CN1275419C - 一种网络安全认证方法 - Google Patents
一种网络安全认证方法 Download PDFInfo
- Publication number
- CN1275419C CN1275419C CN02144191.XA CN02144191A CN1275419C CN 1275419 C CN1275419 C CN 1275419C CN 02144191 A CN02144191 A CN 02144191A CN 1275419 C CN1275419 C CN 1275419C
- Authority
- CN
- China
- Prior art keywords
- mgc
- result
- certification
- authentication
- safety certification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Abstract
本发明公开了一种网络安全认证方法,该发明首先由媒体网关控制器MGC为媒体网关MG配置鉴权密钥,并且设置网络协议安全数据包;这样在进行安全认证时,MGC利用安全数据包向MG下发安全认证请求数据,MG利用鉴权密钥对请求数据进行加密计算,并将计算结果反馈给MGC,MGC根据认证结果确定被认证的MG是否合法;采用上述方案能够防止非法和伪造设备的网络接入;另外,由于对MG的认证在MGC的控制下进行,具有认证的随机性,因此具有较高的安全认证效率。
Description
技术领域
本发明涉及一种网络的安全认证方法。
背景技术
在下一代网络(NGN)中,存在很多基于媒体网关控制协议(MGCP)和H248协议(另一种媒体网关控制协议)的媒体网关(MG),这些设备分布在企业或用户家中,具有面广、量大、基于动态IP的特点。但在目前的NGN网络中,由于MGCP协议的应用层无安全认证机制,所以使用MGCP协议的MG安全性较差;在H248协议中,尽管在应用层中有安全认证机制,即在每个H248协议事务请求消息中可以加入安全头,在其事务响应消息中返回安全认证结果,但是该安全认证机制要在MGC和MG中要交互大量H248消息,大约要增加40%的H248消息编解码处理时间,这使得现有的H248协议提供的安全认证方案大大降低了网络系统的效率,实际应用的可行性较差。因此,目前NGN网络存在的仿冒MG,对MGC进行攻击等系统安全问题还没有得到妥善的解决。
发明内容
本发明的目的在于提供一种能够对NGN网络进行有效的安全认证的方法。
为达到上述目的,本发明提供的网络安全认证方法,包括:
步骤1:媒体网关控制器(MGC)为媒体网关(MG)配置鉴权密钥,并且设置包括安全性认证信号的网络协议安全数据包;
步骤2:在进行安全认证时,MGC利用数据包(Package)向MG下发所述安全认证信号,MG接收到所述安全认证信号后,利用鉴权密钥对所述安全认证信号的安全认证参数进行加密计算,并将计算结果反馈给MGC;
步骤3:MGC根据认证结果确定被认证的MG是否合法。
所述网络协议为媒体网关控制协议(MGCP)或H248协议。
所述数据包还包括安全认证结果事件,安全认证结果事件中包括安全结果认证参数。
所述步骤2进一步包括:MG对安全认证参数进行加密计算后,将加密计算的结果通过数据包中的安全认证完成事件的安全结果认证参数上报给MGC。
由于本发明采用媒体网络控制器(MGC)为媒体网关(MG)配置鉴权密钥,并且设置网络协议安全数据包用于MG的安全认证,因此能够防止非法和伪造设备的网络接入;另外,由于对MG的认证在MGC的控制下进行,或者说在MGC认为需要安全认证的时候进行安全认证,这样的认证方式具有随机性,具有较高的安全认证效率。
具体实施方式
下面对本发明作进一步详细的描述。
本发明所述的方法是实现MG的安全管理,其实质是,为每一个MG配置一个鉴权密钥,当MGC发起鉴权请求时,MGC将向MG发一个随机数,MG根据MGC发来的随机数和MG配置的鉴权密钥(当然还可以包括其他信息),实施加密计算,返回加密结果给MGC。MGC实施相同的计算,判断是否与MG发送的加密结果相同。如果不相同则认为MG为非法。
本发明可以基于H248协议或MGCP协议实现,为此需要增加MGCP协议或H248协议安全数据包,所述安全性数据包是安全性认证信号和事件的集合,本发明采用的H248协议或MGCP协议的安全性认证包中包括一个安全性认证请求信号和安全性认证完成事件。安全认证请求信号中包括一个安全性认证参数;安全性完成事件中包括一个安全性认证结果参数。当MGC要对MG进行安全性认证时,MGC下发安全性认证请求信号给MG,同时检测MG的安全性认证完成事件。当MG收到MGC下发的安全性认证信号,根据配置在MG上的鉴权密钥和收到的MGC安全性认证请求信号中的参数进行加密计算。当完成加密计算,MG向MGC上报安全性认证完成事件,在安全性认证完成事件的参数中上报安全加密计算结果。MGC收到MG上报的安全性认证完成事件后,比较MG上报的安全性认证完成事件参数中的加密计算结果是否与MGC本身计算的加密结果相同。如果不相同则认为是非法的MG。
下面举例说明上述过程。
采用MGCP协议实现本发明的MGCP协议安全数据包具体内容为:
数据包名称:Auth;数据包版本:1;
包中包含的事件:
1:安全认证结果事件
事件名称:authoc;
检测事件参数编码:32*64(十六进制数);
说明:检测事件参数用于返回认证结果;
包中包含的信号:
1:安全认证请求信号
信号名编码:authreq;
信号参数编码:32*64(十六进制数32到64位);
上述安全认证请求信号参数即为MGC向MG发出的一个随机数。本例中,随机数为大于16位的字符串小于32位的字符串。每一位字符串ABNF(扩展的巴科斯范式)编码为2个十六进制数。
基于上述数据包的认证过程及采用的伪代码为:
步骤11:MGC向MG发起认证请求:MGC下发请求通知命令(RQNT)给MG,分配事务标识(100)和请求标识(123),要求MG检测安全认证完成事件(auth/authoc),同时下发安全认证请求信号(auth/authreq),MGC生成一个16字节的随机数(0x78 0x90 0xab 0xcd 0xef 0x56 0x78 0x900x00 0x22 0x00 0x22 0x00 0x22 0x00 0x32)作为安全认证请求信号的安全认证参数。
步骤12:MG收到MGC下发的请求通知命令(RQNT)后回送此命令的正确响应,响应码为正确响应(200),事务标识(100)与MGC下发的请求通知(RQNT)命令的事务标识一致。证明MG已正确收到MGC下发的请求通知命令(RQNT)。
步骤13:MG收到MGC下发的请求通知命令(RQNT)后发现有安全认证请求信号,开始进行安全认证计算,MG取出安全认证请求信号中的参数和配置在MG上的鉴权密钥(该鉴权密钥假设为:0x12 0x24 0x56 0x78 0x560x32 0x78 0x23 0x24 0x25 0x76 0x32 0x32 0x45 0x45 0x32)进行加密计算。经加密计算,加密计算结果为(0x12 0x34 0xab 0xcd 0xef 0xab 0xef 0x900x00 0x22 0x00 0x22 0x67 0x89 0x77 0x88),MG产生安全认证完成事件,MG查看是否MGC要求上报加密完成事件,MG发现MGC要求上报该事件,MG上报通知命令(NTFY)给MGC,检测到事件为安全认证完成事件(auth/authoc),事件参数为加密结果。请求标识(123)与MGC下发的请求通知命令(RQNT)的请求标识一致,同时分配事务标识(200)。
步骤14:MGC收到MG上报的通知事件后,回送通知命令的正确响应,响应码为正确响应(200),事务标识(200)与MG上报的通知命令(NTFY)的事务标识一致。证明MGC已正确收到MG上报的通知命令(NTFY)。
步骤15:当MGC收到MG上报的加密结果,与自己计算的加密结果比较,如果MG上报的加密结果与MGC自己计算的加密结果一致。则认为该MG为合法的MG,如果不一致或者MG在规定的时间内没有上报自己的加密结果,则认为该MG为非法的MG。
采用H248协议实现本发明的H248协议安全数据包为:
数据包名称:auth;数据包版本:1;
数据包中的事件:
1:安全认证结果事件
事件名称:authoc(0x0001);
检测事件参数名:认证结果;
参数名称:Res;
参数值ABNF编码:32*64(32到64位的16进制数);
参数值ASN.1(抽象符号表示法)编码:OCTET STRING(SIZE(16..32));(16到32位的8位位组);
数据包中包含的信号:
1:安全认证请求信号
信号名标识:authreq
信号参数名:请求参数
参数名称:parm
参数值ABNF编码:32*64(HEXDIG)
参数值ASN.1编码:OCTET STRING(SIZE(16..32))
基于上述数据包的认证过程及采用的伪代码为
步骤21:MGC向MG发起认证请求:MGC下发请求修改命令(modify)给MG,分配事务标识(100)和请求标识(2223),要求MG检测安全认证完成事件(auth/authoc),同时下发安全认证请求信号(auth/authreq),MGC生成一个16字节的随机数(0x78 0x90 0xab 0xcd 0xef 0x56 0x78 0x900x00 0x22 0x00 0x22 0x00 0x22 0x00 0x32)作为安全认证请求信号的安全认证参数。
步骤22:MG收到MGC下发的修改命令(modify)后回送此命令的正确响应,事务标识(10001)与MGC下发的修改命令(modify)的事务标识一致。证明MG已正确收到MGC下发的修改命令(modify)。
步骤23:MG收到MGC下发的修改命令(modify)后发现有安全认证请求信号,开始进行安全认证计算,MG取出安全认证请求信号中的参数和配置在MG上的鉴权密钥(假设该鉴权密钥为:0x12 0x24 0x56 0x78 0x56 0x320x78 0x23 0x24 0x25 0x76 0x32 0x32 0x45 0x45 0x32)进行加密计算。经加密计算,加密计算结果为(0x12 0x34 0xab 0xcd 0xef 0xab 0xef 0x90 0x000x22 0x00 0x22 0x67 0x89 0x77 0x88),MG产生安全认证完成事件,MG查看是否MGC要求上报加密完成事件,MG发现MGC要求上报该事件,MG上报通知命令(NTFY)给MGC,检测到事件为安全认证完成事件(auth/authoc),事件参数为加密结果。请求标识(2223)与MGC下发的修改命令(modify)的请求标识一致,同时分配事务标识(10002)。
步骤24:MGC收到MG上报的通知事件后,回送通知命令的正确响应,事务标识(10002)与MG上报的通知命令(NTFY)的事务标识一致。证明MGC已正确收到MG上报的通知命令(NTFY)。
步骤25:当MGC收到MG上报的加密结果,与自己计算的加密结果比较,如果MG上报的加密结果与MGC自己计算的加密结果一致。则认为该MG为合法的MG,如果不一致或者MG在规定的时间内没有上报自己的加密结果,则认为该MG为非法的MG。
Claims (5)
1、一种网络安全认证方法,包括下述步骤:
步骤1:媒体网关控制器MGC为媒体网关MG配置鉴权密钥,并且设置包括安全性认证信号的网络协议安全数据包;
步骤2:在进行安全认证时,MGC利用数据包Package向MG下发所述安全认证信号,MG接收到所述安全认证信号后,利用鉴权密钥对所述安全认证信号的安全认证参数进行加密计算,并将计算结果反馈给MGC;
步骤3:MGC根据认证结果确定被认证的MG是否合法。
2、根据权利要求土所述的网络安全认证方法,其特征在于:所述网络协议为媒体网关控制协议MGCP。
3、根据权利要求1所述的网络安全认证方法,其特征在于:所述网络协议为H248协议。
4、根据权利要求1、2或3所述的网络安全认证方法,其特征在于,所述数据包还包括安全认证结果事件,所述安全认证结果事件中包括安全结果认证参数。
5、根据权利要求4所述的网络安全认证方法,其特征在于,所述步骤2进一步包括:MG对所述安全认证参数进行加密计算后,将加密计算的结果通过所述网络协议安全数据包中的安全认证完成事件的安全结果认证参数上报给MGC。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN02144191.XA CN1275419C (zh) | 2002-10-18 | 2002-10-18 | 一种网络安全认证方法 |
| PCT/CN2003/000801 WO2004036828A1 (fr) | 2002-10-18 | 2003-09-22 | Procede d'authentification de securite de reseau |
| AU2003271027A AU2003271027B2 (en) | 2002-10-18 | 2003-09-22 | A network security authentication method |
| US10/531,569 US8195942B2 (en) | 2002-10-18 | 2003-09-22 | Network security authentication method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN02144191.XA CN1275419C (zh) | 2002-10-18 | 2002-10-18 | 一种网络安全认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1490973A CN1490973A (zh) | 2004-04-21 |
| CN1275419C true CN1275419C (zh) | 2006-09-13 |
Family
ID=32098077
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN02144191.XA Expired - Fee Related CN1275419C (zh) | 2002-10-18 | 2002-10-18 | 一种网络安全认证方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8195942B2 (zh) |
| CN (1) | CN1275419C (zh) |
| AU (1) | AU2003271027B2 (zh) |
| WO (1) | WO2004036828A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1275419C (zh) * | 2002-10-18 | 2006-09-13 | 华为技术有限公司 | 一种网络安全认证方法 |
| CN101180856B (zh) | 2005-04-25 | 2013-03-06 | Lg电子株式会社 | 询问射频标识标签数据的方法 |
| CN100542354C (zh) * | 2006-11-10 | 2009-09-16 | 华为技术有限公司 | 终端配置方法和终端配置系统 |
| WO2008003256A1 (fr) | 2006-06-26 | 2008-01-10 | Huawei Technologies Co., Ltd. | Procédé, système et dispositif pour ordonner à la passerelle média d'établir des connexions entre des terminaux |
| CN100488305C (zh) | 2006-09-23 | 2009-05-13 | 西安西电捷通无线网络通信有限公司 | 一种网络接入鉴别与授权方法以及授权密钥更新方法 |
| CN101246538A (zh) * | 2007-02-14 | 2008-08-20 | 日电(中国)有限公司 | 射频识别系统和方法 |
| CN101345646A (zh) * | 2007-07-11 | 2009-01-14 | 华为技术有限公司 | 评估网络侧安全状态的方法和安全认证系统 |
| CN101217364B (zh) * | 2007-12-28 | 2012-03-21 | 中国科学院计算技术研究所 | 媒体接入控制系统中安全上下文的组织结构和维护方法 |
| CN101471747B (zh) * | 2007-12-29 | 2013-01-02 | 华为技术有限公司 | 调整信号速度的方法和媒体网关 |
| EP2487856B1 (en) | 2010-02-11 | 2016-04-20 | Huawei Technologies Co., Ltd. | Media stream transmission key operating method, apparatus and system |
| US9491784B2 (en) * | 2012-07-31 | 2016-11-08 | Apple Inc. | Streaming common media content to multiple devices |
| US9888377B1 (en) * | 2016-05-25 | 2018-02-06 | Symantec Corporation | Using personal computing device analytics as a knowledge based authentication source |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100473536B1 (ko) | 1996-05-22 | 2005-05-16 | 마츠시타 덴끼 산교 가부시키가이샤 | 기기간통신의안전성을확보하는암호화장치및통신시스템 |
| US6987781B1 (en) * | 1998-12-04 | 2006-01-17 | Tekelec | Methods and systems for routing signaling messages in a communications network using circuit identification code (CIC) information |
| US6353891B1 (en) * | 2000-03-20 | 2002-03-05 | 3Com Corporation | Control channel security for realm specific internet protocol |
| US20020120760A1 (en) * | 2000-05-26 | 2002-08-29 | Gur Kimchi | Communications protocol |
| US6766377B1 (en) * | 2000-08-24 | 2004-07-20 | 3Com Corporation | Media gateway proxy |
| US6961857B1 (en) * | 2000-09-28 | 2005-11-01 | Cisco Technology, Inc. | Authenticating endpoints of a voice over internet protocol call connection |
| US7194071B2 (en) * | 2000-12-28 | 2007-03-20 | Intel Corporation | Enhanced media gateway control protocol |
| US20020087828A1 (en) * | 2000-12-28 | 2002-07-04 | International Business Machines Corporation | Symmetric multiprocessing (SMP) system with fully-interconnected heterogenous microprocessors |
| US7305550B2 (en) * | 2000-12-29 | 2007-12-04 | Intel Corporation | System and method for providing authentication and verification services in an enhanced media gateway |
| JP2002247111A (ja) * | 2001-02-20 | 2002-08-30 | Mcm Japan Kk | 不正アクセス防止方法及びセキュリティ管理装置及びゲートウェイ装置及び端末装置 |
| US7110393B1 (en) * | 2001-02-28 | 2006-09-19 | 3Com Corporation | System and method for providing user mobility handling in a network telephony system |
| DE60202527T2 (de) * | 2001-07-03 | 2006-03-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Verfahren und system zur behandlung von mehrfachanmeldungen |
| CN1176544C (zh) * | 2001-08-15 | 2004-11-17 | 华为技术有限公司 | 媒体网关控制协议中主叫pc客户端携带主叫号码的方法 |
| GB0201588D0 (en) * | 2002-01-24 | 2002-03-13 | Nortel Networks Ltd | Call establishment procedure |
| US20040024902A1 (en) * | 2002-06-18 | 2004-02-05 | Olli Mikkola | Megaco protocol with user termination |
| US6889045B2 (en) * | 2002-06-26 | 2005-05-03 | Motorola, Inc. | Method and apparatus for implementing bi-directional soft handovers between wireless networks via media gateway control |
| DE10231026A1 (de) * | 2002-07-09 | 2004-02-05 | Siemens Ag | Vermeidung eines Fehlverhaltens einer Vermittlungseinrichtungs-Steuerung (Media Gateway Controller) oder Vermittlungseinrichtung (Media Gateway) bei einem Wechsel des Nutzlasttyp in bestehenden Verbindungen |
| CN1275419C (zh) * | 2002-10-18 | 2006-09-13 | 华为技术有限公司 | 一种网络安全认证方法 |
| CN1286306C (zh) * | 2003-08-05 | 2006-11-22 | 中兴通讯股份有限公司 | 媒体网关鉴权的方法 |
| JP4155920B2 (ja) * | 2003-12-25 | 2008-09-24 | 株式会社日立コミュニケーションテクノロジー | メディアゲートウェイおよび自動電話転送サービスシステム |
| CN100471208C (zh) * | 2005-01-02 | 2009-03-18 | 华为技术有限公司 | 在卡号业务中主叫用户重新发起呼叫的方法 |
| CN1855931B (zh) * | 2005-04-20 | 2010-08-04 | 华为技术有限公司 | 下一代网络中媒体网关上报事件处理方法 |
| US20080186952A1 (en) * | 2006-08-11 | 2008-08-07 | Huawei Technologies Co., Ltd. | Method and system for setting up a multimedia session in multimedia internetworking systems |
-
2002
- 2002-10-18 CN CN02144191.XA patent/CN1275419C/zh not_active Expired - Fee Related
-
2003
- 2003-09-22 US US10/531,569 patent/US8195942B2/en active Active
- 2003-09-22 WO PCT/CN2003/000801 patent/WO2004036828A1/zh active IP Right Grant
- 2003-09-22 AU AU2003271027A patent/AU2003271027B2/en not_active Expired
Also Published As
| Publication number | Publication date |
|---|---|
| US8195942B2 (en) | 2012-06-05 |
| CN1490973A (zh) | 2004-04-21 |
| AU2003271027B2 (en) | 2007-08-09 |
| AU2003271027A1 (en) | 2004-05-04 |
| US20050283607A1 (en) | 2005-12-22 |
| WO2004036828A1 (fr) | 2004-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1275419C (zh) | 一种网络安全认证方法 | |
| US8024560B1 (en) | Systems and methods for securing multimedia transmissions over the internet | |
| US7908480B2 (en) | Authenticating an endpoint using a STUN server | |
| Judge et al. | Security issues and solutions in multicast content distribution: A survey | |
| CN1483265A (zh) | 采用会话启动协议消息进行通用移动通信系统验证的技术 | |
| RU2496136C1 (ru) | Способ взаимодействия терминального устройства клиента с сервером по сети интернет с повышенным уровнем защиты от ddos атак и система для реализации способа | |
| CN1620005A (zh) | 一种安全发送传输密钥的方法 | |
| CN1956376A (zh) | 一种宽带接入用户认证方法 | |
| Bassil et al. | Security analysis and solution for thwarting cache poisoning attacks in the domain name system | |
| CN111447283A (zh) | 一种用于实现配电站房系统信息安全的方法 | |
| JP4193380B2 (ja) | ストリーム転送における電子署名システム | |
| CN1314221C (zh) | 一种安全代理方法 | |
| CN1633072A (zh) | 一种支持弱口令的双服务器认证方案 | |
| CN1231847C (zh) | 一种网络设备身份认证装置及方法 | |
| CN1744511A (zh) | 一种流媒体服务请求认证方法和系统 | |
| CN1946018A (zh) | 一种媒体流的加密及解密方法 | |
| CN1571407A (zh) | 一种基于媒体网关控制协议的安全认证方法 | |
| CN1509006A (zh) | 防火墙与入侵检测系统联动的方法 | |
| CN1239009C (zh) | Ip多媒体域用户呼叫的快速摘要认证方法 | |
| CN113037467B (zh) | 视频物联网设备密钥证书管理方法、装置和系统 | |
| CN1992710A (zh) | 一种用户终端接入软交换网络的安全交互方法 | |
| CN1571408A (zh) | 一种基于媒体网关控制协议的安全认证方法 | |
| CN113726513B (zh) | 一种用于视频实时传输安全监测方法、系统、设备及可读存储介质 | |
| CN109450641A (zh) | 一种高端模具信息管理系统访问控制方法 | |
| CN1331463A (zh) | 一种带有实时认证功能的信息的加密方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20060913 Termination date: 20121018 |