专利名称:接入认证方法及系统、终端的制作方法
技术领域:
本发明涉及通4言领i或,并且特别;也,涉及一种4妄入i人iE方法及 系统、终端。
背景技术:
IP多々某体子系统(IP multimedia subsystem,简称为IMS )的接: 入认证机制的实现是整个IMS安全方案实施的第一步,是保证IMS 系纟充安全的关4建。
目前,PC软件终端的使用场景不仅是作为一个呼叫终端接人到 IMS网络中,同时还具有状态呈现、即时消息、通讯录以及其他功 能。在这冲羊的应用场景下,專欠件终端如果要在整个IMS网络中4吏用, 就必须同时通过IMS网络的鉴权认证以及IMS中业务应用服务器 (Application Server,简称为AS)的鉴4又认证,在IMS系统中, AS是IMS的应用月良务器,是上层应用系统,通常终端接入到核心 网是通过会"^^刀始4匕十办i义(Session Initiation Protocol ,简4尔为SIP ) 的REGISTER消息注册的,通过返回的鉴斥又方式进行鉴权接人i人i正, "i人i正成功后终端需要通过发送XCAP消息到应用力良务器获取个人相 关的用户信息,之后的这个过程也必须通过AS的鉴权接人认证。
在UE的接人认证发送到IMS网络中时,需要终端能够提供IP 多々某体私有标示(IM Private Identity,简称为IMPI)以及密钥等参 数。如果是一个硬件终端,那么它的应用场景一4殳是固定的账户,所以,硬件终端在使用前输入相关的用户参数即可4吏用;作为PC 客户端来说,可以修改配置文件,设置好自己需要的IP多媒体公有 标示(IM Public Identity,简称为IMPU)、 IMPI、 KI、 OP等等必备 参数后,通过终端的登录界面输入自己账户密码后,^f更可以通过IMS 网络的鉴斥又iU正, <更接人到IMS网络。
但是作为一个專t件终端,为保i正它的统一性,通常的配置只能 是固定的,是用户共用的,不可能为不同的用户去定制一套不同的 配置文件,这样4艮难推广软件终端的使用,然而,目前尚未提出解 决软件终端鉴权的技术方案。
发明内容
考虑到软件终端无法鉴权的问题而做出本发明,为此,本发明 的主要目的在于提供一种接入认证方法、系统和终端,以解决相关 技术中的上述问题。
根据本发明的一个方面,提供了一种接入认证方法,用于终端 向IP多媒体子系统进行接入认证。
根据本发明实施例的接入认证方法包括终端向业务应用服务 器进4亍iU正,在iU正成功后,向核心网进4亍iU正;终端4妄收核心网 发送的鉴权挑战值,向业务应用服务器发送鉴权认证请求,并在鉴 权认证请求中携带鉴权挑战值的挑战参数;终端接收业务服务器生 成的鉴权认证结果,将鉴权认证结果发送到核心网,完成接入认证。
其中,上述业务服务器生成的鉴权认证结果具体为业务应用 服务器向归属用户服务器系统或者数据库查询终端的鉴权信息;业 务应用服务器根据终端的鉴权信息和挑战参数生成鉴4又认证结果。
其中,上述终端的鉴4又信息至少包括终端的IMPI、密钥。根据本发明的另一方面,提供了一种接入认证方法,用于终端 向IP多媒体子系统进行接入认证。
才艮据本发明实施例的接入认证方法包括终端向业务应用服务 器进41S人证;在iU正成功后,终端冲妄收业务应用户月良务器返回的终 端的鉴^又信息;终端向核心网进行认证,并接收核心网发送的鉴权 挑战值;终端一艮据鉴权信息和鉴权44战值生成鉴权i人证结果,并将 鉴4又iU正结果返回到核心网,进^N妄入iU正。
此外,在上述终端接收业务应用户服务器发送的鉴权信息之前, 进一步包括业务应用服务器向归属用户服务器系统或者数据库查 询终端的鉴权信息。
其中,上述终端的鉴4又信息至少包4舌终端的IMPI、密钥。
根据本发明的再一方面,提供了一种终端,用于向IP多i某体子 系统进4亍4妾入iU正。
才艮据本发明实施例的终端包括第一i人i正才莫块,用于向业务应 用月良务器进行认证,在i人证成功后,向核心网进行iU正;第一接收 模块,用于在接收核心网发送的鉴权挑战值,发送冲莫块,用于向业 务应用月艮务器发送鉴权认证请求,并在鉴权认证请求中携带鉴权挑 战值的挑战参数;第二接收模块,用于接收业务服务器生成的鉴权 认证结果;第二认证模块,用于将鉴权认证结果发送到核心网,完 成接入认证。
根据本法明的再一方面,提供了一种接入认证系统,用于终端 向IP多々某体子系统进^^妄入认证,该系统包括上述终端,并且还包 括业务应用服务器,用于向归属用户服务器系统或者凄t据库查询终 端的鉴权信息,并根据终端的鉴权信息和鉴权挑战值的认证生成参 数生成鉴权认证结果。根据本发明的再一方面,提供了另一种终端,用于向IP多媒体
子系统进^N妄入iU正。
根据本发明实施例的终端包括第一认证模块,用于向业务应 用服务器进行认证;第一接收模块,用于在认证成功后,接收业务 应用户服务器返回的终端的鉴权信息;第二认证模块,用于向核心 网进行认证,接收核心网发送的鉴权挑战值,根据鉴权信息和鉴权 挑战值生成鉴权认证结果,并将鉴权认证结果返回到核心网,进行 接入认证。
根据发明的再一方面,提供了一种接入认证系统,用于终端向 IP多媒体子系统进行接入认证,该系统包括上述终端,并且还包括 业务应用服务器,用于向归属用户月l务器系统或者凝:据库查询终端 的鉴权信息。
借助于本发明的技术方案,能够实现终端向IP多》某体子系统的 鉴权接入。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部 分地从说明书中变得显而易见,或者通过实施本发明而了解。本发 明的目的和其他/比点可通过在所写的i兌明书、纟又利要求书、以及附 图中所特别指出的结构来实现和获得。
附图用来提供对本发明的进一 步理解,并且构成说明书的 一部 分,与本发明的实施例一起用于解释本发明,并不构成对本发明的 限制。在附图中
图1是根据本发明方法实施例一的接入认证方法的流程图;图2是根据本发明方法实施例一的终端接入方法的信令流程
图3是才艮据本发明方法实施例二的才娄入i/a正方法的流程图; 图4是才艮据本发明方法实施例二的终端4妾入方法的信令流程
图5是才艮据本发明装置实施例一的终端的框图; 图6是根据本发明系统实施例一的4妄入认证系统的框图; 图7是4艮据本发明装置实施例二的终端的框图; 图8是根据本发明系统实施例二的接入认证系统的框图。
具体实施例方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此 处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本 发明。
一般来说,PC客户端接入到IMS网络都会使用状态呈现、即 时消息、甚至是企业的相关服务器上完成统一通讯的功能,所以, PC软件客户端在实际的使用过程中都需要完成到AS的鉴权认证。 作为IMS核心网络系统的一部分,AS与IMS系统是可以信任的并 且是有访问修改用户数据的功能的实体。
方法实施例一例,提供了一种接入认证方法,用于终端向 IP多媒体子系统进行接入认证,图1是根据本发明方法实施例一的
接入认证方法的流程图,如图1所示,包括
步骤S102,终端向业务应用服务器进4于认证,在认证成功后, 向核心网进行认证;
步骤S104,终端接收核心网发送的鉴权挑战值,向业务应用服 务器发送鉴权认证请求,并在鉴权认证请求中携带鉴权挑战值的挑 战参数;
步骤S106,终端接收业务服务器生成的鉴权认证结果,将鉴权 i人i正结果发送到冲亥心网,完成4妄入iU正。
其中,在步骤S106中,业务服务器生成的鉴权认证结果具体
为
业务应用服务器向归属用户服务器系统或者数据库查询终端的 鉴权信息,其中,终端的鉴4又信息至少包括终端的IMPI、密钥;
业务应用服务器根据终端的鉴权信息和挑战参数生成鉴权认证 结果。
在上述技术方案中,使用户不需要接触到IMPI、密钥等参数, 就能够自动完成到IMS核心网络的鉴权。同时也将IMPI、密钥等 等用户私有鉴权参数远离了 PC软件终端的配置文件,从而达到了 PC终端的配置文件的统一性。
下面,结合附图,对上述才支术方案进4亍详细i兌明。图2是根据本发明方法实施例一的终端接入方法的信令流程 图,如图2所示,包括以下步骤
步骤1_步骤4, UE向应用服务器AS进行鉴权登陆认证,具体 为,向AS发送XCAP ( REGISTER) i人i正消息,并接收AS返回的 401消息和200消息,并完成iU正;
步骤5, UE向IMS核心网发起注册流程;
步骤6, IMS冲亥心网返回401才兆战,包含realm、 qop、 nonce、 opaque参数;
步骤7-10, UE终端向AS服务器索要核心网鉴权的RES,;其 中,步骤7中,终端向AS发送XCAP ( GET RES )消息,将401 挑战中的nonce等参数传给AS,在步骤S7之后,终端接收AS的 401消息,并再次向AS发送XCAP (GETRES)消息,在步骤210 中,AS才艮据向HSS查询的IMPI、密钥等等参数结合UE发送的401 挑战参tt,生成RES,返回到终端;
步艰朵11-12, UE注册到4亥心网。
方法实施例二
根据本发明实施例提供了 一种接入鉴权方法,用于终端向IP多 i某体子系统进行接入认证。在方法实施例一的技术方案中,鉴权的 算法以及用户的参数都由服务端生成,但是,在本实施例中,由AS 将该用户的IMPI、密钥等鉴4又参凄t直4妄传递给终端UE,由UE直 接完成到IMS核心网络的鉴权接人流程。下面,对上述方案进行详 细"i兌明。图3是才艮据本发明方法实施例二的接入i人证方法的流程图,如 图3所示,包^"以下处理
步骤S302,终端向业务应用月1务器进4亍认证;
步骤S304,在认证成功后,终端4妄收业务应用户月l务器返回的 终端的鉴权信息;
步骤S306,终端向核心网进行认证,并接收核心网发送的鉴权 挑战值;
步骤S308,终端根据鉴权信息和鉴权挑战值生成鉴权认证结 果,并将鉴权认证结果返回到核心网,进行接入iU正。
步骤S304之前,进一步包括业务应用服务器向归属用户服 务器系统或者数据库查询终端的鉴权信息,其中,终端的鉴权信息 至少包纟舌终端的IMPI、密钥。
下面,结合附图,对上述4支术方案进行详细i兌明,如图4所示, 包4舌以下处J里
步骤1-4, UE终端向AS进行鉴4又接入iU正发送XCAP (RESGISTER)消息进4亍认证,并4妄收AS返回的401消息,认证 成功后,AS向UE返回200消息,该消息中携带有该用户的 IMPI/IMPU/密钥等等鉴权所需要的参数;
步骤5-8, UE终端发起到IMS核心网络的注册流程,向IMS 发送REGISTER消息,并接收IMS返回的401消息和200消息, 以完成认证。
装置实施例一在本实施例中,提供了一种终端,用于向IP多々某体子系统进行
接入认证。图5是根据本发明装置实施例一的终端的框图,如图5 所示,包括第一认证才莫块50、第一接收^t块52、第二接收;f莫块54、 第二i人i正才莫块56,下面,对上述才莫块进行详细i兌明
第一认证模块50,用于向业务应用服务器进行认证,在认证成 功后,向才亥心网进4亍iU正;
第一接收模块52,用于在接收核心网发送的鉴4又挑战值,发送 模块,用于向业务应用服务器发送鉴权认证请求,并在鉴权认证请 求中携带鉴权挑战值的挑战参数;
第二接收模块54,用于接收业务服务器生成的鉴权认证结果;
第二认证模块56,用于将鉴权认证结果发送到核心网,完成接 入认证。
系纟克实施例一
才艮据本发明的实施例,提供了一种接入认证系统,用于终端向 IP多媒体子系统进行接入认证,包括终端60,图6是根据本发明系 统实施例一的接入认证系统的框图,如图6所示,上述系统还包括
业务应用服务器62,用于向归属用户服务器系统或者数据库查 询终端的鉴权信息,并根据终端的鉴权信息和鉴权挑战值的认证生 成参数生成鉴权认证结果。
装置实施例二
根据本发明的实施例,提供了一种终端,用于向IP多媒体子系 统进行接入认证,图7是根据本发明装置实施例二的终端的框图,包括第一i人i正才莫块70、第一4妄收才莫块72、第二i人i正才莫块74,下面 对上述才莫块进4亍详细i兌明
第一认证模块70,用于向业务应用服务器进行认证;
第一接收模块72,用于在认证成功后,接收业务应用户服务器 返回的终端的鉴纟又4言息;
第二i人i正;漠块74,用于向核心网进4亍iU正,4妄收核心网发送的 鉴权挑战值,根据鉴权信息和鉴权挑战值生成鉴权认证结果,并将 鉴4又iU正结果返回到核心网,进4亍4妄入iU正。
系纟克实施例二
根据本发明的实施例,提供了一种接入认证系统,用于终端向 IP多々某体子系统进行接入认证,包括终端80,图8是根据本发明系 统实施例二的接入认证系统的框图,如图8所示,上述系统还包括
业务应用服务器82,用于向归属用户服务器系统或者数据库查 询终端的鉴权信息。
综上所述,借助于本发明的技术方案,能够实现终端向IP多媒 体子系统的鉴权接入。
以上所述^f又为本发明的优选实施例而已,并不用于限制本发明, 对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在
本发明的精神和原则之内,所作的任何修改、等同替换、改进等, 均应包含在本发明的保护范围之内。
1权利要求
1.一种接入认证方法,用于终端向IP多媒体子系统进行接入认证,其特征在于,所述方法包括所述终端向业务应用服务器进行认证,在认证成功后,向核心网进行认证;所述终端接收所述核心网发送的鉴权挑战值,向所述业务应用服务器发送鉴权认证请求,并在所述鉴权认证请求中携带所述鉴权挑战值的挑战参数;所述终端接收所述业务服务器生成的鉴权认证结果,将所述鉴权认证结果发送到所述核心网,完成接入认证。
2. 根据权利要求1所述的方法,其特征在于,所述业务服务器生 成的鉴权认证结果具体为所述业务应用服务器向归属用户服务器系统或者数据库 查询所述终端的鉴一又信息;所述业务应用服务器根据所述终端的鉴权信息和所述挑 战参数生成所述鉴权认证结果。
3. 根据权利要求2所述的方法,其特征在于,所述终端的鉴权信 息至少包4舌所述终端的IMPI、密钥。
4. 一种接入认证方法,用于终端向IP多媒体子系统进行接入认 i正,其4争;f正在于,所述方法包4舌所述终端向业务应用服务器进行认证;在iU正成功后,所述终端4妄收所述业务应用户力l务器返回 的所述终端的鉴权信息;所述终端向核心网进行i人证,并4妻收所述核心网发送的鉴 权挑战值;所述终端根据所述鉴权信息和所述鉴权4兆战值生成鉴权 认证结果,并将所述鉴权认证结果返回到所述核心网,进行接 入认证。
5. 根据权利要求4所述的方法,其特征在于,在所述终端接收所 述业务应用户服务器发送的所述鉴权信息之前,进一步包括所述业务应用服务器向归属用户服务器系统或者数据库 查询所述终端的鉴权信息。
6. 根据权利要求5所述的方法,其特征在于,所述终端的鉴权信 息至少包纟舌所述终端的IMPI、密钥。
7. —种终端,用于向IP多媒体子系统进行接入认证,其特征在 于,所述终端包4舌第一认证模块,用于向业务应用服务器进行认证,在认证 成功后,向4亥心网进4亍iU正;第一接收模块,用于在接收所述核心网发送的鉴权挑战值;发送模块,用于向所述业务应用服务器发送鉴权认证请 求,并在所述鉴权认证请求中携带所述鉴权4兆战值的挑战参 数;第二接收模块,用于接收所述业务服务器生成的鉴权认证 结果;第二认证模块,用于将所述鉴权认证结果发送到所述核心 网,完成4妄入iU正。
8. —种接入认证系统,用于终端向IP多々某体子系统进行接入认 证,其特征在于,包括权利要求7所述的终端,所述系统还包 括业务应用服务器,用于向归属用户服务器系统或者数据库 查询所述终端的鉴权信息,并根据所述终端的鉴权信息和所述 鉴权挑战值的认证生成参数生成所述鉴权认证结果。
9. 一种终端,用于向IP多媒体子系统进行接入认证,其特征在 于,所述终端包4舌第 一认证模块,用于向业务应用服务器进行认证;第一接收模块,用于在认证成功后,接收所述业务应用户 月良务器返回的所述终端的鉴权信息;第二认证模块,用于向核心网进行认证,4妾收所述核心网 发送的鉴权挑战值,根据所述鉴权信息和所述鉴权挑战值生成 鉴权认证结果,并将所述鉴权认证结果返回到所述核心网,进 行接入认证。
10. —种接入认证系统,用于终端向IP多媒体子系统进行接入认 证,其特征在于,包括权利要求9所述的终端,所述系统还包 括业务应用服务器,用于向归属用户服务器系统或者数据库 查询所述终端的鉴纟又<言息。
全文摘要
本发明公开了接入认证方法、系统和终端,上述方法包括终端向业务应用服务器进行认证,在认证成功后,向核心网进行认证;终端接收核心网发送的鉴权挑战值,向业务应用服务器发送鉴权认证请求,并在鉴权认证请求中携带鉴权挑战值的挑战参数;终端接收业务服务器生成的鉴权认证结果,将鉴权认证结果发送到核心网,完成接入认证。通过上述技术方案,能够实现终端向IP多媒体子系统的鉴权接入。
文档编号H04L29/06GK101621505SQ200810128218
公开日2010年1月6日 申请日期2008年6月30日 优先权日2008年6月30日
发明者金新海 申请人:中兴通讯股份有限公司