專利名稱:保障業(yè)務(wù)網(wǎng)絡(luò)安全的系統(tǒng)��、裝置及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域����,具體涉及一種保障業(yè)務(wù)網(wǎng)絡(luò)安全的系統(tǒng)�����、 裝置及方法�����。
背景技術(shù):
隨著電信網(wǎng)絡(luò)技術(shù)和用戶需求的發(fā)展����,業(yè)務(wù)的提供需要多樣化���,而當(dāng)業(yè)務(wù) 的多樣性達到一定程度����,不同業(yè)務(wù)之間的交互能力又制約了運營商進一步發(fā)展 更為復(fù)雜的業(yè)務(wù)。用戶迫切需要的是一個完整的業(yè)務(wù)供應(yīng)鏈而不是單獨訪問一 系列獨立的服務(wù)子系統(tǒng)�。而由于業(yè)務(wù)的供應(yīng)商不同��,技術(shù)思路��、方法���、路線不 同導(dǎo)致業(yè)務(wù)的整合也變得尤為困難。為了順應(yīng)業(yè)務(wù)管理的思路��,業(yè)界普遍以業(yè)務(wù)為中心重新對運營商的各類資 源進行整合�,統(tǒng)一抽象出網(wǎng)絡(luò)的各種能力和資源開放給上層業(yè)務(wù)使用。規(guī)范管 理業(yè)務(wù)的整個生命周期等等技術(shù)的出現(xiàn)為大量業(yè)務(wù)的有序管理提供了一定的 技術(shù)依據(jù)�,以此為基礎(chǔ),業(yè)務(wù)網(wǎng)絡(luò)的發(fā)展目標(biāo)就是要在網(wǎng)絡(luò)層之上的業(yè)務(wù)層面 建立一個虛擬的疊加網(wǎng)絡(luò)�,抽象出底層網(wǎng)絡(luò)的能力并加以隔離,讓大量的業(yè)務(wù)自由地運行于單一的業(yè)務(wù)網(wǎng)絡(luò)上進行自主交互��。這樣���,通過該業(yè)務(wù)網(wǎng)絡(luò)實現(xiàn)不同用戶之間的業(yè)務(wù)交互���。目前,IMS (IP Multimedia Subsystem, IP多媒體子系統(tǒng))網(wǎng)絡(luò)架構(gòu)作為 NGN ( Next Generation Network,下一代網(wǎng)絡(luò))的核心網(wǎng)����,采用分組域為其上 層控制信令和媒體傳輸?shù)某休d通道,引入SIP ( Session Initiation Protocol,初始 會話協(xié)議)協(xié)議作為業(yè)務(wù)控制協(xié)議,利用SIP簡單��、易擴展�、媒體組合方便的 特點,通過將業(yè)務(wù)控制與承載控制分離��,提供豐富的多媒體業(yè)務(wù)����。為了保證業(yè)務(wù)網(wǎng)絡(luò)的安全,首先要保證業(yè)務(wù)交互的安全�����。在IMS中����,安全
保證的基礎(chǔ)在于用戶與網(wǎng)絡(luò)之間的共享密鑰��。通信過程中的身份驗證以及協(xié)議 的機密性和完整性都依賴于該密鑰����。對于移動網(wǎng)絡(luò),該密鑰保存在網(wǎng)絡(luò)內(nèi)部的HSS ( Home Subscriber Server,歸屬用盧服務(wù)器)中�,始終不會從HSS被傳遞 出來,具有很高的安全性。而對于用戶�,該密鑰保存于用戶在初始訂購時移動 運營商為其發(fā)^:的UICC ( Universal Integrated Circuit Card,通用集成電路卡) 中的ISIM (IP Multimedia Services Identity Module, IP多媒體服務(wù)身份模塊i 模塊中,同樣不會從ISIM模塊中被傳遞出來�����,而UICC卡本身具有很強的安全 性�����,保存在其中的密鑰較難被竊取�。由于共享密鑰具有高的安全性,因此IMS 的安全性得到了有利的保證���。但是這種基于UICC卡的安全機制并不是一種通 用的安全策略�����,它需要為每個用戶預(yù)先分配一塊UICC卡這種物理設(shè)備��,對用 戶終端也有相應(yīng)的要求�,整個移動網(wǎng)絡(luò)系統(tǒng)有一整套的相關(guān)機制和流程���?�;?該原因�,這種安全策略并不適用于對業(yè)務(wù)的身份驗證和安全保護,無法在業(yè)務(wù) 網(wǎng)絡(luò)中被直接使用���。發(fā)明內(nèi)容本發(fā)明的主要目的是提供一種保障業(yè)務(wù)網(wǎng)絡(luò)安全的系統(tǒng)����,以解決業(yè)務(wù)網(wǎng)絡(luò) 業(yè)務(wù)交互過程中的身份驗證與數(shù)據(jù)傳輸?shù)陌踩员Wo問題���,保證業(yè)務(wù)交互的安全���。本發(fā)明的另一個目的是提供一種驗證裝置,以對接入業(yè)務(wù)網(wǎng)絡(luò)的業(yè)務(wù)提供 身份驗證��,并為該業(yè)務(wù)提供業(yè)務(wù)網(wǎng)絡(luò)驗證信息�。本發(fā)明的另一個目的是提供一種保障業(yè)務(wù)網(wǎng)絡(luò)安全的方法����,以保證業(yè)務(wù)網(wǎng) 絡(luò)的安全。為此��,本發(fā)明提供如下的技術(shù)方案一種保障業(yè)務(wù)網(wǎng)絡(luò)安全的系統(tǒng)�����,所述系統(tǒng)包括業(yè)務(wù)路由器,提供業(yè)務(wù)之間交互過程中的信息轉(zhuǎn)發(fā)及代理����;
業(yè)務(wù)注冊中心,通過業(yè)務(wù)網(wǎng)絡(luò)與業(yè)務(wù)路由器相連��,用于對通過業(yè)務(wù)路由器 接入的業(yè)務(wù)進行動態(tài)注冊�����;證書中心����,通過業(yè)務(wù)網(wǎng)絡(luò)與業(yè)務(wù)路由器相連,用于為所述業(yè)務(wù)和網(wǎng)絡(luò)實休簽發(fā)數(shù)字證書�����;驗證中心�����,通過業(yè)務(wù)網(wǎng)絡(luò)與業(yè)務(wù)注冊中心��、證書中心及業(yè)務(wù)路由器相連, 用于在業(yè)務(wù)注冊過程中根據(jù)業(yè)務(wù)注冊中心的指令����,向證書中心查詢或從本地獲 得所述業(yè)務(wù)的數(shù)字證書并確認(rèn)其有效性,同時根據(jù)所述數(shù)字證書中的信息對該 業(yè)務(wù)進行身份驗證����,并為業(yè)務(wù)提供業(yè)務(wù)網(wǎng)絡(luò)驗證信息。業(yè)務(wù)與業(yè)務(wù)路由器之間建立有安全關(guān)聯(lián)的傳輸��。所述驗證中心包括接口模塊��,用于處理驗證過程中對外的信息交互���; 業(yè)務(wù)證書數(shù)據(jù)庫���,用于保存業(yè)務(wù)的數(shù)字證書;驗證處理模塊�,用于根據(jù)接口模塊收到的業(yè)務(wù)注冊中心的請求消息生成業(yè) 務(wù)網(wǎng)絡(luò)驗證信息Nau,并在接口模塊獲得業(yè)務(wù)驗證信息Sau后,從業(yè)務(wù)證書數(shù) 據(jù)庫獲取該業(yè)務(wù)的數(shù)字證書�����,并對證書有效的業(yè)務(wù)進行驗證�,包括計算所述 業(yè)務(wù)驗證信息Sau中去掉數(shù)字簽名部分的摘要值,同時使用所述數(shù)字證書中該 業(yè)務(wù)的公鑰對所述業(yè)務(wù)驗證信息中的數(shù)字簽名進行解析得到被簽名的摘要值�, 并根據(jù)得到的兩個摘要值是否相同確定對業(yè)務(wù)的驗證是否通過;私鑰存儲模塊�,用于存儲并向驗證處理模塊提供生成業(yè)務(wù)網(wǎng)絡(luò)驗證信息 Nau所需的業(yè)務(wù)網(wǎng)絡(luò)證書公鑰相對應(yīng)的私鑰;證書請求與確認(rèn)模塊�,用于根據(jù)驗證處理模塊的請求查詢證書中心以確認(rèn) 所述業(yè)務(wù)數(shù)字證書的有效性,或者在驗證處理模塊未在業(yè)務(wù)證書數(shù)據(jù)庫中獲取 到所述業(yè)務(wù)的數(shù)字證書時����,根據(jù)驗證處理模塊的請求向證書中心請求業(yè)務(wù)的數(shù) 字證書。所述驗證中心還包括密鑰分配模塊����,用于根據(jù)驗證處理模塊的請求為接入業(yè)務(wù)網(wǎng)絡(luò)的業(yè)務(wù)與其 連接的業(yè)務(wù)路由器分配建立安全傳輸連接的共享密鑰。 證書中心包括證書信息存儲模塊����,用于存儲業(yè)務(wù)和網(wǎng)絡(luò)實體對應(yīng)的數(shù)字證書和證書撤銷列表;注冊模塊�����,用于對申請證書的業(yè)務(wù)和網(wǎng)絡(luò)實體進行身份審核�����;證書權(quán)威模塊,用于根據(jù)注冊模塊的審核結(jié)果對業(yè)務(wù)和網(wǎng)絡(luò)實體簽發(fā)��、作 廢證書��,并將所述業(yè)務(wù)和網(wǎng)絡(luò)實體對應(yīng)的數(shù)字證書和證書撤銷列表存儲到所述 證書信息存儲模塊中�。一種驗證裝置,用于對接入業(yè)務(wù)網(wǎng)絡(luò)的業(yè)務(wù)進行身份驗證�����,并為該業(yè)務(wù)提 供業(yè)務(wù)網(wǎng)絡(luò)驗證信息�,所述裝置包括接口模塊,用于處理驗證過程中對外的信息交互����;業(yè)務(wù)證書數(shù)據(jù)庫,用于保存業(yè)務(wù)的數(shù)字證書���;驗證處理模塊�����,用于根據(jù)接口模塊收到的對所述業(yè)務(wù)驗證的請求消息生成 業(yè)務(wù)網(wǎng)絡(luò)驗證信息Nau�����,并在接口模塊獲得業(yè)務(wù)驗證信息Sau后�����,從業(yè)務(wù)證書 數(shù)據(jù)庫獲取該業(yè)務(wù)的數(shù)字證書���,并對證書有效的業(yè)務(wù)進行驗證,包括計算所 述業(yè)務(wù)驗證信息Sau中去掉數(shù)字簽名部分的摘要值�����,同時使用所述數(shù)字證書中 該業(yè)務(wù)的公鑰對所述業(yè)務(wù)驗證信息中的數(shù)字簽名進行解析得到被簽名的摘要 值���,并根據(jù)得到的兩個摘要值是否相同確定對業(yè)務(wù)的驗證是否通過��;私鑰存儲模塊����,用于存儲并向驗證處理模塊提供生成業(yè)務(wù)網(wǎng)絡(luò)驗證信息 Nau所需的業(yè)務(wù)網(wǎng)絡(luò)證書公鑰相對應(yīng)的私鑰���;證書請求與確認(rèn)模塊��,用于根據(jù)驗證處理模塊的請求查詢證書中心以確認(rèn) 所述業(yè)務(wù)數(shù)字證書的有效性���,或者在驗證處理模塊未在業(yè)務(wù)證書數(shù)據(jù)庫中獲取 到所述業(yè)務(wù)的數(shù)字證書時����,根據(jù)驗證處理模塊的請求向證書中心請求業(yè)務(wù)的數(shù) 字證書�。
所述裝置還包括密鑰分配模塊,用于根據(jù)驗證處理模塊的請求為接入業(yè)務(wù)網(wǎng)絡(luò)的業(yè)務(wù)與其 連接的業(yè)務(wù)路由器分配建立姿仝傳輸連接的共享密鑰�。 一種保障業(yè)務(wù)網(wǎng)絡(luò)安全的方法,所述方法包括A�、 當(dāng)業(yè)務(wù)接入業(yè)務(wù)網(wǎng)絡(luò)時,向業(yè)務(wù)網(wǎng)絡(luò)進行注冊�����;B����、 在業(yè)務(wù)注冊過程中,業(yè)務(wù)網(wǎng)絡(luò)和業(yè)務(wù)進行相互驗證�。 所述步驟A包括業(yè)務(wù)發(fā)送會話起始協(xié)議SIP注冊請求消息到其連接的業(yè)務(wù)路由器,并在消 息頭域中攜帶業(yè)務(wù)標(biāo)識SID及歸屬域標(biāo)識NID;業(yè)務(wù)路由器將所述SIP注冊請求消息轉(zhuǎn)發(fā)給網(wǎng)絡(luò)側(cè)����。 所述步驟A進一步包括如果在注冊前所述業(yè)務(wù)與所述業(yè)務(wù)路由器已建立好了安全傳輸連接,則業(yè) 務(wù)路由器在轉(zhuǎn)發(fā)給網(wǎng)絡(luò)側(cè)的SIP注冊請求消息頭域中標(biāo)注該注冊受完整性保 護信息。所述步驟B包括Bl����、業(yè)務(wù)網(wǎng)絡(luò)收到業(yè)務(wù)的SIP注冊請求消息后生成業(yè)務(wù)網(wǎng)絡(luò)驗證信息,并將其發(fā)送給業(yè)務(wù)��;B2 �、業(yè)務(wù)根據(jù)所述業(yè)務(wù)網(wǎng)絡(luò)驗證信息對業(yè)務(wù)網(wǎng)絡(luò)進行驗證��;B3�����、驗證通過后�,業(yè)務(wù)生成業(yè)務(wù)驗證信息,并將其發(fā)送給業(yè)務(wù)網(wǎng)絡(luò)����;B4、業(yè)務(wù)網(wǎng)絡(luò)根據(jù)所述業(yè)務(wù)驗證信息對業(yè)務(wù)進行驗證��;B5�、驗證通過后,業(yè)務(wù)網(wǎng)絡(luò)向業(yè)務(wù)發(fā)送確認(rèn)消息���。業(yè)務(wù)網(wǎng)絡(luò)將所述業(yè)務(wù)網(wǎng)絡(luò)驗證信息插入到SIP注冊響應(yīng)消息中發(fā)送給業(yè) 務(wù)����,并在該SIP注冊響應(yīng)消息中指示業(yè)務(wù)提供業(yè)務(wù)驗證信息。所述業(yè)務(wù)網(wǎng)絡(luò)將所述業(yè)務(wù)網(wǎng)絡(luò)驗證信息插入到SIP注冊響應(yīng)消息的 WWW-Authenticate頭域中���。 所述業(yè)務(wù)網(wǎng)絡(luò)驗證信息包括業(yè)務(wù)標(biāo)識����、時間戳��、現(xiàn)時值��、由業(yè)務(wù)網(wǎng)絡(luò)私 鑰加密摘要計算值形成的數(shù)字簽名�;所述業(yè)務(wù)驗證信息包括歸屬城標(biāo)識、時間戳�、現(xiàn)時值、由業(yè)務(wù)私4月加密 摘要計算值形成的數(shù)字簽名��。所述步驟B2包括業(yè)務(wù)計算所述業(yè)務(wù)網(wǎng)絡(luò)驗證信息中去掉數(shù)字簽名部分的摘要值�,同時使用 業(yè)務(wù)網(wǎng)絡(luò)的公鑰對所述業(yè)務(wù)網(wǎng)絡(luò)驗證信息中的數(shù)字簽名進行解析得到被簽名 的摘要值;如果得到的兩個摘要值相同���,則對業(yè)務(wù)網(wǎng)絡(luò)的驗證通過�; 如果得到的兩個摘要值不同,則對業(yè)務(wù)網(wǎng)絡(luò)的驗證失敗��。 所述步驟B4包括業(yè)務(wù)網(wǎng)絡(luò)計算所述業(yè)務(wù)驗證信息中去掉數(shù)字簽名部分的摘要值����,同時使用 業(yè)務(wù)的公鑰對所述業(yè)務(wù)驗證信息中的數(shù)字簽名進行解析得到被簽名的摘要值; 如果得到的兩個摘要值相同����,則對業(yè)務(wù)的驗證通過���; 如果得到的兩個摘要值不同�����,則對業(yè)務(wù)的驗證失敗�����。 所述步驟B3包括業(yè)務(wù)通過構(gòu)建新的SIP注冊請求消息���,在消息中攜帶所述業(yè)務(wù)驗證信息, 并將該消息發(fā)送給所述業(yè)務(wù)路由器�����;所述業(yè)務(wù)路由器在所述SIP注冊請求消息的頭域中標(biāo)注該注冊消息受完 整性保護信息,并將該消息發(fā)送給業(yè)務(wù)網(wǎng)絡(luò)�����。在所述新的SIP注冊請求消息的Authorization頭域中攜帶所述業(yè)務(wù)驗證信自�����、所述步驟Bl進一步包括如果所述SIP注冊請求消息中沒有完整性保護信息�,則業(yè)務(wù)網(wǎng)絡(luò)為業(yè)務(wù)與 所述業(yè)務(wù)路由器分配共享密鑰,并將其發(fā)送給業(yè)務(wù)與所述業(yè)務(wù)路由器�����。
所述方法進一步包括發(fā)送給業(yè)務(wù)的共享密鑰由業(yè)務(wù)的公鑰加密�,并包含在業(yè)務(wù)網(wǎng)絡(luò)驗證信息中。業(yè)務(wù)網(wǎng)絡(luò)將未加密的共享密鑰插入到SIP注冊響應(yīng)消息的頭域中發(fā)送給 所述業(yè)務(wù)路由器�,所述業(yè)務(wù)路由器保存接收到的該共享密鑰,然后從SIP注冊 響應(yīng)消息的頭域中將該共享密鑰刪除���。所述共享密鑰被插入到SIP注冊響應(yīng)消息的WWW-Authenticate頭域中..所述步驟B3進一步包括如果業(yè)務(wù)與業(yè)務(wù)路由器之間還未建立安全傳輸連接�,則業(yè)務(wù)基于所述共享 密鑰與業(yè)務(wù)路由器建立安全傳輸連接�����。由以上本發(fā)明提供的技術(shù)方案可以看出,本發(fā)明針對在業(yè)務(wù)網(wǎng)絡(luò)中不適于鑰數(shù)字簽名的方式進行身份驗證�����,并采用點對點安全傳輸方式保證了業(yè)務(wù)網(wǎng)絡(luò) 中協(xié)議消息的安全傳輸。利用本發(fā)明,無需業(yè)務(wù)和業(yè)務(wù)網(wǎng)絡(luò)之間預(yù)先共享密鑰����, 保障了業(yè)務(wù)網(wǎng)絡(luò)的安全運營�����。
圖1是本發(fā)明系統(tǒng)的一個實施例的組網(wǎng)圖;圖2是本發(fā)明系統(tǒng)中驗證中心的原理框圖�����;圖3是本發(fā)明系統(tǒng)中證書中心的原理框圖�;圖4是本發(fā)明中業(yè)務(wù)申請證書的流程圖;圖5是本發(fā)明中采用離線方式進行證書撤銷的流程圖����;圖6是本發(fā)明方法的一個實施例的實現(xiàn)流程圖�;圖7是本發(fā)明中業(yè)務(wù)網(wǎng)絡(luò)和業(yè)務(wù)進行相互驗證的消息交互流程圖��;圖8是本發(fā)明中驗證中心內(nèi)部驗證的消息交互流程圖��。
具體實施方式
本發(fā)明的核心在于基于PKI ( Public Key Infrastructure,公鑰基礎(chǔ)設(shè)施)技 術(shù)�����,通過公鑰/私鑰機制����,來解決業(yè)務(wù)網(wǎng)絡(luò)業(yè)務(wù)交互過程中的身份驗證問題, 同時提供協(xié)議信息傳輸過程中的完整性�、機密性和消息源的驗證保證。為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案�,下面結(jié)合附圖和實施方 式對本發(fā)明作進一步的詳細(xì)說明。本技術(shù)領(lǐng)域人員知道���,PKI是建立在公鑰密碼體制上的信息安全基礎(chǔ)設(shè) 施�,為應(yīng)用提供身份認(rèn)證�����、加密�����、數(shù)字簽名、時間戳等安全服務(wù)��。CA( Certificate Authority,數(shù)字證書認(rèn)證中心)是PKI的核心部件�,它的主要任務(wù)是數(shù)字證書、 證書撤消列表CRL (Certificate Revocation List)的簽發(fā)及管理����。通過有效地密 鑰和證書管理,PKI為用戶建立起一個安全的網(wǎng)絡(luò)運行環(huán)境�,使用戶可以在多 種應(yīng)用環(huán)境下方便地使用加密和數(shù)字簽名技術(shù),從而保證網(wǎng)絡(luò)中的數(shù)據(jù)通信的 安全性�����。在本發(fā)明中��,基于PKI技術(shù)����,在業(yè)務(wù)網(wǎng)絡(luò)中建立安全保障機制�,保證 業(yè)務(wù)網(wǎng)絡(luò)中業(yè)務(wù)交互過程中的身份驗證與數(shù)據(jù)傳輸?shù)陌踩浴J紫?��,參照圖1所示本發(fā)明系統(tǒng)的一個實施例的組網(wǎng)圖該系統(tǒng)包括業(yè)務(wù)路由器S13�����、業(yè)務(wù)路由器S14��、業(yè)務(wù)注冊中心S15�、驗 證中心S16、證書中心S17�。這些不同功能實體通過業(yè)務(wù)網(wǎng)絡(luò)相連。業(yè)務(wù)Sll 通過業(yè)務(wù)路由器S13接入業(yè)務(wù)網(wǎng)絡(luò)���,業(yè)務(wù)S12通過業(yè)務(wù)路由器S14接入業(yè)務(wù) 網(wǎng)絡(luò)����。其中�,業(yè)務(wù)路由器提供業(yè)務(wù)之間彼此交互過程中的信息轉(zhuǎn)發(fā)及代理功能;業(yè)務(wù)注 冊中心S15用于對通過業(yè)務(wù)路由器接入的業(yè)務(wù)進行動態(tài)注冊��;驗證中心S16 用于在業(yè)務(wù)注冊過程中根據(jù)業(yè)務(wù)注冊中心的指令�����,向證書中心查詢或從本地獲 得所述業(yè)務(wù)的數(shù)字證書并確認(rèn)其有效性�,同時根據(jù)所述數(shù)字證書中的信息對該 業(yè)務(wù)進行身份驗證��,并為業(yè)務(wù)提供業(yè)務(wù)網(wǎng)絡(luò)驗證信息�;證書中心S17為業(yè)務(wù)網(wǎng)
絡(luò)中的業(yè)務(wù)和網(wǎng)絡(luò)實體簽發(fā)數(shù)字證書����。數(shù)字證書中包括證書主體的名字、頒發(fā) 該證書的證書中心的名字��、主體的公鑰信息��、由證書中心私鑰簽署的數(shù)字簽名����、 證書有效期等信息。證書中心還將驗證證書的有效性��,保存證書并維持證書撤消列表CRL等 Zb為網(wǎng)絡(luò)實體之間信息傳輸?shù)陌踩涌?�,例如,可以通過IPSec ESP ( 1P Security Protocol Encapsulating Security Payload, IP網(wǎng)絡(luò)安全協(xié)議封裝安全凈 荷)來進行信息傳輸?shù)陌踩Wo��;Zs為業(yè)務(wù)與業(yè)務(wù)路由器之間信息傳輸?shù)陌踩涌?����,例如���,可以通過IPSec ESP來進行信息傳輸?shù)陌踩Wo���;IAuC-CC為驗證中心與證書中心之間的接口 ,負(fù)責(zé)處理兩者之間的交互���, 主要作用是由驗證中心查詢證書中心以獲得業(yè)務(wù)或者網(wǎng)絡(luò)實體的證書���,或者是 確認(rèn)證書的有效性。IAuC-CC接口可以采用LDAP (Lightweight Directory Access Protocol ���,輕量目錄訪問協(xié)議)協(xié)議作為證書的操作協(xié)議����,也可以采用 FTP( File Transfer Protocol,文件傳輸協(xié)議)���,HTTP( Hypertext Transfer Protocol, 超文本傳輸協(xié)議)等協(xié)議��。IAuC-SRC為驗證中心與業(yè)務(wù)注冊中心之間的接口 ���,業(yè)務(wù)在注冊過程中業(yè) 務(wù)注冊中心通過該接口調(diào)用驗證中心,以生成業(yè)務(wù)網(wǎng)絡(luò)驗證信息及對業(yè)務(wù)進行 驗證搡作。對于業(yè)務(wù)與業(yè)務(wù)路由器之間的安全接口 Zs,其傳輸安全保護的建立有兩 種方式�。 一種方式是在業(yè)務(wù)連接到業(yè)務(wù)路由器的初始階段,基于兩者各自的證 書來建立��。例如�����,如果采用的是IPsec網(wǎng)絡(luò)層安全機制����,則可采用標(biāo)準(zhǔn)的IKH (Internet Key Exchange,因特網(wǎng)密鑰交換)協(xié)議,建立業(yè)務(wù)和業(yè)務(wù)路由器之 間的安全關(guān)聯(lián)�。另夕|、一種方式則是在驗證過程中��,由驗證中心為業(yè)務(wù)和業(yè)務(wù)路 由器分配共享密鑰�����,基于共享密鑰建立業(yè)務(wù)和業(yè)務(wù)路由器之間的傳輸安全保 護�。如果采用的是IPsec網(wǎng)絡(luò)層安全機制,則是基于預(yù)共享密鑰的IKE協(xié)商�����,
建立業(yè)務(wù)和業(yè)務(wù)路由器之間的安全關(guān)聯(lián)。后一種方式的優(yōu)點在于業(yè)務(wù)網(wǎng)絡(luò)的安 全性完全由驗證中心所控制���,并且業(yè)務(wù)路由器不需要配置和處理數(shù)字證書 業(yè)務(wù)在接入業(yè)務(wù)網(wǎng)絡(luò)中并可以被正常使用之前,需要進行業(yè)務(wù)注冊以及身 份驗證����,同時業(yè)務(wù)本身也需要驗證它所接入的業(yè)務(wù)網(wǎng)絡(luò)的身份。驗證中心在業(yè)務(wù)注冊過程中為接入業(yè)務(wù)網(wǎng)絡(luò)的業(yè)務(wù)進行身份驗證���,同時為 業(yè)務(wù)提供對業(yè)務(wù)網(wǎng)絡(luò)的驗證�。兩個驗證過程都采用基于數(shù)字證書的數(shù)字簽名證證方式�。對于SIP請求消息,驗證相關(guān)信息將攜帶在SIP協(xié)議中的Authorization 頭域中��,而對于SIP響應(yīng)消息���,驗證相關(guān)信息將攜帶在SIP協(xié)議中的 WWW-Authenticate頭i或中�。圖2示出了本發(fā)明系統(tǒng)中驗證中心的原理框圖該驗證中心包括接口模塊S21��、驗證處理模塊S22�、證書請求與確認(rèn)模 塊S23、業(yè)務(wù)證書數(shù)據(jù)庫S24�����、私鑰存儲模塊S25、密鑰分配模塊S26���。其中�����,接口模塊S21用于處理驗證過程中對外的信息交互�����,例如接收業(yè)務(wù)的驗證 消息����,并向業(yè)務(wù)發(fā)送業(yè)務(wù)網(wǎng)絡(luò)的驗證消息等�����。驗證處理模塊S22使用業(yè)務(wù)的證書解析業(yè)務(wù)驗證信息Sau�����,以驗證業(yè)務(wù)的 身份�,除此之外���,驗證處理模塊還負(fù)責(zé)生成業(yè)務(wù)網(wǎng)絡(luò)驗證信息Nau,為業(yè)務(wù)提 供對業(yè)務(wù)網(wǎng)絡(luò)的驗證。驗證處理模塊S22對業(yè)務(wù)的驗證過程如下首先�,從業(yè)務(wù)證書數(shù)據(jù)庫獲取該業(yè)務(wù)的數(shù)字證書,然后對證書有效的業(yè)務(wù) 進行驗證�。包括計算所述業(yè)務(wù)驗證信息Sau中去掉數(shù)字簽名部分的摘要值, 同時使用所述數(shù)字證書中該業(yè)務(wù)的公鑰對所述業(yè)務(wù)驗證信息中的數(shù)字簽名進 行解析得到被簽名的摘要值��,并根據(jù)得到的兩個摘要值是否相同確定對業(yè)務(wù)的 驗證是否通過�����。如果這兩個值相同���,則表明對業(yè)務(wù)的驗證通過;否則�,驗證失 敗。證書請求與確認(rèn)模塊S23用于根據(jù)驗證處理模塊的請求查詢證書中心以 確認(rèn)所述業(yè)務(wù)數(shù)字證書的有效性�����,或者在驗證處理模塊未在業(yè)務(wù)證書數(shù)據(jù)庫中 獲取到所述業(yè)務(wù)的數(shù)字證書時�����,根據(jù)驗證處理模塊的請求向證書中心請求業(yè)務(wù) 的數(shù)字證書。業(yè)務(wù)證書數(shù)據(jù)庫S24用子保存業(yè)務(wù)的數(shù)字證書�。私鑰存儲模塊S25用于存儲并向驗證處理模塊提供生成業(yè)務(wù)網(wǎng)絡(luò)驗證信 息Nau所需的業(yè)務(wù)網(wǎng)絡(luò)證書公鑰相對應(yīng)的私鑰,以用于對業(yè)務(wù)網(wǎng)絡(luò)驗證信息 Nau進行數(shù)字簽名�。為了保證業(yè)務(wù)與業(yè)務(wù)路由器之間能夠建立安全傳輸連接,在該驗證中心中 還設(shè)置了密鑰分配模塊S26���,為業(yè)務(wù)與其連接的業(yè)務(wù)路由器分配共享密鑰IK 和CK,以建立兩者之間的安全傳輸連接���。證書中心是PKI公私鑰身份驗證體系的核心組成部件。根據(jù)需要�,在業(yè)務(wù) 網(wǎng)絡(luò)中可以建立一級或者多級證書中心。第一級證書中心作為根驗證中心��,將 為自身生成自簽名的數(shù)字證書�,并為下級證書中心簽發(fā)數(shù)字證書。圖3示出了本發(fā)明系統(tǒng)中證書中心的原理框圖該證書中心包括證書權(quán)威模塊S31�、注冊模塊S32、證書信息存儲模塊 S33�����。其中��,證書信息存儲模塊S33用于存儲業(yè)務(wù)和網(wǎng)絡(luò)實體對應(yīng)的數(shù)字證書 和證書撤銷列表�;注冊模塊S32用于對申請證書的業(yè)務(wù)和網(wǎng)絡(luò)實體進行身份審 核����;證書權(quán)威模塊S31用于根據(jù)注冊模塊的審核結(jié)果對業(yè)務(wù)和網(wǎng)絡(luò)實體簽發(fā)����、 作廢證書,并將所述業(yè)務(wù)和網(wǎng)絡(luò)實體對應(yīng)的數(shù)字證書和證書撤銷列表存儲到所 述證書信息存儲模塊中���。證書權(quán)威模塊S31是證書中心的核心模塊���,是頒發(fā)����、管理和作廢證書的實 體。為業(yè)務(wù)�����,網(wǎng)絡(luò)實體或者是下級證書中心頒發(fā)數(shù)字證書����。通過發(fā)布并且維護 證書撤消列表CRL來管理作廢了的證書。證書權(quán)威模塊S31在初始化的時候 首先產(chǎn)生自身的私鑰和公鑰��,然后由上級證書中心或其自身生成數(shù)字證書。此 夕卜��,證書權(quán)威模塊S31還可以為注冊模塊S32��、證書中心管理員等生成數(shù)字證 書�����,并且還可以支持和其它證書權(quán)威機構(gòu)之間的交叉認(rèn)證�。證書權(quán)威模塊S31 存有其私鑰以及其它與證書頒發(fā)有關(guān)的信息。出于安全的考慮�,可以將證書權(quán) 威模塊S31與其它模塊在物理上隔離。注冊模塊S32負(fù)責(zé)證書申請者的身份審核�,確認(rèn)擁有相應(yīng)私鑰的證明、信 息錄入�����、唯一標(biāo)識名的分配�����、證書申請的生成��。此外還向證書信息存儲模塊 S33轉(zhuǎn)發(fā)證書權(quán)威模塊S31頒發(fā)的數(shù)字證書和證書撤消列表CRL。注冊模塊 S32是保證證書真實性的關(guān)鍵模塊��,證書申請者應(yīng)可以通過安全的�,例如非電 子的方式向注冊模塊S32提交證書申請,通過注冊模塊S32對證書申請者的身 份真實性審核通過后��,其證書申請才能夠被接受���,這樣就保證了證書中心的權(quán) 威性和證書的真實性�。證書信息存儲模塊S33負(fù)責(zé)將注冊模塊S32傳遞過來的主體信息以及數(shù)字 證書和證書撤消列表CRL加入到數(shù)據(jù)庫中����。通過查詢證書信息存儲模塊S33 即可得到對應(yīng)實體的數(shù)字證書或者是驗證數(shù)字證書的有效性。例如��,驗證中心 可通過IAuC-CC接口查詢證書信息存儲模塊S33,獲得某個業(yè)務(wù)的證書�����,或 者是確認(rèn)其證書的有效性�����。證書中心內(nèi)各實體間的交互協(xié)議可采用RFC4210證書管理協(xié)議CMP (Certificate Management Protocol,證書管理協(xié)議)�����。證書可以通過離線的方式申請��,業(yè)務(wù)在可以連4妻到業(yè)務(wù)網(wǎng)絡(luò)之前���,必須先 申請證書����,由業(yè)務(wù)網(wǎng)絡(luò)的證書中心為其頒發(fā)證書��。業(yè)務(wù)申請證書的流程如圖4所示1. 業(yè)務(wù)向注冊模塊發(fā)送申請����。2. 注冊模塊確認(rèn)各種必要的證明材料(例如業(yè)務(wù)提供者的身份確認(rèn)材料、 用戶口令等)�,保存有關(guān)信息(例如對業(yè)務(wù)的描述信息、對業(yè)務(wù)提供者的描述信息��、證書申請的時間��、有效期��、條件等信息)�。3. 注冊模塊向證書權(quán)威模塊發(fā)出申請證書的請求,在該請求中可以包含 業(yè)務(wù)的公鑰等信息。 4. 證書權(quán)威模塊依據(jù)申請請求�����,為業(yè)務(wù)生成一份證書SC�����,證書由證書權(quán) 威模塊的私鑰簽名�����。如果沒有事先生成密鑰對�����,則由證書權(quán)威模塊負(fù)責(zé)為業(yè)務(wù) 生成公私密鑰對���。5. 證書權(quán)威模塊將證書SC發(fā)送給注冊模塊�,證書中包含可以驗證業(yè)務(wù) 身份的安全信息���,比如,該業(yè)務(wù)的公鑰UK�����。若密鑰對由證書權(quán)威模塊產(chǎn)生, 則證書權(quán)威模塊還將發(fā)送業(yè)務(wù)的私鑰PK到注冊模塊�����。6. 注冊模塊將證書SC加入到證書信息存儲模塊中���。7. 注冊模塊將證書SC發(fā)送給業(yè)務(wù)�。若由證書權(quán)威模塊產(chǎn)生密鑰對��,則 業(yè)務(wù)的私鑰PK也將由注冊模塊通過安全的方式發(fā)送給業(yè)務(wù)�����。證書具有一定的有效期�����,有效期滿則證書自動作廢����。由于某些原因,例如 可能的私鑰泄密或者是相關(guān)信息的變更�����,也可以在證書到期前使其作廢,這就 是證書撤消��。證書撤消也可以采用離線方式����,其流程如圖5所示1. 業(yè)務(wù)向注冊模塊發(fā)送撤消請求,請求撤消業(yè)務(wù)的證書SC�。2. 注冊模塊確認(rèn)各種必要的證明材料。3. 注冊模塊向證書權(quán)威模塊發(fā)出證書SC的撤消請求���。4. 證書權(quán)威模塊依據(jù)申請請求����,撤消證書SC���,生成證書撤消列表CRL, CRL由證書權(quán)威模塊的私鑰簽名���。5. 證書權(quán)威模塊將證書撤消列表CRL發(fā)送給注冊模塊。6. 注冊模塊將證書撤消列表CRL加入到證書信息存儲模塊中���。7. 注冊模塊發(fā)送證書SC撤消成功的確認(rèn)信息ACK到業(yè)務(wù)���。本發(fā)明還提供了 一種驗證裝置,其原理框圖與圖2所示本發(fā)明系統(tǒng)中的驗 證中心的原理框圖相同��,在此不再詳細(xì)描述����。參照圖6,圖6示出了本發(fā)明方法的一個實施例的實現(xiàn)流程��,包括以下步驟步驟601:當(dāng)業(yè)務(wù)接入業(yè)務(wù)網(wǎng)絡(luò)時���,向業(yè)務(wù)網(wǎng)絡(luò)進行注冊�。 在業(yè)務(wù)網(wǎng)絡(luò)中����,業(yè)務(wù)的注冊過程可以采用SIP ( Session Initiation Protocol, 會話起始協(xié)議)協(xié)議。具體地�,業(yè)務(wù)發(fā)送SIP注冊請求消息到其連接的業(yè)務(wù)路 由器,并在消息頭域中攜帶業(yè)務(wù)標(biāo)識SID及歸屬城標(biāo)識NID:然后由業(yè)務(wù)踗 由器將該SIP注冊請求消息轉(zhuǎn)發(fā)給網(wǎng)絡(luò)側(cè)���。如果在注冊前該業(yè)務(wù)與業(yè)務(wù)路由器 已建立好了安全傳輸連接���,則業(yè)務(wù)路由器在轉(zhuǎn)發(fā)給網(wǎng)絡(luò)側(cè)的SIP注冊請求消息 頭域中標(biāo)注該注冊受完整性保護信息���。步驟602:在業(yè)務(wù)注冊過程中,業(yè)務(wù)網(wǎng)絡(luò)和業(yè)務(wù)進行相互驗證,���,業(yè)務(wù)網(wǎng)絡(luò)對業(yè)務(wù)的驗證和業(yè)務(wù)對業(yè)務(wù)網(wǎng)絡(luò)的驗證都采用證書驗證方式����。對 于SIP請求消息��,可以將驗證相關(guān)信息攜帶在SIP協(xié)議中的Authorization頭域 中��,而對于SIP響應(yīng)消息�����,可以將驗證相關(guān)信息攜帶在SIP協(xié)議中的 WWW-Authenticate頭域中��。步驟603:驗證通過后�,業(yè)務(wù)在業(yè)務(wù)網(wǎng)絡(luò)中正常運行。例如�����,業(yè)務(wù)路由器只讓已經(jīng)通過注冊的業(yè)務(wù)在業(yè)務(wù)網(wǎng)絡(luò)中運行���,業(yè)務(wù)只有 在業(yè)務(wù)注冊中心注冊了�,才能被其它業(yè)務(wù)尋找到。下面結(jié)合本發(fā)明系統(tǒng)的原理框圖����,進一步說明本發(fā)明中在業(yè)務(wù)和業(yè)務(wù)網(wǎng)絡(luò) 間進行相互驗證的消息流程�����。參照圖7���,圖7是本發(fā)明中業(yè)務(wù)網(wǎng)絡(luò)和業(yè)務(wù)進行相互驗證的消息交互流程1. 業(yè)務(wù)發(fā)送SIP注冊請求消息Register到其連接的業(yè)務(wù)路由器����,在Register 消息的Authorization頭中包含業(yè)務(wù)的標(biāo)識SID與歸屬域標(biāo)識NID等信息�。其 中,SID的作用是讓業(yè)務(wù)網(wǎng)絡(luò)知道是哪個業(yè)務(wù)來注冊��,NID的作用是知道要去 哪個業(yè)務(wù)網(wǎng)絡(luò)注冊�����。2. 若在注冊前業(yè)務(wù)與業(yè)務(wù)路由器已經(jīng)建立好了安全傳輸連接�,業(yè)務(wù)路由 器將在Authorization頭中標(biāo)注該注冊消息受完整性保護�����。然后業(yè)務(wù)路由器轉(zhuǎn)發(fā) Register請求到業(yè)務(wù)路由器對應(yīng)的業(yè)務(wù)注冊中心�。3. 業(yè)務(wù)注冊中心請求驗證中心生成網(wǎng)絡(luò)驗證信息Nau,若注冊消息沒有 提供完整性保護��,則還需要驗證中心為業(yè)務(wù)與業(yè)務(wù)路由器分配共享密鑰��。4. 驗證中心生成網(wǎng)絡(luò)驗證信息Nau����。 Nau包含業(yè)務(wù)的標(biāo)識SID、時間戳 Tn和現(xiàn)時值Rn�����。時間戳Tn用于防止消息被延遲傳送����,現(xiàn)時值Rn用子檢測重 方欠攻擊。此外�,Nau還可包含其它的相關(guān)信息,例如業(yè)務(wù)網(wǎng)絡(luò)的證書�。若需分配共 享密鑰,驗證中心還將為業(yè)務(wù)與業(yè)務(wù)路由器生成完整性密鑰IK和加密密鑰 CK,由業(yè)務(wù)的公鑰加密為Es(IK�����,CK)�。業(yè)務(wù)的公鑰是包含在證書之中的,而業(yè) 務(wù)證書可以從證書中心獲得�����。在證書中心頒發(fā)證書的時候就被保存在證書信息 存儲模塊中�,驗證中心獲得該業(yè)務(wù)證書以后會將它保留在自己的業(yè)務(wù)證書數(shù)據(jù) 庫中��。Es(IK,CK)同樣被包含在Nau中��,然后對這些信息計算摘要��,用業(yè)務(wù)網(wǎng)絡(luò) 的私鑰簽名�,該數(shù)字簽名也將包含在Nau中。5. 驗證中心發(fā)送業(yè)務(wù)網(wǎng)絡(luò)驗證信息Nau到業(yè)務(wù)注冊中心�����。 若還分配了共享密鑰��,由于Nau將包含由業(yè)務(wù)公鑰加密的Es(IK,CK),只有業(yè)務(wù)才能解密���。因此����,還需發(fā)送未加密的IK和CK����,提供給業(yè)務(wù)路由器。6. 業(yè)務(wù)注冊中心將Nau或者還包括共享密鑰IK和CK插入到401 Unauthorized響應(yīng)的WWW-Authenticate頭中�����,并在響應(yīng)消息中指示業(yè)務(wù)提供 業(yè)務(wù)驗證信息���。然后將該響應(yīng)消息發(fā)送到業(yè)務(wù)路由器�����。7. 若包含共享密鑰信息���,業(yè)務(wù)路由器刪除WWW-Authenticate頭中的IK 和CK并將它們保存下來,以使業(yè)務(wù)路由器可以通過這兩個共享密鑰與業(yè)務(wù)建 立安全的傳輸連接���。然后轉(zhuǎn)發(fā)401 Unauthorized響應(yīng)到業(yè)務(wù)���。8. 業(yè)務(wù)接收到401 Unauthorized響應(yīng)后�,從WWW-Authenticate頭中獲得 Nau����。然后計算Nau中去掉數(shù)字簽名部分的摘要值,同時使用業(yè)務(wù)網(wǎng)絡(luò)的公鑰(該公鑰包含在業(yè)務(wù)網(wǎng)絡(luò)證書中����,而業(yè)務(wù)網(wǎng)絡(luò)證書可以從證書中心獲得,在證 書中心頒發(fā)證書的時候被保存在證書信息存儲模塊中)對數(shù)字簽名進行解析���, 得到被簽名的摘要值。如果這兩個摘要值相同���,則對業(yè)務(wù)網(wǎng)絡(luò)的驗證通過�;否則業(yè)務(wù)網(wǎng)絡(luò)驗證失敗�,注冊過程提前結(jié)束。若驗證通過����,業(yè)務(wù)將生成業(yè)務(wù)驗證信息Sau。類似的,Sau包含歸屬域的 標(biāo)識NID���、時間戳Ts���、現(xiàn)時值Rs,可能還有業(yè)務(wù)的證書等相關(guān)信息�����。此外還 包含Nau中的現(xiàn)時值Rn��,以及由業(yè)務(wù)私鑰對上述這些信息的數(shù)字簽名�����。若之前業(yè)務(wù)與業(yè)務(wù)路由器之間未建立安全傳輸連接��,則業(yè)務(wù)用私鑰解密 Es(IK���,CK),基于IK和CK�,業(yè)務(wù)與業(yè)務(wù)路由器之間將建立安全傳輸連接�����。9. 業(yè)務(wù)構(gòu)造新的SIP Register消息,并將Sau插入到Register消息中的 Authorization頭中�,然后將該SIP Register消息發(fā)送到業(yè)務(wù)路由器。10. 業(yè)務(wù)路由器在Authorization頭中標(biāo)注該注冊消息受完整性保護����,然后 轉(zhuǎn)發(fā)該SIP Register消息到業(yè)務(wù)注冊中心。11. 業(yè)務(wù)注冊中心從Authorization頭中獲得Sau��,然后將其發(fā)送到驗證中 心請求其對該業(yè)務(wù)進行驗證��。12. 驗證中心計算Sau中去掉數(shù)字簽名部分的摘要值���,同時使用業(yè)務(wù)的公 鑰對數(shù)字簽名進行解析得到被簽名的摘要值�。兩個摘要值相同則對業(yè)務(wù)的驗證 通過�,否則業(yè)務(wù)驗證失敗,注冊過程提前結(jié)束���。13. 驗證中心向注冊中心返回包含Sau的現(xiàn)時值Rs的業(yè)務(wù)驗證確認(rèn)信息。14. 業(yè)務(wù)注冊中心繼續(xù)后繼的注冊過程��。15. 業(yè)務(wù)注冊完成�,業(yè)務(wù)注冊中心將確認(rèn)信息Rs插入到200 0K響應(yīng)中發(fā) 送給業(yè)務(wù)路由器。16. 業(yè)務(wù)路由器轉(zhuǎn)發(fā)該200 0K響應(yīng)到業(yè)務(wù)�。參照圖8��,圖8是本發(fā)明中驗證中心內(nèi)部驗證的消息交互流程1. 業(yè)務(wù)發(fā)送業(yè)務(wù)注冊請求SIP Register到業(yè)務(wù)注冊中心��。2. 業(yè)務(wù)注冊中心請求驗證中心生成網(wǎng)絡(luò)驗證信息Nau,若注冊消息沒有
提供完整性保護���,則還需要驗證中心為業(yè)務(wù)與業(yè)務(wù)路由器分配共享密鑰。驗證 中心中由接口模塊接收該請求���。3. 接口模塊請求驗證處理模塊生成Nau��。4. 驗證處理模塊向私鑰存儲模塊請求私鑰PK�����。5. 私鑰存儲模塊向驗證處理模塊發(fā)送該私鑰PK��,若不需分配共享密鑰����, 則轉(zhuǎn)步驟8�����。6. 驗證處理模塊請求密鑰分配模塊為業(yè)務(wù)與業(yè)務(wù)路由器分配共享密鑰IK 和CK��。7. 密鑰分配模塊向驗證處理模塊發(fā)送分配的共享密鑰IK和CK。8. 驗證處理模塊構(gòu)造業(yè)務(wù)網(wǎng)絡(luò)驗證信息Nau���。9. 驗證處理模塊發(fā)送Nau或者還包括共享密鑰IK和CK到接口模塊�����。10. 接口模塊發(fā)送Nau或者還包括共享密鑰IK和CK到業(yè)務(wù)注冊中心���。11. 業(yè)務(wù)注冊中心將Nau或者還包括共享密鑰IK和CK插入到401 Unauthorized響應(yīng)中的WWW-Authenticate頭域中,然后將該401 Unauthorized 響應(yīng)消息發(fā)送到業(yè)務(wù)�。12. 業(yè)務(wù)首先驗證業(yè)務(wù)網(wǎng)絡(luò)身份,若分配了共享密鑰��,則還需在業(yè)務(wù)與業(yè) 務(wù)路由器之間建立安全傳輸連接���。然后業(yè)務(wù)構(gòu)造新的SIP Register消息�����,并將 業(yè)務(wù)驗證信息Sau插入到SIP Register消息中的Authorization頭域中�。然后將 該SIP Register消息發(fā)送到業(yè)務(wù)注冊中心���。13. 業(yè)務(wù)注冊中心從Authorization頭域中獲得Sau消息����,然后將Sau發(fā)送 到接口模塊請求驗證中心進行業(yè)務(wù)的驗證�����。14. 接口模塊發(fā)送業(yè)務(wù)驗證信息Sau到驗證處理模塊���。15. 驗證處理模塊向業(yè)務(wù)證書數(shù)據(jù)庫請求該業(yè)務(wù)的證書����。16. 業(yè)務(wù)證書數(shù)據(jù)庫發(fā)送業(yè)務(wù)的證書SC到驗證處理模塊�。17. 驗證處理模塊請求證書請求與確認(rèn)模塊確認(rèn)SC的有效性。18. 證書請求與確認(rèn)模塊查詢證書中心以確認(rèn)證書SC的有效性����。若業(yè)務(wù) 證書數(shù)據(jù)庫中無該業(yè)務(wù)的證書,則由證書請求與確認(rèn)模塊從證書中心下載該業(yè) 務(wù)的證書SC�。19. 證書請求與確認(rèn)模塊確認(rèn)SC有效并將結(jié)果通知驗證處理模塊。20. 驗證處理模塊使用證書SC中的公鑰解析業(yè)務(wù)驗證信息Sau對業(yè)務(wù)進 行驗證����。21. 接口模塊通知業(yè)務(wù)注冊中心業(yè)務(wù)驗證通過。雖然通過實施例描繪了本發(fā)明�����,本領(lǐng)域普通技術(shù)人員知道,本發(fā)明有許多 變形和變化而不脫離本發(fā)明的精神����,希望所附的權(quán)利要求包括這些變形和變化 而不脫離本發(fā)明的精神。
權(quán)利要求
1�����、 一種保障業(yè)務(wù)網(wǎng)絡(luò)安全的系統(tǒng)��,其特征在于�����,所述系統(tǒng)包括 業(yè)務(wù)路由器����,提供業(yè)務(wù)之間交互過程中的信息轉(zhuǎn)發(fā)及代理; 業(yè)務(wù)注冊中心���,通過業(yè)務(wù)網(wǎng)絡(luò)與業(yè)務(wù)路由器相連�,用于對通過業(yè)務(wù)路由器接入的業(yè)務(wù)進行動態(tài)注冊;證書中心����,通過業(yè)務(wù)網(wǎng)絡(luò)與業(yè)務(wù)路由器相連���,用于為所述業(yè)務(wù)和網(wǎng)絡(luò)實體 簽發(fā)數(shù)字證書�;驗證中心���,通過業(yè)務(wù)網(wǎng)絡(luò)與業(yè)務(wù)注冊中心�、證書中心及業(yè)務(wù)路由器相連�, 用于在業(yè)務(wù)注冊過程中根據(jù)業(yè)務(wù)注冊中心的指令,向證書中心查詢或從本地獲 得所述業(yè)務(wù)的數(shù)字證書并確認(rèn)其有效性��,同時根據(jù)所述數(shù)字證書中的信息對該 業(yè)務(wù)進行身份驗證��,并為業(yè)務(wù)提供業(yè)務(wù)網(wǎng)絡(luò)驗證信息�����。
2���、 根據(jù)權(quán)利要求1所述的系統(tǒng)��,其特征在于�,業(yè)務(wù)與業(yè)務(wù)路由器之間建 立有安全關(guān)聯(lián)的傳輸。
3�����、 根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其特征在于����,所述驗證中心包括 接口模塊,用于處理驗證過程中對外的信息交互��; 業(yè)務(wù)證書數(shù)據(jù)庫���,用于保存業(yè)務(wù)的數(shù)字證書���;驗證處理模塊,用于根據(jù)接口模塊收到的業(yè)務(wù)注冊中心的請求消息生成業(yè) 務(wù)網(wǎng)絡(luò)驗證信息Nau,并在接口模塊獲得業(yè)務(wù)驗證信息Sau后��,從業(yè)務(wù)證書數(shù) 據(jù)庫獲取該業(yè)務(wù)的數(shù)字證書��,并對證書有效的業(yè)務(wù)進行驗證,包括計算所述 業(yè)務(wù)驗證信息Sau中去掉數(shù)字簽名部分的摘要值����,同時使用所述數(shù)字證書中該 業(yè)務(wù)的公鑰對所述業(yè)務(wù)驗證信息中的數(shù)字簽名進行解析得到被簽名的摘要值, 并根據(jù)得到的兩個摘要值是否相同確定對業(yè)務(wù)的驗證是否通過��;私鑰存儲模塊���,用于存儲并向驗證處理模塊提供生成業(yè)務(wù)網(wǎng)絡(luò)驗證信息 Nau所需的業(yè)務(wù)網(wǎng)絡(luò)證書公鑰相對應(yīng)的私鑰;證書請求與確認(rèn)模塊�����,用于根據(jù)驗證處理模塊的請求查詢證書中心以確認(rèn) 所述業(yè)務(wù)數(shù)字證書的有效性���,或者在驗證處理模塊未在業(yè)務(wù)證書數(shù)據(jù)庫中獲取到所述業(yè)務(wù)的數(shù)字證書時��,根據(jù)驗證處理模塊的請求向證書中心請求業(yè)務(wù)的數(shù)字證書�。
4�、 根據(jù)權(quán)利要求3所述的系統(tǒng),其特征在于����,所迷驗證中心還包括密鑰分配模塊�����,用于根據(jù)驗證處理模塊的請求為接入業(yè)務(wù)網(wǎng)絡(luò)的業(yè)務(wù)與其 連接的業(yè)務(wù)路由器分配建立安全傳輸連接的共享密鑰���。
5、 根據(jù)權(quán)利要求1所述的系統(tǒng)�,其特征在于,證書中心包括 證書信息存儲模塊�,用于存儲業(yè)務(wù)和網(wǎng)絡(luò)實體對應(yīng)的數(shù)字證書和證書撤銷列表;注冊模塊�����,用于對申請證書的業(yè)務(wù)和網(wǎng)絡(luò)實體進行身份審核���; 證書權(quán)威模塊�����,用于根據(jù)注冊模塊的審核結(jié)果對業(yè)務(wù)和網(wǎng)絡(luò)實體簽發(fā)���、作廢證書,并將所述業(yè)務(wù)和網(wǎng)絡(luò)實體對應(yīng)的數(shù)字證書和證書撤銷列表存儲到所述證書信息存儲模塊中���。
6����、 一種驗證裝置,用于對接入業(yè)務(wù)網(wǎng)絡(luò)的業(yè)務(wù)進行身份驗證�����,并為該業(yè) 務(wù)提供業(yè)務(wù)網(wǎng)絡(luò)驗證信息��,其特征在于����,所迷裝置包括接口模塊���,用于處理驗證過程中對外的信息交互�; 業(yè)務(wù)證書數(shù)據(jù)庫�,用于保存業(yè)務(wù)的數(shù)字證書;驗證處理模塊��,用于根據(jù)接口模塊收到的對所述業(yè)務(wù)驗證的請求消息生成 業(yè)務(wù)網(wǎng)絡(luò)驗證信息Nau���,并在接口模塊獲得業(yè)務(wù)驗證信息Sau后��,從業(yè)務(wù)證書 數(shù)據(jù)庫獲取該業(yè)務(wù)的數(shù)字證書��,并對證書有效的業(yè)務(wù)進行驗證����,包括計算所 述業(yè)務(wù)驗證信息Sau中去掉數(shù)字簽名部分的摘要值,同時使用所述數(shù)字證書中 該業(yè)務(wù)的公鑰對所述業(yè)務(wù)驗證信息中的數(shù)字簽名進行解析得到被簽名的摘要 值�,并根據(jù)得到的兩個摘要值是否相同確定對業(yè)務(wù)的驗證是否通過私鑰存儲模塊,用于存儲并向驗證處理模塊提供生成業(yè)務(wù)網(wǎng)絡(luò)驗證信息 Nau所需的業(yè)務(wù)網(wǎng)絡(luò)證書公鑰相對應(yīng)的私鑰�����;證書請求與確認(rèn)模塊�,用于根據(jù)驗證處理模塊的請求查詢證書中心以確認(rèn) 所述業(yè)務(wù)數(shù)字證書的有效性,或者在驗證處理模塊未在業(yè)務(wù)證書數(shù)據(jù)庫中獲取 到所述業(yè)務(wù)的數(shù)字證書時�,根據(jù)驗證處理模塊的請求向證書中心請求業(yè)務(wù)的數(shù) 字證書。
7���、 根據(jù)權(quán)利要求6所述的裝置�,其特征在于�����,所迷裝置還包括 密鑰分配模塊���,用于根據(jù)驗證處理模塊的請求為接入業(yè)務(wù)網(wǎng)絡(luò)的業(yè)務(wù)與其連接的業(yè)務(wù)路由器分配建立安全傳輸連接的共享密鑰�����。
8�����、 一種保障業(yè)務(wù)網(wǎng)絡(luò)安全的方法���,其特征在于��,所述方法包括A��、 當(dāng)業(yè)務(wù)接入業(yè)務(wù)網(wǎng)絡(luò)時,向業(yè)務(wù)網(wǎng)絡(luò)進行注冊�;B、 在業(yè)務(wù)注冊過程中�����,業(yè)務(wù)網(wǎng)絡(luò)和業(yè)務(wù)進行相互驗證�����。
9、 根據(jù)權(quán)利要求8所述的方法���,其特征在于����,所述步驟A包括 業(yè)務(wù)發(fā)送會話起始協(xié)議SIP注冊請求消息到其連接的業(yè)務(wù)路由器�����,并在消息頭域中攜帶業(yè)務(wù)標(biāo)識SID及歸屬域標(biāo)識NID;業(yè)務(wù)路由器將所述SIP注冊請求消息轉(zhuǎn)發(fā)給網(wǎng)絡(luò)側(cè)����。
10、 根據(jù)權(quán)利要求9所述的方法����,其特征在于,所述步驟A進一步包括 如果在注冊前所述業(yè)務(wù)與所述業(yè)務(wù)路由器已建立好了安全傳輸連接���,則業(yè)務(wù)路由器在轉(zhuǎn)發(fā)給網(wǎng)絡(luò)側(cè)的SIP注冊請求消息頭域中標(biāo)注該注冊受完整性保 護信息��。
11�����、 根據(jù)權(quán)利要求9或IO所述的方法�����,其特征在于��,所述步驟B包括 Bl���、業(yè)務(wù)網(wǎng)絡(luò)收到業(yè)務(wù)的SIP注冊請求消息后生成業(yè)務(wù)網(wǎng)絡(luò)驗證信息����,并將其發(fā)送給業(yè)務(wù)��;B2��、業(yè)務(wù)根據(jù)所述業(yè)務(wù)網(wǎng)絡(luò)驗證信息對業(yè)務(wù)網(wǎng)絡(luò)進行驗證�;B3���、驗證通過后�����,業(yè)務(wù)生成業(yè)務(wù)驗證信息����,并將其發(fā)送給業(yè)務(wù)網(wǎng)絡(luò);B4����、業(yè)務(wù)網(wǎng)絡(luò)根據(jù)所述業(yè)務(wù)驗證信息對業(yè)務(wù)進行驗證;B5�����、驗證通過后�����,業(yè)務(wù)網(wǎng)絡(luò)向業(yè)務(wù)發(fā)送確認(rèn)消息���。
12��、 根據(jù)權(quán)利要求11所述的方法�����,其特征在于�, 業(yè)務(wù)網(wǎng)絡(luò)將所述業(yè)務(wù)網(wǎng)絡(luò)驗證信息插入到SIP注冊響應(yīng)消息中發(fā)送給業(yè) 務(wù),并在該SIP注冊響應(yīng)消息中指示業(yè)務(wù)提供業(yè)務(wù)驗證信息��。
13���、 根據(jù)權(quán)利要求12所迷的方法���,其特征在千,所述業(yè)務(wù)網(wǎng)絡(luò)將所述業(yè)務(wù)網(wǎng)絡(luò)驗證信息插入到SIP注冊響應(yīng)消息的 WWW-Authenticate頭i或中��。
14�、 根據(jù)權(quán)利要求11所述的方法,其特征在于����,所述業(yè)務(wù)網(wǎng)絡(luò)驗證信息包括業(yè)務(wù)標(biāo)識、時間戳��、現(xiàn)時值���、由業(yè)務(wù)網(wǎng)絡(luò)私 鑰加密摘要計算值形成的數(shù)字簽名����;所述業(yè)務(wù)驗證信息包括歸屬域標(biāo)識���、時間戳��、現(xiàn)時值�、由業(yè)務(wù)私鑰加密摘要計算值形成的數(shù)字簽名�����。
15�����、 根據(jù)權(quán)利要求14所述的方法����,其特征在于,所述步驟B2包括 業(yè)務(wù)計算所述業(yè)務(wù)網(wǎng)絡(luò)驗證信息中去掉數(shù)字簽名部分的摘要值�,同時使用業(yè)務(wù)網(wǎng)絡(luò)的公鑰對所述業(yè)務(wù)網(wǎng)絡(luò)驗證信息中的數(shù)字簽名進行解析得到被簽名 的摘要值;如果得到的兩個摘要值相同����,則對業(yè)務(wù)網(wǎng)絡(luò)的驗證通過; 如果得到的兩個摘要值不同��,則對業(yè)務(wù)網(wǎng)絡(luò)的驗證失敗��。
16、 根據(jù)權(quán)利要求14所述的方法��,其特征在于��,所述步驟B4包括 業(yè)務(wù)網(wǎng)絡(luò)計算所述業(yè)務(wù)驗證信息中去掉數(shù)字簽名部分的摘要值��,同時使用業(yè)務(wù)的公鑰對所述業(yè)務(wù)驗證信息中的數(shù)字簽名進行解析得到被簽名的摘要值���; 如果得到的兩個摘要值相同�����,則對業(yè)務(wù)的驗證通過��; 如果得到的兩個摘要值不同�����,則對業(yè)務(wù)的驗證失敗��。
17�����、根據(jù)權(quán)利要求11所述的方法���,其特征在于�,所述步驟B3包括 業(yè)務(wù)通過構(gòu)建新的SIP注冊請求消息��,在消息中攜帶所述業(yè)務(wù)驗證信息�,并將該消息發(fā)送給所述業(yè)務(wù)路由器����;所述業(yè)務(wù)路由器在所述SIP注冊請求消息的頭域中標(biāo)注該注冊消息受完整性保護信息,并將該消息發(fā)送給業(yè)務(wù)網(wǎng)絡(luò)�����。
18���、根據(jù)權(quán)利要求17所述的方法�����,其特征在于����,在所述新的SIP注冊請求消息的Authorization頭城中攜帶所速業(yè)務(wù)驗證信息��。
19、 根據(jù)權(quán)利要求11所述的方法���,其特征在于��,所述步驟B1進一步包括 如果所述SIP注冊請求消息中沒有完整性保護信息���,則業(yè)務(wù)網(wǎng)絡(luò)為業(yè)務(wù)與所述業(yè)務(wù)路由器分配共享密鑰,并將其發(fā)送給業(yè)務(wù)與所述業(yè)務(wù)路由器�。
20、 根據(jù)權(quán)利要求19所述的方法����,其特征在于,所述方法進一步包括 發(fā)送給業(yè)務(wù)的共享密鑰由業(yè)務(wù)的公鑰加密��,并包含在業(yè)務(wù)網(wǎng)絡(luò)驗證信息中��。
21����、 根據(jù)權(quán)利要求19所述的方法,其特征在于����,業(yè)務(wù)網(wǎng)絡(luò)將未加密的共享密鑰插入到SIP注冊響應(yīng)消息的頭域中發(fā)送給 所述業(yè)務(wù)路由器�����,所述業(yè)務(wù)路由器保存接收到的該共享密鑰��,然后從SIP注冊 響應(yīng)消息的頭域中將該共享密鑰刪除�。
22�����、 根據(jù)權(quán)利要求21所述的方法��,其特征在于����,所述共享密鑰纟皮插入到SIP注冊響應(yīng)消息的WWW-Authenticate頭域中����,
23、 根據(jù)權(quán)利要求19所述的方法��,其特征在于��,所述步驟B3進一步包括如果業(yè)務(wù)與業(yè)務(wù)路由器之間還未建立安全傳輸連接����,則業(yè)務(wù)基于所述共享 密鑰與業(yè)務(wù)路由器建立安全傳輸連接�����。
全文摘要
本發(fā)明公開了一種保障業(yè)務(wù)網(wǎng)絡(luò)安全的系統(tǒng)�����、裝置及方法��,所述系統(tǒng)包括業(yè)務(wù)路由器�,提供業(yè)務(wù)之間彼此交互過程中的信息轉(zhuǎn)發(fā)及代理���;業(yè)務(wù)注冊中心��,用于對通過業(yè)務(wù)路由器接入的業(yè)務(wù)進行動態(tài)注冊����;驗證中心��,用于在業(yè)務(wù)注冊過程中根據(jù)業(yè)務(wù)注冊中心的指令����,為接入業(yè)務(wù)網(wǎng)絡(luò)的業(yè)務(wù)進行身份驗證����,同時為業(yè)務(wù)提供對業(yè)務(wù)網(wǎng)絡(luò)的驗證����;證書中心,用于為接入業(yè)務(wù)網(wǎng)絡(luò)中的業(yè)務(wù)和網(wǎng)絡(luò)實體簽發(fā)數(shù)字證書�。本發(fā)明還公開了一種保障業(yè)務(wù)網(wǎng)絡(luò)安全的方法,當(dāng)業(yè)務(wù)接入業(yè)務(wù)網(wǎng)絡(luò)時��,向業(yè)務(wù)網(wǎng)絡(luò)進行注冊�����;在業(yè)務(wù)注冊過程中�����,業(yè)務(wù)網(wǎng)絡(luò)和業(yè)務(wù)進行相互驗證�����。利用本發(fā)明����,可以保證業(yè)務(wù)交互的安全,進而可以保證業(yè)務(wù)網(wǎng)絡(luò)的安全���。
文檔編號H04L9/32GK101145908SQ200610127230
公開日2008年3月19日 申請日期2006年9月14日 優(yōu)先權(quán)日2006年9月14日
發(fā)明者恒 常, 彥 李, 石曉旻, 鄒現(xiàn)軍 申請人:華為技術(shù)有限公司