CN103701757A - 业务接入的身份认证方法与系统 - Google Patents
业务接入的身份认证方法与系统 Download PDFInfo
- Publication number
- CN103701757A CN103701757A CN201210365176.8A CN201210365176A CN103701757A CN 103701757 A CN103701757 A CN 103701757A CN 201210365176 A CN201210365176 A CN 201210365176A CN 103701757 A CN103701757 A CN 103701757A
- Authority
- CN
- China
- Prior art keywords
- terminal
- platform
- challenge word
- cpu
- authentication client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种业务接入的身份认证方法与系统。该方法包括:业务接入终端包括认证客户端与中央处理器CPU,CPU的一次性编程OTP存储区域中设置有预先写入的终端序列号与运营商标识;认证客户端向终端管理平台发送身份认证请求;终端管理平台与识别身份认证请求中包含的终端序列号是否合法;响应于终端序列号为合法的终端序列号,终端管理平台与业务接入终端分别通过平台挑战字、终端挑战字进行双向身份认证;响应于认证通过,终端管理平台允许终端进行业务接入。通过本发明所提供的方案提供了重要身份信息存储的安全性,从而提高了用户保密信息的安全性,同时,还提供了平台与终端之间的双向身份认证。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种业务接入的身份认证方法与系统。
背景技术
随着通信技术的发展,运营商为用户提供越来越丰富的业务服务。用户利用终端接入各种业务之前,通常需要对用户的身份信息进行认证,以实现在对用户的合法性进行确认之后,再提供业务服务。
目前业务接入的认证过程主要采用两种方式来实现对用户身份信息的确认。一种是要求用户输入用户名以及用户密码的方式。这种方式适合于具有显示界面以及用户输入装置的终端,以便于用户在需要进行用户身份认证时,提示用户输入用户名及用户密码,然后用户利用终端的输入装置在显示界面上输入用户名及用户密码。然而,对于例如机顶盒这一类的设备,通常机顶盒设备的软、硬件设置相对简单,没有如键盘、按键等输入装置,因此,不易在机顶盒上实施输入用户名及用户密码的方式,即使能够实施,也需要用户的交互操作。同时,这种方法将用户名以及用户密码存储在普通存储器中,极易于读取,从而还可能存在用户保密信息的安全隐患。
另一种方案是使用客户识别模块(Subscriber Identity Module,SIM)卡、(User Identity Module,UIM)卡、通用串行总线(UniversalSerial Bus,USB)棒等外接硬件的方式。在进行用户身份认证时,通过预先安装在终端的外接SIM卡、UIM卡、USB棒等硬件,利用这些硬件实现信息交互,以及使用这些硬件内部的用户身份信息进行身份认证。使用在机顶盒设备上安插SIM卡、UIM卡、USB棒等硬件的方法,对机顶盒类的终端产品,从硬件软件上都提出了更高的要求,例如,需要专门的硬件插口、插槽和软件读写接口。同时,用户需要安插、保管这些硬件,使用起来也极为不便。
发明内容
根据本发明实施例的一个方面,所要解决的一个技术问题是:提供一种业务接入的认证方法与系统,以在业务接入过程中实现终端与终端管理平台之间便利安全的双向身份认证。
本发明实施例提供的一种业务接入的身份认证方法,其中,业务接入终端包括认证客户端与中央处理器CPU,所述CPU的一次性编程OTP存储区域中设置有预先写入的终端序列号与运营商标识,所述终端序列号用于标识所述终端的唯一身份信息;所述方法包括:
所述认证客户端向终端管理平台发送身份认证请求,所述身份认证请求中包含所述终端序列号;
所述终端管理平台识别所述身份认证请求中包含的终端序列号是否合法;
响应于所述终端序列号为合法的终端序列号,所述终端管理平台生成平台挑战字发送至所述认证客户端,所述平台挑战字包括所述终端管理平台所属运营商的运营商标识;
所述认证客户端将所述平台挑战字传递给所述CPU;
响应于所述CPU验证所述平台挑战字获得通过,所述认证客户端将从所述CPU传递来的终端挑战字的散列值发送给所述终端管理平台;
所述终端管理平台所述计算终端挑战字的散列验证值,识别所述散列验证值是否与从认证客户端接收的所述散列值相同;
响应于所述散列验证值与从认证客户端接收的所述散列值相同,所述终端管理平台允许所述终端进行业务接入。
本发明实施例提供的一种业务接入的身份认证系统,所述系统包括:
业务接入终端、终端管理平台,其中,所述业务接入终端包括认证客户端与中央处理器CPU;
所述业务接入终端的CPU具有一次性编程OTP存储区域,所述OTP区域中设置有预先写入的终端序列号与运营商标识,所述终端序列号用于标识所述终端的唯一身份信息;所述CPU,用于验证所述平台挑战字;计算终端挑战字的散列值;
所述业务接入终端的认证客户端,用于向所述终端管理平台发送身份认证请求,所述身份认证请求中包含所述终端序列号;将所述平台挑战字传递给所述CPU;响应于所述CPU验证所述平台挑战字获得通过,将从所述CPU传递来的终端挑战字的散列值发送给所述终端管理平台;
所述终端管理平台,用于识别所述身份认证请求中包含的终端序列号是否合法;响应于所述终端序列号为合法的终端序列号,生成平台挑战字发送至所述认证客户端,所述平台挑战字包括所述终端管理平台所属运营商的运营商标识;所述计算终端挑战字的散列验证值,识别所述散列验证值是否与从认证客户端接收的所述散列值相同;响应于所述散列验证值与从认证客户端接收的所述散列值相同,允许所述终端进行业务接入。
基于本发明上述实施例提供的业务接入的认证方法与系统,用户在使用终端进行业务接入时,通过将代表身份信息的终端序列号以及运营商的标识预先写入终端CPU内部的一次性编程(One TimeProgrammable,OTP)存储区域中,通过认证终端对其进行读写,自动实现业务接入的身份认证,无需进行额外的用户输入或其他外接硬件,方便用户操作。利用OTP储存介质的可靠性与安全性,使用OTP存储重要的身份信息,提高了用户保密信息的安全性。同时,区别于现有技术中仅提供管理平台对终端单方面的身份认证,本发明实施例中的平台挑战字与终端挑战字还使得终端与终端管理平台之间能够实现相互的身份认证,提高了认证的安全性。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1示出本发明所提供的业务接入的身份认证方法一种实施例的流程示意图;
图2示出本发明所提供的业务接入的身份认证方法另一种实施例的流程示意图;
图3示出本发明所提供的业务接入的身份认证系统一种实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置不限制本发明的范围。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
参见图1所示,该图示出本发明提供的业务接入的身份认证方法一种实施例的流程示意图。在图1实施例中,业务接入终端包括认证客户端与中央处理器CPU。CPU的一次性编程(One TimeProgrammable,OTP)存储区域中设置有预先写入的终端序列号与运营商标识,终端序列号用于标识终端的唯一身份信息。该实施例中业务接入的身份认证方法包括以下操作:
步骤101,认证客户端向终端管理平台发送身份认证请求,身份认证请求中包含终端序列号;
步骤102,终端管理平台识别身份认证请求中包含的终端序列号是否合法;
步骤103,响应于终端序列号为合法的终端序列号,终端管理平台生成平台挑战字发送至认证客户端,平台挑战字包括终端管理平台所属运营商的运营商标识;
步骤104,认证客户端将平台挑战字传递给CPU;
步骤105,响应于CPU验证平台挑战字获得通过,认证客户端将从CPU传递来的终端挑战字的散列值发送给终端管理平台;
步骤106,终端管理平台计算终端挑战字的散列验证值,识别散列验证值是否与从认证客户端接收的散列值相同;
步骤107,响应于散列验证值与从认证客户端接收的散列值相同,终端管理平台允许终端进行业务接入。
基于本发明上述实施例提供的业务接入的认证方法,用户在使用终端进行业务接入时,通过将代表身份信息的终端序列号以及运营商的标识预先写入终端CPU内部的一次性编程(One Time Programmable,OTP)存储区域中,通过认证终端对其进行读写,自动实现业务接入的身份认证,无需进行额外的用户输入或其他外接硬件,方便用户操作。利用OTP储存介质的可靠性与安全性,使用OTP存储重要的身份信息,提高了用户保密信息的安全性。同时,区别于现有技术中仅提供管理平台对终端单方面的身份认证,本发明实施例中的平台挑战字与终端挑战字还使得终端与终端管理平台之间能够实现相互的身份认证,提高了认证的安全性。
根据本发明方法实施例的一个具体示例而非限制,图1所示实施例的操作105中,响应于CPU验证平台挑战字获得通过,认证客户端将从CPU传递来的终端挑战字的散列值发送给终端管理平台,可以通过如下方式实现:
CPU识别平台挑战字中包含的运营商标识是否与OTP存储区域的运营商标识相同;
响应于平台挑战字中包含的运营商标识与OTP存储区域的运营商标识相同,验证平台挑战字获得通过;
通过CPU生成终端挑战字,计算终端挑战字的散列值;
CPU将散列值传递给认证客户端,由认证客户端发送给终端管理平台。
根据本发明方法实施例的一个具体示例而非限制,在另一个实施例中,身份认证请求中还包括认证客户端预先产生的终端时间戳与终端随机数,该实施例的方法还可以包括:
终端管理平台从接收到的身份认证请求中获取终端时间戳与终端随机数;
平台挑战字中还包括终端时间戳与终端随机数;
验证平台挑战字获得通过之后,方法还包括:
认证客户端识别平台挑战字中包含的终端时间戳与终端随机数是否分别与认证客户端最近一次产生的终端时间戳与最近一次产生的终端随机数相同;
认证客户端响应于平台挑战字中包含的终端时间戳与终端随机数分别与认证客户端最近一次产生的终端时间戳与最近一次产生的终端随机数相同,向CPU发送散列值计算请求;
CPU响应于接收到散列值计算请求后,开始执行生成终端挑战字的操作。
基于上述实施例中,认证客户端预先产生的终端时间戳与终端随机数,并将其包含在身份认证请求中,以识别平台挑战字中所包含的终端时间戳与终端随机数是否为最近所产生的,以防止身份验证的重放攻击,提高终端对平台的身份认证的安全性。
对应地,根据本发明方法实施例的一个具体示例而非限制,平台挑战字中还包括终端管理平台预先产生的平台时间戳与平台随机数;
终端挑战字中还包括终端序列号、平台时间戳、平台随机数;
计算终端挑战字的散列验证值,具体包括:计算从认证客户端接收的终端序列号、最近一次产生的平台时间戳与最近一次产生的平台随机数的散列值作为散列验证值。
基于终端管理平台预先产生的平台时间戳与平台随机数,平台挑战字中包含平台时间戳与平台随机数,从而提高平台对终端的身份认证的安全性。表1示出了一种平台挑战字的组成,平台挑战字可以包括运营商标识、终端时间戳、终端随机数、平台时间戳与平台随机数。
表1示出了一种平台挑战字的组成
| 运营商标识 | 终端时间戳 | 终端随机数 | 平台时间戳 | 平台随机数 |
根据本发明方法实施例的一个具体示例而非限制,图1所示实施例的操作103中,终端管理平台生成平台挑战字发送至认证客户端,可以通过如下方式实现:终端管理平台生成平台挑战字,采用加密算法加密平台挑战字获得平台挑战字的密文,将密文发送至认证客户端;对应地,步骤104中,认证客户端将密文发送给CPU;该实施例中的方法还包括:CPU采用加密算法对应的解密算法解密密文,获得平台挑战字。
加密算法为公钥加密算法,具体包括RSA算法、Rabin算法、DH(Diffie-Hellman)公钥加密算法、椭圆曲线加密算法(Elliptic CurveCryptography,ECC)、ElGamal算法中的任意一种。
采用公钥加密算法加密平台挑战字获得平台挑战字的密文,具体可以通过终端管理平台具有预先生成的公私密钥对,使用终端管理平台公私密钥对中的私钥,基于公钥加密算法加密平台挑战字。对应地,CPU使用公私密钥对中的公钥,基于公钥加密算法对应的公钥解密算法解密密文。
在本发明方法各个实施例中CPU与认证客户端之间通过终端的操作系统内核驱动程序进行通信,例如,认证客户端将平台挑战字传递给CPU、CPU向认证客户端传递终端挑战字的散列值等操作,还包括通过操作系统内核驱动程序对OTP存储的读取操作。
根据本发明方法实施例的一个具体示例而非限制,CPU将散列值传递给认证客户端时,还将计算散列值的散列算法传递给认证客户端,由认证客户端发送给终端管理平台;终端管理平台使用从认证客户端接收到的散列算法计算终端挑战字的散列验证值。
基于上述实施例,通过将计算散列值的散列算法发送给终端管理平台,从而使得终端管理平台可以实现不同终端的兼容性。具体来说,对于不同厂商生产的终端,CPU可以使用不同的散列算法来计算终端挑战字,将该散列算法通过认证客户端发送给终端管理平台,从而可以由终端管理平台按照终端挑战字的散列值计算方法、计算散列验证值用于验证。
根据本发明方法实施例的一个具体示例而非限制,终端挑战字还包括CPU的芯片型号和/或CPU的内部序列号。终端管理平台预先存储有终端序列号以及对应的CPU的芯片型号和/或CPU的内部序列号,根据终端序列号获取CPU的芯片型号和/或CPU的内部序列号。
CPU的芯片型号和/CPU的内部序列号还可以保存与CPU的一次性写入区域存储区域中,并且从CPU外部不可读数据。CPU的芯片型号和/或CPU的内部序列号为终端更详细地标识,由于不可从外部读取,从而利用更好地保护了CPU标识信息的安全性。表2示出了一种终端挑战字的组成,终端挑战字可以包括终端序列号、CPU的芯片型号和CPU的内部序列号、平台时间戳与平台随机数。
表2示出了一种终端挑战字的组成
| 终端序列号 | 芯片型号 | 内部序列号 | 平台时间戳 | 平台随机数 |
参见图2所示,该图示出本发明所提供的业务接入的身份认证方法另一种实施例的流程示意图,具体包括如下操作:
步骤201至步骤202,认证客户端通过操作系统内核驱动程序从CPU的OTP区域读取终端序列号;
步骤203,认证客户端向终端管理平台发送身份认证请求,身份认证请求中包含终端序列号,以及认证客户端预先产生的终端时间戳与终端随机数;
步骤204,响应于终端序列号为合法的终端序列号,终端管理平台生成平台挑战字,其中,平台挑战字包括终端管理平台所属运营商的运营商标识、终端时间戳、终端随机数;终端管理平台具有预先生成的公私密钥对,终端管理平台使用公私密钥对中的私钥,基于公钥加密算法加密平台挑战字获得密文,将密文发送至认证客户端;
步骤205,认证客户端将平台挑战字密文传递给CPU;
步骤206,CPU使用公私密钥对中的公钥,基于公钥加密算法对应的公钥解密算法解密密文;
步骤207,CPU识别解密获得的平台挑战字中包含的运营商标识是否与OTP存储区域的运营商标识相同;
步骤208,响应于平台挑战字中包含的运营商标识与OTP存储区域的运营商标识相同,CPU将解密获得的平台挑战字发送给认证客户端;
步骤209,认证客户端识别平台挑战字中包含的终端时间戳与终端随机数是否分别与认证客户端最近一次产生的终端时间戳与最近一次产生的终端随机数相同;
步骤210,认证客户端响应于平台挑战字中包含的终端时间戳与终端随机数分别与认证客户端最近一次产生的终端时间戳与最近一次产生的终端随机数相同,向CPU发送终端挑战字的散列值计算请求;
步骤211,CPU响应于接收到散列值计算请求后,生成终端挑战字,终端挑战字中包括终端序列号、CPU的芯片型号、CPU的内部序列号、平台时间戳、平台随机数,计算终端挑战字的散列值;
步骤212,CPU将散列值、计算散列值的散列算法传递给认证客户端,由认证客户端发送给终端管理平台;
步骤213,终端管理平台使用从认证客户端接收到的散列算法计算终端挑战字的散列验证值;
步骤214,响应于散列验证值与从认证客户端接收的散列值相同,终端管理平台允许终端进行业务接入。
基于本发明上述实施例提供的业务接入的认证方法,不仅提高了用户保密信息的安全性。同时,还实现了终端与终端管理平台之间相互的身份认证,提高了认证的安全性。
参见图3所示,图3示出本发明所提供的业务接入的身份认证系统一种实施例的结构示意图。该业务接入的身份认证系统包括:业务接入终端301、终端管理平台302,其中,业务接入终端301具体包括认证客户端311与中央处理器CPU312。
业务接入终端的CPU312具有一次性编程OTP存储区域,OTP区域中设置有预先写入的终端序列号与运营商标识,终端序列号用于标识终端的唯一身份信息;CPU,用于验证平台挑战字;计算终端挑战字的散列值。
业务接入终端的认证客户端311,用于向终端管理平台发送身份认证请求,身份认证请求中包含终端序列号;将平台挑战字传递给CPU;响应于CPU验证平台挑战字获得通过,将从CPU传递来的终端挑战字的散列值发送给终端管理平台。
终端管理平台302,用于识别身份认证请求中包含的终端序列号是否合法;响应于终端序列号为合法的终端序列号,生成平台挑战字发送至认证客户端,平台挑战字包括终端管理平台所属运营商的运营商标识;计算终端挑战字的散列验证值,识别散列验证值是否与从认证客户端接收的散列值相同;响应于散列验证值与从认证客户端接收的散列值相同,允许终端进行业务接入。
基于本发明上述实施例提供的业务接入的认证系统,用户在使用终端进行业务接入时,通过将代表身份信息的终端序列号以及运营商的标识预先写入终端CPU内部的OTP存储区域中,通过认证终端对其进行读写,自动实现业务接入的身份认证,无需进行额外的用户输入或其他外接硬件,方便用户操作。利用OTP储存介质的可靠性与安全性,存储重要的身份信息,提高了用户保密信息的安全性。同时,本发明实施例中的平台挑战字与终端挑战字还使得终端与终端管理平台之间能够实现相互的身份认证,提高了认证的安全性。
根据本发明系统实施例的一个具体示例而非限制,CPU具体用于识别平台挑战字中包含的运营商标识是否与OTP存储区域的运营商标识相同;响应于平台挑战字中包含的运营商标识与OTP存储区域的运营商标识相同,验证平台挑战字获得通过;生成终端挑战字,计算终端挑战字的散列值;将散列值传递给认证客户端。
根据本发明系统实施例的一个具体示例而非限制,身份认证请求中还包括认证客户端预先产生的终端时间戳与终端随机数;终端管理平台,还用于从接收到的身份认证请求中获取终端时间戳与终端随机数;平台挑战字中还包括终端时间戳与终端随机数。
认证客户端311还用于在验证平台挑战字获得通过之后,识别平台挑战字中包含的终端时间戳与终端随机数是否分别与认证客户端最近一次产生的终端时间戳与最近一次产生的终端随机数相同;响应于平台挑战字中包含的终端时间戳与终端随机数分别与认证客户端最近一次产生的终端时间戳与最近一次产生的终端随机数相同,向CPU发送散列值计算请求。CPU312具体用于响应于接收到散列值计算请求后,开始执行生成终端挑战字的操作。
根据本发明系统实施例的一个具体示例而非限制,平台挑战字中还包括终端管理平台预先产生的平台时间戳与平台随机数;终端挑战字中还包括终端序列号、平台时间戳、平台随机数。终端管理平台302具体用于计算从认证客户端接收的终端序列号、最近一次产生的平台时间戳与最近一次产生的平台随机数的散列值作为散列验证值。
根据本发明系统实施例的一个具体示例而非限制,终端管理平台302具体用于生成平台挑战字,采用加密算法加密平台挑战字获得平台挑战字的密文,将密文发送至认证客户端;认证客户端311具体用于将密文发送给CPU;CPU312还用于采用加密算法对应的解密算法解密密文,获得平台挑战字。
根据本发明系统实施例的一个具体示例而非限制,CPU312与认证客户端311之间通过业务接入终端的操作系统内核驱动程序进行通信。
根据本发明系统实施例的一个具体示例而非限制,CPU312还用于在将散列值传递给认证客户端时,还将计算散列值的散列算法传递给认证客户端,以由认证客户端发送给终端管理平台;终端管理平台302具体用于使用从认证客户端接收到的散列算法计算终端挑战字的散列验证值。
根据本发明系统实施例的一个具体示例而非限制,终端挑战字还包括:CPU的芯片型号和/或CPU的内部序列号;终端管理平台302还用于预先存储有终端序列号以及对应的CPU芯片型号和/或CPU内部序列号,根据终端序列号获取CPU的芯片型号和/或CPU的内部序列号。
根据本发明系统实施例的一个具体示例而非限制,加密算法为公钥加密算法,具体包括RSA算法、Rabin算法、DH公钥加密算法、椭圆曲线加密算法ECC、ElGamal算法中的任意一种。
终端管理平台302具体用于使用预先生成的公私密钥对中的私钥,基于公钥加密算法加密平台挑战字。CPU312具体用于使用公私密钥对中的公钥,基于公钥加密算法对应的公钥解密算法解密密文。
至此,已经详细描述了根据本发明的一种业务接入的身份认证方法与系统。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
可能以许多方式来实现本发明的方法与系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法与系统。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。
Claims (18)
1.一种业务接入的身份认证方法,其特征在于,业务接入终端包括认证客户端与中央处理器CPU,所述CPU的一次性编程OTP存储区域中设置有预先写入的终端序列号与运营商标识,所述终端序列号用于标识所述终端的唯一身份信息;所述方法包括:
所述认证客户端向终端管理平台发送身份认证请求,所述身份认证请求中包含所述终端序列号;
所述终端管理平台识别所述身份认证请求中包含的终端序列号是否合法;
响应于所述终端序列号为合法的终端序列号,所述终端管理平台生成平台挑战字发送至所述认证客户端,所述平台挑战字包括所述终端管理平台所属运营商的运营商标识;
所述认证客户端将所述平台挑战字传递给所述CPU;
响应于所述CPU验证所述平台挑战字获得通过,所述认证客户端将从所述CPU传递来的终端挑战字的散列值发送给所述终端管理平台;
所述终端管理平台所述计算终端挑战字的散列验证值,识别所述散列验证值是否与从认证客户端接收的所述散列值相同;
响应于所述散列验证值与从认证客户端接收的所述散列值相同,所述终端管理平台允许所述终端进行业务接入。
2.根据权利要求1所述的方法,其特征在于,所述响应于所述CPU验证所述平台挑战字获得通过,所述认证客户端将从所述CPU传递来的终端挑战字的散列值发送给所述终端管理平台,包括:
所述CPU识别所述平台挑战字中包含的运营商标识是否与所述OTP存储区域的运营商标识相同;
响应于所述平台挑战字中包含的运营商标识与所述OTP存储区域的运营商标识相同,验证所述平台挑战字获得通过;
通过所述CPU生成终端挑战字,计算所述终端挑战字的散列值;
所述CPU将所述散列值传递给所述认证客户端,由所述认证客户端发送给所述终端管理平台。
3.根据权利要求2所述的方法,其特征在于,所述身份认证请求中还包括所述认证客户端预先产生的终端时间戳与终端随机数;所述方法还包括:
所述终端管理平台从接收到的身份认证请求中获取所述终端时间戳与终端随机数;
所述平台挑战字中还包括所述终端时间戳与终端随机数;
所述验证所述平台挑战字获得通过之后,所述方法还包括:
所述认证客户端识别所述平台挑战字中包含的终端时间戳与终端随机数是否分别与所述认证客户端最近一次产生的终端时间戳与最近一次产生的终端随机数相同;
所述认证客户端响应于所述平台挑战字中包含的终端时间戳与终端随机数分别与所述认证客户端最近一次产生的终端时间戳与最近一次产生的终端随机数相同,向所述CPU发送散列值计算请求;
所述CPU响应于接收到所述散列值计算请求后,开始执行所述生成终端挑战字的操作。
4.根据权利要求3所述的方法,其特征在于,所述平台挑战字中还包括所述终端管理平台预先产生的平台时间戳与平台随机数;
所述终端挑战字中还包括所述终端序列号、所述平台时间戳、所述平台随机数;
所述计算终端挑战字的散列验证值,具体包括:
所述计算从认证客户端接收的所述终端序列号、最近一次产生的平台时间戳与最近一次产生的平台随机数的散列值作为所述散列验证值。
5.根据权利要求4所述的方法,其特征在于,所述终端管理平台生成平台挑战字发送至所述认证客户端,具体包括:
所述终端管理平台生成平台挑战字,采用加密算法加密所述平台挑战字获得所述平台挑战字的密文,将所述密文发送至所述认证客户端;
所述认证客户端将所述平台挑战字发送给所述CPU,包括:
所述认证客户端将所述密文发送给所述CPU;
所述方法还包括:
所述CPU采用所述加密算法对应的解密算法解密所述密文,获得平台挑战字。
6.根据权利要求1至5任意一项所述的方法,其特征在于,所述CPU与所述认证客户端之间通过所述终端的操作系统内核驱动程序进行通信。
7.根据权利要求6所述的方法,其特征在于,所述CPU将所述散列值传递给所述认证客户端时,还将计算所述散列值的散列算法传递给所述认证客户端,由所述认证客户端发送给所述终端管理平台;
所述终端管理平台计算终端挑战字的散列验证值,包括:
所述终端管理平台使用从所述认证客户端接收到的所述散列算法计算终端挑战字的散列验证值。
8.根据权利要求7所述的方法,其特征在于,所述终端挑战字还包括:所述CPU的芯片型号和/或所述CPU的内部序列号;
所述终端管理平台预先存储有终端序列号以及对应的CPU芯片型号和/或CPU内部序列号,根据所述终端序列号获取所述CPU的芯片型号和/或CPU的内部序列号。
9.根据权利要求5所述的方法,其特征在于,所述加密算法为公钥加密算法,具体包括RSA算法、Rabin算法、DH公钥加密算法、椭圆曲线加密算法ECC、ElGamal算法中的任意一种;
所述采用加密算法加密所述平台挑战字获得所述平台挑战字的密文,具体包括:使用所述终端管理平台预先生成的公私密钥对中的私钥,基于所述公钥加密算法加密所述平台挑战字;
所述CPU采用所述加密算法对应的解密算法解密所述密文,包括:
所述CPU使用所述公私密钥对中的公钥,基于所述公钥加密算法对应的公钥解密算法解密所述密文。
10.一种业务接入的身份认证系统,其特征在于,所述系统包括:
业务接入终端、终端管理平台,其中,所述业务接入终端包括认证客户端与中央处理器CPU;
所述业务接入终端的CPU具有一次性编程OTP存储区域,所述OTP区域中设置有预先写入的终端序列号与运营商标识,所述终端序列号用于标识所述终端的唯一身份信息;所述CPU,用于验证所述平台挑战字;计算终端挑战字的散列值;
所述业务接入终端的认证客户端,用于向所述终端管理平台发送身份认证请求,所述身份认证请求中包含所述终端序列号;将所述平台挑战字传递给所述CPU;响应于所述CPU验证所述平台挑战字获得通过,将从所述CPU传递来的终端挑战字的散列值发送给所述终端管理平台;
所述终端管理平台,用于识别所述身份认证请求中包含的终端序列号是否合法;响应于所述终端序列号为合法的终端序列号,生成平台挑战字发送至所述认证客户端,所述平台挑战字包括所述终端管理平台所属运营商的运营商标识;所述计算终端挑战字的散列验证值,识别所述散列验证值是否与从认证客户端接收的所述散列值相同;响应于所述散列验证值与从认证客户端接收的所述散列值相同,允许所述终端进行业务接入。
11.根据权利要求10所述的系统,其特征在于,所述CPU,具体用于识别所述平台挑战字中包含的运营商标识是否与所述OTP存储区域的运营商标识相同;响应于所述平台挑战字中包含的运营商标识与所述OTP存储区域的运营商标识相同,验证所述平台挑战字获得通过;生成终端挑战字,计算所述终端挑战字的散列值;将所述散列值传递给所述认证客户端。
12.根据权利要求11所述的系统,其特征在于,所述身份认证请求中还包括所述认证客户端预先产生的终端时间戳与终端随机数;所述终端管理平台,还用于从接收到的身份认证请求中获取所述终端时间戳与终端随机数;
所述平台挑战字中还包括所述终端时间戳与终端随机数;
所述认证客户端,还用于在所述验证所述平台挑战字获得通过之后,识别所述平台挑战字中包含的终端时间戳与终端随机数是否分别与所述认证客户端最近一次产生的终端时间戳与最近一次产生的终端随机数相同;响应于所述平台挑战字中包含的终端时间戳与终端随机数分别与所述认证客户端最近一次产生的终端时间戳与最近一次产生的终端随机数相同,向所述CPU发送散列值计算请求;
所述CPU,具体用于响应于接收到所述散列值计算请求后,开始执行所述生成终端挑战字的操作。
13.根据权利要求12所述的系统,其特征在于,所述平台挑战字中还包括所述终端管理平台预先产生的平台时间戳与平台随机数;
所述终端挑战字中还包括所述终端序列号、所述平台时间戳、所述平台随机数;
所述终端管理平台,具体用于所述计算从认证客户端接收的所述终端序列号、最近一次产生的平台时间戳与最近一次产生的平台随机数的散列值作为所述散列验证值。
14.根据权利要求13所述的系统,其特征在于,所述终端管理平台,具体用于生成平台挑战字,采用加密算法加密所述平台挑战字获得所述平台挑战字的密文,将所述密文发送至所述认证客户端;
所述认证客户端,具体用于将所述密文发送给所述CPU;
所述CPU,还用于采用所述加密算法对应的解密算法解密所述密文,获得平台挑战字。
15.根据权利要求10至14任意一项所述的系统,其特征在于,所述CPU与所述认证客户端之间通过所述终端的操作系统内核驱动程序进行通信。
16.根据权利要求16所述的系统,其特征在于,所述CPU,还用于在将所述散列值传递给所述认证客户端时,还将计算所述散列值的散列算法传递给所述认证客户端,以由所述认证客户端发送给所述终端管理平台;
所述终端管理平台,具体用于使用从所述认证客户端接收到的所述散列算法计算终端挑战字的散列验证值。
17.根据权利要求16所述的系统,其特征在于,所述终端挑战字还包括:所述CPU的芯片型号和/或所述CPU的内部序列号;
所述终端管理平台,还用于预先存储有终端序列号以及对应的CPU芯片型号和/或CPU内部序列号,根据所述终端序列号获取所述CPU的芯片型号和/或CPU的内部序列号。
18.根据权利要求17所述的系统,其特征在于,所述加密算法为公钥加密算法,具体包括RSA算法、Rabin算法、DH公钥加密算法、椭圆曲线加密算法ECC、ElGamal算法中的任意一种;
所述终端管理平台,具体用于使用预先生成的公私密钥对中的私钥,基于所述公钥加密算法加密所述平台挑战字;
所述CPU,具体用于使用所述公私密钥对中的公钥,基于所述公钥加密算法对应的公钥解密算法解密所述密文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210365176.8A CN103701757B (zh) | 2012-09-27 | 2012-09-27 | 业务接入的身份认证方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210365176.8A CN103701757B (zh) | 2012-09-27 | 2012-09-27 | 业务接入的身份认证方法与系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103701757A true CN103701757A (zh) | 2014-04-02 |
| CN103701757B CN103701757B (zh) | 2017-05-10 |
Family
ID=50363157
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210365176.8A Active CN103701757B (zh) | 2012-09-27 | 2012-09-27 | 业务接入的身份认证方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103701757B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103944737A (zh) * | 2014-05-06 | 2014-07-23 | 中国联合网络通信集团有限公司 | 用户身份认证方法、第三方认证平台、运营商认证平台 |
| CN105099674A (zh) * | 2014-04-17 | 2015-11-25 | 华为技术有限公司 | 用户认证方法、认证装置和终端 |
| CN106162638A (zh) * | 2015-04-17 | 2016-11-23 | 国民技术股份有限公司 | 一种安全芯片、基于其的移动终端、系统、现场授权的方法 |
| CN106664636A (zh) * | 2014-10-29 | 2017-05-10 | 华为技术有限公司 | 一种数据帧的传输方法及装置 |
| CN106878016A (zh) * | 2017-04-27 | 2017-06-20 | 上海木爷机器人技术有限公司 | 数据发送、接收方法及装置 |
| CN105101183B (zh) * | 2014-05-07 | 2018-11-27 | 中国电信股份有限公司 | 对移动终端上隐私内容进行保护的方法和系统 |
| CN109257416A (zh) * | 2018-08-19 | 2019-01-22 | 广州持信知识产权服务有限公司 | 一种区块链云服务网络信息管理系统 |
| CN109286933A (zh) * | 2018-10-18 | 2019-01-29 | 世纪龙信息网络有限责任公司 | 认证方法、装置、系统、计算机设备和存储介质 |
| CN109446234A (zh) * | 2018-10-12 | 2019-03-08 | Oppo广东移动通信有限公司 | 数据处理方法、装置以及电子设备 |
| CN112084997A (zh) * | 2020-09-22 | 2020-12-15 | 江西锦路科技开发有限公司 | 一种工程量拆分及统计系统 |
| CN112738059A (zh) * | 2020-12-23 | 2021-04-30 | 迈普通信技术股份有限公司 | 终端接入合法性验证方法、装置、电子设备及存储介质 |
| CN113411283A (zh) * | 2020-03-16 | 2021-09-17 | 中国电信股份有限公司 | 双向认证方法、装置和系统 |
| WO2022246753A1 (zh) * | 2021-05-27 | 2022-12-01 | 京东方科技集团股份有限公司 | 设备注册方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1909430A1 (en) * | 2005-07-21 | 2008-04-09 | Huawei Technologies Co., Ltd. | Access authorization system of communication network and method thereof |
| CN101742233A (zh) * | 2009-12-28 | 2010-06-16 | 深圳市同洲电子股份有限公司 | 数字电视接收终端漫游的实现方法、中心数据网关及系统 |
| CN102572774A (zh) * | 2010-12-27 | 2012-07-11 | 中兴通讯股份有限公司 | 一种多种接入方式接入网络的方法、接入设备和认证设备 |
-
2012
- 2012-09-27 CN CN201210365176.8A patent/CN103701757B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1909430A1 (en) * | 2005-07-21 | 2008-04-09 | Huawei Technologies Co., Ltd. | Access authorization system of communication network and method thereof |
| CN101742233A (zh) * | 2009-12-28 | 2010-06-16 | 深圳市同洲电子股份有限公司 | 数字电视接收终端漫游的实现方法、中心数据网关及系统 |
| CN102572774A (zh) * | 2010-12-27 | 2012-07-11 | 中兴通讯股份有限公司 | 一种多种接入方式接入网络的方法、接入设备和认证设备 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105099674A (zh) * | 2014-04-17 | 2015-11-25 | 华为技术有限公司 | 用户认证方法、认证装置和终端 |
| CN105099674B (zh) * | 2014-04-17 | 2018-09-07 | 华为技术有限公司 | 用户认证方法、认证装置和终端 |
| US10089450B2 (en) | 2014-04-17 | 2018-10-02 | Huawei Technologies Co., Ltd. | User authentication method, authentication apparatus, and terminal |
| CN103944737A (zh) * | 2014-05-06 | 2014-07-23 | 中国联合网络通信集团有限公司 | 用户身份认证方法、第三方认证平台、运营商认证平台 |
| CN105101183B (zh) * | 2014-05-07 | 2018-11-27 | 中国电信股份有限公司 | 对移动终端上隐私内容进行保护的方法和系统 |
| CN106664636A (zh) * | 2014-10-29 | 2017-05-10 | 华为技术有限公司 | 一种数据帧的传输方法及装置 |
| US10925015B2 (en) | 2014-10-29 | 2021-02-16 | Huawei Technologies Co., Ltd. | Method and apparatus for transmitting data frame in a long term evolution unlicensed (LTE-U)system |
| CN106162638A (zh) * | 2015-04-17 | 2016-11-23 | 国民技术股份有限公司 | 一种安全芯片、基于其的移动终端、系统、现场授权的方法 |
| CN106878016A (zh) * | 2017-04-27 | 2017-06-20 | 上海木爷机器人技术有限公司 | 数据发送、接收方法及装置 |
| CN109257416A (zh) * | 2018-08-19 | 2019-01-22 | 广州持信知识产权服务有限公司 | 一种区块链云服务网络信息管理系统 |
| CN109446234A (zh) * | 2018-10-12 | 2019-03-08 | Oppo广东移动通信有限公司 | 数据处理方法、装置以及电子设备 |
| CN109286933A (zh) * | 2018-10-18 | 2019-01-29 | 世纪龙信息网络有限责任公司 | 认证方法、装置、系统、计算机设备和存储介质 |
| CN109286933B (zh) * | 2018-10-18 | 2021-11-30 | 世纪龙信息网络有限责任公司 | 认证方法、装置、系统、计算机设备和存储介质 |
| CN113411283A (zh) * | 2020-03-16 | 2021-09-17 | 中国电信股份有限公司 | 双向认证方法、装置和系统 |
| CN113411283B (zh) * | 2020-03-16 | 2022-08-30 | 中国电信股份有限公司 | 双向认证方法、装置和系统 |
| CN112084997A (zh) * | 2020-09-22 | 2020-12-15 | 江西锦路科技开发有限公司 | 一种工程量拆分及统计系统 |
| CN112084997B (zh) * | 2020-09-22 | 2021-08-24 | 江西锦路科技开发有限公司 | 一种工程量拆分及统计系统 |
| CN112738059A (zh) * | 2020-12-23 | 2021-04-30 | 迈普通信技术股份有限公司 | 终端接入合法性验证方法、装置、电子设备及存储介质 |
| WO2022246753A1 (zh) * | 2021-05-27 | 2022-12-01 | 京东方科技集团股份有限公司 | 设备注册方法、装置、电子设备及存储介质 |
| CN115735368A (zh) * | 2021-05-27 | 2023-03-03 | 京东方科技集团股份有限公司 | 设备注册方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103701757B (zh) | 2017-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103701757A (zh) | 业务接入的身份认证方法与系统 | |
| CN110519260B (zh) | 一种信息处理方法及信息处理装置 | |
| US10708062B2 (en) | In-vehicle information communication system and authentication method | |
| CN101828357B (zh) | 用于证书提供的方法和装置 | |
| CN110798315B (zh) | 基于区块链的数据处理方法、装置及终端 | |
| US9053347B2 (en) | Memory device, host device, and memory system | |
| US8756415B2 (en) | Memory device, host device, and memory system | |
| JP5954609B1 (ja) | 電子署名トークンの私有鍵のバックアップ方法およびシステム | |
| CN107317677B (zh) | 密钥存储及设备身份认证方法、装置 | |
| EP3001598A1 (en) | Method and system for backing up private key in electronic signature token | |
| CN108141444B (zh) | 经改善的认证方法和认证装置 | |
| JP5827692B2 (ja) | バインドされたデータカード及び移動ホストの認証方法、装置及びシステム | |
| CN103546289A (zh) | 一种基于USBKey的安全传输数据的方法及系统 | |
| CN105162797A (zh) | 一种基于视频监控系统的双向认证方法 | |
| CN106033503A (zh) | 在数字内容设备中在线写入应用密钥的方法、装置及系统 | |
| CN103678174A (zh) | 数据安全方法、存储装置和数据安全系统 | |
| WO2010057423A1 (zh) | 智能卡的加密、解密方法及系统、读写器 | |
| CN103544453A (zh) | 一种基于usb key的虚拟桌面文件保护方法及装置 | |
| CN104268447A (zh) | 一种嵌入式软件的加密方法 | |
| CN103606223B (zh) | 一种卡片认证方法及装置 | |
| CN103281188A (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
| CN111510416A (zh) | 数据信息传输方法、电子设备和可读存储介质 | |
| CN115865448A (zh) | 一种数据自加密装置和方法 | |
| CN104883260A (zh) | 证件信息处理和验证方法、处理终端及验证服务器 | |
| CN115801232A (zh) | 一种私钥保护方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |