CN1859772A - 一种基于通用鉴权框架的安全业务通信方法 - Google Patents
一种基于通用鉴权框架的安全业务通信方法 Download PDFInfo
- Publication number
- CN1859772A CN1859772A CNA200610032731XA CN200610032731A CN1859772A CN 1859772 A CN1859772 A CN 1859772A CN A200610032731X A CNA200610032731X A CN A200610032731XA CN 200610032731 A CN200610032731 A CN 200610032731A CN 1859772 A CN1859772 A CN 1859772A
- Authority
- CN
- China
- Prior art keywords
- entity
- service
- business
- key
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明适用于移动通信领域,提供了一种基于通用鉴权框架的安全业务通信方法,所述通用鉴权框架包括业务签约实体、业务提供实体以及实体认证中心,实体认证中心根据业务签约实体的中间业务请求标识信息以及业务提供实体的中间业务查询标识信息生成衍生密钥,用于加密业务签约实体与业务提供实体之间的业务通信,所述方法包括:在进行业务通信前,业务签约实体与业务提供实体利用所述衍生密钥进行互认证,协商加密密钥,并利用所述加密密钥加密双方之间的业务通信。在本发明中,SS与SP通过利用衍生密钥进行互认证,协商业务通信的加密密钥,避免了因SS与SP之间衍生密钥不一致导致业务通信终止。
Description
技术领域
本发明属于移动通信领域,尤其涉及一种基于通用鉴权框架的业务通信方法。
背景技术
通用鉴权框架是第三代无线通信标准中多种应用业务使用一个通用的结构,用来完成对用户身份的检查验证。
图1示出了端到端通信认证的通用鉴权框架的结构,适用于不同的移动网络标准,其作用在于为不同类型的网络实体之间建立相互信任的关系。该框架涉及到的网络元素包括业务签约实体(Service Subscriber,SS)、业务提供实体(Service Provider,SP)以及既是业务签约实体又是业务提供实体(ServiceSubscriber and Provider,SSP)3种业务实体。
SS一般为普通的移动用户,可以向SP发出业务请求。SP为运营商网络的应用服务商或外部网络的服务提供商,接收SS的业务请求,向SS提供相应的服务。SS与SP统称为业务实体。
实体认证中心(Entity Authentication Center,EAC)负责完成与业务实体之间进行认证方法协商及认证的过程,并且接受业务实体对其它业务实体认证情况的查询。实体签约信息数据库(Entity Subscription Database,ESD)存储有业务实体的签约信息或提供的服务信息,以及业务实体支持的认证方式及认证信息。
SP在向其它业务实体提供业务或者SS向其它实体请求业务之前,首先应与网络存在签约关系,并将签约信息存放于ESD中。网络中每个业务实体与其他业务实体进行通信之前,应先与EAC协商认证方式,并完成身份认证。
认证方式的协商过程由业务实体发起,并在请求消息中携带该业务实体的身份标识。EAC根据本地策略情况和实体签约信息选择一种认证方法,并将相应的信息返回给认证请求实体,认证请求实体发送确认信息表示协商过程结束。
认证请求实体与EAC按照协商的方式进行认证,认证是双向的。认证结束后,认证请求实体和EAC共享一个共享密钥(Ks),同时EAC根据认证请求实体的签约信息给其分配相应的临时身份标识以及有效期。当认证请求实体是SS时,EAC向其分配一个中间业务请求标识(Interim Service Request Identifier,ISR-ID);当认证请求实体是SP时,EAC向其分配一个中间业务查询标识(Interim Authentication Check Identifier,IAC-ID);当认证请求实体是SSP时,EAC向其分配一个ISR-ID和一个IAC-ID。EAC将为业务实体分配的ISR-ID或IAC-ID以及有效期发送给认证请求实体。此后,业务实体与EAC之间的通信都可以采用上述认证过程生成的Ks进行保护。当认证建立的信任关系的有效期过期时,业务实体需要与EAC进行重新认证,建立新的信任关系。
在SS与EAC完成认证过程后,可以向SP发起业务请求。SP收到SS的业务请求消息以后,查找本地是否保存有SS的ISR-ID信息,以识别该SS。如果没有,SP使用EAC向其分配的IAC-ID向EAC查询SS的认证情况,查询请求消息中携带有SP的IAC-ID以及准备查询的SS的ISR-ID。如果SP没有有效的IAC-ID,需要首先到EAC进行认证以及密钥协商过程后,再向EAC请求查询SS的认证情况。
EAC收到SP的查询请求消息后,根据查询请求消息中的ISR-ID以及IAC-ID查询二者有没有相应的权限。当认证查询成功后,EAC根据二者的相关信息,利用SS到EAC协商的Ks为二者计算生成一个衍生密钥,用于保护SS和SP之间的业务通信,并将生成的衍生密钥发送给SP。SP将衍生密钥、SS的ISR-ID以及有效期等信息关联保存在本地。
查询完成后,SP向SS返回业务请求成功的响应消息,响应消息中携带有EAC生成的衍生密钥。SS利用Ks计算出衍生密钥,并和ISR-ID关联保存在本地。当SS使用当前ISR-ID向SP请求业务,且SS和SP已经具有了与该ISR-ID关联的衍生密钥时,SS和SP使用该衍生密钥对业务通信进行加密,以保护通信数据的安全。
但在发生衍生密钥由EAC传送给SP时被攻击者攻击从而破坏了该衍生密钥的完整性,或者SP在存储衍生密钥时与SS的ISR-ID绑定错误等情况时,将造成SS和SP的衍生密钥不一致,从而导致接收方不能正确获取业务数据,业务通信被迫终止。
发明内容
本发明的目的在于提供一种基于通用鉴权框架的安全业务通信方法,旨在解决现有技术中存在的当SP和SS之间的衍生密钥不一致时,导致接收方不能正确获取业务数据,业务通信被迫终止的问题。
本发明是这样实现的,一种基于通用鉴权框架的安全业务通信方法,所述通用鉴权框架包括业务签约实体、业务提供实体以及实体认证中心,实体认证中心根据业务签约实体的中间业务请求标识信息以及业务提供实体的中间业务查询标识信息生成衍生密钥,用于加密业务签约实体与业务提供实体之间的业务通信,所述方法包括:在进行业务通信前,业务签约实体与业务提供实体利用所述衍生密钥进行互认证,协商加密密钥,并利用所述加密密钥加密双方之间的业务通信。
所述加密密钥为所述衍生密钥或者业务提供实体根据所述衍生密钥生成的、用于加密当次业务通信的会话密钥。
所述会话密钥的生成参数包括所述衍生密钥,以及业务提供实体生成的一个随机数。
所述业务签约实体与业务提供实体利用所述衍生密钥进行互认证,协商加密密钥的步骤进一步包括下述步骤:
4.1业务签约实体向业务提供实体发送业务请求消息,消息中携带有业务签约实体的中间业务请求标识信息,以及利用所述衍生密钥加密的业务提供实体的公开身份标识信息;
4.2业务提供实体根据所述业务请求消息对业务签约实体进行认证,认证通过后,将所述衍生密钥作为业务通信的加密密钥,并向业务签约实体发送业务请求成功的响应消息;所述响应消息中携带有利用所述衍生密钥加密的业务签约实体的中间业务请求标识信息;
4.3业务签约实体根据所述响应消息对业务提供实体进行认证,认证通过后向业务提供实体发送确认响应消息。
所述步骤4.2进一步包括下述步骤:
5.1业务提供实体利用所述衍生密钥对所述业务请求消息中的加密信息进行解密,解密成功则执行步骤5.2,否则执行步骤5.4;
5.2业务提供实体验证解密获得的公开身份标识信息是否准确,准确则执行步骤5.3,否则执行步骤5.4;
5.3认证成功,业务提供实体将所述衍生密钥作为业务通信的加密密钥,向业务签约实体发送业务请求成功的响应消息;
5.4.认证失败,业务提供实体向业务签约实体发送业务请求失败的响应消息。
所述业务签约实体与业务提供实体利用所述衍生密钥进行互认证,协商加密密钥的步骤进一步包括下述步骤:
6.1业务签约实体向业务提供实体发送业务请求消息,消息中携带有业务签约实体的中间业务请求标识信息,以及利用所述衍生密钥加密的业务提供实体的公开身份标识信息;
6.2业务提供实体根据所述业务请求消息对业务签约实体进行认证,认证通过后,利用所述衍生密钥生成加密当次业务通信的会话密钥,向业务签约实体发送业务请求成功的响应消息;所述响应消息中携带有利用所述衍生密钥加密的业务签约实体的中间业务请求标识信息以及所述会话密钥;
6.3业务签约实体根据所述响应消息对业务提供实体进行认证,认证通过后,保存所述会话密钥,并向业务提供实体发送确认响应消息。
所述步骤6.2进一步包括下述步骤
7.1业务提供实体利用所述衍生密钥对所述业务请求消息中的加密信息进行解密,解密成功则执行步骤7.2,否则执行步骤7.4;
7.2业务提供实体验证解密获得的公开身份标识信息是否准确,准确则执行步骤7.3,否则执行步骤7.4;
7.3认证成功,业务提供实体利用所述衍生密钥生成加密当次业务通信的会话密钥,向业务签约实体发送业务请求成功的响应消息;
7.4.认证失败,业务提供实体向业务签约实体发送业务请求失败的响应消息。
所述业务签约实体与业务提供实体利用所述衍生密钥进行互认证,协商加密密钥的步骤进一步包括下述步骤:
8.1业务签约实体向业务提供实体发送业务请求消息,消息中携带有业务签约实体的中间业务请求标识信息,以及利用所述衍生密钥加密的业务提供实体的公开身份标识信息和业务签约实体的重放攻击参数;
8.2业务提供实体根据所述业务请求消息对业务签约实体进行认证,认证通过后,利用所述衍生密钥生成加密当次业务通信的会话密钥,向业务签约实体发送业务请求成功的响应消息;所述响应消息中携带有利用所述衍生密钥加密的业务签约实体的中间业务请求标识信息、所述会话密钥以及业务提供实体的重放攻击参数;
8.3业务签约实体根据所述响应消息对业务提供实体进行认证,认证通过后,保存所述会话密钥,并向业务提供实体发送确认响应消息。
所述步骤8.2进一步包括下述步骤:
9.1业务提供实体利用所述衍生密钥对所述业务请求消息中的加密信息进行解密,解密成功则执行步骤9.2,否则执行步骤9.4;
9.2业务提供实体验证解密获得的公开身份标识信息以及重放攻击参数是否准确,准确则执行步骤9.3,否则执行步骤9.4;
9.3认证成功,业务提供实体利用所述衍生密钥生成加密当次业务通信的会话密钥,向业务签约实体发送业务请求成功的响应消息;
9.4.认证失败,业务提供实体向业务签约实体发送业务请求失败的响应消息。
所述重放攻击参数为业务请求序列号,用于标识业务签约实体使用同一次认证结果向业务提供实体请求同一类业务的次数;
当业务请求消息中业务签约实体的业务请求序列号与业务提供实体本地存储的业务请求序列号相匹配时,所述重放攻击参数准确。
在本发明中,SS与SP通过利用衍生密钥进行互认证,协商业务通信的加密密钥,避免了因SS与SP之间的衍生密钥不一致导致业务通信终止。同时,可以根据衍生密钥生成会话密钥作为业务通信的加密密钥,降低业务实体的加解密计算负担。另外,通过盘问/响应机制防止了业务请求消息的重放攻击,增强了业务通信的安全性。
附图说明
图1是端到端通信认证框架结构示意图;
图2是本发明中第一实施例中SS与SP之间进行互认证和密钥协商的流程图;
图3是本发明中第二实施例中SS与SP之间进行互认证和密钥协商的流程图;
图4是本发明中第三实施例中SS与SP之间进行互认证和密钥协商的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明中,在SS和SP在进行业务通信前,首先使用衍生密钥进行进一步的互认证和密钥协商。当互认证成功后,SS和SP根据协商确定的密钥作为加密密钥加密业务通信,从而避免了双方在衍生密钥不一致时造成的业务通信终止的情况发生。
作为本发明的第一实施例,当互认证成功后,衍生密钥的一致性和有效性得到确认,SS和SP仍采用衍生密钥作为业务通信的加密密钥。
在本实施例下SS和SP之间互认证和密钥协商的流程如图2所示,详述如下:
1、SS向SP发送业务请求消息,消息中携带有明文的ISR-ID,以及利用衍生密钥加密(Encrypt Ks,EK)的SP的公开身份标识(Public Identity,UID)。UID是SP与其它业务实体联系的身份标识,不同的业务可以对应不同的UID。
2、SP收到SS的业务请求消息后,根据SS的ISR-ID在本地查找到与其关联保存的衍生密钥以及其他认证信息。SP使用该衍生密钥解密加密信息,获得UID,并对UID进行验证。如果UID验证通过,表明SP对SS认证成功。
3、SP向SS返回业务请求成功的响应消息,消息中携带有采用衍生密钥加密的SS的ISR-ID。
4、SS收到SP下发的业务请求成功的响应消息后,利用衍生密钥解密获得ISR-ID,并对ISR-ID进行验证。如果ISR-ID验证通过,表明SS对SP认证成功。
5、SS向SP发送确认响应消息,表示业务实体间业务通信准备就绪。
6、SP与SS之间使用衍生密钥加密业务数据,进行业务通信。
在上述过程中,如果SP对SS的认证失败,例如解密不成功或者UID验证未通过,则SP向SS返回业务请求失败的响应消息,响应消息中携带有失败原因,SS可以据此确定是否到EAC进行重认证。
一般来说,衍生密钥的密钥强度比较高,如果把衍生密钥作为SS与SP之间业务通信的加密密钥使用,会给SS加解密带来比较大的计算负担。因此,在本发明的第二实施例中,将衍生密钥用于SS与SP之间互认证以及密钥协商,当SP对SS认证成功后,基于衍生密钥生成加密当次业务通信的会话密钥(rB),同时使会话密钥具备一次一密的功能,这样即使会话密钥的密钥强度不是很高也能达到很好的保密效果,从而减轻了业务实体加解密的计算负担。
会话密钥是由SP根据衍生密钥衍生的。作为本发明的一个优选实施例,会话密钥的生成参数包括SS和SP共享的衍生密钥以及SP随机生成的一个随机数,随机数的长度与衍生密钥的长度相当。该随机数至少要保证在衍生密钥有效期内不能重复使用,从而使得会话密钥具有一次一密的特性。
当SS通过了SP的认证后,SP根据上述会话密钥的生成参数采用对称密钥生成算法生成会话密钥,可选用的对称密钥生成算法包括数据加密标准算法(Data Encryption Standard,DES)、高级加密标准算法(Advanced EncryptionStandard,AES)等,其中AES算法可以支持多种密钥长度,例如128bit(AES128)或者192bit(AES192)等。
在本实施例下SS和SP之间互认证和密钥协商的流程如图3所示,详述如下:
1、SS向SP发送业务请求消息,消息中携带有明文的ISR-ID,以及利用衍生密钥加密的SP的UID。
2、SP收到SS的业务请求消息后,根据SS的ISR-ID在本地查找到与其关联保存的衍生密钥以及其他认证信息。SP使用该衍生密钥解密加密信息,获得UID,并对UID进行验证。如果UID验证通过,表明SP对SS认证成功。SP产生一个随机数,并通过适当的加密算法根据该随机数以及衍生密钥生成一个作为加密当次业务通信的随机会话密钥。
3、SP向SS返回业务请求成功的响应消息,消息中携带有采用衍生密钥加密的ISR-ID以及会话密钥。
4、SS收到SP下发的业务请求成功的响应消息后,利用衍生密钥解密获得ISR-ID,并对ISR-ID进行验证。如果ISR-ID验证通过,表明SS对SP认证成功。SS将会话密钥保存在本地。
5、SS向SP发送确认响应消息,表示业务实体间业务通信准备就绪。
6、SP与SS之间使用会话密钥加密业务数据,进行业务通信。
在上述过程中,如果SP对SS的认证失败,例如解密不成功或者UID验证未通过,则SP向SS返回业务请求失败的响应消息,响应消息中携带有失败原因,SS可以据此确定是否到EAC进行重认证。
在本发明的第三实施例中,对上述实施例进行了优化,SS和SP之间在相互认证和密钥协商过程中通过盘问/响应机制,双方通过验证重放攻击参数的准确性,防止对业务请求消息以及业务请求响应消息的重放攻击。
作为本发明的一个优选实施例,SS和SP通过比较同步更新的业务请求序列号作为重放攻击参数。业务请求序列号用来标识SS使用同一次认证结果向SP请求同一类业务的次数。业务请求序列号与衍生密钥、ISR-ID或IAC-ID以及业务类别关联保存在SS和SP两侧,从1开始随业务请求次数的增加而依次递增。其中,SS侧保存的业务请求序列号记为Ns,SP侧保存的业务请求序列号记为Np。
当SS向SP发起业务请求时,业务请求消息中携带有Ns,SP每收到SS的一次业务请求都要将请求消息中的Ns与本地保存的Np进行匹配,判断Ns的正确性。如果Ns与Np不匹配,即Ns不正确,SP不会为SS与SP之间的业务通信计算生成会话密钥,从而防止了业务请求消息的重放攻击。
SP每收到SS的一次业务请求时,都要将其本地存储的Np与SS发送的业务请求消息中的Ns进行比较,当二者满足预定的匹配条件时,视为Ns正确。若Ns正确,则SP将其本地保存的Np更新为SS发送的业务请求消息中的Ns。
当SS第二次向该SP发送同一种业务请求时,其携带的Ns理想情况应该比SP保存的Np大1。但因SS到SP之间的通信链路性能的影响,SS发送的业务请求消息可能中途丢失,对于这种情况一般规定SS在发送业务请求消息后的一段时间如果没有收到SP的响应,则重传业务请求消息,消息中的内容以及Ns不改变。基于这种考虑,可以将Ns与Np的匹配条件设置为2>Ns-Np>0,当然也可以根据实际的业务需要灵活设置。
图4示出了在本实施例下SS和SP之间互认证和密钥协商的流程,详述如下:
1、SS向SP发送业务请求消息,消息中携带有明文的ISR-ID,以及利用衍生密钥加密的SP的UID和一个Ns(盘问);
2、SP收到SS的业务请求消息后,根据SS的ISR-ID查找到与其关联保存的衍生密钥以及其他认证信息。SP使用该衍生密钥解密加密信息,验证UID的正确性以及Ns的有效性。如果Ns与Np不匹配,即Ns不正确,SP不为SS与SP之间的业务通信计算生成会话密钥。
通过验证后,SP将Ns替换本地保存的Np,与其他密钥信息关联保存在本地。同时SP产生一个随机数,并通过适当的加密算法根据该随机数以及衍生密钥生成一个作为加密当次业务通信的随机会话密钥。
3、SP向SS返回业务请求成功的响应消息,消息中携带有采用衍生密钥加密的ISR-ID、会话密钥以及更新后的Np(响应)。
4、SS收到SP下发的业务请求成功的响应消息后,利用衍生密钥解密,验证ISR-ID以及Np的正确性。若ISR-ID、Np都正确,则通过对SP的认证。SS将会话密钥保存在本地。
在对Np进行验证时,由于SP将响应消息中携带的Np更新为SS发送的业务请求消息中的Ns,所以当SS验证Np与其发送给SP的业务请求消息中的Ns相同时,验证通过。
5、SS向SP发送确认响应消息,表示业务实体间业务通信准备就绪。
6、SP与SS之间使用会话密钥加密业务数据,进行业务通信。
在上述过程中,如果SP对SS的认证失败,例如解密不成功或者UID、Ns验证未通过,则SP向SS返回业务请求失败的响应消息,响应消息中携带有失败原因,SS可以据此确定是否到EAC进行重认证。
作为本发明另一个实施例,也可以使用随机数等作为重放攻击参数,具体验证过程与上述类似,不再赘述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1、一种基于通用鉴权框架的安全业务通信方法,所述通用鉴权框架包括业务签约实体、业务提供实体以及实体认证中心,实体认证中心根据业务签约实体的中间业务请求标识信息以及业务提供实体的中间业务查询标识信息生成衍生密钥,用于加密业务签约实体与业务提供实体之间的业务通信,其特征在于,所述方法包括:
在进行业务通信前,业务签约实体与业务提供实体利用所述衍生密钥进行互认证,协商加密密钥,并利用所述加密密钥加密双方之间的业务通信。
2、如权利要求1所述的安全业务通信方法,其特征在于,所述加密密钥为所述衍生密钥或者业务提供实体根据所述衍生密钥生成的、用于加密当次业务通信的会话密钥。
3、如权利要求2所述的安全业务通信方法,其特征在于,所述会话密钥的生成参数包括所述衍生密钥,以及业务提供实体生成的一个随机数。
4、如权利要求2所述的安全业务通信方法,其特征在于,所述业务签约实体与业务提供实体利用所述衍生密钥进行互认证,协商加密密钥的步骤进一步包括下述步骤:
4.1业务签约实体向业务提供实体发送业务请求消息,消息中携带有业务签约实体的中间业务请求标识信息,以及利用所述衍生密钥加密的业务提供实体的公开身份标识信息;
4.2业务提供实体根据所述业务请求消息对业务签约实体进行认证,认证通过后,将所述衍生密钥作为业务通信的加密密钥,并向业务签约实体发送业务请求成功的响应消息;所述响应消息中携带有利用所述衍生密钥加密的业务签约实体的中间业务请求标识信息;
4.3业务签约实体根据所述响应消息对业务提供实体进行认证,认证通过后向业务提供实体发送确认响应消息。
5、如权利要求4所述的安全业务通信方法,其特征在于,所述步骤4.2进一步包括下述步骤:
5.1业务提供实体利用所述衍生密钥对所述业务请求消息中的加密信息进行解密,解密成功则执行步骤5.2,否则执行步骤5.4;
5.2业务提供实体验证解密获得的公开身份标识信息是否准确,准确则执行步骤5.3,否则执行步骤5.4;
5.3认证成功,业务提供实体将所述衍生密钥作为业务通信的加密密钥,向业务签约实体发送业务请求成功的响应消息;
5.4.认证失败,业务提供实体向业务签约实体发送业务请求失败的响应消息。
6、如权利要求2所述的安全业务通信方法,其特征在于,所述业务签约实体与业务提供实体利用所述衍生密钥进行互认证,协商加密密钥的步骤进一步包括下述步骤:
6.1业务签约实体向业务提供实体发送业务请求消息,消息中携带有业务签约实体的中间业务请求标识信息,以及利用所述衍生密钥加密的业务提供实体的公开身份标识信息;
6.2业务提供实体根据所述业务请求消息对业务签约实体进行认证,认证通过后,利用所述衍生密钥生成加密当次业务通信的会话密钥,向业务签约实体发送业务请求成功的响应消息;所述响应消息中携带有利用所述衍生密钥加密的业务签约实体的中间业务请求标识信息以及所述会话密钥;
6.3业务签约实体根据所述响应消息对业务提供实体进行认证,认证通过后,保存所述会话密钥,并向业务提供实体发送确认响应消息。
7、如权利要求6所述的安全业务通信方法,其特征在于,所述步骤6.2进一步包括下述步骤
7.1业务提供实体利用所述衍生密钥对所述业务请求消息中的加密信息进行解密,解密成功则执行步骤7.2,否则执行步骤7.4;
7.2业务提供实体验证解密获得的公开身份标识信息是否准确,准确则执行步骤7.3,否则执行步骤7.4;
7.3认证成功,业务提供实体利用所述衍生密钥生成加密当次业务通信的会话密钥,向业务签约实体发送业务请求成功的响应消息;
7.4.认证失败,业务提供实体向业务签约实体发送业务请求失败的响应消息。
8、如权利要求2所述的安全业务通信方法,其特征在于,所述业务签约实体与业务提供实体利用所述衍生密钥进行互认证,协商加密密钥的步骤进一步包括下述步骤:
8.1业务签约实体向业务提供实体发送业务请求消息,消息中携带有业务签约实体的中间业务请求标识信息,以及利用所述衍生密钥加密的业务提供实体的公开身份标识信息和业务签约实体的重放攻击参数;
8.2业务提供实体根据所述业务请求消息对业务签约实体进行认证,认证通过后,利用所述衍生密钥生成加密当次业务通信的会话密钥,向业务签约实体发送业务请求成功的响应消息;所述响应消息中携带有利用所述衍生密钥加密的业务签约实体的中间业务请求标识信息、所述会话密钥以及业务提供实体的重放攻击参数;
8.3业务签约实体根据所述响应消息对业务提供实体进行认证,认证通过后,保存所述会话密钥,并向业务提供实体发送确认响应消息。
9、如权利要求8所述的安全业务通信方法,其特征在于,所述步骤8.2进一步包括下述步骤:
9.1业务提供实体利用所述衍生密钥对所述业务请求消息中的加密信息进行解密,解密成功则执行步骤9.2,否则执行步骤9.4;
9.2业务提供实体验证解密获得的公开身份标识信息以及重放攻击参数是否准确,准确则执行步骤9.3,否则执行步骤9.4;
9.3认证成功,业务提供实体利用所述衍生密钥生成加密当次业务通信的会话密钥,向业务签约实体发送业务请求成功的响应消息;
9.4.认证失败,业务提供实体向业务签约实体发送业务请求失败的响应消息。
10、如权利要求8或9所述的安全业务通信方法,其特征在于,所述重放攻击参数为业务请求序列号,用于标识业务签约实体使用同一次认证结果向业务提供实体请求同一类业务的次数;
当业务请求消息中业务签约实体的业务请求序列号与业务提供实体本地存储的业务请求序列号相匹配时,所述重放攻击参数准确。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200610032731XA CN100450305C (zh) | 2006-01-07 | 2006-01-07 | 一种基于通用鉴权框架的安全业务通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200610032731XA CN100450305C (zh) | 2006-01-07 | 2006-01-07 | 一种基于通用鉴权框架的安全业务通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1859772A true CN1859772A (zh) | 2006-11-08 |
| CN100450305C CN100450305C (zh) | 2009-01-07 |
Family
ID=37298622
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200610032731XA Active CN100450305C (zh) | 2006-01-07 | 2006-01-07 | 一种基于通用鉴权框架的安全业务通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100450305C (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009000190A1 (fr) * | 2007-06-22 | 2008-12-31 | Huawei Technologies Co., Ltd. | Procédé, dispositif et système pour estimer un état de sécurité |
| CN101227452B (zh) * | 2007-01-17 | 2010-12-15 | 华为技术有限公司 | 一种网络接入认证的方法及系统 |
| CN101953111A (zh) * | 2007-12-21 | 2011-01-19 | 科库数据控股有限公司 | 用于保密数据的系统和方法 |
| WO2015106387A1 (zh) * | 2014-01-14 | 2015-07-23 | 华为技术有限公司 | 一种校验密钥的方法、基站、用户设备和核心网网元 |
| CN105635039A (zh) * | 2014-10-27 | 2016-06-01 | 阿里巴巴集团控股有限公司 | 一种网络安全通信方法及通信装置 |
| CN106685906A (zh) * | 2016-06-29 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 鉴权处理方法、节点及系统 |
| CN113316138A (zh) * | 2021-04-27 | 2021-08-27 | 中盈优创资讯科技有限公司 | 一种应用层加密实现方法及其实现装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005043281A2 (en) * | 2003-11-04 | 2005-05-12 | Ntt Communications Corporation | Method, apparatus and program for establishing encrypted communication channel between apparatuses |
| JP4025734B2 (ja) * | 2004-02-13 | 2007-12-26 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 端末間の暗号化通信チャネルを構築するためのセッション管理装置、方法及びプログラム |
| CN1675878A (zh) * | 2002-08-20 | 2005-09-28 | 皇家飞利浦电子股份有限公司 | 用于保护存储内容的移动网络鉴权 |
| JP2004320174A (ja) * | 2003-04-11 | 2004-11-11 | Matsushita Electric Ind Co Ltd | 認証システム、認証装置、認証方法 |
| CN1264373C (zh) * | 2003-05-15 | 2006-07-12 | 中兴通讯股份有限公司 | 个人手持通信系统手机鉴权信息的加解密方法 |
-
2006
- 2006-01-07 CN CNB200610032731XA patent/CN100450305C/zh active Active
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101227452B (zh) * | 2007-01-17 | 2010-12-15 | 华为技术有限公司 | 一种网络接入认证的方法及系统 |
| WO2009000190A1 (fr) * | 2007-06-22 | 2008-12-31 | Huawei Technologies Co., Ltd. | Procédé, dispositif et système pour estimer un état de sécurité |
| CN101953111A (zh) * | 2007-12-21 | 2011-01-19 | 科库数据控股有限公司 | 用于保密数据的系统和方法 |
| US8806207B2 (en) | 2007-12-21 | 2014-08-12 | Cocoon Data Holdings Limited | System and method for securing data |
| WO2015106387A1 (zh) * | 2014-01-14 | 2015-07-23 | 华为技术有限公司 | 一种校验密钥的方法、基站、用户设备和核心网网元 |
| CN105027495A (zh) * | 2014-01-14 | 2015-11-04 | 华为技术有限公司 | 一种校验密钥的方法、基站、用户设备和核心网网元 |
| CN105635039A (zh) * | 2014-10-27 | 2016-06-01 | 阿里巴巴集团控股有限公司 | 一种网络安全通信方法及通信装置 |
| CN105635039B (zh) * | 2014-10-27 | 2019-01-04 | 阿里巴巴集团控股有限公司 | 一种网络安全通信方法及通信装置 |
| US10419409B2 (en) | 2014-10-27 | 2019-09-17 | Alibaba Group Holding Limited | Method and apparatus for secure network communications |
| CN106685906A (zh) * | 2016-06-29 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 鉴权处理方法、节点及系统 |
| CN113316138A (zh) * | 2021-04-27 | 2021-08-27 | 中盈优创资讯科技有限公司 | 一种应用层加密实现方法及其实现装置 |
| CN113316138B (zh) * | 2021-04-27 | 2023-04-07 | 中盈优创资讯科技有限公司 | 一种应用层加密实现方法及其实现装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100450305C (zh) | 2009-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| CN107277061B (zh) | 基于iot设备的端云安全通信方法 | |
| CA2700317C (en) | Virtual subscriber identity module | |
| US8788832B2 (en) | Virtual subscriber identity module | |
| CN101156352B (zh) | 基于移动网络端到端通信的认证方法、系统及认证中心 | |
| WO2017201809A1 (zh) | 终端通信方法及系统 | |
| CN101051898B (zh) | 无线网络端到端通信认证方法及其装置 | |
| CN101052033A (zh) | 基于ttp的认证与密钥协商方法及其装置 | |
| KR20080089500A (ko) | 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 | |
| CN1720688A (zh) | 通信系统中的密钥生成 | |
| WO2011160683A1 (en) | Privacy preserving authorisation in pervasive environments | |
| WO2010078755A1 (zh) | 电子邮件的传送方法、系统及wapi终端 | |
| CN1929371A (zh) | 用户和外围设备协商共享密钥的方法 | |
| CN103491540A (zh) | 一种基于身份凭证的无线局域网双向接入认证系统及方法 | |
| KR20080057981A (ko) | 모바일 와이맥스 네트워크 시스템에서의 보안 시스템 및방법 | |
| CN1859772A (zh) | 一种基于通用鉴权框架的安全业务通信方法 | |
| CN1977559A (zh) | 保护在用户之间进行通信期间交换的信息的方法和系统 | |
| CN1859097A (zh) | 一种基于通用鉴权框架的认证方法及系统 | |
| Tschofenig et al. | The extensible authentication protocol-Internet key exchange protocol version 2 (EAP-IKEv2) method | |
| CN101039181A (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN101047505A (zh) | 一种网络应用push业务中建立安全连接的方法及系统 | |
| CN100499453C (zh) | 一种客户端认证的方法 | |
| CN1878169A (zh) | 通用引导框架中Ub接口信息交互方法 | |
| WO2012000313A1 (zh) | 一种家庭网关认证方法和系统 | |
| KR100330418B1 (ko) | 이동통신 환경에서의 가입자 인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |