专利名称:一种ip终端安全接入网络的方法
技术领域:
本发明涉及通讯领域,特别是涉及应用在基于IP(Internet Protocol,互联网协议)通讯网络体系架构下的IP终端安全接入网络的方法。
背景技术:
随着互联网和宽带技术的发展,基于IP网络的语音传输(Voice OverInternet Protocol,VOIP)技术在企业网和公共网络中得到了越来越多的应用,但由于IP网络的开放性,VOIP技术存在一些安全性问题,如用户帐号欺骗、设备欺骗等。针对这些安全问题,系统设备需要对用户终端的身份进行验证,以防止用户终端的欺骗而造成系统资源被窃用;而用户终端也同样需要对系统设备进行验证,以防止系统设备的欺骗而造成用户信息被窃取。
目前,在通信系统的安全体系中,流行的做法是单向认证,即只有系统对用户终端进行认证,而用户终端则不对系统进行认证;即使有双向认证,也仅仅是端到端的方式,对双方通信链路之间的网关设备或代理设备则不作认证,而通常情况下IP终端设备是通过边际接入控制设备接入到软交换核心网内,因此这种情况下也非常容易导致机密信息的泄漏;信令以明文方式在终端与系统之间传输,也易被其他非法设备篡取或修改。
发明内容
本发明所要解决的技术问题在于提供一种IP终端安全接入网络的方法,用于实现终端安全接入网络达到信令安全传输。
为了实现上述目的,本发明提供了一种IP终端安全接入网络的方法,适用于IP网络系统,该系统包括用户终端、边际接入控制设备,呼叫会话控制器及安全认证服务器,其特征在于,该方法包括步骤一,在所述用户终端上设置用户终端认证安全参数组,在所述安全认证服务器上设置与所述用户终端认证安全参数组对应的用户终端认证授权参数组;步骤二,将所述用户终端通过所述边际接入控制设备接入至所述呼叫会话控制器,所述呼叫会话控制器接入至所述安全认证服务器;步骤三,所述用户终端根据所述用户终端认证安全参数组及传送至所述用户终端的信息对所述网络系统进行认证;所述边际接入控制设备根据传送至所述边际接入控制设备的信息对所述用户终端进行认证;所述呼叫会话控制器根据所述边际接入控制设备、所述安全认证服务器传送的信息对所述用户终端进行认证;所述安全认证服务器根据所述用户终端认证授权参数组及传送至所述安全认证服务器的信息对所述用户终端进行认证。
所述的IP终端安全接入网络的方法,其中,所述用户终端认证安全参数组或所述边际接入控制设备认证安全参数组的个数为一个或多个。
所述的IP终端安全接入网络的方法,其中,所述每个用户终端认证安全参数组包括双向认证、加密、完整性保护安全方式中的一种或多种方式的参数信息,对应地,所述每个用户终端认证授权参数组包括用于进行双向认证、加密、完整性保护所需的参数信息。
所述的IP终端安全接入网络的方法,其中,所述步骤三中,还包括一所述用户终端在归属地向所述呼叫会话控制器发起注册请求的步骤,又包括步骤41,所述用户终端向所述边际接入控制设备发送一注册请求消息,所述边际接入控制设备将该注册请求消息转发至所述呼叫会话控制器,所述呼叫会话控制器向所述安全认证服务器发送一认证请求消息;步骤42,所述安全认证服务器接收并处理所述认证请求消息,并向所述呼叫会话控制器返回一含有认证向量的认证成功响应消息;所述呼叫会话控制器向所述边际接入控制设备返回一注册失败消息;步骤43,所述边际接入控制设备对所述注册失败消息进行处理后发送至所述用户终端,所述用户终端接收并根据该消息对所述网络系统进行认证。
所述的IP终端安全接入网络的方法,其中,所述步骤41中,还包括建立所述用户终端与所述边际接入控制设备之间的安全联盟的步骤;建立所述边际接入控制设备与所述呼叫会话控制器之间的安全联盟的步骤。
所述的IP终端安全接入网络的方法,其中,所述步骤43中,还包括所述边际接入控制设备根据其与所述用户终端之间的完整性保护密钥和完整性保护算法对所述注册失败消息进行完整性保护处理的步骤。
所述的IP终端安全接入网络的方法,其中,所述用户终端接收并根据该消息对所述网络系统进行认证的步骤又包括步骤71所述用户终端根据完整性保护算法、完整性保护密钥对接收消息进行合法性判断;步骤72,当接收消息合法时,比较所述用户终端计算获得的认证字与所述接收消息中的系统认证字是否一致,若是,则所述网络系统通过所述用户终端认证,所述用户终端向所述边际接入控制设备重新发起一含有终端认证字的注册请求消息。
所述的IP终端安全接入网络的方法,其中,所述步骤72中,还包括所述边际接入控制设备向所述呼叫会话控制器转发所述含有终端认证字的注册请求消息,所述呼叫会话控制器判断所述终端认证字与所述认证向量中的终端认证字是否一致的步骤,若是,则所述呼叫会话控制器对所述用户终端进行成功注册操作,若否,则所述呼叫会话控制器向所述边际接入控制设备返回一注册失败消息。
所述的IP终端安全接入网络的方法,其中,还包括所述边际接入控制设备向所述用户终端转发注册成功消息或注册失败消息的步骤。
所述的IP终端安全接入网络的方法,其中,所述步骤三中,还包括一所述用户终端在游牧地向所述呼叫会话控制器发起注册请求的步骤,所述呼叫会话控制器包括游牧地呼叫会话控制器、归属地呼叫会话控制器,该步骤又包括步骤1001,所述用户终端向所述边际接入控制设备发送一注册请求消息,所述边际接入控制设备将该注册请求消息转发至所述游牧地呼叫会话控制器,所述游牧地呼叫会话控制器向所述归属地呼叫会话控制器转发该注册请求消息,所述归属地呼叫会话控制器向所述安全认证服务器发送一认证请求消息;步骤1002,所述安全认证服务器处理所述认证请求消息,并向所述归属地呼叫会话控制器返回一含有认证向量的认证成功响应消息;所述归属地呼叫会话控制器向所述游牧地呼叫会话控制器返回一注册失败消息;步骤1003,所述边际接入控制设备接收并处理从所述游牧地呼叫会话控制器发送的注册失败消息,并发送至所述用户终端,所述用户终端接收并根据该消息对所述网络系统进行认证。
所述的IP终端安全接入网络的方法,其中,所述步骤1001中,还包括建立所述用户终端与所述边际接入控制设备之间的安全联盟的步骤;建立所述边际接入控制设备与所述游牧地呼叫会话控制器之间的安全联盟的步骤;及建立所述游牧地呼叫会话控制器与所述归属地呼叫会话控制器之间的安全联盟的步骤。
本发明的有益技术效果在于采用本发明,用户终端可以安全地通过边际接入控制设备接入到软交换网络中,具体包括如下优点1),实现用户终端与系统的双向认证;2),在边际接入控制设备与用户终端之间的信令传输可以采用加密、完整性保护这两种方式中一种或两种方式进行保护;及3),呼叫会话控制器与用户终端之间有多于一组的认证方式。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
图1本发明终端接入软交换网络的示意图;图2为本发明固定终端向CSCF发起的注册流程示意图;图3为本发明游牧/漫游终端向CSCF发起的注册流程示意图。
具体实施例方式
下面结合附图对技术方案的实施作进一步的详细描述请参阅图1所示,为终端接入软交换网络的组网示意图。其中,UE(UserEquipment)是指用户终端101,BAC(Board Access Controller)指边际/边缘接入控制设备102,CSCF(Call Session Control Function,呼叫会话控制器)是指呼叫会话控制器103,而SAS(Safe Authentication Server)是指安全认证服务器104。
图1中,实线11表示所述各功能实体之间的通信连接关系,而虚线12则是指将所述各功能实体的安全认证参数存放在安全认证服务器SAS 104上。
用户终端UE 101的个数为一个或多个,呼叫会话控制器CSCF 103的个数为一个或多个。
每个用户终端UE 101上设置有一个或多个认证安全参数组,每个认证安全参数组提供双向认证、加密、完整性保护等安全方式中的一种或几种方式所需要的参数信息。对应于每个用户终端UE 101的每个认证安全参数组,在安全认证服务器SAS 104上都设置有一个对应的用户终端认证授权参数组,用于提供双向认证、加密、完整性保护等安全方式中的一种或几种方式所需要的计算信息/参数信息。
根据每个认证授权参数组,安全认证服务器SAS 104将最终可以计算出一个认证授权向量,提供双向认证、加密、完整性保护等安全方式中的一种或几种方式所需要的参数信息。
边际接入控制设备BAC 102至少具备呼叫会话控制器与用户终端间的信令代理功能,并且与当地的呼叫会话控制器CSCF 103之间建立了安全联盟。
在用户终端UE 101第一次注册请求时,在认证通过后需要建立安全联盟,该联盟关系在用户终端UE 101注销后即失效。失效后,如果用户终端UE 101再发起注册请求,则在认证通过后再建立。
用户终端UE 101通过边际接入控制设备BAC 102在呼叫会话控制器103上注册,在注册过程中完成在安全认证服务器SAS 104的介入下的用户终端UE 101与呼叫会话控制器CSCF 103之间的双向认证。
在终端注册过程中,将建立用户终端UE 101与边际接入控制设备BAC102之间的安全联盟,安全认证服务器SAS 104将为该安全联盟的建立而在认证授权向量中分别向用户终端UE 101与边际接入控制设备BAC 102提供相关参数。
请参阅图2所示,为固定终端向CSCF发起的注册流程示意图,并结合图1,该注册过程为用户终端UE 101在归属地进行注册的过程,该流程具体包括如下步骤步骤201,用户终端UE 101获得归属地的边际接入控制设备地址,并向该地址对应的边际接入控制设备BAC 102发起一UE注册请求消息,在该请求消息中携带UE用户帐号标识、系统认证随机值RandC、完整性(保护)算法列表、加密算法列表;
步骤202,边际接入控制设备BAC 102收到UE注册请求后,将其发向呼叫会话控制器CSCF 103,并调整其中的完整性算法列表、加密算法列表;步骤203,呼叫会话控制器CSCF 103收到UE注册请求消息后,向安全认证服务器SAS 104发送认证请求,在该认证请求中携带UE用户帐号标识和RandC、完整性算法列表、加密算法列表;步骤204,安全认证服务器SAS 104产生随机数RandD,根据随机数RandC计算出系统认证字,并计算UE认证字、加密算法/加密密钥CKu、完整性(保护)算法/完整性(保护)密钥Iku,并将这些信息组成一个认证向量(AuthenticationVector)AV;步骤205,安全认证服务器SAS 104向呼叫会话控制器CSCF103发送认证成功响应消息,携带认证向量AV;步骤206,呼叫会话控制器CSCF 103将认证向量AV保存下来;步骤207,呼叫会话控制器CSCF 103向边际接入控制设备BAC 102返回一个UE注册失败消息,并在该消息中携带AV中除UE认证字之外其余参数;步骤208,边际接入控制设备BAC 102收到UE注册失败消息后,获得其中AV中属于BAC部分的参数,并进而根据与用户终端UE 101之间的安全联盟完整性保护参数,获得边际接入控制设备BAC 102与用户终端UE 101之间的加密性密钥/完整性密钥;去掉该消息中其中AV仅属于BAC部分的参数;该步骤中,边际接入控制设备BAC 102可以根据与用户终端UE 101之间的安全联盟完整性保护参数获得完整性算法和完整性密钥,对向用户终端UE101发送的消息进行完整性保护;步骤209,用户终端UE 101接收消息,并对其进行解码,根据RandD、加密算法和完整性算法,计算出加密密钥CKu、完整性密钥IKu和UE认证字,根据完整性算法/完整性密钥判断消息的合法性,若不合法,则丢弃该消息,否则根据RandC计算出一个认证字,将该认证字与从呼叫会话控制器CSCF103带回的系统认证字比较,判断两者是否一致,若一致,则通过系统认证;否则退出流程,注册失败;步骤210,用户终端UE 101根据与边际接入控制设备BAC 102之间的安全联盟,建立到边际接入控制设备BAC 102的安全链接/安全连接通道,并向边际接入控制设备BAC 102重新发起UE注册请求消息,在该消息中携带UE认证字;该步骤中,用户终端UE 101与边际接入控制设备BAC 102之间的交互消息通过安全连接通道进行发送;步骤211,边际接入控制设备BAC 102向呼叫会话控制器CSCF 103转发UE注册请求消息;步骤212,呼叫会话控制器CSCF 103收到UE注册请求消息后,比较安全认证服务器SAS 104发送过来的UE认证字是否与从用户终端UE 101发送过来的UE注册请求消息中的UE认证字相一致,若不一致,则向边际接入控制设备BAC 102发送UE注册失败消息,执行步骤214;若一致,则检查通过,对用户终端UE 101进行成功注册操作,继续步骤213;步骤213,呼叫会话控制器CSCF 103向边际接入控制设备BAC 102发送UE注册成功的消息;及步骤214,边际接入控制设备BAC 102向用户终端UE 101转发注册结果消息。
请参阅图3所示,为游牧/漫游终端向CSCF发起的注册流程示意图,并结合图1,呼叫会话控制器103又可以包括游牧地呼叫会话控制器V-CSCF1031、归属地呼叫会话控制器H-CSCF 1032,其中,游牧地呼叫会话控制器V-CSCF 1031为游牧地软交换设备(Soft-Switch),简称为V-SS,归属地呼叫会话控制器H-CSCF 1032为归属地软交换设备,简称为H-SS。安全认证服务器SAS 104为授权/认证中心(Authentication Center,AuC)。
该注册过程为用户终端UE 101在游牧地进行注册的过程,该流程具体包括如下步骤步骤301,用户终端UE 101获得游牧地的边际接入控制设备地址,并向该地址对应的边际接入控制设备BAC 102发起一UE注册请求消息,在该请求消息中携带UE用户帐号标识、系统认证随机值RandC、完整性算法列表、加密算法列表;步骤302,边际接入控制设备BAC 102收到UE注册请求消息后,将其发向游牧地软交换设备V-SS 1031,并调整其中的完整性算法列表、加密算法列表;步骤303,游牧地软交换设备V-SS 1031将UE注册请求转发到归属地软交换设备H-SS 1032;该步骤中,游牧地软交换设备V-SS 1031分析用户终端UE 101的路由;该步骤中,游牧地软交换设备V-SS 1031与归属地软交换设备H-SS 1032之间建立安全联盟;步骤304,归属地软交换设备H-SS 1032收到后,向授权/认证中心AuC 104发送认证请求,携带UE用户帐号标识和RandC、完整性算法列表、加密算法列表;步骤305,授权/认证中心AuC 104产生随机数RandD,根据随机数RandC计算出系统认证字,并计算出UE认证字、加密算法/加密密钥CKu、完整性保护算法/完整性保护密钥Iku,将这些信息组成一个认证向量AV;步骤306,授权/认证中心AuC 104向归属地软交换设备H-SS 1032发送认证成功响应消息,携带认证向量AV;步骤307,归属地软交换设备H-SS 1032将认证向量AV保存下来;步骤308,归属地软交换设备H-SS 1032向游牧地软交换设备V-SS 1031回应一个UE注册失败消息,并在该消息中携带AV中除UE认证字之外其余参数;步骤309,游牧地软交换设备V-SS 1031向边际接入控制设备BAC 102返回一个UE注册失败消息,并在该消息中携带AV中除UE认证字之外其余参数(其中密钥信息可以采用Diffie-Hellman方式交换);步骤310,边际接入控制设备BAC 102收到UE注册失败消息后,获得其中AV中属于BAC部分的相关参数,并进而获得边际接入控制设备BAC 102与用户终端UE 101之间的加密密钥/完整性密钥,即安全联盟相关参数;去掉该消息中其中AV仅属于BAC部分的相关参数,再对消息进行完整性保护后转发给用户终端UE 101;步骤311,用户终端UE 101对接收的消息进行解码,根据RandD、加密算法和完整性算法,计算出加密密钥CKu、完整性密钥IKu和UE认证字(即用户终端UE 101与边际接入控制设备BAC 102之间的安全联盟相关参数),根据完整性算法/完整性密钥判断接收消息的合法性,若不合法,则丢弃该消息,否则根据RandC计算出一个认证字,将该认证字与依次从游牧地软交换设备V-SS 1031、归属地软交换设备H-SS 1032带回的系统认证字进行比较,判断两者是否一致,若一致,则通过系统认证;否则退出流程,注册失败;步骤312,用户终端UE 101根据与边际接入控制设备BAC 102之间的安全联盟,建立到边际接入控制设备BAC 102的安全链接/安全连接通道,并向边际接入控制设备BAC 102重新发起UE注册请求消息,在该消息中携带UE认证字;在该步骤中,用户终端UE 101与边际接入控制设备BAC 102之间的交互消息通过安全连接通道发送;步骤313,边际接入控制设备BAC 102向游牧地软交换设备V-SS 1031转发UE注册请求消息;步骤314,游牧地软交换设备V-SS 1031将UE注册请求消息转发到归属地软交换设备H-SS 1032;步骤315,归属地软交换设备H-SS 1032收到消息后,比较授权/认证中心AuC 104发送过来的UE认证字是否与从用户终端UE 101发送过来UE注册请求消息的UE认证字相一致,若不一致,则向游牧地软交换设备V-SS 1031发送UE注册失败消息,转入步骤318执行;否则对用户终端UE 101进行成功注册操作;步骤316,归属地软交换设备H-SS 1032向游牧地软交换设备V-SS 1031回应一个UE注册成功消息;步骤317,游牧地软交换设备V-SS 1031向边际接入控制设备BAC 102发送UE注册成功消息;及步骤318,边际接入控制设备BAC 102向用户终端UE 101转发注册结果消息。
该注册流程中,用户终端UE 101或边际接入控制设备BAC 102所设置的每个认证安全参数组至少包含一种认证方式,且包括了认证方式需要的参数;相应地,安全认证服务器SAS/授权/认证中心AuC 104所提供的认证授权向量中至少包含一种认证方式类型、认证码等参数信息。
用户终端UE 101或边际接入控制设备BAC 102所设置的每个认证安全参数组可以包含一种加密方式及加密方式所需要的参数;相应地,安全认证服务器SAS/授权/认证中心AuC 104提供的认证授权向量中包含一种加密算法类型、加密算法密钥等参数信息。
用户终端UE 101的每个认证安全参数组可以包含一种完整性保护方式,及完整性保护方式所需要的参数;相应地,安全认证服务器SAS/授权/认证中心AuC 104提供的认证授权向量中包含一种完整性算法类型、完整性算法密钥等参数信息。
边际接入控制设备BAC 102可以根据与用户终端UE 101之间的安全联盟完整性保护参数获得完整性保护算法和密钥,对向用户终端UE 101发送的消息进行完整性保护。
用户终端认证安全参数组中可以包括密码,密码可以与用户终端UE 101配置的其他安全信息一起经过运算获得密钥,相应地,安全认证服务器SAS/授权/认证中心AuC 104采取相同的方式获得用户终端密钥。
用户终端认证安全参数组中可以包括密码,密码充当密钥的一部分,相应地,安全认证服务器SAS/授权/认证中心AuC 104采取上述相同的方式获得用户终端密钥。
安全认证服务器SAS/授权/认证中心AuC 104可以是呼叫会话控制器CSCF 103中的一个逻辑功能模块。
在上述实施例中,加密算法和完整性算法均采用对称加密算法,会话密钥可以根据预先配置在通信实体和安全认证服务器上的共享密钥直接获得,也可以在此基础上根据共享密钥和随机数来计算获得。
在上述实施例中,详细描述了用户终端如何安全通过边际接入控制设备呼叫会话控制器注册的一个流程,对其中涉及到的注册信令及注册流程方面,仅是示意性的说明,供参考。
本发明在以软交换/IMS(IP Multimedia Subsystem,IP多媒体子系统)技术为基础的下一代网络系统体系架构中提出的IP终端安全通过边际接入控制设备接入网络并达到信令安全传输的方法,实现了终端与系统的双向认证,同时本发明方法还支持IP终端的游牧。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种IP终端安全接入网络的方法,适用于IP网络系统,该系统包括用户终端、边际接入控制设备,呼叫会话控制器及安全认证服务器,其特征在于,该方法包括步骤一,在所述用户终端上设置用户终端认证安全参数组,在所述安全认证服务器上设置与所述用户终端认证安全参数组对应的用户终端认证授权参数组;步骤二,将所述用户终端通过所述边际接入控制设备接入至所述呼叫会话控制器,所述呼叫会话控制器接入至所述安全认证服务器;步骤三,所述用户终端根据所述用户终端认证安全参数组及传送至所述用户终端的信息对所述网络系统进行认证;所述边际接入控制设备根据传送至所述边际接入控制设备的信息对所述用户终端进行认证;所述呼叫会话控制器根据所述边际接入控制设备、所述安全认证服务器传送的信息对所述用户终端进行认证;所述安全认证服务器根据所述用户终端认证授权参数组及传送至所述安全认证服务器的信息对所述用户终端进行认证。
2.根据权利要求1所述的IP终端安全接入网络的方法,其特征在于,所述用户终端认证安全参数组或所述边际接入控制设备认证安全参数组的个数为一个或多个。
3.根据权利要求1所述的IP终端安全接入网络的方法,其特征在于,所述每个用户终端认证安全参数组包括双向认证、加密、完整性保护安全方式中的一种或多种方式的参数信息,对应地,所述每个用户终端认证授权参数组包括用于进行双向认证、加密、完整性保护所需的参数信息。
4.根据权利要求2或3所述的IP终端安全接入网络的方法,其特征在于,所述步骤三中,还包括一所述用户终端在归属地向所述呼叫会话控制器发起注册请求的步骤,又包括步骤41,所述用户终端向所述边际接入控制设备发送一注册请求消息,所述边际接入控制设备将该注册请求消息转发至所述呼叫会话控制器,所述呼叫会话控制器向所述安全认证服务器发送一认证请求消息;步骤42,所述安全认证服务器接收并处理所述认证请求消息,并向所述呼叫会话控制器返回一含有认证向量的认证成功响应消息;所述呼叫会话控制器向所述边际接入控制设备返回一注册失败消息;步骤43,所述边际接入控制设备对所述注册失败消息进行处理后发送至所述用户终端,所述用户终端接收并根据该消息对所述网络系统进行认证。
5.根据权利要求4所述的IP终端安全接入网络的方法,其特征在于,所述步骤41中,还包括建立所述用户终端与所述边际接入控制设备之间的安全联盟的步骤;建立所述边际接入控制设备与所述呼叫会话控制器之间的安全联盟的步骤。
6.根据权利要求4所述的IP终端安全接入网络的方法,其特征在于,所述步骤43中,还包括所述边际接入控制设备根据其与所述用户终端之间的完整性保护密钥和完整性保护算法对所述注册失败消息进行完整性保护处理的步骤。
7.根据权利要求6所述的IP终端安全接入网络的方法,其特征在于,所述用户终端接收并根据该消息对所述网络系统进行认证的步骤又包括步骤71所述用户终端根据完整性保护算法、完整性保护密钥对接收消息进行合法性判断;步骤72,当接收消息合法时,比较所述用户终端计算获得的认证字与所述接收消息中的系统认证字是否一致,若是,则所述网络系统通过所述用户终端认证,所述用户终端向所述边际接入控制设备重新发起一含有终端认证字的注册请求消息。
8.根据权利要求7所述的IP终端安全接入网络的方法,其特征在于,所述步骤72中,还包括所述边际接入控制设备向所述呼叫会话控制器转发所述含有终端认证字的注册请求消息,所述呼叫会话控制器判断所述终端认证字与所述认证向量中的终端认证字是否一致的步骤,若是,则所述呼叫会活控制器对所述用户终端进行成功注册操作,若否,则所述呼叫会话控制器向所述边际接入控制设备返回一注册失败消息。
9.根据权利要求8所述的IP终端安全接入网络的方法,其特征在于,还包括所述边际接入控制设备向所述用户终端转发注册成功消息或注册失败消息的步骤。
10.根据权利要求2或3所述的IP终端安全接入网络的方法,其特征在于,所述步骤三中,还包括一所述用户终端在游牧地向所述呼叫会话控制器发起注册请求的步骤,所述呼叫会话控制器包括游牧地呼叫会话控制器、归属地呼叫会话控制器,该步骤又包括步骤1001,所述用户终端向所述边际接入控制设备发送一注册请求消息,所述边际接入控制设备将该注册请求消息转发至所述游牧地呼叫会话控制器,所述游牧地呼叫会话控制器向所述归属地呼叫会话控制器转发该注册请求消息,所述归属地呼叫会话控制器向所述安全认证服务器发送一认证请求消息;步骤1002,所述安全认证服务器处理所述认证请求消息,并向所述归属地呼叫会话控制器返回一含有认证向量的认证成功响应消息;所述归属地呼叫会话控制器向所述游牧地呼叫会话控制器返回一注册失败消息;步骤1003,所述边际接入控制设备接收并处理从所述游牧地呼叫会话控制器发送的注册失败消息,并发送至所述用户终端,所述用户终端接收并根据该消息对所述网络系统进行认证。
11.根据权利要求10所述的IP终端安全接入网络的方法,其特征在于,所述步骤1001中,还包括建立所述用户终端与所述边际接入控制设备之间的安全联盟的步骤;建立所述边际接入控制设备与所述游牧地呼叫会话控制器之间的安全联盟的步骤;及建立所述游牧地呼叫会话控制器与所述归属地呼叫会话控制器之间的安全联盟的步骤。
全文摘要
本发明公开了一种IP终端安全接入网络的方法,包括步骤一,在用户终端上设置用户终端认证安全参数组,在安全认证服务器上设置与用户终端认证安全参数组对应的用户终端认证授权参数组;步骤二,将用户终端通过边际接入控制设备接入至呼叫会话控制器,呼叫会话控制器接入至安全认证服务器;步骤三,用户终端根据用户终端认证安全参数组及传送至用户终端的信息对网络系统进行认证;边际接入控制设备对用户终端进行认证;呼叫会话控制器对用户终端进行认证;安全认证服务器根据用户终端认证授权参数组及传送至安全认证服务器的信息对用户终端进行认证。本发明实现了用户终端与系统之间的多种认证方式的双向认证,有效保证了信令的安全传输。
文档编号H04L29/06GK101094064SQ200610088908
公开日2007年12月26日 申请日期2006年7月25日 优先权日2006年7月25日
发明者胡宪利, 吴晨, 权海斌 申请人:中兴通讯股份有限公司