CN102025704B - 一种可重用票据使用方法及终端 - Google Patents
一种可重用票据使用方法及终端 Download PDFInfo
- Publication number
- CN102025704B CN102025704B CN200910176427.6A CN200910176427A CN102025704B CN 102025704 B CN102025704 B CN 102025704B CN 200910176427 A CN200910176427 A CN 200910176427A CN 102025704 B CN102025704 B CN 102025704B
- Authority
- CN
- China
- Prior art keywords
- bill
- counter value
- reusable
- terminal
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明提供了一种可重用票据使用方法,终端首次收到可重用票据时,记录本地计数器当前值作为生效计数器值,根据该生效计数器值和所述可重用票据的生命值得到一截至计数器值;终端发送该重可用票据时,或者非首次接收到该可重用票据时,检查所述本地计数器,如果所述本地计数器的值超出所述截至计数器值,所述可重用票据为失效票据,否则,所述可重用票据为有效票据。本发明还提供一种终端。本发明可以避免用户修改终端本地时间,使用过期票据。
Description
技术领域
本发明涉及网络通信安全技术,尤其涉及一种可重用票据使用方法及终端。
背景技术
目前IMS媒体面安全采用了一种基于密钥管理服务器的机制来实现端到端的媒体密钥的协商。
针对基于密钥管理服务器的IMS媒体面安全解决方案而言,采用如图1所示的系统网络架构示意图组网后,基于KMS(Key Management Service,密钥管理服务器)的IMS媒体安全解决方案,在用户A和用户B之间建立安全的媒体通道的实现流程包括以下步骤:
步骤101、用户A、用户B分别采用通用认证机制(General BootstrappingArchitecture,GBA)方式和KMS建立安全连接。
这里,GBA是3GPP定义的一种基于移动通信网络、轻量级的安全基础设施,可以为应用层业务提供统一的安全认证服务。KMS作为一个可信任的第三方,能实现密钥的管理和分发功能,KMS在GBA架构中扮演NAF(Network application function,网络应用功能)的角色。
其中,如果无法采用GBA方式,用户可以使用其他认证机制和KMS建立安全连接。
步骤102、用户A向KMS发出请求,以申请媒体密钥和票据。
步骤103、KMS生成媒体密钥和票据,并把媒体密钥和票据发给用户A。其中,媒体密钥通过用户A和KMS的共享密钥加密传送。票据中包含媒体密钥,票据有效期等信息。其中票据中包含的媒体密钥用KMS的私有密钥加密,整个票据的完整性也由KMS的私有密钥来保证。
步骤104、用户A把票据包含在发送给用户B的呼叫请求消息(INVITE)中。
步骤105、IMS核心网的网元P-CSCF(Proxy Call Session ControlFunction,代理呼叫会话控制功能),S-CSCF(Serving Call Session ControlFunction,服务呼叫会话控制功能)从用户A接收到包含票据的INVITE,并转发给用户B。
需要指出的是,经过授权的网元可以把票据发给KMS来获取媒体密钥,比如,后续步骤中,用户B获取票据后,可以提交票据给KMS来获取媒体密钥。
步骤106、用户B接收到INVITE,获取到票据。
步骤107、用户B把票据发送给KMS来获取媒体密钥。
步骤108、KMS取出媒体密钥,并检查用户B的身份。
步骤109、检查通过后,KMS使用私有密钥解开票据获得媒体密钥,并用KMS和用户B的共享密钥加密该媒体密钥发送给用户B。
步骤110、用户B成功接受用户A的呼叫请求。
在上述步骤中,用户A需要向KMS发起票据申请请求,用户B收到来自用户A的票据后,需要向KMS提交票据解析请求,这需要比较大的信令开销。为了解决这个问题,提出了可重用票据的概念。票据在它的生命期内可以使用多次,票据生命期定义为两个时间,一个是生效日期和时间,一个是截至日期和时间,可重用票据在生命期内使用可以不需要KMS的介入。这样步骤102,103,107,108,109可以省略。但是这带来了一个问题,由于没有KMS的介入,那么决定可重用票据是否过期只能通过用户A和用户B的本地时间来决定。如果用户A和用户B想回避合法监听,只需要修改自己的本地时间使自己的本地时间始终在票据的生命期内,让本来已经到期的票据继续使用,这样通话双方可以一直使用已经过期的票据来回避合法监听。由于KMS很可能无法解读已经过期的票据,这样监管机构就很难做有效的合法监听。
发明内容
本发明要解决的技术问题是提供一种可重用票据使用方法和终端,防止用户使用无效票据,逃避合法监听。
为了解决上述问题,本发明提供了一种可重用票据使用方法,终端首次收到可重用票据时,记录本地计数器当前值作为生效计数器值,根据该生效计数器值和所述可重用票据的生命值得到一截至计数器值;终端发送该可重用票据时,或者非首次接收到该可重用票据时,检查所述本地计数器,如果所述本地计数器的值超出所述截至计数器值,所述可重用票据为失效票据,否则,所述可重用票据为有效票据。
进一步地,上述方法还可具有以下特点,所述可重用票据的生命值使用一正整数表示,所述截至计数器值为所述生效计数器值与所述生命值相加。
进一步地,上述方法还可具有以下特点,所述可重用票据的生命值使用一生效时间日期和截至时间日期表示,所述终端根据所述生效时间日期和截至时间日期将所述生命值转换为一计数器值,所述截至计数器值为所述生效计数器值与所述转换得到的计数器值相加。
本发明还提供一种可重用票据使用方法,终端发送可重用票据时,或从其他终端接收到可重用票据时,将所述可重用票据发送给密钥管理服务器检验;从所述密钥管理服务器接收检验结果后,根据所述检验结果判断所述可重用票据是否过期。
本发明还提供一种可重用票据使用方法,终端本地维护一同步时间,所述同步时间与终端本地时间独立,所述同步时间指示当前时间,终端本地维护的所述同步时间与时间服务器进行同步调整;
终端发送可重用票据时,或者接收到可重用票据时,根据所述同步时间和所述可重用票据的生命值判断所述可重用票据是否过期。
进一步地,上述方法还可具有以下特点,所述终端本地维护的所述同步时间周期性地与所述时间服务器进行同步调整。
本发明还提供一种终端,所述终端,用于首次收到可重用票据时,记录本地计数器当前值作为生效计数器值,根据该生效计数器值和所述可重用票据的生命值得到一截至计数器值;终端发送该可重用票据时,或者非首次接收到该可重用票据时,检查所述本地计数器,如果所述本地计数器的值超出所述截至计数器值,所述可重用票据为失效票据,否则,所述可重用票据为有效票据。
进一步地,上述终端还可具有以下特点,所述终端将所述生效计数器值与所述生命值相加得到所述截至计数器值,其中,所述可重用票据的生命值使用一正整数表示。
进一步地,上述终端还可具有以下特点,所述终端,用于将所述生命值转换为一计数器值,将所述生效计数器值与所述转换得到的计数器值相加得到所述截至计数器值,其中,所述可重用票据的生命值使用一生效时间日期和截至时间日期表示。
本发明还提供一种终端,所述终端,用于发送可重用票据时,或从其他终端接收到可重用票据时,将所述可重用票据发送给密钥管理服务器检验;从所述密钥管理服务器接收检验结果,根据所述检验结果判断所述可重用票据是否过期。
本发明还提供一种终端,所述终端,用于在本地维护一同步时间,所述同步时间与终端本地时间独立,使用所述同步时间指示当前时间,还用于与时间服务器进行同步调整;还用于在发送可重用票据时,或者接收到可重用票据时,根据所述同步时间和所述可重用票据的生命值判断所述可重用票据是否过期。
本发明所述方法和终端,通过计数器,或者KMS校验、或者同步时间对可重用票据进行校验,避免终端通过修改本地时间使用过期票据。
附图说明
图1为基于KMS的IMS媒体安全的网络架构。
具体实施方式
实施例一
终端本地维护一计数器,每隔一个时间单位,计数器值增加一,时间单位可以是毫秒,秒,天等。计数器的值用户无法修改。可重用票据的生命期用计数器来控制。
终端首次收到可重用票据时,记录本地计数器当前值作为生效计数器值,根据该生效计数器值和所述可重用票据的生命值得到一截至计数器值;终端发送该可重用票据,或者非首次接收到该可重用票据时,检查所述本地计数器,如果所述本地计数器的值超出所述截至计数器值,所述可重用票据为失效票据,否则,所述可重用票据为有效票据。
其中,KMS发送给终端的可重用票据中携带的生命值可以采用一正整数来表示,用户第一次得到可重用票据后,记住终端当前的计数器值Cs,然后和生命期值Cl相加,得到该可重用票据到期时的计数器值Ce。每当用户想再次使用该可重用票据的时候,如果计数器的值大于Ce,则该票据已过期,系统应该自动销毁该票据。
KMS发送给终端的可重用票据中携带的生命值也可以采用生效日期时间和截至日期时间来表示,终端收到可重用票据后,将生效日期时间和截至日期时间转换成等效计数器值,将终端当前的计数器值Cs和转换得到的等效计数器值相加,得到该可重用票据到期时的计数器值Ce。具体转换方法为:可重用票据的生命值(截至日期时间与生效日期时间相减得到)除以终端本地计数器计数的时间单位,转换得到一等效计数器值。
实施例二
终端将可重用票据发送给KMS,有KMS检验可重用票据是否过期,KMS将检验结果发送给终端,终端根据检验结果判断可重用票据是否过期,其中,该终端可为会话发起方或会话接收方。
KMS作为可信第三方,它的本地时间也是可信的,KMS使用自己的本地时间和票据的生效日期时间和截至日期时间比较,如果KMS的本地时间在上述两个时间之内,则该可重用票据仍然有效,否则则是失效票据。
可重用票据的生命期仍然采用生效日期时间和截至日期时间方式。
当终端是会话接收方时,当会话接收方收到来自会话发起方的可重用票据后,需要将票据发送到KMS检验。由于票据中的生效日期和截至日期是由KMS生成并由KMS的提供完整性保护,用户终端无法修改票据里的生效日期和截至日期,KMS收到来自会话接收方的可重用票据后,首先做票据完整性检查,确认票据未被修改过,然后从票据中获取生效日期时间和截止日期时间,在根据KMS的本地日期时间判断该票据是否过期,如果过期,KMS需通知会话接收方拒绝来自会话发起方的呼叫请求。
当终端是会话发起方时,在终端需要发送可重用票据前,将所述可重用票据发送给密钥管理服务器检验;从所述密钥管理服务器接收检验结果根据所述检验结果判断所述可重用票据是否过期。
实施例三
本实施例中,使用时间同步机制,由于用户终端的本地时间是不可信或者不准确,所以判断可重用票据是否过期不能依赖于用户可以修改的本地时间,而是依赖于用户终端无法修改的同步时间。
终端本地维护一同步时间,所述同步时间与终端本地时间独立,所述同步时间指示当前时间,终端本地维护的所述同步时间与时间服务器进行同步调整;其中,终端本地维护的所述同步时间可以周期性地与所述时间服务器进行同步调整,也可以非周期性地与所述时间服务器进行同步调整。具体同步的方式和频率本发明不作限定。
终端发送可重用票据,或者接收到可重用票据时,根据所述同步时间和所述可重用票据的生命值判断所述可重用票据是否过期。
本方案中,同步后的时间和用户可以修改的本地时间完全独立,这样即使用户修改自己的本地时间也无法修改同步时间,判断可重用票据是否到期是根据当前的同步时间是否在票据有效期之内,从而避免用户通过修改本地时间使用过期票据。
Claims (6)
1.一种可重用票据使用方法,其特征在于,终端首次收到可重用票据时,记录本地计数器当前值作为生效计数器值,根据该生效计数器值和所述可重用票据的生命值得到一截至计数器值;终端发送该可重用票据时,或者非首次接收到该可重用票据时,检查所述本地计数器,如果所述本地计数器的值超出所述截至计数器值,所述可重用票据为失效票据,否则,所述可重用票据为有效票据。
2.如权利要求1所述的方法,其特征在于,所述可重用票据的生命值使用一正整数表示,所述截至计数器值为所述生效计数器值与所述生命值相加。
3.如权利要求1所述的方法,其特征在于,所述可重用票据的生命值使用一生效时间日期和截至时间日期表示,所述终端根据所述生效时间日期和截至时间日期将所述生命值转换为一计数器值,所述截至计数器值为所述生效计数器值与所述转换得到的计数器值相加。
4.一种终端,其特征在于,所述终端包括:
用于首次收到可重用票据时,记录本地计数器当前值作为生效计数器值,根据该生效计数器值和所述可重用票据的生命值得到一截至计数器值的装置;
用于终端发送该可重用票据时,或者非首次接收到该可重用票据时,检查所述本地计数器,如果所述本地计数器的值超出所述截至计数器值,确定所述可重用票据为失效票据,否则确定所述可重用票据为有效票据的装置。
5.如权利要求4所述的终端,其特征在于,所述终端将所述生效计数器值与所述生命值相加得到所述截至计数器值,其中,所述可重用票据的生命值使用一正整数表示。
6.如权利要求4所述的终端,其特征在于,所述终端,用于将所述生命值转换为一计数器值,将所述生效计数器值与所述转换得到的计数器值相加得到所述截至计数器值,其中,所述可重用票据的生命值使用一生效时间日期和截至时间日期表示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910176427.6A CN102025704B (zh) | 2009-09-14 | 2009-09-14 | 一种可重用票据使用方法及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910176427.6A CN102025704B (zh) | 2009-09-14 | 2009-09-14 | 一种可重用票据使用方法及终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102025704A CN102025704A (zh) | 2011-04-20 |
| CN102025704B true CN102025704B (zh) | 2015-05-13 |
Family
ID=43866563
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910176427.6A Expired - Fee Related CN102025704B (zh) | 2009-09-14 | 2009-09-14 | 一种可重用票据使用方法及终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102025704B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114338057B (zh) * | 2020-09-27 | 2023-09-08 | 腾讯科技(深圳)有限公司 | 基于第三方鉴权的登录方法、装置、设备和存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043315A (zh) * | 2006-06-12 | 2007-09-26 | 华为技术有限公司 | 一种网络时钟同步装置、系统及方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7861308B2 (en) * | 2005-11-28 | 2010-12-28 | Sony Corporation | Digital rights management using trusted time |
| CN101051898B (zh) * | 2006-04-05 | 2010-04-21 | 华为技术有限公司 | 无线网络端到端通信认证方法及其装置 |
| US20090180614A1 (en) * | 2008-01-10 | 2009-07-16 | General Instrument Corporation | Content protection of internet protocol (ip)-based television and video content delivered over an ip multimedia subsystem (ims)-based network |
-
2009
- 2009-09-14 CN CN200910176427.6A patent/CN102025704B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043315A (zh) * | 2006-06-12 | 2007-09-26 | 华为技术有限公司 | 一种网络时钟同步装置、系统及方法 |
Non-Patent Citations (2)
| Title |
|---|
| 《IMS media plane security(Release 8)》;3GPP TSG SSA;《3GPP TR 33.828 V1.3.0,http://www.3gpp.org/ftp/Specs/archive/33_series/33.828/33828-130.zip》;20090531;第27-28页,7.1.3节 * |
| ANONYMOUS.《Limiting database access using perishable passwords》.《DWPI,www.researchdisclosure.com》.2002,第1-5段. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102025704A (zh) | 2011-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20110320802A1 (en) | Authentication method, key distribution method and authentication and key distribution method | |
| KR101523132B1 (ko) | 멀티미디어 통신 시스템에서의 보안 통신을 위한 계층적 키 관리 | |
| CN110225050B (zh) | Jwt令牌的管理方法 | |
| US8990563B2 (en) | Sending protected data in a communication network | |
| US20120170743A1 (en) | Methods for establishing a secure point-to-point call on a trunked network | |
| WO2017185450A1 (zh) | 终端的认证方法及系统 | |
| US11770247B2 (en) | Method for providing end-to-end security over signaling plane in mission critical data communication system | |
| CN102055585B (zh) | 基于密钥管理服务器的媒体安全合法监听方法及系统 | |
| WO2008040213A1 (fr) | Procédé, système et dispositif de chiffrement et de signature de messages dans un système de communication | |
| Abd-Elrahman et al. | Fast group discovery and non-repudiation in D2D communications using IBE | |
| Qureshi et al. | Collaborative and efficient privacy-preserving critical incident management system | |
| US8705745B2 (en) | Method and system for transmitting deferred media information in an IP multimedia subsystem | |
| KR101016277B1 (ko) | 보안성이 강화된 sⅰp 등록 및 sⅰp 세션 설정 방법 및장치 | |
| CN102223356B (zh) | 基于密钥管理服务器的ims媒体安全的合法监听系统 | |
| US20240064143A1 (en) | Methods, mediums, and systems for verifying devices in an encrypted messaging system | |
| CN102025704B (zh) | 一种可重用票据使用方法及终端 | |
| CN101568116A (zh) | 一种证书状态信息的获取方法及证书状态管理系统 | |
| US11658955B1 (en) | Methods, mediums, and systems for verifying devices in an encrypted messaging system | |
| US11743035B2 (en) | Methods, mediums, and systems for verifying devices in an encrypted messaging system | |
| CN106576245B (zh) | 用户设备邻近请求认证 | |
| US11843636B1 (en) | Methods, mediums, and systems for verifying devices in an encrypted messaging system | |
| CN101729535A (zh) | 一种媒体点播业务的实现方法 | |
| CN101719894B (zh) | 一种安全发送延迟媒体的实现系统及方法 | |
| Zeydan et al. | Entropy service for secure real‐time mission critical communications | |
| CN102026185A (zh) | 票据的有效性检验方法及网络信令节点 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150513 Termination date: 20190914 |