CN100571134C - 在ip多媒体子系统中认证用户终端的方法 - Google Patents
在ip多媒体子系统中认证用户终端的方法 Download PDFInfo
- Publication number
- CN100571134C CN100571134C CN200510070351.0A CN200510070351A CN100571134C CN 100571134 C CN100571134 C CN 100571134C CN 200510070351 A CN200510070351 A CN 200510070351A CN 100571134 C CN100571134 C CN 100571134C
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- cscf entity
- cscf
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
Abstract
本发明公开了一种在IMS网络中认证用户终端的方法,该方法由业务-呼叫会话控制功能(S-CSCF)实体针对用户请求,利用摘要(Digest)认证算法生成认证挑战,并通过代理-呼叫会话控制功能(P-CSCF)实体将该认证挑战发送到用户终端;用户终端获取所述认证挑战,并结合用户密钥利用Digest认证算法生成认证回应,并通过P-CSCF实体将该认证回应发送到S-CSCF实体;S-CSCF实体接收所述认证回应后,结合与用户密钥相关的信息HA1利用Digest认证算法验证所述认证回应,若通过验证,则确定用户终端认证成功,否则,确定用户终端认证失败。
Description
技术领域
本发明涉及通信领域中的安全技术,尤其涉及在IP多媒体子系统(IMS)中认证用户终端的方法。
背景技术
IP多媒体子系统(IMS)作为固定和移动网络的核心会话控制层,已成为目前业界讨论的重点,在第三代移动通信系统(3G)以及TISPAN标准中定义了很多IMS相关的规范,包括网络架构、接口、协议等各个方面,其中安全是3G及TISPAN考虑的一个重要方面。目前规范中从安全的角度将IMS网络划分为接入域和网络域,并分别定义了接入域和网络域的安全规范,IMS网络的安全模型如图1所示。
IMS网络中定义的呼叫会话控制功能(CSCF)实体用于完成呼叫和会话时的控制和路由等功能,P/S/I-CSCF是为了实现不同的功能而区分的,代理-呼叫会话控制功能(P-CSCF)是完成用户UE的接入,所有UE通过P-CSCF接入IMS网络;业务-呼叫会话控制功能(S-CSCF)提供会话控制和路由等核心功能;查询-呼叫会话控制功能(I-CSCF,Interrogating-CSCF)用于S-CSCF的选择及不同运营商或不同区域网络之间的互通,实现网络屏蔽等功能;用户归属服务器(HSS),用于保存用户签约数据和配置数据等。
从图1中可以看出,接入域安全机制包括与用户终端(UE)相关的两个接口:接口1和接口2。接口1为UE与IMS网络间的双向认证接口,完成用户认证功能;接口2用于保证UE与P-CSCF间的通信安全。
3GPP对接口1和接口2的实现,是通过在用户终端注册流程中应用DigestAKA(摘要认证与密钥协商)机制来完成。用户终端注册过程中涉及的主要网络实体为:用户终端UE、P-CSCF、S-CSCF、用户归属服务器(HSS),
如图2所示,Digest AKA机制在用户终端注册过程的应用如下:
1、初始密钥K在UE与HSS间共享。
2、用户发起注册请求SM1,S-CSCF通过CM1向HSS请求数据。HSS基于初始密钥K及序列号SQN产生鉴权五元组并通过CM2下发S-CSCF。五元组包括(随机数据RAND,AUTN,XRES,IK,CK)。
3、S-CSCF向用户返回401响应(认证挑战),携带除XRES外的四元组信息。
4、P-CSCF保存IK,CK信息,将(RAND,AUTN)信息在401响应中传给UE。
5、UE依据初始密钥K及SQN等信息,结合收到的网络设备下发的AUTN,对网络设备是否可信进行认证。如验证通过,网络设备可信,则结合RAND和K,产生RES信息,RES将被当作“password”用于终端计算response的过程。计算的结果在SM7(认证响应)中发送给网络侧。同时UE自行计算出IK、CK。
6、S-CSCF在SM9中接收到由RES生成的response信息,与其依据XRES计算后的结果相比较,如果两者相同,认为对用户的认证成功。
由以上流程可见:UE向IMS网络发起注册,通过Digest AKA实现了UE和IMS网络间的双向认证,同时也完成UE和P-CSCF间安全联盟的建立,UE和P-CSCF之间共享了加密密钥CK和完整性保护密钥IK,这两个密钥将用于在UE与P-CSCF间安全通信通道的建立。
关于“IMS接入域安全”的更进一步信息,可参考3GPP技术标准TS33.203对IMS网络接入域安全性的详细描述。Digest AKA机制可参考TS33.203第6.1节内容,以及IETF的RFC3310。
由于无线领域现有大量用户终端不符合3GPP协议规范,不支持3GPP TS33.203要求的接入域安全机制,例如使用SIM卡的用户终端或者使用USIM/ISIM卡的2G用户终端。为了能够向这类终端用户提供IMS业务,TR 33.878定义了称为“Early IMS”的接入域安全机制。Early IMS接入域安全的基本原理,是将应用层安全建立在接入层安全之上。接入层对终端接入进行认证后,将经过认证的信息传送给应用层,应用层依据这些信息对用户请求进行应用层安全认证。如图3所示,Early IMS接入域安全机制分为以下几部分:
1、PDP激活过程。用户终端通过GGSN接入GPRS网络。PDP激活过程,GGSN认证用户标识IMSI和MSISDN,为用户终端分配网络传输层标识(IP地址)。GGSN通过“Accounting Request Start”将(用户标识、终端IP地址)对应关系传送到HSS。HSS保存该对应关系。
2、认证注册请求。用户终端发起注册请求REGISTER。P-CSCF转发请求到S-CSCF时,在REGISTER携带用户终端源IP地址。S-CSCF依据REGISTER请求中的公有用户标识,查询是否已注册,如未注册,通过MAR/MAA由HSS获取公有用户标识对应的终端IP地址(HSS静态配置公有用户标识与MSISDN的对应关系,此时可通过公有用户标识获得对应的终端IP地址)。S-CSCF检查收到的REGISTER的终端源IP地址,如果与从HSS获得的相同,则通过认证。
3、认证非注册请求。由于P-CSCF与UE间没有建立安全通道,对终端发起的所有请求消息,S-CSCF都需要进行认证,以确保用户名与源IP地址是对应的。用户注册后,S-CSCF保存有用户标识与IP地址的对应关系。收到任何非注册请求消息,比较发起请求的用户终端的源IP地址与S-CSCF保存的该用户IP地址是否相同,如果不相同,拒绝该请求。
依据实现原理,Early IMS的应用有如下约束条件:
A、GPRS接入网络能确保用户终端IP地址无法被其他用户仿冒,每个终端只能以自己的IP地址发送消息包。
B、GPRS与P-CSCF间通信是安全的,并且GGSN与P-CSCF之间不存在NAT。
C、不支持一个IMPU同时在多个IMPI注册。
因此,Early IMS接入域安全机制只针对特定的无线接入环境,而且对接入网有特殊要求,不能保证其他接入环境下的用户接入安全。
发明内容
本发明提供一种在IMS网络中认证用户终端的方法,以便在不同的接入环境下保证传统的支持Digest认证的用户终端能够安全接入。
一种在IMS接入域中认证用户终端的方法,该方法包括步骤:
业务-呼叫会话控制功能S-CSCF实体针对用户请求,利用摘要Digest认证算法生成认证挑战,并通过代理-呼叫会话控制功能P-CSCF实体将该认证挑战发送到用户终端;
用户终端获取所述认证挑战,并结合用户密钥利用Digest认证算法生成认证回应,并通过P-CSCF实体将该认证回应发送到S-CSCF实体;
S-CSCF实体接收所述认证回应后,结合与用户密钥相关的信息HA1利用Digest认证算法验证所述认证回应,若通过验证,则确定用户终端认证成功,否则,确定用户终端认证失败。
其中:
P-CSCF实体透传所述认证挑战和所述认证回应。
所述Digest认证算法为Digest MD5算法;S-CSCF实体在生成认证挑战前通过与用户归属服务器HSS交互获取所述HA1,或者,S-CSCF实体在收到认证回应后通过与用户归属服务器HSS交互获取所述HA1。
获取HA1包括步骤:
S-CSCF实体向HSS发送携带用户标识的请求消息;
HSS根据用户对应域的域名、用户标识和用户密钥生成所述HA1,在响应消息中返回给S-CSCF实体。
所述Digest认证算法为Digest MD5 Sess算法。
获取HA1包括步骤:S-CSCF实体向HSS发送携带用户标识、参数nonce和参数cnonce的请求消息;HSS根据用户对应域的域名、用户标识、用户密钥、参数nonce和参数cnonce生成所述HA1,并在响应消息中返回给S-CSCF实体。
在对用户终端注册认证成功后,将HSS上配置的对后续请求消息的认证方式下发到S-CSCF实体,S-CSCF实体依据该认证方式对后续的请求消息进行认证。
一种在IMS网络中认证用户终端的方法,该方法包括步骤:
S-CSCF实体针对用户请求向HSS发送携带用户标识的请求消息;
HSS根据S-CSCF实体发送的请求消息中的用户标识,产生在Digest认证中生成认证挑战所需的参数并发送到S-CSCF实体;
S-CSCF实体根据所述参数生成认证挑战,并通过P-CSCF实体发送到用户终端;
用户终端获取所述认证挑战,并结合用户密钥利用Digest认证算法生成认证回应,并通过P-CSCF实体和S-CSCF实体将认证回应传送到HSS;
HSS接收所述认证回应后,结合与用户密钥相关的信息HA1和相关认证参数,利用Digest认证算法验证所述认证回应中的相关内容,若通过验证,则通知S-CSCF实体确定用户终端认证成功,否则,通知S-CSCF实体用户终端认证失败。
在对用户终端注册认证成功后,HSS根据用户数据中配置的对后续请求消息的认证方式对后续的请求消息进行认证,并将认证结果通知S-CSCF实体。
所述对后续请求消息的认证方式包括:只对注册请求消息进行认证,只对注册请求和会话请求消息进行认证,以及对每一条请求消息进行认证。
若对每条请求消息进行认证时,将用户消息的认证周期配置为等于用户的注册周期,或者,将用户消息的认证周期配置为等于用户的会话周期。
本发明具有以下有益效果:
1、本发明在IMS接入域中,对不支持Digest AKA认证的传统终端采用其支持的Digest认证方式对其认证,对接入环境也没有特殊要求,不仅实现了对传统终端的兼容,而且适用于各种接入环境,如移动接入环境、固定接入环境等。
2、本发明对每一条请求消息或对建立会话请求消息进行认证,保证了信令传输通道的安全。
3、对用户终端的认证可由S-CSCF实体完成,也可由HSS完成,从而增加了组网的灵活性。
附图说明
图1为现有技术的IMS网络安全模型;
图2为现有技术中用户终端注册的流程图;
图3为现有技术中Early IMS的接入域安全机制的流程示意图;
图4A、图4B分别为本发明中由S-CSCF实体利用Digest MD5和DigestMD5-sess认证用户终端的流程图;
图5为本发明中由S-CSCF实体利用Digest MD5-sess认证用户终端的流程图;
图6为本发明中由HSS利用Digest认证算法认证用户终端的流程图;
图7为本发明中对后续的建立会话请求消息进行Digest认证的流程图。
具体实施方式
依据RFC3261,目前大量存在的SIP终端支持Digest认证,而不支持3GPP要求的Digest AKA,因此,IMS网络有必要支持Digest认证以接入符合RFC3261的SIP终端。本发明所述Digest认证具体包括MD5认证算法或MD5-sess认证算法。
Digest认证方法可验证发起请求的用户的真实性,当用户的真实性得到确认,网络决定是否为该用户的请求提供相应服务。Digest认证以“认证挑战-认证回应”(“challenge-response”)的基本方式完成,通过WWW-Authenticate头域携带“认证挑战”信息,通过Authorization头域携带“认证回应”信息。有关Digest认证的进一步信息,可参考RFC3261第22章,以及RFC2617,RFC2069。
(1)WWW-Authenticate中包括的主要参数:r realm=″biloxi.com″,
qop=″auth,auth-int″,
nonce=″dcd98b7102dd2f0e8b11d0f600bfb0c093″,
opaque=″5ccc069c403ebaf9f0171e9517f40e41″。
其中:
realm参数向用户终端表明其当前正接受来自哪个“域”的认证;
qop参数(即quality of protection)的值为“auth”,表明仅做用户认证;为“auth-int”,指示同时做用户认证和消息体完整性保护;
nonce参数由网络侧产生(与网络侧本地时间关联),用户终端在发回的Authorization认证响应头域中,将nonce的内容原封不动的带回,这样网络侧可以根据此nonce中的内容得知当时生成此nonce参数的时间(即发送WWW-Authenticate认证请求的时间),与当前收到Authorization的时间相比较,如果两个时间相差过大,表明受到“重放”攻击。
(2)用户终端根据帐号及收到的WWW-Authenticate内容产生Authorization头域主要包括:
realm=″biloxi.com″,
nonce=″dcd98b7102dd2f0e8b11d0f600bfb0c093″,
uri=″sip:bob@biloxi.com″,
qop=auth,
nc=00000001,
cnonce=″0a4f113b″,
response=″6629fae49393a05397450978507c4ef1″,
opaque=″5ccc069c403ebaf9f0171e9517f40e41″
其中:
“nc”参数表明这是第几次使用同一个“nonce”生成认证回应。网络侧会维护一个计数器,当网络收到同一个nc-value两次或以上,表明受到了“replay”重放方式的攻击。
“cnonce”参数用于终端对网络的认证,由用户终端生成并被网络侧在Authentication-Info头域中被带回。
“response”参数用于验证用户身份,终端根据用户名、用户密码、realm-value、nonce、uri等值进行计算得到该参数的数据。网络侧也根据这些输入数据,和相同的算法得到一串数据,若两者相相等,则证明用户的密码正确,以此证明用户的身份。生成response参数(即request-digest)的算法如下(详细内容参见RFC2617第“3.2.2.1-3.2.2.3”节):
request-digest =<″><KD(H(A1),unq(nonce-value)
″:″nc-value
″:″unq(cnonce-value)
″:″unq(qop-value)
″:″H(A2)
)<″>
其中A1与A2的计算分别如下:
A1=unq(username-value)″:″unq(realm-value)″:″passwd
A2=Method″:″digest-uri-value
(3)除“WWW-Authenticate”和“Authorization”两个基本头域,RFC2617还新定义了Authentication-Info头域,此头域在终端认证成功响应中被携带给终端,传达附加的认证相关信息。此头域在RFC2069中是不存在的,是RFC2617定义的一个扩展。具体参数如下:
Authentication-Info:
qop=auth,
rspauth=″6629fae49393a05397450978507c4ef1″,
cnonce=″0a4f113b″,
nc=00000001
“qop”,表明认证类型(是否需要进行消息体保护),同前描述。
“rspauth”,用于网络向终端表明自己知道终端密码。终端接收到此参数后,通过计算,如果计算结果与此参数的值相同,终端认为网络是可信的。此参数的计算与前面介绍“response”参数的计算方法相同。
“cnonce”,网络将终端在Authorization头域中携带的内容通过此参数原样返回给终端。
“nc”,nonce-count,表明这是第几次使用同一个“nonce”生成认证回应。
除以上4个参数外,此头域中可携带“nextnonce”参数,此参数包含的内容是网络希望终端在生成下一次认证响应中使用的nonce。网络通过此参数,可实现一次性nonce或对nonce值进行改变。
为了能够在IMS网络中支持Digest认证,在IMS网络的用户服务器(HSS)上针对用户标识配置该用户相应的Digest认证方式,由HSS根据用户标识和对应的用户配置数据确定对用户终端进行Digest认证。所述用户标识可以是私有用户标识,这通常针对有用户卡(ISIM卡等)的用户接入情况;当用户终端没有类似的用户卡,实际是针对公有用户标识配置相应的认证机制(在内部实现上为了流程的统一,可以认为私有用户标识与公有用户标识相同)。所述用户标识可以是私有用户标识,这通常针对有用户卡(ISIM卡等)的用户接入情况;当用户终端没有类似的用户卡,实际是针对公有用户标识配置相应的认证机制(在内部实现上为了流程的统一,可以认为私有用户标识与公有用户标识相同)。
参阅图4A所示,在IMS接入域内,由S-CSCF实体对用户终端注册请求实施Digest MD5认证的具体步骤如下:
步骤1:用户终端UE向P-CSCF实体发起注册请求消息REGISTER。
步骤2:P-CSCF实体将注册请求REGISTER转发到S-CSCF实体。
步骤3:S-CSCF实体向HSS发起携带有用户标识的MAR消息,该用户标识从注册请求消息REGISTER中获得。
步骤4:HSS接收到MAR消息,根据用户标识对应的用户配置数据判断对该用户进行Digest MD5认证,根据用户配置数据中的用户名username-value、所对应的域名realm-value以及用户密码passwd,按公式H(A1)=H(unq(username-value)″:″unq(realm-value)″:″passwd)计算出H(A1),向S-CSCF返回携带H(A1)的MAA消息。
步骤5:S-CSCF保存HA1,同时生成认证挑战中的各项参数,如nonce,参数“realm”即用户所在域的域名,可直接从用户标识中获取。并根据各项参数生成WWW-Authenticate头域,并通过401响应将该头域下发到P-CSCF实体。
步骤6:P-CSCF接收来自S-CSCF的401响应,检查消息内容知认证算法为Diges认证,此时P-CSCF不修改401响应,透传该401响应到用户终端UE。(当为Digest AKA时,P-CSCF要保留后续用于建立安全通道的IK/CK)。
步骤7:用户终端从401响应中获取WWW-Authenticate(认证挑战)后,结合自身密钥计算“request-digest”,携带在认证回应Authorization的response参数中,并通过重新发起的注册请求消息REGISTER将认证回应携带到P-CSCF实体。
步骤8:P-CSCF实体将注册请求REGISTER传送到S-CSCF实体。
步骤9:S-CSCF实体收到认证回应后,再结合HA1计算出“request-digest”,与认证回应Authorization中response参数的内容相比较,若两者相同,则认证通过并向用户侧返回200响应,否则认证失败。
步骤10:P-CSCF实体向用户终端发送200响应消息。
在上述流程中,S-CSCF实体与HSS的MAR/MAA交互过程,也可以在S-CSCF实体接收到认证回应后进行,如图4B所示(图中省略了P-CSCF实体部分),其实现与图4A同理,不再赘述。
HA1是以用户秘钥为输入之一进行HASH计算得到的结果,没有包含用户秘钥明文,因此比在S-CSCF与HSS间直接传送秘钥明文要安全些。但如果S-CSCF与HSS间通信不安全,HA1被攻击者获得,因此使用该方法时,建议S-CSCF与HSS间有安全通道,如IPSec。
对于MD5-sess算法,HA1的计算中包括nonce,cnonce等与具体一次认证相关的随机数,克服了MD5算法的缺点,即使攻击者获得了HA1,也无法进行后续业务盗用,此时S-CSCF与HSS间可以没有安全通道。采用Digest MD5-sess算法,HA1计算公式如下:
H(A1)=H(H(unq(username-value)″:″unq(realm-value)
″:″passwd)
″:″unq(nonce-value)″:″unq(cnonce-value))
参阅图5所示,在IMS接入域内,由S-CSCF实体对用户终端注册请求实施Digest MD5-sess认证的具体步骤如下(其中省略了P-CSCF实体部分):
步骤1、用户终端向S-CSCF实体发送注册请求消息REGISTER。
步骤2、针对收到的请求消息,S-CSCF产生认证挑战中的各项参数,如nonce、qop、realm等,然后生成WWW-Authenticate头域,并在401响应中下发到用户终端(通过P-CSCF实体透传到用户终端)。
步骤3、用户终端从401响应中获取WWW-Authenticate(认证挑战)后,结合自身密钥计算“request-digest”,携带在认证回应Authorization的response参数中,并通过重新发起的注册请求消息REGISTER将认证回应携带到S-CSCF实体。
步骤4、S-CSCF实体从Authorization头域中获取“nonce”和“cnonce”参数,加上用户名标识,在MAR请求中传送给HSS。
步骤5、HSS针对用户标识,根据相关参数按前述公式计算出HA1,并通过MAA响应将HA1携带到S-CSCF实体。
步骤6、S-CSCF实体依据HA1和相关认证参数,计算得到request-digest,如果与认证回应中的response参数所带内容相同,则认证通过向终端返回200响应,否则认证失败响应。
在IMS网络的用户服务器(HSS)上针对用户配置其对应的算法为“MD5”,或“MD5-sess”。此配置信息可应用于I-CSCF为用户选择S-CSCF的过程中。例如,运营商部署某个S-CSCF仅完成MD5算法(与HSS间有安全通道),另一个S-CSCF仅完成MD5-sess算法。对于已配置了需进行MD5认证的用户的注册请求需要被分配到第一个S-CSCF上。
当S-CSCF同时支持两种算法(MD5和MD5-sess),可由S-CSCF向HSS获取用户对应的认证算法类型,再下发认证挑战(如果是MD5,则在MAA中直接带回HA1)。或者,S-CSCF先向用户终端表示同时支持两种算法,待终端选择后,采用终端选择的认证算法,与HSS的交互过程中,如果HSS判断终端选择的认证算法与预先配置的不相符合,则向用户回送认证失败。
参阅图6所示,在IMS接入域内,由HSS实体对用户终端注册请求实施Digest认证的具体步骤如下(其中省略了P-CSCF实体部分)
步骤1、用户终端向S-CSCF实体发送注册请求消息REGISTER。
步骤2、S-CSCF实体向HSS发送携带用户标识的MAR请求。
步骤3、HSS针对用户标识,产生认证挑战中的所有所需参数,如nonce等;并在向S-CSCF实体返回的MRR消息的SIP-Authenticate AVP中带给S-CSCF实体。
步骤4、S-CSCF依据由HSS生成的各项参数,生成WWW-Authenticate头域在401响应中下发给终端(通过P-CSCF实体透传到用户终端)。
步骤5、用户终端从401响应中获取WWW-Authenticate(认证挑战)后,结合自身密钥计算“request-digest”,携带在认证回应Authorization的response参数中,并通过重新发起的注册请求消息REGISTER将认证回应携带到S-CSCF实体。
步骤6、S-CSCF实体提取response参数中的cnonce等由终端生成的认证参数信息,将这些信息携带在SIP-Authentication AVP中,通过MAR请求传送给HSS。
步骤7、HSS接收此认证回应后,依据HA1和相关认证参数,利用Digest认证算法计算出request-digest,如果该request-digest与认证回应中的response参数所带内容相同,则认证通过,否则认证失败;并通过MAA消息将认证结果返回到S-CSCF实体。
步骤8、S-CSCF收到认证成功指示,则向终端回200响应,否则回失败响应。
另外,在用户终端不支持与P-CSCF间建立任何安全通道,底层IP组网也没有保证两者间的通信安全,选择接入这类用户时UE与P-CSCF间安全通信就没有任何保证。为了保证安全通信,在HSS的用户配置数据中配置对后续请求消息的认证方式,在注册认证成功后根据该认证方式对后续的请求消息进行Digest认证,若通过认证成功,则继续后续处理流程,否则拒绝该请求消息。
对后续请求消息的认证方式包括:
1、只对注册请求REGISTER进行Digest认证。
2、除注册请求外,还对每条会话请求INVITE进行Digest认证。
3、除注册请求和会话请求外,对其他每条请求消息都进行Digest认证。
此配置信息由IMS网络中的认证实体具体执行。如前所描述,IMS网络中的认证实体可以是S-CSCF实体或HSS。
参阅图7所示,S-CSCF实体认证会话请求INVITE的流程如下:
步骤1:S-CSCF实体收到用户终端UE1向用户终端UE2发起的会话请求INVITE后,生成认证挑战WWW-Authenticate头域。(生成认证挑战时需要与HSS交互,如前所述。)
步骤2:S-CSCF实体通过P-CSCF实体(图中未示出)向用户终端UE1发送401(WWW-Authenticate)响应消息。
步骤3:用户终端UE1收到401响应后向S-CSCF实体发送应答消息ACK。
步骤4:用户终端UE1生成认证回应(具体处理参见前述相应部分),并通过会话请求INVITE(Authorization)携带到S-CSCF实体。
步骤5:S-CSCF实体依据相关参数利用digest认证算法验证认证回应中的内容,如果验证通过,S-CSCF实体向用户终端UE1发送200响应,否则返回认证失败响应。
步骤6:用户终端UE1向S-CSCF返回应答ACK。
由HSS对后续请求消息,在对用户终端注册认证成功后,将HSS上配置的对后续请求消息的认证方式下发到S-CSCF实体上,S-CSCF实体依据该方式确定后续的请求消息的认证方式,若需认证,仍以HSS作为认证实体,其认证与上述同理。
采用Digest认证方式对用户请求进行认证存在“认证周期”(authenticationsession)概念,参见RFC2617描述。当网络下发一个认证挑战给终端,标志这一个认证周期开始,在此周期内,终端可以后续的请求消息中携带认证回应,每带一次认证回应,参数nc需要加1。直到网络对终端的请求下发另外一个新的认证挑战,原先的认证周期算结束而开始一个新的认证周期。
当对终端的每条请求消息进行Digest认证时,IMS网络运营商可选择对用户的“认证周期”。具体选择方式包括:
1、对用户请求消息的“认证周期”等于用户的注册周期。
当用户注册成功,S-CSCF与其协商了注册周期,UE会在注册周期内重新发起REGISTER请求以保持注册状态不超时。S-CSCF在收到注册和重注册请求时,才产生新的nonce等参数,下发新的认证挑战,对其他请求,包括INVITE会话请求,不产生和下发新的认证挑战。
2、对对用户请求消息的“认证周期”等于用户的会话周期。
除对用户的每条注册请求REGISTER产生和下发新的认证挑战,S-CSCF也对每条创建SIP会话(Dialog)的请求以及会话外请求产生新的认证挑战。而对会话内的SIP请求不产生新的认证挑战。
当IMS网络认证实体是S-CSCF时,由于针对用户的“后续请求认证方式”以及“认证周期”的数据配置都在HSS,因此S-CSCF需要获得用户相关的这些配置信息。这些用户配置信息的获得,可以在S-CSCF对用户认证成功后,通过与HSS的Diameter SAR/SAA交互,随用户签约信息一起从HSS下载到S-CSCF上。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (19)
1、一种在IMS网络中认证用户终端的方法,其特征在于,该方法包括步骤:
业务-呼叫会话控制功能S-CSCF实体针对用户请求,利用摘要Digest认证算法生成认证挑战,并通过代理-呼叫会话控制功能P-CSCF实体将该认证挑战发送到用户终端;
用户终端获取所述认证挑战,并结合用户密钥利用Digest认证算法生成认证回应,并通过P-CSCF实体将该认证回应发送到S-CSCF实体;
S-CSCF实体接收所述认证回应后,结合与用户密钥相关的信息HA1利用Digest认证算法验证所述认证回应,若通过验证,则确定用户终端认证成功,否则,确定用户终端认证失败。
2、如权利要求1所述的方法,其特征在于,P-CSCF实体透传所述认证挑战和所述认证回应。
3、如权利要求1所述的方法,其特征在于,所述Digest认证算法为DigestMD5算法;S-CSCF实体在生成认证挑战前通过与用户归属服务器HSS交互获取所述HA1,或者,S-CSCF实体在收到认证回应后通过与用户归属服务器HSS交互获取所述HA1。
4、如权利要求3所述的方法,其特征在于,获取HA1包括步骤:
S-CSCF实体向HSS发送携带用户标识的请求消息;
HSS根据用户对应域的域名、用户标识和用户密钥生成所述HA1,在响应消息中返回给S-CSCF实体。
5、如权利要求1所述的方法,其特征在于,所述Digest认证算法为DigestMD5-Sess算法。
6、如权利要求5所述的方法,其特征在于,获取HA1包括步骤:
S-CSCF实体在收到认证回应后向HSS发送携带用户标识、参数nonce和参数cnonce的请求消息;
HSS根据用户对应域的域名、用户标识、用户密钥、参数nonce和参数cnonce生成所述HA1,并在响应消息中返回给S-CSCF实体。
7、如权利要求4或6所述的方法,其特征在于,所述用户标识为用户公有标识或用户私有标识。
8、如权利要求7所述的方法,其特征在于,HSS上针对用户配置其对应的算法为MD5,或MD5-sess。
9、如权利要求1所述的方法,其特征在于,所述用户请求为注册请求。
10、如权利要求9所述的方法,其特征在于,在对用户终端注册认证成功后,将HSS上配置的对后续请求消息的认证方式下发到S-CSCF实体,S-CSCF实体依据该认证方式对后续的请求消息进行认证。
11、如权利要求10所述的方法,其特征在于,所述对后续请求消息的认证方式包括:只对注册请求消息进行认证,只对注册请求和会话请求消息进行认证,以及对每一条请求消息进行认证。
12、如权利要求11所述的方法,其特征在于,若对每条请求消息进行认证时,将对用户请求消息的认证周期配置为等于用户的注册周期,或者,将对用户请求消息的认证周期配置为等于用户的会话周期。
13、一种在IMS网络中认证用户终端的方法,其特征在于,该方法包括步骤:
S-CSCF实体针对用户请求向HSS发送携带用户标识的请求消息;
HSS根据S-CSCF实体发送的请求消息中的用户标识,产生在Digest认证中生成认证挑战所需的参数并发送到S-CSCF实体;
S-CSCF实体根据所述参数生成认证挑战,并通过P-CSCF实体发送到用户终端;
用户终端获取所述认证挑战,并结合用户密钥利用Digest认证算法生成认证回应,并通过P-CSCF实体和S-CSCF实体将认证回应传送到HSS;
HSS接收所述认证回应后,结合与用户密钥相关的信息HA1和相关认证参数,利用Digest认证算法验证所述认证回应中的相关内容,若通过验证,则通知S-CSCF实体确定用户终端认证成功,否则,通知S-CSCF实体用户终端认证失败。
14、如权利要求13所述的方法,其特征在于,所述用户标识为用户公有标识或用户私有标识。
15、如权利要求13所述的方法,其特征在于,P-CSCF实体透传所述认证挑战和所述认证回应。
16、如权利要求13、14或15所述的方法,其特征在于,所述用户请求为注册请求。
17、如权利要求16所述的方法,其特征在于,在对用户终端注册认证成功后,将HSS上配置的对后续请求消息的认证方式下发到S-CSCF实体上,S-CSCF实体依据该方式确定后续的请求消息的认证方式,若需认证,仍以HSS作为认证实体。
18、如权利要求17所述的方法,其特征在于,所述对后续请求消息的认证方式包括:只对注册请求消息进行认证,只对注册请求和会话请求消息进行认证,以及对每一条请求消息进行认证。
19、如权利要求18所述的方法,其特征在于,若对每条请求消息进行认证时,将用户消息的认证周期配置为等于用户的注册周期,或者,将用户消息的认证周期配置为等于用户的会话周期。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200510070351.0A CN100571134C (zh) | 2005-04-30 | 2005-04-30 | 在ip多媒体子系统中认证用户终端的方法 |
| PCT/CN2006/000822 WO2006116921A1 (fr) | 2005-04-30 | 2006-04-27 | Procede d'authentification d'un terminal utilisateur dans un sous-systeme multimedia ip |
| EP06741743A EP1879324B1 (en) | 2005-04-30 | 2006-04-27 | A method for authenticating user terminal in ip multimedia sub-system |
| ES06741743T ES2389250T3 (es) | 2005-04-30 | 2006-04-27 | Un método para autenticar un terminal de usuario en un subsistema multimedia IP |
| US11/896,389 US8335487B2 (en) | 2005-04-30 | 2007-08-31 | Method for authenticating user terminal in IP multimedia sub-system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200510070351.0A CN100571134C (zh) | 2005-04-30 | 2005-04-30 | 在ip多媒体子系统中认证用户终端的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1859093A CN1859093A (zh) | 2006-11-08 |
| CN100571134C true CN100571134C (zh) | 2009-12-16 |
Family
ID=37297960
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200510070351.0A Active CN100571134C (zh) | 2005-04-30 | 2005-04-30 | 在ip多媒体子系统中认证用户终端的方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8335487B2 (zh) |
| EP (1) | EP1879324B1 (zh) |
| CN (1) | CN100571134C (zh) |
| ES (1) | ES2389250T3 (zh) |
| WO (1) | WO2006116921A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8335487B2 (en) | 2005-04-30 | 2012-12-18 | Huawei Technologies Co., Ltd. | Method for authenticating user terminal in IP multimedia sub-system |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197671B (zh) * | 2006-12-08 | 2012-10-10 | 中兴通讯股份有限公司 | 通信系统中的鉴权方法 |
| KR100946900B1 (ko) * | 2007-01-11 | 2010-03-09 | 삼성전자주식회사 | Ims 재등록 방법 및 이를 위한 시스템 |
| CN101232379B (zh) * | 2008-01-29 | 2011-08-31 | 中国移动通信集团公司 | 一种实现系统登录的方法、信息技术系统和通信系统 |
| US7958261B2 (en) * | 2008-02-14 | 2011-06-07 | Microsoft Corporation | Domain name cache control system generating series of varying nonce-bearing domain names based on a function of time |
| US7865618B2 (en) * | 2008-02-22 | 2011-01-04 | Micorsoft Corporation | Defeating cache resistant domain name systems |
| US8959199B2 (en) * | 2008-03-18 | 2015-02-17 | Reduxio Systems Ltd. | Network storage system for a download intensive environment |
| CN101448319B (zh) * | 2008-04-11 | 2012-02-29 | 中兴通讯股份有限公司 | 一种s-cscf故障恢复处理方法 |
| US8023484B1 (en) | 2008-04-25 | 2011-09-20 | Clear Wireless Llc | Method for obtaining a mobile internet protocol address |
| US8279872B1 (en) | 2008-04-25 | 2012-10-02 | Clearwire Ip Holdings Llc | Method for obtaining a mobile internet protocol address |
| US8036222B1 (en) | 2008-04-25 | 2011-10-11 | Clear Wireless Llc | Method for obtaining a mobile internet protocol address |
| ATE526771T1 (de) * | 2008-05-27 | 2011-10-15 | Ericsson Telefon Ab L M | Umgang mit dem terminieren von anrufen für eine gemeinsam benutzte öffentliche benutzeridentität in einem ip-multimedia-subsystem |
| ES2684299T3 (es) * | 2008-08-01 | 2018-10-02 | Nokia Siemens Networks Oy | Método, aparato, sistema y producto de programa informático para soportar P-CSCF heredada para indicar a la S-CSCF que omita autenticación |
| US8121600B2 (en) * | 2008-12-30 | 2012-02-21 | Motorola Mobility, Inc. | Wide area mobile communications over femto-cells |
| US8107956B2 (en) * | 2008-12-30 | 2012-01-31 | Motorola Mobility, Inc. | Providing over-the-top services on femto cells of an IP edge convergence server system |
| CN101699811B (zh) * | 2009-10-29 | 2012-10-03 | 华为技术有限公司 | 一种ims集中业务的通信方法、装置及系统 |
| US8340670B2 (en) * | 2009-12-14 | 2012-12-25 | Verizon Patent And Licensing Inc. | Registering with SIP servers for IMS using a fully qualified domain name |
| CN102130976B (zh) * | 2010-01-12 | 2014-01-22 | 中国联合网络通信集团有限公司 | 终端接入软交换网的方法、终端及系统 |
| EP2550776B1 (fr) * | 2010-03-23 | 2020-04-29 | Orange | Procede de gestion des enregistrements dans un reseau ims et serveur s-cscf mettant en oeuvre ce procede |
| WO2011157302A1 (en) * | 2010-06-18 | 2011-12-22 | Nokia Siemens Networks Oy | Transmitting authentication information |
| CN101958907A (zh) * | 2010-09-30 | 2011-01-26 | 中兴通讯股份有限公司 | 一种传输密钥的方法、系统和装置 |
| US9015819B2 (en) | 2010-11-04 | 2015-04-21 | Zte Corporation | Method and system for single sign-on |
| CN102638441A (zh) * | 2011-02-15 | 2012-08-15 | 中兴通讯股份有限公司 | 在ims网络中实现单点登录的方法和系统 |
| CN104137469A (zh) * | 2012-12-05 | 2014-11-05 | 索尼公司 | 信息处理装置、验证处理装置、信息处理方法、验证处理方法和程序 |
| GB201307811D0 (en) * | 2013-04-30 | 2013-06-12 | Metaswitch Networks Ltd | Processing data |
| CN107276811B (zh) * | 2013-08-07 | 2021-02-09 | 华为技术有限公司 | 一种实现终端被叫业务恢复的方法、相关装置及系统 |
| US9602493B2 (en) * | 2015-05-19 | 2017-03-21 | Cisco Technology, Inc. | Implicit challenge authentication process |
| CN107360573B (zh) * | 2016-05-10 | 2020-11-27 | 中兴通讯股份有限公司 | 一种终端接入方法和装置 |
| CN108012266B (zh) * | 2016-10-31 | 2021-04-09 | 华为技术有限公司 | 一种数据传输方法及相关设备 |
| US10841305B2 (en) * | 2017-10-02 | 2020-11-17 | Blackberry Limited | Authenticating for a software service |
| CN109995535B (zh) * | 2017-12-29 | 2022-05-10 | 中移(杭州)信息技术有限公司 | 一种sip用户认证方法及装置 |
| CN108599950A (zh) * | 2018-04-09 | 2018-09-28 | 北京无字天书科技有限公司 | 一种适用于sm9标识密码的用户密钥申请下载安全协议的实现方法 |
| US10846701B1 (en) | 2019-05-10 | 2020-11-24 | Bank Of America Corporation | Multi-vector authentication unit (MVAU) |
| CN112118108B (zh) * | 2020-08-18 | 2023-06-30 | 杭州叙简科技股份有限公司 | Sip防盗打校验方法和系统 |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6434700B1 (en) * | 1998-12-22 | 2002-08-13 | Cisco Technology, Inc. | Authentication and authorization mechanisms for Fortezza passwords |
| US7024688B1 (en) * | 2000-08-01 | 2006-04-04 | Nokia Corporation | Techniques for performing UMTS (universal mobile telecommunications system) authentication using SIP (session initiation protocol) messages |
| AU2001221632A1 (en) * | 2000-11-28 | 2002-06-11 | Nokia Corporation | System and method for authentication of a roaming subscriber |
| US6959336B2 (en) | 2001-04-07 | 2005-10-25 | Secure Data In Motion, Inc. | Method and system of federated authentication service for interacting between agent and client and communicating with other components of the system to choose an appropriate mechanism for the subject from among the plurality of authentication mechanisms wherein the subject is selected from humans, client applications and applets |
| GB0111290D0 (en) * | 2001-05-09 | 2001-06-27 | Nokia Corp | Registration in a communication system |
| GB0131046D0 (en) * | 2001-12-28 | 2002-02-13 | Nokia Corp | Service access |
| US7574735B2 (en) * | 2002-02-13 | 2009-08-11 | Nokia Corporation | Method and network element for providing secure access to a packet data network |
| GB0206849D0 (en) * | 2002-03-22 | 2002-05-01 | Nokia Corp | Communication system and method |
| US20030210678A1 (en) * | 2002-05-10 | 2003-11-13 | Nokia Corporation | Functionality split between mobile terminal and terminal equipment for internet protocol multimedia signal exchange |
| EP1512260B1 (de) * | 2002-06-07 | 2005-11-30 | Siemens Aktiengesellschaft | Verfahren und vorrichtung zur authentifizierung eines teilnehmers für die inanspruchnahme von diensten in einem wirelees lan (wlan) |
| CN1142662C (zh) | 2002-10-16 | 2004-03-17 | 华为技术有限公司 | 同时支持基于不同设备网络接入认证的方法 |
| ATE306776T1 (de) | 2002-10-22 | 2005-10-15 | Verfahren und system zur authentifizierung von benutzern in einem telekommunikationssystem | |
| US7478159B2 (en) * | 2003-02-21 | 2009-01-13 | Nokia Corporation | Policy information in multiple PDFs |
| KR101145606B1 (ko) | 2003-03-14 | 2012-05-15 | 톰슨 라이센싱 | 상이한 사용자 장치를 수용할 수 있는 유연한 wlan 액세스 포인트 아키텍쳐 |
| US7421732B2 (en) | 2003-05-05 | 2008-09-02 | Nokia Corporation | System, apparatus, and method for providing generic internet protocol authentication |
| CN1266891C (zh) | 2003-06-06 | 2006-07-26 | 华为技术有限公司 | 无线局域网中用户接入授权的方法 |
| US7280533B2 (en) * | 2003-10-15 | 2007-10-09 | Nokia Corporation | System and method for presence-based routing of communication requests over a network |
| GB0324364D0 (en) * | 2003-10-17 | 2003-11-19 | Nokia Corp | Authentication of messages in a communication system |
| DE10355265A1 (de) * | 2003-11-26 | 2005-06-23 | Siemens Ag | Verfahren zum Registrieren eines Kommunikationsgeräts, zugehöriges Kommunikationsgerät sowie Registrierungseinheit |
| EP1700499B1 (en) * | 2003-12-30 | 2010-06-23 | Telefonaktiebolaget LM Ericsson (publ) | Method and communication system for automatically discovering the multmedia service capability |
| US7321970B2 (en) * | 2003-12-30 | 2008-01-22 | Nokia Siemens Networks Oy | Method and system for authentication using infrastructureless certificates |
| US20050213580A1 (en) * | 2004-03-24 | 2005-09-29 | Georg Mayer | System and method for enforcing policies directed to session-mode messaging |
| GB0417296D0 (en) * | 2004-08-03 | 2004-09-08 | Nokia Corp | User registration in a communication system |
| GB0422275D0 (en) * | 2004-10-07 | 2004-11-10 | Nokia Corp | Callback services in a communication system |
| US7424284B2 (en) * | 2004-11-09 | 2008-09-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure network/service access |
| FI20041659A0 (fi) * | 2004-12-23 | 2004-12-23 | Nokia Corp | Menetelmä liikkeen reitittämiseksi VoIP-päätteeseen matkaviestinjärjestelmässä |
| CN100571134C (zh) | 2005-04-30 | 2009-12-16 | 华为技术有限公司 | 在ip多媒体子系统中认证用户终端的方法 |
| CN100461942C (zh) | 2005-05-27 | 2009-02-11 | 华为技术有限公司 | Ip多媒体子系统接入域安全机制的选择方法 |
-
2005
- 2005-04-30 CN CN200510070351.0A patent/CN100571134C/zh active Active
-
2006
- 2006-04-27 WO PCT/CN2006/000822 patent/WO2006116921A1/zh not_active Application Discontinuation
- 2006-04-27 ES ES06741743T patent/ES2389250T3/es active Active
- 2006-04-27 EP EP06741743A patent/EP1879324B1/en active Active
-
2007
- 2007-08-31 US US11/896,389 patent/US8335487B2/en active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8335487B2 (en) | 2005-04-30 | 2012-12-18 | Huawei Technologies Co., Ltd. | Method for authenticating user terminal in IP multimedia sub-system |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1879324A1 (en) | 2008-01-16 |
| EP1879324B1 (en) | 2012-08-01 |
| US20080045214A1 (en) | 2008-02-21 |
| CN1859093A (zh) | 2006-11-08 |
| WO2006116921A1 (fr) | 2006-11-09 |
| ES2389250T3 (es) | 2012-10-24 |
| US8335487B2 (en) | 2012-12-18 |
| EP1879324A4 (en) | 2008-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100571134C (zh) | 在ip多媒体子系统中认证用户终端的方法 | |
| CN100461942C (zh) | Ip多媒体子系统接入域安全机制的选择方法 | |
| US9503890B2 (en) | Method and apparatus for delivering keying information | |
| KR101461455B1 (ko) | 인증 방법, 시스템 및 장치 | |
| CN101030854B (zh) | 多媒体子系统中网络实体的互认证方法及装置 | |
| US20100011220A1 (en) | Authentication and key agreement method, authentication method, system and device | |
| KR101343039B1 (ko) | 인증 시스템, 방법 및 장치 | |
| EP1946479A1 (en) | Communication securiy | |
| CN1913437B (zh) | 初始会话协议应用网络及建立安全通道的装置和方法 | |
| CN100561909C (zh) | 一种基于tls的ip多媒体子系统接入安全保护方法 | |
| Sharma et al. | Improved IP multimedia subsystem authentication mechanism for 3G-WLAN networks | |
| JP5342818B2 (ja) | 管理装置、登録通信端末、非登録通信端末、ネットワークシステム、管理方法、通信方法、及びコンピュータプログラム。 | |
| US20040043756A1 (en) | Method and system for authentication in IP multimedia core network system (IMS) | |
| WO2007022800A1 (en) | Method and apparatus for providing access security in a communications network | |
| US8539564B2 (en) | IP multimedia security | |
| CN100544247C (zh) | 安全能力协商方法 | |
| CN102065069B (zh) | 一种身份认证方法、装置和系统 | |
| CN101662475B (zh) | Wapi终端接入ims网络的认证方法、系统和终端 | |
| CN102694779A (zh) | 组合认证系统及认证方法 | |
| Abid et al. | Efficient identity-based authentication for IMS based services access | |
| Long et al. | Enhanced one-pass ip multimedia subsystem authentication protocol for umts | |
| CN105827661A (zh) | 安全通信的方法及装置 | |
| Blanchard | Wireless security | |
| CN110933673B (zh) | 一种ims网络的接入认证方法 | |
| Song et al. | Performance evaluation of an authentication solution for IMS services access |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: INVENT CO., LTD. Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO., LTD. Effective date: 20140521 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20140521 Address after: American California Patentee after: INVENT CORP. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: Huawei Technologies Co., Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20170630 Address after: American California Patentee after: Yingweite SPE limited liability company Address before: American California Patentee before: INVENT CORP. |