Methodandsystemforauthenticatinginternetmultimediadomainofterminal...的製作方法

2023-05-27 13:33:21 3

專利名稱:Method and system for authenticating internet multimedia domain of terminal ...的製作方法
技術領域：
本發明涉及對移動終端的鑑權技術，更確切地說是涉及一種在網際網路多媒體(IM) 域對終端用戶標識模塊進行鑑權的方法及系統。
背景技術：
隨著多媒體業務的發展，目前已出現了針對移動終端的多媒體業務。目前為移動 終端提供多媒體業務的IP多媒體子系統(IMS)的架構如圖1所示，IMS起初是在第三代網 絡(3G)已有的分組交換(PS)域之外疊加的一個子域，這個子域專門用於支持IP多媒體 (IM)業務。在條件成熟的情況下，IMS也可服務於以無線區域網(WLAN)或其它方式的IP 連通性接入網(IP-CAN)接入的用戶。
如圖1所示，IMS主要由呼叫會話控制功能(CSCF)實體、媒體網關(MGW)、媒體資 源功能控制器(MRFC)、媒體資源功能處理器(MRFP)、媒體網關控制功能(MGCF)、中斷網關 控制功能(BGCF)、籤約定位器功能(SLF)、策略判決功能(PDF)等部件構成，在各個部件之 間主要使用會話發起協議(SIP)傳輸控制信令。呼叫控制部件是IMS中的關鍵部件，主要 完成呼叫控制、地址轉換、計費、隱蔽移動終端(UE)的移動性等功能；媒體網關部件則是為 與現有公共交換電話網絡(PSTN)兼容而引入的。另外，IMS中的歸屬用戶伺服器(HSS)是 歸屬網絡中用於保存IMS用戶籤約信息的設備。
IMS的安全功能包括用戶在IMS的鑑權和SIP消息的保護。IMS的安全架構如圖2 所示。其中，UE與歸屬網之間的鑑權及安全聯盟(SAjecurityAssociation)協商採用IMS 鑑權密鑰協議(AKA)雙向認證機制，SIP消息的加密和完整性保護採用的是逐跳處理方式。
具體來說，在IMS中，為實現對IP多媒體(IM)用戶的鑑權，第三代合作夥伴組織 (3GPP)協議使用了專門的IMS用戶標識模塊(ISIM)作為用戶側的鑑權模塊，並使用了通用 移動通信系統(UMTS)的AKA機制。IMS系統對用戶的鑑權處理過程如圖3所示，對應以下 步驟
步驟301 :UE在需要使用IMS業務時，依次通過代理呼叫會話控制功能(P-CSCF) 及查詢呼叫會話控制功能(I-CSCF)將註冊請求發送給服務呼叫會話控制功能(S-CSCF)。
步驟302 :S_CSCF在收到註冊請求後，檢測自身是否存在針對該用戶的五元組鑑 權向量(AV)，若存在，則直接利用該鑑權向量對用戶進行鑑權，即進入步驟304 ；若不存在， 則向HSS請求AV，即進入步驟303。
這裡，五元組AV包括隨機數(RAND)、鑑權令牌(AUTN)、全球移動通信(GSM)網使 用的加密密鑰(CK)、完整性密鑰(IK)及預期響應(XRES)。
步驟303 :HSS收到S-CSCF發來的AV請求後，確定五元組AV，並發送給S-CSCF。
其中，HSS確定五元組AV，具體是由HSS自身內嵌的鑑權中心(AUC)來確定序列號 (SQN)，並根據該SQN生成相應的鑑權向量。
當然，為提高效率，HSS 一般會按順序向S-CSCF發送多組五元組AV，以便S-CSCF能夠通過一次請求獲取多組用於鑑權的五元組AV。
步驟304 :S-CSCF保留自身保存的或HSS發送來的五元組AV中的XRES，將RAND、 AUTN、CK及IK放在鑑權考驗(Auth_Challenge)消息中，並將該消息通過I-CSCF發送給 P-CSCF。
如果HSS向S-CSCF發送多組五元組AV，則S-CSCF可以按順序選擇一組五元組AV， 其它五元組AV則留在針對該用戶的下一次鑑權中使用。
步驟305 :P-CSCF保留S-CSCF通過Auth_Challenge消息發送來的CK和IK，並將 RAND 禾口 AUTN 下發至lj UE。
如果系統啟動了一致性保護和保密性保護，則P-CSCF將在後續的會話中使用保 存下來的IK和CK作為密鑰。
步驟306 307 :UE將收到的RAND和AUTN發送到ISIM，ISIM對收到的AUTN進行 驗證，並在驗證通過後根據RAND計算響應(RES)，然後將計算出的RES作為鑑權響應發送給 UE，並由UE將該RES返回給S-CSCF，同時ISIM還根據RAND計算出IK和CK，並將IK和CK
發送給 UE。
ISIM對收到的AUTN進行驗證包括確定AUTN中包含的媒體接入控制(MAC)值是否 合法，以及確定AUTN中的序列號SQN是否可接受。其中，ISIM對SQN是否可接受的驗證即 為驗證是否需要再同步。
UE具體會通過P-CSCF和I-CSCF將RES發送給S-CSCF，並保留IK和CK，以作為後 續會話中的密鑰。
步驟308 309 :S_CSCF將UE發送來的鑑權響應中的RES與自身保存的XRES進 行比較，如果相等，則確定鑑權通過，並通過I-CSCF及P-CSCF向UE發送鑑權成功消息；否 則，確定鑑權失敗。
上述處理過程要求使用單獨的ISIM完成IM域的鑑權，也就是說，目前所設置的 ISIM是專門用於實現IM域的鑑權的，而目前能夠用於3G的終端用戶標識模塊都是不包含 ISIM的，因此這些終端用戶標識模塊無法通過上述過程完成IM域的鑑權。比如，目前已出 現的針對3G的UICC卡一般只包含了用於電路交換(CS)域和PS域鑑權的USIM，這樣也就 無法通過上述針對ISIM的處理完成IM域的鑑權。同時，HSS中也沒有USIM的相關數據， 因此無法確定USIM用戶鑑權所需的鑑權向量，也就無法直接通過上述方案對USIM進行鑑 權。
若要使得HSS可以完成對USIM用戶的鑑權，一種方案是將HLR中的數據集成到 HSS中，則HSS就能夠具有USIM的相關數據，因此可以確定相應的鑑權向量。顯然，這就需 要大規模地替換現有的HLR，但是，目前的IMS網絡處於初始階段，大規模替換HLR基本上 是不可能的。更為合理的解決方案是在現網的基礎上疊加一個或多個專門提供IM業務的 HSS，而現有的HLR保持不變，繼續提供CS和PS域的業務。但按照3GPP的建議方案，疊加 的HSS需要使用ISIM進行鑑權，原有的HLR則可以使用原來的USIM進行鑑權。這就需要 用戶將卡更換為包含ISIM的卡。根據目前的運營模式，如果用戶想要升級UE，可以通過各 種途徑實現，包括購置新機、通過Java或者手機製造商提供的接口升級等，這些升級具有 很強的可操作性。但如果用戶想要換卡，則必須到運營商授權的專門營業點進行更換，而為 保證業務的持續性，新卡中的國際移動用戶標識(IMSI)與舊卡中的IMSI必須保證一定的關聯性，比如，必須歸屬同一個HLR，因此，換卡在實際操作時必然非常繁瑣。
另外，即使HSS中存有USIM的相關數據，並且可以確定USIM用戶鑑權所需的鑑權 向量，仍然會有其它的問題一個USIM同時為多個域鑑權會引起再同步問題。所謂再同步 是指USIM中保存了 SQNb，如果HSS/HLR下發的五元組中的SQN比USIM中保存的SQNms舊， 而下發的SQN是以HSS/HLR保存的SQNHE為準的，這說明SQNHE比SQNB舊，故將引發USIM會 用自身的SQNms去同步HSS/HLR中的SQNhe。並且，如果HSS和HLR中都存有SQN，則會存在 HSS和HLR中的SQN不一致的問題，這樣，HSS和HLR之間也需要針對SQN進行再同步。
以USIM與HLR間的再同步為例。為提高網絡的存取效率，在現有的網絡中，針對 CS域的拜訪位置寄存器(VLR)及針對PS域的服務通用分組無線業務支持節點(SGSN)通常 都會一次索取多組鑑權向量，每次只使用其中一組進行鑑權處理，並自行緩存剩餘的鑑權 向量。在這種情況下，如果各個域的操作頻度不同，比如，SGSN和VLR先後向HSS獲取了 5 組鑑權元組，在各自使用了一組之後，可能由於用戶在CS域的操作很頻繁，使得SGSN中已 緩存的4組剩餘鑑權向量將比USIM中的USIM接受的最高序列號(SQNb)舊，此時USIM中 保存的SQNms以VLR下發的SQN為準，這樣，USIM就會用自身的SQNms去同步HLR中的SQNHE， 該SQNhe為HLR/AUC中為每個用戶保存的個人序列號，進而導致SGSN/VLR當前緩存的所有 鑑權向量失效。從上述例子可見，如果不同域的操作頻度相差較大，則必然會引起頻繁的再 同步。
綜上所述，目前要想使用IM業務，則用戶的終端用戶標識模塊中必須包含ISIM， 或者替換現有的HLR。顯然，替換現有HLR在短時間內不太可能實現，終端用戶標識模塊中 包含ISIM則對終端用戶標識模塊的要求比較高，往往需要用戶更換自身的USIM卡才能實 現。而換卡在實際操作中非常繁瑣，必然會大大降低IM業務的吸引力，增加運營商推廣IM 業務的難度。

發明內容
有鑑於此，本發明提供一種對終端用戶標識模塊進行IM域鑑權的方法及系統，以 便使用USIM卡的用戶不需要更換新卡，即可使用IM業務。
為解決上述問題，本發明的技術方案是這樣實現的
—種對終端用戶標識模塊進行IM域鑑權的方法，該方法在網絡中設置用於提供 IM域業務的HSS，包括
a 網絡中的S-CSCF在收到UE發送來的IM域註冊請求後，向HSS發送鑑權向量請 求；
b :HSS在收到所述請求後，向UE的歸屬設備發送用於獲取鑑權向量的請求消息；
c :UE的歸屬設備在收到所述請求消息後，為該UE分配SQN，並基於該SQN生成鑑 權向量，之後將該鑑權向量發送給HSS ；
d :HSS將所述鑑權向量發送給S-CSCF，S-CSCF根據所述鑑權向量對所述UE的終 端用戶標識模塊進行鑑權；
其中，所述UE的歸屬設備中每個UE的個人序列號SQNhe包括與至少一種域對應的 至少一個SQNhe ；
所述向UE的歸屬設備發送請求消息為[0034]向UE的歸屬設備發送發送鑑權信息消息，其中所述發送鑑權信息消息中攜帶請 求節點類型；
所述UE的歸屬設備為該UE分配SQN為
UE的歸屬設備根據所述請求節點類型確定該HSS歸屬的域，並根據該HSS歸屬的 域所對應的SQNhe為該HSS歸屬的域分配SQN。
所述UE的歸屬設備中每個UE的個人序列號SQNhe包括與電路交換CS域的SQNHE 和分組交換PS域對應的SQNhe中的至少一種；所述發送鑑權信息消息中攜帶CS域或PS域 的請求節點類型；
步驟c所述UE的歸屬設備為該UE分配SQN為UE的歸屬設備根據發送鑑權信息 消息中的請求節點類型確定該HSS歸屬於PS域還是CS域，並根據該HSS歸屬的域所對應 的SQNhe為該HSS歸屬的域分配SQN。
該方法進一步包括所述UE的歸屬設備中每個UE的個人序列號SQNhe包括與IM 域對應的SQNhe ；
步驟所述發送鑑權信息消息中攜帶頂域的請求節點類型信息；
步驟c所述UE的歸屬設備分配SQN為UE的歸屬設備根據發送鑑權信息消息中 的請求節點類型確定該HSS歸屬於IM域，並根據與IM域對應的SQNhe為該IM域分配SQN。
所述UE的歸屬設備中每個UE的個人序列號SQNhe進一步包括與電路交換CS域 的SQNhe和分組交換PS域對應的SQNhe中的至少一種；該方法進一步包括
步驟b所述HSS向UE的歸屬設備發送鑑權信息消息之前，進一步包括HSS根據 自身保存的信息確定UE當前的歸屬設備是否能夠為IM域分配SQN，如果能，則在所述發送 鑑權信息消息中攜帶IM域的請求節點類型信息；否則，在所述發送鑑權信息消息中攜帶CS 域或PS域的請求節點類型信息。
所述UE的歸屬設備劃分給IM域的SQN的有效範圍小於劃分給CS域和/或PS域 的SQN的有效範圍。
步驟c所述UE的歸屬設備根據SQNhe為IM域分配SQN為為IM域分配一個以上 的SQN ；所述基於SQN生成相應的鑑權向量為基於每個SQN生成一組鑑權向量；
步驟d所述S-CSCF根據所述鑑權向量對所述UE的終端用戶標識模塊進行鑑權 為S-CSCF從收到的鑑權向量中選擇一組鑑權向量對終端用戶標識模塊進行鑑權，並保存 其它鑑權向量。
步驟a所述S-CSCF向HSS發送鑑權向量請求之前，進一步包括判斷自身是否存 在針對該UE的鑑權向量，如果是，則直接根據該鑑權向量對UE的終端用戶標識模塊進行鑑 權，結束本處理流程；否則，執行向HSS發送鑑權向量請求的步驟。
該方法進一步包括在HSS中配置終端用戶標識模塊的數據信息；
步驟b所述HSS在收到所述請求後，向UE的歸屬設備發送用於獲取鑑權向量的請 求消息之前，進一步包括判斷該UE是否籤約了 CS域和/或PS域的業務，如果是，則執行 所述發送用於獲取鑑權向量的請求消息的步驟；否則，HSS根據所述終端用戶標識模塊的 數據信息計算鑑權向量，之後執行步驟d。
所述S-CSCF與HSS之間使用UE的MS私有標識(IMPI)作為用戶標識；
步驟b所述HSS向UE的歸屬設備發送請求消息之前，進一步包括HSS將鑑權向量請求中的IMPI轉換為國際移動用戶標識(IMSI)，並根據該IMSI及路由原則確定UE當前 的歸屬設備，之後執行向該歸屬設備發送用於獲取鑑權向量的請求消息的步驟；
步驟d所述HSS將所述鑑權向量發送給S-CSCF之前，進一步包括將所述IMSI轉 換為IMPI，之後將IMPI與所述鑑權向量一起發送給S-CSCF。
所述UE的歸屬設備為UE當前歸屬的歸屬位置寄存器HLR/鑑權中心AUC。
所述UE使用的終端用戶標識模塊為USIM。
一種對終端用戶標識模塊進行IM域鑑權的系統，包括UE、S-CSCF、UE的歸屬設 備，還包括HSS，其中
UE 用於向S-CSCF發起IM域註冊請求，並和S-CSCF交互對自身的終端用戶標識 模塊進行鑑權的相關消息；
S-CSCF 用於根據UE發來的IM域註冊請求，向HSS發送鑑權向量請求，根據HSS 發來的鑑權向量與UE交互對UE的終端用戶標識模塊進行鑑權的相關消息；
HSS 用於根據S-CSCF發來的鑑權向量請求，向UE的歸屬設備發送用於獲取鑑權 向量的請求消息，將UE的歸屬設備返回的鑑權向量發送給S-CSCF ；
UE的歸屬設備用於根據HSS發來的用於獲取鑑權向量的請求消息，為UE分配 SQN,並基於該SQN生成相應的鑑權向量，將該鑑權向量發送給HSS。
所述UE的歸屬設備為UE當前歸屬的歸屬位置寄存器HLR/鑑權中心AUC。
本發明方案通過UE的當前歸屬設備分配SQN，並基於所分配的SQN生成相應的鑑 權向量，之後將所生成的鑑權向量通過HS S發送給S-CSCF，使得USIM卡用戶不需要換卡即 可使用IM業務，大大降低了推廣IM業務的難度。
並且本發明方案還通過HLR分別針對CS域、PS域及IM域分配SQNHE的範圍，終端 用戶標識模塊可以分別對各個域內的SQNms進行比較，解決了現有技術中的頻繁再同步問題。
另外，本發明方案的所有修改和改造只涉及了 HSS和HLR/AUC，對於目前的GSM/通 用無線分組業務(GPRS) /UMTS等其它設備沒有任何額外的要求，並且只是將HLR/AUC進行 簡單的升級，而不是替換，在降低實現成本和複雜度的前提下，使得在現有網絡上疊加一個 專門用於提供IM域鑑權的IMS成為可能。


圖1為目前的IMS結構示意圖；
圖2為IMS的安全架構示意圖；
圖3為現有技術中IMS通過ISIM對UE進行鑑權的消息流時序圖；
圖4為本發明實施例提供的對終端中的USIM進行IM域鑑權的消息流時序圖；
圖5為本發明實施例提供的對終端中的USIM進行IM域鑑權的系統框圖。
具體實施方式
本發明首先要在現有網絡中疊加HSS，以實現在現網上疊加一個IMS。在現有網絡 中疊加了 HSS之後，為實現共享USIM，在鑑權處理過程中，HSS收到S-CSCF發送來的鑑權向 量請求消息後，需要向用戶的歸屬設備，比如HLR/AUC，發送用於獲取鑑權向量的發送鑑權信息消息；HLR/AUC則為該UE分配SQN，並基於所分配的SQN生成相應的鑑權向量，並將該 鑑權向量發送給HSS，HSS則將收到的鑑權向量再發送給S-CSCF。從而使得USIM卡用戶能 夠完成IM域的鑑權。
其中，在用戶為USIM用戶的情況下，HSS在收到S-CSCF發送來的鑑權向量請求消 息後，並需要從UE當前的歸屬設備獲取鑑權向量時，可以模擬VLR或者SGSN向UE當前所 歸屬的設備，比如HLR/AUC，發送用於獲取鑑權向量的發送鑑權信息消息，則該發送鑑權信 息消息中應包含CS域或PS域的請求節點類型信息；HLR/AUC則根據該發送鑑權信息消息 中攜帶的請求節點類型確定HS S歸屬於PS域還是CS域，然後為該域分配SQN，並根據該域 所對應的SQN計算鑑權向量，然後將該鑑權向量發送給HSS，並由HSS將這些鑑權向量下發 給 S-CSCF。
另外，在上述處理過程中，HSS在向HLR/AUC發送用於獲取鑑權向量的發送鑑權信 息消息之前，還需要對HLR/AUC進行尋址。HSS向HLR/AUC的尋址可完全遵循現網MSC/VLR/ SGSN向現網HLR的尋址方式。具體來說，由於UE到HSS的消息路徑使用UE的IMS私有標 識(IMPI)作為用戶標識，因此S-CSCF與HSS之間也使用UE的IMPI作為用戶標識，又由於 MSC/VLR/SGSN通過IMSI對HLR進行尋址，因此HSS需要完成IMPI到IMSI的轉換，並將轉換 得到的IMSI作為用戶標識填充到發送鑑權信息消息中，同時根據現網的路由原則及IMSI 確定用戶所在的HLR/AUC，之後將發送鑑權信息消息依據本地配置的全局(GT)碼或者目的 信令點編碼(DPC)發給目的HLR/AUC ；HSS在收到目的HLR/AUC返回的響應消息之後，再完 成從IMSI到IMPI的轉換，並將IMPI作為用戶標識下發給S-CSCF。
顯然，上述方式不需要升級現有的HLR，USIM用戶也不需要換卡。但由於IM域業 務佔用了 CS域或PS域的SQN有效範圍，這可能會帶來一定的頻繁再同步問題，使得整個系 統的效率有一定的降低。當然，由於HSS是模擬VLR或SGSN向HLR發起發送鑑權信息消息， 因此其再同步的影響範圍只包括IM域和CS域，或者是IM域和PS域。
對於這種由HSS模擬VLR或SGSN的情況來說，由於PS域的鑑權操作頻度比較低， 因此HSS應儘量將自身模擬為SGSN，以降低再同步的頻度。
如果要完全避免由此可能帶來的頻繁再同步問題，則可以由HSS明確通知HLR/ AUC該用於獲取鑑權向量的發送鑑權信息消息來自IM域，HLR/AUC則首先根據所收到的發 送鑑權信息消息確定該UE處於IM域，並為該UE所處的IM域分配SQN，然後再基於所分配 的SQN生成相應的鑑權向量，並將該鑑權向量通過HSS發送給S-CSCF。當然，這種方式需要 將現有的HLR/AUC升級，以支持新的協議擴展。也就是使現網中的HLR能夠將下發的SQN 劃分為CS域、PS域和IM域，這樣，USIM可以分別對各個域內的SQN進行比較，只要能夠保 證HLR下發給每個域的鑑權元組所對應的SQN是有序的，就不會導致不必要的再同步過程。 由於每個域中都只有一個網絡實體用於緩存鑑權元組，比如，CS域中由VLR緩存，PS域中由 SGSN緩存，IM域中由S-CSCF緩存，因此通過HLR對SQN的分域劃分可以解決再同步問題。
下面結合附圖及具體實施例對本發明中完全避免頻繁再同步的具體方案作進一 步詳細的說明。
目前的3GPP R4/R5/R629. 002協議在發送鑑權信息 (MAP-SEND-AUTHENTI CAT I ON-1NF0)消息中定義了請求節點類型(requestingNodeType)信 元，用以標識請求節點的類型是屬於CS域如當信元值為vlr時還是PS域如當信元值為sgsn時。基於該定義，HLR在向S-CSCF下發鑑權向量之前，首先將鑑權向量的AUTN中的 SQN劃分為CS域和PS域，然後根據requestingNodeType信元確定請求節點的類型是VLR 還是SGSN，並利用與該節點類型一致的SQN生成相應的鑑權向量，然後再將所生成的鑑權 向量發送給該節點。這樣，就可以保證HLR下發到各個域中的SQN是有序的，同時使得在 USIM卡上管理的SQNms也分別對應CS域和PS域，各個域的SQN校驗相對獨立，不互相干擾， 從而避免了因兩個域中操作頻度不同而導致頻繁觸發再同步的問題。
因此，為使HLR/AUC能夠為UE所處的IM域分配SQN，以避免前述因HSS模擬VLR 或SGSN而導致的頻繁再同步的問題，本發明方案可以對發送鑑權信息消息進行擴展，具體 是將發送鑑權信息消息中的requestingNodeType信元進行擴展，將該信元中的兩個枚舉 值表示CS域的值如vlr和表示PS域的值如sgsn擴展為三個枚舉值，即表示CS域的 值、表示PS域的值及表示IM域的值如im，其它所有信元則保持不變。
擴展後，原有的VLR/SGSN不需要作任何的改動，且仍可使用原有的發送鑑權信息 消息獲取鑑權向量，新增的HSS則使用擴展後的發送鑑權信息消息來獲取鑑權向量，其中， 針對IM域的requestingNodeType信元應寫為im。當然，原有的HLR/AUC還需要進行必要 的升級，其改動點主要包括使HLR/AUC兼容擴展後的發送鑑權信息消息；HLR/AUC需要將 SQNhe劃分為CS域、PS域和IM域，根據發送鑑權信息消息所攜帶的requestingNodeType信 元及IM域的SQNhe生成針對IM域的SQN，並根據該SQN生成相應的鑑權向量，然後再將所 生成的鑑權向量發送給發起請求的網絡節點。
由於針對AUC及HLR的鑑權向量獲取過程相同，因此下面僅以HLR為例。
通過上述設置，具體的鑑權處理消息流時序如圖4所示，其具體包括以下步驟
步驟401 402 :S-CSCF在收到UE發送來的IM域註冊請求後，向HSS發送鑑權向 量請求(Cx-AuthDataReq)。
步驟403 :HSS在收到S-CSCF發來的鑑權向量請求後，發送發送鑑權信息 (MAP-SEND-AUTHENTI CAT I ON-1NF0)消息給該用戶當前所歸屬的歸屬設備，即HLR/AUC。
其中，若該HLR已經升級支持新的協議擴展，則該發送鑑權信息消息中所攜帶的 requestingNodeType信元填寫為im ；若該HLR未升級，則該發送鑑權信息消息中所攜帶的 requestingNodeType 信元填寫為 sgsn 或 vlr,建議用 sgsn。
該步驟具體可以是在HSS中配置HLR是否能為IM域分配SQNHE的信息，HSS則可 以根據該信息確定相應的HLR是否已支持新的協議擴展，並根據該確定的信息發送相應的 發送鑑權信息消息。
步驟404 :HLR/AUC在收到發送鑑權信息消息後，根據該消息中的 requestingNodeType信元確定該消息來自哪個域，並根據自身保存的SQNHE生成滿足該域 要求的SQN，並根據該SQN生成相應的鑑權向量，之後將該鑑權向量作為發送鑑權信息消息 的響應消息發送給HSS。
其中，如果HLR/AUC根據requestingNodeType信元確定該發送鑑權信息消息來自 IM域，則根據自身保存的SQNhe生成滿足IM域要求的SQN ；如果根據requestingNodeType 信元確定該發送鑑權信息消息來自CS或PS域，則根據自身保存的SQNhe生成滿足CS域或 PS域要求的SQN。
步驟405 :HSS將HLR/AUC發來的鑑權向量發送給S-CSCF。[0088]步驟406 :S-CSCF根據HSS發來的鑑權向量對UE進行鑑權。
在得到鑑權向量後，S-CSCF的具體鑑權過程如圖3中的步驟304及後續步驟所示， 只是將其中的ISIM改為USIM即可，因此不再贅述。
通過上述步驟，即可實現本發明的目的。
為提高效率，S-CSCF在收到註冊請求後，還可以向HSS請求多組鑑權向量。這樣， 在上述步驟401 402中，S-CSCF在收到註冊請求後，首先要判斷自身是否還有有效的鑑 權向量，如果有，則S-CSCF可以直接根據該鑑權向量對UE進行鑑權；如果沒有，則S-CSCF 再向HSS發送鑑權向量請求消息，以請求多組鑑權向量。HSS向HLR/AUC轉發的發送鑑權信 息消息同樣也用於請求多組鑑權向量，HLR/AUC則會相應地為IM域分配多個SQN，並依據這 些SQN生成多組鑑權向量。
另外，如果UE沒有籤約CS/PS域業務，也即UE只籤約了 IM域業務，則不會出現再 同步的問題。因此，HSS在收到S-CSCF發送來的鑑權向量請求消息後，可以先判斷該用戶 是否已籤約了 CS/PS域業務，如果是，則發送發送鑑權信息消息到用戶歸屬的HLR/AUC，如 前所述，該消息中requestingNodeType信元的填充內容可根據該HLR/AUC的能力決定，即 根據HLR/AUC是否支持requestingNodeType信元的擴展決定；如果該用戶沒有籤約CS/PS 域業務，則該USIM與現有的ISIM相同，即只支持IM域業務，因此可以按照ISIM的處理方 式在HSS內嵌的AUC中為該用戶生成鑑權向量並下發，當然，與ISIM相同，同樣需要在HSS 中預設USIM的相關數據。
還需要說明的是，對於目前的使用情況來說，與CS域和PS域相比，IM域的鑑權頻 度較低，因此HLR/AUC可以為IM域分配較小範圍的SQN。
圖5為基於本發明實施例提供的對終端中的USIM進行IM域鑑權的系統組成圖， 如圖5所示，其主要包括UE、S-CSCF、UE的歸屬設備如HLR/AUC和HSS，其中
UE 用於向S-CSCF發起IM域註冊請求，並和S-CSCF交互對自身的USIM進行鑑權 的相關消息；
S-CSCF 用於根據UE發來的IM域註冊請求，向HSS發送鑑權向量請求，根據HSS 發來的鑑權向量與UE交互對UE的USIM進行鑑權的相關消息；
HSS 用於根據S-CSCF發來的鑑權向量請求，向UE的歸屬設備發送用於獲取鑑權 向量的請求消息，將UE的歸屬設備返回的鑑權向量發送給S-CSCF ；
UE的歸屬設備用於根據HSS發來的用於獲取鑑權向量的請求消息，為UE分配 SQN,並基於該SQN生成相應的鑑權向量，將該鑑權向量發送給HSS。
以上所述僅為本發明的過程及方法實施例，並不用以限制本發明，凡在本發明的 精神和原則之內所做的任何修改、等同替換、改進等，均應包含在本發明的保護範圍之內。
11
權利要求
一種對終端用戶標識模塊進行網際網路協議多媒體域鑑權的方法，其特徵在於，在網絡中設置用於提供網際網路協議多媒體IM域業務的歸屬用戶伺服器HSS，該方法包括a網絡中的服務呼叫會話控制功能S-CSCF在收到移動終端UE發送來的IM域註冊請求後，向HSS發送鑑權向量請求；bHSS在收到所述請求後，向UE的歸屬設備發送用於獲取鑑權向量的請求消息；cUE的歸屬設備在收到所述請求消息後，為該UE分配序列號SQN，並基於該SQN生成鑑權向量，之後將該鑑權向量發送給HSS；dHSS將所述鑑權向量發送給S-CSCF，S-CSCF根據所述鑑權向量對所述UE的終端用戶標識模塊進行鑑權；所述UE的歸屬設備中每個UE的個人序列號SQNHE包括與至少一種域對應的至少一個SQNHE；所述向UE的歸屬設備發送請求消息為向UE的歸屬設備發送發送鑑權信息消息，其中所述發送鑑權信息消息中攜帶請求節點類型；所述UE的歸屬設備為該UE分配SQN為UE的歸屬設備根據所述請求節點類型確定該HSS歸屬的域，並根據該HSS歸屬的域所對應的SQNHE為該HSS歸屬的域分配SQN。
2.根據權利要求
1所述的方法，其特徵在於，所述UE的歸屬設備中每個UE的個人序列 號SQNhe包括與電路交換CS域的SQNhe和分組交換PS域對應的SQNhe中的至少一種；所述發送鑑權信息消息中攜帶電路交換CS域或分組交換PS域的請求節點類型； 步驟c所述UE的歸屬設備為該UE分配SQN為UE的歸屬設備根據發送鑑權信息消息中的請求節點類型確定該HSS歸屬於PS域還是 CS域，並根據該HSS歸屬的域所對應的SQNhe為該HSS歸屬的域分配SQN。
3.根據權利要求
1所述的方法，其特徵在於，所述UE的歸屬設備中每個UE的個人序列 號SQNhe包括與IM域對應的SQNhe ；步驟b所述發送鑑權信息消息中攜帶IM域的請求節點類型信息； 步驟c所述UE的歸屬設備分配SQN為UE的歸屬設備根據發送鑑權信息消息中的請 求節點類型確定該HSS歸屬於IM域，並根據與IM域對應的SQNhe為該IM域分配SQN。
4.根據權利要求
3所述的方法，其特徵在於，所述UE的歸屬設備中每個UE的個人序列 號SQNhe進一步包括與電路交換CS域的SQNhe和分組交換PS域對應的SQNHE中的至少一 種；該方法進一步包括步驟b所述HSS向UE的歸屬設備發送鑑權信息消息之前，進一步包括HSS根據自身 保存的信息確定UE當前的歸屬設備是否能夠為IM域分配SQN，如果能，則在所述發送鑑權 信息消息中攜帶IM域的請求節點類型信息；否則，在所述發送鑑權信息消息中攜帶CS域或 PS域的請求節點類型信息。
5.根據權利要求
3所述的方法，其特徵在於，所述UE的歸屬設備劃分給IM域的SQN的 有效範圍小於劃分給CS域和/或PS域的SQN的有效範圍。
6.根據權利要求
3所述的方法，其特徵在於，步驟c所述UE的歸屬設備根據SQNhe為 IM域分配SQN為為IM域分配一個以上的SQN;所述基於SQN生成相應的鑑權向量為基於每個SQN生成一組鑑權向量；步驟d所述S-CSCF根據所述鑑權向量對所述UE的終端用戶標識模塊進行鑑權為 S-CSCF從收到的鑑權向量中選擇一組鑑權向量對終端用戶標識模塊進行鑑權，並保存其它 鑑權向量。
7.根據權利要求
6所述的方法，其特徵在於，步驟a所述S-CSCF向HSS發送鑑權向量 請求之前，進一步包括判斷自身是否存在針對該UE的鑑權向量，如果是，則直接根據該鑑 權向量對UE的終端用戶標識模塊進行鑑權，結束本處理流程；否則，執行向HSS發送鑑權向 量請求的步驟。
8.根據權利要求
1至7中任意一項所述的方法，其特徵在於，該方法進一步包括在 HSS中配置終端用戶標識模塊的數據信息；步驟b所述HSS在收到所述請求後，向UE的歸屬設備發送用於獲取鑑權向量的請求消 息之前，進一步包括判斷該UE是否籤約了 CS域和/或PS域的業務，如果是，則執行所述 發送用於獲取鑑權向量的請求消息的步驟；否則，HSS根據所述終端用戶標識模塊的數據 信息計算鑑權向量，之後執行步驟d。
9.根據權利要求
1至7中任意一項所述的方法，其特徵在於，所述S-CSCF與HSS之間 使用UE的IMS私有標識IMPI作為用戶標識；步驟b所述HSS向UE的歸屬設備發送請求消息之前，進一步包括HSS將鑑權向量請 求中的IMPI轉換為國際移動用戶標識IMSI，並根據該IMSI及路由原則確定UE當前的歸屬 設備，之後執行向該歸屬設備發送用於獲取鑑權向量的請求消息的步驟；步驟d所述HSS將所述鑑權向量發送給S-CSCF之前，進一步包括將所述IMSI轉換為 IMPI，之後將IMPI與所述鑑權向量一起發送給S-CSCF。
10.根據權利要求
1至7中任意一項所述的方法，其特徵在於，所述UE的歸屬設備為 UE當前歸屬的歸屬位置寄存器HLR/鑑權中心AUC。
11.根據權利要求
1至7中任意一項所述的方法，其特徵在於，所述UE使用的終端用戶 標識模塊為用戶服務識別模塊USIM。
12.—種對終端用戶標識模塊進行IM域鑑權的系統，包括UE、S-CSCF、UE的歸屬設備， 其特徵在於，還包括HSS，其中UE 用於向S-CSCF發起IM域註冊請求，並和S-CSCF交互對自身的終端用戶標識模塊 進行鑑權的相關消息；S-CSCF 用於根據UE發來的IM域註冊請求，向HSS發送鑑權向量請求，根據HSS發來 的鑑權向量與UE交互對UE的終端用戶標識模塊進行鑑權的相關消息；HSS 用於根據S-CSCF發來的鑑權向量請求，向UE的歸屬設備發送用於獲取鑑權向量 的請求消息，將UE的歸屬設備返回的鑑權向量發送給S-CSCF ；UE的歸屬設備用於根據HSS發來的用於獲取鑑權向量的請求消息，為UE分配SQN，並 基於該SQN生成相應的鑑權向量，將該鑑權向量發送給HSS。
13.根據權利要求
12所述的系統，其特徵在於，所述UE的歸屬設備為UE當前歸屬的歸 屬位置寄存器HLR/鑑權中心AUC。
專利摘要

文檔編號H04L9/32GKCN101053203 B發布類型授權 專利申請號CN 200680001095
公開日2010年9月8日 申請日期2006年5月31日
發明者Zhu Dongming, Xie Hong, Wang Jincheng, Gu Jiongjiong 申請人:Huawei Tech Co Ltd導出引文BiBTeX, EndNote, RefMan