專利名稱:一種ip終端安全接入網(wǎng)絡(luò)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通訊領(lǐng)域��,特別是涉及應(yīng)用在基于IP(Internet Protocol����,互聯(lián)網(wǎng)協(xié)議)通訊網(wǎng)絡(luò)體系架構(gòu)下的IP終端安全接入網(wǎng)絡(luò)的方法。
背景技術(shù):
隨著互聯(lián)網(wǎng)和寬帶技術(shù)的發(fā)展��,基于IP網(wǎng)絡(luò)的語(yǔ)音傳輸(Voice OverInternet Protocol��,VOIP)技術(shù)在企業(yè)網(wǎng)和公共網(wǎng)絡(luò)中得到了越來越多的應(yīng)用����,但由于IP網(wǎng)絡(luò)的開放性,VOIP技術(shù)存在一些安全性問題��,如用戶帳號(hào)欺騙���、設(shè)備欺騙等�。針對(duì)這些安全問題�����,系統(tǒng)設(shè)備需要對(duì)用戶終端的身份進(jìn)行驗(yàn)證,以防止用戶終端的欺騙而造成系統(tǒng)資源被竊用��;而用戶終端也同樣需要對(duì)系統(tǒng)設(shè)備進(jìn)行驗(yàn)證����,以防止系統(tǒng)設(shè)備的欺騙而造成用戶信息被竊取。
目前���,在通信系統(tǒng)的安全體系中�����,流行的做法是單向認(rèn)證�����,即只有系統(tǒng)對(duì)用戶終端進(jìn)行認(rèn)證����,而用戶終端則不對(duì)系統(tǒng)進(jìn)行認(rèn)證���;即使有雙向認(rèn)證�,也僅僅是端到端的方式���,對(duì)雙方通信鏈路之間的網(wǎng)關(guān)設(shè)備或代理設(shè)備則不作認(rèn)證���,而通常情況下IP終端設(shè)備是通過邊際接入控制設(shè)備接入到軟交換核心網(wǎng)內(nèi)����,因此這種情況下也非常容易導(dǎo)致機(jī)密信息的泄漏�����;信令以明文方式在終端與系統(tǒng)之間傳輸��,也易被其他非法設(shè)備篡取或修改���。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題在于提供一種IP終端安全接入網(wǎng)絡(luò)的方法,用于實(shí)現(xiàn)終端安全接入網(wǎng)絡(luò)達(dá)到信令安全傳輸��。
為了實(shí)現(xiàn)上述目的�,本發(fā)明提供了一種IP終端安全接入網(wǎng)絡(luò)的方法,適用于IP網(wǎng)絡(luò)系統(tǒng)���,該系統(tǒng)包括用戶終端���、邊際接入控制設(shè)備�,呼叫會(huì)話控制器及安全認(rèn)證服務(wù)器�,其特征在于,該方法包括步驟一��,在所述用戶終端上設(shè)置用戶終端認(rèn)證安全參數(shù)組����,在所述安全認(rèn)證服務(wù)器上設(shè)置與所述用戶終端認(rèn)證安全參數(shù)組對(duì)應(yīng)的用戶終端認(rèn)證授權(quán)參數(shù)組;步驟二�,將所述用戶終端通過所述邊際接入控制設(shè)備接入至所述呼叫會(huì)話控制器,所述呼叫會(huì)話控制器接入至所述安全認(rèn)證服務(wù)器�;步驟三,所述用戶終端根據(jù)所述用戶終端認(rèn)證安全參數(shù)組及傳送至所述用戶終端的信息對(duì)所述網(wǎng)絡(luò)系統(tǒng)進(jìn)行認(rèn)證�����;所述邊際接入控制設(shè)備根據(jù)傳送至所述邊際接入控制設(shè)備的信息對(duì)所述用戶終端進(jìn)行認(rèn)證�����;所述呼叫會(huì)話控制器根據(jù)所述邊際接入控制設(shè)備�、所述安全認(rèn)證服務(wù)器傳送的信息對(duì)所述用戶終端進(jìn)行認(rèn)證;所述安全認(rèn)證服務(wù)器根據(jù)所述用戶終端認(rèn)證授權(quán)參數(shù)組及傳送至所述安全認(rèn)證服務(wù)器的信息對(duì)所述用戶終端進(jìn)行認(rèn)證�����。
所述的IP終端安全接入網(wǎng)絡(luò)的方法,其中�,所述用戶終端認(rèn)證安全參數(shù)組或所述邊際接入控制設(shè)備認(rèn)證安全參數(shù)組的個(gè)數(shù)為一個(gè)或多個(gè)。
所述的IP終端安全接入網(wǎng)絡(luò)的方法��,其中���,所述每個(gè)用戶終端認(rèn)證安全參數(shù)組包括雙向認(rèn)證����、加密����、完整性保護(hù)安全方式中的一種或多種方式的參數(shù)信息��,對(duì)應(yīng)地�,所述每個(gè)用戶終端認(rèn)證授權(quán)參數(shù)組包括用于進(jìn)行雙向認(rèn)證、加密�、完整性保護(hù)所需的參數(shù)信息。
所述的IP終端安全接入網(wǎng)絡(luò)的方法����,其中,所述步驟三中�����,還包括一所述用戶終端在歸屬地向所述呼叫會(huì)話控制器發(fā)起注冊(cè)請(qǐng)求的步驟,又包括步驟41���,所述用戶終端向所述邊際接入控制設(shè)備發(fā)送一注冊(cè)請(qǐng)求消息���,所述邊際接入控制設(shè)備將該注冊(cè)請(qǐng)求消息轉(zhuǎn)發(fā)至所述呼叫會(huì)話控制器,所述呼叫會(huì)話控制器向所述安全認(rèn)證服務(wù)器發(fā)送一認(rèn)證請(qǐng)求消息�;步驟42,所述安全認(rèn)證服務(wù)器接收并處理所述認(rèn)證請(qǐng)求消息�,并向所述呼叫會(huì)話控制器返回一含有認(rèn)證向量的認(rèn)證成功響應(yīng)消息;所述呼叫會(huì)話控制器向所述邊際接入控制設(shè)備返回一注冊(cè)失敗消息����;步驟43,所述邊際接入控制設(shè)備對(duì)所述注冊(cè)失敗消息進(jìn)行處理后發(fā)送至所述用戶終端���,所述用戶終端接收并根據(jù)該消息對(duì)所述網(wǎng)絡(luò)系統(tǒng)進(jìn)行認(rèn)證��。
所述的IP終端安全接入網(wǎng)絡(luò)的方法�����,其中���,所述步驟41中�,還包括建立所述用戶終端與所述邊際接入控制設(shè)備之間的安全聯(lián)盟的步驟�����;建立所述邊際接入控制設(shè)備與所述呼叫會(huì)話控制器之間的安全聯(lián)盟的步驟�����。
所述的IP終端安全接入網(wǎng)絡(luò)的方法����,其中��,所述步驟43中����,還包括所述邊際接入控制設(shè)備根據(jù)其與所述用戶終端之間的完整性保護(hù)密鑰和完整性保護(hù)算法對(duì)所述注冊(cè)失敗消息進(jìn)行完整性保護(hù)處理的步驟。
所述的IP終端安全接入網(wǎng)絡(luò)的方法����,其中,所述用戶終端接收并根據(jù)該消息對(duì)所述網(wǎng)絡(luò)系統(tǒng)進(jìn)行認(rèn)證的步驟又包括步驟71所述用戶終端根據(jù)完整性保護(hù)算法、完整性保護(hù)密鑰對(duì)接收消息進(jìn)行合法性判斷����;步驟72,當(dāng)接收消息合法時(shí)�,比較所述用戶終端計(jì)算獲得的認(rèn)證字與所述接收消息中的系統(tǒng)認(rèn)證字是否一致,若是����,則所述網(wǎng)絡(luò)系統(tǒng)通過所述用戶終端認(rèn)證,所述用戶終端向所述邊際接入控制設(shè)備重新發(fā)起一含有終端認(rèn)證字的注冊(cè)請(qǐng)求消息��。
所述的IP終端安全接入網(wǎng)絡(luò)的方法�����,其中��,所述步驟72中�����,還包括所述邊際接入控制設(shè)備向所述呼叫會(huì)話控制器轉(zhuǎn)發(fā)所述含有終端認(rèn)證字的注冊(cè)請(qǐng)求消息�,所述呼叫會(huì)話控制器判斷所述終端認(rèn)證字與所述認(rèn)證向量中的終端認(rèn)證字是否一致的步驟,若是����,則所述呼叫會(huì)話控制器對(duì)所述用戶終端進(jìn)行成功注冊(cè)操作���,若否,則所述呼叫會(huì)話控制器向所述邊際接入控制設(shè)備返回一注冊(cè)失敗消息����。
所述的IP終端安全接入網(wǎng)絡(luò)的方法,其中�����,還包括所述邊際接入控制設(shè)備向所述用戶終端轉(zhuǎn)發(fā)注冊(cè)成功消息或注冊(cè)失敗消息的步驟�����。
所述的IP終端安全接入網(wǎng)絡(luò)的方法����,其中�����,所述步驟三中����,還包括一所述用戶終端在游牧地向所述呼叫會(huì)話控制器發(fā)起注冊(cè)請(qǐng)求的步驟�,所述呼叫會(huì)話控制器包括游牧地呼叫會(huì)話控制器����、歸屬地呼叫會(huì)話控制器,該步驟又包括步驟1001���,所述用戶終端向所述邊際接入控制設(shè)備發(fā)送一注冊(cè)請(qǐng)求消息��,所述邊際接入控制設(shè)備將該注冊(cè)請(qǐng)求消息轉(zhuǎn)發(fā)至所述游牧地呼叫會(huì)話控制器��,所述游牧地呼叫會(huì)話控制器向所述歸屬地呼叫會(huì)話控制器轉(zhuǎn)發(fā)該注冊(cè)請(qǐng)求消息�,所述歸屬地呼叫會(huì)話控制器向所述安全認(rèn)證服務(wù)器發(fā)送一認(rèn)證請(qǐng)求消息���;步驟1002���,所述安全認(rèn)證服務(wù)器處理所述認(rèn)證請(qǐng)求消息,并向所述歸屬地呼叫會(huì)話控制器返回一含有認(rèn)證向量的認(rèn)證成功響應(yīng)消息�;所述歸屬地呼叫會(huì)話控制器向所述游牧地呼叫會(huì)話控制器返回一注冊(cè)失敗消息;步驟1003�����,所述邊際接入控制設(shè)備接收并處理從所述游牧地呼叫會(huì)話控制器發(fā)送的注冊(cè)失敗消息,并發(fā)送至所述用戶終端���,所述用戶終端接收并根據(jù)該消息對(duì)所述網(wǎng)絡(luò)系統(tǒng)進(jìn)行認(rèn)證�����。
所述的IP終端安全接入網(wǎng)絡(luò)的方法�,其中�,所述步驟1001中,還包括建立所述用戶終端與所述邊際接入控制設(shè)備之間的安全聯(lián)盟的步驟����;建立所述邊際接入控制設(shè)備與所述游牧地呼叫會(huì)話控制器之間的安全聯(lián)盟的步驟;及建立所述游牧地呼叫會(huì)話控制器與所述歸屬地呼叫會(huì)話控制器之間的安全聯(lián)盟的步驟�。
本發(fā)明的有益技術(shù)效果在于采用本發(fā)明,用戶終端可以安全地通過邊際接入控制設(shè)備接入到軟交換網(wǎng)絡(luò)中��,具體包括如下優(yōu)點(diǎn)1)�����,實(shí)現(xiàn)用戶終端與系統(tǒng)的雙向認(rèn)證�;2)�,在邊際接入控制設(shè)備與用戶終端之間的信令傳輸可以采用加密���、完整性保護(hù)這兩種方式中一種或兩種方式進(jìn)行保護(hù);及3)��,呼叫會(huì)話控制器與用戶終端之間有多于一組的認(rèn)證方式��。
以下結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述����,但不作為對(duì)本發(fā)明的限定。
圖1本發(fā)明終端接入軟交換網(wǎng)絡(luò)的示意圖����;圖2為本發(fā)明固定終端向CSCF發(fā)起的注冊(cè)流程示意圖;圖3為本發(fā)明游牧/漫游終端向CSCF發(fā)起的注冊(cè)流程示意圖�����。
具體實(shí)施例方式
下面結(jié)合附圖對(duì)技術(shù)方案的實(shí)施作進(jìn)一步的詳細(xì)描述請(qǐng)參閱圖1所示��,為終端接入軟交換網(wǎng)絡(luò)的組網(wǎng)示意圖�����。其中�����,UE(UserEquipment)是指用戶終端101,BAC(Board Access Controller)指邊際/邊緣接入控制設(shè)備102�����,CSCF(Call Session Control Function�����,呼叫會(huì)話控制器)是指呼叫會(huì)話控制器103�����,而SAS(Safe Authentication Server)是指安全認(rèn)證服務(wù)器104�����。
圖1中���,實(shí)線11表示所述各功能實(shí)體之間的通信連接關(guān)系��,而虛線12則是指將所述各功能實(shí)體的安全認(rèn)證參數(shù)存放在安全認(rèn)證服務(wù)器SAS 104上���。
用戶終端UE 101的個(gè)數(shù)為一個(gè)或多個(gè)��,呼叫會(huì)話控制器CSCF 103的個(gè)數(shù)為一個(gè)或多個(gè)。
每個(gè)用戶終端UE 101上設(shè)置有一個(gè)或多個(gè)認(rèn)證安全參數(shù)組���,每個(gè)認(rèn)證安全參數(shù)組提供雙向認(rèn)證���、加密、完整性保護(hù)等安全方式中的一種或幾種方式所需要的參數(shù)信息�����。對(duì)應(yīng)于每個(gè)用戶終端UE 101的每個(gè)認(rèn)證安全參數(shù)組��,在安全認(rèn)證服務(wù)器SAS 104上都設(shè)置有一個(gè)對(duì)應(yīng)的用戶終端認(rèn)證授權(quán)參數(shù)組�����,用于提供雙向認(rèn)證���、加密�����、完整性保護(hù)等安全方式中的一種或幾種方式所需要的計(jì)算信息/參數(shù)信息���。
根據(jù)每個(gè)認(rèn)證授權(quán)參數(shù)組��,安全認(rèn)證服務(wù)器SAS 104將最終可以計(jì)算出一個(gè)認(rèn)證授權(quán)向量�,提供雙向認(rèn)證����、加密、完整性保護(hù)等安全方式中的一種或幾種方式所需要的參數(shù)信息����。
邊際接入控制設(shè)備BAC 102至少具備呼叫會(huì)話控制器與用戶終端間的信令代理功能,并且與當(dāng)?shù)氐暮艚袝?huì)話控制器CSCF 103之間建立了安全聯(lián)盟����。
在用戶終端UE 101第一次注冊(cè)請(qǐng)求時(shí),在認(rèn)證通過后需要建立安全聯(lián)盟��,該聯(lián)盟關(guān)系在用戶終端UE 101注銷后即失效���。失效后�,如果用戶終端UE 101再發(fā)起注冊(cè)請(qǐng)求����,則在認(rèn)證通過后再建立����。
用戶終端UE 101通過邊際接入控制設(shè)備BAC 102在呼叫會(huì)話控制器103上注冊(cè)��,在注冊(cè)過程中完成在安全認(rèn)證服務(wù)器SAS 104的介入下的用戶終端UE 101與呼叫會(huì)話控制器CSCF 103之間的雙向認(rèn)證�����。
在終端注冊(cè)過程中�����,將建立用戶終端UE 101與邊際接入控制設(shè)備BAC102之間的安全聯(lián)盟���,安全認(rèn)證服務(wù)器SAS 104將為該安全聯(lián)盟的建立而在認(rèn)證授權(quán)向量中分別向用戶終端UE 101與邊際接入控制設(shè)備BAC 102提供相關(guān)參數(shù)。
請(qǐng)參閱圖2所示�����,為固定終端向CSCF發(fā)起的注冊(cè)流程示意圖����,并結(jié)合圖1,該注冊(cè)過程為用戶終端UE 101在歸屬地進(jìn)行注冊(cè)的過程,該流程具體包括如下步驟步驟201����,用戶終端UE 101獲得歸屬地的邊際接入控制設(shè)備地址,并向該地址對(duì)應(yīng)的邊際接入控制設(shè)備BAC 102發(fā)起一UE注冊(cè)請(qǐng)求消息����,在該請(qǐng)求消息中攜帶UE用戶帳號(hào)標(biāo)識(shí)、系統(tǒng)認(rèn)證隨機(jī)值RandC�����、完整性(保護(hù))算法列表��、加密算法列表���;
步驟202���,邊際接入控制設(shè)備BAC 102收到UE注冊(cè)請(qǐng)求后,將其發(fā)向呼叫會(huì)話控制器CSCF 103�,并調(diào)整其中的完整性算法列表、加密算法列表�;步驟203,呼叫會(huì)話控制器CSCF 103收到UE注冊(cè)請(qǐng)求消息后�����,向安全認(rèn)證服務(wù)器SAS 104發(fā)送認(rèn)證請(qǐng)求,在該認(rèn)證請(qǐng)求中攜帶UE用戶帳號(hào)標(biāo)識(shí)和RandC����、完整性算法列表、加密算法列表��;步驟204�,安全認(rèn)證服務(wù)器SAS 104產(chǎn)生隨機(jī)數(shù)RandD,根據(jù)隨機(jī)數(shù)RandC計(jì)算出系統(tǒng)認(rèn)證字��,并計(jì)算UE認(rèn)證字�、加密算法/加密密鑰CKu�����、完整性(保護(hù))算法/完整性(保護(hù))密鑰Iku�,并將這些信息組成一個(gè)認(rèn)證向量(AuthenticationVector)AV;步驟205����,安全認(rèn)證服務(wù)器SAS 104向呼叫會(huì)話控制器CSCF103發(fā)送認(rèn)證成功響應(yīng)消息,攜帶認(rèn)證向量AV���;步驟206�����,呼叫會(huì)話控制器CSCF 103將認(rèn)證向量AV保存下來���;步驟207���,呼叫會(huì)話控制器CSCF 103向邊際接入控制設(shè)備BAC 102返回一個(gè)UE注冊(cè)失敗消息,并在該消息中攜帶AV中除UE認(rèn)證字之外其余參數(shù)�;步驟208,邊際接入控制設(shè)備BAC 102收到UE注冊(cè)失敗消息后�,獲得其中AV中屬于BAC部分的參數(shù),并進(jìn)而根據(jù)與用戶終端UE 101之間的安全聯(lián)盟完整性保護(hù)參數(shù)���,獲得邊際接入控制設(shè)備BAC 102與用戶終端UE 101之間的加密性密鑰/完整性密鑰��;去掉該消息中其中AV僅屬于BAC部分的參數(shù)�����;該步驟中�����,邊際接入控制設(shè)備BAC 102可以根據(jù)與用戶終端UE 101之間的安全聯(lián)盟完整性保護(hù)參數(shù)獲得完整性算法和完整性密鑰�����,對(duì)向用戶終端UE101發(fā)送的消息進(jìn)行完整性保護(hù)����;步驟209,用戶終端UE 101接收消息����,并對(duì)其進(jìn)行解碼,根據(jù)RandD��、加密算法和完整性算法�,計(jì)算出加密密鑰CKu�����、完整性密鑰IKu和UE認(rèn)證字����,根據(jù)完整性算法/完整性密鑰判斷消息的合法性,若不合法���,則丟棄該消息�,否則根據(jù)RandC計(jì)算出一個(gè)認(rèn)證字,將該認(rèn)證字與從呼叫會(huì)話控制器CSCF103帶回的系統(tǒng)認(rèn)證字比較�����,判斷兩者是否一致�,若一致,則通過系統(tǒng)認(rèn)證�;否則退出流程,注冊(cè)失?����?��;步驟210�����,用戶終端UE 101根據(jù)與邊際接入控制設(shè)備BAC 102之間的安全聯(lián)盟���,建立到邊際接入控制設(shè)備BAC 102的安全鏈接/安全連接通道,并向邊際接入控制設(shè)備BAC 102重新發(fā)起UE注冊(cè)請(qǐng)求消息���,在該消息中攜帶UE認(rèn)證字����;該步驟中,用戶終端UE 101與邊際接入控制設(shè)備BAC 102之間的交互消息通過安全連接通道進(jìn)行發(fā)送���;步驟211�,邊際接入控制設(shè)備BAC 102向呼叫會(huì)話控制器CSCF 103轉(zhuǎn)發(fā)UE注冊(cè)請(qǐng)求消息��;步驟212����,呼叫會(huì)話控制器CSCF 103收到UE注冊(cè)請(qǐng)求消息后,比較安全認(rèn)證服務(wù)器SAS 104發(fā)送過來的UE認(rèn)證字是否與從用戶終端UE 101發(fā)送過來的UE注冊(cè)請(qǐng)求消息中的UE認(rèn)證字相一致�����,若不一致�,則向邊際接入控制設(shè)備BAC 102發(fā)送UE注冊(cè)失敗消息,執(zhí)行步驟214�����;若一致���,則檢查通過���,對(duì)用戶終端UE 101進(jìn)行成功注冊(cè)操作,繼續(xù)步驟213�����;步驟213�����,呼叫會(huì)話控制器CSCF 103向邊際接入控制設(shè)備BAC 102發(fā)送UE注冊(cè)成功的消息�;及步驟214,邊際接入控制設(shè)備BAC 102向用戶終端UE 101轉(zhuǎn)發(fā)注冊(cè)結(jié)果消息��。
請(qǐng)參閱圖3所示����,為游牧/漫游終端向CSCF發(fā)起的注冊(cè)流程示意圖,并結(jié)合圖1�,呼叫會(huì)話控制器103又可以包括游牧地呼叫會(huì)話控制器V-CSCF1031、歸屬地呼叫會(huì)話控制器H-CSCF 1032��,其中�����,游牧地呼叫會(huì)話控制器V-CSCF 1031為游牧地軟交換設(shè)備(Soft-Switch),簡(jiǎn)稱為V-SS��,歸屬地呼叫會(huì)話控制器H-CSCF 1032為歸屬地軟交換設(shè)備����,簡(jiǎn)稱為H-SS。安全認(rèn)證服務(wù)器SAS 104為授權(quán)/認(rèn)證中心(Authentication Center���,AuC)����。
該注冊(cè)過程為用戶終端UE 101在游牧地進(jìn)行注冊(cè)的過程�����,該流程具體包括如下步驟步驟301�,用戶終端UE 101獲得游牧地的邊際接入控制設(shè)備地址,并向該地址對(duì)應(yīng)的邊際接入控制設(shè)備BAC 102發(fā)起一UE注冊(cè)請(qǐng)求消息�,在該請(qǐng)求消息中攜帶UE用戶帳號(hào)標(biāo)識(shí)、系統(tǒng)認(rèn)證隨機(jī)值RandC�����、完整性算法列表����、加密算法列表;步驟302�,邊際接入控制設(shè)備BAC 102收到UE注冊(cè)請(qǐng)求消息后,將其發(fā)向游牧地軟交換設(shè)備V-SS 1031�����,并調(diào)整其中的完整性算法列表����、加密算法列表;步驟303�����,游牧地軟交換設(shè)備V-SS 1031將UE注冊(cè)請(qǐng)求轉(zhuǎn)發(fā)到歸屬地軟交換設(shè)備H-SS 1032����;該步驟中,游牧地軟交換設(shè)備V-SS 1031分析用戶終端UE 101的路由���;該步驟中����,游牧地軟交換設(shè)備V-SS 1031與歸屬地軟交換設(shè)備H-SS 1032之間建立安全聯(lián)盟;步驟304���,歸屬地軟交換設(shè)備H-SS 1032收到后��,向授權(quán)/認(rèn)證中心AuC 104發(fā)送認(rèn)證請(qǐng)求��,攜帶UE用戶帳號(hào)標(biāo)識(shí)和RandC�、完整性算法列表����、加密算法列表;步驟305��,授權(quán)/認(rèn)證中心AuC 104產(chǎn)生隨機(jī)數(shù)RandD��,根據(jù)隨機(jī)數(shù)RandC計(jì)算出系統(tǒng)認(rèn)證字����,并計(jì)算出UE認(rèn)證字、加密算法/加密密鑰CKu�����、完整性保護(hù)算法/完整性保護(hù)密鑰Iku,將這些信息組成一個(gè)認(rèn)證向量AV��;步驟306���,授權(quán)/認(rèn)證中心AuC 104向歸屬地軟交換設(shè)備H-SS 1032發(fā)送認(rèn)證成功響應(yīng)消息,攜帶認(rèn)證向量AV���;步驟307��,歸屬地軟交換設(shè)備H-SS 1032將認(rèn)證向量AV保存下來��;步驟308���,歸屬地軟交換設(shè)備H-SS 1032向游牧地軟交換設(shè)備V-SS 1031回應(yīng)一個(gè)UE注冊(cè)失敗消息,并在該消息中攜帶AV中除UE認(rèn)證字之外其余參數(shù)����;步驟309,游牧地軟交換設(shè)備V-SS 1031向邊際接入控制設(shè)備BAC 102返回一個(gè)UE注冊(cè)失敗消息����,并在該消息中攜帶AV中除UE認(rèn)證字之外其余參數(shù)(其中密鑰信息可以采用Diffie-Hellman方式交換)��;步驟310�,邊際接入控制設(shè)備BAC 102收到UE注冊(cè)失敗消息后��,獲得其中AV中屬于BAC部分的相關(guān)參數(shù)�����,并進(jìn)而獲得邊際接入控制設(shè)備BAC 102與用戶終端UE 101之間的加密密鑰/完整性密鑰����,即安全聯(lián)盟相關(guān)參數(shù);去掉該消息中其中AV僅屬于BAC部分的相關(guān)參數(shù)�����,再對(duì)消息進(jìn)行完整性保護(hù)后轉(zhuǎn)發(fā)給用戶終端UE 101�;步驟311,用戶終端UE 101對(duì)接收的消息進(jìn)行解碼���,根據(jù)RandD��、加密算法和完整性算法�����,計(jì)算出加密密鑰CKu�、完整性密鑰IKu和UE認(rèn)證字(即用戶終端UE 101與邊際接入控制設(shè)備BAC 102之間的安全聯(lián)盟相關(guān)參數(shù)),根據(jù)完整性算法/完整性密鑰判斷接收消息的合法性��,若不合法��,則丟棄該消息��,否則根據(jù)RandC計(jì)算出一個(gè)認(rèn)證字���,將該認(rèn)證字與依次從游牧地軟交換設(shè)備V-SS 1031、歸屬地軟交換設(shè)備H-SS 1032帶回的系統(tǒng)認(rèn)證字進(jìn)行比較�����,判斷兩者是否一致��,若一致�,則通過系統(tǒng)認(rèn)證;否則退出流程����,注冊(cè)失敗��;步驟312,用戶終端UE 101根據(jù)與邊際接入控制設(shè)備BAC 102之間的安全聯(lián)盟�����,建立到邊際接入控制設(shè)備BAC 102的安全鏈接/安全連接通道�,并向邊際接入控制設(shè)備BAC 102重新發(fā)起UE注冊(cè)請(qǐng)求消息,在該消息中攜帶UE認(rèn)證字����;在該步驟中,用戶終端UE 101與邊際接入控制設(shè)備BAC 102之間的交互消息通過安全連接通道發(fā)送����;步驟313,邊際接入控制設(shè)備BAC 102向游牧地軟交換設(shè)備V-SS 1031轉(zhuǎn)發(fā)UE注冊(cè)請(qǐng)求消息����;步驟314,游牧地軟交換設(shè)備V-SS 1031將UE注冊(cè)請(qǐng)求消息轉(zhuǎn)發(fā)到歸屬地軟交換設(shè)備H-SS 1032����;步驟315,歸屬地軟交換設(shè)備H-SS 1032收到消息后��,比較授權(quán)/認(rèn)證中心AuC 104發(fā)送過來的UE認(rèn)證字是否與從用戶終端UE 101發(fā)送過來UE注冊(cè)請(qǐng)求消息的UE認(rèn)證字相一致�����,若不一致,則向游牧地軟交換設(shè)備V-SS 1031發(fā)送UE注冊(cè)失敗消息���,轉(zhuǎn)入步驟318執(zhí)行�;否則對(duì)用戶終端UE 101進(jìn)行成功注冊(cè)操作��;步驟316���,歸屬地軟交換設(shè)備H-SS 1032向游牧地軟交換設(shè)備V-SS 1031回應(yīng)一個(gè)UE注冊(cè)成功消息����;步驟317����,游牧地軟交換設(shè)備V-SS 1031向邊際接入控制設(shè)備BAC 102發(fā)送UE注冊(cè)成功消息��;及步驟318�����,邊際接入控制設(shè)備BAC 102向用戶終端UE 101轉(zhuǎn)發(fā)注冊(cè)結(jié)果消息����。
該注冊(cè)流程中�����,用戶終端UE 101或邊際接入控制設(shè)備BAC 102所設(shè)置的每個(gè)認(rèn)證安全參數(shù)組至少包含一種認(rèn)證方式��,且包括了認(rèn)證方式需要的參數(shù)��;相應(yīng)地��,安全認(rèn)證服務(wù)器SAS/授權(quán)/認(rèn)證中心AuC 104所提供的認(rèn)證授權(quán)向量中至少包含一種認(rèn)證方式類型����、認(rèn)證碼等參數(shù)信息�。
用戶終端UE 101或邊際接入控制設(shè)備BAC 102所設(shè)置的每個(gè)認(rèn)證安全參數(shù)組可以包含一種加密方式及加密方式所需要的參數(shù);相應(yīng)地��,安全認(rèn)證服務(wù)器SAS/授權(quán)/認(rèn)證中心AuC 104提供的認(rèn)證授權(quán)向量中包含一種加密算法類型�、加密算法密鑰等參數(shù)信息。
用戶終端UE 101的每個(gè)認(rèn)證安全參數(shù)組可以包含一種完整性保護(hù)方式��,及完整性保護(hù)方式所需要的參數(shù)�����;相應(yīng)地,安全認(rèn)證服務(wù)器SAS/授權(quán)/認(rèn)證中心AuC 104提供的認(rèn)證授權(quán)向量中包含一種完整性算法類型�����、完整性算法密鑰等參數(shù)信息�。
邊際接入控制設(shè)備BAC 102可以根據(jù)與用戶終端UE 101之間的安全聯(lián)盟完整性保護(hù)參數(shù)獲得完整性保護(hù)算法和密鑰,對(duì)向用戶終端UE 101發(fā)送的消息進(jìn)行完整性保護(hù)�����。
用戶終端認(rèn)證安全參數(shù)組中可以包括密碼���,密碼可以與用戶終端UE 101配置的其他安全信息一起經(jīng)過運(yùn)算獲得密鑰�,相應(yīng)地��,安全認(rèn)證服務(wù)器SAS/授權(quán)/認(rèn)證中心AuC 104采取相同的方式獲得用戶終端密鑰�。
用戶終端認(rèn)證安全參數(shù)組中可以包括密碼��,密碼充當(dāng)密鑰的一部分�����,相應(yīng)地���,安全認(rèn)證服務(wù)器SAS/授權(quán)/認(rèn)證中心AuC 104采取上述相同的方式獲得用戶終端密鑰�。
安全認(rèn)證服務(wù)器SAS/授權(quán)/認(rèn)證中心AuC 104可以是呼叫會(huì)話控制器CSCF 103中的一個(gè)邏輯功能模塊。
在上述實(shí)施例中���,加密算法和完整性算法均采用對(duì)稱加密算法�,會(huì)話密鑰可以根據(jù)預(yù)先配置在通信實(shí)體和安全認(rèn)證服務(wù)器上的共享密鑰直接獲得���,也可以在此基礎(chǔ)上根據(jù)共享密鑰和隨機(jī)數(shù)來計(jì)算獲得����。
在上述實(shí)施例中����,詳細(xì)描述了用戶終端如何安全通過邊際接入控制設(shè)備呼叫會(huì)話控制器注冊(cè)的一個(gè)流程,對(duì)其中涉及到的注冊(cè)信令及注冊(cè)流程方面�����,僅是示意性的說明����,供參考。
本發(fā)明在以軟交換/IMS(IP Multimedia Subsystem,IP多媒體子系統(tǒng))技術(shù)為基礎(chǔ)的下一代網(wǎng)絡(luò)系統(tǒng)體系架構(gòu)中提出的IP終端安全通過邊際接入控制設(shè)備接入網(wǎng)絡(luò)并達(dá)到信令安全傳輸?shù)姆椒?���,?shí)現(xiàn)了終端與系統(tǒng)的雙向認(rèn)證,同時(shí)本發(fā)明方法還支持IP終端的游牧��。
當(dāng)然�����,本發(fā)明還可有其他多種實(shí)施例�����,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下�,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍�。
權(quán)利要求
1.一種IP終端安全接入網(wǎng)絡(luò)的方法,適用于IP網(wǎng)絡(luò)系統(tǒng)�,該系統(tǒng)包括用戶終端、邊際接入控制設(shè)備�����,呼叫會(huì)話控制器及安全認(rèn)證服務(wù)器�����,其特征在于���,該方法包括步驟一����,在所述用戶終端上設(shè)置用戶終端認(rèn)證安全參數(shù)組����,在所述安全認(rèn)證服務(wù)器上設(shè)置與所述用戶終端認(rèn)證安全參數(shù)組對(duì)應(yīng)的用戶終端認(rèn)證授權(quán)參數(shù)組;步驟二��,將所述用戶終端通過所述邊際接入控制設(shè)備接入至所述呼叫會(huì)話控制器���,所述呼叫會(huì)話控制器接入至所述安全認(rèn)證服務(wù)器����;步驟三�,所述用戶終端根據(jù)所述用戶終端認(rèn)證安全參數(shù)組及傳送至所述用戶終端的信息對(duì)所述網(wǎng)絡(luò)系統(tǒng)進(jìn)行認(rèn)證;所述邊際接入控制設(shè)備根據(jù)傳送至所述邊際接入控制設(shè)備的信息對(duì)所述用戶終端進(jìn)行認(rèn)證����;所述呼叫會(huì)話控制器根據(jù)所述邊際接入控制設(shè)備���、所述安全認(rèn)證服務(wù)器傳送的信息對(duì)所述用戶終端進(jìn)行認(rèn)證;所述安全認(rèn)證服務(wù)器根據(jù)所述用戶終端認(rèn)證授權(quán)參數(shù)組及傳送至所述安全認(rèn)證服務(wù)器的信息對(duì)所述用戶終端進(jìn)行認(rèn)證���。
2.根據(jù)權(quán)利要求1所述的IP終端安全接入網(wǎng)絡(luò)的方法�����,其特征在于����,所述用戶終端認(rèn)證安全參數(shù)組或所述邊際接入控制設(shè)備認(rèn)證安全參數(shù)組的個(gè)數(shù)為一個(gè)或多個(gè)�。
3.根據(jù)權(quán)利要求1所述的IP終端安全接入網(wǎng)絡(luò)的方法,其特征在于�,所述每個(gè)用戶終端認(rèn)證安全參數(shù)組包括雙向認(rèn)證、加密���、完整性保護(hù)安全方式中的一種或多種方式的參數(shù)信息����,對(duì)應(yīng)地�����,所述每個(gè)用戶終端認(rèn)證授權(quán)參數(shù)組包括用于進(jìn)行雙向認(rèn)證、加密���、完整性保護(hù)所需的參數(shù)信息。
4.根據(jù)權(quán)利要求2或3所述的IP終端安全接入網(wǎng)絡(luò)的方法��,其特征在于����,所述步驟三中,還包括一所述用戶終端在歸屬地向所述呼叫會(huì)話控制器發(fā)起注冊(cè)請(qǐng)求的步驟�,又包括步驟41,所述用戶終端向所述邊際接入控制設(shè)備發(fā)送一注冊(cè)請(qǐng)求消息�,所述邊際接入控制設(shè)備將該注冊(cè)請(qǐng)求消息轉(zhuǎn)發(fā)至所述呼叫會(huì)話控制器,所述呼叫會(huì)話控制器向所述安全認(rèn)證服務(wù)器發(fā)送一認(rèn)證請(qǐng)求消息����;步驟42,所述安全認(rèn)證服務(wù)器接收并處理所述認(rèn)證請(qǐng)求消息����,并向所述呼叫會(huì)話控制器返回一含有認(rèn)證向量的認(rèn)證成功響應(yīng)消息;所述呼叫會(huì)話控制器向所述邊際接入控制設(shè)備返回一注冊(cè)失敗消息�����;步驟43,所述邊際接入控制設(shè)備對(duì)所述注冊(cè)失敗消息進(jìn)行處理后發(fā)送至所述用戶終端�,所述用戶終端接收并根據(jù)該消息對(duì)所述網(wǎng)絡(luò)系統(tǒng)進(jìn)行認(rèn)證。
5.根據(jù)權(quán)利要求4所述的IP終端安全接入網(wǎng)絡(luò)的方法���,其特征在于����,所述步驟41中�,還包括建立所述用戶終端與所述邊際接入控制設(shè)備之間的安全聯(lián)盟的步驟;建立所述邊際接入控制設(shè)備與所述呼叫會(huì)話控制器之間的安全聯(lián)盟的步驟�。
6.根據(jù)權(quán)利要求4所述的IP終端安全接入網(wǎng)絡(luò)的方法,其特征在于�,所述步驟43中,還包括所述邊際接入控制設(shè)備根據(jù)其與所述用戶終端之間的完整性保護(hù)密鑰和完整性保護(hù)算法對(duì)所述注冊(cè)失敗消息進(jìn)行完整性保護(hù)處理的步驟�����。
7.根據(jù)權(quán)利要求6所述的IP終端安全接入網(wǎng)絡(luò)的方法�,其特征在于,所述用戶終端接收并根據(jù)該消息對(duì)所述網(wǎng)絡(luò)系統(tǒng)進(jìn)行認(rèn)證的步驟又包括步驟71所述用戶終端根據(jù)完整性保護(hù)算法���、完整性保護(hù)密鑰對(duì)接收消息進(jìn)行合法性判斷����;步驟72,當(dāng)接收消息合法時(shí)����,比較所述用戶終端計(jì)算獲得的認(rèn)證字與所述接收消息中的系統(tǒng)認(rèn)證字是否一致,若是����,則所述網(wǎng)絡(luò)系統(tǒng)通過所述用戶終端認(rèn)證�,所述用戶終端向所述邊際接入控制設(shè)備重新發(fā)起一含有終端認(rèn)證字的注冊(cè)請(qǐng)求消息。
8.根據(jù)權(quán)利要求7所述的IP終端安全接入網(wǎng)絡(luò)的方法��,其特征在于�����,所述步驟72中����,還包括所述邊際接入控制設(shè)備向所述呼叫會(huì)話控制器轉(zhuǎn)發(fā)所述含有終端認(rèn)證字的注冊(cè)請(qǐng)求消息,所述呼叫會(huì)話控制器判斷所述終端認(rèn)證字與所述認(rèn)證向量中的終端認(rèn)證字是否一致的步驟���,若是�,則所述呼叫會(huì)活控制器對(duì)所述用戶終端進(jìn)行成功注冊(cè)操作��,若否,則所述呼叫會(huì)話控制器向所述邊際接入控制設(shè)備返回一注冊(cè)失敗消息����。
9.根據(jù)權(quán)利要求8所述的IP終端安全接入網(wǎng)絡(luò)的方法,其特征在于�,還包括所述邊際接入控制設(shè)備向所述用戶終端轉(zhuǎn)發(fā)注冊(cè)成功消息或注冊(cè)失敗消息的步驟。
10.根據(jù)權(quán)利要求2或3所述的IP終端安全接入網(wǎng)絡(luò)的方法����,其特征在于,所述步驟三中����,還包括一所述用戶終端在游牧地向所述呼叫會(huì)話控制器發(fā)起注冊(cè)請(qǐng)求的步驟,所述呼叫會(huì)話控制器包括游牧地呼叫會(huì)話控制器���、歸屬地呼叫會(huì)話控制器�����,該步驟又包括步驟1001��,所述用戶終端向所述邊際接入控制設(shè)備發(fā)送一注冊(cè)請(qǐng)求消息�����,所述邊際接入控制設(shè)備將該注冊(cè)請(qǐng)求消息轉(zhuǎn)發(fā)至所述游牧地呼叫會(huì)話控制器��,所述游牧地呼叫會(huì)話控制器向所述歸屬地呼叫會(huì)話控制器轉(zhuǎn)發(fā)該注冊(cè)請(qǐng)求消息����,所述歸屬地呼叫會(huì)話控制器向所述安全認(rèn)證服務(wù)器發(fā)送一認(rèn)證請(qǐng)求消息;步驟1002���,所述安全認(rèn)證服務(wù)器處理所述認(rèn)證請(qǐng)求消息,并向所述歸屬地呼叫會(huì)話控制器返回一含有認(rèn)證向量的認(rèn)證成功響應(yīng)消息���;所述歸屬地呼叫會(huì)話控制器向所述游牧地呼叫會(huì)話控制器返回一注冊(cè)失敗消息���;步驟1003,所述邊際接入控制設(shè)備接收并處理從所述游牧地呼叫會(huì)話控制器發(fā)送的注冊(cè)失敗消息��,并發(fā)送至所述用戶終端���,所述用戶終端接收并根據(jù)該消息對(duì)所述網(wǎng)絡(luò)系統(tǒng)進(jìn)行認(rèn)證����。
11.根據(jù)權(quán)利要求10所述的IP終端安全接入網(wǎng)絡(luò)的方法,其特征在于��,所述步驟1001中��,還包括建立所述用戶終端與所述邊際接入控制設(shè)備之間的安全聯(lián)盟的步驟�����;建立所述邊際接入控制設(shè)備與所述游牧地呼叫會(huì)話控制器之間的安全聯(lián)盟的步驟�;及建立所述游牧地呼叫會(huì)話控制器與所述歸屬地呼叫會(huì)話控制器之間的安全聯(lián)盟的步驟。
全文摘要
本發(fā)明公開了一種IP終端安全接入網(wǎng)絡(luò)的方法����,包括步驟一,在用戶終端上設(shè)置用戶終端認(rèn)證安全參數(shù)組����,在安全認(rèn)證服務(wù)器上設(shè)置與用戶終端認(rèn)證安全參數(shù)組對(duì)應(yīng)的用戶終端認(rèn)證授權(quán)參數(shù)組;步驟二�,將用戶終端通過邊際接入控制設(shè)備接入至呼叫會(huì)話控制器,呼叫會(huì)話控制器接入至安全認(rèn)證服務(wù)器����;步驟三,用戶終端根據(jù)用戶終端認(rèn)證安全參數(shù)組及傳送至用戶終端的信息對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行認(rèn)證�;邊際接入控制設(shè)備對(duì)用戶終端進(jìn)行認(rèn)證;呼叫會(huì)話控制器對(duì)用戶終端進(jìn)行認(rèn)證;安全認(rèn)證服務(wù)器根據(jù)用戶終端認(rèn)證授權(quán)參數(shù)組及傳送至安全認(rèn)證服務(wù)器的信息對(duì)用戶終端進(jìn)行認(rèn)證����。本發(fā)明實(shí)現(xiàn)了用戶終端與系統(tǒng)之間的多種認(rèn)證方式的雙向認(rèn)證,有效保證了信令的安全傳輸�����。
文檔編號(hào)H04L29/06GK101094064SQ200610088908
公開日2007年12月26日 申請(qǐng)日期2006年7月25日 優(yōu)先權(quán)日2006年7月25日
發(fā)明者胡憲利, 吳晨, 權(quán)海斌 申請(qǐng)人:中興通訊股份有限公司