CN101478753B - Wapi终端接入ims网络的安全管理方法及系统 - Google Patents
Wapi终端接入ims网络的安全管理方法及系统 Download PDFInfo
- Publication number
- CN101478753B CN101478753B CN2009100001982A CN200910000198A CN101478753B CN 101478753 B CN101478753 B CN 101478753B CN 2009100001982 A CN2009100001982 A CN 2009100001982A CN 200910000198 A CN200910000198 A CN 200910000198A CN 101478753 B CN101478753 B CN 101478753B
- Authority
- CN
- China
- Prior art keywords
- wapi terminal
- ims
- terminal
- access point
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1076—Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Abstract
本发明公开了一种WAPI终端接入IMS网络的安全管理方法及系统,该方法包括:在接入点和WAPI终端通过ASU的验证的情况下,ASU向HSS发送安全信息请求消息,其中,安全信息请求消息中携带有WAPI终端的IMS账号信息;接收到ASU的安全信息请求消息后,HSS将与WAPI终端的IMS账号信息对应的安全信息设置为接入层安全;P-CSCF接收来自WAPI终端的IMS注册请求消息,通过HSS查询WAPI终端的安全信息,并在WAPI终端的安全信息为接入层安全的情况下允许WAPI终端执行IMS业务流程。本发明能够在保证IMS系统的安全的前提下,减小WAPI终端的功耗,提高了用户体验。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种WAPI终端接入IMS网络的安全管理方法及系统。
背景技术
IP多媒体子系统(IP Multimedia Subsystem,简称为IMS)是用于帮助多媒体业务创建和部署的网络功能框架,其支持互操作性和网络融合。IMS允许网络运营商在流量分发中发挥关键作用,因而更像一个数据管道。
IMS最先由无线标准组织第三代合作伙伴计划(3rd GenerationPartnership Project,简称为3GPP)制定和设计,作为全球移动通信系统(Global System for Mobile communications,简称为GSM)之上的网络演进的一部分,最初标准(3GPP R5)是在通用分组无线(General Packet Radio Service,简称为GPRS)上提供互联网多媒体业务。此后经过不断更新和修订,适用的网络包括GPRS、WLAN(Wireless LAN,无线局域网)、时分(Time Division,简称为TD)网络、宽带码分多址接入WCDMA(Wideband Code Division MultipleAccess,简称为WCDMA)、CDMA2000和固网等,IMS能够实现固网与移动网络的融合。
IMS安全涉及多个IMS核心网的网元。对于终端而言,IMS安全主要是建立终端与IMS的代理型呼叫会话控制功能(Proxy-CallSession Control Function,简称为P-CSCF)之间的安全链接。
图1是根据相关技术的IMS安全网络的分层结构的示意图,如图1所示,按照网络分层模型,终端的IMS安全包括:接入层安全、网络层安全、传输层安全和应用层安全。其中,应用层安全提供用户的身份双向鉴别,主要通过IMS注册的IMS报文摘要(IMSMessage Digest,简称为IMS-MD)鉴权和认证和IMS密钥协商(Authentication and Key Agreement,简称为IMS-AKA)来实现;传输层安全通过传输层安全/安全套接字层(Transport LayerSecurity/Secure Socket Layer,简称为TLS/SSL)来实现;网络层安全通过IP安全(IP Security,简称为IPSEC)来实现;接入层安全根据不同网络接入方式而异,对于WLAN,主要包括IEEE的802.11i和中国国家标准的无线局域网认证和保密基础结构(WLANAuthentication Privacy Infrastructure,简称为WAPI)。WAPI采用公钥加密体系,由认证服务单元(Authentication Service Unit,简称为ASU)实现对WLAN终端和接入点(Access Point,简称为AP)双向认证和保密传输。
具有WAPI功能的移动终端接入IMS时,如果同时应用上述的多种安全机制,将会造成安全冗余,导致服务质量下降(例如:加大网络延迟)并增加资源消耗(例如:增加终端电源功耗)。目前,针对WAPI终端接入IMS系统如何实现安全机制的问题,相关技术中尚未提出有效的解决方案。
发明内容
考虑到相关技术中WAPI终端接入IMS系统同时采用多种安全机制导致服务质量下降和资源消耗增加的问题而提出本发明,为此,本发明的主要目的在于提供一种WAPI终端接入IMS网络的安全管理方法及系统,以解决相关技术中存在的上述问题至少之一。
为实现上述目的,根据本发明的一个方面,提供了一种WAPI终端接入IMS网络的安全管理方法。
根据本发明的安全管理方法包括:在接入点和WAPI终端通过ASU的验证的情况下,ASU向HSS发送安全信息请求消息,其中,安全信息请求消息中携带有WAPI终端的IMS账号信息;接收到ASU的安全信息请求消息后,HSS将与WAPI终端的IMS账号信息对应的安全信息设置为接入层安全;P-CSCF接收来自WAPI终端的IMS注册请求消息,通过HSS查询WAPI终端的安全信息,并在WAPI终端的安全信息为接入层安全的情况下允许WAPI终端执行IMS业务流程。
优选地,ASU验证接入点和WAPI终端包括:ASU验证接入点的签名和证书,在接入点的签名和证书通过验证的情况下,进一步验证WAPI终端的签名;在终端的签名通过验证的情况下,确定接入点和终端通过验证。
优选地,在ASU验证接入点和WAPI终端之前,该方法还包括:接入点向WAPI终端发送鉴别激活消息,其中,鉴别激活消息中携带有接入点的证书、ECDH的参数信息、ASU的标识信息、ASU的鉴别标识信息;WAPI终端接收鉴别激活消息,并向接入点发送接入鉴别请求消息,其中,接入鉴别请求消息中携带有WAPI终端的证书、接入点的证书、ECDH的参数信息、WAPI终端的ECDH公钥信息;接入点向ASU发送证书鉴别请求消息,其中,证书鉴别请求消息中携带有接入点的签名和证书、WAPI终端的签名。
优选地,在HSS将与WAPI终端的IMS账号信息对应的安全信息设置为接入层安全之后,并且在WAPI终端向P-CSCF发送IMS注册请求消息之前,该方法还包括:接入点接收来自ASU的证书鉴别响应消息,并向WAPI终端发送接入鉴别响应消息;接入点和WAPI终端进行单播密钥协商,以确定接入点和WAPI终端之间数据加密传输所采用的基密钥,在协商成功的情况下,接入点和WAPI终端之间传输的数据采用基密钥进行加密和解密。
优选地,接入点和WAPI终端进行单播密钥协商的处理包括:接入点向WAPI终端发送单播密钥协商请求消息;接入点接收来自WAPI终端的单播密钥协商响应消息,并向WAPI终端发送单播密钥协商确认消息。
优选地,在WAPI终端退出IMS业务的情况下,该方法还包括:ASU接收来自接入点的解除链路验证请求信息,并向HSS发送解除安全信息请求消息,其中,解除安全信息请求消息中携带有解除WAPI终端的IMS账号信息;HSS接收到来自ASU的解除安全信息请求消息,将与WAPI终端的IMS账号信息对应的安全信息的接入层安全设置为空。
根据本发明的另一方面,该提供了一种WAPI终端接入IMS网络的安全管理系统。
根据本发明的安全管理系统包括:ASU,用于验证接入点和WAPI终端,在接入点和WAPI终端通过验证的情况下,向HSS发送安全信息请求消息,其中,安全信息请求消息中携带有WAPI终端的IMS账号信息;HSS,用于接收来自ASU的安全信息请求消息,并将与WAPI终端的IMS账号信息对应的安全信息设置为接入层安全;P-CSCF,用于在接收到来自WAPI终端的IMS注册请求消息的情况下,通过HSS查询WAPI终端的安全信息,并根据查询结果进行后续的处理。
优选地,ASU进一步包括:验证模块,用于验证接入点和WAPI终端,发送模块,用于验证模块的验证结果为接入点和WAPI终端通过验证的情况下,向HSS发送安全信息请求消息,其中,安全信息请求消息中携带有WAPI终端的IMS账号信息。
优选地,HSS进一步包括:第一接收模块,用于接收来自发送模块的安全信息请求消息;设置模块,用于根据第一接收模块接收的安全信息请求消息,将与WAPI终端的IMS账号信息对应的安全信息设置为接入层安全。
优选地,P-CSCF进一步包括:第二接收模块,用于接收来自WAPI终端的IMS注册请求消息;查询模块,用于通过HSS查询WAPI终端的安全信息,并根据查询结果进行后续的处理。
借助于本发明的上述技术方案,通过在HSS设置经过验证的WAPI终端的接入层安全信息,允许保存有安全信息的WAPI终端访问IMS系统,能够在保证IMS系统的安全的前提下,减小WAPI终端的功耗,提高了用户体验。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据相关技术的IMS安全网络的分层结构的示意图;
图2是根据本发明实施例的WAPI终端的实现原理的结构示意图;
图3是根据本发明实施例的WAPI终端接入IMS网络的安全管理方法的流程图;
图4是根据本发明方法实施例的IMS业务的注册流程的流程图;
图5是根据本发明方法实施例的IMS业务的注销流程的流程图;
图6是根据本发明实施例的WAPI终端接入IMS网络的安全管理系统的流程图。
具体实施方式
功能概述
本发明的主要思想是:ASU将通过验证的WAPI终端的安全信息发送至HSS,该HSS将对应WAPI终端的安全信息设置为接入层安全;在WAPI终端发起IMS注册请求时,P-CSCF通过HSS查询WAPI终端的安全信息,并在WAPI终端的安全信息为接入层安全的情况下允许WAPI终端执行IMS业务流程。
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。如果不冲突,本发明实施例及实施例中特征可以相互组合。
方法实施例
根据本发明实施例,提供了一种WAPI终端接入IMS网络的安全管理方法。
图2是根据本发明实施例的WAPI终端的实现原理的结构示意图。如图2所示,该WAPI终端可以分为4层:操作系统层、无线网络管理层、安全管理层和IMS应用层。
其中,操作系统层主要包含WAPI芯片的驱动、WAPI安全实现的系统调用和TCP/IP协议栈。
无线网络管理层负责各种手机无线网络的接入和切换,例如GPRS激活或者WLAN关联,为上层业务建立IP通道。
安全管理层负责各种安全方式的实施和安全配置信息的管理,根据上层业务需要建立相应的安全链路。
IMS应用层包括信令层(例如SIP协议和HTTP协议)、各种语音业务(例如,IP语音、按键通等)和各种视频业务(例如,视频共享、可视电话和会议等)。
当IMS应用层的某个业务启动时,通知安全管理层和无线网络管理层需要建立IP通道并实施某种安全方式,例如WAPI安全;安全管理层将相应的安全配置信息(例如,证书存储路径、预共享密钥)交给无线网络管理层;无线网络管理层按照指定的安全方式调用操作系统所提供的WAPI安全接口启动WAPI协商过程;操作系统层的负责WAPI各种请求消息(原语)的发送和接收,当收到AP的关联成功响应后,通知无线网络管理层已经成功建立IP通道,打开WAPI芯片的数据通道,允许IP分组传输;无线网络管理层通知IMS应用层和安全管理层有关底层已经建好安全链路;IMS应用层通过SIP协议发起IMS注册过程,在应用层组建SIP注册报文,交给底层TCP/IP协议栈通过WAPI芯片发送到SIP注册代理;当收到SIP注册代理响应后,由底层通知IMS应用层,IMS应用层解析SIP报文后,可以判断服务器是否了解终端底层已经采用了接入层安全机制,并判断是否还需要建立其它安全机制。
图3是根据本发明实施例的WAPI终端接入IMS网络的安全管理方法的流程图。需要说明的是,在以下方法中描述的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在图3中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。如图3所示,该方法包括以下处理:
步骤S302,在接入点和WAPI终端通过ASU的验证的情况下,ASU向HSS发送安全信息请求消息,其中,安全信息请求消息中携带有WAPI终端的IMS账号信息;
步骤S304,接收到ASU的安全信息请求消息后,HSS将与WAPI终端的IMS账号信息对应的安全信息设置为接入层安全;
步骤S306,WAPI终端向P-CSCF发送IMS注册请求消息,P-CSCF通过HSS查询WAPI终端的安全信息,并在WAPI终端的安全信息为接入层安全的情况下允许WAPI终端执行IMS业务流程。
基于上述处理,WAPI终端和IMS网络能够安全地进行数据传输,IMS网络对WAPI终端在接入层进行安全认证和保密传输后,不再需要进行网络层的IPSEC机制。
下面详细描述上述各处理的细节。
(一)步骤S302
首先,接入点向WAPI终端发送鉴别激活消息,其中,鉴别激活消息中携带有接入点的证书、椭圆曲线迪菲-赫尔曼密钥协商协议(Elliptic Curve Diffie-Hellman,简称为ECDH)的参数信息、ASU的标识信息、ASU的鉴别标识信息;
并且,WAPI终端接收鉴别激活消息,并向接入点发送接入鉴别请求消息,其中,接入鉴别请求消息中携带有WAPI终端的证书、接入点的证书、ECDH的参数信息、WAPI终端的ECDH公钥信息;接入点向ASU发送证书鉴别请求消息,其中,证书鉴别请求消息中携带有接入点的签名和证书、WAPI终端的签名。
基于此,ASU接收来自接入点的证书鉴别请求消息,ASU验证接入点的签名和证书,在接入点的签名和证书通过验证的情况下,进一步验证通过该接入点接入的WAPI终端的签名;并且在终端的签名通过验证的情况下,确定接入点和终端通过验证。
(二)步骤S304和步骤S306
HSS接收到ASU的安全信息请求消息后,HSS将与WAPI终端的IMS账号信息对应的安全信息设置为接入层安全,并向ASU返回安全信息响应消息。
并且,ASU向接入点发送证书鉴别响应消息,并向WAPI终端发送接入鉴别响应消息;接入点和WAPI终端进行单播密钥协商,以确定接入点和WAPI终端之间数据加密传输所采用的基密钥,在协商成功的情况下,接入点和WAPI终端之间传输的数据采用基密钥进行加密和解密。
根据本发明,WAPI终端向P-CSCF发送IMS注册请求消息,P-CSCF通过HSS查询WAPI终端的安全信息,并在WAPI终端的安全信息为接入层安全的情况下允许WAPI终端执行IMS业务流程。
基于上述处理,在WAPI终端退出IMS业务的情况下,ASU接收来自接入点的解除链路验证请求信息,并向HSS发送解除安全信息请求消息,其中,解除安全信息请求消息中携带有解除WAPI终端的IMS账号信息;HSS接收到来自ASU的解除安全信息请求消息,将与WAPI终端的IMS账号信息对应的安全信息的接入层安全设置为空。
图4是根据本发明方法实施例的IMS业务的注册流程的流程图,如图4所示,具有WLAN无线功能的WAPI终端(以下简称终端)接入IMS网络时,进行以下处理:
S401,当终端需要关联或者重新关联至AP时,由AP向终端发送鉴别请求激活消息以启动WAPI的整个鉴别过程,该激活鉴别消息包括:AP的证书、ECDH的相关参数、ASU标识和ASU鉴别标识;
S402,当终端接收到来自AP的鉴别请求激活消息后,向AP发送接入鉴别请求消息,该消息包括终端的证书、AP的证书、ECDH的参数及ECDH交换时的临时公钥等信息。
S403,AP接收到终端的接入鉴别请求消息后,向ASU发送证书鉴别请求分组,该分组包括AP与终端的证书、AP生成的签名。
S404,ASU接收到证书鉴别请求分组后,验证AP的签名和AP证书的有效性,若不正确,则鉴别过程失败;否则,进一步验证终端的证书,如果验证成功,则通过Cx接口的扩展协议向IMS的HSS网元发送关联IMS账号安全信息请求分组,该分组包括终端的IMS账号和证书的字段信息。
S405,HSS将此IMS账号的安全信息设置为接入层安全,并向ASU发送关联IMS账号安全信息响应分组。
S406,ASU接收到来自HSS的响应分组后,判断是否关联成功:如果没有关联成功,则鉴别过程失败,向AP发送证书鉴别响应分组,该分组包括终端证书鉴别结果、AP证书鉴别结果、最终验证结果信息。
S407,AP对ASU返回的证书鉴别响应进行签名验证,得到终端证书的鉴别结果,用于对终端进行接入控制。AP向终端发送接入鉴别响应消息,该消息包括终端的接入结果、AP生成的临时公钥和证书验证结果等信息。
S408,如果AP证书的验证结果为成功,则生成一随机数据,利用终端的ECDH公钥加密,向终端发送单播密钥协商请求消息。
S409,终端收到单播密钥协商响应消息后,利用其私钥进行解密并进行验证,如果验证成功,则向AP发送单播密钥协商响应消息,用AP的公钥进行加密,该响应消息包括单播密钥、AP的随机数和终端的随机数、WAPI信息元素等信息。
S410,AP接收到单播密钥协商响应消息后,使用其私钥进行解密,并验证解密出的消息各字段信息,如果成功,则向终端发送单播密钥协商确认消息。之后AP与终端之间将采用基密钥进行加密和解密。
S411,终端启动IMS业务,生成IMS注册请求分组,在数据链路层经过之前协商的基密钥加密,发送到AP。
S412,AP将IMS注册请求发送至P-CSCF。
S413,P-CSCF接收到IMS注册请求后,由S-CSCF向HSS查询该IMS账号信息,该信息中包括它的安全设置信息。
S414,HSS将此IMS账号的安全信息发送给S-CSCF并转发给P-CSCF,此IMS账号已经处于接入层安全的状态下,不必进行网络层、传输层的安全关联过程。
S415,P-CSCF将IMS注册的信息转发到相应的应用服务器,以便进行IMS业务的绑定。
S416,P-CSCF根据应用服务器返回的注册响应,向AP发送IMS注册响应分组。
S417,AP将IMS注册响应分组发送给终端,之后,终端可以进行例如多媒体语音电话、可视电话、视频共享等IMS业务流程业务。
在WAPI终端退出IMS业务的情况下,进行如图5所示的处理。
图5是根据本发明方法实施例的IMS业务的注销流程的流程图,如图5所示,终端退出IMS业务的处理流程包括:
S501,终端退出IMS业务,生成IMS注销请求分组并发送至AP。
S502,AP将IMS注销请求分组转发到P-CSCF。
S503,P-CSCF完成相应的业务解绑定过程,返回IMS注销响应分组。
S504,终端收到AP转发的IMS注销响应分组,退出相应的IMS业务应用。
S505,当终端上没有应用需要WLAN接入网络的时候,向AP发送解除链路验证请求消息。
S506,AP收到解除链路验证请求消息后,生成解除链路验证请求分组并发送至ASU。
S507,ASU接收到解除链路验证请求分组后,通过Cx接口的扩展协议向HSS发送解除IMS账号的安全关联请求分组。
S508,HSS将IMS账号的安全信息的接入层安全标志置空,向ASU发送解除IMS账号安全信息的响应分组。
S509,ASU生成解除链路验证响应分组,并发送至AP。
S510,AP收到解除链路验证响应分组后,向终端发送解除链路验证响应消息,关闭与终端的数据通道,将鉴别状态置为初始状态。
上述实施例分别描述了根据本发明实施例的WAPI终端进入和退出IMS业务的优选处理流程。
装置实施例
根据本发明实施例,还提供了一种WAPI终端接入IMS网络的安全管理系统,该系统可以用于实现上述方法实施例所提供的WAPI终端接入IMS网络的安全管理方法。
图6是根据本发明实施例的WAPI终端接入IMS网络的安全管理系统的流程图,如图6所示,该系统包括:ASU 10,HSS 20,P-CSCF30,具体地:
ASU 10,设置于WAPI,用于验证接入点和WAPI终端,在接入点和WAPI终端通过验证的情况下,向HSS发送安全信息请求消息,其中,安全信息请求消息中携带有WAPI终端的IMS账号信息;
HSS 20,设置于IMS系统,连接至ASU 10,用于接收来自ASU的安全信息请求消息,并将与WAPI终端的IMS账号信息对应的安全信息设置为接入层安全;
P-CSCF 30,设置于IMS系统,连接至HSS 20,用于在接收到来自WAPI终端的IMS注册请求消息的情况下,通过HSS查询WAPI终端的安全信息,并根据查询结果进行后续的处理。
其中,ASU进一步包括:验证模块(未示出),用于验证接入点和WAPI终端,发送模块(未示出),连接至验证模块,用于验证模块的验证结果为接入点和WAPI终端通过验证的情况下,向HSS发送安全信息请求消息,其中,安全信息请求消息中携带有WAPI终端的IMS账号信息。
并且,HSS进一步包括:第一接收模块(未示出),用于接收来自发送模块的安全信息请求消息;设置模块(未示出),连接至第一接收模块,用于根据第一接收模块接收的安全信息请求消息,将与WAPI终端的IMS账号信息对应的安全信息设置为接入层安全。
以及,P-CSCF进一步包括:第二接收模块(未示出),用于接收来自WAPI终端的IMS注册请求消息;查询模块(未示出),分别连接至第二接收模块和设置模块,用于通过HSS查询WAPI终端的安全信息,并根据查询结果进行后续的处理。
在具体实施过程中,根据本发明实施例提供的系统同样可以完成图2至图5中所示的处理,具体处理过程此处不再重复描述。
综上所述,借助于本发明的上述技术方案,通过在HSS设置经过验证的WAPI终端的接入层安全信息,允许保存有安全信息的WAPI终端访问IMS系统,能够在保证IMS系统的安全的前提下,减小WAPI终端的功耗,提高了用户体验。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种WAPI终端接入IP多媒体子系统网络IMS网络的安全管理方法,其特征在于,包括:
在接入点和WAPI终端通过认证服务单元ASU的验证的情况下,所述ASU向归属用户服务器HSS发送安全信息请求消息,其中,所述安全信息请求消息中携带有所述WAPI终端的IMS账号信息;
接收到所述ASU的安全信息请求消息后,所述HSS将与所述WAPI终端的IMS账号信息对应的安全信息设置为接入层安全;
代理型呼叫会话控制功能P-CSCF接收来自所述WAPI终端的IMS注册请求消息,通过所述HSS查询所述WAPI终端的安全信息,并在所述WAPI终端的安全信息为接入层安全的情况下允许所述WAPI终端执行IMS业务流程。
2.根据权利要求1所述的方法,其特征在于,所述ASU验证所述接入点和所述WAPI终端包括:
所述ASU验证所述接入点的签名和证书,在所述接入点的签名和证书通过验证的情况下,进一步验证所述WAPI终端的签名;
在所述终端的签名通过验证的情况下,确定所述接入点和所述终端通过验证。
3.根据权利要求1所述的方法,其特征在于,在所述ASU验证所述接入点和所述WAPI终端之前,所述方法还包括:
所述接入点向所述WAPI终端发送鉴别激活消息,其中,所述鉴别激活消息中携带有所述接入点的证书、椭圆曲线迪菲-赫尔曼密钥协商协议ECDH的参数信息、所述ASU的标识信息、所述ASU的鉴别标识信息;
所述WAPI终端接收所述鉴别激活消息,并向所述接入点发送接入鉴别请求消息,其中,所述接入鉴别请求消息中携带有所述WAPI终端的证书、所述接入点的证书、所述ECDH的参数信息、所述WAPI终端的ECDH公钥信息;
所述接入点向所述ASU发送证书鉴别请求消息,其中,所述证书鉴别请求消息中携带有所述接入点的签名和证书、所述WAPI终端的签名。
4.根据权利要求3所述的方法,其特征在于,在所述HSS将与所述WAPI终端的IMS账号信息对应的安全信息设置为接入层安全之后,并且在所述WAPI终端向所述P-CSCF发送IMS注册请求消息之前,所述方法还包括:
所述接入点接收来自所述ASU的证书鉴别响应消息,并向所述WAPI终端发送接入鉴别响应消息;
所述接入点和所述WAPI终端进行单播密钥协商,以确定所述接入点和所述WAPI终端之间数据加密传输所采用的基密钥,在协商成功的情况下,所述接入点和所述WAPI终端之间传输的数据采用所述基密钥进行加密和解密。
5.根据权利要求4所述的方法,其特征在于,所述接入点和所述WAPI终端进行单播密钥协商的处理包括:
所述接入点向所述WAPI终端发送单播密钥协商请求消息;
所述接入点接收来自所述WAPI终端的单播密钥协商响应消息,并向所述WAPI终端发送单播密钥协商确认消息。
6.根据权利要求1至5中任一项所述的方法,其特征在于,在所述WAPI终端退出所述IMS业务的情况下,所述方法还包括:
所述ASU接收来自所述接入点的解除链路验证请求信息,并向所述HSS发送解除安全信息请求消息,其中,所述解除安全信息请求消息中携带有解除所述WAPI终端的IMS账号信息;
所述HSS接收到来自所述ASU的解除安全信息请求消息,将与所述WAPI终端的IMS账号信息对应的安全信息的接入层安全设置为空。
7.一种WAPI终端接入IMS网络的安全管理系统,其特征在于,包括:
ASU,用于验证接入点和WAPI终端,在所述接入点和所述WAPI终端通过验证的情况下,向HSS发送安全信息请求消息,其中,所述安全信息请求消息中携带有所述WAPI终端的IMS账号信息;
所述HSS,用于接收来自所述ASU的安全信息请求消息,并将与所述WAPI终端的IMS账号信息对应的安全信息设置为接入层安全;
P-CSCF,用于在接收到来自所述WAPI终端的IMS注册请求消息的情况下,通过所述HSS查询所述WAPI终端的安全信息,并根据查询结果进行后续的处理。
8.根据权利要求7所述的系统,其特征在于,所述ASU进一步包括:
验证模块,用于验证接入点和WAPI终端,
发送模块,用于所述验证模块的验证结果为所述接入点和所述WAPI终端通过验证的情况下,向HSS发送安全信息请求消息,其中,所述安全信息请求消息中携带有所述WAPI终端的IMS账号信息。
9.根据权利要求8所述的系统,其特征在于,所述HSS进一步包括:
第一接收模块,用于接收来自所述发送模块的安全信息请求消息;
设置模块,用于根据所述第一接收模块接收的所述安全信息请求消息,将与所述WAPI终端的IMS账号信息对应的安全信息设置为接入层安全。
10.根据权利要求9所述的系统,其特征在于,所述P-CSCF进一步包括:
第二接收模块,用于接收来自所述WAPI终端的IMS注册请求消息;
查询模块,用于通过所述HSS查询所述WAPI终端的安全信息,并根据查询结果进行后续的处理。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100001982A CN101478753B (zh) | 2009-01-16 | 2009-01-16 | Wapi终端接入ims网络的安全管理方法及系统 |
| US13/143,485 US8595485B2 (en) | 2009-01-16 | 2009-07-16 | Security management method and system for WAPI terminal accessing IMS network |
| EP09838100.7A EP2381710B1 (en) | 2009-01-16 | 2009-07-16 | Security management method and system for wapi terminal accessing ims network |
| PCT/CN2009/072794 WO2010081313A1 (zh) | 2009-01-16 | 2009-07-16 | Wapi终端接入ims网络的安全管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100001982A CN101478753B (zh) | 2009-01-16 | 2009-01-16 | Wapi终端接入ims网络的安全管理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101478753A CN101478753A (zh) | 2009-07-08 |
| CN101478753B true CN101478753B (zh) | 2010-12-08 |
Family
ID=40839372
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100001982A Expired - Fee Related CN101478753B (zh) | 2009-01-16 | 2009-01-16 | Wapi终端接入ims网络的安全管理方法及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8595485B2 (zh) |
| EP (1) | EP2381710B1 (zh) |
| CN (1) | CN101478753B (zh) |
| WO (1) | WO2010081313A1 (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101478753B (zh) | 2009-01-16 | 2010-12-08 | 中兴通讯股份有限公司 | Wapi终端接入ims网络的安全管理方法及系统 |
| CN101583083B (zh) * | 2009-06-01 | 2011-11-30 | 中兴通讯股份有限公司 | 一种实时数据业务的实现方法和实时数据业务系统 |
| US8875219B2 (en) * | 2009-07-30 | 2014-10-28 | Blackberry Limited | Apparatus and method for controlled sharing of personal information |
| CN101646265B (zh) * | 2009-09-15 | 2012-03-21 | 青岛海信移动通信技术股份有限公司 | 一种移动终端 |
| CN101662475B (zh) * | 2009-09-24 | 2012-06-13 | 中兴通讯股份有限公司 | Wapi终端接入ims网络的认证方法、系统和终端 |
| CN101800987B (zh) * | 2010-02-10 | 2014-04-09 | 中兴通讯股份有限公司 | 一种智能卡鉴权装置及方法 |
| US9219709B2 (en) * | 2012-03-27 | 2015-12-22 | Saife, Inc. | Multi-wrapped virtual private network |
| GB2516412A (en) * | 2013-05-03 | 2015-01-28 | Vodafone Ip Licensing Ltd | Access control |
| CN105991572B (zh) * | 2015-02-10 | 2020-01-10 | 腾讯科技(深圳)有限公司 | 无线网络的登录鉴权方法、装置和系统 |
| CN106209928B (zh) * | 2015-04-30 | 2019-09-24 | 中国电信股份有限公司 | 一种多媒体云服务方法、终端及系统 |
| CN107360572B (zh) * | 2016-05-10 | 2019-11-12 | 普天信息技术有限公司 | 一种基于wifi的安全增强认证方法以及装置 |
| CN108668274B (zh) * | 2017-03-29 | 2021-04-02 | 中国移动通信集团北京有限公司 | 一种实现VoLTE IMS注册的方法及装置 |
| CN108198377B (zh) * | 2018-03-05 | 2024-03-08 | 长信智联(西安)通信科技有限公司 | 基于NB-IoT无线通信技术的动力环境监控系统及方法 |
| CN110519545B (zh) * | 2018-05-22 | 2021-11-23 | 中兴通讯股份有限公司 | 会议权限控制方法及系统、服务器、终端、存储介质 |
| CN108696538B (zh) | 2018-07-10 | 2020-12-22 | 安康鸿天科技开发有限公司 | 一种基于密钥文件的ims系统的安全通信方法 |
| CN110795392B (zh) * | 2019-10-29 | 2022-04-19 | 北京四方启点科技有限公司 | 会计电子凭证的封装方法和电子设备 |
| CN111669756B (zh) * | 2020-07-24 | 2023-07-04 | 广西电网有限责任公司 | 一种wapi网络中传递接入网络信息的系统及方法 |
| CN112235794A (zh) * | 2020-11-17 | 2021-01-15 | 南京博洛米通信技术有限公司 | 一种带加密芯片wapi模块和传输方法 |
| CN113301058B (zh) * | 2021-07-27 | 2021-10-29 | 北京国电通网络技术有限公司 | 信息加密传输方法、装置、电子设备和计算机可读介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1671136A (zh) * | 2004-03-16 | 2005-09-21 | 神州亿品科技(北京)有限公司 | 一种扩展无线局域网鉴别协议的方法 |
| CN1725685A (zh) * | 2004-07-22 | 2006-01-25 | 中兴通讯股份有限公司 | 无线局域网移动终端的安全重认证方法 |
| CN1905504A (zh) * | 2006-07-31 | 2007-01-31 | 西安西电捷通无线网络通信有限公司 | 无线局域网中实现基于wapi体制的虚拟局域网的方法 |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6885861B2 (en) * | 2001-08-24 | 2005-04-26 | Nokia Corporation | Service mobility and recovery in communication networks |
| US7421732B2 (en) * | 2003-05-05 | 2008-09-02 | Nokia Corporation | System, apparatus, and method for providing generic internet protocol authentication |
| AU2003253373A1 (en) * | 2003-08-01 | 2005-02-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for routing a service request |
| GB0409496D0 (en) * | 2004-04-28 | 2004-06-02 | Nokia Corp | Subscriber identities |
| CN100370772C (zh) | 2004-06-04 | 2008-02-20 | 华为技术有限公司 | 一种无线局域网移动终端接入的方法 |
| KR100823128B1 (ko) * | 2004-06-30 | 2008-04-21 | 삼성전자주식회사 | 통합 서비스 제공 시스템의 정보 관리 방법 및 장치 |
| JP2006079213A (ja) * | 2004-09-07 | 2006-03-23 | Ntt Docomo Inc | 中継装置、認証サーバ及び認証方法 |
| EP1715625A1 (en) * | 2005-04-22 | 2006-10-25 | Alcatel | Apparatuses for controlling service delivery using access-dependent information in a system comprising a core network subsystem |
| DE202005021930U1 (de) * | 2005-08-01 | 2011-08-08 | Corning Cable Systems Llc | Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen |
| GB0517592D0 (en) * | 2005-08-25 | 2005-10-05 | Vodafone Plc | Data transmission |
| KR20070031155A (ko) * | 2005-09-14 | 2007-03-19 | 주식회사 케이티 | 분산 구조의 가입자정보관리서버 |
| US7509124B2 (en) * | 2005-09-16 | 2009-03-24 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for providing multimedia information services over a communication network |
| US8515421B2 (en) * | 2005-11-12 | 2013-08-20 | Interdigital Technology Corporation | IMS enabled attach procedure for LTE |
| CN1968495A (zh) | 2005-11-15 | 2007-05-23 | 华为技术有限公司 | 一种维护用户安全设置的方法及系统 |
| US20080095070A1 (en) * | 2005-12-05 | 2008-04-24 | Chan Tat K | Accessing an IP multimedia subsystem via a wireless local area network |
| ATE463119T1 (de) * | 2006-08-23 | 2010-04-15 | Ericsson Telefon Ab L M | Verfahren zum registrieren einer nicht-ims- benutzereinrichtung in einer ims-domäne |
| US8045568B2 (en) * | 2006-09-29 | 2011-10-25 | Genband Us Llc | Enterprise mobility |
| US7870601B2 (en) * | 2006-11-16 | 2011-01-11 | Nokia Corporation | Attachment solution for multi-access environments |
| US8068469B2 (en) * | 2007-02-14 | 2011-11-29 | Alcatel Lucent | Surrogate registration in internet protocol multimedia subsystem for users indirectly coupled via an end point |
| US8843992B2 (en) * | 2007-05-22 | 2014-09-23 | Telefonaktiebolaget L M Ericsson (Publ) | Method, apparatuses and computer program for dynamically configuring a proxy call session control function of the IP multimedia subsystem from a policy control rules server |
| CN101083838B (zh) * | 2007-06-29 | 2012-11-28 | 中兴通讯股份有限公司 | Ip多媒体子系统中的http摘要鉴权方法 |
| WO2009006630A1 (en) * | 2007-07-05 | 2009-01-08 | Starent Networks, Corp | System and method for reducing latency in call setup and teardown |
| US20090016334A1 (en) * | 2007-07-09 | 2009-01-15 | Nokia Corporation | Secured transmission with low overhead |
| US8233401B2 (en) * | 2007-08-13 | 2012-07-31 | Cisco Technology, Inc. | Using an IP registration to automate SIP registration |
| WO2009102248A1 (en) * | 2008-02-15 | 2009-08-20 | Telefonaktiebolaget Lm Ericsson (Publ) | System and method of user authentication in wireless communication networks |
| US8181030B2 (en) * | 2008-12-02 | 2012-05-15 | Electronics And Telecommunications Research Institute | Bundle authentication system and method |
| US8054780B1 (en) * | 2008-12-09 | 2011-11-08 | Sprint Spectrum L.P. | Transparent application data notification during IMS registrations |
| CN101478753B (zh) * | 2009-01-16 | 2010-12-08 | 中兴通讯股份有限公司 | Wapi终端接入ims网络的安全管理方法及系统 |
-
2009
- 2009-01-16 CN CN2009100001982A patent/CN101478753B/zh not_active Expired - Fee Related
- 2009-07-16 EP EP09838100.7A patent/EP2381710B1/en not_active Not-in-force
- 2009-07-16 US US13/143,485 patent/US8595485B2/en not_active Expired - Fee Related
- 2009-07-16 WO PCT/CN2009/072794 patent/WO2010081313A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1671136A (zh) * | 2004-03-16 | 2005-09-21 | 神州亿品科技(北京)有限公司 | 一种扩展无线局域网鉴别协议的方法 |
| CN1725685A (zh) * | 2004-07-22 | 2006-01-25 | 中兴通讯股份有限公司 | 无线局域网移动终端的安全重认证方法 |
| CN1905504A (zh) * | 2006-07-31 | 2007-01-31 | 西安西电捷通无线网络通信有限公司 | 无线局域网中实现基于wapi体制的虚拟局域网的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2381710B1 (en) | 2019-02-27 |
| CN101478753A (zh) | 2009-07-08 |
| EP2381710A1 (en) | 2011-10-26 |
| EP2381710A4 (en) | 2013-07-03 |
| WO2010081313A1 (zh) | 2010-07-22 |
| US8595485B2 (en) | 2013-11-26 |
| US20110276798A1 (en) | 2011-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101478753B (zh) | Wapi终端接入ims网络的安全管理方法及系统 | |
| US8295488B2 (en) | Exchange of key material | |
| CN102006294B (zh) | Ims多媒体通信方法和系统、终端及ims核心网 | |
| CN101616410B (zh) | 一种蜂窝移动通信网络的接入方法和系统 | |
| CN101836470B (zh) | 用于启用lte移动单元中非接入层(nas)安全性的方法和设备 | |
| CN101183938B (zh) | 一种无线网络安全传输方法、系统及设备 | |
| KR101438243B1 (ko) | Sim 기반 인증방법 | |
| CN101667916B (zh) | 一种基于分离映射网络使用数字证书验证用户身份的方法 | |
| KR102100159B1 (ko) | 이동 통신 시스템에서 서비스 발견 및 그룹 통신을 위한 보안 지원 방법 및 시스템 | |
| US20150089220A1 (en) | Technique For Bypassing an IP PBX | |
| KR102094216B1 (ko) | 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템 | |
| CN102111766B (zh) | 网络接入方法、装置及系统 | |
| CN100466805C (zh) | 一种端到端加密语音通信的方法 | |
| WO2020029729A1 (zh) | 一种通信方法和装置 | |
| WO2013185735A2 (zh) | 一种加密实现方法及系统 | |
| CN101322428A (zh) | 用于传递密钥信息的方法和设备 | |
| EP2702741A1 (en) | Authenticating a device in a network | |
| KR20070073343A (ko) | 이동통신 ims시스템에서 아이들모드 단말기의 세션 설정프로토콜 데이터를 전송하는 방법 및 장치 | |
| CN104683304A (zh) | 一种保密通信业务的处理方法、设备和系统 | |
| WO2012024906A1 (zh) | 一种移动通信系统及其语音通话加密的方法 | |
| WO2012024905A1 (zh) | 一种移动通讯网中数据加解密方法、终端和ggsn | |
| CN101198148B (zh) | 一种对移动终端进行信息分发的方法 | |
| CN105592433A (zh) | 设备到设备限制发现业务广播、监听方法、装置及系统 | |
| KR20150042686A (ko) | 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템 | |
| JP2013149096A (ja) | 無線lanのアクセスポイントの端末アクセス制御システム及び認可サーバ装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101208 Termination date: 20210116 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |