CN106657034A - 一种业务鉴权的方法及鉴权能力开放服务器 - Google Patents
一种业务鉴权的方法及鉴权能力开放服务器 Download PDFInfo
- Publication number
- CN106657034A CN106657034A CN201611109691.4A CN201611109691A CN106657034A CN 106657034 A CN106657034 A CN 106657034A CN 201611109691 A CN201611109691 A CN 201611109691A CN 106657034 A CN106657034 A CN 106657034A
- Authority
- CN
- China
- Prior art keywords
- authentication
- terminal
- open server
- tokens
- capability open
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种业务鉴权的方法及鉴权能力开放服务器,涉及通信技术领域,能够开放运营商的鉴权能力,减少业务侧构建鉴权系统及发展实名用户时的负担。本申请的方法包括:在终端访问业务后,终端根据业务平台反馈的地址向鉴权能力开放服务器发送携带有IMSI的鉴权请求;鉴权能力开放服务器获取与IMSI对应的鉴权向量,并向终端发送鉴权向量中的RAND和AUTH;终端根据RAND、AUTH、鉴权算法,以及秘钥,确定响应RES,并向鉴权能力开放服务器发送;鉴权能力开放服务器将接收的RES与鉴权向量中的RES进行比较,得到鉴权结果,并向业务平台发送;业务平台根据鉴权结果确定是否向终端提供业务跳转。本申请适用于业务鉴权过程。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种业务鉴权的方法及鉴权能力开放服务器。
背景技术
为了确保用户在访问各个应用时的安全性,在用户试图访问某个应用时,应用会对该用户进行鉴权,在鉴权通过后,应用允许该用户的访问。上述鉴权过程可以被视为业务鉴权过程,在业务鉴权过程中,用户可以通过输入账号、密码,或是指纹识别等其他鉴权方式来使应用对自身进行鉴权。
然而,采用上述业务鉴权过程,往往需要业务侧构建鉴权系统并对该系统进行维护,且在实际鉴权过程中,由于用户不希望自己的个人信息被不同的应用所获取,因此,对业务侧发展实名用户也带来了较大的负担。
发明内容
本申请提供一种业务鉴权的方法及鉴权能力开放服务器,能够开放运营商的鉴权能力,减少业务侧构建鉴权系统及发展实名用户时的负担。
为达到上述目的,本申请采用如下技术方案:
第一方面,本申请提供一种业务鉴权的方法,所述方法包括:
在终端访问业务后,业务平台向所述终端发送响应消息,所述响应消息中携带有鉴权能力开放服务器的地址;
所述终端根据所述地址,向所述鉴权能力开放服务器发送鉴权请求,所述鉴权请求携带有所述终端的国际移动用户识别码IMSI;
所述鉴权能力开放服务器获取与所述IMSI对应的鉴权向量,并向所述终端发送所述鉴权向量中的随机挑战RAND和身份验证令牌AUTH;
所述终端根据所述RAND、所述AUTH、鉴权算法,以及秘钥,确定响应RES,并向所述鉴权能力开放服务器发送;
所述鉴权能力开放服务器将所述终端发送的RES与所述鉴权向量中的RES进行比较,得到鉴权结果,并向所述业务平台发送;
所述业务平台根据所述鉴权结果确定是否向所述终端提供业务跳转。
第二方面,本申请提供一种鉴权能力开放服务器,所述鉴权能力开放服务器包括:
接收模块,用于接收终端发送的鉴权请求,所述鉴权请求携带有所述终端的国际移动用户识别码IMSI;
处理模块,用于在获取到与所述接收模块接收的所述IMSI对应的鉴权向量后,提取所述鉴权向量中的随机挑战RAND和身份验证令牌AUTH;
发送模块,用于向所述终端发送所述处理模块得到的所述鉴权向量中的
RAND和AUTH,以便于所述终端根据所述RAND、所述AUTH、鉴权算法,以及秘钥,确定响应RES,并向所述鉴权能力开放服务器发送;
所述处理模块,还用于将所述终端发送的RES与所述鉴权向量中的RES进行比较,得到鉴权结果,并通过所述发送模块向所述业务平台发送,以便于所述业务平台根据所述鉴权结果确定是否向所述终端提供业务跳转。
本申请提供的业务鉴权的方法及鉴权能力开放服务器,相比较于现有技术中因用户不希望自己的个人信息被不同的应用所获取而给业务侧发展实名用户带来较大负担的情况,本申请可以在终端访问业务后,由业务平台向终端发送携带有鉴权能力开放服务器的地址的响应消息,之后终端向鉴权能力开放服务器发送携带有IMSI的鉴权请求,以向鉴权能力开放服务器请求获取该IMSI对应的鉴权向量中的RAND和AUTH,待终端获取到RAND和AUTH之后,该终端依据鉴权算法来确定RES,并将计算得到的RES向鉴权能力开放服务器发送,之后鉴权能力开放服务器通过将接收到的RES与鉴权向量中的RES进行比较来得到鉴权结果,并向业务平台发送,以便业务平台根据鉴权结果来确定是否向终端提供业务跳转。由于IMSI是存储在终端的SIM/eSIM模块(英文:Subscriber Identity Module,中文:客户识别模块)中的,因此,上述业务鉴权过程在一定程度上借助了SIM/eSIM,也就意味着,本申请所提供的业务鉴权方式是基于SIM/eSIM来实现的,且这样的鉴权方式能够开放运营商的鉴权能力,减少业务侧构建鉴权系统及发展实名用户时的负担。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种业务鉴权系统的示意图;
图2为本发明实施例提供的一种业务鉴权的方法流程图;
图3至图6为本发明实施例提供的另一种业务鉴权的方法流程图;
图7为本发明实施例提供的一种鉴权能力开放服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例可以用于一种业务鉴权系统,如图1所示,在该业务鉴权系统中,至少包括终端10、业务平台11、鉴权能力开放服务器12和HSS(英文:Home SubscriberServer,中文:归属签约用户服务器)13。其中,终端10、业务平台11与鉴权能力开放服务器12两两之间可以进行数据交互,此外,鉴权能力开放服务器12与HSS13之间也可以进行数据交互。在终端10访问业务后,业务平台11可以向终端10反馈响应消息,以告知终端10鉴权能力开放服务器12的地址,从而使终端10可以直接将鉴权请求向鉴权能力开放服务器12发送,进而完成后续业务鉴权过程。在本发明实施例中,HSS13可以用于生成鉴权向量组并反馈给鉴权能力开放服务器12,以确保在鉴权能力开放服务器12中未存储相应的鉴权向量时仍然能够顺利进行业务鉴权。
本发明实施例提供一种业务鉴权的方法,如图2所示,该方法可以由图1中所示的终端10、业务平台11和鉴权能力开放服务器12来共同执行,该方法具体包括:
101、终端访问业务。
用户可以通过终端来访问某一应用,则可以被视为终端访问业务,从而将这一操作作为业务鉴权过程的触发点,也就是启动业务鉴权过程的起始时刻。上述触发过程是针对那些用户可见的应用而言的,也就是人为触发过程,在本发明实施例中,业务鉴权过程不仅可以适用于上述人为触发的鉴权过程,同样可以适用于那些可以自动触发的鉴权过程,比如,应用与终端集成,也就意味着,该应用对于用户而言不可见。
102、业务平台向终端发送响应消息。
其中,响应消息中携带有鉴权能力开放服务器的地址。
为了确保终端能够直接与特定的鉴权能力开放服务器完成数据交互,在本发明实施例中,考虑到业务平台内会预先配置鉴权能力开放服务器的地址,因此,业务平台需要将该地址向终端反馈。
103、终端根据地址,向鉴权能力开放服务器发送鉴权请求。
其中,鉴权请求携带有终端的IMSI(英文:International Mobile SubscriberIdentification Number,中文:国际移动用户识别码)。
104、鉴权能力开放服务器获取与IMSI对应的鉴权向量。
需要说明的是,鉴权向量中至少包括RAND(英文:Random challenge,中文:随机挑战)、AUTH(英文:Authentication Token,中文:身份验证令牌)、RES(英文:Response,中文:响应)。此外,鉴权向量中还可以包括CK(英文:Cipher Key,中文:加密秘钥)、IK(英文:Integrity Key,中文:完整性秘钥),以及MAC(英文:Message Authentication Code,中文:消息认证码)等鉴权参数。
105、鉴权能力开放服务器向终端发送鉴权向量中的RAND和AUTH。
106、终端根据RAND、AUTH、鉴权算法,以及秘钥,确定RES。
RES是由终端根据已接收到的RAND和AUTH,以及秘钥,采用鉴权算法进行计算所得到的参数。其中,鉴权算法和秘钥在发卡时就已经确定。也就意味着,鉴权算法和秘钥会预先存储在终端的SIM/eSIM模块中,待需要进行RES的计算过程时,终端可以直接从SIM/eSIM模块中读取并使用。
107、终端向鉴权能力开放服务器发送RES。
108、鉴权能力开放服务器将终端发送的RES与鉴权向量中的RES进行比较,得到鉴权结果。
若鉴权能力开放服务器接收到的RES与存储在鉴权能力开放服务器的鉴权向量中的RES相同,则认为鉴权成功,否则,鉴权失败。需要说明的是,鉴权能力开放服务器能够以终端的IMSI为依据,来确保从本地获取的鉴权向量中的RES为该终端对应的鉴权向量中的RES。
109、鉴权能力开放服务器向业务平台发送鉴权结果。
110、业务平台根据鉴权结果确定是否向终端提供业务跳转。
若鉴权结果为鉴权成功,则业务平台需要向终端提供业务跳转。
在终端访问业务后,由业务平台向终端发送携带有鉴权能力开放服务器的地址的响应消息,之后终端向鉴权能力开放服务器发送携带有IMSI的鉴权请求,以向鉴权能力开放服务器请求获取该IMSI对应的鉴权向量中的RAND和AUTH,待终端获取到RAND和AUTH之后,该终端依据鉴权算法来确定RES,并将计算得到的RES向鉴权能力开放服务器发送,之后鉴权能力开放服务器通过将接收到的RES与鉴权向量中的RES进行比较来得到鉴权结果,并向业务平台发送,以便业务平台根据鉴权结果来确定是否向终端提供业务跳转。由于IMSI是存储在终端的SIM/eSIM模块(英文:Subscriber Identity Module,中文:客户识别模块)中的,因此,上述业务鉴权过程在一定程度上借助了SIM/eSIM,也就意味着,本申请所提供的业务鉴权方式是基于SIM/eSIM来实现的,且这样的鉴权方式能够开放运营商的鉴权能力,减少业务侧构建鉴权系统及发展实名用户时的负担。此外,这样的鉴权方式不仅能够实现网络侧对用户的鉴权,同样也可以实现用户对网络侧的鉴权。因此,还能降低应用访问过程中存在的安全隐患。
在本发明实施例的一个实现方式中,提供了一种具体用于获取鉴权向量的方式。考虑到鉴权向量可能预先存储在鉴权能力开放服务器,或是需要鉴权能力开放服务器从HSS获取之后再提取相关参数转发给终端,因此,在如图2所示的实现方式的基础上,还可以实现为如图3所示的实现方式。其中,步骤104鉴权能力开放服务器获取与IMSI对应的鉴权向量,具体可以实现为步骤201至步骤206:
201、鉴权能力开放服务器判断是否存在IMSI对应的鉴权向量。其中,若存在IMSI对应的鉴权向量,则执行步骤202;否则,执行步骤203至步骤206。
202、鉴权能力开放服务器获取与IMSI对应的鉴权向量。
需要说明的是,同一IMSI可能对应多个鉴权向量,但在实际的业务鉴权过程中,每次进行鉴权时只需要使用上述多个鉴权向量中的一个,且这一个鉴权向量未被之前的业务鉴权过程使用过。因此,鉴权向量不仅与IMSI存在对应关系,同时,为了对每个鉴权向量是否被使用加以区分,鉴权向量会被配置有唯一的序列号。在业务鉴权过程中,每次访问同一IMSI对应的鉴权向量时,都是按照序列号从小到大的顺序来使用,且使用过的鉴权向量将不会再参与后续的业务鉴权过程。
203、鉴权能力开放服务器向HSS发送鉴权向量组请求。
其中,鉴权向量组请求携带有IMSI。
204、HSS根据IMSI和秘钥,生成鉴权向量组。
其中,鉴权向量组包括至少两个鉴权向量。
205、HSS向鉴权能力开放服务器发送鉴权向量组。
206、鉴权能力开放服务器存储鉴权向量组,并获取鉴权向量组中序列号最小的鉴权向量。
若在鉴权能力开放服务器中并未存储该IMSI对应的鉴权向量,则为了确保业务鉴权过程的顺利执行,需要由鉴权能力开放服务器向HSS来申请与该IMSI对应的鉴权向量。需要说明的是,考虑到若鉴权能力开放服务器需要完成同一终端的多次业务鉴权过程,那么则需要鉴权能力开放服务器提供多个鉴权向量,因此,为了减少鉴权能力开放服务器与HSS之间频繁的数据交互过程,鉴权能力开放服务器可以直接向HSS申请一组鉴权向量,即鉴权向量组。在鉴权向量组中,可以使用序列号对不同鉴权向量加以区分。
需要说明的是,HSS可以根据鉴权能力开放服务器发送的IMSI,以及与终端所存储的相同的秘钥来生成鉴权向量组。之后HSS将生成的鉴权向量组向鉴权能力开放服务器发送,再由鉴权能力开放服务器保存该鉴权向量组,并从中获取所需的鉴权向量,即该鉴权向量组中序列号最小的鉴权向量,提取其中的RAND和AUTH,并向终端转发。在同一终端下次进行业务鉴权过程时,鉴权能力开放服务器可以从已存储的鉴权向量组中所有未参与业务鉴权的鉴权向量中挑选序列号最小的鉴权向量来使用。
例如,在如图3所示的实现方式的基础上,还可以实现为如图4所示的实现方式。也就是步骤202鉴权能力开放服务器获取与IMSI对应的鉴权向量,还可以具体实现为步骤301至步骤303:
301、鉴权能力开放服务器判断IMSI对应的鉴权向量的数量是否为一个。其中,若数量为一个,则执行步骤302;否则,执行步骤303。
302、鉴权能力开放服务器获取鉴权向量。
303、鉴权能力开放服务器获取未被使用的鉴权向量中序列号最小的鉴权向量。
这样就能避免鉴权向量的重复使用,同时,由于鉴权向量是按照一定先后顺序依次被使用,也不会造成鉴权向量的浪费。
考虑到同一终端在访问不同业务或是在不同时间区间访问同一业务时,该终端需要频繁进行业务鉴权过程,在本发明实施例的一个实现方式中,为了减少业务鉴权过程中各网络节点之间进行数据交互所耗费的资源,因此,在如图2所示的实现方式的基础上,还可以实现为如图5所示的实现方式。其中,在执行完步骤108鉴权能力开放服务器将终端发送的RES与鉴权向量中的RES进行比较,得到鉴权结果之后,还可以执行步骤401至步骤406:
401、若鉴权结果为鉴权成功,则鉴权能力开放服务器生成鉴权令牌并存储。
其中,鉴权令牌为指定时间内终端用于业务鉴权的参数。
402、鉴权能力开放服务器向终端发送鉴权令牌。
403、当终端再次访问业务时,终端向鉴权能力开放服务器发送鉴权令牌。
404、鉴权能力开放服务器将接收到的鉴权令牌与存储的鉴权令牌进行比较,得到鉴权结果。
405、鉴权能力开放服务器向业务平台发送鉴权结果。
406、业务平台根据鉴权结果确定是否向终端提供业务跳转。
在鉴权结果被判定为鉴权成功后,鉴权能力开放服务器可以生成简易鉴权令牌,即上述步骤401中的鉴权令牌,并将该鉴权令牌作为终端进行业务鉴权的比对参数,之后将该鉴权令牌向终端发送。在该终端再次需要进行业务鉴权时,能够省略该终端根据各个鉴权参数进行计算RES的过程,该终端可以直接使用之前接收到的鉴权令牌进行业务鉴权。鉴权能力开放服务器可以通过比对终端发送的鉴权令牌与鉴权能力开放服务器存储的鉴权令牌,来确定本次业务鉴权过程的鉴权结果。比如,若鉴权能力开放服务器接收到的鉴权令牌与存储的鉴权令牌相同,则认为业务鉴权过程的鉴权结果为鉴权成功,否则,认为鉴权失败。
需要说明的是,在鉴权能力开放服务器经过判别,确定本次鉴权成功后,鉴权能力开放服务器就可以在向业务平台发送鉴权结果的同时生成鉴权令牌,之后鉴权能力开放服务器可以将鉴权令牌携带在鉴权成功的反馈消息中,向终端发送。此后,若终端需要再次进行业务鉴权,那么终端就可以直接向鉴权能力开放服务器发送鉴权令牌,之后由鉴权能力开放服务器将接收到的鉴权令牌与预先存储的鉴权令牌进行比较,并得到鉴权结果。后续操作过程与初次进行鉴权的过程类似,即鉴权能力开放服务器将鉴权结果向业务平台发送,由业务平台确定是否需要为终端提供业务跳转。也就意味着,图5仅作为一种可能实现的执行过程示意图,图5中所示的时间顺序并不是绝对的,比如:鉴权能力开放服务器生成鉴权向量的时机只要为鉴权成功之后即可,并不做过多限定。
考虑到业务鉴权过程的安全性,需要确保鉴权令牌的时效性,而不能让终端在长时间内一味使用相同鉴权令牌完成业务鉴权,在本发明实施例的一个实现方式中,鉴权令牌中还可以设置有定时器,用来限制鉴权令牌的时效性,因此,在如图5所示的实现方式的基础上,还可以实现为如图6所示的实现方式。其中,在鉴权能力开放服务器生成鉴权令牌并存储之后,还可以执行步骤501至步骤503;且步骤405可以具体实现为步骤4051,步骤406可以具体实现为步骤4061:
501、鉴权能力开放服务器设置鉴权令牌的定时器。
502、若定时器处于超时阈值范围内且终端基于鉴权令牌完成一次成功鉴权,则鉴权能力开放服务器更新鉴权令牌并存储。
503、鉴权能力开放服务器将更新后的鉴权令牌向终端发送。
在本发明实施例中,阈值范围可以由运营商或是维护人员进行预先设置,阈值范围作为衡量鉴权令牌是否接近超时的时间参数,可以通过设置阈值范围来确定鉴权令牌在未来的一段时间内是否还具有有效性,从而提示鉴权能力开放服务器及时更新即将丧失有效性的鉴权令牌。
为了确保终端进行业务鉴权过程的时效性,避免存在鉴权令牌时因鉴权令牌超过预设的定时器而造成本次业务鉴权过程仍需终端、业务平台与鉴权能力开放服务器之间频繁交互才能完成,因此,鉴权能力开放服务器需要在更新鉴权令牌之后,及时告知终端。
需要说明的是,若定时器超时,则终端无法使用鉴权令牌进行业务鉴权,那么终端只能使用鉴权向量来完成业务鉴权过程。
4051、鉴权能力开放服务器向业务平台发送鉴权成功的消息。
4061、业务平台向终端提供业务跳转。
此外,在定时器处于超时阈值范围内,只有当终端使用已有鉴权令牌完成一次成功鉴权之后,鉴权能力开放服务器才能更新该鉴权令牌,并将原有定时器归位。比如:定时器规定的时间为24小时,预设距离24小时还差1小时的时候需要更新鉴权令牌,那么在那1小时之内,如果终端使用该鉴权令牌完成一次成功鉴权,则鉴权能力开放服务器可以更新该终端的鉴权令牌,并恢复定时器,即将仅剩1小时或是不到1小时的定时器恢复为24小时内有效。需要说明的是,更新后的鉴权令牌与更新前的鉴权令牌不同,在完成鉴权令牌的更新后,对于定时器的调整,可以选择重新设置定时器,比如:重新将定时器设置为18小时,或是将定时器归为,即将定时器还设置为原先的24小时,这一过程的具体实现方式在本申请中不进行限定。在完成鉴权令牌的更新与定时器的设置之后,鉴权能力开放服务器将在上述1小时之内实现的鉴权成功的消息向业务平台发送,以使业务平台提供终端的业务跳转,同时,可以将更新后的鉴权令牌携带在鉴权成功的反馈消息中一并向终端发送,以使终端在下次进行业务鉴权时使用更新后的鉴权令牌。
需要说明的是,图6所示的步骤503与步骤4051可以同时执行,对于步骤503与步骤4051所示的执行时机,在本发明中不做限定。
此外,上述各种实施例的实现方式中,均可以将业务平台作为转发节点,由业务平台来完成终端与鉴权能力开放服务器之间的数据交互,当然,本申请中所示的鉴权过程中也可以在不借助业务平台的前提下来实现,在此不做限定。
本发明实施例提供一种鉴权能力开放服务器20,如图1所示,该鉴权能力开放服务器20用于执行如图2至图6中任意一套方法流程,该鉴权能力开放服务器20包括:
接收模块21,用于接收终端发送的鉴权请求,鉴权请求携带有终端的IMSI。
处理模块22,用于在获取到与接收模块21接收的IMSI对应的鉴权向量后,提取鉴权向量中的RAND和AUTH。
发送模块23,用于向终端发送处理模块22得到的鉴权向量中的RAND和AUTH,以便于终端根据RAND、AUTH、鉴权算法,以及秘钥,确定响应RES,并向鉴权能力开放服务器发送。
处理模块22,还用于将终端发送的RES与鉴权向量中的RES进行比较,得到鉴权结果,并通过发送模块23向业务平台发送,以便于业务平台根据鉴权结果确定是否向终端提供业务跳转。
在本发明实施例的一个实现方式中,处理模块22,具体用于:
判断是否存在IMSI对应的鉴权向量;
若存在IMSI对应的鉴权向量,则获取与IMSI对应的鉴权向量;
若不存在IMSI对应的鉴权向量,则通过发送模块23向HSS发送鉴权向量组请求,以便于HSS根据IMSI和秘钥,生成鉴权向量组并向鉴权能力开放服务器20发送,鉴权向量组请求携带有IMSI,鉴权向量组包括至少两个鉴权向量。
鉴权能力开放服务器20,还包括:
存储模块24,用于存储鉴权向量组,并由处理模块22根据鉴权向量组中每个鉴权向量的生成时间确定本次鉴权过程所需的鉴权向量并获取。
在本发明实施例的一个实现方式中,处理模块22,具体用于:
若存在IMSI对应的鉴权向量,则判断IMSI对应的鉴权向量的数量是否为一个;
若数量为一个,则获取鉴权向量;
若数量为至少两个,则根据未被使用的每个鉴权向量的生成时间确定本次鉴权过程所需的鉴权向量并获取。
在本发明实施例的一个实现方式中,处理模块22,还用于若鉴权结果为鉴权成功,则生成鉴权令牌并存储,鉴权令牌为指定时间内终端用于业务鉴权的参数。
发送模块23,还用于向终端发送鉴权令牌,以便于终端接收鉴权令牌,并当终端再次访问业务时,向鉴权能力开放服务器20发送鉴权令牌。
处理模块22,还用于将接收到的鉴权令牌与存储的鉴权令牌进行比较,得到鉴权结果,并通过发送模块23向业务平台发送。
在本发明实施例的一个实现方式中,处理模块22,还用于设置鉴权令牌的定时器。
处理模块22,若定时器处于超时阈值范围内且终端基于鉴权令牌完成一次成功鉴权,则更新鉴权令牌并存储。
发送模块23,还用于将更新后的鉴权令牌向终端发送。
本申请可以在终端访问业务后,由业务平台向终端发送携带有鉴权能力开放服务器的地址的响应消息,之后终端向鉴权能力开放服务器发送携带有IMSI的鉴权请求,以向鉴权能力开放服务器请求获取该IMSI对应的鉴权向量中的RAND和AUTH,待终端获取到RAND和AUTH之后,该终端依据鉴权算法来确定RES,并将计算得到的RES向鉴权能力开放服务器发送,之后鉴权能力开放服务器通过将接收到的RES与鉴权向量中的RES进行比较来得到鉴权结果,并向业务平台发送,以便业务平台根据鉴权结果来确定是否向终端提供业务跳转。由于IMSI是存储在终端的SIM/eSIM模块(英文:Subscriber Identity Module,中文:客户识别模块)中的,因此,上述业务鉴权过程在一定程度上借助了SIM/eSIM,也就意味着,本申请所提供的业务鉴权方式是基于SIM/eSIM来实现的,且这样的鉴权方式能够开放运营商的鉴权能力,减少业务侧构建鉴权系统及发展实名用户时的负担。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:Read-Only Memory,简称:ROM)或随机存储记忆体(英文:Random Access Memory,简称:RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种业务鉴权的方法,其特征在于,所述方法包括:
在终端访问业务后,业务平台向所述终端发送响应消息,所述响应消息中携带有鉴权能力开放服务器的地址;
所述终端根据所述地址,向所述鉴权能力开放服务器发送鉴权请求,所述鉴权请求携带有所述终端的国际移动用户识别码IMSI;
所述鉴权能力开放服务器获取与所述IMSI对应的鉴权向量,并向所述终端发送所述鉴权向量中的随机挑战RAND和身份验证令牌AUTH;
所述终端根据所述RAND、所述AUTH、鉴权算法,以及秘钥,确定响应RES,并向所述鉴权能力开放服务器发送;
所述鉴权能力开放服务器将所述终端发送的RES与所述鉴权向量中的RES进行比较,得到鉴权结果,并向所述业务平台发送;
所述业务平台根据所述鉴权结果确定是否向所述终端提供业务跳转。
2.根据权利要求1所述的方法,其特征在于,所述鉴权能力开放服务器获取与所述IMSI对应的鉴权向量,具体包括:
所述鉴权能力开放服务器判断是否存在所述IMSI对应的鉴权向量;
若存在所述IMSI对应的鉴权向量,则所述鉴权能力开放服务器获取与所述IMSI对应的鉴权向量;
若不存在所述IMSI对应的鉴权向量,则所述鉴权能力开放服务器向归属签约用户服务器HSS发送鉴权向量组请求,所述鉴权向量组请求携带有所述IMSI;
所述HSS根据所述IMSI和所述秘钥,生成鉴权向量组并向所述鉴权能力开放服务器发送,所述鉴权向量组包括至少两个鉴权向量;
所述鉴权能力开放服务器存储所述鉴权向量组,并根据所述鉴权向量组中每个鉴权向量的生成时间确定本次鉴权过程所需的鉴权向量并获取。
3.根据权利要求2所述的方法,其特征在于,所述若存在所述IMSI对应的鉴权向量,则所述鉴权能力开放服务器获取与所述IMSI对应的鉴权向量,具体包括:
若存在所述IMSI对应的鉴权向量,则所述鉴权能力开放服务器判断所述IMSI对应的鉴权向量的数量是否为一个;
若所述数量为一个,则所述鉴权能力开放服务器获取所述鉴权向量;
若所述数量为至少两个,则所述鉴权能力开放服务器根据未被使用的每个鉴权向量的生成时间确定本次鉴权过程所需的鉴权向量并获取。
4.根据权利要求1所述的方法,其特征在于,在所述鉴权能力开放服务器得到鉴权结果之后,所述方法还包括:
若所述鉴权结果为鉴权成功,则所述鉴权能力开放服务器生成鉴权令牌并存储,所述鉴权令牌为指定时间内所述终端用于业务鉴权的参数;
所述鉴权能力开放服务器向所述终端发送所述鉴权令牌;
所述终端接收所述鉴权令牌,并当所述终端再次访问业务时,向所述鉴权能力开放服务器发送所述鉴权令牌;
所述鉴权能力开放服务器将接收到的鉴权令牌与存储的鉴权令牌进行比较,得到鉴权结果,并向所述业务平台发送。
5.根据权利要求4所述的方法,其特征在于,在所述鉴权能力开放服务器生成鉴权令牌并存储之后,所述方法还包括:
所述鉴权能力开放服务器设置所述鉴权令牌的定时器;
若所述定时器处于超时阈值范围内且所述终端基于所述鉴权令牌完成一次成功鉴权,则所述鉴权能力开放服务器更新所述鉴权令牌并存储;
所述鉴权能力开放服务器将更新后的鉴权令牌向所述终端发送。
6.一种鉴权能力开放服务器,其特征在于,所述鉴权能力开放服务器包括:
接收模块,用于接收终端发送的鉴权请求,所述鉴权请求携带有所述终端的国际移动用户识别码IMSI;
处理模块,用于在获取到与所述接收模块接收的所述IMSI对应的鉴权向量后,提取所述鉴权向量中的随机挑战RAND和身份验证令牌AUTH;
发送模块,用于向所述终端发送所述处理模块得到的所述鉴权向量中的RAND和AUTH,以便于所述终端根据所述RAND、所述AUTH、鉴权算法,以及秘钥,确定响应RES,并向所述鉴权能力开放服务器发送;
所述处理模块,还用于将所述终端发送的RES与所述鉴权向量中的RES进行比较,得到鉴权结果,并通过所述发送模块向所述业务平台发送,以便于所述业务平台根据所述鉴权结果确定是否向所述终端提供业务跳转。
7.根据权利要求6所述的鉴权能力开放服务器,其特征在于,所述处理模块,具体用于:
判断是否存在所述IMSI对应的鉴权向量;
若存在所述IMSI对应的鉴权向量,则获取与所述IMSI对应的鉴权向量;
若不存在所述IMSI对应的鉴权向量,则通过所述发送模块向归属签约用户服务器HSS发送鉴权向量组请求,以便于所述HSS根据所述IMSI和所述秘钥,生成鉴权向量组并向所述鉴权能力开放服务器发送,所述鉴权向量组请求携带有所述IMSI,所述鉴权向量组包括至少两个鉴权向量;
所述鉴权能力开放服务器,还包括:
存储模块,用于存储所述鉴权向量组,并由所述处理模块根据所述鉴权向量组中每个鉴权向量的生成时间确定本次鉴权过程所需的鉴权向量并获取。
8.根据权利要求7所述的鉴权能力开放服务器,其特征在于,所述处理模块,具体用于:
若存在所述IMSI对应的鉴权向量,则判断所述IMSI对应的鉴权向量的数量是否为一个;
若所述数量为一个,则获取所述鉴权向量;
若所述数量为至少两个,则根据未被使用的每个鉴权向量的生成时间确定本次鉴权过程所需的鉴权向量并获取。
9.根据权利要求6所述的鉴权能力开放服务器,其特征在于,所述处理模块,还用于若所述鉴权结果为鉴权成功,则生成鉴权令牌并存储,所述鉴权令牌为指定时间内所述终端用于业务鉴权的参数;
所述发送模块,还用于向所述终端发送所述鉴权令牌,以便于所述终端接收所述鉴权令牌,并当所述终端再次访问业务时,向所述鉴权能力开放服务器发送所述鉴权令牌;
所述处理模块,还用于将接收到的鉴权令牌与存储的鉴权令牌进行比较,得到鉴权结果,并通过所述发送模块向所述业务平台发送。
10.根据权利要求9所述的鉴权能力开放服务器,其特征在于,所述处理模块,还用于设置所述鉴权令牌的定时器;
所述处理模块,若所述定时器处于超时阈值范围内且所述终端基于所述鉴权令牌完成一次成功鉴权,则更新所述鉴权令牌并存储;
所述发送模块,还用于将更新后的鉴权令牌向所述终端发送。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611109691.4A CN106657034B (zh) | 2016-12-02 | 2016-12-02 | 一种业务鉴权的方法及鉴权能力开放服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611109691.4A CN106657034B (zh) | 2016-12-02 | 2016-12-02 | 一种业务鉴权的方法及鉴权能力开放服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106657034A true CN106657034A (zh) | 2017-05-10 |
| CN106657034B CN106657034B (zh) | 2020-09-25 |
Family
ID=58818635
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611109691.4A Active CN106657034B (zh) | 2016-12-02 | 2016-12-02 | 一种业务鉴权的方法及鉴权能力开放服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106657034B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109379344A (zh) * | 2018-09-27 | 2019-02-22 | 网宿科技股份有限公司 | 访问请求的鉴权方法及鉴权服务器 |
| CN109699030A (zh) * | 2019-01-03 | 2019-04-30 | 中国联合网络通信集团有限公司 | 无人机认证方法、装置、设备和计算机可读存储介质 |
| CN110650112A (zh) * | 2018-06-27 | 2020-01-03 | 贵州白山云科技股份有限公司 | 一种通用鉴权方法、装置及云服务网络系统 |
| CN111972025A (zh) * | 2018-04-13 | 2020-11-20 | Oppo广东移动通信有限公司 | 通信方法、网络设备和终端设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1756428A (zh) * | 2004-09-30 | 2006-04-05 | 华为技术有限公司 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
| CN1845600A (zh) * | 2006-05-17 | 2006-10-11 | 中国移动通信集团公司 | 移动广播电视业务中实现用户密钥协商的方法及系统 |
| CN102572815A (zh) * | 2010-12-29 | 2012-07-11 | 中国移动通信集团公司 | 一种对终端应用请求的处理方法、系统及装置 |
| US20130178191A1 (en) * | 2012-01-06 | 2013-07-11 | National Cheng Kung University | Roaming authentication method for a gsm system |
| CN103297970A (zh) * | 2013-05-24 | 2013-09-11 | 北京创毅讯联科技股份有限公司 | 移动终端的鉴权方法、鉴权终端、移动终端和鉴权系统 |
| CN103905400A (zh) * | 2012-12-27 | 2014-07-02 | 中国移动通信集团公司 | 一种业务认证方法、装置及系统 |
| US20150058962A1 (en) * | 2013-08-20 | 2015-02-26 | Vascode Technologies Ltd. | System and method of authentication of a first party respective of a second party aided by a third party |
| US20160344747A1 (en) * | 2015-05-22 | 2016-11-24 | M2MD Technologies, Inc. | Method and system for securely and automatically obtaining services from a machine device services server |
-
2016
- 2016-12-02 CN CN201611109691.4A patent/CN106657034B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1756428A (zh) * | 2004-09-30 | 2006-04-05 | 华为技术有限公司 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
| CN1845600A (zh) * | 2006-05-17 | 2006-10-11 | 中国移动通信集团公司 | 移动广播电视业务中实现用户密钥协商的方法及系统 |
| CN102572815A (zh) * | 2010-12-29 | 2012-07-11 | 中国移动通信集团公司 | 一种对终端应用请求的处理方法、系统及装置 |
| US20130178191A1 (en) * | 2012-01-06 | 2013-07-11 | National Cheng Kung University | Roaming authentication method for a gsm system |
| CN103905400A (zh) * | 2012-12-27 | 2014-07-02 | 中国移动通信集团公司 | 一种业务认证方法、装置及系统 |
| CN103297970A (zh) * | 2013-05-24 | 2013-09-11 | 北京创毅讯联科技股份有限公司 | 移动终端的鉴权方法、鉴权终端、移动终端和鉴权系统 |
| US20150058962A1 (en) * | 2013-08-20 | 2015-02-26 | Vascode Technologies Ltd. | System and method of authentication of a first party respective of a second party aided by a third party |
| US20160344747A1 (en) * | 2015-05-22 | 2016-11-24 | M2MD Technologies, Inc. | Method and system for securely and automatically obtaining services from a machine device services server |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111972025A (zh) * | 2018-04-13 | 2020-11-20 | Oppo广东移动通信有限公司 | 通信方法、网络设备和终端设备 |
| CN111972025B (zh) * | 2018-04-13 | 2023-10-20 | Oppo广东移动通信有限公司 | 通信方法、网络设备和终端设备 |
| CN110650112A (zh) * | 2018-06-27 | 2020-01-03 | 贵州白山云科技股份有限公司 | 一种通用鉴权方法、装置及云服务网络系统 |
| CN111277592A (zh) * | 2018-06-27 | 2020-06-12 | 贵州白山云科技股份有限公司 | 一种鉴权方法、装置、存储介质及计算机设备 |
| CN110650112B (zh) * | 2018-06-27 | 2022-05-20 | 贵州白山云科技股份有限公司 | 一种通用鉴权方法、装置及云服务网络系统 |
| CN111277592B (zh) * | 2018-06-27 | 2022-06-10 | 贵州白山云科技股份有限公司 | 一种鉴权方法、装置、存储介质及计算机设备 |
| CN109379344A (zh) * | 2018-09-27 | 2019-02-22 | 网宿科技股份有限公司 | 访问请求的鉴权方法及鉴权服务器 |
| CN109379344B (zh) * | 2018-09-27 | 2022-05-10 | 网宿科技股份有限公司 | 访问请求的鉴权方法及鉴权服务器 |
| CN109699030A (zh) * | 2019-01-03 | 2019-04-30 | 中国联合网络通信集团有限公司 | 无人机认证方法、装置、设备和计算机可读存储介质 |
| CN109699030B (zh) * | 2019-01-03 | 2021-10-22 | 中国联合网络通信集团有限公司 | 无人机认证方法、装置、设备和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106657034B (zh) | 2020-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2507710C2 (ru) | Способ приема клиента управления доступом, способ модификации операционной системы устройства, беспроводное устройство и сетевое устройство | |
| CN103597799B (zh) | 服务访问认证方法和系统 | |
| CN108462710B (zh) | 认证授权方法、装置、认证服务器及机器可读存储介质 | |
| JP6668407B2 (ja) | 移動通信システムに用いられる端末認証方法及び装置 | |
| CN104767715B (zh) | 网络接入控制方法和设备 | |
| CN110674528A (zh) | 联邦学习隐私数据处理方法、设备、系统及存储介质 | |
| CN111131242A (zh) | 一种权限控制方法、装置和系统 | |
| CN106657034A (zh) | 一种业务鉴权的方法及鉴权能力开放服务器 | |
| CN103249045A (zh) | 一种身份识别的方法、装置和系统 | |
| CN105898743B (zh) | 一种网络连接方法、装置及系统 | |
| CN101500229A (zh) | 建立安全关联的方法和通信网络系统 | |
| CN106060034A (zh) | 账号登录方法和装置 | |
| CN109639731A (zh) | 多因子通用可组合认证及服务授权方法、通信服务系统 | |
| CN110430167B (zh) | 临时账户的管理方法、电子设备、管理终端及存储介质 | |
| CN112565213A (zh) | 认证方法及装置、存储介质、电子装置 | |
| US9443069B1 (en) | Verification platform having interface adapted for communication with verification agent | |
| CN107104932A (zh) | 密钥更新方法、装置及系统 | |
| CN101990201B (zh) | 生成gba密钥的方法及其系统和设备 | |
| CN1885770B (zh) | 一种认证方法 | |
| CN105357224B (zh) | 一种智能家居网关注册、移除方法及系统 | |
| CN112040484A (zh) | 密码更新方法及装置、存储介质、电子装置 | |
| EP1927254B1 (en) | Method and a device to suspend the access to a service | |
| CN104270754A (zh) | 一种用户识别卡鉴权方法和装置 | |
| CN101895538A (zh) | 建立数据交互通道的方法和系统、智能卡、服务器 | |
| CN104270753B (zh) | 上网认证的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |