專利名稱:一種數(shù)據(jù)終端接入服務(wù)器的鑒權(quán)方法
一種數(shù)據(jù)終端接入服務(wù)器的鑒權(quán)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種數(shù)據(jù)終端接入服務(wù)器的鑒權(quán)方法。背景技術(shù):
常用的手機(jī)用戶鑒權(quán)接入方法是認(rèn)證網(wǎng)元和SIM卡都持有密鑰 Ki (Authentication key鑒權(quán)密鑰,Ki就是GSM系統(tǒng)中加密解密中的密鑰),由認(rèn)證網(wǎng)元產(chǎn)生一個(gè)隨機(jī)數(shù)發(fā)給手機(jī)端,手機(jī)端用SIM卡里面的密鑰Ki對該隨機(jī)數(shù)進(jìn)行加密運(yùn)算得到 XRES (Expected response期望響應(yīng)),然后再將XRES上傳給認(rèn)證網(wǎng)元,所述認(rèn)證網(wǎng)元解密 XRES,并判斷是否是由密鑰Ki加密而成的,從而來完成接入鑒權(quán)。存在于2G網(wǎng)絡(luò)的接入鑒權(quán)方法不足之處是必須由認(rèn)證網(wǎng)元產(chǎn)生隨機(jī)數(shù)并發(fā)送給手機(jī),然后通過SIM卡的密鑰Ki加密后再回送給認(rèn)證網(wǎng)元進(jìn)行判斷其合法性,這樣的認(rèn)證流程至少需要1. 5個(gè)來回的數(shù)據(jù)交互才能完成。
發(fā)明內(nèi)容本發(fā)明要解決的技術(shù)問題,在于提供一種數(shù)據(jù)終端接入服務(wù)器的鑒權(quán)方法,它能夠簡化鑒權(quán)流程,而且安全性高。本發(fā)明是這樣實(shí)現(xiàn)的一種數(shù)據(jù)終端接入服務(wù)器的鑒權(quán)方法,具體包括如下步驟步驟10、將接入鑒權(quán)密鑰植入到安全模塊,并將該接入鑒權(quán)密鑰與該安全模塊的 ID綁定保存到服務(wù)器的數(shù)據(jù)庫;步驟20、將所述安全模塊安裝到數(shù)據(jù)終端,數(shù)據(jù)終端連接到服務(wù)器,并記錄下連接服務(wù)器成功的時(shí)間點(diǎn);步驟30、將上述時(shí)間點(diǎn)送入安全模塊的接入鑒權(quán)密鑰進(jìn)行加密運(yùn)算得到加密數(shù)據(jù) DCI (ciphertext data 密文數(shù)據(jù));步驟40、將加密數(shù)據(jù)DCI與該安全模塊的ID上傳到服務(wù)器;步驟50、服務(wù)器的鑒權(quán)中心根據(jù)安全模塊的ID對所述加密數(shù)據(jù)DCI進(jìn)行解密得到數(shù)據(jù) DPL (plaintext data 明文數(shù)據(jù));步驟60、服務(wù)器判斷DPL與鑒權(quán)中心當(dāng)前時(shí)間點(diǎn)的時(shí)間差,如果時(shí)間差在預(yù)設(shè)的時(shí)間范圍內(nèi),則鑒權(quán)成功,如果時(shí)間差超過預(yù)設(shè)的時(shí)間范圍,則鑒權(quán)失敗。進(jìn)一步的,所述步驟50中,鑒權(quán)中心對所述加密數(shù)據(jù)DCI進(jìn)行解密得到數(shù)據(jù)DPL, 如果數(shù)據(jù)DPL無效,則鑒權(quán)失敗。進(jìn)一步的,所述安全模塊的接入鑒權(quán)密鑰為112bit長的對稱加密算法,所述對稱加密算法使用的加密算法為3DES算法(Data Encryption Mandard數(shù)據(jù)加密標(biāo)準(zhǔn))。進(jìn)一步的,所述數(shù)據(jù)終端設(shè)置有可掉電運(yùn)行的第一 RTC(Real TimeClock實(shí)時(shí)時(shí)鐘),所述數(shù)據(jù)終端通過所述第一 RTC記錄連接服務(wù)器成功的時(shí)間點(diǎn),所述鑒權(quán)中心也設(shè)置有第二 RTC,所述鑒權(quán)中心通過第二 RTC記錄解密DCI得到數(shù)據(jù)DPL后的當(dāng)前時(shí)間點(diǎn)。
本發(fā)明具有如下優(yōu)點(diǎn)本發(fā)明是利用數(shù)據(jù)終端和服務(wù)器的時(shí)間差不能有較大偏差的特點(diǎn),再利用安全模塊特有的加密功能完成接入鑒權(quán)的識(shí)別,本發(fā)明數(shù)據(jù)交互少,不受數(shù)據(jù)終端本身型號(hào)的限制,大大簡化了鑒權(quán)流程;安全性高,不容易被破解,因?yàn)闀r(shí)間是唯一的,不可能重復(fù),接入鑒權(quán)的密鑰被保存在安全模塊里面,密鑰的存儲(chǔ)是安全的,采用時(shí)間作為接入鑒權(quán)的依據(jù), 在一次網(wǎng)絡(luò)鏈接中可以有效的限制這段時(shí)間內(nèi)的攻擊次數(shù),防止惡意攻擊。
下面參照附圖結(jié)合實(shí)施例對本發(fā)明作進(jìn)一步的說明。圖1為本發(fā)明安全模塊植入密鑰的方法示意圖。圖2為本發(fā)明安全模塊失活密鑰的方法示意圖。圖3為本發(fā)明數(shù)據(jù)終端與服務(wù)器的接入鑒權(quán)流程示意圖。
具體實(shí)施方式請參閱圖1至圖3所示,對本發(fā)明的實(shí)施例進(jìn)行詳細(xì)的說明。本發(fā)明一種數(shù)據(jù)終端接入服務(wù)器的鑒權(quán)方法,它包括若干通過GPRS網(wǎng)絡(luò)連接的數(shù)據(jù)終端,服務(wù)器,安全模塊密鑰植入軟件、安全模塊失活軟件,所述數(shù)據(jù)終端安裝有一安全模塊,所述服務(wù)器設(shè)置有鑒權(quán)中心,所述安全模塊通過安全模塊密鑰植入軟件植入接入鑒權(quán)密鑰Ki,通過安全模塊失活軟件進(jìn)行失活接入鑒權(quán)密鑰Ki。如圖1,首先隨機(jī)生成了一個(gè)接入鑒權(quán)密鑰,然后將該接入鑒權(quán)密鑰與當(dāng)前安全模塊的ID綁定保存到服務(wù)器的數(shù)據(jù)庫里面,在安全環(huán)境下將接入鑒權(quán)密鑰植入安全模塊,則植入成功。如圖2,首先讀取安全模塊的ID,然后解除安全模塊ID與接入鑒權(quán)密鑰的綁定關(guān)系,刪除服務(wù)器數(shù)據(jù)庫中接入鑒權(quán)數(shù)據(jù)與安全模塊ID的信息,對安全模塊進(jìn)行失活操作, 則失活成功。當(dāng)安全模塊授權(quán)植入了接入鑒權(quán)密鑰,并將該接入鑒權(quán)密鑰與該安全模塊的ID 綁定保存到服務(wù)器的數(shù)據(jù)庫,,將所述安全模塊安裝到數(shù)據(jù)終端。然后進(jìn)行服務(wù)器與數(shù)據(jù)終端之間的接入鑒權(quán)。結(jié)合圖3,數(shù)據(jù)終端連接到服務(wù)器,并記錄下連接服務(wù)器成功的時(shí)間點(diǎn);將上述時(shí)間點(diǎn)送入安全模塊的接入鑒權(quán)密鑰進(jìn)行加密運(yùn)算得到加密數(shù)據(jù)DCI ;將加密數(shù)據(jù)DCI與該安全模塊的ID上傳到服務(wù)器;服務(wù)器的鑒權(quán)中心根據(jù)安全模塊的ID對所述加密數(shù)據(jù)DCI 進(jìn)行解密得到數(shù)據(jù)DPL ;如果數(shù)據(jù)DPL無效,則鑒權(quán)失敗,鑒權(quán)中心主動(dòng)斷開網(wǎng)絡(luò)連接;如果 DPL有效,則服務(wù)器判斷DPL與鑒權(quán)中心當(dāng)前時(shí)間點(diǎn)的時(shí)間差,如果時(shí)間差在預(yù)設(shè)的時(shí)間范圍內(nèi),則鑒權(quán)成功,鑒權(quán)中心繼續(xù)保持網(wǎng)絡(luò)連接并將數(shù)據(jù)通訊鏈路交付給服務(wù)器,如果時(shí)間差超過預(yù)設(shè)的時(shí)間范圍,則鑒權(quán)失敗,鑒權(quán)中心向數(shù)據(jù)終端發(fā)送對時(shí)命令,然后斷開網(wǎng)絡(luò)連接。本發(fā)明中預(yù)設(shè)的時(shí)間范圍是一個(gè)變量,由實(shí)際布點(diǎn)的網(wǎng)絡(luò)環(huán)境決定,如果網(wǎng)絡(luò)環(huán)境好, 可以縮短時(shí)間,如果網(wǎng)絡(luò)環(huán)境惡劣,可以適當(dāng)延遲時(shí)間,本實(shí)施例中采取5分鐘。本實(shí)施例中所述安全模塊的接入鑒權(quán)密鑰為112bit長的對稱加密算法,所述對稱加密算法使用的加密算法為3DES算法。所述數(shù)據(jù)終端設(shè)置有可掉電運(yùn)行的第一 RTC,所述數(shù)據(jù)終端通過所述第一 RTC記錄連接服務(wù)器成功的時(shí)間點(diǎn),所述鑒權(quán)中心也設(shè)置有第二RTC,所述鑒權(quán)中心通過第二 RTC記錄解密DCI得到數(shù)據(jù)DPL后的當(dāng)前時(shí)間點(diǎn)。如果數(shù)據(jù)終端收到鑒權(quán)中心的對時(shí)命令,則需要進(jìn)行第一 RTC與第二 RTC的對時(shí)操作后再次連接服務(wù)器進(jìn)行接入鑒權(quán)。本發(fā)明大大簡化了鑒權(quán)流程;安全性高,不容易被破解,因?yàn)闀r(shí)間是唯一的,不可能重復(fù),接入鑒權(quán)的密鑰被保存在安全模塊里面,密鑰的存儲(chǔ)是安全的,采用時(shí)間作為接入鑒權(quán)的依據(jù),在一次網(wǎng)絡(luò)鏈接中可以有效的限制這段時(shí)間內(nèi)的攻擊次數(shù),防止惡意攻擊。以上所述,僅為本發(fā)明較佳實(shí)施例而已,故不能依此限定本發(fā)明實(shí)施的范圍,即依本發(fā)明專利范圍及說明書內(nèi)容所作的等效變化與修飾,皆應(yīng)仍屬本發(fā)明涵蓋的范圍內(nèi)。
權(quán)利要求
1.一種數(shù)據(jù)終端接入服務(wù)器的鑒權(quán)方法,其特征在于具體包括如下步驟步驟10、將接入鑒權(quán)密鑰植入到安全模塊,并將該接入鑒權(quán)密鑰與該安全模塊的ID綁定保存到服務(wù)器的數(shù)據(jù)庫;步驟20、將所述安全模塊安裝到數(shù)據(jù)終端,數(shù)據(jù)終端連接到服務(wù)器,并記錄下連接服務(wù)器成功的時(shí)間點(diǎn);步驟30、將上述時(shí)間點(diǎn)送入安全模塊的接入鑒權(quán)密鑰進(jìn)行加密運(yùn)算得到加密數(shù)據(jù)DCI ;步驟40、將加密數(shù)據(jù)DCI與該安全模塊的ID上傳到服務(wù)器;步驟50、服務(wù)器的鑒權(quán)中心根據(jù)安全模塊的ID對所述加密數(shù)據(jù)DCI進(jìn)行解密得到數(shù)據(jù)DPL ;步驟60、服務(wù)器判斷DPL與鑒權(quán)中心當(dāng)前時(shí)間點(diǎn)的時(shí)間差,如果時(shí)間差在預(yù)設(shè)的時(shí)間范圍內(nèi),則鑒權(quán)成功,如果時(shí)間差超過預(yù)設(shè)的時(shí)間范圍,則鑒權(quán)失敗。
2.根據(jù)權(quán)利要求1所述的一種數(shù)據(jù)終端接入服務(wù)器的鑒權(quán)方法,其特征在于所述步驟50中,鑒權(quán)中心對所述加密數(shù)據(jù)DCI進(jìn)行解密得到數(shù)據(jù)DPL,如果數(shù)據(jù)DPL無效,則鑒權(quán)失敗。
3.根據(jù)權(quán)利要求1所述的一種數(shù)據(jù)終端接入服務(wù)器的鑒權(quán)方法,其特征在于所述安全模塊的接入鑒權(quán)密鑰為112bit長的對稱加密算法,所述對稱加密算法使用的加密算法為3DES算法。
4.根據(jù)權(quán)利要求1所述的一種數(shù)據(jù)終端接入服務(wù)器的鑒權(quán)方法,其特征在于所述數(shù)據(jù)終端設(shè)置有可掉電運(yùn)行的第一 RTC,所述數(shù)據(jù)終端通過所述第一 RTC記錄連接服務(wù)器成功的時(shí)間點(diǎn),所述鑒權(quán)中心也設(shè)置有第二 RTC,所述鑒權(quán)中心通過第二 RTC記錄解密DCI得到數(shù)據(jù)DPL后的當(dāng)前時(shí)間點(diǎn)。
全文摘要
本發(fā)明提供一種數(shù)據(jù)終端接入服務(wù)器的鑒權(quán)方法,將接入鑒權(quán)密鑰植入到安全模塊,并將密鑰與安全模塊的ID綁定保存到服務(wù)器的數(shù)據(jù)庫;將安全模塊安裝到數(shù)據(jù)終端,數(shù)據(jù)終端連接到服務(wù)器,并記錄下連接服務(wù)器成功的時(shí)間點(diǎn);將上述時(shí)間點(diǎn)送入安全模塊的接入鑒權(quán)密鑰進(jìn)行加密運(yùn)算得到加密數(shù)據(jù)DCI;將加密數(shù)據(jù)DCI與該安全模塊的ID上傳到服務(wù)器;服務(wù)器的鑒權(quán)中心根據(jù)安全模塊的ID對所述加密數(shù)據(jù)DCI進(jìn)行解密得到數(shù)據(jù)DPL;服務(wù)器判斷DPL與鑒權(quán)中心當(dāng)前時(shí)間點(diǎn)的時(shí)間差,如果時(shí)間差在預(yù)設(shè)的時(shí)間范圍內(nèi),則鑒權(quán)成功,如果時(shí)間差超過預(yù)設(shè)的時(shí)間范圍,則鑒權(quán)失敗。本發(fā)明數(shù)據(jù)交互少,不受數(shù)據(jù)終端本身型號(hào)的限制,大大簡化了鑒權(quán)流程;安全性高,不容易被破解。
文檔編號(hào)H04L9/06GK102316110SQ20111027326
公開日2012年1月11日 申請日期2011年9月14日 優(yōu)先權(quán)日2011年9月14日
發(fā)明者吳榮興, 黃海峰 申請人:福建三元達(dá)軟件有限公司