專利名稱:一種身份認(rèn)證方法��、裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�,尤其涉及一種身份認(rèn)證方法��、裝置和系統(tǒng)�。
背景技術(shù):
隨著通信網(wǎng)絡(luò)的發(fā)展和多種通信業(yè)務(wù)的推動,3GPP (3rd GenerationPartnership Project,第三代移動通信標(biāo)準(zhǔn)化伙伴組織)推出了 IMS (IPMultimedia Subsystem, 互聯(lián)網(wǎng)協(xié)議多媒體子系統(tǒng))架構(gòu)�,能夠提供一種標(biāo)準(zhǔn)化的開放結(jié)構(gòu)來實(shí)現(xiàn)多種多樣的 IPdnternet Protocol�,互聯(lián)網(wǎng)協(xié)議)多媒體應(yīng)用�,提供更豐富的業(yè)務(wù)感受。3GPP 還引入了 ISIM(IMS Subscriber Identity Module�����,互聯(lián)網(wǎng)協(xié)議多媒體子系 統(tǒng))用于IMS的接入�,其具體實(shí)體包括CSCF(Call Session ControlFunction,呼叫狀態(tài)控 制功能)和HSS (Home Subscriber Server�,歸屬簽約用戶服務(wù)器)功能實(shí)體,其中���,CSCF 包括服務(wù)CSCF (S-CSCF)����、代理CSCF (P-CSCF)和查詢CSCF (I-CSCF) 3個邏輯實(shí)體���,上述邏輯 實(shí)體可以位于不同的物理設(shè)備上�����,也可以是同一個物理設(shè)備中不同的功能模塊�。S-CSCF是 IMS的業(yè)務(wù)交換中心,用于執(zhí)行會話控制�����、維持會話狀態(tài)�����、管理用戶信息和產(chǎn)生計(jì)費(fèi)信息等��; P-CSCF是終端用戶接入IMS的接入點(diǎn)�,用于完成用戶注冊、QoS(Quality of krvice����,服務(wù) 質(zhì)量)控制和安全管理等;I-CSCF負(fù)責(zé)IMS域之間的協(xié)同和管理���、S-CSCF的分配�、對外隱藏 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和配置信息�����,以及產(chǎn)生計(jì)費(fèi)數(shù)據(jù)等����。HSS (Home Subscriber Server,歸屬簽約 用戶服務(wù)器)保存用戶簽約數(shù)據(jù)����,用于支持網(wǎng)絡(luò)實(shí)體對呼叫和會話的處理,ISIM的數(shù)據(jù)存 儲在HSS中�。由于IMS的引入,越來越多的業(yè)務(wù)平臺承載在IMS上�,利用IMS的特點(diǎn)提供呼 叫、視頻會議等豐富的業(yè)務(wù)��。在IMS業(yè)務(wù)中�����,UE (User Equipment)必需通過SIP (Session Initiation Protocol���,會話發(fā)起協(xié)議)消息與業(yè)務(wù)平臺AS (Application Server�,應(yīng)用服 務(wù)器)交互�,但UE在與AS交互的過程中還需要與非IMS域的服務(wù)器進(jìn)行交互。例如�����,IMS 企業(yè)通信助理客戶端在登錄IMS后,還需要訪問群組管理服務(wù)器(XDMQ獲得用戶的群組信 息�����,而 XDMS 只能使用 XCAP (XML Configuration Access Protocol���,XML 配置接入?yún)f(xié)議)�、以 HTTP (Hypertext Transfer Protocol�,超文本傳輸協(xié)議)1. 1承載與終端(客戶端)直接 交互,通信過程無法經(jīng)過IMS Core(IP Multimedia Subsystem Core����,互聯(lián)網(wǎng)協(xié)議多媒體子 系統(tǒng)核心網(wǎng)),XDMS服務(wù)器必須首先對用戶身份進(jìn)行確認(rèn)���,然后才能發(fā)起XML(Extensible Markup Language��,可擴(kuò)展標(biāo)記語言)文檔操作����。此外���,IMS客戶端在登錄IMS后��,還需要訪 問自服務(wù)門戶網(wǎng)站�,而訪問門戶網(wǎng)站也需要使用HTTP協(xié)議與客戶端直接交互,交互過程不 經(jīng)過IMSCore����,服務(wù)器也必須首先對用戶身份進(jìn)行確認(rèn)�����,才能個性化的顯示����。發(fā)明人在實(shí)現(xiàn)本發(fā)明的過程中,發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下缺陷由于IMS域和非IMS域的鑒權(quán)機(jī)制是不一樣的��,例如���,在IMS域中主要采用IMS Digest (分類)和 IMS AKA (Authentication and Key Agreement�,認(rèn)證和密鑰協(xié)商)進(jìn) 行鑒權(quán)���,所有的鑒權(quán)消息用sip消息����;而非IMS應(yīng)用主要采用HTTP Digest、GBA(Generic Bootstrapping Architecture,通用弓|導(dǎo)架構(gòu))�、TLS (Transport Layer Security,安全傳輸層協(xié)議)等協(xié)議,協(xié)議的不同造成了應(yīng)用之間無法互通�;IMS域中用戶簽約和鑒權(quán)數(shù)據(jù)主 要存儲在IMS HSS中,HSS是核心網(wǎng)元��,其鑒權(quán)數(shù)據(jù)無法被第三方的非IMS域應(yīng)用訪問��,因 此第三方的非IMS域應(yīng)用也無法對用戶進(jìn)行認(rèn)證�,導(dǎo)致MS域應(yīng)用和非IMS域應(yīng)用無法共享 認(rèn)證狀態(tài),實(shí)現(xiàn)統(tǒng)一認(rèn)證���。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了一種身份認(rèn)證方法�、裝置和系統(tǒng)���,用于實(shí)現(xiàn)IMS應(yīng)用和非IMS 應(yīng)用之間的統(tǒng)一認(rèn)證和狀態(tài)同步�。本發(fā)明實(shí)施例提供了一種身份認(rèn)證方法��,包括以下步驟接收非互聯(lián)網(wǎng)協(xié)議多媒體子系統(tǒng)IMS域應(yīng)用服務(wù)器提交的用戶設(shè)備的身份標(biāo)識�, 根據(jù)所述身份標(biāo)識查詢是否存在所述身份標(biāo)識對應(yīng)的密鑰信息且所述密鑰信息在有效期 內(nèi);如果存在所述身份標(biāo)識對應(yīng)的密鑰信息且所述密鑰信息在有效期內(nèi)���,則查詢所述 用戶設(shè)備在IMS域是否為已注冊狀態(tài)�,如果查詢結(jié)果為是,則向所述非IMS域應(yīng)用服務(wù)器返 回所述密鑰信息和所述密鑰信息的有效期�����,使所述非IMS域應(yīng)用服務(wù)器使用所述密鑰信息 和所述密鑰信息的有效期與所述用戶設(shè)備進(jìn)行身份認(rèn)證��。優(yōu)選地��,所述接收非IMS域應(yīng)用服務(wù)器提交的用戶設(shè)備的身份標(biāo)識之前��,還包括接收來自用戶設(shè)備的會話發(fā)起協(xié)議SIP消息�����,獲取所述SIP消息中攜帶的注冊參 數(shù)�,所述注冊參數(shù)由所述用戶設(shè)備根據(jù)公用密鑰生成�����;使用自身保存的私有密鑰對所述獲取的注冊參數(shù)進(jìn)行解密�����,如果解密成功�,則保 存所述用戶設(shè)備的身份標(biāo)識對應(yīng)的密鑰信息���,向所述用戶設(shè)備返回注冊成功消息,使所述 用戶設(shè)備保存所述密鑰信息并根據(jù)所述密鑰信息訪問非IMS域應(yīng)用服務(wù)器�。優(yōu)選地,所述接收來自用戶設(shè)備的SIP消息之前��,還包括所述用戶設(shè)備執(zhí)行IMS鑒權(quán)流程�����,在IMS域進(jìn)行注冊�;當(dāng)用戶設(shè)備訪問非IMS域應(yīng)用時,檢查本地是否存在密鑰信息���,如果不存在���,則隨 機(jī)生成密鑰信息,并根據(jù)所述密鑰信息和公用密鑰生成注冊參數(shù)�,并通過SIP消息發(fā)送所 述注冊參數(shù)。優(yōu)選地�����,所述用戶設(shè)備根據(jù)密鑰信息和公用密鑰生成注冊參數(shù)之前,還包括生成公私鑰對��,保存所述公私鑰對中的私有密鑰�,并向所述用戶設(shè)備公開所述公 私鑰對中的公用密鑰。優(yōu)選地�,所述用戶設(shè)備根據(jù)密鑰信息訪問非IMS域應(yīng)用服務(wù)器,具體包括所述用戶設(shè)備向所述非IMS域應(yīng)用服務(wù)器發(fā)送訪問請求����,并接收所述非IMS域應(yīng) 用服務(wù)器返回的挑戰(zhàn)消息;所述用戶設(shè)備根據(jù)自身的身份標(biāo)識和所述密鑰信息向所述非IMS域應(yīng)用服務(wù)器 返回挑戰(zhàn)響應(yīng)消息���。優(yōu)選地,所述非IMS域應(yīng)用服務(wù)器使用密鑰信息和密鑰信息的有效期與用戶設(shè)備 進(jìn)行身份認(rèn)證�,具體包括所述非IMS域應(yīng)用服務(wù)器使用所述密鑰信息驗(yàn)證來自所述用戶設(shè)備的挑戰(zhàn)響應(yīng) 消息是否正確,如果正確���,則向所述用戶設(shè)備返回認(rèn)證成功消息�����;
所述用戶設(shè)備接收來自所述非IMS域應(yīng)用服務(wù)器的認(rèn)證成功消息��,驗(yàn)證所述認(rèn)證 成功消息中包含的認(rèn)證信息是否正確����,如果正確,則完成與所述非IMS域應(yīng)用服務(wù)器的雙 向認(rèn)證���,通過安全通道與所述非IMS域應(yīng)用服務(wù)器進(jìn)行交互����。本發(fā)明實(shí)施例還提供了一種認(rèn)證網(wǎng)關(guān)�����,包括接收模塊�,用于接收非IMS域應(yīng)用服務(wù)器提交的用戶設(shè)備的身份標(biāo)識;查詢模塊�����,用于根據(jù)所述接收模塊接收到的身份標(biāo)識查詢是否存在所述身份標(biāo)識 對應(yīng)的密鑰信息且所述密鑰信息在有效期內(nèi)���,在查詢到存在所述身份標(biāo)識對應(yīng)的密鑰信息 且所述密鑰信息在有效期內(nèi)時����,查詢所述用戶設(shè)備在IMS域是否為已注冊狀態(tài)�;發(fā)送模塊,用于在所述查詢模塊查詢到所述用戶設(shè)備在IMS域?yàn)橐炎誀顟B(tài)時, 向所述非IMS域應(yīng)用服務(wù)器返回所述密鑰信息和所述密鑰信息的有效期�����,使所述非IMS域 應(yīng)用服務(wù)器使用所述密鑰信息和所述密鑰信息的有效期與所述用戶設(shè)備進(jìn)行身份認(rèn)證�。優(yōu)選地,所述接收模塊�,還用于接收來自用戶設(shè)備的SIP消息,獲取所述SIP消息 中攜帶的注冊參數(shù)�,所述注冊參數(shù)由所述用戶設(shè)備根據(jù)公用密鑰生成;所述認(rèn)證網(wǎng)關(guān)����,還包括解密模塊,用于使用自身保存的私有密鑰對所述接收模塊獲取的注冊參數(shù)進(jìn)行解 密�����;所述發(fā)送模塊����,還用于在所述解密模塊解密成功時����,保存所述用戶設(shè)備的身份標(biāo) 識對應(yīng)的密鑰信息,向所述用戶設(shè)備返回注冊成功消息,使所述用戶設(shè)備保存所述密鑰信 息并根據(jù)所述密鑰信息訪問非IMS域應(yīng)用服務(wù)器�����。優(yōu)選地�,所述的認(rèn)證網(wǎng)關(guān),還包括生成模塊�,用于生成公私鑰對,保存所述公私鑰對中的私有密鑰���,供所述解密模塊 使用���,并向所述用戶設(shè)備公開所述公私鑰對中的公用密鑰。本發(fā)明實(shí)施例還提供了一種 身份認(rèn)證系統(tǒng)��,包括用戶設(shè)備�,用于向非IMS域應(yīng)用服務(wù)器發(fā)送訪問請求,并接收所述非IMS域應(yīng)用服 務(wù)器返回的挑戰(zhàn)消息����;根據(jù)自身的身份標(biāo)識和所述密鑰信息向所述非IMS域應(yīng)用服務(wù)器返 回挑戰(zhàn)響應(yīng)消息;非IMS域應(yīng)用服務(wù)器��,用于向認(rèn)證網(wǎng)關(guān)提交用戶設(shè)備的身份標(biāo)識����,接收來自所述 認(rèn)證網(wǎng)關(guān)的密鑰信息和所述密鑰信息的有效期����,使用所述密鑰信息和所述密鑰信息的有效 期與所述用戶設(shè)備進(jìn)行身份認(rèn)證�;認(rèn)證網(wǎng)關(guān),用于接收所述非IMS域應(yīng)用服務(wù)器提交的用戶設(shè)備的身份標(biāo)識���,根據(jù) 所述身份標(biāo)識查詢是否存在所述身份標(biāo)識對應(yīng)的密鑰信息且所述密鑰信息在有效期內(nèi)����;如 果存在所述身份標(biāo)識對應(yīng)的密鑰信息且所述密鑰信息在有效期內(nèi)����,則查詢所述用戶設(shè)備在 IMS域是否為已注冊狀態(tài),如果查詢結(jié)果為是��,則向所述非IMS域應(yīng)用服務(wù)器返回所述密鑰 信息和所述密鑰信息的有效期����。優(yōu)選地�,所述認(rèn)證網(wǎng)關(guān),還用于接收來自用戶設(shè)備的會話發(fā)起協(xié)議SIP消息��,獲取 所述SIP消息中攜帶的注冊參數(shù),所述注冊參數(shù)由所述用戶設(shè)備根據(jù)公用密鑰生成��;使用 自身保存的私有密鑰對所述獲取的注冊參數(shù)進(jìn)行解密�,如果解密成功,則保存所述用戶設(shè) 備的身份標(biāo)識對應(yīng)的密鑰信息����,向所述用戶設(shè)備返回注冊成功消息,使所述用戶設(shè)備保存 所述密鑰信息并根據(jù)所述密鑰信息訪問非IMS域應(yīng)用服務(wù)器���。
優(yōu)選地���,所述用戶設(shè)備,還用于執(zhí)行IMS鑒權(quán)流程�����,在IMS域進(jìn)行注冊���;當(dāng)訪問非 IMS域應(yīng)用時��,檢查本地是否存在密鑰信息�,如果不存在����,則隨機(jī)生成密鑰信息�,并根據(jù)所述 密鑰信息和公用密鑰生成注冊參數(shù)���,并通過SIP消息發(fā)送所述注冊參數(shù)�。與現(xiàn)有技術(shù)相比���,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)本發(fā)明實(shí)施例利用IMS的已有安 全機(jī)制���,為業(yè)務(wù)層提供安全服務(wù),增強(qiáng)了 UE與AS之間的安全性��,且不會成為系統(tǒng)的安全瓶 頸����;在密鑰信息的有效期內(nèi),不需要重復(fù)執(zhí)行注冊過程��,提高了業(yè)務(wù)執(zhí)行效率���。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對本發(fā)明實(shí)施 例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地����,下面描述中的附圖僅 僅是本發(fā)明的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動性的前提 下��,還可以根據(jù)這些附圖獲得其他的附圖�。圖1為本發(fā)明實(shí)施例中的一種身份認(rèn)證方法流程圖;圖2為本發(fā)明實(shí)施例應(yīng)用場景中的身份認(rèn)證流程圖���;圖3為本發(fā)明實(shí)施例應(yīng)用場景中的AUG注冊流程圖���;圖4為本發(fā)明實(shí)施例中的一種認(rèn)證網(wǎng)關(guān)結(jié)構(gòu)示意圖;圖5為本發(fā)明實(shí)施例中的一種身份認(rèn)證系統(tǒng)結(jié)構(gòu)示意圖�。
具體實(shí)施例方式本發(fā)明實(shí)施例提供的技術(shù)方案中,其核心思想為在系統(tǒng)中增加AUG(認(rèn)證網(wǎng)關(guān))網(wǎng) 元����,該AUG網(wǎng)元與IMS域的CSCF之間存在SIP接口,與非IMS域的AS之間存在HTTP接口���。 AUG網(wǎng)元接收非IMS域應(yīng)用服務(wù)器提交的用戶設(shè)備的身份標(biāo)識�����,根據(jù)所述身份標(biāo)識查詢是 否存在所述身份標(biāo)識對應(yīng)的密鑰信息且所述密鑰信息在有效期內(nèi)��;如果存在所述身份標(biāo)識 對應(yīng)的密鑰信息且所述密鑰信息在有效期內(nèi)����,則查詢所述用戶設(shè)備在IMS域是否為已注冊 狀態(tài),如果查詢結(jié)果為是����,則向所述非IMS域應(yīng)用服務(wù)器返回所述密鑰信息和所述密鑰信 息的有效期,使所述非IMS域應(yīng)用服務(wù)器使用所述密鑰信息和所述密鑰信息的有效期與所 述用戶設(shè)備進(jìn)行身份認(rèn)證�。下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例的技術(shù)方案進(jìn)行清楚���、完整 地描述�,顯然��,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例?;诒景l(fā) 明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施 例��,都屬于本發(fā)明保護(hù)的范圍�。如圖1所示��,為本發(fā)明實(shí)施例中的一種身份認(rèn)證方法流程圖�,包括以下步驟步驟101,接收非IMS域應(yīng)用服務(wù)器提交的用戶設(shè)備的身份標(biāo)識�����,根據(jù)所述身份標(biāo) 識查詢是否存在所述身份標(biāo)識對應(yīng)的密鑰信息且所述密鑰信息在有效期內(nèi)�����。如果存在所 述身份標(biāo)識對應(yīng)的密鑰信息且所述密鑰信息在有效期內(nèi)�,則執(zhí)行步驟103 ;否則�����,執(zhí)行步驟 102。具體地��,認(rèn)證網(wǎng)關(guān)預(yù)先生成公私鑰對����,保存該公私鑰對中的私有密鑰,并向用戶設(shè) 備公開公私鑰對中的公用密鑰�����。所述用戶設(shè)備執(zhí)行IMS鑒權(quán)流程��,在IMS域進(jìn)行注冊����;當(dāng)用戶設(shè)備訪問非IMS域應(yīng)用時,檢查本地是否存在密鑰信息�����,如果不存在����,則隨機(jī)生成密鑰信息,并根據(jù)所述密鑰信 息和公用密鑰生成注冊參數(shù)���,并通過SIP消息發(fā)送所述注冊參數(shù)��。認(rèn)證網(wǎng)關(guān)接收來自用戶設(shè)備的會話發(fā)起協(xié)議SIP消息���,獲取所述SIP消息中攜帶 的注冊參數(shù)�,所述注冊參數(shù)由所述用戶設(shè)備根據(jù)公用密鑰生成��;使用自身保存的私有密鑰 對所述獲取的注冊參數(shù)進(jìn)行解密�,如果解密成功�����,則保存所述用戶設(shè)備的身份標(biāo)識對應(yīng)的 密鑰信息��,向所述用戶設(shè)備返回注冊成功消息���,使所述用戶設(shè)備保存所述密鑰信息并根據(jù) 所述密鑰信息訪問非IMS域應(yīng)用服務(wù)器�����。上述用戶設(shè)備根據(jù)密鑰信息訪問非IMS域應(yīng)用服務(wù)器��,具體包括用戶設(shè)備向所 述非IMS域應(yīng)用服務(wù)器發(fā)送訪問請求����,并接收所述非IMS域應(yīng)用服務(wù)器返回的挑戰(zhàn)消息;用 戶設(shè)備根據(jù)自身的身份標(biāo)識和所述密鑰信息向所述非IMS域應(yīng)用服務(wù)器返回挑戰(zhàn)響應(yīng)消 肩�、ο步驟102,向非IMS域應(yīng)用服務(wù)器返回錯誤信息���。步驟103��,查詢所述用戶設(shè)備在IMS域是否為已注冊狀態(tài)��。如果查詢結(jié)果為是����,則執(zhí)行步驟104 ����;否則,執(zhí)行步驟102�����。步驟104��,向非IMS域應(yīng)用服務(wù)器返回密鑰信息和該密鑰信息的有效期�,使非IMS 域應(yīng)用服務(wù)器使用密鑰信息和該密鑰信息的有效期與用戶設(shè)備進(jìn)行身份認(rèn)證���。具體地,上述非IMS域應(yīng)用服務(wù)器使用密鑰信息和密鑰信息的有效期與用戶設(shè)備 進(jìn)行身份認(rèn)證���,具體包括非IMS域應(yīng)用服務(wù)器使用所述密鑰信息驗(yàn)證來自所述用戶設(shè)備 的挑戰(zhàn)響應(yīng)消息是否正確��,如果正確�,則向所述用戶設(shè)備返回認(rèn)證成功消息���;用戶設(shè)備接收 來自所述非IMS域應(yīng)用服務(wù)器的認(rèn)證成功消息��,驗(yàn)證所述認(rèn)證成功消息中包含的認(rèn)證信息 是否正確����,如果正確���,則完成與所述非IMS域應(yīng)用服務(wù)器的雙向認(rèn)證,通過安全通道與所述 非IMS域應(yīng)用服務(wù)器進(jìn)行交互��。本發(fā)明實(shí)施例利用IMS的已有安全機(jī)制����,為業(yè)務(wù)層提供安全服務(wù)����,增強(qiáng)了 UE與AS 之間的安全性����,且不會成為系統(tǒng)的安全瓶頸;在密鑰信息的有效期內(nèi)����,不需要重復(fù)執(zhí)行注冊 過程,提高了業(yè)務(wù)執(zhí)行效率�����。以下結(jié)合具體應(yīng)用場景對本發(fā)明實(shí)施例中的身份認(rèn)證方法進(jìn)行詳細(xì)的描述����。如圖2所示,為本發(fā)明實(shí)施例應(yīng)用場景中的身份認(rèn)證流程圖����,具體包括以下步驟步驟201,UE啟動非IMS客戶端訪問非IMS域應(yīng)用服務(wù)器AS2��,向AS2發(fā)送HTTP Request (請求)消息��。其中,非IMS域應(yīng)用服務(wù)器AS2可以為HTTP服務(wù)器��,HTTP Request消息不經(jīng)過IMS core����。步驟202,AS2發(fā)起HTTP Digest雙向認(rèn)證����,向UE返回挑戰(zhàn)信息。具體地����,AS2接收到HTTP Request消息后,要求對UE執(zhí)行HTTP Digest雙向認(rèn) 證���,返回401 unauthorized的HTTP Digest挑戰(zhàn)消息���,該挑戰(zhàn)消息中的WffW-Authenticate Header參數(shù)包含AS2對UE的挑戰(zhàn)信息��。步驟203��,UE向AS2返回挑戰(zhàn)響應(yīng)消息���。具體地���,UE以IMPU(IP Multimedia Public Identity��,互聯(lián)網(wǎng)協(xié)議多媒體公共標(biāo) 識)作為username(用戶名)�����,key (密鑰)作為password (密碼)計(jì)算response (響應(yīng))��,通 過HTTP request返回包含response的挑戰(zhàn)響應(yīng)消息��,該響應(yīng)消息中的Authorization (認(rèn)證)參數(shù)Header包含UE的挑戰(zhàn)響應(yīng)�。步驟204��,AS2向AUG提交IMPU����,查詢IMPU對應(yīng)的UE在IMS域中的狀態(tài)和相關(guān)key
fn息ο步驟205,AUG通過IMPU查詢UE是否已經(jīng)在本地注冊且key在有效期內(nèi)����。如果查 詢結(jié)果為是,則執(zhí)行步驟206 ���;否則��,向AS2返回錯誤信息�����。步驟206��,AUG向HSS查詢UE的注冊狀態(tài)是否為已注冊�。如果查詢結(jié)果為是,則執(zhí) 行步驟207�,如果查詢結(jié)果為否,則向AS2返回錯誤信息��。步驟207���,AUG向AS2返回key和key有效期�����。步驟208���,AS2使用key驗(yàn)證來自UE的挑戰(zhàn)響應(yīng)消息中的response是否正確����,如 果正確����,則執(zhí)行步驟210 �����;否則向UE返回錯誤信息�����。步驟209�����,AS2向UE返回認(rèn)證成功消息��。具體地���,如果AS2驗(yàn)證response正確����,則表明已經(jīng)通過了 UE接入,AS2計(jì)算挑戰(zhàn) 響應(yīng)�,向UE返回2000K消息,2000K消息中的AuthenticationHnfoHeader參數(shù)包含AS2的 挑戰(zhàn)響應(yīng)����。步驟210,UE驗(yàn)證認(rèn)證成功消息是否正確����,如果正確,則執(zhí)行步驟211 ���;否則���,向AS2 返回錯誤消息。具體地��,UE驗(yàn)證 AuthenticationHnfo Header 參數(shù)是否正確����。步驟211,UE與AS2完成雙向認(rèn)證��,通過HTTP Digest的安全通道與AS2進(jìn)行交互�。本發(fā)明實(shí)施例利用IMS的已有安全機(jī)制���,為業(yè)務(wù)層提供安全服務(wù)���,增強(qiáng)了 UE與AS 之間的安全性���,且不會成為系統(tǒng)的安全瓶頸;在密鑰信息的有效期內(nèi)����,不需要重復(fù)執(zhí)行注冊 過程,提高了業(yè)務(wù)執(zhí)行效率�。在上述應(yīng)用場景之前,UE需要先向AUG注冊���,以便于訪問非IMS域應(yīng)用服務(wù)器��。如 圖3所示�,為本發(fā)明實(shí)施例應(yīng)用場景中的AUG注冊流程圖�,具體包括以下步驟步驟301,UE啟動IMS客戶端��,執(zhí)行IMS鑒權(quán)流程��,進(jìn)行IMS注冊。具體地���,用戶打開IMS客戶端�����,登錄MS網(wǎng)���,IMS客戶端會在UE、CSCF, HSS間執(zhí)行 IMS鑒權(quán)流程����,并完成IMS注冊。步驟302����,UE與IMS應(yīng)用服務(wù)ASl進(jìn)行交互。步驟303���,UE的IMS客戶端觸發(fā)訪問非IMS應(yīng)用����。步驟304�����,UE檢查本地是否存在key且key在有效期內(nèi),如果檢查結(jié)果為是���,則執(zhí) 行步驟310 ���;否則執(zhí)行步驟305�。步驟305,UE隨機(jī)生成key�,使用AUG的PubKey (公用密鑰)加密生成Kcey = E(PubKey, key)。其中���,E為RSA的加密算法����,AUG預(yù)先生成1024bits的 RSA (Rivest-Shamir-Adleman,公開密鑰算法)公私鑰對���,該公私鑰對包括I^riKey (私有密 鑰)和PubKey�����,AUG秘密保存I^riKey����,并將PubKey公開給IMS客戶端且預(yù)置在UE中。步驟306����,UE通過sip消息將^ey作為AUG注冊消息的參數(shù)發(fā)送給AUG,請求AUG注冊����。步驟307,AUG使用I^riKey解密Ekey����,如果解密成功,則執(zhí)行步驟309 ���;否則��,向UE返回錯誤消息��。步驟308�����,AUG保存UE的IMPU對應(yīng)的key��,并向UE返回sip 2000K消息��。步驟309��,UE保存key作為與AUG通信的臨時秘密參數(shù)����。步驟310,UE啟動非IMS客戶端訪問AS2����,向AS2發(fā)送HTTP Request消息���。本發(fā)明實(shí)施例利用IMS的已有安全機(jī)制�����,為業(yè)務(wù)層提供安全服務(wù)�,增強(qiáng)了 UE與AS 之間的安全性���,且不會成為系統(tǒng)的安全瓶頸����;在密鑰信息的有效期內(nèi),不需要重復(fù)執(zhí)行注冊 過程����,提高了業(yè)務(wù)執(zhí)行效率。本發(fā)明實(shí)施例在上述實(shí)施方式中提供了身份認(rèn)證方法和應(yīng)用場景�,相應(yīng)地,本發(fā) 明實(shí)施例還提供了應(yīng)用上述身份認(rèn)證方法的裝置和系統(tǒng)�����。如圖4所示��,為本發(fā)明實(shí)施例中的一種認(rèn)證網(wǎng)關(guān)結(jié)構(gòu)示意圖��,包括接收模塊410���,用于接收非IMS域應(yīng)用服務(wù)器提交的用戶設(shè)備的身份標(biāo)識�。上述接收模塊410����,還用于接收來自用戶設(shè)備的SIP消息,獲取所述SIP消息中攜 帶的注冊參數(shù)����,所述注冊參數(shù)由所述用戶設(shè)備根據(jù)公用密鑰生成�。查詢模塊420�����,用于根據(jù)接收模塊410接收到的身份標(biāo)識查詢是否存在所述身份 標(biāo)識對應(yīng)的密鑰信息且所述密鑰信息在有效期內(nèi)���,在查詢到存在所述身份標(biāo)識對應(yīng)的密鑰 信息且所述密鑰信息在有效期內(nèi)時�,查詢所述用戶設(shè)備在IMS域是否為已注冊狀態(tài)��。發(fā)送模塊430����,用于在查詢模塊420查詢到所述用戶設(shè)備在IMS域?yàn)橐炎誀顟B(tài) 時,向所述非IMS域應(yīng)用服務(wù)器返回所述密鑰信息和所述密鑰信息的有效期�,使所述非IMS 域應(yīng)用服務(wù)器使用所述密鑰信息和所述密鑰信息的有效期與所述用戶設(shè)備進(jìn)行身份認(rèn)證��。上述發(fā)送模塊430����,還用于在所述解密模塊440解密成功時,保存所述用戶設(shè)備的 身份標(biāo)識對應(yīng)的密鑰信息�����,向所述用戶設(shè)備返回注冊成功消息,使所述用戶設(shè)備保存所述 密鑰信息并根據(jù)所述密鑰信息訪問非IMS域應(yīng)用服務(wù)器���。生成模塊�,生成公私鑰對�����,保存所 述公私鑰對中的私有密鑰�����,供所述解密模塊使用�����,并向所述用戶設(shè)備公開所述公私鑰對中 的公用密鑰�����。解密模塊440��,用于使用自身保存的私有密鑰對所述接收模塊410獲取的注冊參 數(shù)進(jìn)行解密�。生成模塊450,用于生成公私鑰對,保存所述公私鑰對中的私有密鑰��,供所述解密 模塊440使用����,并向所述用戶設(shè)備公開所述公私鑰對中的公用密鑰。本發(fā)明實(shí)施例利用IMS的已有安全機(jī)制���,為業(yè)務(wù)層提供安全服務(wù)��,增強(qiáng)了 UE與AS 之間的安全性�,且不會成為系統(tǒng)的安全瓶頸��;在密鑰信息的有效期內(nèi)���,不需要重復(fù)執(zhí)行注冊 過程�����,提高了業(yè)務(wù)執(zhí)行效率。如圖5所示��,為本發(fā)明實(shí)施例中的一種身份認(rèn)證系統(tǒng)結(jié)構(gòu)示意圖����,包括用戶設(shè)備510���,用于向非IMS域應(yīng)用服務(wù)器520發(fā)送訪問請求,并接收所述非IMS 域應(yīng)用服務(wù)器520返回的挑戰(zhàn)消息����;根據(jù)自身的身份標(biāo)識和所述密鑰信息向所述非IMS域 應(yīng)用服務(wù)器520返回挑戰(zhàn)響應(yīng)消息。上述用戶設(shè)備510���,還用于執(zhí)行IMS鑒權(quán)流程����,在IMS域進(jìn)行注冊�����;當(dāng)訪問非IMS域 應(yīng)用時���,檢查本地是否存在密鑰信息�����,如果不存在����,則隨機(jī)生成密鑰信息,并根據(jù)所述密鑰 信息和公用密鑰生成注冊參數(shù)�,并通過SIP消息發(fā)送所述注冊參數(shù)。非IMS域應(yīng)用服務(wù)器520����,用于向認(rèn)證網(wǎng)關(guān)530提交用戶設(shè)備的身份標(biāo)識,接收來自所述認(rèn)證網(wǎng)關(guān)530的密鑰信息和所述密鑰信息的有效期�����,使用所述密鑰信息和所述密鑰 信息的有效期與所述用戶設(shè)備510進(jìn)行身份認(rèn)證�����。認(rèn)證網(wǎng)關(guān)530���,用于接收所述非IMS域應(yīng)用服務(wù)器520提交的用戶設(shè)備510的身份 標(biāo)識���,根據(jù)所述身份標(biāo)識查詢是否存在所述身份標(biāo)識對應(yīng)的密鑰信息且所述密鑰信息在有 效期內(nèi);如果存在所述身份標(biāo)識對應(yīng)的密鑰信息且所述密鑰信息在有效期內(nèi)�����,則查詢所述 用戶設(shè)備510在IMS域是否為已注冊狀態(tài)��,如果查詢結(jié)果為是�,則向所述非IMS域應(yīng)用服務(wù) 器520返回所述密鑰信息和所述密鑰信息的有效期。上述認(rèn)證網(wǎng)關(guān)530��,還用于接收來自用戶設(shè)備510的SIP消息����,獲取所述SIP消息 中攜帶的注冊參數(shù),所述注冊參數(shù)由所述用戶設(shè)備510根據(jù)公用密鑰生成�;使用自身保存 的私有密鑰對所述獲取的注冊參數(shù)進(jìn)行解密,如果解密成功���,則保存所述用戶設(shè)備510的 身份標(biāo)識對應(yīng)的密鑰信息���,向所述用戶設(shè)備510返回注冊成功消息,使所述用戶設(shè)備510保 存所述密鑰信息并根據(jù)所述密鑰信息訪問非IMS域應(yīng)用服務(wù)器���。本發(fā)明實(shí)施例利用IMS的已有安全機(jī)制����,為業(yè)務(wù)層提供安全服務(wù)����,增強(qiáng)了 UE與AS 之間的安全性���,且不會成為系統(tǒng)的安全瓶頸;在密鑰信息的有效期內(nèi)���,不需要重復(fù)執(zhí)行注冊 過程��,提高了業(yè)務(wù)執(zhí)行效率����。通過以上的實(shí)施方式的描述�,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助 軟件加必需的通用硬件平臺的方式來實(shí)現(xiàn),當(dāng)然也可以通過硬件����,但很多情況下前者是更 佳的實(shí)施方式?���;谶@樣的理解,本發(fā)明實(shí)施例的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出 貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來��,該計(jì)算機(jī)軟件產(chǎn)品存儲在一個存儲介質(zhì)中��, 包括若干指令用以使得一臺終端設(shè)備(可以是手機(jī),個人計(jì)算機(jī)����,服務(wù)器����,或者網(wǎng)絡(luò)設(shè)備 等)執(zhí)行本發(fā)明各個實(shí)施例所述的方法。以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式����,應(yīng)當(dāng)指出,對于本技術(shù)領(lǐng)域的普通技術(shù)人 員來說�,在不脫離本發(fā)明實(shí)施例原理的前提下,還可以做出若干改進(jìn)和潤飾��,這些改進(jìn)和潤 飾也應(yīng)視本發(fā)明的保護(hù)范圍��。本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分 布于實(shí)施例的裝置中���,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個或多個裝置中��。上 述實(shí)施例的模塊可以集成于一體���,也可以分離部署���;可以合并為一個模塊,也可以進(jìn)一步拆 分成多個子模塊�。上述本發(fā)明實(shí)施例序號僅僅為了描述,不代表實(shí)施例的優(yōu)劣�。以上公開的僅為本發(fā)明的幾個具體實(shí)施例,但是��,本發(fā)明并非局限于此�����,任何本領(lǐng) 域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍����。
權(quán)利要求
1.一種身份認(rèn)證方法,其特征在于���,包括以下步驟接收非互聯(lián)網(wǎng)協(xié)議多媒體子系統(tǒng)IMS域應(yīng)用服務(wù)器提交的用戶設(shè)備的身份標(biāo)識�,根據(jù) 所述身份標(biāo)識查詢是否存在所述身份標(biāo)識對應(yīng)的密鑰信息且所述密鑰信息在有效期內(nèi)���;如果存在所述身份標(biāo)識對應(yīng)的密鑰信息且所述密鑰信息在有效期內(nèi)�,則查詢所述用戶 設(shè)備在IMS域是否為已注冊狀態(tài),如果查詢結(jié)果為是����,則向所述非IMS域應(yīng)用服務(wù)器返回所 述密鑰信息和所述密鑰信息的有效期,使所述非IMS域應(yīng)用服務(wù)器使用所述密鑰信息和所 述密鑰信息的有效期與所述用戶設(shè)備進(jìn)行身份認(rèn)證���。
2.如權(quán)利要求1所述的方法����,其特征在于�,所述接收非IMS域應(yīng)用服務(wù)器提交的用戶設(shè) 備的身份標(biāo)識之前�����,還包括接收來自用戶設(shè)備的會話發(fā)起協(xié)議SIP消息�,獲取所述SIP消息中攜帶的注冊參數(shù),所 述注冊參數(shù)由所述用戶設(shè)備根據(jù)公用密鑰生成��;使用自身保存的私有密鑰對所述獲取的注冊參數(shù)進(jìn)行解密�,如果解密成功,則保存所 述用戶設(shè)備的身份標(biāo)識對應(yīng)的密鑰信息��,向所述用戶設(shè)備返回注冊成功消息�����,使所述用戶 設(shè)備保存所述密鑰信息并根據(jù)所述密鑰信息訪問非IMS域應(yīng)用服務(wù)器。
3.如權(quán)利要求2所述的方法�,其特征在于,所述接收來自用戶設(shè)備的SIP消息之前���,還 包括所述用戶設(shè)備執(zhí)行IMS鑒權(quán)流程���,在IMS域進(jìn)行注冊;當(dāng)用戶設(shè)備訪問非IMS域應(yīng)用時����,檢查本地是否存在密鑰信息,如果不存在��,則隨機(jī)生 成密鑰信息��,并根據(jù)所述密鑰信息和公用密鑰生成注冊參數(shù)�,并通過SIP消息發(fā)送所述注 冊參數(shù)。
4.如權(quán)利要求3所述的方法�����,其特征在于�,所述用戶設(shè)備根據(jù)密鑰信息和公用密鑰生 成注冊參數(shù)之前,還包括生成公私鑰對,保存所述公私鑰對中的私有密鑰��,并向所述用戶設(shè)備公開所述公私鑰 對中的公用密鑰��。
5.如權(quán)利要求2所述的方法�����,其特征在于�����,所述用戶設(shè)備根據(jù)密鑰信息訪問非IMS域應(yīng) 用服務(wù)器��,具體包括所述用戶設(shè)備向所述非IMS域應(yīng)用服務(wù)器發(fā)送訪問請求����,并接收所述非IMS域應(yīng)用服 務(wù)器返回的挑戰(zhàn)消息���;所述用戶設(shè)備根據(jù)自身的身份標(biāo)識和所述密鑰信息向所述非IMS域應(yīng)用服務(wù)器返回 挑戰(zhàn)響應(yīng)消息�。
6.如權(quán)利要求5所述的方法�,其特征在于,所述非IMS域應(yīng)用服務(wù)器使用密鑰信息和密 鑰信息的有效期與用戶設(shè)備進(jìn)行身份認(rèn)證���,具體包括所述非IMS域應(yīng)用服務(wù)器使用所述密鑰信息驗(yàn)證來自所述用戶設(shè)備的挑戰(zhàn)響應(yīng)消息 是否正確���,如果正確�����,則向所述用戶設(shè)備返回認(rèn)證成功消息�;所述用戶設(shè)備接收來自所述非IMS域應(yīng)用服務(wù)器的認(rèn)證成功消息���,驗(yàn)證所述認(rèn)證成功 消息中包含的認(rèn)證信息是否正確�����,如果正確�,則完成與所述非IMS域應(yīng)用服務(wù)器的雙向認(rèn) 證���,通過安全通道與所述非IMS域應(yīng)用服務(wù)器進(jìn)行交互���。
7.一種認(rèn)證網(wǎng)關(guān),其特征在于�,包括接收模塊,用于接收非IMS域應(yīng)用服務(wù)器提交的用戶設(shè)備的身份標(biāo)識��;查詢模塊,用于根據(jù)所述接收模塊接收到的身份標(biāo)識查詢是否存在所述身份標(biāo)識對應(yīng) 的密鑰信息且所述密鑰信息在有效期內(nèi)�,在查詢到存在所述身份標(biāo)識對應(yīng)的密鑰信息且所 述密鑰信息在有效期內(nèi)時,查詢所述用戶設(shè)備在IMS域是否為已注冊狀態(tài)����;發(fā)送模塊,用于在所述查詢模塊查詢到所述用戶設(shè)備在IMS域?yàn)橐炎誀顟B(tài)時�����,向所 述非IMS域應(yīng)用服務(wù)器返回所述密鑰信息和所述密鑰信息的有效期�����,使所述非IMS域應(yīng)用 服務(wù)器使用所述密鑰信息和所述密鑰信息的有效期與所述用戶設(shè)備進(jìn)行身份認(rèn)證����。
8.如權(quán)利要求7所述的認(rèn)證網(wǎng)關(guān)�����,其特征在于��,所述接收模塊���,還用于接收來自用戶設(shè)備的SIP消息�,獲取所述SIP消息中攜帶的注冊 參數(shù),所述注冊參數(shù)由所述用戶設(shè)備根據(jù)公用密鑰生成���;所述認(rèn)證網(wǎng)關(guān)��,還包括解密模塊��,用于使用自身保存的私有密鑰對所述接收模塊獲取的注冊參數(shù)進(jìn)行解密�;所述發(fā)送模塊�����,還用于在所述解密模塊解密成功時����,保存所述用戶設(shè)備的身份標(biāo)識對 應(yīng)的密鑰信息,向所述用戶設(shè)備返回注冊成功消息���,使所述用戶設(shè)備保存所述密鑰信息并 根據(jù)所述密鑰信息訪問非IMS域應(yīng)用服務(wù)器��。
9.如權(quán)利要求8所述的認(rèn)證網(wǎng)關(guān)��,其特征在于����,還包括生成模塊,用于生成公私鑰對���,保存所述公私鑰對中的私有密鑰�����,供所述解密模塊使 用�����,并向所述用戶設(shè)備公開所述公私鑰對中的公用密鑰�。
10.一種身份認(rèn)證系統(tǒng)�,其特征在于,包括用戶設(shè)備���,用于向非IMS域應(yīng)用服務(wù)器發(fā)送訪問請求�,并接收所述非IMS域應(yīng)用服務(wù)器 返回的挑戰(zhàn)消息��;根據(jù)自身的身份標(biāo)識和所述密鑰信息向所述非IMS域應(yīng)用服務(wù)器返回挑 戰(zhàn)響應(yīng)消息����;非IMS域應(yīng)用服務(wù)器,用于向認(rèn)證網(wǎng)關(guān)提交用戶設(shè)備的身份標(biāo)識�����,接收來自所述認(rèn)證 網(wǎng)關(guān)的密鑰信息和所述密鑰信息的有效期����,使用所述密鑰信息和所述密鑰信息的有效期與 所述用戶設(shè)備進(jìn)行身份認(rèn)證;認(rèn)證網(wǎng)關(guān)�,用于接收所述非IMS域應(yīng)用服務(wù)器提交的用戶設(shè)備的身份標(biāo)識,根據(jù)所述 身份標(biāo)識查詢是否存在所述身份標(biāo)識對應(yīng)的密鑰信息且所述密鑰信息在有效期內(nèi)�;如果存 在所述身份標(biāo)識對應(yīng)的密鑰信息且所述密鑰信息在有效期內(nèi),則查詢所述用戶設(shè)備在IMS 域是否為已注冊狀態(tài)�,如果查詢結(jié)果為是,則向所述非IMS域應(yīng)用服務(wù)器返回所述密鑰信 息和所述密鑰信息的有效期����。
11.如權(quán)利要求10所述的系統(tǒng),其特征在于�,所述認(rèn)證網(wǎng)關(guān),還用于接收來自用戶設(shè)備的會話發(fā)起協(xié)議SIP消息�����,獲取所述SIP消息 中攜帶的注冊參數(shù)���,所述注冊參數(shù)由所述用戶設(shè)備根據(jù)公用密鑰生成����;使用自身保存的私 有密鑰對所述獲取的注冊參數(shù)進(jìn)行解密,如果解密成功�,則保存所述用戶設(shè)備的身份標(biāo)識 對應(yīng)的密鑰信息,向所述用戶設(shè)備返回注冊成功消息�,使所述用戶設(shè)備保存所述密鑰信息 并根據(jù)所述密鑰信息訪問非IMS域應(yīng)用服務(wù)器。
12.如權(quán)利要求10所述的系統(tǒng)�����,其特征在于��,所述用戶設(shè)備��,還用于執(zhí)行IMS鑒權(quán)流程����,在IMS域進(jìn)行注冊;當(dāng)訪問非IMS域應(yīng)用時���, 檢查本地是否存在密鑰信息���,如果不存在,則隨機(jī)生成密鑰信息����,并根據(jù)所述密鑰信息和公 用密鑰生成注冊參數(shù),并通過SIP消息發(fā)送所述注冊參數(shù)�。
全文摘要
本發(fā)明實(shí)施例公開了一種身份認(rèn)證方法,包括以下步驟接收非互聯(lián)網(wǎng)協(xié)議多媒體子系統(tǒng)IMS域應(yīng)用服務(wù)器提交的用戶設(shè)備的身份標(biāo)識����,根據(jù)所述身份標(biāo)識查詢是否存在所述身份標(biāo)識對應(yīng)的密鑰信息且所述密鑰信息在有效期內(nèi);如果存在所述身份標(biāo)識對應(yīng)的密鑰信息且所述密鑰信息在有效期內(nèi)����,則查詢所述用戶設(shè)備在IMS域是否為已注冊狀態(tài),如果查詢結(jié)果為是�����,則向所述非IMS域應(yīng)用服務(wù)器返回所述密鑰信息和所述密鑰信息的有效期�,使所述非IMS域應(yīng)用服務(wù)器使用所述密鑰信息和所述密鑰信息的有效期與所述用戶設(shè)備進(jìn)行身份認(rèn)證。本發(fā)明實(shí)施例實(shí)現(xiàn)了IMS應(yīng)用和非IMS應(yīng)用之間的統(tǒng)一認(rèn)證和狀態(tài)同步��。本發(fā)明實(shí)施例同樣公開了一種應(yīng)用上述方法的裝置和系統(tǒng)����。
文檔編號H04L9/32GK102065069SQ200910237819
公開日2011年5月18日 申請日期2009年11月11日 優(yōu)先權(quán)日2009年11月11日
發(fā)明者彭華熹 申請人:中國移動通信集團(tuán)公司