CN102111379B - 认证系统、方法及设备 - Google Patents
认证系统、方法及设备 Download PDFInfo
- Publication number
- CN102111379B CN102111379B CN 200910243503 CN200910243503A CN102111379B CN 102111379 B CN102111379 B CN 102111379B CN 200910243503 CN200910243503 CN 200910243503 CN 200910243503 A CN200910243503 A CN 200910243503A CN 102111379 B CN102111379 B CN 102111379B
- Authority
- CN
- China
- Prior art keywords
- authentication
- ims
- ims terminal
- terminal
- sends
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种认证系统、方法及设备,认证系统包括提供非IMS业务的AS、认证网关和IMS终端,AS将IMS终端发送的连接请求消息转发送给上述认证网关,认证网关将获得的随机数通过AS发送给上述IMS终端,IMS终端根据随机数生成响应值,将生成的响应值通过AS发送给认证网关,认证网关在比较出接收到的响应值和获得的鉴权参数中包含的期望响应值一致时,确认对该IMS终端认证通过,并指示AS为IMS终端提供非IMS业务。采用本发明技术方案,解决了现有技术中存在的非IMS AS需要对每个获取非IMS业务的IMS终端分别进行认证,因此降低了AS的业务处理效率的问题。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种认证系统、方法及设备。
背景技术
互联网协议多媒体子系统(IMS,Internet Protocol Multimedia Subsystem)是基于会话初始化协议(SIP,Session Initiation Protocol)的会话控制系统,它是对分组交换(PS,Packet Switching)域网络的扩展,IMS系统由呼叫会话控制功能(CSCF,Call Session Control Function)、媒体网关控制功能(MGCF,Media Gateway Control Function)、媒体资源功能控制(MRFC,MultimediaResource Function Controller)、归属用户服务器(HSS,Home Subscriber Server)、边界网关控制功能(BGCF,Breakout Gateway Control Function)、媒体资源功能代理(MRFP,Multimedia Resource Function Processor)、媒体网关(MGW,Media Gateway)、提供IMS业务的应用服务器(AS,Application Server)等功能实体组成,其中从功能逻辑上,CSCF可以分为服务CSCF(S-CSCF,Serving-CSCF)、代理CSCF(P-CSCF,Proxy-CSCF)和查询CSCF(I-CSCF,Interrogating-CSCF)三个逻辑实体,S-CSCF是IMS系统的业务交换中心,用于执行会话控制,维持会话状态,管理IMS终端信息,产生计费信息等;P-CSCF是IMS终端接入IMS系统的第一个接入点,用于完成IMS终端注册,服务质量(QoS)的控制和安全管理,与通用分组无线业务(GPRS,General Packet RadioService)系统之间的通信等;I-CSCF用于IMS系统之间的通信,管理S-CSCF的分配和选择,对外隐藏网络拓扑和配置,产生计费数据等;BGCF用于提供和其他IMS系统的通信控制;MGCF和MGW用于实现IMS系统和电路交换(CS,Circuit Switching)域系统以及公共交换电话网络(PSTN,Public SwitchedTelephone Network)的互通;MRFC用于提供媒体资源;HSS用于存储IMS终端的签约数据、配置信息及IMS终端的鉴权数据等。
图1为现有技术中的IMS系统结构示意图,IMS终端接入到IMS系统的P-SCCF中,完成在IMS的注册,后续由提供IMS业务的AS为IMS终端提供IMS业务,此外,IMS终端还可以通过Ut接口和提供非IMS业务的AS相连接,以获取非IMS业务,将提供IMS业务的AS称为“IMS AS”,将提供非IMS业务的AS称为“非IMS AS”,下面分别对获取IMS业务和获取非IMS业务分别进行详细介绍。
如图2所示,为现有技术中IMS终端获取IMS业务的方法流程图,其具体处理过程为:
步骤21、IMS终端向IMS系统中的P-SCSF/S-CSCF发起IMS注册和认证流程;
步骤22、IMS系统中的P-SCSF/S-CSCF向HSS注册该IMS终端的登录状态,此时HSS中存储有该IMS终端的签约数据和配置信息;
步骤23、IMS终端向P-SCSF/S-CSCF发送SIP业务请求,该SIP业务请求中携带有该IMS终端的用户标识,其中,IMS终端的用户标识携带在SIP业务请求消息头的“P-Preferred-Identity”中;
步骤24、P-SCSF接收到该SIP业务请求后,判断该IMS终端是否已经注册,若判断出该IMS终端已经注册,则将SIP业务请求消息头的“P-Preferred-Identity”替换为“P-Asserted-Identity”,用以标识该IMS终端通过了身份认证,其中包含经过认证的用户标识,由于IMS终端在注册时,P-CSCF中就已经存储有该IMS终端的用户标识,所以可以直接由P-CSCF对IMS终端进行身份认证;
步骤25,P-CSCF通过S-CSCF向IMS AS转发修改后的SIP业务请求;
步骤26、IMS AS接收到修改后的SIP业务请求后,确认接收到的SIP业务请求中是否携带有“P-Asserted-Identity”,若携带有“P-Asserted-Identity”,则通过该IMS终端的身份认证;
步骤27,IMS AS向P-SCSF/S-CSCF回复认证通过的认证结果;
步骤28、P-SCSF/S-CSCF向该IMS终端回复SIP业务请求,指示该IMS终端已通过了身份认证,可以与IMS AS进行业务交互;
步骤29、该IMS终端和IMS AS直接进行业务交互,获取IMS AS提供的IMS业务。
当IMS系统中不存在P-CSCF时,可以直接通过同时具有P-CSCF和S-CSCF功能的S-CSCF处理,如果存在P-CSCF时,则通过IMS终端当前所属的P-CSCF和S-CSCF进行交互来处理。
由上述处理过程可知,IMS终端获取IMS业务时,由IMS系统中的P-CSCF替代IMS AS对IMS终端进行身份认证,无需IMS AS进行独立的IMS终端的身份认证过程。
如图3所示,为现有技术中IMS终端获取非IMS业务的方法流程图,其具体处理过程为:
步骤31、IMS终端向非IMS AS发起超文本传输协议(HTTP,HypertextTransfer Protocol)请求;
步骤32、非IMS AS回复未授权消息,携带有该非IMS AS随机生成的第一随机数和IMS终端的域名(realm),其中realm用于指示IMS终端使用用户名和密码进行认证;
步骤33、IMS终端接收到该消息后,检测到该消息中携带有realm,则根据自身的用户名、密码及接收到的第一随机数,按照预设的算法,计算出第一响应值;
步骤34,IMS终端将计算出的第一响应值和IMS终端随机生成的第二随机数携带在HTTP响应消息中发送给非IMS AS;
步骤35、非IMS AS接收到HTTP响应消息后,根据自身生成的第一随机数以及该IMS终端的用户名和密码,按照预设的算法,计算出第二响应值;
步骤36,非IMS AS确定计算出的第二响应值和接收到的第一响应值是否一致,若一致,则完成对IMS终端的身份认证;
步骤37,非IMS AS根据接收到HTTP响应消息中携带的IMS终端随机生成的第二随机数以及该IMS终端的用户名和密码,根据预设的算法,计算出第三响应值;
步骤38,非IMS AS将计算出的第三响应值携带在200OK消息中发送给IMS终端,以使IMS终端对该非IMS AS进行认证;
步骤39、IMS终端接收到200OK消息后,根据自身随机生成的第二随机数以及该IMS终端的用户名和密码,按照预设的算法,计算出第四响应值;
步骤310,IMS终端确定计算出的第四响应值和接收到的第三响应值是否一致,若一致,则完成对该非IMS AS的认证;
步骤311,IMS终端向非IMS AS发送HTTP业务请求;
步骤312、非IMS AS向IMS终端回复200OK消息,非IMS AS和IMS终端之间建立业务连接,IMS终端获取非IMS AS提供的非IMS业务。
其中,IMS终端也可以不对非IMS AS进行认证。
由上述处理过程可知,IMS终端在获取非IMS业务时,由于非IMS AS无法从IMS系统中获取到IMS终端的鉴权数据,因此需要非IMS AS和IMS终端之间直接进行认证,不同的非IMS AS和IMS终端之间的认证方式也没有统一标准,可以采用的认证机制可以为:用户名/密码认证机制、HTTP摘要(Digest)机制、预先分享关键字传输层安全机制等。
现有技术中,非IMS AS需要对每个获取非IMS业务的IMS终端分别进行认证,这就降低了AS的业务处理效率。
发明内容
本发明实施例提供一种认证系统及方法,用以解决现有技术中存在的非IMS AS需要对每个获取非IMS业务的IMS终端分别进行认证,因此降低了AS的业务处理效率的问题。
相应的,本发明实施例还提供一种认证网关、应用服务器和IMS终端。
本发明实施例技术方案如下:
一种认证系统,包括提供非互联网协议多媒体子系统IMS业务的应用服务器AS、认证网关和IMS终端,其中:所述AS,用于将IMS终端发送的连接请求消息转发送给所述认证网关,以及将认证网关发送的随机数转发给所述IMS终端,并将所述IMS终端反馈的、根据所述随机数生成的响应值发送给所述认证网关,以及根据所述认证网关的指示,为所述IMS终端提供非IMS业务;所述认证网关,用于获得所述IMS终端的鉴权参数,所述鉴权参数包含随机数和期望响应值,将获得的随机数发送给所述AS,并在比较出AS发送的响应值和获得的鉴权参数中包含的期望响应值一致时,确认对该IMS终端认证通过,并指示所述AS为所述IMS终端提供非IMS业务;所述IMS终端,用于向所述AS发送连接请求消息,以及根据所述AS发送的随机数,生成响应值,并将生成的响应值发送给所述AS。
一种认证方法,该方法包括步骤:认证网关接收互联网协议多媒体子系统IMS终端通过提供非IMS业务的应用服务器AS发送的连接请求消息;以及获得所述IMS终端的鉴权参数,所述鉴权参数包含随机数和期望响应值;所述认证网关将获得的随机数通过所述AS发送给所述IMS终端;并接收所述IMS终端通过所述AS发送的响应值,所述响应值是所述IMS终端根据所述随机数生成的;所述认证网关在比较出接收到的响应值和获得的鉴权参数中包含的期望响应值一致时,确认对该IMS终端认证通过;并指示所述AS为所述IMS终端提供非IMS业务。
一种认证网关,包括:第一接收单元,用于接收互联网协议多媒体子系统IMS终端通过提供非IMS业务的应用服务器AS发送的连接请求消息;获得单元,用于获得所述IMS终端的鉴权参数,所述鉴权参数包含随机数和期望响应值;第一发送单元,用于将获得单元获得的随机数通过所述AS发送给所述IMS终端;第二接收单元,用于接收所述IMS终端通过所述AS发送的响应值,所述响应值是所述IMS终端根据所述随机数生成的;比较单元,用于比较第二接收单元接收的响应值和获得单元获得的期望响应值是否一致;确认单元,用于在比较单元的比较结果为一致时,确认对该IMS终端认证通过;指示单元,用于指示所述AS为所述IMS终端提供非IMS业务。
一种应用服务器,提供非互联网协议多媒体子系统IMS业务,包括:第一接收单元,用于接收IMS终端发送的连接请求消息;第一转发单元,用于将第一接收单元接收到的连接请求消息转发给认证网关;第二接收单元,用于接收认证网关发送的随机数;第二转发单元,用于将第二接收单元接收到的随机数转发给所述IMS终端;第三接收单元,用于接收所述IMS终端发送的响应值;第三转发单元,用于将第三接收单元接收到的响应值转发给所述认证网关;提供单元,用于根据所述认证网关的指示,为所述IMS终端提供非IMS业务。
一种互联网协议多媒体子系统终端,包括:第一发送单元,用于向提供非互联网协议多媒体子系统IMS业务的应用服务器AS发送连接请求消息;第一接收单元,用于接收认证网关通过所述AS发送的随机数;第一生成单元,用于根据第一接收单元接收到的随机数,生成响应值;第二发送单元,用于将第一生成单元生成响应值发送给所述AS;业务获取单元,用于在所述AS中获取非IMS业务。
本发明实施例技术方案中,认证系统包括提供非IMS业务的AS、认证网关和IMS终端,AS将IMS终端发送的连接请求消息转发送给上述认证网关,认证网关将获得的随机数通过AS发送给上述IMS终端,IMS终端根据随机数生成响应值,将生成的响应值通过AS发送给认证网关,认证网关在比较出接收到的响应值和获得的鉴权参数中包含的期望响应值一致时,确认对该IMS终端认证通过,并指示AS为IMS终端提供非IMS业务,由此可见,本发明提供的认证系统中,对IMS终端的认证由认证网关来完成,这就有效地提高了AS的业务处理效率。
附图说明
图1为现有技术中,IMS系统结构示意图;
图2为现有技术中,IMS终端获取IMS业务的方法流程示意图;
图3为现有技术中,IMS终端获取非IMS业务的方法流程示意图;
图4为本发明实施例中,认证系统结构示意图;
图5为本发明实施例中,认证方法流程示意图;
图6为本发明实施例中,提供非IMS业务的AS对IMS终端进行认证的方法流程示意图;
图7为本发明实施例中,确定共享密钥的方法流程示意图;
图8为本发明实施例中,对IMS终端使用的IE浏览器的Cookie进行设置的方法流程示意图;
图9为本发明实施例中,认证网关结构示意图;
图10为本发明实施例中,提供非IMS业务的AS的结构示意图;
图11为本发明实施例中,IMS终端结构示意图。
具体实施方式
下面结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方
式及其对应能够达到的有益效果进行详细地阐述。
如图4所示,为本发明实施例中,认证系统的结构示意图,包括提供非IMS业务的AS41、认证网关42和IMS终端43,其中:
AS41,用于将IMS终端43发送的连接请求消息转发送给认证网关42,以及将认证网关42发送的随机数转发给IMS终端43,并将IMS终端43反馈的、根据上述随机数生成的响应值发送给认证网关42,以及根据认证网关42的指示,为IMS终端43提供非IMS业务;
认证网关42,用于获得IMS终端43的鉴权参数,该鉴权参数包含随机数和期望响应值,将获得的随机数发送给AS41,并在比较出AS41发送的响应值和获得的鉴权参数中包含的期望响应值一致时,确认对该IMS终端43认证通过,并指示AS41为IMS终端43提供非IMS业务;
IMS终端43,用于向AS41发送连接请求消息,以及根据AS42发送的随机数,生成响应值,并将生成的响应值发送给AS41。
本发明实施例中,IMS终端发送的连接请求消息可以但不限于为HTTP消息。
由上述处理过程可知,本发明实施例技术方案中,认证系统包括提供非IMS业务的AS、认证网关和IMS终端,AS将IMS终端发送的连接请求消息转发送给上述认证网关,认证网关将获得的随机数通过AS发送给上述IMS终端,IMS终端根据随机数生成响应值,将生成的响应值通过AS发送给认证网关,认证网关在比较出接收到的响应值和获得的鉴权参数中包含的期望响应值一致时,确认对该IMS终端认证通过,并指示AS为IMS终端提供非IMS业务,由此可见,本发明提供的认证系统中,对IMS终端的认证由认证网关来完成,这就有效地提高了AS的业务处理效率。
基于图4所示的认证系统,本发明实施例提供一种认证方法,如图5所示。其具体处理过程如下:
步骤51,认证网关接收IMS终端通过提供非IMS业务的AS发送的连接请求消息;
本发明实施例中,连接请求消息可以但不限于为HTTP消息。
IMS终端在向AS发送连接请求消息之前,需要注册到IMS系统中,具体的注册流程与现有技术一致,这里不再赘述。
步骤52,认证网关获得该IMS终端的鉴权参数,获得的鉴权参数中包含随机数和期望响应值;
认证网关可以但不限于通过HSS获取鉴权参数,那么认证网关接收到的连接请求消息中,携带有该IMS终端的IMS公有用户标识(IMPU,IMS PublicUser Identity),认证网关将携带有该IMPU的获取请求发送给HSS,该HSS根据接收到的IMPU,在存储的IMPU和鉴权参数的对应关系中,查找与接收到的IMPU对应的鉴权参数,并将查找到的鉴权参数发送给认证网关。
其中,HSS查找到的鉴权参数可以为鉴权五元组参数,也可以为鉴权三元组参数。
若认证网关获得的鉴权参数为鉴权五元组参数,则鉴权参数中包含:随机数(RAND)、鉴权令牌(AUTN,Authentication Token)、加密密钥(CK,CipherKey)完整性密钥(Integrity Key)和期望响应值(XRES,ExpectedResponseInternet Explorer)。
步骤53,认证网关将获得的RAND通过上述AS发送给该IMS终端;
若只需要AS对IMS终端进行认证,则认证网关只需要将RAND发送给IMS终端,若IMS终端还需要对AS进行认证,则认证网关还需要将获得的鉴权参数中携带的AUTN发送给该IMS终端,AUTN用于IMS终端对AS进行认征。
其中,认证网关可以但不限于将AUTN和RAND一起发送给IMS终端,也可以先发送RAND再发送AUTN,或是先发送AUTN再发送RAND,即只要在认证网关接收IMS终端通过AS发送的响应值之前发送AUTN即可。
步骤54,IMS终端根据接收到的RAND,生成响应值(RES),并将生成的RES通过上述AS发送给认证网关;
IMS终端根据预设的第一算法,计算出RES。
若IMS终端需要对AS进行认证,则IMS终端在生成RES之前,需要根据接收到的RAND生成AUTN的值(即基于预设的第二算法,计算出AUTN的值),并将生成的AUTN和接收到的AUTN进行比较,若比较结果为一致,则确认对该AS认证通过。
IMS终端在接收到RAND后,基于预设的第一算法,计算RES,还可以进一步根据接收到的RAND,基于第二算法,计算CK,根据接收到的RAND,基于第二算法,计算IK,这样认证网关和IMS终端都拥有了CK和IK。
IMS终端将计算出的RES通过AS发送给认证网关,该RES用于认证网关对IMS终端进行认证。
步骤55,认证网关在比较出接收到的RES和获得的鉴权参数中包含的XRES一致时,确认对该IMS终端认证通过;
步骤56,认证网关指示上述AS为上述IMS终端提供非IMS业务。
认证网关在确认对该IMS终端认证通过后,可以直接将认证通过结果发送给AS,AS接收到认证通过结果后,建立和IMS终端之间的连接,并基于建立的连接为IMS终端提供非IMS业务,其中认证网关可以但不限于将认证通过结果携带在200OK消息中发送给AS。
下面给出更为具体的实施方式。
如图6所示,为本发明实施例中,提供非IMS业务的AS(非IMS AS)对IMS终端进行认证的方法流程图,其具体处理过程如下:
步骤61,IMS终端向非IMS AS发送携带有IMPU的HTTP请求消息;
步骤62,非IMS AS将接收到的HTTP请求消息转发给认证网关;
步骤63,认证网关将接收到的IMPU携带在获取请求中发送给HSS;
步骤64,HSS根据接收到的IMPU,在IMPU和鉴权五元组参数的对应关系中,查找对应的鉴权五元组参数;
步骤65,HSS将查找到的鉴权五元组参数发送给认证网关;
步骤66,认证网关将接收到的鉴权五元组参数中的RAND和AUTN发送给非IMS AS;
步骤67,非IMS AS将接收到的RAND和AUTN发送给IMS终端;
步骤68,IMS终端根据接收到的RAND,计算AUTN;
步骤69,IMS终端比较计算出的AUTN和接收到的AUTN是否一致;
步骤610,若步骤69的比较结果为一致,则确认对该非IMS AS认证通过;
步骤611,IMS终端根据接收到的RAND,计算RES;
步骤612,IMS终端将计算出的RES发送给AS;
步骤613,非IMS AS将接收到的RES转发给认证网关;
步骤614,认证网关将接收到的RES和接收到的XRES进行比较;
步骤615,若比较结果为一致,则确认对该IMS终端认证通过;
步骤616,认证网关将认证通过结果携带在200OK消息中发送给非IMSAS;
步骤617,非IMS AS为IMS终端提供非IMS业务。
进一步的,为了IMS终端后续在获取非IMS业务时,不必再进行上述认证过程,认证网关和IMS终端可以确定用于后续IMS终端获取非IMS业务时所需的共享密钥,确定共享密钥的过程在非IMS AS对IMS终端验证通过之后,如图7所示,其具体处理过程如下:
步骤71,认证网关根据获得的鉴权参数中包含的CK和IK,计算出密钥Ks,并根据RAND和AS的标识(AS_ID)生成引导事务标识(B-TID,Bootstrapping Transaction Identifier),此外,还为Ks定义一个有效期,该有效期主要用于Ks的更新;
步骤72,认证网关将B-TID和有效期信息携带在200OK消息中发送给非IMS AS,也就是说认证网关为标识和IMS终端之间的本次认证过程而分配一个B-TID,使该B-TID与Ks相关联,以便后续可以根据该B-TID查找出Ks;
步骤73,非IMS AS将接收到的200OK消息转发给IMS终端;
步骤74,IMS终端接收到200OK消息后,保存得到的B-TID和有效期信息;
步骤75,IMS终端生成Ks,该Ks作为根密钥来使用,用于与衍生出与AS通信时的共享密钥。此时,IMS终端和认证网关共同拥有了Ks;
步骤76,IMS终端根据自身的IMS私有用户标识(IMPI,IMS Private UserIdentity)、Ks和RAND等参数,通过密钥导出函数计算共享密钥Ks_AS;
步骤77,IMS终端将B-TID发送给非IMS AS;
步骤78,非IMS AS将B-TID和AS_ID发送给认证网关;
步骤79,认证网关验证AS_ID的有效性,并计算出共享密钥Ks_AS;
步骤710,认证网关将共享密钥Ks_AS和用户安全设置发送给非IMS AS;
步骤711,非IMS AS保存共享密钥Ks_AS和用户安全设置,这样,非IMSAS和IMS终端就拥有了共享密钥Ks_AS,IMS终端后续获取非IMS业务时,非IMS AS根据共享密钥Ks_AS,对该IMS终端进行认证。
若IMS终端通过IE浏览器获取非IMS业务,即IMS终端具有网络浏览器,此时在非IMS AS为该IMS终端提供非IMS业务之前,需要对IE浏览器的Cookie进行设置,如图8所示,其具体处理过程如下:
步骤81,非IMS AS生成的会话标识(SessiongID),根据接收到的共享密钥Ks_AS,对生成的SessiongID进行加密;
步骤82,非IMS AS将生成的SessiongID和该IMS终端的IMPU对应存储;
步骤83,非IMS AS将加密后的SessiongID发送给IMS终端;
步骤84,IMS终端根据计算出的共享密钥Ks_AS,对接收到的加密后的SessiongID进行解密;
步骤85,IMS终端根据解密后得到的SessiongID和自身的IMPU,启动IE浏览器;
步骤86,IMS终端在IE浏览器中向非IMS AS发送携带有自身IMPU和解密后得到的SessiongID的HTTP请求消息;
步骤87,非IMS AS根据存储的SessiongID和IMPU的对应关系,对接收到的IMPU和SessiongID进行验证;
步骤88,若验证通过,则在SessiongID和IMPU的对应关系中,删除接收到的IMPU和SessiongID,这就防止了重放攻击;
步骤89,非IMS AS根据接收到的IMPU和SessiongID,设置IMS终端所启动的IE浏览器的Cookie。
本发明实施例提供一种认证网关,如图9所示,包括第一接收单元91、获得单元92、第一发送单元93、第二接收单元94、比较单元95、确认单元96和指示单元97,其中:
第一接收单元91,用于接收IMS终端通过提供非IMS业务的AS发送的连接请求消息;
获得单元92,用于获得上述IMS终端的鉴权参数,上述鉴权参数包含RAND和XRES;
第一发送单元93,用于将获得单元92获得的RAND通过上述AS发送给上述IMS终端;
第二接收单元94,用于接收上述IMS终端通过上述AS发送的RES,上述RES是上述IMS终端根据上述RAND生成的;
比较单元95,用于比较第二接收单元94接收的RES和获得单元92获得的XRES是否一致;
确认单元96,用于在比较单元95的比较结果为一致时,确认对该IMS终端认证通过;
指示单元97,用于指示上述AS为上述IMS终端提供非IMS业务。
较佳地,第一接收单元91接收到的连接请求消息中携带有上述IMS终端的IMPU;
获得单元92具体包括:
发送子单元,用于将携带有第一接收单元91接收到的上述IMPU的获取请求发送给HSS;
接收子单元,用于接收上述HSS发送的鉴权参数,上述鉴权参数是上述HSS根据上述IMPU,在IMPU和鉴权参数的对应关系中查找到的。
较佳地,获得单元92获得的鉴权参数中还包含第一AUTN;
上述认证网关还包括第二发送单元,用于在第二接收单元94接收上述IMS终端通过上述AS发送的RES之前,将获得单元获得的第一AUTN通过上述AS发送给上述IMS终端。
较佳地,上述指示单元97将认证通过结果发送给上述AS,指示上述AS为上述IMS终端提供非IMS业务。
较佳地,上述认证网关还包括:
确定单元,用于在指示单元97指示上述AS为上述IMS终端提供非IMS业务之前,确定上述IMS终端后续获取非IMS业务时所需的共享密钥;
第三发送单元,用于将确定单元确定出的共享密钥发送给上述AS。
本发明实施例提供一种AS,该AS提供非IMS业务,如图10所示,包括第一接收单元101、第一转发单元102、第二接收单元103、第二转发单元104、第三接收单元105、第三转发单元106和提供单元107,其中:
第一接收单元101,用于接收IMS终端发送的连接请求消息;
第一转发单元102,用于将第一接收单元101接收到的连接请求消息转发给认证网关;
第二接收单元103,用于接收认证网关发送的RAND;
第二转发单元104,用于将第二接收单元103接收到的RAND转发给上述IMS终端;
第三接收单元105,用于接收上述IMS终端发送的RES;
第三转发单元106,用于将第三接收单元105接收到的RES转发给上述认证网关;
提供单元107,用于根据上述认证网关的指示,为上述IMS终端提供非IMS业务。
较佳地,上述AS还包括第四接收单元和第四转发单元,其中:
第四接收单元,用于在第三接收单元105接收到RES之前,接收认证网关发送的AUTN;
第四转发单元,用于将第四接收单元接收到的AUTN转发给上述IMS终端。
较佳地,提供单元107具体包括:
接收子单元,用于接收上述认证网关发送的认证通过结果;
连接建立子单元,用于在接收子单元接收到认证通过结果后,建立和上述IMS终端之间的连接;
提供子单元,用于基于连接建立子单元建立的连接,为上述IMS终端提供非IMS业务。
较佳地,上述AS还包括第五接收单元,用于在提供单元107为上述IMS终端提供非IMS业务之前,接收并存储上述认证网关发送的共享密钥。
更佳地,若上述IMS终端通过IE浏览器获取非IMS业务,则上述AS还包括:
生成单元,用于生成SessiongID;
加密单元,用于根据第五接收单元接收到的共享密钥,对生成单元生成的SessiongID进行加密;
发送单元,用于将加密单元加密后的SessiongID发送给上述IMS终端;
第六接收单元,用于根据接收上述IMS终端发送的携带有IMPU和SessiongID的连接请求消息;
设置单元,用于根据第六接收单元接收到的IMPU和SessiongID,设置上述IMS终端所启动的IE浏览器的Cookie。
更佳地,上述AS还包括:
存储单元,用于发送单元将加密单元加密后的SessiongID发送给上述IMS终端之前,将生成单元生成的SessiongID和上述IMS终端的IMPU对应存储;
验证单元,用于在设置单元设置上述IMS终端所启动的IE浏览器的Cookie之前,根据存储单元的SessiongID和IMPU的对应关系,对第六接收单元接收到的IMPU和SessiongID进行验证;
删除单元,用于在验证单元的验证结果为验证通过后,在存储单元存储的SessiongID和IMPU的对应关系中,删除第六接收单元接收到的上述IMPU和SessiongID。
本发明实施例提供一种IMS终端,如图11所示,包括第一发送单元111、第一接收单元112、第一生成单元113、第二发送单元114和业务获取单元115,其中:
第一发送单元111,用于向提供非IMS业务的AS发送连接请求消息;
第一接收单元112,用于接收认证网关通过上述AS发送的RAND;
第一生成单元113,用于根据第一接收单元112接收到的RAND生成RES;
第二发送单元114,用于将第一生成单元113生成的RES发送给上述AS;
业务获取单元115,用于在上述AS中获取非IMS业务。
较佳地,上述IMS终端还包括第二接收单元、第二生成单元、比较单元和确认单元,其中:
第二接收单元,用于在第一生成单元113生成RES之前,接收上述认证网关通过上述AS发送的第一AUTN;
第二生成单元,用于根据第一接收单元112接收到的RAND,生成第二AUTN;
比较单元,用于比较第二生成单元生成的第二AUTN和第二接收单元接收到的第一AUTN是否一致;
确认单元,用于在比较单元的比较结果为一致时,确认对上述AS认证通过。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (22)
1.一种认证系统,其特征在于,包括提供非互联网协议多媒体子系统IMS业务的应用服务器AS、认证网关和IMS终端,其中:
所述AS,用于将IMS终端发送的连接请求消息转发送给所述认证网关,以及将认证网关发送的随机数转发给所述IMS终端,并将所述IMS终端反馈的、根据所述随机数生成的响应值发送给所述认证网关,以及根据所述认证网关的指示,为所述IMS终端提供非IMS业务;
所述认证网关,用于获得所述IMS终端的鉴权参数,所述鉴权参数包含随机数和期望响应值,将获得的随机数发送给所述AS,并在比较出AS发送的响应值和获得的鉴权参数中包含的期望响应值一致时,确认对该IMS终端认证通过,并指示所述AS为所述IMS终端提供非IMS业务;
所述IMS终端,用于向所述AS发送连接请求消息,以及根据所述AS发送的随机数,生成响应值,并将生成的响应值发送给所述AS。
2.一种认证方法,其特征在于,包括:
认证网关接收互联网协议多媒体子系统IMS终端通过提供非IMS业务的应用服务器AS发送的连接请求消息;以及
获得所述IMS终端的鉴权参数,所述鉴权参数包含随机数和期望响应值;
所述认证网关将获得的随机数通过所述AS发送给所述IMS终端;并
接收所述IMS终端通过所述AS发送的响应值,所述响应值是所述IMS终端根据所述随机数生成的;
所述认证网关在比较出接收到的响应值和获得的鉴权参数中包含的期望响应值一致时,确认对该IMS终端认证通过;并
指示所述AS为所述IMS终端提供非IMS业务。
3.如权利要求2所述的认证方法,其特征在于,认证网关接收到的连接请求消息中携带有所述IMS终端的IMS公有用户标识IMPU;
认证网关获得所述IMS终端的鉴权参数,具体包括:
认证网关将携带有所述IMPU的获取请求发送给归属用户服务器HSS;
所述HSS根据所述IMPU,在IMPU和鉴权参数的对应关系中,查找与所述IMPU对应的鉴权参数;并
将查找到的鉴权参数发送给所述认证网关。
4.如权利要求2所述的认证方法,其特征在于,认证网关获得的鉴权参数中还包含第一鉴权令牌AUTN;
认证网关接收所述IMS终端通过所述AS发送的响应值之前,将获得的第一AUTN通过所述AS发送给所述IMS终端;
所述IMS终端生成响应值之前,还包括:
所述IMS终端根据所述随机数,生成第二AUTN;并
在比较出生成的第二AUTN和接收到的第一AUTN一致时,确认对所述AS认证通过。
5.如权利要求2所述的认证方法,其特征在于,认证网关指示所述AS为所述IMS终端提供非IMS业务,具体包括:
认证网关将认证通过结果发送给所述AS;
所述AS接收到认证通过结果后,建立和所述IMS终端之间的连接,并基于建立的连接为所述IMS终端提供非IMS业务。
6.如权利要求2所述的认证方法,其特征在于,认证网关指示所述AS为所述IMS终端提供非IMS业务之前,还包括:
认证网关和所述IMS终端分别确定所述IMS终端后续获取非IMS业务时所需的共享密钥;
所述认证网关将确定出的所述共享密钥发送给所述AS;
所述AS接收并存储所述共享密钥。
7.如权利要求6所述的认证方法,其特征在于,所述IMS终端后续获取非IMS业务时,所述AS根据所述共享密钥,对所述IMS终端进行认证。
8.如权利要求6所述的认证方法,其特征在于,若所述IMS终端通过IE 浏览器获取非IMS业务,则所述AS接收并存储所述共享密钥之后,还包括:
所述AS根据接收到的共享密钥,对生成的会话标识进行加密后发送给所述IMS终端;
所述IMS终端根据确定出的共享密钥,对接收到的加密后的会话标识进行解密;并
根据解密后得到的会话标识和自身的IMPU,启动IE浏览器后,在IE浏览器中向所述AS发送携带有所述IMPU和解密后得到的会话标识的连接请求消息;
所述AS根据接收到的IMPU和会话标识,设置所述IMS终端所启动的IE浏览器的Cookie。
9.如权利要求8所述的认证方法,其特征在于,所述AS将加密后的会话标识发送给所述IMS终端之前,将生成的会话标识和所述IMPU对应存储;
所述AS设置所述IMS终端所启动的IE浏览器的Cookie之前,还包括:
所述AS根据存储的会话标识和IMPU的对应关系,对接收到的IMPU和会话标识进行验证;并
在验证通过后,在会话标识和IMPU的对应关系中,删除接收到的所述IMPU和会话标识。
10.一种认证网关,其特征在于,包括:
第一接收单元,用于接收互联网协议多媒体子系统IMS终端通过提供非IMS业务的应用服务器AS发送的连接请求消息;
获得单元,用于获得所述IMS终端的鉴权参数,所述鉴权参数包含随机数和期望响应值;
第一发送单元,用于将获得单元获得的随机数通过所述AS发送给所述IMS终端;
第二接收单元,用于接收所述IMS终端通过所述AS发送的响应值,所述响应值是所述IMS终端根据所述随机数生成的;
比较单元,用于比较第二接收单元接收的响应值和获得单元获得的期望响应值是否一致;
确认单元,用于在比较单元的比较结果为一致时,确认对该IMS终端认证通过;
指示单元,用于指示所述AS为所述IMS终端提供非IMS业务。
11.如权利要求10所述的认证网关,其特征在于,第一接收单元接收到的连接请求消息中携带有所述IMS终端的IMS公有用户标识IMPU;
获得单元具体包括:
发送子单元,用于将携带有第一接收单元接收到的所述IMPU的获取请求发送给归属用户服务器HSS;
接收子单元,用于接收所述HSS发送的鉴权参数,所述鉴权参数是所述HSS根据所述IMPU,在IMPU和鉴权参数的对应关系中查找到的。
12.如权利要求10所述的认证网关,其特征在于,获得单元获得的鉴权参数中还包含第一鉴权令牌AUTN;
所述认证网关还包括第二发送单元,用于在第二接收单元接收所述IMS终端通过所述AS发送的响应值之前,将获得单元获得的第一AUTN通过所述AS发送给所述IMS终端。
13.如权利要求10所述的认证网关,其特征在于,所述指示单元将认证通过结果发送给所述AS,指示所述AS为所述IMS终端提供非IMS业务。
14.如权利要求10所述的认证网关,其特征在于,所述认证网关还包括:
确定单元,用于在指示单元指示所述AS为所述IMS终端提供非IMS业务之前,确定所述IMS终端后续获取非IMS业务时所需的共享密钥;
第三发送单元,用于将确定单元确定出的共享密钥发送给所述AS。
15.一种应用服务器,提供非互联网协议多媒体子系统IMS业务,其特征在于,包括:
第一接收单元,用于接收IMS终端发送的连接请求消息;
第一转发单元,用于将第一接收单元接收到的连接请求消息转发给认证网关;
第二接收单元,用于接收认证网关发送的随机数;
第二转发单元,用于将第二接收单元接收到的随机数转发给所述IMS终端;
第三接收单元,用于接收所述IMS终端发送的响应值;
第三转发单元,用于将第三接收单元接收到的响应值转发给所述认证网关;
提供单元,用于根据所述认证网关的指示,为所述IMS终端提供非IMS业务。
16.如权利要求15所述的应用服务器,其特征在于,还包括:
第四接收单元,用于在第三接收单元接收到响应值之前,接收认证网关发送的鉴权令牌AUTN;
第四转发单元,用于将第四接收单元接收到的AUTN转发给所述IMS终端。
17.如权利要求15所述的应用服务器,其特征在于,提供单元具体包括:
接收子单元,用于接收所述认证网关发送的认证通过结果;
连接建立子单元,用于在接收子单元接收到认证通过结果后,建立和所述IMS终端之间的连接;
提供子单元,用于基于连接建立子单元建立的连接,为所述IMS终端提供非IMS业务。
18.如权利要求15所述的应用服务器,其特征在于,还包括:
第五接收单元,用于在提供单元为所述IMS终端提供非IMS业务之前,接收并存储所述认证网关发送的共享密钥。
19.如权利要求18所述的应用服务器,其特征在于,若所述IMS终端通过IE浏览器获取非IMS业务,则所述应用服务器还包括:
生成单元,用于生成会话标识;
加密单元,用于根据第五接收单元接收到的共享密钥,对生成单元生成的会话标识进行加密;
发送单元,用于将加密单元加密后的会话标识发送给所述IMS终端;
第六接收单元,用于接收所述IMS终端发送的携带有IMPU和会话标识的连接请求消息;
设置单元,用于根据第六接收单元接收到的IMPU和会话标识,设置所述IMS终端所启动的IE浏览器的Cookie。
20.如权利要求19所述的应用服务器,其特征在于,还包括:
存储单元,用于发送单元将加密单元加密后的会话标识发送给所述IMS终端之前,将生成单元生成的会话标识和所述IMS终端的IMPU对应存储;
验证单元,用于在设置单元设置所述IMS终端所启动的IE浏览器的Cookie之前,根据存储单元的会话标识和IMPU的对应关系,对第六接收单元接收到的IMPU和会话标识进行验证;
删除单元,用于在验证单元的验证结果为验证通过后,在存储单元存储的会话标识和IMPU的对应关系中,删除第六接收单元接收到的所述IMPU和会话标识。
21.一种互联网协议多媒体子系统终端,其特征在于,包括:
第一发送单元,用于向提供非互联网协议多媒体子系统IMS业务的应用服务器AS发送连接请求消息;
第一接收单元,用于接收认证网关通过所述AS发送的随机数;
第一生成单元,用于根据第一接收单元接收到的随机数,生成响应值;
第二发送单元,用于将第一生成单元生成响应值发送给所述AS,其中,所述AS将第二发送单元发送的所述响应值发送给所述认证网关,所述认证网关在比较出所述AS发送的响应值和所述认证网关获得的所述IMS终端的鉴权参数中包含的期望响应值一致时,确认对该IMS终端认证通过,并指示所述 AS为所述IMS终端提供非IMS业务;
业务获取单元,用于在所述AS中获取非IMS业务。
22.如权利要求21所述的互联网协议多媒体子系统终端,其特征在于,还包括:
第二接收单元,用于在第一生成单元生成响应值之前,接收所述认证网关通过所述AS发送的第一鉴权令牌AUTN;
第二生成单元,用于根据第一接收单元接收到的所述随机数,生成第二AUTN;
比较单元,用于比较第二生成单元生成的第二AUTN和第二接收单元接收到的第一AUTN是否一致;
确认单元,用于在比较单元的比较结果为一致时,确认对所述AS认证通过。
Priority Applications (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910243503 CN102111379B (zh) | 2009-12-24 | 2009-12-24 | 认证系统、方法及设备 |
| KR1020127016492A KR101343039B1 (ko) | 2009-11-26 | 2010-11-26 | 인증 시스템, 방법 및 장치 |
| RU2012125663/08A RU2541172C2 (ru) | 2009-11-26 | 2010-11-26 | Система, способ и устройство аутентификации |
| PCT/CN2010/001907 WO2011063612A1 (zh) | 2009-11-26 | 2010-11-26 | 认证系统、方法及设备 |
| EP10832519.2A EP2506615B1 (en) | 2009-11-26 | 2010-11-26 | Authentication system, method and device |
| US13/512,309 US8959343B2 (en) | 2009-11-26 | 2010-11-26 | Authentication system, method and device |
| JP2012540260A JP5378606B2 (ja) | 2009-11-26 | 2010-11-26 | 認証システム、方法および設備 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910243503 CN102111379B (zh) | 2009-12-24 | 2009-12-24 | 认证系统、方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102111379A CN102111379A (zh) | 2011-06-29 |
| CN102111379B true CN102111379B (zh) | 2013-07-17 |
Family
ID=44175409
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200910243503 Active CN102111379B (zh) | 2009-11-26 | 2009-12-24 | 认证系统、方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102111379B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255912B (zh) * | 2011-07-13 | 2015-06-17 | 中国联合网络通信集团有限公司 | Ims终端接入ims网络的认证方法和系统及装置 |
| CN104753687B (zh) * | 2013-12-31 | 2019-01-01 | 中国移动通信集团公司 | 一种基于统一计费平台的计费方法及装置 |
| CN104917730B (zh) * | 2014-03-12 | 2019-04-26 | 腾讯科技(深圳)有限公司 | 一种鉴权方法及系统、鉴权服务器 |
| CN106487741B (zh) * | 2015-08-24 | 2020-01-07 | 联芯科技有限公司 | 基于ims网络的认证方法、认证终端及认证系统 |
| CN111711602A (zh) * | 2020-05-12 | 2020-09-25 | 北京奇艺世纪科技有限公司 | 登录鉴权方法、装置、电子设备以及可读存储介质 |
| CN114125836A (zh) * | 2020-08-10 | 2022-03-01 | 中国移动通信有限公司研究院 | 鉴权方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1870822A (zh) * | 2005-10-19 | 2006-11-29 | 华为技术有限公司 | 一种非ims移动终端接入ims域的鉴权注册方法及装置 |
| CN101197673A (zh) * | 2006-12-05 | 2008-06-11 | 中兴通讯股份有限公司 | 固定网络接入ims双向认证及密钥分发方法 |
| CN101577910A (zh) * | 2008-07-29 | 2009-11-11 | 中兴通讯股份有限公司 | 一种ip多媒体子系统中的注册鉴权方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9154526B2 (en) * | 2007-06-08 | 2015-10-06 | At&T Intellectual Property I, Lp | System for communicating with an internet protocol multimedia subsystem network |
-
2009
- 2009-12-24 CN CN 200910243503 patent/CN102111379B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1870822A (zh) * | 2005-10-19 | 2006-11-29 | 华为技术有限公司 | 一种非ims移动终端接入ims域的鉴权注册方法及装置 |
| CN101197673A (zh) * | 2006-12-05 | 2008-06-11 | 中兴通讯股份有限公司 | 固定网络接入ims双向认证及密钥分发方法 |
| CN101577910A (zh) * | 2008-07-29 | 2009-11-11 | 中兴通讯股份有限公司 | 一种ip多媒体子系统中的注册鉴权方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102111379A (zh) | 2011-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6938090B2 (en) | Authentication and protection for IP application protocols based on 3GPP IMS procedures | |
| EP1879324B1 (en) | A method for authenticating user terminal in ip multimedia sub-system | |
| JP5378606B2 (ja) | 認証システム、方法および設備 | |
| CN102111379B (zh) | 认证系统、方法及设备 | |
| US20130046971A1 (en) | Authentication method, system and device | |
| US8713634B2 (en) | Systems, methods and computer program products supporting provision of web services using IMS | |
| CN101521660B (zh) | 会话发起协议注册方法、认证及授权方法、系统及设备 | |
| US20080120705A1 (en) | Systems, Methods and Computer Program Products Supporting Provision of Web Services Using IMS | |
| EP1909430A1 (en) | Access authorization system of communication network and method thereof | |
| CN1716953B (zh) | 会话初始协议认证的方法 | |
| CN110768973A (zh) | 一种基于gb35114标准的信令安全测评系统及方法 | |
| CN1913437B (zh) | 初始会话协议应用网络及建立安全通道的装置和方法 | |
| CN102065069B (zh) | 一种身份认证方法、装置和系统 | |
| CN102694779B (zh) | 组合认证系统及认证方法 | |
| WO2007098669A1 (fr) | Procédé, système et dispositif d'authentification de terminal d'utilisateur | |
| WO2011147258A1 (zh) | 一种实现卡鉴权的方法、系统及用户设备 | |
| CN102082769B (zh) | Ims终端在获取非ims业务时的认证系统、装置及方法 | |
| CN105827661A (zh) | 安全通信的方法及装置 | |
| CN101540678A (zh) | 固定终端及其认证方法 | |
| WO2012072098A1 (en) | Cross-authentication arrangement | |
| CN112953718A (zh) | Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 | |
| WO2012072099A1 (en) | Cross-authentication arrangement |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |