专利名称:互联网协议多媒体子系统的访问方法和用户设备的制作方法
技术领域:
本发明大体上涉及通信网络,特别地,涉及提供互联网协议多媒体子系统(IMS)安全访问的方法、实体和网络。
技术背景互联网协议多媒体子系统(IMS)是能够为各种用户终端提供其 所需的业务,例如,移动数据网业务以及IP多媒体业务的核心网络。 它可以为用户提供统 一 开放的网络结构并且支持多种业务类型,同时 便于开发新业务,保障业务质量。为了防止某些非法用户恶意地使用IMS网络,为IMS网络提供 了已经标准化的安全保障体制。IMS网络的安全完全是基于用户的 私有身份以及存在卡模块上的密钥。为此IMS定义了自己的IMS订 户标识模块(ISIM, IMS Subscriber Identity Module ),类似于通用 移动通信系统(UMTS, Universal Mobile Telecommunications System ) 的UMTS订户标识模块(USIM, UMTS Subscriber Identity Module ), 里面存储有IMS相关的安全数据和算法。当前标准中所定义的ISIM 主要包含以下内容IMP I (IP Multimedia Private Identity ) : IM私有身份IMPU (IP Multimedia Public Identity ): 一个或多个IM公开身份用户归属网络的域名IMS域内的SQN序列号认证密钥(IMS安全的基础)通常在IMS网络中,仅在ISIM和归属订户服务器(HSS, Home Subscriber Server )之间共享这些秘密参数和算法,其他的任何网络 实体都不知晓密钥和私有身份IMPI。可以理解,在IMS网络中,用户身份的认证,、数据加密和完整性保护等等都是基于上述安全内 容的。随着IMS网络的部署和发展,更多种类的用户可能期望访问IMS 网络,所使用的接入技术包括DSL、线缆、以太网、无线局域网等 分组接入技术。可以理解,在使用上述这些技术实现分组接入时, 用户设备UE并没有被配置有类似于ISIM的物理卡或者安全存储 器,而是仅依靠用户名和密码的方式进行网络认证,从而获取相应 的网络安全特性。然而,由于这些不具备模块/卡的用户(例如,这 些用户可以使用台式机、笔记本、PDA等通过有线或者无线的方式 进行分组接入)无法获取ISIM中包含的秘密参数和算法,因此这些 用户不能利用现有的IMS安全方法访问IMS网络,这些现有安全方 法包括IMS AKA ( Authentication and Key Agreement, 认证和密钥 协商)和IPSec。在现有技术中,使得IMS网络为上述不具备物理卡或者安全存 储器的用户设备提供服务时,可能需要进行以下工作以便解决其中 的安全隐患1.手动地配置终端的信息,例如共享密钥、IMPI、IMPU, P-CSCF等;2.选择其它的安全机制取代IMS AKA和IPSec机制, 例如选择HTTP摘要、Early IMS、 NASS绑定认证。通常,这些选 择的安全机制会使得安全保护的等级下降,并且还会产生共存的问 题。可见,在现有技术中还没有任何协议和解决方案能够使得无物理 卡或者安全存储器的用户设备利用用户名和密码访问IMS网络而不 降低其安全保护等级,从而能够获得IMS网络中完备的安全特征。发明内容因此,需要一种提供互联网协议多媒体子系统安全访问的方法和 用户设备,能够使得无物理卡或者安全存储器的用户设备利用用户 名和密码访问IMS网络而不降低其安全保护等级,从而能够获得 IMS网络中完备的安全特征。根据本发明的 一个方面,提供一种互联网协议多媒体子系统的访问方法,包括以下步骤利用进行分组接入的用户名和密码生成互 联网协议多媒体子系统的安全内容;根据安全内容执行互联网协议 多媒体子系统的安全认证。根据本发明的另一方面,还提供一种用户设备,用于接入互联网 协议多媒体子系统,其中该用户设备包括软终端,用于利用进行 分组接入的用户名和密码生成互联网协议多々某体子系统的安全内 容;安全认证装置,根据安全内容执行互联网协议多媒体子系统的 安全认证。根据本发明的另一方面,还提供一种计算机软件产品,包括用 于利用进行分组接入的用户名和密码生成互联网协议多媒体子系统 的安全内容的软件代码。通过使用本发明,能够使得用户利用用户名和密码来访问IMS 网络,而无需用户进行任何有关IMS网络的附加配置。这些用户的 用户设备可以不具有类似于ISIM等这样的物理卡或者安全存储器, 但不会因此造成IMS网络安全保护等级的降低,也即支持IMS AKA 和IPSec。在用户访问IMS网络时不会产生对于IMS网络的多认证 机制共存要求,而且易于获得统一的认证,这是因为在本发明的用 户认证过程中仅存在一组主认证数据。同时,用户不会意识到本发 明的处理过程,因为其对于用户是不可见的,这也避免了额外的安 全危险。此外,本发明最大程度上减少了对于订户数据管理的影响。结合附图阅读本发明实施方式的详细描述后,本发明的其它特点 和优点将变得更加清楚。
图1示出了根据本发明一个实施方式的提供互联网协议多媒体 子系统安全访问的方法的流程图;图2示出了根据本发明一个实施方式的用户设备的示意框图; 图3示出了能够实施根据本发明一个实施方式的计算机环境。
具体实施方式
IMS网络基于数据网,但是它的安全机制却和数据网不相关。 IMS网络的安全结构包括5个安全层面i. 提供用户和IMS网络之间的双向认证。i人证是基于存在于IMS 用户和归属订户服务器HSS的安全内容(包括安全数据和函数)。 归属订户服务器HSS向服务呼叫会话控制功能(S-CSCF, Service-Call Session Control Function )分发认证向量。服务呼叫会话 控制功能S-CSCF代表IMS网络对用户进行认证。ii. 提供用户设备UE和代理呼叫会话控制功能(P-CSCF, Proxy-Call Session Control Function )之间的空中接口之间的安全链接。其 中包括提供加密和完整化保护。iii. 提供网络域内CSCF和HSS之间的安全。iv. 提供不同网络之间的CSCF网络实体之间的网络域安全。v. 提供相同网络内的CSCF之间的安全。上述安全层面i、 ii涉及IMS接入网的安全,而安全层面iii、 iv、 v则涉及网络域内范围的安全。本发明的技术方案主要解决涉及IMS 接入网安全的问题。在IMS接入网安全方面,IMS网络采用了一些关4建技术,包括IMS AKA: IMS对用户的认证机制是IMS AKA,其流程完全类似 于UMTS的AKA,用来提供用户和网络之间的双向认证。这个认证 是基于存在于诸如ISIM等物理卡或安全存储器和HSS之中的认证 密钥K进行的。而AKA过程中产生的密钥则是用于UE和P-CSCF 之间加密和完整化保护的会话密钥。认证是在用户注册或重新注册 的时候进行的。虽然IMS访问可以使用不同的认证机制,如HTTP 摘要(RFC2617 )、IMS-AKA( RFC3310和3GPP TS 33.203 )和pre-IMS 认证(3GPPTR 33.878 )等,但是IMS客户端需要支持更安全的认 证方式即IMS-AKA才能保证用户终端和IMS网络之间的安全访问。IPSec: IPSec在IP层上提供了多种安全机制,主要是利用IPSecESP传输模式来对UE和P-CSCF之间的信令和消息进行强制的完整 化保护以及可选的加密保护。在IMS客户端和P-CSCF之间建立一 个安全的IPSec通道,能确保IMS客户端安全地访问IMS网络,这 个通道是在IMS注册过程中建立起来的。可以理解,IMS网络的安全完全是基于用户的私有身份以及存储 在诸如IMS的ISIM卡的物理卡或者安全存储器中的安全内容。因 此,对于不具有物理卡或者安全存储器的用户设备,例如通过DSL、 线缆、以太网、无线局域网等分组接入冲支术来访问IMS网络的用户 设备,无法通过上述IMS的安全技术来获得高等级的安全保护。本发明的解决方案的主要思想在于利用不具有物理卡或者安全 存储器的用户设备所用的现有用户名和密码(例如,通过DSL、线 缆、以太网、无线局域网等分组接入技术访问网络所用的现有用户 名和密码)提供/获取IMS网络安全所需的信息。图1示出了根据本发明一个实施方式的提供互联网协议多媒体 子系统安全访问的方法的流程图。在图1中,参考标号IO表示无卡用户设备,其例如是通过DSL、 线缆、以太网、无线局域网等分组接入技术来访问IMS网络的台式 机、笔记本电脑、个人数字助理(PDA)或者任何其它种类的不具 备物理卡或者安全存储器的用户设备;参考标号IOO表示无卡用户 设备10例如通过DSL、线缆、以太网、无线局域网等分组接入技术 所接入的分组接入网;参考标号1001、 1002、 1003和1004表示IMS 网络中的功能实体和/或网络实体,其中1001表示代理呼叫会话控制 功能P-CSCF、 1002表示查询呼叫会话控制功能I-CSCF、 1003表示 服务呼叫会话控制功能S-CSCF、 1004表示归属订户服务器;参考标 号110表示IMS中所用的域名服务器,其中IMS通过使用DNS来 实现不同语言的URL链接和传统电话号码与IP地址之间的解析。如图1所示,在初始阶段,无卡用户设备10利用用户名 (PA—USERNAME )和密码(PA—PASSWORD )向分组接入网100 进4亍分组纟妾入。在步骤1中,无卡用户设备10利用进行分组接入的用户名(PAJJSERNAME )和密码(PA_PASSWORD )生成IMS的安全内 容。这些安全内容包括IMPU、 IMPI、用户归属网络的域名HOST、 认证密钥K。例如,IMPI和IMPU可以通过直4妻映射到预先配置的 安全数据来获得,即IMPI=PA—USERNAME@HOST , IMPU= PA—USERNAME@HOST; HOST可以通过查询的方式获得,也可以 通过预先配置的安全数据来获得;而认证密钥K可以通过预先配置 的安全函数F 由密码 PA—PASSWORD 导出,即 K=F(PA—PASSWORD )。在根据本发明的一种实施方式中,优选地可生成与所生成的 IMPU相关联的IMPU,即关联IMPU,作为用户在网络中可见并且 用于会话建立的IMPU。这样从分组接入用户名和密码中所导出的用 于执行认证等安全过程的IMPU、 IMPI对于用户是不可见的,由此 降低了暴露用于会话建立过程的IMPU所造成的安全隐患。接着,利用在步骤1中所获得的安全内容执行IMS网络的安全 认证过程。优选地,该安全认证过程与现有的IMS网络的安全认证 过程相同。以下参照步骤2至步骤22,对安全认证过程进行描述。 在步骤2中,无卡用户设备10向P-CSCF 1001发送包括IMPI 和IMPU的SIP注册消息,以便能够向SIP注册服务器即S-CSCF 1003进行注册。在步骤3中,P-CSCF 1001向DNS 110发送DNS请求,并且从 DNS 110获得I-CSCF 1002的路由信息。在步骤4中,利用所获得的路由信息,P-CSCF 1001将包括IMPI 和IMPU的SIP注册消息转发到I-CSCF 1002。在步骤5中,I-CSCF 1002向HSS 1004进行用户注册状态查询, 并且接收来自HSS 1004的用户注册状态查询结果。在步骤6中,在确定用户已注册之后,I-CSCF 1002将包括IMPI, IMPU的SIP注册消息转发到S-CSCF 1003。在步骤7中,在S-CSCF 1003和HSS 1004之间执行认证的信令 过程。在步骤8中,S-CSCF 1003对来自HSS 1004的认证矢量进行选择。在步骤9中,S-CSCF 1003向I-CSCF 1002发送包括IMPI和所 获得的密钥信息等的401未授权消息。在步骤10中,I-CSCF 1002向P-CSCF 1001转发包括IMPI和所 获得的密钥信息等的401未授权消息。在步骤ll中,P-CSCF 1001存储所接收消息中的密钥信息,并 将该信息从消息中去除,然后继续将所得到的401未授权消息转发 到无卡用户设备10。在步骤12中,无卡用户设备10生成认证响应和会话密钥。在步骤13中,无卡用户设备10向P-CSCF 1001发送包括IMPI 和认证响应的SIP注册消息,以便能够向SIP注册服务器即S-CSCF 1003进行注册。在步骤14中,P-CSCF 1001向DNS IIO发送DNS请求,并且从 DNS 110获得I-CSCF 1002的路由信息。在步骤15中,利用所获得的路由信息,P-CSCF 1001将包括IMPI 和认证响应的SIP注册消息转发到I-CSCF 1002。在步骤16中,I-CSCF 1002向HSS 1004进行用户注册状态查询, 并且接收来自HSS 1004的用户注册状态查询结果。在步骤17中,在确定用户已注册之后,I-CSCF 1002将包括IMPI 和认证响应的SIP注册消息转发到S-CSCF 1003。在步骤18中,S-CSCF 1003对该无卡用户设备IO进行认证。在步骤19中,S-CSCF 1003和HSS 1004之间执行注册通知的信 令过程。在步骤20中,当用户已经成功认证,贝'j S-CSCF 1003向I-CSCF 1002发送iU正成功消息。在步骤21中,I-CSCF 1002向P-CSCF IOOI转发该认证成功消在步骤22中,P-CSCF 1001将该认证成功消息转发到无卡用户 设备10。由此,该安全认证过程结束。关于IMS安全认证过程的更加详细的描述参见3GPP TS 33.203 V7.5.0 ( 2007-03 ) Section6.0 (该文件的全文可以从网址 http:〃www.3gpp.org /ftp/Specs/archive/33一series/33.203/33203-750.zip 获得),并且将其作为参考全文引入于此。图2示出了根据本发明一个实施方式的用户设备的示意框图。 在图2中,参考标号20表示如图1中所示无卡用户设备,其例 如是通过DSL、线缆、以太网、无线局域网等分组接入技术来访问 IMS网络的台式机、笔记本电脑、个人数字助理(PDA)或者任何表示软终端,用于实现利用分组接入的用户名和密码生成IMS的安 全内容;参考标号202表示分组数据接入装置,用于执行到分组接 入网的访问;参考标号203表示IMS网络认证装置,用于执行与IMS 功能实体和/或网络实体之间的认证过程。如图2所示,在初始阶段,分组数据接入装置202利用用户名 (PA—USERNAME )和密码(PA—PASSWORD )向分组4妄入网进行 分组接入。软终端201利用进行分组接入的用户名(PA—USERNAME )和 密码(PA—PASSWORD )生成IMS的安全内容。例如,软终端201 可以由网络运营商提供,并且可以具有网络运营商预先为该用户配 置的安全数据。IMPI和IMPU可以通过直接映射到预先配置的安全 数据来获得,即 IMPI=PA—USERNAME@HOST , IMPU= PA—USERNAME@HOST; HOST可以通过查询的方式获得,也可以 通过预先配置的安全数据来获得;而认证密钥K可以通过预先配置 的安全函数 F 由密码 PA—PASSWORD 导出,即 K=F (PA PASSWORD)。在根据本发明的一种实施方式中,优选地软终端201可生成与导出的IMPU相关联的IMPU,即关联IMPU,作为用户在网络中可见 并且用于会话建立的IMPU,以便由此降低暴露用于会话建立过程的 IMPU所造成的安全隐患。IMS网络认证装置203利用由软终端201所生成安全内容来执行 IMS网络的安全认i正过程。优选地,该安全i人i正过程与当前定义的 IMS网络的安全认证过程相同,正如参照图1中步骤2、 11、 12、 13 和22所描述的。图3示出了实施根据本发明的软终端的计算机环境。 图3中所示的计算机系统包括CPU(中央处理单元)301、RAM(随 机存取存储器)302、 ROM(只读存储器)303、系统总线304,硬盘控 制器305、键盘控制器306、串行接口控制器307、并行接口控制器 308、显示器控制器309、硬盘310、键盘311、串行外部设备312、 并行外部设备313和显示器314。在这些部件中,与系统总线304 相连的有CPU301、 RAM 302、 ROM 303、硬盘控制器305、键盘控 制器306,串行接口控制器307,并行接口控制器308和显示器控制 器309。硬盘310与硬盘控制器305相连,键盘311与键盘控制器 306相连,串行外部设备312与串行接口控制器307相连,并行外部 设备313与并行接口控制器308相连,以及显示器314与显示器控 制器309相连。图3中每个部件的功能在本技术领域内都是众所周知的,并且图 3所示的结构也是常规的。这种结构不仅用于个人计算机,而且用于 手持设备,如PalmPC、 PDA (个人数据助理)等等。在不同的应用 中可以向图3中所示的结构添加某些部件,或者图3中的某些部件 可以被省略。图3中所示的整个系统由通常作为软件存储在硬盘310 中、或者存储在EPROM或者其它非易失性存储器中的计算机可读 指令控制。根据本发明的软终端可从运营商网络(图中未示出)下 载,或者由运营商直接提供并存储在硬盘310中,或者从网络下载 的软终端可被加载到RAM 302中,并由CPU301执行,以便为无卡用户设备提供互联网协议多媒体子系统安全访问。尽管图3中描述的计算机系统能够支持根据本发明的提供互联 网协议多媒体子系统安全访问的解决方案,但是该计算机系统只是 计算机系统的一个例子。本领域普通技术人员可以理解,许多其它 计算机系统设计也能实现本发明的实施方式。本发明一种实施方式可以实现为例如由图3所示计算机系统所使用的计算机程序产品,其可以包含有用于实现根据本发明的提供 互联网协议多媒体子系统安全访问的方法的代码。该计算机程序产品可以作为加载到图3所示的计算机系统作为软终端来进行操作。虽然结合附图描述了本发明的实施方式,但是本领域技术人员可 以在所附权利要求的范围内做出各种变形或修改。
权利要求
1.一种互联网协议多媒体子系统的访问方法,包括以下步骤利用进行分组接入的用户名和密码生成所述互联网协议多媒体子系统的安全内容;根据所述安全内容执行所述互联网协议多媒体子系统的安全认证。
2. 根据权利要求1所述的方法,其中所述安全内容包括 互联网协议多媒体公开身份;互联网协议多媒体私有身份;用户归属网络的域名;认i正密钥。
3. 根据权利要求2所述的方法,其中还包括 通过将所述用户名和密码直接映射到预先配置的安全数据来生成所述互联网协议多媒体公开身份和所述互联网协议多媒体私有身 份。
4. 根据权利要求2所述的方法,其中还包括 通过针对所述用户名和密码进行网络查询的方式生成所述用户归属网络的域名。
5. 根据权利要求2所述的方法,其中还包括 通过将所述用户名和密码直接映射到预先配置的安全数据来生成所述用户归属网络的域名。
6. 根据权利要求2所述的方法,其中还包括 通过预先配置的安全函数来导出认证密钥。
7. 根据权利要求3所述的方法,其中还包括生成与所述生成的互联网协议多媒体公开身份相关联的关联互 联网协议多媒体公开身份,作为用户在网络中可见并且用于会话建 立的互联网协议多媒体公开身份。
8. —种用户设备,用于接入互联网协议多媒体子系统,其中该 用户设备包括软终端,用于利用进行分组接入的用户名和密码生成所述互联网协议多媒体子系统的安全内容;系统的安全认证。
9. 根据权利要求8所述的用户设备,其中所述安全内容包括 互联网协议多媒体公开身份; 互联网协议多媒体个人身份;用户归属网络的域名; 认证密钥。
10. 根据权利要求9所述的用户设备,其中 所述软终端用于通过将所述用户名和密码直接映射到预先配置的安全数据来生成所述互联网协议多媒体公开身份和所述互联网协 议多媒体个人身份。
11. 根据权利要求9所述的用户设备,其中 所述软终端用于通过针对所述用户名和密码进行网络查询的方式生成所述用户归属网络的域名。
12. 根据权利要求9所述的用户设备,其中所述软终端用于通过将所述用户名和密码直接映射到预先配置 的安全数据来生成用户归属网络的域名。
13. 根据权利要求9所述的用户设备,其中 所述软终端通过预先配置的安全函数来导出认证密钥。
14. 根据权利要求10所述的用户设备,其中所述软终端生成与所述生成的互联网协议多媒体公开身份相关 联的互联网协议多媒体公开身份,即关联互联网协议多媒体公开身 份,作为用户在网络中可见并且用于会话建立的互联网协议多媒体 公开身份。
15. —种计算机软件产品,包括用于利用进行分组接入的用户名和密码生成互联网协议多媒体 子系统的安全内容的软件代码。
全文摘要
本发明提供一种互联网协议多媒体子系统的访问方法,包括以下步骤利用进行分组接入的用户名和密码生成互联网协议多媒体子系统的安全内容;根据安全内容执行互联网协议多媒体子系统的安全认证。本发明还提供相关的用户设备和计算机程序产品。通过使用本发明,能够使得用户利用用户名和密码访问来访问IMS网络,而无需用户进行任何有关IMS网络的附加配置。这些用户的用户设备可以不具有类似于ISIM等这样的物理卡或者安全存储器,但不会因此造成IMS网络安全保护等级的降低,也即支持IMS AKA和IPSec。
文档编号H04L9/32GK101335620SQ200710043180
公开日2008年12月31日 申请日期2007年6月29日 优先权日2007年6月29日
发明者朱红儒, 豹 李 申请人:上海贝尔阿尔卡特股份有限公司