专利名称:验证ip多媒体子系统用户身份的方法及自动配置服务器的制作方法
技术领域:
本发明涉及配置管理技术领域,具体涉及验证IP多媒体子系统(MS,IP Multimedia Subsystem)用户身份的方法及自动配置服务器(ACS, AutomaticConfiguration Server)。
背景技术:
IMS终端管理平台是基于宽带论坛定义的编号为TR-069协议的用户端设备(CPE,Customer Premises Equipment)广域网(WAN,Wide Area Network)管理协议的固定终端管理平台,负责对IMS网络的各种基于会话发起协议(SIP, Session Initiation Protocol)通信协议的固定终端进行管理。
随着运营商相继推出基于MS网络的通信服务,大量基于SIP的IP语音(V0IP,Voice over Internet Protocol)终端被部署到用户网络中。这些终端使用VOIP技术,通过局域网(LAN, Local Area Network)或者无线局域网(WLAN, Wireless LAN)接入运营商IP网络,为用户提供MS业务。随着MS业务的推广以及SIP终端的迅速普及,终端设备的自动配置以及版本维护工作变得非常艰巨,极大地增加了运营商的运营成本。TR-069协议定义了一种基于IP网络的终端管理协议,它通过自动配置服务实现对CPE的自动管理与配置,简化了终端使用中的配置过程,降低了运营商的运营成本图I给出了 TR-069协议定义的协议栈示意图,如图I所示,TR-069协议是基于简单对象访问协议(SOAP, Simple Object Access Protocol)远程调用方式,以超文本传输协议(HTTP, Hyper-text Transfer Protocol)为承载的一种配置管理协议。在ACS开始对CPE进行自动配置和管理之前,ACS需要验证使用CPE的用户身份,以确定将正确的配置发送到正确的用户终端上。由于TR-069协议使用HTTP承载,最常用的做法就是为每一个用户在ACS上设置一套用户名和口令,在CPE和ACS交互的过程中,使用基于因特网工程任务组(IETF, Internet Engineering Task Force)RFC2617定义的HTTP-信息摘要(MD5, Message Digest 5)认证方式验证用户身份。使用摘要认证方式验证用户身份需要有以下前提I、用户在服务器上有注册的用户名。2、用户与服务器共同维护一个口令,用于验证用户身份。当TR-069终端管理平台ACS使用摘要认证方式管理MS用户终端时,要求运营商为每一个用户额外分配一个用于CPE连接ACS的用户名以及对应的口令,并且承担该用户名和口令的维护工作,包括口令分派、账户管理以及口令的修改和维护。目前的方案下,TR-069终端管理平台自行维护一组用于验证用户身份的用户名和口令。这种方案虽然为ACS验证CPE用户身份提供了可行的方式,但是并没有考虑到IMS用户的特点以及口令本身的安全问题,具体如下首先,运营商已经为每一个MS用户分配了用于鉴权的用户身份IP多媒体私有标识(IMPI, IP Multimedia Private Identification)以及对应的口令IMS 密钥(KEY),用户终端已经可以通过MS核心网验证其身份的合法性。而摘要认证所需的用户名以及口令需要由终端和服务平台共同保管,用户名以及口令没有办法动态维护,长期维护一套静态用户名和口令存在安全隐患。现有的ACS平台无法实现口令的时效性和动态维护。因此,传统的TR-069终端管理平台在管理MS用户终端时,在用户合法性鉴定方式上存在冗余并且没有能力使用动态口令以确保用户口令安全。
发明内容
本发明提供验证MS用户身份的方法及ACS,以提高ACS验证MS用户身份的安全性。本发明的技术方案是这样实现的一种验证IP多媒体子系统MS用户身份的方法,在自动配置服务器ACS上增加会话发起协议SIP栈,该方法包括
·
服务呼叫会话控制功能S-CSCF设备发现IMS用户SIP注册成功,向ACS发送携带该頂S用户名的SIP第三方注册事件消息;ACS接收所述SIP第三方注册事件消息,为所述MS用户分配一个动态密码,将该动态密码通过SIP消息发送给该IMS用户终端;MS用户终端接收并保存所述动态密码,与ACS建立超文本传输协议HTTP连接,使用所述动态密码与ACS进行身份验证过程。所述S-CSCF设备发现MS用户SIP注册成功之后、向ACS发送携带该MS用户名的SIP第三方注册事件消息之前进一步包括S-CSCF设备检查该MS用户是否订阅了 ACS配置管理服务,若是,则执行所述向ACS发送携带该MS用户名的SIP第三方注册事件消息的动作;否则,不执行所述向ACS发送携带该IMS用户名的SIP第三方注册事件消息的动作。所述ACS接收所述SIP第三方注册事件消息之后、为所述MS用户分配一个动态密码之前进一步包括ACS检查该MS用户是否订阅了 ACS配置管理服务,若是,执行所述为所述MS用户分配一个动态密码的动作;否则,不执行所述为所述IMS用户分配一个动态密码动作。所述ACS检查该MS用户是否订阅了 ACS配置管理服务包括ACS向S-CSCF设备查询该MS用户是否订阅了 ACS配置管理服务;或者包括ACS在自身记录的该MS用户订阅的服务中,查找该MS用户是否订阅了 ACS配置
管理服务。所述MS用户终端使用所述动态密码与ACS进行身份验证过程之后进一步包括身份验证成功,ACS将所述MS用户的最新配置下发给所述MS用户终端。所述MS用户名为MS用户的IP多媒体私有标识MPI。所述身份验证过程采用摘要认证算法。一种ACS,该ACS上具有SIP栈,该ACS包括动态密码分配模块接收S-CSCF设备发来的携带MS用户名的SIP第三方注册事件消息,为IMS用户分配一个动态密码,记录IMS用户名与动态密码的对应关系,将该动态密码通过SIP消息发送给MS用户终端;身份验证模块接收MS用户终端发来的HTTP连接请求,在动态密码分配模块中查找该頂S用户的动态密码,使用该动态密码对MS用户进行身份验证。所述动态密码分配模块进一步用于,在接收到S-CSCF设备发来的携带IMS用户名的SIP第三方注册事件消息之后,检查该MS用户是否订阅了 ACS配置管理服务,若是,执行所述为IMS用户分配一个动态密码的动作;否则,不执行所述为IMS用户分配一个动态密码动作。所述动态密码分配模块进一步用于,在接收到S-CSCF设备发来的携带IMS用户名的SIP第三方注册事件消息之后,向S-CSCF设备查询该MS用户是否订阅了 ACS配置管理服务,若是,执行所述为IMS用户分配一个动态密码的动作;否则,不执行所述为IMS用户分配一个动态密码动作。所述动态密码分配模块进一步用于,在接收到S-CSCF设备发来的携带IMS用户名 的SIP第三方注册事件消息之后,在本ACS记录的该MS用户订阅的服务中,查找该MS用户是否订阅了 ACS配置管理服务,若是,执行所述为MS用户分配一个动态密码的动作;否贝1J,不执行所述为IMS用户分配一个动态密码动作。所述身份验证模块进一步用于,在对MS用户的身份验证成功后,发出一个携带MS用户名的配置下发指示;且,所述ACS进一步包括配置管理模块,用于在接收到所述携带MS用户名的配置下发指示后,将该MS用户的最新配置下发给MS用户终端。一种S-CSCF设备,包括SIP注册通知模块当发现MS用户SIP注册成功,向ACS发送携带该MS用户名的SIP第三方注册事件消息。所述SIP注册通知模块进一步用于,当发现MS用户SIP注册成功后,检查该MS用户是否订阅了 ACS配置管理服务,若是,执行所述向ACS发送携带该MS用户名的SIP第三方注册事件消息的动作;否则,不执行所述向ACS发送携带该MS用户名的SIP第三方注册事件消息的动作。与现有技术相比,本发明中,ACS通过信任MS核心网设备为MS用户分配动态密码,运营商的运营系统无需为用户额外分配登录ACS的账户,减少账户冗余;且,ACS在每次MS用户进行完SIP注册后,都重新为IMS用户分配动态密码,增强了用户密码的安全性,降低了密码被盗的风险;另外,在ACS为用户分配密码时,用户都是无感知的。
图I为现有的TR-069协议定义的协议栈示意图;图2为本发明实施例提供的ACS验证MS用户身份的网络架构图;图3为本发明实施例一提供的ACS验证MS用户身份的方法流程图;图4为本发明实施例二提供的ACS验证MS用户身份的方法流程图;图5为本发明实施例三提供的ACS验证MS用户身份的方法流程图;图6为本发明的应用示例采用的网络架构图;图7为本发明实施例提供的ACS的组成示意图。
具体实施例方式下面结合附图及具体实施例对本发明再作进一步详细的说明。TR-069协议定义的ACS是一个传统的基于HTTP的服务器。本发明中,首先在ACS上增加SIP栈,以使得ACS可以使用SIP与MS核心网的服务呼叫会话控制功能(S-CSCF,Serving-Call Session Control Function)设备交互,作为一个 SIP 应用服务器(AS,Application Server)部署在 IMS 网络上。图2给出了本发明实施例提供的ACS验证MS用户身份的网络架构图,如图2所示,S-CSCF设备与ACS相连。图3为本发明实施例一提供的ACS验证MS用户身份的方法流程图,如图3所示, 其具体步骤如下步骤301 =IMS核心网的S-CSCF设备发现一个MS用户已在MS核心网成功完成SIP注册,则向ACS发送SIP第三方注册事件消息,该消息中携带该MS用户的MS用户名。MS用户名即MS用户的MPI。步骤302 =ACS接收该SIP第三方注册事件消息,确认该消息中的MS用户名为合法用户,并动态为该MS用户分配一个用于连接ACS的密码,记录该MS用户名与该动态密码的对应关系,将该密码携带在SIP Message消息中通过IMS核心网中的S-CSCF、P-CSCF设备发送给该MS用户终端。这里,具体的动态密码分配算法本发明并不作限定,采用现有的任一种算法都可。只要ACS接收到来自S-CSCF设备的针对一个MS用户的SIP第三方注册事件消息,就认为该MS用户为合法用户,并默认该MS用户订阅了 ACS配置管理服务,从而都会为该IMS用户分配一个动态密码。ACS维护了一张IMS用户名和密码列表,在为一个IMS用户新分配一个动态密码后,ACS在该列表中查找该IMS用户的用户名,若查找到,则以该新动态密码更新列表中该用户名对应的动态密码;否则,直接将该IMS用户名和密码添加到该列表中。由于MS用户已经在MS核心网完成SIP注册,因此,本步骤中,ACS可以通过MS核心网将SIP Message消息成功发送给MS用户终端。步骤303 :IMS用户终端接收SIP Message消息,从该消息中提取动态密码,保存该动态密码。IMS用户终端会将来自ACS的MESSAGE消息视为一个控制命令消息而不是一个普通的即时消息,且不会将该消息展示给用户。步骤304 =IMS用户终端与ACS建立HTTP连接,并使用自身保存的动态密码与ACS进行摘要认证,认证成功,ACS将该MS用户的最新配置下发给MS用户终端。每当IMS用户终端接收到ACS发来的带有动态密码的SIP Message消息时,IMS用户终端都会主动发起一次到ACS的HTTP连接,并通过TR-069协议获取最新配置。在图3所示实施例一中,无论是S-CSCF设备还是ACS都不检查MS用户是否订阅了 ACS配置管理服务,而是只要MS用户通过SIP注册,就默认用户订阅了 ACS配置管理服务。在实际应用中,也可以由S-CSCF设备或ACS之一检查IMS用户是否订阅了 ACS配置管理服务,只有用户订阅了 ACS配置管理服务,ACS才对用户下发配置。
以下给出由S-CSCF设备检查MS用户是否订阅了 ACS配置管理服务的实施例图4为本发明实施例二提供的ACS验证MS用户身份的方法流程图,如图4所示,其具体步骤如下步骤401 =IMS核心网的S-CSCF设备发现一个MS用户已在MS核心网成功完成SIP注册,则在自身记录的各MS用户的签约信息中,查找该MS用户订阅的服务。步骤402 =S-CSCF设备发现该MS用户订阅了 ACS配置管理服务,则向ACS发送SIP第三方注册事件消息,该消息中携带该IMS用户的MS用户免。MS用户名即MS用户的MPI。步骤403 =ACS接收该SIP第三方注册事件消息,确认该消息中的MS用户名为合法用户,并动态为该MS用户分配一个用于连接ACS的密码,记录该MS用户名与该动态密码的对应关系,将该密码携带在SIP Message消息中通过IMS核心网中的S-CSCF、P-CSCF 设备发送给该MS用户终端。这里,具体的动态密码分配算法本发明并不作限定,采用现有的任一种算法都可。只要ACS接收到来自S-CSCF设备的SIP第三方注册事件消息,都会认为该MS用户为合法用户,且认为该MS用户已由S-CSCF设备确认订阅了 ACS配置管理服务,从而为该消息中的IMS用户分配一个动态密码。ACS维护了一张IMS用户名和密码列表,在为一个頂S用户新分配一个动态密码后,ACS在该列表中查找该MS用户的用户名,若查找到,则以该新动态密码更新列表中该用户名对应的动态密码;否则,直接将该IMS用户名和密码添加到该列表中。步骤404 :IMS用户终端接收SIP Message消息,从该消息中提取动态密码,保存该动态密码。IMS用户终端会将来自ACS的MESSAGE消息视为一个控制命令消息而不是一个普通的即时消息,且不会将该消息展示给用户。步骤405 =IMS用户终端与ACS建立HTTP连接,并使用自身保存的动态密码与ACS进行摘要认证,认证成功,ACS将该MS用户的最新配置下发给MS用户终端。每当MS用户终端接收到ACS发来的带有动态密码的SIP Message消息时,MS用户终端都会主动发起一次到ACS的HTTP连接,并通过TR-069协议获取最新配置。以下给出由ACS检查MS用户是否订阅了 ACS配置管理服务的实施例图5为本发明实施例三提供的ACS验证MS用户身份的方法流程图,如图5所示,其具体步骤如下步骤501 =IMS核心网的S-CSCF设备发现一个MS用户已在MS核心网成功完成SIP注册,则向ACS发送SIP第三方注册事件消息,该消息中携带该MS用户的MS用户名。可见,步骤501与步骤301相同。步骤502 :ACS接收该SIP第三方注册事件消息,确认该消息中的MS用户名为合法用户,若检查到该MS用户订阅了 ACS配置管理服务,则动态为该MS用户分配一个用于连接ACS的密码,记录该IMS用户名与该动态密码的对应关系,将该密码携带在SIPMessage消息中通过MS核心网中的S-CSCF、P-CSCF设备发送给该MS用户终端。这里,ACS可以向S-CSCF设备查询该MS用户是否订阅了 ACS配置管理服务;或者,各頂S用户也可预先向ACS订阅ACS配置管理服务,这样,ACS上就记录了订阅ACS配置管理服务的MS用户名,这里,ACS就可以在自身查找该MS用户是否订阅了 ACS配置管理服务。 步骤503 504与步骤303 304相同。下面以IMS用户sip ZhangSan @ ims. example, com为例,说明本发明实施例的操作流程,图6为该示例的网络架构图,如图6所示,具体过程如下步骤I :IMS用户sip ZhangSan @ ims. example, com通过正常的IMS用户注册流程注册到頂S核心网。步骤2 S-CSCF 通过查询 sip ZhangSan @ ims. example, com 的签约信息,发现该用户订阅了 ACS配置管理服务,则向ACS发送SIP第三方注册消息,该消息中携带MS用户·名 sip ZhangSan @ ims. example, com。步骤3 :ACS 接收 SIP第三方注册消息,将 IMS用户 sip ZhangSan @ ims. example,com作为合法用户,并为其分配一个动态密码,记录sip ZhangSan @ ims. example, com与该密码的对应关系,将该密码封装在SIP Message消息中,将SIP Message消息作为控制命令通过IMS核心网发送给用户名为sip ZhangSan @ ims. example, com的IMS用户终端。步骤4 :IMS用户终端接收到SIP Message消息,将消息中的动态密码保存下来,与ACS建立HTTP连接,并使用该密码进行摘要认证,完成自动配置过程。图7为本发明实施例提供的ACS的组成示意图,该ACS上具有SIP栈,如图7所示,该ACS包括动态密码分配模块71、身份验证模块72和配置管理模块73,其中动态密码分配模块71 :接收S-CSCF设备发来的携带MS用户名的SIP第三方注册事件消息,将该IMS用户名作为合法用户名,为IMS用户分配一个动态密码,记录IMS用户名与动态密码的对应关系,将该动态密码通过SIP Message消息发送给MS用户终端。动态密码分配模块71进一步用于,在接收到S-CSCF设备发来的携带IMS用户名的SIP第三方注册事件消息之后,检查该MS用户是否订阅了 ACS配置管理服务,若是,执行所述为IMS用户分配一个动态密码的动作;否则,不执行所述为IMS用户分配一个动态密码动作。或者,动态密码分配模块71进一步用于,在接收到S-CSCF设备发来的携带IMS用户名的SIP第三方注册事件消息之后,向S-CSCF设备查询该MS用户是否订阅了 ACS配置管理服务,若是,执行所述为MS用户分配一个动态密码的动作;否则,不执行所述为MS用户分配一个动态密码动作。或者,动态密码分配模块61进一步用于,在接收到S-CSCF设备发来的携带IMS用户名的SIP第三方注册事件消息之后,在本ACS记录的该MS用户订阅的服务中,查找该IMS用户是否订阅了 ACS配置管理服务,若是,执行所述为MS用户分配一个动态密码的动作;否则,不执行所述为IMS用户分配一个动态密码动作。身份验证模块72 :接收MS用户终端发来的HTTP连接请求,在动态密码分配模块71中查找该MS用户名对应的动态密码,使用该动态密码对MS用户进行身份验证,验证成功后,向配置管理模块73发出携带MS用户名的配置下发指示。配置管理模块73 :接收身份验证模块72发来的携带MS用户名的配置下发指示,将该MS用户的最新配置下发给MS用户终端。以下给出本发明实施例提供的S-CSCF设备的组成,其包括SIP注册通知模块当发现MS用户SIP注册成功,向ACS发送携带该MS用户名的SIP第三方注册事件消息。SIP注册通知模块进一步用于,当发现MS用户SIP注册成功后,检查该MS用户是否订阅了 ACS配置管理服务,若是,执行所述向ACS发送携带该MS用户名的SIP第三方注册事件消息的动作;否则,不执行所述向ACS发送携带该MS用户名的SIP第三方注册事件消息的动作。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
1.一种验证IP多媒体子系统MS用户身份的方法,其特征在于,在自动配置服务器ACS上增加会话发起协议SIP栈,该方法包括 服务呼叫会话控制功能S-CSCF设备发现IMS用户SIP注册成功,向ACS发送携带该IMS用户名的SIP第三方注册事件消息; ACS接收所述SIP第三方注册事件消息,为所述MS用户分配一个动态密码,将该动态密码通过SIP消息发送给该IMS用户终端; MS用户终端接收并保存所述动态密码,与ACS建立超文本传输协议HTTP连接,使用所述动态密码与ACS进行身份验证过程。
2.根据权利要求I所述的方法,其特征在于,所述S-CSCF设备发现IMS用户SIP注册成功之后、向ACS发送携带该MS用户名的SIP第三方注册事件消息之前进一步包括 S-CSCF设备检查该MS用户是否订阅了 ACS配置管理服务,若是,则执行所述向ACS发送携带该IMS用户名的SIP第三方注册事件消息的动作;否则,不执行所述向ACS发送携带该頂S用户名的SIP第三方注册事件消息的动作。
3.根据权利要求I所述的方法,其特征在于,所述ACS接收所述SIP第三方注册事件消息之后、为所述IMS用户分配一个动态密码之前进一步包括 ACS检查该MS用户是否订阅了 ACS配置管理服务,若是,执行所述为所述MS用户分配一个动态密码的动作;否则,不执行所述为所述IMS用户分配一个动态密码动作。
4.根据权利要求3所述的方法,其特征在于,所述ACS检查该IMS用户是否订阅了ACS配置管理服务包括 ACS向S-CSCF设备查询该MS用户是否订阅了 ACS配置管理服务; 或者包括 ACS在自身记录的该MS用户订阅的服务中,查找该MS用户是否订阅了 ACS配置管理服务。
5.根据权利要求I所述的方法,其特征在于,所述IMS用户终端使用所述动态密码与ACS进行身份验证过程之后进一步包括 身份验证成功,ACS将所述MS用户的最新配置下发给所述MS用户终端。
6.根据权利要求I所述的方法,其特征在于,所述IMS用户名为IMS用户的IP多媒体私有标识MPI。
7.根据权利要求I所述的方法,其特征在于,所述身份验证过程采用摘要认证算法。
8.一种ACS,其特征在于,该ACS上具有SIP栈,该ACS包括 动态密码分配模块接收S-CSCF设备发来的携带IMS用户名的SIP第三方注册事件消息,为MS用户分配一个动态密码,记录MS用户名与动态密码的对应关系,将该动态密码通过SIP消息发送给MS用户终端; 身份验证模块接收MS用户终端发来的HTTP连接请求,在动态密码分配模块中查找该頂S用户的动态密码,使用该动态密码对MS用户进行身份验证。
9.根据权利要求8所述的ACS,其特征在于,所述动态密码分配模块进一步用于,在接收到S-CSCF设备发来的携带MS用户名的SIP第三方注册事件消息之后,检查该MS用户是否订阅了 ACS配置管理服务,若是,执行所述为MS用户分配一个动态密码的动作;否则,不执行所述为IMS用户分配一个动态密码动作。
10.根据权利要求8所述的ACS,其特征在于,所述动态密码分配模块进一步用于,在接收到S-CSCF设备发来的携带MS用户名的SIP第三方注册事件消息之后,向S-CSCF设备查询该MS用户是否订阅了 ACS配置管理服务,若是,执行所述为MS用户分配一个动态密码的动作;否则,不执行所述为IMS用户分配一个动态密码动作。
11.根据权利要求8所述的ACS,其特征在于,所述动态密码分配模块进一步用于,在接收到S-CSCF设备发来的携带MS用户名的SIP第三方注册事件消息之后,在本ACS记录的该MS用户订阅的服务中,查找该MS用户是否订阅了 ACS配置管理服务,若是,执行所述为IMS用户分配一个动态密码的动作;否则,不执行所述为IMS用户分配一个动态密码动作。
12.根据权利要求8所述的ACS,其特征在于,所述身份验证模块进一步用于,在对IMS用户的身份验证成功后,发出一个携带MS用户名的配置下发指示; 且,所述ACS进一步包括配置管理模块,用于在接收到所述携带MS用户名的配置下发指示后,将该MS用户的最新配置下发给MS用户终端。
13.一种S-CSCF设备,其特征在于,包括 SIP注册通知模块当发现MS用户SIP注册成功,向ACS发送携带该MS用户名的SIP第三方注册事件消息。
14.根据权利要求13所述的S-CSCF设备,其特征在于,所述SIP注册通知模块进一步用于,当发现頂S用户SIP注册成功后,检查该MS用户是否订阅了 ACS配置管理服务,若是,执行所述向ACS发送携带该MS用户名的SIP第三方注册事件消息的动作;否则,不执行所述向ACS发送携带该MS用户名的SIP第三方注册事件消息的动作。
全文摘要
本发明公开了验证IP多媒体子系统用户身份的方法及自动配置服务器。方法包括在ACS上增加会话发起协议SIP栈,S-CSCF设备发现IMS用户SIP注册成功,向ACS发送携带该IMS用户名的SIP第三方注册事件消息;ACS接收所述SIP第三方注册事件消息,为所述IMS用户分配一个动态密码,将该动态密码通过SIP消息发送给该IMS用户终端;IMS用户终端接收并保存所述动态密码,与ACS建立HTTP连接,使用所述动态密码与ACS进行身份验证过程。本发明无需为IMS用户额外分配登录ACS的账户,并提高了ACS对IMS用户进行身份验证的安全性。
文档编号H04L29/06GK102984118SQ20111026411
公开日2013年3月20日 申请日期2011年9月7日 优先权日2011年9月7日
发明者马君, 徐朝 申请人:中国移动通信集团公司