信息安全传输方法、系统及接入服务节点技术方案

本发明专利技术提供了一种信息安全传输方法、系统及接入服务节点，其中所述方法包括如下步骤：鉴权服务器通过源接入服务节点对接入的源终端接入认证，以及通过源接入服务节点与源终端交互确定传输密钥对，密钥对包括私钥Kin和公钥Kout；源接入服务节点通过私钥Kin计算源终端发送给目的终端的数据报文的签名，并将数据报文及其签名发送至目的接入服务节点；目的接入服务节点通过公钥Kout再次计算接收的数据报文的签名，比较该签名与接收到的签名是否匹配，若二者匹配，则判断接收到的数据报文安全。本发明专利技术保证目的接入服务节点接收的报文来自合法的源接入服务节点，避免了网络安全隐患。

【技术实现步骤摘要】

本专利技术涉及信息安全传输机制，尤其涉及信息安全传输方法、系统及接入服务节点。
技术介绍
现有因特网广泛使用的传输控制协议/因特网互联协议(Transmission ControlProtocol/Internet Protocol, TCP/IP)中IP地址具有双重功能,既作为网络层主机的网络接口在网络拓扑中的位置标识，又作为传输层的主机网络接口的身份标识。TCP/IP协议设计之初并未考虑主机移动的情况。但是，当主机移动越来越普遍时，这种IP地址的语义过载缺陷日益明显。如:当主机的IP地址发生变化时，不仅路由要发生变化，通信终端主机的身份标识也发生变化，这样会导致路由负载越来越重，而且主机标识的变化会导致应用和连接的中断。为了解决上述问题，业界开始研究身份标识和位置分离的网络，以解决IP地址的语义过载和路由负载严重以及安全等问题，将IP地址的双重功能进行分离，实现对移动性、多家乡性、IP地址动态重分配、减轻路由负载及下一代互联网中不同网络区域之间的互访等问题的支持。目前已经提出了多种身份标识与位置标识分离的网络的架构。其中，一种终端身份标识和位置分离网络架构如图1所示。其中，ASR(Access Service Router)为接入服务路由器，用于接入用户终端，并承担计费以及切换等功能；ILR(Identification & LocationRegister)为身份位置寄存器，用于承担终端的位置注册和身份识别的功能，建立终端接入标识(Access Identification,AID)和终端接入位置的映射关系,AID与终端的硬件相关，每个终端在所述终端身份标识和位置分离网络中的AID唯一。此外，该网络还可包含一个互联互通接入服务路由器ISR，用于接入业务服务器，其工作流程与ASR类似。为描述方便，下文将用户身份标识和位置分离网络简称为SILSN(Subscriber Identifier and LocatorSeparation Network)。当今互联网已成为人们工作和生活不可分割一部分，然而互联网层出不穷的安全问题，如钓鱼网站、谣言、诽镑等，使很多互联网用户遭受了巨大损失，为维护网络的正常秩序，各国公安部门开始侦办网络犯罪行为。传统网络中，互联网犯罪较难取证，而对于SILSN网络，由于同一终端不论漫游到网内的哪个接入服务路由器，获取到的身份信息(如身份标识AID)均相同，为溯源用户真实身份提供了方便，但在由于SILSN网络内尚未建立认证机制，如果SILSN网络内出现以管理员身份散步谣言的用户，仍然威胁网络安全。
技术实现思路
本专利技术提供了一种信息安全传输方法、系统及接入服务节点，用于解决如何保证信息在网络中的安全传输的技术问题。为解决该技术问题，本专利技术提供了一种信息安全传输方法，包括以下步骤:鉴权服务器通过源接入服务节点对接入的源终端接入认证，以及通过源接入服务节点与源终端交互确定传输密钥对，所述密钥对包括私钥Kin和公钥Kout ；所述源接入服务节点通过所述私钥Kin计算所述源终端发送给目的终端的数据报文的签名，并将所述数据报文及其签名发送至目的接入服务节点；所述目的接入服务节点通过所述公钥Kout再次计算接收的数据报文的签名，比较该签名与接收到的签名是否匹配，若二者匹配，则判断接收到的数据报文安全。进一步地，所述接入服务节点为接入服务路由器(ASR)和/或互连互通服务路由器(ISR)；所述鉴权服务器为鉴权授权计费(AAA)服务器或归属位置寄存/鉴权中心(HLR/AUC)。进一步地，所述鉴权服务器通过源接入服务节点与源终端交互确定传输密钥对后，所述源接入服务节点接收所述源终端发送的所述私钥Kin，或接收所述鉴权服务器发送的所述私钥Kin ；所述目的接入服务节点接收所述鉴权服务器发送的所述公钥Kout。进一步地，所述签名为数字摘要。进一步地，所述鉴权服务器通过源接入服务节点与源终端交互确定传输密钥对的方式包括:所述鉴权服务器通过源接入服务节点与源终端协商传输密钥对。为解决上述问题，本专利技术还提供了一种信息安全传输系统，该系统包括源接入服务节点、鉴权服务器和目的接入服务节点，其中，所述鉴权服务器，用于通过源接入服务节点对接入的源终端接入认证，以及通过源接入服务节点与源终端交互确定传输密钥对，所述密钥对包括所述私钥Kin和公钥Kout ；所述源接入服务节点，用于通过所述私钥Kin计算所述源终端发送给目的终端的数据报文的签名，并将所述数据报文及其签名发送至目的终端接入的目的接入服务节点；所述目的接入服务节点，用于接收来自源接入服务节点的数据报文及其签名，以及通过所述公钥Kout再次计算接收的数据报文的签名，比较本次计算出的签名与接收到的签名是否匹配，若二者匹配，则判断接收到的数据报文安全。进一步地，所述接入服务节点为接入服务路由器(ASR)和/或互连互通服务路由器(ISR)；所述鉴权服务器为鉴权授权计费(AAA)服务器或归属位置寄存/鉴权中心(HLR/AUC)。进一步地，所述源接入服务节点，还用于在鉴权服务器通过源接入服务节点与源终端交互确定传输密钥对后，接收所述源终端发送的所述私钥Kin，或接收所述鉴权服务器发送的所述私钥Kin鉴权服务器；所述目的接入服务节点，还用于在鉴权服务器通过源接入服务节点与源终端交互确定传输密钥对后，接收所述鉴权服务器发送的所述公钥Kout。进一步地，所述签名为数字摘要。进一步地，所述鉴权服务器，用于通过源接入服务节点与源终端交互确定传输密钥对，包括:所述鉴权服务器，用于通过源接入服务节点通过与源终端协商的方式确定传输密钥对。为解决上述问题，本专利技术还提供了一种支持信息安全传输的接入服务节点，所述接入服务节点包括终端接入认证模块、报文认证模块、报文发送模块和报文接收模块，其中所述终端接入认证模块，用于协助鉴权服务器对接入的源终端进行接入认证以及与源终端交互确定传输密钥对，所述密钥对包括私钥Kin和公钥Kout ;以及并在认证通过后，通知报文认证模块认证结果；所述报文认证模块，用于接收来自接收模块的源终端发送给目的终端的数据报文，并在接收到来自终端认证模块的认证结果后，通过所述私钥Kin计算该数据报文的签名，并将该数据报文及其签名一同发送至报文发送模块；以及接收到报文接收模块发送的数据报文及其签名后，用所述公钥Kout再次计算接收到的数据报文的签名，比较本次计算的数据报文的签名和接收到的数据报文的签名是否匹配，若二者匹配，则判断接收到的数据报文安全；所述报文发送模块，用于将来自所述报文认证模块的数据报文及其签名向目的终端接入的目的接入服务节点发送；所述报文接收模块，用于接收源终端发送给目的终端的数据报文，并将该数据报文发送至报文认证模块；接收来自外部接入服务节点的数据报文及其签名，判断该数据报文的目的接入服务节点是否为本接入服务节点，若报文的目的接入服务节点是本接入服务节点，将接收到的数据报文及其签名一起发送至报文认证模块。进一步地，所述报文接收模块，还用于接收所述源终端发送的私钥Kin，并将该私钥Kin发送至所述报文认证模块，或者接收所述鉴权服务器发送的私钥Kin，并将该私钥Kin发送至所述报文认证模块；以及接收所述鉴权服务器发送的公钥Kout，并将该公钥本文档来自技高网...

【技术保护点】
一种信息安全传输方法，其特征在于，所述方法包括以下步骤：鉴权服务器通过源接入服务节点对接入的源终端接入认证，以及通过源接入服务节点与源终端交互确定传输密钥对，所述密钥对包括私钥Kin和公钥Kout；所述源接入服务节点通过所述私钥Kin计算所述源终端发送给目的终端的数据报文的签名，并将所述数据报文及其签名发送至目的接入服务节点；所述目的接入服务节点通过所述公钥Kout再次计算接收的数据报文的签名，比较该签名与接收到的签名是否匹配，若二者匹配，则判断接收到的数据报文安全。

【技术特征摘要】
1.一种信息安全传输方法，其特征在于，所述方法包括以下步骤: 鉴权服务器通过源接入服务节点对接入的源终端接入认证，以及通过源接入服务节点与源终端交互确定传输密钥对，所述密钥对包括私钥Kin和公钥Kout ； 所述源接入服务节点通过所述私钥Kin计算所述源终端发送给目的终端的数据报文的签名，并将所述数据报文及其签名发送至目的接入服务节点； 所述目的接入服务节点通过所述公钥Kout再次计算接收的数据报文的签名，比较该签名与接收到的签名是否匹配，若二者匹配，则判断接收到的数据报文安全。2.如权利要求1所述的方法，其特征在于， 所述接入服务节点为接入服务路由器(ASR)和/或互连互通服务路由器(ISR)； 所述鉴权服务器为鉴权授权计费(AAA)服务器或归属位置寄存/鉴权中心(HLR/AUC)。3.如权利要求1或2所述的方法，其特征在于，所述鉴权服务器通过源接入服务节点与源终端交互确定传输密钥对后， 所述源接入服务节点接收所述源终端发送的所述私钥Kin，或接收所述鉴权服务器发送的所述私钥Kin ； 所述目的接入服务节点接收所述鉴权服务器发送的所述公钥Kout。4.如权利要求3所述的方法，其特征在于， 所述签名为数字摘要。5.如权利要求1所述的方法，其特征在于， 所述鉴权服务器通过源接入服务节点与源终端交互确定传输密钥对的方式包括:所述鉴权服务器通过源接入服务节点与源终端协商传输密钥对。6.一种信息安全传输系统，其特征在于，该系统包括源接入服务节点、鉴权服务器和目的接入服务节点，其中， 所述鉴权服务器，用于通过源接入服务节点对接入的源终端接入认证，以及通过源接入服务节点与源终端交互确定传输密钥对，所述密钥对包括所述私钥Kin和公钥Kout ；所述源接入服务节点，用于通过所述私钥Kin计算所述源终端发送给目的终端的数据报文的签名，并将所述数据报文及其签名发送至目的终端接入的目的接入服务节点； 所述目的接入服务节点，用于接收来自源接入服务节点的数据报文及其签名，以及通过所述公钥Kout再次计 算接收的数据报文的签名，比较本次计算出的签名与接收到的签名是否匹配，若二者匹配，则判断接收到的数据报文安全。7.如权利要求6所述的系统，其特征在于， 所述接入服务节点为接入服务路由器(ASR)和/或互连互通服务路由器(ISR)； 所述鉴权服务器为鉴权授权计费(AAA)服务器或归属位置寄存/鉴权中心(HLR/AUC)。8.如权利要求6或7所述的系统，其特征在于， 所述源接入服务节点，还用于在鉴权服务器通过源接入服务节点与源终端交互确定传输密钥对后，接收所述源终端发送的所述私钥Kin，或接收所述鉴权服务器发送的所述私钥Kin鉴权服务器； 所述目的接入服务节点，还用于在鉴权服务器通过源接入服务节点与源终端交互确定传输密钥对后，接收所述鉴权服务器发送的所述公钥Kout。9.如权利要求8所述的方法，其特征在于，所述签名为数字摘要。10.如权利要求6所述的系统，其特征在于，所述鉴权服务器...

【专利技术属性】
技术研发人员：张世伟，符涛，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东;44