CN103906052B - 一种移动终端认证方法、业务访问方法及设备 - Google Patents
一种移动终端认证方法、业务访问方法及设备 Download PDFInfo
- Publication number
- CN103906052B CN103906052B CN201210576183.2A CN201210576183A CN103906052B CN 103906052 B CN103906052 B CN 103906052B CN 201210576183 A CN201210576183 A CN 201210576183A CN 103906052 B CN103906052 B CN 103906052B
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- key
- security gateway
- encryption
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种移动终端认证方法、业务访问方法及设备,在移动终端与安全网关进行第一次认证握手的过程中,由安全网关生成通信密钥,并进行加密后,发送给移动终端,由移动终端解密获得通信密钥,并利用该通信密钥对第二次握手请求进行加密,由安全网关利用该通信密钥,对第二次握手请求进行解密认证,保证了认证的安全性;上述认证方案中,用户只需交互一次,甚至无需交互即可完成整个认证过程,免去了预先注册、手动填入登录信息或验证码等操作,提高了移动终端认证的便捷性。
Description
技术领域
本发明涉及通信网络技术领域,尤其涉及一种移动终端认证方法、业务访问方法及设备。
背景技术
随着移动化时代的到来,企业移动化认证和接入的应用日益广泛,目前,企业移动终端认证方案基本可以分为如下几类:
1、通过用户名和口令方式登录认证。用户在移动终端上输入预先注册的用户名和口令,向认证服务器端发起登录请求,认证服务器收到登录请求后,通过将其中携带的用户名和口令与数据库比对进行认证。
2、通过动态口令认证。用户在移动终端上输入预先注册的通信号码(例如手机号码),向认证服务器端发送动态口令请求;认证服务器端在判断该请求中携带的通信号码与数据库中保存的注册信息一致时,生成一组认证码,通过短消息发送给移动终端,并将该认证码暂时与核实后的用户信息关联;移动终端收到该短消息后,由人工将认证码填入登录界面,发送包含用户名和认证码的登录请求;认证服务器收到登录请求后,将其与之前暂存的用户名和其关联的认证码进行比对,以进行认证。
3、通过设备唯一ID认证。用户在移动终端上输入预先注册的用户名和口令,应用程序读取移动终端的IMSI(International Mobile Subscriber Identification Number,国际移动用户识别码)或IMEI(International Mobile Equipment Identity国际移动设备身份码)等唯一ID,并上报给认证服务器;认证服务器将接收到的登录请求中的用户名、口令及设备ID等信息与数据库中预先注册的用户名、口令及设备ID等信息进行比对,以进行认证。
4、通过设备预先内置的私钥或证书认证。这种方式与方式3类似,在认证过程中采用非对称加密进行认证过程中的数据交换。
在实现本发明的过程中,发明人发现现有移动终端认证方案至少存在以下问题:
1、不安全。例如,采用方式1容易泄露用户名和口令,而且泄露不容易被察觉;方式2的动态口令一般通过明文以短消息形式发送给移动终端,而且由于需要手动输入,动态口令通常不会太长,存在着被偷窥或截获的危险;方式3的设备唯一ID一旦泄露会存在伪造虚假登录信息的风险;方式4的私钥和证书也存在可能泄露和被复制的安全隐患。
2、不便捷。采用方式1和方式2时,需要用户输入用户名和口令信息,并需要预先进行注册;采用方式3时,对于企业需要维护和管理员工所使用的移动终端的唯一设备ID,IMSI号和IMEI号对于用户应用层面不可知,维护管理困难;采用方式4,需要对员工私钥或证书进行频繁的颁发和撤销。
因此,亟需移动终端认证方案及业务访问方案出现,用以解决上述技术问题。
发明内容
本发明实施例提供了一种移动终端认证方法设备,用以增强身份认证的安全性,提高移动终端认证的便捷性。
为了实现上述目的,本发明实施例采用以下技术手段:
本发明实施例提供一种移动终端认证方法,所述方法包括:
安全网关接收移动终端发送的第一次握手请求,解析出所述第一次握手请求中携带的公钥,所述公钥由所述移动终端生成;
所述安全网关根据所述第一次握手请求,从目录服务器上查询到相应的用户信息后,生成通信密钥,利用解析出的公钥对生成的通信密钥加密,并将加密的通信密钥返回给所述移动终端;
所述安全网关接收所述移动终端发送的第二次握手请求,并利用自身生成的所述通信密钥,解密所述第二次握手请求,并在解密成功后向所述移动终端返回认证成功响应;其中,所述第二次握手请求是所述移动终端利用与所述公钥对应的私钥对所述安全网关返回的加密的通信密钥进行解密后,利用解密后的通信密钥对第二次握手请求进行加密后发送的。
本发明实施例还提供一种移动终端认证方法,所述方法包括:
移动终端向安全网关发送第一次握手请求,所述第一次握手请求中携带有所述移动终端生成的公钥;
所述移动终端接收所述安全网关返回的加密的通信密钥,并利用与所述公钥对应的私钥,对所述加密的通信密钥进行解密;其中,所述加密的通信密钥是所述安全网关根据所述第一握手请求,从目录服务器上查询到相应的用户信息后,生成通信密钥并利用所述公钥加密后得到的;
所述移动终端利用解密得到的通信密钥,对第二次握手请求进行加密,并将加密的第二次握手请求发送给所述安全网关,以使所述安全网关对所述第二次握手请求进行认证。
本发明实施例还提供一种安全网关设备,包括:
解析模块,用于在接收到移动终端发送的第一次握手请求后,解析出所述第一次握手请求中携带的公钥,所述公钥由所述移动终端生成;
密钥生成模块,用于在认证模块从目录服务器上查询到相应的用户信息后,生成通信密钥;
认证模块,用于根据所述第一次握手请求,从目录服务器上查询相应的用户信息;以及,利用解析出的公钥对所述密钥生成模块生成的通信密钥加密,并将加密的通信密钥返回给所述移动终端;以及,利用所述密钥生成模块生成的所述通信密钥,解密接收到的第二次握手请求,并在解密成功后向所述移动终端返回认证成功响应;其中,所述第二次握手请求是所述移动终端利用与所述公钥对应的私钥对安全网关设备返回的通信密钥进行解密后,利用解密后的通信密钥对第二次握手请求进行加密后发送的。
本发明实施例还提供一种移动终端,包括:
密钥生成模块,用于生成公钥和与所述公钥对应的私钥;
认证发起模块,用于向安全网关发送第一次握手请求,所述第一次握手请求中携带有所述密钥生成模块生成的公钥;以及,将加密的第二次握手请求发送给所述安全网关,以使所述安全网关对所述第二次握手请求进行认证;
密钥处理模块,用于在接收所述安全网关返回的加密的通信密钥后,利用与所述公钥对应的私钥,对所述加密的通信密钥进行解密;其中,所述加密的通信密钥是所述安全网关根据所述第一握手请求,从目录服务器上查询到相应的用户信息后,生成通信密钥并利用所述公钥加密后得到的;以及,利用解密得到的通信密钥,对第二次握手请求进行加密。
与现有技术相比,本发明的上述实施例具有以下有益技术效果:
本发明实施例提供的移动终端认证方案,在移动终端与安全网关进行第一次认证握手的过程中,由安全网关生成通信密钥,并进行加密后,发送给移动终端,由移动终端解密获得通信密钥,并利用该通信密钥对第二次握手请求进行加密,由安全网关利用该通信密钥,对第二次握手请求进行解密认证,保证了认证的安全性;上述认证方案中,用户只需交互一次,甚至无需交互即可完成整个认证过程,免去了预先注册、手动填入登录信息或验证码等操作,提高了移动终端认证的便捷性。
本发明实施例还提供了一种基于前述移动终端认证方法实现的业务访问方法及设备,用以实现安全的业务访问。
为了实现上述目的,本发明实施例采用以下技术手段:
本发明实施例提供的一种基于前述移动终端认证方法实现的业务访问方法,所述方法包括:
安全网关接收移动终端发送的加密的业务请求,并利用本地生成的通信密钥对所述加密的业务请求进行解密;
所述安全网关将解密后的业务请求发送给应用服务器,所述解密后的业务请求中携带有所述移动终端的用户信息;
所述安全网关接收所述应用服务器返回的业务响应,利用本地生成的通信密钥对所述业务响应进行加密,并将加密后的业务响应返回给所述移动终端。
本发明实施例提供的一种基于前述移动终端认证方法实现的业务访问方法,所述方法包括:
移动终端利用通信密钥对业务请求进行加密,并将加密的业务请求发送给安全网关;所述通信密钥是移动终端对安全网关返回的加密的通信密钥进行解密得到的;
所述移动终端接收所述安全网关返回的加密的业务响应,并利用所述通信密钥对所述加密的业务响应进行解密。
与现有技术相比,本发明的上述实施例具有以下有益技术效果:
本发明实施例提供的业务访问方案中,通过认证后的移动终端通过安全网关访问后台应用,移动终端与安全网关之间利用认证阶段生成的通信密钥进行通信,安全网关作为安全代理服务器,起到安全传输通道的作用,保证了业务访问的安全性。
附图说明
图1为本发明实施例的网络架构示意图;
图2为本发明实施例提供的移动终端认证流程示意图;
图3为本发明实施例提供的业务访问流程示意图;
图4为本发明实施例提供的安全网关结构示意图;
图5为本发明实施例提供的移动终端结构示意图。
具体实施方式
针对现有技术存在的上述问题,本发明实施例提供了一种移动终端认证方案。下面结合附图对本发明实施例进行详细描述。
图1示出了本发明实施例所适用的系统架构,其中包括:移动终端11、安全网关12、目录服务器13、短消息网关14和至少一个应用服务器15。目录服务器13和应用服务器15通常为企业内部网内的网络设备,目录服务器13存储有企业内部用户信息(例如,用户手机号码);应用服务器15主要用于提供业务服务,企业内部网中可以设置多个应用服务器15,以处理不同的业务;安全网关12连接企业内部网和互联网,是企业内部网的接入设备,用于对外网(例如Internet)的访问用户进行鉴权,保证企业内部网的安全性;短消息网关14主要用于为移动终端11提供短消息服务。移动终端11可以是手机、平板电脑等支持SIM(Subscriber Identity Module客户识别模块)卡的移动设备。
本发明实施例的认证方案可以应用于但不限于企业移动化办公领域,例如,可以适用于移动互联中通用的安全认证。
以下结合上述系统架构和图2,详细说明移动终端认证流程,如图所示,该流程包括以下步骤:
步骤201,移动终端向安全网关发送第一次握手请求消息,该第一次握手请求消息中携带有公钥PK和用户可知的移动终端通信号码。
用户可知的移动终端通信号码可以为:移动用户号码(MSISDN,MobileSubscriber International ISDN/PSTN numbe),例如,手机号码。
具体的,当移动终端接收到用户通过操作该移动终端所发送的接入企业内部网的操作指令(例如,登录操作)时,或者,移动终端进行初始化时,或者其他事件发生时,将触发认证过程。认证过程被触发后,移动终端根据非对称算法(例如,RSA公钥加密算法)生成一组密钥,该组密钥包括公钥PK和与公钥PK对应的私钥SK。公钥PK用于加密,是公开信息,私钥SK用于解密,属于保密信息。
步骤202-203,安全网关从第一次握手请求消息中解析出发送方的通信号码和公钥PK,并根据该通信号码从目录服务器获取相应的用户信息。
具体的,安全网关向目录服务器发送携带有该通信号码的查询请求消息,目录服务器根据查询请求消息中携带的通信号码,在本地进行查询,如果查询到与该通信号码匹配的用户信息,则说明该移动终端用户为合法用户,目录服务器将查询到的用户信息携带于查询响应消息中返回给安全网关;如果没有查询到与该通信号码匹配的用户信息,则说明该移动终端用户为非法用户,目录服务器向安全网关返回认证失败的响应消息,认证流程结束。
步骤204-205,安全网关接收到携带有与该通信号码匹配的用户信息的查询响应消息后,生成通信密钥MK,并利用解析出的公钥PK对该通信密钥加密,得到加密的通信密钥MK’。
具体的,安全网关根据匹配到的用户信息,采用随机方式或其它算法生成通信密钥MK。由于通信密钥MK是基于用户信息生成的,对于不同移动终端(即不同用户),通信密钥MK不同,从而实现对移动终端的身份认证。
步骤206,安全网关将加密的通信密钥MK’和解析出的通信号码发送给短消息网关。
步骤207,短消息网关根据该通信号码,向相应移动终端发送短消息,其中携带有通信密钥MK’。
步骤208,移动终端接收到该短消息后,获取其中携带的通信密钥MK’,利用步骤201中生成的私钥SK对通信密钥MK’进行解密,得到通信秘钥MK并暂存,以备后续通信时使用。
通过上述步骤201-208,第一次认证握手完成,在第一次认证握手过程中,移动终端与安全网关之间,采用非对称加密技术对通信密钥MK加密,安全网关利用短消息息的方式将加密的通信密钥MK’传输给移动终端,避免了通信密钥在传输过程中被偷窥、截获的安全隐患,保证了认证的安全性。
步骤209,移动终端利用通信密钥MK,对第二次握手请求消息进行加密,并将加密的第二次握手请求消息发送给所述安全网关。
具体的,移动终端采用对称加密算法,例如,AES(Advanced EncryptionStandard,高级加密标准)算法,利用通信密钥MK对第二次握手请求消息进行加密后,发送给安全网关,以使安全网关对所述第二次握手请求进行认证。
步骤210-211,安全网关利用通信密钥MK,解密第二次握手请求消息,若解密成功,则向移动终端返回认证成功响应消息,告知移动终端后续以通信密钥MK进行加密通信;若解密失败,则向移动终端返回认证失败响应消息。
移动终端接收到返回的认证成功响应消息后,第二次认证握手完成,安全网关已完成对移动终端的身份认证流程,移动终端可以发起业务访问过程。
在上述安全网关对移动终端进行认证的流程中,如果移动终端的SIM卡中并未存储有通信号码(手机号码),则在步骤201之前,移动终端还可以执行以下步骤以获取通信号码:
移动终端通过短消息的方式,向短消息网关发送获取通信号码的请求消息,短消息网关自动回复包含通信号码的短消息,移动终端截获到该短消息后获取通信号码。移动终端也可以自动拨打免费的特殊服务号码,以获取本设备的通信号码,或者,移动终端也可以显示交互界面,由用户手动输入通信号码。无论通过何种方式获取到本设备的通信号码之后,移动终端均在本地保存获取到的通信号码,在下次认证时即可跳过该流程。
在本发明实施例中,将移动终端的手机号码作为移动终端身份认证的依据,手机号与SIM卡唯一对应,SIM卡的不可复制性保证了移动终端认证的安全性。在企业内部网中,目录服务器中通常会存储员工的手机号码信息,企业无需预先获取员工的设备ID,在员工信息管理和维护上更为便捷。
进一步的,在移动终端在向安全网关发送第一次握手请求消息之后(即步骤201之后),还可以启动定时器,移动终端接收并截获短消息网关发送的短消息后(即步骤208),删除该定时器。若定时器超时,则说明移动终端未能在定时器计时时长内接收到短消息,出现这种情况的原因可能是某些型号的移动终端无法截获短消息,或者,移动终端安装有防护软件,造成短消息无法到达应用,或者,网络故障导致通信中断。在此种情况下,为了避免短消息被其他软件截获,或者移动终端的无限等待,移动终端可以重新向安全网关发送第一次握手请求消息,以重新进行认证。定时器的时长可以根据设备性能以及应用场景对响应要求不同而设置。
需要注意的是,本发明实施例的移动终端认证方式并不排斥其他常规的认证方式,例如,当移动终端未能在定时器计时时长内接收短消息网关返回的短消息时,移动终端也可以采用用户名和口令、设备唯一ID或通过证书等方式进行认证。
优选的,也可以将本发明实施例的认证方式与传统的认证方式配合进行,以进一步提高安全性。
通过以上流程可以看出,在移动终端与安全网关进行第一次认证握手的过程中,由安全网关生成通信密钥,并进行加密后,发送给移动终端,由移动终端解密获得通信密钥,并利用该通信密钥对第二次握手请求进行加密,由安全网关利用该通信密钥,对第二次握手请求进行解密认证,保证了认证的安全性;上述认证方案中,用户只需交互一次,甚至无需交互即可完成整个认证过程,免去了预先注册、手动填入登录信息或验证码等操作,提高了移动终端认证的便捷性。
通过认证后的移动终端可以通过安全网关访问企业内部网络,即,访问企业内部网络中的应用服务器,实现业务访问。此时,安全网关可以被看作安全代理服务器,起到安全传输通道的作用,在企业内部网络,采用明文传输数据,在外网则采用加密传输数据。
以下结合图3,详细说明认证通过后的移动终端的业务访问流程,如图所示,该流程包括以下步骤:
步骤301-302,移动终端利用通信密钥MK,对业务请求消息R1加密,并将加密的业务请求消息R1’发送给安全网关,其中,通信密钥MK是移动终端对安全网关返回的加密的通信密MK’钥进行解密得到的。
具体的,移动终端在通过安全网关的认证,并接收到用户发送的业务访问指令后,生成业务请求消息R1;或者移动终端通过安全网关的认证之后,自动生成业务请求消息R1。
步骤303,安全网关接收移动终端发送的加密的业务请求,利用通信密钥MK,对接收到的加密的业务请求消息R1’进行解密,得到业务请求消息R1。
步骤304-305,安全网关在解密后的业务请求消息R1中携带用户信息,并将解密后的业务请求消息R1发送给应用服务器。
具体的,安全网关在业务请求消息R1的报文头中携带包括用户识别信息或应用访问令牌的用户信息,并发送给与业务请求对应的应用服务器。
步骤306-307,应用服务器根据解密后的业务请求消息R1,进行相应的业务处理,并向安全网关返回业务响应消息A1。
步骤308,安全网关利用通信密钥MK,对业务响应消息A1进行加密,得到加密的业务响应消息A1’。
步骤309,安全网关将加密的业务响应消息A1’返回给移动终端。
步骤310,移动终端利用认证过程中获得的通信密钥MK,对接收到的加密的业务响应消息A1’进行解密,得到业务响应消息A1。
通过上述业务访问流程可以看出,认证通过后的移动终端通过安全网关访问应用服务器,移动终端与安全网关之间利用认证阶段获得的通信密钥MK进行通信,安全网关作为安全代理服务器,起到安全传输通道的作用,保证了业务访问的安全性。
需要注意的是,本实施例不仅支持单点登录认证后的业务访问,也支持共享一次认证过程的多次业务访问。此外,对于企业内部网存在多个应用服务器的情况,多业务系统之间也可以共享一次认证过程。
基于相同的技术构思,本发明实施例还提供了一种安全网关设备,如图4所示,该设备包括:
解析模块41,用于在接收到移动终端发送的第一次握手请求后,解析出所述第一次握手请求中携带的公钥,所述公钥由所述移动终端生成。
密钥生成模块42,用于在认证模块43从目录服务器上查询到相应的用户信息后,生成通信密钥。
认证模块43,用于根据所述第一次握手请求,从目录服务器上查询相应的用户信息;以及,利用解析出的公钥对密钥生成模块42生成的通信密钥加密,并将加密的通信密钥返回给所述移动终端;以及,利用密钥生成模块42生成的所述通信密钥,解密接收到的第二次握手请求,并在解密成功后向所述移动终端返回认证成功响应;其中,所述第二次握手请求是所述移动终端利用与所述公钥对应的私钥对安全网关设备返回的通信密钥进行解密后,利用解密后的通信密钥对第二次握手请求进行加密后发送的。
具体的,解析模块41还用于,在接收到移动终端发送的第一次握手请求之后,解析出所述第一次握手请求中携带的用户可知的移动终端通信号码。
认证模块43具体用于,将加密的通信密钥和解析模块41解析出的用户可知的移动终端通信号码发送给短消息网关,以使所述短消息网关根据所述移动终端通信号码,以短消息方式将所述加密的通信密钥发送给所述移动终端。
解析模块41还用于,在接收到移动终端发送的第一次握手请求之后,解析出所述第一次握手请求中携带的用户可知的移动终端通信号码。
认证模块43具体用于,向目录服务器发送携带有所述通信号码的查询请求,并接收所述目录服务器返回的携带有与所述通信号码匹配的用户信息的查询响应。
所述的安全网关设备还包括:业务处理模块44,用于在接收到所述移动终端发送的加密的业务请求后,利用所述密钥生成模块生成的通信密钥对所述加密的业务请求进行解密,并将解密后的业务请求发送给应用服务器,所述解密后的业务请求中携带有所述移动终端的用户信息;以及,在接收所述应用服务器返回的业务响应后,利用密钥生成模块42生成的通信密钥对所述业务响应进行加密,并将加密后的业务响应返回给所述移动终端。
基于相同的技术构思,本发明实施例还提供了一种移动终端,如图5所示,该移动终端包括:
密钥生成模块51,用于生成公钥和与所述公钥对应的私钥。
认证发起模块52,用于向安全网关发送第一次握手请求,所述第一次握手请求中携带有密钥生成模块51生成的公钥;以及,将加密的第二次握手请求发送给所述安全网关,以使所述安全网关对所述第二次握手请求进行认证。
密钥处理模块53,用于在接收所述安全网关返回的加密的通信密钥后,利用与所述公钥对应的私钥,对所述加密的通信密钥进行解密;其中,所述加密的通信密钥是所述安全网关根据所述第一握手请求,从目录服务器上查询到相应的用户信息后,生成通信密钥并利用所述公钥加密后得到的;以及,利用解密得到的通信密钥,对第二次握手请求进行加密。
具体的,密钥处理模块53具体用于,接收并截获短消息网关发送的短消息,从所述短消息中提取加密的通信密钥;其中,所述加密的通信密钥是所述安全网关发送给所述短消息网关的。
密钥生成模块51具体用于,根据非对称加密算法生成一组密钥,该组密钥包括公钥及其对应的私钥。
密钥处理模块53具体用于,根据对称加密算法,利用所述通信密钥,对所述第二次握手请求进行加密。
进一步的,密钥处理模块53还用于,若在设定长的时间内未接收到所述安全网关返回的加密的通信密钥,则向所述安全网关发送第一次握手请求,所述第一次握手请求中携带有所述移动终端生成的公钥。
所述第一次握手请求中还携带有所述移用户可知的动终端通信号码,以使所述安全网关向目录服务器发送携带有所述通信号码的查询请求,并接收所述目录服务器返回的携带有与所述通信号码匹配的用户信息的查询响应。
所述的移动终端还包括:业务处理模块54,用于利用通信密钥对业务请求进行加密,并将加密的业务请求发送给所述安全网关,所述通信密钥是密钥处理模块53对所述安全网关返回的加密的通信密钥进行解密获得的;以及,在接收到所述安全网关返回的加密的业务响应后,利用密钥处理模块53解密获得的通信密钥对所述加密的业务响应进行解密。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
Claims (20)
1.一种移动终端认证方法,其特征在于,所述方法包括:
安全网关接收移动终端发送的第一次握手请求,解析出所述第一次握手请求中携带的公钥,所述公钥由所述移动终端生成;
所述安全网关根据所述第一次握手请求,从目录服务器上查询到相应的用户信息后,当所述移动终端为合法用户时生成通信密钥,利用解析出的公钥对生成的通信密钥加密,并将加密的通信密钥返回给所述移动终端;
所述安全网关接收所述移动终端发送的第二次握手请求,并利用自身生成的所述通信密钥,解密所述第二次握手请求,并在解密成功后向所述移动终端返回认证成功响应;其中,所述第二次握手请求是所述移动终端利用与所述公钥对应的私钥对所述安全网关返回的加密的通信密钥进行解密后,利用解密后的通信密钥对第二次握手请求进行加密后发送的。
2.如权利要求1所述的方法,其特征在于,所述安全网关接收移动终端发送的第一次握手请求之后,所述方法还包括:所述安全网关解析出所述第一次握手请求中携带的用户可知的移动终端通信号码;
所述将加密的通信密钥返回给所述移动终端,具体为:所述安全网关将加密的通信密钥和解析出的用户可知的移动终端通信号码发送给短消息网关,以使所述短消息网关根据所述移动终端通信号码,以短消息方式将所述加密的通信密钥发送给所述移动终端。
3.如权利要求1所述的方法,其特征在于,所述安全网关接收移动终端发送的第一次握手请求之后,所述方法还包括:所述安全网关解析出所述第一次握手请求中携带的用户可知的移动终端通信号码;
所述安全网关通过以下方式从目录服务器上查询相应的用户信息:
所述安全网关向目录服务器发送携带有所述通信号码的查询请求,并接收所述目录服务器返回的携带有与所述通信号码匹配的用户信息的查询响应。
4.一种移动终端认证方法,其特征在于,所述方法包括:
移动终端向安全网关发送第一次握手请求,所述第一次握手请求中携带有所述移动终端生成的公钥;
所述移动终端接收所述安全网关返回的加密的通信密钥,并利用与所述公钥对应的私钥,对所述加密的通信密钥进行解密;其中,所述加密的通信密钥是所述安全网关根据所述第一次握手请求,从目录服务器上查询到相应的用户信息后,当所述移动终端为合法用户时生成通信密钥并利用所述公钥加密后得到的;
所述移动终端利用解密得到的通信密钥,对第二次握手请求进行加密,并将加密的第二次握手请求发送给所述安全网关,以使所述安全网关对所述第二次握手请求进行认证。
5.如权利要求4所述的方法,其特征在于,所述移动终端接收所述安全网关返回的加密的通信密钥,具体为:
所述移动终端接收并截获短消息网关发送的短消息,从所述短消息中提取加密的通信密钥;其中,所述加密的通信密钥是所述安全网关发送给所述短消息网关的。
6.如权利要求4所述的方法,其特征在于,所述移动终端根据非对称加密算法生成一组密钥,该组密钥包括公钥及其对应的私钥;
所述移动终端根据对称加密算法,利用所述通信密钥,对所述第二次握手请求进行加密。
7.如权利要求4所述的方法,其特征在于,所述方法还包括:
若所述移动终端在设定长的时间内未接收到所述安全网关返回的加密的通信密钥,则向所述安全网关发送第一次握手请求,所述第一次握手请求中携带有所述移动终端生成的公钥。
8.如权利要求4所述的方法,其特征在于,所述第一次握手请求中还携带有所述用户可知的移动终端通信号码,以使所述安全网关向目录服务器发送携带有所述通信号码的查询请求,并接收所述目录服务器返回的携带有与所述通信号码匹配的用户信息的查询响应。
9.一种基于权利要求1-3任一项所述的移动终端认证方法实现的业务访问方法,其特征在于,包括:
安全网关接收移动终端发送的加密的业务请求,并利用本地生成的通信密钥对所述加密的业务请求进行解密;
所述安全网关将解密后的业务请求发送给应用服务器,所述解密后的业务请求中携带有所述移动终端的用户信息;
所述安全网关接收所述应用服务器返回的业务响应,利用本地生成的通信密钥对所述业务响应进行加密,并将加密后的业务响应返回给所述移动终端。
10.一种基于权利要求4-8任一项所述的移动终端认证方法实现的业务访问方法,其特征在于,包括:
移动终端利用通信密钥对业务请求进行加密,并将加密的业务请求发送给安全网关;所述通信密钥是移动终端对安全网关返回的加密的通信密钥进行解密得到的;
所述移动终端接收所述安全网关返回的加密的业务响应,并利用所述通信密钥对所述加密的业务响应进行解密。
11.一种安全网关设备,其特征在于,包括:
解析模块,用于在接收到移动终端发送的第一次握手请求后,解析出所述第一次握手请求中携带的公钥,所述公钥由所述移动终端生成;
密钥生成模块,用于在认证模块从目录服务器上查询到相应的用户信息后,当所述移动终端为合法用户时生成通信密钥;
认证模块,用于根据所述第一次握手请求,从目录服务器上查询相应的用户信息;以及,利用解析出的公钥对所述密钥生成模块生成的通信密钥加密,并将加密的通信密钥返回给所述移动终端;以及,利用所述密钥生成模块生成的所述通信密钥,解密接收到的第二次握手请求,并在解密成功后向所述移动终端返回认证成功响应;其中,所述第二次握手请求是所述移动终端利用与所述公钥对应的私钥对安全网关设备返回的通信密钥进行解密后,利用解密后的通信密钥对第二次握手请求进行加密后发送的。
12.如权利要求11所述的安全网关设备,其特征在于,所述解析模块还用于,在接收到移动终端发送的第一次握手请求之后,解析出所述第一次握手请求中携带的用户可知的移动终端通信号码;
所述认证模块具体用于,将加密的通信密钥和所述解析模块解析出的用户可知的移动终端通信号码发送给短消息网关,以使所述短消息网关根据所述移动终端通信号码,以短消息方式将所述加密的通信密钥发送给所述移动终端。
13.如权利要求11所述的安全网关设备,其特征在于,所述解析模块还用于,在接收到移动终端发送的第一次握手请求之后,解析出所述第一次握手请求中携带的用户可知的移动终端通信号码;
所述认证模块具体用于,向目录服务器发送携带有所述通信号码的查询请求,并接收所述目录服务器返回的携带有与所述通信号码匹配的用户信息的查询响应。
14.如权利要求11所述的安全网关设备,其特征在于,还包括:
业务处理模块,用于在接收到所述移动终端发送的加密的业务请求后,利用所述密钥生成模块生成的通信密钥对所述加密的业务请求进行解密,并将解密后的业务请求发送给应用服务器,所述解密后的业务请求中携带有所述移动终端的用户信息;以及,在接收所述应用服务器返回的业务响应后,利用所述密钥生成模块生成的通信密钥对所述业务响应进行加密,并将加密后的业务响应返回给所述移动终端。
15.一种移动终端,其特征在于,包括:
密钥生成模块,用于生成公钥和与所述公钥对应的私钥;
认证发起模块,用于向安全网关发送第一次握手请求,所述第一次握手请求中携带有所述密钥生成模块生成的公钥;以及,将加密的第二次握手请求发送给所述安全网关,以使所述安全网关对所述第二次握手请求进行认证;
密钥处理模块,用于在接收所述安全网关返回的加密的通信密钥后,利用与所述公钥对应的私钥,对所述加密的通信密钥进行解密;其中,所述加密的通信密钥是所述安全网关根据所述第一次握手请求,从目录服务器上查询到相应的用户信息后,当所述移动终端为合法用户时生成通信密钥并利用所述公钥加密后得到的;以及,利用解密得到的通信密钥,对第二次握手请求进行加密。
16.如权利要求15所述的移动终端,其特征在于,所述密钥处理模块具体用于,接收并截获短消息网关发送的短消息,从所述短消息中提取加密的通信密钥;其中,所述加密的通信密钥是所述安全网关发送给所述短消息网关的。
17.如权利要求15所述的移动终端,其特征在于,所述密钥生成模块具体用于,根据非对称加密算法生成一组密钥,该组密钥包括公钥及其对应的私钥;
所述密钥处理模块具体用于,根据对称加密算法,利用所述通信密钥,对所述第二次握手请求进行加密。
18.如权利要求15所述的移动终端,其特征在于,所述密钥处理模块还用于,若在设定长的时间内未接收到所述安全网关返回的加密的通信密钥,则向所述安全网关发送第一次握手请求,所述第一次握手请求中携带有所述移动终端生成的公钥。
19.如权利要求15所述的移动终端,其特征在于,所述第一次握手请求中还携带有用户可知的移动终端通信号码,以使所述安全网关向目录服务器发送携带有所述通信号码的查询请求,并接收所述目录服务器返回的携带有与所述通信号码匹配的用户信息的查询响应。
20.如权利要求15所述的移动终端,其特征在于,还包括:
业务处理模块,用于利用通信密钥对业务请求进行加密,并将加密的业务请求发送给所述安全网关,所述通信密钥是所述密钥处理模块对所述安全网关返回的加密的通信密钥进行解密获得的;以及,在接收到所述安全网关返回的加密的业务响应后,利用所述密钥处理模块解密获得的通信密钥对所述加密的业务响应进行解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210576183.2A CN103906052B (zh) | 2012-12-26 | 2012-12-26 | 一种移动终端认证方法、业务访问方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210576183.2A CN103906052B (zh) | 2012-12-26 | 2012-12-26 | 一种移动终端认证方法、业务访问方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103906052A CN103906052A (zh) | 2014-07-02 |
| CN103906052B true CN103906052B (zh) | 2017-06-20 |
Family
ID=50997160
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210576183.2A Active CN103906052B (zh) | 2012-12-26 | 2012-12-26 | 一种移动终端认证方法、业务访问方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103906052B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789834B (zh) * | 2015-11-20 | 2019-09-10 | 中国电信股份有限公司 | 用于识别用户身份的方法、网关、pcrf网元和系统 |
| CN106936803B (zh) * | 2015-12-31 | 2020-12-29 | 亿阳安全技术有限公司 | 二维码扫描认证登录方法及相关装置 |
| CN106598204A (zh) * | 2016-12-21 | 2017-04-26 | 上海摩软通讯技术有限公司 | 移动终端及其数据处理系统和方法 |
| CN106953871B (zh) * | 2017-03-31 | 2020-05-15 | 中国移动通信集团江苏有限公司 | 网关认证方法、装置、网关设备和服务器 |
| CN109120408A (zh) * | 2017-06-26 | 2019-01-01 | 中国电信股份有限公司 | 用于认证用户身份的方法、装置和系统 |
| CN108566367B (zh) * | 2018-02-07 | 2020-09-25 | 海信集团有限公司 | 一种终端的认证方法和装置 |
| CN109040112B (zh) * | 2018-09-04 | 2020-01-03 | 北京明朝万达科技股份有限公司 | 网络控制方法和装置 |
| WO2020172887A1 (zh) * | 2019-02-28 | 2020-09-03 | 云图有限公司 | 数据处理方法、装置、智能卡、终端设备和服务器 |
| CN112039922B (zh) * | 2020-09-18 | 2022-09-23 | 广东乐心医疗电子股份有限公司 | 一种加密通信方法及装置 |
| CN112751858B (zh) * | 2020-12-30 | 2023-04-07 | 恒安嘉新(北京)科技股份公司 | 数据加密通信终端方法、装置、终端、服务器及存储介质 |
| WO2024044965A1 (zh) * | 2022-08-30 | 2024-03-07 | 京东方科技集团股份有限公司 | 安全管理系统及安全管理方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212293A (zh) * | 2006-12-31 | 2008-07-02 | 普天信息技术研究院 | 一种身份认证方法及系统 |
| CN101662360A (zh) * | 2008-08-29 | 2010-03-03 | 公安部第三研究所 | 一种基于短信消息服务的可认证对称密钥协商方法 |
| CN102098317A (zh) * | 2011-03-22 | 2011-06-15 | 浙江中控技术股份有限公司 | 一种应用于云系统的数据传输方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2434947B (en) * | 2006-02-02 | 2011-01-26 | Identum Ltd | Electronic data communication system |
-
2012
- 2012-12-26 CN CN201210576183.2A patent/CN103906052B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212293A (zh) * | 2006-12-31 | 2008-07-02 | 普天信息技术研究院 | 一种身份认证方法及系统 |
| CN101662360A (zh) * | 2008-08-29 | 2010-03-03 | 公安部第三研究所 | 一种基于短信消息服务的可认证对称密钥协商方法 |
| CN102098317A (zh) * | 2011-03-22 | 2011-06-15 | 浙江中控技术股份有限公司 | 一种应用于云系统的数据传输方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103906052A (zh) | 2014-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103906052B (zh) | 一种移动终端认证方法、业务访问方法及设备 | |
| US10243742B2 (en) | Method and system for accessing a device by a user | |
| CN105141636B (zh) | 适用于cdn增值业务平台的http安全通信方法及系统 | |
| CN101510877B (zh) | 单点登录方法和系统、通信装置 | |
| CN100586066C (zh) | 一种实现单点登录的系统及方法 | |
| CN104735065B (zh) | 一种数据处理方法、电子设备及服务器 | |
| CN101340436B (zh) | 基于便携式存储设备实现远程访问控制的方法及装置 | |
| CN103428221B (zh) | 对移动应用的安全登录方法、系统和装置 | |
| WO2014058166A1 (ko) | 데이터 전송 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 | |
| CN107332808A (zh) | 一种云桌面认证的方法、服务器及终端 | |
| CN113612605A (zh) | 使用对称密码技术增强mqtt协议身份认证方法、系统和设备 | |
| CN107251035A (zh) | 账户恢复协议 | |
| CN106470190A (zh) | 一种Web实时通信平台鉴权接入方法及装置 | |
| US20130117555A1 (en) | Method and system for data encryption and decryption in data transmission through the web | |
| CN102685749B (zh) | 面向移动终端的无线安全身份验证方法 | |
| CN107026824A (zh) | 一种消息加密、解密方法和装置 | |
| JP2016502377A (ja) | 安全計算を用いて安全性を提供する方法 | |
| EP2767029B1 (en) | Secure communication | |
| CN106230594B (zh) | 一种基于动态口令进行用户认证的方法 | |
| US7055170B1 (en) | Security mechanism and architecture for collaborative software systems using tuple space | |
| CN103812651B (zh) | 密码验证方法、装置及系统 | |
| CN103023911A (zh) | 可信网络设备接入可信网络认证方法 | |
| CN103795966B (zh) | 一种基于数字证书的安全视频通话实现方法及系统 | |
| CN114006736B (zh) | 一种基于硬件密码设备的即时通信消息保护系统及方法 | |
| Rao et al. | Authentication using mobile phone as a security token |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |