基于IMS网络的认证方法、认证终端及认证系统

摘要

本发明的实施方式公开了一种基于IMS网络的认证方法、认证终端及认证系统，包含以下步骤：终端向代理网关服务器发起连接请求消息；终端接收第三方认证服务器发送的认证码；终端以携带接收的认证码的请求消息向代理网关服务器再次发起连接请求消息后，等待代理网关服务器对终端的鉴权认证结果；如果终端收到代理网关服务器对终端的合法的鉴权认证结果，则终端接入代理网关服务器。本发明的实施方式中，终端以携带接收的来自第三方认证服务器发送的认证码的请求消息向代理网关服务器发起连接请求，并在收到代理网关服务器对终端的合法的鉴权认证结果后接入代理网关服务器，从而使某些恶意软件无法对代理网关服务器以及应用服务器进行恶意访问，避免了由于恶意软件的攻击而对用户的利益造成的损害。

说明书

技术领域

本发明涉及通信领域，特别涉及通信领域中的一种基于IMS网络的认证方法、认证终端及认证系统。

背景技术

在IMS(IP multimedia subsystem，IP多媒体子系统)网络中，除了提供基本类型业务的网络设备外，还有很多提供增值业务的应用服务器。UE要访问这些应用服务器就必须提供充足的身份信息完成代理网关服务器的鉴权。

图1为现有技术的IMS网络鉴权和网关服务器鉴权流程图。当前的鉴权流程完全有可能由恶意软件发起接入访问操作，进而导致用户利益受损。

发明内容

本发明的目的在于提供一种基于IMS网络的认证方法、认证终端及认证系统，其中认证过程中使用第三方认证服务器获取认证码，使得某些恶意软件无法对代理网关服务器或应用服务器进行恶意访问，从而避免了由于恶意软件的攻击而对用户的利益造成的损害。

为解决上述技术问题，本发明的实施方式提供了一种基于IMS网络的认证方法，包含以下步骤：包含以下步骤：终端向代理网关服务器发起连接请求消息；终端接收第三方认证服务器发送的认证码；终端以携带接收的认证码的请求消息向代理网关服务器再次发起连接请求消息后，等待代理网关服务器对终端的鉴权认证结果；如果终端收到代理网关服务器对终端的合法的鉴权认证结果，则终端接入代理网关服务器。

本发明的实施方式还提供了一种基于IMS网络的认证终端，包含：发送模块，用于向代理网关服务器发起连接请求消息；接收模块，用于接收第三方认证服务器发出的携带有认证码的会话初始协议信息；获取模块，用于从接收模块接收的会话初始协议信息中获取认证码；发送模块，还用于以携带获取模块获取的认证码向代理网关服务器发起连接请求；判断模块，用于判断是否收到来自代理网关服务器对终端的合法的鉴权认证结果；接入模块，用于在判断模块判定收到合法的鉴权认证结果时，接入代理网关服务器。

本发明的实施方式还提供了一种基于IMS网络的认证系统，包含：代理网关服务器、第三方认证服务器和如上述的终端；代理网关服务器用于在收到终端的连接请求消息后，向第三方认证服务器发送获取认证码的请求消息，并对终端进行鉴权认证，在对终端的认证合法时，向终端发送合法的鉴权认证结果；第三方认证服务器用于在收到来自代理网关服务器的获取认证码的请求消息后，分别向代理网关服务器和终端发送认证码。

本发明的实施方式相对于现有技术而言，终端通过向代理网关服务器发起连接请求后接收第三方认证服务器发送的认证码，并以携带接收的认证码的请求消息向代理网关服务器再次发起连接请求消息；终端在收到代理网关服务器对终端的合法的鉴权认证结果后接入代理网关服务器。其中代理网关服务器对终端的认证过程中通过第三方认证服务器获取认证码，使得某些恶意软件无法发起接入访问等操作，从而避免了由于恶意软件的攻击而对用户的利益造成的损害。

另外，在终端向代理网关服务器发起连接请求消息步骤之后，终端接收第三方认证服务器发送的认证码之前，还包含以下步骤：终端对代理网关服务器进行鉴权认证；第三方认证服务器接收来自代理网关服务器的获取认证码的请求消息后，向代理网关服务器发送认证码。终端在等待代理网关服务器的鉴权认证结果之前首先对代理网关服务器进行鉴权认证，从而进一步保证终端接入代理网关服务器的安全性，避免了终端由于接入非法的代理网关服务器而对用户的利益造成的损害。

另外，在终端向代理网关服务器发起连接请求消息步骤之后，终端对代理网关服务器进行鉴权认证之前，还包含以下步骤：代理网关服务器获取鉴权数据，并以鉴权数据向终端发送鉴权参数；终端对代理网关服务器进行鉴权认证的步骤中，包含以下子步骤：终端接收鉴权参数，并以接收的鉴权参数对代理网关服务器进行鉴权认证。终端根据接收到的来自代理网关服务器的鉴权参数对代理网关服务器进行鉴权认证，其鉴权认证方式较为简单，而且鉴权认证结果更加准确。

另外，鉴权参数包含随机数和自动生成的期望值。终端根据随机数和自动生成的期望值对代理网关服务器进行鉴权认证，使得鉴权认证结果更加精确。

另外，在终端以接收的鉴权参数对代理网关服务器进行鉴权认证的步骤中，包含以下子步骤：终端判断根据随机数生成的期望值，与鉴权参数中携带的自动生成的期望值是否相同；如果相同，则判定终端对代理网关服务器的鉴权认证合法。终端在判定由随机数生成的期望值和自动生成的期望值相同时，对代理网关服务器的鉴权认证为合法，其验证方式较为简单、易于实现，而且鉴权认证结果更加准确、可靠。

另外，代理网关服务器通过以下方式认证终端是否合法：如果终端向代理网关服务器再次发起连接请求时所携带的认证码，与接收到的来自第三方认证服务器的认证码相对应，则判定终端的认证合法；验证方式较为简单，而且通过第三方认证服务器为终端及代理网关服务器传递相关的认证码，来实现代理网关服务器对终端的鉴权认证，验证方式更加安全且易于实现，同时避免终端非法接入代理网关服务器，即避免了恶意软件对代理网关服务器发起接入访问操作，进而避免由于恶意软件的攻击而对用户的利益造成的损害。

附图说明

图1是根据背景技术的配置接口鉴权认证的过程示意图；

图2是根据本发明第一实施方式的基于IMS网络的认证方法的流程图；

图3是根据本发明第一实施方式的基于IMS网络的认证方法的认证过程示意图；

图4是根据本发明第二实施方式的基于IMS网络的认证终端的方框示意图；

图5是根据本发明第三实施方式的基于IMS网络的认证系统的方框示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明的各实施方式进行详细的阐述。然而，本领域的普通技术人员可以理解，在本发明各实施方式中，为了使读者更好地理解本申请而提出了许多技术细节。但是，即使没有这些技术细节和基于以下各实施方式的种种变化和修改，也可以实现本申请各权利要求所要求保护的技术方案。

本发明的第一实施方式涉及一种基于IMS网络的认证方法。具体流程如图2所示。

步骤201中，终端向代理网关服务器发起连接请求消息。

其中，终端UE向代理网关服务器发起的连接请求消息可以是以超文本传输协议HTTP的方式发起的连接请求消息，结合图3所示，终端在接收到用户选择的指定业务后，以HTTP协议向代理网关服务器发起连接请求消息。

值得一提的是，UE向代理网关服务器发起的连接请求消息不限于以超文本传输协议HTTP的方式向代理网关服务器发起的连接请求消息，也可以是以其他协议向代理网关服务器发起的连接请求消息，在此不做限定。

接着，进入步骤202，代理网关服务器向IMS-HSS发送鉴权数据的请求消息；代理网关服务器接收IMS-HSS返回的鉴权数据。

具体地说，代理网关服务器接收到来自UE发送的HTTP请求消息后，向IMS-HSS(IP多媒体子系统归属用户服务器)发送鉴权数据的请求消息，如代理网关服务器向IMS-HSS发出MAR消息用以请求鉴权数据。IMS-HSS收到代理网关服务器发出的MAR鉴权数据请求消息后，检查用户的签约信息，并返回与签约信息对应的鉴权数据。代理网关服务器得到IMS-HSS返回的携带鉴权数据的MAA消息，并且MAA消息中携带了与用户的签约信息对应的鉴权数据。其中，用户的签约信息对应的鉴权数据包含鉴权参数，鉴权参数为(RAND，AUTH)，RAND为随机数，AUTH为自动生成的期望值。

值得一提的是，代理网关服务器向IMS-HSS发送鉴权数据的请求消息不限于MAR消息，也可以是SAR消息，但不限于MAR或者SAR消息。代理网关服务器向IMS-HSS发送鉴权数据的请求消息MAR或者SAR用以获取UE用户的签约信息。IMS-HSS向代理网关服务器返回的鉴权数据不限于MAA消息，也可以是SAA消息，但也不限于MAA或者SAA消息。

接着，进入步骤203，代理网关服务器以获取的鉴权数据向终端发送鉴权参数，鉴权参数包含随机数和自动生成的期望值。

其中，代理网关服务器以获取的(RAND，AUTH)向UE发送鉴权参数，即代理网关服务器向UE发送的鉴权参数中包含(RAND，AUTH)。

接着，进入步骤204，终端接收鉴权参数。

其中，终端接收的鉴权参数中包含鉴权数据(RAND，AUTH)。

接着，进入步骤205，终端判断根据随机数生成的期望值，与鉴权参数中携带的自动生成的期望值是否相同。

具体地说，终端预存有相应的算法，根据相应的算法由随机数RAND计算出相应的期望值，将计算出的相应的期望值记为第一AUTH，判断第一AUTH与鉴权参数中携带的自动生成的期望值AUTH是否一致。如果第一AUTH与AUTH一致，则进入步骤206；如果第一AUTH与AUTH不一致，则进入步骤211。

在步骤206中，终端对代理网关服务器的鉴权认证合法；即当UE判定第一AUTH与AUTH一致时，UE对代理网关服务器的鉴权认证合法。

值得一提的是，UE接收到(RAND，AUTH)之后，还可以根据预设的响应算法，由RAND计算出响应值RES，并将生成的RES发送给代理网关服务器，即向代理网关服务器发送UE对代理网关服务器的鉴权认证合法的反馈信息。

接着，进入步骤207，第三方认证服务器接收来自代理网关服务器的获取认证码的请求消息后，向代理网关服务器及终端发送认证码。

其中，第三方认证服务器可以是IMS短信认证服务器(IMS SMS AS)，即第三方认证服务器发送的认证码可以是短信的方式进行发送的，应用较为广泛易于推广使用。

需要说明的是，本实施方式中，第三方认证服务器不限于IMS SMS AS。

IMS SMS AS接收来自代理网关服务器的获取认证码的请求消息后，向代理网关服务器发送认证码；代理网关服务器接收来自IMS SMS AS所发送的认证码并且将接收的认证码进行保存。

IMS SMS AS接收来自代理网关服务器的获取认证码的请求消息后，向代理网关服务器发送认证码的同时向UE发送认证码，也可以在向代理网关服务器发送认证码之前向UE发送认证码，还可以在向代理网关服务器发送认证码之后向UE发送认证码，在此不做限定。

其中，IMS SMS AS向UE发送认证码可以通过会话初始协议信息(SIPMESSAGE)向UE发送。UE在接收到来自IMS SMS AS所发送的认证码之后，向IMS SMS AS返回200OK信息，并且200OK信息中携带UE成功接收来自IMS SMS AS所发送的认证码的信息。

值得一提的是，步骤207中的第三方认证服务器接收来自代理网关服务器的获取认证码的请求消息后，向代理网关服务器发送认证码的步骤，不限于在步骤206之后执行，也可以在步骤202之后以及步骤203之前，即在代理网关服务器接收IMS-HSS返回的鉴权数据之后，IMS SMS AS一旦接收来自代理网关服务器的获取认证码的请求消息后，即可以向代理网关服务器发送认证码。

接着，进入步骤208，终端以携带接收的认证码的请求消息向代理网关服务器再次发起连接请求消息后，等待代理网关服务器对终端的鉴权认证结果。

具体地说，UE向代理网关服务器发起携带有接收的来自IMS SMS AS所发送的认证码的连接请求消息后；等待代理网关服务器代理网关服务器对终端UE的鉴权认证结果。其中，发起的连接请求消息可以是以超文本传输协议HTTP的方式发起的连接请求消息，但不限于以超文本传输协议HTTP的方式发起的连接请求消息。

值得一提的是，在实际应用中，为了保证认证码的传输安全性，UE可以将认证码作为摘要算法(HTTP Digest算法)的secverify参数参与运算，从而避免由于明文发送的认证码被恶意软件截获的问题。

其中，HTTP Digest算法为：

RES＝md5(HA1:nonce:noncecount:cnonce:qop:HA2)

HA1＝md5(username:realm:password)

HA2＝md5(method:uri:secverify)

摘要算法可以参见RFC2617。

接着，进入步骤209，判断终端是否收到代理网关服务器对终端的合法的鉴权认证结果。

具体地说，如果终端向代理网关服务器再次发起连接请求时所携带的认证码，与接收到的来自第三方认证服务器的认证码相对应，则可以判定终端收到代理网关服务器对终端的合法的鉴权认证结果，进入步骤210；否则，终端没有收到代理网关服务器对终端的合法的鉴权认证结果，进入步骤211。

值得一提的是，在代理网关服务器对UE的鉴权认证结果为合法之后，向UE发送200OK信息，并且200OK信息中携带有代理网关服务器对UE的鉴权认证信息(B-TID，KEY lifetime)。其中B-TID为BootstrappingTransaction Identifier的英文缩写，中文释义为引导事务标识；KEY lifetime中文释义为秘钥有效期。UE接收到来自代理网关服务器发送的携带有鉴权认证信息(B-TID，KEY lifetime)的200OK信息后，将合法的鉴权认证信息保存。UE在保存合法的鉴权认证信息后的一段时间内，并且在秘钥有效期内可以直接接入代理网关服务器。

在步骤210中，终端接入代理网关服务器；即在UE向代理网关服务器发起接入访问且代理网关服务器对UE的认证成功后，UE接入代理网关服务器。

在步骤211中，代理网关服务器终止终端请求；即在UE向代理网关服务器发起接入访问且代理网关服务器对UE的认证不成功时；代理网关服务器终止UE的连接请求消息。

本发明的第二实施方式涉及一种基于IMS网络的认证终端，如图4所示。

该基于IMS网络的认证终端包含发送模块，用于向代理网关服务器发起连接请求消息；接收模块，用于接收第三方认证服务器发出的认证码；发送模块，还用于以携带接收模块接收的认证码向代理网关服务器发起连接请求；判断模块，用于判断是否收到来自代理网关服务器对终端的合法的鉴权认证结果；接入模块，用于在判断模块判定收到合法的鉴权认证结果时，接入代理网关服务器。

本实施方式中，终端通过向代理网关服务器发起连接请求后接收第三方认证服务器发送的认证码，并以携带接收的认证码的请求消息向代理网关服务器再次发起连接请求消息；在判定终端收到代理网关服务器对终端的合法的鉴权认证结果后接入代理网关服务器。其中代理网关服务器对终端的认证过程中通过第三方认证服务器传递认证码，使得某些恶意软件无法发起接入访问等操作，从而避免了由于恶意软件的攻击而对用户的利益造成的损害。

不难发现，本实施方式为与第一实施方式相对应的设备实施例，本实施方式可与第一实施方式互相配合实施。第一实施方式中提到的相关技术细节在本实施方式中依然有效，为了减少重复，这里不再赘述。相应地，本实施方式中提到的相关技术细节也可应用在第一实施方式中。

值得一提的是，本实施方式中所涉及到的各模块均为逻辑模块，在实际应用中，一个逻辑单元可以是一个物理单元，也可以是一个物理单元的一部分，还可以以多个物理单元的组合实现。此外，为了突出本发明的创新部分，本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入，但这并不表明本实施方式中不存在其它的单元。

本发明第三实施方式涉及一种基于IMS网络的认证系统，如图5所示。

该基于IMS网络的认证系统包含：代理网关服务器、第三方认证服务器和第二实施方式中描述的终端；代理网关服务器用于在收到终端的连接请求消息后，向第三方认证服务器发送获取认证码的请求消息，并对终端进行鉴权认证，在对终端的认证合法时，向终端发送合法的鉴权认证结果；第三方认证服务器用于在收到来自代理网关服务器的获取认证码的请求消息后，分别向代理网关服务器和终端发送认证码。

进一步地，还包含IMS归属用户服务器；IMS归属用户服务器用于在接收到代理网关服务器的用于获取鉴权数据的请求消息后，向代理网关服务器发送鉴权数据。

本实施方式中，终端以携带接收的来自第三方认证服务器发送的认证码的请求消息向代理网关服务器发起连接请求，并在收到代理网关服务器对终端的合法的鉴权认证结果后接入代理网关服务器，从而使得某些恶意软件无法发起接入访问等操作，避免了由于恶意软件的攻击而对用户的利益造成的损害。

由于第二实施方式与本实施方式相互对应，因此本实施方式可与第二实施方式互相配合实施。第二实施方式中提到的相关技术细节在本实施方式中依然有效，在第二实施方式中所能达到的技术效果在本实施方式中也同样可以实现，为了减少重复，这里不再赘述。相应地，本实施方式中提到的相关技术细节也可应用在第二实施方式中。

本领域的普通技术人员可以理解，上述各实施方式是实现本发明的具体实施例，而在实际应用中，可以在形式上和细节上对其作各种改变，而不偏离本发明的精神和范围。