技術領域

本發明涉及通信領域，具體而言，涉及票據的有效性檢驗方法及網絡信令節點。

背景技術

目前，IP多媒體子系統(IP?Multimedia?Core?Network?Subsystem，簡稱為IMS)媒體面采用了一種基于密鑰管理系統的安全機制以實現端到端的媒體密鑰的協商。

針對基于密鑰管理系統的IMS媒體面安全解決方案而言，采用如圖1所示的系統網絡架構示意圖組網后，基于密鑰管理系統(KeyManage?System，簡稱為KMS)的IMS媒體安全解決方案，在用戶A和用戶B之間建立安全的媒體通道的實現流程包括以下處理(步驟S101-步驟S110)：

步驟S101：用戶A、用戶B分別采用通用認證機制(GeneralBootstrapping?Architecture，簡稱為GBA)方式和KMS建立安全連接。

這里，GBA是3GPP定義的一種基于移動通信網絡、輕量級的安全基礎設施，可以為應用層業務提供統一的安全認證服務。KMS作為一個可信任的第三方，能實現密鑰的管理和分發功能，KMS所在的位置還可以采用NAF。

此處，如果無法采用GBA方式，用戶還可以使用其他認證機制和KMS建立安全連接。

步驟S102、用戶A向KMS發出請求，以申請媒體密鑰和票據。

步驟S103、KMS生成媒體密鑰和票據，并把媒體密鑰和票據發給用戶A。媒體密鑰是通過用戶A和KMS的共享密鑰加密傳送的，票據中也包含媒體密鑰，票據有效期等信息。其中，票據中包含的媒體密鑰采用KMS的私有密鑰進行加密，整個票據的完整性也由KMS的私有密鑰來保證。

步驟S104、用戶A把票據包含在發送給用戶B的呼叫請求消息(INVITE)中。

步驟S105、IMS核心網的網元(代理呼叫會話控制功能(ProxyCall?Session?Control?Function，簡稱為P-CSCF)或服務呼叫會話控制功能(Serving?Call?Session?Control?Function，簡稱為S-CSCF)等)從用戶A接收到包含票據的INVITE，并轉發至用戶B。

此處，經過授權的網元可以把票據發送給KMS來獲取媒體密鑰，例如，在后續步驟中，用戶B獲取票據后，可以提交票據給KMS來獲取媒體密鑰。

步驟S106、用戶B接收到INVITE，獲取到票據。

步驟S107、用戶B把票據發送給KMS來獲取媒體密鑰。

步驟S108、KMS取出媒體密鑰，并檢查用戶B的身份。

步驟S109、檢查通過后，KMS使用私有密鑰解密該票據獲取媒體密鑰，并用KMS和用戶B的共享密鑰加密該媒體密鑰發送給用戶B。

步驟S110、用戶B成功接受用戶A的呼叫請求。

在上述步驟中，用戶A需要向KMS發起票據申請請求，用戶B接收到來自用戶A的票據后，需要向KMS提交票據解析請求，因此需要比較大的信令開銷。為了解決這個問題，相關技術中，提出了可重用票據的概念。票據在它的生命期內可以使用多次，票據生命期定義為兩個時間，一個是生效日期和時間，一個是截至日期和時間，可重用票據在生命期內使用可以不需要KMS的介入。因此，步驟S102，步驟S103，步驟S107，步驟S108，步驟S109可以省略。

圖2是票據的基本結構，如圖2所示，通過該票據中的主密鑰的標識(TPK-ID)，定位到只有KMS的私有密鑰TPK，TPK通過密鑰導出函數(Key?Derivation?Funtion，簡稱為KDF)派生出Ke和Ka，Ke用來加密票據中的KEMAC負載(也就是媒體密鑰)，Ka用來完整性保護整個密鑰。

由此產生一個問題，Ka給整個票據提供完整性保護，但是Ka由于是KMS的私有密鑰進行派生，但是可重用票據使用時不需要KMS的介入。因此帶來了兩種方式的攻擊：

第一種：如果終端用戶不具備能力修改票據內容，但是可以通過修改本地時間，使本地時間一直處在票據有效期內，可以達到使用過期票據的目的。

第二種：如果終端用戶具備修改票據的能力，終端只需要修改票據的有效期，可以達到使用過期票據的目的。

發明內容

針對相關技術中終端用戶通過修改本地時間或者修改票據的有效期以達到使用過期密鑰目的的問題而提出本發明，為此，本發明的主要目的在于提供一種改進的票據的有效性檢驗方法及網絡信令節點，以解決上述問題至少之一。

根據本發明的一個方面，提供了一種票據的有效性檢驗方法。