基于IMS的IPTV用户合法性认证的方法、服务器及系统

摘要

本发明涉及一种基于IMS的IPTV用户合法性认证的方法、服务器及系统，其中方法包括：当终端在IMS核心网上注册后，EPG服务器为终端分配一身份标识key；接收终端发送的HTTP请求消息，根据HTTP请求消息以及身份标识key对终端进行身份认证。本发明在IMS核心网对用户终端注册时的第一次鉴权的基础上，当终端在IMS核心网上注册后，EPG服务器为终端为分配一个临时的身份标识key，在后续终端与EPG服务器之间的所有交互中，由EPG服务器根据终端的访问请求，对该身份标识key进行合法性校验，通过二次鉴权提高了系统的安全性，为基于IMS的IPTV的多业务融合提供便利。

说明书

技术领域

本发明涉及多媒体网络技术领域，尤其涉及一种基于IMS的IPTV用户合法性认证的方法、服务器及系统。

背景技术

IMS(IP Multimedia Subsystem，IP多媒体子系统)是一种接入无关的可以提供语音、视频、图片以及文本等多媒体组合业务，并实现统一控制的控制网。作为下一代网络(NGN)标准架构下的多媒体子系统，IMS为固定网络与移动网络提供了融合的体系架构；其通过设置独立的归属用户服务器(HSS)数据库促进了控制层面与数据层面的分离，运营商可以在这一架构下同时开展多个业务，对多种业务进行统一注册、业务认证、计费以及鉴权，实现对用户数据和业务数据的统一管理。

目前，IMS逐渐被公认为融合网络架构的发展方向，IMS和IPTV(Interactive Personality TV，交互式网络电视)的融合是IPTV未来发展的一个主要方向。

IPTV是一种利用宽带有线电视网，集互联网、多媒体、通讯等多种技术于一体，向家庭用户提供包括数字电视在内的多种交互式服务的崭新技术。其系统结构主要包括流媒体服务、节目采编、存储及认证计费等子系统，主要存储及传送的内容是以MP-4为编码核心的流媒体文件，其基于IP网络传输，用户终端可以是IP机顶盒+电视机，也可以是PC。

EPG(Electronic Program Guide，电子节目菜单)系统在IPTV系统中起着十分重要的作用。IPTV所提供的各种业务的索引及导航均通过EPG系统来完成。

作为IPTV业务的门户系统，EPG系统主要完成和用户的接口、用户命令的解析和交互并将结果返回给用户，同时为用户消费提供指引，使用户最终享受到IPTV服务。

现有技术中，用户终端(UE，User Equipment)可以通过SIP(Session Initiation Protocol，应用层的信令控制协议)消息在IMS核心网上注册，以便由IMS核心网保证用户通信的安全性，而在IPTV业务中，用户终端和EPG系统之间采用直接的HTTP通信，该种通信方式无法通过IMS核心网保证用户通信的安全性。因此通过IMS核心网保证用户终端与EPG系统之间通信安全性的技术有待研发。

发明内容

本发明的主要目的在于提供一种基于IMS的IPTV用户合法性认证的方法、服务器及系统，旨在提高用户终端与EPG服务器(系统)之间通信的安全性。

本发明提出一种基于IMS的IPTV用户合法性认证的方法，包括：

当终端在IMS核心网上注册后，EPG服务器为终端分配一身份标识key；

接收终端发送的HTTP请求消息，根据所述HTTP请求消息以及身份标识key对终端进行身份认证。

优选地，所述当终端在IMS核心网上注册后，EPG服务器为终端分配一身份标识key的步骤具体包括：

当终端在IMS核心网上注册后，EPG服务器对终端随机生成的字符串KEK进行加密，得到EKEK消息；

通过IMS核心网接收终端发送的携带有EKEK消息的subscribe请求；

对所述subscribe请求中的EKEK消息进行解密，当解密成功时，生成带有身份标识key的Ekey消息；

通过IMS核心网向终端发送携带有Ekey消息的notify请求，以便终端根据所述Ekey消息解密获取所述身份标识key。

优选地，所述当解密成功时，生成带有身份标识key的Ekey消息的步骤具体包括：

当解密成功时，从所述EKEK消息中解密出所述字符串KEK；

随机生成128bits的身份标识key；

根据所述字符串KEK对身份标识key进行加密，得到Ekey消息并保存该Ekey消息；所述Ekey中包含身份标识key与终端用户名的对应关系以及身份标识key的有效期。

优选地，所述根据HTTP请求消息以及身份标识key对终端进行身份认证的步骤具体包括：

EPG服务器服务端向终端发送要求终端进行HTTP认证的指令消息；

所述服务端接收终端发送的携带有认证头以及身份标识key的HTTP认证消息；

所述服务端根据终端用户名从所述HTTP认证消息中解析出所述身份标识key；

服务端判断解析出的身份标识key与其已保存的该终端对应的身份标识key是否一致，若是，则向终端返回认证成功应答消息；否则，返回错误消息。

优选地，所述服务端判断解析出的身份标识key与其已保存该终端对应的身份标识key是否一致的步骤之前还包括：

当服务端检测到没有保存有该终端对应的身份标识key或该终端对应的身份标识key已失效时，服务端向EPG服务器控制端发送查询所述终端对应的身份标识key的查询请求；

服务端接收并保存控制端返回的该控制端通过用户名查询到或重新生成的终端对应的身份标识key及该对应的身份标识key的有效期。

本发明提出一种基于IMS的IPTV用户合法性认证的服务器，包括：

控制模块，用于当终端在IMS核心网上注册后，为终端分配一身份标识key；

服务模块，用于接收终端发送的HTTP请求消息，根据所述HTTP请求消息以及身份标识key对终端进行身份认证。

优选地，所述控制模块包括：

加密单元，用于当终端在IMS核心网上注册后，对终端随机生成的字符串KEK进行加密，得到EKEK消息；

第一接收单元，用于通过IMS核心网接收终端发送的携带有EKEK消息的subscribe请求；

解密生成单元，用于对所述subscribe请求中的EKEK消息进行解密，当解密成功时，生成带有身份标识key的Ekey消息；

第一发送单元，用于通过IMS核心网向终端发送携带有Ekey消息的notify请求，以便终端根据所述Ekey消息解密获取所述身份标识key。

优选地，所述解密生成单元包括：

解密子单元，用于当解密成功时，从所述EKEK消息中解密出所述字符串KEK；

生成子单元，用于随机生成128bits的身份标识key；

加密子单元，用于根据所述字符串KEK对身份标识key进行加密，得到Ekey消息并保存该Ekey消息；所述Ekey中包含身份标识key与终端用户名的对应关系以及身份标识key的有效期。

优选地，所述服务模块包括：

第二发送单元，用于向终端发送要求终端进行HTTP认证的指令消息；

第二接收单元，用于接收终端发送的携带有认证头以及身份标识key的HTTP认证消息；

解析单元，用于根据终端用户名从所述HTTP认证消息中解析出所述身份标识key；

判断操作单元，用于判断解析出的身份标识key与其已保存的该终端对应的身份标识key是否一致，若是，则向终端返回认证成功应答消息；否则，返回错误消息。

优选地，所述第二发送单元，还用于当检测到没有保存有该终端对应的身份标识key或该终端对应的身份标识key已失效时，向控制模块发送查询所述终端对应的身份标识key的查询请求；

所述第二接收单元，还用于接收并保存控制模块返回的该控制模块通过用户名查询到或重新生成的终端对应的身份标识key及该对应的身份标识key的有效期。

本发明还提出一种基于IMS的IPTV用户合法性认证的系统，包括终端和服务器，

所述终端，用于向服务器发送访问该服务器的HTTP请求消息；

所述服务器，用于当终端在IMS核心网上注册后，为终端分配一身份标识key；以及接收终端发送的访问该服务器的HTTP请求消息，根据所述HTTP请求消息以及身份标识key对终端进行身份认证。

所述服务器为如上所述的服务器。

本发明提出一种基于IMS的IPTV用户合法性认证的方法、服务器及系统，在IMS核心网对用户终端注册时的第一次鉴权的基础上，实现IPTV用户终端登陆的二次鉴权，当终端在IMS核心网上注册后，EPG服务器为终端为分配一个临时的身份标识key，在后续与EPG服务器之间的所有交互中，终端均需要携带该身份标识key，由EPG服务器根据终端的访问请求，对该身份标识key进行合法性校验，通过二次鉴权提高了系统的安全性，为基于IMS的IPTV的多业务融合提供便利。

附图说明

图1是本发明基于IMS的IPTV用户合法性认证的方法一实施例流程示意图；

图2是本发明基于IMS的IPTV用户合法性认证的方法一实施例中当终端在IMS核心网上注册后，EPG服务器为终端分配一身份标识key的具体流程示意图；

图3是本发明基于IMS的IPTV用户合法性认证的方法一实施例中当解密成功时，生成带有身份标识key的Ekey消息的具体流程示意图；

图4是本发明基于IMS的IPTV用户合法性认证的方法一实施例中根据HTTP请求消息以及身份标识key对终端进行身份认证的具体流程示意图；

图5是本发明基于IMS的IPTV用户合法性认证的方法另一实施例流程示意图；

图6是本发明基于IMS的IPTV用户合法性认证的服务器一实施例结构示意图；

图7是本发明基于IMS的IPTV用户合法性认证的服务器一实施例中控制模块具体结构示意图；

图8是本发明基于IMS的IPTV用户合法性认证的服务器一实施例中控制模块的解密生成单元具体结构示意图；

图9是本发明基于IMS的IPTV用户合法性认证的服务器一实施例中服务模块具体结构示意图；

图10是本发明基于IMS的IPTV用户合法性认证的系统一实施例结构示意图。

为了使本发明的技术方案更加清楚、明了，下面将结合附图作进一步详述。

具体实施方式

本发明实施例解决方案主要是当终端在IMS核心网上注册后，EPG服务器为终端为分配一个临时的身份标识key，在后续与EPG服务器之间的所有交互中，终端均需要携带该身份标识key，由EPG服务器根据终端的访问请求，对该身份标识key进行合法性校验，通过二次鉴权提高了系统的安全性。

如图1所示，本发明一实施例提出一种基于IMS的IPTV用户合法性认证的方法，包括：

步骤S101，当终端在IMS核心网上注册后，EPG服务器为终端分配一身份标识key；

作为IPTV业务的门户系统，EPG系统主要完成和用户的接口、用户命令的解析和交互并将结果返回给用户，同时为用户消费提供指引，使用户最终享受到IPTV服务。IPTV的用户终端可以是IP机顶盒+电视机，也可以是PC，本实施例以用户终端(本实施例称终端)为IP机顶盒+电视机为例进行具体说明，即用户可通过机顶盒及电视机与EPG系统(本实施例称EPG服务器)进行交互以享受IPTV服务。

终端在访问EPG服务器之前，首先需要在IMS核心网上进行注册，并由核心网对终端进行第一鉴权，当终端在IMS核心网上完成注册后，通过IMS核心网由EPG服务器中的SCF(业务控制模块，本实施例称控制端)分配一个临时的身份标识key，终端访问EPG服务器的SSF(业务服务模块，本实施例称服务端)时需携带此临时身份标识key，以便终端访问EPG服务器的SSF时，由SSF根据身份标识key对终端进行合法性认证。

本实施例中，终端获取身份标识key的具体过程为：

当终端在IMS核心网上注册后，终端随机生成128bits的字符串KEK，EPG服务器采用SCF的PubKey(公钥)对字符串KEK进行加密得到EKEK＝E(PubKey，KEK)，E为RSA加密算法；

终端通过IMS核心网向SCF发送携带有EKEK消息的subscribe请求；

SCF用PriKey(私钥)解密EKEK得到字符串KEK，如果解密错误则返回错误信息；若解密成功，则随机生成128bits的认证密钥key即终端的身份标识key，用字符串KEK加密得到EKey＝E(KEK，key)，其中E为3DES-ECB算法，SCF保存终端用户名和身份标识key的对应关系，以及身份标识key的有效期；

SCF在notify请求中携带Ekey消息，并通过IMS核心网将notify请求发送给终端；

终端用字符串KEK解密EKey消息后得到身份标识key；并向SCF返回成功获取到身份标识key的应答消息。

步骤S102，接收终端发送的HTTP请求消息，根据HTTP请求消息以及身份标识key对终端进行身份认证。

当终端获取到身份标识key之后，终端开始访问SSF，并向SSF发送访问SSF的HTTP请求消息；

SSF收到终端发送的HTTP请求消息后，向终端发送错误认证消息(WWW-Authenticate Header)，并向终端发送要求终端进行HTTP Digest认证的指令消息；

终端收到SSF发送的要求其进行HTTP Digest认证的指令消息后，以用户名(IMPU)及用户标识key，计算挑战响应值，并向SSF发送携带有认证头(authorization header)以及身份标识key的HTTP认证消息；

SSF收到终端发送的HTTP认证消息后，从HTTP认证消息中解析出身份标识key，并通过该终端的用户名检查是否已保存有该终端对应的身份标识key，如果检查已保存有该终端对应的身份标识key，SSF则判断解析出的身份标识key与其已保存的该终端对应的身份标识key是否一致，若是，则向终端返回认证成功应答消息；否则，返回错误消息。

如图2所示，步骤S101具体包括：

步骤S1011，当终端在IMS核心网上注册后，EPG服务器对终端随机生成的字符串KEK进行加密，得到EKEK消息；

步骤S1012，通过IMS核心网接收终端发送的携带有EKEK消息的subscribe请求；

步骤S 1013，对subscribe请求中的EKEK消息进行解密，当解密成功时，生成带有身份标识key的Ekey消息；

步骤S1014，通过IMS核心网向终端发送携带有Ekey消息的notify请求，以便终端根据所述Ekey消息解密获取所述身份标识key。

如图3所示，上述步骤S1013中，当解密成功时，生成带有身份标识key的Ekey消息的步骤具体包括：

S10131，当解密成功时，从所述EKEK消息中解密出字符串KEK；

S10132，随机生成128bits的身份标识key；

S10133，根据字符串KEK对身份标识key进行加密，得到Ekey消息并保存该Ekey消息；

其中，Ekey消息中包含身份标识key与终端用户名的对应关系以及身份标识key的有效期。

如图4所示，步骤S102中根据HTTP请求消息以及身份标识key对终端进行身份认证的步骤具体包括：

步骤S1021，EPG服务器服务端向终端发送要求终端进行HTTP认证的指令消息；

步骤S1022，所述服务端接收终端发送的携带有认证头以及身份标识key的HTTP认证消息；

步骤S1023，所述服务端根据终端用户名从HTTP认证消息中解析出所述身份标识key；

步骤S1024，服务端判断解析出的身份标识key与其已保存的该终端对应的身份标识key是否一致，若是，则向终端返回认证成功应答消息；否则，返回错误消息。

如图5所示，本发明另一实施例提出一种基于IMS的IPTV用户合法性认证的方法，在上述实施例的基础上，其中，步骤S1024之前还包括：

步骤S10241，当服务端检测到没有保存有该终端对应的身份标识key或该终端对应的身份标识key已失效时，服务端向EPG服务器控制端发送查询终端对应的身份标识key的查询请求；

步骤S10242，服务端接收并保存控制端返回的该控制端通过用户名查询到或重新生成的终端对应的身份标识key及该对应的身份标识key的有效期。

上述步骤S10241和步骤S10242中，如果SSF检查没有保存有该终端对应的身份标识key，则向SCF发送查询该终端对应的身份标识key的请求；SCF通过终端的用户名查询该终端对应的身份标识key及其有效期，如果查询不到则返回错误信息；否则向SSF返回该终端对应的身份标识key及其有效期；SSF保存该终端对应的身份标识key及其有效期，以便进行后续对终端身份的合法性验证。

其中，当SSF检查该终端对应的身份标识key已经过期，即身份标识key失效，则向SCF发送查询该终端对应的身份标识key的请求，SCF检查到该终端对应的身份标识key已经过期，则

返回上述步骤S10132，随机生成128bits的身份标识key；用KEK对身份标识key进行加密得到EKey＝E(KEK，key)，其中E为3DES-ECB算法，SCF保存终端的用户名和身份标识key的对应关系，以及身份标识key有效期；

SCF在notify请求中携带EKey信息，并通过IMS核心网将notify请求发送给终端；

终端用字符串KEK解密Ekey消息后得到身份标识key；并向SCF返回成功获取到身份标识key的应答消息。

当终端获取到身份标识key之后，终端开始访问SSF，并向SSF发送访问SSF的HTTP请求消息；

SSF在接收终端第一次访问时，会保存该终端的用户会话(session)，并在终端第一次发送HTTP认证消息时，将终端第一次发送的HTTP认证消息中的身份标识key保存在用户会话中，当终端因身份标识key已经过期而重新获取到新的身份标识key后，再次访问SSF，此时，SSF在用户会话存在的情况下，收到终端发送的HTTP请求消息，认为终端的身份标识key被更新，则清除用户会话中保存的key值；

SSF收到终端发送的HTTP请求消息后，向终端发送错误认证消息(WWW-Authenticate Header)，并向终端发送要求终端进行HTTP Digest认证的指令消息；

终端收到SSF发送的要求其进行HTTP Digest认证的指令消息后，以用户名(IMPU)及用户标识key，计算挑战响应值，并向SSF发送携带有认证头(authorization header)以及身份标识key的HTTP认证消息；

SSF收到终端发送的HTTP认证消息后，从HTTP认证消息中解析出身份标识key，SSF通过该终端的用户名检查到保存的该终端对应的身份标识key已被清除，则向SCF发送查询该终端对应的身份标识key的查询请求，SCF通过终端的用户名查询该终端对应的身份标识key及其有效期，如果查询不到则返回错误信息；否则向SSF返回该终端对应的身份标识key及其有效期；SSF保存该终端对应的身份标识key及其有效期，以便进行后续对终端身份的合法性验证。

本实施例在IMS核心网对用户终端注册时的第一次鉴权的基础上，实现IPTV用户终端登陆的二次鉴权，当终端在IMS核心网上注册后，EPG服务器为终端为分配一个临时的身份标识key，在后续与EPG服务器之间的所有交互中，终端均需要携带该身份标识key，由EPG服务器根据终端的访问请求，对该身份标识key进行合法性校验，通过二次鉴权提高了系统的安全性，为基于IMS的IPTV的多业务融合提供便利。

如图6所示，本发明一实施例提出一种基于IMS的IPTV用户合法性认证的服务器，包括：

控制模块601，用于当终端在IMS核心网上注册后，为终端分配一身份标识key；

服务模块602，用于接收终端发送的HTTP请求消息，根据HTTP请求消息以及身份标识key对终端进行身份认证。

作为IPTV业务的门户系统，EPG系统主要完成和用户的接口、用户命令的解析和交互并将结果返回给用户，同时为用户消费提供指引，使用户最终享受到IPTV服务。IPTV的用户终端可以是IP机顶盒+电视机，也可以是PC，本实施例以用户终端(本实施例称终端)为IP机顶盒+电视机为例进行具体说明，即用户可通过机顶盒及电视机与EPG系统(本实施例所称服务器)进行交互以享受IPTV服务。

终端在访问服务器具体为EPG服务器之前，首先需要在IMS核心网上进行注册，并由核心网对终端进行第一鉴权，当终端在IMS核心网上完成注册后，通过IMS核心网由服务器中的SCF(业务控制模块，本实施例称控制模块)分配一个临时的身份标识key，终端访问服务器的SSF(业务服务模块，本实施例称服务模块)时需携带此临时身份标识key，以便终端访问服务器的SSF时，由SSF根据身份标识key对终端进行合法性认证。

如图7所示，控制模块601包括：

加密单元6011，用于当终端在IMS核心网上注册后，对终端随机生成的字符串KEK进行加密，得到EKEK消息；

第一接收单元6012，用于通过IMS核心网接收终端发送的携带有EKEK消息的subscribe请求；

解密生成单元6013，用于对所述subscribe请求中的EKEK消息进行解密，当解密成功时，生成带有身份标识key的Ekey消息；

第一发送单元6014，用于通过IMS核心网向终端发送携带有Ekey消息的notify请求，以便终端根据所述Ekey消息解密获取所述身份标识key。

如图8所示，解密生成单元6013包括：

解密子单元60131，用于当解密成功时，从所述EKEK消息中解密出所述字符串KEK；

生成子单元60132，用于随机生成128bits的身份标识key；

加密子单元60133，用于根据字符串KEK对身份标识key进行加密，得到Ekey消息并保存该Ekey消息；

所述Ekey中包含身份标识key与终端用户名的对应关系以及身份标识key的有效期。

如图9所示，服务模块602包括：

第二发送单元6021，用于向终端发送要求终端进行HTTP认证的指令消息；

第二接收单元6022，用于接收终端发送的携带有认证头以及身份标识key的HTTP认证消息；

解析单元6023，用于根据终端用户名从所述HTTP认证消息中解析出身份标识key；

判断操作单元6024，用于判断解析出的身份标识key与其已保存的该终端对应的身份标识key是否一致，若是，则向终端返回认证成功应答消息；否则，返回错误消息。

更进一步的，第二发送单元6021，还用于当检测到没有保存有该终端对应的身份标识key或该终端对应的身份标识key已失效时，向控制模块601发送查询终端对应的身份标识key的查询请求；

第二接收单元6022，还用于接收并保存控制模块返回的该控制模块通过用户名查询到或重新生成的终端对应的身份标识key及该对应的身份标识key的有效期。

如图10所示，本发明一实施例提出一种基于IMS的IPTV用户合法性认证的系统，包括终端1和服务器2，其中：

终端1，用于向服务器2发送访问该服务器2的HTTP请求消息；

服务器2，用于当终端1在IMS核心网上注册后，为终端1分配一身份标识key；以及接收终端1发送的访问该服务器2的HTTP请求消息，根据HTTP请求消息以及身份标识key对终端1进行身份认证。

更进一步的，本实施例中服务器2可以为上述各实施例中所述的服务器。

本发明实施例在IMS核心网对用户终端注册时的第一次鉴权的基础上，实现IPTV用户终端登陆的二次鉴权，当终端在IMS核心网上注册后，EPG服务器为终端为分配一个临时的身份标识key，在后续与EPG服务器之间的所有交互中，终端均需要携带该身份标识key，由EPG服务器根据终端的访问请求，对该身份标识key进行合法性校验，通过二次鉴权提高了系统的安全性，为基于IMS的IPTV的多业务融合提供便利。

以上所述仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。