CN104038935B - 基于移动终端智能卡的用户认证方法及设备 - Google Patents
基于移动终端智能卡的用户认证方法及设备 Download PDFInfo
- Publication number
- CN104038935B CN104038935B CN201310070827.5A CN201310070827A CN104038935B CN 104038935 B CN104038935 B CN 104038935B CN 201310070827 A CN201310070827 A CN 201310070827A CN 104038935 B CN104038935 B CN 104038935B
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- imsi
- lai
- network
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种基于移动终端智能卡的用户认证方法及设备,该方法包括:从所述智能卡中提取国际移动用户识别码IMSI,并通过IP网络向认证服务器发送注册响应消息,所述注册响应消息中携带有所述IMSI,以使所述认证服务器从移动通信网络获取与所述IMSI对应的位置区识别码LAI;接收所述认证服务器通过IP网络发送的认证请求消息,所述认证请求消息中携带有所述LAI;根据所述IMSI和所述LAI生成认证密钥,并根据所述认证密钥认证所述认证服务器。本发明提供的基于移动终端智能卡的用户认证方法及设备,可以提供兼容现有的移动终端智能卡的可靠的认证机制。
Description
技术领域
本发明涉及通信技术,尤其涉及一种基于移动终端智能卡的用户认证方法及设备。
背景技术
网络之间互连的协议多媒体系统(Internet Protocol Multimedia Subsystem,简称IMS)是第三代合作伙伴计划(The3rd Generation Partnership Project,简称3GPP)提出的支持网络之间互连的协议(Internet Protocol,简称IP)的多媒体业务的子系统,它叠加在分组交换网络上,位于3G核心网中,利用IP网络负责3G系统中的多媒体通信。它可以使用户利用蜂窝移动系统的接入就可以使用因特网提供的所有业务。
然而,处在该系统下的移动终端进行数据语音通信时,现有的移动终端的移动终端智能卡缺少支持基于IP网络的IMS语音服务的认证流程。
发明内容
本发明提供一种基于移动终端智能卡的用户认证方法及设备,用以提供兼容现有的移动终端智能卡的可靠的认证机制。
第一方面,本发明提供一种基于移动终端智能卡的用户认证方法,包括:
从所述移动终端智能卡中提取国际移动用户识别码IMSI,并通过IP网络向认证服务器发送注册响应消息,所述注册响应消息中携带有所述IMSI,以使所述认证服务器从移动通信网络获取与所述IMSI对应的位置区识别码LAI;
接收所述认证服务器通过IP网络发送的认证请求消息,所述认证请求消息中携带有所述LAI;
根据所述IMSI和所述LAI生成认证密钥,并根据所述认证密钥认证所述认证服务器。
第二方面,本发明实施例提供另一种基于移动终端智能卡的用户认证方法,包括:
接收移动终端通过IP网络发送的注册响应消息,所述注册响应消息中携带国际移动用户识别码IMSI;
根据所述ISMI从移动通信网络获取所述移动终端的位置区识别码LAI,将所述LAI通过IP网络发送给所述移动终端;
根据所述IMSI和所述LAI生成认证密钥,并根据所述认证密钥认证所述移动终端。
第三方面,本发明提供一种移动终端,包括:
注册响应发送模块,用于从所述移动终端智能卡中提取国际移动用户识别码IMSI,并通过IP网络向认证服务器发送注册响应消息,所述注册响应消息中携带有国际移动用户识别码IMSI,以使所述认证服务器从移动通信网络获取与所述IMSI对应的位置区识别码LAI;
识别码接收模块,用于接收所述认证服务器通过IP网络发送的认证请求消息,所述认证请求消息中携带有所述LAI;
第一密钥生成模块,用于根据所述IMSI和所述LAI生成认证密钥,并根据所述认证密钥认证所述认证服务器。
第四方面,本发明提供一种认证服务器,其特征在于,包括:
注册响应接收模块,用于接收移动终端通过IP网络发送的注册响应消息,所述注册响应消息中携带国际移动用户识别码IMSI;
识别码获取模块,用于根据所述ISMI从移动通信网络获取所述移动终端的位置区识别码LAI,将所述LAI通过IP网络发送给所述移动终端;
第二密钥生成模块,用于根据所述IMSI和所述LAI生成认证密钥,并根据所述认证密钥认证所述移动终端。
本发明实施例提供一种基于移动终端智能卡的用户认证方法及设备,该方法通过移动终端提取移动终端智能卡中的IMSI,并通过IP网络向认证服务器发送注册响应消息,注册响应消息中携带有国际移动用户识别码IMSI,以使认证服务器从移动通信网络获取与IMSI对应的位置区识别码LAI,接收认证服务器通过IP网络发送的认证请求消息,认证请求消息中携带有所述LAI,根据IMSI和LAI生成认证密钥,并根据认证密钥认证所述认证服务器,本实施例中,不仅为移动终端使用通过IP网络实现的业务提供了基于移动终端智能卡的认证机制,可以和移动终端智能卡很好的兼容,同时移动终端根据IMSI和LAI生成的认证密钥,随移动终端位置的改变而改变,更提高了认证的可靠性。
附图说明
图1为本发明基于移动终端智能卡的用户认证方法实施例一的流程示意图;
图2为本发明基于移动终端智能卡的用户认证方法实施例二的流程示意图;
图3为本发明基于移动终端智能卡的用户认证方法实施例三的信令流程图;
图4为本发明认证系统的结构图;
图5为本发明移动终端实施例一的结构示意图;
图6为本发明移动终端实施例二的结构示意图;
图7为本发明认证服务器实施例一的结构示意图。
具体实施方式
图1为本发明基于移动终端智能卡的用户认证方法实施例一的流程示意图,本实施例的执行主体为移动终端。本实施例中的移动终端可以为各种用户终端,该用户终端可以使用IP网络,或该用户终端带有WiFi功能,通过无线局域网使用IP网络,或者该用户终端基于分组交换(Packet Switch,简称PS)域进行数据传输,其中GGSN作为分组域特有的设备,GGSN是通用分组无线服务(General Packet Radio Service,简称GPRS)网关支持节点,可以将GGSN理解为连接GPRS网络与外部IP网络的网关。GGSN提供数据包在宽带码分多址(Wideband Code Division Multiple Access,简称WCDMA)移动网和外部IP网之间的路由和封装。GGSN主要功能是同外部IP网络的接口功能,GGSN就好象是可寻址WCDMA移动网络中所有用户IP的路由器,需要同外部网络交换路由信息。GGSN通过Gi接口与外部IP网络相连。对于移动终端使用IP网络的具体实现方式,本实施例在此不做特别限制。如图1所示,本实施例提供的基于移动终端智能卡的用户认证方法包括以下步骤:
S101:从移动终端智能卡中提取国际移动用户识别码,并通过IP网络向认证服务器发送注册响应消息,注册响应消息中携带有IMSI,以使认证服务器从移动通信网络获取与IMSI对应的位置区识别码LAI。
在移动终端通过IP网络向认证服务器发送注册响应消息之前,移动终端需要完成用户信息的签约工作以及初始化网络连接。
对于用户信息的签约工作,当用户需要使用运营商通过IP网络提供的各项业务与应用时,用户需要与运营商完成签约工作。其中,运营商通过IP网络提供的各项应用包括网络电话(Voice over Internet Protocol,简称VoIP),视频以及各种游戏等。在用户进行签约时,用户需要在运营商的系统中注册用户的国际移动用户识别码(InternationalMobile SubscriberIdentification Number,简称IMSI)等信息,并由提供对应应用的内容提供商生成与该移动终端的IMSI对应的认证密钥,包括公钥和私钥。同时,内容提供商将与该IMSI对应的密钥发送给认证服务器。其中,IMSI是区别移动用户的标志,储存在移动终端智能卡中。
当用户首次使用该应用时,移动终端需要进行初始化网络连接,移动终端通过IP网络向认证服务器发送配置请求消息,配置请求消息中携带有该移动终端的IMSI。移动终端接收认证服务器通过IP网络发送的配置响应消息,配置响应消息中携带与IMSI对应的公钥。
当用户每次需要使用已签约的应用时,移动终端通过IP网络向认证服务器发送接入请求消息,以请求认证接入。之后,移动终端接收认证服务器过IP网络发送的注册请求消息,认证服务器通过该认证请求消息请求移动终端发送身份信息。
此时,移动终端执行S101,移动终端从移动终端智能卡中提取在移动终端智能卡中存储的IMSI,并通过IP网络向认证服务器发送注册响应消息,该注册响应消息中携带有IMSI,认证服务器从移动通信网络获取与IMSI对应的位置区识别码(Location AreaIdentity,LAI)。特别地,移动终端智能卡可以为SIM(Subscriber Identity Module)卡或UIM(User Identity Module)卡等。
优选地,为了保证数据的安全性,移动终端还可通过公钥对该IMSI进行加密,通过IP网络向认证服务器发送携带加密后的IMSI的注册响应消息。
S102:接收认证服务器通过IP网络发送的认证请求消息,认证请求消息中携带有LAI。
移动终端接收证服务器通过IP网络发送的携带LAI的认证请求消息。其中LAI用于标识移动终端的位置区,当移动终端所处的位置区发生变化时,移动通信网络侧会更新归属位置寄存器(home location register,简称HLR)或拜访位置寄存器(Visitor LocationRegister,简称VLR)中保存的该终端的LAI,认证服务器具体可以从HLR或VRL中获取移动终端当前所处的位置。
优选地,认证请求消息中的LAI是认证服务器用与公钥对应的私钥加密的,移动终端可以通过公钥对认证请求消息中的LAI进行解密。
优选地,接收认证服务器通过IP网络发送的认证请求消息之后,还包括:移动终端根据第一预设算法对IMSI和LAI进行计算,得到计算结果,并通过IP网络向认证服务器发送携带计算结果的认证确认消息,以使认证服务器确认LAI发送成功。其中,第一预设算法具体可以为RSA公钥加密算法,对称算法或哈希算法等,在实际应用过程中,可根据各算法的难易程度以及数据安全性,选择合适的第一预设算法。对于第一预设算法的具体选择方式,本实施例在此不做特别限制。
S103:根据IMSI和LAI生成认证密钥,并根据认证密钥认证所述认证服务器。
移动终端可根据IMSI和LAI生成认证密钥。本领域技术人员可以理解,由于本实施例中的LAI为随位置变化的动态码,因此,在本实施例中,移动终端根据IMSI和LAI生成的认证密钥,也是随移动终端位置的改变而改变,不是固定不变的。
在具体实现过程中,移动终端可根据第二预设算法对IMSI和LAI进行计算,生成认证密钥。其中第二预设算法具体可以为RSA公钥加密算法,对称算法或哈希算法等,在实际应用过程中,可根据各算法的难易程度以及数据安全性,选择合适的第二预设算法。对于第二预设算法的具体选择方式,本实施例在此不做特别限制。移动终端可根据该认证密钥,认证所述认证服务器。当移动终端认证所述服务器认证成功,认证服务器认证该移动终端成功之后,移动终端可以使用相应的应用。
本发明实施例提供的基于移动终端智能卡的用户认证方法,通过移动终端提取移动终端智能卡中的IMSI,并通过IP网络向认证服务器发送注册响应消息,注册响应消息中携带有国际移动用户识别码IMSI,以使认证服务器从移动通信网络获取与IMSI对应的位置区识别码LAI,接收认证服务器通过IP网络发送的认证请求消息,认证请求消息中携带有所述LAI,根据IMSI和LAI生成认证密钥,并根据认证密钥认证所述认证服务器,本实施例中,不仅为移动终端使用通过IP网络实现的业务提供了基于移动终端智能卡的认证机制,可以和移动终端智能卡很好的兼容,同时移动终端根据IMSI和LAI生成的认证密钥,随移动终端位置的改变而改变,更提高了认证的可靠性。
图2为本发明基于移动终端智能卡的用户认证方法实施例二的流程示意图,本实施例的执行主体为认证服务器。如图2所示,本实施例提供的基于移动终端智能卡的用户认证方法包括以下步骤:
S201:接收移动终端通过IP网络发送的注册响应消息,注册响应消息中携带国际移动用户识别码IMSI。
在认证服务器接收移动终端通过IP网络发送的注册响应消息之前,还需要获得用户的签约消息。在具体实现过程中,在移动终端与运营商完成签约工作后,认证服务器接收移动通信网络发送的用户签约消息,该用户签约消息携带与移动终端的IMSI对应的公钥和私钥。认证服务器接收移动终端通过IP网络发送的配置请求消息,该配置请求消息中携带移动终端的IMSI。认证服务器根据该移动终端的IMSI,查找到与该IMSI对应的公钥,并通过IP网络向移动终端发送携带与该IMSI对应的公钥的配置响应消息。
当用户每次需要使用已签约的应用时,认证服务器接收移动终端通过IP网络发送的接入请求消息,并通过IP网络向移动终端发送注册请求消息,以使移动终端发送携带IMSI的注册响应消息。
此时,认证服务器执行S201,接收移动终端通过IP网络发送的注册响应消息,注册响应消息中携带国际移动用户识别码IMSI。
优选地,为了提高数据在传输过程中的安全性,上述的注册响应消息中的IMSI是移动终端用IMSI对应的公钥加密过的,认证服务器通过IMSI对应的私钥对注册响应消息中的用IMSI对应的公钥加密过的IMSI进行解密,获得IMSI。
S202:根据ISMI从移动通信网络获取移动终端的位置区识别码LAI,将LAI通过IP网络发送给移动终端;
在具体实现过程中,认证服务器向网关发送位置请求消息,该位置请求消息中包括IMSI,可以使网关根据该IMSI从移动通信网络获取与该IMSI对应的LAI。具体地,网关可通过移动应用部分(Mobile Application Part,简称MAP)信令从拜访位置寄存器(VisitorLocation Register,简称VLR)获取移动终端的LAI。
进一步地,在认证服务器根据ISMI从移动通信网络获取移动终端的位置区识别码LAI之后,认证服务器向移动终端发送认证请求消息,认证请求消息中携带有用IMSI对应的私钥加密过的LAI,之后,认证服务器接收移动终端发送的认证确认消息,该认证确认消息中包括移动终端根据第一预设算法对IMSI和LAI进行计算得到的计算结果,认证服务器根据认证确认消息,确认LAI发送成功。在具体实现过程中,认证服务器同样根据第一预设算法对IMSI和LAI进行计算,得到计算结果,若认证服务器得到的计算结果与认证确认消息中的计算结果一致,则认证服务器确定LAI发送成功。
S203:根据IMSI和LAI生成认证密钥,并根据认证密钥认证移动终端。
认证服务器可根据IMSI和LAI生成认证密钥。本领域技术人员可以理解,由于本实施例中的LAI为随位置变化的动态码,因此,在本实施例中,认证服务器根据IMSI和LAI生成的认证密钥,也是随移动终端位置的改变而改变,不是固定不变的。
在具体实现过程中,认证服务器可根据第二预设算法对IMSI和LAI进行计算,生成认证密钥。其中第二预设算法具体可以为RSA公钥加密算法,对称算法或哈希算法等,在实际应用过程中,可根据各算法的难易程度以及数据安全性,选择合适的第二预设算法。对于第二预设算法的具体选择方式,本实施例在此不做特别限制。本领域技术人员可以理解,认证服务器选择的第二预设算法的具体方式,应与移动终端选择的第二预设算法保持一致,以保证二者可以使用相同的算法得到相同的认证密钥。认证服务器可根据该认证密钥,认证所述移动终端。当移动终端认证所述服务器认证成功,认证服务器认证该移动终端成功之后,移动终端可以使用相应的应用。
本发明实施例提供的基于移动终端智能卡的用户认证方法,通过认证服务器接收移动终端通过IP网络发送的注册响应消息,注册响应消息中携带国际移动用户识别码IMSI;根据ISMI从移动通信网络获取移动终端的位置区识别码LAI;根据IMSI和LAI生成认证密钥,并根据所述认证密钥认证移动终端。本实施例中,不仅为移动终端使用通过IP网络实现的业务提供了认证机制,同时认证服务器根据IMSI和LAI生成的认证密钥,随移动终端位置的改变而改变,更提高了认证的可靠性。
图3为本发明基于移动终端智能卡的用户认证方法实施例三的信令流程图。如图3所示,在移动终端注册IP网络,使用通过IP网络实现的业务时,主要步骤如下:
S301、移动终端通过IP网络向认证服务器发送接入请求消息;
S302、认证服务器通过IP网络向移动终端发送注册请求消息;
S303、移动终端通过公钥对IMSI加密;
S304、移动终端通过IP网络向认证服务器发送注册响应消息,注册响应消息中携带有通过公钥加密的IMSI;
S305、认证服务器通过私钥对IMSI解密;
S306、认证服务器向网关发送位置识别请求消息;
S307、网关向认证服务器发送位置识别响应消息,位置识别响应消息中携带LAI;
S308、认证服务器通过私钥对LAI加密;
S309、认证服务器通过IP网络向移动终端发送认证请求消息,认证请求消息中携带私钥加密的LAI;
S310、移动终端通过公钥对LAI解密;
S311、移动终端根据第一预设算法对IMSI和LAI进行计算,得到结算结果;
S312、移动终端通过IP网络向认证服务器发送认证确认消息,以使认证服务器确认LAI发送成功。
S313、认证服务器根据第一预设算法得到的计算结果,确认LAI送达;
S314、移动终端根据第二预设算法对IMSI和LAI进行计算,生成认证密钥;
S315、认证服务器根据第二预设算法对IMSI和LAI进行计算,生成认证密钥。
本领域技术人员可以理解,S314与S315没有严格的时序关系。在移动终端和认证服务器各自通过第二预设算法生成认证密钥后,利用现有技术中的双向认证机制以及该认证密钥,完成认证服务器和移动终端的双向认证过程,在双向认证成功后,移动终端可以通过IP网络使用相应的应用。本领域技术人员可以理解,移动终端和认证服务器还可以利用认证密钥进行单向认证,但单向认证的安全性略低于双向认证。
本实施例中的基于移动终端智能卡的用户认证方法,利用移动终端智能卡作用户认证的基本硬件,同时在IP网络中设置认证服务器,不仅为移动终端使用通过IP网络实现的业务提供了认证机制,同时认证服务器根据IMSI和LAI生成的认证密钥,随移动终端位置的改变而改变,更提高了认证的可靠性。
图4为本发明认证系统的结构图,如图4所示,本发明实施例提供的认证系统包括移动终端401,认证服务器402,网关403,归属位置寄存器(home location register,简称HLR)404,拜访位置寄存器(Visitor Location Register,简称VLR)405。
其中,移动终端401能够执行图1实施例所示的基于移动终端智能卡的用户认证方法,认证服务器402能够执行图2实施例所示的基于移动终端智能卡的用户认证方法。移动终端401和认证服务器402之间通过IP网络进行通信。
网关403能够以发送MAP信令的方式,通过归属位置寄存器404从拜访位置寄存器405获得LAI。
归属位置寄存器404用于管理移动用户的数据库。主要存储有关用户的参数和有关用户目前所处位置的信息。每个移动用户都应在其归属位置寄存器注册登记。特别地,归属位置寄存器404还可以和鉴权中心(Authentication Center,简称AuC)设置在一起,AuC用于系统的安全性管理,是存储用户鉴权算法和加密密钥的实体。用来防止无权用户接入系统和保证通过无线接口的移动用户通信的安全。AuC将鉴权和加密数据通过HLR发往VLR、MSC以及SGSN,以保证通信的合法和安全。每个AuC和对应的HLR关联,只通过该HLR和外界通信。
拜访位置寄存器405从该移动用户的归属用户位置寄存404处获取并存储必要的数据。一旦移动用户离开该VLR的控制区域,则重新在另一个VLR登记,原VLR将取消临时记录的该移动用户数据。因此,VLR可看作为一个动态用户数据库。
本实施例中的认证系统结构图,为图1至图3实施例所示的方法提供了硬件系统,不仅为移动终端使用通过IP网络实现的业务提供了认证机制,同时认证服务器根据IMSI和LAI生成的认证密钥,随移动终端位置的改变而改变,更提高了认证的可靠性。
图5为本发明移动终端实施例一的结构示意图,本实施例对图4所示实施例中的移动终端的结构进行详细说明。如图5所示,本发明实施例提供的移动终端包括注册响应发送模块501,识别码接收模块502,第一密钥生成模块503。
注册响应发送模块501用于从所述移动终端智能卡中提取国际移动用户识别码IMSI,并通过IP网络向认证服务器发送注册响应消息,所述注册响应消息中携带有国际移动用户识别码IMSI,以使所述认证服务器从移动通信网络获取与所述IMSI对应的位置区识别码LAI;
识别码接收模块502用于接收所述认证服务器通过IP网络发送的认证请求消息,所述认证请求消息中携带有所述LAI;
第一密钥生成模块503用于根据所述IMSI和所述LAI生成认证密钥,并根据所述认证密钥认证所述认证服务器。
本实施例的移动终端,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图6为本发明移动终端实施例二的结构示意图。本实施例在图5所示实施例的基础上,可选地,所述移动终端还包括:
配置请求发送模块504,用于通过IP网络向所述认证服务器发送配置请求消息,所述配置请求消息中携带有所述IMSI;
配置响应接收模块505,用于接收所述认证服务器通过IP网络发送的配置响应消息,所述配置响应消息中携带与所述IMSI对应的公钥。
所述认证请求消息中的LAI是所述认证服务器用与所述公钥对应的私钥加密的;
所述移动终端还包括:
解密模块506,用于通过所述公钥对所述认证请求消息中的LAI进行解密。
可选地,所述移动终端还包括:
处理模块507,用于根据第一预设算法对所述IMSI和LAI进行计算,得到计算结果;
确认消息发送模块508,用于通过IP网络向所述认证服务器发送携带所述计算结果的认证确认消息,以使所述认证服务器确认所述LAI发送成功。
本实施例的移动终端,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图7为本发明认证服务器实施例一的结构示意图,本实施例对图4所示实施例中的认证服务器的结构进行详细说明。如图7所示,本发明实施例提供的认证服务器包括注册响应接收模块601,识别码获取模块602,第二密钥生成模块603。
其中,注册响应接收模块601,用于接收移动终端通过IP网络发送的注册响应消息,所述注册响应消息中携带国际移动用户识别码IMSI;
识别码获取模块602,用于根据所述ISMI从移动通信网络获取所述移动终端的位置区识别码LAI,将所述LAI通过IP网络发送给所述移动终端;
第二密钥生成模块603,用于根据所述IMSI和所述LAI生成认证密钥,并根据所述认证密钥认证所述移动终端。
本实施例的认证服务器,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
可选地,所述认证服务器还包括:
签约消息接收模块,用于接收移动通信网络发送的用户签约消息,所述用户签约消息包括与所述IMSI对应的公钥和私钥;
配置请求接收模块,用于接收所述移动终端通过IP网络发送的配置请求消息,所述配置请求消息中携带有所述IMSI;
配置响应发送模块,用于通过IP网络向所述移动终端发送配置响应消息,所述配置响应消息中携带与所述IMSI对应的公钥;
所述识别码获取模块具体用于:
通过IP网络向所述移动终端发送认证请求消息,所述认证请求消息中携带有用所述IMSI对应的私钥加密过的LAI;。
可选地,所述识别码获取模块具体用于:
向网关发送位置识别请求消息,所述位置识别请求消息中包括所述IMSI,以使所述网关根据所述IMSI从移动通信网络获取与所述IMSI对应的LAI;
接收所述网关发送的位置识别响应消息,所述位置识别响应消息中包括与所述IMSI对应的LAI。
可选地,所述认证服务器还包括:
消息接收模块,用于接收所述移动终端通过IP网络发送的认证确认消息,所述认证确认消息中包括所述移动终端根据第一预设算法对所述IMSI和LAI进行计算得到的计算结果;
确认模块,用于根据所述认证确认消息,确认所述LAI发送成功。
本实施例的认证服务器,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元或模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或模块可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (11)
1.一种基于移动终端智能卡的用户认证方法,其特征在于,包括:
从所述移动终端智能卡中提取国际移动用户识别码IMSI,并通过IP网络向认证服务器发送注册响应消息,所述注册响应消息中携带有所述IMSI,以使所述认证服务器从移动通信网络获取与所述IMSI对应的位置区识别码LAI;
接收所述认证服务器通过IP网络发送的认证请求消息,所述认证请求消息中携带有所述LAI;
根据所述IMSI和所述LAI生成认证密钥,并根据所述认证密钥认证所述认证服务器。
2.根据权利要求1所述的方法,其特征在于,所述通过IP网络向认证服务器发送注册响应消息之前,还包括:
通过IP网络向所述认证服务器发送配置请求消息,所述配置请求消息中携带有所述IMSI;
接收所述认证服务器通过IP网络发送的配置响应消息,所述配置响应消息中携带与所述IMSI对应的公钥;
所述认证请求消息中的LAI是所述认证服务器用与所述公钥对应的私钥加密的;
所述接收所述认证服务器通过IP网络发送的认证请求消息之后,还包括:
通过所述公钥对所述认证请求消息中的LAI进行解密。
3.根据权利要求1所述的方法,其特征在于,所述接收所述认证服务器通过IP网络发送的认证请求消息之后,还包括:
根据第一预设算法对所述IMSI和LAI进行计算,得到计算结果;
通过IP网络向所述认证服务器发送携带所述计算结果的认证确认消息,以使所述认证服务器确认所述LAI发送成功。
4.一种基于移动终端智能卡的用户认证方法,其特征在于,包括:
接收移动终端通过IP网络发送的注册响应消息,所述注册响应消息中携带国际移动用户识别码IMSI;
根据所述IMSI从移动通信网络获取所述移动终端的位置区识别码LAI,将所述LAI通过IP网络发送给所述移动终端;
根据所述IMSI和所述LAI生成认证密钥,并根据所述认证密钥认证所述移动终端。
5.根据权利要求4所述的方法,其特征在于,所述接收移动终端通过IP网络发送的注册响应消息之前,还包括:
接收移动通信网络发送的用户签约消息,所述用户签约消息包括与所述IMSI对应的公钥和私钥;
接收所述移动终端通过IP网络发送的配置请求消息,所述配置请求消息中携带有所述IMSI;
通过IP网络向所述移动终端发送配置响应消息,所述配置响应消息中携带与所述IMSI对应的公钥;
所述将所述LAI通过IP网络发送给所述移动终端,包括:
通过IP网络向所述移动终端发送认证请求消息,所述认证请求消息中携带有用所述IMSI对应的私钥加密过的LAI。
6.根据权利要求4所述的方法,其特征在于,所述根据所述IMSI从移动通信网络获取所述移动终端的位置区识别码LAI,包括:
向网关发送位置识别请求消息,所述位置识别请求消息中包括所述IMSI,以使所述网关根据所述IMSI从移动通信网络获取与所述IMSI对应的LAI;
接收所述网关发送的位置识别响应消息,所述位置识别响应消息中包括与所述IMSI对应的LAI。
7.根据权利要求4所述的方法,其特征在于,所述将所述LAI通过IP网络发送给所述移动终端之后,还包括:
接收所述移动终端通过IP网络发送的认证确认消息,所述认证确认消息中包括所述移动终端根据第一预设算法对所述IMSI和LAI进行计算得到的计算结果;
根据所述认证确认消息,确认所述LAI发送成功。
8.一种移动终端,其特征在于,包括:
注册响应发送模块,用于从移动终端智能卡中提取国际移动用户识别码IMSI,并通过IP网络向认证服务器发送注册响应消息,所述注册响应消息中携带有国际移动用户识别码IMSI,以使所述认证服务器从移动通信网络获取与所述IMSI对应的位置区识别码LAI;
识别码接收模块,用于接收所述认证服务器通过IP网络发送的认证请求消息,所述认证请求消息中携带有所述LAI;
第一密钥生成模块,用于根据所述IMSI和所述LAI生成认证密钥,并根据所述认证密钥认证所述认证服务器。
9.根据权利要求8所述的移动终端,其特征在于,所述移动终端还包括:
配置请求发送模块,用于通过IP网络向所述认证服务器发送配置请求消息,所述配置请求消息中携带有所述IMSI;
配置响应接收模块,用于接收所述认证服务器通过IP网络发送的配置响应消息,所述配置响应消息中携带与所述IMSI对应的公钥;
所述认证请求消息中的LAI是所述认证服务器用与所述公钥对应的私钥加密的;
所述移动终端还包括:
解密模块,用于通过所述公钥对所述认证请求消息中的LAI进行解密。
10.根据权利要求8所述的移动终端,其特征在于,所述移动终端还包括:
处理模块,用于根据第一预设算法对所述IMSI和LAI进行计算,得到计算结果;
确认消息发送模块,用于通过IP网络向所述认证服务器发送携带所述计算结果的认证确认消息,以使所述认证服务器确认所述LAI发送成功。
11.一种认证服务器,其特征在于,包括:
注册响应接收模块,用于接收移动终端通过IP网络发送的注册响应消息,所述注册响应消息中携带国际移动用户识别码IMSI;
识别码获取模块,用于根据所述IMSI从移动通信网络获取所述移动终端的位置区识别码LAI,将所述LAI通过IP网络发送给所述移动终端;
第二密钥生成模块,用于根据所述IMSI和所述LAI生成认证密钥,并根据所述认证密钥认证所述移动终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310070827.5A CN104038935B (zh) | 2013-03-06 | 2013-03-06 | 基于移动终端智能卡的用户认证方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310070827.5A CN104038935B (zh) | 2013-03-06 | 2013-03-06 | 基于移动终端智能卡的用户认证方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104038935A CN104038935A (zh) | 2014-09-10 |
| CN104038935B true CN104038935B (zh) | 2018-04-24 |
Family
ID=51469493
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310070827.5A Active CN104038935B (zh) | 2013-03-06 | 2013-03-06 | 基于移动终端智能卡的用户认证方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104038935B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106454821A (zh) * | 2016-02-01 | 2017-02-22 | 深圳市途鸽信息有限公司 | 虚拟用户识别模块鉴权方法和装置 |
| CN112566124B (zh) * | 2019-09-25 | 2024-06-18 | 紫光同芯微电子有限公司 | 密钥生成及加解密方法、装置以及sim卡芯片 |
| CN110602706B (zh) * | 2019-09-27 | 2023-02-10 | 中移物联网有限公司 | 一种入网方法、终端及服务器 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102111759A (zh) * | 2009-12-28 | 2011-06-29 | 中国移动通信集团公司 | 一种认证方法、系统和装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7813730B2 (en) * | 2006-10-17 | 2010-10-12 | Mavenir Systems, Inc. | Providing mobile core services independent of a mobile device |
| CN101197673B (zh) * | 2006-12-05 | 2011-08-10 | 中兴通讯股份有限公司 | 固定网络接入ims双向认证及密钥分发方法 |
| CN101610241B (zh) * | 2008-06-16 | 2012-11-21 | 华为技术有限公司 | 一种绑定认证的方法、系统和装置 |
| CN102638440A (zh) * | 2011-02-15 | 2012-08-15 | 中兴通讯股份有限公司 | 在ims网络中实现单点登录的方法和系统 |
-
2013
- 2013-03-06 CN CN201310070827.5A patent/CN104038935B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102111759A (zh) * | 2009-12-28 | 2011-06-29 | 中国移动通信集团公司 | 一种认证方法、系统和装置 |
Non-Patent Citations (1)
| Title |
|---|
| GSM系统中主要安全威胁防范机制的分析与设计;武巧荣;《中国优秀硕士学位论文全文数据库 信息科技辑》;20110315;第5.2.4章节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104038935A (zh) | 2014-09-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106161359B (zh) | 认证用户的方法及装置、注册可穿戴设备的方法及装置 | |
| CN1969580B (zh) | 移动通信系统中的安全 | |
| CN103416082B (zh) | 用于使用安全元件对远程站进行认证的方法 | |
| CN103339974B (zh) | 用户识别模块供应 | |
| CN105049442B (zh) | 一种网络切换方法及终端 | |
| JP2019169963A (ja) | 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成 | |
| US20090217038A1 (en) | Methods and Apparatus for Locating a Device Registration Server in a Wireless Network | |
| CN109803251A (zh) | 用于通信系统中的隐私管理实体选择的方法和装置 | |
| CN109314855A (zh) | 能够迁移订阅的方法 | |
| CN104584609B (zh) | 用于具有密钥本地生成的智能卡初始个性化的方法和装置 | |
| CN107079023A (zh) | 用于下一代蜂窝网络的用户面安全 | |
| CN102594555A (zh) | 数据的安全保护方法、网络侧实体和通信终端 | |
| CN105379328A (zh) | 用于执行移动网络切换的方法和装置 | |
| CN103546886B (zh) | 通用集成电路卡的数据配置方法、装置及系统 | |
| CN105357660A (zh) | 一种虚拟sim/usim卡的实现方法 | |
| CN101102186A (zh) | 通用鉴权框架推送业务实现方法 | |
| WO2014177938A2 (en) | Digital credential with embedded authentication instructions | |
| CN108566275A (zh) | 身份认证方法、装置及区块链节点 | |
| CN103957524B (zh) | 一种基于分级身份签名的PMIPv6网络双向接入认证系统及方法 | |
| CN106465109A (zh) | 蜂窝网络认证 | |
| CN104038935B (zh) | 基于移动终端智能卡的用户认证方法及设备 | |
| CN102546523B (zh) | 一种互联网接入的安全认证方法、系统和设备 | |
| CN108259486A (zh) | 基于证书的端到端密钥交换方法 | |
| CN105515773B (zh) | 便携式设备、用户设备和数据交互方法 | |
| CN106713298B (zh) | 一种通信方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |