CN103441989B - 一种鉴权、信息处理方法及装置 - Google Patents
一种鉴权、信息处理方法及装置 Download PDFInfo
- Publication number
- CN103441989B CN103441989B CN201310337303.8A CN201310337303A CN103441989B CN 103441989 B CN103441989 B CN 103441989B CN 201310337303 A CN201310337303 A CN 201310337303A CN 103441989 B CN103441989 B CN 103441989B
- Authority
- CN
- China
- Prior art keywords
- connection establishment
- audiomonitor
- ims network
- functional entity
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种鉴权、信息处理方法及装置,用以实现IMS网络功能实体与监听设备在进行双向鉴权时可以灵活选择摘要算法,提高该双向鉴权的效率与安全性。所述鉴权方法包括:监听设备向IMS网络功能实体发送携带有选择的摘要算法和通过该摘要算法计算得到的认证字段的连接建立请求消息,IMS网络功能实体接收所述的连接建立请求消息后,根据所述连接建立请求消息中携带的摘要算法计算认证字段,再将所计算出的认证字段与所述连接建立请求消息中携带的认证字段进行比较,根据比较结果,向监听设备发送连接建立响应消息,最后监听设备接收IMS网络功能实体发送的连接建立响应消息。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种鉴权、信息处理方法及装置。
背景技术
在对IP多媒体子系统IMS网络功能实体进行合法监听的过程中,IMS网络功能实体与监听设备需要进行双向鉴权过程来验证双方的身份合法性,目前在3GPP和欧洲电信标准化协会(European Telecommunications StandardsInstitute,ETSI)的协议中对鉴权的步骤和参数尚无明确说明。
经常使用消息摘要算法来实现双方的身份鉴权认证。在合法监听的鉴权认证过程中,经常使用消息摘要算法第五版(Message Digest Algorithm,MD5)作为消息摘要算法,目前MD5算法已经被攻破,在安全性方面存在一定隐患。攻击者比较容易使用碰撞的方法模仿签名来通过验证,从而造成非法设备冒充警用信息中心对IMS网络功能实体进行监听。消息摘要算法有多种,在运算快慢和安全性强弱方面有各自特点。固定使用MD5作为消息摘要算法,使用者无法根据具体情况在运算效率以及安全性之间做选择。
在3GPP TS33.107V11.2.0中对基于IMS网络的合法监听做出说明,如图1和图2所示,考虑到今后X1、X2接口在警用信息中心侧可能在设备上是分离的,因此,X1、X2两个接口的认证相互独立,使用独立的认证参数(监听设备对应的秘密数据Ki、加密密钥Kc、警用信息中心(Lawful Interception Center,LIC)接入密码Password、序列号SQN和随机数RAND),但这些参数的取值可以相同。X1,X2接口认证是警用信息中心和软交换系统必须支持的功能,X3接口不做认证。
综上所述,现有技术中,警用信息中心与软交换系统之间在建立信令和业务连接时,无法实现双方身份认证,因此无法保证警用接口的安全,无法防止非法软交换系统对警用信息中心的恶意攻击,以及非法的警用信息中心接入软交换系统执行非法监听活动。
发明内容
本发明实施例提供了一种鉴权、信息处理方法及装置,用以实现IP多媒体子系统IMS网络功能实体与监听设备的双向鉴权,并且可以灵活选择摘要算法,提高鉴权的效率与安全性。
本发明实施例提供了一种鉴权方法,包括:
监听设备向IP多媒体子系统IMS网络功能实体发送携带有摘要算法和通过该摘要算法计算得到的认证字段的连接建立请求消息;
监听设备接收IMS网络功能实体发送的连接建立响应消息。
从上述方案中可以看出,监听设备向IMS网络功能实体发送的连接建立请求消息中携带有摘要算法,这样,在IMS网络功能实体与监听设备进行双向鉴权时可以灵活选择摘要算法,提高该双向鉴权的效率与安全性。
较佳地,监听设备接收IMS网络功能实体发送的连接建立响应消息,包括:如果IMS网络功能实体利用所述连接建立请求消息对该监听设备鉴权失败,则监听设备接收IMS网络功能实体发送的携带有连接建立失败指示和连接建立失败原因的连接建立响应消息。
这样,监听设备便可以得知IMS网络功能实体对该监听设备鉴权失败。
较佳地,在监听设备接收所述连接建立响应消息之后,该方法还包括:
监听设备接收IMS网络功能实体发送的连接释放消息。
这样,监听设备便可以在得知IMS网络功能实体对该监听设备鉴权失败后,接收该IMS网络功能实体发送的连接释放消息,终断双向鉴权连接。
较佳地,监听设备接收IMS网络功能实体发送的连接建立响应消息,包括:如果IMS网络功能实体利用所述连接建立请求消息对该监听设备鉴权成功,则该监听设备接收IMS网络功能实体发送的携带有连接建立成功指示的连接建立响应消息,并且该连接建立响应消息中还包括利用所述摘要算法、加密密钥Kc、随机数RAND和序列号SQN计算得到的应答字段,其中,所述Kc是IMS网络功能实体根据所述摘要算法、所述RAND、SQN、以及所述监听设备对应的秘密数据Ki计算得到的,所述RAND携带于所述连接建立请求消息中,所述SQN为所述连接建立请求消息中携带的SQN组别号所对应的SQN组中的第一个SQN。
这样,在IMS网络功能实体对监听设备鉴权成功后,该监听设备接收IMS网络功能实体发送的携带有计算的应答字段和连接建立成功指示的连接建立响应消息,为监听设备对IMS网络功能实体进行鉴权做准备。
较佳地,监听设备接收IMS网络功能实体发送的连接建立响应消息之后,该方法还包括:
监听设备利用所述摘要算法、所述RAND、SQN、以及所述监听设备对应的秘密数据Ki计算出加密密钥Kc,利用该Kc、所述RAND、SQN以及所述摘要算法计算出应答字段,并将该应答字段与IMS网络功能实体发送的连接建立响应消息中携带的应答字段进行比较,若相同,则监听设备对IMS网络功能实体鉴权成功,否则,监听设备对IMS网络功能实体鉴权失败。
这样,在IMS网络功能实体对监听设备鉴权成功后,监听设备对IMS网络功能实体进行鉴权,实现双向鉴权。
较佳地,当所述监听设备对IMS网络功能实体鉴权失败时,该方法还包括:监听设备向IMS网络功能实体发送连接释放消息。
这样,在监听设备对IMS网络功能实体鉴权失败后,该监听设备向该IMS网络功能实体发送连接释放消息,终断双向鉴权连接。
本发明实施例还提供了一种信息处理方法,包括:
IP多媒体子系统IMS网络功能实体接收监听设备发送的携带有摘要算法和该监听设备通过该摘要算法计算得到的认证字段的连接建立请求消息;
IMS网络功能实体根据所述连接建立请求消息中携带的摘要算法计算认证字段,将所计算出的认证字段与所述连接建立请求消息中携带的认证字段进行比较,根据比较结果,向监听设备发送连接建立响应消息。
从上述方案中可以看出,IMS网络功能实体接收监听设备发送的连接建立请求消息中携带有摘要算法,这样,在IMS网络功能实体与监听设备进行双向鉴权时可以灵活选择摘要算法,提高该双向鉴权的效率与安全性。
较佳地,IMS网络功能实体根据比较结果,向监听设备发送连接建立响应消息,包括:如果比较结果不相同,则IMS网络功能实体对监听设备鉴权失败,IMS网络功能实体向监听设备发送携带有连接建立失败指示和连接建立失败原因的连接建立响应消息;否则,IMS网络功能实体向监听设备发送携带有连接建立成功指示的连接建立响应消息。
这样,IMS网络功能实体可以根据比较结果确定发送给监听设备的消息。
较佳地,当IMS网络功能实体对监听设备鉴权失败时,该方法还包括:
IMS网络功能实体向监听设备发送连接释放消息。
这样,IMS网络功能实体便可以在对监听设备鉴权失败后,向该监听设备发送连接释放消息,终断双向鉴权连接。
较佳地,IMS网络功能实体向监听设备发送携带有连接建立成功指示的连接建立响应消息,包括:
IMS网络功能实体利用所述监听设备对应的秘密数据Ki、所述连接建立请求消息中携带的随机数RAND、SQN组别号所对应的SQN组中的第一个SQN,以及所述摘要算法,计算得到加密密钥Kc;
IMS网络功能实体利用所述Kc、RAND、SQN以及所述摘要算法,计算得到应答字段;
IMS网络功能实体将所述应答字段,以及连接建立成功指示填入连接建立响应消息中发送给监听设备。
这样,在IMS网络功能实体对监听设备鉴权成功后,向该监听设备发送携带有计算的应答字段和连接建立成功指示的连接建立响应消息,为监听设备对IMS网络功能实体进行鉴权做准备。
较佳地,该方法还包括:
如果监听设备根据所述连接建立响应消息中的应答字段,对IMS网络功能实体鉴权失败,则IMS网络功能实体接收监听设备发送的连接释放消息。
这样,在监听设备对IMS网络功能实体鉴权失败后,该IMS网络功能实体接收该监听设备发送的连接释放消息,终断双向鉴权连接。
本发明实施例提供了一种鉴权装置,该装置包括:
消息发送单元,用于向IP多媒体子系统IMS网络功能实体发送携带有摘要算法和通过该摘要算法计算得到的认证字段的连接建立请求消息;
消息接收单元,用于接收IMS网络功能实体发送的连接建立响应消息。
较佳地,所述的消息接收单元具体用于:如果IMS网络功能实体利用所述连接建立请求消息对该监听设备鉴权失败,则所述的消息接收单元接收IMS网络功能实体发送的携带有连接建立失败指示和连接建立失败原因的连接建立响应消息。
这样,监听设备便可以得知IMS网络功能实体对该监听设备鉴权失败。
较佳地,所述的消息接收单元还用于:在接收所述连接建立响应消息之后,接收IMS网络功能实体发送的连接释放消息。
这样,监听设备便可以在得知IMS网络功能实体对该监听设备鉴权失败后,接收该IMS网络功能实体发送的连接释放消息,终断双向鉴权连接。
较佳地,所述的消息接收单元具体用于:如果IMS网络功能实体利用所述连接建立请求消息对该监听设备鉴权成功,则接收IMS网络功能实体发送的携带有连接建立成功指示的连接建立响应消息,并且该连接建立响应消息中还包括利用所述摘要算法、加密密钥Kc、随机数RAND和序列号SQN计算得到的应答字段,其中,所述Kc是IMS网络功能实体根据所述摘要算法、所述RAND、SQN、以及所述监听设备对应的秘密数据Ki计算得到的,所述RAND携带于所述连接建立请求消息中,所述SQN为所述连接建立请求消息中携带的SQN组别号所对应的SQN组中的第一个SQN。
这样,在IMS网络功能实体对监听设备鉴权成功后,该监听设备接收IMS网络功能实体发送的携带有所计算的应答字段和连接建立成功指示的连接建立响应消息,为监听设备对IMS网络功能实体进行鉴权做准备。
较佳地,该装置还包括:
消息处理单元,用于在所述的消息接收单元接收IMS网络功能实体发送的连接建立响应消息之后,利用所述摘要算法、所述RAND、SQN、以及所述监听设备对应的秘密数据Ki计算出加密密钥Kc,利用该Kc、所述RAND、SQN以及所述摘要算法计算出应答字段,并将该应答字段与IMS网络功能实体发送的连接建立响应消息中携带的应答字段进行比较,若相同,则对IMS网络功能实体鉴权成功,否则,对IMS网络功能实体鉴权失败。
这样,在IMS网络功能实体对监听设备鉴权成功后,监听设备对IMS网络功能实体进行鉴权,实现双向鉴权。
较佳地,所述消息处理单元还用于:当对IMS网络功能实体鉴权失败时,触发消息发送单元向IMS网络功能实体发送连接释放消息。
这样,在监听设备对IMS网络功能实体鉴权失败后,该监听设备向该IMS网络功能实体发送连接释放消息,终断双向鉴权连接。
本发明实施例还提供了一种信息处理装置,该装置包括:
消息接收单元,用于接收监听设备发送的携带有摘要算法和该监听设备通过该摘要算法计算得到的认证字段的连接建立请求消息;
比较处理单元,用于根据所述连接建立请求消息中携带的摘要算法计算认证字段;将所计算出的认证字段与所述连接建立请求消息中携带的认证字段进行比较;根据比较结果,向监听设备发送连接建立响应消息。
较佳地,所述的比较处理单元根据比较结果,向监听设备发送连接建立响应消息时,具体用于:如果比较结果不相同,则对监听设备鉴权失败,向监听设备发送携带有连接建立失败指示和连接建立失败原因的连接建立响应消息;否则,向监听设备发送携带有连接建立成功指示的连接建立响应消息。
这样,IMS网络功能实体可以根据比较结果确定发送给监听设备的消息。
较佳地,所述的比较处理单元还用于:在对监听设备鉴权失败之后,向监听设备发送连接释放消息。
这样,IMS网络功能实体便可以在对监听设备鉴权失败后,向该监听设备发送连接释放消息,终断双向鉴权连接。
较佳地,所述的比较处理单元在向监听设备发送携带有连接建立成功指示的连接建立响应消息时,具体用于:
利用所述监听设备对应的秘密数据Ki、所述连接建立请求消息中携带的随机数RAND、SQN组别号所对应的SQN组中的第一个SQN,以及所述摘要算法,计算得到加密密钥Kc;
利用所述Kc、RAND、SQN以及所述摘要算法,计算得到应答字段;
将所述应答字段,以及连接建立成功指示填入连接建立响应消息中并发送给监听设备。
这样,在IMS网络功能实体对监听设备鉴权成功后,向该监听设备发送携带有计算的应答字段和连接建立成功指示的连接建立响应消息,为监听设备对IMS网络功能实体进行鉴权做准备。
较佳地,所述的消息接收单元还用于:
如果监听设备根据所述连接建立响应消息中的应答字段,对IMS网络功能实体鉴权失败,则接收监听设备发送的连接释放消息。
这样,在监听设备对IMS网络功能实体鉴权失败后,该IMS网络功能实体接收该监听设备发送的连接释放消息,终断双向鉴权连接。
附图说明
图1为现有技术IMS-CSCF监听配置(IMS-CSCF Intercept configuration)示意图;
图2为现有技术IMS会议监听配置(IMS Conferencing Interceptconfiguration)示意图;
图3为本发明实施例提供的一种鉴权、信息处理方法流程示意图;
图4为本发明实施例提供的计算认证字段方法示意图;
图5为本发明实施例提供的计算加密密钥Kc方法示意图;
图6为本发明实施例提供的计算应答字段方法示意图;
图7为本发明实施例提供的一种鉴权装置示意图;
图8为本发明实施例提供的一种信息处理装置示意图。
具体实施方式
本发明实施例提供了一种鉴权、信息处理方法及装置,用以实现IP多媒体子系统IMS网络功能实体与监听设备在进行双向鉴权时可以灵活选择摘要算法,提高该双向鉴权的效率与安全性。
下面以具体的实施例详细说明本发明的方法,如图3所示,本发明具体实施例提供了一种鉴权、信息处理方法,该方法包括:
S301、监听设备向IMS网络功能实体发送携带有选择的摘要算法和通过该摘要算法计算得到的认证字段的连接建立请求消息;
S302、IMS网络功能实体接收监听设备发送的所述的连接建立请求消息,并根据所述连接建立请求消息中携带的摘要算法计算认证字段;
S303、IMS网络功能实体将所计算出的认证字段与所述连接建立请求消息中携带的认证字段进行比较,根据比较结果,向监听设备发送连接建立响应消息;
S304、监听设备接收IMS网络功能实体发送的连接建立响应消息;
其中,S301中所述的连接建立请求消息的内容如表1所示:
表1 连接建立请求消息
S301中所述的连接建立请求消息携带的选择的摘要算法可以是下面表2所示的摘要算法中的一种。
表2 选择的摘要算法(Select digest algorithm)
所述的连接建立请求消息中可以仅携带选择的摘要算法的编号,并且预先在监听设备和IMS网络功能实体中约定摘要算法的编号与摘要算法的对应关系,使得IMS网络功能实体收到连接建立请求消息中由监听设备选择的摘要算法的编号时,通过查找所述对应关系,可以确定具体的摘要算法。
如图4所示,S301中监听设备通过所述的摘要算法计算认证字段具体包括:
监听设备根据监听设备标识查找对应的秘密数据Ki和监听设备接入密码Password以及序列号SQN,所述SQN为所述连接建立请求消息中携带的SQN组别号所对应的SQN组中的第一个SQN,监听设备再通过所述的摘要算法计算认证字段;
S302中IMS网络功能实体通过所述的摘要算法计算认证字段同上,此处不再赘述,如图4所示;
S303中IMS网络功能实体根据比较结果,向监听设备发送连接建立响应消息,具体包括:如果比较结果不相同,则IMS网络功能实体对监听设备鉴权失败,IMS网络功能实体向监听设备发送携带有连接建立失败指示和连接建立失败原因的连接建立响应消息以及连接释放消息;否则,IMS网络功能实体向监听设备发送携带有连接建立成功指示的连接建立响应消息;
其中,所述的连接建立响应消息的内容如表3所示:
表3 连接建立响应消息
所述的连接释放消息的内容如表4所示:
表4 连接释放通知消息
IMS网络功能实体向监听设备发送携带有连接建立成功指示的连接建立响应消息,具体包括:
如图5所示,IMS网络功能实体利用所述监听设备对应的秘密数据Ki、所述连接建立请求消息中携带的随机数RAND、SQN组别号所对应的SQN组中的第一个SQN,以及所述监听设备选择的摘要算法,计算得到加密密钥Kc;
如图6所示,IMS网络功能实体利用所述Kc、RAND、SQN以及所述监听设备选择的摘要算法,计算得到应答字段;
IMS网络功能实体将所述应答字段,以及连接建立成功指示填入连接建立响应消息中发送给监听设备;
S304中监听设备接收IMS网络功能实体发送的连接建立响应消息,具体包括:
如果IMS网络功能实体利用所述连接建立请求消息对该监听设备鉴权失败,则监听设备接收IMS网络功能实体发送的携带有连接建立失败指示和连接建立失败原因的连接建立响应消息以及连接释放消息;
如果IMS网络功能实体利用所述连接建立请求消息对该监听设备鉴权成功,则该监听设备接收IMS网络功能实体发送的携带有连接建立成功指示的连接建立响应消息,并且该连接建立响应消息中还包括利用选择的摘要算法、加密密钥Kc、随机数RAND和序列号SQN计算得到的应答字段,图6为监听设备计算应答字段的流程示意图,如图5所示,所述的Kc是IMS网络功能实体根据所述摘要算法、所述RAND、SQN、以及所述监听设备对应的秘密数据Ki计算得到的,所述RAND携带于所述连接建立请求消息中,所述SQN为所述连接建立请求消息中携带的SQN组别号所对应的SQN组中的第一个SQN;监听设备并将该应答字段与IMS网络功能实体发送的连接建立响应消息中携带的应答字段进行比较,若相同,则监听设备对IMS网络功能实体鉴权成功,否则,监听设备对IMS网络功能实体鉴权失败,监听设备向该IMS网络功能实体发送连接释放消息。
如图7所示,本发明实施例提供了一种鉴权装置,该装置包括:
消息发送单元11,用于向IP多媒体子系统IMS网络功能实体发送携带有摘要算法和通过该摘要算法计算得到的认证字段的连接建立请求消息;
消息接收单元12,用于接收IMS网络功能实体发送的连接建立响应消息。
较佳地,所述的消息接收单元12具体用于:如果IMS网络功能实体利用所述连接建立请求消息对该监听设备鉴权失败,则所述的消息接收单元接收IMS网络功能实体发送的携带有连接建立失败指示和连接建立失败原因的连接建立响应消息。
较佳地,所述的消息接收单元12还用于:在接收所述连接建立响应消息之后,接收IMS网络功能实体发送的连接释放消息。
较佳地,所述的消息接收单元12具体用于:如果IMS网络功能实体利用所述连接建立请求消息对该监听设备鉴权成功,则接收IMS网络功能实体发送的携带有连接建立成功指示的连接建立响应消息,并且该连接建立响应消息中还包括利用所述摘要算法、加密密钥Kc、随机数RAND和序列号SQN计算得到的应答字段,其中,所述Kc是IMS网络功能实体根据所述摘要算法、所述RAND、SQN、以及所述监听设备对应的秘密数据Ki计算得到的,所述RAND携带于所述连接建立请求消息中,所述SQN为所述连接建立请求消息中携带的SQN组别号所对应的SQN组中的第一个SQN。
较佳地,该装置还包括:
消息处理单元13,用于在所述的消息接收单元12接收IMS网络功能实体发送的连接建立响应消息之后,利用所述摘要算法、所述RAND、SQN、以及所述监听设备对应的秘密数据Ki计算出加密密钥Kc,利用该Kc、所述RAND、SQN以及所述摘要算法计算出应答字段,并将该应答字段与IMS网络功能实体发送的连接建立响应消息中携带的应答字段进行比较,若相同,则对IMS网络功能实体鉴权成功,否则,对IMS网络功能实体鉴权失败。
较佳地,所述消息处理单元13还用于:当对IMS网络功能实体鉴权失败时,触发消息发送单元11向IMS网络功能实体发送连接释放消息。
具体的,消息发送单元11与消息接收单元12可以为传输模块、天线等,消息处理单元13可以为处理器CPU。
如图8所示,本发明实施例还提供了一种信息处理装置,该装置包括:
消息接收单元21,用于接收监听设备发送的携带有摘要算法和该监听设备通过该摘要算法计算得到的认证字段的连接建立请求消息;
比较处理单元22,用于根据所述连接建立请求消息中携带的摘要算法计算认证字段;将所计算出的认证字段与所述连接建立请求消息中携带的认证字段进行比较;根据比较结果,向监听设备发送连接建立响应消息。
较佳地,所述的比较处理单元22根据比较结果,向监听设备发送连接建立响应消息时,具体用于:如果比较结果不相同,则对监听设备鉴权失败,向监听设备发送携带有连接建立失败指示和连接建立失败原因的连接建立响应消息;否则,向监听设备发送携带有连接建立成功指示的连接建立响应消息。
较佳地,所述的比较处理单元22还用于:在对监听设备鉴权失败之后,向监听设备发送连接释放消息。
较佳地,所述的比较处理单元22在向监听设备发送携带有连接建立成功指示的连接建立响应消息时,具体用于:
利用所述监听设备对应的秘密数据Ki、所述连接建立请求消息中携带的随机数RAND、SQN组别号所对应的SQN组中的第一个SQN,以及所述摘要算法,计算得到加密密钥Kc;
利用所述Kc、RAND、SQN以及所述摘要算法,计算得到应答字段;
将所述应答字段,以及连接建立成功指示填入连接建立响应消息中并发送给监听设备。
较佳地,所述的消息接收单元21还用于:
如果监听设备根据所述连接建立响应消息中的应答字段,对IMS网络功能实体鉴权失败,则接收监听设备发送的连接释放消息。
具体的,消息接收单元21可以为传输模块、天线等,比较处理单元22可以为处理器CPU。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (18)
1.一种鉴权方法,其特征在于,包括:
监听设备向IP多媒体子系统IMS网络功能实体发送携带有摘要算法和通过该摘要算法计算得到的认证字段的连接建立请求消息;
监听设备接收IMS网络功能实体发送的连接建立响应消息;
其中,监听设备接收IMS网络功能实体发送的连接建立响应消息,包括:如果IMS网络功能实体利用所述连接建立请求消息对该监听设备鉴权成功,则该监听设备接收IMS网络功能实体发送的携带有连接建立成功指示的连接建立响应消息,并且该连接建立响应消息中还包括利用所述摘要算法、加密密钥Kc、随机数RAND和序列号SQN计算得到的应答字段,其中,所述Kc是IMS网络功能实体根据所述摘要算法、所述RAND、SQN、以及所述监听设备对应的秘密数据Ki计算得到的,所述RAND携带于所述连接建立请求消息中,所述SQN为所述连接建立请求消息中携带的SQN组别号所对应的SQN组中的第一个SQN。
2.如权利要求1所述的方法,其特征在于,监听设备接收IMS网络功能实体发送的连接建立响应消息,还包括:如果IMS网络功能实体利用所述连接建立请求消息对该监听设备鉴权失败,则监听设备接收IMS网络功能实体发送的携带有连接建立失败指示和连接建立失败原因的连接建立响应消息。
3.如权利要求2所述的方法,其特征在于,在监听设备接收所述携带有连接建立失败指示和连接建立失败原因连接建立响应消息之后,该方法还包括:
监听设备接收IMS网络功能实体发送的连接释放消息。
4.如权利要求1所述的方法,其特征在于,监听设备接收IMS网络功能实体发送的携带有连接建立成功指示的连接建立响应消息之后,该方法还包括:
监听设备利用所述摘要算法、所述RAND、SQN、以及所述监听设备对应的秘密数据Ki计算出加密密钥Kc,利用该Kc、所述RAND、SQN以及所述摘要算法计算出应答字段,并将该应答字段与IMS网络功能实体发送的连接建立响应消息中携带的应答字段进行比较,若相同,则监听设备对IMS网络功能实体鉴权成功,否则,监听设备对IMS网络功能实体鉴权失败。
5.如权利要求4所述的方法,其特征在于,当所述监听设备对IMS网络功能实体鉴权失败时,该方法还包括:监听设备向IMS网络功能实体发送连接释放消息。
6.一种信息处理方法,其特征在于,包括:
IP多媒体子系统IMS网络功能实体接收监听设备发送的携带有摘要算法和该监听设备通过该摘要算法计算得到的认证字段的连接建立请求消息;
IMS网络功能实体根据所述连接建立请求消息中携带的摘要算法计算认证字段,将所计算出的认证字段与所述连接建立请求消息中携带的认证字段进行比较,根据比较结果,向监听设备发送连接建立响应消息;
其中,所述IMS网络功能实体根据比较结果,向监听设备发送连接建立响应消息,包括:当所述比较结果相同时,IMS网络功能实体向监听设备发送携带有连接建立成功指示的连接建立响应消息;
所述IMS网络功能实体向监听设备发送携带有连接建立成功指示的连接建立响应消息,包括:
IMS网络功能实体利用所述监听设备对应的秘密数据Ki、所述连接建立请求消息中携带的随机数RAND、SQN组别号所对应的SQN组中的第一个SQN,以及所述摘要算法,计算得到加密密钥Kc;IMS网络功能实体利用所述Kc、RAND、SQN以及所述摘要算法,计算得到应答字段;
IMS网络功能实体将所述应答字段,以及连接建立成功指示填入连接建立响应消息中发送给监听设备。
7.如权利要求6所述的方法,其特征在于,IMS网络功能实体根据比较结果,向监听设备发送连接建立响应消息,还包括:如果比较结果不相同,则IMS网络功能实体对监听设备鉴权失败,IMS网络功能实体向监听设备发送携带有连接建立失败指示和连接建立失败原因的连接建立响应消息。
8.如权利要求7所述的方法,其特征在于,当IMS网络功能实体对监听设备鉴权失败时,该方法还包括:
IMS网络功能实体向监听设备发送连接释放消息。
9.如权利要求6所述的方法,其特征在于,该方法还包括:
如果监听设备根据所述连接建立响应消息中的应答字段,对IMS网络功能实体鉴权失败,则IMS网络功能实体接收监听设备发送的连接释放消息。
10.一种鉴权装置,其特征在于,该装置包括:
消息发送单元,用于向IP多媒体子系统IMS网络功能实体发送携带有摘要算法和通过该摘要算法计算得到的认证字段的连接建立请求消息;
消息接收单元,用于接收IMS网络功能实体发送的连接建立响应消息;
所述的消息接收单元具体用于:如果IMS网络功能实体利用所述连接建立请求消息对该装置鉴权成功,则接收IMS网络功能实体发送的携带有连接建立成功指示的连接建立响应消息,并且该连接建立响应消息中还包括利用所述摘要算法、加密密钥Kc、随机数RAND和序列号SQN计算得到的应答字段,其中,所述Kc是IMS网络功能实体根据所述摘要算法、所述RAND、SQN、以及该装置对应的秘密数据Ki计算得到的,所述RAND携带于所述连接建立请求消息中,所述SQN为所述连接建立请求消息中携带的SQN组别号所对应的SQN组中的第一个SQN。
11.如权利要求10所述的装置,其特征在于,所述的消息接收单元还用于:如果IMS网络功能实体利用所述连接建立请求消息对该装置鉴权失败,则所述的消息接收单元接收IMS网络功能实体发送的携带有连接建立失败指示和连接建立失败原因的连接建立响应消息。
12.如权利要求11所述的装置,其特征在于,所述的消息接收单元还用于:在接收所述携带有连接建立失败指示和连接建立失败原因的连接建立响应消息之后,接收IMS网络功能实体发送的连接释放消息。
13.如权利要求10所述的装置,其特征在于,该装置还包括:
消息处理单元,用于在所述的消息接收单元接收IMS网络功能实体发送的携带有连接建立成功指示的连接建立响应消息之后,利用所述摘要算法、所述RAND、SQN、以及该装置对应的秘密数据Ki计算出加密密钥Kc,利用该Kc、所述RAND、SQN以及所述摘要算法计算出应答字段,并将该应答字段与IMS网络功能实体发送的连接建立响应消息中携带的应答字段进行比较,若相同,则对IMS网络功能实体鉴权成功,否则,对IMS网络功能实体鉴权失败。
14.如权利要求13所述的装置,其特征在于,所述消息处理单元还用于:当对IMS网络功能实体鉴权失败时,触发消息发送单元向IMS网络功能实体发送连接释放消息。
15.一种信息处理装置,其特征在于,该装置包括:
消息接收单元,用于接收监听设备发送的携带有摘要算法和该监听设备通过该摘要算法计算得到的认证字段的连接建立请求消息;
比较处理单元,用于根据所述连接建立请求消息中携带的摘要算法计算认证字段;将所计算出的认证字段与所述连接建立请求消息中携带的认证字段进行比较;根据比较结果,向监听设备发送连接建立响应消息;
所述比较处理单元根据比较结果,向监听设备发送连接建立响应消息时,具体用于:如果比较结果相同,则向监听设备发送携带有连接建立成功指示的连接建立响应消息;
所述的比较处理单元在向监听设备发送携带有连接建立成功指示的连接建立响应消息时,具体用于:
利用所述监听设备对应的秘密数据Ki、所述连接建立请求消息中携带的随机数RAND、SQN组别号所对应的SQN组中的第一个SQN,以及所述摘要算法,计算得到加密密钥Kc;
利用所述Kc、RAND、SQN以及所述摘要算法,计算得到应答字段;
将所述应答字段,以及连接建立成功指示填入连接建立响应消息中并发送给监听设备。
16.如权利要求15所述的装置,其特征在于,所述的比较处理单元根据比较结果,向监听设备发送连接建立响应消息时,还用于:如果比较结果不相同,则对监听设备鉴权失败,向监听设备发送携带有连接建立失败指示和连接建立失败原因的连接建立响应消息。
17.如权利要求16所述的装置,其特征在于,所述的比较处理单元还用于:在对监听设备鉴权失败之后,向监听设备发送连接释放消息。
18.如权利要求15所述的装置,其特征在于,所述的消息接收单元还用于:
如果监听设备根据所述连接建立响应消息中的应答字段,对IMS网络功能实体鉴权失败,则接收监听设备发送的连接释放消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310337303.8A CN103441989B (zh) | 2013-08-05 | 2013-08-05 | 一种鉴权、信息处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310337303.8A CN103441989B (zh) | 2013-08-05 | 2013-08-05 | 一种鉴权、信息处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103441989A CN103441989A (zh) | 2013-12-11 |
| CN103441989B true CN103441989B (zh) | 2016-08-24 |
Family
ID=49695654
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310337303.8A Active CN103441989B (zh) | 2013-08-05 | 2013-08-05 | 一种鉴权、信息处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103441989B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106549924B (zh) * | 2015-09-22 | 2019-06-28 | 中国移动通信集团公司 | 一种通信安全防护方法、装置和系统 |
| CN106357648B (zh) * | 2016-09-21 | 2019-10-29 | 海能达通信股份有限公司 | 一种集群终端的集群业务注册方法、系统及核心网系统 |
| WO2018120150A1 (zh) * | 2016-12-30 | 2018-07-05 | 华为技术有限公司 | 网络功能实体之间的连接方法及装置 |
| CN109492377A (zh) * | 2018-11-09 | 2019-03-19 | 四川虹微技术有限公司 | 设备验证方法、装置及电子设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051616A (zh) * | 2012-12-17 | 2013-04-17 | 中国科学院信息工程研究所 | 一种基于rssp--ii协议的数据报传输方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009290329A (ja) * | 2008-05-27 | 2009-12-10 | Toshiba Corp | Ip通信システム、サーバユニット、端末デバイスおよび認証方法 |
-
2013
- 2013-08-05 CN CN201310337303.8A patent/CN103441989B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051616A (zh) * | 2012-12-17 | 2013-04-17 | 中国科学院信息工程研究所 | 一种基于rssp--ii协议的数据报传输方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103441989A (zh) | 2013-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103873487B (zh) | 一种基于智能家居设备安全挂件的家居信任组网的实现方法 | |
| CN107040513B (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
| CN109729523B (zh) | 一种终端联网认证的方法和装置 | |
| CN106899410A (zh) | 一种设备身份认证的方法及装置 | |
| US20170118022A1 (en) | Mainstream connection establishment method and device based on multipath transmission control protocol (mptcp) | |
| CN105227537A (zh) | 用户身份认证方法、终端和服务端 | |
| Jeong et al. | An efficient authentication system of smart device using multi factors in mobile cloud service architecture | |
| CN103888938A (zh) | 一种基于参数的动态生成密钥的pki私钥保护方法 | |
| CN103023911A (zh) | 可信网络设备接入可信网络认证方法 | |
| CN102638468A (zh) | 保护信息传输安全的方法、发送端、接收端及系统 | |
| CN109347875A (zh) | 物联网设备、物联网平台及接入物联网平台的方法和系统 | |
| CN110475249A (zh) | 一种认证方法、相关设备及系统 | |
| CN103441989B (zh) | 一种鉴权、信息处理方法及装置 | |
| CN109729000B (zh) | 一种即时通信方法及装置 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN106453321A (zh) | 一种认证服务器、系统和方法及待认证终端 | |
| CN105610872B (zh) | 物联网终端加密方法和物联网终端加密装置 | |
| CN110519052A (zh) | 基于物联网操作系统的数据交互方法和装置 | |
| CN112118568B (zh) | 一种设备身份鉴权的方法及设备 | |
| CN117081736A (zh) | 密钥分发方法、密钥分发装置、通信方法及通信装置 | |
| Chaudhry et al. | A physical capture resistant authentication scheme for the internet of drones | |
| CN111641651B (zh) | 一种基于哈希链的访问验证方法及装置 | |
| CN109005187A (zh) | 一种通信信息保护方法及装置 | |
| CN104753879B (zh) | 终端认证云服务提供者的方法及系统、云服务提供者认证终端的方法及系统 | |
| KR20130057678A (ko) | 인증서 검증 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |