CN101163010B - 对请求消息的鉴权方法和相关设备 - Google Patents
对请求消息的鉴权方法和相关设备 Download PDFInfo
- Publication number
- CN101163010B CN101163010B CN2007101659868A CN200710165986A CN101163010B CN 101163010 B CN101163010 B CN 101163010B CN 2007101659868 A CN2007101659868 A CN 2007101659868A CN 200710165986 A CN200710165986 A CN 200710165986A CN 101163010 B CN101163010 B CN 101163010B
- Authority
- CN
- China
- Prior art keywords
- authentication
- request
- random number
- association
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 109
- 230000004044 response Effects 0.000 claims abstract description 215
- 238000012795 verification Methods 0.000 claims description 37
- 230000000977 initiatory effect Effects 0.000 claims description 2
- 230000008569 process Effects 0.000 abstract description 45
- 238000007726 management method Methods 0.000 description 25
- 238000010586 diagram Methods 0.000 description 7
- 238000013475 authorization Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了对请求消息的鉴权方法,由鉴权服务设备对鉴权随机数进行集中分配和管理,当终端使用受保护业务时,只需要执行一次密钥协商过程,即可按照鉴权随机数的使用策略,依次完成与多个应用服务器的鉴权。本发明还提供相应的鉴权服务设备、应用服务器和终端。本发明简化了终端与应用之间的鉴权过程,提高了应用响应的速度。
Description
技术领域
本发明涉及通信技术领域,具体涉及鉴权服务设备对请求消息的鉴权方法、应用服务器对终端请求的鉴权方法、终端的鉴权方法以及相应的鉴权服务设备、应用服务器和终端。
背景技术
随着通信业务的不断丰富和发展,运营商和用户都需要可靠的安全机制来保证业务的合法使用。例如,在基于网际协议(IP:Internet Protocol)多媒体子系统(IMS:IP Multimedia Subsystem)的多媒体广播/多播业务(MBMS:Multimedia Broadcast/Multicast Service)中,当用户需要通过终端设备访问受保护的MBMS业务时,通常会对终端进行鉴权认证。目前一种常用的认证过程可参考图1,主要包括以下两个环节:
一、密钥协商
通过该过程,终端(UE:User Equipment)与提供安全机制的鉴权服务设备协商共享的密钥相关数据。具体协商方式通常可采用通用引导架构(GBA:Generic Bootstrapping Architecture)来进行,在GBA中提供安全机制的设备为引导服务功能(BSF:Bootstrapping Server Function)实体。完成GBA过程后,UE和BSF都记录了本次GBA过程的密钥相关数据,包括Bootstrapping事务标识(B-TID:Bootstrapping Transaction IDentifier)、IMS用户私有标志符(IMPI:IP Multimedia Private Identity)、加密密钥(CK:Cipher Key),完整性密钥(IK:Interity Key)等。UE和BSF可利用CK和IK生成彼此共享的密钥资料Ks。
二、安全关联
此过程将UE与BSF协商的密钥资料Ks关联到提供网络应用功能(NAF:Network Application Function)的应用服务器(AS:Application Server)。在GBA完成以后,UE和BSF之间达成了共享密钥Ks,UE可利用AS的标识NAF_Id和Ks计算出相关密钥Ks_NAF。然而AS还没有获得该密钥的有关信息,为了在UE和AS之间达成共享密钥以进行通信,还需要执行如下步骤:
1、UE向AS发送超文本传输协议(HTTP:Hypertext Transfer Protocol)请求,请求中包含B-TID。
2、AS向BSF发送HTTP请求,请求中包含B-TID和自身的主机名。
3、BSF验证AS的请求后,根据已经与UE达成的Ks以及收到的主机名计算出相关密钥Ks_NAF,然后通过HTTP响应发送给AS,一起发送的还可包括密钥的有效时间以及用户安全设置等。
4、AS收到BSF的响应后,根据Ks_NAF计算鉴权响应数据,通过HTTP响应发送给UE。
UE根据自身记录的Ks_NAF验证了AS的响应后,即完成鉴权过程,UE和AS可凭借已建立的共享密钥Ks_NAF开始安全通信。
在对现有技术的研究和实践过程中,本发明的发明人发现,对于比较复杂的业务而言,在服务器侧往往需要由多个特定功能的服务协同配合才能完成,即由多个AS构成一个完整的业务。例如,对于移动网络上的MBMS业务,可以由提供展现接口(Portal)的AS1实现UE上业务导航(Service Guide)的获取,由提供订购Portal的AS2实现用户对MBMS业务的订购等。在这种情况下,按照现有的鉴权方式,UE需要根据不同的AS分别执行上述密钥协商和安全关联的过程,交互消息过多,增加了应用响应的延迟。
发明内容
本发明实施例提供能够简化终端与多个应用之间鉴权过程的请求消息鉴权方案,包括:
一种对请求消息的鉴权方法,包括:鉴权服务设备与终端协商密钥信息,为终端分配与所述密钥信息对应的鉴权事务标识和鉴权随机数;鉴权服务设备接收应用服务器的关联请求,所述关联请求携带有鉴权事务标识和鉴权随机数;鉴权服务设备根据所述关联请求携带的鉴权事务标识对所述关联请求携带的鉴权随机数进行验证;在验证通过后,鉴权服务设备查找与所述关联请求携带的鉴权事务标识对应的密钥信息,向所述应用服务器返回与所述关联请求对应的关联响应,所述关联响应携带有根据所述查找到的密钥信息生成的鉴权密钥。
一种应用服务器对终端请求的鉴权方法,包括:接收终端的认证请求,所 述认证请求携带有由鉴权服务设备为终端分配的与密钥信息对应的鉴权事务标识和鉴权随机数;根据所述认证请求向所述鉴权服务设备发送关联请求,所述关联请求携带有所述鉴权事务标识和所述鉴权随机数;接收所述鉴权服务设备返回的与所述关联请求对应的关联响应,所述关联响应携带有鉴权密钥;向所述终端返回与所述认证请求对应的成功响应,所述成功响应携带有根据所述鉴权密钥生成的鉴权响应数据。
一种终端的鉴权方法,包括:判断是否保存有密钥信息以及与所述密钥信息对应的鉴权事务标识和鉴权随机数,若否,则与鉴权服务设备协商密钥信息,获得所述鉴权服务设备分配的与所述密钥信息对应的鉴权事务标识和鉴权随机数;然后执行“若是”的步骤;若是,则向应用服务器发送认证请求,所述认证请求携带有所述鉴权事务标识和所述鉴权随机数;接收所述应用服务器返回的与所述认证请求对应的成功响应,所述成功响应携带有鉴权响应数据,根据所述密钥信息对所述鉴权响应数据进行验证。
一种鉴权服务设备,包括:鉴权服务模块,用于与终端协商密钥信息,为终端分配与所述密钥信息对应的鉴权事务标识和鉴权随机数;统一鉴权模块,用于接收应用服务器的关联请求,获得所述关联请求携带的鉴权事务标识和鉴权随机数;根据所述关联请求携带的鉴权事务标识,按照所述鉴权服务模块提供的数据对所述关联请求携带的鉴权随机数进行验证;在验证通过后,查找与所述关联请求携带的鉴权事务标识对应的密钥信息,向所述应用服务器返回与所述关联请求对应的关联响应,在所述关联响应中携带根据所述查找到的密钥信息生成的鉴权密钥。
一种应用服务器,包括:接口模块,用于接收终端的认证请求,所述认证请求携带有由鉴权服务设备为终端分配的与密钥信息对应的鉴权事务标识和鉴权随机数;向所述鉴权服务设备发送关联请求;接收所述鉴权服务设备返回的与所述关联请求对应的关联响应;向所述终端返回与所述认证请求对应的成功响应;安全关联模块,用于获得所述认证请求中携带的鉴权事务标识和鉴权随机数,根据所述认证请求生成所述需要向鉴权服务设备发送的关联请求,在所述关联请求中携带所述鉴权事务标识和所述鉴权随机数;获得所述关联响应携带的鉴权密钥,根据所述关联响应携带的鉴权密钥生成鉴权响应数据,生成所述需要向终端返回的成功响应,在所述成功响应中携带所述鉴权响应数据。
一种终端,包括:安全服务模块,用于与鉴权服务设备协商密钥信息,获得所述鉴权服务设备分配的与所述密钥信息对应的鉴权事务标识和鉴权随机数;应用服务模块,用于向应用服务器发起认证请求,在所述认证请求中携带所述鉴权事务标识和所述鉴权随机数;获得所述应用服务器返回的与所述认证请求对应的成功响应,获得所述成功响应中携带的鉴权响应数据,根据所述密钥信息对所述鉴权响应数据进行验证;鉴权控制模块,用于在需要向应用服务器发送认证请求时,判断是否保存有密钥信息以及与所述密钥信息对应的鉴权事务标识和鉴权随机数;若否,则控制所述安全服务模块获取所需数据;若是,则控制所述应用服务模块发起认证请求。
本发明实施例采用由鉴权服务设备对鉴权随机数进行集中分配和管理的方式,当终端使用受保护业务时,只需要执行一次密钥协商过程,即可按照鉴权随机数的使用策略,依次完成与多个应用服务器的鉴权,简化了终端与应用之间的鉴权过程,提高了应用响应的速度。
附图说明
图1是现有鉴权认证方法流程示意图;
图2是本发明实施例的鉴权服务设备对请求消息的鉴权方法流程示意图;
图3是本发明实施例的鉴权服务设备逻辑结构示意图;
图4是本发明实施例的一种系统架构示意图;
图5是本发明实施例的应用服务器对终端请求的鉴权方法流程示意图;
图6是本发明实施例的应用服务器逻辑结构示意图;
图7是本发明实施例的终端的鉴权方法流程示意图;
图8是本发明实施例的终端逻辑结构示意图;
图9是采用本发明实施例的一个GBA过程示意图;
图10是采用本发明实施例的一个鉴权成功过程示意图;
图11是采用本发明实施例的一个鉴权不成功过程示意图;
图12是采用本发明实施例的另一个鉴权不成功过程示意图。
具体实施方式
本发明实施例提供了一种对请求消息的鉴权方案,以下分别从鉴权服务设备、应用服务器和终端的角度对该方案进行详细说明。
本发明实施例的鉴权服务设备对请求消息的鉴权方法参考图2,包括:
A1、与终端协商密钥信息,为终端分配与该密钥信息对应的鉴权事务标识和鉴权随机数。
本实施例不限定鉴权服务设备与终端之间的密钥协商方式,只要双方通过协商能够获得共享的密钥信息即可,只是需要对所使用的协商方式进行扩展,使得能够将鉴权服务设备分配的鉴权随机数递交给终端。
例如,若采用GBA过程进行密钥协商,可将Ks视为共享的密钥信息,将GBA过程中分配的B-TID作为鉴权事务标识,至于鉴权随机数,可通过在对终端的响应消息中扩展一个新的参数,例如nextnonce来携带。
鉴权服务设备对鉴权随机数可以采用两种管理模式:
①更新管理
鉴权服务设备可以为终端后续的每次认证请求都分配新的鉴权随机数。例如,可以在完成密钥协商时,通过成功响应分配给终端第一个鉴权随机数,用于终端第一次向应用服务器的认证请求;在后续每次成功响应应用服务器的关联请求时,返回新分配的鉴权随机数,该新分配的鉴权随机数将通过应用服务器递交给终端,用于终端下一次的认证请求。
②计次管理
鉴权服务设备也可以记录所分配的鉴权随机数的使用次数。例如,可以在完成密钥协商时,通过成功响应分配给终端第一个鉴权随机数,并初始化其使用次数为1;在后续每次成功响应应用服务器的关联请求时,对鉴权随机数的使用次数进行累加。当然,这种模式下,终端也需要记录鉴权随机数的使用次数和根据使用情况进行累加,并在向应用服务器的认证请求中携带鉴权随机数的使用次数,通过应用服务器的关联请求携带给鉴权服务设备,作为鉴权服务设备对请求消息的验证依据。
A2、接收应用服务器的关联请求,所述关联请求携带有鉴权事务标识和鉴权随机数。
当然,若基于管理模式②,鉴权服务设备接收的关联请求还携带有鉴权随机数的使用次数。
A3、根据收到的关联请求携带的鉴权事务标识对该关联请求携带的鉴权随机数进行验证,若验证通过则执行步骤A4,若验证失败则执行步骤A5。
基于管理模式①,鉴权服务设备对鉴权随机数的具体验证方式为:查找与该关联请求携带的鉴权事务标识对应的鉴权随机数,验证该关联请求携带的鉴权随机数与查找到的鉴权随机数是否一致。
基于管理模式②,鉴权服务设备对鉴权随机数的具体验证方式为:查找与该关联请求携带的鉴权事务标识对应的鉴权随机数及其使用次数,验证该关联请求携带的鉴权随机数及其使用次数与查找到的鉴权随机数及其使用次数是否一致。
A4、在验证通过后,查找与关联请求携带的鉴权事务标识对应的密钥信息,向应用服务器返回与该关联请求对应的关联响应,所返回的关联响应携带有根据查找到的密钥信息生成的鉴权密钥。
例如,若采用GBA过程进行MBMS请求密钥(MRK:MBMS Request Key)协商,可根据关联请求携带的B-TID查到对应的Ks,根据Ks计算MRK,把MRK作为鉴权密钥返回给应用服务器。
基于管理模式①,在验证通过后,鉴权服务设备需要分配新的鉴权随机数来更新查找到的鉴权随机数,并且在返回的关联响应中携带该新的鉴权随机数。
基于管理模式②,在验证通过后,鉴权服务设备需要累加查找到的鉴权随机数的使用次数。
A5、在验证失败后,向应用服务器返回与关联请求对应的错误响应。
所称验证失败,包括需要验证的信息与查找到的信息不一致(例如鉴权随机数与所保存的鉴权随机数不一致,或者鉴权随机数的使用次数与所保存的使用次数不一致),或者根据鉴权事务标识检索不到相关信息等情况。
在验证失败后,鉴权服务设备可直接返回指示验证失败的关联失败响应,通过应用服务器要求终端重新执行密钥协商过程。当然,为进一步节省流程, 鉴权服务设备也可以对失败情况进行细分,根据具体情况返回不同的错误响应。例如,可进一步判断是否存在与关联请求携带的鉴权事务标识对应的密钥信息,
若是,则说明与终端共享的密钥信息还存在(当然鉴权服务设备还可进一步判断该密钥信息的有效性),因此可以重新分配鉴权随机数作为与关联请求携带的鉴权事务标识对应的鉴权随机数,向应用服务器返回与该关联请求对应的关联重置响应,在该关联重置响应中携带重新分配的鉴权随机数(当然同时还可携带错误原因等);这样,终端可以使用重新分配的鉴权随机数重新向应用服务器发起认证请求;
若否,则向应用服务器返回与关联请求对应的,指示验证失败的关联失败响应(当然同时还可携带错误原因等),要求终端重新执行密钥协商过程。
上述细分的错误响应方式对管理模式①和②都适用,只是在管理模式②下,鉴权服务设备和终端除了更新所保存的鉴权随机数,还需要初始化鉴权随机数的使用次数。
下面给出用于执行上述对请求消息的鉴权方法的鉴权服务设备的实施例。为尽量减少对现有设备的改动,本实施例鉴权服务设备是通过在提供现有鉴权服务功能的模块基础上,增加提供扩展功能的统一鉴权模块来实现,结构参考图3,包括:
鉴权服务模块101,用于与终端协商密钥信息,为终端分配与密钥信息对应的鉴权事务标识和鉴权随机数。该模块基本执行通常的鉴权服务功能,扩展之处在于将鉴权随机数递交给终端。
统一鉴权模块102,用于接收应用服务器的关联请求,获得该关联请求携带的鉴权事务标识和鉴权随机数;根据关联请求携带的鉴权事务标识,按照鉴权服务模块101提供的数据对关联请求携带的鉴权随机数进行验证;在验证通过后,查找与关联请求携带的鉴权事务标识对应的密钥信息,向应用服务器返回与关联请求对应的关联响应,在该关联响应中携带根据查找到的密钥信息生成的鉴权密钥。
为减少模块间的信息查询量,统一鉴权模块102可进一步用于,保存为验 证关联请求携带的鉴权随机数从鉴权服务模块101查询到的数据。这样当统一鉴权模块102在对关联请求携带的鉴权随机数进行验证时,可先在自身已保存的数据中查询,若查询不到再到鉴权服务模块101中查询。当然,鉴权服务模块101在收到统一鉴权模块102的查询请求后,可以将对应的鉴权随机数、密钥信息等数据一并响应,这样统一鉴权模块102在验证通过后即可直接在自身保存的数据中查询密钥信息。
基于前述不同的鉴权随机数管理模式,统一鉴权模块102对关联请求携带的鉴权随机数进行验证,可以是对关联请求携带的鉴权随机数与自身所保存的鉴权随机数是否一致进行验证;也可以是对关联请求携带的鉴权随机数及其使用次数与自身所保存的鉴权随机数及其使用次数是否一致进行验证(这种情况下,统一鉴权模块102还获得关联请求携带的鉴权随机数的使用次数)。在前一情况下,统一鉴权模块102还用于,在验证通过后分配新的鉴权随机数来更新自身所保存的鉴权随机数,并在返回的关联响应中携带该新的鉴权随机数,用于指示终端以所述新的鉴权随机数向下一个应用服务器发送认证请求。在后一情况下,统一鉴权模块102还用于,在验证通过后累加自身所保存的鉴权随机数的使用次数。
此外,为处理验证失败的情况,统一鉴权模块102还可用于在验证失败后,向应用服务器返回与之前收到的关联请求对应的关联失败响应,在该关联失败响应中携带表示验证失败要求终端重新进行密钥信息协商的指示。当然,统一鉴权模块102也可以用于执行前述细致化的错误响应方案,即用于在验证失败后,判断是否存在与关联请求携带的鉴权事务标识对应的密钥信息,若是,则重新分配鉴权随机数来更新自身所保存的与关联请求携带的鉴权事务标识对应的鉴权随机数,向应用服务器返回与关联请求对应的关联重置响应,在该关联重置响应中携带重新分配的鉴权随机数,用于指示终端以该重新分配的鉴权随机数重新向应用服务器发送认证请求;若否,则参照前述处理验证失败的情况,向应用服务器返回与关联请求对应的关联失败响应。
基于通用认证架构(GAA:Generic Authentication Architecture),本实施例中的鉴权服务模块可参考BSF来实现,新增的统一鉴权模块(AuthS: Authentication Server)可以与BSF合设,也可以作为独立的鉴权服务器与BSF分别设置。采用合设方式时的系统架构如图4所示,BSF与UE之间采用GAA的Ub接口,UE与各个AS之间采用GAA的Ua接口,AuthS与各个AS之间的接口消息可以参考UE与AS之间的消息形式,当然也可以采用XML等格式,具体承载协议不作限定(例如HTTP、HTTPS等),AuthS与BSF之间属于内部接口,不必定义。若AuthS独立设置时,AuthS与BSF之间的接口可参考GAA中AS与BSF之间的Zn接口。需要说明的是,清楚起见,图4中并没有画出AS与BSF的连接,若考虑兼容现有的GAA认证方式,AS可保留与BSF的连接,在业务执行过程中具体根据UE的认证请求判断选择原有的认证方式(使用与BSF的接口)还是本发明实施例提供的认证方式(使用与AuthS的接口)。
本发明实施例的应用服务器对终端请求的鉴权方法参考图5,本实施例方法与前述实施例的鉴权服务设备对请求消息的鉴权方法相应,步骤包括:
B1、接收终端的认证请求,该认证请求携带有鉴权事务标识和鉴权随机数。
当然,若基于管理模式②,该认证请求还携带有鉴权随机数的使用次数。
若进一步考虑到兼容现有的认证方式,应用服务器在收到终端的认证请求后,可以先根据该认证请求的具体情况进行判断,选择适配的认证方式。例如,在目前的GAA过程中,终端发送的认证请求还携带有鉴权该请求的服务器的域名,通常放置在realm参数的后半部分,以@符号与前半部分分隔。应用服务器在收到请求后可首先检查realm参数@符号后的域名是否与自己的域名一致,如果一致则采用现有的GAA认证过程;如果不一致并且确定是鉴权服务设备的域名(例如BSF的域名),则执行本实施例提供的认证过程。
B2、根据收到的认证请求向鉴权服务设备发送关联请求,该关联请求携带有认证请求中的鉴权事务标识和鉴权随机数。
当然,若基于管理模式②,该关联请求还携带有鉴权随机数的使用次数。
B3、根据鉴权服务设备的不同响应结果,执行相应的后续操作,包括:
B31、请求成功:接收鉴权服务设备返回的与之前发送的关联请求对应的关联响应,该关联响应携带有鉴权密钥。应用服务器记录鉴权密钥,并根据鉴 权密钥计算鉴权响应数据,然后向终端返回与该终端发送的认证请求对应的成功响应,在成功响应中携带所生成的鉴权响应数据。进一步的,应用服务器可以先使用鉴权密钥对终端的认证请求进行鉴权,鉴权成功后才向终端返回成功响应。当然,若基于管理模式①,收到的关联响应还携带有新的鉴权随机数,因此在返回给终端的成功响应中,还需要携带该新的鉴权随机数,用于指示终端以该新的鉴权随机数向下一个应用服务器发送认证请求。
B32、请求失败:接收鉴权服务设备返回的与之前发送的关联请求对应的关联失败响应;根据关联失败响应向终端返回与该终端发送的认证请求对应的失败响应,在失败响应中携带要求终端重新进行密钥信息协商的指示。
B33、请求重置:接收鉴权服务设备返回的与之前发送的关联请求对应的关联重置响应,该关联重置响应携带有重新分配的鉴权随机数。应用服务器向终端返回与该终端发送的认证请求对应的重置响应,在重置响应中携带该重新分配的鉴权随机数,以此指示终端使用该重新分配的鉴权随机数重新发起认证请求。
下面给出用于执行上述对终端请求的鉴权方法的应用服务器的实施例,结构参考图6,包括:
接口模块201,用于接收终端的认证请求;向鉴权服务设备发送关联请求;接收鉴权服务设备返回的与之前发送的关联请求对应的关联响应;向终端返回与该终端发送的认证请求对应的成功响应。
对应于鉴权服务设备返回错误响应的情况,接口模块201还用于,接收鉴权服务设备返回的与之前发送的关联请求对应的关联失败响应或者关联重置响应;向终端返回与该终端发送的认证请求对应的失败响应或重置响应。
安全关联模块202,用于根据接口模块201收到的认证请求,获得该认证请求携带的鉴权事务标识和鉴权随机数,生成需要向鉴权服务设备发送的关联请求,所称关联请求携带有认证请求中的鉴权事务标识和鉴权随机数;根据接口模块201收到的关联响应获得该关联响应携带的鉴权密钥,根据该鉴权密钥计算鉴权响应数据,生成需要向终端返回的成功响应,在该成功响应中携带该鉴权响应数据。进一步的,安全关联模块202可以先使用鉴权密钥对终端的认证 请求进行鉴权,鉴权成功后再生成成功响应。
对应于鉴权服务设备返回错误响应的情况,安全关联模块202还用于,根据接口模块201收到的关联失败响应生成需要向终端返回的失败响应,在该失败响应中携带要求终端重新进行密钥信息协商的指示;根据接口模块201收到的关联重置响应获得该关联重置响应携带得重新分配的鉴权随机数,生成需要向终端返回的重置响应,所称重置响应携带有该重新分配的鉴权随机数,用于指示所述终端以所述重新分配的鉴权随机数重新发送认证请求。
进一步考虑到兼容现有的认证方式,安全关联模块202还用于,获得认证请求中携带的鉴权该请求的服务器的域名。这种情况下,安全关联模块202还可用于,先确认认证请求携带的鉴权该请求的服务器的域名为鉴权服务设备的域名,再生成需要向该鉴权服务设备发送的关联请求;若确认认证请求携带的鉴权该请求的服务器的域名为自己的域名,则可按照现有认证方式执行后续操作。
本发明实施例的终端的鉴权方法参考图7,本实施例方法与前述实施例的鉴权服务设备对请求消息的鉴权方法,以及应用服务器对终端请求的鉴权方法相应,步骤包括:
C1、判断是否保存有密钥信息以及与该密钥信息对应的鉴权事务标识和鉴权随机数,若否,则执行步骤C2,若是,则执行步骤C3。
C2、与鉴权服务设备协商密钥信息,获得鉴权服务设备分配的与该密钥信息对应的鉴权事务标识和鉴权随机数;然后执行步骤C3。
C3、向应用服务器发送认证请求,该认证请求携带有所保存的鉴权事务标识和鉴权随机数。
当然,若基于管理模式②,该认证请求还携带有鉴权随机数的使用次数。
C4、根据应用服务器的不同响应结果,执行相应的后续操作,包括:
C41、请求成功:接收应用服务器返回的与之前发送的认证请求对应的成功响应,该成功响应携带有鉴权响应数据,根据所保存的密钥信息对该鉴权响应数据进行验证。当然,若基于管理模式①,收到的成功响应还携带有新的鉴权随机数,因此终端还使用新的鉴权随机数来更新所保存的鉴权随机数;若基 于管理模式②,则终端累加所保存的鉴权随机数的使用次数。
C42、请求失败:接收应用服务器返回的与之前发送的认证请求对应的失败响应,该失败响应携带有要求终端重新进行密钥信息协商的指示。终端根据该指示清除所保存的密钥信息以及对应的鉴权事务标识和鉴权随机数,重新与鉴权服务设备协商密钥信息,然后以重新协商的密钥信息向应用服务器发送认证请求,即重新从步骤C2开始执行。
C43、请求重置:接收应用服务器返回的与之前发送的认证请求对应的重置响应,该重置响应携带有重新分配的鉴权随机数;使用该重新分配的鉴权随机数来更新所保存的鉴权随机数,然后以重新分配的鉴权随机数向应用服务器发送认证请求,即重新从步骤C3开始执行。当然,若基于管理模式②,终端在更新所保存的鉴权随机数时,还需要初始化鉴权随机数的使用次数。
下面给出用于执行上述鉴权方法的终端的实施例,结构参考图8,包括:
安全服务模块301,用于与鉴权服务设备协商密钥信息,获得鉴权服务设备分配的与该密钥信息对应的鉴权事务标识和鉴权随机数。
应用服务模块302,用于向应用服务器发起认证请求,在该认证请求种携带安全服务模块301获得的鉴权事务标识和鉴权随机数;获得应用服务器返回的与之前发送的认证请求对应的成功响应,获得该成功响应中携带的鉴权响应数据,根据安全服务模块301获得的密钥信息对该鉴权响应数据进行验证。
鉴权控制模块303,用于在需要向应用服务器发送认证请求时,判断是否保存有密钥信息以及与该密钥信息对应的鉴权事务标识和鉴权随机数;若否,则控制安全服务模块301获取所需数据;若是,则控制应用服务模块302发起认证请求。
进一步的,若基于管理模式①,应用服务模块302还用于从成功响应中获得新的鉴权随机数;这种情况下,鉴权控制模块303还用于,使用该新的鉴权随机数来更新所保存的鉴权随机数。
进一步的,若基于管理模式②,应用服务模块302还用于在发起的认证请求中携带鉴权随机数的使用次数;这种情况下,鉴权控制模块303还用于,在应用服务模块302获得成功响应后,累加所保存的鉴权随机数的使用次数。
对应于请求不成功的情况,应用服务模块302还用于,获得应用服务器返回的与之前发送的认证请求对应的失败响应或者重置响应,获得该失败响应中携带的要求终端重新进行密钥信息协商的指示,获得该重置响应中携带的重新分配的鉴权随机数。鉴权控制模块303还用于,根据失败响应的指示清除所保存的密钥信息以及对应的鉴权事务标识和鉴权随机数,控制安全服务模块301重新获取所需数据,然后控制应用服务模块302重新发起认证请求;或者根据重置响应的指示使用重新分配的鉴权随机数来更新所保存的鉴权随机数,然后控制应用服务模块302重新发起认证请求。
上述实施例中采用由鉴权服务设备对鉴权随机数进行集中分配和管理的方式,当终端使用受保护业务时,只需要执行一次密钥协商过程,即可按照鉴权随机数的使用策略,依次完成与多个应用服务器的鉴权,简化了终端与应用之间的鉴权过程,提高了应用响应的速度。进一步的,可通过应用服务器对终端的认证请求的分析,选择执行现有认证方式或本发明实施例提供的认证方式,增强了本发明实施例方案的兼容性。
为更好的理解上述实施例,下面给出上述实施例方案的具体应用例。假设以GAA为基础,采用图4所示的系统架构,AuthS采用模式②管理鉴权随机数。
一、GBA过程
UE在使用受保护的业务时,首先访问BSF执行按本发明实施例提供方法扩展后的GBA过程,协商与AS的共享密钥数据。该流程参考图9,包括:
1、UE向BSF发送HTTP请求,初始化Bootstrapping过程。该请求消息中包含BSF可识别的用户的标识信息,例如国际移动用户识别码(IMSI:International Mobile Subscriber Identification Number)。UE通常会在请求消息的Authorization头的realm参数中放置期望访问的BSF的全域名(FQDN:FullyQualified Domain Name)。
2、BSF通过参考点Zh从归属用户服务器(HSS:Home Subscriber Server)中获得用户的安全信息,例如鉴权向量(AV:Authentication Vector),AV中包含有CK、IK等数据。详细信令过程可参见3GPP TS 29.109。
3、BSF选择一个鉴权向量,计算鉴权相关数据后,通过HTTP 401Unauthorized响应消息发送给UE。响应消息的构造过程可参见3GPP TS24.109。
4、UE根据自身存储的数据(例如SIM卡中的数据)对BSF的响应消息进行检查,如果鉴权检查成功,则成功认证网络;UE计算出CK、IK,这样,BSF和UE都拥有了密钥IK和CK。
5、UE计算生成Authorization头中的数据,重新发起HTTP请求到BSF。
6、BSF对UE的请求消息进行鉴权,成功后,记录用户的标识,生成并存储本次GBA过程的密钥相关数据,包括B-TID、IMPI、CK、IK等,并通过CK和IK产生密钥信息Ks。详细的密钥相关数据的生成过程参见3GPP TS33.220。
7、BSF发送200 OK响应消息到UE通知认证成功,该消息中包含B-TID、Ks的生存期,以及扩展增加的“nextnonce”参数,该参数携带鉴权随机数。
8、UE收到响应消息,验证通过后,存储B-TID、nextnonce等参数,在UE中也根据CK和IK产生Ks。
二、鉴权成功的过程
假设UE根据业务流程需要依次访问AS1、AS2两个应用服务,该流程参考图10(由于AuthS和BSF共同构成鉴权服务设备,因此在图10中将该两个网元以及它们之间的交互用虚线框出,下同),包括:
1、UE访问受保护的业务,AS1要求对请求消息鉴权。UE检查是否存在GBA过程产生的密钥相关数据,如果存在,则计算用于请求消息鉴权的密钥MRK 1,计算方法可参见3GPP TS 33.220 Annex B,其中NAF_Id可选择由BSF的FQDN与Ua接口的安全协议标识连接构成,而不使用AS1的标识。当然,若不存在密钥相关数据,则UE需要先执行前述GBA过程。
2、UE向AS1发起带Authorization头的HTTP请求。Authorization头中定义了AS1验证该消息的必要参数:username参数指示GBA过程中由BSF分配的B-TID;realm参数以@符号分隔的后半部分指明鉴权该消息的服务器的域名,即BSF的FQDN;nonce参数为GBA过程中由BSF响应消息中返回 的nextnonce参数的值,nc参数指明nextnonce使用的次数。其余参数可参见3GPP TS 24.109。
3、AS1收到UE的请求消息后,根据Authorization头中的参数,首先检查域名是否与自己的域名一致,如果一致则采用标准定义的消息鉴权流程,如果不一致并且是BSF的域名,则采用本发明实施例提供的鉴权流程。假定为BSF的域名,AS1向AuthS发起对MRK的请求,请求消息中包括B-TID、nonce、nc等鉴权相关的参数。
4、AuthS接收到请求消息后,根据B-TID检索AuthS存储的相关数据,如果检索失败,并且根据请求消息的nc=1,确定是UE的第一次鉴权请求,则向BSF发起获取GBA过程协商的Ks等相关数据的请求。
5、BSF响应AuthS的查询请求,响应消息中包括与B-TID对应的Ks、Nonce、数据有效期等数据,AuthS保存相关的数据项,初始化记录项中的nc=1。
6、AuthS检测AS1的请求消息中的nonce和nc与自身保存的数据是否一致。如果检验成功,则按照与UE相同的方式生成MRK,并响应给AS1,累加记录项中的nc的值。当然,若基于管理模式①,同时还可以通过nextnonce参数,返回用于下次鉴权时使用的nonce。
7、AS1收到AuthS的响应后,产生对UE的响应消息,根据MRK计算响应消息中的鉴权响应数据。
8、UE对AS1的鉴权响应数据进行验证,验证通过后对UE存储的nc进行累加,表示nonce已经用于一次请求消息的鉴权,然后根据业务流程需要,访问第二个应用服务AS2。
9、UE向AS2发起带Authorization头的HTTP请求。与步骤2相比,区别主要是nc为更新后的值。
10、参照步骤3,AS2收到UE的请求消息后,向AuthS发起对MRK的请求,请求消息中包括B-TID、nonce、nc等鉴权相关的参数。
11、AuthS接收到请求消息后,根据B-TID检索AuthS存储的相关数据,由于之前已经保存了该B-TID的相关数据,因此检索成功。AuthS验证请求消 息中的nonce、nc与存储的值是否一致,验证正确,则AuthS响应AS2的MRK请求,累加记录项中的nc的值。
12、参照步骤7,AS2收到AuthS的响应后,产生对UE的响应消息,根据MRK计算响应消息中的鉴权响应数据。UE对AS2的鉴权响应数据进行验证,验证通过后对UE存储的nc进行累加,表示nonce已经用于一次请求消息的鉴权。
三、鉴权不成功的过程之一
该流程参考图11,包括:
1~3、参照“二”中的步骤1~3。
4、AuthS接收到请求消息后,根据B-TID检索AuthS存储的相关数据,如果检索失败,并且nc>1;或者根据B-TID从BSF检索不到相关的参数;或者检索成功,但是存储的nonce,nc与请求消息中的nonce和nc不一致,则向AS返回错误原因,要求UE重新进行GBA过程,重新协商UE与应用服务器之间的共享密钥数据。
5、AS发送错误响应消息401 Unauthorized给UE,消息中包含WWW-Authenticate头,其中nonce指示为NULL,用于指示UE重新开始GBA过程。
6、UE接收到响应消息,清除原有的GBA过程协商的共享密钥数据。
7、UE与BSF之间执行“一”中描述的GBA过程。GBA过程完成后,UE重新初始化鉴权需要的数据,用于重新向AS发起请求。
8~13、参照“二”中的步骤2~7。
四、鉴权不成功的过程之二
该流程参考图12,包括:
1~3、参照“二”中的步骤1~3。
4、AuthS接收到请求消息后,如果根据B-TID检索AuthS存储的相关数据失败,并且nc>1;或者根据B-TID从BSF检索不到相关的参数;则参照“三”中的步骤4进行处理。如果检索成功(包括检索AuthS存储成功和检索BSF成功),存储有与B-TID对应的Ks,但是存储的nonce,nc与请求消息中 的nonce和nc不一致,则重新分配nonce,并初始化nc=1。
5、AuthS向AS返回错误原因和重新分配的nonce。
6、AS发送错误响应消息401 Unauthorized给UE,消息中包含WWW-Authenticate头,其中nonce指示为AuthS重新分配的nonce,用于指示UE重新开始对AS的请求过程。
7、UE接收到响应消息,更新nonce、nc。
8~11、参照“二”中的步骤9~12。
以上对本发明实施例所提供的鉴权服务设备对请求消息的鉴权方法、应用服务器对终端请求的鉴权方法、终端的鉴权方法以及相应的鉴权服务设备、应用服务器和终端进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (28)
1.一种对请求消息的鉴权方法,其特征在于,包括:
鉴权服务设备与终端协商密钥信息,为终端分配与所述密钥信息对应的鉴权事务标识和鉴权随机数;
鉴权服务设备接收应用服务器的关联请求,所述关联请求携带有鉴权事务标识和鉴权随机数;
鉴权服务设备根据所述关联请求携带的鉴权事务标识对所述关联请求携带的鉴权随机数进行验证;
在验证通过后,鉴权服务设备查找与所述关联请求携带的鉴权事务标识对应的密钥信息,向所述应用服务器返回与所述关联请求对应的关联响应,所述关联响应携带有根据所述查找到的密钥信息生成的鉴权密钥。
2.根据权利要求1所述的对请求消息的鉴权方法,其特征在于,所述鉴权服务设备根据鉴权事务标识对鉴权随机数进行验证的步骤具体为:鉴权服务设备查找与所述关联请求携带的鉴权事务标识对应的鉴权随机数,验证所述关联请求携带的鉴权随机数与所述查找到的鉴权随机数是否一致;
所述对请求消息的鉴权方法还包括:在验证通过后,鉴权服务设备分配新的鉴权随机数来更新所述查找到的鉴权随机数,所述关联响应还携带有所述新的鉴权随机数,用于指示终端以所述新的鉴权随机数向下一个应用服务器发送认证请求。
3.根据权利要求1所述的对请求消息的鉴权方法,其特征在于,所述关联请求还携带有鉴权随机数的使用次数;
所述鉴权服务设备根据鉴权事务标识对鉴权随机数进行验证的步骤具体为:鉴权服务设备查找与所述关联请求携带的鉴权事务标识对应的鉴权随机数及其使用次数,验证所述关联请求携带的鉴权随机数及其使用次数与所述查找到的鉴权随机数及其使用次数是否一致;
所述对请求消息的鉴权方法还包括:在验证通过后,鉴权服务设备累加所述查找到的鉴权随机数的使用次数。
4.根据权利要求1~3任意一项所述的对请求消息的鉴权方法,其特征在于,还包括:
在验证失败后,鉴权服务设备向所述应用服务器返回与所述关联请求对应的关联失败响应,所述关联失败响应携带有表示验证失败要求终端重新进行密钥信息协商的指示。
5.根据权利要求1~3任意一项所述的对请求消息的鉴权方法,其特征在于,还包括:
在验证失败后,鉴权服务设备判断是否存在与所述关联请求携带的鉴权事务标识对应的密钥信息,
若是,则重新分配鉴权随机数作为与所述关联请求携带的鉴权事务标识对应的鉴权随机数,向所述应用服务器返回与所述关联请求对应的关联重置响应,所述关联重置响应携带有所述重新分配的鉴权随机数,用于指示终端以所述重新分配的鉴权随机数向所述应用服务器重新发送认证请求;
若否,则向所述应用服务器返回与所述关联请求对应的关联失败响应,所述关联失败响应携带有表示验证失败要求终端重新进行密钥信息协商的指示。
6.一种应用服务器对终端请求的鉴权方法,其特征在于,包括:
接收终端的认证请求,所述认证请求携带有由鉴权服务设备为终端分配的与密钥信息对应的鉴权事务标识和鉴权随机数;
根据所述认证请求向所述鉴权服务设备发送关联请求,所述关联请求携带有所述鉴权事务标识和所述鉴权随机数;
接收所述鉴权服务设备返回的与所述关联请求对应的关联响应,所述关联响应携带有鉴权密钥;
向所述终端返回与所述认证请求对应的成功响应,所述成功响应携带有根据所述鉴权密钥生成的鉴权响应数据。
7.根据权利要求6所述的应用服务器对终端请求的鉴权方法,其特征在于,所述关联响应还携带有新的鉴权随机数;
所述向终端返回与认证请求对应的成功响应的步骤中,所述成功响应还携带有所述新的鉴权随机数,用于指示终端以所述新的鉴权随机数向下一个应用服务器发送认证请求。
8.根据权利要求6所述的应用服务器对终端请求的鉴权方法,其特征在于,所述认证请求还携带有鉴权随机数的使用次数;
所述根据认证请求向鉴权服务设备发送关联请求的步骤中,所述关联请求还携带有所述鉴权随机数的使用次数。
9.根据权利要求6~8任意一项所述的应用服务器对终端请求的鉴权方法,其特征在于:所述认证请求还携带有鉴权该请求的服务器的域名;
在收到终端的认证请求后,先确认所述认证请求携带的鉴权该请求的服务器的域名为所述鉴权服务设备的域名,再向所述鉴权服务设备发送所述关联请求。
10.根据权利要求6~8任意一项所述的应用服务器对终端请求的鉴权方法,其特征在于,还包括:
接收所述鉴权服务设备返回的与所述关联请求对应的关联失败响应;根据所述关联失败响应向所述终端返回与所述认证请求对应的失败响应,所述失败响应携带有要求终端重新进行密钥信息协商的指示;或者,
接收所述鉴权服务设备返回的与所述关联请求对应的关联重置响应,所述关联重置响应携带有重新分配的与所述关联请求携带的鉴权事务标识对应的鉴权随机数;向所述终端返回与所述认证请求对应的重置响应,所述重置响应携带有所述重新分配的鉴权随机数,用于指示所述终端以所述重新分配的鉴权随机数重新发送认证请求。
11.一种终端的鉴权方法,其特征在于,包括:
判断是否保存有密钥信息以及与所述密钥信息对应的鉴权事务标识和鉴权随机数,
若否,则与鉴权服务设备协商密钥信息,获得所述鉴权服务设备分配的与所述密钥信息对应的鉴权事务标识和鉴权随机数;然后执行“若是”的步骤;
若是,则向应用服务器发送认证请求,所述认证请求携带有所述鉴权事务标识和所述鉴权随机数;
接收所述应用服务器返回的与所述认证请求对应的成功响应,所述成功响应携带有鉴权响应数据,根据所述密钥信息对所述鉴权响应数据进行验证。
12.根据权利要求11所述的终端的鉴权方法,其特征在于,所述成功响应还携带有新的鉴权随机数;
所述终端的鉴权方法还包括:使用所述新的鉴权随机数来更新所保存的鉴权随机数。
13.根据权利要求11所述的终端的鉴权方法,其特征在于,所述认证请求还携带有鉴权随机数的使用次数;
所述终端的鉴权方法还包括:在收到所述成功响应后,累加所保存的鉴权随机数的使用次数。
14.根据权利要求11所述的终端的鉴权方法,其特征在于,还包括:
接收所述应用服务器返回的与所述认证请求对应的失败响应,所述失败响应携带有要求终端重新进行密钥信息协商的指示;根据所述指示清除所保存的密钥信息以及对应的鉴权事务标识和鉴权随机数,重新与所述鉴权服务设备协商密钥信息,然后以所述重新协商的密钥信息向所述应用服务器发送认证请求。
15.根据权利要求11所述的终端的鉴权方法,其特征在于,还包括:
接收所述应用服务器返回的与所述认证请求对应的重置响应,所述重置响应携带有重新分配的鉴权随机数;使用所述重新分配的鉴权随机数来更新所保存的鉴权随机数,然后以所述重新分配的鉴权随机数向所述应用服务器发送认证请求。
16.一种鉴权服务设备,其特征在于,包括:
鉴权服务模块,用于与终端协商密钥信息,为终端分配与所述密钥信息对应的鉴权事务标识和鉴权随机数;
统一鉴权模块,用于接收应用服务器的关联请求,获得所述关联请求携带的鉴权事务标识和鉴权随机数;根据所述关联请求携带的鉴权事务标识,按照所述鉴权服务模块提供的数据对所述关联请求携带的鉴权随机数进行验证;在验证通过后,查找与所述关联请求携带的鉴权事务标识对应的密钥信息,向所述应用服务器返回与所述关联请求对应的关联响应,在所述关联响应中携带根据所述查找到的密钥信息生成的鉴权密钥。
17.根据权利要求16所述的鉴权服务设备,其特征在于:
所述统一鉴权模块还用于,保存为验证所述关联请求携带的鉴权随机数从所述鉴权服务模块查询到的数据;
所述统一鉴权模块在对所述关联请求携带的鉴权随机数进行验证时,是先在自身已保存的数据中查询,若查询不到再到所述鉴权服务模块中查询。
18.根据权利要求17所述的鉴权服务设备,其特征在于:
所述统一鉴权模块对关联请求携带的鉴权随机数进行验证,是对所述关联请求携带的鉴权随机数与自身所保存的鉴权随机数是否一致进行验证;
所述统一鉴权模块还用于,在验证通过后,分配新的鉴权随机数来更新自身所保存的鉴权随机数;在所述关联响应中携带所述新的鉴权随机数,用于指示终端以所述新的鉴权随机数向下一个应用服务器发送认证请求。
19.根据权利要求17所述的鉴权服务设备,其特征在于:
所述统一鉴权模块还用于,获得所述关联请求携带的鉴权随机数的使用次数;
所述统一鉴权模块对关联请求携带的鉴权随机数进行验证,是对所述关联请求携带的鉴权随机数及其使用次数与自身所保存的鉴权随机数及其使用次数是否一致进行验证;
所述统一鉴权模块还用于,在验证通过后,累加自身所保存的鉴权随机数的使用次数。
20.根据权利要求17所述的鉴权服务设备,其特征在于:
所述统一鉴权模块还用于,在验证失败后,向所述应用服务器返回与所述关联请求对应的关联失败响应,在所述关联失败响应中携带表示验证失败要求终端重新进行密钥信息协商的指示;或者,
所述统一鉴权模块还用于,在验证失败后,判断是否存在与所述关联请求携带的鉴权事务标识对应的密钥信息,若是,则重新分配鉴权随机数来更新自身所保存的与所述关联请求携带的鉴权事务标识对应的鉴权随机数,向所述应用服务器返回与所述关联请求对应的关联重置响应,在所述关联重置响应中携带所述重新分配的鉴权随机数,用于指示终端以所述重新分配的鉴权随机数重新向所述应用服务器发送认证请求;若否,则向所述应用服务器返回与所述关联请求对应的所述关联失败响应。
21.一种应用服务器,其特征在于,包括:
接口模块,用于接收终端的认证请求,所述认证请求携带有由鉴权服务设备为终端分配的与密钥信息对应的鉴权事务标识和鉴权随机数;向所述鉴权服务设备发送关联请求;接收所述鉴权服务设备返回的与所述关联请求对应的关联响应;向所述终端返回与所述认证请求对应的成功响应;
安全关联模块,用于获得所述认证请求中携带的鉴权事务标识和鉴权随机数,根据所述认证请求生成所述需要向鉴权服务设备发送的关联请求,在所述关联请求中携带所述鉴权事务标识和所述鉴权随机数;获得所述关联响应携带的鉴权密钥,根据所述关联响应携带的鉴权密钥生成鉴权响应数据,生成所述需要向终端返回的成功响应,在所述成功响应中携带所述鉴权响应数据。
22.根据权利要求21所述的应用服务器,其特征在于:
所述安全关联模块还用于,获得所述认证请求中携带的鉴权该请求的服务器的域名,先确认所述认证请求携带的鉴权该请求的服务器的域名为所述鉴权服务设备的域名,再生成所述需要向鉴权服务设备发送的关联请求。
23.根据权利要求21所述的应用服务器,其特征在于:
所述接口模块还用于,接收所述鉴权服务设备返回的与所述关联请求对应的关联失败响应或者关联重置响应;向所述终端返回与所述认证请求对应的失败响应或者重置响应;
所述安全关联模块还用于,根据所述关联失败响应生成所述需要向终端返回的失败响应,所述失败响应携带有要求终端重新进行密钥信息协商的指示;获得所述关联重置响应携带的重新分配的鉴权随机数,根据所述关联重置响应生成所述需要向终端返回的重置响应,在所述重置响应中携带所述重新分配的鉴权随机数,用于指示所述终端以所述重新分配的鉴权随机数重新发送认证请求。
24.一种终端,其特征在于,包括:
安全服务模块,用于与鉴权服务设备协商密钥信息,获得所述鉴权服务设备分配的与所述密钥信息对应的鉴权事务标识和鉴权随机数;
应用服务模块,用于向应用服务器发起认证请求,在所述认证请求中携带所述鉴权事务标识和所述鉴权随机数;获得所述应用服务器返回的与所述认证请求对应的成功响应,获得所述成功响应中携带的鉴权响应数据,根据所述密钥信息对所述鉴权响应数据进行验证;
鉴权控制模块,用于在需要向应用服务器发送认证请求时,判断是否保存有密钥信息以及与所述密钥信息对应的鉴权事务标识和鉴权随机数;若否,则控制所述安全服务模块获取所需数据;若是,则控制所述应用服务模块发起认证请求。
25.根据权利要求24所述的终端,其特征在于:
所述应用服务模块还用于,从所述成功响应中获得新的鉴权随机数;
所述鉴权控制模块还用于,使用所述新的鉴权随机数来更新所保存的鉴权随机数。
26.根据权利要求24所述的终端,其特征在于:
所述应用服务模块还用于,在所述认证请求中携带鉴权随机数的使用次数;
所述鉴权控制模块还用于,在所述应用服务模块获得所述成功响应后,累加所保存的鉴权随机数的使用次数。
27.根据权利要求24所述的终端,其特征在于:
所述应用服务模块还用于,获得所述应用服务器返回的与所述认证请求对应的失败响应,获得所述失败响应中携带的要求终端重新进行密钥信息协商的指示;
所述鉴权控制模块还用于,根据所述失败响应的指示清除所保存的密钥信息以及对应的鉴权事务标识和鉴权随机数,控制所述安全服务模块重新获取所需数据,然后控制所述应用服务模块重新发起认证请求。
28.根据权利要求24所述的终端,其特征在于:
所述应用服务模块还用于,获得所述应用服务器返回的与所述认证请求对应的重置响应,获得所述重置响应中携带的重新分配的鉴权随机数;
所述鉴权控制模块还用于,使用所述重新分配的鉴权随机数来更新所保存的鉴权随机数,然后控制所述应用服务模块重新发起认证请求。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101659868A CN101163010B (zh) | 2007-11-14 | 2007-11-14 | 对请求消息的鉴权方法和相关设备 |
PCT/CN2008/071894 WO2009062415A1 (en) | 2007-11-14 | 2008-08-06 | An authentication method for request message and the apparatus thereof |
EP08783887.6A EP2207301B1 (en) | 2007-11-14 | 2008-08-06 | An authentication method for request message and the apparatus thereof |
US12/780,170 US9641324B2 (en) | 2007-11-14 | 2010-05-14 | Method and device for authenticating request message |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101659868A CN101163010B (zh) | 2007-11-14 | 2007-11-14 | 对请求消息的鉴权方法和相关设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101163010A CN101163010A (zh) | 2008-04-16 |
CN101163010B true CN101163010B (zh) | 2010-12-08 |
Family
ID=39297849
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007101659868A Active CN101163010B (zh) | 2007-11-14 | 2007-11-14 | 对请求消息的鉴权方法和相关设备 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9641324B2 (zh) |
EP (1) | EP2207301B1 (zh) |
CN (1) | CN101163010B (zh) |
WO (1) | WO2009062415A1 (zh) |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101163010B (zh) | 2007-11-14 | 2010-12-08 | 华为软件技术有限公司 | 对请求消息的鉴权方法和相关设备 |
CN101567785B (zh) * | 2008-04-25 | 2011-11-02 | 华为技术有限公司 | 网络服务中的票据认证方法、系统及实体 |
CN101621505B (zh) * | 2008-06-30 | 2014-04-30 | 中兴通讯股份有限公司 | 接入认证方法及系统、终端 |
FR2973637A1 (fr) * | 2011-03-31 | 2012-10-05 | France Telecom | Mise en place d'une association de securite de type gba pour un terminal dans un reseau de telecommunications mobiles |
US8739259B1 (en) * | 2011-04-11 | 2014-05-27 | Cellco Partnership | Multilayer wireless mobile communication device authentication |
CN102857913B (zh) * | 2011-06-28 | 2015-03-11 | 中国移动通信集团公司 | 在建立安全信道时进行鉴权的方法、装置、智能卡及终端 |
US9338153B2 (en) * | 2012-04-11 | 2016-05-10 | Telecommunication Systems, Inc. | Secure distribution of non-privileged authentication credentials |
CN103905400B (zh) * | 2012-12-27 | 2017-06-23 | 中国移动通信集团公司 | 一种业务认证方法、装置及系统 |
CN103186678B (zh) * | 2013-04-24 | 2016-09-14 | 曙光信息产业(北京)有限公司 | 数据修复方法、装置和系统 |
CN106462842B (zh) * | 2014-05-07 | 2021-06-25 | 维萨国际服务协会 | 用于非接触式通信的增强型数据接口 |
JP6348019B2 (ja) * | 2014-08-28 | 2018-06-27 | ルネサスエレクトロニクス株式会社 | 通信システム、通信装置、自動車および通信方法 |
US10749731B2 (en) * | 2015-07-06 | 2020-08-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Facilitating secure communication between a client device and an application server |
US11070546B2 (en) * | 2015-07-09 | 2021-07-20 | Nokia Technologies Oy | Two-user authentication |
CN106027646B (zh) * | 2016-05-19 | 2019-06-21 | 北京云钥网络科技有限公司 | 一种加速https的方法及装置 |
US10764059B2 (en) * | 2016-05-31 | 2020-09-01 | Intel Corporation | Communications security systems and methods |
CN108243165B (zh) * | 2016-12-26 | 2020-10-30 | 中移(苏州)软件技术有限公司 | 一种鉴权方法及装置 |
CN109255207B (zh) * | 2017-07-14 | 2022-07-01 | 中国电力科学研究院有限公司 | 一种应用程序认证系统及认证方法 |
CN110719288A (zh) * | 2019-10-12 | 2020-01-21 | 深圳市道通科技股份有限公司 | 云端服务访问的方法、云端服务器及终端 |
CN111404933B (zh) * | 2020-03-16 | 2022-04-15 | 维沃移动通信有限公司 | 鉴权方法、电子设备及鉴权服务器 |
CN115915132A (zh) * | 2020-04-30 | 2023-04-04 | 华为技术有限公司 | 密钥管理方法、设备及系统 |
CN112260997B (zh) * | 2020-09-23 | 2023-05-26 | 曙光信息产业(北京)有限公司 | 数据访问方法、装置、计算机设备和存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1614903A (zh) * | 2003-11-07 | 2005-05-11 | 华为技术有限公司 | 一种验证用户合法性的方法 |
CN1756428A (zh) * | 2004-09-30 | 2006-04-05 | 华为技术有限公司 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
CN1801697A (zh) * | 2005-01-07 | 2006-07-12 | 华为技术有限公司 | 一种在ip多媒体业务子系统网络中协商密钥的方法 |
CN1845600A (zh) * | 2006-05-17 | 2006-10-11 | 中国移动通信集团公司 | 移动广播电视业务中实现用户密钥协商的方法及系统 |
CN1977514A (zh) * | 2004-06-28 | 2007-06-06 | 诺基亚公司 | 用户鉴权 |
CN101043328A (zh) * | 2006-03-24 | 2007-09-26 | 华为技术有限公司 | 通用引导框架中密钥更新方法 |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10247362A (ja) | 1997-03-06 | 1998-09-14 | Sony Corp | 情報信号複製防止方法および情報信号複製防止装置 |
US6226750B1 (en) * | 1998-01-20 | 2001-05-01 | Proact Technologies Corp. | Secure session tracking method and system for client-server environment |
US6263445B1 (en) * | 1998-06-30 | 2001-07-17 | Emc Corporation | Method and apparatus for authenticating connections to a storage system coupled to a network |
US7313381B1 (en) * | 1999-05-03 | 2007-12-25 | Nokia Corporation | Sim based authentication as payment method in public ISP access networks |
US6226752B1 (en) * | 1999-05-11 | 2001-05-01 | Sun Microsystems, Inc. | Method and apparatus for authenticating users |
KR100811419B1 (ko) * | 2000-12-07 | 2008-03-07 | 주식회사 케이티 | 공개키 암호화를 이용하는 인증 프로토콜에서의서비스거부공격에 대한 방어 방법 |
US7684565B2 (en) * | 2001-01-16 | 2010-03-23 | General Instrument Corporation | System for securely communicating information packets |
US20030063750A1 (en) * | 2001-09-26 | 2003-04-03 | Alexander Medvinsky | Unique on-line provisioning of user terminals allowing user authentication |
US20030069967A1 (en) * | 2001-10-10 | 2003-04-10 | International Business Machines Corporation | Shared authorization data authentication method for transaction delegation in service-based computing environments |
AU2002232187A1 (en) * | 2002-02-14 | 2003-09-04 | Shimada, Kennichi | Authenticating method |
FR2841070B1 (fr) * | 2002-06-17 | 2005-02-04 | Cryptolog | Procede et dispositif d'interface pour echanger de maniere protegee des donnees de contenu en ligne |
CA2502134A1 (en) * | 2002-06-19 | 2004-03-04 | Secured Communications, Inc. | Inter-authentication method and device |
US20050044377A1 (en) * | 2003-08-18 | 2005-02-24 | Yen-Hui Huang | Method of authenticating user access to network stations |
JP4587158B2 (ja) * | 2004-01-30 | 2010-11-24 | キヤノン株式会社 | セキュア通信方法、端末装置、認証サービス装置、コンピュータプログラム及びコンピュータ読み取り可能な記録媒体 |
GB0408990D0 (en) | 2004-04-22 | 2004-05-26 | Nokia Corp | Charging in communication networks |
US7372856B2 (en) * | 2004-05-27 | 2008-05-13 | Avaya Technology Corp. | Method for real-time transport protocol (RTP) packet authentication |
EP1601154A1 (en) * | 2004-05-28 | 2005-11-30 | Sap Ag | Client authentication using a challenge provider |
US7877787B2 (en) * | 2005-02-14 | 2011-01-25 | Nokia Corporation | Method and apparatus for optimal transfer of data in a wireless communications system |
US7628322B2 (en) * | 2005-03-07 | 2009-12-08 | Nokia Corporation | Methods, system and mobile device capable of enabling credit card personalization using a wireless network |
US7558957B2 (en) * | 2005-04-18 | 2009-07-07 | Alcatel-Lucent Usa Inc. | Providing fresh session keys |
WO2007008120A1 (en) * | 2005-07-07 | 2007-01-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for authentication and privacy |
CN1863260A (zh) | 2005-08-05 | 2006-11-15 | 华为技术有限公司 | 在终端设备上实时显示话费的实现方法 |
KR101259212B1 (ko) * | 2005-08-31 | 2013-04-29 | 텔레폰악티에볼라겟엘엠에릭슨(펍) | Ims 노드, 정보 노드, 사용자 노드, 액세스 제어시스템, 사용자 노드와 정보 노드 간의 중재 방법, ims노드와 통신하는 방법 |
US7835528B2 (en) * | 2005-09-26 | 2010-11-16 | Nokia Corporation | Method and apparatus for refreshing keys within a bootstrapping architecture |
CN1968106B (zh) | 2006-11-13 | 2013-04-24 | 华为技术有限公司 | 实现余额共享的计费系统及方法 |
CN101163010B (zh) * | 2007-11-14 | 2010-12-08 | 华为软件技术有限公司 | 对请求消息的鉴权方法和相关设备 |
-
2007
- 2007-11-14 CN CN2007101659868A patent/CN101163010B/zh active Active
-
2008
- 2008-08-06 WO PCT/CN2008/071894 patent/WO2009062415A1/zh active Application Filing
- 2008-08-06 EP EP08783887.6A patent/EP2207301B1/en active Active
-
2010
- 2010-05-14 US US12/780,170 patent/US9641324B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1614903A (zh) * | 2003-11-07 | 2005-05-11 | 华为技术有限公司 | 一种验证用户合法性的方法 |
CN1977514A (zh) * | 2004-06-28 | 2007-06-06 | 诺基亚公司 | 用户鉴权 |
CN1756428A (zh) * | 2004-09-30 | 2006-04-05 | 华为技术有限公司 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
CN1801697A (zh) * | 2005-01-07 | 2006-07-12 | 华为技术有限公司 | 一种在ip多媒体业务子系统网络中协商密钥的方法 |
CN101043328A (zh) * | 2006-03-24 | 2007-09-26 | 华为技术有限公司 | 通用引导框架中密钥更新方法 |
CN1845600A (zh) * | 2006-05-17 | 2006-10-11 | 中国移动通信集团公司 | 移动广播电视业务中实现用户密钥协商的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
US20100223468A1 (en) | 2010-09-02 |
WO2009062415A1 (en) | 2009-05-22 |
US9641324B2 (en) | 2017-05-02 |
EP2207301A4 (en) | 2012-01-18 |
CN101163010A (zh) | 2008-04-16 |
EP2207301B1 (en) | 2015-01-14 |
EP2207301A1 (en) | 2010-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101163010B (zh) | 对请求消息的鉴权方法和相关设备 | |
RU2527730C2 (ru) | Управление ключами безопасности в основанных на ims услугах широковещания и многоадресного вещания мультимедиа (mbms) | |
EP2255507B1 (en) | A system and method for securely issuing subscription credentials to communication devices | |
EP1595190B1 (en) | Service provider anonymization in a single sign-on system | |
CN104145465B (zh) | 机器类型通信中基于群组的自举的方法和装置 | |
US9015819B2 (en) | Method and system for single sign-on | |
EP2566204A1 (en) | Authentication method and device, authentication centre and system | |
US20030070068A1 (en) | Method and system for providing client privacy when requesting content from a public server | |
CN1859097B (zh) | 一种基于通用鉴权框架的认证方法及系统 | |
WO2006097041A1 (fr) | Forme d'authentification generale et procede pour mettre en place l'authentification | |
US8234497B2 (en) | Method and apparatus for providing secure linking to a user identity in a digital rights management system | |
WO2013034187A1 (en) | Secure communication | |
CN101039181B (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
CN113569210A (zh) | 分布式身份认证方法、设备访问方法及装置 | |
EP3547734A1 (en) | Authentication for a communication system | |
CN102694779B (zh) | 组合认证系统及认证方法 | |
CN103067345A (zh) | 一种变异gba的引导方法及系统 | |
CN102869010A (zh) | 单点登录方法及系统 | |
US20110161658A1 (en) | Method for enabling limitation of service access | |
EP1940073B1 (en) | A method, system and apparus for negotiating the key between ss and sp | |
CN101312395B (zh) | 一种应用业务的安全鉴权和换卡处理方法及系统 | |
CN113569209B (zh) | 基于区块链的用户注册方法及装置 | |
CN103095649A (zh) | 一种ims单点登录的组合鉴权方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20200218 Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee after: HUAWEI TECHNOLOGIES Co.,Ltd. Address before: Kokusai Hotel No. 11 Nanjing Avenue in the flora of 210012 cities in Jiangsu Province Patentee before: Huawei Technologies Co.,Ltd. |