NGN监听系统中实现认证代理的方法及监听网关

摘要

本发明公开了NGN监听系统中实现认证代理的方法及监听网关，本发明通过监听网关代理软交换系统实现了与监听中心的认证，使得监听中心可通过监听网关与软交换系统实现NGN接口，通过监听网关的代理分发作用，即监听网关将警用接口消息在不同软交换系统与监听中心之间正确分发，使得不同的软交换系统可以接入到多个不同的监听中心。

说明书

技术领域

本发明涉及信息安全技术，尤其涉及一种NGN监听系统中实现认证代理的方法及监听网关。

背景技术

NGN(Next Generation Network，下一代网络)通信技术是今后固网通信发展的重点，其为现有传统固网向固网3G的平滑过渡提供了非常重要的技术保证。随着NGN通信技术以及其网络建设的不断发展，对NGN网络实现监听将显得越来越重要。

为了保证NGN接口的安全，防止非法软交换系统对警用信息中心的恶意攻击，以及非法的警用信息中心接入软交换系统执行非法监听活动，要求警用信息中心与软交换系统之间在建立信令和业务连接时，双方需要进行身份认证。同时为提高监听活动的保密性，防止监听相关的信息、被控目标活动事件和通信内容被非法窃取，也需要对监听信息进行加密。

请参阅图1，该图为现有技术中监听中心与软交换系统采用直联方式下的NGN监听系统的结构示意图，在这种监听中心与软交换系统采用直联方式对接实现NGN接口的系统架构下，身份认证及加密的功能是由软交换系统与监听中心共同实现。其中，软交换系统用于完成对监听中心的身份认证及对自身发送给监听中心接口的信息进行加密这一部分功能；监听中心完成对软交换系统的身份认证及对自身发送给软交换系统接口的信息进行加密这一部分功能。同时，在此种体系架构下，一个软交换系统只能接入到一个监听中心，因此不同的软交换系统各自独立地实现与监听中心的身份认证以及信息加密，即使这些不同的软交换系统接入到同一个监听中心。

发明内容

本发明提供一种NGN监听系统中实现认证代理的方法及监听网关，用以通过监听网关代理完成软交换系统与监听中心之间的身份认证。

本发明技术方案如下：

一种NGN监听系统中实现认证代理的方法，包括步骤：

A、监听网关预先为每个软交换系统配置对应的软交换邻接局，为每个监听中心配置对应的监听中心邻接局，为每个监听中心侧本地分发端口指定与其存在底层链路连接关系的监听中心远端端口，以及存在逻辑连接关系的软交换侧本地端口；

B、当监听网关收到监听中心发起的与NGN接口1认证相关的请求消息时，通过承载该消息的底层链路提供的监听中心侧本地分发端口查询监听中心邻接局中配置的认证参数，完成对监听中心的身份认证；

C、监听网关根据认证结果产生认证响应消息，将该认证响应消息返回监听中心。

对监听中心进行身份认证的具体过程为：

监听网关依据认证参数，按照预设的认证算法产生认证字段，将其与所述请求消息中携带的认证字段进行比较，若一致，则向监听中心返回认证成功的响应消息，否则，向监听中心返回认证失败的响应消息。

若监听网关产生的认证字段与所述请求消息中携带的认证字段一致，则监听网关依据监听中心邻接局中配置的认证加密参数，通过预设的产生加密密钥和应答字段的算法产生加密密钥及应答字段；

监听网关以监听中心邻接局及软交换邻接局为索引，保存所述加密密钥，同时将带有认证成功及应答字段的认证响应消息发送给监听中心。

一种NGN监听系统中实现认证代理的监听网关，包括配置信息存储模块及认证模块，其中，

配置信息存储模块，用于存储监听中心邻接局配置及软交换邻接局配置，与监听中心侧本地分发端口存在底层链路连接关系的监听中心远端端口，以及与监听中心侧本地分发端口存在逻辑连接关系的软交换侧本地端口；

认证模块，用于在收到监听中心发起的与NGN接口1认证相关的请求消息时，通过承载该消息的底层链路提供的监听中心侧本地分发端口查询监听中心邻接局中配置的认证参数，完成对监听中心的身份认证，根据认证结果产生认证响应消息，将认证响应消息返回监听中心。

所述认证模块中进一步包括：

判断子模块，用于依据认证参数，按照预设的认证算法产生认证字段，将其与所述请求消息中携带的认证字段进行比较，若一致，则向监听中心返回认证成功的响应消息，否则，向监听中心返回认证失败的响应消息。

还包括：

加密密钥及应答字段产生模块，在判断子模块产生的认证字段与所述请求消息中携带的认证字段一致时，依据监听中心邻接局中配置的认证加密参数，通过预设的产生加密密钥和应答字段的算法产生加密密钥及应答字段，将应答字段通过认证成功的响应消息发送给监听中心；

加密模块，用于以软交换系统邻接局及监听中心邻接局为索引，保存加密密钥，此后根据NGN接口1消息发起方以及接收方对应的邻接局查询获取用于加密该消息的加密密钥，对此消息进行加密。

一种NGN监听系统中实现认证代理的方法，包括步骤：

A、监听网关预先为每个软交换系统配置对应的软交换邻接局，为每个监听中心配置对应的监听中心邻接局，为每个监听中心侧本地端口指定与其存在底层链路连接关系的监听中心远端分发端口，以及存在逻辑连接关系的软交换侧本地端口；

B、当监听网关收到软交换系统发起的与NGN接口2认证相关的请求消息时，通过承载该消息的底层链路提供的软交换侧本地端口查询对应的监听中心侧本地端口及该端口所属局向，若该局向当前未通过身份认证，则利用监听中心邻接局中配置的认证参数代理软交换系统完成对监听中心的身份认证。

所述步骤B中，若所述监听中心侧本地端口所属局向当前已通过身份认证，则监听网关释放相关资源，结束处理流程。

所述监听网关代理软交换系统对监听中心进行身份认证的具体过程为：

B1、监听网关根据所述监听中心邻接局中配置的认证参数，按照预设的认证算法产生认证字段，组成包含此认证字段的与NGN接口2认证相关的请求消息发送给监听中心；

B2、若监听网关在预设时间间隔内收到监听中心返回的认证成功的响应消息，则依据所述监听中心邻接局中配置的认证参数，通过预设的产生应答字段的算法产生应答字段，转步骤B3，否则，释放相关资源，流程结束；

B3、监听网关判断步骤B2中产生的应答字段与认证成功响应消息中携带的应答字段是否一致，若一致，则对监听中心的认证通过，流程结束，否则，释放相关资源，流程结束。

所述步骤B2中，监听网关在产生应答字段的同时，依据所述监听中心邻接局配置中的加密参数，通过预设的产生加密密钥的算法产生加密密钥；

若监听中心通过认证，则监听网关利用所述监听中心邻接局及软交换系统邻接局做索引，保存所述加密密钥。

一种NGN监听系统中实现认证代理的监听网关，包括配置信息存储模块及认证模块，其中，

配置信息存储模块，用于存储监听中心邻接局配置及软交换邻接局配置，与监听中心侧本地端口存在底层链路连接关系的监听中心远端分发端口，以及与监听中心侧本地端口存在逻辑连接关系的软交换侧本地端口；

认证模块，用于在收到软交换系统发起的与NGN接口2认证相关的请求消息时，通过承载该消息的底层链路提供的软交换侧本地端口查询对应的监听中心侧本地端口及该端口所属局向，若该局向当前未通过身份认证，则利用监听中心邻接局中配置的认证参数代理软交换系统完成对监听中心的身份认证。

所述认证模块中进一步包括认证请求子模块、第一判断子模块、应答字段产生子模块及第二判断子模块，其中，

认证请求子模块，用于根据所述监听中心邻接局中配置的认证参数，按照预设的认证算法产生认证字段，组成包含此认证字段的与NGN接口2认证相关的请求消息发送给监听中心，以及接收监听中心返回的认证响应消息；

第一判断子模块，用于判断在预设时间间隔内能否收到监听中心返回的认证成功的响应消息，若是，触发应答字段产生子模块产生应答字段，否则，释放相关资源；

应答字段产生子模块，用于依据监听中心邻接局中配置的认证参数，通过预设的产生应答字段的算法产生应答字段；

第二判断子模块，用于判断应答字段产生子模块产生的应答字段与认证成功响应消息中携带的应答字段是否一致，若一致，则对监听中心的认证通过，否则，释放相关资源。

还包括：

加密密钥产生模块，在应答字段产生子模块产生应答字段的同时，用于依据所述监听中心邻接局配置中的加密参数，通过预设的产生加密密钥的算法产生加密密钥；

加密模块，用于以软交换系统邻接局及监听中心邻接局为索引，保存所述加密密钥，此后根据NGN接口2消息发起方以及接收方对应的邻接局查询获取用于加密该消息的加密密钥，对此消息进行加密。

由于本发明采用了以上技术方案，因此具有以下有益效果：

本发明通过监听网关代理软交换系统实现了与监听中心的认证，使得监听中心可通过监听网关与软交换系统实现NGN接口，通过监听网关的代理分发作用，即监听网关将警用接口消息在不同软交换系统与监听中心之间正确分发，使得不同的软交换系统可以接入到多个不同的监听中心。

附图说明

图1为现有技术中监听中心与软交换系统采用直联方式下的NGN监听系统的结构示意图；

图2为本发明中监听网关作代理下的NGN监听系统的结构示意图；

图3为监听中心通过NGN接口1向软交换系统发起监听相关指令的示意图；

图4为软交换系统通过NGN接口2向监听中心上报呼叫事件的示意图；

图5为本发明中在NGN接口1下实现认证代理的方法的流程图；

图6为本发明中NGN接口1下监听网关内部的逻辑连接关系图；

图7为本发明中在NGN接口1下实现认证代理的监听网关的结构框图；

图8为本发明中在NGN接口2下实现认证代理的方法的流程图；

图9为本发明中NGN接口2下的监听网关内部的逻辑连接关系图；

图10为本发明在NGN接口2下实现认证代理的监听网关的结构框图。

具体实施方式

下面结合各个附图对本发明的具体实现过程做进一步详细的说明。

请参阅图2，该图为本发明中监听网关作代理下的NGN监听系统的结构示意图，在这种由监听网关作代理，监听中心通过监听网关与软交换系统实现NGN接口的系统架构下，由于通过监听网关的代理分发作用，即监听网关将警用接口消息在不同软交换系统与监听中心之间正确分发，不同的软交换系统可以接入到多个不同的监听中心。很显然，在这种情况下，不同软交换系统和监听中心之间的身份认证及加密不能直接在两者之间进行，而是需要由监听网关提供身份认证及加密的代理功能，即由监听网关代理所有不同的软交换系统完成与不同监听中心之间的身份认证以及加密功能。

图2所示的NGN监听体系中涉及了两种接口，分别为NGN接口1和NGN接口2。其中，NGN接口1是监听中心向软交换系统发起监听相关指令，以及软交换系统向监听中心回复相应的指令应答的接口，所述监听相关指令包括连接建立、连接释放、被控目标设定、被控目标撤消、被控目标列示、被控目标信息查询等，请参阅图3，该图为监听中心通过NGN接口1向软交换系统发起监听相关指令的示意图。NGN接口2是软交换系统向监听中心上报监听呼叫中产生的与呼叫相关的事件以及与呼叫无关的事件的接口，其中呼叫相关事件包括呼叫建立事件、振铃事件、应答事件、释放事件等，呼叫无关事件包括补充业务操作事件、用户注册事件、用户离线事件、消息发送事件、消息接收事件等，请参阅图4，该图为软交换系统通过NGN接口2向监听中心上报呼叫事件的示意图。

基于图2所示的监听系统，本发明提出了在NGN接口1下实现认证代理的方法和相应的监听网关，以及在NGN接口2下实现认证代理的方法和相应的监听网关，下面分别予以说明。

请参阅图5，该图为本发明中在NGN接口1下实现认证代理的方法的流程图，其主要实现过程为：

步骤50、在监听网关上预先进行如下配置，使得监听网关可以通过底层链接清楚地了解到经由它的所有警用接口消息是来自哪个监听中心，同时需要处理后转至哪个软交换系统，具体配置如下：

对与监听网关对连的每个监听中心配置一个相应的监听中心邻接局，其中局配置包括监听中心的IP地址、用于建立NGN接口1底层数据链路的监听中心侧本地分发端口、认证及加密参数；对与监听网关对连的每个软交换系统配置一个相应的软交换邻接局，其中包括软交换系统的IP地址及软交换侧本地端口；对每个监听中心邻接局中配置的本地分发端口，配置与此端口存在底层数据链路连接关系的监听中心远端端口、软交换系统侧本地端口。通过上述配置，确定出如图6所示的本发明中NGN接口1下的监听网关内部的逻辑连接关系图。

步骤51、当监听网关收到监听中心发起的与NGN接口1认证相关的请求消息后，监听网关通过底层链接提供的监听中心侧本地分发端口及监听中心远端端口信息，查询NGN接口1下的监听网关内部的逻辑连接关系获取对应的监听中心邻接局，同时通过认证相关请求消息中携带的被控目标标示查询需要分发的软交换邻接局。

步骤52、监听网关依据监听中心邻接局配置中的认证加密参数，通过预设的认证算法产生认证字段。

步骤53、监听网关将步骤52中产生的认证字段与监听中心发起的与NGN接口1认证相关的请求消息中携带的认证字段进行一致性检查，如果两者一致，转步骤54，如果两者不一致，转步骤57。

步骤54、监听网关依据监听中心邻接局配置中的认证加密参数，通过预设的产生加密密钥和应答字段的算法依次产生加密密钥及应答字段。

步骤55、监听网关用监听中心邻接局及软交换邻接局做索引，保存步骤54中产生的加密密钥，同时将带有认证成功及应答字段的认证响应消息发送给监听中心。

步骤56、当监听网关收到NGN接口1上需要加密的消息时，按照消息发起方以及接收方对应的邻接局查询出对应的加密密钥，并通过预设的加密算法对该消息进行加密。

步骤57、监听网关将带有认证失败字段的认证响应消息发送到监听中心，并释放相关资源。

相应于本发明上述方法，本发明进而提出了一种在NGN接口1下实现认证代理的监听网关，请参阅图7，该图为本发明在NGN接口1下实现认证代理的监听网关的结构框图，其主要包括配置信息存储模块、认证模块、加密密钥及应答字段产生模块、加密模块，其中各个模块的主要作用如下：

配置信息存储模块，用于存储监听中心邻接局配置及软交换邻接局配置，以及与监听中心邻接局配置中的本地分发端口存在底层数据链路连接关系的监听中心远端端口及软交换系统侧本地端口；所述监听中心邻接局配置包括监听中心的IP地址、用于建立NGN接口1底层数据链路的监听中心侧本地分发端口、认证及加密参数，软交换邻接局配置中包括软交换系统的IP地址及软交换侧本地端口。

认证模块，用于在收到监听中心发起的与NGN接口1认证相关的请求消息后，通过底层链接提供的监听中心侧本地分发端口及监听中心远端端口获取对应的监听中心邻接局，同时通过认证相关请求消息中携带的被控目标标示查询需要分发的软交换邻接局，依据监听中心邻接局配置中的认证参数完成身份的认证，同时产生相应的认证响应消息，通过上述监听中心侧本地分发端口与监听中心远端端口之间对应的底层数据链路，发送回监听中心。

其中，所述认证模块中进一步包括：

判断子模块，用于依据认证参数，按照预设的认证算法产生认证字段，将其与所述请求消息中携带的认证字段进行比较，若一致，则向监听中心返回认证成功的响应消息，否则，向监听中心返回认证失败的响应消息。

加密密钥及应答字段产生模块，在判断子模块产生的认证字段与所述请求消息中携带的认证字段一致时，依据监听中心邻接局中配置的认证加密参数，通过预设的产生加密密钥和应答字段的算法产生加密密钥及应答字段，将应答字段通过认证成功的响应消息发送给监听中心；

加密模块，用于以软交换系统邻接局及监听中心邻接局为索引，保存加密密钥，此后根据NGN接口1消息发起方以及接收方对应的邻接局查询获取用于加密此消息的加密密钥，对此消息进行加密。

请参阅图8，该图为本发明中在NGN接口2下实现认证代理的方法的流程图，其主要实现过程为：

步骤80、在监听网关上预先进行如下配置，使得监听网关可以通过底层链接清楚地了解到经由它的所有警用接口消息是来自哪个软交换系统，同时需要处理后转至哪个监听中心，具体配置如下：

对与监听网关对连的每个监听中心配置一个相应的监听中心邻接局，其中局配置包括监听中心的IP地址、用于建立NGN接口2底层数据链路的监听中心侧本地端口、认证及加密参数；对与监听网关对连的每个软交换系统配置一个相应的软交换邻接局，其中包括软交换系统的IP地址及软交换侧本地端口；对每个监听中心邻接局中配置的本地端口，配置与此端口存在底层数据链路连接关系的监听中心远端分发端口、软交换系统侧本地端口。通过上述配置，确定出如图9所示的本发明中NGN接口2下的监听网关内部的逻辑连接关系图。

步骤81、当监听网关收到软交换系统发起的与NGN接口2认证相关的请求消息后，监听网关通过底层链接提供的软交换系统侧本地端口查询NGN接口2下的监听网关内部的逻辑连接关系获取对应的软交换邻接局以及监听中心侧本地端口，同时通过认证相关请求消息中携带的被控目标标示查询出需要分发的监听中心邻接局。

步骤82、监听网关判断所述监听中心邻接局上是否已经成功发起过对监听中心NGN接口2的认证，如果没有，转步骤83，否则，转步骤90。

步骤83、监听网关根据所述监听中心邻接局配置中的认证参数，按照预设的认证算法产生认证字段，组成包含此认证字段的与NGN接口2认证相关的请求消息并发送给监听中心。

步骤84、监听网关等待监听中心返回NGN接口2认证响应消息，如果未超时，转步骤85，如果超时，转步骤90。

步骤85、监听网关判断所述NGN接口2认证响应消息中携带的认证结果字段，如果认证成功，转步骤86，如果认证失败，转步骤90。

步骤86、监听网关依据所述监听中心邻接局配置中的认证及加密参数，通过预设的产生加密密钥和应答字段的算法依次产生加密密钥及应答字段。

步骤87、监听网关将步骤86中产生的应答字段与所述NGN接口2认证响应消息中携带的应答字段进行一致性检查，如果一致，转步骤88，如果不一致，转步骤90。

步骤88、监听网关利用所述监听中心邻接局及软交换系统邻接局做索引，保存步骤86中产生的加密密钥。

步骤89、当监听网关收到NGN接口2上需要加密的消息时，按照消息发起方以及接收方对应的邻接局查询出对应的加密密钥，并通过相应加密算法对该消息进行加密。

步骤90、释放相关资源，结束处理流程。

相应于本发明上述方法，本发明进而提出了一种在NGN接口2下实现认证代理的监听网关，请参阅图10，该图为本发明在NGN接口2下实现认证代理的监听网关的结构框图，其主要包括配置信息存储模块、认证模块、加密密钥产生模块及加密模块，其中各个模块的主要作用如下：

配置信息存储模块，用于存储监听中心邻接局配置及软交换邻接局配置，以及与监听中心邻接局配置中的本地端口存在底层数据链路连接关系的监听中心远端分发端口及软交换系统侧本地端口；所述监听中心邻接局配置包括监听中心的IP地址、用于建立NGN接口2底层数据链路的监听中心侧本地端口、认证及加密参数，软交换邻接局配置中包括软交换系统的IP地址及软交换侧本地端口。

认证模块，用于在收到软交换系统发起的与NGN接口2认证相关的请求消息后，通过底层链接提供的软交换侧本地端口查询对应的监听中心侧本地端口以及此端口所属的局向，如果该局向上已经成功发起过认证，就不需要再发起认证；否则，利用监听中心邻接局配置中的认证参数代理软交换系统向监听中心发起与NGN接口2认证相关的请求消息，通过上述监听中心侧本地端口与对应的监听中心远端分发端口之间的底层数据链路发送至监听中心。

所述认证模块中进一步包括认证请求子模块、第一判断子模块、应答字段产生子模块及第二判断子模块，其中，

认证请求子模块，用于根据所述监听中心邻接局中配置的认证参数，按照预设的认证算法产生认证字段，组成包含此认证字段的与NGN接口2认证相关的请求消息发送给监听中心，以及接收监听中心返回的认证响应消息；

第一判断子模块，用于判断在预设时间间隔内能否收到监听中心返回的认证成功的响应消息，若是，触发应答字段产生子模块产生应答字段，否则，释放相关资源；

应答字段产生子模块，用于依据监听中心邻接局中配置的认证参数，通过预设的产生应答字段的算法产生应答字段；

第二判断子模块，用于判断应答字段产生模块产生的应答字段与认证成功响应消息中携带的应答字段是否一致，若一致，则对监听中心的认证通过，否则，释放相关资源。

加密密钥产生模块，在应答字段产生子模块产生应答字段的同时，用于依据所述监听中心邻接局配置中的加密参数，通过预设的产生加密密钥的算法产生加密密钥。

加密模块，用于以软交换系统邻接局及监听中心邻接局为索引，保存所述加密密钥，此后根据NGN接口2消息发起方以及接收方对应的邻接局查询获取用于加密该消息的加密密钥，对此消息进行加密。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。