CN117062073A - 安全认证方法、装置、计算机设备和存储介质 - Google Patents
安全认证方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN117062073A CN117062073A CN202310823973.4A CN202310823973A CN117062073A CN 117062073 A CN117062073 A CN 117062073A CN 202310823973 A CN202310823973 A CN 202310823973A CN 117062073 A CN117062073 A CN 117062073A
- Authority
- CN
- China
- Prior art keywords
- application client
- sim card
- network element
- authentication
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 79
- 230000004044 response Effects 0.000 claims description 59
- 238000004590 computer program Methods 0.000 claims description 47
- 230000006870 function Effects 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 16
- 230000007246 mechanism Effects 0.000 claims description 12
- 238000010295 mobile communication Methods 0.000 abstract description 4
- 238000012545 processing Methods 0.000 description 24
- 238000012790 confirmation Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Abstract
本申请涉及一种安全认证方法、装置、计算机设备和存储介质,涉及移动通信技术领域。方法包括:向用户识别模块SIM卡发送第一请求消息;其中,第一请求消息包含待认证的应用客户端的数字签名,数字签名用于供SIM卡对应用客户端进行安全认证。SIM卡对应用客户端的数字签名进行验证,识别应用客户端是否为合法应用,若应用客户端为合法应用,向应用客户端返回SIM卡信息;若应用客户端为不合法应用,则拒绝应用客户端获取SIM卡信息的请求,从而,避免SIM卡信息遭到泄露,降低终端设备的安全风险。
Description
技术领域
本申请涉及移动通信技术领域,特别是涉及一种安全认证方法、装置、计算机设备和存储介质。
背景技术
GBA(GeneralBootstrappingArchitecture,通用认证机制)是3GPP定义的一种基于移动通信网络、轻量级的安全基础设施,可以为应用客户端的应用层业务提供统一的安全认证服务,利用AKA(Authentication and Key Agreement,认证与密钥分配/身份验证和密钥协议)鉴权机制为应用客户端和应用服务器之间建立安全通道密钥,再利用安全通道密钥为应用客户端和应用服务器之间建立起安全通道,进行身份认证与安全通信。
当应用客户端与服务器协商使用GBA鉴权认证方式时,应用客户端从SIM(Subscriber Identity Module,用户识别模块)卡获取SIM卡信息后,向运营商BSF(Bootstrapping Server Function,引导服务功能)网元发送GBA鉴权认证请求消息。在此过程中,应用客户端只需要通过终端系统的签名认证就可以从SIM卡获取SIM卡信息,若该应用客户端为恶意应用,则会存在SIM卡信息泄露的风险。
基于此,如何降低SIM卡信息泄露的风险成为了亟需解决的技术问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够降低SIM卡信息泄露风险的安全认证方法、装置、计算机设备和存储介质。
第一方面,本申请提供了一种安全认证方法。所述方法包括:
向用户识别模块SIM卡发送第一请求消息;其中,所述第一请求消息包含待认证的应用客户端的数字签名,所述数字签名用于供SIM卡对所述应用客户端进行安全认证。
在其中一个实施例中,所述方法还包括:
接收所述SIM卡发送的第一响应消息;所述第一响应消息是在所述SIM卡确定所述应用客户端通过安全认证的情况下发出的。
在其中一个实施例中,所述第一响应消息包含所述SIM卡的标识信息和引导服务功能BSF网元的信息,所述方法还包括:
根据所述SIM卡的标识信息和所述BSF网元的信息,向所述BSF网元发送通用鉴权机制GBA鉴权认证请求;其中,GBA鉴权认证请求用于指示所述BSF网元发起GBA鉴权认证的流程。
在其中一个实施例中,向用户识别模块SIM卡发送第一请求消息,包括:
向NAF(network application function,网络应用功能)网元发送第二请求消息;其中,所述第二请求消息用于指示NAF网元确定鉴权认证方式;
若接收到所述NAF网元发送的第二响应消息,则根据所述第二响应消息中携带的GBA鉴权认证方式向所述SIM卡发送第一请求消息。
第二方面,本申请提供了一种安全认证方法,应用于SIM卡。所述方法包括:
接收终端设备发送的第一请求消息;其中,所述第一请求消息包含待认证的应用客户端的数字签名;
根据所述应用客户端的数字签名,对所述应用客户端进行安全认证。
在其中一个实施例中,所述根据所述应用客户端的数字签名,对所述应用客户端进行安全认证,包括:
采用管理密钥,对所述应用客户端内的数字签名进行验签,得到所述应用客户端的安全认证结果。
在其中一个实施例中,所述管理密钥为运营商公钥。
在其中一个实施例中,所述方法还包括:
在确定所述应用客户端通过安全认证的情况下,向所述终端设备发送第一响应消息。
在其中一个实施例中,所述第一响应消息包含所述SIM卡的标识信息和BSF网元的信息;所述第一响应消息用于供所述终端设备基于所述SIM卡的标识信息和所述BSF网元的信息,向所述BSF网元发送GBA鉴权认证请求;所述GBA鉴权认证请求用于指示所述BSF网元发起GBA鉴权认证的流程。
在其中一个实施例中,在接收终端设备发送的第一请求消息之前,所述方法还包括:
根据运营商私钥,对签约GBA鉴权认证业务的应用客户端进行签名。
第三方面,本申请还提供了一种安全认证系统。所述装置包括:
终端设备,用于向用户识别模块SIM卡发送第一请求消息;其中,所述第一请求消息包含待认证的应用客户端的数字签名;
SIM卡,用于根据所述应用客户端的数字签名,对所述应用客户端进行安全认证。
第四方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
向用户识别模块SIM卡发送第一请求消息;其中,所述第一请求消息包含待认证的应用客户端的数字签名,所述数字签名用于供SIM卡对所述应用客户端进行安全认证。
或者,所述处理器执行所述计算机程序时实现以下步骤:
接收终端设备发送的第一请求消息;其中,所述第一请求消息包含待认证的应用客户端的数字签名;
根据所述应用客户端的数字签名,对所述应用客户端进行安全认证。
第五方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
向用户识别模块SIM卡发送第一请求消息;其中,所述第一请求消息包含待认证的应用客户端的数字签名,所述数字签名用于供SIM卡对所述应用客户端进行安全认证。
或者,所述计算机程序被处理器执行时实现以下步骤:
接收终端设备发送的第一请求消息;其中,所述第一请求消息包含待认证的应用客户端的数字签名;
根据所述应用客户端的数字签名,对所述应用客户端进行安全认证。
第六方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
向用户识别模块SIM卡发送第一请求消息;其中,所述第一请求消息包含待认证的应用客户端的数字签名,所述数字签名用于供SIM卡对所述应用客户端进行安全认证。
或者,所述计算机程序被处理器执行时实现以下步骤:
接收终端设备发送的第一请求消息;其中,所述第一请求消息包含待认证的应用客户端的数字签名;
根据所述应用客户端的数字签名,对所述应用客户端进行安全认证。
上述安全认证方法、装置、计算机设备和存储介质,在应用客户端请求获取SIM卡信息的情况下,SIM卡对应用客户端的数字签名进行验证,识别应用客户端是否为合法应用,若应用客户端为合法应用,向应用客户端返回SIM卡信息;若应用客户端为不合法应用,则拒绝应用客户端获取SIM卡信息的请求,从而,避免SIM卡信息的泄露,降低终端设备的安全风险。
附图说明
图1为一个实施例中安全认证方法的应用环境图;
图2为一个实施例中安全认证方法的流程示意图;
图3为另一个实施例中安全认证方法的流程示意图;
图4为另一个实施例中安全认证方法的流程示意图;
图5为一个实施例中安全认证系统的结构框图;
图6为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
正如前述背景技术中所提及的,GBA是3GPP定义的一种基于移动通信网络、轻量级的安全基础设施,可以为应用客户端的应用层业务提供统一的安全认证服务,利用AKA鉴权机制为应用客户端和应用服务器之间建立安全通道密钥,再利用安全通道密钥为应用客户端和应用服务器之间建立起安全通道,进行身份认证与安全通信。
3GPP TS 33.220规范了移动终端GBA功能技术标准,当应用客户端与应用服务器协商采用GBA鉴权认证方式时,应用客户端可以直接从SIM卡获取SIM卡的标识信息,并发送GBA鉴权认证请求到BSF网元,BSF网元转发GBA鉴权认证请求到HSS网元或UDM网元,HSS网元或UDM网元基于iFC用户签约参数中的GUSS(GBA用户安全参数集)进行鉴权,产生认证向量并继续后续认证流程。
上述标准技术方案中存在的问题是,当应用客户端与服务器协商使用GBA鉴权认证方式时,应用客户端从SIM卡获取SIM卡信息后,向运营商BSF网元发送GBA鉴权认证请求消息。在此过程中,应用客户端只需要通过安卓的签名认证就可以从SIM卡获取SIM卡信息,若该应用客户端为恶意应用,则会存在SIM卡信息泄露的风险。同时,一些非法应用客户端可能通过这种方式对运营商BSF网元进行攻击,给运营商网络带来安全风险。
基于此,本申请提供了一种安全认证方法、装置、计算机设备和存储介质,SIM卡通过预置或OTA方式写入运营商公钥及BSF网元的域名信息,用户在下载安装使用GBA鉴权认证的应用客户端之前,运营商通过证书私钥对该应用客户端进行数字签名;应用客户端发送获取用户IMPI标识的请求消息到SIM卡时,携带应用客户端的数字签名,SIM卡接收到应用客户端获取SIM卡信息的请求消息后,通过运营商公钥验证消息携带的数字签名;如果验证通过,返回IMPI标识及BSF网元访问信息给应用客户端。增强SIM卡中IMPI标识信息及BSF网元的安全性。
本申请实施例提供的安全认证方法,可以应用于如图1所示的应用环境中。如图1所示,应用环境包括:终端10、BSF网元11、NAF网元12和HSS(home subscriber server,归属用户服务器)网元13。
其中,BSF网元11位于终端10的归属网络,用于为终端10提供引导服务,从HSS网元13获取终端的鉴权向量,以完成对终端10的认证,建立与终端10之间的共享密钥。需要说明的是,BSF网元11通过Ub接口与终端10通信,通过Zh接口与HSS网元13通信,且BSF网元11对终端10的认证是基于AKA协议进行的。
NAF网元12在GBA中相当于AS(application server,应用服务器),用于在接收终端的业务请求后,从BSF网元11获取终端10与BSF网元11协商的共享密钥,并实现对终端10的认证。NAF网元12完成与终端10的认证后,可以与终端10共享会话密钥,并基于该会话密钥建立与终端10之间的安全通道,实现与终端10之间的数据加密传输。需要说明的是,NAF网元12通过Ua接口与终端10通信,通过Zn接口与BSF网元11通信。
HSS网元13用于存储终端10的签约信息,生成终端10的安全信息等。
终端10支持AKA协议和超文本传输协议(Hyper Text Transfer Protocol,HTTP),实现与BSF网元和NAF网元之间的认证。这里的终端10可以是物联网终端,也可以是手机、蜂窝电话、无绳电话、会话发起协议(Session Initiation Protocol,SIP)电话、智能电话等,但是需要注意的是,这里的终端10支持SIM卡,能够通过SIM卡实现基于长期演进(longterm evolution,LTE)网络的数据通信,且SIM卡内存储有与核心网共享的根密钥、运营商公钥、运营商私钥、SIM卡的标识信息、BSF网元11的信息等等,SIM卡作为终端10与网络的信任根,该根密钥可以用于生成终端10的共享密钥。
终端10还可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机、台式计算机、智能音箱、智能手表、可穿戴设备、增强现实设备、虚拟现实设备等。可选地,不同的终端设备中安装的应用程序的客户端是相同的,或基于不同操作系统的同一类型应用程序的客户端。基于终端平台的不同,该应用程序的客户端的具体形态也可以不同,比如,该应用程序客户端可以是手机客户端、PC客户端等。
需要说明的是,在上述架构中,GBA流程包括引导认证流程和安全关联流程,引导认证流程用于通过AKA协议实现BSF网元11与终端10之间的认证以及共享密钥的协商,安全关联流程用于实现NAF网元12与终端10之间的认证以及会话密钥的协商。
BSF网元作为整个GBA架构中的锚点,用于从HSS网元或UDM网元获取鉴权向量进而完成对终端的验证,并利用AKA机制与HSS网元或UDM网元一起产生共享密钥。NAF网元引导应用客户端进行GBA认证、并从BSF网元获取共享密钥,产生应用客户端与NAF应用服务器之间的安全通信会话密钥。HSS网元用于产生AKA鉴权向量,并对终端和USIM进行身份认证。终端用于安装应用客户端,USIM用于产生共享密钥及应用外部密钥。
下面结合附图及实施例对本申请实施方式进行详细说明。
在一个实施例中,如图2所示,提供了一种安全认证方法,该方法可以应用于图1中的UE,或者应用于UE安装的待认证的应用客户端,或者应用于UE的处理器等执行主体,包括以下步骤:
S202,向用户识别模块SIM卡发送第一请求消息。
其中,第一请求消息包含待认证的应用客户端的数字签名,数字签名用于供SIM卡对应用客户端进行安全认证,第一请求消息用于请求获取SIM卡的标识信息或终端设备的设备标识。
可选地,在SIM卡根据数字签名,对应用客户端进行安全认证的过程中,SIM卡利用本地存储的运营商公钥对数字签名进行解密,若成功解密数字签名,则确定应用客户端通过安全认证;若未成功解密数字签名,则确定应用客户端未通过安全认证,即应用客户端存在安全风险,应用客户端窃取SIM卡的SIM卡信息,从而导致SIM卡信息遭到泄露。
本实施例,在应用客户端请求SIM卡信息的情况下,SIM卡对应用客户端的数字签名进行验证,识别应用客户端是否为合法应用,若应用客户端为合法应用,向应用客户端返回SIM卡信息;若应用客户端为不合法应用,则拒绝应用客户端获取SIM卡信息的请求,从而,避免SIM卡信息的泄露,降低终端设备的安全风险。
在其中一个实施例中,方法还包括:接收SIM卡发送的第一响应消息;第一响应消息是在SIM卡确定应用客户端通过安全认证的情况下发出的。可选地,在SIM卡确定应用客户端通过安全认之后,SIM卡可以向终端设备发送第一响应消息,以将应用客户端通过安全认证的消息通知给终端设备。
在其中一个实施例中,第一响应消息包含SIM卡的标识信息和引导服务功能BSF网元的信息,方法还包括:根据SIM卡的标识信息和BSF网元的信息,向BSF网元发送通用鉴权机制GBA鉴权认证请求;其中,GBA鉴权认证请求用于指示BSF网元发起GBA鉴权认证的流程。可选地,SIM卡在确定应用客户端通过安全认之后,可以向应用客户端发送第一响应消息,第一响应消息携带SIM卡的标识信息和引导服务功能BSF网元的信息,以便应用客户端根据SIM卡的标识信息和BSF网元的信息,向BSF网元发送通用鉴权机制GBA鉴权认证请求。本实施例,在确定应用客户端为安全应用的情况下,SIM卡才向应用客户端返回SIM卡的标识信息和引导服务功能BSF网元的信息,避免了SIM卡信息遭到非法应用窃取的风险,增强了SIM卡中IMPI标识信息及BSF网元的安全性。
可选地,SIM卡的标识信息可以是用于发起GBA鉴权认证流程的信息,比如,IMPI(IP Multimedia Private Identity,IP多媒体私有标识)。
可选地,应用客户端可以根据BSF网元的信息,将携带有SIM卡的标识信息的GBA鉴权认证请求发送至BSF网元。
在其中一个实施例中,向用户识别模块SIM卡发送第一请求消息,包括:向网络应用功能NAF网元发送第二请求消息;其中,第二请求消息用于指示NAF网元确定鉴权认证方式;若接收到NAF网元发送的第二响应消息,则根据第二响应消息中携带的GBA鉴权认证方式向SIM卡发送第一请求消息。
在一个实施例中,如图3所示,提供了一种安全认证方法,以该方法应用于SIM卡为例进行说明,包括以下步骤:
S302,接收终端设备发送的第一请求消息。
其中,第一请求消息包含待认证的应用客户端的数字签名,第一请求消息用于请求获取SIM卡的标识信息或终端设备的设备标识,标识信息可以是IMPI,设备标识可以为标识终端唯一性的身份标识,如国际移动用户识别码(International Mobile SubscriberIdentity,IMSI)。SIM卡可以通过OTA(Over-the-Air Technology,空中下载技术)或预置方式写入运营商公钥及BSF网元的相关信息。
S304,根据应用客户端的数字签名,对应用客户端进行安全认证。
可选地,在SIM卡根据数字签名,对应用客户端进行安全认证的过程中,SIM卡利用本地存储的运营商公钥对数字签名进行解密,若成功解密数字签名,则确定应用客户端通过安全认证;若未成功解密数字签名,则确定应用客户端未通过安全认证,即应用客户端存在安全风险,此时,应用客户端会窃取SIM卡信息,导致SIM卡信息泄露。
本实施例,在应用客户端获取SIM卡信息的情况下,SIM卡对应用客户端的数字签名进行验证,识别应用客户端是否为合法应用,若应用客户端为合法应用,向应用客户端返回SIM卡信息;若应用客户端为不合法应用,则拒绝应用客户端获取SIM卡信息的请求,从而,避免SIM卡信息的泄露,降低SIM卡信息泄露的风险。
在其中一个实施例中,根据应用客户端的数字签名,对应用客户端进行安全认证,包括:采用管理密钥,对应用客户端内的数字签名进行验签,得到应用客户端的安全认证结果。可选地,管理密钥为运营商公钥或者其它用于解密的公钥。
在其中一个实施例中,方法还包括:在确定应用客户端通过安全认证的情况下,向终端设备发送第一响应消息。可选地,在SIM卡确定应用客户端通过安全认之后,SIM卡可以向终端设备发送第一响应消息,以将应用客户端通过安全认证的消息通知给终端设备。
在其中一个实施例中,第一响应消息包含SIM卡的标识信息和BSF网元的信息;第一响应消息用于供终端设备基于SIM卡的标识信息和BSF网元的信息,向BSF网元发送GBA鉴权认证请求;GBA鉴权认证请求用于指示BSF网元发起GBA鉴权认证的流程。可选地,SIM卡在确定应用客户端通过安全认之后,可以向应用客户端发送第一响应消息,第一响应消息携带SIM卡的标识信息和引导服务功能BSF网元的信息,以便应用客户端根据SIM卡的标识信息和BSF网元的信息,向BSF网元发送通用鉴权机制GBA鉴权认证请求。本实施例,在确定应用客户端为安全应用的情况下,SIM卡才向应用客户端返回SIM卡的标识信息和引导服务功能BSF网元的信息,避免了SIM卡信息遭到非法应用窃取的风险。SIM卡的标识信息可以是用于发起GBA鉴权认证流程的信息,比如IMPI。
在其中一个实施例中,在接收终端设备发送的第一请求消息之前,方法还包括:根据运营商私钥,对签约GBA鉴权认证业务的应用客户端进行签名。可选地,可以利用运营商私钥,对签约GBA鉴权认证业务的应用客户端的代码信息或著录信息进行签名,其中,代码信息为应用客户端的执行代码,著录信息为应用客户端的开发人员或公司的信息。在对签约GBA鉴权认证业务的应用客户端进行签名后,应用开发人员可以通过数字签名,将应用客户端上传到应用商店供用户设备下载,用户设备在下载应用客户端后,向应用服务器发送第二请求消息。
示例性的,本实施例在上述实施例的基础上,提供了一种可选的实施过程,参见图4所示的另一种安全认证方法的流程示意图,该过程具体包括以下步骤:
S402,应用客户端向NAF网元发送第二请求消息。
其中,第二请求消息用于指示NAF网元确定鉴权认证方式。
S404,NAF网元向应用客户端发送第二响应消息。
其中,第二响应消息中携带的GBA鉴权认证方式。
S406,应用客户端向SIM卡发送第一请求消息。
其中,第一请求消息包含待认证的应用客户端的数字签名,数字签名用于供SIM卡对应用客户端进行安全认证。
可选地,应用客户端可以根据第二响应消息中携带的GBA鉴权认证方式向SIM卡发送第一请求消息。
S408,SIM卡根据数字签名,对应用客户端进行安全认证。
可选地,SIM卡采用管理密钥,对应用客户端内的数字签名进行验签,得到应用客户端的安全认证结果。
S410,SIM卡在确定应用客户端通过安全认证的情况下,向应用客户端发送第一响应消息。
其中,第一响应消息包含SIM卡的标识信息和引导服务功能BSF网元的信息。
S412,应用客户端根据SIM卡的标识信息和BSF网元的信息,向BSF网元发送GBA鉴权认证请求。以便进行GBA鉴权认证流程。
可选地,应用客户端可以根据BSF网元的信息,将携带有SIM卡的标识信息的GBA鉴权认证请求发送至BSF网元。
上述S402-S412的具体过程可以参见上述方法实施例的描述,其实现原理和技术效果类似,在此不再赘述。
应该理解的是,虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的安全认证方法的安全认证系统。该系统所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个安全认证系统实施例中的具体限定可以参见上文中对于安全认证方法的限定,在此不再赘述。
在一个实施例中,如图5所示,提供了一种安全认证系统,包括:
终端设备510,用于向用户识别模块SIM卡发送第一请求消息;其中,第一请求消息包含待认证的应用客户端的数字签名;
SIM卡520,用于根据应用客户端的数字签名,对应用客户端进行安全认证。
上述系统,在应用客户端获取SIM卡信息的情况下,SIM卡对应用客户端的数字签名进行验证,识别应用客户端是否为合法应用,若应用客户端为合法应用,向应用客户端返回SIM卡信息;若应用客户端为不合法应用,则拒绝应用客户端获取SIM卡信息的请求,从而,避免SIM卡信息遭到泄露,降低终端设备的安全风险。
在其中一个实施例中,终端设备510,还用于接收SIM卡发送的第一响应消息;第一响应消息是在SIM卡确定应用客户端通过安全认证的情况下发出的。
在其中一个实施例中,第一响应消息包含SIM卡的标识信息和引导服务功能BSF网元的信息,终端设备,还用于根据SIM卡的标识信息和BSF网元的信息,向BSF网元发送通用鉴权机制GBA鉴权认证请求;其中,GBA鉴权认证请求用于指示BSF网元发起GBA鉴权认证的流程。
在其中一个实施例中,终端设备510,还用于向网络应用功能NAF网元发送第二请求消息;其中,第二请求消息用于指示NAF网元确定鉴权认证方式。
在其中一个实施例中,终端设备510,还用于若接收到NAF网元发送的第二响应消息,则向用户识别模块SIM卡发送第一请求消息;其中,第二响应消息用于指示终端设备采用GBA鉴权认证。
在其中一个实施例中,SIM卡520,还用于采用管理密钥,对应用客户端内的数字签名进行验签,得到应用客户端的安全认证结果。
在其中一个实施例中,SIM卡520,还用于在确定应用客户端通过安全认证的情况下,向终端设备发送第一响应消息。
在其中一个实施例中,SIM卡520,还用于根据运营商私钥,对签约GBA鉴权认证业务的应用客户端进行签名。
上述安全认证系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和收发器(图中未示出)。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储运营商公钥、运营商私钥和BSF网元的信息,以及SIM卡的标识信息等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机设备的收发器用于在处理器的控制下执行接收数据或发送数据的操作。该计算机程序被处理器执行时以实现一种安全认证方法。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序中的处理逻辑时实现以下步骤:
向用户识别模块SIM卡发送第一请求消息;其中,第一请求消息包含待认证的应用客户端的数字签名,数字签名用于供SIM卡对应用客户端进行安全认证。
或者,该处理器执行计算机程序中的处理逻辑时实现以下步骤:
接收终端设备发送的第一请求消息;其中,第一请求消息包含待认证的应用客户端的数字签名;
根据应用客户端的数字签名,对应用客户端进行安全认证。
在一个实施例中,处理器执行计算机程序中的处理逻辑时还实现以下步骤:
接收SIM卡发送的第一响应消息;第一响应消息是在SIM卡确定应用客户端通过安全认证的情况下发出的。
在一个实施例中,第一响应消息包含SIM卡的标识信息和引导服务功能BSF网元的信息,处理器执行计算机程序中的处理逻辑时还实现以下步骤:根据SIM卡的标识信息和BSF网元的信息,向BSF网元发送通用鉴权机制GBA鉴权认证请求;其中,GBA鉴权认证请求用于指示BSF网元发起GBA鉴权认证的流程。
在一个实施例中,处理器执行计算机程序中向用户识别模块SIM卡发送第一请求消息的处理逻辑时还实现以下步骤:向网络应用功能NAF网元发送第二请求消息;其中,第二请求消息用于指示NAF网元确定鉴权认证方式;若接收到NAF网元发送的第二响应消息,则根据第二响应消息中携带的GBA鉴权认证方式向SIM卡发送第一请求消息。
在一个实施例中,处理器执行计算机程序中根据应用客户端的数字签名,对应用客户端进行安全认证的处理逻辑时还实现以下步骤:采用管理密钥,对应用客户端内的数字签名进行验签,得到应用客户端的安全认证结果。
在一个实施例中,处理器执行计算机程序中的处理逻辑时还实现以下步骤:在确定应用客户端通过安全认证的情况下,向终端设备发送第一响应消息。
在一个实施例中,处理器执行计算机程序中在接收终端设备发送的第一请求消息之前的处理逻辑时还实现以下步骤:根据运营商私钥,对签约GBA鉴权认证业务的应用客户端进行签名。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序中的处理逻辑被处理器执行时实现以下步骤:
向用户识别模块SIM卡发送第一请求消息;其中,第一请求消息包含待认证的应用客户端的数字签名,数字签名用于供SIM卡对应用客户端进行安全认证。
或者,计算机程序中的处理逻辑被处理器执行时实现以下步骤:
接收终端设备发送的第一请求消息;其中,第一请求消息包含待认证的应用客户端的数字签名;
根据应用客户端的数字签名,对应用客户端进行安全认证。
在一个实施例中,计算机程序中的处理逻辑被处理器执行时还实现以下步骤:接收SIM卡发送的第一响应消息;第一响应消息是在SIM卡确定应用客户端通过安全认证的情况下发出的。
在一个实施例中,第一响应消息包含SIM卡的标识信息和引导服务功能BSF网元的信息,计算机程序中的处理逻辑被处理器执行时还实现以下步骤:根据SIM卡的标识信息和BSF网元的信息,向BSF网元发送通用鉴权机制GBA鉴权认证请求;其中,GBA鉴权认证请求用于指示BSF网元发起GBA鉴权认证的流程。
在一个实施例中,计算机程序中向用户识别模块SIM卡发送第一请求消息的处理逻辑被处理器执行时还实现以下步骤:向网络应用功能NAF网元发送第二请求消息;其中,第二请求消息用于指示NAF网元确定鉴权认证方式;若接收到NAF网元发送的第二响应消息,则根据第二响应消息中携带的GBA鉴权认证方式向SIM卡发送第一请求消息。
在一个实施例中,计算机程序中根据应用客户端的数字签名,对应用客户端进行安全认证的处理逻辑被处理器执行时还实现以下步骤:采用管理密钥,对应用客户端内的数字签名进行验签,得到应用客户端的安全认证结果。
在一个实施例中,计算机程序中的处理逻辑被处理器执行时还实现以下步骤:在确定应用客户端通过安全认证的情况下,向终端设备发送第一响应消息。
在一个实施例中,计算机程序中在接收终端设备发送的第一请求消息之前的处理逻辑被处理器执行时还实现以下步骤:根据运营商私钥,对签约GBA鉴权认证业务的应用客户端进行签名。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
向用户识别模块SIM卡发送第一请求消息;其中,第一请求消息包含待认证的应用客户端的数字签名,数字签名用于供SIM卡对应用客户端进行安全认证。
或者,计算机程序中的处理逻辑被处理器执行时实现以下步骤:
接收终端设备发送的第一请求消息;其中,第一请求消息包含待认证的应用客户端的数字签名;
根据应用客户端的数字签名,对应用客户端进行安全认证。
在一个实施例中,计算机程序中的处理逻辑被处理器执行时还实现以下步骤:接收SIM卡发送的第一响应消息;第一响应消息是在SIM卡确定应用客户端通过安全认证的情况下发出的。
在一个实施例中,第一响应消息包含SIM卡的标识信息和引导服务功能BSF网元的信息,计算机程序中的处理逻辑被处理器执行时还实现以下步骤:根据SIM卡的标识信息和BSF网元的信息,向BSF网元发送通用鉴权机制GBA鉴权认证请求;其中,GBA鉴权认证请求用于指示BSF网元发起GBA鉴权认证的流程。
在一个实施例中,计算机程序中向用户识别模块SIM卡发送第一请求消息的处理逻辑被处理器执行时还实现以下步骤:向网络应用功能NAF网元发送第二请求消息;其中,第二请求消息用于指示NAF网元确定鉴权认证方式;若接收到NAF网元发送的第二响应消息,则根据第二响应消息中携带的GBA鉴权认证方式向SIM卡发送第一请求消息。
在一个实施例中,计算机程序中根据应用客户端的数字签名,对应用客户端进行安全认证的处理逻辑被处理器执行时还实现以下步骤:采用管理密钥,对应用客户端内的数字签名进行验签,得到应用客户端的安全认证结果。
在一个实施例中,计算机程序中的处理逻辑被处理器执行时还实现以下步骤:在确定应用客户端通过安全认证的情况下,向终端设备发送第一响应消息。
在一个实施例中,计算机程序中在接收终端设备发送的第一请求消息之前的处理逻辑被处理器执行时还实现以下步骤:根据运营商私钥,对签约GBA鉴权认证业务的应用客户端进行签名。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (14)
1.一种安全认证方法,其特征在于,所述方法包括:
向用户识别模块SIM卡发送第一请求消息;其中,所述第一请求消息包含待认证的应用客户端的数字签名,所述数字签名用于供SIM卡对所述应用客户端进行安全认证。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述SIM卡发送的第一响应消息;所述第一响应消息是在所述SIM卡确定所述应用客户端通过安全认证的情况下发出的。
3.根据权利要求2所述的方法,其特征在于,所述第一响应消息包含所述SIM卡的标识信息和引导服务功能BSF网元的信息,所述方法还包括:
根据所述SIM卡的标识信息和所述BSF网元的信息,向所述BSF网元发送通用鉴权机制GBA鉴权认证请求;其中,GBA鉴权认证请求用于指示所述BSF网元发起GBA鉴权认证的流程。
4.根据权利要求1所述的方法,其特征在于,向用户识别模块SIM卡发送第一请求消息,包括:
向网络应用功能NAF网元发送第二请求消息;其中,所述第二请求消息用于指示NAF网元确定鉴权认证方式;
若接收到所述NAF网元发送的第二响应消息,则根据所述第二响应消息中携带的GBA鉴权认证方式向所述SIM卡发送第一请求消息。
5.一种安全认证方法,其特征在于,应用于SIM卡,所述方法包括:
接收终端设备发送的第一请求消息;其中,所述第一请求消息包含待认证的应用客户端的数字签名;
根据所述应用客户端的数字签名,对所述应用客户端进行安全认证。
6.根据权利要求5所述的方法,其特征在于,所述根据所述应用客户端的数字签名,对所述应用客户端进行安全认证,包括:
采用管理密钥,对所述应用客户端内的数字签名进行验签,得到所述应用客户端的安全认证结果。
7.根据权利要求6所述的方法,其特征在于,所述管理密钥为运营商公钥。
8.根据权利要求5所述的方法,其特征在于,所述方法还包括:
在确定所述应用客户端通过安全认证的情况下,向所述终端设备发送第一响应消息。
9.根据权利要求8所述的方法,其特征在于,所述第一响应消息包含所述SIM卡的标识信息和BSF网元的信息;所述第一响应消息用于供所述终端设备基于所述SIM卡的标识信息和所述BSF网元的信息,向所述BSF网元发送GBA鉴权认证请求;所述GBA鉴权认证请求用于指示所述BSF网元发起GBA鉴权认证的流程。
10.根据权利要求5所述的方法,其特征在于,在接收终端设备发送的第一请求消息之前,所述方法还包括:
根据运营商私钥,对签约GBA鉴权认证业务的应用客户端进行签名。
11.一种安全认证系统,其特征在于,所述系统包括:
终端设备,用于向用户识别模块SIM卡发送第一请求消息;其中,所述第一请求消息包含待认证的应用客户端的数字签名;
SIM卡,用于根据所述应用客户端的数字签名,对所述应用客户端进行安全认证。
12.一种计算机设备,包括存储器、收发器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4中任一项所述的方法的步骤,或者,所述处理器执行所述计算机程序时实现权利要求5至10中任一项所述的方法的步骤,所述收发器用于在所述处理器的控制下执行接收数据或发送数据的操作。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至10中任一项所述的方法的步骤。
14.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至10中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310823973.4A CN117062073A (zh) | 2023-07-06 | 2023-07-06 | 安全认证方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310823973.4A CN117062073A (zh) | 2023-07-06 | 2023-07-06 | 安全认证方法、装置、计算机设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117062073A true CN117062073A (zh) | 2023-11-14 |
Family
ID=88668127
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310823973.4A Pending CN117062073A (zh) | 2023-07-06 | 2023-07-06 | 安全认证方法、装置、计算机设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117062073A (zh) |
-
2023
- 2023-07-06 CN CN202310823973.4A patent/CN117062073A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107743133B (zh) | 移动终端及其基于可信安全环境的访问控制方法和系统 | |
US10411884B2 (en) | Secure bootstrapping architecture method based on password-based digest authentication | |
CN111327583B (zh) | 一种身份认证方法、智能设备及认证服务器 | |
US9015819B2 (en) | Method and system for single sign-on | |
US9954834B2 (en) | Method of operating a computing device, computing device and computer program | |
CA2879910C (en) | Terminal identity verification and service authentication method, system and terminal | |
CN110545252B (zh) | 一种认证和信息保护的方法、终端、控制功能实体及应用服务器 | |
JP2018517367A (ja) | サービスプロバイダ証明書管理 | |
KR20140095523A (ko) | 외부 코드에 대한 보안 메커니즘 | |
CN105187369A (zh) | 一种数据访问方法及装置 | |
WO2019099456A1 (en) | System and method for securely activating a mobile device and storing an encryption key | |
US10785193B2 (en) | Security key hopping | |
CN112423300A (zh) | 无线网络接入认证方法及装置 | |
CN116346341A (zh) | 私钥保护和服务端访问方法、系统、设备及存储介质 | |
CN112995090A (zh) | 终端应用的认证方法、装置、系统和计算机可读存储介质 | |
CN116049802A (zh) | 应用单点登陆方法、系统、计算机设备和存储介质 | |
KR101329789B1 (ko) | 모바일 디바이스의 데이터베이스 암호화 방법 | |
CN112637124B (zh) | 报文的处理方法、装置、电子设备及计算机可读存储介质 | |
CN117062073A (zh) | 安全认证方法、装置、计算机设备和存储介质 | |
CN111541642A (zh) | 基于动态秘钥的蓝牙加密通信方法、装置和计算机设备 | |
CN115333820B (zh) | 区块链数据处理方法、装置、设备以及存储介质 | |
CN114666154B (zh) | 设备通信方法、装置、网关、设备、系统、介质和产品 | |
CN109474624B (zh) | 一种应用程序认证系统及方法 | |
Culnane et al. | Formalising Application-Driven Authentication & Access-Control based on Users’ Companion Devices | |
Sabouri | A cloud-based model to facilitate mobility of privacy-preserving attribute-based credential users |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |