[发明专利]一种访问控制方法和装置

权利要求书

1.一种访问控制方法，其特征在于，包括：

网络信令节点接收第一用户向第二用户发送用于建立通信连接的MICKEY消息；

验证所述MICKEY消息是否完整；

若完整，则允许所述第一用户访问所述第二用户。

2.根据权利要求1所述的方法，其特征在于，若不完整，则拒绝所述第一用户访问所述第二用户。

3.根据权利要求1所述的方法，其特征在于，所述MICKEY消息包括MICKEY消息完整性保护密钥(MPK)和MICKEY消息授权码(MAC)；

所述网络信令节点验证所述MICKEY消息具体包括如下步骤：

从所述MICKEY消息中获取MPK；

采用所述MPK对所述MICKEY消息进行完整性验证，得到所述MICKEY消息对应的MAC；

将所述获取的MAC与所述MICKEY消息携带的MAC进行比较；

如果所述获取的MAC与所述MICKEY消息携带的MAC相同，确定所述MICKEY消息完整；否则，确定所述MICKEY消息不完整。

4.根据权利要求3所述的方法，其特征在于，

如果所述MICKEY消息中MPK是通过完整性保护密钥信息加密后的MPK，所述网络信令节点从所述MICKEY消息中提取MPK具体包括如下步骤：

所述网络信令节点根据配置的记录有所述MICKEY消息的密钥标识和完整性保护密钥信息的对应关系信息，获取用于解密所述MPK的密钥信息；

采用所述用于解密所述MPK的密钥信息，对MPK进行解密，得到解密后的MPK。

5.根据权利要求4所述的方法，其特征在于，

如果所述MICKEY消息是通过包括所述完整性保护密钥信息在内的至少两个密钥信息进行保护的，所述完整性保护密钥信息是由所述至少两个密钥信息共用的一个主密钥TPK派生的或者由多个主密钥中完整性保护主密钥TPKa派生的；

如果所述完整性保护密钥信息是由所述TPK派生的，所述MICKEY消息的密钥标识和完整性保护密钥信息的对应关系信息为所述MICKEY消息的密钥标识和所述TPK的对应关系；

如果所述完整性保护密钥信息是由所述独立主密钥派生的，所述MICKEY消息的密钥标识和完整性保护密钥信息的对应关系信息为所述MICKEY消息的密钥标识和所述TPKa的对应关系。

6.根据权利要根据权利要求1至5任一所述的方法，其特征在于，所述网络信令节点为P-CSCF或者S-CSCF。

7.一种访问控制的装置，其特征在于，包括：

接收模块，用于接收第一用户向第二用户发送的访问请求，携带用于建立通信连接的MICKEY消息；

验证模块，用于验证所述MICKEY消息是否完整；

控制模块，用于在所述验证模块验证所述MICKEY消息完整时，允许所述第一用户访问所述第二用户；或者，在所述验证模块验证所述MICKEY消息不完整时，拒绝所述第一用户访问所述第二用户。

8.根据权利要求7所述的装置，其特征在于，所述验证模块包括：

获取单元，用于从所述MICKEY消息中获取MPK；

第一获取单元，用于采用所述MPK对所述MICKEY消息进行完整性验证，得到所述MICKEY消息对应的MAC；

比较单元，用于将所述获取的MAC与所述MICKEY消息携带的MAC进行比较；

确定单元，用于在所述获取的MAC与所述MICKEY消息携带的MAC相同时，确定所述MICKEY消息完整；否则，确定所述MICKEY消息不完整。

9.根据权利要求8所述的装置，其特征在于，所述验证模块还包括：

第二获取单元，用于在所述MICKEY消息中MPK是通过完整性保护密钥信息加密后的MPK时，根据配置的记录有所述MICKEY消息的密钥标识和完整性保护密钥信息的对应关系信息，获取用于解密所述MPK的密钥信息；

解密单元，用于采用所述用于解密所述MPK的密钥信息对MPK进行解密，得到解密后的MPK。

10.根据权利要求9所述的装置，其特征在于，

如果所述MICKEY消息是通过包括所述完整性保护密钥信息在内的至少两个密钥信息进行保护的，所述完整性保护密钥信息是由所述至少两个密钥信息共用的一个主密钥TPK派生的或者由多个主密钥中完整性保护主密钥TPKa派生的；

如果所述完整性保护密钥信息是由所述TPK派生的，所述MICKEY消息的密钥标识和完整性保护密钥信息的对应关系信息为所述MICKEY消息的密钥标识和所述TPK的对应关系；

如果所述完整性保护密钥信息是由所述独立主密钥派生的，所述MICKEY消息的密钥标识和完整性保护密钥信息的对应关系信息为所述MICKEY消息的密钥标识和所述TPKa的对应关系。