专利名称:同时登录c/s系统和ip多媒体子系统的方法和系统的制作方法
技术领域:
本发明涉及多媒体信息网领域,尤其涉及同时登录C/S系统和IP多媒体子系统的方法和系统。
背景技术:
正常情况下,IMS(IP Multimedia Subsystem,IP多媒体子系统)与其他C/S(客户机/服务器)系统是相互独立的,各自保存着用户名和登录密码。用户如果需要登录到两个系统,需要先后输入各个系统的用户名和密码,用户操作起来比较烦琐。
为解决此问题,设想的一种方法是C/S系统将用户名转发到IMS系统进行登录,IMS系统发现用户的登录请求来自其他系统,则不判断用户密码,归属用户服务器HSS不鉴权,允许用户直接登录。但是,在实际应用中,通过以上不判断鉴权的方法会带来安全隐患,攻击者很容易通过其他系统的接口登录到未授权用户,发生盗用账号的安全风险。
发明内容
本发明要解决的技术问题是提供一种同时登录C/S系统和IP多媒体子系统的方法和系统,可以一次登录两个不同的系统。
为了解决上述问题,本发明提供了一种同时登录C/S系统和IP多媒体子系统即IMS的方法,包括以下步骤(a)用户在登录C/S系统过程中,C/S系统网络门户根据C/S用户名及其上保存的C/S用户名和IMS用户名的对应关系得到IMS用户名,将其发送给IMS系统;(b)所述IMS系统根据IMS用户名生成动态密码,并将所述IMS用户名和所述动态密码通过所述C/S系统网络门户返回给所述C/S系统客户端;(c)所述C/S系统客户端将所述IMS用户名和动态密码发送给IMS客户端使其登录IMS系统。
进一步地,在所述步骤(a)中,所述C/S用户名和IMS用户名的对应关系是一对一的对应关系表或者是一种固定的可推导的对应关系。
进一步地,在所述步骤(b)中,所述IMS系统收到C/S系统发送的IMS用户名后,由IMS系统的IMS门户服务器或者归属用户服务器生成动态密码。
进一步地,在所述步骤(c)中,所述IMS客户端登录IMS系统时,发送注册消息,所述IMS系统的归属用户服务器生成鉴权消息,所述鉴权消息由归属用户服务器依据动态密码计算得出,所述IMS客户端判断所述归属用户服务器返回的鉴权消息及其保存的动态密码是否相符,如果是,则再次发送注册消息,登录IMS系统。
进一步地,所述IMS客户端在初次登录IMS系统时设置特殊登录标志,以使所述归属用户服务器采用动态密码鉴权方式,当所述归属用户服务器生成鉴权消息后,清除所述动态密码。
为了解决上述问题,本发明还提供了一种同时登录C/S系统和IP多媒体子系统即IMS的系统,涉及C/S系统客户端、C/S网络门户、IMS客户端、IMS系统,所述C/S网络门户,用于在收到所述C/S客户端的注册消息后,根据C/S用户名及其上保存的C/S用户名和IMS用户名的对应关系得到IMS用户名,将其发送给IMS系统,以及与所述IMS系统交互获取IMS用户名和动态密码,并将其告知C/S客户端;所述IMS系统,用于根据IMS用户名生成动态密码,并将所述IMS用户名和所述动态密码返回给所述C/S系统客户端;所述C/S系统客户端,用于向C/S网络门户发起注册,以及将所述IMS用户名和动态密码发送给IMS客户端使其登录IMS系统。
进一步地,所述C/S用户名和IMS用户名的对应关系是一对一的对应关系表或者是一种固定的可推导的对应关系。
进一步地,所述IMS系统中的IMS门户服务器或者归属用户服务器用于在收到C/S系统发送的IMS用户名后,生成动态密码。
进一步地,所述归属用户服务器,用于在收到所述IMS客户端的登录消息后,生成鉴权消息并将其返回给所述IMS客户端,所述鉴权消息依据动态密码计算得出;所述IMS客户端,用于采用C/S系统客户端发送的所述IMS用户名和动态密码进行IMS系统的登录,判断所述归属用户服务器返回的鉴权消息及其保存的动态密码是否相符,如果是,则再次发送注册消息,登录IMS系统。
进一步地,所述IMS客户端,还用于在登录IMS系统时设置特殊登录标志,以使所述归属用户服务器采用动态密码鉴权方式;所述归属用户服务器,还用于采用动态密码鉴权方式,在生成鉴权消息后,清除所述动态密码。
采用本发明的方法,可以在不影响用户单独登录IMS系统的基础上,只在其他系统中登录一次即可同时登录IMS系统的需求,具有非常好的安全性,且简化了用户操作。
图1是本实施例中同时登录C/S系统和IP多媒体子系统的系统结构图;图2是本实施例中同时登录C/S系统和IP多媒体子系统的流程图;图3是本实施例中OA系统获取IP多媒体子系统中动态密码的流程图;图4是本实施例中IP多媒体子系统中动态密码验证的流程图。
具体实施例方式
下面结合附图和具体实施方式
对本发明作进一步的详细描述。
如图1所示,同时登录C/S系统和IMS系统的系统包括C/S客户端,用于向C/S网络门户发起注册,还用于将收到的IMS用户名和动态密码发送给IMS客户端使其登录IMS系统;C/S网络门户,用于收到C/S客户端的注册消息后,根据C/S用户名及其上保存的C/S用户名和IMS用户名的对应关系得到IMS用户名,将其发送给IMS系统;还用于与IMS门户服务器交互获取IMS用户名和动态密码,并将其告知C/S客户端;IMS门户服务器,用于生成动态密码并缓存,并将IMS用户名和动态密码分别告知C/S网络门户和归属用户服务器;所述动态密码可以是由IMS门户服务器或归属用户服务器随机生成的字符串,或者也可采用其他方式获得。
归属用户服务器,用于保存IMS门户服务器发送的动态密码,还用于生成鉴权消息,所述鉴权消息由归属用户服务器依据动态密码计算得出;根据IMS客户端的指示采用动态密码鉴权方式,例如当归属用户服务器在查询到登录消息中有特殊登录标志时,在生成鉴权信息后,清除动态密码。
IMS客户端,用于在登录IMS系统时设置特殊登录标志,以使所述归属用户服务器采用动态密码鉴权方式,还用于判断所述归属用户服务器返回的鉴权消息及其保存的动态密码是否相符,如果是,则再次发送注册消息,登录IMS系统。
如图2所示,同时登录C/S系统和IMS系统的方法包括以下步骤步骤201,用户在C/S客户端上进行登录操作,输入C/S系统的用户名和密码;步骤202,C/S网络门户收到C/S用户名后查询对应关系得到IMS用户名,并发送给IMS域的IMS门户服务器;
C/S用户名和IMS用户名的对应关系可以是一对一的对应关系表,也可以是一种固定的可推导的格式,比如C/S系统的用户名为abc,那么在IMS用户名是abc@example.com。
步骤203,IMS门户服务器随机生成字符串作为动态密码并缓存,将IMS用户名和动态密码发送给归属用户服务器HSS;步骤204,归属用户服务器HSS保存动态密码,并向IMS门户服务器返回成功响应;其中动态密码也可以由HSS随机生成,再发送给IMS门户服务器处理。
步骤205,IMS门户服务器向C/S网络门户返回成功响应消息,其中携带IMS用户名及动态密码;步骤206,C/S网络门户向C/S客户端返回C/S用户的IMS用户名及动态密码;步骤207,C/S客户端向IMS客户端发送消息,启动IMS客户端;其中,C/S客户端可以在IMS客户端已启动的状态下向它发送登录消息;也可以在未启动的状态下使用参数使其启动,使它自动登录。
步骤208,IMS客户端收到C/S客户端发送的IMS用户名及动态密码后,用上述IMS用户名及动态密码在IMS域登录,向呼叫会话控制功能发送登录消息,并且在登录消息中设置特殊登录标志Flag,表示这是一次特殊登录;步骤209,CSCF向归属用户服务器HSS查询鉴权信息;步骤210,归属用户服务器进行鉴权处理,向CSCF返回鉴权信息;归属用户服务器可以同时支持标准鉴权方式和动态密码鉴权方式,标准鉴权方式中密码为静态的,且验证完密码后不清除密码。当归属用户服务器查询到登录消息中有特殊登录标志Flag后,采用动态密码鉴权方式,在生成鉴权信息后,清除动态密码。
步骤211,服务呼叫会话控制功能S-CSCF向IMS客户端发起挑战(发送鉴权消息),IMS客户端确定认证数据从归属运营商网络中发出,并返回挑战响应,完成认证,登录成功。
上述方法中,归属用户服务器一次查询成功以后,删除动态密码,防止非法用户使用相同的动态密码重复登录,则用户下次登录时必须按照步骤申请新的动态密码,从而阻止非授权用户的非法登录。
下面以OA(办公自动化)系统为例进行说明,此时,C/S客户端即为OA客户端,C/S网络门户即为OA网络门户。在其它实施例中,C/S系统也可以是除OA办公自动化系统之外的其它C/S系统。如图3所示,OA(办公自动化)系统获取IMS系统中动态密码信息包括以下步骤步骤301,用户在OA系统中手工输入用户名和密码进行登录操作;步骤302,OA网络门户收到登录的用户名后,获取IMS系统的用户名,并将此IMS系统的用户名通过HTTP消息发送给IMS门户服务器;步骤303,IMS门户服务器生成动态密码,并将IMS系统的用户名和动态密码传递给HSS;步骤304,HSS保存上述IMS系统的用户名和动态密码,并向IMS门户服务器返回动态密码保存成功消息;步骤305,IMS门户服务器向OA网络门户返回HTTP成功响应消息,其中携带IMS系统用户名及动态密码;步骤306,OA网络门户向OA客户端发送IMS系统用户名及动态密码;步骤307,OA客户端收到后将IMS系统用户名和动态密码传递给IMS客户端,自动启动IMS客户端。
图4为IMS多媒体信息网中验证动态密码的流程,其中S-CSCF表示服务呼叫会话控制功能,I-CSCF表示询问呼叫会话控制功能,P-CSCF表示代理呼叫会话控制功能,包括以下步骤步骤401,IMS客户端向P-CSCF发送SIP注册消息,其中注册消息中携带鉴权头(Authorization Header),并且携带特殊标志,指示这是一个特殊注册;
注册信息中包含鉴权头,鉴权头包含待认证的用户名。
步骤402,P-CSCF向I-CSCF转发上述注册消息;步骤403,I-CSCF与HSS交换消息,向HSS查询鉴权信息,并传递特殊标志位,并从HSS获得S-CSCF能力集,为用户选择一个合适的S-CSCF进行登录;步骤404,I-CSCF向S-CSCF发送注册消息,并传递特殊标志位;步骤405,S-CSCF向HSS发送多媒体认证请求(Multimedia AuthRequest,简称MAR);步骤406,HSS向S-CSCF返回多媒体认证响应(Multimedia AuthAnswer,简称MAA),其中带鉴权信息;鉴权信息是由HSS依据动态密码计算得出的,用于IMS客户端对动态密码进行验证。
步骤407-409,S-CSCF向IMS客户端发起认证挑战;步骤410,IMS客户端得到鉴权消息,根据自身保存的动态密码等参数计算验证,向S-CSCF响应挑战,再次向P-CSCF发送注册消息;步骤411,P-CSCF向I-CSCF转发上述注册消息;步骤412,I-CSCF向HSS发送查询消息,获得S-CSCF能力集,为用户选择一个合适的S-CSCF;步骤413,I-CSCF向S-CSCF发送注册消息;步骤414,S-CSCF向HSS发送服务器分配请求(Server AssignmentRequest,SAR)消息;步骤415,HSS向S-CSCF返回服务器分配应答(Server AssignmentAnswer,SAA)消息;步骤416,HSS向I-CSCF返回认证成功消息;步骤417,I-CSCF向P-CSCF返回认证成功消息;步骤418,P-CSCF向IMS用户端返回认证成功消息。
HSS可以在步骤412再次收到用户的注册消息时将之前保存的动态密码删除,或者为了更安全,在步骤406中,生成鉴权信息后就将动态密码删除。
上述认证过程中,注册过程中均使用SIP(Session Initiation Protocol,会话发起协议)的消息;CSCF向HSS发送查询信息时,如步骤403和412,使用HSS和CSCF间符合Diameter协议的消息。
上述流程为标准流程,详细可以参见3GPP 23.228、3GPP 29.228。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种同时登录C/S系统和IP多媒体子系统即IMS的方法,其特征在于,包括以下步骤(a)用户在登录C/S系统过程中,C/S系统网络门户根据C/S用户名及其上保存的C/S用户名和IMS用户名的对应关系得到IMS用户名,将其发送给IMS系统;(b)所述IMS系统根据IMS用户名生成动态密码,并将所述IMS用户名和所述动态密码通过所述C/S系统网络门户返回给所述C/S系统客户端;(c)所述C/S系统客户端将所述IMS用户名和动态密码发送给IMS客户端使其登录IMS系统。
2.如权利要求1所述的方法,其特征在于,在所述步骤(a)中,所述C/S用户名和IMS用户名的对应关系是一对一的对应关系表或者是一种固定的可推导的对应关系。
3.如权利要求1所述的方法,其特征在于,在所述步骤(b)中,所述IMS系统收到C/S系统发送的IMS用户名后,由IMS系统的IMS门户服务器或者归属用户服务器生成动态密码。
4.如权利要求1所述的方法,其特征在于,在所述步骤(c)中,所述IMS客户端登录IMS系统时,发送注册消息,所述IMS系统的归属用户服务器生成鉴权消息,所述鉴权消息由归属用户服务器依据动态密码计算得出,所述IMS客户端判断所述归属用户服务器返回的鉴权消息及其保存的动态密码是否相符,如果是,则再次发送注册消息,登录IMS系统。
5.如权利要求4所述的方法,其特征在于,所述IMS客户端在初次登录IMS系统时设置特殊登录标志,以使所述归属用户服务器采用动态密码鉴权方式,当所述归属用户服务器生成鉴权消息后,清除所述动态密码。
6.一种同时登录C/S系统和IP多媒体子系统即IMS的系统,涉及C/S系统客户端、C/S网络门户、IMS客户端、IMS系统,其特征在于,所述C/S网络门户,用于在收到所述C/S客户端的注册消息后,根据C/S用户名及其上保存的C/S用户名和IMS用户名的对应关系得到IMS用户名,将其发送给IMS系统,以及与所述IMS系统交互获取IMS用户名和动态密码,并将其告知C/S客户端;所述IMS系统,用于根据IMS用户名生成动态密码,并将所述IMS用户名和所述动态密码返回给所述C/S系统客户端;所述C/S系统客户端,用于向C/S网络门户发起注册,以及将所述IMS用户名和动态密码发送给IMS客户端使其登录IMS系统。
7.如权利要求6所述的系统,其特征在于,所述C/S用户名和IMS用户名的对应关系是一对一的对应关系表或者是一种固定的可推导的对应关系。
8.如权利要求6所述的系统,其特征在于,所述IMS系统中的IMS门户服务器或者归属用户服务器用于在收到C/S系统发送的IMS用户名后,生成动态密码。
9.如权利要求8所述的系统,其特征在于,所述归属用户服务器,用于在收到所述IMS客户端的登录消息后,生成鉴权消息并将其返回给所述IMS客户端,所述鉴权消息依据动态密码计算得出;所述IMS客户端,用于采用C/S系统客户端发送的所述IMS用户名和动态密码进行IMS系统的登录,判断所述归属用户服务器返回的鉴权消息及其保存的动态密码是否相符,如果是,则再次发送注册消息,登录IMS系统。
10.如权利要求9所述的系统,其特征在于,所述IMS客户端,还用于在登录IMS系统时设置特殊登录标志,以使所述归属用户服务器采用动态密码鉴权方式;所述归属用户服务器,还用于采用动态密码鉴权方式,在生成鉴权消息后,清除所述动态密码。
全文摘要
本发明公开了一种同时登录C/S系统和IP多媒体子系统的方法和系统,可以一次登录两个不同的系统。所述方法包括以下步骤(a)用户在登录C/S系统过程中,C/S系统网络门户根据C/S用户名及其上保存的C/S用户名和IMS用户名的对应关系得到IMS用户名,将其发送给IMS系统;(b)所述IMS系统根据IMS用户名生成动态密码,并将所述IMS用户名和所述动态密码通过所述C/S系统网络门户返回给所述C/S系统客户端;(c)所述C/S系统客户端将所述IMS用户名和动态密码发送给IMS客户端使其登录IMS系统。所述系统涉及C/S系统客户端、C/S网络门户、IMS客户端、IMS系统。
文档编号H04L29/06GK101094072SQ20071013638
公开日2007年12月26日 申请日期2007年7月26日 优先权日2007年7月26日
发明者沈健, 郑永强 申请人:中兴通讯股份有限公司