CN112953718A - Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 - Google Patents
Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 Download PDFInfo
- Publication number
- CN112953718A CN112953718A CN201911174782.XA CN201911174782A CN112953718A CN 112953718 A CN112953718 A CN 112953718A CN 201911174782 A CN201911174782 A CN 201911174782A CN 112953718 A CN112953718 A CN 112953718A
- Authority
- CN
- China
- Prior art keywords
- registration request
- control function
- session control
- function entity
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 230000004044 response Effects 0.000 claims abstract description 81
- 238000004891 communication Methods 0.000 claims abstract description 28
- 230000006870 function Effects 0.000 claims description 222
- 230000000977 initiatory effect Effects 0.000 claims description 5
- 239000013598 vector Substances 0.000 description 18
- 238000013475 authorization Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 238000001514 detection method Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 6
- 239000000284 extract Substances 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000011022 operating instruction Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000004846 x-ray emission Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1045—Proxies, e.g. for session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
Abstract
本发明实施例涉及通信技术领域,公开了一种IMS网络用户的鉴权方法及装置、呼叫会话控制功能实体,所述方法包括:接收代理呼叫会话控制功能实体发送的来自用户终端的注册请求;基于所述注册请求从HSS中获取MAA消息,所述MAA消息包括随机数据和鉴权序号;通过所述代理呼叫会话控制功能实体向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文,并接收所述代理呼叫会话控制功能实体反馈的重新构造的注册请求,所述重新构造的注册请求是由所述用户终端基于所述挑战响应报文重新构造的;基于所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。通过上述方式,可提高鉴权的安全性及可靠性。
Description
技术领域
本发明实施例涉及通信技术领域,具体涉及一种IMS网络用户的鉴权方法及装置、呼叫会话控制功能实体。
背景技术
IP多媒体子系统(IMS,IPMultimediaSubsystem),是一种全新的多媒体业务形式,它能够满足现在的终端客户更新颖、更多样化多媒体业务的需求。IMS系统采用SIP协议进行端到端的呼叫控制。
IMS网络中定义的呼叫会话控制功能(CSCF)实体用于完成呼叫和会话时的控制和路由等功能,代理-呼叫会话控制功能(P-CSCF)实体完成用户终端(UE)的接入,所有UE通过P-CSCF接入IMS网络;业务-呼叫会话控制功能(S-CSCF实体提供会话控制和路由等核心功能;查询-呼叫会话控制功能(I-CSCF,Interrogating-CSCF)实体用于S-CSCF的选择及不同运营商或不同区域网络之间的互通,实现网络屏蔽等功能;用户归属服务器(HSS,HomeSubscribeServer归属用户服务器),用于保存用户签约数据和配置数据等。
IMS不仅可以实现最初的(VoIP,VoiceoverInternetProtocol)网络电话业务,还更有效地对网络资源、用户资源及应用资源进行管理,提高了网络的智能化程度,使用户可以跨越各种网络并使用多种终端,感受融合的通信体验。由于IMS的业务十分丰富,所以用户接入IMS网络进行使用十分频繁。
现有的鉴权方式采用SIPDigest方式,即采用用户名+密码的鉴权方式,但这种方式的可靠性低,且密码容易被窃取,给用户带来不良体验。
发明内容
鉴于上述问题,本发明实施例提供了一种IMS网络用户的鉴权方法及装置、呼叫会话控制功能实体,克服了上述问题或者至少部分地解决了上述问题。
根据本发明实施例的一个方面,提供了一种IMS网络用户的鉴权方法,所述方法包括:接收代理呼叫会话控制功能实体发送的来自用户终端的注册请求;基于所述注册请求从HSS中获取MAA消息,所述MAA消息包括随机数据和鉴权序号;通过所述代理呼叫会话控制功能实体向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文,并接收所述代理呼叫会话控制功能实体反馈的重新构造的注册请求,所述重新构造的注册请求是由所述用户终端基于所述挑战响应报文重新构造的;基于所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
在一种可选的方式中,所述MAA消息中还包括期望结果,所述用户终端的注册请求与所述重新构造的注册请求均包括对应的呼叫标识,所述重新构造的注册请求携带对应的期望结果,所述基于所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果,包括:将所述用户终端的注册请求中的呼叫标识与所述重新构造的注册请求中的呼叫标识进行比对;若呼叫标识一致,将所述MAA消息中的期望结果与所述重构的注册请求中的期望结果进行比对,若期望结果一致,确定通过鉴权。
在一种可选的方式中,所述MAA消息还包括完整性保护密钥和加密密钥,所述通过所述代理呼叫会话控制功能实体向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文,包括:从所述MAA消息中取出所述期望结果,将除去所述期望结果的MAA消息发送给所述代理呼叫会话控制功能实体,以供所述代理呼叫会话控制功能实体从所述除去所述期望结果的MAA消息中取出所述完整性保护密钥、加密密钥,并向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文。
根据本发明实施例的另一个方面,提供了一种IMS网络用户的鉴权方法,所述方法包括:接收用户终端发起的注册请求,所述注册请求携带预设鉴权方式;根据所述预设鉴权方式在所述注册请求中添加对应的信息,并将添加信息后的注册请求转发至查询呼叫会话控制功能实体,以供所述查询呼叫会话控制功能实体选择对应的业务呼叫会话控制功能实体,并由所述业务呼叫会话控制功能实体基于所述添加信息后的注册请求从HSS中获取对应的MAA消息,并接收所述述业务呼叫会话控制功能实体反馈的除去期望结果的MAA消息,所述MAA消息包括随机数据、鉴权序号、期望结果、完整性保护密钥和加密密钥;从除去所述期望结果的MAA消息中除去所述完整性保护密钥和加密密钥,并向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文,并接收所述用户终端基于所述挑战响应报文重新构造的注册请求;将所述重新构造的注册请求发送给所述业务呼叫会话控制功能实体,以供所述业务呼叫会话控制功能实体根据所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
根据本发明实施例的另一个方面,提供了一种IMS网络用户的鉴权方法,所述方法包括:向呼叫会话控制功能实体发起注册请求,以供所述会话控制功能实体基于所述注册请求从HSS中获取的MAA消息;接收所述会话控制功能实体基于所述MAA消息而反馈的挑战响应报文,所述MAA消息包括随机数据、鉴权序号、期望结果、完整性保护密钥、加密密钥,所述挑战响应报文携带所述随机数据及鉴权序号;基于所述挑战响应报文重新构造注册请求;将所述重新构造的注册请求发送给所述呼叫会话控制功能实体,以供所述呼叫会话控制功能实体基于所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
在一种可选的方式中,所述基于所述挑战响应报文重新构造注册请求,包括:基于初始密钥及所述鉴权序号分别计算对应的期望结果、完整性保护密钥和加密密钥;基于所计算的期望结果、完整性保护密钥、加密密钥及所述挑战响应报文携带的随机数据及鉴权序号重新构造注册请求。
根据本发明实施例的另一个方面,提供了一种IMS网络用户的鉴权装置,包括:接收模块,用于接收代理呼叫会话控制功能实体发送的来自用户终端的注册请求;获取模块,用于基于所述注册请求从HSS中获取MAA消息,所述MAA消息包括随机数据和鉴权序号;反馈模块,用于通过所述代理呼叫会话控制功能实体向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文,并接收所述代理呼叫会话控制功能实体反馈的重新构造的注册请求,所述重新构造的注册请求是由所述用户终端基于所述挑战响应报文重新构造的;鉴权模块,用于基于所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
根据本发明实施例的另一方面,提供了呼叫会话控制功能实体,包括:代理呼叫会话控制功能实体、与所述代理呼叫会话控制功能实体连接的查询呼叫会话控制功能实体和与所述查询呼叫会话控制功能实体连接的业务呼叫会话控制功能实体,所述业务呼叫会话控制功能实体包括:一种IMS网络用户的鉴权装置,所述装置包括:接收模块,用于接收代理呼叫会话控制功能实体发送的来自用户终端的注册请求;获取模块,用于基于所述注册请求从HSS中获取MAA消息,所述MAA消息包括随机数据、鉴权序号、期望结果、完整性保护密钥、加密密钥;反馈模块,用于通过所述代理呼叫会话控制功能实体向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文,并接收所述代理呼叫会话控制功能实体反馈的重新构造的注册请求,所述重新构造的注册请求是由所述用户终端基于所述挑战响应报文重新构造的;鉴权模块,用于基于所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
根据本发明实施例的另一方面,提供了一种设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述IMS网络用户的鉴权方法的步骤。
根据本发明实施例的又一方面,提供了一种可读计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使所述处理器执行上述IMS网络用户的鉴权方法步骤。
本发明实施例中,在用户终端接入IMS网络时,通过获取MAA消息来进行鉴权,而不是直接通过账号密码来鉴权识别,可提高鉴权的安全性及可靠性。
上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明第一实施例提供的一种IMS网络用户的鉴权方法的流程示意图;
图2示出了本发明第二实施例提供的一种IMS网络用户的鉴权方法的流程示意图;
图3示出了本发明第三实施例提供的一种IMS网络用户的鉴权方法的流程示意图;
图4示出了本发明第四实施例提供的一种IMS网络用户的鉴权装置的结构示意图;
图5示出了本发明第五实施例提供的一种呼叫会话控制功能实体的结构示意图;
图6示出了本发明第九实施例提供的一种设备的结构示意图;
图7示出了本发明第十实施例提供的一种设备的结构示意图;
图8示出了本发明第十一实施例提供的一种设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
图1示出了本发明第一实施例提供的一种IMS网络用户的鉴权方法的流程示意图。在本实施例中,该方法可应用于业务呼叫会话控制功能实体(SCSCF)中,进一步地,该业务呼叫会话控制功能实体属于呼叫会话控制功能实体(CSCF)中的一部分,该呼叫会话控制功能实体主要包括:代理呼叫会话控制功能实体(PCSCF)、查询呼叫会话控制功能实体(ICSCF)及业务呼叫会话控制功能实体(SCSCF)。
如图1所示,该IMS网络用户的鉴权方法包括:
步骤S11,接收代理呼叫会话控制功能实体发送的来自用户终端的注册请求;
具体地,接收代理呼叫会话控制功能实体发送的来自用户终端的注册请求,该代理呼叫会话控制功能实体首先接收用户终端发起的注册请求,该注册请求包括以下头域:Request-URI(这个头域指明了用户的归属域);From(指明注册用户的逻辑信息,即IMPU,该From的值与To头域的值不相同,但在UE发起的注册请求中,From带tag字段,而To只有非100的响应中才会带Tag);To(注册请求中,To头域和Request-URI头域是不同的);Call-ID(呼叫标识,在UE的一个注册-注销周期内,UE所有注册、重注册以及注销请求都应该有相同的Call-ID,即一个注册会话对应一个Call-ID);Cseq(注册请求的顺序);Contact:(可以有0个或者多个包含绑定地址信息的值,Contact带的参数expire(只在注册消息中有效)标识一个contact地址的有效时间);Expires(头域定义了注册超时时间,如果contact不带expire参数,就使用这个定义的时间值);Authorization(UE携带的鉴权信息,主要包括用户的IMPI,鉴权域等);Security-Client头域(指示UE使用IPSec AKA认证方式,其中alg为完整性保护算法,spi-c/spi-s为安全参数索引SPI(Security Parameter Index),port-c/port-s为UE的安全端口号);Require/Proxy-Require头域(指示UE要求使用IPSec AKA认证方式);然后该代理呼叫会话控制功能实体会检测SIP消息的合法性,在检测通过后,该代理呼叫会话控制功能实体基于预设的鉴权方式对接收的注册请求添加对应的信息,并将添加信息后的注册请求转发至查询呼叫会话控制功能实体,在本实施例的优选方案中,该添加的信息可包括:插入Path和Require:Path头域(由Pcscf产生,随着注册请求传输至Scscf,在注册完成后由SCSCF存储该头域信息);插入P-Charging-Vector头域(ICID(IMSCharging Identifier)的值全局唯一,有时限要求,ICID在超时时间内一直有效,用于不同运营商或不同网络间的计费标识);插入P-Visited-Network-ID头域(该头域会传给ICSCF,用于用户终端接入的合法性检测(如漫游权限检查),如果用户终端在注册消息中带P-Visited-Network-ID头域,PCSCF会删除这个字段,并重新创建这个头域);此外,该代理呼叫会话控制功能实体首先检测SIP消息的合法性,在检测通过后,还需要进行以下操作:检测Authorization头域是否含有挑战后的响应,如果是带鉴权响应的register,则插入“integrity-protected=yes”,否则插入“integrity-protected=no”(即是否有完整性保护,首条注册请求不携带此头域);删除Require/Proxy-Require头域,且将Security-Client头域保存到本地并从注册请求中删除该头域;保存Authorization头域的username参数值(即IMPI),后续UE的挑战消息、重注册、注销等消息经过PCSCF时,PCSCF都要取这个参数与最先存储的IMPI作比较,如果不相等,反馈拒绝消息。(按照Call-id去匹配IMPI,如果不相同,则拒绝);该代理呼叫会话控制功能实体进行上述操作后,将其发给查询呼叫会话控制功能实体,由查询呼叫会话控制功能实体选择对应的代理服务呼叫会话控制功能实体,将经过处理操作的注册请求发送给该代理服务呼叫会话控制功能实体。
步骤S12,基于注册请求从HSS中获取MAA消息;
具体地,基于该经过处理操作的注册请求向HSS发起MAR(MultimediaAuthentication Request)消息,该HSS基于MAR消息获取该用户终端的MAA(MultimediaAuthentication Answer)消息,并反馈回来,该MAA消息中的参数“sipAuthDataItem”携带至少两元组鉴权向量,如:随机数据和鉴权序号,优选地,该MAA消息携带五元组鉴权向量,分别为:随机数据(RAND,Random Challenge)、鉴权序号(AUTN,Authenticaiton Token)、期望结果(XRES,Expected Response)、完整性保护密钥(IK,Integrity Key)、加密密钥(CK,Ciphering Key)。
步骤S13,通过代理呼叫会话控制功能实体向用户终端反馈携带随机数据及鉴权序号的挑战响应报文,并接收代理呼叫会话控制功能实体反馈的重新构造的注册请求;
具体地,该业务呼叫会话控制功能实体接收HSS反馈的MAA消息后,保存该期望结果,以备后续鉴权时使用,将MAA中的其他鉴权向量反馈给代理呼叫会话控制功能实体。由该代理呼叫会话控制功能实体从该401响应中取出加密密钥及完整性保护密钥这两个鉴权向量,用分配的SPI和端口信息构造Security-Server头域,生成挑战响应报文,将该挑战响应报文发送给用户终端,该用户终端接收该挑战响应报文后,根据该报文中的随机数据及预先共享的(与HSS共享)的密钥计算出对应的期望结果、加密密钥及完整性保护密钥,然后将计算出来的期望结果、加密密钥、完整性保护密钥及随机数据、鉴权序号重新构造注册请求,按照上一次发送的注册请求的路径,通过加密通道发给该代理呼叫会话控制功能实体,由该代理呼叫会话控制功能实体转发给业务呼叫会话控制功能实体。
步骤S14,基于MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
具体地,业务呼叫会话控制功能实体根据HSS反馈的MAA中的期望结果及该重新构造的注册请求携带的期望结果来进行鉴权,优选地,首先比较两次注册请求携带的呼叫标识是否一致,在呼叫标识一致的情况下,进一步比较MAA中的期望结果与该重新构造的注册请求携带的期望结果,若期望结果一致时,确定通过鉴权。完成鉴权以后,通过SAR请求下载用户业务数据存储在本地。
在本实施例中,在用户终端接入IMS网络时,通过获取MAA消息来进行鉴权,而不是直接通过账号密码来鉴权识别,可提高鉴权的安全性及可靠性。
图2示出了本发明第二实施例提供的一种IMS网络用户的鉴权方法的流程示意图。在本实施例中,该方法可应用于代理呼叫会话控制功能实体中,如图2所示,该IMS网络用户的鉴权方法包括:
步骤S21,接收用户终端发起的注册请求;
具体地,用户终端接入IMS网络时,首先在用户终端中增设eUICC模块,然后下载profile,维装人员开通该用户终端,下载对应的profile,该profile携带鉴权信息,然后向代理呼叫会话控制功能实体发起注册请求。需要说明的是,该用户终端预先与HSS共享密钥。该注册请求携带对应的头域信息,该头域信息的具体内容见上述实施例一的描述,此处不再赘述,该头域信息包括预设鉴权方式,该预设鉴权方式优选为AKA鉴权方式。
步骤S22,根据预设鉴权方式在所述注册请求中添加对应的信息,并将添加信息后的注册请求转发至查询呼叫会话控制功能实体,以供所述查询呼叫会话控制功能实体选择对应的业务呼叫会话控制功能实体,并由所述业务呼叫会话控制功能实体基于所述添加信息后的注册请求从HSS中获取对应的MAA消息,并接收所述述业务呼叫会话控制功能实体反馈的除去期望结果的MAA消息,所述MAA消息包括随机数据、鉴权序号、期望结果、完整性保护密钥、加密密钥;
具体地,分析所接收的注册请求,从Require/Proxy-Require头域信息中获取对应的预设鉴权方式,优选地,该预设鉴权方式为IPSec AKA认证方式,根据该鉴权方式在该注册请求中添加对应的信息,该对应的信息及后期的处理操作可参考上述实施例一的描述,此处不再赘述。然后将经过处理的注册请求转发至查询呼叫会话控制功能实体,由该查询呼叫会话控制功能实体首先检测该注册请求是否合法(如检测P-Visited-Network-ID头域的内容来判断该注册请求是否合法,即检测代理呼叫会话控制功能实体的接入是否合法),在检查合法后,发起Cx查询,请求用户终端的能力集或者注册的业务呼叫会话控制功能实体的地址,根据该注册请求选择对应的业务呼叫会话控制功能实体的地址选择对应的业务呼叫会话控制功能实体,并将注册请求中的Request-URI头域修改为SCSCF的SIP URI。然后由该业务呼叫会话控制功能实体基于添加信息后的注册请求从HSS中获取对应的MAA消息,并接收业务呼叫会话控制功能实体反馈的除去期望结果的MAA消息,其中,所述MAA消息携带五元组鉴权向量,分别为:随机数据、鉴权序号、期望结果、完整性保护密钥、加密密钥。
步骤S23,从除去期望结果的MAA消息中除去完整性保护密钥、加密密钥,并向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文,并接收所述用户终端基于所述挑战响应报文重新构造的注册请求,所述重新构造的注册请求携带对应的期望结果;
具体地,该业务呼叫会话控制功能实体从HSS反馈的MAA消息中取出期望结果这一鉴权向量并存储,将其与鉴权向量发送给代理呼叫会话控制功能实体,该代理呼叫会话控制功能实体从接收的MAA消息中再取出完整性保护密钥、加密密钥并存储,向用户终端发送携带随机数据及鉴权序号的挑战响应报文,并接收用户终端基于挑战响应报文重新构造的注册请求,所述重新构造的注册请求携带对应的期望结果。其中,用户终端重新构造注册请求的过程可参照实施例一的描述,此处不再赘述。
步骤S24,将重新构造的注册请求发送给业务呼叫会话控制功能实体,以供业务呼叫会话控制功能实体根据所述MAA消息及重新构造的注册请求进行鉴权,得到对应的鉴权结果;
具体地,该代理呼叫会话控制功能实体接收到用户终端发起的重新构造的注册请求后,使用前述存储的完整性保护密钥、加密密钥来解密该注册请求,删除该重新构造的注册请求中的Require、Proxy-Require,Security-Client和Security-Verify头域,且在Authorization头域中添加“integrity-protected=yes”等处理,表示该消息的完整性得到了保护,然后将经过前述处理的注册请求通过明文方式发送给业务呼叫会话控制功能实体,以供该业务呼叫会话控制功能实体直接基于MAA消息及重新构造的注册请求进行鉴权,得到对应的鉴权结果,其中,具体的鉴权过程见上述实施例一的描述,此处不再赘述。
在本实施例中,在用户终端接入IMS网络时,通过获取MAA消息来进行鉴权,而不是直接通过账号密码来鉴权识别,可提高鉴权的安全性及可靠性。
图3示出了本发明第三实施例提供的一种IMS网络用户的鉴权方法的流程示意图。在本实施例中,该方法可应用于用户终端中,如图3所示,该IMS网络用户的鉴权方法包括:
步骤S31,向呼叫会话控制功能实体发起注册请求,以供会话控制功能实体基于注册请求从HSS中获取的MAA消息;
具体地,该用户终端首先向呼叫会话控制功能实体发起注册请求,以通过呼叫会话控制功能实体从HSS中获取MAA消息,该呼叫会话控制功能实体中的代理呼叫会话控制功能实体接收用户终端的注册请求,然后发送给查询呼叫会话控制功能实体,该查询呼叫会话控制功能实体选择与该注册请求对应的业务呼叫会话控制功能实体,由该业务呼叫会话控制功能实体向HSS发起MAR消息,该HSS基于该MAR消息反馈与该用户终端对应的MAA消息。其中,所述MAA消息包括五元组鉴权向量,分别为:随机数据、鉴权序号、期望结果、完整性保护密钥、加密密钥。
步骤S32,接收会话控制功能实体基于MAA消息而反馈的挑战响应报文;
具体地,该业务呼叫会话控制功能实体从接收的MAA消息中取出期望结果这一鉴权向量,将其余四个鉴权向量的MAA消息反馈给代理呼叫会话控制功能实体并存储,该代理呼叫会话控制功能实体接着从接收的MAA消息中取出完整性保护密钥、加密密钥并存储,然后向用户终端发起携带随机数据及鉴权序号的挑战响应报文。
步骤S33,基于挑战响应报文重新构造注册请求;
具体地,该用户终端接收该挑战响应报文后,基于前述的共享密钥及该报文携带的随机数据计算对应的期望结果、完整性保护密钥、加密密钥,根据计算得到的期望结果、完整性保护密钥、加密密钥及报文携带的随机数据及鉴权序号重新构造注册请求。
优选地,该重新构造的注册请求与前述的注册请求的数据基本相同,差别在于,重新构造的注册请求中,参数nonce是从挑战响应报文中携带的nonce参数直接获取,该nonce参数包括随机数据及鉴权序号。而参数response包括前述计算所得的期望结果。
进一步地,构造的过程如下:
基于初始密钥及所述鉴权序号分别计算对应的期望结果、完整性保护密钥、加密密钥;
基于所计算的期望结果、完整性保护密钥、加密密钥及挑战响应报文携带的随机数据及鉴权序号重新构造注册请求。
步骤S34,将重新构造的注册请求发送给所述呼叫会话控制功能实体,以供呼叫会话控制功能实体基于MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
具体地,按照前述发送的注册请求的路径,通过加密通过发送给代理呼叫会话控制功能实体,该代理呼叫会话控制功能实体对该重新构造的注册请求进行解密,并对部分头域进行处理,然后将经过处理的注册请求发送给业务呼叫会话控制功能实体,由该业务呼叫会话控制功能实体基于MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。具体的鉴权过程可参考上述实施例一的描述,此处不再赘述。
在本实施例中,在用户终端接入IMS网络时,通过获取MAA消息来进行鉴权,而不是直接通过账号密码来鉴权识别,可提高鉴权的安全性及可靠性。
基于上述实施例一,图4示出了本发明第四实施例提供的一种IMS网络用户的鉴权装置的结构示意图。该装置包括:接收模块41、与接收模块41连接的获取模块42、与获取模块42连接的反馈模块43、与反馈模块43连接的鉴权模块44,其中:
接收模块41,用于接收代理呼叫会话控制功能实体发送的来自用户终端的注册请求;
具体地,接收代理呼叫会话控制功能实体发送的来自用户终端的注册请求,该代理呼叫会话控制功能实体首先接收用户终端发起的注册请求,该注册请求包括以下头域:Request-URI(这个头域指明了用户的归属域);From(指明注册用户的逻辑信息,即IMPU,该From的值与To头域的值不相同,但在UE发起的注册请求中,From带tag字段,而To只有非100的响应中才会带Tag);To(注册请求中,To头域和Request-URI头域是不同的);Call-ID(呼叫标识,在UE的一个注册-注销周期内,UE所有注册、重注册以及注销请求都应该有相同的Call-ID,即一个注册会话对应一个Call-ID);Cseq(注册请求的顺序);Contact:(可以有0个或者多个包含绑定地址信息的值,Contact带的参数expire(只在注册消息中有效)标识一个contact地址的有效时间);Expires(头域定义了注册超时时间,如果contact不带expire参数,就使用这个定义的时间值);Authorization(UE携带的鉴权信息,主要包括用户的IMPI,鉴权域等);Security-Client头域(指示UE使用IPSec AKA认证方式,其中alg为完整性保护算法,spi-c/spi-s为安全参数索引SPI(Security Parameter Index),port-c/port-s为UE的安全端口号);Require/Proxy-Require头域(指示UE要求使用IPSec AKA认证方式);然后该代理呼叫会话控制功能实体会检测SIP消息的合法性,在检测通过后,该代理呼叫会话控制功能实体基于预设的鉴权方式对接收的注册请求添加对应的信息,并将添加信息后的注册请求转发至查询呼叫会话控制功能实体,在本实施例的优选方案中,该添加的信息可包括:插入Path和Require:Path头域(由Pcscf产生,随着注册请求传输至Scscf,在注册完成后由SCSCF存储该头域信息);插入P-Charging-Vector头域(ICID(IMSCharging Identifier)的值全局唯一,有时限要求,ICID在超时时间内一直有效,用于不同运营商或不同网络间的计费标识);插入P-Visited-Network-ID头域(该头域会传给ICSCF,用于用户终端接入的合法性检测(如漫游权限检查),如果用户终端在注册消息中带P-Visited-Network-ID头域,PCSCF会删除这个字段,并重新创建这个头域);此外,该代理呼叫会话控制功能实体首先检测SIP消息的合法性,在检测通过后,还需要进行以下操作:检测Authorization头域是否含有挑战后的响应,如果是带鉴权响应的register,则插入“integrity-protected=yes”,否则插入“integrity-protected=no”(即是否有完整性保护,首条注册请求不携带此头域);删除Require/Proxy-Require头域,且将Security-Client头域保存到本地并从注册请求中删除该头域;保存Authorization头域的username参数值(即IMPI),后续UE的挑战消息、重注册、注销等消息经过PCSCF时,PCSCF都要取这个参数与最先存储的IMPI作比较,如果不相等,反馈拒绝响应。(按照Call-id去匹配IMPI,如果不相同,则拒绝);该代理呼叫会话控制功能实体进行上述操作后,将其发给查询呼叫会话控制功能实体,由查询呼叫会话控制功能实体选择对应的代理服务呼叫会话控制功能实体,将经过处理操作的注册请求发送给该代理服务呼叫会话控制功能实体。
获取模块42,用于基于注册请求从HSS中获取MAA消息;
具体地,基于该经过处理操作的注册请求向HSS发起MAR(MultimediaAuthentication Request)消息,该HSS基于MAR消息获取该用户终端的MAA消息,并反馈回来,该MAA消息中的参数“sipAuthDataItem”携带携带五元组鉴权向量,分别为:随机数据(RAND,Random Challenge)、鉴权序号(AUTN,Authenticaiton Token)、期望结果(XRES,Expected Response)、完整性保护密钥(IK,Integrity Key)、加密密钥(CK,CipheringKey)。
反馈模块43,用于通过代理呼叫会话控制功能实体向用户终端反馈携带随机数据及鉴权序号的挑战响应报文,并接收代理呼叫会话控制功能实体反馈的重新构造的注册请求;
具体地,该业务呼叫会话控制功能实体接收HSS反馈的MAA消息后,保存该期望结果,已被后续鉴权时使用,将MAA中的其他鉴权向量随401响应反馈给代理呼叫会话控制功能实体。由该代理呼叫会话控制功能实体从该401响应中取出加密密钥及完整性保护密钥这两个鉴权向量,用分配的SPI和端口信息构造Security-Server头域,生成挑战响应报文,将该挑战响应报文发送给用户终端,该用户终端接收该挑战响应报文后,根据该报文中的随机数据及预先共享的(与HSS共享)的密钥计算出对应的期望结果、加密密钥及完整性保护密钥,然后将计算出来的期望结果、加密密钥、完整性保护密钥及随机数据、鉴权序号重新构造注册请求,按照上一次发送的注册请求的路径,通过加密通道发给该代理呼叫会话控制功能实体。
鉴权模块44,用于基于MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
具体地,根据HSS反馈的MAA中的期望结果及该重新构造的注册请求携带的期望结果来进行鉴权,优选地,首先比较两次注册请求携带的呼叫标识是否一致,在呼叫标识一致的情况下,进一步比较MAA中的期望结果与该重新构造的注册请求携带的期望结果,若期望结果一致时,确定通过鉴权。
在本实施例中,在用户终端接入IMS网络时,通过获取MAA消息来进行鉴权,而不是直接通过账号密码来鉴权识别,可提高鉴权的安全性及可靠性。
图5示出了本发明第五实施例提供的一种呼叫会话控制功能实体的结构示意图。该呼叫会话控制功能实体包括:代理呼叫会话控制功能实体51、与所述代理呼叫会话控制功能实体51连接的查询呼叫会话控制功能实体52、与所述查询呼叫会话控制功能实体52连接的业务呼叫会话控制功能实体53,其中,业务呼叫会话控制功能实体53包括如上述实施例四所述的一种IMS网络用户的鉴权装置,为了便于理解,下面简述鉴权的具体过程:
用户终端接入IMS网络时,首先在用户终端中增设eUICC模块,然后下载profile,维装人员开通该用户终端,下载对应的profile,该profile携带鉴权信息,然后向代理呼叫会话控制功能实体51发起注册请求。需要说明的是,该用户终端预先与HSS共享密钥。
该代理呼叫会话控制功能实体51接收用户终端发起的注册请求,然后该代理呼叫会话控制功能实体51会检测SIP消息的合法性,在检测通过后,该代理呼叫会话控制功能实体51基于预设的鉴权方式对接收的注册请求添加对应的信息,并将添加信息后的注册请求转发至查询呼叫会话控制功能实体52,此外,该代理呼叫会话控制功能实体51首先检测SIP消息的合法性,在检测通过后,还需要进行以下操作:检测Authorization头域是否含有挑战后的响应,如果是带鉴权响应的register,则插入“integrity-protected=yes”,否则插入“integrity-protected=no”(即是否有完整性保护,首条注册请求不携带此头域);删除Require/Proxy-Require头域,且将Security-Client头域保存到本地并从注册请求中删除该头域;保存Authorization头域的username参数值(即IMPI),后续UE的挑战消息、重注册、注销等消息经过PCSCF时,PCSCF都要取这个参数与最先存储的IMPI作比较,如果不相等,反馈拒绝消息。(按照Call-id去匹配IMPI,如果不相同,则拒绝);该代理呼叫会话控制功能实体51进行上述操作后,将其发给查询呼叫会话控制功能实体52,由查询呼叫会话控制功能实体52选择对应的代理服务呼叫会话控制功能实体53,将经过处理操作的注册请求发送给该代理服务呼叫会话控制功能实体53。
该代理服务呼叫会话控制功能实体53基于该经过处理操作的注册请求向HSS发起MAR消息,该HSS基于MAR消息获取该用户终端的MAA消息,并反馈回来,该业务呼叫会话控制功能实体53接收HSS反馈的MAA消息后,保存该期望结果,以备后续鉴权时使用,将MAA中的其他鉴权向量反馈给代理呼叫会话控制功能实体51,由该代理呼叫会话控制功能实体51从该MAA中取出加密密钥及完整性保护密钥这两个鉴权向量,用分配的SPI和端口信息构造Security-Server头域,生成挑战响应报文,将该挑战响应报文发送给用户终端,该用户终端接收该挑战响应报文后,根据该报文中的随机数据及预先共享的的密钥计算出对应的期望结果、加密密钥及完整性保护密钥,然后将计算出来的期望结果、加密密钥、完整性保护密钥及随机数据、鉴权序号重新构造注册请求,按照上一次发送的注册请求的路径,通过加密通道发给该代理呼叫会话控制功能实体51,由该代理呼叫会话控制功能实体51转发给业务呼叫会话控制功能实体53,业务呼叫会话控制功能实体53根据HSS反馈的MAA中的期望结果及该重新构造的注册请求携带的期望结果来进行鉴权,优选地,首先比较两次注册请求携带的呼叫标识是否一致,在呼叫标识一致的情况下,进一步比较MAA中的期望结果与该重新构造的注册请求携带的期望结果,若期望结果一致时,确定通过鉴权。
在本实施例中,在用户终端接入IMS网络时,通过获取MAA消息来进行鉴权,而不是直接通过账号密码来鉴权识别,可提高鉴权的安全性及可靠性。
其次,通过期望结果及呼叫标识来双重鉴权,进一步提高鉴权的准确性。
本发明第六实施例还提供了一种计算机存储介质,所述计算机存储介质包括存储在计算机存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使所述计算机执行上述第一实施例中的一种IMS网络用户的鉴权方法。
可执行指令具体可以用于使得处理器执行以下操作:
接收代理呼叫会话控制功能实体发送的来自用户终端的注册请求;
基于所述注册请求从HSS中获取MAA消息,所述MAA消息包括随机数据和鉴权序号;
通过所述代理呼叫会话控制功能实体向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文,并接收所述代理呼叫会话控制功能实体反馈的重新构造的注册请求,所述重新构造的注册请求是由所述用户终端基于所述挑战响应报文重新构造的;
基于所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
在一种可选的方式中,所述MAA消息中还包括期望结果,所述用户终端的注册请求与所述重新构造的注册请求均包括对应的呼叫标识,所述重新构造的注册请求携带对应的期望结果,所述可执行指令使所述处理器执行以下操作:
将所述用户终端的注册请求中的呼叫标识与所述重新构造的注册请求中的呼叫标识进行比对;
若呼叫标识一致,将所述MAA消息中的期望结果与所述重构的注册请求中的期望结果进行比对,若期望结果一致,确定通过鉴权。
在一种可选的方式中,所述MAA消息还包括完整性保护密钥和加密密钥;所述可执行指令使所述处理器执行以下操作:
从所述MAA消息中取出所述期望结果,将除去所述期望结果的MAA消息发送给所述代理呼叫会话控制功能实体,以供所述代理呼叫会话控制功能实体从所述除去所述期望结果的MAA消息中取出所述完整性保护密钥、加密密钥,并向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文。
本发明第七实施例还提供了一种计算机存储介质,所述计算机存储介质包括存储在计算机存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使所述计算机执行上述第二实施例中的一种IMS网络用户的鉴权方法。
可执行指令具体可以用于使得处理器执行以下操作:
接收用户终端发起的注册请求,所述注册请求携带预设鉴权方式;
根据所述预设鉴权方式在所述注册请求中添加对应的信息,并将添加信息后的注册请求转发至查询呼叫会话控制功能实体,以供所述查询呼叫会话控制功能实体选择对应的业务呼叫会话控制功能实体,并由所述业务呼叫会话控制功能实体基于所述添加信息后的注册请求从HSS中获取对应的MAA消息,并接收所述述业务呼叫会话控制功能实体反馈的除去期望结果的MAA消息,所述MAA消息包括随机数据、鉴权序号、期望结果、完整性保护密钥和加密密钥;
从除去所述期望结果的MAA消息中除去所述完整性保护密钥和加密密钥,并向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文,并接收所述用户终端基于所述挑战响应报文重新构造的注册请求;
将所述重新构造的注册请求发送给所述业务呼叫会话控制功能实体,以供所述业务呼叫会话控制功能实体根据所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
本发明第八实施例还提供了一种计算机存储介质,所述计算机存储介质包括存储在计算机存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使所述计算机执行上述第三实施例中的一种IMS网络用户的鉴权方法。
可执行指令具体可以用于使得处理器执行以下操作:
向呼叫会话控制功能实体发起注册请求,以供所述会话控制功能实体基于所述注册请求从HSS中获取的MAA消息;
接收所述会话控制功能实体基于所述MAA消息而反馈的挑战响应报文,所述MAA消息包括随机数据、鉴权序号、期望结果、完整性保护密钥和加密密钥,所述挑战响应报文携带所述随机数据及鉴权序号;
基于所述挑战响应报文重新构造注册请求;
将所述重新构造的注册请求发送给所述呼叫会话控制功能实体,以供所述呼叫会话控制功能实体基于所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
基于初始密钥及所述鉴权序号分别计算对应的期望结果、完整性保护密钥和加密密钥;
基于所计算的期望结果、完整性保护密钥、加密密钥及所述挑战响应报文携带的随机数据及鉴权序号重新构造注册请求。
图6示出了本发明第九实施例提供的一种设备的结构示意图,本发明具体实施例并不对设备的具体实现做限定。
如图6所示,该设备可以包括:处理器(processor)602、通信接口(CommunicationsInterface)604、存储器(memory)606、以及通信总线608。
其中:处理器602、通信接口604、以及存储器606通过通信总线608完成相互间的通信。通信接口604,用于与其它设备比如客户端或其它服务器等的网元通信。处理器602,用于执行程序610,具体可以执行上述第一实施例中的一种IMS网络用户的鉴权方法的相关步骤。
具体地,程序610可以包括程序代码,该程序代码包括计算机操作指令。
处理器602可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器606,用于存放程序610。存储器606可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序610具体可以用于使得处理器602执行以下操作:
接收代理呼叫会话控制功能实体发送的来自用户终端的注册请求;
基于所述注册请求从HSS中获取MAA消息,所述MAA消息包括随机数据和鉴权序号;
通过所述代理呼叫会话控制功能实体向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文,并接收所述代理呼叫会话控制功能实体反馈的重新构造的注册请求,所述重新构造的注册请求是由所述用户终端基于所述挑战响应报文重新构造的;
基于所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
在一种可选的方式中,所述MAA消息中还包括期望结果,所述用户终端的注册请求与所述重新构造的注册请求均包括对应的呼叫标识,所述重新构造的注册请求携带对应的期望结果,所述程序610使所述处理器602执行以下操作:
将所述用户终端的注册请求中的呼叫标识与所述重新构造的注册请求中的呼叫标识进行比对;
若呼叫标识一致,将所述MAA消息中的期望结果与所述重构的注册请求中的期望结果进行比对,若期望结果一致,确定通过鉴权。
在一种可选的方式中,所述MAA消息还包括完整性保护密钥和加密密钥,所述程序610使所述处理器602执行以下操作:
从所述MAA消息中取出所述期望结果,将除去所述期望结果的MAA消息发送给所述代理呼叫会话控制功能实体,以供所述代理呼叫会话控制功能实体从所述除去所述期望结果的MAA消息中取出所述完整性保护密钥、加密密钥,并向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文。
图7示出了本发明第十实施例提供的一种设备的结构示意图,本发明具体实施例并不对设备的具体实现做限定。
如图7所示,该设备可以包括:处理器(processor)702、通信接口(CommunicationsInterface)704、存储器(memory)706、以及通信总线708。
其中:处理器702、通信接口704、以及存储器706通过通信总线708完成相互间的通信。通信接口704,用于与其它设备比如客户端或其它服务器等的网元通信。处理器702,用于执行程序710,具体可以执行上述第二实施例中的一种IMS网络用户的鉴权方法的相关步骤。
具体地,程序710可以包括程序代码,该程序代码包括计算机操作指令。
处理器702可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器706,用于存放程序710。存储器706可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序710具体可以用于使得处理器702执行以下操作:
接收用户终端发起的注册请求,所述注册请求携带预设鉴权方式;
根据所述预设鉴权方式在所述注册请求中添加对应的信息,并将添加信息后的注册请求转发至查询呼叫会话控制功能实体,以供所述查询呼叫会话控制功能实体选择对应的业务呼叫会话控制功能实体,并由所述业务呼叫会话控制功能实体基于所述添加信息后的注册请求从HSS中获取对应的MAA消息,并接收所述述业务呼叫会话控制功能实体反馈的除去期望结果的MAA消息,所述MAA消息包括随机数据、鉴权序号、期望结果、完整性保护密钥和加密密钥;
从除去所述期望结果的MAA消息中除去所述完整性保护密钥和加密密钥,并向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文,并接收所述用户终端基于所述挑战响应报文重新构造的注册请求;
将所述重新构造的注册请求发送给所述业务呼叫会话控制功能实体,以供所述业务呼叫会话控制功能实体根据所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
图8示出了本发明第十一实施例提供的一种设备的结构示意图,本发明具体实施例并不对设备的具体实现做限定。
如图8所示,该设备可以包括:处理器(processor)802、通信接口(CommunicationsInterface)804、存储器(memory)806、以及通信总线808。
其中:处理器802、通信接口804、以及存储器806通过通信总线808完成相互间的通信。通信接口804,用于与其它设备比如客户端或其它服务器等的网元通信。处理器802,用于执行程序810,具体可以执行上述第三实施例中的一种IMS网络用户的鉴权方法的相关步骤。
具体地,程序810可以包括程序代码,该程序代码包括计算机操作指令。
处理器802可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器806,用于存放程序810。存储器806可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序810具体可以用于使得处理器802执行以下操作:
向呼叫会话控制功能实体发起注册请求,以供所述会话控制功能实体基于所述注册请求从HSS中获取的MAA消息;
接收所述会话控制功能实体基于所述MAA消息而反馈的挑战响应报文,所述MAA消息包括随机数据、鉴权序号、期望结果、完整性保护密钥和加密密钥,所述挑战响应报文携带所述随机数据及鉴权序号;
基于所述挑战响应报文重新构造注册请求;
将所述重新构造的注册请求发送给所述呼叫会话控制功能实体,以供所述呼叫会话控制功能实体基于所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
在一种可选的方式中,所述程序810使所述处理器802执行以下操作:
基于初始密钥及所述鉴权序号分别计算对应的期望结果、完整性保护密钥和加密密钥;
基于所计算的期望结果、完整性保护密钥、加密密钥及所述挑战响应报文携带的随机数据及鉴权序号重新构造注册请求。
在本发明中,在用户终端接入IMS网络时,通过获取MAA消息来进行鉴权,而不是直接通过账号密码来鉴权识别,可提高鉴权的安全性及可靠性。
其次,通过期望结果及呼叫标识来双重鉴权,进一步提高鉴权的准确性。
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。
Claims (10)
1.一种IMS网络用户的鉴权方法,其特征在于,所述方法包括:
接收代理呼叫会话控制功能实体发送的来自用户终端的注册请求;
基于所述注册请求从HSS中获取MAA消息,所述MAA消息包括随机数据和鉴权序号;
通过所述代理呼叫会话控制功能实体向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文,并接收所述代理呼叫会话控制功能实体反馈的重新构造的注册请求,所述重新构造的注册请求是由所述用户终端基于所述挑战响应报文重新构造的;
基于所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
2.如权利要求1所述的方法,其特征在于,所述MAA消息中还包括期望结果,所述用户终端的注册请求与所述重新构造的注册请求均包括对应的呼叫标识,所述重新构造的注册请求携带对应的期望结果;
所述基于所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果,包括:
将所述用户终端的注册请求中的呼叫标识与所述重新构造的注册请求中的呼叫标识进行比对;
若呼叫标识一致,将所述MAA消息中的期望结果与所述重构的注册请求中的期望结果进行比对,若期望结果一致,确定通过鉴权。
3.如权利要求2所述的方法,其特征在于,所述MAA消息还包括完整性保护密钥和加密密钥;
所述通过所述代理呼叫会话控制功能实体向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文,包括:
从所述MAA消息中取出所述期望结果,将除去所述期望结果的MAA消息发送给所述代理呼叫会话控制功能实体,以供所述代理呼叫会话控制功能实体从所述除去所述期望结果的MAA消息中取出所述完整性保护密钥、加密密钥,并向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文。
4.一种IMS网络用户的鉴权方法,其特征在于,所述方法包括:
接收用户终端发起的注册请求,所述注册请求携带预设鉴权方式;
根据所述预设鉴权方式在所述注册请求中添加对应的信息,并将添加信息后的注册请求转发至查询呼叫会话控制功能实体,以供所述查询呼叫会话控制功能实体选择对应的业务呼叫会话控制功能实体,并由所述业务呼叫会话控制功能实体基于所述添加信息后的注册请求从HSS中获取对应的MAA消息,并接收所述述业务呼叫会话控制功能实体反馈的除去期望结果的MAA消息,所述MAA消息包括随机数据、鉴权序号、期望结果、完整性保护密钥和加密密钥;
从除去所述期望结果的MAA消息中除去所述完整性保护密钥和加密密钥,并向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文,并接收所述用户终端基于所述挑战响应报文重新构造的注册请求;
将所述重新构造的注册请求发送给所述业务呼叫会话控制功能实体,以供所述业务呼叫会话控制功能实体根据所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
5.一种IMS网络用户的鉴权方法,其特征在于,所述方法包括:
向呼叫会话控制功能实体发起注册请求,以供所述会话控制功能实体基于所述注册请求从HSS中获取的MAA消息;
接收所述会话控制功能实体基于所述MAA消息而反馈的挑战响应报文,所述MAA消息包括随机数据、鉴权序号、期望结果、完整性保护密钥和加密密钥,所述挑战响应报文携带所述随机数据及鉴权序号;
基于所述挑战响应报文重新构造注册请求;
将所述重新构造的注册请求发送给所述呼叫会话控制功能实体,以供所述呼叫会话控制功能实体基于所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
6.如权利要求5所述的方法,其特征在于,所述基于所述挑战响应报文重新构造注册请求,包括:
基于初始密钥及所述鉴权序号分别计算对应的期望结果、完整性保护密钥和加密密钥;
基于所计算的期望结果、完整性保护密钥、加密密钥及所述挑战响应报文携带的随机数据及鉴权序号重新构造注册请求。
7.一种IMS网络用户的鉴权装置,其特征在于,包括:
接收模块,用于接收代理呼叫会话控制功能实体发送的来自用户终端的注册请求;
获取模块,用于基于所述注册请求从HSS中获取MAA消息,所述MAA消息包括随机数据和鉴权序号;
反馈模块,用于通过所述代理呼叫会话控制功能实体向所述用户终端反馈携带所述随机数据及鉴权序号的挑战响应报文,并接收所述代理呼叫会话控制功能实体反馈的重新构造的注册请求,所述重新构造的注册请求是由所述用户终端基于所述挑战响应报文重新构造的;
鉴权模块,用于基于所述MAA消息及所述重新构造的注册请求进行鉴权,得到对应的鉴权结果。
8.一种呼叫会话控制功能实体,其特征在于,包括:代理呼叫会话控制功能实体、与所述代理呼叫会话控制功能实体连接的查询呼叫会话控制功能实体和与所述查询呼叫会话控制功能实体连接的业务呼叫会话控制功能实体,所述业务呼叫会话控制功能实体包括如权利要求7所述的IMS网络用户的鉴权装置。
9.一种设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行根据权利要求1-3、4或5-6任一项所述IMS网络用户的鉴权方法的步骤。
10.一种可读计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行根据权利要求1-3、4或5-6任一项所述IMS网络用户的鉴权方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911174782.XA CN112953718A (zh) | 2019-11-26 | 2019-11-26 | Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911174782.XA CN112953718A (zh) | 2019-11-26 | 2019-11-26 | Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112953718A true CN112953718A (zh) | 2021-06-11 |
Family
ID=76225054
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911174782.XA Pending CN112953718A (zh) | 2019-11-26 | 2019-11-26 | Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112953718A (zh) |
Citations (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1658551A (zh) * | 2004-02-16 | 2005-08-24 | 华为技术有限公司 | 安全能力协商方法 |
| CN1870822A (zh) * | 2005-10-19 | 2006-11-29 | 华为技术有限公司 | 一种非ims移动终端接入ims域的鉴权注册方法及装置 |
| CN1874278A (zh) * | 2005-10-21 | 2006-12-06 | 华为技术有限公司 | 一种注册方法、代理装置与注册系统 |
| CN1913438A (zh) * | 2006-08-29 | 2007-02-14 | 华为技术有限公司 | 一种鉴权协商方法及一种通讯系统 |
| US20070195805A1 (en) * | 2004-10-27 | 2007-08-23 | Telefonaktiebolaget Lm Ericsson (Publ) | IP multimedia subsystem access method and apparatus |
| CN101026454A (zh) * | 2006-02-24 | 2007-08-29 | 中兴通讯股份有限公司 | 一种用户终端接入软交换系统的安全交互方法 |
| CN101083838A (zh) * | 2007-06-29 | 2007-12-05 | 中兴通讯股份有限公司 | Ip多媒体子系统中的http摘要鉴权方法 |
| CN101094063A (zh) * | 2006-07-19 | 2007-12-26 | 中兴通讯股份有限公司 | 一种游牧终端接入软交换网络系统的安全交互方法 |
| CN101127769A (zh) * | 2007-08-20 | 2008-02-20 | 华为技术有限公司 | 基于会话发起协议的用户注册的方法、系统及终端、服务器 |
| CN101197673A (zh) * | 2006-12-05 | 2008-06-11 | 中兴通讯股份有限公司 | 固定网络接入ims双向认证及密钥分发方法 |
| CN101448316A (zh) * | 2008-04-25 | 2009-06-03 | 中兴通讯股份有限公司 | 叠加注册的实现方法 |
| CN101873298A (zh) * | 2009-04-21 | 2010-10-27 | 华为软件技术有限公司 | 注册方法及终端、服务器、系统 |
| US20120144457A1 (en) * | 2010-12-06 | 2012-06-07 | Verizon Patent And Licensing Inc. | Method and system for providing registration of an application instance |
| CN102857900A (zh) * | 2011-06-27 | 2013-01-02 | 中兴通讯股份有限公司 | 接入设备接入ims网络方法及agcf和s-cscf |
| CN103370899A (zh) * | 2011-02-14 | 2013-10-23 | 瑞典爱立信有限公司 | 无线设备、注册服务器和无线设备预配置方法 |
| CN104735664A (zh) * | 2015-03-12 | 2015-06-24 | 大唐移动通信设备有限公司 | 一种鉴权方法及装置 |
| CN106998572A (zh) * | 2016-01-25 | 2017-08-01 | 中国移动通信集团公司 | 一种sbc故障恢复后负载均衡方法及s-cscf、ue |
| CN108668274A (zh) * | 2017-03-29 | 2018-10-16 | 中国移动通信集团北京有限公司 | 一种实现VoLTE IMS注册的方法及装置 |
| CN108881118A (zh) * | 2017-05-12 | 2018-11-23 | 大唐移动通信设备有限公司 | 一种ims级联组网方法及设备 |
| CN109413085A (zh) * | 2018-11-15 | 2019-03-01 | Oppo广东移动通信有限公司 | 一种控制VoLTE用户注册的方法及装置、设备、存储介质 |
| US20190174449A1 (en) * | 2018-02-09 | 2019-06-06 | Intel Corporation | Technologies to authorize user equipment use of local area data network features and control the size of local area data network information in access and mobility management function |
| CN110035433A (zh) * | 2018-01-11 | 2019-07-19 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
-
2019
- 2019-11-26 CN CN201911174782.XA patent/CN112953718A/zh active Pending
Patent Citations (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1658551A (zh) * | 2004-02-16 | 2005-08-24 | 华为技术有限公司 | 安全能力协商方法 |
| US20070195805A1 (en) * | 2004-10-27 | 2007-08-23 | Telefonaktiebolaget Lm Ericsson (Publ) | IP multimedia subsystem access method and apparatus |
| CN1870822A (zh) * | 2005-10-19 | 2006-11-29 | 华为技术有限公司 | 一种非ims移动终端接入ims域的鉴权注册方法及装置 |
| CN1874278A (zh) * | 2005-10-21 | 2006-12-06 | 华为技术有限公司 | 一种注册方法、代理装置与注册系统 |
| CN101026454A (zh) * | 2006-02-24 | 2007-08-29 | 中兴通讯股份有限公司 | 一种用户终端接入软交换系统的安全交互方法 |
| CN101094063A (zh) * | 2006-07-19 | 2007-12-26 | 中兴通讯股份有限公司 | 一种游牧终端接入软交换网络系统的安全交互方法 |
| CN1913438A (zh) * | 2006-08-29 | 2007-02-14 | 华为技术有限公司 | 一种鉴权协商方法及一种通讯系统 |
| CN101197673A (zh) * | 2006-12-05 | 2008-06-11 | 中兴通讯股份有限公司 | 固定网络接入ims双向认证及密钥分发方法 |
| CN101083838A (zh) * | 2007-06-29 | 2007-12-05 | 中兴通讯股份有限公司 | Ip多媒体子系统中的http摘要鉴权方法 |
| CN101127769A (zh) * | 2007-08-20 | 2008-02-20 | 华为技术有限公司 | 基于会话发起协议的用户注册的方法、系统及终端、服务器 |
| CN101448316A (zh) * | 2008-04-25 | 2009-06-03 | 中兴通讯股份有限公司 | 叠加注册的实现方法 |
| CN101873298A (zh) * | 2009-04-21 | 2010-10-27 | 华为软件技术有限公司 | 注册方法及终端、服务器、系统 |
| US20120144457A1 (en) * | 2010-12-06 | 2012-06-07 | Verizon Patent And Licensing Inc. | Method and system for providing registration of an application instance |
| CN103370899A (zh) * | 2011-02-14 | 2013-10-23 | 瑞典爱立信有限公司 | 无线设备、注册服务器和无线设备预配置方法 |
| CN102857900A (zh) * | 2011-06-27 | 2013-01-02 | 中兴通讯股份有限公司 | 接入设备接入ims网络方法及agcf和s-cscf |
| CN104735664A (zh) * | 2015-03-12 | 2015-06-24 | 大唐移动通信设备有限公司 | 一种鉴权方法及装置 |
| CN106998572A (zh) * | 2016-01-25 | 2017-08-01 | 中国移动通信集团公司 | 一种sbc故障恢复后负载均衡方法及s-cscf、ue |
| CN108668274A (zh) * | 2017-03-29 | 2018-10-16 | 中国移动通信集团北京有限公司 | 一种实现VoLTE IMS注册的方法及装置 |
| CN108881118A (zh) * | 2017-05-12 | 2018-11-23 | 大唐移动通信设备有限公司 | 一种ims级联组网方法及设备 |
| CN110035433A (zh) * | 2018-01-11 | 2019-07-19 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
| US20190174449A1 (en) * | 2018-02-09 | 2019-06-06 | Intel Corporation | Technologies to authorize user equipment use of local area data network features and control the size of local area data network information in access and mobility management function |
| CN109413085A (zh) * | 2018-11-15 | 2019-03-01 | Oppo广东移动通信有限公司 | 一种控制VoLTE用户注册的方法及装置、设备、存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 党岚君;寇卫东;赵斌;: "匿名鉴别的移动IP注册协议", 四川大学学报(工程科学版), no. 05 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1879324B1 (en) | A method for authenticating user terminal in ip multimedia sub-system | |
| US8880873B2 (en) | Method, system and device for authenticating cardless terminal using application server | |
| US7574735B2 (en) | Method and network element for providing secure access to a packet data network | |
| CN101573934B (zh) | 在通信网络中的鉴别 | |
| EP2422539B1 (en) | Mobile device security | |
| EP1994707B1 (en) | Access control in a communication network | |
| US9264411B2 (en) | Methods, apparatuses and computer program product for user equipment authorization based on matching network access technology specific identification information | |
| CN102196426B (zh) | 一种接入ims网络的方法、装置和系统 | |
| WO2017116896A1 (en) | Method and apparatus for binding of a user-based public identity to a shared device in an internet protocol multimedia subsystem (ims)-based communication system | |
| WO2017092229A1 (zh) | 基于多业务的ims注册方法和ims注册系统 | |
| KR20150058534A (ko) | 인증 정보 전송 | |
| EP2250791B1 (en) | Securing contact information | |
| US9326141B2 (en) | Internet protocol multimedia subsystem (IMS) authentication for non-IMS subscribers | |
| CN102065069B (zh) | 一种身份认证方法、装置和系统 | |
| US11405764B2 (en) | Multiple parallel WebRTC accesses to IMS | |
| CN112953718A (zh) | Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 | |
| US8683034B2 (en) | Systems, methods and computer program products for coordinated session termination in an IMS network | |
| CN113162886A (zh) | Pbx注册方法、设备及系统 | |
| CN115022878B (zh) | 对选定VoLTE用户接管的方法、设备及介质 | |
| JP4980813B2 (ja) | 認証処理装置、認証処理方法及び認証処理システム | |
| CN109120572A (zh) | Sip信令解密方法、装置、系统及计算机可读存储介质 | |
| Chen et al. | Improved authentication and key agreement procedure in IP multimedia subsystem for UMTS | |
| Sher et al. | Enhanced SIP security for air interface (Gm) between IMS core and client |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |