CN101267303A - 服务节点间的通信方法 - Google Patents
服务节点间的通信方法 Download PDFInfo
- Publication number
- CN101267303A CN101267303A CNA200710086744XA CN200710086744A CN101267303A CN 101267303 A CN101267303 A CN 101267303A CN A200710086744X A CNA200710086744X A CN A200710086744XA CN 200710086744 A CN200710086744 A CN 200710086744A CN 101267303 A CN101267303 A CN 101267303A
- Authority
- CN
- China
- Prior art keywords
- service node
- response message
- response
- key
- sends
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种服务节点间的通信方法,包括以下步骤:S202,为通信系统中的服务节点分配密钥,服务节点至少包括第一服务节点和第二服务节点;S204,当终端位置更新后,基于密钥进行第一服务节点和/或第二服务节点的认证;以及S206,在认证通过后,在第一服务节点和第二服务节点之间发送数据。通过本发明的技术方案,实现了以下有益效果:(1)实现了网络侧服务节点之间的认证,避免了服务节点的假冒;(2)不需要在运营商的网络中部署IPsec等复杂的安全措施,降低了运营商的运行维护成本,提高了系统的整体性能。
Description
技术领域
本发明设计通信领域,并且更特别地,涉及通信系统中服务节点间的通信方法。
背景技术
通信系统作为一个基础设施,直接关系到国家安全和社会稳定,因此正受到各国政府的重视。目前,通信系统正在向全IP(互联网协议)方向演化,并且整个系统变得越来越复杂,因此通信系统面临着多种安全威胁,如窃听、假冒身份、拒绝服务攻击、病毒等。在这种情况下,网络运营商和用户需要采取安全措施来保护通信系统。
通信系统网络侧的设备一般由运营商来控制,这些设备通常被认为是安全的。但是,随着分组技术的引入,网络侧通信实体也存在被攻击的可能性,这样就会对整个通信系统的安全构成威胁。
服务节点是含有用户临时信息并为用户提供服务的节点,其主要用于记录终端的位置信息,以及在服务节点间交换数据。例如,在第三代移动通信系统中,SGSN(服务GPRS支持节点)是当前正在为MS(移动台)提供业务的节点,可以通过在SGSN之间交换信息来记录移动台的当前位置信息,并且在MS和GGSN(GPRS网关支持节点)之间完成移动分组数据的发送和接收。
由于需要在服务节点之间交换信息,因此当服务节点被假冒时,服务节点可能会受到各种安全攻击,例如拒绝服务攻击、窃听、修改用户数据等。
而SGSN与GGSN都有IP路由功能,并能与IP路由器相连。由于IP网络固有的不安全性,SGSN可能被假冒,这样就会对通信系统的安全构成威胁。
在3GPP(第三代无线通信项目伙伴组织)中,存在几个假设前提:(1)HLR(归属位置寄存器)/AuC(鉴权中心)相信VLR(拜访位置寄存器)/SGSN可以安全地处理认证信息;(2)VLR/SGSN与HLR/AuC之间的内部链路足够安全;(3)用户信任HLR/AuC。
然而,随着IP网络的引入,上述假设不一定成立,特别是分组域的服务节点(如SGSN)很有可能被假冒。对于分组域来说,在运营商的网络中部署IPsec(IP安全)可以提供机密性保护、完整性保护、消息的源认证保护、和防重放保护,但是引入IPsec会影响整个网络的性能并且部署比较复杂。
在3GPP标准中队服务节点间的信息交互过程进行了定义,图1中以分组域为例描述了相关技术中的旧服务节点与新服务节点之间的数据交互过程。
如图1所示,该过程包括以下处理:步骤1,当新服务节点(SGSNn)接收到来自用户的路由更新消息后,向旧服务节点(SGSNo)发送用户身份请求消息,该消息包含P_TMSTIo(分组临时移动用户识别码)和RATo(路由区域标识符);步骤2,正常情况下,旧服务节点SGSNo向新服务节点SGSNn发送用户身份响应消息,该消息包含IMSI(国际移动用户识别码)、未用的认证矢量的编号Qi(五元组信息)、以及当前安全上下文数据CK‖IK‖KSI(CK:加密密钥,IK:完整性密钥,KSI:密钥集标识符)。
如上所述,随着IP技术的引入,服务节点被假冒的可能性大大增加,而上述处理并没有考虑服务节点的假冒问题,虽然在运营商的网络中部署IPsec可以提供安全措施,但正如在上文中提到的,引入IPsec会影响整个网络的性能并且部署比较复杂。
因此,目前还不能够在不影响网络性能的情况下轻松地实现服务节点间的安全通信。
发明内容
考虑到上述问题而做出本发明。为此,本发明提供了一种服务节点间的通信方法,其通过认证处理实现了服务节点间的安全通信。
根据本发明的实施例,提供了一种服务节点间的通信方法,该方法包括以下步骤:S202,为通信系统中的服务节点分配密钥,服务节点至少包括第一服务节点和第二服务节点;S204,当终端位置更新后,基于密钥进行第一服务节点和/或第二服务节点的认证;以及S206,在认证通过后,在第一服务节点和第二服务节点之间发送数据。
其中,在步骤S204中,第二服务节点可以对第一服务节点进行认证。
具体地,步骤S204进一步包括以下步骤:S2042,第一服务节点向第二服务节点发送用户身份请求消息;S2044,第二服务节点向第一服务节点发送挑战值,并基于密钥对第一服务节点进行认证;以及S2046,第二服务节点向第一服务节点返回用户身份响应消息。
其中,在密钥为非对称密钥的情况下,在步骤S2044中,在第二服务节点发送挑战值之后,进行以下处理:第一服务节点向第二服务节点返回响应报文,其中,响应报文中携带有:第一服务节点的证书、第二服务节点的标识、以及第一服务节点的签名;第二服务节点在接收到响应报文后,使用第一服务节点的证书中的公钥对第一服务节点的签名进行解密,并根据第一服务节点的公钥、第二服务节点的标识、以及第一服务节点的签名中的响应值来确认第一服务节点的身份,从而完成对第一服务节点的认证。
另一方面,在密钥为对称密钥的情况下,在步骤S2044中,在第二服务节点发送挑战值之后,进行以下处理:第一服务节点向第二服务节点返回响应报文,其中,响应报文中携带有加密的响应值;以及第二服务节点在接收到响应报文后,使用对称密钥对响应报文进行解密,当解密得到的响应值与步骤S2044中发送的挑战值一致时,第二服务节点完成对第一服务节点的认证。
此外,在步骤S204中,第一服务节点可以对第二服务节点进行认证。
具体地,步骤S204进一步包括以下步骤:S2042’,第一服务节点向第二服务节点发送挑战值,并基于密钥对第二服务节点进行认证;S2044’,第一服务节点向第二服务节点发送用户身份请求消息;以及S2046’,第二服务节点向第一服务节点返回用户身份响应消息。
其中,在密钥为非对称密钥的情况下,在步骤S2042’中,在第一服务节点发送挑战值之后,进行以下处理:第二服务节点向第一服务节点返回响应报文,其中,响应报文中携带有:第二服务节点的证书、第一服务节点的标识、以及第二服务节点的签名;以及第一服务节点在接收到响应报文后,使用第二服务节点的证书中的公钥对第二服务节点的签名进行解密,并根据第二服务节点的公钥、第一服务节点的标识、以及第二服务节点的签名中的响应值来确认第二服务节点的身份,从而完成对第二服务节点的认证。
另一方面,在密钥为对称密钥的情况下,在步骤S2042’中,在第一服务节点发送挑战值之后,进行以下处理:第二服务节点向第一服务节点返回响应报文,其中,响应报文中携带有加密的响应值;以及第一服务节点在接收到响应报文后,使用对称密钥对响应报文进行解密,当解密得到的响应值与步骤S2042’中发送的挑战值一致时,第一服务节点完成对第二服务节点的认证。
另外,在步骤S204中,第一服务节点和第二服务节点可以相互进行认证。
具体地,步骤S204进一步包括:S2042”,第二服务节点向第一服务节点发送第一挑战值,并且第一服务节点和第二服务节点基于密钥相互进行认证;S2044”,第一服务节点向第二服务节点发送用户身份请求消息;以及S2046”,第二服务节点向第一服务节点返回用户身份响应消息。
其中,在密钥为非对称密钥的情况下,在步骤S2042”中,在第二服务节点发送第一挑战值之后,进行以下处理:第一服务节点向第二服务节点返回第一响应报文,其中,第一响应报文中携带有:第一服务节点的证书、第二挑战值、第二服务节点的标识、以及第一服务节点的签名;第二服务节点在接收到第一响应报文后,使用第一服务节点的证书中的公钥对第一服务节点的签名进行解密,并根据第一服务节点的公钥、第二服务节点的标识、第一服务节点的签名中的第一响应值来确认第一服务节点的身份,从而完成对第一服务节点的认证;第二服务节点向第一服务节点返回第二响应报文,其中,第二响应报文中携带有:第二服务节点的证书、第一服务节点的标识、以及第二服务节点的签名;以及第一服务节点在接收到第二响应报文后,使用第二服务节点的证书中的公钥对第二服务节点的签名进行解密,根据第二服务节点的公钥、第一服务节点的标识、以及第二服务节点的签名中的第二响应值来确认第二服务节点的身份,从而完成对第二服务节点的认证。
另一方面,在密钥为对称密钥的情况下,在步骤S2042”中,在第二服务节点发送第一挑战值之后,进行以下处理:第一服务节点向第二服务节点返回第一响应报文,其中,第一响应报文中携带有加密的第二挑战值和第一响应值;第二服务节点在接收到第一响应报文后,使用对称密钥对响应报文进行解密,当解密得到的第一响应值与步骤S2042”中发送的第一挑战值一致时,第二服务节点完成对第一服务节点的认证;第二服务节点向第一服务节点返回第二响应报文,其中,第二响应报文中携带有加密第二响应值;以及第一服务节点在接收到第二响应报文后,使用对称密钥对响应报文进行解密,当解密得到的第二响应值与本地保存的第二挑战值一致时,第一服务节点完成对第二服务节点的认证。
需要说明的是,上述的第一服务节点为终端位置更新后的新服务节点,第二服务节点为终端位置更新前的旧服务节点。
另外,挑战值为时变参数;第一挑战值为服务节点第一次发出的挑战值,第一响应值为对应于第一挑战值的响应值;第二挑战值为服务节点第二次发出的挑战值,第二响应值为对应于第二挑战值的响应值。
通过以上技术方案,本发明实现了以下有益效果:(1)实现了网络侧服务节点之间的认证,避免了服务节点的假冒;(2)不需要在运营商的网络中部署IPsec等复杂的安全措施,降低了运营商的运行维护成本,提高了系统的整体性能。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据相关技术的服务节点之间的数据交互过程的信令示意图;
图2是根据本发明实施例的服务节点间的通信方法的流程图;
图3是根据本发明实例1的旧服务节点对新服务节点进行认证的流程图;
图4是根据本发明实例1的旧服务节点对新服务节点进行认证过程的示意图;
图5是根据本发明实例2的新服务节点对旧服务节点进行认证的流程图;
图6是根据本发明实例2的新服务节点对旧服务节点进行认证过程的示意图;
图7是根据本发明实例3的新服务节点与旧服务节点相互进行认证的流程图;以及
图8是根据本发明实例3的新服务节点与旧服务节点相互进行认证过程的示意图。
具体实施方式
以下将参照附图来详细描述本发明的实施例,提供以下实施例以提供对本发明的全面和透彻理解,而不是对本发明进行任何限制。
在本发明实施例中,提供了一种服务节点间的通信方法,其通过服务节点间的认证避免了服务节点的假冒,从而实现了安全通信。
如图2所示,该方法包括以下步骤:S202,为通信系统中的服务节点分配密钥,其中,服务节点至少包括第一服务节点和第二服务节点;S204,当终端位置更新后,基于密钥进行第一服务节点和/或第二服务节点的认证;以及S206,在认证通过后,在第一服务节点和第二服务节点之间发送数据。
为了便于描述,在下文中,第一服务节点为终端位置更新后的新服务节点,第二服务节点为终端位置更新前的旧服务节点。
其中,上述的密钥可以是非对称密钥和对称密钥中的任一种,另外,在步骤S202中,为终端更新前后的旧服务节点和新服务节点分配相同类型的密钥。
另外,在步骤S204中,新服务节点和旧服务节点的认证具体包括三种情形:(1)旧服务节点对新服务节点的认证;(2)新服务节点对旧服务节点的认证;(3)新服务节点和旧服务节点间的相互认证;而根据密钥的不同,可以分为基于非对称密钥的认证和基于对称密钥的认证。
以下将通过实例来具体描述上述各种情形。
实例1
在该实例中,在步骤S204中,旧服务节点SGSNo对新服务节点SGSNn的认证。
具体地,如图3所示,步骤S204进一步包括以下步骤:
S2042,新服务节点(SGSNn)向旧服务节点(SGSNo)发送用户身份请求消息P_TMSIo‖RAIo(图4中的S400);
S2044,旧服务节点SGSNo向新服务节点SGSNn发送挑战随机数(RANDo),即,SGSNo->SGSNn:RANDo,并基于密钥对新服务节点SGSNn进行认证(图4中的S410);以及
S2046,旧服务节点SGSNo向新服务节点SGSNn返回用户身份响应消息IMSI‖Qi‖(CK‖IK‖KSI)(图4中的S420)。
(1)基于非对称密钥的认证
在步骤S2044中,在旧服务节点SGSNo发送挑战随机数RANDo之后,进行以下处理:新服务节点SGSNn向旧服务节点SGSNo返回响应报文,其中,响应报文中携带有:新服务节点的证书(CERTn)、旧服务节点的标识(SGSNo)、以及新服务节点的签名;旧服务节点在接收到响应报文后,使用新服务节点的证书中的公钥对新服务节点的签名进行解密,并根据新服务节点的公钥、旧服务节点的标识(SGSNo)、以及响应随机数(RANDo)来确认新服务节点的身份,从而完成对新服务节点的认证。
上述处理可以表示为:SGSNn->SGSNo:CERTn‖SGSNo‖Sn(RANDo,SGSNo)。
(2)基于对称密钥的认证
在步骤S2044中,在旧服务节点SGSNo发送挑战随机数RANDo之后,进行以下处理:新服务节点向旧服务节点返回响应报文,其中,响应报文中携带有加密的响应随机数,以及加密的可选参数SGSNo*;以及当旧服务节点接收到该响应报文后,使用对称密钥Ek对响应报文进行解密,当解密得到的响应随机数与步骤S2044中发送的挑战随机数一致时,旧服务节点完成对新服务节点的认证。
上述处理可以表示为:SGSNn->SGSNo:Ek(RANDo,SGSNo*)。
在该过程中,只有在旧服务节点完成对新服务节点的认证后,旧服务节点才向新服务节点发送数据。
实例2
在该实例中,在步骤S204中,新服务节点SGSNn对旧服务节点SGSNo的认证。
具体地,如图5所示,步骤S204进一步包括以下步骤:
S2042’,新服务节点SGSNn向旧服务节点SGSNo发送挑战随机数RANDn,即,SGSNn->SGSNo:RANDn,并基于密钥对旧服务节点SGSNo进行认证(图6中的S600);
S2044’,新服务节点SGSNn向旧服务节点SGSNo发送用户身份请求消息P_TMSIo‖RAIo(图6中的S610);以及
S2046’,旧服务节点SGSNo向新服务节点SGSNn返回用户身份响应消息IMSI‖Qi‖(CK‖IK‖KSI)(图6中的S620)。
(1)基于非对称密钥的认证
在步骤S2042’中,在新服务节点SGSNn发送挑战随机数RANDn之后,进行以下处理:旧服务节点SGSNo向新服务节点SGSNn返回响应报文,其中,响应报文中携带有:旧服务节点的证书(CERTo)、新服务节点的标识(SGSNn)、以及旧服务节点的签名;以及新服务节点在接收到响应报文后,使用旧服务节点的证书中的公钥对旧服务节点的签名进行解密,并根据旧服务节点的公钥、新服务节点的标识(SGSNn)、以及响应随机数(RANDn)来确认旧服务节点的身份,从而完成对旧服务节点的认证。
上述处理可以表示为:SGSNo->SGSNn:CERTo‖SGSNn‖So(RANDn,SGSNn)。
(2)基于对称密钥的认证
在步骤S2042’中,在新服务节点SGSNn发送挑战随机数RANDn之后,进行以下处理:旧服务节点向新服务节点返回响应报文,其中,响应报文中携带有加密的响应随机数,以及加密的可选参数SGSNn*;以及当新服务节点接收到该响应报文后,使用对称密钥Ek对响应报文进行解密,当解密得到的响应随机数与步骤S2042’中发送的挑战随机数一致时,旧服务节点完成对新服务节点的认证。
上述处理可以表示为:SGSNo->SGSNn:Ek(RANDn,SGSNn*)。
在该过程中,只有在新服务节点完成对旧服务节点的认证后,新服务节点才向旧服务节点发送数据。
实例3
在该实例中,在步骤S204中,新服务节点SGSNn与旧服务节点SGSNo相互进行认证,是一个双向认证过程,该认证过程采用随机数作为挑战值可以防止重放攻击。
首先,本实例中涉及以下术语:
第一挑战随机数:服务节点第一次发出的挑战随机数;第一响应随机数:对应于第一挑战随机数的响应随机数;
第二挑战随机数:服务节点第二次发出的挑战随机数;第二响应随机数:对应于第二挑战随机数的响应随机数。
具体地,如图7所示,步骤S204进一步包括以下步骤:
S2042”,旧服务节点SGSNo向新服务节点SGSNn发送第一挑战随机数RANDo,即,SGSNo->SGSNn:RANDo,并且新服务节点和旧服务节点基于密钥相互进行认证;
S2044”,新服务节点向旧服务节点发送用户身份请求消息P_TMSIo‖RAIo;以及
S2046”,旧服务节点向新服务节点返回用户身份响应消息IMSI‖Qi‖(CK‖IK‖KSI)。
(1)基于非对称密钥的认证
在步骤S2042”中,在旧服务节点SGSNo发送第一挑战随机数RANDo之后,进行以下处理:新服务节点SGSNn向旧服务节点SGSNo返回第一响应报文,其中,第一响应报文中携带有:新服务节点的证书(CERTn)、第二挑战随机数(RANDn)、旧服务节点的标识(SGSNo)、以及新服务节点的签名;旧服务节点在接收到第一响应报文后,使用新服务节点的证书中的公钥对新服务节点的签名进行解密,并根据新服务节点的公钥、旧服务节点的标识(SGSNo)、第一响应随机数(RANDo)来确认新服务节点的身份,从而完成对新服务节点的认证;
由于随机数RANDn以明文方式传输,因此对RANDn进行签名可以防止选择明文攻击。
上述处理可以表示为:SGSNn->SGSNo:CERTn‖RANDn‖SGSNo‖Sn(RANDo,RANDn,SGSNo);
此外,在步骤S2042”中,在旧服务节点SGSNo发送挑战随机数RANDo之后,还进行以下处理:旧服务节点向新服务节点返回第二响应报文,其中,第二响应报文中携带有:旧服务节点的证书(CERTo)、新服务节点的标识(SGSNn)、以及旧服务节点的签名;以及新服务节点在接收到第二响应报文后,使用旧服务节点的证书中的公钥对旧服务节点的签名进行解密,根据旧服务节点的公钥、新服务节点的标识(SGSNn)、以及第二响应随机数(RANDn)来确认旧服务节点的身份,从而完成对旧服务节点的认证。
上述处理可以表示为:SGSNo->SGSNn:CERTo‖SGSNn‖So(RANDo,RANDn,SGSNn)。
(2)基于对称密钥的认证
在步骤S2042”中,在旧服务节点SGSNo发送第一挑战随机数RANDo之后,进行以下处理:新服务节点向旧服务节点返回第一响应报文,其中,第一响应报文中携带有加密的第二挑战随机数(RANDo)、第一响应随机数(RANDn)、以及可选参数SGSNo*;旧服务节点接收到该第一响应报文后,使用对称密钥Ek对响应报文进行解密,当解密得到的第一响应随机数与步骤S2042”中发送的第一挑战随机数一致时,旧服务节点完成对新服务节点的认证;
上述处理可以表示为:SGSNn->SGSNo:Ek(RANDn,RANDo,SGSNo*);
此外,在步骤S2042”中,在旧服务节点SGSNo发送第一挑战随机数RANDo之后,还进行以下处理:旧服务节点向新服务节点返回第二响应报文,其中,第二响应报文中携带有加密的随机数(RANDo)、第二响应随机数(RANDn);以及新服务节点在接收到第二响应报文后,使用对称密钥Ek对响应报文进行解密,当解密得到的第二响应随机数与本地保存的第二挑战随机数一致时,新服务节点完成对旧服务节点的认证。
上述处理可以表示为:SGSNo->SGSNn:Ek(RANDo,RANDn)。
在该过程中,只有新服务节点和旧服务节点完成相互认证后,二者才交换数据。
值得注意的是,上述的挑战随机数和响应随机数、以及第一和第二挑战随机数和响应随机数均是示例性的,本发明不限于此,也可以采用其他为时变参数的挑战值和响应值。
综上所述,借助于本发明的技术方案,通过使用非对称密钥或对称密钥进行服务节点的认证,防止了服务节点的假冒,从而实现了服务节点的安全通信。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (15)
1. 一种服务节点间的通信方法,其特征在于,包括以下步骤:
S202,为通信系统中的服务节点分配密钥,所述服务节点至少包括第一服务节点和第二服务节点;
S204,当终端位置更新后,基于所述密钥进行所述第一服务节点和/或所述第二服务节点的认证;以及
S206,在认证通过后,在所述第一服务节点和所述第二服务节点之间发送数据。
2. 根据权利要求1所述的服务节点间的通信方法,其特征在于,
在所述步骤S204中,所述第二服务节点对所述第一服务节点进行认证。
3. 根据权利要求2所述的服务节点间的通信方法,其特征在于,
所述步骤S204进一步包括以下步骤:
S2042,所述第一服务节点向所述第二服务节点发送用户身份请求消息;
S2044,所述第二服务节点向所述第一服务节点发送挑战值,并基于所述密钥对所述第一服务节点进行认证;以及
S2046,所述第二服务节点向所述第一服务节点返回用户身份响应消息。
4. 根据权利要求3所述的服务节点间的通信方法,其特征在于,
在所述密钥为非对称密钥的情况下,在所述步骤S2044中,
在所述第二服务节点发送所述挑战值之后,进行以下处理:
所述第一服务节点向所述第二服务节点返回响应报文,其中,所述响应报文中携带有:所述第一服务节点的证书、所述第二服务节点的标识、以及所述第一服务节点的签名;
所述第二服务节点在接收到所述响应报文后,使用所述第一服务节点的证书中的公钥对所述第一服务节点的签名进行解密,并根据所述第一服务节点的所述公钥、所述第二服务节点的标识、以及所述第一服务节点的签名中的响应值来确认所述第一服务节点的身份,从而完成对所述第一服务节点的认证。
5. 根据权利要求3所述的服务节点间的通信方法,其特征在于,
在所述密钥为对称密钥的情况下,在所述步骤S2044中,在
所述第二服务节点发送所述挑战值之后,进行以下处理:
所述第一服务节点向所述第二服务节点返回响应报文,其中,所述响应报文中携带有加密的响应值;以及
所述第二服务节点在接收到所述响应报文后,使用所述对称密钥对所述响应报文进行解密,当解密得到的所述响应值与所述步骤S2044中发送的所述挑战值一致时,所述第二服务节点完成对所述第一服务节点的认证。
6. 根据权利要求1所述的服务节点间的通信方法,其特征在于,
在所述步骤S204中,所述第一服务节点对所述第二服务节点进行认证。
7. 根据权利要求6所述的服务节点间的通信方法,其特征在于,
所述步骤S204进一步包括以下步骤:
S2042’,所述第一服务节点向所述第二服务节点发送挑战值,并基于所述密钥对所述第二服务节点进行认证;
S2044’,所述第一服务节点向所述第二服务节点发送用户身份请求消息;以及
S2046’,所述第二服务节点向所述第一服务节点返回用户身份响应消息。
8. 根据权利要求7所述的服务节点间的通信方法,其特征在于,
在所述密钥为非对称密钥的情况下,在所述步骤S2042’中,
在所述第一服务节点发送所述挑战值之后,进行以下处理:
所述第二服务节点向所述第一服务节点返回响应报文,其中,所述响应报文中携带有:所述第二服务节点的证书、所述第一服务节点的标识、以及所述第二服务节点的签名;以及
所述第一服务节点在接收到所述响应报文后,使用所述第二服务节点的证书中的公钥对所述第二服务节点的签名进行解密,并根据所述第二服务节点的所述公钥、所述第一服务节点的标识、以及所述第二服务节点的签名中的响应值来确认所述第二服务节点的身份,从而完成对所述第二服务节点的认证。
9. 根据权利要求7所述的服务节点间的通信方法,其特征在于,
在所述密钥为对称密钥的情况下,在所述步骤S2042’中,在
所述第一服务节点发送所述挑战值之后,进行以下处理:
所述第二服务节点向所述第一服务节点返回响应报文,其中,所述响应报文中携带有加密的响应值;以及
所述第一服务节点在接收到所述响应报文后,使用所述对称密钥对所述响应报文进行解密,当解密得到的所述响应值与所述步骤S2042’中发送的所述挑战值一致时,所述第一服务节点完成对所述第二服务节点的认证。
10. 根据权利要求1所述的服务节点间的通信方法,其特征在于,
在所述步骤S204中,所述第一服务节点和所述第二服务节点相互进行认证。
11. 根据权利要求10所述的服务节点间的通信方法,其特征在于,
所述步骤S204进一步包括以下步骤:
S2042”,所述第二服务节点向所述第一服务节点发送第一挑战值,并且所述第一服务节点和所述第二服务节点基于所述密钥相互进行认证;
S2044”,所述第一服务节点向所述第二服务节点发送用户身份请求消息;以及
S2046”,所述第二服务节点向所述第一服务节点返回用户身份响应消息。
12.根 据权利要求11所述的服务节点间的通信方法,其特征在于,
在所述密钥为非对称密钥的情况下,在所述步骤S2042”中,
在所述第二服务节点发送所述第一挑战值之后,进行以下处理:
所述第一服务节点向所述第二服务节点返回第一响应报文,其中,所述第一响应报文中携带有:所述第一服务节点的证书、第二挑战值、所述第二服务节点的标识、以及所述第一服务节点的签名;
所述第二服务节点在接收到所述第一响应报文后,使用所述第一服务节点的证书中的公钥对所述第一服务节点的签名进行解密,并根据所述第一服务节点的所述公钥、所述第二服务节点的标识、所述第一服务节点的签名中的第一响应值来确认所述第一服务节点的身份,从而完成对所述第一服务节点的认证;
所述第二服务节点向所述第一服务节点返回第二响应报文,其中,所述第二响应报文中携带有:所述第二服务节点的证书、所述第一服务节点的标识、以及所述第二服务节点的签名;以及
所述第一服务节点在接收到所述第二响应报文后,使用所述第二服务节点的证书中的公钥对所述第二服务节点的签名进行解密,根据所述第二服务节点的公钥、所述第一服务节点的标识、以及所述第二服务节点的签名中的第二响应值来确认所述第二服务节点的身份,从而完成对所述第二服务节点的认证。
13. 根据权利要求11所述的服务节点间的通信方法,其特征在于,
在所述密钥为对称密钥的情况下,在所述步骤S2042”中,在
所述第二服务节点发送所述第一挑战值之后,进行以下处理:
所述第一服务节点向所述第二服务节点返回第一响应报文,其中,所述第一响应报文中携带有加密的第二挑战值和第一响应值;
所述第二服务节点在接收到所述第一响应报文后,使用所述对称密钥对所述响应报文进行解密,当解密得到的所述第一响应值与所述步骤S2042”中发送的所述第一挑战值一致时,所述第二服务节点完成对所述第一服务节点的认证;
所述第二服务节点向所述第一服务节点返回第二响应报文,其中,所述第二响应报文中携带有加密的第二响应值;以及
所述第一服务节点在接收到所述第二响应报文后,使用所述对称密钥对所述响应报文进行解密,当解密得到的所述第二响应值与本地保存的第二挑战值一致时,所述第一服务节点完成对所述第二服务节点的认证。
14. 根据权利要求1至13中任一项所述的服务节点间的通信方法,
其特征在于,所述第一服务节点为所述终端位置更新后的新服务节点,所述第二服务节点为所述终端位置更新前的旧服务节点。
15. 根据权利要求1至13中任一项所述的服务节点间的通信方法,
其特征在于,所述挑战值为时变参数;所述第一挑战值为所述服务节点第一次发出的挑战值,所述第一响应值为对应于所述第一挑战值的响应值;所述第二挑战值为所述服务节点第二次发出的挑战值,所述第二响应值为对应于所述第二挑战值的响应值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710086744XA CN101267303B (zh) | 2007-03-13 | 2007-03-13 | 服务节点间的通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710086744XA CN101267303B (zh) | 2007-03-13 | 2007-03-13 | 服务节点间的通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101267303A true CN101267303A (zh) | 2008-09-17 |
| CN101267303B CN101267303B (zh) | 2012-07-04 |
Family
ID=39989459
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710086744XA Expired - Fee Related CN101267303B (zh) | 2007-03-13 | 2007-03-13 | 服务节点间的通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101267303B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101835179A (zh) * | 2010-04-06 | 2010-09-15 | 华为技术有限公司 | 无线传感器网络及其中建立安全关系的方法和服务节点 |
| CN103621040A (zh) * | 2011-06-30 | 2014-03-05 | 高通股份有限公司 | 促成对等覆盖网络中对数据对象的群访问控制 |
| WO2015042871A1 (en) * | 2013-09-27 | 2015-04-02 | Nokia Corporation | Methods and apparatus of key pairing for d2d devices under different d2d areas |
| CN104918242A (zh) * | 2014-03-14 | 2015-09-16 | 中兴通讯股份有限公司 | 从基站密钥更新方法、从基站、终端及通信系统 |
| CN106576237A (zh) * | 2014-07-21 | 2017-04-19 | 宇龙计算机通信科技(深圳)有限公司 | 移动管理实体、归属服务器、终端、身份认证系统和方法 |
| CN107148014A (zh) * | 2017-05-15 | 2017-09-08 | 华中科技大学 | 一种安卓第三方推送增强方法、相关设备及系统 |
| CN107872421A (zh) * | 2016-09-23 | 2018-04-03 | 中国电信股份有限公司 | 节点认证方法和系统以及相关设备 |
| CN102857492B (zh) * | 2011-06-27 | 2018-06-12 | 通用电气公司 | 基于位置感知证书的认证的方法和系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1190036C (zh) * | 2002-02-02 | 2005-02-16 | 华为技术有限公司 | 移动通信系统中用户标识的查询方法及系统 |
| CN100411385C (zh) * | 2004-08-16 | 2008-08-13 | 华为技术有限公司 | 路由区更新时的数据传输方法 |
| US20060248337A1 (en) * | 2005-04-29 | 2006-11-02 | Nokia Corporation | Establishment of a secure communication |
-
2007
- 2007-03-13 CN CN200710086744XA patent/CN101267303B/zh not_active Expired - Fee Related
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101835179B (zh) * | 2010-04-06 | 2013-09-25 | 华为技术有限公司 | 无线传感器网络及其中建立安全关系的方法和服务节点 |
| CN101835179A (zh) * | 2010-04-06 | 2010-09-15 | 华为技术有限公司 | 无线传感器网络及其中建立安全关系的方法和服务节点 |
| CN102857492B (zh) * | 2011-06-27 | 2018-06-12 | 通用电气公司 | 基于位置感知证书的认证的方法和系统 |
| US10068084B2 (en) | 2011-06-27 | 2018-09-04 | General Electric Company | Method and system of location-aware certificate based authentication |
| CN103621040A (zh) * | 2011-06-30 | 2014-03-05 | 高通股份有限公司 | 促成对等覆盖网络中对数据对象的群访问控制 |
| WO2015042871A1 (en) * | 2013-09-27 | 2015-04-02 | Nokia Corporation | Methods and apparatus of key pairing for d2d devices under different d2d areas |
| US10158625B2 (en) | 2013-09-27 | 2018-12-18 | Nokia Technologies Oy | Methods and apparatus of key pairing for D2D devices under different D2D areas |
| CN104918242A (zh) * | 2014-03-14 | 2015-09-16 | 中兴通讯股份有限公司 | 从基站密钥更新方法、从基站、终端及通信系统 |
| CN104918242B (zh) * | 2014-03-14 | 2020-04-03 | 中兴通讯股份有限公司 | 从基站密钥更新方法、从基站、终端及通信系统 |
| CN106576237A (zh) * | 2014-07-21 | 2017-04-19 | 宇龙计算机通信科技(深圳)有限公司 | 移动管理实体、归属服务器、终端、身份认证系统和方法 |
| CN106576237B (zh) * | 2014-07-21 | 2020-10-16 | 宇龙计算机通信科技(深圳)有限公司 | 移动管理实体、归属服务器、终端、身份认证系统和方法 |
| CN107872421A (zh) * | 2016-09-23 | 2018-04-03 | 中国电信股份有限公司 | 节点认证方法和系统以及相关设备 |
| CN107148014A (zh) * | 2017-05-15 | 2017-09-08 | 华中科技大学 | 一种安卓第三方推送增强方法、相关设备及系统 |
| CN107148014B (zh) * | 2017-05-15 | 2019-06-07 | 华中科技大学 | 一种安卓第三方推送增强方法、相关设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101267303B (zh) | 2012-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11799650B2 (en) | Operator-assisted key establishment | |
| CN101267303B (zh) | 服务节点间的通信方法 | |
| CN100589381C (zh) | 一种通信系统中用户身份保密的方法 | |
| CN101667916B (zh) | 一种基于分离映射网络使用数字证书验证用户身份的方法 | |
| CN101094065B (zh) | 无线通信网络中的密钥分发方法和系统 | |
| EP3284276B1 (en) | Security improvements in a cellular network | |
| WO2017188895A1 (en) | Method and system for authentication with asymmetric key | |
| JP2003501891A (ja) | 安全に通信するための方法及び装置 | |
| US20080141360A1 (en) | Wireless Linked Computer Communications | |
| CN103152731A (zh) | 一种3g接入的imsi隐私保护方法 | |
| CN110808830A (zh) | 一种基于5G网络切片的IoT安全验证框架及其服务方法 | |
| CN111447616B (zh) | 一种面向lte-r移动中继的组认证及密钥协商方法 | |
| CN101192927B (zh) | 基于身份保密的授权与多重认证方法 | |
| CN105471845A (zh) | 防止中间人攻击的通信方法及系统 | |
| Ekene et al. | Enhanced user security and privacy protection in 4G LTE network | |
| US20120254615A1 (en) | Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network | |
| US8275987B2 (en) | Method for transmission of DHCP messages | |
| CN102833747B (zh) | 分离机制移动性管理系统实现接入认证的密钥分发方法 | |
| Angermeier et al. | PAL-privacy augmented LTE: A privacy-preserving scheme for vehicular LTE communication | |
| Bogdanoski et al. | IEEE 802.16 security issues: a survey | |
| CN101478389B (zh) | 支持多级安全的移动IPSec传输认证方法 | |
| CN115802347A (zh) | 车联网终端身份的认证方法、装置、电子设备及存储介质 | |
| CN205693897U (zh) | Lte电力无线专网的二次身份认证系统 | |
| Moroz et al. | Methods for ensuring data security in mobile standards | |
| KR100330418B1 (ko) | 이동통신 환경에서의 가입자 인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120704 Termination date: 20210313 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |