CN101873213A - 端到端鉴权方法和系统及业务端智能卡 - Google Patents

端到端鉴权方法和系统及业务端智能卡 Download PDF

Info

Publication number
CN101873213A
CN101873213A CN200910083057A CN200910083057A CN101873213A CN 101873213 A CN101873213 A CN 101873213A CN 200910083057 A CN200910083057 A CN 200910083057A CN 200910083057 A CN200910083057 A CN 200910083057A CN 101873213 A CN101873213 A CN 101873213A
Authority
CN
China
Prior art keywords
authentication
service
terminal
intelligent card
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN200910083057A
Other languages
English (en)
Other versions
CN101873213B (zh
Inventor
王彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Unicom Broadband Services Applic Nat Engineering Lab Co ltd
China United Network Communications Group Co Ltd
Original Assignee
CHINA NETCOM BROADBAND SERVICES APPLICATION NATIONAL ENGINEERING LAB Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CHINA NETCOM BROADBAND SERVICES APPLICATION NATIONAL ENGINEERING LAB Co Ltd filed Critical CHINA NETCOM BROADBAND SERVICES APPLICATION NATIONAL ENGINEERING LAB Co Ltd
Priority to CN2009100830571A priority Critical patent/CN101873213B/zh
Publication of CN101873213A publication Critical patent/CN101873213A/zh
Application granted granted Critical
Publication of CN101873213B publication Critical patent/CN101873213B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种端到端鉴权方法和系统及业务端智能卡。该方法包括:当业务终端接收到业务接入请求时产生一业务鉴权请求,发送给客户终端;客户终端将业务鉴权请求发送给客户端智能卡,接收返回的客户端鉴权信息并发送给业务终端;业务终端将业务鉴权请求和/或客户端鉴权信息发送给业务端智能卡;业务端智能卡识别客户终端的标识,采用对应的算法产生业务端鉴权参数;业务终端获取根据客户端鉴权参数和业务端鉴权参数产生的鉴权结果。本发明在端到端业务的鉴权过程中引入了智能卡鉴权方式,且针对不同客户终端采用对应的算法进行鉴权,实现了端到端的业务鉴权,从而能够提高端到端业务的安全性。

Description

端到端鉴权方法和系统及业务端智能卡
技术领域
本发明涉及通信技术,尤其涉及一种端到端鉴权方法和系统及业务端智能卡。
背景技术
随着通信技术和市场需求的发展,端到端业务的应用逐渐增多。所谓端到端业务,即基于通信网络实现网络侧的某个业务终端为用户侧特定的某个或某几个客户终端提供业务服务,其特点是少量的业务终端为少量的特定客户终端提供业务服务,这区别于常见的一个业务平台为众多的客户终端同时提供业务服务的情况。在端到端业务中,通常业务终端和客户终端之间的链接建立及交互等过程均需由网络侧的服务平台进行管理。视频监控、网络游戏、远程私人医疗服务等业务都可归于端到端业务。
鉴权过程是端到端业务中的一个重要环节。以视频监控业务为例来说明鉴权过程,其可以基于超文本传输协议(Hypertext Transfer Protocol;以下简称:HTTP)登录服务平台的控制页面,输入用户名和密码进行鉴权。服务平台根据数据库中记载的用户信息进行用户鉴权,若鉴权通过,则基于用户信息直接可以建立用户与其选定的监控终端之间的视频连接。即:服务平台仅依据用户名和密码即可完成用户的接入鉴权和应用某监控终端的业务鉴权。
这种鉴权方式中,业务终端的鉴权在服务平台上完成,并且以网页方式传输用户名和密码的明文,存在着鉴权信息被盗的危险性。一旦用户口令失窃,则可能使任何获得用户口令的人员直接获取视频监控业务服务,进入监控界面,侵犯个人隐私,严重的还可能为犯罪分子留下可乘之机。因此,现有端到端业务的鉴权可靠性较差,业务应用的安全性低。
发明内容
本发明的目的是提供一种端到端鉴权方法和系统及业务端智能卡,以提高端到端业务应用的安全性。
为实现上述目的,本发明提供了一种端到端鉴权方法,包括:
当业务终端接收到业务接入请求时产生一业务鉴权请求,发送给客户终端;
所述客户终端将所述业务鉴权请求发送给客户端智能卡,接收返回的客户端鉴权信息并发送给所述业务终端,所述客户端鉴权信息中至少包括客户端鉴权参数;
所述业务终端将所述业务鉴权请求和/或所述客户端鉴权信息发送给业务端智能卡;
所述业务端智能卡根据所述业务鉴权请求和/或所述客户端鉴权信息识别所述客户终端的标识,根据所述客户终端的标识采用对应的算法产生业务端鉴权参数;
所述业务终端获取根据所述客户端鉴权参数和所述业务端鉴权参数产生的鉴权结果。
为实现上述目的,本发明还提供了一种业务端智能卡,包括:
接收模块,用于接收业务终端发送的业务鉴权请求和/或客户端鉴权信息;
客户终端识别模块,用于根据所述业务鉴权请求和/或所述客户端鉴权信息识别所述客户终端的标识;
算法存储模块,用于存储与各客户终端对应的各算法;
业务端加密模块,用于根据所述客户终端的标识获取对应的算法进行加密,以产生业务端鉴权参数;
返回模块,用于将所述业务端鉴权参数返回给所述业务终端,或将根据所述业务端鉴权参数及所述客户端鉴权信息中的客户端鉴权参数产生的鉴权结果返回给所述业务终端。
为实现上述目的,本发明还提供了一种包括本发明业务端智能卡的端到端鉴权系统,还包括客户终端和业务终端,且
所述客户终端包括:
业务鉴权请求接收模块,用于接收所述业务终端发送的业务鉴权请求;
鉴权信息获取模块,用于将所述业务鉴权请求发送给客户端智能卡,并接收返回的客户端鉴权信息,所述客户端鉴权信息中至少包括客户端鉴权参数;
鉴权信息发送模块,用于将所述客户端鉴权信息发送给所述业务终端,
所述业务终端包括:
接入请求接收模块,用于接收业务接入请求;
业务鉴权请求发送模块,用于当接收到所述业务接入请求时产生一业务鉴权请求,并发送给所述客户终端;
业务鉴权模块,用于将所述业务鉴权请求和/或所述客户端鉴权信息发送给所述业务端智能卡,并接收所述业务端智能卡返回的所述鉴权结果或业务端鉴权参数,当接收到所述业务端鉴权参数时,还用于根据所述业务端鉴权参数和所述客户端鉴权参数获取鉴权结果。
由以上技术方案可知,本发明在端到端业务的鉴权过程中引入了智能卡鉴权方式,且业务端智能卡会识别客户终端,根据客户终端采用与其对应的算法,在鉴权过程中体现了不同客户终端之间的差异,实现了端到端的业务鉴权,从而能够提高端到端业务的安全性。
附图说明
图1为本发明端到端鉴权方法所基于的系统架构示意图;
图2为本发明第一实施例所提供的端到端鉴权方法的流程图;
图3为本发明第二实施例所提供的端到端鉴权方法的流程图;
图4为本发明第三实施例所提供的端到端鉴权方法的信令流程图;
图5为本发明第四实施例所提供的端到端鉴权方法的信令流程图;
图6为本发明第五实施例所提供的端到端鉴权方法的信令流程图;
图7为本发明第六实施例所提供的业务端智能卡的结构示意图;
图8为本发明第七实施例所提供的端到端鉴权系统的结构示意图;
图9为本发明第八实施例所提供的端到端鉴权系统的结构示意图。
具体实施方式
下面通过具体实施例并结合附图对本发明做进一步的详细描述。
图1为本发明端到端鉴权方法所基于的系统架构示意图。如图1所示,实现端到端业务的系统通常可以包括:服务平台30、多个客户终端20和多个业务终端40。业务终端40可以布设在局域网中,客户终端20可以通过局域网或广域网连接至业务终端40,客户终端20需要在服务平台30完成相应的管理,而后实现与业务终端40的端到端连接。本发明实施例将智能卡鉴权方式引入端到端业务之中,因此,各用户分别具有自己的客户端智能卡10,可在客户终端20上使用。例如,可以采用常用的客户识别模块(SubscriberIdentity Module;以下简称:SIM)卡作为客户端智能卡10,客户端智能卡10可以相对固定的插入客户终端20中,也可以在需要使用时由用户随时插入客户终端20中。各业务终端40也相应分配一业务端智能卡50。
以下实施例以视频监控业务为例来说明端到端鉴权过程,业务终端即监控终端,某个监控终端提供视频监控业务的客户终端范围通常较小,限于某些客户终端中。
第一实施例
图2为本发明第一实施例所提供的端到端鉴权方法的流程图,本实施例具体包括如下流程:
步骤203、当待连接的业务终端接收到业务接入请求时产生一业务鉴权请求,并将其发送给客户终端;
步骤204、客户终端将业务鉴权请求发送给客户端智能卡,接收客户端智能卡返回的客户端鉴权信息,并将客户端鉴权信息发送给待连接的业务终端,该客户端鉴权信息中至少包括有客户端鉴权参数;
步骤205、待连接的业务终端将业务鉴权请求和/或客户端鉴权信息发送给业务端智能卡;
步骤206、业务端智能卡根据业务鉴权请求和/或客户端鉴权信息识别客户终端的标识,根据客户终端的标识采用对应的算法产生业务端鉴权参数,该业务端智能卡中可以预先存储有对应不同客户终端的不同算法,在应用时可以进行选取;
步骤207、业务终端获取根据客户端鉴权参数和业务端鉴权参数产生的鉴权结果。
本实施例的端到端鉴权方法可以基于图1所示的系统来实现,且主要为客户终端与待连接的业务终端之间的鉴权过程。具体应用中,客户终端可以首先通过服务平台来确定待连接的业务终端,并发起业务接入请求,即:在业务终端接收到业务接入请求之前,还包括下述步骤:
步骤201、客户终端根据服务平台提供的业务终端信息确定待连接的业务终端,在此步骤中,客户终端可以首先与服务平台交互,实现服务平台对端到端业务的管理,服务平台将可供该用户使用的业务终端的相关信息提供给客户终端供其选择;
步骤202、客户终端或服务平台向待连接的业务终端发送业务接入请求。
在客户终端通过服务平台确定待连接业务终端之后,基于智能卡鉴权的方式进行端到端鉴权,由于智能卡具有安全性高、易携带、可内置算法的特点,因此可有效提高端到端业务的安全性。该鉴权方式既可作为原有端到端鉴权的有效补充,又可单独使用来提高安全性。本实施例的鉴权方法实现了端到端的鉴权,在业务端智能卡中根据客户终端选择对应的鉴权算法,不同的客户终端用对应的独立的算法,充分体现了不同客户终端在鉴权时的差异性,可以提高端到端业务鉴权的安全性。
第二实施例
图3为本发明第二实施例所提供的端到端鉴权方法的流程图,本实施例可以上述第一实施例为基础,在上述步骤201之前进一步执行下述步骤:
步骤301、客户终端将用户输入的接入鉴权信息发送给服务平台;
步骤302、服务平台根据接入鉴权信息进行接入鉴权,当接入鉴权通过时查找获取与用户对应的业务终端信息;
步骤303、服务平台将业务终端信息提供给客户终端。
本实施例的技术方案实现了端到端业务中的两级鉴权过程,即服务平台的接入鉴权和业务终端的业务鉴权。在采用端到端业务时,接入鉴权和业务鉴权是两套不同的鉴权认证体系。接入鉴权为服务平台对用户接入进行身份鉴别,是一种点到面的鉴权方式,用户仅需知道用户名和登录口令即可,可以采用明文传输。而业务鉴权是采用端到端的方式,用户拥有单独的鉴权算法和/或单独的密钥。现有技术中的鉴权方式以及非端到端业务的鉴权方式通常都属于接入鉴权阶段,接入鉴权和业务鉴权没有严格区分,用户的安全性缺乏保证。本实施例的两级鉴权方式将接入鉴权与业务鉴权明确区分为两个阶段,而且业务鉴权采用智能卡鉴权方式,所以能够有效提高鉴权的可靠性,保证端到端业务应用的安全性。
第三实施例
图4为本发明第三实施例所提供的端到端鉴权方法的信令流程图,本实施例可以上述第一和第二实施例为基础,其具体流程如下:
步骤401、用户通过客户终端以网页形式登录服务平台的控制页面,客户终端接收用户输入的接入鉴权信息,并发送给服务平台,该鉴权信息可以是用户名和密码;
步骤402、服务平台根据接入鉴权信息进行接入鉴权,例如可以在本地存储的用户信息中进行匹配,以验证该用户的合法性,当接入鉴权通过时服务平台查找获取与用户对应的业务终端信息,在视频监控业务中,服务平台可以查找到该用户所登记的被监控点的监控终端列表;
步骤403、服务平台将业务终端信息提供给客户终端,客户终端可以进行显示,以便用户选择;
步骤404、客户终端根据服务平台提供的业务终端信息确定待连接的业务终端,本步骤具体可以是客户终端确定待连接的业务终端的标识(ID),通过网页形式提交给服务平台;
步骤405、服务平台基于客户终端提交的标识,向待连接的业务终端发送业务接入请求,或者业务接入请求也可以由客户终端直接向业务终端发起;
步骤406、当待连接的业务终端接收到业务接入请求时,产生一业务鉴权请求,并产生一随机数(RND),将随机数设置在业务鉴权请求中,将业务鉴权请求发送给客户终端;
步骤407、客户终端将业务鉴权请求发送给客户端智能卡;
步骤408、客户端智能卡从接收到的业务鉴权请求中解析获取待连接的业务终端设置的随机数;
步骤409、客户端智能卡采用本地存储的鉴权算法,将客户端密钥与该随机数进行加密运算,产生客户端鉴权参数;
步骤410、客户端智能卡将客户端鉴权参数作为客户端鉴权信息,返回给客户终端;
步骤411、当客户终端接收到返回的客户端鉴权信息时,将其发送给待连接业务终端;
步骤412、待连接的业务终端将客户端鉴权信息发送给业务端智能卡,此时,待连接的业务终端可以将上述产生的业务鉴权请求一并发送给业务端智能卡,也可以在上述步骤406中,产生业务鉴权请求后立即发送给业务端智能卡;
步骤413、业务端智能卡根据业务鉴权请求或客户端鉴权信息识别该客户终端的标识,并从接收到的业务鉴权请求中解析获取业务终端设置的随机数,从客户端鉴权信息中解析获取客户端鉴权参数;
步骤414、业务端智能卡根据客户终端的标识在本地获取对应的鉴权算法和业务端密钥,采用鉴权算法对业务端密钥与该随机数进行加密,产生业务端鉴权参数,具体的,业务端密钥和上述客户端密钥可以为相同的对称密钥;
步骤415、业务端智能卡比较业务端鉴权参数与客户端鉴权参数,当两者相同时,产生通过的鉴权结果,否则为不通过的鉴权结果;
步骤416、业务端智能卡将鉴权结果返回给待连接的业务终端。
上述为鉴权过程,业务终端可以根据鉴权结果确定是否开通视频监控。
上述步骤412~步骤416为待连接的业务终端根据客户端鉴权参数和业务端鉴权参数来获取鉴权结果的一种具体方式。在具体应用中,另一种实施方式还可以为:
待连接的业务终端仅将业务鉴权请求发送给业务端智能卡;
业务端智能卡根据业务鉴权请求识别客户终端的标识,并从业务鉴权请求中解析获取业务终端设置的随机数;
业务端智能卡根据客户终端的标识在本地获取对应的鉴权算法和业务端密钥,采用鉴权算法对业务端密钥与该随机数进行加密运算,产生业务端鉴权参数;
业务端智能卡将业务端鉴权参数返回给业务终端;
而后由业务终端自行完成客户端鉴权参数和业务端鉴权参数的比较鉴权,以获取鉴权结果。
本实施例的上述技术方案实现了端到端业务中接入鉴权和业务鉴权的两级鉴权过程,并且以智能卡鉴权方式完成业务鉴权,且业务端智能卡中为不同的客户终端提供了对应的鉴权算法和业务端密钥,显著提高了端到端业务的安全性和可靠性。客户端密钥保存在保密性极高的智能卡内,其他人员无法将其窃取与复制,即使发生智能卡丢失的情况,只需重新颁发两张新智能卡给客户终端和业务终端即可使用,原卡立刻废止。
本实施例的端到端鉴权方法可用于各种端到端业务,例如视频电话、视频监控、网络游戏和远程私人医疗服务业务等。由于端到端业务的服务范围相对较小,因此业务端智能卡和客户端智能卡可以采用对称密钥算法来进行加密。当该端到端鉴权方式应用于类似网络电视(IPTV)这类业务,业务终端可能需要以广播、多播形式向大量客户终端提供服务,则业务端智能卡和客户端智能卡可以采用非对称密钥算法,客户端智能卡采用私钥,业务端智能卡采用公钥来完成端到端业务的鉴权。
第四实施例
图5为本发明第四实施例所提供的端到端鉴权方法的信令流程图,本实施例可以上述第一和第二实施例为基础,其具体流程如下:
步骤501、用户通过客户终端以网页形式登录服务平台的控制页面,客户终端接收用户输入的接入鉴权信息,并发送给服务平台,该鉴权信息可以是用户名和密码;
步骤502、服务平台根据接入鉴权信息进行接入鉴权,当接入鉴权通过时服务平台查找获取与用户对应的业务终端信息;
步骤503、服务平台将业务终端信息提供给客户终端,客户终端可以进行显示,以便用户选择;
步骤504、客户终端根据服务平台提供的业务终端信息确定待连接的业务终端,可以将待连接的业务终端的ID提交给服务平台;
步骤505、服务平台基于客户终端提交的标识,向待连接的业务终端发送业务接入请求,或者业务接入请求也可以由客户终端直接向业务终端发起;
步骤506、当待连接的业务终端接收到业务接入请求时,产生一业务鉴权请求,将业务鉴权请求发送给客户终端;
步骤507、客户终端将业务鉴权请求发送给客户端智能卡;
步骤508、当客户端智能卡接收到业务鉴权请求时,采用与业务端智能卡相同的同步随机数生成装置,产生一同步随机数作为客户端鉴权参数;
步骤509、客户端智能卡将客户端鉴权参数作为客户端鉴权信息返回给客户终端;
步骤510、当客户终端接收到返回的客户端鉴权信息时,将其发送给待连接的业务终端;
步骤511、待连接的业务终端将客户端鉴权信息发送给业务端智能卡,可以在此步骤中一并将业务鉴权请求发送给业务端智能卡;
步骤512、业务端智能卡根据业务鉴权请求或客户端鉴权信息识别客户终端的标识,并从客户端鉴权信息中解析获取客户端鉴权参数,即客户端智能卡生成的同步随机数;
步骤513、业务端智能卡根据客户终端的标识,采用与客户终端的客户端智能卡相同的同步随机数生成装置,产生一同步随机数作为业务端鉴权参数;
步骤514、业务端智能卡比较业务端鉴权参数与客户端鉴权参数的一致性,一致时产生通过的鉴权结果,否则产生不通过的鉴权结果;
步骤515、业务端智能卡将鉴权结果返回给待连接的业务终端。
本实施例的技术方案采用了接入鉴权和业务鉴权的两级鉴权方法,且引入智能卡鉴权方式进行业务鉴权,智能卡所具有的内置算法、不易破解的特点使端到端业务的安全性更高。
第五实施例
图6为本发明第五实施例所提供的端到端鉴权方法的信令流程图,本实施例可以上述第一和第二实施例为基础,其具体流程如下:
步骤601、用户通过客户终端以网页形式登录服务平台的控制页面,客户终端接收用户输入的接入鉴权信息,并发送给服务平台,该鉴权信息可以是用户名和密码;
步骤602、服务平台根据接入鉴权信息进行接入鉴权,当接入鉴权通过时服务平台查找获取与用户对应的业务终端信息;
步骤603、服务平台将业务终端信息提供给客户终端,客户终端可以进行显示,以便用户选择;
步骤604、客户终端根据服务平台提供的业务终端信息确定待连接的业务终端,可以将待连接的业务终端的ID提交给服务平台;
步骤605、服务平台基于客户终端提交的标识,向待连接的业务终端发送业务接入请求,或者业务接入请求也可以由客户终端直接向业务终端发起;
步骤606、当待连接的业务终端接收到业务接入请求时,产生一业务鉴权请求,将业务鉴权请求发送给客户终端;
步骤607、客户终端将业务鉴权请求发送给客户端智能卡;
步骤608、当客户端智能卡接收到业务鉴权请求时,生成一随机数;
步骤609、客户端智能卡采用本地存储的鉴权算法,将客户端密钥与随机数进行加密运算,产生客户端鉴权参数;
步骤610、客户端智能卡将客户端鉴权参数和随机数作为客户端鉴权信息,返回给客户终端;
步骤611、当客户终端接收到返回的客户端鉴权信息时,将其发送给待连接的业务终端;
步骤612、待连接的业务终端将客户端鉴权信息发送给业务端智能卡;
步骤613、业务端智能卡根据客户端鉴权信息识别客户终端的标识,并从客户端鉴权信息中解析获取客户端智能卡生成的随机数和客户端鉴权参数;
步骤614、业务端智能卡根据客户终端的标识在本地获取对应的鉴权算法和业务端密钥,采用鉴权算法对业务端密钥与随机数进行加密运算,产生业务端鉴权参数;
步骤615、业务端智能卡比较客户端鉴权参数和业务端鉴权参数,产生鉴权结果;
步骤616、业务端智能卡将鉴权结果返回给业务终端。
本实施例的技术方案采用了接入鉴权和业务鉴权的两级鉴权方法,且引入智能卡鉴权方式进行业务鉴权,智能卡所具有的内置算法、不易破解的特点使端到端业务的安全性更高。
第六实施例
图7为本发明第六实施例所提供的业务端智能卡的结构示意图,该业务端智能卡包括:接收模块51、客户终端识别模块52、算法存储模块53、业务端加密模块54和返回模块55。其中,接收模块51用于接收业务终端发送的业务鉴权请求和/或客户端鉴权信息;客户终端识别模块52用于根据业务鉴权请求和/或客户端鉴权信息识别客户终端的标识;算法存储模块53用于存储与各客户终端对应的各算法;业务端加密模块54用于根据客户终端的标识获取对应的算法进行加密,以产生业务端鉴权参数;返回模块55用于将根据业务端鉴权参数及客户端鉴权信息中的客户端鉴权参数产生的鉴权结果返回给业务终端,或者用于将业务端鉴权参数返回给业务终端,以便业务终端比较业务端鉴权参数和客户端鉴权参数来获取鉴权结果。
本实施例的业务端智能卡可以用于执行本发明上述实施例提供的端到端鉴权方法中,由于智能卡具有安全性高、易携带、可内置算法的特点,因此可有效提高端到端业务的安全性。本实施例的业务端智能卡中根据客户终端选择对应的鉴权算法,不同的客户终端用对应的独立的算法,充分体现了不同客户终端在鉴权时的差异性,可以提高端到端业务鉴权的安全性。
第七实施例
图8为本发明第七实施例所提供的端到端鉴权系统的结构示意图,本实施例的系统包括:本发明的业务端智能卡50、客户终端20和业务终端40。具体的,客户终端20包括:业务鉴权请求接收模块22、鉴权信息获取模块23和鉴权信息发送模块24。其中,业务鉴权请求接收模块22用于接收业务终端40发送的业务鉴权请求;鉴权信息获取模块23用于将业务鉴权请求发送给客户端智能卡10,并接收返回的客户端鉴权信息,该客户端鉴权信息中至少包括客户端鉴权参数;鉴权信息发送模块24用于将客户端鉴权信息发送给业务终端40。业务终端40包括:接入请求接收模块41、业务鉴权请求发送模块42和业务鉴权模块43。其中,接入请求接收模块41用于接收业务接入请求;业务鉴权请求发送模块42用于当接收到业务接入请求时产生一业务鉴权请求,并发送给客户终端20;业务鉴权模块43用于将业务鉴权请求和/或客户端鉴权信息发送给业务端智能卡50,并接收业务端智能卡50返回的鉴权结果或业务端鉴权参数,当接收到业务端鉴权参数时,还用于根据业务端鉴权参数和客户端鉴权参数获取鉴权结果。该业务端智能卡50的结构如第六实施例所描述的,包括接收模块51、客户终端识别模块52、算法存储模块53、业务端加密模块54和返回模块55。
在上述技术方案的基础上,该系统还可以包括一服务平台30。服务平台30包括一信息提供模块31,该信息提供模块31用于将业务终端信息提供给客户终端20。且客户终端20还包括业务终端确定模块21。业务终端确定模块21用于根据服务平台30提供的业务终端信息确定至少一个业务终端40作为待连接的业务终端40。
在上述技术方案的基础上,客户终端20中还可以设置有该客户端智能卡10,用于根据业务鉴权请求产生客户端鉴权信息并返回给客户终端20;该业务端智能卡50可以设置在业务终端40中。客户端智能卡10和业务端智能卡50可以采用对称密钥、非对称密钥或相同的同步随机数生成装置各自产生客户端鉴权参数和业务端鉴权参数。
在本实施例的技术方案中,客户端智能卡和业务端智能卡可以设置于客户终端和业务终端之中,也可以在使用时才插入。本实施例的端到端鉴权系统可以执行本发明端到端鉴权方法第一实施例的技术方案,引入智能卡鉴权方式,提高鉴权的安全性。
第八实施例
图9为本发明第八实施例所提供的端到端鉴权系统的结构示意图,本实施例可以第七实施例为基础,进一步地,客户终端20还包括接入鉴权发送模块25,该接入鉴权发送模块25用于将用户输入的接入鉴权信息发送给服务平台30。该服务平台30进一步还包括:接入鉴权接收模块32和信息获取模块33。接入鉴权接收模块32用于根据接入鉴权信息进行接入鉴权;信息获取模块33用于当接入鉴权通过时查找获取与用户对应的业务终端信息。
本实施例的端到端鉴权系统可以执行本发明端到端鉴权方法任一实施例的技术方案。该端到端鉴权系统引入了统一的SIM认证方法,并融合了接入鉴权和业务鉴权统一认证,在客户终端和业务终端之间建立了一种端到端的鉴权认证关系,使得用户可以在通过网络鉴权方式的基础上,获得更加安全、方便的接入鉴权。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (16)

1.一种端到端鉴权方法,其特征在于,包括:
当业务终端接收到业务接入请求时产生一业务鉴权请求,发送给客户终端;
所述客户终端将所述业务鉴权请求发送给客户端智能卡,接收返回的客户端鉴权信息并发送给所述业务终端,所述客户端鉴权信息中至少包括客户端鉴权参数;
所述业务终端将所述业务鉴权请求和/或所述客户端鉴权信息发送给业务端智能卡;
所述业务端智能卡根据所述业务鉴权请求和/或所述客户端鉴权信息识别所述客户终端的标识,根据所述客户终端的标识采用对应的算法产生业务端鉴权参数;
所述业务终端获取根据所述客户端鉴权参数和所述业务端鉴权参数产生的鉴权结果。
2.根据权利要求1所述的端到端鉴权方法,其特征在于,在所述业务终端接收到业务接入请求之前,还包括:
所述客户终端根据服务平台提供的业务终端信息确定待连接的业务终端;
所述客户终端或所述服务平台向待连接的所述业务终端发送业务接入请求。
3.根据权利要求2所述的端到端鉴权方法,其特征在于,在所述客户终端根据服务平台提供的业务终端信息确定待连接的业务终端之前,还包括:
所述客户终端将用户输入的接入鉴权信息发送给所述服务平台;
所述服务平台根据所述接入鉴权信息进行接入鉴权,当接入鉴权通过时查找获取与所述用户对应的业务终端信息;
所述服务平台将所述业务终端信息提供给所述客户终端。
4.根据权利要求1或2或3所述的端到端鉴权方法,其特征在于,所述客户终端将所述业务鉴权请求发送给客户端智能卡之后,还包括:
当所述客户端智能卡接收到所述业务鉴权请求时,生成一随机数;
所述客户端智能卡采用本地存储的鉴权算法,将客户端密钥与所述随机数进行加密运算,产生客户端鉴权参数;
所述客户端智能卡将所述客户端鉴权参数和所述随机数作为所述客户端鉴权信息,返回给所述客户终端。
5.根据权利要求4所述的端到端鉴权方法,其特征在于,所述业务端智能卡根据所述客户端鉴权信息识别所述客户终端的标识,根据所述客户终端的标识采用对应的算法产生业务端鉴权参数,包括:
所述业务端智能卡根据所述客户端鉴权信息识别所述客户终端的标识,并从所述客户端鉴权信息中解析获取所述随机数和所述客户端鉴权参数;
所述业务端智能卡根据所述客户终端的标识在本地获取对应的鉴权算法和业务端密钥,采用鉴权算法对所述业务端密钥与所述随机数进行加密运算,产生所述业务端鉴权参数;
所述业务端智能卡比较所述客户端鉴权参数和所述业务端鉴权参数,产生鉴权结果;
所述业务端智能卡将所述鉴权结果返回给所述业务终端。
6.根据权利要求1或2或3所述的端到端鉴权方法,其特征在于,所述客户终端将所述业务鉴权请求发送给客户端智能卡之后,还包括:
所述客户端智能卡从接收到的所述业务鉴权请求中解析获取所述业务终端设置的随机数;
所述客户端智能卡采用本地存储的鉴权算法,将客户端密钥与所述随机数进行加密运算,产生客户端鉴权参数;
所述客户端智能卡将所述客户端鉴权参数作为所述客户端鉴权信息,返回给所述客户终端。
7.根据权利要求6所述的端到端鉴权方法,其特征在于,所述业务端智能卡根据所述业务鉴权请求和所述客户端鉴权信息识别所述客户终端的标识,根据所述客户终端的标识采用对应的算法产生业务端鉴权参数,包括:
所述业务端智能卡根据所述业务鉴权请求或所述客户端鉴权信息识别所述客户终端的标识,并从所述业务鉴权请求中解析获取所述业务终端设置的随机数,从所述客户端鉴权信息中解析获取所述客户端鉴权参数;
所述业务端智能卡根据所述客户终端的标识在本地获取对应的鉴权算法和业务端密钥,采用鉴权算法对所述业务端密钥与所述随机数进行加密运算,产生所述业务端鉴权参数;
所述业务端智能卡比较所述客户端鉴权参数与所述业务端鉴权参数,产生鉴权结果;
所述业务端智能卡将所述鉴权结果返回给所述业务终端。
8.根据权利要求6所述的端到端鉴权方法,其特征在于,所述业务端智能卡根据所述业务鉴权请求识别所述客户终端的标识,根据所述客户终端的标识采用对应的算法产生业务端鉴权参数,包括:
所述业务端智能卡根据所述业务鉴权请求识别所述客户终端的标识,并从所述业务鉴权请求中解析获取所述业务终端设置的随机数;
所述业务端智能卡根据所述客户终端的标识在本地获取对应的鉴权算法和业务端密钥,采用所述鉴权算法对所述业务端密钥与所述随机数进行加密运算,产生所述业务端鉴权参数;
所述业务端智能卡将所述业务端鉴权参数返回给所述业务终端。
9.根据权利要求1或2或3所述的端到端鉴权方法,其特征在于:所述业务端智能卡和所述客户端智能卡采用的算法为对称密钥算法或非对称密钥算法。
10.根据权利要求1或2或3所述的端到端鉴权方法,其特征在于,所述客户终端将所述业务鉴权请求发送给客户端智能卡之后,还包括:
当所述客户端智能卡接收到所述业务鉴权请求时,采用与所述业务端智能卡相同的同步随机数生成装置,产生一同步随机数作为客户端鉴权参数;
所述客户端智能卡将所述客户端鉴权参数作为所述客户端鉴权信息返回给所述客户终端。
11.根据权利要求10所述的端到端鉴权方法,其特征在于,所述业务端智能卡根据所述业务鉴权请求和所述客户端鉴权信息识别所述客户终端的标识,根据所述客户终端的标识采用对应的算法产生业务端鉴权参数,包括:
所述业务端智能卡根据所述业务鉴权请求或所述客户端鉴权信息识别所述客户终端的标识,并从所述客户端鉴权信息中解析获取客户端鉴权参数;
所述业务端智能卡根据所述客户终端的标识,采用与所述客户终端的客户端智能卡相同的同步随机数生成装置,产生一同步随机数作为业务端鉴权参数;
所述业务端智能卡比较所述客户端鉴权参数和所述业务端鉴权参数,产生鉴权结果;
所述业务端智能卡将所述鉴权结果返回给所述业务终端。
12.一种业务端智能卡,其特征在于,包括:
接收模块,用于接收业务终端发送的业务鉴权请求和/或客户端鉴权信息;
客户终端识别模块,用于根据所述业务鉴权请求和/或所述客户端鉴权信息识别所述客户终端的标识;
算法存储模块,用于存储与各客户终端对应的各算法;
业务端加密模块,用于根据所述客户终端的标识获取对应的算法进行加密,以产生业务端鉴权参数;
返回模块,用于将所述业务端鉴权参数返回给所述业务终端,或将根据所述业务端鉴权参数及所述客户端鉴权信息中的客户端鉴权参数产生的鉴权结果返回给所述业务终端。
13.一种包括权利要求12所述业务端智能卡的端到端鉴权系统,其特征在于,还包括客户终端和业务终端,且
所述客户终端包括:
业务鉴权请求接收模块,用于接收所述业务终端发送的业务鉴权请求;
鉴权信息获取模块,用于将所述业务鉴权请求发送给客户端智能卡,并接收返回的客户端鉴权信息,所述客户端鉴权信息中至少包括客户端鉴权参数;
鉴权信息发送模块,用于将所述客户端鉴权信息发送给所述业务终端,
所述业务终端包括:
接入请求接收模块,用于接收业务接入请求;
业务鉴权请求发送模块,用于当接收到所述业务接入请求时产生一业务鉴权请求,并发送给所述客户终端;
业务鉴权模块,用于将所述业务鉴权请求和/或所述客户端鉴权信息发送给所述业务端智能卡,并接收所述业务端智能卡返回的所述鉴权结果或业务端鉴权参数,当接收到所述业务端鉴权参数时,还用于根据所述业务端鉴权参数和所述客户端鉴权参数获取鉴权结果。
14.根据权利要求13所述的端到端鉴权系统,其特征在于:
还包括一服务平台,且所述服务平台包括:信息提供模块,用于将业务终端信息提供给所述客户终端,
所述客户终端还包括:
业务终端确定模块,用于根据所述服务平台提供的业务终端信息确定至少一个业务终端作为待连接的业务终端。
15.根据权利要求14所述的端到端鉴权系统,其特征在于:
所述客户终端还包括:
接入鉴权发送模块,用于将用户输入的接入鉴权信息发送给所述服务平台,
所述服务平台还包括:
接入鉴权接收模块,用于根据所述接入鉴权信息进行接入鉴权;
信息获取模块,用于当接入鉴权通过时查找获取与所述用户对应的业务终端信息。
16.根据权利要求13或14或15所述的端到端鉴权系统,其特征在于:所述业务终端为视频监控终端、网络游戏服务终端、远程医疗服务终端、网络电话服务终端或网络电视服务终端。
CN2009100830571A 2009-04-27 2009-04-27 端到端鉴权方法和系统及业务端智能卡 Active CN101873213B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2009100830571A CN101873213B (zh) 2009-04-27 2009-04-27 端到端鉴权方法和系统及业务端智能卡

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009100830571A CN101873213B (zh) 2009-04-27 2009-04-27 端到端鉴权方法和系统及业务端智能卡

Publications (2)

Publication Number Publication Date
CN101873213A true CN101873213A (zh) 2010-10-27
CN101873213B CN101873213B (zh) 2012-05-23

Family

ID=42997890

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009100830571A Active CN101873213B (zh) 2009-04-27 2009-04-27 端到端鉴权方法和系统及业务端智能卡

Country Status (1)

Country Link
CN (1) CN101873213B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102547472A (zh) * 2010-12-14 2012-07-04 康佳集团股份有限公司 动态使用第三方许可授权的方法及其实现系统
CN102752269A (zh) * 2011-04-21 2012-10-24 中国移动通信集团广东有限公司 基于云计算的身份认证的方法、系统及云端服务器
CN110650112A (zh) * 2018-06-27 2020-01-03 贵州白山云科技股份有限公司 一种通用鉴权方法、装置及云服务网络系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1513313A1 (en) * 2003-09-08 2005-03-09 Alcatel A method of accessing a network service or resource, a network terminal and a personal user device therefore
CN1859099B (zh) * 2006-03-08 2011-02-02 华为技术有限公司 为移动终端提供在线应用服务的方法
CN100531365C (zh) * 2007-07-09 2009-08-19 中国联合网络通信集团有限公司 Iptv认证鉴权方法、服务器及系统

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102547472A (zh) * 2010-12-14 2012-07-04 康佳集团股份有限公司 动态使用第三方许可授权的方法及其实现系统
CN102547472B (zh) * 2010-12-14 2016-08-03 康佳集团股份有限公司 动态使用第三方许可授权的方法及其实现系统
CN102752269A (zh) * 2011-04-21 2012-10-24 中国移动通信集团广东有限公司 基于云计算的身份认证的方法、系统及云端服务器
CN102752269B (zh) * 2011-04-21 2015-10-07 中国移动通信集团广东有限公司 基于云计算的身份认证的方法、系统及云端服务器
CN110650112A (zh) * 2018-06-27 2020-01-03 贵州白山云科技股份有限公司 一种通用鉴权方法、装置及云服务网络系统
CN111277592A (zh) * 2018-06-27 2020-06-12 贵州白山云科技股份有限公司 一种鉴权方法、装置、存储介质及计算机设备
CN110650112B (zh) * 2018-06-27 2022-05-20 贵州白山云科技股份有限公司 一种通用鉴权方法、装置及云服务网络系统

Also Published As

Publication number Publication date
CN101873213B (zh) 2012-05-23

Similar Documents

Publication Publication Date Title
CN104579694B (zh) 一种身份认证方法及系统
CN106357396B (zh) 数字签名方法和系统以及量子密钥卡
CN104065653B (zh) 一种交互式身份验证方法、装置、系统和相关设备
CN102546601B (zh) 云计算终端接入虚拟机的辅助装置
CN110958111B (zh) 一种基于区块链的电力移动终端身份认证机制
CN100531365C (zh) Iptv认证鉴权方法、服务器及系统
CN108809637B (zh) 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法
CN113360925B (zh) 电力信息物理系统中可信数据的存储和访问方法及系统
KR101982237B1 (ko) 클라우드 컴퓨팅 환경에서의 속성 기반 암호화를 이용한 데이터 공유 방법 및 시스템
CN110932854B (zh) 一种面向物联网的区块链密钥分发系统及其方法
CN101309293A (zh) 基于超文本传输协议的认证方法与认证系统
CN108809633A (zh) 一种身份认证的方法、装置及系统
CN104702562A (zh) 终端融合业务接入方法、系统与终端
CN101998407B (zh) 基于wlan接入认证的业务访问方法
CN114531680B (zh) 基于量子密钥的轻量化ibc双向身份认证系统及方法
CN110225028B (zh) 一种分布式防伪系统及其方法
CN113542242B (zh) 设备管理方法及设备管理装置
CN105553979A (zh) 一种智能电网中隐私信息的加密发布方法
CN101873213B (zh) 端到端鉴权方法和系统及业务端智能卡
CN114826574A (zh) 智能家居安全通信系统及通信方法
CN103973543A (zh) 即时通信方法及装置
KR101509079B1 (ko) 스마트카드 및 동적 id 기반 전기 자동차 사용자 인증 기법
CN103067345A (zh) 一种变异gba的引导方法及系统
CN112019552A (zh) 一种物联网安全通信方法
CN102547686B (zh) M2m终端安全接入方法及终端、管理平台

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: CHINA UNITED NETWORK TELECOMMUNICATION GROUP CO.,

Free format text: FORMER OWNER: UNICOM BROADBAND SERVICES APPLICATION NATIONAL ENGINEERING LABORATORY CO., LTD.

Effective date: 20141125

C41 Transfer of patent application or patent right or utility model
C56 Change in the name or address of the patentee

Owner name: UNICOM BROADBAND SERVICES APPLICATION NATIONAL ENG

Free format text: FORMER NAME: CHINA NET COMMUNICATION GROUP WIDEBAND APPLIANCE STATE ENGINEERING LAB CO., LTD.

CP03 Change of name, title or address

Address after: 100033 Beijing Finance Street, No. 21, Xicheng District

Patentee after: UNICOM BROADBAND SERVICES APPLIC NAT ENGINEERING LAB Co.,Ltd.

Address before: 100176 No. 1 Zhonghe street, Yizhuang economic and Technological Development Zone, Beijing

Patentee before: CNC Broadband Business Applications National Engineering Laboratory Co.,Ltd.

TR01 Transfer of patent right

Effective date of registration: 20141125

Address after: 100033 Beijing Finance Street, No. 21, Xicheng District

Patentee after: CHINA UNITED NETWORK COMMUNICATIONS GROUP Co.,Ltd.

Address before: 100033 Beijing Finance Street, No. 21, Xicheng District

Patentee before: UNICOM BROADBAND SERVICES APPLIC NAT ENGINEERING LAB Co.,Ltd.