技術領域

本發明涉及對移動終端的鑒權技術，更確切地說是涉及一種在因特網多媒體(IM)域對終端用戶標識模塊進行鑒權的方法及系統。

背景技術

隨著多媒體業務的發展，目前已出現了針對移動終端的多媒體業務。目前為移動終端提供多媒體業務的IP多媒體子系統(IMS)的架構如圖1所示，IMS起初是在第三代網絡(3G)已有的分組交換(PS)域之外疊加的一個子域，這個子域專門用于支持IP多媒體(IM)業務。在條件成熟的情況下，IMS也可服務于以無線局域網(WLAN)或其它方式的IP連通性接入網(IP-CAN)接入的用戶。

如圖1所示，IMS主要由呼叫會話控制功能(CSCF)實體、媒體網關(MGW)、媒體資源功能控制器(MRFC)、媒體資源功能處理器(MRFP)、媒體網關控制功能(MGCF)、中斷網關控制功能(BGCF)、簽約定位器功能(SLF)、策略判決功能(PDF)等部件構成，在各個部件之間主要使用會話發起協議(SIP)傳輸控制信令。呼叫控制部件是IMS中的關鍵部件，主要完成呼叫控制、地址轉換、計費、隱蔽移動終端(UE)的移動性等功能；媒體網關部件則是為與現有公共交換電話網絡(PSTN)兼容而引入的。另外，IMS中的歸屬用戶服務器(HSS)是歸屬網絡中用于保存IMS用戶簽約信息的設備。

IMS的安全功能包括用戶在IMS的鑒權和SIP消息的保護。IMS的安全架構如圖2所示。其中，UE與歸屬網之間的鑒權及安全聯盟(SA，SecurityAssociation)協商采用IMS鑒權密鑰協議(AKA)雙向認證機制，SIP消息的加密和完整性保護采用的是逐跳處理方式。

具體來說，在IMS中，為實現對IP多媒體(IM)用戶的鑒權，第三代合作伙伴組織(3GPP)協議使用了專門的IMS用戶標識模塊(ISIM)作為用戶側的鑒權模塊，并使用了通用移動通信系統(UMTS)的AKA機制。IMS系統對用戶的鑒權處理過程如圖3所示，對應以下步驟：

步驟301：UE在需要使用IMS業務時，依次通過代理呼叫會話控制功能(P-CSCF)及查詢呼叫會話控制功能(I-CSCF)將注冊請求發送給服務呼叫會話控制功能(S-CSCF)。

步驟302：S-CSCF在收到注冊請求后，檢測自身是否存在針對該用戶的五元組鑒權向量(AV)，若存在，則直接利用該鑒權向量對用戶進行鑒權，即進入步驟304；若不存在，則向HSS請求AV，即進入步驟303。

這里，五元組AV包括：隨機數(RAND)、鑒權令牌(AUTN)、全球移動通信(GSM)網使用的加密密鑰(CK)、完整性密鑰(IK)及預期響應(XRES)。

步驟303：HSS收到S-CSCF發來的AV請求后，確定五元組AV，并發送給S-CSCF。

其中，HSS確定五元組AV，具體是由HSS自身內嵌的鑒權中心(AUC)來確定序列號(SQN)，并根據該SQN生成相應的鑒權向量。

當然，為提高效率，HSS一般會按順序向S-CSCF發送多組五元組AV，以便S-CSCF能夠通過一次請求獲取多組用于鑒權的五元組AV。

步驟304：S-CSCF保留自身保存的或HSS發送來的五元組AV中的XRES，將RAND、AUTN、CK及IK放在鑒權考驗(Auth_Challenge)消息中，并將該消息通過I-CSCF發送給P-CSCF。

如果HSS向S-CSCF發送多組五元組AV，則S-CSCF可以按順序選擇一組五元組AV，其它五元組AV則留在針對該用戶的下一次鑒權中使用。

步驟305：P-CSCF保留S-CSCF通過Auth_Challenge消息發送來的CK和IK，并將RAND和AUTN下發到UE。

如果系統啟動了一致性保護和保密性保護，則P-CSCF將在后續的會話中使用保存下來的IK和CK作為密鑰。

步驟306～307：UE將收到的RAND和AUTN發送到ISIM，ISIM對收到的AUTN進行驗證，并在驗證通過后根據RAND計算響應(RES)，然后將計算出的RES作為鑒權響應發送給UE，并由UE將該RES返回給S-CSCF，同時ISIM還根據RAND計算出IK和CK，并將IK和CK發送給UE。

ISIM對收到的AUTN進行驗證包括確定AUTN中包含的媒體接入控制(MAC)值是否合法，以及確定AUTN中的序列號SQN是否可接受。其中，ISIM對SQN是否可接受的驗證即為驗證是否需要再同步。