專利名稱:在ims網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,具體涉及一種在MS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄(SSO)的方法和系統(tǒng)。
背景技術(shù):
目前,為了實(shí)現(xiàn)MS單點(diǎn)登錄,通常會(huì)在統(tǒng)一 MS中訪問(wèn)應(yīng)用服務(wù)器(AS)時(shí)在MS核心網(wǎng)外部利用AKA、SIP Digest等認(rèn)證機(jī)制對(duì)終端用戶設(shè)備(UE)進(jìn)行認(rèn)證,實(shí)現(xiàn)最終的單點(diǎn)登錄功能。其中,AS與中繼服務(wù)器(Relay Server,RS)存在安全通道以實(shí)現(xiàn)MS單點(diǎn) 登錄的架構(gòu)原理圖如圖I所示;AS與RS存在共享密鑰以實(shí)現(xiàn)MS單點(diǎn)登錄的架構(gòu)原理圖如圖2所示。在統(tǒng)一 IMS的終端UE實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)器的SSO功能中,根據(jù)應(yīng)用場(chǎng)景不同可分為二種實(shí)現(xiàn)場(chǎng)景I :MS終端UE內(nèi)具有卡,并且網(wǎng)絡(luò)運(yùn)營(yíng)商已部署了 GBA的情形;此時(shí)可以利用GBA認(rèn)證機(jī)制同Liberty Alliance/OpenID結(jié)合實(shí)現(xiàn)單點(diǎn)登錄以及與現(xiàn)有的其它SSO機(jī)制實(shí)現(xiàn)互通。2 =IMS終端UE內(nèi)具有WCC卡,但是運(yùn)營(yíng)商不能部署GBA的情形;此種情況下,ALU已提出相關(guān)立項(xiàng)提案,其采用AKA/OpenID相結(jié)合方案實(shí)現(xiàn)該種場(chǎng)景下的SSO功能。3 =IMS終端UE不具有WCC卡并且運(yùn)營(yíng)商也未部署GBA的情形。此種情況下,已在3GPP SA3#60會(huì)議上由NSN對(duì)該情況進(jìn)行立項(xiàng)。上面三種SSO的應(yīng)用場(chǎng)景中,在終端UE訪問(wèn)AS的服務(wù)時(shí),均需要功能網(wǎng)元在MS核心網(wǎng)外使用AKA或者SIP Digest認(rèn)證機(jī)制對(duì)終端UE進(jìn)行認(rèn)證,而不關(guān)注該MS終端是否已經(jīng)在MS核心網(wǎng)內(nèi)注冊(cè),沒(méi)有把MS核心網(wǎng)內(nèi)注冊(cè)認(rèn)證過(guò)程與MS終端的單點(diǎn)登錄過(guò)程相關(guān)聯(lián)。隨著頂S網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)之間不斷融合的趨勢(shì),IMS終端對(duì)各種應(yīng)用服務(wù)器的訪問(wèn)需求的增加,實(shí)現(xiàn)MS終端對(duì)應(yīng)用服務(wù)器的SSO功能,對(duì)用戶而言是越來(lái)越亟待需要實(shí)現(xiàn)的功能?,F(xiàn)有技術(shù)都是通過(guò)在頂S網(wǎng)絡(luò)中運(yùn)營(yíng)商大量部署用于對(duì)終端UE進(jìn)行認(rèn)證的功能網(wǎng)元來(lái)實(shí)現(xiàn)對(duì)MS網(wǎng)絡(luò)相關(guān)應(yīng)用服務(wù)的SSO功能?,F(xiàn)存方案只有在網(wǎng)絡(luò)運(yùn)營(yíng)商部署了支持認(rèn)證機(jī)制的功能網(wǎng)元,通過(guò)這些功能網(wǎng)元對(duì)終端UE再次進(jìn)行身份認(rèn)證,終端UE才能實(shí)現(xiàn)訪問(wèn)AS的SSO功能。這樣將增加訪問(wèn)流程的復(fù)雜性。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種在MS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的方法和系統(tǒng),不需要再次對(duì)終端UE進(jìn)行認(rèn)證就能實(shí)現(xiàn)SSO功能,有效降低訪問(wèn)流程的復(fù)雜性。為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種在MS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的方法,該方法包括終端用戶設(shè)備UE在MS網(wǎng)絡(luò)注冊(cè)后,將終端UE訪問(wèn)AS的認(rèn)證請(qǐng)求重定向到RS ;RS獲取終端UE的相關(guān)認(rèn)證向量和用戶信息,據(jù)此識(shí)別該終端UE是否已注冊(cè),在確認(rèn)終端UE已注冊(cè)時(shí)產(chǎn)生共享密鑰。所述終端UE在MS網(wǎng)絡(luò)注冊(cè)的方法為MS終端UE利用SIP Digest終端用戶注冊(cè)機(jī)制完成在MS核心網(wǎng)內(nèi)的注冊(cè)過(guò)程;所述獲取終端UE的相關(guān)認(rèn)證向量和用戶信息的過(guò)程包括RS認(rèn)證AS成功,則RS向HSS發(fā)出獲取認(rèn)證向量的請(qǐng)求;HSS依據(jù)收到的所述請(qǐng)求中的用戶身份標(biāo)識(shí)查找并下載對(duì)應(yīng)的SIP Digest認(rèn)證向量和用戶配置信息內(nèi)容。該方法進(jìn)ー步包括認(rèn)證AS的過(guò)程
AS將用戶公用身份標(biāo)識(shí)符和自身身份標(biāo)識(shí)符一起發(fā)送到RS,RS根據(jù)AS的身份標(biāo)識(shí)符對(duì)AS進(jìn)行認(rèn)證,若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息;否則進(jìn)行所述獲取終端UE的認(rèn)證向量的處理;或者,AS重定向終端UE發(fā)送的用戶服務(wù)請(qǐng)求并且發(fā)送AS認(rèn)證請(qǐng)求到RS地址,RS依據(jù)AS身份標(biāo)識(shí)信息對(duì)AS進(jìn)行認(rèn)證;若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息;否則進(jìn)行所述獲取終端UE的認(rèn)證向量的處理。所述判斷終端UE是否已注冊(cè),以及產(chǎn)生共享密鑰的過(guò)程包括從所述用戶信息中找到和識(shí)別注冊(cè)標(biāo)識(shí)符;若該標(biāo)識(shí)符標(biāo)識(shí)該終端UE已成功注冊(cè),則RS產(chǎn)生隨機(jī)數(shù),并據(jù)此產(chǎn)生共享密鑰。該方法進(jìn)ー步包括AS獲取所述共享密鑰的過(guò)程。ー種在MS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的系統(tǒng),該系統(tǒng)包括HSS和RS ;其中,所述HSS,用于提供終端UE的相關(guān)認(rèn)證向量和用戶信息;所述RS,用于在終端UE在MS網(wǎng)絡(luò)已注冊(cè),并且終端UE訪問(wèn)AS的認(rèn)證請(qǐng)求被重定向到RS后,獲取終端UE的相關(guān)認(rèn)證向量和用戶信息,據(jù)此識(shí)別該終端UE是否已注冊(cè)·,在確認(rèn)終端UE已注冊(cè)時(shí)產(chǎn)生共享密鑰。所述終端UE在MS網(wǎng)絡(luò)注冊(cè)時(shí),用于利用SIP Digest終端用戶注冊(cè)機(jī)制完成在IMS核心網(wǎng)內(nèi)的注冊(cè)過(guò)程;所述RS在獲取終端UE的相關(guān)認(rèn)證向量和用戶信息時(shí),用于認(rèn)證AS成功,則向HSS發(fā)出獲取認(rèn)證向量的請(qǐng)求;觸發(fā)HSS依據(jù)收到的所述請(qǐng)求中的用戶身份標(biāo)識(shí)查找并下載對(duì)應(yīng)的SIP Digest認(rèn)證向量和用戶配置信息內(nèi)容。所述AS,進(jìn)ー步用干與RS配合認(rèn)證AS ;其中,所述AS,用于將用戶公用身份標(biāo)識(shí)符和自身身份標(biāo)識(shí)符一起發(fā)送到RS ;所述RS,用于根據(jù)AS的身份標(biāo)識(shí)符對(duì)AS進(jìn)行認(rèn)證,若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息;否則進(jìn)行所述獲取終端UE的認(rèn)證向量的處理;或者,所述AS,用于重定向終端UE發(fā)送的用戶服務(wù)請(qǐng)求并且發(fā)送RP認(rèn)證請(qǐng)求到RS地址;所述RS,用于依據(jù)AS身份標(biāo)識(shí)信息對(duì)AS進(jìn)行認(rèn)證;若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息;否則進(jìn)行所述獲取終端UE的認(rèn)證向量的處理。所述RS在判斷終端UE是否已注冊(cè),以及產(chǎn)生共享密鑰時(shí),用于從所述用戶信息中找到和識(shí)別注冊(cè)標(biāo)識(shí)符;若該標(biāo)識(shí)符標(biāo)識(shí)該終端UE已成功注冊(cè),則RS產(chǎn)生隨機(jī)數(shù),并據(jù)此產(chǎn)生共享密鑰。
所述AS,進(jìn)一步用于獲取所述共享密鑰。本發(fā)明在MS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的方法和系統(tǒng),不需要再次對(duì)終端UE進(jìn)行認(rèn)證就能實(shí)現(xiàn)SSO功能,有效降低訪問(wèn)流程的復(fù)雜性。
圖I為AS與RS存在安全通道時(shí)實(shí)現(xiàn)IMS單點(diǎn)登錄功能的整體架構(gòu)圖;圖2為AS與RS存在共享密鑰時(shí)實(shí)現(xiàn)IMS單點(diǎn)登錄功能的整體架構(gòu)圖;
圖3為AS與RS之間存在安全通道時(shí),在MS核心網(wǎng)內(nèi)利用SIP Digest認(rèn)證機(jī)制注冊(cè)過(guò)程綁定實(shí)現(xiàn)終端UE的SSO功能的流程圖;圖4為AS與RS之間不存在安全通道但具有共享密鑰時(shí),在MS核心網(wǎng)內(nèi)利用SIPDigest認(rèn)證機(jī)制注冊(cè)過(guò)程綁定實(shí)現(xiàn)終端UE的SSO功能的流程圖;圖5為本發(fā)明實(shí)施例在MS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的流程簡(jiǎn)圖。
具體實(shí)施例方式實(shí)際上,在MS核心網(wǎng)中終端UE只需要注冊(cè)一次,就會(huì)在S-CSCF中產(chǎn)生標(biāo)識(shí)該終端UE已注冊(cè)的標(biāo)識(shí)符register,該終端UE根據(jù)該標(biāo)識(shí)符就不需要再次注冊(cè),進(jìn)而可以進(jìn)行后續(xù)的通話操作。在終端UE訪問(wèn)應(yīng)用服務(wù)器時(shí),同樣可以利用該標(biāo)識(shí)符,使得終端UE不需要再次利用認(rèn)證機(jī)制在UE和認(rèn)證中心之間進(jìn)行認(rèn)證過(guò)程,就可以直接安全地獲得所需的服務(wù)。為了實(shí)現(xiàn)該功能,需要設(shè)計(jì)新的網(wǎng)元RS,利用該網(wǎng)元識(shí)別該標(biāo)識(shí)符,并能夠使得終端UE和應(yīng)用服務(wù)器之間建立共享密鑰,進(jìn)而進(jìn)行安全的信息交互。本發(fā)明中,可以利用終端UE在MS核心網(wǎng)內(nèi)采用SIP Digest認(rèn)證機(jī)制完成注冊(cè)過(guò)程時(shí),在S-CSCF內(nèi)產(chǎn)生的注冊(cè)標(biāo)識(shí)符Register,該注冊(cè)標(biāo)識(shí)符Register被傳送到HSS內(nèi),并利用網(wǎng)絡(luò)運(yùn)營(yíng)商提供的RS網(wǎng)元與HSS進(jìn)行信息交互過(guò)程,使得RS獲得MS核心網(wǎng)內(nèi)注冊(cè)認(rèn)證過(guò)程中傳遞的SIP Digest認(rèn)證向量參數(shù)IMPU、realm、qop、algorithm和H(Al)以及S-CSCF產(chǎn)生的注冊(cè)標(biāo)識(shí)符Register。RS網(wǎng)元通過(guò)識(shí)別該Register標(biāo)識(shí)符,獲知該終端UE已注冊(cè)認(rèn)證通過(guò),進(jìn)而產(chǎn)生AS和終端UE兩者的會(huì)話密鑰,AS和終端UE之間通過(guò)該會(huì)話密鑰可以進(jìn)行安全的信息交互。同時(shí),RS提供對(duì)訪問(wèn)的應(yīng)用服務(wù)器進(jìn)行認(rèn)證,保證終端UE身份信息的安全性。有鑒于此,本發(fā)明利用終端UE在MS核心網(wǎng)內(nèi)的SIP Digest認(rèn)證注冊(cè)過(guò)程產(chǎn)生的注冊(cè)標(biāo)識(shí)符,在統(tǒng)一 IMS網(wǎng)絡(luò)中實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)器的SSO功能架構(gòu)和流程;提出了在實(shí)現(xiàn)SSO功能過(guò)程中功能網(wǎng)元對(duì)注冊(cè)標(biāo)識(shí)符的識(shí)別,以及該RS網(wǎng)元提供對(duì)AS服務(wù)器進(jìn)行認(rèn)證的機(jī)制;使得在MS中,終端UE只需要在MS核心網(wǎng)內(nèi)利用SIP Digest認(rèn)證機(jī)制完成注冊(cè)過(guò)程,利用注冊(cè)認(rèn)證產(chǎn)生的注冊(cè)標(biāo)識(shí)符就可以實(shí)現(xiàn)訪問(wèn)所需應(yīng)用服務(wù)器的SSO功能,不需要在MS核心網(wǎng)外再次對(duì)終端UE進(jìn)行SIP Digest認(rèn)證就能實(shí)現(xiàn)SSO功能。在實(shí)際應(yīng)用中,當(dāng)終端UE在MS網(wǎng)絡(luò)注冊(cè)后,當(dāng)該終端UE要訪問(wèn)AS時(shí),AS本身不存儲(chǔ)UE的任何身份信息,并且不對(duì)終端UE進(jìn)行識(shí)別,而是直接將終端UE的認(rèn)證請(qǐng)求重定向到網(wǎng)絡(luò)運(yùn)營(yíng)商提供的RS網(wǎng)元,以識(shí)別該終端UE ;同時(shí)為了終端UE的安全,AS要到RS去進(jìn)行認(rèn)證。RS和AS兩者之間事先已協(xié)商共享密鑰或存在安全通道。RS對(duì)AS身份進(jìn)行認(rèn)證,若認(rèn)證AS失敗,則直接向終端UE返回錯(cuò)誤信息,否則RS依據(jù)收到的用戶公用標(biāo)識(shí)符IMPU到HSS內(nèi)下載該用戶相關(guān)的認(rèn)證向量和用戶信息,該信息中包含Register注冊(cè)標(biāo)識(shí)符,用于識(shí)別該終端UE是否已注冊(cè),若未注冊(cè)或者注冊(cè)生命周期過(guò)期,則需要終端UE先在IMS核心網(wǎng)內(nèi)進(jìn)行注冊(cè),否則RS通過(guò)注冊(cè)標(biāo)識(shí)符獲知該終端UE已注冊(cè),則RS產(chǎn)生共享密鑰AS_Ks ;把該信息重定向到AS,信息中包含利用AS和RS共享密鑰加密的AS_Ks和nonce值;終端UE獲得nonce,產(chǎn)生密鑰AS_Ks ;重定向信息到達(dá)RS,該信息中包含加密的信息EKa,r(AS_Ks) ;AS解密收到的加密信息以獲得密鑰AS_Ks ;最后,AS向終端UE發(fā)送應(yīng)用請(qǐng)求答復(fù),將共享密鑰AS_Ks作用在UE和AS兩者之間的接ロ,以保證兩者安全的信息傳遞。本發(fā)明利用MS終端在MS核心網(wǎng)內(nèi)采用SIP Digest認(rèn)證機(jī)制完成注冊(cè)后S-CSCF產(chǎn)生的注冊(cè)標(biāo)識(shí)符,S-CSCF把該注冊(cè)標(biāo)識(shí)符傳送到HSS內(nèi)儲(chǔ)存,設(shè)計(jì)功能網(wǎng)元識(shí)別該標(biāo)識(shí)符以實(shí)現(xiàn)終端UE的SSO功能。UE為IMS終端,AS對(duì)應(yīng)于IMS終端要訪問(wèn)的應(yīng)用服 務(wù)器,RS對(duì)應(yīng)網(wǎng)絡(luò)運(yùn)營(yíng)商提供的識(shí)別注冊(cè)標(biāo)識(shí)符和產(chǎn)生密鑰的功能網(wǎng)元。下面結(jié)合附圖和具體實(shí)施實(shí)例對(duì)本發(fā)明的技術(shù)方案進(jìn)ー步詳細(xì)闡述。參見(jiàn)圖3,AS與RS之間存在安全通道時(shí),在MS核心網(wǎng)內(nèi)利用SIP Digest認(rèn)證機(jī)制注冊(cè)過(guò)程綁定實(shí)現(xiàn)終端UE的SSO功能時(shí),可以執(zhí)行如下步驟步驟I :MS終端UE首先利用SIP Digest終端用戶注冊(cè)機(jī)制完成在MS核心網(wǎng)內(nèi)的注冊(cè)過(guò)程。步驟2 UE向AS發(fā)出訪問(wèn)服務(wù)請(qǐng)求,為了保證用戶私有標(biāo)識(shí)符MPI不被泄露,該請(qǐng)求中攜帯用戶的用戶公用身份標(biāo)識(shí)頂PU,用于表示終端UE。步驟3 :AS獲得該用戶服務(wù)請(qǐng)求后,將用戶公用身份標(biāo)識(shí)符IMPU和AS自身身份標(biāo)識(shí)符(AS身份)一起發(fā)送到RS。步驟4 RS根據(jù)AS的身份標(biāo)識(shí)符對(duì)AS進(jìn)行認(rèn)證。若AS認(rèn)證失敗,則RS直接向終端UE返回錯(cuò)誤信息;否則執(zhí)行步驟6。步驟5 RS若認(rèn)證AS,獲知該AS非法,則返回認(rèn)證失敗信息給終端UE。步驟6 RS認(rèn)證AS成功,則RS向HSS發(fā)出獲取認(rèn)證向量的請(qǐng)求,該消息中攜帶終端UE的頂PU。步驟7 =HSS依據(jù)收到的用戶身份標(biāo)識(shí)頂PU,查找并下載對(duì)應(yīng)的SIPDigestAuthentication Vector (SD-AV, SIP Digest 認(rèn)證向量)和用戶配置信息內(nèi)容。其中,SD-AV 包括 IMPU、realm(所屬區(qū)域)、qop (quality of protection,質(zhì)量保證)、algorithm(采用算法)和H(Al),其中H(Al)是由IMPU, realm和密碼password組成的哈希函數(shù)值;同吋,從用戶配置信息內(nèi)容找到和識(shí)別注冊(cè)標(biāo)識(shí)符register ;若該標(biāo)識(shí)符標(biāo)識(shí)該終端UE未注冊(cè),則流程跳到執(zhí)行對(duì)終端UE在MS核心網(wǎng)內(nèi)的注冊(cè)過(guò)程;否則標(biāo)識(shí)該終端UE已成功注冊(cè)'。在多HSS環(huán)境下,RS可以通過(guò)詢問(wèn)SLF(Subscription Locator Function,訂購(gòu)關(guān)系定位功能)以獲得對(duì)應(yīng)的儲(chǔ)存用戶信息的HSS地址,找到對(duì)應(yīng)的HSS。步驟8 :RS產(chǎn)生隨機(jī)數(shù)nonce,并且利用從HSS下載的H(Al)與該nonce—起產(chǎn)生共享密鑰AS_Ks。步驟9 RS利用安全通道向AS發(fā)送身份認(rèn)證響應(yīng)信息,該信息中包含密鑰AS_Ks和nonce等信息。步驟10 AS獲得密鑰AS_Ks。步驟11 AS向終端UE發(fā)送應(yīng)用服務(wù)應(yīng)答,該信息中包含隨機(jī)數(shù)nonce等信息。
步驟12 :終端UE獲得nonce,產(chǎn)生H(Al)值,終端UE利用nonce和H(Al)值產(chǎn)生密鑰AS_Ks ;此時(shí)UE和AS具有了相同的密鑰AS_Ks,兩者就可進(jìn)行安全的應(yīng)用服務(wù)過(guò)程。
上述步驟中任一步驟失敗,則整個(gè)過(guò)程停止執(zhí)行。參見(jiàn)圖4,AS與RS之間不存在安全通道但具有共享密鑰時(shí),在MS核心網(wǎng)內(nèi)利用SIP Digest認(rèn)證機(jī)制注冊(cè)過(guò)程綁定實(shí)現(xiàn)終端UE的SSO功能時(shí),可以執(zhí)行如下步驟步驟I :MS終端UE首先利用SIP Digest終端用戶注冊(cè)機(jī)制完成在MS核心網(wǎng)內(nèi)的注冊(cè)過(guò)程。步驟2 UE向AS發(fā)出訪問(wèn)服務(wù)請(qǐng)求,為了保證用戶私有標(biāo)識(shí)符MPI不被泄露,該請(qǐng)求中攜帶用戶的用戶公有身份標(biāo)識(shí)頂PU,用于表示終端UE。步驟3 AS重定向該用戶服務(wù)請(qǐng)求并且發(fā)送RP認(rèn)證請(qǐng)求到RS地址。同時(shí)攜帶著IMPU和RP身份標(biāo)識(shí)信息(AS身份)。步驟4 :請(qǐng)求被重定向到RS地址。同時(shí)攜帶著MPI和RP身份標(biāo)識(shí)信息(AS身份)。步驟5 RS依據(jù)AS身份標(biāo)識(shí)信息(AS身份)對(duì)AS進(jìn)行認(rèn)證;若AS認(rèn)證失敗,則RS直接向終端UE返回錯(cuò)誤信息;否則執(zhí)行步驟7。AS和RS之間事先已建立了共享密鑰(Ka,r)。步驟6 RS對(duì)AS進(jìn)行認(rèn)證失敗后,返回認(rèn)證錯(cuò)誤信息給終端UE。步驟7 RS認(rèn)證AS成功,則RS向HSS發(fā)出獲取認(rèn)證向量的請(qǐng)求,該消息中攜帶終端 UE 的 IMPU0步驟8 =HSS依據(jù)收到的用戶身份標(biāo)識(shí)MPU查找并下載對(duì)應(yīng)的SIPDigestAuthentication Vector(SD-AV)和用戶配置信息內(nèi)容。其中,SD-AV 包括頂PI、realm、qop、algorithm 和 H (Al),其中,H (Al)是由 IMPI, realm 和 password 組成的哈希函數(shù)值;同時(shí)從用戶配置信息內(nèi)容找到和識(shí)別注冊(cè)標(biāo)識(shí)符register ;若該標(biāo)識(shí)符標(biāo)識(shí)該終端UE未注冊(cè),則流程跳到執(zhí)行對(duì)終端UE在MS核心網(wǎng)內(nèi)的注冊(cè)過(guò)程;否則標(biāo)識(shí)該終端UE已成功注冊(cè)。在多HSS環(huán)境下,RS可以通過(guò)詢問(wèn)SLF獲得對(duì)應(yīng)的儲(chǔ)存用戶信息的HSS地址,找到對(duì)應(yīng)的HSS。步驟9 :RS產(chǎn)生隨機(jī)數(shù)nonce,并且利用從HSS下載的H(Al)與該nonce —起產(chǎn)生共享密鑰AS_Ks。步驟10 RS重定向認(rèn)證結(jié)果信息到AS,該信息中包含nonce和加密AS_Ks的信息EKa, r(AS_Ks)。步驟11 :UE收到nonce值,根據(jù)password、IMPU等產(chǎn)生哈希值H (Al),利用該H (Al)和nonce值產(chǎn)生密鑰AS_Ks。步驟12 :重定向加密信息到AS,該信息中包含EKa,r(AS_Ks)。步驟13 AS解密收到的加密信息,獲得共享密鑰AS_Ks ;此時(shí)UE和AS具有了相同的密鑰AS_Ks,兩者就可進(jìn)行安全的應(yīng)用服務(wù)過(guò)程。上述步驟中任一步驟失敗,則整個(gè)過(guò)程停止執(zhí)行。在UE用戶訪問(wèn)AS時(shí),若遭遇意外導(dǎo)致斷網(wǎng),當(dāng)UE還未完成與AS之間建立共享密鑰的過(guò)程,則若網(wǎng)絡(luò)恢復(fù)后UE要訪問(wèn)應(yīng)用服務(wù)器,則需要重新開始請(qǐng)求服務(wù)過(guò)程;當(dāng)UE已經(jīng)完成共享密鑰的建立過(guò)程,若恢復(fù)網(wǎng)絡(luò)用時(shí)未到達(dá)共享密鑰的生命周期,則網(wǎng)絡(luò)恢復(fù)后UE和AS之間可以繼續(xù)把該共享密鑰應(yīng)用到其參考點(diǎn)上的協(xié)議中,繼續(xù)與AS進(jìn)行安全交互,否則需要重新產(chǎn)生共享密鑰過(guò)程。在UE用戶訪問(wèn)AS后,若遭遇用戶主動(dòng)關(guān)閉注銷UE或斷電等特殊情況,則用戶需要重新完成在頂S內(nèi)的注冊(cè)等整個(gè)執(zhí)行流程。結(jié)合以上實(shí)施例可知,本發(fā)明在MS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的操作思路可以表示如圖5所示的流程,圖5所示流程包括以下步驟步驟510:終端UE在MS網(wǎng)絡(luò)注冊(cè)后,將終端UE訪問(wèn)AS的認(rèn)證請(qǐng)求重定向到RS。步驟520 RS獲取終端UE的相關(guān)認(rèn)證向量和用戶信息,據(jù)此識(shí)別該終端UE是否已注冊(cè),在確認(rèn)終端UE已注冊(cè)時(shí)產(chǎn)生共享密鑰AS_Ks。綜上所述可見(jiàn),本發(fā)明在MS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的方法和系統(tǒng),不需要再次對(duì) 終端UE進(jìn)行認(rèn)證就能實(shí)現(xiàn)SSO功能,有效降低訪問(wèn)流程的復(fù)雜性。以上所述,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種在IMS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的方法,其特征在于,該方法包括終端用戶設(shè)備UE在MS網(wǎng)絡(luò)注冊(cè)后,將終端UE訪問(wèn)AS的認(rèn)證請(qǐng)求重定向到RS ;RS獲取終端UE的相關(guān)認(rèn)證向量和用戶信息,據(jù)此識(shí)別該終端UE是否已注冊(cè),在確認(rèn)終端UE已注冊(cè)時(shí)產(chǎn)生共享密鑰。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于,所述終端UE在MS網(wǎng)絡(luò)注冊(cè)的方法為MS終端UE利用SIP Digest終端用戶注冊(cè)機(jī)制完成在MS核心網(wǎng)內(nèi)的注冊(cè)過(guò)程;所述獲取終端UE的相關(guān)認(rèn)證向量和用戶信息的過(guò)程包括RS認(rèn)證AS成功,則RS向HSS發(fā)出獲取認(rèn)證向量的請(qǐng)求;HSS依據(jù)收到的所述請(qǐng)求中的用戶身份標(biāo)識(shí)查找并下載對(duì)應(yīng)的SIP Digest認(rèn)證向量和用戶配置信息內(nèi)容。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,該方法進(jìn)一步包括認(rèn)證AS的過(guò)程AS將用戶公用身份標(biāo)識(shí)符和自身身份標(biāo)識(shí)符一起發(fā)送到RS,RS根據(jù)AS的身份標(biāo)識(shí)符對(duì)AS進(jìn)行認(rèn)證,若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息;否則進(jìn)行所述獲取終端UE的認(rèn)證向量的處理;或者,AS重定向終端UE發(fā)送的用戶服務(wù)請(qǐng)求并且發(fā)送AS認(rèn)證請(qǐng)求到RS地址,RS依據(jù)AS身份標(biāo)識(shí)信息對(duì)AS進(jìn)行認(rèn)證;若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息;否則進(jìn)行所述獲取終端UE的認(rèn)證向量的處理。
4.根據(jù)權(quán)利要求I至3任一項(xiàng)所述的方法,其特征在于,所述判斷終端UE是否已注冊(cè),以及產(chǎn)生共享密鑰的過(guò)程包括從所述用戶信息中找到和識(shí)別注冊(cè)標(biāo)識(shí)符;若該標(biāo)識(shí)符標(biāo)識(shí)該終端UE已成功注冊(cè),則RS產(chǎn)生隨機(jī)數(shù),并據(jù)此產(chǎn)生共享密鑰。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,該方法進(jìn)一步包括AS獲取所述共享密鑰的過(guò)程。
6.一種在MS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的系統(tǒng),其特征在于,該系統(tǒng)包括HSS和RS ;其中,所述HSS,用于提供終端UE的相關(guān)認(rèn)證向量和用戶信息;所述RS,用于在終端UE在MS網(wǎng)絡(luò)已注冊(cè),并且終端UE訪問(wèn)AS的認(rèn)證請(qǐng)求被重定向到RS后,獲取終端UE的相關(guān)認(rèn)證向量和用戶信息,據(jù)此識(shí)別該終端UE是否已注冊(cè),在確認(rèn)終端UE已注冊(cè)時(shí)產(chǎn)生共享密鑰。
7.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,所述終端UE在MS網(wǎng)絡(luò)注冊(cè)時(shí),用于利用SIP Digest終端用戶注冊(cè)機(jī)制完成在IMS核心網(wǎng)內(nèi)的注冊(cè)過(guò)程;所述RS在獲取終端UE的相關(guān)認(rèn)證向量和用戶信息時(shí),用于認(rèn)證AS成功,則向HSS發(fā)出獲取認(rèn)證向量的請(qǐng)求;觸發(fā)HSS依據(jù)收到的所述請(qǐng)求中的用戶身份標(biāo)識(shí)查找并下載對(duì)應(yīng)的SIP Digest認(rèn)證向量和用戶配置信息內(nèi)容。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述AS,進(jìn)一步用于與RS配合認(rèn)證AS;其中,所述AS,用于將用戶公用身份標(biāo)識(shí)符和自身身份標(biāo)識(shí)符一起發(fā)送到RS ;所述RS,用于根據(jù)AS的身份標(biāo)識(shí)符對(duì)AS進(jìn)行認(rèn)證,若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息;否則進(jìn)行所述獲取終端UE的認(rèn)證向量的處理;或者,所述AS,用于重定向終端UE發(fā)送的用戶服務(wù)請(qǐng)求并且發(fā)送RP認(rèn)證請(qǐng)求到RS地址;所述RS,用于依據(jù)AS身份標(biāo)識(shí)信息對(duì)AS進(jìn)行認(rèn)證;若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息;否則進(jìn)行所述獲取終端UE的認(rèn)證向量的處理。
9.根據(jù)權(quán)利要求6至8任一項(xiàng)所述的系統(tǒng),其特征在于,所述RS在判斷終端UE是否已注冊(cè),以及產(chǎn)生共享密鑰時(shí),用于從所述用戶信息中找到和識(shí)別注冊(cè)標(biāo)識(shí)符;若該標(biāo)識(shí)符標(biāo)識(shí)該終端UE已成功注冊(cè),則RS產(chǎn)生隨機(jī)數(shù),并據(jù)此產(chǎn)生共享密鑰。
10.根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于,所述AS,進(jìn)一步用于獲取所述共享密鑰。
全文摘要
本發(fā)明公開了一種在IMS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的方法和系統(tǒng),均可在終端UE在IMS網(wǎng)絡(luò)注冊(cè)后,將終端UE訪問(wèn)AS的認(rèn)證請(qǐng)求重定向到RS;RS獲取終端UE的相關(guān)認(rèn)證向量和用戶信息,據(jù)此識(shí)別該終端UE是否已注冊(cè),在確認(rèn)終端UE已注冊(cè)時(shí)產(chǎn)生共享密鑰。本發(fā)明在IMS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的方法和系統(tǒng),不需要再次對(duì)終端UE進(jìn)行認(rèn)證就能實(shí)現(xiàn)SSO功能,有效降低訪問(wèn)流程的復(fù)雜性。
文檔編號(hào)H04L29/06GK102638440SQ20111003853
公開日2012年8月15日 申請(qǐng)日期2011年2月15日 優(yōu)先權(quán)日2011年2月15日
發(fā)明者張孟旺, 田甜 申請(qǐng)人:中興通訊股份有限公司