CN117376909A - 一种基于通用引导架构的单包授权认证方法及系统 - Google Patents
一种基于通用引导架构的单包授权认证方法及系统 Download PDFInfo
- Publication number
- CN117376909A CN117376909A CN202311502153.1A CN202311502153A CN117376909A CN 117376909 A CN117376909 A CN 117376909A CN 202311502153 A CN202311502153 A CN 202311502153A CN 117376909 A CN117376909 A CN 117376909A
- Authority
- CN
- China
- Prior art keywords
- authentication
- information
- server
- key
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 68
- 238000013475 authorization Methods 0.000 title claims abstract description 42
- 238000012545 processing Methods 0.000 claims abstract description 11
- 238000012795 verification Methods 0.000 claims description 10
- 230000000694 effects Effects 0.000 abstract description 2
- 238000004891 communication Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 8
- 230000011664 signaling Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
本申请提供一种基于通用引导架构的单包授权认证方法及系统,该方法包括:根据SIM卡中预先存储的目标秘钥和秘钥算法,生成共享秘钥;根据哈希算法对终端认证信息进行哈希处理,得到待认证信息,终端认证信息包括共享秘钥和第一终端信息,第一终端信息包括B‑TID、协商字符串、客户端标识或应用服务标识中的至少一种;根据加密算法对第二终端信息进行加密,得到加密后的第二终端信息,第二终端信息包括客户端标识和应用服务标识;根据待认证信息和加密后的第二终端信息生成SPA包,并发送至认证服务器,以进行单包授权认证。本申请的方法,实现了将密钥交由客户端和通用引导架构管理,解决了密钥管理和泄露的问题,提高密钥安全性的技术效果。
Description
技术领域
本申请涉及通信技术,尤其涉及一种基于通用引导架构的单包授权认证方法及系统。
背景技术
单包授权认证(Single Packet Authorization,SPA)是一种新一代端口敲门技术,它将认证消息存放在数据包中传输给服务器。SPA主要作用是通过默认关闭服务端口,使服务实现网络隐身,从网络上无法连接、无法扫描。如果需要使用服务,则通过特定客户端发送认证报文信息(SPA包)给服务器,服务器认证该报文后,将对该互联网协议(Internet Protocol,IP)地址打开相关的服务。
现有的单包授权认证架构的密钥通常是使用客户端指令生成的一串随机数,包含在客户端和服务端的配置文件中。它一般是在客户端生成后,由线下同步传输给服务端,并由服务端配置于配置文件中的。
此种方式存在密钥安全性低以及管理不便的问题,因为密钥在有客户端生成后,需要经过线下渠道通过明文传输分发给服务器,后配置在服务器中,如果过程管理不当,有可能造成密钥泄漏;密钥同时明文存储于客户端与服务器,只要一端发生密钥泄漏,整个过程将不再安全,另一方面,如遇特殊情况,需要更换密钥时,仍需执行如此一套程式,比较复杂,尤其当有多台机器需要进行密钥配置时,工作强度和复杂度会直线上升。
发明内容
本申请提供一种基于通用引导架构的单包授权认证方法及系统,用以解决现有技术中单包授权认证架构中的密钥存在安全性低以及管理不便的问题。
第一方面,本申请提供一种基于通用引导架构的单包授权认证方法,应用于终端设备的SDP客户端,所述终端设备包括SIM卡和所述SDP客户端,所述方法包括:
根据所述SIM卡中预先存储的目标秘钥和秘钥算法,生成共享秘钥;
根据哈希算法对终端认证信息进行哈希处理,得到待认证信息,所述终端认证信息包括所述共享秘钥和第一终端信息,所述第一终端信息包括B-TID、协商字符串、客户端标识或应用服务标识中的至少一种;
根据加密算法对第二终端信息进行加密,得到加密后的第二终端信息,所述第二终端信息包括客户端标识和应用服务标识;
根据所述待认证信息和加密后的第二终端信息生成SPA包,并发送至认证服务器,以进行单包授权认证。
可选的,所述根据所述待认证信息和加密后的第二终端信息生成SPA包,包括:
通过公有秘钥对所述待认证信息进行签名,得到包头部分;
将加密后的第二终端信息作为包载荷部分,生成SPA包。
可选的,所述发送至认证服务器之后,所述方法还包括:
接收所述认证服务器发送的认证通过响应;
向所述认证服务器发送业务服务请求,以使所述认证服务器向业务服务器转发所述业务服务请求;
接收所述业务服务器反馈的业务服务结果。
可选的,所述方法还包括:
接收所述认证服务器发送的秘钥协商请求,所述秘钥协商请求包括新的共享秘钥对应的新的目标秘钥和秘钥算法。
第二方面,本申请还提供了一种基于通用引导架构的单包授权认证方法,应用于认证服务器,所述认证服务器包括SDP服务端和GBA认证端,所述方法包括:
所述SDP服务端接收终端设备发送的SPA包,所述SPA包中包括待认证信息和加密后的第二终端信息,所述第二终端信息包括客户端标识和应用服务标识;
所述GBA认证端中的NAF的认证策略中心通过解密算法对所述第二终端信息进行解密,得到解密后的第二终端信息;
所述认证策略中心根据所述客户端标识和应用服务标识从所述GBA认证端中的BSF中获取分配给所述终端设备的B-TID,并利用所述B-TID从所述GBA认证端中的HSS获取共享秘钥;
所述认证策略中心根据所述共享秘钥和第一终端信息,生成认证信息,所述第一终端信息包括B-TID、协商字符串、客户端标识或应用服务标识中的至少一种;
所述认证策略中心在确认所述待认证信息和所述认证信息一致后,则向所述SDP服务端发送认证通过信息;
所述SDP服务端进行防火墙的临时通过操作,以使所述终端设备访问业务服务器。
可选的,所述SPA包的包头为公有秘钥签名后的包头,所述GBA认证端中的NAF的认证策略中心通过解密算法对所述第二终端信息进行解密,得到解密后的第二终端信息之前,所述方法还包括:
所述认证策略中心通过私有秘钥对所述SPA包的包头进行数字验签,验证通过。
可选的,所述方法还包括:
所述认证策略中心获取所述SPA包的接收频率;
所述认证策略中心判断所述接收频率是否大于预设频率;
若否,则继续对所述SPA包中的客户端加密标识进行解密的操作;
若是,则向所述终端设备发送秘钥协商请求,所述秘钥协商请求包括新的共享秘钥对应的新的目标秘钥和秘钥算法。
可选的,所述向所述终端设备发送秘钥协商请求之前,所述方法还包括:
向所述终端设备发送报警信息,并关闭所述终端设备的认证服务通道。
可选的,所述SDP服务端进行防火墙的临时通过操作之后,所述方法还包括:
接收所述终端设备发送的业务服务请求;
向业务服务器转发所述业务服务请求,以使所述业务服务器向所述终端设备反馈业务服务结果。
第三方面,本申请还提供一种基于通用引导架构的单包授权认证系统,
所述系统包括终端设备、认证服务器和业务服务器;其中
所述终端设备,用于执行如权利要求1至4任一项所述的方法;
所述认证服务器,用于执行如权利要求5至9任一项所述的方法;
所述业务服务器,用于在所述终端设备认证通过后,提供业务服务。
本申请提供一种基于通用引导架构的单包授权认证方法及系统,该方法包括:根据SIM卡中预先存储的目标秘钥和秘钥算法,生成共享秘钥;根据哈希算法对终端认证信息进行哈希处理,得到待认证信息,终端认证信息包括共享秘钥和第一终端信息,第一终端信息包括B-TID、协商字符串、客户端标识或应用服务标识中的至少一种;根据加密算法对第二终端信息进行加密,得到加密后的第二终端信息,第二终端信息包括客户端标识和应用服务标识;根据待认证信息和加密后的第二终端信息生成SPA包,并发送至认证服务器,以进行单包授权认证。本申请的方法,实现了将密钥交由客户端和通用引导架构管理,解决了密钥管理和泄露的问题,提高密钥安全性的技术效果。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的一种基于通用引导架构的单包授权认证方法的系统结构图;
图2为本申请实施例提供的一种基于通用引导架构的单包授权认证方法的信令图一;
图3为本申请实施例提供的一种基于通用引导架构的单包授权认证方法的信令图二;
图4为本申请实施例提供的一种基于通用引导架构的单包授权认证方法的信令图三。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
单包授权认证架构中的密钥扮演着多方面的关键角色,包括确保软件安全性、用户的合法性、许可管理、防止盗版和非法复制、维护知识产权、提供高级的许可控制和身份验证,以及增强系统的整体安全性,从而为软件开发商提供可持续的收入来源和为用户提供合法、安全、高效的软件使用体验。
现有技术中的单包授权认证架构的密钥通常是使用客户端指令生成的一串随机数,生成的密钥通常存储在客户端的配置文件中,这使得潜在的攻击者可以访问和窃取这些密钥。因此,密钥的安全性较低,可能容易受到不良行为的威胁。另一方面,由于密钥需要线下同步传输给服务端,密钥的管理可能变得不便。如果需要在多个客户端上进行密钥的更新或轮换,可能需要手动的操作,容易出现人为错误。
基于此,本申请提供一种基于通用引导架构的单包授权认证方法及系统,
通过利用终端设备对包含共享密钥的终端认证信息进行处理生成待认证信息以及第二终端信息后,并对其进行加密生成SPA包发送至认证服务器。认证服务器通过对应的算法处理验证SPA包的合法性,并对其中的待认证信息进行认证比对。认证比对通过后终端设备即可通过业务服务器完成业务请求,降低了SPA包信息被篡改的危险,保证了SPA包内信息的完整性以及安全性。同时,当认证服务器检测到共享密钥存在泄露问题时,能够及时通知终端设备并进行协商处理,更换共享密钥,而不再需要手动进行密钥创建或更新,降低了密钥在传输过程中泄露的问题,解决密钥管理不便的问题,提高了密钥的安全性。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图1为本申请实施例提供的一种基于通用引导架构的单包授权认证系统的结构图,如图1所示,该系统包括:终端设备、认证服务器和业务服务器,
其中,终端设备包括SIM卡和SDP客户端;
认证服务器包括SDP服务端,以及GBA认证端中的NAF的认证策略中心,BSF、HSS;
业务服务器包括服务端。
本申请实施例主要用于通信技术。其中,终端设备中的用户身份模块(SubscriberIdentity Module,SIM)卡,是一种用于存储移动设备用户信息、算法和密钥等的集成电路卡片,以允许设备与移动运营商网络进行身份验证和授权,从而进行通信。
服务数据点(Session Description Protocol,SDP)客户端,主要用于与SDP服务端(Session Description Protocol Service)进行通信,以请求、访问和处理服务数据。SDP客户端可以是应用程序、设备或系统的一部分,负责创建和组装SPA包并与SDP服务端进行交互,以获取所需的数据或执行特定的服务操作。
认证服务器中的SDP服务端,主要用于以客户端以及服务端进行数据通信,接受SDP客户端的发起的单包授权认证请求,即SPA包,并通过通用引导架构(GenericBootstrapping Architecture,GBA)认证端,进行单包授权认证,以及设置防火墙通过策略,传递SDP客户端的业务请求。
GBA认证端,是一种通用引导架构,旨在提供安全的身份验证和密钥协商机制,以增强移动通信网络中的安全性。GBA的核心目标是确保通信的机密性和完整性,以及保护用户的隐私。在本申请实施例中,GBA认证端主要包括互联网应用功能(Network ApplicationFunction,NAF)的认证策略中心,引导服务器(Bootstrapping Server Function,BSF)、归属用户服务器(Home Subscriber Server,HSS)。
其中,NAF的认证策略中心,负责对SDP服务端发来的SPA包进行解签验证,以确认数据包的完整性,并通过与BSF、HSS通信完成整个信息的身份验证,确保只有合法用户和设备能够访问网络资源,同时维护通信的安全性。
BSF是GBA架构的核心组件,负责处理用户设备的引导过程,主要负责生成承载令牌标识符(Bearer Token Identifier,B-TID),并提供HSS接口,验证用户设备的身份,以确保它具有访问移动网络的权限。
HSS用于存储用户的身份信息和密钥材料。BSF通常与HSS进行通信,以获取用户的安全信息。
业务服务器通常用于承载业务逻辑、处理客户端请求、管理数据库和资源,以便为特定业务应用提供服务。
本申请提供的一种基于通用引导架构的单包授权认证系统,通过终端设备、认证服务器和业务服务器共同协作完成终端设备的单包授权认证,增强了系统的安全性,降低了终端设备信息被篡改的危险,提高了业务响应速度。
图2为本申请实施例提供的一种基于通用引导架构的单包授权认证方法的信令图一。如图2所示,该方法包括:
S101、SIM卡根据预先存储的目标秘钥和秘钥算法,生成共享秘钥;
目标秘钥和密钥算法是指客户端应用程序和服务提供者事先商定并协商好的密钥和算法,并提前内置于SIM卡中,用于生成共享密钥,以进行后续身份认证操作。
本实施例中,SIM卡根据预先存储的目标秘钥和秘钥算法,通过调用内置的安全芯片,共同产生共享密钥,
S102、SIM卡根据哈希算法对终端认证信息进行哈希处理,得到待认证信息;
终端认证信息包括共享秘钥和第一终端信息,第一终端信息包括B-TID、协商字符串、客户端标识或应用服务标识中的至少一种;
哈希算法是指一种将输入数据(消息或文本)转换为固定长度的字符串或数字的数学算法,并且该算法不可逆,即无法从哈希值还原出原始输入数据,保证了信息的完整性。
终端认证信息是指在通信系统中,终端设备用于证明其身份的信息。这些信息通常用于身份验证和授权,以确保只有合法的终端设备可以访问网络或系统。
协商字符串是指客户端与SDP策略中心协商的固定字符串,此字符串在客户端和服务端同时具备,本实施例中用于哈希算法填充参数。
客户端标识(User Equipment,UE)通常为IP多媒体私有标识(IP MultimediaPrivate Identity,IMPI)值,用于用户接入IP多媒体系统(IP Multimedia Subsystem,IMS)网络的注册,鉴权,认证和计费。
应用服务标识是指客户端真正需要使用的业务服务标识,由客户端与业务服务协商约定,用于区别本次单包授权系统打开的业务服务端口,以便通过后客户端可以与业务服务进行请求或者连接。
本实施例中,SIM卡根据哈希算法对共享秘钥、B-TID、协商字符串、客户端标识或应用服务标识中的至少一种信息经过哈希计算处理,得到待认证信息,此待认证信息用于后续进行认证对比。
S103、SIM卡根据加密算法对第二终端信息进行加密,得到加密后的第二终端信息;
第二终端信息包括客户端标识和应用服务标识;
本实施例中,SIM卡根据内置的加密算法对第二终端信息,即包括客户端标识和应用服务标识进行加密计算,得到加密后的第二终端信息。
S104、SIM卡发送待认证信息和加密后的第二终端信息至SDP客户端;
本实施例中,SIM卡将生成的待认证信息和加密后的第二终端信息,发送至SDP客户端,进行SPA包的创建和打包。
S105、SDP客户端根据待认证信息和加密后的第二终端信息生成SPA包;
SPA包指一种特定于通信协议的数据包,用于在网络通信中传输数据流。
本实施例中,SDP客户端根据待认证信息和加密后的第二终端信息创建并生成SPA包,用于后续单包授权信息认证。
S106、SDP客户端发送SPA包至SDP服务端;
S107、SDP服务端转发SPA包至GBA认证端;
SPA包中包括待认证信息和加密后的第二终端信息,第二终端信息包括客户端标识和应用服务标识;
本实施例中,SDP服务端将SDP客户端发送的包含待认证信息和加密后的第二终端信息的SPA包,转发到GBA认证端进行身份合法性验证。
S108、GBA认证端中NAF的认证策略中心通过解密算法对第二终端信息进行解密,得到解密后的第二终端信息;
本实施例中,GBA认证端通过调用NAF的认证策略中心,通过认证策略中心的解密算法,对加密的第二终端信息进行解密,得到完整的第二终端信息。
S109、GBA认证端利用客户端标识和应用服务标识从BSF中获取分配给终端设备的B-TID,并利用B-TID从HSS获取共享秘钥;
本实施例中,GBA认证端的NAF的认证策略中心,利用解密得到的第二终端信息的,客户端标识和应用服务标识经过调用BSF接口获取B-TID信息,再通过BSF提供的获取共享密钥接口,根据B-TID从HSS获取共享密钥信息,其中,共享密钥会被预先存储于HSS中。
S110、GBA认证端中NAF的认证策略中心通过共享秘钥和第一终端信息,生成认证信息;
第一终端信息包括B-TID、协商字符串、客户端标识或应用服务标识中的至少一种;
本实施例中,GBA认证端的NAF的认证策略中心根据新获取的共享秘钥和B-TID以及协商字符串、客户端标识或应用服务标识利用哈希算法计算处理,得到认证信息。
S111、GBA认证端确认待认证信息和认证信息一致;
本实施例中,GBA认证端将待认证信息和认证信息进行比对,确认信息一致性,即认证通过。
S112、GBA认证端向SDP服务端发送认证通过信息;
SDP服务端接收认证服务器发送的认证通过响应
本实施例中,当认证信息通过后,GBA认证端向SDP服务端发送认证通过信息。表示客户端被授权访问SDP服务。
S113、SDP服务端发送认证通过响应并进行防火墙的临时通过操作;
本实施例中,SDP服务端向客户端发送认证通过响应,并设置防火墙策略,允许客户端的流量通过防火墙,以便客户端可以进行业务服务请求。
S114、SDP客户端向SDP服务端发送业务服务请求;
SDP客户端向认证服务器发送业务服务请求,以使认证服务器向业务服务器转发业务服务请求;
本实施例中,SDP客户端生成一个业务服务请求,并发送给SDP服务端。
S115、SDP服务端向业务服务器转发业务服务请求;
本实施例中,SDP服务端将SDP客户端发送业务服务请求转发给业务服务器。
S116、业务服务器向终端设备反馈业务服务结果;
终端设备接收业务服务器反馈的业务服务结果。
本实施例中,业务服务器接收到请求后,执行相应的操作,将生成的响应返回给终端设备。
本申请提供的一种基于通用引导架构的单包授权认证方法,实现了利用终端设备生成共享密钥以及待认证信息,并通过SDP服务端传输SPA包至GBA认证端进行解密,获取到解密后的SPA包信息,并进行计算以获取新的认证信息,当待认证信息和认证信息一致后,SDP客户端继续执行业务请求操作,提高了密钥的保密性,避免了密钥被泄露的问题,同时通过对SPA包中信息进行加密,降低了信息被篡改的危险,提高了信息传输的安全性。
图3为本申请实施例提供的一种基于通用引导架构的单包授权认证方法的信令图二。如图3所示,该方法包括:
S201、SIM卡发送待认证信息和加密后的第二终端信息至SDP客户端;
S202、SDP客户端通过公有秘钥对待认证信息进行签名,得到包头部分;
公有秘钥是在非对称加密体系中的一部分,用于加密和解密数据。与非对称加密相关的还有私有密钥,这两者一起构成了非对称密钥对。
包头是指SPA包的开头部分,包含与数据传输相关的元数据信息。包头的目的是在接收端解析和处理数据时提供必要的信息,以确保数据的完整性。
本实施例中,SDP客户端通过公有秘钥对待认证信息进行签名加密,构成SPA包的包头部分。
S203、SDP客户端将加密后的第二终端信息作为包载荷部分,生成SPA包;
包载荷是指包头之后的数据部分,包含实际的数据信息。
本实施例中,SDP客户端将加密后的第二终端信息作为包载荷部分,与包头部分组合生成SPA包;
S204、SDP客户端将SPA包发送至认证服务器;
S205、认证服务器对SPA包进行解密操作;
本实施例中,认证服务器中的NAF认证策略中心,利用内置的私有密钥对SPA包头部分进行验签,验签通过后再利用解密算法对SPA包荷载部分进行解密操作。
S206、认证服务器向SDP客户端发送认证通过响应;
S207、SDP客户端发送业务请求至认证服务器;
S208、证服务器向业务服务器转发业务请求;
S209、业务服务器向SDP客户端反馈业务服务结果。
本申请提供的一种基于通用引导架构的单包授权认证方法,通过对SPA头部信息进行公有密钥签名,保证了SPA包信息数据的完整性,以确保数据在传输过程中没有被篡改或损坏,增强数据的安全性。同时,通过解密SPA包并向SDP客户端发送认证通过响应,认证服务器确认了客户端的合法性,建立了双方之间的安全通信通道,后续的通信可以受到保护,确保数据的机密性和完整性。
图4为本申请实施例提供的一种基于通用引导架构的单包授权认证方法的信令图三。如图4所示,该方法包括:
S301、终端设备向SDP服务端发送SPA包;
SPA包的包头为公有秘钥签名后的包头
S302、SDP服务端转发SPA包至GBA认证端的认证策略中心;
S303、认证策略中心获取SPA包的接收频率;
接收频率是指客户端发起的单包授权认证的次数。
本实施例中,认证策略中心对获取的SPA包生成日志,获取SPA包的接收频率。
S304、认证策略中心判断SPA包接收频率是否大于预设频率;
本实施例中,认证策略中心根据系统预设的接收频率上线,判断SPA包接收频率是否大于预设频率。
S305、认证策略中心判断得到SPA包接收频率小于预设频率,则进行解密操作;
本实施例中,认证策略中心根据系统预设的接收频率上线,判断SPA包接收频率小于预设频率,可以进行解密操作。
S306、认证策略中心判断得到SPA包接收频率大于预设频率,则关闭终端设备的认证服务通道;
本实施例中,认证策略中心根据系统预设的接收频率上线,判断SPA包接收频率大于预设频率,存在异常行为,则关闭该终端设备的认证服务通道。
S307、认证策略中心向终端设备发送报警信息;
本实施例中,当认证策略中心关闭该终端设备的认证服务通道后,立即向终端设备发送报警信息,提醒用户该异常行为,并进行密钥协商更换处理。
S308、认证策略中心向终端设备发送秘钥协商请求;
秘钥协商请求包括新的共享秘钥对应的新的目标秘钥和秘钥算法;
本实施例中,认证策略中心与终端设备进行协商处理,向终端设备发送新的共享秘钥对应的新的目标秘钥和秘钥算法,以更换新的共享密钥,保证密钥安全性。
本申请提供的一种基于通用引导架构的单包授权认证方法,通过认证策略中心监控SPA包的接收频率,从而减少滥用认证服务的可能性,有助于维护系统的稳定性和可靠性,关闭终端设备的认证服务通道可以释放系统资源,减轻服务器的负担。同时通过向终端设备发送报警信息和密钥协商请求,认证策略中心可以及时响应安全问题和异常情况,提高通信的安全性和可用性,并解决了密钥更换复杂的问题。
最后应说明的是:本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段,并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求书来限制。
Claims (10)
1.一种基于通用引导架构的单包授权认证方法,其特征在于,应用于终端设备的SDP客户端,所述终端设备包括SIM卡和所述SDP客户端,所述方法包括:
根据所述SIM卡中预先存储的目标秘钥和秘钥算法,生成共享秘钥;
根据哈希算法对终端认证信息进行哈希处理,得到待认证信息,所述终端认证信息包括所述共享秘钥和第一终端信息,所述第一终端信息包括B-TID、协商字符串、客户端标识或应用服务标识中的至少一种;
根据加密算法对第二终端信息进行加密,得到加密后的第二终端信息,所述第二终端信息包括客户端标识和应用服务标识;
根据所述待认证信息和加密后的第二终端信息生成SPA包,并发送至认证服务器,以进行单包授权认证。
2.根据权利要求1所述的方法,其特征在于,所述根据所述待认证信息和加密后的第二终端信息生成SPA包,包括:
通过公有秘钥对所述待认证信息进行签名,得到包头部分;
将加密后的第二终端信息作为包载荷部分,生成SPA包。
3.根据权利要求1所述的方法,其特征在于,所述发送至认证服务器之后,所述方法还包括:
接收所述认证服务器发送的认证通过响应;
向所述认证服务器发送业务服务请求,以使所述认证服务器向业务服务器转发所述业务服务请求;
接收所述业务服务器反馈的业务服务结果。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
接收所述认证服务器发送的秘钥协商请求,所述秘钥协商请求包括新的共享秘钥对应的新的目标秘钥和秘钥算法。
5.一种基于通用引导架构的单包授权认证方法,其特征在于,应用于认证服务器,所述认证服务器包括SDP服务端和GBA认证端,所述方法包括:
所述SDP服务端接收终端设备发送的SPA包,所述SPA包中包括待认证信息和加密后的第二终端信息,所述第二终端信息包括客户端标识和应用服务标识;
所述GBA认证端中的NAF的认证策略中心通过解密算法对所述第二终端信息进行解密,得到解密后的第二终端信息;
所述认证策略中心根据所述客户端标识和应用服务标识从所述GBA认证端中的BSF中获取分配给所述终端设备的B-TID,并利用所述B-TID从所述GBA认证端中的HSS获取共享秘钥;
所述认证策略中心根据所述共享秘钥和第一终端信息,生成认证信息,所述第一终端信息包括B-TID、协商字符串、客户端标识或应用服务标识中的至少一种;
所述认证策略中心在确认所述待认证信息和所述认证信息一致后,则向所述SDP服务端发送认证通过信息;
所述SDP服务端进行防火墙的临时通过操作,以使所述终端设备访问业务服务器。
6.根据权利要求5所述的方法,其特征在于,所述SPA包的包头为公有秘钥签名后的包头,所述GBA认证端中的NAF的认证策略中心通过解密算法对所述第二终端信息进行解密,得到解密后的第二终端信息之前,所述方法还包括:
所述认证策略中心通过私有秘钥对所述SPA包的包头进行数字验签,验证通过。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述认证策略中心获取所述SPA包的接收频率;
所述认证策略中心判断所述接收频率是否大于预设频率;
若否,则继续对所述SPA包中的客户端加密标识进行解密的操作;
若是,则向所述终端设备发送秘钥协商请求,所述秘钥协商请求包括新的共享秘钥对应的新的目标秘钥和秘钥算法。
8.根据权利要求5所述的方法,其特征在于,所述终端设备发送秘钥协商请求之前,所述方法还包括:
向所述终端设备发送报警信息,并关闭所述终端设备的认证服务通道。
9.根据权利要求5所述的方法,其特征在于,所述SDP服务端进行防火墙的临时通过操作之后,所述方法还包括:
接收所述终端设备发送的业务服务请求;
向业务服务器转发所述业务服务请求,以使所述业务服务器向所述终端设备反馈业务服务结果。
10.一种基于通用引导架构的单包授权认证系统,其特征在于,所述系统包括终端设备、认证服务器和业务服务器;其中
所述终端设备,用于执行如权利要求1至4任一项所述的方法;
所述认证服务器,用于执行如权利要求5至9任一项所述的方法;
所述业务服务器,用于在所述终端设备认证通过后,提供业务服务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311502153.1A CN117376909A (zh) | 2023-11-10 | 2023-11-10 | 一种基于通用引导架构的单包授权认证方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311502153.1A CN117376909A (zh) | 2023-11-10 | 2023-11-10 | 一种基于通用引导架构的单包授权认证方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117376909A true CN117376909A (zh) | 2024-01-09 |
Family
ID=89404075
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311502153.1A Pending CN117376909A (zh) | 2023-11-10 | 2023-11-10 | 一种基于通用引导架构的单包授权认证方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117376909A (zh) |
-
2023
- 2023-11-10 CN CN202311502153.1A patent/CN117376909A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9847882B2 (en) | Multiple factor authentication in an identity certificate service | |
CN109728909B (zh) | 基于USBKey的身份认证方法和系统 | |
CN108599925B (zh) | 一种基于量子通信网络的改进型aka身份认证系统和方法 | |
KR101009330B1 (ko) | 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 | |
JP4002035B2 (ja) | 機密を要する情報を最初は機密化されてない通信を用いて伝送するための方法 | |
CN108683501B (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
CN105471833A (zh) | 一种安全通讯方法和装置 | |
CN112039918B (zh) | 一种基于标识密码算法的物联网可信认证方法 | |
CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
CN101094394A (zh) | 一种保证视频数据安全传输的方法及视频监控系统 | |
CN104168267A (zh) | 一种接入sip安防视频监控系统的身份认证方法 | |
CN108599926B (zh) | 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证系统和方法 | |
US9998287B2 (en) | Secure authentication of remote equipment | |
CN111918284B (zh) | 一种基于安全通信模组的安全通信方法及系统 | |
KR101531662B1 (ko) | 사용자 단말과 서버간 상호 인증 방법 및 시스템 | |
CN111756528B (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
WO2022135391A1 (zh) | 身份鉴别方法、装置、存储介质、程序、及程序产品 | |
KR102219086B1 (ko) | 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템 | |
CN101094063B (zh) | 一种游牧终端接入软交换网络系统的安全交互方法 | |
JP2005175992A (ja) | 証明書配布システムおよび証明書配布方法 | |
JP2024500526A (ja) | アイデンティティ認証方法、認証アクセスコントローラ及び要求機器、記憶媒体、プログラム、並びにプログラム製品 | |
CN114826659A (zh) | 一种加密通讯方法及系统 | |
US8769280B2 (en) | Authentication apparatus and method for non-real-time IPTV system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |