專利名稱:一種用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通訊安全領(lǐng)域�,特別是涉及應(yīng)用在軟交換等基于IP網(wǎng)絡(luò)通信系統(tǒng)的安全體系架構(gòu)下的一種增強(qiáng)型的終端與系統(tǒng)安全交互方法����。
背景技術(shù):
隨著軟交換等IP通訊技術(shù)的發(fā)展,基于IP網(wǎng)絡(luò)的語音技術(shù)在企業(yè)網(wǎng)和公共網(wǎng)絡(luò)中得到了越來越多的應(yīng)用�����,由于IP網(wǎng)絡(luò)的開發(fā)性的設(shè)計(jì)理念�����,使得基于IP語音通訊存在一些安全性問題���,如賬號盜用����、設(shè)備欺騙����、系統(tǒng)劫持等問題。針對這些安全問題�����,要求終端接入軟交換等系統(tǒng),不但需要對用戶終端進(jìn)行認(rèn)證�,避免非法用戶的接入,而且需要終端對系統(tǒng)的認(rèn)證�����,避免終端被非法系統(tǒng)劫持��。
目前�,在通信系統(tǒng)的安全體系中,已經(jīng)有一些安全認(rèn)證流程存在���,但是由于這些流程的設(shè)計(jì)問題�,會將設(shè)備之間使用的密碼在網(wǎng)絡(luò)中采用明文(信任網(wǎng)絡(luò)中)或密文(非信任網(wǎng)絡(luò)中)進(jìn)行傳送����,使得密碼安全性大打折扣;另外由于驗(yàn)證點(diǎn)的選擇不對��,使得認(rèn)證流程中存在安全隱患��。
發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問題在于提供一種用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法�����,用于保證終端與系統(tǒng)安全認(rèn)證。
為了實(shí)現(xiàn)上述目的�����,本發(fā)明提供了一種用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法�����,應(yīng)用于以軟交換為基礎(chǔ)的IP網(wǎng)絡(luò)系統(tǒng)��,該網(wǎng)絡(luò)系統(tǒng)包括至少一個(gè)軟交換核心控制設(shè)備和寬帶接入網(wǎng)關(guān)���、多個(gè)用戶終端、安全認(rèn)證服務(wù)器�����,其特征在于���,該方法包括如下步驟步驟一����,在所述用戶終端上設(shè)置用戶終端認(rèn)證安全參數(shù)組,在所述寬帶接入網(wǎng)關(guān)設(shè)置寬帶接入網(wǎng)關(guān)認(rèn)證安全參數(shù)組�����,在所述安全認(rèn)證服務(wù)器設(shè)置與所述用戶終端認(rèn)證安全參數(shù)組對應(yīng)的用戶終端認(rèn)證授權(quán)參數(shù)組及與所述寬帶接入網(wǎng)關(guān)認(rèn)證安全參數(shù)組對應(yīng)的寬帶接入網(wǎng)關(guān)認(rèn)證授權(quán)參數(shù)組����;步驟二,將所述用戶終端通過所述寬帶接入網(wǎng)關(guān)接入至所述軟交換核心控制設(shè)備�;步驟三,所述用戶終端通過所述寬帶接入網(wǎng)關(guān)��、所述軟交換核心控制設(shè)備�����,并根據(jù)所述用戶終端認(rèn)證安全參數(shù)組對系統(tǒng)進(jìn)行認(rèn)證��;所述寬帶接入網(wǎng)關(guān)根據(jù)所述寬帶接入網(wǎng)關(guān)認(rèn)證安全參數(shù)組對所述用戶終端與所述軟交換核心控制設(shè)備之間的消息進(jìn)行安全保護(hù)�����;所述安全認(rèn)證服務(wù)器通過所述軟交換核心控制設(shè)備�、所述寬帶接入網(wǎng)關(guān),并根據(jù)所述用戶終端認(rèn)證授權(quán)參數(shù)組、所述寬帶接入網(wǎng)關(guān)認(rèn)證授權(quán)參數(shù)組對所述用戶終端進(jìn)行認(rèn)證�����。
所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法�����,其中����,所述用戶終端認(rèn)證安全參數(shù)組的個(gè)數(shù)為一個(gè)或多個(gè)���;所述寬帶接入網(wǎng)關(guān)認(rèn)證安全參數(shù)組的個(gè)數(shù)為一個(gè)或多個(gè)���。
所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法,其中�����,所述每個(gè)寬帶接入網(wǎng)關(guān)認(rèn)證安全參數(shù)組/所述每個(gè)用戶終端認(rèn)證安全參數(shù)組包括認(rèn)證�、加密、完整性保護(hù)安全方式中的一種或多種方式的參數(shù)信息���;所述每個(gè)寬帶接入網(wǎng)關(guān)認(rèn)證授權(quán)參數(shù)組/每個(gè)用戶終端認(rèn)證授權(quán)參數(shù)組分別包括對所述寬帶接入網(wǎng)關(guān)/所述用戶終端認(rèn)證���、加密���、完整性保護(hù)安全方式中的一種或多種方式所需的計(jì)算信息。
所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法����,其中,所述步驟三中��,還包括所述寬帶接入網(wǎng)關(guān)對所述用戶終端與所述軟交換核心控制設(shè)備之間的消息采用完整性保護(hù)密鑰進(jìn)行完整性保護(hù)的步驟���。
所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法����,其中����,所述步驟三中,還包括所述軟交換核心控制設(shè)備對收到的所述用戶終端發(fā)送的注冊請求消息進(jìn)行完整性檢查的步驟����,若該消息檢查不通過����,則回應(yīng)所述寬帶接入網(wǎng)關(guān)一注冊失敗信息����,所述寬帶接入網(wǎng)關(guān)將該失敗信息轉(zhuǎn)發(fā)給所述用戶終端;若該消息檢查通過��,則向所述安全認(rèn)證服務(wù)器發(fā)送包含用戶終端認(rèn)證和系統(tǒng)認(rèn)證的認(rèn)證請求�����。
所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法��,其中����,所述步驟三中����,還包括當(dāng)所述軟交換核心控制設(shè)備向所述用戶終端返回一個(gè)注冊失敗/不成功消息時(shí),所述用戶終端對系統(tǒng)的合法性進(jìn)行驗(yàn)證的步驟����。
所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法,其中,所述用戶終端通過比較根據(jù)所述用戶終端認(rèn)證安全參數(shù)組計(jì)算出的認(rèn)證字與從所述軟交換核心控制設(shè)備獲得的系統(tǒng)驗(yàn)證碼是否一致的方式對系統(tǒng)的合法性驗(yàn)證���,若不一致����,即系統(tǒng)不合法�;若一致,則通過系統(tǒng)認(rèn)證�����。
所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法�����,其中�,在所述用戶終端對系統(tǒng)的合法性進(jìn)行驗(yàn)證的步驟之后,還包括所述用戶終端重新發(fā)起含有終端驗(yàn)證碼的注冊請求消息的步驟���。
所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法����,其中�,還包括所述安全認(rèn)證服務(wù)器校驗(yàn)所述終端驗(yàn)證碼是否正確的步驟�����,若不正確/注冊失敗�����,則所述軟交換核心控制設(shè)備返回所述用戶終端一注冊失敗信息�����;若正確/注冊成功����,則發(fā)送一驗(yàn)證成功消息至所述軟交換核心控制設(shè)備���。
所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法����,其中�,還包括所述用戶終端發(fā)起注冊請求消息至所述用戶終端���、所述安全認(rèn)證服務(wù)器雙向認(rèn)證完成的步驟��,具體為步驟110���,所述用戶終端向所述寬帶接入網(wǎng)關(guān)發(fā)起注冊請求消息�;步驟120���,所述寬帶接入網(wǎng)關(guān)接收該注冊請求消息��,并將其轉(zhuǎn)發(fā)至所述軟交換核心控制設(shè)備���;步驟130,所述軟交換核心控制設(shè)備接收并分析所述注冊請求消息�,并向所述安全認(rèn)證服務(wù)器發(fā)起用戶終端認(rèn)證請求;步驟140���,所述安全認(rèn)證服務(wù)器通過查找所述用戶終端認(rèn)證授權(quán)參數(shù)組��,生成密碼信息���,并發(fā)給所述軟交換核心控制設(shè)備;步驟150���,所述軟交換核心控制設(shè)備通過分析所述注冊請求消息與接收的密碼信息生成系統(tǒng)驗(yàn)證碼�����,并通過所述寬帶接入網(wǎng)關(guān)向所述用戶終端發(fā)送注冊失敗/不成功的消息�����;步驟160����,所述用戶終端驗(yàn)證系統(tǒng)是否合法,合法后向所述寬帶接入網(wǎng)關(guān)再次發(fā)起注冊請求消息�����;步驟170�����,所述軟交換核心控制設(shè)備通過所述寬帶接入網(wǎng)關(guān)接收注冊請求消息�����,并將其轉(zhuǎn)發(fā)至所述安全認(rèn)證服務(wù)器����;及步驟180,所述安全認(rèn)證服務(wù)器對所述終端用戶進(jìn)行認(rèn)證�。
本發(fā)明在以軟交換技術(shù)為基礎(chǔ)的IP網(wǎng)絡(luò)系統(tǒng)體系架構(gòu)中,提出的用戶終端安全通過寬帶接入網(wǎng)關(guān)接入軟交換網(wǎng)絡(luò)進(jìn)行安全交互的方法���,保證終端安全認(rèn)證���。采用本發(fā)明,用戶終端可以安全地通過寬帶接入網(wǎng)關(guān)接入到軟交換網(wǎng)絡(luò)���,其有益效果具體在于1)����,安全認(rèn)證服務(wù)器與用戶終端之間有多于一組的認(rèn)證方式�;2),軟交換核心控制設(shè)備與用戶終端之間信令傳輸可以采用加密�、完整性保護(hù)兩種方式中的一種或兩種方式來保護(hù);3)�����,可以實(shí)現(xiàn)用戶終端與系統(tǒng)的雙向認(rèn)證���;4)��,安全認(rèn)證服務(wù)器作為整個(gè)系統(tǒng)接入驗(yàn)證的唯一設(shè)備�����,避免了分散認(rèn)證的安全性威脅��;5)��,加密�����、完整性密鑰生成都是在設(shè)備自身生成��,避免了密碼在網(wǎng)絡(luò)中傳送的風(fēng)險(xiǎn)����。
以下結(jié)合附圖和具體實(shí)施例對本發(fā)明進(jìn)行詳細(xì)描述,但不作為對本發(fā)明的限定�����。
圖1為本發(fā)明終端接入軟交換網(wǎng)絡(luò)的組網(wǎng)示意圖����;圖2為本發(fā)明用戶終端注冊認(rèn)證�、密碼生成流程示意圖�;圖3為本發(fā)明用戶終端發(fā)起注冊請求消息至用戶終端�、安全認(rèn)證服務(wù)器雙向認(rèn)證完成的流程示意圖。
具體實(shí)施方式下面結(jié)合附圖對技術(shù)方案的實(shí)施作進(jìn)一步的詳細(xì)描述��。
在圖1中��,描述了本發(fā)明終端接入軟交換網(wǎng)絡(luò)的組網(wǎng)示意圖��。其中���,SS(SoftSwitch)是指軟交換核心控制設(shè)備101�,IBP(Internet Border Point)是指寬帶接入網(wǎng)關(guān)102�,UE(User Equipment)是指用戶終端103,而SAS(Security AuthenticationServer)是指安全認(rèn)證服務(wù)器104��;圖中的虛線105是指各功能實(shí)體的安全認(rèn)證參數(shù)存放在安全認(rèn)證服務(wù)器SAS 104上�,而實(shí)線106表示各功能實(shí)體之間通信連接關(guān)系。
在圖1中����,以軟交換技術(shù)為基礎(chǔ)的IP網(wǎng)絡(luò)體系架構(gòu)中,存在至少一個(gè)軟交換核心控制設(shè)備101;一個(gè)或多個(gè)寬帶接入網(wǎng)關(guān)102����;多個(gè)用戶終端103;一個(gè)安全認(rèn)證服務(wù)器104�。
其中,一個(gè)用戶終端103或一個(gè)寬帶接入網(wǎng)關(guān)102���,至少有一個(gè)或一個(gè)以上的認(rèn)證安全參數(shù)組����,每個(gè)認(rèn)證安全參數(shù)組提供認(rèn)證����、加密、完整性保護(hù)等安全方式中的一種或幾種方式所需要的參數(shù)信息��;對應(yīng)于每個(gè)用戶終端103或每個(gè)寬帶接入網(wǎng)關(guān)102的每個(gè)認(rèn)證安全參數(shù)組����,在安全認(rèn)證服務(wù)器104中都將存放一個(gè)對應(yīng)的認(rèn)證授權(quán)參數(shù)組,用于提供用戶終端103和寬帶接入網(wǎng)關(guān)102的認(rèn)證、加密、完整性保護(hù)等安全方式中的一種或幾種方式所需要的計(jì)算信息�。
在圖1中����,根據(jù)每個(gè)認(rèn)證授權(quán)參數(shù)組,安全認(rèn)證服務(wù)器104將負(fù)責(zé)產(chǎn)生密碼產(chǎn)生信息�����,進(jìn)行認(rèn)證碼驗(yàn)證�。
在圖2中��,描述了一個(gè)本發(fā)明用戶終端注冊認(rèn)證���、密碼生成流程示意圖�。該流程示意圖主要描述了終端設(shè)備通過寬帶接入網(wǎng)關(guān)在軟交換核心控制設(shè)備上進(jìn)行注冊���,注冊過程中���,安全認(rèn)證服務(wù)器為終端與軟交換設(shè)備之間產(chǎn)生密碼生成的相關(guān)信息,以及完成對終端的安全性驗(yàn)證等內(nèi)容�。
用戶終端注冊認(rèn)證、密碼生成流程開始之前�,需進(jìn)行條件預(yù)設(shè)寬帶接入網(wǎng)關(guān)已經(jīng)與軟交換系統(tǒng)建立了安全通訊機(jī)制。結(jié)合圖1���,該流程圖包括步驟步驟201��,用戶終端UE 103通過寬帶接入網(wǎng)關(guān)IBP 102向軟交換核心控制設(shè)備SS 101發(fā)起注冊請求消息����,在注冊請求消息中攜帶用戶終端標(biāo)識Cid、系統(tǒng)認(rèn)證隨機(jī)數(shù)R1���。
步驟202�����,寬帶接入網(wǎng)關(guān)IBP 102收到用戶終端UE 103的注冊請求消息后�����,將其通過加密等安全的機(jī)制發(fā)送至軟交換核心控制設(shè)備SS 101����,即采用寬帶接入網(wǎng)關(guān)IBP 102與軟交換核心控制設(shè)備SS 101之間的完整性保護(hù)密鑰對消息進(jìn)行完整性保護(hù)��。
步驟203�,軟交換核心控制設(shè)備SS 101收到注冊請求消息后,進(jìn)行完整性檢查��,通過解密得到UE標(biāo)識Cid、系統(tǒng)認(rèn)證隨機(jī)數(shù)R1和寬帶接入網(wǎng)關(guān)標(biāo)識Aid�。若檢查不通過的話,則回應(yīng)寬帶接入網(wǎng)關(guān)IBP 102注冊失敗�����,寬帶接入網(wǎng)關(guān)IBP 102再轉(zhuǎn)發(fā)給用戶終端UE 103����,退出流程。
步驟204�,軟交換核心控制設(shè)備SS 101收到用戶終端UE 103的注冊請求消息后�,若檢查通過的話,向安全認(rèn)證服務(wù)器SAS 104發(fā)送認(rèn)證請求(包括UE認(rèn)證和系統(tǒng)認(rèn)證)�����,該請求攜帶UE標(biāo)識Cid和系統(tǒng)認(rèn)證隨機(jī)數(shù)R1�����。
步驟205����,安全認(rèn)證服務(wù)器SAS 104查找用戶終端認(rèn)證授權(quán)參數(shù)組�����,經(jīng)過計(jì)算獲得一個(gè)隨機(jī)數(shù)R2���、密碼生成算法/方法,并發(fā)送至軟交換核心控制設(shè)備SS 101��。
步驟206����,軟交換核心控制設(shè)備SS 101根據(jù)分別從用戶終端103和安全認(rèn)證服務(wù)器SAS 104上收到的隨機(jī)數(shù)R1、R2�、密碼生成算法以及預(yù)先分配的終端與軟交換之間的共享密鑰SKcs,生成終端與軟交換之間完整性算法密鑰IKCS����,加密算法密鑰CKCS,生成隨機(jī)數(shù)R3����,然后根據(jù)R1+SKcs+Cid+R3,生成系統(tǒng)驗(yàn)證碼���。
步驟207��,軟交換核心控制設(shè)備SS 101通過寬帶接入網(wǎng)關(guān)IBP 102向用戶終端UE103返回一個(gè)UE注冊失敗/不成功消息�,以指示UE 103重新發(fā)起注冊請求消息,在該消息中攜帶/包含R2����、R3、系統(tǒng)驗(yàn)證碼及密碼生成算法�,同時(shí),寬帶接入網(wǎng)關(guān)采用完整性保護(hù)密鑰對消息進(jìn)行完整性保護(hù)/檢查����。
步驟208,驗(yàn)證系統(tǒng)是否合法�;UE 103首先根據(jù)R1+SKcs+Cid+R3計(jì)算出一個(gè)認(rèn)證字,比較其與從軟交換核心控制設(shè)備SS 101獲得的系統(tǒng)驗(yàn)證碼是否一致���,若不一致,即系統(tǒng)不合法��,則返回步驟201�����;若一致�,則通過系統(tǒng)認(rèn)證���,然后再根據(jù)R1、R3生成終端與軟交換之間完整性算法密鑰IKCS���、加密算法密鑰CKCS���。
步驟209,UE 103通過寬帶接入網(wǎng)關(guān)IBP 102重新發(fā)起注冊請求消息���,注冊請求消息中包含Cid�����、隨機(jī)數(shù)R4以及終端驗(yàn)證碼(終端與安全中心共享密鑰SKcs���、隨機(jī)數(shù)R2、R4生成)�,注冊請求消息中的相關(guān)信息通過相關(guān)的密鑰進(jìn)行安全處理。
步驟210���,寬帶接入網(wǎng)關(guān)IBP 102采用IBP 102與SS 101之間的完整性保護(hù)密鑰對消息進(jìn)行完整性保護(hù)轉(zhuǎn)發(fā)給軟交換核心控制設(shè)備SS 101�����。
步驟211�����,軟交換核心控制設(shè)備SS 101收到注冊請求消息后��,先進(jìn)行完整性檢查�,若檢查不通過,則通過寬帶接入網(wǎng)關(guān)IBP 102發(fā)送UE注冊失敗消息�,執(zhí)行步驟207。若檢查通過�����,經(jīng)分析得到包含Cid��、隨機(jī)數(shù)R4以及終端驗(yàn)證碼�;并將這些消息發(fā)送給安全認(rèn)證服務(wù)器SAS 104,該消息包含隨機(jī)數(shù)R4�、終端驗(yàn)證字����。
步驟212,安全認(rèn)證服務(wù)器SAS 104校驗(yàn)終端的驗(yàn)證碼是否正確��,如果不正確/不成功/注冊失敗,返回認(rèn)證失敗���,轉(zhuǎn)步驟207執(zhí)行���;如果正確/注冊成功,發(fā)送驗(yàn)證成功消息至軟交換核心控制設(shè)備SS 101�。
步驟213,軟交換核心控制設(shè)備SS 101向?qū)拵Ы尤刖W(wǎng)關(guān)IBP 102發(fā)送注冊成功的消息����。
步驟214,寬帶接入網(wǎng)關(guān)IBP 102收到SS 101消息后�,采用完整性保護(hù)密鑰對消息進(jìn)行完整性保護(hù)/檢查。
步驟215�����,寬帶接入網(wǎng)關(guān)IBP 102向用戶終端UE 103轉(zhuǎn)發(fā)注冊結(jié)果消息�。
請參閱圖3所示,為本發(fā)明用戶終端發(fā)起注冊請求消息至用戶終端�����、安全認(rèn)證服務(wù)器雙向認(rèn)證完成的流程示意圖。結(jié)合圖2�,該流程包括如下步驟步驟310,用戶終端UE 103向?qū)拵Ы尤刖W(wǎng)關(guān)IBP 102發(fā)起一注冊請求消息�;步驟320,寬帶接入網(wǎng)關(guān)IBP 102接收該注冊請求消息�,并將其轉(zhuǎn)發(fā)至軟交換核心控制設(shè)備SS 101;步驟330����,軟交換核心控制設(shè)備SS 101接收并分析所述注冊請求消息,并向安全認(rèn)證服務(wù)器SAS 104發(fā)起一用戶終端認(rèn)證請求�����;步驟340�,安全認(rèn)證服務(wù)器SAS 104通過查找所述用戶終端認(rèn)證授權(quán)參數(shù)組,生成密碼信息����,并發(fā)給軟交換核心控制設(shè)備SS 101;步驟350���,軟交換核心控制設(shè)備SS 101通過分析所述注冊請求消息與接收的密碼信息生成系統(tǒng)驗(yàn)證碼�,并通過寬帶接入網(wǎng)關(guān)IBP 102向用戶終端UE 103發(fā)送一注冊失敗/不成功的消息����;步驟360,用戶終端UE 103驗(yàn)證系統(tǒng)是否合法�,合法后向?qū)拵Ы尤刖W(wǎng)關(guān)IBP 102再次發(fā)起注冊請求消息;步驟370���,軟交換核心控制設(shè)備SS 101通過寬帶接入網(wǎng)關(guān)IBP 102接收注冊請求消息����,并將其轉(zhuǎn)發(fā)至安全認(rèn)證服務(wù)器SAS 104�����;及步驟380�,安全認(rèn)證服務(wù)器SAS 104對所述終端用戶進(jìn)行認(rèn)證。
在本實(shí)施例中���,加密算法和完整性算法均采用對稱加密算法���,會話密鑰可以根據(jù)預(yù)先配置在通信實(shí)體和安全認(rèn)證服務(wù)器上的共享密鑰直接獲得,也可以在此基礎(chǔ)上根據(jù)共享密鑰和隨機(jī)數(shù)來計(jì)算獲得�����。
在本實(shí)施例中,詳細(xì)描述了用戶終端如何安全通過寬帶接入網(wǎng)關(guān)注冊軟交換的一個(gè)安全流程和密碼生成方法�,對其中涉及到信令等方面,僅是示意性的說明�,供參考。
在本發(fā)明中����,信令安全傳輸部分完成在用戶終端、軟交換控制設(shè)備之間安全傳輸信令功能以及安全認(rèn)證的功能����,實(shí)現(xiàn)安全認(rèn)證流程,以及加密密鑰和完整性密鑰的安全生成���,增強(qiáng)了安全性要求���。
當(dāng)然,本發(fā)明還可有其他多種實(shí)施例����,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形���,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求
的保護(hù)范圍�����。
權(quán)利要求
1.一種用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法�,應(yīng)用于以軟交換為基礎(chǔ)的IP網(wǎng)絡(luò)系統(tǒng)�,該網(wǎng)絡(luò)系統(tǒng)包括至少一個(gè)軟交換核心控制設(shè)備和寬帶接入網(wǎng)關(guān)、多個(gè)用戶終端��、安全認(rèn)證服務(wù)器�,其特征在于,該方法包括如下步驟步驟一�����,在所述用戶終端上設(shè)置用戶終端認(rèn)證安全參數(shù)組���,在所述寬帶接入網(wǎng)關(guān)設(shè)置寬帶接入網(wǎng)關(guān)認(rèn)證安全參數(shù)組�,在所述安全認(rèn)證服務(wù)器設(shè)置與所述用戶終端認(rèn)證安全參數(shù)組對應(yīng)的用戶終端認(rèn)證授權(quán)參數(shù)組及與所述寬帶接入網(wǎng)關(guān)認(rèn)證安全參數(shù)組對應(yīng)的寬帶接入網(wǎng)關(guān)認(rèn)證授權(quán)參數(shù)組�����;步驟二���,將所述用戶終端通過所述寬帶接入網(wǎng)關(guān)接入至所述軟交換核心控制設(shè)備�����;步驟三�,所述用戶終端通過所述寬帶接入網(wǎng)關(guān)、所述軟交換核心控制設(shè)備���,并根據(jù)所述用戶終端認(rèn)證安全參數(shù)組對系統(tǒng)進(jìn)行認(rèn)證��;所述寬帶接入網(wǎng)關(guān)根據(jù)所述寬帶接入網(wǎng)關(guān)認(rèn)證安全參數(shù)組對所述用戶終端與所述軟交換核心控制設(shè)備之間的消息進(jìn)行安全保護(hù)�����;所述安全認(rèn)證服務(wù)器通過所述軟交換核心控制設(shè)備�、所述寬帶接入網(wǎng)關(guān)��,并根據(jù)所述用戶終端認(rèn)證授權(quán)參數(shù)組����、所述寬帶接入網(wǎng)關(guān)認(rèn)證授權(quán)參數(shù)組對所述用戶終端進(jìn)行認(rèn)證。
2.根據(jù)權(quán)利要求
1所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法���,其特征在于�����,所述用戶終端認(rèn)證安全參數(shù)組的個(gè)數(shù)為一個(gè)或多個(gè)����;所述寬帶接入網(wǎng)關(guān)認(rèn)證安全參數(shù)組的個(gè)數(shù)為一個(gè)或多個(gè)。
3.根據(jù)權(quán)利要求
2所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法�����,其特征在于��,所述每個(gè)寬帶接入網(wǎng)關(guān)認(rèn)證安全參數(shù)組/所述每個(gè)用戶終端認(rèn)證安全參數(shù)組包括認(rèn)證���、加密、完整性保護(hù)安全方式中的一種或多種方式的參數(shù)信息��;所述每個(gè)寬帶接入網(wǎng)關(guān)認(rèn)證授權(quán)參數(shù)組/每個(gè)用戶終端認(rèn)證授權(quán)參數(shù)組分別包括對所述寬帶接入網(wǎng)關(guān)/所述用戶終端認(rèn)證���、加密��、完整性保護(hù)安全方式中的一種或多種方式所需的計(jì)算信息���。
4.根據(jù)權(quán)利要求
2或3所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法,其特征在于��,所述步驟三中,還包括所述寬帶接入網(wǎng)關(guān)對所述用戶終端與所述軟交換核心控制設(shè)備之間的消息采用完整性保護(hù)密鑰進(jìn)行完整性保護(hù)的步驟��。
5.根據(jù)權(quán)利要求
2或3所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法���,其特征在于��,所述步驟三中��,還包括所述軟交換核心控制設(shè)備對收到的所述用戶終端發(fā)送的注冊請求消息進(jìn)行完整性檢查的步驟��,若該消息檢查不通過��,則回應(yīng)所述寬帶接入網(wǎng)關(guān)一注冊失敗信息���,所述寬帶接入網(wǎng)關(guān)將該失敗信息轉(zhuǎn)發(fā)給所述用戶終端;若該消息檢查通過���,則向所述安全認(rèn)證服務(wù)器發(fā)送包含用戶終端認(rèn)證和系統(tǒng)認(rèn)證的認(rèn)證請求��。
6.根據(jù)權(quán)利要求
2或3所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法�����,其特征在于��,所述步驟三中���,還包括當(dāng)所述軟交換核心控制設(shè)備向所述用戶終端返回一個(gè)注冊失敗/不成功消息時(shí)���,所述用戶終端對系統(tǒng)的合法性進(jìn)行驗(yàn)證的步驟。
7.根據(jù)權(quán)利要求
6所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法���,其特征在于���,所述用戶終端通過比較根據(jù)所述用戶終端認(rèn)證安全參數(shù)組計(jì)算出的認(rèn)證字與從所述軟交換核心控制設(shè)備獲得的系統(tǒng)驗(yàn)證碼是否一致的方式對系統(tǒng)的合法性驗(yàn)證,若不一致����,即系統(tǒng)不合法��;若一致����,則通過系統(tǒng)認(rèn)證。
8.根據(jù)權(quán)利要求
6所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法���,其特征在于����,在所述用戶終端對系統(tǒng)的合法性進(jìn)行驗(yàn)證的步驟之后,還包括所述用戶終端重新發(fā)起含有終端驗(yàn)證碼的注冊請求消息的步驟�����。
9.根據(jù)權(quán)利要求
8所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法�,其特征在于,還包括所述安全認(rèn)證服務(wù)器校驗(yàn)所述終端驗(yàn)證碼是否正確的步驟�,若不正確/注冊失敗,則所述軟交換核心控制設(shè)備返回所述用戶終端一注冊失敗信息��;若正確/注冊成功��,則發(fā)送一驗(yàn)證成功消息至所述軟交換核心控制設(shè)備�。
10.根據(jù)權(quán)利要求
2或3所述的用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法,其特征在于�����,還包括所述用戶終端發(fā)起注冊請求消息至所述用戶終端�����、所述安全認(rèn)證服務(wù)器雙向認(rèn)證完成的步驟,具體為步驟110�����,所述用戶終端向所述寬帶接入網(wǎng)關(guān)發(fā)起注冊請求消息��;步驟120��,所述寬帶接入網(wǎng)關(guān)接收該注冊請求消息�����,并將其轉(zhuǎn)發(fā)至所述軟交換核心控制設(shè)備���;步驟130���,所述軟交換核心控制設(shè)備接收并分析所述注冊請求消息,并向所述安全認(rèn)證服務(wù)器發(fā)起用戶終端認(rèn)證請求���;步驟140,所述安全認(rèn)證服務(wù)器通過查找所述用戶終端認(rèn)證授權(quán)參數(shù)組���,生成密碼信息��,并發(fā)給所述軟交換核心控制設(shè)備��;步驟150�����,所述軟交換核心控制設(shè)備通過分析所述注冊請求消息與接收的密碼信息生成系統(tǒng)驗(yàn)證碼���,并通過所述寬帶接入網(wǎng)關(guān)向所述用戶終端發(fā)送注冊失敗/不成功的消息���;步驟160,所述用戶終端驗(yàn)證系統(tǒng)是否合法�����,合法后向所述寬帶接入網(wǎng)關(guān)再次發(fā)起注冊請求消息���;步驟170��,所述軟交換核心控制設(shè)備通過所述寬帶接入網(wǎng)關(guān)接收注冊請求消息��,并將其轉(zhuǎn)發(fā)至所述安全認(rèn)證服務(wù)器��;及步驟180��,所述安全認(rèn)證服務(wù)器對所述終端用戶進(jìn)行認(rèn)證�。
專利摘要
本發(fā)明公開了一種用戶終端接入軟交換網(wǎng)絡(luò)的安全交互方法,應(yīng)用于以軟交換為基礎(chǔ)的IP網(wǎng)絡(luò)系統(tǒng)����,該方法包括步驟步驟一,在用戶終端上設(shè)置用戶終端認(rèn)證安全參數(shù)組����,在寬帶接入網(wǎng)關(guān)設(shè)置寬帶接入網(wǎng)關(guān)認(rèn)證安全參數(shù)組,在安全認(rèn)證服務(wù)器設(shè)置與用戶終端認(rèn)證安全參數(shù)組對應(yīng)的用戶終端認(rèn)證授權(quán)參數(shù)組及與寬帶接入網(wǎng)關(guān)認(rèn)證安全參數(shù)組對應(yīng)的寬帶接入網(wǎng)關(guān)認(rèn)證授權(quán)參數(shù)組�����;步驟二�����,將用戶終端通過寬帶接入網(wǎng)關(guān)接入至軟交換核心控制設(shè)備��;步驟三��,用戶終端系統(tǒng)進(jìn)行認(rèn)證���;寬帶接入網(wǎng)關(guān)根據(jù)寬帶接入網(wǎng)關(guān)認(rèn)證安全參數(shù)組對用戶終端與軟交換核心控制設(shè)備之間的消息進(jìn)行安全保護(hù)�����;安全認(rèn)證服務(wù)器對用戶終端進(jìn)行認(rèn)證���。本發(fā)明采用多種認(rèn)證方式實(shí)現(xiàn)了安全的雙向認(rèn)證。
文檔編號H04L9/32GK1992710SQ200510130751
公開日2007年7月4日 申請日期2005年12月27日
發(fā)明者權(quán)海斌, 趙軍鋒, 曹剛 申請人:中興通訊股份有限公司導(dǎo)出引文BiBTeX, EndNote, RefMan