CN101145908A - 保障业务网络安全的系统、装置及方法 - Google Patents
保障业务网络安全的系统、装置及方法 Download PDFInfo
- Publication number
- CN101145908A CN101145908A CN 200610127230 CN200610127230A CN101145908A CN 101145908 A CN101145908 A CN 101145908A CN 200610127230 CN200610127230 CN 200610127230 CN 200610127230 A CN200610127230 A CN 200610127230A CN 101145908 A CN101145908 A CN 101145908A
- Authority
- CN
- China
- Prior art keywords
- business
- certificate
- professional
- network
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种保障业务网络安全的系统、装置及方法,所述系统包括:业务路由器,提供业务之间彼此交互过程中的信息转发及代理;业务注册中心,用于对通过业务路由器接入的业务进行动态注册;验证中心,用于在业务注册过程中根据业务注册中心的指令,为接入业务网络的业务进行身份验证,同时为业务提供对业务网络的验证;证书中心,用于为接入业务网络中的业务和网络实体签发数字证书。本发明还公开了一种保障业务网络安全的方法,当业务接入业务网络时,向业务网络进行注册;在业务注册过程中,业务网络和业务进行相互验证。利用本发明,可以保证业务交互的安全,进而可以保证业务网络的安全。
Description
技术领域
本发明涉及网络通信技术领域,具体涉及一种保障业务网络安全的系统、装置及方法。
背景技术
随着电信网络技术和用户需求的发展,业务的提供需要多样化,而当业务的多样性达到一定程度,不同业务之间的交互能力又制约了运营商进一步发展更为复杂的业务。用户迫切需要的是一个完整的业务供应链而不是单独访问一系列独立的服务子系统。而由于业务的供应商不同,技术思路、方法、路线不同导致业务的整合也变得尤为困难。
为了顺应业务管理的思路,业界普遍以业务为中心重新对运营商的各类资源进行整合,统一抽象出网络的各种能力和资源开放给上层业务使用。规范管理业务的整个生命周期等等技术的出现为大量业务的有序管理提供了一定的技术依据,以此为基础,业务网络的发展目标就是要在网络层之上的业务层面建立一个虚拟的叠加网络,抽象出底层网络的能力并加以隔离,让大量的业务自由地运行于单一的业务网络上进行自主交互。这样,通过该业务网络实现不同用户之间的业务交互。
目前,IMS(IP Multimedia Subsystem,IP多媒体子系统)网络架构作为NGN (Next Generation Network,下一代网络)的核心网,采用分组域为其上层控制信令和媒体传输的承载通道,引入SIP(Session Initiation Protocol,初始会话协议)协议作为业务控制协议,利用SIP简单、易扩展、媒体组合方便的特点,通过将业务控制与承载控制分离,提供丰富的多媒体业务。
为了保证业务网络的安全,首先要保证业务交互的安全。在IMS中,安全保证的基础在于用户与网络之间的共享密钥。通信过程中的身份验证以及协议的机密性和完整性都依赖于该密钥。对于移动网络,该密钥保存在网络内部的HSS (Home Subscriber Server,归属用户服务器)中,始终不会从HSS被传递出来,具有很高的安全性。而对于用户,该密钥保存于用户在初始订购时移动运营商为其发放的UICC (Universal Integrated Circuit Card,通用集成电路卡)中的ISIM (IP Multimedia Services Identity Module,IP多媒体服务身份模块)模块中,同样不会从ISIM模块中被传递出来,而UICC卡本身具有很强的安全性,保存在其中的密钥较难被窃取。由于共享密钥具有高的安全性,因此IMS的安全性得到了有利的保证。但是这种基于UICC卡的安全机制并不是一种通用的安全策略,它需要为每个用户预先分配一块UICC卡这种物理设备,对用户终端也有相应的要求,整个移动网络系统有一整套的相关机制和流程。基于该原因,这种安全策略并不适用于对业务的身份验证和安全保护,无法在业务网络中被直接使用。
发明内容
本发明的主要目的是提供一种保障业务网络安全的系统,以解决业务网络业务交互过程中的身份验证与数据传输的安全性保护问题,保证业务交互的安全。
本发明的另一个目的是提供一种验证装置,以对接入业务网络的业务提供身份验证,并为该业务提供业务网络验证信息。
本发明的另一个目的是提供一种保障业务网络安全的方法,以保证业务网络的安全。
为此,本发明提供如下的技术方案:
一种保障业务网络安全的系统,所述系统包括:
业务路由器,提供业务之间交互过程中的信息转发及代理;
业务注册中心,通过业务网络与业务路由器相连,用于对通过业务路由器接入的业务进行动态注册;
证书中心,通过业务网络与业务路由器相连,用于为所述业务和网络实体签发数字证书;
验证中心,通过业务网络与业务注册中心、证书中心及业务路由器相连,用于在业务注册过程中根据业务注册中心的指令,向证书中心查询或从本地获得所述业务的数字证书并确认其有效性,同时根据所述数字证书中的信息对该业务进行身份验证,并为业务提供业务网络验证信息。
业务与业务路由器之间建立有安全关联的传输。
所述验证中心包括:
接口模块,用于处理验证过程中对外的信息交互;
业务证书数据库,用于保存业务的数字证书;
验证处理模块,用于根据接口模块收到的业务注册中心的请求消息生成业务网络验证信息Nau,并在接口模块获得业务验证信息Sau后,从业务证书数据库获取该业务的数字证书,并对证书有效的业务进行验证,包括:计算所述业务验证信息Sau中去掉数字签名部分的摘要值,同时使用所述数字证书中该业务的公钥对所述业务验证信息中的数字签名进行解析得到被签名的摘要值,并根据得到的两个摘要值是否相同确定对业务的验证是否通过;
私钥存储模块,用于存储并向验证处理模块提供生成业务网络验证信息Nau所需的业务网络证书公钥相对应的私钥;
证书请求与确认模块,用于根据验证处理模块的请求查询证书中心以确认所述业务数字证书的有效性,或者在验证处理模块未在业务证书数据库中获取到所述业务的数字证书时,根据验证处理模块的请求向证书中心请求业务的数字证书。
所述验证中心还包括:
密钥分配模块,用于根据验证处理模块的请求为接入业务网络的业务与其连接的业务路由器分配建立安全传输连接的共享密钥。
证书中心包括:
证书信息存储模块,用于存储业务和网络实体对应的数字证书和证书撤销列表;
注册模块,用于对申请证书的业务和网络实体进行身份审核;
证书权威模块,用于根据注册模块的审核结果对业务和网络实体签发、作废证书,并将所述业务和网络实体对应的数字证书和证书撤销列表存储到所述证书信息存储模块中。
一种验证装置,用于对接入业务网络的业务进行身份验证,并为该业务提供业务网络验证信息,所述装置包括:
接口模块,用于处理验证过程中对外的信息交互;
业务证书数据库,用于保存业务的数字证书;
验证处理模块,用于根据接口模块收到的对所述业务验证的请求消息生成业务网络验证信息Nau,并在接口模块获得业务验证信息Sau后,从业务证书数据库获取该业务的数字证书,并对证书有效的业务进行验证,包括:计算所述业务验证信息Sau中去掉数字签名部分的摘要值,同时使用所述数字证书中该业务的公钥对所述业务验证信息中的数字签名进行解析得到被签名的摘要值,并根据得到的两个摘要值是否相同确定对业务的验证是否通过;
私钥存储模块,用于存储并向验证处理模块提供生成业务网络验证信息Nau所需的业务网络证书公钥相对应的私钥;
证书请求与确认模块,用于根据验证处理模块的请求查询证书中心以确认所述业务数字证书的有效性,或者在验证处理模块未在业务证书数据库中获取到所述业务的数字证书时,根据验证处理模块的请求向证书中心请求业务的数字证书。
所述装置还包括:
密钥分配模块,用于根据验证处理模块的请求为接入业务网络的业务与其连接的业务路由器分配建立安全传输连接的共享密钥。
一种保障业务网络安全的方法,所述方法包括:
A、当业务接入业务网络时,向业务网络进行注册;
B、在业务注册过程中,业务网络和业务进行相互验证。
所述步骤A包括:
业务发送会话起始协议SIP注册请求消息到其连接的业务路由器,并在消息头域中携带业务标识SID及归属域标识NID;
业务路由器将所述SIP注册请求消息转发给网络侧。
所述步骤A进一步包括:
如果在注册前所述业务与所述业务路由器已建立好了安全传输连接,则业务路由器在转发给网络侧的SIP注册请求消息头域中标注该注册受完整性保护信息。
所述步骤B包括:
B1、业务网络收到业务的SIP注册请求消息后生成业务网络验证信息,并将其发送给业务;
B2、业务根据所述业务网络验证信息对业务网络进行验证;
B3、验证通过后,业务生成业务验证信息,并将其发送给业务网络;
B4、业务网络根据所述业务验证信息对业务进行验证;
B5、验证通过后,业务网络向业务发送确认消息。
业务网络将所述业务网络验证信息插入到SIP注册响应消息中发送给业务,并在该SIP注册响应消息中指示业务提供业务验证信息。
所述业务网络将所述业务网络验证信息插入到SIP注册响应消息的WWW-Authenticate头域中。
所述业务网络验证信息包括:业务标识、时间戳、现时值、由业务网络私钥加密摘要计算值形成的数字签名;
所述业务验证信息包括:归属域标识、时间戳、现时值、由业务私钥加密摘要计算值形成的数字签名。
所述步骤B2包括:
业务计算所述业务网络验证信息中去掉数字签名部分的摘要值,同时使用业务网络的公钥对所述业务网络验证信息中的数字签名进行解析得到被签名的摘要值;
如果得到的两个摘要值相同,则对业务网络的验证通过;
如果得到的两个摘要值不同,则对业务网络的验证失败。
所述步骤B4包括:
业务网络计算所述业务验证信息中去掉数字签名部分的摘要值,同时使用业务的公钥对所述业务验证信息中的数字签名进行解析得到被签名的摘要值;
如果得到的两个摘要值相同,则对业务的验证通过;
如果得到的两个摘要值不同,则对业务的验证失败。
所述步骤B3包括:
业务通过构建新的SIP注册请求消息,在消息中携带所述业务验证信息,并将该消息发送给所述业务路由器;
所述业务路由器在所述SIP注册请求消息的头域中标注该注册消息受完整性保护信息,并将该消息发送给业务网络。
在所述新的SIP注册请求消息的Authorization 头域中携带所述业务验证信息。
所述步骤B1进一步包括:
如果所述SIP注册请求消息中没有完整性保护信息,则业务网络为业务与所述业务路由器分配共享密钥,并将其发送给业务与所述业务路由器。
所述方法进一步包括:
发送给业务的共享密钥由业务的公钥加密,并包含在业务网络验证信息中。
业务网络将未加密的共享密钥插入到SIP注册响应消息的头域中发送给所述业务路由器,所述业务路由器保存接收到的该共享密钥,然后从SIP注册响应消息的头域中将该共享密钥删除。
所述共享密钥被插入到SIP注册响应消息的WWW-Authenticate 头域中。
所述步骤B3进一步包括:
如果业务与业务路由器之间还未建立安全传输连接,则业务基于所述共享密钥与业务路由器建立安全传输连接。
由以上本发明提供的技术方案可以看出,本发明针对在业务网络中不适于采用预先分配UICC物理设备卡的安全机制的问题,通过使用数字证书,以私钥数字签名的方式进行身份验证,并采用点对点安全传输方式保证了业务网络中协议消息的安全传输。利用本发明,无需业务和业务网络之间预先共享密钥,保障了业务网络的安全运营。
附图说明
图1是本发明系统的一个实施例的组网图;
图2是本发明系统中验证中心的原理框图;
图3是本发明系统中证书中心的原理框图;
图4是本发明中业务申请证书的流程图;
图5是本发明中采用离线方式进行证书撤销的流程图;
图6是本发明方法的一个实施例的实现流程图;
图7是本发明中业务网络和业务进行相互验证的消息交互流程图;
图8是本发明中验证中心内部验证的消息交互流程图。
具体实施方式
本发明的核心在于基于PKI(Public Key Infrastructure,公钥基础设施)技术,通过公钥/私钥机制,来解决业务网络业务交互过程中的身份验证问题,同时提供协议信息传输过程中的完整性、机密性和消息源的验证保证。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和实施方式对本发明作进一步的详细说明。
本技术领域人员知道,PKI是建立在公钥密码体制上的信息安全基础设施,为应用提供身份认证、加密、数字签名、时间戳等安全服务。CA(CertificateAuthority,数字证书认证中心)是PKI的核心部件,它的主要任务是数字证书、证书撤消列表 CRL (Certificate Revocation List) 的签发及管理。通过有效地密钥和证书管理,PKI为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网络中的数据通信的安全性。在本发明中,基于PKI技术,在业务网络中建立安全保障机制,保证业务网络中业务交互过程中的身份验证与数据传输的安全性。
首先,参照图1所示本发明系统的一个实施例的组网图:
该系统包括:业务路由器S13、业务路由器S14、业务注册中心S15、验证中心S16、证书中心S17。这些不同功能实体通过业务网络相连。业务S11通过业务路由器S13接入业务网络,业务S12通过业务路由器S14接入业务网络。其中,
业务路由器提供业务之间彼此交互过程中的信息转发及代理功能;业务注册中心S15用于对通过业务路由器接入的业务进行动态注册;验证中心S16用于在业务注册过程中根据业务注册中心的指令,向证书中心查询或从本地获得所述业务的数字证书并确认其有效性,同时根据所述数字证书中的信息对该业务进行身份验证,并为业务提供业务网络验证信息;证书中心S17为业务网络中的业务和网络实体签发数字证书。数字证书中包括证书主体的名字、颁发该证书的证书中心的名字、主体的公钥信息、由证书中心私钥签署的数字签名、证书有效期等信息。证书中心还将验证证书的有效性,保存证书并维持证书撤消列表CRL等。。
Zb为网络实体之间信息传输的安全接口,例如,可以通过IPSec ESP (IPSecurity Protocol Encapsulating Security Payload,IP网络安全协议封装安全净荷)来进行信息传输的安全保护;
Zs为业务与业务路由器之间信息传输的安全接口,例如,可以通过IPSecESP来进行信息传输的安全保护;
IAuC-CC为验证中心与证书中心之间的接口,负责处理两者之间的交互,主要作用是由验证中心查询证书中心以获得业务或者网络实体的证书,或者是确认证书的有效性。IAuC-CC接口可以采用LDAP(Lightweight DirectoryAccess Protocol,轻量目录访问协议)协议作为证书的操作协议,也可以采用FTP(File Transfer Protocol,文件传输协议),HTTP(Hypertext Transfer Protocol,超文本传输协议)等协议。
IAuC-SRC为验证中心与业务注册中心之间的接口,业务在注册过程中业务注册中心通过该接口调用验证中心,以生成业务网络验证信息及对业务进行验证操作。
对于业务与业务路由器之间的安全接口Zs,其传输安全保护的建立有两种方式。一种方式是在业务连接到业务路由器的初始阶段,基于两者各自的证书来建立。例如,如果采用的是IPsec网络层安全机制,则可采用标准的IKE(Internet Key Exchange,因特网密钥交换)协议,建立业务和业务路由器之间的安全关联。另外一种方式则是在验证过程中,由验证中心为业务和业务路由器分配共享密钥,基于共享密钥建立业务和业务路由器之间的传输安全保护。如果采用的是IPsec网络层安全机制,则是基于预共享密钥的IKE协商,建立业务和业务路由器之间的安全关联。后一种方式的优点在于业务网络的安全性完全由验证中心所控制,并且业务路由器不需要配置和处理数字证书。
业务在接入业务网络中并可以被正常使用之前,需要进行业务注册以及身份验证,同时业务本身也需要验证它所接入的业务网络的身份。
验证中心在业务注册过程中为接入业务网络的业务进行身份验证,同时为业务提供对业务网络的验证。两个验证过程都采用基于数字证书的数字签名证证方式。对于SIP请求消息,验证相关信息将携带在SIP协议中的Authorization头域中,而对于SIP响应消息,验证相关信息将携带在SIP协议中的WWW-Authenticate头域中。
图2示出了本发明系统中验证中心的原理框图:
该验证中心包括:接口模块S21、验证处理模块S22、证书请求与确认模块S23、业务证书数据库S24、私钥存储模块S25、密钥分配模块S26。其中,
接口模块S21用于处理验证过程中对外的信息交互,例如接收业务的验证消息,并向业务发送业务网络的验证消息等。
验证处理模块S22使用业务的证书解析业务验证信息Sau,以验证业务的身份,除此之外,验证处理模块还负责生成业务网络验证信息Nau,为业务提供对业务网络的验证。验证处理模块S22对业务的验证过程如下:
首先,从业务证书数据库获取该业务的数字证书,然后对证书有效的业务进行验证。包括:计算所述业务验证信息Sau中去掉数字签名部分的摘要值,同时使用所述数字证书中该业务的公钥对所述业务验证信息中的数字签名进行解析得到被签名的摘要值,并根据得到的两个摘要值是否相同确定对业务的验证是否通过。如果这两个值相同,则表明对业务的验证通过;否则,验证失败。
证书请求与确认模块S23用于根据验证处理模块的请求查询证书中心以确认所述业务数字证书的有效性,或者在验证处理模块未在业务证书数据库中获取到所述业务的数字证书时,根据验证处理模块的请求向证书中心请求业务的数字证书。
业务证书数据库S24用于保存业务的数字证书。
私钥存储模块S25用于存储并向验证处理模块提供生成业务网络验证信息Nau所需的业务网络证书公钥相对应的私钥,以用于对业务网络验证信息Nau进行数字签名。
为了保证业务与业务路由器之间能够建立安全传输连接,在该验证中心中还设置了密钥分配模块S26,为业务与其连接的业务路由器分配共享密钥IK和CK,以建立两者之间的安全传输连接。
证书中心是PKI公私钥身份验证体系的核心组成部件。根据需要,在业务网络中可以建立一级或者多级证书中心。第一级证书中心作为根验证中心,将为自身生成自签名的数字证书,并为下级证书中心签发数字证书。
图3示出了本发明系统中证书中心的原理框图:
该证书中心包括:证书权威模块S31、注册模块S32、证书信息存储模块S33。其中,证书信息存储模块S33用于存储业务和网络实体对应的数字证书和证书撤销列表;注册模块S32用于对申请证书的业务和网络实体进行身份审核;证书权威模块S31用于根据注册模块的审核结果对业务和网络实体签发、作废证书,并将所述业务和网络实体对应的数字证书和证书撤销列表存储到所述证书信息存储模块中。
证书权威模块S31是证书中心的核心模块,是颁发、管理和作废证书的实体。为业务,网络实体或者是下级证书中心颁发数字证书。通过发布并且维护证书撤消列表CRL来管理作废了的证书。证书权威模块S31在初始化的时候首先产生自身的私钥和公钥,然后由上级证书中心或其自身生成数字证书。此外,证书权威模块S31还可以为注册模块S32、证书中心管理员等生成数字证书,并且还可以支持和其它证书权威机构之间的交叉认证。证书权威模块S31存有其私钥以及其它与证书颁发有关的信息。出于安全的考虑,可以将证书权威模块S31与其它模块在物理上隔离。
注册模块S32负责证书申请者的身份审核,确认拥有相应私钥的证明、信息录入、唯一标识名的分配、证书申请的生成。此外还向证书信息存储模块S33转发证书权威模块S31颁发的数字证书和证书撤消列表CRL。注册模块S32是保证证书真实性的关键模块,证书申请者应可以通过安全的,例如非电子的方式向注册模块S32提交证书申请,通过注册模块S32对证书申请者的身份真实性审核通过后,其证书申请才能够被接受,这样就保证了证书中心的权威性和证书的真实性。
证书信息存储模块S33负责将注册模块S32传递过来的主体信息以及数字证书和证书撤消列表CRL加入到数据库中。通过查询证书信息存储模块S33即可得到对应实体的数字证书或者是验证数字证书的有效性。例如,验证中心可通过IAuC-CC接口查询证书信息存储模块S33,获得某个业务的证书,或者是确认其证书的有效性。
证书中心内各实体间的交互协议可采用RFC4210证书管理协议CMP(Certificate Management Protocol,证书管理协议)。
证书可以通过离线的方式申请,业务在可以连接到业务网络之前,必须先申请证书,由业务网络的证书中心为其颁发证书。
业务申请证书的流程如图4所示:
1.业务向注册模块发送申请。
2.注册模块确认各种必要的证明材料(例如业务提供者的身份确认材料、用户口令等),保存有关信息(例如对业务的描述信息、对业务提供者的描述信息、证书申请的时间、有效期、条件等信息)。
3.注册模块向证书权威模块发出申请证书的请求,在该请求中可以包含业务的公钥等信息。
4.证书权威模块依据申请请求,为业务生成一份证书SC,证书由证书权威模块的私钥签名。如果没有事先生成密钥对,则由证书权威模块负责为业务生成公私密钥对。
5.证书权威模块将证书SC发送给注册模块,证书中包含可以验证业务身份的安全信息,比如,该业务的公钥UK。若密钥对由证书权威模块产生,则证书权威模块还将发送业务的私钥PK到注册模块。
6.注册模块将证书SC加入到证书信息存储模块中。
7.注册模块将证书SC发送给业务。若由证书权威模块产生密钥对,则业务的私钥PK也将由注册模块通过安全的方式发送给业务。
证书具有一定的有效期,有效期满则证书自动作废。由于某些原因,例如可能的私钥泄密或者是相关信息的变更,也可以在证书到期前使其作废,这就是证书撤消。证书撤消也可以采用离线方式,其流程如图5所示:
1.业务向注册模块发送撤消请求,请求撤消业务的证书SC。
2.注册模块确认各种必要的证明材料。
3.注册模块向证书权威模块发出证书SC的撤消请求。
4.证书权威模块依据申请请求,撤消证书SC,生成证书撤消列表CRL,CRL由证书权威模块的私钥签名。
5.证书权威模块将证书撤消列表CRL发送给注册模块。
6.注册模块将证书撤消列表CRL加入到证书信息存储模块中。
7.注册模块发送证书SC撤消成功的确认信息ACK到业务。
本发明还提供了一种验证装置,其原理框图与图2所示本发明系统中的验证中心的原理框图相同,在此不再详细描述。
参照图6,图6示出了本发明方法的一个实施例的实现流程,包括以下步骤:
步骤601:当业务接入业务网络时,向业务网络进行注册。
在业务网络中,业务的注册过程可以采用SIP(Session Initiation Protocol,会话起始协议)协议。具体地,业务发送SIP注册请求消息到其连接的业务路由器,并在消息头域中携带业务标识SID及归属域标识NID;然后由业务路由器将该SIP注册请求消息转发给网络侧。如果在注册前该业务与业务路由器已建立好了安全传输连接,则业务路由器在转发给网络侧的SIP注册请求消息头域中标注该注册受完整性保护信息。
步骤602:在业务注册过程中,业务网络和业务进行相互验证。
业务网络对业务的验证和业务对业务网络的验证都采用证书验证方式。对于SIP请求消息,可以将验证相关信息携带在SIP协议中的Authorization头域中,而对于SIP响应消息,可以将验证相关信息携带在SIP协议中的WWW-Authenticate头域中。
步骤603:验证通过后,业务在业务网络中正常运行。
例如,业务路由器只让已经通过注册的业务在业务网络中运行,业务只有在业务注册中心注册了,才能被其它业务寻找到。
下面结合本发明系统的原理框图,进一步说明本发明中在业务和业务网络间进行相互验证的消息流程。
参照图7,图7是本发明中业务网络和业务进行相互验证的消息交互流程:
1.业务发送SIP注册请求消息Register到其连接的业务路由器,在Register消息的Authorization头中包含业务的标识SID与归属域标识NID等信息。其中,SID的作用是让业务网络知道是哪个业务来注册,NID的作用是知道要去哪个业务网络注册。
2.若在注册前业务与业务路由器已经建立好了安全传输连接,业务路由器将在Authorization头中标注该注册消息受完整性保护。然后业务路由器转发Register请求到业务路由器对应的业务注册中心。
3.业务注册中心请求验证中心生成网络验证信息Nau,若注册消息没有提供完整性保护,则还需要验证中心为业务与业务路由器分配共享密钥。
4.验证中心生成网络验证信息Nau。Nau包含业务的标识SID、时间戳Tn和现时值Rn。时间戳Tn用于防止消息被延迟传送,现时值Rn用于检测重放攻击。
此外,Nau还可包含其它的相关信息,例如业务网络的证书。若需分配共享密钥,验证中心还将为业务与业务路由器生成完整性密钥IK和加密密钥CK,由业务的公钥加密为Es(IK,CK)。业务的公钥是包含在证书之中的,而业务证书可以从证书中心获得。在证书中心颁发证书的时候就被保存在证书信息存储模块中,验证中心获得该业务证书以后会将它保留在自己的业务证书数据库中。
Es(IK,CK)同样被包含在Nau中,然后对这些信息计算摘要,用业务网络的私钥签名,该数字签名也将包含在Nau中。
5.验证中心发送业务网络验证信息Nau到业务注册中心。
若还分配了共享密钥,由于Nau将包含由业务公钥加密的Es(IK,CK),只有业务才能解密。因此,还需发送未加密的IK和CK,提供给业务路由器。
6.业务注册中心将Nau或者还包括共享密钥IK和CK插入到401Unauthorized响应的WWW-Authenticate头中,并在响应消息中指示业务提供业务验证信息。然后将该响应消息发送到业务路由器。
7.若包含共享密钥信息,业务路由器删除WWW-Authenticate头中的IK和CK并将它们保存下来,以使业务路由器可以通过这两个共享密钥与业务建立安全的传输连接。然后转发401 Unauthorized响应到业务。
8.业务接收到401 Unauthorized响应后,从WWW-Authenticate头中获得Nau。然后计算Nau中去掉数字签名部分的摘要值,同时使用业务网络的公钥(该公钥包含在业务网络证书中,而业务网络证书可以从证书中心获得,在证书中心颁发证书的时候被保存在证书信息存储模块中)对数字签名进行解析,得到被签名的摘要值。
如果这两个摘要值相同,则对业务网络的验证通过;否则业务网络验证失败,注册过程提前结束。
若验证通过,业务将生成业务验证信息Sau。类似的,Sau包含归属域的标识NID)、时间戳Ts、现时值Rs,可能还有业务的证书等相关信息。此外还包含Nau中的现时值Rn,以及由业务私钥对上述这些信息的数字签名。
若之前业务与业务路由器之间未建立安全传输连接,则业务用私钥解密Es(IK,CK),基于IK和CK,业务与业务路由器之间将建立安全传输连接。
9.业务构造新的SIP Register消息,并将Sau插入到Register消息中的Authorization头中,然后将该SIP Register消息发送到业务路由器。
10.业务路由器在Authorization头中标注该注册消息受完整性保护,然后转发该SIP Register消息到业务注册中心。
11.业务注册中心从Authorization头中获得Sau,然后将其发送到验证中心请求其对该业务进行验证。
12.验证中心计算Sau中去掉数字签名部分的摘要值,同时使用业务的公钥对数字签名进行解析得到被签名的摘要值。两个摘要值相同则对业务的验证通过,否则业务验证失败,注册过程提前结束。
13.验证中心向注册中心返回包含Sau的现时值Rs的业务验证确认信息。
14.业务注册中心继续后继的注册过程。
15.业务注册完成,业务注册中心将确认信息Rs插入到2000K响应中发送给业务路由器。
16.业务路由器转发该2000K响应到业务。
参照图8,图8是本发明中验证中心内部验证的消息交互流程:
1.业务发送业务注册请求SIP Register到业务注册中心。
2.业务注册中心请求验证中心生成网络验证信息Nau,若注册消息没有提供完整性保护,则还需要验证中心为业务与业务路由器分配共享密钥。验证中心中由接口模块接收该请求。
3.接口模块请求验证处理模块生成Nau。
4.验证处理模块向私钥存储模块请求私钥PK。
5.私钥存储模块向验证处理模块发送该私钥PK,若不需分配共享密钥,则转步骤8。
6.验证处理模块请求密钥分配模块为业务与业务路由器分配共享密钥IK和CK。
7.密钥分配模块向验证处理模块发送分配的共享密钥IK和CK。
8.验证处理模块构造业务网络验证信息Nau。
9.验证处理模块发送Nau或者还包括共享密钥IK和CK到接口模块。
10.接口模块发送Nau或者还包括共享密钥IK和CK到业务注册中心。
11.业务注册中心将Nau或者还包括共享密钥IK和CK插入到401Unauthorized响应中的WWW-Authenticate头域中,然后将该401 Unauthorized响应消息发送到业务。
12.业务首先验证业务网络身份,若分配了共享密钥,则还需在业务与业务路由器之间建立安全传输连接。然后业务构造新的SIP Register消息,并将业务验证信息Sau插入到SIP Register消息中的Authorization头域中。然后将该SIP Register消息发送到业务注册中心。
13.业务注册中心从Authorization头域中获得Sau消息,然后将Sau发送到接口模块请求验证中心进行业务的验证。
14.接口模块发送业务验证信息Sau到验证处理模块。
15.验证处理模块向业务证书数据库请求该业务的证书。
16.业务证书数据库发送业务的证书SC到验证处理模块。
17.验证处理模块请求证书请求与确认模块确认SC的有效性。
18.证书请求与确认模块查询证书中心以确认证书SC的有效性。若业务证书数据库中无该业务的证书,则由证书请求与确认模块从证书中心下载该业务的证书SC。
19.证书请求与确认模块确认SC有效并将结果通知验证处理模块。
20.验证处理模块使用证书SC中的公钥解析业务验证信息Sau对业务进行验证。
21.接口模块通知业务注册中心业务验证通过。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (23)
1.一种保障业务网络安全的系统,其特征在于,所述系统包括:
业务路由器,提供业务之间交互过程中的信息转发及代理;
业务注册中心,通过业务网络与业务路由器相连,用于对通过业务路由器接入的业务进行动态注册;
证书中心,通过业务网络与业务路由器相连,用于为所述业务和网络实体签发数字证书;
验证中心,通过业务网络与业务注册中心、证书中心及业务路由器相连,用于在业务注册过程中根据业务注册中心的指令,向证书中心查询或从本地获得所述业务的数字证书并确认其有效性,同时根据所述数字证书中的信息对该业务进行身份验证,并为业务提供业务网络验证信息。
2.根据权利要求1所述的系统,其特征在于,业务与业务路由器之间建立有安全关联的传输。
3.根据权利要求1所述的系统,其特征在于,所述验证中心包括:
接口模块,用于处理验证过程中对外的信息交互;
业务证书数据库,用于保存业务的数字证书;
验证处理模块,用于根据接口模块收到的业务注册中心的请求消息生成业务网络验证信息Nau,并在接口模块获得业务验证信息Sau后,从业务证书数据库获取该业务的数字证书,并对证书有效的业务进行验证,包括:计算所述业务验证信息Sau中去掉数字签名部分的摘要值,同时使用所述数字证书中该业务的公钥对所述业务验证信息中的数字签名进行解析得到被签名的摘要值,并根据得到的两个摘要值是否相同确定对业务的验证是否通过;
私钥存储模块,用于存储并向验证处理模块提供生成业务网络验证信息Nau所需的业务网络证书公钥相对应的私钥;
证书请求与确认模块,用于根据验证处理模块的请求查询证书中心以确认所述业务数字证书的有效性,或者在验证处理模块未在业务证书数据库中获取到所述业务的数字证书时,根据验证处理模块的请求向证书中心请求业务的数字证书。
4.根据权利要求3所述的系统,其特征在于,所述验证中心还包括:
密钥分配模块,用于根据验证处理模块的请求为接入业务网络的业务与其连接的业务路由器分配建立安全传输连接的共享密钥。
5.根据权利要求1所述的系统,其特征在于,证书中心包括:
证书信息存储模块,用于存储业务和网络实体对应的数字证书和证书撤销列表;
注册模块,用于对申请证书的业务和网络实体进行身份审核;
证书权威模块,用于根据注册模块的审核结果对业务和网络实体签发、作废证书,并将所述业务和网络实体对应的数字证书和证书撤销列表存储到所述证书信息存储模块中。
6.一种验证装置,用于对接入业务网络的业务进行身份验证,并为该业务提供业务网络验证信息,其特征在于,所述装置包括:
接口模块,用于处理验证过程中对外的信息交互;
业务证书数据库,用于保存业务的数字证书;
验证处理模块,用于根据接口模块收到的对所述业务验证的请求消息生成业务网络验证信息Nau,并在接口模块获得业务验证信息Sau后,从业务证书数据库获取该业务的数字证书,并对证书有效的业务进行验证,包括:计算所述业务验证信息Sau中去掉数字签名部分的摘要值,同时使用所述数字证书中该业务的公钥对所述业务验证信息中的数字签名进行解析得到被签名的摘要值,并根据得到的两个摘要值是否相同确定对业务的验证是否通过;
私钥存储模块,用于存储并向验证处理模块提供生成业务网络验证信息Nau所需的业务网络证书公钥相对应的私钥;
证书请求与确认模块,用于根据验证处理模块的请求查询证书中心以确认所述业务数字证书的有效性,或者在验证处理模块未在业务证书数据库中获取到所述业务的数字证书时,根据验证处理模块的请求向证书中心请求业务的数字证书。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
密钥分配模块,用于根据验证处理模块的请求为接入业务网络的业务与其连接的业务路由器分配建立安全传输连接的共享密钥。
8.一种保障业务网络安全的方法,其特征在于,所述方法包括:
A、当业务接入业务网络时,向业务网络进行注册;
B、在业务注册过程中,业务网络和业务进行相互验证。
9.根据权利要求8所述的方法,其特征在于,所述步骤A包括:
业务发送会话起始协议SIP注册请求消息到其连接的业务路由器,并在消息头域中携带业务标识SID及归属域标识NID;
业务路由器将所述SIP注册请求消息转发给网络侧。
10.根据权利要求9所述的方法,其特征在于,所述步骤A进一步包括:
如果在注册前所述业务与所述业务路由器已建立好了安全传输连接,则业务路由器在转发给网络侧的SIP注册请求消息头域中标注该注册受完整性保护信息。
11.根据权利要求9或10所述的方法,其特征在于,所述步骤B包括:
B1、业务网络收到业务的SIP注册请求消息后生成业务网络验证信息,并将其发送给业务;
B2、业务根据所述业务网络验证信息对业务网络进行验证;
B3、验证通过后,业务生成业务验证信息,并将其发送给业务网络;
B4、业务网络根据所述业务验证信息对业务进行验证;
B5、验证通过后,业务网络向业务发送确认消息。
12.根据权利要求11所述的方法,其特征在于,
业务网络将所述业务网络验证信息插入到SIP注册响应消息中发送给业务,并在该SIP注册响应消息中指示业务提供业务验证信息。
13.根据权利要求12所述的方法,其特征在于,
所述业务网络将所述业务网络验证信息插入到SIP注册响应消息的WWW-Authenticate头域中。
14.根据权利要求11所述的方法,其特征在于,
所述业务网络验证信息包括:业务标识、时间戳、现时值、由业务网络私钥加密摘要计算值形成的数字签名;
所述业务验证信息包括:归属域标识、时间戳、现时值、由业务私钥加密摘要计算值形成的数字签名。
15.根据权利要求14所述的方法,其特征在于,所述步骤B2包括:
业务计算所述业务网络验证信息中去掉数字签名部分的摘要值,同时使用业务网络的公钥对所述业务网络验证信息中的数字签名进行解析得到被签名的摘要值;
如果得到的两个摘要值相同,则对业务网络的验证通过;
如果得到的两个摘要值不同,则对业务网络的验证失败。
16.根据权利要求14所述的方法,其特征在于,所述步骤B4包括:
业务网络计算所述业务验证信息中去掉数字签名部分的摘要值,同时使用业务的公钥对所述业务验证信息中的数字签名进行解析得到被签名的摘要值;
如果得到的两个摘要值相同,则对业务的验证通过;
如果得到的两个摘要值不同,则对业务的验证失败。
17.根据权利要求11所述的方法,其特征在于,所述步骤B3包括:
业务通过构建新的SIP注册请求消息,在消息中携带所述业务验证信息,并将该消息发送给所述业务路由器;
所述业务路由器在所述SIP注册请求消息的头域中标注该注册消息受完整性保护信息,并将该消息发送给业务网络。
18.根据权利要求17所述的方法,其特征在于,
在所述新的SIP注册请求消息的Authorization头域中携带所述业务验证信息。
19.根据权利要求11所述的方法,其特征在于,所述步骤B1进一步包括:
如果所述SIP注册请求消息中没有完整性保护信息,则业务网络为业务与所述业务路由器分配共享密钥,并将其发送给业务与所述业务路由器。
20.根据权利要求19所述的方法,其特征在于,所述方法进一步包括:
发送给业务的共享密钥由业务的公钥加密,并包含在业务网络验证信息中。
21.根据权利要求19所述的方法,其特征在于,
业务网络将未加密的共享密钥插入到SIP注册响应消息的头域中发送给所述业务路由器,所述业务路由器保存接收到的该共享密钥,然后从SIP注册响应消息的头域中将该共享密钥删除。
22.根据权利要求21所述的方法,其特征在于,
所述共享密钥被插入到SIP注册响应消息的WWW-Authenticate头域中。
23.根据权利要求19所述的方法,其特征在于,所述步骤B3进一步包括:
如果业务与业务路由器之间还未建立安全传输连接,则业务基于所述共享密钥与业务路由器建立安全传输连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610127230 CN101145908A (zh) | 2006-09-14 | 2006-09-14 | 保障业务网络安全的系统、装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610127230 CN101145908A (zh) | 2006-09-14 | 2006-09-14 | 保障业务网络安全的系统、装置及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101145908A true CN101145908A (zh) | 2008-03-19 |
Family
ID=39208225
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200610127230 Pending CN101145908A (zh) | 2006-09-14 | 2006-09-14 | 保障业务网络安全的系统、装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101145908A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102056155A (zh) * | 2009-10-28 | 2011-05-11 | 中兴通讯股份有限公司 | 移动回程网络 |
| CN102271040A (zh) * | 2011-07-26 | 2011-12-07 | 北京华大信安科技有限公司 | 身份验证系统和方法 |
| CN102647394A (zh) * | 2011-02-16 | 2012-08-22 | 中兴通讯股份有限公司 | 路由设备身份认证方法及装置 |
| CN103618709A (zh) * | 2013-11-25 | 2014-03-05 | 深圳联友科技有限公司 | 一种sip电话系统的注册方法及sip电话系统 |
| CN103684770A (zh) * | 2012-09-10 | 2014-03-26 | 国网信息通信有限公司 | 一种基于数字证书认证的业务系统代理访问方法和装置 |
| CN103916358A (zh) * | 2012-12-30 | 2014-07-09 | 航天信息股份有限公司 | 一种密钥扩散及校验方法和系统 |
| WO2015180689A1 (zh) * | 2014-05-30 | 2015-12-03 | 北京奇虎科技有限公司 | 验证信息的获取方法及装置 |
| CN105556895A (zh) * | 2013-09-23 | 2016-05-04 | 高通股份有限公司 | 用于向远程站配置来自本地根证书颁发机构的证书以用于使无线网络安全的方法 |
| CN106850231A (zh) * | 2017-02-22 | 2017-06-13 | 济南浪潮高新科技投资发展有限公司 | 一种保护接口安全的方法、服务端及系统、一种客户端 |
| CN106953880A (zh) * | 2017-05-17 | 2017-07-14 | 北京汇通金财信息科技有限公司 | 一种数据处理方法及系统、子服务器和主服务器 |
| WO2019140789A1 (zh) * | 2018-01-16 | 2019-07-25 | Oppo广东移动通信有限公司 | 一种数据验证方法、网络设备、ue及计算机存储介质 |
| CN110191026A (zh) * | 2019-06-18 | 2019-08-30 | 广东电网有限责任公司 | 一种分布式业务链路监控方法及装置 |
| CN110650016A (zh) * | 2019-09-02 | 2020-01-03 | 南京南瑞继保电气有限公司 | 一种实现交直流控制保护系统网络数据安全的方法 |
| CN112385179A (zh) * | 2018-06-26 | 2021-02-19 | Bbva下一代技术有限责任公司 | 用于监视数字证书的方法 |
| WO2024139856A1 (zh) * | 2022-12-30 | 2024-07-04 | 华为技术有限公司 | 网络数据的处理方法和处理装置 |
-
2006
- 2006-09-14 CN CN 200610127230 patent/CN101145908A/zh active Pending
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102056155B (zh) * | 2009-10-28 | 2014-07-02 | 中兴通讯股份有限公司 | 移动回程网络 |
| CN102056155A (zh) * | 2009-10-28 | 2011-05-11 | 中兴通讯股份有限公司 | 移动回程网络 |
| CN102647394B (zh) * | 2011-02-16 | 2017-09-15 | 中兴通讯股份有限公司 | 路由设备身份认证方法及装置 |
| CN102647394A (zh) * | 2011-02-16 | 2012-08-22 | 中兴通讯股份有限公司 | 路由设备身份认证方法及装置 |
| CN102271040A (zh) * | 2011-07-26 | 2011-12-07 | 北京华大信安科技有限公司 | 身份验证系统和方法 |
| CN102271040B (zh) * | 2011-07-26 | 2013-10-30 | 北京华大信安科技有限公司 | 身份验证系统和方法 |
| CN103684770A (zh) * | 2012-09-10 | 2014-03-26 | 国网信息通信有限公司 | 一种基于数字证书认证的业务系统代理访问方法和装置 |
| CN103916358A (zh) * | 2012-12-30 | 2014-07-09 | 航天信息股份有限公司 | 一种密钥扩散及校验方法和系统 |
| CN105556895A (zh) * | 2013-09-23 | 2016-05-04 | 高通股份有限公司 | 用于向远程站配置来自本地根证书颁发机构的证书以用于使无线网络安全的方法 |
| CN103618709A (zh) * | 2013-11-25 | 2014-03-05 | 深圳联友科技有限公司 | 一种sip电话系统的注册方法及sip电话系统 |
| CN103618709B (zh) * | 2013-11-25 | 2019-01-08 | 深圳联友科技有限公司 | 一种sip电话系统的注册方法 |
| WO2015180689A1 (zh) * | 2014-05-30 | 2015-12-03 | 北京奇虎科技有限公司 | 验证信息的获取方法及装置 |
| CN106850231A (zh) * | 2017-02-22 | 2017-06-13 | 济南浪潮高新科技投资发展有限公司 | 一种保护接口安全的方法、服务端及系统、一种客户端 |
| CN106953880A (zh) * | 2017-05-17 | 2017-07-14 | 北京汇通金财信息科技有限公司 | 一种数据处理方法及系统、子服务器和主服务器 |
| CN106953880B (zh) * | 2017-05-17 | 2020-05-01 | 北京汇通金财信息科技有限公司 | 一种数据处理方法及系统、子服务器和主服务器 |
| WO2019140789A1 (zh) * | 2018-01-16 | 2019-07-25 | Oppo广东移动通信有限公司 | 一种数据验证方法、网络设备、ue及计算机存储介质 |
| CN110710183A (zh) * | 2018-01-16 | 2020-01-17 | Oppo广东移动通信有限公司 | 一种数据验证方法、网络设备、ue及计算机存储介质 |
| CN110710183B (zh) * | 2018-01-16 | 2021-05-04 | Oppo广东移动通信有限公司 | 一种数据验证方法、网络设备、ue及计算机存储介质 |
| CN112385179A (zh) * | 2018-06-26 | 2021-02-19 | Bbva下一代技术有限责任公司 | 用于监视数字证书的方法 |
| CN110191026A (zh) * | 2019-06-18 | 2019-08-30 | 广东电网有限责任公司 | 一种分布式业务链路监控方法及装置 |
| CN110650016A (zh) * | 2019-09-02 | 2020-01-03 | 南京南瑞继保电气有限公司 | 一种实现交直流控制保护系统网络数据安全的方法 |
| CN110650016B (zh) * | 2019-09-02 | 2022-09-23 | 南京南瑞继保电气有限公司 | 一种实现交直流控制保护系统网络数据安全的方法 |
| WO2024139856A1 (zh) * | 2022-12-30 | 2024-07-04 | 华为技术有限公司 | 网络数据的处理方法和处理装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101145908A (zh) | 保障业务网络安全的系统、装置及方法 | |
| JP4101839B2 (ja) | セッション制御サーバ及び通信システム | |
| CN113923044B (zh) | 一种基于可信执行环境的跨链系统及方法 | |
| JP5106682B2 (ja) | マシン・ツー・マシン通信のための方法及び装置 | |
| US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| US20140129836A1 (en) | Information distribution system and program for the same | |
| US20090006844A1 (en) | Verifying cryptographic identity during media session initialization | |
| GB2433008A (en) | Establishing a secure communications channel wherein setup messages include information about the level of security on each link they traverse | |
| JP2010526507A (ja) | セキュア通信方法およびシステム | |
| JP4130809B2 (ja) | 端末間の暗号化通信チャネルを構築する方法及びそのための装置並びにプログラム | |
| WO2005112338A1 (fr) | Procede de distribution de cles | |
| CN112565294B (zh) | 一种基于区块链电子签名的身份认证方法 | |
| JP4870427B2 (ja) | デジタル証明書交換方法、端末装置、及びプログラム | |
| WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| JP4332071B2 (ja) | クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム | |
| CN116886288A (zh) | 一种量子会话密钥分发方法及装置 | |
| JP6449131B2 (ja) | 通信装置、通信方法、およびコンピュータプログラム | |
| CN100544247C (zh) | 安全能力协商方法 | |
| CN101273571B (zh) | 跨域多网守分组网络密钥协商安全策略的实现方法 | |
| CN109995723B (zh) | 一种域名解析系统dns信息交互的方法、装置及系统 | |
| CN101094063B (zh) | 一种游牧终端接入软交换网络系统的安全交互方法 | |
| CN111225001A (zh) | 区块链去中心化通讯方法、电子设备及系统 | |
| JP3914193B2 (ja) | 認証を得て暗号通信を行う方法、認証システムおよび方法 | |
| JP2007074745A (ja) | 認証を得て暗号通信を行う方法、認証システムおよび方法 | |
| JP4675982B2 (ja) | セッション制御サーバ、通信装置、通信システムおよび通信方法、ならびにそのプログラムと記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080319 |