CN102196426B - 一种接入ims网络的方法、装置和系统 - Google Patents
一种接入ims网络的方法、装置和系统 Download PDFInfo
- Publication number
- CN102196426B CN102196426B CN201010129799.6A CN201010129799A CN102196426B CN 102196426 B CN102196426 B CN 102196426B CN 201010129799 A CN201010129799 A CN 201010129799A CN 102196426 B CN102196426 B CN 102196426B
- Authority
- CN
- China
- Prior art keywords
- card terminal
- key
- ims
- timpi
- interim
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 230000004044 response Effects 0.000 claims abstract description 44
- 238000013475 authorization Methods 0.000 claims description 20
- 238000003780 insertion Methods 0.000 claims description 16
- 230000037431 insertion Effects 0.000 claims description 16
- 238000004846 x-ray emission Methods 0.000 claims description 13
- 230000000903 blocking effect Effects 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000000977 initiatory effect Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Abstract
本发明实施例公开了一种接入IMS网络的方法,包括以下步骤:无卡终端向有卡终端发送临时密钥获取请求;所述无卡终端接收来自所述有卡终端的与所述临时密钥获取请求对应的临时密钥获取响应,使用所述临时密钥获取响应中携带的临时IMS注册密钥和临时IMS私有用户标识TIMPI进行IMS网络接入,所述临时IMS注册密钥和所述TIMPI由所述有卡终端根据所述临时密钥获取请求生成。通过使用本发明,能够增强接入方式的安全性。本发明实施例同样公开了一种应用上述方法的装置和系统。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种接入IMS网络的方法、装置和系统。
背景技术
随着通信网络的发展,IMS(IP Multimedia Subsystem,互联网协议多媒体子系统)应用中存在有卡终端和无卡终端两种终端类型。其中,有卡终端与网络侧利用SIM(Subscriber Identity Module,用户身份识别模块)/USIM(Universal Subscriber Identity Module,全球用户身份识别模块)/ISIM(IMSSubscriber Identity Module,IMS用户身份识别模块)卡实现双向身份认证,协商会话密钥,并基于会话密钥建立双向的IPSec(IP Security,互联网协议安全性)通道,保护会话内容的安全性。
无卡终端接入IMS网络的方式包括NASS-Bundle(Network AttachmentSubsystem-Bundle,网络附着子系统绑定)方式和SIP Digest(SIP SessionInitiation Protocol Digest,会话初始化协议摘要)方式,其中,NASS-Bundle方式基于用户接入网络的认证方式在终端身份(接入位置)与终端IP地址之间建立的对应关系实现IMS的认证,SIP Digest方式利用终端用户名密码方式实现身份认证。
发明人在实现本发明的过程中,发现现有技术至少存在以下缺陷:
NASS-Bundle方式依赖于底层接入网络的认证方案安全性,只适用于IMS网络与接入网络同属一个运营商的场景,在IMS网络与接入网络属于不同运营商的情况下,IMS网络侧设备无法获取终端IP地址与终端位置的绑定关系;此外,该方法无法区分多个终端使用同一IP地址接入IMS网络的情况。
SIP Digest方式的安全性依赖于用户口令的强度,如果用户出于方便记忆的目的,设置的口令长度不高,则用户口令容易被猜出,安全性不高,且用户输入口令的操作易被木马截获;另外口令方式增加了用户需要记忆的用户名和口令数量,降低了用户体验,而且无法满足用户在多个终端上以相同身份同时登录IMS网络的需求。
发明内容
本发明实施例提供了一种接入IMS网络的方法、装置和系统,用于增强接入方式的安全性。
本发明实施例提供了一种接入互联网协议多媒体子系统IMS网络的方法,包括:
无卡终端向有卡终端发送临时密钥获取请求;
所述无卡终端接收来自所述有卡终端的与所述临时密钥获取请求对应的临时密钥获取响应,使用所述临时密钥获取响应中携带的临时IMS注册密钥和临时IMS私有用户标识TIMPI进行IMS网络接入,所述临时IMS注册密钥和所述TIMPI由所述有卡终端根据所述临时密钥获取请求生成。
本发明实施例还提供了一种无卡终端,包括:
收发模块,用于向有卡终端发送临时密钥获取请求,接收来自所述有卡终端的与所述临时密钥获取请求对应的临时密钥获取响应;
接入模块,用于使用所述收发模块接收到的临时密钥获取响应中携带的临时IMS注册密钥和TIMPI进行IMS网络接入,所述临时IMS注册密钥和所述TIMPI由所述有卡终端根据所述临时密钥获取请求生成。
本发明实施例还提供了一种接入IMS网络的系统,包括有卡终端和无卡终端,
所述有卡终端,用于接收来自所述无卡终端的临时密钥获取请求,根据所述临时密钥获取请求生成临时IMS注册密钥和TIMPI,并向所述无卡终端发送临时密钥获取响应,所述临时密钥获取响应中携带所述临时IMS注册密钥和TIMPI;
所述无卡终端,用于向所述有卡终端发送临时密钥获取请求,接收来自所述有卡终端的与所述临时密钥获取请求对应的临时密钥获取响应,使用所述临时密钥获取响应中携带的临时IMS注册密钥和TIMPI进行IMS网络接入。
本发明实施例中,无卡终端向有卡终端请求TIMPI,并使用该TIMPI向IMS网络发起接入请求,增强了接入方式的安全性,可以应用于接入网络与IMS网络分属不同运营商的场景,能够满足多个设备使用同一IP地址注册IMS网络的需求。
本发明实施例提供了一种有卡终端,用于向无卡终端提供用户身份标识。
本发明实施例提供了一种有卡终端,包括:
接收模块,用于接收来自无卡终端的临时密钥获取请求;
生成模块,用于根据所述接收模块接收到的临时密钥获取请求生成临时IMS注册密钥和TIMPI;
发送模块,用于向所述无卡终端发送临时密钥获取响应,所述临时密钥获取响应中携带所述生成模块生成的临时IMS注册密钥和TIMPI。
本发明实施例中,有卡终端为无卡终端提供TIMPI,可以为多个设备提供有效的用户身份标识,降低了设备的成本,节省了SIM卡资源。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对本发明实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例应用场景中的接入IMS网络的系统架构示意图;
图2为本发明实施例中的一种接入IMS网络的方法流程图;
图3为本发明实施例应用场景中的无卡终端向有卡终端获取临时IMS注册密钥的流程图;
图4为本发明实施例应用场景中的无卡终端接入IMS网络流程图;
图5为本发明实施例应用场景中的构造五元组认证向量流程图;
图6为本发明实施例中的一种无卡终端装置结构示意图;
图7为本发明实施例中的一种有卡终端装置结构示意图;
图8为本发明实施例中的一种接入IMS网络的系统结构示意图。
具体实施方式
本发明实施例提供一种有卡终端协助无卡终端接入IMS网络的方法,在用户使用无卡终端接入IMS网络时,利用有卡终端的认证功能为无卡终端生成临时IMS注册密钥和TIMPI(Temporary IMS Private Identity,临时IMS私有用户标识),协助无卡终端与IMS网络侧设备进行相互认证并建立安全通道,其中,有卡终端可以为用户手机终端或家庭中的机顶盒等设备。
下面将结合本发明实施例中的附图,对本发明实施例的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中的接入IMS网络的方法可以应用于如图1所示的系统架构中,该系统架构包括用户侧的有卡终端和无卡终端,以及IMS网络侧的P-CSCF(Proxy Call Session Control Function,代理呼叫会话控制功能)、S-CSCF(Serving Call Session Control Function,服务呼叫会话控制功能)、HGW(HomeGateway,归属网关)、BSF(Bootstrapping Service Function,引导服务功能)和HSS(Home Subscriber Server,归属签约用户服务器)。
其中,有卡终端通常可包括安全模块SeM和SIM卡。有卡终端的SeM用于向SIM卡请求IMS注册密钥,并根据该IMS注册密钥为无卡终端生成临时IMS注册密钥和TIMPI,并将临时IMS注册密钥和TIMPI发送给无卡终端。有卡终端的SIM卡可进行GBA(Generic Bootstrapping Architecture,通用引导架构)初始化,生成并存储共享密钥,并根据该共享密钥生成IMS注册密钥。
无卡终端包括安全模块SeM和IMS客户端,其中,无卡终端的SeM用于向有卡终端请求临时IMS注册密钥,接收并存储有卡终端返回的临时IMS注册密钥和TIMPI;无卡终端的IMS客户端用于向无卡终端的SeM发送IMS注册请求,接收来自无卡终端的SeM的临时IMS注册密钥和TIMPI,并使用该TIMPI向IMS网络侧发送注册请求。
P-CSCF为IMS网络的统一入口点,所有IMS终端发起的会话消息和终止于IMS终端的会话消息都要通过P-CSCF,P-CSCF作为一个SIP Proxy,负责与接入网络无关的用户鉴权与IPSec管理,以及网络防攻击与安全保护,为节约无线网络资源进行SIP信令压缩与解压、用户的漫游控制,并通过PDF(Policy Decision Function,策略决策功能)实现承载面的NAT(NetworkAddress Translation,网络地址转换)与QoS(Quality of Service,服务质量)等功能。
S-CSCF在IMS网络会话控制中处于核心地位,接收来自拜访网络通过P-CSCF转发来的注册请求,与HSS配合进行用户鉴权,并从HSS处下载用户签约的业务数据。S-CSCF对于用户主叫及被叫侧进行路由管理,根据用户签约的iFC(Initial Filter Criteria,初始过滤规则),进行SIP AS(ApplicationServer,应用服务器)触发,实现IMS业务功能。
HSS支持用于处理调用/会话的IMS网络实体的主要用户数据库,包含用户配置文件,执行用户的身份验证和授权,并可提供有关用户物理位置的信息。
如图2所示,为本发明实施例中的一种接入IMS网络的方法流程图,包括以下步骤:
步骤201,无卡终端向有卡终端发送临时密钥获取请求。
其中,临时密钥获取请求中携带有无卡终端的设备标识和需要接入IMS网络的指示。有卡终端根据所述无卡终端的设备标识和需要接入IMS网络的指示生成所述TIMPI和所述临时IMS注册密钥。
具体地,有卡终端根据自身与引导服务功能BSF之间的共享密钥、有卡终端的IMPI(IMS Private Identity,IMS私有用户标识)和需要接入IMS网络的指示生成IMS注册密钥;根据IMS注册密钥和无卡终端的设备标识生成临时IMS注册密钥和TIMPI。
其中,有卡终端通常包括安全模块和密钥生成模块,有卡终端为无卡终端生成TIMPI和临时IMS注册密钥的过程可以是:有卡终端的安全模块可以向有卡终端的密钥生成模块发送密钥获取请求,该密钥获取请求中携带有卡终端的IMPI和需要接入IMS网络的指示;有卡终端的密钥生成模块根据有卡终端与BSF之间的共享密钥、IMPI和需要接入IMS网络的指示生成IMS注册密钥,并将该IMS注册密钥返回给有卡终端的安全模块;有卡终端的安全模块根据IMS注册密钥和无卡终端的设备标识生成临时IMS注册密钥和TIMPI。上述有卡终端的密钥生成模块可以为SIM卡、USIM卡、ISIM卡,还可以为其他安全的硬件或软件模块。
上述有卡终端根据IMS注册密钥和无卡终端的设备标识生成临时IMS注册密钥和TIMPI,可具体包括:有卡终端为临时IMS注册密钥设置有效期,根据有效期、无卡终端的设备标识和IMS注册密钥生成临时IMS注册密钥,根据有效期、设备标识和B-TID(Bootstrapping transaction identifier,引导业务标识)生成TB-TID(Temporary Bootstrapping transaction identifier,临时引导业务标识),并根据TB-TID和IMPI生成TIMPI。
步骤202,无卡终端接收来自有卡终端的与临时密钥获取请求对应的临时密钥获取响应,使用临时密钥获取响应中携带的临时IMS注册密钥和临时IMS私有用户标识TIMPI进行IMS网络接入。
其中,临时IMS注册密钥和TIMPI由有卡终端根据临时密钥获取请求生成。无卡终端使用该TIMPI向IMS网络发起接入请求之后,网络侧根据临时IMS注册密钥和TIMPI对无卡终端进行鉴权,并根据鉴权结果决定是否允许所述无卡终端接入所述IMS网络。该过程中,无卡终端向IMS网络发起接入请求,其中携带所述TIMPI;无卡终端根据临时IMS注册密钥和网络侧生成并返回的参数生成鉴权数据,并将该鉴权数据发送给网络侧;无卡终端接收网络侧根据该无卡终端发送的鉴权数据与网络侧生成的鉴权数据所得出的鉴权结果,进行IMS网络接入,其中,网络侧根据所述TIMPI得到所述临时IMS注册密钥,并根据该临时IMS注册密钥和网络侧生成的参数生成鉴权数据。
网络侧使用TIMPI构造认证向量(其中可包括期望认证应答XRES、RAND和AUTN),并将其中的随机数RAND、认证令牌AUTN发送给无卡终端;无卡终端使用临时IMS注册密钥、RAND和AUTN生成认证应答RES,使用RES计算摘要Digest结果,并将Digest结果发送给网络侧;网络侧根据其生成的认证向量中的期望认证应答XRES检测无卡终端返回的Digest结果,从而对无卡终端进行鉴权。
具体地,基于图1所示的网络架构,如网络侧可以包括P-CSCF、S-CSCF和HGW等网元,网络侧的鉴权过程可以是:HGW根据TIMPI构造五元组认证向量,该五元组认证向量包括RAND(Random Number,随机数)、AUTN(Authenticator Token,认证令牌)、XRES(Expected Response,期望认证应答)、CK(Cipher Key,加密密钥)和IK(Integrity Key,完整性密钥);HGW通过P-CSCF和S-CSCF向无卡终端发送五元组认证向量中的RAND和AUTN;无卡终端根据临时IMS注册密钥、RAND和AUTN生成认证应答RES、CK和IK,并使用CK和IK与P-CSCF建立IPSec通道,使用RES计算摘要Digest结果,并将该Digest结果通过P-CSCF发送到S-CSCF;S-CSCF使用XRES检测Digest结果是否正确,如果Digest结果正确,则通过P-CSCF向无卡终端发送注册成功消息。
上述HGW根据所述TIMPI构造五元组认证向量AV,具体包括:所述HGW解析所述TIMPI,获取TB-TID和IMPI,并向BSF发送临时密钥获取请求,所述临时密钥获取请求中携带所述TB-TID和需要接入IMS网络的指示;在所述BSF根据所述TB-TID生成临时IMS注册密钥后,所述HGW接收所述BSF返回的所述临时IMS注册密钥;所述HGW根据所述临时IMS注册密钥和所述TIMPI构造五元组认证向量。
其中,BSF解析所述临时密钥获取请求中的所述TB-TID,获取B-TID、设备标识和有效期,并判断所述TB-TID是否有效,如果所述TB-TID有效,则根据所述B-TID生成IMS注册密钥,使用所述IMS注册密钥、所述设备标识和有效期计算临时IMS注册密钥,将所述临时IMS注册密钥返回所述HGW。上述需要接入IMS网络的指示包括IMS网络标识和/或预设的固定字符串。上述通过P-CSCF和S-CSCF向HGW发送携带所述TIMPI的用户注册请求之后,HGW根据所述TIMPI判断所述用户注册请求是否来自有卡终端,如果所述用户注册请求来自有卡终端,则将所述用户注册请求转发到HSS。
本发明实施例中,无卡终端向有卡终端请求TIMPI,并使用该TIMPI向IMS网络发起接入请求,增强了接入方式的安全性,可以应用于接入网络与IMS网络分属不同运营商的场景,能够满足多个设备使用同一IP地址注册IMS网络的需求。
以下结合上述应用场景对本发明实施例中的应用缓存服务器与数据库同步的方法进行详细、具体的描述。
如图3所示,为本发明实施例应用场景中的无卡终端向有卡终端获取临时IMS注册密钥的流程图,具体包括以下步骤:
步骤301,有卡终端的SIM卡进行GBA初始化,生成并存储共享密钥。
步骤302,无卡终端的IMS客户端向无卡终端的SeM发送IMS注册请求。
步骤303,无卡终端的SeM通过与有卡终端之间的共享数据,与有卡终端进行认证并建立安全连接。
步骤304,无卡终端的SeM向有卡终端的SeM发送临时密钥获取请求。
其中,临时密钥获取请求包含设备标识DeviceID位和NAFID(NetworkApplication Function Identifier,网络应用功能标识)位,NAFID可以作为需要接入IMS网络的指示,包括IMS网络标识或者预设的固定字符串。
有卡终端的SeM接收到来自无卡终端的SeM的临时密钥获取请求后,可以在用户界面上向用户提示无卡终端的密钥请求,等待用户选择是否同意并获取用户的输入参数,如果该输入参数表示用户不同意无卡终端的密钥请求,则有卡终端拒绝无卡终端的密钥请求;否则,执行后续的步骤。
步骤305,有卡终端的SeM向有卡终端的SIM卡发送密钥获取请求。
其中,密钥获取请求包含IMPI和NAFID位。
步骤306,有卡终端的SIM卡根据共享密钥、IMPI和需要接入IMS网络的指示生成IMS注册密钥。
具体地,IMS注册密钥的计算公式为:Ks_IMS=KDF(Ks,“GBA_ME”,IMPI,“IMS”),其中,Ks_IMS为IMS注册密钥,Ks为共享密钥,“IMS”为需要接入IMS网络的指示。
步骤307,有卡终端的SIM卡将IMS注册密钥返回给有卡终端的SeM。
步骤308,有卡终端的SeM根据IMS注册密钥生成临时IMS注册密钥和TIMPI。
具体地,有卡终端的SeM可以根据策略为无卡终端的临时IMS注册密钥设置有效期ExpireDate,并根据IMS注册密钥Ks_IMS、ExpireDate和无卡终端设备标识DeviceID生成无卡终端临时密钥TempK_IMS、TB-TID和TIMPI。其中,TempK_IMS=KDF(Ks_IMS,DeviceID,Expiredate),TB-TID=DeviceIDExpiredateB-TID,TIMPI=TB-TIDIMPI。
步骤309,有卡终端的SeM向无卡终端的SeM返回临时IMS注册密钥和TIMPI。
步骤310,无卡终端的SeM向无卡终端的IMS客户端返回TIMPI。
本发明实施例应用场景中的无卡终端向有卡终端获取临时IMS注册密钥和TIMPI后,可以使用TIMPI接入IMS网络,如图4所示,具体包括以下步骤:
步骤401,无卡终端的IMS客户端向P-CSCF发送携带TIMPI的用户注册请求。
步骤402,P-CSCF向S-CSCF发送携带TIMPI的用户注册请求。
步骤403,S-CSCF向HGW发送携带TIMPI的用户注册请求。
步骤404,HGW根据解析用户注册请求中的TIMPI判断用户注册请求是否来自有卡终端,如果该用户注册请求来自有卡终端,则执行步骤405;否则,执行步骤406。
步骤405,HGW将用户注册请求转发到HSS,并接收来自HSS的鉴权元组。
步骤406,HGW解析用户注册请求中的TIMPI,提取TB-TID和IMPI。
步骤407,HGW向BSF发送临时密钥获取请求。
其中,临时密钥获取请求中携带TB-TID和需要接入IMS网络的指示,该指示包括IMS网络标识或者预设的固定字符串。
步骤408,BSF根据临时密钥获取请求中的TB-TID计算临时IMS注册密钥。
具体地,BSF解析所述临时密钥获取请求中的TB-TID,获取B-TID、设备标识和有效期,并判断TB-TID是否有效,如果该TB-TID有效,则根据B-TID查询数据库,获取共享密钥Ks,并根据Ks生成IMS注册密钥Ks_IMS,使用该IMS注册密钥、设备标识和有效期计算临时IMS注册密钥TempK_IMS,其中,TempK_IMS=KDF(Ks_IMS,DeviceiD,Expiredate)。
步骤409,BSF将临时IMS注册密钥返回HGW。
步骤410,HGW根据临时IMS注册密钥和TIMPI构造五元组AV。
具体地,五元组AV=(RAND、AUTN、XRES、CK、IK),构造流程如图5所示,其中,f1-f5为密码算法。
步骤411,HGW将五元组AV返回给S-CSCF。
步骤412,S-CSCF将RAND、AUTN、CK、IK返回给P-CSCF。
步骤413,P-CSCF将RAND、AUTN返回给无卡终端的IMS客户端。
步骤414,无卡终端的IMS客户端将RAND、AUTN发送给无卡终端的SeM。
步骤415,无卡终端的SeM使用RAND和AUTN生成RES、CK和IK。
步骤416,无卡终端的SeM向无卡终端的IMS客户端返回RES、CK和IK。
步骤417,无卡终端的IMS客户端使用CK和IK与P-CSCF建立IPSec通道,并将根据RES计算得到的Digest结果发送给P-CSCF。
步骤418,P-CSCF将Digest结果发送给S-CSCF。
步骤419,S-CSCF使用XRES检查Digest结果是否正确,如果Digest结果正确,则执行步骤420;否则,执行步骤422。
步骤420,S-CSCF向P-CSCF发送200OK消息。
步骤421,P-CSCF向无卡终端的IMS客户端发送200OK消息,通知注册成功完成。
步骤422,S-CSCF通过P-CSCF向无卡终端的IMS客户端发送注册失败消息。
本发明实施例中,无卡终端向有卡终端请求TIMPI,使用该TIMPI向IMS网络发起接入请求,并与IMS网络侧之间实现相互认证并建立安全连接,可以防范IP地址欺骗等攻击形式且临时IMS注册密钥的长度不受用户记忆的限制,增强了接入方式的安全性,可以应用于接入网络与IMS网络分属不同运营商的场景,能够满足多个设备使用同一IP地址注册IMS网络的需求。
本发明实施例在上述实施方式中提供了接入IMS网络的方法和应用场景,相应地,本发明实施例还提供了应用上述接入IMS网络的方法的装置。
如图6所示,为本发明实施例中的一种无卡终端结构示意图,包括:
收发模块610,用于向有卡终端发送临时密钥获取请求,接收来自有卡终端的与临时密钥获取请求对应的临时密钥获取响应。
接入模块620,用于使用收发模块610接收到的临时密钥获取响应中携带的临时IMS注册密钥和TIMPI进行IMS网络接入,所述临时IMS注册密钥和所述TIMPI由所述有卡终端根据所述临时密钥获取请求生成。
其中,无卡终端中配置有与网络侧相同的鉴权方式;上述接入模块620,具体用于向网络侧发送携带所述TIMPI的用户注册请求,接收所述网络侧返回的RAND和AUTN,根据与网络侧相同的鉴权方式,使用所述临时IMS注册密钥、所述RAND和AUTN生成认证应答RES,使用所述RES计算摘要Digest结果,并将所述Digest结果发送给网络侧,接收所述网络侧返回的注册结果。
上述接入模块620,具体用于通过P-CSCF和S-CSCF向HGW发送携带TIMPI的用户注册请求,使HGW根据TIMPI构造五元组认证向量,该五元组认证向量包括RAND、AUTN、XRES、CK和IK;通过P-CSCF和S-CSCF接收来自HGW的五元组认证向量中的RAND和AUTN,根据临时IMS注册密钥、RAND和AUTN生成RES、CK和IK,并使用所述CK和IK与所述P-CSCF建立IPSec通道,使用RES计算Digest结果,并将Digest结果通过P-CSCF发送到S-CSCF,使S-CSCF使用XRES检测Digest结果是否正确;在S-CSCF检测到Digest结果正确时,通过P-CSCF接收来自S-CSCF的注册成功消息。
本发明实施例中,无卡终端向有卡终端请求TIMPI,并使用该TIMPI向IMS网络发起接入请求,增强了接入方式的安全性,可以应用于接入网络与IMS网络分属不同运营商的场景,能够满足多个设备使用同一IP地址注册IMS网络的需求。
本发明实施例还提供了一种有卡终端,如图7所示,包括:
接收模块710,用于接收来自无卡终端的临时密钥获取请求。
生成模块720,用于根据接收模块710接收到的临时密钥获取请求生成临时IMS注册密钥和TIMPI。
其中,临时密钥获取请求携带无卡终端的设备标识和需要接入IMS网络的指示,
上述生成模块720,具体用于根据临时密钥获取请求中携带的无卡终端的设备标识和需要接入IMS网络的指示生成TIMPI和临时IMS注册密钥。
上述生成模块720,包括安全子模块721和密钥生成子模块722。
其中,安全子模块721,用于向密钥生成子模块722发送密钥获取请求,该密钥获取请求携带有卡终端的IMPI和需要接入IMS网络的指示;接收来自密钥生成子模块722的IMS注册密钥,根据IMS注册密钥和无卡终端的设备标识生成临时IMS注册密钥和TIMPI。
上述安全子模块721,具体用于为临时IMS注册密钥设置有效期,根据有效期、无卡终端的设备标识和IMS注册密钥生成临时IMS注册密钥,根据有效期、无卡终端的设备标识和B-TID生成TB-TID,并根据TB-TID和有卡终端的IMPI生成TIMPI。
密钥生成子模块722,用于根据有卡终端与BSF之间的共享密钥、所述IMPI和所述需要接入IMS网络的指示生成IMS注册密钥,并将IMS注册密钥返回给所述安全子模块721。
发送模块730,用于向无卡终端发送临时密钥获取响应,该临时密钥获取响应中携带生成模块720生成的临时IMS注册密钥和TIMPI。
本发明实施例中,有卡终端为无卡终端提供TIMPI,可以为多个设备提供有效的用户身份标识,降低了设备的成本,节省了SIM卡资源。
如图8所示,为本发明实施例中的一种接入IMS网络的系统结构示意图,包括有卡终端810和无卡终端820,其中,
有卡终端810,用于接收来自无卡终端820的临时密钥获取请求,根据所述临时密钥获取请求生成临时IMS注册密钥和TIMPI,并向无卡终端820发送临时密钥获取响应,该临时密钥获取响应中携带临时IMS注册密钥和TIMPI。
其中,临时密钥获取请求中携带有所述无卡终端的设备标识和需要接入IMS网络的指示;上述有卡终端810,用于根据所述无卡终端的设备标识和需要接入IMS网络的指示生成所述TIMPI和所述临时IMS注册密钥。
无卡终端820,用于向有卡终端810发送临时密钥获取请求,接收来自有卡终端810的与临时密钥获取请求对应的临时密钥获取响应,使用所述临时密钥获取响应中携带的临时IMS注册密钥和TIMPI进行IMS网络接入。
具体地,上述无卡终端820,用于向IMS网络发起携带所述TIMPI的接入请求,根据所述临时IMS注册密钥和网络侧生成并返回的参数生成鉴权数据,并将该鉴权数据发送给网络侧;接收网络侧根据该无卡终端发送的鉴权数据与网络侧生成的鉴权数据所得出的鉴权结果,进行IMS网络接入,其中,网络侧根据所述TIMPI得到所述临时IMS注册密钥,并根据该临时IMS注册密钥和网络侧生成的参数生成鉴权数据。
本发明实施例中,无卡终端向有卡终端请求TIMPI,并使用该TIMPI向IMS网络发起接入请求,增强了接入方式的安全性,可以应用于接入网络与IMS网络分属不同运营商的场景,能够满足多个设备使用同一IP地址注册IMS网络的需求。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明实施例原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以集成于一体,也可以分离部署;可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (11)
1.一种接入互联网协议多媒体子系统IMS网络的方法,其特征在于,包括:
无卡终端向有卡终端发送临时密钥获取请求;
所述无卡终端接收来自所述有卡终端的与所述临时密钥获取请求对应的临时密钥获取响应,使用所述临时密钥获取响应中携带的临时IMS注册密钥和临时IMS私有用户标识TIMPI进行IMS网络接入,所述临时IMS注册密钥和所述TIMPI由所述有卡终端根据所述临时密钥获取请求生成;
其中,所述临时密钥获取请求中携带有所述无卡终端的设备标识和需要接入IMS网络的指示;
所述有卡终端根据所述无卡终端的设备标识和需要接入IMS网络的指示生成所述TIMPI和所述临时IMS注册密钥;
其中,所述有卡终端根据所述无卡终端的设备标识和需要接入IMS网络的指示生成所述TIMPI和所述临时IMS注册密钥,具体包括:
所述有卡终端根据自身与引导服务功能BSF之间的共享密钥、所述有卡终端的IMS私有用户标识IMPI和所述需要接入IMS网络的指示生成IMS注册密钥;
所述有卡终端根据所述IMS注册密钥和所述无卡终端的设备标识生成所述临时IMS注册密钥和TIMPI;
所述有卡终端为所述临时IMS注册密钥设置有效期,根据所述有效期、所述无卡终端的设备标识和所述IMS注册密钥生成所述临时IMS注册密钥,根据所述有效期、所述无卡终端的设备标识和引导业务标识B-TID生成临时引导业务标识TB-TID,并根据所述TB-TID和所述有卡终端的IMPI生成所述TIMPI。
2.如权利要求1所述的方法,其特征在于,所述无卡终端使用所述临时IMS注册密钥和TIMPI进行IMS网络接入,包括:
所述无卡终端向IMS网络发起接入请求,其中携带所述TIMPI;
所述无卡终端根据所述临时IMS注册密钥和网络侧生成并返回的参数生成鉴权数据,并将该鉴权数据发送给网络侧;
所述无卡终端接收网络侧根据该无卡终端发送的鉴权数据与网络侧生成 的鉴权数据所得出的鉴权结果,进行IMS网络接入,其中,网络侧根据所述TIMPI得到所述临时IMS注册密钥,并根据该临时IMS注册密钥和网络侧生成的参数生成鉴权数据。
3.如权利要求1所述的方法,其特征在于,所述无卡终端使用所述临时IMS注册密钥和TIMPI进行IMS网络接入,具体包括:
所述网络侧使用所述TIMPI构造认证向量,并将其中的随机数RAND、认证令牌AUTN发送给所述无卡终端;
所述无卡终端根据与网络侧相同的鉴权方式,使用所述临时IMS注册密钥、所述RAND和AUTN生成认证应答RES,使用所述RES计算摘要Digest结果,并将所述Digest结果发送给网络侧;
所述网络侧根据其生成的所述认证向量中的期望认证应答XRES检测所述无卡终端返回的Digest结果,对所述无卡终端进行鉴权。
4.如权利要求1所述的方法,其特征在于,所述无卡终端使用所述临时IMS注册密钥和TIMPI进行IMS网络接入,具体包括:
归属网关HGW根据所述TIMPI构造五元组认证向量,所述五元组认证向量包括随机数RAND、认证令牌AUTN、期望认证应答XRES、加密密钥CK和完整性密钥IK;
所述HGW通过代理呼叫会话控制功能P-CSCF和服务呼叫会话控制功能S-CSCF向所述无卡终端发送所述五元组认证向量中的RAND和AUTN;
所述无卡终端根据所述临时IMS注册密钥、所述RAND和AUTN生成认证应答RES、CK和IK,并使用所述CK和IK与所述P-CSCF建立互联网协议安全性IPSec通道,使用所述RES计算摘要Digest结果,并将所述Digest结果通过所述P-CSCF发送到所述S-CSCF;
所述S-CSCF使用所述XRES检测所述Digest结果是否正确,如果所述Digest结果正确,则通过所述P-CSCF向所述无卡终端发送注册成功消息。
5.如权利要求4所述的方法,其特征在于,所述HGW根据所述TIMPI构造五元组认证向量,具体包括:
所述HGW解析所述TIMPI,获取TB-TID和IMPI,并向引导服务功能 BSF发送临时密钥获取请求,所述临时密钥获取请求中携带所述TB-TID和需要接入IMS网络的指示;
在所述BSF根据所述TB-TID生成临时IMS注册密钥后,所述HGW接收所述BSF返回的所述临时IMS注册密钥;
所述HGW根据所述临时IMS注册密钥和所述TIMPI构造五元组认证向量。
6.一种无卡终端,其特征在于,包括:
收发模块,用于向有卡终端发送临时密钥获取请求,接收来自所述有卡终端的与所述临时密钥获取请求对应的临时密钥获取响应;
接入模块,用于使用所述收发模块接收到的临时密钥获取响应中携带的临时IMS注册密钥和TIMPI进行IMS网络接入,所述临时IMS注册密钥和所述TIMPI由所述有卡终端根据所述临时密钥获取请求生成;
其中,所述临时密钥获取请求中携带有所述无卡终端的设备标识和需要接入IMS网络的指示;
所述临时IMS注册密钥和所述TIMPI由所述有卡终端根据所述无卡终端的设备标识和需要接入IMS网络的指示生成;
其中,所述临时IMS注册密钥和所述TIMPI由所述有卡终端根据所述无卡终端的设备标识和需要接入IMS网络的指示生成,具体包括:
所述有卡终端根据自身与引导服务功能BSF之间的共享密钥、所述有卡终端的IMS私有用户标识IMPI和所述需要接入IMS网络的指示生成IMS注册密钥;
所述有卡终端根据所述IMS注册密钥和所述无卡终端的设备标识生成所述临时IMS注册密钥和TIMPI;
所述有卡终端为所述临时IMS注册密钥设置有效期,根据所述有效期、所述无卡终端的设备标识和所述IMS注册密钥生成所述临时IMS注册密钥,根据所述有效期、所述无卡终端的设备标识和引导业务标识B-TID生成临时引导业务标识TB-TID,并根据所述TB-TID和所述有卡终端的IMPI生成所述TIMPI。
7.如权利要求6所述的无卡终端,其特征在于,所述无卡终端中配置有与网络侧相同的鉴权方式;
所述接入模块,具体用于向网络侧发送携带所述TIMPI的用户注册请求,接收所述网络侧返回的RAND和AUTN,根据与网络侧相同的鉴权方式,使用所述临时IMS注册密钥、所述RAND和AUTN生成认证应答RES,使用所述RES计算摘要Digest结果,并将所述Digest结果发送给网络侧,接收所述网络侧返回的注册结果。
8.如权利要求6所述的无卡终端,其特征在于,
所述接入模块,具体用于通过P-CSCF和S-CSCF向HGW发送携带所述TIMPI的用户注册请求,使所述HGW根据所述TIMPI构造五元组认证向量,所述五元组认证向量包括RAND、AUTN、XRES、CK和IK;
通过所述P-CSCF和所述S-CSCF接收来自所述HGW的所述五元组认证向量中的RAND和AUTN,根据所述临时IMS注册密钥、所述RAND和AUTN生成RES、CK和IK,并使用所述CK和IK与所述P-CSCF建立IPSec通道,使用所述RES计算Digest结果,并将所述Digest结果通过所述P-CSCF发送到所述S-CSCF,使所述S-CSCF使用所述XRES检测所述Digest结果是否正确;
在所述S-CSCF检测到所述Digest结果正确时,通过所述P-CSCF接收来自所述S-CSCF的注册成功消息。
9.一种有卡终端,其特征在于,包括:
接收模块,用于接收来自无卡终端的临时密钥获取请求;
生成模块,用于根据所述接收模块接收到的临时密钥获取请求生成临时IMS注册密钥和TIMPI;
发送模块,用于向所述无卡终端发送临时密钥获取响应,所述临时密钥获取响应中携带所述生成模块生成的临时IMS注册密钥和TIMPI;
其中,所述临时密钥获取请求携带所述无卡终端的设备标识和需要接入IMS网络的指示,
所述生成模块,具体用于根据所述临时密钥获取请求中携带的所述无卡终端的设备标识和所述需要接入IMS网络的指示生成所述TIMPI和所述临时IMS注册密钥;
其中,所述生成模块,包括安全子模块和密钥生成子模块,
所述安全子模块,用于向所述密钥生成子模块发送密钥获取请求,所述密钥获取请求携带所述有卡终端的IMPI和需要接入IMS网络的指示;接收来自所述密钥生成子模块的IMS注册密钥,根据所述IMS注册密钥和所述无卡终端的设备标识生成所述临时IMS注册密钥和TIMPI;
所述密钥生成子模块,用于根据所述有卡终端与BSF之间的共享密钥、所述IMPI和所述需要接入IMS网络的指示生成IMS注册密钥,并将所述IMS注册密钥返回给所述安全子模块;
其中,所述安全子模块,具体用于为所述临时IMS注册密钥设置有效期,根据所述有效期、所述无卡终端的设备标识和所述IMS注册密钥生成所述临时IMS注册密钥,根据所述有效期、所述无卡终端的设备标识和B-TID生成TB-TID,并根据所述TB-TID和所述有卡终端的IMPI生成所述TIMPI。
10.一种接入IMS网络的系统,其特征在于,包括有卡终端和无卡终端,
所述有卡终端,用于接收来自所述无卡终端的临时密钥获取请求,根据所述临时密钥获取请求生成临时IMS注册密钥和TIMPI,并向所述无卡终端发送临时密钥获取响应,所述临时密钥获取响应中携带所述临时IMS注册密钥和TIMPI;
所述无卡终端,用于向所述有卡终端发送临时密钥获取请求,接收来自所述有卡终端的与所述临时密钥获取请求对应的临时密钥获取响应,使用所述临时密钥获取响应中携带的临时IMS注册密钥和TIMPI进行IMS网络接入;
其中,所述临时密钥获取请求中携带有所述无卡终端的设备标识和需要接入IMS网络的指示;
所述有卡终端,用于根据所述无卡终端的设备标识和需要接入IMS网络的 指示生成所述TIMPI和所述临时IMS注册密钥;
其中,所述有卡终端具体用于,
所述有卡终端根据自身与引导服务功能BSF之间的共享密钥、所述有卡终端的IMS私有用户标识IMPI和所述需要接入IMS网络的指示生成IMS注册密钥;
所述有卡终端根据所述IMS注册密钥和所述无卡终端的设备标识生成所述临时IMS注册密钥和TIMPI;
所述有卡终端为所述临时IMS注册密钥设置有效期,根据所述有效期、所述无卡终端的设备标识和所述IMS注册密钥生成所述临时IMS注册密钥,根据所述有效期、所述无卡终端的设备标识和引导业务标识B-TID生成临时引导业务标识TB-TID,并根据所述TB-TID和所述有卡终端的IMPI生成所述TIMPI。
11.如权利要求10所述的系统,其特征在于,
所述无卡终端,用于向IMS网络发起接入请求,其中携带所述TIMPI;根据所述临时IMS注册密钥和网络侧生成并返回的参数生成鉴权数据,并将该鉴权数据发送给网络侧;接收网络侧根据该无卡终端发送的鉴权数据与网络侧生成的鉴权数据所得出的鉴权结果,进行IMS网络接入,其中,网络侧根据所述TIMPI得到所述临时IMS注册密钥,并根据该临时IMS注册密钥和网络侧生成的参数生成鉴权数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010129799.6A CN102196426B (zh) | 2010-03-19 | 2010-03-19 | 一种接入ims网络的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010129799.6A CN102196426B (zh) | 2010-03-19 | 2010-03-19 | 一种接入ims网络的方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102196426A CN102196426A (zh) | 2011-09-21 |
| CN102196426B true CN102196426B (zh) | 2014-11-05 |
Family
ID=44603666
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010129799.6A Expired - Fee Related CN102196426B (zh) | 2010-03-19 | 2010-03-19 | 一种接入ims网络的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102196426B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103024735B (zh) * | 2011-09-26 | 2015-07-01 | 中国移动通信集团公司 | 无卡终端的业务访问方法及设备 |
| CN102521777B (zh) * | 2011-11-23 | 2015-08-05 | 北京握奇数据系统有限公司 | 一种实现远程信贷的方法及系统 |
| CN103188229B (zh) * | 2011-12-30 | 2017-09-12 | 上海贝尔股份有限公司 | 用于安全内容访问的方法和设备 |
| CN104348801B (zh) * | 2013-07-31 | 2018-05-04 | 华为技术有限公司 | 认证方法、生成信任状的方法及相关装置 |
| CN104079994B (zh) * | 2014-07-07 | 2017-05-24 | 四川金网通电子科技有限公司 | 基于机顶盒无卡ca的授权系统及方法 |
| CN107924434A (zh) * | 2015-08-19 | 2018-04-17 | 沈爰仪 | 用仅一个对话、按需登录凭证来验证用户访问安全网络的系统和方法 |
| CN106487745B (zh) * | 2015-08-25 | 2020-10-16 | 中国移动通信集团重庆有限公司 | 通过外部设备完成注册、通话及切换的方法、装置和终端 |
| CN110139265B (zh) * | 2018-02-09 | 2022-04-26 | 成都鼎桥通信技术有限公司 | 双系统终端双sim卡数据业务的管理方法 |
| CN108696538B (zh) | 2018-07-10 | 2020-12-22 | 安康鸿天科技开发有限公司 | 一种基于密钥文件的ims系统的安全通信方法 |
| CN109041205A (zh) * | 2018-08-23 | 2018-12-18 | 刘高峰 | 客户端注册方法、装置及系统 |
| CN111050324B (zh) * | 2019-12-30 | 2023-04-14 | 江苏全链通信息科技有限公司 | 5g终端设备接入方法、设备及存储介质 |
| CN111093196B (zh) * | 2019-12-30 | 2022-04-08 | 全链通有限公司 | 5g用户终端接入5g网络的方法、用户终端设备及介质 |
| CN113489853B (zh) * | 2021-07-19 | 2023-12-26 | 北京小米移动软件有限公司 | 语音通话方法及装置、终端及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005359A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 一种实现终端设备间安全通信的方法及装置 |
| CN101437226A (zh) * | 2007-09-04 | 2009-05-20 | 财团法人工业技术研究院 | 提供安全通信之方法、提供安全通信之系统、中继站、以及基站 |
| CN101563943A (zh) * | 2006-10-03 | 2009-10-21 | 施克莱无线公司 | 用于在多个装置之间共享蜂窝式帐户签约的方法和设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8543814B2 (en) * | 2005-01-12 | 2013-09-24 | Rpx Corporation | Method and apparatus for using generic authentication architecture procedures in personal computers |
-
2010
- 2010-03-19 CN CN201010129799.6A patent/CN102196426B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005359A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 一种实现终端设备间安全通信的方法及装置 |
| CN101563943A (zh) * | 2006-10-03 | 2009-10-21 | 施克莱无线公司 | 用于在多个装置之间共享蜂窝式帐户签约的方法和设备 |
| CN101437226A (zh) * | 2007-09-04 | 2009-05-20 | 财团法人工业技术研究院 | 提供安全通信之方法、提供安全通信之系统、中继站、以及基站 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102196426A (zh) | 2011-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102196426B (zh) | 一种接入ims网络的方法、装置和系统 | |
| US10411884B2 (en) | Secure bootstrapping architecture method based on password-based digest authentication | |
| KR101461455B1 (ko) | 인증 방법, 시스템 및 장치 | |
| US8613058B2 (en) | Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network | |
| US9641324B2 (en) | Method and device for authenticating request message | |
| CN111147231B (zh) | 一种密钥协商的方法、相关装置及系统 | |
| US20110191842A1 (en) | Authentication in a Communication Network | |
| WO2016078419A1 (zh) | 一种开放授权方法、装置及开放平台 | |
| CN101252770A (zh) | Ims的终端接入认证的方法、通信系统及相关设备 | |
| CN109962878B (zh) | 一种ims用户的注册方法及装置 | |
| CN1777102B (zh) | 软件终端接入ip多媒体子系统的装置及方法 | |
| CN102065421B (zh) | 一种更新密钥的方法、装置和系统 | |
| CN102065069B (zh) | 一种身份认证方法、装置和系统 | |
| CN102694779B (zh) | 组合认证系统及认证方法 | |
| WO2011147258A1 (zh) | 一种实现卡鉴权的方法、系统及用户设备 | |
| US9686280B2 (en) | User consent for generic bootstrapping architecture | |
| CN109120408A (zh) | 用于认证用户身份的方法、装置和系统 | |
| JP4980813B2 (ja) | 認証処理装置、認証処理方法及び認証処理システム | |
| Sun et al. | Efficient authentication and key agreement procedure in IP multimedia subsystem for UMTS | |
| CN106487741B (zh) | 基于ims网络的认证方法、认证终端及认证系统 | |
| CN112953718A (zh) | Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 | |
| Jadoon | Evaluation of UICC-based IMS authentication schemes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20141105 |