专利名称:Ngn中保护三层移动性用户面数据安全的方法和系统的制作方法
技术领域:
本发明涉及通信领域中的三层移动性会话安全技术,尤其涉及一种下一代网络 (NGN)中保护三层移动性用户面数据安全的方法和系统。
背景技术:
下一代网络(NGN,Next Generation Network)作为演进的基于分组交换的网络 框架受到越来越多的关注。国际电信联盟电信标准部(ITU-T,InternationalTelegraph Union)和其他地区标准组织,如欧洲电信标准化协会(ETSI,EuropeanjTelecommunications Standards Institute)、世界无线通讯解决方案联盟(ATIS,The Alliance for Telecommunications Industry Solutions)等,对NGN框架模型、业务以及相关领域进行了 广泛的研究和标准化工作。NGN能够支持异构网络接入、网间漫游和无缝切换。在移动用户 终端进行切换时,需要保证业务的连续性,同时要保证移动用户终端与NGN网络接入点之 间的信令面数据和用户面数据的私密性、完整性。NGN用户认证成功后,使用用户与NGN网络侧共同拥有的共享密钥协商、生成子密 钥材料,用于保护用户与NGN网络通信的安全。当前的NGN网络中,有保护信令面安全的方 案,方法如下用户和NGN网络侧均使用认证成功后的共享密钥生成保护移动性信令面安 全的移动性安全子密钥,当NGN网络侧收到NGN用户发起的移动性信令时,使用NGN用户与 网络侧生成的相同的移动性安全子密钥验证该移动性信令的合法性,达到保护移动性信令 的目的;同样的,当NGN用户收到NGN网络侧发起的移动性信令时,也使用NGN用户与网络 侧生成的相同的移动性安全子密钥验证该移动性信令的合法性,达到保护移动性信令的目 的。然而,目前的NGN的移动性安全解决方案中,没有涉及如何保护NGN用户与NGN网 络侧的用户面数据安全的解决方案,从而给实际应用带来不便。
发明内容
有鉴于此,本发明的主要目的在于提供一种NGN中保护三层移动性用户面数据安 全的方法和系统,以实现对NGN用户与NGN网络侧的用户面数据安全的保护。为达到上述目的,本发明的技术方案是这样实现的本发明所提供的一种NGN中保护三层移动性用户面数据安全的方法,该方法包 括终端与认证服务器进行认证,在认证成功后,所述终端与认证服务器均获得共享 密钥材料;所述终端与认证服务器根据共享密钥材料,生成移动性数据安全密钥;所述认证服务器将生成的移动性数据安全密钥发送给移动性数据传输模块;所述终端和移动性数据传输模块通过所述移动性数据安全密钥,保护三层移动性 用户面数据的安全。
4
在根据共享密钥材料生成移动性数据安全密钥之前,该方法还包括所述终端与认证服务器交互,获取三层移动性信息。所述根据共享密钥材料,生成移动性数据安全密钥,具体为所述终端与认证服务器直接根据获取的三层移动性信息和共享密钥材料,并通过 相同的安全算法计算生成所述移动性数据安全密钥。所述根据共享密钥材料,生成移动性数据安全密钥,具体为所述终端与认证服务器根据所述共享密钥材料,并通过相同的安全算法计算生成 所述共享密钥材料的子密钥;再根据所述三层移动性信息和子密钥,并通过相同的安全算 法计算生成所述移动性数据安全密钥。所述根据共享密钥材料,生成移动性数据安全密钥,具体为所述终端与认证服务器根据获取的三层移动性信息和共享密钥材料,并通过相同 的安全算法计算生成移动性信令安全密钥;再根据所述三层移动性信息和移动性信令安全 密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。所述终端和移动性数据传输模块通过移动性数据安全密钥,保护三层移动性用户 面数据的安全,具体为所述移动性数据传输模块在收到终端发送的移动性用户面数据时,根据所述移动 性数据安全密钥验证所接收移动性用户面数据的合法性;所述终端在收到移动性数据传输模块发送的移动性用户面数据时,根据所述移动 性数据安全密钥验证所接收移动性用户面数据的合法性。本发明还提供了一种NGN中保护三层移动性用户面数据安全的系统,该系统包 括终端、认证服务器和移动性数据传输模块,其中,所述终端,用于对认证服务器进行认证,在认证成功后获得共享密钥材料;还用于 根据共享密钥材料,生成移动性数据安全密钥,通过所述移动性数据安全密钥,保护自身与 移动性数据传输模块之间的三层移动性用户面数据的安全;所述认证服务器,用于对终端进行认证,在认证成功后获得共享密钥材料;还用于 根据共享密钥材料,生成移动性数据安全密钥发送给移动性数据传输模块;所述移动性数据传输模块,用于通过接收的移动性数据安全密钥,保护自身与终 端之间的三层移动性用户面数据的安全。所述终端和认证服务器进一步用于,在根据共享密钥材料生成移动性数据安全密 钥之前,所述终端与认证服务器交互,获取三层移动性信息。所述终端和认证服务器进一步用于,直接根据获取的三层移动性信息和共享密钥 材料,并通过相同的安全算法计算生成所述移动性数据安全密钥。所述终端和认证服务器进一步用于,根据所述共享密钥材料,并通过相同的安全 算法计算生成所述共享密钥材料的子密钥;再根据所述三层移动性信息和子密钥,并通过 相同的安全算法计算生成所述移动性数据安全密钥。所述终端和认证服务器进一步用于,根据获取的三层移动性信息和共享密钥材 料,并通过相同的安全算法计算生成移动性信令安全密钥;再根据所述三层移动性信息和 移动性信令安全密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。所述终端进一步用于,在收到移动性数据传输模块发送的移动性用户面数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性;相应的,所述移动性数据传输模块进一步用于,在收到终端发送的移动性用户面 数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性。本发明所提供的一种NGN中保护三层移动性用户面数据安全的方法和系统,由终 端与认证服务器根据认证获得的共享密钥材料生成移动性数据安全密钥,并通过生成的移 动性数据安全密钥,保护三层移动性用户面数据的安全。通过本发明,实现了对NGN用户与 NGN网络侧的用户面数据安全的保护,增强了终端在三层移动性会话中用户面数据的安全 性。
图1为本发明实施例一的NGN中保护三层移动性用户面数据安全的方法流程图;图2为本发明实施例二的NGN中保护三层移动性用户面数据安全的方法流程图;图3为本发明实施例三的NGN中保护三层移动性用户面数据安全的方法流程图;图4为本发明实施例四的NGN中保护三层移动性用户面数据安全的方法流程图;图5为本发明实施例五的NGN中保护三层移动性用户面数据安全的方法流程图;图6为本发明实施例六的NGN中保护三层移动性用户面数据安全的方法流程图;图7为本发明实施例七的NGN中保护三层移动性用户面数据安全的方法流程图。
具体实施例方式下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。为实现对NGN用户与NGN网络侧的用户面数据安全的保护,本发明的实施例一所 提供的一种NGN中保护三层移动性用户面数据安全的方法,如图1所示,主要包括以下步 骤步骤101,终端与认证服务器之间执行认证流程,在认证成功后,终端和认证服务 器均拥有共享密钥材料,记为共享密钥材料A。步骤102,终端与认证服务器交互,获取三层移动性信息。终端与认证服务器在交互过程中,从网络侧获取三层移动性信息,该三层移动性 信息包括目的网络的地址、目标网络的类型等等。步骤103,终端与认证服务器根据三层移动性信息和共享密钥材料A,生成保护三 层移动性用户面数据安全的移动性数据安全密钥。终端与认证服务器可以直接根据三层移动性信息和共享密钥材料,并通过相同的 安全算法计算生成移动性数据安全密钥,这样,终端计算生成的移动性数据安全密钥与认 证服务器计算生成的移动性数据安全密钥相同。可以采用的安全算法包括HMAC-SHA1, Keyed-MD5 等等。步骤104,认证服务器将移动性数据安全密钥发送到移动性数据传输模块。步骤105,终端与移动性数据传输模块通过移动性数据安全密钥保护数据传输安全。具体的,当移动性数据传输模块收到终端发送的移动性用户面数据时,使用移动 性数据安全密钥验证所接收移动性用户面数据的合法性;当终端收到移动性数据传输模块发送的移动性用户面数据时,使用移动性数据安全密钥验证所接收移动性用户面数据的合 法性。需要说明的是,本发明中终端与认证服务器也可以只根据认证流程中获取的共享 密钥材料(不使用三层移动性信息),来生成移动性数据安全密钥;也就是说,三层移动性 信息不是终端与认证服务器生成移动性数据安全密钥时必选的参数。本发明中终端与认证服务器根据三层移动性信息和共享密钥材料,生成移动性数 据安全密钥的方式不仅限于图1所示,还可以采用其他方式,如图2和图3所示,下面分别 进行介绍。本发明的实施例二所提供的一种NGN中保护三层移动性用户面数据安全的方法, 如图2所示,主要包括以下步骤步骤201,终端与认证服务器之间执行认证流程,在认证成功后,终端和认证服务 器均拥有共享密钥材料,记为共享密钥材料A。步骤202,终端与认证服务器交互,获取三层移动性信息。步骤203,终端与认证服务器根据共享密钥材料A,并通过相同的安全算法计算生 成共享密钥材料A的子密钥;再根据三层移动性信息和子密钥,并通过相同的安全算法计 算生成移动性数据安全密钥。其中,计算生成子密钥的安全算法与计算生成移动性数据安全密钥的安全算法可 以相同,也可以不同。步骤204,认证服务器将移动性数据安全密钥发送到移动性数据传输模块。步骤205,终端与移动性数据传输模块通过移动性数据安全密钥保护数据传输安全。本发明的实施例三所提供的一种NGN中保护三层移动性用户面数据安全的方法, 如图3所示,主要包括以下步骤步骤301,终端与认证服务器之间执行认证流程,在认证成功后,终端和认证服务 器均拥有共享密钥材料,记为共享密钥材料A。步骤302,终端与认证服务器交互,获取三层移动性信息。步骤303,终端与认证服务器根据共享密钥材料A,并通过相同的安全算法计算生 成共享密钥材料A的子密钥;再根据三层移动性信息和子密钥,并通过相同的安全算法计 算生成移动性信令安全密钥,记为共享密钥材料C。其中,计算生成子密钥的安全算法与计算生成共享密钥材料C的安全算法可以相 同,也可以不同。认证服务器将生成的共享密钥材料C发送给移动性控制模块。步骤304,终端与移动性控制模块交互移动性信令,且移动性信令的安全通过共享 密钥材料C来保护。具体的,当移动性控制模块收到终端发起的移动性信令时,使用共享密钥材料C 验证所接收移动性信令的合法性;当终端收到移动性控制模块发起的移动性信令时,使用 共享密钥材料C验证所接收移动性信令的合法性。步骤305,终端与认证服务器根据三层移动性信息和共享密钥材料C,并通过相同 的安全算法计算生成移动性数据安全密钥,记共享密钥材料D。计算生成共享密钥材料D的安全算法与计算生成子密钥的安全算法、计算生成共享密钥材料C的安全算法可以相同,也可以不同。步骤306,认证服务器将共享密钥材料D发送到移动性数据传输模块。步骤307,终端与移动性数据传输模块通过共享密钥材料D保护数据传输安全。具体的,当移动性数据传输模块收到终端发送的移动性用户面数据时,使用共享 密钥材料D验证所接收移动性用户面数据的合法性;当终端收到移动性数据传输模块发送 的移动性用户面数据时,使用共享密钥材料D验证所接收移动性用户面数据的合法性。为实现上述NGN中保护三层移动性用户面数据安全的方法,本发明还提供一种 NGN中保护三层移动性用户面数据安全的系统,包括终端、认证服务器和移动性数据传输 模块。终端,用于对认证服务器进行认证,在认证成功后获得共享密钥材料;还用于根据 共享密钥材料,生成移动性数据安全密钥,通过移动性数据安全密钥,保护自身与移动性数 据传输模块之间的三层移动性用户面数据的安全。认证服务器,用于对终端进行认证,在认证成功后获得共享密钥材料;还用于根据 共享密钥材料,生成移动性数据安全密钥发送给移动性数据传输模块。移动性数据传输模块,用于通过接收的移动性数据安全密钥,保护自身与终端之 间的三层移动性用户面数据的安全。将上述NGN中保护三层移动性用户面数据安全的方法应用于ITU-T的NGN中时, 具体的实现流程如图4、5、6、7所示。图4为本发明实施例四的NGN中保护三层移动性用户面数据安全的方法流程图, 主要包括以下步骤步骤401,终端与认证服务器之间执行认证流程,在认证成功后,终端和认证服务 器均拥有共享密钥材料,记为共享密钥材料A。步骤402,终端与认证服务器、移动位置管理模块、切换控制模块交互,获取三层移 动性信息;终端与认证服务器根据三层移动性信息和共享密钥材料A,通过相同的安全算 法计算生成保护三层移动性信令面安全的共享密钥材料C,且认证服务器将生成的共享密 钥材料C发送给移动位置管理模块。终端在与认证服务器、移动位置管理模块、切换控制模块交互过程中,从网络侧获 取三层移动性信息,该三层移动性信息包括目的网络的地址、目标网络的类型等等。 云力牛life (MLM-FE, Mobile Location Management FunctionalEntity) 具有但不限于如下功能在网络移动性情况下代替终端开始位置注册,代替终端处理位置 注册信息;管理终端、终端地址的绑定关系,管理终端、底层隧道终结点的绑定关系;处理 信令的转发,显示切换控制模块的新的位置绑定信息的分发等。W^i^^Mik (HDC-FE, Handover decision and control functional entity) 具有但不限于如下功能接收不同介质网络信息、触发终端进行切换操作(包括二层切换、 三层切换)。步骤403,终端与移动位置管理模块交互移动性信令,且移动性信令的安全通过共 享密钥材料C来保护。步骤404,终端与移动位置管理模块根据三层移动性信息和共享密钥材料A,通过 相同的安全算法计算生成保护三层移动性用户面安全的共享密钥材料D,且移动位置管理模块将生成的共享密钥材料D发送给切换控制模块。其中,计算生成共享密钥材料D与计算生成共享密钥材料C的安全算法可以相同, 也可以不同。且可以采用上述图1、2、3所示的任意一种方法,计算生成共享密钥材料D。步骤405,切换控制模块将接收到的共享密钥材料D转发给三层切换执行模块。步骤406,终端与三层切换执行模块通过共享密钥材料D保护三层移动性用户面 数据的传输安全。图5为本发明实施例五的NGN中保护三层移动性用户面数据安全的方法流程图, 主要包括以下步骤其中,步骤501 503的操作与实施例五中步骤401 403的操作类似,此处不再 赘述。步骤504,终端与认证服务器根据三层移动性信息和共享密钥材料A,通过相同的 安全算法计算生成保护三层移动性用户面安全的共享密钥材料D,且认证服务器将生成的 共享密钥材料D发送给切换控制模块。 其中,计算生成共享密钥材料D与计算生成共享密钥材料C的安全算法可以相同, 也可以不同。且可以采用上述图1、2、3所示的任意一种方法,计算生成共享密钥材料D。步骤505,切换控制模块将接收到的共享密钥材料D转发给三层切换执行模块。步骤506,终端与三层切换执行模块通过共享密钥材料D保护三层移动性用户面 数据的传输安全。图6为本发明实施例六的NGN中保护三层移动性用户面数据安全的方法流程图, 主要包括以下步骤其中,步骤601 603的操作与实施例五中步骤401 403的操作类似,此处不再 赘述。步骤604,终端与认证服务器根据三层移动性信息和共享密钥材料A,生成保护三 层移动性用户面安全的共享密钥材料D,且认证服务器将生成的共享密钥材料D直接发送 给三层切换执行模块。其中,计算生成共享密钥材料D与计算生成共享密钥材料C的安全算法可以相同, 也可以不同。且可以采用上述图1、2、3所示的任意一种方法,计算生成共享密钥材料D。步骤605,终端与三层切换执行模块通过共享密钥材料D保护三层移动性用户面 数据的传输安全。另外,在实际应用中,三层切换执行模块可以设于边界节点功能实体中,在这种情 况下,由边界节点功能实体来代替执行上述图4、5、6中三层切换执行模块的功能,操作流 程不变。图7所示实施例为边界节点功能实体代替三层切换执行模块执行图6所示实施例 的替换流程,对应图4、5所示实施例的替换流程不再赘述。综上所述,通过本发明的NGN中保护三层移动性用户面数据安全的方法和系统, 实现了对NGN用户与NGN网络侧的用户面数据安全的保护,增强了终端在三层移动性会话 中用户面数据的安全性。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种下一代网络(NGN)中保护三层移动性用户面数据安全的方法,其特征在于,该 方法包括终端与认证服务器进行认证,在认证成功后,所述终端与认证服务器均获得共享密钥 材料;所述终端与认证服务器根据共享密钥材料,生成移动性数据安全密钥;所述认证服务器将生成的移动性数据安全密钥发送给移动性数据传输模块;所述终端和移动性数据传输模块通过所述移动性数据安全密钥,保护三层移动性用户 面数据的安全。
2.根据权利要求1所述NGN中保护三层移动性用户面数据安全的方法,其特征在于,在 根据共享密钥材料生成移动性数据安全密钥之前,该方法还包括所述终端与认证服务器交互,获取三层移动性信息。
3.根据权利要求2所述NGN中保护三层移动性用户面数据安全的方法,其特征在于,所 述根据共享密钥材料,生成移动性数据安全密钥,具体为所述终端与认证服务器直接根据获取的三层移动性信息和共享密钥材料,并通过相同 的安全算法计算生成所述移动性数据安全密钥。
4.根据权利要求2所述NGN中保护三层移动性用户面数据安全的方法,其特征在于,所 述根据共享密钥材料,生成移动性数据安全密钥,具体为所述终端与认证服务器根据所述共享密钥材料,并通过相同的安全算法计算生成所述 共享密钥材料的子密钥;再根据所述三层移动性信息和子密钥,并通过相同的安全算法计 算生成所述移动性数据安全密钥。
5.根据权利要求2所述NGN中保护三层移动性用户面数据安全的方法,其特征在于,所 述根据共享密钥材料,生成移动性数据安全密钥,具体为所述终端与认证服务器根据获取的三层移动性信息和共享密钥材料,并通过相同的安 全算法计算生成移动性信令安全密钥;再根据所述三层移动性信息和移动性信令安全密 钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。
6.根据权利要求1至5任一项所述NGN中保护三层移动性用户面数据安全的方法,其 特征在于,所述终端和移动性数据传输模块通过移动性数据安全密钥,保护三层移动性用 户面数据的安全,具体为所述移动性数据传输模块在收到终端发送的移动性用户面数据时,根据所述移动性数 据安全密钥验证所接收移动性用户面数据的合法性;所述终端在收到移动性数据传输模块发送的移动性用户面数据时,根据所述移动性数 据安全密钥验证所接收移动性用户面数据的合法性。
7.—种NGN中保护三层移动性用户面数据安全的系统,其特征在于,该系统包括终 端、认证服务器和移动性数据传输模块,其中,所述终端,用于对认证服务器进行认证,在认证成功后获得共享密钥材料;还用于根据 共享密钥材料,生成移动性数据安全密钥,通过所述移动性数据安全密钥,保护自身与移动 性数据传输模块之间的三层移动性用户面数据的安全;所述认证服务器,用于对终端进行认证,在认证成功后获得共享密钥材料;还用于根据 共享密钥材料,生成移动性数据安全密钥发送给移动性数据传输模块;所述移动性数据传输模块,用于通过接收的移动性数据安全密钥,保护自身与终端之 间的三层移动性用户面数据的安全。
8.根据权利要求7所述NGN中保护三层移动性用户面数据安全的系统,其特征在于,所 述终端和认证服务器进一步用于,在根据共享密钥材料生成移动性数据安全密钥之前,所 述终端与认证服务器交互,获取三层移动性信息。
9.根据权利要求8所述NGN中保护三层移动性用户面数据安全的系统,其特征在于,所 述终端和认证服务器进一步用于,直接根据获取的三层移动性信息和共享密钥材料,并通 过相同的安全算法计算生成所述移动性数据安全密钥。
10.根据权利要求8所述NGN中保护三层移动性用户面数据安全的系统,其特征在于, 所述终端和认证服务器进一步用于,根据所述共享密钥材料,并通过相同的安全算法计算 生成所述共享密钥材料的子密钥;再根据所述三层移动性信息和子密钥,并通过相同的安 全算法计算生成所述移动性数据安全密钥。
11.根据权利要求8所述NGN中保护三层移动性用户面数据安全的系统,其特征在于, 所述终端和认证服务器进一步用于,根据获取的三层移动性信息和共享密钥材料,并通过 相同的安全算法计算生成移动性信令安全密钥;再根据所述三层移动性信息和移动性信令 安全密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。
12.根据权利要求7至11任一项所述NGN中保护三层移动性用户面数据安全的系统, 其特征在于,所述终端进一步用于,在收到移动性数据传输模块发送的移动性用户面数据时,根据 所述移动性数据安全密钥验证所接收移动性用户面数据的合法性;相应的,所述移动性数据传输模块进一步用于,在收到终端发送的移动性用户面数据 时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性。
全文摘要
本发明公开了一种下一代网络(NGN)中保护三层移动性用户面数据安全的方法,包括终端与认证服务器进行认证,在认证成功后,终端与认证服务器均获得共享密钥材料;终端与认证服务器根据共享密钥材料,生成移动性数据安全密钥;认证服务器将生成的移动性数据安全密钥发送给移动性数据传输模块;终端和移动性数据传输模块通过移动性数据安全密钥,保护三层移动性用户面数据的安全。本发明还公开了一种NGN中保护三层移动性用户面数据安全的系统。通过本发明的方法和系统,实现了对NGN用户与NGN网络侧的用户面数据安全的保护,增强了终端在三层移动性会话中用户面数据的安全性。
文档编号H04W12/06GK102131192SQ20101000124
公开日2011年7月20日 申请日期2010年1月15日 优先权日2010年1月15日
发明者王鸿彦, 韦银星 申请人:中兴通讯股份有限公司