本发明专利技术公开了一种WAPI终端接入IMS网络的安全管理方法及系统,该方法包括:在接入点和WAPI终端通过ASU的验证的情况下,ASU向HSS发送安全信息请求消息,其中,安全信息请求消息中携带有WAPI终端的IMS账号信息;接收到ASU的安全信息请求消息后,HSS将与WAPI终端的IMS账号信息对应的安全信息设置为接入层安全;P-CSCF接收来自WAPI终端的IMS注册请求消息,通过HSS查询WAPI终端的安全信息,并在WAPI终端的安全信息为接入层安全的情况下允许WAPI终端执行IMS业务流程。本发明专利技术能够在保证IMS系统的安全的前提下,减小WAPI终端的功耗,提高了用户体验。
【技术实现步骤摘要】
本专利技术涉及通信领域,具体而言,涉及一种WAPI终端接入IMS网络的安全管理方 法及系统。
技术介绍
IP多媒体子系统(IP Multimedia Subsystem,简称为IMS)是用于帮助多媒体业 务创建和部署的网络功能框架,其支持互操作性和网络融合。IMS允许网络运营商在流量分 发中发挥关键作用,因而更像一个数据管道。IMS最先由无线标准组织第三代合作伙伴计划(3rd GenerationPartnership Project,简称为3GPP)制定和设计,作为全球移动通信系统(Global System for Mobile communications,简称为GSM)之上的网络演进的一部分,最初标准(3GPP R5)是在通用 分组无线(General Packet Radio Service,简称为GPRS)上提供互联网多媒体业务。此 后经过不断更新和修订,适用的网络包括GPRS、WLAN(Wireless LAN,无线局域网)、时分 (Time Division,简称为 TD)网络、宽带码分多址接入 WCDMA(Wideband Code Division MultipleAccess,简称为WCDMA)、CDMA2000和固网等,IMS能够实现固网与移动网络的融口 OIMS安全涉及多个IMS核心网的网元。对于终端而言,IMS安全主要是建立终端与 IMS的代理型呼叫会话控制功能(Proxy-CallSession Control Function,简称为P-CSCF) 之间的安全链接。图1是根据相关技术的IMS安全网络的分层结构的示意图,如图1所示,按照 网络分层模型,终端的IMS安全包括接入层安全、网络层安全、传输层安全和应用层 安全。其中,应用层安全提供用户的身份双向鉴别,主要通过IMS注册的IMS报文摘要 (IMSMessage Digest,简称为 IMS-MD)鉴权和认证和 IMS 密钥协商(Authentication and Key Agreement,简称为IMS-AKA)来实现;传输层安全通过传输层安全/安全套接字层 (Transport LayerSecurity/Secure Socket Layer,简称为 TLS/SSL)来实现;网络层安全 通过IP安全(IP Security,简称为IPSEC)来实现;接入层安全根据不同网络接入方式而 异,对于WLAN,主要包括IEEE的802. Ili和中国国家标准的无线局域网认证和保密基础结 构(WLANAuthentication Privacy Infrastructure,简称为 WAPI)。WAPI 采用公钥加密体 系,由认证服务单元(Authentication Service Unit,简称为ASU)实现对WLAN终端和接入 点(Access Point,简称为AP)双向认证和保密传输。具有WAPI功能的移动终端接入IMS时,如果同时应用上述的多种安全机制,将会 造成安全冗余,导致服务质量下降(例如加大网络延迟)并增加资源消耗(例如增加终 端电源功耗)。目前,针对WAPI终端接入IMS系统如何实现安全机制的问题,相关技术中尚 未提出有效的解决方案。4
技术实现思路
考虑到相关技术中WAPI终端接入IMS系统同时采用多种安全机制导致服务质量 下降和资源消耗增加的问题而提出本专利技术,为此,本专利技术的主要目的在于提供一种WAPI终 端接入IMS网络的安全管理方法及系统,以解决相关技术中存在的上述问题至少之一。为实现上述目的,根据本专利技术的一个方面,提供了一种WAPI终端接入IMS网络的安全管理方法。根据本专利技术的安全管理方法包括在接入点和WAPI终端通过ASU的验证的情况 下,ASU向HSS发送安全信息请求消息,其中,安全信息请求消息中携带有WAPI终端的IMS 账号信息;接收到ASU的安全信息请求消息后,HSS将与WAPI终端的IMS账号信息对应的 安全信息设置为接入层安全;P-CSCF接收来自WAPI终端的IMS注册请求消息,通过HSS查 询WAPI终端的安全信息,并在WAPI终端的安全信息为接入层安全的情况下允许WAPI终端 执行IMS业务流程。优选地,ASU验证接入点和WAPI终端包括ASU验证接入点的签名和证书,在接入 点的签名和证书通过验证的情况下,进一步验证WAPI终端的签名;在终端的签名通过验证 的情况下,确定接入点和终端通过验证。 优选地,在ASU验证接入点和WAPI终端之前,该方法还包括接入点向WAPI终端 发送鉴别激活消息,其中,鉴别激活消息中携带有接入点的证书、ECDH的参数信息、ASU的 标识信息、ASU的鉴别标识信息;WAPI终端接收鉴别激活消息,并向接入点发送接入鉴别请 求消息,其中,接入鉴别请求消息中携带有WAPI终端的证书、接入点的证书、ECDH的参数信 息、WAPI终端的E⑶H公钥信息;接入点向ASU发送证书鉴别请求消息,其中,证书鉴别请求 消息中携带有接入点的签名和证书、WAPI终端的签名。优选地,在HSS将与WAPI终端的IMS账号信息对应的安全信息设置为接入层安全 之后,并且在WAPI终端向P-CSCF发送IMS注册请求消息之前,该方法还包括接入点接收 来自ASU的证书鉴别响应消息,并向WAPI终端发送接入鉴别响应消息;接入点和WAPI终端 进行单播密钥协商,以确定接入点和WAPI终端之间数据加密传输所采用的基密钥,在协商 成功的情况下,接入点和WAPI终端之间传输的数据采用基密钥进行加密和解密。优选地,接入点和WAPI终端进行单播密钥协商的处理包括接入点向WAPI终端发 送单播密钥协商请求消息;接入点接收来自WAPI终端的单播密钥协商响应消息,并向WAPI 终端发送单播密钥协商确认消息。优选地,在WAPI终端退出IMS业务的情况下,该方法还包括ASU接收来自接入点 的解除链路验证请求信息,并向HSS发送解除安全信息请求消息,其中,解除安全信息请求 消息中携带有解除WAPI终端的IMS账号信息;HSS接收到来自ASU的解除安全信息请求消 息,将与WAPI终端的IMS账号信息对应的安全信息的接入层安全设置为空。根据本专利技术的另一方面,该提供了一种WAPI终端接入IMS网络的安全管理系统。根据本专利技术的安全管理系统包括ASU,用于验证接入点和WAPI终端,在接入点和 WAPI终端通过验证的情况下,向HSS发送安全信息请求消息,其中,安全信息请求消息中携 带有WAPI终端的IMS账号信息;HSS,用于接收来自ASU的安全信息请求消息,并将与WAPI 终端的IMS账号信息对应的安全信息设置为接入层安全;P-CSCF,用于在接收到来自WAPI 终端的IMS注册请求消息的情况下,通过HSS查询WAPI终端的安全信息,并根据查询结果进行后续的处理。优选地,ASU进一步包括验证模块,用于验证接入点和WAPI终端,发送模块,用于 验证模块的验证结果为接入点和WAPI终端通过验证的情况下,向HSS发送安全信息请求消 息,其中,安全信息请求消息中携带有WAPI终端的IMS账号信息。优选地,HSS进一步包括第一接收模块,用于接收来自发送模块的安全信息请求 消息;设置模块,用于根据第一接收模块接收的安全信息本文档来自技高网...
【技术保护点】
一种WAPI终端接入IP多媒体子系统网络IMS网络的安全管理方法,其特征在于,包括: 在接入点和WAPI终端通过认证服务单元ASU的验证的情况下,所述ASU向归属用户服务器HSS发送安全信息请求消息,其中,所述安全信息请求消息中携带有所述WAPI终端的IMS账号信息; 接收到所述ASU的安全信息请求消息后,所述HSS将与所述WAPI终端的IMS账号信息对应的安全信息设置为接入层安全; 代理型呼叫会话控制功能P-CSCF接收来自所述WAPI终端的IMS注册请求消息,通过所述HSS查询所述WAPI终端的安全信息,并在所述WAPI终端的安全信息为接入层安全的情况下允许所述WAPI终端执行IMS业务流程。
【技术特征摘要】
【专利技术属性】
技术研发人员:梁洁辉,施元庆,刘家兵,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。