CN112995090B - 终端应用的认证方法、装置、系统和计算机可读存储介质 - Google Patents
终端应用的认证方法、装置、系统和计算机可读存储介质 Download PDFInfo
- Publication number
- CN112995090B CN112995090B CN201911209876.6A CN201911209876A CN112995090B CN 112995090 B CN112995090 B CN 112995090B CN 201911209876 A CN201911209876 A CN 201911209876A CN 112995090 B CN112995090 B CN 112995090B
- Authority
- CN
- China
- Prior art keywords
- key
- application
- authentication
- user terminal
- core network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000004044 response Effects 0.000 claims abstract description 22
- 238000013475 authorization Methods 0.000 claims description 47
- 230000006870 function Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 4
- 238000013523 data management Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 4
- 238000009795 derivation Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000011664 signaling Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Abstract
本公开涉及一种终端应用的认证方法、装置、系统和计算机可读存储介质,涉及无线通信技术领域。该方法包括:接收应用服务器响应于用户终端的第一应用认证请求发来的密钥获取请求,第一应用认证请求中包括挑战信息和用户终端利用其生成的第一密钥加密的挑战信息;根据待认证应用的标识和核心网发送的第二密钥,利用与用户终端相同的算法生成第一密钥,第二密钥根据此次应用认证事务的事务标识和KAUSF生成;将第一密钥发送给应用服务器,以便应用服务器根据第一密钥解密该加密的挑战信息,对待认证应用进行认证。
Description
技术领域
本公开涉及无线通信技术领域,特别涉及一种终端应用的认证方法、终端应用的认证装置、终端应用的认证系统和计算机可读存储介质。
背景技术
在相关技术中,基于网络的移动互联网应用访问用户身份认证技术主要有基于4G网络环境的移动网关免密登录认证技术,以及基于4G GBA(General BootstrappingArchitecture,通用认证机制)架构的认证鉴权技术。
发明内容
本公开的发明人发现上述相关技术中存在如下问题:不适用于5G框架,导致网络安全性差。
鉴于此,本公开提出了一种终端应用的认证技术方案,能够适用于5G框架,提高网络安全性。
根据本公开的一些实施例,提供了一种终端应用的认证方法,包括:接收应用服务器响应于用户终端的第一应用认证请求发来的密钥获取请求,第一应用认证请求中包括挑战信息和用户终端利用其生成的第一密钥加密的挑战信息;根据待认证应用的标识和核心网发送的第二密钥,利用与用户终端相同的算法生成第一密钥,第二密钥根据此次应用认证事务的事务标识和KAUSF(Key Authentication Server Function,密钥鉴权服务器功能)生成;将第一密钥发送给应用服务器,以便应用服务器根据第一密钥解密该加密的挑战信息,对待认证应用进行认证。
在一些实施例中,在接收密钥获取请求的步骤之前,还包括:接收核心网发送的事务标识和第二密钥;将事务标识转发给用户终端,以便用户终端生成第二密钥,用于生成第一密钥。
在一些实施例中,接收核心网发送的事务标识和第二密钥包括:将用户终端发来的第二应用认证请求转发到核心网,以便核心网根据第二应用认证请求中的用户标识查询相应的用户认证结果;在用户认证结果为通过的情况下,接收核心网发送的事务标识和第二密钥。
在一些实施例中,第二应用认证请求通过如下步骤发来:应用服务器响应于接收到用户终端的访问请求,向用户终端返回重新定向路径信息,以便用户终端根据重新定向路径信息发送第二应用请求。
在一些实施例中,还包括:在核心网中存储的用户终端的用户认证结果为通过的情况下,利用第二密钥对核心网发送的授权令牌进行加密;将加密后的授权令牌发送给用户终端,以便用户终端利用第一密钥对授权令牌进行加密后,发送给应用服务器,授权令牌用于向核心网查询用户终端的相关信息。
在一些实施例中,第一密钥根据第一应用认证请求中的用户虚拟账号、第二密钥和待认证应用的标识生成,用户虚拟账号为应用服务器为用户终端的建立。
在一些实施例中,事务标识根据用户标识和当前系统时间生成。
在一些实施例中,用户认证结果被核心网的AUSF(Authentication ServerFunction,鉴权服务器功能)实体发送给UDM(Unified Data Management,统一数据管理)实体预先存储。
根据本公开的另一些实施例,提供一种终端应用的认证装置,包括:接收单元,用于接收应用服务器响应于用户终端的第一应用认证请求发来的密钥获取请求,第一应用认证请求中包括挑战信息和用户终端利用其生成的第一密钥加密的挑战信息;生成单元,用于根据待认证应用的标识和核心网发送的第二密钥,利用与用户终端相同的算法生成第一密钥,第二密钥根据此次应用认证事务的事务标识和KAUSF生成;发送单元,用于将第一密钥发送给应用服务器,以便应用服务器根据第一密钥解密该加密的挑战信息,对待认证应用进行认证。
在一些实施例中,接收单元接收核心网发送的事务标识和第二密钥;发送单元将事务标识转发给用户终端,以便用户终端生成第二密钥。
在一些实施例中,发送单元将用户终端发来的第二应用认证请求转发到核心网,以便核心网根据第二应用认证请求中的用户标识查询相应的用户认证结果;接收单元在用户认证结果为通过的情况下,接收核心网发送的事务标识和第二密钥。
在一些实施例中,第二应用认证请求通过如下步骤发来:应用服务器响应于接收到用户终端的访问请求,向用户终端返回重新定向路径信息,以便用户终端根据重新定向路径信息发送第二应用请求。
在一些实施例中,该装置还包括:加密单元,用于在核心网中存储的用户终端的用户认证结果为通过的情况下,利用第二密钥对核心网发送的授权令牌进行加密。
在一些实施例中,发送单元将加密后的授权令牌发送给用户终端,以便用户终端利用第一密钥对授权令牌进行加密后,发送给应用服务器,授权令牌用于向核心网查询用户终端的相关信息。
在一些实施例中,第一密钥根据第一应用认证请求中的用户虚拟账号、第二密钥和待认证应用的标识生成,用户虚拟账号为应用服务器为用户终端的建立。
在一些实施例中,事务标识根据用户标识和当前系统时间生成。
在一些实施例中,用户认证结果被核心网的AUSF实体发送给UDM实体预先存储。
根据本公开的又一些实施例,提供一种终端应用的认证装置,包括:存储器;和耦接至存储器的处理器,处理器被配置为基于存储在存储器装置中的指令,执行上述任一个实施例中的终端应用的认证方法。
根据本公开的再一些实施例,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一个实施例中的终端应用的认证方法。
根据本公开的再一些实施例,提供一种终端应用的认证系统,包括:认证装置执行上述任一个实施例中的终端应用的认证方法;核心网相关网元,用于生成并向认证装置发送第二密钥。
在上述实施例中,利用了5G核心网的层次化密钥衍生能力,在核心网生成了第二密钥,并基于第二密钥生成了第一密钥用于应用认证。这样,可以认证方法可以适用于5G框架,提高了网络的安全性。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开:
图1示出本公开的终端应用的认证方法的一些实施例的流程图;
图2示出本公开的终端应用的认证系统的一些实施例的示意图;
图3示出本公开的终端应用的认证系统的一些实施例的信令图;
图4示出本公开的终端应用的认证装置的一些实施例的框图;
图5示出本公开的终端应用的认证装置的另一些实施例的框图;
图6示出本公开的终端应用的认证装置的又一些实施例的框图;
图7示出本公开的终端应用的认证系统的一些实施例的框图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1示出本公开的终端应用的认证方法的一些实施例的流程图。
如图1所示,该方法包括:步骤110,接收密钥获取请求;步骤120,生成第一密钥;步骤130,发送第一密钥。
在步骤110中,接收应用服务器响应于用户终端的第一应用认证请求发来的密钥获取请求。第一应用认证请求中包括挑战信息和用户终端利用其生成的第一密钥加密的挑战信息。
在一些实施例中,第一密钥根据第一应用认证请求中的用户虚拟账号、第二密钥和待认证应用的标识生成。用户虚拟账号为应用服务器为用户终端的建立。
在一些实施例中,在步骤110之前,接收核心网发送的事务标识和第二密钥;将事务标识转发给用户终端,以便用户终端生成第二密钥。第二密钥用于生成第一密钥。例如,事务标识根据用户标识和当前系统时间生成。
在一些实施例中,将用户终端发来的第二应用认证请求转发到核心网,以便核心网根据第二应用认证请求中的用户标识查询相应的用户认证结果;在用户认证结果为通过的情况下,接收核心网发送的事务标识和第二密钥。例如,用户认证结果被核心网的AUSF实体发送给UDM实体预先存储。
在一些实施例中,第二应用认证请求通过如下步骤发来:应用服务器响应于接收到用户终端的访问请求,向用户终端返回重新定向路径信息,以便用户终端根据重新定向路径信息发送第二应用请求。
例如,应用服务器可以绑定认证装置,以便在APP访问应用服务器时,应用服务器重定向到认证装置。例如,访问请求可以携带UE的SUCI标识。
在步骤120中,根据待认证应用的标识和核心网发送的第二密钥,利用与用户终端相同的算法生成第一密钥。第二密钥根据此次应用认证事务的事务标识和KAUSF生成。
在步骤130中,将第一密钥发送给应用服务器,以便应用服务器根据第一密钥解密该加密的挑战信息,对待认证应用进行认证。
在一些实施例中,应用服务器向认证装置请求获取应用会话密钥,并通过会话密钥验证挑战应答信息后,回复APP认证成功及应用密钥OK。
在一些实施例中,在核心网中存储的用户终端的用户认证结果为通过的情况下,利用第二密钥对核心网发送的授权令牌进行加密;将加密后的授权令牌发送给用户终端,以便用户终端利用第一密钥对授权令牌进行加密后,发送给应用服务器。授权令牌用于向核心网查询用户终端的相关信息。
例如,认证装置请求5G核心网对用户终端进行身份认证。5G核心网利用自身的UE注册鉴权认证能力,对该用户终端进行合法的身份认证和鉴权。5G核心网生成该APP认证的B-TID(Business Temporary Identity,临时事务标识)、授权Token(令牌)和应用初始密钥,并将上述生成信息返回认证装置。
在一些实施例中,认证装置将B-TID和授权Token转发给APP。APP及SDK生成应用初始密钥和应用会话密钥。APP将B-TID、Token及其挑战应答信息发送给应用服务器。
在一些实施例中,应用服务器可基于Token通过认证装置向5G核心网获取用户相关属性信息。
在上述实施例中,利用了5G核心网的层次化密钥衍生能力,在核心网生成了第二密钥,并基于第二密钥生成了第一密钥用于应用认证。这样,可以认证方法可以适用于5G框架,提高了网络的安全性。
图2示出本公开的终端应用的认证系统的一些实施例的示意图。
如图2所示,用户终端安装有移动终端APP(Application,应用)、SDK(SoftwareDevelopment Kit,软件开发工具包)和USIM(Universal Subscriber Identity Module,全球用户身份模块)。用户终端能够与5G核心网通信。5G核心网与认证装置、数据网络、应用服务器连接。
认证系统可以包括移动终端的APP及SDK、应用服务器、认证装置、5G核心网。
在一些实施例中,APP及SDK用于获取UE(User Equipment,用户设备)、SUCI(SUbscription Concealed Identifier,用户隐藏标识符);还用于发送认证请求信息(第一应用认证请求、第二应用认证请求、访问请求等);
在一些实施例中,APP及SDK基于5G核心网产生的临时事务标识(B-TID)在本地生成应用初始密钥(第二密钥);基于初始密钥、应用ID、虚拟账号等信息生成会话密钥(第一密钥)。
在一些实施例中,应用服务器即应用系统与认证装置绑定。
在一些实施例中,认证装置可以代理APP的认证请求。例如,认证装置与5G核心网信息交互,获取身份认证和鉴权结果(用户认证结果);认证装置从5G核心网获取B-TID、用户属性访问授权Token(令牌)及应用初始密钥;基于Token从5G核心网获取APP所需用户相关属性信息;基于应用ID、虚拟账号等信息应用初始密钥生成应用会话密钥。
在一些实施例中,5G核心网利用自身的UE注册鉴权认证能力对用户进行合法性身份认证和鉴权;产生B-TID和Token;基于B-TID生成应用初始密钥;基于Token发送用户属性信息给认证装置。
在一些实施例中,认证系统通过以下步骤进行应用认证。
在第1步中,在5G移动终端安装应用APP和SDK。
在第2步中,在互联网上部署认证装置及应用服务器。
在第3步中,分别配置认证装置和应用服务器,将未经身份认证的移动终端APP的访问请求重定向到认证装置。
在第4步中,安装有应用APP和SDK的5G UE接入5G核心网进行认证鉴权。5G核心网中的AUSF实体将认证鉴权结果发送给UDM实体。
在第5步中,5G UE的APP向应用服务器发起访问请求。例如,应用服务器可以为用户建立虚拟账号,以便APP在发起访问请求时可携带此虚拟账号信息。
在第6步中,应用服务器向APP返回访问重定向信息。例如,重定向信息可以包括认证装置的访问路径。
在第7步中,APP通过SDK获取5G UE的USIM卡中的SUCI。
在第8步中,APP向认证装置发送认证请求(第二应用认证请求),第二应用认证请求可以携带SUCI、应用ID以及用户虚拟账号等信息。
在第9步中,认证装置向5G核心网的UDM实体转发认证请求。例如,认证装置可以直接与5G核心网的UDM实体进行通信,也可以通过NEF(Network Exposure Function,网络开放功能)实体与UDM实体进行通信。
在第10步中,UDM实体将SUCI标识解密成SUPI(Subscription PermanentIdentifier,用户永久标识符)。UDM实体基于SUPI查询该用户终端在接入5G核心网的认证鉴权结果(用户认证结果)。如果接入认证鉴权成功,则产生本次事务参数。例如,事务参数包括B-TID、授权Token和应用初始密钥(Kappint)。
在一些实施例中,B-TID和授权Token的生成与SUCI和当前系统时间相关;应用初始密钥的生成与B-TID和5GC核心网的KAUSF。
在第11步中,UDM实体返回用户认证结果及本次事务参数给认证装置。
在第12步中,认证装置转发身份认证结果、B-TID和用Kappint加密的授权Token给APP。例如,授权Token的加密算法可以由APP和认证装置事先约定。
在第13步中,APP基于B-TID和KAUSF通过SDK,采用与UDM实体相同的算法,生成应用初始密钥。SDK通过应用初始密钥解密出授权Token,发送给APP。APP基于应用ID、应用初始密钥和虚拟账号等信息生成会话密钥(Kappsession)。
在第14步中,APP向应用服务器发送B-TID、挑战应答、用Kappsession加密的授权Token、用Kappsession加密的挑战应答信息。例如,授权Token的加密算法可以由APP和应用服务器事先约定。
在第15步中,应用服务器向认证装置请求应用会话密钥,该请求携带B-TID信息。
在第16步中,认证装置采用与APP相同的算法,基于应用ID、Kappint和虚拟账号等信息,生成应用会话密钥,并返回给应用服务器。例如,认证装置使用安全通道返回生成会话密钥给应用服务器时应
在第17步中,应用服务器使用会话密钥解密授权Token和APP发来的挑战应答信息,并验证该挑战应答信息。
在第18步中,应用服务器根据挑战应答信息验证结果,向APP回复会话密钥协商成功,用户身份认证通过。
在第19步中,应用服务器向认证装置发送授权Token信息。认证装置通过授权Token向5G核心网的UDM实体查询用户属性相关信息,并返回给应用服务器。
在一些实施例中,B-TID、授权Token、Kappint、Kappsession均有lifetime(生存时间)的限定,lifetime参数大小可由5G核心网确定。
图3示出本公开的终端应用的认证系统的一些实施例的信令图。
如图3所示,在事件301中,应用服务的提供商在互联网上部署应用服务器;5G网络的运营商部署认证装置;并分别配置应用服务器和认证装置,将未经身份认证的移动终端的APP访问请求重定向到认证装置。
在事件302中,用户在5G移动终端(UE)分别装入5G USIM卡、APP和SDK。
在事件303中,5G UE向5G核心网注册,进行接入认证鉴权(用户认证)。
在事件304中,5G UE接入认证鉴权成功后,5G核心网中的AUSF实体将认证鉴权结果(用户认证结果)发送给UDM实体。
在事件305中,用户开启5G UE中的APP,输入应用服务器分配给用户的虚拟账号。APP携带虚拟账号向应用服务器发起访问请求。
在事件306中,应用服务器向APP返回访问重定向信息,包括认证装置的访问路径。
在事件307中,APP通过SDK获取5G UE的USIM卡中的SUCI。例如,SDK访问USIM卡的通道可以是OMA(Open Mobile Alliance,开放移动联盟)机卡接口方式。
在事件308中,APP根据重定向信息向认证装置发送认证请求(第二应用认证请求),该认证请求携带SUCI、应用ID以及用户虚拟账号等。
在事件309中,认证装置向5G核心网的UDM实体转发该认证请求(携带SUCI)。认证装置可以直接与5G核心网的UDM实体进行通信,也可以通过NEF实体与UDM实体进行通信。
在事件310中,UDM实体解密SUCI标识成SUPI,并基于SUPI查询该用户中的接入5G核心网时的认证鉴权结果。如果接入认证鉴权成功,则产生本次事务参数,包括B-TID、授权Token和应用初始密钥t。B-TID和授权Token的生成与SUCI和当前系统时间相关;应用初始密钥的生成与B-TID和5G核心网的KAUSF相关。
在事件311中,UDM实体返回认证鉴权结果及本次事务参数给认证装置。
在事件312中,认证装置采用应用初始密钥加密授权Token,并向APP转发认证鉴权结果、B-TID和加密后的授权Token信息。授权Token的加密算法可以由APP和认证装置事先约定。
在事件313中,SDK获取UE中的KAUSF,并基于B-TID和KAUSF采用与UDM实体相同的算法生成应用初始密钥;然后,SDK通过Kappint解密出授权Token给APP;APP基于应用ID、Kappint和虚拟账号等信息生成会话密钥。
在事件314中,APP生成挑战应答信息,并采用Kappsession加密授权Token和挑战应答信息。APP向应用服务器发送B-TID、挑战应答、加密后Token和挑战应答信息。授权Token和挑战应答信息的加密算法可以由应用APP和应用服务器事先约定。
在事件315中,应用服务器向认证装置请求应用会话密钥(携带B-TID信息)。
在事件316中,认证装置采用与APP相同的算法,基于应用ID、Kappint和虚拟账号等信息生成会话密钥。
在事件317中,认证装置使用安全通道返回会话密钥给应用服务器。
在事件318中,应用服务器使用会话密钥解密授权Token和挑战应答信息,并验证该挑战应答信息。
在事件319中,应用服务器根据挑战应答信息验证结果向APP回复会话密钥协商成功,用户身份认证通过。
在事件320中,应用服务器使用安全通道发送授权Token信息给认证装置;认证装置通过授权Token向5G核心网的UDM实体查询用户属性相关信息,并返回给应用服务器。
在上述实施例中,在5G网络环境下,为用户通过移动终端访问移动互联网的应用,提供一种安全便捷的身份认证和应用密钥生成方法。该方法既保护了用户在应用端的隐私安全,又为应用的客户端和服务器之间的安全通信提供了保障。
图4示出本公开的终端应用的认证装置的一些实施例的框图。
如图4所示,终端应用的认证装置4包括接收单元41、生成单元42和发送单元43。
接收单元41接收应用服务器响应于用户终端的第一应用认证请求发来的密钥获取请求。第一应用认证请求中包括挑战信息和用户终端利用其生成的第一密钥加密的挑战信息。
生成单元42根据待认证应用的标识和核心网发送的第二密钥,利用与用户终端相同的算法生成第一密钥。第二密钥根据此次应用认证事务的事务标识和KAUSF生成。
发送单元43将第一密钥发送给应用服务器,以便应用服务器根据第一密钥解密该加密的挑战信息,对待认证应用进行认证。
在一些实施例中,接收单元41接收核心网发送的事务标识和第二密钥;发送单元43将事务标识转发给用户终端,以便用户终端生成第二密钥。
在一些实施例中,发送单元43将用户终端发来的第二应用认证请求转发到核心网,以便核心网根据第二应用认证请求中的用户标识查询相应的用户认证结果;接收单元41在用户认证结果为通过的情况下,接收核心网发送的事务标识和第二密钥。
在一些实施例中,第二应用认证请求通过如下步骤发来:应用服务器响应于接收到用户终端的访问请求,向用户终端返回重新定向路径信息,以便用户终端根据重新定向路径信息发送第二应用请求。
在一些实施例中,认证装置4还包括加密单元44,用于在核心网中存储的用户终端的用户认证结果为通过的情况下,利用第二密钥对核心网发送的授权令牌进行加密。
在一些实施例中,发送单元43将加密后的授权令牌发送给用户终端,以便用户终端利用第一密钥对授权令牌进行加密后,发送给应用服务器。授权令牌用于向核心网查询用户终端的相关信息。
在一些实施例中,第一密钥根据第一应用认证请求中的用户虚拟账号、第二密钥和待认证应用的标识生成,用户虚拟账号为应用服务器为用户终端的建立。
在一些实施例中,事务标识根据用户标识和当前系统时间生成。
在一些实施例中,用户认证结果被核心网的AUSF实体发送给UDM实体预先存储。
在上述实施例中,利用了5G核心网的层次化密钥衍生能力,在核心网生成了第二密钥,并基于第二密钥生成了第一密钥用于应用认证。这样,可以认证方法可以适用于5G框架,提高了网络的安全性。
图5示出本公开的终端应用的认证装置的另一些实施例的框图。
如图5所示,该实施例的终端应用的认证装置5包括:存储器51以及耦接至该存储器51的处理器52,处理器52被配置为基于存储在存储器51中的指令,执行本公开中任意一个实施例中的终端应用的认证方法。
其中,存储器51例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序、数据库以及其他程序等。
图6示出本公开的终端应用的认证装置的又一些实施例的框图。
如图6所示,该实施例的终端应用的认证装置6包括:存储器610以及耦接至该存储器610的处理器620,处理器620被配置为基于存储在存储器610中的指令,执行前述任意一个实施例中的终端应用的认证方法。
存储器610例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序以及其他程序等。
终端应用的认证装置6还可以包括输入输出接口630、网络接口640、存储接口650等。这些接口630、640、650以及存储器610和处理器620之间例如可以通过总线660连接。其中,输入输出接口630为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口640为各种联网设备提供连接接口。存储接口650为SD卡、U盘等外置存储设备提供连接接口。
图7示出本公开的终端应用的认证系统的一些实施例的框图。
如图7所示,终端应用的认证系统7包括:认证装置71执行上述任一个实施例中的终端应用的认证方法;核心网相关网元72,用于生成并向认证装置发送第二密钥。
本领域内的技术人员应当明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质上实施的计算机程序产品的形式。
至此,已经详细描述了根据本公开的终端应用的认证方法、终端应用的认证装置、终端应用的认证系统和计算机可读存储介质。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本公开的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改。本公开的范围由所附权利要求来限定。
Claims (19)
1.一种终端应用的认证方法,包括:
接收应用服务器响应于用户终端的第一应用认证请求发来的密钥获取请求,所述第一应用认证请求中包括挑战信息和所述用户终端利用其生成的第一密钥加密的挑战信息,所述第一密钥根据核心网发送的第二密钥生成;
根据待认证应用的标识和核心网发送的第二密钥,利用与所述用户终端相同的算法生成所述第一密钥,所述第二密钥为核心网根据此次应用认证事务的事务标识和密钥鉴权服务器功能KAUSF生成;
将所述第一密钥发送给所述应用服务器,以便所述应用服务器根据所述第一密钥解密所述加密的挑战信息,对所述待认证应用进行认证。
2.根据权利要求1所述的认证方法,在接收所述密钥获取请求的步骤之前,还包括:
接收所述核心网发送的所述事务标识和所述第二密钥;
将所述事务标识转发给所述用户终端,以便所述用户终端生成所述第二密钥,用于生成所述第一密钥。
3.根据权利要求2所述的认证方法,其中,所述接收所述核心网发送的所述事务标识和所述第二密钥包括:
将所述用户终端发来的第二应用认证请求转发到核心网,以便所述核心网根据所述第二应用认证请求中的用户标识查询相应的用户认证结果;
在所述用户认证结果为通过的情况下,接收所述核心网发送的所述事务标识和所述第二密钥。
4.根据权利要求3所述的认证方法,其中,
所述第二应用认证请求通过如下步骤发来:
所述应用服务器响应于接收到所述用户终端的访问请求,向所述用户终端返回重新定向路径信息,以便所述用户终端根据所述重新定向路径信息发送所述第二应用认证请求。
5.根据权利要求3所述的认证方法,还包括:
在所述核心网中存储的所述用户终端的用户认证结果为通过的情况下,利用所述第二密钥对所述核心网发送的授权令牌进行加密;
将加密后的所述授权令牌发送给所述用户终端,以便所述用户终端利用所述第一密钥对所述授权令牌进行加密后,发送给所述应用服务器,所述授权令牌用于向所述核心网查询所述用户终端的相关信息。
6.根据权利要求1所述的认证方法,其中,
所述第一密钥根据所述第一应用认证请求中的用户虚拟账号、所述第二密钥和所述待认证应用的标识生成,所述用户虚拟账号是所述应用服务器为所述用户终端建立的。
7.根据权利要求3所述的认证方法,其中,
所述事务标识根据所述用户标识和当前系统时间生成。
8.根据权利要求3-5任一项所述的认证方法,其中,
所述用户认证结果被所述核心网的鉴权服务器功能AUSF实体发送给统一数据管理UDM实体预先存储。
9.一种终端应用的认证装置,包括:
接收单元,用于接收应用服务器响应于用户终端的第一应用认证请求发来的密钥获取请求,所述第一应用认证请求中包括挑战信息和所述用户终端利用其生成的第一密钥加密的挑战信息,所述第一密钥根据核心网发送的第二密钥生成;
生成单元,用于根据待认证应用的标识和核心网发送的第二密钥,利用与所述用户终端相同的算法生成所述第一密钥,所述第二密钥为核心网根据此次应用认证事务的事务标识和密钥鉴权服务器功能KAUSF生成;
发送单元,用于将所述第一密钥发送给所述应用服务器,以便所述应用服务器根据所述第一密钥解密所述加密的挑战信息,对所述待认证应用进行认证。
10.根据权利要求9所述的认证装置,其中,
所述接收单元接收所述核心网发送的所述事务标识和所述第二密钥;
所述发送单元将所述事务标识转发给所述用户终端,以便所述用户终端生成所述第二密钥。
11.根据权利要求10所述的认证装置,其中,
所述发送单元将所述用户终端发来的第二应用认证请求转发到核心网,以便所述核心网根据所述第二应用认证请求中的用户标识查询相应的用户认证结果;
所述接收单元在所述用户认证结果为通过的情况下,接收所述核心网发送的所述事务标识和所述第二密钥。
12.根据权利要求11所述的认证装置,其中,
所述第二应用认证请求通过如下步骤发来:
所述应用服务器响应于接收到所述用户终端的访问请求,向所述用户终端返回重新定向路径信息,以便所述用户终端根据所述重新定向路径信息发送所述第二应用认证请求。
13.根据权利要求11所述的认证装置,还包括:
加密单元,用于在所述核心网中存储的所述用户终端的用户认证结果为通过的情况下,利用所述第二密钥对所述核心网发送的授权令牌进行加密;
其中,
所述发送单元将加密后的所述授权令牌发送给所述用户终端,以便所述用户终端利用所述第一密钥对所述授权令牌进行加密后,发送给所述应用服务器,所述授权令牌用于向所述核心网查询所述用户终端的相关信息。
14.根据权利要求9所述的认证装置,其中,
所述第一密钥根据所述第一应用认证请求中的用户虚拟账号、所述第二密钥和所述待认证应用的标识生成,所述用户虚拟账号是所述应用服务器为所述用户终端建立的。
15.根据权利要求11所述的认证装置,其中,
所述事务标识根据所述用户标识和当前系统时间生成。
16.根据权利要求11-13任一项所述的认证装置,其中,
所述用户认证结果被所述核心网的鉴权服务器功能AUSF实体发送给统一数据管理UDM实体预先存储。
17.一种终端应用的认证装置,包括:
存储器;和
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行权利要求1-8任一项所述的终端应用的认证方法。
18.一种终端应用的认证系统,包括:
认证装置,用于执行权利要求1-8任一项所述的终端应用的认证方法;
核心网相关网元,用于生成并向所述认证装置发送第二密钥。
19.一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-8任一项所述的终端应用的认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911209876.6A CN112995090B (zh) | 2019-12-02 | 2019-12-02 | 终端应用的认证方法、装置、系统和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911209876.6A CN112995090B (zh) | 2019-12-02 | 2019-12-02 | 终端应用的认证方法、装置、系统和计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112995090A CN112995090A (zh) | 2021-06-18 |
| CN112995090B true CN112995090B (zh) | 2022-11-08 |
Family
ID=76330904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911209876.6A Active CN112995090B (zh) | 2019-12-02 | 2019-12-02 | 终端应用的认证方法、装置、系统和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112995090B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113890765A (zh) * | 2021-10-28 | 2022-01-04 | 中国电信股份有限公司 | 用于互联网应用的免密认证方法、系统和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009919A (zh) * | 2006-01-24 | 2007-08-01 | 华为技术有限公司 | 一种基于移动网络端到端通信的认证方法 |
| JP2008167107A (ja) * | 2006-12-28 | 2008-07-17 | Tokyo Institute Of Technology | 公開鍵基盤を利用したチャレンジ・レスポンス認証方法 |
| CN101600205A (zh) * | 2009-07-10 | 2009-12-09 | 华为技术有限公司 | Sim卡用户设备接入演进网络的方法和相关设备 |
| CN106411715A (zh) * | 2016-11-02 | 2017-02-15 | 中国人民公安大学 | 一种基于云端的安全即时通信方法及系统 |
| WO2018120150A1 (zh) * | 2016-12-30 | 2018-07-05 | 华为技术有限公司 | 网络功能实体之间的连接方法及装置 |
-
2019
- 2019-12-02 CN CN201911209876.6A patent/CN112995090B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009919A (zh) * | 2006-01-24 | 2007-08-01 | 华为技术有限公司 | 一种基于移动网络端到端通信的认证方法 |
| JP2008167107A (ja) * | 2006-12-28 | 2008-07-17 | Tokyo Institute Of Technology | 公開鍵基盤を利用したチャレンジ・レスポンス認証方法 |
| CN101600205A (zh) * | 2009-07-10 | 2009-12-09 | 华为技术有限公司 | Sim卡用户设备接入演进网络的方法和相关设备 |
| CN106411715A (zh) * | 2016-11-02 | 2017-02-15 | 中国人民公安大学 | 一种基于云端的安全即时通信方法及系统 |
| WO2018120150A1 (zh) * | 2016-12-30 | 2018-07-05 | 华为技术有限公司 | 网络功能实体之间的连接方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112995090A (zh) | 2021-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2852118B1 (en) | Method for an enhanced authentication and/or an enhanced identification of a secure element located in a communication device, especially a user equipment | |
| EP2255507B1 (en) | A system and method for securely issuing subscription credentials to communication devices | |
| WO2017028593A1 (zh) | 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质 | |
| EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
| WO2018014760A1 (zh) | 图形码信息提供、获取方法、装置及终端 | |
| EP2637351A1 (en) | Method and system for single sign-on | |
| EP2624612A1 (en) | A method for near field communication operation, a device and a system thereto | |
| CN109145628B (zh) | 一种基于可信执行环境的数据采集方法及系统 | |
| CN111512608A (zh) | 基于可信执行环境的认证协议 | |
| CN101621794A (zh) | 一种无线应用服务系统的安全认证实现方法 | |
| WO2018010150A1 (zh) | 一种认证方法和认证系统 | |
| US20140011479A1 (en) | Identification method for accessing mobile broadband services or applications | |
| US20210256102A1 (en) | Remote biometric identification | |
| CN112995090B (zh) | 终端应用的认证方法、装置、系统和计算机可读存储介质 | |
| RU2698424C1 (ru) | Способ управления авторизацией | |
| CN102694779A (zh) | 组合认证系统及认证方法 | |
| CN116233832A (zh) | 验证信息发送方法及装置 | |
| KR101329789B1 (ko) | 모바일 디바이스의 데이터베이스 암호화 방법 | |
| JP7404540B2 (ja) | プライバシー情報伝送方法、装置、コンピュータ機器及びコンピュータ読み取り可能な媒体 | |
| CN114501591A (zh) | 智能设备入网方法及其装置、计算机可读存储介质 | |
| CN114244505A (zh) | 一种基于安全芯片的安全通信方法 | |
| EP3125595A1 (en) | Method to provide identification in privacy mode | |
| CN107426724B (zh) | 智能家电接入无线网络的方法及系统及终端及认证服务器 | |
| CN109818903B (zh) | 数据传输方法、系统、装置和计算机可读存储介质 | |
| WO2024088370A1 (zh) | 设备匿名标识获取方法、装置、存储介质及计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20210618 Assignee: Tianyiyun Technology Co.,Ltd. Assignor: CHINA TELECOM Corp.,Ltd. Contract record no.: X2024110000020 Denomination of invention: Authentication methods, devices, systems, and computer-readable storage media for terminal applications Granted publication date: 20221108 License type: Common License Record date: 20240315 |
|
| EE01 | Entry into force of recordation of patent licensing contract |