一种语音无线局域网双重鉴权的实现方法和系统与流程

1.本发明属于移动通信的接入鉴权领域，具体涉及一种鉴权的实现方法和系统。


背景技术：

2.在移动通信领域，vowifi(基于语音的无线局域网技术)的应用已有多年，3gpp对于wi-fi calling(网通)的定义逐渐发展并完善，目前标准中定义的方案共有5种，其中，非可信接入epdg(epc)/ims方案已具备规模商用的能力，是目前主流的运营商考虑方案。
3.本领域存在的技术问题：此方案下的现有vowifi用户接入流程中，没有对于用户身份和接入wifi进行认证鉴权的流程，无法保证用户身份和接入设备的可靠性。


技术实现要素：

4.本发明提供一种语音无线局域网双重鉴权的实现方法和系统，旨在解决上述问题。
5.一种语音无线局域网的双重鉴权方法，其特征在于，包括：
6.s1：一3gppaaa平台向一订户服务器请求一aka的鉴权，为一用户进行所述用户的语音无线局域网业务的鉴权，判断所述用户的语音无线局域网业务鉴权成功后，执行步骤s2；
7.s2：所述3gppaaa平台向一演进型分组数据网关请求鉴权，为一家庭网关进行所述家庭网关的语音无线局域网业务的鉴权。
8.优选地，步骤s1包括：
9.s11：所述3gppaaa平台向所述订户服务器请求所述aka的签约参数，所述订户服务器根据所述用户的签约信息，判断所述aka的签约参数是否存在一wlan字段，若是，则所述用户的语音无线局域网业务认证成功，然后执行s12，若否，则所述用户的语音无线局域网业务认证失败；
10.s12：所述3gppaaa平台回发一基于diameter协议的用户可扩展身份验证应答信息报文，然后发送所述用户的签约数据。
11.优选地，步骤s11中，所述签约参数包含不允许的技术类型，对应一限制性无线接入型参数，若所述用户签约了所述语音无线局域网业务，则所述限制性无线接入型参数包含所述wlan字段，若所述用户未签约所述语音无线局域网业务，则修改后的限制性无线接入型参数不包含所述wlan字段。
12.优选地，步骤s2中，所述3gppaaa平台通过所述演进型分组数据网关提取所述用户接入的家庭网关的出口ip地址和端口号，传递给一固网aaa平台或一溯源平台并进行交互，得到一位置信息编码，所述家庭网关的语音无线局域网业务的鉴权成功。
13.优选地，步骤s2中，所述固网aaa平台或所述溯源平台通过一用户信息库判断是否查询到和所述用户的宽带编号对应的位置信息编码。
14.优选地，步骤s2中，若是，则判断所述演进型分组数据网关开通了所述语音无线局
域网业务，鉴权成功，若否，则判断所述演进型分组数据网关未开通所述语音无线局域网业务，鉴权失败。
15.优选地，步骤s2中，所述位置信息编码包括一行政区号、一国家码、一本地网区号的至少一种。
16.进一步地，步骤s2包括：
17.s21：所述演进型分组数据网关与所述固网aaa平台进行交互，获取所述用户当前的演进型分组数据网关出口的ip地址和ip端口的信息，并将所述信息送至所述固网aaa平台；
18.s22：所述固网aaa平台通过一在线地址库内的用户在线信息进行溯源，根据所述演进型分组数据网关出口的ip地址和端口查询所述用户的宽带编号。
19.进一步地，一种语音无线局域网的双重鉴权系统，用于所述的一种语音无线局域网的双重鉴权方法，其特征在于，包括：
20.所述订户服务器(1)，用于根据所述用户的签约信息，对所述aka的签约参数进行判断；
21.所述3gppaaa平台(2)，连接所述订户服务器(1)，用于回发所述基于diameter协议的用户可扩展身份验证应答信息报文，并发送所述用户的签约数据；
22.所述演进型分组数据网关(3)，连接所述订户服务器(2)，用于获取所述用户当前的演进型分组数据网关出口的ip地址和ip端口的信息。
23.进一步地，所述的系统还包括：
24.所述固网aaa平台(4)，连接所述演进型分组数据网关(3)，用于通过所述在线地址库内的用户在线信息进行溯源，并根据所述演进型分组数据网关(3)出口的ip地址和端口查询所述用户的宽带编号，然后判断查询到的宽带编号是否存在对应的位置信息编码。
25.有益效果：本发明创新性地提出了首个vowifi双重鉴权的方案，显著改善了用户办理vowifi业务在家庭wifi场景下的安全性和可管控性。
附图说明
26.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显然，以下描述中的附图仅为本发明的一些实施例，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可根据这些附图示出的结构获得其他的附图。
27.图1为本发明提供的一种高可靠双重鉴权的实现方法的总体流程示意图；
28.图2为本发明提供的一种双重鉴权的实现方法中，步骤s1的流程示意图；
29.图3为本发明提供的一种双重鉴权的实现方法中，步骤s2的流程示意图；
30.图4为本发明提供的一种用于上述双重鉴权的实现方法的系统的总体框架示意图。
具体实施方式
31.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于
本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
32.需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。
33.下面结合附图和具体实施例对本发明作进一步说明，但不作为本发明的限定。
34.如图1～图3所示，作为优选，在本实施例中，本发明提出了一种语音无线局域网双重鉴权的实现方法和系统，运用于一种适用于家庭情景中，用户居家使用移动设备入网的实施例，其中，上述的方法包括：
35.s1：一3gppaaa系统向一归属签约用户服务器请求一aka的鉴权，为一用户进行一vowifi(基于语音的无线局域网，下同)的业务鉴权，判断用户的vowifi业务鉴权是否成功，然后执行步骤s2；
36.s2：业务鉴权成功后，3gppaaa系统向一演进型分组数据网关请求鉴权，为一家庭网关进行家庭网关的vowifi业务鉴权。
37.具体地，上述步骤s1中，3gpp为第三代伙伴计划协议(3rd generation partnership project/protocol)，其目标是实现由2g网络到3g网络的平滑过渡，保证未来技术的后向兼容性，支持轻松建网及系统间的漫游和兼容性。其职能：3gpp主要是制订以gsm核心网为基础，utra(fdd为w-cdma技术，tdd为td-scdma技术)为无线接口的第三代技术的规范。
38.所以，3gpp ts，也即3gpp技术文档，技术报告tr或者技术规范ts。规范号码后面是版本vx.y.z，其中x表示release，y表示技术版本，z表示修订版本。每个release都有一个冻结日期，一般3gpp协议在冻结以后就不再修改，一般冻结日期为1年。
39.具体地，上述步骤s1中，首先明确，在《中国电信ims网络sip协议总体技术要求》里对这三种方式的适用范围描述如下：sip digest鉴权适用于无isim卡的移动和固定终端；aka鉴权适用于具有isim卡的移动和固定终端；cave-basedaka鉴权适用于具有r-uim卡的移动终端。
40.这里，aka也即aka机制，是由ietf(互联网工程任务组，internet engineering task force)制定、并被3gpp采用，广泛用于3g无线网络的鉴权机制。ims(ip multi-media subsystem，ip多媒体子系统技术)的鉴权机制沿用了这种机制的原理和核心算法，故称之为ims-aka机制。ims aka机制是对http(hypertext transferprotocol，超文本传输协议)摘要认证机制的扩展，主要用于用户认证和会话密钥的分发，它的实现基于一个长期共享密钥(key)和一个序列号(sqn)，它们仅在hss(home subscriber server，归属签约用户服务器，下同)与ue(user equipment，用户设备，下同)中可见，由于hss不与ue直接通信，而是由s-cscf执行认证此过程，因此它们不会将真实的key暴露给外界。
41.进一步地，在本实施例中，所说的用户设备ue作为本领域的一个重要概念，包括用户持有的手机(移动电话)、智能终端、多媒体设备、流媒体设备的至少一种。
42.作为优选，步骤s1包括：
43.s11：3gppaaa平台向订户服务器请求aka的签约参数，订户服务器根据用户的签约信息，对该aka的签约参数进行判断，若字段不包含wlan，则用户的vowifi业务认证成功，执行s14，若字段包含wlan，则用户的vowifi业务认证失败；
44.s12：3gppaaa系统回发一基于diameter协议的用户可扩展身份验证应答信息(diametereapanswer)报文，然后发送用户的签约数据。
45.作为优选，步骤s11中，依据电信3gpp ts 23.008和29.273的相关定义，使用non-3gpp-user-data.rat-type作为无线局域网的签约参数。
46.作为优选，步骤s11中，签约参数包含不允许的技术类型，对应3gpp ts23.008定义的限制性无线接入型参数，若用户签约了vowifi业务，restricted rattypes(限制性无线接入型)参数包含wlan字段，若用户未签约vowifi业务，改参数不包含wlan字段。
47.作为优选，上述步骤s12中，所说的eap(extensible authentication protocol)是指可扩展身份验证协议，是一系列验证方式的集合，设计理念是满足任何链路层的身份验证需求，支持多种链路层认证方式。eap协议是ieee 802.1x认证机制的核心，它将实现细节交由附属的eap method协议完成，如何选取eap method由认证系统特征决定。这样实现了eap的扩展性及灵活性，eap可以提供不同的方法分别实现支持ppp(point to point protocol，点对点协议)、以太网、无线局域网的链路验证。
48.作为优选，上述步骤s2中，上述的3gppaaa系统通过演进型分组数据网关提取用户接入的家庭网关的出口ip地址和端口号，传递给一固网aaa系统或一溯源系统并进行交互，得到一位置信息编码，鉴权成功。
49.作为优选，步骤s2中，固网aaa平台或溯源系统通过一用户信息库判断是否查询到一宽带编号对应的位置信息编码。
50.作为优选，步骤s2中，位置信息编码包括一行政区号、一国家码、一本地网区号至少一种。
51.进一步地，步骤s2中，若是，则判断网关开通了vowifi业务，鉴权成功，若否，则判断网关未开通vowifi业务，鉴权失败。
52.进一步地，步骤s2中，具体包括：
53.s21：演进型分组数据的网关与一固网aaa平台进行交互，获取用户当前的网关出口ip地址和ip端口的信息，并将信息送至固网aaa平台；
54.s22：固网aaa平台通过一在线地址库内的用户在线信息进行溯源，根据用户的网关出口的ip地址和ip端口查询用户的宽带编号。
55.如图4所示，作为优选，一种语音无线局域网的双重鉴权系统，应用于上述的一种语音无线局域网的双重鉴权方法，包括：
56.一订户服务器1，用于根据用户的签约信息，对aka的签约参数进行判断；
57.一3gppaaa平台2，连接一订户服务器1，用于回发基于diameter协议的用户可扩展身份验证应答信息报文，并发送用户的签约数据；
58.一演进型分组数据网关3，连接订户服务器2，用于获取用户当前的演进型分组数据网关出口的ip地址和ip端口的信息；
59.一固网aaa系统4，连接演进型分组数据网关3，用于通过在线地址库内的用户在线信息进行溯源，并根据演进型分组数据网关出口的ip地址和端口查询用户的宽带编号，然后判断查询到的宽带编号是否存在对应的位置信息编码。
60.进一步地，上述的订户服务器在本应用领域中对应上述的归属签约用户服务器hss，是eps中用于存储用户签约信息的服务器，在本系统主要负责分配、管理用户的签约数
据及移动用户的位置信息。
61.进一步地，作为优选，在不同的实施例中，上述的固网aaa系统4也可用一种溯源系统代替实现其在本系统中应有的功能。
62.进一步地，在一实施例中，一用户设备5(ue)和上述的epdg网关(协议转换器)连接，用于和上述的演进型分组数据网关(epdg)3进行ikev2协议(internet key exchange version 2，互联网密钥交换第2版协议)的交互。在本领域所属的实施例中，ikev2作为一种代理ip加密协议，负责保护移动电信用户在使用在线设备时所消耗的互联网流量，其在称为ipsec(internet protocol security，互联网安全协议)的身份验证套件中处理sa(安全关联)属性。代理ip将此获胜组合称为ikev2协议/ipsec协议或ikev2协议的代理ip。在这种组合中，ikev2是生成加密密钥的机制，可确保其他用户的设备和用户本人所连接的代理ip服务器之间的数据流安全，也即进一步实现了用户在线的鉴权机制和安全性。
63.综上，显然，本发明和本领域中以往技术的优势和有益效果在于：
64.1、本发明创新性地提出了首个vowifi双重鉴权的方案。
65.2、本发明通过上述的一种双重鉴权系统，简单地实现了用户本人及其家庭网关进行高精度vowifi业务鉴权的需求。
66.3、本发明通过上述的一种双重鉴权系统，有效规避了假冒ap(连接协议)带来的vowifi业务潜在的安全风险，对打击电信诈骗等网信安全问题产生了积极作用，提升了vowifi业务的整体安全性，杜绝因接入可疑的wifi产生的安全隐患。
67.以上仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对于本领域技术人员而言，应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。