CN1571408A - 一种基于媒体网关控制协议的安全认证方法 - Google Patents
一种基于媒体网关控制协议的安全认证方法 Download PDFInfo
- Publication number
- CN1571408A CN1571408A CN 03149587 CN03149587A CN1571408A CN 1571408 A CN1571408 A CN 1571408A CN 03149587 CN03149587 CN 03149587 CN 03149587 A CN03149587 A CN 03149587A CN 1571408 A CN1571408 A CN 1571408A
- Authority
- CN
- China
- Prior art keywords
- mgc
- algorithm
- key information
- self
- digital signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于媒体网关控制协议的安全认证方法,在媒体网关(MG)侧和媒体网关控制器(MGC)侧分别设置共享密钥,并在MG侧和MGC侧分别生成随机数,利用自身生成的随机数计算出各自的密钥信息;在进行安全认证时,MG或MGC先利用对方的密钥信息生成自身的鉴权密钥,再根据双方确定的数字签名算法、自身生成的密钥信息、自身生成的鉴权密钥以及共享密钥,计算出本次认证过程中用于认证的签名字,并将计算出的签名字和密钥信息发给另一方,另一方再将计算出的自身当前使用的签名字和所收到的签名字进行比较,根据比较结果来确定对方是否为合法方,进而完成对方安全身份的认证,该方法可确保非法媒体网关无法正确接入到媒体网关控制器中使用。
Description
技术领域
本发明涉及一种认证技术,特别是指一种基于媒体网关控制协议的安全认证方法。
背景技术
在下一代网络(NGN)中,存在很多支持媒体网关控制协议,如:MGCP协议和H.248协议的媒体网关(MG),这些网关设备分布在企业或用户家中,具有覆盖面广、数量多、基于动态IP的特点。这里,所述的MGCP协议是因特网工程任务组(IETF)制定的一种媒体网关控制标准,所述的H.248协议是国际电信联盟(ITU)制定的一种媒体网关控制协议。如果不对媒体网关进行安全管理认证,则会出现以下问题:
1)仿冒媒体网关,冒充真正的媒体网关进行通话,而通话费用却计入真正媒体网关对应的帐户上,使用户通话费用的安全性得不到保证。
2)对媒体网关控制器(MGC)进行攻击,系统安全性无法得到保证,容易造成非法及伪造设备被纳入管理;当非法及伪造设备被较多的纳入管理时,将会把合法的设备淹没掉,甚至会造成整个网络系统的瘫痪。
目前,在媒体网关控制协议中提到,可以支持对发起方的身份认证,对于发起方的身份认证有两种实现思想:一种是进行地址认证,即:仅接受来自源地址的信息;另一种是在呼叫建立过程中传送通信密钥,用此密钥进行身份认证。
对于上述两种实现思想,在媒体网关控制协议中,迄今为止都没有提出具体的解决方案,因此根本无法实施。另一方面,从安全角度而言,即使能够实施,由于目前媒体网关控制协议所建议的安全性很差,对于地址认证方式,非法方只要伪造某一合法的IP地址,就很容易实现基于源地址的认证;而对于密钥认证方式,在呼叫过程中通过传输密钥来进行身份认证是非常不安全的,只要某一非法用户截取到该加密信息并获得密钥,同样可以很容易地伪造成合法用户。
发明内容
有鉴于此,本发明的主要目的在于提供一种基于媒体网关控制协议的安全认证方法,可确保非法媒体网关无法正确接入到媒体网关控制器中使用。
为达到上述目的,本发明的技术方案是这样实现的:
一种基于媒体网关控制协议的安全认证方法,预先在媒体网关(MG)和媒体网关控制器(MGC)中设置MGC和对应MG的共享密钥Ki,MG和MGC之间进行安全认证时,该方法进一步包括:
a.MG利用自身生成的随机数Rand-MG1计算出自身密钥信息A,并将计算出的密钥信息A发送给MGC;
b.MGC利用自身生成的随机数Rand-MGC计算出自身密钥信息B,并根据接收到的对方密钥信息A生成自身的鉴权密钥;再根据当前生成的鉴权密钥、自身密钥信息B、共享密钥Ki以及选定的数字签名算法计算出自身用于认证的签名字,然后将计算出的自身密钥信息B和签名字发送给MG;
c.MG收到后,先根据接收到的对方密钥信息B生成自身的鉴权密钥;再根据当前生成的鉴权密钥、共享密钥Ki、对方密钥信息B以及选定的数字签名算法计算出自身当前使用的签名字,然后判断当前计算出的签名字与所收到的签名字是否一致,如果不一致,则对方为非法MGC方,结束当前认证流程;否则,对方为合法MGC方,再重新生成新的随机数Rand-MG2,利用该新随机数计算出自身新密钥信息C,并根据生成的鉴权密钥、新密钥信息C、共享密钥Ki以及选定的数字签名算法计算出自身用于认证的签名字,之后,将当前计算出的签名字和新密钥信息C发送给MGC;
d.MGC收到后,根据共享密钥Ki、接收到的对方密钥信息C以及选定的数字签名算法计算出自身当前使用的签名字,并判断计算出的签名字与所收到的签名字是否一致,如果是,则对方为合法MG方;否则,对方为非法MG方。
MG进行启动注册时,该方法进一步包括:MG向MGC发送至少携带有MG标识(MGID)的接入请求命令。那么,步骤a所述MG自身的密钥信息A放置在所述接入请求命令中发送给MGC。并且,该方法可进一步包括:对所述的MGID按照预先设定的加密算法进行加密。相应地,MGC收到接入请求命令后,对所述的MGID按照预先设定的解密算法进行解密。
上述方案中,所述选定的数字签名算法为:预先根据MG和MGC所支持的数字签名算法设定的。当所述接入请求命令中进一步携带有MG侧所支持的数字签名算法对应的算法标识时,所述选定的数字签名算法为MGC根据接入请求命令中的算法标识确定的,该算法确定过程进一步包括:MGC收到MG发来的接入请求命令后,判断是否携带有算法标识,如果携带有MG支持的算法标识,则MGC根据MG支持的算法选定所要使用的数字签名算法,并将选定的数字签名算法对应的算法标识发送给MG;否则,MGC直接采用预先设定的数字签名算法。
上述方案中,所述MG和MGC的共享密钥Ki存储于MG和MGC设备中不易被读取的位置。
上述方案中,该方法进一步包括:设置一附加鉴权参数。则MG和MGC分别根据密钥信息、共享密钥Ki、选定的数字签名算法以及附加鉴权参数计算签名字。所述设置附加鉴权参数为:在MGC设备中设置一随机数,MGC将该随机数以明文方式在保留字段中发送给MG。或者,所述设置附加鉴权参数为:在MG设备中设置一随机数,MG将该随机数以明文方式在保留字段中发送给MGC。或者,所述设置附加鉴权参数为:分别在MG和MGC设备中设置对应的计数器或时钟,以当前计数器值或时钟对应的当前时戳值作为附加鉴权参数。或者,所述设置附加鉴权参数为:在MGC设备中设置与当前通信的MG相对应的计数器或时钟,以当前计数器值或时钟对应的当前时戳值作为附加鉴权参数;并且,MGC将当前计数器值发送给MG。其中,所述计数器的初始值为0或1。MGC将当前计数器值放置在MGC请求命令的保留参数中发送给MG。
如果以计数器值作为附加鉴权参数,则步骤b中MGC在计算自身签名字之后,步骤b进一步包括:MGC将当前计数器值加1。且MG在计算鉴权密钥之后,该方法进一步包括:MG将当前计数器值加1。
当进行周期鉴权时,可重复执行步骤b~d。
因此,本发明所提供的基于媒体网关控制协议的安全认证方法,具有以下的优点和特点:
1)在MGC侧和MG侧设置并存储共享密钥Ki,利用该共享密钥Ki实现双向鉴权;在MG和MGC相互认证过程中,采用DH密码算法生成各自的密钥信息,进而根据密钥信息计算出MGC侧或MG侧的鉴权密钥和签名字,由于每个认证过程的密钥信息都是随机产生的,因此能够保证鉴权密钥和签名字的保密性,从而提高认证的可靠性和安全性。
2)在每次进行安全认证时,计算鉴权密钥和签名字的共享密钥信息是由MGC或MG根据各自随机产生的随机数按照一定规律计算得出的,从而实现了动态密钥的生成,同时也实现了MG和MGC之间的双向鉴权,进而可有效防止MG的伪造事件发生。
3)本发明还可在每次安全认证过程中,再设置一个一次性的附加鉴权参数,比如:再生成一个随机数作为附加鉴权参数,或是设置计数器或时钟,利用计数器值或时戳值作为附加鉴权参数,通过不同的附加鉴权参数值不仅能保证双向鉴权的可能,而且可防止非法者的重复攻击。
4)当MGC侧和MG侧同时或分别支持一种以上密钥生成算法和数字签名算法时,本发明还配有算法协商机制,使双方的选择更灵活、可靠、方便。
5)本发明可适用于各种媒体网关控制协议,如:MGCP协议、H.248协议的注册认证过程,适用范围广。
附图说明
图1为本发明方法实现的流程示意图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
本发明的基本思想是:在MG和MGC之间利用媒体网关控制协议进行安全认证时,通过对媒体网关控制协议安全性机制进行补充,来实现身份的认证。具体地说就是:在MG侧和MGC侧分别设置共享密钥,并且在MG侧和MGC侧分别生成随机数,并按照相同的规律利用自身生成的随机数计算出各自的密钥信息;在进行安全认证时,MG或MGC先利用对方的密钥信息生成自身的鉴权密钥,再根据双方确定的数字签名算法、自身生成的密钥信息、自身生成的鉴权密钥以及共享密钥,计算出本次认证过程中用于认证的签名字,并将计算出的签名字和密钥信息发给另一方,另一方再将计算出的自身当前使用的签名字和所收到的签名字进行比较,根据比较结果来确定对方是否为合法方,进而完成对方安全身份的认证。
因此,本发明实现的前提是:MG侧和MGC侧共享一个密钥Ki,密钥长度至少为128bit,该密钥被预先安全保存于MGC和MG设备中。这里所述的安全存放是指:该密钥采用物理存放方式,且该密钥在写入后任何人都不可能读取到。当有多个MG与同一MGC相连时,不同MG分别与MGC共享不同的密钥Ki,也就是说,不同MG之间不会采用相同的密钥Ki。
并且,在MG和MGC设备中至少保留一套密钥生成算法和数字签名算法,且要求MG和MGC双方至少有一套相同的密钥生成算法和数字签名算法。在本发明实现过程中,主要是利用双方都支持的数字签名算法f2实现MG和MGC之间的身份鉴权。
参见图1所示,本发明安全认证方法的具体实现过程包括以下步骤:
步骤101~102:MG在启动时进行正常注册,先在自身生成随机数Rand-MG1,然后按照公式(1)计算出自身的密钥信息A:
A=g Rand-MG1 mod(P) (1)公式(1)中,g为底数,可以取任意值,一般取10;P为一个素数,也就是一个质数,且长度至少为512bit。g和P的值是MG和MGC双方预先协商确定的。
计算出密钥信息A后,MG向MGC发接入请求命令,在该接入请求命令中至少包含MG标识(MGID)和密钥信息A。这里,对于MGCP协议,接入请求命令可以是特定域IP协议(RSIP)命令。该MGID可以是加密的,也可以是不加密的,如果要对MGID加密,则需要预先设定加密算法,并分别存储在MG和MGC设备中,MGID采用该预先设定的加密算法进行加密。
如果MG或MGC允许同时支持多种数字签名算法,也就是说,MG或MGC任何一方支持一种以上数字签名算法,这种情况下,可以预先设定MG和MGC之间采用的数字签名算法,也可以在MG和MGC之间进行算法协商,以确定双方当前要采用的数字签名算法,如果需要进行算法协商,则该接入请求命令中还要携带MG支持的算法标识(ID),该算法标识可以是MG侧所支持的数字签名算法对应的算法标识。
步骤103~105:MGC收到MG发来的接入请求命令后,先向MG发送确认应答消息ACK;
然后,MGC判断接入请求命令中是否携带了算法标识,如果接入请求命令中包含算法标识,说明双方需要进行算法协商,则MGC确定本次认证要采用的数字签名算法f2;如果接入请求命令中未包含算法标识,则MGC直接采用预先设定的数字签名算法作为数字签名算法f2;
MGC产生一个随机数Rand-MGC,然后按照公式(2)计算出自身的密钥信息B:
B=g Rand-MGC mod(P) (2)
公式(2)中的g和P与公式(1)中g和P完全相同。
计算出密钥信息B后,MGC再根据接收到的密钥信息A按照公式(3)计算出自身的鉴权密钥KEY-MGC:
KEY-MGC=ARand-MGCmod(P)=gRand-MGC*Rand-MGlmod(P) (3)公式(3)中,由于P为一个失素数,所以将A值代入公式时,A中的mod(P)可以忽略不计。
进而利用计算出的密钥信息B、KEY-MGC、确定的数字签名算法f2以及共享密钥Ki,按照公式(4)计算出MGC侧用于认证的签名字MGCAUTH,该MGCAUTH用于鉴别MGC是否合法。
MGCAUTH=f2(KEY-MGC,Ki,B) (4)
计算出签名字MGCAUTH后,MGC发送MGC请求命令给MG,该MGC请求命令中至少包括密钥信息B、MGCAUTH和保留(Reserved)字段,其中,Reserved字段是可选的,可根据需要选择携带一个或多个参数,比如:MG和MGC双方需要进行算法协商的情况下,该Reserved字段可以包括MGC选定的,也就是指定MG使用的数字签名算法f2对应的算法标识。这里,对于MGCP协议,MGC请求命令可以是RQNT命令。
步骤106~108:MG收到MGC发来的密钥信息B、MGCAUTH和Reserved字段后,先确定应使用的算法,具体做法是:如果Reserved字段中携带有MGC选定的数字签名算法f2对应的算法标识,则MG使用该数字签名算法f2;否则,使用预先设定的数字签名算法作为数字签名算法f2;然后取出密钥信息B,利用密钥信息B和自己在步骤101中生成的随机数Rand-MG1,按照公式(5)计算出自身的鉴权密钥KEY-MG:
KEY-MG=B Rand-MG1 mod(P)=g Rand-MG1*Rand-MGC mod(P) (5)
进而利用计算出的密钥信息B、KEY-MG、确定的数字签名算法f2以及共享密钥Ki,按照公式(6)计算出MG当前使用的签名字MGRES,该MGCRES用于鉴别MGC是否合法。
MGRES=f2(KEY-MG,Ki,B) (6)
然后,MG判断MGRES是否等于MGCAUTH,如果是,则说明是一个合法MGC发过来的信息,再生成一个新的随机数Rand-MG2,利用该随机数Rand-MG2按照公式(7)重新计算MG新的密钥信息C:
C=gRand-MG2mod(P) (7)计算出新密钥信息C后,MG再利用新密钥信息C按公式(8)MG侧用于认证的签名字MGAUTH,该MGAUTH用于鉴别MG是否合法。
MGAUTH=f2(KEY-MG,Ki,C) (8)
之后,MG向MGC发参数通知消息,将计算出的MGAUTH和新密钥信息C通知MGC,同时,MG还向MGC发送鉴权结果消息ACK,这里,该鉴权结果消息即为表示对MGC鉴权成功消息。其中,步骤107的参数通知消息和步骤108的鉴权结果消息可以合并,即仅发送一条鉴权结果消息,该鉴权结果消息中包括计算出的MGAUTH、新密钥信息C和鉴权成功信息。
如果MGRES不等于MGCAUTH,则结束当前流程,或返回步骤104重新认证,这种情况下,MG可以发鉴权结果消息通知MGC本次认证失败,也可以不发任何消息进行通知。
步骤109~110:MGC收到MGAUTH后,利用新密钥信息C、在步骤104中生成KEY-MGC、确定的数字签名算法f2以及共享密钥Ki,按照公式(9)计算出自身当前使用的签名字MGCRES:
MGCRES=f2(KEY-MGC,Ki,C) (9)
然后判断MGCRES是否等于MGAUTH,如果是,则说明是合法MG发过来的信息,MGC回复对MG鉴权成功的应答消息。如果MGAUTH不等于MGCRES,则结束当前流程,或返回步骤104重新认证,这种情况下,MGC可以发消息通知MG本次认证失败,也可以不发消息通知。
通过上述步骤101~110即可完成MG接入MGC的安全身份认证过程。上述步骤中,MG、MGC分别利用对方传送过来的密钥信息计算自身鉴权密钥的方式,是采用现有的DH密码算法。对于后续的周期鉴权,比如:通信时所需的认证,或重认证过程,可重复执行步骤104~109,但步骤104中所涉及到的算法选择可以忽略,也就是说,第一次通过协商确定所使用的算法后,以后不需要再协商,直接采用确定的算法,并且,公式(3)中用到的密钥信息A全部用新密钥信息C替换。可见,通过上述步骤可以实现MG和MGC之间基于MGCP协议的动态密钥管理,同时也实现了双向鉴权,即:共享密钥只在本方产生,不进行传递,双方仅通过签名字的比较确定对方身份的合法性。
为了确保MG和MGC之间更高的安全性,可预先在MGC和每个MG中再分别设置相互对应的附加鉴权参数,MG和MGC在计算各自的签名字时,除了利用共享密钥、MGC生成的随机数、双方确定的密钥生成算法和数字签名算法,还要利用该附加鉴权参数。该附加鉴权参数可以有多种实现方式,比如:再单独生成一个随机数,以此随机数作为附加鉴权参数;单独设置一个计数器,利用该计数器的当前值作为附加鉴权参数;单独设置时钟,以时戳值作为附加鉴权参数等等。以设置计数器并利用计数器值作为附加鉴权参数为例,有以下两种方式:
第一种方式,在MGC和MG设备中分别设置一个对应的计数器,该计数器的初始值设为0或1,由于MGC同时对应多个MG,所以要设置多个计数器,每个计数器对应一个MG。这样的话,在公式(4)、公式(6)、公式(8)以及公式(9)的计算中就要增加计数器值COUNT-MG或COUNT-MGC,则公式(4)、公式(6)、公式(8)、公式(9)分别变为公式(4’)、公式(6’)、公式(8’)、公式(9’):
MGCAUTH=f2(KEY-MGC,Ki,B,COUNT-MGC) (4’)
MGRES=f2(KEY-MG,Ki,B,COUNT-MG) (6’)
MGAUTH=f2(KEY-MG,Ki,C,COUNT-MG) (8’)
MGCRES=f2(KEY-MGC,Ki,C,COUNT-MGC) (9’)同时,在步骤104中,MGC计算出用于认证的签名字MGCAUTH后,要将自身当前的计数器值COUNT-MGC加1;在步骤106中,MG计算出自身当前使用的鉴权密钥之后,也要将自身当前的计数器值COUNT-MG加1。
第二种方式,仅在MG或MGC一方设置该计数器,同样,该计数器的初始值设为0或1。这种情况下,就需要在MG和MGC之间传递消息时将当前计数器值发给对方。比如:只在MGC侧设置多个计数器,每个计数器对应一个MG,当MGC与某个MG进行安全认证时,MGC可以将对应当前MG的当前计数器值放在Reserved字段中发送给当前的MG。所采用计算公式的相应变化与第一种方式中公式(4’)、公式(6’)、公式(8’)、公式(9’)相同。
在实际应用中,具体采用的是何种方式,MG或MGC可以在收到命令消息后,对命令消息中是否携带有Reserved字段或Reserved字段中是否含有附加鉴权参数进行判断,如果有,则采用消息中携带的附加鉴权参数值,相当于使用方式二;如果消息中根本未携带附加鉴权参数,则从自身取,相当于使用方式一,当然,此种情况下,MG和MGC预先知道要利用附加鉴权参数。
如果设置的附加鉴权参数为时戳时,设置、应用方式和相应的使用过程与上述计数器的实例基本类似,只是不需要初始化,也不需要传送给对方。
如果设置的附加鉴权参数为随机数时,以在MGC设置随机数为例:
在步骤104中,MGC会生成作为附加鉴权参数的随机数Rand-add,则MGC在向MG发送MGC请求命令时,会在该MGC请求命令的保留(Reserved)字段中携带Rand-add,该随机数Rand-add以明文传送给对方。相应地,公式(4)、公式(6)、公式(8)、公式(9)分别变为公式(4”)、公式(6”)、公式(8”)、公式(9”):
MGCAUTH=f2(KEY-MGC,Ki,B,Rand-add) (4”)
MGRES=f2(KEY-MG,Ki,B,Rand-add) (6”)
MGAUTH=f2(KEY-MG,Ki,C,Rand-add) (8”)
MGCRES=f2(KEY-MGC,Ki,C,Rand-add) (9”)。
以上描述的方案,不仅适用于MGCP协议,当MG和MGC之间通过H.248协议进行通信,也完全适合于采用H.248协议的认证过程。总之,以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (19)
1、一种基于媒体网关控制协议的安全认证方法,其特征在于:预先在媒体网关(MG)和媒体网关控制器(MGC)中设置MGC和对应MG的共享密钥Ki,MG和MGC之间进行安全认证时,该方法进一步包括:
a.MG利用自身生成的随机数Rand-MG1计算出自身密钥信息A,并将计算出的密钥信息A发送给MGC;
b.MGC利用自身生成的随机数Rand-MGC计算出自身密钥信息B,并根据接收到的对方密钥信息A生成自身的鉴权密钥;再根据当前生成的鉴权密钥、自身密钥信息B、共享密钥Ki以及选定的数字签名算法计算出自身用于认证的签名字,然后将计算出的自身密钥信息B和签名字发送给MG;
c.MG收到后,先根据接收到的对方密钥信息B生成自身的鉴权密钥;再根据当前生成的鉴权密钥、共享密钥Ki、对方密钥信息B以及选定的数字签名算法计算出自身当前使用的签名字,然后判断当前计算出的签名字与所收到的签名字是否一致,如果不一致,则对方为非法MGC方,结束当前认证流程;否则,对方为合法MGC方,再重新生成新的随机数Rand-MG2,利用该新随机数计算出自身新密钥信息C,并根据生成的鉴权密钥、新密钥信息C、共享密钥Ki以及选定的数字签名算法计算出自身用于认证的签名字,之后,将当前计算出的签名字和新密钥信息C发送给MGC;
d.MGC收到后,根据共享密钥Ki、接收到的对方密钥信息C以及选定的数字签名算法计算出自身当前使用的签名字,并判断计算出的签名字与所收到的签名字是否一致,如果是,则对方为合法MG方;否则,对方为非法MG方。
2、根据权利要求1所述的方法,其特征在于,MG进行启动注册时,该方法进一步包括:MG向MGC发送至少携带有MG标识(MGID)的接入请求命令。
3、根据权利要求2所述的方法,其特征在于,步骤a所述MG自身的密钥信息A放置在所述接入请求命令中发送给MGC。
4、根据权利要求2所述的方法,其特征在于,该方法进一步包括:对所述的MGID按照预先设定的加密算法进行加密。
5、根据权利要求4所述的方法,其特征在于,该方法进一步包括:MGC收到接入请求命令后,对所述的MGID按照预先设定的解密算法进行解密。
6、根据权利要求1所述的方法,其特征在于,所述选定的数字签名算法为:预先根据MG和MGC所支持的数字签名算法设定的。
7、根据权利要求2所述的方法,其特征在于,所述接入请求命令中进一步携带有MG侧所支持的数字签名算法对应的算法标识。
8、根据权利要求7所述的方法,其特征在于,所述选定的数字签名算法为MGC根据接入请求命令中的算法标识确定的,该算法确定过程进一步包括:MGC收到MG发来的接入请求命令后,判断是否携带有算法标识,如果携带有MG支持的算法标识,则MGC根据MG支持的算法选定所要使用的数字签名算法,并将选定的数字签名算法对应的算法标识发送给MG;否则,MGC直接采用预先设定的数字签名算法。
9、根据权利要求1所述的方法,其特征在于,所述MG和MGC的共享密钥Ki存储于MG和MGC设备中不易被读取的位置。
10、根据权利要求1所述的方法,其特征在于,该方法进一步包括:设置一附加鉴权参数。
11、根据权利要求10所述的方法,其特征在于,MG和MGC分别根据密钥信息、共享密钥Ki、选定的数字签名算法以及附加鉴权参数计算签名字。
12、根据权利要求10所述的方法,其特征在于,所述设置附加鉴权参数为:在MGC设备中设置一随机数,MGC将该随机数以明文方式在保留字段中发送给MG。
13、根据权利要求10所述的方法,其特征在于,所述设置附加鉴权参数为:在MG设备中设置一随机数,MG将该随机数以明文方式在保留字段中发送给MGC。
14、根据权利要求10所述的方法,其特征在于,所述设置附加鉴权参数为:分别在MG和MGC设备中设置对应的计数器或时钟,以当前计数器值或时钟对应的当前时戳值作为附加鉴权参数。
15、根据权利要求10所述的方法,其特征在于,所述设置附加鉴权参数为:在MGC设备中设置与当前通信的MG相对应的计数器或时钟,以当前计数器值或时钟对应的当前时戳值作为附加鉴权参数;并且,MGC将当前计数器值发送给MG。
16、根据权利要求14或15所述的方法,其特征在于,所述计数器的初始值为0或1。
17、根据权利要求15所述的方法,其特征在于,MGC将当前计数器值放置在MGC请求命令的保留参数中发送给MG。
18、根据权利要求14或15所述的方法,其特征在于,步骤b中MGC在计算自身签名字之后,步骤b进一步包括:MGC将当前计数器值加1。
19、根据权利要求14所述的方法,其特征在于,MG在计算鉴权密钥之后,该方法进一步包括:MG将当前计数器值加1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031495877A CN100461780C (zh) | 2003-07-17 | 2003-07-17 | 一种基于媒体网关控制协议的安全认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031495877A CN100461780C (zh) | 2003-07-17 | 2003-07-17 | 一种基于媒体网关控制协议的安全认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1571408A true CN1571408A (zh) | 2005-01-26 |
| CN100461780C CN100461780C (zh) | 2009-02-11 |
Family
ID=34472596
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031495877A Expired - Fee Related CN100461780C (zh) | 2003-07-17 | 2003-07-17 | 一种基于媒体网关控制协议的安全认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100461780C (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008131696A1 (fr) * | 2007-04-28 | 2008-11-06 | Huawei Technologies Co., Ltd. | Procédé, station de base, station de relais et système de communication de relais pour implémenter une authentification de message |
| CN101686226B (zh) * | 2008-08-29 | 2011-10-26 | 华为技术有限公司 | 临时密钥协商消息的校验方法、设备及系统 |
| CN103036683A (zh) * | 2007-10-04 | 2013-04-10 | 朗讯科技公司 | 附连至与例如ims的安全核心网络通信的毫微微小区的移动单元的认证方法 |
| CN104426669A (zh) * | 2013-09-11 | 2015-03-18 | 罗伯特·博世有限公司 | 用于受保护地传送数据的方法 |
| US9130961B2 (en) | 2010-02-11 | 2015-09-08 | Huawei Technologies Co., Ltd. | Operating method, apparatus and system for media stream transmission key |
| CN106972974A (zh) * | 2017-04-18 | 2017-07-21 | 南京南瑞集团公司 | 一种电力LTE无线终端的Web网管系统及其终端认证方法 |
| CN107124407A (zh) * | 2017-04-21 | 2017-09-01 | 东软集团股份有限公司 | 数据传输方法、装置、可读存储介质、电子设备及系统 |
| CN110198296A (zh) * | 2018-04-27 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 鉴权方法和装置、存储介质及电子装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5991407A (en) * | 1995-10-17 | 1999-11-23 | Nokia Telecommunications Oy | Subscriber authentication in a mobile communications system |
| EP1151579B1 (en) * | 1999-01-29 | 2009-09-30 | General Instrument Corporation | Self-generation of certificates using a secure microprocessor in a device for transferring digital information |
| JP3585411B2 (ja) * | 2000-01-05 | 2004-11-04 | 日本電信電話株式会社 | 端末−保守サーバ間認証鍵共有方法及び端末リモートメンテナンス実施方法 |
| WO2001072009A2 (en) * | 2000-03-17 | 2001-09-27 | At & T Corp. | Web-based single-sign-on authentication mechanism |
| AU2001282795A1 (en) * | 2000-08-30 | 2002-03-13 | Telefonaktiebolaget Lm Ericsson (Publ) | End-user authentication independent of network service provider |
| CN1177445C (zh) * | 2001-09-29 | 2004-11-24 | 华为技术有限公司 | 一种pc客户端的安全认证方法 |
-
2003
- 2003-07-17 CN CNB031495877A patent/CN100461780C/zh not_active Expired - Fee Related
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008131696A1 (fr) * | 2007-04-28 | 2008-11-06 | Huawei Technologies Co., Ltd. | Procédé, station de base, station de relais et système de communication de relais pour implémenter une authentification de message |
| CN103036683A (zh) * | 2007-10-04 | 2013-04-10 | 朗讯科技公司 | 附连至与例如ims的安全核心网络通信的毫微微小区的移动单元的认证方法 |
| CN103036683B (zh) * | 2007-10-04 | 2016-01-20 | 朗讯科技公司 | 附连至与例如ims的安全核心网络通信的毫微微小区的移动单元的认证方法 |
| CN101816199B (zh) * | 2007-10-04 | 2016-11-02 | 朗讯科技公司 | 附连至与例如ims的安全核心网络通信的毫微微小区的移动单元的认证方法 |
| CN101686226B (zh) * | 2008-08-29 | 2011-10-26 | 华为技术有限公司 | 临时密钥协商消息的校验方法、设备及系统 |
| USRE48132E1 (en) | 2010-02-11 | 2020-07-28 | Huawei Technologies Co., Ltd. | Operating method, apparatus and system for media stream transmission key |
| US9130961B2 (en) | 2010-02-11 | 2015-09-08 | Huawei Technologies Co., Ltd. | Operating method, apparatus and system for media stream transmission key |
| CN104426669A (zh) * | 2013-09-11 | 2015-03-18 | 罗伯特·博世有限公司 | 用于受保护地传送数据的方法 |
| CN104426669B (zh) * | 2013-09-11 | 2021-10-22 | 罗伯特·博世有限公司 | 用于受保护地传送数据的方法 |
| CN106972974B (zh) * | 2017-04-18 | 2018-09-25 | 南京南瑞集团公司 | 一种电力LTE无线终端的Web网管系统及其终端认证方法 |
| CN106972974A (zh) * | 2017-04-18 | 2017-07-21 | 南京南瑞集团公司 | 一种电力LTE无线终端的Web网管系统及其终端认证方法 |
| CN107124407A (zh) * | 2017-04-21 | 2017-09-01 | 东软集团股份有限公司 | 数据传输方法、装置、可读存储介质、电子设备及系统 |
| CN107124407B (zh) * | 2017-04-21 | 2019-09-13 | 东软集团股份有限公司 | 数据传输方法、装置、可读存储介质、电子设备及系统 |
| CN110198296A (zh) * | 2018-04-27 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 鉴权方法和装置、存储介质及电子装置 |
| CN110198296B (zh) * | 2018-04-27 | 2021-08-20 | 腾讯科技(深圳)有限公司 | 鉴权方法和装置、存储介质及电子装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100461780C (zh) | 2009-02-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100346249C (zh) | 生成数字证书及应用该所生成的数字证书的方法 | |
| CN1219260C (zh) | 一种安全文件系统的存储及访问控制方法 | |
| CN1324502C (zh) | 鉴别被邀请加入组的潜在成员的方法 | |
| CN1270471C (zh) | 秘密的新随机数的管理、获得与使用方法及服务器系统 | |
| US20190173862A1 (en) | Vehicle and method for controlling same | |
| CN1902853A (zh) | 一种公开密钥的可验证生成的方法和设备 | |
| CN103532713B (zh) | 传感器认证和共享密钥产生方法和系统以及传感器 | |
| CN1640092A (zh) | 用于提供带客户授权验证的密钥管理协议的系统和方法 | |
| CN1864384A (zh) | 用于保护网络管理帧的系统和方法 | |
| CN1805341A (zh) | 跨安全域的网络认证和密钥分配方法 | |
| CN1234662A (zh) | 密码点火处理方法及其装置 | |
| WO2013087039A1 (zh) | 一种安全传输数据方法,装置和系统 | |
| CN1777096A (zh) | 口令保护 | |
| CN101075874A (zh) | 认证方法和认证系统 | |
| CN1794630A (zh) | 伪公钥加密方法和系统 | |
| CN1809984A (zh) | 改进的保密验证信道 | |
| CN111030814A (zh) | 秘钥协商方法及装置 | |
| CN1571407A (zh) | 一种基于媒体网关控制协议的安全认证方法 | |
| CN1925393A (zh) | 一种点对点网络身份认证方法 | |
| CN100403742C (zh) | 一种媒体网关与媒体网关控制器之间安全认证的方法 | |
| CN101060530A (zh) | 可抵赖的互联网密钥交换协议 | |
| CN1571335A (zh) | 一种应用于组播通信系统中的源认证方法 | |
| CN1571408A (zh) | 一种基于媒体网关控制协议的安全认证方法 | |
| CN1881878A (zh) | 在可控因特网网络环境下基于智能卡业务安全认证方法 | |
| CN1859149A (zh) | 流媒体业务服务的实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090211 Termination date: 20130717 |