CN102905258A - 自有业务认证方法及系统 - Google Patents
自有业务认证方法及系统 Download PDFInfo
- Publication number
- CN102905258A CN102905258A CN2011102119789A CN201110211978A CN102905258A CN 102905258 A CN102905258 A CN 102905258A CN 2011102119789 A CN2011102119789 A CN 2011102119789A CN 201110211978 A CN201110211978 A CN 201110211978A CN 102905258 A CN102905258 A CN 102905258A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- network
- authentication
- service
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种自有业务认证方法和系统,上述方法包括:用户终端通过第一网络向第二网络的自有业务服务器发起业务访问请求;第二网络的业务认证服务器直接对用户终端进行业务认证。通过本发明提供的技术方案,解决了现有自有业务认证需要用户执行额外的大量的操作的问题,进而达到了避免重复认证,提高用户体验的效果。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种自有业务访问方法及系统。
背景技术
在无线通信系统中,除了蜂窝通信系统,如GSM(Global System for Mobile Communication,全球通信移动系统)、UMTS(Universal Mobile Telecommunications System,通用移动通讯系统)以及LTE(long term evolution,长期演进系统)等,还有日益广泛部署的WLAN(WirelessLocal,无线局域网)。WLAN网络具有可移动性、安装简单、高度灵活和扩展能力强的特点,可以被部署在覆盖有限的区域,诸如独立的商店、购物中心、火车、汽车站、办公楼、旅店等。运营商可以部署WLAN热点区域作为传统有线的延伸,也可以把WLAN网络作为蜂窝通信系统重要的分流网络。
除了基本的电信业务外,蜂窝通信系统提供了越来越多的基于分组域的自有业务,如多媒体业务、位置业务、游戏和互联网业务等。用户可以通过WLAN网络享受蜂窝通信系统提供的自有业务。与普通互联网业务不同,这些增值业务一般要缴纳一定费用,因此需要可靠的安全机制来保证业务的安全性和准确的记费;而基础的智能卡认证无法为这些业务提供安全机制。
WLAN网络安全控制主要体现在接入控制及数据加密两方面。但并未规定相应的业务认证。而许多业务在通信前都需要用户和业务服务器之间进行认证。现有技术中一般通过用户自身参与的方式进一步验证使用自有业务的用户身份,以确保用户本人使用该业务,如采用用户名+基本密码+防盗密码的方式进行验证。这种方式需要用户执行额外的大量的操作,无疑增加了工作量。同时已经通过接入认证的用户还需要再次通过用户参与进行业务认证才能对所请求的业务进行访问,这样重复认证不仅影响用户体验,也不能保证账户信息不被破解,从而对用户的账户信息的安全造成威胁。针对这些问题,目前尚未提出有效的解决方案。
发明内容
本发明的主要目的在于提供一种自有业务认证方法及系统,以至少解决上述问题之一。
根据本发明的一个方面,提供了一种业务认证方法,包括:用户终端通过第一网络向第二网络的自有业务服务器发起业务访问请求;第二网络的业务认证服务器直接对用户终端进行业务认证。
在用户终端通过第一网络向第二网络的自有业务服务器发起业务访问请求之前,还包括:用户终端经由第一网络的接入认证服务器完成第一网络的接入认证;用户终端通过第一网络经由第二网络的接入认证服务器完成第二网络的接入认证。
第二网络的业务认证服务器直接对用户终端进行业务认证包括:自有业务服务器收到业务访问请求后,向第二网络的业务认证服务器提交业务认证申请;业务认证服务器获取用户终端的用户信息,直接与用户终端建立安全通道,建立用户终端与自有业务服务器之间的安全关联;业务认证服务器通过安全通道,根据用户终端接收到的用户输入的信息与用户终端进行安全协商;根据安全协商的结果进行业务认证,生成安全信息并分发给用户终端及自有业务服务器。
在业务认证服务器通过安全通道,根据用户终端接收到的用户输入的信息与用户终端进行安全协商之前,还包括:用户终端在开通自有业务服务器提供的业务时,进行认证级别选择。
在业务认证服务器获取用户终端的用户信息,直接与用户终端建立安全通道,建立用户终端与自有业务服务器之间的安全关联之后,还包括:用户终端根据用户的操作对认证级别进行选择或修改。
认证级别包括以下至少之一:不进行认证、自动认证、用户终端确认认证、数字签名认证。
根据本发明的另一方面,提供了一种自由业务认证系统,包括:用户终端、第一网络44、第二网络,其中,用户终端包括:客户端,第二网络包括:业务认证服务器、自有业务服务器,其中,客户端包括:请求发起模块,用于通过第一网络向第二网络的自有业务服务器464发起业务访问请求;业务认证服务器包括:业务认证模块,用于直接对用户终端进行业务认证。
第一网络包括:第一接入认证服务器,用于完成用户终端的第一网络的接入认证。
第二网络还包括:第二接入认证服务器,用于通过第一网络完成用户终端的第二网络的接入认证。
自有业务服务器,包括:申请提交模块,用于在接收到用户终端的业务访问请求后,向业务认证服务器提交业务认证申请。
业务认证服务器,还包括:通道建立模块,用于获取用户终端的用户信息,直接与用户终端建立安全通道,建立用户终端与自有业务服务器之间的安全关联;安全协商模块,用于通过安全通道,根据用户终端接收到的用户输入的信息与用户终端进行安全协商;业务认证模块,还用于根据安全协商的结果进行业务认证,生成安全信息并分发给用户终端及自有业务服务器。
客户端还包括:输入提示模块,用于向用户显示提示信息,要求用户进行信息输入。
智能卡包括以下至少之一:级别选择模块,用于在开通自有业务服务器提供的自有业务时,进行认证级别选择;级别修改模块,用于在安全通道建立之后,根据用户的操作对认证级别进行选择或修改。
通过本发明,采用当用户终端通过第一网络向第二网络的自有业务服务器发起业务访问请求时,第二网络的业务认证服务器直接对发起请求的用户终端进行认证的方案,解决了现有自有业务认证需要用户执行额外的大量的操作的问题,进而达到了避免重复认证,提高用户体验的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的自有业务认证方法的流程图;
图2是根据本发明实例的自有业务认证方法所需的功能结构示意图;
图3是根据本发明实例的在图2所示功能结构中应用自有业务认证方法的流程示意图;
图4是根据本发明实施例的自有业务认证系统的结构框图;
图5是根据本发明实例的自有业务认证系统的结构示意图;
图6是根据本发明实例的自有业务认证系统进行业务认证的流程示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图1是根据本发明实施例的自有业务认证方法的流程图。如图1所示,根据本发明实施例的自有业务认证方法包括:
步骤S102,用户终端通过第一网络向第二网络的自有业务服务器发起业务访问请求;
步骤S104,第二网络的业务认证服务器直接对用户终端进行业务认证。
在本实施例中,为了使用户避免重复认证,以提高用户体验,采用了由第二网络直接对用户终端进行业务认证的方式,尽管用户是通过第一网络向第二网络的自有业务服务器服发起的业务请求,但是从业务认证这方面来讲,则是由第二网络的业务认证服务器直接对用户终端进行的认证,从而避免了用户认证信息的重复输入,减少了用户的不必要操作,同时提高了用户认证信息的安全性,提高了用户体验。
步骤S102执行的前提是:首先,用户终端与第一网络建立了连接;其次,用户通过第一网络与第二网络建立了连接。在具体执行过程中,用户终端、第一网络、第二网络之间的关系是多样的,可能是用户终端与第一网络建立了连接没有通过第一网络与第二网络建立连接、用户终端与第一网络建立了连接且通过第一网络与第二网络建立了连接,或者用户终端与第一网络、第二网络连接都没建立连接。在本优选实施中以第三种情况为例,给出一种优选的实施方式,其他情况可以类比处理。
优选地,在步骤S102之前还可以包括以下处理:
(1)用户终端经由第一网络的接入认证服务器完成第一网络的接入认证;
(2)用户终端通过第一网络经由第二网络的接入认证服务器完成第二网络的接入认证。
通过上述处理,即可保证用户终端与第一网络建立了连接且通过第一网络与第二网络建立了连接,为后续处理提供执行的基础。
骤S104中由第二网络的业务认证服务器直接对用户终端进行业务认证有多种实现方式,本优选实施例给出一种优选的实施方式。优选地,步骤S104可以进一步包括以下处理:
(1)自有业务服务器收到业务访问请求后,向第二网络的业务认证服务器提交业务认证申请;
(2)业务认证服务器获取用户终端的用户信息,直接与用户终端建立安全通道,建立用户终端与自有业务服务器之间的安全关联;
(3)业务认证服务器通过安全通道,根据用户终端接收到的用户输入的信息与用户终端进行安全协商;
(4)根据安全协商的结果进行业务认证,生成安全信息并分发给用户终端及自有业务服务器。
在本优选实施例中,自有业务服务器在收到业务访问请求后,会向业务认证服务器提交业务认证申请,请求业务认证服务器对发起业务访问请求的用户终端进行业务验证;请求业务认证服务器首先要获取用户终端的用户信息,然后利用原有的可以与用户终端建立的连接转用为业务认证连接或新建一种专门用于业务认证的连接构建安全通道,与用户终端建立安全连接,使用户终端与自有业务服务器建立安全关联;在安全通道建立后,即可在安全通道的基础上进行业务认证,首先要根据用户输入的认证信息与用户终端进行安全协商,再根据协商的结果进行业务认证,认证成功后会生成相应的安全信息,例如密钥、证书,认证成功后生成的安全信息就是最终用户终端可以访问自有业务服务器提供的自有业务的基础,认证的最终目的就是使终用户终端可以根据安全信息访问自有业务服务器提供的自有业务。
优选地,在上述优选实施例中,业务认证服务器通过安全通道,根据用户终端接收到的用户输入的信息与用户终端进行安全协商之前,还可以包括以下处理:用户终端向用户显示提示信息,要求用户进行信息输入。
上述处理进一步方便了用户的使用,提高了用户体验。
优选地,步骤S102之前还可以进一步包括以下处理:用户终端在开通自有业务服务器提供的业务时,进行认证级别选择。
在本优选实施例中,提出了认证级别的理念,即对不同的业务采取不同的认证方法以提高认认证的效率。认证级别的确定可以在用户在开通业务时,根据业务的不同具体进行选择。
为了进一步便于用户使用,除了在开通业务时进行认证级别选择,可以再给一次选择和修改认证级别的机会。优选地,在业务认证服务器获取用户终端的用户信息,直接与用户终端建立安全通道,建立用户终端与自有业务服务器之间的安全关联之后,还可以进一步包括以下处理:用户终端根据用户的操作对认证级别进行选择或修改。上述处理进一步增加了用户使用的灵活性,提高了用户体验。
优选地,上述认证等级可以包括以下至少之一:不进行认证、自动认证、用户终端确认认证、数字签名认证。
本优选实施例提出一种优选地认证等级划分方法,在具体实施过程中,可以设置如下认证等级:不进行认证、自动认证、用户终端确认认证、数字签名认证。在免费业务时,不进行认证;在包月业务进行不用用户终端干预的自动认证;在按次记费,进行用户终端确认认证;在用户终端支持的情况下,可以同时进行数字签名等防抵赖认证。认证等级划分方法并不是唯一的,可以根据不同的需要进行不同的划分。
下面结合实例对上述优选实施例进行详细说明。
本实例给出了一种用户终端通过第一网络访问第二网络的自有业务的业务认证方法,包括以下步骤:
步骤1,用户终端经由第一网络与第二网络内的接入认证服务器完成接入认证。一般的,接入认证保证用户终端所访问的网络是合法网络,同时保证自由合法的用户终端才能接入网络。经过接入认证的用户终端可以通过第一网络接入互联网,直接访问互联网业务。
步骤2,当用户终端经由第一网络访问第二网络的自有业务服务器时,用户终端与业务认证服务器通过第二网络建立安全通道(不通过第一网络),并与自有业务服务器建立安全关联。并基于该安全通道进行业务认证。
步骤3,业务认证成功后进行密钥或证书的分发,安全将密钥或证书将发送到用户终端和自有业务服务器。
步骤4,授权用户终端经由第一网络访问第二网络的自有业务。
在上述实例的基础上,本实例中加入认证级别功能,即通过用户终端配合,将业务认证进行分级管理的,为用户提供接口,使用户可以进行认证级别选择,从而可以安全灵活地进行业务认证。
在本示例中提供认证级别功能描述如下:根据提供自有业务安全要求、签约信息、用户终端选择等进行认证分级管理。认证级别可分为不认证、自动认证、用户终端确认认证、以及在终端支持下进行数字签名等。认证级别可以对应不同的业务及认证方式。如:
在免费业务时,不进行认证;
在包月业务进行不用用户终端干预的自动认证;
在按次记费,进行用户终端确认认证;
在用户终端支持的情况下,可以同时进行数字签名等防抵赖认证。
用户终端可以在自有业务开通或在建立安全通道后进行认证级别选择。用户终端提供用户接口提供认证级别选择,可以在业务认证过程中(需要用户参与),也可以主动进行安全通道建立,与自有业务服务器建立安全关联,进行认证级别选择或更改。
业务认证可以在客户端(用户终端包括客户端、智能卡等模块)上实现,也可以在智能卡(用户终端的一部分)上实现。在智能卡实现业务认证,密要和协商等相关安全计算过程都在智能卡上实现,安全性更高,也容易为运营商所掌握,对终端要求较低。优选在智能卡上实现业务认证。
增加了认证级别功能的自有业务认方法包含以下步骤:
步骤1,用户终端访问自有业务服务器,自有业务服务器向业务认证服务器提交认证申请。
步骤2,业务认证服务器确定业务认证级别。认证级别可分为不认证、自动认证、用户终端确认认证、以及在终端支持下进行数字签名等。
步骤3,建立安全通道。在用户终端与业务认证服务器之间建立安全通道,并与自有业务服务器建立安全关联。安全通道可以是基于数据短信方式或BIP(Bearer Independent Protocol,承载独立协议)方式。
步骤4,提供用户选择及安全协商。建立安全关联后,可通过用户终端进行认证级别选择。用户终端能够提供用户接口,提示用户信息、要求用户进行输入或提供认证级别选择。可以通过基于智能卡的STK(SIM Tool Kit,用户识别应用发展工具)/SCWS(Smart Card Web Server,智能卡网络服务器)以及客户端方式提供。
步骤5,按协商进行业务认证。在免费业务时,不进行认证;在包月业务进行不用用户终端干预的自动认证,采用AKA(Authentication and Key Agreement,认证与密钥协商)方式;在按次记费时,进行用户终端确认认证,采用EAP(Extensible Authentication Protocol,可扩展认证协议)-SIM(Subscriber Identity Module,用户身份识别模块)/AKA方式;在用户终端支持的情况下,可以同时进行数字签名等防抵赖认证,采用数字证书方式。
步骤6,业务认证成功进行分发相应密钥或证书。
步骤7,授权用户终端访问自有业务服务器提供的业务。
图2是根据本发明实例的自有业务认证方法所需的功能结构示意图。为更清楚地说明自有业务的认证流程,图2将自有业务认证所需的功能进行了模块化并指出了该功能对应的执行主体。在本实例中,WLAN网络为第一网络,蜂窝通信系统为第二网络,即用户终端通过WLAN网络访问蜂窝通信系统的流媒体业务。在本实例中,业务认证可以在客户端上实现,也可以在智能卡上实现。在智能卡实现业务认证,密要和协商等相关安全计算过程都在智能卡上实现,安全性更高,也容易为运营商所掌握,对终端要求较低。优选在智能卡上实现业务认证。
如图3所示,整个流程包括:
步骤S302,客户端访问蜂窝通信系统的自有业务中流媒体服务器。
步骤S304,流媒体服务器向业务认证服务器提交业务认证申请。
步骤S306,业务认证服务器中的分级认证管理根据提交申请,调用相关用户信息、签约信息等,确定认证级别。假定流媒体业务为按次记费,认证级别为用户终端确认认证,需用户终端参与。
在智能卡与业务认证服务器之间建立安全通道,与流媒体服务器进行安全关联。在智能卡与业务认证服务器中各有安全通道管理负责建立安全通道。基于智能卡完成双向身份鉴别,若一方不合法,则中断交互;若是识别过程通过则生成一系列密钥,建立安全通道。其承载采用BIP方式,当智能卡需要与流媒体服务器通过TCP/IP通信时,流媒体服务器由一个IP地址标示。当BIP通道打开时,用户终端起到一个网关的作用,与流媒体服务器使用TCP/IP通信,具体参见ETSI(European Telecommunications Standards Institute,欧洲电信标准化协会)TS 102 127。
步骤S308,建立安全关联后,进行用户选择及安全协商。通过智能卡的STK技术提示用户本次流媒体业务消费金额供用户确认。用户终端确认本次流媒体业务。并通过安全通道将本次交易信息确认发送到网络。
本实例支持用户终端与流媒体业务服务器安全关联后进行选择认证级别。如用户认为每次通过用户确认麻烦,则调用本地用户选择认证级别的选项STK菜单,选择自动认证方式作为以后流媒体业务的认证方式。并通过安全通道将用户选择认证方式发送到网络侧安全应用管理,安全应用管理存储相应的用户选择信息,后续流媒体业务都按用户选择认证级别。此外用户终端也可以主动进行安全通道建立进行认证级别选择或更改。
步骤S310,认证及密钥管理。在智能卡与业务认证服务器中各有业务认证管理模块进行认证及密钥管理。本实施支持多种认证方式及密钥管理,业务认证至少包括两种认证机制,并且允许用户进行协商。一种是给基于实体之间的共享秘密,另一种是基于密钥对。业务认证服务器完成相应的密钥管理。包括根据本地策略设置密钥的本地有效情况;检测密钥的生命周期以及与用户终端采取措施来保证密钥的刷新等。
步骤S312,认证成功后进行秘钥或证书分发。将密钥或证书分发给客户端或自有业务服务器。客户端可以运营在在移动终端或PC终端上。客户端需与智能卡建立安全的本地访问接口以保证数据有效性。流媒体服务器与业务认证服务器之间具有通信接口。并可以获得相应客户端与业务认证服务器达成的安全密钥及安全设置。
步骤S314,授权客户端访问蜂窝通信系统的流媒体业务。
图4是根据本发明实施例的自有业务认证系统的结构框图。如图4所示,根据本发明实施例的自有业务认证系统包括:用户终端42、第一网络44、第二网络46,其中,用户终端42包括:客户端422,第二网络46包括:业务认证服务器462、自有业务服务器464,其中,
客户端422包括:
请求发起模块4222,用于通过第一网络44向第二网络46的自有业务服务器464发起业务访问请求;
业务认证服务器462包括:
业务认证模块4622,用于直接对用户终端42进行业务认证。
在根据本发明实施例的自有业务认证系统中,为了使用户避免重复认证,以提高用户体验,采用了由第二网络46直接对用户终端42进行业务认证的方式,尽管用户终端42是通过第一网络44向第二网络46的自有业务服务器464服发起的业务请求,但是从业务认证这方面来讲,则是由第二网络46的业务认证服务器462直接对用户终端43进行的认证,从而避免了用户认证信息的重复输入,减少了用户的不必要操作,同时提高了用户认证信息的安全性,提高了用户体验。
优选地,第一网络44可以包括:第一接入认证服务器,用于完成用户终端42的第一网络的接入认证;第二网络46还可以包括:第二接入认证服务器,用于通过第一网络完成用户终端的第二网络的接入认证。
第一接入认证服务器和第二接入认证服务器保证乐用户终端42与第一网络44建立了连接且通过第一网络44与第二网络46建立了连接,为后续处理提供执行的基础。
优选地,自有业务服务器462可以包括:申请提交模块,用于在接收到用户终端42的业务访问请求后,向业务认证服务器462提交业务认证申请;业务认证服务器462还可以包括:通道建立模块,用于获取用户终端42的用户信息,直接与用户终端42建立安全通道,建立用户终端42与自有业务服务器464之间的安全关联;安全协商模块,用于通过安全通道,根据用户终端42接收到的用户输入的信息与用户终端42进行安全协商;业务认证模块4622,还用于根据安全协商的结果进行业务认证,生成安全信息并分发给用户终端42及自有业务服务器464。
在本优选实施例中,自有业务服务器464在收到业务访问请求后,会向业务认证服务器462提交业务认证申请,请求业务认证服务器462对发起业务访问请求的用户终端42进行业务验证;请求业务认证服务器462首先要获取用户终端42的用户信息,然后利用原有的可以与用户终端建立的连接转用为业务认证连接或新建一种专门用于业务认证的连接构建安全通道,与用户终端42建立安全连接,使用户终端42与自有业务服务器464建立安全关联;在安全通道建立后,即可在安全通道的基础上进行业务认证,首先要根据用户输入的认证信息与用户终端42进行安全协商,再根据协商的结果进行业务认证,认证成功后会生成相应的安全信息,例如密钥、证书,认证成功后生成的安全信息就是最终用户终端42可以访问自有业务服务器464提供的自有业务的基础,认证的最终目的就是使终用户终端42可以根据安全信息访问自有业务服务器464提供的自有业务。
优选地,客户端422还可以包括:输入提示模块,用于向用户显示提示信息,要求用户进行信息输入。
输入提示模块的功能一步方便了用户的使用,提高了用户体验。
优选地,用户终端42可以进一步包括智能卡,智能卡可以包括以下至少之一:级别选择模块,用于在开通自有业务服务器464提供的自有业务时,进行认证级别选择;级别修改模块,用于在安全通道建立之后,根据用户的操作对认证级别进行选择或修改。
在本优选实施例中,级别选择模块和级别修改模块提供了认证级别功能,即对不同的业务采取不同的认证方法以提高认认证的效率。认证级别的确定可以通过级别选择模块在用户在开通业务时,根据业务的不同具体进行选择,也可以在在业务认证服务器462获取用户终端42的用户信息,直接与用户终端42建立安全通道,建立用户终端42与自有业务服务器464之间的安全关联之后,通过级别修改模块进行选择或修改。上述模块进一步增加了用户使用的灵活性,提高了用户体验。
下面结合实例对上述优选实施例进行详细说明。
在本实例中,自有业务认证系统包括用户终端与网络等部分。
用户终端包括客户端和智能卡等部分。客户端可以运行在移动终端或PC终端上,客户端需要与智能卡建立安全的本地访问接口以保证数据有效性。用户终端具有接入第一网络和第二网络的能力。业务认证可以在客户端上实现,也可以在智能卡上实现。在智能卡实现业务认证,密要和协商等相关安全计算过程都在智能卡上实现,安全性更高,也容易为运营商所掌握,对终端要求较低,优选在智能卡上实现业务认证。
用户终端与业务认证服务器通过第二网络建立安全通道,与自有业务服务器建立安全关联。安全通道承载可以是基于数据短信方式或BIP方式。
基于该安全通道,用户终端与位于第二网络内业务认证服务器进行安全协商及业务认证。
用户终端能够提供用户接口,提示用户信息、要求用户进行输入。可以通过基于智能卡的STK/SCWS以及客户端方式提供。
网络包括第一网络及第二网络等系统。其中第二网络包括接入认证服务器、业务认证服务器、以及多个自有业务服务器。用户终端在经过接入认证后,可以通过第一网络直接访问互联网业务,经过业务认证后可以访问第二网络的自有业务。
自有业务服务器主要提供基于第二网络的各种业务服务,以及提供具有用户终端认证需求的业务,如蜂窝通信系统的分组域业务。每个业务一个服务器,因此用户终端和业务认证服务器可能存在多个自有业务认证。在安全通道建立前,用户终端与自有业务服务器没有建立安全关联。自有业务服务器与业务认证服务器之间具有安全通信接口,可以获得相应用户终端与业务认证服务器达成的安全密钥或证书等安全信息。
接入认证服务器完成用户终端通过第一网络访问第二网络的接入认证。一般的,接入认证保证用户终端所访问的网络是合法网络,同时保证只有合法的用户终端才能接入网络。
业务认证服务器完成用户终端与自有业务服务器之间的业务认证。业务认证服务器从第二网络(如蜂窝通信系统中的归属用户服务器/本地位置寄存器)获得用户相关信息,通过第二网络建立安全通道,使用户终端与自有业务服务器建立安全关联。业务认证服务器基于建立的安全通道进行安全协商及认证。提供用户接口提示用户信息或要求用户进行输入,进行安全协商;根据协商的结果进行认证及密钥管理;认证成功后将密钥等安全信息传递给自有业务服务器。同时,业务认证服务器完成相应的密钥管理,包括根据本地策略设置密钥有效情况;检测密钥的生命周期以及与用户终端采取措施来保证密钥的刷新等。
在上述实例的基础上,本实例中增加了认证级别功能。即智能卡基于STK/SCWS或客户端方式提供用户接口,提示用户信息、要求用户进行输入或提供认证级别选择,可以在业务认证过程中(需要用户参与)或主动进行安全通道建立时进行认证级别选择或更改。
智能卡作为用户终端的认证实体完成与网络的双向身份鉴别。若一方不合法,则中断交互;若是识别过程通过则生成一系列密钥,建立安全通道;其承载可以是基于数据短信方式或BIP方式。建立安全通道后,用户终端与自有业务服务器建立安全关联。优选采用BIP方式,当智能卡需要与业务认证服务器通过TCP/IP通信时,业务认证服务器由一个IP地址标示。当BIP通道打开时,终端起到一个网关的作用,与业务认证服务器使用TCP/IP通信,遵循ETSITS 102 127。
本实例中,业务认证服务器主要负责完成用户终端与自有业务服务器之间的业务认证。业务认证服务器在功能上包括分级认证管理、安全通道管理、业务认证管理等几部分。分级认证管理根据自有业务服务器提交业务认证申请,调用相关用户信息、签约信息等,确定认证级别并进行分级认证管理。认证级别可分为不认证、自动认证、用户终端确认认证、以及在终端支持下进行数字签名等。
下面以WLAN网络为第一网络,蜂窝通信系统为第二网络,结合图4说明根据实例的自有业务认证系统的结构。
在本实例中,有业务认证系统包括用户终端与网络两部分。
第一网络为WLAN网络,WLAN网络又包括AP(Access Point,接入点)及AC(AccessController,接入控制器)等部分,AC通过无线接口连接和管理无线AP,组成WLAN网络核心层,同时与外部网络互联。
用户终端包括客户端和智能卡等部分。
用户终端具有同时接入WLAN网络和蜂窝通信系统能力。客户端可以运营在在移动终端或PC终端上,客户端与智能卡有安全的本地访问接口以保证数据有效性。
业务认证可以在客户端上实现,也可以在智能卡上实现。在智能卡实现业务认证,密要和协商等相关安全计算过程都在智能卡上实现,安全性更高,也容易为运营商所掌握,对终端要求较低。优选在智能卡上实现业务认证。
智能卡作为本地的认证模块与业务认证服务器建立安全通道。建立安全通道后,用户终端与自有业务服务器建立安全关联。
网络包括WLAN网络、蜂窝通信系统、互联网等部分。其中蜂窝通信系统包括接入认证服务器、业务认证服务器、以及多个自有业务服务器。WLAN网络包括AP及AC等部分。
接入认证服务器完成通过WLAN网络接入蜂窝通信系统的接入认证,可采用EAP-SIM/AKA。引入3GPP AAA(Authentication Authorization and Accounting,鉴权认证清算)Server,建立与HSS(Home Subscriber Server,归属用户服务器)/HLR(Home Location Register,归属位置寄存器)的连接;AP/AC支持EAP-SIM/AKA,同样的终端也需要支持EAP-SIM/AKA协议。EAP-SIM/AKA参见相关协议。接入认证服务器完成相应记费、账单、管理功能。3GPPAAA Server和WLAN配合完成统一认证,认证直接访问互联网的应用场景。如可以实现用户名/密码方式计费。同时可以区分直接访问互联网业务流量和后续可能接入到分组域的流量。3GPP AAA Server接受从WLAN采集到的计费信息,根据本地策略产生话单文件,并提供给记费系统,记费系统进行批价核算处理,并生产最终话单。
业务认证服务器完成用户终端与自有业务服务器之间的业务认证。业务认证服务器从蜂窝通信系统获得用户相关信息,建立安全通道,使用户终端与自有业务服务器进行安全关联。并在该安全通道上通过智能卡提供用户接口提示用户信息或要求用户进行输入,进行安全协商;根据协商的结果进行认证及密钥管理;并将会话密钥和安全设置传递给自有业务服务器。
本实例中至少包括两种认证机制。一种是给基于实体之间的共享秘密,另一种是基于密钥对。
基于实体之间共享秘密机制有若干认证协议,常用的包括预共享密钥TLS(Transport LayerSecurity,传输层安全),具有预共享密钥与优先使用用户名密码机制的IKE(Internet KeyExchange,因特网密钥交换)协议,以及AKA。这类认证机制的主要问题在于如何在预共享秘密上保持一致,这种认证方法是对称的。目前移动终端采用这种方式较多。
另一种是基于非对称密码进行认证。该认证方法需要假定需要认证的实体拥有一个密码对以及相应的数字证书。包括PGP(Pretty Good Privacy,可靠加密)、HTTPS(Secure HypertextTransfer Protocol,安全超文本传输协议,可参考RFC2818)。这类非对称密钥认证方法与对称密钥相比,其计算量会比较大,对终端要求较高。
自有业务服务器主要向用户终端提供各种业务服务,以及提供具有用户终端认证需求的业务。在蜂窝通信系统中包括基于分组域的业务,如多媒体业务、位置业务、游戏和互联网业务等。在安全通道建立前,用户终端与自有业务服务器没有建立安全关联。
本实例中支持分级认证管理,将业务认证进行分级管理,并可提供用户接口进行认证级别选择。
图6是根据本发明实例的自有业务认证系统进行业务认证的流程示意图。如图6所示,在上述系统中进行业务认证的流程包括以下步骤:
步骤S602,客户端经由WLAN网络与蜂窝通信系统内的接入认证服务器进行接入认证。
步骤S604,接入认证成功后,用户终端可以通过WLAN网络接入互联网,直接访问互联网业务。
步骤S606,客户端经由WLAN网络(可通过隧道技术)访问蜂窝通信系统的自有业务服务器。
步骤S608,自有业务服务器向业务认证服务器提交业务认证申请。业务认证服务器根据自有业务提交申请,调用相关用户信息、签约信息等,确定认证级别。
步骤S610,业务认证服务器与用户终端建立安全通道,使用户终端与自有业务服务器进行安全关联。基于智能卡完成双向身份鉴别,若一方不合法,则中断交互;若是识别过程通过则生成一系列密钥,建立安全通道。其承载采用BIP方式,当智能卡需要与业务认证服务器通过TCP/IP通信时,业务认证服务器由一个IP地址标示。当BIP通道打开时,用户终端起到一个网关的作用,与业务认证服务器使用TCP/IP通信,遵循ETSI TS 102 127。
步骤S612,建立安全关联后,进行用户选择及安全协商。智能卡能够提供用户接口,提示用户信息、要求用户进行输入。用户可以通过基于智能卡的STK/SCWS以及客户端方式提供。智能卡提供用户接口提供认证级别选择,在业务认证过程中(需要用户参与),或在主动进行安全通道建立,与自有业务服务器建立安全关联时,进行认证级别选择或更改。
步骤S614,根据协商的结果进行认证及密钥管理。包括两种认证机制,并且允许用户进行协商。一种是给基于实体之间的共享秘密,另一种是基于密钥对。业务认证服务器完成相应的密钥管理包括:根据本地策略设置密钥的本地有效情况;检测密钥的生命周期以及与用户终端采取措施来保证密钥的刷新等。
步骤S616,进行秘钥或证书分发。认证成功后将密钥或证书分发给客户端或自有业务服务器。客户端可以运营在在移动终端或PC终端上。客户端需要与智能卡建立安全的本地访问接口以保证数据有效性。自有业务服务器与认证服务器之间具有安全通信接口,可以获得相应客户端与认证服务器达成的安全密钥及安全设置。
步骤S618,授权客户端通过WLAN网络访问蜂窝通信系统的自有业务。
从以上的描述中,可以看出,本发明提供的技术方案,重新考虑了无线通信系统接入及业务认证机制。既保证了用户终端可以灵活使用各种不同的接入技术,为用户终端提供灵活安全的认证选择,也避免了重复业务认证,保证了业务安全,提高了用户体验。
需要指出的是,本发明不仅适用于多通信系统接入与业务分级认证,也适用于单通信系统业务认证。用户终端既可以通过在完成第一网络接入认证的后,进行业务认证,也可以进行单独进行安全认证。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种自有业务认证方法,其特征在于,包括:
用户终端通过第一网络向第二网络的自有业务服务器发起业务访问请求;
所述第二网络的业务认证服务器直接对所述用户终端进行业务认证。
2.根据权利要求1所述的方法,其特征在于,在所述用户终端通过第一网络向第二网络的自有业务服务器发起业务访问请求之前,还包括:
所述用户终端经由所述第一网络的接入认证服务器完成所述第一网络的接入认证;
所述用户终端通过所述第一网络经由所述第二网络的接入认证服务器完成所述第二网络的接入认证。
3.根据权利要求1所述的方法,其特征在于,所述第二网络的业务认证服务器直接对所述用户终端进行业务认证包括:
所述自有业务服务器收到所述业务访问请求后,向所述第二网络的业务认证服务器提交业务认证申请;
所述业务认证服务器获取所述用户终端的用户信息,直接与所述用户终端建立安全通道,建立所述用户终端与所述自有业务服务器之间的安全关联;
所述业务认证服务器通过所述安全通道,根据所述用户终端接收到的用户输入的信息与所述用户终端进行安全协商;
根据所述安全协商的结果进行业务认证,生成安全信息并分发给所述用户终端及所述自有业务服务器。
4.根据权利要求3所述的方法,其特征在于,在业务认证服务器通过所述安全通道,根据所述用户终端接收到的用户输入的信息与所述用户终端进行安全协商之前,还包括:
所述用户终端向用户显示提示信息,要求用户进行信息输入。
5.根据权利要求3所述的方法,其特征在于,在用户终端通过第一网络向第二网络的自有业务服务器发起业务访问请求之前,还包括:
所述用户终端在开通所述自有业务服务器提供的业务时,进行认证级别选择。
6.根据权利要求5所述的方法,其特征在于,在所述业务认证服务器获取所述用户终端的用户信息,直接与所述用户终端建立安全通道,建立所述用户终端与所述自有业务服务器之间的安全关联之后,还包括:
所述用户终端根据用户的操作对所述认证级别进行选择或修改。
7.根据权利要求5或6所述的方法,其特征在于,
所述认证级别包括以下至少之一:不进行认证、自动认证、用户终端确认认证、数字签名认证。
8.一种自有业务认证系统,其特征在于,包括:用户终端、第一网络、第二网络,其中,所述用户终端包括:客户端,所述第二网络包括:业务认证服务器、自有业务服务器,其中,
所述客户端包括:
请求发起模块,用于通过所述第一网络向所述第二网络的自有业务服务器发起业务访问请求;
业务认证服务器包括:
业务认证模块,用于直接对所述用户终端进行业务认证。
9.根据权利要求8所述的系统,其特征在于,
所述第一网络包括:
第一接入认证服务器,用于完成所述用户终端的所述第一网络的接入认证;
所述第二网络还包括:
第二接入认证服务器,用于通过所述第一网络完成所述用户终端的所述第二网络的接入认证。
10.根据权利要求8所述的系统,其特征在于,
所述自有业务服务器,包括:
申请提交模块,用于在接收到所述用户终端的业务访问请求后,向所述业务认证服务器提交业务认证申请;
所述业务认证服务器,还包括:
通道建立模块,用于获取所述用户终端的用户信息,直接与所述用户终端建立安全通道,建立所述用户终端与所述自有业务服务器之间的安全关联;
安全协商模块,用于通过所述安全通道,根据所述用户终端接收到的用户输入的信息与所述用户终端进行安全协商;
所述业务认证模块,还用于根据所述安全协商的结果进行业务认证,生成安全信息并分发给所述用户终端及所述自有业务服务器。
11.根据权利要求10所述的系统,其特征在于,所述客户端还包括:
输入提示模块,用于向用户显示提示信息,要求用户进行信息输入。
12.根据权利要求10所述的系统,其特征在于,所述智能卡包括以下至少之一:
级别选择模块,用于在开通所述自有业务服务器提供的自有业务时,进行认证级别选择;
级别修改模块,用于在所述安全通道建立之后,根据用户的操作对所述认证级别进行选择或修改。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110211978.9A CN102905258B (zh) | 2011-07-27 | 2011-07-27 | 自有业务认证方法及系统 |
| PCT/CN2011/082573 WO2012151933A1 (zh) | 2011-07-27 | 2011-11-21 | 自有业务认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110211978.9A CN102905258B (zh) | 2011-07-27 | 2011-07-27 | 自有业务认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102905258A true CN102905258A (zh) | 2013-01-30 |
| CN102905258B CN102905258B (zh) | 2018-03-13 |
Family
ID=47138716
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110211978.9A Active CN102905258B (zh) | 2011-07-27 | 2011-07-27 | 自有业务认证方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102905258B (zh) |
| WO (1) | WO2012151933A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014176997A1 (zh) * | 2013-08-19 | 2014-11-06 | 中兴通讯股份有限公司 | 数据收发方法及系统、消息的处理方法及装置 |
| CN104796399A (zh) * | 2015-01-08 | 2015-07-22 | 北京思普崚技术有限公司 | 一种数据加密传输的密钥协商方法 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103327519A (zh) * | 2013-07-11 | 2013-09-25 | 成都西加云杉科技有限公司 | 接入点ap和基于ap和接入点控制器ac架构的系统 |
| CN112102108B (zh) * | 2020-08-28 | 2024-03-01 | 国网思极网安科技(北京)有限公司 | 一种电力营业厅自助服务终端 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553368A (zh) * | 2003-06-02 | 2004-12-08 | ��Ϊ��������˾ | 网络认证、授权和计帐系统及方法 |
| CN1627753A (zh) * | 2003-12-08 | 2005-06-15 | 华为技术有限公司 | 无线局域网中业务隧道建立的方法 |
| US20060128362A1 (en) * | 2004-12-14 | 2006-06-15 | Samsung Electronics Co., Ltd. | UMTS-WLAN interworking system and authentication method therefor |
| CN101001144A (zh) * | 2006-01-13 | 2007-07-18 | 华为技术有限公司 | 一种实体认证中心实现认证的方法 |
| CN101052032A (zh) * | 2006-04-04 | 2007-10-10 | 华为技术有限公司 | 一种业务实体认证方法及装置 |
| EP1620979B1 (en) * | 2003-05-05 | 2007-11-07 | Nokia Corporation | Method, system and network element for authorizing a data transmission |
| CN101192927A (zh) * | 2006-11-28 | 2008-06-04 | 中兴通讯股份有限公司 | 基于身份保密的授权与多重认证方法 |
| US20080141027A1 (en) * | 2006-12-06 | 2008-06-12 | Samsung Electronics Co., Ltd. | System and method of providing security |
| CN101984724A (zh) * | 2010-11-19 | 2011-03-09 | 中兴通讯股份有限公司 | 一种融合网络中隧道建立的方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100346615C (zh) * | 2003-06-17 | 2007-10-31 | 华为技术有限公司 | 目的用户设备接收外部网络数据的方法 |
| CN101610507A (zh) * | 2009-06-16 | 2009-12-23 | 天津工业大学 | 一种接入3g-wlan互联网络的方法 |
-
2011
- 2011-07-27 CN CN201110211978.9A patent/CN102905258B/zh active Active
- 2011-11-21 WO PCT/CN2011/082573 patent/WO2012151933A1/zh active Application Filing
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1620979B1 (en) * | 2003-05-05 | 2007-11-07 | Nokia Corporation | Method, system and network element for authorizing a data transmission |
| CN1553368A (zh) * | 2003-06-02 | 2004-12-08 | ��Ϊ��������˾ | 网络认证、授权和计帐系统及方法 |
| CN1627753A (zh) * | 2003-12-08 | 2005-06-15 | 华为技术有限公司 | 无线局域网中业务隧道建立的方法 |
| US20060128362A1 (en) * | 2004-12-14 | 2006-06-15 | Samsung Electronics Co., Ltd. | UMTS-WLAN interworking system and authentication method therefor |
| CN101001144A (zh) * | 2006-01-13 | 2007-07-18 | 华为技术有限公司 | 一种实体认证中心实现认证的方法 |
| CN101052032A (zh) * | 2006-04-04 | 2007-10-10 | 华为技术有限公司 | 一种业务实体认证方法及装置 |
| CN101192927A (zh) * | 2006-11-28 | 2008-06-04 | 中兴通讯股份有限公司 | 基于身份保密的授权与多重认证方法 |
| US20080141027A1 (en) * | 2006-12-06 | 2008-06-12 | Samsung Electronics Co., Ltd. | System and method of providing security |
| CN101984724A (zh) * | 2010-11-19 | 2011-03-09 | 中兴通讯股份有限公司 | 一种融合网络中隧道建立的方法及系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014176997A1 (zh) * | 2013-08-19 | 2014-11-06 | 中兴通讯股份有限公司 | 数据收发方法及系统、消息的处理方法及装置 |
| CN104426656A (zh) * | 2013-08-19 | 2015-03-18 | 中兴通讯股份有限公司 | 数据收发方法及系统、消息的处理方法及装置 |
| US9882897B2 (en) | 2013-08-19 | 2018-01-30 | Xi'an Zhongxing New Software Co. Ltd. | Method and system for transmitting and receiving data, method and device for processing message |
| CN104426656B (zh) * | 2013-08-19 | 2019-04-05 | 中兴通讯股份有限公司 | 数据收发方法及系统、消息的处理方法及装置 |
| CN104796399A (zh) * | 2015-01-08 | 2015-07-22 | 北京思普崚技术有限公司 | 一种数据加密传输的密钥协商方法 |
| CN104796399B (zh) * | 2015-01-08 | 2017-09-19 | 北京思普崚技术有限公司 | 一种数据加密传输的密钥协商方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012151933A1 (zh) | 2012-11-15 |
| CN102905258B (zh) | 2018-03-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107079007B (zh) | 用于基于证书的认证的方法、装置和计算机可读介质 | |
| CN101212296B (zh) | 基于证书及sim的wlan接入认证方法及系统 | |
| US20070178885A1 (en) | Two-phase SIM authentication | |
| US20050262355A1 (en) | Method of providing a signing key for digitally signing verifying or encrypting data and mobile terminal | |
| US10050791B2 (en) | Method for verifying the identity of a user of a communicating terminal and associated system | |
| EP3285513B1 (en) | Wifi network authentication method, device and system | |
| US20170300678A1 (en) | Method and apparatus for using a biometric template to control access to a user credential for a shared wireless communication device | |
| EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
| CN101536480A (zh) | 用于网络接入的设备和/或用户认证 | |
| TW200917785A (en) | Virtual subscriber identity module | |
| CN101621801A (zh) | 无线局域网的认证方法、系统及服务器、终端 | |
| JP7564919B2 (ja) | コアネットワークへの非3gppデバイスアクセス | |
| JP2016506152A (ja) | タグ付けによるデバイスの認証 | |
| CN102111766A (zh) | 网络接入方法、装置及系统 | |
| CN112640385A (zh) | 非3gpp设备对核心网络的接入 | |
| CN112020716A (zh) | 远程生物特征识别 | |
| CN110321682B (zh) | 一种基于uaf和ibc的统一身份认证方法及装置 | |
| CN102905258A (zh) | 自有业务认证方法及系统 | |
| KR20170070379A (ko) | 이동통신 단말기 usim 카드 기반 암호화 통신 방법 및 시스템 | |
| Kerttula | A novel federated strong mobile signature service—the finnish case | |
| CN101742507B (zh) | 一种WAPI终端访问Web应用站点的系统及方法 | |
| Lunde et al. | Using SIM for strong end-to-end Application Authentication | |
| CN101848228A (zh) | 用sim卡认证电脑终端服务器isp身份的方法和系统 | |
| CN106060810B (zh) | 移动设备间连接关系的建立方法和系统 | |
| Almuhaideb et al. | Flexible Authentication Technique for Ubiquitous Wireless Communication using Passport and Visa Tokens |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |