[发明专利]消息安全交互方法和系统、信令安全网关装置

说明书

本公开涉及消息安全交互方法和系统、信令安全网关装置。消息安全交互方法包括如下步骤：发送方网络的信令安全网关装置对从可信节点接收到的原始消息进行加密运算来形成签名，发送方网络的信令安全网关装置生成包括原始消息和签名的重组消息，并将该重组消息发送到接收方网络，接收方网络的信令安全网关装置对目的地是本网络的重组消息进行解码，得到原始消息和签名，接收方网络的信令安全网关装置对解码得到的签名进行验证，如果通过该验证判断出签名是合法的，则将解码得到的原始消息发送到下一个节点。

技术领域

本公开涉及消息安全交互方法和系统、信令安全网关装置。

背景技术

电信运营商传统上拥有网络基础设施，包括接入网络、核心网络和业务网络。在用户终端(UE，User Equipment)通过用户网络接口(UNI，User Network Interface)连接时，UE被网络视为不可信方，因此UNI必须考虑并满足了许多安全需求，例如提供身份验证、授权和密钥协商AKA(Authentication and key Agreement)等机制。

另一方面，运营商网络实体通过网络-网络接口(NNI，Network-NetworkInterface)连接。基于电信网络的封闭性和隔离性，网络实体之间的关系被视为可信任的。同样地，不同运营商间的网络实体之间也是通过NNI连接，它们之间也认为是可信的，但这种信任关系是基于商业合同或协议而非安全技术。基于上述这种信任关系，通常不会实施针对NNI的安全措施和策略。

如今，电信网络越来越开放，出现了用户设备也通过NNI接入到网络中的情况，例如，通过SIP(Session Initiation Protocol，会话初始化协议)、七号信令和Diameter协议等。在这种情况下，用于控制和管理的NNI信令可能被滥用，导致与用户相关的敏感信息的非法获取、冒用，典型的如伪造主叫号码。在移动网络中通过七号信令进行攻击可以获取用户IMSI(International Mobile Subscriber Identity，国际移动用户识别码)、位置等信息，进一步可以截取用户短信和呼叫。

发明内容

本公开的实施方式的一个目的是提供一种新颖的消息安全交互方法和系统、信令安全网关装置。

根据本公开的实施方式，针对由于NNI缺乏认证识别机制而接收端实体完全被动接收和处理发送端消息的问题，实现一种信令的签名机制，使得信令交互的网络实体可以相互认证，建立可信的交互。

根据本公开的一个方面，提供了一种消息安全交互方法，包括如下步骤：发送方网络的信令安全网关装置对从可信节点接收到的原始消息进行加密运算来形成签名，发送方网络的信令安全网关装置生成包括原始消息和签名的重组消息，并将该重组消息发送到接收方网络，接收方网络的信令安全网关装置对目的地是本网络的重组消息进行解码，得到原始消息和签名，接收方网络的信令安全网关装置对解码得到的签名进行验证，如果通过该验证判断出签名是合法的，则将解码得到的原始消息发送到下一个节点。

根据本公开的一个方面，提供了一种消息安全交互系统，包括：发送方网络的信令安全网关装置，对从可信节点接收到的原始消息进行加密运算来形成签名，生成包括原始消息和签名的重组消息，并将该重组消息发送到接收方网络；以及接收方网络的信令安全网关装置，对目的地是本网络的重组消息进行解码，得到原始消息和签名，对解码得到的签名进行验证，如果通过该验证判断出签名是合法的，则将解码得到的原始消息发送到下一个节点。

根据本公开的一个方面，提供了一种信令安全网关装置，包括：加密重组单元，对从可信节点接收到的原始消息进行加密运算来形成签名，并生成包括原始消息和签名的重组消息；以及发送单元，将所述加密重组单元生成的重组消息发送到接收方网络。