CN102594782B - Ip多媒体子系统鉴权方法、系统及服务器 - Google Patents
Ip多媒体子系统鉴权方法、系统及服务器 Download PDFInfo
- Publication number
- CN102594782B CN102594782B CN201110008243.6A CN201110008243A CN102594782B CN 102594782 B CN102594782 B CN 102594782B CN 201110008243 A CN201110008243 A CN 201110008243A CN 102594782 B CN102594782 B CN 102594782B
- Authority
- CN
- China
- Prior art keywords
- password
- ims user
- data service
- ims
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了IP多媒体子系统鉴权方法、系统及服务器。方法包括:在IMS网络中设置动态口令代理服务器,在动态口令代理服务器上配置动态口令生成算法;IMS核心网设备发现IMS用户注册成功,向动态口令代理服务器发送携带IMS用户标识的注册事件消息;动态口令代理服务器采用所述动态口令生成算法为IMS用户的每项数据业务服务生成一个口令,将每项数据业务服务的口令发送给IMS用户终端;IMS用户终端发起针对一项数据业务的访问请求,数据业务服务器接收该请求,向动态口令代理服务器查询IMS用户的该数据业务服务的口令,使用该口令对该IMS用户进行鉴权。本发明在扩展数据业务服务种类时,无需新增用户鉴权数据。
Description
技术领域
本发明涉及鉴权技术领域,具体涉及IP多媒体子系统(IMS,IPMultimediaSubsystem)鉴权方法、系统及服务器。
背景技术
运营商在IMS网络提供的服务中,不仅仅包含基于会话发起协议(SIP,SessionInitiationProtocol)的语音、视频等多媒体会话类型的业务,还包括基于超文本传输协议(HTTP,HyperTextTransferProtocol)的数据业务服务。表1给出了几种典型的基于HTTP的数据业务服务。
表1几种典型的基于HTTP的数据业务服务
基于HTTP的数据业务服务有如下的共同特性:
一、基于客户端服务器模式,由HTTP作为承载协议。
二、IMS用户通过终端软件系统,经由域名系统(DNS,DomainNameSystem)系统提供路由参数,直接访问这些服务,不必经过IMS核心网。
这些数据业务可以是由运营商提供,比如好友管理;也有可能由第三方机构提供,比如企业通信录。无论属于哪种情况,当IMS用户通过终端系统试图使用这些数据业务服务时,服务器必须能够对用户身份进行鉴别和确认。
通常,对用户身份的鉴别和确认有以下两种模式:
一、数据业务服务器与核心网设备使用相同的用户鉴权数据。
在这种模式下,一般的做法是数据业务服务器与IMS核心网设备都使用因特网工程任务组(IETF,IntemetEngineeringTaskForce)RFC2617、IETFRFC3261中的消息摘要5(MD5,MessageDigest5)算法来进行用户鉴权。
在这种模式下,数据业务服务器使用与核心网设备相同的用户鉴权数据(包含用户名和口令)对用户进行鉴权,要求数据业务服务器必须有能力获取到用户的鉴权数据。为了实现这种能力,需要运营商实现并维护数据业务与运营支撑系统(BOSS)甚至是归属用户服务器(HSS,HomeSubscriberServer)之间的接口。因此,这种模式仅适用于运营商自主提供的数据业务服务。
二、数据业务服务器与核心网设备使用不同的用户鉴权数据。
在这种模式下,数据业务服务器独立完成对用户的鉴权。数据业务服务器单独维护用户鉴权数据。数据业务服务器对用户的鉴权与核心网设备对用户的鉴权相互独立。
这种模式是最常用的模式。这种模式对运营商的IMS网络没有额外的改造要求,也符合数据业务服务器通常的做法。但是用户和运营商需要共同维护登录数据业务服务器的用户鉴权数据如:用户名和口令。并且随着数据业务服务种类不断增加,需要为同一个用户建立多个用户名和口令以支持新的数据业务服务。
对于数据业务服务器与核心网设备使用相同的用户鉴权数据的用户鉴权模式。由于用户鉴权数据需要在核心网设备与数据业务服务器之间共享,不利于第三方数据业务服务的发展,无法支持第三方提供的定制化数据业务部署。
对于数据业务服务器与核心网设备使用不同的用户鉴权数据的用户鉴权模式。由于用户相对于每一项数据业务服务的鉴权数据彼此独立,导致在增加新的数据业务服务种类时,需要为用户建立并维护新的鉴权数据。
另外,对于以上两种模式,还存在一个共同的问题:对于每一项数据业务服务都使用固定的用户口令对用户实施鉴权,增加了用户口令被破译的风险,降低了用户口令的安全性。
发明内容
本发明提供IMS鉴权方法、系统及服务器,以实现在扩展数据业务服务种类时,无需新增用户鉴权数据。
本发明的技术方案是这样实现的:
一种IP多媒体子系统IMS鉴权方法,在IMS网络中设置一个动态口令代理服务器,在该动态口令代理服务器上配置动态口令生成算法,该方法包括:
IMS核心网设备发现一个IMS用户注册成功,向动态口令代理服务器发送携带该IMS用户标识的注册事件消息;动态口令代理服务器接收该消息,采用所述动态口令生成算法为该IMS用户的每项数据业务服务生成一个口令,将每项数据业务服务的口令通过IMS核心网设备发送给IMS用户终端;
IMS用户终端发起针对一项数据业务的访问请求,数据业务服务器接收该请求,向动态口令代理服务器查询该IMS用户的该项数据业务服务的口令,使用查询到的口令对该IMS用户进行鉴权。
所述动态口令代理服务器采用所述动态口令生成算法为该IMS用户的每项数据业务服务生成一个口令进一步包括:
动态口令代理服务器为每个口令设置一个有效期,且每个口令的有效期都长于所述IMS用户的重注册周期。
所述动态口令代理服务器接收该消息之后、采用所述动态口令生成算法为该IMS用户的每项数据业务服务生成一个口令之前进一步包括:
动态口令代理服务器判断自身是否保存有该IMS用户的各项数据业务服务的口令,若保存有,判断该各项数据业务服务的口令是否仍然有效,若有效,则将该各项数据业务服务的口令直接通过IMS核心网设备返回给IMS用户终端;否则,执行所述采用所述动态口令生成算法为该IMS用户的每项数据业务服务生成一个口令的动作。
所述数据业务服务器接收该请求之后、向动态口令代理服务器查询该IMS用户的该项数据业务服务的口令之前进一步包括:
数据业务服务器判断自身是否保存有该IMS用户的口令,若保存有,判断该口令是否仍然有效,若有效,则直接采用该口令对IMS用户进行鉴权;否则,执行所述向动态口令代理服务器查询该IMS用户的该项数据业务服务的口令的动作。
所述数据业务服务器向动态口令代理服务器查询该项数据业务服务的口令之后进一步包括:
动态口令服务器判断自身是否保存有该IMS用户的该项数据业务服务的口令,若保存,则将该口令返回给数据业务服务器;否则,向数据业务服务器返回查询失败响应,数据业务服务器接收该响应,拒绝该IMS用户的访问请求。
所述动态口令服务器将该口令返回给数据业务服务器的同时进一步包括:
动态口令代理服务器将该数据业务服务器的地址添加到该口令的访问数据业务服务器列表中;
且,当IMS核心网设备发现所述IMS用户注销后,向动态口令代理服务器发送携带该IMS用户标识的注销事件消息,动态口令代理服务器接收该消息,将该IMS用户的所有口令的有效期都清零,同时根据各口令的访问数据业务服务器列表,向每个口令的每个访问数据业务服务器发送携带该IMS用户标识的口令注销消息。
所述方法进一步包括:
在进行业务部署时,动态口令代理服务器与数据业务服务器之间采用数据证书进行双向验证,验证通过,动态口令服务器与数据业务服务器建立加密数据通道。
所述动态口令代理服务器与所述IMS用户终端、所述IMS核心网设备之间的接口为会话发起协议SIP接口,所述动态口令代理服务器与所述数据业务服务器之间的接口为超文本传输协议HTTP接口。
一种IMS鉴权系统,该系统包括:
动态口令代理服务器:接收IMS核心网设备发来的携带IMS用户标识的注册事件消息,采用配置的动态口令生成算法为所述IMS用户的每项数据业务服务生成一个口令,将每项数据业务服务的口令通过IMS核心网设备发送给IMS用户终端;
数据业务服务器:接收IMS用户终端发来的数据业务访问请求,向动态口令代理服务器查询该IMS用户的该项数据业务服务的口令,使用查询到的口令对该IMS用户进行鉴权。
所述系统进一步包括:IMS核心网设备,用于在发现一个IMS用户注册成功后,向动态口令代理服务器发送携带该IMS用户标识的注册事件消息。
所述动态口令代理服务器与所述IMS用户终端、所述IMS核心网设备之间的接口为SIP接口。
所述数据业务服务器进一步用于:
在进行业务部署时,与动态口令代理服务器采用数据证书进行双向验证,验证通过,与动态口令服务器建立加密数据通道。
所述动态口令代理服务器与数据业务服务器之间的接口为HTTP接口。
一种动态口令代理服务器,包括:
第一单元:接收IMS核心网设备发来的携带IMS用户标识的注册事件消息,采用配置的动态口令生成算法为所述IMS用户的每项数据业务服务生成一个口令,将每项数据业务服务的口令通过IMS核心网设备发送给IMS用户终端;
第二单元:接收数据业务服务器发来的携带IMS用户标识和数据业务服务标识的口令查询请求,查询第一单元为该IMS用户的该项数据业务服务生成的口令,将该口令返回给数据业务服务器。
所述第一单元进一步用于,当接收到所述注册事件消息后,判断本服务器是否保存有该IMS用户的各项数据业务服务的口令,若保存有,判断该各项数据业务服务的口令是否仍然有效,若有效,则将该各项数据业务服务的口令直接通过IMS核心网设备返回给IMS用户终端;否则,执行所述采用配置的动态口令生成算法为所述IMS用户的每项数据业务服务生成一个口令的动作。
所述第二单元进一步用于,当接收到所述口令查询请求后,判断本服务器是否保存有该IMS用户的该项数据业务服务的口令,若保存,则将该口令返回给数据业务服务器;否则,向数据业务服务器返回查询失败响应。
所述第二单元进一步用于,在将口令返回给数据业务服务器的同时,将该数据业务服务器的地址添加到该口令的访问数据业务服务器列表中;
且,所述动态口令代理服务器进一步包括:第三单元,用于当接收到IMS核心网设备发来的携带IMS用户标识的注销事件消息时,将该IMS用户的所有口令的有效期都清零,同时根据各口令的访问数据业务服务器列表,向每个口令的每个访问数据业务服务器发送携带该IMS用户标识的口令注销消息。
一种数据业务服务器,包括:
第一单元:接收IMS用户终端发来的数据业务访问请求,向动态口令代理服务器查询该IMS用户的该项数据业务服务的口令,使用查询到的口令对该IMS用户进行鉴权。
所述第一单元进一步用于,当接收到所述数据业务访问请求之后,判断本服务器是否保存有该IMS用户的口令,若保存有,判断该口令是否仍然有效,若有效,则直接采用该口令对IMS用户进行鉴权;否则,执行所述向动态口令代理服务器查询该IMS用户的该项数据业务服务的口令的动作。
所述数据业务服务器进一步包括:第二单元,用于当接收到动态口令代理服务器发来的携带IMS用户标识的口令注销消息时,将本服务器保存的该IMS用户标识对应的口令的有效期清零。
与现有技术相比,本发明中,口令是由动态口令代理服务器动态生成的,因此,在扩展新的数据业务服务时,无需在数据业务服务器上为IMS用户新建鉴权数据;另外,由专门的动态口令代理服务器来分配口令,这样方便了第三方数据业务服务的发展,可以支持第三方提供的定制化数据业务部署;且由于口令是动态生成的,提高了数据业务服务的安全性。
附图说明
图1为本发明实施例提供的IMS鉴权方法流程图;
图2为本发明实施例提供的动态口令代理服务器为IMS用户分配口令的方法流程图;
图3为本发明实施例提供的数据业务服务器对IMS用户进行鉴权的方法流程图;
图4为本发明实施例提供的IMS用户的注销方法流程图;
图5为本发明实施例提供的IMS鉴权系统的组成图;
图6为本发明实施例提供的动态口令代理服务器的组成图;
图7为本发明实施例提供的数据业务服务器的组成图。
具体实施方式
本发明中,在IMS网络中设置一个动态口令代理服务器,用于为IMS用户分配每项数据业务服务的口令。
图1为本发明实施例提供的IMS鉴权方法流程图,如图1所示,其具体步骤如下:
步骤101:IMS核心网设备发现一个IMS用户注册成功,向动态口令代理服务器发送携带该IMS用户标识的第三方注册事件消息。
步骤102:动态口令代理服务器接收该第三方注册事件消息,为该IMS用户的每项数据业务服务分配一个口令,并将每项数据业务服务的口令通过IMS核心网设备返回给IMS用户终端。
步骤103:数据业务服务器接收IMS用户终端发来的数据业务访问请求,向动态口令代理服务器查询该IMS用户的该项数据业务服务的口令,使用查询到的口令对该IMS用户进行鉴权。
动态口令代理服务器与IMS用户终端、IMS核心网设备之间的接口都为SIP接口,动态口令代理服务器与数据业务服务器之间的接口为HTTP接口。
以下分别对动态口令代理服务器为IMS用户分配口令、数据业务服务器对IMS用户进行鉴权、IMS用户注销流程进行详细说明。
图2为本发明实施例提供的动态口令代理服务器为IMS用户分配口令的方法流程图,如图2所示,其具体步骤如下:
步骤201:在IMS网络中设置一个动态口令代理服务器,在动态口令代理服务器上配置动态口令生成算法。
动态口令代理服务器是一个逻辑设备。
动态口令生成算法只要能保证每次生成的口令都不完全相同即可,例如:可以采用随机数生成算法。
步骤202:IMS核心网的S-CSCF设备发现一个IMS用户注册成功,向动态口令代理服务器发送第三方注册事件消息,该消息携带IMS用户标识和该IMS用户开通的各项数据业务服务标识。
可以使用IETFRFC2617摘要认证的realm字段来区分每一项数据业务服务,每项数据业务服务具有唯一的realm字段值。
步骤203:动态口令代理服务器接收第三方注册事件消息,根据该消息中的IMS用户标识,判断自身是否有该IMS用户的各项数据业务服务的口令,若是,执行步骤204;否则,执行步骤206。
步骤204:动态口令代理服务器根据该IMS用户的各项数据业务服务的口令的有效期,判断该IMS用户的所有口令是否仍有效,若是,执行步骤205;否则,执行步骤206。
步骤205:动态口令代理服务器将各项数据业务服务标识及对应口令携带在SIPMessage消息中发送给该IMS用户终端,转至步骤207。
步骤206:动态口令代理服务器采用动态口令生成算法,为该IMS用户的每项数据业务服务生成一个口令,并设置各口令的有效期,保存IMS用户标识、各数据业务服务标识、各数据业务服务的口令、各口令的有效期的对应关系,将各项数据业务服务标识及对应口令携带在SIPMessage消息中发送给该IMS用户终端。
每项数据业务服务对应一个口令,每个口令都有一个有效期,一旦超过该有效期,该口令将视为无效。且,每个口令的有效期都长于IMS用户的重注册周期,以保证在IMS用户登录期间,IMS用户上保存的口令始终是有效的。
步骤207:IMS用户终端接收SIPMessage消息,保存该消息中的各项数据业务服务标识与口令的对应关系。
若IMS用户终端使用文件方式保存数据业务服务标识与口令的对应关系,则必须对该文件进行加密。
本实施例中,为了保证IMS用户的口令不被第三方窃取,动态口令代理服务器与IMS用户之间的接口需要具有安全加密能力,该安全加密能力可以采用现有加密技术实现。
图3为本发明实施例提供的数据业务服务器对IMS用户进行鉴权的方法流程图,如图3所示,其具体步骤如下:
步骤301:IMS用户终端要使用一项数据业务服务,在自身查找该数据业务服务标识对应的口令,向数据业务服务器发送数据业务访问请求,该请求携带该IMS用户标识。
步骤302:数据业务服务器接收IMS用户终端发来的数据业务访问请求,判断该数据业务访问请求是否合法,若是,执行步骤304;否则,执行步骤303。
步骤303:数据业务服务器拒绝该数据业务访问请求,本流程结束。
步骤304:数据业务服务器根据IMS用户标识,在自身查找对应的口令。
步骤305:数据业务服务器判断是否查找到,若是,执行步骤306;否则,执行步骤307。
步骤306:数据业务服务器根据查找到的口令的有效期,判断该口令是否仍然有效,若是,执行步骤310;否则,执行步骤307。
步骤307:数据业务服务器向动态口令代理服务器发送口令查询请求,该请求中携带IMS用户标识和数据业务服务标识。
数据业务服务标识可以是该数据业务服务的realm字段值。
步骤308:动态口令代理服务器接收口令查询请求,根据该请求中的IMS用户标识和数据业务服务标识查找到对应的口令,将该口令以及该口令的有效期和IMS用户标识携带在口令查询响应中返回给数据业务服务器,同时,将该数据业务服务器的地址添加到该口令的访问数据业务服务器列表中。
当IMS用户为非法用户时,动态口令代理服务器会查询不到口令,此时,动态口令代理服务器会向数据业务服务器返回口令查询失败响应,数据业务服务器收到该响应后,会拒绝IMS用户的数据业务访问请求。
步骤309:数据业务服务器接收口令查询响应,记录该响应中的IMS用户标识与口令、口令的有效期的对应关系。
步骤310:数据业务服务器使用该IMS用户的口令对该IMS用户进行鉴权。
本步骤可采用现有技术完成,例如:数据业务服务器可采用HTTP-消息摘要第5版(MD5,MessageDigest5)算法对用户进行鉴权。
在鉴权过程中,数据业务服务器会对IMS用户发起认证挑战,IMS用户根据数据业务服务标识在自身查找到对应的口令来完成身份验证。
对于图3所示实施例,为了保证数据业务服务器与动态口令代理服务器之间的通信的可靠性,可在进行数据业务部署时,数据业务服务器与动态口令代理服务器就使用数字证书实现双向验证,验证通过后,在数据业务服务器与动态口令代理服务器之间再建立加密数据通道,从而保证此后通信的可靠性。其中,使用数字证书实现双向验证、建立加密数据通道都可采用现有技术实现。
图4为本发明实施例提供的IMS用户的注销方法流程图,如图4所示,其具体步骤如下:
步骤401:IMS用户终端向IMS核心网设备发送注销请求,该请求携带IMS用户标识。
步骤402:IMS核心网设备接收注销请求,与IMS用户终端交互完成注销,注销完成,IMS核心网的S-CSCF设备向动态口令代理服务器发送第三方注销事件消息,该消息携带IMS用户标识。
步骤403:动态口令代理服务器接收第三方注销事件消息,根据该消息中的IMS用户标识,查找到该IMS用户的各项数据业务服务对应的口令以及各口令的访问数据业务服务器列表,将所有口令的有效期清零,同时根据每个口令的访问数据业务服务器列表,向每个口令的每个访问数据业务服务器发送口令注销消息,该消息中携带IMS用户标识。
动态口令代理服务器会定期对有效期为零的口令进行删除。
步骤404:数据业务服务器接收口令注销消息,根据该消息中的IMS用户标识查找到对应的口令,将该口令的有效期清零。
数据业务服务器会定期对有效期为零的口令进行删除。
图5为本发明实施例提供的IMS鉴权系统的组成图,如图5所示,该系统包括:IMS核心网设备51、动态口令代理服务器52和数据业务服务器53,其中:
IMS核心网设备51:发现一个IMS用户注册成功后,向动态口令代理服务器51发送携带该IMS用户标识和该IMS用户开通的各项数据业务服务标识的第三方注册事件消息。
动态口令代理服务器52:接收IMS核心网设备51发来的第三方注册事件消息,根据该消息中的IMS用户标识和各项数据业务服务标识,采用配置的动态口令生成算法为该IMS用户的每项数据业务服务生成一个口令,将每项数据业务服务的口令通过IMS核心网设备51发送给IMS用户终端。
数据业务服务器53:接收IMS用户终端发来的数据业务访问请求,向动态口令代理服务器52查询该IMS用户的该项数据业务服务的口令,使用查询到的口令对该IMS用户进行鉴权。
在进行业务部署时,数据业务服务器53与动态口令代理服务器52采用数据证书进行双向验证,验证通过,数据业务服务器53与动态口令服务器52建立加密数据通道。
动态口令代理服务器52与IMS用户终端、IMS核心网设备51之间的接口为SIP接口,动态口令代理服务器52与数据业务服务器53之间的接口为HTTP接口。
图6为本发明实施例提供的动态口令代理服务器的组成图,如图6所示,其主要包括:动态口令生成单元521、动态口令存储单元522和动态口令查询处理单元523,其中:
动态口令生成单元521:接收IMS核心网设备51发来的携带IMS用户标识和该IMS用户开通的各项数据业务服务标识的第三方注册事件消息,根据该消息中的IMS用户标识和各项数据业务服务标识,采用配置的动态口令生成算法为该IMS用户的每项数据业务服务生成一个口令,并设置各口令的有效期,将每项数据业务服务的口令通过IMS核心网设备51发送给IMS用户终端,同时将IMS用户标识、各项数据业务服务标识、各项数据业务服务的口令、各口令的有效期的对应关系保存到动态口令存储单元522中。
动态口令生成单元521进一步用于,当接收到第三方注册事件消息后,判断动态口令存储单元522是否保存有该消息中的IMS用户标识对应的各项数据业务服务的口令,若保存有,判断该各项数据业务服务的口令是否仍然有效,若有效,则将该各项数据业务服务的口令直接通过IMS核心网设备51返回给IMS用户终端;否则,执行采用配置的动态口令生成算法为该IMS用户的每项数据业务服务生成一个口令的动作。
动态口令存储单元522:保存IMS用户标识、各项数据业务服务标识、各项数据业务服务的口令、各口令的有效期的对应关系。
动态口令查询处理单元523:接收数据业务服务器53发来的携带IMS用户标识和数据业务服务标识的口令查询请求,在动态口令存储单元522中查找该IMS用户标识和数据业务服务标识对应的口令,若查找到,将该IMS用户标识和口令携带在口令查询响应中返回给数据业务服务器53;否则,向数据业务服务器53返回口令查询失败响应。
动态口令查询处理单元523进一步用于,在将IMS用户标识和口令携带在口令查询响应中返回给数据业务服务器53的同时,将该数据业务服务器53的地址添加到动态口令存储单元522中存储的该口令的访问数据业务服务器列表中;
且,动态口令代理服务器52进一步包括:口令注销单元,用于当接收到IMS核心网设备51发来的携带IMS用户标识的第三方注销事件消息时,将动态口令存储单元522中该IMS用户标识对应的所有口令的有效期都清零,同时根据动态口令存储单元522中各口令的访问数据业务服务器列表,向每个口令的每个访问数据业务服务器发送携带该IMS用户标识的口令注销消息。
图7为本发明实施例提供的数据业务服务器的组成图,如图7所示,其主要包括:动态口令查询单元531、动态口令存储单元532和口令注销单元533,其中:
动态口令查询单元531:接收IMS用户终端发来的数据业务访问请求,在动态口令存储单元532中查询该IMS用户的口令,若查询到,判断该口令是否仍然有效,若有效,则使用该口令对该IMS用户进行鉴权;否则,向动态口令代理服务器52发送携带该IMS用户标识和该项数据业务服务标识的口令查询请求,若接收到动态口令代理服务器52返回的携带该IMS用户标识和口令的口令查询响应,使用该响应中的口令对该IMS用户进行鉴权;若接收到动态口令代理服务器52返回的口令查询失败响应,则拒绝该IMS用户的数据业务访问请求。
动态口令存储单元532:存储IMS用户标识、口令、口令的有效期的对应关系。
口令注销单元533:接收动态口令代理服务器52发来的携带IMS用户标识的口令注销消息,将动态口令存储单元532中该IMS用户标识对应的口令的有效期清零。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (20)
1.一种IP多媒体子系统IMS鉴权方法,其特征在于,在IMS网络中设置一个动态口令代理服务器,在该动态口令代理服务器上配置动态口令生成算法,该方法包括:
IMS核心网设备发现一个IMS用户注册成功,向动态口令代理服务器发送携带该IMS用户标识的注册事件消息;动态口令代理服务器接收该注册事件消息,采用所述动态口令生成算法为该IMS用户的每项数据业务服务生成一个口令,将每项数据业务服务的口令通过IMS核心网设备发送给IMS用户终端,IMS用户终端保存各项数据业务服务标识与口令的对应关系;
IMS用户终端发起针对一项数据业务的访问请求,数据业务服务器接收该请求,向动态口令代理服务器查询该IMS用户的该项数据业务服务的口令,使用查询到的口令对该IMS用户进行鉴权。
2.根据权利要求1所述的方法,其特征在于,所述动态口令代理服务器采用所述动态口令生成算法为该IMS用户的每项数据业务服务生成一个口令进一步包括:
动态口令代理服务器为每个口令设置一个有效期,且每个口令的有效期都长于所述IMS用户的重注册周期。
3.根据权利要求1所述的方法,其特征在于,所述动态口令代理服务器接收该消息之后、采用所述动态口令生成算法为该IMS用户的每项数据业务服务生成一个口令之前进一步包括:
动态口令代理服务器判断自身是否保存有该IMS用户的各项数据业务服务的口令,若保存有,判断该各项数据业务服务的口令是否仍然有效,若有效,则将该各项数据业务服务的口令直接通过IMS核心网设备返回给IMS用户终端;否则,执行所述采用所述动态口令生成算法为该IMS用户的每项数据业务服务生成一个口令的动作。
4.根据权利要求1所述的方法,其特征在于,所述数据业务服务器接收该请求之后、向动态口令代理服务器查询该IMS用户的该项数据业务服务的口令之前进一步包括:
数据业务服务器判断自身是否保存有该IMS用户的口令,若保存有,判断该口令是否仍然有效,若有效,则直接采用该口令对IMS用户进行鉴权;否则,执行所述向动态口令代理服务器查询该IMS用户的该项数据业务服务的口令的动作。
5.根据权利要求1所述的方法,其特征在于,所述数据业务服务器向动态口令代理服务器查询该项数据业务服务的口令之后进一步包括:
动态口令服务器判断自身是否保存有该IMS用户的该项数据业务服务的口令,若保存,则将该口令返回给数据业务服务器;否则,向数据业务服务器返回查询失败响应,数据业务服务器接收该响应,拒绝该IMS用户的访问请求。
6.根据权利要求5所述的方法,其特征在于,所述动态口令服务器将该口令返回给数据业务服务器的同时进一步包括:
动态口令代理服务器将该数据业务服务器的地址添加到该口令的访问数据业务服务器列表中;
且,当IMS核心网设备发现所述IMS用户注销后,向动态口令代理服务器发送携带该IMS用户标识的注销事件消息,动态口令代理服务器接收该消息,将该IMS用户的所有口令的有效期都清零,同时根据各口令的访问数据业务服务器列表,向每个口令的每个访问数据业务服务器发送携带该IMS用户标识的口令注销消息。
7.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
在进行业务部署时,动态口令代理服务器与数据业务服务器之间采用数据证书进行双向验证,验证通过,动态口令服务器与数据业务服务器建立加密数据通道。
8.根据权利要求1所述的方法,其特征在于,所述动态口令代理服务器与所述IMS用户终端、所述IMS核心网设备之间的接口为会话发起协议SIP接口,所述动态口令代理服务器与所述数据业务服务器之间的接口为超文本传输协议HTTP接口。
9.一种IMS鉴权系统,其特征在于,该系统包括:
动态口令代理服务器:接收IMS核心网设备发来的携带IMS用户标识的注册事件消息,采用配置的动态口令生成算法为所述IMS用户的每项数据业务服务生成一个口令,将每项数据业务服务的口令通过IMS核心网设备发送给IMS用户终端,以使得IMS用户终端保存各项数据业务服务标识与口令的对应关系;
数据业务服务器:接收IMS用户终端发来的数据业务访问请求,向动态口令代理服务器查询该IMS用户的该项数据业务服务的口令,使用查询到的口令对该IMS用户进行鉴权。
10.根据权利要求9所述的系统,其特征在于,所述系统进一步包括:IMS核心网设备,用于在发现一个IMS用户注册成功后,向动态口令代理服务器发送携带该IMS用户标识的注册事件消息。
11.根据权利要求10所述的系统,其特征在于,所述动态口令代理服务器与所述IMS用户终端、所述IMS核心网设备之间的接口为SIP接口。
12.根据权利要求9所述的系统,其特征在于,所述数据业务服务器进一步用于:
在进行业务部署时,与动态口令代理服务器采用数据证书进行双向验证,验证通过,与动态口令服务器建立加密数据通道。
13.根据权利要求9所述的系统,其特征在于,所述动态口令代理服务器与数据业务服务器之间的接口为HTTP接口。
14.一种动态口令代理服务器,其特征在于,包括:
第一单元:接收IMS核心网设备发来的携带IMS用户标识的注册事件消息,采用配置的动态口令生成算法为所述IMS用户的每项数据业务服务生成一个口令,将每项数据业务服务的口令通过IMS核心网设备发送给IMS用户终端,以使得IMS用户终端保存各项数据业务服务标识与口令的对应关系;
第二单元:接收数据业务服务器发来的携带IMS用户标识和数据业务服务标识的口令查询请求,查询第一单元为该IMS用户的该项数据业务服务生成的口令,将该口令返回给数据业务服务器。
15.根据权利要求14所述的动态口令代理服务器,其特征在于,
所述第一单元进一步用于,当接收到所述注册事件消息后,判断本服务器是否保存有该IMS用户的各项数据业务服务的口令,若保存有,判断该各项数据业务服务的口令是否仍然有效,若有效,则将该各项数据业务服务的口令直接通过IMS核心网设备返回给IMS用户终端;否则,执行所述采用配置的动态口令生成算法为所述IMS用户的每项数据业务服务生成一个口令的动作。
16.根据权利要求14所述的动态口令代理服务器,其特征在于,
所述第二单元进一步用于,当接收到所述口令查询请求后,判断本服务器是否保存有该IMS用户的该项数据业务服务的口令,若保存,则将该口令返回给数据业务服务器;否则,向数据业务服务器返回查询失败响应。
17.根据权利要求14所述的动态口令代理服务器,其特征在于,
所述第二单元进一步用于,在将口令返回给数据业务服务器的同时,将该数据业务服务器的地址添加到该口令的访问数据业务服务器列表中;
且,所述动态口令代理服务器进一步包括:第三单元,用于当接收到IMS核心网设备发来的携带IMS用户标识的注销事件消息时,将该IMS用户的所有口令的有效期都清零,同时根据各口令的访问数据业务服务器列表,向每个口令的每个访问数据业务服务器发送携带该IMS用户标识的口令注销消息。
18.一种数据业务服务器,其特征在于,包括:
第一单元:接收IMS用户终端发来的数据业务访问请求,向动态口令代理服务器查询该IMS用户的该项数据业务服务的口令,使用查询到的口令对该IMS用户进行鉴权,其中,动态口令代理服务器接收到IMS核心网设备发来的携带IMS用户标识的注册事件消息时,采用配置的动态口令生成算法为所述IMS用户的每项数据业务服务生成一个口令,将每项数据业务服务的口令通过IMS核心网设备发送给IMS用户终端。
19.根据权利要求18所述的数据业务服务器,其特征在于,所述第一单元进一步用于,当接收到所述数据业务访问请求之后,判断本服务器是否保存有该IMS用户的口令,若保存有,判断该口令是否仍然有效,若有效,则直接采用该口令对IMS用户进行鉴权;否则,执行所述向动态口令代理服务器查询该IMS用户的该项数据业务服务的口令的动作。
20.根据权利要求18所述的数据业务服务器,其特征在于,所述数据业务服务器进一步包括:第二单元,用于当接收到动态口令代理服务器发来的携带IMS用户标识的口令注销消息时,将本服务器保存的该IMS用户标识对应的口令的有效期清零。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110008243.6A CN102594782B (zh) | 2011-01-14 | 2011-01-14 | Ip多媒体子系统鉴权方法、系统及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110008243.6A CN102594782B (zh) | 2011-01-14 | 2011-01-14 | Ip多媒体子系统鉴权方法、系统及服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102594782A CN102594782A (zh) | 2012-07-18 |
| CN102594782B true CN102594782B (zh) | 2016-03-02 |
Family
ID=46482990
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110008243.6A Active CN102594782B (zh) | 2011-01-14 | 2011-01-14 | Ip多媒体子系统鉴权方法、系统及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102594782B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103888414B (zh) * | 2012-12-19 | 2017-05-03 | 中国移动通信集团公司 | 一种数据处理方法和设备 |
| CN104113511B (zh) * | 2013-04-17 | 2018-03-23 | 中国移动通信集团公司 | 一种接入ims网络的方法、系统及相关装置 |
| CN113347701B (zh) * | 2018-10-17 | 2022-06-14 | Oppo广东移动通信有限公司 | 管理ims注册的方法、电子装置及计算机可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852136A (zh) * | 2005-07-19 | 2006-10-25 | 华为技术有限公司 | 一种注册/注销系统和注册/注销方法 |
| CN101060613A (zh) * | 2006-04-21 | 2007-10-24 | 华为技术有限公司 | 数字电视广播业务的接收解密方法、主终端及其从终端 |
| CN101453394A (zh) * | 2007-12-03 | 2009-06-10 | 华为技术有限公司 | 一种接入控制方法、系统和设备 |
-
2011
- 2011-01-14 CN CN201110008243.6A patent/CN102594782B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852136A (zh) * | 2005-07-19 | 2006-10-25 | 华为技术有限公司 | 一种注册/注销系统和注册/注销方法 |
| CN101060613A (zh) * | 2006-04-21 | 2007-10-24 | 华为技术有限公司 | 数字电视广播业务的接收解密方法、主终端及其从终端 |
| CN101453394A (zh) * | 2007-12-03 | 2009-06-10 | 华为技术有限公司 | 一种接入控制方法、系统和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102594782A (zh) | 2012-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10785037B2 (en) | Managing secure content in a content delivery network | |
| JP4880699B2 (ja) | サービスアカウントを保護するための方法、システム、及び装置 | |
| CN102812665B (zh) | 用于实现跨多个web服务的认证的可插入令牌提供商模型 | |
| CN101009561B (zh) | 用于imx会话控制和认证的系统和方法 | |
| CN107517179B (zh) | 一种鉴权方法、装置和系统 | |
| EP3316544B1 (en) | Token generation and authentication method, and authentication server | |
| EP1965558B1 (en) | Method, apparatuses and computer program product for robust digest authentication using two types of nonce values | |
| US9369873B2 (en) | Network application function authorisation in a generic bootstrapping architecture | |
| US20080118070A1 (en) | Open and distributed systems to provide secure email service | |
| CN101453328A (zh) | 身份管理系统及身份认证系统 | |
| CN112468481A (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
| CN103220303A (zh) | 服务器的登录方法及服务器、认证设备 | |
| KR20150058534A (ko) | 인증 정보 전송 | |
| WO2010119626A1 (ja) | Id認証システム、方法及びプログラムが格納された非一時的なコンピュータ可読媒体 | |
| CN112491890A (zh) | 一种访问方法及装置 | |
| US8650392B2 (en) | Ticket authorization | |
| CN106936945A (zh) | 分布式域名解析方法及装置 | |
| CN103944716A (zh) | 用户认证的方法和装置 | |
| CN101668016A (zh) | 鉴权方法及装置 | |
| Chae et al. | A study on secure user authentication and authorization in OAuth protocol | |
| CN105635321A (zh) | 一种动态组网设备注册的方法 | |
| CN102594782B (zh) | Ip多媒体子系统鉴权方法、系统及服务器 | |
| US8112535B2 (en) | Securing a server in a dynamic addressing environment | |
| CN101471938B (zh) | 一种点对点p2p网络中的认证方法、系统和装置 | |
| CN115459905A (zh) | 一种物联网设备安全认证与高可用消息通信的系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |