專利名稱:用于異構網絡的一次通過認證機制和系統(tǒng)的制作方法
技術領域:
本發(fā)明一般涉及認證領域,并且更特別地�,本發(fā)明涉及用于異構網絡的一次通過 (one-pass)認證機制和系統(tǒng)。
背景技術:
下一代通信網絡的特征在于由于對數據速率��、無線電覆蓋�、部署成本和多媒體服 務的多樣化需求,各種網絡體系結構共存��。3GPP(第三代合作伙伴項目)正積極制定在集成 的無線LAN(局域網)/UMTS(通用移動電信系統(tǒng))網絡中的漫游機制����。應當注意����,該場景僅 是一種特定的異構網絡����。IEEE 802. 16標準(WiMAX)是為無線城域網(無線MAN)指定的 新興寬帶無線接入系統(tǒng),其橋接最后一英里�、取代昂貴的電線并且還提供高速多媒體服務。 多媒體服務供應是下一代網絡的主要需求和動力之一�。為實現(xiàn)該目標,增加了 IP多媒體子 系統(tǒng)(IMS)����,作為提供例如語音電話、視頻會議�����、實時流式媒體����、交互式游戲和即時消息傳遞 這樣的多媒體服務的核心網絡部件。在會話起始協(xié)議(SIP)中指定和實現(xiàn)了多媒體會話管 理、初始化和終止�。WiMAX和IMS現(xiàn)在被用于全球市場。WiMAX支持通過IMS的因特網協(xié)議(IP)多媒 體服務���。運營商和供應商都對WiMAX移動臺(MS)如何接入IMS以及如何改進用戶體驗感 興趣��。由于通過WiMAX傳輸網來遞送IMS信息���,因此WiMAX MS必須在它能向IMS網絡注冊 之前激活WiMAX IP連接接入網絡(IP-CAN)會話。重要的技術挑戰(zhàn)是設計和實現(xiàn)跨這種 異構網絡的安全體系結構和協(xié)議�����,同時考慮網絡的性能和訂戶的體驗���。例如,網絡安全管理 的框架中的最重要的特征之一是訂戶能夠認證網絡并且網絡也能夠認證訂戶的相互認證 機制�。在相關的WiMAX論壇和3GPP規(guī)范中,在MS能夠接入MS服務之前��,在WiMAX網絡 級和IMS網絡級均實施認證�。例如,可以采用可擴展認證協(xié)議-認證和密鑰協(xié)定(EAP-AKA) 在WiMAX網絡級認證WiMAXMS��,而IMS-AKA是IMS級的認證方法,如圖1所示����。很明顯,這整 個認證過程包括兩個獨立的子過程����,即,在WiMAX IP-CAN級的認證子過程(參見圖1的上 面部分)和在IMS級的另一認證子過程(參見圖1的下面部分)��。出于簡化起見�,我們稱這 整個認證過程為“二次通過(two-pass)”認證過程。技術問題在于如何設計能夠在MS經 由WiMAX接入IMS時使用的一次通過WiMAX和IMS認證機制�����。當前沒有可用的任何已有的一次通過WiMAX和IMS認證機制��。Yi-Bing Lin等人 在 2005 年 6 月的"One-Pass GPRS and IMS Authentication Procedure for UMTS�,,��,IEEE Journal on selected areas in communications, vol. 23, no. 6, pp. 1233-1239 中提出了 一種一次通過認證過程����。然而��,該文僅涉及用于UMTS的一次通過GPRS和IMS認證過程�����,而 不能工作于WiMAX����。另外��,以上提案受到限制���,因為它沒有提出如何在MS與代理呼叫會話控 制功能(P-CSCF)之間建立安全關聯(lián)��,并且它沒有證明用戶正確認證了 IMS網絡����。另一方面��,用于WiMAX和IMS認證的現(xiàn)有解決方案是正常的“二次通過”認證過程����, 其比“一次通過”認證過程帶來更多的諸如注冊/認證業(yè)務量的網絡業(yè)務量��。
發(fā)明內容
本發(fā)明的目的是提供一種用于異構網絡的一次通過認證機制和系統(tǒng),具體地�,提 供一種能夠在MS經由WiMAX接入IMS時使用的一次通過認證機制。所提出的一次通過 WiMAX和IMS認證機制僅需要實施WiMAX認證����,因而能夠顯著減少IMS注冊/認證業(yè)務,改 善網絡性能�����,并且提升訂戶的體驗�����。在本發(fā)明的一個方面���,提供了一種用于異構網絡的一次通過認證機制��。該機制包 括響應于用戶向第一網絡注冊的請求��,基于認證密鑰和認證算法來認證所述用戶��,其中��, 所述認證密鑰和所述認證算法與用于所述第一網絡的第一用戶身份和用于第二網絡的第 二用戶身份相關聯(lián)�����;以及如果所述認證成功�,那么響應于所述用戶向所述第二網絡注冊的 請求,將通過所述用戶提供的第二用戶身份而從認證數據庫檢索的第一用戶身份與所述用 戶在所述認證中提供的第一用戶身份進行比較����,并且如果所檢索的第一用戶身份與所述用 戶提供的第一用戶身份相匹配,則在所述用戶與所述第二網絡之間建立安全關聯(lián)�。在本發(fā)明的另一方面,提供了一種用于異構網絡的一次通過認證系統(tǒng)�。該系統(tǒng)包 括認證數據庫,所述認證數據庫存儲用于第一網絡的第一用戶身份���、用于第二網絡的第二 用戶身份����,以及與第一和第二用戶身份相關聯(lián)的認證密鑰和認證算法���;第一認證服務器,所 述第一認證服務器適于響應于用戶向所述第一網絡注冊的請求�,基于所述認證密鑰和所述 認證算法來認證所述用戶;以及第二認證服務器���,所述第二認證服務器適于響應于所述用 戶向所述第二網絡注冊的請求�,將通過所述用戶提供的第二用戶身份而從所述認證數據庫 檢索的第一用戶身份與所述用戶在所述認證中提供的第一用戶身份進行比較,并且如果所 檢索的第一用戶身份與所述用戶提供的第一用戶身份相匹配���,則在所述用戶與所述第二網 絡之間建立安全關聯(lián)��。
在所附權利要求書中闡述了本發(fā)明的新穎特征�����。當結合附圖閱讀時�,通過參考以 下對優(yōu)選實施例的詳細描述����,將最好地理解本發(fā)明本身、進一步的目的和其優(yōu)勢����。在附圖 中圖1是示出了現(xiàn)有技術的二次通過WiMAX和IMS認證過程的示例性消息流圖;圖2示意性地示出了根據本發(fā)明實施例的一次通過認證機制的功能體系結構�;圖3是示出了根據本發(fā)明實施例的一次通過WiMAX和IMS認證過程的示例性消息 流圖;圖4是示出了根據本發(fā)明實施例的一次通過過程相對于二次通過過程的業(yè)務 量-成本節(jié)約的圖形表示���;以及圖5是示出了根據本發(fā)明實施例的一次通過認證機制的示意性流程圖�����。
具體實施例方式圖1是示出了現(xiàn)有技術的二次通過WiMAX和IMS認證過程的示例性消息流圖�。在 圖1中,如上所述�,在MS可以接入IMS服務之前,在WiMAX網絡級和IMS網絡級均實施認證����。 例如,在WiMAX網絡級���,采用EAP-AKA來實施對WiMAX MS的認證過程����。該認證過程包括初始網絡進入�、WiMAX接入網絡認證和IP-CAN會話建立過程,在圖1中由步驟101 125表示�, 并且將在下文關于圖3進一步討論。然而�����,在IMS網絡級����,MS需要通過諸如由步驟126 133所示出的IMS-AKA的另一認證過程來認證。由于在該“二次通過”認證過程中的一些步 驟是相同的��,因此本發(fā)明提出了一種只需要實施WiMAX認證的一次通過認證過程�。在IMS 級,認證是在IMS注冊中隱含實施的�����。與二次通過過程相比�,這種認證機制可以節(jié)約至少 25%并且高達50%的IMS注冊/認證網絡業(yè)務量,這將在圖4中解釋�。在本發(fā)明下,對于在WiMAX網絡級的WiMAX用戶認證���,MS應當支持如在標題為 "WiMAX Forum Network Architecture stage 3,Detailed Protocols and Procedures�,�����,的 WiMAX NWG規(guī)范中所指定的EAP-AKA或EAP-TTLS中的至少一種��。當使用EAP-AKA進行WiMAX 用戶認證時,MS 應當支持 2006 年 1 月在 IETF RFC4187 的 “Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP-AKA)" 中描述的認證過程���,并且訂戶憑證(SUBC)(其被用于認證WiMAX訂購)應當是按照RFC4187 中定義的在生成認證矢量中所使用的憑證���。另外,NWG規(guī)范指定SUBC的格式取決于部署����, 并且歸屬網絡和MS知道SUBC。然而�����,NWG規(guī)范沒有定義SUBC的格式�����。在本發(fā)明的上下文中�,假設EAP-AKA被用于WiMAX用戶認證,并且SUBC與IMS認 證中所使用的長期安全密鑰K相同�����。換言之��,WiMAX認證過程和IMS認證過程使用相同的 認證密鑰K和認證函數(其被用于生成認證矢量)。當WiMAX網絡和IMS網絡歸屬相同的 運營商或者WiMAX網絡運營商與IMS網絡運營商達成協(xié)定時��,該假設是合理的��?����;谶@些假設��,我們可以做出以下結論�����。第一��,在二次通過認證過程中���,首先在 WiMAX網絡級實施用戶認證,然后在IMS網絡級實施認證�。由于IMS-AKA被用于IMS認證并 且EAP-AKA方法被用于WiMAX認證,因此該“二次通過”認證過程中的大多數步驟是相同的���。 第二�,WiMAX認證過程和IMS認證過程使用相同的認證密鑰K和認證函數。因此�,當WiMAX 用戶已經在WiMAX網絡級被成功認證時,暗示了在WiMAX終端中的長期預先共享IMS安全 密鑰K與IMS網絡中的相應密鑰(其可以在歸屬訂戶服務器(HSS)中找到)相同���,即�����,在MS 與IMS網絡之間實現(xiàn)相互認證��。根據以上結論可以理解所提出的一次通過認證過程僅需要實施WiMAX認證�����。在 IMS級����,認證是在IMS注冊中被隱含實施的�。下文將正式證明所述一次通過過程在IMS級實 現(xiàn)了網絡和MS之間的相互認證。還將評估本發(fā)明節(jié)約了多少WiMAX/IMS認證業(yè)務量�。貫穿本說明書,“一個實施例”��、“實施例”或類似措辭意味著結合實施例所描述的 特定特征�����、結構或特性被包括在本發(fā)明的至少一個實施例中。因而��,貫穿本說明書出現(xiàn)的短 語“在一個實施例中”��、“在實施例中”以及類似措辭都可以但不一定必須指的是相同的實施 例?���,F(xiàn)在參照圖2�,其示意性地示出了根據本發(fā)明實施例的用于一次通過認證機制的 功能體系結構200。如圖2所示����,功能體系結構200可以包括各種相關功能實體和接口,諸 如用于WiMAX認證的增強型認證�����、授權和計費(AAA)服務器202����,以及用于IMS認證的問詢 /服務呼叫會話控制功能(I/S-CSCF)204。這種增強型AAA服務器202具有能夠從HSS 201 檢索諸如認證矢量的認證參數的基于Diameter (直徑)的接口�����。連接服務網絡(CSN)中的 AAA代理203代理了在接入服務網絡網關(ASN Gff) 207與WiMAX網絡中的增強型AAA服務 器202之間的認證消息。在IMS網絡中���,例如����,I/S-CSCF 204可以通過與HSS 201的Cx消息遞送來調用認證矢量分發(fā)過程����。歸屬代理(HA) 206和P-CSCF 205可以協(xié)助在ASNGW 207 與I/S-CSCF 204之間的通信。BS 208經由ASN Gff 207而促進了 MS 209與通信網絡之間 的交互�。在一個示例性實施例中,當WiMAX訂戶也是IMS訂戶�����,并且該訂戶使用相同的MS 接入WiMAX和IMS網絡時�,假設(I)EAP-AKA 被用于 WiMAX 用戶認證。(2)SUBC(其是在WiMAX用戶認證中使用的長期安全密鑰)與在IMS認證中使用的 長期預先共享安全密鑰K相同����,并且SUBC (K)被存儲在MS和HSS中。(3)除了認證密鑰K之外���,還在WiMAX與IMS認證級之間共享認證函數���。換言之���, WiMAX認證過程和IMS認證過程使用相同的認證函數和相同的認證密鑰K。(4)利用基于Diameter的接口增強了 AAA服務器����,以便從HSS檢索認證矢量。該 增強型AAA服務器可以是3GPP I-WLAN規(guī)范(TS 23. 234)中的3GPP AAA服務器的子集�����。 3GPP AAA服務器的Wx接口可被用于從HSS檢索認證矢量��。因此���,在本發(fā)明的解決方案中, 3GPP AAA服務器可被重用�。(5)當WiMAX用戶訂購了 IMS服務時,除了 IMPI值impi之夕卜����,IMS運營商還向用 戶分派IMSI值imsi�。換言之��,WiMAX MS具有IMSI值imsi和IMPI值impi����,并且HSS還存 儲了用于對應用戶/MS的imsi和impi。imsi被用于在WiMAX網絡認證級定位K值k���,而 impi被用于在IMS網絡認證級定位K值k���。如在假設(2)和(3)中所述,imsi和impi與 相同的K值k和認證函數相關聯(lián)�。在WiMAX MS中,imsi將被用于獲得外部身份/內部身 份(其被用于在WiMAX網絡級的基于EAP的認證中)��。(6)在本發(fā)明的方法中�,ASN GW可以實現(xiàn)可修改SIP消息的格式(將在圖3的步 驟326處予以詳述)的SIP應用級網關(ALG)。當WiMAX網絡和IMS網絡歸屬相同的運營商或者WiMAX網絡運營商與MS網絡運 營商達成協(xié)定時��,假設是合理的���。因而���,考慮圖2中的功能體系結構��,在網絡級���,MS 209由增強型AAA服務器202來 認證,增強型AAA服務器202可以基于MS的IMSI值imsi從HSS 201檢索認證矢量��。CSN 203中的AAA代理可以代理在ASN GW207與增強型AAA服務器202之間的認證消息��。在IMS 網絡級,MS 209由S-CSCF 204來認證��,S-CSCF 204可以基于MS的IMPI值impi從HSS201 檢索認證矢量��。如在假設(2)和(3)中所示����,HSS 201和WiMAX MS209共享與網絡分派給 MS 209的impi (其被用在IMS認證級)和imsi (其被用在WiMAX網絡認證級)相關聯(lián)的相 同的長期安全密鑰K和認證函數。在下文對本發(fā)明示例性實施例的詳細描述中����,將示出如何通過一次通過認證機制 在WiMAX網絡級和IMS網絡級都認證WiMAX MS?��,F(xiàn)在參照圖3��,根據本發(fā)明實施例示出了一次通過WiMAX和IMS認證過程的示例性 消息流圖�。該過程由兩部分組成,其中�����,WiMAX部分示出了在WiMAX網絡級的認證過程��,而 IMS部分示出了在IMS網絡級的認證過程����。應當注意,在該過程中�����,MS可能通過P-CSCF和 I-CSCF與S-CSCF進行交互��。為了簡化討論����,圖3使用術語“CSCF”來表示CSCF的代理、問 詢和服務功能�����。一旦完成對WiMAX無線鏈路接入的初始化,并且已在諸如MS 209的MS和諸如BS208的WiMAX BS之間成功建立了基本能力協(xié)商���,如步驟301所示��,BS便在步驟302中通知 諸如ASN Gff 207的ASN GW 新的MS進入網絡����。為了請求MS的身份��,ASN GW可以通過BS向MS發(fā)送EAP-請求/身份消息�����,如步驟 303和304所示��。然后����,如步驟305和306所示,MS通過BS向ASN GW發(fā)送回具有其外部身 份的 EAP-口向應/ 身份�,其符合在"WiMAX Forum Network Architecture stage 3, Detailed Protocols and Procedures”中指定的格式。外部身份含有在先前的認證中被分配給MS 的假名(pseudonym)����,或者在第一認證的情況中,外部身份含有IMSI值imsi���。外部身份的 用戶名字段符合3GPP TS 23. 003��,以便指示使用了 EAP-AKA認證方法�。外部身份的用戶名 字段可以是例如用于 EAP-AKA 認證的 “0<imsi>@WiMAX. mnc<MNC>. mcc<MCC>. 3gppnetwork. org����,,�����。在步驟307�,ASN GW分析MS提供的外部身份,并且為WiMAX MS存儲imsi��?�;谕?部身份的領域部分(realm part)和路由領域部分(routing realm part)�,通過一個或幾個 AAA代理向適當的增強型AAA服務器路由EAP-響應/身份消息。AAA代理可以遵照WiMAX 論壇中的"WiMAX End-to-End Network Systems Architecture, (Stage 3 :WiMAX-3GPP Interworking) ”來修改通過的消息���。增強型AAA服務器基于所接收到的外部身份來將訂戶標識為利用EAP-AKA認證的 候選人���,并且然后檢查它是否具有可用于該訂戶的未使用的認證矢量��,如步驟308中所描 述的�。如果增強型AAA服務器具有未使用的認證矢量�����,那么跳過步驟308����。如果沒有,則增 強型AAA服務器向諸如HSS 201的HSS發(fā)送基于Diameter的消息(帶有參數imsi)��。HSS 可以使用imsi來檢索MS的記錄(包括長期安全密鑰K值k和認證函數等)���,并且基于它們 而生成認證矢量的有序數組(例如�,RAND����、AUTN、XRES, IK���、CK)���。HSS可以向增強型AAA服 務器發(fā)送AV數組。在步驟309至314�,增強型AAA服務器通過使用EAP請求/AKA身份消息而再次請 求用戶身份。MS利用它在EAP響應身份消息中使用的相同身份(也被稱為內部身份)來進 行響應����。在步驟315中,如果沒有未使用的認證矢量可用于WiMAX訂戶���,則增強型AAA服務 器將按照步驟308從HSS檢索認證矢量(AV)的有序數組��。在步驟316至318����,增強型AAA服務器從有序AV數組中選擇下一未使用的認證矢 量��,并且根據CK���、IK和用戶身份來導出相關的私有信息�����,諸如主會話密鑰(MSK)����、擴展的主 會話密鑰(EMSK),等等����。例如,將在WiMAX網絡級使用MSK�、EMSK等來保護用戶數據信道。 然后�,增強型AAA服務器通過ASN GW和BS向MS發(fā)送EAP-請求/AKA-詢問消息。該消息 含有屬性中的參數�,所述參數是隨機數(AT_RAND)、網絡認證令牌(AT_AUTN)和消息認證碼 (AT_MAC)����。在收到EAP-請求/AKA-詢問消息時,MS基于WiMAX MS中的長期安全密鑰k和認 證函數來運行AKA算法����,并且驗證AT_AUTN。如果成功了�����,則MS應當生成認證矢量(RES�、 CK��、IK)�,并且導出TEK��、MSK和EMSK�����。然后���,MS驗證由增強型AAA服務器發(fā)送的AT_MAC值。 如果成功了��,則MS通過BS和ASN Gff向AAA服務器發(fā)送EAP響應/AKA-詢問消息�����,如步驟 319至321所述����。該消息含有AT_RES和AT_MAC。增強型AAA服務器驗證EAP響應/AKA-詢問分組中的AT_RES和AT_MAC是否正確���。如果成功���,則增強型AAA服務器向MS發(fā)送EAP-成功消息����,如步驟322至324中所描述的�。 與此同時,AAA服務器應當在該消息中包括MSK���。在成功完成了之前步驟處的基本接入認證過程后���,為了 MS能夠連接到IP網絡,MS 在步驟325實施WiMAX注冊過程����。然后,如果WiMAX用戶也是IMS訂戶���,則MS將在以下步 驟實施IMS注冊過程�。在步驟326�,在P-CSCF發(fā)現(xiàn)過程之后,MS通過BS向ASN Gff發(fā)送具有參數impi的 SIP REGISTER(注冊)消息����。應當注意��,在WiMAX基本接入認證過程之后��,ASN GW可以標識 發(fā)送數據分組的MS的IMSI (用戶身份)值imsi���。ASN GW檢索MS的IMSI值imsi,如圖3 中所示����。然后�����,ASN GW中的SIP ALG在SIP REGISTER消息中添加MS的IMSI值imsi�,并且 將它轉發(fā)到CSCF。CSCF然后在MS記錄中存儲(imsi�,impi)對。假設CSCF沒有用于MS的AV��。在步驟327���,CSCF通過向HSS發(fā)送連同參數impi 的Cx多媒體認證請求消息����,從而調用認證矢量分發(fā)過程。在步驟328���,HSS使用所接收到的 impi作為檢索MS的記錄(包括長期安全密鑰k和認證函數)的索引�,并且生成AV的有序 數組�����。HSS通過Cx多媒體認證應答消息來向CSCF發(fā)送AV數組��。如果CSCF已經具有AV數 組���,則跳過步驟327和328����。在步驟329�����,CSCF向HSS發(fā)送具有參數impi的Cx服務器分派請求消息�。HSS 使用所接收到的impi作為檢索MS的imsi的索引。從HSS檢索的IMSI值被標示為 IMSIhss (impi)����。在步驟330��,HSS存儲CSCF名稱并向CSCF發(fā)送Cx服務器分派應答(帶有 參數 IMSIhss (impi))���。在步驟331,CSCF 檢查(CSCF 在步驟 326 存儲的)IMSI 值 imsi 與 IMSIhss (impi)是 否相同���。如果相同�,則S-CSCF選擇下一未使用的AV并且向P-CSCF發(fā)送具有該AV的RAND�、 CK和IK參數的SIP 200 Ok消息,并且P-CSCF存儲CK和IK并移除它們�����,然后將SIP 200 OK消息的其余部分發(fā)送到MS��。如果imsi和IMSIhss (impi)不同����,那么暗示了注冊是非法的�����。 在接收2000K SIP消息時,MS基于k和所接收到的RAND來計算會話密鑰CK和IK����。然后, 基于IK來建立在MS與P-CSCF之間的安全關聯(lián)?��,F(xiàn)有的用于WiMAX和IMS認證的解決方案是如圖1所示的正?����!岸瓮ㄟ^”認證 過程�����,其比以上的“一次通過”認證過程帶來更多的網絡業(yè)務量�����。然而�,從圖1和圖3中可 知���,該“二次通過”認證過程中的一些步驟是相同的��。返回圖1�����,下面詳述二次通過WiMAX和 IMS過程的步驟���。圖1中的步驟SlOl至125與圖3中的步驟301至325是相同的���,其包括 初始網絡進入、WiMAX接入網絡認證和IP-CAN會話建立過程����。在P-CSCF發(fā)現(xiàn)過程之后,MS在步驟126通過WiMAX IP-CAN向CSCF發(fā)送連同參 數impi的SIP REGISTER消息�。如果CSCF沒有用于MS的AV,則在步驟127,CSCF通過向 HSS發(fā)送連同參數impi的Cx多媒體認證請求消息來調用認證矢量分發(fā)過程�。然后,HSS使 用impi來檢索MS的記錄����,并且生成AV的有序數組����。在步驟128,HSS通過Cx多媒體認證 應答消息向CSCF發(fā)送AV數組��。如果CSCF已經具有AV數組,則跳過步驟127和128�����。在步驟129���,CSCF從有序AV數組中選擇下一未使用的認證矢量(包括RAND����、AUTN����、 XRES, IK、CK)����,并且通過SIP 401未授權消息向MS發(fā)送參數RAND和AUTN。MS檢查所接收 到的AUTN是否能被接受��。如果是����,則它產生響應RES,并且計算會話密鑰CK和IK����。然后����, MS與P-CSCF之間的安全關聯(lián)被建立��。接著在步驟130�,MS通過SIP REGISTER消息向CSCF發(fā)送回RES。CSCF將所接收到的RES與XRES進行比較�。如果它們匹配,那么成功完成認證和密 鑰協(xié)定交換�����。然后在步驟131���,CSCF向HSS發(fā)送Cx服務器分派請求消息����。在接收到服務器 分派請求時����,HSS在步驟132存儲CSCF名稱并且向CSCF回復Cx服務器分派應答消息�����。然 后在步驟133,CSCF通過IP-CAN向MS發(fā)送SIP 2000K消息��,并且IMS注冊過程完成�。表1比較了如圖3所示的一次通過認證過程中和如圖1所示的二次通過認證過程 中執(zhí)行的步驟。表 權利要求
一種用于異構網絡的一次通過認證機制�,其包括響應于用戶向第一網絡注冊的請求,基于認證密鑰和認證算法來認證所述用戶�����,其中���,所述認證密鑰和所述認證算法與用于所述第一網絡的第一用戶身份和用于第二網絡的第二用戶身份相關聯(lián)�����;以及�����,如果所述認證成功����,那么響應于所述用戶向所述第二網絡注冊的請求,將通過所述用戶提供的第二用戶身份而從認證數據庫檢索的第一用戶身份與所述用戶在所述認證中提供的第一用戶身份進行比較�����,并且如果所檢索的第一用戶身份與所述用戶提供的第一用戶身份相匹配��,則在所述用戶與所述第二網絡之間建立安全關聯(lián)�。
2.根據權利要求1的機制,其進一步包括攔截所述用戶向所述第二網絡注冊的請求�,其中,所述請求含有所述用戶提供的第二 用戶身份����;以及在轉發(fā)所述請求之前,通過添加所述用戶在所述認證中提供的第一用戶身份來修改所 述請求���。
3.根據權利要求1或2的機制���,其中,基于所述認證密鑰和所述認證算法來認證所述用 戶包括選擇用于所述用戶的第一認證參數�����;以及根據所述用戶與所述第一網絡之間的第一認證協(xié)定,基于所述第一認證參數來實施驗證���。
4.根據權利要求3的機制,其中��,所述第一認證協(xié)定與所述用戶和所述第二網絡之間 的第二認證協(xié)定共享所述認證密鑰和所述認證算法��。
5.根據權利要求3或4的機制����,其進一步包括在成功實施所述驗證之后,為所述用戶 實施對所述第一網絡的注冊過程�。
6.根據權利要求3至5中任何一項的機制,其進一步包括基于通過所述用戶提供的 第一用戶身份而從所述認證數據庫檢索的所述用戶的記錄�,生成所述第一認證參數,其中����, 所述用戶的記錄至少包括所述認證密鑰和所述認證算法。
7.根據權利要求4至6中任何一項的機制���,其中�,在所述用戶和所述第二網絡之間的所 述安全關聯(lián)是根據所述第二認證協(xié)定基于用于所述用戶的第二認證參數來建立的�。
8.根據權利要求7的機制,其進一步包括基于通過所述用戶提供的第二用戶身份而 從所述認證數據庫檢索的所述用戶的記錄�,生成所述第二認證參數���,其中,所述用戶的記錄 至少包括所述認證密鑰和所述認證算法�����。
9.根據權利要求1至8中任何一項的機制��,其中���,所述第一網絡是WiMAX網絡����,并且所 述第二網絡是IMS網絡�����。
10.一種用于異構網絡的一次通過認證系統(tǒng)����,其包括認證數據庫,所述認證數據庫存儲用于第一網絡的第一用戶身份�、用于第二網絡的第 二用戶身份,以及與第一和第二用戶身份相關聯(lián)的認證密鑰和認證算法;第一認證服務器��,所述第一認證服務器適于響應于用戶向所述第一網絡注冊的請求�����, 基于所述認證密鑰和所述認證算法來認證所述用戶�;以及第二認證服務器�����,所述第二認證服務器適于響應于所述用戶向所述第二網絡注冊的請求�����,將通過所述用戶提供的第二用戶身份而從所述認證數據庫檢索的第一用戶身份與所述 用戶在所述認證中提供的第一用戶身份進行比較���,并且如果所檢索的第一用戶身份與所述 用戶提供的第一用戶身份相匹配�����,則在所述用戶和所述第二網絡之間建立安全關聯(lián)�。
11.根據權利要求10的系統(tǒng)����,其進一步包括連接到第一和第二認證服務器的接入網 關����,其中��,所述接入網關適于攔截所述用戶向所述第二網絡注冊的請求���,其中�,所述請求含有所述用戶提供的第二 用戶身份����;以及在轉發(fā)所述請求之前,通過添加所述用戶在所述認證中提供的第一用戶身份來修改所 述請求�。
12.根據權利要求10或11的系統(tǒng),其中���,所述第一認證服務器進一步適于選擇用于所述用戶的第一認證參數���;以及根據所述用戶與所述第一網絡之間的第一認證協(xié)定,基于所述第一認證參數來實施驗證�����。
13.根據權利要求12的系統(tǒng),其中�����,所述第一認證協(xié)定與所述用戶和所述第二網絡之 間的第二認證協(xié)定共享所述認證密鑰和所述認證算法����。
14.根據權利要求12或13的系統(tǒng),其中��,所述第一認證服務器進一步適于在成功實 施了所述驗證之后��,為所述用戶實施對所述第一網絡的注冊過程��。
15.根據權利要求12至14中任何一項的系統(tǒng)���,其中,所述第一認證服務器進一步適于 訪問來自所述認證數據庫的第一認證參數���,并且所述認證數據庫進一步適于通過所述用戶提供的第一用戶身份來檢索所述用戶的記錄�,其中���,所述用戶的記錄至 少包括所述認證密鑰和所述認證算法�;以及基于所述用戶的記錄,生成所述第一認證參數�。
16.根據權利要求13至15中任何一項的系統(tǒng),其中���,所述第二認證服務器進一步適于 根據所述第二認證協(xié)定����,基于用于所述用戶的第二認證參數���,在所述用戶和所述第二網絡 之間建立所述安全關聯(lián)�����。
17.根據權利要求16的系統(tǒng)����,其中��,所述第二認證服務器進一步適于訪問來自所述認 證數據庫的所述第二認證參數�����,并且所述認證數據庫進一步適于通過所述用戶提供的第二用戶身份來檢索所述用戶的記錄�,其中�,所述用戶的記錄至 少包括所述認證密鑰和所述認證算法����;以及基于所述用戶的記錄,生成所述第二認證參數�����。
18.根據權利要求10至17中任何一項的系統(tǒng)�,其中,所述第一網絡是WiMAX網絡���,并且 所述第二網絡是IMS網絡����。全文摘要
提供了一種用于異構網絡的一次通過認證機制和系統(tǒng)����。所述機制包括響應于用戶向第一網絡注冊的請求����,基于認證密鑰和認證算法來認證所述用戶,其中�����,所述認證密鑰和所述認證算法與用于所述第一網絡的第一用戶身份和用于第二網絡的第二用戶身份相關聯(lián);以及如果所述認證成功�,那么響應于所述用戶向所述第二網絡注冊的請求,將通過所述用戶提供的第二用戶身份而從認證數據庫檢索的第一用戶身份與所述用戶在所述認證中提供的第一用戶身份進行比較�,并且如果所檢索的第一用戶身份與所述用戶提供的第一用戶身份相匹配,則在所述用戶和所述第二網絡之間建立安全關聯(lián)��。
文檔編號H04L9/32GK101946455SQ200880127055
公開日2011年1月12日 申請日期2008年2月21日 優(yōu)先權日2008年2月21日
發(fā)明者嚴學強, 雷正雄 申請人:上海貝爾股份有限公司