互联网协议多媒体子系统IMS的开户方法、装置及系统

本发明涉及无线通信技术领域，尤其是涉及一种互联网协议多媒体子系统 IMS的开户方法、装置及系统，一种互联网协议多媒体子系统IMS的业务发放 系统，一种互联网协议多媒体子系统IMS的网络注册方法、装置及系统，一种 互联网协议多媒体子系统IMS的业务认证方法、装置及系统。

互联网协议多媒体子系统（IMS，Inetenet Protocol Multimedia Subsystem） 是第三代移动通信伙伴组织（3GPP，Third Generation Partnership Projects）在 R5版本标准中提出的一种支持互联网协议（IP，Inetenet Protocol）多媒体业务 的核心网子系统。IMS建立在包括会话初始化协议（SIP，Session Initiation  Protocol）在内的一整套协议的基础上，融合了数据、语音和多媒体等多种业 务。它以IP技术为基础，通过对接入技术的广泛适应，使得各种类型的客户 端都可以通过IMS建立起端到端的IP通信，并可获得所需要的服务质量。

由于IMS在运行初期，终端侧没有相应的智能客户识别模块（ISIM， Intelligent Subscriber Identity Module）支持，为保证IMS账号的安全性，一般 在业务应用层面采用SIP摘要（Digest）鉴权方式，对通过固定MAC地址接 入IMS的固网终端进行接入鉴权，其中，固网终端包括SIP终端、模拟电话 （POTS，Plain Old Telephone Service）话机等。采用SIP Digest鉴权方式对接 入的终端进行鉴权，主要是基于加密算法（如MD5加密算法）对接入IMS的 终端进行鉴权。其中，采用SIP Digest鉴权方式对接入IMS的终端进行鉴权， 可以有两种方式：一种方式是终端通过注册账号、口令及域名进行IMS接入鉴 权。例如，终端通过“User name、Password、Realm”的方式进行IMS接入鉴 权。另一种方式可以是终端通过网络侧赋予的再加密口令及域名的方式进行 IMS接入鉴权，例如，终端通过“安全哈希算法（HA1，Hash Algorithm）、Realm” 的方式进行IMS接入鉴权。但是上述采用SIP Digest鉴权方式来实现IMS接 入鉴权通常存在如下缺陷：

第一种缺陷：IMS用户私有标识（IMPI，IMS Private Identity）容易泄漏， 从而引发IMS业务被盗用。

第二种缺陷：由于终端侧是通过固定MAC地址的方式接入IMS，当IMS 账号密码泄露以后，其他获得该IMS账号的用户，可以使用软终端通过任意地 址访问IMS，从而引发IMS业务被盗用。

第三种缺陷：由于SIP协议的开放性，导致可以通过SIP头域修改，进行 IMS业务盗用。

第四种缺陷：在终端接入IMS鉴权通过以后，需要由维护人员人工配置 IMS接入设备中的IMS用户账号信息，使得IMS账号安全性较低。

为了解决上述缺陷，现有技术中一般采用下述方式：

第一种方式：基于接入位置来控制终端接入IMS：网络侧在接收到终端发 送的接入IMS请求时，将请求中携带的终端位置信息与数据库中存储的授权信 息进行比对，根据比对结果允许/禁止终端接入IMS。

第二种方式：通过对SIP头域进行检测和过滤，来控制终端接入IMS：网 络侧配置合法和非法头域列表，根据该配置的列表生成对非法头域过滤策略， 根据生成的策略，对携带非法头域列表中的非法头域的数据包进行过滤处理。

但是，上述两种解决方式，存在下述缺陷：

第一种方式：无法避免IMS用户合法登陆后，通过修改SIP头域信息进行 业务盗用，也无法满足无固定MAC地址的终端接入IMS网络的需求。

第二种方式：无法避免由于IMS账号安全性较低，被恶意破解以后注册使 用，或者人为将IMS账号泄密后导致IMS业务被盗用。

综上所述，现有技术中基于SIP Digest鉴权方式实现终端接入IMS方法， 安全性较低，且不能实现IMS业务的自动发放以及在IMS全业务流程中保证 IMS账号的安全性。

本发明实施例提供一种互联网协议多媒体子系统IMS的开户方法、装置及 系统，终端在进行IMS开户时，能够较好地提高IMS账号的安全性。

相应地，本发明实施例提供一种互联网协议多媒体子系统IMS的网络注册 方法、装置及系统，能够较好地提高终端在进行网络注册时，IMS账号的安全 性。

相应地，本发明实施例提供一种互联网协议多媒体子系统IMS的业务发放 系统，用以实现IMS业务的自动发放，从而提高IMS账号的安全性。

相应地，本发明实施例提出一种互联网协议多媒体子系统IMS的业务认证 方法，能够较好地提高在IMS呼叫业务过程中，IMS账号的安全性。

本发明实施例技术方案如下：

一种互联网协议多媒体子系统IMS的开户方法，包括：网络侧在接收到终 端发来的IMS开户申请时，生成与所述开户申请中包含的终端标识信息对应的 IMS用户私有标识IMPI、IMPI的口令和IMS用户公有标识IMPU；对生成的 IMPI进行对应IMPU的区分化处理，以及对所述IMPI的口令进行加密；根据 区分化处理后的IMPI、生成的IMPU和加密后的IMPI的口令对所述开户申请 进行开户，并将开户成功的响应信息反馈给终端，所述响应信息中携带有用于 终端接入IMS的加密后的IMPI的口令、区分化处理后的IMPI和生成的IMPU。

一种互联网协议多媒体子系统IMS的开户装置，包括：信息生成单元，用 于在接收到终端发来的IMS开户申请时，生成与所述开户申请中包含的终端标 识信息对应的IMS用户私有标识IMPI、IMPI的口令和IMS用户公有标识 IMPU；信息处理单元，用于对信息生成单元生成的IMPI进行对应IMPU的区 分化处理，以及对所述IMPI的口令进行加密；信息反馈单元，用于根据信息 处理单元区分化处理后的IMPI、生成的IMPU和加密后的IMPI的口令对所述 开户申请进行开户，并将开户成功的响应信息反馈给终端，所述响应信息中携 带有用于终端接入IMS的加密后的IMPI的口令、区分化处理后的IMPI和生 成的IMPU。

一种互联网协议多媒体子系统IMS的开户系统，包括BOSS服务器和IMS 核心网业务平台，其中：BOSS服务器，用于在接收到终端发来的IMS开户申 请时，生成与所述开户申请中包含的终端标识信息对应的IMS用户私有标识 IMPI、IMPI的口令和IMS用户公有标识IMPU；对生成的IMPI进行对应IMPU 的区分化处理，以及对所述IMPI的口令进行加密；将区分化处理后的IMPI、 生成的IMPU和加密后的IMPI的口令发送至IMS核心网业务平台，以及将IMS 核心网业务平台发来的开户成功的响应信息反馈给终端，所述响应信息中携带 有用于终端接入IMS的加密后的IMPI的口令、区分化处理后的IMPI和IMPU； IMS核心网业务平台，用于根据区分化处理后的IMPI、生成的IMPU和加密 后的IMPI的口令对所述开户申请进行开户，并将开户成功的响应信息反馈给 BOSS服务器。

一种互联网协议多媒体子系统IMS的网络注册方法，包括：在接收到终端 发来的网络注册请求时，统计在预设时长内，所述终端发来的网络注册请求次 数；根据统计出的注册请求次数，确定所述终端是否通过网络注册的预鉴权； 如果通过，则为所述终端完成网络注册；如果不通过，则拒绝为所述终端进行 网络注册，并拒绝接收所述终端再次发送的网络注册请求。

一种互联网协议多媒体子系统IMS的网络注册装置，包括：统计单元，用 于在接收到终端发来的网络注册请求时，统计在预设时长内，所述终端发来的 网络注册请求次数；判断单元，用于根据统计单元统计出的注册请求次数，确 定所述终端是否通过网络注册的预鉴权；执行单元，用于在判断单元判断结果 为是时，为所述终端完成网络注册；否则拒绝为所述终端进行网络注册，并拒 绝接收所述终端再次发送的网络注册请求。

一种互联网协议多媒体子系统IMS的网络注册系统，包括BOSS服务器和 IMS核心网业务平台，其中：所述BOSS服务器，用于在接收到终端发来的网 络注册请求时，统计在预设时长内，所述终端发来的网络注册请求次数，根据 统计出的注册请求次数，确定所述终端是否通过网络注册的预鉴权，如果通过， BOSS服务器将所述网络注册请求发送给IMS核心网业务平台，以及将IMS 核心网业务平台发来的网络注册成功的响应信息反馈给终端；所述IMS核心网 业务平台，用于根据BOSS服务器发来的网络注册请求，完成网络注册，并将 网络注册成功的响应信息发送给BOSS服务器。

一种互联网协议多媒体子系统IMS的业务认证方法，包括：接收终端发来 的呼叫请求；在终端发来的呼叫请求中获取会话初始化协议SIP头域中包含的 优选识别P-Preferred-Identity头域；对所述P-Preferred-Identity头域中包含的信 息进行检测；若所述信息中包含的IMS用户公有标识IMPU与预先存储和所述 终端对应的IMPU不一致时，确定终端本次呼叫不是合法呼叫；否则，确定终 端本次呼叫是合法呼叫，执行呼叫请求响应，并将呼叫成功响应反馈给终端。

一种互联网协议多媒体子系统IMS的业务认证装置，包括：接收单元，用 于接收终端发来的呼叫请求；获取单元，用于在终端发来的呼叫请求中获取会 话初始化协议SIP头域中包含的优选识别P-Preferred-Identity头域；信息检测 单元，用于对所述P-Preferred-Identity头域中包含的信息进行检测；判断单元， 用于若所述信息中包含的IMS用户公有标识IMPU与预先存储和所述终端对应 的IMPU不一致时，确定终端本次呼叫不是合法呼叫；否则，确定终端本次呼 叫是合法呼叫，执行呼叫请求响应，并将呼叫成功响应反馈给终端。

一种互联网协议多媒体子系统IMS的业务认证方法，包括：接收终端发来 的呼叫请求；在终端发来的呼叫请求中获取SIP头域中包含的优先 Priority:emergency头域和计费向量P-Charging-Vector头域；对获取的 Priority:emergency头域和P-Charging-Vector头域中的信息进行检测；若所述信 息不是网络侧设置的，则确定终端本次呼叫不是合法呼叫；否则，确定终端本 次呼叫是合法呼叫，执行呼叫请求响应，并将呼叫成功响应反馈给终端。

一种互联网协议多媒体子系统IMS的业务认证装置，包括：接收单元，用 于接收终端发来的呼叫请求；获取单元，用于在终端发来的呼叫请求中获取会 话初始化协议SIP头域中包含的优先Priority:emergency头域和计费向量 P-Charging-Vector头域；信息检测单元，用于对获取单元获取的 Priority:emergency头域和P-Charging-Vector头域中的信息进行检测；判断单元， 用于若信息检测单元检测的信息不是网络侧设置的，则确定终端本次呼叫不是 合法呼叫；否则，确定终端本次呼叫是合法呼叫，执行呼叫请求响应，并将呼 叫成功响应反馈给终端。

一种互联网协议多媒体子系统IMS的业务认证系统，包括代理会话控制功能 P-CSCF和认证AS服务器，其中：所述P-CSCF，在终端发来的呼叫请求中获 取会话初始化协议SIP头域中包含的优选识别P-Preferred-Identity头域；对所 述P-Preferred-Identity头域中包含的信息进行检测，若所述信息中包含的IMS 用户公有标识IMPU与预先存储和所述终端对应的IMPU不一致时，确定终端 本次呼叫不是合法呼叫，否则，确定终端本次呼叫是合法呼叫，并将所述呼叫 请求转发至AS服务器，以及将AS服务器发来的呼叫成功响应反馈给终端； 所述AS服务器，用于根据接收到的呼叫请求，执行业务呼叫处理，并将呼叫 成功响应反馈给P-CSCF。

一种互联网协议多媒体子系统IMS的业务发放系统，包括BOSS服务器、 IMS核心网业务平台和接入开通网关以及接入设备，其中：所述BOSS服务器， 用于在接收到IMS核心网业务平台发来的开户成功的响应信息之后，向接入开 通网关发送接入设备开通数据，以及将接入开通网关发来的发放业务成功的响 应消息发送给终端；所述接入开通网关，用于将接收到的接入设备开通数据发 送至接入设备中；以及接收接入设备发来的发放业务成功的信息；所述接入设 备，用于根据接收到的所述接入设备开通数据进行参数配置，在接入设备完成 参数配置以后，向接入开通网关反馈发放业务成功的信息。

采用本发明这里提出的技术方案，网络侧在接收到终端发来的IMS开户申 请时，生成对应的IMPI、IMPI的口令和IMPU，并对生成的IMPI进行对应IMPU 的去分化处理，以及对生成的IMPI的口令进行加密，然后区分化处理后的IMPI 生成的IMPU、加密后的IMPI的口令发送给终端，从而能够将具有一定相似 度的IMPI和IMPU分开，使得用户通过IMPU无法推断得出IMPI，并且，通 过对生成的IMPI的口令进行加密，增加口令的复杂度，能够有效解决由于弱 口令易被破解的问题，从而提高了IMS账号的安全性。同时，采用本发明这里 提出的IMS网络注册方法，在终端发来网络注册请求以后，对终端执行网络注 册预鉴权，只有预鉴权通过以后，才继续对终端执行网络注册，从而有效的提 高了IMS账号的安全性。同时，采用本发明实这里提出的IMS的业务认证方 法，通过对呼叫请求中SIP头域的检测，确定所述终端进行的呼叫业务是否合 法，如果合法，则执行呼叫业务处理，反之，拒绝执行呼叫业务处理。通过对 呼叫信令中SIP头域鉴权处理，避免了终端合法登录IMS以后，通过修改SIP 头域进行IMS业务盗用的问题，较好的提高了IMS业务的安全性。并且，采 用本发明实施例这里提出的IMS业务开通系统，在BOSS服务器接收到终端开 户成功响应消息以后，BOSS服务器自动向接入开通网关发送接入设备开通数 据，接入设备根据接收到的开通数据进行参数配置，并在参数配置完成以后， 通过接入开通网关向BOSS服务器反馈发放业务成功的信息，从而解决了现有 技术中存在的在终端开户成功以后，由维护人员手动对接入设备进行参数配置 IMS账号被人为泄密的安全问题。

图1为本发明实施例一中，提出的IMS的开户方法流程图；

图2为本发明实施例一中，提出的对生成的IMPI进行对应IMPU的区分 化处理示意图；

图3为本发明实施例一中，提出的IMS的开户装置结构组成示意图；

图4为本发明实施例二中，提出的IMS的网络注册方法流程图；

图5为本发明实施例二中，提出的IMS的网络注册装置结构组成示意图；

图6为本发明实施例三中，提出的IMS的业务认证装置的结构组成示意图；

图7为本发明实施例四中，提出的IMS的网络全业务流程处理系统组成架 构图；

图8为本发明实施例四中，提出的业务应用层实现IMS账号防盗系统的结 构组成图；

图9为本发明实施例四中，提出的终端进行IMS注册以及在IMS注册成 后业务发放的方法流程图；

图10为本发明实施例四中，提出的固定接入位置的终端进行网络注册时 方法流程图；

图11为本发明实施例四中，提出的接入地址无固定范围的终端进行网络 注册时的方法流程图；

图12为本发明实施例四中，提出的IMS呼叫业务过程中认证方法流程图。

针对现有技术中存在的在SIP Digest鉴权模式下，IMS账号的安全性较低， 且不能实现IMS业务的自动发放以及在IMS业务流程中不能保证IMS账号的 安全性的问题，本发明实施例这里提出一种技术方案，通过在终端进行IMS 账号注册过程中，对IMS账号中的IMPI进行对应IMPU的区分化处理，同时 对IMS账号中的IMPI的口令进行加密，使得IMPI和IMPU不再具有相似性， IMPI的口令增加一定的复杂度，能够有效解决现有技术中存在的由于的IMPI 和IMPU具有相似性，且IMPI的口令过于简单容易被猜测导致IMS账号的安 全性较低的问题。本发明实施例这里还提出一种技术方案，用以实现终端注册 IMS成功以后，自动发放IMS业务，能够有效的解决现有技术中存在的在终端 开户成功以后，由维护人员手动对接入设备进行参数配置IMS账号被人为泄密 的安全问题。并且，本发明实施例这里还提出在处理IMS业务过程中，对IMS 账号进行鉴权，能够较好的提高IMS业务的安全性。

下面将结合各个附图对本发明实施例技术方案的主要实现原理、具体实施 方式及其对应能够达到的有益效果进行详细地阐述。

实施例一

本发明实施例一这里提出一种IMS的开户方法，如图1所示，具体处理过 程如下：

步骤101，用户在营业厅通过IMS业务客服人员向网络侧发送IMS开户申 请或者用户通过终端直接向网络侧发送IMS开户申请，网络侧在接收到终端发 来的IMS开户申请时，生成与所述开户申请中包含的终端标识信息对应的IMS 账号，其中，生成的IMS账号中包含IMPI、IMPI的口令和IMPU。

步骤102，由于IMS账号中的IMPI和IMPU具有相似性，即容易通过IMPU 推导得到IMPI，并且IMPI与IMPI的口令具有绑定关系，为了提高生成的IMS 账号的安全性，对生成的IMPI进行对应IMPU的区分化处理，以及对该IMPI 的口令进行加密。

其中，对生成的IMS账号中包含的IMPI进行对应IMPU的区分化处理， 可以但不限于采用以下两种方式：

第一种方式：以生成的IMPI作为键值，在预先存储的IMPI区分化处理的 数据库中，确定与生成的IMPI对应的区分化处理数据，将确定出的区分化处 理的作为对生成的IMPI进行对应IMPU的区分化处理后的IMPI。例如，生成 的IMPI是IMPI AA，则将IMPI AA作为键值，在预先存储的IMPI区分化处 理的数据库中，查与IMPI AA对应的区分化处理数据，假设在在预先存储的 区分化处理的数据库中查到“IMPI AA-IMPI BB”，则将IMPI BB作为对生 成的IMPI区分化处理后的IMPI。

第二种方式：可以针对生成的IMPI，随机生成一个区分化处理数据，并 将生成的区分化处理数据与该生成的IMPI对应存储，将随机生成的区分化处 理数据作为对生成的IMPI进行对应IMPU的区分化处理后的IMPI。例如，假 设生成的IMPI是IMPI AA，则可以按照加密算法或者预设规则，随机生成一 个区分化处理IMPI BB，将IMPI BB和IMPI AA对应存储，即存储形式为“IMPI  AA--IMPI BB”或者“IMPI BB--IMPI AA”，然后将IMPI BB作为对生成的IMPI 进行对应IMPU的区分化处理后的IMPI。

例如图2所示的对生成的IMPI进行对应IMPU的区分化处理前后对比示 意图，上述通过对生成的IMPI进行对应IMPU的区分化处理，使得用户无法 根据区分化处理后的IMPU，推导得到IMPI，能够较好地提高IMS账号的安 全性。

其中，对生成的IMS账号中包含的IMPI的口令进行加密，可以采用加密 算法，结合预设的字符，对IMPI的口令进行加密。

较佳地，可以结合使用大写字母、小写字母、数字和特殊符号中的一种或 者几种，对IMPI的口令进行加密。一种较佳地实现方式，可以将IMPI的口令 设置至少由8位及以上的大小写字母、数字及特殊符号随机组合进行加密。

上述通过对IMPI的口令进行加密，通过增加IMPI的口令的复杂度，能够 较好的解决IMPI的口令弱，容易被破解的问题。

步骤103，根据区分化处理后的IMPI、生成的IMPU和加密后的IMPI的 口令对所述开户申请进行开户，并将开户成功的响应信息反馈给终端，所述响 应信息中携带有用于终端接入IMS的加密后的IMPI的口令、区分化处理后的 IMPI和生成的IMPU。

在上述步骤101~步骤103中，在用户通过终端进行IMS开户申请时，网 络侧通过对生成的IMPI进行对应IMPU的区分化处理，以及对IMS账号中包 含的IMPI的口令进行加密，最后将区分化处理后校验后的IMPI和IMPU以及 区分化处理后加密后的IMPI的口令发送给终端，也就是说，在终端侧，获得 的IMS账号是区分化处理后的IMPI和生成的IMPU以及加密后的IMPI的口 令。这样，其他非IMS开户用户无法根据得到的IMPU推导出IMPI，也无法 破解加密后的IMPI的口令，从而较好地提高了IMS账号的安全性。

在终端进行IMS开户成功以后，进而可以采用现有技术的业务发放方式， 来进行IMS业务的发放，即将开户得到的IMS账号交给IMS维护人员，由IMS 维护人员手动配置接入设备的参数。但是将开户得到的IMS账号交给IMS维 护人员，有可能将IMS账号泄露，为了保证IMS账号的安全性，本发明实施 例一这里提出在步骤103之后，还可以包括步骤104：

步骤104，网络侧为所述终端发放业务，并将发放业务成功的响应消息发 送给终端。

具体地，在将开户成功的响应信息反馈给终端之后，网络侧根据生成的 IMS账号，自动配置接入设备的参数信息，为终端开通IMS业务。能够较好地 规避人为泄露IMS账号的问题，提高IMS账号的安全性。

其中，接入设备可以包括综合接入设备（IAD，Integrated Access Device）、 接入网关（AG，Access Gateway）、SIP网关（GW，Gateway）、支持IP接入 功能的用户交换机（IP PBX，IP Private Branch Exchange）和终端中的一种或者 几种。

需要说明的是，图1只是举例说明，网络侧自动为终端发放业务并非只能 在步骤103之后进行，也可以是在采用现有技术提出的IMS开户方法，即并不 对生成的IMS账号中包含的IMPI进行与对应的IMPU区分化处理，也不对生 成的IMS账号中包含的IMPI的口令进行加密，即执行步骤104。或者是采用 现有技术中IMS的业务开户方式，将生成的IMS账号反馈给终端之后，执行 步骤104。

本发明实施例一这里提出的将生成IMS账号反馈给终端以后，由网络侧自 动执行为终端发放业务，能够较好地避免现有技术中存在的由维护人员通过手 动配置接入设备的参数，将IMS账号泄露的问题。

相应地，本发明实施例一这里还提出一种IMS的开户装置，如图3所示， 包括：

信息生成单元301，用于在接收到终端发来的IMS开户申请时，生成与所 述开户申请中包含的终端标识信息对应的IMS用户私有标识IMPI、IMPI的口 令和IMS用户公有标识IMPU。

信息处理单元302，用于对信息生成单元301生成的IMPI进行对应IMPU 的区分化处理，以及对所述IMPI的口令进行加密。

具体地，上述信息处理单元302，具体用于以生成的IMPI作为键值，在 预先存储的IMPI区分化处理的数据库中，确定与所述生成的IMPI对应的区分 化处理数据，将确定出的区分化处理数据作为对生成的IMPI进行对应IMPU 的区分化处理后的IMPI；或者针对所述生成的IMPI，随机生成一个区分化处 理数据，并将生成的区分化处理数据与所述生成的IMPI对应存储，将随机生 成的区分化处理数据作为对生成的IMPI进行对应IMPU的区分化处理后的 IMPI。

具体地，上述信息处理单元302，具体用于使用预设的字符，基于加密算 法，对所述IMPI的口令进行加密。

信息反馈单元303，用于根据信息处理单元302区分化处理后的IMPI、生 成的IMPU和加密后的IMPI的口令对所述开户申请进行开户，并将开户成功 的响应信息反馈给终端，所述响应信息中携带有用于终端接入IMS的加密后的 IMPI的口令、区分化处理后的IMPI和生成的IMPU。

具体地，上述装置还可以包括业务发放单元304，用于为所述终端发放业 务，并将发放业务成功的响应消息发送给终端。

相应地，本发明实施例一这里还提出一种IMS的开户系统，包括BOSS 服务器和IMS核心网业务平台，其中：

BOSS服务器，用于在接收到终端发来的IMS开户申请时，生成与所述开 户申请中包含的终端标识信息对应的IMS用户私有标识IMPI、IMPI的口令和 IMS用户公有标识IMPU；对生成的IMPI进行对应IMPU的区分化处理，以 及对所述IMPI的口令进行加密；将区分化处理后的IMPI、生成的IMPU和加 密后的IMPI的口令发送至IMS核心网业务平台，以及将IMS核心网业务平台 发来的开户成功的响应信息反馈给终端，所述响应信息中携带有用于终端接入 IMS的加密后的IMPI的口令、区分化处理后的IMPI和IMPU。

IMS核心网业务平台，用于根据区分化处理后的IMPI、生成的IMPU和 加密后的IMPI的口令对所述开户申请进行开户，并将开户成功的响应信息反 馈给BOSS服务器。

具体地，上述BOSS服务器还用于以生成的IMPI作为键值，在预先存储 的IMPI区分化处理的数据库中，确定与所述生成的IMPI对应的区分化处理数 据，将确定出的区分化处理数据作为对生成的IMPI进行对应IMPU的区分化 处理后的IMPI；或者针对所述生成的IMPI，随机生成一个区分化处理数据， 并将生成的区分化处理数据与所述生成的IMPI对应存储，将随机生成的区分 化处理数据作为对生成的IMPI进行对应IMPU的区分化处理后的IMPI。

相应地，本发明实施例一这里还提出一种IMS业务发放系统，包括BOSS 服务器、IMS核心网业务平台和接入开通网关以及接入设备，其中：

所述BOSS服务器，用于在接收到IMS核心网业务平台发来的开户成功的 响应信息之后，向接入开通网关发送接入设备开通数据，以及将接入开通网关 发来的发放业务成功的响应消息发送给终端。

所述接入开通网关，用于将接收到的接入设备开通数据发送至接入设备 中；以及接收接入设备发来的发放业务成功的信息。

所述接入设备，用于根据接收到的所述接入设备开通数据进行参数配置， 在接入设备完成参数配置以后，向接入开通网关反馈发放业务成功的信息。

实施例二

本发明实施例二这里提出一种IMS的网络注册方法，如图4所示，包括：

步骤401，接收终端发来的网络注册请求，统计在预设时长内，该终端发 来的网络注册请求次数。

步骤402，根据统计出的注册请求次数，对接收到的注册请求进行预鉴权， 即初步确定该终端是否有进行网络注册的权限，如果是，则执行步骤403，反 之，执行步骤404。

其中，确定该终端是否通过网络注册的预鉴权可以但不限于采用下述几种 方式的一种或者几种方式的组合：

第一种方式：若预设时长内，网络侧接收该终端发来的网络注册请求的次 数大于预设的第一阈值时，确定发送所述网络注册请求的终端通过网络注册的 预鉴权，否则，确定所述网络注册请求对应的终端未通过网络注册的预鉴权。 例如，预先设置的时长为10分钟，第一阈值设置为30，当非法终端采用密码 破解软件，在10分钟之内，共发送网络注册请求50次，则由于50>第一阈值 设置为30，则确定该终端是非法终端。

第二种方式：在预设时长内，计算所述网络注册请求注册失败的次数和统 计出的终端发来的注册请求的次数的比值，若所述比值大于预设的第二阈值 时，确定发送所述网络注册请求的终端通过网络注册的预鉴权，否则，确定所 述网络注册请求对应的终端未通过网络注册的预鉴权。例如，假设预设时长内， 终端发来的网络注册请求总次数为50次，网络注册请求失败的次数为30次， 则计算出的比值为0.8，如果预设的第二阈值为0.7，则确定发送网络注册请求 的终端不能通过网络注册预鉴权。

第三种方式：若预设时长内，网络侧接收所述终端发来的网络注册请求， 所述网络注册请求注册失败的次数大于预设的第三阈值时，确定发送网络注册 请求的终端不能通过网络注册预鉴权，否则，确定发送网络注册请求的终端通 过网络注册预鉴权。例如，预先设置的时长为10分钟，第二阈值设置为5，当 非法终端采用密码破解软件，在10分钟之内，共发送网络注册请求9次，其 中，网络注册失败的次数为8次，则确定该终端是非法终端。

较佳地，在确定出终端未通过网络注册的预鉴权之后，还可以通过建立用 于拒绝终端进行网络注册的黑名单的方式，将未通过网络注册的预鉴权的终端 写入到黑名单中。更佳地，可以设置一个预设时长（例如5分钟），在将未通 过网络注册的预鉴权的终端写入到黑名单以后，超过预设时长后，自动将该终 端从黑名单中剔除。

其中，由于IMS账号可能通过各种途径被泄露，并且因为终端接入IMS 方法不同，例如有的终端是以专线模式接入（即有固定接入地址接入），有的 终端的接入地址则没有固定的范围，因此对于采用不同接入方法接入IMS的终 端，进一步地，还可以采用不同的判断方法，确定终端是否能够通过网络注册 的预鉴权：

第一种，对于采用固定位置（即具有固定的IP地址或IP地址段）接入的 终端：终端向网络侧发送网络注册请求，网络侧在接收到网络注册请求时，获 取该网络注册请求中包含的终端的接入位置信息，然后在预先存储的与该终端 标识对应的合法接入位置信息库中，确定获取的终端的接入位置信息是否为合 法接入位置信息，如果是，确定该终端通过网络注册的预鉴权，进而还可以向 该终端反馈网络注册的预鉴权成功的响应消息，反之，确定该终端未通过网络 注册的预鉴权，进而可以向该终端反馈网络注册的预鉴权失败的响应消息。

其中，采用固定位置接入IMS的终端，可以在网络注册请求中，使用接入 网络信息（PANI，P-Access-Network-Info）头域携带接入位置信息，而在预先 存储的与该终端标识对应的合法接入位置信息库中，存储着该终端在开户时录 入的IP地址或者IP地址段，假设预先存储的与该终端标识对应的合法接入位 置信息库中，存储着该终端在开户时录入的IP地址段为 “202.199.224.5~202.199.224.16”，而该终端发送的网络注册请求中，在PANI 头域中携带的接入位置信息是“202.199.224.36”，则与预先存储的IP地址段不 相同，确定该终端不能通过网络注册的预鉴权，则该终端进而无法进行网络注 册。

上述对采用固定位置接入IMS的终端，通过将该终端发送的网络注册请求 中携带的接入位置信息与预先存储的接入位置信息相比较，可以较好地保证 IMS账号的安全性，为该终端提供安全接入方式，即使IMS账号被泄露，其他 终端也无法进行网络注册，进而盗用IMS业务。

第二种，对于接入地址无固定范围的终端：由于接入地址无固定范围的终 端（如使用PC客户端或者SIP客户端），接入IMS时没有固定的接入地址， 对于这类终端进行网络注册时，本发明实施例这里提出了一种技术方案：采用 软键值（key）技术来提高对应该类终端的IMS账号的安全性，具体为：

网络侧在为无固定位置接入的终端发放业务成功之后，向所述终端发送发 放业务成功的响应消息，在所述响应消息中携带无固定位置接入的终端进行网 络注册时需要安装的客户端的配置信息，终端使用接收到的配置信息安装客户 端，在安装客户端以后，终端使用安装的客户端向网络侧发送网络注册请求， 网络侧在接收到的网络注册请求中，获得该网络注册请求中携带的经过加密的 客户端的配置信息和终端登陆使用该配置信息安装的客户端时，使用的登陆信 息，然后在预先存储的经过加密的客户端的配置信息与登陆信息的对应关系 中，确定获得的登陆信息与存储的登陆信息是否一致，如果一致，确定该终端 网络注册的预鉴权通过，进而可以向该终端反馈网络注册的预鉴权成功的响应 消息。然后该终端可以继续进行网络注册。反之，确定该终端鉴权认证失败， 并可以向该终端反馈网络注册的预鉴权失败的响应消息。

例如，假设将客户端的配置信息作为一个key，按照预设加密算法加密处 理后的配置信息作为key’，网络侧为无固定位置接入的终端发送业务成功之 后，通过短消息的形式将该终端的IMS账号、登录口令以及客户端的配置信息 key发送给该终端，同时网络侧会存储与该终端对应的IMS账号、口令以及加 密后的key’，终端使用网络侧发来的配置信息key安装客户端以后，会按照预 设加密算法，将客户端的配置信息key进行加密处理，生成加密后的配置信息 key’，此时，终端使用IMS账号和口令登录客户端，向网络侧发送网络注册请 求，此时，网络注册请求中携带该终端的IMS账号、口令以及加密后的配置信 息key’，网络侧收到终端发来的网络注册请求以后，获取网络注册请求中携带 的key’，将获取的key’与预先存储的key’比对，如果一致，将比对结果反馈给 终端，终端收到网络注册的预鉴权通过的结果以后，继续使用IMS账号、口令 以及未加密的配置信息key再次向网络侧发送网络注册请求，网络侧根据接收 到的该终端再次发来的网络注册请求，执行网络注册流程。

本发明实施例这里提出的对于接入地址无固定范围的终端进行网络注册 时，采用了两套密码，如key和key’，两次认证，其中，key’可以使用加密方 式结合数字、大小写字母和特殊符号等，对key进行加密运算生成，生成的key’ 无法轻易被破解，终端还设置了客户端登陆口令，终端需要进行网络注册时， 网络侧首先先对key’进行验证，验证通过以后，终端才可以正常进行网络注册， 可以较好的提高IMS账号的安全性。

步骤403，如果终端通过网络注册的预鉴权，则为该终端完成网络注册， 并在网络侧记录该终端的相关信息，例如终端的标识信息、终端的IMS账号、 终端的登录口令等。

步骤404，如果不通过，则拒绝为该终端进行网络注册，并拒绝接收该终 端再次发来的网络注册请求。

相应地，本发明实施例二这里还提出一种IMS的网络注册装置，如图5 所示，包括：

统计单元501，用于在接收到终端发来的网络注册请求时，统计在预设时 长内，所述终端发来的网络注册请求次数.

判断单元502，用于根据统计单元501统计出的注册请求次数，确定所述 终端是否通过网络注册的预鉴权。

具体地，上述判断单元502，具体用于若预设时长内，接收所述终端发来 的网络注册请求的次数大于预设的第一阈值时，确定发送所述网络注册请求的 终端通过网络注册的预鉴权，否则，确定所述网络注册请求对应的终端未通过 网络注册的预鉴权；或在预设时长内，计算所述网络注册请求注册失败的次数 和统计出的终端发来的注册请求的次数的比值，若所述比值大于预设的第二阈 值时，确定发送所述网络注册请求的终端通过网络注册的预鉴权，否则，确定 所述网络注册请求对应的终端未通过网络注册的预鉴权。

具体地，在网络注册请求中包含终端的接入位置信息；上述判断单元502， 具体用于在接收到以固定位置接入的终端发来的网络注册请求时，获取所述网 络注册请求中包含的终端的接入位置信息；在预先存储的与所述终端标识对应 的合法接入位置信息库中，确定获取的终端的接入位置信息是否为合法接入位 置信息；如果是，确定所述终端通过网络注册的预鉴权；如果否，确定所述终 端未通过网络注册的预鉴权。

具体地，上述判断单元502，具体用于在为无固定位置接入的终端发放业 务成功之后，向所述终端发送发放业务成功的响应消息，在所述响应消息中携 带无固定位置接入的终端进行网络注册时需要安装的客户端的配置信息；在终 端使用所述配置信息安装客户端，并使用安装的客户端向网络侧发送网络注册 请求之后，网络侧在接收到的网络注册请求中，获得所述网络注册请求中携带 的经过加密的客户端的配置信息和终端登陆所述客户端使用的登陆信息；在预 先存储的客户端的配置信息与登陆信息的对应关系中，确定获得的登陆信息与 存储的登陆信息是否一致；如果是，确定所述终端网络注册的预鉴权通过；如 果否，确定所述终端网络注册的预鉴权不通过。

执行单元503，用于在判断单元502判断结果为是时，为所述终端完成网 络注册；否则拒绝为所述终端进行网络注册，并拒绝接收所述终端再次发送的 网络注册请求。

相应地，本发明实施例二这里还提出一种IMS的网络注册系统，包括BOSS 服务器和IMS核心网业务平台，其中：

所述BOSS服务器，用于在接收到终端发来的网络注册请求时，统计在预 设时长内，所述终端发来的网络注册请求次数，根据统计出的注册请求次数， 确定所述终端是否通过网络注册的预鉴权，如果通过，BOSS服务器将所述网 络注册请求发送给IMS核心网业务平台，以及将IMS核心网业务平台发来的 网络注册成功的响应信息反馈给终端。

所述IMS核心网业务平台，用于根据BOSS服务器发来的网络注册请求， 完成网络注册，并将网络注册成功的响应信息发送给BOSS服务器。

实施例三

在终端完成网络注册以后，就可以使用IMS业务，较佳地，本发明实施例 三这里，提出一种IMS的业务认证方法，包括：

步骤一：接收终端发来的呼叫请求。

步骤二：通过对该接收到的呼叫请求中的SIP头域进行检测，获取SIP头 域中包含的优选识别（P-Preferred-Identity）头域，并对所述P-Preferred-Identity 头域中包含的信息进行检测。

步骤三：若所述信息中包含的IMS用户公有标识IMPU与预先存储和所述 终端对应的IMPU不一致时，确定终端本次呼叫不是合法呼叫。

步骤四：若所述信息中包含的IMS用户公有标识IMPU与预先存储和所述 终端对应的IMPU一致时，确定终端本次呼叫是合法呼叫，执行呼叫请求响应， 并将呼叫成功响应反馈给终端。

相应地，本发明实施例三这里，还提出一种IMS的业务认证装置，如图6 所示，包括：

接收单元601，用于接收终端发来的呼叫请求。

获取单元602，用于在终端发来的呼叫请求中获取SIP头域中包含的 P-Preferred-Identity头域。

信息检测单元603，用于对所述P-Preferred-Identity头域中包含的信息进 行检测。

判断单元604，用于若所述信息中包含的IMS用户公有标识IMPU与预先 存储和所述终端对应的IMPU不一致时，确定终端本次呼叫不是合法呼叫；否 则，确定终端本次呼叫是合法呼叫，执行呼叫请求响应，并将呼叫成功响应反 馈给终端。

较佳地，本发明实施例三这里，还提出一种IMS的业务认证方法，包括：

步骤一：接收终端发来的呼叫请求。

步骤二：在终端发来的呼叫请求中获取SIP头域中包含的优先 （Priority:emergency）头域和计费向量（P-Charging-Vector）头域，对获取的 Priority:emergency头域和P-Charging-Vector头域中的信息进行检测。

步骤三：若所述信息不是网络侧设置的，则确定终端本次呼叫不是合法呼 叫。

步骤四：若所述信息是网络侧设置的，则确定终端本次呼叫是合法呼叫， 执行呼叫请求响应，并将呼叫成功响应反馈给终端。

相应地，还提出一种IMS的业务认证装置，包括：

接收单元，用于接收终端发来的呼叫请求。

获取单元，用于在终端发来的呼叫请求中获取SIP头域中包含的 Priority:emergency头域和P-Charging-Vector头域。

信息检测单元，用于对获取单元获取的Priority:emergency头域和优选识别 P-Charging-Vector头域中的信息进行检测。

判断单元，用于若信息检测单元检测的信息不是网络侧设置的，则确定终 端本次呼叫不是合法呼叫；否则，确定终端本次呼叫是合法呼叫，执行呼叫请 求响应，并将呼叫成功响应反馈给终端。

一种较佳地实现方式，SIP头域包含P-Preferred-Identity头域、 Priority:emergency头域和P-Charging-Vector头域，如果终端发来的呼叫请求中 携带P-Preferred-Identity头域、Priority:emergency头域和P-Charging-Vector头 域，则依次对三个头域进行检测，分别获得三个头域中承载的信息，首先获取 P-Preferred-Identity头域中包含的IMPU，将获取的P-Preferred-Identity头域和 预先存储的IMPU进行比对，如果一致，则确定终端本次呼叫是合法呼叫，否 则确定终端本次呼叫不是合法呼叫。若通过检测P-Preferred-Identity头域确定 出终端本次呼叫是合法呼叫时，进而检测Priority:emergency头域和 P-Charging-Vector头域，确定Priority:emergency头域和P-Charging-Vector头域 是否是网络侧设置的，如果是则确定终端本次呼叫是合法呼叫，反之，确定终 端本次呼叫不是合法呼叫。在确定出终端本次呼叫是合法呼叫以后，构建PAI 头域，然后判断终端本次发来的呼叫是否是紧急呼叫，如果是，则网络侧设置 Priority:emergency头域和P-Charging-Vector头域，进而继续执行呼叫业务处理。

相应地，本发明实施例三这里还提出一种IMS的业务认证系统，包括 P-CSCF和认证AS服务器，其中：所述P-CSCF，在终端发来的呼叫请求中获 取SIP头域中包含的P-Preferred-Identity头域；对所述P-Preferred-Identity头域 中包含的信息进行检测，若所述信息中包含的IMS用户公有标识IMPU与预先 存储和所述终端对应的IMPU不一致时，确定终端本次呼叫不是合法呼叫，否 则，确定终端本次呼叫是合法呼叫，并将所述呼叫请求转发至AS服务器，以 及将AS服务器发来的呼叫成功响应反馈给终端；所述AS服务器，用于根据 接收到的呼叫请求，执行业务呼叫处理，并将呼叫成功响应反馈给P-CSCF。

需要说明的是，上述实施例一~实施例三中提出的技术方案，可以独立使 用，也可以结合在一起使用，即在使用本发明实施例一提出的技术方案，得到 IMS账号以后，终端使用得到的IMS账号进行网络注册以及进行IMS业务使 用，可以较好地提高IMS账号的安全性。

实施例四

基于上述实施例一~实施例二中的详细阐述，为了在SIP Digest鉴权模式下 提高IMS账号的安全性，一种较佳地实现方式，本发明实施例四这里，综合使 用上述实施例一~实施例三提出的技术方案，在IMS业务应用层，包括IMS入 网开户、IMS业务发放、终端进行网络注册以及IMS业务处理过程中，分别保 证IMS账号的安全，如图7所示，为本发明实施例四这里提出的一种较佳的技 术实现方案：在业务应用层面从IMS全业务流程的各个环节来保证IMS账号 的安全性，包括IMS开户、终端进行网络注册、IMS业务发放以及IMS业务 处理四个部分。

其中，在IMS开户环节，包括对生成的IMS账号中包含的IMPI进行对应 IMPU的区分化处理，以及对生成的IMS账号中包含的IMPI的口令进行加密 处理。然后在IMS开户成功以后，终端进行网络注册环节，需要根据终端接入 位置的不同，采取不同的网络注册的预鉴权方案，而IMS业务的发放，则可以 实现在IMS开户成功以后或者在终端进行网络注册成功以后，网络侧自动发放 IMS业务，最后，在终端使用IMS业务时，在IMS业务使用过程中，进一步 通过对SIP头域进行检测，来增加IMS账号的安全性，并且能够有效的防止IMS 业务被非法终端盗取。

进一步地，本发明实施例四这里，结合上述在实施例一~实施例二中的详 细阐述，给出一个在业务应用层实现IMS账号防盗的具体的实施方式，如图8 所示，其系统组成包括终端侧和网络侧，其中，终端侧包括用户使用的终端设 备。网络侧包括BOSS服务器、IMS核心网业务平台、接入开通网关、接入设 备、HSS网元、SBC网元、代理会话控制功能(P-CSCF,Proxy-Call Session  Control Function）、鉴权平台以及问询/服务会话控制功能（I/S-CSCF， Interrogating/Serving-Call Session Control Function），基于该系统架构，来详细 阐述在IMS全业务流程中如何提高IMS账号的安全性，如图9所示，为终端 进行IMS注册方法以及在IMS注册成后以后网络侧自动发放IMS业务方法流 程图，其具体处理流程如下：

步骤901，用户在营业厅通过IMS业务客服人员向BOSS服务器发送IMS 开户申请或者用户通过终端直接向BOSS服务器发送IMS开户申请。

步骤902，BOSS服务器在接收到终端发来的IMS开户申请时，生成与所 述开户申请中包含的终端标识信息对应的IMS账号，并对生成的IMPI进行对 应IMPU的区分化处理，以及对该IMPI的口令进行加密。

其中，对生成的IMPI进行对应IMPU的区分化处理，以及对该IMPI的口 令进行加密的具体实现方式请参见上述实施例一中的详细阐述，这里不再赘 述。

步骤903，BOSS服务器将区分化处理后的IMPI和生成的IMPU，以及加 密的IMPI的口令发送时IMS核心网业务平台，请求进行IMS开户。

步骤904，IMS核心网业务平台接收到区分化处理后的IMPI和生成的 IMPU，以及加密的IMPI的口令以后，执行IMS开户，并在开户成功以后， 将开户成功的响应信息通过BOSS服务器反馈给终端。

在IMS开户成功以后，基于图8的系统架构，本发明实施例四这里提出的 技术方案，网络侧自动发放IMS业务，其中，IMS业务发放主要由BOSS服务 器、IMS核心网业务平台和接入开通网关以及接入设备相互进行信令交互实 现，其中：

所述BOSS服务器，用于在接收到IMS核心网业务平台发来的开户成功的 响应信息之后，向接入开通网关发送接入设备开通数据，以及将接入开通网关 发来的发放业务成功的响应消息发送给终端。所述接入开通网关，用于将接收 到的接入设备开通数据发送至接入设备中；以及接收接入设备发来的发放业务 成功的信息。所述接入设备，用于根据接收到的所述接入设备开通数据进行参 数配置，在接入设备完成参数配置以后，向接入开通网关反馈发放业务成功的 信息。

如图9所示，业务发放方法具体流程包括：

步骤905，BOSS系统在接收到IMS核心网业务平台发来的开户成功的响 应信息之后，向接入开通网关发送接入设备开通数据。其中，接入设备开通数 据可以包括IMPI、IMPU、IMPI的口令以及少量的IMS业务数据（如签约呼 叫等待、遇忙前转业务数据等）等。

具体地，接入设备开通数据中包括的IMPI、IMPU和加密口令，可以是采 用现有技术方式生成的IMPI、IMPU和IMPI的口令，也可以是采用本发明这 里提出的在IMS开户时生成的IMPI、IMPU和IMPI的口令，即经过区分化处 理后的IMPI、IMPU，和加密处理后的IMPI的口令。较佳地，本发明实施例 四这里，为了增加IMS账号的安全性，采用经过校验处理后的IMPI、IMPU， 和加密处理后的IMPI的口令。

步骤906，接入开通网关将接收到的接入设备开通数据发送至接入设备中。

步骤907，根据接收到的所述接入设备开通数据进行参数配置，在接入设 备完成参数配置以后，向接入开通网关反馈接入设备开通成功的信息，即发放 业务成功的信息。

步骤908，接入开通网关将发放业务成功的信息通过IMS核心网业务平台 转发给BOSS服务器。

需要说明的是，在上述步骤901~908中，仅以IMS开户、IMS业务开通 为例进行详细说明，对于IMS销户、IMS变更以及IMS查询的具体处理流程 同上述过程相似，这里不再详细阐述。

在终端进行IMS开户成功以后，终端需要进行入网注册，即进行网络注册， 其中，终端进行网络注册时，有两种情况，一种是对于采用固定位置（即具有 固定的IP地址或IP地址段）接入的终端，另一种接入地址无固定范围的终端 进行网络注册，下面分别来进行说明，如图10所示，为采用固定位置（即具 有固定的IP地址或IP地址段）接入的终端，进行网络注册时，这里以由于IP 地址限制导致网络注册失败为例来进行详细阐述：

步骤1001，终端通过IP网络，向网元SBC发送网络注册请求。

步骤1002，SBC将终端发来的网络注册请求发送给P-CSCF，其中，在网 络注册请求中包含该终端的接入位置信息。

步骤1003，P-CSCF获取网络注册请求中包含该终端的接入位置信息，并 将该获取的接入位置信息记录在REGISTER消息的“P-Access-Network-Info” 头域中，然后发送给I-CSCF。

步骤1004，I-CSCF获得终端的接入位置信息，并向HSS网元发送UAR 消息查询S-CSCF。其中，在UAR消息中携带终端的接入位置信息。

步骤1005，HSS在UAR消息中获得携带的终端的接入位置信息，在预先 存储的与该终端标识对应的合法接入位置信息库中，查是否有与在UAR消 息中获得携带的终端的接入位置信息相匹配的接入位置信息。例如，如果UAR 消息中携带的是IP地址信息，则可以在预先存储的与该终端对应的IP地址信 息库中查，是否有相匹配的IP地址信息。假设匹配失败，即没有相匹配的 IP地址，则向I-CSCF返回UAA消息，在UAA消息中携带 “DIAMETER_ERROR_ROAMING_NOT_ALLOWED”的错误码。

步骤1006，I-CSCF向P-CSCF反馈注册失败403消息FORBIDDEN。

步骤1007，P-CSCF向反馈注册失败403消息FORBIDDEN。

步骤1008，SBC向终端返回注册失败403消息FORBIDDEN。

另一种接入地址无固定范围的终端进行网络注册，如图11所示，接入地 址无固定范围的终端进行网络注册时的具体处理流程如下：

步骤111，BOSS服务器在对终端进行业务发放的同时，会将无固定位置 接入的终端需要安装的客户端的配置信息一并发送给该终端，终端使用接收到 的配置信息key安装客户端，安装完毕以后，根据加密算法，以及结构数字、 大小写字母和特殊符号等将key进行加密处理，生成key’,生成的key’自动保存 在终端本地。终端使用IMS账号登陆客户端，携带IMS账号、口令以及加密 的key’向鉴权平台发送鉴权认证请求。

步骤112，鉴权平台接收鉴权认证请求以后，确定鉴权认证请求中携带的 IMS账号和key’是否和预先存储的相匹配。

步骤113，将鉴权结果反馈给终端。即如果相匹配，将认证通过的结果反 馈给终端，反之，将认证失败的结果反馈给终端。

步骤114，终端接收到认证通过的消息之后，使用IMS账号和key值IMS 核心网业务平台发送网络注册请求，IMS核心网业务平台接收熬网络注册请求 以后，执行相应的网络注册流程。终端进行网络注册成功以后，就可以使用IMS 业务。

在终端进行网络注册以后，进一步地，终端发起呼叫业务请求，如图12 所示，具体流程如下：

步骤121，终端在通过网络注册以后，向SBC发起呼叫请求。

步骤122，SBC对接收到的呼叫请求不做任何处理，直接转发给P-CSCF， 即SBC向P-CSCF透传终端发来的呼叫请求。

步骤123，P-CSCF接收到的呼叫请求中包含的P-Preferred-Identity头域、 Priority:emergency头域、P-Charging-Vect头域中进行逐个检测，根据三个头域 中包含的信息，确定该终端发起的呼叫是否是合法呼叫。如果是，执行步骤124， 反之，执行步骤125。

其中，若P-Preferred-Identity头域中包含的IMPU，与在终端进行网络注册 时存储的IMPU一致时，则确定终端本次呼叫时合法呼叫，执行步骤124。

其中，若P-Preferred-Identity头域中包含的IMPU，与在终端进行网络注册 时存储的IMPU不一致时，或者呼叫请求中包含的Priority:emergency头域、 P-Charging-Vect不是由P-CSCF设置的，则认为本次呼叫不是合法呼叫，执行 步骤125。

步骤124，P-CSCF构建PAI头域，然后通过P-CSCF的号码分析判断，如 果终端本次发来的呼叫是紧急呼叫，则在Priority:emergency头域添加紧急呼叫 信息，同时在P-Charging-Vect头域添加计费信息，并将修改后的合法头域转发 给I/S-CSCF，执行步骤906。

步骤125，拒绝执行终端发来的呼叫请求，并将呼叫失败响应反馈给终端。 例如，P-CSCF可以向SBC返回403消息Forbidden，失败消息原因值为 “Authentication failure”。

步骤126，I/S-CSCF将接收到的呼叫请求转发至AS，请求进行呼叫业务 处理。

步骤127，AS根据接收到的呼叫请求，执行呼叫业务处理。在处理成功以 后，向I/S-CSCF返回呼叫成功响应信息。

步骤128，I/S-CSCFSBC将接收到的呼叫成功响应信息转发给PCSCF，由 P-CSCF通过SBC将该呼叫成功响应信息转发给终端，终端开始使用呼叫业务。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发 明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。