用戶不能夠支持AKA鑒權(quán)方案,此時(shí),HSS有兩套執(zhí)行方案,一套是執(zhí)行步驟104~105,另一套是執(zhí)行步驟104’~106’,具體執(zhí)行哪套方案由運(yùn)營商設(shè)定。下面就兩套方案分別說明。
步驟104~105,HSS向S-CSCF返回不支持該鑒權(quán)方式的失敗信息,S-CSCF接收到該失敗信息后,發(fā)送消息通知UE發(fā)生錯(cuò)誤,即禁止UE接入,UE收到錯(cuò)誤通知的消息后將不自動(dòng)進(jìn)行再次注冊(cè),至此,本流程結(jié)束。
如果用戶終端設(shè)備支持Early IMS鑒權(quán)方式,且用戶知道該用戶終端設(shè)備的能力,那么用戶可以操縱用戶終端設(shè)備重新發(fā)起登記請(qǐng)求,即重新執(zhí)行步驟101,開始新一輪的登記請(qǐng)求,該登記請(qǐng)求消息中包含了請(qǐng)求支持EarlyIMS鑒權(quán)方式的標(biāo)識(shí),S-CSCF收到該請(qǐng)求后,會(huì)直接向HSS請(qǐng)求支持EarlyIMS鑒權(quán)方式的鑒權(quán)矢量,其后續(xù)處理與下面圖3所示的處理方式相同,具體處理過程可參見圖3,在此不再詳細(xì)說明。
步驟104’,HSS給S-CSCF返回支持Early IMS鑒權(quán)方式的鑒權(quán)矢量信息,即該用戶的IMPI和該用戶IP地址的綁定信息。
在具體應(yīng)用時(shí),HSS給S-CSCF返回支持Early IMS鑒權(quán)方式的鑒權(quán)矢量信息的過程有兩種實(shí)現(xiàn)方式,下面分別說明。具體采用哪種方式由運(yùn)營商設(shè)定。
一種是,HSS直接給S-CSCF返回支持Early IMS鑒權(quán)方式的鑒權(quán)信息;另一種是,HSS向S-CSCF返回不支持該鑒權(quán)方式的失敗信息,S-CSCF接收到該失敗信息后,再重新向HSS發(fā)送鑒權(quán)矢量請(qǐng)求,該請(qǐng)求中包含請(qǐng)求支持Early IMS鑒權(quán)方式的標(biāo)識(shí),HSS判斷出S-CSCF請(qǐng)求支持Early IMS鑒權(quán)方式的鑒權(quán)信息后,給S-CSCF返回支持Early IMS鑒權(quán)方式的鑒權(quán)信息。
步驟105’,S-CSCF收到返回的消息后,采用Early IMS鑒權(quán)方式對(duì)該用戶進(jìn)行鑒權(quán),即檢查來自UE的Register中的用戶IP是否與從HSS收到的IMPI與IP地址的綁定信息中的IP地址相匹配,如果匹配則認(rèn)為該用戶是合法用戶,并保存該用戶的IMPI與IP地址的綁定信息。
上述步驟105’中對(duì)UE進(jìn)行鑒權(quán)的工作也可以由HSS完成,如果由HSS執(zhí)行對(duì)UE的鑒權(quán)操作,則在步驟102中所發(fā)送的鑒權(quán)矢量請(qǐng)求中攜帶請(qǐng)求接入用戶的IP地址,HSS檢查該IP地址是否與自身保存的IMPI與IP地址的綁定信息中的IP地址相匹配,如果匹配則認(rèn)為該用戶是合法用戶,此時(shí),HSS給S-CSCF返回的信息中指示該UE已通過鑒權(quán),同時(shí)還包括該用戶的IMPI與IP地址的綁定信息,以便S-CSCF在以后的操作中應(yīng)用;如果不匹配則認(rèn)為該用戶是非法用戶,此時(shí),HSS給S-CSCF返回的信息中指示該UE未通過鑒權(quán),即返回鑒權(quán)失敗的信息。
步驟106’,通過鑒權(quán)后,S-CSCF向UE發(fā)送允許接入的信息。如果鑒權(quán)未通過,則S-CSCF向UE發(fā)送禁止接入的信息。
上述實(shí)施例中,如果HSS判斷出S-CSCF請(qǐng)求AKA鑒權(quán)方式所需的鑒權(quán)信息且該用戶是3G用戶,則給S-CSCF返回支持3G鑒權(quán)方式的鑒權(quán)信息,相應(yīng)地,后面鑒權(quán)過程也是基于3G的鑒權(quán)方式。
圖2所示為應(yīng)用本發(fā)明的實(shí)施例二的流程示意圖。本實(shí)施例中的用戶為使用2G終端的3G用戶。
步驟201,當(dāng)UE需要使用IMS業(yè)務(wù)時(shí),在IMS域內(nèi)發(fā)起Register,該Register經(jīng)P-CSCF和I-CSCF到達(dá)到S-CSCF。
步驟202,S-CSCF按照現(xiàn)有協(xié)議流程選擇支持3G鑒權(quán)方式即AKA鑒權(quán)方案向HSS發(fā)送鑒權(quán)矢量請(qǐng)求消息,即向HSS請(qǐng)求AKA鑒權(quán)矢量信息,同時(shí),該請(qǐng)求消息中還包含有用戶的IMPI或IMPU,如果是IMPU,則由HSS根據(jù)IMPU找到對(duì)應(yīng)的IMPI。
步驟203,HSS收到來自S-CSCF的鑒權(quán)矢量請(qǐng)求,根據(jù)該請(qǐng)求消息中的請(qǐng)求鑒權(quán)方式的標(biāo)識(shí)獲知其請(qǐng)求AKA鑒權(quán)矢量的信息后,再根據(jù)該請(qǐng)求消息中的用戶身份標(biāo)識(shí)查找該用戶的描述信息以判斷該請(qǐng)求接入用戶的類型,在本實(shí)施例中,HSS判斷出該用戶為3G用戶后,給S-CSCF返回支持3G鑒權(quán)方式的鑒權(quán)信息,即AKA鑒權(quán)矢量信息。
步驟204,S-CSCF向用戶終端發(fā)送鑒權(quán)請(qǐng)求。
步驟205,由于該用戶的終端為2G終端,其不支持基于3G的鑒權(quán)方式,因此,UE向S-CSCF返回失敗原因?yàn)椴恢С衷撹b權(quán)方式的鑒權(quán)失敗的信息,具體實(shí)現(xiàn)時(shí),可在UE返回的信息中增加一字段用于表示失敗原因?yàn)椴恢С衷撹b權(quán)方式,也可以采用其它方法,只要能夠表示出失敗原因?yàn)椴恢С衷撹b權(quán)方式即可。
步驟206,S-CSCF接收到失敗原因?yàn)椴恢С衷撹b權(quán)方式的失敗信息后,重新向HSS發(fā)送鑒權(quán)矢量請(qǐng)求,該請(qǐng)求中包含請(qǐng)求支持Early IMS鑒權(quán)方式的標(biāo)識(shí)。
步驟207,HSS接收到步驟206所述請(qǐng)求后,給S-CSCF返回支持EarlyIMS鑒權(quán)方式的鑒權(quán)信息,即用戶的IMPI與IP地址的綁定信息。
步驟208,S-CSCF收到返回的消息后,采用Early IMS鑒權(quán)方式對(duì)該用戶進(jìn)行鑒權(quán),即檢查來自UE的Register中的用戶IP是否與從HSS收到的IMPI與IP地址的綁定信息中的IP地址相匹配,如果匹配則認(rèn)為該用戶是合法用戶,并保存該用戶的IMPI與IP地址的綁定信息。
上述對(duì)UE進(jìn)行鑒權(quán)的工作也可以由HSS完成,如果由HSS執(zhí)行對(duì)UE的鑒權(quán)操作,則在步驟206中所發(fā)送的鑒權(quán)矢量請(qǐng)求中攜帶請(qǐng)求接入用戶的IP地址,HSS檢查該IP地址是否與自身保存的IMPI與IP地址的綁定信息中的IP地址相匹配,如果匹配則認(rèn)為該用戶是合法用戶,此時(shí),HSS給S-CSCF返回的信息中指示該UE已通過鑒權(quán),同時(shí)還包括該用戶的IMPI與IP地址的綁定信息,以便S-CSCF在以后的操作中應(yīng)用;如果不匹配則認(rèn)為該用戶是非法用戶,此時(shí),HSS給S-CSCF返回的信息中指示該UE未通過鑒權(quán),即返回鑒權(quán)失敗的信息。
步驟209,通過鑒權(quán)后,S-CSCF向UE發(fā)送允許接入的信息。如果鑒權(quán)沒通過,則S-CSCF向UE發(fā)送禁止接入的信息。
另外,在S-CSCF接收到來自用戶終端的失敗原因?yàn)椴恢С衷撹b權(quán)方式的失敗信息后,可進(jìn)一步判斷登記請(qǐng)求消息中的接入網(wǎng)類型字段,以防止有能力執(zhí)行3G鑒權(quán)方式但拒絕執(zhí)行基于3G的鑒權(quán)方式的惡意用戶騙取業(yè)務(wù)。例如用戶使用3G的用戶卡和3G的手機(jī),但卻在步驟205中返回不支持該鑒權(quán)方式的失敗消息,這個(gè)時(shí)候S-CSCF就可以通過判斷Register消息中的接入網(wǎng)類型字段來判斷該用戶是否為惡意用戶,如果該字段顯示接入網(wǎng)類型為3G網(wǎng)絡(luò),那么S-CSCF就可以確定該用戶是一個(gè)惡意的用戶而拒絕其接入。因?yàn)?G的用戶終端是不能夠通過3G的接入網(wǎng)絡(luò)而接入的。
圖3所示為應(yīng)用本發(fā)明的實(shí)施例三的流程示意圖。本實(shí)施例中的用戶為使用2G終端的2G用戶。
步驟301,當(dāng)UE需要使用IMS業(yè)務(wù)時(shí),在IMS域內(nèi)發(fā)起Register,該Register經(jīng)P-CSCF和I-CSCF到達(dá)到S-CSCF,并且,該登記請(qǐng)求消息中包含請(qǐng)求支持Early IMS鑒權(quán)方式的標(biāo)識(shí)。
具體實(shí)現(xiàn)時(shí),可在Register消息中增加一字段,用于表示請(qǐng)求支持EarlyIMS鑒權(quán)方式;也可以在Register消息中通過預(yù)設(shè)默認(rèn)值,也即缺省部分消息內(nèi)容的方法來表示其支持2G過渡的鑒權(quán)方式,例如,在Register消息中不包含3G鑒權(quán)方式消息中使用的安全消息頭security headers,來表示希望使用支持Early IMS鑒權(quán)方式;也可以采用其它方法,只要能夠表示出請(qǐng)求支持Early IMS鑒權(quán)方式的鑒權(quán)信息即可。
步驟302,S-CSCF根據(jù)接收到的登記請(qǐng)求信息向HSS發(fā)送鑒權(quán)矢量請(qǐng)求,該鑒權(quán)矢量請(qǐng)求中包含請(qǐng)求支持Early IMS鑒權(quán)方式標(biāo)識(shí),同時(shí),該請(qǐng)求消息中還包含有用戶的IMPI或IMPU,如果是IMPU,則由HSS根據(jù)IMPU找到對(duì)應(yīng)的IMPI。
步驟303,HSS接收到步驟302所述請(qǐng)求后,給S-CSCF返回支持EarlyIMS鑒權(quán)方式的鑒權(quán)信息,即用戶的IMPI與IP地址的綁定信息。
步驟304,S-CSCF收到返回的消息后,采用Early IMS鑒權(quán)方式對(duì)該用戶進(jìn)行鑒權(quán),即檢查來自UE的Register中的用戶IP是否與從HSS收到的IMPI與IP地址的綁定信息中的IP地址相匹配,如果匹配則認(rèn)為該用戶是合法用戶,并保存該用戶的IMPI與IP地址的綁定信息。
上述對(duì)UE進(jìn)行鑒權(quán)的工作也可以由HSS完成,如果由HSS執(zhí)行對(duì)UE的鑒權(quán)操作,則在步驟302中所發(fā)送的鑒權(quán)矢量請(qǐng)求中攜帶請(qǐng)求接入用戶的IP地址,HSS檢查該IP地址是否與自身保存的IMPI與IP地址的綁定信息中的IP地址相匹配,如果匹配則認(rèn)為該用戶是合法用戶,此時(shí),HSS給S-CSCF返回的信息中指示該UE已通過鑒權(quán),同時(shí)還包括該用戶的IMPI與IP地址的綁定信息,以便S-CSCF在以后的操作中應(yīng)用;如果不匹配則認(rèn)為該用戶是非法用戶,此時(shí),HSS給S-CSCF返回的信息中指示該UE未通過鑒權(quán),即返回鑒權(quán)失敗的信息。
步驟305,通過鑒權(quán)后,S-CSCF向UE發(fā)送允許接入的信息。如果鑒權(quán)沒通過,則S-CSCF向UE發(fā)送禁止接入的信息。
另外,為了防止有能力執(zhí)行3G鑒權(quán)方式但拒絕執(zhí)行基于3G的鑒權(quán)方式的惡意用戶騙取業(yè)務(wù),可在步驟302所發(fā)送的鑒權(quán)矢量請(qǐng)求中包含接入網(wǎng)類型信息,如果HSS發(fā)現(xiàn)該用戶是3G用戶,且其接入網(wǎng)類型是3G網(wǎng)絡(luò),那么就可以斷定該用戶終端也是3G的終端(因?yàn)?G終端不能夠連接到3G的接入網(wǎng)上),從而認(rèn)為該用戶應(yīng)該選擇基于3G的鑒權(quán)方式,而不是基于Early IMS的鑒權(quán)方式。在HSS給S-CSCF的應(yīng)答消息中,指示出HSS選擇3G的鑒權(quán)方式并包含相關(guān)鑒權(quán)信息,而不是給S-CSCF返回基于Early IMS的鑒權(quán)方式的鑒權(quán)信息。S-CSCF在收到HSS返回的信息后,可以選擇使用基于3G的鑒權(quán)方式對(duì)用戶進(jìn)行鑒權(quán),也可以選擇拒絕該用戶當(dāng)前的登記請(qǐng)求。
以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種網(wǎng)絡(luò)側(cè)選擇鑒權(quán)方式的方法,適用于多媒體子系統(tǒng)網(wǎng)絡(luò),其特征在于,該方法包括以下步驟a、服務(wù)呼叫狀態(tài)控制功能實(shí)體S-CSCF接收到來自用戶終端的登記請(qǐng)求后,向歸屬簽約用戶服務(wù)器HSS發(fā)送包含所需鑒權(quán)方式標(biāo)識(shí)的鑒權(quán)矢量請(qǐng)求;b、HSS根據(jù)所需鑒權(quán)方式標(biāo)識(shí)判斷S-CSCF是否請(qǐng)求基于Early IMS鑒權(quán)方式的鑒權(quán)信息,如果是,則執(zhí)行步驟d;否則,再判斷該請(qǐng)求接入用戶的類型,如果是3G用戶,則給S-CSCF返回支持3G鑒權(quán)方式的鑒權(quán)信息,然后執(zhí)行步驟c;如果是2G用戶,則執(zhí)行步驟d或步驟e;c、S-CSCF采用基于3G的鑒權(quán)方式對(duì)請(qǐng)求接入的用戶進(jìn)行鑒權(quán),如果鑒權(quán)通過,則給用戶返回允許接入的信息,結(jié)束;如果鑒權(quán)失敗且失敗原因?yàn)椴恢С衷撹b權(quán)方式,S-CSCF向HSS發(fā)送包含請(qǐng)求Early IMS鑒權(quán)方式標(biāo)識(shí)的鑒權(quán)矢量請(qǐng)求,然后執(zhí)行步驟b;d、HSS給S-CSCF返回基于Early IMS的鑒權(quán)信息,由S-CSCF根據(jù)獲取的采用Early IMS鑒權(quán)方式的鑒權(quán)結(jié)果,給用戶終端返回允許接入或拒絕接入的信息,結(jié)束;e、HSS給S-CSCF返回指示不支持該鑒權(quán)方式的失敗信息,S-CSCF接收到該失敗信息后通知用戶終端禁止接入,結(jié)束。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟a所述S-CSCF接收到來自用戶終端的登記請(qǐng)求信息中,進(jìn)一步包括用戶接入網(wǎng)類型信息;步驟c所述鑒權(quán)失敗且失敗原因?yàn)椴恢С衷撹b權(quán)方式時(shí),進(jìn)一步包括S-CSCF判斷該用戶接入網(wǎng)類型,如果接入網(wǎng)類型是2G網(wǎng)絡(luò),則繼續(xù)執(zhí)行后續(xù)步驟,如果接入網(wǎng)類型是3G網(wǎng)絡(luò),則直接給用戶返回拒絕接入的信息。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述S-CSCF向HSS發(fā)送的包含所需鑒權(quán)方式標(biāo)識(shí)的鑒權(quán)矢量請(qǐng)求中,進(jìn)一步包括用戶接入網(wǎng)類型信息;步驟b所述HSS判斷出S-CSCF需要基于Early IMS鑒權(quán)方式的鑒權(quán)信息后,進(jìn)一步包括HSS判斷該用戶接入網(wǎng)類型,如果接入網(wǎng)類型是2G網(wǎng)絡(luò),則繼續(xù)執(zhí)行后續(xù)步驟,如果接入網(wǎng)類型是3G網(wǎng)絡(luò),且請(qǐng)求接入的用戶是3G用戶,則給S-CSCF返回支持3G鑒權(quán)方式的鑒權(quán)信息,S-CSCF接收到該信息后,或者執(zhí)行步驟c或者直接給用戶返回拒絕接入的信息。
4.根據(jù)權(quán)利要求1~3所述任一方法,其特征在于,所述支持3G鑒權(quán)方式的鑒權(quán)信息為AKA鑒權(quán)矢量信息;步驟c所述采用3G的鑒權(quán)方式對(duì)請(qǐng)求接入的用戶進(jìn)行鑒權(quán)的過程為采用AKA協(xié)議對(duì)用戶進(jìn)行鑒權(quán)。
5.根據(jù)權(quán)利要求1~3所述任一方法,其特征在于,所述支持Early IMS鑒權(quán)方式的鑒權(quán)信息為用戶身份標(biāo)識(shí)和IP地址的綁定信息;步驟d所述S-CSCF獲取采用Early IMS鑒權(quán)方式的鑒權(quán)結(jié)果的過程為S-CSCF檢查從用戶終端接收到的該用戶IP地址與從HSS收到的該用戶身份標(biāo)識(shí)和IP地址的綁定信息中的IP地址是否匹配,如果是則通過鑒權(quán),否則該用戶不能通過鑒權(quán),從而直接獲取鑒權(quán)結(jié)果。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,步驟d所述HSS給S-CSCF返回基于Early IMS的鑒權(quán)信息的方法為HSS直接給S-CSCF返回基于Early IMS的鑒權(quán)信息,或者,HSS給S-CSCF返回指示不支持該鑒權(quán)方式的失敗信息,S-CSCF接收到該失敗信息后,再向HSS發(fā)送包含請(qǐng)求基于Early IMS鑒權(quán)方式標(biāo)識(shí)的鑒權(quán)矢量請(qǐng)求,HSS根據(jù)該請(qǐng)求再給S-CSCF返回基于Early IMS的鑒權(quán)信息。
7.根據(jù)權(quán)利要求1~3所述任一方法,其特征在于,步驟a所述S-CSCF向HSS發(fā)送的鑒權(quán)矢量請(qǐng)求中進(jìn)一步包括申請(qǐng)用戶的IP地址;所述支持Early IMS鑒權(quán)方式的鑒權(quán)信息為用戶身份標(biāo)識(shí)和IP地址的綁定信息;步驟d所述S-CSCF獲取采用Early IMS鑒權(quán)方式的鑒權(quán)結(jié)果的過程為HSS檢查來自S-CSCF的用戶的IP地址與自身保存的該用戶身份標(biāo)識(shí)和IP地址的綁定信息中的IP地址是否匹配,如果是則通過鑒權(quán),發(fā)送鑒權(quán)成功的信息給S-CSCF,否則,發(fā)送鑒權(quán)失敗的信息給S-CSCF。
8.根據(jù)權(quán)利要求1~3所述任一方法,其特征在于,步驟a所述S-CSCF向HSS發(fā)送包含所需鑒權(quán)方式標(biāo)識(shí)的鑒權(quán)矢量請(qǐng)求時(shí),判斷來自用戶終端的登記請(qǐng)求消息中是否有請(qǐng)求支持Early IMS鑒權(quán)方式的標(biāo)識(shí),如果有,則向HSS發(fā)送包含請(qǐng)求支持Early IMS鑒權(quán)方式的鑒權(quán)矢量請(qǐng)求,否則,向HSS發(fā)送包含請(qǐng)求支持3G鑒權(quán)方式的鑒權(quán)矢量請(qǐng)求。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于,所述用戶終端發(fā)送的登記請(qǐng)求消息中包含的請(qǐng)求支持Early IMS鑒權(quán)方式的標(biāo)識(shí),承載于該消息中預(yù)先設(shè)置的字段中,或者,通過預(yù)設(shè)的默認(rèn)值,表示使用支持Early IMS鑒權(quán)方式;所述預(yù)設(shè)的默認(rèn)值為缺省3G鑒權(quán)方式消息中使用的安全消息頭securityheaders。
10.根據(jù)權(quán)利要求1~3所述任一方法,其特征在于,所述S-CSCF發(fā)送給HSS的鑒權(quán)矢量請(qǐng)求消息中的請(qǐng)求支持Early IMS鑒權(quán)方式的標(biāo)識(shí),承載于該消息中用于標(biāo)識(shí)請(qǐng)求基于3G鑒權(quán)方式的字段中。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)側(cè)選擇鑒權(quán)方式的方法,關(guān)鍵是,HSS根據(jù)接收到的來自S-CSCF的鑒權(quán)矢量請(qǐng)求消息中所請(qǐng)求的鑒權(quán)信息,以及請(qǐng)求用戶的類型,給S-CSCF返回支持Early IMS鑒權(quán)方式的鑒權(quán)信息,或支持3G鑒權(quán)方式的鑒權(quán)信息,或直接給S-CSCF返回失敗信息。如果是前兩者,則采用相應(yīng)鑒權(quán)方式鑒權(quán)后,由S-CSCF根據(jù)鑒權(quán)結(jié)果給用戶返回允許接入或拒絕接入的信息。如果是最后一種情況,則S-CSCF直接給UE發(fā)送禁止接入信息。應(yīng)用本發(fā)明,使網(wǎng)絡(luò)側(cè)能夠根據(jù)用戶的需要選擇正確的鑒權(quán)方式對(duì)用戶進(jìn)行鑒權(quán),提高了網(wǎng)絡(luò)側(cè)對(duì)異常情況處理的能力,使網(wǎng)絡(luò)側(cè)在最大程度上兼容原有安全協(xié)議。
文檔編號(hào)H04L9/32GK1753363SQ200510093819
公開日2006年3月29日 申請(qǐng)日期2005年8月30日 優(yōu)先權(quán)日2004年9月23日
發(fā)明者黃迎新, 武亞娟, 張文林 申請(qǐng)人:華為技術(shù)有限公司