專利名稱:Ip多媒體子系統(tǒng)接入域安全機制的選擇方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域中的安全技術(shù)�����,尤其涉及IP多媒體子系統(tǒng)(IMS)接入域安全機制的選擇方法。
背景技術(shù):
IP多媒體子系統(tǒng)(IMS)作為固定和移動網(wǎng)絡(luò)的核心會話控制層���,已成為目前業(yè)界討論的重點�����,在第三代移動通信系統(tǒng)(3G)以及TISPAN標準中定義了很多IMS相關(guān)的規(guī)范�����,包括網(wǎng)絡(luò)架構(gòu)、接口���、協(xié)議等各個方面��,其中安全是3G及TISPAN考慮的一個重要方面�。目前規(guī)范中從安全的角度將IMS網(wǎng)絡(luò)劃分為接入域和網(wǎng)絡(luò)域���,并分別定義了接入域和網(wǎng)絡(luò)域的安全規(guī)范��,IMS網(wǎng)絡(luò)的安全模型如圖1所示�����。
IMS網(wǎng)絡(luò)中定義的呼叫會話控制功能(CSCF)實體用于完成呼叫和會話時的控制和路由等功能�,P/S/I-CSCF是為了實現(xiàn)不同的功能而區(qū)分的,代理-呼叫會話控制功能(P-CSCF)是完成用戶UE的接入����,所有UE通過P-CSCF接入網(wǎng)絡(luò);業(yè)務(wù)-呼叫會話控制功能(S-CSCF)提供會話控制和路由等核心功能�����;查詢-呼叫會話控制功能(I-CSCF�,Interrogating-CSCF)用于S-CSCF的選擇及不同運營商或不同區(qū)域網(wǎng)絡(luò)之間的互通,實現(xiàn)網(wǎng)絡(luò)屏蔽等功能����,如可能作為不同運營商之間的唯一出入口;用戶歸屬服務(wù)器(HSS)����,用于保存用戶簽約數(shù)據(jù)和配置數(shù)據(jù)等。
從圖1中可以看出���,接入域安全機制包括與用戶終端(UE)相關(guān)的兩個接口接口1和接口2��。接口1為UE與IMS網(wǎng)絡(luò)間的雙向認證接口�,完成用戶認證功能;接口2用于保證UE與P-CSCF間的通信安全���。
3GPP對接口1和接口2的實現(xiàn)���,是通過在用戶終端注冊流程中應(yīng)用DigestAKA(摘要認證與密鑰協(xié)商)機制來完成。用戶終端注冊過程中涉及的主要網(wǎng)絡(luò)實體為用戶終端UE����、P-CSCF、S-CSCF�、用戶歸屬服務(wù)器(HSS),關(guān)于“IMS接入域安全”的更進一步信息���,可參考3GPP技術(shù)標準TS33.203對IMS網(wǎng)絡(luò)接入域安全性的詳細描述。Digest AKA機制可參考TS33.203第6.1節(jié)內(nèi)容��,以及IETF的RFC3310���。
由于無線領(lǐng)域現(xiàn)有大量用戶終端不符合3GPP協(xié)議規(guī)范��,不支持3GPP TS33.203要求的接入域安全機制����,例如使用SIM卡的用戶終端或者使用USIM/ISIM卡的2G用戶終端。為了能夠向這類終端用戶提供IMS業(yè)務(wù)����,TR33.978定義了稱為“Early IMS”的接入域安全機制。Early IMS接入域安全的基本原理����,是將應(yīng)用層安全建立在接入層安全之上。接入層對終端接入進行認證后����,將經(jīng)過認證的信息傳送給應(yīng)用層,應(yīng)用層依據(jù)這些信息對用戶請求進行應(yīng)用層安全認證�����。如圖3所示����,Early IMS接入域安全機制的原理如下1、PDP激活過程�����。用戶終端通過GGSN接入GPRS網(wǎng)絡(luò)��,GGSN認證用戶標識IMSI和MSISDN,為用戶終端分配網(wǎng)絡(luò)傳輸層標識(IP地址)����;GGSN通過“Accounting Request Start”將(用戶標識、終端IP地址)對應(yīng)關(guān)系傳送到HSS�,HSS保存該對應(yīng)關(guān)系。
2���、認證注冊請求�。用戶終端發(fā)起注冊請求REGISTER�;P-CSCF轉(zhuǎn)發(fā)請求到S-CSCF時,在REGISTER攜帶用戶終端源IP地址�����;S-CSCF依據(jù)REGISTER請求中的公有用戶標識���,查詢是否已注冊,如未注冊�,通過MAR/MAA由HSS獲取公有用戶標識對應(yīng)的終端IP地址(HSS靜態(tài)配置公有用戶標識與MSISDN的對應(yīng)關(guān)系,此時可通過公有用戶標識獲得對應(yīng)的終端IP地址)�����。S-CSCF檢查收到的REGISTER的終端源IP地址,如果與從HSS獲得的相同�����,則通過認證��。
3���、認證非注冊請求����。由于P-CSCF與UE間沒有建立安全通道��,對終端發(fā)起的所有請求消息��,S-CSCF都需要進行認證���,以確保用戶名與源IP地址是對應(yīng)的�����。用戶注冊后����,S-CSCF保存有用戶標識與IP地址的對應(yīng)關(guān)系。收到任何非注冊請求消息����,比較發(fā)起請求的用戶終端的源IP地址與S-CSCF保存的該用戶IP地址是否相同,如果不相同���,拒絕該請求��。
TR33.978�,第6.2.6節(jié)�,定義了IMS網(wǎng)絡(luò)與終端間關(guān)于Early IMS與IMS AKA兩種認證方式間的互通。
按TS33.203的要求��,終端在注冊請求中需要攜帶安全頭域“Authorization”及“Security-Client”���,而Early IMS認證不需要終端在注冊請求中攜帶這些安全頭域�����,因此當IMS網(wǎng)絡(luò)同時支持兩種認證方式時���,對沒有包含這些安全頭域的注冊(REGISTER)請求將采用Early IMS認證����。
采用此方式確定對終端采用的認證方式�,一方面無法擴展支持更多的認證方式�����,例如如果同時支持Digest認證����,終端的注冊請求也不攜帶安全頭域,這時就無法區(qū)分Digest認證和Early IMS��,因此�����,在支持更多的認證方式時其擴展性差�����。另一方面�����,這種安全機制采用哪種認證是由終端決定而非網(wǎng)絡(luò)決定����,當兩種認證的安全級別相同時沒有問題���,但如果同時支持多種不同安全級別的認證方式時,則不宜由終端來決定認證方式�,因此,這種安全機制在適應(yīng)網(wǎng)絡(luò)的靈活性差��。
發(fā)明內(nèi)容
本發(fā)明提供一種IP多媒體子系統(tǒng)(IMS)接入域安全機制的選擇方法��,以解決現(xiàn)有技術(shù)只能支持兩種IMS接入域安全機制��,在增加安全機制時存在擴展性和靈活差的問題�����。
為解決上述問題�����,本發(fā)明提供以下技術(shù)方案一種IP多媒體子系統(tǒng)(IMS)接入域安全機制的選擇方法����,該方法包括步驟在IMS網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備上針對接入網(wǎng)絡(luò)或/和用戶標識配置一種或多種接入域安全機制;依據(jù)用戶終端的請求消息從配置的接入域安全機制中選擇一種接入域安全機制,并由網(wǎng)絡(luò)中執(zhí)行安全機制的設(shè)備利用選擇的接入域安全機制進行相應(yīng)處理�����。
所述接入域安全機制包括對用戶采用的認證方式����。
在用戶歸屬服務(wù)器(HSS)上針對用戶標識配置對用戶采用的認證方式�,該HSS接收到網(wǎng)絡(luò)中的業(yè)務(wù)-呼叫會話控制功能(S-CSCF)實體的多媒體認證請求后,根據(jù)該請求中的用戶標識選擇一種認證方式��,并將對應(yīng)的認證數(shù)據(jù)返回給S-CSCF實體�,由S-CSCF實體與用戶終端進行交互完成認證。
在IMS網(wǎng)絡(luò)中的代理-呼叫業(yè)務(wù)控制功能(P-CSCF)實體上還針對接入網(wǎng)絡(luò)配置采用的認證方式���。
P-CSCF實體在接收到用戶終端未指明認證方式的請求消息后在轉(zhuǎn)發(fā)的請求消息中指明采用的認證方式����;或者��,P-CSCF實體在接收到用戶終端指明認證方式的請求消息時�,若發(fā)現(xiàn)該認證方式與本實體上針對接入網(wǎng)配置的認證方式不同,則在轉(zhuǎn)發(fā)的請求消息中指明采用本實體上配置的認證方式���。
在用戶歸屬服務(wù)器(HSS)上針對用戶標識配置對用戶終端可采用的多種認證方式���,該HSS接收到網(wǎng)絡(luò)中的業(yè)務(wù)-呼叫會話控制功能(S-CSCF)實體的多媒體認證請求后���,根據(jù)該請求中的用戶標識獲得相應(yīng)的多種認證方式,并將對應(yīng)的認證數(shù)據(jù)通過S-CSCF實體傳送到用戶終端����,由用戶終端選擇一種認證方式來完成認證。
在P-CSCF實體上針對接入網(wǎng)絡(luò)配置對用戶終端采用的認證方式����,P-CSCF實體在向S-CSCF實體轉(zhuǎn)發(fā)用戶終端的注冊請求消息時,根據(jù)用戶終端所在接入網(wǎng)絡(luò)在該注冊請求消息中指明對用戶的認證方式�����。
所述接入域安全機制包括用戶終端與代理-呼叫業(yè)務(wù)控制功能(P-CSCF)實體間需要建立的安全通道類型�����。
在HSS上針對用戶標識配置用戶終端與P-CSCF間需要建立的安全通道類型���;該HSS接收到網(wǎng)絡(luò)中的業(yè)務(wù)-呼叫會話控制功能(S-CSCF)實體的多媒體認證請求后��,將選擇的需要建立的安全通道類型返回給S-CSCF實體�����,由S-CSCF實體通知P-CSCF實體�����,P-CSCF實體據(jù)此與終端協(xié)商確定最終建立的安全通道類型�����。
在P-CSCF實體還針對接入網(wǎng)絡(luò)配置用戶終端與P-CSCF實體間需要建立的安全通道類型���;若P-CSCF實體發(fā)現(xiàn)本實體上配置的安全通道類型與HSS選擇的安全通道類型不同,則按HSS選擇的安全通道類型在本實體與用戶終端之間建立安全通道�����。
在P-CSCF上針對不同的接入網(wǎng)絡(luò)配置用戶終端與P-CSCF間需要建立的安全通道類型����;在認證過程中,P-CSCF實體根據(jù)用戶終端所在接入網(wǎng)絡(luò)對應(yīng)的安全通道類型��,與用戶終端協(xié)商建立該類型的安全通道。
本發(fā)明通過在網(wǎng)絡(luò)設(shè)備上配置一種或多種安全機制�,由HSS或用戶終端選擇其中一種安全機制來保證用戶的接入安全,不僅其擴展性強�����,能夠滿足各種類型終端安全接入IMS網(wǎng)絡(luò)����,而且可靈活滿足各種安全需求。
圖1為現(xiàn)有技術(shù)的IMS網(wǎng)絡(luò)安全模型���;圖2為現(xiàn)有技術(shù)中Early IMS的接入域安全機制的流程示意圖����;圖3A為網(wǎng)絡(luò)設(shè)備同時支持多種接入域安全機制的示意圖�;圖3B為本發(fā)明中Digest MD5認證的流程圖;圖4為本發(fā)明中由HSS決定認證機制的認證流程圖��;圖5為本發(fā)明中由用戶終端決定認證機制的認證流程圖����;圖6為本發(fā)明由P-CSCF實體確定接入域安全機制的流程圖。
具體實施例方式
為了提高IMS接入域安全機制上的可擴展性和靈活性����,滿足不同的安全需求�,本發(fā)明在IMS網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備上配置一種或多種接入域安全機制���,依據(jù)用戶的請求消息�����,選擇確定使用的接入域安全機制����。
IMS網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備同時支持多種接入域安全機制的實現(xiàn)如圖3A所示���。接入域安全機制包括對用戶采用的認證方式(如圖3A中Digest AKA,DigestMD5等)和用戶終端與IMS網(wǎng)絡(luò)中的代理-呼叫會話控制功能(P-CSCF)實體之間需要建立的安全通道類型(如圖3A中的IPSec�����,TLS等)�����?��?梢栽贖SS上針對用戶標識配置一種或多種認證方式���、一種或多種安全通道類型�����;也可以在P-CSCF上針對接入網(wǎng)絡(luò)配置一種或多種認證方式��,在P-CSCF上針對接入網(wǎng)絡(luò)配置一種或多種對應(yīng)的安全通道類型�。在HSS針對用戶標識配置安全機制的方法��,與在P-CSCF上針對接入網(wǎng)絡(luò)配置安全機制的方法�����,可以分別單獨使用����,也可以結(jié)合在一起使用。
用戶認證方式包括Digest AKA����、Early IMS和Digest MD5;也可包括其他類似的可用于IMS網(wǎng)絡(luò)的認證方式��。Digest MD5與Early IMS,都是為了將不支持3GPP要求的Digest AKA的SIP終端接入IMS網(wǎng)絡(luò)的認證機制����。
在HSS上針對用戶標識配置安全機制時,用戶標識可以是私有用戶標識����,這通常針對有用戶卡(ISIM卡等)的用戶接入情況;當用戶終端沒有類似的用戶卡����,實際是針對公有用戶標識配置相應(yīng)的安全機制。
如果在HSS上針對用戶標識配置有多種認證方式���,需最終選擇確定一種認證方式�,具體包括如下兩種選擇方法(1)用戶終端聲明自己支持的認證機制��,由HSS決定采用哪種認證機制�����。
用戶終端在第一個REGISTER消息中攜帶Authorization頭域��,向網(wǎng)絡(luò)表明自己支持的認證機制���。例如����,如下頭域表明用戶終端支持Digest AKA�����。
AuthorizationDigest username=userl_private@homel.net�,realm=″registrar.服務(wù)homel.net″,nonce=″″���,uri=″sipregistrar.homel.net″�,response=″″��,algorithm=AKAy1-MD5���。
第一個REGISTER請求攜帶Authorization頭域表明用戶終端支持的認證算法��,S-CSCF向HSS發(fā)送的MAR請求中“Authentication Scheme”信息單元的內(nèi)容為收到的REGISTER請求中的Authorization頭域所表明的認證算法����。此時,HSS檢查MAR請求中“Authentication Scheme”信息單元的認證算法是否包含在HSS配置數(shù)據(jù)中此用戶標識對應(yīng)的認證算法中�����,檢查通過后��,采用此認證算法生成認證數(shù)據(jù)��。
當在P-CSCF針對接入網(wǎng)絡(luò)配置了一種或多種認證方法�����,P-CSCF收到用戶注冊請求后���,將確定一種認證方法并在注冊請求Authorization頭域攜帶給S-CSCF(詳見后續(xù)描述)���。S-CSCF并不區(qū)分Authorization頭域中的認證方法是由終端填寫的還是在經(jīng)過P-CSCF時被決定的,都將此認證方法在MAR中指示給HSS��,HSS的處理與前述相同���。
如果S-CSCF收到的注冊請求沒有攜帶Authorization頭域指示認證方法,HSS可按配置缺省選擇一種認證方法(例如選擇優(yōu)先級別高的認證方法)�����,采用這種認證方法來生成認證數(shù)據(jù)返回給S-CSCF以認證用戶。
(2)HSS提供可能的認證方法��,由用戶終端選擇��。
當S-CSCF收到的注冊請求沒有攜帶Authorization頭域指示認證方法���,HSS沒有足夠依據(jù)從針對用戶標識配置的多種認證方法中選擇一種認證方法時���,HSS向S-CSCF返回的MAA響應(yīng)中,攜帶配置的各種認證方式所對應(yīng)的認證數(shù)據(jù)�����,S-CSCF可在下發(fā)認證請求Challenge時指示自己支持的多種認證方法�,由終端自行選擇。例如S-CSCF向用戶終端下發(fā)的401響應(yīng)消息中一次可攜帶多個Challenge����,即多個WWW-Authenticate頭域,每個WWW-Authenticate頭域分別對應(yīng)不同的認證方法��。用戶終端收到后�,選擇自己支持的最強的認證方法,在下一個注冊請求消息中,通過Authorization頭域指示上來���。
當HSS針對用戶標識僅配置了一種認證方法��,則無論接收的MAR所指示的認證方法是什么�,HSS總選擇配置的認證方法���。
參閱圖3B所示���,在IMS接入域內(nèi),由S-CSCF實體對用戶終端注冊請求實施Digest MD5認證的具體步驟如下
步驟1用戶終端UE向P-CSCF實體發(fā)起注冊請求消息REGISTER�。
步驟2P-CSCF實體將注冊請求REGISTER轉(zhuǎn)發(fā)到S-CSCF實體。
步驟3S-CSCF實體向HSS發(fā)起攜帶有用戶標識的多媒體認證請求消息(MAR消息)����,該用戶標識從注冊請求消息REGISTER中獲得。
步驟4HSS接收到MAR消息��,根據(jù)用戶標識對應(yīng)的用戶配置數(shù)據(jù)判斷對該用戶進行Digest MD5認證�,根據(jù)用戶配置數(shù)據(jù)中的用戶名username-value、所對應(yīng)的域名realm-value以及用戶密碼passwd�����,按RFC2617所描述公式H(A1)=H(unq(username-value)″″unq(realm-value)″″passwd)計算出H(A1)�����,向S-CSCF返回攜帶H(A1)的MAA消息���。
步驟5S-CSCF保存HA1���,同時生成認證挑戰(zhàn)中的各項參數(shù),如nonce�����,參數(shù)“realm”即用戶所在域的域名�,可直接從用戶標識中獲取。并根據(jù)各項參數(shù)生成WWW-Authenticate頭域���,并通過401響應(yīng)將該頭域下發(fā)到P-CSCF實體�����。
步驟6P-CSCF接收來自S-CSCF的401響應(yīng)���,檢查消息內(nèi)容知認證算法為Diges認證���,此時P-CSCF不修改401響應(yīng),透傳該401響應(yīng)到用戶終端UE�����。
步驟7用戶終端從401響應(yīng)中獲取WWW-Authenticate(認證挑戰(zhàn))后�����,結(jié)合自身密鑰計算“request-digest”���,攜帶在認證回應(yīng)Authorization的response參數(shù)中��,并通過重新發(fā)起的注冊請求消息REGISTER將認證回應(yīng)攜帶到P-CSCF實體�。
步驟8P-CSCF實體將注冊請求REGISTER傳送到S-CSCF實體�����。
步驟9S-CSCF實體收到認證回應(yīng)后����,再結(jié)合HA1計算出“request-digest”,與認證回應(yīng)Authorization中response參數(shù)的內(nèi)容相比較����,若兩者相同�����,則認證通過并向用戶側(cè)返回200響應(yīng),否則認證失敗��。
步驟10P-CSCF實體向用戶終端轉(zhuǎn)發(fā)200響應(yīng)消息����。
參閱圖4所示,用戶終端聲明自己支持的認證機制�,由HSS決定認證機制的實現(xiàn)過程如下
步驟20用戶終端UE通過P-CSCF向S-CSCF實體發(fā)起注冊請求REGISTER,該注冊請求REGISTER中聲明用戶終端支持的認證機制�����,如DigestMD5��。
步驟21S-CSCF實體通過Cx接口向HSS發(fā)送MAR請求認證數(shù)據(jù)�����,其中�,聲明用戶終端支持的認證機制���,如Digest MD5。在MAR消息請求中攜帶有“Authentication Scheme”信息單元��。
步驟22HSS從MAR中獲得用戶標識ID1����,查詢預(yù)先配置的用戶標識與認證方式之間的關(guān)系,得到該用戶標識ID1所對應(yīng)的多個認證方式��。如EarlyIMS和Digest MD5����。由于MAR中聲明終端支持Digest MD5,因此���,HSS優(yōu)先選擇Digest MD5認證方式����;HSS通過MAA消息將認證方式和認證數(shù)據(jù)返回給S-CSCF實體�。
HSS作為用戶認證方式的決策點,當收到的MAR請求中的“AuthenticationScheme”指示的認證方式不在其配置的該用戶的認證方式列表中�,則選擇某一缺省認證方式。
步驟23-25S-CSCF實體收到MAA響應(yīng)后�����,依據(jù)獲得的認證數(shù)據(jù)生成認證挑戰(zhàn),在401響應(yīng)中攜帶給用戶終端�,用戶終端與S-CSCF交互完成認證(詳細流程參閱圖3B的步驟5-10)。
參閱圖5所示��,以為用戶標識ID2配置Early IMS和Digest MD5認證方式為例����,HSS提供可能的認證方法�����,由用戶終端決定認證機制的實現(xiàn)過程如下步驟30用戶終端UE通過P-CSCF向S-CSCF實體發(fā)起注冊請求REGISTER�。
步驟31S-CSCF實體通過Cx接口向HSS發(fā)送MAR消息請求認證數(shù)據(jù),在MAR消息請求中未攜帶“Authentication Scheme”信息單元�。
步驟32HSS從MAR中獲得用戶標識ID2,查詢預(yù)先配置的用戶標識與認證方式之間的關(guān)系����,得到該用戶標識ID2所對應(yīng)的Early IMS和Digest MD5認證方式;HSS通過MAA消息將Early IMS和Digest MD5認證方式����,以及相應(yīng)的認證數(shù)據(jù)返回給S-CSCF實體�����。
步驟33S-CSCF實體收到MAA響應(yīng)后�,依據(jù)獲得的認證數(shù)據(jù)分別生成兩個認證挑戰(zhàn)WWW-Authenticate頭域�,在401響應(yīng)中攜帶給用戶終端。S-CSCF向用戶終端下發(fā)的401響應(yīng)消息中一次可攜帶多個Challenge����,即多個WWW-Authenticate頭域,每個Challenge分別對應(yīng)不同的認證機制�����。
步驟34用戶終端從401響應(yīng)中獲取兩個WWW-Authenticate頭域后了解網(wǎng)絡(luò)側(cè)支持Early IMS和Digest MD5認證方式����,根據(jù)自身支持的最強的認證方式,如Digest MD5認證方式�,結(jié)合自身密鑰計算“request-digest”,攜帶在認證回應(yīng)Authorization的response參數(shù)中�,并通過重新發(fā)起的注冊請求消息REGISTER來完成認證(其后處理流程參閱圖3B的步驟8-10,不再贅述)�。
IMS接入域安全機制由兩部分組成,包括對用戶的認證和保證信令傳輸安全。為保證信令傳輸安全��,可在用戶終端與P-CSCF間建立安全通道��。具體要求建立的安全通道類型可以由運營商在網(wǎng)絡(luò)設(shè)備上配置�。對用戶認證方法的配置,和對安全通道類型的配置���,相應(yīng)的實現(xiàn)流程是相互獨立的����,運營商可以在P-CSCF或HSS已配置認證方式的基礎(chǔ)上或在沒有配置認證方式的情況下在P-CSCF實體上或在HSS上配置安全通道類型�����。
安全通道包括但不限于IPSec����,TLS等�����。例如�����,作為安全通道的一個特例,對某些接入環(huán)境���,運營商通過底層IP組網(wǎng)保證接入終端與P-CSCF間的通信安全���。運營商確定接入網(wǎng)絡(luò)已有相應(yīng)安全保證的情況下,如VPN�����,P-CSCF與該接入網(wǎng)絡(luò)內(nèi)的用戶終端間不要求再建立安全通道�����。
安全通道的另一個特例�����,用戶終端與P-CSCF間沒有任何安全通道��,底層IP組網(wǎng)也沒有保證兩者間的通信安全��。運營商選擇接入這類用戶時�,UE與P-CSCF間安全通信沒有保證。為防止用戶欺騙,可在注冊和會話建立過程中對用戶進行認證�。在會話建立過程對用戶終端的認證可采用如下方式收到用戶發(fā)起會話請求時,S-CSCF實體首先對終端進行Digest MD5認證����,認證通過后,再繼續(xù)進行呼叫建立過程�,否則拒絕會話請求。更進一步���,除了對會話建立請求進行認證�,S-CSCF實體也可對每條用戶終端發(fā)起的所有請求消息進行DigestMD5認證���。
當對用戶終端采用Digest AKA認證方法��,在認證過程中P-CSCF和UE都可獲得IK/CK�,IK/CK就是建立安全通道的密鑰�����,即可將IK/CK用于IPSEC��,也可將IK/CK用于TLS通道建立����。如果對用戶終端采用Digest MD5認證,此認證過程中不產(chǎn)生用于建立安全通道的密鑰��,此時可采用其他方式��,例如終端配置P-CSCF的數(shù)字證書�����,終端與P-CSCF間建立TLS連接�����。
實際應(yīng)用中存在各種各樣的安全通道類型���,運營商可以在HSS上針對用戶標識配置用戶終端UE與P-CSCF間要建立的安全通道類型�����。類似于在HSS針對用戶標識配置相應(yīng)的用戶認證機制�����,在上述圖4和圖5的流程中����,S-CSCF實體與HSS之間進行MAR/MAA的交互過程中,S-CSCF獲得HSS配置的UE與P-CSCF實體間安全通道類型����,并將此類型信息通過401響應(yīng)攜帶給P-CSCF實體,P-CSCF實體依據(jù)此信息與終端協(xié)商安全通道類型并等待安全通道的建立�。例如,S-CSCF實體可以通過在401響應(yīng)中增加一個私有擴展頭域“security-channel”向P-CSCF實體表明要建立的安全通道類型�����。P-CSCF實體作為安全通道的建立點��,當收到來自S-CSCF實體的401響應(yīng)中攜帶的安全通道類型指示參數(shù)�����,就以此與用戶終端協(xié)商確定要建立的安全通道�。
用戶終端可通過各種不同的接入網(wǎng)絡(luò),經(jīng)P-CSCF接入到IMS����。P-CSCF對外可提供多個網(wǎng)絡(luò)接口���,每個網(wǎng)絡(luò)接口對應(yīng)一個接入網(wǎng)絡(luò)�,例如移動接入UMTS/GPRS,固定接入�,或接入類型ADSL/LAN/HFC/WiFi。運營商針對一個接入網(wǎng)絡(luò)可實施一種接入域安全機制�����,即針對P-CSCF的某個網(wǎng)絡(luò)接口�����,運營商可配置相對應(yīng)的接入域安全機制����,包括對用戶的認證方式和UE與P-CSCF間需建立的安全通道類型。
運營商可在P-CSCF實體上針對接入網(wǎng)絡(luò)配置接入域安全機制��,包括對用戶認證機制及UE和P-CSCF實體間的安全通道類型��。參閱圖6所示步驟50P-CSCF實體接收到用戶終端的注冊請求REGISTER����,識別出接收該請求的網(wǎng)絡(luò)接口,依據(jù)配置數(shù)據(jù)����,確定該網(wǎng)絡(luò)接口對應(yīng)的接入域安全機制類型���。其中,UE與P-CSCF實體間的安全通道類型�,由P-CSCF實體保存供安全通道的建立使用,對用戶采用的認證機制���,P-CSCF實體在REGISTER請求中傳送給S-CSCF實體�����。
若UE發(fā)出的REGISTER請求未攜帶Authorization頭域����,P-CSCF實體在REGISTER新增加Authorization頭域�����,并在該頭域攜帶參數(shù)“algorithm”��,向S-CSCF實體表明對該用戶采用的認證機制類型����。
若UE發(fā)送的REGISTER請求中已經(jīng)攜帶了Authorization頭域�����,P-CSCF實體檢查其中的“algorithm”參數(shù)內(nèi)容,如不符合本地配置的與該網(wǎng)絡(luò)接口相對應(yīng)的用戶認證機制�,則修改為本地配置的用戶認證機制并向S-CSCF實體轉(zhuǎn)發(fā)REGISTER請求。
步驟51S-CSCF實體收到REGISTER請求后���,向HSS發(fā)MAR請求��,攜帶信息單元“Authentication Scheme”向HSS表明對用戶采用的認證機制�����。
步驟52HSS沒有針對用戶標識配置接入域安全機制�,僅依據(jù)MAR請求中指示的認證機制�,在MAA中回送相應(yīng)的認證數(shù)據(jù)。S-CSCF實體據(jù)此生成WWW-Authenticate頭域并攜帶在401響應(yīng)中(其余步驟參閱前述流程中的相關(guān)步驟)�����。
若HSS不支持MAR請求的信息單元“Authentication Scheme”指示的認證機制���,S-CSCF實體通過MAA可獲知����,S-CSCF實體向用戶終端返回4XX響應(yīng)(如420 Bad Extension)。
步驟53P-CSCF實體通過401響應(yīng)的Security-Server頭域���,將先前保存的要建立的安全通道類型同終端協(xié)商���。
步驟54用戶終端與P-CSCF實體建立指定類型的安全通道。
P-CSCF實體向用戶終端發(fā)送401響應(yīng)后��,P-CSCF實體進入安全通道建立階段��。等待一段時間���,如終端沒有發(fā)起安全通道建立�,認為與終端間安全通道建立失敗���,拒絕后續(xù)用戶請求���。如安全通道建立成功,則將在已建立的安全通道上接收并處理后續(xù)用戶請求���。
以上步驟包括了既在P-CSCF針對接入網(wǎng)絡(luò)配置用戶認證方法�,也對接入網(wǎng)絡(luò)配置安全通道類型,但并不限定這兩種配置必須同時使用�����。
僅在P-CSCF針對接入網(wǎng)絡(luò)配置安全通道類型�����,流程簡述如下(1)P-CSCF實體收到用戶終端的第一個REGISTER請求�����,依據(jù)網(wǎng)絡(luò)接口確定用戶終端所在接入網(wǎng)絡(luò)����,并根據(jù)配置確定與用戶終端間需建立的安全通道類型�。
(2)P-CSCF實體通過401響應(yīng)的Security-Server頭域,將要建立的安全通道類型與終端協(xié)商�。
(3)用戶終端與P-CSCF實體建立指定類型的安全通道。
(4)P-CSCF實體向用戶終端發(fā)送401響應(yīng)后�����,P-CSCF實體進入安全通道建立階段。等待一段時間�����,如終端沒有發(fā)起安全通道建立���,認為與終端間安全通道建立失敗�����,拒絕后續(xù)用戶請求���。如安全通道建立成功,則將在已建立的安全通道上接收并處理后續(xù)用戶請求���。
以上分別描述了在HSS針對用戶標識配置接入域安全機制的方法��,以及在P-CSCF針對接入網(wǎng)絡(luò)配置接入域安全機制的方法��。這兩種方法可分別單獨使用����,也可以結(jié)合成使用�����。如,運營商既在HSS配置了接入域安全機制��,也同時在P-CSCF配置接入域安全機制��,這種方式的處理流程如下(1)P-CSCF依據(jù)接收的注冊請求相應(yīng)的接入網(wǎng)絡(luò)�,確定用戶認證方法以及安全通道類型,P-CSCF保存安全通道類型供后續(xù)建立安全通道使用�����,P-CSCF將用戶認證方法在注冊請求的Authorization頭域中攜帶到S-CSCF�����。
(2)S-CSCF將Authorization頭域中的用戶認證方法在MAR中傳遞到HSS���。
(3)HSS依據(jù)用戶標識,依據(jù)本地配置信息��,獲得用戶認證算法和安全通道類型��,HSS確定要使用的用戶認證方法并在MAA中指示S-CSCF���,HSS將配置的安全通道類型在MAA中傳遞到S-CSCF����。
(4)S-CSCF依據(jù)用戶認證數(shù)據(jù),構(gòu)造WWW-Authenticate頭域��。S-CSCF將安全通道類型通過私有擴展頭域Security-Channel傳遞到P-CSCF���。
(5)P-CSCF收到S-CSCF的401響應(yīng)�����,檢查其中攜帶了Security-Channel頭域��,則依據(jù)此頭域內(nèi)容與終端協(xié)商要建立的安全通道���。(如未攜帶Security-Channel頭域,則按P-CSCF自己保存的安全通道機制與終端進行協(xié)商確定)此外還存在其他各種可能的應(yīng)用情況�,例如運營商在HSS針對用戶標識僅配置用戶認證方式,在P-CSCF針對接入網(wǎng)絡(luò)僅配置安全通道類型���。這種情況下具體的實現(xiàn)流程可以從前面所描述的相關(guān)實現(xiàn)流程中獲知����。
在UE與P-CSCF間建立安全通道后,P-CSCF通過注冊請求(圖6中步驟55)中攜帶SIP消息頭域(例如���,可以是Security-Channel私有擴展頭域)向S-CSCF表明與UE間最終建立的安全通道類型�����。S-CSCF可以在后續(xù)的處理過程中使用此信息����。例如��,對沒有建立安全通道的用戶進行基于每會話請求或每請求消息的Digest MD5認證��,或者對沒有建立安全通道的用戶提供受限的業(yè)務(wù)�����。S-CSCF利用此安全通道類型信息所做的具體處理可以屬于用戶簽約信息����,在HSS針對用戶配置��,或者屬于S-CSCF的本地全局配置信息���,統(tǒng)一處理而不針對某個具體的用戶����。
通過本發(fā)明的方案,使得IMS網(wǎng)絡(luò)設(shè)備對IMS接入域安全機制的支持更加靈活��。一方面是可兼容目前存在的各種接入域安全機制�,例如,為了實現(xiàn)TS33.203定義的安全機制需求��,可以在HSS配置用戶對應(yīng)的認證機制為“DigestAKA”�����,同時在P-CSCF配置相應(yīng)的接入域為“與UE間建立IPSec安全通道”�����。又例如�����,對采用Early IMS方式接入的用戶��,在HSS配置該用戶對應(yīng)的認證機制為“Early IMS”(即終端源IP地址與用戶標識相對應(yīng)的認證方式)�����,同時在P-CSCF配置相應(yīng)的接入域為“不需要建立特定的安全通道”(通信安全已由底層IP組網(wǎng)保證),通過此配置��,即可實現(xiàn)Early IMS的安全需求��。另一方面更為靈活的是���,本方案還可支持各種可能的接入域安全機制����,例如��,運營商可以配置用戶的認證機制為“Digest MD5”��,安全通道為“不需要建立特定的安全通道”(通信安全已由底層IP組網(wǎng)保證)��,這樣就實現(xiàn)了另外一種與單純的Early IMS有所區(qū)別的接入域安全機制�。
顯然���,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍�����。這樣���,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)�,則本發(fā)明也意圖包含這些改動和變型在內(nèi)�。
權(quán)利要求
1.一種IP多媒體子系統(tǒng)(IMS)接入域安全機制的選擇方法,其特征在于包括如下步驟在IMS網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備上針對接入網(wǎng)絡(luò)或/和用戶標識配置一種或多種接入域安全機制�;依據(jù)用戶終端的請求消息從配置的接入域安全機制中選擇一種接入域安全機制,并由網(wǎng)絡(luò)中執(zhí)行安全機制的設(shè)備利用選擇的接入域安全機制進行相應(yīng)處理����。
2.如權(quán)利要求1所述的方法,其特征在于�,所述接入域安全機制包括對用戶采用的認證方式。
3.如權(quán)利要求2所述的方法����,其特征在于,在用戶歸屬服務(wù)器(HSS)上針對用戶標識配置對用戶采用的認證方式�����,該HSS接收到網(wǎng)絡(luò)中的業(yè)務(wù)-呼叫會話控制功能(S-CSCF)實體的多媒體認證請求后�,根據(jù)該請求中的用戶標識選擇一種認證方式,并將對應(yīng)的認證數(shù)據(jù)返回給S-CSCF實體��,由S-CSCF實體與用戶終端進行交互完成認證。
4.如權(quán)利要求3所述的方法���,其特征在于���,若所述多媒體認證請求中指明了一種認證方式,并且HSS查詢到對所述用戶配置有該認證方式時�,則HSS優(yōu)先選擇該認證方式,否則�����,由HSS根據(jù)所述多媒體認證請求中的用戶標識確定對用戶終端的認證方式�����。
5.如權(quán)利要求3所述的方法�����,其特征在于在IMS網(wǎng)絡(luò)中的代理-呼叫業(yè)務(wù)控制功能(P-CSCF)實體上還針對接入網(wǎng)絡(luò)配置采用的認證方式�。
6.如權(quán)利要求5所述的方法,其特征在于�,P-CSCF實體在接收到用戶終端未指明認證方式的請求消息后在轉(zhuǎn)發(fā)的請求消息中指明采用本實體上配置的認證方式�;或者����,P-CSCF實體在接收到用戶終端指明認證方式的請求消息時���,若發(fā)現(xiàn)該認證方式與本實體上針對接入網(wǎng)配置的認證方式不同��,則在轉(zhuǎn)發(fā)的請求消息中指明采用本實體上配置的認證方式�����。
7.如權(quán)利要求2所述的方法��,其特征在于����,在用戶歸屬服務(wù)器(HSS)上針對用戶標識配置對用戶終端可采用的多種認證方式���,該HSS接收到網(wǎng)絡(luò)中的業(yè)務(wù)-呼叫會話控制功能(S-CSCF)實體的多媒體認證請求后����,根據(jù)該請求中的用戶標識獲得相應(yīng)的多種認證方式��,并將對應(yīng)的認證數(shù)據(jù)通過S-CSCF實體傳送到用戶終端,由用戶終端選擇一種認證方式來完成認證��。
8.如權(quán)利要求2所述的方法�����,其特征在于�����,在P-CSCF實體上針對接入網(wǎng)絡(luò)配置對用戶終端采用的認證方式�,P-CSCF實體在向S-CSCF實體轉(zhuǎn)發(fā)用戶終端的注冊請求消息時,根據(jù)用戶終端所在接入網(wǎng)絡(luò)在該注冊請求消息中指明對用戶的認證方式�。
9.如權(quán)利要求1至8任一項所述的方法,其特征在于�,所述接入域安全機制包括用戶終端與代理-呼叫業(yè)務(wù)控制功能(P-CSCF)實體間需要建立的安全通道類型。
10.如權(quán)利要求9所述的方法�����,其特征在于�,在HSS上針對用戶標識配置用戶終端與P-CSCF間需要建立的安全通道類型;該HSS接收到網(wǎng)絡(luò)中的業(yè)務(wù)-呼叫會話控制功能(S-CSCF)實體的多媒體認證請求后���,將選擇的需要建立的安全通道類型返回給S-CSCF實體�����,由S-CSCF實體通知P-CSCF實體�,P-CSCF實體據(jù)此與終端協(xié)商確定最終建立的安全通道類型����。
11.如權(quán)利要求10所述的方法,其特征在于����,在P-CSCF實體還針對接入網(wǎng)絡(luò)配置用戶終端與P-CSCF實體間需要建立的安全通道類型;若P-CSCF實體發(fā)現(xiàn)本實體上配置的安全通道類型與HSS選擇的安全通道類型不同���,則按HSS選擇的安全通道類型在本實體與用戶終端之間建立安全通道�����。
12.如權(quán)利要求9所述的方法��,其特征在于�����,在P-CSCF上針對不同的接入網(wǎng)絡(luò)配置用戶終端與P-CSCF間需要建立的安全通道類型����;在認證過程中,P-CSCF實體根據(jù)用戶終端所在接入網(wǎng)絡(luò)對應(yīng)的安全通道類型�,與用戶終端協(xié)商建立該類型的安全通道。
13.如權(quán)利要求9所述的方法��,其特征在于�����,在用戶終端與P-CSCF實體間建立安全通道后�,P-CSCF實體向S-CSCF實體表明與用戶終端間最終建立的安全通道類型。
14 如權(quán)利要求1所述的方法���,其特征在于�����,所述用戶標識為用戶私有標識或用戶公有標識��。
15.如權(quán)利要求2所述的方法��,其特征在于�,所述認證方式包括但不限于Digest AKA����、Early IMS和Digest MD5認證方式��。
全文摘要
本發(fā)明公開了一種統(tǒng)一的IP多媒體子系統(tǒng)(IMS)接入域安全實現(xiàn)方法���,該方法在IMS網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備上針對接入網(wǎng)絡(luò)或/和用戶標識配置一種或多種接入域安全機制;所述網(wǎng)絡(luò)設(shè)備依據(jù)用戶終端的請求消息從配置的接入域安全機制中選擇一種接入域安全機制����,并由網(wǎng)絡(luò)中執(zhí)行安全機制的設(shè)備利用選擇的接入域安全機制處理所述請求消息���。
文檔編號H04W12/06GK1870812SQ200510071538
公開日2006年11月29日 申請日期2005年5月27日 優(yōu)先權(quán)日2005年5月27日
發(fā)明者文楷, 顧炯炯 申請人:華為技術(shù)有限公司