CN103108325B - 一种信息安全传输方法及系统及接入服务节点 - Google Patents
一种信息安全传输方法及系统及接入服务节点 Download PDFInfo
- Publication number
- CN103108325B CN103108325B CN201110354386.2A CN201110354386A CN103108325B CN 103108325 B CN103108325 B CN 103108325B CN 201110354386 A CN201110354386 A CN 201110354386A CN 103108325 B CN103108325 B CN 103108325B
- Authority
- CN
- China
- Prior art keywords
- service node
- access service
- session
- data message
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种信息安全传输方法及系统及接入服务节点,鉴权服务器经由源接入服务节点对接入此源接入服务节点的用户设备进行接入认证并生成或与所述用户设备协商会话的根密钥;所述源接入服务节点收到所述用户设备发送的数据报文后,使用根据所述根密钥生成的会话私钥计算所述数据报文的签名,并将所述签名和所述数据报文发送至所述数据报文的目标接入服务节点;所述目标接入服务节点收到所述数据报文后,使用所述鉴权服务器根据所述根密钥生成的会话公钥计算所述数据报文的签名,与接收到的签名比较如果两者匹配则判定所述数据报文是安全报文。本方案可以加强SILSN核心网网络的安全,保证用户发送报文时不被其他人员假冒。
Description
技术领域
本发明涉及数据通讯领域,尤其涉及一种信息安全传输方法及系统及接入服务节点。
背景技术
现有因特网广泛使用的传输控制协议/因特网互联协议(Transmission ControlProtocol/Internet Protocol,TCP/IP)中IP地址具有双重功能,既作为网络层主机的网络接口在网络拓扑中的位置标识,又作为传输层的主机网络接口的身份标识。TCP/IP协议设计之初并未考虑主机移动的情况。但是,当主机移动越来越普遍时,这种IP地址的语义过载缺陷日益明显。如:当主机的IP地址发生变化时,不仅路由要发生变化,通信终端主机的身份标识也发生变化,这样会导致路由负载越来越重,而且主机标识的变化会导致应用和连接的中断。
为了解决上述问题,业界开始研究身份标识和位置分离的网络,以解决IP地址的语义过载和路由负载严重以及安全等问题,将IP地址的双重功能进行分离,实现对移动性、多家乡性、IP地址动态重分配、减轻路由负载及下一代互联网中不同网络区域之间的互访等问题的支持。
目前已经提出了多种身份标识与位置标识分离的网络的架构。其中,一种身份标识和位置分离网络架构如图1所示。该身份标识和位置分离系统包含接入服务节点(AccessService Node,ASN)、用户终端(User Equipment,UE)、身份位置寄存器(Identification &Location Register,ILR)等。其中,接入服务节点用于接入用户终端,负责实现用户终端的接入,并承担计费以及切换等功能;ILR承担用户的位置注册和身份识别的功能,每一个用户终端都存在唯一的身份标识符,即接入标识(Access Identification,AID)。图1中,接入服务器ASN1和ASN2用来接入用户终端设备UE1、UE2,UE1和UE2分别存在唯一的身份标识符AID1和AID2。为描述方便,下文将此用户身份标识和位置分离网络简称为SILSN(Subscriber Identifier & Locator Separation Network)。
当今互联网已成为人们工作和生活不可分割一部分,然而互联网层出不穷的安全问题,如钓鱼网站、谣言、诽谤等,使很多互联网用户遭受了巨大损失,为维护网络的正常秩序,各国公安部门开始侦办网络犯罪行为。传统网络中,互联网犯罪较难取证,而对于SILSN网络,由于同一终端不论漫游到网内的哪个接入服务路由器,获取到的身份信息(如身份标识AID)均相同,为溯源用户真实身份提供了方便,但在由于SILSN网络内尚未建立消息认证机制,如果SILSN网络内出现以管理员身份散步谣言的用户,仍然威胁网络安全。
SILSN网络的一个重要特征是,不管用户漫游到网内的任何位置,用户总是以唯一的身份标识AID接入网络,这给公安部门溯源不法行为带来了极大便利。但这种用户的唯一性必须由网络来保证,具体来说,就是从接入网到核心网,都要保证用户的唯一性,如果其中一个环节没有保证,就会为整个网络造成安全隐患。
在SILSN中,用户接入时可以沿用WCDMA的AKA等现有鉴权认证算法,用户在接入时,一般无法冒充其他用户发送数据报文。但在SILSN网络内部,如果某个管理员,盗用冒充某个用户发送诽谤数据报文,由于SILSN网络内尚未建立消息认证机制,公安部门将很难鉴别此用户是否真正发送过此报文,从而可能导致误判。
发明内容
本发明要解决的技术问题是提供一种信息安全传输方法及系统及接入服务节点,解决SILSN核心网网络中报文被假冒的安全性问题。
为了解决上述技术问题,本发明提供了一种信息安全传输方法,其中,鉴权服务器经由源接入服务节点对接入此源接入服务节点的用户设备进行接入认证并生成或与所述用户设备协商会话的根密钥;所述源接入服务节点收到所述用户设备发送的数据报文后,使用根据所述根密钥生成的会话私钥计算所述数据报文的签名,并将所述签名和所述数据报文发送至所述数据报文的目标接入服务节点;所述目标接入服务节点收到所述数据报文后,使用所述鉴权服务器根据所述根密钥生成的会话公钥计算所述数据报文的签名,与接收到的签名比较如果两者匹配则判定所述数据报文是安全报文。
进一步地,上述方法还可以具有以下特点:
所述鉴权服务器与所述用户设备协商根密钥结束后,所述用户设备或所述鉴权服务器将所述根密钥通知至所述源接入服务节点。
进一步地,上述方法还可以具有以下特点:
所述源接入服务节点收到所述用户设备发送的所述会话的第一个数据报文后,使用所述根密钥生成所述会话的所述私钥,并通知所述鉴权服务器建立会话密钥,所述鉴权服务器收到建立会话密钥的通知后,使用所述根密钥生成所述会话的所述公钥。
进一步地,上述方法还可以具有以下特点:
所述源接入服务节点收到所述用户设备发送的所述会话的第一个数据报文后,生成一随机数,根据所述根密钥和所述随机数生成所述会话的所述私钥,将所述随机数连同所述会话的标识通过建立会话密钥通知消息通知至所述鉴权服务器,所述鉴权服务器根据所述根密钥和所述随机数生成所述会话的所述公钥。
进一步地,上述方法还可以具有以下特点:
所述鉴权服务器生成所述公钥后通知所述接入服务节点会话密钥建立完成。
进一步地,上述方法还可以具有以下特点:
所述鉴权服务器是鉴权授权计费(AAA)服务器或归属位置寄存/鉴权中心器(HLR/AUC),所述接入服务节点是接入服务器路由器或者是互联互通服务器。
为了解决上述技术问题,本发明提供了一种信息安全传输系统,包括用户设备,源接入服务节点,目标接入服务节点,鉴权服务器,其中,
所述鉴权服务器,用于经由所述源接入服务节点对接入此源接入服务节点的用户设备进行接入认证并生成或与所述用户设备协商会话的根密钥;
所述源接入服务节点,用于收到所述用户设备发送的数据报文后,使用根据所述根密钥生成的会话私钥计算所述数据报文的签名,并将所述签名和所述数据报文发送至所述数据报文的目标接入服务节点;
所述目标接入服务节点,用于从所述源接入服务节点收到所述数据报文后,使用所述鉴权服务器根据所述根密钥生成的会话公钥计算所述数据报文的签名,通过与接收到的签名比较如果两者匹配则判定所述数据报文是安全报文。
进一步地,上述系统还可以具有以下特点:
所述用户设备,用于在所述鉴权服务器与所述用户设备协商根密钥结束后,将所述根密钥通知至所述源接入服务节点。
进一步地,上述系统还可以具有以下特点:
所述鉴权服务器,还用于与所述用户设备协商根密钥结束后,将所述根密钥通知至所述源接入服务节点。
进一步地,上述系统还可以具有以下特点:
所述源接入服务节点,还用于收到所述用户设备发送的所述会话的第一个数据报文后,使用所述根密钥生成所述会话的所述私钥,并通知所述鉴权服务器建立会话密钥;
所述鉴权服务器,还用于收到建立会话密钥的通知后,使用所述根密钥生成所述会话的所述公钥。
进一步地,上述系统还可以具有以下特点:
所述源接入服务节点,还用于收到所述用户设备发送的所述会话的第一个数据报文后,生成一随机数,根据所述根密钥和所述随机数生成所述会话的所述私钥,将所述随机数连同所述会话的标识通过建立会话密钥通知消息通知至所述鉴权服务器;
所述鉴权服务器,还用于根据所述根密钥和所述随机数生成所述会话的所述公钥。
进一步地,上述系统还可以具有以下特点:
所述鉴权服务器,还用于生成所述公钥后通知所述接入服务节点会话密钥建立完成。
进一步地,上述系统还可以具有以下特点:
所述鉴权服务器是鉴权授权计费(AAA)服务器或归属位置寄存/鉴权中心器(HLR/AUC),所述接入服务节点是接入服务器路由器或者是互联互通服务器。
为了解决上述技术问题,本发明提供了一种接入服务节点,其中,
包括终端接入认证模块、报文认证模块、报文发送模块和报文接收模块;
所述终端接入认证模块,用于在所述接入服务节点作为用户设备的源接入服务节点时,协助鉴权服务器完成对接入所述接入服务节点的用户设备的接入认证并获知所述用户设备的会话的根密钥;
所述报文认证模块,用于在所述接入服务节点作为用户设备的源接入服务节点时,收到所述用户设备发送的数据报文后,使用根据所述根密钥生成的会话私钥计算所述数据报文的签名,并将所述签名和所述数据报文发送至报文发送模块;还用于在所述接入服务节点作为用户设备的目标接入服务节点时,收到其它接入服务节点发送的数据报文后,使用从鉴权服务器获知的根据所述根密钥生成的会话公钥计算所述数据报文的签名,通过与接收到的签名比较比较如果两者匹配则判定所述数据报文是安全报文;
所述报文接收模块,用于在所述接入服务节点作为用户设备的源接入服务节点时,接收源终端发送给目的终端的数据报文,并将该数据报文发送至报文认证模块;还用于在所述接入服务节点作为用户设备的目标接入服务节点时,将从其它接入服务节点收到的数据报文和签名发送至报文认证模块;
所述报文发送模块,用于在所述接入服务节点作为用户设备的源接入服务节点时,将来自所述报文认证模块的数据报文和第一身份认证信息向所述数据报文的目标接入服务节点发送;还用于在所述接入服务节点作为用户设备的目标接入服务节点时,在所述报文认证模块判断数据报文安全时向目标终端发送。
进一步地,上述接入服务节点还可以具有以下特点:
所述报文认证模块,还用于收到所述用户设备发送的所述会话的第一个数据报文后,使用所述根密钥生成所述会话的所述私钥。
进一步地,上述接入服务节点还可以具有以下特点:
所述接入服务节点是接入服务器路由器或者是互联互通服务器。
本方案可以加强SILSN核心网网络的安全,保证用户发送报文时不被其他人员假冒,进一步加强网络溯源的可靠性。
附图说明
图1为现有技术中的一种终端身份位置分离网络架构图;
图2为实施例中用于终端身份位置分离网络的报文认证系统结构图;
图3为实施例中用于终端身份位置分离网络的接入节点模块图;
图4为实施例中用于终端身份位置分离网络的接入节点进行信息安全传输方法流程图;
图5为具体实施例中用于终端身份位置分离网络的接入节点进行报文认证的方法流程图。
具体实施方式
图2是用于终端身份位置分离网络的信息安全传输系统的结构图。
该系统包括源接入服务节点301,目标接入服务节点302,鉴权服务器303。
鉴权服务器303,用于经由所述源接入服务节点对接入此源接入服务节点的用户设备进行接入认证并生成或与所述用户设备协商会话的根密钥;
源接入服务节点301,用于收到所述用户设备发送的数据报文后,使用根据所述根密钥生成的会话私钥计算所述数据报文的签名,并将所述签名和所述数据报文发送至所述数据报文的目标接入服务节点;
目标接入服务节点302,用于从所述源接入服务节点收到所述数据报文后,使用所述鉴权服务器根据所述根密钥生成的会话公钥计算所述数据报文的签名,通过与接收到的签名比较如果两者匹配则判定所述数据报文是安全报文。
上述系统中,用户设备,可以用于在所述鉴权服务器与所述用户设备协商根密钥结束后,将所述根密钥通知至所述源接入服务节点。鉴权服务器303,还可以用于与所述用户设备协商根密钥结束后,将所述根密钥通知至所述源接入服务节点。
所述源接入节点301接收来自源终端UE1发送给目的终端UE2的数据报文,所述数据报文包含目的终端的身份信息;源接入节点301根据所述目的终端的身份信息确定目的终端UE2的位置;所述目的终端UE2的位置可为其接入的接入节点地址的网络前缀;所述目的终端的身份信息和位置信息的对应用关系可存储在身份位置分离网络中单独设立的终端身份和位置寄存器ILR中,也可存储在源接入节点301上。
源接入服务节点301,还用于收到所述用户设备发送的所述会话的第一个数据报文后,使用所述根密钥生成所述会话的所述私钥,并通知所述鉴权服务器建立会话密钥;鉴权服务器303,还用于收到建立会话密钥的通知后,使用所述根密钥生成所述会话的所述公钥。
所述源接入服务节点301,还用于收到所述用户设备发送的所述会话的第一个数据报文后,生成一随机数,根据所述根密钥和所述随机数生成所述会话的所述私钥,将所述随机数连同所述会话的标识通过建立会话密钥通知消息通知至所述鉴权服务器;鉴权服务器303,还用于根据所述根密钥和所述随机数生成所述会话的所述公钥。
鉴权服务器303,还用于生成所述公钥后通知所述接入服务节点会话密钥建立完成。
鉴权服务器303是鉴权授权计费(AAA)服务器或归属位置寄存/鉴权中心器(HLR/AUC),接入服务节点301或302是接入服务器路由器(ASR)或者是互联互通服务器(ISR)。
上述签名可以是数字摘要。
图3是本实施例的用于终端身份位置分离网络的接入服务节点模块图。
所述接入节点包括终端接入认证模块401、报文认证模块402、报文发送模块403和报文接收模块404。
终端接入认证模块401,用于在此接入服务节点作为用户设备的源接入服务节点时,协助鉴权服务器完成对接入所述接入服务节点的用户设备的接入认证并获知所述用户设备的会话的根密钥;
报文认证模块402,用于在所述接入服务节点作为用户设备的源接入服务节点时,收到所述用户设备发送的数据报文后,使用根据所述根密钥生成的会话私钥计算所述数据报文的签名,并将所述签名和所述数据报文发送至报文发送模块;还用于在所述接入服务节点作为用户设备的目标接入服务节点时,收到其它接入服务节点发送的数据报文后,使用从鉴权服务器获知的根据所述根密钥生成的会话公钥计算所述数据报文的签名,通过与接收到的签名比较比较如果两者匹配则判定所述数据报文是安全报文;
报文发送模块403,用于在所述接入服务节点作为用户设备的源接入服务节点时,将来自所述报文认证模块的数据报文和第一身份认证信息向所述数据报文的目标接入服务节点发送;还用于在所述接入服务节点作为用户设备的目标接入服务节点时,在所述报文认证模块判断数据报文安全时向目标终端发送;
报文接收模块404,用于在所述接入服务节点作为用户设备的源接入服务节点时,接收源终端发送给目的终端的数据报文,并将该数据报文发送至报文认证模块;还用于在所述接入服务节点作为用户设备的目标接入服务节点时,将从其它接入服务节点收到的数据报文和签名发送至报文认证模块;
报文认证模块402,还用于收到所述用户设备发送的所述会话的第一个数据报文后,使用所述根密钥生成所述会话的所述私钥。
上述签名可以是数字摘要。
图4为本实施例的用于终端身份位置分离网络的接入节点进行信息安全传输的方法流程图。
S401,鉴权服务器经由源接入服务节点对接入此源接入服务节点的用户设备进行接入认证并生成或与所述用户设备协商会话的根密钥;
S402,所述源接入服务节点收到所述用户设备发送的数据报文后,使用根据所述根密钥生成的会话私钥计算所述数据报文的签名,并将所述签名和所述数据报文发送至所述数据报文的目标接入服务节点;
S403,所述目标接入服务节点接收所述数据报文;
S404,所述目标接入服务节点使用所述鉴权服务器根据所述根密钥生成的会话公钥计算所述数据报文的签名;
S405,与接收到的签名比较如果两者匹配则执行步骤S406,否则执行步骤S407。
S406,判定所述数据报文是安全报文,接收到的数据报文安全将安全的数据报文发送至目的终端,结束流程;
S407判定所述数据报文是不安全报文并丢弃,结束流程。
所述鉴权服务器与所述用户设备协商根密钥结束后,所述用户设备或所述鉴权服务器将所述根密钥通知至所述源接入服务节点。
所述源接入服务节点收到所述用户设备发送的所述会话的第一个数据报文后,使用所述根密钥生成所述会话的所述私钥,并通知所述鉴权服务器建立会话密钥,所述鉴权服务器收到建立会话密钥的通知后,使用所述根密钥生成所述会话的所述公钥。
所述源接入服务节点收到所述用户设备发送的所述会话的第一个数据报文后,生成一随机数,根据所述根密钥和所述随机数生成所述会话的所述私钥,将所述随机数连同所述会话的标识通过建立会话密钥通知消息通知至所述鉴权服务器,所述鉴权服务器根据所述根密钥和所述随机数生成所述会话的所述公钥。
所述鉴权服务器生成所述公钥后通知所述接入服务节点会话密钥建立完成。
所述鉴权服务器是鉴权授权计费(AAA)服务器或归属位置寄存/鉴权中心器(HLR/AUC),所述接入服务节点是接入服务器路由器或者是互联互通服务器。
图5是上述方法中的一种具体实现方式,包括:
步骤501:当用户AID1接入接入服务器ASR1时,AAA服务器通过ASR1对用户进行接入认证,同时协商会话根密钥Kroot。此步骤中也可以由AAA服务单方生成根密钥Kroot后通知用户AID1。
步骤502:当AAA对用户AID1认证通过后,由用户AID1通知ASR1所协商的会话根密钥Kroot,此根密钥由AID1和AAA在认证过程中生成,分别保存于AID1和AAA中,此根密钥做为会话密钥的原始材料,后续在每次会话时生成相应的会话密钥。
此步骤从AID1向ASR1传递密钥相对简单。此步骤中的根密钥也可以由AAA服务器发给ASR1,其他步骤相同,优点在于不用修改终端,就可以实现所有的功能相对来说比较容易实施,而此方式从AAA服务器向ASR1传递密钥则需要经过核心网,必须由特殊的安全机制来保证,比如在ASR1和AAA服务器之间建立一条安全的加密隧道,如IPSec等。
步骤503:用户AID1向ASR1发送数据报文。
步骤504:ASR1收到数据报文后,提取其中的目的标识,如果ASR1不知道目的标识AID2所在的位置,则向身份和位置服务器ILR请求目的用户所在的位置标识,即查询AID2和RID2的对应关系。如果ASR1已经存储目的标识AID2所在的位置,则不需要经由204~205步,直接跳转到206步。
步骤505:ILR查询到相应的位置映射关系(如AID2和RID2)后,将结果返回给ASR1。
步骤506:ASR1判断是否是会话的第一个数据报文,如果是则通知AAA建立会话密钥,此时由ASR1生成一个随机数RAND1,连同会话标识,传送给AAA服务器。如果ASR1判断此数据报文不是该会话的第一个报文,说明本地已有该会话的会话密钥,则直接跳转到步骤209,不再进行会话密钥协商。
步骤507:然后,ASR利用根密钥Kroot和随机数RAND1,生成一个私钥Kin,用于进行报文认证。同时,AAA服务器利用根密钥Kroot和随机数RAND1,生成一个公钥Kout,和会话标识一起存储下来,后续用于验证报文认证结果。
步骤508:AAA通知ASR1,会话密钥已成功建立。
步骤509:ASR1利用在会话密钥Kin,计算用户发送的该报文的摘要。
步骤510:ASR1将报文和摘要一起发送给目的接入服务器,即ASR2.
步骤511:ASR2收到报文后,判断本地是否存在此会话的会话密钥Kout,如果不存在,则向AAA索取相应的会话密钥Kout,所索取的会话密钥应该是会话密钥的公钥。此步骤中,应该携带主叫用户的标识和会话标识,即AID1和会话ID。如果已存在会话密钥Kout,则直接跳转到步骤213.
步骤512:AAA服务器返回AID1相关会话的会话密钥Kout。
步骤513:ASR2用此会话密钥Kout计算报文的摘要,并比较正误。
步骤514:如果报文摘要正确,则正常将报文发送给AID2,否则将报文丢弃。
通过上述方法,AID2接收到的报文,一定是AID1接入的接入服务器发出的,从而避免个别坏分子通过核心网中间的某个ASR节点冒充用户发送数据报文,从而解决了因个别破坏者造成的整网安全性隐患。本方案可以保证被叫用户收到的报文不会被SILSN中间网络所修改,保护报文的安全性。
本方法也可以用于其他身份和位置分离网络的数据报文传输,如LISP等。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
Claims (16)
1.一种信息安全传输方法,应用于用户身份标识和位置分离网络,其中,
鉴权服务器经由源接入服务节点对接入此源接入服务节点的用户设备进行接入认证并生成或与所述用户设备协商会话的根密钥;
所述源接入服务节点收到所述用户设备发送的数据报文后,使用根据所述根密钥生成的会话私钥计算所述数据报文的签名,并将所述签名和所述数据报文发送至所述数据报文的目标接入服务节点;
所述目标接入服务节点收到所述数据报文后,使用所述鉴权服务器根据所述根密钥生成的会话公钥计算所述数据报文的签名,与接收到的签名比较如果两者匹配则判定所述数据报文是安全报文。
2.如权利要求1所述的方法,其特征在于,
所述鉴权服务器与所述用户设备协商根密钥结束后,所述用户设备或所述鉴权服务器将所述根密钥通知至所述源接入服务节点。
3.如权利要求1所述的方法,其特征在于,
所述源接入服务节点收到所述用户设备发送的所述会话的第一个数据报文后,使用所述根密钥生成所述会话的所述私钥,并通知所述鉴权服务器建立会话密钥,所述鉴权服务器收到建立会话密钥的通知后,使用所述根密钥生成所述会话的所述公钥。
4.如权利要求3所述的方法,其特征在于,
所述源接入服务节点收到所述用户设备发送的所述会话的第一个数据报文后,生成一随机数,根据所述根密钥和所述随机数生成所述会话的所述私钥,将所述随机数连同所述会话的标识通过建立会话密钥通知消息通知至所述鉴权服务器,所述鉴权服务器根据所述根密钥和所述随机数生成所述会话的所述公钥。
5.如权利要求4所述的方法,其特征在于,
所述鉴权服务器生成所述公钥后通知所述接入服务节点会话密钥建立完成。
6.如权利要求1所述的方法,其特征在于,
所述鉴权服务器是鉴权授权计费AAA服务器或归属位置寄存/鉴权中心器HLR/AUC,所述接入服务节点是接入服务器路由器或者是互联互通服务器。
7.一种信息安全传输系统,应用于用户身份标识和位置分离网络,包括用户设备,源接入服务节点,目标接入服务节点,鉴权服务器,其中,
所述鉴权服务器,用于经由所述源接入服务节点对接入此源接入服务节点的用户设备进行接入认证并生成或与所述用户设备协商会话的根密钥;
所述源接入服务节点,用于收到所述用户设备发送的数据报文后,使用根据所述根密钥生成的会话私钥计算所述数据报文的签名,并将所述签名和所述数据报文发送至所述数据报文的目标接入服务节点;
所述目标接入服务节点,用于从所述源接入服务节点收到所述数据报文后,使用所述鉴权服务器根据所述根密钥生成的会话公钥计算所述数据报文的签名,通过与接收到的签名比较如果两者匹配则判定所述数据报文是安全报文。
8.如权利要求7所述的系统,其特征在于,
所述用户设备,用于在所述鉴权服务器与所述用户设备协商根密钥结束后,将所述根密钥通知至所述源接入服务节点。
9.如权利要求7所述的系统,其特征在于,
所述鉴权服务器,还用于与所述用户设备协商根密钥结束后,将所述根密钥通知至所述源接入服务节点。
10.如权利要求7所述的系统,其特征在于,
所述源接入服务节点,还用于收到所述用户设备发送的所述会话的第一个数据报文后,使用所述根密钥生成所述会话的所述私钥,并通知所述鉴权服务器建立会话密钥;
所述鉴权服务器,还用于收到建立会话密钥的通知后,使用所述根密钥生成所述会话的所述公钥。
11.如权利要求10所述的系统,其特征在于,
所述源接入服务节点,还用于收到所述用户设备发送的所述会话的第一个数据报文后,生成一随机数,根据所述根密钥和所述随机数生成所述会话的所述私钥,将所述随机数连同所述会话的标识通过建立会话密钥通知消息通知至所述鉴权服务器;
所述鉴权服务器,还用于根据所述根密钥和所述随机数生成所述会话的所述公钥。
12.如权利要求11所述的系统,其特征在于,
所述鉴权服务器,还用于生成所述公钥后通知所述接入服务节点会话密钥建立完成。
13.如权利要求7所述的系统,其特征在于,
所述鉴权服务器是鉴权授权计费AAA服务器或归属位置寄存/鉴权中心器HLR/AUC,所述接入服务节点是接入服务器路由器或者是互联互通服务器。
14.一种接入服务节点,应用于用户身份标识和位置分离网络,其中,
包括终端接入认证模块、报文认证模块、报文发送模块和报文接收模块;
所述终端接入认证模块,用于在所述接入服务节点作为用户设备的源接入服务节点时,协助鉴权服务器完成对接入所述接入服务节点的用户设备的接入认证并获知所述用户设备的会话的根密钥;
所述报文认证模块,用于在所述接入服务节点作为用户设备的源接入服务节点时,收到所述用户设备发送的数据报文后,使用根据所述根密钥生成的会话私钥计算所述数据报文的签名,并将所述签名和所述数据报文发送至报文发送模块;还用于在所述接入服务节点作为用户设备的目标接入服务节点时,收到其它接入服务节点发送的数据报文后,使用从鉴权服务器获知的根据所述根密钥生成的会话公钥计算所述数据报文的签名,通过与接收到的签名比较比较如果两者匹配则判定所述数据报文是安全报文;
所述报文接收模块,用于在所述接入服务节点作为用户设备的源接入服务节点时,接收源终端发送给目的终端的数据报文,并将该数据报文发送至报文认证模块;还用于在所述接入服务节点作为用户设备的目标接入服务节点时,将从其它接入服务节点收到的数据报文和签名发送至报文认证模块;
所述报文发送模块,用于在所述接入服务节点作为用户设备的源接入服务节点时,将来自所述报文认证模块的数据报文和第一身份认证信息向所述数据报文的目标接入服务节点发送;还用于在所述接入服务节点作为用户设备的目标接入服务节点时,在所述报文认证模块判断数据报文安全时向目标终端发送。
15.如权利要求14所述的接入服务节点,其中,
所述报文认证模块,还用于收到所述用户设备发送的所述会话的第一个数据报文后,使用所述根密钥生成所述会话的所述私钥。
16.如权利要求14所述的接入服务节点,其中,
所述接入服务节点是接入服务器路由器或者是互联互通服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110354386.2A CN103108325B (zh) | 2011-11-10 | 2011-11-10 | 一种信息安全传输方法及系统及接入服务节点 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110354386.2A CN103108325B (zh) | 2011-11-10 | 2011-11-10 | 一种信息安全传输方法及系统及接入服务节点 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103108325A CN103108325A (zh) | 2013-05-15 |
| CN103108325B true CN103108325B (zh) | 2018-05-18 |
Family
ID=48315827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110354386.2A Active CN103108325B (zh) | 2011-11-10 | 2011-11-10 | 一种信息安全传输方法及系统及接入服务节点 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103108325B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9374664B2 (en) * | 2014-08-28 | 2016-06-21 | Google Inc. | Venue-specific wi-fi connectivity notifications |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11174957A (ja) * | 1997-10-31 | 1999-07-02 | Certicom Corp | 認証プロトコル |
| CN1534936A (zh) * | 2003-03-31 | 2004-10-06 | 华为技术有限公司 | 一种无线局域网中基于公钥证书机制的密钥分发方法 |
| CN1628449A (zh) * | 2002-06-20 | 2005-06-15 | 诺基亚公司 | 传送计费信息的方法、系统和设备 |
| CN101034449A (zh) * | 2007-04-17 | 2007-09-12 | 华中科技大学 | 实现电子支付的方法、系统及移动终端 |
| CN101330438A (zh) * | 2007-06-21 | 2008-12-24 | 华为技术有限公司 | 一种节点间安全通信的方法及系统 |
| CN101378315A (zh) * | 2007-08-27 | 2009-03-04 | 华为技术有限公司 | 认证报文的方法、系统、设备和服务器 |
| CN101729568A (zh) * | 2009-12-11 | 2010-06-09 | 北京交通大学 | 使用令牌机制保障源地址真实性的安全接入系统及方法 |
-
2011
- 2011-11-10 CN CN201110354386.2A patent/CN103108325B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11174957A (ja) * | 1997-10-31 | 1999-07-02 | Certicom Corp | 認証プロトコル |
| CN1628449A (zh) * | 2002-06-20 | 2005-06-15 | 诺基亚公司 | 传送计费信息的方法、系统和设备 |
| CN1534936A (zh) * | 2003-03-31 | 2004-10-06 | 华为技术有限公司 | 一种无线局域网中基于公钥证书机制的密钥分发方法 |
| CN101034449A (zh) * | 2007-04-17 | 2007-09-12 | 华中科技大学 | 实现电子支付的方法、系统及移动终端 |
| CN101330438A (zh) * | 2007-06-21 | 2008-12-24 | 华为技术有限公司 | 一种节点间安全通信的方法及系统 |
| CN101378315A (zh) * | 2007-08-27 | 2009-03-04 | 华为技术有限公司 | 认证报文的方法、系统、设备和服务器 |
| CN101729568A (zh) * | 2009-12-11 | 2010-06-09 | 北京交通大学 | 使用令牌机制保障源地址真实性的安全接入系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103108325A (zh) | 2013-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9137226B2 (en) | Authentication method and authentication device for performing group authentication using a group key | |
| CN103067337B (zh) | 一种身份联合的方法、IdP、SP及系统 | |
| CN102790807B (zh) | 域名解析代理方法和系统、域名解析代理服务器 | |
| US9113332B2 (en) | Method and device for managing authentication of a user | |
| CN105376239B (zh) | 一种支持移动终端进行IPSec VPN报文传输方法及装置 | |
| CN106789834B (zh) | 用于识别用户身份的方法、网关、pcrf网元和系统 | |
| CN110800331A (zh) | 网络验证方法、相关设备及系统 | |
| CN103023856B (zh) | 单点登录的方法、系统和信息处理方法、系统 | |
| CN101160920A (zh) | 对用户终端进行鉴权的方法及鉴权系统 | |
| CN105207778B (zh) | 一种在接入网关设备上实现包身份标识及数字签名的方法 | |
| CN104580553B (zh) | 网络地址转换设备的识别方法和装置 | |
| US9686256B2 (en) | Method and system for accessing network through public device | |
| CN108243413B (zh) | 一种无线接入铁路信息网络的方法及系统 | |
| CN101902482B (zh) | 基于IPv6自动配置实现终端安全准入控制的方法和系统 | |
| CN116546491A (zh) | 在通信网络中用于与服务应用的加密通信的锚密钥生成和管理的方法、设备和系统 | |
| CN104468619B (zh) | 一种实现双栈web认证的方法和认证网关 | |
| CN104883339B (zh) | 一种用户隐私保护的方法、设备和系统 | |
| CN106790251A (zh) | 用户接入方法和用户接入系统 | |
| CN103051594A (zh) | 一种标识网端到端安全建立的方法、网络侧设备及系统 | |
| CN102123071B (zh) | 数据报文分类处理的实现方法、网络、终端及互通服务节点 | |
| CN103051598B (zh) | 安全接入互联网业务的方法、用户设备和分组接入网关 | |
| Marin-Lopez et al. | Network access security for the internet: protocol for carrying authentication for network access | |
| CN110474922A (zh) | 一种通信方法、pc系统及接入控制路由器 | |
| CN105516070B (zh) | 一种认证凭证更替的方法及装置 | |
| US9532218B2 (en) | Implementing a security association during the attachment of a terminal to an access network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201202 Address after: 215500 No.13, Caotang Road, Changshu, Suzhou, Jiangsu Province Patentee after: Changshu intellectual property operation center Co.,Ltd. Address before: 518057 Nanshan District Guangdong high tech Industrial Park, South Road, science and technology, ZTE building, Ministry of Justice Patentee before: ZTE Corp. |
|
| TR01 | Transfer of patent right | ||
| CP02 | Change in the address of a patent holder |
Address after: 215500 5th floor, building 4, 68 Lianfeng Road, Changfu street, Changshu City, Suzhou City, Jiangsu Province Patentee after: Changshu intellectual property operation center Co.,Ltd. Address before: No.13 caodang Road, Changshu City, Suzhou City, Jiangsu Province Patentee before: Changshu intellectual property operation center Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220120 Address after: 215500 No.8, Menglan Road, Changshu City, Suzhou City, Jiangsu Province Patentee after: JIANGSU LEMOTE INFORMATION TECHNOLOGY CO.,LTD. Address before: 215500 5th floor, building 4, 68 Lianfeng Road, Changfu street, Changshu City, Suzhou City, Jiangsu Province Patentee before: Changshu intellectual property operation center Co.,Ltd. |
|
| TR01 | Transfer of patent right |