專利名稱：一種游牧終端接入軟交換網絡系統的安全交互方法
技術領域：
本發明涉及通訊安全領域，特別是涉及基于IP(Internet Protocol，互聯網協議)通訊網絡的軟交換等網絡系統中一種游牧終端安全接入系統的安全交互雙向認證及密鑰分發方法。
背景技術：
隨著軟交換等IP通訊技術的成熟，基于IP網絡的語音技術在企業網和公共網絡中得到了越來越多的應用，由于IP網絡的開發性的設計理念，使得基于IP語音通訊存在一些安全性問題，特別是在軟交換等系統的接入域，由于網絡的不可控，賬號盜用、設備欺騙、系統劫持，通訊的非法竊聽等問題特別突出。針對這些安全問題，要求終端接入軟交換等系統對游牧終端進行認證，避免非法用戶的接入，而且需要終端對系統的認證，避免終端被非法系統劫持，同時需要對通訊消息進行完整性和機密性保護，保證通訊內容的安全。
目前，在通信系統的安全體系中，已經有一些安全認證流程存在，但是由于這些流程的設計問題，導致一些流程會遭受重放攻擊或由于密碼協商問題導致密碼的安全性比較低下。

發明內容
本發明所要解決的技術問題在于提供一種游牧終端接入軟交換網絡系統的安全交互方法，用于實現游牧終端與基于IP網絡的軟交換網絡系統之間的相互安全認證和通訊安全。
為了實現上述目的，本發明提供了一種游牧終端接入軟交換網絡系統的安全交互方法，應用于基于IP網絡的軟交換網絡系統，該網絡系統包括至少一個歸屬地軟交換核心控制設備、至少一個游牧地軟交換核心控制設備、游牧地接入控制點、游牧終端及安全認證服務器，其特征在于，該方法包括如下步驟步驟一，在所述游牧終端上設置游牧終端認證安全參數組，在所述安全認證服務器上設置與所述游牧終端認證安全參數組對應的游牧終端認證授權參數組；當所述游牧終端接入時，所述安全認證服務器根據認證請求產生所述游牧地接入控制點對所述游牧終端認證的相應認證授權參數組；步驟二，將所述游牧終端通過所述游牧地接入控制點接入至所述游牧地軟交換核心控制設備，所述游牧地軟交換核心控制設備通過所述歸屬地軟交換核心控制設備接入至所述安全認證服務器；步驟三，所述游牧終端根據所述游牧終端認證安全參數組及所述網絡系統返回的鑒權信息對所述網絡系統進行認證，并根據所述網絡系統返回的消息獲得與所述游牧地接入控制點之間的密鑰；所述游牧地接入控制點經由所述游牧地軟交換核心控制設備從所述歸屬地軟交換核心控制設備返回的消息獲得與所述游牧終端之間的密鑰，與所述游牧終端建立安全通訊；所述歸屬地軟交換核心控制設備根據所述安全認證服務器返回的終端認證授權信息對所述游牧終端進行安全接入認證。
所述的游牧終端接入軟交換網絡系統的安全交互方法，其中，所述游牧終端認證安全參數組的個數為一個或多個。
所述的游牧終端接入軟交換網絡系統的安全交互方法，其中，所述每個游牧終端認證安全參數組包括認證、加密、完整性保護安全方式中的一種或多種方式的參數信息。
所述的游牧終端接入軟交換網絡系統的安全交互方法，其中，所述步驟三中，還包括對所述游牧地接入控制點與所述游牧終端之間的報文/消息分別采用完整性密鑰和機密性密鑰進行完整性和機密性保護的步驟。
所述的游牧終端接入軟交換網絡系統的安全交互方法，其中，所述每個游牧終端由所述網絡系統中返回的消息中含有的密鑰材質，通過與所述網絡系統約定的算法計算出密鑰。
所述的游牧終端接入軟交換網絡系統的安全交互方法，其中，所述每個游牧地接入控制點經由所述游牧地軟交換核心控制設備從所述歸屬地軟交換核心控制設備返回的消息中含有的屬于所述游牧地接入控制點的密鑰材質，通過與所述網絡系統約定的算法計算出密鑰。
所述的游牧終端接入軟交換網絡系統的安全交互方法，其中，所述步驟三中，還包括所述游牧地軟交換核心控制設備與所述歸屬地軟交換核心控制設備之間建立安全聯盟的步驟。
所述的游牧終端接入軟交換網絡系統的安全交互方法，其中，所述步驟三中，還包括所述游牧終端向所述游牧地接入控制點發起一注冊請求并發送一注冊報文，所述游牧地接入控制點接收該注冊報文并由所述游牧地軟交換核心控制設備轉發至所述歸屬地軟交換核心控制設備的步驟。
所述的游牧終端接入軟交換網絡系統的安全交互方法，其中，當所述歸屬地軟交換核心控制設備上無所述游牧終端的鑒權信息時，所述歸屬地軟交換核心控制設備向所述安全認證服務器發起一對所述游牧終端進行鑒權的請求。
所述的游牧終端接入軟交換網絡系統的安全交互方法，其中，所述步驟三中，還包括所述安全認證服務器對所述游牧終端進行認證并向所述歸屬地軟交換核心控制設備返回一包含有一第一驗證字的注冊失敗響應報文的步驟。
所述的游牧終端接入軟交換網絡系統的安全交互方法，其中，所述步驟三中，還包括當所述游牧地接入控制點向所述游牧終端返回一注冊失敗響應報文時，所述游牧終端對該注冊失敗響應報文中的認證參數進行完整性驗證來判斷所述網絡系統是否合法的步驟，并在驗證通過時重新發起一注冊請求及發送一含有第二驗證字的注冊報文。
所述的游牧終端接入軟交換網絡系統的安全交互方法，其中，所述步驟三中，還包括所述游牧地接入控制點對該含有第二驗證字的注冊報文進行完整性檢查并在通過完整性檢查后經由所述游牧地軟交換核心控制設備轉發至所述歸屬地軟交換核心控制設備的步驟。
所述的游牧終端接入軟交換網絡系統的安全交互方法，其中，所述步驟三中，還包括通過所述歸屬地軟交換核心控制設備比較所述第一驗證字與所述第二驗證字是否一致，判斷所述網絡系統對所述游牧終端的認證是否成功的步驟，若所述第一驗證字與所述第二驗證字一致，則認證成功，所述歸屬地軟交換核心控制設備向所述游牧地軟交換核心控制設備返回一注冊成功響應報文，若不一致，則認證失敗。
所述的游牧終端接入軟交換網絡系統的安全交互方法，其中，所述步驟三中，還包括所述歸屬地軟交換核心控制設備向所述安全認證服務器發送用戶認證成功消息，并更新所述安全認證服務器上游牧終端信息的步驟。
本發明在以軟交換技術為基礎的IP網絡系統體系架構中，提出了終端在游牧情況(此時終端又稱為游牧終端)下與軟交換網絡系統之間的雙向認證及密鑰分發流程，采用本發明，游牧終端可以安全地通過游牧地接入控制點接入到軟交換系統，增強了接入域的安全，滿足通訊安全要求，其有益效果具體在于1)，歸屬地軟交換核心控制設備與游牧終端之間有多于一組的認證方式；2)，游牧地接入控制點與游牧終端之間信令傳輸可以采用機密性、完整性保護兩種方式中的一種或兩種方式來保護；3)，可以實現游牧終端與網絡系統的雙向認證；4)，在可信任核心網絡的邊界點(接入控制點)與終端采用機密性和完整性機制，在接入域對非法數據流進行控制，分散的機制避免了非法數據對核心設備的攻擊；5)，游牧終端的加密性密鑰、完整性密鑰生成都是經過計算獲得，避免了密碼以明文在網絡中傳送的風險。采用多種協商機制，對于機密性保護采用兩種算法組合，避免算法不穩定而導致的安全隱患。
以下結合附圖和具體實施例對本發明進行詳細描述，但不作為對本發明的限定。


圖1為本發明游牧終端接入軟交換網絡系統的示意圖；圖2為本發明游牧終端接入軟交換網絡系統的雙向認證及密鑰分發流程示意圖。
具體實施例方式
下面結合附圖對技術方案的實施作進一步的詳細描述。
請參閱圖1所示，本發明游牧終端接入軟交換網絡系統的示意圖。其中，H-SS(Homed-Soft Switch)是指歸屬地軟交換核心控制設備101，V-SS(Visit-SoftSwitch)是指游牧地軟交換核心控制設備102，V-SP(Visited-Signaling Proxy)是指游牧地接入控制點103，Client是指游牧終端104，而AuC(AuthenticationCenter)是指安全認證服務器/認證中心105。
在圖1中，以軟交換技術為基礎的IP Network網絡體系架構中，存在至少一個歸屬地軟交換核心控制設備101；至少一個游牧地軟交換核心控制設備102；一個或多個游牧地接入控制點103；一個或多個游牧終端104；一安全認證服務器105。
其中，一個游牧終端104至少有一個或一個以上的游牧終端認證安全參數組，每個游牧終端認證安全參數組提供驗證/認證、加密、完整性保護等安全方式中的一種或幾種方式所需要的參數信息；對應于每個游牧終端104的每個游牧終端認證安全參數組，在安全認證服務器105中都將存放一個對應的游牧終端認證授權參數組，用于提供游牧終端104的驗證/認證、機密性、完整性保護等安全方式中的一種或幾種方式所需要的計算信息。
其中，一個游牧地接入控制點103至少具備與游牧終端104匹配的一種或幾種加密、完整性保護的能力。
請參閱圖2所示，描述了游牧終端接入軟交換網絡系統的雙向認證及密鑰分發流程示意圖。該流程示意圖主要描述了游牧終端對網絡系統進行驗證/認證的機制，游牧終端與游牧地接入控制點之間的密鑰生成機制，以及消息保護機制，網絡系統對游牧終端的驗證/認證機制。
其中，Client 104為游牧終端，V-SP 103為游牧地接入控制點，V-SS 102為游牧地軟交換核心控制設備，H-SS 101為歸屬地軟交換核心控制設備，AuC105為安全認證服務器，Kc為Client 104與AuC 105的共享密鑰，Ksp為V-SP103與AuC 105的共享密鑰，如果V-SP 103與AuC 105之間不存在共享密鑰，此時在本發明流程中Ksp為空，相應地，在采用Ksp進行加密時，將使用RFC2410中的Null Encryption算法進行加密處理。其中，RFC(Request ForComments)為請求注解。
游牧終端Client 104注冊驗證/認證、密碼生成流程開始之前，需進行條件預設認為游牧地接入控制點V-SP 103是網絡系統內信任域的設備。結合圖1，該流程圖包括步驟步驟200，游牧終端Client 104按協議流程向游牧地接入控制點V-SP 103發起注冊(Register)請求并發送正常的協議注冊報文，報文中攜帶游牧終端Client 104產生的隨機數R1和Client ID(客戶端標識)；步驟201，游牧地接入控制點V-SP 103接收并向游牧地軟交換核心控制設備V-SS 102轉發用戶的注冊報文，注冊報文中攜帶游牧地接入控制點V-SP103的設備標識SP ID(接入控制點標識)和Client ID(簡記為IDc)；步驟202，游牧地軟交換核心控制設備V-SS 102向歸屬地軟交換核心控制設備H-SS 101轉發注冊報文；另外，游牧地軟交換核心控制設備V-SS 102還將游牧終端Client 104的信令報文路由到歸屬地軟交換核心控制設備H-SS 101。
該步驟中，建立游牧地軟交換核心控制設備V-SS 102與歸屬地軟交換核心控制設備H-SS 101之間的安全聯盟。
步驟203，歸屬地軟交換核心控制設備H-SS 101沒有游牧終端Client 104的用戶鑒權信息，向安全認證服務器AuC 105發出對游牧終端Client 104的鑒權驗證/認證請求(Authentication Request)，請求中包含Client ID和SP ID；步驟204，認證響應(Authentication Response)，安全認證服務器AuC 105根據Client ID、SP ID信息，獲取與游牧終端Client 104的共享密鑰Kc以及與游牧地接入控制點V-SP 103的共享密鑰Ksp，生成一個隨機數/挑戰字R2，由R2、IDc和共享密鑰Kc等一起生成對游牧終端Client 104的驗證字Authenticator，同時生成游牧終端Client 104和游牧地接入控制點V-SP 103之間的會話密鑰Kc，sp，其中Kc，sp分別由共享密鑰Kc和Ksp加密，最后將R2、驗證字Authenticator、加密后的會話密鑰(EKc(Kc，sp)、EKsp(Kc，sp))作為歸屬地軟交換核心控制設備H-SS 101驗證/認證請求的響應返回給歸屬地軟交換核心控制設備H-SS 101；步驟205，歸屬地軟交換核心控制設備H-SS 101向游牧地軟交換核心控制設備V-SS 102返回注冊失敗響應報文(Register Rsp/Response，注冊響應)，表明需要對游牧終端Client 104進行認證，響應報文參數中包括挑戰字R2，同時，將安全認證服務器AuC 105下發的經過Kc、Ksp加密后的兩個會話密鑰EKc[Kc，sp]和EKsp[Kc，sp]傳給游牧地接入控制點V-SP 103，歸屬地軟交換核心控制設備H-SS 101保留報文中的驗證字Authenticator。
步驟206，游牧地軟交換核心控制設備V-SS 102向游牧地接入控制點V-SP103返回注冊失敗響應報文，表明需要對游牧終端Client 104進行認證，響應報文參數中包括挑戰字R2，同時將兩個會話密鑰EKc[Kc，sp]和EKsp[Kc，sp]傳給游牧地接入控制點V-SP 103。
步驟207，游牧地接入控制點V-SP 103向游牧終端Client 104返回注冊失敗響應報文，表明需要對游牧終端Client 104進行驗證/認證；響應報文的參數中包括挑戰字R2，經過Kc加密過的會話密鑰EKc[Kc，sp]，同時游牧地接入控制點V-SP103采用共享密鑰Ksp對加密過的會話密鑰EKsp[Kc，sp]進行解密，得到Kc，sp，并用該會話密鑰Kc，sp和隨機數R1對發給游牧終端Client 104的響應報文中的認證參數進行完整性保護，即，計算報文中的認證參數驗證字并隨報文一起返回給游牧終端Client 104；步驟208，游牧終端Client 104通過共享密鑰Kc對經過加密后的會話密鑰EKc[Kc，sp]解密得到Kc，sp，用該會話密鑰Kc，sp和隨機數R1對游牧地接入控制點V-SP 103返回的報文中的認證參數進行完整性驗證，如驗證通過，則說明游牧地接入控制點V-SP 103及網絡側設備是合法的，并用共享密鑰Kc、客戶端標識Client ID及游牧地接入控制點V-SP 103返回的隨機數R2重新計算驗證字Authenticator’，向游牧地接入控制點V-SP 103重新發起注冊請求，并通過Kc，sp對報文進行完整性保護，報文中包括新計算得到的驗證字Authenticator’，若游牧終端Client 104對系統/網絡驗證/認證失敗，放棄或從第1步，即步驟200開始重新發起注冊請求；步驟209，游牧地接入控制點V-SP 103通過會話密鑰Kc，sp對報文進行完整性檢查，如果檢查通過，則向游牧地軟交換核心控制設備V-SS102轉發用戶的注冊報文，包含用戶計算得到的驗證字Authenticator’，否則丟棄該報文，繼續等待合法報文，直到等待超時進入會話超時處理；步驟210，游牧地軟交換核心控制設備V-SS 102將游牧地接入控制點V-SP103發過來的注冊報文轉發給歸屬地軟交換核心控制設備H-SS 101；步驟211，歸屬地軟交換核心控制設備H-SS 101將游牧地軟交換核心控制設備V-SS102發過來的注冊報文中的驗證字Authenticator’和安全認證服務器AuC 105發過來的驗證字Authenticator進行比較，對游牧終端Client104進行驗證/認證，若驗證字Authenticator’與驗證字Authenticator兩者不一致，則表明對游牧終端Client104的驗證/認證失敗，則重發報文或退出注冊過程，若兩者一致，則表明對游牧終端Client 104的驗證成功，向游牧地軟交換核心控制設備V-SS 102返回注冊成功響應報文；步驟212，游牧地軟交換核心控制設備V-SS 102收到歸屬地軟交換核心控制設備H-SS 101的注冊響應報文，并向游牧地接入控制點V-SP 103轉發；
步驟213，游牧地接入控制點V-SP 103收到游牧地軟交換核心控制設備V-SS 102的注冊響應報文，用會話密鑰Kc，sp對響應報文進行完整性保護，保證報文的完整性，向游牧終端Client 104轉發注冊響應報文，同時游牧地接入控制點V-SP 103記錄下該游牧終端Client 104的相關信息(用戶號碼、地址、端口等)，并標識該用戶為一合法用戶；步驟214，游牧終端Client 104采用會話密鑰Kc，sp對注冊響應報文進行鑒別，驗證注冊響應報文的完整性，至此注冊驗證/認證及會話密鑰協商成功，同時歸屬地軟交換核心控制設備H-SS 101會向安全認證服務器AuC 105發出用戶驗證/認證成功消息(Authentication Confirm)，更新安全認證服務器AuC105上的游牧終端信息。
在本實施例中，加密算法和完整性算法均采用對稱加密算法，其中完整性保護是同時采用兩種算法，會話密鑰可以根據預先配置在通信實體和安全認證服務器上的共享密鑰直接獲得，也可以在此基礎上根據共享密鑰和隨機數來計算獲得。
在本實施例中，詳細描述了接入域雙向驗證/認證及密鑰分發流程，對其中涉及到信令等方面，僅是示意性的說明，供參考。
在本發明中，信令安全傳輸部分完成游牧終端Client、游牧地接入控制點V-SP之間進行加密性密鑰和完整性密鑰的安全生成，增強了安全性要求，減少對軟交換核心控制設備的攻擊。
當然，本發明還可有其他多種實施例，在不背離本發明精神及其實質的情況下，熟悉本領域的技術人員當可根據本發明作出各種相應的改變和變形，但這些相應的改變和變形都應屬于本發明所附的權利要求的保護范圍。
權利要求
1.一種游牧終端接入軟交換網絡系統的安全交互方法，應用于基于IP網絡的軟交換網絡系統，該網絡系統包括至少一個歸屬地軟交換核心控制設備、至少一個游牧地軟交換核心控制設備、游牧地接入控制點、游牧終端及安全認證服務器，其特征在于，該方法包括如下步驟步驟一，在所述游牧終端上設置游牧終端認證安全參數組，在所述安全認證服務器上設置與所述游牧終端認證安全參數組對應的游牧終端認證授權參數組；當所述游牧終端接入時，所述安全認證服務器根據認證請求產生所述游牧地接入控制點對所述游牧終端認證的相應認證授權參數組；步驟二，將所述游牧終端通過所述游牧地接入控制點接入至所述游牧地軟交換核心控制設備，所述游牧地軟交換核心控制設備通過所述歸屬地軟交換核心控制設備接入至所述安全認證服務器；步驟三，所述游牧終端根據所述游牧終端認證安全參數組及所述網絡系統返回的鑒權信息對所述網絡系統進行認證，并根據所述網絡系統返回的消息獲得與所述游牧地接入控制點之間的密鑰；所述游牧地接入控制點經由所述游牧地軟交換核心控制設備從所述歸屬地軟交換核心控制設備返回的消息獲得與所述游牧終端之間的密鑰，與所述游牧終端建立安全通訊；所述歸屬地軟交換核心控制設備根據所述安全認證服務器返回的終端認證授權信息對所述游牧終端進行安全接入認證。
2.根據權利要求1所述的游牧終端接入軟交換網絡系統的安全交互方法，其特征在于，所述游牧終端認證安全參數組的個數為一個或多個。
3.根據權利要求2所述的游牧終端接入軟交換網絡系統的安全交互方法，其特征在于，所述每個游牧終端認證安全參數組包括認證、加密、完整性保護安全方式中的一種或多種方式的參數信息。
4.根據權利要求2或3所述的游牧終端接入軟交換網絡系統的安全交互方法，其特征在于，所述步驟三中，還包括對所述游牧地接入控制點與所述游牧終端之間的報文/消息分別采用完整性密鑰和機密性密鑰進行完整性和機密性保護的步驟。
5.根據權利要求2或3所述的游牧終端接入軟交換網絡系統的安全交互方法，其特征在于，所述每個游牧終端由所述網絡系統中返回的消息中含有的密鑰材質，通過與所述網絡系統約定的算法計算出密鑰。
6.根據權利要求2或3所述的游牧終端接入軟交換網絡系統的安全交互方法，其特征在于，所述每個游牧地接入控制點經由所述游牧地軟交換核心控制設備從所述歸屬地軟交換核心控制設備返回的消息中含有的屬于所述游牧地接入控制點的密鑰材質，通過與所述網絡系統約定的算法計算出密鑰。
7.根據權利要求2或3所述的游牧終端接入軟交換網絡系統的安全交互方法，其特征在于，所述步驟三中，還包括所述游牧地軟交換核心控制設備與所述歸屬地軟交換核心控制設備之間建立安全聯盟的步驟。
8.根據權利要求2或3所述的游牧終端接入軟交換網絡系統的安全交互方法，其特征在于，所述步驟三中，還包括所述游牧終端向所述游牧地接入控制點發起一注冊請求并發送一注冊報文，所述游牧地接入控制點接收該注冊報文并由所述游牧地軟交換核心控制設備轉發至所述歸屬地軟交換核心控制設備的步驟。
9.根據權利要求8所述的游牧終端接入軟交換網絡系統的安全交互方法，其特征在于，當所述歸屬地軟交換核心控制設備上無所述游牧終端的鑒權信息時，所述歸屬地軟交換核心控制設備向所述安全認證服務器發起一對所述游牧終端進行鑒權的請求。
10.根據權利要求9所述的游牧終端接入軟交換網絡系統的安全交互方法，其特征在于，所述步驟三中，還包括所述安全認證服務器對所述游牧終端進行認證并向所述歸屬地軟交換核心控制設備返回一包含有一第一驗證字的注冊失敗響應報文的步驟。
11.根據權利要求10所述的游牧終端接入軟交換網絡系統的安全交互方法，其特征在于，所述步驟三中，還包括當所述游牧地接入控制點向所述游牧終端返回一注冊失敗響應報文時，所述游牧終端對該注冊失敗響應報文中的認證參數進行完整性驗證來判斷所述網絡系統是否合法的步驟，并在驗證通過時重新發起一注冊請求及發送一含有第二驗證字的注冊報文。
12.根據權利要求11所述的游牧終端接入軟交換網絡系統的安全交互方法，其特征在于，所述步驟三中，還包括所述游牧地接入控制點對該含有第二驗證字的注冊報文進行完整性檢查并在通過完整性檢查后經由所述游牧地軟交換核心控制設備轉發至所述歸屬地軟交換核心控制設備的步驟。
13.根據權利要求12所述的游牧終端接入軟交換網絡系統的安全交互方法，其特征在于，所述步驟三中，還包括通過所述歸屬地軟交換核心控制設備比較所述第一驗證字與所述第二驗證字是否一致，判斷所述網絡系統對所述游牧終端的認證是否成功的步驟，若所述第一驗證字與所述第二驗證字一致，則認證成功，所述歸屬地軟交換核心控制設備向所述游牧地軟交換核心控制設備返回一注冊成功響應報文，若不一致，則認證失敗。
14.根據權利要求11所述的游牧終端接入軟交換網絡系統的安全交互方法，其特征在于，所述步驟三中，還包括所述歸屬地軟交換核心控制設備向所述安全認證服務器發送用戶認證成功消息，并更新所述安全認證服務器上游牧終端信息的步驟。
全文摘要
本發明公開了一種游牧終端接入軟交換網絡系統的安全交互方法，應用于基于IP網絡的軟交換網絡系統，方法包括步驟一，在游牧終端上設置游牧終端認證安全參數組，在安全認證服務器上設置與所述游牧終端認證安全參數組對應的游牧終端認證授權參數組；當所述游牧終端接入時，所述安全認證服務器根據認證請求產生所述游牧地接入控制點對所述游牧終端認證的相應認證授權參數組；步驟二，將所述游牧終端通過所述游牧地接入控制點接入至所述游牧地軟交換核心控制設備，所述游牧地軟交換核心控制設備通過所述歸屬地軟交換核心控制設備接入至所述安全認證服務器；步驟三，進行雙向認證。采用本發明增強了安全性要求，減少對軟交換核心控制設備的攻擊。
文檔編號H04L29/06GK101094063SQ20061008883
公開日2007年12月26日 申請日期2006年7月19日 優先權日2006年7月19日
發明者胡憲利, 吳晨, 權海斌 申請人:中興通訊股份有限公司