[发明专利]一种安全连接的方法、系统及网元

说明书

技术领域

本发明涉及网络通信领域，具体涉及一种安全连接的方法、系统及网元。

背景技术

在现有TCP/IP体系中，IP地址具有双重功能，既作为网络层主机的网络接口在网络拓扑中的位置标识，又作为传输层的主机网络接口的身份标识。TCP/IP协议设计之初并未考虑主机移动的情况，但随着移动互联网技术和信息技术的发展，主机移动越来越普遍，这种情况下，IP地址的语义缺陷日益明显。当主机的IP地址发生变化时，不仅路由要发生变化，通信终端主机的身份标识也会发生变化，这样会导致路由负载越来越重，而且主机标识的变化会导致应用和连接的中断。

身份标识和位置分离问题提出的目的是为了解决IP地址的语义过载和路由负载严重等问题，将IP地址的双重功能进行分离，实现对移动性、多家乡性、IP地址动态重分配、减轻路由负载及下一代互联网中不同网络区域之间的互访等问题的支持。

为了解决上述问题，目前已经提出了一种身份标识和位置分离网络架构。该架构中包含接入服务路由器(ASR，Access Service Router)、用户终端(UE，User Equipment)、身份位置寄存器(ILR，Identification&Location Register)、互连服务路由器(ISR，Interconnect Service Router)等。其中，接入服务路由器负责实现用户终端的接入，并承担计费以及切换等功能；ILR承担用户的位置注册和身份识别的功能，每一个用户终端都存在唯一的身份标识符，即身份标识(AID)。

在身份标识和位置分离网络中，数据报文在传输中需要经过很多中间节点转发，如经过通用路由器或互连服务路由器等。在数据报文未被加密处理的情况下，攻击者很容易就可以获取到这些信息，从而给用户带来极大的危害。但目前身份标识和位置分离网络架构还没有很好的办法。

发明内容

本发明要解决的技术问题是提供一种安全连接的方法、系统及网元。

为解决上述技术问题，本发明提供了一种安全连接的方法，包括：

终端(UE)在访问SP提供的业务过程中，与该业务提供服务器(SP)共享第一密钥的具有票据服务器(TGS)功能的身份提供服务器(IdP)在接收到该SP发送的重定向消息后，将该UE重定向到认证服务器(AS)进行认证，该具有TGS功能的IdP为部署在该UE归属的运营商网络的IdP，该IdP与AS共享第二密钥，该重定向消息中包含认证请求信息，所述认证请求信息中携带该UE的身份信息、该SP的身份信息和该IdP的身份信息；

该IdP根据从经由UE传递的来自AS的第一票据中的信息判断该UE是否通过AS的认证，如果通过，则生成第二票据，经该UE传递给SP，由SP根据该第二票据中的内容，完成对该UE的认证。

进一步地，所述SP位于身份位置分离网络内时，所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息，所述业务访问请求消息中的UE的身份信息包括：身份位置分离网络为该UE分配的接入标识(AID)。

进一步地，所述SP位于身份位置分离网络外时，所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息，所述业务访问请求消息中的UE的身份信息包括：ISR为该UE分配的与该UE的AID对应的IP地址和端口号。

进一步地，所述IdP在接收到该SP发送的重定向消息后，所述方法还包括：所述IdP根据UE的身份信息从IP地址池中查询UE的AID，利用所述UE的AID将所述UE重定向到AS进行认证。

进一步地，所述IdP在将UE重定向到AS之前，所述方法还包括：所述IdP先与该UE协商认证能力，确认UE支持Kerberos认证。

进一步地，所述IdP根据从经由UE传递的来自AS的第一票据中的信息判断UE是否通过AS的认证，包括：该IdP从经由UE传递的来自AS的第一票据中获取以下信息：UE认证结果、该UE的身份信息、该AS的身份信息、该IdP的身份信息以及时间戳，验证该UE的身份信息、该AS的身份信息、该IdP的身份信息是否与本地保存的一致，以及时间戳是否在限定范围内，如果验证通过，则确认该UE通过AS的认证，所述UE的身份信息包括UE的AID。

进一步地，所述IdP生成的第二票据包括：认证结果、生成的会话密钥、该IdP的身份信息、该SP身份信息、该UE的身份信息和时间戳。