CN105827661B - 安全通信的方法及装置 - Google Patents
安全通信的方法及装置 Download PDFInfo
- Publication number
- CN105827661B CN105827661B CN201610380263.9A CN201610380263A CN105827661B CN 105827661 B CN105827661 B CN 105827661B CN 201610380263 A CN201610380263 A CN 201610380263A CN 105827661 B CN105827661 B CN 105827661B
- Authority
- CN
- China
- Prior art keywords
- cscf
- groups
- user equipment
- ipsec
- shared keys
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种安全通信的方法及装置,涉及信息技术领域,可以提高用户设备与P‑CSCF之间交互的信息进行加密的安全性,进而可以提高用户设备与P‑CSCF进行通信的安全性。所述方法包括:首先服务呼叫会话控制功能S‑CSCF向用户归属服务器HSS发送获取鉴权向量请求信息,其次,HSS根据impi,确定impi对应的根密钥,并根据根密钥,生成多组共享密钥,并将多组共享密钥,发送至代理呼叫会话控制功能P‑CSCF,然后P‑CSCF根据多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组,最后P‑CSCF将生成的多个IPsec SA组,发送至用户设备用户设备,以使得用户设备以及P‑CSCF之间采用不同的IPsecSA进行通信。本发明适用于用户设备以及P‑CSCF根据不同的IPsec SA组,进行安全通信。
Description
技术领域
本发明涉及信息技术领域,特别涉及一种安全通信的方法及装置。
背景技术
用户在通过网络之间互连的协议多媒体子***(英文全称:Internet ProtocolMultimedia Subsystem,英文缩写:IMS)网络进行服务之前,需要进行IMS-认证与密钥协商协议(英文全称:Authentication and Key Agreement,英文缩写:AKA)注册,以实现用户设备对网络以及网络对用户设备的安全性认证。其中,IMS-AKA注册包括:初始注册以及鉴权注册,初始注册为用户设备对网络进行安全性认证,鉴权注册为网络对用户设备进行安全性认证,认证成功之后,用户设备与IMS网络之间进行安全通信。其中,IMS网络中包括:代理呼叫会话控制功能(英文全称:Proxy-Call Session Control Funtion,英文缩写:P-CSCF)。其中,初始注册之后,用户设备以及P-CSCF分别获取加密密钥(英文全称:CipherKey,英文缩写:CK)以及完整性密钥(英文全称:Integrity Key,英文缩写:IK),并分别通过共享密钥CK以及IK生成网络协议安全性(英文全称:Internet Protocol Security,英文缩写:IPsec)安全关联(英文全称:Security Association,英文缩写:SA)组,用户设备与P-CSCF通过IPsec SA组对用户设备与P-CSCF之间的交互的信息进行加密,以实现安全通信。
然而,当用户设备以及P-CSCF通过CK以及IK生成IPsec SA组,并通过该IPsec SA组进行安全通信时,由于用户设备以及P-CSCF获取一组共享密钥CK以及IK,生成一个IPsecSA组,用户设备与P-CSCF仅能通过该一个IPsec SA组对用户设备与P-CSCF之间交互的信息进行安全加密,从而导致用户设备与P-CSCF之间交互的信息进行加密的安全性较低,进而导致用户设备与P-CSCF之间进行通信的安全性较低。
发明内容
本发明提供一种安全通信的方法及装置,可以提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以提高用户设备与P-CSCF之间进行通信的安全性。
本发明采用的技术方案为:
第一方面,本发明提供了一种安全通信的方法,包括:
服务呼叫会话控制功能S-CSCF向用户归属服务器HSS发送获取鉴权向量请求信息,所述鉴权向量请求信息中携带有所述IP多媒体私有标识impi;
所述HSS根据所述impi,确定所述impi对应的根密钥;
所述HSS根据所述根密钥,生成多组共享密钥,所述共享密钥包括:加密密钥CK以及完整性密钥IK;
所述HSS将所述多组共享密钥,发送至代理呼叫会话控制功能P-CSCF;
所述P-CSCF根据所述多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组;
所述P-CSCF将生成的所述多个IPsec SA组,发送至用户设备,以使得所述用户设备以及所述P-CSCF之间采用不同的IPsec SA进行通信。
第二方面,本发明提供了一种安全通信的装置,包括:
第一发送单元,位于服务呼叫会话控制功能S-CSCF中,用于向用户归属服务器HSS发送获取鉴权向量请求信息,所述鉴权向量请求信息中携带有所述IP多媒体私有标识impi;
第一确定单元,位于所述HSS中,用于根据所述impi,确定所述impi对应的根密钥;
第一生成单元,位于所述HSS中,用于根据所述根密钥,生成多组共享密钥,所述共享密钥包括:加密密钥CK以及完整性密钥IK;
第二发送单元,位于所述HSS中,用于将所述多组共享密钥,发送至代理呼叫会话控制功能P-CSCF;
第二生成单元,位于所述P-CSCF中,用于根据所述多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组;
第三发送单元,位于所述P-CSCF中,用于将生成的所述多个IPsec SA组,发送至用户设备,以使得所述用户设备以及所述P-CSCF之间采用不同的IPsec SA进行通信。
本发明提供的安全通信的方法及装置,首先服务呼叫会话控制功能S-CSCF向用户归属服务器HSS发送获取鉴权向量请求信息,其中,鉴权向量请求信息中携带有IP多媒体私有标识impi,其次,HSS根据impi,确定impi对应的根密钥,并根据根密钥,生成多组共享密钥,其中,共享密钥包括:加密密钥CK以及完整性密钥IK,并将多组共享密钥,发送至代理呼叫会话控制功能P-CSCF,然后P-CSCF根据多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组,最后P-CSCF将生成的多个IPsec SA组,发送至用户设备用户设备,以使得用户设备以及P-CSCF之间采用不同的IPsec SA进行通信。与目前当用户设备以及P-CSCF通过CK以及IK生成IPsec SA组,并通过该IPsec SA组进行安全通信时相比,本发明HSS通过根密钥,生成多组共享密钥CK以及IK,并将该多组共享密钥,发送至P-CSCF,P-CSCF能够根据该多组共享密钥,生成多个IPsec SA组,以使得用户设备与P-CSCF可以通过不同的IPsec SA组对用户设备与P-CSCF之间交互的信息进行加密,从而可以提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以提高用户设备与P-CSCF进行通信的安全性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对本发明或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例中安全通信的***示意图;
图2为本发明实施例中一种安全通信的方法流程图;
图3为本发明实施例中另一种安全通信的方法流程图;
图4为本发明实施例中又一种安全通信的方法流程图;
图5为本发明实施例中又一种安全通信的方法流程图;
图6为本发明实施例中又一种安全通信的方法流程图;
图7为本发明实施例中一种安全通信的装置示意图;
图8为本发明实施例中另一种安全通信的装置示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例提供一种安全通信的方法,应用于安全通信的***,如图1所示,该安全通信的***包括:用户设备、代理呼叫会话控制功能(英文全称:Proxy-Call SessionControl Funtion,英文缩写:P-CSCF)、查询呼叫会话控制功能(英文全称:Interrogating-Call Session Control Funtion,英文缩写:I-CSCF)、用户归属服务器(英文全称:HomeSubscriber Server,英文缩写:HSS)以及服务呼叫会话控制功能(英文全称:Service-CallSession Control Funtion,英文缩写:S-CSCF),其中,用户设备与P-CSCF进行信息交互,P-CSCF与I-CSCF进行信息交互,I-CSCF与S-CSCF进行信息交互,S-CSCF与HSS进行信息交互。
本发明实施例提供了一种安全通信的方法,能够提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以提高用户设备与P-CSCF之间进行通信的安全性,如图2所示,所述方法包括:
201、服务呼叫会话控制功能S-CSCF向用户归属服务器HSS发送获取鉴权向量请求信息。
其中,鉴权向量请求信息中携带有IP多媒体私有标识impi。
对于本发明实施例,鉴权向量请求消息中还携带有IP多媒体公共标识(英文全称:IP Multimedia Public Identity,英文缩写:impu),其中,IP多媒体私有标识(英文全称:IP Multimedia Private Identity,英文缩写:impi)以及impu为被IMS网络使用的两种身份,impi以及impu都不是电话号码或其它序列的数字,而是URIs,impi以及impu能够是数字或文字数字组成的标识符。例如,impi可以为+1-555-123-4567或者sip:[email protected]。
202、HSS根据impi,确定impi对应的根密钥。
对于本发明实施例,不同的impi对应不同的根密钥,确定该impi对应的根密钥,并生成随机数RAND、AUTN以及xRes。
203、HSS根据根密钥,生成多组共享密钥。
其中,共享密钥包括:加密密钥CK以及完整性密钥IK。
对于本发明实施例,HSS中存储有多种算法,HSS根据该根密钥,按照不同种算法,生成多组共享密钥。
204、HSS将多组共享密钥,发送至代理呼叫会话控制功能P-CSCF。
对于本发明实施例,HSS将多组共享密钥、RAND、AUTN、xRes,发送至S-CSCF,S-CSCF存储xRes,并将携带有上述多组共享密钥、RAND以及AUTN的401未授权响应信息通过I-CSCF发送至P-CSCF。
205、P-CSCF根据多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组。
对于本发明实施例,P-CSCF中存储有SIP安全机制列表、用户设备的受保护客户端端口(uc1)、用户设备的受保护服务端端口(us1),以及P-CSCF的受保护的客户端端口(pc1)、P-CSCF的受保护的服务端端口(ps1)。在本发明实施例中,P-CSCF将多组共享密钥、RAND、uc1、us1、pc1以及ps1,按照自身支持的SIP安全机制列表中的算法组合,分别生成不同的IPsec SA组。
206、P-CSCF将生成的多个IPsec SA组,发送至用户设备,以使得用户设备以及P-CSCF之间采用不同的IPsec SA进行通信。
对于本发明实施例,由于P-CSCF与用户设备之间进行信息交互,均需要按照IPsecSA将交互信息进行加密。在本发明实施例中,由于用户设备与P-CSCF分别存在多种加密算法,因此用户设备与P-CSCF之间能够采用不同的IPsec SA组对交互信息进行加密,以实现安全通信。
本发明实施例提供的安全通信的方法,首先服务呼叫会话控制功能S-CSCF向用户归属服务器HSS发送获取鉴权向量请求信息,其中,鉴权向量请求信息中携带有IP多媒体私有标识impi,其次,HSS根据impi,确定impi对应的根密钥,并根据根密钥,生成多组共享密钥,其中,共享密钥包括:加密密钥CK以及完整性密钥IK,并将多组共享密钥,发送至代理呼叫会话控制功能P-CSCF,然后P-CSCF根据多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组,最后P-CSCF将生成的多个IPsec SA组,发送至用户设备用户设备,以使得用户设备以及P-CSCF之间采用不同的IPsec SA进行通信。与目前当用户设备以及P-CSCF通过CK以及IK生成IPsec SA组,并通过该IPsec SA组进行安全通信时相比,本发明实施例HSS通过根密钥,生成多组共享密钥CK以及IK,并将该多组共享密钥,发送至P-CSCF,P-CSCF能够根据该多组共享密钥,生成多个IPsec SA组,以使得用户设备与P-CSCF可以通过不同的IPsec SA组对用户设备与P-CSCF之间交互的信息进行加密,从而可以提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以提高用户设备与P-CSCF进行通信的安全性。
本发明实施例的另一种可能的实现方式,在如图2所示的基础上,步骤201、服务呼叫会话控制功能S-CSCF向用户归属服务器HSS发送获取鉴权向量请求信息,之前还包括如图3所示的步骤301-303。
301、用户设备向P-CSCF发送初始注册请求消息。
其中,初始注册请求消息携带有impi、用户设备支持的SIP安全机制列表、用户设备的受保护客户端端口uc1、用户设备的受保护服务端端口us1。
对于本发明实施例,uc1与us1为用户设备与P-CSCF进行信息交互的端口。在本发明实施例中,初始注册请求信息中还携带有impu。
对于本发明实施例,SIP安全机制列表可以为安全性保护算法以及加密算法的任意组合。其中,安全性保护算法可以为hmac-sha-1-96或者hmac-md5-96,加密算法可以为aes-cbc或者des-ede3-sbc或者null。
302、P-CSCF存储用户设备支持的SIP安全机制列表、uc1以及us1。
303、P-CSCF将携带有impi的初始注册请求消息,发送至S-CSCF。
本发明实施例的另一种可能的实现方式,在如图2或3所示的基础上,步骤202、HSS根据impi,确定impi对应的根密钥,之后还包括如图4所示的步骤401,步骤203、HSS根据根密钥,生成多组共享密钥,之后还包括如图4所示的步骤402。
401、HSS生成随机数RAND。
对于本发明实施例,HSS在根据impi确定随机数的同时,生成RAND。
402、HSS将RAND发送至P-CSCF。
对于本发明实施例,HSS可以在发送共享密钥的同时,将RAND发送至S-CSCF,S-CSCF将RAND携带在401未授权响应信息中通过I-CSCF发送至P-CSCF。
本发明实施例的另一种可能的实现方式,在如图4所示的基础上,步骤205、P-CSCF根据多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组,具体包括如图5所示的步骤501-503。
501、P-CSCF从用户设备支持的SIP安全列表中,选择自身支持的算法组合。
其中,用户设备支持的SIP安全机制列表为用户设备支持的算法组合,算法组合包括:安全性算法以及加密算法。
对于本发明实施例,由于用户设备与P-CSCF支持的SIP安全列表中算法组合不同,因此用户设备将自身支持的SIP安全机制列表发送至P-CSCF,以使得P-CSCF从中选择自身支持的算法组合,形成P-CSCF支持的SIP安全机制列表。
例如,用户设备支持的SIP安全机制列表中包括:安全性算法1以及加密算法1组成的算法组合、安全性算法2以及加密算法2组成的算法组合、安全性算法3以及加密算法3组成的算法组合,P-CSCF从上述算法组合中选择安全性算法1以及加密算法1组成的算法组合、安全性算法2以及加密算法2组成的算法组合作为自身支持的SIP安全机制列表。
502、P-CSCF确定多组共享密钥分别对应自身支持的算法组合。
例如,共享密钥1对应安全性算法1以及加密算法1组成的算法组合,共享密钥2对应安全性算法2以及加密算法2组成的算法组合。
503、P-CSCF根据多组共享密钥、多组共享密钥分别对应自身支持的算法组合、RAND、uc1、us1以及P-CSCF的控制端口pc1、P-CSCF的服务端口ps1,生成多个网络协议安全性安全联盟IPsec SA组。
对于本发明实施例,由于需要将RAND、uc1、us1、pc1、多组共享密钥,根据对应的算法组合,生成多个IPsec SA组。
对于本发明实施例,P-CSCF从用户设备支持的SIP安全机制列表中选择自身支持的算法组合,并确定多组共享密钥分别对应的算法组合,能够根据多组共享密钥以及多组共享密钥分别对应的算法组合,生成不同的IPsec SA组,从而可以根据不同的IPsec SA组,对用户设备与P-CSCF之间的交互信息进行加密,进而可以提高用户设备与P-CSCF之间通信的安全性。
本发明实施例的另一种可能的实现方式,在如图5所示的基础上,步骤503、P-CSCF根据多组共享密钥、多组共享密钥分别对应自身支持的算法组合、RAND、uc1、us1以及P-CSCF的控制端口pc1、P-CSCF的服务端口ps1,生成多个网络协议安全性安全联盟IPsec SA组,之前还包括如图6所示的步骤601,步骤206、P-CSCF将生成的多个IPsec SA组,发送至用户设备,以使得用户设备以及P-CSCF之间采用不同的IPsec SA进行通信,具体包括如图6所示的步骤602。
601、P-CSCF确定pc1以及ps1。
602、P-CSCF将生成的多个IPsec SA组,发送至用户设备,以使得用户设备以及P-CSCF根据触发策略,选择不同IPsec SA组,进行通信。
对于本发明实施例,触发策略可以包括:定时切换以及新会话切换。其中,定时切换为用户设备或P-CSCF启动定时器,在定时器时间到时触发选择其他备用IPsec SA组以及对应的加密方式完成后续的通信;新会话切换为每次有具体业务时触发选择其他备用IPsec SA组以及对应的加密方式完成后续的通信。
对于本发明实施例,用户设备在鉴权注册过程中可以按照优先级选择一个IPsecSA组对鉴权注册请求信息进行加密,在鉴权注册完成后,用户设备或者P-CSCF根据触发策略,选择另一个IPsec SA组,并向对方发送通知信息,以告知对方选择进行交互信息加密的IPsec SA组,用户设备或P-CSCF用上述另一个IPsec SA组对用户设备与P-CSCF之间的交互信息进行加密,以实现安全通信。
对于本发明实施例,用户设备以及P-CSCF根据不同的触发策略,能够选择不同的IPsec SA组对用户设备以及P-CSCF之间的交互信息进行加密,避免用户设备以及P-CSCF使用同一个IPsec SA组,对用户设备与P-CSCF之间交互的信息进行加密,从而可以进一步地提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以进一步地提高用户设备与P-CSCF进行通信的安全性。
进一步地,本发明实施例提供了另一种安全通信的方法,P-CSCF从用户设备支持的SIP安全机制列表中选择自身支持的算法组合,并确定多组共享密钥分别对应的算法组合,能够根据多组共享密钥以及多组共享密钥分别对应的算法组合,生成不同的IPsec SA组,从而可以根据不同的IPsec SA组,对用户设备与P-CSCF之间的交互信息进行加密,进而可以提高用户设备与P-CSCF之间通信的安全性;用户设备以及P-CSCF根据不同的触发策略,能够选择不同的IPsec SA组对用户设备以及P-CSCF之间的交互信息进行加密,避免用户设备以及P-CSCF使用同一个IPsec SA组,对用户设备与P-CSCF之间交互的信息进行加密,从而可以进一步地提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以进一步地提高用户设备与P-CSCF进行通信的安全性。
作为对图2、图3、图4、图5及图6所示方法的实现,本发明实施例还提供了一种安全通信的装置,用于提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以进一步地提高用户设备与P-CSCF进行通信的安全性,如图7所示,所述装置包括:第一发送单元71、第一确定单元72、第一生成单元73、第二发送单元74、第二生成单元75、第三发送单元76。
第一发送单元71,位于服务呼叫会话控制功能S-CSCF中,用于向用户归属服务器HSS发送获取鉴权向量请求信息。
其中,鉴权向量请求信息中携带有IP多媒体私有标识impi。
第一确定单元72,位于HSS中,用于根据impi,确定impi对应的根密钥。
第一生成单元73,位于HSS中,用于根据根密钥,生成多组共享密钥。
其中,共享密钥包括:加密密钥CK以及完整性密钥IK。
第二发送单元74,位于HSS中,用于将多组共享密钥,发送至代理呼叫会话控制功能P-CSCF。
第二生成单元75,位于P-CSCF中,用于根据多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组。
第三发送单元76,位于P-CSCF中,用于将生成的多个IPsec SA组,发送至用户设备,以使得用户设备以及P-CSCF之间采用不同的IPsec SA进行通信。
进一步地,如图8所示,装置还包括:第四发送单元81、存储单元82。
第四发送单元81,位于用户设备中,用于向P-CSCF发送初始注册请求消息。
其中,初始注册请求消息携带有impi、用户设备支持的SIP安全机制列表、用户设备的受保护客户端端口uc1、用户设备的受保护服务端端口us1。
存储单元82,位于P-CSCF中,用于存储用户设备支持的SIP安全机制列表、uc1以及us1。
第三发送单元76,位于P-CSCF中,还用于将携带有impi的初始注册请求消息,发送至S-CSCF。
第一生成单元73,位于HSS中,还用于生成随机数RAND。
第二发送单元74,位于HSS中,还用于将RAND发送至P-CSCF。
第二生成单元75,位于P-CSCF中,具体用于从用户设备支持的SIP安全列表中,选择自身支持的算法组合。
其中,用户设备支持的SIP安全机制列表为用户设备支持的算法组合,算法组合包括:安全性算法以及加密算法。
第二生成单元75,位于P-CSCF中,具体还用于确定多组共享密钥分别对应自身支持的算法组合。
第二生成单元75,位于P-CSCF中,具体还用于根据多组共享密钥、多组共享密钥分别对应自身支持的算法组合、RAND、uc1、us1以及P-CSCF的控制端口pc1、P-CSCF的服务端口ps1,生成多个网络协议安全性安全联盟IPsec SA组。
进一步地,如图8所示,装置还包括:第二确定单元83。
第二确定单元83,位于P-CSCF中,用于确定pc1以及ps1。
第三发送单元76,位于P-CSCF中,用于将生成的多个IPsec SA组,发送至用户设备,以使得用户设备以及P-CSCF根据触发策略,选择不同IPsec SA组,进行通信。
本发明实施例提供的安全通信的装置,首先服务呼叫会话控制功能S-CSCF向用户归属服务器HSS发送获取鉴权向量请求信息,其中,鉴权向量请求信息中携带有IP多媒体私有标识impi,其次,HSS根据impi,确定impi对应的根密钥,并根据根密钥,生成多组共享密钥,其中,共享密钥包括:加密密钥CK以及完整性密钥IK,并将多组共享密钥,发送至代理呼叫会话控制功能P-CSCF,然后P-CSCF根据多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组,最后P-CSCF将生成的多个IPsec SA组,发送至用户设备用户设备,以使得用户设备以及P-CSCF之间采用不同的IPsec SA进行通信。与目前当用户设备以及P-CSCF通过CK以及IK生成IPsec SA组,并通过该IPsec SA组进行安全通信时相比,本发明实施例HSS通过根密钥,生成多组共享密钥CK以及IK,并将该多组共享密钥,发送至P-CSCF,P-CSCF能够根据该多组共享密钥,生成多个IPsec SA组,以使得用户设备与P-CSCF可以通过不同的IPsec SA组对用户设备与P-CSCF之间交互的信息进行加密,从而可以提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以提高用户设备与P-CSCF进行通信的安全性。
进一步地,本发明实施例提供了另一种安全通信的装置,P-CSCF从用户设备支持的SIP安全机制列表中选择自身支持的算法组合,并确定多组共享密钥分别对应的算法组合,能够根据多组共享密钥以及多组共享密钥分别对应的算法组合,生成不同的IPsec SA组,从而可以根据不同的IPsec SA组,对用户设备与P-CSCF之间的交互信息进行加密,进而可以提高用户设备与P-CSCF之间通信的安全性;用户设备以及P-CSCF根据不同的触发策略,能够选择不同的IPsec SA组对用户设备以及P-CSCF之间的交互信息进行加密,避免用户设备以及P-CSCF使用同一个IPsec SA组,对用户设备与P-CSCF之间交互的信息进行加密,从而可以进一步地提高用户设备与P-CSCF之间交互的信息进行加密的安全性,进而可以进一步地提高用户设备与P-CSCF进行通信的安全性。
需要说明的是,本发明实施例中提供的安全通信的装置中各单元所对应的其他相应描述,可以参考图2至图6中的对应描述,在此不再赘述。
本发明实施例提供的安全通信的装置可以实现上述提供的方法实施例,具体功能实现请参见方法实施例中的说明,在此不再赘述。本发明实施例提供的安全通信的方法及装置可以适用于用户设备以及P-CSCF根据不同的IPsec SA组,进行安全通信,但不仅限于此。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种安全通信的方法,其特征在于,包括:
服务呼叫会话控制功能S-CSCF向用户归属服务器HSS发送获取鉴权向量请求信息,所述鉴权向量请求信息中携带有IP多媒体私有标识impi;
所述HSS根据所述impi,确定所述impi对应的根密钥;
所述HSS根据所述根密钥,生成多组共享密钥,所述共享密钥包括:加密密钥CK以及完整性密钥IK;
所述HSS将所述多组共享密钥,发送至代理呼叫会话控制功能P-CSCF;
所述P-CSCF根据所述多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组;
所述P-CSCF将生成的所述多个IPsec SA组,发送至用户设备,以使得所述用户设备以及所述P-CSCF之间采用不同的IPsec SA进行通信。
2.根据权利要求1所述的安全通信的方法,其特征在于,所述服务呼叫会话控制功能S-CSCF向用户归属服务器HSS发送获取鉴权向量请求信息的步骤之前,还包括:
所述用户设备向所述P-CSCF发送初始注册请求消息,所述初始注册请求消息携带有impi、所述用户设备支持的SIP安全机制列表、用户设备的受保护客户端端口uc1、用户设备的受保护服务端端口us1;
所述P-CSCF存储所述用户设备支持的SIP安全机制列表、所述uc1以及所述us1;
所述P-CSCF将携带有所述impi的初始注册请求消息,发送至所述S-CSCF。
3.根据权利要求2所述的安全通信的方法,其特征在于,所述HSS根据所述impi,确定所述impi对应的根密钥的步骤之后,还包括:
所述HSS生成随机数RAND;
所述HSS根据所述根密钥,生成多组共享密钥的步骤之后,还包括:
所述HSS将所述RAND发送至所述P-CSCF。
4.根据权利要求3所述的安全通信的方法,其特征在于,所述用户设备支持的SIP安全机制列表为所述用户设备支持的算法组合,所述算法组合包括:安全性算法以及加密算法;
所述P-CSCF根据所述多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组的步骤,包括:
所述P-CSCF从所述用户设备支持的SIP安全列表中,选择自身支持的算法组合;
所述P-CSCF确定所述多组共享密钥分别对应自身支持的算法组合;
所述P-CSCF根据所述多组共享密钥、所述多组共享密钥分别对应自身支持的算法组合、所述RAND、所述uc1、所述us1以及P-CSCF的控制端口pc1、P-CSCF的服务端口ps1,生成多个网络协议安全性安全联盟IPsec SA组。
5.根据权利要求4所述的安全通信的方法,其特征在于,所述P-CSCF根据所述多组共享密钥、所述多组共享密钥分别对应自身支持的算法组合、所述RAND、所述uc1、所述us1以及P-CSCF的控制端口pc1、P-CSCF的服务端口ps1,生成多个网络协议安全性安全联盟IPsecSA组的步骤之前,还包括:
所述P-CSCF确定所述pc1以及所述ps1;
所述P-CSCF将生成的所述多个IPsec SA组,发送至用户设备用户设备,以使得所述用户设备以及所述P-CSCF之间采用不同的IPsec SA进行通信的步骤,包括:
所述P-CSCF将生成的所述多个IPsec SA组,发送至所述用户设备,以使得所述用户设备以及所述P-CSCF根据触发策略,选择不同IPsec SA组,进行通信。
6.一种安全通信的装置,其特征在于,包括:
第一发送单元,位于服务呼叫会话控制功能S-CSCF中,用于向用户归属服务器HSS发送获取鉴权向量请求信息,所述鉴权向量请求信息中携带有IP多媒体私有标识impi;
第一确定单元,位于所述HSS中,用于根据所述impi,确定所述impi对应的根密钥;
第一生成单元,位于所述HSS中,用于根据所述根密钥,生成多组共享密钥,所述共享密钥包括:加密密钥CK以及完整性密钥IK;
第二发送单元,位于所述HSS中,用于将所述多组共享密钥,发送至代理呼叫会话控制功能P-CSCF;
第二生成单元,位于所述P-CSCF中,用于根据所述多组共享密钥,生成多个网络协议安全性安全联盟IPsec SA组;
第三发送单元,位于所述P-CSCF中,用于将生成的所述多个IPsec SA组,发送至用户设备,以使得所述用户设备以及所述P-CSCF之间采用不同的IPsec SA进行通信。
7.根据权利要求6所述的安全通信的装置,其特征在于,所述装置还包括:第四发送单元、存储单元;
所述第四发送单元,位于所述用户设备中,用于向所述P-CSCF发送初始注册请求消息,所述初始注册请求消息携带有impi、所述用户设备支持的SIP安全机制列表、用户设备的受保护客户端端口uc1、用户设备的受保护服务端端口us1;
所述存储单元,位于所述P-CSCF中,用于存储所述用户设备支持的SIP安全机制列表、所述uc1以及所述us1;
所述第三发送单元,位于所述P-CSCF中,还用于将携带有所述impi的初始注册请求消息,发送至所述S-CSCF。
8.根据权利要求6或7所述的安全通信的装置,其特征在于,
所述第一生成单元,位于所述HSS中,还用于生成随机数RAND;
所述第二发送单元,位于所述HSS中,还用于将所述RAND发送至所述P-CSCF。
9.根据权利要求6所述的安全通信的装置,其特征在于,所述用户设备支持的SIP安全机制列表为所述用户设备支持的算法组合,所述算法组合包括:安全性算法以及加密算法;
所述第二生成单元,位于所述P-CSCF中,具体用于从所述用户设备支持的SIP安全列表中,选择自身支持的算法组合;
所述第二生成单元,位于所述P-CSCF中,具体还用于确定所述多组共享密钥分别对应自身支持的算法组合;
所述第二生成单元,位于所述P-CSCF中,具体还用于根据所述多组共享密钥、所述多组共享密钥分别对应自身支持的算法组合、RAND、uc1、us1以及P-CSCF的控制端口pc1、P-CSCF的服务端口ps1,生成多个网络协议安全性安全联盟IPsec SA组。
10.根据权利要求9所述的安全通信的装置,其特征在于,所述装置还包括:第二确定单元;
所述第二确定单元,位于所述P-CSCF中,用于确定所述pc1以及所述ps1;
所述第三发送单元,位于所述P-CSCF中,用于将生成的所述多个IPsec SA组,发送至所述用户设备,以使得所述用户设备以及所述P-CSCF根据触发策略,选择不同IPsec SA组,进行通信。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610380263.9A CN105827661B (zh) | 2016-05-31 | 2016-05-31 | 安全通信的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610380263.9A CN105827661B (zh) | 2016-05-31 | 2016-05-31 | 安全通信的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105827661A CN105827661A (zh) | 2016-08-03 |
CN105827661B true CN105827661B (zh) | 2020-05-19 |
Family
ID=56532676
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610380263.9A Active CN105827661B (zh) | 2016-05-31 | 2016-05-31 | 安全通信的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105827661B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108712410A (zh) * | 2018-05-11 | 2018-10-26 | 济南浪潮高新科技投资发展有限公司 | 秘钥可配的p-cscf服务器、会话***及方法 |
CN110120907B (zh) * | 2019-04-25 | 2021-05-25 | 北京奇安信科技有限公司 | 一种基于提议组的IPSec VPN隧道的通信方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1722689A (zh) * | 2005-06-21 | 2006-01-18 | 中兴通讯股份有限公司 | 一种ip多媒体子***接入安全的保护方法 |
CN1863194A (zh) * | 2005-05-13 | 2006-11-15 | 中兴通讯股份有限公司 | 一种改进的ip多媒体子***认证和密钥协商的方法 |
CN101197673A (zh) * | 2006-12-05 | 2008-06-11 | 中兴通讯股份有限公司 | 固定网络接入ims双向认证及密钥分发方法 |
CN104618093A (zh) * | 2015-01-16 | 2015-05-13 | 深圳市中兴物联科技有限公司 | 数据加密方法和装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2007098A1 (en) * | 2007-06-18 | 2008-12-24 | Nokia Siemens Networks Oy | Methods, apparatuses and computer program product for user equipment authorization based on matching network access technology specific identification information |
-
2016
- 2016-05-31 CN CN201610380263.9A patent/CN105827661B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1863194A (zh) * | 2005-05-13 | 2006-11-15 | 中兴通讯股份有限公司 | 一种改进的ip多媒体子***认证和密钥协商的方法 |
CN1722689A (zh) * | 2005-06-21 | 2006-01-18 | 中兴通讯股份有限公司 | 一种ip多媒体子***接入安全的保护方法 |
CN101197673A (zh) * | 2006-12-05 | 2008-06-11 | 中兴通讯股份有限公司 | 固定网络接入ims双向认证及密钥分发方法 |
CN104618093A (zh) * | 2015-01-16 | 2015-05-13 | 深圳市中兴物联科技有限公司 | 数据加密方法和装置 |
Non-Patent Citations (3)
Title |
---|
"3G security;Access security for IP-based services(Release7)";3GPP;《3GPP TS33.203 V7.6.0》;20070630;第6.1.1和7.1-7.2节 * |
基于AKA的IMS接入认证机制;周星; 卢美莲; 陶徐;《中兴通讯技术》;20071210;全文 * |
基于CPK的IMS认证与密钥协商协议;许书彬; 吴巍; 杨国瑞;《现代电子技术》;20110701;第118页 * |
Also Published As
Publication number | Publication date |
---|---|
CN105827661A (zh) | 2016-08-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9871656B2 (en) | Encrypted communication method and apparatus | |
US10742418B2 (en) | Authentication method, authentication apparatus, and authentication system | |
US10142305B2 (en) | Local security key generation | |
CN100571134C (zh) | 在ip多媒体子***中认证用户终端的方法 | |
JP4284324B2 (ja) | 移動無線システムにおける暗号鍵を形成および配布する方法および移動無線システム | |
US8880873B2 (en) | Method, system and device for authenticating cardless terminal using application server | |
EP2437469B1 (en) | Method and apparatus for establishing a security association | |
CN100592731C (zh) | 端到端加密数据电信的合法侦听 | |
US8705743B2 (en) | Communication security | |
CN101635823B (zh) | 一种终端对视频会议数据进行加密的方法及*** | |
EP2283430A1 (en) | Ims user equipment, control method thereof, host device, and control method thereof | |
CN102006294A (zh) | Ims多媒体通信方法和***、终端及ims核心网 | |
CN104683098B (zh) | 一种保密通信业务的实现方法、设备及*** | |
CN107172099B (zh) | 一种MMtel应用服务器中密钥可配置***及方法 | |
EP2011299B1 (en) | Method and apparatuses for securing communications between a user terminal and a sip proxy using ipsec security association | |
CN105827661B (zh) | 安全通信的方法及装置 | |
JP2009303188A (ja) | 管理装置、登録通信端末、非登録通信端末、ネットワークシステム、管理方法、通信方法、及びコンピュータプログラム。 | |
US20160006701A1 (en) | Method of and a device handling charging data in an ip-based network | |
WO2017197968A1 (zh) | 一种数据传输方法及装置 | |
Chen et al. | An efficient end-to-end security mechanism for IP multimedia subsystem | |
WO2011147258A1 (zh) | 一种实现卡鉴权的方法、***及用户设备 | |
Long et al. | Enhanced one-pass ip multimedia subsystem authentication protocol for umts | |
CN101621501A (zh) | 通信***的用户注册控制方法和会话功能控制实体 | |
CN104486352A (zh) | 一种安全算法发送、安全鉴权方法及装置 | |
CN110933673B (zh) | 一种ims网络的接入认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |