專(zhuān)利名稱(chēng):一種訪問(wèn)控制方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域���,尤其涉及一種訪問(wèn)控制方法和裝置。
背景技術(shù):
在IP多媒體子系統(tǒng)(IP Multimedia Subsystem, IMS)中�,為保護(hù)媒體流在端 到端之間的安全傳輸,通過(guò)在IMS系統(tǒng)中配置密鑰管理系統(tǒng)(KeyManagement System, KMS)����,所述KMS負(fù)責(zé)提供用戶鑒權(quán)、密鑰生成等功能����。以KMS保護(hù)所述IMS系統(tǒng)中用戶A 和用戶B的通信連接為例進(jìn)行說(shuō)明,其中所述用戶A和所述用戶B分別與所述KMS采用 GBA (Genericbootstrapping architecture)機(jī)制建立安全通道如圖 1 所示步驟1�、所述用戶A向所述KMS申請(qǐng)用于與所述用戶B通訊的第一媒體密鑰和加密 的票據(jù)����,所述加密的票據(jù)包括第二媒體密鑰和用戶B的信息�,其中所述第一媒體密鑰和所 述第二媒體密鑰相同;步驟2���、所述KMS生成所述媒體密鑰和加密的票據(jù)�����,并發(fā)送給所述用戶A ���;步驟3、所述用戶A通過(guò)IMS核心網(wǎng)向用戶B發(fā)送通信請(qǐng)求和所述加密的票據(jù)����;步驟4、所述用戶B將接收到的加密的票據(jù)發(fā)送給所述KMS��,請(qǐng)求得到所述加密的 票據(jù)中的第二媒體密鑰����;步驟5、所述KMS解密用戶B發(fā)來(lái)的票據(jù)���,驗(yàn)證所述用戶B和所述加密的票據(jù)中被 叫用戶信息是否一致����,如果一致����,發(fā)送所述加密的票據(jù)中的第二媒體密鑰給用戶B ;步驟6��、所述用戶B在接收到所述第二媒體密鑰后����,接受用戶A的通信請(qǐng)求。由此��,所述用戶A和用戶B進(jìn)行通信��。在實(shí)現(xiàn)上述過(guò)程中�,如果攻擊者截取所述用戶A的票據(jù),并對(duì)截取的票據(jù)進(jìn)行篡 改�,破壞票據(jù)的完整性,并發(fā)送大量篡改后的票據(jù)給所述用戶B���,所述用戶B會(huì)將所述大量 篡改后的票據(jù)發(fā)送給KMS�����,導(dǎo)致KMS無(wú)法及時(shí)響應(yīng)所述用戶B的服務(wù)請(qǐng)求����,遭受到拒絕服務(wù) 攻擊,造成網(wǎng)絡(luò)通信安全性低的問(wèn)題�����。
發(fā)明內(nèi)容
本發(fā)明提供一種訪問(wèn)控制方法和裝置�����,能夠減少不完整票據(jù)在網(wǎng)絡(luò)中的傳輸���。為了解決上述問(wèn)題���,本發(fā)明提供了如下技術(shù)方案一種訪問(wèn)控制方法,包括網(wǎng)絡(luò)信令節(jié)點(diǎn)接收第一用戶向第二用戶發(fā)送用于建立通信連接的MICKEY消息��;驗(yàn)證所述MICKEY消息是否完整�;若完整,則允許所述第一用戶訪問(wèn)所述第二用戶�。進(jìn)一步的�,所述方法還具有如下特點(diǎn)若不完整����,則拒絕所述第一用戶訪問(wèn)所述第二用戶。進(jìn)一步的�����,所述方法還具有如下特點(diǎn)所述MICKEY消息包括MICKEY消息完整性保護(hù)密鑰(MPK)和MICKEY消息授權(quán)碼(MAC)����;
所述網(wǎng)絡(luò)信令節(jié)點(diǎn)驗(yàn)證所述MICKEY消息具體包括如下步驟從所述MICKEY消息中獲取MPK �;采用所述MPK對(duì)所述MICKEY消息進(jìn)行完整性驗(yàn)證,得到所述MICKEY消息對(duì)應(yīng)的 MAC ���;將所述獲取的MAC與所述MICKEY消息攜帶的MAC進(jìn)行比較��;如果所述獲取的MAC與所述MICKEY消息攜帶的MAC相同�����,確定所述MICKEY消息 完整�����;否則����,確定所述MICKEY消息不完整。進(jìn)一步的��,所述方法還具有如下特點(diǎn)如果所述MICKEY消息中MPK是通過(guò)完整性保護(hù)密鑰信息加密后的MPK���,所述網(wǎng)絡(luò) 信令節(jié)點(diǎn)從所述MICKEY消息中提取MPK具體包括如下步驟所述網(wǎng)絡(luò)信令節(jié)點(diǎn)根據(jù)配置的記錄有所述MICKEY消息的密鑰標(biāo)識(shí)和完整性保護(hù) 密鑰信息的對(duì)應(yīng)關(guān)系信息��,獲取用于解密所述MPK的密鑰信息����;采用所述用于解密所述MPK的密鑰信息���,對(duì)MPK進(jìn)行解密����,得到解密后的MPK。進(jìn)一步的,所述方法還具有如下特點(diǎn)如果所述MICKEY消息是通過(guò)包括所述完整性保護(hù)密鑰信息在內(nèi)的至少兩個(gè)密鑰 信息進(jìn)行保護(hù)的�����,所述完整性保護(hù)密鑰信息是由所述至少兩個(gè)密鑰信息共用的一個(gè)主密鑰 TPK派生的或者由多個(gè)主密鑰中完整性保護(hù)主密鑰TPKa派生的�����;如果所述完整性保護(hù)密鑰信息是由所述TPK派生的�,所述MICKEY消息的密鑰標(biāo)識(shí) 和完整性保護(hù)密鑰信息的對(duì)應(yīng)關(guān)系信息為所述MICKEY消息的密鑰標(biāo)識(shí)和所述TPK的對(duì)應(yīng) 關(guān)系�;如果所述完整性保護(hù)密鑰信息是由所述獨(dú)立主密鑰派生的,所述MICKEY消息的 密鑰標(biāo)識(shí)和完整性保護(hù)密鑰信息的對(duì)應(yīng)關(guān)系信息為所述MICKEY消息的密鑰標(biāo)識(shí)和所述 TPKa的對(duì)應(yīng)關(guān)系��。進(jìn)一步的�����,所述方法還具有如下特點(diǎn)所述網(wǎng)絡(luò)信令節(jié)點(diǎn)為P-CSCF或者S-CSCF�。一種訪問(wèn)控制的裝置���,包括接收模塊�����,用于接收第一用戶向第二用戶發(fā)送的訪問(wèn)請(qǐng)求����,攜帶用于建立通信連 接的MICKEY消息;驗(yàn)證模塊�����,用于驗(yàn)證所述MICKEY消息是否完整����;控制模塊,用于在所述驗(yàn)證模塊驗(yàn)證所述MICKEY消息完整時(shí)�����,允許所述第一用戶 訪問(wèn)所述第二用戶�����;或者��,在所述驗(yàn)證模塊驗(yàn)證所述MICKEY消息不完整時(shí)����,拒絕所述第一 用戶訪問(wèn)所述第二用戶。進(jìn)一步的�,所述裝置還具有如下特點(diǎn)所述驗(yàn)證模塊包括獲取單元,用于從所述MICKEY消息中獲取MPK �����;第一獲取單元,用于采用所述MPK對(duì)所述MICKEY消息進(jìn)行完整性驗(yàn)證����,得到所述 MICKEY消息對(duì)應(yīng)的MAC ;比較單元�����,用于將所述獲取的MAC與所述MICKEY消息攜帶的MAC進(jìn)行比較�����;
確定單元�����,用于在所述獲取的MAC與所述MICKEY消息攜帶的MAC相同時(shí)�����,確定所 述MICKEY消息完整����;否則,確定所述MICKEY消息不完整���。進(jìn)一步的���,所述裝置還具有如下特點(diǎn)所述驗(yàn)證模塊還包括第二獲取單元,用于在所述MICKEY消息中MPK是通過(guò)完整性保護(hù)密鑰信息加密后 的MPK時(shí)�����,根據(jù)配置的記錄有所述MICKEY消息的密鑰標(biāo)識(shí)和完整性保護(hù)密鑰信息的對(duì)應(yīng)關(guān) 系信息����,獲取用于解密所述MPK的密鑰信息;解密單元�����,用于采用所述用于解密所述MPK的密鑰信息對(duì)MI3K進(jìn)行解密�,得到解密 后的MI3K。進(jìn)一步的����,所述裝置還具有如下特點(diǎn)如果所述MICKEY消息是通過(guò)包括所述完整性保護(hù)密鑰信息在內(nèi)的至少兩個(gè)密鑰 信息進(jìn)行保護(hù)的,所述完整性保護(hù)密鑰信息是由所述至少兩個(gè)密鑰信息共用的一個(gè)主密鑰 TPK派生的或者由多個(gè)主密鑰中完整性保護(hù)主密鑰TPKa派生的��;如果所述完整性保護(hù)密鑰信息是由所述TPK派生的,所述MICKEY消息的密鑰標(biāo)識(shí) 和完整性保護(hù)密鑰信息的對(duì)應(yīng)關(guān)系信息為所述MICKEY消息的密鑰標(biāo)識(shí)和所述TPK的對(duì)應(yīng) 關(guān)系�����;如果所述完整性保護(hù)密鑰信息是由所述獨(dú)立主密鑰派生的�����,所述MICKEY消息的 密鑰標(biāo)識(shí)和完整性保護(hù)密鑰信息的對(duì)應(yīng)關(guān)系信息為所述MICKEY消息的密鑰標(biāo)識(shí)和所述 TPKa的對(duì)應(yīng)關(guān)系���。本發(fā)明實(shí)施例提供的技術(shù)方案�����,網(wǎng)絡(luò)信令節(jié)點(diǎn)從第一用戶接收到訪問(wèn)請(qǐng)求���,驗(yàn)證 所述訪問(wèn)請(qǐng)求中的MICKEY消息是否完整,根據(jù)驗(yàn)證結(jié)果控制訪問(wèn)請(qǐng)求的發(fā)送����,有效地減少 網(wǎng)絡(luò)中不完整的票據(jù)的個(gè)數(shù),降低KMS的處理負(fù)荷�,從而降低KMS遭受拒絕服務(wù)攻擊的概 率�����,提高了網(wǎng)絡(luò)的安全性。
圖1為現(xiàn)有技術(shù)中通信連接的建立方法流程圖����;圖2為本發(fā)明實(shí)施例提供的IP多媒體子系統(tǒng)的結(jié)構(gòu)示意圖;圖3為本發(fā)明實(shí)施例提供的票據(jù)的結(jié)構(gòu)示意圖�����;圖4為實(shí)施例一提供的訪問(wèn)控制的方法流程圖�����;圖5為實(shí)施例二提供的訪問(wèn)控制的方法流程圖�����。
具體實(shí)施例方式下面結(jié)合附圖對(duì)本發(fā)明實(shí)施例提供的技術(shù)方案作以說(shuō)明����。如圖2所示,本發(fā)明實(shí)施例提供的IMS系統(tǒng)�,所述系統(tǒng)中用戶A向用戶B 請(qǐng)求建立通信連接,其中所述用戶A和所述用戶B之間的通信信息傳輸需經(jīng)過(guò)包 括 P-CSCF(Proxy-Call Session Control Function 代理呼叫會(huì)話控制功能)和 S-CSCF(Serving-Call Session Control Function服務(wù)呼叫會(huì)話控制功能)等網(wǎng)絡(luò)信令節(jié) 點(diǎn)�。KMS向所述用戶A發(fā)送媒體密鑰A和票據(jù)����,所述票據(jù)包括媒體密鑰B和所述用戶的信 息�,其中所述媒體密鑰A和媒體密鑰B相同,并在用戶B接收到所述票據(jù)后�,對(duì)所述票據(jù)進(jìn)行解析,得到媒體密鑰B�,發(fā)送給所述用戶B,使得所述用戶A和所述用戶B所持的媒體密鑰建立通信���。需要說(shuō)明的是����,上述票據(jù)通過(guò)是在RFC4568的SDP的密鑰協(xié)商協(xié)議中���,MIKEY傳輸 的�����,將攜帶所述票據(jù)的MIKEY稱(chēng)為MIKEY-TICKET����。首先對(duì)本發(fā)明實(shí)施例中票據(jù)的密鑰派生方法做以說(shuō)明。如圖3所示��,所述票據(jù)中使用密鑰加密的字段包括TPK ID(TicketProtection Key���,票據(jù)保護(hù)密鑰)、RAND隨機(jī)數(shù)��、密鑰數(shù)據(jù)傳輸載荷KEMAC(Key data transport payload�,密鑰傳輸負(fù)載)字段和(MAC MessageAuthentication Code,消息授權(quán)碼)字段����。所述TPK ID用于指示該票據(jù)對(duì)應(yīng)的主密鑰;所述RAND為所述KMS為該用戶分配的數(shù)值�;所述KEMAC字段中必選的信息為MPK(MIKEY Protection Key, MIKEY保護(hù)密鑰), 可選的信息是 TEK(Traffic Encryption Key)和 TGK(TEK Generation Key)中的一種�,其 中所述MPK用于保護(hù)MIKEY-TICKET完整性的密鑰;MAC字段是通過(guò)所述KEMAC字段中MPK���、用于完整性保護(hù)的密鑰信息和RAND�,對(duì) MIKEY-TICKET進(jìn)行完整性保護(hù)后計(jì)算得到的數(shù)值����。本發(fā)明實(shí)施例中,生成MIKEY-TICKET的過(guò)程如下每個(gè)TPK ID對(duì)應(yīng)兩個(gè)密鑰信息����,分別為票據(jù)數(shù)據(jù)加密密鑰信息和票據(jù)完整性加密 S朗fn息����。其中上述兩個(gè)密鑰信息可以是通過(guò)同一個(gè)主密鑰派生出來(lái)的��,也可以是由相互獨(dú) 立的兩個(gè)主密鑰分別派生出來(lái)的����。當(dāng)上述兩個(gè)密鑰信息由兩個(gè)相互獨(dú)立的兩個(gè)主密鑰分別 派生出來(lái)時(shí),能夠保證在網(wǎng)絡(luò)信令節(jié)點(diǎn)獲知票據(jù)完整性加密密鑰信息��,無(wú)法獲取票據(jù)數(shù)據(jù) 加密密鑰信息�,從而保證用戶的通信信息被竊聽(tīng),保證用戶通信的安全�����。下面分別對(duì)上述兩種情況進(jìn)行介紹實(shí)施例一本實(shí)施例采用一個(gè)主密鑰產(chǎn)生票據(jù)數(shù)據(jù)加密密鑰信息和票據(jù)完整性加密密鑰信 息����。為便于描述,將該實(shí)施例中的主密鑰成為T(mén)PK���,由該上述IPK生成的兩個(gè)密鑰信息稱(chēng)為 Ke 禾口 Ka0其中MIKEY-TICKET的生成過(guò)程如下根據(jù)MPK����、Ka以及RAND對(duì)整個(gè)MIKEY-TICKET進(jìn)行完整性檢查得到MAC ;采用Ka對(duì)所述MPK進(jìn)行加密���;采用Ke對(duì)所述KEMAC字段中除MPK之外的其他信息進(jìn)行加密。發(fā)起方將所述MIKEY-TICKET發(fā)送出去�,當(dāng)網(wǎng)絡(luò)中的網(wǎng)絡(luò)信令節(jié)點(diǎn)接收到所述 MIKEY-TICKET后,其處理流程如下����,如圖4所示步驟401、根據(jù)配置的MIKEY-TICKET密鑰標(biāo)識(shí)和TPK的對(duì)應(yīng)關(guān)系���,獲取所述 MIKEY-TICKET對(duì)應(yīng)的主密鑰�����。其中所述MIKEY-TICKET 密鑰標(biāo)識(shí)為 MIKEY-TICKET 的 TPK ID�����。所述MIKEY-TICKET密鑰標(biāo)識(shí)和IPK的對(duì)應(yīng)關(guān)系是所述KMS預(yù)先發(fā)送給該網(wǎng)絡(luò)信 令節(jié)點(diǎn)的��,其中所述KMS和該網(wǎng)絡(luò)信令節(jié)點(diǎn)的通信可采用網(wǎng)絡(luò)安全域的機(jī)制進(jìn)行通信���。步驟402����、根據(jù)所述主密鑰得到Ka�。
其中現(xiàn)有技術(shù)中獲取Ka的方法均適用于此步驟。步驟403���、采用所述Ka對(duì)所述MIKEY-TICKET中的MPK進(jìn)行解密����,得到解密后的 MPK�����。步驟404�����、根據(jù)所述Ka和所述解密后的MPK�����,對(duì)所述MIKEY-TICKET進(jìn)行完整性檢 查,計(jì)算得到MAC����。步驟405、將所述計(jì)算得到的MAC與所述MIKEY-TICKET自身攜帶的MAC進(jìn)行比較���, 如果相同����,表示所述MIKEY-TICKET沒(méi)有被篡改�����,是完整的����,執(zhí)行步驟405�,否則,表示所述 MIKEY-TICKET被篡改���,不完整的�,執(zhí)行步驟407����。步驟406����、轉(zhuǎn)發(fā)所述 MIKEY-TICKET�����。步驟407����、丟棄所述 MIKEY-TICKET。其中步驟407中還可以采用其他處理方式���,如通知發(fā)起方呼叫被拒絕��,或者提示 發(fā)起方申請(qǐng)新的票據(jù)����。需要說(shuō)明的是���,網(wǎng)絡(luò)中的監(jiān)聽(tīng)設(shè)備對(duì)通信雙方實(shí)現(xiàn)監(jiān)聽(tīng)的過(guò)程如下步驟1�、從所述網(wǎng)絡(luò)信令節(jié)點(diǎn)獲取通過(guò)完整性驗(yàn)證的MIKEY-TICKET����,將得到的 MIKEY-TICKET 發(fā)送給 KMS ��;步驟2���、所述KMS解析所述MIKEY-TICKET得到通信雙方用于通信的媒體密鑰;步驟3�、所述KMS將所述媒體密鑰發(fā)送給所述監(jiān)聽(tīng)設(shè)備。步驟4��、所述監(jiān)聽(tīng)設(shè)備使用所述媒體密鑰對(duì)所述通信雙方進(jìn)行監(jiān)聽(tīng)�。實(shí)施例二本實(shí)施例采用兩個(gè)主密鑰分別產(chǎn)生票據(jù)數(shù)據(jù)加密密鑰信息和票據(jù)完整性加密密 鑰信息,其中所述兩個(gè)主密鑰相互獨(dú)立�。為便于描述,該上述兩個(gè)密鑰信息稱(chēng)為T(mén)PKe和 TPKa0其中MIKEY-TICKET的生成過(guò)程如下根據(jù)MPK�、Ka以及RAND對(duì)整個(gè)MIKEY-TICKET進(jìn)行完整性檢查得到MAC ����;采用TKa對(duì)所述MPK進(jìn)行加密;
采用TKe對(duì)所述KEMAC字段中除MPK之外的其他信息進(jìn)行加密����。發(fā)起方將所述MIKEY-TICKET發(fā)送出去,當(dāng)網(wǎng)絡(luò)中的網(wǎng)絡(luò)信令節(jié)點(diǎn)接收到所述 MIKEY-TICKET后���,其處理流程如下���,如圖5所示步驟501����、根據(jù)配置的MIKEY-TICKET密鑰標(biāo)識(shí)和TPKa的對(duì)應(yīng)關(guān)系����,從所述 MIKEY-TICKET中得到解密后的MPK ;步驟502����、根據(jù)所述解密后的MPK、TPKa對(duì)所述MIKEY-TICKET進(jìn)行完整性檢查�����,計(jì) 算得到MAC�����。步驟503���、將所述計(jì)算得到的MAC與所述MIKEY-TICKET中MAC進(jìn)行比較�,如 果相同,表示所述MIKEY-TICKET沒(méi)有被篡改�,是完整的,執(zhí)行步驟504��,否則���,表示所述 MIKEY-TICKET被篡改��,不完整的����,執(zhí)行步驟505�。步驟504、轉(zhuǎn)發(fā)所述 MIKEY-TICKET ο步驟505�、丟棄所述 MIKEY-TICKET ο其中步驟505還有其他可選方式,如通知發(fā)起方呼叫被拒絕���,或者提示發(fā)起方申 請(qǐng)新的票據(jù)。
本實(shí)施例中�,數(shù)據(jù)加密和完整性保護(hù)是采用不同的主密鑰,在非法用戶竊取到 MIKEY-TICKET密鑰標(biāo)識(shí)和TPKa的對(duì)應(yīng)關(guān)系時(shí)���,也無(wú)法根據(jù)TPKa����,得到數(shù)據(jù)加密的主密鑰 TPKe,從而無(wú)法非法對(duì)通信信息進(jìn)行監(jiān)聽(tīng)。本實(shí)施例中監(jiān)聽(tīng)設(shè)備實(shí)現(xiàn)監(jiān)聽(tīng)的方法與實(shí)施例一中的方法相同�,此處不再贅述。本發(fā)明實(shí)施例提供一種訪問(wèn)控制的裝置���,包括接收模塊��,用于接收第一用戶向第二用戶發(fā)送的訪問(wèn)請(qǐng)求��,攜帶用于建立通信連 接的MICKEY消息�;驗(yàn)證模塊��,用于驗(yàn)證所述MICKEY消息是否完整�����;控制模塊����,用于在所述驗(yàn)證模塊驗(yàn)證所述MICKEY消息完整時(shí),允許所述第一用戶 訪問(wèn)所述第二用戶�����;或者,在所述驗(yàn)證模塊驗(yàn)證所述MICKEY消息不完整時(shí)���,拒絕所述第一 用戶訪問(wèn)所述第二用戶���。進(jìn)一步的,所述驗(yàn)證模塊可以進(jìn)一步包括獲取單元�����,用于從所述MICKEY消息中獲取MPK ���;第一獲取單元���,用于采用所述MPK對(duì)所述MICKEY消息進(jìn)行完整性驗(yàn)證,得到所述 MICKEY消息對(duì)應(yīng)的MAC �;比較單元,用于將所述獲取的MAC與所述MICKEY消息攜帶的MAC進(jìn)行比較�;確定單元,用于在所述獲取的MAC與所述MICKEY消息攜帶的MAC相同時(shí)��,確定所 述MICKEY消息完整��;否則��,確定所述MICKEY消息不完整�����。進(jìn)一步的�,所述驗(yàn)證模塊還可以進(jìn)一步包括第二獲取單元,用于在所述MICKEY消息中MH(是通過(guò)完整性保護(hù)密鑰信息加密后 的MPK時(shí)�,根據(jù)配置的記錄有所述MICKEY消息的密鑰標(biāo)識(shí)和完整性保護(hù)密鑰信息的對(duì)應(yīng)關(guān) 系信息,獲取用于解密所述MPK的密鑰信息��;解密單元��,用于采用所述用于解密所述MPK的密鑰信息對(duì)MI3K進(jìn)行解密���,得到解密 后的MI3K����。進(jìn)一步的�,如果所述MICKEY消息是通過(guò)包括所述完整性保護(hù)密鑰信息在內(nèi)的至 少兩個(gè)密鑰信息進(jìn)行保護(hù)的,所述完整性保護(hù)密鑰信息是由所述至少兩個(gè)密鑰信息共用的 一個(gè)主密鑰IPK派生的或者由多個(gè)主密鑰中完整性保護(hù)主密鑰TPKa派生的����;如果所述完整性保護(hù)密鑰信息是由所述IPK派生的,所述MICKEY消息的密鑰標(biāo)識(shí) 和完整性保護(hù)密鑰信息的對(duì)應(yīng)關(guān)系信息為所述MICKEY消息的密鑰標(biāo)識(shí)和所述TPK的對(duì)應(yīng) 關(guān)系;如果所述完整性保護(hù)密鑰信息是由所述獨(dú)立主密鑰派生的���,所述MICKEY消息的 密鑰標(biāo)識(shí)和完整性保護(hù)密鑰信息的對(duì)應(yīng)關(guān)系信息為所述MICKEY消息的密鑰標(biāo)識(shí)和所述 TPKa的對(duì)應(yīng)關(guān)系�����。本發(fā)明實(shí)施例提供的技術(shù)方案�����,網(wǎng)絡(luò)信令節(jié)點(diǎn)從第一用戶接收到訪問(wèn)請(qǐng)求�����,驗(yàn)證 所述訪問(wèn)請(qǐng)求中的MICKEY消息是否完整�,根據(jù)驗(yàn)證結(jié)果控制訪問(wèn)請(qǐng)求的發(fā)送����,有效地減少 網(wǎng)絡(luò)中不完整的票據(jù)的個(gè)數(shù),降低KMS的處理負(fù)荷��,從而降低KMS遭受拒絕服務(wù)攻擊的概 率�,提高了網(wǎng)絡(luò)的安全性。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法攜帶的全部或部分步驟是可 以通過(guò)程序來(lái)指令相關(guān)的硬件完成���,所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中�,該程序在執(zhí)行時(shí),包括方法實(shí)施例的步驟之一或其組合�。另外�����,在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以采用硬件的形式實(shí)現(xiàn)�,也可以采 用軟件功能模塊的形式實(shí)現(xiàn)。所述集成的模塊如果以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立 的產(chǎn)品銷(xiāo)售或使用時(shí)��,也可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中�。上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器,磁盤(pán)或光盤(pán)等�。以上所述,僅為本發(fā)明的具體實(shí)施方式
���,但本發(fā)明的保護(hù)范圍并不局限于此��,任何 熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)�,可輕易想到變化或替換����,都應(yīng)涵 蓋在本發(fā)明的保護(hù)范圍之內(nèi)����。因此�,本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求所述的保護(hù)范圍為準(zhǔn)。
權(quán)利要求
1.一種訪問(wèn)控制方法�����,其特征在于�,包括網(wǎng)絡(luò)信令節(jié)點(diǎn)接收第一用戶向第二用戶發(fā)送用于建立通信連接的MICKEY消息; 驗(yàn)證所述MICKEY消息是否完整����; 若完整,則允許所述第一用戶訪問(wèn)所述第二用戶���。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于,若不完整�,則拒絕所述第一用戶訪問(wèn)所述第二用戶。
3.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,所述MICKEY消息包括MICKEY消息完整性 保護(hù)密鑰(MPK)和MICKEY消息授權(quán)碼(MAC)�����;所述網(wǎng)絡(luò)信令節(jié)點(diǎn)驗(yàn)證所述MICKEY消息具體包括如下步驟 從所述MICKEY消息中獲取MPK ����;采用所述MPK對(duì)所述MICKEY消息進(jìn)行完整性驗(yàn)證����,得到所述MICKEY消息對(duì)應(yīng)的MAC ����; 將所述獲取的MAC與所述MICKEY消息攜帶的MAC進(jìn)行比較;如果所述獲取的MAC與所述MICKEY消息攜帶的MAC相同����,確定所述MICKEY消息完整; 否則���,確定所述MICKEY消息不完整���。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于�,如果所述MICKEY消息中MPK是通過(guò)完整性保護(hù)密鑰信息加密后的MPK�,所述網(wǎng)絡(luò)信令 節(jié)點(diǎn)從所述MICKEY消息中提取MPK具體包括如下步驟所述網(wǎng)絡(luò)信令節(jié)點(diǎn)根據(jù)配置的記錄有所述MICKEY消息的密鑰標(biāo)識(shí)和完整性保護(hù)密鑰 信息的對(duì)應(yīng)關(guān)系信息���,獲取用于解密所述MPK的密鑰信息�����;采用所述用于解密所述MPK的密鑰信息����,對(duì)MPK進(jìn)行解密����,得到解密后的MPK。
5.根據(jù)權(quán)利要求4所述的方法����,其特征在于,如果所述MICKEY消息是通過(guò)包括所述完整性保護(hù)密鑰信息在內(nèi)的至少兩個(gè)密鑰信息 進(jìn)行保護(hù)的���,所述完整性保護(hù)密鑰信息是由所述至少兩個(gè)密鑰信息共用的一個(gè)主密鑰TPK 派生的或者由多個(gè)主密鑰中完整性保護(hù)主密鑰TPKa派生的����;如果所述完整性保護(hù)密鑰信息是由所述IPK派生的��,所述MICKEY消息的密鑰標(biāo)識(shí)和 完整性保護(hù)密鑰信息的對(duì)應(yīng)關(guān)系信息為所述MICKEY消息的密鑰標(biāo)識(shí)和所述IPK的對(duì)應(yīng)關(guān) 系;如果所述完整性保護(hù)密鑰信息是由所述獨(dú)立主密鑰派生的�����,所述MICKEY消息的密鑰 標(biāo)識(shí)和完整性保護(hù)密鑰信息的對(duì)應(yīng)關(guān)系信息為所述MICKEY消息的密鑰標(biāo)識(shí)和所述TPKa的 對(duì)應(yīng)關(guān)系�����。
6.根據(jù)權(quán)利要根據(jù)權(quán)利要求1至5任一所述的方法���,其特征在于,所述網(wǎng)絡(luò)信令節(jié)點(diǎn)為 P-CSCF 或者 S-CSCF�。
7.一種訪問(wèn)控制的裝置,其特征在于���,包括接收模塊��,用于接收第一用戶向第二用戶發(fā)送的訪問(wèn)請(qǐng)求�����,攜帶用于建立通信連接的 MICKEY 消息�����;驗(yàn)證模塊����,用于驗(yàn)證所述MICKEY消息是否完整;控制模塊���,用于在所述驗(yàn)證模塊驗(yàn)證所述MICKEY消息完整時(shí)����,允許所述第一用戶訪問(wèn) 所述第二用戶��;或者���,在所述驗(yàn)證模塊驗(yàn)證所述MICKEY消息不完整時(shí)���,拒絕所述第一用戶 訪問(wèn)所述第二用戶。
8.根據(jù)權(quán)利要求7所述的裝置����,其特征在于,所述驗(yàn)證模塊包括 獲取單元��,用于從所述MICKEY消息中獲取MPK ;第一獲取單元����,用于采用所述MH(對(duì)所述MICKEY消息進(jìn)行完整性驗(yàn)證,得到所述 MICKEY消息對(duì)應(yīng)的MAC ����;比較單元,用于將所述獲取的MAC與所述MICKEY消息攜帶的MAC進(jìn)行比較�����; 確定單元���,用于在所述獲取的MAC與所述MICKEY消息攜帶的MAC相同時(shí)���,確定所述 MICKEY消息完整��;否則�,確定所述MICKEY消息不完整。
9.根據(jù)權(quán)利要求8所述的裝置�����,其特征在于,所述驗(yàn)證模塊還包括第二獲取單元����,用于在所述MICKEY消息中MPK是通過(guò)完整性保護(hù)密鑰信息加密后的 MPK時(shí),根據(jù)配置的記錄有所述MICKEY消息的密鑰標(biāo)識(shí)和完整性保護(hù)密鑰信息的對(duì)應(yīng)關(guān)系 信息���,獲取用于解密所述MPK的密鑰信息���;解密單元,用于采用所述用于解密所述MH(的密鑰信息對(duì)MH(進(jìn)行解密��,得到解密后的MPK��。
10.根據(jù)權(quán)利要求9所述的裝置����,其特征在于,如果所述MICKEY消息是通過(guò)包括所述完整性保護(hù)密鑰信息在內(nèi)的至少兩個(gè)密鑰信息 進(jìn)行保護(hù)的����,所述完整性保護(hù)密鑰信息是由所述至少兩個(gè)密鑰信息共用的一個(gè)主密鑰TPK 派生的或者由多個(gè)主密鑰中完整性保護(hù)主密鑰TPKa派生的;如果所述完整性保護(hù)密鑰信息是由所述IPK派生的��,所述MICKEY消息的密鑰標(biāo)識(shí)和 完整性保護(hù)密鑰信息的對(duì)應(yīng)關(guān)系信息為所述MICKEY消息的密鑰標(biāo)識(shí)和所述TPK的對(duì)應(yīng)關(guān) 系���;如果所述完整性保護(hù)密鑰信息是由所述獨(dú)立主密鑰派生的��,所述MICKEY消息的密鑰 標(biāo)識(shí)和完整性保護(hù)密鑰信息的對(duì)應(yīng)關(guān)系信息為所述MICKEY消息的密鑰標(biāo)識(shí)和所述TPKa的 對(duì)應(yīng)關(guān)系�����。
全文摘要
本發(fā)明提供一種訪問(wèn)控制方法和裝置����,涉及通信領(lǐng)域;能夠減少不完整票據(jù)在網(wǎng)絡(luò)中的傳輸���。所述訪問(wèn)控制方法�����,包括網(wǎng)絡(luò)信令節(jié)點(diǎn)接收第一用戶向第二用戶發(fā)送用于建立通信連接的MICKEY消息���;驗(yàn)證所述MICKEY消息是否完整;若完整�����,則允許所述第一用戶訪問(wèn)所述第二用戶����。
文檔編號(hào)H04L29/06GK102055721SQ20091017609
公開(kāi)日2011年5月11日 申請(qǐng)日期2009年11月2日 優(yōu)先權(quán)日2009年11月2日
發(fā)明者朱允文, 田甜, 韋銀星, 高峰 申請(qǐng)人:中興通訊股份有限公司