本申请公开了一种专网的MPTCP鉴权方法和系统,其中方法包括:公用数据网网关PGW预先将用户设备UE的综合业务数字网ISDN号码和为所述UE分配的IP地址发送给多路网关MP_GW;当所述UE与所述MP_GW之间建立MPTCP链接时,在MPTCP三次握手过程中,所述UE和所述MP_GW分别在需要向对方发送会话密钥时,利用所述ISDN号码和所述IP地址生成加密密钥,利用所述加密密钥对需要发送的会话密钥加密后发送给对方,并利用所述ISDN号码和所述IP地址对接收到的会话密钥进行解密,获得对方的会话密钥。采用本发明专利技术,可以有效克服MPTCP协议所存在的安全隐患。
【技术实现步骤摘要】
专网的MPTCP鉴权方法和系统
本专利技术涉及移动通信技术,特别是涉及一种专网的多路传输控制协议(MPTCP)鉴权方法和系统。
技术介绍
在专网应用场景下,引入MPTCP协议可有效解决网络间切换的平顺性、可靠性问题。图1为专网引入MPTCP后的组网示意图。如图1所示,新增网元多路网关(MP_GW)支持MPTCP,支持与核心网的公用数据网网关(PGW)之间自定义接口,在UE与MP_GW之间建立MPTCP链接,包括多条TCP子流。与此同时,MPTCP协议在其安全性上存在缺陷,可能被中间人攻击窃取双方会话密钥,而进一步发起子流增加或子流删除等操作。具体分析如下:MPTCP通过扩展TCP三次握手机制,在MP_CAPABLE选项中携带并交换两侧主机会话密钥,同时协商加密算法。由于MPTCP三次握手消息中,会明文携带双方主机会话密钥,所以存在较大中间人攻击的风险,如图2所示,Attacker在双方主机间截获三次握手消息,则可发起后续的子流删除、子流增加流程,从而对安全造成威胁。
技术实现思路
有鉴于此,本专利技术的主要目的在于提供一种专网的MPTCP鉴权方法和系统,可以有效克服MPTCP协议所存在的安全隐患。为了达到上述目的,本专利技术提出的技术方案为:一种专网的MPTCP鉴权方法,包括:公用数据网网关PGW预先将用户设备UE的综合业务数字网ISDN号码和为所述UE分配的IP地址发送给多路网关MP_GW;当所述UE与所述MP_GW之间建立MPTCP链接时,在MPTCP三次握手过程中,所述UE和所述MP_GW分别在需要向对方发送会话密钥时,利用所述ISDN号码和所述IP地址生成加密密钥,利用所述加密密钥对需要发送的会话密钥加密后发送给对方,并利用所述ISDN号码和所述IP地址对接收到的会话密钥进行解密,获得对方的会话密钥。较佳地,将UE的ISDN号码和为所述UE分配的IP地址发送给MP_GW包括:所述PGW在所述UE的网络附着过程中,在向服务网关SGW发送创建会话响应消息之后,向所述MP_GW发送用户激活报告UE_ACTIVATE_REPORT,所述用户激活报告携带所述ISDN号码和所述IP地址。较佳地,所述方法进一步包括:所述UE和所述MP_GW各自在发送所述会话密钥时,携带会话密钥已经过加密的指示信息。较佳地,所述UE和所述MP_GW利用当前的系统时刻以及所述ISDN号码和所述IP地址,采用预设的密钥生成方法,生成所述加密密钥。较佳地,按照BaseKey=HMAC-SHA-256(ISDNa,SysTime||ISDNa||UEIPa),生成所述加密密钥BaseKey,其中,ISDNa为UE的ISDN号码,UEIPa为UE的IP地址,SysTime为当前的系统时刻;所述系统时刻的单位为小时、分或秒,||为拼接符号,HMAC-SHA-256()为HMAC-SHA-256加密算法。一种专网的MPTCP鉴权系统,包括:公用数据网网关PGW,用于预先将用户设备UE的综合业务数字网ISDN号码和为所述UE分配的IP地址发送给多路网关MP_GW;UE,用于当所述UE与所述MP_GW之间建立MPTCP链接时,在MPTCP三次握手过程中,在需要向所述MP_GW发送会话密钥时,利用所述ISDN号码和所述IP地址生成加密密钥,利用所述加密密钥对需要发送的会话密钥加密后发送给所述MP_GW,并利用所述ISDN号码和所述IP地址对所述MP_GW发送的会话密钥进行解密,获得所述MP_GW的会话密钥;MP_GW,用于当所述UE与所述MP_GW之间建立MPTCP链接时,在MPTCP三次握手过程中,在需要向所述UE发送会话密钥时,利用所述ISDN号码和所述IP地址生成加密密钥,利用所述加密密钥对需要发送的会话密钥加密后发送给所述UE,并利用所述ISDN号码和所述IP地址对所述UE发送的会话密钥进行解密,获得所述UE的会话密钥。较佳地,所述PGW,用于在所述UE的网络附着过程中,在向服务网关SGW发送创建会话响应消息之后,向所述MP_GW发送用户激活报告UE_ACTIVATE_REPORT,所述用户激活报告携带所述ISDN号码和所述IP地址。较佳地,所述UE,用于在发送所述会话密钥时,携带会话密钥已经过加密的指示信息;所述MP_GW,用于在发送所述会话密钥时,携带会话密钥已经过加密的指示信息。较佳地,所述UE,用于利用当前的系统时刻以及所述ISDN号码和所述IP地址,采用预设的密钥生成方法,生成所述加密密钥;所述MP_GW,用于利用当前的系统时刻以及所述ISDN号码和所述IP地址,采用预设的密钥生成方法,生成所述加密密钥。较佳地,所述UE,用于按照BaseKey=HMAC-SHA-256(ISDNa,sysTime||ISDNa||UEIPa),生成所述加密密钥BaseKey,其中,ISDNa为UE的ISDN号码,UEIPa为UE的IP地址,SysTime为当前的系统时刻;所述系统时刻的单位为小时、分或秒,||为拼接符号,HMAC-SHA-256()为HMAC-SHA-256加密算法;所述MP_GW,用于按照BaseKey=HMAC-SHA-256(ISDNa,sysTime||ISDNa||UEIPa),生成所述加密密钥BaseKey。综上所述,本专利技术提出的专网的MPTCP鉴权方法和系统,PGW需要将UE的ISDN号码和IP地址通知给MP_GW,使得UE与MP_GW都同时拥有了ISDN与UE映射关系,从而在MPTCP三次握手过程中在协商会话密钥时,UE与MP_GW可以采用加密方式发送各自的会话密钥,进而可以有效克服MPTCP协议所存在的安全隐患。附图说明图1为专网引入MPTCP后的组网示意图;图2为MPTCP三次握手过程中中间人攻击示意图;图3为本专利技术实施例的方法流程示意图;图4为利用UE的附着过程将UE的ISDN号码和IP地址发送给MP_GW的过程示意图;图5为本专利技术实施例的系统结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本专利技术作进一步地详细描述。图3为本专利技术实施例的方法流程示意图,如图3所示,该实施例实现的专网的MPTCP鉴权方法主要包括:步骤301、公用数据网网关PGW预先将用户设备UE的综合业务数字网ISDN号码和为所述UE分配的IP地址发送给多路网关MP_GW。本步骤中,为了使得UE和MP_GW能够对需要发送给对方的会话密钥进行加密,以确保会话密钥的安全,PGW需要将UE的ISDN号码和为所述UE分配的IP地址通知给MP_GW。这样,UE和MP_GW均可以利用UE的ISDN号码和IP地址生成加密密钥,从而可以在后续过程中实现两者之间会话密钥的加密传输。较佳地,可以采用下述方法,在UE的网络附着过程中,将UE的ISDN号码和为所述UE分配的IP地址发送给MP_GW:所述PGW在所述UE的网络附着过程中,在向服务网关SGW发送创建会话响应消息之后,向所述MP_GW发送用户激活报告UE_ACTIVATE_REPORT,所述用户激活报告携带所述ISDN号码和所述IP地址。图4为上述利用UE的附着过程将UE的ISDN号码和IP地址发送给MP_GW的过程示意图。如图4所示,UE在附着过程中,PGW本文档来自技高网...
【技术保护点】
1.一种专网的MPTCP鉴权方法,其特征在于,包括:公用数据网网关PGW预先将用户设备UE的综合业务数字网ISDN号码和为所述UE分配的IP地址发送给多路网关MP_GW;当所述UE与所述MP_GW之间建立MPTCP链接时,在MPTCP三次握手过程中,所述UE和所述MP_GW分别在需要向对方发送会话密钥时,利用所述ISDN号码和所述IP地址生成加密密钥,利用所述加密密钥对需要发送的会话密钥加密后发送给对方,并利用所述ISDN号码和所述IP地址对接收到的会话密钥进行解密,获得对方的会话密钥。
【技术特征摘要】
1.一种专网的MPTCP鉴权方法,其特征在于,包括:公用数据网网关PGW预先将用户设备UE的综合业务数字网ISDN号码和为所述UE分配的IP地址发送给多路网关MP_GW;当所述UE与所述MP_GW之间建立MPTCP链接时,在MPTCP三次握手过程中,所述UE和所述MP_GW分别在需要向对方发送会话密钥时,利用所述ISDN号码和所述IP地址生成加密密钥,利用所述加密密钥对需要发送的会话密钥加密后发送给对方,并利用所述ISDN号码和所述IP地址对接收到的会话密钥进行解密,获得对方的会话密钥。2.根据权利要求1所述的方法,其特征在于,将UE的ISDN号码和为所述UE分配的IP地址发送给MP_GW包括:所述PGW在所述UE的网络附着过程中,在向服务网关SGW发送创建会话响应消息之后,向所述MP_GW发送用户激活报告UE_ACTIVATE_REPORT,所述用户激活报告携带所述ISDN号码和所述IP地址。3.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:所述UE和所述MP_GW各自在发送所述会话密钥时,携带会话密钥已经过加密的指示信息。4.根据权利要求1所述的方法,其特征在于,所述UE和所述MP_GW利用当前的系统时刻以及所述ISDN号码和所述IP地址,采用预设的密钥生成方法,生成所述加密密钥。5.根据权利要求1所述的方法,其特征在于,按照BaseKey=HMAC-SHA-256(ISDNa,SysTime||ISDNa||UEIPa),生成所述加密密钥BaseKey,其中,ISDNa为UE的ISDN号码,UEIPa为UE的IP地址,SysTime为当前的系统时刻;所述系统时刻的单位为小时、分或秒,||为拼接符号,HMAC-SHA-256()为HMAC-SHA-256加密算法。6.一种专网的MPTCP鉴权系统,其特征在于,包括:公用数据网网关PGW,用于预先将用户设备UE的综合业务数字网ISDN号码和为所述UE分配的IP地址发送给多路网关MP_GW;UE,用于当所述UE与所述MP_GW之间建立MPTCP链接时,在MPTCP三次握手过程中,在需要向所述MP_GW发送会话密钥时,利用...
【专利技术属性】
技术研发人员:孔胜淼,王军,吴宏亮,曹怡鹏,刘明,闫锐,袁乃华,
申请(专利权)人:成都鼎桥通信技术有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。