专利名称:终端接入第二系统网络时进行鉴权的装置、系统及方法
技术领域:
本发明涉及一种终端接入第二系统网络时进行鉴权的装置、系统及方法,尤其涉及的是一种非IMS终端接入IP多媒体子系统IMS(IP MultimediaSubsystem)网络时进行鉴权的装置、系统和方法。
背景技术:
目前移动通信网络的下一代核心网发展趋势是IP多媒体子系统(IMS),它负责在分组域连接的基础上为基于IP的多媒体业务如VoIP、会议电视业务等提供相关控制机制。但是这些控制机制的基础是终端要在接入IMS网络时首先要能够通过IMS网络的鉴权。
IMS网络的鉴权算法根据标准定义是采用一种叫做Digest-AKAv1-MD5(简称AKA)的算法来进行的,而目前很多终端是不支持这种鉴权算法的。这些终端包括支持SIP信令但是不支持AKA鉴权算法的分组模式终端,也包括根本连SIP信令都不支持的电路模式终端。
目前已经有较多技术来解决将这些不支持AKA鉴权算法的终端接入IMS系统享受IMS业务了,比如3GPP标准组织提出的Early IMS方法可以将不支持AKA算法的SIP终端接入IMS域、TISPAN标准组织提出的AGCF(接入网关控制器)技术可以将电路模式终端接入IMS域等。但是这些接入代理装置本身都没有解决终端在IMS域的鉴权问题,需要有另外的方案来完成。
在3GPP制定的IMS协议标准中,为了只能使用SIM卡的GPRS用户能够使用IMS网络,定义了一种名叫Early IMS的过程,具体参见3GPP协议TR33.878。它的实现方案是对用户采用IP地址和IMSI(InternationalMobile Subscriber Identifier,国际移动用户标识符)号码进行绑定,如图1所示用户接入GPRS网络时,在GGSN(Gateway GPRS Support Node,网关GPRS支持节点)对用户分配了IP地址之后,GGSN会通过一个新定义的Gi接口将IP地址和用户IMSI或MSISDN(Mobile Station International ISDNNumber,移动台国际ISDN号码)通知HSS(Home Subscriber Server,归属用户服务器),由HSS进行保存。然后当用户在IMS域发起注册操作时,S-CSCF(Serving CSCF,服务CSCF;CSCF,Call Session Control Function,呼叫会话控制功能)会检查用户接入的IP地址和HSS保存的IP地址是否一致,如果一致则鉴权通过,否则就鉴权失败,用户注册不通过。
这种简单使用IP地址来进行合法性判断的做法没有执行任何鉴权算法,只能是一种很初级的安全措施,并非一种真正的“鉴权”,而且这种措施很容易被非法终端通过模拟IP地址的方法来攻破,因此其安全性极低。
发明内容
本发明的目的在于提供一种终端接入第二系统网络时进行鉴权的装置、系统及方法,解决上述现有技术的问题,提供一种代替不能执行第二系统网络鉴权算法的多模混合终端、保存其算法鉴权密钥并执行对应鉴权算法进行鉴权运算,从而代替用户进行基于IMS域的鉴权方法,并且该方法安全性高。
本发明的技术方案包括一种多模混合终端接入第二系统网络时进行鉴权的装置,其中,所述装置为一鉴权代理装置,用于保存多模混合终端的鉴权算法密钥,以及获取多模混合终端在第一系统网络上的注册信息,并代替终端进行基于对应算法的鉴权运算,接入一第二系统网络。
所述的装置,其中,所述鉴权代理装置还包括一外部信令接口模块,用于与所述第一系统网络和第二系统网络相连;一第一系统网络注册鉴权模块,用于从外部信令接口模块那里获取用户注册信息并进行处理;
一第二系统网络注册鉴权模块,用于从外部信令接口模块接收基于第二系统的鉴权计算请求,并返回鉴权计算结果响应;一用户数据关联管理模块,用于关联多模混合终端用户在第一系统网络和第二系统网络中的用户标识及进行鉴权所需的密钥。
所述的装置,其中,所述鉴权代理装置还将多模混合终端在第一系统网络上进行注册和鉴权。
所述的装置,其中,所述外部信令接口模块还包括一第一系统网络接口模块,负责和第一系统网络进行信令互通;一第二系统网络接口模块,用于与所述第二系统网络连接,负责和第二系统网络进行信令互通。
所述的装置,其中,所述第一系统网络为GSM系统、CDMA系统电路域网络或PSTN电话网络。
所述的装置,其中,所述第二系统网络为WCDMA网络、CDMA系统EVDO网络、WLAN网络、ISDN网络或IMS网络。
所述的装置,其中,所述鉴权算法为AKA、分组网络通用的CHAP/PAP认证或Digest认证。
一种采用所述鉴权代理装置的系统,其中,其包括至少一多模混合终端、一鉴权代理装置、第二系统网络;所述鉴权代理装置,用于让不具有第二系统网络鉴权算法能力的多模混合终端通过该第二系统网络的鉴权流程,在第二系统网络接入。
所述的系统,其中,所述系统还包括一第一系统网络注册鉴权装置,用于当所述鉴权代理装置没有让多模混合终端在第一系统网络进行注册鉴权时,此第一系统网络注册鉴权装置负责对用户进行基于第一系统网络的注册鉴权,并将注册鉴权结果通知所述鉴权代理装置。
所述的系统,其中,还包括;一接入代理装置,用于将不具有基于第二系统网络的信令处理能力的多模混合终端接入第二系统网络。
所述的系统,其中,所述第一系统网络为GSM系统、CDMA系统电路域网络或PSTN电话网络。
所述的系统,其中,所述第二系统网络为WCDMA网络、CDMA系统EVDO网络、WLAN网络、ISDN网络或IMS网络。
一种多模混合终端接入第二系统网络时进行鉴权的方法,其包括以下步骤A、所述多模混合终端在第一系统网络进行注册鉴权,通过之后,所述鉴权代理装置获取到用户的注册鉴权结果;B、所述多模混合终端在第二系统网络注册时,所述鉴权代理装置代理所述多模混合终端在第二系统网络执行基于第二系统网络的鉴权过程。
所述的方法,其中,所述鉴权过程包括B1、所述第二系统网络向多模混合终端返回要求进行鉴权的响应消息,消息中带有鉴权挑战随机数;B2、多模混合终端将第二系统网络返回的鉴权挑战随机数及其他鉴权相关参数通过第一信令发送给所述鉴权代理装置,要求该鉴权代理装置协助进行基于第二系统网络的鉴权。
所述的方法,其中,所述鉴权过程还包括B3、所述鉴权代理装置获取鉴权挑战随机数及相关参数后代替用户执行第二系统网络要求的鉴权算法,计算出鉴权结果;B4、所述鉴权代理装置将鉴权结果返回给多模混合终端;B5、所述多模混合终端从所述鉴权代理装置得到的鉴权结果填入基于第二系统网络信令的注册消息中,将含有鉴权结果的注册消息发送给第二系统网络;B6、所述第二系统网络对鉴权结果进行认证通过后返回注册成功响应。
所述的方法,其中,所述步骤B5还包括按照第二系统网络要求和第二系统网络间建立好安全联盟,通过该安全联盟将含有鉴权结果的注册消息发送给第二系统网络。
所述的方法,其中,所述多模混合终端可通过其接入代理设备进行鉴权过程。
所述的方法,其中,所述步骤B2中的所采用的第一信令是电路域信令中的MAP信令,或,是分组域信令中的会话发起协议、Diameter、RADIUS信令。
所述的方法,其中,所述鉴权代理装置的鉴权算法为AKA算法,分组网络通用的CHAP/PAP认证或Digest认证。
所述的方法,其中,所述鉴权代理装置还根据需要将所述多模混合终端进行基于第一系统网络的注册过程。
所述的方法,其中,所述第一系统网络为GSM系统、CDMA系统电路域网络或PSTN电话网络。
所述的方法,其中,所述第二系统网络为WCDMA网络、CDMA系统EVDO网络、WLAN网络、ISDN网络或IMS网络。
本发明所提供的一种多模混合终端接入鉴权的装置、系统及方法,由于采用鉴权代理装置实现代替多模混合终端在第二系统网络中的鉴权过程,其实现安全性高,实现简单可靠。
图1为现有技术的多模混合终端接入网络时的鉴权流程示意图;图2为本发明的鉴权代理装置的结构示意图;图3为本发明的多模混合终端接入鉴权的流程示意图;图4为本发明方法的较佳实施例中的多模混合终端接入IP多媒体子系统网络的鉴权流程示意图;图5为本发明的IP多媒体子系统的结构示例的示意图;
图6为本发明的IP多媒体子系统的结构另一示例的示意图。
具体实施例方式
以下结合附图,将对本发明的各较佳实施例进行较为详细的说明。
本发明的多模混合终端接入时进行鉴权的装置是在第二系统网络中新增一个功能实体“鉴权代理装置”,该鉴权代理装置如图2所示的包括外部信令接口模块,用于与所述第一系统网络相连,该外部信令接口模块包括一第一系统网络接口模块,通过接口a和第一系统网络相连,负责和第一系统网络进行信令互通;一个是第二系统网络接口模块,如IMS网络接口模块,通过接口b和第二系统网络,如IMS网络,负责和IMS网络进行信令互通;一个是第一系统网络注册鉴权模块,从第一系统网络接口模块那里获取用户注册信息并进行处理,可以对多模混合终端进行基于第一系统网络方式的注册或鉴权;一个是第二系统网络注册鉴权模块,如IMS网络注册鉴权模块,从第二系统网络接口模块或第一系统网络接口模块那里获取用户注册信息并进行处理,代替多模混合终端用户进行基于IMS域的注册鉴权;一个是用户数据关联管理模块,将多模混合终端用户在第一系统网络和第二系统网络中的用户标识进行关联和管理。
须注意的是,本发明所述的多模混合终端是指一种能接入多个系统网络的终端,其在涵义上可以包括各种传统终端。
本发明所述第一系统网络可以为GSM系统、CDMA系统电路域网络或PSTN电话网络等传统网络;所述第二系统网络可以为WCDMA网络、CDMA系统EVDO网络、WLAN网络、ISDN网络或IMS网络等。所述多模混合终端是指可以分别或同时接入上述两个系统的终端。所述鉴权算法根据第二系统的不同除AKA算法之外,还有分组网络通用的CHAP/PAP认证(即用户名+密码方式),Digest认证等算法。
在本发明的下述描述实施例中,其第一系统网络是CDMA2000 1x电路域网络,或称为传统网络,第二系统网络是IMS网络,因此,以下描述中可能直接使用传统网络或IMS网络来说明本发明的具体实施例。
所述关联和管理的过程可以包括建立一个用户关联数据库,将用户在传统网络中的IMSI或MDN号码与在IMS网络中的公共标识Public Identity或私有标识Private Identity进行一一对应。当使用某个IMSI号码的用户在传统网络注册鉴权成功后(在传统网络进行鉴权不是必须的),鉴权代理装置即准备为其对应的Private Identity标识在IMS网络进行鉴权代理。
该鉴权代理模块负责如下功能用户接入传统网络时,对用户进行基于传统网络的鉴权;用户接入IMS网络,IMS网络要求对用户进行鉴权时,代替用户进行鉴权运算并返回鉴权结果。
本发明所述采用所述鉴权代理装置的系统,如图5和图6所示的,其中,其包括至少一多模混合终端、一鉴权代理装置、IP多媒体子系统网络;所述多模混合终端通过所述鉴权代理装置进行鉴权接入IP多媒体子系统网络,让不具有IP多媒体子系统网络鉴权算法能力的多模混合终端通过IP多媒体子系统网络的鉴权流程,在IP多媒体子系统网络接入。如果该多模混合终端不具有会话发起协议信令能力,则设置一接入代理装置,由所述鉴权代理装置和该接入代理装置代理接入IP多媒体子系统网络,如图6所示。
本发明多模混合终端接入时进行鉴权的方法的鉴权流程如图3所示,包括如下几个步骤1.多模混合终端通过接入网络向该鉴权代理装置发起基于传统网络的注册或业务接入过程;2.所述鉴权代理装置将用户注册到传统网络中,在这个过程中,有可能会需要进行基于传统网络的鉴权过程;3.当基于传统网络的鉴权过程通过之后,多模混合终端自身或者通过其接入代理设备向IMS网络发起基于IMS域的注册流程。IMS网络向多模混合终端或其接入代理返回要求进行鉴权的响应消息,消息中带有鉴权挑战随机数。
4.多模混合终端或其接入代理将IMS网络返回的鉴权挑战随机数及其他鉴权相关参数发送给鉴权代理装置,要求鉴权代理装置协助进行基于IMS网络的鉴权,这一步所采用的第一信令可以是电路域信令如MAP信令,也可以是分组域信令如SIP、Diameter、RADIUS信令等。
5.所述鉴权代理装置获取鉴权挑战随机数等相关参数后代替用户执行IMS要求的AKA鉴权算法,计算出鉴权结果。
6.所述鉴权代理装置将鉴权结果返回给多模混合终端或其接入代理。
7.多模混合终端或其接入代理将从鉴权代理装置得到的鉴权结果填入SIP注册消息中,并且按照IMS网络要求和IMS网络间建立好安全联盟SA(Security Association),然后通过安全联盟将含有鉴权结果的注册消息发送给IMS网络。IMS网络对鉴权结果进行认证通过后返回注册成功响应。
以下将对本发明系统和方法的具体实施例进行详细说明,该实施例以CDMA移动通信系统为例进行说明,传统的CDMA2000 1X电路域终端不支持SIP信令,本发明系统由接入代理装置代理接入IMS网络。接入代理装置放置在归属域,位置和HLR(Home Location Register,归属位置寄存器)一起。
如图4所示的,本发明方法的具体步骤为1.多模混合终端通过接入网络向鉴权代理装置发起基于传统网络的鉴权流程;2.所述鉴权代理装置通过多模混合终端用户的鉴权;3.所述多模混合终端通过接入网络向接入代理装置进行基于传统网络的注册流程;4.所述接入代理装置代替用户向IMS网络发起基于SIP信令的注册;5.所述IMS网络给接入代理装置返回401 Unauthorized响应,响应中带有要求鉴权的随机数;6.接入代理装置收到401响应之后,通过一个MAP信令流程“基站查询请求”来将鉴权挑战随机数发送给鉴权代理装置,该请求消息需要经过扩展以支持IMS网络的随机数;7.所述鉴权代理装置根据IMS网络要求的鉴权算法和鉴权挑战随机数进行鉴权运算得到鉴权结果,在基站查询响应消息中带给接入代理装置;8.接入代理装置重新发起到IMS网络的注册消息,并且把鉴权代理装置计算出的鉴权结果参数填入注册消息中;9.所述IMS网络返回200 OK响应表示注册成功;10.接入代理装置向多模混合终端返回位置更新成功。
本发明所述的鉴权代理装置能够保存终端的AKA鉴权算法密钥,并代替终端进行基于AKA算法的鉴权运算;将多模混合终端在传统网络进行注册;以及将多模混合终端在传统网络进行鉴权的能力。
本发明所述的鉴权系统,其包括所述鉴权代理装置,能够让不具有IMS网络AKA鉴权算法能力的多模混合终端通过IMS网络的鉴权流程,在IMS网络接入,还包括多模混合终端、鉴权代理、IMS网络。该系统还包括一接入代理装置,帮助不具有SIP信令能力的多模混合终端接入IMS网络。
本发明的鉴权方法,能够让不具有IMS网络AKA鉴权算法能力的多模混合终端通过IMS网络的鉴权流程,在IMS网络接入,而且其接入安全性高。
应当理解的是,上述针对具体实施例的描述较为详细,并不能因此而理解为对本发明专利保护范围的限制,本发明的专利保护范围应以所附权利要求为准。
权利要求
1.一种多模混合终端接入第二系统网络时进行鉴权的装置,其特征在于,所述装置为一鉴权代理装置,用于保存多模混合终端的鉴权算法密钥,以及获取多模混合终端在第一系统网络上的注册信息,并代替终端进行基于对应算法的鉴权运算,接入一第二系统网络。
2.根据权利要求1所述的装置,其特征在于,所述鉴权代理装置还包括一外部信令接口模块,用于与所述第一系统网络和第二系统网络相连;一第一系统网络注册鉴权模块,用于从外部信令接口模块那里获取用户注册信息并进行处理;一第二系统网络注册鉴权模块,用于从外部信令接口模块接收基于第二系统的鉴权计算请求,并返回鉴权计算结果响应;一用户数据关联管理模块,用于关联多模混合终端用户在第一系统网络和第二系统网络中的用户标识及进行鉴权所需的密钥。
3.根据权利要求1所述的装置,其特征在于,所述鉴权代理装置还将多模混合终端在第一系统网络上进行注册和鉴权。
4.根据权利要求1所述的装置,其特征在于,所述外部信令接口模块还包括一第一系统网络接口模块,负责和第一系统网络进行信令互通;一第二系统网络接口模块,用于与所述第二系统网络连接,负责和第二系统网络进行信令互通。
5.根据权利要求1至4任意所述的装置,其特征在于,所述第一系统网络为GSM系统、CDMA系统电路域网络或PSTN电话网络。
6.根据权利要求1至4任意所述的装置,其特征在于,所述第二系统网络为WCDMA网络、CDMA系统EVDO网络、WLAN网络、ISDN网络或IMS网络。
7.根据权利要求1至4任意所述的装置,其特征在于,所述鉴权算法为AKA、分组网络通用的CHAP/PAP认证或Digest认证。
8.一种采用如权利要求1所述鉴权代理装置的系统,其特征在于,其包括至少一多模混合终端、一鉴权代理装置、第二系统网络;所述鉴权代理装置,用于让不具有第二系统网络鉴权算法能力的多模混合终端通过该第二系统网络的鉴权流程,在第二系统网络接入。
9.根据权利要求8所述的系统,其特征在于,所述系统还包括一第一系统网络注册鉴权装置,用于当所述鉴权代理装置没有让多模混合终端在第一系统网络进行注册鉴权时,此第一系统网络注册鉴权装置负责对用户进行基于第一系统网络的注册鉴权,并将注册鉴权结果通知所述鉴权代理装置。
10.根据权利要求9所述的系统,其特征在于,还包括;一接入代理装置,用于将不具有基于第二系统网络的信令处理能力的多模混合终端接入第二系统网络。
11.根据权利要求8至10任意所述的系统,其特征在于,所述第一系统网络为GSM系统、CDMA系统电路域网络或PSTN电话网络。
12.根据权利要求8至10任意所述的系统,其特征在于,所述第二系统网络为WCDMA网络、CDMA系统EVDO网络、WLAN网络、ISDN网络或IMS网络。
13.一种多模混合终端接入第二系统网络时进行鉴权的方法,其包括以下步骤A、所述多模混合终端在第一系统网络进行注册鉴权,通过之后,所述鉴权代理装置获取到用户的注册鉴权结果;B、所述多模混合终端在第二系统网络注册时,所述鉴权代理装置代理所述多模混合终端在第二系统网络执行基于第二系统网络的鉴权过程。
14.根据权利要求13所述的方法,其特征在于,所述鉴权过程包括B1、所述第二系统网络向多模混合终端返回要求进行鉴权的响应消息,消息中带有鉴权挑战随机数;B2、多模混合终端将第二系统网络返回的鉴权挑战随机数及其他鉴权相关参数通过第一信令发送给所述鉴权代理装置,要求该鉴权代理装置协助进行基于第二系统网络的鉴权。
15.根据权利要求14所述的方法,其特征在于,所述鉴权过程还包括B3、所述鉴权代理装置获取鉴权挑战随机数及相关参数后代替用户执行第二系统网络要求的鉴权算法,计算出鉴权结果;B4、所述鉴权代理装置将鉴权结果返回给多模混合终端;B5、所述多模混合终端从所述鉴权代理装置得到的鉴权结果填入基于第二系统网络信令的注册消息中,将含有鉴权结果的注册消息发送给第二系统网络;B6、所述第二系统网络对鉴权结果进行认证通过后返回注册成功响应。
16.根据权利要求15所述的方法,其特征在于,所述步骤B5还包括按照第二系统网络要求和第二系统网络间建立好安全联盟,通过该安全联盟将含有鉴权结果的注册消息发送给第二系统网络。
17.根据权利要求13至16任意所述的方法,其特征在于,所述多模混合终端可通过其接入代理设备接入第二系统网络。
18.根据权利要求17所述的方法,其特征在于,所述步骤B2中的所采用的第一信令是电路域信令中的MAP信令,或,是分组域信令中的会话发起协议、Diameter、RADIUS信令。
19.根据权利要求18所述的方法,其特征在于,所述鉴权代理装置的鉴权算法为AKA算法,分组网络通用的CHAP/PAP认证或Digest认证。
20.根据权利要求18所述的方法,其特征在于,所述鉴权代理装置还根据需要将所述多模混合终端进行基于第一系统网络的注册过程。
21.根据权利要求13至16任意所述的方法,其特征在于,所述第一系统网络为GSM系统、CDMA系统电路域网络或PSTN电话网络。
22.根据权利要求13至16任意所述的方法,其特征在于,所述第二系统网络为WCDMA网络、CDMA系统EVDO网络、WLAN网络、ISDN网络或IMS网络。
全文摘要
本发明公开了一种终端接入第二系统网络时进行鉴权的装置、系统及方法,其方法包括步骤多模混合终端通过接入网络向该鉴权代理装置发起基于第一系统网络的注册或业务接入过程;所述鉴权代理装置将用户注册到第一系统网络中,根据需要进行基于第一系统网络的鉴权过程;当基于第一系统网络的鉴权过程通过后,多模混合终端向第二系统网络发起基于第二系统网络的注册流程。本发明的装置、系统及方法由于采用鉴权代理装置实现代替多模混合终端在IP多媒体子系统中的鉴权过程,其实现安全性高,实现简单可靠。
文档编号H04W60/00GK1874598SQ20051012068
公开日2006年12月6日 申请日期2005年12月13日 优先权日2005年12月13日
发明者徐杰, 刘文宇 申请人:华为技术有限公司