一種網絡安全認證方法

專利名稱：一種網絡安全認證方法
技術領域：
本發明涉及一種網絡的安全認證方法。
背景技術：
在下一代網絡(NGN)中，存在很多基于媒體網關控制協議(MGCP)和H248協議(另一種媒體網關控制協議)的媒體網關(MG)，這些設備分布在企業或用戶家中，具有面廣、量大、基于動態IP的特點。但在目前的NGN網絡中，由于MGCP協議的應用層無安全認證機制，所以使用MGCP協議的MG安全性較差；在H248協議中，盡管在應用層中有安全認證機制，即在每個H248協議事務請求消息中可以加入安全頭，在其事務響應消息中返回安全認證結果，但是該安全認證機制要在MGC和MG中要交互大量H248消息，大約要增加40％的H248消息編解碼處理時間，這使得現有的H248協議提供的安全認證方案大大降低了網絡系統的效率，實際應用的可行性較差。因此，目前NGN網絡存在的仿冒MG，對MGC進行攻擊等系統安全問題還沒有得到妥善的解決。

發明內容
本發明的目的在于提供一種能夠對NGN網絡進行有效的安全認證的方法。
為達到上述目的，本發明提供的網絡安全認證方法，包括步驟1媒體網關控制器(MGC)為媒體網關(MG)配置鑒權密鑰，并且設置網絡協議安全數據包；步驟2在進行安全認證時，MGC利用數據包(Package)向MG下發安全認證請求數據，MG利用鑒權密鑰對請求數據進行加密計算，并將計算結果反饋給MGC；步驟3MGC根據認證結果確定被認證的MG是否合法。
所述網絡協議為媒體網關控制協議(MGCP)或H248協議。
所述數據包包括安全認證請求信號和安全認證結果事件；所述安全認證請求信號中包括安全認證參數；安全認證結果事件中包括安全結果認證參數。
所述步驟2進一步包括步驟21MGC下發數據包中的安全性認證請求信號給MG；步驟22MG收到安全認證信號中的安全認證參數，使用鑒權密鑰對上述參數進行加密計算，然后將加密計算結果通過數據包中的安全認證完成事件的安全結果認證參數上報給MGC。
由于本發明采用媒體網絡控制器(MGC)為媒體網關(MG)配置鑒權密鑰，并且設置網絡協議安全數據包用于MG的安全認證，因此能夠防止非法和偽造設備的網絡接入；另外，由于對MG的認證在MGC的控制下進行，或者說在MGC認為需要安全認證的時候進行安全認證，這樣的認證方式具有隨機性，具有較高的安全認證效率。
具體實施例方式
下面對本發明作進一步詳細的描述。
本發明所述的方法是實現MG的安全管理，其實質是，為每一個MG配置一個鑒權密鑰，當MGC發起鑒權請求時，MGC將向MG發一個隨機數，MG根據MGC發來的隨機數和MG配置的鑒權密鑰(當然還可以包括其他信息)，實施加密計算，返回加密結果給MGC。MGC實施相同的計算，判斷是否與MG發送的加密結果相同。如果不相同則認為MG為非法。
本發明可以基于H248協議或MGCP協議實現，為此需要增加MGCP協議或H248協議安全數據包，所述安全性數據包是安全性認證信號和事件的集合，本發明采用的H248協議或MGCP協議的安全性認證包中包括一個安全性認證請求信號和安全性認證完成事件。安全認證請求信號中包括一個安全性認證參數；安全性完成事件中包括一個安全性認證結果參數。當MGC要對MG進行安全性認證時，MGC下發安全性認證請求信號給MG，同時檢測MG的安全性認證完成事件。當MG收到MGC下發的安全性認證信號，根據配置在MG上的鑒權密鑰和收到的MGC安全性認證請求信號中的參數進行加密計算。當完成加密計算，MG向MGC上報安全性認證完成事件，在安全性認證完成事件的參數中上報安全加密計算結果。MGC收到MG上報的安全性認證完成事件后，比較MG上報的安全性認證完成事件參數中的加密計算結果是否與MGC本身計算的加密結果相同。如果不相同則認為是非法的MG。
下面舉例說明上述過程。
采用MGCP協議實現本發明的MGCP協議安全數據包具體內容為數據包名稱Auth；數據包版本1；包中包含的事件1安全認證結果事件事件名稱authoc；檢測事件參數編碼32*64(十六進制數)；說明檢測事件參數用于返回認證結果；包中包含的信號1安全認證請求信號信號名編碼authreq；信號參數編碼32*64(十六進制數32到64位)；上述安全認證請求信號參數即為MGC向MG發出的一個隨機數。本例中，隨機數為大于16位的字符串小于32位的字符串。每一位字符串ABNF(擴展的巴科斯范式)編碼為2個十六進制數。
基于上述數據包的認證過程及采用的偽代碼為步驟11MGC向MG發起認證請求MGC下發請求通知命令(RQNT)給MG，分配事務標識(100)和請求標識(123)，要求MG檢測安全認證完成事件(auth/authoc)，同時下發安全認證請求信號(auth/authreq)，MGC生成一個16字節的隨機數(0x78 0x90 0xab 0xcd 0xef 0x56 0x78 0x900x00 0x22 0x00 0x22 0x00 0x22 0x00 0x32)作為安全認證請求信號的安全認證參數。
步驟12MG收到MGC下發的請求通知命令(RQNT)后回送此命令的正確響應，響應碼為正確響應(200)，事務標識(100)與MGC下發的請求通知(RQNT)命令的事務標識一致。證明MG已正確收到MGC下發的請求通知命令(RQNT)。
步驟13MG收到MGC下發的請求通知命令(RQNT)后發現有安全認證請求信號，開始進行安全認證計算，MG取出安全認證請求信號中的參數和配置在MG上的鑒權密鑰(該鑒權密鑰假設為0x12 0x24 0x56 0x78 0x560x32 0x78 0x23 0x24 0x25 0x76 0x32 0x32 0x45 0x45 0x32)進行加密計算。經加密計算，加密計算結果為(0x12 0x34 0xab 0xcd 0xef 0xab 0xef 0x900x00 0x22 0x00 0x22 0x67 0x89 0x77 0x88)，MG產生安全認證完成事件，MG查看是否MGC要求上報加密完成事件，MG發現MGC要求上報該事件，MG上報通知命令(NTFY)給MGC，檢測到事件為安全認證完成事件(auth/authoc)，事件參數為加密結果。請求標識(123)與MGC下發的請求通知命令(RQNT)的請求標識一致，同時分配事務標識(200)。
步驟14MGC收到MG上報的通知事件后，回送通知命令的正確響應，響應碼為正確響應(200)，事務標識(200)與MG上報的通知命令(NTFY)的事務標識一致。證明MGC已正確收到MG上報的通知命令(NTFY)。
步驟15當MGC收到MG上報的加密結果，與自己計算的加密結果比較，如果MG上報的加密結果與MGC自己計算的加密結果一致。則認為該MG為合法的MG，如果不一致或者MG在規定的時間內沒有上報自己的加密結果，則認為該MG為非法的MG。
采用H248協議實現本發明的H248協議安全數據包為數據包名稱auth；數據包版本1；數據包中的事件1安全認證結果事件事件名稱authoc(0x0001)；檢測事件參數名認證結果；參數名稱Res；參數值ABNF編碼32*64(32到64位的16進制數)；參數值ASN.1(抽象符號表示法)編碼OCTET STRING(SIZE(16..32))；(16到32位的8位位組)；數據包中包含的信號1安全認證請求信號信號名標識authreq信號參數名請求參數參數名稱parm參數值ABNF編碼32*64(HEXDIG)參數值ASN.1編碼OCTET STRING(SIZE(16..32))基于上述數據包的認證過程及采用的偽代碼為步驟21MGC向MG發起認證請求MGC下發請求修改命令(modify)給MG，分配事務標識(100)和請求標識(2223)，要求MG檢測安全認證完成事件(auth/authoc)，同時下發安全認證請求信號(auth/authreq)，MGC生成一個16字節的隨機數(0x78 0x90 0xab 0xcd 0xef 0x56 0x78 0x900x00 0x22 0x00 0x22 0x00 0x22 0x00 0x32)作為安全認證請求信號的安全認證參數。
步驟22MG收到MGC下發的修改命令(modify)后回送此命令的正確響應，事務標識(10001)與MGC下發的修改命令(modify)的事務標識一致。證明MG已正確收到MGC下發的修改命令(modify)。
步驟23MG收到MGC下發的修改命令(modify)后發現有安全認證請求信號，開始進行安全認證計算，MG取出安全認證請求信號中的參數和配置在MG上的鑒權密鑰(假設該鑒權密鑰為0x12 0x24 0x56 0x78 0x56 0x320x78 0x23 0x24 0x25 0x76 0x32 0x32 0x45 0x45 0x32)進行加密計算。經加密計算，加密計算結果為(0x12 0x34 0xab 0xcd 0xef 0xab 0xef 0x90 0x000x22 0x00 0x22 0x67 0x89 0x77 0x88)，MG產生安全認證完成事件，MG查看是否MGC要求上報加密完成事件，MG發現MGC要求上報該事件，MG上報通知命令(NTFY)給MGC，檢測到事件為安全認證完成事件(auth/authoc)，事件參數為加密結果。請求標識(2223)與MGC下發的修改命令(modify)的請求標識一致，同時分配事務標識(10002)。
步驟24MGC收到MG上報的通知事件后，回送通知命令的正確響應，事務標識(10002)與MG上報的通知命令(NTFY)的事務標識一致。證明MGC已正確收到MG上報的通知命令(NTFY)。
步驟25當MGC收到MG上報的加密結果，與自己計算的加密結果比較，如果MG上報的加密結果與MGC自己計算的加密結果一致。則認為該MG為合法的MG，如果不一致或者MG在規定的時間內沒有上報自己的加密結果，則認為該MG為非法的MG。
權利要求
1.一種網絡安全認證方法，包括下述步驟步驟1媒體網關控制器(MGC)為媒體網關(MG)配置鑒權密鑰，并且設置網絡協議安全數據包；步驟2在進行安全認證時，MGC利用數據包(Package)向MG下發安全認證請求數據，MG利用鑒權密鑰對請求數據進行加密計算，并將計算結果反饋給MGC；步驟3MGC根據認證結果確定被認證的MG是否合法。
2.根據權利要求1所述的網絡安全認證方法，其特征在于所述網絡協議為媒體網關控制協議(MGCP)。
3.根據權利要求1所述的網絡安全認證方法，其特征在于所述網絡協議為H248協議。
4.根據權利要求1、2或3所述的網絡安全認證方法，其特征在于，所述數據包包括安全認證請求信號和安全認證結果事件；所述安全認證請求信號中包括安全認證參數；安全認證結果事件中包括安全結果認證參數。
5.根據權利要求4所述的網絡安全認證方法，其特征在于，所述步驟2進一步包括步驟21MGC下發數據包中的安全性認證請求信號給MG；步驟22MG收到安全認證信號中的安全認證參數，使用鑒權密鑰對上述參數進行加密計算，然后將加密計算結果通過數據包中的安全認證完成事件的安全結果認證參數上報給MGC。
全文摘要
本發明公開了一種網絡安全認證方法，該發明首先由媒體網關控制器(MGC)為媒體網關(MG)配置鑒權密鑰，并且設置網絡協議安全數據包；這樣在進行安全認證時，MGC利用安全數據包向MG下發安全認證請求數據，MG利用鑒權密鑰對請求數據進行加密計算，并將計算結果反饋給MGC，MGC根據認證結果確定被認證的MG是否合法；采用上述方案能夠防止非法和偽造設備的網絡接入；另外，由于對MG的認證在MGC的控制下進行，具有認證的隨機性，因此具有較高的安全認證效率。
文檔編號H04L29/06GK1490973SQ0214419
公開日2004年4月21日 申請日期2002年10月18日 優先權日2002年10月18日
發明者張濤, 張忠, 濤 張 申請人:華為技術有限公司