保障业务网络安全的系统、装置及方法

文档序号:7968359阅读:114来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:保障业务网络安全的系统、装置及方法
技术领域
本发明涉及网络通信技术领域,具体涉及一种保障业务网络安全的系统、 装置及方法。
背景技术
随着电信网络技术和用户需求的发展,业务的提供需要多样化,而当业务 的多样性达到一定程度,不同业务之间的交互能力又制约了运营商进一步发展 更为复杂的业务。用户迫切需要的是一个完整的业务供应链而不是单独访问一 系列独立的服务子系统。而由于业务的供应商不同,技术思路、方法、路线不 同导致业务的整合也变得尤为困难。为了顺应业务管理的思路,业界普遍以业务为中心重新对运营商的各类资 源进行整合,统一抽象出网络的各种能力和资源开放给上层业务使用。规范管 理业务的整个生命周期等等技术的出现为大量业务的有序管理提供了一定的 技术依据,以此为基础,业务网络的发展目标就是要在网络层之上的业务层面 建立一个虛拟的叠加网络,抽象出底层网络的能力并加以隔离,让大量的业务自由地运行于单一的业务网络上进行自主交互。这样,通过该业务网络实现不同用户之间的业务交互。目前,IMS (IP Multimedia Subsystem, IP多媒体子系统)网络架构作为 NGN ( Next Generation Network,下一代网络)的核心网,采用分组域为其上 层控制信令和媒体传输的承载通道,引入SIP ( Session Initiation Protocol,初始 会话协议)协议作为业务控制协议,利用SIP简单、易扩展、媒体组合方便的 特点,通过将业务控制与承载控制分离,提供丰富的多媒体业务。为了保证业务网络的安全,首先要保证业务交互的安全。在IMS中,安全
保证的基础在于用户与网络之间的共享密钥。通信过程中的身份验证以及协议 的机密性和完整性都依赖于该密钥。对于移动网络,该密钥保存在网络内部的HSS ( Home Subscriber Server,归属用卢服务器)中,始终不会从HSS被传递 出来,具有很高的安全性。而对于用户,该密钥保存于用户在初始订购时移动 运营商为其发^:的UICC ( Universal Integrated Circuit Card,通用集成电路卡) 中的ISIM (IP Multimedia Services Identity Module, IP多媒体服务身份模块i 模块中,同样不会从ISIM模块中被传递出来,而UICC卡本身具有很强的安全 性,保存在其中的密钥较难被窃取。由于共享密钥具有高的安全性,因此IMS 的安全性得到了有利的保证。但是这种基于UICC卡的安全机制并不是一种通 用的安全策略,它需要为每个用户预先分配一块UICC卡这种物理设备,对用 户终端也有相应的要求,整个移动网络系统有一整套的相关机制和流程。基于 该原因,这种安全策略并不适用于对业务的身份验证和安全保护,无法在业务 网络中被直接使用。发明内容本发明的主要目的是提供一种保障业务网络安全的系统,以解决业务网络 业务交互过程中的身份验证与数据传输的安全性保护问题,保证业务交互的安全。本发明的另一个目的是提供一种验证装置,以对接入业务网络的业务提供 身份验证,并为该业务提供业务网络验证信息。本发明的另一个目的是提供一种保障业务网络安全的方法,以保证业务网 络的安全。为此,本发明提供如下的技术方案一种保障业务网络安全的系统,所述系统包括业务路由器,提供业务之间交互过程中的信息转发及代理;
业务注册中心,通过业务网络与业务路由器相连,用于对通过业务路由器 接入的业务进行动态注册;证书中心,通过业务网络与业务路由器相连,用于为所述业务和网络实休签发数字证书;验证中心,通过业务网络与业务注册中心、证书中心及业务路由器相连, 用于在业务注册过程中根据业务注册中心的指令,向证书中心查询或从本地获 得所述业务的数字证书并确认其有效性,同时根据所述数字证书中的信息对该 业务进行身份验证,并为业务提供业务网络验证信息。业务与业务路由器之间建立有安全关联的传输。所述验证中心包括接口模块,用于处理验证过程中对外的信息交互; 业务证书数据库,用于保存业务的数字证书;验证处理模块,用于根据接口模块收到的业务注册中心的请求消息生成业 务网络验证信息Nau,并在接口模块获得业务验证信息Sau后,从业务证书数 据库获取该业务的数字证书,并对证书有效的业务进行验证,包括计算所述 业务验证信息Sau中去掉数字签名部分的摘要值,同时使用所述数字证书中该 业务的公钥对所述业务验证信息中的数字签名进行解析得到被签名的摘要值, 并根据得到的两个摘要值是否相同确定对业务的验证是否通过;私钥存储模块,用于存储并向验证处理模块提供生成业务网络验证信息 Nau所需的业务网络证书公钥相对应的私钥;证书请求与确认模块,用于根据验证处理模块的请求查询证书中心以确认 所述业务数字证书的有效性,或者在验证处理模块未在业务证书数据库中获取 到所述业务的数字证书时,根据验证处理模块的请求向证书中心请求业务的数 字证书。所述验证中心还包括密钥分配模块,用于根据验证处理模块的请求为接入业务网络的业务与其 连接的业务路由器分配建立安全传输连接的共享密钥。 证书中心包括证书信息存储模块,用于存储业务和网络实体对应的数字证书和证书撤销列表;注册模块,用于对申请证书的业务和网络实体进行身份审核;证书权威模块,用于根据注册模块的审核结果对业务和网络实体签发、作 废证书,并将所述业务和网络实体对应的数字证书和证书撤销列表存储到所述 证书信息存储模块中。一种验证装置,用于对接入业务网络的业务进行身份验证,并为该业务提 供业务网络验证信息,所述装置包括接口模块,用于处理验证过程中对外的信息交互;业务证书数据库,用于保存业务的数字证书;验证处理模块,用于根据接口模块收到的对所述业务验证的请求消息生成 业务网络验证信息Nau,并在接口模块获得业务验证信息Sau后,从业务证书 数据库获取该业务的数字证书,并对证书有效的业务进行验证,包括计算所 述业务验证信息Sau中去掉数字签名部分的摘要值,同时使用所述数字证书中 该业务的公钥对所述业务验证信息中的数字签名进行解析得到被签名的摘要 值,并根据得到的两个摘要值是否相同确定对业务的验证是否通过;私钥存储模块,用于存储并向验证处理模块提供生成业务网络验证信息 Nau所需的业务网络证书公钥相对应的私钥;证书请求与确认模块,用于根据验证处理模块的请求查询证书中心以确认 所述业务数字证书的有效性,或者在验证处理模块未在业务证书数据库中获取 到所述业务的数字证书时,根据验证处理模块的请求向证书中心请求业务的数 字证书。
所述装置还包括密钥分配模块,用于根据验证处理模块的请求为接入业务网络的业务与其 连接的业务路由器分配建立姿仝传输连接的共享密钥。 一种保障业务网络安全的方法,所述方法包括A、 当业务接入业务网络时,向业务网络进行注册;B、 在业务注册过程中,业务网络和业务进行相互验证。 所述步骤A包括业务发送会话起始协议SIP注册请求消息到其连接的业务路由器,并在消 息头域中携带业务标识SID及归属域标识NID;业务路由器将所述SIP注册请求消息转发给网络侧。 所述步骤A进一步包括如果在注册前所述业务与所述业务路由器已建立好了安全传输连接,则业 务路由器在转发给网络侧的SIP注册请求消息头域中标注该注册受完整性保 护信息。所述步骤B包括Bl、业务网络收到业务的SIP注册请求消息后生成业务网络验证信息,并将其发送给业务;B2 、业务根据所述业务网络验证信息对业务网络进行验证;B3、验证通过后,业务生成业务验证信息,并将其发送给业务网络;B4、业务网络根据所述业务验证信息对业务进行验证;B5、验证通过后,业务网络向业务发送确认消息。业务网络将所述业务网络验证信息插入到SIP注册响应消息中发送给业 务,并在该SIP注册响应消息中指示业务提供业务验证信息。所述业务网络将所述业务网络验证信息插入到SIP注册响应消息的 WWW-Authenticate头域中。 所述业务网络验证信息包括业务标识、时间戳、现时值、由业务网络私 钥加密摘要计算值形成的数字签名;所述业务验证信息包括归属城标识、时间戳、现时值、由业务私4月加密 摘要计算值形成的数字签名。所述步骤B2包括业务计算所述业务网络验证信息中去掉数字签名部分的摘要值,同时使用 业务网络的公钥对所述业务网络验证信息中的数字签名进行解析得到被签名 的摘要值;如果得到的两个摘要值相同,则对业务网络的验证通过; 如果得到的两个摘要值不同,则对业务网络的验证失败。 所述步骤B4包括业务网络计算所述业务验证信息中去掉数字签名部分的摘要值,同时使用 业务的公钥对所述业务验证信息中的数字签名进行解析得到被签名的摘要值; 如果得到的两个摘要值相同,则对业务的验证通过; 如果得到的两个摘要值不同,则对业务的验证失败。 所述步骤B3包括业务通过构建新的SIP注册请求消息,在消息中携带所述业务验证信息, 并将该消息发送给所述业务路由器;所述业务路由器在所述SIP注册请求消息的头域中标注该注册消息受完 整性保护信息,并将该消息发送给业务网络。在所述新的SIP注册请求消息的Authorization头域中携带所述业务验证信自、所述步骤Bl进一步包括如果所述SIP注册请求消息中没有完整性保护信息,则业务网络为业务与 所述业务路由器分配共享密钥,并将其发送给业务与所述业务路由器。
所述方法进一步包括发送给业务的共享密钥由业务的公钥加密,并包含在业务网络验证信息中。业务网络将未加密的共享密钥插入到SIP注册响应消息的头域中发送给 所述业务路由器,所述业务路由器保存接收到的该共享密钥,然后从SIP注册 响应消息的头域中将该共享密钥删除。所述共享密钥被插入到SIP注册响应消息的WWW-Authenticate头域中..所述步骤B3进一步包括如果业务与业务路由器之间还未建立安全传输连接,则业务基于所述共享 密钥与业务路由器建立安全传输连接。由以上本发明提供的技术方案可以看出,本发明针对在业务网络中不适于钥数字签名的方式进行身份验证,并采用点对点安全传输方式保证了业务网络 中协议消息的安全传输。利用本发明,无需业务和业务网络之间预先共享密钥, 保障了业务网络的安全运营。


图1是本发明系统的一个实施例的组网图;图2是本发明系统中验证中心的原理框图;图3是本发明系统中证书中心的原理框图;图4是本发明中业务申请证书的流程图;图5是本发明中采用离线方式进行证书撤销的流程图;图6是本发明方法的一个实施例的实现流程图;图7是本发明中业务网络和业务进行相互验证的消息交互流程图;图8是本发明中验证中心内部验证的消息交互流程图。
具体实施方式
本发明的核心在于基于PKI ( Public Key Infrastructure,公钥基础设施)技 术,通过公钥/私钥机制,来解决业务网络业务交互过程中的身份验证问题, 同时提供协议信息传输过程中的完整性、机密性和消息源的验证保证。为了使本技术领域的人员更好地理解本发明方案,下面结合附图和实施方 式对本发明作进一步的详细说明。本技术领域人员知道,PKI是建立在公钥密码体制上的信息安全基础设 施,为应用提供身份认证、加密、数字签名、时间戳等安全服务。CA( Certificate Authority,数字证书认证中心)是PKI的核心部件,它的主要任务是数字证书、 证书撤消列表CRL (Certificate Revocation List)的签发及管理。通过有效地密 钥和证书管理,PKI为用户建立起一个安全的网络运行环境,使用户可以在多 种应用环境下方便地使用加密和数字签名技术,从而保证网络中的数据通信的 安全性。在本发明中,基于PKI技术,在业务网络中建立安全保障机制,保证 业务网络中业务交互过程中的身份验证与数据传输的安全性。首先,参照图1所示本发明系统的一个实施例的组网图该系统包括业务路由器S13、业务路由器S14、业务注册中心S15、验 证中心S16、证书中心S17。这些不同功能实体通过业务网络相连。业务Sll 通过业务路由器S13接入业务网络,业务S12通过业务路由器S14接入业务 网络。其中,业务路由器提供业务之间彼此交互过程中的信息转发及代理功能;业务注 册中心S15用于对通过业务路由器接入的业务进行动态注册;验证中心S16 用于在业务注册过程中根据业务注册中心的指令,向证书中心查询或从本地获 得所述业务的数字证书并确认其有效性,同时根据所述数字证书中的信息对该 业务进行身份验证,并为业务提供业务网络验证信息;证书中心S17为业务网
络中的业务和网络实体签发数字证书。数字证书中包括证书主体的名字、颁发 该证书的证书中心的名字、主体的公钥信息、由证书中心私钥签署的数字签名、 证书有效期等信息。证书中心还将验证证书的有效性,保存证书并维持证书撤消列表CRL等 Zb为网络实体之间信息传输的安全接口 ,例如,可以通过IPSec ESP ( 1P Security Protocol Encapsulating Security Payload, IP网络安全协议封装安全净 荷)来进行信息传输的安全保护;Zs为业务与业务路由器之间信息传输的安全接口,例如,可以通过IPSec ESP来进行信息传输的安全保护;IAuC-CC为验证中心与证书中心之间的接口 ,负责处理两者之间的交互, 主要作用是由验证中心查询证书中心以获得业务或者网络实体的证书,或者是 确认证书的有效性。IAuC-CC接口可以采用LDAP (Lightweight Directory Access Protocol ,轻量目录访问协议)协议作为证书的操作协议,也可以采用 FTP( File Transfer Protocol,文件传输协议),HTTP( Hypertext Transfer Protocol, 超文本传输协议)等协议。IAuC-SRC为验证中心与业务注册中心之间的接口 ,业务在注册过程中业 务注册中心通过该接口调用验证中心,以生成业务网络验证信息及对业务进行 验证搡作。对于业务与业务路由器之间的安全接口 Zs,其传输安全保护的建立有两 种方式。 一种方式是在业务连接到业务路由器的初始阶段,基于两者各自的证 书来建立。例如,如果采用的是IPsec网络层安全机制,则可采用标准的IKH (Internet Key Exchange,因特网密钥交换)协议,建立业务和业务路由器之 间的安全关联。另夕|、一种方式则是在验证过程中,由验证中心为业务和业务路 由器分配共享密钥,基于共享密钥建立业务和业务路由器之间的传输安全保 护。如果采用的是IPsec网络层安全机制,则是基于预共享密钥的IKE协商,
建立业务和业务路由器之间的安全关联。后一种方式的优点在于业务网络的安 全性完全由验证中心所控制,并且业务路由器不需要配置和处理数字证书 业务在接入业务网络中并可以被正常使用之前,需要进行业务注册以及身 份验证,同时业务本身也需要验证它所接入的业务网络的身份。验证中心在业务注册过程中为接入业务网络的业务进行身份验证,同时为 业务提供对业务网络的验证。两个验证过程都采用基于数字证书的数字签名证证方式。对于SIP请求消息,验证相关信息将携带在SIP协议中的Authorization 头域中,而对于SIP响应消息,验证相关信息将携带在SIP协议中的 WWW-Authenticate头i或中。图2示出了本发明系统中验证中心的原理框图该验证中心包括接口模块S21、验证处理模块S22、证书请求与确认模 块S23、业务证书数据库S24、私钥存储模块S25、密钥分配模块S26。其中,接口模块S21用于处理验证过程中对外的信息交互,例如接收业务的验证 消息,并向业务发送业务网络的验证消息等。验证处理模块S22使用业务的证书解析业务验证信息Sau,以验证业务的 身份,除此之外,验证处理模块还负责生成业务网络验证信息Nau,为业务提 供对业务网络的验证。验证处理模块S22对业务的验证过程如下首先,从业务证书数据库获取该业务的数字证书,然后对证书有效的业务 进行验证。包括计算所述业务验证信息Sau中去掉数字签名部分的摘要值, 同时使用所述数字证书中该业务的公钥对所述业务验证信息中的数字签名进 行解析得到被签名的摘要值,并根据得到的两个摘要值是否相同确定对业务的 验证是否通过。如果这两个值相同,则表明对业务的验证通过;否则,验证失 败。证书请求与确认模块S23用于根据验证处理模块的请求查询证书中心以 确认所述业务数字证书的有效性,或者在验证处理模块未在业务证书数据库中 获取到所述业务的数字证书时,根据验证处理模块的请求向证书中心请求业务 的数字证书。业务证书数据库S24用子保存业务的数字证书。私钥存储模块S25用于存储并向验证处理模块提供生成业务网络验证信 息Nau所需的业务网络证书公钥相对应的私钥,以用于对业务网络验证信息 Nau进行数字签名。为了保证业务与业务路由器之间能够建立安全传输连接,在该验证中心中 还设置了密钥分配模块S26,为业务与其连接的业务路由器分配共享密钥IK 和CK,以建立两者之间的安全传输连接。证书中心是PKI公私钥身份验证体系的核心组成部件。根据需要,在业务 网络中可以建立一级或者多级证书中心。第一级证书中心作为根验证中心,将 为自身生成自签名的数字证书,并为下级证书中心签发数字证书。图3示出了本发明系统中证书中心的原理框图该证书中心包括证书权威模块S31、注册模块S32、证书信息存储模块 S33。其中,证书信息存储模块S33用于存储业务和网络实体对应的数字证书 和证书撤销列表;注册模块S32用于对申请证书的业务和网络实体进行身份审 核;证书权威模块S31用于根据注册模块的审核结果对业务和网络实体签发、 作废证书,并将所述业务和网络实体对应的数字证书和证书撤销列表存储到所 述证书信息存储模块中。证书权威模块S31是证书中心的核心模块,是颁发、管理和作废证书的实 体。为业务,网络实体或者是下级证书中心颁发数字证书。通过发布并且维护 证书撤消列表CRL来管理作废了的证书。证书权威模块S31在初始化的时候 首先产生自身的私钥和公钥,然后由上级证书中心或其自身生成数字证书。此 夕卜,证书权威模块S31还可以为注册模块S32、证书中心管理员等生成数字证 书,并且还可以支持和其它证书权威机构之间的交叉认证。证书权威模块S31 存有其私钥以及其它与证书颁发有关的信息。出于安全的考虑,可以将证书权 威模块S31与其它模块在物理上隔离。注册模块S32负责证书申请者的身份审核,确认拥有相应私钥的证明、信 息录入、唯一标识名的分配、证书申请的生成。此外还向证书信息存储模块 S33转发证书权威模块S31颁发的数字证书和证书撤消列表CRL。注册模块 S32是保证证书真实性的关键模块,证书申请者应可以通过安全的,例如非电 子的方式向注册模块S32提交证书申请,通过注册模块S32对证书申请者的身 份真实性审核通过后,其证书申请才能够被接受,这样就保证了证书中心的权 威性和证书的真实性。证书信息存储模块S33负责将注册模块S32传递过来的主体信息以及数字 证书和证书撤消列表CRL加入到数据库中。通过查询证书信息存储模块S33 即可得到对应实体的数字证书或者是验证数字证书的有效性。例如,验证中心 可通过IAuC-CC接口查询证书信息存储模块S33,获得某个业务的证书,或 者是确认其证书的有效性。证书中心内各实体间的交互协议可采用RFC4210证书管理协议CMP (Certificate Management Protocol,证书管理协议)。证书可以通过离线的方式申请,业务在可以连4妻到业务网络之前,必须先 申请证书,由业务网络的证书中心为其颁发证书。业务申请证书的流程如图4所示1. 业务向注册模块发送申请。2. 注册模块确认各种必要的证明材料(例如业务提供者的身份确认材料、 用户口令等),保存有关信息(例如对业务的描述信息、对业务提供者的描述信息、证书申请的时间、有效期、条件等信息)。3. 注册模块向证书权威模块发出申请证书的请求,在该请求中可以包含 业务的公钥等信息。 4. 证书权威模块依据申请请求,为业务生成一份证书SC,证书由证书权 威模块的私钥签名。如果没有事先生成密钥对,则由证书权威模块负责为业务 生成公私密钥对。5. 证书权威模块将证书SC发送给注册模块,证书中包含可以验证业务 身份的安全信息,比如,该业务的公钥UK。若密钥对由证书权威模块产生, 则证书权威模块还将发送业务的私钥PK到注册模块。6. 注册模块将证书SC加入到证书信息存储模块中。7. 注册模块将证书SC发送给业务。若由证书权威模块产生密钥对,则 业务的私钥PK也将由注册模块通过安全的方式发送给业务。证书具有一定的有效期,有效期满则证书自动作废。由于某些原因,例如 可能的私钥泄密或者是相关信息的变更,也可以在证书到期前使其作废,这就 是证书撤消。证书撤消也可以采用离线方式,其流程如图5所示1. 业务向注册模块发送撤消请求,请求撤消业务的证书SC。2. 注册模块确认各种必要的证明材料。3. 注册模块向证书权威模块发出证书SC的撤消请求。4. 证书权威模块依据申请请求,撤消证书SC,生成证书撤消列表CRL, CRL由证书权威模块的私钥签名。5. 证书权威模块将证书撤消列表CRL发送给注册模块。6. 注册模块将证书撤消列表CRL加入到证书信息存储模块中。7. 注册模块发送证书SC撤消成功的确认信息ACK到业务。本发明还提供了 一种验证装置,其原理框图与图2所示本发明系统中的验 证中心的原理框图相同,在此不再详细描述。参照图6,图6示出了本发明方法的一个实施例的实现流程,包括以下步骤步骤601:当业务接入业务网络时,向业务网络进行注册。 在业务网络中,业务的注册过程可以采用SIP ( Session Initiation Protocol, 会话起始协议)协议。具体地,业务发送SIP注册请求消息到其连接的业务路 由器,并在消息头域中携带业务标识SID及归属城标识NID:然后由业务踗 由器将该SIP注册请求消息转发给网络侧。如果在注册前该业务与业务路由器 已建立好了安全传输连接,则业务路由器在转发给网络侧的SIP注册请求消息 头域中标注该注册受完整性保护信息。步骤602:在业务注册过程中,业务网络和业务进行相互验证,,业务网络对业务的验证和业务对业务网络的验证都采用证书验证方式。对 于SIP请求消息,可以将验证相关信息携带在SIP协议中的Authorization头域 中,而对于SIP响应消息,可以将验证相关信息携带在SIP协议中的 WWW-Authenticate头域中。步骤603:验证通过后,业务在业务网络中正常运行。例如,业务路由器只让已经通过注册的业务在业务网络中运行,业务只有 在业务注册中心注册了,才能被其它业务寻找到。下面结合本发明系统的原理框图,进一步说明本发明中在业务和业务网络 间进行相互验证的消息流程。参照图7,图7是本发明中业务网络和业务进行相互验证的消息交互流程1. 业务发送SIP注册请求消息Register到其连接的业务路由器,在Register 消息的Authorization头中包含业务的标识SID与归属域标识NID等信息。其 中,SID的作用是让业务网络知道是哪个业务来注册,NID的作用是知道要去 哪个业务网络注册。2. 若在注册前业务与业务路由器已经建立好了安全传输连接,业务路由 器将在Authorization头中标注该注册消息受完整性保护。然后业务路由器转发 Register请求到业务路由器对应的业务注册中心。3. 业务注册中心请求验证中心生成网络验证信息Nau,若注册消息没有 提供完整性保护,则还需要验证中心为业务与业务路由器分配共享密钥。4. 验证中心生成网络验证信息Nau。 Nau包含业务的标识SID、时间戳 Tn和现时值Rn。时间戳Tn用于防止消息被延迟传送,现时值Rn用子检测重 方欠攻击。此外,Nau还可包含其它的相关信息,例如业务网络的证书。若需分配共 享密钥,验证中心还将为业务与业务路由器生成完整性密钥IK和加密密钥 CK,由业务的公钥加密为Es(IK,CK)。业务的公钥是包含在证书之中的,而业 务证书可以从证书中心获得。在证书中心颁发证书的时候就被保存在证书信息 存储模块中,验证中心获得该业务证书以后会将它保留在自己的业务证书数据 库中。Es(IK,CK)同样被包含在Nau中,然后对这些信息计算摘要,用业务网络 的私钥签名,该数字签名也将包含在Nau中。5. 验证中心发送业务网络验证信息Nau到业务注册中心。 若还分配了共享密钥,由于Nau将包含由业务公钥加密的Es(IK,CK),只有业务才能解密。因此,还需发送未加密的IK和CK,提供给业务路由器。6. 业务注册中心将Nau或者还包括共享密钥IK和CK插入到401 Unauthorized响应的WWW-Authenticate头中,并在响应消息中指示业务提供 业务验证信息。然后将该响应消息发送到业务路由器。7. 若包含共享密钥信息,业务路由器删除WWW-Authenticate头中的IK 和CK并将它们保存下来,以使业务路由器可以通过这两个共享密钥与业务建 立安全的传输连接。然后转发401 Unauthorized响应到业务。8. 业务接收到401 Unauthorized响应后,从WWW-Authenticate头中获得 Nau。然后计算Nau中去掉数字签名部分的摘要值,同时使用业务网络的公钥(该公钥包含在业务网络证书中,而业务网络证书可以从证书中心获得,在证 书中心颁发证书的时候被保存在证书信息存储模块中)对数字签名进行解析, 得到被签名的摘要值。如果这两个摘要值相同,则对业务网络的验证通过;否则业务网络验证失败,注册过程提前结束。若验证通过,业务将生成业务验证信息Sau。类似的,Sau包含归属域的 标识NID、时间戳Ts、现时值Rs,可能还有业务的证书等相关信息。此外还 包含Nau中的现时值Rn,以及由业务私钥对上述这些信息的数字签名。若之前业务与业务路由器之间未建立安全传输连接,则业务用私钥解密 Es(IK,CK),基于IK和CK,业务与业务路由器之间将建立安全传输连接。9. 业务构造新的SIP Register消息,并将Sau插入到Register消息中的 Authorization头中,然后将该SIP Register消息发送到业务路由器。10. 业务路由器在Authorization头中标注该注册消息受完整性保护,然后 转发该SIP Register消息到业务注册中心。11. 业务注册中心从Authorization头中获得Sau,然后将其发送到验证中 心请求其对该业务进行验证。12. 验证中心计算Sau中去掉数字签名部分的摘要值,同时使用业务的公 钥对数字签名进行解析得到被签名的摘要值。两个摘要值相同则对业务的验证 通过,否则业务验证失败,注册过程提前结束。13. 验证中心向注册中心返回包含Sau的现时值Rs的业务验证确认信息。14. 业务注册中心继续后继的注册过程。15. 业务注册完成,业务注册中心将确认信息Rs插入到200 0K响应中发 送给业务路由器。16. 业务路由器转发该200 0K响应到业务。参照图8,图8是本发明中验证中心内部验证的消息交互流程1. 业务发送业务注册请求SIP Register到业务注册中心。2. 业务注册中心请求验证中心生成网络验证信息Nau,若注册消息没有
提供完整性保护,则还需要验证中心为业务与业务路由器分配共享密钥。验证 中心中由接口模块接收该请求。3. 接口模块请求验证处理模块生成Nau。4. 验证处理模块向私钥存储模块请求私钥PK。5. 私钥存储模块向验证处理模块发送该私钥PK,若不需分配共享密钥, 则转步骤8。6. 验证处理模块请求密钥分配模块为业务与业务路由器分配共享密钥IK 和CK。7. 密钥分配模块向验证处理模块发送分配的共享密钥IK和CK。8. 验证处理模块构造业务网络验证信息Nau。9. 验证处理模块发送Nau或者还包括共享密钥IK和CK到接口模块。10. 接口模块发送Nau或者还包括共享密钥IK和CK到业务注册中心。11. 业务注册中心将Nau或者还包括共享密钥IK和CK插入到401 Unauthorized响应中的WWW-Authenticate头域中,然后将该401 Unauthorized 响应消息发送到业务。12. 业务首先验证业务网络身份,若分配了共享密钥,则还需在业务与业 务路由器之间建立安全传输连接。然后业务构造新的SIP Register消息,并将 业务验证信息Sau插入到SIP Register消息中的Authorization头域中。然后将 该SIP Register消息发送到业务注册中心。13. 业务注册中心从Authorization头域中获得Sau消息,然后将Sau发送 到接口模块请求验证中心进行业务的验证。14. 接口模块发送业务验证信息Sau到验证处理模块。15. 验证处理模块向业务证书数据库请求该业务的证书。16. 业务证书数据库发送业务的证书SC到验证处理模块。17. 验证处理模块请求证书请求与确认模块确认SC的有效性。18. 证书请求与确认模块查询证书中心以确认证书SC的有效性。若业务 证书数据库中无该业务的证书,则由证书请求与确认模块从证书中心下载该业 务的证书SC。19. 证书请求与确认模块确认SC有效并将结果通知验证处理模块。20. 验证处理模块使用证书SC中的公钥解析业务验证信息Sau对业务进 行验证。21. 接口模块通知业务注册中心业务验证通过。虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多 变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化 而不脱离本发明的精神。
权利要求
1、 一种保障业务网络安全的系统,其特征在于,所述系统包括 业务路由器,提供业务之间交互过程中的信息转发及代理; 业务注册中心,通过业务网络与业务路由器相连,用于对通过业务路由器接入的业务进行动态注册;证书中心,通过业务网络与业务路由器相连,用于为所述业务和网络实体 签发数字证书;验证中心,通过业务网络与业务注册中心、证书中心及业务路由器相连, 用于在业务注册过程中根据业务注册中心的指令,向证书中心查询或从本地获 得所述业务的数字证书并确认其有效性,同时根据所述数字证书中的信息对该 业务进行身份验证,并为业务提供业务网络验证信息。
2、 根据权利要求1所述的系统,其特征在于,业务与业务路由器之间建 立有安全关联的传输。
3、 根据权利要求1所述的系统,其特征在于,所述验证中心包括 接口模块,用于处理验证过程中对外的信息交互; 业务证书数据库,用于保存业务的数字证书;验证处理模块,用于根据接口模块收到的业务注册中心的请求消息生成业 务网络验证信息Nau,并在接口模块获得业务验证信息Sau后,从业务证书数 据库获取该业务的数字证书,并对证书有效的业务进行验证,包括计算所述 业务验证信息Sau中去掉数字签名部分的摘要值,同时使用所述数字证书中该 业务的公钥对所述业务验证信息中的数字签名进行解析得到被签名的摘要值, 并根据得到的两个摘要值是否相同确定对业务的验证是否通过;私钥存储模块,用于存储并向验证处理模块提供生成业务网络验证信息 Nau所需的业务网络证书公钥相对应的私钥;证书请求与确认模块,用于根据验证处理模块的请求查询证书中心以确认 所述业务数字证书的有效性,或者在验证处理模块未在业务证书数据库中获取到所述业务的数字证书时,根据验证处理模块的请求向证书中心请求业务的数字证书。
4、 根据权利要求3所述的系统,其特征在于,所迷验证中心还包括密钥分配模块,用于根据验证处理模块的请求为接入业务网络的业务与其 连接的业务路由器分配建立安全传输连接的共享密钥。
5、 根据权利要求1所述的系统,其特征在于,证书中心包括 证书信息存储模块,用于存储业务和网络实体对应的数字证书和证书撤销列表;注册模块,用于对申请证书的业务和网络实体进行身份审核; 证书权威模块,用于根据注册模块的审核结果对业务和网络实体签发、作废证书,并将所述业务和网络实体对应的数字证书和证书撤销列表存储到所述证书信息存储模块中。
6、 一种验证装置,用于对接入业务网络的业务进行身份验证,并为该业 务提供业务网络验证信息,其特征在于,所迷装置包括接口模块,用于处理验证过程中对外的信息交互; 业务证书数据库,用于保存业务的数字证书;验证处理模块,用于根据接口模块收到的对所述业务验证的请求消息生成 业务网络验证信息Nau,并在接口模块获得业务验证信息Sau后,从业务证书 数据库获取该业务的数字证书,并对证书有效的业务进行验证,包括计算所 述业务验证信息Sau中去掉数字签名部分的摘要值,同时使用所述数字证书中 该业务的公钥对所述业务验证信息中的数字签名进行解析得到被签名的摘要 值,并根据得到的两个摘要值是否相同确定对业务的验证是否通过私钥存储模块,用于存储并向验证处理模块提供生成业务网络验证信息 Nau所需的业务网络证书公钥相对应的私钥;证书请求与确认模块,用于根据验证处理模块的请求查询证书中心以确认 所述业务数字证书的有效性,或者在验证处理模块未在业务证书数据库中获取 到所述业务的数字证书时,根据验证处理模块的请求向证书中心请求业务的数 字证书。
7、 根据权利要求6所述的装置,其特征在于,所迷装置还包括 密钥分配模块,用于根据验证处理模块的请求为接入业务网络的业务与其连接的业务路由器分配建立安全传输连接的共享密钥。
8、 一种保障业务网络安全的方法,其特征在于,所述方法包括A、 当业务接入业务网络时,向业务网络进行注册;B、 在业务注册过程中,业务网络和业务进行相互验证。
9、 根据权利要求8所述的方法,其特征在于,所述步骤A包括 业务发送会话起始协议SIP注册请求消息到其连接的业务路由器,并在消息头域中携带业务标识SID及归属域标识NID;业务路由器将所述SIP注册请求消息转发给网络侧。
10、 根据权利要求9所述的方法,其特征在于,所述步骤A进一步包括 如果在注册前所述业务与所述业务路由器已建立好了安全传输连接,则业务路由器在转发给网络侧的SIP注册请求消息头域中标注该注册受完整性保 护信息。
11、 根据权利要求9或IO所述的方法,其特征在于,所述步骤B包括 Bl、业务网络收到业务的SIP注册请求消息后生成业务网络验证信息,并将其发送给业务;B2、业务根据所述业务网络验证信息对业务网络进行验证;B3、验证通过后,业务生成业务验证信息,并将其发送给业务网络;B4、业务网络根据所述业务验证信息对业务进行验证;B5、验证通过后,业务网络向业务发送确认消息。
12、 根据权利要求11所述的方法,其特征在于, 业务网络将所述业务网络验证信息插入到SIP注册响应消息中发送给业 务,并在该SIP注册响应消息中指示业务提供业务验证信息。
13、 根据权利要求12所迷的方法,其特征在千,所述业务网络将所述业务网络验证信息插入到SIP注册响应消息的 WWW-Authenticate头i或中。
14、 根据权利要求11所述的方法,其特征在于,所述业务网络验证信息包括业务标识、时间戳、现时值、由业务网络私 钥加密摘要计算值形成的数字签名;所述业务验证信息包括归属域标识、时间戳、现时值、由业务私钥加密摘要计算值形成的数字签名。
15、 根据权利要求14所述的方法,其特征在于,所述步骤B2包括 业务计算所述业务网络验证信息中去掉数字签名部分的摘要值,同时使用业务网络的公钥对所述业务网络验证信息中的数字签名进行解析得到被签名 的摘要值;如果得到的两个摘要值相同,则对业务网络的验证通过; 如果得到的两个摘要值不同,则对业务网络的验证失败。
16、 根据权利要求14所述的方法,其特征在于,所述步骤B4包括 业务网络计算所述业务验证信息中去掉数字签名部分的摘要值,同时使用业务的公钥对所述业务验证信息中的数字签名进行解析得到被签名的摘要值; 如果得到的两个摘要值相同,则对业务的验证通过; 如果得到的两个摘要值不同,则对业务的验证失败。
17、根据权利要求11所述的方法,其特征在于,所述步骤B3包括 业务通过构建新的SIP注册请求消息,在消息中携带所述业务验证信息,并将该消息发送给所述业务路由器;所述业务路由器在所述SIP注册请求消息的头域中标注该注册消息受完整性保护信息,并将该消息发送给业务网络。
18、根据权利要求17所述的方法,其特征在于,在所述新的SIP注册请求消息的Authorization头城中携带所速业务验证信息。
19、 根据权利要求11所述的方法,其特征在于,所述步骤B1进一步包括 如果所述SIP注册请求消息中没有完整性保护信息,则业务网络为业务与所述业务路由器分配共享密钥,并将其发送给业务与所述业务路由器。
20、 根据权利要求19所述的方法,其特征在于,所述方法进一步包括 发送给业务的共享密钥由业务的公钥加密,并包含在业务网络验证信息中。
21、 根据权利要求19所述的方法,其特征在于,业务网络将未加密的共享密钥插入到SIP注册响应消息的头域中发送给 所述业务路由器,所述业务路由器保存接收到的该共享密钥,然后从SIP注册 响应消息的头域中将该共享密钥删除。
22、 根据权利要求21所述的方法,其特征在于,所述共享密钥纟皮插入到SIP注册响应消息的WWW-Authenticate头域中,
23、 根据权利要求19所述的方法,其特征在于,所述步骤B3进一步包括如果业务与业务路由器之间还未建立安全传输连接,则业务基于所述共享 密钥与业务路由器建立安全传输连接。
全文摘要
本发明公开了一种保障业务网络安全的系统、装置及方法,所述系统包括业务路由器,提供业务之间彼此交互过程中的信息转发及代理;业务注册中心,用于对通过业务路由器接入的业务进行动态注册;验证中心,用于在业务注册过程中根据业务注册中心的指令,为接入业务网络的业务进行身份验证,同时为业务提供对业务网络的验证;证书中心,用于为接入业务网络中的业务和网络实体签发数字证书。本发明还公开了一种保障业务网络安全的方法,当业务接入业务网络时,向业务网络进行注册;在业务注册过程中,业务网络和业务进行相互验证。利用本发明,可以保证业务交互的安全,进而可以保证业务网络的安全。
文档编号H04L9/32GK101145908SQ200610127230
公开日2008年3月19日 申请日期2006年9月14日 优先权日2006年9月14日
发明者恒 常, 彦 李, 石晓旻, 邹现军 申请人:华为技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:常恒;石晓旻;邹现军;李彦
  • 技术所有人:华为技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2