CN1658547A - 密钥分发方法 - Google Patents
密钥分发方法 Download PDFInfo
- Publication number
- CN1658547A CN1658547A CN2004100057400A CN200410005740A CN1658547A CN 1658547 A CN1658547 A CN 1658547A CN 2004100057400 A CN2004100057400 A CN 2004100057400A CN 200410005740 A CN200410005740 A CN 200410005740A CN 1658547 A CN1658547 A CN 1658547A
- Authority
- CN
- China
- Prior art keywords
- terminal
- message
- registration
- response message
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 230000006854 communication Effects 0.000 claims abstract description 31
- 238000004891 communication Methods 0.000 claims abstract description 11
- 230000004044 response Effects 0.000 claims description 92
- 230000000977 initiatory effect Effects 0.000 claims description 16
- 238000012795 verification Methods 0.000 claims description 9
- 230000008859 change Effects 0.000 claims description 5
- 230000008569 process Effects 0.000 abstract description 29
- 238000010586 diagram Methods 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 6
- 230000006855 networking Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1043—Gateway controllers, e.g. media gateway control protocol [MGCP] controllers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)
Abstract
本发明公开一种密钥分发方法,应用于下一代网络中,主要包括如下步骤:a)终端向软交换发送注册请求消息;b)软交换向认证中心发送认证请求消息;c)认证中心对终端进行认证,同时生成所述终端与软交换的会话密钥,并在注册认证通过后,交由软交换向终端分发所述会话密钥。本发明由于在注册认证过程中实现密钥的分发,通信量小,能紧密的结合NGN网络的特点、同时又大大提高了整个***解决安全问题的效率,终端的注册认证与密钥的集中分发更适合于NGN网络的实际情况。
Description
技术领域
本发明涉及通信中的安全管理技术,尤指一种应用于NGN(下一代网络)中的密钥分发方法。
背景技术
NGN是可以提供包括话音、数据和多媒体等各种业务在内的综合开放的网络构架,为用户提供实时的会话业务。其网络设备包括少量的核心设备和大量的用户终端,网络中除了与PSTN/PLMN(公众电信网/公众陆地移动网)的交互是基于电路方式而比较安全外,其它网络设备之间的交互,都是基于分组核心网络及各种分组接入网络来传送。在开放的IP网络上,NGN网络极易受到各种非法的攻击,特别是NGN网络中存在的大量的分组终端,很容易成为非法攻击的发起者。
针对NGN网络安全,目前还没有较好的解决方案,而作为网络安全基础的密钥分发过程如何和NGN网络的特点结合起来,还是一个空白。现有技术中网络层安全标准IPSec(网络层安全)定义的密钥协商方式是IKE协议(因特网密钥交换协议)、传输层安全标准TLS(传输层安全)的密钥协商方式是由TLS规范定义的Handshake(握手协议)来完成,其中IKE协议的密钥加密交换采用Diffie-Hellman算法,定义了5个D-H算法的参数组(即素数p和底数g),该加密算法具有强度高、密钥长度大的特点。从上可知,IKE是一个非常严谨、同时也是一个相当复杂的密钥交换协议,而Handshake协议实现客户和服务器之间的一方(主要对服务器)或双向认证,协商协议中用到的加密算法和密钥以及验证算法和密钥,协商得到的会话参数供记录协议为多个连接重复使用,避免每个连接协商新的会话参数所带来的开销,同时协议保证协商过程是可靠的、协商得到的共享密钥是安全的。
尽管上述这些密钥分发协议都很规范、严谨,但都存在无法和NGN网络的实际特点相结合的缺点。NGN网络是一个较为封闭的网络,由一系列网络侧服务器(如软交换、应用服务器和各种网关)以及大量的接入终端组成,终端和网络设备在一个运营商的管辖和控制范围内,存在一个管理域对域内设备进行管理,以及协助完成跨域之间用户互通的特点,同时所有的终端需要在该管理域内进行注册,NGN的这些网络特点决定了NGN适合于采用集中式的密钥分发方式,而上述密钥分发协议都是终端之间或两台主机直接进行密钥的协商,最终导致***中的通信量成几何数的增长,给整个网络***和密钥的管理都带来了很大的不便,不适应NGN网络的实际特点。
发明内容
本发明解决的技术问题是提供一种安全、高效的密钥分发方法,可实现集中密钥分发,适应NGN的网络特点。
为解决上述问题,本发明提供一种密钥分发方法,包括如下步骤:
a)终端向软交换发送注册请求消息;
b)软交换向认证中心发送认证请求消息;
c)认证中心对终端进行认证,同时生成所述终端与软交换的会话密钥,并在注册认证通过后,交由软交换向终端分发所述会话密钥。
其中,所述步骤c)具体包括:
c1)认证中心根据与终端的共享密钥Kc生成对终端的第一验证字,同时生成所述终端与软交换之间的会话密钥,然后以所述共享密钥Kc对所述会话密钥加密,将加密后的会话密钥和第一验证字返回给软交换;
c2)软交换向终端返回注册失败响应消息;
c3)终端根据与认证中心的共享密钥Kc生成第二验证字,然后向软交换发送包含所述第二验证字的注册消息;
c4)软交换根据认证中心提供的第一验证字与终端提供的第二验证字对所述终端进行认证,并在认证通过后,执行步骤c5);
c5)软交换向终端返回注册成功响应消息,所述注册成功响应消息中包含经共享密钥Kc加密后的会话密钥,同时软交换向认证中心发出终端认证成功消息以便更新终端的相关信息;
c6)终端根据所述共享密钥Kc解密认证中心加密过的会话密钥。
进一步,步骤c3)所述注册消息还包含终端支持的安全能力列表及每种安全能力的优先级信息;
步骤c4)还包括软交换根据注册消息中终端的安全能力及每种安全能力的优先级信息选择一个合适的安全能力进行通信。
最好,所述下一代网络还包括信令代理,所述步骤a)具体包括:
终端向信令代理发送注册请求消息,信令代理向软交换转发终端的注册请求消息;
所述步骤c1)进一步包括:
认证中心获取与信令代理的共享密钥Ksp,然后以所述共享密钥Ksp对会话密钥进行加密,并将经共享密钥Ksp加密后的会话密钥也返回给软交换;
所述步骤c2)具体包括:
软交换向信令代理返回注册失败响应消息,信令代理向终端返回注册失败响应消息,同时要求终端反馈支持的安全能力列表及每种安全能力的优先级信息;
所述步骤c3)具体包括:
终端将包含第二验证字、终端支持的安全能力列表以及每种安全能力的优先级信息的注册消息发送给信令代理,信令代理根据终端支持的安全能力和每种安全能力的优先级信息选择一个合适的安全能力进行通信,然后向软交换转发终端的注册消息;
所述步骤c5)具体包括:
软交换向信令代理转发终端注册成功响应消息,所述注册成功响应消息中包含认证中心分别以共享密钥Kc和Ksp加密后的会话密钥,信令代理用共享密钥Ksp解密认证中心经共享密钥Ksp加密过的会话密钥,并以所述解密获取的会话密钥对注册成功响应消息报文计算报文验证字,然后信令代理向终端转发注册成功响应消息,所述注册成功响应消息中包含经共享密钥Ksp加密过的会话密钥、信令代理根据终端支持的安全能力选定的后续通信采用的安全能力项以及终端的安全能力参数列表和优先级信息以及所述报文验证字;
所述步骤c6)进一步包括:
终端利用解密后获取的会话密钥,验证信令代理返回报文的报文验证字以验证信令代理身份,同时验证报文的完整性以及信令代理返回的终端自己的安全能力参数是否正确,并在验证通过后,按照选定的安全能力进行通信。
最好,所述注册请求消息和注册消息均为SIP协议注册消息,所述注册失败响应消息为SIP协议响应消息,所述注册成功响应消息为SIP协议注册请求成功消息。
最好,所述注册请求消息为MGCP协议***重启消息及其响应消息,所述注册失败响应消息和注册成功响应消息均为MGCP协议通知请求消息及其响应消息,所述注册消息为MGCP协议通知消息及其响应消息。
最好,所述注册请求消息为H.248协议***服务状态变化消息及其响应消息,所述注册失败响应消息和注册成功响应消息均为H.248协议属性更改消息及其响应消息,所述注册消息为H.248协议通知消息及其响应消息。
最好,所述注册请求消息为H.323协议网守请求消息,所述注册失败响应消息为H.323协议网守拒绝消息,所述注册消息为H.323协议注册请求消息,所述注册成功响应消息为H.323协议注册成功消息。
与现有技术相比,本发明具有以下优点:
1、本发明中由软交换与终端通信,在注册认证过程中实现密钥的分发,通信量小,能紧密的结合NGN网络的特点、同时又大大提高了整个***解决安全问题的效率,终端的注册认证与密钥的集中分发更适合于NGN网络的实际情况。
2、本发明中可实现将SIP、MGCP、H.248、H.323等多个协议注册过程与会话密钥分发过程结合起来,在终端认证过程中完成会话密钥分发,后续的通信不需要再协商密钥。
3、本发明中还可实现将SIP、MGCP、H.248、H.323等多个协议注册过程与安全能力协商过程结合起来,在密钥分发的过程中同时完成安全能力协商,后续的通信不需要再协商安全能力,安全能力不需要进行静态配置,可动态协商,灵活扩展。
附图说明
图1是本发明密钥分发方法应用的一种NGN网络环境示意图;
图2是在图1所示的网络环境下本发明密钥分发方法具体实施例通信过程示意图;
图3是本发明密钥分发方法应用的具有信令代理的一种NGN网络环境示意图;
图4是在图3所示的网络环境下本发明密钥分发方法具体实施例通信过程示意图;
图5是在SIP协议注册认证过程中实现密钥分发的实施例通信过程示意图;
图6是在MGCP协议注册认证过程中实现密钥分发的实施例通信过程示意图;
图7是在H.248协议注册认证过程中实现密钥分发的实施例通信过程示意图;
图8是在H.323协议注册认证过程中实现密钥分发的实施例通信过程示意图。
具体实施方式
在NGN网络中,网络安全是目前NGN网络实际运营中碰到的一个重要问题,如果不能很好的解决NGN网络的安全问题,NGN网络将无法得到大规模的应用。
在NGN网络中,网络设备主要包括终端、网关及软交换等,图1是NGN一种简单的单域组网图,即只有一个软交换(也称为媒体网关控制器)设备,实际组网可能有多个软交换设备。如图1所示的NGN网络环境中,软交换通过IP网络分别与中继媒体网关、SIP(会话初始协议)终端,H.323终端和H.248终端相连,其中中继媒体网关接模拟电话T1、T2,另外软交换还与认证中心AuC相连。
本发明中所有网络设备、终端和认证中心AuC之间各有一个共享密钥,网络设备可以采用手工配置或网管下发,终端设备在设备开户时由***分配或用户输入;
所有与认证中心AuC共享密钥为整个***的基本密钥,需要得到妥善的保管,要求网络设备及终端具有不向第三方泄漏此密钥,以及具有抗非法盗取此密钥的能力;
另外,终端和软交换之间的会话密钥则由认证中心AuC生成。
本发明结合NGN网络的特点,通过将注册认证过程与会话密钥分发过程结合起来,在终端向软交换发起注册,软交换向认证中心请求认证后,认证中心生成终端与软交换的会话密钥,并在注册认证通过后,由软交换向终端分发会话密钥。由于在注册认证过程中完成会话密钥分发,后续的通信不需要再协商密钥,可使终端的注册认证和密钥的分发过程更简捷,提高了***的效率和性能,对终端的要求较低,终端不需要支持复杂的密钥分发协议,而只需在现有的呼叫协议上扩展即可。
图2是一种简单的密钥分发通信过程示意图,说明如下:
终端首先向软交换发起注册请求,具体消息报文与终端支持的协议相关,软交换收到所述注册请求消息后,向认证中心请求对终端进行认证,认证中心根据终端信息生成相应验证字(便于区别以后称为第一验证字)以及会话密钥,然后向软交换返回认证响应消息,所述认证响应消息中包含所述第一验证字及会话密钥,软交换在收到所述认证响应消息后,向终端发送注册失败响应消息,要求终端重新注册,终端生成验证字(便于区别以后称为第二验证字),然后向软交换重新发起注册请求,软交换比较认证中心与终端提交的第一验证字和第二验证字,若不相同,则向终端返回注册失败响应消息,要求终端重新注册,若相同,则认证通过,向终端发送注册成功响应消息,所述注册成功响应消息中包含会话密钥,终端在收到所述消息后即可获取会话密钥。
为了进一步提高网络的安全性,在软交换向终端返回注册失败响应消息时,软交换还要求终端反馈支持的安全能力列表,这样,终端重新向软交换发起注册时,在注册消息报文中进一步包括终端支持的安全能力列表以及每种安全能力的优先级信息等,软交换可据此选择合适的安全能力进行通信。
事实上为了通信的安全,本发明应用的网络环境中还可包括信令代理(SP),整个网络环境中,信令代理以上的网络设备之间的通信是可信的,即需要在组网上保证这些网络设备是处于一个信任区内,终端是不可信的,终端和信令代理之间的通信是不安全的,即终端和信令代理位于非信任区,信令代理为信任区和非信任区的边界。
信令代理可以作为一个功能模块与处理媒体转发的模块一起集成在IP网关中,也可以采用信令与媒体分离的架构方式,独立出来成为一个单独的信令代理实体,下面以具体实施例进行说明。
图3是一种信令代理集成在IP网关的网络环境,在所述的网络环境中,终端通过信令代理实现与软交换通信,上述终端与软交换的会话密钥在所述的网络环境中也即终端与信令代理的会话密钥。
图4是图3所示具信令代理的网络环境中实现密钥分发的通信过程,说明如下。
在步骤s1.终端按协议流程向信令代理发送注册请求消息,正常的协议注册消息,具体消息报文与终端支持的协议相关,为一个普通的协议注册报文,报文未经加密认证处理,所述注册请求消息报文中包含如下信息:
IDc‖IDsp‖N1‖TS1
-IDc:标识终端
-IDsp:标识信令代理
-N1:随机数或序列号,用于标识本次报文,返回的响应报文中需包含此数,用于防止报文重发(后续消息中的此数含义相同)
-TS1:用于信令代理验证终端的时钟与信令代理的时钟是否同步;
在步骤s2.信令代理向软交换转发终端的注册请求消息,该消息报文中包含如下信息:
IDc‖IDsp
-IDc:标识终端
-IDsp:标识信令代理;
在步骤s3.软交换没有终端的鉴权信息,向认证中心(AuC)发出对终端的鉴权认证请求消息,提供终端标识ID和信令代理标识ID,该消息报文中包含信息如下:
IDc‖IDsp
-IDc:标识终端;
-IDsp:标识终端接入网络的信令代理;
在步骤s4.认证中心根据终端标识ID、信令代理标识ID,获取与终端的共享密钥Kc以及与信令代理的共享密钥Ksp及其它认证信息,生成一个挑战字随机数Rand,由Rand,IDc和共享密钥Kc等一起生成对终端的第一验证字Authenticatorc,同时生成终端和信令代理之间的会话密钥Kc,sp,并分别由共享密钥Kc和Ksp对所述会话密钥Kc,sp加密,将Rand、验证字、加密后的会话密钥Kc,sp作为软交换认证请求的响应返回给软交换,该认证响应消息报文中包含如下信息:
IDc‖IDsp‖Rand‖Authenticatorc‖EKc[Kc,sp]‖EKsp[Kc,sp]
其中:Authenticatorc=fm(Kc,Rand,IDc)
-IDc:标识终端
-IDsp:标识信令代理
-Rand:随机数,用于认证中心计算验证字,认证中心将Rand发给软交换,软交换再发给信令代理,再由信令代理发给终端
-Authenticatorc:验证字,用于软交换验证终端,认证中心生成后发给软交换
-EKc[Kc,sp]:认证中心以共享密钥Kc加密过的会话密钥Kc,sp
-EKsp[Kc,sp]:认证中心以共享密钥Ksp加密过的会话密钥Kc,sp
在步骤5.软交换向信令代理返回注册失败响应消息,注册失败,需要对终端进行认证,注册失败响应消息报文参数中包括挑战字Rand,该消息报文中包含如下信息:
IDc‖IDsp‖Rand
-IDc:标识终端
-IDsp:标识信令代理
-Rand:为认证中心发给信令代理的随机数;
在步骤6.信令代理向终端返回注册失败响应消息,注册失败,需要对终端进行认证,同样注册失败响应消息报文中包括挑战字Rand,同时要求终端反馈支持的安全能力列表和每种安全能力的优先级信息,该报文中包含如下信息:
IDc‖IDsp‖N1‖N2‖TS2‖Rand
-IDc:标识终端
-IDsp:标识信令代理
-N1:同终端发给信令代理的注册消息报文中的N1,用于对注册报文的回应
-N2:用于标识本次报文
-TS2:用于终端验证时间戳
-Rand:为认证中心生成的随机数;
在步骤7.终端通过共享密钥Kc、客户段标识IDc及信令代理返回的随机数Rand重新计算验证字,向信令代理重新发起注册,注册消息报文中包括新计算得到的第二验证字Authenticatorc,同时注册消息报文中包含终端支持的安全能力列表(如网络层安全IPSec、传输层安全TLS或应用层安全等),以及每一种安全能力的优先级信息,信令代理将根据终端的安全能力和优先级信息选择一个合适的安全能力进行通信,该注册消息报文中包含如下信息:
IDc‖N1‖N2‖TS3‖Authenticatorc‖Security mechanism list
其中:Authenticatorc=f(Kc,Rand,IDc)
-IDc:标识终端;
-N1:新的随机数或序列号,用于标识本次报文
-N2:用于标识对信令代理上一个报文的回应
-TS3:让信令代理验证时间戳
-Authenticatorc:验证字,由终端生成
-Security mechanism list:终端的安全能力及优先级列表;
在步骤8.信令代理向软交换转发终端的注册消息报文,对于终端的安全能力和优先级信息参数可以转发,也可以不转发,软交换不需该信息,该注册消息报文中包含如下信息:
IDc‖IDsp‖Authenticatorc
-IDc:标识终端
-IDsp:标识信令代理
-Authenticatorc:验证字,由终端生成;
在步骤9.软交换将信令代理发过来的注册消息报文中的第二验证字和认证中心发过来的第一验证字进行比较,对终端进行验证,若两者不一致,则验证失败,可重发注册失败响应消息,若两者一致,则表明对终端的验证成功,向信令代理返回注册成功响应消息报文,该消息报文中同时包括两个由认证中心生成的分别经过Kc和Ksp加密后的终端与信令代理之间的会话密钥Kc,sp,该消息报文中包含如下信息:
IDc‖IDsp‖EKc[Kc,sp]‖EKsp[Kc,sp]
-IDc:标识终端
-IDsp:标识信令代理
-EKc[Kc,sp]:为认证中心用共享密钥Kc加密的终端与信令代理之间的会话密钥Kc,sp
-EKsp[Kc,sp]:为认证中心用共享密钥Ksp加密的终端与信令代理之间的会话密钥Kc,sp;
在步骤10.信令代理收到软交换的注册响应成功消息,向终端转发注册成功响应消息,该消息报文中包含由认证中心生成的经过终端的共享密钥Kc加密后的会话密钥Kc,sp,同时注册成功响应消息中包括信令代理依据终端的安全能力参数选定的后续通信采用的安全能力项以及终端的安全能力参数列表和优先级信息(用于终端确认这些参数是否在网络传输中被第三者修改),最后用共享密钥Ksp对由认证中心生成的经过Ksp加密后的会话密钥Kc,sp进行解密处理,得到Kc,sp,并用Kc,sp对整个响应消息报文计算报文验证字MAC,用于保证报文的完整性,以及终端对信令代理的认证,报文中包含如下信息:
IDc‖IDsp‖N1‖N2‖TS4‖EKc[Kc,sp]‖‖Security mechanism‖Securitymechanism list(c)‖fm(Kc,sp,报文)
-IDc:标识终端
-IDsp:标识信令代理
-N1:用于标识对终端注册报文的回应
-N2:用于标识本次报文
-TS4:用于终端验证时间戳
-EKc[Kc,sp]:为认证中心用共享密钥Kc加密的终端与信令代理之间的会话密钥Kc,sp
-Security mechanism:信令代理根据终端的安全能力及优先级列表选定的安全能力
-Security mechanism list:终端自己的安全能力及优先级列表,用于终端确认信令代理收到的安全能力列表没有被非法修改过
-fm(Kc,sp,报文):用会话密钥Kc,sp对整个报文进行源和完整性认证,终端通过解开会话密钥,并对报文进行成功鉴别来实现对信令代理的身份认证,否则信令代理无法得到由认证中心签发的会话密钥Kc,sp;
在步骤11.软交换向认证中心发出终端认证成功消息,更新终端的相关信息,同时终端对由认证中心生成的经过Ksp加密后的会话密钥解密得到Kc,sp,并用Kc,sp验证信令代理返回报文的MAC,实现对信令代理的身份验证,同时验证报文的完整性,以及信令代理返回的终端自身的安全能力参数是否正确,如果正确,则说明信令代理返回的选定的安全能力正确,后续通信将按此安全能力进行报文安全处理,如果终端对信令代理认证失败或安全能力参数不正确,可重新发起注册,该终端认证成功消息报文中包含如下信息:
IDc‖IDsp‖IPc‖...
-IDc:标识终端
-IDsp:标识信令代理
IPc:终端注册的IP地址,可能是经过信令代理变换处理后的IP地址。
下面以具体的应用协议环境对本发明密钥分发方法进行说明。
图5是本发明采用SIP协议进行注册认证的具体通信过程,仍以网络环境为具有信令代理为例,所述通信过程中只是将上述通用流程中的注册和响应消息细化为具体的SIP协议消息,流程中每一步骤的消息所携带的参数与上述通用流程中的定义是一致的。
所述通信过程中具体的协议消息,在步骤s1、步骤s2,注册请求消息为SIP协议中的注册消息;在步骤s5、步骤s6,注册失败响应消息为SIP协议中的响应消息代码,其中401:为SIP协议中的响应消息代码,含义为需要对终端进行认证,407:为SIP协议中的响应消息代码,含义为需要对代理进行认证,在步骤s7、步骤s8,重新注册消息也为SIP协议中的注册消息;在步骤s9、步骤s10,注册成功响应消息为SIP协议中的响应消息代码,表示请求成功,即OK;而步骤s3、s4、s11中的消息,则与具体的呼叫协议没有关系,可以是通用的认证协议,根据应用场合的不同,可以采取不同的协议,如Radius、Diameter等。
图6是本发明采用MGCP(媒体网关控制协议)协议进行注册认证的具体通信过程,仍以网络环境为具有信令代理为例,所述通信过程中只是将上述通用流程中的注册和响应消息细化为具体的MGCP协议消息,流程中每一步骤的消息所携带的参数与上述通用流程中的定义是一致的。
所述通信过程中具体的协议消息,在步骤s1、步骤s2,注册请求消息为MGCP协议中的***重起消息命令RSIP及其响应消息;在步骤s5、步骤s6,注册失败响应消息为MGCP协议中的通知请求消息命令RQNT,表示***需要对终端进行认证,在步骤s7、步骤s8,重新注册消息为MGCP协议中的通知消息命令NOTIFY,表示终端发起认证;在步骤s9、步骤s10,注册成功响应消息为MGCP协议中的通知请求消息命令RQNT,通知终端认证成功;而步骤s3、s4、s11中的消息,则与具体的呼叫协议没有关系,可以是通用的认证协议,根据应用场合的不同,可以采取不同的协议,如Radius、Diameter等。
图7是本发明采用H.248协议进行注册认证的具体通信过程,仍以网络环境为具有信令代理为例,所述通信过程中只是将上述通用流程中的注册和响应消息细化为具体的H.248协议消息,流程中每一步骤的消息所携带的参数与上述通用流程中的定义是一致的。
所述通信过程中具体的协议消息,在步骤s1、步骤s2,注册请求消息为H.248协议中的***服务状态变化消息命令SERVICE CHANGE及其响应消息Rsp,此时表明***开始进入服务状态,发起注册;在步骤s5、步骤s6,注册失败响应消息为H.248协议中的属性更改消息命令MODIFY,表示***需要对终端进行认证,在步骤s7、步骤s8,重新注册消息为H.248协议中的通知消息命令NOTIFY,表示终端发起认证;在步骤s9、步骤s10,注册成功响应消息为H.248协议中的属性更改消息命令MODIFY,通知终端认证成功;而步骤s3、s4、s11中的消息,则与具体的呼叫协议没有关系,可以是通用的认证协议,根据应用场合的不同,可以采取不同的协议,如Radius、Diameter等。
图8是本发明采用H.323协议进行注册认证的具体通信过程,仍以网络环境为具有信令代理为例,所述通信过程中只是将上述通用流程中的注册和响应消息细化为具体的H.323协议消息,流程中每一步骤的消息所携带的参数与上述通用流程中的定义是一致的。
所述通信过程中具体的协议消息,在步骤s1、步骤s2,注册请求消息为H.323协议中的GK请求消息,含义为谁是我的GK;在步骤s5、步骤s6,注册失败响应消息为H.323协议中的GK拒绝消息,含义为GK不对终端进行注册,此处表示需要认证,在步骤s7、步骤s8,重新注册消息为H.323协议中的注册请求消息,此时消息中将携带认证信息,表示终端发起认证;在步骤s9、步骤s10,注册成功响应消息为H.323协议中的注册成功消息,通知终端认证成功;而步骤s3、s4、s11中的消息,则与具体的呼叫协议没有关系,可以是通用的认证协议,根据应用场合的不同,可以采取不同的协议,如Radius、Diameter等。
综上本发明具有下面的优点:
在一个流程中实现了终端的注册、认证,用户终端设备和网络设备之间的密钥分发和安全能力协商;交互流程简洁高效;
交互流程及认证机制能保证终端注册、会话密钥分发,安全能力协商过程本身也是安全的;
同时本发明通过将多个流程有机的融合为一体,避免了后续还要进行密钥分发和安全能力的配置等,提高了整个NGN网络***在安全方面的处理效率。
以上所述,仅为本发明的优选实施例而已,非因此即局限本发明的权利范围,凡运用本发明说明书及附图内容所为的等效变化,均理同包含于本发明的权利要求范围内。
Claims (8)
1、一种密钥分发方法,应用于下一代网络中,所述下一代网络包括终端、软交换及认证中心,其特征在于,包括如下步骤:
a)终端向软交换发送注册请求消息;
b)软交换向认证中心发送认证请求消息;
c)认证中心对终端进行认证,同时生成所述终端与软交换的会话密钥,并在注册认证通过后,交由软交换向终端分发所述会话密钥。
2、根据权利要求1所述密钥分发方法,其特征在于,所述步骤c)具体包括:
c1)认证中心根据与终端的共享密钥Kc生成对终端的第一验证字,同时生成所述终端与软交换之间的会话密钥,然后以所述共享密钥Kc对所述会话密钥加密,将加密后的会话密钥和第一验证字返回给软交换;
c2)软交换向终端返回注册失败响应消息;
c3)终端根据与认证中心的共享密钥Kc生成第二验证字,然后向软交换发送包含所述第二验证字的注册消息;
c4)软交换根据认证中心提供的第一验证字与终端提供的第二验证字对所述终端进行认证,并在认证通过后,执行步骤c5);
c5)软交换向终端返回注册成功响应消息,所述注册成功响应消息中包含经共享密钥Kc加密后的会话密钥,同时软交换向认证中心发出终端认证成功消息以便更新终端的相关信息;
c6)终端根据所述共享密钥Kc解密认证中心加密过的会话密钥。
3、根据权利要求2所述密钥分发方法,其特征在于,步骤c3)所述注册消息还包含终端支持的安全能力列表及每种安全能力的优先级信息;
步骤c4)还包括软交换根据注册消息中终端的安全能力及每种安全能力的优先级信息选择一个合适的安全能力进行通信。
4、根据权利要求2所述密钥分发方法,其特征在于,所述下一代网络还包括信令代理,所述步骤a)具体包括:
终端向信令代理发送注册请求消息,信令代理向软交换转发终端的注册请求消息;
所述步骤c1)进一步包括:
认证中心获取与信令代理的共享密钥Ksp,然后以所述共享密钥Ksp对会话密钥进行加密,并将经共享密钥Ksp加密后的会话密钥也返回给软交换;
所述步骤c2)具体包括:
软交换向信令代理返回注册失败响应消息,信令代理向终端返回注册失败响应消息,同时要求终端反馈支持的安全能力列表及每种安全能力的优先级信息;
所述步骤c3)具体包括:
终端将包含第二验证字、终端支持的安全能力列表以及每种安全能力的优先级信息的注册消息发送给信令代理,信令代理根据终端支持的安全能力和每种安全能力的优先级信息选择一个合适的安全能力进行通信,然后向软交换转发终端的注册消息;
所述步骤c5)具体包括:
软交换向信令代理转发终端注册成功响应消息,所述注册成功响应消息中包含认证中心分别以共享密钥Kc和Ksp加密后的会话密钥,信令代理用共享密钥Ksp解密认证中心经共享密钥Ksp加密过的会话密钥,并以所述解密获取的会话密钥对注册成功响应消息报文计算报文验证字,然后信令代理向终端转发注册成功响应消息,所述注册成功响应消息中包含经共享密钥Ksp加密过的会话密钥、信令代理根据终端支持的安全能力选定的后续通信采用的安全能力项以及终端的安全能力参数列表和优先级信息以及所述报文验证字;
所述步骤c6)进一步包括:
终端利用解密后获取的会话密钥,验证信令代理返回报文的报文验证字以验证信令代理身份,同时验证报文的完整性以及信令代理返回的终端自己的安全能力参数是否正确,并在验证通过后,按照选定的安全能力进行通信。
5、根据权利要求1-4任一项所述密钥分发方法,其特征在于,所述注册请求消息和注册消息均为SIP协议注册消息,所述注册失败响应消息为SIP协议响应消息,所述注册成功响应消息为SIP协议注册请求成功消息。
6、根据权利要求1-4任一项所述密钥分发方法,其特征在于,所述注册请求消息为MGCP协议***重启消息及其响应消息,所述注册失败响应消息和注册成功响应消息均为MGCP协议通知请求消息及其响应消息,所述注册消息为MGCP协议通知消息及其响应消息。
7、根据权利要求1-4任一项所述密钥分发方法,其特征在于,所述注册请求消息为H.248协议***服务状态变化消息及其响应消息,所述注册失败响应消息和注册成功响应消息均为H.248协议属性更改消息及其响应消息,所述注册消息为H.248协议通知消息及其响应消息。
8、根据权利要求1-4任一项所述密钥分发方法,其特征在于,所述注册请求消息为H.323协议网守请求消息,所述注册失败响应消息为H.323协议网守拒绝消息,所述注册消息为H.323协议注册请求消息,所述注册成功响应消息为H.323协议注册成功消息。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2004100057400A CN1658547B (zh) | 2004-02-16 | 2004-02-16 | 密钥分发方法 |
| AT05706573T ATE440416T1 (de) | 2004-02-16 | 2005-01-31 | Schlüsselverteilungsverfahren |
| US10/589,177 US7813509B2 (en) | 2004-02-16 | 2005-01-31 | Key distribution method |
| DE602005016080T DE602005016080D1 (de) | 2004-02-16 | 2005-01-31 | Schlüsselverteilungsverfahren |
| EP05706573A EP1717986B1 (en) | 2004-02-16 | 2005-01-31 | Key distribution method |
| PCT/CN2005/000133 WO2005112338A1 (fr) | 2004-02-16 | 2005-01-31 | Procede de distribution de cles |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2004100057400A CN1658547B (zh) | 2004-02-16 | 2004-02-16 | 密钥分发方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1658547A true CN1658547A (zh) | 2005-08-24 |
| CN1658547B CN1658547B (zh) | 2010-08-18 |
Family
ID=35007822
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004100057400A Expired - Lifetime CN1658547B (zh) | 2004-02-16 | 2004-02-16 | 密钥分发方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7813509B2 (zh) |
| EP (1) | EP1717986B1 (zh) |
| CN (1) | CN1658547B (zh) |
| AT (1) | ATE440416T1 (zh) |
| DE (1) | DE602005016080D1 (zh) |
| WO (1) | WO2005112338A1 (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009155863A1 (zh) * | 2008-06-24 | 2009-12-30 | 中兴通讯股份有限公司 | 下一代网络中支持移动性安全的方法与*** |
| CN101052056B (zh) * | 2006-04-07 | 2010-05-12 | 华为技术有限公司 | 软交换***及呼叫业务的鉴权处理方法 |
| CN1913432B (zh) * | 2006-07-27 | 2010-10-06 | 华为技术有限公司 | ***业务使用sip鉴权的方法和*** |
| WO2011022963A1 (zh) * | 2009-08-31 | 2011-03-03 | 中兴通讯股份有限公司 | 数据传输安全保护方法、认证服务器及终端 |
| CN101094063B (zh) * | 2006-07-19 | 2011-05-11 | 中兴通讯股份有限公司 | 一种游牧终端接入软交换网络***的安全交互方法 |
| CN104954125A (zh) * | 2014-03-25 | 2015-09-30 | 华为技术有限公司 | 密钥协商方法、用户设备、路由器及位置服务器 |
| CN105556892A (zh) * | 2013-05-09 | 2016-05-04 | 韦恩加油***有限公司 | 用于安全通信的***和方法 |
| CN108900552A (zh) * | 2018-08-16 | 2018-11-27 | 北京海泰方圆科技股份有限公司 | 密钥分发方法和装置、密钥获取方法和装置 |
| CN111629003A (zh) * | 2020-05-28 | 2020-09-04 | 河南智云数据信息技术股份有限公司 | 面向物联网的密钥分发方法 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8200972B2 (en) * | 2005-03-16 | 2012-06-12 | International Business Machines Corporation | Encryption of security-sensitive data by re-using a connection |
| US20070025554A1 (en) * | 2005-08-01 | 2007-02-01 | Ping-Wen Ong | Remote control association methodology |
| JP5047291B2 (ja) * | 2006-09-06 | 2012-10-10 | エスエスエルネクスト インコーポレイテッド | インターネットユーザに対して認証サービスを提供するための方法およびシステム |
| CN101436930A (zh) * | 2007-11-16 | 2009-05-20 | 华为技术有限公司 | 一种密钥分发的方法、***和设备 |
| US8107593B2 (en) * | 2008-06-12 | 2012-01-31 | Alcatel Lucent | Method and apparatus for testing new copper connections during migration from analog network elements to next generation network (NGN) elements |
| CN101730093B (zh) * | 2009-02-20 | 2013-01-16 | 中兴通讯股份有限公司 | 安全切换方法及*** |
| JP5815824B2 (ja) * | 2010-12-03 | 2015-11-17 | 日本電信電話株式会社 | ネットワークノード制御方法 |
| US9191209B2 (en) | 2013-06-25 | 2015-11-17 | Google Inc. | Efficient communication for devices of a home network |
| CN104754575B (zh) * | 2013-12-31 | 2018-07-31 | 华为技术有限公司 | 一种终端认证的方法、装置及*** |
| US10089626B2 (en) | 2014-06-23 | 2018-10-02 | The Toronto-Dominion Bank | Systems and methods for authenticating user identities in networked computer systems |
| US10187376B2 (en) * | 2015-08-28 | 2019-01-22 | Texas Instruments Incorporated | Authentication of networked devices having low computational capacity |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6212634B1 (en) * | 1996-11-15 | 2001-04-03 | Open Market, Inc. | Certifying authorization in computer networks |
| US6675208B1 (en) | 1997-10-14 | 2004-01-06 | Lucent Technologies Inc. | Registration scheme for network |
| US6614781B1 (en) * | 1998-11-20 | 2003-09-02 | Level 3 Communications, Inc. | Voice over data telecommunications network architecture |
| DE60031878T2 (de) | 1999-10-05 | 2007-04-12 | Nortel Networks Ltd., St. Laurent | Schlüsselaustausch für eine netzwerkarchitektur |
| WO2001093061A1 (en) * | 2000-05-26 | 2001-12-06 | Vocaltec Ltd. | Communications protocol |
| US20020147820A1 (en) * | 2001-04-06 | 2002-10-10 | Docomo Communications Laboratories Usa, Inc. | Method for implementing IP security in mobile IP networks |
| US7243370B2 (en) | 2001-06-14 | 2007-07-10 | Microsoft Corporation | Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication |
| US6981263B1 (en) * | 2001-06-29 | 2005-12-27 | Bellsouth Intellectual Property Corp. | Methods and systems for converged service creation and execution environment applications |
| US7171554B2 (en) | 2001-08-13 | 2007-01-30 | Hewlett-Packard Company | Method, computer program product and system for providing a switch user functionality in an information technological network |
| US7466710B1 (en) * | 2001-08-24 | 2008-12-16 | Cisco Technology, Inc. | Managing packet voice networks using a virtual entity approach |
| US7873163B2 (en) | 2001-11-05 | 2011-01-18 | Qualcomm Incorporated | Method and apparatus for message integrity in a CDMA communication system |
| US7599352B2 (en) * | 2001-12-17 | 2009-10-06 | Nokia Siemens Networks Gmbh & Co. Kg | Method for providing PSTN/ISDN services in next generation networks |
| US7020256B2 (en) * | 2002-02-07 | 2006-03-28 | Telcordia Technologies, Inc. | Dynamic telephone numbering system |
| US7298847B2 (en) * | 2002-02-07 | 2007-11-20 | Nokia Inc. | Secure key distribution protocol in AAA for mobile IP |
| JP2004186814A (ja) * | 2002-11-29 | 2004-07-02 | Fujitsu Ltd | 共通鍵暗号化通信システム |
| US7349412B1 (en) * | 2002-12-20 | 2008-03-25 | Sprint Spectrum L.P. | Method and system for distribution of voice communication service via a wireless local area network |
| US7506370B2 (en) * | 2003-05-02 | 2009-03-17 | Alcatel-Lucent Usa Inc. | Mobile security architecture |
| US7990948B2 (en) * | 2003-08-15 | 2011-08-02 | Quintence Properties Kg, Llc | Serverless and switchless internet protocol telephony system and method |
| EP1821552B1 (en) * | 2004-11-30 | 2014-02-19 | ZTE Corporation | Method of controlling the roaming of terminal users in NGN network system |
-
2004
- 2004-02-16 CN CN2004100057400A patent/CN1658547B/zh not_active Expired - Lifetime
-
2005
- 2005-01-31 WO PCT/CN2005/000133 patent/WO2005112338A1/zh active Application Filing
- 2005-01-31 US US10/589,177 patent/US7813509B2/en active Active
- 2005-01-31 DE DE602005016080T patent/DE602005016080D1/de active Active
- 2005-01-31 AT AT05706573T patent/ATE440416T1/de not_active IP Right Cessation
- 2005-01-31 EP EP05706573A patent/EP1717986B1/en active Active
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101052056B (zh) * | 2006-04-07 | 2010-05-12 | 华为技术有限公司 | 软交换***及呼叫业务的鉴权处理方法 |
| CN101094063B (zh) * | 2006-07-19 | 2011-05-11 | 中兴通讯股份有限公司 | 一种游牧终端接入软交换网络***的安全交互方法 |
| CN1913432B (zh) * | 2006-07-27 | 2010-10-06 | 华为技术有限公司 | ***业务使用sip鉴权的方法和*** |
| US8561150B2 (en) | 2008-06-24 | 2013-10-15 | Zte Corporation | Method and system for supporting mobility security in the next generation network |
| WO2009155863A1 (zh) * | 2008-06-24 | 2009-12-30 | 中兴通讯股份有限公司 | 下一代网络中支持移动性安全的方法与*** |
| CN101321395B (zh) * | 2008-06-24 | 2012-01-11 | 中兴通讯股份有限公司 | 下一代网络中支持移动性安全的方法与*** |
| WO2011022963A1 (zh) * | 2009-08-31 | 2011-03-03 | 中兴通讯股份有限公司 | 数据传输安全保护方法、认证服务器及终端 |
| CN105556892A (zh) * | 2013-05-09 | 2016-05-04 | 韦恩加油***有限公司 | 用于安全通信的***和方法 |
| CN105556892B (zh) * | 2013-05-09 | 2021-07-06 | 韦恩加油***有限公司 | 用于安全通信的***和方法 |
| US11127001B2 (en) | 2013-05-09 | 2021-09-21 | Wayne Fueling Systems Llc | Systems and methods for secure communication |
| CN104954125A (zh) * | 2014-03-25 | 2015-09-30 | 华为技术有限公司 | 密钥协商方法、用户设备、路由器及位置服务器 |
| CN108900552A (zh) * | 2018-08-16 | 2018-11-27 | 北京海泰方圆科技股份有限公司 | 密钥分发方法和装置、密钥获取方法和装置 |
| CN111629003A (zh) * | 2020-05-28 | 2020-09-04 | 河南智云数据信息技术股份有限公司 | 面向物联网的密钥分发方法 |
| CN111629003B (zh) * | 2020-05-28 | 2022-03-22 | 河南智云数据信息技术股份有限公司 | 面向物联网的密钥分发方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2005112338A1 (fr) | 2005-11-24 |
| US7813509B2 (en) | 2010-10-12 |
| EP1717986A1 (en) | 2006-11-02 |
| ATE440416T1 (de) | 2009-09-15 |
| DE602005016080D1 (de) | 2009-10-01 |
| US20070280482A1 (en) | 2007-12-06 |
| CN1658547B (zh) | 2010-08-18 |
| EP1717986B1 (en) | 2009-08-19 |
| EP1717986A4 (en) | 2007-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1658547A (zh) | 密钥分发方法 | |
| CN107277061B (zh) | 基于iot设备的端云安全通信方法 | |
| CN1859093A (zh) | 在ip多媒体子***中认证用户终端的方法 | |
| EP2713546B1 (en) | Method and apparatuses for establishing a data transmission via sip | |
| CN1268088C (zh) | 基于pki的vpn密钥交换的实现方法 | |
| CN1859091A (zh) | 一种基于cpk的可信连接安全认证***和方法 | |
| CN1298194C (zh) | 基于漫游密钥交换认证协议的无线局域网安全接入方法 | |
| CN1870812A (zh) | Ip多媒体子***接入域安全机制的选择方法 | |
| CN101039311A (zh) | 一种身份标识网页业务网***及其鉴权方法 | |
| CN1929371A (zh) | 用户和***设备协商共享密钥的方法 | |
| CN1719795A (zh) | 无线局域网关联设备和方法以及相应产品 | |
| CN1961557A (zh) | 通信网络中的安全连接方法和*** | |
| CN101052033A (zh) | 基于ttp的认证与密钥协商方法及其装置 | |
| CN101056456A (zh) | 无线演进网络实现认证的方法及安全*** | |
| CN1602611A (zh) | 端到端加密数据电信的合法侦听 | |
| CN1751533A (zh) | 在移动无线电***中形成和分配加密密钥的方法和移动无线电*** | |
| CN1835436A (zh) | 一种通用鉴权框架及一种实现鉴权的方法 | |
| CN1977559A (zh) | 保护在用户之间进行通信期间交换的信息的方法和*** | |
| CN101043328A (zh) | 通用引导框架中密钥更新方法 | |
| CN1658551A (zh) | 安全能力协商方法 | |
| CN101052032A (zh) | 一种业务实体认证方法及装置 | |
| CN1708018A (zh) | 一种无线局域网移动终端接入的方法 | |
| CN101047505A (zh) | 一种网络应用push业务中建立安全连接的方法及*** | |
| CN1841998A (zh) | 一种终端用户安全接入软交换网络的方法 | |
| CN1642073A (zh) | 无线局域网中组密钥的协商及更新方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20100818 |