一种实现系统登录的方法、信息技术系统和通信系统

摘要

本发明公开了一种实现系统登录的方法、信息技术系统和通信系统，解决了登录多个应用系统时需要逐个输入用户帐号和登录口令导致的登录效率低、安全性低以及管理复杂度高的问题。本发明技术方案包括：信息技术IT系统获得IT系统客户端发送的登录请求，所述登录请求中包括IT系统帐号；根据所述IT系统帐号，获得对应的因特网协议多媒体子系统IMS帐号，并将所述IMS帐号发送给IMS网络，请求IMS网络分配与所述IMS帐号对应的密钥；将所述IMS帐号和所述密钥，通过IT系统客户端发送给IMS客户端，用于IMS客户端登录到IMS网络。通过上述技术方案，能够提高登录效率及安全性，并且能够减少系统管理的复杂度。

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及通过信息技术系统登录到因特网协议多媒体子系统网络的技术。

背景技术

3GPP R5(3^rd Generation Partner Project，第三代伙伴计划)阶段引入了IMS(Internet Protocol Multimedia Subsystem，因特网协议多媒体子系统)，目前已经为ITU-T(International Telecommunication Union-TelecommunicationStandardization Sector，国际电联电信标准化部门)、ETSI(EuropeanTelecommunications Standards Institute，欧洲电信标准机构)、3GPP2等标准组织所接受。IMS可以灵活地提供更多业务应用，如：IMS不仅在规划上可以统一，在QoS(Quality of Service，服务质量)方面也可以做到统一；IMS不仅可以做到承载和控制分离，还可以实现与用户界面的分离；IMS不仅可以实现所有接入的方式，还能做到数据的集中。从业务融合的角度看，IMS具有很大的吸引力和优势。不管从理论上还是在实践中，都已证明IMS是NGN(NextGeneration Network，下一代网络)发展的基础。

随着信息技术和网络技术的发展，越来越多的企业认识到，将IMS网络应用与企业IT(Information Technology，信息技术)系统的融合，作为企业应用与通信进行无缝集成的解决方案时，可以为用户获得其所需要的信息提供一个更方便的途径，并且可以为用户提供更多的应用服务，从而能够有效提高企业的工作效率与IT成本。所以，有越来越多的企业引入了IMS网络应用与企业IT系统的融合技术。

引入IMS网络应用与企业IT系统的融合技术的同时，用户需要登录的应用系统也会相应地增多。由于每个系统都要求用户遵循一定的安全策略，比如要求输入用户帐号和登录密码，这样，随着用户登录系统的增多，需要记忆的用户帐号和登录密码也会很多，从而导致出错的可能性增加，并且受到非法截获和破坏的可能性也会增大，登录网络的安全性也会相应降低。另外，用户有可能会忘记用户帐号或登录密码，此时就需要用户请求管理员的帮助，直到重新获得用户帐号或登录密码，才能执行任务。这样就会浪费很多时间，从而导致系统登录效率降低，并且由此使系统的管理复杂度增大。

为尽量避免上述情况发生，可以采用统一登录的方式实现多个系统的登录，也就是说，将IMS帐号和企业IT系统的帐号统一起来，采用同样的用户帐号和/或登录密码进行登录。为了实现统一登录，通常通过简化用户帐号和/或登录密码，或者在多个应用系统中使用相同的用户帐号和/或登录密码等方法来实现，以减少用户需要记忆的登录多个应用系统所需要的用户帐号和登录密码，减少操作的复杂性，但是，简化或单一的用户帐号和/或登录密码往往很容易被破解或盗用，这种方式也是极不安全的；另外，当这些安全风险逐步反映出来，管理员会增加一些新的安全措施，但是这些措施会减少系统的可用性，并且会增大系统管理的复杂度。

发明内容

本发明提供一种实现系统登录的方法、信息技术系统和通信系统，以解决登录多个IMS网络应用系统时需要逐个输入用户帐号和登录密码导致登录效率低、安全性低以及管理复杂度高的问题。

本发明实施例通过如下技术方案实现：

本发明实施例提供了一种实现系统登录的方法，包括：

信息技术IT系统获得IT系统客户端发送的登录请求，所述登录请求中包括IT系统帐号；

根据所述IT系统帐号，获得对应的因特网协议多媒体子系统IMS帐号，并将所述IMS帐号发送给IMS网络，请求所述IMS网络分配与所述IMS帐号对应的密钥；

将所述IMS帐号和所述IMS网络分配的密钥，通过IT系统客户端发送给IMS客户端，用于IMS客户端登录到IMS网络。

本发明实施例还提供了一种信息技术系统，所述信息技术系统包括：

网络通信单元，用于获得信息技术IT系统客户端发送的登录请求，所述登录请求中包括IT系统帐号；

帐号获得单元，用于根据所述IT系统帐号，获得对应的因特网协议多媒体子系统IMS帐号；

数据请求单元，用于将所述IMS帐号发送给IMS网络，请求所述IMS网络分配与所述IMS帐号对应的密钥；以及，获得所述IMS网络分配的与所述IMS帐号对应的密钥；

所述网络通信单元，还用于将所述IMS帐号和所述IMS网络分配的密钥，通过IT系统客户端发送给IMS客户端，用于IMS客户端登录到IMS网络。

本发明实施例还提供了一种通信系统，所述通信系统包括：信息技术IT系统和因特网协议多媒体子系统IMS网络；

其中，IT系统，用于获得IT系统客户端发送的登录请求，所述登录请求中包括IT系统帐号；根据所述IT系统帐号，获得对应的IMS帐号，并将所述IMS帐号发送给IMS网络，请求所述IMS网络分配与所述IMS帐号对应的密钥；将所述IMS帐号和所述IMS网络分配的密钥，通过IT系统客户端发送给IMS客户端，用于IMS客户端登录到IMS网络；

IMS网络，用于根据所述IT系统提供的IMS帐号，分配与所述IMS帐号对应的密钥。

本发明通过上述技术方案，当用户需要登录到IMS网络时，只需要登录IT系统，通过IT系统获得与IT系统帐号对应的IMS帐号，请求IMS网络随机分配用于登录IMS网络并与该IMS帐号对应的密钥，通过该IMS帐号以及对应的密钥登录到IMS网络。通过本发明技术方案，能够减少用户登录IMS网络花费的时间以及由于登录失败而浪费的时间，提高了登录效率；同时，登录IMS网络不需要用户提交和记忆用户帐号和登录密码等认证信息，为用户提供了方便并且提高了登录系统时的安全性；同时，不用在系统中建立登录不同系统时的帐号密码数据库，减少了系统管理的复杂度。

附图说明

图1为本发明第一实施例中一种实现系统登录的方法流程图；

图2为本发明第一实施例中通过IMS客户端登录到IMS网络流程图；

图3为本发明第二实施例中IT系统的结构图；

图4为本发明第三实施例中通信系统的结构图；

图5为本发明第三实施例中通信系统的第二结构图；

图6为本发明第三实施例中用户登录通信系统的流程图。

具体实施方式

本发明实施例提供了一种实现系统登录的方法、信息技术系统和通信系统，通过IT系统获得用于登录IMS网络的IMS帐号以及对应的密钥，利用该IMS帐号以及对应的密钥能够登录到IMS网络，从而能够提高用户登录多个应用系统的效率和安全性，并且降低了管理系统的复杂度。下面结合说明书附图及具体实施例对本发明技术方案的主要实现原理、具体实施过程及其对应能够达到的有益效果进行详细的阐述。

本发明第一实施例提供了一种实现系统登录的方法，该实现系统登录的方法为：IT系统获得IT系统客户端发送的登录请求，所述登录请求中包括IT系统帐号；根据所述IT系统帐号，获得对应的IMS帐号，并将所述IMS帐号发送给IMS网络，请求所述IMS网络分配与所述IMS帐号对应的密钥；将所述IMS帐号和所述IMS网络分配的密钥，通过IT系统客户端发送给IMS客户端，用于IMS客户端登录到IMS网络。

本实施例的具体实施过程如图1所示，包括如下内容：

步骤101、IT系统获得IT系统客户端发送的登录请求，所述登录请求中包括IT系统帐号。

该IT系统客户端发送的登录请求中还可以进一步包括与IT系统帐号对应的密钥；IT系统根据登录请求中包括的与IT系统帐号对应的密钥，对发起登录请求的IT系统客户端进行身份验证。

步骤102、IT系统根据所述登录请求中包括的IT系统帐号，获得对应的IMS帐号，并将所述IMS帐号发送给IMS网络，请求IMS网络分配登录IMS网络并与所述IMS帐号对应的密钥。

在进行该步骤之前，需要在IT系统中建立并存储IT系统帐号与IMS帐号的对应关系，IT系统通过查找该对应关系，从而获得与登录请求中包括的IT系统帐号对应的IMS帐号。

当IMS网络收到IT系统发送的包括IMS帐号的请求后，IMS网络的归属用户服务器HSS(Home Subscriber Server，归属用户服务器)会为该IMS帐号随机生成密钥；或者，在IT系统与IMS网络之间的协议转换设备拦截IT系统发送的包括IMS帐号的请求，为该IMS帐号随机生成一个密钥，并将生成的密钥提供给IMS网络的HSS。

步骤103、IT系统获得HSS分配的密钥，该密钥还保存在HSS的用户档案数据库中。

步骤104、IT系统将IMS帐号以及HSS分配的密钥通过IT系统客户端提供给IMS客户端，用于IMS客户端登录到IMS网络。

步骤104具体包括如下过程：

步骤一、IT系统将IMS帐号以及HSS分配的密钥发送给IT系统客户端；

步骤二、IT系统客户端调用IMS客户端，并在调用过程中将IT系统发送的IMS帐号以及对应的密钥提供给IMS客户端，用于IMS客户端登录到IMS网络。IT系统客户端调用IMS客户端可以采用标准调用技术，其调用流程如下：

IMS Client.exe％1％2

其中，％1为用户IMS账号；％2为用户的一次性密码。

IMS客户端登录到IMS网络的具体过程如图2所示，包括如下内容：

步骤201、IMS网络的CSCF(Call Session Control Function，呼叫会话控制功能)服务器接收IMS客户端发送的登录请求。

IMS客户端发送的登录请求中包括：IMS帐号以及登录方式信息，本实施例以登录方式信息的内容为单点登录方式为例，进行下面的说明。

步骤202、CSCF服务器根据IMS客户端发送的登录请求，获得对应的鉴权数据。

CSCF服务器获得的鉴权数据包括：与所述IMS帐号对应的密钥以及单点登录方式要求的鉴权算法，单点登录方式要求的鉴权算法一般为MD5加密算法。

步骤202的具体实现包括如下过程：

S1、判断CSCF服务器中是否存在与IMS帐号对应并且符合单点登录方式要求的鉴权数据。

一般情况下，当用户首次登录时，系统中并没有任何鉴权数据；而对于已经登录到IMS网络的用户，为了保证网络连接更加通畅，需要定时刷新网络，也即刷新登录，此时CSCF服务器中已保存有首次登录时下载的鉴权数据，对于刷新登录，该鉴权数据依然有效。

S2、当判断CSCF服务器中存在所述鉴权数据时，则执行步骤S3；否则执行步骤S4。

S3、获得CSCF服务器中的鉴权数据。

S4、请求IMS网络的HSS分配与IMS帐号对应并符合单点登录方式要求的鉴权数据。

进一步，为了保证IMS客户端必须在登录IT系统后才能使用单点登录方式登入IMS网络，防止非法用户的重放攻击，也即重复发送相同的信息以攻击网络，例如，截取登录包文后重新发送给IMS网络，需要保证登录IMS网络的密钥的一次性特征，所以需要根据登录方式信息或用户信息，进一步判断一次性密钥是否有效，并当一次性密钥无效后，需要下载新的鉴权数据。

判断需要获得新的鉴权数据需要满足如下条件中的至少一个成立：

A、用户登录IMS网络的登录方式发生变化。    

例如：前一次登录IMS网络采用HTTP Digest登录方式，而本次采用单点登录方式，因为不同登录方式之间是不兼容的，并且不同登录方式需要的鉴权数据也是不同的，所以当登录方式发生变化时，就需要重新下载鉴权数据。

B、用户的联系地址或注册信息发生变化。

例如，当用户关闭了IT系统客户端并换用其它终端登录，或用户关闭或重启了IT系统客户端并重启了IMS客户端时，用户的联系地址或注册信息都会发生变化，所以也需要重新下载鉴权数据。

同时，为了保证与IMS帐号对应的密钥更加安全，当HSS将与IMS帐号对应的鉴权数据分配给CSCF服务器后，将保存在其用户档案数据库中的该条与IMS帐号对应的密钥删除或设置为无效，直到再次收到IT系统发送的包含IMS帐号的请求时，HSS会生成一个新的密钥，所以，登录IMS网络需要的密码的生命周期限定在用户在某个终端上的一次登录周期内，即用户成功登录到IT系统中，并触发IMS网络的一次登录。

步骤203、CSCF服务器将IMS网络对应的网络信息，提供给IMS客户端，用于IMS客户端对所述IMS网络进行认证。

IMS客户端对IMS网络的认证可以通过MAC(Message AuthenticationCheck，消息认证验证)算法实现，IMS网络提供给IMS客户端的网络信息中包括AUTN(Authentication Token，鉴权标识)，IMS客户端收到IMS网络发送的网络信息后，计算期望的消息认证码XMAC校验值，比较从AUTN中取  得的由HSS计算的消息认证码MAC校验值与IMS客户端生成的XMAC校验值，若MAC校验值和XMAC校验值一致，则认证成功。

IMS客户端计算XMAC校验值的过程如下：

客户端利用共享密钥来校验AUTN，如果AUTN校验成功，客户端通过随机数RAND计算出过程密钥AK，然后使用过程密钥AK来恢复序列号SQN，接着通过得到的序列号SQN、RAND和客户端中保存的AMF(AuthenticationManagement Function，认证管理功能)来计算期望的消息认证码XMAC校验值。

步骤204、判断IMS客户端对IMS网络的认证是否通过，若通过，则执行步骤205；否则拒绝该IMS网络发送的信息。

步骤205、CSCF服务器将获得的鉴权数据中包括的鉴权算法提供给IMS客户端，利用IMS客户端中的密钥以及该鉴权算法生成鉴权响应；以及，CSCF服务器获得IMS客户端生成的鉴权响应；并利用本地获得的鉴权数据中包括的密钥以及鉴权算法生成鉴权响应。

步骤206、将步骤205中IMS客户端生成的鉴权响应与CSCF服务器生成的鉴权响应进行比较，当所生成的两个鉴权响应一致时，执行步骤207；否则拒绝该IMS客户端登录到IMS网络。

步骤207、允许该IMS客户端登录到IMS网络。

进一步地，为了保证用户信息的安全性，上述过程中，客户端与IT系统之间进行交互可以采用安全连接(如安全套接字技术)，以保证传递的各种信息(如一次性密钥)不会泄漏。

本发明第二实施例提供了一种IT系统，该IT系统如图3所示，包括网络通信单元、帐号获得单元、数据请求单元；本实施例提供的IT系统还可以进一步包括：帐号存储单元；

其中，网络通信单元，用于获得IT系统客户端发送的登录请求，所述登录请求中包括IT系统帐号；

帐号获得单元，用于根据所述IT系统帐号，获得对应的IMS帐号；

数据请求单元，用于将所述IMS帐号发送给IMS网络，请求所述IMS网络分配与所述IMS帐号对应的密钥；并接收IMS网络分配的与所述IMS帐号对应的密钥；

相应地，所述网络通信单元，还用于将所述IMS帐号和所述IMS网络分配的密钥，通过IT系统客户端发送给IMS客户端，用于IMS客户端登录到IMS网络。

本实施例提供的IT系统进一步包括的帐号存储单元，用于将建立IT系统帐号与IMS帐号的对应关系，并将所述对应关系提供给帐号获得单元。

本发明第三实施例提供了一种通信系统，如图4所示，该通信系统包括如下功能实体：

IT系统401，用于获得IT系统客户端发送的登录请求，所述登录请求中包括IT系统帐号；根据所述IT系统帐号，获得对应的IMS帐号，并将所述IMS帐号发送给IMS网络，请求所述IMS网络分配与所述IMS帐号对应的密钥；将所述IMS帐号和所述IMS网络分配的密钥，通过IT系统客户端发送给IMS客户端，用于IMS客户端登录到IMS网络。

IMS网络402，用于根据所述IT系统发送的包含IMS帐号的请求，分配与所述IMS帐号对应的密钥。

该IMS网络包括：CSCF服务器，该CSCF服务器，用于获得IMS客户端发送的登录请求，所述登录请求中包括IMS帐号以及登录方式信息；根据所述IMS帐号，获得对应的密钥；根据所述登录方式信息，获得所述登录方式所要求的鉴权算法；将所述鉴权算法提供给IMS客户端，并接收所述IMS客户端利用所述鉴权算法以及通过IT系统客户端获得的密钥生成的鉴权响应；利用所述密钥以及鉴权算法，对所述IMS客户端生成的鉴权响应进行校验，并当验证通过后，允许所述IMS客户端登录到IMS网络。

进一步，该IMS网络还包括：HSS，用于当收到所述IT系统发送的包含IMS帐号的请求时，分配与该IMS帐号对应的密钥；

上述CSCF服务器包括：

第一鉴权数据获得单元，用于判断IMS网络的呼叫会话控制功能CSCF服务器中是否存在与IMS帐号对应的密钥以及所述登录方式信息要求的鉴权算法；当确定所述CSCF服务器中存在所述密钥以及所述鉴权算法时，则从所述CSCF服务器中获得所述密钥以及所述鉴权算法；否则，从所述HSS中获得所述密钥以及所述鉴权算法；

或，

第二鉴权数据获得单元，用于判断IMS网络的呼叫会话控制功能CSCF服务器中是否存在与IMS帐号对应的密钥以及所述登录方式信息要求的鉴权算法；当确定所述CSCF服务器中存在所述密钥以及所述鉴权算法时，根据所述登录方式信息或用户信息，判断是否需要获得新的密钥以及鉴权算法，当确定需要获得新的密钥以及鉴权算法时，则从所述HSS中获得所述密钥以及所述鉴权算法；否则，从所述CSCF服务器中获得所述密钥以及所述鉴权算法；当确定所述CSCF服务器中不存在所述密钥以及所述鉴权算法时，从所述HSS中获得所述密钥以及所述鉴权算法。

当上述CSCF服务器包括第二鉴权数据获得单元时，其进一步判断是否需要下载新的鉴权数据的目的在于，保证IMS客户端必须在登录IT系统后才能使用单点登录方式登入IMS网络，防止非法用户的重放攻击，也即重复发送相同的信息以攻击网络，进一步保证本实施例中登录IMS网络所使用密钥的一次性特征。

本实施例提供的通信系统如图5所示，还可以进一步包括接口机403，用于在IT系统与IMS网络之间进行协议转换。设置该接口机的目的是为了解决某些情况下IT系统支持的协议接口与IMS无交集的情况，例如IT系统一般都支持HTTP(Hyper-Text Transfer Protocol，超文本传输协议)，但IMS系统中的HSS并不支持协议，故需要设置一个接口设备。

进一步，该接口机还用于拦截所述IT系统发送的包含IMS帐号的请求，生成与该IMS帐号对应的密钥，并将生成的密钥提供给所述归属用户服务器。

下面，以IMS客户端为首次登录为例，对本实施例所述的通信系统中，通过IT系统登录IMS网络的具体过程进行详细说明，如图6所示，包括如下内容：

步骤601、用户通过智能终端的IT系统客户端向IT系统发送登录请求，该登录请求中包括IT系统帐号以及对应的密钥；

步骤602、IT系统对请求登录的IT系统客户端进行身份验证，并当验证通过后，根据IT系统帐号获得IMS帐号；

步骤603、IT系统将获得的IMS帐号包含在用户登录通知中发送给IMS网络的HSS；

步骤604、HSS收到IT系统发送的登录通知后，为该登录通知中包括的IMS帐号随机生成对应的密钥，并将该一次性密钥保存到用户档案数据库中；

步骤605、HSS将生成的密钥返回给IT系统；

步骤606、IT系统获得IMS分配的密钥，并将IMS帐号以及该密钥提供给IT系统客户端；

步骤607、IT系统客户端收到IT系统发送的IMS帐号及对应密钥后，调用IMS客户端，并在调用过程中将该IMS帐号及对应密钥提供给IMS客户端；

步骤608、IMS客户端收到IT系统客户端发送的IMS帐号及对应密钥后，向IMS网络的CSCF服务器发起登录请求，该登录请求中包括IMS帐号以及单点登录信息；

步骤609、CSCF服务器向HSS发起鉴权数据下载请求，该下载请求中包括IMS帐号；

步骤610、HSS将用户档案数据库中与IMS帐号对应的密钥以及单点登录方式要求的鉴权算法提供给CSCF服务器，同时将该密钥设为无效；

步骤611、CSCF获得HSS提供的密钥以及鉴权算法，并向IMS客户端发起鉴权挑战，该鉴权挑战中包括与IMS网络对应的网络信息以及鉴权算法；

步骤612、IMS客户端根据鉴权挑战中的网络信息对IMS网络进行认证，并当认证通过后，利用本端保存的密钥及鉴权挑战中的鉴权算法，生成鉴权响应；

步骤613、IMS客户端将生成的鉴权响应提供给CSCF服务器；

步骤614、CSCF利用HSS提供的密钥及鉴权算法对IMS客户端生成的鉴权响应进行校验，并当校验通过后允许该IMS客户端登录到IMS网络；

步骤615、CSCF向IMS客户端反馈登录成功响应。

本实施例中的智能终端用于发送登录请求，其包括：IT系统客户端以及IMS客户端；该智能终端可以是一台个人计算机、笔记本或手持终端(如手机)，其包括的IT系统客户端可以是一个Web浏览器或者其它类型的客户端。

本发明通过上述技术方案，当用户需要登录到IMS网络时，只需要登录IT系统，通过IT系统获得与IT系统帐号对应的IMS帐号，请求IMS网络随机分配用于登录IMS网络并与该IMS帐号对应的密钥，通过该IMS帐号以及对应的密钥登录到IMS网络。通过本发明技术方案，能够减少用户登录IMS网络花费的时间以及由于登录失败而浪费的时间，提高了登录效率；同时，登录IMS网络不需要用户提交和记忆用户帐号和登录密码等认证信息，为用户提供了方便并且提高了登录系统时的安全性；同时，不用在系统中建立登录不同系统时的帐号密码数据库，减少了系统管理的复杂度。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。