技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通信安全技術(shù)，尤其涉及一種可重用票據(jù)使用方法及終端。

背景技術(shù)

目前IMS媒體面安全采用了一種基于密鑰管理服務(wù)器的機(jī)制來實(shí)現(xiàn)端到端的媒體密鑰的協(xié)商。

針對基于密鑰管理服務(wù)器的IMS媒體面安全解決方案而言，采用如圖1所示的系統(tǒng)網(wǎng)絡(luò)架構(gòu)示意圖組網(wǎng)后，基于KMS(Key?Management?Service，密鑰管理服務(wù)器)的IMS媒體安全解決方案，在用戶A和用戶B之間建立安全的媒體通道的實(shí)現(xiàn)流程包括以下步驟：

步驟101、用戶A、用戶B分別采用通用認(rèn)證機(jī)制(General?BootstrappingArchitecture，GBA)方式和KMS建立安全連接。

這里，GBA是3GPP定義的一種基于移動(dòng)通信網(wǎng)絡(luò)、輕量級(jí)的安全基礎(chǔ)設(shè)施，可以為應(yīng)用層業(yè)務(wù)提供統(tǒng)一的安全認(rèn)證服務(wù)。KMS作為一個(gè)可信任的第三方，能實(shí)現(xiàn)密鑰的管理和分發(fā)功能，KMS在GBA架構(gòu)中扮演NAF(Network?application?function，網(wǎng)絡(luò)應(yīng)用功能)的角色。

其中，如果無法采用GBA方式，用戶可以使用其他認(rèn)證機(jī)制和KMS建立安全連接。

步驟102、用戶A向KMS發(fā)出請求，以申請媒體密鑰和票據(jù)。

步驟103、KMS生成媒體密鑰和票據(jù)，并把媒體密鑰和票據(jù)發(fā)給用戶A。其中，媒體密鑰通過用戶A和KMS的共享密鑰加密傳送。票據(jù)中包含媒體密鑰，票據(jù)有效期等信息。其中票據(jù)中包含的媒體密鑰用KMS的私有密鑰加密，整個(gè)票據(jù)的完整性也由KMS的私有密鑰來保證。

步驟104、用戶A把票據(jù)包含在發(fā)送給用戶B的呼叫請求消息(INVITE)中。

步驟105、IMS核心網(wǎng)的網(wǎng)元P-CSCF(Proxy?Call?Session?ControlFunction，代理呼叫會(huì)話控制功能)，S-CSCF(Serving?Call?Session?ControlFunction，服務(wù)呼叫會(huì)話控制功能)從用戶A接收到包含票據(jù)的INVITE，并轉(zhuǎn)發(fā)給用戶B。

需要指出的是，經(jīng)過授權(quán)的網(wǎng)元可以把票據(jù)發(fā)給KMS來獲取媒體密鑰，比如，后續(xù)步驟中，用戶B獲取票據(jù)后，可以提交票據(jù)給KMS來獲取媒體密鑰。

步驟106、用戶B接收到INVITE，獲取到票據(jù)。

步驟107、用戶B把票據(jù)發(fā)送給KMS來獲取媒體密鑰。

步驟108、KMS取出媒體密鑰，并檢查用戶B的身份。

步驟109、檢查通過后，KMS使用私有密鑰解開票據(jù)獲得媒體密鑰，并用KMS和用戶B的共享密鑰加密該媒體密鑰發(fā)送給用戶B。

步驟110、用戶B成功接受用戶A的呼叫請求。

在上述步驟中，用戶A需要向KMS發(fā)起票據(jù)申請請求，用戶B收到來自用戶A的票據(jù)后，需要向KMS提交票據(jù)解析請求，這需要比較大的信令開銷。為了解決這個(gè)問題，提出了可重用票據(jù)的概念。票據(jù)在它的生命期內(nèi)可以使用多次，票據(jù)生命期定義為兩個(gè)時(shí)間，一個(gè)是生效日期和時(shí)間，一個(gè)是截至日期和時(shí)間，可重用票據(jù)在生命期內(nèi)使用可以不需要KMS的介入。這樣步驟102，103，107，108，109可以省略。但是這帶來了一個(gè)問題，由于沒有KMS的介入，那么決定可重用票據(jù)是否過期只能通過用戶A和用戶B的本地時(shí)間來決定。如果用戶A和用戶B想回避合法監(jiān)聽，只需要修改自己的本地時(shí)間使自己的本地時(shí)間始終在票據(jù)的生命期內(nèi)，讓本來已經(jīng)到期的票據(jù)繼續(xù)使用，這樣通話雙方可以一直使用已經(jīng)過期的票據(jù)來回避合法監(jiān)聽。由于KMS很可能無法解讀已經(jīng)過期的票據(jù)，這樣監(jiān)管機(jī)構(gòu)就很難做有效的合法監(jiān)聽。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題是提供一種可重用票據(jù)使用方法和終端，防止用戶使用無效票據(jù)，逃避合法監(jiān)聽。

為了解決上述問題，本發(fā)明提供了一種可重用票據(jù)使用方法，終端首次收到可重用票據(jù)時(shí)，記錄本地計(jì)數(shù)器當(dāng)前值作為生效計(jì)數(shù)器值，根據(jù)該生效計(jì)數(shù)器值和所述可重用票據(jù)的生命值得到一截至計(jì)數(shù)器值；終端發(fā)送該重可用票據(jù)時(shí)，或者非首次接收到該可重用票據(jù)時(shí)，檢查所述本地計(jì)數(shù)器，如果所述本地計(jì)數(shù)器的值超出所述截至計(jì)數(shù)器值，所述可重用票據(jù)為失效票據(jù)，否則，所述可重用票據(jù)為有效票據(jù)。

進(jìn)一步地，上述方法還可具有以下特點(diǎn)，所述可重用票據(jù)的生命值使用一正整數(shù)表示，所述截至計(jì)數(shù)器值為所述生效計(jì)數(shù)器值與所述生命值相加。