CN101217765A - 一种用于移动互联网协议分析设备的远程通信方法 - Google Patents
一种用于移动互联网协议分析设备的远程通信方法 Download PDFInfo
- Publication number
- CN101217765A CN101217765A CNA2008100191643A CN200810019164A CN101217765A CN 101217765 A CN101217765 A CN 101217765A CN A2008100191643 A CNA2008100191643 A CN A2008100191643A CN 200810019164 A CN200810019164 A CN 200810019164A CN 101217765 A CN101217765 A CN 101217765A
- Authority
- CN
- China
- Prior art keywords
- analytical equipment
- supervision center
- controlled object
- sends
- supervision
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于移动互联网协议分析设备的通信方法,用于监管中心与分析设备之间进行有效安全的通信。该远程通信方法具体包括以下步骤:(1)监管中心与分析设备建立连接,对双方进行身份认证,协商后面通信内容的加密密钥。(2)监管中心向分析设备发送各种指令请求。(3)分析设备回应监管中心的指令请求,向监管中心发送指令请求应答。(4)分析设备定时向监管中心发送被控目标的活动事件报告。(5)分析设备定时向监管中心发送被控目标的数据内容报告。(6)监管中心向分析设备发送连接释放通知,发起监管接口连接的释放,分析设备释放相关资源,监控过程结束。
Description
技术领域
本发明属于移动网络安全领域,涉及一种通信方法,具体是一种用于移动互联网协议分析设备的通信方法。
背景技术
随着GPRS/CDMA技术的推广,移动互联网的应用得到迅速发展。利用手机上网的用户大幅增加。随之而来,利用移动互联网的网络犯罪问题已突显现出来,危及到国家的安全和社会的稳定,但其内容监管一直是网络监管中的一个盲点。如果在移动通信网和Internet互联网之间实现分组数据的有效拦截,分析还原出原始通信内容,并能够准确的追溯信息的来源,将对移动用户活动与移动互联网的内容做有效的监管。移动网络安全监测***由监管中心和协议分析设备组成,位于PCF和PDSN之间,在不影响移动网络通信性能的情况下旁路PCF和PDSN之间的数据流量并对PCF管理范围内的移动用户分组数据业务进行监控,分组数据业务包括彩信、电子邮件、网页浏览、网络电话等。协议分析设备接受监管中心的指令,通过对应用层协议如WAP、MMS、SMTP等协议的解析还原出用户通信的原始内容,并将用户活动事件和通信内容上报给监管中心。监管中心向分析设备发送各种指令,获取被控目标的活动状态和数据业务内容并将其显示。监管中心如何与移动互联网协议分析设备进行有效安全的通信也成为移动网络安全监测***重要内容之一。
发明内容
技术问题:本发明的目的在于提供一种用于移动互联网协议分析设备的通信方法,用于监管中心与分析设备之间进行有效安全的通信。
技术方案:本发明提出的移动互联网协议分析设备的通信方法采用与平台无关的ASN.1编码和监管接口协议,监管中心与分析设备之间采用点对多点的基于TCP/IP协议的服务器/客户端模式。分析设备作为网络客户端主动连接到监管中心,接受监管中心指令,上报被控目标活动事件与数据内容。监管中心作为网络服务器实现对各个分析设备的实时控制。通信接口采用双向认证和加密保护保证数据传输的可靠性和保密性。
本发明的与移动互联网协议分析设备的通信方法包括以下内容:
第一步:监管中心与分析设备建立连接,对双方进行身份认证,协商后面通信内容的加密密钥;
第二步:监管中心向分析设备发送4种类型指令请求:设定被控目标,取消被控目标,查询被控目标参数,被控目标列示;
第三步:分析设备回应监管中心的指令请求,向监管中心发送4种类型指令请求应答:设定被控目标应答,取消被控目标应答,查询被控目标参数应答,被控目标列示应答;
第四步:分析设备定时向监管中心发送被控目标的8种类型活动事件报告:上线、下线、多媒体彩信收发事件、网页浏览事件、电子邮件发送事件、电子邮件接收事件、网络电话通信事件、移动流媒体播放事件;
第五步:分析设备定时向监管中心发送被控目标的数据内容报告;
第六步:监管中心向分析设备发送连接释放通知,发起监管接口连接的释放。
所述的监管中心和分析设备中设有定时器:当分析设备在设定时间内无响应,则以请求失败处理;监管中心在设定周期内扫描接口链路是否有故障;分析设备设有定时器,用于定时向监管中心上传活动事件或截获数据。
监管中心与分析设备之间采用点对多点的基于TCP/IP协议的服务器/客户端模式,一个监管中心可以与多台分析设备进行管理通信。
有益效果:本发明提供了一种用于移动互联网协议分析设备的通信方法,用于监管中心与分析设备之间进行通信。监管中心与分析设备之间采用双向认证与加密方式进行通信,保证了***的可靠性与安全性。分析设备将被监管的移动用户的活动事件及通信数据安全传输至监管中心,在不影响3G网络通信性能的情况下实现覆盖范围内所有移动终端用户上线、下线、彩信、电子邮件、上网以及网络视频等分组数据业务的远程监管。
附图说明
图1是本发明通信方法的应用场景图;
图2是本发明通信方法的流程图;
图3是监管中心与分析设备连接建立过程流程图;
图4是认证过程中认证字段生成原理图;
图5是认证过程中密钥Kc生成原理图;
图6是认证过程中应答字段生成原理图;
图7是认证过程中监管中心到分析设备的信息加密流程图。
具体实施方式
以下结合附图对本通信方法的具体实现作详细说明。
图1是本发明通信方法的一个应用场景图,用于监管中心与分析设备之间的实时通信,接口协议采用监管接口协议。监管中心通过监管接口向分析设备发起连接,传送各种指令请求;分析设备将被控目标的活动事件及通信数据安全的传送至监管中心,实现移动互联网分组数据业务的监控。
图2是本发明通信方法的流程图,具体包括以下步骤:监管中心通过监管接口与分析设备进行通信,具体步骤如下:
(1)监管中心与分析设备建立远程连接,对双方进行身份认证,协商后面通信内容的加密密钥。步骤如下:
1.1)监管中心向分析设备发送连接请求,请求与分析设备建立连接。
1.2)分析设备接收到监管中心连接请求,对监管中心进行身份认证,并向监管中心发送连接请求应答。
1.3)监管中心接收到分析设备的连接请求应答,对发送该应答的分析设备进行身份认证。
(2)监管中心向分析设备发送各种指令请求。4种类型指令请求:设定被控目标,取消被控目标,查询被控目标参数,被控目标列示。
2.1)设定被控目标请求,用于设定被监控的目标移动用户,以及设定该被控目标被监控的协议;
2.2)取消被控目标请求,用于取消被监控的目标移动用户,以及取消该被控目标被监控的协议;
2.3)查询被控目标参数,用于查询被监控目标移动用户的监控协议参数;
2.4)被控目标列示,用于查询协议分析设备所有当前在线的被控目标。
(3)分析设备回应监管中心的指令请求,向监管中心发送指令请求应答。4种类型指令请求应答:设定被控目标应答,取消被控目标应答,查询被控目标参数应答,被控目标列示应答。在请求应答帧中包括指令请求执行结果。若执行失败,则需指示失败原因。
(4)分析设备定时向监管中心发送被控目标的活动事件报告。8种类型活动事件报告:上线、下线、MMS事件、WAP事件、SMTP事件、POP3事件、VOIP事件、RSTP事件。
(5)分析设备定时向监管中心发送被控目标的数据内容报告。
(6)监管中心向分析设备发送连接释放通知,发起监管接口连接的释放。
图3是监管中心与分析设备连接建立过程流程图,为保证通信安全性,在监管中心与分析设备建立连接过程中需对双方身份进行认证,并协商双方通信加密密钥,具体步骤如下:
(1)监管中心向分析设备发送连接请求,连接请求中需提供身份认证所需要的信息。
1.1)监管中心确定用于防止重放攻击的SQN序列号的SQN组别号,监管中心产生随机数RAND;
1.2)监管中心根据监管中心密钥Ki、接入口令Password以及SQN序列号经过SHA-1(安全散列算法)摘要算法生成认证字段。
1.3)监管中心将以上信息与监管中心标识、分析设备标识一起封装在连接请求帧中发送给分析设备。
(2)分析设备根据连接请求信息对监管中心身份进行认证,并回应监管中心的连接请求。具体步骤如下:
2.1)分析设备根据连接请求中的监管中心标识确定监管中心的密钥Ki和接入口令Password,SQN组号确定SQN序列号,采用与监管中心一样的方法计算出认证字段并与连接请求中的认证字段进行比较。若相同,则对监管中心的身份认证通过,否则身份认证不通过。
2.2)若对监管中心的身份认证不通过,分析设备向监管中心发送连接请求响应,指出认证失败原因。
2.3)若对监管中心的身份认证通过,分析设备根据监管中心密钥Ki、随机数RAND、SQN序列号采用与监管中心一样的SHA-1方法计算加密密钥Kc;并用一样的方法根据Kc、随机数RAND和SQN序列号计算出应答字段。分析设备向监管中心发送连接请求响应,包括应答字段。
(3)监管中心接收到分析设备的连接请求响应,对发送连接请求响应的分析设备身份进行认证。
3.1)监管中心使用与分析设备相同的方法计算应答字段,并与连接请求响应消息中的应答字段相比较,如果相同,则对分析设备的身份认证通过;如果不同,则对分析设备的身份认证不通过。
3.2)如果对分析设备身份认证通过,则采用与分析设备同样方法计算加密密钥Kc,监管接口连接成功。
3.3)如果对分析设备身份认证不通过,监管中心发起连接释放,取消与分析设备的连接。
所述的标识监管中心身份的秘密数据Ki是指:长度固定为128比特位的只存储在监管中心和分析设备的唯一表示数字;
所述的接入密码Password是指:长度固定为128比特位的接入口令,存储在监管中心和分析设备中,Password需要同时在监管中心和分析设备改变才能生效;
所述的序列号SQN是指:长度固定为32比特位的序列号,用于防止重播攻击而在监管中心和分析设备中共同维护。
所述的随机数RAND是指:由监管中心产生并发送给分析设备,用于监管中心和分析设备同时产生加密密钥Kc,监管中心和分析设备不存储RAND,但监管中心需要有随机数产生功能,RAND的长度固定为56比特位;
所述的加密密钥Kc是指:通过Ki、RAND和SQN经安全散列算法(SHA)计算的结果,用于对监管中心和分析设备之间传送的信息进行加密。
所述的SHA-1算法是指:由美国国家标准和技术协会(NIST)与美国国家***(NSA)设计,并成为美国国家标准的一种确保信息传输完整一致的信息摘要算法(美国国家标准:FIPS PUB 180-1),是目前广泛使用的散列算法之一。
图4、5、6分别是认证过程中认证字段、加密密钥Kc、应答字段的生成原理图。
在认证过程中,使用安全散列算法(SHA-1)分别计算认证字段、Kc、应答字段。SHA-1算法的输入参数统一采用512Bits长度,输出参数长度为160bits。先对各参数按序首尾串联后的报文进行填充,形成448Bits的字节流,填充比特串的最高位用1填充,其余比特位用0填充;再用64Bits表示报文原始长度并将其加在报文后,形成512Bits的字节流作为SHA-1算法的输入参数。例如:计算认证字段时,Ki(128Bits)、Password(128Bits)、SQN(32Bits)首尾串联且Ki在高位字节,尾部填充160Bits的最高比特位为‘1’其余比特位为‘0’,尾部报文长度64Bits为‘00000000 00000000 00000000 00000000 00000000 00000000 00000001 00100000’,表示原始报文长度为288Bits;计算Kc时,Ki、RAND和SQN首尾串联;计算应答字段时,Kc、RAND和SQN首尾串联。
图7是认证过程中监管中心与分析设备之间传输数据的加密流程图。监管中心使用相反的过程进行解密。为保证***的可靠性和安全性,指令请求、指令请求应答以及连接释放通知不采用加密方式传输,其他消息帧采用AES加密方式进行传输,加密/解密采用监管接口连接过程中协商的Kc作为加密密钥。AES有128,192,256三种密钥长度,这里使用长度为192的密钥,而SHA-1产生的Kc为160比特位,因此Bit0~Bit31填充在Kc之后作为加密密钥。监管中心到分析设备的信息被加密和解密的过程,与从分析设备到监管中心的信息被加密和解密的过程相同。
对于本技术领域的一般技术人员来说,在不背离本发明所述方法的精神和权利要求范围的情况下对它进行的各种显而易见的改变都在发明的保护范围之内。
Claims (3)
1.一种用于移动互联网协议分析设备的远程通信方法,其特征在于该远程通信方法具体包括以下步骤:
第一步:监管中心与分析设备建立连接,对双方进行身份认证,协商后面通信内容的加密密钥;
第二步:监管中心向分析设备发送4种类型指令请求:设定被控目标,取消被控目标,查询被控目标参数,被控目标列示;
第三步:分析设备回应监管中心的指令请求,向监管中心发送4种类型指令请求应答:设定被控目标应答,取消被控目标应答,查询被控目标参数应答,被控目标列示应答;
第四步:分析设备定时向监管中心发送被控目标的8种类型活动事件报告:上线、下线、多媒体彩信收发事件、网页浏览事件、电子邮件发送事件、电子邮件接收事件、网络电话通信事件、移动流媒体播放事件;
第五步:分析设备定时向监管中心发送被控目标的数据内容报告;
第六步:监管中心向分析设备发送连接释放通知,发起监管接口连接的释放。
2.根据权利要求1所述的移动互联网协议分析设备的远程通信方法,其特征在于所述的监管中心和分析设备中设有定时器:当分析设备在设定时间内无响应,则以请求失败处理;监管中心在设定周期内扫描接口链路是否有故障;分析设备设有定时器,用于定时向监管中心上传活动事件或截获数据。
3.根据权利要求1所述的移动互联网协议分析设备的远程通信方法,其特征在于监管中心与分析设备之间采用点对多点的基于TCP/IP协议的服务器/客户端模式,一个监管中心可以与多台分析设备进行管理通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100191643A CN101217765A (zh) | 2008-01-15 | 2008-01-15 | 一种用于移动互联网协议分析设备的远程通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100191643A CN101217765A (zh) | 2008-01-15 | 2008-01-15 | 一种用于移动互联网协议分析设备的远程通信方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101217765A true CN101217765A (zh) | 2008-07-09 |
Family
ID=39624113
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008100191643A Pending CN101217765A (zh) | 2008-01-15 | 2008-01-15 | 一种用于移动互联网协议分析设备的远程通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101217765A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103595722A (zh) * | 2013-11-18 | 2014-02-19 | 北京锐安科技有限公司 | 网络安全中的数据回传的方法及装置 |
| CN108810859A (zh) * | 2018-05-20 | 2018-11-13 | 陈将 | 一种基于加密功能的蓝牙智能手表语音控制方法及*** |
-
2008
- 2008-01-15 CN CNA2008100191643A patent/CN101217765A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103595722A (zh) * | 2013-11-18 | 2014-02-19 | 北京锐安科技有限公司 | 网络安全中的数据回传的方法及装置 |
| CN103595722B (zh) * | 2013-11-18 | 2017-02-22 | 北京锐安科技有限公司 | 网络安全中的数据回传的方法及装置 |
| CN108810859A (zh) * | 2018-05-20 | 2018-11-13 | 陈将 | 一种基于加密功能的蓝牙智能手表语音控制方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Shen et al. | Secure key establishment for device-to-device communications | |
| Saxena et al. | EasySMS: A protocol for end-to-end secure transmission of SMS | |
| EP2437469B1 (en) | Method and apparatus for establishing a security association | |
| KR101492179B1 (ko) | 사용자 단말기들 사이의 보안 연결을 확립하기 위한 방법 및 시스템 | |
| US20070086590A1 (en) | Method and apparatus for establishing a security association | |
| CN101242274B (zh) | 保证消息序列号不重复、防止重放攻击的方法及移动终端 | |
| Bali et al. | Lightweight authentication for MQTT to improve the security of IoT communication | |
| CN101478388B (zh) | 支持多级安全的移动IPSec接入认证方法 | |
| CN104683343A (zh) | 一种终端快速登录WiFi热点的方法 | |
| Cao et al. | LPPA: Lightweight privacy‐preservation access authentication scheme for massive devices in fifth Generation (5G) cellular networks | |
| CN101136741A (zh) | 组播密钥管理方法及用于组播密钥管理的中心节点 | |
| Zhou et al. | A hybrid authentication protocol for LTE/LTE-A network | |
| CN102006298A (zh) | 接入网关实现负荷分担的方法和装置 | |
| CN107104888B (zh) | 一种安全的即时通信方法 | |
| CN101729536B (zh) | 一种ip多媒体子***延迟媒体信息传输方法及*** | |
| Park et al. | Survey for secure IoT group communication | |
| CN101217765A (zh) | 一种用于移动互联网协议分析设备的远程通信方法 | |
| CN101022330A (zh) | 提高密钥管理授权消息安全性的方法和模块 | |
| CN101123538B (zh) | 无线局域网通信接口的远程加密监管方法 | |
| CN101938743A (zh) | 一种安全密钥的生成方法和装置 | |
| Ma et al. | The improvement of wireless LAN security authentication mechanism based on Kerberos | |
| CN103401682A (zh) | 加密套件的处理方法及设备 | |
| Oniga et al. | Application-level authentication and encryption atop bluetooth stack for sensitive data communication | |
| Yoon et al. | Mutual Authentication Scheme for Lightweight IoT Devices | |
| Zhu et al. | A Research on the Authentication Scheme For 5G Network Based on Double Ratchet Algorithm |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080709 |