著录项信息
专利名称 | 终端接入第二系统网络时进行鉴权的装置、系统及方法 |
申请号 | CN200510120681.6 | 申请日期 | 2005-12-13 |
法律状态 | 权利终止 | 申报国家 | 中国 |
公开/公告日 | 2006-12-06 | 公开/公告号 | CN1874598 |
优先权 | 暂无 | 优先权号 | 暂无 |
主分类号 | H04Q7/38 | IPC分类号 | H;0;4;Q;7;/;3;8;;;H;0;4;L;2;9;/;0;6查看分类表>
|
申请人 | 华为技术有限公司 | 申请人地址 | 广东省深圳市龙岗区坂田华为总部办公楼
变更
专利地址、主体等相关变化,请及时变更,防止失效 |
权利人 | 华为技术有限公司 | 当前权利人 | 华为技术有限公司 |
发明人 | 徐杰;刘文宇 |
代理机构 | 暂无 | 代理人 | 暂无 |
摘要
本发明公开了一种终端接入第二系统网络时进行鉴权的装置、系统及方法,其方法包括步骤:多模混合终端通过接入网络向该鉴权代理装置发起基于第一系统网络的注册或业务接入过程;所述鉴权代理装置将用户注册到第一系统网络中,根据需要进行基于第一系统网络的鉴权过程;当基于第一系统网络的鉴权过程通过后,多模混合终端向第二系统网络发起基于第二系统网络的注册流程。本发明的装置、系统及方法由于采用鉴权代理装置实现代替多模混合终端在IP多媒体子系统中的鉴权过程,其实现安全性高,实现简单可靠。
1、一种多模混合终端接入第二系统网络时进行鉴权的装置,其特征在于,所述装置为一鉴权代理装置,用于保存多模混合终端的鉴权算法密钥,以及获取多模混合终端在第一系统网络上的注册信息,并代替终端进行基于对应算法的鉴权运算,接入一第二系统网络,所述鉴权代理装置包括: 一外部信令接口模块,用于与所述第一系统网络和第二系统网络相连; 一第一系统网络注册鉴权模块,用于从外部信令接口模块获取用户注册信息并进行处理; 一第二系统网络注册鉴权模块,用于从外部信令接口模块接收基于第二系统网络的鉴权计算请求,并返回鉴权计算结果响应; 一用户数据关联管理模块,用于关联多模混合终端用户在第一系统网络和第二系统网络中的用户标识及进行鉴权所需的密钥。
2、 根据权利要求l所述的装置,其特征在于,所述鉴权代理装置还将多 模混合终端在第 一 系统网络上进行注册和鉴权。
3、 根据权利要求l所述的装置,其特征在于,所述外部信令接口模块还 包括:一第一系统网,口模块,负责和第一系统网络进行信令互通; 一第二系统网,口模块,用于与所述第二系统网络连接,负责和第二 系统网络进行信令互通。
4、 根据权利要求1至3之一所述的装置,其特征在于,所述第一系统 网络为GSM系统、CDMA系统电路域网络或PSTN电话网络。
5、 根据权利要求1至3之一所述的装置,其特征在于,所述第二系统 网络为WCDMA网络、CDMA系统EVDO网络、WLAN网络、ISDN网络 或IMS网络。
6、 根据权利要求1至3之一所述的装置,其特征在于,所述鉴权算法为AKA、分組网络通用的CHAP/PAP认证或Digest认证。
7、 一种采用根据权利要求l所述鉴权代理装置的系统,其特征在于,其 包括至少一多模混合终端、 一鉴权代理装置、第二系统网络;所述鉴库又代理装置,用于让不具有第二系统网络鉴权算法能力的多模混 合终端通过该第二系统网络的鉴权流程,在第二系统网络接入,所述鉴权代 理装置包括:一外部信令接口模块,用于与所述第一系统网络和第二系统网络相连; 一第 一 系统网络注册鉴权模块,用于从外部信令接口模块获取用户注册 信息并进4于处理;一第二系统网络注册鉴权模块,用于从外部信令接口模块接收基于第二 系统网络的鉴权计算请求,并返回鉴权计算结果响应;一用户数据关联管理模块,用于关联多模混合终端用户在第一系统网络 和第二系统网络中的用户标识及进行鉴权所需的密钥。
8、 根据权利要求7所述的系统,其特征在于,还包括: 一接入代理装置,用于将不具有基于第二系统网络的信令处理能力的多模混合终端接入第二系统网络。
9、 根据权利要求7至8之一所述的系统,其特征在于,所述第一系统 网络为GSM系统、CDMA系统电路域网络或PSTN电话网络。
10、 根据权利要求7至8之一所迷的系统,其特征在于,所迷第二系统 网络为WCDMA网络、CDMA系统EVDO网络、WLAN网络、ISDN网络 或IMS网络。
11、 一种多模混合终端接入第二系统网络时进行鉴权的方法,其包括以 下步骤:A、 所述多模混合终端在第一系统网络进行注册鉴权,通过之后,根据 权利要求l所述的鉴权代理装置获取到用户的注册鉴权结果;B、 所述多模混合终端在第二系统网络注册时,所述鉴权代理装置代理 所述多模混合终端在第二系统网g行基于第二系统网络的鉴权过程。
12、 根据权利要求ll所述的方法,其特征在于,所述鉴权过程包括:B1 、所述第二系统网络向多模混合终端返回要求进行筌权的响应消息, 消息中带有鉴权挑战随机数;B2 、多模混合终端将第二系统网络返回的養权挑战随机数及其他鉴权 相关参数通过第 一信令发送给所迷鉴权代理装置,要求该鉴权代理装置协助 进行基于第二系统网络的鉴权。
13、 根据权利要求12所述的方法,其特征在于,所述養权过程还包括: B3 、所述鉴权代理装置获取鉴权挑战随机数及相关^后代替用户执行第二系统网络要求的鉴权算法,计算出鉴权结果;B4、所述鉴权代理装置将鉴权结果返回给多模混合终端;B5、所述多模混合终端从所述鉴权代理装置得到的鉴权结果填入基于第二系统网络信令的注册消息中,将含有鉴权结果的注册消息发送给第二系统网络;B6、所迷第二系统网络对鉴权结果进行认证通过后返回注册成功响应。
14、 根据权利要求13所述的方法,其特征在于,所述步骤B5还包括按 照第二系统网#求和第二系统网络间建立好安全联盟,通过该安全联盟将 含有鉴权结果的注册消息发送给第二系统网络。
15、 根据权利要求11至14之一所述的方法,其特征在于,所述多模混合 终端可通过其接入代理设备接入第二系统网络。
16、 根据权利要求15所述的方法,其特征在于,所述步骤B2中的所采 用的第一信令是电路域信令中的MAP信令,或,是分组域信令中的会话发 起协议、Diameter、 RADIUS信令。
17、 根据权利要求16所述的方法,其特征在于,所述鉴权代理装置的鉴 权算法为AKA算法,分組网络通用的CHAP/PAP认证或Digest认证。
18、 根据权利要求16所述的方法,其特征在于,所述鉴权代理装置还根 据需要将所述多模混合终端进行基于第一系统网络的注册过程。
19、 根据权利要求11至14之一所迷的方法,其特征在千,所迷第一系 统网络为GSM系统、CDMA系统电路域网络或PSTN电话网络。
20、 根据权利要求11至14之一所述的方法,其特征在于,所述第二系 统网络为WCDMA网络、CDMA系统EVDO网络、WLAN网络、ISDN网 络或IMS网络。
终端接入第二系统网络时进行鉴权的装置、系统及方法\n技术领域\n本发明涉及一种终端接入第二系统网络时进行鉴权的装置、系统及方\n法,尤其涉及的是一种非IMS终端接入IP多媒体子系统IMS (IP Multimedia Subsystem)网络时进行鉴权的装置、系统和方法。\n背景技术\n目前移动通信网络的下一代核心网J^^势AIP多媒体子系统(IMS), 它负责在分组城连接的基础上为基于IP的多媒体业务如VoIP、会议电祝业务 等提供相关控制机制。但是这些控制机制的1^是终端要在接入IMS网络时 首先要能够通过IMS网络的鉴权。\nIMS网络的鉴权算法根据标准定义是采用一种叫做Digest-AKAvl-MD5 (简称AKA)的算法来进行的,而目前很多终端是不支持这种鉴权算法的。 这些终端包括支持SIP信令但是不支持AKA鉴权算法的分組模式终端,也包 括根本连SIP信令都不支持的电路模式终端。\n目前已经有较多技术来解决将这些不支持AKA鉴权算法的终端接入 IMS系统享受IMS业务了 ,比如3GPP标准组织提出的Early IMS方法可以将不 支持AKA算法的SIP终端接AIMS域、TISPAN标准组织提出的AGCF (接入 网关控制器)技术可以将电路模式终端接入IMS域等。但是这些接入代理装 置本身都没有解决终端在IMS域的鉴权问题,需要有另外的方案来完成。\n在3GPP制定的IMS协议标准中,为了只能使用SIM卡的GPRS用户\n能够使用MS网络,定义了一种名叫Early IMS的过程,具体参见3GPP协 议TR33.878。它的实现方案是对用户采用IP地址和IMSI (International Mobile Subscriber Identifier,国际移动用户标识符)号码进行绑定,如图1\n所示:用户接入GPRS网络时,在GGSN(Gateway GPRS Support Node,网 关GPRS支持节点)对用户分配了 IP地址之后,GGSN会通过一个新定义的 Gi接口将IP地址和用户IMSI或MSISDN( Mobile Station International ISDN Number,移动台国际ISDN号码)通知HSS(Home Subscriber Server,归属 用户服务器),由HSS进行保存。然后当用户在IMS域发起注册操作时, S-CSCF (Serving CSCF,服务CSCF; CSCF, Call Session Control Function, 呼叫会话控制功能)会检查用户接入的IP地址和HSS保存的IP地址是否 一致,如果一致则鉴权通过,否则就鉴权失败,用户注册不通过。\n这种简单使用IP地址来进行合法性判断的做法没有执行任何鉴权算法, 只能是一种很初级的安全措施,并非一种真正的"鉴权",而且这种措施很容 易被非法终端通过模拟IP地址的方法来攻破,因此其安全性极低。\n发明内容\n本发明的目的在于提供一种终端接入第二系统网络时进行鉴权的装置、 系统及方法,解决上述现有技术的问题,提供一种代替不能执行第二系统网 络鉴权算法的多模混合终端、保存其算法鉴权密钥并执行对应鉴权算法进行 鉴权运算,从而代替用户进行基于IMS域的鉴权方法,并且该方法安全性高。\n本发明的技术方案包括:\n一种多模混合终端接入第二系统网络时进行鉴权的装置,其中,所迷装 置为一鉴权代理装置,用于保存多模混合终端的鉴权算法密钥,以及获取多 模混合终端在第一系统网络上的注册信息,并代替终端进行基于对应算法的 鉴权运算,接入一第二系统网络。\n所述的装置,其中,所迷鉴权代理装置还包括:\n一外部信令接口模块,用于与所述第一 系统网络和第二系统网络相连; 一第 一 系统网络注册鉴权模块,用于从外部信令接口模块获取用户注册\n信息并进行处理;一第二系统网络注册鲞权模块,用于从外部信令接口模块接收基于第二\n系统网络的鉴权计算请求,并返回鉴权计算结杲响应;\n一用户数据关联管理模块,用于关联多模混合终端用户在第 一 系统网络 和第二系统网络中的用户标识及进行鉴权所需的密钥。\n所述的装置,其中,所述鉴权代理装置还将多模混合终端在第一系统网 络上进行注册和鉴权。\n所述的装置,其中,所迷外部信令接口模块还包括:\n一第一系统网洛接口模块,负责和第一系统网络进行信令互通;\n一第二系统网,口模块,用于与所述第二系统网络连接,负责和第二 系统网络进行信令互通。\n所述的装置,其中,所述第一系统网络为GSM系统、CDMA系统电路 城网络或PSTN电话网络。\n所述的装置,其中,所述第二系统网络为WCDMA网络、CDMA系统 EVDO网络、WLAN网络、ISDN网络或IMS网络。\n所述的装置,其中,所述鉴权算法为AKA、分组网络通用的CHAP/PAP 认证或Digest认证。\n一种采用所述鉴权代理装置的系统,其中,其包括至少 一多模混合终端、 一鉴权代理装置、第二系统网络;\n所述鉴权代理装置,用于让不具有第二系统网络鉴权算法能力的多模混 合终端通过该第二系统网络的鉴权流程,在第二系统网络接入。 所述的系统,其中,还包括:\n一接入代理装置,用于将不具有基于第二系统网络的信令处理能力的多\n模混合终端接入笫二系统网络。\n所述的系统,其中,所迷笫一系统网络为GSM系统、CDMA系统电路 城网络或PSTN电话网络。\n所述的系统,其中,所述第二系统网络为WCDMA网络、CDMA系统 EVDO网络、WLAN网络、ISDN网络或IMS网络。\n一种多模混合终端接入第二系统网络时进行鉴权的方法,其包括以下步\n•\nA、 所述多模混合终端在第一系统网络进行注册鉴权,通过之后,所述 鉴权代理装置获取到用户的注册鉴权结果;\nB、 所迷多模混合终端在第二系统网络注册时,所述鉴权代理装置代理 所述多模混合终端在第二系统网g行基于第二系统网络的鉴权过程。\n所述的方法,其中,所述鉴权过程包括:\nBl、所述第二系统网络向多模混合终端返回要求进行鉴权的响应消息, 消息中带有鉴权挑战随Wt;\nB2、多模混合终端将第二系统网络返回的鉴权挑战随机数及其他鉴权 相关Wt通过第 一信令发送给所迷鉴权代理装置,要求该鉴权代理装置协助\n进行基于第二系统网络的鉴权。\n所述的方法,其中,所迷鉴权过程还包括:\nB3、所述鉴权代理装置获取鉴权挑战随机数^目关*后代替用户执 行第二系统网络要求的鉴权算法,计算出鉴权结果;\nB4、所述鉴权代理装置将鉴权结果返回给多模混合终端; B5、所述多模混合终端从所述鉴权代理装置得到的鉴权结果填入基于 第二系统网络信令的注册消息中,将含有鉴权结果的注册消息发送给第二系\n统网络;\nB6、所述第二系统网络对鉴权结果进行认证通过后返回注册成功响应。 所述的方法,其中,所述步骤B5还包括按照第二系统网络要求和第二\n系统网络间建立好安全联盟,通过该安全联盟将含有鉴权结果的注册消息发 送给第二系统网络。\n所述的方法,其中,所述多模混合终端可通过皿入代理设备进行鉴权 过程。\n所迷的方法,其中,所述步骤B2中的所采用的第一信令是电路域信令 中的MAP信令,或,是分组域信令中的4^发起协议、Diameter、 RADIUS 信令。\n所述的方法,其中,所述鉴权代理装置的筌权算法为AKA算法,分组 网络通用的CHAP/PAH人证或Digesti人证。\n所述的方法,其中,所述鉴权代理装置还根据需要将所述多模混合终端 进行基于第 一 系统网络的注册过程。\n所述的方法,其中,所迷第一系统网络为GSM系统、CDMA系统电路 域网络或PSTN电话网络。\n所述的方法,其中,所述第二系统网络为WCDMA网络、CDMA系统 EVDO网络、WLAN网络、ISDN网络或MS网络。\n本发明所提供的一种多模混合终端接入鉴权的装置、系统及方法,由于 采用鉴权代理装置实现代替多模混合终端在第二系统网络中的鉴权过程,其 实现安全性高,实现简单可靠。\n附困说明\n图1为现有技术的多模混合终端接入网络时的鉴权流程示意图;\n图2为本发明的鉴权代理装置的结构示意图;\n图3为本发明的多才莫混合终端接入鉴权的流程示意图;\n图4为本发明方法的较佳实施例中的多模混合终端接入IP多媒体子系统\n网络的筌权流程示意图;\n图5为本发明的IP多媒体子系统的结构示例的示意图;\n图6为本发明的IP多J^体子系统的结构另一示例的示意图。 具体实施方式\n以下结合附图,将对本发明的各较佳实施例进行较为详细的说明。\n本发明的多模混合终端接入时进行鉴权的装置是在第二系统网络中新 增一个功能实体"鉴权代理装置",该鉴权代理装置如图2所示的包括:外部 信令接口模块,用于与所迷第一系统网络相连,该外部信令接口模块包括: 一第一系统网,口模块,通过接口a和笫一系统网络相连,负责和第一系 统网络进行信令互通; 一个是笫二系统网络接口模块,如IMS网络接口模块, 通过接口b和第二系统网络,如IMS网络,负责和IMS网络进行信令互通;一 个是第 一 系统网络注册鉴权模块,从第 一 系统网洛接口模块那里获取用户注 册信息并进行处理,可以对多模混合终端进行基于第 一 系统网络方式的注册 或鉴权; 一个是笫二系统网络注册鉴权模块,如IMS网络注册鉴权模块,从 第二系统网洛接口模块或第一系统网洛接口模块那里获取用户注册信息并 进行处理,代替多模混合终端用户进行基于IMS域的注册鉴权; 一个是用户 数据关联管理模块,将多模混合终端用户在第 一系统网络和第二系统网络中 的用户标识进^f亍关联和管理。\n须注意的是,本发明所述的多模混合终端是指一种能接入多个系统网络 的终端,其在涵义上可以包括各种传统终端。\n本发明所述第一系统网络可以为GSM系统、CDMA系统电路域网络或 PSTN电话网络等传统网络;所述第二系统网络可以为WCDMA网络、 CDMA系统EVDO网络、WLAN网络、ISDN网络或IMS网络等。所述多 模混合终端是指可以分别或同时接入上述两个系统的终端。所述鉴权算法根 据第二系统的不同除AKA算法之外,还有分组网络通用的CHAP/PAP认证 (即用户名+密码方式),Digest认证等算法。\n在本发明的下述描迷实施例中,其第一系统网络是CDMA2000 lx电路\n域网络,或称为传统网络,第二系统网络是IMS网络,因此,以下描述中 可能直接使用传统网络或IMS网络来说明本发明的具体实施例。\n所迷关联和管理的过程可以包括:建立一个用户关联数据库,将用户在 传统网络中的IMSI或MDN号码与在IMS网络中的公共标识Public Identity或 私有标识Private Identity进行一一对应。当使用某个IMSI号码的用户在传统 网络注册鉴权成功后(在传统网络进行鉴权不是必须的),鉴权代理装置即 准备为其对应的Private Identity标识在IMS网络进行鉴权代理。\n该鉴权代理才莫块负责如下功能:用户接入传统网络时,对用户进行基于 传统网络的鉴权;用户接/OMS网络,IMS网^^求对用户进行鉴权时,代 替用户进行鉴权运算并返回鉴权结果。\n本发明所述采用所迷鉴权代理装置的系统,如图5和图6所示的,其中, 其包括至少一多模混合终端、 一鉴权代理装置、IP多^t体子系统网络;所述\n-,让\n不具有IP多媒体子系统网络鉴权算法能力的多模混合终端通过IP多媒体子 系统网络的鉴权流程,在IP多媒体子系统网^^入。如果该多模混合终端不 具有会话发起协议信令能力,则设置一接入代理装置,由所述鉴权代理装置 和该接入代理装置代理接入IP多媒体子系统网络,如图6所示。\n本发明多模混合终端接入时进行鉴权的方法的鉴权流程如图3所示,包 括如下几个步骤:\n1. 多模混合终端通过接入网络向该鉴权代理装置发起基于传统网络 的注册或业务接入过程;\n2. 所述鉴权代理装置将用户注册到传统网络中,在这个过程中,有可 能会需要进行基于传统网络的鉴权过程;\n3. 当基于传统网络的鉴权过程通过之后,多模混合终端自身或者通过 其接入代理设备向IMS网络发起基于IMS域的注册流程。IMS网络向多模混 合终端或其接入代理返回要求进行鉴权的响应消息,消息中带有鉴权挑战随 机数。\n4. 多模混合终端或其接入代理将IMS网络返回的鉴权挑战随机数及 其他鉴权相关参数发送给茶权代理装置,要求鉴权代理装置协助进行基于\nIMS网络的鉴权,这一步所采用的第一信令可以是电路域信令如MAP信令, 也可以是分组域信令如SIP、 Diameter、 RADIUS信令等。\n5. 所述鉴权代理装置获取鉴权挑战随机数等相关参#代替用户执 行IMS要求的AKA鉴权算法,计算出答权结果。\n6. 所述鉴权代理装置将鉴权结果返回给多模混合终端或其接入代理,\n7. 多模混合终端或其接入代理将从鉴权代理装置得到的鉴权结果填 入SIP注册消息中,并且按照IMS网络要求和IMS网络间建立好安全联盟SA (Security Association),然后通过安全联盟将含有鉴权结果的注册消息发送给 IMS网络。IMS网络对鉴权结果进行认证通过后返回注册成功响应。\n以下将对本发明系统和方法的具体实施例进行详细说明,该实施例以 CDMA移动通信系统为例进行说明,传统的CDMA2000 1X电路域终端不支 持SIP信令,本发明系统由接入代理装置代理接入IMS网络。接入代理装置 放置在归属域,位置和HLR(Home Location Register,归属位置寄存器)一起。\n如图4所示的,本发明方法的具体步骤为:\n1. 多模混合终端通过接入网络向鉴权代理装置发起基于传统网络的鉴 权流程;\n2. 所述鉴权代理装置通过多模混合终端用户的鉴权;\n3. 所述多模混合终端通过接入网络向接入代理装置进行基于传统网络 的注册^#呈;\n4. 所述接入代理装置代替用户向IMS网络发起基于SIP信令的注册;\n5. 所述MS网络给接入代理装置返回401 Unauthorized响应,响应中带有 要求鉴权的随;Mt;\n6. 接入代理装置收到401响应之后,通过一个MAP倌令流程"基站查询\n请求"来将鉴权挑战随机数发送给鉴权代理装置,该请求消息需要经过扩展\n以支持IMS网络的随机数;7.\n进行鉴权运算得到鉴权结杲,在基站查询响应消息中带给接入代理装置;\n8. 接入代理装置重新发起到IMS网络的注册消息,并JLfc^权代理装置 计算出的鉴权结果^:填入注册消息中;\n9. 所述IMS网络返回200OK响应表示注册成功;\n10. 接入代理装置向多模混合终端返回位置更新成功。 本发明所述的鉴权代理装置能够M终端的AKA鉴权算法密钥,并代\n替终端进行基于AKA算法的鉴权运算;将多模混合终端在传统网络进行注 册;以及将多模混合终端在传统网络进行鉴权的能力。\n本发明所迷的鉴权系统,其包括所述鉴权代理装置,能够让不具有IMS 网络AKA鉴权算法能力的多模混合终端通过IMS网络的鉴权流程,在IMS网 络接入,还包括多模混合终端、鉴权代理、IMS网络。该系统还包括一接入 代理装置,帮助不具有SIP信令能力的多模混合终端接入MS网络。\n本发明的鉴权方法,能够让不具有IMS网络AKA鉴权算法能力的多模混 合终端通itIMS网络的鉴权流程,在IMS网洛接入,而且其接入安全性高。\n应当理解的是,上述针对具体实施例的描述较为详细,并不能因此而理 解为对本发明专利保护范围的限制,本发明的专利保护范围应以所附权利要 求为准。
法律信息
- 2014-02-12
未缴年费专利权终止
IPC(主分类): H04Q 7/38
专利号: ZL 200510120681.6
申请日: 2005.12.13
授权公告日: 2009.02.04
- 2009-02-04
- 2007-01-31
- 2006-12-06
引用专利(该专利引用了哪些专利)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 |
1
| |
2003-12-31
|
2002-06-12
| | |
2
| |
2004-03-03
|
2002-08-31
| | |
被引用专利(该专利被哪些专利引用)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 | 该专利没有被任何外部专利所引用! |