CN1138367C - 用于网络区域节点间安全通信的安全联盟产生方法 - Google Patents
用于网络区域节点间安全通信的安全联盟产生方法 Download PDFInfo
- Publication number
- CN1138367C CN1138367C CNB011417358A CN01141735A CN1138367C CN 1138367 C CN1138367 C CN 1138367C CN B011417358 A CNB011417358 A CN B011417358A CN 01141735 A CN01141735 A CN 01141735A CN 1138367 C CN1138367 C CN 1138367C
- Authority
- CN
- China
- Prior art keywords
- network node
- network
- kmc
- nodes
- security association
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种用于网络区域节点间安全通信的安全联盟(SA)产生方法,包括以下处理步骤:为每一运营商的网络区域设置一个密钥管理中心(KAC),各密钥管理中心(KAC)与本网络区域内的各网络节点分别连接;当一运营商网络区域内的一网络节点要求与另一运营商网络区域内的一网络节点进行保密通信时,由两运营商网络区域的两KAC代理协商两网络节点间的SA,并将协商好的SA分别分发给各自网络区域内的该网络节点;两运营商网络区域的该两个网络节点间使用接收到的SA进行端到端的保密通信。还可设置一监听功能实体,通过从密钥管理中心(KAC)获取发送方、目标方网络节点间进行安全通信的安全联盟(SA),来解密监听发送方、目标方网络节点间的通信。
Description
技术领域
本发明涉及一种宽带码分多址(WCDMA)移动通信系统技术,是实现第三代(3G)移动通信系统的网络结构安全时,进行端到端保护的安全联盟(SA)的产生方法,更确切地说是一种密钥的管理或分发方法。
背景技术
通用移动通信系统(UMTS:Universal Mobile Telecommunication Systems)是采用WCDMA空中接口的第三代移动通信系统。UMTS系统有三种版本的网络结构,包括:R99、R4和R5。由于在R4、R5的版本结构中可以采用IP技术并可在公网上传输,因此必须采用必要的保护措施来保证网络信令的安全性。如在3G R5结构中,通过采用MAPSec(MAP安全)机制对MAP(移动应用部分)协议进行加密来保护MAP协议,另外,还要求提供基于IP协议的网络区域安全机制(NDS/IP)来保护只基于IP的信令协议。
目前,在3G网络区域安全(NDS/IP)标准中,并没有提供端到端的安全保护机制。
结合参见图1,是协商的MAP SA模型,安全区域A表示运营商A的网络区域,安全区域B表示运营商B的网络区域,在MAPSec协议(参看TS 33200v400)中,引入一个与节点(NE,或称网络单元)分离的新的网络功能单元KAC(密钥管理中心),图中KACA是安全区域A的密钥管理中心,KACB是安全区域B的密钥管理中心,NEA1、NEA2分别是安全区域A的两个节点,NEB是安全区域B的节点。图中用虚线表示IKE协议连接,用双线表示带有保密性与完整性保护的ESP隧道,用粗实线表示安全MAP协议操作,Zd表示两个密钥管理中心KACA与KACB间的连接,Ze表示同一安全区域内密钥管理中心与各节点间的连接,Zf表示不同安全区域间节点间的连接。若运营商A的NEA节点需要和运营商B的NEB节点进行MAPSec通信,NEA需要请求KACA与KACB帮助建立起NEA与NEB间的MAP安全联盟(SA),实现MAPSec通信的密钥管理实质是采用KAC作为代理来协商NEA节点与NEB节点间使用安全联盟(SA)的保密通信方法。
IPSec ESP协议是用于实现NDS/IP的,即采用IPSec ESP协议技术通过对网络实体间传输的数据包进行加密,实现网络安全保护,以保证信令和数据的安全传输。但是该IPSec ESP协议是采用对各段进行加/解密的方式逐段实现的,在每一段中通过采用因特网密钥交换(IKE)协议(参看RFC2409)来直接协商两个网络节点之间的安全联盟(SA)。
然而人们一般都希望,能直接以端到端保护方式提供网络区域安全机制(NDS/IP),因为有实现简单、不用考虑中间经过节点安全保护的优点,但在实际的加密应用中,由于各节点间的密钥需独自协商,就不好进行统一控制与管理,也就不容易实现合法监听的功能。因此,如何协商与分发网络单元(NE)之间的安全联盟(密钥参数)就成了实现端到端网络安全保护的难点问题。
从以上分析可知,尽管IKE机制可以作为不同运营商的NE之间的IPSec安全联盟(SA)的自动协商机制,但它有如下一些关键缺点:
(1)所有的NE设备都必须实现复杂的IKE协议,包括需要实现速度慢的公钥机制和复杂的证书验证过程;
(2)密钥协商各自独立,不能集中管理,因而整体安全性无法得到保证;
(3)由于密钥协商采用端到端方式,监听进解密用的密钥必须从各个NE设备单独获取,因此实现监听功能是相当复杂的。
发明内容
本发明的目的是设计一种用于网络区域节点间安全通信的安全联盟产生方法,针对上述三个关键缺点为NDS/IP的端到端加密方式的实施提出一种集中的密钥管理和分发方法,能很好地解决密钥控制和管理问题,从而使合法监听功能的实现变得容易。
实现本发明目的的技术方案是这样的:一种用于网络区域节点间安全通信的安全联盟产生方法,其特征在于包括以下处理步骤:
A.为每一运营商的网络区域设置一个密钥管理中心,各密钥管理中心与本网络区域内的各网络节点分别连接;
B.当一运营商网络区域内的一网络节点要求与另一运营商网络区域内的一网络节点进行保密通信时,由两运营商网络区域的两密钥管理中心代理协商两网络节点间的安全联盟,并将协商好的安全联盟分别分发给各自网络区域内的该网络节点;
C.两运营商网络区域的该两个网络节点间使用接收到的安全联盟进行保密通信。
所述的步骤B进一步包括:
a.由发送方网络节点向本网络区域的密钥管理中心发出要与目标方网络节点进行保密通信的请求;
b.发送方网络节点的密钥管理中心使用因特网密钥交换协议与目标方网络节点的密钥管理中心协商发送方网络节点与目标方网络节点之间的安全联盟;
c.发送方网络节点的密钥管理中心与目标方网络节点的密钥管理中心分别存储该协商好的安全联盟,并分别向发送方网络节点和目标方网络节点分发。
所述的步骤a与步骤c中,发送方网络节点与其密钥管理中心间还按发送方网络区域制定的内部安全机制进行通信保护;目标方网络节点与其密钥管理中心间还按目标方网络区域制定的内部安全机制进行通信保护。
所述发送方网络区域制定的内部安全机制或目标方网络区域制定的内部安全机制是在网络节点与其密钥管理中心间设置一物理线路。
还包括设置一监听功能实体,通过获取发送方网络节点与目标方网络节点间进行安全通信的安全联盟,监听发送方网络节点与目标方网络节点间的通信。
所述的获取过程进一步包括:
a.由监听功能实体查询发送方网络节点的密钥管理中心或目标方网络节点的密钥管理中心,得到发送方网络节点与目标方网络节点间进行安全通信的安全联盟;
b.监听功能实体利用得到的该安全联盟对发送方网络节点与目标方网络节点间的安全通信进行解密监听。
所述的监听功能实体是一计算机或一服务器。
3G R4、R5系统结构要求网络安全最好能以端到端保护方式提供,在对网络节点间通信进行加密的同时,还应能够提供合法的监听功能。本发明的用于网络区域节点间安全通信的安全联盟(SA)产生方法,通过采用基于代理的IPSec SA产生方法,为实现端到端加密提供了密钥管理及分发方法。
本发明将MAPSec密钥管理模型应用到网络区域安全(NDS/IP)机制中,即通过提供密钥管理中心KAC来协商两网络区域节点间的IPSec SA。本发明方法的有益效果是:
(1)将因特网密钥交换(IKE)协议的实现集中在密钥管理中心(KAC)上完成,由于网络节点(NE)上不再实施复杂的IKE协议,从而大大简化了NE的IPSec协议的实现;
(2)由于IPSec SA是由密钥管理中心KAC统一协商完成的,因而很容易实现对SA的安全集中管理;
(3)使实现合法监听更加容易,实施监听的部门可以直接查询存储在KAC中已经协商好的SA,然后就可以对当前通信进行线路解密监听了。
附图说明
图1是背景技术中两安全区域中的网络节点协商MAP SA的模型示意图。
图2是本发明技术方案两安全区域中的网络节点协商IPSec SA的模型示意图。
图3是本发明技术方案实现合法监听的流程示意图。
具体实施方式
结合参见图2,图中示出利用本发明的方法实施两安全区域中网络节点间进行保密通信时协商IPSec SA的结构及流程。
安全区域A表示运营商A的网络区域,安全区域B表示运营商B的网络区域,KACA是安全区域A的密钥管理中心,KACB是安全区域B的密钥管理中心,NEA是安全区域A中的一个节点(还有其他节点NE),NEB是安全区域B的节点(还有其他节点NE)。
假设运营商A的一个网络节点NEA需要与运营商B的一个网络节点NEB进行IPSec ESP通信,首先就需要获取IPSec SA。其获取流程包括:
步骤①,网络节点NEA向运营商A的密钥管理中心KACA发出一个与网络节点NEB进行IPSec通信的请求;
步骤②,密钥管理中心KACA使用IKE协议与运营商B的密钥管理中心KACB协商网络节点NEA-NEB之间的IPSec SA;
步骤③,IPSec SA协商完成后,密钥管理中心KACA、KACB存储并分别向网络节点NEA、NEB分发该IPSec SA;
步骤④,网络节点NEA与NEB使用这个IPSec SA通过加解密操作进行IPSec ESP保密通信。
在步骤①和③中,KACA至NEA间及KACB至NEB之间的安全保护可由运营商为本网络区域内部制定的安全机制来实现,如可以采用物理线路的安全方法或其他一些安全方法。
参见图3,在图2所示结构及流程的基础上进一步示出实现合法监听的结构与流程。
设置一个监听功能实体,如普通的计算机或服务器设备。其进行合法监听的流程是:
步骤①,由监听功能实体查询KACA或KACB,从中可以很容易地查询到当前NEA-NEB间进行安全通信所采用的IPSec SA,即监听功能实体不需要单独从每个网络节点NEA或NEB中获取IPSec SA;
步骤②,监听功能实体使用这个IPSec SA,对NEA-NEB之间的安全通信进行解密,实现监听。
本发明的方法是通过设置各网络区域的密钥管理中心(KAC),并由密钥管理中心(KAC)代理协商不同运营商网络节点之间的IPSec SA,来实现区域节点间保密通信的,该方法还便于实现合法监听的功能。
本发明的方法,将密钥协商与密钥的应用分离开来,让所有的原本由节点(NE)完成的复杂的IKE协商过程统一交给分离后的密钥管理中心(KAC)代理完成,NE只是完成简单请求和IPSec SA的加密处理过程,从而使两区域节点(NE)间实现IPSec协议更加简单;由密钥管理中心(KAC)统一进行安全联盟(SA)的审核与分发,便于对IPSec SA进行安全集中管理;由于可直接从密钥管理中心(KAC)中获取IPSec SA,使合法监听变得更加容易。
本发明的技术方案可应用于3G核心网络中。
Claims (7)
1.一种用于网络区域节点间安全通信的安全联盟产生方法,其特征在于包括以下处理步骤:
A.为每一运营商的网络区域设置一个密钥管理中心,各密钥管理中心与本网络区域内的各网络节点分别连接;
B.当一运营商网络区域内的一网络节点要求与另一运营商网络区域内的一网络节点进行保密通信时,由两运营商网络区域的两密钥管理中心代理协商两网络节点间的安全联盟,并将协商好的安全联盟分别分发给各自网络区域内的该网络节点;
C.两运营商网络区域的该两个网络节点间使用接收到的安全联盟进行保密通信。
2.根据权利要求1所述的一种用于网络区域节点间安全通信的安全联盟产生方法,其特征在于所述的步骤B进一步包括:
a.由发送方的网络节点向本网络区域的密钥管理中心发出要与目标方的网络节点进行保密通信的请求;
b.发送方网络节点的密钥管理中心使用因特网密钥交换协议与目标方网络节点的密钥管理中心协商发送方网络节点与目标方网络节点之间的安全联盟;
c.发送方网络节点的密钥管理中心与目标方网络节点的密钥管理中心分别存储该协商好的安全联盟,并分别向发送方网络节点和目标方网络节点分发。
3.根据权利要求2所述的一种用于网络区域节点间安全通信的安全联盟产生方法,其特征在于:所述的步骤a与步骤c中,发送方网络节点与其密钥管理中心间还按发送方网络区域制定的内部安全机制进行通信保护;目标方网络节点与其密钥管理中心间还按目标方网络区域制定的内部安全机制进行通信保护。
4.根据权利要求3所述的一种用于网络区域节点间安全通信的安全联盟产生方法,其特征在于:所述发送方网络区域制定的内部安全机制或目标方网络区域制定的内部安全机制是在网络节点与其密钥管理中心间设置一物理线路。
5.根据权利要求1所述的一种用于网络区域节点间安全通信的安全联盟产生方法,其特征在于:还包括设置一监听功能实体,通过获取发送方网络节点与目标方网络节点间进行安全通信的安全联盟,监听发送方网络节点与目标方网络节点间的通信。
6.根据权利要求5所述的一种用于网络区域节点间安全通信的安全联盟产生方法,其特征在于所述的获取过程进一步包括:
a.由监听功能实体查询发送方网络节点的密钥管理中心或目标方网络节点的密钥管理中心,得到发送方网络节点与目标方网络节点间进行安全通信的安全联盟;
b.监听功能实体利用得到的该安全联盟对发送方网络节点与目标方网络节点间的安全通信进行解密监听。
7.根据权利要求5或6所述的一种用于网络区域节点间安全通信的安全联盟产生方法,其特征在于:所述的监听功能实体是一计算机或一服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB011417358A CN1138367C (zh) | 2001-09-17 | 2001-09-17 | 用于网络区域节点间安全通信的安全联盟产生方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB011417358A CN1138367C (zh) | 2001-09-17 | 2001-09-17 | 用于网络区域节点间安全通信的安全联盟产生方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1406005A CN1406005A (zh) | 2003-03-26 |
CN1138367C true CN1138367C (zh) | 2004-02-11 |
Family
ID=4676371
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB011417358A Expired - Fee Related CN1138367C (zh) | 2001-09-17 | 2001-09-17 | 用于网络区域节点间安全通信的安全联盟产生方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1138367C (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100450000C (zh) * | 2003-08-20 | 2009-01-07 | 华为技术有限公司 | 一种实现组安全联盟共享的方法 |
CN1753348B (zh) * | 2004-09-22 | 2010-07-28 | 华为技术有限公司 | 一种实现明话转密话的方法 |
CN100574185C (zh) | 2005-01-07 | 2009-12-23 | 华为技术有限公司 | 在ip多媒体业务子系统网络中保障媒体流安全性的方法 |
JP4427483B2 (ja) * | 2005-04-27 | 2010-03-10 | 株式会社東芝 | 通信装置および通信方法 |
CN1874343B (zh) * | 2005-06-03 | 2010-04-21 | 华为技术有限公司 | IPSec安全联盟的创建方法 |
CN101227494B (zh) * | 2008-01-09 | 2013-06-12 | 中兴通讯股份有限公司 | 接入多分组数据网时因特网安全协议安全联盟的建立方法 |
CN101309273B (zh) * | 2008-07-16 | 2011-06-01 | 杭州华三通信技术有限公司 | 一种生成安全联盟的方法和装置 |
CN101917272B (zh) * | 2010-08-12 | 2012-07-18 | 西安西电捷通无线网络通信股份有限公司 | 一种邻居用户终端间保密通信方法及系统 |
CN103188228B (zh) * | 2011-12-29 | 2018-05-01 | 中兴通讯股份有限公司 | 一种实现端到端安全防护的方法、安全网关及系统 |
CN103546442B (zh) * | 2012-07-17 | 2018-10-23 | 中兴通讯股份有限公司 | 浏览器的通讯监听方法及装置 |
CN113472622A (zh) * | 2020-03-30 | 2021-10-01 | 华为技术有限公司 | 一种网络中传输业务的方法和设备 |
CN113872845B (zh) * | 2020-06-30 | 2023-04-07 | 华为技术有限公司 | 建立vxlan隧道的方法及相关设备 |
-
2001
- 2001-09-17 CN CNB011417358A patent/CN1138367C/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN1406005A (zh) | 2003-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7181012B2 (en) | Secured map messages for telecommunications networks | |
US9461975B2 (en) | Method and system for traffic engineering in secured networks | |
US20060031936A1 (en) | Encryption security in a network system | |
US7313816B2 (en) | Method and system for authenticating a user in a web-based environment | |
EP1835652B1 (en) | A method for ensuring the safety of the media-flow in ip multimedia sub-system | |
US8837729B2 (en) | Method and apparatus for ensuring privacy in communications between parties | |
US8976968B2 (en) | Intercepting a communication session in a telecommunication network | |
US10097523B2 (en) | Method and system for providing secure remote external client access to device or service on a remote network | |
DE60201522T2 (de) | Ermöglichen legales abfangen von ip-verbindungen | |
US20090182668A1 (en) | Method and apparatus to enable lawful intercept of encrypted traffic | |
AU2007261003B2 (en) | Method and apparatus for encrypted communications using IPsec keys | |
CN1138367C (zh) | 用于网络区域节点间安全通信的安全联盟产生方法 | |
CA2438357A1 (en) | System and method for secure remote access | |
JPH03210847A (ja) | 通信回路網 | |
CN104219217A (zh) | 安全关联协商方法、设备和系统 | |
CN100571133C (zh) | 媒体流安全传输的实现方法 | |
CN113783868B (zh) | 一种基于商用密码保护闸机物联网安全的方法及系统 | |
US20040044910A1 (en) | Method and system for access in open service architecture | |
CN116248302A (zh) | 一种ssl vpn通信隧道模块、应用监控模块及移动终端安全接入系统 | |
Cisco | Configuring IPSec Network Security | |
Alhumrani et al. | Cryptographic protocols for secure cloud computing | |
US7116786B2 (en) | Interception of secure data in a mobile network | |
RU99108494A (ru) | Система защиты виртуального канала корпоративной сети с фиксальным контролем доступа к информации, построенной на каналах и средствах коммутации сети связи общего пользования | |
Hatefi et al. | A new framework for secure network management | |
Belbachir et al. | Involved Security Solution in Voice over IP Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20040211 Termination date: 20160917 |
|
CF01 | Termination of patent right due to non-payment of annual fee |