專利名稱:軟件終端接入ip多媒體子系統(tǒng)的裝置及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種軟件終端接入IP多媒體子系統(tǒng)的裝置及方法,特別是一種將不支持通用用戶識別模塊及IP多媒體服務(wù)身份模塊應(yīng)用的軟件終端通過模擬IP多媒體服務(wù)身份模塊應(yīng)用的數(shù)據(jù)��,完成IP多媒體子系統(tǒng)域認(rèn)證��,使該軟件終端接入IP多媒體子系統(tǒng)的裝置及方法��。
背景技術(shù):
IP多媒體子系統(tǒng)(IP Multimedia Subsystem��,簡稱IMS)是第三代伙伴組織計劃(Third Generation Partnership Projects����,簡稱3GPP)在Release5版本標(biāo)準(zhǔn)中提出的支持IP多媒體業(yè)務(wù)的子系統(tǒng)。IMS基本出發(fā)點是將蜂窩移動通信網(wǎng)技術(shù)和Internet技術(shù)有機結(jié)合���,建立一個基于分組網(wǎng)絡(luò)向用戶提供固定和移動語音���、視頻、數(shù)據(jù)和多媒體業(yè)務(wù)的�,與接入網(wǎng)絡(luò)無關(guān)的統(tǒng)一業(yè)務(wù)平臺。IMS最大限度的重用了Internet技術(shù)和協(xié)議����,繼承了蜂窩移動通信系統(tǒng)特有的網(wǎng)絡(luò)技術(shù)�,并充分借鑒軟交換網(wǎng)絡(luò)技術(shù)��,采用開放式業(yè)務(wù)提供結(jié)構(gòu)��,為移動通信構(gòu)建了提供IP多媒體業(yè)務(wù)的統(tǒng)一的體系架構(gòu)和基礎(chǔ)設(shè)施����。
作為下一代移動網(wǎng)、固定網(wǎng)和Internet融合的基礎(chǔ)�,IMS的一大特點是接入無關(guān)性。IMS將支持2G�����、3G�����、WLAN��、LAN����、寬帶xDSL等多種接入方式。IMS認(rèn)證獨立于分組交換(Packet Switched��,簡稱PS)域的認(rèn)證���,用戶使用IMS業(yè)務(wù)時�����,終端需要先進(jìn)行PS域的認(rèn)證���,再進(jìn)行IMS域的認(rèn)證,兩次認(rèn)證均采用3GPP定義的認(rèn)證和密鑰協(xié)商(Authentication and key agreement�,簡稱AKA)認(rèn)證機制。在3G接入方式下����,移動終端需要使用集成了IP多媒體服務(wù)身份模塊(IP Multimedia Services Identity Module,簡稱ISIM)應(yīng)用的通用集成電路卡(Universal Integrated Circuit Card��,簡稱UICC)����,為認(rèn)證過程提供基本數(shù)據(jù),以及按照各種算法計算各種參數(shù)的值。
AKA是3GPP定義的認(rèn)證機制�,基于存儲在終端USIM/ISIM應(yīng)用和網(wǎng)絡(luò)例的共享密鑰,通過挑戰(zhàn)/響應(yīng)的流程完成用戶和網(wǎng)絡(luò)的雙向認(rèn)證���。AKA本身用于移動終端到網(wǎng)絡(luò)PS域的接入認(rèn)證�,在3GPP R5引入了IMS域后�����,亦采用AKA認(rèn)證技術(shù)���。
移動終端接入IMS的第一次認(rèn)證執(zhí)行以下過程當(dāng)移動終端接入GPRS網(wǎng)絡(luò)時���,會發(fā)送附著請求到服務(wù)GPRS支持節(jié)點(Serving GPRS Supporting Node,簡稱SGSN)��,從而觸發(fā)GRPS認(rèn)證��。移動終端和SGSN之間采用GPRS移動性管理協(xié)議(GPRS Mobility Management����,簡稱GMM)��,SGSN和歸屬用戶服務(wù)器/鑒權(quán)中心(Home SubscriberServer/authentication centre,簡稱HSS/AuC)之間采用7號信令系統(tǒng)(Signalling System No.7��,簡稱SS7)的移動應(yīng)用部分(Mobile ApplicationPart����,簡稱MAP)。
在第一次認(rèn)證中�����,用戶的認(rèn)證請求攜帶國際移動用戶標(biāo)識符(international mobile subscriber identity����,簡稱IMSI)作為參數(shù),IMSI來源于終端SIM的SIM/USIM應(yīng)用���。(USIM和ISIM可以共存于一張UICC卡中����。通用用戶識別模塊(Universal Subscriber Identity Module����,簡稱USIM)應(yīng)用用于接入GPRS的認(rèn)證,而ISIM用于接入IMS的認(rèn)證��。)完成GPRS認(rèn)證后,將完成后續(xù)GPRS注冊過程�����,移動終端將進(jìn)行分組數(shù)據(jù)協(xié)議(Packet Data Protocol���,簡稱PDP)上下文激活從而接入到GPRS網(wǎng)絡(luò)�。PDP上下文指定了用于GPRS通信會話的應(yīng)用層分組數(shù)據(jù)協(xié)議和路由信息�����。
移動終端接入IMS的第二次認(rèn)證執(zhí)行以下過程移動終端要使用IMS業(yè)務(wù)����,需要在向CSCF發(fā)送注冊請求時進(jìn)行第二次認(rèn)證。移動終端和呼叫會話控制功能(Call Server Control Function����,簡稱CSCF)之間采用起始會話協(xié)議(Session Initiated Protocol,簡稱SIP)傳送信令�����,CSCF和HSS/AuC之間采用Diameter協(xié)議����。
在第二次認(rèn)證中,用戶認(rèn)證請求攜帶的是私有用戶身份作為參數(shù)��,來源于ISIM應(yīng)用�。
從已有規(guī)范可以看出,要接入IMS域�,使用IMS業(yè)務(wù),移動終端至少需要支持USIM應(yīng)用���,而ISIM應(yīng)用并非必要���,因為私有用戶身份和公共用戶身份可以由IMSI按照一定機制導(dǎo)出(3GPP TS23.003),而認(rèn)證所需的密鑰K和算法也可以完全和接入GPRS網(wǎng)絡(luò)時的認(rèn)證一致��;另一種方法是在注冊到IMS前用戶手動設(shè)置各種參數(shù)�,包括私有用戶身份、公共用戶身份�、P-CSCF地址。這種方法雖然也能完成AKA認(rèn)證����,但由于用戶可以自己設(shè)置一些重要參數(shù),比如從同一終端用不同私有用戶身份完成到IMS的認(rèn)證��,因此安全性較差,不利于運營商部署��。這種方法在移動終端和軟件終端同時適用�。
支持多種接入方式是IMS的一大特點,其意義在于能為各種終端提供豐富多樣的業(yè)務(wù)�����。例如進(jìn)行PC到PC或PC到手機的普通呼叫����、即時消息、多媒體會議等����。軟件終端通過該認(rèn)證方式,實現(xiàn)了通過Internet接入到IMS體驗豐富多彩的業(yè)務(wù)���,從而解決了運營商在無接入網(wǎng)資源下��,用戶同樣能夠使用業(yè)務(wù)的問題��。軟件終端和支持USIM/ISIM應(yīng)用的終端最大的不同在于前者可使用其它任何類型的接入網(wǎng)資源����,包括xDSL、LAN���、WiFi、HFC等�����,利用第二次認(rèn)證����,終端通過IP網(wǎng)絡(luò)直接發(fā)送請求到CSCF,進(jìn)行接入IMS域的認(rèn)證�����。但是���,現(xiàn)有技術(shù)中�����,當(dāng)某種終端不支持USIM應(yīng)用時�,例如PC���,運行在其上的軟件客戶端(軟件終端)��,由于3GPP的規(guī)范中沒有定義該軟件終端接入IMS的方式��,此時���,終端就不能接入IMS中�。而如果采用HTTP Digest認(rèn)證的方式����,對于軟件終端用戶來說,需要手動輸入用戶名和密碼�����,安全性較低���。
發(fā)明內(nèi)容
本發(fā)明的第一目的在于針對上述現(xiàn)有技術(shù)中��,不支持USIM應(yīng)用的終端就不能接入IMS或需要通過安全性較低的手動輸入方式接入IMS的現(xiàn)狀���,提供一種軟件終端接入IMS的裝置,使得不支持USIM及ISIM應(yīng)用的軟件終端能夠通過模擬ISIM應(yīng)用的數(shù)據(jù),完成IP多媒體子系統(tǒng)域認(rèn)證��,從而能夠接入IMS��。
本發(fā)明的第二目的在于針對上述現(xiàn)有技術(shù)存在的不足����,提供一種接入IMS的方法,使得不支持USIM及ISIM應(yīng)用的軟件終端能夠完成AKA認(rèn)證����,并且無需用戶手動設(shè)置參數(shù)就能接入IMS����。
為實現(xiàn)上述第一目的,本發(fā)明提供了一種軟件終端接入IP多媒體子系統(tǒng)的裝置�,其中包括一認(rèn)證數(shù)據(jù)加載讀取模塊,用于讀取認(rèn)證數(shù)據(jù)�����;一數(shù)據(jù)輸入模塊�,用于提供從接收到的數(shù)據(jù)中得到的認(rèn)證相關(guān)參數(shù);一輔助數(shù)據(jù)提供模塊��,用于提供非認(rèn)證相關(guān)數(shù)據(jù)����;一非實時數(shù)據(jù)解析模塊�,與認(rèn)證數(shù)據(jù)加載讀取模塊相連���,用于解析認(rèn)證數(shù)據(jù)中的非實時數(shù)據(jù)����;一實時數(shù)據(jù)解析模塊��,與認(rèn)證數(shù)據(jù)加載讀取模塊相連����,用于解析認(rèn)證數(shù)據(jù)中的實時數(shù)據(jù);一數(shù)據(jù)校驗?zāi)K�,與非實時數(shù)據(jù)解析模塊、實時數(shù)據(jù)解析模塊及輔助數(shù)據(jù)提供模塊相連����,根據(jù)校驗規(guī)則對已解析的數(shù)據(jù)進(jìn)行校驗;一參數(shù)計算模塊��,與數(shù)據(jù)校驗?zāi)K及數(shù)據(jù)輸入模塊相連�����,用于計算認(rèn)證所需參數(shù),并完成參數(shù)比較��,得出軟件終端對網(wǎng)絡(luò)的單向認(rèn)證結(jié)果�,生成狀態(tài)報告、完整性密鑰及加密密鑰��;一數(shù)據(jù)輸出模塊�����,與數(shù)據(jù)校驗?zāi)K及參數(shù)計算模塊相連�����,用于將認(rèn)證參數(shù)����、狀態(tài)報告及解析后的非實時數(shù)據(jù)輸出��;一數(shù)據(jù)存儲模塊���,與數(shù)據(jù)輸出模塊相連�,用于存儲完整性密鑰及加密密鑰。
本裝置使得不支持USIM及ISIM應(yīng)用的軟件終端能夠接入IMS����,將軟件功能模塊化,減少功能模塊之間的關(guān)聯(lián)性�����,模塊之間的邏輯結(jié)構(gòu)相對獨立�,使軟件開發(fā)易于分工實現(xiàn),便于模塊的擴展���。
將數(shù)據(jù)的解析分為非實時解析與實時解析���,使IMPI、IMPU�����、Domain�、P-CSCF-Address四個數(shù)據(jù)能在AuDS文件加載后即可得到,并輸出到用戶界面���;而對用戶不可見的參數(shù)K和SQN�����,為降低安全風(fēng)險����,減少在內(nèi)存中的停留時間,只在需要計算其他參數(shù)時進(jìn)行解析并校驗得到��。
為實現(xiàn)上述第二目的�����,本發(fā)明提供了一種軟件終端接入IP多媒體子系統(tǒng)的方法�,其中軟件終端與其歸屬網(wǎng)絡(luò)的歸屬用戶服務(wù)器/鑒權(quán)中心共享一個密鑰,該方法包括以下步驟步驟1�、軟件終端調(diào)用認(rèn)證數(shù)據(jù)加載讀取模塊,讀取認(rèn)證數(shù)據(jù)集中的數(shù)據(jù)��;步驟2����、軟件終端調(diào)用非實時數(shù)據(jù)解析模塊����,解析出非實時數(shù)據(jù)�;步驟3��、軟件終端調(diào)用數(shù)據(jù)校驗?zāi)K及輔助數(shù)據(jù)提供模塊���,接收非認(rèn)證相關(guān)數(shù)據(jù)��,并對已解析的非實時數(shù)據(jù)進(jìn)行校驗����;步驟4�����、調(diào)用數(shù)據(jù)輸出模塊����,將校驗后的非實時數(shù)據(jù)輸出到底層軟件模塊進(jìn)行消息封裝,并輸出到用戶界面進(jìn)行顯示��;步驟5����、軟件終端向服務(wù)-呼叫服務(wù)器控制功能發(fā)起注冊請求;步驟6�、服務(wù)-呼叫會話控制功能向歸屬用戶服務(wù)器/鑒權(quán)中心請求認(rèn)證向量��;步驟7�����、歸屬用戶服務(wù)器/鑒權(quán)中心基于密鑰及一個序列號生成一組認(rèn)證向量����,并將該組認(rèn)證向量返回給服務(wù)-呼叫會話控制功能�;步驟8、服務(wù)-呼叫會話控制功能保存該組認(rèn)證向量����,并選定其中的一個認(rèn)證向量,將其返回給軟件終端�;步驟9、軟件終端調(diào)用數(shù)據(jù)輸入模塊����,得到認(rèn)證相關(guān)參數(shù);步驟10�、軟件終端調(diào)用實時數(shù)據(jù)解析模塊及數(shù)據(jù)校驗?zāi)K��,解析出實時數(shù)據(jù)并對其校驗�����;步驟11、軟件終端使用共享密鑰和序列號完成對網(wǎng)絡(luò)的認(rèn)證��,并生成一個認(rèn)證響應(yīng)����,將其發(fā)送給服務(wù)-呼叫會話控制功能;步驟12�、服務(wù)-呼叫會話控制功能驗證認(rèn)證響應(yīng),完成對軟件終端的認(rèn)證�����。
該方法使得不支持USIM及ISIM應(yīng)用的軟件終端能夠接入IMS��,并且無需用戶手動設(shè)置參數(shù)�,安全性較高,利于運營商部署����。
下面通過附圖和實施例,對本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述���。
圖1為本發(fā)明軟件終端接入IP多媒體子系統(tǒng)裝置的實施例的結(jié)構(gòu)示意圖��;圖2為本發(fā)明軟件終端接入IP多媒體子系統(tǒng)方法的實施例1的流程圖�����;圖3為本發(fā)明軟件終端接入IP多媒體子系統(tǒng)方法的實施例2的流程圖���;圖4為本發(fā)明軟件終端接入IP多媒體子系統(tǒng)方法的實施例2中軟件終端進(jìn)行參數(shù)計算的流程圖�����。
具體實施例方式
如圖1所示�����,為本發(fā)明軟件終端接入IP多媒體子系統(tǒng)裝置的一個實施例的結(jié)構(gòu)示意圖��,其中包括認(rèn)證數(shù)據(jù)加載讀取模塊1���,用于接收認(rèn)證數(shù)據(jù),其輸入為認(rèn)證數(shù)據(jù)集文件���,輸出為認(rèn)證數(shù)據(jù)集數(shù)據(jù)���;數(shù)據(jù)輸入模塊2,用于提供認(rèn)證所需要的參數(shù)�,它從接收到的STP消息中得到認(rèn)證所需要的參數(shù),即隨機數(shù)RAND和網(wǎng)絡(luò)令牌AUTN���;輔助數(shù)據(jù)提供模塊3�,用于提供非認(rèn)證相關(guān)數(shù)據(jù)��,如代理列表Proxy list�、域列表Domain list;非實時數(shù)據(jù)解析模塊4����,與認(rèn)證數(shù)據(jù)加載讀取模塊1相連,用于解析認(rèn)證數(shù)據(jù)中的非實時數(shù)據(jù)���,其輸入為認(rèn)證數(shù)據(jù)集數(shù)據(jù)����,輸出為私有用戶身份IMPI�����、公共用戶身份IMPU、歸屬網(wǎng)絡(luò)域名Domain及代理CSCF(P-CSCF)地址��;實時數(shù)據(jù)解析模塊5�,與認(rèn)證數(shù)據(jù)加載讀取模塊1相連,用于解析認(rèn)證數(shù)據(jù)中的實時數(shù)據(jù)�����,其輸出為128位的共享密鑰K及48位的序列號SQN����;數(shù)據(jù)校驗?zāi)K6,與非實時數(shù)據(jù)解析模塊4��、實時數(shù)據(jù)解析模塊5及輔助數(shù)據(jù)提供模塊3相連��,根據(jù)校驗規(guī)則對已解析的數(shù)據(jù)進(jìn)行校驗�;,根據(jù)校驗規(guī)則對已解析的數(shù)據(jù)進(jìn)行校驗�����,其輸入為IMPI�����、IMPU、Domain��、P-CSCF-Address��、K及SQN����,輸出為校驗后的以上6個數(shù)據(jù)和狀態(tài)報告���;校驗原則可以為a���、判斷Domain、P-CSCF-Address是否分別在合法的Domin列表�、P-CSCF列表中,b�����、判斷IMPI是否為合法的NAI格式(RFC2486)����、IMPU是否為合法的SIP URI格式(RFC3261),c����、判斷K是否為16字節(jié)�,SQN是否為6字節(jié)�����;參數(shù)計算模塊7���,與數(shù)據(jù)校驗?zāi)K6及數(shù)據(jù)輸入模塊2相連��,用于計算認(rèn)證所需參數(shù)��,并完成參數(shù)比較�,得出軟件終端對網(wǎng)絡(luò)的單向認(rèn)證結(jié)果����,生成狀態(tài)報告、完整性密鑰IK及加密密鑰CK��,其輸入為RAND����、AUTN、K�、SQN�����,輸出為RES��、CK����、IK或同步令牌AUTS��、狀態(tài)報告(單向認(rèn)證成功����、單向認(rèn)證失敗���、同步失敗)���;數(shù)據(jù)輸出模塊8,與數(shù)據(jù)校驗?zāi)K6及參數(shù)計算模塊7相連��,用于將認(rèn)證參數(shù)���、狀態(tài)報告及解析后的非實時數(shù)據(jù)輸出��,其輸入為IMPI����、IMPU、Domain���、P-CSCF-Address���、RES、CK����、IK或AUTS,輸出為確定格式的以上數(shù)據(jù)���;數(shù)據(jù)存儲模塊9�����,與數(shù)據(jù)輸出模塊8相連��,用于存儲完整性密鑰IK及加密密鑰CK�����。
本裝置將數(shù)據(jù)的解析分為非實時解析與實時解析�����,使IMPI�����、IMPU�、Domain、P-CSCF-Address四個數(shù)據(jù)能在AuDS文件加載后即可得到�,并輸出到用戶界面;而對用戶不可見的參數(shù)K和SQN��,為降低安全風(fēng)險�,減少在內(nèi)存中的停留時間�,只在需要計算其他參數(shù)時進(jìn)行解析并校驗得到。
如圖2所示�����,為本發(fā)明軟件終端接入IP多媒體子系統(tǒng)方法的實施例1的流程圖��,該方法包括以下步驟步驟101�、軟件終端調(diào)用認(rèn)證數(shù)據(jù)加載讀取模塊���,讀取認(rèn)證數(shù)據(jù)集中的數(shù)據(jù);步驟102����、軟件終端調(diào)用非實時數(shù)據(jù)解析模塊,解析出非實時數(shù)據(jù)�;步驟103、軟件終端調(diào)用數(shù)據(jù)校驗?zāi)K及輔助數(shù)據(jù)提供模塊��,接收非認(rèn)證相關(guān)數(shù)據(jù)��,并對已解析的非實時數(shù)據(jù)進(jìn)行校驗����;
步驟104、調(diào)用數(shù)據(jù)輸出模塊����,將校驗后的非實時數(shù)據(jù)輸出到底層軟件模塊進(jìn)行消息封裝,并輸出到用戶界面進(jìn)行顯示���;步驟105�、軟件終端向服務(wù)-呼叫服務(wù)器控制功能發(fā)起注冊請求�;步驟106����、服務(wù)-呼叫會話控制功能向歸屬用戶服務(wù)器/鑒權(quán)中心請求認(rèn)證向量����;步驟107、歸屬用戶服務(wù)器/鑒權(quán)中心基于密鑰及一個序列號生成一組認(rèn)證向量���,并將該組認(rèn)證向量返回給服務(wù)-呼叫會話控制功能���;步驟108、服務(wù)-呼叫會話控制功能保存該組認(rèn)證向量����,并選定其中的一個認(rèn)證向量,將其返回給軟件終端����;步驟109���、軟件終端調(diào)用數(shù)據(jù)輸入模塊��,得到認(rèn)證相關(guān)參數(shù)�;步驟110、軟件終端調(diào)用實時數(shù)據(jù)解析模塊及數(shù)據(jù)校驗?zāi)K����,解析出實時數(shù)據(jù)并對其校驗;步驟111���、軟件終端使用共享密鑰和序列號完成對網(wǎng)絡(luò)的認(rèn)證�����,并生成一個認(rèn)證響應(yīng)��,將其發(fā)送給服務(wù)-呼叫會話控制功能���;步驟112、服務(wù)-呼叫會話控制功能驗證認(rèn)證響應(yīng)���,完成對軟件終端的認(rèn)證��。
該方法在不支持USIM及ISIM的軟件終端實現(xiàn)了模擬ISIM應(yīng)用的數(shù)據(jù)�,使該軟件終端可以接入到IMS網(wǎng)絡(luò)當(dāng)中����。
如圖3所示���,為本發(fā)明軟件終端接入IP多媒體子系統(tǒng)方法的實施例2的流程圖,該方法包括以下步驟步驟201�、軟件終端調(diào)用認(rèn)證數(shù)據(jù)加載讀取模塊,讀取認(rèn)證數(shù)據(jù)集AuDS中的數(shù)據(jù)�����;這里定義了一種認(rèn)證數(shù)據(jù)集AuDS�,AuDS包含私有用戶身份、公共用戶身份���、共享密鑰�����、序列號���、歸屬網(wǎng)絡(luò)域名、P-CSCF地址�;按照使用時間不同分為非實時數(shù)據(jù)和實時數(shù)據(jù)����;非實時數(shù)據(jù)指當(dāng)軟件終端認(rèn)證模塊AuM加載AuDS后�,通過解析和校驗就可以輸出的數(shù)據(jù)���,對用戶可見���,包括
私有用戶身份IMPI包含唯一的私有用戶身份,由歸屬網(wǎng)絡(luò)運營商定義�����,具有唯一性��,用于標(biāo)識用戶訂購關(guān)系��;格式遵循RFC定義的網(wǎng)絡(luò)接入標(biāo)識符(Network Access Identifier�����,簡稱NAI)的形式���;公共用戶身份IMPU包含一個或多個公共用戶身份��,用于在注冊請求中標(biāo)識要注冊的身份���,并且用于請求和其他用戶通信�;歸屬網(wǎng)絡(luò)域名Domain包含歸屬網(wǎng)絡(luò)入口點名稱���,用于在注冊過程中將注冊請求路由到用戶的歸屬網(wǎng)絡(luò)�����;P-CSCF地址(P-CSCF-Address)用于指定軟終端發(fā)送注冊請求的地址�����,可以是FQDN����、IPv4地址或IPv6地址的格式��;實時數(shù)據(jù)指只有在認(rèn)證過程中才解析�����、校驗并使用�,對用戶不可見,包括共享密鑰K在軟終端和網(wǎng)絡(luò)之間共享的密鑰���,用于生成各種認(rèn)證參數(shù)���;序列號SQN用于軟終端和網(wǎng)絡(luò)的同步檢查,是軟終端收到的序列號的最大值�;AuDS中的6種數(shù)據(jù)的指定格式如下IMPI采用RFC2486定義的NAI形式,格式為username@realm���;IMPU采用RFC3261定義的SIP URI形式�;K16字節(jié)字符串��;SQN6字節(jié)�����;Domain采用RFC3261定義的SIP URI形式�����;P-CSCF-Address采用FQDN�����、IPv4地址����、或IPv6地址形式�����;AuDS中數(shù)據(jù)按照一定形式組合并存儲�����,例如“IMPI|IMPU|K|SQN|Domain|P-CSCF-Address”���,AuDS中數(shù)據(jù)需要加密存儲。
步驟202���、軟件終端調(diào)用非實時數(shù)據(jù)解析模塊����,解析出非實時數(shù)據(jù)�����;步驟203�����、軟件終端調(diào)用數(shù)據(jù)校驗?zāi)K及輔助數(shù)據(jù)提供模塊,接收非認(rèn)證相關(guān)數(shù)據(jù)�����,并對已解析的非實時數(shù)據(jù)進(jìn)行校驗����,得到有效的IMPI��、IMPU����、Domain及P-CSCF-Address;步驟204�、調(diào)用數(shù)據(jù)輸出模塊,將校驗后的非實時數(shù)據(jù)輸出到底層軟件模塊進(jìn)行消息封裝��,并輸出到用戶界面進(jìn)行顯示�����;步驟205�、軟件終端向S-CSCF發(fā)起注冊請求;步驟206����、S-CSCF向HSS/AuC請求認(rèn)證向量AV�����;步驟207�、HSS/AuC基于密鑰K及一個序列號SQN生成一組認(rèn)證向量����,每一個都包含隨機數(shù)RAND、網(wǎng)絡(luò)令牌AUTN�����、期望認(rèn)證結(jié)果XRES��、完整性密鑰IK和加密密鑰CK�����,并將該組認(rèn)證向量返回給S-CSCF��;步驟208��、S-CSCF保存該組認(rèn)證向量����,并選定其中的一個認(rèn)證向量���,將其返回給軟件終端的認(rèn)證模塊,保存XRES��,保存RAND��;步驟209�、所述軟件終端調(diào)用所述數(shù)據(jù)輸入模塊�����,得到認(rèn)證相關(guān)參數(shù)RAND及AUTS����;步驟210、軟件終端調(diào)用實時數(shù)據(jù)解析模塊���,解析出實時數(shù)據(jù)�;步驟211�����、軟件終端調(diào)用數(shù)據(jù)校驗?zāi)K,得到經(jīng)過校驗后有效的K及SQN����;步驟212、軟件終端調(diào)用參數(shù)計算模塊�,使用共享密鑰K和序列號SQN驗證AUTN,完成對網(wǎng)絡(luò)的認(rèn)證���,并生成一個認(rèn)證響應(yīng)RES�����,同時生成IK和CK����,將其發(fā)送給S-CSCF��;如果失敗����,則生成一個同步參數(shù)AUTS;其中����,如圖4所示���,軟件終端進(jìn)行參數(shù)計算的步驟如下步驟2121、計算匿名密鑰AK=f5K(RAND)�����,得到SQN’=(SQNAK)AK���,其中為異或運算��;步驟2122�����、計算期望的消息認(rèn)證校驗XMAC=f1K(SQN||RAND||AMF);步驟2123����、比較XMAC是否與在AUTN中的消息認(rèn)證校驗MAC值相同,如果值不同�,則執(zhí)行步驟2064,否則執(zhí)行2065���;步驟2124��、認(rèn)證失敗��,軟終端發(fā)送認(rèn)證拒絕消息��;步驟2125��、檢查序列號SQN是否在正確范圍內(nèi)����,如果不在正確范圍內(nèi),執(zhí)行步驟2116�����,否則����,執(zhí)行2068;
步驟2126����、同步失敗,終止認(rèn)證過程���,隨后使用K和SQN’產(chǎn)生一個同步參數(shù)AUTS����,在響應(yīng)中發(fā)給網(wǎng)絡(luò)側(cè),HSS/AuC基于SQN’生成新的AV�����,由S-CSCF下載并再次發(fā)送認(rèn)證請求��;步驟2127�����、發(fā)送同步失敗響應(yīng)����;步驟2128、計算RES=f2K(RAND)����,CK=f3K(RAND)和IK=f4K(RAND)���;其中��,f1-f5定義在3GPP TS33.102中�;步驟213、軟件終端調(diào)用數(shù)據(jù)輸出模塊�����,輸出RES�����、IK及CK或AUTS到底層軟件模塊進(jìn)行消息封裝���,并輸出IK及CK到數(shù)據(jù)存儲模塊�����;步驟214����、S-CSCF驗證認(rèn)證響應(yīng)�,比較RES和XRES,完成對軟件終端的認(rèn)證���,并從選擇的AV中選定IK和CK��。
為了保證安全性和可管理性��,便于運營商部署�,本方法將軟件終端進(jìn)行AKA認(rèn)證所需要的數(shù)據(jù)以一個數(shù)據(jù)集的方式提供給軟件終端。運營商部署軟件終端時����,可以為每個終端配置一個唯一的數(shù)據(jù)集,用戶使用軟終端進(jìn)行注冊時將自動讀取其中的數(shù)據(jù)供認(rèn)證使用���,無需手動設(shè)置參數(shù)���。
此方法包含兩個方面,一是獨立于軟終端的認(rèn)證數(shù)據(jù)集合AuDS(Authentication Data Set)����,包含認(rèn)證相關(guān)數(shù)據(jù)和接入相關(guān)數(shù)據(jù),以文件方式加密存儲���;二是軟終端中需要有一個調(diào)用和讀取AuDS中數(shù)據(jù)來進(jìn)行AKA認(rèn)證的認(rèn)證模塊AuM(Authentication Module)����。
AuM能加載讀取AuDS文件���,解析出認(rèn)證所需數(shù)據(jù)并進(jìn)行校驗���,在認(rèn)證過程中按照一定算法計算出認(rèn)證參數(shù),從而完成AKA認(rèn)證���。
最后所應(yīng)說明的是�����,以上實施例僅用以說明本發(fā)明的技術(shù)方案而非限制����,盡管參照較佳實施例對本發(fā)明進(jìn)行了詳細(xì)說明����,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,可以對本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換�,而不脫離本發(fā)明技術(shù)方案的精神和范圍。
權(quán)利要求
1.一種軟件終端接入IP多媒體子系統(tǒng)的裝置���,其特征在于包括一認(rèn)證數(shù)據(jù)加載讀取模塊��,用于讀取認(rèn)證數(shù)據(jù)����;一數(shù)據(jù)輸入模塊,用于提供從接收到的數(shù)據(jù)中得到認(rèn)證相關(guān)參數(shù)���;一輔助數(shù)據(jù)提供模塊�,用于提供非認(rèn)證相關(guān)數(shù)據(jù)�����;一非實時數(shù)據(jù)解析模塊���,與所述認(rèn)證數(shù)據(jù)加載讀取模塊相連���,用于解析所述認(rèn)證數(shù)據(jù)中的非實時數(shù)據(jù);一實時數(shù)據(jù)解析模塊����,與所述認(rèn)證數(shù)據(jù)加載讀取模塊相連,用于解析所述認(rèn)證數(shù)據(jù)中的實時數(shù)據(jù)�;一數(shù)據(jù)校驗?zāi)K,與所述非實時數(shù)據(jù)解析模塊��、所述實時數(shù)據(jù)解析模塊及所述輔助數(shù)據(jù)提供模塊相連,根據(jù)校驗規(guī)則對已解析的數(shù)據(jù)進(jìn)行校驗��;一參數(shù)計算模塊��,與所述數(shù)據(jù)校驗?zāi)K及所述數(shù)據(jù)輸入模塊相連��,用于計算認(rèn)證所需參數(shù)����,并完成參數(shù)比較���,得出軟件終端對網(wǎng)絡(luò)的單向認(rèn)證結(jié)果�����,生成狀態(tài)報告�、完整性密鑰及加密密鑰�����;一數(shù)據(jù)輸出模塊�����,與所述數(shù)據(jù)校驗?zāi)K及所述參數(shù)計算模塊相連�����,用于將所述認(rèn)證參數(shù)、所述狀態(tài)報告及所述解析后的非實時數(shù)據(jù)輸出����;一數(shù)據(jù)存儲模塊,與所述數(shù)據(jù)輸出模塊相連����,用于存儲所述完整性密鑰及加密密鑰。
2.一種軟件終端接入IP多媒體子系統(tǒng)的方法�,其特征在于包括以下步驟步驟1、所述軟件終端調(diào)用所述認(rèn)證數(shù)據(jù)加載讀取模塊�����,從認(rèn)證數(shù)據(jù)集讀取數(shù)據(jù)�����;步驟2��、所述軟件終端調(diào)用所述非實時數(shù)據(jù)解析模塊��,解析出非實時數(shù)據(jù);步驟3����、所述軟件終端調(diào)用所述數(shù)據(jù)校驗?zāi)K及所述輔助數(shù)據(jù)提供模塊,接收非認(rèn)證相關(guān)數(shù)據(jù)�����,并對已解析的非實時數(shù)據(jù)進(jìn)行校驗���;步驟4、調(diào)用所述數(shù)據(jù)輸出模塊���,將校驗后的非實時數(shù)據(jù)輸出到底層軟件模塊進(jìn)行消息封裝�����,并輸出到用戶界面進(jìn)行顯示�����;步驟5���、所述軟件終端向服務(wù)-呼叫服務(wù)器控制功能發(fā)起注冊請求;步驟6、所述服務(wù)-呼叫會話控制功能向所述歸屬用戶服務(wù)器/鑒權(quán)中心請求認(rèn)證向量���;步驟7��、所述歸屬用戶服務(wù)器/鑒權(quán)中心基于所述軟件終端與所述軟件終端歸屬網(wǎng)絡(luò)的歸屬用戶服務(wù)器/鑒權(quán)中心共享的密鑰及所述認(rèn)證數(shù)據(jù)集中的序列號生成一組認(rèn)證向量�����,并將所述一組認(rèn)證向量返回給所述服務(wù)-呼叫會話控制功能�;步驟8����、所述服務(wù)-呼叫會話控制功能保存所述一組認(rèn)證向量,并選定其中的一個認(rèn)證向量��,將其返回給所述軟件終端���;步驟9��、所述軟件終端調(diào)用所述數(shù)據(jù)輸入模塊�,得到認(rèn)證相關(guān)參數(shù)�;步驟10、所述軟件終端調(diào)用所述實時數(shù)據(jù)解析模塊及數(shù)據(jù)校驗?zāi)K����,解析出實時數(shù)據(jù)并對其校驗���;步驟11、所述軟件終端使用所述共享密鑰和所述序列號完成對網(wǎng)絡(luò)的認(rèn)證���,并生成一個認(rèn)證響應(yīng)����,將其發(fā)送給所述服務(wù)-呼叫會話控制功能��;步驟12����、所述服務(wù)-呼叫會話控制功能驗證所述認(rèn)證響應(yīng)����,完成對所述軟件終端的認(rèn)證。
3.根據(jù)權(quán)利要求2所述的軟件終端接入IP多媒體子系統(tǒng)的方法��,其特征在于�,所述步驟1中的軟件終端從所述認(rèn)證數(shù)據(jù)集讀取私有用戶身份、公共用戶身份�、共享密鑰�����、歸屬網(wǎng)絡(luò)域名���、序列號及代理-呼叫會話控制功能的數(shù)據(jù)。
4.根據(jù)權(quán)利要求2或3所述的軟件終端接入IP多媒體子系統(tǒng)的方法�,其特征在于,所述步驟2中��,所述非實時數(shù)據(jù)解析模塊解析出私有用戶身份�、公共用戶身份、歸屬網(wǎng)絡(luò)域名及代理-呼叫會話控制功能的數(shù)據(jù)����。
5.根據(jù)權(quán)利要求2或3所述的軟件終端接入IP多媒體子系統(tǒng)的方法,其特征在于�����,所述步驟10中�����,所述實時數(shù)據(jù)解析模塊解析出序列號及共享密鑰���。
全文摘要
本發(fā)明涉及一種軟件終端接入IP多媒體子系統(tǒng)的裝置及方法����,裝置中包括非實時數(shù)據(jù)解析模塊,與認(rèn)證數(shù)據(jù)加載讀取模塊相連��,用于解析認(rèn)證數(shù)據(jù)中的非實時數(shù)據(jù)��;實時數(shù)據(jù)解析模塊����,與認(rèn)證數(shù)據(jù)加載讀取模塊相連,用于解析認(rèn)證數(shù)據(jù)中的實時數(shù)據(jù)�����;數(shù)據(jù)校驗?zāi)K�����,與非實時數(shù)據(jù)解析模塊�����、實時數(shù)據(jù)解析模塊及輔助數(shù)據(jù)提供模塊相連����;參數(shù)計算模塊,與數(shù)據(jù)校驗?zāi)K及數(shù)據(jù)輸入模塊相連�����;數(shù)據(jù)輸出模塊�����,與數(shù)據(jù)校驗?zāi)K及參數(shù)計算模塊相連�;數(shù)據(jù)存儲模塊,與數(shù)據(jù)輸出模塊相連�����。該方法為軟件終端的認(rèn)證模塊與服務(wù)-呼叫會話控制功能及歸屬用戶服務(wù)器/鑒權(quán)中心進(jìn)行交互�����,從而完成認(rèn)證的過程�����。本發(fā)明使得不支持USIM及ISIM應(yīng)用的軟件終端能夠接入IMS��。
文檔編號H04Q7/38GK1777102SQ200510123390
公開日2006年5月24日 申請日期2005年11月25日 優(yōu)先權(quán)日2005年11月25日
發(fā)明者王崇萍, 董朝暉, 唐劍峰, 鄭朝暉, 范濤 申請人:中國移動通信集團(tuán)公司