專利名稱:一種信息安全傳輸方法及系統(tǒng)及接入服務(wù)節(jié)點(diǎn)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通訊領(lǐng)域��,尤其涉及一種信息安全傳輸方法及系統(tǒng)及接入服務(wù)節(jié)點(diǎn)�。
背景技術(shù):
現(xiàn)有因特網(wǎng)廣泛使用的傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議(Transmission ControlProtocol/Internet Protocol, TCP/IP)中IP地址具有雙重功能,既作為網(wǎng)絡(luò)層主機(jī)的網(wǎng)絡(luò)接口在網(wǎng)絡(luò)拓?fù)渲械奈恢脴?biāo)識(shí)��,又作為傳輸層的主機(jī)網(wǎng)絡(luò)接口的身份標(biāo)識(shí)���。TCP/IP協(xié)議設(shè)計(jì)之初并未考慮主機(jī)移動(dòng)的情況��。但是�,當(dāng)主機(jī)移動(dòng)越來越普遍時(shí),這種IP地址的語義過載缺陷日益明顯��。如:當(dāng)主機(jī)的IP地址發(fā)生變化時(shí)�����,不僅路由要發(fā)生變化����,通信終端主機(jī)的身份標(biāo)識(shí)也發(fā)生變化,這樣會(huì)導(dǎo)致路由負(fù)載越來越重��,而且主機(jī)標(biāo)識(shí)的變化會(huì)導(dǎo)致應(yīng)用和連接的中斷��。
為了解決上述問題�����,業(yè)界開始研究身份標(biāo)識(shí)和位置分離的網(wǎng)絡(luò)�����,以解決IP地址的語義過載和路由負(fù)載嚴(yán)重以及安全等問題,將IP地址的雙重功能進(jìn)行分離�,實(shí)現(xiàn)對(duì)移動(dòng)性、多家鄉(xiāng)性���、IP地址動(dòng)態(tài)重分配����、減輕路由負(fù)載及下一代互聯(lián)網(wǎng)中不同網(wǎng)絡(luò)區(qū)域之間的互訪等問題的支持���。
目前已經(jīng)提出了多種身份標(biāo)識(shí)與位置標(biāo)識(shí)分離的網(wǎng)絡(luò)的架構(gòu)���。其中,一種身份標(biāo)識(shí)和位置分離網(wǎng)絡(luò)架構(gòu)如圖1所示�����。該身份標(biāo)識(shí)和位置分離系統(tǒng)包含接入服務(wù)節(jié)點(diǎn)(Access Service Node, ASN)���、用戶終端(User Equipment, UE)、身份位置寄存器(Identification & Location Register, ILR)等���。其中�����,接入服務(wù)節(jié)點(diǎn)用于接入用戶終端�,負(fù)責(zé)實(shí)現(xiàn)用戶終端的接入,并承擔(dān)計(jì)費(fèi)以及切換等功能��;ILR承擔(dān)用戶的位置注冊和身份識(shí)別的功能�,每一個(gè)用戶終端都存在唯一的身份標(biāo)識(shí)符,即接入標(biāo)識(shí)(AccessIdentification, AID) ο圖1中��,接入服務(wù)器ASNl和ASN2用來接入用戶終端設(shè)備UE1���、UE2����,UEl和UE2分別存在唯一的身份標(biāo)識(shí)符AIDl和AID2�����。為描述方便���,下文將此用戶身份標(biāo)識(shí)和位置分離網(wǎng)絡(luò)簡稱為 SILSN(Subscriber Identifier & Locator Separation Network)�����。
當(dāng)今互聯(lián)網(wǎng)已成為人們工作和生活不可分割一部分�,然而互聯(lián)網(wǎng)層出不窮的安全問題,如釣魚網(wǎng)站��、謠言���、誹鎊等����,使很多互聯(lián)網(wǎng)用戶遭受了巨大損失���,為維護(hù)網(wǎng)絡(luò)的正常秩序��,各國公安部門開始偵辦網(wǎng)絡(luò)犯罪行為����。傳統(tǒng)網(wǎng)絡(luò)中���,互聯(lián)網(wǎng)犯罪較難取證����,而對(duì)于SILSN網(wǎng)絡(luò)���,由于同一終端不論漫游到網(wǎng)內(nèi)的哪個(gè)接入服務(wù)路由器�,獲取到的身份信息(如身份標(biāo)識(shí)AID)均相同���,為溯源用戶真實(shí)身份提供了方便�,但在由于SILSN網(wǎng)絡(luò)內(nèi)尚未建立消息認(rèn)證機(jī)制�,如果SILSN網(wǎng)絡(luò)內(nèi)出現(xiàn)以管理員身份散步謠言的用戶,仍然威脅網(wǎng)絡(luò)安全�。
SILSN網(wǎng)絡(luò)的一個(gè)重要特征是,不管用戶漫游到網(wǎng)內(nèi)的任何位置����,用戶總是以唯一的身份標(biāo)識(shí)AID接入網(wǎng)絡(luò),這給公安部門溯源不法行為帶來了極大便利�����。但這種用戶的唯一性必須由網(wǎng)絡(luò)來保證����,具體來說,就是從接入網(wǎng)到核心網(wǎng)�����,都要保證用戶的唯一性,如果其中一個(gè)環(huán)節(jié)沒有保證��,就會(huì)為整個(gè)網(wǎng)絡(luò)造成安全隱患����。
在SILSN中,用戶接入時(shí)可以沿用WCDMA的AKA等現(xiàn)有鑒權(quán)認(rèn)證算法���,用戶在接入時(shí)��,一般無法冒充其他用戶發(fā)送數(shù)據(jù)報(bào)文�����。但在SILSN網(wǎng)絡(luò)內(nèi)部���,如果某個(gè)管理員,盜用冒充某個(gè)用戶發(fā)送誹鎊數(shù)據(jù)報(bào)文��,由于SILSN網(wǎng)絡(luò)內(nèi)尚未建立消息認(rèn)證機(jī)制�����,公安部門將很難鑒別此用戶是否真正發(fā)送過此報(bào)文,從而可能導(dǎo)致誤判����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種信息安全傳輸方法及系統(tǒng)及接入服務(wù)節(jié)點(diǎn)���,解決SILSN核心網(wǎng)網(wǎng)絡(luò)中報(bào)文被假冒的安全性問題����。為了解決上述技術(shù)問題�,本發(fā)明提供了一種信息安全傳輸方法,其中���,鑒權(quán)服務(wù)器經(jīng)由源接入服務(wù)節(jié)點(diǎn)對(duì)接入此源接入服務(wù)節(jié)點(diǎn)的用戶設(shè)備進(jìn)行接入認(rèn)證并生成或與所述用戶設(shè)備協(xié)商會(huì)話的根密鑰���;所述源接入服務(wù)節(jié)點(diǎn)收到所述用戶設(shè)備發(fā)送的數(shù)據(jù)報(bào)文后,使用根據(jù)所述根密鑰生成的會(huì)話私鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名�,并將所述簽名和所述數(shù)據(jù)報(bào)文發(fā)送至所述數(shù)據(jù)報(bào)文的目標(biāo)接入服務(wù)節(jié)點(diǎn);所述目標(biāo)接入服務(wù)節(jié)點(diǎn)收到所述數(shù)據(jù)報(bào)文后�,使用所述鑒權(quán)服務(wù)器根據(jù)所述根密鑰生成的會(huì)話公鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名,與接收到的簽名比較如果兩者匹配則判定所述數(shù)據(jù)報(bào)文是安全報(bào)文����。進(jìn)一步地,上述方法還可以具有以下特點(diǎn):所述鑒權(quán)服務(wù)器與所述用戶設(shè)備協(xié)商根密鑰結(jié)束后,所述用戶設(shè)備或所述鑒權(quán)服務(wù)器將所述根密鑰通知至所述源接入服務(wù)節(jié)點(diǎn)��。進(jìn)一步地�����,上述方法還可以具有以下特點(diǎn):所述源接入服務(wù)節(jié)點(diǎn)收到所述用戶設(shè)備發(fā)送的所述會(huì)話的第一個(gè)數(shù)據(jù)報(bào)文后���,使用所述根密鑰生成所述會(huì)話的所述私鑰�����,并通知所述鑒權(quán)服務(wù)器建立會(huì)話密鑰�,所述鑒權(quán)服務(wù)器收到建立會(huì)話密鑰的通知后��,使用所述根密鑰生成所述會(huì)話的所述公鑰�。進(jìn)一步地,上述方法還可以具有以下特點(diǎn):所述源接入服務(wù)節(jié)點(diǎn)收到所述用戶設(shè)備發(fā)送的所述會(huì)話的第一個(gè)數(shù)據(jù)報(bào)文后���,生成一隨機(jī)數(shù)�����,根據(jù)所述根密鑰和所述隨機(jī)數(shù)生成所述會(huì)話的所述私鑰����,將所述隨機(jī)數(shù)連同所述會(huì)話的標(biāo)識(shí)通過建立會(huì)話密鑰通知消息通知至所述鑒權(quán)服務(wù)器,所述鑒權(quán)服務(wù)器根據(jù)所述根密鑰和所述隨機(jī)數(shù)生成所述會(huì)話的所述公鑰�����。進(jìn)一步地��,上述方法還可以具有以下特點(diǎn):所述鑒權(quán)服務(wù)器生成所述公鑰后通知所述接入服務(wù)節(jié)點(diǎn)會(huì)話密鑰建立完成�����。進(jìn)一步地��,上述方法還可以具有以下特點(diǎn):所述鑒權(quán)服務(wù)器是鑒權(quán)授權(quán)計(jì)費(fèi)(AAA)服務(wù)器或歸屬位置寄存/鑒權(quán)中心器(HLR/AUC)���,所述接入服務(wù)節(jié)點(diǎn)是接入服務(wù)器路由器或者是互聯(lián)互通服務(wù)器。為了解決上述技術(shù)問題�,本發(fā)明提供了一種信息安全傳輸系統(tǒng),包括用戶設(shè)備���,源接入服務(wù)節(jié)點(diǎn)���,目標(biāo)接入服務(wù)節(jié)點(diǎn),鑒權(quán)服務(wù)器,其中���,所述鑒權(quán)服務(wù)器�,用于經(jīng)由所述源接入服務(wù)節(jié)點(diǎn)對(duì)接入此源接入服務(wù)節(jié)點(diǎn)的用戶設(shè)備進(jìn)行接入認(rèn)證并生成或與所述用戶設(shè)備協(xié)商會(huì)話的根密鑰��;所述源接入服務(wù)節(jié)點(diǎn)��,用于收到所述用戶設(shè)備發(fā)送的數(shù)據(jù)報(bào)文后�,使用根據(jù)所述根密鑰生成的會(huì)話私鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名,并將所述簽名和所述數(shù)據(jù)報(bào)文發(fā)送至所述數(shù)據(jù)報(bào)文的目標(biāo)接入服務(wù)節(jié)點(diǎn)�;所述目標(biāo)接入服務(wù)節(jié)點(diǎn),用于從所述源接入服務(wù)節(jié)點(diǎn)收到所述數(shù)據(jù)報(bào)文后�����,使用所述鑒權(quán)服務(wù)器根據(jù)所述根密鑰生成的會(huì)話公鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名���,通過與接收到的簽名比較如果兩者匹配則判定所述數(shù)據(jù)報(bào)文是安全報(bào)文���。
進(jìn)一步地,上述系統(tǒng)還可以具有以下特點(diǎn):
所述用戶設(shè)備���,用于在所述鑒權(quán)服務(wù)器與所述用戶設(shè)備協(xié)商根密鑰結(jié)束后��,將所述根密鑰通知至所述源接入服務(wù)節(jié)點(diǎn)�。
進(jìn)一步地,上述系統(tǒng)還可以具有以下特點(diǎn):
所述鑒權(quán)服務(wù)器�,還用于與所述用戶設(shè)備協(xié)商根密鑰結(jié)束后,將所述根密鑰通知至所述源接入服務(wù)節(jié)點(diǎn)����。
進(jìn)一步地,上述系統(tǒng)還可以具有以下特點(diǎn):
所述源接入服務(wù)節(jié)點(diǎn)�����,還用于收到所述用戶設(shè)備發(fā)送的所述會(huì)話的第一個(gè)數(shù)據(jù)報(bào)文后�,使用所述根密鑰生成所述會(huì)話的所述私鑰���,并通知所述鑒權(quán)服務(wù)器建立會(huì)話密鑰����;
所述鑒權(quán)服務(wù)器���,還用于收到建立會(huì)話密鑰的通知后�,使用所述根密鑰生成所述會(huì)話的所述公鑰��。
進(jìn)一步地,上述系統(tǒng)還可以具有以下特點(diǎn):
所述源接入服務(wù)節(jié)點(diǎn)���,還用于收到所述用戶設(shè)備發(fā)送的所述會(huì)話的第一個(gè)數(shù)據(jù)報(bào)文后��,生成一隨機(jī)數(shù)�����,根據(jù)所述根密鑰和所述隨機(jī)數(shù)生成所述會(huì)話的所述私鑰���,將所述隨機(jī)數(shù)連同所述會(huì)話的標(biāo)識(shí)通過建立會(huì)話密鑰通知消息通知至所述鑒權(quán)服務(wù)器;
所述鑒權(quán)服務(wù)器��,還用于根據(jù)所述根密鑰和所述隨機(jī)數(shù)生成所述會(huì)話的所述公鑰���。
進(jìn)一步地�����,上述系統(tǒng)還可以具有以下特點(diǎn):
所述鑒權(quán)服務(wù)器�����,還用于生成所述公鑰后通知所述接入服務(wù)節(jié)點(diǎn)會(huì)話密鑰建立完成����。
進(jìn)一步地,上述系統(tǒng)還可以具有以下特點(diǎn):
所述鑒權(quán)服務(wù)器是鑒權(quán)授權(quán)計(jì)費(fèi)(AAA)服務(wù)器或歸屬位置寄存/鑒權(quán)中心器(HLR/AUC)�,所述接入服務(wù)節(jié)點(diǎn)是接入服務(wù)器路由器或者是互聯(lián)互通服務(wù)器。
為了解決上述技術(shù)問題����,本發(fā)明提供了一種接入服務(wù)節(jié)點(diǎn),其中��,
包括終端接入認(rèn)證模塊���、報(bào)文認(rèn)證模塊�、報(bào)文發(fā)送模塊和報(bào)文接收模塊���;
所述終端接入認(rèn)證模塊,用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的源接入服務(wù)節(jié)點(diǎn)時(shí)�,協(xié)助鑒權(quán)服務(wù)器完成對(duì)接入所述接入服務(wù)節(jié)點(diǎn)的用戶設(shè)備的接入認(rèn)證并獲知所述用戶設(shè)備的會(huì)話的根密鑰;
所述報(bào)文認(rèn)證模塊���,用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的源接入服務(wù)節(jié)點(diǎn)時(shí)�����,收到所述用戶設(shè)備發(fā)送的數(shù)據(jù)報(bào)文后���,使用根據(jù)所述根密鑰生成的會(huì)話私鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名��,并將所述簽名和所述數(shù)據(jù)報(bào)文發(fā)送至報(bào)文發(fā)送模塊��;還用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的目標(biāo)接入服務(wù)節(jié)點(diǎn)時(shí)��,收到其它接入服務(wù)節(jié)點(diǎn)發(fā)送的數(shù)據(jù)報(bào)文后���,使用從鑒權(quán)服務(wù)器獲知的根據(jù)所述根密鑰生成的會(huì)話公鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名,通過與接收到的簽名比較比較如果兩者匹配則判定所述數(shù)據(jù)報(bào)文是安全報(bào)文��;
所述報(bào)文接收模塊�,用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的源接入服務(wù)節(jié)點(diǎn)時(shí),接收源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文��,并將該數(shù)據(jù)報(bào)文發(fā)送至報(bào)文認(rèn)證模塊���;還用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的目標(biāo)接入服務(wù)節(jié)點(diǎn)時(shí)�,將從其它接入服務(wù)節(jié)點(diǎn)收到的數(shù)據(jù)報(bào)文和簽名發(fā)送至報(bào)文認(rèn)證模塊���;所述報(bào)文發(fā)送模塊����,用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的源接入服務(wù)節(jié)點(diǎn)時(shí),將來自所述報(bào)文認(rèn)證模塊的數(shù)據(jù)報(bào)文和第一身份認(rèn)證信息向所述數(shù)據(jù)報(bào)文的目標(biāo)接入服務(wù)節(jié)點(diǎn)發(fā)送����;還用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的目標(biāo)接入服務(wù)節(jié)點(diǎn)時(shí),在所述報(bào)文認(rèn)證模塊判斷數(shù)據(jù)報(bào)文安全時(shí)向目標(biāo)終端發(fā)送�。進(jìn)一步地,上述接入服務(wù)節(jié)點(diǎn)還可以具有以下特點(diǎn):所述報(bào)文認(rèn)證模塊�,還用于收到所述用戶設(shè)備發(fā)送的所述會(huì)話的第一個(gè)數(shù)據(jù)報(bào)文后,使用所述根密鑰生成所述會(huì)話的所述私鑰���。進(jìn)一步地����,上述接入服務(wù)節(jié)點(diǎn)還可以具有以下特點(diǎn):所述接入服務(wù)節(jié)點(diǎn)是接入服務(wù)器路由器或者是互聯(lián)互通服務(wù)器��。本方案可以加強(qiáng)SILSN核心網(wǎng)網(wǎng)絡(luò)的安全��,保證用戶發(fā)送報(bào)文時(shí)不被其他人員假冒�����,進(jìn)一步加強(qiáng)網(wǎng)絡(luò)溯源的可靠性���。
圖1為現(xiàn)有技術(shù)中的一種終端身份位置分離網(wǎng)絡(luò)架構(gòu)圖���;圖2為實(shí)施例中用于終端身份位置分離網(wǎng)絡(luò)的報(bào)文認(rèn)證系統(tǒng)結(jié)構(gòu)圖;圖3為實(shí)施例中用于終端身份位置分離網(wǎng)絡(luò)的接入節(jié)點(diǎn)模塊圖�;圖4為實(shí)施例中用于終端身份位置分離網(wǎng)絡(luò)的接入節(jié)點(diǎn)進(jìn)行信息安全傳輸方法流程圖;圖5為具體實(shí)施例中用于終端身份位置分離網(wǎng)絡(luò)的接入節(jié)點(diǎn)進(jìn)行報(bào)文認(rèn)證的方法流程圖��。
具體實(shí)施例方式圖2是用于終端身份位置分離網(wǎng)絡(luò)的信息安全傳輸系統(tǒng)的結(jié)構(gòu)圖��。該系統(tǒng)包括源接入服務(wù)節(jié)點(diǎn)301�����,目標(biāo)接入服務(wù)節(jié)點(diǎn)302��,鑒權(quán)服務(wù)器303��。鑒權(quán)服務(wù)器303���,用于經(jīng)由所述源接入服務(wù)節(jié)點(diǎn)對(duì)接入此源接入服務(wù)節(jié)點(diǎn)的用戶設(shè)備進(jìn)行接入認(rèn)證并生成或與所述用戶設(shè)備協(xié)商會(huì)話的根密鑰�����;源接入服務(wù)節(jié)點(diǎn)301��,用于收到所述用戶設(shè)備發(fā)送的數(shù)據(jù)報(bào)文后����,使用根據(jù)所述根密鑰生成的會(huì)話私鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名,并將所述簽名和所述數(shù)據(jù)報(bào)文發(fā)送至所述數(shù)據(jù)報(bào)文的目標(biāo)接入服務(wù)節(jié)點(diǎn)�����;目標(biāo)接入服務(wù)節(jié)點(diǎn)302����,用于從所述源接入服務(wù)節(jié)點(diǎn)收到所述數(shù)據(jù)報(bào)文后,使用所述鑒權(quán)服務(wù)器根據(jù)所述根密鑰生成的會(huì)話公鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名�,通過與接收到的簽名比較如果兩者匹配則判定所述數(shù)據(jù)報(bào)文是安全報(bào)文。上述系統(tǒng)中���,用戶設(shè)備�����,可以用于在所述鑒權(quán)服務(wù)器與所述用戶設(shè)備協(xié)商根密鑰結(jié)束后����,將所述根密鑰通知至所述源接入服務(wù)節(jié)點(diǎn)�。鑒權(quán)服務(wù)器303,還可以用于與所述用戶設(shè)備協(xié)商根密鑰結(jié)束后����,將所述根密鑰通知至所述源接入服務(wù)節(jié)點(diǎn)。所述源接入節(jié)點(diǎn)301接收來自源終端UEl發(fā)送給目的終端UE2的數(shù)據(jù)報(bào)文��,所述數(shù)據(jù)報(bào)文包含目的終端的身份信息���;源接入節(jié)點(diǎn)301根據(jù)所述目的終端的身份信息確定目的終端UE2的位置��;所述目的終端UE2的位置可為其接入的接入節(jié)點(diǎn)地址的網(wǎng)絡(luò)前綴���;所述目的終端的身份信息和位置信息的對(duì)應(yīng)用關(guān)系可存儲(chǔ)在身份位置分離網(wǎng)絡(luò)中單獨(dú)設(shè)立的終端身份和位置寄存器ILR中,也可存儲(chǔ)在源接入節(jié)點(diǎn)301上�。
源接入服務(wù)節(jié)點(diǎn)301,還用于收到所述用戶設(shè)備發(fā)送的所述會(huì)話的第一個(gè)數(shù)據(jù)報(bào)文后�����,使用所述根密鑰生成所述會(huì)話的所述私鑰����,并通知所述鑒權(quán)服務(wù)器建立會(huì)話密鑰��;鑒權(quán)服務(wù)器303���,還用于收到建立會(huì)話密鑰的通知后,使用所述根密鑰生成所述會(huì)話的所述公鑰�����。
所述源接入服務(wù)節(jié)點(diǎn)301�,還用于收到所述用戶設(shè)備發(fā)送的所述會(huì)話的第一個(gè)數(shù)據(jù)報(bào)文后,生成一隨機(jī)數(shù)���,根據(jù)所述根密鑰和所述隨機(jī)數(shù)生成所述會(huì)話的所述私鑰�����,將所述隨機(jī)數(shù)連同所述會(huì)話的標(biāo)識(shí)通過建立會(huì)話密鑰通知消息通知至所述鑒權(quán)服務(wù)器����;鑒權(quán)服務(wù)器303���,還用于根據(jù)所述根密鑰和所述隨機(jī)數(shù)生成所述會(huì)話的所述公鑰�����。
鑒權(quán)服務(wù)器303����,還用于生成所述公鑰后通知所述接入服務(wù)節(jié)點(diǎn)會(huì)話密鑰建立完成�。
鑒權(quán)服務(wù)器303是鑒權(quán)授權(quán)計(jì)費(fèi)(AAA)服務(wù)器或歸屬位置寄存/鑒權(quán)中心器(HLR/AUC),接入服務(wù)節(jié)點(diǎn)301或302是接入服務(wù)器路由器(ASR)或者是互聯(lián)互通服務(wù)器(ISR)����。
上述簽名可以是數(shù)字摘要。
圖3是本實(shí)施例的用于終端身份位置分離網(wǎng)絡(luò)的接入服務(wù)節(jié)點(diǎn)模塊圖�。
所述接入節(jié)點(diǎn)包括終端接入認(rèn)證模塊401、報(bào)文認(rèn)證模塊402�、報(bào)文發(fā)送模塊403和報(bào)文接收模塊404。
終端接入認(rèn)證模塊401����,用于在此接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的源接入服務(wù)節(jié)點(diǎn)時(shí),協(xié)助鑒權(quán)服務(wù)器完成對(duì)接入所述接入服務(wù)節(jié)點(diǎn)的用戶設(shè)備的接入認(rèn)證并獲知所述用戶設(shè)備的會(huì)話的根密鑰���;
報(bào)文認(rèn)證模塊402�,用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的源接入服務(wù)節(jié)點(diǎn)時(shí)�,收到所述用戶設(shè)備發(fā)送的數(shù)據(jù)報(bào)文后,使用根據(jù)所述根密鑰生成的會(huì)話私鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名��,并將所述簽名和所述數(shù)據(jù)報(bào)文發(fā)送至報(bào)文發(fā)送模塊;還用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的目標(biāo)接入服務(wù)節(jié)點(diǎn)時(shí)��,收到其它接入服務(wù)節(jié)點(diǎn)發(fā)送的數(shù)據(jù)報(bào)文后���,使用從鑒權(quán)服務(wù)器獲知的根據(jù)所述根密鑰生成的會(huì)話公鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名��,通過與接收到的簽名比較比較如果兩者匹配則判定所述數(shù)據(jù)報(bào)文是安全報(bào)文���;
報(bào)文發(fā)送模塊403,用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的源接入服務(wù)節(jié)點(diǎn)時(shí)�����,將來自所述報(bào)文認(rèn)證模塊的數(shù)據(jù)報(bào)文和第一身份認(rèn)證信息向所述數(shù)據(jù)報(bào)文的目標(biāo)接入服務(wù)節(jié)點(diǎn)發(fā)送���;還用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的目標(biāo)接入服務(wù)節(jié)點(diǎn)時(shí)�����,在所述報(bào)文認(rèn)證模塊判斷數(shù)據(jù)報(bào)文安全時(shí)向目標(biāo)終端發(fā)送�����;
報(bào)文接收模塊404���,用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的源接入服務(wù)節(jié)點(diǎn)時(shí)�,接收源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文�����,并將該數(shù)據(jù)報(bào)文發(fā)送至報(bào)文認(rèn)證模塊���;還用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的目標(biāo)接入服務(wù)節(jié)點(diǎn)時(shí)�����,將從其它接入服務(wù)節(jié)點(diǎn)收到的數(shù)據(jù)報(bào)文和簽名發(fā)送至報(bào)文認(rèn)證模塊���;
報(bào)文認(rèn)證模塊402����,還用于收到所述用戶設(shè)備發(fā)送的所述會(huì)話的第一個(gè)數(shù)據(jù)報(bào)文后��,使用所述根密鑰生成所述會(huì)話的所述私鑰����。
上述簽名可以是數(shù)字摘要��。
圖4為本實(shí)施例的用于終端身份位置分離網(wǎng)絡(luò)的接入節(jié)點(diǎn)進(jìn)行信息安全傳輸?shù)姆椒鞒虉D��。S401�,鑒權(quán)服務(wù)器經(jīng)由源接入服務(wù)節(jié)點(diǎn)對(duì)接入此源接入服務(wù)節(jié)點(diǎn)的用戶設(shè)備進(jìn)行接入認(rèn)證并生成或與所述用戶設(shè)備協(xié)商會(huì)話的根密鑰��;S402�,所述源接入服務(wù)節(jié)點(diǎn)收到所述用戶設(shè)備發(fā)送的數(shù)據(jù)報(bào)文后,使用根據(jù)所述根密鑰生成的會(huì)話私鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名�����,并將所述簽名和所述數(shù)據(jù)報(bào)文發(fā)送至所述數(shù)據(jù)報(bào)文的目標(biāo)接入服務(wù)節(jié)點(diǎn)���;S403�,所述目標(biāo)接入服務(wù)節(jié)點(diǎn)接收所述數(shù)據(jù)報(bào)文��;S404�����,所述目標(biāo)接入服務(wù)節(jié)點(diǎn)使用所述鑒權(quán)服務(wù)器根據(jù)所述根密鑰生成的會(huì)話公鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名��;S405,與接收到的簽名比較如果兩者匹配則執(zhí)行步驟S406,否則執(zhí)行步驟S407��。S406����,判定所述數(shù)據(jù)報(bào)文是安全報(bào)文,接收到的數(shù)據(jù)報(bào)文安全將安全的數(shù)據(jù)報(bào)文發(fā)送至目的終端���,結(jié)束流程���;S407判定所述數(shù)據(jù)報(bào)文是不安全報(bào)文并丟棄,結(jié)束流程��。所述鑒權(quán)服務(wù)器與所述用戶設(shè)備協(xié)商根密鑰結(jié)束后�����,所述用戶設(shè)備或所述鑒權(quán)服務(wù)器將所述根密鑰通知至所述源接入服務(wù)節(jié)點(diǎn)�����。所述源接入服務(wù)節(jié)點(diǎn)收到所述用戶設(shè)備發(fā)送的所述會(huì)話的第一個(gè)數(shù)據(jù)報(bào)文后����,使用所述根密鑰生成所述會(huì)話的所述私鑰,并通知所述鑒權(quán)服務(wù)器建立會(huì)話密鑰�,所述鑒權(quán)服務(wù)器收到建立會(huì)話密鑰的通知后,使用所述根密鑰生成所述會(huì)話的所述公鑰�����。所述源接入服務(wù)節(jié)點(diǎn)收到所述用戶設(shè)備發(fā)送的所述會(huì)話的第一個(gè)數(shù)據(jù)報(bào)文后�,生成一隨機(jī)數(shù),根據(jù)所述根密鑰和所述隨機(jī)數(shù)生成所述會(huì)話的所述私鑰��,將所述隨機(jī)數(shù)連同所述會(huì)話的標(biāo)識(shí)通過建立會(huì)話密鑰通知消息通知至所述鑒權(quán)服務(wù)器�,所述鑒權(quán)服務(wù)器根據(jù)所述根密鑰和所述隨機(jī)數(shù)生成所述會(huì)話的所述公鑰。所述鑒權(quán)服務(wù)器生成所述公鑰后通知所述接入服務(wù)節(jié)點(diǎn)會(huì)話密鑰建立完成�����。所述鑒權(quán)服務(wù)器是鑒權(quán)授權(quán)計(jì)費(fèi)(AAA)服務(wù)器或歸屬位置寄存/鑒權(quán)中心器(HLR/AUC)����,所述接入服務(wù)節(jié)點(diǎn)是接入服務(wù)器路由器或者是互聯(lián)互通服務(wù)器。圖5是上述方法中的一種具體實(shí)現(xiàn)方式��,包括:步驟501:當(dāng)用戶AIDl接入接入服務(wù)器ASRl時(shí)����,AAA服務(wù)器通過ASRl對(duì)用戶進(jìn)行接入認(rèn)證,同時(shí)協(xié)商會(huì)話根密鑰KM(rt。此步驟中也可以由AAA服務(wù)單方生成根密鑰Krart后通知用戶AIDl���。步驟502:當(dāng)AAA對(duì)用戶AIDl認(rèn)證通過后�,由用戶AIDl通知ASRl所協(xié)商的會(huì)話根密鑰Krort,此根密鑰由AIDl和AAA在認(rèn)證過程中生成�,分別保存于AIDl和AAA中,此根密鑰做為會(huì)話密鑰的原始材料���,后續(xù)在每次會(huì)話時(shí)生成相應(yīng)的會(huì)話密鑰�。此步驟從AIDl向ASRl傳遞密鑰相對(duì)簡單�����。此步驟中的根密鑰也可以由AAA服務(wù)器發(fā)給ASRl�����,其他步驟相同���,優(yōu)點(diǎn)在于不用修改終端,就可以實(shí)現(xiàn)所有的功能相對(duì)來說比較容易實(shí)施�����,而此方式從AAA服務(wù)器向ASRl傳遞密鑰則需要經(jīng)過核心網(wǎng),必須由特殊的安全機(jī)制來保證���,比如在ASRl和AAA服務(wù)器之間建立一條安全的加密隧道��,如IPSec等��。步驟503:用戶AIDl向ASRl發(fā)送數(shù)據(jù)報(bào)文��。步驟504 =ASRl收到數(shù)據(jù)報(bào)文后�����,提取其中的目的標(biāo)識(shí)�����,如果ASRl不知道目的標(biāo)識(shí)AID2所在的位置��,則向身份和位置服務(wù)器ILR請求目的用戶所在的位置標(biāo)識(shí)����,即查詢AID2和RID2的對(duì)應(yīng)關(guān)系��。如果ASRl已經(jīng)存儲(chǔ)目的標(biāo)識(shí)AID2所在的位置�,則不需要經(jīng)由204 205步�,直接跳轉(zhuǎn)到206步�����。
步驟505:1LR查詢到相應(yīng)的位置映射關(guān)系(如AID2和RID2)后�����,將結(jié)果返回給ASRl�����。
步驟506:ASR1判斷是否是會(huì)話的第一個(gè)數(shù)據(jù)報(bào)文�,如果是則通知AAA建立會(huì)話密鑰,此時(shí)由ASRl生成一個(gè)隨機(jī)數(shù)RANDl��,連同會(huì)話標(biāo)識(shí)���,傳送給AAA服務(wù)器���。如果ASRl判斷此數(shù)據(jù)報(bào)文不是該會(huì)話的第一個(gè)報(bào)文�����,說明本地已有該會(huì)話的會(huì)話密鑰,則直接跳轉(zhuǎn)到步驟209����,不再進(jìn)行會(huì)話密鑰協(xié)商。
步驟507:然后�����,ASR利用根密鑰Krart和隨機(jī)數(shù)RAND1���,生成一個(gè)私鑰Kin�����,用于進(jìn)行報(bào)文認(rèn)證���。同時(shí),AAA服務(wù)器利用根密鑰Krajt和隨機(jī)數(shù)RAND1����,生成一個(gè)公鑰Κ_,和會(huì)話標(biāo)識(shí)一起存儲(chǔ)下來��,后續(xù)用于驗(yàn)證報(bào)文認(rèn)證結(jié)果�。
步驟508 =AAA通知ASRl�,會(huì)話密鑰已成功建立�����。
步驟509 =ASRl利用在會(huì)話密鑰Kin�����,計(jì)算用戶發(fā)送的該報(bào)文的摘要����。
步驟510 =ASRl將報(bào)文和摘要一起發(fā)送給目的接入服務(wù)器,即ASR2.
步驟511:ASR2收到報(bào)文后���,判斷本地是否存在此會(huì)話的會(huì)話密鑰Kwt���,如果不存在,則向AAA索取相應(yīng)的會(huì)話密鑰Krat���,所索取的會(huì)話密鑰應(yīng)該是會(huì)話密鑰的公鑰���。此步驟中,應(yīng)該攜帶主叫用戶的標(biāo)識(shí)和會(huì)話標(biāo)識(shí)����,即AIDl和會(huì)話ID。如果已存在會(huì)話密鑰Kwt�����,則直接跳轉(zhuǎn)到步驟213.
步驟512 =AAA服務(wù)器返回AIDl相關(guān)會(huì)話的會(huì)話密鑰Kwt���。
步驟513:ASR2用此會(huì)話密鑰Kwt計(jì)算報(bào)文的摘要����,并比較正誤��。
步驟514:如果報(bào)文 摘要正確�,則正常將報(bào)文發(fā)送給AID2,否則將報(bào)文丟棄�。
通過上述方法,AID2接收到的報(bào)文�,一定是AIDl接入的接入服務(wù)器發(fā)出的,從而避免個(gè)別壞分子通過核心網(wǎng)中間的某個(gè)ASR節(jié)點(diǎn)冒充用戶發(fā)送數(shù)據(jù)報(bào)文���,從而解決了因個(gè)別破壞者造成的整網(wǎng)安全性隱患�。本方案可以保證被叫用戶收到的報(bào)文不會(huì)被SILSN中間網(wǎng)絡(luò)所修改����,保護(hù)報(bào)文的安全性�。
本方法也可以用于其他身份和位置分離網(wǎng)絡(luò)的數(shù)據(jù)報(bào)文傳輸�����,如LISP等���。
需要說明的是�,在不沖突的情況下���,本申請中的實(shí)施例及實(shí)施例中的特征可以相互任意組合��。
當(dāng)然����,本發(fā)明還可有其他多種實(shí)施例���,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下�,熟悉本領(lǐng)域的技術(shù)人員可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形�����,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍。
本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關(guān)硬件完成���,所述程序可以存儲(chǔ)于計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中�,如只讀存儲(chǔ)器��、磁盤或光盤等���。可選地��,上述實(shí)施例的全部或部分步驟也可以使用一個(gè)或多個(gè)集成電路來實(shí)現(xiàn)��。相應(yīng)地��,上述實(shí)施例中的各模塊/單元可以采用硬件的形式實(shí)現(xiàn)��,也可以采用軟件功能模塊的形式實(shí)現(xiàn)����。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合。
權(quán)利要求
1.一種信息安全傳輸方法����,其中��, 鑒權(quán)服務(wù)器經(jīng)由源接入服務(wù)節(jié)點(diǎn)對(duì)接入此源接入服務(wù)節(jié)點(diǎn)的用戶設(shè)備進(jìn)行接入認(rèn)證并生成或與所述用戶設(shè)備協(xié)商會(huì)話的根密鑰����; 所述源接入服務(wù)節(jié)點(diǎn)收到所述用戶設(shè)備發(fā)送的數(shù)據(jù)報(bào)文后���,使用根據(jù)所述根密鑰生成的會(huì)話私鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名����,并將所述簽名和所述數(shù)據(jù)報(bào)文發(fā)送至所述數(shù)據(jù)報(bào)文的目標(biāo)接入服務(wù)節(jié)點(diǎn)�; 所述目標(biāo)接入服務(wù)節(jié)點(diǎn)收到所述數(shù)據(jù)報(bào)文后,使用所述鑒權(quán)服務(wù)器根據(jù)所述根密鑰生成的會(huì)話公鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名����,與接收到的簽名比較如果兩者匹配則判定所述數(shù)據(jù)報(bào)文是安全報(bào)文。
2.如權(quán)利要求1所述的方法�,其特征在于, 所述鑒權(quán)服務(wù)器與所述用戶設(shè)備協(xié)商根密鑰結(jié)束后����,所述用戶設(shè)備或所述鑒權(quán)服務(wù)器將所述根密鑰通知至所述源接入服務(wù)節(jié)點(diǎn)。
3.如權(quán)利要求1所述的方法�,其特征在于�, 所述源接入服務(wù)節(jié)點(diǎn)收到所述用戶設(shè)備發(fā)送的所述會(huì)話的第一個(gè)數(shù)據(jù)報(bào)文后�,使用所述根密鑰生成所述會(huì)話的所述私鑰,并通知所述鑒權(quán)服務(wù)器建立會(huì)話密鑰����,所述鑒權(quán)服務(wù)器收到建立會(huì)話密鑰的通知后,使用所述根密鑰生成所述會(huì)話的所述公鑰��。
4.如權(quán)利要求3所述的方法��,其特征在于�, 所述源接入服務(wù)節(jié)點(diǎn)收到所述用戶設(shè)備發(fā)送的所述會(huì)話的第一個(gè)數(shù)據(jù)報(bào)文后�����,生成一隨機(jī)數(shù)��,根據(jù)所述根密鑰和所述隨機(jī)數(shù)生成所述會(huì)話的所述私鑰�����,將所述隨機(jī)數(shù)連同所述會(huì)話的標(biāo)識(shí)通過建立會(huì)話密鑰通知消息通知至所述鑒權(quán)服務(wù)器���,所述鑒權(quán)服務(wù)器根據(jù)所述根密鑰和所述隨機(jī)數(shù)生成所述會(huì)話的所述公鑰��。
5.如權(quán)利要求4所述的方法�,其特征在于, 所述鑒權(quán)服務(wù)器生成所述公鑰后通知所述接入服務(wù)節(jié)點(diǎn)會(huì)話密鑰建立完成����。
6.如權(quán)利要求1所述的方法,其特征在于�, 所述鑒權(quán)服務(wù)器是鑒權(quán)授權(quán)計(jì)費(fèi)(AAA)服務(wù)器或歸屬位置寄存/鑒權(quán)中心器(HLR/AUC),所述接入服務(wù)節(jié)點(diǎn)是接入服務(wù)器路由器或者是互聯(lián)互通服務(wù)器����。
7.一種信息安全傳輸系統(tǒng),包括用戶設(shè)備��,源接入服務(wù)節(jié)點(diǎn)����,目標(biāo)接 入服務(wù)節(jié)點(diǎn),鑒權(quán)服務(wù)器�,其中, 所述鑒權(quán)服務(wù)器����,用于經(jīng)由所述源接入服務(wù)節(jié)點(diǎn)對(duì)接入此源接入服務(wù)節(jié)點(diǎn)的用戶設(shè)備進(jìn)行接入認(rèn)證并生成或與所述用戶設(shè)備協(xié)商會(huì)話的根密鑰; 所述源接入服務(wù)節(jié)點(diǎn)����,用于收到所述用戶設(shè)備發(fā)送的數(shù)據(jù)報(bào)文后���,使用根據(jù)所述根密鑰生成的會(huì)話私鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名,并將所述簽名和所述數(shù)據(jù)報(bào)文發(fā)送至所述數(shù)據(jù)報(bào)文的目標(biāo)接入服務(wù)節(jié)點(diǎn)�����; 所述目標(biāo)接入服務(wù)節(jié)點(diǎn)����,用于從所述源接入服務(wù)節(jié)點(diǎn)收到所述數(shù)據(jù)報(bào)文后,使用所述鑒權(quán)服務(wù)器根據(jù)所述根密鑰生成的會(huì)話公鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名��,通過與接收到的簽名比較如果兩者匹配則判定所述數(shù)據(jù)報(bào)文是安全報(bào)文����。
8.如權(quán)利要求7所述的系統(tǒng)�����,其特征在于�����, 所述用戶設(shè)備,用于在所述鑒權(quán)服務(wù)器與所述用戶設(shè)備協(xié)商根密鑰結(jié)束后�,將所述根密鑰通知至所述源接入服務(wù)節(jié)點(diǎn)。
9.如權(quán)利要求7所述的系統(tǒng)���,其特征在于��, 所述鑒權(quán)服務(wù)器�����,還用于與所述用戶設(shè)備協(xié)商根密鑰結(jié)束后���,將所述根密鑰通知至所述源接入服務(wù)節(jié)點(diǎn)。
10.如權(quán)利要求7所述的系統(tǒng)�����,其特征在于��, 所述源接入服務(wù)節(jié)點(diǎn)����,還用于收到所述用戶設(shè)備發(fā)送的所述會(huì)話的第一個(gè)數(shù)據(jù)報(bào)文后,使用所述根密鑰生成所述會(huì)話的所述私鑰��,并通知所述鑒權(quán)服務(wù)器建立會(huì)話密鑰; 所述鑒權(quán)服務(wù)器�,還用于收到建立會(huì)話密鑰的通知后,使用所述根密鑰生成所述會(huì)話的所述公鑰���。
11.如權(quán)利要求10所述的系統(tǒng)��,其特征在于��, 所述源接入服務(wù)節(jié)點(diǎn)�,還用于收到所述用戶設(shè)備發(fā)送的所述會(huì)話的第一個(gè)數(shù)據(jù)報(bào)文后�����,生成一隨機(jī)數(shù)��,根據(jù)所述根密鑰和所述隨機(jī)數(shù)生成所述會(huì)話的所述私鑰�,將所述隨機(jī)數(shù)連同所述會(huì)話的標(biāo)識(shí)通過建立會(huì)話密鑰通知消息通知至所述鑒權(quán)服務(wù)器; 所述鑒權(quán)服務(wù)器����,還用于根據(jù)所述根密鑰和所述隨機(jī)數(shù)生成所述會(huì)話的所述公鑰�。
12.如權(quán)利要求11所述的系統(tǒng),其特征在于����, 所述鑒權(quán)服務(wù)器�����,還用于生成所述公鑰后通知所述接入服務(wù)節(jié)點(diǎn)會(huì)話密鑰建立完成���。
13.如權(quán)利要求7所述的系統(tǒng),其特征在于��, 所述鑒權(quán)服務(wù)器是鑒權(quán)授權(quán)計(jì)費(fèi)(AAA)服務(wù)器或歸屬位置寄存/鑒權(quán)中心器(HLR/AUC)����,所述接入服務(wù)節(jié)點(diǎn)是接入服務(wù)器路由器或者是互聯(lián)互通服務(wù)器。
14.一種接入服務(wù)節(jié)點(diǎn)����,其中, 包括終端接入認(rèn)證模塊����、報(bào)文認(rèn)證模塊、報(bào)文發(fā)送模塊和報(bào)文接收模塊�; 所述終端接入認(rèn)證模塊,用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的源接入服務(wù)節(jié)點(diǎn)時(shí)�,協(xié)助鑒權(quán)服務(wù)器完成對(duì)接入所述接入服務(wù)節(jié)點(diǎn)的用戶設(shè)備的接入認(rèn)證并獲知所述用戶設(shè)備的會(huì)話的根密鑰��; 所述報(bào)文認(rèn)證模塊���,用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的源接入服務(wù)節(jié)點(diǎn)時(shí),收到所述用戶設(shè)備發(fā)送的數(shù)據(jù)報(bào)文后�,使用根據(jù)所述根密鑰生成的會(huì)話私鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名,并將所述簽名和所述數(shù)據(jù)報(bào)文發(fā)送至報(bào)文發(fā)送模塊�����;還用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的目標(biāo)接入服務(wù)節(jié)點(diǎn)時(shí)�����,收到其它接入服務(wù)節(jié)點(diǎn)發(fā)送的數(shù)據(jù)報(bào)文后�����,使用從鑒權(quán)服務(wù)器獲知的根據(jù)所述根密鑰生成的會(huì)話公鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名����,通過與接收到的簽名比較比較如果兩者匹配則判定所述數(shù)據(jù)報(bào)文是安全報(bào)文; 所述報(bào)文接收模塊�����, 用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的源接入服務(wù)節(jié)點(diǎn)時(shí)�����,接收源終端發(fā)送給目的終端的數(shù)據(jù)報(bào)文��,并將該數(shù)據(jù)報(bào)文發(fā)送至報(bào)文認(rèn)證模塊�;還用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的目標(biāo)接入服務(wù)節(jié)點(diǎn)時(shí),將從其它接入服務(wù)節(jié)點(diǎn)收到的數(shù)據(jù)報(bào)文和簽名發(fā)送至報(bào)文認(rèn)證模塊�����; 所述報(bào)文發(fā)送模塊�����,用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的源接入服務(wù)節(jié)點(diǎn)時(shí)�,將來自所述報(bào)文認(rèn)證模塊的數(shù)據(jù)報(bào)文和第一身份認(rèn)證信息向所述數(shù)據(jù)報(bào)文的目標(biāo)接入服務(wù)節(jié)點(diǎn)發(fā)送;還用于在所述接入服務(wù)節(jié)點(diǎn)作為用戶設(shè)備的目標(biāo)接入服務(wù)節(jié)點(diǎn)時(shí)��,在所述報(bào)文認(rèn)證模塊判斷數(shù)據(jù)報(bào)文安全時(shí)向目標(biāo)終端發(fā)送���。
15.如權(quán)利要求14所述的接入服務(wù)節(jié)點(diǎn)�����,其中�, 所述報(bào)文認(rèn)證模塊,還用于收到所述用戶設(shè)備發(fā)送的所述會(huì)話的第一個(gè)數(shù)據(jù)報(bào)文后�����,使用所述根密鑰生成所述會(huì)話的所述私鑰��。
16.如權(quán)利要求14所述的接入服務(wù)節(jié)點(diǎn)��,其中�, 所述接入服務(wù)節(jié)點(diǎn)是接入服務(wù)器路由器或者是互聯(lián)互通服務(wù)器。
全文摘要
本發(fā)明公開了一種信息安全傳輸方法及系統(tǒng)及接入服務(wù)節(jié)點(diǎn)����,鑒權(quán)服務(wù)器經(jīng)由源接入服務(wù)節(jié)點(diǎn)對(duì)接入此源接入服務(wù)節(jié)點(diǎn)的用戶設(shè)備進(jìn)行接入認(rèn)證并生成或與所述用戶設(shè)備協(xié)商會(huì)話的根密鑰;所述源接入服務(wù)節(jié)點(diǎn)收到所述用戶設(shè)備發(fā)送的數(shù)據(jù)報(bào)文后��,使用根據(jù)所述根密鑰生成的會(huì)話私鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名�����,并將所述簽名和所述數(shù)據(jù)報(bào)文發(fā)送至所述數(shù)據(jù)報(bào)文的目標(biāo)接入服務(wù)節(jié)點(diǎn)���;所述目標(biāo)接入服務(wù)節(jié)點(diǎn)收到所述數(shù)據(jù)報(bào)文后�����,使用所述鑒權(quán)服務(wù)器根據(jù)所述根密鑰生成的會(huì)話公鑰計(jì)算所述數(shù)據(jù)報(bào)文的簽名����,與接收到的簽名比較如果兩者匹配則判定所述數(shù)據(jù)報(bào)文是安全報(bào)文�����。本方案可以加強(qiáng)SILSN核心網(wǎng)網(wǎng)絡(luò)的安全�����,保證用戶發(fā)送報(bào)文時(shí)不被其他人員假冒���。
文檔編號(hào)H04W12/06GK103108325SQ20111035438
公開日2013年5月15日 申請日期2011年11月10日 優(yōu)先權(quán)日2011年11月10日
發(fā)明者張世偉, 符濤 申請人:中興通訊股份有限公司