安全通信的方法及装置的制造方法
【专利摘要】本发明公开了一种安全通信的方法及装置,涉及信息技术领域,可以提高用户设备与P?CSCF之间交互的信息进行加密的安全性,进而可以提高用户设备与P?CSCF进行通信的安全性。所述方法包括:首先服务呼叫会话控制功能S?CSCF向用户归属服务器HSS发送获取鉴权向量请求信息,其次,HSS根据impi,确定impi对应的根密钥,并根据根密钥,生成多组共享密钥,并将多组共享密钥,发送至代理呼叫会话控制功能P?CSCF,然后P?CSCF根据多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组,最后P?CSCF将生成的多个IPsec SA组,发送至用户设备用户设备,以使得用户设备以及P?CSCF之间采用不同的IPsecSA进行通信。本发明适用于用户设备以及P?CSCF根据不同的IPsec SA组,进行安全通信。
【专利说明】
安全通信的方法及装置
技术领域
[0001 ]本发明涉及信息技术领域,特别涉及一种安全通信的方法及装置。
【背景技术】
[0002]用户在通过网络之间互连的协议多媒体子系统(英文全称:InternetProtocolMultimedia Subsystem,英文缩写:IMS)网络进行服务之前,需要进行IMS-认证与密钥协商协议(英文全称:Authenticat1n and Key Agreement,英文缩写:AKA)注册,以实现用户设备对网络以及网络对用户设备的安全性认证。其中JMS-AKA注册包括:初始注册以及鉴权注册,初始注册为用户设备对网络进行安全性认证,鉴权注册为网络对用户设备进行安全性认证,认证成功之后,用户设备与MS网络之间进行安全通信。其中,頂S网络中包括:代理呼叫会话控制功能(英文全称:Proxy-Call Sess1n Control Funt1n,英文缩写:P-CSCF)。其中,初始注册之后,用户设备以及P-CSCF分别获取加密密钥(英文全称:CipherKey,英文缩写:CK)以及完整性密钥(英文全称:Integrity Key,英文缩写:IK),并分别通过共享密钥CK以及IK生成网络协议安全性(英文全称:Internet Protocol Security,英文缩写:IPsec)安全关联(英文全称:Security Associat1n,英文缩写:SA)组,用户设备与P-CSCF通过IPsec SA组对用户设备与P-CSCF之间的交互的信息进行加密,以实现安全通信。
[0003]然而,当用户设备以及P-CSCF通过CK以及IK生成IPsec SA组,并通过该IPsec SA组进行安全通信时,由于用户设备以及P-CSCF获取一组共享密钥CK以及IK,生成一个IPsecSA组,用户设备与P-CSCF仅能通过该一个IPsec SA组对用户设备与P-CSCF之间交互的信息进行安全加密,从而导致用户设备与P-CSCF之间交互的信息进行加密的安全性较低,进而导致用户设备与P-CSCF之间进行通信的安全性较低。
【发明内容】
[0004]本发明提供一种安全通信的方法及装置,可以提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以提高用户设备与P-CSCF之间进行通信的安全性。
[0005]本发明采用的技术方案为:
[0006]第一方面,本发明提供了一种安全通信的方法,包括:
[0007]服务呼叫会话控制功能S-CSCF向用户归属服务器HSS发送获取鉴权向量请求信息,所述鉴权向量请求信息中携带有所述IP多媒体私有标识impi ;
[0008]所述HSS根据所述impi,确定所述impi对应的根密钥;
[0009]所述HSS根据所述根密钥,生成多组共享密钥,所述共享密钥包括:加密密钥CK以及完整性密钥IK;
[0010]所述HSS将所述多组共享密钥,发送至代理呼叫会话控制功能P-CSCF;
[0011]所述P-CSCF根据所述多组共享密钥,生成多个网络协议安全性安全联盟IPsecSA组;
[0012]所述P-CSCF将生成的所述多个IPsecSA组,发送至用户设备,以使得所述用户设备以及所述P-CSCF之间采用不同的IPs ec SA进行通信。
[0013]第二方面,本发明提供了一种安全通信的装置,包括:
[0014]第一发送单元,位于服务呼叫会话控制功能S-CSCF中,用于向用户归属服务器HSS发送获取鉴权向量请求信息,所述鉴权向量请求信息中携带有所述IP多媒体私有标识impi ;
[0015]第一确定单元,位于所述HSS中,用于根据所述impi,确定所述impi对应的根密钥;
[0016]第一生成单元,位于所述HSS中,用于根据所述根密钥,生成多组共享密钥,所述共享密钥包括:加密密钥CK以及完整性密钥IK;
[0017]第二发送单元,位于所述HSS中,用于将所述多组共享密钥,发送至代理呼叫会话控制功能P-CSCF;
[0018]第二生成单元,位于所述P-CSCF中,用于根据所述多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组;
[0019]第三发送单元,位于所述P-CSCF中,用于将生成的所述多个IPsecSA组,发送至用户设备,以使得所述用户设备以及所述P-CSCF之间采用不同的IPsec SA进行通信。
[0020]本发明提供的安全通信的方法及装置,首先服务呼叫会话控制功能S-CSCF向用户归属服务器HSS发送获取鉴权向量请求信息,其中,鉴权向量请求信息中携带有IP多媒体私有标识impi,其次,HSS根据impi,确定impi对应的根密钥,并根据根密钥,生成多组共享密钥,其中,共享密钥包括:加密密钥CK以及完整性密钥IK,并将多组共享密钥,发送至代理呼叫会话控制功能P-CSCF,然后P-CSCF根据多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组,最后P-CSCF将生成的多个IPsec SA组,发送至用户设备用户设备,以使得用户设备以及P-CSCF之间采用不同的IPsec SA进行通信。与目前当用户设备以及P-CSCF通过CK以及IK生成IPsec SA组,并通过该IPsec SA组进行安全通信时相比,本发明HSS通过根密钥,生成多组共享密钥CK以及IK,并将该多组共享密钥,发送至P-CSCF,P-CSCF能够根据该多组共享密钥,生成多个IPsec SA组,以使得用户设备与P-CSCF可以通过不同的IPsec SA组对用户设备与P-CSCF之间交互的信息进行加密,从而可以提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以提高用户设备与P-CSCF进行通信的安全性。
【附图说明】
[0021]为了更清楚地说明本发明或现有技术中的技术方案,下面将对本发明或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0022]图1为本发明实施例中安全通信的系统示意图;
[0023]图2为本发明实施例中一种安全通信的方法流程图;
[0024]图3为本发明实施例中另一种安全通信的方法流程图;
[0025]图4为本发明实施例中又一种安全通信的方法流程图;
[0026]图5为本发明实施例中又一种安全通信的方法流程图;
[0027]图6为本发明实施例中又一种安全通信的方法流程图;
[0028]图7为本发明实施例中一种安全通信的装置示意图;
[0029]图8为本发明实施例中另一种安全通信的装置示意图。
【具体实施方式】
[0030]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0031]本发明实施例提供一种安全通信的方法,应用于安全通信的系统,如图1所示,该安全通信的系统包括:用户设备、代理呼叫会话控制功能(英文全称:Proxy-Call Sess1nControl Funt1n,英文缩写:P-CSCF)、查询呼叫会话控制功能(英文全称:Interrogating-Call Sess1n Control Funt1n,英文缩写:1-CSCF)、用户归属服务器(英文全称:HomeSubscriber Server,英文缩写:HSS)以及服务呼叫会话控制功能(英文全称:Service-CalISess1n Control Funt1n,英文缩写:S-CSCF),其中,用户设备与P-CSCF进行信息交互,P-CSCF与1-CSCF进行信息交互,1-CSCF与S-CSCF进行信息交互,S-CSCF与HSS进行信息交互。
[0032]本发明实施例提供了一种安全通信的方法,能够提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以提高用户设备与P-CSCF之间进行通信的安全性,如图2所示,所述方法包括:
[0033]201、服务呼叫会话控制功能S-CSCF向用户归属服务器HSS发送获取鉴权向量请求
?目息O
[0034]其中,鉴权向量请求信息中携带有IP多媒体私有标识impi。
[0035]对于本发明实施例,鉴权向量请求消息中还携带有IP多媒体公共标识(英文全称:IP Multimedia Public Identity,英文缩写:impu),其中,IP多媒体私有标识(英文全称:1P Multimedia Private Identity,英文缩写:impi)以及impu为被IMS网络使用的两种身份,impi以及impu都不是电话号码或其它序列的数字,而是URIs,impi以及impu能够是数字或文字数字组成的标识符。例如,impi可以为+1-555-123-4567或者sip: nameOdomain.com。
[0036]202、HSS根据impi,确定impi对应的根密钥。
[°037 ] 对于本发明实施例,不同的imp i对应不同的根密钥,确定该imp i对应的根密钥,并生成随机数RAND、AUTN以及xRes。
[0038]203、HSS根据根密钥,生成多组共享密钥。
[0039]其中,共享密钥包括:加密密钥CK以及完整性密钥IK。
[0040]对于本发明实施例,HSS中存储有多种算法,HSS根据该根密钥,按照不同种算法,生成多组共享密钥。
[0041 ] 204、HSS将多组共享密钥,发送至代理呼叫会话控制功能P-CSCF。
[0042]对于本发明实施例,HSS将多组共享密钥、RAND、AUTN、xRes,发送至S-CSCF,S-CSCF存储xRes,并将携带有上述多组共享密钥、RAND以及AUTN的401未授权响应信息通过1-CSCF发送至P-CSCF。
[0043]205、P_CSCF根据多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组。
[0044]对于本发明实施例,P-CSCF中存储有SIP安全机制列表、用户设备的受保护客户端端口(Uc I )、用户设备的受保护服务端端口(us I),以及P-CSCF的受保护的客户端端口(pci)、P-CSCF的受保护的服务端端口(psl)。在本发明实施例中,P-CSCF将多组共享密钥、RAND、Uc 1、us 1、pc I以及ps I,按照自身支持的SIP安全机制列表中的算法组合,分别生成不同的IPsec SA组。
[0045]206、P_CSCF将生成的多个IPsec SA组,发送至用户设备,以使得用户设备以及P-CSCF之间采用不同的IPsec SA进行通信。
[0046]对于本发明实施例,由于P-CSCF与用户设备之间进行信息交互,均需要按照IPsecSA将交互信息进行加密。在本发明实施例中,由于用户设备与P-CSCF分别存在多种加密算法,因此用户设备与P-CSCF之间能够采用不同的IPsec SA组对交互信息进行加密,以实现安全通信。
[0047]本发明实施例提供的安全通信的方法,首先服务呼叫会话控制功能S-CSCF向用户归属服务器HSS发送获取鉴权向量请求信息,其中,鉴权向量请求信息中携带有IP多媒体私有标识impi,其次,HSS根据impi,确定impi对应的根密钥,并根据根密钥,生成多组共享密钥,其中,共享密钥包括:加密密钥CK以及完整性密钥IK,并将多组共享密钥,发送至代理呼叫会话控制功能P-CSCF,然后P-CSCF根据多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组,最后P-CSCF将生成的多个IPsec SA组,发送至用户设备用户设备,以使得用户设备以及P-CSCF之间采用不同的IPsec SA进行通信。与目前当用户设备以及P-CSCF通过CK以及IK生成IPsec SA组,并通过该IPsec SA组进行安全通信时相比,本发明实施例HSS通过根密钥,生成多组共享密钥CK以及IK,并将该多组共享密钥,发送至P-CSCF,P-CSCF能够根据该多组共享密钥,生成多个IPsec SA组,以使得用户设备与P-CSCF可以通过不同的IPsec SA组对用户设备与P-CSCF之间交互的信息进行加密,从而可以提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以提高用户设备与P-CSCF进行通信的安全性。
[0048]本发明实施例的另一种可能的实现方式,在如图2所示的基础上,步骤201、服务呼叫会话控制功能S-CSCF向用户归属服务器HSS发送获取鉴权向量请求信息,之前还包括如图3所示的步骤301-303。
[0049]301、用户设备向P-CSCF发送初始注册请求消息。
[0050]其中,初始注册请求消息携带有imp1、用户设备支持的SIP安全机制列表、用户设备的受保护客户端端口 ucl、用户设备的受保护服务端端口 usl。
[0051 ]对于本发明实施例,ucl与usl为用户设备与P-CSCF进行信息交互的端口。在本发明实施例中,初始注册请求信息中还携带有impu。
[0052]对于本发明实施例,SIP安全机制列表可以为安全性保护算法以及加密算法的任意组合。其中,安全性保护算法可以为hmac-sha-1-96或者hmac-md5_96,加密算法可以为aes-cbc或者des-ede3_sbc或者null ο
[0053]302、P_CSCF存储用户设备支持的SIP安全机制列表、ucl以及usl。
[0054]303、P-CSCF将携带有impi的初始注册请求消息,发送至S-CSCF。
[0055]本发明实施例的另一种可能的实现方式,在如图2或3所示的基础上,步骤202、HSS根据impi,确定impi对应的根密钥,之后还包括如图4所示的步骤401,步骤203、HSS根据根密钥,生成多组共享密钥,之后还包括如图4所示的步骤402。
[0056]401、HSS 生成随机数 RAND。
[0057]对于本发明实施例,HSS在根据impi确定随机数的同时,生成RAND。
[0058]402、HSS 将 RAND 发送至 P-CSCF。
[0059]对于本发明实施例,HSS可以在发送共享密钥的同时,将RAND发送至S-CSCF,S-CSCF将RAND携带在401未授权响应信息中通过1-CSCF发送至P-CSCF。
[0060]本发明实施例的另一种可能的实现方式,在如图4所示的基础上,步骤205、P_CSCF根据多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组,具体包括如图5所示的步骤501-503。
[0061]501、P_CSCF从用户设备支持的SIP安全列表中,选择自身支持的算法组合。
[0062]其中,用户设备支持的SIP安全机制列表为用户设备支持的算法组合,算法组合包括:安全性算法以及加密算法。
[0063]对于本发明实施例,由于用户设备与P-CSCF支持的SIP安全列表中算法组合不同,因此用户设备将自身支持的SIP安全机制列表发送至P-CSCF,以使得P-CSCF从中选择自身支持的算法组合,形成P-CSCF支持的SIP安全机制列表。
[0064]例如,用户设备支持的SIP安全机制列表中包括:安全性算法I以及加密算法I组成的算法组合、安全性算法2以及加密算法2组成的算法组合、安全性算法3以及加密算法3组成的算法组合,P-CSCF从上述算法组合中选择安全性算法I以及加密算法I组成的算法组合、安全性算法2以及加密算法2组成的算法组合作为自身支持的SIP安全机制列表。
[0065]502、P_CSCF确定多组共享密钥分别对应自身支持的算法组合。
[0066]例如,共享密钥I对应安全性算法I以及加密算法I组成的算法组合,共享密钥2对应安全性算法2以及加密算法2组成的算法组合。
[0067]503、P_CSCF根据多组共享密钥、多组共享密钥分别对应自身支持的算法组合、1^仰、此1、1181以及?-030?的控制端口?(31、?-030?的服务端口?81,生成多个网络协议安全性安全联盟IPsec SA组。
[0068]对于本发明实施例,由于需要将RAND、ucl、uSl、pcl、多组共享密钥,根据对应的算法组合,生成多个IPsec SA组。
[0069]对于本发明实施例,P-CSCF从用户设备支持的SIP安全机制列表中选择自身支持的算法组合,并确定多组共享密钥分别对应的算法组合,能够根据多组共享密钥以及多组共享密钥分别对应的算法组合,生成不同的IPsec SA组,从而可以根据不同的IPsec SA组,对用户设备与P-CSCF之间的交互信息进行加密,进而可以提高用户设备与P-CSCF之间通信的安全性。
[0070]本发明实施例的另一种可能的实现方式,在如图5所示的基础上,步骤503、P_CSCF根据多组共享密钥、多组共享密钥分别对应自身支持的算法组合、RAND、ucl、usl以及P-CSCF的控制端口pc1、P-CSCF的服务端口psl,生成多个网络协议安全性安全联盟IPsec SA组,之前还包括如图6所示的步骤601,步骤206、P-CSCF将生成的多个IPsec SA组,发送至用户设备,以使得用户设备以及P-CSCF之间采用不同的IPsec SA进行通信,具体包括如图6所示的步骤602。
[0071]601、P_CSCF 确定 pci 以及 psl。
[0072]602、P_CSCF将生成的多个IPsec SA组,发送至用户设备,以使得用户设备以及P-CSCF根据触发策略,选择不同IPsec SA组,进行通信。
[0073]对于本发明实施例,触发策略可以包括:定时切换以及新会话切换。其中,定时切换为用户设备或P-CSCF启动定时器,在定时器时间到时触发选择其他备用IPsec SA组以及对应的加密方式完成后续的通信;新会话切换为每次有具体业务时触发选择其他备用IPsec SA组以及对应的加密方式完成后续的通信。
[0074]对于本发明实施例,用户设备在鉴权注册过程中可以按照优先级选择一个IPsecSA组对鉴权注册请求信息进行加密,在鉴权注册完成后,用户设备或者P-CSCF根据触发策略,选择另一个IPsec SA组,并向对方发送通知信息,以告知对方选择进行交互信息加密的IPsec SA组,用户设备或P-CSCF用上述另一个IPsec SA组对用户设备与P-CSCF之间的交互信息进行加密,以实现安全通信。
[0075]对于本发明实施例,用户设备以及P-CSCF根据不同的触发策略,能够选择不同的IPsec SA组对用户设备以及P-CSCF之间的交互信息进行加密,避免用户设备以及P-CSCF使用同一个IPsec SA组,对用户设备与P-CSCF之间交互的信息进行加密,从而可以进一步地提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以进一步地提高用户设备与P-CSCF进行通信的安全性。
[0076]进一步地,本发明实施例提供了另一种安全通信的方法,P-CSCF从用户设备支持的SIP安全机制列表中选择自身支持的算法组合,并确定多组共享密钥分别对应的算法组合,能够根据多组共享密钥以及多组共享密钥分别对应的算法组合,生成不同的IPsec SA组,从而可以根据不同的IPsec SA组,对用户设备与P-CSCF之间的交互信息进行加密,进而可以提高用户设备与P-CSCF之间通信的安全性;用户设备以及P-CSCF根据不同的触发策略,能够选择不同的IPsec SA组对用户设备以及P-CSCF之间的交互信息进行加密,避免用户设备以及P-CSCF使用同一个IPsec SA组,对用户设备与P-CSCF之间交互的信息进行加密,从而可以进一步地提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以进一步地提高用户设备与P-CSCF进行通信的安全性。
[0077]作为对图2、图3、图4、图5及图6所示方法的实现,本发明实施例还提供了一种安全通信的装置,用于提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以进一步地提高用户设备与P-CSCF进行通信的安全性,如图7所示,所述装置包括:第一发送单元71、第一确定单元72、第一生成单元73、第二发送单元74、第二生成单元75、第三发送单元76 ο
[0078]第一发送单元71,位于服务呼叫会话控制功能S-CSCF中,用于向用户归属服务器HSS发送获取鉴权向量请求信息。
[0079]其中,鉴权向量请求信息中携带有IP多媒体私有标识impi。
[0080]第一确定单元72,位于HSS中,用于根据impi,确定impi对应的根密钥。
[0081]第一生成单元73,位于HSS中,用于根据根密钥,生成多组共享密钥。
[0082]其中,共享密钥包括:加密密钥CK以及完整性密钥IK。
[0083]第二发送单元74,位于HSS中,用于将多组共享密钥,发送至代理呼叫会话控制功能P-CSCFο
[0084]第二生成单元75,位于P-CSCF中,用于根据多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组。
[0085]第三发送单元76,位于P-CSCF中,用于将生成的多个IPsec SA组,发送至用户设备,以使得用户设备以及P-CSCF之间采用不同的IPsec SA进行通信。
[0086]进一步地,如图8所示,装置还包括:第四发送单元81、存储单元82。
[0087]第四发送单元81,位于用户设备中,用于向P-CSCF发送初始注册请求消息。
[0088]其中,初始注册请求消息携带有imp1、用户设备支持的SIP安全机制列表、用户设备的受保护客户端端口 ucl、用户设备的受保护服务端端口 usl。
[0089]存储单元82,位于P-CSCF中,用于存储用户设备支持的SIP安全机制列表、ucl以及usl ο
[°09°]第三发送单元76,位于P-CSCF中,还用于将携带有impi的初始注册请求消息,发送至S-CSCFο
[0091]第一生成单元73,位于HSS中,还用于生成随机数RAND。
[0092]第二发送单元74,位于HSS中,还用于将RAND发送至P-CSCF。
[0093]第二生成单元75,位于P-CSCF中,具体用于从用户设备支持的SIP安全列表中,选择自身支持的算法组合。
[0094]其中,用户设备支持的SIP安全机制列表为用户设备支持的算法组合,算法组合包括:安全性算法以及加密算法。
[0095]第二生成单元75,位于P-CSCF中,具体还用于确定多组共享密钥分别对应自身支持的算法组合。
[0096]第二生成单元75,位于P-CSCF中,具体还用于根据多组共享密钥、多组共享密钥分别对应自身支持的算法组合、RAND、Uc 1、us I以及P-CSCF的控制端口 pc 1、P-CSCF的服务端口psl,生成多个网络协议安全性安全联盟IPsec SA组。
[0097]进一步地,如图8所示,装置还包括:第二确定单元83。
[0098]第二确定单元83,位于P-CSCF中,用于确定pci以及psl。
[0099]第三发送单元76,位于P-CSCF中,用于将生成的多个IPsec SA组,发送至用户设备,以使得用户设备以及P-CSCF根据触发策略,选择不同IPsec SA组,进行通信。
[0100]本发明实施例提供的安全通信的装置,首先服务呼叫会话控制功能S-CSCF向用户归属服务器HSS发送获取鉴权向量请求信息,其中,鉴权向量请求信息中携带有IP多媒体私有标识impi,其次,HSS根据impi,确定impi对应的根密钥,并根据根密钥,生成多组共享密钥,其中,共享密钥包括:加密密钥CK以及完整性密钥IK,并将多组共享密钥,发送至代理呼叫会话控制功能P-CSCF,然后P-CSCF根据多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组,最后P-CSCF将生成的多个IPsec SA组,发送至用户设备用户设备,以使得用户设备以及P-CSCF之间采用不同的IPsec SA进行通信。与目前当用户设备以及P-CSCF通过CK以及IK生成IPsec SA组,并通过该IPsec SA组进行安全通信时相比,本发明实施例HSS通过根密钥,生成多组共享密钥CK以及IK,并将该多组共享密钥,发送至P-CSCF,P-CSCF能够根据该多组共享密钥,生成多个IPsec SA组,以使得用户设备与P-CSCF可以通过不同的IPsec SA组对用户设备与P-CSCF之间交互的信息进行加密,从而可以提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以提高用户设备与P-CSCF进行通信的安全性。
[0101]进一步地,本发明实施例提供了另一种安全通信的装置,P-CSCF从用户设备支持的SIP安全机制列表中选择自身支持的算法组合,并确定多组共享密钥分别对应的算法组合,能够根据多组共享密钥以及多组共享密钥分别对应的算法组合,生成不同的IPsec SA组,从而可以根据不同的IPsec SA组,对用户设备与P-CSCF之间的交互信息进行加密,进而可以提高用户设备与P-CSCF之间通信的安全性;用户设备以及P-CSCF根据不同的触发策略,能够选择不同的IPsec SA组对用户设备以及P-CSCF之间的交互信息进行加密,避免用户设备以及P-CSCF使用同一个IPsec SA组,对用户设备与P-CSCF之间交互的信息进行加密,从而可以进一步地提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以进一步地提高用户设备与P-CSCF进行通信的安全性。
[0102]需要说明的是,本发明实施例中提供的安全通信的装置中各单元所对应的其他相应描述,可以参考图2至图6中的对应描述,在此不再赘述。
[0103]本发明实施例提供的安全通信的装置可以实现上述提供的方法实施例,具体功能实现请参见方法实施例中的说明,在此不再赘述。本发明实施例提供的安全通信的方法及装置可以适用于用户设备以及P-CSCF根据不同的IPsec SA组,进行安全通信,但不仅限于此。
[0104]本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
[0105]以上所述,仅为本发明的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
【主权项】
1.一种安全通信的方法,其特征在于,包括: 服务呼叫会话控制功能S-CSCF向用户归属服务器HSS发送获取鉴权向量请求信息,所述鉴权向量请求信息中携带有所述IP多媒体私有标识impi ; 所述HSS根据所述impi,确定所述impi对应的根密钥; 所述HSS根据所述根密钥,生成多组共享密钥,所述共享密钥包括:加密密钥CK以及完整性密钥IK; 所述HSS将所述多组共享密钥,发送至代理呼叫会话控制功能P-CSCF; 所述P-CSCF根据所述多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组; 所述P-CSCF将生成的所述多个IPsec SA组,发送至用户设备,以使得所述用户设备以及所述P-CSCF之间采用不同的IPsec SA进行通信。2.根据权利要求1所述的安全通信的方法,其特征在于,所述服务呼叫会话控制功能S-CSCF向用户归属服务器HSS发送获取鉴权向量请求信息的步骤之前,还包括: 所述用户设备向所述P-CSCF发送初始注册请求消息,所述初始注册请求消息携带有imp1、所述用户设备支持的SIP安全机制列表、用户设备的受保护客户端端口 ucl、用户设备的受保护服务端端口 usl; 所述P-CSCF存储所述用户设备支持的SIP安全机制列表、所述Uc I以及所述us I; 所述P-CSCF将携带有所述impi的初始注册请求消息,发送至所述S-CSCF。3.根据权利要求1或2所述的安全通信的方法,其特征在于,所述HSS根据所述impi,确定所述impi对应的根密钥的步骤之后,还包括: 所述HSS生成随机数RAND ; 所述HSS根据所述根密钥,生成多组共享密钥的步骤之后,还包括: 所述HSS将所述RAND发送至所述P-CSCF。4.根据权利要求3所述的安全通信的方法,其特征在于,所述用户设备支持的SIP安全机制列表为所述用户设备支持的算法组合,所述算法组合包括:安全性算法以及加密算法; 所述P-CSCF根据所述多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组的步骤,包括: 所述P-CSCF从所述用户设备支持的SIP安全列表中,选择自身支持的算法组合; 所述P-CSCF确定所述多组共享密钥分别对应自身支持的算法组合; 所述P-CSCF根据所述多组共享密钥、所述多组共享密钥分别对应自身支持的算法组合、所述RAND、所述Uc 1、所述us I以及P-CSCF的控制端口 pc 1、P-CSCF的服务端口 ps I,生成多个网络协议安全性安全联盟IPsec SA组。5.根据权利要求4所述的安全通信的方法,其特征在于,所述P-CSCF根据所述多组共享密钥、所述多组共享密钥分别对应自身支持的算法组合、所述RAND、所述ucl、所述usl以及P-CSCF的控制端口 pc1、P-CSCF的服务端口 psl,生成多个网络协议安全性安全联盟IPsecSA组的步骤之前,还包括: 所述P-CSCF确定所述pci以及所述psl ; 所述P-CSCF将生成的所述多个IPsec SA组,发送至用户设备用户设备,以使得所述用户设备以及所述P-CSCF之间采用不同的IPsec SA进行通信的步骤,包括: 所述P-CSCF将生成的所述多个IPsec SA组,发送至所述用户设备,以使得所述用户设备以及所述P-CSCF根据触发策略,选择不同IPsec SA组,进行通信。6.一种安全通信的装置,其特征在于,包括: 第一发送单元,位于服务呼叫会话控制功能S-CSCF中,用于向用户归属服务器HSS发送获取鉴权向量请求信息,所述鉴权向量请求信息中携带有所述IP多媒体私有标识impi ;第一确定单元,位于所述HSS中,用于根据所述impi,确定所述impi对应的根密钥;第一生成单元,位于所述HSS中,用于根据所述根密钥,生成多组共享密钥,所述共享密钥包括:加密密钥CK以及完整性密钥IK; 第二发送单元,位于所述HSS中,用于将所述多组共享密钥,发送至代理呼叫会话控制功能 P-CSCF; 第二生成单元,位于所述P-CSCF中,用于根据所述多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组; 第三发送单元,位于所述P-CSCF中,用于将生成的所述多个IPsec SA组,发送至用户设备,以使得所述用户设备以及所述P-CSCF之间采用不同的IPsec SA进行通信。7.根据权利要求6所述的安全通信的装置,其特征在于,所述装置还包括:第四发送单元、存储单元; 所述第四发送单元,位于所述用户设备中,用于向所述P-CSCF发送初始注册请求消息,所述初始注册请求消息携带有imp1、所述用户设备支持的SIP安全机制列表、用户设备的受保护客户端端口ucl、用户设备的受保护服务端端口usl; 所述存储单元,位于所述P-CSCF中,用于存储所述用户设备支持的SIP安全机制列表、所述UCI以及所述USI ; 所述第三发送单元,位于所述P-CSCF中,还用于将携带有所述impi的初始注册请求消息,发送至所述S-CSCF。8.根据权利要求6或7所述的安全通信的装置,其特征在于, 所述第一生成单元,位于所述HSS中,还用于生成随机数RAND; 所述第二发送单元,位于所述HSS中,还用于将所述RAND发送至所述P-CSCF。9.根据权利要求6所述的安全通信的装置,其特征在于,所述用户设备支持的SIP安全机制列表为所述用户设备支持的算法组合,所述算法组合包括:安全性算法以及加密算法; 所述第二生成单元,位于所述P-CSCF中,具体用于从所述用户设备支持的SIP安全列表中,选择自身支持的算法组合; 所述第二生成单元,位于所述P-CSCF中,具体还用于确定所述多组共享密钥分别对应自身支持的算法组合; 所述第二生成单元,位于所述P-CSCF中,具体还用于根据所述多组共享密钥、所述多组共享密钥分别对应自身支持的算法组合、所述RAND、所述Uc 1、所述us I以及P-CSCF的控制端口pcl、P-CSCF的服务端口psl,生成多个网络协议安全性安全联盟IPsec SA组。10.根据权利要求9所述的安全通信的装置,其特征在于,所述装置还包括:第二确定单元; 所述第二确定单元,位于所述P-CSCF中,用于确定所述pc I以及所述ps I ; 所述第三发送单元,位于所述P-CSCF中,用于将生成的所述多个IPsec SA组,发送至所述用户设备,以使得所述用户设备以及所述P-CSCF根据触发策略,选择不同IPsec SA组,进 行通信。
【文档编号】H04L29/06GK105827661SQ201610380263
【公开日】2016年8月3日
【申请日】2016年5月31日
【发明人】张子敬
【申请人】宇龙计算机通信科技(深圳)有限公司