CN103997484B - 一种量子密码网络sip信令安全通信系统及方法 - Google Patents
一种量子密码网络sip信令安全通信系统及方法 Download PDFInfo
- Publication number
- CN103997484B CN103997484B CN201410072627.8A CN201410072627A CN103997484B CN 103997484 B CN103997484 B CN 103997484B CN 201410072627 A CN201410072627 A CN 201410072627A CN 103997484 B CN103997484 B CN 103997484B
- Authority
- CN
- China
- Prior art keywords
- sip
- registrar
- sip terminal
- authentication
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明提供一种量子密码网络SIP信令安全通信系统,包括位置服务器、注册服务器、边缘服务器、认证中心、SIP终端及QKD设备。同时本发明还提供一种量子密码网络SIP信令安全通信方法,通过建立认证中心和利用量子密码网络在量子密钥分发方面的优势,实现SIP终端注册密码的一次一密;SIP终端注册时与注册服务器采用双向鉴权认证机制,有效防止了注册服务器的假冒攻击;SIP终端之间的SIP信令通信使用量子密钥进行信令认证,有效防止了信令重放攻击。本发明有效增强了现有SIP信令通信系统的安全性。
Description
技术领域
本发明涉及量子密码网络,具体涉及一种量子密码网络SIP信令安全通信系统及方法。背景技术
量子通信是近二十年发展起来的新型交叉学科,是量子论和信息论相结合的新的研究领域。近来这门学科已逐步从理论走向实验,并向实用化发展。高效安全的信息传输日益受到人们的关注。
物理上,量子通信可以被理解为在物理极限下,利用量子效应实现的高性能通信。信息学上,我们则认为量子通信是利用量子力学的基本原理(如量子态不可克隆原理和量子态的测量塌缩性质等)或者利用量子态隐形传输等量子系统特有属性,以及量子测量的方法来完成两地之间的信息传递。
1984年Bennett和Brassard提出了第一个著名的BB84量子密钥分发协议(QKD)。1989年,IBM公司和Montreal大学合作首次完成了量子密码的第一个实验,对BBS4协议从实验上进行了验证。自BB84方案提出以来,对量子通信协议的研究不断深入,迄今已产生了众多改进方案。1991年,牛津大学的Ekert提出了E91协议。1992年,Bennett提出用两个非正交态实现量子密码通信的B92协议。20多年来,量子密钥分发一直是国内外科学研究的一个热点。人们试图挖掘更多新的量子力学性质,设计各种具有不同性质、适合不同应用环境的QKD协议;并且力求提高密钥的分发效率,降低量子和经典资源的消耗。
以QKD协议为基础的量子密码技术是现阶段量子通信最重要的实际应用之一。传统的密码学(或称经典密码学)是以数学为基础的密码体制,其安全性基于数学算法的计算复杂度,不能保证密钥的绝对安全;而量子密码以量子力学为基础,它的安全性是建立在测不准原理、量子的不可克隆及量子相干性等物理特性之上的,被证明是绝对安全的,所以量子密码引起了学术界的高度重视。
量子密码网络便是采用量子密码术的一种安全通信网络。如图1所示,量子密码网络是由经典通信网络和量子通信网络共同构建而成。量子通信网络主要由QKD终端设备和量子信道组成,用于密钥分发,生成用于加密通信的量子密钥。经典通信网络使用量子密钥实现数据的加解密和加密数据的传输。一个量子密码网络终端一般是由一个连接于经典通信网络的经典通信终端和一个连接于量子通信网络的QKD终端设备组成。
SIP(Session Initiation Protoc01)是一个应用层的信令控制协议。用于创建、修改和释放一个或多个参与者的会话。对于使用者来说,由于SIP协议与互联网结合紧密,并且对多媒体接入的支持、移动通信的支持都有着明显的优势,因此更符合未来通信的要求。
SIP在设计之初,侧重考虑协议的易用性和灵活性,但没有重点考虑安全性。SIP在使用过程中不可避免地要面对各类网络安全威胁,例如重放攻击、网络窃听、网络篡改、网络欺骗等现有互联网常见安全威胁。由于SIP网络自身特点以及SIP协议脆弱性等不成熟因素,SIP协议同样面临其自身特有安全威胁,例如注册劫持和伪装服务器攻击等。DOS/DDOS一直是网络安全面临的技术难题,鉴于SIP协议的简单性,DOS/DDOS对于SIP将会是致命的安全威胁。
在经典通信网络中,人们针对SIP协议安全机制的薄弱性做了许多改进,但所有的改进均是采用经典密钥加密机制,即基于经典密码学算法,因此有被破解和篡改的风险。本专利探索将SIP信令通信系统与量子密码网络相结合,充分发挥量子密码网络在密钥分发和安全通信方面的优势,增强现有SIP信令通信系统的安全性。
发明内容
本发明专利提出一种量子密码网络SIP信令安全通信系统及方法,将量子密钥分发(QKD)设备与SIP信令通信系统相结合,弥补现有SIP信令通信系统在安全性方面的不足。
一方面,本发明提供一种量子密码网络SIP信令安全通信系统,包括位置服务器、注册服务器和边缘服务器,每个用户均配备一个SIP终端,每个SIP终端通过边缘服务器与注册服务器、位置服务器相连,每个注册服务器与位置服务器相连,其特征在于,还包括:认证中心和QKD设备,注册服务器与认证中心相连,认证中心、位置服务器、注册服务器、边缘服务器和SIP终端均与一个QKD设备相连,QKD设备之间通过量子信道完成量子密钥分发,SIP终端之间、SIP与认证中心之间通过经典信道通信。
优选地,所述认证中心、位置服务器、注册服务器彼此相连,且与同一个QKD设备相连。
优选地,所述认证中心、位置服务器、注册服务器为同一个服务器,该服务器与一个QKD设备相连。
进一步地,所述量子密码网络SIP信令安全通信系统中各个设备的功能如下:
所述认证中心存有所有己注册和未注册的SIP终端的注册密码,负责验证SIP终端用于注册的消息认证码和生成注册服务器的消息认证码,并为注册成功的SIP终端更新注册密码;
所述注册服务器处理边缘服务器转发的SIP终端的注册信息,将认证中心生成的注册服务器的消息认证码通过边缘服务器发送到SIP终端,将SIP终端用于注册的消息认证码提交给认证中心,根据认证中心的验证结果确定并通知SIP终端其注册结果,并将注册成功的SIP终端的网络位置写入位置服务器;
所述位置服务器存有所有注册成功的SIP终端的网络位置,为SIP终端之间的SIP信令通信提供位置查询;
所述边缘服务器存有注册服务器的网络位置,可以挂接多个SIP终端,转发SIP终端与注册服务器之间的信息,为SIP终端查询位置服务器中其他SIP终端的网络位置;
所述SIP终端通过边缘服务器与注册服务器交互注册信息,通过边缘服务器查询位置服务器中其他SIP终端的网络位置;
所述认证中心与注册服务器之间、注册服务器与位置服务器之间、边缘服务器与位置服务器之间、SIP终端与认证中心之间通过与其连接的QKD设备共享量子密钥,使用共享量子密钥对他们之间交互的信息进行保密传输。
另一方面,本发明提供一种采用上述量子密码网络SIP信令安全通信系统进行SIP信令安全通信的方法,其特征在于:
SIP终端进行注册时,使用注册密码与注册服务器进行双向鉴权认证,注册服务器通过认证中心生成注册服务器身份认证信息,并通过认证中心验证SIP终端身份;
SIP终端注册成功后,认证中心生成新的注册密码,并对其使用与SIP终端间共享的量子密钥加密后,传输给SIP终端,供其下一次注册时使用;
SIP终端之间进行SIP信令通信时,使用通信双方共享的量子密钥,计算或验证SIP信令的消息认证码。
进一步地,所述SIP终端按照如下步骤进行注册:
(1)SIP终端通过边缘服务器向注册服务器提交注册请求,注册请求中包含SIP终端的永久用户名,在请求消息的Authentication头字段的nonce值中含有随机数据;
(2)注册服务器收到注册请求后,将SIP终端的永久用户名和nonce值提交给认证中心,向其请求nonce值、注册服务器IP地址IP注册和SIP终端注册密码K的密钥相关的哈希函数消息认证码HMAC(K;IP注册,nonce),作为注册服务器身份认证信息;
(3)认证中心通过SIP终端的永久用户名查询其注册密码K,通过注册密码K计算HMAC(K;IP注册,nonce),并将其发送给注册服务器;
(4)注册服务器通过边缘服务器向SIP终端发送40l Unauthorized消息,在此消息中将HMAC(K;IP注册,nonce)作为Authentication头字段的response值,将IP注册作为Authentication头字段的realm值,同时将一个新的随机数作为nonce值;
(5)SIP终端收到401Unauthorized消息后,验证所收到的HMAC(K;IP注册,nonce);
(6)如验证成功,SIP终端向注册服务器重新发送注册信息,计算401Unauthorized消息中的nonce值、SIP终端IP地址IP终端和SIP终端注册密码K的密钥相关的哈希函数消息认证码HMAC(K;IP终端,nonce),作为SIP终端身份认证信息,并作为Authentication头字段的response值,将IP终端作为Authentication头字段的realm值;
(7)注册服务器将收到的消息认证码HMAC(K;IP终端,nonce)、相应的nonce值和IP终端发送给认证中心,通过认证中心验证消息认证码的正确性;
(8)如果SIP终端身份验证成功,则注册服务器向SIP终端发送2000K消息,并将SIP终端的网络位置写入位置服务器;同时,认证中心的真随机数生成器生成与注册密码K等长的真随机数K’,将K与K’进行异或运算生成新的注册密码K,并将新的注册密码K使用与SIP终端间共享的量子密钥加密后,传输给SIP终端,SIP终端解密得到新的注册密码K,供其下一次注册时使用。
上述认证中心与注册服务器之间、注册服务器与位置服务器之间交互的信息,亦使用他们之间共享的量子密钥进行保密传输。
进一步地,所述SIP终端按照如下步骤进行SIP信令通信:
(1)发送方SIP终端Alice通过所属的边缘服务器到位置服务器查询,获得接收方SIP终端Bob的IP地址;
(2)Alice计算密钥相关的哈希函数消息认证码HMAC(K;SData),其中K为Alice和Bob之间共享的量子密钥,SData为预先约定的需要认证的数据,至少包括信令的Cail-ID值、信令的Cseq值和Alice的IP地址,并将A1ice的IP地址作为Authentication头字段的realm值;
(3)Alice将所计算的HMAC(K;SData)作为Authentication头字段的response值,将相应的量子密钥K在量子密钥库中的标识信息也放入Authentication头字段中,将SIP信令发送到Bob;
(4)Bob收到信令后,通过所属的边缘服务器到位置服务器查询,获得Alice的IP地址,根据密钥标识信息获取相应的量子密钥,并根据信令相关信息获得相应的SData,验证Authentication头字段的response值,以确定信令的可靠性。
上述边缘服务器与位置服务器之间交互的信息,亦使用他们之间共享的量子密钥进行保密传输。
本发明所提供的量子密码网络SIP信令安全通信系统及方法,有效保证了量子密码网络中SIP信令通信的安全性,具体表现在:
(1)通过建立认证中心及借助量子密码网络的安全加密通信,实现了SIP终端注册密码的一次一密,以及认证中心、注册服务器、位置服务器和边缘服务器之间交互信息的保密传输,极大地增强了系统的安全性;
(2)SIP终端注册时与注册服务器采用双向鉴权认证机制,有效防止了注册服务器的假冒攻击;
(3)SIP终端之间进行SIP信令通信时,将IP地址信息作为需要认证的数据,保证了信息来源的可靠性;
(4)SIP信令通信时,每次消息认证码的计算均与信令的Cal卜ID值、信令的Cseq值和通信双方共享的量子密钥K有关,由于SIP信令本身所具有的任意两个信令的Call-ID值和Cseq值均不可能完全相同,且量子密钥使用时的一次一密,从而有效防止了信令重放攻击。
附图说明
图1为量子密码网络的基本结构示意图。
图2为实施例一量子密码网络SIP信令安全通信系统的网络结构示意图。
图3为SIP终端进行注册的流程示意图。
图4为SIP终端间进行SIP信令通信的流程示意图。
图5为实施例二量子密码网络SIP信令安全通信系统的网络结构示意图。
具体实施方式
下面结合附图对本发明实施例量子密码网络SIP信令安全通信系统及方法进行详细描述。应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
图2为量子密码网络SIP信令安全通信系统的网络结构示意图,该量子密码网络SIP信令安全通信系统,包括认证中心、注册服务器、位置服务器、边缘服务器和SIP终端和QKD设备。
通常,现有SIP信令通信系统含有一个位置服务器、至少一个注册服务器和至少一个边缘服务器,每个用户均配备一个SIP终端,每个SIP终端通过边缘服务器与注册服务器、位置服务器相连,每个注册服务器与位置服务器相连。图2中所示的SIP信令安全通信系统含有两个SIP终端、两个边缘服务器、两个注册服务器,每个SIP终端与邻近的一个边缘服务器相连,每个边缘服务器与邻近的一个注册服务器相连。实际系统中SIP终端、边缘服务器、注册服务器的数量并不限于两个,可根据实际需求进行增减,此处只是进行示例性说明,并不用于限制本发明。
与现有SIP信令通信系统相比,图2中的量子密码网络SIP信令安全通信系统还包括认证中心和QKD设备。每个注册服务器与认证中心相连,认证中心、位置服务器、每个注册服务器、每个边缘服务器和每个SIP终端均与一个QKD设备相连,QKD设备之间通过量子信道(图中未示出)完成量子密钥分发,SIP终端之间、SIP与认证中心之间通过经典信道通信。
所述认证中心存有所有己注册和未注册的SIP终端的注册密码,负责验证SIP终端用于注册的消息认证码和生成注册服务器的消息认证码,并为注册成功的SIP终端更新注册密码。
所述注册服务器处理边缘服务器转发的SIP终端的注册信息,将认证中心生成的注册服务器的消息认证码通过边缘服务器发送到SIP终端,将SIP终端用于注册的消息认证码提交给认证中心,根据认证中心的验证结果确定并通知SIP终端其注册结果,并将注册成功的SIP终端的网络位置写入位置服务器。
所述位置服务器存有所有注册成功的SIP终端的网络位置,为SIP终端之间的SIP信令通信提供位置查询。
所述边缘服务器存有注册服务器的网络位置,可以挂接多个SIP终端,转发SIP终端与注册服务器之间的信息,为SIP终端查询位置服务器中其他SIP终端的网络位置。
所述SIP终端通过边缘服务器与注册服务器(通常为邻近的或任务不繁忙的注册服务器)交互注册信息,通过边缘服务器查询位置服务器中其他SIP终端的网络位置。
所述认证中心与注册服务器之间、注册服务器与位置服务器之间、边缘服务器与位置服务器之间、SIP终端与认证中心之间通过与其连接的QKD设备共享量子密钥,使用共享量子密钥对他们之间交互的信息进行保密传输。
本实施例中量子密码网络SIP信令安全通信系统的工作过程主要包括两部分:SIP终端注册入网、SIP终端之间进行SIP信令通信,下面对这两个过程进行详细阐述。
如图3所示,为SIP终端进行注册的流程示意图,具体如下:
(1)SIP终端通过边缘服务器向注册服务器提交注册请求Registet,注册请求中包含SIP终端的永久用户名,在请求消息的Authentication头字段的nonce值中含有随机数据;
(2)注册服务器收到注册请求后,将SIP终端的永久用户名和nonce值提交给认证中心,向其请求nonce值和注册服务器IP地址IP注册的密钥相关的哈希函数消息认证码,即HMAC(K;IP注册,nonce),其中K为SIP终端的注册密码,IP注册和nonce为需要认证的数据;
(3)认证中心通过SIP终端的永久用户名查询其注册密码K,通过注册密码K计算HMAC(K;IP注册,nonce),并将其发送给注册服务器;
(4)注册服务器通过边缘服务器向SIP终端发送401Unauthorized消息,在此消息中将HMAC(K;IP注册,nonce)作为Authentication头字段的response值,将IP注册作为Authentication头字段的realm值,同时将一个新的随机数作为nonce值;
(5)SIP终端收到401Unauthorized消息后,验证所收到的HMAC(K;IP注册,nonce),即验证注册服务器身份;
(6)如验证成功,SIP终端向注册服务器重新发送注册信息,计算401Unauthorized消息中的nonce值和SIP终端IP地址IP终端的密钥相关的哈希函数消息认证码,即HMAC(K;IP终端,nonce),作为Authentication头字段的response值,将IP终端作为Authentication头字段的realm值;
(7)注册服务器将收到的消息认证码HMAC(K;IP终端,nonce)、相应的nonce值和IP终端发送给认证中心,即将SIP终端身份认证信息发送给认证中心,通过认证中心验证消息认证码的正确性:
(8)如果SIP终端身份验证成功,则注册服务器向SIP终端发送200OK消息,并将SIP终端的网络位置写入位置服务器;同时,认证中心的真随机数生成器生成与注册密码K等长的真随机数K’,将K与K’进行异或运算生成新的注册密码K,并将新的注册密码K使用与SIP终端间共享的量子密钥加密后,传输给SIP终端,SIP终端解密得到新的注册密码K,供其下一次注册时使用。
上述认证中心与注册服务器之间、注册服务器与位置服务器之间交互的信息,亦使用他们之间共享的量子密钥进行保密传输。
SIP终端注册成功后,可以开始SIP信令通信。假设通信的SIP终端分别为Alice和Bob,A1ice向Bob发送SIP信令,Bob实现对信令的可靠性认证,图4为该SIP信令通信的流程示意图,具体如下:
(1)Alice通过所属的边缘服务器到位置服务器查询,获得Bob的IP地址;
(2)Alice计算密钥相关的哈希函数消息认证码HMAC(K;SData),其中K为Alice和Bob之间共享的量子密钥,SData为预先约定的需要认证的数据,至少包括信令的Cal l-ID值、信令的Cseq值和Alice的IP地址,并将Alice的IP地址作为Authentication头字段的realm值;
(3)Alice将所计算的HMAC(K;SData)作为Authentication头字段的response值,将相应的量子密钥K在量子密钥库中的标识信息(如指针、偏移地址等)也放入Authentication头字段中,将SIP信令发送到Bob;
(4)Bob收到信令后,通过所属的边缘服务器到位置服务器查询,获得A1ice的IP地址,根据密钥标识信息获取相应的量子密钥,并根据信令相关信息获得相应的SData,验证Authentication头字段的response值,以确定信令的可靠性。
上述边缘服务器与位置服务器之间交互的信息,亦使用他们之间共享的量子密钥进行保密传输。
所述SIP信令通信过程为SIP终端之间连续信令通信的第一个信令的认证过程,对于后续信令不需要进行位置查询,只需要利用保存的位置查询的结果即可。
实施例二
本实施例为在实施例一基础上,进一步优化的方案。如图5所示,与图2的实施例一量子密码网络SIP信令安全通信系统所不同的是,本实施例的认证中心、注册服务器和位置服务器通过本地连接实现相互通信,且与同一个QKD设备相连。
优选地,认证中心、注册服务器和位置服务器为同一个服务器,即将三个设备的功能集成在一个服务器上,该服务器与一个QKD设备相连。
实际系统的服务器往往位于同一处网络节点中,这样便于管理和维护,因此可与同一个本地的QKD设备相连,以实现与其他设备间的保密通信。另外,亦可根据需要将多个服务器的功能集成在一个服务器中。对于本领域技术人员来说,可根据实际需求,将实施例一中的任意个服务器进行集中管理或功能集成,并不超出本发明的保护范围。
本实施例的量子密码网络SIP信令安全通信系统中各个设备的功能,具体可参见实施例一中的相应描述。
本实施例的SIP终端的注册过程和SIP信令通信过程如图3和图4所示,过程的详细描述可参见实施例一。
实施例三
本实施例描述采用实施例一或实施例二所述的量子密码网络SIP信令安全通信系统进行SIP信令安全通信的方法,具体如下:
SIP终端进行注册时,使用注册密码与注册服务器进行双向鉴权认证,注册服务器通过认证中心生成注册服务器身份认证信息,并通过认证中心验证SIP终端身份;
SIP终端注册成功后,认证中心生成新的注册密码,并对其使用与SIP终端间共享的量子密钥加密后,传输给SIP终端,供其下一次注册时使用。
SIP终端之间进行SIP信令通信时,使用通信双方共享的量子密钥,计算或验证SIP信令的消息认证码。
进一步地,所述SIP终端按照如下步骤进行注册:
(1)SIP终端通过边缘服务器向注册服务器提交注册请求,注册请求中包含SIP终端的永久用户名,在请求消息的Authentication头字段的nonce值中含有随机数据;
(2)注册服务器收到注册请求后,将SIP终端的永久用户名和nonce值提交给认证中心,向其请求nonce值、注册服务器IP地址IP注册和SIP终端注册密码K的密钥相关的哈希函数消息认证码HMAC(K;IP注册,nonce),作为注册服务器身份认证信息;
(3)认证中心通过SIP终端的永久用户名查询其注册密码K,通过注册密码K计算HMAC(K;IP注册,nonce),并将其发送给注册服务器;
(4)注册服务器通过边缘服务器向SIP终端发送401Unauthorized消息,在此消息中将HMAC(K;IP注册,nonce)作为Authentication头字段的response值,将IP注册作为Authentication头字段的realm值,同时将一个新的随机数作为nonce值;
(5)SIP终端收到401Unauthorized消息后,验证所收到的HMAC(K;IP注册,nonce);
(6)如验证成功,SIP终端向注册服务器重新发送注册信息,计算401Unauthorized消息中的nonce值、SIP终端IP地址IP终端和SIP终端注册密码K的密钥相关的哈希函数消息认证码HMAC(K;IP终端,nonce),作为SIP终端身份认证信息,并作为Authentication头字段的response值,将IP终端作为Authentication头字段的realm值;
(7)注册服务器将收到的消息认证码HMAC(K;IP终端,nonce)、相应的nonce值和IP终端发送给认证中心,通过认证中心验证消息认证码的正确性;
(8)如果SIP终端身份验证成功,则注册服务器向SIP终端发送2000K消息,并将SIP终端的网络位置写入位置服务器;同时,认证中心的真随机数生成器生成与注册密码K等长的真随机数K’,将K与K’进行异或运算生成新的注册密码K,并将新的注册密码K使用与SIP终端间共享的量子密钥加密后,传输给SIP终端,SIP终端解密得到新的注册密码K,供其下一次注册时使用。
上述认证中心与注册服务器之间、注册服务器与位置服务器之间交互的信息,亦使用他们之间共享的量子密钥进行保密传输。
进一步地,所述SIP终端按照如下步骤进行SIP信令通信:
(1)发送方SIP终端Al ice通过所属的边缘服务器到位置服务器查询,获得接收方SIP终端Bob的IP地址;
(2)Alice计算密钥相关的哈希函数消息认证码HMAC(K;SData),其中K为Alice和Bob之间共享的量子密钥,SData为预先约定的需要认证的数据,至少包括信令的Call-ID值、信令的Cseq值和Alice的IP地址,并将A1ice的IP地址作为Authentication头字段的realm值;
(3)Alice将所计算的HMAC(K;SData)作为Authentication头字段的response值,将相应的量子密钥K在量子密钥库中的标识信息也放入Authentication头字段中,将SIP信令发送到Bob;
(4)Bob收到信令后,通过所属的边缘服务器到位置服务器查询,获得Alice的IP地址,
根据密钥标识信息获取相应的量子密钥,并根据信令相关信息获得相应的SData,验
证Authentication头字段的response值,以确定信令的可靠性。
上述边缘服务器与位置服务器之间交互的信息,亦使用他们之间共享的量子密钥进行保密传输。
所述SIP信令通信过程为SIP终端之间连续信令通信的第一个信令的认证过程,对于斥续信令不需要进行位置查询,只需要利用保存的位置查询的结果即可。
以上所述,仅是本发明所作的较佳实施例,并非对本发明作任何限制,凡是根据本发明技术实质对以上实施例所做的任何简单修改、变更及等效结构变化,均仍属于本发明技术方案的保护范围内。
Claims (6)
1.一种量子密码网络SIP信令安全通信系统,包括位置服务器、注册服务器和边缘服务器,每个用户均配备一个SIP终端,每个SIP终端通过边缘服务器与注册服务器、位置服务器相连,每个注册服务器与位置服务器相连,其特征在于,还包括:认证中心和QKD设备,注册服务器与认证中心相连,认证中心、位置服务器、注册服务器、边缘服务器和SIP终端均与一个QKD设备相连,QKD设备之间通过量子信道完成量子密钥分发,SIP终端之间、SIP与认证中心之间通过经典信道通信;
所述认证中心存有所有已注册和未注册的SIP终端的注册密码,负责验证SIP终端用于注册的消息认证码和生成注册服务器的消息认证码,并为注册成功的SIP终端更新注册密码;
所述注册服务器处理边缘服务器转发的SIP终端的注册信息,将认证中心生成的注册服务器的消息认证码通过边缘服务器发送到SIP终端,将SIP终端用于注册的消息认证码提交给认证中心,根据认证中心的验证结果确定并通知SIP终端其注册结果,并将注册成功的SIP终端的网络位置写入位置服务器;
所述位置服务器存有所有注册成功的SIP终端的网络位置,为SIP终端之间的SIP信令通信提供位置查询;
所述边缘服务器存有注册服务器的网络位置,可以挂接多个SIP终端,转发SIP终端与注册服务器之间的信息,为SIP终端查询位置服务器中其他SIP终端的网络位置;
所述SIP终端通过边缘服务器与注册服务器交互注册信息,通过边缘服务器查询位置服务器中其他SIP终端的网络位置;
所述认证中心与注册服务器之间、注册服务器与位置服务器之间、边缘服务器与位置服务器之间、SIP终端与认证中心之间通过与其连接的QKD设备共享量子密钥,使用共享量子密钥对他们之间交互的信息进行保密传输。
2.如权利要求1所述的一种量子密码网络SIP信令安全通信系统,其特征在于:所述认证中心、位置服务器、注册服务器彼此相连,且与同一个QKD设备相连。
3.如权利要求1所述的一种量子密码网络SIP信令安全通信系统,其特征在于:所述认证中心、位置服务器、注册服务器为同一个服务器,该服务器与一个QKD设备相连。
4.一种采用权利要求1至3任一项所述量子密码网络SIP信令安全通信系统进行SIP信令安全通信的方法,其特征在于:
SIP终端进行注册时,使用注册密码与注册服务器进行双向鉴权认证,注册服务器通过认证中心生成注册服务器身份认证信息,并通过认证中心验证SIP终端身份;
SIP终端注册成功后,认证中心生成新的注册密码,并对其使用与SIP终端间共享的量子密钥加密后,传输给SIP终端,供其下一次注册时使用;
SIP终端之间进行SIP信令通信时,使用通信双方共享的量子密钥,计算或验证SIP信令的消息认证码。
5.如权利要求4所述的SIP信令安全通信方法,其特征在于,所述SIP终端按照如下步骤进行注册:
(1)SIP终端通过边缘服务器向注册服务器提交注册请求,注册请求中包含SIP终端的永久用户名,在请求消息的Authentication头字段的nonce值中含有随机数据;
(2)注册服务器收到注册请求后,将SIP终端的永久用户名和nonce值提交给认证中心,向其请求nonce值、注册服务器IP地址IP注册和SIP终端注册密码K的密钥相关的哈希函数消息认证码HMAC(K;IP注册,nonce),作为注册服务器身份认证信息;
(3)认证中心通过SIP终端的永久用户名查询其注册密码K,通过注册密码K计算HMAC(K;IP注册,nonce),并将其发送给注册服务器;
(4)注册服务器通过边缘服务器向SIP终端发送401Unauthorized消息,在此消息中将HMAC(K;IP注册,nonce)作为Authentication头字段的response值,将IP注册作为Authentication头字段的realm值,同时将一个新的随机数作为nonce’值;
(5)SIP终端收到401Unauthorized消息后,验证所收到的HMAC(K;IP注册,nonce);
(6)如验证成功,SIP终端向注册服务器重新发送注册信息,计算401Unauthorized消息中的nonce’值、SIP终端IP地址IP终端和SIP终端注册密码K的密钥相关的哈希函数消息认证码HMAC(K;IP终端,nonce’),作为SIP终端身份认证信息,并作为Authentication头字段的response值,将IP终端作为Authentication头字段的realm值;
(7)注册服务器将收到的消息认证码HMAC(K;IP终端,nonce’)、相应的nonce’值和IP终端发送给认证中心,通过认证中心验证消息认证码的正确性;
(8)如果SIP终端身份验证成功,则注册服务器向SIP终端发送200OK消息,并将SIP终端的网络位置写入位置服务器;同时,认证中心的真随机数生成器生成与注册密码K等长的真随机数K’,将K与K’进行异或运算生成新的注册密码K,并将新的注册密码K使用与SIP终端间共享的量子密钥加密后,传输给SIP终端,SIP终端解密得到新的注册密码K,供其下一次注册时使用;
上述认证中心与注册服务器之间、注册服务器与位置服务器之间交互的信息,亦使用他们之间共享的量子密钥进行保密传输。
6.如权利要求4或5所述的SIP信令安全通信方法,其特征在于,所述SIP终端按照如下步骤进行SIP信令通信:
(1)发送方SIP终端Alice通过所属的边缘服务器到位置服务器查询,获得接收方SIP终端Bob的IP地址;
(2)Alice计算密钥相关的哈希函数消息认证码HMAC(K;SData),其中K为Alice和Bob之间共享的量子密钥,SData为预先约定的需要认证的数据,至少包括信令的Call-ID值、信令的Cseq值和Alice的IP地址,并将Alice的IP地址作为Authentication头字段的realm值;
(3)Alice将所计算的HMAC(K;SData)作为Authentication头字段的response值,将相应的量子密钥K在量子密钥库中的标识信息也放入Authentication头字段中,将SIP信令发送到Bob;
(4)Bob收到信令后,通过所属的边缘服务器到位置服务器查询,获得Alice的IP地址,根据密钥标识信息获取相应的量子密钥,并根据信令相关信息获得相应的SData,验证Authentication头字段的response值,以确定信令的可靠性;
上述步骤(1)和(4)中边缘服务器与位置服务器之间交互的信息,亦使用他们之间共享的量子密钥进行保密传输。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410072627.8A CN103997484B (zh) | 2014-02-28 | 2014-02-28 | 一种量子密码网络sip信令安全通信系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410072627.8A CN103997484B (zh) | 2014-02-28 | 2014-02-28 | 一种量子密码网络sip信令安全通信系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103997484A CN103997484A (zh) | 2014-08-20 |
| CN103997484B true CN103997484B (zh) | 2017-03-29 |
Family
ID=51311492
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410072627.8A Active CN103997484B (zh) | 2014-02-28 | 2014-02-28 | 一种量子密码网络sip信令安全通信系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103997484B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104539869A (zh) * | 2014-12-10 | 2015-04-22 | 佛山络威网络技术有限公司 | 一种视频通话服务方法 |
| CN104660602B (zh) * | 2015-02-14 | 2017-05-31 | 山东量子科学技术研究院有限公司 | 一种量子密钥传输控制方法及系统 |
| CN105049201A (zh) * | 2015-08-18 | 2015-11-11 | 安徽问天量子科技股份有限公司 | 基于量子密码的移动设备保密通信系统及方法 |
| CN105323074B (zh) * | 2015-11-17 | 2018-05-25 | 西安电子科技大学 | 终端设备地理位置的可信验证方法 |
| CN108282329B (zh) * | 2017-01-06 | 2021-01-15 | 中国移动通信有限公司研究院 | 一种双向身份认证方法及装置 |
| CN108347404B (zh) * | 2017-01-24 | 2021-10-26 | 中国移动通信有限公司研究院 | 一种身份认证方法及装置 |
| CN108574569B (zh) * | 2017-03-08 | 2021-11-19 | 中国移动通信有限公司研究院 | 一种基于量子密钥的认证方法及认证装置 |
| CN108737323B (zh) * | 2017-04-13 | 2021-06-18 | 山东量子科学技术研究院有限公司 | 一种数字签名方法、装置及系统 |
| CN109104393B (zh) * | 2017-06-20 | 2021-02-12 | 山东量子科学技术研究院有限公司 | 一种身份认证的方法、装置和系统 |
| CN109150906A (zh) * | 2018-09-29 | 2019-01-04 | 贵州大学 | 一种实时数据通信安全方法 |
| CN109302285A (zh) * | 2018-10-25 | 2019-02-01 | 安徽问天量子科技股份有限公司 | 一种IPv6网络节点数据安全传输方法 |
| CN109918894B (zh) * | 2019-03-01 | 2020-11-27 | 中南大学 | 边缘计算网络视频处理中基于声誉的信任评估方法 |
| CN109951333A (zh) * | 2019-03-19 | 2019-06-28 | 中南大学 | 边缘计算网络视频处理中基于主观逻辑的信任评估装置 |
| CN111447053B (zh) * | 2020-03-24 | 2022-09-23 | 重庆邮电大学 | 一种数据安全传输方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101146100A (zh) * | 2007-09-19 | 2008-03-19 | 北京交通大学 | 一种基于传输协议sctp和dccp的sip网络电话实现方法 |
| CN101427509A (zh) * | 2006-04-18 | 2009-05-06 | Magiq技术公司 | 用于量子密码网络的密钥管理和用户认证 |
| CN103441839A (zh) * | 2013-08-15 | 2013-12-11 | 国家电网公司 | 一种量子密码在ip安全通信中的使用方法和系统 |
| CN203911968U (zh) * | 2014-02-28 | 2014-10-29 | 山东量子科学技术研究院有限公司 | 一种量子密码网络sip信令安全通信系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050286723A1 (en) * | 2004-06-28 | 2005-12-29 | Magiq Technologies, Inc. | QKD system network |
-
2014
- 2014-02-28 CN CN201410072627.8A patent/CN103997484B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101427509A (zh) * | 2006-04-18 | 2009-05-06 | Magiq技术公司 | 用于量子密码网络的密钥管理和用户认证 |
| CN101146100A (zh) * | 2007-09-19 | 2008-03-19 | 北京交通大学 | 一种基于传输协议sctp和dccp的sip网络电话实现方法 |
| CN103441839A (zh) * | 2013-08-15 | 2013-12-11 | 国家电网公司 | 一种量子密码在ip安全通信中的使用方法和系统 |
| CN203911968U (zh) * | 2014-02-28 | 2014-10-29 | 山东量子科学技术研究院有限公司 | 一种量子密码网络sip信令安全通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103997484A (zh) | 2014-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103997484B (zh) | 一种量子密码网络sip信令安全通信系统及方法 | |
| Jegadeesan et al. | An efficient anonymous mutual authentication technique for providing secure communication in mobile cloud computing for smart city applications | |
| CN107360571B (zh) | 在移动网络中的匿名相互认证和密钥协商协议的方法 | |
| Lwamo et al. | SUAA: A secure user authentication scheme with anonymity for the single & multi-server environments | |
| US9118661B1 (en) | Methods and apparatus for authenticating a user using multi-server one-time passcode verification | |
| Chang et al. | An authentication and key agreement protocol for satellite communications | |
| Shunmuganathan et al. | Secure and efficient smart-card-based remote user authentication scheme for multiserver environment | |
| Ren et al. | A novel dynamic user authentication scheme | |
| EP2984782A1 (en) | Method and system for accessing device by a user | |
| Delavar et al. | PUF‐based solutions for secure communications in Advanced Metering Infrastructure (AMI) | |
| Farash et al. | An anonymous and untraceable password‐based authentication scheme for session initiation protocol using smart cards | |
| CN101867473B (zh) | 抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统 | |
| Nikooghadam et al. | A secure and robust elliptic curve cryptography‐based mutual authentication scheme for session initiation protocol | |
| Li et al. | An efficient authentication and key agreement scheme with user anonymity for roaming service in smart city | |
| CN109639426A (zh) | 一种基于标识密码的双向自认证方法 | |
| Madhusudhan | A secure and lightweight authentication scheme for roaming service in global mobile networks | |
| CN103338201A (zh) | 一种多服务器环境下注册中心参与的远程身份认证方法 | |
| CN106936833A (zh) | 一种基于混合加密和匿名群的内容中心网络隐私保护方法 | |
| Mahmood et al. | PUF enable lightweight key-exchange and mutual authentication protocol for multi-server based D2D communication | |
| Gokhroo et al. | Cryptanalysis of SIP secure and efficient authentication scheme | |
| Lin | Efficient dynamic authentication for mobile satellite communication systems without verification table | |
| Truong et al. | Robust mobile device integration of a fingerprint biometric remote authentication scheme | |
| CN106850584B (zh) | 一种面向客户/服务器网络的匿名认证方法 | |
| Tsai et al. | Secure anonymous authentication scheme without verification table for mobile satellite communication systems | |
| Li et al. | Two-factor user authentication in multi-server networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |