WO2012068801A1

WO2012068801A1 - 移动终端的认证方法及移动终端

Info

Publication number: WO2012068801A1
Application number: PCT/CN2011/071575
Authority: WO
Inventors: 苏国松
Original assignee: 中兴通讯股份有限公司
Priority date: 2010-11-22
Filing date: 2011-03-07
Publication date: 2012-05-31
Also published as: CN102014385A

Description

移动终端的 ^人证方法及移动终端技术领域本发明涉及通信领域，尤其涉及一种移动终端的认证方法及移动终端。背景技术随着手机安全越来越受各大厂商及运营商的关注，认证技术成为无线局域网络中最重要的月艮务之一。扩展认证十办议 ( Extensible Authentication Protocol, 简称为 EAP)作为普遍使用的认证协议，常被用于无线网络或点对点连接中。目前，通常使用的认证方法多是证书交换和密码认证，而 EAP_IKEv2 作为一个新的基于 EAP协议的认证和密钥分配协议，是将证书交换和密码认证统一到一个协议中，在使用中根据需要动态的调整所使用的认证方法，可以为运营商提供安全性的多种选择。同时， EAP_IKEv2重用了成熟的互联网密钥交换版本 2 ( Internet Key Exchange Version2 , 简称为 ΙΚΕν2 ) 协议认证机制，提供了相当程度的安全保证。例如，支持互认证、完整性保证、保密保证、重放攻击保护、字典攻击保护等，为运营商和广大用户提供一个安全、保密的网络环境。但是，在相关技术中， EAP_IKEv2协议认证机制只应用于互联网，而运营商迫切需要一种 4十对移动终端接入无线局 i或网（ Wireless Local Area Network , 简称为 WLAN )时的安全认证方式，来管理接入 WLAN的移动终端。发明内容本发明的主要目的在于提供一种移动终端的认证方案，以至少解决上述的相关技术中移动终端接入 WLAN时运营商现有的认证方式安全性较低的问题。为了实现上述目的，根据本发明的一个方面，提供了一种移动终端的认证方法。才艮据本发明的移动终端的认证方法，包括以下步 4聚：移动终端确定所釆用的 EAP_IKEv2的认证方式；使用与该认证方式对应的认证接口向远程认证拨号用户月艮务 RADIUS月艮务器发起 EAP IKEv2认证。优选地，使用与 EAP_IKEv2认证方式相应的认证接口向 RADIUS月艮务器发起 EAP_IKEv2认证包括：移动终端通过操作系统平台提供的接口获取用户身份信息，并通过 WiFi无线连接将用户身份信息发送给 RADIUS服务器进行 EAP IKEv2认证。优选地，通过 WiFi无线连接将用户身份信息发送给 RADIUS月艮务器进行 EAP_IKEv2认证包括： RADIUS服务器根据用户身份信息判断移动终端是否已在本地注册；在确定移动终端已在本地注册的情况下， RADIUS月艮务器与移动终端进行密钥算法的协商，并使用协商后的密钥算法进行认证。优选地， RADIUS 艮务器与移动终端进行密钥算法的协商包括： RADIUS 服务器与移动终端协商出用于建立安全通道的 IKE_SA安全载荷。优选地，使用协商后的密钥算法进行认证包括： RADIUS服务器根据自身的随机数、接收到的来自移动终端的随机数及共享密钥按照协商后的密钥算法计算出主密钥及与主密钥对应的子密钥。优选地， RADIUS服务器根据自身的随机数、接收到的来自移动终端的随机数及共享密钥按照协商后的密钥算法计算出主密钥及与主密钥对应的子密钥之后，该方法还包括： RADIUS服务器根据子密钥、共享密钥、密钥交换载荷 Kei密钥、自身的安全载荷及随机数计算出 AUTH_I, 并发给移动终端；移动终端居协商后的密钥算法计算出 AUTH_R, 并将 AUTH_R与接收到的来自 RADIUS月艮务器的 AUTH_I进行比较；在 AUTH_R与 AUTH_I 一致的情况下，移动终端将 AUTH R发送给 RADIUS月艮务器；以及 RADIUS 月艮务器在确定 AUTH_I与接收到的来自移动终端的 AUTH_R—致的情况下，判定 EAP_IKEv2认证成功。优选地，上述操作系统平台为安致 Android。优选地， EAP_IKEv2认证方式为以下至少之一：共享密钥、数字证书。为了实现上述目的，才艮据本发明的另一方面，还提供了一种移动终端。才艮据本发明的移动终端，包括：确定模块，设置为确定所釆用的 EAP_IKEv2的认证方式；发送模块，设置为使用与该认证方式对应的认证接口向远程认证拨号用户月艮务 RADIUS月艮务器发起 EAP IKEv2认证。优选地，发送模块还设置为通过操作系统平台提供的接口获取用户身份信息，并通过 WiFi无线连接将用户身份信息发送给 RADIUS月艮务器进行 EAP IKEv2认证。通过本发明，釆用将 EAP_IKEv2认证应用于移动终端的方式，解决了相关技术中移动终端接入 WLAN时运营商现有的认证机制安全性较低的问题，从而提高了系统的安全性和性能。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：图 1是根据本发明实施例的移动终端的认证方法的流程图；图 2是居本发明实施例的移动终端的结构框图；图 3是才艮据本发明优选实施例二的通过 EAP_IKEv2认证接入无线局域网络的流程示意图；图 4是才艮据本发明优选实施例三的移动终端的认证方法的模块交互示意图。具体实施方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。才艮据本发明实施例，提供了一种移动终端的认证方法。图 1是居本发明实施例的移动终端的认证方法的流程图，如图 1所示，该方法包括以下步骤：步 4聚 S 102 , 移动终端确定所釆用的 EAP_IKEv2的认证方式；步骤 S 104,使用与该认证方式对应的认证接口向远程认证拨号用户服务 ( Remote Authentication Dial In User Service, 简称为 RADIUS )月艮务器发起 EAP IKEv2认证。通过上述步骤，釆用将 ΕΑΡ_ΙΚΕν2认证应用于移动终端的方式，解决了相关技术中移动终端接入 WLAN时运营商现有的认证机制安全性较低的问题，从而提高了系统的安全性和性能。优选地，在步骤 S 104中，移动终端可以通过操作系统平台提供的接口获取用户身份信息，并通过 WiFi(Wireless Fidelity, 即 802.11b标准）无线连接将用户身份信息发送给 RADIUS服务器进行 EAP IKEv2认证。该方法可以提高系统的有效性。优选地，通过 WiFi无线连接将用户身份信息发送给 RADIUS月艮务器进行 EAP_IKEv2认证包括： RADIUS服务器根据用户身份信息判断移动终端是否已在本地注册；在确定移动终端已在本地注册的情况下， RADIUS服务器与移动终端进行密钥算法的协商，并使用协商后的密钥算法进行认证。该方法简单、实用，可操作性强。优选地， RADIUS 艮务器与移动终端进行密钥算法的协商包括： RADIUS 服务器与移动终端协商出用于建立安全通道的 IKE_SA安全载荷。该方法可以保证系统的安全性。优选地，使用协商后的密钥算法进行认证包括： RADIUS服务器可以根据自身的随机数、接收到的来自移动终端的随机数及共享密钥按照协商后的密钥算法计算出主密钥及与主密钥对应的子密钥。该方法实现简单、可操作性强。优选地， RADIUS服务器根据自身的随机数、接收到的来自移动终端的随机数及共享密钥按照协商后的密钥算法计算出主密钥及与主密钥对应的子密钥之后， RADIUS服务器可以根据子密钥、共享密钥、密钥交换载荷 Kei 密钥、自身的安全载荷及随机数计算出 AUTH_I, 并发给移动终端；移动终端可以艮据协商后的密钥算法计算出 AUTH_R, 并将 AUTH_R与接收到的来自 RADIUS月艮务器的 AUTH_I进行比较；在 AUTH_R与 AUTH_I—致的情况下，移动终端将 AUTH_R发送给 RADIUS服务器；以及 RADIUS服务器在确定 AUTH_I与接收到的来自移动终端的 AUTH_R—致的情况下，判定 EAP_IKEv2认证成功。该方法通过移动终端和 RADIUS月艮务器的相互-险证，提高了系统的安全性。优选地，上述操作系统平台可以为安致 Android。该方法可以增强 Android 移动终端传输数据的安全性，提高了系统的灵活性和适应性。优选地， EAP_IKEv2认证方式为以下至少之一：共享密钥、数字证书。该方法实现简单、可操作性强。需要说明的是，本发明实施例可以适用于基于 Android平台的所有移动终端。对应于上述方法，本发明实施例还提供了一种移动终端，图 2是才艮据本发明实施例的移动终端的结构框图，如图 2所示，该移动终端 20包括：确定模块 22 , 设置为确定所釆用的 EAP_IKEv2的认证方式；发送模块 24 , 耦合至确定模块 22 ,设置为使用与该认证方式对应的认证接口向 RADIUS服务器发起 EAP IKEv2认证。通过上述装置，釆用将 EAP_IKEv2认证应用于移动终端的方式，解决了相关技术中移动终端接入 WLAN时运营商现有的认证机制安全性较低的问题，提高了系统的安全性和性能。优选地，发送模块 24还用于通过操作系统平台提供的接口获取用户身份信息，并通过 WiFi无线连接将用户身份信息发送给 RADIUS服务器进行 EAP IKEv2认证。下面结合优选实施例和附图对上述实施例的实现过程进行详细说明。优选实施例一本优选实施例釆用在 Android移动终端上选择认证方式（例如，共享密钥或数字证书）发起 EAP_IKEv2认证，经过身份信息国际移动用户识别码 ( International Mobile Subscriber Identification, 简称为 IMSI ) 交换，运营商对用户身份确认后，再进行移动终端与 RADIUS月艮务器的 EAP_IKEv2认证。具体地，该方法包括如下步骤：步骤 1 , 在应用层（ Application, 可以简称为 app )层和 framework层增加必要的认证方式选择菜单及相应认证接口，发起 EAP IKEv2认证。步骤 2 , 通过 Android平台提供的接口，直接在 framwork层调用用户识别模块（ Subscriber Identity Module , 简称为 SIM )卡接口获取用户身份信息 ( IMSI )。步骤 3 , 通过 Andriod平台移动终端与 RADIUS 艮务器交互的方式进行协议认证。 RADIUS服务器总是发起方，而 Android平台作为反馈方来接收 RADIUS发来的数据包，进行处理后再反馈给服务器。可见，通过本发明实施例用户可以在 Android TD平台移动终端上发起 EAP IKEv2并选择协议认证方式进行认证，通过设置 RADIUS月艮务器，运营商可以授权合法用户安全的使用网络，并对非法用户进行屏蔽其非法操作。同时可以启用计费月艮务，对用户使用网络进行计费，使得运营商可以通过上述安全的认证协议来管理无线局域网络的收费月艮务。优选实施例二图 3是才艮据本发明优选实施例二的通过 EAP_IKEv2认证接入无线局域网络的流程示意图，如图 3所示，该方法包括如下步骤：步 4聚 S302 , app层将 EAP IKEv2对应的字符串 IKEv2加入现有的

Android EAP框架的认证方法中。这样，在移动终端启动接入点（ Access Point, 简称为 AP )接入 WiFi的应用中就可以看到对应的 EAP_IKEv2认证方式。步骤 S304, 选择 EAP_IKEv2下拉菜单选择认证方式（例如，共享密钥或数字证书）发起认证。步骤 S306 , 通过 Android提供的 SIM卡接口函数调用获取 SIM卡身份认证，并通过 WiFi将身份 ID发给 RADIUS月艮务器进行认证。步骤 S308, IKEv2协议两阶段完成安全关联（ Security Association, 简称为 SA ) 的协商。例如， IKEv2主体协议认证过程可以分如下两阶段完成： ( 1 )协商出 IKE_SA安全载荷为通讯实体提供一条安全的通道，用于保护第 ( 2 ) 阶段的交换；（2 ) 通过 2条消息建立起 CHILD_SA用于保护通讯双方的数据传输。步骤 S310, 当服务器和 Andorid移动设备双方都通过认证后，认证过程结束，服务器为 Android移动设备分配一个 IP地址，通过此地址， Android 移动设备可以安全的接入 WiFi无线局 i或网络。可见，本实施例中的 Android TD移动终端是通过 EAP IKEv2协议认证接入 WiFi网络，即，基于 Android智能手机解决了 EAP-IKEv2认证无线局域网络在 Android TD手机中的应用，具备一定的通用性。优选实施例三图 4是才艮据本发明优选实施例三的移动终端的认证方法的模块交互示意图，如图 4所示，其中，中括号中的参数为可选参数，该方法包括如下步骤：步骤 S402, 打开 AP, WiFi搜索可用的无线局域网，搜索完毕后显示可用的 AP接入点，在用户界面选择 EAP IKEv2证书类型，选中需要的认证方式进行认证。步骤 S404, 服务端发送请求身份认证包，手机终端接收到数据包后，通过 Android提供的 SIM卡接口，从卡上读取身份信息（ IMSI )装载成数据包的形式发给服务器，服务器查找本地的数据库看 IMSI是否在本地进行注册过，若是，则进入步骤 S406, 若不是，结束认证，认证失败，不允许接入网络。步骤 S406, 月艮务器端发送 HDR、 Sail, Kei、 Ni数据包，手机终端回应

HDR、 SARI, Ker、 Nr协商密钥算法，交换随机数，及一次 Diffie-Hellman ( Whit Diffie和 Martin Hellman共同提出的）交换。其中， HDR是 ISAKMP 报头， Sail、 Kei、 Ni分别是服务器端的安全关联载荷、密钥交换载荷、随机数；而 SAR1、 Ker、 Nr是移动终端的安全关联载荷、密钥交换载荷及随机数。在具体实施过程中，月艮务器和移动终端可以才艮据这些载荷协商出一个密钥算法，完成随机数 Ni和 Nr的交换及共享密钥的传输。需要说明的是， HDR为 IKE数据头（ IKE Header )、 KE为密钥交换 ( Key Exchange ), Ni、 Nr为随机数 (Nonce)、 SA为安全关联 ( Security Association ), AUTH为认证 ( Authentication ), TSi为交换选择发起者（ Traffic Selector Initiator ), TSr为交换选择应答者（ Traffic Selector Responder；)、 SK为安全密钥（ Security Key ), 其中，下标 i、 r分别表示月艮务器器端和移动终端。例如， Keil表示服务器端密钥交换， KErl表示移动终端的密钥交换。步骤 S408, 密钥算法协商一致后，月艮务器才艮据密钥算法，从随机数、 Diffie-Hellman共享密钥中计算出主密钥，并进一步计算出其它相关密钥。例如，服务器端根据自身的随机数 Ni、接收到的移动终端的随机数 Nr及传输过来的共享密钥按照协商一致的密钥算法计算出主密钥 SK, 主密钥居一定的算法生成其它相关的子密钥；再由服务器端和移动终端分别根据子密钥、共享密钥、自身的安全载荷、随机数计算出 AUTH_I和 AUTH_R。需要说明的是，这里的 AUTH_I和 AUTH_R为鉴权码，是根据密钥、共享密钥、自身的安全载荷、随机数计算出来的一个值，是标准协议。在具体实施过程中，服务器端可以根据子密钥、共享密钥、自身的安全载荷、随机数及 Kei密钥计算出 AUTH_I将其和 HDR等一起发送给移动终端；移动终端受到数据包后，再次以同样的算法算出 AUTH_R,并对这两个 AUTH进行对比，如果发现不符，则中断本次连接，如果符合，则将 AUTH_R 和 HDR等数据包发给服务器；服务器进一步将 AUTH_R和 AUTH_I进行笔对，如果相同，则服务器会认为认证成功，从而为本终端提供一个网络 IP, 通过此 IP用户就可以安全的接入无线局域网络了。可见，本实施例是 EAP-IKEv2认证无线局 i或网络在 Android TD手机中的应用实现， EAP_IKEv2认证方式同时可以实现与 SIM卡绑定的功能，使得运营商在现有的 SIM卡计费系统上故少量 4爹改就可以实现计费，并防止未授权的用户非法使用网络。综上所述，本发明实施例是针对 Android智能手机接入 WLAN实现安全上网而设计的，即，将 EAP认证和 IKEv2认证结合在一起， 4十对 Android 平台手机作了相应处理。这样可以为用户提供安全的上网环境，同时为运营商提供了良好的收费服务。并且，该认证方式还提供了数字证书认证，总是从服务器发起，可以有效防止字典攻击，重放攻击等。显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的^"神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种移动终端的认证方法，包括：

移动终端确定所釆用的 EAP_IKEv2的认证方式；使用与所述认证方式对应的认证接口向远程认证拨号用户服务 RADIUS月艮务器发起 EAP IKEv2认证。

2. 才艮据权利要求 1所述的方法，其中，使用与所述 EAP_IKEv2认证方式相应的认证接口向所述 RADIUS月艮务器发起所述 EAP IKEv2认证包括：

所述移动终端通过操作系统平台提供的接口获取用户身份信息，并通过 WiFi无线连接将所述用户身份信息发送给所述 RADIUS服务器进行所述 EAP_IKEv2认证。

3. 居权利要求 2所述的方法，其中，通过所述 WiFi无线连接将所述用户身份信息发送给所述 RADIUS服务器进行所述 EAP IKEv2认证包括：

所述 RADIUS月艮务器才艮据所述用户身份信息判断所述移动终端是否已在本地注册；

在确定所述移动终端已在本地注册的情况下，所述 RADIUS 艮务器与所述移动终端进行密钥算法的协商，并使用协商后的密钥算法进行认证。

4. 根据权利要求 3所述的方法，其中，所述 RADIUS服务器与所述移动终端进行密钥算法的协商包括：

所述 RADIUS月艮务器与所述移动终端协商出用于建立安全通道的 IKE SA安全载荷。

5. 根据权利要求 3所述的方法，其中，使用协商后的密钥算法进行认证包括：

所述 RADIUS服务器根据自身的随机数、接收到的来自所述移动终端的随机数及共享密钥按照所述协商后的密钥算法计算出主密钥及与所述主密钥对应的子密钥。

6. 根据权利要求 5所述的方法，其中，所述 RADIUS服务器根据自身的随机数、接收到的来自所述移动终端的随机数及共享密钥按照所述协商后的密钥算法计算出所述主密钥及与所述主密钥对应的子密钥之后，还包括：

所述 RADIUS服务器根据所述子密钥、所述共享密钥、密钥交换载荷 Kei密钥、自身的安全载荷及随机数计算出 AUTH_I, 并发给所述移动终端；

所述移动终端 -据所述协商后的密钥算法计算出 AUTH_R, 并将所述 AUTH_R与接收到的来自所述 RADIUS 艮务器的所述 AUTH I 进行比较；

在所述 AUTH_R与所述 AUTH_I—致的情况下，所述移动终端将所述 AUTH_R发送给所述 RADIUS服务器；以及

所述 RADIUS 艮务器在确定所述 AUTH I与接收到的来自所述移动终端的所述 AUTH_R—致的情况下，判定所述 EAP_IKEv2认证成功。

7. 根据权利要求 2至 6中任一项所述的方法，其中，所述操作系统平台为安致 Android„

8. 才艮据权利要求 1所述的方法，其中，所述 EAP_IKEv2认证方式为以下至少之一：共享密钥、数字证书。

9. 一种移动终端，包括：

确定模块，设置为确定所釆用的 EAP_IKEv2的认证方式；发送模块，设置为使用与所述认证方式对应的认证接口向远程认证拨号用户月艮务 RADIUS月艮务器发起 EAP IKEv2认证。

10. 根据权利要求 9所述的移动终端，其中，发送模块还设置为通过操作系统平台提供的接口获取用户身份信息，并通过 WiFi无线连接将所述用户身份信息发送给所述 RADIUS服务器进行所述 EAP IKEv2认证。