技術領域

本發明涉及網絡安全技術，尤其涉及一種鑒權方法以及鑒權系統。

背景技術

在電子與通信技術的快速發展趨勢下，人們在分別通過固定網絡和移動網絡獲得良好的服務后，又提出了將上述兩種網絡相融合的需求。在這種形勢下，作為下一代網絡的核心技術的因特網協議(IP)多媒體子系統(IMS)應運而生。IMS能夠支持固定網絡和移動網絡用戶的接入，并使得固定網絡和移動網絡之間的界限淡化至消失。從用戶的角度而言，IMS使得利用用戶設備(UE)等終端來訪問、創建、消費和分享數字內容成為可能。

目前的第三代移動通信標準化伙伴項目(3GPP)協議和高級網絡中的電信因特網融合業務及協議(TISPAN)協議都明確規定了終端接入的鑒權方式。在3GPP協議中，可以通過IP多媒體子系統鑒權和密鑰協商(IMS-AKA)方式或早期IMS用戶(Early-IMS)方式進行鑒權和認證，并且通過會話發起協議(SIP)消息中是否攜帶有授權(Authorization)頭域來確定使用何種鑒權方式；在TISPAN協議中，可以通過IMS-AKA方式、超級文本傳輸協議摘要鑒權(HTTP?Digest)方式或網絡接入子系統綁定認證(NBA)方式進行鑒權和認證，并且在服務呼叫會話控制功能(S-CSCF)實體能夠識別的情況下，直接將鑒權方式指示給歸屬用戶服務器(HSS)，在S-CSCF實體無法識別的情況下，由HSS決定鑒權方式。可見，3GPP協議并未采納HTTP摘要鑒權方式和NBA方式，而TISPAN協議并未提及Early-IMS方式，并且每種鑒權方式相互獨立。當具有不同鑒權能力的呼叫會話控制功能(CSCF)實體與HSS混合組網時，由于無法將所有的鑒權方式進行融合，CSCF實體與HSS間無法正常互通，即S-CSCF實體可能無法支持HSS所指示的鑒權方式，從而無法對UE進行鑒權。因此，現有的鑒權方法無法融合多種鑒權方式，限制了混合組網的靈活性，網絡服務的質量較低，用戶體驗較差。

發明內容

為了解決現有技術中無法融合多種鑒權方式而導致無法對UE進行鑒權的問題，本發明提供一種鑒權方法，目的在于能夠融合多種鑒權方式。

并且，為了解決現有技術中無法融合多種鑒權方式而導致無法對UE進行鑒權的問題，本發明還提供一種鑒權系統，能夠融合多種鑒權方式。

一種鑒權方法，其包括：

A.UE發起注冊請求，呼叫會話控制功能CSCF實體確定建議鑒權方式并發送給歸屬用戶服務器HSS，HSS根據自身保存的用戶簽約鑒權方式以及接收到的建議鑒權方式，選定鑒權方式，并通知給CSCF實體；

B.CSCF實體根據HSS選定的鑒權方式確定所使用的鑒權方式，對UE進行鑒權，獲得本次鑒權結果。

其中，所述CSCF實體為服務呼叫會話功能S-CSCF實體，步驟A所述確定建議鑒權方式為：

S-CSCF實體根據預先設置的建議鑒權方式的確定邏輯以及預先設置的確定因素，確定建議鑒權方式，并為所確定的建議鑒權方式確定優選順序。

其中，所述確定因素包括：注冊請求是否攜帶授權頭域和/或鑒權算法的參數值和/或是否進行完整性保護。

其中，步驟A所述HSS選定鑒權方式為：

HSS將接收到的建議鑒權方式放入建議鑒權方式集，將自身保存的用戶簽約鑒權方式放入用戶簽約鑒權方式集，并獲取建議鑒權方式集和用戶簽約鑒權方式集的交集，將交集中的鑒權方式作為被選定的鑒權方式，并為所選定的鑒權方式確定優先級。

其中，所述將交集中的鑒權方式作為被選定的鑒權方式之前，進一步包括：

將當前能夠獲得鑒權參數的鑒權方式放入可獲得鑒權參數的鑒權方式集，對建議鑒權方式集和用戶簽約鑒權方式集的交集與所述可獲得鑒權參數的鑒權方式集取交集。

其中，所述能夠獲得鑒權參數的鑒權方式包括：超級文本傳輸協議摘要鑒權HTTP?Digest方式，和/或因特網協議多媒體子系統鑒權和密鑰協商IMS-AKA方式，和/或網絡接入子系統綁定認證NBA方式，和/或接收到通用分組無線業務網關支持節點GGSN上報的IP地址的早期因特網協議多媒體子系統IMS用戶Early-IMS方式。

其中，步驟A所述發送給HSS為：S-CSCF實體將優選順序最高的建議鑒權方式攜帶于多媒體鑒權請求MAR消息的鑒權算法項中，發送給HSS；

步驟A所述通知給CSCF實體為：HSS將優先級最高的被選定的鑒權方式攜帶于多媒體鑒權響應MAA消息的鑒權算法項中，發送給S-CSCF實體。