專利名稱:2g用戶接入基于ip的多媒體子系統(tǒng)的方法
技術(shù)領域:
本發(fā)明涉及移動通信技術(shù)領域,特別是指一種第二代移動通信網(wǎng)絡(2G)用戶接入基于IP的多媒體子系統(tǒng)(IMS)的方法�����。
背景技術(shù):
隨著寬帶網(wǎng)絡的發(fā)展����,移動通信不僅僅局限于傳統(tǒng)的話音通信,通過與呈現(xiàn)業(yè)務(presence)�����、短消息�、網(wǎng)頁(WEB)瀏覽、定位信息����、推送業(yè)務(PUSH)以及文件共享等數(shù)據(jù)業(yè)務的結(jié)合,移動通信能夠?qū)崿F(xiàn)音頻�����、視頻�、圖片和文本等多種媒體類型的業(yè)務,以滿足用戶的多種需求�。
例如��,短消息業(yè)務能夠提供即時消息�����、聊天室以及多媒體短消息的服務����;視頻業(yè)務能夠提供娛樂�、多媒體信息和日常交流等服務;電子商務業(yè)務能夠提供產(chǎn)品目錄���、搜索引擎���、購物車、訂單管理以及支付等服務�;游戲業(yè)務能夠提供單人游戲和群組游戲等服務;定位業(yè)務能夠提供尋人��、向?qū)б约皥缶确?���;個人助理業(yè)務能夠提供地址本、日程表�、書簽管理、文件存儲�����、事件提醒以及電子郵件等服務��。
在多種應用的推動下�,第三代移動通信標準化伙伴項目(3GPP)以及第三代移動通信標準化伙伴項目2(3GPP2)等組織都先后推出了基于1P的多媒體子系統(tǒng)(IMS)架構(gòu),其目的是在移動網(wǎng)絡中使用一種標準化的開放結(jié)構(gòu)來實現(xiàn)多種多樣的多媒體應用���,以給用戶提供更多的選擇和更豐富的感受��。
IMS架構(gòu)疊加在分組域網(wǎng)絡之上�,由呼叫狀態(tài)控制功能(CSCF)實體�����、媒體網(wǎng)關控制功能(MGCF)實體����、媒體資源功能(MRF)實體和HSS等功能實體組成。
CSCF又可以分成服務CSCF(S-CSCF)���、代理CSCF(P-CSCF)和查詢CSCF(I-CSCF)三個邏輯實體����,該三個邏輯實體可能是不同的物理設備上,也可能是同一個物理設備中不同的功能模塊���。S-CSCF是IMS的業(yè)務交換中心�����,用于執(zhí)行會話控制�,維持會話狀態(tài)�,管理用戶信息,產(chǎn)生計費信息等�;P-CSCF是終端用戶接入IMS的接入點,用于完成用戶注冊��,服務質(zhì)量(QoS)控制和安全管理等�����;I-CSCF負責IMS域之間的互通����,管理S-CSCF的分配,對外隱藏網(wǎng)絡拓撲結(jié)構(gòu)和配置信息�,并產(chǎn)生計費數(shù)據(jù)等�����。
MGCF用于實現(xiàn)IMS網(wǎng)絡和其它網(wǎng)絡的互通;MRF用于提供媒體資源����,如收放音,編解碼和多媒體會議橋等����。HSS是非常重要的用戶數(shù)據(jù)庫,用于支持各個網(wǎng)絡實體對呼叫和會話的處理���。
IMS是基于第三代移動通信網(wǎng)絡的�,因而IMS上的業(yè)務非常豐富���,所以出現(xiàn)了運營商在2G的網(wǎng)絡上使用IMS的需求��。
現(xiàn)有的2G用戶接入IMS的過程是這樣的2G用戶首先接入3GPP的分組域�����,該分組域網(wǎng)絡會對用戶進行鑒權(quán)���,鑒權(quán)通過后�,分組網(wǎng)絡的分組網(wǎng)絡網(wǎng)關節(jié)點(GGSN)給用戶分配一個IP地址��,該IP地址也是用戶使用IMS子系統(tǒng)業(yè)務時使用的IP地址�����。GGSN將這個IP地址和用戶的電話號碼(MSIDSN)通知給IMS��,IMS內(nèi)的HSS通過用戶的MSISDN查找到用戶在IMS系統(tǒng)中的身份標識���,即IP多媒體私有用戶標識(IMPI)����,并將該用戶的IMPI�����、MSISDN以及IP地址等信息進行綁定保存����。當2G用戶使用IMS,S-CSCF從HSS中取得該用戶的IMPI與IP地址的綁定關系,檢查來自2G用戶的通過空中接口經(jīng)P-CSCF接入的身份標識和IP地址與自身保存的已綁定的身份標識和IP地址是否一致����,如果是,則認為其是一個合法用戶�����,控制該2G用戶接入��,允許該用戶使用IMS業(yè)務�,否則認為其是一個非法用戶�����,拒絕該2G用戶接入����。
上述2G用戶接入IMS的方法存在以下缺陷1)由于IMS對登陸的用戶沒有獨立地鑒權(quán)過程,因此�,如果3GPP分組域的安全被破壞,那么IMS也就沒有了安全性�����,即IMS的安全性完全依賴3GPP分組域的安全性�����,安全不獨立。
2)由于IMS子系統(tǒng)本身沒有對用戶身份進行認證�����,而且沒有對空中接口所傳信息的完整性保護的過程����,因而,IMS子系統(tǒng)檢查2G用戶身份標識與IP綁定的方法缺乏可信度���。例如在UE和P—CSCF之間通過空中接口通信時��,如果消息內(nèi)容被非法者更改��,則IMS網(wǎng)絡并不能知道����,因而無法從根本上保證消息的安全��。
3)如果要求所有的2G用戶都更換3G用戶卡來保證系統(tǒng)的安全�����,幾乎是不可能實現(xiàn)的。
因此需要解決2G用戶接入IMS時的安全問題�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的在于提供一種2G用戶接入IMS的方法����,由IMS對接入的2G用戶進行獨立地鑒權(quán),從而提高系統(tǒng)的安全性�。
為達到上述目的,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種2G用戶接入基于IP的多媒體子系統(tǒng)的方法�����,2G用戶通過3GPP的分組域的鑒權(quán)后��,該方法還包括以下步驟a�、2G用戶所在終端將自身的IMSI轉(zhuǎn)換為IMS能夠識別的IMPI后�,向IMS中的S-CSCF發(fā)送包含IMPI信息的登記請求;b����、S-CSCF收到用戶的登記請求消息,判斷完整性保護的標志�����,如果是為是且用戶已經(jīng)登記,則直接給該用戶返回登記成功響應信息�,并控制該2G用戶接入IMS,否則�����,向該2G用戶發(fā)送鑒權(quán)請求����;c、2G用戶接收到該鑒權(quán)請求后�����,產(chǎn)生一個響應值�,并將該響應值返回給S-CSCF,S-CSCF判斷該接收到的響應值與自身內(nèi)已保存的用于對該2G用戶進行鑒權(quán)的值是否相同��,如果是��,則控制該2G用戶接入IMS�,否則拒絕該2G用戶接入。
較佳地�����,步驟b所述S-CSCF向2G用戶發(fā)送鑒權(quán)請求包括以下步驟
b1、S-CSCF判斷本地是否有該2G用戶的鑒權(quán)矢量信息��,如果有���,則直接執(zhí)行步驟b3����,否則����,向HSS發(fā)送包含IMPI的請求該2G用戶鑒權(quán)矢量信息的消息,然后執(zhí)行步驟b2��;b2�����、HSS將該2G用戶的IMPI轉(zhuǎn)換為IMSI后�,向2G系統(tǒng)中的HLR查詢該2G用戶的鑒權(quán)矢量���,然后將接收到的來自HLR的包含RAND�、SRES和Kc信息的鑒權(quán)矢量信息返回給S-CSCF,S-CSCF保存接收到的鑒權(quán)矢量信息��;b3���、S-CSCF向P-CSCF發(fā)送包含RAND和Kc信息的對用戶進行鑒權(quán)的信息�;P-CSCF將消息中的Kc信息保存在本地�����,然后將包含RAND信息以及通信信息和完整性保護算法信息的鑒權(quán)請求信息發(fā)送給該2G用戶��。
較佳地���,步驟c所述2G用戶接收到該鑒權(quán)請求����,產(chǎn)生一個響應值后��,進一步包括2G用戶根據(jù)接收的鑒權(quán)請求消息中的RAND信息計算出Kc���,并將Kc保存在本地��;步驟c所述將該響應值返回給S-CSCF包括以下步驟c1��、2G用戶將自身產(chǎn)生的響應值以及通信信息和完整性保護算法信息包含在鑒權(quán)請求應答消息中發(fā)送給P-CSCF�;c2、P-CSCF對接收到的鑒權(quán)請求應答消息進行完整性檢查����,如果通過檢查,在該消息中置入相應的標志���,再將該標志后的鑒權(quán)請求應答消息發(fā)送給S-CSCF�。
較佳地��,步驟b所述S-CSCF向2G用戶發(fā)送鑒權(quán)請求包括以下步驟b1��、S-CSCF向HSS發(fā)送包含IMPI的請求該2G用戶鑒權(quán)矢量信息的消息�;b2、HSS將該2G用戶的IMPI轉(zhuǎn)換為IMSI后���,向2G系統(tǒng)中的HLR查詢該2G用戶的鑒權(quán)矢量�����,然后將接收到的來自HLR的包含RAND、SRES和Kc信息的鑒權(quán)矢量信息返回給S-CSCF���;b3�、S-CSCF保存接收到的鑒權(quán)矢量信息,并將Kc轉(zhuǎn)換為IK和CK后��,向P-CSCF發(fā)送包含RAND�、IK和CK信息的對用戶進行鑒權(quán)的信息;P-CSCF將消息中的IK和CK信息保存在本地�����,然后將包含RAND以及通信信息和完整性保護算法信息的鑒權(quán)請求信息發(fā)送給該2G用戶�。
較佳地,步驟b所述S-CSCF向2G用戶發(fā)送鑒權(quán)請求包括以下步驟b1����、S-CSCF向HSS發(fā)送包含IMPI的請求該2G用戶鑒權(quán)矢量信息的消息;b2�����、HSS將該2G用戶的IMPI轉(zhuǎn)換為IMSI后�����,向2G系統(tǒng)中的HLR查詢該2G用戶的鑒權(quán)矢量�����,然后將接收到的來自HLR的包含RAND、SRES和Kc信息的鑒權(quán)矢量信息返回給S-CSCF�����;b3�、S-CSCF保存接收到的鑒權(quán)矢量信息,向P-CSCF發(fā)送包含RAND和Kc信息的對用戶進行鑒權(quán)的信息���;P-CSCF將消息中的Kc轉(zhuǎn)換為IK和CK信息保存在本地���,然后將包含RAND信息以及通信信息和完整性保護算法信息的鑒權(quán)請求信息發(fā)送給該2G用戶。
較佳地���,步驟c所述2G用戶接收到該鑒權(quán)請求���,產(chǎn)生一個響應值后,進一步包括2G用戶根據(jù)接收的鑒權(quán)請求消息中的RAND信息計算出Kc�,并將Kc轉(zhuǎn)換為IK和CK后,將IK和CK信息保存在本地����;步驟c所述將該響應值返回給S-CSCF包括以下步驟c1、2G用戶將自身產(chǎn)生的響應值以及通信信息和完整性保護算法信息包含在鑒權(quán)請求應答消息中發(fā)送給P-CSCF�;c2、P-CSCF對接收到的鑒權(quán)請求應答消息進行完整性檢查�����,如果通過檢查�,在該消息中置入相應的標志,再將該標志后的鑒權(quán)請求應答消息發(fā)送給S-CSCF��。
較佳地����,步驟a所述2G用戶所在終端發(fā)起的登記請求是經(jīng)P-CSCF轉(zhuǎn)發(fā)的,且所述2G用戶向S-CSCF發(fā)送的登記請求中還包括標識接入網(wǎng)類型的字段��,P-CSCF和S-CSCF根據(jù)登記請求消息中的標識接入網(wǎng)類型的字段判斷該2G用戶所應用的終端是2G模式終端還是3G模式終端����。
較佳地,S-CSCF判斷出該接收到的響應值與自身內(nèi)已保存的用于對該2G用戶進行鑒權(quán)的值相同后�����,該方法進一步包括S-CSCF從HSS中獲取2G用戶的MSISDN、IMPI與IP地址的綁定關系��,檢查來自2G用戶的通過空中接口經(jīng)P-CSCF接入的2G用戶的身份標識�����、IP地址與自身保存的已綁定的身份標識�����、IP地址是否一致�,如果是,則控制該2G用戶接入���,否則拒絕該2G用戶接入�����。
較佳地����,所述2G用戶與P-CSCF經(jīng)空中接口的消息由Kc或Kc衍生出的密鑰進行完整性保護���。
較佳地�,步驟a所述2G用戶所在終端發(fā)起的登記請求由用戶側(cè)或網(wǎng)絡觸發(fā)。
應用本發(fā)明��,2G用戶通過3GPP的分組域的鑒權(quán)后����,該2G用戶還需經(jīng)IMS鑒權(quán)成功后�,才能接入IMS,否則��,該2G用戶不能接入IMS����。本發(fā)明在2G用戶接入IMS時,增加了IMS對其的鑒權(quán)過程�����,使業(yè)務層鑒權(quán)與分組域的接入層鑒權(quán)過程獨立�,提高了系統(tǒng)的安全性。同時��,對于在2G用戶和P-CSCF之間通過空口通信的消息進行了完整性保護���,為現(xiàn)有的檢查用戶標識和IP地址綁定的方式提供了的更高的安全保障��。
圖1所示為應用本發(fā)明的IMS對2G用戶進行鑒權(quán)的流程示意圖���。
具體實施例方式
為使本發(fā)明的技術(shù)方案更加清楚�,下面結(jié)合附圖對本發(fā)明再做進一步地詳細說明���。
本發(fā)明的思路是2G用戶通過3GPP的分組域的鑒權(quán)后��,該2G用戶通過所在終端將自身的IMSI轉(zhuǎn)換為IMS能夠識別的IMPI后�����,向IMS中的S-CSCF發(fā)送包含IMPI信息的登記請求�����,該消息是由P-CSCF和I-CSCF等中間實體轉(zhuǎn)發(fā)的�����。所述S-CSCF收到2G用戶的登記請求消息后�����,檢查該登記請求消息中的完整性保護標志�����,如果該保護標志為是��,且該用戶已經(jīng)登記��,那么發(fā)送登記成功消息給用戶���,允許該用戶接入。如果該消息的完整性保護標志為否�,那么不管該用戶是否已經(jīng)登記,S-CSCF都向用戶發(fā)送鑒權(quán)請求消息��。該2G用戶接收到上述鑒權(quán)請求后����,產(chǎn)生一個響應值,并將該響應值返回給S-CSCF����,S-CSCF判斷該接收到的響應值與自身內(nèi)已保存的用于對該2G用戶進行鑒權(quán)的值是否相同,如果是��,則控制該2G用戶接入IMS����,否則拒絕該2G用戶接入�。
2G用戶接受3GPP的分組域的鑒權(quán)過程與現(xiàn)有技術(shù)相同���,在此不再詳細敘述��。下面詳細說明IMS對請求接入的2G用戶進行鑒權(quán)的過程�����。
圖1所示為應用本發(fā)明的IMS對2G用戶進行鑒權(quán)的流程示意圖����。
步驟101�,UE將自身的國際用戶識別碼(IMSI)轉(zhuǎn)換成為IMS使用的用戶私有身份標識格式IMPI,并向IMS中的S-CSCF發(fā)送包含IMPI信息的登記請求�,該請求消息經(jīng)過P-CSCF、I-CSCF的轉(zhuǎn)發(fā)到達S-CSCF��。
步驟102����,S-CSCF收到2G用戶的登記請求消息后,檢查該登記請求消息中的完整性保護標志����,如果該保護標志為是���,且該用戶已經(jīng)登記,則發(fā)送登記成功消息給該2G用戶��,并執(zhí)行步驟106���,允許該2G用戶接入IMS���;如果該消息的完整性保護標志為否,則不管該2G用戶是否已經(jīng)登記�,S-CSCF都向用戶發(fā)送鑒權(quán)請求消息�。在S-CSCF發(fā)送鑒權(quán)請求消息之前,首先判斷本地是否有該用戶的鑒權(quán)矢量信息�,如果有,則S-CSCF向該2G用戶發(fā)送包含鑒權(quán)矢量信息的消息�����,然后執(zhí)行步驟105��,否則執(zhí)行步驟103�。
步驟103�����,S-CSCF向HSS發(fā)送包含IMPI的請求該2G用戶鑒權(quán)矢量信息的消息�。由于經(jīng)IMSI轉(zhuǎn)化得到的IMPI�,其IMPI有相應的標志信息,所以HSS知道該IMPI是經(jīng)IMSI轉(zhuǎn)換得到的����,不會直接根據(jù)IMPI去查找用戶的相關信息。HSS將該2G用戶的IMPI轉(zhuǎn)換為IMSI后����,向2G系統(tǒng)中的HLR查詢該2G用戶的鑒權(quán)矢量,然后將接收到的來自HLR的包含隨機數(shù)RAND��、希望得到的鑒權(quán)響應值SRES和密鑰Kc的鑒權(quán)矢量信息返回給S-CSCF���,即HSS給S-CSCF返回鑒權(quán)矢量三元組���。當然,HSS給S-CSCF返回的鑒權(quán)矢量三元組可以是一組��,也可以是多組�。如果是多組�����,S-CSCF按照排列的順序讀取第一組�。
步驟104�,S-CSCF接收到HSS返回的鑒權(quán)矢量信息后,保存所有鑒權(quán)矢量信息����,然后向該2G用戶發(fā)送鑒權(quán)請求。其具體過程為S-CSCF經(jīng)I-CSCF向P-CSCF發(fā)送包含RAND和Kc信息的對用戶進行鑒權(quán)的消息�����,P-CSCF接收到該對用戶進行鑒權(quán)的消息后����,首先在本地保存該消息中的Kc信息�,然后將后面通信過程中用到的通信信息和完整性保護算法信息插入到該對用戶進行鑒權(quán)的消息中,向2G用戶發(fā)送包含RAND信息以及通信信息和完整性保護算法信息的鑒權(quán)請求消息�。
完整性保護在UE和P-CSCF的空中口通信中是很重要的。所謂完整性保護是指��,發(fā)送信息的實體通過算法及密鑰等手段對發(fā)送出的信息進行處理�����,接收端在收到該消息后,使用相同的算法及密鑰等進行檢查����,如果消息在傳送途中被修改,那么接收端就會發(fā)現(xiàn)該消息被修改了�����,這種對消息的保護就叫做完整性保護�。應用完整性保護可以防止用戶通信使用的消息被修改等非法操作,所以P-CSCF向UE發(fā)送的消息需要指示出后面通信中要應用的完整性算法����。P-CSCF將選定的完整性算法標識放在消息中,以供UE讀取�。上述通信信息主要包括端口號和安全相關信息,如果支持IPsec(IPsecurity)那么安全相關信息就是IPsec相關協(xié)商信息��,如果不支持IPsec���,那么安全相關信息可以是完整性算法標識等信息����。
步驟105,2G用戶接收到該鑒權(quán)請求后�����,產(chǎn)生一個響應值SRES���,將該響應值SRES包含在鑒權(quán)響應消息中返回給S-CSCF��。具體實現(xiàn)過程為2G用戶產(chǎn)生響應值SRES后����,根據(jù)接收到的鑒權(quán)請求消息中的RAND信息計算出Kc����,將Kc保存在本地,然后給P-CSCF發(fā)送鑒權(quán)響應消息�,該鑒權(quán)響應消息中不但包含響應值SRES,還包括通信信息和應用的完整性算法標識信息�����,同時����,該消息應用Kc或Kc衍生的密鑰及所選定的完整性算法進行完整性保護。
P-CSCF收到來自2G用戶的鑒權(quán)響應消息后���,首先對該消息的完整性進行檢查�,完整性檢查通過后在該消息中置入相應的標志�����,將該消息經(jīng)I-CSCF發(fā)送給S-CSCF����。如果P-CSCF檢查到該消息沒有通過完整性保護,或未進行完整性保護�����,則直接丟棄該消息��。
步驟106����,S-CSCF接收到鑒權(quán)響應消息后,檢查鑒權(quán)響應消息中的響應值SRES與自身保存的用于對該2G用戶進行鑒權(quán)的值SRES是否相同��,如果相同,則認為該用戶是合法用戶�,即通過對該用戶的鑒權(quán),通知該2G用戶鑒權(quán)成功��,并控制該2G用戶接入IMS����,否則,認為該2G用戶未通過鑒權(quán)����,通知該2G用戶鑒權(quán)失敗,并拒絕該2G用戶接入IMS�����。
上述2G用戶可以使用2G或3G模式的終端�,在2G模式的網(wǎng)絡中應用上述流程。此時�����,由于2G網(wǎng)絡本身的安全性是有限的����,因此�,可以再次應用現(xiàn)有的IP地址綁定的方式對通信進行檢查�����,從而進一步增強網(wǎng)絡的安全性���。即當S-CSCF對2G用戶鑒權(quán)成功后,S-CSCF再次從HSS中取得該用戶的IMPI與IP地址的綁定關系��,檢查來自2G用戶的通過空中接口經(jīng)P-CSCF接入的用戶身份標識和IP地址��,與自身保存的已綁定的用戶身份標識和IP地址是否一致���,如果是����,才認為該2G用戶是合法用戶��,然后再控制該2G用戶接入IMS���,否則�����,拒絕該2G用戶接入IMS��,另外在后面的通信過程中S-CSCF仍然可以通過IP地址綁定的方式�,檢查用戶的真實性。上述再次鑒權(quán)的過程中��,由密鑰Kc對空中接口所傳送的消息進行完整性保護�。
鑒權(quán)可以是由用戶側(cè)觸發(fā),即上述過程描述的用戶主動發(fā)送登記消息����,也可以由網(wǎng)絡觸發(fā),即網(wǎng)絡發(fā)送消息通知該用戶需要鑒權(quán)��,那么這時用戶也發(fā)送登記消息���,后繼的流程相同�。
上述2G用戶還可以使用3G模式的終端�,在3G模式的網(wǎng)絡中應用上述流程,即除了用戶卡為2G模式的�,其余均為3G模式的設備和系統(tǒng)。此時�����,只需3G模式的終端和IMS中的S-CSCF或P-CSCF將2G系統(tǒng)中的密鑰Kc轉(zhuǎn)換成為3G中應用的密鑰IK和CK即可,其余步驟不變����。也就是說,在步驟104中�,S-CSCF將Kc轉(zhuǎn)換為IK和CK后���,再經(jīng)I-CSCF向P-CSCF發(fā)送包含RAND����、IK和CK信息的對用戶進行鑒權(quán)的消息���,或者��,在P-CSCF接收到該對用戶進行鑒權(quán)的消息后��,首先根據(jù)該消息中的Kc信息將Kc轉(zhuǎn)換為IK和CK后���,再在本地保存IK和CK信息,然后向2G用戶發(fā)送包含RAND信息以及通信信息和完整性保護算法信息的鑒權(quán)請求消息�;在步驟105中,2G用戶根據(jù)接收到的鑒權(quán)請求消息中的RAND信息計算出Kc�����,將Kc轉(zhuǎn)換為IK和CK后,再將IK和CK保存在本地��。
在步驟101中2G用戶發(fā)送的登記請求中包括接入網(wǎng)類型字段�,因此,IMS中的P-CSCF和S-CSCF根據(jù)登記請求中的接入網(wǎng)類型字段����,就可判斷出該2G用戶所使用的設備是2G模式的設備還是3G模式中的設備。
由于HSS與HLR是兼容的��,所以HSS和HLR可以為一個實體�,分別為3G和2G的用戶服務,也可以為不同的實體�����,為3G和2G的用戶服務���。
以上所述僅為本發(fā)明的較佳實施例而已���,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)��,所作的任何修改、等同替換����、改進等,均應包含在本發(fā)明的保護范圍之內(nèi)�����。
權(quán)利要求
1.一種2G用戶接入基于IP的多媒體子系統(tǒng)的方法�����,2G用戶通過3GPP的分組域的鑒權(quán)后��,其特征在于����,該方法還包括以下步驟a�、2G用戶所在終端將自身的IMSI轉(zhuǎn)換為IMS能夠識別的IMPI后,向IMS中的S-CSCF發(fā)送包含IMPI信息的登記請求��;b�����、S-CSCF收到用戶的登記請求消息,判斷完整性保護的標志�����,如果是為是且用戶已經(jīng)登記�,則直接給該用戶返回登記成功響應信息,并控制該2G用戶接入IMS�����,否則�,向該2G用戶發(fā)送鑒權(quán)請求;c�、2G用戶接收到該鑒權(quán)請求后,產(chǎn)生一個響應值�����,并將該響應值返回給S-CSCF���,S-CSCF判斷該接收到的響應值與自身內(nèi)已保存的用于對該2G用戶進行鑒權(quán)的值是否相同�,如果是�����,則控制該2G用戶接入IMS,否則拒絕該2G用戶接入�����。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,步驟b所述S-CSCF向2G用戶發(fā)送鑒權(quán)請求包括以下步驟b1、S-CSCF判斷本地是否有該2G用戶的鑒權(quán)矢量信息,如果有�,則直接執(zhí)行步驟b3�,否則����,向HSS發(fā)送包含IMPI的請求該2G用戶鑒權(quán)矢量信息的消息�����,然后執(zhí)行步驟b2���;b2����、HSS將該2G用戶的IMPI轉(zhuǎn)換為IMSI后,向2G系統(tǒng)中的HLR查詢該2G用戶的鑒權(quán)矢量�,然后將接收到的來自HLR的包含RAND、SRES和Kc信息的鑒權(quán)矢量信息返回給S-CSCF��,S-CSCF保存接收到的鑒權(quán)矢量信息���;b3���、S-CSCF向P-CSCF發(fā)送包含RAND和Kc信息的對用戶進行鑒權(quán)的信息;P-CSCF將消息中的Kc信息保存在本地�����,然后將包含RAND信息以及通信信息和完整性保護算法信息的鑒權(quán)請求信息發(fā)送給該2G用戶���。
3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于�����,步驟c所述2G用戶接收到該鑒權(quán)請求��,產(chǎn)生一個響應值后��,進一步包括2G用戶根據(jù)接收的鑒權(quán)請求消息中的RAND信息計算出Kc�����,并將Kc保存在本地�;步驟c所述將該響應值返回給S-CSCF包括以下步驟c1、2G用戶將自身產(chǎn)生的響應值以及通信信息和完整性保護算法信息包含在鑒權(quán)請求應答消息中發(fā)送給P-CSCF�����;c2�����、P-CSCF對接收到的鑒權(quán)請求應答消息進行完整性檢查�����,如果通過檢查�,在該消息中置入相應的標志����,再將該標志后的鑒權(quán)請求應答消息發(fā)送給S-CSCF��。
4.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,步驟b所述S-CSCF向2G用戶發(fā)送鑒權(quán)請求包括以下步驟b1��、S-CSCF向HSS發(fā)送包含IMPI的請求該2G用戶鑒權(quán)矢量信息的消息��;b2�����、HSS將該2G用戶的IMPI轉(zhuǎn)換為IMSI后��,向2G系統(tǒng)中的HLR查詢該2G用戶的鑒權(quán)矢量�����,然后將接收到的來自HLR的包含RAND��、SRES和Kc信息的鑒權(quán)矢量信息返回給S-CSCF����;b3�、S-CSCF保存接收到的鑒權(quán)矢量信息���,并將Kc轉(zhuǎn)換為IK和CK后��,向P-CSCF發(fā)送包含RAND��、IK和CK信息的對用戶進行鑒權(quán)的信息�;P-CSCF將消息中的IK和CK信息保存在本地�,然后將包含RAND以及通信信息和完整性保護算法信息的鑒權(quán)請求信息發(fā)送給該2G用戶。
5.根據(jù)權(quán)利要求1所述的方法����,其特征在于,步驟b所述S-CSCF向2G用戶發(fā)送鑒權(quán)請求包括以下步驟b1��、S-CSCF向HSS發(fā)送包含IMPI的請求該2G用戶鑒權(quán)矢量信息的消息��;b2�、HSS將該2G用戶的IMPI轉(zhuǎn)換為IMSI后,向2G系統(tǒng)中的HLR查詢該2G用戶的鑒權(quán)矢量�,然后將接收到的來自HLR的包含RAND、SRES和Kc信息的鑒權(quán)矢量信息返回給S-CSCF����;b3、S-CSCF保存接收到的鑒權(quán)矢量信息���,向P-CSCF發(fā)送包含RAND和Kc信息的對用戶進行鑒權(quán)的信息�;P-CSCF將消息中的Kc轉(zhuǎn)換為IK和CK信息保存在本地���,然后將包含RAND信息以及通信信息和完整性保護算法信息的鑒權(quán)請求信息發(fā)送給該2G用戶��。
6.根據(jù)權(quán)利要求4或5所述的方法���,其特征在于,步驟c所述2G用戶接收到該鑒權(quán)請求�����,產(chǎn)生一個響應值后���,進一步包括2G用戶根據(jù)接收的鑒權(quán)請求消息中的RAND信息計算出Kc��,并將Kc轉(zhuǎn)換為IK和CK后����,將IK和CK信息保存在本地����;步驟c所述將該響應值返回給S-CSCF包括以下步驟c1���、2G用戶將自身產(chǎn)生的響應值以及通信信息和完整性保護算法信息包含在鑒權(quán)請求應答消息中發(fā)送給P-CSCF;c2��、P-CSCF對接收到的鑒權(quán)請求應答消息進行完整性檢查���,如果通過檢查���,在該消息中置入相應的標志,再將該標志后的鑒權(quán)請求應答消息發(fā)送給S-CSCF�����。
7.根據(jù)權(quán)利要求1所述的方法�,其特征在于,步驟a所述2G用戶所在終端發(fā)起的登記請求是經(jīng)P-CSCF轉(zhuǎn)發(fā)的����,且所述2G用戶向S-CSCF發(fā)送的登記請求中還包括標識接入網(wǎng)類型的字段,P-CSCF和S-CSCF根據(jù)登記請求消息中的標識接入網(wǎng)類型的字段判斷該2G用戶所應用的終端是2G模式終端還是3G模式終端���。
8.根據(jù)權(quán)利要求3所述的方法��,其特征在于�,S-CSCF判斷出該接收到的響應值與自身內(nèi)已保存的用于對該2G用戶進行鑒權(quán)的值相同后����,該方法進一步包括S-CSCF從HSS中獲取2G用戶的MSISDN、IMPI與IP地址的綁定關系���,檢查來自2G用戶的通過空中接口經(jīng)P-CSCF接入的2G用戶的身份標識�、IP地址與自身保存的已綁定的身份標識��、IP地址是否一致�,如果是,則控制該2G用戶接入���,否則拒絕該2G用戶接入��。
9.根據(jù)權(quán)利要求8所述的方法��,其特征在于�����,所述2G用戶與P-CSCF經(jīng)空中接口的消息由Kc或Kc衍生出的密鑰進行完整性保護��。
10.根據(jù)權(quán)利要求1所述的方法����,其特征在于,步驟a所述2G用戶所在終端發(fā)起的登記請求由用戶側(cè)或網(wǎng)絡觸發(fā)���。
全文摘要
本發(fā)明提供了一種2G用戶接入IMS的方法�����,其關鍵是�����,2G用戶通過3GPP的分組域的鑒權(quán)后�,該2G用戶還需經(jīng)IMS鑒權(quán)成功后��,才能接入IMS���,否則�,該2G用戶不能接入IMS�����。本發(fā)明在2G用戶接入IMS時,增加了IMS對其的鑒權(quán)過程����,使業(yè)務層鑒權(quán)與分組域的接入層鑒權(quán)過程獨立,提高了系統(tǒng)的安全性�����。同時�����,對于在2G用戶和P-CSCF之間通過空口通信的消息進行了完整性保護����,為現(xiàn)有的檢查用戶標識和IP地址綁定的方式提供了的更高的安全保障�����。
文檔編號H04L9/32GK1708006SQ20041003719
公開日2005年12月14日 申請日期2004年6月8日 優(yōu)先權(quán)日2004年6月8日
發(fā)明者黃迎新, 朱奮勤 申請人:華為技術(shù)有限公司