CN117098121A - 鉴权认证方法、装置、计算机设备、存储介质和程序产品 - Google Patents
鉴权认证方法、装置、计算机设备、存储介质和程序产品 Download PDFInfo
- Publication number
- CN117098121A CN117098121A CN202310949592.0A CN202310949592A CN117098121A CN 117098121 A CN117098121 A CN 117098121A CN 202310949592 A CN202310949592 A CN 202310949592A CN 117098121 A CN117098121 A CN 117098121A
- Authority
- CN
- China
- Prior art keywords
- authentication
- user card
- terminal
- target user
- subscription information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 90
- 238000004590 computer program Methods 0.000 claims description 27
- 238000012545 processing Methods 0.000 claims description 14
- 230000011664 signaling Effects 0.000 claims description 10
- 238000007726 management method Methods 0.000 description 27
- 238000004891 communication Methods 0.000 description 22
- 238000012216 screening Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 5
- 238000013523 data management Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000003044 adaptive effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/12—Messaging; Mailboxes; Announcements
- H04W4/14—Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请涉及一种鉴权认证方法、装置、计算机设备、存储介质和程序产品。应用于终端侧,该方法包括:接收网络侧发送的鉴权认证订阅信息;鉴权认证订阅信息存储在网络侧,且与终端搭载的目标用户卡相对应;基于鉴权认证订阅信息,确定与终端上的待鉴权应用对应的目标鉴权认证方式;采用目标鉴权认证方式,对待鉴权应用进行鉴权认证,得到鉴权认证结果。即终端应用在进行鉴权认证时,能够从网络侧获取到与终端上所搭载的目标用户卡对应的鉴权认证订阅信息,以便终端能够明确该目标用户卡对应的实际鉴权认证方式;进而能够精确调用对应的鉴权认证服务,实现对待鉴权应用的精确鉴权认证;能够提高鉴权认证的成功率,进而提高鉴权认证效率。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种鉴权认证方法、装置、计算机设备、存储介质和程序产品。
背景技术
随着通信技术的发展,对于通信安全与通信效率的要求越来越高。终端上的应用在与服务器进行网络通信时,通常需要先对应用进行鉴权认证,鉴权认证后,才能基于鉴权认证所得到的密钥来建立应用与服务器之间的安全通信连接。
传统方法中,对于终端上搭载的用户卡而言,在网络侧会对该用户卡进行鉴权认证配置,从而在网络侧确定出与该用户卡对应的鉴权认证方式;后续,搭载该用户卡的终端便可基于该鉴权认证方式对其上的应用进行鉴权认证。
但是,由于传统技术中,用户卡或者搭载用户卡的终端并不知道网络侧配置了哪种鉴权认证方式,因此,终端在对其上的应用进行鉴权认证时,可能存在鉴权失败的情况,从而导致鉴权效率较低。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高鉴权效率的鉴权认证方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种鉴权认证方法。应用于终端,该方法包括:
接收网络侧发送的鉴权认证订阅信息;鉴权认证订阅信息存储在网络侧,且与终端搭载的目标用户卡相对应;
基于鉴权认证订阅信息,确定与终端上的待鉴权应用对应的目标鉴权认证方式;
采用目标鉴权认证方式,对待鉴权应用进行鉴权认证,得到鉴权认证结果。
在其中一个实施例中,接收网络侧发送的鉴权认证订阅信息,包括:
接收网络侧的短消息服务网关发送的加密数据短信;该加密数据短信中携带了终端搭载的目标用户卡的鉴权认证订阅信息;
对加密数据短信进行解析,得到终端搭载的目标用户卡的鉴权认证订阅信息。
在其中一个实施例中,鉴权认证订阅信息中包括目标用户卡对应的至少一种鉴权认证方式和各鉴权认证方式的支持属性;支持属性用于表征目标用户卡是否支持鉴权认证方式;基于鉴权认证订阅信息,确定与终端上的待鉴权应用对应的目标鉴权认证方式,包括:
根据各鉴权认证方式的支持属性,从至少一种鉴权认证方式中,确定候选鉴权认证方式;候选鉴权认证方式包括目标用户卡支持的鉴权认证方式;
根据候选鉴权认证方式的使用信息,从候选鉴权认证方式中确定与终端上的待鉴权应用对应的目标鉴权认证方式。
在其中一个实施例中,使用信息包括鉴权成功率;若候选鉴权认证方式包括多个,则根据候选鉴权认证方式的使用信息,从候选鉴权认证方式中确定与终端上的待鉴权应用对应的目标鉴权认证方式,包括:
获取各候选鉴权认证方式对应的鉴权成功率;
根据各候选鉴权认证方式对应的鉴权成功率,将鉴权成功率最高的候选鉴权认证方式确定为与终端上的待鉴权应用对应的目标鉴权认证方式。
在其中一个实施例中,该方法还包括:
根据鉴权认证结果,对目标鉴权认证方式对应的鉴权成功率进行更新。
在其中一个实施例中,鉴权认证订阅信息中包括目标用户卡对应的至少一种鉴权认证方式和各鉴权认证方式的支持属性;支持属性用于表征目标用户卡是否支持鉴权认证方式;基于鉴权认证订阅信息,确定与终端上的待鉴权应用对应的目标鉴权认证方式,包括:
获取待鉴权应用对应的预设鉴权认证方式;
判断鉴权认证订阅信息中是否包括预设鉴权认证方式;
若鉴权认证订阅信息中包括预设鉴权认证方式,则根据预设鉴权认证方式的支持属性,确定目标用户卡是否支持预设鉴权认证方式;
若目标用户卡支持预设鉴权认证方式,则将预设鉴权认证方式确定为与终端上的待鉴权应用对应的目标鉴权认证方式。
第二方面,本申请提供了一种鉴权认证方法。应用于网络侧,该方法包括:
获取目标用户卡对应的鉴权认证订阅信息;
将目标用户卡对应的鉴权认证订阅信息发送至目标用户卡对应的终端;鉴权认证订阅信息用于指示终端基于鉴权认证订阅信息,确定与终端上的待鉴权应用对应的目标鉴权认证方式,并采用目标鉴权认证方式,对待鉴权应用进行鉴权认证,得到鉴权认证结果。
在其中一个实施例中,获取目标用户卡对应的鉴权认证订阅信息,包括:
通过网络侧的客户关系管理网元向网络侧的信令处理网元发送鉴权认证配置请求;鉴权认证配置请求中携带目标用户卡的订阅信息;
通过信令处理网元基于目标用户卡的订阅信息,对目标用户卡进行鉴权认证配置,并向客户关系管理网元发送配置结果;
通过客户关系管理网元基于配置结果,生成目标用户卡对应的鉴权认证订阅信息。
在其中一个实施例中,将目标用户卡对应的鉴权认证订阅信息发送至目标用户卡对应的终端,包括:
通过客户关系管理网元向可信服务管理网元发送数据加密请求;数据加密请求中携带目标用户卡对应的鉴权认证订阅信息;
通过可信服务管理网元对目标用户卡对应的鉴权认证订阅信息进行加密处理,得到目标用户卡对应的加密数据短信,并将目标用户卡对应的加密数据短信发送至客户关系管理网元;
通过客户关系管理网元将目标用户卡对应的加密数据短信发送至网络侧的短消息服务网关;
通过短消息服务网关将目标用户卡对应的加密数据短信,以数据短信形式,发送至目标用户卡对应的终端。
在其中一个实施例中,鉴权认证订阅信息中包括目标用户卡对应的至少一种鉴权认证方式和各鉴权认证方式的支持属性;支持属性用于表征目标用户卡是否支持鉴权认证方式;
支持属性用于指示终端根据各鉴权认证方式的支持属性,从至少一种鉴权认证方式中,确定候选鉴权认证方式;候选鉴权认证方式包括目标用户卡支持的鉴权认证方式;根据候选鉴权认证方式的使用信息,从候选鉴权认证方式中确定与终端上的待鉴权应用对应的目标鉴权认证方式。
第三方面,本申请还提供了一种鉴权认证装置。应用于终端侧,该装置包括:
接收模块,用于接收网络侧发送的鉴权认证订阅信息;鉴权认证订阅信息存储在网络侧,且与终端搭载的目标用户卡相对应;
确定模块,用于基于鉴权认证订阅信息,确定与终端上的待鉴权应用对应的目标鉴权认证方式;
鉴权认证模块,用于采用目标鉴权认证方式,对待鉴权应用进行鉴权认证,得到鉴权认证结果。
第四方面,本申请还提供了一种鉴权认证装置。应用于网络侧,该装置包括:
获取模块,用于获取目标用户卡对应的鉴权认证订阅信息;
发送模块,用于将目标用户卡对应的鉴权认证订阅信息发送至目标用户卡对应的终端;鉴权认证订阅信息用于指示终端基于鉴权认证订阅信息,确定与终端上的待鉴权应用对应的目标鉴权认证方式,并采用目标鉴权认证方式,对待鉴权应用进行鉴权认证,得到鉴权认证结果。
第五方面,本申请还提供了一种计算机设备。该计算机设备包括存储器和处理器,该存储器存储有计算机程序,该处理器执行所述计算机程序时实现上述第一方面和/或第二方面中的鉴权认证方法的步骤。
第六方面,本申请还提供了一种计算机可读存储介质。该计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述第一方面和/或第二方面中的鉴权认证方法的步骤。
第七方面,本申请还提供了一种计算机程序产品,该计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述第一方面和/或第二方面中的鉴权认证方法的步骤。
上述鉴权认证方法、装置、计算机设备、存储介质和计算机程序产品,终端侧通过接收网络侧发送的鉴权认证订阅信息;其中,该鉴权认证订阅信息存储在网络侧,且与终端搭载的目标用户卡相对应;接着,基于鉴权认证订阅信息,来确定与终端上的待鉴权应用对应的目标鉴权认证方式;进而采用该目标鉴权认证方式,对待鉴权应用进行鉴权认证,得到鉴权认证结果。也就是说,在本申请实施例中,终端应用在进行鉴权认证时,能够从网络侧先获取到与终端上所搭载的目标用户卡对应的鉴权认证订阅信息,以便终端能够明确该目标用户卡对应的实际鉴权认证方式;进而,终端便可以基于与该目标用户卡对应的鉴权认证方式,确定出与待鉴权应用对应的目标鉴权认证方式;从而基于该目标鉴权认证方式对待鉴权应用进行鉴权认证;由于终端已经明确知晓网络侧对于该目标用户卡所配置的鉴权认证方式,因此,终端能够精确调用对应的鉴权认证服务,从而实现对待鉴权应用的精确鉴权认证;不仅能够避免终端因调用无效的鉴权认证服务而导致的鉴权失败的问题,还能避免终端与网络侧能力不一致时所导致的鉴权失败的问题;因此,采用本方法,能够大大提高鉴权认证的成功率和可靠性,提高鉴权认证的效率。
附图说明
图1为一个实施例中鉴权认证方法的应用环境图;
图2为一个实施例中终端侧的鉴权认证方法的流程示意图;
图3为另一个实施例中终端侧的鉴权认证方法的流程示意图;
图4为另一个实施例中终端侧的鉴权认证方法的流程示意图;
图5为另一个实施例中终端侧的鉴权认证方法的流程示意图;
图6为一个实施例中网络侧的鉴权认证方法的流程示意图;
图7为一个实施例中鉴权认证方法的流程结构示意图;
图8为一个实施例中应用层引导鉴权认证的自适应工作流程示意图;
图9为一个实施例中应用层引导鉴权认证及可用性反馈的工作流程示意图;
图10为一个实施例中终端侧的鉴权认证装置的结构框图;
图11为一个实施例中网络侧的鉴权认证装置的结构框图;
图12为一个实施例中终端设备的内部结构图;
图13为一个实施例中网络设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的鉴权认证方法,可以应用于无线通信和终端领域。网络运营商通常会为终端上的应用提供基于网络的原生认证鉴权服务,如:通用认证机制(GenericBootstrapping Architecture,GBA)服务、应用层身份认证和密钥管理(Authenticationand KeyManagement for Application,AKMA)服务等。在一种情况下,若将GBA和AKMA两种应用层鉴权认证方式进行混合部署,那么,终端上的应用便可以自适应使用有效的鉴权认证方式,以提高引导鉴权认证的成功率,进而提高鉴权认证效率。
然而,在另一种情况下,若仅部署GBA或者AKMA时,那么只有在网络侧的归属用户服务器(Home Subscriber Server,HSS)以及统一数据管理(Unified Data Management,UDM)等信令处理网元中,存在相关的引导鉴权认证订阅信息;即在HSS/UDM中存储有不同用户卡对应的鉴权认证订阅信息。
这样会存在以下问题:
(1)用户卡或搭载用户卡的终端无法得知在网络侧订阅了何种应用层鉴权认证,从而终端上的应用无法实现精确的认证鉴权服务调用;
(2)终端上的应用可能会因为调用了无效的引导鉴权方式,而导致相关业务请求失败;
(3)当终端侧的环境发生变化(如:更换终端/用户卡)时,网络侧的订阅信息与终端侧能力支持情况不一致,导致相关业务请求失败。
也就是说,用户卡或者搭载用户卡的终端并不知道网络侧配置了哪种鉴权认证方式,因此,终端在对其上的应用进行鉴权认证时,可能存在鉴权失败的情况,从而导致鉴权效率较低。
基于此,本申请实施例针对GBA或AKMA部署时用户卡和终端无法得知实际订阅了何种应用层引导鉴权认证,或者终端侧环境发生变化时网络侧的应用层引导鉴权认证订阅信息与终端侧能力支持情况不一致,导致终端应用无法准确调用可用的认证鉴权服务或应用层会话建立失败的问题,提出了一种鉴权认证方法;在网络侧对用户卡完成鉴权认证配置的情况下,将用户卡的鉴权认证订阅信息发送至对应的用户卡,以便终端应用在进行鉴权认证时,能够从用户卡中获取对应的鉴权认证订阅信息,并基于与用户卡匹配的鉴权认证方式完成对应用的鉴权认证,从而准确无误地对应用进行鉴权认证,避免采用无效的鉴权认证方式导致鉴权失败的问题;能够提高鉴权认证的成功率,进而能够提高鉴权认证效率。
本申请实施例提供的鉴权认证方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络104与服务器106进行通信。终端102上装载有不同的应用,各应用分别与相同或者不同的服务器106进行通信,通过网络104可以实现终端102上的应用与对应的服务器106之间的安全通信;应用在与网络104建立安全通信连接时,需要先进行鉴权认证,并在鉴权认证通过后,基于鉴权认证所得到的密钥来建立应用与网络侧之间的安全通信连接,进而网络侧建立与对应的服务器之间的安全通信连接,从而实现应用与对应的服务器106之间的安全通信连接。
另外,数据存储系统可以存储服务器106需要处理的数据。数据存储系统可以集成在服务器106上,也可以放在云上或其他网络服务器上。
终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。网络104中可以包括不同功能的网元和网关,实现终端与服务器之间的数据传输和管理。服务器106可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种鉴权认证方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
步骤202,接收网络侧发送的鉴权认证订阅信息。
其中,该鉴权认证订阅信息存储在网络侧,且与终端上所搭载的目标用户卡相对应。网络侧存储有不同用户卡对应的配置信息,该配置信息中包括但不限于用户卡对应的鉴权认证订阅信息。
在一种实现方式中,在网络侧新增或者修改了用户卡的鉴权认证订阅信息的情况下,网络侧可以将该用户卡的鉴权认证订阅信息发送至用户卡,或者发送至搭载该用户卡的终端。
在另一种实现方式中,终端也可以向网络侧发送携带了终端上所搭载的目标用户卡的标识的鉴权认证订阅信息请求,网络侧在接收到该鉴权认证订阅信息请求的情况下,将该目标用户卡对应的鉴权认证订阅信息发送至该目标用户卡,或者发送至搭载该目标用户卡的终端。
示例性地,在网络侧将目标用户卡的鉴权认证订阅信息发送至该目标用户卡的情况下,终端可以从该目标用户卡中读取鉴权认证订阅信息。
步骤204,基于鉴权认证订阅信息,确定与终端上的待鉴权应用对应的目标鉴权认证方式。
示例性地,该鉴权认证订阅信息中可以包括目标用户卡所支持的至少一种鉴权认证方式;其中,在鉴权认证订阅信息中包括目标用户卡所支持的一种鉴权认证方式的情况下,终端可以将该一种鉴权认证方式确定为与终端上的待鉴权应用对应的目标鉴权认证方式;在鉴权认证订阅信息中包括目标用户卡所支持的多种鉴权认证方式的情况下,终端可以采用不同的筛选策略,从该多种鉴权认证方式中,确定出一种鉴权认证方式,作为与终端上的待鉴权应用对应的目标鉴权认证方式。
示例性地,该筛选策略可以包括随机筛选策略,即终端可以从多种鉴权认证方式中,随机确定出一种鉴权认证方式,作为与终端上的待鉴权应用对应的目标鉴权认证方式。
示例性地,该筛选策略也可以包括基于不同的筛选条件所配置的条件筛选策略,不同的筛选条件包括但不限于使用次数、成功次数、鉴权认证速率、应用默认鉴权认证方式等;基于不同的条件筛选策略,可以从多种鉴权认证方式中,确定出与对应的筛选条件相匹配的一种鉴权认证方式,作为与终端上的待鉴权应用对应的目标鉴权认证方式。
需要说明的是,在从多种鉴权认证方式中确定与终端上的待鉴权应用对应的目标鉴权认证方式,除上述描述的确定方式外,还可以采用其他的确定方式,本申请实施例对此不做具体限定。
步骤206,采用目标鉴权认证方式,对待鉴权应用进行鉴权认证,得到鉴权认证结果。
示例性地,在目标鉴权认证方式为GBA认证方式的情况下,那么,终端便可以基于GBA认证方式,调用GBA鉴权认证服务,以对待鉴权应用进行鉴权认证,得到鉴权认证结果。在目标鉴权认证方式为AKMA认证方式的情况下,那么,终端便可以基于AKMA认证方式,调用AKMA鉴权认证服务,以对待鉴权应用进行鉴权认证,得到鉴权认证结果。
需要说明的是,针对GBA鉴权认证服务和AKMA鉴权认证服务,其鉴权认证过程可以参考相关技术中对GBA鉴权认证和AKMA鉴权认证的技术简介,本实施例中对其鉴权认证过程不做详细描述。
进一步地,终端在得到鉴权认证结果之后,可以基于鉴权认证后从网络侧获取到的密钥建立与网络侧之间的安全通信连接。可选地,终端在得到鉴权认证结果之后,还可以将该鉴权认证结果发送至该目标用户卡中,以便目标用户卡可以对该目标鉴权认证方式的使用情况进行记录和反馈。
上述鉴权认证方法中,终端侧通过接收网络侧发送的鉴权认证订阅信息;其中,该鉴权认证订阅信息存储在网络侧,且与终端搭载的目标用户卡相对应;接着,基于鉴权认证订阅信息,来确定与终端上的待鉴权应用对应的目标鉴权认证方式;进而采用该目标鉴权认证方式,对待鉴权应用进行鉴权认证,得到鉴权认证结果。也就是说,在本申请实施例中,终端应用在进行鉴权认证时,能够从网络侧先获取到与终端上所搭载的目标用户卡对应的鉴权认证订阅信息,以便终端能够明确该目标用户卡对应的实际鉴权认证方式;进而,终端便可以基于与该目标用户卡对应的鉴权认证方式,确定出与待鉴权应用对应的目标鉴权认证方式;从而基于该目标鉴权认证方式对待鉴权应用进行鉴权认证;由于终端已经明确知晓网络侧对于该目标用户卡所配置的鉴权认证方式,因此,终端能够精确调用对应的鉴权认证服务,从而实现对待鉴权应用的精确鉴权认证;不仅能够避免终端因调用无效的鉴权认证服务而导致的鉴权失败的问题,还能避免终端与网络侧能力不一致时所导致的鉴权失败的问题;因此,采用本方法,能够大大提高鉴权认证的成功率和可靠性,提高鉴权认证的效率。
图3为另一个实施例中鉴权认证方法的流程示意图。本实施例涉及的是终端接收网络侧发送的鉴权认证订阅信息的一种可选的实现过程,在上述实施例的基础上,如图3所示,上述步骤202包括:
步骤302,接收网络侧的短消息服务网关发送的加密数据短信。
其中,加密数据短信中携带了终端搭载的目标用户卡的鉴权认证订阅信息。
示例性地,在网络侧完成对目标用户卡的鉴权认证配置之后,可以将该目标用户卡的鉴权认证订阅信息发送至短消息服务网关,以指示短消息服务网关能够将该目标用户卡的鉴权认证订阅信息以数据短信的形式,发送至目标用户卡,或者,发送至搭载该目标用户卡的终端。
示例性地,对于短消息服务网关发送的携带了目标用户卡的鉴权认证订阅信息的加密数据短信,可以设置其对用户不可见;只需将该加密数据短信存储至目标用户卡或者终端内部即可;以便终端能够从该加密数据短信中获取到该目标用户卡的鉴权认证订阅信息,进而,基于该目标用户卡的鉴权认证订阅信息,实现对终端上的待鉴权应用的鉴权认证。
步骤304,对加密数据短信进行解析,得到终端搭载的目标用户卡的鉴权认证订阅信息。
示例性地,在终端需要对待鉴权应用进行鉴权认证时,终端可以对该加密数据短信进行解析,并以此获取到目标用户卡对应的鉴权认证订阅信息。当然,终端也可以在接收到网络侧的短消息服务网关发送的加密数据短信时,对该加密数据短信进行解析,从而从该加密数据短信中解析出目标用户卡对应的鉴权认证订阅信息;接着,终端可以将该目标用户卡对应的鉴权认证订阅信息进行本地存储;如:可以将该目标用户卡对应的鉴权认证订阅信息存储在目标用户卡中,也可以将该目标用户卡对应的鉴权认证订阅信息存储在终端的预设存储空间中;本申请实施例对此不做具体限定。
本实施例中,终端通过接收网络侧的短消息服务网关发送的加密数据短信,该加密数据短信中携带了终端搭载的目标用户卡的鉴权认证订阅信息;接着,通过对该加密数据短信进行解析,来得到终端搭载的目标用户卡的鉴权认证订阅信息。也就是说,本实施例中,网络侧在完成对目标用户卡的鉴权认证配置之后,以数据短信的形式将该目标用户卡的鉴权认证订阅信息发送至目标用户卡,或者,发送至搭载了该目标用户卡的终端;从而使得终端能够明确知晓网络侧对于该目标用户卡所配置的实际鉴权认证方式,以便终端能够精准调用鉴权认证服务,实现对应用的鉴权认证,提高鉴权认证的成功率,进而提高鉴权认证效率。另外,本实施例中,采用数据短信的形式将目标用户卡的鉴权认证订阅信息发送至目标用户卡,或者,发送至搭载了该目标用户卡的终端,能够实现将网络侧的配置信息与目标用户卡或终端进行信息共享,且在终端未与网络侧建立安全通信连接的情况下,能够提高数据传输的安全性和可靠性。
在一个实施例中,对于上述鉴权认证订阅信息,其中可以包括目标用户卡对应的至少一种鉴权认证方式和各鉴权认证方式的支持属性;其中,鉴权认证方式的支持属性可以用于表征目标用户卡是否支持该鉴权认证方式。例如:该鉴权认证订阅信息中可以包括GBA鉴权认证方式,其支持属性为支持、AKMA鉴权认证方式,其支持属性为不支持;或者,该鉴权认证订阅信息中可以包括GBA鉴权认证方式,其支持属性为不支持、AKMA鉴权认证方式,其支持属性为支持;又或者,该鉴权认证订阅信息中可以包括GBA鉴权认证方式,其支持属性为支持、AKMA鉴权认证方式,其支持属性为支持。
示例性地,在上述实施例的基础上,如图4所示,上述步骤204中基于鉴权认证订阅信息,确定与终端上的待鉴权应用对应的目标鉴权认证方式,可以包括:
步骤402,根据各鉴权认证方式的支持属性,从至少一种鉴权认证方式中,确定候选鉴权认证方式。
其中,候选鉴权认证方式包括目标用户卡支持的一种或多种鉴权认证方式。
示例性地,终端可以根据各鉴权认证方式的支持属性,从至少一种鉴权认证方式中,将支持属性表征目标用户卡支持鉴权认证方式的鉴权认证方式筛选出来,作为候选鉴权认证方式;例如:可以将支持属性为“支持”的鉴权认证方式筛选出来作为候选鉴权认证方式。
步骤404,根据候选鉴权认证方式的使用信息,从候选鉴权认证方式中确定与终端上的待鉴权应用对应的目标鉴权认证方式。
其中,鉴权认证方式的使用信息可以包括但不限于使用次数、鉴权成功次数、鉴权失败次数、鉴权成功率、在某一段时间内的鉴权成功率、在某一段时间内的使用频繁度等使用信息。
示例性地,在候选鉴权认证方式包括多个的情况下,终端可以根据各候选鉴权认证方式的使用信息,从多个候选鉴权认证方式中确定出与终端上的待鉴权应用对应的目标鉴权认证方式;这里,在基于鉴权认证方式的使用信息,从多个候选鉴权认证方式中确定目标鉴权认证方式时,可以基于一个使用信息进行筛选判断,也可以基于多个使用信息进行综合筛选判断等;本申请实施例对此不做具体限定。
示例性地,在使用信息中包括鉴权成功率的情况下,终端可以获取各候选鉴权认证方式分别对应的鉴权成功率,并根据各候选鉴权认证方式对应的鉴权成功率,将鉴权成功率最高的候选鉴权认证方式确定为与终端上的待鉴权应用对应的目标鉴权认证方式。
示例性地,在使用信息中包括使用频繁度的情况下,终端也可以获取各候选鉴权认证方式分别对应的使用频繁度,并根据各候选鉴权认证方式对应的使用频繁度,将使用频繁度最高的候选鉴权认证方式确定为与终端上的待鉴权应用对应的目标鉴权认证方式。
示例性地,在使用信息中包括鉴权成功率和使用频繁度的情况下,终端也可以获取各候选鉴权认证方式分别对应的鉴权成功率和使用频繁度,并根据各候选鉴权认证方式对应的鉴权成功率和使用频繁度,将鉴权成功率大于预设鉴权成功率阈值,且,使用频繁度大于预设频繁度阈值,的候选鉴权认证方式确定为与终端上的待鉴权应用对应的目标鉴权认证方式。
也就是说,终端可以基于不同的使用信息来设置筛选条件,从而得到条件筛选策略,以便基于条件筛选策略,来筛选出满足条件的候选鉴权认证方式作为与终端上的待鉴权应用对应的目标鉴权认证方式。
进一步地,终端在基于目标鉴权认证方式对待鉴权应用进行鉴权认证得到鉴权认证结果之后,可以根据该鉴权认证结果,对目标鉴权认证方式对应的使用信息进行更新;如:在鉴权成功的情况下,可以对目标鉴权认证方式对应的使用次数、鉴权成功次数、鉴权成功率等信息进行更新。
另外,还需说明的是,在目标用户卡的鉴权认证订阅信息和各鉴权认证方式的使用信息均存储在该目标用户卡内的情况下,终端也可以指示该目标用户卡,基于鉴权认证订阅信息,确定与终端上的待鉴权应用对应的目标鉴权认证方式;即通过目标用户卡来确定目标鉴权认证方式,并将该目标鉴权认证方式反馈至终端,以使终端基于该目标鉴权认证方式对待鉴权应用进行鉴权认证。
示例性地,若待鉴权应用存在默认的鉴权认证方式,即待鉴权应用有自己支持的鉴权认证方式的情况下,在上述实施例的基础上,如图5所示,上述步骤204中基于鉴权认证订阅信息,确定与终端上的待鉴权应用对应的目标鉴权认证方式,还可以包括:
步骤502,获取待鉴权应用对应的预设鉴权认证方式。
步骤504,判断鉴权认证订阅信息中是否包括预设鉴权认证方式。
步骤506,若鉴权认证订阅信息中包括预设鉴权认证方式,则根据预设鉴权认证方式的支持属性,确定目标用户卡是否支持预设鉴权认证方式。
步骤508,若目标用户卡支持预设鉴权认证方式,则将预设鉴权认证方式确定为与终端上的待鉴权应用对应的目标鉴权认证方式。
也就是说,本实施例中,可以根据目标用户卡所支持的鉴权认证方式和待鉴权应用所支持的鉴权认证方式,来综合确定终端对待鉴权应用进行鉴权认证时所采用的目标鉴权认证方式。若待鉴权应用所支持的预设鉴权认证方式,同样也是目标用户卡所支持的鉴权认证方式,也即待鉴权应用所支持的预设鉴权认证方式和目标用户卡所支持的鉴权认证方式中,存在相同的鉴权认证方式,那么,在采用该预设鉴权认证方式对待鉴权应用进行鉴权认证时,很大程度上能够鉴权认证成功。
相反地,在待鉴权应用所支持的预设鉴权认证方式和目标用户卡所支持的鉴权认证方式中,不存在相同的鉴权认证方式的情况下,则此时无论采用待鉴权应用所支持的预设鉴权认证方式,还是采用目标用户卡所支持的鉴权认证方式,都极有可能会鉴权认证失败。
因此,在采用本实施例中的方法确定与终端上的待鉴权应用对应的目标鉴权认证方式时,可以预先判断待鉴权应用与目标用户卡是否存在相同的鉴权认证方式,若存在,则采用该相同的鉴权认证方式,能够极大地提高鉴权认证的成功率;而在待鉴权应用与目标用户卡不存在相同的鉴权认证方式的情况下,也可以基于预设解决策略,调整待鉴权应用或者目标用户卡所支持的鉴权认证方式,从而使得待鉴权应用和目标用户卡支持同一鉴权认证方式,以便能够成功对待鉴权应用进行鉴权认证;避免终端采用无效的鉴权认证方式对待鉴权应用进行鉴权认证导致鉴权失败的情况,从而避免终端执行无效鉴权操作,减少终端的鉴权次数,提高鉴权认证效率。
另外,需要说明的是,上述步骤502至步骤508中所描述的过程仅为对待鉴权应用和目标用户卡的鉴权认证方式进行判断的一种实现过程;当然,该过程也可以包括:获取待鉴权应用对应的预设鉴权认证方式,以及根据各鉴权认证方式的支持属性,从至少一种鉴权认证方式中,确定目标用户卡支持的候选鉴权认证方式;接着,判断该候选鉴权认证方式中是否包括待鉴权应用对应的预设鉴权认证方式,若包括,则说明待鉴权应用和目标用户卡具有相同的鉴权认证方式,那么,终端便可以基于该相同的鉴权认证方式,对待鉴权应用进行鉴权认证;若候选鉴权认证方式中不包括待鉴权应用对应的预设鉴权认证方式,则说明待鉴权应用和目标用户卡不具有相同的鉴权认证方式,此时可以采用预设解决策略,调整待鉴权应用或者目标用户卡所支持的鉴权认证方式,使得待鉴权应用和目标用户卡具备相同的鉴权认证方式,最终实现对待鉴权应用的鉴权认证。
在一个实施例中,如图6所示,提供了一种鉴权认证方法,以该方法应用于图1中的网络侧为例进行说明,包括以下步骤:
步骤602,获取目标用户卡对应的鉴权认证订阅信息。
示例性地,网络侧可以接收目标用户卡发送的鉴权认证订阅信息,也可以接收与该目标用户卡对应的运营商服务器发送的该目标用户卡的鉴权认证订阅信息等。
示例性地,网络侧也可以接收目标用户卡或者运营商服务器,发送的与该目标用户卡对应的鉴权认证配置请求,基于该鉴权认证配置请求对该目标用户卡的鉴权认证方式进行配置;并在配置完成后,生成该目标用户卡对应的鉴权认证订阅信息。
步骤604,将目标用户卡对应的鉴权认证订阅信息发送至目标用户卡对应的终端。
示例性地,网络侧可以基于终端或目标用户卡与该网络侧之间的网络连接,将该目标用户卡对应的鉴权认证订阅信息发送至目标用户卡或者搭载了该目标用户卡的终端。可选地,网络侧也可以通过该网络侧的短消息服务网关,向目标用户卡或者搭载了该目标用户卡的终端,发送携带目标用户卡对应的鉴权认证订阅信息的加密数据短信,以便终端或者目标用户卡在接收到该加密数据短信的情况下,通过对该加密数据短信进行解析,来获取到目标用户卡对应的鉴权认证订阅信息。
其中,该鉴权认证订阅信息可以用于指示终端基于鉴权认证订阅信息,确定与终端上的待鉴权应用对应的目标鉴权认证方式,并采用目标鉴权认证方式,对待鉴权应用进行鉴权认证,得到鉴权认证结果。示例性地,若目标用户卡对应的鉴权认证订阅信息存储在目标用户卡中,则终端可以从该目标用户卡中获取目标用户卡对应的鉴权认证订阅信息,进而,基于该鉴权认证订阅信息确定与终端上的待鉴权应用对应的目标鉴权认证方式,并采用该目标鉴权认证方式,对待鉴权应用进行鉴权认证,得到鉴权认证结果。可选地,终端也可以指示目标用户卡基于鉴权认证订阅信息,确定与终端上的待鉴权应用对应的目标鉴权认证方式,并将该目标鉴权认证方式反馈至终端;以便终端采用目标鉴权认证方式,对待鉴权应用进行鉴权认证,得到鉴权认证结果。
具体实现过程还可以参照上述图2所示实施例中的相关内容描述,在此不做重复赘述。
本实施例中,网络侧通过获取目标用户卡对应的鉴权认证订阅信息;并将目标用户卡对应的鉴权认证订阅信息发送至目标用户卡对应的终端;该鉴权认证订阅信息用于指示终端基于鉴权认证订阅信息,确定与终端上的待鉴权应用对应的目标鉴权认证方式,并采用目标鉴权认证方式,对待鉴权应用进行鉴权认证,得到鉴权认证结果。也就是说,在本申请实施例中,网络侧不仅能够对目标用户卡的鉴权认证进行配置,还能将目标用户卡的鉴权认证订阅信息发送至目标用户卡对应的终端,以便搭载了目标用户卡的终端能够明确该目标用户卡对应的实际鉴权认证方式;进而,终端便可以基于与该目标用户卡对应的鉴权认证方式,确定出与待鉴权应用对应的目标鉴权认证方式;从而基于该目标鉴权认证方式对待鉴权应用进行鉴权认证;由于终端已经明确知晓网络侧对于该目标用户卡所配置的鉴权认证方式,因此,终端能够精确调用对应的鉴权认证服务,从而实现对待鉴权应用的精确鉴权认证;不仅能够避免终端因调用无效的鉴权认证服务而导致的鉴权失败的问题,还能避免终端与网络侧能力不一致时所导致的鉴权失败的问题;因此,采用本方法,能够大大提高鉴权认证的成功率和可靠性,提高鉴权认证的效率。
在一个实施例中,上述步骤602中获取目标用户卡对应的鉴权认证订阅信息,可以包括:通过网络侧的客户关系管理网元(Client Relationship Management,CRM)向网络侧的信令处理网元发送鉴权认证配置请求;鉴权认证配置请求中可以携带目标用户卡的订阅信息;信令处理网元可以包括归属用户服务器(Home Subscriber Server,HSS)、统一数据管理(Unified Data Management,UDM)等;接着,通过信令处理网元HSS/UDM基于目标用户卡的订阅信息,对目标用户卡进行鉴权认证配置,并向客户关系管理网元CRM发送配置结果;进而,通过客户关系管理网元CRM基于配置结果,生成目标用户卡对应的鉴权认证订阅信息。
示例性地,该鉴权认证订阅信息中可以包括目标用户卡对应的至少一种鉴权认证方式和各鉴权认证方式的支持属性;该支持属性可以用于表征目标用户卡是否支持鉴权认证方式;该支持属性用于指示终端根据各鉴权认证方式的支持属性,从至少一种鉴权认证方式中,确定候选鉴权认证方式;候选鉴权认证方式包括目标用户卡支持的鉴权认证方式;根据候选鉴权认证方式的使用信息,从候选鉴权认证方式中确定与终端上的待鉴权应用对应的目标鉴权认证方式。
在一个实施例中,上述步骤604中将目标用户卡对应的鉴权认证订阅信息发送至目标用户卡对应的终端,可以包括:通过客户关系管理网元CRM向可信服务管理网元(Trusted Service Manager,TSM)发送数据加密请求;该数据加密请求中携带目标用户卡对应的鉴权认证订阅信息;接着,通过可信服务管理网元TSM对目标用户卡对应的鉴权认证订阅信息进行加密处理,得到目标用户卡对应的加密数据短信,并将目标用户卡对应的加密数据短信发送至客户关系管理网元CRM;通过客户关系管理网元CRM将目标用户卡对应的加密数据短信发送至网络侧的短消息服务网关(Short Message Service Center,SMSC);通过短消息服务网关SMSC将目标用户卡对应的加密数据短信,以数据短信形式,发送至目标用户卡对应的终端;以便终端在对该加密数据短信进行解密解析后,能够获取到目标用户卡的鉴权认证订阅信息。
在一个实施例中,提供了一种鉴权认证方法的完整实施例。该实施例中,在向HSS/UDM网元设置或更新GBA USS(GBA User Security Setting,用户安全设置)或者AKMAindication(指示)信息后,可以向用户卡发送相关配置信息的数据短信,终端上的应用可通过机卡接口从用户卡获取网络侧的订阅配置信息,再发起对应的应用层鉴权认证;另外,鉴权认证流程完成之后,还可以根据鉴权认证结果进一步反馈实际能力支持信息到用户卡;能够实现终端侧对多种引导鉴权认证服务的自适应,有效提高应用层引导鉴权认证的成功率和可用性,进而提高鉴权认证效率。
参考图7所示,其示出了鉴权认证配置以及鉴权认证的工作流程,包括以下步骤:
步骤1,通过CRM网元向HSS/UDM网元配置GUSS或者AKMA服务指示,在HSS/UDM网元完成配置之后,向用户卡发送相关配置信息的数据短信;
步骤2,通过TSM网元对数据短信进行加密并发送至用户卡(UniversalIntegrated Circuit Card,UICC);
步骤3,用户卡UICC保存已订阅的引导鉴权认证服务信息;
步骤4,当用户终端(User Equipment,UE)要请求GBA鉴权服务或者AKMA鉴权服务时,通过机卡接口从用户卡UICC读取鉴权认证订阅信息,如已订阅某种鉴权服务,则发起对应该鉴权服务的鉴权认证请求;
若订阅了GBA鉴权服务,则向网络应用功能(Network Application Function,NAF)网元发起鉴权认证请求;若订阅了AKMA鉴权服务,则向应用功能(ApplicationFunction,AF)网元发起鉴权认证请求。
步骤5,用户终端根据鉴权认证结果进一步反馈实际能力支持信息到用户卡,以此来提高应用鉴权认证服务的可用性。
其中,参考图8所示,对于应用层引导鉴权认证的自适应工作流程,可以包括以下步骤:
步骤1,通过CRM网元向HSS网元和/或UDM网元发送用户卡对应的新增或更新的引导鉴权认证订阅信息;
步骤2,在HSS/UDM网元完成对用户卡的订阅信息配置之后,通过CRM网元封装订阅更新数据短信;该数据短信中可以携带鉴权认证订阅信息,其中,该鉴权认证订阅信息可以包括用户卡对应的至少一种鉴权认证方式和各鉴权认证方式的支持属性;
步骤3,通过CRM网元调用TSM网元的数据短信加密接口,生成加密数据短信;即加密后的订阅更新数据短信;
步骤4,通过CRM网元向SMSC网关发送加密后的订阅更新数据短信,并通过SMSC网关将加密后的订阅更新数据短信发送至用户卡;
步骤5,用户卡在收到加密后的订阅更新数据短信之后进行解密处理,从而获取该用户卡的鉴权认证订阅信息,并保存在卡内的相关存储文件中。
接下来,参考图9所示,对于应用层引导鉴权认证及可用性反馈的工作流程,可以包括以下步骤:
步骤1,终端应用通过机卡接口向用户卡查询应用层引导鉴权订阅数据;
步骤2,用户卡向终端应用返回可用的引导鉴权订阅类型;即用户卡可以将该用户卡支持的鉴权认证方式反馈给终端应用;
步骤3,若GBA订阅可用,则执行GBA鉴权认证流程;包括以下步骤:
步骤a1,终端应用向NAF网元发起初始业务请求,该初始业务请求中可以携带鉴权类型标识(即GBA鉴权标识)和主机地址;这里的主机地址可以为应用想要连接的服务器地址;
步骤a2,NAF网元响应于该初始业务请求,向终端反馈未经授权(unauthorized)的结果,并指示终端进行引导鉴权认证;终端完成GBA引导鉴权认证并派生对应的应用密钥;
步骤a3,终端再次向NAF网元发起携带B-TID(此次引导鉴权认证事务对应的标识信息)的业务请求,NAF网元则向服务功能网元(Bootstrapping Server Function,BSF)请求与B-TID对应的应用密钥;
步骤a4,最终用户终端与NAF网元均持有相同的应用密钥,并基于该应用密钥建立应用会话,进行安全通信;
步骤4,若AKMA服务订阅可用,则执行AKMA鉴权认证流程;包括以下步骤:
步骤b1,用户终端从主认证的鉴权服务功能网元(AUthentication ServerFunction,AUSF)获取密钥KAUSF并推衍出中间密钥KAKMA及密钥标识符A-KID,并携带密钥标识符A-KID向AF网元发起应用会话建立请求;
步骤b2,AF网元携带密钥标识符A-KID和AF网元标识AF_ID,向锚点功能网元(AkmaAnchor Function,AAnF)请求应用密钥KAF;
步骤b3,用户终端也根据相同规则从中间密钥KAKMA派生出应用密钥KAF;
步骤b4,最终用户终端与AF网元均持有相同的应用密钥KAF,并基于该应用密钥KAF建立应用会话,进行安全通信;
步骤5,终端应用根据鉴权认证结果,通过机卡接口向用户卡反馈该引导鉴权认证服务的可用性;
步骤6,用户卡更新对应鉴权方式的成功或失败次数,可用作后续进行鉴权认证的服务策略的考虑因素。
本申请实施例所提出的鉴权认证方法,用户终端侧可以得知其上搭载的用户卡在网络侧订阅了何种引导鉴权认证服务,使得终端能够在GBA和AKMA两种应用层鉴权认证方式混合部署或者单独部署的情况下,用户终端可以根据获取的订阅信息选择发起何种引导鉴权认证请求;另外,通过将引导鉴权认证的结果实时反馈至用户卡,使得用户终端能够根据认证结果进一步反馈实际能力支持信息到用户卡,可以进一步提高应用鉴权认证服务的可用性,也可为后续引入引导鉴权认证服务策略提供数据支持;提高鉴权认证的准确性和鉴权认证效率。
在一个实施例中,还提供了一种鉴权认证方法的完整实施例。包括以下步骤:
步骤1,通过CRM网元向HSS网元和/或UDM网元发送用户卡对应的新增或更新的引导鉴权认证订阅信息;
步骤2,在HSS/UDM网元完成对用户卡的订阅信息配置之后,通过CRM网元封装订阅更新数据短信;该数据短信中可以携带鉴权认证订阅信息,其中,该鉴权认证订阅信息可以包括用户卡对应的至少一种鉴权认证方式和各鉴权认证方式的支持属性;
步骤3,通过CRM网元调用TSM网元的数据短信加密接口,生成加密数据短信;即加密后的订阅更新数据短信;
步骤4,通过CRM网元向SMSC网关发送加密后的订阅更新数据短信,并通过SMSC网关将加密后的订阅更新数据短信发送至用户卡;
步骤5,用户卡在收到加密后的订阅更新数据短信之后进行解密,获取该用户卡的鉴权认证订阅信息,并保存在卡内文件中。
步骤6,终端应用通过机卡接口向用户卡查询应用层引导鉴权订阅数据;
步骤7,用户卡向终端应用返回可用的引导鉴权订阅类型;
步骤8,若GBA订阅可用,则执行GBA鉴权认证流程;包括以下步骤:
步骤a1,终端应用向NAF网元发起初始业务请求;该初始业务请求中可以携带鉴权类型标识(即GBA鉴权标识)和主机地址;这里的主机地址可以为应用想要连接的服务器地址;
步骤a2,NAF网元响应于该初始业务请求,向终端反馈未经授权(unauthorized)的结果,并指示终端进行引导鉴权认证;终端完成GBA引导鉴权认证并派生对应的应用密钥;
步骤a3,终端再次向NAF网元发起携带B-TID(此次引导鉴权认证事务对应的标识信息)的业务请求,NAF网元则向BSF网元请求与B-TID对应的应用密钥;
步骤a4,最终用户终端与NAF网元均持有相同的应用密钥,并基于该应用密钥建立应用会话,进行安全通信;
步骤9,若AKMA服务订阅可用,则执行AKMA鉴权认证流程;包括以下步骤:
步骤b1,用户终端从主认证AUSF网元获取密钥KAUSF并推衍出中间密钥KAKMA及密钥标识符A-KID,并携带密钥标识符A-KID向AF网元发起应用会话建立请求;
步骤b2,AF网元携带密钥标识符A-KID和AF网元标识AF_ID,向AAnF网元请求应用密钥KAF;
步骤b3,用户终端也根据相同规则从中间密钥KAKMA派生出应用密钥KAF;
步骤b4,最终用户终端与AF网元均持有相同的应用密钥KAF,并基于该应用密钥KAF建立应用会话,进行安全通信;
步骤10,终端应用根据鉴权认证结果,通过机卡接口向用户卡反馈该引导鉴权认证服务的可用性;
步骤11,用户卡更新对应鉴权方式的成功或失败次数,可用作后续进行鉴权认证的服务策略的考虑因素。
本实施例中,网络侧的引导鉴权认证服务订阅信息,可通过数据短信的方式下发到用户卡,用户终端可以从用户卡中得知订阅了何种引导鉴权认证服务,在GBA和AKMA两种应用层鉴权认证方式混合部署或单独部署的情况下,用户终端可以根据获取的订阅信息选择发起何种引导鉴权认证请求;另外,将引导鉴权认证的结果进行实时反馈,即用户终端根据认证结果进一步反馈实际能力支持信息到用户卡,可以进一步提高应用鉴权认证服务的可用性,也可为后续引入引导鉴权认证服务策略提供数据支持。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的鉴权认证方法的鉴权认证装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个鉴权认证装置实施例中的具体限定可以参见上文中对于鉴权认证方法的限定,在此不再赘述。
在一个实施例中,如图10所示,提供了一种鉴权认证装置,应用于终端,包括:接收模块1002、确定模块1004和鉴权认证模块1006,其中:
接收模块1002,用于接收网络侧发送的鉴权认证订阅信息;鉴权认证订阅信息存储在网络侧上,且与终端搭载的目标用户卡相对应。
确定模块1004,用于基于鉴权认证订阅信息,确定与终端上的待鉴权应用对应的目标鉴权认证方式。
鉴权认证模块1006,用于采用目标鉴权认证方式,对待鉴权应用进行鉴权认证,得到鉴权认证结果。
在其中一个实施例中,接收模块1002,包括:
接收单元,用于接收网络侧的短消息服务网关发送的加密数据短信;加密数据短信中携带了终端搭载的目标用户卡的鉴权认证订阅信息;
解析单元,用于对加密数据短信进行解析,得到终端搭载的目标用户卡的鉴权认证订阅信息。
在其中一个实施例中,鉴权认证订阅信息中包括目标用户卡对应的至少一种鉴权认证方式和各鉴权认证方式的支持属性;支持属性用于表征目标用户卡是否支持鉴权认证方式;确定模块1004,包括:
第一确定单元,用于根据各鉴权认证方式的支持属性,从至少一种鉴权认证方式中,确定候选鉴权认证方式;候选鉴权认证方式包括目标用户卡支持的鉴权认证方式;
第二确定单元,用于根据候选鉴权认证方式的使用信息,从候选鉴权认证方式中确定与终端上的待鉴权应用对应的目标鉴权认证方式。
在其中一个实施例中,使用信息包括鉴权成功率;若候选鉴权认证方式包括多个,则第二确定单元,包括:
获取子单元,用于获取各候选鉴权认证方式对应的鉴权成功率;
确定子单元,用于根据各候选鉴权认证方式对应的鉴权成功率,将鉴权成功率最高的候选鉴权认证方式确定为与终端上的待鉴权应用对应的目标鉴权认证方式。
在其中一个实施例中,该装置还包括:
更新模块,用于根据鉴权认证结果,对目标鉴权认证方式对应的鉴权成功率进行更新。
在其中一个实施例中,鉴权认证订阅信息中包括目标用户卡对应的至少一种鉴权认证方式和各鉴权认证方式的支持属性;支持属性用于表征目标用户卡是否支持鉴权认证方式;确定模块1004,包括:
获取单元,用于获取待鉴权应用对应的预设鉴权认证方式;
判断单元,用于判断鉴权认证订阅信息中是否包括预设鉴权认证方式;
第三确定单元,用于在鉴权认证订阅信息中包括预设鉴权认证方式的情况下,根据预设鉴权认证方式的支持属性,确定目标用户卡是否支持预设鉴权认证方式;
第四确定单元,用于在目标用户卡支持预设鉴权认证方式的情况下,将预设鉴权认证方式确定为与终端上的待鉴权应用对应的目标鉴权认证方式。
在一个实施例中,如图11所示,提供了一种鉴权认证装置,应用于网络侧,包括:获取模块1102和发送模块1104,其中:
获取模块1102,用于获取目标用户卡对应的鉴权认证订阅信息。
发送模块1104,用于将目标用户卡对应的鉴权认证订阅信息发送至目标用户卡对应的终端;鉴权认证订阅信息用于指示终端基于鉴权认证订阅信息,确定与终端上的待鉴权应用对应的目标鉴权认证方式,并采用目标鉴权认证方式,对待鉴权应用进行鉴权认证,得到鉴权认证结果。
在其中一个实施例中,获取模块1102,包括:
第一发送单元,用于通过网络侧的客户关系管理网元向网络侧的信令处理网元发送鉴权认证配置请求;鉴权认证配置请求中携带目标用户卡的订阅信息;
鉴权认证配置单元,用于通过信令处理网元基于目标用户卡的订阅信息,对目标用户卡进行鉴权认证配置,并向客户关系管理网元发送配置结果;
生成单元,用于通过客户关系管理网元基于配置结果,生成目标用户卡对应的鉴权认证订阅信息。
在其中一个实施例中,发送模块1104,包括:
第二发送单元,用于通过客户关系管理网元向可信服务管理网元发送数据加密请求;数据加密请求中携带目标用户卡对应的鉴权认证订阅信息;
加密单元,用于通过可信服务管理网元对目标用户卡对应的鉴权认证订阅信息进行加密处理,得到目标用户卡对应的加密数据短信,并将目标用户卡对应的加密数据短信发送至客户关系管理网元;
第三发送单元,用于通过客户关系管理网元将目标用户卡对应的加密数据短信发送至网络侧的短消息服务网关;
第四发送单元,用于通过短消息服务网关将目标用户卡对应的加密数据短信,以数据短信形式,发送至目标用户卡对应的终端。
在其中一个实施例中,鉴权认证订阅信息中包括目标用户卡对应的至少一种鉴权认证方式和各鉴权认证方式的支持属性;支持属性用于表征目标用户卡是否支持鉴权认证方式;支持属性用于指示终端根据各鉴权认证方式的支持属性,从至少一种鉴权认证方式中,确定候选鉴权认证方式;候选鉴权认证方式包括目标用户卡支持的鉴权认证方式;根据候选鉴权认证方式的使用信息,从候选鉴权认证方式中确定与终端上的待鉴权应用对应的目标鉴权认证方式。
上述鉴权认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端侧的终端设备,其内部结构图可以如图12所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种终端侧的鉴权认证方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
在一个实施例中,还提供了一种计算机设备,该计算机设备可以是网络侧的网络设备,其内部结构图可以如图13所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储不同用户卡的相关配置数据,包括但不限于用户卡的鉴权认证订阅数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种鉴权认证方法。
本领域技术人员可以理解,图12和13中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述终端侧对应的任一实施例中的鉴权认证方法的步骤。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述网络侧对应的任一实施例中的鉴权认证方法的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述终端侧或网络侧对应的任一实施例中的鉴权认证方法的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述终端侧或网络侧对应的任一实施例中的鉴权认证方法的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (15)
1.一种鉴权认证方法,其特征在于,应用于终端侧,所述方法包括:
接收网络侧发送的鉴权认证订阅信息;所述鉴权认证订阅信息存储在所述网络侧,且与所述终端搭载的目标用户卡相对应;
基于所述鉴权认证订阅信息,确定与所述终端上的待鉴权应用对应的目标鉴权认证方式;
采用所述目标鉴权认证方式,对所述待鉴权应用进行鉴权认证,得到鉴权认证结果。
2.根据权利要求1所述的方法,其特征在于,所述接收网络侧发送的鉴权认证订阅信息,包括:
接收网络侧的短消息服务网关发送的加密数据短信;所述加密数据短信中携带了所述终端搭载的目标用户卡的鉴权认证订阅信息;
对所述加密数据短信进行解析,得到所述终端搭载的目标用户卡的鉴权认证订阅信息。
3.根据权利要求1或2所述的方法,其特征在于,所述鉴权认证订阅信息中包括所述目标用户卡对应的至少一种鉴权认证方式和各所述鉴权认证方式的支持属性;所述支持属性用于表征所述目标用户卡是否支持所述鉴权认证方式;所述基于所述鉴权认证订阅信息,确定与所述终端上的待鉴权应用对应的目标鉴权认证方式,包括:
根据各所述鉴权认证方式的支持属性,从所述至少一种鉴权认证方式中,确定候选鉴权认证方式;所述候选鉴权认证方式包括所述目标用户卡支持的鉴权认证方式;
根据所述候选鉴权认证方式的使用信息,从所述候选鉴权认证方式中确定与所述终端上的待鉴权应用对应的目标鉴权认证方式。
4.根据权利要求3所述的方法,其特征在于,所述使用信息包括鉴权成功率;若所述候选鉴权认证方式包括多个,则所述根据所述候选鉴权认证方式的使用信息,从所述候选鉴权认证方式中确定与所述终端上的待鉴权应用对应的目标鉴权认证方式,包括:
获取各所述候选鉴权认证方式对应的鉴权成功率;
根据各所述候选鉴权认证方式对应的鉴权成功率,将鉴权成功率最高的候选鉴权认证方式确定为与所述终端上的待鉴权应用对应的目标鉴权认证方式。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
根据所述鉴权认证结果,对所述目标鉴权认证方式对应的鉴权成功率进行更新。
6.根据权利要求1或2所述的方法,其特征在于,所述鉴权认证订阅信息中包括所述目标用户卡对应的至少一种鉴权认证方式和各所述鉴权认证方式的支持属性;所述支持属性用于表征所述目标用户卡是否支持所述鉴权认证方式;所述基于所述鉴权认证订阅信息,确定与所述终端上的待鉴权应用对应的目标鉴权认证方式,包括:
获取所述待鉴权应用对应的预设鉴权认证方式;
判断所述鉴权认证订阅信息中是否包括所述预设鉴权认证方式;
若所述鉴权认证订阅信息中包括所述预设鉴权认证方式,则根据所述预设鉴权认证方式的支持属性,确定所述目标用户卡是否支持所述预设鉴权认证方式;
若所述目标用户卡支持所述预设鉴权认证方式,则将所述预设鉴权认证方式确定为与所述终端上的待鉴权应用对应的目标鉴权认证方式。
7.一种鉴权认证方法,其特征在于,应用于网络侧,所述方法包括:
获取目标用户卡对应的鉴权认证订阅信息;
将所述目标用户卡对应的鉴权认证订阅信息发送至所述目标用户卡对应的终端;所述鉴权认证订阅信息用于指示所述终端基于所述鉴权认证订阅信息,确定与所述终端上的待鉴权应用对应的目标鉴权认证方式,并采用所述目标鉴权认证方式,对所述待鉴权应用进行鉴权认证,得到鉴权认证结果。
8.根据权利要求7所述的方法,其特征在于,所述获取目标用户卡对应的鉴权认证订阅信息,包括:
通过所述网络侧的客户关系管理网元向所述网络侧的信令处理网元发送鉴权认证配置请求;所述鉴权认证配置请求中携带所述目标用户卡的订阅信息;
通过所述信令处理网元基于所述目标用户卡的订阅信息,对目标用户卡进行鉴权认证配置,并向所述客户关系管理网元发送配置结果;
通过所述客户关系管理网元基于所述配置结果,生成所述目标用户卡对应的鉴权认证订阅信息。
9.根据权利要求8所述的方法,其特征在于,所述将所述目标用户卡对应的鉴权认证订阅信息发送至所述目标用户卡对应的终端,包括:
通过所述客户关系管理网元向所述网络侧的可信服务管理网元发送数据加密请求;所述数据加密请求中携带所述目标用户卡对应的鉴权认证订阅信息;
通过所述可信服务管理网元对所述目标用户卡对应的鉴权认证订阅信息进行加密处理,得到所述目标用户卡对应的加密数据短信,并将所述目标用户卡对应的加密数据短信发送至所述客户关系管理网元;
通过所述客户关系管理网元将所述目标用户卡对应的加密数据短信发送至所述网络侧的短消息服务网关;
通过所述短消息服务网关将所述目标用户卡对应的加密数据短信,以数据短信形式,发送至所述目标用户卡对应的终端。
10.根据权利要求8所述的方法,其特征在于,所述鉴权认证订阅信息中包括所述目标用户卡对应的至少一种鉴权认证方式和各所述鉴权认证方式的支持属性;所述支持属性用于表征所述目标用户卡是否支持所述鉴权认证方式;
所述支持属性用于指示所述终端根据各所述鉴权认证方式的支持属性,从所述至少一种鉴权认证方式中,确定候选鉴权认证方式;所述候选鉴权认证方式包括所述目标用户卡支持的鉴权认证方式;根据所述候选鉴权认证方式的使用信息,从所述候选鉴权认证方式中确定与所述终端上的待鉴权应用对应的目标鉴权认证方式。
11.一种鉴权认证装置,其特征在于,应用于终端侧,所述装置包括:
接收模块,用于接收网络侧发送的鉴权认证订阅信息;所述鉴权认证订阅信息存储在所述网络侧,且与所述终端搭载的目标用户卡相对应;
确定模块,用于基于所述鉴权认证订阅信息,确定与所述终端上的待鉴权应用对应的目标鉴权认证方式;
鉴权认证模块,用于采用所述目标鉴权认证方式,对所述待鉴权应用进行鉴权认证,得到鉴权认证结果。
12.一种鉴权认证装置,其特征在于,应用于网络侧,所述装置包括:
获取模块,用于获取目标用户卡对应的鉴权认证订阅信息;
发送模块,用于将所述目标用户卡对应的鉴权认证订阅信息发送至所述目标用户卡对应的终端;所述鉴权认证订阅信息用于指示所述终端基于所述鉴权认证订阅信息,确定与所述终端上的待鉴权应用对应的目标鉴权认证方式,并采用所述目标鉴权认证方式,对所述待鉴权应用进行鉴权认证,得到鉴权认证结果。
13.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至10中任一项所述的方法的步骤。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至10中任一项所述的方法的步骤。
15.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至10中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310949592.0A CN117098121A (zh) | 2023-07-31 | 2023-07-31 | 鉴权认证方法、装置、计算机设备、存储介质和程序产品 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310949592.0A CN117098121A (zh) | 2023-07-31 | 2023-07-31 | 鉴权认证方法、装置、计算机设备、存储介质和程序产品 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117098121A true CN117098121A (zh) | 2023-11-21 |
Family
ID=88768992
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310949592.0A Pending CN117098121A (zh) | 2023-07-31 | 2023-07-31 | 鉴权认证方法、装置、计算机设备、存储介质和程序产品 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117098121A (zh) |
-
2023
- 2023-07-31 CN CN202310949592.0A patent/CN117098121A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200336481A1 (en) | Device authentication method, service access control method, device, and non-transitory computer-readable recording medium | |
KR101671351B1 (ko) | 통합 보안 엔진을 사용하는 웹 서비스 제공자를 위한 프라이버시 강화 키 관리 | |
RU2582863C2 (ru) | Механизм обеспечения безопасности для внешнего кода | |
US20130276085A1 (en) | MULTI-HOP SINGLE SIGN-ON (SSO) FOR IDENTITY PROVIDER (IdP) ROAMING/PROXY | |
JP2009514434A (ja) | 安全なローカルチャネルを確立するためのトラステッド・プラットホームに基づく共有秘密の派生及びwwanインフラストラクチャに基づくエンロールメントの使用 | |
US10694381B1 (en) | System and method for authentication and sharing of subscriber data | |
EP3326098B1 (en) | Anonymous application wrapping | |
US20170244692A1 (en) | Authentication of a user using a security device | |
US11570620B2 (en) | Network profile anti-spoofing on wireless gateways | |
CN112308561A (zh) | 基于区块链的存证方法、系统、计算机设备和存储介质 | |
CN104935435A (zh) | 登录方法、终端及应用服务器 | |
CN111949959B (zh) | Oauth协议中的授权认证方法及装置 | |
CN111405016A (zh) | 用户信息获取方法及相关设备 | |
US10447659B2 (en) | Sharing protected user content between devices | |
US20200396088A1 (en) | System and method for securely activating a mobile device storing an encryption key | |
CN114666155B (zh) | 设备接入方法、系统、装置、物联网设备和网关设备 | |
CN114448722B (zh) | 跨浏览器登录方法、装置、计算机设备和存储介质 | |
CN117098121A (zh) | 鉴权认证方法、装置、计算机设备、存储介质和程序产品 | |
CN113297559B (zh) | 单点登录方法、装置、计算机设备和存储介质 | |
CN110457959B (zh) | 一种基于Trust应用的信息传输方法及装置 | |
US11076296B1 (en) | Subscriber identity module (SIM) application authentication | |
CN116248416B (zh) | 一种身份认证的方法、装置、计算机设备 | |
CN113612780B (zh) | 证书请求、生成、接入方法、装置、通信设备及介质 | |
US20230319025A1 (en) | Methods and systems for implementing unique session number sharing to ensure traceability | |
CN117062073A (zh) | 安全认证方法、装置、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |