技術領域

本發明涉及通信領域，尤其涉及一種訪問控制方法和裝置。

背景技術

在IP多媒體子系統(IP?Multimedia?Subsystem，IMS)中，為保護媒體流在端到端之間的安全傳輸，通過在IMS系統中配置密鑰管理系統(KeyManagement?System，KMS)，所述KMS負責提供用戶鑒權、密鑰生成等功能。以KMS保護所述IMS系統中用戶A和用戶B的通信連接為例進行說明，其中所述用戶A和所述用戶B分別與所述KMS采用GBA(Genericbootstrapping?architecture)機制建立安全通道如圖1所示：

步驟1、所述用戶A向所述KMS申請用于與所述用戶B通訊的第一媒體密鑰和加密的票據，所述加密的票據包括第二媒體密鑰和用戶B的信息，其中所述第一媒體密鑰和所述第二媒體密鑰相同；

步驟2、所述KMS生成所述媒體密鑰和加密的票據，并發送給所述用戶A；

步驟3、所述用戶A通過IMS核心網向用戶B發送通信請求和所述加密的票據；

步驟4、所述用戶B將接收到的加密的票據發送給所述KMS，請求得到所述加密的票據中的第二媒體密鑰；

步驟5、所述KMS解密用戶B發來的票據，驗證所述用戶B和所述加密的票據中被叫用戶信息是否一致，如果一致，發送所述加密的票據中的第二媒體密鑰給用戶B；

步驟6、所述用戶B在接收到所述第二媒體密鑰后，接受用戶A的通信請求。

由此，所述用戶A和用戶B進行通信。

在實現上述過程中，如果攻擊者截取所述用戶A的票據，并對截取的票據進行篡改，破壞票據的完整性，并發送大量篡改后的票據給所述用戶B，所述用戶B會將所述大量篡改后的票據發送給KMS，導致KMS無法及時響應所述用戶B的服務請求，遭受到拒絕服務攻擊，造成網絡通信安全性低的問題。

發明內容

本發明提供一種訪問控制方法和裝置，能夠減少不完整票據在網絡中的傳輸。

為了解決上述問題，本發明提供了如下技術方案：

一種訪問控制方法，包括：

網絡信令節點接收第一用戶向第二用戶發送用于建立通信連接的MICKEY消息；

驗證所述MICKEY消息是否完整；

若完整，則允許所述第一用戶訪問所述第二用戶。

進一步的，所述方法還具有如下特點：

若不完整，則拒絕所述第一用戶訪問所述第二用戶。

進一步的，所述方法還具有如下特點：

所述MICKEY消息包括MICKEY消息完整性保護密鑰(MPK)和MICKEY消息授權碼(MAC)；

所述網絡信令節點驗證所述MICKEY消息具體包括如下步驟：

從所述MICKEY消息中獲取MPK；

采用所述MPK對所述MICKEY消息進行完整性驗證，得到所述MICKEY消息對應的MAC；

將所述獲取的MAC與所述MICKEY消息攜帶的MAC進行比較；

如果所述獲取的MAC與所述MICKEY消息攜帶的MAC相同，確定所述MICKEY消息完整；否則，確定所述MICKEY消息不完整。

進一步的，所述方法還具有如下特點：

如果所述MICKEY消息中MPK是通過完整性保護密鑰信息加密后的MPK，所述網絡信令節點從所述MICKEY消息中提取MPK具體包括如下步驟：

所述網絡信令節點根據配置的記錄有所述MICKEY消息的密鑰標識和完整性保護密鑰信息的對應關系信息，獲取用于解密所述MPK的密鑰信息；

采用所述用于解密所述MPK的密鑰信息，對MPK進行解密，得到解密后的MPK。

進一步的，所述方法還具有如下特點：

如果所述MICKEY消息是通過包括所述完整性保護密鑰信息在內的至少兩個密鑰信息進行保護的，所述完整性保護密鑰信息是由所述至少兩個密鑰信息共用的一個主密鑰TPK派生的或者由多個主密鑰中完整性保護主密鑰TPKa派生的；

如果所述完整性保護密鑰信息是由所述TPK派生的，所述MICKEY消息的密鑰標識和完整性保護密鑰信息的對應關系信息為所述MICKEY消息的密鑰標識和所述TPK的對應關系；

如果所述完整性保護密鑰信息是由所述獨立主密鑰派生的，所述MICKEY消息的密鑰標識和完整性保護密鑰信息的對應關系信息為所述MICKEY消息的密鑰標識和所述TPKa的對應關系。

進一步的，所述方法還具有如下特點：

所述網絡信令節點為P-CSCF或者S-CSCF。