[发明专利]IP多媒体子系统中的HTTP摘要鉴权方法

说明书

技术领域

本发明涉及IP多媒体子系统(IP Multimedia Subsystem，IMS) 通讯领域，尤其涉及一种IP多媒体子系统中使用普通HTTP (Hypertext Transfer Protocol)Digest鉴权的方法。

背景技术

IMS是第三代移动伙伴计划(3GPP)在Release 5阶段标准中 提出的支持IP多媒体业务的支持平台(图1)。它基于会话发起协 议(Session Initiation Protocol，SIP)的体系，SIP是按客户端/服务 器方式工作的基于文本的信令协议，IMS使用SIP呼叫控制机制来 创建、管理和终结各种类型的多位体业务。除会话管理外，IMS体 系还涉及完成服务提供所必须的功能(例如注册、安全、计费、承 载控制等)。IMS提供了业务融合的基础，基于互联网协议(IP)技 术同时支持语音和新的多媒体应用。

IMS层接入鉴权沿袭通用移动通信系统(Universal Mobile Communication System，UMTS)引入的鉴权与密钥协商 (Authentication and Key Agreement，AKA)双向鉴权方式，即IMS 鉴权不但包括网络侧对终端的认证，还包括终端对网络的验证过程。 但为支持IMS AKA鉴权，3GPP使用了专门的IMS用户标识模块(IP Multimedia Services Identity Module，ISIM)作为用户侧的鉴权模块。 也就是说ISIM模块是专门用于实现IMS AKA鉴权的，而目前 2G/3G的终端用户标识是不包含ISIM模块的，因此这些终端是无 法完成IMS AKA鉴权的。

在IMS部署初期，就是使用2G终端或固网接入IMS业务，此 时需要提供一些安全机制来应对早期IMS实现中最常见的安全威 胁。为此3GPP在TR 33.978中提供了一种新的鉴权方式-Early IMS 鉴权，另外基于密码的HTTP Digest(RFC 2617)鉴权也可以被利用 来提供这种简单的安全保护。

又由于IMS可以有不同的终端接入，有些终端带ISIM支持IMS AKA，而其他的终端接入支持其他的鉴权方式，所以必须支持用户 级的鉴权类型选择。

在3GPP TS 24.228中，当用户支持IMS AKA鉴权时，在初始 注册消息中携带Authorization字段。而当用户支持Early IMS鉴权 时，在初始注册消息中不携带Authorization字段，代理呼叫会话控 制功能(Proxy-Call Session Control Function，P-CSCF)、问讯呼叫 会话控制功能(Interrogating-Call Session Control Function，I-CSCF) 及服务呼叫会话控制功能(Serving-Call Session Control Function， S-CSCF)网元均根据Authorization存在与否决定是IMS AKA还是 Early IMS鉴权方式，特别是S-CSCF会根据Authorization的有无向 归属用户服务器(Home Subscriber Server，HSS)发送不同的 MAR(Multimedia-Authentication-Request)消息，对 SIP-Auth-Data-Item的SIP-Authentication-Scheme赋不同的值：有 Authorization时，鉴权方案为Digest-AKAv1-MD5；没有 Authorization时，鉴权方案为Early-IMS-Security。

而在RFC 2617定义的HTTP Digest中，客户端向服务器端发 送的第一个请求中也没有携带Authorization字段，这样在S-CSCF 将不能区分HTTP Digest和Early IMS的鉴权方式。另外HTTP Digest 中的服务器只是一个实体，而IMS中鉴权数据的存储和鉴权过程的 执行分布在两个不同的网元-HSS和S-CSCF上。还有HTTP Digest 在HTTP中实际上是在会话建立时(请求数据时)，对用户作的认证。 而普通的IMS鉴权是在注册时发生，会话建立时是不作鉴权的。

普通的HTTP Digest鉴权过程如下(RFC 2617)：

a.客户端向服务器端发送读取数据请求；