[发明专利]互联网协议多媒体子系统的访问方法和用户设备

说明书

技术领域

本发明大体上涉及通信网络，特别地，涉及提供互联网协议多媒体子系统(IMS)安全访问的方法、实体和网络。

背景技术

互联网协议多媒体子系统(IMS)是能够为各种用户终端提供其所需的业务，例如，移动数据网业务以及IP多媒体业务的核心网络。它可以为用户提供统一开放的网络结构并且支持多种业务类型，同时便于开发新业务，保障业务质量。

为了防止某些非法用户恶意地使用IMS网络，为IMS网络提供了已经标准化的安全保障体制。IMS网络的安全完全是基于用户的私有身份以及存在卡模块上的密钥。为此IMS定义了自己的IMS订户标识模块(ISIM，IMS Subscriber Identity Module)，类似于通用移动通信系统(UMTS，Universal Mobile Telecommunications System)的UMTS订户标识模块(USIM，UMTS Subscriber Identity Module)，里面存储有IMS相关的安全数据和算法。当前标准中所定义的ISIM主要包含以下内容：

IMPI(IP Multimedia Private Identity)：IM 私有身份

IMPU(IP Multimedia Public Identity)：一个或多个IM公开身份

用户归属网络的域名

IMS域内的SQN序列号

认证密钥(IMS安全的基础)

通常在IMS网络中，仅在ISIM和归属订户服务器(HSS，HomeSubscriber Server)之间共享这些秘密参数和算法，其他的任何网络实体都不知晓密钥和私有身份IMPI。可以理解，在IMS网络中，用户身份的认证，、数据加密和完整性保护等等都是基于上述安全内容的。

随着IMS网络的部署和发展，更多种类的用户可能期望访问IMS网络，所使用的接入技术包括DSL、线缆、以太网、无线局域网等分组接入技术。可以理解，在使用上述这些技术实现分组接入时，用户设备UE并没有被配置有类似于ISIM的物理卡或者安全存储器，而是仅依靠用户名和密码的方式进行网络认证，从而获取相应的网络安全特性。然而，由于这些不具备模块/卡的用户(例如，这些用户可以使用台式机、笔记本、PDA等通过有线或者无线的方式进行分组接入)无法获取ISIM中包含的秘密参数和算法，因此这些用户不能利用现有的IMS安全方法访问IMS网络，这些现有安全方法包括IMS AKA(Authentication and Key Agreement，认证和密钥协商)和IPSec。

在现有技术中，使得IMS网络为上述不具备物理卡或者安全存储器的用户设备提供服务时，可能需要进行以下工作以便解决其中的安全隐患：1.手动地配置终端的信息，例如共享密钥、IMPI、IMPU，P-CSCF等；2.选择其它的安全机制取代IMS AKA和IPSec机制，例如选择HTTP摘要、Early IMS、NAS S绑定认证。通常，这些选择的安全机制会使得安全保护的等级下降，并且还会产生共存的问题。

可见，在现有技术中还没有任何协议和解决方案能够使得无物理卡或者安全存储器的用户设备利用用户名和密码访问IMS网络而不降低其安全保护等级，从而能够获得IMS网络中完备的安全特征。

发明内容

因此，需要一种提供互联网协议多媒体子系统安全访问的方法和用户设备，能够使得无物理卡或者安全存储器的用户设备利用用户名和密码访问IMS网络而不降低其安全保护等级，从而能够获得IMS网络中完备的安全特征。

根据本发明的一个方面，提供一种互联网协议多媒体子系统的访问方法，包括以下步骤：利用进行分组接入的用户名和密码生成互联网协议多媒体子系统的安全内容；根据安全内容执行互联网协议多媒体子系统的安全认证。

根据本发明的另一方面，还提供一种用户设备，用于接入互联网协议多媒体子系统，其中该用户设备包括：软终端，用于利用进行分组接入的用户名和密码生成互联网协议多媒体子系统的安全内容；安全认证装置，根据安全内容执行互联网协议多媒体子系统的安全认证。

根据本发明的另一方面，还提供一种计算机软件产品，包括：用于利用进行分组接入的用户名和密码生成互联网协议多媒体子系统的安全内容的软件代码。