CN101193128B - 共享密钥管理方法 - Google Patents
共享密钥管理方法 Download PDFInfo
- Publication number
- CN101193128B CN101193128B CN200610144854A CN200610144854A CN101193128B CN 101193128 B CN101193128 B CN 101193128B CN 200610144854 A CN200610144854 A CN 200610144854A CN 200610144854 A CN200610144854 A CN 200610144854A CN 101193128 B CN101193128 B CN 101193128B
- Authority
- CN
- China
- Prior art keywords
- shared key
- user
- card
- terminal
- management method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种共享密钥的管理方法,用于在通信系统中的终端上实现共享密钥保存和使用,其包括以下步骤:步骤S602,在用户加入网络时为其分配共享密钥,采用一个公共的初始用户密码对共享密钥加密,并将加密后的共享密钥通过PC卡的接口写入到PC卡的非易失性存储器中;步骤S604,当用户初次启动终端以登陆网络时,在拨号软件界面上输入用户名和公共的初始用户密码;以及步骤S606,拨号软件对通过接口读取的加密后的共享密钥进行解密,得到共享密钥,并利用共享密钥构造扩展鉴权协议报文以通过鉴权。因此,既增强了用户上网的便捷性,又保证了共享密钥使用的安全性;同时,还做到了多人共享一个PC卡上网。
Description
技术领域
本发明涉及无线通信领域,更具体地,涉及一种在由PCMCIA卡和电脑构成的特定终端类型上实现共享密钥管理的方法。
背景技术
近年来,无线城域网(Wireless MAN)技术逐渐变得成熟并得到实际应用,为了促进无线城域网技术的进一步发展,IEEE成立了802.16工作组来专门研究宽带无线接入技术规范,目标是要建立一个全球统一的宽带无线接入标准,目前主要形成了两个标准:IEEE802.16-2004即IEEE802.16d,支持固定宽带无线接入,目前市场上已有成熟的产品;另外一个为IEEE802.16e,为支持移动特性的宽带无线接入标准,即将有相关的产品推向市场。同时,全球知名的运营商和通讯制造商共同成立了微波存取全球互通技术论坛(World Interoperability for Microware Access,以下简称为WiMAX),WiMAX论坛的宗旨是促进和认证符合IEEE 802.16和ETSI HiperMAN标准的宽带无线接入设备的兼容性和互操作性,只有通过WiMAX认证的产品才能更好地被运营商和用户所接受。
IEEE 802.16系列标准针对无线环境系统易受窃取,假冒和攻击的特点,在安全性方面做了专门的考虑,特别设置了一个安全子层,包括鉴权、授权和密钥管理、加密等功能,对用户安全的接入网络提供了充分保障。其中鉴权支持两种不同类型的鉴权协议:RSA和EAP鉴权,其中后者是为获得WiMAX认证必须要支持的,EAP是Extensible Authentication Protocol(扩展鉴权协议)的缩写,包括EAP层和EAP方法层,EAP方法层定义了具体的EAP鉴权方法,包括EAP-MD5、EAP-AKA、EAP-SIM等,不同的鉴权方法可分别用于设备鉴权或用户鉴权。
在上述鉴权方法中,有的需要在终端入网时为其分配一个根密钥,同时将上述根密钥保存在鉴权/授权/计费服务器(Authentication、Authorization、以及Accounting,以下简称为AAA服务器)中,这种同时在终端和AAA服务器上配置的相同的密钥,称为共享密钥。例如,上述鉴权方法中用于用户鉴权的根密钥(Subscriber Root Key,以下简称为SRK),或者用于设备鉴权的预共享密钥(Preshared Key,以下简称为PSK)。
图1给出了终端与AAA实现EAP-MD5鉴权的过程。如图1所示,终端在网络初始接入过程中,必须与基站或AAA服务器进行鉴权,鉴权过程中执行EAP方法,通常是相互进行一些请求和应答,根据请求和应答中携带的信息连同共享密钥,最终在终端和AAA服务器两端分别派生出主会话密钥(Master Session Key,以下简称为MSK)。例如,EAP-MD5就是由AAA服务器向终端发出MD5-Challenge,终端给出应答(MD5Response=MD5(Identifier,Secret,Challenge)),AAA服务器完成对终端的鉴权(确认MD5Response合法)后,双方可根据共享密钥Secret和MD5-Challenge共同派生出MSK。
终端设备(CPE)包括不同的构成形式:早期的CPE类似DSL调制解调器,目前CPE可集成为上网卡的形式(诸如PCMCIA卡),可与笔记本电脑配合使用实现上网等多种功能,未来CPE可进一步缩小成为单独的PDA或手机。
以PCMCIA卡与笔记本电脑构成的终端为例,目前主要以如下方式实现鉴权,如图2所示,PCMCIA卡实现802.16e PKMv2消息的处理,即实现协议栈中的802.16和PKMv2两层,运行在笔记本电脑上的拨号软件完成用户名(NAI)和密码(Secret)的输入,并实现EAP Method层和EAP层报文的处理,即实现协议栈中的EAPMethod和EAP层。图3显示了PCMCIA卡与笔记本电脑构成的终端如何进行共享密码保存与使用。输入的密码可保存在拨号软件中(此时,可省略如图2所示的步骤1以及步骤2),或者通过拨号软件与PCMCIA卡提供的应用程序接口(Application ProgrammeInterface,以下简称为API)写入到PCMCIA卡的非易失性存储器(ROM或者FLASH)里面(参见步骤1),每次鉴权时拨号软件再通过API接口读取该Secret(参见步骤2),并构造EAP报文,通过API接口送往PCMCIA卡(参见步骤3),PCMCIA卡封装EAP报文到密钥管理协议(PKM)消息中送往基站进行鉴权(参见步骤4)。
但是,上述实现方式存在如下缺点:
(1)Secret作为一个密码,必须要具备一定的随机性,即所谓“强密码”,不能是一个容易被猜测到的数,例如,EAP-MD5要求Secret为16字节的伪随机数,要求用户通过拨号软件输入一串随机数非常麻烦,同时也不便于记忆;
(2)Secret在入网时同时保存在AAA中,因此不能随意更改;
(3)Secret直接保存在PCMCIA卡中,保密性差,容易被获取;
(4)不便于多人共享同一PCMCIA卡上网,所谓多人共享,是指一个合法用户可以将该PCMCIA卡暂时借用给其他人(临时用户)使用,随后收回,收回后临时用户无法再使用该合法用户的帐号上网。如果Secret保存在拨号软件中,则当合法用户收回PCMCIA卡后,临时用户可以继续利用保存在拨号软件的用户名和密码构造合法的EAP报文通过鉴权,产生的费用仍然要由合法用户承担;如果Secret保存在PCMCIA卡中,则任何人只要拿到了该PCMCIA卡,就可以安装一个拨号软件上网,通过API接口,无需输入任何密码,就能构造合法的EAP报文通过鉴权,产生的费用仍然要由合法用户承担。
发明内容
针对无线通信系统终端的共享密钥的保存和使用中存在的上述问题,本发明提供了一种共享密钥管理方法,只有在同时拥有合法的PCMCIA卡和用户密码的情况下,就能完成网络接入,从而便于多人共享同一PCMCIA卡上网;同时,用户既不用输入冗长的共享密码,又可随时修改用户密码,并且本发明的方法还增强了共享密码存储的安全性。
本发明的一个方面提供了一种共享密钥的管理方法,用于在通信系统中的终端上实现共享密钥保存和使用,其包括以下步骤:步骤S602,在用户加入网络时为其分配共享密钥,采用一个公共的初始用户密码对共享密钥加密,并将加密后的共享密钥通过PC卡的接口写入到PC卡的非易失性存储器中;步骤S604,当用户初次启动终端以登陆网络时,在拨号软件界面上输入用户名和公共的初始用户密码;以及步骤S606,拨号软件对通过接口读取的加密后的共享密钥进行解密,得到共享密钥,并利用共享密钥构造扩展鉴权协议报文以通过鉴权。
根据本发明的一个方面,共享密钥的管理方法还包括以下步骤:用户利用拨号软件将公共的初始用户密码修改为新用户密码,并在下次登陆网络时使用新用户密码;以及拨号软件使用新用户密码对共享密钥加密,并将加密后的共享密钥保存在PC卡的非易失性存储器中.
根据本发明的通信系统包括IEEE 802.16e无线通信系统,终端包括IEEE 802.16e无线通信系统终端,以及本发明的终端由PCMCIA卡和电脑组成。
另外,根据本发明的PC卡包括PCMCIA卡,以及本发明的接口为PCMCIA卡的应用程序接口。
因此,本发明的共享密钥管理方法实现了以下技术效果:
(1)使得共享密码可以在用户入网时,一次性的加密保存到PCMCIA卡中,后续不必再输入,甚至用户可以完全不用知道共享密码,可以有效的避免用户输入冗长的共享密码,而用户需要上网时,只需要简单的输入一个用户密码即可,用户密码只要符合普通的密码强度即可(通常是6位字符以上);
(2)使得用户可随时方便的修改用户密码,密码经常更换,增强了安全性,同时,共享密码通过加密存储在PCMCIA卡内,也增强了安全性;
(3)使得多人共享一个PCMCIA卡上网成为可能。合法用户通过修改其用户密码为临时用户密码,就可以将PCMCIA卡借给其他人使用,完毕后只需要将临时用户密码修改回原有的用户密码或一个新的用户密码,临时用户就无法再利用该帐号进行上网;
(4)可以防止其他人未经许可,而临时借用该PCMCIA卡进行网络登陆,因为只有同时拥有合法的PCMCIA卡和用户密码才能完成网络接入,因此,即使PCMCIA卡被盗了,盗用者仍然无法直接使用该PCMCIA卡进行网络登陆,从而保护了合法用户的利益。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是背景技术中终端与AAA服务器实现EAP-MD5鉴权的流程图;
图2是背景技术中终端实现用户鉴权的协议栈的视图;
图3是背景技术中现有终端共享密码保存与使用的示意图;
图4是根据本发明的实施例的用户入网时共享密码分配与保存的示意图;
图5是根据本发明的实施例的终端共享密码保存与使用的示意图;
图6是根据本发明的共享密钥管理方法的流程图;以及
图7是根据本发明的共享密钥管理装置的框图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
图4是根据本发明的实施例的用户入网时共享密码分配与保存的示意图。图5是根据本发明的实施例的终端共享密码保存与使用的示意图。图6是根据本发明的共享密钥管理方法的流程图。
以下将结合图4及图5详细介绍如图6所示的本发明的共享密钥管理方法。根据本发明的实施例,运营商的业务受理终端由业务受理软件以及读写卡器组成,通信系统为IEEE602.16e无线通信系统,终端是由PCMCIA卡及电脑构成的特定终端,以及接口为PCMCIA卡的应用程序接口。如图6所示,共享密钥管理方法包括以下步骤:
步骤S602,在用户加入网络时为其分配共享密钥,采用一个公共的初始用户密码对共享密钥加密,并将加密后的共享密钥通过PC卡的接口写入到PC卡的非易失性存储器中。其具体步骤如图4所示:
步骤1,用户在入网时,运营商的业务受理终端404为用户分配共享密钥secret,采用一个公共的初始用户密码(例如8888,123456)对共享密钥secret进行加密后,通过PCMCIA卡406提供的API接口写入到PCMCIA卡406的非易失性存储器中;
同时,进行如图4所示的步骤2,将该共享密钥保存在AAA服务器402中。
步骤S604,当用户初次启动终端以登陆网络时,在拨号软件界面上输入用户名和公共的初始用户密码。其具体步骤参见如图5所示的步骤1,用户在初次启动终端上网时,将PCMCIA卡506插入笔记本电脑502或者与电脑连接起来,并在拨号软件界面上输入用户名和公共的初始用户密码。
步骤S606,拨号软件对通过接口读取的加密后的共享密钥进行解密,得到共享密钥,并利用共享密钥构造扩展鉴权协议报文以通过鉴权。其具体步骤参见如图5所示的步骤2、步骤3以及步骤4:
步骤2,拨号软件通过PCMCIA卡506提供的API接口504读取采用公共的初始用户密码加密后的共享密钥secret;
步骤3,解密后得到原始的共享密钥secret,并利用它构造合法的EAP报文,通过API接口504送往PCMCIA卡506;
步骤4,PCMCIA卡506封装EAP报文到PKM消息中送往基站508进行鉴权。
鉴权成功后,用户可以登陆网络,至此,实现了整个共享密钥的初步管理。鉴权成功后,用户上网时,可以通过如图6所示的以下步骤实现共享密钥的进一步管理:
步骤S608,用户利用拨号软件将公共的初始用户密码修改为新用户密码,并在下次登陆网络时使用新用户密码。其对应图5中步骤5;
步骤S610,拨号软件使用新用户密码对共享密钥加密,并将加密后的共享密钥保存在PC卡的非易失性存储器中。
至此,成功实现了完整的共享密钥的管理。
图7是根据本发明的共享密钥管理装置的框图。如图7所示,共享密钥的管理装置700包括:加密单元702,用于在用户加入网络时为其分配共享密钥,采用一个公共的初始用户密码对共享密钥加密,并将加密后的共享密钥通过PC卡的接口写入到PC卡的非易失性存储器中,其中,PC卡包括PCMCIA卡,接口为PCMCIA卡的应用程序接口;输入单元704,用于当用户初次启动终端以登陆网络时,输入用户名和公共的初始用户密码;以及解密构造单元706,用于对通过接口读取的加密后的共享密钥进行解密,得到共享密钥,并利用共享密钥构造扩展鉴权协议报文以通过鉴权。
此外,在本发明中,共享密钥管理装置700还包括:密码修改单元708,用于将公共的初始用户密码修改为新用户密码,并在下次登陆网络时使用新用户密码;以及加密保存单元710,用于使用新用户密码对共享密钥加密,并将加密后的共享密钥保存在PC卡的非易失性存储器中.
在本发明中,通信系统包括IEEE 802.16e无线通信系统,终端包括IEEE 802.16e无线通信系统终端。另外,需要指出的是终端由PCMCIA卡和电脑组成。
如上所示,本发明实现了以下技术效果:一次性的加密共享密码,并保存到PC卡中;用户可随时方便的修改用户密码,密码经常更换,增强了安全性,同时,共享密码通过加密存储在PC卡内,也增强了安全性;多人可共享一个PC卡上网;同时,防止其他人未经许可,而临时借用该PC卡进行网络登陆,保护了合法用户的利益。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种共享密钥管理方法,用于在通信系统中的终端上实现共享密钥保存和使用,其特征在于,包括以下步骤:
步骤S602,在用户加入网络时为其分配所述共享密钥,采用一个公共的初始用户密码对所述共享密钥加密,并将加密后的共享密钥通过PC卡的接口写入到所述PC卡的非易失性存储器中;
步骤S604,当所述用户初次启动终端以登陆所述网络时,在拨号软件界面上输入用户名和所述公共的初始用户密码;以及
步骤S606,所述拨号软件对通过所述接口读取的加密后的所述共享密钥进行解密,得到所述共享密钥,并利用所述共享密钥构造扩展鉴权协议报文以通过鉴权。
2.根据权利要求1所述的共享密钥管理方法,其特征在于,还包括以下步骤:
所述用户利用所述拨号软件将所述公共的初始用户密码修改为新用户密码,并在下次登陆所述网络时使用所述新用户密码;以及
所述拨号软件使用所述新用户密码对所述共享密钥加密,并将加密后的共享密钥保存在PC卡的非易失性存储器中。
3.根据权利要求1所述的共享密钥管理方法,其特征在于,所述通信系统包括IEEE 802.16e无线通信系统。
4.根据权利要求1所述的共享密钥管理方法,其特征在于,所述终端包括IEEE 802.16e无线通信系统终端。
5.根据权利要求4所述的共享密钥管理方法,其特征在于,所述终端由PCMCIA卡和电脑组成。
6.根据权利要求1或2所述的共享密钥管理方法,其特征在于,所述PC卡包括PCMCIA卡。
7.根据权利要求4所述的方法,其特征在于,所述接口为所述PCMCIA卡的应用程序接口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610144854A CN101193128B (zh) | 2006-11-23 | 2006-11-23 | 共享密钥管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610144854A CN101193128B (zh) | 2006-11-23 | 2006-11-23 | 共享密钥管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101193128A CN101193128A (zh) | 2008-06-04 |
| CN101193128B true CN101193128B (zh) | 2010-05-12 |
Family
ID=39487871
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610144854A Expired - Fee Related CN101193128B (zh) | 2006-11-23 | 2006-11-23 | 共享密钥管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101193128B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102100097B (zh) * | 2008-11-27 | 2013-06-05 | 中兴通讯股份有限公司 | 一种移动终端的鉴权方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1222275A (zh) * | 1996-06-17 | 1999-07-07 | 艾利森公司 | 基于信道特征的安全通信的装置与方法 |
-
2006
- 2006-11-23 CN CN200610144854A patent/CN101193128B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1222275A (zh) * | 1996-06-17 | 1999-07-07 | 艾利森公司 | 基于信道特征的安全通信的装置与方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101193128A (zh) | 2008-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9936384B2 (en) | Systems and methods for providing security to different functions | |
| US7912224B2 (en) | Wireless network system and communication method for external device to temporarily access wireless network | |
| CN1293720C (zh) | 初始化无线设备间安全通信和对其专用配对的方法和装置 | |
| US20060089123A1 (en) | Use of information on smartcards for authentication and encryption | |
| Dantu et al. | EAP methods for wireless networks | |
| CN104205891A (zh) | 虚拟sim卡云平台 | |
| US20050108534A1 (en) | Providing services to an open platform implementing subscriber identity module (SIM) capabilities | |
| CN101406021A (zh) | 基于sim的认证 | |
| CN101641976A (zh) | 认证方法 | |
| EP1897268A1 (en) | Method for refreshing a pairwise master key | |
| CN108683510A (zh) | 一种加密传输的用户身份更新方法 | |
| US9608971B2 (en) | Method and apparatus for using a bootstrapping protocol to secure communication between a terminal and cooperating servers | |
| KR20120101523A (ko) | 안전한 멀티 uim 인증 및 키 교환 | |
| CN101621794A (zh) | 一种无线应用服务系统的安全认证实现方法 | |
| EP2092674A2 (en) | Secure password distribution to a client device of a network | |
| US7913096B2 (en) | Method and system for the cipher key controlled exploitation of data resources, related network and computer program products | |
| CN101192921A (zh) | 共享密钥管理装置 | |
| CN101990201A (zh) | 生成gba密钥的方法及其系统和设备 | |
| Khan et al. | Offline OTP based solution for secure internet banking access | |
| US10108435B2 (en) | Short message service security for zero touch deployments | |
| CN111488570A (zh) | 认证方法及认证系统 | |
| CN105743859B (zh) | 一种轻应用认证的方法、装置及系统 | |
| Gope | Enhanced secure mutual authentication and key agreement scheme with user anonymity in ubiquitous global mobility networks | |
| CN101193128B (zh) | 共享密钥管理方法 | |
| CN101202620A (zh) | 在终端上实现共享密钥保存和使用的共享密钥管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100512 Termination date: 20151123 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |