基于ims进行可信通信的信令交互方法及可信认证系统的利记博彩app
【专利说明】基于丨MS进行可信通信的信令交互方法及可信认证系统 所属技术领域
[0001] 本发明涉及通信会话技术领域,特别涉及一种基于MS进行可信通信的信令交互 方法及可信认证系统。
【背景技术】
[0002] 传统的基于IMS的面向网络通信的会话过程如图1所示,发起会话的用户终端为 UEA,接受会话的用户终端为UEB,双方使用IMS网络进行通信会话过程,发起会话的用户终 端通过信令连接接受会话的用户对端,建立好"端到端"的信令通路后,便开始媒体传输过 程。随着通信网络的不断发展,各种个性化定制业务和电子商业类型业务越来越多,这些 业务的登入和办理过程均需要身份和可信性的认证,因此面向通信会话的可信性需求日益 凸显,人们在网络中的行为需要可信性的保证,在通信会话过程中声明的身份需要统一的 认证机制的支持。而现有的信令系统只负责会话的建立、更新和结束工作,会话路径建立 后便处于闲置等待状态,并且对接入会话时的可信性以及会话过程中的可信性问题没有涉 及,信令消息中缺少针对可信性的支持。已有会话机制无法满足通信过程中可信性的需求, 新一代网络体系结构迫切需要研究和改进针对会话过程中可信性的通信机制。在頂S(IP MultimediaSubsystem,IP多媒体子系统)体系结构中,IMS核心网作为通信会话的信令 核心,为可信通信机制的构建提供了统一的平台;会话初始化协议(SessionInitiation Protocol,SIP)广泛应用,它灵活易扩展,耦合度低,为信令机制的改进提供了便利。
[0003] 目前,针对面向通信会话的可信性问题,论文"AtrustcommunicationwithSIP protocol,'(ElSawda,S.等,ComputerSystemsandApplications, 2010:1-6.)提出在 UA(UserAgent,用户代理)与MS之间增加一个转发代理服务器的方法,使其充当一个认 证防火墙,对传输的信令进行过滤检查,以决定是否开启TLS(TransportLayerSecurity, 安全传输层协议)握手。该方法可视作对现有认证机制的补充,强化了控制TLS层的能力。 论文"基于EAP-TLS的可信网络连接认证方案设计与实现"(池亚平等,计算机工程与科 学.2011,33(4) :8-12.)和论文"基于EAP-TTLS的可信网络接入认证技术"(张立茹等, 计算机与现代化? 2013 (10) : 110-113. 116.)利用EAP-TLS(Extensibleauthentication protocol-TLS,可扩展认证协议-TLS)和EAP-TTLS(Extensibleauthentication protocol-TunneledTLS,可扩展认证协议-隧道式TLS),与现在的可信网络架构相结合, 针对单向认证的局限性问题,提出客户端与服务器间双向认证的方案,从而增强了接入的 可信性。这两种方法与论文"ComputerSystemsandApplications"中方法的原理都在于 控制或增强TLS性能,以强化接入认证的强度。但是,这些改进方法着手点在网络边缘,由 于没有考虑为身份认证问题设计集中处理的系统,缺少面向通信会话的统一的可信性判决 和维护单元,因此只能片面地增强用户终端接入会话时刻的可信性,而不能保证会话过程 中可信性的保持和延续,因此对整个通信过程整体没有良好的维护机制,从而很难为整个 通信会话过程提供信任保障。
【发明内容】
[0004] 针对现有方法存在的不足,本发明提出一种基于MS进行可信通信的信令交互方 法及可信认证系统,以满足面向通信会话的可信性需求。
[0005] 本发明所采用的技术方案是这样实现的:
[0006] 一种基于MS进行可信通信的可信认证系统,包括:
[0007] 签约属性数据存储模块:用于存储用户终端的签约属性数据;所述的签约属性数 据指的是用户在通信运营商处签约入网时,预留的存储在该模块中该用户的信任域中的属 性数据;所述属性数据指的是与用户终端有关的可提供信任证明的数据;
[0008] 收集策略生成模块:根据即时属性数据收集模块的通知,随机生成数据收集策略, 指定待收集属性数据的数据类型;
[0009] 即时属性数据收集模块:在会话路径建立初始时刻以及可信性维护触发条件满足 时,即时属性数据收集模块被触发工作,首先要求收集策略生成模块随机生成一种即时时 刻的数据收集策略,然后按照策略中指定的数据类型,令参与会话的用户终端收集其各自 的即时属性数据并传送给身份标识计算模块;
[0010] 身份标识计算模块:(1)用于接收并缓存即时属性数据收集模块传送的即时属性 数据,并对这些即时属性数据进行初步处理后,采用用户预设的运算方法进行运算,得到一 组基于即时属性数据的即时身份标识对,用以标识即时时刻参与会话的用户终端,并发送 给可信判决模块;(2)访问签约属性数据存储模块,根据收集到的即时属性数据类型,要求 签约属性数据存储模块发送其存储的该用户信任域中同类型的签约属性数据,并将这些签 约属性数据进行初步处理后,采用用户预设的运算方法进行运算,得到一组基于签约属性 数据的签约身份标识对并发送给可信判决模块;
[0011] 可信判决模块:接收并缓存身份标识计算模块发送的基于即时属性数据的即时 身份标识对和基于签约属性数据的签约身份标识对,并对二组身份标识对进行相互比较 匹配;若二者一致,则匹配成功,将匹配成功信息发送给参与会话的用户终端;若二者不一 致,则匹配失败,将匹配失败信息发送给危机报警模块;
[0012] 可信性维护模块,用于保存可信性维护触发条件,并实时判断会话过程中是否满 足该可信性维护触发条件,当满足可信性维护触发条件时,要求即时属性数据收集模块进 行新一轮即时属性数据收集工作,然后继续实时判断会话过程中是否满足可信性维护触发 条件;所述的可信性维护触发条件,包括:事件触发和定时触发;所述事件触发包括:用户 的人为触发和终端的自动触发;所述定时触发的定时时间可由参与会话的用户终端约定, 或者根据不同的会话类型进行配置;
[0013] 危机报警模块,用于当接收到匹配失败消息时,及时向参与会话的用户终端进行 会话可信性验证失败报警。
[0014] 一种基于MS进行可信通信的信令交互方法,基于所述的可信认证系统实现,包 括可信性会话建立过程、会话可信性维护过程和可信性会话结束过程;
[0015] 其中,所述的可信性会话建立过程,包括:建立会话路径的步骤和进行可信性认证 的步骤;
[0016] 所述的可信性会话建立过程中的可信性认证的步骤进一步包括如下步骤:
[0017] a.可信认证系统令参与会话的用户终端收集其各自的即时属性数据;
[0018]b.可信认证系统基于即时属性数据为参与会话的用户终端计算即时身份标识,得 到一组即时身份标识对,然后再基于签约属性数据为用户终端计算签约身份标识,得到一 组签约身份标识对;
[0019]c.可信认证系统通过对比即时身份标识对与签约身份标识对是否一一对应相等, 若相等,则为匹配成功,执行步骤d,若不完全相等则为匹配失败,执行步骤g;
[0020] d.可信认证系统向参与会话的用户终端发送匹配成功消息,并将步骤b中所述的 即时身份标识对发送给参与会话的用户终端进行存储;
[0021] e.发起会话的用户终端收到匹配成功消息后,将其存储的即时身份标识对加入到 SIP会话参数中,更新会话状态;
[0022] f.接受会话的用户终端将SIP会话参数中的即时身份标识对与步骤d中所存储的 即时身份标识对进行匹配,若匹配成功,则分别向可信认证系统和发起会话的用户终端发 送确认消息;若匹配失败,则执行步骤g;
[0023] g.可信认证系统向参与会话的用户终端进行会话可信性验证失败报警;
[0024] 所述的可信性会话结束过程,包括:参与会话的任一用户终端发起会话结束请求 的步骤和进行可信性认证的步骤;
[0025] 所述的可信性会话结束过程中的进行可信性认证的步骤进一步包括如下步骤:
[0026] 1).发起会话结束请求的用户终端在发起会话结束请求的同时将其存储的最新的 即时身份标识对加入到会话结束请求消息中;
[0027] 2).会话中另一用户终端将会话结束请求消息中的即时身份标识对与其存储的最 新的即时身份标识对进行再次比较匹配,若匹配一致,则为匹配成功,分别向可信认证系统 和发起会话结束请求的用户终端发送确认消息,会话结束;若匹配不完全一致,则为匹配失 败,执行步骤3);
[0028] 3).可信认证系统向参与会话的用户终端进行可信性验证失败报警;
[0029] 所述的会话可信性维护过程,是指对会话过程中的可信性进行维护的过程,包括 如下步骤:
[0030] 1〉.可信认证系统实时判断是否满足可信性维护触发条件,是,则进行会话可信性 维护,执行步骤2> ;否,则继续执行步骤1> ;
[0031] 2〉.可信认证系统令参与会话的用户终端收集并发送各自的即时属性数据;
[0032] 3〉.可信认证系统基于步骤2>收集的即时属性数据为参与会话的用户终端计算 即时身份标识,得到一组新的即时身份标识对,并分别发送给参与会话的用户终端进行存 储,更新之前存储的即时身份标识对;然后基于签约属性数据为参与会话的用户终端再计 算签约身份标识,得到一组签约身份标识对;通过对比即时身份标识对与签约身份标识对 是否一一对应相等,若相等,则为匹配成功,执行步骤4> ;若不完全相等,则为匹配失败,执 行步骤5> ;
[0033] 4〉.可信认证系统向参与会话的用户终端发送匹配成功消息,参与会话的用户终 端对其存储的即时身份标识对进行更新;
[0034] 5〉.可信认证系统向参与会话的用户终端进行会话可信性验证失败报警。
[0035] 本发明的有益效果是:本发明基于MS应用服务构建可信通信过程,面向网络通 信会话过程,设计一种第三方可信认证系统服务器,进行可信性判决和维护,存储信任数 据,并设计一种支