專利名稱:Wapi終端接入ims網(wǎng)絡(luò)的認(rèn)證方法、系統(tǒng)和終端的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線局域網(wǎng)技術(shù)��,具體涉及通過無線局域網(wǎng)鑒別與保密基礎(chǔ) 結(jié)構(gòu) (WAPI ���, wireless local area network authentication and privacy infrastructure)實(shí)現(xiàn)WAPI終端通過IMS網(wǎng)絡(luò)認(rèn)證��,安全4妻入IMS網(wǎng)絡(luò)的方法�。
背景技術(shù):
IMS (IP Multimedia Subsystem )即IP多媒體子系統(tǒng)����,由3GPP標(biāo)準(zhǔn)組織 在R5版本基礎(chǔ)上提出,是在基于IP的網(wǎng)絡(luò)上提供多媒體業(yè)務(wù)的通用網(wǎng)絡(luò)架 構(gòu)����。IMS以其業(yè)務(wù)�、控制�、承載完全分離的水平架構(gòu),集中的用戶屬性和接 入無關(guān)等特性����, 一方面解決了目前軟交換技術(shù)還無法解決的問題,如用戶移 動(dòng)性支持��、標(biāo)準(zhǔn)開放的業(yè)務(wù)接口�、靈活的IP多媒體業(yè)務(wù)提供等;另一方面���, 其接入無關(guān)性,也使得IMS成為固定和移動(dòng)網(wǎng)絡(luò)融合演進(jìn)的基礎(chǔ)�����。在無線接 入技術(shù)方面�,IMS除了 GSM、 GPRS和WCDMA之夕卜��,WLAN( Wireless Local Area Network,無線局域網(wǎng))通過SIP Proxy (會(huì)話初始協(xié)i義代理)也可以接 入���。此外�,固定網(wǎng)絡(luò)的LAN和xDSL接入技術(shù)也可以接入到IMS。 IMS還提 供了與ISDN/PSTN傳統(tǒng)電路交換網(wǎng)絡(luò)的互聯(lián)機(jī)制�����。這樣���,IMS提供服務(wù)的 終端除了移動(dòng)終端之外��,還包括固定的電話終端�、多媒體智能終端��、PC機(jī)的 軟終端等��。
在IMS的安全體系中��,從UE到網(wǎng)絡(luò)的各個(gè)實(shí)體(P-CSCF�, S-CSCF, HSS)都涉及到了接入和核心網(wǎng)兩個(gè)部分的安全概念���。IMS安全體系的整體 思想是使用IPSec (Internet Protocol Security,因特網(wǎng)協(xié)議安全性)的安全特 性為IMS系統(tǒng)提供安全保護(hù)�����。對于接入部分而言�,UE(用戶設(shè)備)和P-CSCF (Proxy-Call Session Control Function,代理-呼叫會(huì)話控制功能)實(shí)體之間涉 及到接入安全與身份認(rèn)證。IMSAKA (IMS認(rèn)證和密鑰協(xié)商)實(shí)現(xiàn)了 UE與
5網(wǎng)絡(luò)的雙向認(rèn)證功能��。IMS網(wǎng)絡(luò)的安全是基于用戶的私有身份以及存在于卡 上的密鑰��,IMS定義了自己的ISIM (IMS Subscriber Identity Module, IMS 用戶識(shí)別模塊)卡�����,類似于UMTS(通用移動(dòng)通信系統(tǒng))的USIM( UMTS SIM) 卡�����,里面存儲(chǔ)著IMS相關(guān)的安全數(shù)據(jù)和算法�����。ISIM存在于UICC (通用集成 電路卡)芯片上��,和USIM不共享安全函數(shù)��。目前標(biāo)準(zhǔn)中定義的ISIM主要 包含以下參數(shù)
(1 ) IMPI (IMS Privacy User Identity) , IMS私有用戶標(biāo)識(shí)���。
(2) IMPU (IMS Public User Identity ) , IMS公共用戶標(biāo)識(shí)�。
(3) 用戶所屬網(wǎng)絡(luò)的域名�����。
(4) IMS域內(nèi)的SQN序列號(hào)���。
(5) 認(rèn)證密鑰�。
在IMS網(wǎng)絡(luò)中����,只有ISIM和HSS ( Home Subscriber Server,歸屬用戶
服務(wù)器)共享這些秘密參數(shù)和算法,其他的任何網(wǎng)絡(luò)實(shí)體都不知道密鑰和私 有身份IMPI�。
在歸屬網(wǎng)絡(luò)中,HSS上存儲(chǔ)了每個(gè)IM客戶相對應(yīng)的客戶描述(Profile )����。 這個(gè)客戶描述包含了客戶的信息,并且這些信息不能夠泄露給外部�。在注冊 過程中,I畫CSCF (Interrogating誦Call Session Control Function,查詢-呼叫會(huì)話 控制功能)實(shí)體將給用戶分配一個(gè)S-CSCF (Serving-Call Session Control Function,服務(wù)-呼叫會(huì)話控制功能)實(shí)體����,客戶描述將從HSS下載到S-CSCF 上。當(dāng)一個(gè)客戶請求接入IMS網(wǎng)絡(luò)時(shí),S-CSCF將對客戶描述和客戶接入請 求進(jìn)行匹配性檢查以確定是否允許客戶繼續(xù)請求接入����,亦即歸屬控制。
IMS中的雙向認(rèn)證機(jī)制采用基于UMTSAKA ( UMTS認(rèn)證和密鑰協(xié)商) 的IMS認(rèn)證機(jī)制�。它是一個(gè)Challenge-Response (查問/應(yīng)答)協(xié)議,由歸屬 網(wǎng)的認(rèn)證中心(AuC)發(fā)起Challenge����。歸屬網(wǎng)將一個(gè)包含Challenge的五元 組傳送到服務(wù)網(wǎng)。這個(gè)五元組包含期望的ResponseXRES和一個(gè)消息認(rèn)證碼 MAC��。服務(wù)網(wǎng)比較UE的Response和XRES,如果匹配則UE通過了網(wǎng)絡(luò)的 認(rèn)證����。UE計(jì)算一個(gè)XMAC,并且與收到的MAC比較,如果匹配�����,則服務(wù) 網(wǎng)通過了UE的認(rèn)證����。這樣,UE與網(wǎng)絡(luò)之間就完成了雙向的身份認(rèn)證���。
6以上介紹的認(rèn)證過程都是基于IMS用戶的私有身份和認(rèn)證密鑰等信息�, 而這些信息都存儲(chǔ)于IMS定義的ISIM卡中�。但是對于在沒有ISIM卡的情況 下,IMS用戶用WAPI終端是無法接入IMS網(wǎng)絡(luò)享受各種IMS業(yè)務(wù)的��。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種WAPI終端接入IMS網(wǎng)絡(luò)的認(rèn)證方 法�����、系統(tǒng)和終端���。
為解決上述技術(shù)問題��,本發(fā)明提供了一種無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié) 構(gòu)(WAPI)終端接入IP多媒體子系統(tǒng)(IMS)網(wǎng)絡(luò)的認(rèn)證方法����,包括
預(yù)先在歸屬用戶服務(wù)器(HSS)中建立IMS用戶的IMS私有用戶標(biāo)識(shí) (IMPI)與其WAPI證書的對應(yīng)關(guān)系����,以及所述IMPI與所述IMS用戶對應(yīng) 的鑒別il良務(wù)單元(ASU)的對應(yīng)關(guān)系;
IMS用戶通過WAPI終端接入IMS網(wǎng)絡(luò)的過程中���,所述WAPI終端將該 IMS用戶的WAPI證書的標(biāo)識(shí)信息作為IMS公共用戶標(biāo)識(shí)(IMPU )向服務(wù)-呼叫會(huì)話控制功能實(shí)體(S-CSCF)發(fā)送注冊報(bào)文����,報(bào)文中還攜帶所述IMS 用戶的WAPI證書以及用戶簽名;
S-CSCF在收到注冊報(bào)文后����,根據(jù)證書中的信息在HSS中查找對應(yīng)的 IMPI,再根據(jù)所述IMPI查找該IMS用戶對應(yīng)的ASU; ASU和S-CSCF分別 對WAPI證書和用戶簽名進(jìn)行驗(yàn)證,驗(yàn)證均通過時(shí)向所述IMS用戶返回注冊 成功的響應(yīng)����。
進(jìn)一步地,ASU和S-CSCF分別對WAPI證書和用戶簽名進(jìn)行驗(yàn)證�����,驗(yàn) i正均通過時(shí)向所述IMS用戶返回注冊成功的響應(yīng)是指S-CSCF將注冊才良文 中的WAPI證書發(fā)送給所述ASU進(jìn)行-驗(yàn)證�,同時(shí)對用戶簽名進(jìn)行-瞼證;如 果ASU驗(yàn)證該WAPI證書合法���,同時(shí)S-CSCF通過了對用戶簽名的驗(yàn)證����,則 向該IMS用戶發(fā)送注冊成功的響應(yīng)��,否則發(fā)送注冊失敗的響應(yīng)���。
進(jìn)一步地�����,所述WAPI終端將該IMS用戶的WAPI i正書的標(biāo)識(shí)信息作為 IMPU是指所述WAPI終端將該IMS用戶的WAPI證書持有者名稱作為 IMPU�����。進(jìn)一步地�����,所述用戶簽名為加密后的WAPI證書摘要���。
進(jìn)一步地,所述根據(jù)WAPI證書中的信息在HSS中查找對應(yīng)的IMPI是 指�,根據(jù)WAPI證書中的序列號(hào)和頒發(fā)者名稱在HSS中查找對應(yīng)的IMPI。
為解決上述技術(shù)問題�,本發(fā)明還提供了 一種無線局域網(wǎng)鑒別與保密基礎(chǔ) 結(jié)構(gòu)(WAPI)終端接入IP多媒體子系統(tǒng)(IMS)網(wǎng)絡(luò)的認(rèn)證系統(tǒng),包括歸 屬用戶服務(wù)器(HSS)�����、服務(wù)-呼叫會(huì)話控制功能實(shí)體(S-CSCF)和鑒別服務(wù) 單元(ASU),其中
所述HSS�����,用于保存IMS用戶的IMPI與其WAPI證書的對應(yīng)關(guān)系,以 及所述IMPI與所述IMS用戶對應(yīng)的ASU的對應(yīng)關(guān)系�����;
所述S-CSCF�����,用于接收WAPI終端發(fā)送的注冊才艮文���,所述注冊報(bào)文中 的IMPU為IMS用戶的WAPI證書的標(biāo)識(shí)信息�,所述注冊4良文中還攜帶所述 IMS用戶的WAPI證書以及用戶簽名����,所述S-CSCF根據(jù)證書中的信息在HSS 中查找對應(yīng)的IMPI,再根據(jù)所述IMPI查找該IMS用戶對應(yīng)的ASU,將注冊 報(bào)文中的WAPI證書發(fā)送給ASU;用于對注冊報(bào)文中的用戶簽名進(jìn)行驗(yàn)證; 以及用于在驗(yàn)證用戶簽名合法且ASU驗(yàn)證所述WAPI證書合法時(shí)����,向所述 IMS用戶發(fā)送注冊成功的響應(yīng);
所述ASU���,用于接收S-CSCF發(fā)送的WAPI證書�����,對所述WAPI證書進(jìn) 行驗(yàn)證����,將驗(yàn)證結(jié)果返回S-CSCF。
進(jìn)一步地�,所述WAPI適配模塊���,用于提取IMS用戶的WAPI證書中的 標(biāo)識(shí)信息�����;以及用于將無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)(WAI)模塊中的散列計(jì)算 和公開密鑰加密算法的提取出來�,提供業(yè)務(wù)模塊調(diào)用�;
所述業(yè)務(wù)模塊,用于調(diào)用散列計(jì)算和公開密鑰加密算法對WAPI證書進(jìn) 行計(jì)算和加密得到用戶簽名�;
所述SIP協(xié)議模塊,用于在構(gòu)造注冊報(bào)文時(shí)���,將所述WAPI證書的標(biāo)識(shí) 信息作為IMS用戶的IMPU�����,以及在注冊報(bào)文中攜帶該IMS用戶的WAPI i正書以及該IMS用戶的用戶簽名���。進(jìn)一步地����,所述WAPI證書的標(biāo)識(shí)信息為WAPI證書持有者名稱���;所述 用戶簽名為加密后的WAPI證書摘要���;所述WAPI證書中的信息為WAPI證 書中的序列號(hào)和頒發(fā)者名稱。
為解決上述技術(shù)問題��,本發(fā)明還提供了一種實(shí)現(xiàn)接入IMS網(wǎng)絡(luò)的WAPI 終端����,所述終端包括WAPI適配模塊,業(yè)務(wù)模塊和SIP協(xié)議模塊���,其中
所述WAPI適配模塊��,用于提取IMS用戶的WAPI證書中的標(biāo)識(shí)信息�; 以及用于將無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)(WAI)模塊中的散列計(jì)算和公開密鑰 加密算法的提取出來�,提供業(yè)務(wù)模塊調(diào)用����;
所述業(yè)務(wù)模塊����,用于調(diào)用散列計(jì)算和公開密鑰加密算法對WAPI證書進(jìn) 行計(jì)算和加密得到用戶簽名;
所述SIP協(xié)議模塊���,用于在構(gòu)造注冊報(bào)文時(shí)���,將所述WAPI證書的標(biāo)識(shí) 信息作為IMS用戶的IMPU,以及在注冊報(bào)文中攜帶該IMS用戶的WAPI i正書以及該IMS用戶的用戶簽名�。
進(jìn)一步地,所述WAPI適配模塊包括提取單元和加密算法單元���,其中 信息提取單元����,用于解析WAPI證書�����,從中獲得IMS用戶的WAPI證書中的 標(biāo)識(shí)信息�;加密算法單元����,用于保存散列計(jì)算和公開密鑰加密算法��,供業(yè)務(wù) 模塊調(diào)用�����。
采用本發(fā)明所述方法�����,IMS用戶通過WAPI終端可以方^f更的4矣入IMS網(wǎng) 絡(luò)����,即4吏在沒有ISIM卡的情況下,也可以通過WAPI i正書來通過IMS網(wǎng)絡(luò) 的iU正�����,乂人而^f吏用IMS的各項(xiàng)業(yè)務(wù)��。
圖1為WAPI終端接入IMS網(wǎng)絡(luò)時(shí)各網(wǎng)元之間的交互流程圖���。 圖2為系統(tǒng)結(jié)構(gòu)及接口示意圖����。
具體實(shí)施例方式
本發(fā)明的發(fā)明構(gòu)思是
預(yù)先在HSS中建立IMS用戶的IMPI與其WAPI證書、以及IMPI與該 IMS用戶對應(yīng)的鑒別服務(wù)單元(ASU)的對應(yīng)關(guān)系���;
IMS用戶通過WAPI終端接入IMS網(wǎng)絡(luò)的過程中��,所述WAPI終端以該 IMS用戶的WAPI證書的標(biāo)識(shí)信息(例如證書持有者名稱)作為IMS用戶的 IMPU發(fā)出注冊報(bào)文���,報(bào)文中攜帶該IMS用戶的WAPI證書以及該IMS用戶 的用戶簽名(即加密后的證書摘要);S-CSCF在收到注冊報(bào)文后����,根據(jù)證 書中的信息(例如證書序列號(hào)和頒發(fā)者名稱)在HSS中查找對應(yīng)的IMPI, 再根據(jù)IMPI找到IMS用戶對應(yīng)的ASU; S-CSCF將WAPI證書發(fā)送給ASU 進(jìn)行驗(yàn)證,同時(shí)該S-CSCF對該IMS用戶簽名進(jìn)行驗(yàn)證�����;如果ASU驗(yàn)證該 證書合法�����,同時(shí)通過了對用戶簽名的驗(yàn)證���,則認(rèn)為IMS用戶通過認(rèn)證��,發(fā)送 注冊成功的響應(yīng)給IMS用戶�����,否則發(fā)送注冊失敗的響應(yīng)�。至此�����,WAPI終端 完成了接入IMS網(wǎng)絡(luò)的認(rèn)證�����,以WAPI證書持有者名稱的IMPU在網(wǎng)絡(luò)側(cè)是 已注冊狀態(tài)�,進(jìn)而用戶可以使用IMS的各種簽約業(yè)務(wù)。
以IMS用戶的WAPI證書的標(biāo)識(shí)信息作為IMS用戶的IMPU發(fā)出注冊 報(bào)文����,便于S-CSCF識(shí)別,除用于注冊流程外�,還可以用于后續(xù)業(yè)務(wù)流程。
下面結(jié)合附圖和具體實(shí)施例對本發(fā)明提出的WAPI終端接入IMS網(wǎng)絡(luò)的 認(rèn)證方法的進(jìn)行具體說明�����,但本發(fā)明不限于這種具體方案。
如圖l所示�����,所述方法包括以下步驟
步驟101, IMS用戶通過WAPI終端接入IMS網(wǎng)絡(luò)時(shí)�,WAPI終端向 S-CSCF發(fā)送SIP注冊報(bào)文(REGISTER),從WAPI證書中提取證書持有者 名稱作為發(fā)送注冊消息的IMPU置于消息頭中�����,并在消息體中攜帶WAPI證 書以及用戶簽名�;
消息的消息體類型為復(fù)合消息體(multipart-related)。消息體中包括兩 部分消息內(nèi)容��, 一是終端的WAPI證書�����,通過消息體類型標(biāo)識(shí)該部分消息體 為WAPI證書��,例如設(shè)置消息體類型為wapi-cert; 二是用戶簽名��,通過消息體類型標(biāo)識(shí)該部分消息體為用戶簽名�,例如設(shè)置消息體類型為
wapi-certdigest,用戶簽名的計(jì)算方法如下WAPI終端先對WAPI證書進(jìn)行 散列計(jì)算得出WAPI證書摘要��,然后調(diào)用公開密鑰加密接口利用發(fā)送者的私 有密鑰對摘要進(jìn)行加密����,得到的密文為發(fā)送者對消息體的簽名即用戶簽名。
步驟102a-102b��, S-CSCF在接收到終端的注冊報(bào)文后���,從消息體中提取 WAPI證書和用戶簽名�����,根據(jù)消息體中WAPI證書的信息(例如證書序列號(hào) 和頒發(fā)者名稱找到對應(yīng)的用戶IMPI,以及對應(yīng)的ASU;
HSS上預(yù)先建立有IMS用戶的IMPI與其WAPI證書���、以及IMPI與該 用戶對應(yīng)的ASU的對應(yīng)關(guān)系。S-CSCF從HSS上查找用戶的IMPI以及對應(yīng) 的ASU����。
步驟103a-103b, S-CSCF將WAPI終端發(fā)送的證書發(fā)送給ASU進(jìn)行鑒 別,ASU將鑒別結(jié)果告知S-CSCF;
步驟104a-104b�, S-CSCF從本地存儲(chǔ)的該用戶的WAPI證書中,獲取公 鑰信息�����,利用公開密鑰加密算法對消息體中的密文進(jìn)行解密,獲得證書摘要�, 再對消息體中的證書進(jìn)行散列計(jì)算生成證書摘要,對這兩個(gè)摘要進(jìn)行比較�����, 完成對用戶簽名的鑒別��;結(jié)合ASU返回的鑒別結(jié)果向IMS終端返回注冊響應(yīng)��。
如果ASU對用戶證書的鑒別結(jié)果成功�����,同時(shí)S-CSCF對用戶簽名的鑒別 結(jié)果也是成功����,則S-CSCF將注冊成功的響應(yīng)(如200OK)發(fā)送給終端,否 則���,只要有一個(gè)鑒別結(jié)果是失敗的���,說明用戶不存在,S-CSCF向WAPI終 端發(fā)送注冊失敗的響應(yīng)(如403Forbidden )�。至此WAPI終端完成接入IMS 網(wǎng)絡(luò)的認(rèn)證,如果注冊成功����,網(wǎng)絡(luò)側(cè)(如HSS )將用IMPU標(biāo)識(shí)的該用戶標(biāo) 記為已注冊,IMS用戶可以使用其簽約的各項(xiàng)業(yè)務(wù)���,網(wǎng)絡(luò)側(cè)通過在HSS上找 到的IMS用戶對應(yīng)的IMPI對其進(jìn)4亍計(jì)費(fèi)��。
實(shí)現(xiàn)上述方法的認(rèn)證系統(tǒng)�����,包括HSS��、 S-CSCF和ASU�,其中
所述HSS,用于保存IMS用戶的IMPI與其WAPI證書的對應(yīng)關(guān)系����,以 及所述IMPI與所述IMS用戶對應(yīng)的ASU的對應(yīng)關(guān)系;所述S-CSCF,用于接收WAPI終端發(fā)送的注冊報(bào)文����,所述注冊報(bào)文中 的IMPU為IMS用戶的WAPI證書的標(biāo)識(shí)信息����,所述注冊"^艮文中還攜帶所述 IMS用戶的WAPI證書以及用戶簽名���,所述S-CSCF根據(jù)證書中的信息在HSS 中查找對應(yīng)的IMPI����,再根據(jù)所述IMPI查找該IMS用戶對應(yīng)的ASU����,將注冊 報(bào)文中的WAPI證書發(fā)送給ASU;用于對注冊報(bào)文中的用戶簽名進(jìn)行驗(yàn)證; 以及用于在驗(yàn)證用戶簽名合法且ASU驗(yàn)證所述WAPI證書合法時(shí)���,向所述 IMS用戶發(fā)送注冊成功的響應(yīng)��;
所述ASU,用于接收S-CSCF發(fā)送的WAPI證書��,對所述WAPI證書進(jìn) 行驗(yàn)證�,將驗(yàn)證結(jié)果返回S-CSCF��。
上述WAPI終端包括WAPI適配模塊��,業(yè)務(wù)模塊和SIP協(xié)議模塊���,其中
所述WAPI適配模塊���,用于提取IMS用戶的WAPI證書中的標(biāo)識(shí)信息; 以及用于將無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)(WAI)模塊中的散列計(jì)算和公開密鑰 加密算法的提取出來�����,提供業(yè)務(wù)模塊調(diào)用���;
所述業(yè)務(wù)模塊���,用于調(diào)用散列計(jì)算和公開密鑰加密算法對WAPI證書進(jìn) 行計(jì)算和加密得到用戶簽名;
所述SIP協(xié)議模塊��,用于在構(gòu)造注冊報(bào)文時(shí)����,將所述WAPI證書的標(biāo)識(shí) 信息作為IMS用戶的IMPU,以及在注冊報(bào)文中攜帶該IMS用戶的WAPI i正書以及該IMS用戶的用戶簽名。
如圖2所示���,在原有終端的系統(tǒng)結(jié)構(gòu)中����,引入了WAPI適配模塊。該模 塊將WAI (無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu))的散列計(jì)算和公開密鑰加密算法提取 出來��,向業(yè)務(wù)模塊提供相應(yīng)的接口��。另外�,還向業(yè)務(wù)模塊提供解析WAPI證 書的接口,通過該^接口可以獲取證書中各字^殳的內(nèi)容�。進(jìn)一步地,所述WAPI 適配模塊包括提取單元和加密算法單元��,其中信息提取單元�,用于解析 WAPI證書,從中獲得IMS用戶的WAPI證書中的標(biāo)識(shí)信息����;加密算法單元, 用于保存散列計(jì)算和公開密鑰加密算法����,供業(yè)務(wù)模塊調(diào)用。
本發(fā)明為接入IMS網(wǎng)絡(luò)的認(rèn)證方法����,與無線接入方式無關(guān),即無線接入 方式可以是WiFi,可以是GPRS等等。如果WAPI終端是通過WiFi接入IMS
12網(wǎng)絡(luò)的���,則對報(bào)文的加密���、解密就要調(diào)用WPI的對稱加密算法和隨4幾生成會(huì)
話密鑰的接口;如果是其他的接入方式����,則不會(huì)使用WPI的接口���。
以上所述僅為本發(fā)明較佳的具體實(shí)現(xiàn)方式�����,但本發(fā)明的保護(hù)范圍并不局 限與此��,任何熟悉該技術(shù)的人����,在本發(fā)明所揭露的技術(shù)范圍內(nèi)����,可輕易想到 的變化或替換�,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)�����。
權(quán)利要求
1�、一種無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)(WAPI)終端接入IP多媒體子系統(tǒng)(IMS)網(wǎng)絡(luò)的認(rèn)證方法����,其特征在于�����,預(yù)先在歸屬用戶服務(wù)器(HSS)中建立IMS用戶的IMS私有用戶標(biāo)識(shí)(IMPI)與其WAPI證書的對應(yīng)關(guān)系���,以及所述IMPI與所述IMS用戶對應(yīng)的鑒別服務(wù)單元(ASU)的對應(yīng)關(guān)系�;IMS用戶通過WAPI終端接入IMS網(wǎng)絡(luò)的過程中�,所述WAPI終端將該IMS用戶的WAPI證書的標(biāo)識(shí)信息作為IMS公共用戶標(biāo)識(shí)(IMPU)向服務(wù)-呼叫會(huì)話控制功能實(shí)體(S-CSCF)發(fā)送注冊報(bào)文����,報(bào)文中還攜帶所述IMS用戶的WAPI證書以及用戶簽名��;S-CSCF在收到注冊報(bào)文后��,根據(jù)證書中的信息在HSS中查找對應(yīng)的IMPI�,再根據(jù)所述IMPI查找該IMS用戶對應(yīng)的ASU�;ASU和S-CSCF分別對WAPI證書和用戶簽名進(jìn)行驗(yàn)證,驗(yàn)證均通過時(shí)向所述IMS用戶返回注冊成功的響應(yīng)�����。
2、 如權(quán)利要求l所述的方法����,其特征在于,ASU和S-CSCF分別對WAPI證書和用戶簽名進(jìn)行驗(yàn)證���,驗(yàn)證均通過時(shí) 向所述IMS用戶返回注冊成功的響應(yīng)是指S-CSCF將注冊報(bào)文中的WAPI 證書發(fā)送給所述ASU進(jìn)行驗(yàn)證��,同時(shí)對用戶簽名進(jìn)行驗(yàn)證�����;如果ASU驗(yàn)證 該WAPI證書合法�,同時(shí)S-CSCF通過了對用戶簽名的-驗(yàn)證��,則向該IMS用 戶發(fā)送注冊成功的響應(yīng)�,否則發(fā)送注冊失敗的響應(yīng)。
3��、 如權(quán)利要求1或2所述的方法��,其特征在于��,所述WAPI終端將該IMS用戶的WAPI證書的標(biāo)識(shí)信息作為IMPU是指 所述WAPI終端將該IMS用戶的WAPI證書持有者名稱作為IMPU��。
4、 如權(quán)利要求1或2所述的方法�,其特征在于����, 所述用戶簽名為加密后的WAPI證書摘要��。
5���、 如權(quán)利要求1或2所述的方法���,其特征在于,所述根據(jù)WAPI證書中的信息在HSS中查找對應(yīng)的IMPI是指��,根據(jù) WAPI證書中的序列號(hào)和頒發(fā)者名稱在HSS中查找對應(yīng)的IMPI���。
6、 一種無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)(WAPI)終端接入IP多媒體 子系統(tǒng)(IMS)網(wǎng)絡(luò)的認(rèn)證系統(tǒng)����,其特征在于�,包括歸屬用戶服務(wù)器(HSS)、 服務(wù)-呼叫會(huì)話控制功能實(shí)體(S-CSCF)和鑒別服務(wù)單元(ASU)���,其中所述HSS,用于保存IMS用戶的IMS私有用戶標(biāo)識(shí)(IMPI)與其WAPI 證書的對應(yīng)關(guān)系�����,以及所述IMPI與所述IMS用戶對應(yīng)的ASU的對應(yīng)關(guān)系;所述S-CSCF,用于接收WAPI終端發(fā)送的注冊報(bào)文���,所述注冊報(bào)文中 的IMS公共用戶標(biāo)識(shí)(IMPU)為IMS用戶的WAPI證書的標(biāo)識(shí)信息,所述 注冊報(bào)文中還攜帶所述IMS用戶的WAPI證書以及用戶簽名����,所述S-CSCF 根據(jù)證書中的信息在HSS中查找對應(yīng)的IMPI�,再?zèng)_艮據(jù)所述IMPI查找該IMS 用戶對應(yīng)的ASU���,將注冊報(bào)文中的WAPI證書發(fā)送給ASU;用于對注冊報(bào) 文中的用戶簽名進(jìn)行驗(yàn)證�;以及用于在驗(yàn)證用戶簽名合法且ASU驗(yàn)證所述 WAPI證書合法時(shí)��,向所述IMS用戶發(fā)送注冊成功的響應(yīng)�����;所述ASU,用于接收S-CSCF發(fā)送的WAPI證書,對所述WAPI證書進(jìn) 行驗(yàn)證,將-瞼證結(jié)果返回S-CSCF����。
7���、 如權(quán)利要求6所述的系統(tǒng)����,其特征在于�,所述WAPI適配模塊���,用于提取IMS用戶的WAPI證書中的標(biāo)識(shí)信息�; 以及用于將無線局域網(wǎng)鑒別^e出結(jié)構(gòu)(WAI)模塊中的散列計(jì)算和公開密鑰 加密算法的提取出來,提供業(yè)務(wù)模塊調(diào)用���;所述業(yè)務(wù)模塊,用于調(diào)用散列計(jì)算和公開密鑰加密算法對WAPI證書進(jìn) 行計(jì)算和加密得到用戶簽名�;所述SIP協(xié)議才莫塊�,用于在構(gòu)造注冊報(bào)文時(shí)�����,將所述WAPI證書的標(biāo)識(shí) 信息作為IMS用戶的IMPU,以及在注冊報(bào)文中攜帶該IMS用戶的WAPI 證書以及該IMS用戶的用戶簽名����。
8��、 如權(quán)利要求6或7所述的系統(tǒng),其特征在于�,所述WAPI證書的標(biāo)識(shí)信息為WAPI證書持有者名稱����;所述用戶簽名為加密后的WAPI證書摘要����;所述WAPI證書中的信息為WAPI證書中的序列 號(hào)和頒發(fā)者名稱�����。
9���、 一種實(shí)現(xiàn)接入IMS網(wǎng)絡(luò)的WAPI終端��,其特征在于,所述終端包 括WAPI適配模塊���,業(yè)務(wù)模塊和SIP協(xié)議模塊,其中所述WAPI適配模塊����,用于提取IMS用戶的WAPI證書中的標(biāo)識(shí)信息; 以及用于將無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)(WAI)模塊中的散列計(jì)算和公開密鑰 加密算法的提取出來��,提供業(yè)務(wù)模塊調(diào)用�;所述業(yè)務(wù)模塊�,用于調(diào)用散列計(jì)算和公開密鑰加密算法對WAPI證書進(jìn) 行計(jì)算和加密得到用戶簽名�����;所述SIP協(xié)議模塊��,用于在構(gòu)造注冊報(bào)文時(shí)����,將所述WAPI證書的標(biāo)識(shí) 信息作為IMS用戶的IMS公共用戶標(biāo)識(shí)(IMPU )�,以及在注冊才艮文中攜帶 該IMS用戶的WAPI證書以及該IMS用戶的用戶簽名。
10����、 如權(quán)利要求9所述的WAPI終端,其特征在于����,所述WAPI適配沖莫塊包括提取單元和加密算法單元,其中信息提取單元,用于解析WAPI證書�,從中獲得IMS用戶的WAPI證書 中的標(biāo)識(shí)信息���;加密算法單元,用于保存散列計(jì)算和公開密鑰加密算法��,供業(yè)務(wù)模塊調(diào)用。
全文摘要
WAPI終端接入IMS網(wǎng)絡(luò)的認(rèn)證方法���、系統(tǒng)和終端�����。方法包括預(yù)先在HSS中建立IMS用戶的IMPI與其WAPI證書�,以及所述IMPI與所述IMS用戶對應(yīng)的ASU的對應(yīng)關(guān)系�����;IMS用戶通過WAPI終端接入IMS網(wǎng)絡(luò)的過程中��,所述WAPI終端將該IMS用戶的WAPI證書的標(biāo)識(shí)信息作為IMPU向S-CSCF發(fā)送注冊報(bào)文,報(bào)文中還攜帶所述IMS用戶的WAPI證書以及用戶簽名���;S-CSCF在收到注冊報(bào)文后���,根據(jù)證書中的信息在HSS中查找對應(yīng)的IMPI���,再根據(jù)所述IMPI查找該IMS用戶對應(yīng)的ASU;ASU和S-CSCF分別對WAPI證書和用戶簽名進(jìn)行驗(yàn)證����,驗(yàn)證均通過時(shí)向所述IMS用戶返回注冊成功的響應(yīng)���。
文檔編號(hào)H04L29/06GK101662475SQ20091017808
公開日2010年3月3日 申請日期2009年9月24日 優(yōu)先權(quán)日2009年9月24日
發(fā)明者康望星 申請人:中興通訊股份有限公司