CN104683103A - 一种终端设备登录认证的方法和设备 - Google Patents
一种终端设备登录认证的方法和设备 Download PDFInfo
- Publication number
- CN104683103A CN104683103A CN201310631775.4A CN201310631775A CN104683103A CN 104683103 A CN104683103 A CN 104683103A CN 201310631775 A CN201310631775 A CN 201310631775A CN 104683103 A CN104683103 A CN 104683103A
- Authority
- CN
- China
- Prior art keywords
- kmc
- terminal equipment
- information
- request message
- challenge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种终端设备登录认证的方法和设备,内容包括:在IMS网络系统中引入加密应用服务器和密钥管理中心,接收终端设备发送的包含了终端设备的标识信息和用于验证所述KMC身份的第一挑战信息的登录请求消息;向所述终端设备发送包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息的认证请求消息;并接收EAS转发的终端设备发送的包含了第二挑战应答信息的认证响应消息;根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录,这样在KMC侧对终端设备的认证机制以及在终端设备侧对KMC的认证机制,有针对性地解决了IMS网络保密通信业务系统中终端设备与网络侧设备相互认证的问题。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于保密通信业务系统的终端设备登录认证的方法和设备。
背景技术
随着通信技术的发展,通信安全在人们心中的意识越来越强。为了保证通信过程中终端设备和/或网络设备身份的真实性,3GPP(3rd GenerationPartnership Project,第三代移动通信标准化组织)定义了AKA(Authenticationand Key Agreement,认证与密钥协商)认证机制来实现终端设备与网络设备之间的认证。
其中,所谓AKA认证机制是基于终端侧和网络侧设置的预共享密钥,采用挑战应答方式实现终端设备与网络设备之间的相互认证。
具体地,AKA认证机制在实施的过程中,网络侧身份认证实体(例如:VLR(Visited Location Register,访问位置寄存器)/SGSN(Serving GSN,服务GPRS支持节点))需要从归属网络HLR(Home Location Register,归属位置寄存器)中获取认证向量,利用获取的认证向量完成终端设备与网络设备之间的身份认证。也就是说,在网络侧认证实体与归属网络HLR之间只有建立安全的传输接口,才能保证认证向量传输的安全性。
由此可见,保存了认证向量的HLR由运营商进行管理和控制,并且运营商需要在认证实体与归属网络HLR之间建立安全传输认证向量的通道。
随着信息安全技术的发展,一种保密通信业务系统应运而生。该系统基于IMS网络建立,包含了加密应用服务器和密钥管理中心,其中,密钥管理中心由用户自己部署。该系统网络侧设备与终端设备之间的认证流程需要通过IMS网络完成,也就是说,在认证实体密钥管理中心和归属网络HLR之间不存在用于传输认证向量的安全接口,因此,目前使用的AKA认证机制无法应用在保密通信业务系统中。
因此,如何在保密通信业务系统中完成终端设备与网络侧设备之间的认证成为需要解决的重要问题。
发明内容
本发明实施例提供了一种终端设备登录认证的方法和设备,用于解决如何在保密通信业务系统中完成终端设备与网络侧设备之间的认证问题。
一种终端设备登录认证的方法,应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中,包括:
所述KMC接收所述EAS转发的终端设备发送的登录请求消息,其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证所述KMC身份的第一挑战信息;
所述KMC通过所述EAS向所述终端设备发送认证请求消息,其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息;
所述KMC接收所述EAS转发的所述终端设备发送的认证响应消息,其中,所述认证响应消息是所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时发送的,所述认证响应消息中包含了第二挑战应答信息;
所述KMC根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录。
所述第一挑战应答信息通过以下方式确定的:
所述KMC根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息。
所述用于验证所述KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息;
所述KMC利用所述共享密钥信息对所述第一挑战信息进行计算,得到第一挑战应答信息,包括:
所述KMC利用所述共享密钥信息对所述第一随机信息进行加密运算,得到第一加密结果,并将得到的第一加密结果作为第一挑战应答信息;
其中,所述共享密钥信息是用户在部署KMC时预先存储在KMC内部的,并在KMC内部存储了共享密钥信息与用户使用终端设备的标识信息之间的对应关系。
所述用于验证所述终端设备的第二挑战信息为所述KMC为验证待请求登录的所述终端设备产生的第二随机信息;
所述KMC根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,包括:
所述KMC利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到第二加密结果;并
将所述第二挑战应答信息与所述第二加密结果进行比较;
所述KMC在确定所述第二挑战应答信息与所述第二加密结果相同时,确定对所述终端设备的登录认证通过;
其中,所述第二挑战应答信息是所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时,利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到的第三加密结果;
其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
所述KMC在允许所述终端设备登录时,所述方法还包括:
所述KMC通过所述EAS向所述终端设备发送登录接受消息,其中,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
一种终端设备登录认证的方法,应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中,包括:
所述终端设备通过所述EAS向KMC发送登录请求消息,其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证KMC身份的第一挑战信息;
所述终端设备通过所述EAS接收所述KMC发送的认证请求消息,其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息,其中,所述第一挑战应答信息是所述KMC是根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算得到;
所述终端设备根据所述第一挑战应答信息,确定对所述KMC认证通过,并通过EAS向所述KMC发送认证响应消息,其中,所述认证响应消息中包含了第二挑战应答信息,使得所述KMC根据所述第二挑战应答信息对所述终端设备进行登录认证。
所述终端设备通过所述EAS向KMC发送登录请求消息,包括:
所述终端设备通过IMS网络信令向所述EAS发送登录请求消息,其中,所述登录请求消息用于表征终端设备需要登录KMC;
所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息,确定所述终端设备所属的KMC,并将接收到的所述登录请求消息转发给确定的所述KMC。
所述终端设备通过所述EAS向KMC发送登录请求消息,包括:
所述终端设备通过IMS网络信令向所述EAS发送登录请求消息,其中,所述登录请求消息用于表征终端设备需要登录KMC;
所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息确定所述终端设备所属的用户域以及所述终端设备的安全等级信息,并根据所述终端设备的安全等级信息,确定所述终端设备所属的至少一个KMC,并将接收到的所述登录请求消息分别转发给确定的所述至少一个KMC;
其中,所述用户域内包含了至少一个KMC,每一个KMC对应一个安全等级。
所述用于验证KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息;
所述终端设备根据所述第一挑战应答信息,确定对所述KMC认证通过,包括:
所述终端设备利用本地存储的共享密钥对所述第一随机信息进行加密运算,得到第四加密结果;并
将所述第一挑战应答信息与所述第四加密结果进行比较;
所述终端设备在确定所述第一挑战应答信息与所述第四加密结果相同时,确定对所述KMC认证通过;
其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
所述方法还包括:
所述终端设备通过所述EAS接收所述KMC发送的登录接受消息,其中,所述登录接受消息是所述KMC根据接收到的所述第二挑战应答信息对所述终端设备认证通过后发送的,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,并指示该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
一种用于对终端设备进行登录认证的密钥管理中心,应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中,包括:
接收模块,用于接收所述EAS转发的终端设备发送的登录请求消息,其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证所述KMC身份的第一挑战信息;
发送模块,用于通过所述EAS向所述终端设备发送认证请求消息,其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息;
所述接收模块,还用于接收所述EAS转发的所述终端设备发送的认证响应消息,其中,所述认证响应消息是所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时发送的,所述认证响应消息中包含了第二挑战应答信息;
登录认证模块,用于根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录。
所述密钥管理中心还包括:应答模块,其中:
所述应答模块,用于根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息。
所述用于验证所述KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息;
所述应答模块,具体用于利用所述共享密钥信息对所述第一随机信息进行加密运算,得到第一加密结果,并将得到的第一加密结果作为第一挑战应答信息;
其中,所述共享密钥信息是用户在部署KMC时预先存储在KMC内部的,并在KMC内部存储了共享密钥信息与用户使用终端设备的标识信息之间的对应关系。
所述用于验证所述终端设备的第二挑战信息为所述KMC为验证待请求登录的所述终端设备产生的第二随机信息;
所述登录认证模块,具体用于利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到第二加密结果;并将所述第二挑战应答信息与所述第二加密结果进行比较;
在确定所述第二挑战应答信息与所述第二加密结果相同时,确定对所述终端设备的登录认证通过;
其中,所述第二挑战应答信息是所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时,利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到的第三加密结果;
终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
所述发送模块,还用于在允许所述终端设备登录时,通过所述EAS向所述终端设备发送登录接受消息,其中,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
一种终端设备,应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中,包括:
发送模块,用于通过所述EAS向KMC发送登录请求消息,其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证KMC身份的第一挑战信息;
接收模块,用于通过所述EAS接收所述KMC发送的认证请求消息,其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息,其中,所述第一挑战应答信息是所述KMC是根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算得到;
认证模块,用于根据所述第一挑战应答信息,确定对所述KMC认证通过,并通过EAS向所述KMC发送认证响应消息,其中,所述认证响应消息中包含了第二挑战应答信息,使得所述KMC根据所述第二挑战应答信息对所述终端设备进行登录认证。
所述发送模块,具体用于通过IMS网络信令向所述EAS发送登录请求消息,其中,所述登录请求消息用于表征终端设备需要登录KMC;使得所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息,确定所述终端设备所属的KMC,并将接收到的所述登录请求消息转发给确定的所述KMC。
所述发送模块,具体用于通过IMS网络信令向所述EAS发送登录请求消息,其中,所述登录请求消息用于表征终端设备需要登录KMC;使得所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息确定所述终端设备所属的用户域以及所述终端设备的安全等级信息,并根据所述终端设备的安全等级信息,确定所述终端设备所属的至少一个KMC,并将接收到的所述登录请求消息分别转发给确定的所述至少一个KMC;
其中,所述用户域内包含了至少一个KMC,每一个KMC对应一个安全等级。
所述用于验证KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息;
所述认证模块,具体用于利用本地存储的共享密钥对所述第一随机信息进行加密运算,得到第四加密结果;并将所述第一挑战应答信息与所述第四加密结果进行比较;在确定所述第一挑战应答信息与所述第四加密结果相同时,确定对所述KMC认证通过;
其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
所述接收模块,还用于通过所述EAS接收所述KMC发送的登录接受消息,其中,所述登录接受消息是所述KMC根据接收到的所述第二挑战应答信息对所述终端设备认证通过后发送的,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
本发明有益效果如下:
本发明实施例在IMS网络系统中引入加密应用服务器和密钥管理中心,主要用于执行保密通信业务,通过所述KMC接收所述EAS转发的终端设备发送的包含了所述终端设备的标识信息和用于验证所述KMC身份的第一挑战信息的登录请求消息,根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息;再通过所述EAS向所述终端设备发送包含了所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息的认证请求消息;并接收所述EAS转发的所述终端设备发送的包含了第二挑战应答信息的认证响应消息;根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录,为后续保密通信业务的执行奠定基础。由此可见,由于在部署KMC时为终端设备和KMC存储共享密钥,利用IMS网络信令实现在KMC侧对终端设备的认证机制以及在终端设备侧对KMC的认证机制,有针对性地解决了IMS网络保密通信业务系统中终端设备与网络侧设备相互认证的问题,有效增加了保密通信业务系统中保密通信业务执行的安全性。
附图说明
图1为本发明实施例一提供的一种终端设备登录认证的方法的流程示意图;
图2为本发明实施例二提供的一种终端设备登录认证的方法的流程示意图;
图3为本发明实施例三提供的一种终端设备登录认证的方法的流程示意图;
图4为本发明实施例四提供的一种用于对终端设备进行登录认证的密钥管理中心的结构示意图;
图5为本发明实施例五提供的一种终端设备的结构示意图。
具体实施方式
为了实现本发明的目的,本发明实施例提供了一种终端设备登录认证的方法和设备,在IMS网络系统中引入加密应用服务器和密钥管理中心,通过所述KMC接收所述EAS转发的终端设备发送的包含了所述终端设备的标识信息和用于验证所述KMC身份的第一挑战信息的登录请求消息,根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息;再通过所述EAS向所述终端设备发送包含了所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息的认证请求消息;并接收所述EAS转发的所述终端设备发送的包含了第二挑战应答信息的认证响应消息;根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录,为后续保密通信业务的执行奠定基础。
由此可见,由于在部署KMC时为终端设备和KMC存储共享密钥,利用IMS网络信令实现在KMC侧对终端设备的认证机制以及在终端设备侧对KMC的认证机制,有针对性地解决了IMS网络保密通信业务系统中终端设备与网络侧设备相互认证的问题,有效增加了保密通信业务系统中保密通信业务执行的安全性。
需要说明的是,本发明实施例应用的系统架构包括但不限于IMS核心网络(例如:包含了SBC(Session Border Controller,会话边界控制器)、P-CSCF(Proxy Call Session Control Function,代理呼叫会话控制功能)、S-CSCF(Serving Call Session Control Function,服务呼叫会话控制功能)、HSS(HomeSubscriber Server,归属用户服务器)、MGCF(Media Gateway Control Function,媒体网关控制功能)、MGW(Media Gateway,媒体网关)等网元设备;此外,当系统构架中包含了SIP(Session Initiation Protocol,会话初始协议)服务器时,也可以使用本发明实施例提供的技术方案,实现由SIP系统为用户提供保密通信业务,这里不做具体限定。
本发明各个实施例中涉及的加密应用服务器(EAS,Encryption ApplicationServer),用于为终端设备提供保密通信业务(其中,保密通信业务包括但不限于加密语音通话业务、加密视频通话业务、加密会议通话业务、加密短信业务、加密文件传输业务、加密邮件业务等)。EAS具备的功能包括:一方面,EAS兼容有IMS网络系统中AS(Application Server,应用服务器)会话业务逻辑出发功能,能够从IMS网络的核心实体S-CSCF中接收终端设备发起的业务请求消息,触发保密通信业务以及负责各种控制面呼叫处理和连接控制,并对执行的业务进行计费;另一方面,EAS通过设置的安全接口与密钥管理中心(KMC,Key Management Center)进行通信,能够根据业务处理逻辑完成终端设备在KMC上的注册、身份鉴权、密钥管理等方面信息的传输,支持终端设备与KMC之间的信令交互。
本发明各个实施例中涉及的密钥管理中心(KMC),用于对保密通信业务需要的密钥进行管理,具体包括但不限于:生成密钥、注入密钥、分发密钥、存储密钥、归档密钥、导出密钥、更新密钥以及销毁密钥等在内的全生命周期的密钥管理。KMC通过安全接口与EAS进行通信,能够通过EAS接收来自终端设备的密码请求消息,完成终端设备的注册、身份鉴权、密钥分发等操作,还能够通过EAS向终端设备中的密码模块下发控制指令,实现对终端设备中的密码模块的远程控制,例如:KMC实现对终端设备中包含了密码模块的管理,能够远程销毁终端设备中的密码模块。
此外,为了提升用户对运营商保密业务服务的信任度,实现用户对KMC的自行部署。
用户在部署KMC时,在部署的KMC中存储共享密钥,并确定存储的共享密钥与用户使用终端设备的标识信息之间的对应关系。也就是说,用户在使用终端设备进行通信时,可以将存储在KMC内的共享密钥存储在终端设备中。
需要说明的是,共享密钥的数量不限,并且终端设备的安全等级不同对应的共享密钥也可以不相同。终端设备的安全等级相同对应的共享密钥可以相同,也可以不相同。不同的终端设备可以使用一个共享密钥,这里不做具体限定。
本发明各个实施例中涉及的终端设备,该终端设备包含了IP通信模块和密码通信模块。其中,IP通信模块支持SIP通信协议,具有IMS通信能力,支持终端在IMS系统的登录/注销、身份认证、呼叫控制与处理等功能;密码模块负责终端密钥管理并执行加解密算法,在控制面,实现与KMC进行信令交互获得通信业务密钥,在媒体面,利用获取的通信业务密钥建立与对端设备的安全关联,实现通信业务的保密传输。
需要说明的是,本发明实施例中涉及到的第一加密结果、第二加密结果、第三加密结果以及第四加密结果中的“第一”、“第二”、“第三”以及“第四”没有特殊含义,只是用来区分不同主体计算出的不同结果。
例如:本发明实施例中第一加密结果是KMC在接收终端设备发送的第一挑战信息时利用共享密钥进行加密后得到的;
第二加密结果是KMC利用共享密钥对自身产生的第二挑战信息进行加密后得到的;
第三加密结果是终端设备在接收到KMC发送的第二挑战信息时利用共享密钥进行加密后得到的;
第四加密结果是终端设备利用共享密钥对自身产生的第一挑战信息进行加密后得到的。
下面结合说明书附图对本发明各个实施例进行详细描述。
实施例一:
如图1所示,为本发明实施例一提供的一种终端设备登录认证的方法的流程示意图,本发明实施例一的方案应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中。所述方法可以如下所述。
步骤101:所述KMC接收所述EAS转发的终端设备发送的登录请求消息。
其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证所述KMC身份的第一挑战信息。
在步骤101中,终端设备在开机之后,通过IP网络接入IMS核心网,并完成IMS网络以及业务注册。
终端设备在准备开展保密通信业务时,发起登录请求消息,该登录请求消息用于表征终端设备需要登录密钥管理中心。
终端设备通过IMS网络信令将登录请求消息发送给加密应用服务器(EAS),并告知EAS触发终端设备登录KMC的登录流程。
需要说明的是,用于承载发送登录请求消息的IMS网络信令包括但不限于:IMS系统的MESSAGE消息、OPTIONS消息、INFO等SIP信令消息,这里不做限定。
此时,EAS根据接收到的所述登录请求消息中包含了终端设备的标识信息,确定所述终端设备所属的密钥管理中心(KMC),将接收到的所述登录请求消息转发给确定的所述KMC。
需要说明的是,EAS在将接收到的所述登录请求消息转发给确定的所述KMC时,可以根据传输需要对接收到的登录请求消息进行协议转换,并通过与KMC之间的安全接口,将转换后的登录请求消息发送给KMC,其中,转换后的登录请求消息中包含了终端设备的标识信息和用于验证所述KMC身份的第一挑战信息。
步骤102:所述KMC根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息。
在步骤102中,所述KMC在接收到终端设备的登录请求消息之后,根据所述登录请求消息中包含的所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息,以协助完成终端设备对KMC的认证。
需要说明的是,所述第一挑战信息可以是随机数信息,还可以是其他形式的信息,这里不做限定。
假设所述用于验证所述KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息。
此时,所述KMC利用所述共享密钥信息对所述第一挑战信息进行计算,得到第一挑战应答信息,具体包括:
所述KMC利用所述共享密钥信息对所述第一随机信息进行加密运算,得到第一加密结果,并将得到的第一加密结果作为第一挑战应答信息。
其中,所述共享密钥信息是用户在部署KMC时预先存储在KMC内部的,并在KMC内部存储了共享密钥信息与用户使用终端设备的标识信息之间的对应关系。
步骤103:所述KMC通过所述EAS向所述终端设备发送认证请求消息。
其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息。
在步骤103中,所述KMC将用于认证终端设备的认证请求消息发送给EAS,告知EAS将接收到的认证请求消息转发给所述终端设备,并在所述认证请求消息中携带了所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息。
此时,EAS通过IMS网络信令将接收到的认证请求消息下发给终端设备。
其中,用于承载发送认证请求消息的IMS网络信令包括但不限于:IMS系统的MESSAGE消息、OPTIONS消息、INFO等SIP信令消息,这里不做限定。
需要说明的是,EAS在将接收到的所述认证请求消息转发给终端设备时,可以根据传输需要对接收到的认证请求消息进行协议转换,并在转换后的认证请求消息中携带所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息,发送给终端设备。
步骤104:所述KMC接收所述EAS转发的所述终端设备发送的认证响应消息。
其中,所述认证响应消息是所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时发送的,所述认证响应消息中包含了第二挑战应答信息。
在步骤104中,首先,终端设备在接收到EAS发送的认证请求消息时,对发送认证请求消息的KMC进行认证。
具体地,当终端设备为验证KMC生成的所述用于验证KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息时,所述终端设备利用本地存储的共享密钥对所述第一随机信息进行加密运算,得到第四加密结果;并将所述第一挑战应答信息与所述第四加密结果进行比较;在确定所述第一挑战应答信息与所述第四加密结果相同时,确定对所述KMC认证通过。
其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
其次,终端设备根据接收到的所述认证请求消息中包含的第二挑战信息,生成第二挑战应答信息,用于响应KMC对所述终端设备的认证。
具体地,终端设备利用本地存储的共享密钥对接收到的第二挑战信息进行加密运算,得到第二挑战应答信息。
当所述用于验证所述终端设备的第二挑战信息为所述KMC为验证待请求登录的所述终端设备产生的第二随机信息时,所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时,利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到的第三加密结果,并将第三加密结果作为第二挑战应答信息。
其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
此时,终端设备通过EAS向所述KMC发送认证响应消息。
其中,所述认证响应消息中包含了第二挑战应答信息。
步骤105:所述KMC根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录。
在步骤105中,当所述用于验证所述终端设备的第二挑战信息为所述KMC为验证待请求登录的所述终端设备产生的第二随机信息时,所述KMC根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,具体包括:
所述KMC利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到第二加密结果;并将所述第二挑战应答信息与所述第二加密结果进行比较;在确定所述第二挑战应答信息与所述第二加密结果相同时,确定对所述终端设备的登录认证通过。
在本发明的另一个实施例中,所述KMC在允许所述终端设备登录时,所述方法还包括:
所述KMC通过所述EAS向所述终端设备发送登录接受消息。
其中,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
此时,EAS通过IMS网络信令将接收到的登录接受消息下发给终端设备。
其中,用于承载发送登录接受消息的IMS网络信令包括但不限于:IMS系统的MESSAGE消息、OPTIONS消息、INFO等SIP信令消息,这里不做限定。
需要说明的是,EAS在将接收到的所述登录接受消息转发给终端设备时,可以根据传输需要对接收到的认证请求消息进行协议转换,并在转换后的登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,并指示该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
通过本发明实施例一的方案,在IMS网络系统中引入加密应用服务器和密钥管理中心,通过所述KMC接收所述EAS转发的终端设备发送的包含了所述终端设备的标识信息和用于验证所述KMC身份的第一挑战信息的登录请求消息,根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息;再通过所述EAS向所述终端设备发送包含了所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息的认证请求消息;并接收所述EAS转发的所述终端设备发送的包含了第二挑战应答信息的认证响应消息;根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录,为后续保密通信业务的执行奠定基础。
由此可见,由于在部署KMC时为终端设备和KMC存储共享密钥,利用IMS网络信令实现在KMC侧对终端设备的认证机制以及在终端设备侧对KMC的认证机制,有针对性地解决了IMS网络保密通信业务系统中终端设备与网络侧设备相互认证的问题,有效增加了保密通信业务系统中保密通信业务执行的安全性。
实施例二:
如图2所示,为本发明实施例二提供的一种终端设备登录认证的方法的流程示意图。本发明实施例二是与本发明实施例一在同一发明构思下的发明,应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中,所述方法可以如下所述。
步骤201:所述终端设备通过所述EAS向KMC发送登录请求消息。
其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证KMC身份的第一挑战信息。
在步骤201中,所述终端设备通过IMS网络信令向所述EAS发送登录请求消息。
其中,所述登录请求消息用于表征终端设备需要登录KMC。
此时,所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息,确定所述终端设备所属的KMC,并将接收到的所述登录请求消息转发给确定的所述KMC。
具体地,终端设备在开机之后,通过IP网络接入IMS核心网,并完成IMS网络以及业务注册。
终端设备在准备开展保密通信业务时,发起登录请求消息,该登录请求消息用于表征终端设备需要登录密钥管理中心。
终端设备通过IMS网络信令将登录请求消息发送给加密应用服务器(EAS),并告知EAS触发终端设备登录KMC的登录流程。
需要说明的是,用于承载发送登录请求消息的IMS网络信令包括但不限于:IMS系统的MESSAGE消息、OPTIONS消息、INFO等SIP信令消息,这里不做限定。
此时,EAS根据接收到的所述登录请求消息中包含了终端设备的标识信息,确定所述终端设备所属的密钥管理中心(KMC),将接收到的所述登录请求消息转发给确定的所述KMC。
需要说明的是,EAS在将接收到的所述登录请求消息转发给确定的所述KMC时,可以根据传输需要对接收到的登录请求消息进行协议转换,并通过与KMC之间的安全接口,将转换后的登录请求消息发送给KMC,其中,转换后的登录请求消息中包含了终端设备的标识信息和用于验证所述KMC身份的第一挑战信息。
可选地,所述终端设备通过IMS网络信令向所述EAS发送登录请求消息。
其中,所述登录请求消息用于表征终端设备需要登录KMC。
此时,所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息确定所述终端设备所属的用户域以及所述终端设备的安全等级信息,并根据所述终端设备的安全等级信息,确定所述终端设备所属的至少一个KMC,并将接收到的所述登录请求消息分别转发给确定的所述至少一个KMC。
其中,所述用户域内包含了至少一个KMC,每一个KMC对应一个安全等级。
需要说明的是,EAS本地可以存储有终端设备的安全等级信息,也可以通过信令交互的方式从其他设备获取终端设备的安全等级信息,这里不做限定。
步骤202:所述终端设备通过所述EAS接收所述KMC发送的认证请求消息。
其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息。
所述第一挑战应答信息是所述KMC是根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述登录请求消息中包含的所述第一挑战信息进行加密运算得到的。
在步骤202中,所述KMC将用于认证终端设备的认证请求消息发送给EAS,告知EAS将接收到的认证请求消息转发给所述终端设备,并在所述认证请求消息中携带了所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息。
此时,EAS通过IMS网络信令将接收到的认证请求消息下发给终端设备。
其中,用于承载发送认证请求消息的IMS网络信令包括但不限于:IMS系统的MESSAGE消息、OPTIONS消息、INFO等SIP信令消息,这里不做限定。
需要说明的是,EAS在将接收到的所述认证请求消息转发给终端设备时,可以根据传输需要对接收到的认证请求消息进行协议转换,并在转换后的认证请求消息中携带所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息,发送给终端设备。
步骤203:所述终端设备根据所述第一挑战应答信息,确定对所述KMC认证通过,并通过EAS向所述KMC发送认证响应消息。
其中,所述认证响应消息中包含了第二挑战应答信息,使得所述KMC根据所述第二挑战应答信息对所述终端设备进行登录认证。
在步骤203中,当所述用于验证KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息时,所述终端设备利用本地存储的共享密钥对所述第一随机信息进行加密运算,得到第四加密结果;并将所述第一挑战应答信息与所述第四加密结果进行比较;在确定所述第一挑战应答信息与所述第四加密结果相同时,确定对所述KMC认证通过。
其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
所述终端设备在对所述KMC认证通过时,根据接收到的所述认证请求消息中包含的第二挑战信息,生成第二挑战应答信息,用于响应KMC对所述终端设备的认证。
具体地,终端设备利用本地存储的共享密钥对接收到的第二挑战信息进行加密运算,得到第二挑战应答信息。
当所述用于验证所述终端设备的第二挑战信息为所述KMC为验证待请求登录的所述终端设备产生的第二随机信息时,所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时,利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到的第三加密结果,并将第三加密结果作为第二挑战应答信息。
其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
此时,终端设备通过EAS向所述KMC发送认证响应消息。
其中,所述认证响应消息中包含了第二挑战应答信息。
步骤204:所述终端设备通过所述EAS接收所述KMC发送的登录接受消息。
其中,所述登录接受消息是所述KMC根据接收到的所述第二挑战应答信息对所述终端设备认证通过后发送的,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
具体地,所述KMC通过所述EAS向所述终端设备发送登录接受消息。
此时,EAS通过IMS网络信令将接收到的登录接受消息下发给终端设备。
其中,用于承载发送登录接受消息的IMS网络信令包括但不限于:IMS系统的MESSAGE消息、OPTIONS消息、INFO等SIP信令消息,这里不做限定。
需要说明的是,EAS在将接收到的所述登录接受消息转发给终端设备时,可以根据传输需要对接收到的认证请求消息进行协议转换,并在转换后的登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,并指示该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
实施例三:
如图3所示,为本发明实施例三提供的一种终端设备登录认证的方法的流程示意图,本发明实施例三是与本发明实施例一~本发明实施例二在同一发明构思下的发明,所述方法可以如下所述。
步骤1:所述终端设备通过所述EAS向KMC发送登录请求消息。
其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证KMC身份的第一挑战信息。
所述终端设备通过IMS网络信令向所述EAS发送登录请求消息。
其中,所述登录请求消息用于表征终端设备需要登录KMC;
此时,所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息,确定所述终端设备所属的KMC,并将接收到的所述登录请求消息转发给确定的所述KMC。
具体地,终端设备在开机之后,通过IP网络接入IMS核心网,并完成IMS网络以及业务注册。
终端设备在准备开展保密通信业务时,发起登录请求消息,该登录请求消息用于表征终端设备需要登录密钥管理中心。
终端设备通过IMS网络信令将登录请求消息发送给加密应用服务器(EAS),并告知EAS触发终端设备登录KMC的登录流程。
需要说明的是,用于承载发送登录请求消息的IMS网络信令包括但不限于:IMS系统的MESSAGE消息、OPTIONS消息、INFO等SIP信令消息,这里不做限定。
此时,EAS根据接收到的所述登录请求消息中包含了终端设备的标识信息,确定所述终端设备所属的密钥管理中心(KMC),将接收到的所述登录请求消息转发给确定的所述KMC。
需要说明的是,EAS在将接收到的所述登录请求消息转发给确定的所述KMC时,可以根据传输需要对接收到的登录请求消息进行协议转换,并通过与KMC之间的安全接口,将转换后的登录请求消息发送给KMC,其中,转换后的登录请求消息中包含了终端设备的标识信息和用于验证所述KMC身份的第一挑战信息。
可选地,所述终端设备通过IMS网络信令向所述EAS发送登录请求消息。
其中,所述登录请求消息用于表征终端设备需要登录KMC;
此时,所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息确定所述终端设备所属的用户域以及所述终端设备的安全等级信息,并根据所述终端设备的安全等级信息,确定所述终端设备所属的至少一个KMC,并将接收到的所述登录请求消息分别转发给确定的所述至少一个KMC。
其中,所述用户域内包含了至少一个KMC,每一个KMC对应一个安全等级。
步骤2:所述KMC接收所述EAS转发的终端设备发送的登录请求消息。
步骤3:所述KMC根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息。
所述KMC在接收到终端设备的登录请求消息之后,根据所述登录请求消息中包含的所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息,以协助完成终端设备对KMC的认证。
需要说明的是,所述第一挑战信息可以是随机数信息,还可以是其他形式的信息,这里不做限定。
假设所述用于验证所述KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息。
此时,所述KMC利用所述共享密钥信息对所述第一挑战信息进行计算,得到第一挑战应答信息,具体包括:
所述KMC利用所述共享密钥信息对所述第一随机信息进行加密运算,得到第一加密结果,并将得到的第一加密结果作为第一挑战应答信息。
其中,所述共享密钥信息是用户在部署KMC时预先存储在KMC内部的,并在KMC内部存储了共享密钥信息与用户使用终端设备的标识信息之间的对应关系。
步骤4:所述KMC通过所述EAS向所述终端设备发送认证请求消息。
其中,所述认证请求消息中包含了所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息。
所述KMC将用于认证终端设备的认证请求消息发送给EAS,告知EAS将接收到的认证请求消息转发给所述终端设备,并在所述认证请求消息中携带了所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息。
此时,EAS通过IMS网络信令将接收到的认证请求消息下发给终端设备。
其中,用于承载发送认证请求消息的IMS网络信令包括但不限于:IMS系统的MESSAGE消息、OPTIONS消息、INFO等SIP信令消息,这里不做限定。
需要说明的是,EAS在将接收到的所述认证请求消息转发给终端设备时,可以根据传输需要对接收到的认证请求消息进行协议转换,并在转换后的认证请求消息中携带所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息,发送给终端设备。
步骤5:所述终端设备通过所述EAS接收所述KMC发送的认证请求消息。
其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息。
步骤6:所述终端设备根据所述第一挑战应答信息,确定对所述KMC认证通过,并通过EAS向所述KMC发送认证响应消息。
其中,所述认证响应消息中包含了第二挑战应答信息,使得所述KMC根据所述第二挑战应答信息对所述终端设备进行登录认证。
当所述用于验证KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息时,所述终端设备利用本地存储的共享密钥对所述第一随机信息进行加密运算,得到第四加密结果;并将所述第一挑战应答信息与所述第四加密结果进行比较;在确定所述第一挑战应答信息与所述第四加密结果相同时,确定对所述KMC认证通过。
其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
所述终端设备在对所述KMC认证通过时,根据接收到的所述认证请求消息中包含的第二挑战信息,生成第二挑战应答信息,用于响应KMC对所述终端设备的认证。
具体地,终端设备利用本地存储的共享密钥对接收到的第二挑战信息进行加密运算,得到第二挑战应答信息。
当所述用于验证所述终端设备的第二挑战信息为所述KMC为验证待请求登录的所述终端设备产生的第二随机信息时,所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时,利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到的第三加密结果,并将第三加密结果作为第二挑战应答信息。
其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
此时,终端设备通过EAS向所述KMC发送认证响应消息。
其中,所述认证响应消息中包含了第二挑战应答信息。
步骤7:所述KMC接收所述EAS转发的所述终端设备发送的认证响应消息。
步骤8:所述KMC根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录。
当所述用于验证所述终端设备的第二挑战信息为所述KMC为验证待请求登录的所述终端设备产生的第二随机信息时,所述KMC根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,具体包括:
所述KMC利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到第二加密结果;并将所述第二挑战应答信息与所述第二加密结果进行比较;在确定所述第二挑战应答信息与所述第二加密结果相同时,确定对所述终端设备的登录认证通过。
步骤9:所述KMC在允许所述终端设备登录时,通过所述EAS向所述终端设备发送登录接受消息。
其中,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
此时,EAS通过IMS网络信令将接收到的登录接受消息下发给终端设备。
其中,用于承载发送登录接受消息的IMS网络信令包括但不限于:IMS系统的IP MESSAGE消息、OPTIONS消息、INFO等SIP信令消息,这里不做限定。
需要说明的是,EAS在将接收到的所述登录接受消息转发给终端设备时,可以根据传输需要对接收到的认证请求消息进行协议转换,并在转换后的登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
步骤10:所述终端设备通过所述EAS接收所述KMC发送的登录接受消息。
所述终端设备将接收到的登录请求消息中包含的保护密钥存储在本地。
实施例四:
如图4所示,为本发明实施例四提供的一种用于对终端设备进行登录认证的密钥管理中心的结构示意图,本发明实施例四是与本发明实施例一~本发明实施例三在同一发明构思下的发明,主要应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中,所述密钥管理中心包括:接收模块11、应答模块12、发送模块13和登录认证模块14,其中:
接收模块11,用于接收所述EAS转发的终端设备发送的登录请求消息,其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证所述KMC身份的第一挑战信息;
发送模块13,用于通过所述EAS向所述终端设备发送认证请求消息,其中,所述认证请求消息中包含了所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息;
所述接收模块11,还用于接收所述EAS转发的所述终端设备发送的认证响应消息,其中,所述认证响应消息是所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时发送的,所述认证响应消息中包含了第二挑战应答信息;
登录认证模块14,用于根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录。
所述密钥管理中心还包括:应答模块12,其中:
应答模块12,用于根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息;
具体地,所述用于验证所述KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息;
所述应答模块12,具体用于利用所述共享密钥信息对所述第一随机信息进行加密运算,得到第一加密结果,并将得到的第一加密结果作为第一挑战应答信息;其中,所述共享密钥信息是用户在部署KMC时预先存储在KMC内部的,并在KMC内部存储了共享密钥信息与用户使用终端设备的标识信息之间的对应关系。
具体地,所述用于验证所述终端设备的第二挑战信息为所述KMC为验证待请求登录的所述终端设备产生的第二随机信息;
所述登录认证模块14,具体用于利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到第二加密结果;并将所述第二挑战应答信息与所述第二加密结果进行比较;在确定所述第二挑战应答信息与所述第二加密结果相同时,确定对所述终端设备的登录认证通过;
其中,所述第二挑战应答信息是所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时,利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到的第三加密结果;
其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
具体地,所述发送模块13,还用于在允许所述终端设备登录时,通过所述EAS向所述终端设备发送登录接受消息,其中,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,并指示该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
需要说明的是,本发明实施例四所述的密钥管理中心可以通过硬件实现的物理实体单元,也可以是通过软件实现的逻辑部件,这里不做限定。
实施例五:
如图5所示,为本发明实施例五提供的一种终端设备的结构示意图,本发明实施例五是与本发明实施例一~本发明实施例三在同一发明构思下的发明,主要应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中,所述终端设备包括:发送模块21、接收模块22和认证模块23,其中:
发送模块21,用于通过所述EAS向KMC发送登录请求消息,其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证KMC身份的第一挑战信息;
接收模块22,用于通过所述EAS接收所述KMC发送的认证请求消息,其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息,其中,所述第一挑战应答信息是所述KMC是根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算得到;
认证模块23,用于根据所述第一挑战应答信息,确定对所述KMC认证通过,并通过EAS向所述KMC发送认证响应消息,其中,所述认证响应消息中包含了第二挑战应答信息,使得所述KMC根据所述第二挑战应答信息对所述终端设备进行登录认证。
具体地,所述发送模块21,具体用于通过IMS网络信令向所述EAS发送登录请求消息,其中,所述登录请求消息用于表征终端设备需要登录KMC;使得所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息,确定所述终端设备所属的KMC,并将接收到的所述登录请求消息转发给确定的所述KMC。
可选地,所述发送模块21,具体用于通过IMS网络信令向所述EAS发送登录请求消息,其中,所述登录请求消息用于表征终端设备需要登录KMC;使得所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息确定所述终端设备所属的用户域以及所述终端设备的安全等级信息,并根据所述终端设备的安全等级信息,确定所述终端设备所属的至少一个KMC,并将接收到的所述登录请求消息分别转发给确定的所述至少一个KMC;
其中,所述用户域内包含了至少一个KMC,每一个KMC对应一个安全等级。
具体地,所述用于验证KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息。
所述认证模块23,具体用于利用本地存储的共享密钥对所述第一随机信息进行加密运算,得到第四加密结果;并将所述第一挑战应答信息与所述第四加密结果进行比较;在确定所述第一挑战应答信息与所述第四加密结果相同时,确定对所述KMC认证通过;其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
所述接收模块22,还用于通过所述EAS接收所述KMC发送的登录接受消息,其中,所述登录接受消息是所述KMC根据接收到的所述第二挑战应答信息对所述终端设备认证通过后发送的,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,并指示该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
需要说明的是,本发明实施例五所述的终端设备可以通过硬件实现的物理实体单元,也可以是通过软件实现的逻辑部件,这里不做限定。
本领域的技术人员应明白,本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (20)
1.一种终端设备登录认证的方法,其特征在于,应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中,包括:
所述KMC接收所述EAS转发的终端设备发送的登录请求消息,其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证所述KMC身份的第一挑战信息;
所述KMC通过所述EAS向所述终端设备发送认证请求消息,其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息;
所述KMC接收所述EAS转发的所述终端设备发送的认证响应消息,其中,所述认证响应消息是所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时发送的,所述认证响应消息中包含了第二挑战应答信息;
所述KMC根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录。
2.如权利要求1所述的方法,其特征在于,所述第一挑战应答信息通过以下方式确定的:
所述KMC根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息。
3.如权利要求2所述的方法,其特征在于,所述用于验证所述KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息;
所述KMC利用所述共享密钥信息对所述第一挑战信息进行计算,得到第一挑战应答信息,包括:
所述KMC利用所述共享密钥信息对所述第一随机信息进行加密运算,得到第一加密结果,并将得到的第一加密结果作为第一挑战应答信息;
其中,所述共享密钥信息是用户在部署KMC时预先存储在KMC内部的,并在KMC内部存储了共享密钥信息与用户使用终端设备的标识信息之间的对应关系。
4.如权利要求1~3任一所述的方法,其特征在于,所述用于验证所述终端设备的第二挑战信息为所述KMC为验证待请求登录的所述终端设备产生的第二随机信息;
所述KMC根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,包括:
所述KMC利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到第二加密结果;并
将所述第二挑战应答信息与所述第二加密结果进行比较;
所述KMC在确定所述第二挑战应答信息与所述第二加密结果相同时,确定对所述终端设备的登录认证通过;
其中,所述第二挑战应答信息是所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时,利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到的第三加密结果;
终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
5.如权利要求4所述的方法,其特征在于,所述KMC在允许所述终端设备登录时,所述方法还包括:
所述KMC通过所述EAS向所述终端设备发送登录接受消息,其中,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
6.一种终端设备登录认证的方法,其特征在于,应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中,包括:
所述终端设备通过所述EAS向KMC发送登录请求消息,其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证KMC身份的第一挑战信息;
所述终端设备通过所述EAS接收所述KMC发送的认证请求消息,其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息,其中,所述第一挑战应答信息是所述KMC是根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算得到的;
所述终端设备根据所述第一挑战应答信息,确定对所述KMC认证通过,并通过EAS向所述KMC发送认证响应消息,其中,所述认证响应消息中包含了第二挑战应答信息,使得所述KMC根据所述第二挑战应答信息对所述终端设备进行登录认证。
7.如权利要求6所述的方法,其特征在于,所述终端设备通过所述EAS向KMC发送登录请求消息,包括:
所述终端设备通过IMS网络信令向所述EAS发送登录请求消息,其中,所述登录请求消息用于表征终端设备需要登录KMC;
所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息,确定所述终端设备所属的KMC,并将接收到的所述登录请求消息转发给确定的所述KMC。
8.如权利要求7所述的方法,其特征在于,所述终端设备通过所述EAS向KMC发送登录请求消息,包括:
所述终端设备通过IMS网络信令向所述EAS发送登录请求消息,其中,所述登录请求消息用于表征终端设备需要登录KMC;
所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息,确定所述终端设备所属的用户域以及所述终端设备的安全等级信息,并根据所述终端设备的安全等级信息,确定所述终端设备所属的至少一个KMC,并将接收到的所述登录请求消息分别转发给确定的所述至少一个KMC;
其中,所述用户域内包含了至少一个KMC,每一个KMC对应一个安全等级。
9.如权利要求5~8任一所述的方法,其特征在于,所述用于验证KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息;
所述终端设备根据所述第一挑战应答信息,确定对所述KMC认证通过,包括:
所述终端设备利用本地存储的共享密钥对所述第一随机信息进行加密运算,得到第四加密结果;并
将所述第一挑战应答信息与所述第四加密结果进行比较;
所述终端设备在确定所述第一挑战应答信息与所述第四加密结果相同时,确定对所述KMC认证通过;
其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
10.如权利要求9所述的方法,其特征在于,所述方法还包括:
所述终端设备通过所述EAS接收所述KMC发送的登录接受消息,其中,所述登录接受消息是所述KMC根据接收到的所述第二挑战应答信息对所述终端设备认证通过后发送的,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
11.一种用于对终端设备进行登录认证的密钥管理中心,其特征在于,应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中,包括:
接收模块,用于接收所述EAS转发的终端设备发送的登录请求消息,其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证所述KMC身份的第一挑战信息;
发送模块,用于通过所述EAS向所述终端设备发送认证请求消息,其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息;
所述接收模块,还用于接收所述EAS转发的所述终端设备发送的认证响应消息,其中,所述认证响应消息是所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时发送的,所述认证响应消息中包含了第二挑战应答信息;
登录认证模块,用于根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录。
12.如权利要求11所述的密钥管理中心,其特征在于,所述密钥管理中心还包括:应答模块,其中:
所述应答模块,用于根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息。
13.如权利要求12所述的密钥管理中心,其特征在于,所述用于验证所述KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息;
所述应答模块,具体用于利用所述共享密钥信息对所述第一随机信息进行加密运算,得到第一加密结果,并将得到的第一加密结果作为第一挑战应答信息;
其中,所述共享密钥信息是用户在部署KMC时预先存储在KMC内部的,并在KMC内部存储了共享密钥信息与用户使用终端设备的标识信息之间的对应关系。
14.如权利要求11~13任一所述的密钥管理中心,其特征在于,所述用于验证所述终端设备的第二挑战信息为所述KMC为验证待请求登录的所述终端设备产生的第二随机信息;
所述登录认证模块,具体用于利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到第二加密结果;并将所述第二挑战应答信息与所述第二加密结果进行比较;
在确定所述第二挑战应答信息与所述第二加密结果相同时,确定对所述终端设备的登录认证通过;
其中,所述第二挑战应答信息是所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时,利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到的第三加密结果;
其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
15.如权利要求14所述的密钥管理中心,其特征在于,
所述发送模块,还用于在允许所述终端设备登录时,通过所述EAS向所述终端设备发送登录接受消息,其中,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
16.一种终端设备,其特征在于,应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中,包括:
发送模块,用于通过所述EAS向KMC发送登录请求消息,其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证KMC身份的第一挑战信息;
接收模块,用于通过所述EAS接收所述KMC发送的认证请求消息,其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息,其中,所述第一挑战应答信息是所述KMC是根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算得到;
认证模块,用于根据所述第一挑战应答信息,确定对所述KMC认证通过,并通过EAS向所述KMC发送认证响应消息,其中,所述认证响应消息中包含了第二挑战应答信息,使得所述KMC根据所述第二挑战应答信息对所述终端设备进行登录认证。
17.如权利要求16所述的终端设备,其特征在于,
所述发送模块,具体用于通过IMS网络信令向所述EAS发送登录请求消息,其中,所述登录请求消息用于表征终端设备需要登录KMC;使得所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息,确定所述终端设备所属的KMC,并将接收到的所述登录请求消息转发给确定的所述KMC。
18.如权利要求16所述的终端设备,其特征在于,
所述发送模块,具体用于通过IMS网络信令向所述EAS发送登录请求消息,其中,所述登录请求消息用于表征终端设备需要登录KMC;使得所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息,确定所述终端设备所属的用户域以及所述终端设备的安全等级信息,并根据所述终端设备的安全等级信息,确定所述终端设备所属的至少一个KMC,并将接收到的所述登录请求消息分别转发给确定的所述至少一个KMC;
其中,所述用户域内包含了至少一个KMC,每一个KMC对应一个安全等级。
19.如权利要求16~18任一所述的终端设备,其特征在于,所述用于验证KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息;
所述认证模块,具体用于利用本地存储的共享密钥对所述第一随机信息进行加密运算,得到第四加密结果;并将所述第一挑战应答信息与所述第四加密结果进行比较;在确定所述第一挑战应答信息与所述第四加密结果相同时,确定对所述KMC认证通过;
其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
20.如权利要求19所述的终端设备,其特征在于,
所述接收模块,还用于通过所述EAS接收所述KMC发送的登录接受消息,其中,所述登录接受消息是所述KMC根据接收到的所述第二挑战应答信息对所述终端设备认证通过后发送的,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310631775.4A CN104683103B (zh) | 2013-11-29 | 2013-11-29 | 一种终端设备登录认证的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310631775.4A CN104683103B (zh) | 2013-11-29 | 2013-11-29 | 一种终端设备登录认证的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104683103A true CN104683103A (zh) | 2015-06-03 |
| CN104683103B CN104683103B (zh) | 2018-02-23 |
Family
ID=53317737
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310631775.4A Active CN104683103B (zh) | 2013-11-29 | 2013-11-29 | 一种终端设备登录认证的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104683103B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106100854A (zh) * | 2016-08-16 | 2016-11-09 | 黄朝 | 基于权威主体的终端设备的逆向认证方法及系统 |
| CN110602706A (zh) * | 2019-09-27 | 2019-12-20 | 中移物联网有限公司 | 一种入网方法、终端及服务器 |
| CN111245607A (zh) * | 2020-01-07 | 2020-06-05 | 杭州涂鸦信息技术有限公司 | 一种组网方法及系统、配网设备、客户端和服务端 |
| CN114973518A (zh) * | 2022-04-21 | 2022-08-30 | 杭州小电科技股份有限公司 | 共享充电设备运维方法、共享充电设备、终端设备和系统 |
| CN116389168A (zh) * | 2023-05-31 | 2023-07-04 | 北京芯盾时代科技有限公司 | 一种身份认证方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005359A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 一种实现终端设备间安全通信的方法及装置 |
| CN101572694A (zh) * | 2008-04-29 | 2009-11-04 | 华为技术有限公司 | 媒体流密钥的获取方法、会话设备与密钥管理功能实体 |
| WO2011159715A2 (en) * | 2010-06-14 | 2011-12-22 | Engels Daniel W | Key management systems and methods for shared secret ciphers |
| CN102869010A (zh) * | 2011-07-04 | 2013-01-09 | 中兴通讯股份有限公司 | 单点登录方法及系统 |
-
2013
- 2013-11-29 CN CN201310631775.4A patent/CN104683103B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005359A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 一种实现终端设备间安全通信的方法及装置 |
| CN101572694A (zh) * | 2008-04-29 | 2009-11-04 | 华为技术有限公司 | 媒体流密钥的获取方法、会话设备与密钥管理功能实体 |
| WO2011159715A2 (en) * | 2010-06-14 | 2011-12-22 | Engels Daniel W | Key management systems and methods for shared secret ciphers |
| CN102869010A (zh) * | 2011-07-04 | 2013-01-09 | 中兴通讯股份有限公司 | 单点登录方法及系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106100854A (zh) * | 2016-08-16 | 2016-11-09 | 黄朝 | 基于权威主体的终端设备的逆向认证方法及系统 |
| CN110602706A (zh) * | 2019-09-27 | 2019-12-20 | 中移物联网有限公司 | 一种入网方法、终端及服务器 |
| CN111245607A (zh) * | 2020-01-07 | 2020-06-05 | 杭州涂鸦信息技术有限公司 | 一种组网方法及系统、配网设备、客户端和服务端 |
| CN114973518A (zh) * | 2022-04-21 | 2022-08-30 | 杭州小电科技股份有限公司 | 共享充电设备运维方法、共享充电设备、终端设备和系统 |
| CN116389168A (zh) * | 2023-05-31 | 2023-07-04 | 北京芯盾时代科技有限公司 | 一种身份认证方法和装置 |
| CN116389168B (zh) * | 2023-05-31 | 2023-08-29 | 北京芯盾时代科技有限公司 | 一种身份认证方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104683103B (zh) | 2018-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107317674B (zh) | 密钥分发、认证方法,装置及系统 | |
| EP2547050B1 (en) | Security authentication method, equipment and system | |
| US8705743B2 (en) | Communication security | |
| JP5496907B2 (ja) | セキュアな通信のための鍵管理 | |
| CN102006294B (zh) | Ims多媒体通信方法和系统、终端及ims核心网 | |
| CN104683304A (zh) | 一种保密通信业务的处理方法、设备和系统 | |
| US10904750B2 (en) | Key obtaining method and device, and communications system | |
| EP2308254B1 (en) | Methods, nodes, system, computer programs and computer program products for secure user subscription or registration | |
| CN102413464B (zh) | 基于gba的电信能力开放平台密钥协商系统和方法 | |
| CN104869102B (zh) | 基于xAuth协议的授权方法、装置和系统 | |
| CN109076339A (zh) | 异构网络的统一认证框架 | |
| CN102685749B (zh) | 面向移动终端的无线安全身份验证方法 | |
| JP2017535998A5 (zh) | ||
| CN105975846B (zh) | 终端的认证方法及系统 | |
| CN103974248B (zh) | 在能力开放系统中的终端安全性保护方法、装置及系统 | |
| EP2767029B1 (en) | Secure communication | |
| WO2011127810A1 (zh) | 对通信设备进行认证的方法和装置 | |
| CN101478753A (zh) | Wapi终端接入ims网络的安全管理方法及系统 | |
| CN104145465A (zh) | 机器类型通信中基于群组的自举 | |
| US10897707B2 (en) | Methods and apparatus for direct communication key establishment | |
| CN104683103A (zh) | 一种终端设备登录认证的方法和设备 | |
| CN107026823A (zh) | 应用于无线局域网wlan中的接入认证方法和终端 | |
| CN103973543B (zh) | 即时通信方法及装置 | |
| CN102223356B (zh) | 基于密钥管理服务器的ims媒体安全的合法监听系统 | |
| CN101198148B (zh) | 一种对移动终端进行信息分发的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |