[发明专利]对终端用户标识模块进行因特网多媒体域鉴权的方法及系统

说明书

技术领域

本发明涉及对移动终端的鉴权技术，更确切地说是涉及一种在因特网多媒体(IM)域对终端用户标识模块进行鉴权的方法及系统。

背景技术

随着多媒体业务的发展，目前已出现了针对移动终端的多媒体业务。目前为移动终端提供多媒体业务的IP多媒体子系统(IMS)的架构如图1所示，IMS起初是在第三代网络(3G)已有的分组交换(PS)域之外叠加的一个子域，这个子域专门用于支持IP多媒体(IM)业务。在条件成熟的情况下，IMS也可服务于以无线局域网(WLAN)或其它方式的IP连通性接入网(IP-CAN)接入的用户。

如图1所示，IMS主要由呼叫会话控制功能(CSCF)实体、媒体网关(MGW)、媒体资源功能控制器(MRFC)、媒体资源功能处理器(MRFP)、媒体网关控制功能(MGCF)、中断网关控制功能(BGCF)、签约定位器功能(SLF)、策略判决功能(PDF)等部件构成，在各个部件之间主要使用会话发起协议(SIP)传输控制信令。呼叫控制部件是IMS中的关键部件，主要完成呼叫控制、地址转换、计费、隐蔽移动终端(UE)的移动性等功能；媒体网关部件则是为与现有公共交换电话网络(PSTN)兼容而引入的。另外，IMS中的归属用户服务器(HSS)是归属网络中用于保存IMS用户签约信息的设备。

IMS的安全功能包括用户在IMS的鉴权和SIP消息的保护。IMS的安全架构如图2所示。其中，UE与归属网之间的鉴权及安全联盟(SA，SecurityAssociation)协商采用IMS鉴权密钥协议(AKA)双向认证机制，SIP消息的加密和完整性保护采用的是逐跳处理方式。

具体来说，在IMS中，为实现对IP多媒体(IM)用户的鉴权，第三代合作伙伴组织(3GPP)协议使用了专门的IMS用户标识模块(ISIM)作为用户侧的鉴权模块，并使用了通用移动通信系统(UMTS)的AKA机制。IMS系统对用户的鉴权处理过程如图3所示，对应以下步骤：

步骤301：UE在需要使用IMS业务时，依次通过代理呼叫会话控制功能(P-CSCF)及查询呼叫会话控制功能(I-CSCF)将注册请求发送给服务呼叫会话控制功能(S-CSCF)。

步骤302：S-CSCF在收到注册请求后，检测自身是否存在针对该用户的五元组鉴权向量(AV)，若存在，则直接利用该鉴权向量对用户进行鉴权，即进入步骤304；若不存在，则向HSS请求AV，即进入步骤303。

这里，五元组AV包括：随机数(RAND)、鉴权令牌(AUTN)、全球移动通信(GSM)网使用的加密密钥(CK)、完整性密钥(IK)及预期响应(XRES)。

步骤303：HSS收到S-CSCF发来的AV请求后，确定五元组AV，并发送给S-CSCF。

其中，HSS确定五元组AV，具体是由HSS自身内嵌的鉴权中心(AUC)来确定序列号(SQN)，并根据该SQN生成相应的鉴权向量。

当然，为提高效率，HSS一般会按顺序向S-CSCF发送多组五元组AV，以便S-CSCF能够通过一次请求获取多组用于鉴权的五元组AV。

步骤304：S-CSCF保留自身保存的或HSS发送来的五元组AV中的XRES，将RAND、AUTN、CK及IK放在鉴权考验(Auth_Challenge)消息中，并将该消息通过I-CSCF发送给P-CSCF。

如果HSS向S-CSCF发送多组五元组AV，则S-CSCF可以按顺序选择一组五元组AV，其它五元组AV则留在针对该用户的下一次鉴权中使用。

步骤305：P-CSCF保留S-CSCF通过Auth_Challenge消息发送来的CK和IK，并将RAND和AUTN下发到UE。

如果系统启动了一致性保护和保密性保护，则P-CSCF将在后续的会话中使用保存下来的IK和CK作为密钥。

步骤306～307：UE将收到的RAND和AUTN发送到ISIM，ISIM对收到的AUTN进行验证，并在验证通过后根据RAND计算响应(RES)，然后将计算出的RES作为鉴权响应发送给UE，并由UE将该RES返回给S-CSCF，同时ISIM还根据RAND计算出IK和CK，并将IK和CK发送给UE。

ISIM对收到的AUTN进行验证包括确定AUTN中包含的媒体接入控制(MAC)值是否合法，以及确定AUTN中的序列号SQN是否可接受。其中，ISIM对SQN是否可接受的验证即为验证是否需要再同步。