專利名稱:Ims終端在獲取非ims業(yè)務(wù)時(shí)的認(rèn)證系統(tǒng)���、裝置及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及多媒體子系統(tǒng)(IMQ領(lǐng)域�,特別涉及一種IMS終端在獲取非IMS業(yè)務(wù) 時(shí)的認(rèn)證系統(tǒng)���、裝置及方法����。
背景技術(shù):
隨著寬帶網(wǎng)絡(luò)的發(fā)展�����,移動(dòng)通信系統(tǒng)不僅僅局限于傳統(tǒng)的語(yǔ)音通信���,而且可以結(jié) 合音頻����、視頻����、圖片和文本等多種媒體業(yè)務(wù)���。多種媒體業(yè)務(wù)通過(guò)與呈現(xiàn)業(yè)務(wù)(presence)����、短 消息����、網(wǎng)頁(yè)(WEB)瀏覽、定位信息��、推送業(yè)務(wù)(PUSH)和文件共享等數(shù)據(jù)業(yè)務(wù)的結(jié)合�,可以滿 足用戶終端的多種需求��。在多種數(shù)據(jù)業(yè)務(wù)應(yīng)用的推動(dòng)下��,3GPP以及3GPP2等標(biāo)準(zhǔn)組織都先后推出了 IMS架 構(gòu)��,目的是在移動(dòng)通信系統(tǒng)中使用一種標(biāo)準(zhǔn)化開(kāi)放結(jié)構(gòu)實(shí)現(xiàn)多種多樣的多媒體業(yè)務(wù)應(yīng)用�, 提供給用戶終端更多的選擇和更豐富的感受。在3GPP版本5(R5�,Release)階段,引入了 IMS�����,IMS疊加在分組域網(wǎng)絡(luò)之上�,由 呼叫控制功能(CSCF)、媒體網(wǎng)關(guān)控制功能(MGCF)���、媒體資源功能中心(MRFC)��,歸屬簽約用 戶服務(wù)器(HSQ和邊界網(wǎng)關(guān)控制功能(BGCF)等功能實(shí)體組成�。其中CSCF又可以分為服 務(wù) CSCF (S-CSCF)�����、代理 CSCF(P-CSCF)和查詢 CSCF(I-CSCF)三個(gè)邏輯實(shí)體。S-CSCF 是 IMS 的業(yè)務(wù)交換中心����,執(zhí)行會(huì)話控制,維持會(huì)話狀態(tài)����,負(fù)責(zé)管理IMS終端信息,產(chǎn)生計(jì)費(fèi)信息等����; P-CSCF是IMS終端接入IMS的接入點(diǎn),完成IMS終端注冊(cè)��,負(fù)責(zé)服務(wù)質(zhì)量(QoQ控制和安全 管理等�����;I-CSCF負(fù)責(zé)IMS域之間的互通�����,管理S-CSCF的分配和選擇,對(duì)外隱藏網(wǎng)絡(luò)拓?fù)浜?配置���,產(chǎn)生計(jì)費(fèi)數(shù)據(jù)等����。MGCF控制網(wǎng)關(guān)���,實(shí)現(xiàn)IMS和其它網(wǎng)絡(luò)的互通。MRFC提供媒體資源��。 HSS存儲(chǔ)IMS終端的簽約數(shù)據(jù)����、配置信息及IMS終端的鑒權(quán)數(shù)據(jù)等。BGCF用于提供和其他 移動(dòng)通信網(wǎng)絡(luò)的通信控制�。圖1為現(xiàn)有技術(shù)中的IMS結(jié)構(gòu)示意圖,包括IMS終端�����、P-CSCF, S-CSCF, I-CSCF, BGCF, MGCF, MRFC, HSS及媒體資源功能代理(MRFP)��,其中�����,IMS終端接入P-SCCF,完成在IMS的注冊(cè)�、QoS控制和安全管理等,IMS終端還通 過(guò)Ut接口和提供非IMS業(yè)務(wù)的應(yīng)用服務(wù)器(AS)相連接����,獲取非IMS業(yè)務(wù);P-CSCF分別 與S-CSCF相連接及蜂窩移動(dòng)通信系統(tǒng)(GPRS)相連接����;S-CSCF分別和MRFC、MGCF, BGCF, I-CSCF���、HSS及其他的IMS相連接��,作為IMS的業(yè)務(wù)交互中心執(zhí)行會(huì)話控制���,維持會(huì)話狀態(tài), 負(fù)責(zé)管理IMS終端信息���,產(chǎn)生計(jì)費(fèi)信息等�。S-CSCF和提供IMS業(yè)務(wù)的AS通過(guò)ISC接口相連 接����,給IMS終端提供IMS業(yè)務(wù)�����;MGCF通過(guò)媒體網(wǎng)關(guān)(MGW)和公用交換電話網(wǎng)(PSTN)或電路 域系統(tǒng)(⑶)相連接�����,MRFC通過(guò)MRFP和GPRS網(wǎng)絡(luò)相連接��;BGCF有一個(gè)或多個(gè)���,接入其他的 IMS���。HSS還具有接口�,比如接口 Si和Si�����,可以使得提供IMS業(yè)務(wù)的AS獲取到IMS終端的 鑒權(quán)數(shù)據(jù)等�。如圖1所示,在IMS終端要從AS獲取業(yè)務(wù)時(shí)��,該AS可以為在提供IMS業(yè)務(wù)的AS (稱 為IMS AS),該AS也可以為在提供非IMS業(yè)務(wù)的AS (稱為非IMS AS)���,有兩種獲取方式1)經(jīng)過(guò)IMS的核心功能實(shí)體�,即S-CSCF后��,通過(guò)接口 ISC獲取IMS業(yè)務(wù)�;
2)不經(jīng)過(guò)IMS的核心功能實(shí)體,通過(guò)接口 Ut直接獲取非IMS業(yè)務(wù)����。不管采用哪一種方式,都需要在獲取IMS業(yè)務(wù)或非IMS業(yè)務(wù)之前對(duì)IMS終端進(jìn)行 認(rèn)證后才獲取���。圖2為現(xiàn)有技術(shù)IMS終端獲取IMS業(yè)務(wù)的方法流程圖�����,涉及的實(shí)體包括IMS終 端����、P-SCSF/S-CSCF�、HSS和IMS AS,其中�,當(dāng)P-CSCF存在時(shí)��,直接通過(guò)同時(shí)具有P-CSCF和 S-CSCF功能的S-CSCF處理�,如果存在P-CSCF時(shí)�����,則通過(guò)IMS終端當(dāng)前所屬的P-CSCF和 S-CSCF交互�����,該方法的具體步驟為步驟201�、IMS終端登陸IMS,向P-SCSF/S-CSCF發(fā)起IMS注冊(cè)和認(rèn)證過(guò)程���;步驟202�、P-SCSF/S-CSCF和HSS交互��,在HSS注冊(cè)IMS終端登記狀態(tài)�;在本步驟中����,在HSS存儲(chǔ)了 IMS終端的簽約數(shù)據(jù)和配置信息;步驟203����、IMS終端發(fā)起會(huì)話初始化協(xié)議(SIP)請(qǐng)求���,攜帶IMS終端的用戶標(biāo)識(shí);在本步驟中�����,IMS終端的用戶標(biāo)識(shí)攜帶在SIP頭的“P-Preferred-Identity” �����;步驟204��、P-SCSF接收到該SIP請(qǐng)求后���,檢驗(yàn)IMS終端的注冊(cè)狀態(tài)����;如果IMS終端 已經(jīng)注冊(cè)�,則標(biāo)識(shí)該用戶標(biāo)識(shí)經(jīng)過(guò)認(rèn)證;在本步驟中���,標(biāo)識(shí)該用戶標(biāo)識(shí)經(jīng)過(guò)認(rèn)證為采用“P-Asserted-Identity”替換SIP 頭的“P-Preferred-Identity”�,在其中包含經(jīng)過(guò)認(rèn)證的用戶標(biāo)識(shí);IMS終端在注冊(cè)時(shí)��,就會(huì)在P-CSCF存儲(chǔ)該IMS終端的用戶標(biāo)識(shí)���,所以直接由 P-CSCF 認(rèn)證��;P-CSCF通過(guò)S-CSCF向IMS AS轉(zhuǎn)發(fā)修改后的SIP請(qǐng)求���;步驟205、IMS AS接收到該修改后的SIP消息后�����,確認(rèn)是否攜帶該用戶標(biāo)識(shí)經(jīng)過(guò)認(rèn) 證的標(biāo)識(shí)�,如果是,則通過(guò)用戶標(biāo)識(shí)認(rèn)證����,向P-SCSF/S-CSCF回復(fù)認(rèn)證結(jié)果;步驟206�����、P-SCSF/S-CSCF向IMS終端回復(fù)業(yè)務(wù)應(yīng)用請(qǐng)求��,IMS終端通過(guò)認(rèn)證�;步驟207、IMS終端和IMS AS直接進(jìn)行交互��,獲取IMS AS提供的IMS業(yè)務(wù)�。在該過(guò)程中,可以看出�,是由P-CSCF替代IMS AS進(jìn)行IMS終端的認(rèn)證過(guò)程,而無(wú) 需IMS AS完成對(duì)IMS終端的認(rèn)證過(guò)程���。圖3為現(xiàn)有技術(shù)IMS終端獲取非IMS業(yè)務(wù)的方法流程圖���,涉及的實(shí)體包括IMS終 端和提供非IMS業(yè)務(wù)的AS,該方法的具體步驟為步驟301��、IMS終端向AS發(fā)起超文本傳輸協(xié)議(HTTP)請(qǐng)求��;步驟302�����、AS回復(fù)未授權(quán)消息�����,攜帶隨機(jī)數(shù)和IMS終端范圍(realm);在本步驟中����,隨機(jī)數(shù)和realm攜帶在未授權(quán)消息的消息頭中,其中���,realm提示IMS 終端要使用的用戶名和密碼��,隨機(jī)數(shù)為AS隨機(jī)生成的���;在本步驟中,未授權(quán)消息還可以攜帶摘要算法�����,比如MD5加密算法���,也可以不攜 帶��,而預(yù)先和IMS終端協(xié)商好���;步驟303、IMS終端接收到該消息后,根據(jù)該消息攜帶的用戶名�����、密碼及隨機(jī)數(shù)按 照設(shè)定的摘要算法計(jì)算得到響應(yīng)值��,攜帶在HTTP響應(yīng)消息中發(fā)送給AS�����,該HTTP響應(yīng)消息還 攜帶IMS終端隨機(jī)生成的隨機(jī)數(shù)����;步驟304��、AS接收到該響應(yīng)消息后�,采用AS生成的隨機(jī)數(shù)以及該IMS終端的用戶 名和密碼采用設(shè)置的摘要算法計(jì)算得到的值,確定和該響應(yīng)消息中攜帶的響應(yīng)值一致����,則 完成對(duì)IMS終端認(rèn)證;
在該步驟中�����,AS還可以采用該消息攜帶的IMS終端隨機(jī)生成的隨機(jī)數(shù)以及該IMS 終端的用戶名和密碼采用設(shè)置的認(rèn)證算法計(jì)算得到第二響應(yīng)值,通過(guò)2000K消息發(fā)送給 IMS終端進(jìn)行雙向認(rèn)證��;步驟305���、IMS終端接收到2000K消息后��,采用IMS終端隨機(jī)生成的隨機(jī)數(shù)以及該 IMS終端的用戶名和密碼采用設(shè)置的認(rèn)證算法計(jì)算得到的值����,確定和該消息攜帶的第二響 應(yīng)值一致��,完成對(duì)AS的認(rèn)證�����;IMS終端向AS發(fā)送HTTP業(yè)務(wù)請(qǐng)求�;步驟306、AS回復(fù)2000K消息����,AS和IMS終端之間的認(rèn)證完成,IMS終端和AS建 立連接�����,獲取AS提供的非IMS業(yè)務(wù)。該過(guò)程為IMS終端和提供非IMS業(yè)務(wù)的AS之間的雙向認(rèn)證��,如果只實(shí)現(xiàn)對(duì)IMS終 端的認(rèn)證����,在步驟203中��,IMS終端不生成隨機(jī)數(shù)����。從圖3所示的過(guò)程看出,在對(duì)IMS終端進(jìn)行認(rèn)證時(shí)���,由于無(wú)法從IMS中獲取到IMS 終端的鑒權(quán)數(shù)據(jù)���,所以需要AS和IMS終端之間進(jìn)行直接認(rèn)證,不同AS和IMS終端之間認(rèn)證 的方式也沒(méi)有統(tǒng)一標(biāo)準(zhǔn)�,圖3只是一個(gè)AS和IMS終端之間認(rèn)證的例子。對(duì)于IMS中的IMS 終端來(lái)說(shuō)����,和提供非IMS業(yè)務(wù)的AS之間進(jìn)行認(rèn)證,采用的認(rèn)證機(jī)制還可以為用戶名/密碼 認(rèn)證機(jī)制���、HTTP摘要(Digest)機(jī)制����、預(yù)先分享關(guān)鍵字傳輸層安全(I^re-aiaredKey TLS)機(jī) 制等。這種IMS終端和提供非IMS業(yè)務(wù)的AS認(rèn)證過(guò)程比較復(fù)雜���,需要提供非IMS業(yè)務(wù)的 AS預(yù)先與IMS終端協(xié)商好認(rèn)證機(jī)制����,且存儲(chǔ)相應(yīng)IMS終端的鑒權(quán)數(shù)據(jù)�,才能在IMS終端要獲 取AS提供的非IMS業(yè)務(wù)時(shí),實(shí)現(xiàn)認(rèn)證過(guò)程����。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供一種IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證系統(tǒng)��,該系統(tǒng)能夠 保證IMS終端在獲取不同AS提供的非IMS業(yè)務(wù)時(shí)�,實(shí)現(xiàn)簡(jiǎn)單地且統(tǒng)一認(rèn)證,而無(wú)需一一和 提供非IMS業(yè)務(wù)的AS協(xié)商認(rèn)證機(jī)制���。本發(fā)明還提供一種IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證裝置�����,該裝置能夠保證IMS 終端在獲取不同AS提供的非IMS業(yè)務(wù)時(shí)�����,實(shí)現(xiàn)簡(jiǎn)單地且統(tǒng)一認(rèn)證���,而無(wú)需一一和提供非IMS 業(yè)務(wù)的AS協(xié)商認(rèn)證機(jī)制��。本發(fā)明還提供一種IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證方法,該方法能夠保證IMS 終端在獲取不同AS提供的非IMS業(yè)務(wù)時(shí)���,實(shí)現(xiàn)簡(jiǎn)單地且統(tǒng)一認(rèn)證��,而無(wú)需一一和提供非IMS 業(yè)務(wù)的AS協(xié)商認(rèn)證機(jī)制��。為達(dá)到上述目的��,本發(fā)明實(shí)施例的技術(shù)方案具體是這樣實(shí)現(xiàn)的一種IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證系統(tǒng)���,包括IMS和提供非IMS業(yè)務(wù)的應(yīng) 用服務(wù)器AS,還包括認(rèn)證網(wǎng)關(guān)�����,其中,IMS中的HSS��,用于給認(rèn)證網(wǎng)關(guān)提供IMS終端的鑒權(quán)數(shù)據(jù)����;IMS中的IMS終端,用于向AS發(fā)起認(rèn)證請(qǐng)求�����,根據(jù)AS返回的認(rèn)證響應(yīng)攜帶的隨機(jī) 數(shù)和自身存儲(chǔ)的鑒權(quán)數(shù)據(jù)計(jì)算得到響應(yīng)值后發(fā)送給AS ���;從AS獲取非IMS業(yè)務(wù)���;AS,用于將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給認(rèn)證網(wǎng)關(guān)����,將認(rèn)證網(wǎng)關(guān)返回的攜帶隨機(jī)數(shù)的認(rèn)證響應(yīng) 轉(zhuǎn)發(fā)給IMS終端,將IMS終端發(fā)送的響應(yīng)值轉(zhuǎn)發(fā)給認(rèn)證網(wǎng)關(guān)��,接收認(rèn)證網(wǎng)關(guān)發(fā)送的認(rèn)證通過(guò)
6結(jié)果后與IMS終端建立連接�����,給IMS終端提供非IMS業(yè)務(wù);認(rèn)證網(wǎng)關(guān)���,用于從HSS獲取IMS終端的鑒權(quán)數(shù)據(jù)�����;接收AS轉(zhuǎn)發(fā)的認(rèn)證請(qǐng)求后�����,將生 成的隨機(jī)數(shù)攜帶在認(rèn)證響應(yīng)中發(fā)送給AS�����,從AS接收響應(yīng)值后,采用生成的隨機(jī)數(shù)和從HSS 獲取的鑒權(quán)數(shù)據(jù)計(jì)算的值與從AS接收的響應(yīng)值進(jìn)行比較����,確認(rèn)一致后認(rèn)證通過(guò),發(fā)送認(rèn)證 通過(guò)結(jié)果給AS�。一種IMS終端在獲取非IMS業(yè)務(wù)時(shí)的IMS終端,包括收發(fā)模塊����、計(jì)算模塊及存儲(chǔ) 模塊����,其中��,收發(fā)模塊���,用于向AS發(fā)起認(rèn)證請(qǐng)求�,將從AS接收的攜帶隨機(jī)數(shù)認(rèn)證響應(yīng)發(fā)送給計(jì) 算模塊����;從計(jì)算模塊接收響應(yīng)值發(fā)送給AS ;從AS獲取非IMS業(yè)務(wù)�����;計(jì)算模塊�,用于根據(jù)隨機(jī)數(shù)和從存儲(chǔ)模塊獲取的IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算得到響 應(yīng)值后發(fā)送給收發(fā)模塊;存儲(chǔ)模塊��,用于存儲(chǔ)IMS終端的鑒權(quán)數(shù)據(jù)���。一種IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證網(wǎng)關(guān)����,包括收發(fā)模塊及鑒權(quán)模塊,其中�����,收發(fā)模塊����,用于從HSS獲取IMS終端的鑒權(quán)數(shù)據(jù)后發(fā)送給鑒權(quán)模塊,接收AS轉(zhuǎn)發(fā) 的認(rèn)證請(qǐng)求��,將鑒權(quán)數(shù)據(jù)中的隨機(jī)數(shù)攜帶在認(rèn)證響應(yīng)中發(fā)送給AS �;將從AS接收到的響應(yīng)值 發(fā)送給鑒權(quán)模塊,將從鑒權(quán)模塊接收到的鑒權(quán)通過(guò)結(jié)果發(fā)送給AS ����;鑒權(quán)模塊,用于根據(jù)從收發(fā)模塊接收的隨機(jī)數(shù)和IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算的值����, 與接收到的響應(yīng)值進(jìn)行比較�����,確認(rèn)一致后認(rèn)證通過(guò)��,將認(rèn)證通過(guò)結(jié)果發(fā)送給收發(fā)模塊。一種IMS終端在獲取非IMS業(yè)務(wù)時(shí)的方法��,設(shè)置認(rèn)證網(wǎng)關(guān)���,該方法包括IMS終端通過(guò)提供非IMS業(yè)務(wù)的AS將認(rèn)證請(qǐng)求發(fā)送給認(rèn)證網(wǎng)關(guān)��;認(rèn)證網(wǎng)關(guān)通過(guò)該AS向IMS終端發(fā)送生成的隨機(jī)數(shù)�����;IMS終端根據(jù)隨機(jī)數(shù)和自身保存的鑒權(quán)數(shù)據(jù)計(jì)算響應(yīng)值����,通過(guò)該AS轉(zhuǎn)發(fā)給認(rèn)證網(wǎng) 關(guān)���;認(rèn)證網(wǎng)關(guān)根據(jù)自身生成的隨機(jī)數(shù)和從HSS獲取到的IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算�����,計(jì) 算得到的值與接收到的響應(yīng)值比較�����,確定一致后�,IMS終端的認(rèn)證通過(guò),完成認(rèn)證�����,并將認(rèn)證 通過(guò)結(jié)果發(fā)送給該AS ����;該AS和IMS終端建立連接,為IMS終端提供非IMS業(yè)務(wù)��。由上述技術(shù)方案可見(jiàn)����,本發(fā)明在IMS中,設(shè)置了認(rèn)證網(wǎng)關(guān)(AUG)��,該認(rèn)證網(wǎng)關(guān)分別 與HSS和AS進(jìn)行信息交互�����,從HSS獲取用于認(rèn)證IMS終端的鑒權(quán)數(shù)據(jù)后���,替代AS對(duì)IMS終 端進(jìn)行認(rèn)證,將認(rèn)證通過(guò)結(jié)果提供給AS,再由AS根據(jù)認(rèn)證通過(guò)結(jié)果確定給IMS終端提供非 IMS業(yè)務(wù)���。因此�����,本發(fā)明提供的系統(tǒng)����、裝置及方法實(shí)現(xiàn)了提供非IMS業(yè)務(wù)的不同AS對(duì)IMS終 端簡(jiǎn)單且統(tǒng)一地認(rèn)證�,IMS終端無(wú)需一一和提供非IMS業(yè)務(wù)的AS協(xié)商認(rèn)證機(jī)制,認(rèn)證易于 實(shí)現(xiàn)��。
圖1為現(xiàn)有技術(shù)中的IMS結(jié)構(gòu)示意圖���;圖2為現(xiàn)有技術(shù)IMS終端獲取IMS業(yè)務(wù)的方法流程圖�����;圖3為現(xiàn)有技術(shù)IMS終端獲取非IMS業(yè)務(wù)的方法流程圖�����;圖4為本發(fā)明提供的IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證系統(tǒng)�����;
圖5為本發(fā)明提供的IMS終端結(jié)構(gòu)示意圖�����;圖6為本發(fā)明提供的認(rèn)證網(wǎng)關(guān)結(jié)構(gòu)示意圖��;圖7為本發(fā)明提供的IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證方法流程圖���;圖8為本發(fā)明提供的具有網(wǎng)絡(luò)瀏覽器的IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證方法 流程圖�����;圖9為本發(fā)明提供的IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證方法實(shí)施例一流程圖����;圖10為本發(fā)明提供的具有網(wǎng)絡(luò)瀏覽器的IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證方 法實(shí)施例一流程圖��;圖11為本發(fā)明提供的本發(fā)明提供的IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證方法實(shí) 施例二流程圖���;圖12為本發(fā)明提供的具有網(wǎng)絡(luò)瀏覽器的IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證方 法實(shí)施例二流程圖���。
具體實(shí)施例方式為使本發(fā)明的目的�����、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下參照附圖并舉實(shí)施例��,對(duì) 本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明���。在現(xiàn)有技術(shù)中�,IMS終端獲取非IMS業(yè)務(wù)時(shí)��,就需要和非IMS業(yè)務(wù)的AS建立連接��。 在建立連接之前�,該AS需要對(duì)IMS終端進(jìn)行認(rèn)證。由于IMS終端直接通過(guò)Ut接口與AS交 互���,不經(jīng)過(guò)IMS的核心網(wǎng)�����,所以無(wú)法按照?qǐng)D1的過(guò)程由IMS的核心網(wǎng)替代AS對(duì)終端進(jìn)行認(rèn) 證����。而IMS終端直接和AS之間認(rèn)證,則需要預(yù)先在兩者之間預(yù)先協(xié)商認(rèn)證機(jī)制后再認(rèn)證��, 對(duì)于一個(gè)IMS終端來(lái)說(shuō)�����,其需要和不同的AS認(rèn)證��,以獲取不同AS所提供的不同非IMS業(yè) 務(wù)�����,這就需要一一和不同AS之間預(yù)先協(xié)商認(rèn)證機(jī)制后再認(rèn)證�,且在認(rèn)證時(shí),不同AS都保存 有IMS終端的鑒權(quán)數(shù)據(jù)��,這會(huì)造成IMS終端的鑒權(quán)數(shù)據(jù)泄露����,而導(dǎo)致不安全性。因此���,為了解決上述問(wèn)題����,本發(fā)明在IMS中增加認(rèn)證網(wǎng)關(guān),該認(rèn)證網(wǎng)關(guān)分別與HSS 和提供非IMS業(yè)務(wù)的AS進(jìn)行信息交互���,從HSS獲取用于認(rèn)證IMS終端的鑒權(quán)數(shù)據(jù)����,替代AS 對(duì)IMS終端進(jìn)行認(rèn)證后��,將認(rèn)證通過(guò)結(jié)果提供給AS���,再由AS根據(jù)認(rèn)證通過(guò)結(jié)果確定給IMS 終端提供非IMS業(yè)務(wù)。這樣���,對(duì)于提供非IMS業(yè)務(wù)的不同AS�,在對(duì)IMS終端進(jìn)行認(rèn)證時(shí)��,可 以由該認(rèn)證網(wǎng)關(guān)替代執(zhí)行�����,從而實(shí)現(xiàn)了提供非IMS業(yè)務(wù)的不同AS對(duì)IMS終端簡(jiǎn)單且統(tǒng)一地 認(rèn)證�,而IMS終端無(wú)需一一和提供非IMS業(yè)務(wù)的AS協(xié)商認(rèn)證機(jī)制,該認(rèn)證過(guò)程易于實(shí)現(xiàn)�����。另外,由于IMS終端的鑒權(quán)數(shù)據(jù)保存在認(rèn)證網(wǎng)關(guān)或者由認(rèn)證網(wǎng)關(guān)到HSS中獲取����,而 不是保存在所有具有IMS終端要獲取非IMS業(yè)務(wù)的AS中,所以不會(huì)造成IMS終端的鑒權(quán)數(shù) 據(jù)泄露����,提高了認(rèn)證的可靠性以及后續(xù)獲取非IMS業(yè)務(wù)的安全性。以下對(duì)本發(fā)明提供的系統(tǒng)����、裝置及方法進(jìn)行詳細(xì)說(shuō)明。圖4為本發(fā)明提供的IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證系統(tǒng)�,該系統(tǒng)包括圖1 所示的IMS、認(rèn)證網(wǎng)關(guān)及AS����,認(rèn)證網(wǎng)關(guān)分別與IMS的HSS及提供非IMS業(yè)務(wù)的AS進(jìn)行交互, 認(rèn)證網(wǎng)關(guān)和HSS之間的接口為接口證�,可以采用直徑(Diameter)協(xié)議,和AS之間的接口為 非SIP協(xié)議�,比如HTTP協(xié)議,也可以通過(guò)互聯(lián)網(wǎng)相連接,其中����,IMS中的HSS,用于給認(rèn)證網(wǎng)關(guān)提供MS終端的鑒權(quán)數(shù)據(jù)���;IMS中的IMS終端��,用于向AS發(fā)起認(rèn)證請(qǐng)求���,根據(jù)AS返回的認(rèn)證響應(yīng)攜帶的隨機(jī)數(shù)和自身存儲(chǔ)的鑒權(quán)數(shù)據(jù)計(jì)算得到響應(yīng)值后發(fā)送給AS ��;從AS獲取非IMS業(yè)務(wù)�;AS,用于將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給認(rèn)證網(wǎng)關(guān)���,將認(rèn)證網(wǎng)關(guān)返回的攜帶隨機(jī)數(shù)的認(rèn)證響應(yīng) 轉(zhuǎn)發(fā)給IMS終端��,將IMS終端發(fā)送的響應(yīng)值轉(zhuǎn)發(fā)給認(rèn)證網(wǎng)關(guān)��,接收認(rèn)證網(wǎng)關(guān)發(fā)送的認(rèn)證通過(guò) 結(jié)果后與IMS終端建立連接���,給IMS終端提供非IMS業(yè)務(wù);認(rèn)證網(wǎng)關(guān),用于從HSS獲取IMS終端的鑒權(quán)數(shù)據(jù)�;接收AS轉(zhuǎn)發(fā)的認(rèn)證請(qǐng)求后,將生 成的隨機(jī)數(shù)攜帶在認(rèn)證響應(yīng)中發(fā)送給AS��,從AS接收響應(yīng)值后��,采用生成的隨機(jī)數(shù)和從HSS 獲取的鑒權(quán)數(shù)據(jù)計(jì)算的值與從AS接收的響應(yīng)值進(jìn)行比較�����,確認(rèn)一致后認(rèn)證通過(guò)�,發(fā)送認(rèn)證 通過(guò)結(jié)果給AS。上述過(guò)程為對(duì)IMS終端的單向認(rèn)證����,當(dāng)然,也可以實(shí)現(xiàn)雙向認(rèn)證�����,這時(shí)�,IMS終端,還用于生成第二隨機(jī)數(shù)發(fā)送給AS���,采用第二隨機(jī)數(shù)和自身存儲(chǔ)的鑒權(quán) 數(shù)據(jù)計(jì)算的值和從AS接收到的第二響應(yīng)值比較���,確定一致后對(duì)AS認(rèn)證通過(guò)��;AS��,還用于將第二隨機(jī)數(shù)轉(zhuǎn)發(fā)給認(rèn)證網(wǎng)關(guān)�,將第二響應(yīng)值發(fā)送給IMS終端�;認(rèn)證網(wǎng)關(guān),還用于根據(jù)第二隨機(jī)數(shù)和從HSS獲取的IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算得到 第二響應(yīng)值�����,發(fā)送給AS����。在本發(fā)明提供的系統(tǒng)中�,當(dāng)IMS終端為具有網(wǎng)絡(luò)瀏覽器的終端時(shí),在認(rèn)證過(guò)程中�����, 認(rèn)證網(wǎng)關(guān)還生成會(huì)話標(biāo)識(shí)(kssionID)���,發(fā)送給AS�����,由AS發(fā)送給IMS終端���,存儲(chǔ)在網(wǎng)絡(luò)瀏覽 器的Cookie中����,在IMS終端通過(guò)網(wǎng)絡(luò)瀏覽器獲取非IMS業(yè)務(wù)時(shí)����,直接獲取即可,而無(wú)需在采 用網(wǎng)絡(luò)瀏覽器時(shí)再次填寫(xiě)����。圖5為本發(fā)明提供的IMS終端結(jié)構(gòu)示意圖,包括收發(fā)模塊�����、計(jì)算模塊及存儲(chǔ)模塊��, 其中�����,收發(fā)模塊,用于向AS發(fā)起認(rèn)證請(qǐng)��,將從AS接收的攜帶隨機(jī)數(shù)認(rèn)證響應(yīng)發(fā)送給計(jì)算 模塊��;從計(jì)算模塊接收響應(yīng)值發(fā)送給AS �;從AS獲取非IMS業(yè)務(wù);計(jì)算模塊�,用于根據(jù)隨機(jī)數(shù)和從存儲(chǔ)模塊獲取的IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算得到響 應(yīng)值后發(fā)送給收發(fā)模塊;存儲(chǔ)模塊�,用于存儲(chǔ)IMS終端的鑒權(quán)數(shù)據(jù)。在該IMS終端中����,還包括收發(fā)模塊,還用于生成第二隨機(jī)數(shù)發(fā)送給AS����,將第二隨機(jī)數(shù)發(fā)送給計(jì)算模塊;計(jì)算模塊�����,還用于采用第二隨機(jī)數(shù)和自身存儲(chǔ)的鑒權(quán)數(shù)據(jù)計(jì)算的值和從AS接收 到的第二響應(yīng)值比較���,確定一致后對(duì)AS認(rèn)證通過(guò)��。在該IMS終端中�����,還包括收發(fā)模塊���,用于接收會(huì)話標(biāo)識(shí),在采用瀏覽器訪問(wèn)AS時(shí)����,直接采用會(huì)話標(biāo)識(shí)填寫(xiě)。圖6為本發(fā)明提供的認(rèn)證網(wǎng)關(guān)結(jié)構(gòu)示意圖�����,包括收發(fā)模塊及鑒權(quán)模塊����,其中,收發(fā)模塊��,用于從HSS獲取IMS終端的鑒權(quán)數(shù)據(jù)后發(fā)送給鑒權(quán)模塊���,接收AS轉(zhuǎn)發(fā) 的認(rèn)證請(qǐng)求����,將鑒權(quán)數(shù)據(jù)中的隨機(jī)數(shù)攜帶在認(rèn)證響應(yīng)中發(fā)送給AS ;將從AS接收到的響應(yīng)值 發(fā)送給鑒權(quán)模塊���,將從鑒權(quán)模塊接收到的鑒權(quán)通過(guò)結(jié)果發(fā)送給AS �;鑒權(quán)模塊���,用于根據(jù)從收發(fā)模塊接收的隨機(jī)數(shù)和IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算的值��, 與接收到的響應(yīng)值進(jìn)行比較��,確認(rèn)一致后認(rèn)證通過(guò)�����,將認(rèn)證通過(guò)結(jié)果發(fā)送給收發(fā)模塊��。認(rèn)證網(wǎng)關(guān)�,還包括收發(fā)模塊�,還用于接收第二隨機(jī)數(shù)并發(fā)送給鑒權(quán)模塊,將從鑒權(quán)模塊接收到的第二響應(yīng)值�,發(fā)送給AS;鑒權(quán)模塊��,還用于根據(jù)第二隨機(jī)數(shù)和從HSS獲取的IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算得到 第二響應(yīng)值,發(fā)送給收發(fā)模塊�����。認(rèn)證網(wǎng)關(guān)��,還包括收發(fā)模塊���,用于在認(rèn)證后��,生成會(huì)話標(biāo)識(shí)�,發(fā)送給AS�。圖7為本發(fā)明提供的IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證方法流程圖,設(shè)置認(rèn)證 網(wǎng)關(guān)分別與HSS和提供非IMS業(yè)務(wù)的AS交互���,其具體步驟為步驟701�、IMS終端向提供非IMS業(yè)務(wù)的AS發(fā)起認(rèn)證請(qǐng)求��,AS將該認(rèn)證請(qǐng)求轉(zhuǎn)發(fā) 給認(rèn)證網(wǎng)關(guān)��;步驟702����、認(rèn)證網(wǎng)關(guān)接收到認(rèn)證請(qǐng)求后�����,認(rèn)證網(wǎng)關(guān)向HSS獲取IMS終端的鑒權(quán)數(shù) 據(jù)����;在本步驟中�����,認(rèn)證請(qǐng)求攜帶有IMS終端的用戶標(biāo)識(shí)�,認(rèn)證網(wǎng)關(guān)到HSS獲取IMS的鑒 權(quán)數(shù)據(jù)時(shí),根據(jù)用戶標(biāo)識(shí)就可以獲取到���;步驟703��、HSS向認(rèn)證網(wǎng)關(guān)返回IMS終端的鑒權(quán)數(shù)據(jù)后�,由認(rèn)證網(wǎng)關(guān)存儲(chǔ)���,認(rèn)證網(wǎng)關(guān) 向AS發(fā)送生成的隨機(jī)數(shù)����;在本步驟中,并不將鑒權(quán)數(shù)據(jù)發(fā)送給AS��,防止在認(rèn)證IMS終端時(shí)被竊聽(tīng)或假冒鑒 權(quán)��,保證安全性���;步驟704、AS向IMS終端發(fā)送隨機(jī)數(shù)�,IMS終端根據(jù)隨機(jī)數(shù)和自身保存的鑒權(quán)數(shù)據(jù) 計(jì)算響應(yīng)值,發(fā)送給AS����,由AS轉(zhuǎn)發(fā)給認(rèn)證網(wǎng)關(guān);計(jì)算方法為預(yù)先設(shè)定��,和認(rèn)證網(wǎng)關(guān)設(shè)置的計(jì)算方法相同�,比如都可以采用MD5認(rèn) 證方法;步驟705����、認(rèn)證網(wǎng)關(guān)根據(jù)自身生成的隨機(jī)數(shù)和IMS終端的鑒權(quán)數(shù)據(jù),計(jì)算得到的值 和接收到的響應(yīng)值比較�����,確定一致后,IMS終端的認(rèn)證通過(guò)�,完成認(rèn)證,并將認(rèn)證通過(guò)結(jié)果發(fā) 送給AS;在該步驟中��,計(jì)算方法為預(yù)先設(shè)定��,和IMS終端計(jì)算方法相同����;在本步驟中,如果不一致��,則認(rèn)證失?。徊襟E706����、AS接收到后,和IMS終端建立連接����,為IMS終端提供非IMS業(yè)務(wù)。在該過(guò)程中�����,IMS終端還可以對(duì)AS進(jìn)行認(rèn)證,也就是發(fā)送第二隨機(jī)數(shù)給AS��,由AS 轉(zhuǎn)發(fā)給認(rèn)證網(wǎng)關(guān)�����,認(rèn)證網(wǎng)關(guān)根據(jù)第二隨機(jī)數(shù)和IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算得到第二響應(yīng)值��, 通過(guò)AS轉(zhuǎn)發(fā)給IMS終端���,IMS終端接收到后,與根據(jù)第二隨機(jī)數(shù)和自身的鑒權(quán)數(shù)據(jù)計(jì)算的 值比較����,相一致,則確認(rèn)認(rèn)證AS通過(guò)�,獲取AS提供的非IMS業(yè)務(wù)。對(duì)于IMS終端上具有網(wǎng)絡(luò)瀏覽器�����,通過(guò)網(wǎng)絡(luò)瀏覽器獲取非IMS業(yè)務(wù)時(shí)���,由于網(wǎng)絡(luò)瀏 覽器在認(rèn)證過(guò)程中無(wú)法自動(dòng)獲取到IMS終端的鑒權(quán)數(shù)據(jù)�����,需要由用戶填寫(xiě)�,這樣在用戶使 用時(shí)感受不好,因此����,本發(fā)明也對(duì)這種IMS終端的認(rèn)證過(guò)程進(jìn)行了更改。圖8為本發(fā)明提供的具有網(wǎng)絡(luò)瀏覽器的IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證方法 流程圖�����,其具體步驟為步驟801���、具有網(wǎng)絡(luò)瀏覽器的IMS終端啟動(dòng)認(rèn)證過(guò)程����;步驟802��、在按照?qǐng)D7所述的步驟701 步驟705完成對(duì)該IMS終端的認(rèn)證后����,由 認(rèn)證網(wǎng)關(guān)生成會(huì)話標(biāo)識(shí)(SessionID),通過(guò)AS發(fā)送給該IMS終端�;
在發(fā)送過(guò)程中�,為了保證安全性��,可以通過(guò)該IMS終端的鑒權(quán)數(shù)據(jù)加密發(fā)送�,該 IMS終端接收到后再解密;步驟803��、該IMS終端通過(guò)該kssionID從AS中獲取AS所提供的非IMS業(yè)務(wù)���,也就是將kssionID保存在網(wǎng)絡(luò)瀏覽器的Cookie中��,在訪問(wèn)AS時(shí)����,就可以直接從 Cookie中得到進(jìn)行填寫(xiě)后���,獲取AS提供非IMS業(yè)務(wù)。在本步驟中��,AS通過(guò)kssionID識(shí)別該IMS終端�����。以下對(duì)上述兩個(gè)方法舉例進(jìn)行詳細(xì)說(shuō)明����。圖9為本發(fā)明提供的IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證方法實(shí)施例一流程圖�����, 設(shè)置認(rèn)證網(wǎng)關(guān)分別與HSS和提供非IMS業(yè)務(wù)的AS交互����,在該方案中���,假設(shè)IMS終端的鑒權(quán) 數(shù)據(jù)為H(Al)���,其具體步驟為步驟901、IMS終端登陸IMS���,完成現(xiàn)有的IMS注冊(cè)和認(rèn)證過(guò)程��;這是現(xiàn)有技術(shù)�,這里不再累述���;步驟902��、IMS終端向提供非IMS業(yè)務(wù)的AS2發(fā)送認(rèn)證請(qǐng)求����;在本步驟中,認(rèn)證請(qǐng)求為HTTP請(qǐng)求���,攜帶網(wǎng)際協(xié)議多媒體公共標(biāo)識(shí)(IMPU)���,該 IMPU在IMS中唯一標(biāo)識(shí)IMS終端;步驟903�、AS2將接收到認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給認(rèn)證網(wǎng)關(guān),該認(rèn)證請(qǐng)求攜帶IMPU ����;步驟904、認(rèn)證網(wǎng)關(guān)接收到該請(qǐng)求后���,根據(jù)攜帶的IMPU通過(guò)接口證從HSS獲取IMS 終端的鑒權(quán)數(shù)據(jù);在本步驟中�,獲取的鑒權(quán)數(shù)據(jù)為H(Al);步驟905�����、HSS將H(Al)發(fā)送給認(rèn)證網(wǎng)關(guān)�����;步驟906、認(rèn)證網(wǎng)關(guān)保存H(Al)�,將生成的隨機(jī)數(shù)攜帶在認(rèn)證響應(yīng)中發(fā)送給AS2 ;步驟907��、AS2發(fā)起HTTP Digest雙向認(rèn)證���;步驟908�����、AS2向IMS終端發(fā)送HTTP認(rèn)證響應(yīng)��,攜帶隨機(jī)數(shù)���;步驟909、IMS終端根據(jù)IMPU和由IMS終端的密碼計(jì)算出H(Al)參數(shù)��,根據(jù)H(Al) 參數(shù)和隨機(jī)數(shù)計(jì)算得到響應(yīng)值�;步驟910、IMS終端向AS2返回響應(yīng)值及IMS終端生成的第二隨機(jī)數(shù)�����;步驟911、AS2轉(zhuǎn)發(fā)該響應(yīng)值及IMS終端生成的第二隨機(jī)數(shù)給認(rèn)證網(wǎng)關(guān)���,認(rèn)證網(wǎng)關(guān) 基于IMS終端的鑒權(quán)數(shù)據(jù)和自身生成的隨機(jī)數(shù)計(jì)算得到的值和響應(yīng)值比較�����,相一致�����,通過(guò) 認(rèn)證��;根據(jù)第二隨機(jī)數(shù)和H(Al)計(jì)算得到第二響應(yīng)值���;步驟912、認(rèn)證網(wǎng)關(guān)將得到的第二響應(yīng)值攜帶在認(rèn)證通過(guò)結(jié)果中發(fā)送給AS2 ����;步驟913、AS2將該認(rèn)證通過(guò)結(jié)果發(fā)送給IMS終端�,IMS終端根據(jù)第二隨機(jī)數(shù)以及 IMPU參數(shù)和由IMS終端的密碼計(jì)算出H(Al)計(jì)算得到的值和第二響應(yīng)值比較�,相一致后,通 過(guò)認(rèn)證��;在本步驟中,該認(rèn)證通過(guò)結(jié)果通過(guò)2000K消息發(fā)送��;步驟914�����、IMS終端和AS2之間建立連接�,IMS終端從AS2獲取非IMS業(yè)務(wù)。圖10為本發(fā)明提供的具有網(wǎng)絡(luò)瀏覽器的IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證方 法實(shí)施例一流程圖��,其具體步驟為步驟1001���、IMS終端登陸IMS����,完成現(xiàn)有的IMS注冊(cè)和認(rèn)證過(guò)程���;步驟1002�����、IMS終端向提供非IMS業(yè)務(wù)的AS2發(fā)送認(rèn)證請(qǐng)求��;
11
在本步驟中�,認(rèn)證請(qǐng)求為HTTP請(qǐng)求,攜帶參數(shù)IMPU �;步驟1003、AS2將接收到認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給認(rèn)證網(wǎng)關(guān)����,該認(rèn)證請(qǐng)求攜帶IMPU ;步驟1004�、認(rèn)證網(wǎng)關(guān)接收到該請(qǐng)求后,根據(jù)攜帶的IMPU參數(shù)通過(guò)Si接口從HSS獲 取IMS終端的鑒權(quán)數(shù)據(jù)�����;步驟1005��、HSS將IMS終端的鑒權(quán)數(shù)據(jù)發(fā)送給認(rèn)證網(wǎng)關(guān)�;步驟1006、認(rèn)證網(wǎng)關(guān)保存IMS終端的鑒權(quán)數(shù)據(jù)���,將生成的隨機(jī)數(shù)攜帶在認(rèn)證響應(yīng) 中發(fā)送給AS2;步驟1007���、AS2 發(fā)起 HTTP Digest 雙向認(rèn)證;步驟1008���、AS2向IMS終端發(fā)送HTTP認(rèn)證響應(yīng)����,攜帶隨機(jī)數(shù)�;步驟1009、IMS終端根據(jù)IMPU參數(shù)和由IMS終端的密碼計(jì)算出H(Al)�,根據(jù)H(Al) 和隨機(jī)數(shù)計(jì)算得到響應(yīng)值;步驟1010�、IMS終端向AS2返回響應(yīng)值及IMS終端生成的第二隨機(jī)數(shù);步驟1011�、AS2轉(zhuǎn)發(fā)該響應(yīng)值及IMS終端生成的第二隨機(jī)數(shù)給認(rèn)證網(wǎng)關(guān),認(rèn)證 網(wǎng)關(guān)基于IMS終端的鑒權(quán)數(shù)據(jù)和自身生成的隨機(jī)數(shù)計(jì)算得到的值和響應(yīng)值比較�,相一致, 通過(guò)認(rèn)證���;根據(jù)第二隨機(jī)數(shù)和IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算得到第二響應(yīng)值���;認(rèn)證網(wǎng)關(guān)生成 kssionID,采用 H(Al)加密后��,即 ^l0u) GessionID)���;步驟1012����、認(rèn)證網(wǎng)關(guān)將得到的第二響應(yīng)值、SessionID以及(SessionID)攜帶 在認(rèn)證通過(guò)結(jié)果中發(fā)送給AS2 ���;步驟1013�����、AS2將第二響應(yīng)值以及(SessionID)攜帶在認(rèn)證通過(guò)結(jié)果中發(fā)送 給IMS終端����;在自身保存IMPU和kssionID的對(duì)應(yīng)關(guān)系���;IMS終端根據(jù)第二隨機(jī)數(shù)以及IMPU參數(shù)和由IMS終端的密碼計(jì)算出H(Al)參數(shù)計(jì) 算得到的值和第二響應(yīng)值比較���,相一致后,通過(guò)認(rèn)證����,采用H(Al)解密(SessionID),得 至Ij SessionID ����;IMS終端以SessionID和IMPU作為統(tǒng)一資源定位(URL)參數(shù)啟動(dòng)網(wǎng)絡(luò)瀏覽器����,向 AS2發(fā)送HTTP請(qǐng)求�����,攜帶IMPU和kssionID ���;在本步驟中,該認(rèn)證通過(guò)結(jié)果通過(guò)2000K消息發(fā)送����;步驟1014、AS2接收到該HTTP請(qǐng)求后�����,根據(jù)保存的對(duì)應(yīng)關(guān)系對(duì)攜帶IMPU和 kssionID進(jìn)行認(rèn)證����,如果認(rèn)證通過(guò),刪除該條所保存的對(duì)應(yīng)關(guān)系���,防止重放攻擊�;步驟1015、AS2在對(duì)應(yīng)該IMS終端所具有的瀏覽器的Cookie中采用IMPU和 SessionID標(biāo)識(shí)該IMS終端����;在本步驟后,該IMS終端在運(yùn)行瀏覽器時(shí)���,直接請(qǐng)求AS2通過(guò)Cookie認(rèn)證�����,無(wú)需再 次進(jìn)行上述步驟的認(rèn)證了���;步驟1016、AS2和該IMS終端建立連接��,為該IMS終端提供非IMS業(yè)務(wù)���。在上述兩個(gè)過(guò)程中�����,由于AS有可能處于非信任域��,而認(rèn)證網(wǎng)關(guān)為IMS中的網(wǎng)元�,為 了保證認(rèn)證網(wǎng)關(guān)的安全性,在AUG和AS之間����,可以采用建立的傳輸層安全/互聯(lián)網(wǎng)協(xié)議安 全(TLS/IPkc)隧道的方式進(jìn)行信息交互,保證安全性�。在本發(fā)明中,當(dāng)進(jìn)行了如圖9的認(rèn)證后�,還可以由認(rèn)證網(wǎng)關(guān)將IMS終端的鑒權(quán)數(shù)據(jù) H(Al)加密,比如和AS2的域名計(jì)算����,得到加密值H(Al)��,�����,然后發(fā)送給AS2����,AS2采用該加密 值H(Al),和IMS終端之間進(jìn)行認(rèn)證����,從而增強(qiáng)了 AS的功能���。以下以一般的IMS終端和具
12有瀏覽器的IMS終端分別舉例說(shuō)明這個(gè)方案。圖11為本發(fā)明提供的本發(fā)明提供的IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證方法實(shí) 施例二流程圖�,其具體步驟為步驟1101、IMS終端登陸IMS�,完成現(xiàn)有的IMS注冊(cè)和認(rèn)證過(guò)程;步驟1102����、IMS終端向提供非IMS業(yè)務(wù)的AS2發(fā)送認(rèn)證請(qǐng)求;在本步驟中����,認(rèn)證請(qǐng)求為HTTP請(qǐng)求,攜帶IMPU �����;步驟1103��、AS2判斷是否保存有IMPU對(duì)應(yīng)的H(Al) ’��,如果有�,則直接生成隨機(jī)數(shù) 發(fā)送給IMS終端,和IMS終端之間完成HTTP digest認(rèn)證過(guò)程(這個(gè)過(guò)程和現(xiàn)有技術(shù)相 同,這里不再累述)�;如果沒(méi)有,則AS2將接收到認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給認(rèn)證網(wǎng)關(guān)����,該認(rèn)證請(qǐng)求攜帶 IMPU ;步驟1104��、認(rèn)證網(wǎng)關(guān)接收到該請(qǐng)求后����,根據(jù)攜帶的IMPU參數(shù)通過(guò)證接口從HSS獲 取IMS終端的鑒權(quán)數(shù)據(jù);整個(gè)的獲取過(guò)程為認(rèn)證網(wǎng)關(guān)向HSS發(fā)送用戶位置信息查詢(LIR)消息�,以查詢 IMPU當(dāng)前注冊(cè)的S-CSCF的全稱域名(FQDN);HSS向認(rèn)證網(wǎng)關(guān)發(fā)送LIA消息���;認(rèn)證網(wǎng)關(guān)對(duì)HSS返回的LIA消息進(jìn)行判斷如果IMPU為通配IMPU,則向AS2發(fā)送 失敗應(yīng)答�����,如果IMPU對(duì)應(yīng)的IMS終端未注冊(cè)到IMS�����,則向AS2返回失敗應(yīng)答,如果IMPU對(duì)應(yīng) 的IMS終端已經(jīng)成功注冊(cè)��,認(rèn)證網(wǎng)關(guān)從LIA消息的krver-Name AVP中獲取為IMS終端注 冊(cè)的 S-CSCF 的 FQDN �;認(rèn)證網(wǎng)關(guān)根據(jù)IMPU和IMS私有用戶標(biāo)識(shí)(IMPI)對(duì)應(yīng)規(guī)則導(dǎo)出IMS終端的IMPI ;認(rèn)證網(wǎng)關(guān)將攜帶IMPU��、IMPI和FQDN為參數(shù)向HSS發(fā)送多媒體認(rèn)證請(qǐng)求消息 (MAR)��;HSS返回多媒體認(rèn)證響應(yīng)(MAA中文解釋Multimedia Auth Answer,)消息����,攜帶 IMS終端的鑒權(quán)數(shù)據(jù)H(Al);步驟1105�����、認(rèn)證網(wǎng)關(guān)保存IMS終端的鑒權(quán)數(shù)據(jù)���,將生成的隨機(jī)數(shù)攜帶在認(rèn)證響應(yīng) 中發(fā)送給AS2;在本步驟中����,認(rèn)證響應(yīng)為HTTP 401 Unauthentication應(yīng)答�;步驟1106、AS2向IMS終端發(fā)送HTTP認(rèn)證響應(yīng)��,攜帶隨機(jī)數(shù);在本步驟中��,該消息為HTTP401消息�;步驟1107、IMS終端根據(jù)IMPU參數(shù)和由IMS終端的密碼計(jì)算出H(Al)��,根據(jù)H(Al) 和隨機(jī)數(shù)計(jì)算得到響應(yīng)值����;在本步驟中,IMS終端根據(jù)保存的在IMS域密碼及AS的FQDNas采用MD5加密算法 計(jì)算H(Al) ’�����,然后根據(jù)H(Al)����,和隨機(jī)數(shù)計(jì)算得到響應(yīng)值;步驟1108�、IMS終端向AS2返回響應(yīng)值及IMS終端生成的第二隨機(jī)數(shù)��;步驟1109�、AS2轉(zhuǎn)發(fā)該響應(yīng)值及IMS終端生成的第二隨機(jī)數(shù)給認(rèn)證網(wǎng)關(guān),認(rèn)證網(wǎng)關(guān) 基于IMS終端的鑒權(quán)數(shù)據(jù)和自身生成的隨機(jī)數(shù)計(jì)算得到的值和響應(yīng)值比較�,相一致,通過(guò) 認(rèn)證;根據(jù)第二隨機(jī)數(shù)和IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算得到第二響應(yīng)值���;在本步驟中�����,認(rèn)證網(wǎng)關(guān)計(jì)算值的方法和IMS終端的方式一致���;在本步驟中,認(rèn)證網(wǎng)關(guān)還根據(jù)保存的在IMS域密碼及AS的FQDNas采用MD5加密算法計(jì)算H(Al) ’ �;步驟1110、認(rèn)證網(wǎng)關(guān)將得到的第二響應(yīng)值以及H(Al) ’攜帶在認(rèn)證通過(guò)結(jié)果中發(fā) 送給AS2 �;步驟1112、AS2對(duì)應(yīng)IMS終端的IMPU保存H(Al) ’��,將攜帶第二響應(yīng)值的認(rèn)證通過(guò) 結(jié)果發(fā)送給IMS終端�,IMS終端根據(jù)第二隨機(jī)數(shù)以及IMPU參數(shù)和由IMS終端的密碼計(jì)算出 H(Al)參數(shù)計(jì)算得到的值和第二響應(yīng)值比較,相一致后���,通過(guò)認(rèn)證�;在該步驟中��,還包括將H(Al)�,對(duì)應(yīng)IMS終端的Cookie設(shè)置��;在本步驟中���,該認(rèn)證通過(guò)結(jié)果通過(guò)2000K消息發(fā)送;步驟1113�、IMS終端和AS2之間建立連接,IMS終端從AS2獲取非IMS業(yè)務(wù)����,在IMS 終端后續(xù)訪問(wèn)AS2時(shí),將攜帶該Cookie ;步驟1114、當(dāng)該Cookie失效后��,當(dāng)IMS終端訪問(wèn)AS2時(shí),IMS2終端之間和AS2通 過(guò)H(Al) ’認(rèn)證����,不需要認(rèn)證網(wǎng)關(guān)參與,節(jié)省認(rèn)證的步驟及時(shí)間���。在該過(guò)程中�,認(rèn)證網(wǎng)關(guān)和HSS之間除了接口 sh外�,還采用了 Cx接口�����,用于查詢IMS 終端當(dāng)前注冊(cè)的S-CSCF的FQDN,對(duì)于認(rèn)證網(wǎng)關(guān)和HSS之間采用Cx接口時(shí)���,步驟1107中的 AS的FQDNas為IMS終端當(dāng)前的S-CSCF�,對(duì)于AUG和Hss之間采用選接口時(shí)��,步驟1107中 的AS可以直接采用認(rèn)證網(wǎng)關(guān)的FQDN�����。圖12為本發(fā)明提供的具有網(wǎng)絡(luò)瀏覽器的IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證方 法實(shí)施例二流程圖���,其具體步驟為步驟1201�、IMS終端登陸IMS�,完成現(xiàn)有的IMS注冊(cè)和認(rèn)證過(guò)程;步驟1202��、IMS終端向提供非IMS業(yè)務(wù)的AS2發(fā)送認(rèn)證請(qǐng)求��;在本步驟中�,認(rèn)證請(qǐng)求為HTTP請(qǐng)求,攜帶IMPU ����;步驟1203���、AS2判斷是否保存有IMPU對(duì)應(yīng)的H(Al),��,如果有�����,則直接生成隨機(jī)數(shù) 發(fā)送給IMS終端��,和IMS終端之間完成HTTP digest認(rèn)證過(guò)程(這個(gè)過(guò)程和現(xiàn)有技術(shù)相 同����,這里不再累述);如果沒(méi)有�����,則AS2將接收到認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給認(rèn)證網(wǎng)關(guān)�����,該認(rèn)證請(qǐng)求攜帶 IMPU �;步驟1204�、認(rèn)證網(wǎng)關(guān)接收到該請(qǐng)求后�����,根據(jù)攜帶的IMPU參數(shù)通過(guò)Si接口從HSS獲 取IMS終端的鑒權(quán)數(shù)據(jù)�;整個(gè)的獲取過(guò)程為認(rèn)證網(wǎng)關(guān)向HSS發(fā)送LIR消息�����,以查詢IMPU當(dāng)前注冊(cè)的 S-CSCF的全稱域名(FQDN)�����;HSS向認(rèn)證網(wǎng)關(guān)發(fā)送LIA消息���;認(rèn)證網(wǎng)關(guān)對(duì)HSS返回的LIA消息進(jìn)行判斷如果IMPU為通配IMPU�,則向AS2發(fā)送 失敗應(yīng)答��,如果IMPU對(duì)應(yīng)的IMS終端未注冊(cè)到IMS��,則向AS2返回失敗應(yīng)答����,如果IMPU對(duì)應(yīng) 的IMS終端已經(jīng)成功注冊(cè)���,認(rèn)證網(wǎng)關(guān)從LIA消息的krver-Name AVP中獲取為IMS終端注 冊(cè)的 S-CSCF 的 FQDN ;認(rèn)證網(wǎng)關(guān)根據(jù)IMPU和IMPI對(duì)應(yīng)規(guī)則導(dǎo)出IMS終端的IMPI ���;認(rèn)證網(wǎng)關(guān)將攜帶IMPU����、IMPI和FQDN為參數(shù)向HSS發(fā)送MAR消息�����;HSS返回MAA響應(yīng)消息����,攜帶IMS終端的鑒權(quán)數(shù)據(jù)H(Al);步驟1205�����、認(rèn)證網(wǎng)關(guān)保存IMS終端的鑒權(quán)數(shù)據(jù)�,將生成的隨機(jī)數(shù)攜帶在認(rèn)證響應(yīng) 中發(fā)送給AS2;
在本步驟中,認(rèn)證響應(yīng)為HTTP 401 Unauthentication應(yīng)答����;步驟1206�����、AS2向IMS終端發(fā)送HTTP認(rèn)證響應(yīng)���,攜帶隨機(jī)數(shù)��;在本步驟中��,該消息為HTTP401消息�����;步驟1207����、IMS終端根據(jù)IMPU參數(shù)和由IMS終端的密碼計(jì)算出H(Al),根據(jù)H(Al) 和隨機(jī)數(shù)計(jì)算得到響應(yīng)值��;在本步驟中���,IMS終端根據(jù)保存的在IMS域密碼及AS的FQDNAS采用MD5加密算 法計(jì)算H(A1)’�����,然后根據(jù)H(A1)’和隨機(jī)數(shù)計(jì)算得到響應(yīng)值���;步驟1208����、IMS終端向AS2返回響應(yīng)值及IMS終端生成的第二隨機(jī)數(shù)���;步驟1209��、AS2轉(zhuǎn)發(fā)該響應(yīng)值及IMS終端生成的第二隨機(jī)數(shù)給認(rèn)證網(wǎng)關(guān)��,認(rèn)證網(wǎng)關(guān) 基于IMS終端的鑒權(quán)數(shù)據(jù)和自身生成的隨機(jī)數(shù)計(jì)算得到的值和響應(yīng)值比較�����,相一致���,通過(guò) 認(rèn)證;根據(jù)第二隨機(jī)數(shù)和IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算得到第二響應(yīng)值����;在本步驟中�,認(rèn)證網(wǎng)關(guān)還生成kssionID作為AS2和IMS終端具有的網(wǎng)絡(luò)瀏覽器 交互一次的會(huì)話標(biāo)識(shí)��,采用H(Al)加密后����,即(SessionID);在本步驟中����,認(rèn)證網(wǎng)關(guān)計(jì)算值的方法和IMS終端的方式一致;步驟1210�����、認(rèn)證網(wǎng)關(guān)將得到的第二響應(yīng)值�����、H(Al)���,、SessionID及^l0u) (SessionID)攜帶在認(rèn)證通過(guò)結(jié)果中發(fā)送給AS2 �����;步驟1211、AS2對(duì)應(yīng)IMS終端的IMPU保存H(Al)�����,����,將攜帶第二響應(yīng)值和(A1) (SessionID)的認(rèn)證通過(guò)結(jié)果發(fā)送給IMS終端,IMS終端根據(jù)第二隨機(jī)數(shù)以及IMPU參數(shù)和 由IMS終端的密碼計(jì)算出H(Al)參數(shù)計(jì)算得到的值和第二響應(yīng)值比較��,相一致后����,通過(guò)認(rèn) 證;IMS 終端解密 (SessionID)��,得到 kssionID ���;在該步驟中���,還包括將H(Al),對(duì)應(yīng)IMS終端的Cookie設(shè)置��;在本步驟中�,該認(rèn)證通過(guò)結(jié)果通過(guò)2000K消息發(fā)送����;在該步驟中���,AS2還保存IMPU和kssionID的對(duì)應(yīng)關(guān)系�����;步驟1212���、IMS終端以kssionID和IMPU作為URL參數(shù)啟動(dòng)網(wǎng)絡(luò)瀏覽器,向AS2 發(fā)送HTTP請(qǐng)求�����,攜帶IMPU和SessionID ��;在本步驟中���,該認(rèn)證通過(guò)結(jié)果通過(guò)2000K消息發(fā)送;步驟1213���、AS2接收到該HTTP請(qǐng)求后����,根據(jù)保存的對(duì)應(yīng)關(guān)系對(duì)攜帶IMPU和 kssionID進(jìn)行認(rèn)證,如果認(rèn)證通過(guò)�,刪除該條所保存的對(duì)應(yīng)關(guān)系,防止重放攻擊��;步驟1214�、AS2在對(duì)應(yīng)該IMS終端所具有的瀏覽器的Cookie中采用IMPU和 SessionID標(biāo)識(shí)該IMS終端;在本步驟后��,該IMS終端在運(yùn)行瀏覽器時(shí)�����,直接請(qǐng)求AS2通過(guò)Cookie認(rèn)證����,無(wú)需再 次進(jìn)行上述步驟的認(rèn)證了;步驟1215��、AS2和該IMS終端建立連接�����,為該IMS終端提供非IMS業(yè)務(wù)�����。步驟1216、當(dāng)該Cookie失效后����,當(dāng)IMS終端訪問(wèn)AS2時(shí),IMS2終端之間和AS2通 過(guò)H(Al)����,認(rèn)證。在上述兩個(gè)實(shí)施例中����,在IMS終端從HSS獲取IMS終端的鑒權(quán)數(shù)據(jù)時(shí),當(dāng)HSS接到 認(rèn)證網(wǎng)關(guān)發(fā)送的MAR請(qǐng)求消息后�����,會(huì)比較其中的krver-name所指明的S-CSCF是否與其中 已保存的相同����,如果不同則會(huì)觸發(fā)對(duì)IMS終端當(dāng)前服務(wù)的S-CSCF的一個(gè)去注冊(cè)過(guò)程����,為了 避免該問(wèn)題�����,本發(fā)明提供的方法有兩種解決方式
方式一�,在認(rèn)證網(wǎng)關(guān)上配置IMS終端的IMPU和S-CSCF之間的對(duì)應(yīng)關(guān)系�����,認(rèn)證網(wǎng)關(guān) 在轉(zhuǎn)發(fā)該MAR認(rèn)證請(qǐng)求時(shí)�,攜帶S-CSCF信息;方式二���,認(rèn)證網(wǎng)關(guān)在接收到AS2發(fā)送的認(rèn)證請(qǐng)求時(shí)�,先向HSS發(fā)送UR請(qǐng)求獲取 IMS終端當(dāng)前服務(wù)的S-CSCF����,再在MAR請(qǐng)求中攜帶S-CSCF信息。在本發(fā)明中���,IMS終端在第一次經(jīng)過(guò)認(rèn)證后���,認(rèn)證網(wǎng)關(guān)保存了 IMS終端的鑒權(quán)數(shù)據(jù) 和隨機(jī)數(shù),在下次認(rèn)證時(shí)����,可以重新使用并認(rèn)證����。保存時(shí)可以定期更新����。采用本發(fā)明提供的系統(tǒng)、裝置及方法����,提供了對(duì)IMS終端和不同AS之間的統(tǒng)一認(rèn) 證平臺(tái),降低了獲取非IMS業(yè)務(wù)時(shí)的復(fù)雜度���,改進(jìn)用戶使用感受�;為IMS終端提供非IMS業(yè) 務(wù)的AS不具有IMS終端的鑒權(quán)數(shù)據(jù)�,減少了 AS的認(rèn)證過(guò)程和數(shù)據(jù)維護(hù)負(fù)擔(dān);設(shè)置的認(rèn)證 網(wǎng)關(guān)在認(rèn)證時(shí)���,不將IMS終端的鑒權(quán)數(shù)據(jù)下發(fā)到AS上�����,防止了篡改�����、竊聽(tīng)及虛假鑒權(quán)����;具有 網(wǎng)絡(luò)瀏覽器的IMS終端在認(rèn)證過(guò)程中�����,采用kssionID進(jìn)行加密傳輸���,防止kssionID被篡 改��,并通過(guò)對(duì)kssionID傳遞以及存儲(chǔ)關(guān)系的處理���,防止重放攻擊。以上舉較佳實(shí)施例����,對(duì)本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)進(jìn)行了進(jìn)一步詳細(xì)說(shuō)明�,所 應(yīng)理解的是,以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明���,凡在本發(fā)明的 精神和原則之內(nèi)���,所作的任何修改、等同替換和改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之 內(nèi)��。
1權(quán)利要求
1.一種IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證系統(tǒng)�,包括IMS和提供非IMS業(yè)務(wù)的應(yīng)用 服務(wù)器AS���,其特征在于����,還包括認(rèn)證網(wǎng)關(guān)���,其中����,IMS中的HSS�����,用于給認(rèn)證網(wǎng)關(guān)提供IMS終端的鑒權(quán)數(shù)據(jù);IMS中的IMS終端�,用于向AS發(fā)起認(rèn)證請(qǐng)求�,根據(jù)AS返回的認(rèn)證響應(yīng)攜帶的隨機(jī)數(shù)和 自身存儲(chǔ)的鑒權(quán)數(shù)據(jù)計(jì)算得到響應(yīng)值后發(fā)送給AS ;從AS獲取非IMS業(yè)務(wù)�;AS,用于將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給認(rèn)證網(wǎng)關(guān)���,將認(rèn)證網(wǎng)關(guān)返回的攜帶隨機(jī)數(shù)的認(rèn)證響應(yīng)轉(zhuǎn)發(fā) 給IMS終端�����,將IMS終端發(fā)送的響應(yīng)值轉(zhuǎn)發(fā)給認(rèn)證網(wǎng)關(guān)���,接收認(rèn)證網(wǎng)關(guān)發(fā)送的認(rèn)證通過(guò)結(jié)果 后與IMS終端建立連接,給IMS終端提供非IMS業(yè)務(wù)�;認(rèn)證網(wǎng)關(guān),用于從HSS獲取IMS終端的鑒權(quán)數(shù)據(jù)�����;接收AS轉(zhuǎn)發(fā)的認(rèn)證請(qǐng)求后����,將生成的 隨機(jī)數(shù)攜帶在認(rèn)證響應(yīng)中發(fā)送給AS��,從AS接收響應(yīng)值后����,采用生成的隨機(jī)數(shù)和從HSS獲取 的鑒權(quán)數(shù)據(jù)計(jì)算的值與從AS接收的響應(yīng)值進(jìn)行比較����,確認(rèn)一致后認(rèn)證通過(guò),發(fā)送認(rèn)證通過(guò) 結(jié)果給AS0
2.如權(quán)利要求1所述的系統(tǒng)���,其特征在于�����,IMS終端�,還用于生成第二隨機(jī)數(shù)發(fā)送給AS�����,采用第二隨機(jī)數(shù)和自身存儲(chǔ)的鑒權(quán)數(shù)據(jù) 計(jì)算的值與從AS接收的第二響應(yīng)值比較�����,確定一致后對(duì)AS認(rèn)證通過(guò);AS��,還用于將第二隨機(jī)數(shù)轉(zhuǎn)發(fā)給認(rèn)證網(wǎng)關(guān)�,將第二響應(yīng)值發(fā)送給IMS終端; 認(rèn)證網(wǎng)關(guān)�,還用于根據(jù)第二隨機(jī)數(shù)和從HSS獲取的IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算得到第二 響應(yīng)值,發(fā)送給AS�。
3.如權(quán)利要求1或2所述的系統(tǒng)����,其特征在于,當(dāng)IMS終端為具有網(wǎng)絡(luò)瀏覽器的終端時(shí)���,所述認(rèn)證網(wǎng)關(guān)�,還用于生成會(huì)話標(biāo)識(shí)kssionID發(fā)送給AS��,由AS發(fā)送給IMS終端���,存儲(chǔ) 在網(wǎng)絡(luò)瀏覽器的Cookie中進(jìn)行認(rèn)證使用����。
4.一種IMS終端在獲取非IMS業(yè)務(wù)時(shí)的IMS終端�����,其特征在于,包括收發(fā)模塊�����、計(jì)算 模塊及存儲(chǔ)模塊����,其中,收發(fā)模塊����,用于向AS發(fā)起認(rèn)證請(qǐng)求,將從AS接收的攜帶隨機(jī)數(shù)認(rèn)證響應(yīng)發(fā)送給計(jì)算模 塊�����;從計(jì)算模塊接收響應(yīng)值發(fā)送給AS ���;從AS獲取非IMS業(yè)務(wù)�����;計(jì)算模塊����,用于根據(jù)隨機(jī)數(shù)和從存儲(chǔ)模塊獲取的IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算得到響應(yīng)值 后發(fā)送給收發(fā)模塊;存儲(chǔ)模塊�,用于存儲(chǔ)IMS終端的鑒權(quán)數(shù)據(jù)。
5.如權(quán)利要求4所述的IMS終端�,其特征在于,收發(fā)模塊�,還用于生成第二隨機(jī)數(shù)發(fā)送給AS,將第二隨機(jī)數(shù)發(fā)送給計(jì)算模塊��; 計(jì)算模塊���,還用于采用第二隨機(jī)數(shù)和自身存儲(chǔ)的鑒權(quán)數(shù)據(jù)計(jì)算的值與從AS接收到的 第二響應(yīng)值比較,確定一致后對(duì)AS認(rèn)證通過(guò)��。
6.如權(quán)利要求4或5所述的IMS終端�,其特征在于,收發(fā)模塊�����,還用于接收會(huì)話標(biāo)識(shí)���,在采用瀏覽器訪問(wèn)AS時(shí)���,直接采用會(huì)話標(biāo)識(shí)填寫(xiě)��。
7.—種IMS終端在獲取非IMS業(yè)務(wù)時(shí)的認(rèn)證網(wǎng)關(guān)��,其特征在于�����,包括收發(fā)模塊及鑒權(quán) 模塊��,其中�,收發(fā)模塊�,用于從HSS獲取IMS終端的鑒權(quán)數(shù)據(jù)后發(fā)送給鑒權(quán)模塊,接收AS轉(zhuǎn)發(fā)的認(rèn) 證請(qǐng)求����,將鑒權(quán)數(shù)據(jù)中的隨機(jī)數(shù)攜帶在認(rèn)證響應(yīng)中發(fā)送給AS ;將從AS接收到的響應(yīng)值發(fā)送給鑒權(quán)模塊����,將從鑒權(quán)模塊接收到的鑒權(quán)通過(guò)結(jié)果發(fā)送給AS ;鑒權(quán)模塊��,用于根據(jù)從收發(fā)模塊接收的隨機(jī)數(shù)和IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算的值,與接 收到的響應(yīng)值進(jìn)行比較�,確認(rèn)一致后認(rèn)證通過(guò),將認(rèn)證通過(guò)結(jié)果發(fā)送給收發(fā)模塊��。
8.如權(quán)利要求7所述的認(rèn)證網(wǎng)關(guān)�����,其特征在于���,收發(fā)模塊�,還用于接收第二隨機(jī)數(shù)并發(fā) 送給鑒權(quán)模塊�,將從鑒權(quán)模塊接收到的第二響應(yīng)值,發(fā)送給AS ��;鑒權(quán)模塊���,還用于根據(jù)第二隨機(jī)數(shù)和從HSS獲取的IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算得到第二 響應(yīng)值,發(fā)送給收發(fā)模塊��。
9.如權(quán)利要求7或8所述的認(rèn)證網(wǎng)關(guān)���,其特征在于����, 收發(fā)模塊,用于在認(rèn)證后��,生成會(huì)話標(biāo)識(shí)�,發(fā)送給AS。
10.一種IMS終端在獲取非IMS業(yè)務(wù)時(shí)的方法����,其特征在于,設(shè)置認(rèn)證網(wǎng)關(guān)���,該方法包括IMS終端通過(guò)提供非IMS業(yè)務(wù)的AS將認(rèn)證請(qǐng)求發(fā)送給認(rèn)證網(wǎng)關(guān)��; 認(rèn)證網(wǎng)關(guān)通過(guò)該AS向IMS終端發(fā)送生成的隨機(jī)數(shù)����;IMS終端根據(jù)隨機(jī)數(shù)和自身保存的鑒權(quán)數(shù)據(jù)計(jì)算響應(yīng)值��,通過(guò)該AS轉(zhuǎn)發(fā)給認(rèn)證網(wǎng)關(guān)�; 認(rèn)證網(wǎng)關(guān)根據(jù)自身生成的隨機(jī)數(shù)和從HSS獲取到的IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算,計(jì)算得 到的值與接收到的響應(yīng)值比較�����,確定一致后,IMS終端的認(rèn)證通過(guò)���,完成認(rèn)證���,并將認(rèn)證通過(guò) 結(jié)果發(fā)送給該AS ;該AS和IMS終端建立連接���,為IMS終端提供非IMS業(yè)務(wù)�。
11.如權(quán)利要求10所述的方法���,其特征在于���,該方法還包括 IMS終端通過(guò)AS轉(zhuǎn)發(fā)第二隨機(jī)數(shù)給認(rèn)證網(wǎng)關(guān);認(rèn)證網(wǎng)關(guān)根據(jù)第二隨機(jī)數(shù)和從HSS獲取到的IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算得到第二響應(yīng) 值����,通過(guò)AS轉(zhuǎn)發(fā)給IMS終端;IMS終端接收到后��,與根據(jù)第二隨機(jī)數(shù)和自身的鑒權(quán)數(shù)據(jù)計(jì)算的值比較����,相一致,則確 認(rèn)認(rèn)證AS通過(guò)��,獲取AS提供的非IMS業(yè)務(wù)���。
12.如權(quán)利要求10或11所述的方法�,其特征在于�,當(dāng)IMS終端上具有網(wǎng)絡(luò)瀏覽器,通過(guò) 網(wǎng)絡(luò)瀏覽器獲取非IMS業(yè)務(wù)時(shí)����,在認(rèn)證后,該方法還包括在認(rèn)證網(wǎng)關(guān)生成會(huì)話標(biāo)識(shí)���,通過(guò)該AS發(fā)送給該IMS終端���;該IMS終端所具有的網(wǎng)絡(luò)瀏覽器通過(guò)該會(huì)話標(biāo)識(shí)從該AS中獲取AS所提供的非IMS業(yè)務(wù)。
13.如權(quán)利要求12所述的方法��,其特征在于�����,所述會(huì)話標(biāo)識(shí)加密發(fā)送��; 所述該IMS終端接收到后解密得到會(huì)話標(biāo)識(shí)。
14.如權(quán)利要求10或11所述的方法�����,其特征在于����,所述從HSS獲取IMS終端的鑒權(quán)數(shù) 據(jù)時(shí),攜帶IMS終端當(dāng)前注冊(cè)的S-CSCF信息�,該S-CSCF保存在認(rèn)證網(wǎng)關(guān)或者預(yù)先從HSS中 獲取。
15.如權(quán)利要求10或11所述的方法�,其特征在于,該方法還包括 認(rèn)證網(wǎng)關(guān)提供采用AS加密的IMS終端的鑒權(quán)數(shù)據(jù)給AS �����;AS在下次認(rèn)證時(shí)�����,使用該AS加密的IMS終端的鑒權(quán)數(shù)據(jù)對(duì)IMS終端進(jìn)行認(rèn)證��。
全文摘要
一種IMS終端在獲取非IMS業(yè)務(wù)時(shí)的系統(tǒng)�、裝置及方法,設(shè)置認(rèn)證網(wǎng)關(guān)���,IMS終端通過(guò)提供非IMS業(yè)務(wù)的AS將認(rèn)證請(qǐng)求發(fā)送給認(rèn)證網(wǎng)關(guān)���;認(rèn)證網(wǎng)關(guān)生成隨機(jī)數(shù),向HSS獲取終端用戶的鑒權(quán)數(shù)據(jù)����,通過(guò)該AS向IMS終端發(fā)送生成的隨機(jī)數(shù);IMS終端根據(jù)隨機(jī)數(shù)和自身保存的鑒權(quán)數(shù)據(jù)計(jì)算響應(yīng)值�,通過(guò)該AS轉(zhuǎn)發(fā)給認(rèn)證網(wǎng)關(guān);認(rèn)證網(wǎng)關(guān)根據(jù)自身生成的隨機(jī)數(shù)和從HSS獲取到的IMS終端的鑒權(quán)數(shù)據(jù)計(jì)算��,計(jì)算得到值和接收的響應(yīng)值比較�,確定一致后,IMS終端的認(rèn)證通過(guò)����,完成認(rèn)證,將認(rèn)證通過(guò)結(jié)果發(fā)送給該AS�����;該AS和IMS終端建立連接�����,為IMS終端提供非IMS業(yè)務(wù)。保證IMS終端獲取不同AS提供的非IMS業(yè)務(wù)時(shí)實(shí)現(xiàn)簡(jiǎn)單地且統(tǒng)一認(rèn)證�。
文檔編號(hào)H04L29/06GK102082769SQ200910238579
公開(kāi)日2011年6月1日 申請(qǐng)日期2009年11月26日 優(yōu)先權(quán)日2009年11月26日
發(fā)明者劉利軍, 彭華熹, 楊波, 王靜, 路曉明 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)公司