CN100579012C - 一种终端用户安全接入软交换网络的方法 - Google Patents
一种终端用户安全接入软交换网络的方法 Download PDFInfo
- Publication number
- CN100579012C CN100579012C CN200510011503A CN200510011503A CN100579012C CN 100579012 C CN100579012 C CN 100579012C CN 200510011503 A CN200510011503 A CN 200510011503A CN 200510011503 A CN200510011503 A CN 200510011503A CN 100579012 C CN100579012 C CN 100579012C
- Authority
- CN
- China
- Prior art keywords
- iad
- marginal
- call service
- service controller
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了终端用户安全接入软交换网络的方法,包括:注册,用户终端通过边际接入网关在呼叫服务控制器上注册,实现在安全认证服务器的介入下,用户终端与呼叫服务控制器和/或边际接入网关与呼叫服务控制器之间的双向认证;信令安全传输,在用户终端、边际接入网关和呼叫服务服务器之间设置终端用户安全层和边际接入网关安全层进行信令安全传输,终端用户安全层用于实现终端用户与呼叫服务控制器之间的安全传输,边际接入网关安全层用于对终端用户与呼叫服务控制器之间的信令在边际接入网关与呼叫服务控制器之间进行安全传输。实现多组认证方式、终端用户/边际接入网关与系统的双向认证;验证边际接入网关;信令传输以加密、完整性方式保护。
Description
技术领域
本发明涉及通讯领域,特别是涉及应用在基于IP通讯网络体系架构。
背景技术
随着互联网和宽带技术的发展,基于IP网络的语音传输(VOIP)技术在企业网和公共网络中得到了越来越多的应用,但由于IP网络的开放性,VOIP技术存在一些安全性问题,如用户账号欺骗、设备欺骗等。针对这些安全问题,系统设备需要对终端用户的身份进行验证,以防止终端用户的欺骗而造成系统资源被窃用;而终端用户也同样需要对系统设备进行验证,以防止系统设备的欺骗而造成用户信息被窃取。
目前,在通信系统的安全体系中,流行的做法是单向认证,即只有系统对终端用户进行认证,而终端用户则不对系统进行认证;即使有双向认证,也仅仅是端到端的方式,对双方通信链路之间的网关设备或代理设备则不作认证,而通常情况下IP终端设备是通过边际接入网关接入到软交换核心网内,因此这种情况下也非常容易导致机密信息的泄漏;信令以明文的方式在终端与系统之间传输,也易被其他非法设备篡取或修改。
发明内容
本发明所要解决的技术问题在于提供一种终端用户安全接入软交换网络的方法,用于实现终端用户/边际接入网关与系统的双向认证,提高系统的安全性能。
为了实现上述目的,本发明提供了一种终端用户安全接入软交换网络的方法,适用于以软交换为基础的IP网络系统,该IP网络系统包括至少一个呼叫服务控制器、边际接入网关、安全认证服务器以及两个以上的终端用户,所述边际接入网关至少具备呼叫控制器与终端用户间的信令代理功能;其特征在于,包括如下步骤:
注册步骤,所述终端用户通过所述边际接入网关在所述呼叫服务控制器上注册,实现在所述安全认证服务器的介入下,所述终端用户与呼叫服务控制器和/或所述边际接入网关与所述呼叫服务控制器之间的双向认证;
信令安全传输步骤,在所述终端用户、边际接入网关和呼叫服务控制器之间设置终端用户安全层和边际接入网关安全层进行信令安全传输,所述终端用户安全层用于实现终端用户与呼叫服务控制器之间的安全传输,所述边际接入网关安全层用于对终端用户与呼叫服务控制器之间的信令在边际接入网关与呼叫服务控制器之间进行安全传输。
上述的终端用户安全接入软交换网络的方法,其中,所述终端用户或边际接入网关,至少设置有一个或一个以上的认证安全参数组,用于提供认证、加密、完整性保护中任意一种或几种保护方式所需要的参数信息;对应于所述终端用户或边际接入网关的每个认证安全参数组,在所述安全认证服务器中设置一对应的认证授权参数组,用于提供所述终端用户和边际接入网关的认证、加密、完整性保护中任意一种或几种保护方式所需要的计算信息。
上述的终端用户安全接入软交换网络的方法,其中,根据每个认证授权参数组,所述安全认证服务器通过计算出一个认证授权向量来进一步提供认证、加密、完整性保护中任意一种或几种保护方式所需要的参数信息。
上述的终端用户安全接入软交换网络的方法,其中,在所述终端用户与呼叫服务控制器和所述边际接入网关与所述呼叫服务控制器之间的双向认证步骤后,所述呼叫服务控制器保存所述边际接入网关加密算法密钥和/或完整性算法密钥,以及终端用户加密算法密钥和/或完整性算法密钥;并向所述边际接入网关分发边际接入网关加密算法密钥和/或完整性算法密钥,以及终端用户加密算法密钥和/或完整性算法密钥;向终端用户分发终端用户加密算法密钥和/或完整性算法密钥。
上述的终端用户安全接入软交换网络的方法,其中,所述注册步骤进一步包括:
步骤501,终端用户发起注册请求消息;
步骤502,边际接入网关收到后将注册请求消息转发到呼叫服务控制器;
步骤503,呼叫服务控制器收到注册请求消息后,分析获得终端用户和边际接入网关标识信息;
步骤504,呼叫服务控制器判断边际接入网关是否已注册,已注册的话则执行步骤508;否则呼叫服务控制器向安全认证服务器发起边际接入网关认证请求;
步骤505,安全认证服务器查找边际接入网关认证授权参数组,经过计算获得并向呼叫服务控制器返回对应于边际接入网关的所有认证授权向量;
步骤506,呼叫服务控制器从对应于边际接入网关的所有认证授权向量中选取一个边际接入网关认证授权向量,在后续信令流程中对边际接入网关进行认证;呼叫服务控制器将对边际接入网关验证通过后,执行步骤507;否则执行步骤513;
步骤507,呼叫服务控制器对边际接入网关进行注册操作,并将选中的边际接入网关认证授权向量中属于边际接入网关的相关信息发送给边际接入网关;
步骤508,呼叫服务控制器向安全认证服务器发起终端用户认证请求;
步骤509,安全认证服务器查找终端用户认证授权参数组,经过计算获得并向呼叫服务控制器返回对应于终端用户的所有认证授权向量;
步骤510,呼叫服务控制器从对应于终端用户的所有认证授权向量中选取一个终端用户认证授权向量,然后经过边际接入网关信令代理功能,在后续信令流程中对终端用户进行认证;如果呼叫服务控制器对终端用户认证通过,则执行步骤511;否则执行步骤513;
步骤511,呼叫服务控制器进行用户注册,并将终端用户注册成功信息、所选中的终端用户认证授权向量中属于边际接入网关的相关信息发送给边际接入网关;
步骤512,边际接入网关将终端用户认证授权向量中属于终端用户的相关信息和注册成功响应信息发送给终端用户;退出流程;
步骤513,呼叫服务控制器向边际接入网关发送注册失败响应;及
步骤514,边际接入网关将注册失败响应信息发送给终端用户。
上述的终端用户安全接入软交换网络的方法,其中,利用所述终端用户安全层进行安全传输又包括如下步骤:
所述呼叫服务控制器采用呼叫服务控制器上与终端用户之间的加密算法密钥和完整性算法密钥进行安全传输的步骤:对发向终端的信令,利用相应的加密算法和完整性算法进行加密处理和完整性保护;对终端发来的信令,则利用相应的加密算法和完整性算法进行解密处理和完整性校验。
所述终端用户采用终端用户上与呼叫服务控制器之间的加密算法密钥和完整性算法密钥进行安全传输的步骤:对发向呼叫服务控制器的信令,利用相应的加密算法和完整性算法进行加密处理和完整性保护;对呼叫服务控制器发来的信令,则利用相应的加密算法和完整性算法进行解密处理和完整性校验。
上述的终端用户安全接入软交换网络的方法,其中,利用所述边际接入网关安全层进行安全传输又包括如下步骤:
所述边际接入网关采用边际接入网关上与呼叫服务控制器之间的加密算法密钥和完整性算法密钥的步骤:当收到呼叫服务控制器发向终端用户的信令后,利用相应的加密算法和完整性算法对信令进行解密处理和完整性校验,然后发送给终端用户;同时,将利用终端用户上的呼叫服务控制器与终端用户之间的加密算法密钥和完整性算法密钥对信令进行解密处理和完整性校验,获取其中信息;当收到终端用户发向呼叫服务控制器的信令后,则利用相应的加密算法和完整性算法对信令进行加密处理和完整性保护,同时,将利用呼叫服务控制器上的呼叫服务控制器与终端用户之间的加密算法密钥和完整性算法密钥对信令进行解密处理和完整性校验,获取其中信息;
所述呼叫服务控制器采用呼叫服务控制器上与边际接入网关之间的加密算法密钥信息和完整性算法密钥的步骤:对呼叫服务控制器经过边际接入网关发向终端用户的信令,利用相应的加密算法和完整性算法进行加密处理和完整性保护;对终端用户经过边际接入网关发向呼叫服务控制器的信令,则利用相应的加密算法和完整性算法进行解密处理和完整性校验。
上述的终端用户安全接入软交换网络的方法,其中,还包括所述终端用户的系统认证步骤:在步骤501中,注册请求消息中携带终端用户对系统认证相关信息;在步骤508中,呼叫服务控制器同时向安全认证服务器发送终端用户对系统认证请求;在步骤509中,安全认证服务器同时向呼叫服务控制器返回终端用户对系统认证信息;在步骤510中,呼叫服务控制器在终端用户认证流程中将终端用户对系统认证信息传送给终端,终端用户收到后进行系统认证,系统认证失败则终端用户主动退出流程,否则配合呼叫服务控制器进行终端用户认证流程。
上述的终端用户安全接入软交换网络的方法,其中,还包括所述边际接入网关的系统认证步骤:在步骤502中,注册请求消息中携带边际接入网关对系统认证相关信息;在步骤504中,呼叫服务控制器同时向安全认证服务器边际接入网关对系统认证请求;在步骤505中,安全认证服务器同时向呼叫服务控制器返回边际接入网关对系统认证信息;在步骤506中,呼叫服务控制器在边际接入网关认证流程中将边际接入网关对系统认证信息传送给终端,边际接入网关收到后进行系统认证,系统认证失败则边际接入网关主动退出流程,否则配合呼叫服务控制器进行边际接入网关认证流程。
上述的终端用户安全接入软交换网络的方法,其中,所述终端用户/边际接入网关的认证安全参数组中包含密码,所述呼叫服务控制器设置对所述终端用户/边际接入网关密码的单独验证步骤。
上述的终端用户安全接入软交换网络的方法,其中,所述终端用户/边际接入网关认证安全参数组中包含密码,所述密码为密钥的一部分,或以所述密码与终端用户或边际接入网关配置的其他安全信息一起运算获得密钥;所述安全认证服务器以与所述密钥获得相同的方式获得所述终端用户或边际接入网关密钥。
上述的终端用户安全接入软交换网络的方法,其中,在所述步骤510中,所述呼叫服务控制器将与所述终端用户相关的认证信息发送给所述边际接入网关,委托所述边际接入网关对所述终端用户进行认证,若所述边际接入网关对所述终端用户认证通过后,将所述终端用户认证成功的消息通知给所述呼叫服务控制器,执行步骤511;否则发送所述终端认证失败的信息给所述呼叫服务控制器,执行步骤513。
上述的终端用户安全接入软交换网络的方法,其中,在所述步骤510中,所述呼叫服务控制器将所述终端用户认证授权向量中与所述终端用户相关的加密和完整性保护这两个方面相关信息的一个或两个方面的相关信息在认证步骤中发送给边际接入网关,再由边际接入网关进一步地转发给终端用户,从而在后续信令中采用信令安全传输步骤进行信令传输。
上述的终端用户安全接入软交换网络的方法,其中,在所述边际接入网关进入服务状态后发起所述边际接入网关向呼叫服务控制器的注册步骤。
上述的终端用户安全接入软交换网络的方法,其中,所述安全认证服务器为所述呼叫服务控制器的逻辑功能模块。
上述的终端用户安全接入软交换网络的方法,其中,所述信令安全传输步骤中,所述终端用户安全层/边际接入网关安全层采用加密、完整性保护任意一种或两种保护方式。
上述的终端用户安全接入软交换网络的方法,其中,所述信令安全传输步骤中,所述终端用户安全层所需要的安全参数信息,分别配置在所述呼叫服务控制器和终端用户中;所述边际接入网关安全层所需要的安全参数信息,分别配置在所述呼叫服务控制器和边际接入网关中。
上述的终端用户安全接入软交换网络的方法,其中,所述信令安全传输步骤中,所述呼叫服务控制器与所述边际接入网关之间的信令仅以所述边际接入网关安全层方式传送。
上述的终端用户安全接入软交换网络的方法,其中,所述终端用户与呼叫服务控制器和/或所述边际接入网关与所述呼叫服务控制器之间的双向认证有一定时效,失效后需重新进行双向认证。
采用本发明,用户可以安全地通过边际接入网关接入到软交换网络中,与现有技术相比,本发明在呼叫服务控制器与终端用户之间有多于一组的认证方式;验证用户接入的边际接入网关是否合法;呼叫服务控制器与终端用户之间信令传输可以采用加密、完整性保护这两种方式中一种或两种方式来保护;可以实现终端用户与系统的双向认证;可以实现边际接入网关与系统的双向认证。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
附图说明
图1为终端用户接入软交换网络示意图;
图2为BAC注册流程示意图;
图3为终端用户注册流程示意图。
具体实施方式
在本发明以软交换技术为基础的IP网络体系架构中,存在至少一个核心控制设备,在下文中将称之为呼叫服务控制器(CSCF);两个以上的用户终端设备用户;一个边际接入网关(BAC);一个安全认证服务器(SAS)。
在本发明中,一个终端用户或一个边际接入网关,至少有一个或一个以上的认证安全参数组,每个认证安全参数组提供认证、加密、完整性保护等安全方式中的一种或几种方式所需要的参数信息;对应于每个终端用户或每个边际接入网关的每个认证安全参数组,在认证服务器中都将存放一个对应的认证授权参数组,用于提供终端用户和边际接入网关的认证、加密、完整性保护等安全方式中的一种或几种方式所需要的计算信息。
在本发明中,根据每个认证授权参数组,认证服务器将最终可以计算出一个认证授权向量,提供认证、加密、完整性保护等安全方式中的一种或几种方式所需要的参数信息。
在本发明中,边际接入网关至少具备呼叫服务控制器与终端用户间的信令代理功能。
本发明所描述的方法包含两个部分,一个是注册部分,一个是信令安全传输部分。
注册部分完成终端通过边际接入网关在呼叫服务控制器上的注册功能,在注册过程中实现在安全认证服务器的介入下,终端与呼叫服务控制器之间、边际接入网关与呼叫服务控制器之间的双向认证。在认证通过后,呼叫服务控制器保存边际接入网关加密算法密钥和完整性算法密钥,以及终端用户加密算法密钥和完整性算法密钥;并向边际接入网关分发边际接入网关加密算法密钥和完整性算法密钥,以及终端用户加密算法密钥和完整性算法密钥;向终端用户分发终端用户加密算法密钥和完整性算法密钥。具体流程如下:
101、终端设备发起注册请求消息;
102、边际接入网关收到后将注册请求消息转发到呼叫服务控制器;
103、呼叫服务控制器收到注册请求消息后,分析获得终端用户和边际接入网关标识信息;
104、呼叫服务控制器判断边际接入网关是否已注册,已注册的话则执行步骤108;否则呼叫服务控制器向安全认证服务器发起边际接入网关认证请求;
105、安全认证服务器查找边际接入网关认证授权参数组,经过计算获得并向呼叫服务控制器返回对应于边际接入网关的所有认证授权向量;
106、呼叫服务控制器从对应于边际接入网关的所有认证授权向量中选取一个边际接入网关认证授权向量,在后续信令流程中对边际接入网关进行认证;呼叫服务控制器将对边际接入网关验证通过后,执行步骤107;否则执行步骤113;
107、呼叫服务控制器对边际接入网关进行注册操作,并将选中的边际接入网关认证授权向量中属于边际接入网关的相关信息发送给边际接入网关;
108、呼叫服务控制器向安全认证服务器发起终端用户认证请求;
109、安全认证服务器查找终端用户认证授权参数组,经过计算获得并向呼叫服务控制器返回对应于终端用户的所有认证授权向量;
110、呼叫服务控制器从对应于终端用户的所有认证授权向量中选取一个终端用户认证授权向量,然后经过边际接入网关信令代理功能,在后续信令流程中对终端用户进行认证;如果呼叫服务控制器对终端用户认证通过,则执行步骤111;否则执行步骤113;
111、呼叫服务控制器进行用户注册,并将终端用户注册成功信息、所选中的终端用户认证授权向量中属于边际接入网关的相关信息发送给边际接入网关;
112、边际接入网关将终端用户认证授权向量中属于终端用户的相关信息和注册成功响应信息发送给终端用户;退出流程;
113、呼叫服务控制器向边际接入网关发送注册失败响应;
114、边际接入网关将注册失败响应信息发送给终端用户。
在本发明中,信令安全传输部分完成在终端、边际接入网关和呼叫服务控制器之间安全传输信令功能,并将其层次划分为终端用户安全层、边际接入网关安全层。其中,终端用户安全层是指终端用户与呼叫服务控制器之间的安全传输部分,边际接入网关安全层则是指对终端用户与呼叫服务控制器之间信令在边际接入网关与呼叫服务控制器之间进一步进行安全保护,进行传输部分。具体描述如下:
终端用户安全层,是指呼叫服务控制器与终端用户之间的明文信令采用它们之间约定的加密算法和完整性保护算法对信令进行处理。具体的来说,
a、呼叫服务控制器采用呼叫服务控制器上与终端用户之间的加密算法密钥和完整性算法密钥:对发向终端的信令,利用相应的加密算法和完整性算法进行加密处理和完整性保护;对终端发来的信令,则利用相应的加密算法和完整性算法进行解密处理和完整性校验。
b、终端用户则采用终端用户上与呼叫服务控制器之间的加密算法密钥和完整性算法密钥:对发向呼叫服务控制器的信令,利用相应的加密算法和完整性算法进行加密处理和完整性保护;对呼叫服务控制器发来的信令,则利用相应的加密算法和完整性算法进行解密处理和完整性校验。
边际接入网关安全层,则是指经过这层安全处理后的信令将在经过第一层的安全处理后,呼叫服务控制器与终端用户之间传输的都是密文信令。当信令需要经过经过边际接入网关时,呼叫服务控制器与边际接入网关将采用呼叫服务控制器与边际接入网关之间约定的加密算法和完整性保护算法,再次对信令进行处理。具体的来说,
A、边际接入网关采用边际接入网关上与呼叫服务控制器之间的加密算法密钥和完整性算法密钥:当收到呼叫服务控制器发向终端的信令后,利用相应的加密算法和完整性算法对信令进行解密处理和完整性校验,然后发送给终端,同时,还将利用终端用户上的呼叫服务控制器与终端用户之间的加密算法密钥和完整性算法密钥对信令进行解密处理和完整性校验,获取其中信息;当收到终端发向呼叫服务控制器的信令后,则利用相应的加密算法和完整性算法对信令进行加密处理和完整性保护,同时,还将利用呼叫服务控制器上的呼叫服务控制器与终端用户之间的加密算法密钥和完整性算法密钥对信令进行解密处理和完整性校验,获取其中信息。
B、呼叫服务控制器采用呼叫服务控制器上与边际接入网关之间的加密算法密钥信息和完整性算法密钥:对呼叫服务控制器经过边际接入网关发向终端的信令,利用相应的加密算法和完整性算法进行加密处理和完整性保护;对终端经过边际接入网关发向呼叫服务控制器的信令,则利用相应的加密算法和完整性算法进行解密处理和完整性校验。
进一步地,在本发明中,终端用户或边际接入网关的每个认证安全参数组至少包含一种认证方式,且包括了认证方式需要的参数;对应地,认证服务器至少可以计算而提供的认证授权向量中至少包含一种认证方式类型、认证码等参数信息。
进一步地,在本发明中,终端用户或边际接入网关的每个认证安全参数组可以包含一种加密方式,及加密方式所需要的参数;对应地,认证服务器可以计算而提供的认证授权向量中包含一种加密算法类型、加密算法密钥等参数信息。
进一步地,在本发明中,终端用户或边际接入网关的每个认证安全参数组可以包含一种完整性保护方式,及完整性保护方式所需要的参数;对应地,认证服务器可以计算而提供的认证授权向量中包含一种完整性算法类型、完整性算法密钥等参数信息。
进一步地,终端用户也可以对系统进行认证,在步骤101中的注册消息中携带终端用户对系统认证相关信息;在步骤108中,呼叫服务控制器同时向安全认证服务器发送终端用户对系统认证请求;在步骤109中,安全认证服务器同时向呼叫服务控制器返回终端用户对系统认证信息;在步骤110中,呼叫服务控制器在终端用户认证流程中将终端用户对系统认证信息传送给终端,终端用户收到后进行系统认证,系统认证失败则终端用户主动退出流程,否则配合呼叫服务控制器进行终端用户认证流程。
进一步地,边际接入网关也可以对系统进行认证,在步骤102中的注册消息中携带边际接入网关对系统认证相关信息;在步骤104中,呼叫服务控制器同时向安全认证服务器边际接入网关对系统认证请求;在步骤105中,安全认证服务器同时向呼叫服务控制器返回边际接入网关对系统认证信息;在步骤106中,呼叫服务控制器在边际接入网关认证流程中将边际接入网关对系统认证信息传送给终端,边际接入网关收到后进行系统认证,系统认证失败则边际接入网关主动退出流程,否则配合呼叫服务控制器进行边际接入网关认证流程。
进一步地,终端用户认证安全参数组中可以包括密码,呼叫服务控制器增加对终端用户密码的单独验证流程。
进一步地,终端用户认证安全参数组中可以包括密码,密码充当密钥的一部分,相应地认证安全服务器采取相同的方式获得终端用户密钥密钥。
进一步地,终端用户认证安全参数组中可以包括密码,密码可以与终端配置的其他安全信息一起经过运算获得密钥,相应地认证安全服务器采取相同的方式获得终端用户密钥。
进一步地,边际接入网关认证安全参数组中可以包括密码,呼叫服务控制器增加对边际接入网关密码的单独验证流程。
进一步地,边际接入网关认证安全参数组中可以包括密码,密码充当密钥的一部分,相应地认证安全服务器采取相同的方式获得边际接入网关密钥密钥。
进一步地,边际接入网关认证安全参数组中可以包括密码,密码可以与边际接入网关配置的其他安全信息一起经过运算获得密钥,相应地认证安全服务器采取相同的方式获得边际接入网关密钥。
进一步地,本发明步骤104到步骤107中描述的边际接入网关向呼叫服务控制器注册流程可以单独在本流程之前执行,由边际接入网关进入服务状态后发起。
进一步地,在步骤110中,呼叫服务控制器可以将与终端用户相关的认证信息发送给边际接入网关,委托边际接入网关对终端用户进行认证,如果边际接入网关对终端用户认证通过后,将终端用户认证成功的消息通知给呼叫服务控制器,执行步骤111;否则发送终端认证失败的信息给呼叫服务控制器,执行步骤113。
进一步地,在步骤110中,呼叫服务控制器可以将终端用户认证授权向量中与终端用户相关的加密和完整性保护这两个方面相关信息的一个或两个方面的相关信息在认证的流程中发送给边际接入网关,再由边际接入网关进一步地转发给终端用户,从而可以在后续信令流程中采用信令安全传输部分描述的方式进行信令传输。
进一步地,本发明中的安全认证服务器可以是呼叫服务控制器中的一个逻辑功能模块。
进一步地,本发明中的安全认证服务器的部分功能,可以是呼叫服务控制器中的一个逻辑功能模块。比如边际接入网关加密部分功能、边际接入网关完整性保护部分功能等。
进一步地,本发明中的信令安全传输部分中,终端用户安全层可以采用加密、完整性保护这两种方式中的一种或两种方式,或者两种方式都不采用。
进一步地,本发明中的信令安全传输部分中,终端用户安全层所需要的安全参数信息,可以分别在呼叫服务控制器和终端用户中配置好。
进一步地,本发明中的信令安全传输部分中,边际接入网关安全层可以采用加密、完整性保护这两种方式中的一种或两种方式,或者两种方式都不采用。
进一步地,本发明中的信令安全传输部分中,边际接入网关安全层式所需要的安全参数信息,可以分别在呼叫服务控制器和边际接入网关中配置好。
进一步地,本发明中的信令安全传输部分中,可以在呼叫服务控制器与边际接入网关之间的信令仅采用边际接入网关安全层方式传送,由边际接入网关使用边际接入网关安全层替换掉终端用户层安全层。
在本实施例中,加密算法和完整性算法均采用对称加密算法,会话密钥可以根据预先配置在通信实体和安全认证服务器上的共享密钥直接获得,也可以在此基础上根据共享密钥和随机数来计算获得。
在附图1中,描述了终端接入软交换网络的组网示意图。其中,UE是指终端用户,BAC是指边际接入网关,MGC是指呼叫服务控制器,而SAS是指安全认证服务器;图中的虚线是指各功能实体的安全认证参数存放在SAS上,而实线表示各功能实体之间通信连接关系。
在附图2中,描述了一个BAC向MGC发起注册的流程,详细说明如下:
201、BAC向MGC发起注册请求,在注册请求消息中携带BAC标识、系统认证随机值RandA。
202、MGC收到后,向安全认证服务器发送认证请求(包括BAC认证和系统认证),携带BAC标识和RandA;
203、安全认证服务器产生一个随机数RandB,计算出BAC认证字、完整性保护密钥IKbac、加密算法密钥CKbac,以及根据随机数RandA计算出系统认证字。RandB、BAC认证字和完整性保护密钥IKbac、加密算法密钥Ckbac、系统认证字组成一个认证向量AV;
204、安全认证服务器向MGC发送认证成功响应消息,携带认证向量AV;
205、MGC将认证向量AV保存下来;
206、MGC回应BAC一个注册失败消息,指示BAC重新发起注册请求,并在消息中携带认证向量AV中的RandB和系统认证字;
207、BAC根据RandA计算出一个认证字,与从MGC获得的系统认证字比较是否一致,一致则通过系统认证,然后再根据RandB计算出完整性保护密钥IKbac、加密算法密钥CKbac和BAC认证字;否则退出流程,注册失败;
208、BAC向MGC重新发起注册请求,在消息中携带BAC认证字,并用完整性保护密钥IKbac对消息进行完整性保护;
209、MGC收到消息后,先进行完整性检查,检查不通过则向BAC发送注册失败消息,执行步骤211;否则比较认证服务器发送过来的BAC认证字是否与从BAC发送过来的一致,不一致则向BAC发送注册失败消息,执行步骤211;否则对BAC进行注册操作;
210、MGC向BAC发送注册成功的消息;
211、MGC向安全认证服务器发送BAC认证结果通知。
在附图3中,描述了一个终端用户向MGC发起的注册流程,详细说明如下:
301、终端用户UE向BAC发起注册请求,在注册请求消息中携带终端用户标识、系统认证随机值RandC。
302、BAC收到后将终端用户注册请求发向MGC,并用完整性保护密钥IKbac对消息进行完整性保护;
302、MGC收到消息后,进行完整性检查。检查不通过的话则回应BAC注册失败,BAC再转发给UE,退出流程;
304、MGC收到后,向安全认证服务器发送认证请求(包括UE认证和系统认证),携带UE标识和RandC;
305、安全认证服务器产生一个随机数RandD,计算出UE认证字和加密算法密钥IKbac,以及根据随机数RandC计算出系统认证字。RandD、UE认证字和加密算法密钥Ku、系统认证字组成一个认证向量AV;
306、安全认证服务器向MGC发送认证成功响应消息,携带认证向量AV;
307、MGC将认证向量AV保存下来;
308、MGC回应BAC一个UE注册失败消息以指示UE重新发起注册请求,在消息中携带认证向量AV中的RandD和系统认证字;
309、BAC收到注册失败消息后,转发给UE;
310、UE根据RandC计算出一个认证字,与从MGC获得的系统认证字比较是否一致,一致则通过系统认证,然后再根据RandD计算出加密算法密钥和UE认证字;否则退出流程,注册失败;
311、UE向BAC重新发起注册请求,在消息中携带UE认证字;
312、BAC用IKbac对消息进行完整性保护处理;
313、BAC向MGC转发UE注册请求消息;
314、MGC收到消息后,先进行完整性检查,检查不通过则向BAC发送UE注册失败消息,执行步骤316;否则比较认证服务器发送过来的UE认证字是否与从UE发送过来的一致,不一致则向BAC发送注册失败消息,执行步骤316;否则对UE进行注册操作;
315、MGC向BAC发送注册成功的消息,并用CKbac加密认证向量AV中的Ku,然后在消息中携带给BAC;整个消息采用IKbac对消息进行完整性保护处理;
316、BAC收到MGC消息后,进行完整性检查。检查通过的话,则用Ckbac解密消息中的Ku;否则UE注册失败,通知MGC注册失败,继续下面的流程;
317、BAC向UE转发注册结果消息;
318、MGC向安全认证服务器发送BAC认证结果通知。
在实施例中,详细描述了终端用户如何安全通过边际接入网关呼叫服务控制器注册的一个流程,对其中涉及到的注册信令及注册流程方面,仅是示意性的说明,供参考。
采用本发明,用户可以安全地通过边际接入网关接入到软交换网络中,具体来说,有如下的好处:
1、呼叫服务控制器与终端用户之间有多于一组的认证方式;
2、验证用户接入的边际接入网关是否合法;
3、呼叫服务控制器与终端用户之间信令传输可以采用加密、完整性保护这两种方式中一种或两种方式来保护;
4、可以实现终端用户与系统的双向认证;
5、可以实现边际接入网关与系统的双向认证。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (19)
1、一种终端用户安全接入软交换网络的方法,适用于以软交换为基础的IP网络系统,该IP网络系统包括至少一个呼叫服务控制器、边际接入网关、安全认证服务器以及两个以上的终端用户,所述边际接入网关至少具备呼叫控制器与终端用户间的信令代理功能;其特征在于,包括如下步骤:
注册步骤,所述终端用户通过所述边际接入网关在所述呼叫服务控制器上注册,实现在所述安全认证服务器的介入下,所述终端用户与呼叫服务控制器和/或所述边际接入网关与所述呼叫服务控制器之间的双向认证;及
信令安全传输步骤,在所述终端用户、边际接入网关和呼叫服务控制器之间设置终端用户安全层和边际接入网关安全层进行信令安全传输,所述终端用户安全层用于实现终端用户与呼叫服务控制器之间的安全传输,所述边际接入网关安全层用于对终端用户与呼叫服务控制器之间的信令在边际接入网关与呼叫服务控制器之间进行安全传输。
2、根据权利要求1所述的终端用户安全接入软交换网络的方法,其特征在于,所述终端用户或边际接入网关,至少设置有一个或一个以上的认证安全参数组,用于提供认证、加密、完整性保护中任意一种或几种保护方式所需要的参数信息;对应于所述终端用户或边际接入网关的每个认证安全参数组,在所述安全认证服务器中设置一对应的认证授权参数组,用于提供所述终端用户和边际接入网关的认证、加密、完整性保护中任意一种或几种保护方式所需要的计算信息。
3、根据权利要求2所述的终端用户安全接入软交换网络的方法,其特征在于,根据每个认证授权参数组,所述安全认证服务器通过计算出一个认证授权向量来进一步提供认证、加密、完整性保护中任意一种或几种保护方式所需要的参数信息。
4、根据权利要求1、2或3所述的终端用户安全接入软交换网络的方法,其特征在于,在所述终端用户与呼叫服务控制器和所述边际接入网关与所述呼叫服务控制器之间的双向认证步骤后,所述呼叫服务控制器保存所述边际接入网关加密算法密钥和/或完整性算法密钥,以及终端用户加密算法密钥和/或完整性算法密钥;并向所述边际接入网关分发边际接入网关加密算法密钥和/或完整性算法密钥,以及终端用户加密算法密钥和/或完整性算法密钥;向终端用户分发终端用户加密算法密钥和/或完整性算法密钥。
5、根据权利要求4所述的终端用户安全接入软交换网络的方法,其特征在于,所述注册步骤进一步包括:
步骤501,终端用户发起注册请求消息;
步骤502,边际接入网关收到后将注册请求消息转发到呼叫服务控制器;
步骤503,呼叫服务控制器收到注册请求消息后,分析获得终端用户和边际接入网关标识信息;
步骤504,呼叫服务控制器判断边际接入网关是否已注册,已注册的话则执行步骤508;否则呼叫服务控制器向安全认证服务器发起边际接入网关认证请求;
步骤505,安全认证服务器查找边际接入网关认证授权参数组,经过计算获得并向呼叫服务控制器返回对应于边际接入网关的所有认证授权向量;
步骤506,呼叫服务控制器从对应于边际接入网关的所有认证授权向量中选取一个边际接入网关认证授权向量,在后续信令流程中对边际接入网关进行认证;呼叫服务控制器将对边际接入网关验证通过后,执行步骤507;否则执行步骤513;
步骤507,呼叫服务控制器对边际接入网关进行注册操作,并将选中的边际接入网关认证授权向量中属于边际接入网关的相关信息发送给边际接入网关;
步骤508,呼叫服务控制器向安全认证服务器发起终端用户认证请求;
步骤509,安全认证服务器查找终端用户认证授权参数组,经过计算获得并向呼叫服务控制器返回对应于终端用户的所有认证授权向量;
步骤510,呼叫服务控制器从对应于终端用户的所有认证授权向量中选取一个终端用户认证授权向量,然后经过边际接入网关信令代理功能,在后续信令流程中对终端用户进行认证;如果呼叫服务控制器对终端用户认证通过,则执行步骤511;否则执行步骤513;
步骤511,呼叫服务控制器进行用户注册,并将终端用户注册成功信息、所选中的终端用户认证授权向量中属于边际接入网关的相关信息发送给边际接入网关;
步骤512,边际接入网关将终端用户认证授权向量中属于终端用户的相关信息和注册成功响应信息发送给终端用户;退出流程;
步骤513,呼叫服务控制器向边际接入网关发送注册失败响应;及
步骤514,边际接入网关将注册失败响应信息发送给终端用户。
6、根据权利要求1所述的终端用户安全接入软交换网络的方法,其特征在于,利用所述终端用户安全层进行安全传输又包括如下步骤:
所述呼叫服务控制器采用呼叫服务控制器上与终端用户之间的加密算法密钥和完整性算法密钥进行安全传输的步骤:对发向终端的信令,利用相应的加密算法和完整性算法进行加密处理和完整性保护;对终端发来的信令,则利用相应的加密算法和完整性算法进行解密处理和完整性校验。
所述终端用户采用终端用户上与呼叫服务控制器之间的加密算法密钥和完整性算法密钥进行安全传输的步骤:对发向呼叫服务控制器的信令,利用相应的加密算法和完整性算法进行加密处理和完整性保护;对呼叫服务控制器发来的信令,则利用相应的加密算法和完整性算法进行解密处理和完整性校验。
7、根据权利要求1或6所述的终端用户安全接入软交换网络的方法,其特征在于,利用所述边际接入网关安全层进行安全传输又包括如下步骤:
所述边际接入网关采用边际接入网关上与呼叫服务控制器之间的加密算法密钥和完整性算法密钥的步骤:当收到呼叫服务控制器发向终端用户的信令后,利用相应的加密算法和完整性算法对信令进行解密处理和完整性校验,然后发送给终端用户;同时,将利用终端用户上的呼叫服务控制器与终端用户之间的加密算法密钥和完整性算法密钥对信令进行解密处理和完整性校验,获取其中信息;当收到终端用户发向呼叫服务控制器的信令后,则利用相应的加密算法和完整性算法对信令进行加密处理和完整性保护,同时,将利用呼叫服务控制器上的呼叫服务控制器与终端用户之间的加密算法密钥和完整性算法密钥对信令进行解密处理和完整性校验,获取其中信息;
所述呼叫服务控制器采用呼叫服务控制器上与边际接入网关之间的加密算法密钥信息和完整性算法密钥的步骤:对呼叫服务控制器经过边际接入网关发向终端用户的信令,利用相应的加密算法和完整性算法进行加密处理和完整性保护;对终端用户经过边际接入网关发向呼叫服务控制器的信令,则利用相应的加密算法和完整性算法进行解密处理和完整性校验。
8、根据权利要求5所述的终端用户安全接入软交换网络的方法,其特征在于,还包括所述终端用户的系统认证步骤:在步骤501中,注册请求消息中携带终端用户对系统认证相关信息;在步骤508中,呼叫服务控制器同时向安全认证服务器发送终端用户对系统认证请求;在步骤509中,安全认证服务器同时向呼叫服务控制器返回终端用户对系统认证信息;在步骤510中,呼叫服务控制器在终端用户认证流程中将终端用户对系统认证信息传送给终端,终端用户收到后进行系统认证,系统认证失败则终端用户主动退出流程,否则配合呼叫服务控制器进行终端用户认证流程。
9、根据权利要求5或8所述的终端用户安全接入软交换网络的方法,其特征在于,还包括所述边际接入网关的系统认证步骤:在步骤502中,注册请求消息中携带边际接入网关对系统认证相关信息;在步骤504中,呼叫服务控制器同时向安全认证服务器边际接入网关对系统认证请求;在步骤505中,安全认证服务器同时向呼叫服务控制器返回边际接入网关对系统认证信息;在步骤506中,呼叫服务控制器在边际接入网关认证流程中将边际接入网关对系统认证信息传送给终端,边际接入网关收到后进行系统认证,系统认证失败则边际接入网关主动退出流程,否则配合呼叫服务控制器进行边际接入网关认证流程。
10、根据权利要求2、3、5、6或8所述的终端用户安全接入软交换网络的方法,其特征在于,所述终端用户或边际接入网关的认证安全参数组中包含密码,所述呼叫服务控制器设置对所述终端用户或边际接入网关密码的单独验证步骤。
11、根据权利要求2、3、5、6或8所述的终端用户安全接入软交换网络的方法,其特征在于,所述终端用户或边际接入网关认证安全参数组中包含密码,所述密码为密钥的一部分,或以所述密码与终端用户或边际接入网关配置的其他安全信息一起运算获得密钥;所述安全认证服务器以与所述密钥获得相同的方式获得所述终端用户或边际接入网关密钥。
12、根据权利要求5所述的终端用户安全接入软交换网络的方法,其特征在于,在所述步骤510中,所述呼叫服务控制器将与所述终端用户相关的认证信息发送给所述边际接入网关,委托所述边际接入网关对所述终端用户进行认证,若所述边际接入网关对所述终端用户认证通过后,将所述终端用户认证成功的消息通知给所述呼叫服务控制器,执行步骤511;否则发送所述终端认证失败的信息给所述呼叫服务控制器,执行步骤513。
13、根据权利要求5所述的终端用户安全接入软交换网络的方法,其特征在于,在所述步骤510中,所述呼叫服务控制器将所述终端用户认证授权向量中与所述终端用户相关的加密和完整性保护这两个方面相关信息的一个或两个方面的相关信息在认证步骤中发送给边际接入网关,再由边际接入网关进一步地转发给终端用户,从而在后续信令中采用所述信令安全传输步骤进行信令传输。
14、根据权利要求5所述的终端用户安全接入软交换网络的方法,其特征在于,在所述边际接入网关进入服务状态后发起所述边际接入网关向呼叫服务控制器的注册步骤。
15、根据权利要求1所述的终端用户安全接入软交换网络的方法,其特征在于,所述安全认证服务器为所述呼叫服务控制器的逻辑功能模块。
16、根据权利要求1所述的终端用户安全接入软交换网络的方法,其特征在于,所述信令安全传输步骤中,所述终端用户安全层/边际接入网关安全层采用加密、完整性保护任意一种或两种保护方式。
17、根据权利要求1所述的终端用户安全接入软交换网络的方法,其特征在于,所述信令安全传输步骤中,所述终端用户安全层所需要的安全参数信息,分别配置在所述呼叫服务控制器和终端用户;所述边际接入网关安全层所需要的安全参数信息,分别配置在所述呼叫服务控制器和边际接入网关中。
18、根据权利要求1所述的终端用户安全接入软交换网络的方法,其特征在于,所述信令安全传输步骤中,所述呼叫服务控制器与所述边际接入网关之间的信令仅以所述边际接入网关安全层方式传送。
19、根据权利要求1所述的终端用户安全接入软交换网络的方法,其特征在于,所述终端用户与呼叫服务控制器和/或所述边际接入网关与所述呼叫服务控制器之间的双向认证有一定时效,失效后需重新进行双向认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200510011503A CN100579012C (zh) | 2005-03-30 | 2005-03-30 | 一种终端用户安全接入软交换网络的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200510011503A CN100579012C (zh) | 2005-03-30 | 2005-03-30 | 一种终端用户安全接入软交换网络的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1841998A CN1841998A (zh) | 2006-10-04 |
| CN100579012C true CN100579012C (zh) | 2010-01-06 |
Family
ID=37030855
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200510011503A Expired - Fee Related CN100579012C (zh) | 2005-03-30 | 2005-03-30 | 一种终端用户安全接入软交换网络的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100579012C (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350721B (zh) * | 2007-07-20 | 2012-08-08 | 华为技术有限公司 | 一种网络系统、网络接入方法及网络设备 |
| CN101127663B (zh) * | 2007-09-13 | 2010-11-03 | 北京交通大学 | 一种移动自组织网络接入一体化网络的系统及方法 |
| CN101119206B (zh) * | 2007-09-13 | 2011-03-02 | 北京交通大学 | 基于标识的一体化网络终端统一接入控制方法 |
| CN101527632B (zh) * | 2008-03-06 | 2011-12-28 | 华为技术有限公司 | 响应消息认证方法、装置及系统 |
| CN101888623B (zh) * | 2010-05-14 | 2012-08-22 | 东南大学 | 一种基于安全服务的移动网络安全防护方法 |
| CN102065103A (zh) * | 2011-01-07 | 2011-05-18 | 中兴通讯股份有限公司 | 一种代理网络语音业务的方法、装置和系统 |
| CN108712421B (zh) * | 2018-05-18 | 2021-04-27 | 中国联合网络通信集团有限公司 | 接入网关注册的方法及装置、软交换呼叫方法及系统 |
| CN114500066A (zh) * | 2022-02-08 | 2022-05-13 | 北京沃东天骏信息技术有限公司 | 信息处理方法、网关和通信系统 |
-
2005
- 2005-03-30 CN CN200510011503A patent/CN100579012C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1841998A (zh) | 2006-10-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1961557B (zh) | 通信网络中的安全连接方法和系统 | |
| KR101009330B1 (ko) | 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 | |
| EP1997292B1 (en) | Establishing communications | |
| CN100579012C (zh) | 一种终端用户安全接入软交换网络的方法 | |
| EP2347613B1 (en) | Authentication in a communication network | |
| US7689211B2 (en) | Secure login method for establishing a wireless local area network connection, and wireless local area network system | |
| CN103229452A (zh) | 移动手持设备的识别和通信认证 | |
| US20090191845A1 (en) | Network enforced access control for femtocells | |
| CN105553666B (zh) | 一种智能电力终端安全认证系统及方法 | |
| CN111918284B (zh) | 一种基于安全通信模组的安全通信方法及系统 | |
| CN105828332A (zh) | 一种无线局域网认证机制的改进方法 | |
| CN109347626B (zh) | 一种具有反跟踪特性的安全身份认证方法 | |
| WO2009045335A2 (en) | Methods for determining whether femtocell is authorized to provide wireless connectivity to a mobile unit | |
| JP2005512396A (ja) | ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用 | |
| WO2017185450A1 (zh) | 终端的认证方法及系统 | |
| US20220116385A1 (en) | Full-Duplex Password-less Authentication | |
| Hwang et al. | On the security of an enhanced UMTS authentication and key agreement protocol | |
| Di Pietro et al. | A two-factor mobile authentication scheme for secure financial transactions | |
| CN104753886B (zh) | 一种对远程用户的加锁方法、解锁方法及装置 | |
| Zhang et al. | Is Today's End-to-End Communication Security Enough for 5G and Its Beyond? | |
| CN101272379A (zh) | 基于IEEE802.1x安全认证协议的改进方法 | |
| CN101094064A (zh) | 一种ip终端安全接入网络的方法 | |
| CN101094063B (zh) | 一种游牧终端接入软交换网络系统的安全交互方法 | |
| CN106209384B (zh) | 使用安全机制的客户终端与充电装置的通信认证方法 | |
| KR20130042266A (ko) | 무선 센서 네트워크를 위한 암호 및 스마트카드 기반의 사용자 인증방법. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100106 Termination date: 20180330 |