專利名稱:一種防止具有3g能力用戶使用過渡鑒權方式的方法
技術領域:
本發明涉及移動通信技術領域,特別是指,在用戶應用多媒體子系統(IMS)網絡時,一種防止具有3G能力的用戶使用過渡鑒權方式的方法。
背景技術:
隨著寬帶網絡的發展,移動通信不僅僅局限于傳統的話音通信,通過與呈現業務(presence)、消息、網頁(WEB)瀏覽、定位信息、推送業務(PUSH)以及文件共享等數據業務的結合,移動通信能夠實現音頻、視頻、圖片和文本等多種媒體類型的業務,以滿足用戶的多種需求。
例如,消息業務能夠提供即時消息、聊天室以及多媒體短消息的服務;視頻業務能夠提供娛樂、多媒體信息和日常交流等服務;電子商務業務能夠提供產品目錄、搜索引擎、購物車、訂單管理以及支付等服務;游戲業務能夠提供單人游戲和群組游戲等服務;定位業務能夠提供尋人、向導以及報警等服務;個人助理業務能夠提供地址本、日程表、書簽管理、文件存儲、事件提醒以及電子郵件等服務。
在多種應用的推動下,第三代移動通信標準化伙伴項目(3GPP)以及第三代移動通信標準化伙伴項目2(3GPP2)等組織都先后推出了基于IP的多媒體子系統(IMS)架構,其目的是在移動網絡中使用一種標準化的開放結構來實現多種多樣的多媒體應用,以給用戶提供更多的選擇和更豐富的感受。
IMS架構疊加在分組域網絡之上,該架構與鑒權相關的實體包括呼叫狀態控制功能(CSCF)實體和歸屬簽約用戶服務器(HSS)功能實體。
CSCF又可以分成服務CSCF(S-CSCF)、代理CSCF(P-CSCF)和查詢CSCF(I-CSCF)三個邏輯實體,該三個邏輯實體可能是不同的物理設備,也可能是同一個物理設備中不同的功能模塊。S-CSCF是IMS的業務控制中心,用于執行會話控制,維持會話狀態,管理用戶信息,產生計費信息等;P-CSCF是終端用戶接入IMS的接入點,用于完成用戶注冊,服務質量(QoS)控制和安全管理等;I-CSCF負責IMS域之間的互通,管理S-CSCF的分配,對外隱藏網絡拓撲結構和配置信息,并產生計費數據等。HSS是非常重要的用戶數據庫,用于支持各個網絡實體對呼叫和會話的處理。
由于基于IMS開發的業務非常豐富,所以出現了運營商在2G的網絡上使用IMS的需求。但在2G的網絡上是無法支持基于3G網絡的IMS的安全相關功能的,例如基于IMS層的接入認證等,因此,在現有技術中出現了為2G應用IMS業務的過渡鑒權方案,該方案為2G應用IMS業務提供一定的安全功能。
這樣,基于2G接入的用戶和基于3G接入的用戶都能夠接入并應用IMS中的業務,且基于2G和3G的接入IMS的方式相兼容,當基于2G的用戶需要接入IMS系統時,用戶側會有一個指示要求執行過渡鑒權方案,S-CSCF收到這個指示后,就會向HSS請求過渡鑒權方案的信息,以執行過渡鑒權方案的鑒權。雖然基于2G接入的用戶和基于3G接入的用戶都能夠接入并應用IMS中的業務,但基于3G的鑒權方式要比基于2G的鑒權方式嚴格許多,因而,對于網絡而言基于3G的鑒權方式更加安全。
雖然上述方法方便了2G用戶的接入,但有可能出現這種情況基于3G的用戶能夠執行完全的3G鑒權方案,但是該用戶可能想伺機盜取網絡業務,不愿意執行3G的完全鑒權,因此其在注冊請求時同樣指示S-CSCF要求執行基于2G的過渡鑒權方案,S-CSCF只是直接按照用戶的要求向HSS請求過渡鑒權方案的鑒權信息,而不做任何檢查,這時,HSS在收到S-CSCF的請求后,雖然發現該用戶是一個3G用戶但它認為用戶的手機可能是2G的手機因此會返回2G的過渡鑒權方案的信息給S-CSCF執行過渡鑒權方案。這樣就使3G的IMS網絡安全出現了一個漏洞,使具有完全3G能力的用戶避過了應有的鑒權過程,為以后的業務過程造成了安全隱患,例如用戶可以不進行空中接口的完整性保護,修改業務數據等等。
發明內容
有鑒于此,本發明的目的在于提供一種防止具有3G能力用戶使用過渡鑒權方式的方法,增加IMS系統的安全性。
為達到上述目的,本發明的技術方案是這樣實現的一種防止具有3G能力用戶使用過渡鑒權方式的方法,包括以下步驟歸屬簽約用戶服務器HSS接收到來自服務呼叫狀態控制功能實體S-CSCF的請求使用過渡鑒權方式的鑒權請求,且確定請求鑒權的為3G用戶后,判斷該3G用戶是否只能采用過渡鑒權方式進行鑒權,如果是,則繼續執行過渡鑒權方式的鑒權操作,否則,向S-CSCF發送鑒權失敗信息。
較佳地,所述來自S-CSCF的鑒權請求中包含有用戶永久身份標識;所述判斷的方法包括以下步驟a、HSS根據用戶的用戶永久身份標識獲取該用戶的公共身份標識IMPU或用戶的電話號碼MSISDN后,向呈現狀態服務器Presence Server發送包含IMPU或MSISDN的查詢該3G用戶設備能力信息的消息;b、HSS根據Presence服務器返回的用戶設備能力信息確定該3G用戶是否只能采用過渡鑒權方式進行鑒權。
較佳地,當保存用戶設備能力信息的設備能力信息服務器Capability Server與Presence服務器不是同一個服務器時,Presence服務器接收到來自HSS查詢用戶設備能力信息的消息后,該方法進一步包括Presence服務器向Capability服務器請求該3G用戶的用戶設備能力信息,且獲得Capability服務器的返回消息后,再將該返回消息發送給HSS,然后再執行步驟b。
較佳地,步驟b所述確定方法為如果Presence服務器的返回該3G用戶的設備能力為2G設備能力信息,或返回該設備能力信息為空,或返回未找到該3G用戶的設備能力信息,則HSS確定該3G用戶只能采用過渡鑒權方式進行鑒權。
較佳地,所述來自S-CSCF的鑒權請求中包含有用戶設備標識IMEI;所述判斷的方法包括以下步驟HSS向Capability服務器發送包含IMEI的查詢該3G用戶設備能力信息的消息;Capability服務器自身內保存的廠家/終端類型和設備能力的對應列表確定該3G用戶的終端是否是2G終端,并給HSS返回用戶設備能力信息;HSS根據Capability服務器返回的用戶設備能力信息確定該3G用戶是否只能采用過渡鑒權方式進行鑒權。
較佳地,所述確定方法為如果Capability服務器返回的用戶設備能力信息為2G設備能力信息,則確定該3G用戶只能采用過渡鑒權方式進行鑒權。
較佳地,所述來自S-CSCF的鑒權請求中包含有用戶設備標識IMEI;所述判斷的方法包括以下步驟HSS根據自身內保存的廠家/終端類型和設備能力的對應列表,確定該3G用戶的終端是否是2G終端,如果是,則確定該3G用戶只能采用過渡鑒權方式進行鑒權。
較佳地,所述HSS向S-CSCF發送鑒權失敗信息中包含失敗原因值,且該失敗原因值為不接受鑒權方式;所述S-CSCF接收到該失敗信息后,通知用戶鑒權失敗,且失敗原因值為不接受鑒權方式。
較佳地,所述HSS向S-CSCF發送鑒權失敗信息中包含失敗原因值和采用3G鑒權方式進行鑒權的信息,且該失敗原因值為不接受鑒權方式;S-CSCF接收到該信息后,直接使用3G的鑒權方案對該3G用戶進行鑒權,或者,通知用戶鑒權失敗,且失敗原因值為不接受鑒權方式。
較佳地,HSS接收到來自S-CSCF的請求使用過渡鑒權方式的鑒權請求后,進一步包括HSS首先判斷該請求中是否有代理呼叫狀態控制功能實體P-CSSF支持的能力信息,且該能力信息為僅支持2G用戶接入網絡,如果是,則接受該請求,并繼續執行過渡鑒權方式的鑒權操作,否則,繼續執行后續操作。
本發明由HSS接收到來自S-CSCF的請求使用過渡鑒權方式的鑒權請求,且確定請求鑒權的為3G用戶后,判斷該3G用戶是否只能采用過渡鑒權方式進行鑒權,如果是,則繼續執行過渡鑒權方式的鑒權操作,否則,向S-CSCF發送鑒權失敗信息,不允許該3G采用過渡鑒權方式進行鑒權。應用本發明,避免了具有完全3G安全能力的用戶應用過渡鑒權方案,同時避免了IMS系統出現安全漏洞,增加了IMS系統的安全性。
圖1所示為應用本發明實施例一的流程示意圖;圖2所示為應用本發明實施例二的流程示意圖。
具體實施例方式
為使本發明的技術方案更加清楚,下面結合附圖及具體實施例再對本發明做進一步地詳細說明。
圖1所示為應用本發明實施例一的流程示意圖。
步驟101,3G的用戶需要使用IMS業務時,在IMS域內發起登記請求信息,該登記請求信息經P-CSCF和I-CSCF轉發到S-CSCF,同時該登記請求消息中包含了請求使用過渡鑒權方案的指示。
步驟102,S-CSCF按照登記請求消息中的鑒權方案指示,向HSS發送鑒權請求,該鑒權請求中包含指示使用過渡鑒權方式的信息,同時還包含用戶永久身份標識(IMPI)。
步驟103,HSS接收到步驟102所述鑒權請求,且確定請求鑒權的為3G用戶后,根據用戶的IMPI獲取該用戶的公共身份標識(IMPU)或MSISDN,然后向呈現狀態服務器(Presence Server)發送包含IMPU或MSISDN的查詢該3G用戶設備能力信息的消息。
如果Presence服務器中保存有用戶設備能力信息,即Presence服務器與用于保存用戶設備能力信息的設備能力信息服務器(Capability Server)是同一個服務器,則從自身查詢該3G用戶的設備能力信息,然后直接執行步驟106,如果Presence服務器與Capability服務器不是同一個服務器則執行步驟104。
步驟104,Presence服務器向Capability服務器請求該3G用戶的用戶設備能力信息。
步驟105,Capability服務器向Presence服務器的返回包含用戶設備能力信息的消息。
步驟106,Presence服務器向HSS返回包含用戶設備能力信息的消息。
步驟107,HSS根據Presence服務器返回的信息確定該3G用戶是否只能采用過渡鑒權方式進行鑒權,如果是,則執行步驟110,否則執行步驟108。
上述HSS確定方法為如果Presence服務器的返回該3G用戶的設備能力為2G設備能力信息,或返回該設備能力信息為空,或返回未找到該3G用戶的設備能力信息,則HSS確定該3G用戶只能采用過渡鑒權方式進行鑒權。
步驟108,HSS向S-CSCF發送鑒權失敗信息,該失敗信息中包含失敗原因值,且該失敗原因值為不接受鑒權方式。
步驟109,S-CSCF接收到步驟108所述信息后,通知用戶鑒權失敗,且失敗原因值為不接受鑒權方式。
用戶收到失敗的通知后,可以重新發起注冊過程啟動3G的鑒權過程,以便能夠接入到業務中。
步驟110~步驟111,HSS給S-CSCF返回采用過渡鑒權方式時的鑒權信息,S-CSCF與UE之間進行互鑒權,并繼續執行后續操作。
為了HSS能夠進行更準確的判斷,P-CSCF將轉發給S-CSCF的登記請求信息中加入自己的能力信息,即在登記請求信息中指示出所經的P-CSCF是支持3G用戶接入IMS的能力還是僅支持2G用戶接入的能力,在HSS接收到來自S-CSCF的鑒權請求后,先判斷轉發的P-CSCF的能力信息,如果該P-CSCF是僅支持2G用戶接入的能力,就直接接受用戶的過渡鑒權方式的請求,并繼續執行該過渡鑒權方式的后續操作,否則再執行步驟103。
上述增加的判斷在P-CSCF不屬于同一個運營商的時候是很有用的。一個運營商可以保證自己的P-CSCF能夠同時支持2G和3G的IMS接入,這時在HSS就沒有必要做這個判斷,但當用戶處于漫游狀態使用其它運營商的P-CSCF接入時,該運營商就不能保證P-CSCF的能力了,所以這時需要對P-CSCF的能力進行判斷。
至此,應用上述流程避免了具有完全3G能力的用戶,即應用3G終端的3G用戶,使用過渡鑒權方案的可能。
圖2所示為應用本發明實施例二的流程示意圖。
步驟201,3G的用戶需要使用IMS業務時,在IMS域內發起登記請求信息,該登記請求信息經P-CSCF和I-CSCF轉發到S-CSCF,同時該登記請求消息中包含了請求使用過渡鑒權方案的指示,以及自身設備的國際移動設備識別碼(IMEI),在IMEI中包含有廠家/終端類型的信息。
步驟202,S-CSCF按照登記請求消息中的鑒權方案指示,向HSS發送鑒權請求,該鑒權請求中包含指示使用過渡鑒權方式的信息,同時還包含IMPI以及IMEI。
步驟203,HSS接收到步驟102所述鑒權請求,且確定請求鑒權的為3G用戶后,向設備能力信息服務器(Capability Server)發送查詢該3G用戶設備能力信息的消息,該消息中包含IMEI。該Capability服務器中存儲有廠家/終端類型和設備能力的對應列表。Capability服務器從接收到的IMEI信息中獲取廠家/終端類型,并根據自身的廠家/終端類型和設備能力的對應列表確定該用戶所用設備的設備能力信息。
步驟204,Capability服務器向HSS返回包含用戶設備能力信息的消息。
步驟205,HSS根據Capability服務器返回的信息確定該3G用戶是否只能采用過渡鑒權方式進行鑒權,如果是,則執行步驟208,否則執行步驟206。
上述HSS確定方法為如果Capability服務器返回的用戶設備能力信息為2G設備能力信息,則確定該3G用戶只能采用過渡鑒權方式進行鑒權。
步驟206,HSS向S-CSCF發送鑒權失敗信息,該失敗信息中包含失敗原因值,且該失敗原因值為不接受鑒權方式。
用戶收到失敗的通知后,可以重新發起注冊過程啟動3G的鑒權過程,以便能夠接入到業務中。
步驟207,S-CSCF接收到步驟206所述信息后,通知用戶鑒權失敗,且失敗原因值為不接受鑒權方式。
步驟208~步驟209,HSS給S-CSCF返回采用過渡鑒權方式時的鑒權信息,S-CSCF與UE之間進行互鑒權,并繼續執行后續操作。
針對上述實施例,如果網絡中沒有Capability服務器,也可以在HSS中預先配置廠家/終端類型和設備能力的對應列表,此時,HSS根據該預先設定的廠家/終端類型和設備能力的對應列表判斷該3G用戶的終端是否是2G的終端,如果是,則確定該3G用戶只能采用過渡鑒權方式進行鑒權。
為了HSS能夠進行更準確的判斷,P-CSCF將轉發給S-CSCF的登記請求信息中加入自己的能力信息,即在登記請求信息中指示出所經的P-CSCF是支持3G用戶接入IMS的能力還是僅支持2G用戶接入的能力,在HSS接收到來自S-CSCF的鑒權請求后,先判斷轉發的P-CSCF的能力信息,如果該P-CSCF是僅支持2G用戶接入的能力,就直接同意用戶的過渡鑒權方式的請求,并繼續執行該過渡鑒權方式的后續操作,否則再執行步驟203。
上述增加的判斷在P-CSCF不屬于同一個運營商的時候是很有用的。一個運營商可以保證自己的P-CSCF能夠同時支持2G和3G的IMS接入,這時在HSS就沒有必要做這個判斷,但當用戶處于漫游狀態使用其它運營商的P-CSCF接入時,該運營商就不能保證P-CSCF的能力了,所以這時需要對P-CSCF的能力進行判斷。
至此,應用上述流程同樣避免了具有完全3G能力的用戶,即應用3G終端的3G用戶,使用過渡鑒權方案的可能。
對于上述兩個流程中,如果HSS返回的失敗信息中還包括采用3G鑒權方式進行鑒權的信息,則S-CSCF接收到該信息后,可以直接使用3G的鑒權方案對該3G用戶進行鑒權,也可通知用戶鑒權失敗,且失敗原因值為不接受鑒權方式。
以上所述僅為本發明的較佳實施例而已,并不用以限制本發明,凡在本發明的精神和原則之內,所作的任何修改、等同替換、改進等,均應包含在本發明的保護范圍之內。
權利要求
1.一種防止具有3G能力用戶使用過渡鑒權方式的方法,其特征在于,該方法包括以下步驟歸屬簽約用戶服務器HSS接收到來自服務呼叫狀態控制功能實體S-CSCF的請求使用過渡鑒權方式的鑒權請求,且確定請求鑒權的為3G用戶后,判斷該3G用戶是否只能采用過渡鑒權方式進行鑒權,如果是,則繼續執行過渡鑒權方式的鑒權操作,否則,向S-CSCF發送鑒權失敗信息。
2.根據權利要求1所述的方法,其特征在于,所述來自S-CSCF的鑒權請求中包含有用戶永久身份標識;所述判斷的方法包括以下步驟a、HSS根據用戶的用戶永久身份標識獲取該用戶的公共身份標識IMPU或用戶的電話號碼MSISDN后,向呈現狀態服務器Presence Server發送包含IMPU或MSISDN的查詢該3G用戶設備能力信息的消息;b、HSS根據Presence服務器返回的用戶設備能力信息確定該3G用戶是否只能采用過渡鑒權方式進行鑒權。
3.根據權利要求2所述的方法,其特征在于,當保存用戶設備能力信息的設備能力信息服務器Capability Server與Presence服務器不是同一個服務器時,Presence服務器接收到來自HSS查詢用戶設備能力信息的消息后,該方法進一步包括Presence服務器向Capability服務器請求該3G用戶的用戶設備能力信息,且獲得Capability服務器的返回消息后,再將該返回消息發送給HSS,然后再執行步驟b。
4.根據權利要求2或3所述的方法,其特征在于,步驟b所述確定方法為如果Presence服務器的返回該3G用戶的設備能力為2G設備能力信息,或返回該設備能力信息為空,或返回未找到該3G用戶的設備能力信息,則HSS確定該3G用戶只能采用過渡鑒權方式進行鑒權。
5.根據權利要求1所述的方法,其特征在于,所述來自S-CSCF的鑒權請求中包含有用戶設備標識IMEI;所述判斷的方法包括以下步驟HSS向Capability服務器發送包含IMEI的查詢該3G用戶設備能力信息的消息;Capability服務器自身內保存的廠家/終端類型和設備能力的對應列表確定該3G用戶的終端是否是2G終端,并給HSS返回用戶設備能力信息;HSS根據Capability服務器返回的用戶設備能力信息確定該3G用戶是否只能采用過渡鑒權方式進行鑒權。
6.根據權利要求5所述的方法,其特征在于,所述確定方法為如果Capability服務器返回的用戶設備能力信息為2G設備能力信息,則確定該3G用戶只能采用過渡鑒權方式進行鑒權。
7.根據權利要求1所述的方法,其特征在于,所述來自S-CSCF的鑒權請求中包含有用戶設備標識IMEI;所述判斷的方法包括以下步驟HSS根據自身內保存的廠家/終端類型和設備能力的對應列表,確定該3G用戶的終端是否是2G終端,如果是,則確定該3G用戶只能采用過渡鑒權方式進行鑒權。
8.根據權利要求1所述的方法,其特征在于,所述HSS向S-CSCF發送鑒權失敗信息中包含失敗原因值,且該失敗原因值為不接受鑒權方式;所述S-CSCF接收到該失敗信息后,通知用戶鑒權失敗,且失敗原因值為不接受鑒權方式。
9.根據權利要求1所述的方法,其特征在于,所述HSS向S-CSCF發送鑒權失敗信息中包含失敗原因值和采用3G鑒權方式進行鑒權的信息,且該失敗原因值為不接受鑒權方式;S-CSCF接收到該信息后,直接使用3G的鑒權方案對該3G用戶進行鑒權,或者,通知用戶鑒權失敗,且失敗原因值為不接受鑒權方式。
10.根據權利要求1所述的方法,其特征在于,HSS接收到來自S-CSCF的請求使用過渡鑒權方式的鑒權請求后,進一步包括HSS首先判斷該請求中是否有代理呼叫狀態控制功能實體P-CSSF支持的能力信息,且該能力信息為僅支持2G用戶接入網絡,如果是,則接受該請求,并繼續執行過渡鑒權方式的鑒權操作,否則,繼續執行后續操作。
全文摘要
本發明提供了一種防止具有3G能力用戶使用過渡鑒權方式的方法,關鍵是,HSS接收到來自S-CSCF的請求使用過渡鑒權方式的鑒權請求,且確定請求鑒權的為3G用戶后,判斷該3G用戶是否只能采用過渡鑒權方式進行鑒權,如果是,則繼續執行過渡鑒權方式的鑒權操作,否則,向S-CSCF發送鑒權失敗信息,不允許該3G采用過渡鑒權方式進行鑒權。應用本發明,避免了具有完全3G安全能力的用戶應用過渡鑒權方案,同時避免了IMS系統出現安全漏洞,增加了IMS系統的安全性。
文檔編號H04W12/06GK1774123SQ200410090930
公開日2006年5月17日 申請日期2004年11月10日 優先權日2004年11月10日
發明者朱奮勤, 黃迎新 申請人:華為技術有限公司