專利名稱:一種用戶終端的鑒權(quán)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�����,特別是涉及一種用戶終端的鑒權(quán)方法��。
背景技術(shù):
IP多媒體子系統(tǒng)(IMS)是3GPP在分組網(wǎng)絡(luò)上疊加一個子系統(tǒng)�����,采用分組域為其控制信令和媒體傳輸?shù)某休d通道���,引入會話發(fā)起協(xié)議(SIP協(xié)議)作為業(yè)務(wù)控制協(xié)議,利用SIP簡單�����、易擴展����、媒體組合方便的特點,通過將業(yè)務(wù)控制與承載控制分離����,提供豐富的多媒體業(yè)務(wù);IMS中主要的功能實體包括控制用戶注冊���、會話控制等功能的呼叫會話控制功能實體CSCF�����、集中管理用戶簽約數(shù)據(jù)的歸屬用戶服務(wù)器HSS��,提供各種業(yè)務(wù)邏輯控制功能的應(yīng)用服務(wù)器AS��。
在IMS應(yīng)用中��,為了完成用戶設(shè)備(UE)注冊功能����,以及主叫或者被叫的業(yè)務(wù)�,3GPP定義了用戶公共標(biāo)識(IMPU)以及私有標(biāo)識(IMPI),用戶使用公共用戶標(biāo)識IMPU進行通信���,使用IMPI對用戶終端進行鑒權(quán)���。按照3GPP目前的定義�,標(biāo)準(zhǔn)的IMS終端使用IMS AKA(Authentication and key agreement鑒權(quán)和密鑰協(xié)定)鑒權(quán)方式�。
IMS AKA鑒權(quán)流程如圖1所示1.用戶設(shè)備UE攜帶相關(guān)的鑒權(quán)信息和IPSec安全通道信息,發(fā)起注冊請求���。
2.代理呼叫會話控制功能P-CSCF保存IPSec安全通道信息��,對注冊請求中的歸屬網(wǎng)絡(luò)地址使用DNS協(xié)議解析�����,獲得用戶的歸屬網(wǎng)絡(luò)I-CSCF的地址���。
3.問詢呼叫會話控制功能I-CSCF向HSS查詢用戶注冊狀態(tài),然后根據(jù)HSS返回的信息�,獲取指派給用戶的服務(wù)呼叫會話控制功能S-CSCF的地址,4.I-CSCF將注冊消息發(fā)送到S-CSCF�。
5.S-CSCF發(fā)現(xiàn)是初次注冊,向HSS取鑒權(quán)集��,根據(jù)HSS查詢獲得的鑒權(quán)信息�。
6.S-CSCF選取鑒權(quán)矢量,向UE發(fā)送鑒權(quán)挑戰(zhàn)(401 Challenge)����。
7.I-CSCF原路返回轉(zhuǎn)發(fā)401消息到P-CSCF�����。
8.P-CSCF根據(jù)401消息攜帶安全信息,建立P-CSCF到UE的安全通道�����,然后將消息轉(zhuǎn)發(fā)給UE��。
9.UE根據(jù)401消息的鑒權(quán)矢量�,對網(wǎng)絡(luò)進行鑒權(quán),然后計算鑒權(quán)響應(yīng)�,使用建立的安全通道重新發(fā)起注冊過程。
10.P-CSCF對注冊請求中的歸屬網(wǎng)絡(luò)地址使用DNS協(xié)議解析��,獲得用戶的歸屬網(wǎng)絡(luò)I-CSCF的地址��。
11.I-CSCF向HSS查詢用戶注冊狀態(tài)�����,HSS返回的S-CSCF信息�����。
12.I-CSCF將注冊消息發(fā)送到S-CSCF。
13.S-CSCF檢查UE提供的鑒權(quán)響應(yīng)�,如匹配則鑒權(quán)成功,更新HSS的注冊信息����,并下載用戶的簽約數(shù)據(jù)。
14-16.原路返回注冊成功確認(rèn)消息�����。
IMS AKA鑒權(quán)方法通過注冊過程�����,在IMS終端和P-CSCF之間的接入網(wǎng)����,建立安全通道,保護后續(xù)消息的完整性和機密性��。但是鑒于目前IMS終端的處理能力�,很難提供基于IPSec安全通道。如果終端不建立安全通道,IMS終端發(fā)起的重注冊和會話請求就得不到安全保護?�,F(xiàn)有的解決方法是在IMS終端發(fā)起重注冊請求���、注銷請求以及對話請求和非注冊的獨立事務(wù)請求時���,網(wǎng)絡(luò)都發(fā)起鑒權(quán)流程,以保證用戶的可靠性�。由于網(wǎng)絡(luò)對IMS終端的每次請求�,都進行鑒權(quán),導(dǎo)致請求處理時延增大�����,影響用戶體驗�;同時導(dǎo)致網(wǎng)絡(luò)消息流量增大,增加處理開銷����。其他鑒權(quán)方式,如分類鑒權(quán)(HTTP Digest)等��,在初始鑒權(quán)通過后�,采用每會話鑒權(quán)的方式,保證用戶請求的可靠性����,因此也存在同樣的問題�����。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明的主要目的在于提供一種用戶終端鑒權(quán)方法,以保證用戶終端的可靠性�����,同時簡化流程����,增強用戶體驗。
為達到上述目的��,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種用戶終端的鑒權(quán)方法��,包括以下步驟A�、收到用戶終端的請求消息時,判斷所述的請求消息中是否包含用戶終端的地址信息�,如果包含,則執(zhí)行步驟B;B���、比較請求消息中攜帶用戶終端的地址信息和保存的用戶終端的地址信息��,如果地址信息匹配���,用戶終端鑒權(quán)通過。
步驟A之前進一步包括以下步驟A′�����、獲取用戶終端的地址信息����,鑒權(quán)通過時���,保存所述的地址信息����。
步驟A′中所述的鑒權(quán)是初始鑒權(quán)或重鑒權(quán)����,重鑒權(quán)由注冊鑒權(quán)控制實體根據(jù)網(wǎng)絡(luò)的運行狀況、用戶終端的注冊信息或者設(shè)備配置向已經(jīng)鑒權(quán)通過的用戶終端發(fā)起,重鑒權(quán)通過后�����,刷新已保存的地址信息�。
步驟A中所述的請求消息包括重注冊請求消息、注銷請求消息�、對話請求消息以及獨立的事務(wù)請求消息。
步驟B中�,如果地址信息不匹配,則由注冊鑒權(quán)控制實體向用戶終端發(fā)起重鑒權(quán)����,或者返回失敗響應(yīng)。
所述的地址信息為IP地址��,相應(yīng)的�����,步驟A′中的鑒權(quán)是初始鑒權(quán)時�,所述步驟A′包括具體步驟A′1、用戶終端發(fā)起注冊鑒權(quán)請求�����,所述請求消息中攜帶用戶終端的IP地址IP1;A′2�����、網(wǎng)絡(luò)接入控制實體比較接收到的注冊鑒權(quán)請求消息中攜帶的IP1和接收所述注冊鑒權(quán)請求消息使用的IP地址IP2如果不同����,則將所述IP2也保存于注冊鑒權(quán)請求消息中,并將注冊鑒權(quán)請求消息轉(zhuǎn)發(fā)給注冊鑒權(quán)控制實體����,如果相同,則將攜帶有IP1的注冊鑒權(quán)請求消息轉(zhuǎn)發(fā)給注冊鑒權(quán)控制實體��;A′3���、注冊鑒權(quán)控制實體對用戶終端進行鑒權(quán),鑒權(quán)通過�,則保存注冊鑒權(quán)請求消息中攜帶的IP地址。
所述的步驟A具體包括以下步驟A11��、網(wǎng)絡(luò)接入控制實體比較接收到的重注冊請求消息中攜帶的IP1和接收所述重注冊請求消息使用的IP地址IP2���,如果不同��,則將所述IP2也保存于重注冊請求消息中����,并將重注冊請求消息轉(zhuǎn)發(fā)給注冊鑒權(quán)控制實體,如果相同�����,則將攜帶有IP1的重注冊請求消息轉(zhuǎn)發(fā)給注冊鑒權(quán)控制實體����;A12、注冊鑒權(quán)控制實體收到用戶的重注冊請求消息���,判斷重注冊請求消息是否包含用戶終端的IP地址����。
所述的步驟A具體包括以下步驟A21�、網(wǎng)絡(luò)接入控制實體比較接收到的非注冊請求消息中攜帶的IP1和接收所述非注冊請求消息使用的IP地址IP2,如果不同�,則將所述IP2也保存于非注冊請求消息中,并將非注冊請求消息轉(zhuǎn)發(fā)給會話控制實體��,如果相同�,則將攜帶有IP1的非注冊請求消息轉(zhuǎn)發(fā)給會話控制實體�����;A22�、會話控制實體收到用戶的非注冊請求消息�,判斷非注冊請求消息是否包含用戶終端的IP地址。
所述的步驟A22中進一步包括�����,會話控制實體接收非注冊鑒權(quán)請求消息后�,判斷是否為安全通道保護的請求消息,如果不是�,則由會話控制實體判斷請求中是否包含用戶終端的IP地址。
所述的步驟A和B之間����,進一步包括會話控制實體從注冊鑒權(quán)控制實體中獲得已保存的IP地址,相應(yīng)地�,步驟B中,由會話控制實體比較請求消息中攜帶的IP地址和保存的IP地址���;或者,在所述步驟A和B之間�,進一步包括會話控制實體將接收到的非注冊請求消息中的IP地址發(fā)送給注冊鑒權(quán)控制實體�����,相應(yīng)地�,步驟B中��,由注冊鑒權(quán)控制實體比較請求消息中攜帶的IP地址和保存的IP地址���。
步驟A′中所述的鑒權(quán)是初始鑒權(quán)����,相應(yīng)的�,所述的步驟A′之前,進一步包括判斷用戶終端是否支持基于用戶終端地址信息的鑒權(quán)方法��。
由注冊鑒權(quán)控制實體根據(jù)注冊鑒權(quán)請求的內(nèi)容或網(wǎng)絡(luò)的配置信息判斷用戶終端是否支持基于用戶終端地址信息的鑒權(quán)方法���。
所述注冊鑒權(quán)控制實體根據(jù)注冊鑒權(quán)請求的內(nèi)容判斷用戶終端是否支持基于IP地址鑒權(quán)方法在IMS網(wǎng)絡(luò)中具體步驟包括I����、代理呼叫會話控制功能實體P-CSCF將接收到的用戶終端發(fā)送的注冊鑒權(quán)請求轉(zhuǎn)發(fā)給問詢呼叫會話控制功能實體I-CSCF�����;J、服務(wù)呼叫會話控制功能實體S-CSCF接收到I-CSCF轉(zhuǎn)發(fā)的注冊請求�����,如果注冊消息包含Authorization頭域且不包含Security-Client�,或者注冊消息包含Authorization頭域和Security-Client,且Security-Client中不包含建立安全通道的信息�����,則S-CSCF認(rèn)為終端支持基于IP地址鑒權(quán)方法���。
由此可見����,本發(fā)明具有以下優(yōu)點在本發(fā)明中�,當(dāng)用戶終端不建立安全通道的情況下,用戶終端發(fā)起重注冊請求�、注銷請求以及對話請求和非注冊的獨立事務(wù)請求時,既保證了用戶終端的可靠性��,同時也簡化了相應(yīng)的鑒權(quán)流程�����,使得網(wǎng)絡(luò)消息的流程得到控制���,減少處理開銷��。
圖1是現(xiàn)有技術(shù)中IMS AKA鑒權(quán)的流程圖����;圖2是本發(fā)明實施方式的網(wǎng)絡(luò)邏輯結(jié)構(gòu)圖�;圖3是本發(fā)明的初始注冊鑒權(quán)請求流程圖;圖4是本發(fā)明的重注冊鑒權(quán)請求的流程圖���;圖5是本發(fā)明的重注冊鑒權(quán)請求過程中發(fā)起重鑒權(quán)的流程圖�����;圖6是本發(fā)明的非注冊鑒權(quán)請求流程圖�����。
具體實施例方式
為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點更加清楚,下面結(jié)合附圖及具體實施例對本發(fā)明作進一步地詳細描述�����。
本發(fā)明實施網(wǎng)絡(luò)包括但不限于IMS網(wǎng)絡(luò)�����、NGN網(wǎng)絡(luò)���、Internet網(wǎng)絡(luò)等分組網(wǎng)絡(luò)��;實施的信令包括但不限于SIP�、HTTP等����;網(wǎng)絡(luò)對終端的鑒權(quán)方式包括但不限于IMS AKA、HTTP Digest等鑒權(quán)方式���;終端和網(wǎng)絡(luò)接入控制實體之間建立的安全通道包括但不限于IPSec安全通道�,TLS安全通道等�����,或者沒有安全通道。本發(fā)明的實施網(wǎng)絡(luò)邏輯結(jié)構(gòu)如圖2所示�����,其中用戶終端是任意可以接入分組網(wǎng)絡(luò)的通信終端類型�����,如IMS終端����、PC機等�����。
網(wǎng)絡(luò)接入控制實體是向用戶終端提供接入分組核心網(wǎng)的接入控制的網(wǎng)絡(luò)實體�,包括用戶終端的注冊、鑒權(quán)�、會話等代理控制,并可以根據(jù)用戶的鑒權(quán)信息�����,在用戶終端和網(wǎng)絡(luò)接入控制實體之間建立安全通道�。在物理實現(xiàn)上,網(wǎng)絡(luò)接入控制實體和會話控制實體可以集成在一起。
注冊鑒權(quán)控制實體為用戶提供注冊機制和授權(quán)控制等功能���,可以控制網(wǎng)絡(luò)接入控制實體為已鑒權(quán)用戶在接入網(wǎng)建立安全通道����。在物理實現(xiàn)上���,注冊鑒權(quán)控制實體和會話控制實體可以集成在一起���。
會話控制實體為已注冊和授權(quán)的用戶提供會話控制、路由接續(xù)���、業(yè)務(wù)觸發(fā)等功能���。
E1接口為會話控制接口;E2接口為用戶注冊鑒權(quán)接口�;E3接口為會話控制實體從注冊鑒權(quán)控制實體獲取用戶注冊鑒權(quán)信息接口;E4接口為會話控制實體和其他會話控制實體互通接口��。
用戶終端接入時���,都要經(jīng)過接入網(wǎng)認(rèn)證后����,獲得IP地址,終端接入地址是可靠的����。保證接入可靠的方法有多種,無線GPRS網(wǎng)絡(luò)GGSN��、固定接入網(wǎng)絡(luò)CLF都可以保證IP地址的可靠性�。在固網(wǎng)中有一種基于物理接入端口的鑒權(quán)方式���,也是依賴接入網(wǎng)保證用戶地址的可靠性����。
終端接入地址可靠的前提下����,網(wǎng)絡(luò)在鑒權(quán)通過時,保留用戶終端的地址信息���。后續(xù)的重注冊�、注銷請求���、對話請求和非注冊的獨立事務(wù)請求消息����,網(wǎng)絡(luò)通過請求消息中攜帶的用戶終端的地址信息和鑒權(quán)通過時保存的用戶終端的地址信息進行比較,如果相同�,則認(rèn)為用戶終端已經(jīng)被鑒權(quán)通過;如果不同��,網(wǎng)絡(luò)對用戶終端發(fā)起重鑒權(quán)流程���,或者返回失敗響應(yīng)����。其中����,用戶終端的地址信息可以是IP地址、端口號���,或者FQDN(Full Qualified Domain Name全稱域名)等��。
本發(fā)明方法采用用戶終端的IP地址作為用戶終端地址信息的流程如下1��、用戶終端通過安全的方式獲得用戶終端的IP地址IP1�,然后發(fā)起注冊鑒權(quán)請求,并在請求消息中攜帶用戶終端的IP地址IP1�,注冊鑒權(quán)控制實體根據(jù)注冊鑒權(quán)請求的內(nèi)容或者網(wǎng)絡(luò)的配置信息判斷終端是否支持基于IP地址鑒權(quán)方法,如果支持����,則進入步驟2;2����、網(wǎng)絡(luò)接入控制實體收到用戶終端的注冊鑒權(quán)請求后,比較接收的注冊鑒權(quán)請求中包含的用戶終端的IP地址IP1和從協(xié)議棧傳輸層獲得的網(wǎng)絡(luò)接入控制實體傳輸層接收用戶終端請求使用的地址IP2是否相同如果不同����,將接收請求的IP地址IP2也保存在注冊鑒權(quán)請求中�����,然后轉(zhuǎn)發(fā)注冊鑒權(quán)請求到注冊鑒權(quán)控制實體��,如果相同�����,那么將攜帶用戶終端IP地址IP1的注冊鑒權(quán)請求消息轉(zhuǎn)發(fā)到注冊鑒權(quán)控制實體����;3����、注冊鑒權(quán)控制實體使用用戶終端支持的鑒權(quán)方式對用戶終端進行鑒權(quán)���,如果鑒權(quán)通過�����,注冊鑒權(quán)控制實體保存其收到的注冊鑒權(quán)請求消息中攜帶的IP地址����;4����、在用戶終端的注冊生命期內(nèi),用戶終端發(fā)起重注冊請求時����,請求中攜帶用戶終端的IP地址IP1,網(wǎng)絡(luò)接入控制實體收到用戶終端的重注冊請求后���,比較接收的重注冊請求消息中包含的用戶終端的IP地址IP1和從協(xié)議棧傳輸層獲得的網(wǎng)絡(luò)接入控制實體傳輸層接收用戶終端請求使用的地址IP2是否相同如果不同�����,將接收請求的IP地址IP2也保存在重注冊請求中��,然后轉(zhuǎn)發(fā)重注冊請求到會話控制實體����,如果相同,那么將攜帶用戶終端IP地址IP1的重注冊請求消息轉(zhuǎn)發(fā)到注冊鑒權(quán)控制實體����;5、注冊鑒權(quán)控制實體接收到重注冊請求消息后�����,判斷請求中是否用戶終端的IP地址信息��,如果包括���,則會話控制實體從注冊鑒權(quán)控制實體中獲得用戶鑒權(quán)時保存的IP地址,然后比較保存的IP地址和請求消息中的IP地址信息�,如果一致,則認(rèn)為請求消息是從已經(jīng)鑒權(quán)通過的用戶終端發(fā)送來的�����;或者,也可以將非注冊鑒權(quán)請求中的IP地址轉(zhuǎn)發(fā)給注冊鑒權(quán)控制實體���,由注冊鑒權(quán)控制實體比較二者的IP地址�,將比較結(jié)果返回給會話控制實體��;6�����、用戶終端發(fā)起非注冊鑒權(quán)請求(包括對話請求消息和獨立的事務(wù)請求)時����,請求中攜帶用戶終端的IP地址IP1,網(wǎng)絡(luò)接入控制實體收到用戶終端的非注冊鑒權(quán)請求后�,比較接收的非注冊鑒權(quán)請求消息中包含的用戶終端的IP地址IP1和從協(xié)議棧傳輸層獲得的網(wǎng)絡(luò)接入控制實體傳輸層接收用戶終端請求使用的地址IP2是否相同如果不同,將接收請求的IP地址IP2也保存在非注冊鑒權(quán)請求中����,然后轉(zhuǎn)發(fā)非注冊鑒權(quán)請求到會話控制實體,如果相同���,那么將攜帶用戶終端IP地址IP1的非注冊鑒權(quán)請求消息轉(zhuǎn)發(fā)到會話控制實體�����;7�、會話控制實體接收到非注冊鑒權(quán)請求消息后,如果是沒有安全通道保護的請求消息�,會話控制實體判斷請求中是否用戶終端的IP地址信息,如果包括���,則會話控制實體從注冊鑒權(quán)控制實體中獲得用戶鑒權(quán)時保存的IP地址��,而后比較二者的IP地址信息是否一致����,如果一致��,則認(rèn)為請求消息是從已經(jīng)鑒權(quán)的用戶終端發(fā)送來的����;或者,也可以將非注冊鑒權(quán)請求中的IP地址轉(zhuǎn)發(fā)給注冊鑒權(quán)控制實體��,由注冊鑒權(quán)控制實體比較二者的IP地址���,將比較結(jié)果返回給會話控制實體�;8�、注冊鑒權(quán)控制實體根據(jù)網(wǎng)絡(luò)的運行狀況或者用戶的注冊信息或者運營商的配置信息,對已經(jīng)鑒權(quán)的用戶的后續(xù)請求消息發(fā)起重鑒權(quán)�����,重鑒權(quán)通過后����,刷新已保存的IP地址信息。
下面就上述實施方式結(jié)合具體實施例進行詳細說明�。
本發(fā)明的方法在IMS網(wǎng)絡(luò)中采用IMS AKA鑒權(quán)的實施例如圖3所示,初始注冊的鑒權(quán)流程如下A.UE參照3GPP TS 24.229填寫注冊請求���,注冊消息包含Authorization頭域�����,但不包含Security-Client和Security-Verify頭域�,或者Security-Client中不包含建立安全通道的信息����;S-CSCF根據(jù)這一特征判斷終端是否支持基于IP地址鑒權(quán)方法。
B.P-CSCF接收到UE發(fā)送的注冊請求,P-CSCF檢查注冊消息中的Via頭域的″sent-by″參數(shù)包含的IP地址IP1�。如果″sent-by″參數(shù)包含的IP地址和IP包接收的源地址不同,P-CSCF將在Via頭域值中增加參數(shù)″received″�����,參數(shù)包含接收請求使用的IP地址IP2�����。其余處理參照3GPP TS 24.229��。然后轉(zhuǎn)發(fā)注冊消息到I-CSCF�����。
可選地���,P-CSCF接收到UE發(fā)送的注冊請求后�����,先根據(jù)注冊消息的內(nèi)容判斷用戶終端是否支持基于IP地址鑒權(quán)的方法�,如果包含Authorization頭域且不包含Security-Client頭域��,則P-CSCF認(rèn)為用戶終端支持基于IP地址鑒權(quán)方法。
C.I-CSCF收到P-CSCF轉(zhuǎn)發(fā)的注冊消息�����,然后轉(zhuǎn)發(fā)注冊消息到S-CSCF�。
D.S-CSCF接收到I-CSCF轉(zhuǎn)發(fā)的注冊請求����,如果注冊消息包含Authorization頭域且不包含Security-Client頭域,則S-CSCF認(rèn)為終端支持基于IP地址鑒權(quán)方法����。S-CSCF根據(jù)HSS查詢獲得的用戶鑒權(quán)信息,向UE發(fā)送鑒權(quán)挑戰(zhàn)(401Challenge)��。
E.I-CSCF轉(zhuǎn)發(fā)注冊鑒權(quán)挑戰(zhàn)���。
F.P-CSCF收到注冊鑒權(quán)挑戰(zhàn)后�,不需要建立安全通道��。對于IMS AKA鑒權(quán)的用戶終端��,在鑒權(quán)挑戰(zhàn)消息中不需要添加Security-Server頭域��,或者Security-Server中不包含建立安全通道的信息。其余處理參照3GPP TS 24.229�。然后轉(zhuǎn)發(fā)注冊鑒權(quán)挑戰(zhàn)到UE。
G.UE收到注冊鑒權(quán)挑戰(zhàn)后�,不需要建立安全通道。其余處理參照3GPPTS 24.229���,對網(wǎng)絡(luò)鑒權(quán)并計算鑒權(quán)響應(yīng)�����,重新發(fā)起注冊過程����。
H.P-CSCF轉(zhuǎn)發(fā)注冊請求���。
I.I-CSCF轉(zhuǎn)發(fā)注冊請求�����。
J.S-CSCF接收到注冊請求�����,根據(jù)UE的鑒權(quán)響應(yīng)��,進行匹配��;如匹配成功��,將用戶狀態(tài)置為已注冊狀態(tài)��。然后檢查注冊消息中的Via頭域的″sent-by″參數(shù)是否包含了IP1或者″sent-by″參數(shù)��、″received″參數(shù)是否包含了IP1����、IP2���。如果存在���,則相應(yīng)的保存IP1或者IP1和IP2。S-CSCF向UE發(fā)送成功確認(rèn)���。
K.I-CSCF轉(zhuǎn)發(fā)成功確認(rèn)�����。
L.P-CSCF轉(zhuǎn)發(fā)成功確認(rèn)�����。
如圖4所示�,用戶終端發(fā)起重注冊請求時的流程如下A.UE參照3GPP TS 24.229填寫重注冊請求,注冊消息包含Authorization頭域��,但不包含Security-Client和Security-Verify頭域���,或者Security-Client中不包含建立安全通道的信息�����;S-CSCF根據(jù)這一特征判斷終端是否支持基于IP地址鑒權(quán)方法����。
B.P-CSCF檢查注冊消息中的Via頭域的″sent-by″參數(shù)包含的IP地址IP1�。如果″sent-by″參數(shù)包含的IP地址和IP包接收的源地址不同,P-CSCF將在Via頭域值中增加參數(shù)″received″��,參數(shù)包含IP包接收的源IP地址IP2�。其余處理參照3GPP TS 24.229。然后轉(zhuǎn)發(fā)注冊消息到I-CSCF��。
可選地,P-CSCF接收到UE發(fā)送的注冊請求后�,先根據(jù)注冊消息的內(nèi)容判斷用戶終端是否支持基于IP地址鑒權(quán)的方法,如果包含Authorization頭域且不包含Security-Client頭域�,則P-CSCF認(rèn)為用戶終端支持基于IP地址鑒權(quán)方法。
C.I-CSCF收到P-CSCF轉(zhuǎn)發(fā)的注冊消息���,然后轉(zhuǎn)發(fā)注冊消息到S-CSCF����。
D.S-CSCF接收到重注冊請求�,S-CSCF先檢查注冊消息中的Via頭域的″sent-by″參數(shù)是否包含了IP1或者″sent-by″參數(shù)�����、″received″參數(shù)是否包含了IP1����、IP2,如果存在����,將請求消息中的IP地址和對應(yīng)的初始注冊保存的IP地址進行比較,匹配則認(rèn)為用戶終端已經(jīng)鑒權(quán)通過�����,返回成功確認(rèn);I-CSCF轉(zhuǎn)發(fā)成功確認(rèn)���;P-CSCF轉(zhuǎn)發(fā)成功確認(rèn)�。
如圖5所示��,用戶終端發(fā)起重注冊請求過程中發(fā)起重鑒權(quán)的流程如下
A.UE參照3GPP TS 24.229填寫注冊請求���,注冊消息包含Authorization頭域���,但不包含Security-Client和Security-Verify頭域,或者Security-Client中不包含建立安全通道的信息����;S-CSCF根據(jù)這一特征判斷終端是否支持基于IP地址鑒權(quán)方法。
B.P-CSCF接收到UE發(fā)送的注冊請求�,如果注冊消息包含Authorization頭域且不包含Security-Client頭域,則P-CSCF認(rèn)為終端支持基于IP地址鑒權(quán)方法����。P-CSCF檢查注冊消息中的Via頭域的″sent-by″參數(shù)包含的IP地址IP1。如果″sent-by″參數(shù)包含域名��,或者包含的IP地址和IP包接收的源地址不同,P-CSCF將在Via頭域值中增加參數(shù)″received″���,參數(shù)包含IP包接收的源IP地址IP2���。其余處理參照3GPP TS 24.229。然后轉(zhuǎn)發(fā)注冊消息到I-SCF���。
可選地���,P-CSCF接收到UE發(fā)送的注冊請求后,先根據(jù)注冊消息的內(nèi)容判斷用戶終端是否支持基于IP地址鑒權(quán)的方法����,如果包含Authorization頭域且不包含Security-Client頭域�����,則P-CSCF認(rèn)為用戶終端支持基于IP地址鑒權(quán)方法�����。
C.I-CSCF收到P-CSCF轉(zhuǎn)發(fā)的注冊消息�,然后轉(zhuǎn)發(fā)注冊消息到S-CSCF。
D.S-CSCF接收到重注冊請求,S-CSCF先檢查注冊消息中的Via頭域的″sent-by″參數(shù)是否包含了IP1或者″sent-by″參數(shù)���、″received″參數(shù)是否包含了IP1����、IP2�����,如果存在����,將請求消息中的IP地址和對應(yīng)的初始注冊保存的IP地址進行比較,如果不匹配����,需要對用戶終端重鑒權(quán),則由S-CSCF根據(jù)HSS查詢獲得的用戶鑒權(quán)信息����,對UE發(fā)起重鑒權(quán)(401挑戰(zhàn))。是否需要對用戶終端進行重鑒權(quán)��,還可以根據(jù)網(wǎng)絡(luò)的運行狀況或者用戶的注冊信息或者運營商的配置信息等判斷���。
E.I-CSCF轉(zhuǎn)發(fā)注冊鑒權(quán)挑戰(zhàn)����。
F.P-CSCF收到注冊鑒權(quán)挑戰(zhàn)后,不需要建立安全通道�。對于IMS AKA鑒權(quán)的用戶終端,在鑒權(quán)挑戰(zhàn)消息中不需要添加Security-Server頭域�,或者Security-Server中不包含建立安全通道的信息。其余處理參照3GPP TS 24.229�����。然后轉(zhuǎn)發(fā)注冊鑒權(quán)挑戰(zhàn)到UE����。
G.UE收到注冊鑒權(quán)挑戰(zhàn)后,不需要建立安全通道�。其余處理參照3GPPTS 24.229,對網(wǎng)絡(luò)鑒權(quán)并計算鑒權(quán)響應(yīng)��,重新發(fā)起注冊過程����。
H.P-CSCF轉(zhuǎn)發(fā)注冊請求���。
I.I-CSCF轉(zhuǎn)發(fā)注冊請求�。
J.S-CSCF接收到注冊請求,根據(jù)UE的鑒權(quán)響應(yīng)��,進行匹配���;如匹配成功��,將用戶狀態(tài)置為已注冊狀態(tài)����。然后檢查注冊消息中的Via頭域的″sent-by″參數(shù)是否包含了IP1或者″sent-by″參數(shù)�、″received″參數(shù)是否包含了IP1、IP2�����,如果包含�,則相應(yīng)的保存IP1或者IP1和IP2,刷新上次鑒權(quán)時保存的IP地址���。S-CSCF向UE發(fā)送成功確認(rèn)���。
K.I-CSCF轉(zhuǎn)發(fā)成功確認(rèn)����。
L.P-CSCF轉(zhuǎn)發(fā)成功確認(rèn)�����。
如圖6所示��,用戶終端發(fā)起非注冊鑒權(quán)請求時的主叫側(cè)處理(MO)流程A.UE發(fā)送非注冊鑒權(quán)請求�,包括對話請求或非注冊的獨立事務(wù)請求參照3GPP TS 24.229填寫請求,請求中不包含Security-Verify頭域����,或者Security-Verify中不包含建立安全通道的信息。
B.P-CSCF處理參照3GPP TS 24.229�����,轉(zhuǎn)發(fā)請求到請求的S-CSCF�����。但是如果P-CSCF在處理應(yīng)答消息時��,由于P-CSCF沒有建立安全通道����,重新填寫Record-route頭域中的被保護的服務(wù)區(qū)端口是一個未保護的服務(wù)區(qū)端口。
C.S-CSCF收到請求消息���,先檢查請求消息中的Via頭域是否包含″sent-by″參數(shù)和″received″參數(shù)�,如果不存在�,則S-CSCF返回403(Forbidden)響應(yīng)。如果存在��,將請求消息中的參數(shù)值和對應(yīng)的注冊保存的參數(shù)值進行比較����,如果不匹配則S-CSCF返回403(Forbidden)響應(yīng)。如果匹配�,則S-CSCF處理繼續(xù)進行業(yè)務(wù)邏輯處理。
在IMS網(wǎng)絡(luò)中采用Digest鑒權(quán)方式實現(xiàn)本發(fā)明的方法��,流程同上����,在此不再贅述。本發(fā)明的方法還可以應(yīng)用于其他網(wǎng)絡(luò)����,比如SIP網(wǎng)絡(luò)����,其方法與上述方法相同�,在此不再贅述。
總之���,以上所述僅為本發(fā)明的較佳實施例而已����,并非用于限定本發(fā)明的保護范圍��。凡在本發(fā)明的精神和原則之內(nèi)�,所作的任何修改、等同替換�����、改進等�,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種用戶終端的鑒權(quán)方法�,其特征在于,所述的方法包括以下步驟A�、收到用戶終端的請求消息時,判斷所述的請求消息中是否包含用戶終端的地址信息,如果包含����,則執(zhí)行步驟B�����;B��、比較請求消息中攜帶用戶終端的地址信息和保存的用戶終端的地址信息��,如果地址信息匹配���,用戶終端鑒權(quán)通過��。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于���,步驟A中所述的請求消息包括重注冊請求消息、注銷請求消息���、對話請求消息以及獨立的事務(wù)請求消息�。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述的步驟B中�����,如果地址信息不匹配���,則由注冊鑒權(quán)控制實體向用戶終端發(fā)起重鑒權(quán),或者返回失敗響應(yīng)�����。
4.根據(jù)權(quán)利要求1所述的方法�����,其特征在于���,步驟A之前進一步包括以下步驟A′����、獲取用戶終端的地址信息���,鑒權(quán)通過時����,保存所述的地址信息。
5.根據(jù)權(quán)利要求4所述的方法�����,其特征在于��,所述的步驟A′之前����,進一步包括以下步驟判斷用戶終端是否支持基于用戶終端地址信息的鑒權(quán)方法�。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于���,由注冊鑒權(quán)控制實體根據(jù)注冊鑒權(quán)請求的內(nèi)容或網(wǎng)絡(luò)的配置信息判斷用戶終端是否支持基于用戶終端地址信息的鑒權(quán)方法��。
7.根據(jù)權(quán)利要求4至6任意一項所述的方法��,其特征在于���,步驟A′中所述的鑒權(quán)是初始鑒權(quán)或重鑒權(quán),重鑒權(quán)由注冊鑒權(quán)控制實體根據(jù)網(wǎng)絡(luò)的運行狀況、用戶終端的注冊信息或者設(shè)備配置向已經(jīng)鑒權(quán)通過的用戶終端發(fā)起���,重鑒權(quán)通過后�,刷新已保存的地址信息�����。
8.根據(jù)權(quán)利要求7所述的方法��,其特征在于�����,所述的地址信息為IP地址���,相應(yīng)的����,步驟A′中的鑒權(quán)是初始鑒權(quán)時���,所述步驟A′包括具體步驟A′1����、用戶終端發(fā)起注冊鑒權(quán)請求,所述請求消息中攜帶用戶終端的IP地址IP1�;A′2、網(wǎng)絡(luò)接入控制實體比較接收到的注冊鑒權(quán)請求消息中攜帶的IP1和接收所述注冊鑒權(quán)請求消息使用的IP地址IP2如果不同����,則將所述IP2也保存于注冊鑒權(quán)請求消息中,并將注冊鑒權(quán)請求消息轉(zhuǎn)發(fā)給注冊鑒權(quán)控制實體�����,如果相同�,則將攜帶有IP1的注冊鑒權(quán)請求消息轉(zhuǎn)發(fā)給注冊鑒權(quán)控制實體;A′3�、注冊鑒權(quán)控制實體對用戶終端進行鑒權(quán)����,鑒權(quán)通過,則保存注冊鑒權(quán)請求消息中攜帶的IP地址����。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于�����,所述的步驟A具體包括以下步驟A11、網(wǎng)絡(luò)接入控制實體比較接收到的重注冊請求消息中攜帶的IP1和接收所述重注冊請求消息使用的IP地址IP2��,如果不同��,則將所述IP2也保存于重注冊請求消息中�,并將重注冊請求消息轉(zhuǎn)發(fā)給注冊鑒權(quán)控制實體,如果相同����,則將攜帶有IP1的重注冊請求消息轉(zhuǎn)發(fā)給注冊鑒權(quán)控制實體;A12�、注冊鑒權(quán)控制實體收到用戶的重注冊請求消息,判斷重注冊請求消息是否包含用戶終端的IP地址�。
10.根據(jù)權(quán)利要求8所述的方法,其特征在于����,所述的步驟A具體包括以下步驟A21、網(wǎng)絡(luò)接入控制實體比較接收到的非注冊請求消息中攜帶的IP1和接收所述非注冊請求消息使用的IP地址IP2���,如果不同�,則將所述IP2也保存于非注冊請求消息中����,并將非注冊請求消息轉(zhuǎn)發(fā)給會話控制實體��,如果相同�,則將攜帶有IP1的非注冊請求消息轉(zhuǎn)發(fā)給會話控制實體��;A22���、會話控制實體收到用戶的非注冊請求消息�,判斷非注冊請求消息是否包含用戶終端的IP地址��。
11.根據(jù)權(quán)利要求10所述的方法����,其特征在于,所述的步驟A22中進一步包括����,會話控制實體接收非注冊鑒權(quán)請求消息后���,判斷是否為安全通道保護的請求消息�����,如果不是�����,則由會話控制實體判斷請求中是否包含用戶終端的IP地址�。
12.根據(jù)權(quán)利要求11所述的方法,其特征在于�,所述的步驟A和B之間,進一步包括會話控制實體從注冊鑒權(quán)控制實體中獲得已保存的IP地址�����,相應(yīng)地�����,步驟B中����,由會話控制實體比較請求消息中攜帶的IP地址和保存的IP地址;或者�����,在所述步驟A和B之間�����,進一步包括會話控制實體將接收到的非注冊請求消息中的IP地址發(fā)送給注冊鑒權(quán)控制實體,相應(yīng)地�,步驟B中,由注冊鑒權(quán)控制實體比較請求消息中攜帶的IP地址和保存的IP地址���。
13.根權(quán)利要求6所述的方法�����,其特征在于���,所述注冊鑒權(quán)控制實體根據(jù)注冊鑒權(quán)請求的內(nèi)容判斷用戶終端是否支持基于IP地址鑒權(quán)方法在IMS網(wǎng)絡(luò)中具體步驟包括I、代理呼叫會話控制功能實體P-CSCF將接收到的用戶終端發(fā)送的注冊鑒權(quán)請求轉(zhuǎn)發(fā)給問詢呼叫會話控制功能實體I-CSCF����;J、服務(wù)呼叫會話控制功能實體S-CSCF接收到I-CSCF轉(zhuǎn)發(fā)的注冊請求��,如果注冊消息包含Authorization頭域且不包含Security-Client����,或者注冊消息包含Authorization頭域和Security-Client��,且Security-Client中不包含建立安全通道的信息���,則S-CSCF認(rèn)為終端支持基于IP地址鑒權(quán)方法�����。
全文摘要
本發(fā)明公開了一種用戶終端的鑒權(quán)方法�����,該方法包括收到用戶終端的請求消息時���,判斷所述的請求消息中是否包含用戶終端的地址信息���,如果包含,則比較請求消息中攜帶用戶終端的地址信息和保存的用戶終端的地址信息���,如果地址信息匹配����,用戶終端鑒權(quán)通過���。
文檔編號H04L9/32GK101030853SQ200610034080
公開日2007年9月5日 申請日期2006年3月2日 優(yōu)先權(quán)日2006年3月2日
發(fā)明者李輝 申請人:華為技術(shù)有限公司