CN102065069A - 一种身份认证方法、装置和系统 - Google Patents
一种身份认证方法、装置和系统 Download PDFInfo
- Publication number
- CN102065069A CN102065069A CN 200910237819 CN200910237819A CN102065069A CN 102065069 A CN102065069 A CN 102065069A CN 200910237819 CN200910237819 CN 200910237819 CN 200910237819 A CN200910237819 A CN 200910237819A CN 102065069 A CN102065069 A CN 102065069A
- Authority
- CN
- China
- Prior art keywords
- key information
- user equipment
- ims domain
- identity
- application server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 230000004044 response Effects 0.000 claims description 21
- 230000008569 process Effects 0.000 claims description 16
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 230000007246 mechanism Effects 0.000 description 7
- 230000006854 communication Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Landscapes
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种身份认证方法,包括以下步骤:接收非互联网协议多媒体子系统IMS域应用服务器提交的用户设备的身份标识,根据所述身份标识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有效期内;如果存在所述身份标识对应的密钥信息且所述密钥信息在有效期内,则查询所述用户设备在IMS域是否为已注册状态,如果查询结果为是,则向所述非IMS域应用服务器返回所述密钥信息和所述密钥信息的有效期,使所述非IMS域应用服务器使用所述密钥信息和所述密钥信息的有效期与所述用户设备进行身份认证。本发明实施例实现了IMS应用和非IMS应用之间的统一认证和状态同步。本发明实施例同样公开了一种应用上述方法的装置和系统。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种身份认证方法、装置和系统。
背景技术
随着通信网络的发展和多种通信业务的推动,3GPP(3rd GenerationPartnership Project,第三代移动通信标准化伙伴组织)推出了IMS(IPMultimedia Subsystem,互联网协议多媒体子系统)架构,能够提供一种标准化的开放结构来实现多种多样的IP(Internet Protocol,互联网协议)多媒体应用,提供更丰富的业务感受。
3GPP还引入了ISIM(IMS Subscriber Identity Module,互联网协议多媒体子系统)用于IMS的接入,其具体实体包括CSCF(Call Session ControlFunction,呼叫状态控制功能)和HSS(Home Subscriber Server,归属签约用户服务器)功能实体,其中,CSCF包括服务CSCF(S-CSCF)、代理CSCF(P-CSCF)和查询CSCF(I-CSCF)3个逻辑实体,上述逻辑实体可以位于不同的物理设备上,也可以是同一个物理设备中不同的功能模块。S-CSCF是IMS的业务交换中心,用于执行会话控制、维持会话状态、管理用户信息和产生计费信息等;P-CSCF是终端用户接入IMS的接入点,用于完成用户注册、QoS(Quality of Service,服务质量)控制和安全管理等;I-CSCF负责IMS域之间的协同和管理、S-CSCF的分配、对外隐藏网络拓扑结构和配置信息,以及产生计费数据等。HSS(Home Subscriber Server,归属签约用户服务器)保存用户签约数据,用于支持网络实体对呼叫和会话的处理,ISIM的数据存储在HSS中。
由于IMS的引入,越来越多的业务平台承载在IMS上,利用IMS的特点提供呼叫、视频会议等丰富的业务。在IMS业务中,UE(User Equipment)必需通过SIP(Session Initiation Protocol,会话发起协议)消息与业务平台AS(Application Server,应用服务器)交互,但UE在与AS交互的过程中还需要与非IMS域的服务器进行交互。例如,IMS企业通信助理客户端在登录IMS后,还需要访问群组管理服务器(XDMS)获得用户的群组信息,而XDMS只能使用XCAP(XML Configuration Access Protocol,XML配置接入协议)、以HTTP(Hypertext Transfer Protocol,超文本传输协议)1.1承载与终端(客户端)直接交互,通信过程无法经过IMS Core(IP Multimedia Subsystem Core,互联网协议多媒体子系统核心网),XDMS服务器必须首先对用户身份进行确认,然后才能发起XML(Extensible Markup Language,可扩展标记语言)文档操作。此外,IMS客户端在登录IMS后,还需要访问自服务门户网站,而访问门户网站也需要使用HTTP协议与客户端直接交互,交互过程不经过IMSCore,服务器也必须首先对用户身份进行确认,才能个性化的显示。
发明人在实现本发明的过程中,发现现有技术至少存在以下缺陷:
由于IMS域和非IMS域的鉴权机制是不一样的,例如,在IMS域中主要采用IMS Digest(分类)和IMS AKA(Authentication and Key Agreement,认证和密钥协商)进行鉴权,所有的鉴权消息用sip消息;而非IMS应用主要采用HTTP Digest、GBA(Generic Bootstrapping Architecture,通用引导架构)、TLS(Transport Layer Security,安全传输层协议)等协议,协议的不同造成了应用之间无法互通;IMS域中用户签约和鉴权数据主要存储在IMS HSS中,HSS是核心网元,其鉴权数据无法被第三方的非IMS域应用访问,因此第三方的非IMS域应用也无法对用户进行认证,导致MS域应用和非IMS域应用无法共享认证状态,实现统一认证。
发明内容
本发明实施例提供了一种身份认证方法、装置和系统,用于实现IMS应用和非IMS应用之间的统一认证和状态同步。
本发明实施例提供了一种身份认证方法,包括以下步骤:
接收非互联网协议多媒体子系统IMS域应用服务器提交的用户设备的身份标识,根据所述身份标识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有效期内;
如果存在所述身份标识对应的密钥信息且所述密钥信息在有效期内,则查询所述用户设备在IMS域是否为已注册状态,如果查询结果为是,则向所述非IMS域应用服务器返回所述密钥信息和所述密钥信息的有效期,使所述非IMS域应用服务器使用所述密钥信息和所述密钥信息的有效期与所述用户设备进行身份认证。
优选地,所述接收非IMS域应用服务器提交的用户设备的身份标识之前,还包括:
接收来自用户设备的会话发起协议SIP消息,获取所述SIP消息中携带的注册参数,所述注册参数由所述用户设备根据公用密钥生成;
使用自身保存的私有密钥对所述获取的注册参数进行解密,如果解密成功,则保存所述用户设备的身份标识对应的密钥信息,向所述用户设备返回注册成功消息,使所述用户设备保存所述密钥信息并根据所述密钥信息访问非IMS域应用服务器。
优选地,所述接收来自用户设备的SIP消息之前,还包括:
所述用户设备执行IMS鉴权流程,在IMS域进行注册;
当用户设备访问非IMS域应用时,检查本地是否存在密钥信息,如果不存在,则随机生成密钥信息,并根据所述密钥信息和公用密钥生成注册参数,并通过SIP消息发送所述注册参数。
优选地,所述用户设备根据密钥信息和公用密钥生成注册参数之前,还包括:
生成公私钥对,保存所述公私钥对中的私有密钥,并向所述用户设备公开所述公私钥对中的公用密钥。
优选地,所述用户设备根据密钥信息访问非IMS域应用服务器,具体包括:
所述用户设备向所述非IMS域应用服务器发送访问请求,并接收所述非IMS域应用服务器返回的挑战消息;
所述用户设备根据自身的身份标识和所述密钥信息向所述非IMS域应用服务器返回挑战响应消息。
优选地,所述非IMS域应用服务器使用密钥信息和密钥信息的有效期与用户设备进行身份认证,具体包括:
所述非IMS域应用服务器使用所述密钥信息验证来自所述用户设备的挑战响应消息是否正确,如果正确,则向所述用户设备返回认证成功消息;
所述用户设备接收来自所述非IMS域应用服务器的认证成功消息,验证所述认证成功消息中包含的认证信息是否正确,如果正确,则完成与所述非IMS域应用服务器的双向认证,通过安全通道与所述非IMS域应用服务器进行交互。
本发明实施例还提供了一种认证网关,包括:
接收模块,用于接收非IMS域应用服务器提交的用户设备的身份标识;
查询模块,用于根据所述接收模块接收到的身份标识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有效期内,在查询到存在所述身份标识对应的密钥信息且所述密钥信息在有效期内时,查询所述用户设备在IMS域是否为已注册状态;
发送模块,用于在所述查询模块查询到所述用户设备在IMS域为已注册状态时,向所述非IMS域应用服务器返回所述密钥信息和所述密钥信息的有效期,使所述非IMS域应用服务器使用所述密钥信息和所述密钥信息的有效期与所述用户设备进行身份认证。
优选地,所述接收模块,还用于接收来自用户设备的SIP消息,获取所述SIP消息中携带的注册参数,所述注册参数由所述用户设备根据公用密钥生成;
所述认证网关,还包括:
解密模块,用于使用自身保存的私有密钥对所述接收模块获取的注册参数进行解密;
所述发送模块,还用于在所述解密模块解密成功时,保存所述用户设备的身份标识对应的密钥信息,向所述用户设备返回注册成功消息,使所述用户设备保存所述密钥信息并根据所述密钥信息访问非IMS域应用服务器。
优选地,所述的认证网关,还包括:
生成模块,用于生成公私钥对,保存所述公私钥对中的私有密钥,供所述解密模块使用,并向所述用户设备公开所述公私钥对中的公用密钥。 本发明实施例还提供了一种身份认证系统,包括:
用户设备,用于向非IMS域应用服务器发送访问请求,并接收所述非IMS域应用服务器返回的挑战消息;根据自身的身份标识和所述密钥信息向所述非IMS域应用服务器返回挑战响应消息;
非IMS域应用服务器,用于向认证网关提交用户设备的身份标识,接收来自所述认证网关的密钥信息和所述密钥信息的有效期,使用所述密钥信息和所述密钥信息的有效期与所述用户设备进行身份认证;
认证网关,用于接收所述非IMS域应用服务器提交的用户设备的身份标识,根据所述身份标识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有效期内;如果存在所述身份标识对应的密钥信息且所述密钥信息在有效期内,则查询所述用户设备在IMS域是否为已注册状态,如果查询结果为是,则向所述非IMS域应用服务器返回所述密钥信息和所述密钥信息的有效期。
优选地,所述认证网关,还用于接收来自用户设备的会话发起协议SIP消息,获取所述SIP消息中携带的注册参数,所述注册参数由所述用户设备根据公用密钥生成;使用自身保存的私有密钥对所述获取的注册参数进行解密,如果解密成功,则保存所述用户设备的身份标识对应的密钥信息,向所述用户设备返回注册成功消息,使所述用户设备保存所述密钥信息并根据所述密钥信息访问非IMS域应用服务器。
优选地,所述用户设备,还用于执行IMS鉴权流程,在IMS域进行注册;当访问非IMS域应用时,检查本地是否存在密钥信息,如果不存在,则随机生成密钥信息,并根据所述密钥信息和公用密钥生成注册参数,并通过SIP消息发送所述注册参数。
与现有技术相比,本发明实施例具有以下优点:本发明实施例利用IMS的已有安全机制,为业务层提供安全服务,增强了UE与AS之间的安全性,且不会成为系统的安全瓶颈;在密钥信息的有效期内,不需要重复执行注册过程,提高了业务执行效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对本发明实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中的一种身份认证方法流程图;
图2为本发明实施例应用场景中的身份认证流程图;
图3为本发明实施例应用场景中的AUG注册流程图;
图4为本发明实施例中的一种认证网关结构示意图;
图5为本发明实施例中的一种身份认证系统结构示意图。
具体实施方式
本发明实施例提供的技术方案中,其核心思想为在系统中增加AUG(认证网关)网元,该AUG网元与IMS域的CSCF之间存在SIP接口,与非IMS域的AS之间存在HTTP接口。AUG网元接收非IMS域应用服务器提交的用户设备的身份标识,根据所述身份标识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有效期内;如果存在所述身份标识对应的密钥信息且所述密钥信息在有效期内,则查询所述用户设备在IMS域是否为已注册状态,如果查询结果为是,则向所述非IMS域应用服务器返回所述密钥信息和所述密钥信息的有效期,使所述非IMS域应用服务器使用所述密钥信息和所述密钥信息的有效期与所述用户设备进行身份认证。
下面将结合本发明实施例中的附图,对本发明实施例的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明实施例中的一种身份认证方法流程图,包括以下步骤:
步骤101,接收非IMS域应用服务器提交的用户设备的身份标识,根据所述身份标识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有效期内。如果存在所述身份标识对应的密钥信息且所述密钥信息在有效期内,则执行步骤103;否则,执行步骤102。
具体地,认证网关预先生成公私钥对,保存该公私钥对中的私有密钥,并向用户设备公开公私钥对中的公用密钥。
所述用户设备执行IMS鉴权流程,在IMS域进行注册;当用户设备访问非IMS域应用时,检查本地是否存在密钥信息,如果不存在,则随机生成密钥信息,并根据所述密钥信息和公用密钥生成注册参数,并通过SIP消息发送所述注册参数。
认证网关接收来自用户设备的会话发起协议SIP消息,获取所述SIP消息中携带的注册参数,所述注册参数由所述用户设备根据公用密钥生成;使用自身保存的私有密钥对所述获取的注册参数进行解密,如果解密成功,则保存所述用户设备的身份标识对应的密钥信息,向所述用户设备返回注册成功消息,使所述用户设备保存所述密钥信息并根据所述密钥信息访问非IMS域应用服务器。
上述用户设备根据密钥信息访问非IMS域应用服务器,具体包括:用户设备向所述非IMS域应用服务器发送访问请求,并接收所述非IMS域应用服务器返回的挑战消息;用户设备根据自身的身份标识和所述密钥信息向所述非IMS域应用服务器返回挑战响应消息。
步骤102,向非IMS域应用服务器返回错误信息。
步骤103,查询所述用户设备在IMS域是否为已注册状态。
如果查询结果为是,则执行步骤104;否则,执行步骤102。
步骤104,向非IMS域应用服务器返回密钥信息和该密钥信息的有效期,使非IMS域应用服务器使用密钥信息和该密钥信息的有效期与用户设备进行身份认证。
具体地,上述非IMS域应用服务器使用密钥信息和密钥信息的有效期与用户设备进行身份认证,具体包括:非IMS域应用服务器使用所述密钥信息验证来自所述用户设备的挑战响应消息是否正确,如果正确,则向所述用户设备返回认证成功消息;用户设备接收来自所述非IMS域应用服务器的认证成功消息,验证所述认证成功消息中包含的认证信息是否正确,如果正确,则完成与所述非IMS域应用服务器的双向认证,通过安全通道与所述非IMS域应用服务器进行交互。
本发明实施例利用IMS的已有安全机制,为业务层提供安全服务,增强了UE与AS之间的安全性,且不会成为系统的安全瓶颈;在密钥信息的有效期内,不需要重复执行注册过程,提高了业务执行效率。
以下结合具体应用场景对本发明实施例中的身份认证方法进行详细的描述。
如图2所示,为本发明实施例应用场景中的身份认证流程图,具体包括以下步骤:
步骤201,UE启动非IMS客户端访问非IMS域应用服务器AS2,向AS2发送HTTP Request(请求)消息。
其中,非IMS域应用服务器AS2可以为HTTP服务器,HTTP Request消息不经过IMS core。
步骤202,AS2发起HTTP Digest双向认证,向UE返回挑战信息。
具体地,AS2接收到HTTP Request消息后,要求对UE执行HTTP Digest双向认证,返回401 unauthorized的HTTP Digest挑战消息,该挑战消息中的WWW-Authenticate Header参数包含AS2对UE的挑战信息。
步骤203,UE向AS2返回挑战响应消息。
具体地,UE以IMPU(IP Multimedia Public Identity,互联网协议多媒体公共标识)作为username(用户名),key(密钥)作为password(密码)计算response(响应),通过HTTP request返回包含response的挑战响应消息,该响应消息中的Authorization(认证)参数Header包含UE的挑战响应。
步骤204,AS2向AUG提交IMPU,查询IMPU对应的UE在IMS域中的状态和相关key信息。
步骤205,AUG通过IMPU查询UE是否已经在本地注册且key在有效期内。如果查询结果为是,则执行步骤206;否则,向AS2返回错误信息。
步骤206,AUG向HSS查询UE的注册状态是否为已注册。如果查询结果为是,则执行步骤207,如果查询结果为否,则向AS2返回错误信息。
步骤207,AUG向AS2返回key和key有效期。
步骤208,AS2使用key验证来自UE的挑战响应消息中的response是否正确,如果正确,则执行步骤210;否则向UE返回错误信息。
步骤209,AS2向UE返回认证成功消息。
具体地,如果AS2验证response正确,则表明已经通过了UE接入,AS2计算挑战响应,向UE返回200OK消息,200OK消息中的Authentication-InfoHeader参数包含AS2的挑战响应。
步骤210,UE验证认证成功消息是否正确,如果正确,则执行步骤211;否则,向AS2返回错误消息。
具体地,UE验证Authentication-Info Header参数是否正确。
步骤211,UE与AS2完成双向认证,通过HTTP Digest的安全通道与AS2进行交互。
本发明实施例利用IMS的已有安全机制,为业务层提供安全服务,增强了UE与AS之间的安全性,且不会成为系统的安全瓶颈;在密钥信息的有效期内,不需要重复执行注册过程,提高了业务执行效率。
在上述应用场景之前,UE需要先向AUG注册,以便于访问非IMS域应用服务器。如图3所示,为本发明实施例应用场景中的AUG注册流程图,具体包括以下步骤:
步骤301,UE启动IMS客户端,执行IMS鉴权流程,进行IMS注册。
具体地,用户打开IMS客户端,登录IMS网,IMS客户端会在UE、CSCF、HSS间执行IMS鉴权流程,并完成IMS注册。
步骤302,UE与IMS应用服务AS1进行交互。
步骤303,UE的IMS客户端触发访问非IMS应用。
步骤304,UE检查本地是否存在key且key在有效期内,如果检查结果为是,则执行步骤310;否则执行步骤305。
步骤305,UE随机生成key,使用AUG的PubKey(公用密钥)加密生成Ekey=E(PubKey,key)。
其中,E为RSA的加密算法,AUG预先生成1024bits的RSA(Rivest-Shamir-Adleman,公开密钥算法)公私钥对,该公私钥对包括PriKey(私有密钥)和PubKey,AUG秘密保存PriKey,并将PubKey公开给IMS客户端且预置在UE中。
步骤306,UE通过sip消息将Ekey作为AUG注册消息的参数发送给AUG,请求AUG注册。
步骤307,AUG使用PriKey解密Ekey,如果解密成功,则执行步骤309;否则,向UE返回错误消息。
步骤308,AUG保存UE的IMPU对应的key,并向UE返回sip 200OK消息。
步骤309,UE保存key作为与AUG通信的临时秘密参数。
步骤310,UE启动非IMS客户端访问AS2,向AS2发送HTTP Request消息。
本发明实施例利用IMS的已有安全机制,为业务层提供安全服务,增强了UE与AS之间的安全性,且不会成为系统的安全瓶颈;在密钥信息的有效期内,不需要重复执行注册过程,提高了业务执行效率。
本发明实施例在上述实施方式中提供了身份认证方法和应用场景,相应地,本发明实施例还提供了应用上述身份认证方法的装置和系统。
如图4所示,为本发明实施例中的一种认证网关结构示意图,包括:
接收模块410,用于接收非IMS域应用服务器提交的用户设备的身份标识。
上述接收模块410,还用于接收来自用户设备的SIP消息,获取所述SIP消息中携带的注册参数,所述注册参数由所述用户设备根据公用密钥生成。
查询模块420,用于根据接收模块410接收到的身份标识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有效期内,在查询到存在所述身份标识对应的密钥信息且所述密钥信息在有效期内时,查询所述用户设备在IMS域是否为已注册状态。
发送模块430,用于在查询模块420查询到所述用户设备在IMS域为已注册状态时,向所述非IMS域应用服务器返回所述密钥信息和所述密钥信息的有效期,使所述非IMS域应用服务器使用所述密钥信息和所述密钥信息的有效期与所述用户设备进行身份认证。
上述发送模块430,还用于在所述解密模块440解密成功时,保存所述用户设备的身份标识对应的密钥信息,向所述用户设备返回注册成功消息,使所述用户设备保存所述密钥信息并根据所述密钥信息访问非IMS域应用服务器。生成模块,生成公私钥对,保存所述公私钥对中的私有密钥,供所述解密模块使用,并向所述用户设备公开所述公私钥对中的公用密钥。
解密模块440,用于使用自身保存的私有密钥对所述接收模块410获取的注册参数进行解密。
生成模块450,用于生成公私钥对,保存所述公私钥对中的私有密钥,供所述解密模块440使用,并向所述用户设备公开所述公私钥对中的公用密钥。
本发明实施例利用IMS的已有安全机制,为业务层提供安全服务,增强了UE与AS之间的安全性,且不会成为系统的安全瓶颈;在密钥信息的有效期内,不需要重复执行注册过程,提高了业务执行效率。
如图5所示,为本发明实施例中的一种身份认证系统结构示意图,包括:
用户设备510,用于向非IMS域应用服务器520发送访问请求,并接收所述非IMS域应用服务器520返回的挑战消息;根据自身的身份标识和所述密钥信息向所述非IMS域应用服务器520返回挑战响应消息。
上述用户设备510,还用于执行IMS鉴权流程,在IMS域进行注册;当访问非IMS域应用时,检查本地是否存在密钥信息,如果不存在,则随机生成密钥信息,并根据所述密钥信息和公用密钥生成注册参数,并通过SIP消息发送所述注册参数。
非IMS域应用服务器520,用于向认证网关530提交用户设备的身份标识,接收来自所述认证网关530的密钥信息和所述密钥信息的有效期,使用所述密钥信息和所述密钥信息的有效期与所述用户设备510进行身份认证。
认证网关530,用于接收所述非IMS域应用服务器520提交的用户设备510的身份标识,根据所述身份标识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有效期内;如果存在所述身份标识对应的密钥信息且所述密钥信息在有效期内,则查询所述用户设备510在IMS域是否为已注册状态,如果查询结果为是,则向所述非IMS域应用服务器520返回所述密钥信息和所述密钥信息的有效期。
上述认证网关530,还用于接收来自用户设备510的SIP消息,获取所述SIP消息中携带的注册参数,所述注册参数由所述用户设备510根据公用密钥生成;使用自身保存的私有密钥对所述获取的注册参数进行解密,如果解密成功,则保存所述用户设备510的身份标识对应的密钥信息,向所述用户设备510返回注册成功消息,使所述用户设备510保存所述密钥信息并根据所述密钥信息访问非IMS域应用服务器。
本发明实施例利用IMS的已有安全机制,为业务层提供安全服务,增强了UE与AS之间的安全性,且不会成为系统的安全瓶颈;在密钥信息的有效期内,不需要重复执行注册过程,提高了业务执行效率。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明实施例原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以集成于一体,也可以分离部署;可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (12)
1.一种身份认证方法,其特征在于,包括以下步骤:
接收非互联网协议多媒体子系统IMS域应用服务器提交的用户设备的身份标识,根据所述身份标识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有效期内;
如果存在所述身份标识对应的密钥信息且所述密钥信息在有效期内,则查询所述用户设备在IMS域是否为已注册状态,如果查询结果为是,则向所述非IMS域应用服务器返回所述密钥信息和所述密钥信息的有效期,使所述非IMS域应用服务器使用所述密钥信息和所述密钥信息的有效期与所述用户设备进行身份认证。
2.如权利要求1所述的方法,其特征在于,所述接收非IMS域应用服务器提交的用户设备的身份标识之前,还包括:
接收来自用户设备的会话发起协议SIP消息,获取所述SIP消息中携带的注册参数,所述注册参数由所述用户设备根据公用密钥生成;
使用自身保存的私有密钥对所述获取的注册参数进行解密,如果解密成功,则保存所述用户设备的身份标识对应的密钥信息,向所述用户设备返回注册成功消息,使所述用户设备保存所述密钥信息并根据所述密钥信息访问非IMS域应用服务器。
3.如权利要求2所述的方法,其特征在于,所述接收来自用户设备的SIP消息之前,还包括:
所述用户设备执行IMS鉴权流程,在IMS域进行注册;
当用户设备访问非IMS域应用时,检查本地是否存在密钥信息,如果不存在,则随机生成密钥信息,并根据所述密钥信息和公用密钥生成注册参数,并通过SIP消息发送所述注册参数。
4.如权利要求3所述的方法,其特征在于,所述用户设备根据密钥信息和公用密钥生成注册参数之前,还包括:
生成公私钥对,保存所述公私钥对中的私有密钥,并向所述用户设备公开所述公私钥对中的公用密钥。
5.如权利要求2所述的方法,其特征在于,所述用户设备根据密钥信息访问非IMS域应用服务器,具体包括:
所述用户设备向所述非IMS域应用服务器发送访问请求,并接收所述非IMS域应用服务器返回的挑战消息;
所述用户设备根据自身的身份标识和所述密钥信息向所述非IMS域应用服务器返回挑战响应消息。
6.如权利要求5所述的方法,其特征在于,所述非IMS域应用服务器使用密钥信息和密钥信息的有效期与用户设备进行身份认证,具体包括:
所述非IMS域应用服务器使用所述密钥信息验证来自所述用户设备的挑战响应消息是否正确,如果正确,则向所述用户设备返回认证成功消息;
所述用户设备接收来自所述非IMS域应用服务器的认证成功消息,验证所述认证成功消息中包含的认证信息是否正确,如果正确,则完成与所述非IMS域应用服务器的双向认证,通过安全通道与所述非IMS域应用服务器进行交互。
7.一种认证网关,其特征在于,包括:
接收模块,用于接收非IMS域应用服务器提交的用户设备的身份标识;
查询模块,用于根据所述接收模块接收到的身份标识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有效期内,在查询到存在所述身份标识对应的密钥信息且所述密钥信息在有效期内时,查询所述用户设备在IMS域是否为已注册状态;
发送模块,用于在所述查询模块查询到所述用户设备在IMS域为已注册状态时,向所述非IMS域应用服务器返回所述密钥信息和所述密钥信息的有效期,使所述非IMS域应用服务器使用所述密钥信息和所述密钥信息的有效期与所述用户设备进行身份认证。
8.如权利要求7所述的认证网关,其特征在于,
所述接收模块,还用于接收来自用户设备的SIP消息,获取所述SIP消息中携带的注册参数,所述注册参数由所述用户设备根据公用密钥生成;
所述认证网关,还包括:
解密模块,用于使用自身保存的私有密钥对所述接收模块获取的注册参数进行解密;
所述发送模块,还用于在所述解密模块解密成功时,保存所述用户设备的身份标识对应的密钥信息,向所述用户设备返回注册成功消息,使所述用户设备保存所述密钥信息并根据所述密钥信息访问非IMS域应用服务器。
9.如权利要求8所述的认证网关,其特征在于,还包括:
生成模块,用于生成公私钥对,保存所述公私钥对中的私有密钥,供所述解密模块使用,并向所述用户设备公开所述公私钥对中的公用密钥。
10.一种身份认证系统,其特征在于,包括:
用户设备,用于向非IMS域应用服务器发送访问请求,并接收所述非IMS域应用服务器返回的挑战消息;根据自身的身份标识和所述密钥信息向所述非IMS域应用服务器返回挑战响应消息;
非IMS域应用服务器,用于向认证网关提交用户设备的身份标识,接收来自所述认证网关的密钥信息和所述密钥信息的有效期,使用所述密钥信息和所述密钥信息的有效期与所述用户设备进行身份认证;
认证网关,用于接收所述非IMS域应用服务器提交的用户设备的身份标识,根据所述身份标识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有效期内;如果存在所述身份标识对应的密钥信息且所述密钥信息在有效期内,则查询所述用户设备在IMS域是否为已注册状态,如果查询结果为是,则向所述非IMS域应用服务器返回所述密钥信息和所述密钥信息的有效期。
11.如权利要求10所述的系统,其特征在于,
所述认证网关,还用于接收来自用户设备的会话发起协议SIP消息,获取所述SIP消息中携带的注册参数,所述注册参数由所述用户设备根据公用密钥生成;使用自身保存的私有密钥对所述获取的注册参数进行解密,如果解密成功,则保存所述用户设备的身份标识对应的密钥信息,向所述用户设备返回注册成功消息,使所述用户设备保存所述密钥信息并根据所述密钥信息访问非IMS域应用服务器。
12.如权利要求10所述的系统,其特征在于,
所述用户设备,还用于执行IMS鉴权流程,在IMS域进行注册;当访问非IMS域应用时,检查本地是否存在密钥信息,如果不存在,则随机生成密钥信息,并根据所述密钥信息和公用密钥生成注册参数,并通过SIP消息发送所述注册参数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910237819 CN102065069B (zh) | 2009-11-11 | 2009-11-11 | 一种身份认证方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910237819 CN102065069B (zh) | 2009-11-11 | 2009-11-11 | 一种身份认证方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102065069A true CN102065069A (zh) | 2011-05-18 |
| CN102065069B CN102065069B (zh) | 2013-07-31 |
Family
ID=44000172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200910237819 Active CN102065069B (zh) | 2009-11-11 | 2009-11-11 | 一种身份认证方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102065069B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013127342A2 (zh) * | 2012-03-02 | 2013-09-06 | 中兴通讯股份有限公司 | 一种ims单点登录组合鉴权方法和系统 |
| CN103856454A (zh) * | 2012-12-04 | 2014-06-11 | 中国电信股份有限公司 | Ip 多媒体子系统与互联网业务互通的方法及业务互通网关 |
| CN105577606A (zh) * | 2014-10-09 | 2016-05-11 | 华为技术有限公司 | 一种实现认证器注册的方法和装置 |
| CN103888414B (zh) * | 2012-12-19 | 2017-05-03 | 中国移动通信集团公司 | 一种数据处理方法和设备 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259157B (zh) * | 2016-12-29 | 2021-06-01 | 华为技术有限公司 | 一种ike协商中身份认证的方法及网络设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197673B (zh) * | 2006-12-05 | 2011-08-10 | 中兴通讯股份有限公司 | 固定网络接入ims双向认证及密钥分发方法 |
| CN101540678A (zh) * | 2009-04-20 | 2009-09-23 | 中兴通讯股份有限公司 | 固定终端及其认证方法 |
-
2009
- 2009-11-11 CN CN 200910237819 patent/CN102065069B/zh active Active
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013127342A2 (zh) * | 2012-03-02 | 2013-09-06 | 中兴通讯股份有限公司 | 一种ims单点登录组合鉴权方法和系统 |
| CN103297969A (zh) * | 2012-03-02 | 2013-09-11 | 中兴通讯股份有限公司 | 一种ims单点登录组合鉴权方法和系统 |
| WO2013127342A3 (zh) * | 2012-03-02 | 2014-02-20 | 中兴通讯股份有限公司 | 一种ims单点登录组合鉴权方法和系统 |
| CN103856454A (zh) * | 2012-12-04 | 2014-06-11 | 中国电信股份有限公司 | Ip 多媒体子系统与互联网业务互通的方法及业务互通网关 |
| CN103856454B (zh) * | 2012-12-04 | 2017-08-11 | 中国电信股份有限公司 | Ip 多媒体子系统与互联网业务互通的方法及业务互通网关 |
| CN103888414B (zh) * | 2012-12-19 | 2017-05-03 | 中国移动通信集团公司 | 一种数据处理方法和设备 |
| CN105577606A (zh) * | 2014-10-09 | 2016-05-11 | 华为技术有限公司 | 一种实现认证器注册的方法和装置 |
| CN105577606B (zh) * | 2014-10-09 | 2019-03-01 | 华为技术有限公司 | 一种实现认证器注册的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102065069B (zh) | 2013-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101461455B1 (ko) | 인증 방법, 시스템 및 장치 | |
| EP1879324B1 (en) | A method for authenticating user terminal in ip multimedia sub-system | |
| US8239551B2 (en) | User device, control method thereof, and IMS user equipment | |
| JP5139570B2 (ja) | Ipマルチメディア・サブシステムにアクセスする方法および装置 | |
| US10516660B2 (en) | Methods, systems, devices and products for authentication | |
| CN101635823B (zh) | 一种终端对视频会议数据进行加密的方法及系统 | |
| US8959343B2 (en) | Authentication system, method and device | |
| US8713634B2 (en) | Systems, methods and computer program products supporting provision of web services using IMS | |
| US20080120705A1 (en) | Systems, Methods and Computer Program Products Supporting Provision of Web Services Using IMS | |
| EP2283430A1 (en) | Ims user equipment, control method thereof, host device, and control method thereof | |
| US7940748B2 (en) | Systems, methods and computer program products supporting provision of web services using IMS | |
| WO2008040213A1 (fr) | Procédé, système et dispositif de chiffrement et de signature de messages dans un système de communication | |
| CN103888414B (zh) | 一种数据处理方法和设备 | |
| CN102065069A (zh) | 一种身份认证方法、装置和系统 | |
| CN104753872A (zh) | 认证方法、认证平台、业务平台、网元及系统 | |
| CN102111379A (zh) | 认证系统、方法及设备 | |
| WO2006072209A1 (fr) | Procede de negociation d'une cle dans un sous-systeme multimedia ip | |
| CN102082769B (zh) | Ims终端在获取非ims业务时的认证系统、装置及方法 | |
| US20090089425A1 (en) | Systems, Methods and Computer Program Products for Coordinated Session Termination in an IMS Network | |
| CN101540678A (zh) | 固定终端及其认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |