專利名稱:在ims網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域��,具體涉及一種在IMS(IP Multimedia Subsystem, IP多媒體業(yè)務(wù)子系統(tǒng))網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄(SSO)的方法和系統(tǒng)���。
背景技術(shù):
目前,為了實(shí)現(xiàn)MS單點(diǎn)登錄���,通常會(huì)在統(tǒng)一MS中訪問(wèn)應(yīng)用服務(wù)器(AS)時(shí)在IMS核心網(wǎng)外部利用AKA(Authentication and Key Agreement,認(rèn)證和密鑰協(xié)商)�、SIPDigest (SIP摘要)等認(rèn)證機(jī)制對(duì)終端用戶設(shè)備(UE)進(jìn)行認(rèn)證,實(shí)現(xiàn)最終的單點(diǎn)登錄功能��。其中�,AS與中繼服務(wù)器(Relay Server,RS)存在安全通道以實(shí)現(xiàn)MS單點(diǎn)登錄的架構(gòu)原理圖如圖I所示;AS與RS存在共享密鑰以實(shí)現(xiàn)MS單點(diǎn)登錄的架構(gòu)原理圖如圖2所示����。在統(tǒng)一 IMS的終端UE實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)器的SSO功能中,根據(jù)應(yīng)用場(chǎng)景不同可分為二種實(shí)現(xiàn)場(chǎng)景I :IMS終端UE 內(nèi)具有UICC(Universal Integrated Circuit Card,通用集成電路卡)卡�����,并且網(wǎng)絡(luò)運(yùn)營(yíng)商已部署了 GBA(Generic Bootstrapping Architecture,通用引導(dǎo)體系)的情形���;此時(shí)可以利用GBA認(rèn)證機(jī)制同Liberty Alliance/OpenID (自由聯(lián)盟/OpenID)結(jié)合實(shí)現(xiàn)單點(diǎn)登錄以及與現(xiàn)有的其它SSO機(jī)制實(shí)現(xiàn)互通���。2 =IMS終端UE內(nèi)具有nCC卡,但是運(yùn)營(yíng)商不能部署GBA的情形��;此種情況下���,可采用AKA/OpenID相結(jié)合方案實(shí)現(xiàn)該種場(chǎng)景下的SSO功能�。3 =IMS終端UE不具有nCC卡并且運(yùn)營(yíng)商也未部署GBA的情形。此種情況下����,已在3GPP SA3#60會(huì)議上由NSN (諾西)對(duì)該情況進(jìn)行立項(xiàng)。上面三種SSO的應(yīng)用場(chǎng)景中���,在終端UE訪問(wèn)AS的服務(wù)時(shí)��,均需要功能網(wǎng)元在MS核心網(wǎng)外使用AKA或者SIP Digest認(rèn)證機(jī)制對(duì)終端UE進(jìn)行認(rèn)證�,而不關(guān)注該MS終端是否已經(jīng)在MS核心網(wǎng)內(nèi)注冊(cè)��,沒(méi)有把MS核心網(wǎng)內(nèi)注冊(cè)認(rèn)證過(guò)程與MS終端的單點(diǎn)登錄過(guò)程相關(guān)聯(lián)����。隨著頂S網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)之間不斷融合的趨勢(shì),IMS終端對(duì)各種應(yīng)用服務(wù)器的訪問(wèn)需求的增加�,實(shí)現(xiàn)MS終端對(duì)應(yīng)用服務(wù)器的SSO功能�����,對(duì)用戶而言是越來(lái)越亟待需要實(shí)現(xiàn)的功能?����,F(xiàn)有技術(shù)都是通過(guò)在頂S網(wǎng)絡(luò)中運(yùn)營(yíng)商大量部署用于對(duì)終端UE進(jìn)行認(rèn)證的功能網(wǎng)元來(lái)實(shí)現(xiàn)對(duì)MS網(wǎng)絡(luò)相關(guān)應(yīng)用服務(wù)的SSO功能。現(xiàn)存方案只有在網(wǎng)絡(luò)運(yùn)營(yíng)商部署了支持認(rèn)證機(jī)制的功能網(wǎng)元����,通過(guò)這些功能網(wǎng)元對(duì)終端UE再次進(jìn)行身份認(rèn)證,終端UE才能實(shí)現(xiàn)訪問(wèn)AS的SSO功能���。這樣將增加訪問(wèn)流程的復(fù)雜性����。
發(fā)明內(nèi)容
有鑒于此�,本發(fā)明的主要目的在于提供一種在MS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的方法和 系統(tǒng),不需要再次對(duì)終端UE進(jìn)行認(rèn)證就能實(shí)現(xiàn)SSO功能�����,有效降低訪問(wèn)流程的復(fù)雜性�����。為達(dá)到上述目的��,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種在MS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的方法�,該方法包括
終端用戶設(shè)備UE在MS核心網(wǎng)內(nèi)利用AKA認(rèn)證機(jī)制注冊(cè)后���,針對(duì)終端UE發(fā)起第三方注冊(cè),獲取該終端UE的第三方注冊(cè)內(nèi)容����;當(dāng)該終端UE要訪問(wèn)AS時(shí),依據(jù)終端UE的第三方注冊(cè)內(nèi)容判斷該終端UE是否已注冊(cè)���,在確認(rèn)終端UE已注冊(cè)時(shí)��,根據(jù)所述第三方注冊(cè)內(nèi)容產(chǎn)生共享密鑰����。所述發(fā)起第三方注冊(cè)�����,獲取該終端UE的第三方注冊(cè)內(nèi)容的過(guò)程包括終端UE首先使用AKA終端用戶注冊(cè)機(jī)制完成在MS網(wǎng)絡(luò)內(nèi)的注冊(cè)�,之后由S-CSCF通知RS針對(duì)終端UE進(jìn)行第三方注冊(cè)過(guò)程;RS進(jìn)而向S-CSCF發(fā)送信息訂閱請(qǐng)求�����,從S-CSCF獲得AKA注冊(cè)認(rèn)證的參數(shù)信息���。該方法進(jìn)一步包括認(rèn)證AS的過(guò)程AS將用戶公用身份標(biāo)識(shí)符和自身身份標(biāo)識(shí)符一起發(fā)送到RS�,RS根據(jù)AS的身份標(biāo)識(shí)符對(duì)AS進(jìn)行認(rèn)證���,若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息����;否則進(jìn)行所述判斷終端UE是否已注冊(cè)的處理��;或者����,AS重定向終端UE發(fā)送的用戶服務(wù)請(qǐng)求并且發(fā)送AS認(rèn)證請(qǐng)求到RS地址,RS依據(jù)AS身份標(biāo)識(shí)信息對(duì)AS進(jìn)行認(rèn)證���;若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息���;否則進(jìn)行所述判斷終端UE是否已注冊(cè)的處理。所述判斷終端UE是否已注冊(cè)����,以及產(chǎn)生共享密鑰的過(guò)程包括根據(jù)在第三方注冊(cè)過(guò)程中RS從S-CSCF獲取的訂閱參數(shù)信息中的注冊(cè)標(biāo)識(shí)符,獲知終端UE是否已注冊(cè)��;在獲知終端UE已注冊(cè)時(shí),利用第三方注冊(cè)的訂閱過(guò)程中獲知的參數(shù)產(chǎn)生共享密鑰��。該方法進(jìn)一步包括AS獲取所述共享密鑰的過(guò)程�。一種在MS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的系統(tǒng),該系統(tǒng)包括S-CSCF和RS ;其中��,所述S-CSCF�,用于當(dāng)終端UE在MS核心網(wǎng)內(nèi)利用AKA認(rèn)證機(jī)制注冊(cè)后,針對(duì)終端UE發(fā)起第三方注冊(cè)����,獲取該終端UE的第三方注冊(cè)內(nèi)容;所述RS����,用于當(dāng)該終端UE要訪問(wèn)AS時(shí),依據(jù)終端UE的第三方注冊(cè)內(nèi)容判斷該終端UE是否已注冊(cè)���,在確認(rèn)終端UE已注冊(cè)時(shí)�,根據(jù)所述第三方注冊(cè)內(nèi)容產(chǎn)生共享密鑰���。所述S-CSCF在發(fā)起第三方注冊(cè)��,獲取該終端UE的第三方注冊(cè)內(nèi)容時(shí)�,用于在終端UE使用AKA終端用戶注冊(cè)機(jī)制完成在MS網(wǎng)絡(luò)內(nèi)的注冊(cè)之后,通知RS針對(duì)終端UE進(jìn)行第三方注冊(cè)過(guò)程�;觸發(fā)RS向S-CSCF發(fā)送信息訂閱請(qǐng)求�,從S-CSCF獲得AKA注冊(cè)認(rèn)證的參數(shù)信息。所述AS�����,進(jìn)一步用于與RS配合認(rèn)證AS ;其中����,所述AS,用于將用戶公用身份標(biāo)識(shí)符和自身身份標(biāo)識(shí)符一起發(fā)送到RS �����;所述RS�����,用于根據(jù)AS的身份標(biāo)識(shí)符對(duì)AS進(jìn)行認(rèn)證����,若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息;否則進(jìn)行所述判斷終端UE是否已注冊(cè)的處理����;或者�����,所述AS�,用于重定向終端UE發(fā)送的用戶服務(wù)請(qǐng)求并且發(fā)送AS認(rèn)證請(qǐng)求到RS地址����;所述RS,用于依據(jù)AS身份標(biāo)識(shí)信息對(duì)AS進(jìn)行認(rèn)證�����;若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息���;否則進(jìn)行所述判斷終端UE是否已注冊(cè)的處理�。
所述RS在判斷終端UE是否已注冊(cè)�����,以及產(chǎn)生共享密鑰時(shí)���,用于根據(jù)在第三方注冊(cè)過(guò)程中從S-CSCF獲取的訂閱參數(shù)信息中的注冊(cè)標(biāo)識(shí)符�,獲知終端UE是否已注冊(cè);在獲知終端UE已注冊(cè)時(shí)���,利用第三方注冊(cè)的訂閱過(guò)程中獲知的參數(shù)產(chǎn)生共享密鑰��。所述AS�����,進(jìn)一步用于獲取所述共享密鑰。本發(fā)明在MS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的方法和系統(tǒng)��,不需要再次對(duì)終端UE進(jìn)行認(rèn)證就能實(shí)現(xiàn)SSO功能�,有效降低訪問(wèn)流程的復(fù)雜性。
圖I為AS與RS存在安全通道實(shí)現(xiàn)MS單點(diǎn)登錄功能的整體架構(gòu)圖����;圖2為AS與RS存在共享密鑰實(shí)現(xiàn)MS單點(diǎn)登錄功能的整體架構(gòu)圖;圖3為AS與RS之間存在安全通道時(shí)���,在MS核心網(wǎng)內(nèi)利用AKA認(rèn)證機(jī)制的第三方注冊(cè)過(guò)程實(shí)現(xiàn)終端UE的SSO功能的流程���;圖4為AS與RS之間不存在安全通道但具有共享密鑰時(shí),在IMS核心網(wǎng)內(nèi)利用AKA認(rèn)證機(jī)制的第三方注冊(cè)過(guò)程實(shí)現(xiàn)終端UE的SSO功能的流程;圖5為本發(fā)明實(shí)施例在MS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的流程簡(jiǎn)圖�。
具體實(shí)施例方式實(shí)際上,在MS核心網(wǎng)中終端UE只需要注冊(cè)一次�,就會(huì)在S-CSCF(Serving-CSCF,服務(wù)CSCF)中產(chǎn)生一個(gè)標(biāo)識(shí)該終端UE已注冊(cè)的標(biāo)識(shí)符register�����,該終端UE根據(jù)該標(biāo)識(shí)符就不需要再次注冊(cè)�,進(jìn)而可以進(jìn)行后續(xù)的通話操作。在終端UE訪問(wèn)應(yīng)用服務(wù)器時(shí)�,同樣可以利用該標(biāo)識(shí)符,使得終端UE不需要再次利用認(rèn)證機(jī)制在UE和認(rèn)證中心之間進(jìn)行認(rèn)證過(guò)程�,就可以直接安全地獲得所需的服務(wù)。為了實(shí)現(xiàn)該功能���,需要設(shè)計(jì)一個(gè)新的網(wǎng)元RS���,利用該網(wǎng)元識(shí)別該標(biāo)識(shí)符,并能夠使得終端UE和應(yīng)用服務(wù)器之間建立共享密鑰�,進(jìn)而進(jìn)行安全的信息交互。本發(fā)明中���,可以利用終端UE在MS核心網(wǎng)內(nèi)采用AKA認(rèn)證機(jī)制完成注冊(cè)過(guò)程時(shí)����,在S-CSCF內(nèi)產(chǎn)生的注冊(cè)標(biāo)識(shí)符Register,并利用網(wǎng)絡(luò)運(yùn)營(yíng)商提供的RS網(wǎng)元與S-CSCF進(jìn)行第三方注冊(cè)過(guò)程���,使得RS獲得MS核心網(wǎng)內(nèi)注冊(cè)認(rèn)證過(guò)程中傳遞的認(rèn)證參數(shù)IK��、CK����、nonce以及S-CSCF產(chǎn)生的注冊(cè)標(biāo)識(shí)符Register��。RS網(wǎng)元通過(guò)識(shí)別該Register標(biāo)識(shí)符,獲知該終端UE已注冊(cè)認(rèn)證通過(guò)����,進(jìn)而產(chǎn)生AS和終端UE兩者的會(huì)話密鑰���,AS和終端UE之間通過(guò)該會(huì)話密鑰可以進(jìn)行安全的信息交互����。同時(shí)�,RS提供對(duì)訪問(wèn)的應(yīng)用服務(wù)器進(jìn)行認(rèn)證,保證終端UE身份信息的安全性���。有鑒于此��,可以利用終端UE在MS核心網(wǎng)內(nèi)的AKA認(rèn)證注冊(cè)過(guò)程產(chǎn)生的注冊(cè)標(biāo)識(shí)符register���,在統(tǒng)一 MS網(wǎng)絡(luò)中實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)器的SSO功能架構(gòu)和流程�����;可以在實(shí)現(xiàn)SSO功能過(guò)程中由功能網(wǎng)元對(duì)注冊(cè)標(biāo)識(shí)符register進(jìn)行識(shí)別��,以及由RS提供對(duì)AS進(jìn)行認(rèn)證的機(jī)制�;使得在MS中�,終端UE只需要在IMS核心網(wǎng)內(nèi)利用AKA認(rèn)證機(jī)制完成第三方注冊(cè),就可以實(shí)現(xiàn)SSO的訪問(wèn)所需的應(yīng)用服務(wù)器��。與基于SIP Digest的MS單點(diǎn)登錄機(jī)制相比����,不需要再次對(duì)終端UE進(jìn)行SIP Digest認(rèn)證就能實(shí)現(xiàn)SSO功能。
具體而言���,終端UE用戶在MS核心網(wǎng)內(nèi)利用AKA認(rèn)證機(jī)制注冊(cè)后��,S-CSCF向網(wǎng)絡(luò)運(yùn)營(yíng)商提供的網(wǎng)元RS發(fā)出第三方注冊(cè)請(qǐng)求過(guò)程�,RS向S-CSCF進(jìn)行訂閱請(qǐng)求,從S-CSCF獲得AKA認(rèn)證注冊(cè)過(guò)程中的參數(shù)IK�����、CK�、nonce以及注冊(cè)標(biāo)識(shí)符register。當(dāng)該終端UE要訪問(wèn)AS時(shí)���,UE向AS發(fā)送應(yīng)用服務(wù)請(qǐng)求�����,AS本身不存儲(chǔ)UE的任何身份信息����,AS不對(duì)UE進(jìn)行識(shí)別�����,直接把該認(rèn)證請(qǐng)求重定向到網(wǎng)絡(luò)運(yùn)營(yíng)商提供的RS網(wǎng)元去識(shí)別該終端UE ;同時(shí)為了 UE用戶終端的安全���,AS要到RS去進(jìn)行認(rèn)證。RS和AS兩者之間事先已協(xié)商共享密鑰或存在安全通道�����。RS對(duì)AS身份進(jìn)行認(rèn)證,若認(rèn)證AS失敗�,則直接向終端UE返回AS錯(cuò)誤信息,否則RS依據(jù)在第三方注冊(cè)的訂閱過(guò)程獲得該終端UE相關(guān)的認(rèn)證向量(其中包含Register注冊(cè)標(biāo)識(shí)符)��,以識(shí)別該終端UE是否已注冊(cè)��,若未注冊(cè)或者注冊(cè)生命周期過(guò)期���,則需要終端UE先在MS核心網(wǎng)內(nèi)進(jìn)行再注冊(cè)����,否則RS從注冊(cè)標(biāo)識(shí)符獲知該終端UE已注冊(cè)��,則RS產(chǎn)生共享密鑰AS_Ks ;接著����,將該信息發(fā)送到AS,還包括AS和UE兩者的共享密鑰加密AS_Ks和nonce值�����;終端UE獲得nonce����,產(chǎn)生密鑰AS_Ks ;將共享密鑰AS_Ks作用在UE和AS兩者之間的接口�,以保證兩者安全的信息傳遞����。本發(fā)明是MS終端在MS核心網(wǎng)內(nèi)利用AKA認(rèn)證注冊(cè)過(guò)程,以及S-CSCF產(chǎn)生的注冊(cè)標(biāo)識(shí)符����,設(shè)計(jì)功能網(wǎng)元RS與S-CSCF進(jìn)行第三方注冊(cè)過(guò)程并識(shí)別該標(biāo)識(shí)符,以實(shí)現(xiàn)終端UE的SSO功能���。UE為MS終端�,AS對(duì)應(yīng)于MS終端要訪問(wèn)的應(yīng)用服務(wù)器����,RS對(duì)應(yīng)于網(wǎng)絡(luò)運(yùn)營(yíng)商提供的進(jìn)行第三方注冊(cè)和訂閱、識(shí)別注冊(cè)標(biāo)識(shí)符register和產(chǎn)生密鑰的功能網(wǎng)元�。下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)一步詳細(xì)闡述。參見(jiàn)圖3��,AS與RS之間存在安全通道時(shí)���,在MS核心網(wǎng)內(nèi)利用AKA認(rèn)證機(jī)制的第三方注冊(cè)過(guò)程實(shí)現(xiàn)終端UE的SSO功能時(shí)��,可以執(zhí)行如下步驟步驟I :終端UE首先完成在MS網(wǎng)絡(luò)內(nèi)的注冊(cè)�。該過(guò)程使用AKA終端用戶注冊(cè)機(jī)制實(shí)現(xiàn)����。步驟2 S-CSCF通知RS進(jìn)行第三方注冊(cè)過(guò)程。步驟3 RS向S-CSCF發(fā)送信息訂閱請(qǐng)求���,從S-CSCF獲得AKA注冊(cè)認(rèn)證的參數(shù)信息��,包括注冊(cè)標(biāo)識(shí)符Register���、IK、CK����、nonce等信息。步驟4 UE向AS發(fā)出訪問(wèn)服務(wù)請(qǐng)求�����,為了保證用戶私有標(biāo)識(shí)符MPI不被泄露���,該請(qǐng)求中攜帶用戶的用戶公用身份標(biāo)識(shí)頂PU�����,用于表示終端UE�����。步驟5 :AS獲得該用戶服務(wù)請(qǐng)求后����,將用戶公用身份標(biāo)識(shí)符IMPU和AS自身身份標(biāo)識(shí)符(AS身份)一起發(fā)送到RS。步驟6 RS根據(jù)AS的身份標(biāo)識(shí)符對(duì)AS進(jìn)行認(rèn)證���。若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息����;否則執(zhí)行步驟8�����。步驟7 RS若認(rèn)證AS��,獲知該AS非法���,則返回認(rèn)證失敗信息給終端UE���。步驟8 :根據(jù)在第三方注冊(cè)過(guò)程中RS從S-CSCF獲取的訂閱參數(shù)信息中的注冊(cè)標(biāo)識(shí)符register,獲知終端UE是否已注冊(cè)�,若未注冊(cè)則直接返回讓終端UE先注冊(cè);否則利用第三方注冊(cè)的訂閱過(guò)程獲知的IK�����、CK和nonce等產(chǎn)生共享密鑰AS_Ks�����。步驟9 RS向AS發(fā)送身份認(rèn)證響應(yīng),該信息中包含AS_Ks和nonce值�。步驟10 AS獲得密鑰AS_Ks。步驟11 AS向終端UE發(fā)送應(yīng)用服務(wù)應(yīng)答消息,該消息中攜帶隨機(jī)數(shù)nonce值��。步驟12 :終端UE利用獲得的nonce值和MS注冊(cè)時(shí)得到的IK����、CK 一起產(chǎn)生密鑰AS_Ks。此時(shí)UE和AS兩者有相同的共享密鑰���,可以進(jìn)行安全的應(yīng)用信息的交互操作���。
上述步驟中任一步驟失敗�����,則整個(gè)過(guò)程停止執(zhí)行���。參見(jiàn)圖4,AS與RS之間不存在安全通道但具有共享密鑰時(shí)��,在MS核心網(wǎng)內(nèi)利用AKA認(rèn)證機(jī)制的第三方注冊(cè)過(guò)程實(shí)現(xiàn)終端UE的SSO功能時(shí)��,可以執(zhí)行如下步驟步驟I :終端UE首先完成在MS網(wǎng)絡(luò)內(nèi)的注冊(cè)����。該過(guò)程使用AKA終端用戶注冊(cè)機(jī)制實(shí)現(xiàn)。步驟2 : S-CSCF通知RS進(jìn)行第三方注冊(cè)過(guò)程�����。步驟3 RS向S-CSCF發(fā)送信息訂閱請(qǐng)求�����,從S-CSCF獲得AKA注冊(cè)認(rèn)證的參數(shù)信息�,包括注冊(cè)標(biāo)識(shí)符Register�����、IK�、CK�����、nonce等信息��。步驟4 :UE向AS發(fā)出訪問(wèn)服務(wù)請(qǐng)求���,該請(qǐng)求中攜帶用戶的公用身份標(biāo)識(shí)IMPU。步驟5 :AS重定向該用戶服務(wù)請(qǐng)求并且發(fā)送RP認(rèn)證請(qǐng)求到RS地址��。同時(shí)攜帶MPU和RP身份標(biāo)識(shí)信息(AS身份)�。步驟6 :請(qǐng)求被重定向到RS地址,同時(shí)攜帶MPU和RP身份標(biāo)識(shí)信息(AS身份)���。步驟7 RS依據(jù)AS身份標(biāo)識(shí)信息(AS身份)對(duì)AS進(jìn)行認(rèn)證�����;若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息��;否則執(zhí)行步驟9�����。AS和RS之間事先已建立了共享密鑰(Ka��,r)�����。步驟8 RS對(duì)AS進(jìn)行認(rèn)證失敗后�����,直接返回錯(cuò)誤信息給終端UE����。步驟9 :根據(jù)在第三方注冊(cè)過(guò)程中RS從S-CSCF獲取的訂閱參數(shù)信息中的注冊(cè)標(biāo)識(shí)符register,獲知終端UE是否已注冊(cè)��,若未注冊(cè)則直接返回讓終端UE先注冊(cè);否則利用第三方注冊(cè)的訂閱過(guò)程獲知的IK、CK和nonce等產(chǎn)生共享密鑰AS_Ks��。步驟10 :RS重定向結(jié)果信息到AS,該信息中包含nonce和加密AS_Ks的信息EKa��,r(AS_Ks)。步驟11 UE收到nonce值�,利用終端UE在MS核心網(wǎng)內(nèi)AKA注冊(cè)時(shí)產(chǎn)生的IK和CK,與收到的nonce值產(chǎn)生密鑰AS_Ks。步驟11 :重定向加密信息到AS�����,該信息中包含EKa��,r(AS_Ks)���。步驟12 AS解密收到的加密信息,獲得共享密鑰AS_Ks����。此時(shí)UE和AS兩者有相同的共享密鑰,可以進(jìn)行安全的應(yīng)用信息的交互操作�����。上述步驟中任一步驟失敗�����,則整個(gè)過(guò)程停止繼續(xù)執(zhí)行���。在UE用戶訪問(wèn)AS時(shí)�����,若遭遇意外導(dǎo)致斷網(wǎng)�����,當(dāng)UE還未完成與AS之間建立共享密鑰的過(guò)程����,則若網(wǎng)絡(luò)恢復(fù)后UE要訪問(wèn)應(yīng)用服務(wù)器,則需要重新開(kāi)始請(qǐng)求服務(wù)過(guò)程�;當(dāng)UE已經(jīng)完成共享密鑰的建立過(guò)程,若恢復(fù)網(wǎng)絡(luò)用時(shí)未到達(dá)共享密鑰的生命周期���,則網(wǎng)絡(luò)恢復(fù)后UE和AS之間可以繼續(xù)把該共享密鑰應(yīng)用到其參考點(diǎn)上的協(xié)議中�,繼續(xù)與AS進(jìn)行安全交互�,否則需要重新產(chǎn)生共享密鑰過(guò)程。在UE用戶訪問(wèn)AS后��,若遭遇用戶主動(dòng)關(guān)閉注銷UE或斷電等特殊情況�����,則用戶需要重新完成在頂S內(nèi)的注冊(cè)等整個(gè)執(zhí)行流程。結(jié)合以上實(shí)施例可知��,本發(fā)明在MS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的操作思路可以表示如圖5所示的流程����,圖5所示流程包括以下步驟步驟510 :終端UE在MS核心網(wǎng)內(nèi)利用AKA認(rèn)證機(jī)制注冊(cè)后,針對(duì)終端UE發(fā)起第
三方注冊(cè)��,獲取該終端UE的第三方注冊(cè)內(nèi)容�。步驟520 :當(dāng)該終端UE要訪問(wèn)AS時(shí),依據(jù)終端UE的第三方注冊(cè)內(nèi)容判斷該終端UE是否已注冊(cè)���,在確認(rèn)終端UE已注冊(cè)時(shí),根據(jù)所述第三方注冊(cè)內(nèi)容產(chǎn)生共享密鑰����。綜上所述可見(jiàn),本發(fā)明在MS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的方法和系統(tǒng)�,不需要再次對(duì)終端UE進(jìn)行認(rèn)證就能實(shí)現(xiàn)SSO功能,有效降低訪問(wèn)流程的復(fù)雜性����。、
以上所述�,僅為本發(fā)明的較佳實(shí)施例而已���,并非用于限定本發(fā)明的保護(hù)范圍。權(quán)利要求
1.一種在IMS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的方法���,其特征在于�,該方法包括終端用戶設(shè)備UE在MS核心網(wǎng)內(nèi)利用AKA認(rèn)證機(jī)制注冊(cè)后�,針對(duì)終端UE發(fā)起第三方注冊(cè),獲取該終端UE的第三方注冊(cè)內(nèi)容���;當(dāng)該終端UE要訪問(wèn)AS時(shí)��,依據(jù)終端UE的第三方注冊(cè)內(nèi)容判斷該終端UE是否已注冊(cè)��,在確認(rèn)終端UE已注冊(cè)時(shí)����,根據(jù)所述第三方注冊(cè)內(nèi)容產(chǎn)生共享密鑰�。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于����,所述發(fā)起第三方注冊(cè),獲取該終端UE的第三方注冊(cè)內(nèi)容的過(guò)程包括終端UE首先使用AKA終端用戶注冊(cè)機(jī)制完成在MS網(wǎng)絡(luò)內(nèi)的注冊(cè),之后由S-CSCF通知RS針對(duì)終端UE進(jìn)行第三方注冊(cè)過(guò)程����;RS進(jìn)而向S-CSCF發(fā)送信息訂閱請(qǐng)求,從S-CSCF獲得AKA注冊(cè)認(rèn)證的參數(shù)信息�����。
3.根據(jù)權(quán)利要求2所述的方法�,其特征在于,該方法進(jìn)一步包括認(rèn)證AS的過(guò)程AS將用戶公用身份標(biāo)識(shí)符和自身身份標(biāo)識(shí)符一起發(fā)送到RS�,RS根據(jù)AS的身份標(biāo)識(shí)符對(duì)AS進(jìn)行認(rèn)證,若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息���;否則進(jìn)行所述判斷終端UE是否已注冊(cè)的處理�;或者���,AS重定向終端UE發(fā)送的用戶服務(wù)請(qǐng)求并且發(fā)送AS認(rèn)證請(qǐng)求到RS地址,RS依據(jù)AS身份標(biāo)識(shí)信息對(duì)AS進(jìn)行認(rèn)證���;若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息����;否則進(jìn)行所述判斷終端UE是否已注冊(cè)的處理���。
4.根據(jù)權(quán)利要求I至3任一項(xiàng)所述的方法��,其特征在于�����,所述判斷終端UE是否已注冊(cè)��,以及產(chǎn)生共享密鑰的過(guò)程包括根據(jù)在第三方注冊(cè)過(guò)程中RS從S-CSCF獲取的訂閱參數(shù)信息中的注冊(cè)標(biāo)識(shí)符��,獲知終端UE是否已注冊(cè)�;在獲知終端UE已注冊(cè)時(shí),利用第三方注冊(cè)的訂閱過(guò)程中獲知的參數(shù)產(chǎn)生共享密鑰����。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于�,該方法進(jìn)一步包括AS獲取所述共享密鑰的過(guò)程。
6.一種在MS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的系統(tǒng)�����,其特征在于���,該系統(tǒng)包括S-CSCF和RS ;其中�����,所述S-CSCF�,用于當(dāng)終端UE在MS核心網(wǎng)內(nèi)利用AKA認(rèn)證機(jī)制注冊(cè)后,針對(duì)終端UE發(fā)起第三方注冊(cè)�����,獲取該終端UE的第三方注冊(cè)內(nèi)容�����;所述RS�,用于當(dāng)該終端UE要訪問(wèn)AS時(shí),依據(jù)終端UE的第三方注冊(cè)內(nèi)容判斷該終端UE是否已注冊(cè)�,在確認(rèn)終端UE已注冊(cè)時(shí),根據(jù)所述第三方注冊(cè)內(nèi)容產(chǎn)生共享密鑰�。
7.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于�����,所述S-CSCF在發(fā)起第三方注冊(cè)���,獲取該終端UE的第三方注冊(cè)內(nèi)容時(shí),用于在終端UE使用AKA終端用戶注冊(cè)機(jī)制完成在MS網(wǎng)絡(luò)內(nèi)的注冊(cè)之后�,通知RS針對(duì)終端UE進(jìn)行第三方注冊(cè)過(guò)程�;觸發(fā)RS向S-CSCF發(fā)送信息訂閱請(qǐng)求,從S-CSCF獲得AKA注冊(cè)認(rèn)證的參數(shù)信息���。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)���,其特征在于,所述AS�,進(jìn)一步用于與RS配合認(rèn)證AS;其中�����,所述AS��,用于將用戶公用身份標(biāo)識(shí)符和自身身份標(biāo)識(shí)符一起發(fā)送到RS ���;所述RS�����,用于根據(jù)AS的身份標(biāo)識(shí)符對(duì)AS進(jìn)行認(rèn)證�����,若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息����;否則進(jìn)行所述判斷終端UE是否已注冊(cè)的處理;或者����,所述AS,用于重定向終端UE發(fā)送的用戶服務(wù)請(qǐng)求并且發(fā)送AS認(rèn)證請(qǐng)求到RS地址���;所述RS��,用于依據(jù)AS身份標(biāo)識(shí)信息對(duì)AS進(jìn)行認(rèn)證�;若AS認(rèn)證失敗則RS直接向終端UE返回錯(cuò)誤信息����;否則進(jìn)行所述判斷終端UE是否已注冊(cè)的處理。
9.根據(jù)權(quán)利要求6至8任一項(xiàng)所述的系統(tǒng)�,其特征在于,所述RS在判斷終端UE是否已注冊(cè)���,以及產(chǎn)生共享密鑰時(shí)��,用于根據(jù)在第三方注冊(cè)過(guò)程中從S-CSCF獲取的訂閱參數(shù)信息中的注冊(cè)標(biāo)識(shí)符���,獲知終端UE是否已注冊(cè);在獲知終端UE已注冊(cè)時(shí)����,利用第三方注冊(cè)的訂閱過(guò)程中獲知的參數(shù)產(chǎn)生共享密鑰。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)����,其特征在于,所述AS��,進(jìn)一步用于獲取所述共享密鑰���。
全文摘要
本發(fā)明公開(kāi)了一種在IMS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的方法和系統(tǒng)�����,均可在終端UE在IMS核心網(wǎng)內(nèi)利用AKA認(rèn)證機(jī)制注冊(cè)后��,針對(duì)終端UE發(fā)起第三方注冊(cè)���,獲取該終端UE的第三方注冊(cè)內(nèi)容�����;當(dāng)該終端UE要訪問(wèn)AS時(shí)�,依據(jù)終端UE的第三方注冊(cè)內(nèi)容判斷該終端UE是否已注冊(cè)���,在確認(rèn)終端UE已注冊(cè)時(shí)���,根據(jù)所述第三方注冊(cè)內(nèi)容產(chǎn)生共享密鑰。本發(fā)明在IMS網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄的方法和系統(tǒng)���,不需要再次對(duì)終端UE進(jìn)行認(rèn)證就能實(shí)現(xiàn)SSO功能����,有效降低訪問(wèn)流程的復(fù)雜性�。
文檔編號(hào)H04L29/06GK102638441SQ20111003858
公開(kāi)日2012年8月15日 申請(qǐng)日期2011年2月15日 優(yōu)先權(quán)日2011年2月15日
發(fā)明者張孟旺, 田甜 申請(qǐng)人:中興通訊股份有限公司