专利名称:在ims网络中实现单点登录的方法和系统的制作方法
技术领域:
本发明涉及通信领域,具体涉及一种在IMS(IP Multimedia Subsystem, IP多媒体业务子系统)网络中实现单点登录(SSO)的方法和系统。
背景技术:
目前,为了实现MS单点登录,通常会在统一MS中访问应用服务器(AS)时在IMS核心网外部利用AKA(Authentication and Key Agreement,认证和密钥协商)、SIPDigest (SIP摘要)等认证机制对终端用户设备(UE)进行认证,实现最终的单点登录功能。其中,AS与中继服务器(Relay Server,RS)存在安全通道以实现MS单点登录的架构原理图如图I所示;AS与RS存在共享密钥以实现MS单点登录的架构原理图如图2所示。在统一 IMS的终端UE实现对应用服务器的SSO功能中,根据应用场景不同可分为二种实现场景I :IMS终端UE 内具有UICC(Universal Integrated Circuit Card,通用集成电路卡)卡,并且网络运营商已部署了 GBA(Generic Bootstrapping Architecture,通用引导体系)的情形;此时可以利用GBA认证机制同Liberty Alliance/OpenID (自由联盟/OpenID)结合实现单点登录以及与现有的其它SSO机制实现互通。2 =IMS终端UE内具有nCC卡,但是运营商不能部署GBA的情形;此种情况下,可采用AKA/OpenID相结合方案实现该种场景下的SSO功能。3 =IMS终端UE不具有nCC卡并且运营商也未部署GBA的情形。此种情况下,已在3GPP SA3#60会议上由NSN (诺西)对该情况进行立项。上面三种SSO的应用场景中,在终端UE访问AS的服务时,均需要功能网元在MS核心网外使用AKA或者SIP Digest认证机制对终端UE进行认证,而不关注该MS终端是否已经在MS核心网内注册,没有把MS核心网内注册认证过程与MS终端的单点登录过程相关联。随着頂S网络与Internet网络之间不断融合的趋势,IMS终端对各种应用服务器的访问需求的增加,实现MS终端对应用服务器的SSO功能,对用户而言是越来越亟待需要实现的功能。现有技术都是通过在頂S网络中运营商大量部署用于对终端UE进行认证的功能网元来实现对MS网络相关应用服务的SSO功能。现存方案只有在网络运营商部署了支持认证机制的功能网元,通过这些功能网元对终端UE再次进行身份认证,终端UE才能实现访问AS的SSO功能。这样将增加访问流程的复杂性。
发明内容
有鉴于此,本发明的主要目的在于提供一种在MS网络中实现单点登录的方法和 系统,不需要再次对终端UE进行认证就能实现SSO功能,有效降低访问流程的复杂性。为达到上述目的,本发明的技术方案是这样实现的一种在MS网络中实现单点登录的方法,该方法包括
终端用户设备UE在MS核心网内利用AKA认证机制注册后,针对终端UE发起第三方注册,获取该终端UE的第三方注册内容;当该终端UE要访问AS时,依据终端UE的第三方注册内容判断该终端UE是否已注册,在确认终端UE已注册时,根据所述第三方注册内容产生共享密钥。所述发起第三方注册,获取该终端UE的第三方注册内容的过程包括终端UE首先使用AKA终端用户注册机制完成在MS网络内的注册,之后由S-CSCF通知RS针对终端UE进行第三方注册过程;RS进而向S-CSCF发送信息订阅请求,从S-CSCF获得AKA注册认证的参数信息。该方法进一步包括认证AS的过程AS将用户公用身份标识符和自身身份标识符一起发送到RS,RS根据AS的身份标识符对AS进行认证,若AS认证失败则RS直接向终端UE返回错误信息;否则进行所述判断终端UE是否已注册的处理;或者,AS重定向终端UE发送的用户服务请求并且发送AS认证请求到RS地址,RS依据AS身份标识信息对AS进行认证;若AS认证失败则RS直接向终端UE返回错误信息;否则进行所述判断终端UE是否已注册的处理。所述判断终端UE是否已注册,以及产生共享密钥的过程包括根据在第三方注册过程中RS从S-CSCF获取的订阅参数信息中的注册标识符,获知终端UE是否已注册;在获知终端UE已注册时,利用第三方注册的订阅过程中获知的参数产生共享密钥。该方法进一步包括AS获取所述共享密钥的过程。一种在MS网络中实现单点登录的系统,该系统包括S-CSCF和RS ;其中,所述S-CSCF,用于当终端UE在MS核心网内利用AKA认证机制注册后,针对终端UE发起第三方注册,获取该终端UE的第三方注册内容;所述RS,用于当该终端UE要访问AS时,依据终端UE的第三方注册内容判断该终端UE是否已注册,在确认终端UE已注册时,根据所述第三方注册内容产生共享密钥。所述S-CSCF在发起第三方注册,获取该终端UE的第三方注册内容时,用于在终端UE使用AKA终端用户注册机制完成在MS网络内的注册之后,通知RS针对终端UE进行第三方注册过程;触发RS向S-CSCF发送信息订阅请求,从S-CSCF获得AKA注册认证的参数信息。所述AS,进一步用于与RS配合认证AS ;其中,所述AS,用于将用户公用身份标识符和自身身份标识符一起发送到RS ;所述RS,用于根据AS的身份标识符对AS进行认证,若AS认证失败则RS直接向终端UE返回错误信息;否则进行所述判断终端UE是否已注册的处理;或者,所述AS,用于重定向终端UE发送的用户服务请求并且发送AS认证请求到RS地址;所述RS,用于依据AS身份标识信息对AS进行认证;若AS认证失败则RS直接向终端UE返回错误信息;否则进行所述判断终端UE是否已注册的处理。
所述RS在判断终端UE是否已注册,以及产生共享密钥时,用于根据在第三方注册过程中从S-CSCF获取的订阅参数信息中的注册标识符,获知终端UE是否已注册;在获知终端UE已注册时,利用第三方注册的订阅过程中获知的参数产生共享密钥。所述AS,进一步用于获取所述共享密钥。本发明在MS网络中实现单点登录的方法和系统,不需要再次对终端UE进行认证就能实现SSO功能,有效降低访问流程的复杂性。
图I为AS与RS存在安全通道实现MS单点登录功能的整体架构图;图2为AS与RS存在共享密钥实现MS单点登录功能的整体架构图;图3为AS与RS之间存在安全通道时,在MS核心网内利用AKA认证机制的第三方注册过程实现终端UE的SSO功能的流程;图4为AS与RS之间不存在安全通道但具有共享密钥时,在IMS核心网内利用AKA认证机制的第三方注册过程实现终端UE的SSO功能的流程;图5为本发明实施例在MS网络中实现单点登录的流程简图。
具体实施例方式实际上,在MS核心网中终端UE只需要注册一次,就会在S-CSCF(Serving-CSCF,服务CSCF)中产生一个标识该终端UE已注册的标识符register,该终端UE根据该标识符就不需要再次注册,进而可以进行后续的通话操作。在终端UE访问应用服务器时,同样可以利用该标识符,使得终端UE不需要再次利用认证机制在UE和认证中心之间进行认证过程,就可以直接安全地获得所需的服务。为了实现该功能,需要设计一个新的网元RS,利用该网元识别该标识符,并能够使得终端UE和应用服务器之间建立共享密钥,进而进行安全的信息交互。本发明中,可以利用终端UE在MS核心网内采用AKA认证机制完成注册过程时,在S-CSCF内产生的注册标识符Register,并利用网络运营商提供的RS网元与S-CSCF进行第三方注册过程,使得RS获得MS核心网内注册认证过程中传递的认证参数IK、CK、nonce以及S-CSCF产生的注册标识符Register。RS网元通过识别该Register标识符,获知该终端UE已注册认证通过,进而产生AS和终端UE两者的会话密钥,AS和终端UE之间通过该会话密钥可以进行安全的信息交互。同时,RS提供对访问的应用服务器进行认证,保证终端UE身份信息的安全性。有鉴于此,可以利用终端UE在MS核心网内的AKA认证注册过程产生的注册标识符register,在统一 MS网络中实现对应用服务器的SSO功能架构和流程;可以在实现SSO功能过程中由功能网元对注册标识符register进行识别,以及由RS提供对AS进行认证的机制;使得在MS中,终端UE只需要在IMS核心网内利用AKA认证机制完成第三方注册,就可以实现SSO的访问所需的应用服务器。与基于SIP Digest的MS单点登录机制相比,不需要再次对终端UE进行SIP Digest认证就能实现SSO功能。
具体而言,终端UE用户在MS核心网内利用AKA认证机制注册后,S-CSCF向网络运营商提供的网元RS发出第三方注册请求过程,RS向S-CSCF进行订阅请求,从S-CSCF获得AKA认证注册过程中的参数IK、CK、nonce以及注册标识符register。当该终端UE要访问AS时,UE向AS发送应用服务请求,AS本身不存储UE的任何身份信息,AS不对UE进行识别,直接把该认证请求重定向到网络运营商提供的RS网元去识别该终端UE ;同时为了 UE用户终端的安全,AS要到RS去进行认证。RS和AS两者之间事先已协商共享密钥或存在安全通道。RS对AS身份进行认证,若认证AS失败,则直接向终端UE返回AS错误信息,否则RS依据在第三方注册的订阅过程获得该终端UE相关的认证向量(其中包含Register注册标识符),以识别该终端UE是否已注册,若未注册或者注册生命周期过期,则需要终端UE先在MS核心网内进行再注册,否则RS从注册标识符获知该终端UE已注册,则RS产生共享密钥AS_Ks ;接着,将该信息发送到AS,还包括AS和UE两者的共享密钥加密AS_Ks和nonce值;终端UE获得nonce,产生密钥AS_Ks ;将共享密钥AS_Ks作用在UE和AS两者之间的接口,以保证两者安全的信息传递。本发明是MS终端在MS核心网内利用AKA认证注册过程,以及S-CSCF产生的注册标识符,设计功能网元RS与S-CSCF进行第三方注册过程并识别该标识符,以实现终端UE的SSO功能。UE为MS终端,AS对应于MS终端要访问的应用服务器,RS对应于网络运营商提供的进行第三方注册和订阅、识别注册标识符register和产生密钥的功能网元。下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。参见图3,AS与RS之间存在安全通道时,在MS核心网内利用AKA认证机制的第三方注册过程实现终端UE的SSO功能时,可以执行如下步骤步骤I :终端UE首先完成在MS网络内的注册。该过程使用AKA终端用户注册机制实现。步骤2 S-CSCF通知RS进行第三方注册过程。步骤3 RS向S-CSCF发送信息订阅请求,从S-CSCF获得AKA注册认证的参数信息,包括注册标识符Register、IK、CK、nonce等信息。步骤4 UE向AS发出访问服务请求,为了保证用户私有标识符MPI不被泄露,该请求中携带用户的用户公用身份标识頂PU,用于表示终端UE。步骤5 :AS获得该用户服务请求后,将用户公用身份标识符IMPU和AS自身身份标识符(AS身份)一起发送到RS。步骤6 RS根据AS的身份标识符对AS进行认证。若AS认证失败则RS直接向终端UE返回错误信息;否则执行步骤8。步骤7 RS若认证AS,获知该AS非法,则返回认证失败信息给终端UE。步骤8 :根据在第三方注册过程中RS从S-CSCF获取的订阅参数信息中的注册标识符register,获知终端UE是否已注册,若未注册则直接返回让终端UE先注册;否则利用第三方注册的订阅过程获知的IK、CK和nonce等产生共享密钥AS_Ks。步骤9 RS向AS发送身份认证响应,该信息中包含AS_Ks和nonce值。步骤10 AS获得密钥AS_Ks。步骤11 AS向终端UE发送应用服务应答消息,该消息中携带随机数nonce值。步骤12 :终端UE利用获得的nonce值和MS注册时得到的IK、CK 一起产生密钥AS_Ks。此时UE和AS两者有相同的共享密钥,可以进行安全的应用信息的交互操作。
上述步骤中任一步骤失败,则整个过程停止执行。参见图4,AS与RS之间不存在安全通道但具有共享密钥时,在MS核心网内利用AKA认证机制的第三方注册过程实现终端UE的SSO功能时,可以执行如下步骤步骤I :终端UE首先完成在MS网络内的注册。该过程使用AKA终端用户注册机制实现。步骤2 : S-CSCF通知RS进行第三方注册过程。步骤3 RS向S-CSCF发送信息订阅请求,从S-CSCF获得AKA注册认证的参数信息,包括注册标识符Register、IK、CK、nonce等信息。步骤4 :UE向AS发出访问服务请求,该请求中携带用户的公用身份标识IMPU。步骤5 :AS重定向该用户服务请求并且发送RP认证请求到RS地址。同时携带MPU和RP身份标识信息(AS身份)。步骤6 :请求被重定向到RS地址,同时携带MPU和RP身份标识信息(AS身份)。步骤7 RS依据AS身份标识信息(AS身份)对AS进行认证;若AS认证失败则RS直接向终端UE返回错误信息;否则执行步骤9。AS和RS之间事先已建立了共享密钥(Ka,r)。步骤8 RS对AS进行认证失败后,直接返回错误信息给终端UE。步骤9 :根据在第三方注册过程中RS从S-CSCF获取的订阅参数信息中的注册标识符register,获知终端UE是否已注册,若未注册则直接返回让终端UE先注册;否则利用第三方注册的订阅过程获知的IK、CK和nonce等产生共享密钥AS_Ks。步骤10 :RS重定向结果信息到AS,该信息中包含nonce和加密AS_Ks的信息EKa,r(AS_Ks)。步骤11 UE收到nonce值,利用终端UE在MS核心网内AKA注册时产生的IK和CK,与收到的nonce值产生密钥AS_Ks。步骤11 :重定向加密信息到AS,该信息中包含EKa,r(AS_Ks)。步骤12 AS解密收到的加密信息,获得共享密钥AS_Ks。此时UE和AS两者有相同的共享密钥,可以进行安全的应用信息的交互操作。上述步骤中任一步骤失败,则整个过程停止继续执行。在UE用户访问AS时,若遭遇意外导致断网,当UE还未完成与AS之间建立共享密钥的过程,则若网络恢复后UE要访问应用服务器,则需要重新开始请求服务过程;当UE已经完成共享密钥的建立过程,若恢复网络用时未到达共享密钥的生命周期,则网络恢复后UE和AS之间可以继续把该共享密钥应用到其参考点上的协议中,继续与AS进行安全交互,否则需要重新产生共享密钥过程。在UE用户访问AS后,若遭遇用户主动关闭注销UE或断电等特殊情况,则用户需要重新完成在頂S内的注册等整个执行流程。结合以上实施例可知,本发明在MS网络中实现单点登录的操作思路可以表示如图5所示的流程,图5所示流程包括以下步骤步骤510 :终端UE在MS核心网内利用AKA认证机制注册后,针对终端UE发起第
三方注册,获取该终端UE的第三方注册内容。步骤520 :当该终端UE要访问AS时,依据终端UE的第三方注册内容判断该终端UE是否已注册,在确认终端UE已注册时,根据所述第三方注册内容产生共享密钥。综上所述可见,本发明在MS网络中实现单点登录的方法和系统,不需要再次对终端UE进行认证就能实现SSO功能,有效降低访问流程的复杂性。、
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。权利要求
1.一种在IMS网络中实现单点登录的方法,其特征在于,该方法包括终端用户设备UE在MS核心网内利用AKA认证机制注册后,针对终端UE发起第三方注册,获取该终端UE的第三方注册内容;当该终端UE要访问AS时,依据终端UE的第三方注册内容判断该终端UE是否已注册,在确认终端UE已注册时,根据所述第三方注册内容产生共享密钥。
2.根据权利要求I所述的方法,其特征在于,所述发起第三方注册,获取该终端UE的第三方注册内容的过程包括终端UE首先使用AKA终端用户注册机制完成在MS网络内的注册,之后由S-CSCF通知RS针对终端UE进行第三方注册过程;RS进而向S-CSCF发送信息订阅请求,从S-CSCF获得AKA注册认证的参数信息。
3.根据权利要求2所述的方法,其特征在于,该方法进一步包括认证AS的过程AS将用户公用身份标识符和自身身份标识符一起发送到RS,RS根据AS的身份标识符对AS进行认证,若AS认证失败则RS直接向终端UE返回错误信息;否则进行所述判断终端UE是否已注册的处理;或者,AS重定向终端UE发送的用户服务请求并且发送AS认证请求到RS地址,RS依据AS身份标识信息对AS进行认证;若AS认证失败则RS直接向终端UE返回错误信息;否则进行所述判断终端UE是否已注册的处理。
4.根据权利要求I至3任一项所述的方法,其特征在于,所述判断终端UE是否已注册,以及产生共享密钥的过程包括根据在第三方注册过程中RS从S-CSCF获取的订阅参数信息中的注册标识符,获知终端UE是否已注册;在获知终端UE已注册时,利用第三方注册的订阅过程中获知的参数产生共享密钥。
5.根据权利要求4所述的方法,其特征在于,该方法进一步包括AS获取所述共享密钥的过程。
6.一种在MS网络中实现单点登录的系统,其特征在于,该系统包括S-CSCF和RS ;其中,所述S-CSCF,用于当终端UE在MS核心网内利用AKA认证机制注册后,针对终端UE发起第三方注册,获取该终端UE的第三方注册内容;所述RS,用于当该终端UE要访问AS时,依据终端UE的第三方注册内容判断该终端UE是否已注册,在确认终端UE已注册时,根据所述第三方注册内容产生共享密钥。
7.根据权利要求6所述的系统,其特征在于,所述S-CSCF在发起第三方注册,获取该终端UE的第三方注册内容时,用于在终端UE使用AKA终端用户注册机制完成在MS网络内的注册之后,通知RS针对终端UE进行第三方注册过程;触发RS向S-CSCF发送信息订阅请求,从S-CSCF获得AKA注册认证的参数信息。
8.根据权利要求7所述的系统,其特征在于,所述AS,进一步用于与RS配合认证AS;其中,所述AS,用于将用户公用身份标识符和自身身份标识符一起发送到RS ;所述RS,用于根据AS的身份标识符对AS进行认证,若AS认证失败则RS直接向终端UE返回错误信息;否则进行所述判断终端UE是否已注册的处理;或者,所述AS,用于重定向终端UE发送的用户服务请求并且发送AS认证请求到RS地址;所述RS,用于依据AS身份标识信息对AS进行认证;若AS认证失败则RS直接向终端UE返回错误信息;否则进行所述判断终端UE是否已注册的处理。
9.根据权利要求6至8任一项所述的系统,其特征在于,所述RS在判断终端UE是否已注册,以及产生共享密钥时,用于根据在第三方注册过程中从S-CSCF获取的订阅参数信息中的注册标识符,获知终端UE是否已注册;在获知终端UE已注册时,利用第三方注册的订阅过程中获知的参数产生共享密钥。
10.根据权利要求9所述的系统,其特征在于,所述AS,进一步用于获取所述共享密钥。
全文摘要
本发明公开了一种在IMS网络中实现单点登录的方法和系统,均可在终端UE在IMS核心网内利用AKA认证机制注册后,针对终端UE发起第三方注册,获取该终端UE的第三方注册内容;当该终端UE要访问AS时,依据终端UE的第三方注册内容判断该终端UE是否已注册,在确认终端UE已注册时,根据所述第三方注册内容产生共享密钥。本发明在IMS网络中实现单点登录的方法和系统,不需要再次对终端UE进行认证就能实现SSO功能,有效降低访问流程的复杂性。
文档编号H04L29/06GK102638441SQ20111003858
公开日2012年8月15日 申请日期2011年2月15日 优先权日2011年2月15日
发明者张孟旺, 田甜 申请人:中兴通讯股份有限公司