CN101946455B - 用于异构网络的一次通过认证机制和系统 - Google Patents
用于异构网络的一次通过认证机制和系统 Download PDFInfo
- Publication number
- CN101946455B CN101946455B CN2008801270551A CN200880127055A CN101946455B CN 101946455 B CN101946455 B CN 101946455B CN 2008801270551 A CN2008801270551 A CN 2008801270551A CN 200880127055 A CN200880127055 A CN 200880127055A CN 101946455 B CN101946455 B CN 101946455B
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- network
- identity
- user identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了一种用于异构网络的一次通过认证机制和系统。所述机制包括:响应于用户向第一网络注册的请求,基于认证密钥和认证算法来认证所述用户,其中,所述认证密钥和所述认证算法与用于所述第一网络的第一用户身份和用于第二网络的第二用户身份相关联;以及如果所述认证成功,那么响应于所述用户向所述第二网络注册的请求,将通过所述用户提供的第二用户身份而从认证数据库检索的第一用户身份与所述用户在所述认证中提供的第一用户身份进行比较,并且如果所检索的第一用户身份与所述用户提供的第一用户身份相匹配,则在所述用户和所述第二网络之间建立安全关联。
Description
技术领域
本发明一般涉及认证领域,并且更特别地,本发明涉及用于异构网络的一次通过(one-pass)认证机制和系统。
背景技术
下一代通信网络的特征在于:由于对数据速率、无线电覆盖、部署成本和多媒体服务的多样化需求,各种网络体系结构共存。3GPP(第三代合作伙伴项目)正积极制定在集成的无线LAN(局域网)/UMTS(通用移动电信系统)网络中的漫游机制。应当注意,该场景仅是一种特定的异构网络。IEEE 802.16标准(WiMAX)是为无线城域网(无线MAN)指定的新兴宽带无线接入系统,其桥接最后一英里、取代昂贵的电线并且还提供高速多媒体服务。多媒体服务供应是下一代网络的主要需求和动力之一。为实现该目标,增加了IP多媒体子系统(IMS),作为提供例如语音电话、视频会议、实时流式媒体、交互式游戏和即时消息传递这样的多媒体服务的核心网络部件。在会话起始协议(SIP)中指定和实现了多媒体会话管理、初始化和终止。
WiMAX和IMS现在被用于全球市场。WiMAX支持通过IMS的因特网协议(IP)多媒体服务。运营商和供应商都对WiMAX移动台(MS)如何接入IMS以及如何改进用户体验感兴趣。由于通过WiMAX传输网来递送IMS信息,因此WiMAX MS必须在它能向IMS网络注册之前激活WiMAX IP连接接入网络(IP-CAN)会话。重要的技术挑战是:设计和实现跨这种异构网络的安全体系结构和协议,同时考虑网络的性能和订户的体验。例如,网络安全管理的框架中的最重要的特征之一是:订户能够认证网络并且网络也能够认证订户的相互认证机制。
在相关的WiMAX论坛和3GPP规范中,在MS能够接入IMS服务之前,在WiMAX网络级和IMS网络级均实施认证。例如,可以采用可扩展认证协议-认证和密钥协定(EAP-AKA)在WiMAX网络级认证WiMAXMS,而IMS-AKA是IMS级的认证方法,如图1所示。很明显,这整个认证过程包括两个独立的子过程,即,在WiMAX IP-CAN级的认证子过程(参见图1的上面部分)和在IMS级的另一认证子过程(参见图1的下面部分)。出于简化起见,我们称这整个认证过程为“二次通过(two-pass)”认证过程。技术问题在于:如何设计能够在MS经由WiMAX接入IMS时使用的一次通过WiMAX和IMS认证机制。
当前没有可用的任何已有的一次通过WiMAX和IMS认证机制。Yi-Bing Lin等人在2005年6月的“One-Pass GPRS and IMSAuthentication Procedure for UMTS”,IEEE Journal on selected areas incommunications,vol.23,no.6,pp.1233-1239中提出了一种一次通过认证过程。然而,该文仅涉及用于UMTS的一次通过GPRS和IMS认证过程,而不能工作于WiMAX。另外,以上提案受到限制,因为它没有提出如何在MS与代理呼叫会话控制功能(P-CSCF)之间建立安全关联,并且它没有证明用户正确认证了IMS网络。
另一方面,用于WiMAX和IMS认证的现有解决方案是正常的“二次通过”认证过程,其比“一次通过”认证过程带来更多的诸如注册/认证业务量的网络业务量。
发明内容
本发明的目的是提供一种用于异构网络的一次通过认证机制和系统,具体地,提供一种能够在MS经由WiMAX接入IMS时使用的一次通过认证机制。所提出的一次通过WiMAX和IMS认证机制仅需要实施WiMAX认证,因而能够显著减少IMS注册/认证业务,改善网络性能,并且提升订户的体验。
在本发明的一个方面,提供了一种用于异构网络的一次通过认证机制。该机制包括:响应于用户向第一网络注册的请求,基于认证密钥和认证算法来认证所述用户,其中,所述认证密钥和所述认证算法与用于所述第一网络的第一用户身份和用于第二网络的第二用户身份相关联;以及如果所述认证成功,那么响应于所述用户向所述第二网络注册的请求,将通过所述用户提供的第二用户身份而从认证数据库检索的第一用户身份与所述用户在所述认证中提供的第一用户身份进行比较,并且如果所检索的第一用户身份与所述用户提供的第一用户身份相匹配,则在所述用户与所述第二网络之间建立安全关联。
在本发明的另一方面,提供了一种用于异构网络的一次通过认证系统。该系统包括:认证数据库,所述认证数据库存储用于第一网络的第一用户身份、用于第二网络的第二用户身份,以及与第一和第二用户身份相关联的认证密钥和认证算法;第一认证服务器,所述第一认证服务器适于响应于用户向所述第一网络注册的请求,基于所述认证密钥和所述认证算法来认证所述用户;以及第二认证服务器,所述第二认证服务器适于响应于所述用户向所述第二网络注册的请求,将通过所述用户提供的第二用户身份而从所述认证数据库检索的第一用户身份与所述用户在所述认证中提供的第一用户身份进行比较,并且如果所检索的第一用户身份与所述用户提供的第一用户身份相匹配,则在所述用户与所述第二网络之间建立安全关联。
附图说明
在所附权利要求书中阐述了本发明的新颖特征。当结合附图阅读时,通过参考以下对优选实施例的详细描述,将最好地理解本发明本身、进一步的目的和其优势。在附图中:
图1是示出了现有技术的二次通过WiMAX和IMS认证过程的示例性消息流图;
图2示意性地示出了根据本发明实施例的一次通过认证机制的功能体系结构;
图3是示出了根据本发明实施例的一次通过WiMAX和IMS认证过程的示例性消息流图;
图4是示出了根据本发明实施例的一次通过过程相对于二次通过过程的业务量-成本节约的图形表示;以及
图5是示出了根据本发明实施例的一次通过认证机制的示意性流程图。
具体实施方式
图1是示出了现有技术的二次通过WiMAX和IMS认证过程的示例性消息流图。在图1中,如上所述,在MS可以接入IMS服务之前,在WiMAX网络级和IMS网络级均实施认证。例如,在WiMAX网络级,采用EAP-AKA来实施对WiMAX MS的认证过程。该认证过程包括初始网络进入、WiMAX接入网络认证和IP-CAN会话建立过程,在图1中由步骤101~125表示,并且将在下文关于图3进一步讨论。然而,在IMS网络级,MS需要通过诸如由步骤126~133所示出的IMS-AKA的另一认证过程来认证。由于在该“二次通过”认证过程中的一些步骤是相同的,因此本发明提出了一种只需要实施WiMAX认证的一次通过认证过程。在IMS级,认证是在IMS注册中隐含实施的。与二次通过过程相比,这种认证机制可以节约至少25%并且高达50%的IMS注册/认证网络业务量,这将在图4中解释。
在本发明下,对于在WiMAX网络级的WiMAX用户认证,MS应当支持如在标题为“WiMAX Forum Network Architecture stage 3,DetailedProtocols and Procedures”的WiMAX NWG规范中所指定的EAP-AKA或EAP-TTLS中的至少一种。当使用EAP-AKA进行WiMAX用户认证时,MS应当支持2006年1月在IETF RFC4187的“ExtensibleAuthentication Protocol Method for 3rd Generation Authentication andKey Agreement(EAP-AKA)”中描述的认证过程,并且订户凭证(SUBC)(其被用于认证WiMAX订购)应当是按照RFC4187中定义的在生成认证矢量中所使用的凭证。另外,NWG规范指定:SUBC的格式取决于部署,并且归属网络和MS知道SUBC。然而,NWG规范没有定义SUBC的格式。
在本发明的上下文中,假设EAP-AKA被用于WiMAX用户认证,并且SUBC与IMS认证中所使用的长期安全密钥K相同。换言之,WiMAX认证过程和IMS认证过程使用相同的认证密钥K和认证函数(其被用于生成认证矢量)。当WiMAX网络和IMS网络归属相同的运营商或者WiMAX网络运营商与IMS网络运营商达成协定时,该假设是合理的。
基于这些假设,我们可以做出以下结论。第一,在二次通过认证过程中,首先在WiMAX网络级实施用户认证,然后在IMS网络级实施认证。由于IMS-AKA被用于IMS认证并且EAP-AKA方法被用于WiMAX认证,因此该“二次通过”认证过程中的大多数步骤是相同的。第二,WiMAX认证过程和IMS认证过程使用相同的认证密钥K和认证函数。因此,当WiMAX用户已经在WiMAX网络级被成功认证时,暗示了在WiMAX终端中的长期预先共享IMS安全密钥K与IMS网络中的相应密钥(其可以在归属订户服务器(HSS)中找到)相同,即,在MS与IMS网络之间实现相互认证。
根据以上结论可以理解:所提出的一次通过认证过程仅需要实施WiMAX认证。在IMS级,认证是在IMS注册中被隐含实施的。下文将正式证明所述一次通过过程在IMS级实现了网络和MS之间的相互认证。还将评估本发明节约了多少WiMAX/IMS认证业务量。
贯穿本说明书,“一个实施例”、“实施例”或类似措辞意味着结合实施例所描述的特定特征、结构或特性被包括在本发明的至少一个实施例中。因而,贯穿本说明书出现的短语“在一个实施例中”、“在实施例中”以及类似措辞都可以但不一定必须指的是相同的实施例。
现在参照图2,其示意性地示出了根据本发明实施例的用于一次通过认证机制的功能体系结构200。如图2所示,功能体系结构200可以包括各种相关功能实体和接口,诸如用于WiMAX认证的增强型认证、授权和计费(AAA)服务器202,以及用于IMS认证的问询/服务呼叫会话控制功能(I/S-CSCF)204。这种增强型AAA服务器202具有能够从HSS 201检索诸如认证矢量的认证参数的基于Diameter(直径)的接口。连接服务网络(CSN)中的AAA代理203代理了在接入服务网络网关(ASN GW)207与WiMAX网络中的增强型AAA服务器202之间的认证消息。在IMS网络中,例如,I/S-CSCF 204可以通过与HSS 201的Cx消息递送来调用认证矢量分发过程。归属代理(HA)206和P-CSCF 205可以协助在ASNGW 207与I/S-CSCF 204之间的通信。BS 208经由ASN GW 207而促进了MS 209与通信网络之间的交互。
在一个示例性实施例中,当WiMAX订户也是IMS订户,并且该订户使用相同的MS接入WiMAX和IMS网络时,假设:
(1)EAP-AKA被用于WiMAX用户认证。
(2)SUBC(其是在WiMAX用户认证中使用的长期安全密钥)与在IMS认证中使用的长期预先共享安全密钥K相同,并且SUBC(K)被存储在MS和HSS中。
(3)除了认证密钥K之外,还在WiMAX与IMS认证级之间共享认证函数。换言之,WiMAX认证过程和IMS认证过程使用相同的认证函数和相同的认证密钥K。
(4)利用基于Diameter的接口增强了AAA服务器,以便从HSS检索认证矢量。该增强型AAA服务器可以是3GPP I-WLAN规范(TS 23.234)中的3GPP AAA服务器的子集。3GPP AAA服务器的Wx接口可被用于从HSS检索认证矢量。因此,在本发明的解决方案中,3GPP AAA服务器可被重用。
(5)当WiMAX用户订购了IMS服务时,除了IMPI值impi之外,IMS运营商还向用户分派IMSI值imsi。换言之,WiMAX MS具有IMSI值imsi和IMPI值impi,并且HSS还存储了用于对应用户/MS的imsi和impi。imsi被用于在WiMAX网络认证级定位K值k,而impi被用于在IMS网络认证级定位K值k。如在假设(2)和(3)中所述,imsi和impi与相同的K值k和认证函数相关联。在WiMAX MS中,imsi将被用于获得外部身份/内部身份(其被用于在WiMAX网络级的基于EAP的认证中)。
(6)在本发明的方法中,ASN GW可以实现可修改SIP消息的格式(将在图3的步骤326处予以详述)的SIP应用级网关(ALG)。
当WiMAX网络和IMS网络归属相同的运营商或者WiMAX网络运营商与IMS网络运营商达成协定时,假设是合理的。
因而,考虑图2中的功能体系结构,在网络级,MS 209由增强型AAA服务器202来认证,增强型AAA服务器202可以基于MS的IMSI值imsi从HSS 201检索认证矢量。CSN 203中的AAA代理可以代理在ASN GW207与增强型AAA服务器202之间的认证消息。在IMS网络级,MS 209由S-CSCF 204来认证,S-CSCF 204可以基于MS的IMPI值impi从HSS201检索认证矢量。如在假设(2)和(3)中所示,HSS 201和WiMAX MS209共享与网络分派给MS 209的impi(其被用在IMS认证级)和imsi(其被用在WiMAX网络认证级)相关联的相同的长期安全密钥K和认证函数。
在下文对本发明示例性实施例的详细描述中,将示出如何通过一次通过认证机制在WiMAX网络级和IMS网络级都认证WiMAX MS。
现在参照图3,根据本发明实施例示出了一次通过WiMAX和IMS认证过程的示例性消息流图。该过程由两部分组成,其中,WiMAX部分示出了在WiMAX网络级的认证过程,而IMS部分示出了在IMS网络级的认证过程。应当注意,在该过程中,MS可能通过P-CSCF和I-CSCF与S-CSCF进行交互。为了简化讨论,图3使用术语“CSCF”来表示CSCF的代理、问询和服务功能。
一旦完成对WiMAX无线链路接入的初始化,并且已在诸如MS 209的MS和诸如BS 208的WiMAX BS之间成功建立了基本能力协商,如步骤301所示,BS便在步骤302中通知诸如ASN GW 207的ASN GW:新的MS进入网络。
为了请求MS的身份,ASN GW可以通过BS向MS发送EAP-请求/身份消息,如步骤303和304所示。然后,如步骤305和306所示,MS通过BS向ASN GW发送回具有其外部身份的EAP-响应/身份,其符合在“WiMAX Forum Network Architecture stage 3,Detailed Protocols andProcedures”中指定的格式。外部身份含有在先前的认证中被分配给MS的假名(pseudonym),或者在第一认证的情况中,外部身份含有IMSI值imsi。外部身份的用户名字段符合3GPP TS 23.003,以便指示使用了EAP-AKA认证方法。外部身份的用户名字段可以是例如用于EAP-AKA认证的“0<imsi>WiMAX.mnc<MNC>.mcc<MCC>.3gppnetwork.org”。
在步骤307,ASN GW分析MS提供的外部身份,并且为WiMAX MS存储imsi。基于外部身份的领域部分(realm part)和路由领域部分(routingrealm part),通过一个或几个AAA代理向适当的增强型AAA服务器路由EAP-响应/身份消息。AAA代理可以遵照WiMAX论坛中的“WiMAXEnd-to-End Network Systems Architecture,(Stage 3:WiMAX-3GPPInterworking)”来修改通过的消息。
增强型AAA服务器基于所接收到的外部身份来将订户标识为利用EAP-AKA认证的候选人,并且然后检查它是否具有可用于该订户的未使用的认证矢量,如步骤308中所描述的。如果增强型AAA服务器具有未使用的认证矢量,那么跳过步骤308。如果没有,则增强型AAA服务器向诸如HSS 201的HSS发送基于Diameter的消息(带有参数imsi)。HSS可以使用imsi来检索MS的记录(包括长期安全密钥K值k和认证函数等),并且基于它们而生成认证矢量的有序数组(例如,RAND、AUTN、XRES、IK、CK)。HSS可以向增强型AAA服务器发送AV数组。
在步骤309至314,增强型AAA服务器通过使用EAP请求/AKA身份消息而再次请求用户身份。MS利用它在EAP响应身份消息中使用的相同身份(也被称为内部身份)来进行响应。
在步骤315中,如果没有未使用的认证矢量可用于WiMAX订户,则增强型AAA服务器将按照步骤308从HSS检索认证矢量(AV)的有序数组。
在步骤316至318,增强型AAA服务器从有序AV数组中选择下一未使用的认证矢量,并且根据CK、IK和用户身份来导出相关的私有信息,诸如主会话密钥(MSK)、扩展的主会话密钥(EMSK),等等。例如,将在WiMAX网络级使用MSK、EMSK等来保护用户数据信道。然后,增强型AAA服务器通过ASN GW和BS向MS发送EAP-请求/AKA-询问消息。该消息含有属性中的参数,所述参数是随机数(AT_RAND)、网络认证令牌(AT_AUTN)和消息认证码(AT_MAC)。
在收到EAP-请求/AKA-询问消息时,MS基于WiMAX MS中的长期安全密钥k和认证函数来运行AKA算法,并且验证AT_AUTN。如果成功了,则MS应当生成认证矢量(RES、CK、IK),并且导出TEK、MSK和EMSK。然后,MS验证由增强型AAA服务器发送的AT_MAC值。如果成功了,则MS通过BS和ASN GW向AAA服务器发送EAP响应/AKA-询问消息,如步骤319至321所述。该消息含有AT_RES和AT_MAC。
增强型AAA服务器验证EAP响应/AKA-询问分组中的AT_RES和AT_MAC是否正确。如果成功,则增强型AAA服务器向MS发送EAP-成功消息,如步骤322至324中所描述的。与此同时,AAA服务器应当在该消息中包括MSK。
在成功完成了之前步骤处的基本接入认证过程后,为了MS能够连接到IP网络,MS在步骤325实施WiMAX注册过程。然后,如果WiMAX用户也是IMS订户,则MS将在以下步骤实施IMS注册过程。
在步骤326,在P-CSCF发现过程之后,MS通过BS向ASN GW发送具有参数impi的SIP REGISTER(注册)消息。应当注意,在WiMAX基本接入认证过程之后,ASN GW可以标识发送数据分组的MS的IMSI(用户身份)值imsi。ASN GW检索MS的IMSI值imsi,如图3中所示。然后,ASN GW中的SIP ALG在SIP REGISTER消息中添加MS的IMSI值imsi,并且将它转发到CSCF。CSCF然后在MS记录中存储(imsi,impi)对。
假设CSCF没有用于MS的AV。在步骤327,CSCF通过向HSS发送连同参数impi的Cx多媒体认证请求消息,从而调用认证矢量分发过程。在步骤328,HSS使用所接收到的impi作为检索MS的记录(包括长期安全密钥k和认证函数)的索引,并且生成AV的有序数组。HSS通过Cx多媒体认证应答消息来向CSCF发送AV数组。如果CSCF已经具有AV数组,则跳过步骤327和328。
在步骤329,CSCF向HSS发送具有参数impi的Cx服务器分派请求消息。HSS使用所接收到的impi作为检索MS的imsi的索引。从HSS检索的IMSI值被标示为IMSIHSS(impi)。在步骤330,HSS存储CSCF名称并向CSCF发送Cx服务器分派应答(带有参数IMSIHSS(impi))。
在步骤331,CSCF检查(CSCF在步骤326存储的)IMSI值imsi与IMSIHSS(impi)是否相同。如果相同,则S-CSCF选择下一未使用的AV并且向P-CSCF发送具有该AV的RAND、CK和IK参数的SIP 200 Ok消息,并且P-CSCF存储CK和IK并移除它们,然后将SIP 200 OK消息的其余部分发送到MS。如果imsi和IMSIHSS(impi)不同,那么暗示了注册是非法的。在接收200OK SIP消息时,MS基于k和所接收到的RAND来计算会话密钥CK和IK。然后,基于IK来建立在MS与P-CSCF之间的安全关联。
现有的用于WiMAX和IMS认证的解决方案是如图1所示的正常“二次通过”认证过程,其比以上的“一次通过”认证过程带来更多的网络业务量。然而,从图1和图3中可知,该“二次通过”认证过程中的一些步骤是相同的。返回图1,下面详述二次通过WiMAX和IMS过程的步骤。图1中的步骤S101至125与图3中的步骤301至325是相同的,其包括初始网络进入、WiMAX接入网络认证和IP-CAN会话建立过程。
在P-CSCF发现过程之后,MS在步骤126通过WiMAX IP-CAN向CSCF发送连同参数impi的SIP REGISTER消息。如果CSCF没有用于MS的AV,则在步骤127,CSCF通过向HSS发送连同参数impi的Cx多媒体认证请求消息来调用认证矢量分发过程。然后,HSS使用impi来检索MS的记录,并且生成AV的有序数组。在步骤128,HSS通过Cx多媒体认证应答消息向CSCF发送AV数组。如果CSCF已经具有AV数组,则跳过步骤127和128。
在步骤129,CSCF从有序AV数组中选择下一未使用的认证矢量(包括RAND、AUTN、XRES、IK、CK),并且通过SIP 401未授权消息向MS发送参数RAND和AUTN。MS检查所接收到的AUTN是否能被接受。如果是,则它产生响应RES,并且计算会话密钥CK和IK。然后,MS与P-CSCF之间的安全关联被建立。接着在步骤130,MS通过SIP REGISTER消息向CSCF发送回RES。
CSCF将所接收到的RES与XRES进行比较。如果它们匹配,那么成功完成认证和密钥协定交换。然后在步骤131,CSCF向HSS发送Cx服务器分派请求消息。在接收到服务器分派请求时,HSS在步骤132存储CSCF名称并且向CSCF回复Cx服务器分派应答消息。然后在步骤133,CSCF通过IP-CAN向MS发送SIP 200OK消息,并且IMS注册过程完成。
表1比较了如图3所示的一次通过认证过程中和如图1所示的二次通过认证过程中执行的步骤。
表1
| 一次通过过程 | 二次通过过程 |
| 326 SIP REGISTER消息 | 126 SIP REGISTER消息 |
| 327 Diameter MAR消息 | 127 Diameter MAR消息 |
| 328 Diameter MAA消息 | 128 Diameter MAA消息 |
| - | 129 SIP 401未授权消息 |
| - | 130 SIP REGISTER消息 |
| 329 Diameter SAR消息 | 131 Diameter SAR消息 |
| 330 Diameter SAA消息 | 132 Diameter SAA消息 |
| 331 SIP 200OK消息 | 133 SIP 200OK消息 |
假定MS与CSCF之间预期的SIP消息递送成本(网络传输成本)是一个单位,并且CSCF与HSS之间预期的Cx消息递送成本是β个单位。出于以下两个原因,预计β<1:
·CSCF和HSS通过IP网络交换Cx消息。另一方面,除了IP网络开销之外,MS与CSCF之间的SIP通信还涉及WiMAX核心网络和无线电网络。
·CSCF和HSS通常位于相同位置,而MS很可能位于远程位置。
在一次通过认证过程中,如果从HSS向CSCF分发认证矢量(图3中的步骤327&328),那么预期的IMS注册成本C1,1表示为:
C1,1=2+4β (1)
如果在一次通过认证过程中不执行认证矢量分发,那么预期的IMS注册成本C1,2表示为:
C1,2=2+2β (2)
IMS注册被周期性地实施。在一次通过认证过程的步骤327和328,从HSS向CSCF发送大小为n(其中,n≥1)的AV数组。因此,n个IMS注册中的一个导致执行步骤327和328。因此,根据等式(1)和(2),对于一次通过认证过程的预期的IMS注册成本C1为:
在二次通过认证过程中,如果执行认证矢量分发(图1中的步骤127&128),那么预期的IMS注册成本C2,1表示为:
C2,1=4+4β (4)
如果在二次通过认证过程中不执行认证矢量分发,那么预期的IMS注册成本C2,2表示为:
C2,2=4+2β (5)
与一次通过认证过程一样,对于二次通过认证过程,n个IMS注册中的一个导致执行步骤127和128。因此,根据等式(4)和(5),对于二次通过认证过程的预期的IMS注册成本C2为:
根据等式(3)和(6),一次通过认证过程相比二次通过认证过程的业务量成本节约S为:
通过以上分析,根据本发明的实施例,在图4中提供了描绘一次通过认证过程相比二次通过认证过程的业务量成本节约的图形表示。以用户请求经由WiMAX网络接入IMS网络为例,图4基于等式(7)根据n和β绘出了S。该图指示:与二次通过认证过程相比,所提出的一次通过认证过程能够节约至少25%并且多达50%的由IMS注册/认证产生的网络业务量。
图5是示出了根据本发明实施例的一次通过认证机制的示意性流程图。在该一次通过认证机制中,假设第一网络和第二网络共享相同的认证密钥K和认证函数,并且分派给用户用于不同网络的相应用户身份与这样的认证密钥K和认证函数相关联。认证密钥K和认证函数因而可由相应网络中的对应用户身份来定位。因此,如果该用户提供的用户身份与认证数据库中预先存储的分别用于第一和第二网络的用户身份相匹配,那么这些用户身份将对应于相同的认证密钥K和认证函数。利用该机制,如果用户请求向第一网络注册,并且进一步想要经由第一网络接入第二网络,那么当对该用户的认证在第一网络中成功时,不需要在第二网络中实施附加认证。这是因为在第二网络中的认证可以在用于第二网络的注册过程中被隐含实施。以下部分将正式证明:通过本发明的一次通过认证过程,第二网络能够正确认证用户并且该用户能够正确认证第二网络。
考虑图2中所示的WiMAX-IMS体系结构,每个MS都持有属性IMSI、IMPI以及长期预先共享秘密密钥K。假定MS(诸如MS 209)具有IMSI=imsi、IMPI=impi和K=k。为了简化讨论,假设这些参数在MS中被分组成集合RMS={imsi,impi,k}。定义函数IMSIMS、IMPIMS和KMS,从而使得对于任何x∈RMS:
IMSIMS(x)=imsi,其中,imsi是RMS中的IMSI值 (8)
IMPIMS(x)=impi,其中,impi是RMS中的IMPI值 (9)
KMS(x)=k,其中,k是RMS中的K值 (10)
类似地,对于图2中所示的体系结构中的每个MS,HSS 201持有由MS的属性IMSI、IMPI和K构成的记录RHSS。即:
RHSS={imsi,impi,k}=RMS
同样,定义函数IMSIHSS、IMPIHSS和KHSS,从而使得对于任何x∈RHSS:
IMSIHSS(x)=imsi,其中,imsi是RHSS中的IMSI值 (11)
IMPIHSS(x)=impi,其中,impi是RHSS中的IMPI值 (12)
KHSS(x)=k,其中,k是RHSS中的K值 (13)
本发明中使用的AKA认证机制在3GPP TS 33.102,“3rd GenerationPartnership Project;Technical Specification Group Services and SystemAspects;3G Security;Security Architecture”中有所描述。它通过显示在MS与HSS之间共享的长期秘密密钥K的知识,实现了用户和网络的相互认证。对于图2中所示的WiMAX-IMS-互通网络体系结构来说,在WiMAX网络级和IMS网络级的相互认证基于以下定理。
定理1:如果KMS(imsi)=KHSS(imsi),则MS是合法的WiMAX用户并且它成功认证了WiMAX网络。显然,如果在WiMAX网络级成功完成相互认证,那么KMS(imsi)=KHSS(imsi)。
定理2:如果KMS(impi)=KHSS(impi),则MS是合法的IMS用户并且它成功认证了IMS网络。
现在将证明(图3中所示的)一次通过认证过程能够在IMS级实现网络与MS之间的相互认证(即,一次通过认证过程可以根据定理2检查是否KMS(impi)=KHSS(impi))。
在图3中的一次通过认证过程中,当在步骤301~325成功完成了相互认证时,那么基于定理1,可以得出结论:
KMS(imsi)=KHSS(imsi) (14)
在图3的步骤326,具有IMPI值impi和秘密密钥k的MS要求它的IMSI值为imsi,即,RMS={imsi,impi,k}。根据(9)和(10),可以得出结论:
IMPIMS(imsi)=IMPIMS(k)=impi (15)
KMS(imsi)=KMS(impi) (16)
从步骤330到331,HSS将impi映射到IMSI值IMSIHSS(impi),并且CSCF确认:
IMSIHSS(impi)=imsi (17)
应当注意,impi∈RHSS并且IMSIHSS(impi)∈RHSS。根据(13),可以得出结论:
KHSS(impi)=KHSS(IMSIHSS(impi)) (18)
根据(17)和(18),可以得出结论:
KHSS(impi)=KHSS(imsi) (19)
根据(19)和(14),可以得出结论:
KHSS(impi)=KMS(imsi) (20)
根据(20)和(16),可以得出结论:
KHSS(impi)=KMS(impi) (21)
根据(21)并且基于定理2,可以得出结论:图3中所示的一次通过认证过程验证了MS是合法的IMS用户,并且IMS网络被该MS成功认证,即,一次通过认证过程在IMS级实现了MS与网络之间的相互认证。
鉴于以上分析,根据本发明的一次通过认证机制也适用于其它互通解决方案,其中,用户请求经由诸如WiMAX、GPRS、UMTS、WLAN等的网络接入诸如IMS的另一网络中的服务和应用。在假设这两个网络共享相同的认证密钥和认证算法/函数,并且在不同网络中分派给用户的相应用户身份与这样的认证密钥和认证算法/函数相关联的情况下,本发明的认证过程以从用户接收对第一网络的注册请求开始,如步骤502所示。然后在步骤504,第一网络可以获得并存储该用户提供的第一用户身份,其中,第一用户身份被网络运营商分派给该用户用于在第一网络中使用,并且第一用户身份还被存储在诸如HSS 201的认证数据库中。基于第一用户身份,在步骤506中,根据该用户与第一网络之间的认证协定,利用相关联的认证密钥和函数来实施认证。如果在步骤508中认证成功,则用户在步骤510完成向第一网络的注册。否则暗示了注册是非法的,并且该过程结束。
如果该用户也是第二网络的订户,其中,可以经由第一网络来访问第二网络,则该用户可以向第二网络发送注册请求。在步骤512,如果用户请求向第二网络注册,则该过程将继续到步骤514,在步骤514,注册请求被拦截并且通过添加该用户所提供的(在步骤504存储的)第一用户身份而被修改。在步骤516,该用户所提供的用于注册的第二用户身份将被用来检索当分派给该用户时在认证数据库中预先存储的第一用户身份。确定用户提供的第一用户身份(即,在步骤504中存储的第一用户身份)是否匹配于在认证数据库中预先存储的第一用户身份。在步骤518,如果用户提供的第一用户身份匹配于预先存储的第一用户身份,那么在步骤520中,基于用户与第二网络之间的认证协定来建立在用户与第二网络之间的安全关联。否则暗示了注册是非法的,并且该过程结束。
已经出于图示和说明的目的而呈现了对本发明的具体实施例的上述描述。它们不是旨在穷举或限制本发明于所公开的具体形式,显然,鉴于以上教导,可能有很多修改和变化。为了最好地解释本发明的原理及其实际应用而选择和描述了实施例,由此使得本领域的其它技术人员能够最好地利用本发明以及具有适合设想的特定使用的各种修改的各种实施例。本发明的范围旨在由所附权利要求及其等同物来定义。
Claims (15)
1.一种用于异构网络的一次通过认证方法,其包括:
响应于用户向第一网络注册的请求,基于认证密钥和认证算法来认证所述用户,其中,所述认证密钥和所述认证算法与用于所述第一网络的第一用户身份和用于第二网络的第二用户身份相关联;以及,如果所述认证成功,那么:
响应于所述用户向所述第二网络注册的请求,将通过所述用户提供的第二用户身份而从认证数据库检索的第一用户身份与所述用户在所述认证中提供的第一用户身份进行比较,并且
如果所检索的第一用户身份与所述用户提供的第一用户身份相匹配,则在所述用户与所述第二网络之间建立安全关联。
2.根据权利要求1的方法,其进一步包括:
拦截所述用户向所述第二网络注册的请求,其中,所述请求含有所述用户提供的第二用户身份;以及
在转发所述请求之前,通过添加所述用户在所述认证中提供的第一用户身份来修改所述请求。
3.根据权利要求1或2的方法,其中,基于所述认证密钥和所述认证算法来认证所述用户包括:
选择用于所述用户的第一认证参数;
根据所述用户与所述第一网络之间的第一认证协定,基于所述第一认证参数来实施验证;以及
在成功实施所述验证之后,为所述用户实施对所述第一网络的注册过程。
4.根据权利要求3的方法,其中,所述第一认证协定与所述用户和所述第二网络之间的第二认证协定共享所述认证密钥和所述认证算法。
5.根据权利要求3的方法,其进一步包括:基于通过所述用户提供的第一用户身份而从所述认证数据库检索的所述用户的记录,生成所述第一认证参数,其中,所述用户的记录至少包括所述认证密钥和所述认证算法。
6.根据权利要求4的方法,其中,在所述用户和所述第二网络之间的所述安全关联是根据所述第二认证协定基于用于所述用户的第二认证参数来建立的。
7.根据权利要求6的方法,其进一步包括:基于通过所述用户提供的第二用户身份而从所述认证数据库检索的所述用户的记录,生成所述第二认证参数,其中,所述用户的记录至少包括所述认证密钥和所述认证算法。
8.根据权利要求1或2的方法,其中,所述第一网络是WiMAX网络,并且所述第二网络是IMS网络。
9.一种用于异构网络的一次通过认证系统,其包括:
认证数据库,所述认证数据库存储用于第一网络的第一用户身份、用于第二网络的第二用户身份,以及与第一和第二用户身份相关联的认证密钥和认证算法;
第一认证服务器,所述第一认证服务器适于响应于用户向所述第一网络注册的请求,基于所述认证密钥和所述认证算法来认证所述用户;以及
第二认证服务器,所述第二认证服务器适于响应于被注册到所述第一网络的所述用户向所述第二网络注册的请求,将通过所述用户提供的第二用户身份而从所述认证数据库检索的第一用户身份与所述用户在所述认证中提供的第一用户身份进行比较,并且如果所检索的第一用户身份与所述用户提供的第一用户身份相匹配,则在所述用户和所述第二网络之间建立安全关联。
10.根据权利要求9的系统,其进一步包括:连接到第一和第二认证服务器的接入网关,其中,所述接入网关适于:
拦截所述用户向所述第二网络注册的请求,其中,所述请求含有所述用户提供的第二用户身份;以及
在转发所述请求之前,通过添加所述用户在所述认证中提供的第一用户身份来修改所述请求。
11.根据权利要求9或10的系统,其中,所述第一认证服务器进一步适于:
选择用于所述用户的第一认证参数;
根据所述用户与所述第一网络之间的第一认证协定,基于所述第一认证参数来实施验证;以及
在成功实施了所述验证之后,为所述用户实施对所述第一网络的注册过程。
12.根据权利要求11的系统,其中,所述第一认证协定与所述用户和所述第二网络之间的第二认证协定共享所述认证密钥和所述认证算法。
13.根据权利要求11的系统,其中,所述第一认证服务器进一步适于:访问来自所述认证数据库的第一认证参数,并且所述认证数据库进一步适于:
通过所述用户提供的第一用户身份来检索所述用户的记录,其中,所述用户的记录至少包括所述认证密钥和所述认证算法;以及
基于所述用户的记录,生成所述第一认证参数。
14.根据权利要求12的系统,其中,所述第二认证服务器进一步适于:根据所述第二认证协定,基于用于所述用户的第二认证参数,在所述用户和所述第二网络之间建立所述安全关联。
15.根据权利要求14的系统,其中,所述第二认证服务器进一步适于:访问来自所述认证数据库的所述第二认证参数,并且所述认证数据库进一步适于:
通过所述用户提供的第二用户身份来检索所述用户的记录,其中,所述用户的记录至少包括所述认证密钥和所述认证算法;以及
基于所述用户的记录,生成所述第二认证参数。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2008/000372 WO2009103188A1 (en) | 2008-02-21 | 2008-02-21 | One-pass authentication mechanism and system for heterogeneous networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101946455A CN101946455A (zh) | 2011-01-12 |
| CN101946455B true CN101946455B (zh) | 2012-09-05 |
Family
ID=40985040
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008801270551A Active CN101946455B (zh) | 2008-02-21 | 2008-02-21 | 用于异构网络的一次通过认证机制和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9332000B2 (zh) |
| EP (1) | EP2248296A4 (zh) |
| JP (1) | JP5351181B2 (zh) |
| KR (1) | KR101427447B1 (zh) |
| CN (1) | CN101946455B (zh) |
| WO (1) | WO2009103188A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102217366A (zh) * | 2008-11-17 | 2011-10-12 | 诺基亚西门子通信公司 | 联网能力确定机制 |
| US8973125B2 (en) * | 2010-05-28 | 2015-03-03 | Alcatel Lucent | Application layer authentication in packet networks |
| EP2625838A1 (en) * | 2010-10-08 | 2013-08-14 | Telefónica, S.A. | A method, a system and a network element for ims control layer authentication from external domains |
| JP2012247886A (ja) * | 2011-05-26 | 2012-12-13 | Sony Corp | 無線通信装置、情報処理装置、通信システムおよび無線通信装置の制御方法 |
| US9264898B2 (en) * | 2012-04-26 | 2016-02-16 | Juniper Networks, Inc. | Non-mobile authentication for mobile network gateway connectivity |
| FR2994624B1 (fr) * | 2012-08-17 | 2014-08-15 | Halys | Systeme de communication telephonique par voip |
| CN103853949A (zh) * | 2012-12-04 | 2014-06-11 | 中山大学深圳研究院 | 一个异构的计算机环境上进行用户身份验证的方法 |
| KR20160009276A (ko) * | 2014-07-16 | 2016-01-26 | 한국전자통신연구원 | Ims 기반의 서비스 공유를 위한 마스터 ims 단말, ims 기반의 서비스 공유를 위한 슬레이브 ims 단말, ims 기반의 서비스 공유 시스템, 및 공유 방법. |
| US9667600B2 (en) | 2015-04-06 | 2017-05-30 | At&T Intellectual Property I, L.P. | Decentralized and distributed secure home subscriber server device |
| CN111865603A (zh) | 2016-09-05 | 2020-10-30 | 华为技术有限公司 | 认证方法、认证装置和认证系统 |
| US11483706B2 (en) | 2018-12-21 | 2022-10-25 | Sprint Communications Company L.P. | Wireless media conferencing |
| CN113498055B (zh) * | 2020-03-20 | 2022-08-26 | 维沃移动通信有限公司 | 接入控制方法及通信设备 |
| WO2023015173A1 (en) * | 2021-08-04 | 2023-02-09 | Alarm.Com Incorporated | Decentralized home sensor network |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1802016A (zh) * | 2005-06-21 | 2006-07-12 | 华为技术有限公司 | 对用户终端进行鉴权的方法 |
Family Cites Families (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2315193B (en) * | 1996-07-10 | 2000-11-15 | Orange Personal Comm Serv Ltd | Mobile communications system |
| US6069877A (en) * | 1996-10-18 | 2000-05-30 | Telxon Corporation | Duplicate device detection system |
| EP0869628A1 (en) * | 1997-04-01 | 1998-10-07 | ICO Services Ltd. | Interworking between telecommunications networks |
| US7313381B1 (en) * | 1999-05-03 | 2007-12-25 | Nokia Corporation | Sim based authentication as payment method in public ISP access networks |
| GB9913102D0 (en) * | 1999-06-04 | 1999-08-04 | Nokia Telecommunications Oy | An element for a communications system |
| DE69939494D1 (de) * | 1999-07-02 | 2008-10-16 | Nokia Corp | Authentifizierungsverfahren und system |
| NL1013930C2 (nl) * | 1999-12-22 | 2001-06-25 | Koninkl Kpn Nv | Systeem voor mobiele telecommunicatie. |
| DE10043203A1 (de) * | 2000-09-01 | 2002-03-21 | Siemens Ag | Generische WLAN-Architektur |
| US20030115452A1 (en) * | 2000-12-19 | 2003-06-19 | Ravi Sandhu | One time password entry to access multiple network sites |
| US7743404B1 (en) * | 2001-10-03 | 2010-06-22 | Trepp, LLC | Method and system for single signon for multiple remote sites of a computer network |
| WO2004019640A1 (de) * | 2002-08-16 | 2004-03-04 | Siemens Aktiengesellschaft | Verfahren zum identifizieren eines kommunikationsendgeräts |
| US7441043B1 (en) * | 2002-12-31 | 2008-10-21 | At&T Corp. | System and method to support networking functions for mobile hosts that access multiple networks |
| CA2519534A1 (en) * | 2003-03-18 | 2004-09-30 | Nikhil Jain | Internetworking between a first network and a second network |
| US7774828B2 (en) * | 2003-03-31 | 2010-08-10 | Alcatel-Lucent Usa Inc. | Methods for common authentication and authorization across independent networks |
| BRPI0409006A (pt) * | 2003-04-02 | 2006-05-09 | Qualcomm Inc | cifragem entre uma rede cdma e uma rede gsm |
| US7930253B1 (en) * | 2003-08-26 | 2011-04-19 | Mbira Technologies LLC | System and method for correlating use of separate network services |
| US8027679B2 (en) * | 2003-09-12 | 2011-09-27 | Ntt Docomo, Inc. | Secure intra- and inter-domain handover |
| US7873661B2 (en) * | 2004-03-31 | 2011-01-18 | Siemens Aktiengesellschaft | Network system as well as a method for controlling access from a first network component to at least one second network component |
| USRE48758E1 (en) * | 2004-06-24 | 2021-09-28 | Intellectual Ventures I Llc | Transfer of packet data in system comprising mobile terminal, wireless local network and mobile network |
| US7194763B2 (en) * | 2004-08-02 | 2007-03-20 | Cisco Technology, Inc. | Method and apparatus for determining authentication capabilities |
| CA2588919A1 (en) * | 2004-11-18 | 2006-05-26 | Azaire Networks Inc. | Service authorization in a wi-fi network interworked with 3g/gsm network |
| JP4960883B2 (ja) * | 2004-12-21 | 2012-06-27 | エミュー ホールディングス ピーティワイ リミテッド | 認証デバイスおよび/または方法 |
| EP1708423A1 (en) * | 2005-03-29 | 2006-10-04 | Matsushita Electric Industrial Co., Ltd. | Inter-domain context transfer using context tranfer managers |
| EP1891821A2 (en) * | 2005-06-15 | 2008-02-27 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Method and apparatus for providing a telecommunications service |
| US7783041B2 (en) * | 2005-10-03 | 2010-08-24 | Nokia Corporation | System, method and computer program product for authenticating a data agreement between network entities |
| US8229398B2 (en) * | 2006-01-30 | 2012-07-24 | Qualcomm Incorporated | GSM authentication in a CDMA network |
| KR100753285B1 (ko) * | 2006-03-17 | 2007-08-29 | 주식회사 팬택앤큐리텔 | 이동통신시스템에서의 가입자 인증 방법 |
| JP2007299259A (ja) * | 2006-05-01 | 2007-11-15 | Nippon Telegr & Teleph Corp <Ntt> | 認証情報管理システムおよびアプリケーションサーバ |
| EP2055085A4 (en) * | 2006-08-17 | 2013-05-29 | Neustar Inc | SYSTEM AND METHOD FOR USER IDENTITY PORTABILITY IN COMMUNICATION SYSTEMS |
| EP1892940A1 (en) * | 2006-08-23 | 2008-02-27 | Thomson Telecom Belgium | Device and method for enabling SIP DECT terminal mobility |
| US7929993B2 (en) * | 2007-08-30 | 2011-04-19 | International Business Machines Corporation | Multi-SIM-based mobile device |
| US8949950B2 (en) * | 2007-12-20 | 2015-02-03 | Telefonaktiebolaget L M Ericsson (Publ) | Selection of successive authentication methods |
| CN101521581A (zh) * | 2008-02-25 | 2009-09-02 | 上海贝尔阿尔卡特股份有限公司 | 用于对WiMAX网络接入IMS进行计费关联的方法和系统 |
-
2008
- 2008-02-21 JP JP2010547018A patent/JP5351181B2/ja not_active Expired - Fee Related
- 2008-02-21 WO PCT/CN2008/000372 patent/WO2009103188A1/en active Application Filing
- 2008-02-21 EP EP08714830.0A patent/EP2248296A4/en not_active Withdrawn
- 2008-02-21 US US12/735,588 patent/US9332000B2/en not_active Expired - Fee Related
- 2008-02-21 KR KR1020107018451A patent/KR101427447B1/ko active IP Right Grant
- 2008-02-21 CN CN2008801270551A patent/CN101946455B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1802016A (zh) * | 2005-06-21 | 2006-07-12 | 华为技术有限公司 | 对用户终端进行鉴权的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20100123834A (ko) | 2010-11-25 |
| US9332000B2 (en) | 2016-05-03 |
| CN101946455A (zh) | 2011-01-12 |
| KR101427447B1 (ko) | 2014-08-08 |
| EP2248296A1 (en) | 2010-11-10 |
| EP2248296A4 (en) | 2017-06-21 |
| US20110010764A1 (en) | 2011-01-13 |
| JP5351181B2 (ja) | 2013-11-27 |
| JP2011515898A (ja) | 2011-05-19 |
| WO2009103188A1 (en) | 2009-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101946455B (zh) | 用于异构网络的一次通过认证机制和系统 | |
| US8335487B2 (en) | Method for authenticating user terminal in IP multimedia sub-system | |
| Salgarelli et al. | Efficient authentication and key distribution in wireless IP networks | |
| US7624270B2 (en) | Inter subnet roaming system and method | |
| US8972582B2 (en) | Method and apparatus enabling reauthentication in a cellular communication system | |
| US20080026724A1 (en) | Method for wireless local area network user set-up session connection and authentication, authorization and accounting server | |
| US20040098586A1 (en) | Method for fast, secure 802.11 re-association without additional authentication, accounting and authorization infrastructure | |
| EP1693995A1 (en) | A method for implementing access authentication of wlan user | |
| CN101371491A (zh) | 提供无线网状网络的方法和装置 | |
| US20170366388A1 (en) | Voice and text data service for mobile subscribers | |
| Psimogiannos et al. | An IMS-based network architecture for WiMAX-UMTS and WiMAX-WLAN interworking | |
| CN101064605B (zh) | 一种多主机网络的aaa系统及认证方法 | |
| Ohba et al. | Extensible authentication protocol (EAP) early authentication problem statement | |
| CN101252770A (zh) | Ims的终端接入认证的方法、通信系统及相关设备 | |
| Kunz et al. | New 3GPP security features in 5G phase 1 | |
| CN101984724A (zh) | 一种融合网络中隧道建立的方法及系统 | |
| CN103037369A (zh) | 本地网协接入网络元件与终端设备的认证方法与装置 | |
| US8191153B2 (en) | Communication system, server apparatus, information communication method, and program | |
| CN101102191B (zh) | 通用鉴权框架中确定密钥请求业务类型方法 | |
| CN1996838A (zh) | 一种多主机WiMAX系统中的AAA认证优化方法 | |
| US20110153819A1 (en) | Communication system, connection apparatus, information communication method, and program | |
| Huang et al. | Reducing signaling traffic for the authentication and key agreement procedure in an IP multimedia subsystem | |
| KR100874263B1 (ko) | 휴대인터넷에서 ims 인증 시스템 및 방법 | |
| US20110093604A1 (en) | Communication system, server apparatus, information communication method, and program | |
| Lim et al. | Efficient IMS authentication architecture based on initial access authentication in WiBro-evolution (WiBro-EVO) system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong Jinqiao Ning Road, Shanghai, No. 388 Patentee after: Shanghai NOKIA Baer Limited by Share Ltd Address before: 201206 Pudong Jinqiao Ning Road, Shanghai, No. 388 Patentee before: Shanghai Alcatel-Lucent Co., Ltd. |