专利名称:数据传输安全保护方法、认证服务器及终端的制作方法
技术领域:
本发明涉及通信领域,具体而言,涉及一种数据传输安全保护方法、认证服务器及 终端。
背景技术:
下一代网络(Next Generation Network,简称为NGN)作为演进的基于分组 交换的网络框架受到越来越多的关注。国际电信联盟-电信标准部(International Telecommunications Union-Te1ecommuni cations standardization sector,简禾尔为 ITU-T)和其他地区标准组织对NGN框架模型、业务以及相关领域进行了广泛的研究和标准
化工作。NGN能够支持异构网络接入、网间漫游和无缝切换。在用户终端进行数据通信和切 换时,需要保证业务的连续性,同时,要保证移动用户终端与NGN网络接入点之间的信令数 据和用户数据的私密性、完整性。当前NGN网络中,用户终端在与接入网络节点之间没有安全保护,存在许多安全 问题,例如,没有授权的用户终端与接入网络节点的没有加密的数据可能被窃听,可能监测 用户的网络行为,对用户的隐私有很大的影响。
发明内容
针对相关技术中在当前NGN网络中用户终端在与接入网络节点之间没有安全保 护,存在安全问题而提出本发明,为此,本发明的主要目的在于提供一种数据传输安全保护 方案,以解决上述问题至少之一。为了实现上述目的,根据本发明的一个方面,提供了 一种数据传输安全保护方法。根据本发明的数据传输安全保护方法,应用于下一代网络,包括认证服务器接收 来自终端的认证请求,并与终端进行认证;认证服务器生成密钥信息,并在认证成功之后, 将密钥信息发送给接入网络功能模块,以便于接入网络功能模块通过密钥信息与终端建立 连接和/或进行数据传输。优选地,认证服务器将密钥信息发送给接入网络功能模块包括认证服务器经由 接入管理功能模块将密钥信息发送给接入网络功能模块。优选地,认证服务器将密钥信息发送给接入网络功能模块包括认证服务器经由 接入转发功能模块将密钥信息发送给接入网络功能模块。优选地,认证服务器生成密钥信息包括认证服务器与其他类型的服务器协作生 成密钥信息,其中,其他类型的服务器包括传输用户信息服务器。优选地,在认证服务器生成密钥信息之后,上述方法还包括认证服务器和终端保 存密钥信息。为了实现上述目的,根据本发明的另一方面,还提供了 一种认证服务器。根据本发明的认证服务器,应用于下一代网络中,包括第一接收模块,用于接收来自终端的认证请求;认证模块,用于与终端进行认证;密钥模块,用于生成密钥信息;第 一发送模块,用于在认证成功之后,将密钥信息发送给接入网络功能模块,以便于接入网络 功能模块通过密钥信息与终端建立连接和/或进行数据传输。优选地,第一发送模块具体用于经由接入管理功能模块将密钥信息发送给接入网 络功能模块,其中,接入管理功能模块用于执行以下至少之一终结二层传输链接、获取接 入网络信息、转发认证请求、获取网络配置信息。优选地,第一发送模块具体用于经由接入转发功能模块将密钥信息发送给接入网 络功能模块,其中,接入转发功能模块用于执行以下至少之一接入和/或转发终端的网络 配置信息、接入和/或转发终端的认证请求、添加本地配置信息。优选地,密钥模块具体用于与其他类型的服务器协作生成密钥信息,其中,其他类 型的服务器包括传输用户信息服务器,其他类型的服务器用于执行以下至少之一保持用 户信息、产生用户认证向量、产生密钥信息。为了实现上述目的,根据本发明的另一方面,还提供了一种终端。根据本发明的终端,应用于下一代网络中,包括第二发送模块,用于向认证服务 器发送认证请求;第二接收模块,用于接收来自认证服务器的密钥信息;保存模块,用于保 存密钥信息,以便与通过密钥信息与接入网络功能模块建立连接和/或进行数据传输。通过本发明,采用终端与认证服务器进行认证并生成密钥信息,接入网络功能模 块同该密钥信息与终端进行安全通讯,解决了相关技术中在当前NGN网络中用户终端在与 接入网络节点之间没有安全保护,存在安全问题,进而提高了终端接入网络节点时的安全 性。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是根据本发明实施例的数据传输安全保护方法的流程图;图2是根据本发明实施例的下一代网络中接入转发功能模块获得密钥材料的示 意图;图3是根据本发明实施例的接入网络功能模块同一域内从接入转发功能模块获 得密钥材料的流程图;图4是根据本发明实施例的接入网络功能模块同一域内从接入管理功能模块获 得密钥材料的流程图;图5是根据本发明实施例的接入网络功能模块不同域内获得密钥材料的流程图;图6是根据本发明实施例的ITU-T NGN中接入网络功能模块获得密钥的示意图;图7是根据本发明实施例的认证服务器的结构框图;图8是根据本发明实施例的终端的结构框图。
具体实施例方式功能概述考虑到相关技术中在当前NGN网络中用户终端在与接入网络节点之间没有安全保护,存在安全问题,本发明实施例提供了一种数据传输安全保护方案,即,一种对终端与 接入网络功能模块的数据传输进行安全保护的方案,通过该方案解决了下一代网络中用户 与接入网络功能模块安全性问题。该方案可以应用于传输层面,该方案处理原则如下认证 服务器接收来自终端的认证请求,并与终端进行认证;认证服务器生成密钥信息,并在认证 成功之后,将密钥信息发送给接入网络功能模块,以便于接入网络功能模块通过密钥信息 与终端建立连接和/或进行数据传输。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相 互组合。下面将参考附图并结合实施例来详细说明本发明。在以下实施例中,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令 的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以 不同于此处的顺序执行所示出或描述的步骤。方法实施例根据本发明的实施例,提供了一种数据传输安全保护方法,应用于下一代网络,图 1是根据本发明实施例的数据传输安全保护方法的流程图,如图1所示,该方法包括如下的 步骤S2至步骤S4 步骤S2,认证服务器接收来自终端的认证请求,并与终端进行认证。步骤S4,认证服务器生成密钥信息,并在认证成功之后,将密钥信息发送给接入 网络功能模块,以便于接入网络功能模块通过密钥信息与终端建立连接和/或进行数据传输。通过上述的步骤S2和S4,接入网络功能模块就可以通过密钥信息与终端建立连 接和/或进行数据传输,提高了数据传输的安全性。其中,在步骤S4中,认证服务器可以经由接入管理功能模块将密钥信息发送给接 入网络功能模块,其中,接入管理功能模块应具有但不限于以下功能终结二层传输链接、 获取接入网络信息(链路层参数、标识、终端位置等)、转发认证请求、获取网络配置信息; 或者,也可以经由接入转发功能模块将密钥信息发送给接入网络功能模块,其中,接入转发 功能模块应具有但不限于以下功能接入、转发终端认证请求。接入、转发终端的网络配置 信息,可以添加本地配置信息。优选地的,在步骤S4中,认证服务器可以单独生成密钥信息,也可以与其他类型 的服务器协作生成密钥信息,其中,其他类型的服务器包括传输用户信息服务器。在认证服务器生成密钥信息之后,认证服务器可以保存该密钥信息,并将该密钥 信息发送给终端,以便于终端进行保存。下面结合上述步骤S2至步骤S4对本实施例的数据传输安全保护方案进行详细的 说明。步骤S22,终端与认证服务器进行认证过程。步骤S24,认证成功后,终端与认证服务器拥有共享密钥材料。该共享密钥材料 (即,密钥信息)在认证过程中产生。步骤S26,认证服务器将该密钥材料发送到接入网络功能模块,其中,接入网络功 能模块应具有但不限于以下功能网络侧的边界节点,负责与终端的数据传输。步骤S28,接入网络功能模块使用该密钥材料与终端进行安全通信。
在步骤S28中,认证服务器可以用该密钥材料进行推导出子密钥材料。终端将拥 有的共享密钥材料推导出子密钥材料。然后,认证服务器将该子密钥材料发送到接入网络 功能模块,接入网络功能模块使用该子密钥材料与终端进行安全通信。在步骤S22中,认证服务器执行用户认证,可以产生密钥材料,也可以与其他服务 器(例如,传输用户信息服务器)协作,共同产生密钥材料,其中,其他服务器(例如,传输 用户信息服务器)应具有但不限于以下功能保持用户信息,产生用户认证向量,产生密钥 材料。下面将结合实例对本发明实施例的实现过程进行详细描述。图2是根据本发明实施例的下一代网络中接入转发功能模块获得密钥材料的示 意图,如图2所示,终端150和认证服务器130之间进行认证,在认证成功之后,终端150与 认证服务器130均获得共享密钥材料。认证服务器130可以通过两种方式发送该将该共享 密钥材料到接入网络功能模块。方式一,认证服务器130发送该共享密钥材料到接入管理功能模块100,接入管理 功能模块100下发该共享密钥材料到接入网络功能模块120。方式二,认证服务器130发送该共享密钥材料到接入转发功能模块110,接入转发 功能模块110下发该共享密钥材料到接入网络功能模块120。图3是根据本发明实施例的接入网络功能模块同一域内从接入转发功能模块获 得密钥材料的流程图,如图3所示,该流程包括如下步骤S302至步骤S308 步骤S302,终端和认证服务器进行认证流程,终端与认证服务器的共享密钥材料 在认证过程中产生。步骤S304,认证服务器发送密钥材料到接入转发功能模块。需要说明的是,该步骤 S304可以在认证流程中执行,也可以在认证流程后执行,但是,必须在认证成功的情况下才 执行该步骤。步骤S306,接入网络功能模块从接入转发功能模块获得密钥材料。步骤S308,终端与接入转发功能模块均有共享密钥材料,可以用该共享密钥建立 安全联盟,保护终端与接入转发功能模块之间的通信安全。图4是根据本发明实施例的接入网络功能模块同一域内从接入管理功能模块获 得密钥材料的流程图,如图4所示,该流程包括如下步骤S402至步骤S408 步骤S402,终端和认证服务器进行认证流程,终端与认证服务器的共享密钥材料 认证过程中产生。步骤S404,认证服务器发送密钥材料到接入管理功能模块,需要说明的是,该步骤 S404可以在认证流程中执行,也可以在认证流程后执行。但均必须在认证成功的情况下才 执行该步骤。步骤S406,接入网络功能模块从接入管理功能模块获得密钥材料。步骤S408,终端与接入转发功能模块均有共享密钥材料,可以用该共享密钥建立 安全联盟,保护终端与接入转发功能模块之间的通信安全。图5是根据本发明实施例的接入网络功能模块不同域内获得密钥材料的流程图, 如图5所示,该流程包括如下步骤步骤S502,终端和目的域认证服务器器进行认证流程,终端与目的域认证服务器器的共享密钥材料认证过程中产生。认证流程可以涉及到与原接入转发功能模块,原接入 管理功能模块,原认证服务器,目的域接入转发功能模块,目的域接入管理功能模块。步骤S504,目的域接入网络功能模块有两种方式获得共享密钥材料。方式一,即步 骤S504a,目的域认证服务器发送共享密钥材料到目的域接入转发功能模块,目的域接入转 发功能模块发送共享密钥材料到目的域接入网络模块;方式二,即步骤S504b,目的域认证 服务器发送共享密钥材料到目的域接入管理功能模块,目的域接入管理功能模块发送共享 密钥材料到目的域接入网络模块。需要说明的是,该步骤S604可以在认证流程中执行,也 可以在认证流程后执行。但是,必须在认证成功的情况下才执行该步骤。步骤S506,终端与目的域接入转发功能模块均有共享密钥材料,可以用该共享密 钥建立安全联盟,保护终端与目的域接入转发功能模块之间的通信安全。图6是根据本发明实施例的ITU-T NGN中接入网络功能模块获得密钥的示意 图,如图 5 所示,UE 表示终端(User Equipment), AM-FE(Access Management Function Entity)表不接入管理功能模块,TAA-FE (Transport authentication and authorization functional entity)表示传输认证授权功能模块,AR-I7E (Access relay functional entity)表Tj^接人转发功能模块,TUP (Transport user profile functional entity)表Tj^ 传输用户信息功能实体。其中,可以在TUP里存储用户信息,并可以产生认证向量,然后,发 送给TAA,与TAA —起进行用户认证流程。该流程包括如下步骤步骤S602,接入网络功能模块从接入管理功能模块获得密钥材料。步骤S604,接入网络功能模块从接入转发功能模块获得密钥材料。装置实施例根据本发明的实施例,提供了一种认证服务器,应用于下一代网络中,图7是根据 本发明实施例的认证服务器的结构框图,如图7所示,该认证服务器包括第一接收模块 72、认证模块74、密钥模块76、第一发送模块78,下面对该结构进行详细的说明。第一接收模块72,用于接收来自终端的认证请求;认证模块74连接至第一接收 模块72,用于与终端进行认证;密钥模块76连接至认证模块74,用于生成密钥信息;第一 发送模块78连接至密钥模块76,用于在认证成功之后,将密钥信息发送给接入网络功能模 块,以便于接入网络功能模块通过密钥信息与终端建立连接和/或进行数据传输。优选地,第一发送模块78可以具体用于经由接入管理功能模块将密钥信息发送 给接入网络功能模块,其中,接入管理功能模块用于执行以下至少之一终结二层传输链 接、获取接入网络信息、转发认证请求、获取网络配置信息。优选地,第一发送模块78具体用于经由接入转发功能模块将密钥信息发送给接 入网络功能模块,其中,接入转发功能模块用于执行以下至少之一接入和/或转发终端的 网络配置信息、接入和/或转发终端的认证请求、添加本地配置信息。优选地,密钥模块76具体用于与其他类型的服务器协作生成密钥信息,其中,其 他类型的服务器包括传输用户信息服务器,其他类型的服务器用于执行以下至少之一保 持用户信息、产生用户认证向量、产生密钥信息。根据本发明的实施例,还提供了一种终端,应用于下一代网络中,图8是根据本发 明实施例的终端的结构框图,如图8所示,该终端包括第二发送模块82、第二接收模块84、 保存模块86,下面对该结构进行详细的说明。
第二发送模块82,用于向认证服务器发送认证请求;第二接收模块84连接至第二 发送模块82,用于接收来自认证服务器的密钥信息;保存模块86连接至第二接收模块84, 用于保存密钥信息,以便与通过密钥信息与接入网络功能模块建立连接和/或进行数据传 输。综上所述,通过本发明上述实施例,解决了相关技术中在当前NGN网络中用户终 端在与接入网络节点之间没有安全保护,存在安全问题,进而提高了终端接入网络节点时 的安全性。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储 在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们 中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的 硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种数据传输安全保护方法,应用于下一代网络,其特征在于,包括认证服务器接收来自终端的认证请求,并与所述终端进行认证;所述认证服务器生成密钥信息,并在认证成功之后,将所述密钥信息发送给接入网络 功能模块,以便于所述接入网络功能模块通过所述密钥信息与所述终端建立连接和/或进 行数据传输。
2.根据权利要求1所述的方法,其特征在于,所述认证服务器将所述密钥信息发送给 所述接入网络功能模块包括所述认证服务器经由接入管理功能模块将所述密钥信息发送给所述接入网络功能模块。
3.根据权利要求1所述的方法,其特征在于,所述认证服务器将所述密钥信息发送给 所述接入网络功能模块包括所述认证服务器经由所述接入转发功能模块将所述密钥信息发送给所述接入网络功 能模块。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述认证服务器生成所述密 钥信息包括所述认证服务器与其他类型的服务器协作生成所述密钥信息,其中,所述其他类型的 服务器包括传输用户信息服务器。
5.根据权利要求1至3中任一项所述的方法,其特征在于,在所述认证服务器生成所述 密钥信息之后,所述方法还包括所述认证服务器和所述终端保存所述密钥信息。
6.一种认证服务器,应用于下一代网络中,其特征在于,包括第一接收模块,用于接收来自终端的认证请求;认证模块,用于与所述终端进行认证;密钥模块,用于生成密钥信息;第一发送模块,用于在认证成功之后,将所述密钥信息发送给接入网络功能模块,以便 于所述接入网络功能模块通过所述密钥信息与所述终端建立连接和/或进行数据传输。
7.根据权利要求6所述的认证服务器,其特征在于,所述第一发送模块具体用于经由 接入管理功能模块将所述密钥信息发送给所述接入网络功能模块,其中,所述接入管理功 能模块用于执行以下至少之一终结二层传输链接、获取接入网络信息、转发认证请求、获 取网络配置信息。
8.根据权利要求6所述的认证服务器,其特征在于,所述第一发送模块具体用于经由 接入转发功能模块将所述密钥信息发送给所述接入网络功能模块,其中,所述接入转发功 能模块用于执行以下至少之一接入和/或转发终端的网络配置信息、接入和/或转发终端 的认证请求、添加本地配置信息。
9.根据权利要求6至8中任一项所述的认证服务器,其特征在于,所述密钥模块具体用 于与其他类型的服务器协作生成所述密钥信息,其中,所述其他类型的服务器包括传输用 户信息服务器,所述其他类型的服务器用于执行以下至少之一保持用户信息、产生用户认 证向量、产生密钥信息。
10. 一种终端,应用于下一代网络中,其特征在于,包括 第二发送模块,用于向认证服务器发送认证请求; 第二接收模块,用于接收来自所述认证服务器的密钥信息;保存模块,用于保存所述密钥信息,以便与通过所述密钥信息与接入网络功能模块建 立连接和/或进行数据传输。
全文摘要
本发明公开了一种数据传输安全保护方法、认证服务器及终端,该方法包括认证服务器接收来自终端的认证请求,并与终端进行认证;认证服务器生成密钥信息,并在认证成功之后,将密钥信息发送给接入网络功能模块,以便于接入网络功能模块通过密钥信息与终端建立连接和/或进行数据传输。通过本发明解决了相关技术中在当前NGN网络中用户终端在与接入网络节点之间没有安全保护,存在安全问题,进而提高了终端接入网络节点时的安全性。
文档编号H04W12/02GK102006591SQ200910171630
公开日2011年4月6日 申请日期2009年8月31日 优先权日2009年8月31日
发明者王鸿彦, 韦银星 申请人:中兴通讯股份有限公司