專利名稱:信息安全傳輸方法��、系統(tǒng)及接入服務(wù)節(jié)點(diǎn)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全傳輸機(jī)制��,尤其涉及信息安全傳輸方法、系統(tǒng)及接入服務(wù)節(jié)點(diǎn)���。
背景技術(shù):
現(xiàn)有因特網(wǎng)廣泛使用的傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議(Transmission ControlProtocol/Internet Protocol, TCP/IP)中IP地址具有雙重功能,既作為網(wǎng)絡(luò)層主機(jī)的網(wǎng)絡(luò)接口在網(wǎng)絡(luò)拓?fù)渲械奈恢脴?biāo)識(shí),又作為傳輸層的主機(jī)網(wǎng)絡(luò)接口的身份標(biāo)識(shí)。TCP/IP協(xié)議設(shè)計(jì)之初并未考慮主機(jī)移動(dòng)的情況。但是��,當(dāng)主機(jī)移動(dòng)越來(lái)越普遍時(shí),這種IP地址的語(yǔ)義過(guò)載缺陷日益明顯。如:當(dāng)主機(jī)的IP地址發(fā)生變化時(shí),不僅路由要發(fā)生變化��,通信終端主機(jī)的身份標(biāo)識(shí)也發(fā)生變化,這樣會(huì)導(dǎo)致路由負(fù)載越來(lái)越重�,而且主機(jī)標(biāo)識(shí)的變化會(huì)導(dǎo)致應(yīng)用和連接的中斷�。為了解決上述問(wèn)題���,業(yè)界開始研究身份標(biāo)識(shí)和位置分離的網(wǎng)絡(luò),以解決IP地址的語(yǔ)義過(guò)載和路由負(fù)載嚴(yán)重以及安全等問(wèn)題,將IP地址的雙重功能進(jìn)行分離���,實(shí)現(xiàn)對(duì)移動(dòng)性�、多家鄉(xiāng)性、IP地址動(dòng)態(tài)重分配�、減輕路由負(fù)載及下一代互聯(lián)網(wǎng)中不同網(wǎng)絡(luò)區(qū)域之間的互訪等問(wèn)題的支持�。目前已經(jīng)提出了多種身份標(biāo)識(shí)與位置標(biāo)識(shí)分離的網(wǎng)絡(luò)的架構(gòu)��。其中�,一種終端身份標(biāo)識(shí)和位置分離網(wǎng)絡(luò)架構(gòu)如圖1所示��。其中,ASR(Access Service Router)為接入服務(wù)路由器�����,用于接入用戶終端����,并承擔(dān)計(jì)費(fèi)以及切換等功能���;ILR(Identification & LocationRegister)為身份位置寄存器���,用于承擔(dān)終端的位置注冊(cè)和身份識(shí)別的功能�,建立終端接入標(biāo)識(shí)(Access Identification,AID)和終端接入位置的映射關(guān)系,AID與終端的硬件相關(guān)�,每個(gè)終端在所述終端身份標(biāo)識(shí)和位置分離網(wǎng)絡(luò)中的AID唯一��。此外�,該網(wǎng)絡(luò)還可包含一個(gè)互聯(lián)互通接入服務(wù)路由器ISR,用于接入業(yè)務(wù)服務(wù)器�����,其工作流程與ASR類似����。為描述方便,下文將用戶身份標(biāo)識(shí)和位置分離網(wǎng)絡(luò)簡(jiǎn)稱為SILSN(Subscriber Identifier and LocatorSeparation Network)。當(dāng)今互聯(lián)網(wǎng)已成為人們工作和生活不可分割一部分��,然而互聯(lián)網(wǎng)層出不窮的安全問(wèn)題���,如釣魚網(wǎng)站��、謠言、誹鎊等����,使很多互聯(lián)網(wǎng)用戶遭受了巨大損失,為維護(hù)網(wǎng)絡(luò)的正常秩序��,各國(guó)公安部門開始偵辦網(wǎng)絡(luò)犯罪行為����。傳統(tǒng)網(wǎng)絡(luò)中,互聯(lián)網(wǎng)犯罪較難取證�,而對(duì)于SILSN網(wǎng)絡(luò)����,由于同一終端不論漫游到網(wǎng)內(nèi)的哪個(gè)接入服務(wù)路由器,獲取到的身份信息(如身份標(biāo)識(shí)AID)均相同�����,為溯源用戶真實(shí)身份提供了方便,但在由于SILSN網(wǎng)絡(luò)內(nèi)尚未建立認(rèn)證機(jī)制����,如果SILSN網(wǎng)絡(luò)內(nèi)出現(xiàn)以管理員身份散步謠言的用戶,仍然威脅網(wǎng)絡(luò)安全����。
發(fā)明內(nèi)容
本發(fā)明提供了一種信息安全傳輸方法、系統(tǒng)及接入服務(wù)節(jié)點(diǎn)��,用于解決如何保證信息在網(wǎng)絡(luò)中的安全傳輸?shù)募夹g(shù)問(wèn)題��。為解決該技術(shù)問(wèn)題��,本發(fā)明提供了一種信息安全傳輸方法,包括以下步驟:
鑒權(quán)服務(wù)器通過(guò)源接入服務(wù)節(jié)點(diǎn)對(duì)接入的源終端接入認(rèn)證�����,以及通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端交互確定傳輸密鑰對(duì)��,所述密鑰對(duì)包括私鑰Kin和公鑰Kout ����;
所述源接入服務(wù)節(jié)點(diǎn)通過(guò)所述私鑰Kin計(jì)算所述源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文的簽名����,并將所述數(shù)據(jù)報(bào)文及其簽名發(fā)送至目的接入服務(wù)節(jié)點(diǎn);
所述目的接入服務(wù)節(jié)點(diǎn)通過(guò)所述公鑰Kout再次計(jì)算接收的數(shù)據(jù)報(bào)文的簽名��,比較該簽名與接收到的簽名是否匹配,若二者匹配���,則判斷接收到的數(shù)據(jù)報(bào)文安全�����。
進(jìn)一步地��,所述接入服務(wù)節(jié)點(diǎn)為接入服務(wù)路由器(ASR)和/或互連互通服務(wù)路由器(ISR)�;
所述鑒權(quán)服務(wù)器為鑒權(quán)授權(quán)計(jì)費(fèi)(AAA)服務(wù)器或歸屬位置寄存/鑒權(quán)中心(HLR/AUC)���。
進(jìn)一步地��,所述鑒權(quán)服務(wù)器通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端交互確定傳輸密鑰對(duì)后�,
所述源接入服務(wù)節(jié)點(diǎn)接收所述源終端發(fā)送的所述私鑰Kin,或接收所述鑒權(quán)服務(wù)器發(fā)送的所述私鑰Kin ;
所述目的接入服務(wù)節(jié)點(diǎn)接收所述鑒權(quán)服務(wù)器發(fā)送的所述公鑰Kout����。
進(jìn)一步地�,所述簽名為數(shù)字摘要�����。
進(jìn)一步地��,所述鑒權(quán)服務(wù)器通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端交互確定傳輸密鑰對(duì)的方式包括:所述鑒權(quán)服務(wù)器通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端協(xié)商傳輸密鑰對(duì)���。
為解決上述問(wèn)題��,本發(fā)明還提供了一種信息安全傳輸系統(tǒng)����,該系統(tǒng)包括源接入服務(wù)節(jié)點(diǎn)���、鑒權(quán)服務(wù)器和目的接入服務(wù)節(jié)點(diǎn)�����,其中,
所述鑒權(quán)服務(wù)器,用于通過(guò)源接入服務(wù)節(jié)點(diǎn)對(duì)接入的源終端接入認(rèn)證���,以及通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端交互確定傳輸密鑰對(duì)�,所述密鑰對(duì)包括所述私鑰Kin和公鑰Kout ;
所述源接入服務(wù)節(jié)點(diǎn),用于通過(guò)所述私鑰Kin計(jì)算所述源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文的簽名�,并將所述數(shù)據(jù)報(bào)文及其簽名發(fā)送至目的終端接入的目的接入服務(wù)節(jié)點(diǎn);
所述目的接入服務(wù)節(jié)點(diǎn)��,用于接收來(lái)自源接入服務(wù)節(jié)點(diǎn)的數(shù)據(jù)報(bào)文及其簽名�,以及通過(guò)所述公鑰Kout再次計(jì)算接收的數(shù)據(jù)報(bào)文的簽名���,比較本次計(jì)算出的簽名與接收到的簽名是否匹配�,若二者匹配,則判斷接收到的數(shù)據(jù)報(bào)文安全���。
進(jìn)一步地����,所述接入服務(wù)節(jié)點(diǎn)為接入服務(wù)路由器(ASR)和/或互連互通服務(wù)路由器(ISR)�;
所述鑒權(quán)服務(wù)器為鑒權(quán)授權(quán)計(jì)費(fèi)(AAA)服務(wù)器或歸屬位置寄存/鑒權(quán)中心(HLR/AUC)���。
進(jìn)一步地����,所述源接入服務(wù)節(jié)點(diǎn)�����,還用于在鑒權(quán)服務(wù)器通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端交互確定傳輸密鑰對(duì)后�����,接收所述源終端發(fā)送的所述私鑰Kin�����,或接收所述鑒權(quán)服務(wù)器發(fā)送的所述私鑰Kin鑒權(quán)服務(wù)器���;
所述目的接入服務(wù)節(jié)點(diǎn),還用于在鑒權(quán)服務(wù)器通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端交互確定傳輸密鑰對(duì)后����,接收所述鑒權(quán)服務(wù)器發(fā)送的所述公鑰Kout��。
進(jìn)一步地,所述簽名為數(shù)字摘要���。
進(jìn)一步地���,所述鑒權(quán)服務(wù)器���,用于通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端交互確定傳輸密鑰對(duì)�����,包括:所述鑒權(quán)服務(wù)器,用于通過(guò)源接入服務(wù)節(jié)點(diǎn)通過(guò)與源終端協(xié)商的方式確定傳輸密鑰對(duì)。為解決上述問(wèn)題�,本發(fā)明還提供了一種支持信息安全傳輸?shù)慕尤敕?wù)節(jié)點(diǎn)����,所述接入服務(wù)節(jié)點(diǎn)包括終端接入認(rèn)證模塊、報(bào)文認(rèn)證模塊、報(bào)文發(fā)送模塊和報(bào)文接收模塊��,其中所述終端接入認(rèn)證模塊��,用于協(xié)助鑒權(quán)服務(wù)器對(duì)接入的源終端進(jìn)行接入認(rèn)證以及與源終端交互確定傳輸密鑰對(duì)�,所述密鑰對(duì)包括私鑰Kin和公鑰Kout ;以及并在認(rèn)證通過(guò)后����,通知報(bào)文認(rèn)證模塊認(rèn)證結(jié)果;所述報(bào)文認(rèn)證模塊,用于接收來(lái)自接收模塊的源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文,并在接收到來(lái)自終端認(rèn)證模塊的認(rèn)證結(jié)果后�����,通過(guò)所述私鑰Kin計(jì)算該數(shù)據(jù)報(bào)文的簽名���,并將該數(shù)據(jù)報(bào)文及其簽名一同發(fā)送至報(bào)文發(fā)送模塊���;以及接收到報(bào)文接收模塊發(fā)送的數(shù)據(jù)報(bào)文及其簽名后����,用所述公鑰Kout再次計(jì)算接收到的數(shù)據(jù)報(bào)文的簽名,比較本次計(jì)算的數(shù)據(jù)報(bào)文的簽名和接收到的數(shù)據(jù)報(bào)文的簽名是否匹配,若二者匹配��,則判斷接收到的數(shù)據(jù)報(bào)文安全�����;所述報(bào)文發(fā)送模塊�����,用于將來(lái)自所述報(bào)文認(rèn)證模塊的數(shù)據(jù)報(bào)文及其簽名向目的終端接入的目的接入服務(wù)節(jié)點(diǎn)發(fā)送����;所述報(bào)文接收模塊�����,用于接收源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文�����,并將該數(shù)據(jù)報(bào)文發(fā)送至報(bào)文認(rèn)證模塊;接收來(lái)自外部接入服務(wù)節(jié)點(diǎn)的數(shù)據(jù)報(bào)文及其簽名�,判斷該數(shù)據(jù)報(bào)文的目的接入服務(wù)節(jié)點(diǎn)是否為本接入服務(wù)節(jié)點(diǎn),若報(bào)文的目的接入服務(wù)節(jié)點(diǎn)是本接入服務(wù)節(jié)點(diǎn)��,將接收到的數(shù)據(jù)報(bào)文及其簽名一起發(fā)送至報(bào)文認(rèn)證模塊���。進(jìn)一步地�,所述報(bào)文接收模塊,還用于接收所述源終端發(fā)送的私鑰Kin����,并將該私鑰Kin發(fā)送至所述報(bào)文認(rèn)證模塊,或者接收所述鑒權(quán)服務(wù)器發(fā)送的私鑰Kin���,并將該私鑰Kin發(fā)送至所述報(bào)文認(rèn)證模塊;以及接收所述鑒權(quán)服務(wù)器發(fā)送的公鑰Kout�����,并將該公鑰Kout發(fā)送至所述報(bào)文認(rèn)證模塊�����。進(jìn)一步地����,所述簽名為數(shù)字摘要。未解決上述問(wèn)題��,本發(fā)明還提供了一種接入服務(wù)節(jié)點(diǎn)安全傳輸信息的方法,包括如下步驟:源接入服務(wù)節(jié)點(diǎn)協(xié)助鑒權(quán)服務(wù)器對(duì)接入的源終端進(jìn)行接入認(rèn)證以及與源終端交互確定傳輸密鑰對(duì)���,所述密鑰對(duì)包括私鑰Kin和公鑰Kout �����;源接入服務(wù)節(jié)點(diǎn)通過(guò)所述私鑰Kin計(jì)算所述源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文的簽名,并將所述數(shù)據(jù)報(bào)文及其簽名向目的終端接入的目的接入服務(wù)節(jié)點(diǎn)發(fā)送�;目的接入服務(wù)節(jié)點(diǎn)通過(guò)所述公鑰Kout再次計(jì)算接收到的數(shù)據(jù)報(bào)文的簽名,判斷本次計(jì)算得到的簽名和接收到的簽名是否匹配���,若二者匹配�����,則判斷接收到的數(shù)據(jù)報(bào)文安全��。進(jìn)一步地��,所述源接入服務(wù)節(jié)點(diǎn)從所述源終端或所述鑒權(quán)服務(wù)器處接收所述私鑰Kin,通過(guò)所述私鑰Kin計(jì)算所述源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文的簽名�����;所述目的接入服務(wù)節(jié)點(diǎn)從所述鑒權(quán)服務(wù)器處接收所述公鑰Kout�����,通過(guò)所述公鑰Kout再次計(jì)算接收到的數(shù)據(jù)報(bào)文的簽名�。進(jìn)一步地���,所述簽名為數(shù)字摘要�。
上述技術(shù)方案在接入服務(wù)節(jié)點(diǎn)中引入了一種數(shù)據(jù)報(bào)文認(rèn)證機(jī)制,保證了目的接入服務(wù)節(jié)點(diǎn)接收的報(bào)文來(lái)自合法的源接入服務(wù)節(jié)點(diǎn)�,從而避免身份位置分離網(wǎng)絡(luò)內(nèi)的某個(gè)接入服務(wù)節(jié)點(diǎn)冒充合法的源接入服務(wù)節(jié)點(diǎn)發(fā)送非法報(bào)文���,給整個(gè)網(wǎng)絡(luò)帶來(lái)安全隱患。
圖1為現(xiàn)有技術(shù)中的一種終端身份位置分離網(wǎng)絡(luò)架構(gòu)圖2為本實(shí)施例的信息安全傳輸方法流程圖3為本實(shí)施例的信息安全傳輸系統(tǒng)結(jié)構(gòu)圖4為本實(shí)施例的支持信息安全傳輸?shù)慕尤敕?wù)節(jié)點(diǎn)模塊圖。
具體實(shí)施方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白�,下文中將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說(shuō)明�����。需要說(shuō)明的是�����,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合。
圖2為本實(shí)施例的信息安全傳輸方法流程圖。
源接入服務(wù)節(jié)點(diǎn)接收到來(lái)自源終端UEl的接入請(qǐng)求后����,通知鑒權(quán)服務(wù)器對(duì)所述UEl進(jìn)行接入認(rèn)證����;
S201鑒權(quán)服務(wù)器通過(guò)源接入服務(wù)節(jié)點(diǎn)對(duì)接入的源終端接入認(rèn)證����,以及通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端交互確定傳輸密鑰對(duì)�,所述密鑰對(duì)包括私鑰Kin和公鑰Kout �����;
協(xié)商后的私鑰Kin和公鑰Kout可保存于源終端UEl和所述鑒權(quán)服務(wù)器中��;
所述接入服務(wù)節(jié)點(diǎn)為接入服務(wù)路由器(ASR)和/或互連互通服務(wù)路由器(ISR)����;
所述鑒權(quán)服務(wù)器為鑒權(quán)授權(quán)計(jì)費(fèi)(AAA)服務(wù)器或歸屬位置寄存/鑒權(quán)中心(HLR/AUC);
S202所述源接入服務(wù)節(jié)點(diǎn)通過(guò)所述私鑰Kin計(jì)算所述源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文的簽名�����,并將所述數(shù)據(jù)報(bào)文及其簽名發(fā)送至目的接入服務(wù)節(jié)點(diǎn)��;
所述源接入服務(wù)節(jié)點(diǎn)可從源終端UEl處接收所述私鑰Kin����,也可從所述鑒權(quán)服務(wù)器處接收所述私鑰Kin ��;
若所述源接入服務(wù)節(jié)點(diǎn)從源終端UEl處接收所述私鑰Kin���,由于不再需要再對(duì)UEl進(jìn)行身份識(shí)別和認(rèn)證����,接收過(guò)程簡(jiǎn)單;
若所述源接入服務(wù)節(jié)點(diǎn)從鑒權(quán)服務(wù)器處接收所述私鑰Kin���,由于需要由特殊的安全機(jī)制來(lái)保證傳輸私鑰的安全性,如通過(guò)Internet協(xié)議安全性協(xié)議(IPsec)在鑒權(quán)服務(wù)器和源接入服務(wù)節(jié)點(diǎn)之間建立加密隧道�,接收過(guò)程復(fù)雜,但由于不需要對(duì)終端的現(xiàn)有通信協(xié)議進(jìn)行修改�����,利于推廣實(shí)施。
所述簽名可以是數(shù)據(jù)報(bào)文的數(shù)字摘要(又稱消息摘要)�;
在身份位置分離網(wǎng)絡(luò)�����,步驟S202中確定目的接入服務(wù)節(jié)點(diǎn)可通過(guò)下述步驟實(shí)現(xiàn):
所述源接入服務(wù)節(jié)點(diǎn)接收到報(bào)文后,提取其中的目的終端UE2的身份標(biāo)識(shí)AID2 �;
所述源接入服務(wù)節(jié)點(diǎn)向存儲(chǔ)終端身份信息和位置信息對(duì)應(yīng)關(guān)系的網(wǎng)元查詢AID2與UE2的位置標(biāo)識(shí)RID2的映射關(guān)系,根據(jù)RID2確定UE2的位置�;
根據(jù)UE2的位置確定UE2接入的目的接入服務(wù)節(jié)點(diǎn)�;
其中����,所述UE的位置標(biāo)識(shí)RID可為UE接入的接入服務(wù)節(jié)點(diǎn)地址的網(wǎng)絡(luò)前綴;存儲(chǔ)終端身份信息和位置信息對(duì)應(yīng)關(guān)系的網(wǎng)元可以是在身份位置分離網(wǎng)絡(luò)中單獨(dú)設(shè)立的終端身份和位置寄存器ILR中,也可以是接入服務(wù)節(jié)點(diǎn)本身;當(dāng)所述接入服務(wù)節(jié)點(diǎn)自身沒(méi)有存儲(chǔ)AID與RID的映射關(guān)系,或者在已存儲(chǔ)的AID與RID的映射關(guān)系中找不到對(duì)應(yīng)的關(guān)系時(shí),所述接入服務(wù)節(jié)點(diǎn)可繼續(xù)向ILR查詢����。S203所述目的接入服務(wù)節(jié)點(diǎn)通過(guò)所述公鑰Kout再次計(jì)算接收的數(shù)據(jù)報(bào)文的簽名�;目的接入節(jié)點(diǎn)收到所述數(shù)據(jù)報(bào)文及其簽名后�����,判斷本地是否存在該用戶的傳輸公密鑰Kout ;如果不存在,可向鑒權(quán)服務(wù)器請(qǐng)求所述傳輸公密鑰Kout���。S204目的接入服務(wù)節(jié)點(diǎn)比較該簽名與接收到的簽名是否匹配�,若二者匹配����,執(zhí)行步驟S205 ;否則,執(zhí)行步驟S206 ����;S205目的接入服務(wù)節(jié)點(diǎn)判斷接收到的數(shù)據(jù)報(bào)文安全��,執(zhí)行步驟S206 ;S206流程結(jié)束�。該實(shí)施例中���,從源接入服務(wù)節(jié)點(diǎn)發(fā)送給目的接入服務(wù)節(jié)點(diǎn)的數(shù)據(jù)報(bào)文及其簽名還可能經(jīng)過(guò)多個(gè)中間接入服務(wù)節(jié)點(diǎn)����,此時(shí)中間接入服務(wù)節(jié)點(diǎn)在判斷出接收到報(bào)文的目的接入服務(wù)節(jié)點(diǎn)不是本節(jié)點(diǎn)后�����,直接轉(zhuǎn)發(fā)接收到的數(shù)據(jù)報(bào)文及其簽名,與現(xiàn)有技術(shù)相同��。 圖3為本實(shí)施例的信息安全傳輸系統(tǒng)結(jié)構(gòu)圖���。該系統(tǒng)包括源接入服務(wù)節(jié)點(diǎn)301�����、鑒權(quán)服務(wù)器302和目的接入服務(wù)節(jié)點(diǎn)303�����,其中���,源接入服務(wù)節(jié)點(diǎn)301,用于利用私鑰Kin計(jì)算所述源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文的簽名����,并將所述數(shù)據(jù)報(bào)文及其簽名發(fā)送至目的終端接入的目的接入服務(wù)節(jié)點(diǎn)303 �;所述源接入服務(wù)節(jié)點(diǎn)301���,還用于從源終端UEl接收所述私鑰Kin���,或從鑒權(quán)服務(wù)器302接收所述私鑰Kin �����;所述源接入服務(wù)節(jié)點(diǎn)301接收的來(lái)自源終端UEl發(fā)送給目的終端UE2的數(shù)據(jù)報(bào)文中包含目的終端的身份信息�����;所述源接入服務(wù)節(jié)點(diǎn)301根據(jù)所述目的終端的身份信息確定目的終端UE2的位置;所述目的終端UE2的位置可為其接入的接入服務(wù)節(jié)點(diǎn)地址的網(wǎng)絡(luò)前綴���;所述目的終端的身份信息和位置信息的對(duì)應(yīng)用關(guān)系可存儲(chǔ)在身份位置分離網(wǎng)絡(luò)中單獨(dú)設(shè)立的終端身份和位置寄存器ILR中,也可存儲(chǔ)在源接入服務(wù)節(jié)點(diǎn)301上��;所述鑒權(quán)服務(wù)器302�,用于通過(guò)源接入服務(wù)節(jié)點(diǎn)301對(duì)接入的源終端接入認(rèn)證���,以及通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端交互確定傳輸密鑰對(duì)�,所述密鑰對(duì)包括所述私鑰Kin和公鑰 Kout ��;協(xié)商后的私鑰Kin和公鑰Kout可保存于所述源終端UEl和所述鑒權(quán)服務(wù)器302中;所述目的接入服務(wù)節(jié)點(diǎn)303,用于接收來(lái)自源接入服務(wù)節(jié)點(diǎn)301的數(shù)據(jù)報(bào)文及其簽名����,以及利用公鑰Kout再次計(jì)算接收的數(shù)據(jù)報(bào)文的簽名����,比較本次計(jì)算出的簽名與接收到的簽名是否匹配��,若二者匹配����,則判斷接收到的數(shù)據(jù)報(bào)文安全�����;所述目的接入服務(wù)節(jié)點(diǎn)303����,還用于從鑒權(quán)服務(wù)器302處接收所述公鑰Kout �;為節(jié)約信令開銷�,目的接入服務(wù)節(jié)點(diǎn)303接收到所述公鑰Kout后���,可將該Kout存儲(chǔ)在本地,后續(xù)接收到源接入服務(wù)節(jié)點(diǎn)301發(fā)送的數(shù)據(jù)報(bào)文和其簽名后����,可直接在本地查詢所述公鑰Kout ;若本地查詢不到所述公鑰Kout,再?gòu)蔫b權(quán)服務(wù)器302處接收所述公鑰Kout ��;
所述目的接入服務(wù)節(jié)點(diǎn)303���,還用于將安全的數(shù)據(jù)報(bào)文發(fā)送至目的終端UE2,將不安全的數(shù)據(jù)報(bào)文丟棄��。
上述接入服務(wù)節(jié)點(diǎn)可為接入服務(wù)路由器(ASR)和/或互連互通服務(wù)路由器(ISR);
上述鑒權(quán)服務(wù)器可為鑒權(quán)授權(quán)計(jì)費(fèi)(AAA)服務(wù)器或歸屬位置寄存/鑒權(quán)中心器(HLR/AUC);
上述簽名可為數(shù)字摘要�����。
圖4為本實(shí)施例的支持信息安全傳輸?shù)慕尤敕?wù)節(jié)點(diǎn)模塊圖。
所述接入服務(wù)節(jié)點(diǎn)包括終端接入認(rèn)證模塊401、報(bào)文認(rèn)證模塊402、報(bào)文發(fā)送模塊403和報(bào)文接收模塊404,其中
所述終端接入認(rèn)證模塊401���,用于協(xié)助鑒權(quán)服務(wù)器對(duì)接入的源終端進(jìn)行接入認(rèn)證以及與源終端交互確定傳輸密鑰對(duì),所述密鑰對(duì)包括私鑰Kin和公鑰Kout ;以及并在認(rèn)證通過(guò)后,通知報(bào)文認(rèn)證模塊402認(rèn)證結(jié)果;
所述報(bào)文認(rèn)證模塊402,用于接收到來(lái)自接收模塊發(fā)送的源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文��,并在接收到來(lái)自終端認(rèn)證模塊的認(rèn)證結(jié)果后,利用所述私鑰Kin計(jì)算該數(shù)據(jù)報(bào)文的簽名�����,并將該數(shù)據(jù)報(bào)文及其簽名一同發(fā)送至報(bào)文發(fā)送模塊403;以及接收到報(bào)文接收模塊404發(fā)送的數(shù)據(jù)報(bào)文及其簽名后���,用所述公鑰Kout再次計(jì)算接收到的數(shù)據(jù)報(bào)文的簽名���,比較本次計(jì)算的數(shù)據(jù)報(bào)文的簽名和接收到的數(shù)據(jù)報(bào)文的簽名是否匹配�,若二者匹配��,則判斷接收到的數(shù)據(jù)報(bào)文安全�;
所述報(bào)文發(fā)送模塊403,用于將來(lái)自所述報(bào)文認(rèn)證模塊402的數(shù)據(jù)報(bào)文及其簽名向目的終端接入的目的接入服務(wù)節(jié)點(diǎn)發(fā)送;
所述報(bào)文接收模塊404���,用于接收源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文�,并將該數(shù)據(jù)報(bào)文發(fā)送至報(bào)文認(rèn)證模塊402 ;接收來(lái)自外部接入服務(wù)節(jié)點(diǎn)的數(shù)據(jù)報(bào)文及其簽名�����,判斷該數(shù)據(jù)報(bào)文的目的接入服務(wù)節(jié)點(diǎn)是否為本接入服務(wù)節(jié)點(diǎn)���,若報(bào)文的目的接入服務(wù)節(jié)點(diǎn)是本接入服務(wù)節(jié)點(diǎn),將接收到的數(shù)據(jù)報(bào)文及其簽名發(fā)送至報(bào)文認(rèn)證模塊402。
所述報(bào)文接收模塊404���,還用于在接收到源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文后�����,根據(jù)該數(shù)據(jù)報(bào)文中包含的目的終端的身份信息確定目的終端的位置�����;以及將確定的目的終端的位置發(fā)送至報(bào)文發(fā)送模塊403 ��;
所述目的終端的身份信息可以是目的終端的身份標(biāo)識(shí)AID ;
所述確定目的終端的位置可以是目的終端的位置標(biāo)識(shí)RID,所述RID為目的終端接入的目的接入服務(wù)節(jié)點(diǎn)地址的網(wǎng)絡(luò)前綴;
所述報(bào)文接收模塊404,還用于接收所述源終端發(fā)送的私鑰Kin����,并將該私鑰Kin發(fā)送至所述報(bào)文認(rèn)證模塊402��,或者接收所述鑒權(quán)服務(wù)器發(fā)送的私鑰Kin����,并將該私鑰Kin發(fā)送至所述報(bào)文認(rèn)證模塊402 ���;以及接收所述鑒權(quán)服務(wù)器發(fā)送的公鑰Kout���,并將該公鑰Kout發(fā)送至所述報(bào)文認(rèn)證模塊402��。
所述簽名為數(shù)字摘要�����。
本實(shí)施例的接入服務(wù)節(jié)點(diǎn)進(jìn)行信息安全傳輸?shù)姆椒?
源接入服務(wù)節(jié)點(diǎn)協(xié)助鑒權(quán)服務(wù)器對(duì)接入的源終端進(jìn)行接入認(rèn)證以及與源終端交互確定傳輸密鑰對(duì),所述密鑰對(duì)包括私鑰Kin和公鑰Kout ;源接入服務(wù)節(jié)點(diǎn)通過(guò)所述私鑰Kin計(jì)算所述源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文的簽名�����,并將所述數(shù)據(jù)報(bào)文及其簽名向目的終端接入的目的接入服務(wù)節(jié)點(diǎn)發(fā)送;所述源接入服務(wù)節(jié)點(diǎn)從所述源終端或所述鑒權(quán)服務(wù)器處接收所述私鑰Kin���,通過(guò)所述私鑰Kin計(jì)算所述源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文的簽名;目的接入服務(wù)節(jié)點(diǎn)通過(guò)所述公鑰Kout再次計(jì)算接收到的數(shù)據(jù)報(bào)文的簽名��,判斷本次計(jì)算得到的簽名和接收到的簽名是否匹配����,若二者匹配,則判斷接收到的數(shù)據(jù)報(bào)文安全�;所述目的接入服務(wù)節(jié)點(diǎn)從所述鑒權(quán)服務(wù)器處接收所述公鑰Kout���,通過(guò)所述公鑰Kout再次計(jì)算接收到的數(shù)據(jù)報(bào)文的簽名�����;所述簽名為數(shù)字摘要���。需要說(shuō)明的是,本發(fā)明還可有其他多種實(shí)施例�,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下�����,熟悉本領(lǐng)域的技術(shù)人員可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍�����。
權(quán)利要求
1.一種信息安全傳輸方法,其特征在于,所述方法包括以下步驟: 鑒權(quán)服務(wù)器通過(guò)源接入服務(wù)節(jié)點(diǎn)對(duì)接入的源終端接入認(rèn)證�����,以及通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端交互確定傳輸密鑰對(duì)�,所述密鑰對(duì)包括私鑰Kin和公鑰Kout ���; 所述源接入服務(wù)節(jié)點(diǎn)通過(guò)所述私鑰Kin計(jì)算所述源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文的簽名����,并將所述數(shù)據(jù)報(bào)文及其簽名發(fā)送至目的接入服務(wù)節(jié)點(diǎn)���; 所述目的接入服務(wù)節(jié)點(diǎn)通過(guò)所述公鑰Kout再次計(jì)算接收的數(shù)據(jù)報(bào)文的簽名,比較該簽名與接收到的簽名是否匹配���,若二者匹配���,則判斷接收到的數(shù)據(jù)報(bào)文安全����。
2.如權(quán)利要求1所述的方法�,其特征在于, 所述接入服務(wù)節(jié)點(diǎn)為接入服務(wù)路由器(ASR)和/或互連互通服務(wù)路由器(ISR)�����; 所述鑒權(quán)服務(wù)器為鑒權(quán)授權(quán)計(jì)費(fèi)(AAA)服務(wù)器或歸屬位置寄存/鑒權(quán)中心(HLR/AUC)����。
3.如權(quán)利要求1或2所述的方法�,其特征在于,所述鑒權(quán)服務(wù)器通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端交互確定傳輸密鑰對(duì)后, 所述源接入服務(wù)節(jié)點(diǎn)接收所述源終端發(fā)送的所述私鑰Kin�����,或接收所述鑒權(quán)服務(wù)器發(fā)送的所述私鑰Kin ; 所述目的接入服務(wù)節(jié)點(diǎn)接收所述鑒權(quán)服務(wù)器發(fā)送的所述公鑰Kout�。
4.如權(quán)利要求3所述的方法���,其特征在于, 所述簽名為數(shù)字摘要。
5.如權(quán)利要求1所述的方法���,其特征在于, 所述鑒權(quán)服務(wù)器通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端交互確定傳輸密鑰對(duì)的方式包括:所述鑒權(quán)服務(wù)器通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端協(xié)商傳輸密鑰對(duì)�。
6.一種信息安全傳輸系統(tǒng)�,其特征在于,該系統(tǒng)包括源接入服務(wù)節(jié)點(diǎn)�����、鑒權(quán)服務(wù)器和目的接入服務(wù)節(jié)點(diǎn)�,其中, 所述鑒權(quán)服務(wù)器,用于通過(guò)源接入服務(wù)節(jié)點(diǎn)對(duì)接入的源終端接入認(rèn)證,以及通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端交互確定傳輸密鑰對(duì),所述密鑰對(duì)包括所述私鑰Kin和公鑰Kout �;所述源接入服務(wù)節(jié)點(diǎn)����,用于通過(guò)所述私鑰Kin計(jì)算所述源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文的簽名�,并將所述數(shù)據(jù)報(bào)文及其簽名發(fā)送至目的終端接入的目的接入服務(wù)節(jié)點(diǎn)�����; 所述目的接入服務(wù)節(jié)點(diǎn)�,用于接收來(lái)自源接入服務(wù)節(jié)點(diǎn)的數(shù)據(jù)報(bào)文及其簽名�����,以及通過(guò)所述公鑰Kout再次計(jì) 算接收的數(shù)據(jù)報(bào)文的簽名,比較本次計(jì)算出的簽名與接收到的簽名是否匹配,若二者匹配,則判斷接收到的數(shù)據(jù)報(bào)文安全。
7.如權(quán)利要求6所述的系統(tǒng)��,其特征在于�����, 所述接入服務(wù)節(jié)點(diǎn)為接入服務(wù)路由器(ASR)和/或互連互通服務(wù)路由器(ISR); 所述鑒權(quán)服務(wù)器為鑒權(quán)授權(quán)計(jì)費(fèi)(AAA)服務(wù)器或歸屬位置寄存/鑒權(quán)中心(HLR/AUC)。
8.如權(quán)利要求6或7所述的系統(tǒng),其特征在于, 所述源接入服務(wù)節(jié)點(diǎn)��,還用于在鑒權(quán)服務(wù)器通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端交互確定傳輸密鑰對(duì)后�,接收所述源終端發(fā)送的所述私鑰Kin���,或接收所述鑒權(quán)服務(wù)器發(fā)送的所述私鑰Kin鑒權(quán)服務(wù)器�����; 所述目的接入服務(wù)節(jié)點(diǎn)�,還用于在鑒權(quán)服務(wù)器通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端交互確定傳輸密鑰對(duì)后���,接收所述鑒權(quán)服務(wù)器發(fā)送的所述公鑰Kout��。
9.如權(quán)利要求8所述的方法���,其特征在于,所述簽名為數(shù)字摘要。
10.如權(quán)利要求6所述的系統(tǒng),其特征在于,所述鑒權(quán)服務(wù)器,用于通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端交互確定傳輸密鑰對(duì)�,包括: 所述鑒權(quán)服務(wù)器�����,用于通過(guò)源接入服務(wù)節(jié)點(diǎn)通過(guò)與源終端協(xié)商的方式確定傳輸密鑰對(duì)。
11.一種支持信息安全傳輸?shù)慕尤敕?wù)節(jié)點(diǎn),其特征在于,所述接入服務(wù)節(jié)點(diǎn)包括終端接入認(rèn)證模塊��、報(bào)文認(rèn)證模塊�����、報(bào)文發(fā)送模塊和報(bào)文接收模塊,其中 所述終端接入認(rèn)證模塊����,用于協(xié)助鑒權(quán)服務(wù)器對(duì)接入的源終端進(jìn)行接入認(rèn)證以及與源終端交互確定傳輸密鑰對(duì)�����,所述密鑰對(duì)包括私鑰Kin和公鑰Kout ����;以及并在認(rèn)證通過(guò)后��,通知報(bào)文認(rèn)證模塊認(rèn)證結(jié)果; 所述報(bào)文認(rèn)證模塊,用于接收來(lái)自接收模塊的源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文,并在接收到來(lái)自終端認(rèn)證模塊的認(rèn)證結(jié)果后����,通過(guò)所述私鑰Kin計(jì)算該數(shù)據(jù)報(bào)文的簽名���,并將該數(shù)據(jù)報(bào)文及其簽名一同發(fā)送至報(bào)文發(fā)送模塊����;以及接收到報(bào)文接收模塊發(fā)送的數(shù)據(jù)報(bào)文及其簽名后��,用所述公鑰Kout再次計(jì)算接收到的數(shù)據(jù)報(bào)文的簽名�,比較本次計(jì)算的數(shù)據(jù)報(bào)文的簽名和接收到的數(shù)據(jù)報(bào)文的簽名是否匹配����,若二者匹配,則判斷接收到的數(shù)據(jù)報(bào)文安全���; 所述報(bào)文發(fā)送模塊,用于將來(lái)自所述報(bào)文認(rèn)證模塊的數(shù)據(jù)報(bào)文及其簽名向目的終端接入的目的接入服務(wù)節(jié)點(diǎn)發(fā)送��; 所述報(bào)文接收模塊���,用于接收源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文�����,并將該數(shù)據(jù)報(bào)文發(fā)送至報(bào)文認(rèn)證模塊;接收來(lái)自外部接入服務(wù)節(jié)點(diǎn)的數(shù)據(jù)報(bào)文及其簽名����,判斷該數(shù)據(jù)報(bào)文的目的接入服務(wù)節(jié)點(diǎn)是否為本接入服務(wù)節(jié)點(diǎn)��,若報(bào)文的目的接入服務(wù)節(jié)點(diǎn)是本接入服務(wù)節(jié)點(diǎn),將接收到的數(shù)據(jù)報(bào)文及其簽名`一起發(fā)送至報(bào)文認(rèn)證模塊�。
12.如權(quán)利要求11所述的接入服務(wù)節(jié)點(diǎn),其特征在于, 所述報(bào)文接收模塊,還用于接收所述源終端發(fā)送的私鑰Kin���,并將該私鑰Kin發(fā)送至所述報(bào)文認(rèn)證模塊��,或者接收所述鑒權(quán)服務(wù)器發(fā)送的私鑰Kin���,并將該私鑰Kin發(fā)送至所述報(bào)文認(rèn)證模塊;以及接收所述鑒權(quán)服務(wù)器發(fā)送的公鑰Kout��,并將該公鑰Kout發(fā)送至所述報(bào)文認(rèn)證模塊�����。
13.如權(quán)利要求11所述的接入服務(wù)節(jié)點(diǎn)��,其特征在于, 所述簽名為數(shù)字摘要����。
14.一種接入服務(wù)節(jié)點(diǎn)安全傳輸信息的方法,其特征在于�,所述方法包括以下步驟: 源接入服務(wù)節(jié)點(diǎn)協(xié)助鑒權(quán)服務(wù)器對(duì)接入的源終端進(jìn)行接入認(rèn)證以及與源終端交互確定傳輸密鑰對(duì),所述密鑰對(duì)包括私鑰Kin和公鑰Kout ; 源接入服務(wù)節(jié)點(diǎn)通過(guò)所述私鑰Kin計(jì)算所述源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文的簽名,并將所述數(shù)據(jù)報(bào)文及其簽名向目的終端接入的目的接入服務(wù)節(jié)點(diǎn)發(fā)送��; 目的接入服務(wù)節(jié)點(diǎn)通過(guò)所述公鑰Kout再次計(jì)算接收到的數(shù)據(jù)報(bào)文的簽名����,判斷本次計(jì)算得到的簽名和接收到的簽名是否匹配,若二者匹配,則判斷接收到的數(shù)據(jù)報(bào)文安全。
15.如權(quán)利要求14所述的方法,其特征在于���, 所述源接入服務(wù)節(jié)點(diǎn)從所述源終端或所述鑒權(quán)服務(wù)器處接收所述私鑰Kin,通過(guò)所述私鑰Kin計(jì)算所述源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文的簽名�����;所述目的接入服務(wù)節(jié)點(diǎn)從所述鑒權(quán)服務(wù)器處接收所述公鑰Kout���,通過(guò)所述公鑰Kout再次計(jì)算接收到的數(shù)據(jù)報(bào)文的簽名���。
16.如權(quán)利要求14所述的方法���,其特征在于��, 所述簽名為數(shù)字摘要����。
全文摘要
本發(fā)明提供了一種信息安全傳輸方法����、系統(tǒng)及接入服務(wù)節(jié)點(diǎn)����,其中所述方法包括如下步驟鑒權(quán)服務(wù)器通過(guò)源接入服務(wù)節(jié)點(diǎn)對(duì)接入的源終端接入認(rèn)證,以及通過(guò)源接入服務(wù)節(jié)點(diǎn)與源終端交互確定傳輸密鑰對(duì),密鑰對(duì)包括私鑰Kin和公鑰Kout;源接入服務(wù)節(jié)點(diǎn)通過(guò)私鑰Kin計(jì)算源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文的簽名,并將數(shù)據(jù)報(bào)文及其簽名發(fā)送至目的接入服務(wù)節(jié)點(diǎn)����;目的接入服務(wù)節(jié)點(diǎn)通過(guò)公鑰Kout再次計(jì)算接收的數(shù)據(jù)報(bào)文的簽名����,比較該簽名與接收到的簽名是否匹配���,若二者匹配����,則判斷接收到的數(shù)據(jù)報(bào)文安全。本發(fā)明保證目的接入服務(wù)節(jié)點(diǎn)接收的報(bào)文來(lái)自合法的源接入服務(wù)節(jié)點(diǎn),避免了網(wǎng)絡(luò)安全隱患�����。
文檔編號(hào)H04L9/32GK103107977SQ201110354399
公開日2013年5月15日 申請(qǐng)日期2011年11月10日 優(yōu)先權(quán)日2011年11月10日
發(fā)明者張世偉, 符濤 申請(qǐng)人:中興通訊股份有限公司