CN1658551A - 安全能力协商方法 - Google Patents
安全能力协商方法 Download PDFInfo
- Publication number
- CN1658551A CN1658551A CN 200410005739 CN200410005739A CN1658551A CN 1658551 A CN1658551 A CN 1658551A CN 200410005739 CN200410005739 CN 200410005739 CN 200410005739 A CN200410005739 A CN 200410005739A CN 1658551 A CN1658551 A CN 1658551A
- Authority
- CN
- China
- Prior art keywords
- terminal
- message
- registration
- response message
- soft switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开一种安全能力协商方法,应用于下一代网络中,主要包括如下步骤:a)终端向软交换发送注册请求消息;b)软交换向认证中心发送认证请求消息;c)认证中心对终端进行认证,并由终端与软交换进行安全能力协商,在协商通过后,终端与软交换按照协商好的安全能力进行通信。本发明由于在注册认证过程中实现安全能力协商,安全能力协商不受限于具体的NGN网络应用协议,是一种通用的方法,因此,应用范围广,可扩展性较强,同时还具有交互流程简单,安全能力协商的效率较高的优点。
Description
技术领域
本发明涉及通信中的安全管理技术,尤指一种应用于NGN(下一代网络)中的安全能力协商方法。
背景技术
NGN是可以提供包括话音、数据和多媒体等各种业务在内的综合开放的网络构架,为用户提供实时的会话业务。其网络设备由少量的核心设备和大量的用户终端组成,网络中除了与PSTN/PLMN的交互是基于电路方式而比较安全外,其它网络设备之间的交互,都是基于分组核心网络及各种分组接入网络来传送。在开放的IP网络上,NGN网络极易受到各种非法的攻击,特别是NGN网络中存在的大量的分组终端,很容易成为非法攻击的发起者。
针对NGN网络安全,目前还没有较好的解决方案,而作为网络安全基础的安全能力协商过程如何和NGN网络的特点结合起来,更是一个空白。现有技术中只定义了密钥协商机制,如IPSec(网络层安全)采用IKE(因特网密钥交换协议)、TLS(传输层安全)采用TLS规范中定义的握手协议来进行密钥、加密算法参数等的协商,但还没有一个完整的安全能力协商方案。而随着安全解决方案的不断发展,会有更多的安全解决方案出现,即使采用同一种安全解决方案,其加密算法、参数等也会不断扩展,需要有一种动态协商和灵活扩展的机制,同时由于NGN网络的业务的丰富性和用户接入的多样性,该机制还需要充分考虑NGN网络的特点。
目前IETF有一个草案定义了SIP(会话初始协议)的应用层安全能力协商机制,其基本思路是定义若干SIP扩展头域,通过所述扩展头域终端将自己支持的安全能力列表发送给服务器,同时服务器将自己的安全能力列表回复给终端,终端通过比较自身以及服务器的安全能力及各个安全能力的优先级,选择双方都支持且优先级高的安全能力(如IPSec、TLS、SIP的S/MIME等)进行通信,同时将服务器发过来的安全能力列表返回给服务器,以便服务器验证自己的安全能力列表是否被修改过,防止中间人攻击,最后由服务器对终端进行确认。
上述技术方案存在如下的缺点:
1、只定义SIP的扩展头域,只针对SIP协议应用,应用范围窄,可扩展性不强;
2、协议交互流程太多,安全能力协商的效率不高;
3、协议流程没有清楚的定义如何在NGN网络中应用,以及如何与NGN网络中的会话过程结合,影响将来的互通;
4、安全能力由终端确定,而终端通常是不可信的,并且安全能力协商过程暴露了服务器的安全能力,不利于系统的安全,安全性较低。
发明内容
本发明解决的技术问题是提供一种应用范围宽,可扩展性强的安全能力协商方法,采用该安全能力协商方法,可适应NGN网络的特点,安全性高。
为解决上述问题,本发明提供一种安全能力协商方法,包括如下步骤:
a)终端向软交换发送注册请求消息;
b)软交换向认证中心发送认证请求消息;
c)认证中心对终端进行认证,并由终端与软交换进行安全能力协商,在协商通过后,终端与软交换按照协商好的安全能力进行通信。
其中,所述步骤c)具体包括:
c1)认证中心根据与终端的共享密钥Kc生成对终端的第一验证字,并将所述第一验证字返回给软交换;
c2)软交换向终端返回注册失败响应消息,同时要求终端反馈支持的安全能力列表及每种安全能力的优先级信息;
c3)终端根据与认证中心的共享密钥Kc生成第二验证字,然后向软交换发送包含所述第二验证字、终端支持的安全能力列表及每种安全能力的优先级信息的注册消息;
c4)软交换根据认证中心提供的第一验证字与终端提供的第二验证字对所述终端进行认证,并在认证通过后,执行步骤c5);
c5)软交换向终端返回注册成功响应消息,所述注册成功响应消息中包含软交换根据终端支持的安全能力选定的后续通信采用的安全能力项以及终端的安全能力参数列表和优先级信息以便终端确认,同时软交换向认证中心发出终端认证成功消息以便更新终端的相关信息。
具体的,所述步骤c1)进一步包括:
认证中心生成所述终端与软交换之间的会话密钥,然后以所述共享密钥Kc对所述会话密钥加密,将加密后的会话密钥与第一验证字一起返回给软交换;
步骤c5)所述注册成功响应消息中还包含认证中心以共享密钥Kc加密过的会话密钥;
所述步骤c)还进一步包括:
c6)终端根据共享密钥Kc解密认证中心以共享密钥Kc加密过的会话密钥。
进一步,所述下一代网络还包括信令代理,所述步骤a)具体包括:
终端向信令代理发送注册请求消息,信令代理向软交换转发终端的注册请求消息;
所述步骤c1)进一步包括:
认证中心根据与信令代理的共享密钥Ksp,对会话密钥进行加密,然后将经所述共享密钥Ksp加密过的会话密钥也返回给软交换;
所述步骤c2)具体包括:
软交换向信令代理返回注册失败响应消息,信令代理向终端返回注册失败响应消息,同时要求终端反馈支持的安全能力列表;
所述步骤c3)具体包括:
终端将包含生成的第二验证字、终端支持的安全能力列表及每种安全能力优先级信息的注册消息发送给信令代理,信令代理根据终端支持的安全能力和每种安全能力的优先级信息选择一个合适的安全能力进行通信,然后向软交换转发终端的注册消息;
所述步骤c5)具体包括:
软交换向信令代理转发终端注册成功响应消息,所述注册成功响应消息中包含认证中心分别以共享密钥Kc和Ksp加密后的会话密钥,信令代理用共享密钥Ksp解密认证中心以共享密钥Ksp加密过的会话密钥,并以所述解密获取的会话密钥对注册成功响应消息报文计算报文验证字,然后信令代理向终端转发注册成功响应消息,该注册成功响应消息包含认证中心以共享密钥Kc加密的会话密钥、信令代理根据终端支持的安全能力选定的后续通信采用的安全能力项以及终端的安全能力参数列表和优先级信息以及所述报文验证字;
所述步骤c6)进一步包括:
终端利用共享密钥Kc解密后获取的会话密钥,验证信令代理返回报文的报文验证字以验证信令代理身份,同时验证报文的完整性以及信令代理返回的终端的安全能力参数是否正确,并在验证通过后,按照选定的安全能力进行通信。。
其中,所述注册请求消息和注册消息均为SIP协议注册消息,所述注册失败响应消息为SIP协议响应消息,所述注册成功响应消息为SIP协议注册请求成功消息。
其中,所述注册请求消息为MGCP协议系统重启消息,所述注册失败响应消息和注册成功响应消息均为MGCP协议通知请求消息,所述注册消息为MGCP协议通知消息。
其中,所述注册请求消息为H.248协议系统服务状态变化消息及响应消息,所述注册失败响应消息和注册成功响应消息均为H.248协议属性更改消息,所述注册消息为H.248协议通知消息。
其中,所述注册请求消息为H.323协议GK请求消息,所述注册失败响应消息为H.323协议GK拒绝消息,所述注册消息为H.323协议注册请求消息,所述注册成功响应消息为H.323协议注册成功消息。
与现有技术相比,本发明具有以下优点:
1、本发明通过在注册认证过程中实现安全能力协商,由于安全能力协商不受限于具体的NGN网络应用协议,是一种通用的方法,因此,应用范围广,可扩展性较强;
2、本发明在注册认证过程中实现安全能力协商,交互流程简单,安全能力协商的效率较高,由于不必在呼叫建立过程中协商确定安全能力,不影响呼叫建立时间;
3、安全能力协商具有通用的流程,可具体应用于SIP协议、MGCP协议、H.248协议以及H.323协议等NGN网络的应用协议中,安全能力协商与会话结合,有利于将来互通;
4、安全能力可通过信令代理而不是终端确定,不暴露软交换等服务器的安全能力,更好的保证了系统的安全。
附图说明
图1是本发明安全能力协商方法应用的一种NGN网络环境示意图;
图2是在图1所示的网络环境下本发明安全能力协商方法具体实施例通信过程示意图;
图3是本发明安全能力协商方法应用的具有信令代理的一种NGN网络环境示意图;
图4是在图3所示的网络环境下本发明安全能力协商方法具体实施例通信过程示意图;
图5是在SIP协议注册认证过程中实现安全能力协商的实施例通信过程示意图;
图6是在MGCP协议注册认证过程中实现安全能力协商的实施例通信过程示意图;
图7是在H.248协议注册认证过程中实现安全能力协商的实施例通信过程示意图;
图8是在H.323协议注册认证过程中实现安全能力协商的实施例通信过程示意图。
具体实施方式
在NGN网络中,网络安全是目前NGN网络实际运营中碰到的一个重要问题,如果不能很好的解决NGN网络的安全问题,NGN网络将无法得到大规模的应用。
在NGN网络中,网络设备主要包括终端、网关及软交换等,图1是NGN一种简单的单域组网图,即只有一个软交换(也称为媒体网关控制器)设备,实际组网可能有多个软交换设备。如图1所示的NGN网络环境中,软交换通过IP网络分别与中继媒体网关、SIP(会话初始协议)终端,H.323终端和H.248终端相连,其中中继媒体网关接模拟电话T1、T2,另外软交换还与认证中心AuC相连。
本发明结合NGN网络的特点,通过将注册认证过程与安全能力协商过程结合起来,在终端向软交换发起注册,软交换向认证中心请求认证后,认证中心对终端进行认证,并由终端与软交换进行安全能力协商,在协商通过后,终端与软交换按照协商好的安全能力进行通信。由于在注册认证过程中完成安全能力协商,可使终端的注册认证和安全能力协商的过程更简捷,提高了系统的效率和性能,对终端的要求较低。
图2是一种简单的安全能力协商通信过程示意图,说明如下:
终端首先向软交换发起注册请求,具体消息报文与终端支持的协议相关,软交换收到所述注册请求消息后,向认证中心请求对终端进行认证,认证中心根据终端信息生成相应验证字(便于区别以后称为第一验证字),然后向软交换返回认证响应消息,所述认证响应消息中包含所述第一验证字,软交换在收到所述认证响应消息后,向终端发送注册失败响应消息,要求终端重新注册,同时要求终端反馈支持的安全能力列表及每种安全能力的优先级信息,终端生成验证字(便于区别以后称为第二验证字),然后向软交换重新发起注册,注册信息中包含所述第二验证字以及终端支持的安全能力列表及每种安全能力的优先级信息,软交换比较认证中心与终端分别提交的第一验证字和第二验证字,若不相同,则向终端返回注册失败响应消息,要求终端重新注册,若相同,则认证通过,向终端发送注册成功响应消息,所述注册成功响应消息中包含软交换根据终端支持的安全能力选定的后续通信采用的安全能力项以及终端的安全能力参数列表和每种安全能力的优先级信息以便终端确认,同时向认证中心发出终端认证成功消息,更新终端的相关信息。
在上述安全能力协商过程中,还可实现密钥分发以进一步提高网络的安全性,具体的,本发明中所有网络设备、终端和认证中心AuC之间各有一个共享密钥,网络设备可以采用手工配置或网管下发,终端设备在设备开户时由系统分配或用户输入。
所有与认证中心AuC的共享密钥为整个系统的基本密钥,需要得到妥善的保管,要求网络设备及终端具有不向第三方泄漏此密钥、以及具有抗非法盗取此密钥的能力。
另外,认证中心AuC还生成终端和软交换之间的会话密钥,然后以所述共享密钥Kc对所述会话密钥加密,将加密后的会话密钥与第一验证字一起返回给软交换,并在注册成功后,向终端返回的注册成功响应消息中包含所述认证中心以共享密钥Kc加密过的会话密钥,这样终端根据共享密钥Kc解密认证中心以共享密钥Kc加密过的会话密钥,即可由此解密获取的会话密钥通过算法分别导出加密密钥和认证密钥,用于通信过程中对信令的加密或认证。
事实上为了通信的安全,本发明应用的网络环境中还可包括信令代理(SP),整个网络环境中,信令代理以上的网络设备之间的通信是可信的,即需要在组网上保证这些网络设备是处于一个信任区内,终端是不可信的,终端和信令代理之间的通信是不安全的,即终端和信令代理位于非信任区,信令代理为信任区和非信任区的边界。
信令代理可以作为一个功能模块与处理媒体转发的模块一起集成在IP网关中,也可以采用信令与媒体分离的架构方式,独立出来成为一个单独的信令代理实体,下面以具体实施例进行说明。
图3是一种信令代理集成在IP网关的网络环境,在所述的网络环境中,终端通过信令代理实现与软交换通信。
图4是图3所示具信令代理的网络环境中实现安全能力协商的通信过程,在该实施例通信过程中还实现密钥分发,具体说明如下。
在步骤s1.终端按协议流程向信令代理发送注册请求消息,正常的协议注册消息,具体消息报文与终端支持的协议相关,为一个普通的协议注册报文,报文未经加密认证处理,所述注册请求消息报文中包含如下信息:
IDc‖IDsp‖N1‖TS1
-IDc:标识终端
-IDsp:标识信令代理
-N1:随机数或序列号,用于标识本次报文,返回的响应报文中需包含此数,用于防止报文重发(后续消息中的此数含义相同)
-TS1:用于信令代理验证终端的时钟与信令代理的时钟是否同步;
在步骤s2.信令代理向软交换转发终端的注册请求消息,该消息报文中包含如下信息:
IDc‖IDsp
-IDc:标识终端
-IDsp:标识信令代理;
在步骤s3.软交换没有终端的鉴权信息,向认证中心(AuC)发出对终端的鉴权认证请求消息,提供终端标识ID和信令代理标识ID,该消息报文中包含信息如下:
IDc‖IDsp
-IDc:标识终端;
-IDsp:标识终端接入网络的信令代理;
在步骤s4.认证中心根据终端标识ID、信令代理标识ID,获取与终端的共享密钥Kc以及与信令代理的共享密钥Ksp及其它认证信息,生成一个挑战字随机数Rand,由Rand,IDc和共享密钥Kc等一起生成对终端的第一验证字Authenticatorc,同时生成终端和信令代理之间的会话密钥Kc,sp,并分别由共享密钥Kc和Ksp对所述会话密钥Kc,sp加密,将Rand、验证字、加密后的会话密钥Kc,sp作为软交换认证请求的响应返回给软交换,该认证响应消息报文中包含如下信息:
IDc‖IDsp‖Rand‖Authenticatorc‖EKc[Kc,sp]‖EKsp[Kc,sp]
其中:Authenticatorc=fm(Kc,Rand,IDc)
-IDc:标识终端
-IDsp:标识信令代理
-Rand:随机数,用于认证中心计算验证字,认证中心将Rand发给软交换,软交换再发给信令代理,再由信令代理发给终端
-Authenticatorc:验证字,用于软交换验证终端,认证中心生成后发给软交换
-EKc[Kc,sp]:认证中心以共享密钥Kc加密过的会话密钥Kc,sp
-EKsp[Kc,sp]:认证中心以共享密钥Ksp加密过的会话密钥Kc,sp
在步骤5.软交换向信令代理返回注册失败响应消息,注册失败,需要对终端进行认证,注册失败响应消息报文参数中包括挑战字Rand,该消息报文中包含如下信息:
IDc‖IDsp‖Rand
-IDc:标识终端
-IDsp:标识信令代理
-Rand:为认证中心发给信令代理的随机数;
在步骤6.信令代理向终端返回注册失败响应消息,注册失败,需要对终端进行认证,同样注册失败响应消息报文中包括挑战字Rand,同时要求终端反馈支持的安全能力列表和每种安全能力的优先级信息,该报文中包含如下信息:
IDc‖IDsp‖N1‖N2‖TS2‖Rand
-IDc:标识终端
-IDsp:标识信令代理
-N1:同终端发给信令代理的注册消息报文中的N1,用于对注册报文的回应
-N2:用于标识本次报文
-TS2:用于终端验证时间戳
-Rand:为认证中心生成的随机数;
在步骤7.终端通过共享密钥Kc、客户段标识IDc及信令代理返回的随机数Rand重新计算验证字,向信令代理重新发起注册,注册消息报文中包括新计算得到的第二验证字Authenticatorc,同时注册消息报文中包含终端支持的安全能力列表(如网络层安全IPSec、传输层安全TLS或应用层安全等),以及每一种安全能力的优先级信息,信令代理将根据终端的安全能力和优先级信息选择一个合适的安全能力进行通信,该注册消息报文中包含如下信息:
IDc‖N1‖N2‖TS3‖Authenticatorc‖Security mechanism list
其中:Authenticatorc=f(Kc,Rand,IDc)
-IDc:标识终端;
-N1:新的随机数或序列号,用于标识本次报文
-N2:用于标识对信令代理上一个报文的回应
-TS3:让信令代理验证时间戳
-Authenticatorc:验证字,由终端生成
-Security mechanism list:终端的安全能力及优先级列表;
在步骤8.信令代理向软交换转发终端的注册消息报文,对于终端的安全能力和优先级信息参数可以转发,也可以不转发,软交换不需该信息,该注册消息报文中包含如下信息:
IDc‖IDsp‖Authenticatorc
-IDc:标识终端
-IDsp:标识信令代理
-Authenticatorc:验证字,由终端生成;
在步骤9.软交换将信令代理发过来的注册消息报文中的第二验证字和认证中心发过来的第一验证字进行比较,对终端进行验证,若两者不一致,则验证失败,可重发注册失败响应消息,若两者一致,则表明对终端的验证成功,向信令代理返回注册成功响应消息报文,该消息报文中同时包括两个由认证中心生成的分别经过Kc和Ksp加密后的终端与信令代理之间的会话密钥Kc,sp,该消息报文中包含如下信息:
IDc‖IDsp‖EKc[Kc,sp]‖EKsp[Kc,sp]
-IDc:标识终端
-IDsp:标识信令代理
-EKc[Kc,sp]:为认证中心用共享密钥Kc加密的终端与信令代理之间的会话密钥Kc,sp
-EKsp[Kc,sp]:为认证中心用共享密钥Ksp加密的终端与信令代理之间的会话密钥Kc,sp;
在步骤10.信令代理收到软交换的注册响应成功消息,向终端转发注册成功响应消息,该消息报文中包含由认证中心生成的经过终端的共享密钥Kc加密后的会话密钥Kc,sp,同时注册成功响应消息中包括信令代理依据终端的安全能力参数选定的后续通信采用的安全能力项以及终端的安全能力参数列表和优先级信息(用于终端确认这些参数是否在网络传输中被第三者修改),最后用共享密钥Ksp对由认证中心生成的经过Ksp加密后的会话密钥Kc,sp进行解密处理,得到Kc,sp,并用Kc,sp对整个响应消息报文计算报文验证字MAC,用于保证报文的完整性,以及终端对信令代理的认证,报文中包含如下信息:
IDc‖IDsp‖N1‖N2‖TS4‖EKc[Kc,sp]‖‖Security mechanism‖Securitymechanism list(c)‖fm(Kc,sp,报文)
-IDc:标识终端
-IDsp:标识信令代理
-N1:用于标识对终端注册报文的回应
-N2:用于标识本次报文
-TS4:用于终端验证时间戳
-EKc[Kc,sp]:为认证中心用共享密钥Kc加密的终端与信令代理之间的会话密钥Kc,sp
-Security mechanism:信令代理根据终端的安全能力及优先级列表选定的安全能力
-Security mechanism list:终端自己的安全能力及优先级列表,用于终端确认信令代理收到的安全能力列表没有被非法修改过
-fm(Kc,sp,报文):用会话密钥Kc,sp对整个报文进行源和完整性认证,终端通过解开会话密钥,并对报文进行成功鉴别来实现对信令代理的身份认证,否则信令代理无法得到由认证中心签发的会话密钥Kc,sp;
在步骤11.软交换向认证中心发出终端认证成功消息,更新终端的相关信息,同时终端对由认证中心生成的经过Ksp加密后的会话密钥解密得到Kc,sp,并用Kc,sp验证信令代理返回报文的MAC,实现对信令代理的身份验证,同时验证报文的完整性,以及信令代理返回的终端自身的安全能力参数是否正确,如果正确,则说明信令代理返回的选定的安全能力正确,后续通信将按此安全能力进行报文安全处理,如果终端对信令代理认证失败或安全能力参数不正确,可重新发起注册,该终端认证成功消息报文中包含如下信息:
IDc‖IDsp‖IPc‖...
-IDc:标识终端
-IDsp:标识信令代理
-IPc:终端注册的IP地址,可能是经过信令代理变换处理后的IP地址。
上述安全能力的协商过程通过终端和信令代理(集成在IP网关中)之间协商确定,信令代理可以完成隐藏核心网络设备的作用,信令代理放在边缘接入层,即使恶意攻击瘫痪,对整个网络的影响也很小,协商过程在终端注册认证和密钥分配过程中同时完成,参见上述流程中步骤s6、s7、s10,具体举例说明如下,可以在终端的注册消息报文中增加如下信息:
Security-Client:tls;p=1//终端支持TLS,优先级为1
Security-Client:digest/Interim AH/H.235;p=2/*不同终端支持不同的应用层安全,如SIP-digest认证/H.248-Interim*/AH/H.323-H.235等,优先级为2*/
Security-Client:IPSec;p=3//终端支持IPSec,优先级为3
信令代理在注册成功响应消息报文中回应如下信息:
Security-Verify:IPSec;p=3//信令代理根据双方的安全能力指定采用IPSec,优先级为3
/*同时将终端的安全能力列表重新发给终端,用于终端验证自己的安全能力在传输过程中没有被修改过*/
Security-Client:tls;p=1
Security-Client:digest/Interim AH/H.235;p=2
Security-Client:IPSec;p=3
上述过程除协商完成安全实现方式外,还可同时协商完成通信过程中采用的安全服务、加密或认证的算法等参数;
除了采用标准的网络层和传输层安全实现方式外,也可以采用自定义的应用层安全实现方式,在密钥分配过程中协商完成会话密钥以及加密和认证算法等相关安全参数,由会话密钥导出加密密钥和认证密钥,同时定义应用层应用加密和认证服务时的报文格式,即可以在通信双方间开始提供应用层的安全服务,作为一种自定义的安全能力,通过该方式安全能力可以得到不断的扩展。
下面以具体的应用协议环境对本发明安全能力协商方法进行说明。
图5是本发明采用SIP协议进行注册认证的具体通信过程,仍以网络环境为具有信令代理为例,所述通信过程中只是将上述通用流程中的注册和响应消息细化为具体的SIP协议消息,流程中每一步骤的消息所携带的参数与上述通用流程中的定义是一致的。
所述通信过程中具体的协议消息,在步骤s1、步骤s2,注册请求消息为SIP协议中的注册消息;在步骤s5、步骤s6,注册失败响应消息为SIP协议中的响应消息代码,其中401:为SIP协议中的响应消息代码,含义为需要对终端进行认证,407:为SIP协议中的响应消息代码,含义为需要对代理进行认证,在步骤s7、步骤s8,重新注册消息也为SIP协议中的注册消息;在步骤s9、步骤s10,注册成功响应消息为SIP协议中的响应消息代码,表示请求成功,即OK;而步骤s3、s4、s11中的消息,则与具体的呼叫协议没有关系,可以是通用的认证协议,根据应用场合的不同,可以采取不同的协议,如Radius、Diameter等。
图6是本发明采用MGCP(媒体网关控制协议)协议进行注册认证的具体通信过程,仍以网络环境为具有信令代理为例,所述通信过程中只是将上述通用流程中的注册和响应消息细化为具体的MGCP协议消息,流程中每一步骤的消息所携带的参数与上述通用流程中的定义是一致的。
所述通信过程中具体的协议消息,在步骤s1、步骤s2,注册请求消息为MGCP协议中的系统重起消息命令RSIP及其响应消息;在步骤s5、步骤s6,注册失败响应消息为MGCP协议中的通知请求消息命令RQNT及其响应消息,表示系统需要对终端进行认证,在步骤s7、步骤s8,重新注册消息为MGCP协议中的通知消息命令NOTIFY及其响应消息,表示终端发起认证;在步骤s9、步骤s10,注册成功响应消息为MGCP协议中的通知请求消息命令RQNT及其响应消息,通知终端认证成功;而步骤s3、s4、s11中的消息,则与具体的呼叫协议没有关系,可以是通用的认证协议,根据应用场合的不同,可以采取不同的协议,如Radius、Diameter等。
图7是本发明采用H.248协议进行注册认证的具体通信过程,仍以网络环境为具有信令代理为例,所述通信过程中只是将上述通用流程中的注册和响应消息细化为具体的H.248协议消息,流程中每一步骤的消息所携带的参数与上述通用流程中的定义是一致的。
所述通信过程中具体的协议消息,在步骤s1、步骤s2,注册请求消息为H.248协议中的系统服务状态变化消息命令SERVICE CHANGE及其响应消息,此时表明系统开始进入服务状态,发起注册;在步骤s5、步骤s6,注册失败响应消息为H.248协议中的属性更改消息命令MODIFY及其响应消息,表示系统需要对终端进行认证,在步骤s7、步骤s8,重新注册消息为H.248协议中的通知消息命令NOTIFY及其响应消息,表示终端发起认证;在步骤s9、步骤s10,注册成功响应消息为H.248协议中的属性更改消息命令MODIFY及其响应消息,通知终端认证成功;而步骤s3、s4、s11中的消息,则与具体的呼叫协议没有关系,可以是通用的认证协议,根据应用场合的不同,可以采取不同的协议,如Radius、Diameter等。
图8是本发明采用H.323协议进行注册认证的具体通信过程,仍以网络环境为具有信令代理为例,所述通信过程中只是将上述通用流程中的注册和响应消息细化为具体的H.323协议消息,流程中每一步骤的消息所携带的参数与上述通用流程中的定义是一致的。
所述通信过程中具体的协议消息,在步骤s1、步骤s2,注册请求消息为H.323协议中的网守请求消息,含义为谁是我的网守;在步骤s5、步骤s6,注册失败响应消息为H.323协议中的网守拒绝消息,含义为网守不对终端进行注册,此处表示需要认证,在步骤s7、步骤s8,重新注册消息为H.323协议中的注册请求消息,此时消息中将携带认证信息,表示终端发起认证;在步骤s9、步骤s10,注册成功响应消息为H.323协议中的注册成功消息,通知终端认证成功;而步骤s3、s4、s11中的消息,则与具体的呼叫协议没有关系,可以是通用的认证协议,根据应用场合的不同,可以采取不同的协议,如Radius、Diameter等。
以上所述,仅为本发明的优选实施例而已,非因此即局限本发明的权利范围,凡运用本发明说明书及附图内容所为的等效变化,均理同包含于本发明的权利要求范围内。
Claims (8)
1、一种安全能力协商方法,应用于下一代网络中,所述下一代网络包括终端、软交换及认证中心,其特征在于,包括如下步骤:
a)终端向软交换发送注册请求消息;
b)软交换向认证中心发送认证请求消息;
c)认证中心对终端进行认证,并由终端与软交换进行安全能力协商,在协商通过后,终端与软交换按照协商好的安全能力进行通信。
2、根据权利要求1所述安全能力协商方法,其特征在于,所述步骤c)具体包括:
c1)认证中心根据与终端的共享密钥Kc生成对终端的第一验证字,并将所述第一验证字返回给软交换;
c2)软交换向终端返回注册失败响应消息,同时要求终端反馈支持的安全能力列表及每种安全能力的优先级信息;
c3)终端根据与认证中心的共享密钥Kc生成第二验证字,然后向软交换发送包含所述第二验证字、终端支持的安全能力列表及每种安全能力的优先级信息的注册消息;
c4)软交换根据认证中心提供的第一验证字和终端提供的第二验证字对所述终端进行认证,并在认证通过后,执行步骤c5);
c5)软交换向终端返回注册成功响应消息,所述注册成功响应消息中包含软交换根据终端支持的安全能力选定的后续通信采用的安全能力项以及终端的安全能力参数列表和优先级信息以便终端确认,同时软交换向认证中心发出终端认证成功消息以便更新终端的相关信息。
3、根据权利要求2所述安全能力协商方法,其特征在于,所述步骤c1)进一步包括:
认证中心生成所述终端与软交换之间的会话密钥,然后以所述共享密钥Kc对所述会话密钥加密,将加密后的会话密钥与第一验证字一起返回给软交换;
步骤c5)所述注册成功响应消息中还包含认证中心以共享密钥Kc加密过的会话密钥;
所述步骤c)还进一步包括:
c6)终端根据共享密钥Kc解密认证中心以共享密钥Kc加密过的会话密钥。
4、根据权利要求3所述安全能力协商方法,其特征在于,所述下一代网络还包括信令代理,所述步骤a)具体包括:
终端向信令代理发送注册请求消息,信令代理向软交换转发终端的注册请求消息;
所述步骤c1)进一步包括:
认证中心根据与信令代理的共享密钥Ksp,对会话密钥进行加密,然后将经所述共享密钥Ksp加密过的会话密钥也返回给软交换;
所述步骤c2)具体包括:
软交换向信令代理返回注册失败响应消息,信令代理向终端返回注册失败响应消息,同时要求终端反馈支持的安全能力列表;
所述步骤c3)具体包括:
终端将包含生成的第二验证字、终端支持的安全能力列表及每种安全能力优先级信息的注册消息发送给信令代理,信令代理根据终端支持的安全能力和每种安全能力的优先级信息选择一个合适的安全能力进行通信,然后向软交换转发终端的注册消息;
所述步骤c5)具体包括:
软交换向信令代理转发终端注册成功响应消息,所述注册成功响应消息中包含认证中心分别以共享密钥Kc和Ksp加密后的会话密钥,信令代理用共享密钥Ksp解密认证中心以共享密钥Ksp加密过的会话密钥,并以所述解密获取的会话密钥对注册成功响应消息报文计算报文验证字,然后信令代理向终端转发注册成功响应消息,该注册成功响应消息包含认证中心以共享密钥Kc加密的会话密钥、信令代理根据终端支持的安全能力选定的后续通信采用的安全能力项以及终端的安全能力参数列表和优先级信息以及所述报文验证字;
所述步骤c6)进一步包括:
终端利用共享密钥Kc解密后获取的会话密钥,验证信令代理返回报文的报文验证字以验证信令代理身份,同时验证报文的完整性以及信令代理返回的终端的安全能力参数是否正确,并在验证通过后,按照选定的安全能力进行通信。
5、根据权利要求1-4任一项所述安全能力协商方法,其特征在于,所述注册请求消息和注册消息均为SIP协议注册消息,所述注册失败响应消息为SIP协议响应消息,所述注册成功响应消息为SIP协议注册请求成功消息。
6、根据权利要求1-4任一项所述安全能力协商方法,其特征在于,所述注册请求消息为MGCP协议系统重启消息,所述注册失败响应消息和注册成功响应消息均为MGCP协议通知请求消息,所述注册消息为MGCP协议通知消息。
7、根据权利要求1-4任一项所述安全能力协商方法,其特征在于,所述注册请求消息为H.248协议系统服务状态变化消息及响应消息,所述注册失败响应消息和注册成功响应消息均为H.248协议属性更改消息,所述注册消息为H.248协议通知消息。
8、根据权利要求1-4任一项所述安全能力协商方法,其特征在于,所述注册请求消息为H.323协议GK请求消息,所述注册失败响应消息为H.323协议GK拒绝消息,所述注册消息为H.323协议注册请求消息,所述注册成功响应消息为H.323协议注册成功消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100057398A CN100544247C (zh) | 2004-02-16 | 2004-02-16 | 安全能力协商方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100057398A CN100544247C (zh) | 2004-02-16 | 2004-02-16 | 安全能力协商方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1658551A true CN1658551A (zh) | 2005-08-24 |
| CN100544247C CN100544247C (zh) | 2009-09-23 |
Family
ID=35007826
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100057398A Expired - Fee Related CN100544247C (zh) | 2004-02-16 | 2004-02-16 | 安全能力协商方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100544247C (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1983921B (zh) * | 2005-12-16 | 2010-05-05 | 华为技术有限公司 | 一种端到端媒体流安全的实现方法及系统 |
| CN101098230B (zh) * | 2006-06-29 | 2010-12-08 | 联想(北京)有限公司 | 一种对用户设备操作申请进行验证的方法和系统 |
| CN102355701A (zh) * | 2011-09-19 | 2012-02-15 | 中兴通讯股份有限公司 | 接入无线局域网热点的方法及终端 |
| CN103178965A (zh) * | 2008-01-07 | 2013-06-26 | 安全第一公司 | 使用多因素或密钥式分散对数据进行保护的系统和方法 |
| CN103841082A (zh) * | 2012-11-22 | 2014-06-04 | 中国电信股份有限公司 | 安全能力协商方法和系统、业务服务器、用户终端 |
| CN105556892A (zh) * | 2013-05-09 | 2016-05-04 | 韦恩加油系统有限公司 | 用于安全通信的系统和方法 |
| CN104113547B (zh) * | 2014-07-23 | 2017-04-26 | 中国科学院信息工程研究所 | 一种sip安全防范视频监控入网控制系统 |
| CN107276969A (zh) * | 2016-04-08 | 2017-10-20 | 杭州海康威视数字技术股份有限公司 | 一种数据的传输方法及装置 |
| CN109873972A (zh) * | 2019-02-13 | 2019-06-11 | 苏州科达科技股份有限公司 | 防止重协商DoS攻击的注册方法、呼叫方法、介质、设备 |
| CN110311921A (zh) * | 2019-07-11 | 2019-10-08 | 南方电网科学研究院有限责任公司 | 一种配电终端加解密方法、系统、设备及计算机存储介质 |
| CN112688907A (zh) * | 2019-10-17 | 2021-04-20 | 华为技术有限公司 | 一种组合式设备远程证明模式的协商方法及相关设备 |
| CN112953718A (zh) * | 2019-11-26 | 2021-06-11 | 中国移动通信集团安徽有限公司 | Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 |
-
2004
- 2004-02-16 CN CNB2004100057398A patent/CN100544247C/zh not_active Expired - Fee Related
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1983921B (zh) * | 2005-12-16 | 2010-05-05 | 华为技术有限公司 | 一种端到端媒体流安全的实现方法及系统 |
| CN101098230B (zh) * | 2006-06-29 | 2010-12-08 | 联想(北京)有限公司 | 一种对用户设备操作申请进行验证的方法和系统 |
| CN103178965B (zh) * | 2008-01-07 | 2016-08-31 | 安全第一公司 | 使用多因素或密钥式分散对数据进行保护的系统和方法 |
| CN103178965A (zh) * | 2008-01-07 | 2013-06-26 | 安全第一公司 | 使用多因素或密钥式分散对数据进行保护的系统和方法 |
| CN102355701A (zh) * | 2011-09-19 | 2012-02-15 | 中兴通讯股份有限公司 | 接入无线局域网热点的方法及终端 |
| CN102355701B (zh) * | 2011-09-19 | 2017-12-29 | 中兴通讯股份有限公司 | 接入无线局域网热点的方法及终端 |
| CN103841082B (zh) * | 2012-11-22 | 2017-05-31 | 中国电信股份有限公司 | 安全能力协商方法和系统、业务服务器、用户终端 |
| CN103841082A (zh) * | 2012-11-22 | 2014-06-04 | 中国电信股份有限公司 | 安全能力协商方法和系统、业务服务器、用户终端 |
| CN105556892A (zh) * | 2013-05-09 | 2016-05-04 | 韦恩加油系统有限公司 | 用于安全通信的系统和方法 |
| CN105556892B (zh) * | 2013-05-09 | 2021-07-06 | 韦恩加油系统有限公司 | 用于安全通信的系统和方法 |
| US11127001B2 (en) | 2013-05-09 | 2021-09-21 | Wayne Fueling Systems Llc | Systems and methods for secure communication |
| CN104113547B (zh) * | 2014-07-23 | 2017-04-26 | 中国科学院信息工程研究所 | 一种sip安全防范视频监控入网控制系统 |
| CN107276969A (zh) * | 2016-04-08 | 2017-10-20 | 杭州海康威视数字技术股份有限公司 | 一种数据的传输方法及装置 |
| CN107276969B (zh) * | 2016-04-08 | 2019-11-22 | 杭州海康威视数字技术股份有限公司 | 一种数据的传输方法及装置 |
| CN109873972A (zh) * | 2019-02-13 | 2019-06-11 | 苏州科达科技股份有限公司 | 防止重协商DoS攻击的注册方法、呼叫方法、介质、设备 |
| CN110311921A (zh) * | 2019-07-11 | 2019-10-08 | 南方电网科学研究院有限责任公司 | 一种配电终端加解密方法、系统、设备及计算机存储介质 |
| CN110311921B (zh) * | 2019-07-11 | 2022-02-25 | 南方电网科学研究院有限责任公司 | 一种配电终端加解密方法、系统、设备及计算机存储介质 |
| CN112688907A (zh) * | 2019-10-17 | 2021-04-20 | 华为技术有限公司 | 一种组合式设备远程证明模式的协商方法及相关设备 |
| CN112953718A (zh) * | 2019-11-26 | 2021-06-11 | 中国移动通信集团安徽有限公司 | Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100544247C (zh) | 2009-09-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1268088C (zh) | 基于pki的vpn密钥交换的实现方法 | |
| CN1859093A (zh) | 在ip多媒体子系统中认证用户终端的方法 | |
| US7813509B2 (en) | Key distribution method | |
| US9167422B2 (en) | Method for ensuring media stream security in IP multimedia sub-system | |
| EP2713546B1 (en) | Method and apparatuses for establishing a data transmission via sip | |
| CN1859091A (zh) | 一种基于cpk的可信连接安全认证系统和方法 | |
| CN1751533A (zh) | 在移动无线电系统中形成和分配加密密钥的方法和移动无线电系统 | |
| CN1961557A (zh) | 通信网络中的安全连接方法和系统 | |
| US20100138660A1 (en) | Secure communication session setup | |
| CN1879382A (zh) | 在设备间建立加密通信通道的方法、设备和程序 | |
| CN1668005A (zh) | 一种适合有线和无线网络的接入认证方法 | |
| CN1719795A (zh) | 无线局域网关联设备和方法以及相应产品 | |
| CN101039311A (zh) | 一种身份标识网页业务网系统及其鉴权方法 | |
| CN1870812A (zh) | Ip多媒体子系统接入域安全机制的选择方法 | |
| CN101052033A (zh) | 基于ttp的认证与密钥协商方法及其装置 | |
| CN101051898A (zh) | 无线网络端到端通信认证方法及其装置 | |
| CN1901448A (zh) | 通信网络中接入认证的系统及实现方法 | |
| CN1929371A (zh) | 用户和外围设备协商共享密钥的方法 | |
| CN1716953A (zh) | 会话初始协议认证的方法 | |
| CN101030854A (zh) | 多媒体子系统中网络实体的互认证方法及装置 | |
| CN1658551A (zh) | 安全能力协商方法 | |
| CN1977559A (zh) | 保护在用户之间进行通信期间交换的信息的方法和系统 | |
| CN101064606A (zh) | 一种用于鉴权的系统、装置及方法 | |
| CN1708018A (zh) | 一种无线局域网移动终端接入的方法 | |
| US8085937B1 (en) | System and method for securing calls between endpoints |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090923 Termination date: 20220216 |