CN101192922B - 一种在通信双方间建立安全信道的方法 - Google Patents
一种在通信双方间建立安全信道的方法 Download PDFInfo
- Publication number
- CN101192922B CN101192922B CN200610156927A CN200610156927A CN101192922B CN 101192922 B CN101192922 B CN 101192922B CN 200610156927 A CN200610156927 A CN 200610156927A CN 200610156927 A CN200610156927 A CN 200610156927A CN 101192922 B CN101192922 B CN 101192922B
- Authority
- CN
- China
- Prior art keywords
- security
- algorithm
- safe
- safe class
- recipient
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种在通信双方间建立安全信道的方法,设置安全策略服务器存放安全策略描述信息;通信双方对安全策略描述信息进行维护操作;发送方选择通信安全等级及其对应的算法和参数发给接收方;接收方校验安全等级及算法和参数,如果在其支持的安全等级及算法和参数列表中,则以此建立双方安全信道,否则,如果发送方协商标志为允许协商,接收方将其安全策略描述信息发送给发送方;发送方根据接收方发送的信息,从它们的安全策略描述信息中选择共同支持的安全等级及算法和参数,以此建立安全信道。本发明解决了在一次协商过程中,当通信接收方不能满足通信发起方安全需求时,通信被迫不能使用安全保护的问题,降低了协商失败的概率,提高了通信效率。
Description
技术领域
本发明适用于移动通信和信息安全领域,具体涉及一种在通信双方间通过安全协商机制建立安全信道的方法。
背景技术
专利CN 1764195A提出了一种非对等实体安全等级协商的方法,利用收方掌握的发方的身份信息,对双方先进行身份认证再协商安全参数,同时充分利用用户和网络相互认证过程中产生的会话密钥保护安全协商参数。专利CN 1764196A提出的安全等级协商方法是对SIP协议的改进,具体改进主要体现在安全协商的第二步中,接收方选择与发送方共同支持的安全等级中的最高安全等级发送到发送方,这样消除了SIP安全等级协商中可能遇到的二义性问题,对协商双方不需要安全假设,可应用于对等协商和非对等协商的场合。专利CN 1728632A提出了一种安全等级握手协商的方法和***,通过在移动终端和服务器中分别设置有安全等级描述层和安全等级协商层,利用安全协议原有的握手信令携带等级描述信息,避免了增加安全等级描述信令带来潜在的安全威胁。专利CN 1773904A提出了一种通用安全等级协商方法:第一步,发起方将其选择的安全等级发送到被叫方;第二步,双方协商出指定安全等级下共同支持安全性能最好的一个安全算法;第三步,通过协商出的安全算法,双方建立安全信道。
在以上专利的一次安全协商中,如果双方并没有共同支持的安全等级或安全算法时,此次安全协商便失败,通信过程无法使用任何安全保护,尽管专利CN1773904A提出了选择双方共同支持的最高安全等级算法,但其主动权掌握在通信接收方,在多种情况下无法满足通信安全需要。在大多数情况下,仅有通信发起方清楚通信内容以及需要什么程度的安全保护,然而,当通信接收方并不支持通信发起方选择的安全算法和参数时,通信发起方根据通信内容,选择一个与通信接收方共同支持的安全算法和参数保障通信安全是很有必要的。
发明内容
本发明的目的是针对现有技术存在的问题,提出一种新的安全通信信道的方法,在允许安全协商的情况下,通过安全协商,使通信双方能够协商出共同支持的安全算法和参数。通过对安全算法和参数的执行,建立通信双方间的一条安全信道。
本发明一种在通信双方间建立安全信道的方法,设置安全策略服务器存放安全策略描述信息,包括安全等级及每一个安全等级下对应的安全算法和参数列表,通信双方按以下步骤建立安全信道:
第一步,通信双方对安全策略描述信息进行维护操作;
第二步,发送方选择通信安全等级及其对应的算法和参数发给接收方;
第三步,接收方校验安全等级及算法和参数,如果在其支持的安全等级及算法和参数列表中,则以此建立双方安全信道,进入第四步;否则,接收方查看发送方的协商标志,如果发送方协商标志为允许协商,则进入步骤六;如果不允许协商,协商失败;
第四步,接收方通过建立的安全信道,返回收到的发送方选择的安全等级及算法和参数;
第五步,发送方对接收方的返回信息进行校验,如校验成功,安全信道成功建立;否则,协商失败;
第六步,接收方将其安全策略描述信息发送给发送方;
第七步,发送方根据接收方发送的信息,从它们的安全策略描述信息中选择共同支持的安全等级及算法和参数,以此建立安全信道,并通过此安全信道,返回接收方安全等级及算法和参数;
第八步,接收方对发送方的返回信息进行校验,如校验成功,安全信道成功建立;否则,协商失败。
本发明中通信双方可以共用一个安全策略服务器或各用一个安全策略服务器。
本发明中在安全策略服务器器内部的安全策略信息,根据安全需要将安全等级划分为{L1,L2,……,Ln}(n≥1)n个安全等级,其中Li(1≤i≤n)安全等级下包括{A1,A2,……,Am}(m≥1)m个安全算法。
在移动终端内部,其安全等级划分为{L1,L2,……,Ln}(n≥1)n个安全等级,其中Li(1≤i≤n)安全等级下包括的安全算法有{Aj|Aj∈(A1,A2,……,Am)}(m≥1,1≤j≤m);当此移动终端不支持某一安全等级时,此安全等级下对应的安全算法为{Φ}。
在本发明中的第一步中的安全策略描述信息进行维护操作是指使通信双方的安全策略信息描述与安全策略服务器配置一致,若一方安全策略信息描述过期,则对其安全策略信息描述进行更新。
在本发明的第七步中,如果发送方发现接收方支持的安全等级和算法达不到安全需要时,放弃安全协商操作,协商失败。
采用本发明的安全协商方式,解决了在一次协商过程中,当通信接收方不能满足通信发起方安全需求时,通信被迫不能使用安全保护的问题,通信接收方可根据通信发起方的安全协商标志与通信发起方进一步进行安全参数的协商,最终由通信发起方选择一个双方共同支持的安全等级。终端用户通过灵活地对协商标志进行配置,提高了安全服务的机动性和多样性,同时,降低了协商失败的概率,减少了用户重新选择安全服务的次数,从一定程度提高了通信效率。
附图说明
图1是策略服务器内部的通用安全策略信息结构图;
图2是移动终端内部的安全策略信息结构图;
图3是经过一次安全协商成功建立安全信道的的流程图;
图4是双方共用安全策略服务器二次协商建立安全信道的流程图;
图5是双方各有一个安全策略服务器二次协商建立安全信道的流程图。
具体实施方式
在本发明的发明内容中对本发明的步骤进行了介绍,包括一次协商和二次协商建立安全信道的情况。下面的具体实施方式将对一次协商、二次协商建立安全信道,以及通信双方共用安全策略服务器、分别用安全策略服务器等分不同情况进行介绍。
图1是在策略服务器内部的通用安全策略信息结构图。在此具体实施方式中,安全等级被按照安全需要,划分为不同的n个等级,每个安全等级能够提供安全性能不同的安全保护。在具体的某一个等级下,又包括了该等级下对应的mk(1≤mk,1≤k≤n)个安全算法。在该描述方式下,安全管理员根据安全需要将安全服务划分到不同的n个等级中——{L1,L2,……,Ln}(1≤n)。在L2下又包括了不同的m2个安全算法——{21,22,……,2m2}(1≤m2)。同样地,该安全策略描述方式对其他的n-1个安全等级也有类似的描述。
图2是在某一特定移动终端内部的安全策略信息结构图。该结构方式也与策略服务器内部的通用安全策略的组织方式基本相同,所不同的是,该特定移动终端所支持的安全算法是策略服务器内部安全算法的一个子集。对安全服务的等级划分与通用安全策略的划分是相同的,即划分为n个安全等级——{L1,L2,……,Ln}(1≤n)。但在某一特定的安全等级下,由于移动终端的局限性,其支持的安全算法是策略服务器所描述的安全算法的一个子集,如该特定移动终端对于安全等级L1,它仅包含安全算法{1i,1j,……,1k}(i≠j≠k,1≤i,j,k≤m1),其中的ml是策略服务器内部的通用安全策略在该等级下包括的安全算法总数。需要指出的是,当某一移动终端不支持该安全等级时,便不包括该安全等级下对应的安全算法,即包含算法为空{Φ}。
图3是只经过一次安全协商即成功建立安全信道的流程图。在这个协商流程中,由于接收方能支持发送方选择的安全算法,因此协商标志并没有发挥作用,具体通信流程如下:
(1)发送方与接收方进行安全策略维护;
(2)发送方将其选择的安全等级及算法、参数发送到接收方;
(3)接收方对接收到的发送方选择的安全等级及算法、参数进行校验,如果它能支持其中所有算法、参数,则协商成功,建立双方安全通信信道;(否则,查看发送方协商标志,流程在图4中介绍的另一个例子中介绍)
(4)接收方通过安全通信信道返回收到的发送方选择的安全等级及算法、参数;
(5)发送方在确认步骤(2)选择的安全等级及算法、参数未被篡改后,确认协商成功。(否则,协商失败)。
图4所是发送方与接收方进行二次协商后才建立安全信道的流程图。在这个流程中,协商标志起到了作用,发送方用户将其协商标志置为允许协商,此时,如果在双方支持的安全算法不一致的情况下,双方能进行安全算法和参数再协商。具体流程如下:
(1)发送方与接收方进行安全策略维护;
(2)发送方将其选择的安全等级及算法、参数发送到接收方;
(3)接收方对接收到的发送方选择的安全等级及算法、参数进行校验,发现它不能支持,于是进一步查看到发送方的协商标志,发现允许协商,便将其支持的安全等级及算法、参数列表(即接收方安全策略描述信息)返回给发送方;(如果协商标志为不允许,则协商失败)
(4)发送方根据接收方返回信息,从它们安全算法中选择双方都支持的安全等级及算法、参数,并以此建立安全信道,通过安全信道返回接收方的安全策略信息;
(5)接收方在确认步骤(3)发送的安全策略信息未被篡改后,确认协商成功;否则,协商失败。
图5进行安全协商的流程与图4相同,它们的区别在于在图5的网络体系中,使用安全服务通信的双方各自拥有不同的策略服务器对安全策略进行维护。如图5中策略服务器A与策略服务器B。两个策略服务器间不进行安全参数的协商,但需要对安全策略或数据库进行同步,以此保证通信双方对安全策略有共同描述,达到顺利进行安全参数协商。
Claims (6)
1.一种在通信双方间建立安全信道的方法,设置安全策略服务器存放安全策略描述信息,包括安全等级及每一个安全等级下对应的安全算法和参数列表,通信双方按以下步骤建立安全信道:
第一步,通信双方对安全策略描述信息进行维护操作;
第二步,发送方选择通信安全等级及其对应的算法和参数发给接收方;
第三步,接收方校验安全等级及算法和参数,如果在其支持的安全等级及算法和参数列表中,则以此建立双方安全信道,进入第四步;否则,接收方查看发送方的协商标志,如果发送方协商标志为允许协商,则进入步骤六;如果不允许协商,协商失败;
第四步,接收方通过建立的安全信道,返回收到的发送方选择的安全等级及算法和参数;
第五步,发送方对接收方的返回信息进行校验,如校验成功,安全信道成功建立;否则,协商失败;
第六步,接收方将其安全策略描述信息发送给发送方;
第七步,发送方根据接收方发送的信息,从它们的安全策略描述信息中选择共同支持的安全等级及算法和参数,以此建立安全信道,并通过此安全信道,返回接收方安全等级及算法和参数;
第八步,接收方对发送方的返回信息进行校验,如校验成功,安全信道成功建立;否则,协商失败。
2.根据权利要求1所述的在通信双方间建立安全信道的方法,其特征在于,通信双方共用一个安全策略服务器或各用一个安全策略服务器。
3.根据权利要求1所述的在通信双方间建立安全信道的方法,其特征在于,在安全策略服务器器内部,根据安全需要将安全等级划分为{L1,L2,……,Ln}n个安全等级,其中n大于等于1,其中每个安全等级下包括{A1,A2,……,Am}m个安全算法,其中m大于等于1。
4.根据权利要求1所述的在通信双方间建立安全信道的方法,其特征在于,在移动终端内部,其安全等级划分为{L1,L2,……,Ln}n个安全等级,其中n大于等于1,其中每个安全等级下包括的安全算法有{Aj|Aj∈(A1,A2,……,Am)},其中m大于等于1,j大于等于1小于等于m;当此移动终端不支持某一安全等级时,此安全等级下对应的安全算法为{Φ}。
5.根据权利要求1至4任一权利要求所述的在通信双方间建立安全信道的方法,其特征在于,所述第一步中的安全策略描述信息进行维护操作是指使通信双方的安全策略描述信息与安全策略服务器配置一致,若一方安全策略描述信息过期,则对其安全策略信息描述进行更新。
6.根据权利要求1至4任一权利要求所述的在通信双方间建立安全信道的方法,其特征在于,在第七步中,如果发送方发现接收方支持的安全等级和算法达不到安全需要时,放弃安全协商操作,协商失败。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610156927A CN101192922B (zh) | 2006-11-17 | 2006-11-17 | 一种在通信双方间建立安全信道的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610156927A CN101192922B (zh) | 2006-11-17 | 2006-11-17 | 一种在通信双方间建立安全信道的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101192922A CN101192922A (zh) | 2008-06-04 |
CN101192922B true CN101192922B (zh) | 2010-05-19 |
Family
ID=39487697
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200610156927A Expired - Fee Related CN101192922B (zh) | 2006-11-17 | 2006-11-17 | 一种在通信双方间建立安全信道的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101192922B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2957440B1 (fr) | 2010-03-09 | 2012-08-17 | Proton World Int Nv | Protection d'un module de securite dans un dispositif de telecommunication couple a un circuit nfc |
FR2957439B1 (fr) | 2010-03-09 | 2012-03-30 | Proton World Int Nv | Protection d'un canal de communication entre un module de securite et un circuit nfc |
FR2957437B1 (fr) * | 2010-03-09 | 2012-03-30 | Proton World Int Nv | Protection contre un deroutement d'un canal de communication d'un circuit nfc |
FR2957438B1 (fr) | 2010-03-09 | 2012-03-30 | Proton World Int Nv | Detection d'un deroutement d'un canal de communication d'un dispositif de telecommunication couple a un circuit nfc |
CN102223355B (zh) * | 2010-04-19 | 2015-09-16 | 中兴通讯股份有限公司 | 一种安全通信协商方法和装置 |
FR2969341B1 (fr) | 2010-12-20 | 2013-01-18 | Proton World Int Nv | Gestion de canaux de communication dans un dispositif de telecommunication couple a un circuit nfc |
CN105991558B (zh) * | 2015-02-04 | 2019-09-17 | ***通信集团公司 | 一种移动网云化场景下安全模式协商方法、装置和设备 |
EP3900404A4 (en) | 2018-12-19 | 2021-12-01 | Telefonaktiebolaget LM Ericsson (publ) | USER CONFIGURATION OF SERVICES |
CN110290151B (zh) * | 2019-07-16 | 2021-10-08 | 迈普通信技术股份有限公司 | 报文发送方法、装置及可读取存储介质 |
CN115589321A (zh) * | 2022-10-11 | 2023-01-10 | 中国电信股份有限公司 | 安全上下文隔离策略协商方法、装置、设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5784566A (en) * | 1996-01-11 | 1998-07-21 | Oracle Corporation | System and method for negotiating security services and algorithms for communication across a computer network |
CN1764196A (zh) * | 2005-11-15 | 2006-04-26 | 中兴通讯股份有限公司 | 一种安全等级协商方法 |
CN1773904A (zh) * | 2004-11-08 | 2006-05-17 | 中兴通讯股份有限公司 | 一种通用的安全等级协商方法 |
-
2006
- 2006-11-17 CN CN200610156927A patent/CN101192922B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5784566A (en) * | 1996-01-11 | 1998-07-21 | Oracle Corporation | System and method for negotiating security services and algorithms for communication across a computer network |
CN1773904A (zh) * | 2004-11-08 | 2006-05-17 | 中兴通讯股份有限公司 | 一种通用的安全等级协商方法 |
CN1764196A (zh) * | 2005-11-15 | 2006-04-26 | 中兴通讯股份有限公司 | 一种安全等级协商方法 |
Non-Patent Citations (1)
Title |
---|
钱伟光,傅翀,秦志光,陈剑勇.移动通信安全等级协商技术研究.2006通信理论与技术新进展—-第十一届全国青年通信学术会议论文集.2006,(2006),1068-1072. * |
Also Published As
Publication number | Publication date |
---|---|
CN101192922A (zh) | 2008-06-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101192922B (zh) | 一种在通信双方间建立安全信道的方法 | |
CN101207613B (zh) | 跨网域信息通信的认证方法、***及其装置 | |
KR100747756B1 (ko) | 피투피 전화 시스템 | |
US20030101253A1 (en) | Method and system for distributing data in a network | |
US7426271B2 (en) | System and method for establishing secondary channels | |
CN100596062C (zh) | 分布式报文传输安全保护装置和方法 | |
CN101193068B (zh) | 一种应答请求的方法和设备 | |
EP2710776B1 (en) | Anonymous signalling | |
CN102739687A (zh) | 基于标识的应用服务网络访问方法及*** | |
CN1764195A (zh) | 一种非对等实体安全等级协商方法 | |
CN101159543A (zh) | 一种wapi单播密钥协商方法 | |
CN101699894A (zh) | 在认证服务器集群中处理认证请求的方法和装置 | |
CN1829143A (zh) | 一种无需密码、无需加密的网络帐号身份确认的新方法 | |
CN103297940A (zh) | 一种短信加密通讯***及通讯方法 | |
CN102137394A (zh) | 网络接入下加密移动通信终端***及方法 | |
CN101364866B (zh) | 一种基于多个密钥分配中心的实体密话建立***及其方法 | |
CN101742011A (zh) | 一种跨网络电话域的合法监听方法和*** | |
CN100394754C (zh) | 专门用于移动电话联网接入服务的身份认证方法 | |
CN112887339A (zh) | 一种终端设备的分布式分组管理方法 | |
WO2010145379A1 (zh) | 将计算机数据安全下载至移动终端的方法及*** | |
CN101635632B (zh) | 认证与配置方法、***和装置 | |
CN111510302A (zh) | 一种提高安全通信协议中证书验证效率的方法和*** | |
CN102761868B (zh) | 一种空间网络条件下的安全接入认证方法 | |
CN106375265A (zh) | 家庭网关及其通信管理方法、通信*** | |
CN107181798A (zh) | 一种网络访问的实现方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100519 Termination date: 20151117 |
|
CF01 | Termination of patent right due to non-payment of annual fee |