CN1571409A - 一种媒体网关与媒体网关控制器之间安全认证的方法 - Google Patents

一种媒体网关与媒体网关控制器之间安全认证的方法 Download PDF

Info

Publication number
CN1571409A
CN1571409A CN 03149808 CN03149808A CN1571409A CN 1571409 A CN1571409 A CN 1571409A CN 03149808 CN03149808 CN 03149808 CN 03149808 A CN03149808 A CN 03149808A CN 1571409 A CN1571409 A CN 1571409A
Authority
CN
China
Prior art keywords
mgc
digital signature
key
self
random number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN 03149808
Other languages
English (en)
Other versions
CN100403742C (zh
Inventor
郑志彬
魏强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CNB031498086A priority Critical patent/CN100403742C/zh
Publication of CN1571409A publication Critical patent/CN1571409A/zh
Application granted granted Critical
Publication of CN100403742C publication Critical patent/CN100403742C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种媒体网关与媒体网关控制器之间安全认证的方法,预先在媒体网关(MG)和媒体网关控制器(MGC)中设置MGC和对应MG的共享密钥,该方法还包括:MG和MGC先利用共享密钥和随机生成的随机数计算并确定双方用于鉴权的共享鉴权密钥;共享鉴权密钥确定后,MGC和MG再利用所确定的共享鉴权密钥、发起方生成的随机数和确定的数字签名算法进行鉴权,即:分别计算各自用于认证和当前使用的签名字,并将自身当前使用的签名字与对方用于认证的签名字进行比较,确定对方是否为合法方;如果双方均为合法方,则鉴权成功;否则鉴权失败。该方法可确保非法媒体网关无法正确接入到媒体网关控制器中使用,同时保证非法媒体网关控制器不能应用到网络中。

Description

一种媒体网关与媒体网关控制器之间安全认证的方法
技术领域
本发明涉及认证管理技术,特别是指一种基于媒体网关控制协议的媒体网关与媒体网关控制器之间安全认证的方法。
背景技术
在下一代网络(NGN)中,存在很多支持媒体网关控制协议的媒体网关(MG),这里的媒体网关控制协议是指MGCP协议、H.248协议、H.323协议以及起始会话协议(SIP)等协议,该MG通过软交换设备媒体网关控制器(MGC)连接,实现IP话音业务。这些网关设备分布在企业或用户家中,具有覆盖面广、数量多、基于动态IP的特点。这里,所述的MGCP协议是因特网工程任务组(IETF)制定的一种媒体网关控制标准,所述的H.248协议是国际电信联盟(ITU)制定的一种媒体网关控制协议,所述的H.323协议是指国际电信联盟(ITU)制定的,目前已经在IP电话领域得到广泛应用的协议,所述的SIP协议是指因特网工程任务组(IETF)制定的在IP网络上进行多媒体通信的应用层控制协议。如果不对媒体网关进行安全管理认证,则会出现以下问题:
1)仿冒媒体网关,冒充真正的媒体网关进行通话,而通话费用却计入真正媒体网关对应的帐户上,使用户通话费用的安全性得不到保证。
2)对MGC进行攻击,系统安全性无法得到保证,容易造成非法及伪造设备被纳入管理;当非法及伪造设备被较多的纳入管理时,将会把合法的设备淹没掉,甚至会造成整个网络系统的瘫痪。
因此,在MGCP协议中提到,可以支持对发起方的身份认证,对于发起方的身份认证有两种实现思想:一种是进行地址认证,即仅接受来自源地址的信息;另一种是在呼叫建立过程中传送通信密钥,用此密钥进行身份认证。
对于上述两种实现思想,在MGCP协议中,迄今为止还未提出具体的解决方案,因此根本无法实施。另一方面,从安全角度而言,即使能够实施,由于目前MGCP协议所建议的安全性很差,对于地址认证方式,非法方只要伪造某一合法的IP地址,就很容易实现基于源地址的认证;而对于密钥认证方式,在呼叫过程中通过传输密钥来进行身份认证是非常不安全的,只要某一非法用户截取到该加密信息并获得密钥,也会很容易地伪造成合法用户。
同样,在H.248协议中也提到,为了防止未经授权的实体利用本协议建立非法呼叫,需要对H.248协议的传输建立安全机制。当在IP网中利用本协议进行传输时,可以使用IPSec对H.248协议的传输进行保护,同时,H.248协议也推荐使用密钥交换协议(IKE)来为MG和MGC提供协商密钥的机制。如果不支持IPSec协议,H.248在其协议头之中定义了鉴权头(AH)来实现对协议连接的保护,且该AH头的语法与IPSec类似。
从安全角度而言,虽然H.248考虑了基于IP的安全,但对于采用IPSec的方案,底层IPSec的保护只能保证传输层的安全,并不能防止用户基于H.248高层的安全,尤其是非法者伪造成合法用户的安全。而对于在H.248增加AH头的方案,虽然可以进行身份认证,但该方案一方面目前没有提出明确的实现过程,根本无法实施;另一方面由于采用了静态密钥,很容易被某个非法者伪造,同样也无法起到抵抗复制攻击的作用。
发明内容
有鉴于此,本发明的主要目的在于提供一种媒体网关与媒体网关控制器之间安全认证的方法,可确保非法媒体网关无法正确接入到媒体网关控制器中使用,同时保证非法媒体网关控制器不能应用到网络中。
为达到上述目的,本发明的技术方案是这样实现的:
一种媒体网关与媒体网关控制器之间安全认证的方法,预先在媒体网关(MG)和媒体网关控制器(MGC)中设置MGC和对应MG的共享密钥Ki,该方法还包括:
a.MG和MGC利用共享密钥Ki和随机生成的随机数进行密钥协商,判断是否获得新的双方用于鉴权的共享鉴权密钥,如果是,则执行步骤b,否则结束当前认证流程;
b.MGC和MG利用步骤a所获得的共享鉴权密钥、发起方生成的随机数以及确定的数字签名算法,分别计算各自用于认证和当前使用的签名字,并分别比较自身当前使用的签名字与对方用于认证的签名字是否一致,如果一致,则对方为合法方,否则对方为非法方;判断是否双方均为合法方,如果是,则鉴权成功;否则鉴权失败。
上述方案中,未获得新共享鉴权密钥时,该方法进一步包括:重复执行步骤b完成MG和MGC之间的周期鉴权。
该方法进一步包括:随时通过密钥协商更新共享鉴权密钥。那么,重复执行步骤b完成MG和MGC之间的周期鉴权时,周期鉴权所利用的共享鉴权密钥为最新获得的共享鉴权密钥。
上述方案中,如果步骤a未获得新共享鉴权密钥,步骤a进一步包括:判断是否需要重新进行密钥协商,如果需要,则返回步骤a;否则结束当前流程。
所述鉴权失败后,该方法进一步包括:MGC或MG返回步骤b重新发起鉴权过程,或返回步骤a重新发起密钥协商过程。
上述方案中,所述密钥协商由MG发起且采用DH交换方式完成;或由MG发起且利用共享密钥Ki完成;或由MGC发起且采用DH交换方式完成;或由MGC发起且利用共享密钥Ki完成。
上述方案中,所述MG和MGC的共享密钥Ki存储于MG和MGC设备中不易被读取的位置。
由MGC发起鉴权,所述步骤b进一步包括:
b11.MGC生成一随机数RandA,并利用生成的随机数、共享鉴权密钥和确定的数字签名算法计算自身用于认证的签名字,然后将生成的随机数和计算出的签名字发送给MG;
b12.MG利用共享鉴权密钥、收到的随机数和确定的数字签名算法计算自身当前使用的签名字,并比较计算出的签名字和收到的签名字是否相等,如果不等,则对方为非法方,结束当前鉴权流程,否则,利用共享鉴权密钥、收到的随机数、身份标识信息MG_ID和确定的数字签名算法计算自身用于认证的签名字,并将计算出的签名字发送给MGC;
b13.MGC利用共享鉴权密钥、步骤b11生成的随机数、身份标识信息MG_ID和确定的数字签名算法计算出自身当前使用的签名字,并比较计算出的签名字和收到的签名字是否相等,如果相等,则对方为合法方,鉴权成功;否则对方为非法方,鉴权失败。
所述鉴权也可由MG发起,具体步骤与步骤b11~13类似。
在鉴权过程中,所述确定的数字签名算法为预先根据MG和MGC所支持的数字签名算法设定的;或是由所述共享鉴权密钥协商过程中协商确定的。
因此,本发明所提供的媒体网关与媒体网关控制器之间安全认证的方法,具有以下的优点和特点:
1)本发明将MG与MGC之间的密钥协商过程和鉴权过程分离开,可以实现有效的安全认证管理。
2)在MGC侧和MG侧设置并存储共享密钥Ki,利用该共享密钥Ki能够保证双方的双向鉴权。
3)MG与MGC之间的密钥协商过程,可以采用DH密码算法生成各自的密钥信息,进而根据密钥信息分别计算出MGC侧或MG侧的共享鉴权密钥;也可以直接利用共享密钥Ki和MGC生成的随机数,计算出MGC侧或MG侧的共享鉴权密钥。由于密钥信息和随机数都是随机产生的,因此能够保证共享鉴权密钥的保密性,从而提高认证的可靠性和安全性。并且,密钥协商方式可以灵活选择。
4)在每次鉴权过程中,MG和MGC是采用密钥协商过程确定的共享鉴权密钥和MGC随机生成的随机数来计算各自的签名字,可有效防止MG或MGC的伪造事件发生,确保网络中不使用非法的MG或MGC,阻止非法者的重复攻击。
5)当MGC侧和MG侧同时或分别支持一种以上密钥生成算法和数字签名算法时,本发明还配有算法协商机制,使双方的选择更灵活、可靠、方便。
6)本发明可适用于各种媒体网关控制协议,如:MGCP协议、H.248协议的注册认证过程,适用范围广。
附图说明
图1为本发明方法实现的流程示意图;
图2为本发明方法中第一种密钥协商过程的流程示意图;
图3为本发明方法中第二种密钥协商过程的流程示意图;
图4为本发明方法中第三种密钥协商过程的流程示意图;
图5为本发明方法中第四种密钥协商过程的流程示意图;
图6为本发明方法中鉴权过程实现的流程示意图。
具体实施方式
本发明的基本思想是:将MG和MGC之间整个安全认证过程中的共享鉴权密钥协商确定过程与鉴权过程分开,各自相对独立进行。更具体地说就是:在确定双方的共享鉴权密钥后,进一步利用所确定的共享鉴权密钥和MGC随机生成的随机数,计算MG或MGC各自用于认证和当前使用的签名字,再通过对自身当前使用的签名字和对方用于认证的签名字的比较,即可判断对方的合法性,从而完成对方安全身份的认证,上述思想能够更好地实现安全认证机制的管理。
在共享鉴权密钥的协商确定过程中,MG和MGC之间可以采用DH交换的方式生成并确定双方的共享鉴权密钥;也可以利用双方预先设置的共享密钥和MGC随机生成的随机数生成并确定双方的共享鉴权密钥。而且,共享鉴权密钥的协商确定过程既可由MG发起,也可由MGC发起。这里,所述的DH交换是指:MG和MGC分别利用对方传送过来的密钥信息计算自身鉴权密钥的方式,该DH交换采用的是现有的DH密码算法。
本发明实现的前提是:MG侧和MGC侧共享一个密钥Ki,密钥长度至少为128bit,该密钥被预先安全保存于MGC和MG设备中。这里所述的安全存放是指:该密钥采用物理存放方式,且该密钥在写入后任何人都不可能读取到。当有多个MG与同一MGC相连时,不同MG分别与MGC共享不同的密钥Ki,也就是说,不同MG之间不会采用相同的密钥Ki
并且,在MG和MGC设备中至少保留一套密钥生成算法和数字签名算法,且要求MG和MGC双方至少有一套相同的密钥生成算法和数字签名算法。在本发明实现过程中,主要是利用双方都支持的数字签名算法f2实现MG和MGC之间的身份鉴权。
参见图1所示,本发明安全认证方法的具体实现过程包括以下步骤:
步骤101~103:MG和MGC之间采用DH交换方式或仅利用共享密钥Ki进行密钥协商,判断是否获得双方用于鉴权的共享鉴权密钥,如果是,则执行步骤104,进行鉴权过程;否则结束当前安全认证流程。
步骤104~108:MG和MGC分别利用步骤101所确定的共享鉴权密钥、数字签名算法以及发起方生成的随机数计算各自用于认证和当前使用的签名字;并将自身当前使用的签名字与对方发送过来的用于认证的签名字进行比较,如果一致,则说明对方为合法方,否则,对方为非法方。这里,所述的数字签名算法为预先确定的、或双方协商确定的。
步骤109~111:判断是否MG和MGC方均为合法方,如果是,则鉴权成功,否则,鉴权失败。
如果在密钥协商过程中没能确定共享鉴权密钥,比如:由于某方发送到对方的信息不可靠而导致无法确定本次密钥协商的共享鉴权密钥,则可以有两种后续处理方式:一种是直接重新发起密钥协商过程,直到确定新的共享鉴权密钥为止;另一种是判断是否已存在共享鉴权密钥,如果存在,则可以选择不再进行密钥协商,鉴权时还使用原来的共享鉴权密钥,也可以选择重新发起密钥协商过程,确定新的共享鉴权密钥;如果不存在,则需要重新发起密钥协商过程,确定新的共享鉴权密钥。
在上述鉴权过程中,如果鉴权失败,则MG或MGC可以要求重新发起鉴权流程;或是重新发起共享鉴权密钥协商确定过程。
在实际应用中,周期鉴权过程和密钥协商过程是分开的,如果需要周期鉴权,只要重复执行上述鉴权过程,即步骤104~111即可。但是,每执行一次密钥协商过程,就需要后续的鉴权过程支撑,也就是说,每进行一次密钥协商过程后,必须马上进行身份鉴权过程,通过两个过程可以充分保证协商密钥的正确性以及MG和MGC的可靠性。在不进行密钥协商过程条件下,鉴权过程可以周期性进行,且鉴权过程所使用的密钥为最近一次密钥协商过程中使用的密钥。
由于共享鉴权密钥的协商确定过程既可以由MG发起,又可以由MGC发起;既可以采用DH方式,又可以采用共享密钥方式。下面结合图2~图5分别对共享鉴权密钥不同的协商确定过程进一步详细说明,其中。图2为由MG发起的、采用DH方式的密钥协商确定过程,图3为由MG发起的、采用共享密钥方式的密钥协商确定过程,图4为由MGC发起的、采用DH方式的密钥协商确定过程,图5为由MGC发起的、采用共享密钥方式的密钥协商确定过程。
如图2所示,共享鉴权密钥的协商确定过程包括以下的步骤:
步骤201:MG先在自身生成随机数Ra,然后按公式(1)计算出自身的密钥信息A:
                     A=gRamod(P)           (1)公式(1)中,g为底数,可以取任意值,一般取10;P为一个素数,也就是一个质数,且长度至少为512bit。g和P的值可由MG和MGC双方预先协商确定。
计算出密钥信息A后,MG利用共享密钥Ki、密钥信息A和身份标识信息MG_ID,采用MD5密码算法,按公式(2)计算出MG用于判断的数字签名:
           MGAUTH=MD5(Ki,MG_ID,A)    (2)
步骤202:MG将身份标识信息MG_ID、计算出的数字签名MGAUTH和密钥信息A发送给MGC。
如果是在MG启动注册过程中,则MG通过接入请求命令将身份标识信息MG_ID、数字签名MGAUTH和密钥信息A三个参数发送给MGC,且身份标识信息MG_ID为当前MG的自身标识MGID。对于MGCP协议,该接入请求命令可以是特定域IP协议(RSIP)命令。在接入请求命令中,该MGID可以是加密的,也可以是不加密的,如果要对MGID加密,则需要预先设定加密算法,并分别存储在MG和MGC设备中,MGID采用该预先设定的加密算法进行加密,MGC收到接入请求命令后,要对所述的MGID按照预先设定的解密算法进行解密。
步骤203:MGC利用收到的密钥信息A和身份标识信息MG_ID,采用MD5密码算法,按公式(3)计算自身使用的数字签名:
             MGCRES=MD5(Ki,MG_ID,A)          (3)
然后比较MGCRES与MGAUTH是否相等,如果不等,则说明MG发过来的密钥信息A是不可靠的,结束当前的密钥协商流程;如果相等,则说明MG发过来的密钥信息A是可靠的。MGC再生成一个随机数Rb,然后按公式(4)计算出自身的密钥信息B:
             B=gRbmod(P)                       (4)同样,公式(4)中,g和P的规定与公式(1)相同。
计算出密钥信息B后,MGC再根据接收到的密钥信息A按照公式(5)计算出自身的鉴权密钥KEY-MGC:
        KEY-MGC=ARbmod(P)=gRa*Rbmod(P)    (5)公式(5)中,由于P为一个大素数,所以将A值代入公式时,A中的mod(P)可以忽略不计。
进而利用计算出的密钥信息B、KEY-MGC、MD5密码算法以及共享密钥Ki,按照公式(6)计算出MGC侧用于判断的数字签名MGCAUTH
       MGCAUTH=MD5(KEY-MGC,Ki,B)    (6)
步骤204:MGC将计算出的MGCAUTH和密钥信息B发送给MG。
步骤205:MG利用接收到的密钥信息B,按公式(7)计算出自身的鉴权密钥KEY-MG:
     KEY-MG=BRamod(P)=gRa*Rbmod(P)    (7)公式(7)中,由于P为一个大素数,所以将B值代入公式时,B中的mod(P)可以忽略不计。
进而利用计算出的密钥信息B、KEY-MG、MD5密码算法以及共享密钥Ki,按照公式(8)计算出自身使用的数字签名MGRES
     MGRES=MD5(KEY-MG,Ki,B)          (8)
然后比较MGCAUTH与MGRES是否相等,如果是,则说明MGC发过来的密钥信息B和自身计算出的KEY-MG是可信的,则MG和MGC双方生成相同的共享鉴权密钥KEY-MG和KEY-MGC。
如图3所示,共享鉴权密钥的协商确定过程包括以下的步骤:
步骤301:MG先在自身生成随机数Rand,然后利用所生成的随机数Rand、共享密钥Ki和预先设定的密钥生成算法f1,按公式(9)计算出自身的共享鉴权密钥KEY-MG:
       KEY-MG=f1(Ki、Rand)            (9)
计算出共享鉴权密钥KEY-MG后,MG利用该共享鉴权密钥KEY-MG、身份标识信息MG_ID和随机数Rand,采用MD5密码算法,按公式(10)计算出MG用于判断的数字签名:
       MGAUTH=MD5(KEY-MG,MG_ID,Rand)    (10)
步骤302:MG将身份标识信息MG_ID、计算出的数字签名MGAUTH和随机数Rand发送给MGC。
如果是在MG启动注册过程中,则MG通过接入请求命令将身份标识信息MG_ID、数字签名MGAUTH和随机数Rand三个参数发送给MGC,且身份标识信息MG_ID为当前MG的自身标识MGID。对于MGCP协议,该接入请求命令可以是特定域IP协议(RSIP)命令。在接入请求命令中,该MGID可以是加密的,也可以是不加密的,如果要对MGID加密,则需要预先设定加密算法,并分别存储在MG和MGC设备中,MGID采用该预先设定的加密算法进行加密,MGC收到接入请求命令后,要对所述的MGID按照预先设定的解密算法进行解密。
步骤303:MGC利用收到的随机数Rand、共享密钥Ki和预先设定的密钥生成算法f1,按公式(11)计算出自身的共享鉴权密钥KEY-MGC:
            KEY-MGC=f1(Ki、Rand)           (11)
计算出共享鉴权密钥KEY-MGC后,MG利用该共享鉴权密钥KEY-MGC、身份标识信息MG_ID和随机数Rand,采用MD5密码算法,按公式(12)计算出MGC自身使用的数字签名:
       MGCRES=MD5(KEY-MGC,MG_ID,Rand)    (12)
然后比较MGCRES与MGAUTH是否相等,如果不等,则说明MG发过来的随机数Rand是不可靠的,结束当前的密钥协商流程;如果相等,则说明MG发过来的随机数Rand是可靠的,且基于Ki生成的KEY-MGC也是可信的。
MGC再根据计算出的KEY-MGC、接收到的随机数Rand和MD5密码算法,按照公式(13)计算出自身用于判断的数字签名MGCAUTH
       MGCAUTH=MD5(KEY-MGC,Rand)    (13)公式(13)还可以增加参数--算法ID,使公式(13)变为:
       MGCAUTH=MD5(KEY-MGC,算法ID,Rand)    (13’)
步骤304:MGC将计算出的MGCAUTH发送给MG。
步骤305:MG收到MGCAUTH后,利用步骤301中自身生成的Rand和计算出的KEY-MG,按公式(14)计算出自身使用的数字签名MGRES
       MGRES=MD5(KEY-MG,Rand)        (14)同样,如果公式(13)中增加了算法ID参数,则公式(14)中也要相应增加算法ID参数,使公式(14)变为:
      MGRES=MD5(KEY-MG,算法ID,Rand)    (14’)
然后比较MGRES与MGCAUTH是否相等,如果是,则说明自身计算出的KEY-MG是可信的,则MG和MGC双方生成相同的共享鉴权密钥KEY-MG和KEY-MGC。
在上述方案中,所有MD5密码算法都可用其它预先设定的数字签名算法取代,身份标识信息MG_ID为能标识不同MG的信息,可以是MG自身标识MGID,一般在MG初始注册时,该MG_ID直接采用当前MG的MGID。
在上述两种方案中,如果MG或MGC允许同时支持多种数字签名算法,也就是说,MG或MGC任何一方支持一种以上数字签名算法,这种情况下,可以预先设定MG和MGC之间采用的数字签名算法,也可以在MG和MGC之间进行算法协商,以确定双方在鉴权时要使用的数字签名算法,如果需要进行算法协商,则在步骤202或302中向MGC所发送的参数还包括MG侧所支持的数字签名对应的算法标识(ID),相应的,在步骤204或304中,MGC判断MG发来的接入请求命令是否携带有算法标识,如果有,则MGC根据MG支持的算法确定MGC与MG之间进行鉴权时所要采用的数字签名算法,并将确定的数字签名算法对应的算法ID发送给MG。
上述由MG发起的共享鉴权密钥的协商确定过程,通常是在MG进行注册时完成的,当然也有可能在应用过程中进行。
如图4所示,共享鉴权密钥的协商确定过程包括以下的步骤:
步骤401:MGC先在自身生成随机数Ra,然后按公式(1)计算出自身的密钥信息A:
           A=gRamod(P)                 (1)公式(1)中,g和P的规定与步骤201中相同。
计算出密钥信息A后,MG利用共享密钥Ki和密钥信息A,采用MD5密码算法,按公式(15)计算出MGC用于判断的数字签名:
        MGCAUTH=MD5(Ki,A)          (15)
步骤402:MGC将计算出的数字签名MGCAUTH和密钥信息A通过密钥协商命令发送给MG。
步骤403:MG利用收到的密钥信息A,采用MD5密码算法,按公式(16)计算自身使用的数字签名:
        MGRES=MD5(Ki,A)            (16)
然后比较MGRES与MGCAUTH是否相等,如果不等,则说明MGC发过来的密钥信息A是不可靠的,结束当前的密钥协商流程;如果相等,则说明MGC发过来的密钥信息A是可靠的。MG再生成一个随机数Rb,然后按公式(4)计算出自身的密钥信息B:
        B=gRamod(P)                 (4)同样,公式(4)中,g和P的规定与公式(1)相同。
计算出密钥信息B后,MG再根据接收到的密钥信息A按照公式(5)计算出自身的鉴权密钥KEY-MG:
        KEY-MG=ARbmod(P)=gRa*Rbmod(P)           (5)公式(5)中,由于P为一个大素数,所以将A值代入公式时,A中的mod(P)可以忽略不计。
进而利用计算出的密钥信息B、KEY-MG、MD5密码算法以及共享密钥Ki,按照公式(6)计算出MG侧用于判断的数字签名MGAUTH
        MGAUTH=MD5(KEY-MG,Ki,B)                (6)
步骤404:MG将计算出的MGAUTH和密钥信息B通过响应命令发送给MGC。
步骤405:MGC利用接收到的密钥信息B,按公式(7)计算出自身的鉴权密钥KEY-MGC:
        KEY-MGC=BRamod(P)=gRa*Rbmod(P)          (7)公式(7)中,由于P为一个大素数,所以将B值代入公式时,B中的mod(P)可以忽略不计。
进而利用计算出的密钥信息B、KEY-MGC、MD5密码算法以及共享密钥Ki,按照公式(8)计算出自身使用的数字签名MGCRES
        MGCRES=MD5(KEY-MGC,Ki,B)        (8)
然后比较MGAUTH与MGCRES是否相等,如果是,则说明MG发过来的密钥信息B和自身计算出的KEY-MGC是可信的,则MG和MGC双方生成相同的共享鉴权密钥KEY-MG和KEY-MGC。
如图5所示,共享鉴权密钥的协商确定过程包括以下的步骤:
步骤501:MGC先在自身生成随机数Rand,然后利用所生成的随机数Rand、共享密钥Ki和预先设定的密钥生成算法f1,按公式(9)计算出自身的共享鉴权密钥KEY-MGC:
          KEY-MGC=f1(Ki、Rand)          (9)
计算出共享鉴权密钥KEY-MGC后,MG利用该共享鉴权密钥KEY-MGC和随机数Rand,采用MD5密码算法,按公式(17)计算出MGC用于判断的数字签名:
          MGCAUTH=MD5(KEY-MGC,Rand)    (17)
步骤502:MGC将计算出的数字签名MGAUTH和随机数Rand通过密钥协商命令发送给MG。
步骤503:MG利用收到的随机数Rand、共享密钥Ki和预先设定的密钥生成算法f1,按公式(11)计算出自身的共享鉴权密钥KEY-MG:
          KEY-MG=f1(Ki、Rand)           (11)
计算出共享鉴权密钥KEY-MG后,MG利用该共享鉴权密钥KEY-MG和随机数Rand,采用MD5密码算法,按公式(18)计算出MG自身使用的数字签名:
          MGRES=MD5(KEY-MG,Rand)       (18)
然后比较MGRES与MGCAUTH是否相等,如果不等,则说明MGC发过来的随机数Rand是不可靠的,结束当前的密钥协商流程;如果相等,则说明MGC发过来的随机数Rand是可靠的,且基于Ki生成的KEY-MG也是可信的。
MG再根据计算出的KEY-MG、接收到的随机数Rand、身份标识信息MG_ID和MD5密码算法,按照公式(19)计算出自身用于判断的数字签名MGAUTH
       MGAUTH=MD5(KEY-MG,MG_ID,Rand)    (19)
步骤504:MG将计算出的MGAUTH通过响应命令发送给MGC。
步骤505:MGC收到MGAUTH后,利用步骤501中自身生成的Rand和计算出的KEY-MGC,按公式(20)计算出自身使用的数字签名MGCRES
       MGCRES=MD5(KEY-MGC,MG_ID,Rand)   (20)
然后比较MGCRES与MGAUTH是否相等,如果是,则说明自身计算出的KEY-MGC是可信的,则MG和MGC双方生成相同的共享鉴权密钥KEY-MG和KEY-MGC。
在上述方案中,所有MD5密码算法都可用其它预先设定的数字签名算法取代,身份标识信息MG_ID为能标识不同MG的信息,可以是MG自身标识MGID,一般在MG初始注册时,该MG_ID直接采用当前MG的MGID。
通过上述四种密钥协商过程之一,就可以在MG和MGC之间确定共享鉴权密钥KEY-MG和KEY-MGC,且KEY-MG=KEY-MGC。当密钥协商过程完成后,就可以继续实现鉴权过程,鉴权过程中,双方使用密钥协商过程产生的共享鉴权密钥。
具体的鉴权过程如图6所示,包括以下步骤:
步骤601:MGC发起鉴权过程,其产生一个随机数RandA,然后按公式(21)计算MGC侧用于认证的签名字MGCAUTH
         MGCAUTH=f2(KEY-MGC,RandA)       (21)公式(21)中f2是预先设定或通过算法协商确定的数字签名算法,KEY-MGC为共享鉴权密钥协商过程所确定的共享鉴权密钥。
步骤602:MGC将生成的随机数RandA和计算出的MGCAUTH随相关鉴权请求命令发送给MG。
步骤603:MG收到鉴权请求命令后,取出其中的RandA,然后按公式(21)计算MG侧当前使用的的签名字MGRES
      MGRES=f2(KEY-MG,RandA)        (21)其中,KEY-MG为共享鉴权密钥协商过程所确定的共享鉴权密钥。
之后,判断MGCAUTH是否等于MGRES,如果不等,则对方为非法方,结束当前鉴权流程,如果相等,则说明是合法MGC发来的信息,则进一步计算按公式(22)计算MG侧用于认证的签名字MGAUTH
      MGAUTH=f2(KEY-MG,MG_ID,RandA)    (22)其中,MG_ID为能标识不同MG的信息,可以是当前MG的MGID。
步骤604:MG将计算出的MGAUTH、身份标识信息MG_ID和相应的响应消息发送给MGC。这里,如果身份标识信息MG_ID采用MGID,则可以不发送给MGC,MGC可根据所收到的消息判断来自哪个MG,进而获知该MG的MGID。
步骤605:MGC利用收到的MG的标识信息,按公式(22)计算MGC侧的当前使用的签名字MGCRES
        MGCRES=f2(KEY-MGC,MG_ID,RandA)     (22)其中,MG_ID为能标识不同MG的信息,可以是当前MG的MGID。
之后,判断MGAUTH是否等于MGCRES,如果是,则说明是合法MG发来的消息,则对MG鉴权成功,MGC回复对MG鉴权成功消息。如果不等,MGC可向MG回复鉴权失败消息,或不会消息。
通过上述步骤601~步骤605即可完成MG接入MGC的身份鉴权过程。
上述鉴权过程也可以由MG发起,实现的流程与步骤601~605类似,具体包括步骤601’~605’:
步骤601’:MG发起鉴权过程,其产生一个随机数RandA,然后按公式(22)计算MG侧用于认证的签名字MGAUTH
      MGAUTH=f2(KEY-MG,MG_ID,RandA)    (22)公式(22)中,MG_ID为能标识不同MG的信息,可以是当前MG的MGID。f2是预先设定或通过算法协商确定的数字签名算法,KEY-MGC为共享鉴权密钥协商过程所确定的共享鉴权密钥。
步骤602’:MG将生成的随机数RandA、身份标识信息MG_D和计算出的MGAUTH随相关鉴权请求命令发送给MGC。这里,如果身份标识信息MG_ID采用MGID,则可以不发送给MGC,MGC可根据所收到的消息判断来自哪个MG,进而获知该MG的MGID。
步骤603’:MGC收到鉴权请求命令后,取出其中的RandA,然后按公式(22)计算MGC侧当前使用的的签名字MGCRES
       MGCRES=f2(KEY-MGC,MG_ID,RandA)        (22)其中,MG_ID为能标识不同MG的信息,可以是当前MG的MGID。KEY-MGC为共享鉴权密钥协商过程所确定的共享鉴权密钥。
之后,判断MGAUTH是否等于MGCRES,如果不等,则对方为非法方,结束当前鉴权流程,如果相等,则说明是合法MG发来的信息,则进一步计算按公式(21)计算MGC侧用于认证的签名字MGCAUTH
       MGCAUTH=f2(KEY-MGC,RandA)         (21)
步骤604’:MGC将计算出的MGCAUTH和相应的响应消息发送给MG。
步骤605’:MG收到后,按公式(21)计算MG侧的当前使用的签名字MGRES
       MGRES=f2(KEY-MG,RandA)            (21)
之后,判断MGCAUTH是否等于MGRES,如果是,则说明是合法MGC发来的消息,则对MGC鉴权成功。如果不等,则鉴权失败。
以上描述的方案,不仅适用于MGCP协议,也可以适用于所有的媒体网关控制协议,如:H.248、H.323、SIP等等。也就是说,当MG和MGC之间通过H.248或H.323或SIP协议进行通信,也完全可以采用上述认证过程。
上述方案中,MG可以是接入网关(AG)、综合接入设备(IAD)、EPHONE、视频终端等IP语音网关;MGC可以是软交换、网守(GK)、SIP代理(SIPPROXY)等设备。
总之,以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (22)

1、一种媒体网关与媒体网关控制器之间安全认证的方法,其特征在于:预先在媒体网关(MG)和媒体网关控制器(MGC)中设置MGC和对应MG的共享密钥Ki,该方法还包括:
a.MG和MGC利用共享密钥Ki和随机生成的随机数进行密钥协商,判断是否获得新的双方用于鉴权的共享鉴权密钥,如果是,则执行步骤b,否则结束当前认证流程;
b.MGC和MG利用步骤a所获得的共享鉴权密钥、发起方生成的随机数以及确定的数字签名算法,分别计算各自用于认证和当前使用的签名字,并分别比较自身当前使用的签名字与对方用于认证的签名字是否一致,如果一致,则对方为合法方,否则对方为非法方;判断是否双方均为合法方,如果是,则鉴权成功;否则鉴权失败。
2、根据权利要求1所述的方法,其特征在于,未获得新共享鉴权密钥时,该方法进一步包括:重复执行步骤b完成MG和MGC之间的周期鉴权。
3、根据权利要求1所述的方法,其特征在于,该方法进一步包括:随时通过密钥协商更新共享鉴权密钥。
4、根据权利要求3所述的方法,其特征在于,该方法进一步包括:重复执行步骤b完成MG和MGC之间的周期鉴权,且周期鉴权所利用的共享鉴权密钥为最新获得的共享鉴权密钥。
5、根据权利要求1所述的方法,其特征在于,步骤a中未获得新共享鉴权密钥时,步骤a进一步包括:判断是否需要重新进行密钥协商,如果需要,则返回步骤a;否则结束当前流程。
6、根据权利要求1所述的方法,其特征在于,所述鉴权失败后,该方法进一步包括:MGC或MG返回步骤b重新发起鉴权过程,或返回步骤a重新发起密钥协商过程。
7、根据权利要求1所述的方法,其特征在于,所述密钥协商由MG发起且采用DH交换方式完成,则所述密钥协商进一步包括:
a11.MG利用自身生成的随机数Ra计算出自身的密钥信息A,再根据共享密钥Ki、密钥信息A、身份标识信息MG_ID和预先确定的数字签名算法计算出用于判断的数字签名,然后将密钥信息A、身份标识信息MG_ID和计算出的数字签名发送给MGC;
a12.MGC利用收到的密钥信息A和身份标识信息MG_ID计算出自身当前使用的数字签名,并比较计算出的数字签名与所收到的数字签名,如果不一致,则结束当前密钥确定流程;如果一致,则在自身生成随机数,并利用该随机数计算出自身的密钥信息B和鉴权密钥;再根据鉴权密钥、共享密钥Ki、计算出的密钥信息B和预先确定的数字签名算法计算出用于判断的数字签名,然后将密钥信息B和计算出的数字签名发送给MG;
a13.MG利用收到的密钥信息B计算出自身的鉴权密钥,并根据密钥信息B、共享密钥Ki、计算出的鉴权密钥和预先确定的数字签名算法计算出当前使用的数字签名,判断计算出的数字签名与所收到的数字签名,如果一致,则确定MG和MGC各自计算出的鉴权密钥为共享鉴权密钥;否则结束当前密钥确定流程。
8、根据权利要求1所述的方法,其特征在于,所述密钥协商由MG发起且利用共享密钥Ki完成,则所述密钥协商进一步包括:
a21.MG在自身生成随机数Rand,然后利用共享密钥Ki、所生成的随机数Rand和预先设定的密钥生成算法计算出自身的鉴权密钥,并利用该鉴权密钥、身份标识信息MG_ID、随机数Rand和预先设定的数字签名算法计算出自身用于判断的数字签名;
a22.MG将身份标识信息MG_ID、随机数Rand和计算出的数字签名MGAUTH发送给MGC;
a23.MGC利用共享密钥Ki、收到的随机数Rand和预先设定的密钥生成算法计算出自身的鉴权密钥,并利用该鉴权密钥、身份标识信息MG_ID、随机数Rand和预先设定的数字签名算法计算出自身当前使用的数字签名,比较计算出的数字签名与收到的数字签名是否一致,如果不一致,则结束当前密钥确定流程;如果一致,则根据自身的鉴权密钥和随机数Rand,计算出自身用于判断的数字签名,并将计算出的数字签名发送给MG;
a24.MG收到后,利用步骤a21生成的随机数Rand和计算的鉴权密钥,计算出自身当前使用的数字签名,比较计算出的数字签名与收到的数字签名是否一致,如果一致,则确定MG和MGC各自计算出的鉴权密钥为共享鉴权密钥,否则结束当前密钥确定流程。
9、根据权利要求1所述的方法,其特征在于,所述密钥协商由MGC发起且采用DH交换方式完成,则所述密钥协商进一步包括:
a31.MGC利用自身生成的随机数Ra计算出自身的密钥信息A,再根据共享密钥Ki、密钥信息A和预先确定的数字签名算法计算出用于判断的数字签名,然后将密钥信息A和计算出的数字签名发送给MG;
a32.MG利用收到的密钥信息A计算出自身当前使用的数字签名,并比较计算出的数字签名与所收到的数字签名,如果不一致,则结束当前密钥确定流程;如果一致,则在自身生成随机数,并利用该随机数计算出自身的密钥信息B和鉴权密钥;再根据鉴权密钥、共享密钥Ki、计算出的密钥信息B和预先确定的数字签名算法计算出用于判断的数字签名,然后将密钥信息B和计算出的数字签名发送给MGC;
a33.MGC利用收到的密钥信息B计算出自身的鉴权密钥,并根据密钥信息B、共享密钥Ki、计算出的鉴权密钥和预先确定的数字签名算法计算出当前使用的数字签名,判断计算出的数字签名与所收到的数字签名,如果一致,则确定MG和MGC各自计算出的鉴权密钥为共享鉴权密钥;否则结束当前密钥确定流程。
10、根据权利要求1所述的方法,其特征在于,所述密钥协商由MGC发起且利用共享密钥Ki完成,则所述密钥协商进一步包括:
a41.MGC在自身生成随机数Rand,然后利用共享密钥Ki、所生成的随机数Rand和预先设定的密钥生成算法计算出自身的鉴权密钥,并利用该鉴权密钥、随机数Rand和预先设定的数字签名算法计算出自身用于判断的数字签名;
a42.MGC将计算出的数字签名MGAUTH和随机数Rand发送给MG;
a43.MG利用共享密钥Ki、收到的随机数Rand和预先设定的密钥生成算法计算出自身的鉴权密钥,并利用该鉴权密钥、身份标识信息MG_ID、随机数Rand和预先设定的数字签名算法计算出自身当前使用的数字签名,比较计算出的数字签名与收到的数字签名是否一致,如果不一致,则结束当前密钥确定流程;如果一致,则根据自身的鉴权密钥和随机数Rand,计算出自身用于判断的数字签名,并将计算出的数字签名发送给MGC;
a44.MGC收到后,利用步骤a41生成的随机数Rand和计算的鉴权密钥,计算出自身当前使用的数字签名,比较计算出的数字签名与收到的数字签名是否一致,如果一致,则确定MG和MGC各自计算出的鉴权密钥为共享鉴权密钥,否则结束当前密钥确定流程。
11、根据权利要求1所述的方法,其特征在于,所述MG和MGC的共享密钥Ki存储于MG和MGC设备中不易被读取的位置。
12、根据权利要求7、8、9或10所述的方法,其特征在于,所述预先设定的数字签名算法为MD5密码算法。
13、根据权利要求7、8或10所述的方法,其特征在于,所述身份标识信息为当前MG的自身标识MGID。
14、根据权利要求7或8所述的方法,其特征在于,MG进行启动注册时,步骤a11或步骤a21中所述的身份标识信息为当前MG的自身标识MGID,且MG将自身标识MGID、随机数Rand或密钥信息A、计算出的数字签名通过接入请求命令发送给MGC。
15、根据权利要求14所述的方法,其特征在于,该方法进一步包括:对所述的MGID按照预先设定的加密算法进行加密。
16、根据权利要求15所述的方法,其特征在于,该方法进一步包括:MGC收到接入请求命令后,对所述的MGID按照预先设定的解密算法进行解密。
17、根据权利要求14所述的方法,其特征在于,所述接入请求命令中进一步携带有MG侧所支持的数字签名算法对应的算法标识。
18、根据权利要求17所述的方法,其特征在于,步骤a12或步骤a22进一步包括:MGC收到MG发来的接入请求命令后,判断是否携带有算法标识,如果有,则MGC根据MG支持的算法确定MGC与MG之间进行鉴权时所要采用的数字签名算法,并将确定的数字签名算法对应的算法标识发送给MG;否则不作处理。
19、根据权利要求1、7、8、9或10所述的方法,其特征在于,由MGC发起鉴权,所述步骤b进一步包括:
b11.MGC生成一随机数RandA,并利用生成的随机数、共享鉴权密钥和确定的数字签名算法计算自身用于认证的签名字,然后将生成的随机数和计算出的签名字发送给MG;
b12.MG利用共享鉴权密钥、收到的随机数和确定的数字签名算法计算自身当前使用的签名字,并比较计算出的签名字和收到的签名字是否相等,如果不等,则对方为非法方,结束当前鉴权流程,否则,利用共享鉴权密钥、收到的随机数、身份标识信息MG_ID和确定的数字签名算法计算自身用于认证的签名字,并将计算出的签名字发送给MGC;
b13.MGC利用共享鉴权密钥、步骤b11生成的随机数、身份标识信息MG_ID和确定的数字签名算法计算出自身当前使用的签名字,并比较计算出的签名字和收到的签名字是否相等,如果相等,则对方为合法方,鉴权成功;否则对方为非法方,鉴权失败。
20、根据权利要求19所述的方法,其特征在于,所述确定的数字签名算法为预先根据MG和MGC所支持的数字签名算法设定的;或是由所述共享鉴权密钥协商过程中协商确定的。
21、根据权利要求1、7、8、9或10所述的方法,其特征在于,由MG发起鉴权,所述步骤b进一步包括:
b21.MG生成一随机数RandA,并利用共享鉴权密钥、身份标识信息MG_ID、生成的随机数和确定的数字签名算法计算自身用于认证的签名字,然后将生成的随机数和计算出的签名字发送给MGC;
b22.MGC利用共享鉴权密钥、身份标识信息MG_ID、收到的随机数和确定的数字签名算法计算自身当前使用的签名字,并比较计算出的签名字和收到的签名字是否相等,如果不等,则对方为非法方,结束当前鉴权流程,否则,利用共享鉴权密钥、收到的随机数和确定的数字签名算法计算自身用于认证的签名字,并将计算出的签名字发送给MG;
b23.MG利用共享鉴权密钥、步骤b21生成的随机数和确定的数字签名算法计算出自身当前使用的签名字,并比较计算出的签名字和收到的签名字是否相等,如果相等,则对方为合法方,鉴权成功;否则对方为非法方,鉴权失败。
22、根据权利要求19所述的方法,其特征在于,所述确定的数字签名算法为预先根据MG和MGC所支持的数字签名算法设定的;或是由所述共享鉴权密钥协商过程中协商确定的。
CNB031498086A 2003-07-25 2003-07-25 一种媒体网关与媒体网关控制器之间安全认证的方法 Expired - Fee Related CN100403742C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNB031498086A CN100403742C (zh) 2003-07-25 2003-07-25 一种媒体网关与媒体网关控制器之间安全认证的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB031498086A CN100403742C (zh) 2003-07-25 2003-07-25 一种媒体网关与媒体网关控制器之间安全认证的方法

Publications (2)

Publication Number Publication Date
CN1571409A true CN1571409A (zh) 2005-01-26
CN100403742C CN100403742C (zh) 2008-07-16

Family

ID=34472612

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB031498086A Expired - Fee Related CN100403742C (zh) 2003-07-25 2003-07-25 一种媒体网关与媒体网关控制器之间安全认证的方法

Country Status (1)

Country Link
CN (1) CN100403742C (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1314224C (zh) * 2003-12-17 2007-05-02 华为技术有限公司 通过扩展mgcp对ip语音接入设备的认证方法
WO2008019615A1 (fr) * 2006-08-08 2008-02-21 Huawei Technologies Co., Ltd. Procédé, dispositif et système pour authentification d'accès
CN101043476B (zh) * 2007-03-12 2010-05-19 华为技术有限公司 防止用户信息被窃听的方法、设备和系统
CN101500230B (zh) * 2008-01-30 2010-12-08 华为技术有限公司 建立安全关联的方法和通信网络
CN102026188A (zh) * 2010-12-09 2011-04-20 中国联合网络通信集团有限公司 鉴权方法、设备及系统
CN105577625A (zh) * 2014-10-17 2016-05-11 西安西电捷通无线网络通信股份有限公司 基于预共享密钥的实体鉴别方法及装置
CN106330838A (zh) * 2015-07-01 2017-01-11 阿里巴巴集团控股有限公司 一种动态签名方法及应用该方法的客户端和服务器
CN107623670A (zh) * 2016-07-16 2018-01-23 华为技术有限公司 一种网络认证方法、相关设备及系统
CN108599926A (zh) * 2018-03-20 2018-09-28 如般量子科技有限公司 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证系统和方法
CN108616350A (zh) * 2018-03-20 2018-10-02 如般量子科技有限公司 一种基于对称密钥池的HTTP-Digest类AKA身份认证系统和方法
CN109088736A (zh) * 2018-09-25 2018-12-25 平安科技(深圳)有限公司 一种基于数字签名的数据通信方法、系统及装置
CN109889344A (zh) * 2019-01-31 2019-06-14 深圳中兴飞贷金融科技有限公司 终端、数据的传输方法和计算机可读存储介质
CN110943957A (zh) * 2018-09-21 2020-03-31 郑州信大捷安信息技术股份有限公司 一种车内网安全通信系统及方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991407A (en) * 1995-10-17 1999-11-23 Nokia Telecommunications Oy Subscriber authentication in a mobile communications system
US7305550B2 (en) * 2000-12-29 2007-12-04 Intel Corporation System and method for providing authentication and verification services in an enhanced media gateway
CN1177445C (zh) * 2001-09-29 2004-11-24 华为技术有限公司 一种pc客户端的安全认证方法

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1314224C (zh) * 2003-12-17 2007-05-02 华为技术有限公司 通过扩展mgcp对ip语音接入设备的认证方法
WO2008019615A1 (fr) * 2006-08-08 2008-02-21 Huawei Technologies Co., Ltd. Procédé, dispositif et système pour authentification d'accès
CN101123498B (zh) * 2006-08-08 2011-12-28 华为技术有限公司 一种实现接入认证的方法、设备及系统
CN101043476B (zh) * 2007-03-12 2010-05-19 华为技术有限公司 防止用户信息被窃听的方法、设备和系统
CN101500230B (zh) * 2008-01-30 2010-12-08 华为技术有限公司 建立安全关联的方法和通信网络
CN102026188A (zh) * 2010-12-09 2011-04-20 中国联合网络通信集团有限公司 鉴权方法、设备及系统
CN105577625B (zh) * 2014-10-17 2019-04-23 西安西电捷通无线网络通信股份有限公司 基于预共享密钥的实体鉴别方法及装置
CN105577625A (zh) * 2014-10-17 2016-05-11 西安西电捷通无线网络通信股份有限公司 基于预共享密钥的实体鉴别方法及装置
CN106330838A (zh) * 2015-07-01 2017-01-11 阿里巴巴集团控股有限公司 一种动态签名方法及应用该方法的客户端和服务器
CN107623670A (zh) * 2016-07-16 2018-01-23 华为技术有限公司 一种网络认证方法、相关设备及系统
US11075752B2 (en) 2016-07-16 2021-07-27 Huawei Technologies Co., Ltd. Network authentication method, and related device and system
CN108616350A (zh) * 2018-03-20 2018-10-02 如般量子科技有限公司 一种基于对称密钥池的HTTP-Digest类AKA身份认证系统和方法
CN108599926A (zh) * 2018-03-20 2018-09-28 如般量子科技有限公司 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证系统和方法
CN108616350B (zh) * 2018-03-20 2021-08-10 如般量子科技有限公司 一种基于对称密钥池的HTTP-Digest类AKA身份认证系统和方法
CN110943957A (zh) * 2018-09-21 2020-03-31 郑州信大捷安信息技术股份有限公司 一种车内网安全通信系统及方法
CN110943957B (zh) * 2018-09-21 2022-04-15 郑州信大捷安信息技术股份有限公司 一种车内网安全通信系统及方法
CN109088736A (zh) * 2018-09-25 2018-12-25 平安科技(深圳)有限公司 一种基于数字签名的数据通信方法、系统及装置
CN109088736B (zh) * 2018-09-25 2023-10-03 平安科技(深圳)有限公司 一种基于数字签名的数据通信方法、系统及装置
CN109889344A (zh) * 2019-01-31 2019-06-14 深圳中兴飞贷金融科技有限公司 终端、数据的传输方法和计算机可读存储介质
CN109889344B (zh) * 2019-01-31 2020-06-16 深圳中兴飞贷金融科技有限公司 终端、数据的传输方法和计算机可读存储介质

Also Published As

Publication number Publication date
CN100403742C (zh) 2008-07-16

Similar Documents

Publication Publication Date Title
CN1268088C (zh) 基于pki的vpn密钥交换的实现方法
CN1859093A (zh) 在ip多媒体子系统中认证用户终端的方法
CN1751533A (zh) 在移动无线电系统中形成和分配加密密钥的方法和移动无线电系统
CN1879382A (zh) 在设备间建立加密通信通道的方法、设备和程序
CN1104118C (zh) 计算机支持的在两个计算机之间的密码交换方法
CN1315268C (zh) 一种验证用户合法性的方法
CN1708001A (zh) 信息处理设备及方法
CN1961557A (zh) 通信网络中的安全连接方法和系统
CN1992585A (zh) 一种用于用户设备与内部网络间安全通信的方法及装置
CN1758595A (zh) 使用广播密码术对装置进行认证的方法
CN1701561A (zh) 基于地址的验证系统及其装置和程序
CN101030854A (zh) 多媒体子系统中网络实体的互认证方法及装置
CN1832397A (zh) 电子设备接口间基于公钥证书的认证密钥协商和更新方法
CN1870812A (zh) Ip多媒体子系统接入域安全机制的选择方法
CN1689367A (zh) 安全装置的安全和保密性增强
CN1685306A (zh) 打印系统、打印装置及打印指示方法
CN1571409A (zh) 一种媒体网关与媒体网关控制器之间安全认证的方法
CN1864384A (zh) 用于保护网络管理帧的系统和方法
CN101056171A (zh) 一种加密通信方法和装置
CN101051898A (zh) 无线网络端到端通信认证方法及其装置
CN1929371A (zh) 用户和外围设备协商共享密钥的方法
CN1642082A (zh) 内容发送装置、内容接收装置和内容传送方法
CN1992593A (zh) 应用于分组网络的基于h.323协议的终端接入方法
CN1794128A (zh) 一种移动终端加入域和获取权限对象的方法和系统
CN1716953A (zh) 会话初始协议认证的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20080716

Termination date: 20130725