CN103107977A - 信息安全传输方法、系统及接入服务节点 - Google Patents
信息安全传输方法、系统及接入服务节点 Download PDFInfo
- Publication number
- CN103107977A CN103107977A CN201110354399XA CN201110354399A CN103107977A CN 103107977 A CN103107977 A CN 103107977A CN 201110354399X A CN201110354399X A CN 201110354399XA CN 201110354399 A CN201110354399 A CN 201110354399A CN 103107977 A CN103107977 A CN 103107977A
- Authority
- CN
- China
- Prior art keywords
- service node
- access service
- signature
- source
- data message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种信息安全传输方法、系统及接入服务节点,其中所述方法包括如下步骤:鉴权服务器通过源接入服务节点对接入的源终端接入认证,以及通过源接入服务节点与源终端交互确定传输密钥对,密钥对包括私钥Kin和公钥Kout;源接入服务节点通过私钥Kin计算源终端发送给目的终端的数据报文的签名,并将数据报文及其签名发送至目的接入服务节点;目的接入服务节点通过公钥Kout再次计算接收的数据报文的签名,比较该签名与接收到的签名是否匹配,若二者匹配,则判断接收到的数据报文安全。本发明保证目的接入服务节点接收的报文来自合法的源接入服务节点,避免了网络安全隐患。
Description
技术领域
本发明涉及信息安全传输机制,尤其涉及信息安全传输方法、系统及接入服务节点。
背景技术
现有因特网广泛使用的传输控制协议/因特网互联协议(TransmissionControl Protocol/Internet Protocol,TCP/IP)中IP地址具有双重功能,既作为网络层主机的网络接口在网络拓扑中的位置标识,又作为传输层的主机网络接口的身份标识。TCP/IP协议设计之初并未考虑主机移动的情况。但是,当主机移动越来越普遍时,这种IP地址的语义过载缺陷日益明显。如:当主机的IP地址发生变化时,不仅路由要发生变化,通信终端主机的身份标识也发生变化,这样会导致路由负载越来越重,而且主机标识的变化会导致应用和连接的中断。
为了解决上述问题,业界开始研究身份标识和位置分离的网络,以解决IP地址的语义过载和路由负载严重以及安全等问题,将IP地址的双重功能进行分离,实现对移动性、多家乡性、IP地址动态重分配、减轻路由负载及下一代互联网中不同网络区域之间的互访等问题的支持。
目前已经提出了多种身份标识与位置标识分离的网络的架构。其中,一种终端身份标识和位置分离网络架构如图1所示。其中,ASR(Access ServiceRouter)为接入服务路由器,用于接入用户终端,并承担计费以及切换等功能;ILR(Identification & Location Register)为身份位置寄存器,用于承担终端的位置注册和身份识别的功能,建立终端接入标识(Access Identification,AID)和终端接入位置的映射关系,AID与终端的硬件相关,每个终端在所述终端身份标识和位置分离网络中的AID唯一。此外,该网络还可包含一个互联互通接入服务路由器ISR,用于接入业务服务器,其工作流程与ASR类似。为描述方便,下文将用户身份标识和位置分离网络简称为SILSN(Subscriber Identifier and Locator Separation Network)。
当今互联网已成为人们工作和生活不可分割一部分,然而互联网层出不穷的安全问题,如钓鱼网站、谣言、诽谤等,使很多互联网用户遭受了巨大损失,为维护网络的正常秩序,各国公安部门开始侦办网络犯罪行为。传统网络中,互联网犯罪较难取证,而对于SILSN网络,由于同一终端不论漫游到网内的哪个接入服务路由器,获取到的身份信息(如身份标识AID)均相同,为溯源用户真实身份提供了方便,但在由于SILSN网络内尚未建立认证机制,如果SILSN网络内出现以管理员身份散步谣言的用户,仍然威胁网络安全。
发明内容
本发明提供了一种信息安全传输方法、系统及接入服务节点,用于解决如何保证信息在网络中的安全传输的技术问题。
为解决该技术问题,本发明提供了一种信息安全传输方法,包括以下步骤:
鉴权服务器通过源接入服务节点对接入的源终端接入认证,以及通过源接入服务节点与源终端交互确定传输密钥对,所述密钥对包括私钥Kin和公钥Kout;
所述源接入服务节点通过所述私钥Kin计算所述源终端发送给目的终端的数据报文的签名,并将所述数据报文及其签名发送至目的接入服务节点;
所述目的接入服务节点通过所述公钥Kout再次计算接收的数据报文的签名,比较该签名与接收到的签名是否匹配,若二者匹配,则判断接收到的数据报文安全。
进一步地,所述接入服务节点为接入服务路由器(ASR)和/或互连互通服务路由器(ISR);
所述鉴权服务器为鉴权授权计费(AAA)服务器或归属位置寄存/鉴权中心(HLR/AUC)。
进一步地,所述鉴权服务器通过源接入服务节点与源终端交互确定传输密钥对后,
所述源接入服务节点接收所述源终端发送的所述私钥Kin,或接收所述鉴权服务器发送的所述私钥Kin;
所述目的接入服务节点接收所述鉴权服务器发送的所述公钥Kout。
进一步地,所述签名为数字摘要。
进一步地,所述鉴权服务器通过源接入服务节点与源终端交互确定传输密钥对的方式包括:所述鉴权服务器通过源接入服务节点与源终端协商传输密钥对。
为解决上述问题,本发明还提供了一种信息安全传输系统,该系统包括源接入服务节点、鉴权服务器和目的接入服务节点,其中,
所述鉴权服务器,用于通过源接入服务节点对接入的源终端接入认证,以及通过源接入服务节点与源终端交互确定传输密钥对,所述密钥对包括所述私钥Kin和公钥Kout;
所述源接入服务节点,用于通过所述私钥Kin计算所述源终端发送给目的终端的数据报文的签名,并将所述数据报文及其签名发送至目的终端接入的目的接入服务节点;
所述目的接入服务节点,用于接收来自源接入服务节点的数据报文及其签名,以及通过所述公钥Kout再次计算接收的数据报文的签名,比较本次计算出的签名与接收到的签名是否匹配,若二者匹配,则判断接收到的数据报文安全。
进一步地,所述接入服务节点为接入服务路由器(ASR)和/或互连互通服务路由器(ISR);
所述鉴权服务器为鉴权授权计费(AAA)服务器或归属位置寄存/鉴权中心(HLR/AUC)。
进一步地,所述源接入服务节点,还用于在鉴权服务器通过源接入服务节点与源终端交互确定传输密钥对后,接收所述源终端发送的所述私钥Kin,或接收所述鉴权服务器发送的所述私钥Kin鉴权服务器;
所述目的接入服务节点,还用于在鉴权服务器通过源接入服务节点与源终端交互确定传输密钥对后,接收所述鉴权服务器发送的所述公钥Kout。
进一步地,所述签名为数字摘要。
进一步地,所述鉴权服务器,用于通过源接入服务节点与源终端交互确定传输密钥对,包括:
所述鉴权服务器,用于通过源接入服务节点通过与源终端协商的方式确定传输密钥对。
为解决上述问题,本发明还提供了一种支持信息安全传输的接入服务节点,所述接入服务节点包括终端接入认证模块、报文认证模块、报文发送模块和报文接收模块,其中
所述终端接入认证模块,用于协助鉴权服务器对接入的源终端进行接入认证以及与源终端交互确定传输密钥对,所述密钥对包括私钥Kin和公钥Kout;以及并在认证通过后,通知报文认证模块认证结果;
所述报文认证模块,用于接收来自接收模块的源终端发送给目的终端的数据报文,并在接收到来自终端认证模块的认证结果后,通过所述私钥Kin计算该数据报文的签名,并将该数据报文及其签名一同发送至报文发送模块;以及接收到报文接收模块发送的数据报文及其签名后,用所述公钥Kout再次计算接收到的数据报文的签名,比较本次计算的数据报文的签名和接收到的数据报文的签名是否匹配,若二者匹配,则判断接收到的数据报文安全;
所述报文发送模块,用于将来自所述报文认证模块的数据报文及其签名向目的终端接入的目的接入服务节点发送;
所述报文接收模块,用于接收源终端发送给目的终端的数据报文,并将该数据报文发送至报文认证模块;接收来自外部接入服务节点的数据报文及其签名,判断该数据报文的目的接入服务节点是否为本接入服务节点,若报文的目的接入服务节点是本接入服务节点,将接收到的数据报文及其签名一起发送至报文认证模块。
进一步地,所述报文接收模块,还用于接收所述源终端发送的私钥Kin,并将该私钥Kin发送至所述报文认证模块,或者接收所述鉴权服务器发送的私钥Kin,并将该私钥Kin发送至所述报文认证模块;以及接收所述鉴权服务器发送的公钥Kout,并将该公钥Kout发送至所述报文认证模块。
进一步地,所述签名为数字摘要。
未解决上述问题,本发明还提供了一种接入服务节点安全传输信息的方法,包括如下步骤:
源接入服务节点协助鉴权服务器对接入的源终端进行接入认证以及与源终端交互确定传输密钥对,所述密钥对包括私钥Kin和公钥Kout;
源接入服务节点通过所述私钥Kin计算所述源终端发送给目的终端的数据报文的签名,并将所述数据报文及其签名向目的终端接入的目的接入服务节点发送;
目的接入服务节点通过所述公钥Kout再次计算接收到的数据报文的签名,判断本次计算得到的签名和接收到的签名是否匹配,若二者匹配,则判断接收到的数据报文安全。
进一步地,所述源接入服务节点从所述源终端或所述鉴权服务器处接收所述私钥Kin,通过所述私钥Kin计算所述源终端发送给目的终端的数据报文的签名;
所述目的接入服务节点从所述鉴权服务器处接收所述公钥Kout,通过所述公钥Kout再次计算接收到的数据报文的签名。
进一步地,所述签名为数字摘要。
上述技术方案在接入服务节点中引入了一种数据报文认证机制,保证了目的接入服务节点接收的报文来自合法的源接入服务节点,从而避免身份位置分离网络内的某个接入服务节点冒充合法的源接入服务节点发送非法报文,给整个网络带来安全隐患。
附图说明
图1为现有技术中的一种终端身份位置分离网络架构图;
图2为本实施例的信息安全传输方法流程图;
图3为本实施例的信息安全传输系统结构图;
图4为本实施例的支持信息安全传输的接入服务节点模块图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
图2为本实施例的信息安全传输方法流程图。
源接入服务节点接收到来自源终端UE1的接入请求后,通知鉴权服务器对所述UE1进行接入认证;
S201鉴权服务器通过源接入服务节点对接入的源终端接入认证,以及通过源接入服务节点与源终端交互确定传输密钥对,所述密钥对包括私钥Kin和公钥Kout;
协商后的私钥Kin和公钥Kout可保存于源终端UE1和所述鉴权服务器中;
所述接入服务节点为接入服务路由器(ASR)和/或互连互通服务路由器(ISR);
所述鉴权服务器为鉴权授权计费(AAA)服务器或归属位置寄存/鉴权中心(HLR/AUC);
S202所述源接入服务节点通过所述私钥Kin计算所述源终端发送给目的终端的数据报文的签名,并将所述数据报文及其签名发送至目的接入服务节点;
所述源接入服务节点可从源终端UE1处接收所述私钥Kin,也可从所述鉴权服务器处接收所述私钥Kin;
若所述源接入服务节点从源终端UE1处接收所述私钥Kin,由于不再需要再对UE1进行身份识别和认证,接收过程简单;
若所述源接入服务节点从鉴权服务器处接收所述私钥Kin,由于需要由特殊的安全机制来保证传输私钥的安全性,如通过Internet协议安全性协议(IPsec)在鉴权服务器和源接入服务节点之间建立加密隧道,接收过程复杂,但由于不需要对终端的现有通信协议进行修改,利于推广实施。
所述签名可以是数据报文的数字摘要(又称消息摘要);
在身份位置分离网络,步骤S202中确定目的接入服务节点可通过下述步骤实现:
所述源接入服务节点接收到报文后,提取其中的目的终端UE2的身份标识AID2;
所述源接入服务节点向存储终端身份信息和位置信息对应关系的网元查询AID2与UE2的位置标识RID2的映射关系,根据RID2确定UE2的位置;
根据UE2的位置确定UE2接入的目的接入服务节点;
其中,所述UE的位置标识RID可为UE接入的接入服务节点地址的网络前缀;存储终端身份信息和位置信息对应关系的网元可以是在身份位置分离网络中单独设立的终端身份和位置寄存器ILR中,也可以是接入服务节点本身;当所述接入服务节点自身没有存储AID与RID的映射关系,或者在已存储的AID与RID的映射关系中找不到对应的关系时,所述接入服务节点可继续向ILR查询。
S203所述目的接入服务节点通过所述公钥Kout再次计算接收的数据报文的签名;
目的接入节点收到所述数据报文及其签名后,判断本地是否存在该用户的传输公密钥Kout;如果不存在,可向鉴权服务器请求所述传输公密钥Kout。
S204目的接入服务节点比较该签名与接收到的签名是否匹配,若二者匹配,执行步骤S205;否则,执行步骤S206;
S205目的接入服务节点判断接收到的数据报文安全,执行步骤S206;
S206流程结束。
该实施例中,从源接入服务节点发送给目的接入服务节点的数据报文及其签名还可能经过多个中间接入服务节点,此时中间接入服务节点在判断出接收到报文的目的接入服务节点不是本节点后,直接转发接收到的数据报文及其签名,与现有技术相同。
图3为本实施例的信息安全传输系统结构图。
该系统包括源接入服务节点301、鉴权服务器302和目的接入服务节点303,其中,
源接入服务节点301,用于利用私钥Kin计算所述源终端发送给目的终端的数据报文的签名,并将所述数据报文及其签名发送至目的终端接入的目的接入服务节点303;
所述源接入服务节点301,还用于从源终端UE1接收所述私钥Kin,或从鉴权服务器302接收所述私钥Kin;
所述源接入服务节点301接收的来自源终端UE1发送给目的终端UE2的数据报文中包含目的终端的身份信息;所述源接入服务节点301根据所述目的终端的身份信息确定目的终端UE2的位置;
所述目的终端UE2的位置可为其接入的接入服务节点地址的网络前缀;
所述目的终端的身份信息和位置信息的对应用关系可存储在身份位置分离网络中单独设立的终端身份和位置寄存器ILR中,也可存储在源接入服务节点301上;
所述鉴权服务器302,用于通过源接入服务节点301对接入的源终端接入认证,以及通过源接入服务节点与源终端交互确定传输密钥对,所述密钥对包括所述私钥Kin和公钥Kout;
协商后的私钥Kin和公钥Kout可保存于所述源终端UE1和所述鉴权服务器302中;
所述目的接入服务节点303,用于接收来自源接入服务节点301的数据报文及其签名,以及利用公钥Kout再次计算接收的数据报文的签名,比较本次计算出的签名与接收到的签名是否匹配,若二者匹配,则判断接收到的数据报文安全;
所述目的接入服务节点303,还用于从鉴权服务器302处接收所述公钥Kout;
为节约信令开销,目的接入服务节点303接收到所述公钥Kout后,可将该Kout存储在本地,后续接收到源接入服务节点301发送的数据报文和其签名后,可直接在本地查询所述公钥Kout;若本地查询不到所述公钥Kout,再从鉴权服务器302处接收所述公钥Kout;
所述目的接入服务节点303,还用于将安全的数据报文发送至目的终端UE2,将不安全的数据报文丢弃。
上述接入服务节点可为接入服务路由器(ASR)和/或互连互通服务路由器(ISR);
上述鉴权服务器可为鉴权授权计费(AAA)服务器或归属位置寄存/鉴权中心器(HLR/AUC);
上述签名可为数字摘要。
图4为本实施例的支持信息安全传输的接入服务节点模块图。
所述接入服务节点包括终端接入认证模块401、报文认证模块402、报文发送模块403和报文接收模块404,其中
所述终端接入认证模块401,用于协助鉴权服务器对接入的源终端进行接入认证以及与源终端交互确定传输密钥对,所述密钥对包括私钥Kin和公钥Kout;以及并在认证通过后,通知报文认证模块402认证结果;
所述报文认证模块402,用于接收到来自接收模块发送的源终端发送给目的终端的数据报文,并在接收到来自终端认证模块的认证结果后,利用所述私钥Kin计算该数据报文的签名,并将该数据报文及其签名一同发送至报文发送模块403;以及接收到报文接收模块404发送的数据报文及其签名后,用所述公钥Kout再次计算接收到的数据报文的签名,比较本次计算的数据报文的签名和接收到的数据报文的签名是否匹配,若二者匹配,则判断接收到的数据报文安全;
所述报文发送模块403,用于将来自所述报文认证模块402的数据报文及其签名向目的终端接入的目的接入服务节点发送;
所述报文接收模块404,用于接收源终端发送给目的终端的数据报文,并将该数据报文发送至报文认证模块402;接收来自外部接入服务节点的数据报文及其签名,判断该数据报文的目的接入服务节点是否为本接入服务节点,若报文的目的接入服务节点是本接入服务节点,将接收到的数据报文及其签名发送至报文认证模块402。
所述报文接收模块404,还用于在接收到源终端发送给目的终端的数据报文后,根据该数据报文中包含的目的终端的身份信息确定目的终端的位置;以及将确定的目的终端的位置发送至报文发送模块403;
所述目的终端的身份信息可以是目的终端的身份标识AID;
所述确定目的终端的位置可以是目的终端的位置标识RID,所述RID为目的终端接入的目的接入服务节点地址的网络前缀;
所述报文接收模块404,还用于接收所述源终端发送的私钥Kin,并将该私钥Kin发送至所述报文认证模块402,或者接收所述鉴权服务器发送的私钥Kin,并将该私钥Kin发送至所述报文认证模块402;以及接收所述鉴权服务器发送的公钥Kout,并将该公钥Kout发送至所述报文认证模块402。
所述签名为数字摘要。
本实施例的接入服务节点进行信息安全传输的方法为:
源接入服务节点协助鉴权服务器对接入的源终端进行接入认证以及与源终端交互确定传输密钥对,所述密钥对包括私钥Kin和公钥Kout;
源接入服务节点通过所述私钥Kin计算所述源终端发送给目的终端的数据报文的签名,并将所述数据报文及其签名向目的终端接入的目的接入服务节点发送;
所述源接入服务节点从所述源终端或所述鉴权服务器处接收所述私钥Kin,通过所述私钥Kin计算所述源终端发送给目的终端的数据报文的签名;
目的接入服务节点通过所述公钥Kout再次计算接收到的数据报文的签名,判断本次计算得到的签名和接收到的签名是否匹配,若二者匹配,则判断接收到的数据报文安全;
所述目的接入服务节点从所述鉴权服务器处接收所述公钥Kout,通过所述公钥Kout再次计算接收到的数据报文的签名;
所述签名为数字摘要。
需要说明的是,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (16)
1.一种信息安全传输方法,其特征在于,所述方法包括以下步骤:
鉴权服务器通过源接入服务节点对接入的源终端接入认证,以及通过源接入服务节点与源终端交互确定传输密钥对,所述密钥对包括私钥Kin和公钥Kout;
所述源接入服务节点通过所述私钥Kin计算所述源终端发送给目的终端的数据报文的签名,并将所述数据报文及其签名发送至目的接入服务节点;
所述目的接入服务节点通过所述公钥Kout再次计算接收的数据报文的签名,比较该签名与接收到的签名是否匹配,若二者匹配,则判断接收到的数据报文安全。
2.如权利要求1所述的方法,其特征在于,
所述接入服务节点为接入服务路由器(ASR)和/或互连互通服务路由器(ISR);
所述鉴权服务器为鉴权授权计费(AAA)服务器或归属位置寄存/鉴权中心(HLR/AUC)。
3.如权利要求1或2所述的方法,其特征在于,所述鉴权服务器通过源接入服务节点与源终端交互确定传输密钥对后,
所述源接入服务节点接收所述源终端发送的所述私钥Kin,或接收所述鉴权服务器发送的所述私钥Kin;
所述目的接入服务节点接收所述鉴权服务器发送的所述公钥Kout。
4.如权利要求3所述的方法,其特征在于,
所述签名为数字摘要。
5.如权利要求1所述的方法,其特征在于,
所述鉴权服务器通过源接入服务节点与源终端交互确定传输密钥对的方式包括:所述鉴权服务器通过源接入服务节点与源终端协商传输密钥对。
6.一种信息安全传输系统,其特征在于,该系统包括源接入服务节点、鉴权服务器和目的接入服务节点,其中,
所述鉴权服务器,用于通过源接入服务节点对接入的源终端接入认证,以及通过源接入服务节点与源终端交互确定传输密钥对,所述密钥对包括所述私钥Kin和公钥Kout;
所述源接入服务节点,用于通过所述私钥Kin计算所述源终端发送给目的终端的数据报文的签名,并将所述数据报文及其签名发送至目的终端接入的目的接入服务节点;
所述目的接入服务节点,用于接收来自源接入服务节点的数据报文及其签名,以及通过所述公钥Kout再次计算接收的数据报文的签名,比较本次计算出的签名与接收到的签名是否匹配,若二者匹配,则判断接收到的数据报文安全。
7.如权利要求6所述的系统,其特征在于,
所述接入服务节点为接入服务路由器(ASR)和/或互连互通服务路由器(ISR);
所述鉴权服务器为鉴权授权计费(AAA)服务器或归属位置寄存/鉴权中心(HLR/AUC)。
8.如权利要求6或7所述的系统,其特征在于,
所述源接入服务节点,还用于在鉴权服务器通过源接入服务节点与源终端交互确定传输密钥对后,接收所述源终端发送的所述私钥Kin,或接收所述鉴权服务器发送的所述私钥Kin鉴权服务器;
所述目的接入服务节点,还用于在鉴权服务器通过源接入服务节点与源终端交互确定传输密钥对后,接收所述鉴权服务器发送的所述公钥Kout。
9.如权利要求8所述的方法,其特征在于,
所述签名为数字摘要。
10.如权利要求6所述的系统,其特征在于,所述鉴权服务器,用于通过源接入服务节点与源终端交互确定传输密钥对,包括:
所述鉴权服务器,用于通过源接入服务节点通过与源终端协商的方式确定传输密钥对。
11.一种支持信息安全传输的接入服务节点,其特征在于,所述接入服务节点包括终端接入认证模块、报文认证模块、报文发送模块和报文接收模块,其中
所述终端接入认证模块,用于协助鉴权服务器对接入的源终端进行接入认证以及与源终端交互确定传输密钥对,所述密钥对包括私钥Kin和公钥Kout;以及并在认证通过后,通知报文认证模块认证结果;
所述报文认证模块,用于接收来自接收模块的源终端发送给目的终端的数据报文,并在接收到来自终端认证模块的认证结果后,通过所述私钥Kin计算该数据报文的签名,并将该数据报文及其签名一同发送至报文发送模块;以及接收到报文接收模块发送的数据报文及其签名后,用所述公钥Kout再次计算接收到的数据报文的签名,比较本次计算的数据报文的签名和接收到的数据报文的签名是否匹配,若二者匹配,则判断接收到的数据报文安全;
所述报文发送模块,用于将来自所述报文认证模块的数据报文及其签名向目的终端接入的目的接入服务节点发送;
所述报文接收模块,用于接收源终端发送给目的终端的数据报文,并将该数据报文发送至报文认证模块;接收来自外部接入服务节点的数据报文及其签名,判断该数据报文的目的接入服务节点是否为本接入服务节点,若报文的目的接入服务节点是本接入服务节点,将接收到的数据报文及其签名一起发送至报文认证模块。
12.如权利要求11所述的接入服务节点,其特征在于,
所述报文接收模块,还用于接收所述源终端发送的私钥Kin,并将该私钥Kin发送至所述报文认证模块,或者接收所述鉴权服务器发送的私钥Kin,并将该私钥Kin发送至所述报文认证模块;以及接收所述鉴权服务器发送的公钥Kout,并将该公钥Kout发送至所述报文认证模块。
13.如权利要求11所述的接入服务节点,其特征在于,
所述签名为数字摘要。
14.一种接入服务节点安全传输信息的方法,其特征在于,所述方法包括以下步骤:
源接入服务节点协助鉴权服务器对接入的源终端进行接入认证以及与源终端交互确定传输密钥对,所述密钥对包括私钥Kin和公钥Kout;
源接入服务节点通过所述私钥Kin计算所述源终端发送给目的终端的数据报文的签名,并将所述数据报文及其签名向目的终端接入的目的接入服务节点发送;
目的接入服务节点通过所述公钥Kout再次计算接收到的数据报文的签名,判断本次计算得到的签名和接收到的签名是否匹配,若二者匹配,则判断接收到的数据报文安全。
15.如权利要求14所述的方法,其特征在于,
所述源接入服务节点从所述源终端或所述鉴权服务器处接收所述私钥Kin,通过所述私钥Kin计算所述源终端发送给目的终端的数据报文的签名;
所述目的接入服务节点从所述鉴权服务器处接收所述公钥Kout,通过所述公钥Kout再次计算接收到的数据报文的签名。
16.如权利要求14所述的方法,其特征在于,
所述签名为数字摘要。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110354399XA CN103107977A (zh) | 2011-11-10 | 2011-11-10 | 信息安全传输方法、系统及接入服务节点 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110354399XA CN103107977A (zh) | 2011-11-10 | 2011-11-10 | 信息安全传输方法、系统及接入服务节点 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103107977A true CN103107977A (zh) | 2013-05-15 |
Family
ID=48315549
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110354399XA Pending CN103107977A (zh) | 2011-11-10 | 2011-11-10 | 信息安全传输方法、系统及接入服务节点 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103107977A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108306899A (zh) * | 2018-05-03 | 2018-07-20 | 山东九州信泰信息科技股份有限公司 | 一种云服务环境中对敏感数据进行安全传输的方法 |
CN113190310A (zh) * | 2021-04-27 | 2021-07-30 | 中冶华天工程技术有限公司 | 基于随机位置对象语义识别的验证码设计方法 |
CN114884667A (zh) * | 2021-02-05 | 2022-08-09 | 中国移动通信有限公司研究院 | 一种通信鉴权方法、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1534936A (zh) * | 2003-03-31 | 2004-10-06 | 华为技术有限公司 | 一种无线局域网中基于公钥证书机制的密钥分发方法 |
CN1620005A (zh) * | 2003-11-18 | 2005-05-25 | 华为技术有限公司 | 一种安全发送传输密钥的方法 |
US20050201564A1 (en) * | 2004-03-09 | 2005-09-15 | Naoshi Kayashima | Wireless communication system |
CN101119368A (zh) * | 2007-08-14 | 2008-02-06 | 北京佳讯飞鸿电气股份有限公司 | 一种无线网络安全通信的实现方法 |
-
2011
- 2011-11-10 CN CN201110354399XA patent/CN103107977A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1534936A (zh) * | 2003-03-31 | 2004-10-06 | 华为技术有限公司 | 一种无线局域网中基于公钥证书机制的密钥分发方法 |
CN1620005A (zh) * | 2003-11-18 | 2005-05-25 | 华为技术有限公司 | 一种安全发送传输密钥的方法 |
US20050201564A1 (en) * | 2004-03-09 | 2005-09-15 | Naoshi Kayashima | Wireless communication system |
CN101119368A (zh) * | 2007-08-14 | 2008-02-06 | 北京佳讯飞鸿电气股份有限公司 | 一种无线网络安全通信的实现方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108306899A (zh) * | 2018-05-03 | 2018-07-20 | 山东九州信泰信息科技股份有限公司 | 一种云服务环境中对敏感数据进行安全传输的方法 |
CN108306899B (zh) * | 2018-05-03 | 2019-04-23 | 山东九州信泰信息科技股份有限公司 | 一种云服务环境中对敏感数据进行安全传输的方法 |
CN114884667A (zh) * | 2021-02-05 | 2022-08-09 | 中国移动通信有限公司研究院 | 一种通信鉴权方法、设备及存储介质 |
CN113190310A (zh) * | 2021-04-27 | 2021-07-30 | 中冶华天工程技术有限公司 | 基于随机位置对象语义识别的验证码设计方法 |
CN113190310B (zh) * | 2021-04-27 | 2023-03-14 | 中冶华天工程技术有限公司 | 基于随机位置对象语义识别的验证码设计方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101997370B1 (ko) | 사물 인터넷(iot)에서의 디바이스 로케이션 등록을 위한 서버 | |
US10212233B2 (en) | Data transfer in a system of connected things | |
CN104919766A (zh) | 用于设备到设备通信的路径切换过程 | |
CN102025658B (zh) | 身份标识网络与互联网互通的实现方法和系统 | |
US8611358B2 (en) | Mobile network traffic management | |
CN103795631A (zh) | 部署了以太网虚拟连接的网络中的流量转发方法及设备 | |
US8665849B2 (en) | Methods and systems for implementing inter-network roam, querying and attaching network | |
CN106899500B (zh) | 一种跨虚拟可扩展局域网的报文处理方法及装置 | |
CN102025600B (zh) | 一种数据传输、接收的方法及系统及路由器 | |
WO2017012089A1 (zh) | 一种基于数据链路层的通信方法、设备和系统 | |
CN104993993A (zh) | 一种报文处理方法、设备和系统 | |
CN102123071B (zh) | 数据报文分类处理的实现方法、网络、终端及互通服务节点 | |
CN103107977A (zh) | 信息安全传输方法、系统及接入服务节点 | |
CN102209011A (zh) | 多穴终端建立连接的方法和系统 | |
CN102957755B (zh) | 一种地址解析方法、装置及信息传输方法 | |
CN103036761A (zh) | 一种隧道服务器和客户端装置 | |
CN102209012A (zh) | 一种终端实现连接建立的方法及系统 | |
US11196666B2 (en) | Receiver directed anonymization of identifier flows in identity enabled networks | |
WO2015135269A1 (zh) | 业务发现及鉴权方法、设备、终端、系统及计算机存储介质 | |
CN105898720B (zh) | 一种短消息的处理方法、装置及系统 | |
CN108377570B (zh) | 业务数据路由方法和系统以及相关设备 | |
CN105430591A (zh) | 设备到设备业务恢复的方法、装置以及归属用户服务器 | |
WO2012089027A1 (zh) | 用户终端在多种接入方式时和外部网络的互通方法和设备 | |
WO2014177101A1 (zh) | 报文发送方法及装置 | |
CN103108325A (zh) | 一种信息安全传输方法及系统及接入服务节点 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130515 |
|
RJ01 | Rejection of invention patent application after publication |