专网的MPTCP鉴权方法和系统与流程
本发明涉及移动通信技术,特别是涉及一种专网的多路传输控制协议(mptcp)鉴权方法和系统。
背景技术
在专网应用场景下,引入mptcp协议可有效解决网络间切换的平顺性、可靠性问题。
图1为专网引入mptcp后的组网示意图。如图1所示,新增网元多路网关(mp_gw)支持mptcp,支持与核心网的公用数据网网关(pgw)之间自定义接口,在ue与mp_gw之间建立mptcp链接,包括多条tcp子流。
与此同时,mptcp协议在其安全性上存在缺陷,可能被中间人攻击窃取双方会话密钥,而进一步发起子流增加或子流删除等操作。具体分析如下:
mptcp通过扩展tcp三次握手机制,在mp_capable选项中携带并交换两侧主机会话密钥,同时协商加密算法。由于mptcp三次握手消息中,会明文携带双方主机会话密钥,所以存在较大中间人攻击的风险,如图2所示,attacker在双方主机间截获三次握手消息,则可发起后续的子流删除、子流增加流程,从而对安全造成威胁。
技术实现要素:
有鉴于此,本发明的主要目的在于提供一种专网的mptcp鉴权方法和系统,可以有效克服mptcp协议所存在的安全隐患。
为了达到上述目的,本发明提出的技术方案为:
一种专网的mptcp鉴权方法,包括:
公用数据网网关pgw预先将用户设备ue的综合业务数字网isdn号码和为所述ue分配的ip地址发送给多路网关mp_gw;
当所述ue与所述mp_gw之间建立mptcp链接时,在mptcp三次握手过程中,所述ue和所述mp_gw分别在需要向对方发送会话密钥时,利用所述isdn号码和所述ip地址生成加密密钥,利用所述加密密钥对需要发送的会话密钥加密后发送给对方,并利用所述isdn号码和所述ip地址对接收到的会话密钥进行解密,获得对方的会话密钥。
较佳地,将ue的isdn号码和为所述ue分配的ip地址发送给mp_gw包括:
所述pgw在所述ue的网络附着过程中,在向服务网关sgw发送创建会话响应消息之后,向所述mp_gw发送用户激活报告ue_activate_report,所述用户激活报告携带所述isdn号码和所述ip地址。
较佳地,所述方法进一步包括:
所述ue和所述mp_gw各自在发送所述会话密钥时,携带会话密钥已经过加密的指示信息。
较佳地,所述ue和所述mp_gw利用当前的系统时刻以及所述isdn号码和所述ip地址,采用预设的密钥生成方法,生成所述加密密钥。
较佳地,按照basekey=hmac-sha-256(isdna,systime||isdna||ueipa),生成所述加密密钥basekey,其中,isdna为ue的isdn号码,ueipa为ue的ip地址,systime为当前的系统时刻;所述系统时刻的单位为小时、分或秒,||为拼接符号,hmac-sha-256()为hmac-sha-256加密算法。
一种专网的mptcp鉴权系统,包括:
公用数据网网关pgw,用于预先将用户设备ue的综合业务数字网isdn号码和为所述ue分配的ip地址发送给多路网关mp_gw;
ue,用于当所述ue与所述mp_gw之间建立mptcp链接时,在mptcp三次握手过程中,在需要向所述mp_gw发送会话密钥时,利用所述isdn号码和所述ip地址生成加密密钥,利用所述加密密钥对需要发送的会话密钥加密后发送给所述mp_gw,并利用所述isdn号码和所述ip地址对所述mp_gw发送的会话密钥进行解密,获得所述mp_gw的会话密钥;
mp_gw,用于当所述ue与所述mp_gw之间建立mptcp链接时,在mptcp三次握手过程中,在需要向所述ue发送会话密钥时,利用所述isdn号码和所述ip地址生成加密密钥,利用所述加密密钥对需要发送的会话密钥加密后发送给所述ue,并利用所述isdn号码和所述ip地址对所述ue发送的会话密钥进行解密,获得所述ue的会话密钥。
较佳地,所述pgw,用于在所述ue的网络附着过程中,在向服务网关sgw发送创建会话响应消息之后,向所述mp_gw发送用户激活报告ue_activate_report,所述用户激活报告携带所述isdn号码和所述ip地址。
较佳地,所述ue,用于在发送所述会话密钥时,携带会话密钥已经过加密的指示信息;
所述mp_gw,用于在发送所述会话密钥时,携带会话密钥已经过加密的指示信息。
较佳地,所述ue,用于利用当前的系统时刻以及所述isdn号码和所述ip地址,采用预设的密钥生成方法,生成所述加密密钥;
所述mp_gw,用于利用当前的系统时刻以及所述isdn号码和所述ip地址,采用预设的密钥生成方法,生成所述加密密钥。
较佳地,所述ue,用于按照basekey=hmac-sha-256(isdna,systime||isdna||ueipa),生成所述加密密钥basekey,其中,isdna为ue的isdn号码,ueipa为ue的ip地址,systime为当前的系统时刻;所述系统时刻的单位为小时、分或秒,||为拼接符号,hmac-sha-256()为hmac-sha-256加密算法;
所述mp_gw,用于按照basekey=hmac-sha-256(isdna,systime||isdna||ueipa),生成所述加密密钥basekey。
综上所述,本发明提出的专网的mptcp鉴权方法和系统,pgw需要将ue的isdn号码和ip地址通知给mp_gw,使得ue与mp_gw都同时拥有了isdn与ue映射关系,从而在mptcp三次握手过程中在协商会话密钥时,ue与mp_gw可以采用加密方式发送各自的会话密钥,进而可以有效克服mptcp协议所存在的安全隐患。
附图说明
图1为专网引入mptcp后的组网示意图;
图2为mptcp三次握手过程中中间人攻击示意图;
图3为本发明实施例的方法流程示意图;
图4为利用ue的附着过程将ue的isdn号码和ip地址发送给mp_gw的过程示意图;
图5为本发明实施例的系统结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明作进一步地详细描述。
图3为本发明实施例的方法流程示意图,如图3所示,该实施例实现的专网的mptcp鉴权方法主要包括:
步骤301、公用数据网网关pgw预先将用户设备ue的综合业务数字网isdn号码和为所述ue分配的ip地址发送给多路网关mp_gw。
本步骤中,为了使得ue和mp_gw能够对需要发送给对方的会话密钥进行加密,以确保会话密钥的安全,pgw需要将ue的isdn号码和为所述ue分配的ip地址通知给mp_gw。这样,ue和mp_gw均可以利用ue的isdn号码和ip地址生成加密密钥,从而可以在后续过程中实现两者之间会话密钥的加密传输。
较佳地,可以采用下述方法,在ue的网络附着过程中,将ue的isdn号码和为所述ue分配的ip地址发送给mp_gw:
所述pgw在所述ue的网络附着过程中,在向服务网关sgw发送创建会话响应消息之后,向所述mp_gw发送用户激活报告ue_activate_report,所述用户激活报告携带所述isdn号码和所述ip地址。
图4为上述利用ue的附着过程将ue的isdn号码和ip地址发送给mp_gw的过程示意图。如图4所示,ue在附着过程中,pgw在返回createsessionresponse消息给sgw的同时,构建激活报告ue_activate_report发给mp_gw,其中将包括两个关键信元(ie):pgw刚分配的ueip地址,以及ue的号码isdn,这样在mp_gw中则可以保存所有ue的isdn与ueip对应关系。由此,利用ue的附着过程,ue与mp_gw都同时拥有了isdn与ue映射关系,从而为后续进一步安全协商增强做准备。
步骤302、当所述ue与所述mp_gw之间建立mptcp链接时,在mptcp三次握手过程中,所述ue和所述mp_gw分别在需要向对方发送会话密钥时,利用所述isdn号码和所述ip地址生成加密密钥,利用所述加密密钥对需要发送的会话密钥加密后发送给对方,并利用所述isdn号码和所述ip地址对接收到的会话密钥进行解密,获得对方的会话密钥。
本步骤中,与现有mptcp协议所不同的是,在需要发送会话密钥时(现有协议中仅在首次mptcp三次握手过程中需要交互会话密钥),需要先对会话密钥进行加密,以避免明文密钥传输而存在的中间人攻击问题,确保会话密钥的安全性。
较佳地,为了便于ue和所述mp_gw对接收到的经过加密的会话密钥进行正确解密,所述ue和所述mp_gw各自在发送所述会话密钥时,携带会话密钥已经过加密的指示信息,以通知接收方采用解密的方式获得相应的会话密钥。
较佳地,所述ue和所述mp_gw利用当前的系统时刻以及所述isdn号码和所述ip地址,采用预设的密钥生成方法,生成所述加密密钥。
进一步地,可以采用哈希算法生成所述加密密钥,较佳地,可以采用下述方法实现:
按照basekey=hmac-sha-256(isdna,systime||isdna||ueipa),生成所述加密密钥basekey。
其中,isdna为ue的isdn号码,ueipa为ue的ip地址,systime为当前的系统时刻;所述系统时刻的单位为小时、分或秒,||为拼接符号,hmac-sha-256()为hmac-sha-256加密算法。
图5为与上述方法相对应的专网的mptcp鉴权系统结构示意图,如图5所示,该系统包括:
公用数据网网关pgw,用于预先将用户设备ue的综合业务数字网isdn号码和为所述ue分配的ip地址发送给多路网关mp_gw;
ue,用于当所述ue与所述mp_gw之间建立mptcp链接时,在mptcp三次握手过程中,在需要向所述mp_gw发送会话密钥时,利用所述isdn号码和所述ip地址生成加密密钥,利用所述加密密钥对需要发送的会话密钥加密后发送给所述mp_gw,并利用所述isdn号码和所述ip地址对所述mp_gw发送的会话密钥进行解密,获得所述mp_gw的会话密钥;
mp_gw,用于当所述ue与所述mp_gw之间建立mptcp链接时,在mptcp三次握手过程中,在需要向所述ue发送会话密钥时,利用所述isdn号码和所述ip地址生成加密密钥,利用所述加密密钥对需要发送的会话密钥加密后发送给所述ue,并利用所述isdn号码和所述ip地址对所述ue发送的会话密钥进行解密,获得所述ue的会话密钥。
较佳地,所述pgw,用于在所述ue的网络附着过程中,在向服务网关sgw发送创建会话响应消息之后,向所述mp_gw发送用户激活报告ueactivate_report,所述用户激活报告携带所述isdn号码和所述ip地址。
较佳地,所述ue,用于在发送所述会话密钥时,携带会话密钥已经过加密的指示信息;
所述mp_gw,用于在发送所述会话密钥时,携带会话密钥已经过加密的指示信息。
较佳地,所述ue,用于利用当前的系统时刻以及所述isdn号码和所述ip地址,采用预设的密钥生成方法,生成所述加密密钥;
所述mp_gw,用于利用当前的系统时刻以及所述isdn号码和所述ip地址,采用预设的密钥生成方法,生成所述加密密钥。
较佳地,所述ue,用于按照basekey=hmac-sha-256(isdna,systime||isdna||ueipa),生成所述加密密钥basekey,其中,isdna为ue的isdn号码,ueipa为ue的ip地址,systime为当前的系统时刻;所述系统时刻的单位为小时、分或秒,||为拼接符号,hmac-sha-256()为hmac-sha-256加密算法;
所述mp_gw,用于按照basekey=hmac-sha-256(isdna,systime||isdna||ueipa),生成所述加密密钥basekey。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!