安全通信的方法及裝置的制造方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種安全通信的方法及裝置,涉及信息技術(shù)領(lǐng)域,可以提高用戶設(shè)備與P?CSCF之間交互的信息進(jìn)行加密的安全性,進(jìn)而可以提高用戶設(shè)備與P?CSCF進(jìn)行通信的安全性。所述方法包括:首先服務(wù)呼叫會(huì)話控制功能S?CSCF向用戶歸屬服務(wù)器HSS發(fā)送獲取鑒權(quán)向量請(qǐng)求信息,其次,HSS根據(jù)impi,確定impi對(duì)應(yīng)的根密鑰,并根據(jù)根密鑰,生成多組共享密鑰,并將多組共享密鑰,發(fā)送至代理呼叫會(huì)話控制功能P?CSCF,然后P?CSCF根據(jù)多組共享密鑰,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsec SA組,最后P?CSCF將生成的多個(gè)IPsec SA組,發(fā)送至用戶設(shè)備用戶設(shè)備,以使得用戶設(shè)備以及P?CSCF之間采用不同的IPsecSA進(jìn)行通信。本發(fā)明適用于用戶設(shè)備以及P?CSCF根據(jù)不同的IPsec SA組,進(jìn)行安全通信。
【專(zhuān)利說(shuō)明】
安全通信的方法及裝置
技術(shù)領(lǐng)域
[0001 ]本發(fā)明涉及信息技術(shù)領(lǐng)域,特別涉及一種安全通信的方法及裝置。
【背景技術(shù)】
[0002]用戶在通過(guò)網(wǎng)絡(luò)之間互連的協(xié)議多媒體子系統(tǒng)(英文全稱(chēng):InternetProtocolMultimedia Subsystem,英文縮寫(xiě):IMS)網(wǎng)絡(luò)進(jìn)行服務(wù)之前,需要進(jìn)行IMS-認(rèn)證與密鑰協(xié)商協(xié)議(英文全稱(chēng):Authenticat1n and Key Agreement,英文縮寫(xiě):AKA)注冊(cè),以實(shí)現(xiàn)用戶設(shè)備對(duì)網(wǎng)絡(luò)以及網(wǎng)絡(luò)對(duì)用戶設(shè)備的安全性認(rèn)證。其中JMS-AKA注冊(cè)包括:初始注冊(cè)以及鑒權(quán)注冊(cè),初始注冊(cè)為用戶設(shè)備對(duì)網(wǎng)絡(luò)進(jìn)行安全性認(rèn)證,鑒權(quán)注冊(cè)為網(wǎng)絡(luò)對(duì)用戶設(shè)備進(jìn)行安全性認(rèn)證,認(rèn)證成功之后,用戶設(shè)備與MS網(wǎng)絡(luò)之間進(jìn)行安全通信。其中,頂S網(wǎng)絡(luò)中包括:代理呼叫會(huì)話控制功能(英文全稱(chēng):Proxy-Call Sess1n Control Funt1n,英文縮寫(xiě):P-CSCF)。其中,初始注冊(cè)之后,用戶設(shè)備以及P-CSCF分別獲取加密密鑰(英文全稱(chēng):CipherKey,英文縮寫(xiě):CK)以及完整性密鑰(英文全稱(chēng):Integrity Key,英文縮寫(xiě):IK),并分別通過(guò)共享密鑰CK以及IK生成網(wǎng)絡(luò)協(xié)議安全性(英文全稱(chēng):Internet Protocol Security,英文縮寫(xiě):IPsec)安全關(guān)聯(lián)(英文全稱(chēng):Security Associat1n,英文縮寫(xiě):SA)組,用戶設(shè)備與P-CSCF通過(guò)IPsec SA組對(duì)用戶設(shè)備與P-CSCF之間的交互的信息進(jìn)行加密,以實(shí)現(xiàn)安全通信。
[0003]然而,當(dāng)用戶設(shè)備以及P-CSCF通過(guò)CK以及IK生成IPsec SA組,并通過(guò)該IPsec SA組進(jìn)行安全通信時(shí),由于用戶設(shè)備以及P-CSCF獲取一組共享密鑰CK以及IK,生成一個(gè)IPsecSA組,用戶設(shè)備與P-CSCF僅能通過(guò)該一個(gè)IPsec SA組對(duì)用戶設(shè)備與P-CSCF之間交互的信息進(jìn)行安全加密,從而導(dǎo)致用戶設(shè)備與P-CSCF之間交互的信息進(jìn)行加密的安全性較低,進(jìn)而導(dǎo)致用戶設(shè)備與P-CSCF之間進(jìn)行通信的安全性較低。
【發(fā)明內(nèi)容】
[0004]本發(fā)明提供一種安全通信的方法及裝置,可以提高用戶設(shè)備與P-CSCF之間交互的信息進(jìn)行加密的安全性,進(jìn)而可以提高用戶設(shè)備與P-CSCF之間進(jìn)行通信的安全性。
[0005]本發(fā)明采用的技術(shù)方案為:
[0006]第一方面,本發(fā)明提供了一種安全通信的方法,包括:
[0007]服務(wù)呼叫會(huì)話控制功能S-CSCF向用戶歸屬服務(wù)器HSS發(fā)送獲取鑒權(quán)向量請(qǐng)求信息,所述鑒權(quán)向量請(qǐng)求信息中攜帶有所述IP多媒體私有標(biāo)識(shí)impi ;
[0008]所述HSS根據(jù)所述impi,確定所述impi對(duì)應(yīng)的根密鑰;
[0009]所述HSS根據(jù)所述根密鑰,生成多組共享密鑰,所述共享密鑰包括:加密密鑰CK以及完整性密鑰IK;
[0010]所述HSS將所述多組共享密鑰,發(fā)送至代理呼叫會(huì)話控制功能P-CSCF;
[0011]所述P-CSCF根據(jù)所述多組共享密鑰,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsecSA組;
[0012]所述P-CSCF將生成的所述多個(gè)IPsecSA組,發(fā)送至用戶設(shè)備,以使得所述用戶設(shè)備以及所述P-CSCF之間采用不同的IPs ec SA進(jìn)行通信。
[0013]第二方面,本發(fā)明提供了一種安全通信的裝置,包括:
[0014]第一發(fā)送單元,位于服務(wù)呼叫會(huì)話控制功能S-CSCF中,用于向用戶歸屬服務(wù)器HSS發(fā)送獲取鑒權(quán)向量請(qǐng)求信息,所述鑒權(quán)向量請(qǐng)求信息中攜帶有所述IP多媒體私有標(biāo)識(shí)impi ;
[0015]第一確定單元,位于所述HSS中,用于根據(jù)所述impi,確定所述impi對(duì)應(yīng)的根密鑰;
[0016]第一生成單元,位于所述HSS中,用于根據(jù)所述根密鑰,生成多組共享密鑰,所述共享密鑰包括:加密密鑰CK以及完整性密鑰IK;
[0017]第二發(fā)送單元,位于所述HSS中,用于將所述多組共享密鑰,發(fā)送至代理呼叫會(huì)話控制功能P-CSCF;
[0018]第二生成單元,位于所述P-CSCF中,用于根據(jù)所述多組共享密鑰,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsec SA組;
[0019]第三發(fā)送單元,位于所述P-CSCF中,用于將生成的所述多個(gè)IPsecSA組,發(fā)送至用戶設(shè)備,以使得所述用戶設(shè)備以及所述P-CSCF之間采用不同的IPsec SA進(jìn)行通信。
[0020]本發(fā)明提供的安全通信的方法及裝置,首先服務(wù)呼叫會(huì)話控制功能S-CSCF向用戶歸屬服務(wù)器HSS發(fā)送獲取鑒權(quán)向量請(qǐng)求信息,其中,鑒權(quán)向量請(qǐng)求信息中攜帶有IP多媒體私有標(biāo)識(shí)impi,其次,HSS根據(jù)impi,確定impi對(duì)應(yīng)的根密鑰,并根據(jù)根密鑰,生成多組共享密鑰,其中,共享密鑰包括:加密密鑰CK以及完整性密鑰IK,并將多組共享密鑰,發(fā)送至代理呼叫會(huì)話控制功能P-CSCF,然后P-CSCF根據(jù)多組共享密鑰,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsec SA組,最后P-CSCF將生成的多個(gè)IPsec SA組,發(fā)送至用戶設(shè)備用戶設(shè)備,以使得用戶設(shè)備以及P-CSCF之間采用不同的IPsec SA進(jìn)行通信。與目前當(dāng)用戶設(shè)備以及P-CSCF通過(guò)CK以及IK生成IPsec SA組,并通過(guò)該IPsec SA組進(jìn)行安全通信時(shí)相比,本發(fā)明HSS通過(guò)根密鑰,生成多組共享密鑰CK以及IK,并將該多組共享密鑰,發(fā)送至P-CSCF,P-CSCF能夠根據(jù)該多組共享密鑰,生成多個(gè)IPsec SA組,以使得用戶設(shè)備與P-CSCF可以通過(guò)不同的IPsec SA組對(duì)用戶設(shè)備與P-CSCF之間交互的信息進(jìn)行加密,從而可以提高用戶設(shè)備與P-CSCF之間交互的信息進(jìn)行加密的安全性,進(jìn)而可以提高用戶設(shè)備與P-CSCF進(jìn)行通信的安全性。
【附圖說(shuō)明】
[0021]為了更清楚地說(shuō)明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)本發(fā)明或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其它的附圖。
[0022]圖1為本發(fā)明實(shí)施例中安全通信的系統(tǒng)示意圖;
[0023]圖2為本發(fā)明實(shí)施例中一種安全通信的方法流程圖;
[0024]圖3為本發(fā)明實(shí)施例中另一種安全通信的方法流程圖;
[0025]圖4為本發(fā)明實(shí)施例中又一種安全通信的方法流程圖;
[0026]圖5為本發(fā)明實(shí)施例中又一種安全通信的方法流程圖;
[0027]圖6為本發(fā)明實(shí)施例中又一種安全通信的方法流程圖;
[0028]圖7為本發(fā)明實(shí)施例中一種安全通信的裝置示意圖;
[0029]圖8為本發(fā)明實(shí)施例中另一種安全通信的裝置示意圖。
【具體實(shí)施方式】
[0030]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其它實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0031]本發(fā)明實(shí)施例提供一種安全通信的方法,應(yīng)用于安全通信的系統(tǒng),如圖1所示,該安全通信的系統(tǒng)包括:用戶設(shè)備、代理呼叫會(huì)話控制功能(英文全稱(chēng):Proxy-Call Sess1nControl Funt1n,英文縮寫(xiě):P-CSCF)、查詢呼叫會(huì)話控制功能(英文全稱(chēng):Interrogating-Call Sess1n Control Funt1n,英文縮寫(xiě):1-CSCF)、用戶歸屬服務(wù)器(英文全稱(chēng):HomeSubscriber Server,英文縮寫(xiě):HSS)以及服務(wù)呼叫會(huì)話控制功能(英文全稱(chēng):Service-CalISess1n Control Funt1n,英文縮寫(xiě):S-CSCF),其中,用戶設(shè)備與P-CSCF進(jìn)行信息交互,P-CSCF與1-CSCF進(jìn)行信息交互,1-CSCF與S-CSCF進(jìn)行信息交互,S-CSCF與HSS進(jìn)行信息交互。
[0032]本發(fā)明實(shí)施例提供了一種安全通信的方法,能夠提高用戶設(shè)備與P-CSCF之間交互的信息進(jìn)行加密的安全性,進(jìn)而可以提高用戶設(shè)備與P-CSCF之間進(jìn)行通信的安全性,如圖2所示,所述方法包括:
[0033]201、服務(wù)呼叫會(huì)話控制功能S-CSCF向用戶歸屬服務(wù)器HSS發(fā)送獲取鑒權(quán)向量請(qǐng)求
?目息O
[0034]其中,鑒權(quán)向量請(qǐng)求信息中攜帶有IP多媒體私有標(biāo)識(shí)impi。
[0035]對(duì)于本發(fā)明實(shí)施例,鑒權(quán)向量請(qǐng)求消息中還攜帶有IP多媒體公共標(biāo)識(shí)(英文全稱(chēng):IP Multimedia Public Identity,英文縮寫(xiě):impu),其中,IP多媒體私有標(biāo)識(shí)(英文全稱(chēng):1P Multimedia Private Identity,英文縮寫(xiě):impi)以及impu為被IMS網(wǎng)絡(luò)使用的兩種身份,impi以及impu都不是電話號(hào)碼或其它序列的數(shù)字,而是URIs,impi以及impu能夠是數(shù)字或文字?jǐn)?shù)字組成的標(biāo)識(shí)符。例如,impi可以為+1-555-123-4567或者sip: nameOdomain.com。
[0036]202、HSS根據(jù)impi,確定impi對(duì)應(yīng)的根密鑰。
[°037 ] 對(duì)于本發(fā)明實(shí)施例,不同的imp i對(duì)應(yīng)不同的根密鑰,確定該imp i對(duì)應(yīng)的根密鑰,并生成隨機(jī)數(shù)RAND、AUTN以及xRes。
[0038]203、HSS根據(jù)根密鑰,生成多組共享密鑰。
[0039]其中,共享密鑰包括:加密密鑰CK以及完整性密鑰IK。
[0040]對(duì)于本發(fā)明實(shí)施例,HSS中存儲(chǔ)有多種算法,HSS根據(jù)該根密鑰,按照不同種算法,生成多組共享密鑰。
[0041 ] 204、HSS將多組共享密鑰,發(fā)送至代理呼叫會(huì)話控制功能P-CSCF。
[0042]對(duì)于本發(fā)明實(shí)施例,HSS將多組共享密鑰、RAND、AUTN、xRes,發(fā)送至S-CSCF,S-CSCF存儲(chǔ)xRes,并將攜帶有上述多組共享密鑰、RAND以及AUTN的401未授權(quán)響應(yīng)信息通過(guò)1-CSCF發(fā)送至P-CSCF。
[0043]205、P_CSCF根據(jù)多組共享密鑰,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsec SA組。
[0044]對(duì)于本發(fā)明實(shí)施例,P-CSCF中存儲(chǔ)有SIP安全機(jī)制列表、用戶設(shè)備的受保護(hù)客戶端端口(Uc I )、用戶設(shè)備的受保護(hù)服務(wù)端端口(us I),以及P-CSCF的受保護(hù)的客戶端端口(pci)、P-CSCF的受保護(hù)的服務(wù)端端口(psl)。在本發(fā)明實(shí)施例中,P-CSCF將多組共享密鑰、RAND、Uc 1、us 1、pc I以及ps I,按照自身支持的SIP安全機(jī)制列表中的算法組合,分別生成不同的IPsec SA組。
[0045]206、P_CSCF將生成的多個(gè)IPsec SA組,發(fā)送至用戶設(shè)備,以使得用戶設(shè)備以及P-CSCF之間采用不同的IPsec SA進(jìn)行通信。
[0046]對(duì)于本發(fā)明實(shí)施例,由于P-CSCF與用戶設(shè)備之間進(jìn)行信息交互,均需要按照IPsecSA將交互信息進(jìn)行加密。在本發(fā)明實(shí)施例中,由于用戶設(shè)備與P-CSCF分別存在多種加密算法,因此用戶設(shè)備與P-CSCF之間能夠采用不同的IPsec SA組對(duì)交互信息進(jìn)行加密,以實(shí)現(xiàn)安全通信。
[0047]本發(fā)明實(shí)施例提供的安全通信的方法,首先服務(wù)呼叫會(huì)話控制功能S-CSCF向用戶歸屬服務(wù)器HSS發(fā)送獲取鑒權(quán)向量請(qǐng)求信息,其中,鑒權(quán)向量請(qǐng)求信息中攜帶有IP多媒體私有標(biāo)識(shí)impi,其次,HSS根據(jù)impi,確定impi對(duì)應(yīng)的根密鑰,并根據(jù)根密鑰,生成多組共享密鑰,其中,共享密鑰包括:加密密鑰CK以及完整性密鑰IK,并將多組共享密鑰,發(fā)送至代理呼叫會(huì)話控制功能P-CSCF,然后P-CSCF根據(jù)多組共享密鑰,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsec SA組,最后P-CSCF將生成的多個(gè)IPsec SA組,發(fā)送至用戶設(shè)備用戶設(shè)備,以使得用戶設(shè)備以及P-CSCF之間采用不同的IPsec SA進(jìn)行通信。與目前當(dāng)用戶設(shè)備以及P-CSCF通過(guò)CK以及IK生成IPsec SA組,并通過(guò)該IPsec SA組進(jìn)行安全通信時(shí)相比,本發(fā)明實(shí)施例HSS通過(guò)根密鑰,生成多組共享密鑰CK以及IK,并將該多組共享密鑰,發(fā)送至P-CSCF,P-CSCF能夠根據(jù)該多組共享密鑰,生成多個(gè)IPsec SA組,以使得用戶設(shè)備與P-CSCF可以通過(guò)不同的IPsec SA組對(duì)用戶設(shè)備與P-CSCF之間交互的信息進(jìn)行加密,從而可以提高用戶設(shè)備與P-CSCF之間交互的信息進(jìn)行加密的安全性,進(jìn)而可以提高用戶設(shè)備與P-CSCF進(jìn)行通信的安全性。
[0048]本發(fā)明實(shí)施例的另一種可能的實(shí)現(xiàn)方式,在如圖2所示的基礎(chǔ)上,步驟201、服務(wù)呼叫會(huì)話控制功能S-CSCF向用戶歸屬服務(wù)器HSS發(fā)送獲取鑒權(quán)向量請(qǐng)求信息,之前還包括如圖3所示的步驟301-303。
[0049]301、用戶設(shè)備向P-CSCF發(fā)送初始注冊(cè)請(qǐng)求消息。
[0050]其中,初始注冊(cè)請(qǐng)求消息攜帶有imp1、用戶設(shè)備支持的SIP安全機(jī)制列表、用戶設(shè)備的受保護(hù)客戶端端口 ucl、用戶設(shè)備的受保護(hù)服務(wù)端端口 usl。
[0051 ]對(duì)于本發(fā)明實(shí)施例,ucl與usl為用戶設(shè)備與P-CSCF進(jìn)行信息交互的端口。在本發(fā)明實(shí)施例中,初始注冊(cè)請(qǐng)求信息中還攜帶有impu。
[0052]對(duì)于本發(fā)明實(shí)施例,SIP安全機(jī)制列表可以為安全性保護(hù)算法以及加密算法的任意組合。其中,安全性保護(hù)算法可以為hmac-sha-1-96或者h(yuǎn)mac-md5_96,加密算法可以為aes-cbc或者des-ede3_sbc或者null ο
[0053]302、P_CSCF存儲(chǔ)用戶設(shè)備支持的SIP安全機(jī)制列表、ucl以及usl。
[0054]303、P-CSCF將攜帶有impi的初始注冊(cè)請(qǐng)求消息,發(fā)送至S-CSCF。
[0055]本發(fā)明實(shí)施例的另一種可能的實(shí)現(xiàn)方式,在如圖2或3所示的基礎(chǔ)上,步驟202、HSS根據(jù)impi,確定impi對(duì)應(yīng)的根密鑰,之后還包括如圖4所示的步驟401,步驟203、HSS根據(jù)根密鑰,生成多組共享密鑰,之后還包括如圖4所示的步驟402。
[0056]401、HSS 生成隨機(jī)數(shù) RAND。
[0057]對(duì)于本發(fā)明實(shí)施例,HSS在根據(jù)impi確定隨機(jī)數(shù)的同時(shí),生成RAND。
[0058]402、HSS 將 RAND 發(fā)送至 P-CSCF。
[0059]對(duì)于本發(fā)明實(shí)施例,HSS可以在發(fā)送共享密鑰的同時(shí),將RAND發(fā)送至S-CSCF,S-CSCF將RAND攜帶在401未授權(quán)響應(yīng)信息中通過(guò)1-CSCF發(fā)送至P-CSCF。
[0060]本發(fā)明實(shí)施例的另一種可能的實(shí)現(xiàn)方式,在如圖4所示的基礎(chǔ)上,步驟205、P_CSCF根據(jù)多組共享密鑰,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsec SA組,具體包括如圖5所示的步驟501-503。
[0061]501、P_CSCF從用戶設(shè)備支持的SIP安全列表中,選擇自身支持的算法組合。
[0062]其中,用戶設(shè)備支持的SIP安全機(jī)制列表為用戶設(shè)備支持的算法組合,算法組合包括:安全性算法以及加密算法。
[0063]對(duì)于本發(fā)明實(shí)施例,由于用戶設(shè)備與P-CSCF支持的SIP安全列表中算法組合不同,因此用戶設(shè)備將自身支持的SIP安全機(jī)制列表發(fā)送至P-CSCF,以使得P-CSCF從中選擇自身支持的算法組合,形成P-CSCF支持的SIP安全機(jī)制列表。
[0064]例如,用戶設(shè)備支持的SIP安全機(jī)制列表中包括:安全性算法I以及加密算法I組成的算法組合、安全性算法2以及加密算法2組成的算法組合、安全性算法3以及加密算法3組成的算法組合,P-CSCF從上述算法組合中選擇安全性算法I以及加密算法I組成的算法組合、安全性算法2以及加密算法2組成的算法組合作為自身支持的SIP安全機(jī)制列表。
[0065]502、P_CSCF確定多組共享密鑰分別對(duì)應(yīng)自身支持的算法組合。
[0066]例如,共享密鑰I對(duì)應(yīng)安全性算法I以及加密算法I組成的算法組合,共享密鑰2對(duì)應(yīng)安全性算法2以及加密算法2組成的算法組合。
[0067]503、P_CSCF根據(jù)多組共享密鑰、多組共享密鑰分別對(duì)應(yīng)自身支持的算法組合、1^仰、此1、1181以及?-030?的控制端口?(31、?-030?的服務(wù)端口?81,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsec SA組。
[0068]對(duì)于本發(fā)明實(shí)施例,由于需要將RAND、ucl、uSl、pcl、多組共享密鑰,根據(jù)對(duì)應(yīng)的算法組合,生成多個(gè)IPsec SA組。
[0069]對(duì)于本發(fā)明實(shí)施例,P-CSCF從用戶設(shè)備支持的SIP安全機(jī)制列表中選擇自身支持的算法組合,并確定多組共享密鑰分別對(duì)應(yīng)的算法組合,能夠根據(jù)多組共享密鑰以及多組共享密鑰分別對(duì)應(yīng)的算法組合,生成不同的IPsec SA組,從而可以根據(jù)不同的IPsec SA組,對(duì)用戶設(shè)備與P-CSCF之間的交互信息進(jìn)行加密,進(jìn)而可以提高用戶設(shè)備與P-CSCF之間通信的安全性。
[0070]本發(fā)明實(shí)施例的另一種可能的實(shí)現(xiàn)方式,在如圖5所示的基礎(chǔ)上,步驟503、P_CSCF根據(jù)多組共享密鑰、多組共享密鑰分別對(duì)應(yīng)自身支持的算法組合、RAND、ucl、usl以及P-CSCF的控制端口pc1、P-CSCF的服務(wù)端口psl,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsec SA組,之前還包括如圖6所示的步驟601,步驟206、P-CSCF將生成的多個(gè)IPsec SA組,發(fā)送至用戶設(shè)備,以使得用戶設(shè)備以及P-CSCF之間采用不同的IPsec SA進(jìn)行通信,具體包括如圖6所示的步驟602。
[0071]601、P_CSCF 確定 pci 以及 psl。
[0072]602、P_CSCF將生成的多個(gè)IPsec SA組,發(fā)送至用戶設(shè)備,以使得用戶設(shè)備以及P-CSCF根據(jù)觸發(fā)策略,選擇不同IPsec SA組,進(jìn)行通信。
[0073]對(duì)于本發(fā)明實(shí)施例,觸發(fā)策略可以包括:定時(shí)切換以及新會(huì)話切換。其中,定時(shí)切換為用戶設(shè)備或P-CSCF啟動(dòng)定時(shí)器,在定時(shí)器時(shí)間到時(shí)觸發(fā)選擇其他備用IPsec SA組以及對(duì)應(yīng)的加密方式完成后續(xù)的通信;新會(huì)話切換為每次有具體業(yè)務(wù)時(shí)觸發(fā)選擇其他備用IPsec SA組以及對(duì)應(yīng)的加密方式完成后續(xù)的通信。
[0074]對(duì)于本發(fā)明實(shí)施例,用戶設(shè)備在鑒權(quán)注冊(cè)過(guò)程中可以按照優(yōu)先級(jí)選擇一個(gè)IPsecSA組對(duì)鑒權(quán)注冊(cè)請(qǐng)求信息進(jìn)行加密,在鑒權(quán)注冊(cè)完成后,用戶設(shè)備或者P-CSCF根據(jù)觸發(fā)策略,選擇另一個(gè)IPsec SA組,并向?qū)Ψ桨l(fā)送通知信息,以告知對(duì)方選擇進(jìn)行交互信息加密的IPsec SA組,用戶設(shè)備或P-CSCF用上述另一個(gè)IPsec SA組對(duì)用戶設(shè)備與P-CSCF之間的交互信息進(jìn)行加密,以實(shí)現(xiàn)安全通信。
[0075]對(duì)于本發(fā)明實(shí)施例,用戶設(shè)備以及P-CSCF根據(jù)不同的觸發(fā)策略,能夠選擇不同的IPsec SA組對(duì)用戶設(shè)備以及P-CSCF之間的交互信息進(jìn)行加密,避免用戶設(shè)備以及P-CSCF使用同一個(gè)IPsec SA組,對(duì)用戶設(shè)備與P-CSCF之間交互的信息進(jìn)行加密,從而可以進(jìn)一步地提高用戶設(shè)備與P-CSCF之間交互的信息進(jìn)行加密的安全性,進(jìn)而可以進(jìn)一步地提高用戶設(shè)備與P-CSCF進(jìn)行通信的安全性。
[0076]進(jìn)一步地,本發(fā)明實(shí)施例提供了另一種安全通信的方法,P-CSCF從用戶設(shè)備支持的SIP安全機(jī)制列表中選擇自身支持的算法組合,并確定多組共享密鑰分別對(duì)應(yīng)的算法組合,能夠根據(jù)多組共享密鑰以及多組共享密鑰分別對(duì)應(yīng)的算法組合,生成不同的IPsec SA組,從而可以根據(jù)不同的IPsec SA組,對(duì)用戶設(shè)備與P-CSCF之間的交互信息進(jìn)行加密,進(jìn)而可以提高用戶設(shè)備與P-CSCF之間通信的安全性;用戶設(shè)備以及P-CSCF根據(jù)不同的觸發(fā)策略,能夠選擇不同的IPsec SA組對(duì)用戶設(shè)備以及P-CSCF之間的交互信息進(jìn)行加密,避免用戶設(shè)備以及P-CSCF使用同一個(gè)IPsec SA組,對(duì)用戶設(shè)備與P-CSCF之間交互的信息進(jìn)行加密,從而可以進(jìn)一步地提高用戶設(shè)備與P-CSCF之間交互的信息進(jìn)行加密的安全性,進(jìn)而可以進(jìn)一步地提高用戶設(shè)備與P-CSCF進(jìn)行通信的安全性。
[0077]作為對(duì)圖2、圖3、圖4、圖5及圖6所示方法的實(shí)現(xiàn),本發(fā)明實(shí)施例還提供了一種安全通信的裝置,用于提高用戶設(shè)備與P-CSCF之間交互的信息進(jìn)行加密的安全性,進(jìn)而可以進(jìn)一步地提高用戶設(shè)備與P-CSCF進(jìn)行通信的安全性,如圖7所示,所述裝置包括:第一發(fā)送單元71、第一確定單元72、第一生成單元73、第二發(fā)送單元74、第二生成單元75、第三發(fā)送單元76 ο
[0078]第一發(fā)送單元71,位于服務(wù)呼叫會(huì)話控制功能S-CSCF中,用于向用戶歸屬服務(wù)器HSS發(fā)送獲取鑒權(quán)向量請(qǐng)求信息。
[0079]其中,鑒權(quán)向量請(qǐng)求信息中攜帶有IP多媒體私有標(biāo)識(shí)impi。
[0080]第一確定單元72,位于HSS中,用于根據(jù)impi,確定impi對(duì)應(yīng)的根密鑰。
[0081]第一生成單元73,位于HSS中,用于根據(jù)根密鑰,生成多組共享密鑰。
[0082]其中,共享密鑰包括:加密密鑰CK以及完整性密鑰IK。
[0083]第二發(fā)送單元74,位于HSS中,用于將多組共享密鑰,發(fā)送至代理呼叫會(huì)話控制功能P-CSCFο
[0084]第二生成單元75,位于P-CSCF中,用于根據(jù)多組共享密鑰,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsec SA組。
[0085]第三發(fā)送單元76,位于P-CSCF中,用于將生成的多個(gè)IPsec SA組,發(fā)送至用戶設(shè)備,以使得用戶設(shè)備以及P-CSCF之間采用不同的IPsec SA進(jìn)行通信。
[0086]進(jìn)一步地,如圖8所示,裝置還包括:第四發(fā)送單元81、存儲(chǔ)單元82。
[0087]第四發(fā)送單元81,位于用戶設(shè)備中,用于向P-CSCF發(fā)送初始注冊(cè)請(qǐng)求消息。
[0088]其中,初始注冊(cè)請(qǐng)求消息攜帶有imp1、用戶設(shè)備支持的SIP安全機(jī)制列表、用戶設(shè)備的受保護(hù)客戶端端口 ucl、用戶設(shè)備的受保護(hù)服務(wù)端端口 usl。
[0089]存儲(chǔ)單元82,位于P-CSCF中,用于存儲(chǔ)用戶設(shè)備支持的SIP安全機(jī)制列表、ucl以及usl ο
[°09°]第三發(fā)送單元76,位于P-CSCF中,還用于將攜帶有impi的初始注冊(cè)請(qǐng)求消息,發(fā)送至S-CSCFο
[0091]第一生成單元73,位于HSS中,還用于生成隨機(jī)數(shù)RAND。
[0092]第二發(fā)送單元74,位于HSS中,還用于將RAND發(fā)送至P-CSCF。
[0093]第二生成單元75,位于P-CSCF中,具體用于從用戶設(shè)備支持的SIP安全列表中,選擇自身支持的算法組合。
[0094]其中,用戶設(shè)備支持的SIP安全機(jī)制列表為用戶設(shè)備支持的算法組合,算法組合包括:安全性算法以及加密算法。
[0095]第二生成單元75,位于P-CSCF中,具體還用于確定多組共享密鑰分別對(duì)應(yīng)自身支持的算法組合。
[0096]第二生成單元75,位于P-CSCF中,具體還用于根據(jù)多組共享密鑰、多組共享密鑰分別對(duì)應(yīng)自身支持的算法組合、RAND、Uc 1、us I以及P-CSCF的控制端口 pc 1、P-CSCF的服務(wù)端口psl,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsec SA組。
[0097]進(jìn)一步地,如圖8所示,裝置還包括:第二確定單元83。
[0098]第二確定單元83,位于P-CSCF中,用于確定pci以及psl。
[0099]第三發(fā)送單元76,位于P-CSCF中,用于將生成的多個(gè)IPsec SA組,發(fā)送至用戶設(shè)備,以使得用戶設(shè)備以及P-CSCF根據(jù)觸發(fā)策略,選擇不同IPsec SA組,進(jìn)行通信。
[0100]本發(fā)明實(shí)施例提供的安全通信的裝置,首先服務(wù)呼叫會(huì)話控制功能S-CSCF向用戶歸屬服務(wù)器HSS發(fā)送獲取鑒權(quán)向量請(qǐng)求信息,其中,鑒權(quán)向量請(qǐng)求信息中攜帶有IP多媒體私有標(biāo)識(shí)impi,其次,HSS根據(jù)impi,確定impi對(duì)應(yīng)的根密鑰,并根據(jù)根密鑰,生成多組共享密鑰,其中,共享密鑰包括:加密密鑰CK以及完整性密鑰IK,并將多組共享密鑰,發(fā)送至代理呼叫會(huì)話控制功能P-CSCF,然后P-CSCF根據(jù)多組共享密鑰,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsec SA組,最后P-CSCF將生成的多個(gè)IPsec SA組,發(fā)送至用戶設(shè)備用戶設(shè)備,以使得用戶設(shè)備以及P-CSCF之間采用不同的IPsec SA進(jìn)行通信。與目前當(dāng)用戶設(shè)備以及P-CSCF通過(guò)CK以及IK生成IPsec SA組,并通過(guò)該IPsec SA組進(jìn)行安全通信時(shí)相比,本發(fā)明實(shí)施例HSS通過(guò)根密鑰,生成多組共享密鑰CK以及IK,并將該多組共享密鑰,發(fā)送至P-CSCF,P-CSCF能夠根據(jù)該多組共享密鑰,生成多個(gè)IPsec SA組,以使得用戶設(shè)備與P-CSCF可以通過(guò)不同的IPsec SA組對(duì)用戶設(shè)備與P-CSCF之間交互的信息進(jìn)行加密,從而可以提高用戶設(shè)備與P-CSCF之間交互的信息進(jìn)行加密的安全性,進(jìn)而可以提高用戶設(shè)備與P-CSCF進(jìn)行通信的安全性。
[0101]進(jìn)一步地,本發(fā)明實(shí)施例提供了另一種安全通信的裝置,P-CSCF從用戶設(shè)備支持的SIP安全機(jī)制列表中選擇自身支持的算法組合,并確定多組共享密鑰分別對(duì)應(yīng)的算法組合,能夠根據(jù)多組共享密鑰以及多組共享密鑰分別對(duì)應(yīng)的算法組合,生成不同的IPsec SA組,從而可以根據(jù)不同的IPsec SA組,對(duì)用戶設(shè)備與P-CSCF之間的交互信息進(jìn)行加密,進(jìn)而可以提高用戶設(shè)備與P-CSCF之間通信的安全性;用戶設(shè)備以及P-CSCF根據(jù)不同的觸發(fā)策略,能夠選擇不同的IPsec SA組對(duì)用戶設(shè)備以及P-CSCF之間的交互信息進(jìn)行加密,避免用戶設(shè)備以及P-CSCF使用同一個(gè)IPsec SA組,對(duì)用戶設(shè)備與P-CSCF之間交互的信息進(jìn)行加密,從而可以進(jìn)一步地提高用戶設(shè)備與P-CSCF之間交互的信息進(jìn)行加密的安全性,進(jìn)而可以進(jìn)一步地提高用戶設(shè)備與P-CSCF進(jìn)行通信的安全性。
[0102]需要說(shuō)明的是,本發(fā)明實(shí)施例中提供的安全通信的裝置中各單元所對(duì)應(yīng)的其他相應(yīng)描述,可以參考圖2至圖6中的對(duì)應(yīng)描述,在此不再贅述。
[0103]本發(fā)明實(shí)施例提供的安全通信的裝置可以實(shí)現(xiàn)上述提供的方法實(shí)施例,具體功能實(shí)現(xiàn)請(qǐng)參見(jiàn)方法實(shí)施例中的說(shuō)明,在此不再贅述。本發(fā)明實(shí)施例提供的安全通信的方法及裝置可以適用于用戶設(shè)備以及P-CSCF根據(jù)不同的IPsec SA組,進(jìn)行安全通信,但不僅限于此。
[0104]本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程,是可以通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成,所述的程序可存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí),可包括如上述各方法的實(shí)施例的流程。其中,所述的存儲(chǔ)介質(zhì)可為磁碟、光盤(pán)、只讀存儲(chǔ)記憶體(Read-Only Memory,ROM)或隨機(jī)存儲(chǔ)記憶體(Random AccessMemory,RAM)等。
[0105]以上所述,僅為本發(fā)明的【具體實(shí)施方式】,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
【主權(quán)項(xiàng)】
1.一種安全通信的方法,其特征在于,包括: 服務(wù)呼叫會(huì)話控制功能S-CSCF向用戶歸屬服務(wù)器HSS發(fā)送獲取鑒權(quán)向量請(qǐng)求信息,所述鑒權(quán)向量請(qǐng)求信息中攜帶有所述IP多媒體私有標(biāo)識(shí)impi ; 所述HSS根據(jù)所述impi,確定所述impi對(duì)應(yīng)的根密鑰; 所述HSS根據(jù)所述根密鑰,生成多組共享密鑰,所述共享密鑰包括:加密密鑰CK以及完整性密鑰IK; 所述HSS將所述多組共享密鑰,發(fā)送至代理呼叫會(huì)話控制功能P-CSCF; 所述P-CSCF根據(jù)所述多組共享密鑰,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsec SA組; 所述P-CSCF將生成的所述多個(gè)IPsec SA組,發(fā)送至用戶設(shè)備,以使得所述用戶設(shè)備以及所述P-CSCF之間采用不同的IPsec SA進(jìn)行通信。2.根據(jù)權(quán)利要求1所述的安全通信的方法,其特征在于,所述服務(wù)呼叫會(huì)話控制功能S-CSCF向用戶歸屬服務(wù)器HSS發(fā)送獲取鑒權(quán)向量請(qǐng)求信息的步驟之前,還包括: 所述用戶設(shè)備向所述P-CSCF發(fā)送初始注冊(cè)請(qǐng)求消息,所述初始注冊(cè)請(qǐng)求消息攜帶有imp1、所述用戶設(shè)備支持的SIP安全機(jī)制列表、用戶設(shè)備的受保護(hù)客戶端端口 ucl、用戶設(shè)備的受保護(hù)服務(wù)端端口 usl; 所述P-CSCF存儲(chǔ)所述用戶設(shè)備支持的SIP安全機(jī)制列表、所述Uc I以及所述us I; 所述P-CSCF將攜帶有所述impi的初始注冊(cè)請(qǐng)求消息,發(fā)送至所述S-CSCF。3.根據(jù)權(quán)利要求1或2所述的安全通信的方法,其特征在于,所述HSS根據(jù)所述impi,確定所述impi對(duì)應(yīng)的根密鑰的步驟之后,還包括: 所述HSS生成隨機(jī)數(shù)RAND ; 所述HSS根據(jù)所述根密鑰,生成多組共享密鑰的步驟之后,還包括: 所述HSS將所述RAND發(fā)送至所述P-CSCF。4.根據(jù)權(quán)利要求3所述的安全通信的方法,其特征在于,所述用戶設(shè)備支持的SIP安全機(jī)制列表為所述用戶設(shè)備支持的算法組合,所述算法組合包括:安全性算法以及加密算法; 所述P-CSCF根據(jù)所述多組共享密鑰,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsec SA組的步驟,包括: 所述P-CSCF從所述用戶設(shè)備支持的SIP安全列表中,選擇自身支持的算法組合; 所述P-CSCF確定所述多組共享密鑰分別對(duì)應(yīng)自身支持的算法組合; 所述P-CSCF根據(jù)所述多組共享密鑰、所述多組共享密鑰分別對(duì)應(yīng)自身支持的算法組合、所述RAND、所述Uc 1、所述us I以及P-CSCF的控制端口 pc 1、P-CSCF的服務(wù)端口 ps I,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsec SA組。5.根據(jù)權(quán)利要求4所述的安全通信的方法,其特征在于,所述P-CSCF根據(jù)所述多組共享密鑰、所述多組共享密鑰分別對(duì)應(yīng)自身支持的算法組合、所述RAND、所述ucl、所述usl以及P-CSCF的控制端口 pc1、P-CSCF的服務(wù)端口 psl,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsecSA組的步驟之前,還包括: 所述P-CSCF確定所述pci以及所述psl ; 所述P-CSCF將生成的所述多個(gè)IPsec SA組,發(fā)送至用戶設(shè)備用戶設(shè)備,以使得所述用戶設(shè)備以及所述P-CSCF之間采用不同的IPsec SA進(jìn)行通信的步驟,包括: 所述P-CSCF將生成的所述多個(gè)IPsec SA組,發(fā)送至所述用戶設(shè)備,以使得所述用戶設(shè)備以及所述P-CSCF根據(jù)觸發(fā)策略,選擇不同IPsec SA組,進(jìn)行通信。6.一種安全通信的裝置,其特征在于,包括: 第一發(fā)送單元,位于服務(wù)呼叫會(huì)話控制功能S-CSCF中,用于向用戶歸屬服務(wù)器HSS發(fā)送獲取鑒權(quán)向量請(qǐng)求信息,所述鑒權(quán)向量請(qǐng)求信息中攜帶有所述IP多媒體私有標(biāo)識(shí)impi ;第一確定單元,位于所述HSS中,用于根據(jù)所述impi,確定所述impi對(duì)應(yīng)的根密鑰;第一生成單元,位于所述HSS中,用于根據(jù)所述根密鑰,生成多組共享密鑰,所述共享密鑰包括:加密密鑰CK以及完整性密鑰IK; 第二發(fā)送單元,位于所述HSS中,用于將所述多組共享密鑰,發(fā)送至代理呼叫會(huì)話控制功能 P-CSCF; 第二生成單元,位于所述P-CSCF中,用于根據(jù)所述多組共享密鑰,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsec SA組; 第三發(fā)送單元,位于所述P-CSCF中,用于將生成的所述多個(gè)IPsec SA組,發(fā)送至用戶設(shè)備,以使得所述用戶設(shè)備以及所述P-CSCF之間采用不同的IPsec SA進(jìn)行通信。7.根據(jù)權(quán)利要求6所述的安全通信的裝置,其特征在于,所述裝置還包括:第四發(fā)送單元、存儲(chǔ)單元; 所述第四發(fā)送單元,位于所述用戶設(shè)備中,用于向所述P-CSCF發(fā)送初始注冊(cè)請(qǐng)求消息,所述初始注冊(cè)請(qǐng)求消息攜帶有imp1、所述用戶設(shè)備支持的SIP安全機(jī)制列表、用戶設(shè)備的受保護(hù)客戶端端口ucl、用戶設(shè)備的受保護(hù)服務(wù)端端口usl; 所述存儲(chǔ)單元,位于所述P-CSCF中,用于存儲(chǔ)所述用戶設(shè)備支持的SIP安全機(jī)制列表、所述UCI以及所述USI ; 所述第三發(fā)送單元,位于所述P-CSCF中,還用于將攜帶有所述impi的初始注冊(cè)請(qǐng)求消息,發(fā)送至所述S-CSCF。8.根據(jù)權(quán)利要求6或7所述的安全通信的裝置,其特征在于, 所述第一生成單元,位于所述HSS中,還用于生成隨機(jī)數(shù)RAND; 所述第二發(fā)送單元,位于所述HSS中,還用于將所述RAND發(fā)送至所述P-CSCF。9.根據(jù)權(quán)利要求6所述的安全通信的裝置,其特征在于,所述用戶設(shè)備支持的SIP安全機(jī)制列表為所述用戶設(shè)備支持的算法組合,所述算法組合包括:安全性算法以及加密算法; 所述第二生成單元,位于所述P-CSCF中,具體用于從所述用戶設(shè)備支持的SIP安全列表中,選擇自身支持的算法組合; 所述第二生成單元,位于所述P-CSCF中,具體還用于確定所述多組共享密鑰分別對(duì)應(yīng)自身支持的算法組合; 所述第二生成單元,位于所述P-CSCF中,具體還用于根據(jù)所述多組共享密鑰、所述多組共享密鑰分別對(duì)應(yīng)自身支持的算法組合、所述RAND、所述Uc 1、所述us I以及P-CSCF的控制端口pcl、P-CSCF的服務(wù)端口psl,生成多個(gè)網(wǎng)絡(luò)協(xié)議安全性安全聯(lián)盟IPsec SA組。10.根據(jù)權(quán)利要求9所述的安全通信的裝置,其特征在于,所述裝置還包括:第二確定單元; 所述第二確定單元,位于所述P-CSCF中,用于確定所述pc I以及所述ps I ; 所述第三發(fā)送單元,位于所述P-CSCF中,用于將生成的所述多個(gè)IPsec SA組,發(fā)送至所述用戶設(shè)備,以使得所述用戶設(shè)備以及所述P-CSCF根據(jù)觸發(fā)策略,選擇不同IPsec SA組,進(jìn) 行通信。
【文檔編號(hào)】H04L29/06GK105827661SQ201610380263
【公開(kāi)日】2016年8月3日
【申請(qǐng)日】2016年5月31日
【發(fā)明人】張子敬
【申請(qǐng)人】宇龍計(jì)算機(jī)通信科技(深圳)有限公司