WO2006136106A1 - A method and system for authenticating user terminal - Google Patents

Description

对用户终端进行鉴权的方法及鉴权系统

技术领域

本发明涉及移动通信技术领域， 特别是指对直接接入应用业务实体 的 Early IMS终端进行鉴权的方法及鉴权系统。 发明背景

随着宽带网络的发展， 移动通信不仅仅局限于传统的话音通信， 通 过与呈现业务（presence )、 短消息、 网页 （ WEB )浏览、 定位信息、 推 送业务（PUSH ) 以及文件共享等数据业务的结合， 移动通信能够实现 音频、 视频、 图片和文本等多种媒体类型的业务， 以满足用户的多种需 求。

第三代移动通信标准化伙伴项目 ( 3GPP )以及第三代移动通信标准 化伙伴项目 2 ( 3GPP2 )等组织都先后推出了基于 IP 的多媒体子系统 ( IMS )架构， 其目的是在移动网络中使用一种标准化的开放结构来实 现多种多样的多媒体应用， 以给用户提供更多的选择和更丰富的感受。

IMS 架构叠加在分组域网络 ( PS-Domain )之上， 其与鉴权相关的 实体包括呼叫状态控制功能（ CSCF )实体和归属签约用户服务器（ HSS ) 功能实体。 CSCF又可以分成服务 CSCF( S-CSCF ) 代理 CSCF( P-CSCF ) 和查询 CSCF ( I-CSCF )三个逻辑实体， 该三个逻辑实体可以是不同的 物理设备， 也可以是同一个物理设备中不同的功能模块。 其中， S-CSCF 是 IMS的业务控制中心， 用于执行会话控制， 维持会话状态， 管理用户 信息， 产生计费信息等； P-CSCF是终端用户接入 IMS的接入点， 用于 完成用户注册， 服务 量（QoS )控制和安全管理等； I-CSCF负责 IMS 域之间的互通， 管理 S-CSCF的分配， 对外隐藏网络拓朴结构和配置信 息， 并产生计费数据等。 HSS是非常重要的用户数据库， 用于支持各个 网络实体对呼叫和会话的处理。

IMS在初始推出时， 即 R5 版本协议只考虑在第三代移动通信网络 中使用。 由于 IMS上的业务非常丰富， 所以出现了运营商在 2G的网络 上使用 IMS的需求。 但在 2G的网络上无法支持基于 3G网络的 IMS的 安全相关功能， 例如五元组鉴权 /网络认证等， 为解决 2G用户使用 IMS 网络面临的用户鉴权问题， 3GPP提出了一种过渡鉴权方案， 该方案为 2G上的 IMS业务提供一定的安全功能。 当用户支持 3G鉴权方案时， 再采用完整的基于 3G的鉴权方案对接入用户进行鉴权。 这样， 无论是 2G用户还是 3G用户， 都可以在鉴权通过后应用 IMS中的业务。 通常， 将完整的基于 3G的鉴权方案称为 Full 3GPP IMS鉴权方式，将过渡鉴权 方案称为 Early IMS的鉴权方式，并且将支持 Early IMS的终端称为 Early IMS终端。

对于任何一个 2G或 3G的 UE,其既可以使用基于 IMS的应用服务 器（AS )所提供的业务， 如使用 presence业务， 也可以对基于 IMS的 AS或 AS的代理（ AP )进行一些简单的管理操作， 如管理 AS或 AP上 的一些組列表 ( group list )信息等。

当 UE需要使用基于 IMS的 AS所提供的业务时， 其需要首先接入 3GPP分组域， 然后经过 IMS的鉴权后才能使用 AS所提供的业务。 此 时，对于 Early IMS的 UE, IMS将使用 Early IMS的鉴权方式进行鉴权； 对于 3G的 UE, IMS将使用 Full 3GPP IMS的鉴权方式进行鉴权。

当 UE需要对基于 IMS的 AS或通过 AP对 AS进行管理操作时，其 仍然要首先接入 3GPP分组域， 然后该 UE可通过 Ut接口直接接入 AS 或 AP, 因而 IMS不再对该 UE进行鉴权。 同时在现有的协议中规定， 该直接接入 AS或 AP的 UE采用通用鉴权框架（GAA )的方式鉴权后， 才能接入 AS或 AP。

但是， 现有的基于通用鉴权框架（GAA ) 的鉴权方式是针对 3G用 户终端的，其不支持对诸如 2G用户终端的 Early IMS终端的鉴权，这样， 必然会存在这样的情况： Early IMS终端不能接入或 Early IMS终端不需 鉴权就可直接接入。

如果不让 Early IMS终端接入， 不但使运营商损失很多业务， 还会 导致用户对运营商的满意度下降。

如果 Early IMS终端不需鉴权就可直接接入，显然无法保证 AS和整 个网络的安全。 发明内容

有鉴于此， 本发明的一个目的在于提供一种对用户终端进行鉴权的 方法， 以对直接接入应用业务实体的 Early IMS终端实现鉴权。

为达到上述目的， 本发明的技术方案是这样实现:

一种对用户终端进行鉴权的方法， 适用于直接接入应用业务实体的 Early IMS终端， 所述 Early IMS终端接入第三代 3G移动通信系统后获 取 IP地址， 该方法还包括以下步骤：

Early IMS终端向应用业务实体发起接入请求，该请求中包含用户身 份标识， 应用业务实体根据接收到的接入请求， 从归属网络服务器 HSS 获取由该 Early IMS终端的 IP地址及其用户身份标识构成的绑定信息， 并才艮据所述绑定信息与所述接入请求对所述 Early IMS终端进行鉴权。

较佳地， 根据所述绑定信息与所述接入请求对所述 Early IMS终端 进行鉴权的过程包括：

应用业务实体判断所述绑定信息中的 IP 地址与发起接入请求的 Early IMS终端的 IP地址是否相匹配， 如果匹配， 则该 Early IMS终端 通过鉴权， 否则该 Early IMS终端不能通过鉴权。

较佳地， 根据所述绑定信息与所述接入请求对所述 Early IMS终端 进行鉴权的过程包括：

应用业务实体判断获取到的该 Early IMS终端的 IP地址及其用户身 份标识的绑定信息， 与发起接入请求的 Early IMS终端的 IP地址及用户 身份标识是否相匹配， 如果匹配， 则该 Early IMS终端通过婆权， 否则 该 Early IMS终端不能通过鉴权。

较佳地， 当所述应用业务实体从 HSS获取由该 Early IMS终端的 IP 地址及其用户身份标识构成的绑定信息后， 还包括： 将所述绑定信息进 行保存。

较佳地， 所述 Early IMS终端发起的接入请求中还包括鉴权方式标 识，

所述鉴权方式标识为早期的通用鉴权框架鉴权方式时， 所述应用业 务实体通过执行用户身份初始检查验证的实体 BSF从 HSS获取该 Early IMS终端的 IP地址及其用户身份标识的绑定信息。

较佳地，所述应用业务实体通过 BSF从 HSS获取该 Early IMS终端 的 IP地址及其用户身份标识的绑定信息的过程包括以下步骤：

应用业务实体向 BSF发送请求鉴权信息的消息，该请求消息中包含 用户身份标识， BSF 接收到该请求后， 根据请求中的用户身份标识向 HSS请求该 Early IMS终端的 IP地址及其用户身份标识的绑定信息， 并 将得到的绑定信息直接返回给应用业务实体, 应用业务实体保存接收到 的绑定信息；

所述 BSF向 HSS请求绑定信息的消息中包含鉴权方案字段， 该鉴 权方案字段指示为 early IMS。

较佳地， 所述 BSF为早期的仅具备查询功能的 Early-BSF, 或支持 完全 3G功能且具备 Early-BSF功能的 BSF。

较佳地， 当所述应用业务实体通过 BSF向 HSS请求绑定信息时， 所述应用业务实体与已保存绑定信息的 HSS 属于相同或不同的归属网 络。

较佳地， 所述 Early IMS终端发起的接入请求中还包括鉴权方式标 识，

所述鉴权方式标识为直接鉴权方式时， 所述应用业务实体直接向 HSS发送绑定信息请求消息，接收并保存 HSS返回的该 Early IMS终端 的 IP地址及其用户身份标识的绑定信息。

较佳地，所述应用业务实体向 HSS发送的请求消息由用户数据请求 UDR消息承载，且该消息中的属性信息指明请求绑定信息； HSS给应用 业务实体返回的响应消息由用户数据应答 UDA消息承载， 且该消息中 的属性信息指明请求绑定信息。

较佳地， 当所述应用业务实体直接向 HSS请求绑定信息时， 所述应 用业务实体与已保存绑定信息的 HSS属于相同的归属网络。

较佳地， 所述 Early IMS终端向应用业务实体发起的接入请求由基 于 HTTP协议的请求消息 HTTP GET承载；

所述请求消息中的鉴权方式标识由 HTTP GET 中的用户代理 user agent字段承载。

较佳地， 所述接入请求中的用户身份标识为用户公共身份标识 IMPU;

所述应用业务实体从 HSS获取的该 Early IMS终端的 IP地址及其用 户身份标识的绑定信息为： 接入请求中所包含的 IMPU和该 Early IMS 终端的 IP地址的对应关系； 或发起接入请求的 Early IMS终端所拥有的 所有 IMPU和该 Early IMS终端的 IP地址的对应关系。 较佳地， 所述应用业务实体接收到接入请求之后， 进一步包括： 判断该应用业务实体中是否存在所述接入请求中的用户身份标识对 应的绑定信息， 如果是， 则获取该绑定信息， 并继续执行所述鉴权操作； 否则， 继续执行所述从 HSS获取绑定信息的操作。

较佳地，该方法进一步包括： Early IMS终端与应用业务实体之间建 立传输层安全 TLS隧道， 然后再执行所述 Early IMS终端向应用业务实 体发起接入请求的操作。

本发明的又一目的在于：提供一种对用户终端进行鉴权的鉴权系统， 以对直接接入应用业务实体的 Early IMS终端实现鉴权。

为达到上述目的， 本发明的鉴权系统包括： Early IMS终端、应用业 务实体和用户归属网络服务器 HSS, 其中，

Early IMS终端在接入第三代 3G移动通信系统后获取 IP地址， 该 终端用于向应用业务实体发起包含用户身份标识的接入请求;

应用业务实体用于接收来自于 Early IMS终端的接入请求，通知 HSS 提供 Early IMS终端的 IP地址及用户身份标识构成的绑定信息， 并根据 所述绑定信息与所述接入请求对所述 Early IMS终端进行鉴权；

HSS用于根据应用业务实体的通知， 将 Early IMS终端的 IP地址及 用户身份标识构成的绑定信息返回给应用业务实体。

较佳地， 所述 Early IMS终端包括：

链接建立模块， 用于向应用业务实体发起包含用户身份标识的接入 请求。

较佳地， 所述 Early IMS终端进一步包括：

业务通信模块， 用于接收来自于链接建立模块的关于通过鉴权的通 知， 并与应用业务实体进行业务通信。

较佳地， 所述应用业务实体包括： 接收请求模块和安全信息请求及 检查模块， 其中，

接收请求模块用于接收来自于 Early IMS终端的接入请求， 通知安 全信息请求及检查模块获取该终端的 IP地址及用户身份标识构成的绑 定信息， 接收来自于安全信息请求及检查模块的養权结果；

安全信息请求及检查模块用于根据接收请求模块的通知， 请求并接 收 HSS提供该终端的 IP地址及用户身份标识构成的绑定信息根据所获 取的该终端的 IP 地址及其用户身份标识的绑定信息与发起接入请求的 Early IMS终端的 IP地址及用户身份标识是否相匹配， 对该终端进行鉴 权， 并将鉴权结果发送给接收请求模块。

其中，所述安全信息请求及检查模块进一步用于对所述 HSS提供的 该终端的 IP地址及用户身份标识构成的绑定信息进行保存，并且在接收 到来自于 Early IMS终端的接入请求后判断自身是否存在该接入请求中 用户身份标识对应的绑定信息， 在存在该绑定信息的情况下, 直接进行 鉴权；在不存在该绑定信息的情况下，请求并接收 HSS提供的绑定信息。

较佳地， 所述业务应用实体进一步包括：

业务通信模块， 用于接收来自于接收请求模块的鉴权结果, 并在该 终端通过鉴权时， 与 Early IMS终端进行业务通信。

较佳地，所述 HSS包括： 安全绑定信息存储模块,用于保存由 Early IMS终端的 IP地址及其用户身份标识构成的绑定信息，根据来自于应用 业务实体的通知， 在自身查找 Early IMS对应的绑定信息， 并将查找到 的绑定信息返回给应用业务实体。

较佳地， 所述系统进一步包括：

具有 Early-BSF功能的 BSF, 用于接收来自于应用业务实体的关于 请求提供 Early IMS终端的 IP地址及用户身份标识构成的绑定信息的通 知， 将该通知转发给 HSS， 并且接收来自于 HSS的 Early IMS终端的 IP 地址及用户身份标识构成的绑定信息， 将该绑定信息转发给应用业务实 体。

较佳地，所述应用业务实体为应用服务器 AS或应用服务器代理 AP。 本发明的关键之处在于： 应用业务实体接收到来自 Early IMS终端 的包含用户身份标识的接入请求后， 根据接入请求中的用户身份标识， 从 HSS获取该 Early IMS终端的 IP地址及其用户身份标识的绑定信息； 之后， 应用业务实体根据所获取该 Early IMS终端的 IP地址及其用户身 份标识的绑定信息与接入请求对 Early IMS终端进行鉴权。应用本发明， 实现了对直接接入应用业务实体的 Early IMS终端进行鉴杈， 既保证了 合法的用户能够接入， 又保证了网絡的安全。 特别对于早期应用的基于 IMS的业务， 能够正常部署和运行。 附图简要说明

下面将通过参照附图详细描述本发明的示例性实施例 , 使本领域的 普通技术人员更清楚本发明的上述及其它特征和优点， 附图中：

图 1所示为应用本发明的实施例一的流程示意图；

图 2所示为应用本发明的实施例二的流程示意图；

图 3所示为应用本发明的一个实施例的鉴权系统的结构示意图； 图 4所示为应用本发明的又一实施例的鉴权系统的结构示意图。 实施本发明的方式

为使本发明的目的、 技术方案更加清楚明白， 以下参照附图并举实 施例， 对本发明做进一步的详细说明。

依据本发明思想的对用户终端进行鉴权的方法， 适用于直接接入应 用业务实体的 Early IMS终端， Early IMS终端在接入 3GPP网络后获取 IP地址， 该方法包括以下步骤：

Early IMS终端向应用业务实体发起接入请求，该请求中包含用户身 份标识， 应用业务实体根据接收到的接入请求， 从 HSS获取由该 Early IMS终端的 IP地址及其用户身份标识构成的绑定信息，并根据所述绑定 信息与所述接入请求对所述 Early IMS终端进行鉴权。

下面以 Early IMS终端为 2G用户终端为例，对本发明的方法进行详 细说明。

图 1所示为应用本发明的实施例一的流程示意图。 在本实施例中， 2G 的 UE已接入到 3GPP分組域， 并获得分組网络的分組网络网关节 点（ GGSN )为其分配的 IP地址， 同时 GGSN将该 UE的用户的电话号 码（MSISDN )、 分组域的国际移动用户身份标识（IMSI )及 IP地址等 相关信息发送给 HSS, HSS通过用户的 MSISDN或 IMSI查找到用户在 IMS系统中的用户身份标识 IMPI, 并将该 UE的 IMPI、 该 IMPI所对应 的用户的公共身份标识 ( IMPU )、 MSISD 以及该 UE的 IP地址等信息 进行绑定保存。 本实施例以 2G的 UE接入 AS为例进行说明。

步骤 101 , 2G的 UE向 AS发起接入请求， 该请求中包含该 UE 自 身的用户身份标识， 如 IMPU; 该请求消息中还包含自身所支持的鉴权 方式标识, 在现有基于 Http协议的 Ut接口， 可以利用 Http GET消息中 的用户代理（user agent )字段来承载该鉴权方式标识， 在本实施例中， 该 2G的 UE所支持的鉴权方式为早期应用 GAA的 Ut接口认证方式， 在此， 将该鉴权方式的标识记为早期的通用鉴权框架鉴权方式 ( Early-GAA-Ut ),那么该鉴权方式标识 Early-GAA-Ut将被添在 Http消 息中的 user agent字段中。

另外， 如果 UE仿冒其他 UE的身份， 则在接入请求中携带的用户 身份标识不是该 UE的用户身份标识。 此后， AS根据接收到的接入请求，确定请求消息中的鉴权方式标识 为 Early-GAA-Ut后， 判断自身是否存在接入请求中用户身份标识对应 的绑定信息， 如果是， 则从自身获取该绑定信息， 并继续执行步骤 106; 否则， 执行步骤 102， AS向执行用户身份初始检查验证的实体（BSF ) 发送请求鉴权信息的消息，该消息中包含用户身份标识。本步骤中的 BSF 可以为早期的仅具备查询功能的 Early-BSF，也可以是支持完全 3G功能 且具有 Earl y-BSF功能的 BSF。

由于在 3G GAA的执行过程中， AS向 BSF请求鉴权信息时， 需要 携带 BSF分配的用户会话标识（B-TID ), 而在 Early-GAA-Ut鉴权方式 中是不存在 BSF分配的 B-TID的， 因此对于支持完全 3G功能且具备 Early-BSF功能的 BSF,其接收到来自 AS的请求鉴权信息的消息后， 可 以通过判断该消息中携带的是 B-TID还是用户身份标识来区分是正常 3G GAA的鉴权方式还是 Early-GAA-Ut的鉴权鉴权方式。

步骤 103 , BSF收到 AS的请求鉴权信息的消息， 并确定该请求中 携带的是用户身份标识后 , 向 HSS请求该 UE的 IP地址及其用户身份 标识的绑定信息。 该请求信息中同样包含 UE的用户身份标识， 并且， 该向 HSS请求绑定信息的消息中包含鉴权方案字段，且该鉴权方案字段 中指示为 early IMS。

步骤 104, HSS根据接收到的请求信息中的用户身份标识，查询 BSF 所需的绑定信息， 并将该绑定信息返回给 BSF。

通常 UE所发接入请求中的用户身份标识为 IMPU, 因此， HSS查 询绑定信息的过程为： HSS通过收到的 IMPU查找与该 IMPU所对应的 IMPI,以及与该 IMPI所对应的 IP地址，所述返回的绑定信息是指 IMPU 与该 UE的 IP地址的对应关系。

如果发起接入请求的 UE所携带的用户身份标识是 IMPI或 IMSI， 则 HSS返回的绑定信息是 IMPI与 IP地址的绑定信息或 IMSI与 IP地址 的绑定信息， 或根据其所应用的网络系统的需要返回需要的 IMPI和 /或 IMPU与该用户终端 IP地址的绑定的信息。 也就是说， HSS所返回的绑 定信息是发起请求的 UE的用户身份标识与该 UE当前所拥有 IP地址的 对应信息。

步驟 105， BSF收到该绑定信息后， 不进行保存而是将该绑定信息 直接转发给 AS, 这样做的好处是当 AS再次向 BSF请求绑定信息时， BSF需要到 HSS去查询，从而保证了 BSF返回给 AS的信息总是最新的。

步骤 106， AS根据获取到的绑定信息与接入请求， 对 2G终端进行 鉴权。

这里鉴权的方法可以为： AS判断自身保存的该 UE的 IP地址及其 用户身份标识的绑定信息与该发起接入请求的 UE的 IP地址及用户身份 标识是否相匹配， 即是否完全相同， 如果匹配， 则该 2G的 UE通过鉴 权， 否则该 2G的 UE不能通过鉴权。 该鉴权方法也可以为： AS判断绑 定信息中的 IP地址与发起接入请求的 2G的 UE的 IP地址是否相匹配， 如果匹配， 则该 2G的 UE通过鉴权， 否则该 2G的 UE不能通过鉴权。

对于上述实施例， ^ UE的 IP地址改变或注销后， GGSN将通知 HSS更新该绑定信息或删除该绑定信息。而当 HSS所保存的绑定信息变 化后， HSS不需要通知 BSF， 因为通常在 IP地址变化或注销后， 基于 连接的应用层协议就会断开并在以后重新建立连接， AS 在连接断开后 将删除保存的绑定信息， 当 UE重新建立连接时， AS会重新向 BSF请 求绑定信息。

对于上述实施例， 接收到接入请求的 AS与已保存绑定信息的 HSS 可以属于同一归属网络， 也可以属于不同的归属网络。

图 2所示为应用本发明的实施例二的流程示意图。 在本实施例中， UE已接入到 3GPP分组域， 并获得 GGSN为其分配的 IP地址， 同时 GGSN将该 UE的 MSISDN、 IMSI及 IP地址等相关信息发送给 HSS, HSS通过用户的 MSISDN或 IMSI查找到用户在 IMS系统中的用户身份 标识 IMPI， 并将该 UE的 IMPI、 该 IMPI所对应的用户的公共身份标识 ( IMPU )、 MSISDN以及该 UE的 IP地址等信息进行绑定保存。 本实施 例以 2G的 UE接入 AS为例进行说明。

步驟 201 , 2G的 UE向 AS发起接入请求， 该请求中包含该 UE自 身的用户身份标识， 如 IMPU; 该请求的消息中还包含自身所支持的鉴 权方式标识， 在现有基于 Http协议的 Ut接口， 可以利用 Http GET消息 中的 user agent字段来承载该鉴权方式标识， 在本实施例中， 该 2G的 UE所支持的鉴权方式为应用 AS与 HSS之间 Sh接口的直接鉴权方式, 在此， 将该鉴权方式的标识记为直接鉴权方式 ( Ut-Sh- Authentication )， 那么该鉴权方式标识 Ut-Sh- Authentication将被添在 Http消息中的 user agent字段中。

之后， AS根据接收到的接入请求，确定请求消息中的鉴权方式标识 为 Ut-Sh-Authentication后， 判断自身是否存在接入请求中用户身份标识 对应的绑定信息， 如果是， 则从自身获取该绑定信息， 并继续执行步骤 204; 否则， 执行步骤 202, AS通过 Sh接口向 HSS发送请求该 UE的 IP地址及其用户身份标识绑定信息的消息。

AS向 HSS发出的请求消息中同样包含用户身份标识信息。 通常， AS 通过 Sh接口向 HSS 发送的请求消息由用户数据请求 （UDR, User-Data-Request ) 消息来承载， 且通过该请求消息中的属性信息 Avp ( Attribute- Value Pair )来描述请求用户的何种数据。 在本实施例中， 通 过增加要求绑定地址信息的 Avp属性， 来实现通过 Sh接口请求地址绑 定信息。 步骤 203， HSS根据接收到的请求信息中的用户身份标识， 查询 AS 所需的绑定信息， 并将该绑定信息直接返回给 AS。 通常， HSS在 Sh接 口中使用用户数据应答（ UDA, User-Data-Answer )消息作为 UDR消息 的响应消息。 在本实施例中， 由于是对请求绑定消息的响应， 因此该 UDA消息中也使用步骤 202中增加的 Avp属性信息。

通常 UE所发接入请求中的用户身份标识为 IMPU, 因此， HSS查 询绑定信息的过程为： HSS通过收到的 IMPU查找与该 IMPU所对应的 IMPI,以及与该 IMPI所对应的 IP地址，所述返回的绑定信息是指 IMPU 与该 UE的 IP地址的对应关系。

如果发起接入请求的 UE所携带的用户身份标识是 IMPI或 IMSI, 则 HSS返回的绑定信息是 IMPI与 IP地址的绑定信息或 IMSI与 IP地址 的绑定信息， 或根据其所应用的网络系统的需要返回需要的 IMPI和 /或 IMPU与该用户终端 IP地址的绑定的信息。 也就是说， HSS所返回的绑 定信息是发起请求的 UE的用户身份标识与该 UE当前所拥有 IP地址的 对应信息。

步骤 204, AS根据获取到的绑定信息与接入请求， 对 2G终端进行 鉴权。

这里鉴权的方法可以为: AS判断获取到的该 UE的 IP地址及其用 户身份标识的绑定信息与该发起接入请求的 UE的 IP地址及用户身份标 识是否相匹配， 即是否完全相同， 如果匹配， 则该 2G的 UE通过鉴权， 否则该 2G的 UE不能通过鉴权。 当然与具体实施例 1相同， AS也可以 仅根据绑定信息中的 IP地址与发起接入请求的 2G的 UE的 IP地址是否 相同进行鉴权。

对于上述实施例， 当 UE的 IP地址改变或注销后， GGSN将通知 HSS更新该绑定信息或删除该绑定信息。而当 HSS所保存的绑定信息变 化后， HSS不需要通知 AS, 因为通常在 IP地址变化或注销后， 基于连 接的应用层协议就会断开并在以后重新建立连接， AS 在连接断开后将 删除保存的绑定信息， 当 UE重新建立连接时， AS会重新向 HSS请求 绑定信息。

对于上述实施例， 接收到接入请求的 AS与已保存绑定信息的 HSS 必须属于同一归属网络。

以上所述实施例均是以 UE接入 AS为例进行说明的， 当然， 上述 所有实施例中的 AS均可以直接替换为 AP, 由该 AP代理 AS完成对接 入的 UE进行鉴权的操作， 且一个 AP的后面可以有一个或一个以上的 AS。 在此， 将所有类似 AS或 AP的实体称为应用业务实体。

再有， 众所周知， 用户的公共身份标识 IMPU与私有标识 IMPI对 应关系是多对一的关系， 因此针对上述两个实施例而言，在 HSS返回绑 定信息时， 也可以返回这个 IMPI所关联的所有 IMPU与该 UE的 IP地 址的绑定信息。 这样做的好处是， UE连接到 AS后， 其后面消息有可能 变化为使用其它的 IMPU, 因此 AS可以保存该 UE所有 IMPU与该 IP 地址的对应关系。 当上述实施例中的 AS被替换为 AP时， 这样的处理 尤为有用， 因为 AP后面可以有多个 AS， 且由 AP替这些 AS完成鉴权 功能， 则 UE向不同的 AS发出请求的时候使用的 IMPU很可能是不同 的， 这时， 如果 AP已经保存了该 UE所有 IMPU与该 UE的 IP地址的 对应关系， 则可以迅速准确的完成其代理的鉴权的操作， 而不必向 HSS 进行多次查询。 当然，应用业务实体也可以在接收到来自于 HSS的绑定 信息后， 不进行保存， 而是直接执行鉴权操作。

在上面两个实施例执行之前， UE和 AS可以先建立基于传输层保护 的传输层安全（ TLS Transport Layer Security )隧道， 由于 TLS就是一种 传输层保护协议， 因此在建立这个隧道后， 再执行上面两个实施例中描 述的基于应用层的认证过程， 可以使 UE和 AS之间的应用层通信得到 充分的安全保护。

以上所述实施例均是让网络侧来适应 UE,即让网络侧能够对 2G的 UE进行鉴权。 当然， 也可以让 UE来适应网络侧， 即让 2G的用户加载 一软件模块， 从而使得该 2G的 UE能够完全地支持 3G的功能， 也就是 使 2G的 UE能够支持 3G的鉴权方式。 这样， 网络侧可以仍然采用标准 的 3G的鉴权方式对该 UE进行鉴权。 该软件模块可以从网上下载， 也 可以从运营商处直接获得。

以上所迷实施例中的鉴权方式，既可以在 2G的 UE直接接入 AS时 应用， 也可以在该接入的 UE后续发送的消息中应用。

本发明还提供了能够对直接接入应用业务实体的 Early IMS终端实 现鉴权的鉴权系统。 图 3示出了鉴权系统的一个实施例。 参见图 3, 该 鉴权系统包括： Early IMS终端、应用业务实体和 HSS。其中， Early IMS 终端在接入 3G移动通信系统后获取 IP地址， 该终端用于向应用业务实 体发起包含用户身份标识的接入请求； 应用业务实体用于接收来自于 Early IMS终端的接入请求， 通知 HSS提供 Early IMS终端的 IP地址及 用户身份标识构成的绑定信息， 并根据所述绑定信息与所述接入请求对 所述 Early IMS终端进行鉴权； HSS用于根据应用业务实体的通知， 将 Early IMS终端的 IP地址及用户身份标识构成的绑定信息返回给应用业 务实体。

更加具体地说， 图 3中的 Early IMS终端包括链接建立模块， 用于 向应用业务实体发起包含用户身份标识的接入请求。 进一步， 该终端还 包括业务通信模块， 用于通过链接建立模块接收来自于应用业务实体的 关于通过鉴权的通知， 并与应用业务实体进行业务通信。

应用业务实体包括接收请求模块和安全信息请求及检查模块。 其中 接收请求模块用于接收来自于 Early IMS终端的接入请求， 通知安全信 息请求及检查模块获取该终端的 IP地址及用户身份标识构成的绑定信 息， 接收来自于安全信息请求及检查模块的鉴权结果； 安全信息请求及 检查模块用于根据接收请求模块的通知，请求并接收 HSS提供该终端的 IP地址及用户身份标识构成的绑定信息， 根据所获取的该终端的 IP地 址及其用户身份标识的绑定信息与接入请求， 对该终端进行鉴权， 并将 鉴权结果发送给接收请求模块。 另外， 安全信息请求及检查模块还能够 将 HSS提供的该终端的 IP地址及用户身份标识构成的绑定信息保存在 自身中， 并且在接收到来自于 Early IMS终端的接入请求后 , 判断自身 是否存在该接入请求中用户身份标识对应的绑定信息， 在存在该绑定信 息的情况下， 直接进行鉴权; 在不存在该绑定信息的情况下， 请求并接 收 HSS提供的绑定信息。

进一步， 业务应用实体还包括业务通信模块， 用于接收来自于接收 请求模块的鉴权结果， 并在该终端通过鉴权时， 与 Early IMS终端进行 业务通信。

HSS包括安全绑定信息存储模块， 用于保存由 Early IMS终端的 IP 地址及其用户身份标识构成的绑定信息, 根据来自于应用业务实体的通 知， 在自身查找 Early IMS对应的绑定信息， 并将查找到的绑定信息返 回给应用业务实体。

图 4示出了本发明中鉴权系统的又一实施例。 如图 4所示， 该实施 例中的鉴权系统与图 3的区别在于：增加了具有 Early-BSF功能的 BSF。 该 BSF用于接收来自于应用业务实体的关于请求提供 Early IMS终端的 IP地址及用户身份标识构成的绑定信息的通知， 将该通知转发给 HSS, 并且接收来自于 HSS的 Early IMS终端的 IP地址及用户身份标识构成的 绑定信息， 将该绑定信息转发给应用业务实体。 图 3和图 4所示的鉴权系统中， 上述 Early IMS终端和应用业务实 体中也可以不包括业务通信模块。

以上所述仅为本发明的较佳实施例而已， 并不用以限制本发明， 凡 在本发明的精神和原则之内， 所做的任何修改、 等同替换、 改进等， 均 应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种对用户终端进行鉴权的方法，适用于直接接入应用业务实体 的 Early IMS终端， 所述 Early IMS终端接入第三代 3G移动通信系统后 获取 IP地址， 该方法包括以下步骤:

Early IMS终端向应用业务实体发起接入请求，该请求中包含用户身 份标识， 应用业务实体根据接收到的接入请求， 从归属网络服务器 HSS 获取由该 Early IMS终端的 IP地址及其用户身份标识构成的绑定信息， 并根据所述绑定信息与所述接入请求对所述 Early IMS终端进行鉴权。

2、根据权利要求 1所述的方法， 其特征在于，根据所述绑定信息与 所述接入请求对所述 Early IMS终端进行鉴权的过程包括：

应用业务实体判断所述绑定信息中的 IP 地址与发起接入请求的 Early IMS终端的 IP地址是否相匹配， 如果匹配， 则该 Early IMS终端 通过鉴权， 否则该 Early IMS终端不能通过鉴权。

3、根据权利要求 1所述的方法， 其特征在于， 根据所述绑定信息与 所述接入请求对所述 Early IMS终端进行鉴权的过程包括：

应用业务实体判断获取到的该 Early IMS终端的 IP地址及其用户身 份标识的绑定信息， 与发起接入请求的 Early IMS终端的 IP地址及用户 身份标识是否相匹配， 如果匹配， 则该 Early IMS终端通过鉴权， 否则 该 Early IMS终端不能通过鉴权。

4、根据权利要求 2或 3所述的方法， 其特征在于， 当所述应用业务 实体从 HSS获取由该 Early IMS终端的 IP地址及其用户身份标识构成的 绑定信息后， 还包括： 将所述绑定信息进行保存。

5、 根据权利要求 1所述的方法， 其特征在于， 所述 Early IMS终端 发起的接入请求中还包括鉴权方式标识， 所述鉴权方式标识为早期的通用鉴权框架鉴权方式时， 所述应用业 务实体通过执行用户身份初始检查验证的实体 BSF从 HSS获取该 Early IMS终端的 IP地址及其用户身份标识的绑定信息。

6、根据权利要求 5所述的方法， 其特征在于， 所述应用业务实体通 过 BSF从 HSS获取该 Early IMS终端的 IP地址及其用户身份标识的绑 定信息的过程包括以下步骤：

应用业务实体向 BSF发送请求鉴权信息的消息，该请求消息中包含 用户终端的用户身份标识， BSF接收到该请求后， 根据请求中的用户终 端的用户身份标识向 HSS请求该 Early IMS终端的 IP地址及其用户身份 标识的绑定信息， 并将得到的绑定信息直接返回给应用业务实体， 应用 业务实体保存接收到的绑定信息；

所述 BSF向 HSS请求绑定信息的消息中包含鉴权方案字段， 该鉴 权方案字段指示为 early IMS。

7、 根据权利要求 6所述的方法， 其特征在于， 所述 BSF为早期的 仅具备查询功能的 Early-BSF, 或支持完全 3G功能且具备 Early-BSF功 能的 BSF。

8、根据权利要求 6所述的方法， 其特征在于， 所述应用业务实体与 已保存绑定信息的 HSS属于相同或不同的归属网络。

9、 根据权利要求 1所述的方法， 其特征在于， 所述 Early IMS终端 发起的接入请求中还包括鉴权方式标识，

所述鉴权方式标识为直接鉴权方式时， 所述应用业务实体直接向 HSS发送绑定信息请求消息，接收并保存 HSS返回的该 Early IMS终端 的 IP地址及其用户身份标识的绑定信息。

10、 根据权利要求 9所述的方法， 其特征在于， 所述应用业务实体 向 HSS发送的请求消息由用户数据请求 UDR消息承载， 且该消息中的 属性信息指明请求绑定信息； HSS给应用业务实体返回的响应消息由用 户数据应答 UDA消息承载，且该消息中的属性信息指明请求绑定信息。

11、 根据权利要求 9所述的方法， 其特征在于， 所述应用业务实体 与已保存绑定信息的 HSS属于相同的归属网络。

12、 根据权利要求 5或 9所述的方法， 其特征在于，

所述 Early IMS终端向应用业务实体发起的接入请求由基于 HTTP 协议的请求消息 HTTP GET承载；

所述请求消息中的鉴权方式标识由 HTTP GET 中的用户代理 user agent字段承载。

13、 根据权利要求 1所述的方法， 其特征在于， 所述接入请求中的 用户身份标识为用户公共身份标识 IMPU;

所述应用业务实体从 HSS获取的该 Early IMS终端的 IP地址及其用 户身份标识的绑定信息为： 接入请求中所包含的 IMPU和该 Early IMS 终端的 IP地址的对应关系； 或发起接入请求的 Early IMS终端所拥有的 所有 IMPU和该 Early IMS终端的 IP地址的对应关系。

14、 如权利要求 1所述的方法， 其特征在于， 所述应用业务实体接 收到接入请求之后， 进一步包括：

判断该应用业务实体中是否存在所述接入请求中的用户身份标识对 应的绑定信息， 如果是， 则获取该绑定信息， 并继续执行所述鉴权操作； 否则， 继续执行所述从 HSS获取绑定信息的操作。

15、根据权利要求 1所述的方法， 其特征在于， 该方法进一步包括： Early IMS终端与应用业务实体之间建立传输层安全 TLS隧道， 然后再 执行所述 Early IMS终端向应用业务实体发起接入请求的操作。

16、 一种对用户进行鉴权的鉴权系统, 其特征在于， 该系统包括： Early IMS终端、 应用业务实体和用户归属网络服务器 HSS, 其中， Early IMS终端在接入第三代 3G移动通信系统后获取 IP地址， 该 终端用于向应用业务实体发起包含用户身份标识的接入请求；

应用业务实体用于接收来自于 Early IMS终端的接入请求，通知 HSS 提供 Early IMS终端的 IP地址及用户身份标识构成的绑定信息， 并根据 所述绑定信息与所述接入请求对所述 Early IMS终端进行鉴权；

HSS用于^^据应用业务实体的通知， 将 Early IMS终端的 IP地址及 用户身份标识构成的绑定信息返回给应用业务实体。

17、 如权利要求 16所述的系统， 其特征在于， 所述 Early IMS终端 包括：

链接建立模块， 用于向应用业务实体发起包含用户身份标识的接入 请求。

18、 如权利要求 17所述的系统， 其特征在于， 所述 Early IMS终端 进一步包括：

业务通信模块， 用于通过所述链接建立模块接收来自于应用业务实 体的关于通过鉴权的通知， 并与应用业务实体进行业务通信。

19、 如权利要求 16所述的系统， 其特征在于， 所述应用业务实体包 括： 接收清求模块和安全信息请求及检查模块， 其中，

接收请求模块用于接收来自于 Early IMS终端的接入请求， 通知安 全信息请求及检查模块获取该终端的 IP地址及用户身份标识构成的绑 定信息， 接收来自于安全信息请求及检查模块的鉴权结果；

安全信息请求及检查模块用于根据接收请求模块的通知， 请求并接 收 HSS提供的该终端的 IP地址及用户身份标识构成的绑定信息， 根据 所获取的该终端的 IP地址及其用户身份标识的绑定信息与接入请求，对 该终端进行鉴权， 并将鉴权结果发送给接收请求模块。

20、如权利要求 19所述的系统， 其特征在于， 所述安全信息请求及 检查模块进一步用于对所述 HSS提供的该终端的 IP地址及用户身份标 识构成的绑定信息进行保存， 并且在接收到来自于 Early IMS终端的接 入请求后判断自身是否存在该接入请求中用户身份标识对应的绑定信 息， 在存在该绑定信息的情况下， 直接进行鉴权； 在不存在该绑定信息 的情况下， 请求并接收 HSS提供的绑定信息。

21、如权利要求 19所述的系统， 其特征在于， 所述业务应用实体进 一步包括：

业务通信模块， 用于接收来自于接收请求模块的鉴权结果， 并在该 终端通过鉴权时， 与 Early IMS终端进行业务通信。

22、 如权利要求 16所述的系统， 其特征在于， 所述 HSS包括： 安 全绑定信息存储模块， 用于保存由 Early IMS终端的 IP地址及其用户身 份标识构成的绑定信息， 根据来自于应用业务实体的通知， 在自身查找 Early IMS对应的绑定信息, 并将查找到的绑定信息返回给应用业务实 体。

23、 如权利要求 16至 22任意一项所述的系统， 其特征在于， 所述 系统进一步包括：

具有 Early-BSF功能的 BSF, 用于接收来自于应用业务实体的关于 请求提供 Early IMS终端的 IP地址及用户身份标识构成的绑定信息的通 知， 将该通知转发给 HSS, 并且接收来自于 HSS的 Early IMS终端的 IP 地址及用户身份标识构成的绑定信息， 将该绑定信息转发给应用业务实 体。

24、根据权利要求 16所述的方法， 其特征在于， 所述应用业务实体 为应用服务器 AS或应用服务器代理 AP。