CN114051241A - 一种通信处理方法及装置 - Google Patents
一种通信处理方法及装置 Download PDFInfo
- Publication number
- CN114051241A CN114051241A CN202210035963.XA CN202210035963A CN114051241A CN 114051241 A CN114051241 A CN 114051241A CN 202210035963 A CN202210035963 A CN 202210035963A CN 114051241 A CN114051241 A CN 114051241A
- Authority
- CN
- China
- Prior art keywords
- authentication
- terminal equipment
- bsf
- information
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 59
- 238000003672 processing method Methods 0.000 title claims abstract description 33
- 230000004044 response Effects 0.000 claims abstract description 148
- 230000005540 biological transmission Effects 0.000 claims abstract description 31
- 230000000977 initiatory effect Effects 0.000 claims abstract description 19
- 230000010354 integration Effects 0.000 claims abstract description 7
- 238000012795 verification Methods 0.000 claims description 54
- 238000000034 method Methods 0.000 claims description 39
- 238000012545 processing Methods 0.000 claims description 33
- 230000004927 fusion Effects 0.000 claims description 30
- 230000008569 process Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 10
- 238000004364 calculation method Methods 0.000 claims description 6
- DMBHHRLKUKUOEG-UHFFFAOYSA-N diphenylamine Chemical compound C=1C=CC=CC=1NC1=CC=CC=C1 DMBHHRLKUKUOEG-UHFFFAOYSA-N 0.000 claims description 3
- 238000010295 mobile communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 3
- 238000004846 x-ray emission Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/06—Airborne or Satellite Networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Astronomy & Astrophysics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种通信处理方法及装置,应用于终端设备,涉及通信领域,包括:发起与认证服务器BSF的相互认证,得到认证标识和密钥,密钥用于终端设备与北斗融合网关进行数据传输的安全保护;向北斗融合网关发送第一请求消息,第一请求消息包括认证标识和第一认证信息;接收北斗融合网关发送的第一响应消息,第一响应消息用于指示认证成功,或未认证成功。终端设备通过发起与认证服务器的相互认证,可以得到认证标识。终端设备将第一认证信息和认证标识发送给北斗融合网关,以使北斗融合网关对终端设备进行认证,并接收北斗融合网关发送的认证结果。在认证结果为认证通过时,实现了通过卫星网络对终端设备(也可以称之为移动用户)的认证。
Description
技术领域
本发明涉及通信领域,特别涉及一种通信处理方法及装置。
背景技术
未来通信网络会采用卫星网络和移动通信网络混合覆盖的办法,来确保在地震、洪水等情况下服务在线,卫星通信和地面移动通信网络将更好的融合。我国的北斗三代卫星通信系统具有短报文收发能力,移动终端厂商可以通过改造移动终端的方法,使用户在不方便接入地面移动通信网络的时候,接入北斗三代卫星网络,然后通过北斗三代卫星网络链接到移动网络,使能移动终端的“星际漫游”,通过北斗卫星向其他移动终端用户收发短信。由于卫星通信和移动通信机制不同,卫星网络运营商和地面移动通信运营商不是同一家公司,如何透过卫星网络,实现移动用户的认证是一个重要课题。
发明内容
本发明提供了一种通信处理方法及装置,以透过卫星网络,实现移动用户的认证。
为了达到上述目的,本发明提供了一种通信处理方法,应用于终端设备,包括:
发起与认证服务器BSF的相互认证,得到认证标识和密钥,所述密钥用于所述终端设备与北斗融合网关进行数据传输的安全保护;向北斗融合网关发送第一请求消息,所述第一请求消息包括所述认证标识和第一认证信息;接收所述北斗融合网关发送的第一响应消息,所述第一响应消息用于指示认证成功,或未认证成功。
可选地,所述发起与认证服务器BSF的相互认证的触发方式包括以下至少一项:接收所述北斗融合网关发送的指示信息,所述指示信息用于指示所述终端设备需要进行认证;所述终端设备首次接入移动网络;所述密钥失效。
可选地,所述密钥存储于所述终端设备的目标区域,所述目标区域专用于所述密钥的存储;或者,所述目标区域为所述终端设备SIM卡的存储区域。
可选地,所述发起与认证服务器BSF的相互认证,得到认证标识和密钥,包括:向所述认证服务器BSF发送第二请求消息,所述第二请求消息包括所述终端设备的标识;接收BSF发送的第二响应消息,所述第二响应消息包括:第一信息;在基于所述第一信息对所述BSF认证成功后,基于第一参数计算得到所述密钥,并向所述BSF发送第二候选鉴权参数,以使所述BSF根据所述第二候选鉴权参数对所述终端设备进行认证;在所述BSF对所述终端设备认证通过后,接收所述BSF发送的认证标识。
可选地,所述第一信息包括第一参数和第一目标鉴权参数;基于所述第一信息对所述BSF认证成功后,基于所述第一参数计算得到所述密钥,并向所述BSF发送第二候选鉴权参数,包括:根据所述第一参数,计算得到第一候选鉴权参数;在所述第一候选鉴权参数和所述第一目标鉴权参数一致时,对所述BSF认证成功;基于所述第一参数计算所述密钥和所述第二候选鉴权参数,并向所述BSF发送第一验证请求,所述第一验证请求中包括所述第二候选鉴权参数。
可选地,所述在所述BSF对所述终端设备认证通过后,接收所述BSF发送的认证标识,包括:在所述BSF对所述终端设备认证通过后,接收所述BSF发送的第一验证响应,所述第一验证响应包括所述认证标识,所述第一验证响应为所述BSF基于所述第二候选鉴权参数对所述终端设备认证成功之后发送的。
可选地,所述第一验证响应中还包括所述密钥的有效期;对应保存所述密钥及其所述有效期。
本发明的另一实施例提供了一种通信处理方法,应用于认证服务器BSF,包括:与终端设备进行相互认证,确定所述终端设备对应的认证标识和密钥,所述密钥用于所述终端设备与北斗融合网关进行数据传输的安全保护;接收所述北斗融合网关发送的第三请求消息,所述第三请求消息中包括所述认证标识,所述认证标识用于查找对应的所述密钥和第二认证信息,其中,所述第二认证信息用于对所述终端设备进行认证;向所述北斗融合网关发送第三响应消息,所述第三响应消息中包括所述密钥和所述第二认证信息。
可选地,与终端设备的相互认证,确定所述终端设备对应的认证标识和密钥,包括:接收终端设备发送的第二请求消息,所述第二请求消息包括所述终端设备的标识;根据所述第二请求消息,通过用户归属服务器HSS获取第一信息和第二信息;向所述终端设发送第二响应消息,所述第二响应消息包括:第一信息;在确定所述终端设备基于所述第一信息对BSF认证成功后,根据所述第二信息对所述终端设备进行认证;在对所述终端设备认证通过后,确定所述终端设备对应的认证标识和密钥,并向所述终端设备发送所述认证标识。
可选地,所述根据所述第二请求消息,通过用户归属服务器HSS获取第一信息和第二信息,包括:向所述用户归属服务器HSS发送第四请求消息,所述第四请求消息用于指示对所述终端设备进行认证,所述第四请求消息包括所述终端设备的标识;接收所述HSS发送的第四响应消息,所述第四响应消息包括:所述第一信息和所述第二信息。
可选地,所述第一信息包括第一参数和第一目标鉴权参数,所述第二信息包括第二目标鉴权参数,其中,所述第二目标鉴权参数基于所述第一参数生成;在确定所述终端设备基于所述第一信息对BSF认证成功后,根据所述第二信息对所述终端设备进行认证,包括:接收所述终端设备发送的第一验证请求,所述第一验证请求包括第二候选鉴权参数;所述第二候选鉴权参数用于所述BSF对所述终端设备进行认证,所述第一验证请求为所述终端设备在基于所述第一信息对所述BSF认证成功之后发送的;基于所述第二候选鉴权参数和所述第二目标鉴权参数对所述终端设备进行认证。
可选地,所述在对所述终端设备认证通过后,确定所述终端设备对应的认证标识和密钥,并向所述终端设备发送所述认证标识,包括:在所述第二候选鉴权参数和所述第二目标鉴权参数一致时,根据所述第一参数生成密钥,所述密钥用于所述终端设备与所述北斗融合网关进行数据传输的安全保护;向所述终端设备发送第一验证响应,所述第一验证响应包括所述认证标识及所述密钥的有效期。
本发明的又一实施例提供了一种通信处理方法,应用于北斗融合网关,包括:接收终端设备发送的第一请求消息,所述第一请求消息包括认证标识和第一认证信息;根据所述第一请求消息,通过认证服务器BSF对所述终端设备进行认证;在所述终端设备认证通过后,向所述终端设备发送第一响应消息,所述第一响应消息用于指示认证成功,并存储认证过程中从BSF获取到的密钥,所述密钥用于所述终端设备与所述北斗融合网关进行数据传输的安全保护。
可选地,所述根据所述第一请求消息,通过认证服务器BSF对所述终端设备进行认证,包括:向所述认证服务器BSF发送第三请求消息,所述第三请求消息中包括所述认证标识,所述认证标识用于查找对应的密钥和第二认证信息,其中,所述第二认证信息用于对所述终端设备进行认证;所述密钥用于所述终端设备与北斗融合网关进行数据传输的安全保护;接收所述BSF发送的第三响应消息,所述第三响应消息中包括所述密钥和所述第二认证信息;将所述第一认证信息和所述第二认证信息进行比对,确定认证结果为成功或不成功。
可选地,所述方法还包括:向所述终端设备发送指示信息,所述指示信息用于指示所述终端设备需要进行认证。
可选地,在向所述终端设备发送指示信息之前,还包括:根据接收到的业务请求访问,确定所述终端设备未进行过通用引导架构认证。
本发明的再一实施例提供了一种通信处理装置,应用于终端设备,包括:第一发送模块,用于发起与认证服务器BSF的相互认证,得到认证标识和密钥,所述密钥用于所述终端设备与北斗融合网关进行数据传输的安全保护;第一发送模块,还用于向北斗融合网关发送第一请求消息,所述第一请求消息包括所述认证标识和第一认证信息;第一接收模块,用于接收所述北斗融合网关发送的第一响应消息,所述第一响应消息用于指示认证成功,或未认证成功。
本发明的另一实施例提供了一种通信处理装置,应用于认证服务器BSF,包括:第二处理模块,用于与终端设备进行相互认证,确定所述终端设备对应的认证标识和密钥,所述密钥用于所述终端设备与北斗融合网关进行数据传输的安全保护;第二接收模块,用于接收所述北斗融合网关发送的第三请求消息,所述第三请求消息中包括所述认证标识,所述认证标识用于查找对应的所述密钥和第二认证信息,其中,所述第二认证信息用于对所述终端设备进行认证;第二发送模块,还用于向所述北斗融合网关发送第三响应消息,所述第三响应消息中包括所述密钥和所述第二认证信息。
本发明的又一实施例提供了一种通信处理装置,应用于北斗融合网关,包括:第三接收模块,用于接收终端设备发送的第一请求消息,所述第一请求消息包括认证标识和第一认证信息;第三处理模块,用于根据所述第一请求消息,通过认证服务器BSF对所述终端设备进行认证;第三发送模块,用于在所述终端设备认证通过后,向所述终端设备发送第一响应消息,所述第一响应消息用于指示认证成功,并存储认证过程中从BSF获取到的密钥,所述密钥用于所述终端设备与所述北斗融合网关进行数据传输的安全保护。
本发明的另一实施例提供了一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时,实现如上所述的通信处理方法的步骤。
本发明的又一实施例提供了一种终端,所述终端包括处理器,存储器,存储于所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上所述的通信处理方法的步骤。
本发明的上述技术方案至少有如下有益效果:
本发明实施例提供的通信处理方法,终端设备通过发起与认证服务器的相互认证,在认证成功之后可以得到认证服务器分配的认证标识。终端设备将第一认证信息和认证标识发送给北斗融合网关,以使北斗融合网关基于第一认证信息和认证标识对终端设备进行认证,并接收北斗融合网关发送的认证结果。在认证结果为认证通过时,实现了通过卫星网络对终端设备(也可以称之为移动用户)的认证。
并且,终端设备可以计算得到密钥,从而在与北斗融合网关进行数据传输时,可以利用所述密钥对传输的数据进行安全保护。
附图说明
图1为本发明实施例提供的一种通信处理方法的流程示意图之一;
图2为本发明实施例提供的一种通信处理方法的流程示意图之二;
图3为本发明实施例提供的一种通信处理方法的流程示意图之三;
图4为本发明实施例提供的一种通信处理方法的流程示意图之四;
图5为本发明实施例提供的一种通信处理方法的流程示意图之五;
图6为本发明实施例提供的一种通信处理装置的结构示意图之一;
图7为本发明实施例提供的一种通信处理装置的结构示意图之二;
图8为本发明实施例提供的一种通信处理装置的结构示意图之三。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。在下面的描述中,提供诸如具体的配置和组件的特定细节仅仅是为了帮助全面理解本发明的实施例。因此,本领域技术人员应该清楚,可以对这里描述的实施例进行各种改变和修改而不脱离本发明的范围和精神。另外,为了清楚和简洁,省略了对已知功能和构造的描述。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
在本发明的各种实施例中,应理解,下述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A 和/或B,可以表示:单独存在A,同时存在A 和B,单独存在B 这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
在本发明所提供的实施例中,应理解,“与A 相应的B”表示B 与A 相关联,根据A可以确定B。但还应理解,根据A 确定B 并不意味着仅仅根据A 确定B,还可以根据A 和/或其它信息确定B。
参见图1所示,本发明的一实施例提供了一种通信处理方法,
在终端设备(User Equipment)侧,至少包括以下步骤:
步骤11:发起与认证服务器BSF的相互认证,得到认证标识和密钥,所述密钥用于所述终端设备与北斗融合网关进行数据传输的安全保护。
步骤12:向北斗融合网关发送第一请求消息,所述第一请求消息包括所述认证标识和第一认证信息。
步骤13:接收所述北斗融合网关发送的第一响应消息,所述第一响应消息用于指示认证成功,或未认证成功。
本发明实施例提供的通信处理方法,终端设备通过发起与认证服务器的相互认证,在认证成功之后可以得到认证服务器分配的认证标识。终端设备将第一认证信息和认证标识发送给北斗融合网关,以使北斗融合网关基于第一认证信息和认证标识对终端设备进行认证,并接收北斗融合网关发送的认证结果。在认证结果为认证通过时,实现了通过卫星网络对终端设备(也可以称之为移动用户)的认证。
并且,终端设备可以计算得到密钥,从而在与北斗融合网关进行数据传输时,可以利用所述密钥对传输的数据进行安全保护。
对应的,参见图2,在认证服务器BSF侧,至少包括以下步骤:
步骤21:与终端设备进行相互认证,确定所述终端设备对应的认证标识和密钥,所述密钥用于所述终端设备与北斗融合网关进行数据传输的安全保护;
步骤22:接收所述北斗融合网关发送的第三请求消息,所述第三请求消息中包括所述认证标识,所述认证标识用于查找对应的所述密钥和第二认证信息,其中,所述第二认证信息用于对所述终端设备进行认证;
步骤23:向所述北斗融合网关发送第三响应消息,所述第三响应消息中包括所述密钥和所述第二认证信息。
通过与终端设备进行相互认证,并在认证成功的情况下,可以确定终端设备对应的认证标识和密钥。在接收到北斗融合网关发送的认证标识时,认证服务器可以通过认证标识查找到对应的密钥和第二认证信息,并将密钥和第二认证信息发送给北斗融合网关,以使北斗融合网关基于第二认证信息和密钥对终端设备进行认证。
对应的,参见图3,在北斗融合网关侧,至少包括以下步骤:
步骤31:北斗融合网关接收终端设备发送的第一请求消息,所述第一请求消息包括认证标识和第一认证信息;
步骤32:根据所述第一请求消息,通过认证服务器BSF对所述终端设备进行认证;
步骤33:在所述终端设备认证通过后,向所述终端设备发送第一响应消息,所述第一响应消息用于指示认证成功,并存储认证过程中从BSF获取到的密钥,所述密钥用于所述终端设备与所述北斗融合网关进行数据传输的安全保护。
在接收到终端设备发送的第一请求信息之后,通过认证服务器对终端设备进行认证,并在认证成功后,将认证成功的信息发送给终端设备。并且,通过将认证服务器发送的密钥进行保存,可以在后续对终端设备进行认证时使用,也可以在与终端设备进行数据传输时,利用密钥对传输的数据进行加密。
在本发明中,终端设备也可以称之为用户设备(User Equipment,UE),该终端设备可以是移动终端,例如移动电话或者平板电脑。
北斗融合网关可以理解为能够与北斗卫星进行通信的通信设备。通过北斗融合网关,可以实现终端设备与北斗卫星的数据传输。北斗融合网关可以是鉴权解析服务器。
所述认证标识可以是终端引导标识(Bootstrapping Transaction Identifier,B-TID)。
需要说明的是,所述第一请求消息可以是超文本传输协议(Hyper Text TransferProtocol,HTTP)请求(request),用HTTP request表示。所述第一请求消息用于请求向所述北斗融合网关进行认证。
所述第一认证信息可以包括第一响应(response)值和/或终端设备的认证方式,该第一response值可以是第一请求消息头域Authorization中携带的,也可以是以单独的消息进行发送的。该第一response值根据密钥计算得到。
所述第一认证信息可以是终端设备基于第一信息计算得到的,认证服务器侧也会根据第一信息及与终端设备相同的算法计算得到第二认证信息。认证服务器在得到第二认证信息之后,对应保存认证标识与第二认证信息的对应关系,并在接收到北斗融合网关的发送的认证标识后,将与所述认证标识对应的所述第二认证信息发送给所述北斗融合网关,以使北斗融合网关与终端设备基于第二认证信息和第一认证信息进行认证。
所述认证方式可以是终端设备在与认证服务器相互认证成功之后,认证服务器的发给终端设备的。例如,该认证方式可以通过第二响应消息发送给终端设备。
或者,所述认证方式可以是终端设备与认证服务器认证过程中,终端设备发送给认证服务器的。例如,该认证方式可以是在向认证服务器发送第二候选鉴权参数时一起发送的。
或者,所述认证方式可以是终端设备与认证服务器在相互认证时采用的认证方式。
可选地,第一认证信息中还可以包括终端设备的用户私有标识(Private UserID,IMPI)。
在一种实施方式中,所述发起与认证服务器BSF的相互认证的触发方式包括以下至少一项:
接收所述北斗融合网关发送的指示信息,所述指示信息用于指示所述终端设备需要进行认证,可选地,此处的认证可以指的是通用引导架构(General BootstrappingArchitecture,GBA)认证;
所述终端设备首次接入移动网络;
所述密钥失效。
需要说明的是,终端设备首次接入移动网络,例如可以是终端设备首次插入SIM卡,并首次开通北斗通信业务。
或者,终端设备在北斗网络下,北斗融合网关在接收到终端设备的第一请求的情况下,首先会验证终端设备是否已经进行了GBA认证,若未进行GBA认证,则向终端设备发送指示信息,指示终端设备与认证服务器进行认证。
或者,终端设备在移动网络下,发现密钥已经过期,则会发起密钥更新流程。在密钥更新流程中,若北斗融合网关确定终端设备未进行GBA认证,则指示终端设备与认证服务器进行认证。
相应的,北斗融合网关向所述终端设备发送指示信息,所述指示信息用于指示所述终端设备需要进行认证。
示例的,所述密钥存储于所述终端设备的目标区域,所述目标区域专用于所述密钥的存储;或者,所述目标区域为所述终端设备SIM卡的存储区域。
需要说明的是,所述终端设备设置有目标区域,通过设置该目标区域,可以对得到的密钥进行存储。如此,在终端设备与北斗融合网关认证成功之后,终端设备便可以利用存储的密钥,对向被动融合网关传输的数据进行加密,保证传输数据的安全性。
并且,北斗融合网关可以通过认证服务器对终端设备进行一次认证,在认证服务器对终端设备认证成功之后,终端设备得到密钥。在北斗融合网关对终端设备再一次认证通过之后,终端设备则可以对与北斗融合网关进行传输的数据利用密钥进行加密。北斗融合网关通过认证服务器对终端设备进行认证,可以减小对北斗卫星信道资源的占用。
示例的,在终端设备侧,所述发起与认证服务器BSF的相互认证,得到认证标识和密钥,包括:向认证服务器BSF发送第二请求消息,所述第二请求消息包括所述终端设备的标识;接收BSF发送的第二响应消息,所述第二响应消息包括:第一信息;在基于所述第一信息对所述BSF认证成功后,基于第一参数计算得到所述密钥,并向所述BSF发送第二候选鉴权参数,以使所述BSF根据所述第二候选鉴权参数对所述终端设备进行认证;在所述BSF对所述终端设备认证通过后,接收所述BSF发送的认证标识。
相应的,在认证服务器侧,发起与终端设备的相互认证,确定所述终端设备对应的认证标识和密钥,包括:
接收终端设备发送的第二请求消息,所述第二请求消息包括所述终端设备的标识;
根据所述第二请求消息,通过用户归属服务器HSS获取第一信息和第二信息;
向所述终端设发送第二响应消息,所述第二响应消息包括:第一信息;
在确定所述终端设备基于所述第一信息对BSF认证成功后,根据所述第二信息对所述终端设备进行认证;
在对所述终端设备认证通过后,确定所述终端设备对应的认证标识和密钥,并向所述终端设备发送所述认证标识。
可选地,第一信息包括第一参数和第一目标鉴权参数。所述第一参数可以包括随机数RAND、第一子密钥IK和第二子密钥CK。可选地,根据RAND、IK和CK可以计算得到所述密钥。
可选地,所述第二候选鉴权参数基于所述第一信息生成,例如根据RAND计算得到。终端设备在接收到第一信息时,可以将IK和CK也保存至目标区域中。
第一目标鉴权参数可以用AUTH表示,第一目标鉴权参数用于终端设备对认证服务器进行认证。
在终端设备基于所述第一信息对所述BSF认证成功后,基于所述第一参数计算得到所述密钥,并向所述BSF发送第二候选鉴权参数,包括:根据所述第一参数,计算得到第一候选鉴权参数;在所述第一候选鉴权参数和所述第一目标鉴权参数一致时,对所述BSF认证成功;基于所述第一参数计算所述密钥和所述第二候选鉴权参数,并向所述BSF发送第一验证请求,所述第一验证请求中包括所述第二候选鉴权参数。
相应的,认证服务器在确定所述终端设备基于所述第一信息对BSF认证成功后,根据所述第二信息对所述终端设备进行认证,包括:接收所述终端设备发送的第一验证请求,所述第一验证请求包括第二候选鉴权参数,所述第二候选鉴权参数基于所述第一参数生成;所述第二候选鉴权参数用于所述BSF对所述终端设备进行认证,所述第一验证请求为所述终端设备在基于所述第一信息对所述BSF认证成功之后发送的;基于所述第二候选鉴权参数和所述第二目标鉴权参数对所述终端设备进行认证。
可选地,所述密钥和所述第二候选鉴权参数基于所述第一信息中的第一参数计算得到。
第二目标鉴权参数也可以根据第一参数计算得到,计算第二目标鉴权参数与计算第二候选鉴权参数可以采用相同的算法。第二候选鉴权参数可以用RES表示,第二目标鉴权参数可以用XRES表示。
示例的,终端设备在所述BSF对所述终端设备认证通过后,接收所述BSF发送的认证标识,包括:在所述BSF对所述终端设备认证通过后,接收所述BSF发送的第一验证响应,所述第一验证响应包括所述认证标识,所述第一验证响应为所述BSF基于所述第二候选鉴权参数对所述终端设备认证成功之后发送的。
相应的,认证服务器在对所述终端设备认证通过后,确定所述终端设备对应的认证标识和密钥,并向所述终端设备发送所述认证标识,包括:
在所述第二候选鉴权参数和所述第二目标鉴权参数一致时,根据所述第一参数生成密钥,所述密钥用于所述终端设备与所述北斗融合网关进行数据传输的安全保护;
向所述终端设备发送第一验证响应,所述第一验证响应包括所述认证标识及所述密钥的有效期。
示例的,由于所述第一验证响应中还包括所述密钥的有效期,终端设备可以对应保存所述密钥及其所述有效期,并将密钥及其有效期对应保存至目标区域中。
对于认证服务器来说,所述根据所述第二请求消息,通过用户归属服务器HSS获取第一信息和第二信息,包括:向用户归属服务器HSS发送第四请求消息,所述第四请求消息用于指示对所述终端设备进行认证,所述第四请求消息包括所述终端设备的标识;接收所述HSS发送的第四响应消息,所述第四响应消息包括:所述第一信息和所述第二信息。
需要说明的是,第四请求中可以携带有终端设备的IMPI,HSS在接收到终端设备的IMPI之后,可以将与IMPI对应的信息通过第四响应消息发送认证服务器。
第二信息包括第二目标鉴权参数。
对于北斗融合网关来说,所述根据所述第一请求消息,通过认证服务器BSF对所述终端设备进行认证,包括:
向认证服务器BSF发送第三请求消息,所述第三请求消息中包括所述认证标识,所述认证标识用于查找对应的密钥和第二认证信息,其中,所述第二认证信息用于对所述终端设备进行认证;所述密钥用于所述终端设备与北斗融合网关进行数据传输的安全保护;
接收所述BSF发送的第三响应消息,所述第三响应消息中包括所述密钥和所述第二认证信息;
将所述第一认证信息和所述第二认证信息进行比对,确定认证结果为成功或不成功。
可选地,所述方法还包括:向所述终端设备发送指示信息,所述指示信息用于指示所述终端设备需要进行认证。
可选地,在向所述终端设备发送指示信息之前,还包括:根据接收到的业务请求访问,确定所述终端设备未进行过通用引导架构(General Bootstrapping Architecture,GBA)认证。
接下来,参见图4,在一种实施方式中,本发明提供的通信处理方法包括以下步骤:
步骤41:北斗融合网关向终端设备(User Equipment,UE)发送指示信息,相应的,终端设备接收北斗融合网关发送的指示信息,所述指示信息用于指示所述终端设备需要进行认证。
步骤42:终端设备与认证服务器BSF进行相互认证,确定终端设备的认证标识和密钥,并发送给终端设备,所述密钥用于所述终端设备与所述北斗融合网关进行数据传输的安全保护。
步骤43:终端设备向北斗融合网关发送第一请求消息,相应的,北斗融合网关接收来自终端设备的第一请求消息,所述第一请求消息包括所述认证标识和所述第一认证信息,所述第一请求消息用于请求向北斗融合网关进行认证。
步骤44:北斗融合网关向认证服务器BSF发送第三请求消息,相应的,BSF接收所述北斗融合网关发送的第三请求消息,所述第三请求消息中包括所述认证标识,所述认证标识用于查找对应的所述密钥和第二认证信息,其中,所述第二认证信息用于对所述终端设备进行认证;
步骤45:BSF向所述北斗融合网关发送第三响应消息,相应的,所述BSF接收来自北斗融合网关的第三响应消息,所述第三响应消息中包括所述密钥和所述第二认证信息。
步骤46:北斗融合网关将所述第一认证信息和所述第二认证信息进行比对,确定认证结果为成功或不成功。
步骤47:北斗融合网关向终端设备发送第一响应消息,相应的,终端设备接收北斗融合网关发送的第一响应消息,所述响应求消息用于指示认证成功,或未认证成功。
终端设备还可以获取所述密钥的有效期,并对应保存所述密钥及其所述有效期。
终端设备与认证服务器BSF进行相互认证,得到认证标识和密钥,包括:
向认证服务器BSF发送第二请求消息,所述第二请求消息用于指示对所述终端设备进行认证,所述第二请求消息包括所述终端设备的标识;
接收BSF发送的第二响应消息,所述第二响应消息包括第一参数和第一目标鉴权参数;
根据所述第一参数生成第一候选鉴权参数,在所述第一候选鉴权参数和所述第一目标鉴权参数一致时,向BSF发送验证请求,所述验证请求包括第二候选鉴权参数,所述第二候选鉴权参数基于所述第一参数生成;其中,所述第一候选鉴权参数用于所述终端设备对所述BSF进行认证,所述第二候选鉴权参数用于所述BSF对所述终端设备进行认证;
接收来自所述BSF的验证响应,所述验证响应包括所述认证标识和所述密钥。
BSF与终端设备进行相互认证,包括:
接收终端设备发送的第二请求消息,所述第二请求消息用于指示对所述终端设备进行认证,所述第二请求消息包括所述终端设备的标识;
向用户归属服务器HSS发送第三请求消息,所述第三请求消息用于指示对所述终端设备进行认证,所述第三请求消息包括所述终端设备的标识;
接收所述HSS发送的第三响应消息,所述第三响应消息包括:第一参数、第一目标鉴权参数和第二目标鉴权参数,所述第一目标鉴权参数和所述第二目标鉴权参数基于所述第一参数生成;其中,所述第一目标鉴权参数用于所述终端设备对所述BSF进行认证,所述第二目标鉴权参数用于所述BSF对所述终端设备进行认证;
向所述终端设发送第二响应消息,所述第二响应消息包括:所述第一参数和所述第一目标鉴权参数;
接收所述终端设备发送的验证请求,所述验证请求包括:所述第二候选鉴权参数;
向所述终端设备发送验证响应,所述验证响应包括所述认证标识和所述密钥。
如图5所述,提供了一种通信处理方法,包括以下步骤:
步骤51:UE决定发起密钥更新流程。
也可以理解为,用户在终端设备上在发起新联系业务操作。
例如,UE在发现密钥Key过了有效期时,决定发起密钥更新流程。
可选的,UE决定发起密钥更新流程时,该UE处于移动通信网络中。
步骤52:UE与北斗融合网关(也可以称之为融合通信平台)建立传输层安全协议(Transport Layer Security,TLS),即进行TLS握手(handshake)。
该步骤52是可选的步骤,可以不执行。
步骤53:UE向北斗融合网关发送业务访问请求(request)消息,相应的,北斗融合网关接收该业务访问请求消息。该业务访问请求消息可以用于指示请求访问业务。
例如,该业务访问请求消息中包括第三代合作伙伴计划-通用认证机制(3gpp-gba)、应用服务版本(host:AS)等信息。
该业务访问请求消息可以是基于超文本传输协议(Hyper Text TransferProtocol,HTTP)发送的,也称为HTTP request消息。
该业务访问请求消息可以是在TLS隧道中发送的。
该HTTP request可以看作是超文本传输协议请求HTTP GET。
步骤54:北斗融合网关向UE发送业务访问响应消息,相应的,UE接收北斗融合网关发送的业务访问响应消息。
该业务访问响应消息可以是基于超文本传输协议HTTP发送的。
该业务访问响应消息包含WWW-Authenticate 头域。
北斗融合网关在接收到UE的请求消息后,可以查询该UE是否经过了通用引导架构(General Bootstrapping Architecture,GBA)认证。如果没有,则业务访问响应消息中携带指示信息,来指示终端设备需要进行认证。例如,可以到 BSF 进行认证。在终端设备还未认证的情况下,该业务访问响应消息的名称可以是401未鉴权(unanthorized),例如,一种消息表现形式为3gpp-boostrapping@AP,nonce。
步骤55:UE向认证服务器BSF发送第二请求消息,相应的,BSF接收来自UE的第二请求消息。所述第二请求消息用于指示对所述UE进行认证,或者理解为所述第二请求消息用于获取移动网络下的鉴权信息(鉴权信息也可以称为认证向量)。
该第二请求消息中可以包括终端设备的标识,例如,用户私有标识 (PrivateUser ID,IMPI)。
该第二请求消息可以是HTTP AKA认证请求。
步骤56:BSF向归属用户服务器(Home Subscriber Server,HSS)发送即第四请求消息,相应的,HSS接收来自BSF的第四请求消息,该第四请求消息用于指示对所述UE进行认证,或者理解为所述第四请求消息用于获取移动网络下的鉴权信息(鉴权信息也可以称为认证向量)。
该第四请求消息中可以包括终端设备的标识,例如,用户私有标识IMPI。
该第四请求消息可以是移动接入路由器(Mobile ACCESS Router,MAR)请求消息。
步骤57:HSS向BSF反馈第四响应消息,相应的,BSF接收来自HSS的第四响应消息。
该第四响应消息包括:第一参数(例如RAND)、第一目标鉴权参数(例如AUTH)和第二目标鉴权参数(例如XRES),第一目标鉴权参数和第二目标鉴权参数基于所述第一参数生成的;其中,所述第一目标鉴权参数用于所述终端设备对所述BSF进行认证,所述第二目标鉴权参数用于所述BSF对所述终端设备进行认证。
可选的,该第四响应消息还可以包括:CK、IK、GUSS中的一项或多项。
步骤58:BSF向所述UE发送第二响应消息,相应的,UE接收来自BSF的第二响应消息。
所述第二响应消息包括所述第一参数和和第一目标鉴权参数,其中,该第一参数和第一目标鉴权参数为被使用一次的非重复的随机数值Nonce。该第二响应消息也可以称之为401消息。
可选的,该第二响应消息还可以包括:CK、IK。
步骤59:UE根据所述第一参数生成第一候选鉴权参数。并将所述第一候选鉴权参数与第一目标鉴权参数进行比对,若比对一致,则UE对BSF认证成功。
可选的,UE还可以根据所述第一参数生成第二候选鉴权参数。
可选的,UE对应保存CK、IK。
步骤510:UE向BSF发送第一验证请求,相应的,BSF接收所述UE发送的第一验证请求,所述第一验证请求包括第二候选鉴权参数。
所述第二候选鉴权参数基于所述第一参数生成;其中,所述第一候选鉴权参数和所述第一目标鉴权参数用于所述终端设备对所述BSF进行认证,所述第二候选鉴权参数用于所述BSF对所述终端设备进行认证。
例如,UE 发送 HTTP GET 消息给BSF,消息头域 Authorization 中携带 RES。
步骤511:BSF对UE进行认证,当RES与XRES一致时,所述UE认证成功。
当认证成功后,生成认证标识和密钥Ks,所述Ks用于终端与北斗融合网关的数据传输的安全保护。可选的,密钥Ks可以基于IK和CK计算得到。
该认证标识可以是终端引导标识B-TID,也就是上文提到的认证标识。可选地,终端引导标识也可以称之为会话事物标识。
进一步地,BSF还可以保存 B-TID、IMPI、CK 和IK。B-TID 的产生方式可以为base64encode(RAND)@BSF_servers_domain_name;
其中,BSF_servers_domain_name 为 BSF 的主机名,base64_encode() returns使用 base64 对 data 进行编码。设计此种编码是为了使二进制数据可以通过非纯 8-bit的传输层传输。
步骤512:BSF向UE发送第一验证响应,相应的,UE接收来自BSF的第一验证响应。
该第一验证响应可以包括:认证标识(例如B_TID)和密钥Ks,还可以包括密钥的有效期(lifetime)。
第一验证响应可以是200 ok。
步骤513:UE保存鉴权认证信息:认证标识(例如B_TID)和密钥Ks,鉴权认证信息还可以包括密钥的有效期(lifetime)。其中,认证标识、密钥以及密钥的有效期均可以保存在目标区域内。
步骤514:UE向北斗融合网关发送第一请求消息,相应的,北斗融合网关接收终端设备发送的第一请求消息,该第一请求消息包括所述认证标识(例如B_TID)和第一认证信息,所述第一请求消息用于请求向北斗融合网关进行认证。
例如,该第一请求消息可以是 HTTP GET 消息或HTTP Digest请求。
第一认证信息可以包括第一响应(response)值和/或终端设备的认证方式。
步骤515:北斗融合网关向BSF发送第三请求消息,相应的,BSF接收来自北斗融合网关的第三请求消息,所述第三请求消息中包括所述认证标识,所述认证标识用于查找对应的密钥和第二认证信息,其中,所述第二认证信息用于对所述终端设备进行认证;所述密钥用于所述终端设备与北斗融合网关进行数据传输的安全保护。
第三请求消息可以是BIR消息。
北斗融合网关发送 BIR 请求到 BSF ,获取 B-TID 所标识用户的 Ks_(ext/int)_Naf。BIR 请求中包括 B-TID、网络应用功能标识(Network Application Functionidentifie,Naf_ID)和通用认证架构服务ID(Generic Authentication Architecture ID,GSID)等。
步骤516:BSF根据认证标识查找对应的密钥和第二认证信息。
BSF 收到 BIR消息后,BSF 根据 B-TID 找到用户对应的 IMPI 和用户公有标识(Public User ID, IMPU),计算BSF 给北斗融合网关发送 BIA 消息,包含IMPI、IMPU、Ks_北斗融合网关(密钥)、通用多业务服务器列表usslist、密钥有效期截止时间(keyExpiryTime)填写为创建时间(bootstrappingInfo Creation Time)、uiccKeyMaterial(仅当采用 GBA_U 时,才需要携带此字段),其中,usslist 信息包含用户安全性设置(User Security Setting,USS)、GSID、类型(Type)和北斗融合网关群组group信息。
第二认证消息包括:IMPI、IMPU、密钥、认证方式。
步骤517:BSF向北斗融合网关发送第三响应消息,相应的,接收BSF发送的第三响应消息,所述第三响应消息中包括所述密钥和第二认证信息。
北斗融合网关收到 BSF 的 BIA 消息,进行如下检验:检验BSF返回的USS信息中的认证方式(GBA-ME, GBA-U等)是否与UE携带的认证方式(基于请求消息中的realm)一致,如果一致,则进行后续操作;如果不一致,则给UE返回401认证失败消息。
步骤518:北斗融合网关将所述第一认证信息和所述第二认证信息进行比对,确定认证结果为成功或不成功。
北斗融合网关根据用户的USS信息,验证UE传送过来的用户公有标识IMPU, 如果一致,则进行后续操作;如果不一致,则给UE返回401认证失败消息;
利用B-TID(也可以称之为用户名)和Ks_北斗融合网关(密钥)进行HTTP Digest计算response,并与请求消息头域Authorization中的response值(即第一响应值)比对,如果一致,则通过认证,继续后续操作;如果不一致,则给UE返回401认证失败消息。
步骤519:北斗融合网关向终端设备发送第一响应消息,相应的,终端设备接收北斗融合网关发送第一响应消息,所述第一响应消息用于指示认证成功,或未认证成功。
北斗融合网关认证通过,在 200 消息中携带 Authentication-Info 头域发送给UE。
通过上述流程,手机在移动网络中获得了将用于卫星通信认证的密钥Key值;同时,融合网关也得到了该手机用户(UE)的Key值。
接下来,参见图6,为本发明提供的一种通信处理装置的结构示意图。基于与上述通信处理方法相同的技术构思,所述通信处理装置所起到的作用与所述通信处理方法所起到的作用类似,此处不再赘述。
所述通信处理装置,应用于终端设备,包括:第一发送模块61,用于发起与认证服务器BSF的相互认证,得到认证标识和密钥,所述密钥用于所述终端设备与北斗融合网关进行数据传输的安全保护;第一发送模块61,还用于向北斗融合网关发送第一请求消息,所述第一请求消息包括所述认证标识和第一认证信息;第一接收模块62,用于接收所述北斗融合网关发送的第一响应消息,所述第一响应消息用于指示认证成功,或未认证成功。
可选地,所述发起与认证服务器BSF的相互认证的触发方式包括以下至少一项:接收所述北斗融合网关发送的指示信息,所述指示信息用于指示所述终端设备需要进行认证;所述终端设备首次接入移动网络;所述密钥失效。
可选地,所述密钥存储于所述终端设备的目标区域,所述目标区域专用于所述密钥的存储;或者,所述目标区域为所述终端设备SIM卡的存储区域。
可选地,所述通信处理装置还包括第一处理模块63,所述第一处理装置模块63在发起与认证服务器BSF的相互认证,得到认证标识和密钥时,具体用于:向认证服务器BSF发送第二请求消息,所述第二请求消息包括所述终端设备的标识;
接收BSF发送的第二响应消息,所述第二响应消息包括:第一信息;
在基于所述第一信息对所述BSF认证成功后,基于所述第一参数计算得到所述密钥,并向所述BSF发送第二候选鉴权参数,以使所述BSF根据所述第二候选鉴权参数对所述终端设备进行认证;
在所述BSF对所述终端设备认证通过后,接收所述BSF发送的认证标识。
可选地,所述第一信息包括第一参数和第一目标鉴权参数;所述第一处理模块63在基于所述第一信息对所述BSF认证成功后,基于所述第一参数计算得到所述密钥,并向所述BSF发送第二候选鉴权参数时,具体用于:根据所述第一参数,计算得到第一候选鉴权参数;在所述第一候选鉴权参数和所述第一目标鉴权参数一致时,对所述BSF认证成功;基于所述第一参数计算所述密钥和所述第二候选鉴权参数,并向所述BSF发送第一验证请求,所述第一验证请求中包括所述第二候选鉴权参数。
可选地,在所述BSF对所述终端设备认证通过后,所述第一接收模块62在接收所述BSF发送的认证标识时,具体用于:在所述BSF对所述终端设备认证通过后,接收所述BSF发送的第一验证响应,所述第一验证响应包括所述认证标识,所述第一验证响应为所述BSF基于所述第二候选鉴权参数对所述终端设备认证成功之后发送的。
可选地,所述第一验证响应中还包括所述密钥的有效期;所述第一处理模
块63还用于对应保存所述密钥及其所述有效期。
接下来参见图7,本发明的另一实施例提供了一种通信处理装置,应用于认证服务器BSF,包括:
第二处理模块71,用于与终端设备进行相互认证,确定所述终端设备对应的认证标识和密钥,所述密钥用于所述终端设备与北斗融合网关进行数据传输的安全保护;
第二接收模块72,用于接收所述北斗融合网关发送的第三请求消息,所述第三请求消息中包括所述认证标识,所述认证标识用于查找对应的所述密钥和第二认证信息,其中,所述第二认证信息用于对所述终端设备进行认证;
第二发送模块73,还用于向所述北斗融合网关发送第三响应消息,所述第三响应消息中包括所述密钥和所述第二认证信息。
可选地,所述第二处理模块71在发起与终端设备的相互认证,确定所述终端设备对应的认证标识和密钥时,具体用于:
接收终端设备发送的第二请求消息,所述第二请求消息包括所述终端设备的标识;
根据所述第二请求消息,通过用户归属服务器HSS获取第一信息和第二信息;
向所述终端设发送第二响应消息,所述第二响应消息包括:第一信息;
在确定所述终端设备基于所述第一信息对BSF认证成功后,根据所述第二信息对所述终端设备进行认证;
在对所述终端设备认证通过后,确定所述终端设备对应的认证标识和密钥,并向所述终端设备发送所述认证标识。
可选地,所述第二处理模块71在所述根据所述第二请求消息,通过用户归属服务器HSS获取第一信息和第二信息时,具体用于:向所述用户归属服务器HSS发送第四请求消息,所述第四请求消息用于指示对所述终端设备进行认证,所述第四请求消息包括所述终端设备的标识;
接收所述HSS发送的第四响应消息,所述第四响应消息包括:所述第一信息和所述第二信息。
可选地,所述第一信息包括第一参数和第一目标鉴权参数,所述第二信息包括第二目标鉴权参数,其中,所述第二目标鉴权参数基于所述第一参数生成;
所述第二处理模块71,在确定所述终端设备基于所述第一信息对BSF认证成功后,根据所述第二信息对所述终端设备进行认证时,具体用于:
接收所述终端设备发送的第一验证请求,所述第一验证请求包括第二候选鉴权参数;所述第二候选鉴权参数用于所述BSF对所述终端设备进行认证,所述第一验证请求为所述终端设备在基于所述第一信息对所述BSF认证成功之后发送的;基于所述第二候选鉴权参数和所述第二目标鉴权参数对所述终端设备进行认证。
可选地,所述第二处理模块71,在所述在对所述终端设备认证通过后,确定所述终端设备对应的认证标识和密钥,并向所述终端设备发送所述认证标识时,具体用于:在所述第二候选鉴权参数和所述第二目标鉴权参数一致时,根据所述第一参数生成密钥,所述密钥用于所述终端设备与所述北斗融合网关进行数据传输的安全保护;向所述终端设备发送第一验证响应,所述第一验证响应包括所述认证标识及所述密钥的有效期。
接下来参见图8,本发明的另一实施例提供了一种通信处理装置,应用于北斗融合网关,包括:
第三接收模块81,用于接收终端设备发送的第一请求消息,所述第一请求消息包括认证标识和第一认证信息;
第三处理模块82,用于根据所述第一请求消息,通过认证服务器BSF对所述终端设备进行认证;
第三发送模块83,用于在所述终端设备认证通过后,向所述终端设备发送第一响应消息,所述第一响应消息用于指示认证成功,并存储认证过程中从BSF获取到的密钥,所述密钥用于所述终端设备与所述北斗融合网关进行数据传输的安全保护。
可选地,所述第三处理模块82在根据所述第一请求消息,通过认证服务器BSF对所述终端设备进行认证时,具体用于:向认证服务器BSF发送第三请求消息,所述第三请求消息中包括所述认证标识,所述认证标识用于查找对应的密钥和第二认证信息,其中,所述第二认证信息用于对所述终端设备进行认证;所述密钥用于所述终端设备与北斗融合网关进行数据传输的安全保护;接收所述BSF发送的第三响应消息,所述第三响应消息中包括所述密钥和所述第二认证信息;将所述第一认证信息和所述第二认证信息进行比对,确定认证结果为成功或不成功。
可选地,所述第三发送模块83还用于:向所述终端设备发送指示信息,所述指示信息用于指示所述终端设备需要进行认证。
可选地,第三处理模块82在向所述终端设备发送指示信息之前,还用于:根据接收到的业务请求访问,确定所述终端设备未进行过通用引导架构认证。
本发明的另一实施例提供了一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时,实现如上所述的通信处理方法的步骤。
本发明的又一实施例提供了一种终端,所述终端包括处理器,存储器,存储于所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上所述的通信处理方法的步骤。
此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (21)
1.一种通信处理方法,其特征在于,应用于终端设备,包括:
发起与认证服务器BSF的相互认证,得到认证标识和密钥,所述密钥用于所述终端设备与北斗融合网关进行数据传输的安全保护;
向北斗融合网关发送第一请求消息,所述第一请求消息包括所述认证标识和第一认证信息;
接收所述北斗融合网关发送的第一响应消息,所述第一响应消息用于指示认证成功,或未认证成功。
2.根据权利要求1所述的方法,其特征在于,所述发起与认证服务器BSF的相互认证的触发方式包括以下至少一项:
接收所述北斗融合网关发送的指示信息,所述指示信息用于指示所述终端设备需要进行认证;
所述终端设备首次接入移动网络;
所述密钥失效。
3.根据权利要求1或2所述的方法,其特征在于,所述密钥存储于所述终端设备的目标区域,所述目标区域专用于所述密钥的存储;或者,所述目标区域为所述终端设备SIM卡的存储区域。
4.根据权利要求1所述的方法,其特征在于,所述发起与认证服务器BSF的相互认证,得到认证标识和密钥,包括:
向所述认证服务器BSF发送第二请求消息,所述第二请求消息包括所述终端设备的标识;
接收BSF发送的第二响应消息,所述第二响应消息包括:第一信息;
在基于所述第一信息对所述BSF认证成功后,基于第一参数计算得到所述密钥,并向所述BSF发送第二候选鉴权参数,以使所述BSF根据所述第二候选鉴权参数对所述终端设备进行认证;
在所述BSF对所述终端设备认证通过后,接收所述BSF发送的认证标识。
5.根据权利要求4所述的方法,其特征在于,所述第一信息包括第一参数和第一目标鉴权参数;
基于所述第一信息对所述BSF认证成功后,基于第一参数计算得到所述密钥,并向所述BSF发送第二候选鉴权参数,包括:
根据所述第一参数,计算得到第一候选鉴权参数;
在所述第一候选鉴权参数和所述第一目标鉴权参数一致时,对所述BSF认证成功;
基于所述第一参数计算所述密钥和所述第二候选鉴权参数,并向所述BSF发送第一验证请求,所述第一验证请求中包括所述第二候选鉴权参数。
6.根据权利要求4所述的方法,其特征在于,所述在所述BSF对所述终端设备认证通过后,接收所述BSF发送的认证标识,包括:
在所述BSF对所述终端设备认证通过后,接收所述BSF发送的第一验证响应,所述第一验证响应包括所述认证标识,所述第一验证响应为所述BSF基于所述第二候选鉴权参数对所述终端设备认证成功之后发送的。
7.根据权利要求6所述的方法,其特征在于,所述第一验证响应中还包括所述密钥的有效期;
对应保存所述密钥及其所述有效期。
8.一种通信处理方法,其特征在于,应用于认证服务器BSF,包括:
与终端设备进行相互认证,确定所述终端设备对应的认证标识和密钥,所述密钥用于所述终端设备与北斗融合网关进行数据传输的安全保护;
接收所述北斗融合网关发送的第三请求消息,所述第三请求消息中包括所述认证标识,所述认证标识用于查找对应的所述密钥和第二认证信息,其中,所述第二认证信息用于对所述终端设备进行认证;
向所述北斗融合网关发送第三响应消息,所述第三响应消息中包括所述密钥和所述第二认证信息。
9.根据权利要求8所述的方法,其特征在于,与终端设备的相互认证,确定所述终端设备对应的认证标识和密钥,包括:
接收终端设备发送的第二请求消息,所述第二请求消息包括所述终端设备的标识;
根据所述第二请求消息,通过用户归属服务器HSS获取第一信息和第二信息;
向所述终端设发送第二响应消息,所述第二响应消息包括:第一信息;
在确定所述终端设备基于所述第一信息对BSF认证成功后,根据所述第二信息对所述终端设备进行认证;
在对所述终端设备认证通过后,确定所述终端设备对应的认证标识和密钥,并向所述终端设备发送所述认证标识。
10.根据权利要求9所述的方法,其特征在于,所述根据所述第二请求消息,通过用户归属服务器HSS获取第一信息和第二信息,包括:
向所述用户归属服务器HSS发送第四请求消息,所述第四请求消息用于指示对所述终端设备进行认证,所述第四请求消息包括所述终端设备的标识;
接收所述HSS发送的第四响应消息,所述第四响应消息包括:所述第一信息和所述第二信息。
11.根据权利要求9所述的方法,其特征在于,所述第一信息包括第一参数和第一目标鉴权参数,所述第二信息包括第二目标鉴权参数,其中,所述第二目标鉴权参数基于所述第一参数生成;
在确定所述终端设备基于所述第一信息对BSF认证成功后,根据所述第二信息对所述终端设备进行认证,包括:
接收所述终端设备发送的第一验证请求,所述第一验证请求包括第二候选鉴权参数;所述第二候选鉴权参数用于所述BSF对所述终端设备进行认证,所述第一验证请求为所述终端设备在基于所述第一信息对所述BSF认证成功之后发送的;
基于所述第二候选鉴权参数和所述第二目标鉴权参数对所述终端设备进行认证。
12.根据权利要求11所述的方法,其特征在于,所述在对所述终端设备认证通过后,确定所述终端设备对应的认证标识和密钥,并向所述终端设备发送所述认证标识,包括:
在所述第二候选鉴权参数和所述第二目标鉴权参数一致时,根据所述第一参数生成密钥,所述密钥用于所述终端设备与所述北斗融合网关进行数据传输的安全保护;
向所述终端设备发送第一验证响应,所述第一验证响应包括所述认证标识及所述密钥的有效期。
13.一种通信处理方法,其特征在于,应用于北斗融合网关,包括:
接收终端设备发送的第一请求消息,所述第一请求消息包括认证标识和第一认证信息;
根据所述第一请求消息,通过认证服务器BSF对所述终端设备进行认证;
在所述终端设备认证通过后,向所述终端设备发送第一响应消息,所述第一响应消息用于指示认证成功,并存储认证过程中从BSF获取到的密钥,所述密钥用于所述终端设备与所述北斗融合网关进行数据传输的安全保护。
14.根据权利要求13所述的方法,其特征在于,所述根据所述第一请求消息,通过认证服务器BSF对所述终端设备进行认证,包括:
向所述认证服务器BSF发送第三请求消息,所述第三请求消息中包括所述认证标识,所述认证标识用于查找对应的密钥和第二认证信息,其中,所述第二认证信息用于对所述终端设备进行认证;所述密钥用于所述终端设备与北斗融合网关进行数据传输的安全保护;
接收所述BSF发送的第三响应消息,所述第三响应消息中包括所述密钥和所述第二认证信息;
将所述第一认证信息和所述第二认证信息进行比对,确定认证结果为成功或不成功。
15.根据权利要求13所述的方法,其特征在于,所述方法还包括:
向所述终端设备发送指示信息,所述指示信息用于指示所述终端设备需要进行认证。
16.根据权利要求15所述的方法,其特征在于,在向所述终端设备发送指示信息之前,还包括:
根据接收到的业务请求访问,确定所述终端设备未进行过通用引导架构认证。
17.一种通信处理装置,其特征在于,应用于终端设备,包括:
第一发送模块,用于发起与认证服务器BSF的相互认证,得到认证标识和密钥,所述密钥用于所述终端设备与北斗融合网关进行数据传输的安全保护;
第一发送模块,还用于向北斗融合网关发送第一请求消息,所述第一请求消息包括所述认证标识和第一认证信息;
第一接收模块,用于接收所述北斗融合网关发送的第一响应消息,所述第一响应消息用于指示认证成功,或未认证成功。
18.一种通信处理装置,其特征在于,应用于认证服务器BSF,包括:
第二处理模块,用于与终端设备进行相互认证,确定所述终端设备对应的认证标识和密钥,所述密钥用于所述终端设备与北斗融合网关进行数据传输的安全保护;
第二接收模块,用于接收所述北斗融合网关发送的第三请求消息,所述第三请求消息中包括所述认证标识,所述认证标识用于查找对应的所述密钥和第二认证信息,其中,所述第二认证信息用于对所述终端设备进行认证;
第二发送模块,还用于向所述北斗融合网关发送第三响应消息,所述第三响应消息中包括所述密钥和所述第二认证信息。
19.一种通信处理装置,其特征在于,应用于北斗融合网关,包括:
第三接收模块,用于接收终端设备发送的第一请求消息,所述第一请求消息包括认证标识和第一认证信息;
第三处理模块,用于根据所述第一请求消息,通过认证服务器BSF对所述终端设备进行认证;
第三发送模块,用于在所述终端设备认证通过后,向所述终端设备发送第一响应消息,所述第一响应消息用于指示认证成功,并存储认证过程中从BSF获取到的密钥,所述密钥用于所述终端设备与所述北斗融合网关进行数据传输的安全保护。
20.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时,实现如权利要求1-7任一项所述的通信处理方法的步骤,或者实现如权利要求8-12任一项所述的通信处理方法的步骤,或者实现如权利要求13-16任一项所述的通信处理方法的步骤。
21.一种终端,其特征在于,所述终端包括处理器,存储器,存储于所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1-7任一项所述的通信处理方法的步骤,或者实现如权利要求8-12任一项所述的通信处理方法的步骤,或者实现如权利要求13-16任一项所述的通信处理方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210035963.XA CN114051241B (zh) | 2022-01-13 | 2022-01-13 | 一种通信处理方法及装置 |
| PCT/CN2022/130412 WO2023134281A1 (zh) | 2022-01-13 | 2022-11-07 | 通信处理方法及装置、终端、存储介质和计算机程序产品 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210035963.XA CN114051241B (zh) | 2022-01-13 | 2022-01-13 | 一种通信处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114051241A true CN114051241A (zh) | 2022-02-15 |
| CN114051241B CN114051241B (zh) | 2022-05-03 |
Family
ID=80196502
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210035963.XA Active CN114051241B (zh) | 2022-01-13 | 2022-01-13 | 一种通信处理方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN114051241B (zh) |
| WO (1) | WO2023134281A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114285912A (zh) * | 2022-03-03 | 2022-04-05 | 中移(上海)信息通信科技有限公司 | 一种通信方法、装置及卫星融合网关 |
| CN114599033A (zh) * | 2022-05-10 | 2022-06-07 | 中移(上海)信息通信科技有限公司 | 一种通信鉴权处理方法及装置 |
| WO2023134281A1 (zh) * | 2022-01-13 | 2023-07-20 | 中移(上海)信息通信科技有限公司 | 通信处理方法及装置、终端、存储介质和计算机程序产品 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080022868A (ko) * | 2006-09-08 | 2008-03-12 | 주식회사 케이티 | 인공위성을 이용한 무선 인터넷 서비스 시스템 및 그 방법 |
| US20160286392A1 (en) * | 2015-03-25 | 2016-09-29 | Juniper Networks, Inc. | Apparatus and method for authenticating network devices |
| CN107147489A (zh) * | 2017-05-02 | 2017-09-08 | 南京理工大学 | 一种leo卫星网络内分布式的接入认证管理方法 |
| CN110971415A (zh) * | 2019-12-13 | 2020-04-07 | 重庆邮电大学 | 一种天地一体化空间信息网络匿名接入认证方法及系统 |
| CN111314056A (zh) * | 2020-03-31 | 2020-06-19 | 四川九强通信科技有限公司 | 基于身份加密体制的天地一体化网络匿名接入认证方法 |
| CN113132083A (zh) * | 2021-04-02 | 2021-07-16 | 四川省计算机研究院 | 应用于北斗导航系统的安全认证系统、方法和装置 |
| WO2021221842A1 (en) * | 2020-05-01 | 2021-11-04 | Intel Corporation | Satellite 5g terrestrial and non-terrestrial network interference exclusion zones |
| CN113783703A (zh) * | 2021-11-10 | 2021-12-10 | 清华大学 | 一种卫星网络终端安全接入认证方法、装置及系统 |
| WO2022002175A1 (zh) * | 2020-07-01 | 2022-01-06 | 大唐移动通信设备有限公司 | 动态认证方法、装置、设备及可读存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114051241B (zh) * | 2022-01-13 | 2022-05-03 | 中移(上海)信息通信科技有限公司 | 一种通信处理方法及装置 |
-
2022
- 2022-01-13 CN CN202210035963.XA patent/CN114051241B/zh active Active
- 2022-11-07 WO PCT/CN2022/130412 patent/WO2023134281A1/zh unknown
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080022868A (ko) * | 2006-09-08 | 2008-03-12 | 주식회사 케이티 | 인공위성을 이용한 무선 인터넷 서비스 시스템 및 그 방법 |
| US20160286392A1 (en) * | 2015-03-25 | 2016-09-29 | Juniper Networks, Inc. | Apparatus and method for authenticating network devices |
| CN107147489A (zh) * | 2017-05-02 | 2017-09-08 | 南京理工大学 | 一种leo卫星网络内分布式的接入认证管理方法 |
| CN110971415A (zh) * | 2019-12-13 | 2020-04-07 | 重庆邮电大学 | 一种天地一体化空间信息网络匿名接入认证方法及系统 |
| CN111314056A (zh) * | 2020-03-31 | 2020-06-19 | 四川九强通信科技有限公司 | 基于身份加密体制的天地一体化网络匿名接入认证方法 |
| WO2021221842A1 (en) * | 2020-05-01 | 2021-11-04 | Intel Corporation | Satellite 5g terrestrial and non-terrestrial network interference exclusion zones |
| WO2022002175A1 (zh) * | 2020-07-01 | 2022-01-06 | 大唐移动通信设备有限公司 | 动态认证方法、装置、设备及可读存储介质 |
| CN113132083A (zh) * | 2021-04-02 | 2021-07-16 | 四川省计算机研究院 | 应用于北斗导航系统的安全认证系统、方法和装置 |
| CN113783703A (zh) * | 2021-11-10 | 2021-12-10 | 清华大学 | 一种卫星网络终端安全接入认证方法、装置及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 曹进等: "向多类型终端的天地一体化信息网络接入与切换认证机制研究", 《天地一体化信息网络》 * |
| 马军等: "基于标识认证和SM2算法的北斗终端接入认证协商协议", 《电子设计工程》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023134281A1 (zh) * | 2022-01-13 | 2023-07-20 | 中移(上海)信息通信科技有限公司 | 通信处理方法及装置、终端、存储介质和计算机程序产品 |
| CN114285912A (zh) * | 2022-03-03 | 2022-04-05 | 中移(上海)信息通信科技有限公司 | 一种通信方法、装置及卫星融合网关 |
| CN114599033A (zh) * | 2022-05-10 | 2022-06-07 | 中移(上海)信息通信科技有限公司 | 一种通信鉴权处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023134281A1 (zh) | 2023-07-20 |
| CN114051241B (zh) | 2022-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9467432B2 (en) | Method and device for generating local interface key | |
| US10284555B2 (en) | User equipment credential system | |
| CN114051241B (zh) | 一种通信处理方法及装置 | |
| US10411884B2 (en) | Secure bootstrapping architecture method based on password-based digest authentication | |
| RU2663972C1 (ru) | Обеспечение безопасности при связи между устройством связи и сетевым устройством | |
| CN102638794B (zh) | 鉴权和密钥协商方法、认证方法、系统及设备 | |
| US7472273B2 (en) | Authentication in data communication | |
| US8990925B2 (en) | Security for a non-3GPP access to an evolved packet system | |
| JP4663011B2 (ja) | 通信コネクションを保護するために少なくとも1つの第1の通信加入者と少なくとも1つの第2の通信加入者との間で秘密鍵を一致させるための方法 | |
| US9641324B2 (en) | Method and device for authenticating request message | |
| US8379854B2 (en) | Secure wireless communication | |
| US8087069B2 (en) | Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA) | |
| US20060253424A1 (en) | Method for verifying the validity of a user | |
| US20070178886A1 (en) | Authentication Method And Related Method For Transmitting Information | |
| CN111147421B (zh) | 一种基于通用引导架构gba的认证方法及相关设备 | |
| US11159940B2 (en) | Method for mutual authentication between user equipment and a communication network | |
| KR20080015934A (ko) | 일반 부트스트래핑 아키텍처(gba)의 인증 환경 설정관련 모바일 노드 아이디 제공 장치, 방법 및 컴퓨터프로그램 생성물 | |
| US9532218B2 (en) | Implementing a security association during the attachment of a terminal to an access network | |
| WO2023216531A1 (zh) | 一种通信鉴权处理方法、装置、设备及计算机可读存储介质 | |
| CN102014385A (zh) | 移动终端的认证方法及移动终端 | |
| MX2007015841A (es) | Aparato, metodo y producto de programa de computadora que proporciona identidades de nodo movil en conjunto con preferencias de autenticacion en arquitectura de arranque generico. | |
| CN101228769A (zh) | 在通用引导架构(gba)中结合认证偏好来提供移动节点标识的装置、方法和计算机程序产品 | |
| CN117082510A (zh) | 一种通信鉴权处理方法、装置及设备 | |
| CN115913612A (zh) | 无账号体系iot设备的远程访问方法及存储介质 | |
| CN115514502A (zh) | 一种基于区块链的边缘计算平台身份认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |