专利名称:一种接入ims网络的方法、装置和系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种接入IMS网络的方法、装置和系统。
背景技术:
随着通信网络的发展,IMS(IP Multimedia Subsystem,互联网协议多媒体子系统)应用中存在有卡终端和无卡终端两种终端类型。其中,有卡终端与网络侧利用 SIM (Subscriber Identity Module,用户身份识别模块)/USIM (Universal Subscriber Identity Module,全球用户身份识别模块)/ISIM(IMSSubscriber Identity Module, IMS 用户身份识别模块)卡实现双向身份认证,协商会话密钥,并基于会话密钥建立双向的 IPSecdP Security,互联网协议安全性)通道,保护会话内容的安全性。无卡终端接入IMS网络的方式包括NASS-Bundle (Network AttachmentSubsystem-Bundle,网络附着子系统绑定)方式和 SIP Digest(SIP SessionInitiation Protocol Digest,会话初始化协议摘要)方式,其中,NASS-Bundle 方式基于用户接入网络的认证方式在终端身份(接入位置)与终端IP地址之间建立的对应关系实现IMS的认证,SIP Digest方式利用终端用户名密码方式实现身份认证。发明人在实现本发明的过程中,发现现有技术至少存在以下缺陷NASS-Bundle方式依赖于底层接入网络的认证方案安全性,只适用于IMS网络与接入网络同属一个运营商的场景,在IMS网络与接入网络属于不同运营商的情况下,IMS网络侧设备无法获取终端IP地址与终端位置的绑定关系;此外,该方法无法区分多个终端使用同一 IP地址接入IMS网络的情况。SIP Digest方式的安全性依赖于用户口令的强度,如果用户出于方便记忆的目的,设置的口令长度不高,则用户口令容易被猜出,安全性不高,且用户输入口令的操作易被木马截获;另外口令方式增加了用户需要记忆的用户名和口令数量,降低了用户体验,而且无法满足用户在多个终端上以相同身份同时登录IMS网络的需求。
发明内容
本发明实施例提供了一种接入IMS网络的方法、装置和系统,用于增强接入方式的安全性。本发明实施例提供了一种接入互联网协议多媒体子系统IMS网络的方法,包括无卡终端向有卡终端发送临时密钥获取请求;所述无卡终端接收来自所述有卡终端的与所述临时密钥获取请求对应的临时密钥获取响应,使用所述临时密钥获取响应中携带的临时IMS注册密钥和临时IMS私有用户标识TIMPI进行IMS网络接入,所述临时IMS注册密钥和所述TIMPI由所述有卡终端根据所述临时密钥获取请求生成。本发明实施例还提供了一种无卡终端,包括收发模块,用于向有卡终端发送临时密钥获取请求,接收来自所述有卡终端的与
6所述临时密钥获取请求对应的临时密钥获取响应;接入模块,用于使用所述收发模块接收到的临时密钥获取响应中携带的临时IMS 注册密钥和TIMPI进行IMS网络接入,所述临时IMS注册密钥和所述TIMPI由所述有卡终端根据所述临时密钥获取请求生成。本发明实施例还提供了一种接入IMS网络的系统,包括有卡终端和无卡终端,所述有卡终端,用于接收来自所述无卡终端的临时密钥获取请求,根据所述临时密钥获取请求生成临时IMS注册密钥和TIMPI,并向所述无卡终端发送临时密钥获取响应, 所述临时密钥获取响应中携带所述临时IMS注册密钥和TIMPI ;所述无卡终端,用于向所述有卡终端发送临时密钥获取请求,接收来自所述有卡终端的与所述临时密钥获取请求对应的临时密钥获取响应,使用所述临时密钥获取响应中携带的临时IMS注册密钥和TIMPI进行IMS网络接入。本发明实施例中,无卡终端向有卡终端请求TIMPI,并使用该TIMPI向IMS网络发起接入请求,增强了接入方式的安全性,可以应用于接入网络与IMS网络分属不同运营商的场景,能够满足多个设备使用同一 IP地址注册IMS网络的需求。本发明实施例提供了一种有卡终端,用于向无卡终端提供用户身份标识。本发明实施例提供了一种有卡终端,包括接收模块,用于接收来自无卡终端的临时密钥获取请求;生成模块,用于根据所述接收模块接收到的临时密钥获取请求生成临时IMS注册密钥和TIMPI ;发送模块,用于向所述无卡终端发送临时密钥获取响应,所述临时密钥获取响应中携带所述生成模块生成的临时IMS注册密钥和TIMPI。本发明实施例中,有卡终端为无卡终端提供TIMPI,可以为多个设备提供有效的用户身份标识,降低了设备的成本,节省了 SIM卡资源。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对本发明实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本发明实施例应用场景中的接入IMS网络的系统架构示意图;图2为本发明实施例中的一种接入IMS网络的方法流程图;图3为本发明实施例应用场景中的无卡终端向有卡终端获取临时IMS注册密钥的流程图;图4为本发明实施例应用场景中的无卡终端接入IMS网络流程图;图5为本发明实施例应用场景中的构造五元组认证向量流程图;图6为本发明实施例中的一种无卡终端装置结构示意图;图7为本发明实施例中的一种有卡终端装置结构示意图;图8为本发明实施例中的一种接入IMS网络的系统结构示意图。
具体实施例方式本发明实施例提供一种有卡终端协助无卡终端接入IMS网络的方法,在用户使用无卡终端接入IMS网络时,利用有卡终端的认证功能为无卡终端生成临时IMS注册密钥和 TIMPI (Temporary IMS Private Identity,临时IMS私有用户标识),协助无卡终端与IMS 网络侧设备进行相互认证并建立安全通道,其中,有卡终端可以为用户手机终端或家庭中的机顶盒等设备。下面将结合本发明实施例中的附图,对本发明实施例的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明实施例中的接入IMS网络的方法可以应用于如图1所示的系统架构中,该系统架构包括用户侧的有卡终端和无卡终端,以及IMS网络侧的P-CSCF(Proxy Call Session Control Function,代理呼叫会话控制功能)、S-CSCF(Serving Call Session Control Function,服务呼叫会话控制功能)、HGW(Homefeiteway,归属网关)、 BSF (Bootstrapping Service Function,弓|导月艮务功能)禾口HSS (Home Subscriber Server, 归属签约用户服务器)。其中,有卡终端通常可包括安全模块SeM和SIM卡。有卡终端的SeM用于向SIM 卡请求IMS注册密钥,并根据该IMS注册密钥为无卡终端生成临时IMS注册密钥和TIMPI, 并将临时IMS注册密钥和TIMPI发送给无卡终端。有卡终端的SIM卡可进行GBA(Generic Bootstrapping Architecture,通用引导架构)初始化,生成并存储共享密钥,并根据该共享密钥生成IMS注册密钥。无卡终端包括安全模块SeM和IMS客户端,其中,无卡终端的SeM用于向有卡终端请求临时IMS注册密钥,接收并存储有卡终端返回的临时IMS注册密钥和TIMPI ;无卡终端的IMS客户端用于向无卡终端的发送IMS注册请求,接收来自无卡终端的的临时 IMS注册密钥和TIMPI,并使用该TIMPI向IMS网络侧发送注册请求。P-CSCF为IMS网络的统一入口点,所有IMS终端发起的会话消息和终止于IMS终端的会话消息都要通过P-CSCF,P-CSCF作为一个SIP ftx)xy,负责与接入网络无关的用户鉴权与IPSec管理,以及网络防攻击与安全保护,为节约无线网络资源进行SIP信令压缩与解压、用户的漫游控制,并通过PDF (Policy Decision Function,策略决策功能)实现承载面的 NAT(NetworkAddress Translation,网络地址转换)% QoS(Quality of Service,月艮务质量)等功能。S-CSCF在IMS网络会话控制中处于核心地位,接收来自拜访网络通过P-CSCF转发来的注册请求,与HSS配合进行用户鉴权,并从HSS处下载用户签约的业务数据。S-CSCF 对于用户主叫及被叫侧进行路由管理,根据用户签约的iFCanitial Filter Criteria,初始过滤规则),进行SIP AS(Applicati0nSerVer,应用服务器)触发,实现IMS业务功能。HSS支持用于处理调用/会话的IMS网络实体的主要用户数据库,包含用户配置文件,执行用户的身份验证和授权,并可提供有关用户物理位置的信息。如图2所示,为本发明实施例中的一种接入IMS网络的方法流程图,包括以下步骤
步骤201,无卡终端向有卡终端发送临时密钥获取请求。其中,临时密钥获取请求中携带有无卡终端的设备标识和需要接入IMS网络的指示。有卡终端根据所述无卡终端的设备标识和需要接入IMS网络的指示生成所述TIMPI和所述临时IMS注册密钥。具体地,有卡终端根据自身与引导服务功能BSF之间的共享密钥、有卡终端的 IMPI (IMS Private Identity, IMS私有用户标识)和需要接入IMS网络的指示生成IMS注册密钥;根据IMS注册密钥和无卡终端的设备标识生成临时IMS注册密钥和TIMPI。其中,有卡终端通常包括安全模块和密钥生成模块,有卡终端为无卡终端生成 TIMPI和临时IMS注册密钥的过程可以是有卡终端的安全模块可以向有卡终端的密钥生成模块发送密钥获取请求,该密钥获取请求中携带有卡终端的IMPI和需要接入IMS网络的指示;有卡终端的密钥生成模块根据有卡终端与BSF之间的共享密钥、IMPI和需要接入IMS 网络的指示生成IMS注册密钥,并将该IMS注册密钥返回给有卡终端的安全模块;有卡终端的安全模块根据IMS注册密钥和无卡终端的设备标识生成临时IMS注册密钥和TIMPI。上述有卡终端的密钥生成模块可以为SIM卡、USIM卡、ISIM卡,还可以为其他安全的硬件或软件模块。上述有卡终端根据IMS注册密钥和无卡终端的设备标识生成临时IMS注册密钥和TIMPI,可具体包括有卡终端为临时IMS注册密钥设置有效期,根据有效期、无卡终端的设备标识和IMS注册密钥生成临时IMS注册密钥,根据有效期、设备标识和 B-TID (Bootstrapping transaction identifier,弓|导业务标i只)生成 TB—TID (Temporary Bootstrapping transaction identifier,临时引导业务标识),并根据 TB-TID 和 IMPI 生成 TIMPI。步骤202,无卡终端接收来自有卡终端的与临时密钥获取请求对应的临时密钥获取响应,使用临时密钥获取响应中携带的临时IMS注册密钥和临时IMS私有用户标识TIMPI 进行IMS网络接入。其中,临时IMS注册密钥和TIMPI由有卡终端根据临时密钥获取请求生成。无卡终端使用该TIMPI向IMS网络发起接入请求之后,网络侧根据临时IMS注册密钥和TIMPI对无卡终端进行鉴权,并根据鉴权结果决定是否允许所述无卡终端接入所述IMS网络。该过程中,无卡终端向IMS网络发起接入请求,其中携带所述TIMPI ;无卡终端根据临时IMS注册密钥和网络侧生成并返回的参数生成鉴权数据,并将该鉴权数据发送给网络侧;无卡终端接收网络侧根据该无卡终端发送的鉴权数据与网络侧生成的鉴权数据所得出的鉴权结果, 进行IMS网络接入,其中,网络侧根据所述TIMPI得到所述临时IMS注册密钥,并根据该临时IMS注册密钥和网络侧生成的参数生成鉴权数据。网络侧使用TIMPI构造认证向量(其中可包括期望认证应答XRES、RAND和AUTN), 并将其中的随机数RAND、认证令牌AUTN发送给无卡终端;无卡终端使用临时IMS注册密钥、RAND和AUTN生成认证应答RES,使用RES计算摘要Digest结果,并将Digest结果发送给网络侧;网络侧根据其生成的认证向量中的期望认证应答XRES检测无卡终端返回的 Digest结果,从而对无卡终端进行鉴权。具体地,基于图1所示的网络架构,如网络侧可以包括P-CSCF、S_CSCF和HGW等网元,网络侧的鉴权过程可以是HGW根据TIMPI构造五元组认证向量,该五元组认证向量包括RAND (Random Number,随机数)、AUTN(Authenticator Token,认证令牌)、XRES (Expected Response,期望认证应答)、CK (Cipher Key,加密密钥)^P IK (Integrity Key,完整性密钥);HGW通过P-CSCF和S-CSCF向无卡终端发送五元组认证向量中的RAND和AUTN ;无卡终端根据临时IMS注册密钥、RAND和AUTN生成认证应答RES、CK和IK,并使用CK和IK与 P-CSCF建立IPSec通道,使用RES计算摘要Digest结果,并将该Digest结果通过P-CSCF 发送到S-CSCF ;S-CSCF使用XRES检测Digest结果是否正确,如果Digest结果正确,则通过P-CSCF向无卡终端发送注册成功消息。上述HGW根据所述TIMPI构造五元组认证向量AV,具体包括所述HGW解析所述 TIMPI,获取TB-TID和IMPI,并向BSF发送临时密钥获取请求,所述临时密钥获取请求中携带所述TB-TID和需要接入IMS网络的指示;在所述BSF根据所述TB-TID生成临时IMS注册密钥后,所述HGW接收所述BSF返回的所述临时IMS注册密钥;所述HGW根据所述临时 IMS注册密钥和所述TIMPI构造五元组认证向量。其中,BSF解析所述临时密钥获取请求中的所述TB-TID,获取B-TID、设备标识和有效期,并判断所述TB-TID是否有效,如果所述TB-TID有效,则根据所述B-TID生成IMS 注册密钥,使用所述IMS注册密钥、所述设备标识和有效期计算临时IMS注册密钥,将所述临时IMS注册密钥返回所述HGW。上述需要接入IMS网络的指示包括IMS网络标识和/或预设的固定字符串。上述通过P-CSCF和S-CSCF向HGW发送携带所述TIMPI的用户注册请求之后,HGW根据所述TIMPI判断所述用户注册请求是否来自有卡终端,如果所述用户注册请求来自有卡终端,则将所述用户注册请求转发到HSS。本发明实施例中,无卡终端向有卡终端请求TIMPI,并使用该TIMPI向IMS网络发起接入请求,增强了接入方式的安全性,可以应用于接入网络与IMS网络分属不同运营商的场景,能够满足多个设备使用同一 IP地址注册IMS网络的需求。以下结合上述应用场景对本发明实施例中的应用缓存服务器与数据库同步的方法进行详细、具体的描述。如图3所示,为本发明实施例应用场景中的无卡终端向有卡终端获取临时IMS注册密钥的流程图,具体包括以下步骤步骤301,有卡终端的SIM卡进行GBA初始化,生成并存储共享密钥。步骤302,无卡终端的IMS客户端向无卡终端的SeM发送IMS注册请求。步骤303,无卡终端的SeM通过与有卡终端之间的共享数据,与有卡终端进行认证并建立安全连接。步骤304,无卡终端的向有卡终端的SeM发送临时密钥获取请求。其中,临时密钥获取请求包含设备标识DeviceID位和 NAFID(NetworkApplication Function Identifier,网络应用功能标识)位,NAFID 可以作为需要接入IMS网络的指示,包括IMS网络标识或者预设的固定字符串。有卡终端的SeM接收到来自无卡终端的临时密钥获取请求后,可以在用户界面上向用户提示无卡终端的密钥请求,等待用户选择是否同意并获取用户的输入参数, 如果该输入参数表示用户不同意无卡终端的密钥请求,则有卡终端拒绝无卡终端的密钥请求;否则,执行后续的步骤。步骤305,有卡终端的向有卡终端的SIM卡发送密钥获取请求。
其中,密钥获取请求包含IMPI和NAFID位。步骤306,有卡终端的SIM卡根据共享密钥、IMPI和需要接入IMS网络的指示生成 IMS注册密钥。具体地,IMS注册密钥的计算公式为Ks_IMS = KDF(Ks,“GBA_ME”,IMPI,“IMS”), 其中,Ks_IMS为IMS注册密钥,Ks为共享密钥,“IMS”为需要接入IMS网络的指示。步骤307,有卡终端的SIM卡将IMS注册密钥返回给有卡终端的%Μ。步骤308,有卡终端的SeM根据IMS注册密钥生成临时IMS注册密钥和TIMPI。具体地,有卡终端的SeM可以根据策略为无卡终端的临时IMS注册密钥设置有效期ExpireDate,并根据IMS注册密钥Ks_IMS、ExpireDate和无卡终端设备标识DeviceID 生成无卡终端临时密钥 I^empKJMS、TB-TID 和 TIMPI。其中,TempK_IMS = KDF(Ks_IMS, DeviceID, Expiredate),TB-TID = DeviceIDiExpiredateiB-TID, TIMPI = TB一TIDOIMPI。步骤309,有卡终端的向无卡终端的返回临时IMS注册密钥和TIMPI。步骤310,无卡终端的向无卡终端的IMS客户端返回TIMPI。本发明实施例应用场景中的无卡终端向有卡终端获取临时IMS注册密钥和TIMPI 后,可以使用TIMPI接入IMS网络,如图4所示,具体包括以下步骤步骤401,无卡终端的IMS客户端向P-CSCF发送携带TIMPI的用户注册请求。步骤402,P-CSCF向S-CSCF发送携带TIMPI的用户注册请求。步骤403,S-CSCF向HGW发送携带TIMPI的用户注册请求。步骤404,HGW根据解析用户注册请求中的TIMPI判断用户注册请求是否来自有卡终端,如果该用户注册请求来自有卡终端,则执行步骤405 ;否则,执行步骤406。步骤405,HGff将用户注册请求转发到HSS,并接收来自HSS的鉴权元组。步骤406,HGW解析用户注册请求中的TIMPI,提取TB-TID和IMPI。步骤407,HGff向BSF发送临时密钥获取请求。其中,临时密钥获取请求中携带TB-TID和需要接入IMS网络的指示,该指示包括 IMS网络标识或者预设的固定字符串。步骤408,BSF根据临时密钥获取请求中的TB-TID计算临时IMS注册密钥。具体地,BSF解析所述临时密钥获取请求中的TB-TID,获取B-TID、设备标识和有效期,并判断TB-TID是否有效,如果该TB-TID有效,则根据B-TID查询数据库,获取共享密钥Ks,并根据Ks生成IMS注册密钥Ks_IMS,使用该IMS注册密钥、设备标识和有效期计算临时 IMS 注册密钥 iTempKJMS,其中,TempK_IMS = KDF (Ks_IMS, DeviceiD, Expiredate)。步骤409,BSF将临时IMS注册密钥返回HGW。步骤410,HGff根据临时IMS注册密钥和TIMPI构造五元组AV。具体地,五元组AV = (RAND、AUTN、XRES、CK、IK),构造流程如图5所示,其中,f l_f5 为密码算法。步骤411,HGff将五元组AV返回给S-CSCF。步骤412,S-CSCF 将 RAND、AUTN、CK、IK 返回给 P-CSCF。步骤413,P-CSCF将RAND、AUTN返回给无卡终端的IMS客户端。步骤414,无卡终端的IMS客户端将RAND、AUTN发送给无卡终端的%Μ。步骤415,无卡终端的SeM使用RAND和AUTN生成RES、CK和IK。
步骤416,无卡终端的向无卡终端的IMS客户端返回RES、CK和IK。步骤417,无卡终端的IMS客户端使用CK和IK与P-CSCF建立IPSec通道,并将根据RES计算得到的Digest结果发送给P-CSCF。步骤418,P-CSCF 将 Digest 结果发送给 S-CSCF。步骤419,S-CSCF使用XRES检查Digest结果是否正确,如果Digest结果正确,则执行步骤420 ;否则,执行步骤422。步骤420,S-CSCF 向 P-CSCF 发送 2000K 消息。步骤421,P-CSCF向无卡终端的IMS客户端发送2000K消息,通知注册成功完成。步骤422,S-CSCF通过P-CSCF向无卡终端的IMS客户端发送注册失败消息。本发明实施例中,无卡终端向有卡终端请求TIMPI,使用该TIMPI向IMS网络发起接入请求,并与IMS网络侧之间实现相互认证并建立安全连接,可以防范IP地址欺骗等攻击形式且临时IMS注册密钥的长度不受用户记忆的限制,增强了接入方式的安全性,可以应用于接入网络与IMS网络分属不同运营商的场景,能够满足多个设备使用同一 IP地址注册IMS网络的需求。本发明实施例在上述实施方式中提供了接入IMS网络的方法和应用场景,相应地,本发明实施例还提供了应用上述接入IMS网络的方法的装置。如图6所示,为本发明实施例中的一种无卡终端结构示意图,包括收发模块610,用于向有卡终端发送临时密钥获取请求,接收来自有卡终端的与临时密钥获取请求对应的临时密钥获取响应。接入模块620,用于使用收发模块610接收到的临时密钥获取响应中携带的临时 IMS注册密钥和TIMPI进行IMS网络接入,所述临时IMS注册密钥和所述TIMPI由所述有卡终端根据所述临时密钥获取请求生成。其中,无卡终端中配置有与网络侧相同的鉴权方式;上述接入模块620,具体用于向网络侧发送携带所述TIMPI的用户注册请求,接收所述网络侧返回的RAND和AUTN,根据与网络侧相同的鉴权方式,使用所述临时IMS注册密钥、所述RAND和AUTN生成认证应答 RES,使用所述RES计算摘要Digest结果,并将所述Digest结果发送给网络侧,接收所述网络侧返回的注册结果。上述接入模块620,具体用于通过P-CSCF和S-CSCF向HGW发送携带TIMPI的用户注册请求,使HGW根据TIMPI构造五元组认证向量,该五元组认证向量包括RAND、AUTN、 XRES、CK和IK ;通过P-CSCF和S-CSCF接收来自HGW的五元组认证向量中的RAND和AUTN,根据临时IMS注册密钥、RAND和AUTN生成RES、CK和IK,并使用所述CK和IK与所述P-CSCF 建立IPSec通道,使用RES计算Digest结果,并将Digest结果通过P-CSCF发送到S-CSCF, 使S-CSCF使用XRES检测Digest结果是否正确;在S-CSCF检测到Digest结果正确时,通过P-CSCF接收来自S-CSCF的注册成功消息。本发明实施例中,无卡终端向有卡终端请求TIMPI,并使用该TIMPI向IMS网络发起接入请求,增强了接入方式的安全性,可以应用于接入网络与IMS网络分属不同运营商的场景,能够满足多个设备使用同一 IP地址注册IMS网络的需求。本发明实施例还提供了一种有卡终端,如图7所示,包括接收模块710,用于接收来自无卡终端的临时密钥获取请求。0107]生成模块720,用于根据接收模块710接收到的临时密钥获取请求生成临时IMS注册密钥和TIMPI。其中,临时密钥获取请求携带无卡终端的设备标识和需要接入IMS网络的指示,上述生成模块720,具体用于根据临时密钥获取请求中携带的无卡终端的设备标识和需要接入IMS网络的指示生成TIMPI和临时IMS注册密钥。上述生成模块720,包括安全子模块721和密钥生成子模块722。其中,安全子模块721,用于向密钥生成子模块722发送密钥获取请求,该密钥获取请求携带有卡终端的IMPI和需要接入IMS网络的指示;接收来自密钥生成子模块722的 IMS注册密钥,根据IMS注册密钥和无卡终端的设备标识生成临时IMS注册密钥和TIMPI。上述安全子模块721,具体用于为临时IMS注册密钥设置有效期,根据有效期、无卡终端的设备标识和IMS注册密钥生成临时IMS注册密钥,根据有效期、无卡终端的设备标识和B-TID生成TB-TID,并根据TB-TID和有卡终端的IMPI生成TIMPI。密钥生成子模块722,用于根据有卡终端与BSF之间的共享密钥、所述IMPI和所述需要接入IMS网络的指示生成IMS注册密钥,并将IMS注册密钥返回给所述安全子模块 721。发送模块730,用于向无卡终端发送临时密钥获取响应,该临时密钥获取响应中携带生成模块720生成的临时IMS注册密钥和TIMPI。本发明实施例中,有卡终端为无卡终端提供TIMPI,可以为多个设备提供有效的用户身份标识,降低了设备的成本,节省了 SIM卡资源。如图8所示,为本发明实施例中的一种接入IMS网络的系统结构示意图,包括有卡终端810和无卡终端820,其中,有卡终端810,用于接收来自无卡终端820的临时密钥获取请求,根据所述临时密钥获取请求生成临时IMS注册密钥和TIMPI,并向无卡终端820发送临时密钥获取响应,该临时密钥获取响应中携带临时IMS注册密钥和TIMPI。其中,临时密钥获取请求中携带有所述无卡终端的设备标识和需要接入IMS网络的指示;上述有卡终端810,用于根据所述无卡终端的设备标识和需要接入IMS网络的指示生成所述TIMPI和所述临时IMS注册密钥。无卡终端820,用于向有卡终端810发送临时密钥获取请求,接收来自有卡终端 810的与临时密钥获取请求对应的临时密钥获取响应,使用所述临时密钥获取响应中携带的临时IMS注册密钥和TIMPI进行IMS网络接入。具体地,上述无卡终端820,用于向IMS网络发起携带所述TIMPI的接入请求,根据所述临时IMS注册密钥和网络侧生成并返回的参数生成鉴权数据,并将该鉴权数据发送给网络侧;接收网络侧根据该无卡终端发送的鉴权数据与网络侧生成的鉴权数据所得出的鉴权结果,进行IMS网络接入,其中,网络侧根据所述TIMPI得到所述临时IMS注册密钥,并根据该临时IMS注册密钥和网络侧生成的参数生成鉴权数据。本发明实施例中,无卡终端向有卡终端请求TIMPI,并使用该TIMPI向IMS网络发起接入请求,增强了接入方式的安全性,可以应用于接入网络与IMS网络分属不同运营商的场景,能够满足多个设备使用同一 IP地址注册IMS网络的需求。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中, 包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明实施例原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以集成于一体,也可以分离部署;可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1.一种接入互联网协议多媒体子系统IMS网络的方法,其特征在于,包括无卡终端向有卡终端发送临时密钥获取请求;所述无卡终端接收来自所述有卡终端的与所述临时密钥获取请求对应的临时密钥获取响应,使用所述临时密钥获取响应中携带的临时IMS注册密钥和临时IMS私有用户标识 TIMPI进行IMS网络接入,所述临时IMS注册密钥和所述TIMPI由所述有卡终端根据所述临时密钥获取请求生成。
2.如权利要求1所述的方法,其特征在于,所述临时密钥获取请求中携带有所述无卡终端的设备标识和需要接入IMS网络的指示;所述有卡终端根据所述无卡终端的设备标识和需要接入IMS网络的指示生成所述 TIMPI和所述临时IMS注册密钥。
3.如权利要求2所述的方法,其特征在于,所述有卡终端根据所述无卡终端的设备标识和需要接入IMS网络的指示生成所述 TIMPI和所述临时IMS注册密钥,具体包括所述有卡终端根据自身与引导服务功能BSF之间的共享密钥、所述有卡终端的IMS私有用户标识IMPI和所述需要接入IMS网络的指示生成IMS注册密钥;所述有卡终端根据所述IMS注册密钥和所述无卡终端的设备标识生成所述临时IMS注册密钥和TIMPI。
4.如权利要求3所述的方法,其特征在于,所述有卡终端根据所述IMS注册密钥和所述无卡终端的设备标识生成所述临时IMS注册密钥和TIMPI,具体包括所述有卡终端为所述临时IMS注册密钥设置有效期,根据所述有效期、所述无卡终端的设备标识和所述IMS注册密钥生成所述临时IMS注册密钥,根据所述有效期、所述无卡终端的设备标识和引导业务标识B-TID生成临时引导业务标识TB-TID,并根据所述TB-TID和所述有卡终端的IMPI生成所述TIMPI。
5.如权利要求1所述的方法,其特征在于,所述无卡终端使用所述临时IMS注册密钥和 TIMPI进行IMS网络接入,包括所述无卡终端向IMS网络发起接入请求,其中携带所述TIMPI ;所述无卡终端根据所述临时IMS注册密钥和网络侧生成并返回的参数生成鉴权数据, 并将该鉴权数据发送给网络侧;所述无卡终端接收网络侧根据该无卡终端发送的鉴权数据与网络侧生成的鉴权数据所得出的鉴权结果,进行IMS网络接入,其中,网络侧根据所述TIMPI得到所述临时IMS注册密钥,并根据该临时IMS注册密钥和网络侧生成的参数生成鉴权数据。
6.如权利要求1所述的方法,其特征在于,所述无卡终端使用所述临时IMS注册密钥和 TIMPI进行IMS网络接入,具体包括所述网络侧使用所述TIMPI构造认证向量,并将其中的随机数RAND、认证令牌AUTN发送给所述无卡终端;所述无卡终端根据与网络侧相同的鉴权方式,使用所述临时IMS注册密钥、所述RAND 和AUTN生成认证应答RES,使用所述RES计算摘要Digest结果,并将所述Digest结果发送给网络侧;所述网络侧根据其生成的所述认证向量中的期望认证应答XRES检测所述无卡终端返回的Digest结果,对所述无卡终端进行鉴权。
7.如权利要求1所述的方法,其特征在于,所述无卡终端使用所述临时IMS注册密钥和 TIMPI进行IMS网络接入,具体包括归属网关HGW根据所述TIMPI构造五元组认证向量,所述五元组认证向量包括随机数 RAND、认证令牌AUTN、期望认证应答XRES、加密密钥CK和完整性密钥IK ;所述HGW通过代理呼叫会话控制功能P-CSCF和服务呼叫会话控制功能S-CSCF向所述无卡终端发送所述五元组认证向量中的RAND和AUTN ;所述无卡终端根据所述临时IMS注册密钥、所述RAND和AUTN生成认证应答RES、CK和 IK,并使用所述CK和IK与所述P-CSCF建立互联网协议安全性IPSec通道,使用所述RES 计算摘要Digest结果,并将所述Digest结果通过所述P-CSCF发送到所述S-CSCF ;所述S-CSCF使用所述XRES检测所述Digest结果是否正确,如果所述Digest结果正确,则通过所述P-CSCF向所述无卡终端发送注册成功消息。
8.如权利要求7所述的方法,其特征在于,所述HGW根据所述TIMPI构造五元组认证向量,具体包括所述HGW解析所述TIMPI,获取TB-TID和IMPI,并向引导服务功能BSF发送临时密钥获取请求,所述临时密钥获取请求中携带所述TB-TID和需要接入IMS网络的指示;在所述BSF根据所述TB-TID生成临时IMS注册密钥后,所述HGW接收所述BSF返回的所述临时IMS注册密钥;所述HGW根据所述临时IMS注册密钥和所述TIMPI构造五元组认证向量。
9.一种无卡终端,其特征在于,包括收发模块,用于向有卡终端发送临时密钥获取请求,接收来自所述有卡终端的与所述临时密钥获取请求对应的临时密钥获取响应;接入模块,用于使用所述收发模块接收到的临时密钥获取响应中携带的临时IMS注册密钥和TIMPI进行IMS网络接入,所述临时IMS注册密钥和所述TIMPI由所述有卡终端根据所述临时密钥获取请求生成。
10.如权利要求9所述的无卡终端,其特征在于,所述无卡终端中配置有与网络侧相同的鉴权方式;所述接入模块,具体用于向网络侧发送携带所述TIMPI的用户注册请求,接收所述网络侧返回的RAND和AUTN,根据与网络侧相同的鉴权方式,使用所述临时IMS注册密钥、所述 RAND和AUTN生成认证应答RES,使用所述RES计算摘要Digest结果,并将所述Digest结果发送给网络侧,接收所述网络侧返回的注册结果。
11.如权利要求9所述的无卡终端,其特征在于,所述接入模块,具体用于通过P-CSCF和S-CSCF向HGW发送携带所述TIMPI的用户注册请求,使所述HGW根据所述TIMPI构造五元组认证向量,所述五元组认证向量包括RAND、 AUTN、XRES、CK 禾口 IK ;通过所述P-CSCF和所述S-CSCF接收来自所述HGW的所述五元组认证向量中的RAND 和AUTN,根据所述临时IMS注册密钥、所述RAND和AUTN生成RES、CK和IK,并使用所述CK 和IK与所述P-CSCF建立IPSec通道,使用所述RES计算Digest结果,并将所述Digest结果通过所述P-CSCF发送到所述S-CSCF,使所述S-CSCF使用所述XRES检测所述Digest结果是否正确;在所述S-CSCF检测到所述Digest结果正确时,通过所述P-CSCF接收来自所述S-CSCF 的注册成功消息。
12.—种有卡终端,其特征在于,包括接收模块,用于接收来自无卡终端的临时密钥获取请求;生成模块,用于根据所述接收模块接收到的临时密钥获取请求生成临时IMS注册密钥禾口 TIMPI ;发送模块,用于向所述无卡终端发送临时密钥获取响应,所述临时密钥获取响应中携带所述生成模块生成的临时IMS注册密钥和TIMPI。
13.如权利要求12所述的有卡终端,其特征在于,所述临时密钥获取请求携带所述无卡终端的设备标识和需要接入IMS网络的指示,所述生成模块,具体用于根据所述临时密钥获取请求中携带的所述无卡终端的设备标识和所述需要接入IMS网络的指示生成所述TIMPI和所述临时IMS注册密钥。
14.如权利要求13所述的有卡终端,其特征在于,所述生成模块,包括安全子模块和密钥生成子模块,所述安全子模块,用于向所述密钥生成子模块发送密钥获取请求,所述密钥获取请求携带所述有卡终端的IMPI和需要接入IMS网络的指示;接收来自所述密钥生成子模块的 IMS注册密钥,根据所述IMS注册密钥和所述无卡终端的设备标识生成所述临时IMS注册密钥和TIMPI。所述密钥生成子模块,用于根据所述有卡终端与BSF之间的共享密钥、所述IMPI和所述需要接入IMS网络的指示生成IMS注册密钥,并将所述IMS注册密钥返回给所述安全子模块。
15.如权利要求14所述的有卡终端,其特征在于,所述安全子模块,具体用于为所述临时IMS注册密钥设置有效期,根据所述有效期、 所述无卡终端的设备标识和所述IMS注册密钥生成所述临时IMS注册密钥,根据所述有效期、所述无卡终端的设备标识和B-TID生成TB-TID,并根据所述TB-TID和所述有卡终端的 IMPI生成所述TIMPI。
16.一种接入IMS网络的系统,其特征在于,包括有卡终端和无卡终端,所述有卡终端,用于接收来自所述无卡终端的临时密钥获取请求,根据所述临时密钥获取请求生成临时IMS注册密钥和TIMPI,并向所述无卡终端发送临时密钥获取响应,所述临时密钥获取响应中携带所述临时IMS注册密钥和TIMPI ;所述无卡终端,用于向所述有卡终端发送临时密钥获取请求,接收来自所述有卡终端的与所述临时密钥获取请求对应的临时密钥获取响应,使用所述临时密钥获取响应中携带的临时IMS注册密钥和TIMPI进行IMS网络接入。
17.如权利要求16所述的系统,其特征在于,所述临时密钥获取请求中携带有所述无卡终端的设备标识和需要接入IMS网络的指示;所述有卡终端,用于根据所述无卡终端的设备标识和需要接入IMS网络的指示生成所述TIMPI和所述临时IMS注册密钥。
18.如权利要求16所述的系统,其特征在于,所述无卡终端,用于向IMS网络发起接入请求,其中携带所述TIMPI ;根据所述临时IMS 注册密钥和网络侧生成并返回的参数生成鉴权数据,并将该鉴权数据发送给网络侧;接收网络侧根据该无卡终端发送的鉴权数据与网络侧生成的鉴权数据所得出的鉴权结果,进行 IMS网络接入,其中,网络侧根据所述TIMPI得到所述临时IMS注册密钥,并根据该临时IMS 注册密钥和网络侧生成的参数生成鉴权数据。
全文摘要
本发明实施例公开了一种接入IMS网络的方法,包括以下步骤无卡终端向有卡终端发送临时密钥获取请求;所述无卡终端接收来自所述有卡终端的与所述临时密钥获取请求对应的临时密钥获取响应,使用所述临时密钥获取响应中携带的临时IMS注册密钥和临时IMS私有用户标识TIMPI进行IMS网络接入,所述临时IMS注册密钥和所述TIMPI由所述有卡终端根据所述临时密钥获取请求生成。通过使用本发明,能够增强接入方式的安全性。本发明实施例同样公开了一种应用上述方法的装置和系统。
文档编号H04W12/08GK102196426SQ201010129799
公开日2011年9月21日 申请日期2010年3月19日 优先权日2010年3月19日
发明者路晓明 申请人:中国移动通信集团公司