专利名称:一种身份认证方法、装置和系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种身份认证方法、装置和系统。
背景技术:
随着通信网络的发展和多种通信业务的推动,3GPP (3rd GenerationPartnership Project,第三代移动通信标准化伙伴组织)推出了 IMS (IPMultimedia Subsystem, 互联网协议多媒体子系统)架构,能够提供一种标准化的开放结构来实现多种多样的 IPdnternet Protocol,互联网协议)多媒体应用,提供更丰富的业务感受。3GPP 还引入了 ISIM(IMS Subscriber Identity Module,互联网协议多媒体子系 统)用于IMS的接入,其具体实体包括CSCF(Call Session ControlFunction,呼叫状态控 制功能)和HSS (Home Subscriber Server,归属签约用户服务器)功能实体,其中,CSCF 包括服务CSCF (S-CSCF)、代理CSCF (P-CSCF)和查询CSCF (I-CSCF) 3个逻辑实体,上述逻辑 实体可以位于不同的物理设备上,也可以是同一个物理设备中不同的功能模块。S-CSCF是 IMS的业务交换中心,用于执行会话控制、维持会话状态、管理用户信息和产生计费信息等; P-CSCF是终端用户接入IMS的接入点,用于完成用户注册、QoS(Quality of krvice,服务 质量)控制和安全管理等;I-CSCF负责IMS域之间的协同和管理、S-CSCF的分配、对外隐藏 网络拓扑结构和配置信息,以及产生计费数据等。HSS (Home Subscriber Server,归属签约 用户服务器)保存用户签约数据,用于支持网络实体对呼叫和会话的处理,ISIM的数据存 储在HSS中。由于IMS的引入,越来越多的业务平台承载在IMS上,利用IMS的特点提供呼 叫、视频会议等丰富的业务。在IMS业务中,UE (User Equipment)必需通过SIP (Session Initiation Protocol,会话发起协议)消息与业务平台AS (Application Server,应用服 务器)交互,但UE在与AS交互的过程中还需要与非IMS域的服务器进行交互。例如,IMS 企业通信助理客户端在登录IMS后,还需要访问群组管理服务器(XDMQ获得用户的群组信 息,而 XDMS 只能使用 XCAP (XML Configuration Access Protocol,XML 配置接入协议)、以 HTTP (Hypertext Transfer Protocol,超文本传输协议)1. 1承载与终端(客户端)直接 交互,通信过程无法经过IMS Core(IP Multimedia Subsystem Core,互联网协议多媒体子 系统核心网),XDMS服务器必须首先对用户身份进行确认,然后才能发起XML(Extensible Markup Language,可扩展标记语言)文档操作。此外,IMS客户端在登录IMS后,还需要访 问自服务门户网站,而访问门户网站也需要使用HTTP协议与客户端直接交互,交互过程不 经过IMSCore,服务器也必须首先对用户身份进行确认,才能个性化的显示。发明人在实现本发明的过程中,发现现有技术至少存在以下缺陷由于IMS域和非IMS域的鉴权机制是不一样的,例如,在IMS域中主要采用IMS Digest (分类)和 IMS AKA (Authentication and Key Agreement,认证和密钥协商)进 行鉴权,所有的鉴权消息用sip消息;而非IMS应用主要采用HTTP Digest、GBA(Generic Bootstrapping Architecture,通用弓|导架构)、TLS (Transport Layer Security,安全传输层协议)等协议,协议的不同造成了应用之间无法互通;IMS域中用户签约和鉴权数据主 要存储在IMS HSS中,HSS是核心网元,其鉴权数据无法被第三方的非IMS域应用访问,因 此第三方的非IMS域应用也无法对用户进行认证,导致MS域应用和非IMS域应用无法共享 认证状态,实现统一认证。
发明内容
本发明实施例提供了一种身份认证方法、装置和系统,用于实现IMS应用和非IMS 应用之间的统一认证和状态同步。本发明实施例提供了一种身份认证方法,包括以下步骤接收非互联网协议多媒体子系统IMS域应用服务器提交的用户设备的身份标识, 根据所述身份标识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有效期 内;如果存在所述身份标识对应的密钥信息且所述密钥信息在有效期内,则查询所述 用户设备在IMS域是否为已注册状态,如果查询结果为是,则向所述非IMS域应用服务器返 回所述密钥信息和所述密钥信息的有效期,使所述非IMS域应用服务器使用所述密钥信息 和所述密钥信息的有效期与所述用户设备进行身份认证。优选地,所述接收非IMS域应用服务器提交的用户设备的身份标识之前,还包括接收来自用户设备的会话发起协议SIP消息,获取所述SIP消息中携带的注册参 数,所述注册参数由所述用户设备根据公用密钥生成;使用自身保存的私有密钥对所述获取的注册参数进行解密,如果解密成功,则保 存所述用户设备的身份标识对应的密钥信息,向所述用户设备返回注册成功消息,使所述 用户设备保存所述密钥信息并根据所述密钥信息访问非IMS域应用服务器。优选地,所述接收来自用户设备的SIP消息之前,还包括所述用户设备执行IMS鉴权流程,在IMS域进行注册;当用户设备访问非IMS域应用时,检查本地是否存在密钥信息,如果不存在,则随 机生成密钥信息,并根据所述密钥信息和公用密钥生成注册参数,并通过SIP消息发送所 述注册参数。优选地,所述用户设备根据密钥信息和公用密钥生成注册参数之前,还包括生成公私钥对,保存所述公私钥对中的私有密钥,并向所述用户设备公开所述公 私钥对中的公用密钥。优选地,所述用户设备根据密钥信息访问非IMS域应用服务器,具体包括所述用户设备向所述非IMS域应用服务器发送访问请求,并接收所述非IMS域应 用服务器返回的挑战消息;所述用户设备根据自身的身份标识和所述密钥信息向所述非IMS域应用服务器 返回挑战响应消息。优选地,所述非IMS域应用服务器使用密钥信息和密钥信息的有效期与用户设备 进行身份认证,具体包括所述非IMS域应用服务器使用所述密钥信息验证来自所述用户设备的挑战响应 消息是否正确,如果正确,则向所述用户设备返回认证成功消息;
所述用户设备接收来自所述非IMS域应用服务器的认证成功消息,验证所述认证 成功消息中包含的认证信息是否正确,如果正确,则完成与所述非IMS域应用服务器的双 向认证,通过安全通道与所述非IMS域应用服务器进行交互。本发明实施例还提供了一种认证网关,包括接收模块,用于接收非IMS域应用服务器提交的用户设备的身份标识;查询模块,用于根据所述接收模块接收到的身份标识查询是否存在所述身份标识 对应的密钥信息且所述密钥信息在有效期内,在查询到存在所述身份标识对应的密钥信息 且所述密钥信息在有效期内时,查询所述用户设备在IMS域是否为已注册状态;发送模块,用于在所述查询模块查询到所述用户设备在IMS域为已注册状态时, 向所述非IMS域应用服务器返回所述密钥信息和所述密钥信息的有效期,使所述非IMS域 应用服务器使用所述密钥信息和所述密钥信息的有效期与所述用户设备进行身份认证。优选地,所述接收模块,还用于接收来自用户设备的SIP消息,获取所述SIP消息 中携带的注册参数,所述注册参数由所述用户设备根据公用密钥生成;所述认证网关,还包括解密模块,用于使用自身保存的私有密钥对所述接收模块获取的注册参数进行解 密;所述发送模块,还用于在所述解密模块解密成功时,保存所述用户设备的身份标 识对应的密钥信息,向所述用户设备返回注册成功消息,使所述用户设备保存所述密钥信 息并根据所述密钥信息访问非IMS域应用服务器。优选地,所述的认证网关,还包括生成模块,用于生成公私钥对,保存所述公私钥对中的私有密钥,供所述解密模块 使用,并向所述用户设备公开所述公私钥对中的公用密钥。本发明实施例还提供了一种 身份认证系统,包括用户设备,用于向非IMS域应用服务器发送访问请求,并接收所述非IMS域应用服 务器返回的挑战消息;根据自身的身份标识和所述密钥信息向所述非IMS域应用服务器返 回挑战响应消息;非IMS域应用服务器,用于向认证网关提交用户设备的身份标识,接收来自所述 认证网关的密钥信息和所述密钥信息的有效期,使用所述密钥信息和所述密钥信息的有效 期与所述用户设备进行身份认证;认证网关,用于接收所述非IMS域应用服务器提交的用户设备的身份标识,根据 所述身份标识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有效期内;如 果存在所述身份标识对应的密钥信息且所述密钥信息在有效期内,则查询所述用户设备在 IMS域是否为已注册状态,如果查询结果为是,则向所述非IMS域应用服务器返回所述密钥 信息和所述密钥信息的有效期。优选地,所述认证网关,还用于接收来自用户设备的会话发起协议SIP消息,获取 所述SIP消息中携带的注册参数,所述注册参数由所述用户设备根据公用密钥生成;使用 自身保存的私有密钥对所述获取的注册参数进行解密,如果解密成功,则保存所述用户设 备的身份标识对应的密钥信息,向所述用户设备返回注册成功消息,使所述用户设备保存 所述密钥信息并根据所述密钥信息访问非IMS域应用服务器。
优选地,所述用户设备,还用于执行IMS鉴权流程,在IMS域进行注册;当访问非 IMS域应用时,检查本地是否存在密钥信息,如果不存在,则随机生成密钥信息,并根据所述 密钥信息和公用密钥生成注册参数,并通过SIP消息发送所述注册参数。与现有技术相比,本发明实施例具有以下优点本发明实施例利用IMS的已有安 全机制,为业务层提供安全服务,增强了 UE与AS之间的安全性,且不会成为系统的安全瓶 颈;在密钥信息的有效期内,不需要重复执行注册过程,提高了业务执行效率。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对本发明实施 例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅 仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提 下,还可以根据这些附图获得其他的附图。图1为本发明实施例中的一种身份认证方法流程图;图2为本发明实施例应用场景中的身份认证流程图;图3为本发明实施例应用场景中的AUG注册流程图;图4为本发明实施例中的一种认证网关结构示意图;图5为本发明实施例中的一种身份认证系统结构示意图。
具体实施例方式本发明实施例提供的技术方案中,其核心思想为在系统中增加AUG(认证网关)网 元,该AUG网元与IMS域的CSCF之间存在SIP接口,与非IMS域的AS之间存在HTTP接口。 AUG网元接收非IMS域应用服务器提交的用户设备的身份标识,根据所述身份标识查询是 否存在所述身份标识对应的密钥信息且所述密钥信息在有效期内;如果存在所述身份标识 对应的密钥信息且所述密钥信息在有效期内,则查询所述用户设备在IMS域是否为已注册 状态,如果查询结果为是,则向所述非IMS域应用服务器返回所述密钥信息和所述密钥信 息的有效期,使所述非IMS域应用服务器使用所述密钥信息和所述密钥信息的有效期与所 述用户设备进行身份认证。下面将结合本发明实施例中的附图,对本发明实施例的技术方案进行清楚、完整 地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发 明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施 例,都属于本发明保护的范围。如图1所示,为本发明实施例中的一种身份认证方法流程图,包括以下步骤步骤101,接收非IMS域应用服务器提交的用户设备的身份标识,根据所述身份标 识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有效期内。如果存在所 述身份标识对应的密钥信息且所述密钥信息在有效期内,则执行步骤103 ;否则,执行步骤 102。具体地,认证网关预先生成公私钥对,保存该公私钥对中的私有密钥,并向用户设 备公开公私钥对中的公用密钥。所述用户设备执行IMS鉴权流程,在IMS域进行注册;当用户设备访问非IMS域应用时,检查本地是否存在密钥信息,如果不存在,则随机生成密钥信息,并根据所述密钥信 息和公用密钥生成注册参数,并通过SIP消息发送所述注册参数。认证网关接收来自用户设备的会话发起协议SIP消息,获取所述SIP消息中携带 的注册参数,所述注册参数由所述用户设备根据公用密钥生成;使用自身保存的私有密钥 对所述获取的注册参数进行解密,如果解密成功,则保存所述用户设备的身份标识对应的 密钥信息,向所述用户设备返回注册成功消息,使所述用户设备保存所述密钥信息并根据 所述密钥信息访问非IMS域应用服务器。上述用户设备根据密钥信息访问非IMS域应用服务器,具体包括用户设备向所 述非IMS域应用服务器发送访问请求,并接收所述非IMS域应用服务器返回的挑战消息;用 户设备根据自身的身份标识和所述密钥信息向所述非IMS域应用服务器返回挑战响应消 肩、ο步骤102,向非IMS域应用服务器返回错误信息。步骤103,查询所述用户设备在IMS域是否为已注册状态。如果查询结果为是,则执行步骤104 ;否则,执行步骤102。步骤104,向非IMS域应用服务器返回密钥信息和该密钥信息的有效期,使非IMS 域应用服务器使用密钥信息和该密钥信息的有效期与用户设备进行身份认证。具体地,上述非IMS域应用服务器使用密钥信息和密钥信息的有效期与用户设备 进行身份认证,具体包括非IMS域应用服务器使用所述密钥信息验证来自所述用户设备 的挑战响应消息是否正确,如果正确,则向所述用户设备返回认证成功消息;用户设备接收 来自所述非IMS域应用服务器的认证成功消息,验证所述认证成功消息中包含的认证信息 是否正确,如果正确,则完成与所述非IMS域应用服务器的双向认证,通过安全通道与所述 非IMS域应用服务器进行交互。本发明实施例利用IMS的已有安全机制,为业务层提供安全服务,增强了 UE与AS 之间的安全性,且不会成为系统的安全瓶颈;在密钥信息的有效期内,不需要重复执行注册 过程,提高了业务执行效率。以下结合具体应用场景对本发明实施例中的身份认证方法进行详细的描述。如图2所示,为本发明实施例应用场景中的身份认证流程图,具体包括以下步骤步骤201,UE启动非IMS客户端访问非IMS域应用服务器AS2,向AS2发送HTTP Request (请求)消息。其中,非IMS域应用服务器AS2可以为HTTP服务器,HTTP Request消息不经过IMS core。步骤202,AS2发起HTTP Digest双向认证,向UE返回挑战信息。具体地,AS2接收到HTTP Request消息后,要求对UE执行HTTP Digest双向认 证,返回401 unauthorized的HTTP Digest挑战消息,该挑战消息中的WffW-Authenticate Header参数包含AS2对UE的挑战信息。步骤203,UE向AS2返回挑战响应消息。具体地,UE以IMPU(IP Multimedia Public Identity,互联网协议多媒体公共标 识)作为username(用户名),key (密钥)作为password (密码)计算response (响应),通 过HTTP request返回包含response的挑战响应消息,该响应消息中的Authorization (认证)参数Header包含UE的挑战响应。步骤204,AS2向AUG提交IMPU,查询IMPU对应的UE在IMS域中的状态和相关key
fn息ο步骤205,AUG通过IMPU查询UE是否已经在本地注册且key在有效期内。如果查 询结果为是,则执行步骤206 ;否则,向AS2返回错误信息。步骤206,AUG向HSS查询UE的注册状态是否为已注册。如果查询结果为是,则执 行步骤207,如果查询结果为否,则向AS2返回错误信息。步骤207,AUG向AS2返回key和key有效期。步骤208,AS2使用key验证来自UE的挑战响应消息中的response是否正确,如 果正确,则执行步骤210 ;否则向UE返回错误信息。步骤209,AS2向UE返回认证成功消息。具体地,如果AS2验证response正确,则表明已经通过了 UE接入,AS2计算挑战 响应,向UE返回2000K消息,2000K消息中的AuthenticationHnfoHeader参数包含AS2的 挑战响应。步骤210,UE验证认证成功消息是否正确,如果正确,则执行步骤211 ;否则,向AS2 返回错误消息。具体地,UE验证 AuthenticationHnfo Header 参数是否正确。步骤211,UE与AS2完成双向认证,通过HTTP Digest的安全通道与AS2进行交互。本发明实施例利用IMS的已有安全机制,为业务层提供安全服务,增强了 UE与AS 之间的安全性,且不会成为系统的安全瓶颈;在密钥信息的有效期内,不需要重复执行注册 过程,提高了业务执行效率。在上述应用场景之前,UE需要先向AUG注册,以便于访问非IMS域应用服务器。如 图3所示,为本发明实施例应用场景中的AUG注册流程图,具体包括以下步骤步骤301,UE启动IMS客户端,执行IMS鉴权流程,进行IMS注册。具体地,用户打开IMS客户端,登录MS网,IMS客户端会在UE、CSCF, HSS间执行 IMS鉴权流程,并完成IMS注册。步骤302,UE与IMS应用服务ASl进行交互。步骤303,UE的IMS客户端触发访问非IMS应用。步骤304,UE检查本地是否存在key且key在有效期内,如果检查结果为是,则执 行步骤310 ;否则执行步骤305。步骤305,UE随机生成key,使用AUG的PubKey (公用密钥)加密生成Kcey = E(PubKey, key)。其中,E为RSA的加密算法,AUG预先生成1024bits的 RSA (Rivest-Shamir-Adleman,公开密钥算法)公私钥对,该公私钥对包括I^riKey (私有密 钥)和PubKey,AUG秘密保存I^riKey,并将PubKey公开给IMS客户端且预置在UE中。步骤306,UE通过sip消息将^ey作为AUG注册消息的参数发送给AUG,请求AUG注册。步骤307,AUG使用I^riKey解密Ekey,如果解密成功,则执行步骤309 ;否则,向UE返回错误消息。步骤308,AUG保存UE的IMPU对应的key,并向UE返回sip 2000K消息。步骤309,UE保存key作为与AUG通信的临时秘密参数。步骤310,UE启动非IMS客户端访问AS2,向AS2发送HTTP Request消息。本发明实施例利用IMS的已有安全机制,为业务层提供安全服务,增强了 UE与AS 之间的安全性,且不会成为系统的安全瓶颈;在密钥信息的有效期内,不需要重复执行注册 过程,提高了业务执行效率。本发明实施例在上述实施方式中提供了身份认证方法和应用场景,相应地,本发 明实施例还提供了应用上述身份认证方法的装置和系统。如图4所示,为本发明实施例中的一种认证网关结构示意图,包括接收模块410,用于接收非IMS域应用服务器提交的用户设备的身份标识。上述接收模块410,还用于接收来自用户设备的SIP消息,获取所述SIP消息中携 带的注册参数,所述注册参数由所述用户设备根据公用密钥生成。查询模块420,用于根据接收模块410接收到的身份标识查询是否存在所述身份 标识对应的密钥信息且所述密钥信息在有效期内,在查询到存在所述身份标识对应的密钥 信息且所述密钥信息在有效期内时,查询所述用户设备在IMS域是否为已注册状态。发送模块430,用于在查询模块420查询到所述用户设备在IMS域为已注册状态 时,向所述非IMS域应用服务器返回所述密钥信息和所述密钥信息的有效期,使所述非IMS 域应用服务器使用所述密钥信息和所述密钥信息的有效期与所述用户设备进行身份认证。上述发送模块430,还用于在所述解密模块440解密成功时,保存所述用户设备的 身份标识对应的密钥信息,向所述用户设备返回注册成功消息,使所述用户设备保存所述 密钥信息并根据所述密钥信息访问非IMS域应用服务器。生成模块,生成公私钥对,保存所 述公私钥对中的私有密钥,供所述解密模块使用,并向所述用户设备公开所述公私钥对中 的公用密钥。解密模块440,用于使用自身保存的私有密钥对所述接收模块410获取的注册参 数进行解密。生成模块450,用于生成公私钥对,保存所述公私钥对中的私有密钥,供所述解密 模块440使用,并向所述用户设备公开所述公私钥对中的公用密钥。本发明实施例利用IMS的已有安全机制,为业务层提供安全服务,增强了 UE与AS 之间的安全性,且不会成为系统的安全瓶颈;在密钥信息的有效期内,不需要重复执行注册 过程,提高了业务执行效率。如图5所示,为本发明实施例中的一种身份认证系统结构示意图,包括用户设备510,用于向非IMS域应用服务器520发送访问请求,并接收所述非IMS 域应用服务器520返回的挑战消息;根据自身的身份标识和所述密钥信息向所述非IMS域 应用服务器520返回挑战响应消息。上述用户设备510,还用于执行IMS鉴权流程,在IMS域进行注册;当访问非IMS域 应用时,检查本地是否存在密钥信息,如果不存在,则随机生成密钥信息,并根据所述密钥 信息和公用密钥生成注册参数,并通过SIP消息发送所述注册参数。非IMS域应用服务器520,用于向认证网关530提交用户设备的身份标识,接收来自所述认证网关530的密钥信息和所述密钥信息的有效期,使用所述密钥信息和所述密钥 信息的有效期与所述用户设备510进行身份认证。认证网关530,用于接收所述非IMS域应用服务器520提交的用户设备510的身份 标识,根据所述身份标识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有 效期内;如果存在所述身份标识对应的密钥信息且所述密钥信息在有效期内,则查询所述 用户设备510在IMS域是否为已注册状态,如果查询结果为是,则向所述非IMS域应用服务 器520返回所述密钥信息和所述密钥信息的有效期。上述认证网关530,还用于接收来自用户设备510的SIP消息,获取所述SIP消息 中携带的注册参数,所述注册参数由所述用户设备510根据公用密钥生成;使用自身保存 的私有密钥对所述获取的注册参数进行解密,如果解密成功,则保存所述用户设备510的 身份标识对应的密钥信息,向所述用户设备510返回注册成功消息,使所述用户设备510保 存所述密钥信息并根据所述密钥信息访问非IMS域应用服务器。本发明实施例利用IMS的已有安全机制,为业务层提供安全服务,增强了 UE与AS 之间的安全性,且不会成为系统的安全瓶颈;在密钥信息的有效期内,不需要重复执行注册 过程,提高了业务执行效率。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助 软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更 佳的实施方式。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出 贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中, 包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备 等)执行本发明各个实施例所述的方法。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人 员来说,在不脱离本发明实施例原理的前提下,还可以做出若干改进和润饰,这些改进和润 饰也应视本发明的保护范围。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分 布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上 述实施例的模块可以集成于一体,也可以分离部署;可以合并为一个模块,也可以进一步拆 分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领 域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1.一种身份认证方法,其特征在于,包括以下步骤接收非互联网协议多媒体子系统IMS域应用服务器提交的用户设备的身份标识,根据 所述身份标识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有效期内;如果存在所述身份标识对应的密钥信息且所述密钥信息在有效期内,则查询所述用户 设备在IMS域是否为已注册状态,如果查询结果为是,则向所述非IMS域应用服务器返回所 述密钥信息和所述密钥信息的有效期,使所述非IMS域应用服务器使用所述密钥信息和所 述密钥信息的有效期与所述用户设备进行身份认证。
2.如权利要求1所述的方法,其特征在于,所述接收非IMS域应用服务器提交的用户设 备的身份标识之前,还包括接收来自用户设备的会话发起协议SIP消息,获取所述SIP消息中携带的注册参数,所 述注册参数由所述用户设备根据公用密钥生成;使用自身保存的私有密钥对所述获取的注册参数进行解密,如果解密成功,则保存所 述用户设备的身份标识对应的密钥信息,向所述用户设备返回注册成功消息,使所述用户 设备保存所述密钥信息并根据所述密钥信息访问非IMS域应用服务器。
3.如权利要求2所述的方法,其特征在于,所述接收来自用户设备的SIP消息之前,还 包括所述用户设备执行IMS鉴权流程,在IMS域进行注册;当用户设备访问非IMS域应用时,检查本地是否存在密钥信息,如果不存在,则随机生 成密钥信息,并根据所述密钥信息和公用密钥生成注册参数,并通过SIP消息发送所述注 册参数。
4.如权利要求3所述的方法,其特征在于,所述用户设备根据密钥信息和公用密钥生 成注册参数之前,还包括生成公私钥对,保存所述公私钥对中的私有密钥,并向所述用户设备公开所述公私钥 对中的公用密钥。
5.如权利要求2所述的方法,其特征在于,所述用户设备根据密钥信息访问非IMS域应 用服务器,具体包括所述用户设备向所述非IMS域应用服务器发送访问请求,并接收所述非IMS域应用服 务器返回的挑战消息;所述用户设备根据自身的身份标识和所述密钥信息向所述非IMS域应用服务器返回 挑战响应消息。
6.如权利要求5所述的方法,其特征在于,所述非IMS域应用服务器使用密钥信息和密 钥信息的有效期与用户设备进行身份认证,具体包括所述非IMS域应用服务器使用所述密钥信息验证来自所述用户设备的挑战响应消息 是否正确,如果正确,则向所述用户设备返回认证成功消息;所述用户设备接收来自所述非IMS域应用服务器的认证成功消息,验证所述认证成功 消息中包含的认证信息是否正确,如果正确,则完成与所述非IMS域应用服务器的双向认 证,通过安全通道与所述非IMS域应用服务器进行交互。
7.一种认证网关,其特征在于,包括接收模块,用于接收非IMS域应用服务器提交的用户设备的身份标识;查询模块,用于根据所述接收模块接收到的身份标识查询是否存在所述身份标识对应 的密钥信息且所述密钥信息在有效期内,在查询到存在所述身份标识对应的密钥信息且所 述密钥信息在有效期内时,查询所述用户设备在IMS域是否为已注册状态;发送模块,用于在所述查询模块查询到所述用户设备在IMS域为已注册状态时,向所 述非IMS域应用服务器返回所述密钥信息和所述密钥信息的有效期,使所述非IMS域应用 服务器使用所述密钥信息和所述密钥信息的有效期与所述用户设备进行身份认证。
8.如权利要求7所述的认证网关,其特征在于,所述接收模块,还用于接收来自用户设备的SIP消息,获取所述SIP消息中携带的注册 参数,所述注册参数由所述用户设备根据公用密钥生成;所述认证网关,还包括解密模块,用于使用自身保存的私有密钥对所述接收模块获取的注册参数进行解密;所述发送模块,还用于在所述解密模块解密成功时,保存所述用户设备的身份标识对 应的密钥信息,向所述用户设备返回注册成功消息,使所述用户设备保存所述密钥信息并 根据所述密钥信息访问非IMS域应用服务器。
9.如权利要求8所述的认证网关,其特征在于,还包括生成模块,用于生成公私钥对,保存所述公私钥对中的私有密钥,供所述解密模块使 用,并向所述用户设备公开所述公私钥对中的公用密钥。
10.一种身份认证系统,其特征在于,包括用户设备,用于向非IMS域应用服务器发送访问请求,并接收所述非IMS域应用服务器 返回的挑战消息;根据自身的身份标识和所述密钥信息向所述非IMS域应用服务器返回挑 战响应消息;非IMS域应用服务器,用于向认证网关提交用户设备的身份标识,接收来自所述认证 网关的密钥信息和所述密钥信息的有效期,使用所述密钥信息和所述密钥信息的有效期与 所述用户设备进行身份认证;认证网关,用于接收所述非IMS域应用服务器提交的用户设备的身份标识,根据所述 身份标识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有效期内;如果存 在所述身份标识对应的密钥信息且所述密钥信息在有效期内,则查询所述用户设备在IMS 域是否为已注册状态,如果查询结果为是,则向所述非IMS域应用服务器返回所述密钥信 息和所述密钥信息的有效期。
11.如权利要求10所述的系统,其特征在于,所述认证网关,还用于接收来自用户设备的会话发起协议SIP消息,获取所述SIP消息 中携带的注册参数,所述注册参数由所述用户设备根据公用密钥生成;使用自身保存的私 有密钥对所述获取的注册参数进行解密,如果解密成功,则保存所述用户设备的身份标识 对应的密钥信息,向所述用户设备返回注册成功消息,使所述用户设备保存所述密钥信息 并根据所述密钥信息访问非IMS域应用服务器。
12.如权利要求10所述的系统,其特征在于,所述用户设备,还用于执行IMS鉴权流程,在IMS域进行注册;当访问非IMS域应用时, 检查本地是否存在密钥信息,如果不存在,则随机生成密钥信息,并根据所述密钥信息和公 用密钥生成注册参数,并通过SIP消息发送所述注册参数。
全文摘要
本发明实施例公开了一种身份认证方法,包括以下步骤接收非互联网协议多媒体子系统IMS域应用服务器提交的用户设备的身份标识,根据所述身份标识查询是否存在所述身份标识对应的密钥信息且所述密钥信息在有效期内;如果存在所述身份标识对应的密钥信息且所述密钥信息在有效期内,则查询所述用户设备在IMS域是否为已注册状态,如果查询结果为是,则向所述非IMS域应用服务器返回所述密钥信息和所述密钥信息的有效期,使所述非IMS域应用服务器使用所述密钥信息和所述密钥信息的有效期与所述用户设备进行身份认证。本发明实施例实现了IMS应用和非IMS应用之间的统一认证和状态同步。本发明实施例同样公开了一种应用上述方法的装置和系统。
文档编号H04L9/32GK102065069SQ200910237819
公开日2011年5月18日 申请日期2009年11月11日 优先权日2009年11月11日
发明者彭华熹 申请人:中国移动通信集团公司