CN101312395B - 一种应用业务的安全鉴权和换卡处理方法及系统 - Google Patents
一种应用业务的安全鉴权和换卡处理方法及系统 Download PDFInfo
- Publication number
- CN101312395B CN101312395B CN2007100994820A CN200710099482A CN101312395B CN 101312395 B CN101312395 B CN 101312395B CN 2007100994820 A CN2007100994820 A CN 2007100994820A CN 200710099482 A CN200710099482 A CN 200710099482A CN 101312395 B CN101312395 B CN 101312395B
- Authority
- CN
- China
- Prior art keywords
- card
- user
- authentication
- portable terminal
- flow process
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种应用业务的安全鉴权和换卡处理方法及系统,用于基于通用集成电路卡的增强型的通用鉴权架构(GBA_U),其中方法包括:在移动终端保存上一次使用过的用户卡的IP多媒体私有标识,在用户进入业务应用后,根据以下条件来确定在安全协商流程前是否需要重新进行通用鉴权架构流程:用户终端本地是否具有用户密钥信息;用户卡是否已更换,由当前用户卡的用户标识与所述移动终端中已存用户标识的比较结果得出。本发明使得包含和不包括IP多媒体业务标识模块的用户设备都能应用于基于GBA_U构架的业务加密和安全鉴权,并且根据从卡读取的用户标识判断是否更换了卡,避免了进入业务应用时因为换卡而出现鉴权失败的情况。
Description
技术领域
本发明涉及通用鉴权架构技术,特别是涉及一种基于GBA_U构架的应用业务的安全鉴权和换卡处理方法及系统。
背景技术
随着众多业务的开展,运营商和用户都需要可靠的认证机制来保证合法的业务使用以及正确的计费。尤其是在3G业务中,很多应用都需要在用户终端设备(UE)和应用服务器之间进行双向认证,因此有必要定义一种通用认证架构(GAA)。GAA是旨在提供一种通用的鉴权机制,既可以用于现有的服务,也可以用于将来的新业务,从而避免为每一种新服务都提供独有的鉴权机制。不同应用的一个通用机制避免了各种机制之间的差异性,从而能以一种一致的方式解决安全认证的问题。
GAA中的GBA(Generic Bootstrapping Architecture,通用鉴权架构)部分描述了如何在移动的上下文环境中使用基于认证和密钥协商(AKA)的机制,从而为通信实体提供事先共享秘密。
GBA的安全架构可以分为两种方式:GBA_ME和GBA_U(基于UICC增强型的GBA)。前者密钥的协商和生成都在ME中完成,而后者密钥的协商和生成都在UICC(Universal Integrated Circuit Card,通用集成电路卡)中完成,因此安全性更高。
图1为GBA架构的框架图,如图所示,GBA架构通常由鉴权服务实体(BSF)、归属签约用户服务器(HSS)和网络应用实体(NAF)组成。UE(用户设备)和NAF之间通过Ua接口连接,UE和BSF之间通过Ub接口连接,BSF和NAF之间通过Zn接口连接,BSF和HSS之间通过Zh接口连接。
在GBA_U的构架中有三个重要的流程,如图1所示:一是BootstrappingInitiation(初始化流程),用于UE和NAF之间协商是否需要进行GBA和一些必要参数的获得;二是Bootstrapping(建立密钥Ks的鉴权流程),用来在UE和BSF之间产生密钥Ks;三是Bootstrapped(鉴权后安全协商流程),用于在UE和NAF之间建立共享密钥Ks_ext_NAF。
在运行了GBA后,网络侧与用户终端就可以建立共享密钥Ks,以及由其导出的共享密钥Ks_int_NAF来对业务信息进行保护,由其导出的共享密钥Ks_ext_NAF来进行在用户终端和网络服务器间的会话协议和鉴权。
在基于GBA_U构架的应用业务中,对于同时支持USIM(使用者服务认证模块)、ISIM(IP多媒体业务标识模块)功能的UICC(通用集成电路卡)的这一类用户设备来说,它包含IP多媒体业务标识模块ISIM,既可充当GBA客户端,也可充当NAF应用客户端,所以能方便的开展基于GBA_U构架的业务。
然而,实际应用中还存在另外的一些UE,如SIM卡(用户标识模块卡,或称用户身份识别卡)或仅支持USIM应用的UICC卡等不包含IP多媒体业务模块的用户设备,其在进行NAF应用时,由于它们自身没有IP多媒体业务标识IMPI,将无法建立得到共享密钥Ks_ext_NAF来完成网络侧要求的用户鉴权,从而使得这类型用户设备无法应用GBA_U的鉴权构架。
发明内容
本发明的目的是提供一种基于通用鉴权架构的应用业务的安全鉴权和换卡处理方法及系统,使得对包含和不包含IP多媒体业务模块的用户终端都能够应用于基于增强型的通用鉴权架构的业务加密和安全鉴权,并解决因为保存的IP多媒体业务标识不同,而出现的网络对用户鉴权失败的问题。
为了实现上述目的,本发明提供了一种应用业务的安全鉴权和换卡处理方法,用于基于通用集成电路卡的增强型的通用鉴权架构,其中,包括:在移动终端保存上一次使用过的用户卡的IP多媒体私有标识,在用户进入业务应用后,根据以下条件来确定在安全协商流程前是否需要重新进行通用鉴权架构流程:
条件一,用户终端是否具有用户密钥信息;
条件二,用户卡是否已更换,由当前用户卡的用户标识与所述移动终端的已存IP多媒体私有标识的比较结果得出。
上述的方法,其中,如果所述用户终端不具有用户密钥信息,或用户卡已更换,则需要重新进行通用鉴权架构流程;如果所述用户终端具有用户密钥信息,且用户卡未更换,则不需要重新进行通用鉴权架构流程。
上述的方法,其中,包括如下步骤:
步骤一,在用户进入业务应用后,用户终端判断本地是否存有用户密钥信息,是则执行步骤二,否则执行步骤四;
步骤二,移动终端读取当前用户卡的用户标识;
步骤三,判断是否已更换用户卡,是则执行步骤五,否则执行步骤六;
步骤四,进行鉴权初始化过程,从网络侧获取当前用户卡的IP多媒体私有标识并存储到移动终端中;移动终端开始通用鉴权架构流程的鉴权流程,使得当前用户卡获得用户密钥信息及生命周期,转步骤六;
步骤五,进行鉴权初始化过程,从网络侧获取当前用户卡的IP多媒体私有标识并存储到移动终端中;
步骤六,移动终端与当前用户卡进行安全协商流程,获取共享密钥;
步骤七,网络侧在下发业务信息时,可以使用共享密钥来对用户进行安全鉴权。
上述的方法,其中,在所述步骤二中,所述用户标识包括但不限于国际移动服务器标识、IP多媒体私有标识。
上述的方法,其中,在所述步骤六中,移动终端通过IP多媒体私有标识获得共享密钥。
上述的方法,其中,在所述步骤三中,判断用户是否换卡,包括但不限于通过比较当前用户标识与上次保存下来的IP多媒体私有标识是否一致。
为了实现本发明的目的,本发明还提供了一种应用业务的安全鉴权和换卡处理系统,用于基于通用集成电路卡的增强型的通用鉴权架构,该系统包括:装置1,用于在移动终端保存上一次使用过的用户卡的IP多媒体私有标识;装置2,用于在用户进入业务应用后,根据以下条件来确定在安全协商流程前是否需要重新进行通用鉴权架构流程:条件一,用户终端本地是否具有用户密钥信息;条件二,用户卡是否已更换,由当前用户卡的用户标识与所述移动终端的已存IP多媒体私有标识的比较结果得出。
上述的系统,其中,所述用户卡包括但不限于用户身份识别卡、仅支持用户业务标识模块应用的通用集成电路卡或包含IP多媒体业务标识模块的通用集成电路卡。
本发明的技术效果在于:
本发明提出了一种基于通用集成电路卡的增强型的通用鉴权架构的鉴权和换卡处理方法,采用这个方法,在移动终端保存IMPI,从而使得对包含和不包含IP多媒体业务模块的用户终端都能够应用于基于增强型的通用鉴权架构的业务加密和安全鉴权。在本方法中,通过在移动终端保存IMPI,使得在用户终端请求加密业务时,可以通过其得到共享密钥Ks_ext_NAF,来进行与网络侧的安全鉴权。此外,本发明还解决了当换卡后,因为保存的IMPI不同,而出现的网络对用户鉴权失败的问题。
附图说明
图1为现有技术GBA架构的框架图;
图2为本发明方法的步骤流程图;
图3为GBA架构的鉴权初始化的流程图;
图4为GBA鉴权流程的步骤流程图;
图5为鉴权后安全协商流程的步骤流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明进行详细描述。
在进行详细说明之前,需要先区分一下“用户终端”和“移动终端”两个概念。用户终端(UE)一般是包含卡和终端的,移动终端(ME)一般是通常的终端,也就是不包含卡的终端。简单一点理解就是,UE是有用户概念的,ME指单纯的移动终端,是没有用户概念的。
本发明是一种基于GBA_U智能卡的、用于在某个应用业务中进行安全鉴权和换卡时终端的处理方法。在这种方法中,移动终端保存用户的IP多媒体私有标识(IMPI)。当用户进入应用业务后,用户终端除了查询卡是否存有密钥Ks外,还需要从卡读取用户标识来与终端上一次保存的比较,以此两个条件来判断是否需要重新进行GBA流程协商共享密钥。这样使得包含和不包含IP多媒体业务模块的用户终端都能够进行基于增强型的通用鉴权架构的业务加密和鉴权,并且能解决当终端更换一张已存有Ks的卡时,因为没有重新在网络侧和用户间协商共享密钥Ks_ext_NAF(由GBA_U导出的密钥),而导致网络侧对用户鉴权不成功的问题。
图2是为本发明方法的步骤流程图,如图所示,本发明方法包括如下步骤:
步骤201:用户进入业务应用;
步骤202:客户端判断本地是否存有用户密钥信息,如果有进入步骤203否则进入步骤205;
步骤203:终端从智能卡读取用户标识。
该用户标识包括但不限于IMSI(International Mobile Server Identity,国际移动服务器标识)或者IMPI(IP多媒体私有标识)。
步骤204:根据终端上一次已保存的IMPI(第一次为空),判断是否换卡。
如果步骤203中的卡不包含IP多媒体业务模块,则移动终端根据读取的用户标识与IMPI的对应关系,比较读取得用户标识与保存的IMPI是否一致来判断是否换卡;
如果步骤203中的卡包含IP多媒体业务模块,则移动终端根据读取卡中保存的IMPI与终端保存的IMPI是否一致来判断是否换卡。
将两者比较后,如果相同则说明没有换卡,进入步骤208;否则说明用户进行了换卡,需要重新进行GBA,以更新共享密钥Ks_ext_NA,进入步骤207;
步骤205:终端开始GBA的Bootstrapping Initiation(鉴权初始化)流程,获得新插入卡的IMPI并保存在终端;
步骤206:终端开始GBA的Bootstrapping流程,使得卡获得共享密钥Ks及生命周期,跳至步骤208;
步骤207:终端开始GBA的Bootstrapping Initiation流程,获得新插入卡的IMPI并保存在终端;
步骤208:终端通过与卡交互进行Bootstrapped安全协商流程,获得共享密钥Ks_ext_NAF。
步骤209:通过共享密钥Ks_ext_NAF,网络侧在下发需要保密的业务信息时,就可以使用共享密钥Ks_ext_NAF来对注册用户进行鉴权。
其中,Bootstrapping Initiation流程如图3所示,包括:
1.终端通过参考点Ua发送初始化请求信息到网络侧的NAF,其中包含用户标识。
2.网络侧返回是否需要进行GBA流程的指示信息,并返回IP多媒体私有标识IMPI。
GBA的Bootstrapping流程如图4所示,包括:
步骤401,用户设备(UE)向BSF发送GBA请求消息,该消息中含有该用户标识;
步骤402,BSF与HSS交互,获取该用户设备的完整GBA用户的安全设置和鉴权向量信息;
步骤403,BSF向用户设备返回挑战响应信息,该消息中包含鉴权向量信息中的RAND和AUTN,其中AUTN用于验证BSF身份,RAND用于使用户设备获得与BSF相同的加密密钥IK和完整性密钥CK;
步骤404,用户设备利用RAND值,计算AUTN值,并与BSF发送过来的AUTN进行比对,如果一致,则成功认证网络,同时计算出与BSF侧相同的CK和IK及RES(鉴权响应值);这样,BSF和用户设备都拥有了密钥IK和CK;
步骤405,用户设备再次向BSF发送GBA请求信息,并在该消息中携带RES,其中RES用于验证用户设备的身份;
步骤406,BSF通过验证RES有效性以实现对用户设备的鉴权;
步骤407,鉴权成功后,BSF根据从HSS处取得的IK和CK生成Ks,并且根据RAND和BSF服务器名产生事务标识B-TID值,该B-TID能够唯一标识该次Bootstrapping事件,以后NAF可以根据这个值向BSF索取达成的相关密钥Ks_ext_NAF,此外还为共享密钥Ks定义一个有效期,该有效期主要用于Ks的更新;
步骤408,BSF向用户设备返回200 OK消息通知认证成功,其中携带B-TID和Ks的有效期信息。也即是,BSF为标识和用户设备之间的本次鉴权交互业务而分配一个B-TID,使该BTID与Ks,用户设备的私有标识相关联,以便以后BSF可以根据该B-TID查找出Ks。
步骤409,用户设备接收到信息后,保存得到的B-TID和Ks的有效期,并生成Ks,该共享密钥Ks是作为根密钥来使用的,用于衍生出与NAF通信时的加密密钥。
通过GBA的鉴权流程,用户设备和BSF之间就共享了一个根密钥Ks。
Bootstrapped安全协商流程过程如图5所示:
1.终端发送NAF_ID和IMPI到卡,请求共享密钥Ks_ext_NAF。
2.卡使用上一次GBA_U Bootstrapping过程中生成的共享密钥Ks,并通过KDF算法分散获得Ks_ext_NAF和Ks_int_NAF,并将共享密钥Ks_ext_NAF返回给终端。
3.通过共享密钥Ks_ext_NAF,网络侧在下发信息时即可对终端用户进行安全鉴权。
由上可知,在本发明方法中,终端保存用户的IP多媒体私有标识(IMPI),终端除了查询卡是否存有密钥Ks外,还需要从卡读取用户标识来与终端上一次保存的比较,以此两个条件来判断是否需要重新进行GBA流程协商共享密钥。这样使得包含和不包含IP多媒体业务模块的用户终端都能够进行基于增强型的通用鉴权架构的业务加密和鉴权,并且能解决当终端更换一张已存有Ks的卡时,因为没有重新在网络侧和用户间协商共享密钥Ks_ext_NAF(由GBA_U导出的密钥),而导致网络侧对用户鉴权不成功的问题。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种应用业务的安全鉴权和换卡处理方法,用于基于通用集成电路卡的增强型的通用鉴权架构,其特征在于,包括:在移动终端保存上一次使用过的用户卡的IP多媒体私有标识,在用户进入业务应用后,根据以下条件来确定在安全协商流程前是否需要重新进行通用鉴权架构流程:
条件一,用户终端是否具有用户密钥信息;
条件二,用户卡是否已更换,由当前用户卡的用户标识与所述移动终端的已存IP多媒体私有标识的比较结果得出。
2.根据权利要求1所述的方法,其特征在于,如果所述用户终端不具有用户密钥信息,或用户卡已更换,则需要重新进行通用鉴权架构流程;
如果所述用户终端具有用户密钥信息,且用户卡未更换,则不需要重新进行通用鉴权架构流程。
3.根据权利要求2所述的方法,其特征在于,包括如下步骤:
步骤一,在用户进入业务应用后,用户终端判断本地是否存有用户密钥信息,是则执行步骤二,否则执行步骤四;
步骤二,移动终端读取当前用户卡的用户标识;
步骤三,判断是否已更换用户卡,是则执行步骤五,否则执行步骤六;
步骤四,进行鉴权初始化过程,从网络侧获取当前用户卡的IP多媒体私有标识并存储到移动终端中;移动终端开始通用鉴权架构流程的鉴权流程,使得当前用户卡获得用户密钥信息及生命周期,转步骤六;
步骤五,进行鉴权初始化过程,从网络侧获取当前用户卡的IP多媒体私有标识并存储到移动终端中;
步骤六,移动终端与当前用户卡进行安全协商流程,获取共享密钥;
步骤七,网络侧在下发业务信息时,可以使用共享密钥来对用户进行安全鉴权。
4.根据权利要求3所述的方法,其特征在于,在所述步骤二中,所述用户标识包括但不限于国际移动服务器标识、IP多媒体私有标识。
5.根据权利要求3所述的方法,其特征在于,在所述步骤六中,移动终端通过IP多媒体私有标识获得共享密钥。
6.根据权利要求3所述的方法,其特征在于,在所述步骤三中,判断用户是否换卡,包括但不限于通过比较当前用户标识与上次保存下来的IP多媒体私有标识是否一致。
7.一种应用业务的安全鉴权和换卡处理系统,用于基于通用集成电路卡的增强型的通用鉴权架构,其特征在于,该系统包括:
装置1,用于在移动终端保存上一次使用过的用户卡的IP多媒体私有标识;
装置2,用于在用户进入业务应用后,根据以下条件来确定在安全协商流程前是否需要重新进行通用鉴权架构流程:条件一,用户终端本地是否具有用户密钥信息;条件二,用户卡是否已更换,由当前用户卡的用户标识与所述移动终端的已存IP多媒体私有标识的比较结果得出。
8.根据权利要求7所述的系统,其特征在于,所述用户卡包括但不限于用户身份识别卡、仅支持用户业务标识模块应用的通用集成电路卡或包含IP多媒体业务标识模块的通用集成电路卡。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100994820A CN101312395B (zh) | 2007-05-22 | 2007-05-22 | 一种应用业务的安全鉴权和换卡处理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100994820A CN101312395B (zh) | 2007-05-22 | 2007-05-22 | 一种应用业务的安全鉴权和换卡处理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101312395A CN101312395A (zh) | 2008-11-26 |
| CN101312395B true CN101312395B (zh) | 2012-03-28 |
Family
ID=40100828
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100994820A Active CN101312395B (zh) | 2007-05-22 | 2007-05-22 | 一种应用业务的安全鉴权和换卡处理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101312395B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101833635B (zh) * | 2010-05-11 | 2014-07-02 | 中兴通讯股份有限公司 | 一种t卡识别方法及装置 |
| CN112911577B (zh) * | 2021-01-15 | 2022-09-27 | 中国联合网络通信集团有限公司 | 异常情况处理方法及装置、移动设备、用户设备、系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1731878A (zh) * | 2005-09-05 | 2006-02-08 | 中国移动通信集团公司 | 对移动终端中用户信息进行保护的方法 |
| CN1845600A (zh) * | 2006-05-17 | 2006-10-11 | 中国移动通信集团公司 | 移动广播电视业务中实现用户密钥协商的方法及系统 |
| CN1921682A (zh) * | 2005-08-26 | 2007-02-28 | 华为技术有限公司 | 增强通用鉴权框架中的密钥协商方法 |
-
2007
- 2007-05-22 CN CN2007100994820A patent/CN101312395B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1921682A (zh) * | 2005-08-26 | 2007-02-28 | 华为技术有限公司 | 增强通用鉴权框架中的密钥协商方法 |
| CN1731878A (zh) * | 2005-09-05 | 2006-02-08 | 中国移动通信集团公司 | 对移动终端中用户信息进行保护的方法 |
| CN1845600A (zh) * | 2006-05-17 | 2006-10-11 | 中国移动通信集团公司 | 移动广播电视业务中实现用户密钥协商的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101312395A (zh) | 2008-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111314056B (zh) | 基于身份加密体制的天地一体化网络匿名接入认证方法 | |
| KR101485230B1 (ko) | 안전한 멀티 uim 인증 및 키 교환 | |
| KR101438243B1 (ko) | Sim 기반 인증방법 | |
| US10003965B2 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
| US9467432B2 (en) | Method and device for generating local interface key | |
| CN101189827B (zh) | 综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端 | |
| CN105554747B (zh) | 无线网络连接方法、装置及系统 | |
| US9693226B2 (en) | Method and apparatus for securing a connection in a communications network | |
| CN110858969A (zh) | 客户端注册方法、装置及系统 | |
| AU2020200523B2 (en) | Methods and arrangements for authenticating a communication device | |
| CN101102186B (zh) | 通用鉴权框架推送业务实现方法 | |
| US20190253407A1 (en) | Mobile identity for single sign-on (sso) in enterprise networks | |
| US20210165885A1 (en) | Extended Authentication Method And Apparatus For Generic Bootstrapping Architecture, And Storage Medium | |
| CN100550725C (zh) | 一种用户与应用服务器协商共享密钥的方法 | |
| CN101039181B (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN101052032B (zh) | 一种业务实体认证方法及装置 | |
| US20080181401A1 (en) | Method of Establishing a Secure Communication Link | |
| CN103024735B (zh) | 无卡终端的业务访问方法及设备 | |
| CN102378174A (zh) | 一种sim卡的用户终端的接入方法、装置及系统 | |
| CN101030862B (zh) | 非ip多媒体业务ue的鉴权方法、鉴权网络及ue | |
| CN101312395B (zh) | 一种应用业务的安全鉴权和换卡处理方法及系统 | |
| KR101431214B1 (ko) | 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템 | |
| CN102685742B (zh) | 一种wlan接入认证方法和装置 | |
| CN106789076B (zh) | 服务器与智能设备的交互方法及装置 | |
| FI115097B (fi) | Todentaminen dataviestinnässä |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |