CN101068143B - 一种网络设备认证方法 - Google Patents
一种网络设备认证方法 Download PDFInfo
- Publication number
- CN101068143B CN101068143B CN2007100733163A CN200710073316A CN101068143B CN 101068143 B CN101068143 B CN 101068143B CN 2007100733163 A CN2007100733163 A CN 2007100733163A CN 200710073316 A CN200710073316 A CN 200710073316A CN 101068143 B CN101068143 B CN 101068143B
- Authority
- CN
- China
- Prior art keywords
- network equipment
- center
- authentication
- key
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种网络设备认证方法,包括:提供智能卡给网络设备;网络设备生成随机数R,并利用加密密钥KAC对R进行加密,得到加密结果E;网络设备将上述加密结果E、随机数R、网络设备身份标识IDNE中的一个或多个发送给CA中心;CA中心利用加密密钥KAC对上述加密结果E进行解密,并为所述网络设备分配一个通信密钥KCC并将通信密钥KCC以及已在该中心认证通过的其他网络设备身份标识及相应的通信密钥,利用加密密钥KAC加密后通知到该新接入网络设备;CA中心将所述新网络设备IDNE及其通信密钥KCC通知到已经该中心认证通过的其他网络设备。
Description
技术领域
本发明涉及电信通讯行业的安全领域,特别涉及通讯网络设备的认证技术。
背景技术
在电信通讯行业中,为了向用户提供安全可靠的通讯环境,通常要求能够看到用户的安全上下文的网络设备是可信的。然而,在现有的通讯环境中,存在能够看到用户安全上下文的网络设备是没有经过可靠的认证中心认证就相信该网络设备是可信的情况,比如:某些网络设备是因为它是部署在运营商机房内部而相信它是可信的,而未对其进行认证。这样,这种网络设备存在被假冒的可能,因而当用户需要通过这种网络设备进行通信时,就存在安全风险。
在3G中,VLR(Visit Locaton Register)是指用户访问网络寄存器,HLR(Home Locaton Register)是指用户访问的归属位置寄存器,MS(mobilestation)是指诸如手机之类的移动台。在3GPP安全架构中,HLR默认VLR是可信的,是属于信任域的对象,因而在安全协议中HLR未对VLR进行认证即承认VLR是安全可信的对象。这就存在如下的安全漏洞:MS可能被假冒的VLR欺骗,进而威胁MS的通讯安全。
发明内容
本发明的目的在于,提供一种利用CA中心认证网络设备的认证方法,使得通过该CA中心认证的网络设备为用户提供的通信都是可信的,并且未经过CA中心认证的网络设备无法和为用户提供通信环境,从而达到在这些网络设备中为用户提供安全通信的目的。
为解决上述技术问题,本发明提供一种网络设备认证方法,所述方法包括:
提供智能卡给需要认证的网络设备,所述智能卡至少包括网络设备身份标识IDNE、和CA中心共享的加密密钥KAC中的一个或多个信息;
网络设备生成随机数R,并利用加密密钥KAC对随机数R进行加密,得到加密结果E;
网络设备将上述加密结果E、随机数R、网络设备身份标识IDNE中的一个或多个发送给CA中心;
CA中心利用加密密钥KAC对所述的加密结果E进行解密,并将解密后的值与网络设备的原始随机数值R比较是否相同,如果相同,继续执行后续步骤,否则结束;
CA中心为所述网络设备分配一个通信密钥KCC,并将所述通信密钥KCC以及已经在该中心认证通过的其他网络设备身份标识及相应的通信密钥,利用加密密钥KAC加密后通知到该新接入网络设备;
CA中心将所述新网络设备IDNE及其通信密钥KCC通知到已经该中心认证通过的其他网络设备。
其中,网络设备在上电或复位重启时进行认证。
其中,CA中心发现加密结果E解密后的值与网络设备的原始随机数值R不同时,向该网络设备返回认证失败消息。
其中,CA中心通知IDNE、KCC到已经认证过所有其他的网络设备的方式包括以下的一个或多个:广播方式、逐个通知等待应答的方式。
本发明还提供一种使用上述认证方法的数据发送方法,其特征在于:网络设备NEi发送通信数据到另一网络设备NEj时,使用通信密钥KCCj对通信数据加密后发送,网络设备NEj接收相应网络设备NEi的通信数据时,使用通信密钥KCCj解密后还原相应的通信数据。
其中,根据信息的敏感程度,提供可选加密标志,对需要加密的数据进行加密。
本发明提供了一种利用CA中心发放智能卡的方法完成网络设备的认证,整个认证过程比较简单,但是能够有效解决网络设备未经认证即可使用造成用户通讯威胁。
附图说明
图1是本发明应用的消息序列图;
图2是本发明实施例的消息序列图。
具体实施方式
为便于深刻理解本发明的技术内容,下面结合附图及具体实施例对本发明进行详细说明。
本发明提供的一种网络设备认证方法,所述方法包括:
提供智能卡给需要认证的网络设备,所述智能卡至少包括网络设备身份标识IDNE、和CA中心共享的加密密钥KAC中的一个或多个信息;
网络设备生成随机数R,并利用加密密钥KAC对随机数R进行加密,得到加密结果E(K,R);
网络设备将上述加密结果E(K,R)、随机数R、网络设备身份标识IDNE发送给CA中心;
CA中心利用和网络设备共享的加密密钥KAC对所述的加密结果E(K,R)进行解密,并将解密后的值与网络设备的原始随机数值R比较是否相同,如果相同,继续执行后续步骤,否则结束或CA中心向该网络设备返回认证失败消息;
CA中心为所述网络设备分配一个通信密钥KCC,并将所述通信密钥KCC以及已经在该中心认证通过的、并且该新网络设备需要的其他网络设备身份标识IDNE1、…、IDNEn及相应的通信密钥KCC1、…、KCCn,利用加密密钥KAC加密后通知到该新接入网络设备;
CA中心将所述新网络设备IDNE及其通信密钥KCC通知到已经该中心认证通过的其他网络设备。
请参考图1和图2。下面将结合3G中对VLR的认证给出本发明的一个实施例,具体了解本发明是如何完成VLR的认证。在3G中,VLR是指用户访问网络寄存器,HLR是指用户访问的归属位置寄存器,MS是指诸如手机之类的移动台。
步骤一:给需要认证的VLR制作智能卡,智能卡包括如下安全信息:IDVLR、和CA中心共享的加密密钥KAC,然后将该智能卡给该VLR使用;智能卡除还可以包括除此之外的其他信息;
步骤二:VLR在上电或者复位重启时,生成随机数R,利用智能卡中和CA中心共享的加密密钥KAC对随机数R进行加密,加密结果用E(K,R)表示;
步骤三:VLR将网络设备身份标识IDVLR、随机数R、加密结果E(K,R)发送给CA中心;
步骤四:CA中心利用和VLR共享的加密密钥KAC对加密结果E(K,R)进行解密;并对加密结果E(K,R)解密后的值与VLR的原始随机数R比较是否相同,如果相同,执行步骤六,否则结束或CA中心向该网络设备返回认证失败消息;
步骤六:CA中心为该VLR分配一个通信密钥KCC,然后将各个已经在该中心认证通过的网络设备身份标识IDHLRi及其对应的通信密钥KCCi,利用加密密钥KAC加密后通知到该VLR,即通知新VLR的消息为:E(KAC、KCC、IDHLR1、KCC1、…、IDHLRn、KCCn);
步骤七:CA中心将网络设备身份标识IDVLR、通信密钥KCC通知到已经该中心认证通过的各个HLR。通知网络设备HLRi时,使用HLRi和CA中心共享的加密密钥KACi加密后发送给网络设备HLRi,即通知HLRi的消息为:E(KACi、IDVLR、KCC)。CA中心可以采用广播方式、逐个通知等待应答等方式通知已经认证过所有其他的网络设备,但不限于上述方式;CA中心通知IDNE、KCC到已经认证过所有其他的网络设备的通知内容不限于IDNE、KCC,可以扩充增加其他的内容。
VLR发送通信数据到HLR时,使用该VLR的通信密钥KCCv进行加密通信数据后发送,HLR接收VLR的通信数据时,使用从AC中心获得的该VLR的通信密钥KCCv解密后还原相应的通信数据。相应地,HLR发送通信数据到VLR时,使用该HLR的通信密钥KCCh进行加密通信数据后发送,VLR接收该HLR的通信数据时,使用从AC中心获得的该HLR的通信密钥KCCh解密后还原相应的通信数据。其中,根据信息的敏感程度,不是所有的数据都需要加密,可以提供可选加密标志。
采用本发明,能够方便的完成VLR及HLR的相互认证,能够拒绝MS无法通过假冒的VLR接入,从而在VLR和HLR构筑的网络环境中为MS安全通信提供了保证。
当然,本发明还可有其他多种实施例,比如可以完成HLR接入时的认证。在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (6)
1.一种网络设备认证方法,所述方法包括:
提供智能卡给需要认证的网络设备,所述智能卡至少包括网络设备身份标识IDNE和CA中心共享的加密密钥KAC;
网络设备生成随机数R,并利用加密密钥KAC对随机数R进行加密,得到加密结果E;
网络设备将上述加密结果E、随机数R、网络设备身份标识IDNE发送给CA中心;
CA中心利用加密密钥KAC对所述的加密结果E进行解密,并将解密后的值与网络设备的原始随机数值R比较是否相同,如果相同,继续执行后续步骤,否则结束;
CA中心为所述网络设备分配一个通信密钥KCC,并将所述通信密钥KCC以及已经在该中心认证通过的其他网络设备身份标识及相应的通信密钥,利用加密密钥KAC加密后通知到所述网络设备;
CA中心将所述网络设备IDNE及其通信密钥KCC通知到已经该中心认证通过的其他网络设备。
2.根据权利要求1所述的方法,其特征在于:网络设备在上电或复位重启时进行认证。
3.根据权利要求1所述的方法,其特征在于:CA中心发现加密结果E解密后的值与网络设备的原始随机数值R不同时,向该网络设备返回认证失败消息。
4.根据权利要求1所述的方法,其特征在于:CA中心将所述网络设备IDNE及其通信密钥KCC通知到已经该中心认证通过的其他网络设备的方式包括以下的一个或多个:广播方式、逐个通知等待应答的方式。
5.一种应用权利要求1所述网络设备认证方法的数据发送方法,其特征在于:网络设备NEi发送通信数据到另一网络设备NEj时,使用通信密钥KCCj对通信数据加密后发送,网络设备NEj接收相应网络设备NEi的通信数据时,使用通信密钥KCCj解密后还原相应的通信数据。
6.如权利要求5所述的方法,其特征在于:根据信息的敏感程度,提供可选加密标志,对需要加密的数据进行加密。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100733163A CN101068143B (zh) | 2007-02-12 | 2007-02-12 | 一种网络设备认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100733163A CN101068143B (zh) | 2007-02-12 | 2007-02-12 | 一种网络设备认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101068143A CN101068143A (zh) | 2007-11-07 |
CN101068143B true CN101068143B (zh) | 2012-04-11 |
Family
ID=38880588
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007100733163A Expired - Fee Related CN101068143B (zh) | 2007-02-12 | 2007-02-12 | 一种网络设备认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101068143B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101222772B (zh) * | 2008-01-23 | 2010-06-09 | 西安西电捷通无线网络通信有限公司 | 一种基于id的无线多跳网络认证接入方法 |
CN101222325B (zh) | 2008-01-23 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | 一种基于id的无线多跳网络密钥管理方法 |
EP2228942B1 (en) * | 2009-03-13 | 2012-06-06 | Sap Ag | Securing communications sent by a first user to a second user |
CN101826219A (zh) * | 2010-05-05 | 2010-09-08 | 南京熊猫信息产业有限公司 | 一种轨道交通票卡处理智能系统及数据加密审计方法 |
CN103490887B (zh) | 2012-06-14 | 2017-06-13 | 中兴通讯股份有限公司 | 一种网络设备及其认证和密钥管理方法 |
CN103326866B (zh) * | 2013-06-29 | 2016-12-28 | 安科智慧城市技术(中国)有限公司 | 一种基于设备mac地址的认证方法及系统 |
CN104093146A (zh) * | 2014-06-20 | 2014-10-08 | 裴兆欣 | 一种移动设备智能身份认证方法及装置 |
CN104468096B (zh) | 2014-12-01 | 2018-01-05 | 公安部第三研究所 | 基于密钥分散运算实现网络电子身份标识信息保护的方法 |
CN109639719B (zh) * | 2019-01-07 | 2020-01-24 | 武汉稀云科技有限公司 | 一种基于临时标识符的身份验证方法和装置 |
CN113556355B (zh) * | 2021-07-30 | 2023-04-28 | 广东电网有限责任公司 | 配电网智能设备的密钥处理系统及方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1248837A (zh) * | 1999-09-08 | 2000-03-29 | 北京龙安计算机技术开发有限公司 | 个人钥加密方法 |
CN1444362A (zh) * | 2002-03-08 | 2003-09-24 | 华为技术有限公司 | 无线局域网加密密钥的分发方法 |
CN1881878A (zh) * | 2006-05-10 | 2006-12-20 | 上海市电信有限公司 | 在可控因特网网络环境下基于智能卡业务安全认证方法 |
-
2007
- 2007-02-12 CN CN2007100733163A patent/CN101068143B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1248837A (zh) * | 1999-09-08 | 2000-03-29 | 北京龙安计算机技术开发有限公司 | 个人钥加密方法 |
CN1444362A (zh) * | 2002-03-08 | 2003-09-24 | 华为技术有限公司 | 无线局域网加密密钥的分发方法 |
CN1881878A (zh) * | 2006-05-10 | 2006-12-20 | 上海市电信有限公司 | 在可控因特网网络环境下基于智能卡业务安全认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101068143A (zh) | 2007-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101068143B (zh) | 一种网络设备认证方法 | |
CN105656941B (zh) | 身份认证装置和方法 | |
CN102026178B (zh) | 一种基于公钥机制的用户身份保护方法 | |
CN101510877B (zh) | 单点登录方法和系统、通信装置 | |
CN108881304A (zh) | 一种对物联网设备进行安全管理的方法及系统 | |
CN108683501B (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
US20080109654A1 (en) | System and method for RFID transfer of MAC, keys | |
CN103533539A (zh) | 虚拟sim卡参数管理方法及装置 | |
CN104753953A (zh) | 访问控制系统 | |
CN102647279A (zh) | 加密方法、加密卡、终端设备和机卡互锁装置 | |
CN101895881B (zh) | 一种实现gba密钥的方法及终端可插拔设备 | |
CN103415010A (zh) | D2d网络鉴权方法及系统 | |
CN101986726A (zh) | 一种基于wapi的管理帧保护方法 | |
CN103167494B (zh) | 信息发送方法和系统 | |
CN108964895B (zh) | 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法 | |
CN101197828B (zh) | 一种安全arp的实现方法及网络设备 | |
CN102264068B (zh) | 共享密钥协商方法与系统、网络平台及终端 | |
CN101583126A (zh) | 锁卡方法、客户识别模块卡以及移动终端 | |
CN104796399B (zh) | 一种数据加密传输的密钥协商方法 | |
CN103595534A (zh) | 一种支持设备吊销操作的数据加密解密系统及实现方法 | |
CN105191332A (zh) | 用于在未压缩的视频数据中嵌入水印的方法和设备 | |
CN106465117B (zh) | 一种终端接入通信网络的方法、装置及通信系统 | |
CN101902610B (zh) | 实现iptv机顶盒和智能卡间安全通信的方法 | |
CN108965266B (zh) | 一种基于群组密钥池和Kerberos的User-to-User身份认证系统和方法 | |
CN103200563A (zh) | 一种基于认证码的阈下信道隐匿通信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120411 Termination date: 20180212 |
|
CF01 | Termination of patent right due to non-payment of annual fee |