專利名稱:一種終端用戶安全接入軟交換網(wǎng)絡的方法
技術領域:
本發(fā)明涉及通訊領域,特別是涉及應用在基于IP通訊網(wǎng)絡體系架構����。
背景技術:
隨著互聯(lián)網(wǎng)和寬帶技術的發(fā)展,基于IP網(wǎng)絡的語音傳輸(VOIP)技術在企業(yè)網(wǎng)和公共網(wǎng)絡中得到了越來越多的應用�,但由于IP網(wǎng)絡的開放性,VOIP技術存在一些安全性問題�����,如用戶賬號欺騙�����、設備欺騙等����。針對這些安全問題,系統(tǒng)設備需要對終端用戶的身份進行驗證�����,以防止終端用戶的欺騙而造成系統(tǒng)資源被竊用�����;而終端用戶也同樣需要對系統(tǒng)設備進行驗證,以防止系統(tǒng)設備的欺騙而造成用戶信息被竊取���。
目前�����,在通信系統(tǒng)的安全體系中����,流行的做法是單向認證����,即只有系統(tǒng)對終端用戶進行認證,而終端用戶則不對系統(tǒng)進行認證���;即使有雙向認證����,也僅僅是端到端的方式��,對雙方通信鏈路之間的網(wǎng)關設備或代理設備則不作認證�,而通常情況下IP終端設備是通過邊際接入網(wǎng)關接入到軟交換核心網(wǎng)內�,因此這種情況下也非常容易導致機密信息的泄漏��;信令以明文的方式在終端與系統(tǒng)之間傳輸�,也易被其他非法設備篡取或修改����。
發(fā)明內容
本發(fā)明所要解決的技術問題在于提供一種終端用戶安全接入軟交換網(wǎng)絡的方法,用于實現(xiàn)終端用戶/邊際接入網(wǎng)關與系統(tǒng)的雙向認證���,提高系統(tǒng)的安全性能��。
為了實現(xiàn)上述目的��,本發(fā)明提供了一種終端用戶安全接入軟交換網(wǎng)絡的方法��,適用于以軟交換為基礎的IP網(wǎng)絡系統(tǒng)���,該IP網(wǎng)絡系統(tǒng)包括至少一個呼叫服務控制器、邊際接入網(wǎng)關���、安全認證服務器以及兩個以上的用戶終端��,所述邊際接入網(wǎng)關至少具備呼叫控制器與用戶終端間的信令代理功能����;其特征在于,包括如下步驟
注冊步驟���,所述用戶終端通過所述邊際接入網(wǎng)關在所述呼叫服務控制器上注冊����,實現(xiàn)在所述安全認證服務器的介入下����,所述用戶終端與呼叫服務控制器和/或所述邊際接入網(wǎng)關與所述呼叫服務控制器之間的雙向認證;信令安全傳輸步驟�,在所述用戶終端、邊際接入網(wǎng)關和呼叫服務服務器之間設置終端用戶安全層和邊際接入網(wǎng)關安全層進行信令安全傳輸�����,所述終端用戶安全層用于實現(xiàn)終端用戶與呼叫服務控制器之間的安全傳輸�,所述邊際接入網(wǎng)關安全層用于對終端用戶與呼叫服務控制器之間的信令在邊際接入網(wǎng)關與呼叫服務控制器之間進行安全傳輸。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法�����,其中����,所述終端用戶或邊際接入網(wǎng)關,至少設置有一個或一個以上的認證安全參數(shù)組����,用于提供認證、加密�、完整性保護中任意一種或幾種保護方式所需要的參數(shù)信息;對應于所述終端用戶或邊際接入網(wǎng)關的每個認證安全參數(shù)組���,在所述安全認證服務器中設置一對應的認證授權參數(shù)組�,用于提供所述終端用戶和邊際接入網(wǎng)關的認證��、加密���、完整性保護中任意一種或幾種保護方式所需要的計算信息�。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法����,其中,根據(jù)每個認證授權參數(shù)組�����,所述安全認證服務器通過計算出一個認證授權向量來進一步提供認證���、加密����、完整性保護中任意一種或幾種保護方式所需要的參數(shù)信息。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法�����,其中�����,在所述認證步驟后���,所述呼叫服務控制器保存所述邊際接入網(wǎng)關加密算法密鑰和/或完整性算法密鑰����,以及終端用戶加密算法密鑰和/或完整性算法密鑰��;并向所述邊際接入網(wǎng)關分發(fā)邊際接入網(wǎng)關加密算法密鑰和/或完整性算法密鑰��,以及終端用戶加密算法密鑰和/或完整性算法密鑰�����;向終端用戶分發(fā)終端用戶加密算法密鑰和/或完整性算法密鑰。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法���,其中,所述注冊步驟進一步包括步驟501����,終端設備發(fā)起注冊請求消息;步驟502��,邊際接入網(wǎng)關收到后將注冊請求消息轉發(fā)到呼叫服務控制器���;步驟503�,呼叫服務控制器收到注冊請求消息后��,分析獲得終端用戶和邊際接入網(wǎng)關標識信息����;步驟504,呼叫服務控制器判斷邊際接入網(wǎng)關是否已注冊�����,已注冊的話則執(zhí)行步驟508;否則呼叫服務控制器向安全認證服務器發(fā)起邊際接入網(wǎng)關認證請求�;步驟505,安全認證服務器查找邊際接入網(wǎng)關認證授權參數(shù)組���,經(jīng)過計算獲得并向呼叫服務控制器返回對應于邊際接入網(wǎng)關的所有認證授權向量���;步驟506,呼叫服務控制器從對應于邊際接入網(wǎng)關的所有認證授權向量中選取一個邊際接入網(wǎng)關認證授權向量��,在后續(xù)信令流程中對邊際接入網(wǎng)關進行認證����;呼叫服務控制器將對邊際接入網(wǎng)關驗證通過后,執(zhí)行步驟507�;否則執(zhí)行步驟513;步驟507�����,呼叫服務控制器對邊際接入網(wǎng)關進行注冊操作�,并將選中的邊際接入網(wǎng)關認證授權向量中屬于邊際接入網(wǎng)關的相關信息發(fā)送給邊際接入網(wǎng)關;步驟508�,呼叫服務控制器向安全認證服務器發(fā)起終端用戶認證請求;步驟509�����,安全認證服務器查找終端用戶認證授權參數(shù)組,經(jīng)過計算獲得并向呼叫服務控制器返回對應于終端用戶的所有認證授權向量����;步驟510,呼叫服務控制器從對應于終端用戶的所有認證授權向量中選取一個終端用戶認證授權向量�,然后經(jīng)過邊際接入網(wǎng)關信令代理功能,在后續(xù)信令流程中對終端用戶進行認證��;如果呼叫服務控制器對終端用戶認證通過���,則執(zhí)行步驟511;否則執(zhí)行步驟513�;步驟511,呼叫服務控制器進行用戶注冊�,并將終端用戶注冊成功信息、所選中的終端用戶認證授權向量中屬于邊際接入網(wǎng)關的相關信息發(fā)送給邊際接入網(wǎng)關���;步驟512����,邊際接入網(wǎng)關將終端用戶認證授權向量中屬于終端用戶的相關信息和注冊成功響應信息發(fā)送給終端用戶�����;退出流程;步驟513�����,呼叫服務控制器向邊際接入網(wǎng)關發(fā)送注冊失敗響應���;及步驟514���,邊際接入網(wǎng)關將注冊失敗響應信息發(fā)送給終端用戶。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法��,其中�,利用所述終端用戶安全層進行安全傳輸又包括如下步驟所述呼叫服務控制器采用呼叫服務控制器上與終端用戶之間的加密算法密鑰和完整性算法密鑰進行安全傳輸?shù)牟襟E對發(fā)向終端的信令,利用相應的加密算法和完整性算法進行加密處理和完整性保護���;對終端發(fā)來的信令�,則利用相應的加密算法和完整性算法進行解密處理和完整性校驗�����。
所述終端用戶采用終端用戶上與呼叫服務控制器之間的加密算法密鑰和完整性算法密鑰進行安全傳輸?shù)牟襟E對發(fā)向呼叫服務控制器的信令��,利用相應的加密算法和完整性算法進行加密處理和完整性保護;對呼叫服務控制器發(fā)來的信令��,則利用相應的加密算法和完整性算法進行解密處理和完整性校驗�。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法,其中��,利用所述邊際接入網(wǎng)關安全層進行安全傳輸又包括如下步驟所述邊際接入網(wǎng)關采用邊際接入網(wǎng)關上與呼叫服務控制器之間的加密算法密鑰和完整性算法密鑰的步驟當收到呼叫服務控制器發(fā)向用戶終端的信令后���,利用相應的加密算法和完整性算法對信令進行解密處理和完整性校驗�����,然后發(fā)送給用戶終端;同時���,將利用終端用戶上的呼叫服務控制器與終端用戶之間的加密算法密鑰和完整性算法密鑰對信令進行解密處理和完整性校驗�,獲取其中信息��;當收到用戶終端發(fā)向呼叫服務控制器的信令后���,則利用相應的加密算法和完整性算法對信令進行加密處理和完整性保護��,同時�����,將利用呼叫服務控制器上的呼叫服務控制器與終端用戶之間的加密算法密鑰和完整性算法密鑰對信令進行解密處理和完整性校驗����,獲取其中信息;所述呼叫服務控制器采用呼叫服務控制器上與邊際接入網(wǎng)關之間的加密算法密鑰信息和完整性算法密鑰的步驟對呼叫服務控制器經(jīng)過邊際接入網(wǎng)關發(fā)向用戶終端的信令�����,利用相應的加密算法和完整性算法進行加密處理和完整性保護�����;對用戶終端經(jīng)過邊際接入網(wǎng)關發(fā)向呼叫服務控制器的信令�����,則利用相應的加密算法和完整性算法進行解密處理和完整性校驗��。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法�����,其中�,還包括所述終端用戶的系統(tǒng)認證步驟在步驟501中���,注冊消息中攜帶終端用戶對系統(tǒng)認證相關信息;在步驟508中����,呼叫服務控制器同時向安全認證服務器發(fā)送終端用戶對系統(tǒng)認證請求;在步驟509中�,安全認證服務器同時向呼叫服務控制器返回終端用戶對系統(tǒng)認證信息;在步驟510中�,呼叫服務控制器在終端用戶認證流程中將終端用戶對系統(tǒng)認證信息傳送給終端,終端用戶收到后進行系統(tǒng)認證�,系統(tǒng)認證失敗則終端用戶主動退出流程,否則配合呼叫服務控制器進行終端用戶認證流程�。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法,其中���,還包括所述邊際接入網(wǎng)關的系統(tǒng)認證步驟在步驟502中�����,注冊消息中攜帶邊際接入網(wǎng)關對系統(tǒng)認證相關信息;在步驟504中�,呼叫服務控制器同時向安全認證服務器邊際接入網(wǎng)關對系統(tǒng)認證請求;在步驟505中��,安全認證服務器同時向呼叫服務控制器返回邊際接入網(wǎng)關對系統(tǒng)認證信息;在步驟506中����,呼叫服務控制器在邊際接入網(wǎng)關認證流程中將邊際接入網(wǎng)關對系統(tǒng)認證信息傳送給終端,邊際接入網(wǎng)關收到后進行系統(tǒng)認證����,系統(tǒng)認證失敗則邊際接入網(wǎng)關主動退出流程,否則配合呼叫服務控制器進行邊際接入網(wǎng)關認證流程���。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法�,其中���,所述終端用戶/邊際接入網(wǎng)關的認證安全參數(shù)組中包含密碼���,所述呼叫服務控制器設置對所述終端用戶/邊際接入網(wǎng)關密碼的單獨驗證步驟。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法��,其中�����,所述終端用戶/邊際接入網(wǎng)關認證安全參數(shù)組中包含密碼,所述密碼為密鑰的一部分����,或以所述密碼與終端/邊際接入網(wǎng)關配置的其他安全信息一起運算獲得密鑰;所述認證安全服務器以與所述密鑰獲得相同的方式獲得所述終端用戶/邊際接入網(wǎng)關密鑰����。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法,其中����,在所述步驟510中,所述呼叫服務控制器將與所述終端用戶相關的認證信息發(fā)送給所述邊際接入網(wǎng)關�����,委托所述邊際接入網(wǎng)關對所述終端用戶進行認證�,若所述邊際接入網(wǎng)關對所述終端用戶認證通過后,將所述終端用戶認證成功的消息通知給所述呼叫服務控制器�����,執(zhí)行步驟511����;否則發(fā)送所述終端認證失敗的信息給所述呼叫服務控制器�����,執(zhí)行步驟513。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法�,其中,在所述步驟510中���,所述呼叫服務控制器將所述終端用戶認證授權向量中與所述終端用戶相關的加密和完整性保護這兩個方面相關信息的一個或兩個方面的相關信息在認證步驟中發(fā)送給邊際接入網(wǎng)關����,再由邊際接入網(wǎng)關進一步地轉發(fā)給終端用戶���,從而在后續(xù)信令步驟中采用所述信令安全傳輸部分描述的方式進行信令傳輸�。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法��,其中����,在所述邊際接入網(wǎng)關進入服務狀態(tài)后發(fā)起所述邊際接入網(wǎng)關向呼叫服務控制器的注冊步驟。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法����,其中,所述安全認證服務器為所述呼叫服務控制器的邏輯功能模塊。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法�����,其中�����,所述信令安全傳輸步驟中�����,所述終端用戶安全層/邊際接入網(wǎng)關安全層采用加密��、完整性保護任意一種或兩種保護方式����。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法,其中��,所述信令安全傳輸步驟中���,所述終端用戶安全層/邊際接入網(wǎng)關安全層所需要的安全參數(shù)信息��,分別配置在所述呼叫服務控制器��、終端用戶/邊際接入網(wǎng)關中���。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法,其中�,所述信令安全傳輸步驟中,所述呼叫服務控制器與所述邊際接入網(wǎng)關之間的信令僅以所述邊際接入網(wǎng)關安全層方式傳送���。
上述的終端用戶安全接入軟交換網(wǎng)絡的方法���,其中,所述用戶終端與呼叫服務控制器和/或所述邊際接入網(wǎng)關與所述呼叫服務控制器之間的雙向認證有一定時效�,失效后需重新進行雙向認證。
采用本發(fā)明���,用戶可以安全地通過邊際接入網(wǎng)關接入到軟交換網(wǎng)絡中�,與現(xiàn)有技術相比���,本發(fā)明在呼叫服務控制器與終端用戶之間有多于一組的認證方式�;驗證用戶接入的邊際接入網(wǎng)關是否合法���;呼叫服務控制器與終端用戶之間信令傳輸可以采用加密�����、完整性保護這兩種方式中一種或兩種方式來保護��;可以實現(xiàn)終端用戶與系統(tǒng)的雙向認證�����;可以實現(xiàn)邊際接入網(wǎng)關與系統(tǒng)的雙向認證���。
以下結合附圖和具體實施例對本發(fā)明進行詳細描述���,但不作為對本發(fā)明的限定。
圖1為終端用戶接入軟交換網(wǎng)絡示意圖�;圖2為BAC注冊流程示意圖;圖3為終端用戶注冊流程示意圖��。
具體實施例方式
在本發(fā)明以軟交換技術為基礎的IP網(wǎng)絡體系架構中�����,存在至少一個核心控制設備�����,在下文中將稱之為呼叫服務控制器(CSCF);兩個以上的用戶終端設備用戶�����;一個邊際接入網(wǎng)關(BAC)�;一個安全認證服務器(SAS)�����。
在本發(fā)明中�����,一個終端用戶或一個邊際接入網(wǎng)關�����,至少有一個或一個以上的認證安全參數(shù)組���,每個認證安全參數(shù)組提供認證、加密�����、完整性保護等安全方式中的一種或幾種方式所需要的參數(shù)信息;對應于每個終端用戶或每個邊際接入網(wǎng)關的每個認證安全參數(shù)組���,在認證服務器中都將存放一個對應的認證授權參數(shù)組��,用于提供終端用戶和邊際接入網(wǎng)關的認證���、加密、完整性保護等安全方式中的一種或幾種方式所需要的計算信息����。
在本發(fā)明中,根據(jù)每個認證授權參數(shù)組����,認證服務器將最終可以計算出一個認證授權向量,提供認證��、加密�、完整性保護等安全方式中的一種或幾種方式所需要的參數(shù)信息。
在本發(fā)明中�,邊際接入網(wǎng)關至少具備呼叫服務控制器與終端用戶間的信令代理功能。
本發(fā)明所描述的方法包含兩個部分���,一個是注冊部分���,一個是信令安全傳輸部分�����。
注冊部分完成終端通過邊際接入網(wǎng)關在呼叫服務控制器上的注冊功能���,在注冊過程中實現(xiàn)在安全認證服務器的介入下,終端與呼叫服務控制器之間��、邊際接入網(wǎng)關與呼叫服務控制器之間的雙向認證�����。在認證通過后���,呼叫服務控制器保存邊際接入網(wǎng)關加密算法密鑰和完整性算法密鑰,以及終端用戶加密算法密鑰和完整性算法密鑰�����;并向邊際接入網(wǎng)關分發(fā)邊際接入網(wǎng)關加密算法密鑰和完整性算法密鑰����,以及終端用戶加密算法密鑰和完整性算法密鑰��;向終端用戶分發(fā)終端用戶加密算法密鑰和完整性算法密鑰���。具體流程如下101、終端設備發(fā)起注冊請求消息�;102、邊際接入網(wǎng)關收到后將注冊請求消息轉發(fā)到呼叫服務控制器����;103、呼叫服務控制器收到注冊請求消息后���,分析獲得終端用戶和邊際接入網(wǎng)關標識信息���;104、呼叫服務控制器判斷邊際接入網(wǎng)關是否已注冊�,已注冊的話則執(zhí)行步驟108;否則呼叫服務控制器向安全認證服務器發(fā)起邊際接入網(wǎng)關認證請求�����;105�、安全認證服務器查找邊際接入網(wǎng)關認證授權參數(shù)組,經(jīng)過計算獲得并向呼叫服務控制器返回對應于邊際接入網(wǎng)關的所有認證授權向量;106����、呼叫服務控制器從對應于邊際接入網(wǎng)關的所有認證授權向量中選取一個邊際接入網(wǎng)關認證授權向量,在后續(xù)信令流程中對邊際接入網(wǎng)關進行認證���;呼叫服務控制器將對邊際接入網(wǎng)關驗證通過后��,執(zhí)行步驟107�����;否則執(zhí)行步驟113���;107����、呼叫服務控制器對邊際接入網(wǎng)關進行注冊操作,并將選中的邊際接入網(wǎng)關認證授權向量中屬于邊際接入網(wǎng)關的相關信息發(fā)送給邊際接入網(wǎng)關�;108、呼叫服務控制器向安全認證服務器發(fā)起終端用戶認證請求���;109�、安全認證服務器查找終端用戶認證授權參數(shù)組,經(jīng)過計算獲得并向呼叫服務控制器返回對應于終端用戶的所有認證授權向量�;110、呼叫服務控制器從對應于終端用戶的所有認證授權向量中選取一個終端用戶認證授權向量�,然后經(jīng)過邊際接入網(wǎng)關信令代理功能,在后續(xù)信令流程中對終端用戶進行認證���;如果呼叫服務控制器對終端用戶認證通過��,則執(zhí)行步驟111��;否則執(zhí)行步驟113����;111�、呼叫服務控制器進行用戶注冊,并將終端用戶注冊成功信息�、所選中的終端用戶認證授權向量中屬于邊際接入網(wǎng)關的相關信息發(fā)送給邊際接入網(wǎng)關;112����、邊際接入網(wǎng)關將終端用戶認證授權向量中屬于終端用戶的相關信息和注冊成功響應信息發(fā)送給終端用戶;退出流程�����;113、呼叫服務控制器向邊際接入網(wǎng)關發(fā)送注冊失敗響應���;114����、邊際接入網(wǎng)關將注冊失敗響應信息發(fā)送給終端用戶�����。
在本發(fā)明中�,信令安全傳輸部分完成在終端、邊際接入網(wǎng)關和呼叫服務控制器之間安全傳輸信令功能�����,并將其層次劃分為終端用戶安全層�����、邊際接入網(wǎng)關安全層��。其中�,終端用戶安全層是指終端用戶與呼叫服務控制器之間的安全傳輸部分�����,邊際接入網(wǎng)關安全層則是指對終端用戶與呼叫服務控制器之間信令在邊際接入網(wǎng)關與呼叫服務控制器之間進一步進行安全保護,進行傳輸部分�。具體描述如下終端用戶安全層,是指呼叫服務控制器與終端用戶之間的明文信令采用它們之間約定的加密算法和完整性保護算法對信令進行處理���。具體的來說��,a����、呼叫服務控制器采用呼叫服務控制器上與終端用戶之間的加密算法密鑰和完整性算法密鑰對發(fā)向終端的信令�����,利用相應的加密算法和完整性算法進行加密處理和完整性保護���;對終端發(fā)來的信令��,則利用相應的加密算法和完整性算法進行解密處理和完整性校驗����。
b���、終端用戶則采用終端用戶上與呼叫服務控制器之間的加密算法密鑰和完整性算法密鑰對發(fā)向呼叫服務控制器的信令���,利用相應的加密算法和完整性算法進行加密處理和完整性保護�����;對呼叫服務控制器發(fā)來的信令��,則利用相應的加密算法和完整性算法進行解密處理和完整性校驗���。
邊際接入網(wǎng)關安全層,則是指經(jīng)過這層安全處理后的信令將在經(jīng)過第一層的安全處理后�����,呼叫服務控制器與終端用戶之間傳輸?shù)亩际敲芪男帕?�。當信令需要?jīng)過經(jīng)過邊際接入網(wǎng)關時���,呼叫服務控制器與邊際接入網(wǎng)關將采用呼叫服務控制器與邊際接入網(wǎng)關之間約定的加密算法和完整性保護算法����,再次對信令進行處理�����。具體的來說�,A、邊際接入網(wǎng)關采用邊際接入網(wǎng)關上與呼叫服務控制器之間的加密算法密鑰和完整性算法密鑰當收到呼叫服務控制器發(fā)向終端的信令后�,利用相應的加密算法和完整性算法對信令進行解密處理和完整性校驗,然后發(fā)送給終端���,同時����,還將利用終端用戶上的呼叫服務控制器與終端用戶之間的加密算法密鑰和完整性算法密鑰對信令進行解密處理和完整性校驗����,獲取其中信息;當收到終端發(fā)向呼叫服務控制器的信令后����,則利用相應的加密算法和完整性算法對信令進行加密處理和完整性保護,同時��,還將利用呼叫服務控制器上的呼叫服務控制器與終端用戶之間的加密算法密鑰和完整性算法密鑰對信令進行解密處理和完整性校驗�,獲取其中信息。
B����、呼叫服務控制器采用呼叫服務控制器上與邊際接入網(wǎng)關之間的加密算法密鑰信息和完整性算法密鑰對呼叫服務控制器經(jīng)過邊際接入網(wǎng)關發(fā)向終端的信令���,利用相應的加密算法和完整性算法進行加密處理和完整性保護;對終端經(jīng)過邊際接入網(wǎng)關發(fā)向呼叫服務控制器的信令�,則利用相應的加密算法和完整性算法進行解密處理和完整性校驗。
進一步地��,在本發(fā)明中���,終端用戶或邊際接入網(wǎng)關的每個認證安全參數(shù)組至少包含一種認證方式����,且包括了認證方式需要的參數(shù)�����;對應地���,認證服務器至少可以計算而提供的認證授權向量中至少包含一種認證方式類型���、認證碼等參數(shù)信息。
進一步地�����,在本發(fā)明中�,終端用戶或邊際接入網(wǎng)關的每個認證安全參數(shù)組可以包含一種加密方式,及加密方式所需要的參數(shù)�;對應地,認證服務器可以計算而提供的認證授權向量中包含一種加密算法類型���、加密算法密鑰等參數(shù)信息���。
進一步地,在本發(fā)明中����,終端用戶或邊際接入網(wǎng)關的每個認證安全參數(shù)組可以包含一種完整性保護方式,及完整性保護方式所需要的參數(shù)�;對應地,認證服務器可以計算而提供的認證授權向量中包含一種完整性算法類型���、完整性算法密鑰等參數(shù)信息��。
進一步地���,終端用戶也可以對系統(tǒng)進行認證��,在步驟101中的注冊消息中攜帶終端用戶對系統(tǒng)認證相關信息�;在步驟108中����,呼叫服務控制器同時向安全認證服務器發(fā)送終端用戶對系統(tǒng)認證請求;在步驟109中���,安全認證服務器同時向呼叫服務控制器返回終端用戶對系統(tǒng)認證信息���;在步驟110中,呼叫服務控制器在終端用戶認證流程中將終端用戶對系統(tǒng)認證信息傳送給終端�,終端用戶收到后進行系統(tǒng)認證,系統(tǒng)認證失敗則終端用戶主動退出流程�����,否則配合呼叫服務控制器進行終端用戶認證流程���。
進一步地��,邊際接入網(wǎng)關也可以對系統(tǒng)進行認證�,在步驟102中的注冊消息中攜帶邊際接入網(wǎng)關對系統(tǒng)認證相關信息;在步驟104中��,呼叫服務控制器同時向安全認證服務器邊際接入網(wǎng)關對系統(tǒng)認證請求���;在步驟105中���,安全認證服務器同時向呼叫服務控制器返回邊際接入網(wǎng)關對系統(tǒng)認證信息;在步驟106中�����,呼叫服務控制器在邊際接入網(wǎng)關認證流程中將邊際接入網(wǎng)關對系統(tǒng)認證信息傳送給終端�,邊際接入網(wǎng)關收到后進行系統(tǒng)認證�����,系統(tǒng)認證失敗則邊際接入網(wǎng)關主動退出流程����,否則配合呼叫服務控制器進行邊際接入網(wǎng)關認證流程。
進一步地�,終端用戶認證安全參數(shù)組中可以包括密碼,呼叫服務控制器增加對終端用戶密碼的單獨驗證流程�����。
進一步地,終端用戶認證安全參數(shù)組中可以包括密碼����,密碼充當密鑰的一部分,相應地認證安全服務器采取相同的方式獲得終端用戶密鑰密鑰�。
進一步地,終端用戶認證安全參數(shù)組中可以包括密碼����,密碼可以與終端配置的其他安全信息一起經(jīng)過運算獲得密鑰,相應地認證安全服務器采取相同的方式獲得終端用戶密鑰����。
進一步地,邊際接入網(wǎng)關認證安全參數(shù)組中可以包括密碼���,呼叫服務控制器增加對邊際接入網(wǎng)關密碼的單獨驗證流程��。
進一步地����,邊際接入網(wǎng)關認證安全參數(shù)組中可以包括密碼�,密碼充當密鑰的一部分�����,相應地認證安全服務器采取相同的方式獲得邊際接入網(wǎng)關密鑰密鑰��。
進一步地��,邊際接入網(wǎng)關認證安全參數(shù)組中可以包括密碼�����,密碼可以與邊際接入網(wǎng)關配置的其他安全信息一起經(jīng)過運算獲得密鑰�,相應地認證安全服務器采取相同的方式獲得邊際接入網(wǎng)關密鑰�����。
進一步地�����,本發(fā)明步驟104到步驟107中描述的邊際接入網(wǎng)關向呼叫服務控制器注冊流程可以單獨在本流程之前執(zhí)行����,由邊際接入網(wǎng)關進入服務狀態(tài)后發(fā)起���。
進一步地����,在步驟110中,呼叫服務控制器可以將與終端用戶相關的認證信息發(fā)送給邊際接入網(wǎng)關����,委托邊際接入網(wǎng)關對終端用戶進行認證,如果邊際接入網(wǎng)關對終端用戶認證通過后��,將終端用戶認證成功的消息通知給呼叫服務控制器����,執(zhí)行步驟111;否則發(fā)送終端認證失敗的信息給呼叫服務控制器�����,執(zhí)行步驟113�����。
進一步地�,在步驟110中,呼叫服務控制器可以將終端用戶認證授權向量中與終端用戶相關的加密和完整性保護這兩個方面相關信息的一個或兩個方面的相關信息在認證的流程中發(fā)送給邊際接入網(wǎng)關�,再由邊際接入網(wǎng)關進一步地轉發(fā)給終端用戶��,從而可以在后續(xù)信令流程中采用信令安全傳輸部分描述的方式進行信令傳輸��。
進一步地����,本發(fā)明中的安全認證服務器可以是呼叫服務控制器中的一個邏輯功能模塊�����。
進一步地����,本發(fā)明中的安全認證服務器的部分功能,可以是呼叫服務控制器中的一個邏輯功能模塊���。比如邊際接入網(wǎng)關加密部分功能、邊際接入網(wǎng)關完整性保護部分功能等����。
進一步地,本發(fā)明中的信令安全傳輸部分中�,終端用戶安全層可以采用加密、完整性保護這兩種方式中的一種或兩種方式����,或者兩種方式都不采用��。
進一步地��,本發(fā)明中的信令安全傳輸部分中���,終端用戶安全層所需要的安全參數(shù)信息,可以分別在呼叫服務控制器和終端用戶中配置好�����。
進一步地�,本發(fā)明中的信令安全傳輸部分中,邊際接入網(wǎng)關安全層可以采用加密����、完整性保護這兩種方式中的一種或兩種方式,或者兩種方式都不采用����。
進一步地,本發(fā)明中的信令安全傳輸部分中��,邊際接入網(wǎng)關安全層式所需要的安全參數(shù)信息�����,可以分別在呼叫服務控制器和邊際接入網(wǎng)關中配置好。
進一步地�����,本發(fā)明中的信令安全傳輸部分中�,可以在呼叫服務控制器與邊際接入網(wǎng)關之間的信令僅采用邊際接入網(wǎng)關安全層方式傳送,由邊際接入網(wǎng)關使用邊際接入網(wǎng)關安全層替換掉終端用戶層安全層�����。
在本實施例中�����,加密算法和完整性算法均采用對稱加密算法�,會話密鑰可以根據(jù)預先配置在通信實體和安全認證服務器上的共享密鑰直接獲得,也可以在此基礎上根據(jù)共享密鑰和隨機數(shù)來計算獲得��。
在附圖1中�,描述了終端接入軟交換網(wǎng)絡的組網(wǎng)示意圖���。其中�,UE是指終端用戶,BAC是指邊際接入網(wǎng)關�,MGC是指呼叫服務控制器,而SAS是指安全認證服務器���;圖中的虛線是指各功能實體的安全認證參數(shù)存放在SAS上���,而實線表示各功能實體之間通信連接關系。
在附圖2中���,描述了一個BAC向MGC發(fā)起注冊的流程�,詳細說明如下201���、BAC向MGC發(fā)起注冊請求�,在注冊請求消息中攜帶BAC標識�、系統(tǒng)認證隨機值RandA。
202����、MGC收到后,向安全認證服務器發(fā)送認證請求(包括BAC認證和系統(tǒng)認證)�,攜帶BAC標識和RandA;203�、安全認證服務器產(chǎn)生一個隨機數(shù)RandB�,計算出BAC認證字�、完整性保護密鑰IKbac、加密算法密鑰CKbac��,以及根據(jù)隨機數(shù)RandA計算出系統(tǒng)認證字�����。RandB����、BAC認證字和完整性保護密鑰IKbac、加密算法密鑰Ckbac��、系統(tǒng)認證字組成一個認證向量AV�����;204����、安全認證服務器向MGC發(fā)送認證成功響應消息,攜帶認證向量AV����;205、MGC將認證向量AV保存下來�;206、MGC回應BAC一個注冊失敗消息����,指示BAC重新發(fā)起注冊請求,并在消息中攜帶認證向量AV中的RandB和系統(tǒng)認證字����;207、BAC根據(jù)RandA計算出一個認證字��,與從MGC獲得的系統(tǒng)認證字比較是否一致����,一致則通過系統(tǒng)認證,然后再根據(jù)RandB計算出完整性保護密鑰IKbac����、加密算法密鑰CKbac和BAC認證字;否則退出流程�����,注冊失敗�;208、BAC向MGC重新發(fā)起注冊請求�����,在消息中攜帶BAC認證字���,并用完整性保護密鑰IKbac對消息進行完整性保護�����;
209����、MGC收到消息后�����,先進行完整性檢查����,檢查不通過則向BAC發(fā)送注冊失敗消息,執(zhí)行步驟211��;否則比較認證服務器發(fā)送過來的BAC認證字是否與從BAC發(fā)送過來的一致,不一致則向BAC發(fā)送注冊失敗消息��,執(zhí)行步驟211�����;否則對BAC進行注冊操作�����;210����、MGC向BAC發(fā)送注冊成功的消息�;211、MGC向安全認證服務器發(fā)送BAC認證結果通知����。
在附圖3中,描述了一個終端用戶向MGC發(fā)起的注冊流程����,詳細說明如下301、終端用戶UE向BAC發(fā)起注冊請求�����,在注冊請求消息中攜帶終端用戶標識、系統(tǒng)認證隨機值RandC���。
302�、BAC收到后將終端用戶注冊請求發(fā)向MGC����,并用完整性保護密鑰IKbac對消息進行完整性保護;302����、MGC收到消息后,進行完整性檢查��。檢查不通過的話則回應BAC注冊失敗�,BAC再轉發(fā)給UE,退出流程���;304����、MGC收到后�,向安全認證服務器發(fā)送認證請求(包括UE認證和系統(tǒng)認證)���,攜帶UE標識和RandC;305��、安全認證服務器產(chǎn)生一個隨機數(shù)RandD�,計算出UE認證字和加密算法密鑰IKbac,以及根據(jù)隨機數(shù)RandC計算出系統(tǒng)認證字��。RandD���、UE認證字和加密算法密鑰Ku、系統(tǒng)認證字組成一個認證向量AV�����;306�、安全認證服務器向MGC發(fā)送認證成功響應消息,攜帶認證向量AV���;307�、MGC將認證向量AV保存下來���;308����、MGC回應BAC一個UE注冊失敗消息以指示UE重新發(fā)起注冊請求,在消息中攜帶認證向量AV中的RandD和系統(tǒng)認證字���;309��、BAC收到注冊失敗消息后�,轉發(fā)給UE�����;310�����、UE根據(jù)RandC計算出一個認證字�����,與從MGC獲得的系統(tǒng)認證字比較是否一致��,一致則通過系統(tǒng)認證����,然后再根據(jù)RandD計算出加密算法密鑰和UE認證字����;否則退出流程����,注冊失敗�;311、UE向BAC重新發(fā)起注冊請求���,在消息中攜帶UE認證字��;312、BAC用IKbac對消息進行完整性保護處理�����;313����、BAC向MGC轉發(fā)UE注冊請求消息;
314�、MGC收到消息后,先進行完整性檢查��,檢查不通過則向BAC發(fā)送UE注冊失敗消息,執(zhí)行步驟316�����;否則比較認證服務器發(fā)送過來的UE認證字是否與從UE發(fā)送過來的一致�����,不一致則向BAC發(fā)送注冊失敗消息��,執(zhí)行步驟316���;否則對UE進行注冊操作�����;315���、MGC向BAC發(fā)送注冊成功的消息,并用CKbac加密認證向量AV中的Ku���,然后在消息中攜帶給BAC�;整個消息采用IKbac對消息進行完整性保護處理;316�、BAC收到MGC消息后,進行完整性檢查�。檢查通過的話,則用Ckbac解密消息中的Ku��;否則UE注冊失敗����,通知MGC注冊失敗,繼續(xù)下面的流程��;317��、BAC向UE轉發(fā)注冊結果消息�����;318�、MGC向安全認證服務器發(fā)送BAC認證結果通知���。
在實施例中�����,詳細描述了終端用戶如何安全通過邊際接入網(wǎng)關呼叫服務控制器注冊的一個流程�����,對其中涉及到的注冊信令及注冊流程方面�,僅是示意性的說明,供參考���。
采用本發(fā)明��,用戶可以安全地通過邊際接入網(wǎng)關接入到軟交換網(wǎng)絡中���,具體來說,有如下的好處1��、呼叫服務控制器與終端用戶之間有多于一組的認證方式����;2、驗證用戶接入的邊際接入網(wǎng)關是否合法��;3����、呼叫服務控制器與終端用戶之間信令傳輸可以采用加密、完整性保護這兩種方式中一種或兩種方式來保護;4���、可以實現(xiàn)終端用戶與系統(tǒng)的雙向認證�;5���、可以實現(xiàn)邊際接入網(wǎng)關與系統(tǒng)的雙向認證�����。
當然��,本發(fā)明還可有其他多種實施例�����,在不背離本發(fā)明精神及其實質的情況下�,熟悉本領域的技術人員當可根據(jù)本發(fā)明作出各種相應的改變和變形�,但這些相應的改變和變形都應屬于本發(fā)明所附的權利要求的保護范圍。
權利要求
1.一種終端用戶安全接入軟交換網(wǎng)絡的方法���,適用于以軟交換為基礎的IP網(wǎng)絡系統(tǒng)���,該IP網(wǎng)絡系統(tǒng)包括至少一個呼叫服務控制器、邊際接入網(wǎng)關��、安全認證服務器以及兩個以上的用戶終端��,所述邊際接入網(wǎng)關至少具備呼叫控制器與用戶終端間的信令代理功能����;其特征在于,包括如下步驟注冊步驟�,所述用戶終端通過所述邊際接入網(wǎng)關在所述呼叫服務控制器上注冊,實現(xiàn)在所述安全認證服務器的介入下�����,所述用戶終端與呼叫服務控制器和/或所述邊際接入網(wǎng)關與所述呼叫服務控制器之間的雙向認證�����;及信令安全傳輸步驟�,在所述用戶終端、邊際接入網(wǎng)關和呼叫服務服務器之間設置終端用戶安全層和邊際接入網(wǎng)關安全層進行信令安全傳輸�,所述終端用戶安全層用于實現(xiàn)終端用戶與呼叫服務控制器之間的安全傳輸,所述邊際接入網(wǎng)關安全層用于對終端用戶與呼叫服務控制器之間的信令在邊際接入網(wǎng)關與呼叫服務控制器之間進行安全傳輸����。
2.根據(jù)權利要求1所述的終端用戶安全接入軟交換網(wǎng)絡的方法�����,其特征在于����,所述終端用戶或邊際接入網(wǎng)關���,至少設置有一個或一個以上的認證安全參數(shù)組���,用于提供認證、加密�、完整性保護中任意一種或幾種保護方式所需要的參數(shù)信息;對應于所述終端用戶或邊際接入網(wǎng)關的每個認證安全參數(shù)組����,在所述安全認證服務器中設置一對應的認證授權參數(shù)組,用于提供所述終端用戶和邊際接入網(wǎng)關的認證���、加密���、完整性保護中任意一種或幾種保護方式所需要的計算信息。
3.根據(jù)權利要求2所述的終端用戶安全接入軟交換網(wǎng)絡的方法�����,其特征在于��,根據(jù)每個認證授權參數(shù)組���,所述安全認證服務器通過計算出一個認證授權向量來進一步提供認證�����、加密����、完整性保護中任意一種或幾種保護方式所需要的參數(shù)信息����。
4.根據(jù)權利要求1、2或3所述的終端用戶安全接入軟交換網(wǎng)絡的方法�����,其特征在于�,在所述認證步驟后,所述呼叫服務控制器保存所述邊際接入網(wǎng)關加密算法密鑰和/或完整性算法密鑰�,以及終端用戶加密算法密鑰和/或完整性算法密鑰�����;并向所述邊際接入網(wǎng)關分發(fā)邊際接入網(wǎng)關加密算法密鑰和/或完整性算法密鑰�����,以及終端用戶加密算法密鑰和/或完整性算法密鑰�����;向終端用戶分發(fā)終端用戶加密算法密鑰和/或完整性算法密鑰����。
5.根據(jù)權利要求4所述的終端用戶安全接入軟交換網(wǎng)絡的方法�����,其特征在于�����,所述注冊步驟進一步包括步驟501�����,終端設備發(fā)起注冊請求消息;步驟502�,邊際接入網(wǎng)關收到后將注冊請求消息轉發(fā)到呼叫服務控制器;步驟503��,呼叫服務控制器收到注冊請求消息后�����,分析獲得終端用戶和邊際接入網(wǎng)關標識信息�;步驟504���,呼叫服務控制器判斷邊際接入網(wǎng)關是否已注冊�,已注冊的話則執(zhí)行步驟508���;否則呼叫服務控制器向安全認證服務器發(fā)起邊際接入網(wǎng)關認證請求�;步驟505����,安全認證服務器查找邊際接入網(wǎng)關認證授權參數(shù)組,經(jīng)過計算獲得并向呼叫服務控制器返回對應于邊際接入網(wǎng)關的所有認證授權向量����;步驟506�����,呼叫服務控制器從對應于邊際接入網(wǎng)關的所有認證授權向量中選取一個邊際接入網(wǎng)關認證授權向量���,在后續(xù)信令流程中對邊際接入網(wǎng)關進行認證;呼叫服務控制器將對邊際接入網(wǎng)關驗證通過后�����,執(zhí)行步驟507�����;否則執(zhí)行步驟513��;步驟507�,呼叫服務控制器對邊際接入網(wǎng)關進行注冊操作,并將選中的邊際接入網(wǎng)關認證授權向量中屬于邊際接入網(wǎng)關的相關信息發(fā)送給邊際接入網(wǎng)關����;步驟508,呼叫服務控制器向安全認證服務器發(fā)起終端用戶認證請求�����;步驟509,安全認證服務器查找終端用戶認證授權參數(shù)組��,經(jīng)過計算獲得并向呼叫服務控制器返回對應于終端用戶的所有認證授權向量�����;步驟510�,呼叫服務控制器從對應于終端用戶的所有認證授權向量中選取一個終端用戶認證授權向量,然后經(jīng)過邊際接入網(wǎng)關信令代理功能����,在后續(xù)信令流程中對終端用戶進行認證��;如果呼叫服務控制器對終端用戶認證通過��,則執(zhí)行步驟511�;否則執(zhí)行步驟513;步驟511�,呼叫服務控制器進行用戶注冊,并將終端用戶注冊成功信息�、所選中的終端用戶認證授權向量中屬于邊際接入網(wǎng)關的相關信息發(fā)送給邊際接入網(wǎng)關;步驟512����,邊際接入網(wǎng)關將終端用戶認證授權向量中屬于終端用戶的相關信息和注冊成功響應信息發(fā)送給終端用戶����;退出流程�����;步驟513���,呼叫服務控制器向邊際接入網(wǎng)關發(fā)送注冊失敗響應�;及步驟514����,邊際接入網(wǎng)關將注冊失敗響應信息發(fā)送給終端用戶。
6.根據(jù)權利要求1所述的終端用戶安全接入軟交換網(wǎng)絡的方法����,其特征在于,利用所述終端用戶安全層進行安全傳輸又包括如下步驟所述呼叫服務控制器采用呼叫服務控制器上與終端用戶之間的加密算法密鑰和完整性算法密鑰進行安全傳輸?shù)牟襟E對發(fā)向終端的信令�����,利用相應的加密算法和完整性算法進行加密處理和完整性保護�;對終端發(fā)來的信令�����,則利用相應的加密算法和完整性算法進行解密處理和完整性校驗��。所述終端用戶采用終端用戶上與呼叫服務控制器之間的加密算法密鑰和完整性算法密鑰進行安全傳輸?shù)牟襟E對發(fā)向呼叫服務控制器的信令�,利用相應的加密算法和完整性算法進行加密處理和完整性保護����;對呼叫服務控制器發(fā)來的信令,則利用相應的加密算法和完整性算法進行解密處理和完整性校驗����。
7.根據(jù)權利要求1或6所述的終端用戶安全接入軟交換網(wǎng)絡的方法,其特征在于�����,利用所述邊際接入網(wǎng)關安全層進行安全傳輸又包括如下步驟所述邊際接入網(wǎng)關采用邊際接入網(wǎng)關上與呼叫服務控制器之間的加密算法密鑰和完整性算法密鑰的步驟當收到呼叫服務控制器發(fā)向用戶終端的信令后��,利用相應的加密算法和完整性算法對信令進行解密處理和完整性校驗�����,然后發(fā)送給用戶終端�����;同時���,將利用終端用戶上的呼叫服務控制器與終端用戶之間的加密算法密鑰和完整性算法密鑰對信令進行解密處理和完整性校驗�,獲取其中信息��;當收到用戶終端發(fā)向呼叫服務控制器的信令后��,則利用相應的加密算法和完整性算法對信令進行加密處理和完整性保護��,同時��,將利用呼叫服務控制器上的呼叫服務控制器與終端用戶之間的加密算法密鑰和完整性算法密鑰對信令進行解密處理和完整性校驗���,獲取其中信息���;所述呼叫服務控制器采用呼叫服務控制器上與邊際接入網(wǎng)關之間的加密算法密鑰信息和完整性算法密鑰的步驟對呼叫服務控制器經(jīng)過邊際接入網(wǎng)關發(fā)向用戶終端的信令,利用相應的加密算法和完整性算法進行加密處理和完整性保護����;對用戶終端經(jīng)過邊際接入網(wǎng)關發(fā)向呼叫服務控制器的信令,則利用相應的加密算法和完整性算法進行解密處理和完整性校驗�。
8.根據(jù)權利要求5所述的終端用戶安全接入軟交換網(wǎng)絡的方法�,其特征在于��,還包括所述終端用戶的系統(tǒng)認證步驟在步驟501中�,注冊消息中攜帶終端用戶對系統(tǒng)認證相關信息;在步驟508中�����,呼叫服務控制器同時向安全認證服務器發(fā)送終端用戶對系統(tǒng)認證請求�����;在步驟509中����,安全認證服務器同時向呼叫服務控制器返回終端用戶對系統(tǒng)認證信息;在步驟510中�����,呼叫服務控制器在終端用戶認證流程中將終端用戶對系統(tǒng)認證信息傳送給終端����,終端用戶收到后進行系統(tǒng)認證�����,系統(tǒng)認證失敗則終端用戶主動退出流程,否則配合呼叫服務控制器進行終端用戶認證流程���。
9.根據(jù)權利要求5或8所述的終端用戶安全接入軟交換網(wǎng)絡的方法�����,其特征在于�����,還包括所述邊際接入網(wǎng)關的系統(tǒng)認證步驟在步驟502中�����,注冊消息中攜帶邊際接入網(wǎng)關對系統(tǒng)認證相關信息��;在步驟504中�����,呼叫服務控制器同時向安全認證服務器邊際接入網(wǎng)關對系統(tǒng)認證請求����;在步驟505中,安全認證服務器同時向呼叫服務控制器返回邊際接入網(wǎng)關對系統(tǒng)認證信息���;在步驟506中��,呼叫服務控制器在邊際接入網(wǎng)關認證流程中將邊際接入網(wǎng)關對系統(tǒng)認證信息傳送給終端�,邊際接入網(wǎng)關收到后進行系統(tǒng)認證��,系統(tǒng)認證失敗則邊際接入網(wǎng)關主動退出流程����,否則配合呼叫服務控制器進行邊際接入網(wǎng)關認證流程。
10.根據(jù)權利要求1���、2��、3�����、5����、6或8所述的終端用戶安全接入軟交換網(wǎng)絡的方法�,其特征在于,所述終端用戶/邊際接入網(wǎng)關的認證安全參數(shù)組中包含密碼�,所述呼叫服務控制器設置對所述終端用戶/邊際接入網(wǎng)關密碼的單獨驗證步驟。
11.根據(jù)權利要求1��、2��、3�����、5���、6或8所述的終端用戶安全接入軟交換網(wǎng)絡的方法���,其特征在于,所述終端用戶/邊際接入網(wǎng)關認證安全參數(shù)組中包含密碼��,所述密碼為密鑰的一部分��,或以所述密碼與終端/邊際接入網(wǎng)關配置的其他安全信息一起運算獲得密鑰���;所述認證安全服務器以與所述密鑰獲得相同的方式獲得所述終端用戶/邊際接入網(wǎng)關密鑰���。
12.根據(jù)權利要求5所述的終端用戶安全接入軟交換網(wǎng)絡的方法����,其特征在于��,在所述步驟510中��,所述呼叫服務控制器將與所述終端用戶相關的認證信息發(fā)送給所述邊際接入網(wǎng)關�,委托所述邊際接入網(wǎng)關對所述終端用戶進行認證,若所述邊際接入網(wǎng)關對所述終端用戶認證通過后�����,將所述終端用戶認證成功的消息通知給所述呼叫服務控制器����,執(zhí)行步驟511;否則發(fā)送所述終端認證失敗的信息給所述呼叫服務控制器���,執(zhí)行步驟513���。
13.根據(jù)權利要求5所述的終端用戶安全接入軟交換網(wǎng)絡的方法,其特征在于�����,在所述步驟510中,所述呼叫服務控制器將所述終端用戶認證授權向量中與所述終端用戶相關的加密和完整性保護這兩個方面相關信息的一個或兩個方面的相關信息在認證步驟中發(fā)送給邊際接入網(wǎng)關�,再由邊際接入網(wǎng)關進一步地轉發(fā)給終端用戶����,從而在后續(xù)信令步驟中采用所述信令安全傳輸部分描述的方式進行信令傳輸。
14.根據(jù)權利要求5所述的終端用戶安全接入軟交換網(wǎng)絡的方法����,其特征在于,在所述邊際接入網(wǎng)關進入服務狀態(tài)后發(fā)起所述邊際接入網(wǎng)關向呼叫服務控制器的注冊步驟����。
15.根據(jù)權利要求1所述的終端用戶安全接入軟交換網(wǎng)絡的方法,其特征在于���,所述安全認證服務器為所述呼叫服務控制器的邏輯功能模塊�����。
16.根據(jù)權利要求1所述的終端用戶安全接入軟交換網(wǎng)絡的方法����,其特征在于,所述信令安全傳輸步驟中����,所述終端用戶安全層/邊際接入網(wǎng)關安全層采用加密、完整性保護任意一種或兩種保護方式�。
17.根據(jù)權利要求1所述的終端用戶安全接入軟交換網(wǎng)絡的方法,其特征在于���,所述信令安全傳輸步驟中��,所述終端用戶安全層/邊際接入網(wǎng)關安全層所需要的安全參數(shù)信息�,分別配置在所述呼叫服務控制器���、終端用戶/邊際接入網(wǎng)關中��。
18.根據(jù)權利要求1所述的終端用戶安全接入軟交換網(wǎng)絡的方法�,其特征在于��,所述信令安全傳輸步驟中�����,所述呼叫服務控制器與所述邊際接入網(wǎng)關之間的信令僅以所述邊際接入網(wǎng)關安全層方式傳送�。
19.根據(jù)權利要求1所述的終端用戶安全接入軟交換網(wǎng)絡的方法�����,其特征在于����,所述用戶終端與呼叫服務控制器和/或所述邊際接入網(wǎng)關與所述呼叫服務控制器之間的雙向認證有一定時效��,失效后需重新進行雙向認證���。
全文摘要
本發(fā)明公開了終端用戶安全接入軟交換網(wǎng)絡的方法,包括注冊���,用戶終端通過邊際接入網(wǎng)關在呼叫服務控制器上注冊�,實現(xiàn)在安全認證服務器的介入下�,用戶終端與呼叫服務控制器和/或邊際接入網(wǎng)關與呼叫服務控制器之間的雙向認證;信令安全傳輸���,在用戶終端���、邊際接入網(wǎng)關和呼叫服務服務器之間設置終端用戶安全層和邊際接入網(wǎng)關安全層進行信令安全傳輸,終端用戶安全層用于實現(xiàn)終端用戶與呼叫服務控制器之間的安全傳輸���,邊際接入網(wǎng)關安全層用于對終端用戶與呼叫服務控制器之間的信令在邊際接入網(wǎng)關與呼叫服務控制器之間進行安全傳輸�。實現(xiàn)多組認證方式、終端用戶/邊際接入網(wǎng)關與系統(tǒng)的雙向認證���;驗證邊際接入網(wǎng)關�;信令傳輸以加密�����、完整性方式保護�。
文檔編號H04L12/28GK1841998SQ20051001150
公開日2006年10月4日 申請日期2005年3月30日 優(yōu)先權日2005年3月30日
發(fā)明者胡憲利 申請人:中興通訊股份有限公司