[发明专利]一种IP终端安全接入网络的方法

说明书

技术领域

本发明涉及通讯领域，特别是涉及应用在基于IP(Internet Protocol，互联网协议)通讯网络体系架构下的IP终端安全接入网络的方法。

背景技术

随着互联网和宽带技术的发展，基于IP网络的语音传输(Voice OverInternet Protocol，VOIP)技术在企业网和公共网络中得到了越来越多的应用，但由于IP网络的开放性，VOIP技术存在一些安全性问题，如用户帐号欺骗、设备欺骗等。针对这些安全问题，系统设备需要对用户终端的身份进行验证，以防止用户终端的欺骗而造成系统资源被窃用；而用户终端也同样需要对系统设备进行验证，以防止系统设备的欺骗而造成用户信息被窃取。

目前，在通信系统的安全体系中，流行的做法是单向认证，即只有系统对用户终端进行认证，而用户终端则不对系统进行认证；即使有双向认证，也仅仅是端到端的方式，对双方通信链路之间的网关设备或代理设备则不作认证，而通常情况下IP终端设备是通过边际接入控制设备接入到软交换核心网内，因此这种情况下也非常容易导致机密信息的泄漏；信令以明文方式在终端与系统之间传输，也易被其他非法设备篡取或修改。

发明内容

本发明所要解决的技术问题在于提供一种IP终端安全接入网络的方法，用于实现终端安全接入网络达到信令安全传输。

为了实现上述目的，本发明提供了一种IP终端安全接入网络的方法，适用于IP网络系统，该系统包括用户终端、边际接入控制设备，呼叫会话控制器及安全认证服务器，其特征在于，该方法包括：

步骤一，在所述用户终端上设置用户终端认证安全参数组，在所述安全认证服务器上设置与所述用户终端认证安全参数组对应的用户终端认证授权参数组；

步骤二，将所述用户终端通过所述边际接入控制设备接入至所述呼叫会话控制器，所述呼叫会话控制器接入至所述安全认证服务器；

步骤三，所述用户终端根据所述用户终端认证安全参数组及传送至所述用户终端的信息对所述网络系统进行认证；所述边际接入控制设备根据传送至所述边际接入控制设备的信息对所述用户终端进行认证；所述呼叫会话控制器根据所述边际接入控制设备、所述安全认证服务器传送的信息对所述用户终端进行认证；所述安全认证服务器根据所述用户终端认证授权参数组及传送至所述安全认证服务器的信息对所述用户终端进行认证。

所述的IP终端安全接入网络的方法，其中，所述用户终端认证安全参数组或所述边际接入控制设备认证安全参数组的个数为一个或多个。

所述的IP终端安全接入网络的方法，其中，所述每个用户终端认证安全参数组包括双向认证、加密、完整性保护安全方式中的一种或多种方式的参数信息，对应地，所述每个用户终端认证授权参数组包括用于进行双向认证、加密、完整性保护所需的参数信息。

所述的IP终端安全接入网络的方法，其中，所述步骤三中，还包括一所述用户终端在归属地向所述呼叫会话控制器发起注册请求的步骤，又包括：

步骤41，所述用户终端向所述边际接入控制设备发送一注册请求消息，所述边际接入控制设备将该注册请求消息转发至所述呼叫会话控制器，所述呼叫会话控制器向所述安全认证服务器发送一认证请求消息；

步骤42，所述安全认证服务器接收并处理所述认证请求消息，并向所述呼叫会话控制器返回一含有认证向量的认证成功响应消息；所述呼叫会话控制器向所述边际接入控制设备返回一注册失败消息；

步骤43，所述边际接入控制设备对所述注册失败消息进行处理后发送至所述用户终端，所述用户终端接收并根据该消息对所述网络系统进行认证。

所述的IP终端安全接入网络的方法，其中，所述步骤41中，还包括：

建立所述用户终端与所述边际接入控制设备之间的安全联盟的步骤；

建立所述边际接入控制设备与所述呼叫会话控制器之间的安全联盟的步骤。

所述的IP终端安全接入网络的方法，其中，所述步骤43中，还包括所述边际接入控制设备根据其与所述用户终端之间的完整性保护密钥和完整性保护算法对所述注册失败消息进行完整性保护处理的步骤。

所述的IP终端安全接入网络的方法，其中，所述用户终端接收并根据该消息对所述网络系统进行认证的步骤又包括：

步骤71：所述用户终端根据完整性保护算法、完整性保护密钥对接收消息进行合法性判断；