本实用新型涉及通信技术领域,特别涉及一种基于TPM秘钥可配的MMtel应用服务器。
背景技术:
MMtel AS(多媒体电话应用服务器,MultiMedia Telephony AS)是IMS域的核心网元,主要提供支持电信运营商将传统的电路交换业务演进为基于IP的实时多媒体电话业务。通过RF接口与IMS域中的计费网元相连接,通过SH接口与归属签约用户服务器HSS(归属签约用户服务器,Home Subscriber Server)相连,并通过发送UDR/PUR(用户数据请求/档案更新请求)消息请求至HSS获取用户数据。
TPM(可信平台模块,Trusted Platform Module)是可信计算平台的核心,通过配套的可信软件栈为服务平台和系统,提供基于硬件的数据安全存储和密码运算,同时信任链的传递能够保证系统运行的安全可信。但是TPM内部秘钥句柄的产生一般为系统出厂设定的一个范围,不是随机产生的,缺乏新鲜性,容易被攻击者获取进而导致加密的数据泄露。
当用户发起注册后,MMtel AS根据IMPU向HSS发送UDR/PUR消息请求下载用户数据,并将用户数据存储至本地,当用户发起呼叫时,直接读取本地存储的用户数据进行呼叫业务处理,数据存储得不到安全保护,容易被篡改。
基于上述问题,本实用新型提出了一种基于TPM秘钥可配的MMtel应用服务器。
技术实现要素:
本实用新型为了弥补现有技术的缺陷,提供了一种简单高效的基于TPM秘钥可配的MMtel应用服务器。
本实用新型是通过如下技术方案实现的:
一种基于TPM秘钥可配的MMtel应用服务器,其特征在于:包括MMtel应用服务器,归属签约用户服务器HSS和IMS S-CSCF,所述MMtel应用服务器通过UDR/PUR消息请求连接归属签约用户服务器HSS,通过寄存器连接IMS S-CSCF;所述MMtel应用服务器内置TPM芯片和密匙配置表,为IMS域中IP实时多媒体通话业务提供可信赖的运行环境。
所述MMtel应用服务器通过SH接口与归属签约用户服务器HSS连接,并处理收到来自归属签约用户服务器HSS的SH接口信息;所述来自归属签约用户服务器HSS的SH接口信息包括用UDR/PUR/SNR请求消息;UDR/PUR请求消息携带用户的IMPU(IP Multimedia Public Identity(IP 多媒体公共标识)。
所述归属签约用户服务器HSS用于接收MMtel应用服务器发送的UDR/PUR请求消息,并向MMtel应用服务器返回UDR/PUR响应消息,进而使MMtel应用服务器获取用户数据。
所述密匙配置表可以根据用户的IMPU设定TPM秘钥句柄的取值范围,保证秘钥句柄产生的灵活可配。
所述TPM芯片通过TSS接口连接MMtel应用服务器,所述TPM芯片用于产生秘钥,对注册用户数据进行加密,进而保证用户数据存储的安全性,完成MMtel AS上的用户注册流程。
本实用新型的有益效果是:该基于TPM秘钥可配的MMtel应用服务器,通过在MMtel应用服务器上内置TPM芯片,为IMS域中IP实时多媒体通话业务提供了可信赖的运行环境;同时利用TPM芯片产生的秘钥对注册用户数据进行加密,保证了用户数据存储在本地的安全性,提高了整个MMtel应用服务器的可靠性。
附图说明
附图1为本实用新型基于TPM秘钥可配的MMtel应用服务器示意图。
具体实施方式
为了使本实用新型所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图和实施例,对本实用新型进行详细的说明。应当说明的是,此处所描述的具体实施例仅用以解释本实用新型,并不用于限定本实用新型。
该基于TPM秘钥可配的MMtel应用服务器,包括MMtel应用服务器,归属签约用户服务器HSS和IMS S-CSCF,所述MMtel应用服务器通过UDR/PUR消息请求连接归属签约用户服务器HSS,通过寄存器连接IMS S-CSCF;所述MMtel应用服务器内置TPM芯片和密匙配置表,为IMS域中IP实时多媒体通话业务提供可信赖的运行环境。
IMS S-CSCF在IMS网络会话控制中处于核心地位,它接受来自拜访网络通过P-CSCF转发来的注册请求,与HSS配合进行用户鉴权,并从HSS处下载用户签约的业务数据。S-CSCF对于用户主叫及被叫侧进行路由管理,根据用户签约的初始过滤规则(IFC:Initial Filter Criteria),进行SIP AS触发,实现丰富的IMS业务功能。
所述MMtel应用服务器通过SH接口与归属签约用户服务器HSS连接,并处理收到来自归属签约用户服务器HSS的SH接口信息;所述来自归属签约用户服务器HSS的SH接口信息包括用UDR/PUR/SNR请求消息(UDR/PUR/SNR请求消息分别为用户数据请求/档案更新请求/订阅通知请求;UDR/PUR请求消息携带用户的IMPU(IP Multimedia Public Identity(IP 多媒体公共标识)。
所述归属签约用户服务器HSS用于接收MMtel应用服务器发送的UDR/PUR请求消息,并向MMtel应用服务器返回UDR/PUR响应消息,进而使MMtel应用服务器获取用户数据。
所述密匙配置表可以根据用户的IMPU设定TPM秘钥句柄的取值范围,保证秘钥句柄产生的灵活可配。
所述TPM芯片通过TSS接口连接MMtel应用服务器,所述TPM芯片用于产生秘钥,对注册用户数据进行加密,进而保证用户数据存储的安全性,完成MMtel AS上的用户注册流程。
可信计算组织TCG定义的可信平台模块TPM,是一种至于计算机中的新的嵌入式安全子系统,臀围安全应用软件在硬件上提供支持。实际应用中,安全应用程序不能直接访问TPM,而是通过调用TSS(TCG软件协议栈)接口来使用TPM提供的安全功能。
该基于TPM秘钥可配的MMtel应用服务器,具体应用过程如下:
在MMtel应用服务器正常启动后,修改TPM秘钥句柄配置范围表,并通过TSS接口调用命TPM2_Startup启动TPM,读取秘钥配置表,设定当前系统支持的可信计算的秘钥句柄的取值范围。
当用户终端发起注册时,MMtel应用服务器收到IMS P/S-CSCF的寄存器Register消息携带用户的注册时间,在本地构造UDR/PUR请求消息,消息中携带用户的IMPU,并通过SH接口将消息发送至归属签约用户服务器HSS获取用户数据。
归属签约用户服务器HSS收到UDR/PUR消息,将数据通过UDA/PUA整体或者分段将用户开户的数据发送至MMtel应用服务器中,MMtel应用服务器S收到响应消息后,将寄存器Register消息中携带的注册时间更新至本地。
在MMtel应用服务器上预先选择要加密的算法(AES/RSA)并通过调用TPM2_CreatePrimary、TPM2_Create和TPM2_Load创建并加载秘钥。在设定的秘钥句柄范围内获取加载秘钥的句柄及公钥和私钥信息,对用户数据进行加密,并向网络侧IMS S-CSCF回复响应消息,完成用户的注册流程。当终端发起呼叫时,解密并读取用户数据,完成通话业务处理。