CN1901448B - 通信网络中接入认证的系统及实现方法 - Google Patents

通信网络中接入认证的系统及实现方法 Download PDF

Info

Publication number
CN1901448B
CN1901448B CN 200510085492 CN200510085492A CN1901448B CN 1901448 B CN1901448 B CN 1901448B CN 200510085492 CN200510085492 CN 200510085492 CN 200510085492 A CN200510085492 A CN 200510085492A CN 1901448 B CN1901448 B CN 1901448B
Authority
CN
China
Prior art keywords
authentication
client
service
cscf
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN 200510085492
Other languages
English (en)
Other versions
CN1901448A (zh
Inventor
李英涛
何均宏
张涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN 200510085492 priority Critical patent/CN1901448B/zh
Priority to EP06753062A priority patent/EP1909430A4/en
Priority to PCT/CN2006/001497 priority patent/WO2007009343A1/zh
Publication of CN1901448A publication Critical patent/CN1901448A/zh
Application granted granted Critical
Publication of CN1901448B publication Critical patent/CN1901448B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明涉及一种通信网络中接入认证的实现方法。本发明的核心为由客户端向集中认证服务器发起认证并获得集中认证结果,之后,由客户端将所述集中认证结果随业务请求消息一起发送给服务提供认证节点,并由所述的服务提供认证节点对其进行需要获取的服务的认证及综合认证处理,获得针对客户端的认证结果。因此,本发明的实现可以支持第三方认证和增值服务商的融合应用,比如第三方CA(认证中心)在银行和用户间的认证作用,银行在用户和商行之间的认证作用。同时,本发明还可以支持运营商数据网络和增值业务提供商的融合应用,以及SIP(会话初始协议)网络和Web网络的融合应用。

Description

通信网络中接入认证的系统及实现方法 
技术领域
本发明涉及网络通信技术领域,尤其涉及一种通信网络中接入认证的系统及实现方法。 
背景技术
NGN(下一代网络)与Internet(互联网)是目前相互独立又相互依存的两大网络体系。NGN定义的业务融合NGI(下一代互联网)的业务,尤其是NGN的新业务均来源于NGI。 
两网融合的关键之一就是用户及用户属性的融合,从而保证用户能够在NGN和NGI网络上都能够通过认证并获取服务。 
目前,Passport是微软设计的一种用户在线认证服务。Passport的签约网站可以享用这种用户身份认证服务,而无需纠缠于维护自己用户认证系统。但是,需要注意的是,Passport服务本身并不涉及用户权限的授予问题,这个业务还需由具体的ASP(应用服务提供商)来完成。 
Passport提供的基本服务是SSI(Single Sign-In,一次性登入),另外,Passport也提供两项可选择的服务: 
(1)Passport快速支付:存储用户的信用卡信息,以方便电子交易的过程; 
(2)儿童Passport服务:使儿童拥有自己特定的身份,享受一定的社会保护。 
目前的Passport 1.0版本中含有如下个人信息: 
User′s first and last names,用户的姓名; 
Nickname,昵称; 
Gender,性别; 
Date of birth,生日; 
Preferred language,首选语言; 
Time zone,时区; 
Occupation,职业; 
Secret question and answer,秘密的问题及答案,用于找回用户忘记的口令信息。 
如果是Passport快速支付服务,则还有Passport Wallet Profile(护照的电子钱夹参数集)信息。值得注意的是在Passport2.0版本中,微软将允许ASP和ISP(服务提供者)为其用户创建和维护Passport。 
在签约网站的登录网页,用户输入Passport登录名和密码。用户被重定向到Passport服务器,并获得个人的Cookie Profile(Cookie参数集)加密信息。在签约网站服务器上的COM组件——Passport Manager(口令管理)将接受并解密这些信息,并决定用户是否有相应的权限。在访问其他Passport签约网址的时候,Passport直接向其提供Cookie Profile,无需再次输入用户名和密码(这个功能叫Cobranding)。最后,当用户从Passport中退出时,系统将在本地删除Cookie Profile。 
由此可见,Passport是一种集中的认证系统,用户信息以Triple DES(三次数据加密)加密方法保存在Passport集中数据库中,并且通过SSL(加密套接字协议层)协议进行传送。Passport将根据不同的签约网站,提供不同的Triple DES密匙。 
虽然,对于绝大多数用户来说,上述认证机制提供的安全保证是值得信赖的,因此他们可以在自己的电脑上放心存放个人资料。然而,去年一名研究人员在Passport认证服务中再次发现漏洞,包括用户名、密码和信用卡密码等在内的用户信息均有可能通过这一漏洞被窃,超过2亿台计算机受到波及。这一漏洞是如此的明显以至于引得人们极为恐慌。黑客只需输入一个带有Passport用户名的URL(指定位置信息)就可利用Passprot服务器的密码重设服务获取新的密码。因此,这种认证机制存在的安全隐患使得Passport认证服务无法可靠地在网络通信中为提供相应的认证服务。
另外,由Passport的自身特性导致其无法支持HSS(归属用户服务器)的基本功能。同时,也无法支持各种CSCF(呼叫会话控制功能)实体及交互协议,从而无法建立起实时的通信连接,因此,其在电信网中的应用必将受到限制。 
综上所述,可以看出,Passport认证机制在通信网络中的应用存在着相应的安全隐患及局限性。 
发明内容
鉴于上述现有技术所存在的问题,本发明的目的是提供一种通信网络中接入认证的系统及实现方法,从而提高网络通信过程中提供各种服务的认证过程的安全、便捷及可靠性。 
本发明的目的是通过以下技术方案实现的: 
本发明提供了一种通信网络中接入认证的系统,包括: 
客户端:向集中认证服务器及服务提供认证节点发起认证,并获取服务提供节点提供的服务; 
集中认证服务器:用于对客户端的接入网络过程进行认证处理; 
服务提供认证节点:用于对客户端需要获取的服务进行认证处理; 
综合认证处理模块:根据所述集中认证服务器的认证结果,对客户端接 入网络并获取服务的过程进行综合认证。 
所述的综合认证处理模块可以内置于集中认证服务器和/或服务提供节点中。 
所述的集中认证服务器包括: 
通信网络中的鉴权、认证、计费服务器AAAS。 
所述的服务提供认证节点至少包括一个,且所述的服务提供认证节点包括:内容提供节点CP和/或服务提供节点SP。 
本发明还提供了一种通信网络中接入认证的实现方法,包括: 
A、客户端向集中认证服务器发起认证并获得集中认证结果; 
B、客户端将所述集中认证结果随业务请求消息一起发送给服务提供认证节点,并由所述的服务提供认证节点根据所述集中认证结果,对客户端进行获取服务的认证处理,获得针对客户端的综合认证结果。 
所述的方法还包括: 
客户端向服务提供认证节点发送业务请求消息,所述的服务提供认证节点通知客户端向集中认证服务器进行认证处理,并执行步骤A。 
所述的步骤A具体包括: 
客户端向集中认证服务器发送认证请求消息,消息中携带着客户端的网络属性、设备属性、服务属性和/或身份属性信息; 
集中认证服务器对所述的认证请求消息进行认证确定相应的客户端本次业务允许的参数信息,并作为集中认证结果返回给客户端。 
所述的业务请求消息中承载的信息包括: 
客户端的设备属性、服务属性和/或身份属性信息。 
所述步骤B中获得针对客户端的综合认证结果包括: 
服务提供节点根据客户端获取服务的认证结果,比较本身的服务列表和服务参数确定所述客户端是否接入服务。 
在互联网多媒体子网IMS中,该方法还包括: 
C、当客户端完成给定认证处理获得综合认证结果后,由业务呼叫会话控制功能S-CSCF将客户端的能力信息注册到用户归属服务器HSS上。 
所述的步骤C具体包括: 
客户端向代理呼叫会话控制功能P-CSCF发送携带着所述客户端能力信息的注册消息; 
P-CSCF将所述的注册消息发送到客户端归属的网络中的查询呼叫会话控制功能I-CSCF,并由I-CSCF向HSS查询获得S-CSCF的信息; 
I-CSCF将所述注册消息发送给S-CSCF,并由S-CSCF将注册消息中客户端的能力信息注册到HSS上,同时,由S-CSCF根据所述能力信息对客户端开展的业务进行控制操作。 
所述的S-CSCF将注册消息中客户端的能力信息注册到HSS上包括: 
HSS对客户端要求注册的能力信息进行认证,或要求其他实体对所述能力信息进行认证,当认证通过后,再将该客户端的能力信息注册到HSS上。 
本发明中,在执行所述的步骤C之后,还包括: 
主叫客户端向被叫客户端发起呼叫时,则将被叫客户端的能力信息发送到HSS,查询对应的被叫客户端终端,并返回; 
根据返回的被叫客户端终端的信息发起呼叫处理。 
由上述本发明提供的技术方案可以看出,本发明提供的认证方式可以支持广泛的网络融合和业务融合应用,包括: 
支持第三方认证和增值服务商的融合应用,比如第三方CA(认证中心)在银行和用户间的认证作用,银行在用户和商行之间的认证作用; 
支持运营商数据网络和增值业务提供商的融合应用,增值业务提供商通过运营商网络,获取用户的可信认证,从而提供可运营的增值业务; 
SIP(会话初始协议)网络和Web网络的融合应用,SIP网络提供用户丰富的网络属性,对提供有质量保证的网络业务有很大的便利。 
附图说明
图1为本发明所述的系统的结构示意图; 
图2为本发明所述的间接认证模式的处理流程示意图; 
图3为图2的应用场景示意图; 
图4为本发明所述的直接认证模式的处理流程示意图; 
图5为图4的应用场景示意图; 
图6为本发明应用于IMS中的处理过程示意图; 
图7为应用本发明的呼叫处理过程示意图。 
具体实施方式
本发明主要是针对用户属于NGN(下一代网络)、又属于NGI(下一代互联网)等的多归属的应用环境提供一种多归属多次认证机制,即相互之间可以互相利用其他方的认证结果进行综合认证,且可以触发客户端的其他归属的认证过程。 
本发明在具体实现过程中包括以下处理内容: 
第一,定义用户多归属多次认证的机制; 
第二,增加用户的身份属性; 
第三,增加用户的内容属性; 
第四,增加用户的网络属性。 
为对本发明有进一步的理解,下面将结合附图对本发明的具体实现方式进行详细的说明。 
本发明在具体实现过程中具体包括:多个节点的定义、认证属性、多次认证机制。 
1、多个节点的定义 
定义多个主要节点,如图1所示,如Client(客户端)和3Aserver(鉴权、认证、授权服务器)、CP(内容提供)节点、SP(服务提供)节点,以及节点间的相互认证协议; 
节点1即Client,是用户的服务执行和服务呈现节点,节点1定义了一种通用用户终端,及其统一客户端; 
节点2即3AServer,定义了一种集中认证服务器,即节点2是服务认证(保证)节点,支持多种认证协议和通用认证协议; 
节点3即CP,节点3是服务集中节点,可通过不同的节点2与节点1通信,把自身的信息发给节点1,把节点1的信息通过节点2发给节点4; 
节点4即SP,节点4是服务提供节点,可通过节点3和节点1通信,了解节点1的定义和需求,把自身的内容通过节点2发给节点1; 
所述的节点2至节点4可以合并。 
2、认证属性 
所述认证属性包括网络属性、身份属性、设备属性和内容属性,其中: 
网络属性,包括网络的通信接口、通信协议、通信能力; 
身份属性,包括用户的识别号(ID)、安全上下文、性别、年龄、职业、联系方法、兴趣等等与用户身份相关的内容; 
设备属性,包括用户设备的计算能力、存储能力、通信能力等相关的设备属性; 
内容属性,包括用户拥有的文档、图片、声音、数据等等内容材料及其索引。 
3、多归属多次认证机制 
如图1所示,CP或SP通过网络运营商的网络,向网络HSS(用户归属服务器)获取用户及其终端认证属性,匹配认证属性与认证要求是否相符。如果相符,则为用户提供相应的服务。 
下面将对所述的多归属多次认证机制进行相应的说明。 
所述的多归属多次认证机制是一种帮助CP/SP能够广泛和有效接入电信用户的认证机制,也是一种第三方认证机制,保证交互和交易双方身份的真实性。 
随着通信需求的变化,网络智能化被提到了一个前所未有的高度。目前网络运营的利润区将逐步由传统话音业务转移到数据、内容服务等方面。有关数据显示,SP/CP应用服务提供商能够获取很高的净利润率,为此,SP/CP需要能够广泛和有效的接入大规模的电信用户。 
本发明提供了一种通信网络中接入认证的系统,尤其是一种多业务提供情况下用于接入认证的系统,如图1所示,包括: 
客户端:即用户Client,向集中认证服务器及服务提供认证节点发起认证,并获取服务提供节点提供的服务; 
集中认证服务器:用于对客户端的接入网络过程进行认证处理,所述的集中认证服务器包括通信网络中的AAAS(鉴权、认证、计费服务器); 
服务提供认证节点:用于对客户端需要获取的服务进行认证处理,所述的服务提供认证节点包括CP(内容提供节点)和/或SP(服务提供节点)等; 
综合认证处理模块:根据集中认证服务器和服务提供认证节点的认证结果对客户端接入网络并获取服务的过程进行综合认证;所述的综合认证处理 模块可以内置于集中认证服务器和/或服务提供节点中。 
如图1所示,作为客户端的节点通过访问连接点Point of Contact Visited-SPCF,如P-CSCF,以及中心连接点Central Point of Contact-SCPC,如ICSCF,与AAAS和CP、SP通信,中心连接点还通过锚代理Anchor proxy,如S-CSCF与AAAS通信,所述的综合认证处理模块内置于CP/SP中,用于实现根据AAAS认证结果的针对客户端的综合认证。 
本发明所述的通信网络中接入认证的实现方法,具体为一种多归属多次认证机制,具体包括直接认证模式和间接认证模式两种实现方式,其中: 
所述的间接认证模式如图2和图3所示,具体包括以下处理过程: 
步骤201:用户向CP/SP请求服务Service Req; 
如图2所示,终端Client用户向CP/SP发起业务请求Service Request,请求中包括多种可能信息,其中可能有: 
请求连接到目的SP/CP信息; 
设备属性信息; 
身份属性信息; 
服务属性信息; 
各信息包括的具体内容前面已经描述。 
步骤202:CP/SP节点向用户返回业务响应消息Service Resp; 
CP/SP节点因为不能识别用户属性,因此返回信息给用户,要求用户到AAAS上进行认证,并附带上CP自身的信息。 
步骤203:用户向AAAS请求认证,即向AAAS发送认证请求报文; 
终端用户向AAAS发起认证请求,请求中包括多种可能信息,包括: 
用户网络属性,具体为已经分配的接入网络通道/已经协商的网络通道质量参数等; 
用户设备属性; 
用户身份属性; 
用户服务属性; 
请求连接到目的SP/CP。 
步骤204:AAAS返回请求应答; 
AAAS收到认证请求,根据用户的网络属性、身份属性、签约属性、服务请求,与CP/SP的业务登记属性进行比较,确定用户是否可以得到服务; 
AAAS将认证结果封装为一个User key(用户密钥),其中规定了本次业务流程中的各种参数,具体包括: 
用户网络参数、运营商承载网络参数、请求服务方式。 
步骤205:用户再次请求CP提供业务,即业务请求消息; 
用户使用加密传输user key向CP请求服务; 
步骤206:CP返回业务请求结果,即返回响应消息; 
CP用户请求和User key,比较CP本身提供的服务列表和服务参数,决定自身提供服务,还是有其下属的SP提供服务,并返回服务提供参数。 
所述的直接认证模式的具体实现过程如图4和图5所示,具体包括以下处理过程: 
步骤41:用户向AAAS发送AAA Req(鉴权、认证、计费请求)消息; 
终端用户向AAAS发起业务认证请求,请求中包括多种可能信息,其中可能包括的信息具体有: 
用户网络属性,具体为已经分配的接入网络通道/已经协商的网络通道质量参数; 
用户终端属性; 
用户身份属性; 
请求连接到目的SP/CP; 
用户服务属性; 
当然也包括AAAS的地址; 
步骤42:AAAS返回请求应答; 
AAAS收到认证请求,根据用户的网络属性、身份属性、签约属性、服务请求,与CP/SP的业务登记属性进行比较,确定用户是否可以得到服务; 
AAAS把认证结果封装为一个User key,其中规定了本次业务流程中的各种参数:用户网络参数、运营商承载网络参数、请求服务方式; 
步骤43:用户向CP/SP发送Service req(业务请求)消息; 
用户将业务请求和User key发给CP/SP,具体可以使用加密通道进行该消息的传输; 
步骤44:CP返回业务请求应答消息; 
CP根据AAAS的认证结果,即用户请求和User key,比较CP本身提供的服务列表和服务参数,决定自身提供服务,还是有其下属的SP提供服务,并返回服务提供参数。 
下面将结合附图对本发明的具体应用进行说明,即描述基于本发明在IMS(互联网多媒体子网)的多归属多次认证的实现方法。 
如图6所示,相应的具体应用的处理过程包括: 
步骤61:用户向P-CSCF(代理CSCF)注册,用户在注册消息Register中携带自己的能力信息; 
所述的用户即客户端向的能力信息是根据综合认证处理后获得的综合认证结果信息; 
步骤62:P-CSCF将注册消息Register发送到I-CSCF(查询CSCF); 
步骤63:I-CSCF向HSS查询S-CSCF(业务CSCF)的信息,即查询消息Cx-Query/Cx-Select-Pull; 
步骤64:HSS向I-CSCF返回查询到的S-CSCF的信息,即查询响应消息Cx-Query Resp/Cx-Select-Pull Resp; 
步骤65:I-CSCF根据返回的S-CSCF的信息将注册消息发送到所述的S-CSCF; 
步骤66:S-CSCF将UE(用户)能力信息注册到HSS,即通过Cx-put/Cx-Pull消息进行注册; 
在该步骤中,HSS可以对UE注册的能力信息进行认证,或要求其他实体对所述能力信息进行认,当认证通过后,再将其注册到HSS上,以便于CP、SP、S-CSCF等应用相应注册的能力信息进行业务控制; 
步骤67:HSS将UE的能力信息保存下来,返回响应给S-CSCF,即Cx-put Resp/Cx-Pull Resp消息; 
步骤68:S-CSCF完成业务控制Service Control; 
步骤69:S-CSCF返回注册成功消息(即200 OK消息)给I-CSCF; 
步骤610:I-CSCF返回注册成功给P-CSCF; 
步骤611:P-CSCF返回注册成功给用户。 
再如图7所示,图中包括主叫网络、主叫归属网络,以及被叫网络、被叫归属网络,所述的主叫归属网络包括:S-CSCF#1和I-CSCF#1,所述的被叫归属网络包括:S-CSCF#2和I-CSCF#2,基于本发明所述的多归属多次认证机制的I MS系统中的呼叫处理过程主要包括: 
步骤1-3、主叫发起会话,包括初始会话描述协议提供请求Invite(initialSDP Offer)、业务控制,以及由S-CSCF#1到I-CSCF#2的被会话描述协议提供请求; 
步骤4:将被叫UE的能力要求和被叫名发送到HSS查询被叫,即发送查询消息Location Query,这是因为使用同一个用户标识注册了多个用户终端,各个终端可能能力有差异; 
步骤5:HSS返回一个满足UE能力要求的UE的响应Response消息,I-CSCF#2根据返回的信息将呼叫路由到被叫的S-CSCF#2; 
之后,便可以继续后续的呼叫处理过程,具体为: 
步骤6:被叫归属网络中的I-CSCF#2向S-CSCF#2发送初始SDP(会话描述协议)提供申请消息Invite(initial SDP Offer); 
步骤7:所述的S-CSCF#2收到所述的申请消息后,进行业务控制操作处理; 
步骤8:并向被叫用户所在的网络发送所述的初始会话描述协议申请消息Invite(initial SDP Offer); 
步骤9:被叫用户所在的网络向所述的S-CSCF#2返回提供响应消息Offer Response; 
步骤10:所述的S-CSCF#2继续将所述的提供响应消息发送给被叫归属网络中的I-CSCF#2; 
步骤11:被叫归属网络的I-CSCF#2向主叫归属网络的S-CSCF#1发送提供响应消息; 
如图7中所示,所述的提供响应消息可以通过I-CSCF#1或直接发送给相应的S-CSCF#1; 
步骤12:由S-CSCF#1将所述的提供响应消息发送给主叫用户网络; 
步骤13:主叫用户网络将向S-CSCF#1返回配置响应消息ResponseConf(Opt SDP),消息中包括选择的会话描述协议;且所述的配置响应消息经步骤14、15、16依次返回到被叫用户的网络; 
步骤17:被叫用户网络接收到所述的配置响应消息后,则向S-CSCF#2返回配置确认消息Conf Ack(Opt SDP),消息中携带着选择的会话描述协议信息;且所述的配置确认消息经步骤18、19、20依次返回到主叫用户网络; 
之后,在主被叫用户网络之间通过步骤21到步骤28传递预留配置消息Reservation Conf,进行双向资源的预留,并通过步骤29至步骤32向主叫用 户发送振铃音Ring;最后,通过步骤33至步骤36由被叫用户网络向主叫用户网络发送200 ok的应答消息,主叫用户网络侧则向被叫用户网络侧通过步骤37至步骤40返回相应的确认消息。 
在图7所示的呼叫处理过程中各条在S-CSCF#1与I-CSCF#2之间交互的消息,如图中虚线框所示的消息,可以直接交互,也可以经由I-CSCF#1进行交互。 
因此,本发明可以支持广泛的网络融合和业务融合应用,包括: 
支持第三方认证和增值服务商的融合应用,比如第三方CA(认证中心)在银行和用户间的认证作用,银行在用户和商行之间的认证作用。 
支持运营商数据网络和增值业务提供商的融合应用,增值业务提供商通过运营商网络,获取用户的可信认证,从而提供可运营的增值业务 
SIP(会话初始协议)网络和Web网络的融合应用,SIP网络提供用户丰富的网络属性,对提供有质量保证的网络业务有很大的便利。 
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。 

Claims (13)

1.一种通信网络中接入认证的系统,其特征在于,包括:
客户端:向集中认证服务器及服务提供认证节点发起认证,并获取服务提供节点提供的服务;
集中认证服务器:用于对客户端的接入网络过程进行认证处理;
服务提供认证节点:用于对客户端需要获取的服务进行认证处理;
综合认证处理模块:根据所述集中认证服务器的认证结果,对客户端接入网络并获取服务的过程进行综合认证。
2.根据权利要求1所述的通信网络中接入认证的系统,其特征在于,所述的综合认证处理模块可以内置于集中认证服务器和/或服务提供节点中。
3.根据权利要求1或2所述的通信网络中接入认证的系统,其特征在于,所述的集中认证服务器包括:
通信网络中的鉴权、认证、计费服务器AAAS。
4.根据权利要求1或2所述的通信网络中接入认证的系统,其特征在于,所述的服务提供认证节点至少包括一个,且所述的服务提供认证节点包括:
内容提供节点CP和/或服务提供节点SP。
5.一种通信网络中接入认证的实现方法,其特征在于,包括:
A、客户端向集中认证服务器发起接入网络过程的认证并获得集中认证结果;
B、客户端将所述集中认证结果随业务请求消息一起发送给服务提供认证节点,并由所述的服务提供认证节点根据所述集中认证结果,对客户端进行获取服务的认证,获得针对客户端的综合认证结果。
6.根据权利要求5所述的通信网络中接入认证的实现方法,其特征在于,所述的方法还包括:
客户端向服务提供认证节点发送业务请求消息,所述的报务提供认证节点通知客户端向集中认证服务器进行认证处理,并执行步骤A。
7.根据权利要求5所述的通信网络中接入认证的实现方法,其特征在于,所述的步骤A具体包括:
客户端向集中认证服务器发送认证请求消息,消息中携带着客户端的网络属性、设备属性、服务属性和/或身份属性信息;
集中认证服务器对所述的认证请求消息进行认证确定相应的客户端本次业务允许的参数信息,并作为集中认证结果返回给客户端。
8.根据权利要求5所述的通信网络中接入认证的实现方法,其特征在于,所述的业务请求消息中承载的信息包括:
客户端的设备属性、服务属性和/或身份属性信息。
9.根据权利要求5所述的通信网络中接入认证的实现方法,其特征在于,步骤B所述的获得针对客户端的综合认证结果包括:
服务提供认证节点根据客户端获取服务的认证结果,比较本身的服务列表和服务参数确定所述客户端是否接入服务。
10.根据权利要求5或6所述的通信网络中接入认证的实现方法,其特征在于,在互联网多媒体子网IMS中,该方法还包括:
C、当客户端完成给定认证处理获得综合认证结果后,由业务呼叫会话控制功能S-CSCF将客户端的能力信息注册到用户归属服务器HSS上。
11.根据权利要求10所述的通信网络中接入认证的实现方法,其特征在于,所述的步骤C具体包括:
客户端向代理呼叫会话控制功能P-CSCF发送携带着所述客户端能力信息的注册消息;
P-CSCF将所述的注册消息发送到客户端归属的网络中的查询呼叫会话控制功能I-CSCF,并由I-CSCF向HSS查询获得S-CSCF的信息;
I-CSCF将所述注册消息发送给S-CSCF,并由S-CSCF将注册消息中客户端的能力信息注册到HSS上,同时,由S-CSCF根据所述能力信息对客户端开展的业务进行控制操作。
12.根据权利要求10所述的通信网络中接入认证的实现方法,其特征在于,所述的S-CSCF将注册消息中客户端的能力信息注册到HSS上包括:
HSS对客户端要求注册的能力信息进行认证,或要求其他实体对所述能力信息进行认证,当认证通过后,再将该客户端的能力信息注册到HSS上。
13.根据权利要求10所述的通信网络中接入认证的实现方法,其特征在于,所述方法在执行所述的步骤C之后还包括:
主叫客户端向被叫客户端发起呼叫时,则将被叫客户端的能力信息发送到HSS,查询对应的被叫客户端终端,并返回;
根据返回的被叫客户端终端的信息发起呼叫处理。
CN 200510085492 2005-07-21 2005-07-21 通信网络中接入认证的系统及实现方法 Active CN1901448B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN 200510085492 CN1901448B (zh) 2005-07-21 2005-07-21 通信网络中接入认证的系统及实现方法
EP06753062A EP1909430A4 (en) 2005-07-21 2006-06-29 ACCESS ACCURACY SYSTEM OF A COMMUNICATION NETWORK AND METHOD THEREFOR
PCT/CN2006/001497 WO2007009343A1 (fr) 2005-07-21 2006-06-29 Systeme d'autorisation d'acces d'un reseau de communication et son procede

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 200510085492 CN1901448B (zh) 2005-07-21 2005-07-21 通信网络中接入认证的系统及实现方法

Publications (2)

Publication Number Publication Date
CN1901448A CN1901448A (zh) 2007-01-24
CN1901448B true CN1901448B (zh) 2010-12-01

Family

ID=37657203

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 200510085492 Active CN1901448B (zh) 2005-07-21 2005-07-21 通信网络中接入认证的系统及实现方法

Country Status (3)

Country Link
EP (1) EP1909430A4 (zh)
CN (1) CN1901448B (zh)
WO (1) WO2007009343A1 (zh)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101267365B (zh) * 2007-03-14 2011-08-03 华为技术有限公司 设备接入通信网络的认证方法、系统及设备
CN101350717B (zh) * 2007-07-18 2011-04-27 中国移动通信集团公司 一种通过即时通信软件登录第三方服务器的方法及系统
CN101159923B (zh) * 2007-11-09 2010-12-08 华为技术有限公司 业务处理方法及系统、sip应用接入网关模块
CN101483525A (zh) * 2009-01-22 2009-07-15 中兴通讯股份有限公司 一种认证中心的实现方法
CN101610510B (zh) * 2009-06-10 2012-06-27 南京邮电大学 层簇式无线自组织网络中的节点合法性多重认证方法
CN105721163A (zh) * 2009-08-11 2016-06-29 中兴通讯股份有限公司 一种访问拜访地服务提供商的系统及方法
CN101998405B (zh) * 2009-08-31 2013-08-14 中国移动通信集团公司 基于wlan接入认证的业务访问方法
CN102035815B (zh) 2009-09-29 2013-04-24 华为技术有限公司 数据获取方法、接入节点和系统
CN101867475B (zh) * 2010-05-27 2013-04-24 华为终端有限公司 远程控制终端业务的接入认证方法和相关设备及通信系统
CN101931533B (zh) * 2010-08-23 2014-09-10 中兴通讯股份有限公司 认证方法、装置和系统
CN103259763B (zh) * 2012-02-16 2016-07-06 中国移动通信集团公司 Ip多媒体子系统ims域注册方法、系统和装置
CN102624744B (zh) * 2012-04-06 2014-09-10 北京星网锐捷网络技术有限公司 网络设备的认证方法、装置、系统和网络设备
CN103701757B (zh) * 2012-09-27 2017-05-10 中国电信股份有限公司 业务接入的身份认证方法与系统
CN104683347B (zh) * 2015-03-12 2017-10-17 东北大学 基于ims进行可信通信的信令交互方法及可信认证系统
US10721226B1 (en) 2017-03-10 2020-07-21 Wells Fargo Bank, N.A. User-level token for user authentication via a user device
US11763303B1 (en) 2017-03-10 2023-09-19 Wells Fargo Bank, N.A. Identity management service via a user-level token

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001035565A2 (en) * 1999-10-26 2001-05-17 At Home Corporation Method and system for authorizing and authenticating users
WO2003075516A1 (en) * 2002-03-04 2003-09-12 Telenor Asa A system and method for controlling the access to an external network
CN1627683A (zh) * 2003-12-09 2005-06-15 鸿富锦精密工业(深圳)有限公司 单一认证授权管理系统及方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
US20040181692A1 (en) * 2003-01-13 2004-09-16 Johanna Wild Method and apparatus for providing network service information to a mobile station by a wireless local area network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001035565A2 (en) * 1999-10-26 2001-05-17 At Home Corporation Method and system for authorizing and authenticating users
WO2003075516A1 (en) * 2002-03-04 2003-09-12 Telenor Asa A system and method for controlling the access to an external network
CN1627683A (zh) * 2003-12-09 2005-06-15 鸿富锦精密工业(深圳)有限公司 单一认证授权管理系统及方法

Also Published As

Publication number Publication date
EP1909430A4 (en) 2008-10-08
WO2007009343A1 (fr) 2007-01-25
EP1909430A1 (en) 2008-04-09
CN1901448A (zh) 2007-01-24

Similar Documents

Publication Publication Date Title
CN1901448B (zh) 通信网络中接入认证的系统及实现方法
US10742631B2 (en) Using an IP multimedia subsystem for HTTP session authentication
US7865173B2 (en) Method and arrangement for authentication procedures in a communication network
EP2208336B1 (en) Method and system for performing delegation of resources
EP1514194B1 (en) Authentication for IP application protocols based on 3GPP IMS procedures
US8613058B2 (en) Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network
KR101461455B1 (ko) 인증 방법, 시스템 및 장치
US8819800B2 (en) Protecting user information
US7221935B2 (en) System, method and apparatus for federated single sign-on services
CN102150408B (zh) 用于从身份管理系统获得用于应用程序的用户证书的方法、设备和计算机程序产品
US9385863B2 (en) System and method for authenticating a communication device
US9832252B2 (en) Systems, methods, and computer program products for third party authentication in communication services
CN102893579B (zh) 用于在通信系统中发放票据的方法、节点和设备
US9553863B2 (en) Computer implemented method and system for an anonymous communication and computer program thereof
CN103856454A (zh) Ip 多媒体子系统与互联网业务互通的方法及业务互通网关
EP2071806B1 (en) Receiving/transmitting agent method of session initiation protocol message and corresponding processor
US9232078B1 (en) Method and system for data usage accounting across multiple communication networks
WO2009124587A1 (en) Service reporting
Wang et al. A network access control approach for QoS support based on the AAA architecture
Chen A scenario for identity management in Daidalos
Baba et al. Web-IMS convergence architecture and prototype
CN117592023A (zh) 分布式网络环境下的身份认证方法及装置
Lutz et al. Harmonizing service and network provisioning for federative access in a mobile environment
Zhang Delivering mobile services to mobile users in open networks: Quality of service, authentication and trust-based access control
Vandenwauver Identity Federation within the Telecommunications Industry: Case Study

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant