專利名稱:多媒體子系統(tǒng)中網(wǎng)絡實體的互認證方法及裝置的制作方法
技術領域:
本發(fā)明涉及移動網(wǎng)絡安全領域,特別涉及一種IP多媒體子系統(tǒng)(IMS)中S-CSCF和P-CSCF的互認證方法及裝置。
背景技術:
IP多媒體子系統(tǒng)(IMSIP Multimedia Subsystem)是由第三代合作伙伴計劃(3GPP)和第三代合作伙伴計劃2(3GPP2)定義的IP多媒體和電話的核心網(wǎng)絡,它是接入獨立的。3GPP、歐洲電信標準協(xié)會(ETSI)和Parlay論壇描述了它的基本結構。IMS框架中定義的網(wǎng)元包括服務呼叫會話控制功能(S-CSCFServing Call SessionControl Function)、代理呼叫會話控制功能(P-CSCFProxy CallSession Control Function)、查詢呼叫會話功能(I-CSCFInterrogating Call Session Control Function),媒體網(wǎng)關控制功能(MGCFMedia Gateway Control Function)、歸屬用戶服務器(HSSHome Subscriber Server)、簽約定位服務功能(SLFSubscription Locator Function)等,還有實現(xiàn)多方會議的多媒體資源功能控制器(MRFCMultimedia Resource Function Controller)和多媒體資源功能處理器(MRFPMultimedia Resource FunctionProcessor)等功能實體。
為了保障IMS的安全,主要考慮兩種類型的安全,即用戶接入安全和IMS內部功能模塊安全。
圖1所示為3GPP2定義的IMS安全架構。
在如圖1所示的架構中,以下接口需要提供安全保護1)提供用戶和IMS網(wǎng)絡之間的雙向認證。HSS實現(xiàn)用戶設備到S-CSCF之間的鑒權功能。HSS負責產(chǎn)生密鑰,長期的密鑰存放在用戶端的安全存儲器中,由用戶私有標識(IMPI)來保存。每個用戶應該只有一個IMPI,對外可以有多個用戶公共標識(IMPU)。
2)在用戶終端(UE)和P-CSCF之間需要一條安全連接,來保證安全聯(lián)合體可以為Gm接口提供保護。這里,安全聯(lián)合體是指網(wǎng)絡上兩個或多個實體之間安全機制、參數(shù)等的協(xié)商和統(tǒng)一,Gm是指UE和P-CSCF之間的參考點。
我們還應該提供數(shù)據(jù)源認證,也就是確保收到數(shù)據(jù)的來源和它聲稱的來源相符。
3)提供網(wǎng)絡域內CSCF和HSS之間的安全。
4)跨越歸屬網(wǎng)絡和訪問網(wǎng)絡提供不同網(wǎng)絡之間的CSCF網(wǎng)絡實體之間的網(wǎng)絡域安全。
5)提供相同網(wǎng)絡內的CSCF之間的安全。我們應該注意到這個安全聯(lián)合體在P-CSCF存在于歸屬網(wǎng)絡中的情況下也適用。
其中1、2被稱為IMS接入網(wǎng)的安全,而3、4、5則是網(wǎng)絡域內功能模塊的安全。
IMS網(wǎng)絡的安全是基于用戶的私有身份以及存在卡上的密鑰。IMS定義了自己的IMS用戶識別卡(ISIM-IMS SIM)卡。ISIM是IMS中定義的一種功能載體,和現(xiàn)有手機中使用的SIM卡類似,一般用在移動終端里面,它類似于通用移動通信系統(tǒng)(UMTS-Universal MobileTelecommunications System)的UMTS用戶識別卡(USIM),里面存儲著IMS相關的安全數(shù)據(jù)和算法。ISIM存在于通用集成電路卡(UICCUniversal Integrate Circuit Card)芯片上,和USIM不共享安全函數(shù),但是它也可以和USIM共享?,F(xiàn)在標準中定義的ISIM里面主要包含以下參數(shù)●IMPIIM個人私有身份信息●IMPU一個或多個IM公開身份●用戶所屬網(wǎng)絡的域名●IMS域內的SQN序列號●認證密鑰(IMS安全的基礎)在IMS網(wǎng)絡中,只有ISIM和HSS共享這些秘密參數(shù)和算法,其他的任何網(wǎng)絡實體都不知道密鑰和私有身份IMPI。在本發(fā)明中的認證,加密和完整性保護等等都是基于這些參數(shù)。
由于IMS網(wǎng)絡采用了安全問題較多的IP技術體系,而目前的IMS尚沒有成熟的應用,不具備完善的安全機制,因此在網(wǎng)絡實體之間存在著通信安全問題,例如UE在P-CSCF成功注冊后,懷有惡意目的合法UE可能嘗試偽裝成了P-CSCF向S-CSCF發(fā)SIP消息。在此基礎上,由于P-CSCF可以同時為多個UE服務,該UE利用P-CSCF的身份,可以向S-發(fā)送使得其他用戶產(chǎn)生影響的消息。例如用戶A正在通過P-和S-通信,UE此時利用P-的身份,發(fā)送一條偽造的“用戶A請求中斷通信”的消息,S-以為這就是用戶A的請求,就使得用戶A通信中斷。這樣可能帶來以下問題1)P-CSCF不能產(chǎn)生計費信息2)攻擊其他用戶對于以上提到的問題,一般采用以下指導方針來防止非法攻擊·接入到S-CSCF的實體應該嚴格屬于核心網(wǎng)絡實體,這些核心實體只對IMS服務。應該確保UE不可以直接向限制的IMS之外的實體直接發(fā)送IP包,也就是說只可以向分配好的P-CSCF或HTTP服務器發(fā)送IP包。
·應該采取某些手段防止UE在IP層對IMS核心網(wǎng)絡實體進行偽裝,特別是對P-CSCF偽裝。
·應該在接入網(wǎng)絡提供一般的保護機制防止UE的IP地址欺騙。
為了解決以上提到的安全問題,根據(jù)指導方針的建議,主要采用某種認證方式和防止IP欺騙的方法來實現(xiàn)對于惡意UE的攻擊。
在現(xiàn)有技術中,主要采用以下兩種技術方案實現(xiàn)IMS的安全。
1.現(xiàn)有技術一IPSec ESP(IPSec封裝安全載荷)3GPP提出對IMS中各個安全域之間以及安全域內各個節(jié)點間采用IPSec ESP(IPSec封裝安全載荷)機制進行完整性、保密性以及數(shù)據(jù)源認證。IPSec首先會利用IKE密鑰交換協(xié)議建立SA安全聯(lián)盟。ESP利用SA中協(xié)定的各種安全參數(shù)(如加密算法,密鑰分配等)來進行后續(xù)通信的加密。
現(xiàn)有技術一具有的缺點如下1)IKE協(xié)商過程比較繁瑣復雜,在P-CSCF和S-CSCF認證時使用,不太適合實時通訊。
2)IKE協(xié)商需要用到預共享密鑰,這是通信雙方事先定制好的。IPSec是建立在IP基礎上的協(xié)議,對一個預共享密鑰來說,它只能建立在對方IP的基礎上,這就使得預共享密鑰認證只適用于固定IP地址的場合,限制了使用DHCP(動態(tài)主機配置協(xié)議)的網(wǎng)絡實體對該驗證方法的使用。
2.現(xiàn)有技術二邊界路由器防止IP欺騙配置邊界路由器,禁止從外網(wǎng)進入?yún)s聲明自己具有內部網(wǎng)絡IP地址的數(shù)據(jù)包通過路由器。這樣,從外部進行IP欺騙攻擊所發(fā)出的數(shù)據(jù)包就會被路由器過濾掉,從而保證目標主機的安全。在IMS中,即在訪問網(wǎng)絡和歸屬網(wǎng)絡之間的參考點使用邊界路由器。如圖2a所示,當P-CSCF屬于歸屬網(wǎng)絡時在UE與P-CSCF之間部署邊界路由器;如圖2b所示,當P-CSCF屬于訪問網(wǎng)絡時,在P和S-CSCF之間部署邊界路由器。
現(xiàn)有技術二具有如下缺點1)若P-CSCF在訪問網(wǎng)絡的情況下,S-CSCF對P-CSCF提供信任機制,即對于邊界路由器來說P-CSCF的IP是合法的。由于這種情況下P-CSCF不屬于內部網(wǎng)絡,因此若UE利用P-CSCF的IP進行欺騙,邊界路由器就不能識別。
2)邊界路由器只能對外部的IP欺騙產(chǎn)生作用,對網(wǎng)絡內部的欺騙則無能為力。
發(fā)明內容
為了解決現(xiàn)有技術中網(wǎng)絡實體間的安全問題,本發(fā)明提供了一種多媒體子系統(tǒng)中網(wǎng)絡實體的互認證方法,在認證響應實體中存儲所述認證響應實體的實體身份標識,并在歸屬用戶服務器中存儲所述實體身份標識以及所述實體身份標識與所述認證響應實體的通用資源標識的對應關系,所述方法包括以下步驟
步驟A認證發(fā)起實體獲取認證向量;步驟B所述認證發(fā)起實體向認證響應實體發(fā)送認證挑戰(zhàn),所述認證挑戰(zhàn)內容中包括所述認證向量中的參數(shù);步驟C所述認證響應實體收到所述認證挑戰(zhàn)后,解析得到所述認證向量中的參數(shù),根據(jù)所述認證向量中的參數(shù)進行運算,并將所述運算的結果通過認證響應發(fā)送給所述認證發(fā)起實體;步驟D所述認證發(fā)起實體收到所述認證響應后,根據(jù)所述認證響應的內容判斷認證是否成功。
所述實體身份標識包括認證響應實體的身份信息、認證響應實體的私有密鑰和認證響應實體所屬網(wǎng)絡的名稱。
優(yōu)選地,當用戶設備處于歸屬區(qū)狀態(tài)時,所述步驟A具體包括步驟A1所述歸屬區(qū)認證發(fā)起實體向歸屬區(qū)的歸屬用戶服務器發(fā)送認證向量請求,所述認證向量請求中包括歸屬區(qū)認證響應實體的通用資源標識;步驟A2所述歸屬區(qū)的歸屬用戶服務器根據(jù)歸屬區(qū)認證響應實體的通用資源標識查詢歸屬區(qū)認證響應實體的實體身份標識,并根據(jù)所述查詢到的實體身份標識計算認證向量,并向認證發(fā)起實體發(fā)送所述認證向量;相應地,所述步驟B、步驟C、步驟D中的認證發(fā)起實體、認證響應實體為歸屬區(qū)認證發(fā)起實體、認證響應實體。
作為本發(fā)明的另一種實施方案,當用戶設備處于漫游區(qū)時,所述步驟A具體包括步驟A1’歸屬區(qū)認證發(fā)起實體向漫游區(qū)歸屬用戶服務器請求漫游區(qū)認證響應實體實體身份標識,所述請求中包含漫游區(qū)認證響應實體的通用資源標識;步驟A2’所述漫游區(qū)歸屬用戶服務器根據(jù)所述漫游區(qū)認證響應實體的通用資源標識查詢所述漫游區(qū)認證響應實體的實體身份標識;所述漫游區(qū)歸屬用戶服務器收到所述請求后,通過所述請求中包含的漫游區(qū)認證響應實體的通用資源標識查詢漫游區(qū)認證響應實體的實體身份標識,并將所述漫游區(qū)認證響應實體的實體身份標識發(fā)送給所述歸屬區(qū)認證發(fā)起實體;步驟A3’所述歸屬區(qū)的認證發(fā)起實體根據(jù)收到的認證響應實體實體身份標識計算認證向量;相應地,所述步驟B、步驟C、步驟D中的認證發(fā)起實體為歸屬區(qū)認證發(fā)起實體,所述認證響應實體為漫游區(qū)認證響應實體。
優(yōu)選地,當用戶設備處于漫游區(qū)時,所述步驟A具體包括步驟A1”歸屬區(qū)認證發(fā)起實體向漫游區(qū)歸屬用戶服務器發(fā)送認證向量請求,所述認證向量請求中包括漫游區(qū)認證響應實體的通用資源標識;步驟A2”所述漫游區(qū)的歸屬用戶服務器根據(jù)漫游區(qū)認證響應實體的通用資源標識查詢所述漫游區(qū)認證響應實體的實體身份標識,并根據(jù)所述查詢到的實體身份標識計算認證向量,并向所述歸屬區(qū)認證發(fā)起實體發(fā)送所述認證向量;相應地,所述步驟B、步驟C、步驟D中的認證發(fā)起實體為歸屬區(qū)認證發(fā)起實體,所述認證響應實體為漫游區(qū)認證響應實體。
當用戶設備處于漫游區(qū)時,所述認證發(fā)起實體、認證響應實體為漫游區(qū)認證發(fā)起實體、認證響應實體,所述步驟A之前還包括歸屬區(qū)認證發(fā)起實體向漫游區(qū)認證發(fā)起實體發(fā)送認證請求,請求所述漫游區(qū)認證發(fā)起實體對所述漫游區(qū)認證響應實體進行認證;相應地,所述步驟D之后還包括所述漫游區(qū)認證發(fā)起實體向所述歸屬區(qū)認證發(fā)起實體傳遞認證響應實體的實體身份標識、以及所述漫游區(qū)認證發(fā)起實體和所述漫游區(qū)認證響應實體經(jīng)過步驟D認證所得的認證結果。
述認證發(fā)起實體為S-CSCF,所述認證響應實體為P-CSCF。
本發(fā)明還提供了一種多媒體子系統(tǒng)中網(wǎng)絡實體的互認證裝置,包括認證響應實體、認證發(fā)起實體和歸屬用戶服務器,還包括實體身份標識、實體身份標識以及所述實體身份標識與所述認證響應實體的通用資源標識的對應關系、認證向量獲取單元、認證挑戰(zhàn)發(fā)送單元、認證運算單元和認證判斷單元,所述認證響應實體中設有認證響應實體的實體身份標識,并在歸屬用戶服務器中設有所述實體身份標識以及所述實體身份標識與所述認證響應實體的通用資源標識的對應關系,所述認證挑戰(zhàn)發(fā)送單元和認證判斷單元位于所述認證發(fā)起實體中,所述認證運算單元和認證響應實體的實體身份標識證位于響應實體中;所述認證向量獲取單元用于認證發(fā)起實體獲取認證向量;所述認證挑戰(zhàn)發(fā)送單元用于所述認證發(fā)起實體向認證響應實體發(fā)送認證挑戰(zhàn),所述認證挑戰(zhàn)內容中包括所述認證向量;所述認證運算單元用于所述認證響應實體收到所述認證挑戰(zhàn)后,解析得到所述認證向量,根據(jù)所述認證向量進行運算,并將所述運算的結果通過認證響應發(fā)送給所述認證發(fā)起實體;所述認證判斷單元用于所述認證發(fā)起實體收到所述認證響應后,根據(jù)所述認證響應的內容判斷認證是否成功。
所述認證發(fā)起實體為S-CSCF,所述認證響應實體為P-CSCF。
本發(fā)明的有益效果如下1.AKA的認證和密鑰協(xié)商流程相對于IPSec簡單了許多,適合實時的通訊業(yè)務。
2.認證響應實體的身份標識私有密鑰K與SIP URI綁定,不存在IPSec IKE對使用DHCP(動態(tài)主機配置協(xié)議)的網(wǎng)絡實體不能采用的限制。
3.本技術方案與IPSec并無沖突,不是替代與被替代的關系,實體身份標識私有密鑰K可以作為IPSec建立安全聯(lián)盟的預共享密鑰,從而提供了良好的兼容性。
4.不存在邊界路由器對偽裝外部信任實體沒有作用的缺點,從而解決無論認證響應實體在內部歸屬網(wǎng)絡還是外部訪問網(wǎng)絡,都可以防止非法偽裝認證響應實體的問題,如UE非法偽裝成P-CSCF。
5.不存在邊界路由器防外不防內的缺點,從而防止內部網(wǎng)絡實體之間的欺騙,如P-CSCF之間的欺騙。
附圖簡要說明圖1所示為3GPP2定義的IMS安全架構;
圖2a所示為現(xiàn)有技術中P-CSCF在歸屬網(wǎng)絡時邊界路由器的部署;圖2b所示為現(xiàn)有技術中P-CSCF在訪問網(wǎng)絡時邊界路由器的部署;圖3所示為UE位于歸屬網(wǎng)絡時S-CSCF和P-CSCF認證的過程的示意圖;圖4所示為根據(jù)本發(fā)明所述認證向量產(chǎn)生示意圖;圖5為根據(jù)本發(fā)明所述認證算法的示意圖;圖6a所示為UE處于漫游狀態(tài)時S-CSCF和P-CSCF認證的過程的示意圖;圖6b所示為UE處于漫游狀態(tài)時S-CSCF和P-CSCF認證的過程的第二個實施例示意圖;圖7所示為UE處于漫游狀態(tài)時S-CSCF和P-CSCF認證過程的第三個實施例示意圖;圖8所示為本發(fā)明所述認證裝置的結構圖。
具體實施方案下面將參照附圖和實施例對本發(fā)明進行進一步說明。網(wǎng)絡實體之間的認證以P-CSCF和S-CSCF之間的認證為例。
通常,IMS把AKA(認證和密鑰協(xié)商)定為用戶和歸屬網(wǎng)絡之間的雙向認證。在本發(fā)明的實施方案中,把AKA機制引申到網(wǎng)絡實體之間的認證上來,對IMS實體中P-CSCF和S-CSCF進行雙向認證,從而較好地解決了UE偽裝成P-CSCF和S-CSCF直接發(fā)送SIP消息的問題。
在本發(fā)明提供的實施方案中,首先在P-CSCF中存儲一個實體身份標識來標志P-CSCF的身份,該實體身份標識包含以下信息●P-CSCF的身份信息●P-CSCF的私有密鑰K●P-CSCF所屬網(wǎng)絡的名稱同時,在HSS中存儲了實體身份標識、實體身份標識與該P-CSCF的會話初始協(xié)議統(tǒng)一資源標識(SIP URI)的對應關系。在后續(xù)的認證過程中,P-CSCF的私有密鑰K將作為AKA認證的預共享密鑰。
在UE在IMS網(wǎng)絡中注冊以后,UE到S-CSCF之間的信令路徑已經(jīng)建立起來。這時,UE的位置會有兩種情況位于歸屬網(wǎng)絡范圍內,和處于漫游狀態(tài)。下面采用不同實施方案分別對在這兩種情況下的S-CSCF和P-CSCF的認證情況進行詳細描述。
實施例1在UE位于歸屬區(qū),即處于非漫游狀態(tài)時,UE發(fā)送SIP消息INVITE到歸屬區(qū)P-CSCF,包含初始SDP。初始SDP可能包含一個或多個媒體。下一步歸屬區(qū)P-CSCF選擇下一跳CSCF的位置。在非漫游狀態(tài)下,下一跳是歸屬區(qū)S-CSCF。在這之前要觸發(fā)歸屬區(qū)S-CSCF和歸屬區(qū)P-CSCF的認證過程,該過程和AKA認證類似。參見圖3,認證過程如下步驟101歸屬區(qū)S-CSCF向歸屬區(qū)HSS發(fā)送認證向量請求,所述請求的內容包括要進行認證的P-CSCF的SIP URI。
步驟102歸屬區(qū)HSS根據(jù)請求注冊的歸屬區(qū)P-CSCF的通用資源標識(SIP URI)查詢到該P-CSCF的實體身份標識信息,并將其中的P-CSCF的私有密鑰作為預共享密鑰K,計算認證向量。
參見圖4,歸屬區(qū)HSS用f1~f5生成一些參數(shù),用來計算認證向量AV,AV是一個五元組,由RAND、XRES、CK、IK、AUTN組成。圖中,K是P-CSCF的私有128比特的密鑰,只有P-CSCF和HSS存儲該信息;SQN是48比特的序列號;RAND是128比特的隨機數(shù);AMF是16比特的消息認證域;MAC是函數(shù)f1生成的64比特消息認證碼;XRES是函數(shù)f2生成的64比特期待的響應值;CK是函數(shù)f3生成的128比特加密密鑰;IK是函數(shù)f4生成的128比特的完整性密鑰;AK是函數(shù)f5生成的48比特的匿名密鑰;AUTN是認證令牌;AV認證向量,即五元組。
步驟103歸屬區(qū)HSS將計算出來的認證向量返回給S-CSCF。
步驟104歸屬區(qū)S-CSCF向歸屬區(qū)P-CSCF發(fā)送認證挑戰(zhàn),包括隨機數(shù)RAND、認證令牌AUTN。
步驟105歸屬區(qū)P-CSCF收到這些后計算XMAC,并且檢驗XMAC是否等與MAC和SQN是不是在正確的范圍內。如果校驗成功,那么P-CSCF計算RES,同時計算CK和IK。
參見圖5,P-CSCF根據(jù)認證請求消息中的RAND和AUTN,首先計算匿名密鑰AK=f5k(RAND),并根據(jù)模二加得到SQN=(SQNAK)AK;接下來P-CSCF計算XMAC=f1k(SQN‖RAND‖AMF),并和AUTN中包括的MAC進行比較,如果不同表示認證不成功,可以發(fā)起一個新的認證過程或者報告失敗。如果MAC和XMAC相同,則進一步驗證SQN是否在正確的范圍內,若在正確范圍內,則計算RES,中否則將發(fā)送一個同步失敗消息,S-CSCF將同步失敗消息發(fā)送給HSS,由HSS開始同步過程。
步驟106P-CSCF將計算出來的認證參數(shù)通過認證響應消息中發(fā)送給S-CSCF。
步驟107S-CSCF將XRES和P-CSCF所發(fā)送的RES進行比較,如果比較相同,那么P-CSCF認證成功,可以進行后續(xù)通信。
步驟108S-CSCF向P-CSCF發(fā)送認證成功消息。
步驟109完成認證后,雙方確定CK、IK為分配的密鑰。
至此,P-CSCF和S-CSCF之間的認證就完成了。后續(xù)的會話消息將使用密鑰CK,IK進行加密。
在本實施例中,P-CSCF和S-CSCF之間的認證是由UE發(fā)送消息時觸發(fā)。若有必要,S-CSCF可以單獨觸發(fā)和P-CSCF之間的雙向認證。P-CSCF的身份標識私有密鑰K獨立于UE的身份標識,因此認證的觸發(fā)和UE沒有必然關系。
實施例2UE處于漫游狀態(tài)時,當漫游區(qū)P-CSCF直接向歸屬區(qū)S-CSCF請求服務時,認證過程被觸發(fā)。參見圖6a,認證過程如下步驟201歸屬區(qū)S-CSCF可根據(jù)P-CSCF發(fā)送消息中的SIP URI信息來查詢到漫游區(qū)HSS的地址,歸屬區(qū)S-CSCF向漫游區(qū)HSS索要P-CSCF實體身份標識,其過程與步驟102類似。
步驟202漫游區(qū)S-CSCF向歸屬區(qū)S-CSCF傳遞P-CSCF的實體身份標識(包括身份標識、私有密鑰K、歸屬網(wǎng)絡)。信息的傳遞采用歸屬區(qū)S-CSCF公鑰加密,并進行數(shù)字簽名,從而保證傳遞信息的私密性,完整性,真實性。
步驟203歸屬區(qū)S-CSCF根據(jù)得到的實體身份標識計算認證向量。
步驟204歸屬區(qū)S-CSCF與漫游區(qū)P-CSCF完成AKA雙向認證,該認證步驟與實施方案1的步驟相似,不再贅述。
實施例3在上述實施例中,認證向量是在S-CSCF中計算,本發(fā)明提供了另一個實施例,認證向量也可以在HSS中計算,參見圖6b所述步驟如下UE處于漫游狀態(tài)時,當漫游區(qū)P-CSCF直接向歸屬區(qū)S-CSCF請求服務時,認證過程被觸發(fā)。
步驟301歸屬區(qū)S-CSCF可根據(jù)P-CSCF發(fā)送消息中的SIP URI信息來查詢到漫游區(qū)HSS的地址,歸屬區(qū)S-CSCF向漫游區(qū)HSS發(fā)送認證向量請求;所述請求的內容包括要進行認證的P-CSCF的SIPURI。
步驟302漫游區(qū)HSS根據(jù)歸屬區(qū)P-CSCF的通用資源標識(SIPURI)查詢到該P-CSCF的實體身份標識信息,并根據(jù)其中的預共享密鑰K,計算認證向量。
步驟303漫游區(qū)HSS將計算出的認證向量返回給歸屬區(qū)S-CSCF,信息的傳遞采用歸屬區(qū)S-CSCF公鑰加密,并進行數(shù)字簽名,從而保證傳遞信息的私密性,完整性,真實性。
步驟304歸屬區(qū)S-CSCF與漫游區(qū)P-CSCF完成AKA雙向認證,該認證步驟與實施方案1的步驟相似,不再贅述。
實施方案3UE處于漫游狀態(tài)時,本發(fā)明提供了另一種互認證方法,當漫游區(qū)P-CSCF直接向歸屬區(qū)S-CSCF請求服務時,認證過程被觸發(fā)。參見圖7,認證過程如下步驟401歸屬區(qū)S-CSCF向漫游區(qū)S-CSCF發(fā)送請求,請求其對P-CSCF進行認證。
步驟402漫游區(qū)S-CSCF和P-CSCF進行AKA雙向認證。
步驟403漫游區(qū)S-CSCF向歸屬區(qū)S-CSCF傳遞P-CSCF的身份信息(包括身份標識、私有密鑰K、歸屬網(wǎng)絡)以及步驟302認證所得的通信密鑰CK和IK。信息的傳遞采用歸屬區(qū)S-CSCF公鑰加密,并進行數(shù)字簽名,從而保證傳遞信息的私密性,完整性,真實性。
步驟404歸屬區(qū)的S-CSCF與漫游區(qū)P-CSCF建立信任關系??梢杂袃煞N模式1、安全模式利用漫游區(qū)S-CSCF傳遞的P-CSCF的私有密鑰K,P-CSCF與歸屬區(qū)的S-CSCF再進行一次AKA認證。
2、快速模式漫游區(qū)P-CSCF與歸屬區(qū)S-CSCF利用CK、IK進行后續(xù)加密通信。
由于本方案AKA的認證是建立在P-CSCF身份標識私有密鑰K上的,K是在網(wǎng)絡之外事先經(jīng)過分配,從而保證了K的機密性。AKA的結果一方面使雙方互相認證,一方面協(xié)商了對后續(xù)會話加密的CK和IK。CK用來保障消息的機密性;IK用來保障完整性。
本發(fā)明還提供了一種多媒體子系統(tǒng)中網(wǎng)絡實體的互認證裝置,參見圖8,包括認證響應實體、認證發(fā)起實體和歸屬用戶服務器,還包括實體身份標識、實體身份標識以及所述實體身份標識與所述認證響應實體的通用資源標識的對應關系、認證向量獲取單元、認證挑戰(zhàn)發(fā)送單元、認證運算單元和認證判斷單元,所述認證響應實體中設有認證響應實體的實體身份標識,并在歸屬用戶服務器中設有所述實體身份標識以及所述實體身份標識與所述認證響應實體的通用資源標識的對應關系,所述認證向量獲取單元、認證挑戰(zhàn)發(fā)送單元和認證判斷單元位于所述認證發(fā)起實體中,所述認證運算單元和認證響應實體的實體身份標識證位于響應實體中。
所述認證向量獲取單元用于認證發(fā)起實體獲取認證向量;所述認證挑戰(zhàn)發(fā)送單元用于所述認證發(fā)起實體向認證響應實體發(fā)送認證挑戰(zhàn),所述認證挑戰(zhàn)內容中包括所述認證向量;所述認證運算單元用于所述認證響應實體收到所述認證挑戰(zhàn)后,解析得到所述認證向量,根據(jù)所述認證向量進行運算,并將所述運算的結果通過認證響應發(fā)送給所述認證發(fā)起實體;所述認證判斷單元用于所述認證發(fā)起實體收到所述認證響應后,根據(jù)所述認證響應的內容判斷認證是否成功。
其中認證發(fā)起實體可以是S-CSCF,認證響應實體可以是P-CSCF。
以上通過示例的方式對發(fā)明的優(yōu)選實施方案進行了詳細描述,但是本領域的普通技術人員應該認識到在不背離本發(fā)明的精神和范圍下,可以對本發(fā)明作出各種修改。
權利要求
1.一種多媒體子系統(tǒng)中網(wǎng)絡實體的互認證方法,其特征在于,在認證響應實體中存儲所述認證響應實體的實體身份標識,并在歸屬用戶服務器中存儲所述實體身份標識以及所述實體身份標識與所述認證響應實體的通用資源標識的對應關系,所述方法包括以下步驟步驟A認證發(fā)起實體獲取認證向量;步驟B所述認證發(fā)起實體向認證響應實體發(fā)送認證挑戰(zhàn),所述認證挑戰(zhàn)內容中包括所述認證向量中的參數(shù);步驟C所述認證響應實體收到所述認證挑戰(zhàn)后,解析得到所述認證向量中的參數(shù),根據(jù)所述認證向量中的參數(shù)進行運算,并將所述運算的結果通過認證響應發(fā)送給所述認證發(fā)起實體;步驟D所述認證發(fā)起實體收到所述認證響應后,根據(jù)所述認證響應的內容判斷認證是否成功。
2.如權利要求1所述的多媒體子系統(tǒng)中網(wǎng)絡實體的互認證方法,其特征在于,所述實體身份標識包括認證響應實體的身份信息、認證響應實體的私有密鑰和認證響應實體所屬網(wǎng)絡的名稱。
3.如權利要求1所述的多媒體子系統(tǒng)中網(wǎng)絡實體的互認證方法,其特征在于,當用戶設備處于歸屬區(qū)狀態(tài)時,所述步驟A具體包括步驟A1歸屬區(qū)認證發(fā)起實體向歸屬區(qū)的歸屬用戶服務器發(fā)送認證向量請求,所述認證向量請求中包括歸屬區(qū)認證響應實體的通用資源標識;步驟A2所述歸屬區(qū)的歸屬用戶服務器根據(jù)歸屬區(qū)認證響應實體的通用資源標識查詢歸屬區(qū)認證響應實體的實體身份標識,并根據(jù)所述查詢到的實體身份標識計算認證向量,并向認證發(fā)起實體發(fā)送所述認證向量;相應地,所述步驟B、步驟C、步驟D中的認證發(fā)起實體、認證響應實體為歸屬區(qū)認證發(fā)起實體、認證響應實體。
4.如權利要求1所述的多媒體子系統(tǒng)中網(wǎng)絡實體的互認證方法,其特征在于,當用戶設備處于漫游區(qū)時,所述步驟A具體包括步驟A1’歸屬區(qū)認證發(fā)起實體向漫游區(qū)歸屬用戶服務器請求漫游區(qū)認證響應實體的實體身份標識,所述請求中包含漫游區(qū)認證響應實體的通用資源標識;步驟A2’所述漫游區(qū)歸屬用戶服務器根據(jù)所述漫游區(qū)認證響應實體的通用資源標識查詢所述漫游區(qū)認證響應實體的實體身份標識;所述漫游區(qū)歸屬用戶服務器收到所述請求后,通過所述請求中包含的漫游區(qū)認證響應實體的通用資源標識查詢漫游區(qū)認證響應實體的實體身份標識,并將所述漫游區(qū)認證響應實體的實體身份標識發(fā)送給所述歸屬區(qū)認證發(fā)起實體;步驟A3’所述歸屬區(qū)的認證發(fā)起實體根據(jù)收到的認證響應實體的實體身份標識計算認證向量;相應地,所述步驟B、步驟C、步驟D中的認證發(fā)起實體為歸屬區(qū)認證發(fā)起實體,所述認證響應實體為漫游區(qū)認證響應實體。
5.如權利要求1所述的多媒體子系統(tǒng)中網(wǎng)絡實體的互認證方法,其特征在于,當用戶設備處于漫游區(qū)時,所述步驟A具體包括步驟A1”歸屬區(qū)認證發(fā)起實體向漫游區(qū)歸屬用戶服務器發(fā)送認證向量請求,所述認證向量請求中包括漫游區(qū)認證響應實體的通用資源標識;步驟A2”所述漫游區(qū)的歸屬用戶服務器根據(jù)漫游區(qū)認證響應實體的通用資源標識查詢所述漫游區(qū)認證響應實體的實體身份標識,并根據(jù)所述查詢到的實體身份標識計算認證向量,并向所述歸屬區(qū)認證發(fā)起實體發(fā)送所述認證向量;相應地,所述步驟B、步驟C、步驟D中的認證發(fā)起實體為歸屬區(qū)認證發(fā)起實體,所述認證響應實體為漫游區(qū)認證響應實體。
6.如權利要求1所述的多媒體子系統(tǒng)中網(wǎng)絡實體的互認證方法,其特征在于,當用戶設備處于漫游區(qū)時,所述認證發(fā)起實體、認證響應實體為漫游區(qū)認證發(fā)起實體、認證響應實體,所述步驟A之前還包括歸屬區(qū)認證發(fā)起實體向漫游區(qū)認證發(fā)起實體發(fā)送認證請求,請求所述漫游區(qū)認證發(fā)起實體對所述漫游區(qū)認證響應實體進行認證;相應地,所述步驟D之后還包括漫游區(qū)認證發(fā)起實體向所述歸屬區(qū)認證發(fā)起實體傳遞認證響應實體的實體身份標識、以及所述漫游區(qū)認證發(fā)起實體和所述漫游區(qū)認證響應實體經(jīng)過步驟D認證所得的認證結果。
7.如權利要求1至6中任意一項權利要求所述的多媒體子系統(tǒng)中網(wǎng)絡實體的互認證方法,其特征在于,所述認證發(fā)起實體為S-CSCF,所述認證響應實體為P-CSCF。
8.一種多媒體子系統(tǒng)中網(wǎng)絡實體的互認證裝置,包括認證響應實體、認證發(fā)起實體和歸屬用戶服務器,其特征在于,還包括實體身份標識、實體身份標識以及所述實體身份標識與所述認證響應實體的通用資源標識的對應關系、認證向量獲取單元、認證挑戰(zhàn)發(fā)送單元、認證運算單元和認證判斷單元,所述認證響應實體中設有認證響應實體的實體身份標識,并在歸屬用戶服務器中設有所述實體身份標識以及所述實體身份標識與所述認證響應實體的通用資源標識的對應關系,所述認證挑戰(zhàn)發(fā)送單元和認證判斷單元位于所述認證發(fā)起實體中,所述認證運算單元和認證響應實體的實體身份標識證位于響應實體中;所述認證向量獲取單元用于認證發(fā)起實體獲取認證向量;所述認證挑戰(zhàn)發(fā)送單元用于所述認證發(fā)起實體向認證響應實體發(fā)送認證挑戰(zhàn),所述認證挑戰(zhàn)內容中包括所述認證向量;所述認證運算單元用于所述認證響應實體收到所述認證挑戰(zhàn)后,解析得到所述認證向量,根據(jù)所述認證向量進行運算,并將所述運算的結果通過認證響應發(fā)送給所述認證發(fā)起實體;所述認證判斷單元用于所述認證發(fā)起實體收到所述認證響應后,根據(jù)所述認證響應的內容判斷認證是否成功。
9.如權利要求8所述的多媒體子系統(tǒng)中網(wǎng)絡實體的互認證裝置,其特征在于,所述認證發(fā)起實體為S-CSCF,所述認證響應實體為P-CSCF。
全文摘要
本發(fā)明提供了一種多媒體子系統(tǒng)中網(wǎng)絡實體的互認證方法及裝置,屬于網(wǎng)絡安全領域。為了解決現(xiàn)有技術中網(wǎng)絡實體間的安全問題,本發(fā)明提供了一種多媒體子系統(tǒng)中網(wǎng)絡實體的互認證方法,在認證響應實體中存儲所述認證響應實體的實體身份標識,并在歸屬用戶服務器中存儲所述實體身份標識以及所述實體身份標識與所述認證響應實體的通用資源標識的對應關系,經(jīng)過運算完成所述認證。本發(fā)明還提供了一種多媒體子系統(tǒng)中網(wǎng)絡實體的互認證裝置,包括認證響應實體、認證發(fā)起實體和歸屬用戶服務器,還包括認證向量獲取單元、認證挑戰(zhàn)發(fā)送單元、認證運算單元和認證判斷單元。本發(fā)明認證過程簡單,適合實時通訊業(yè)務。
文檔編號H04W12/06GK101030854SQ20061005797
公開日2007年9月5日 申請日期2006年3月2日 優(yōu)先權日2006年3月2日
發(fā)明者辛陽, 苗福友, 楊義先, 趙凱, 劉冰, 李鵬超 申請人:華為技術有限公司, 北京郵電大學