專利名稱:無(wú)卡終端的業(yè)務(wù)訪問(wèn)方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域����,尤其涉及一種無(wú)卡終端的業(yè)務(wù)訪問(wèn)方法及設(shè)備�。
背景技術(shù):
在移動(dòng)網(wǎng)絡(luò)環(huán)境下,用戶使用終端訪問(wèn)某些業(yè)務(wù)時(shí)��,需要基于用戶密鑰實(shí)現(xiàn)終端與業(yè)務(wù)服務(wù)器的相互認(rèn)證并利用用戶密鑰加密傳輸某些機(jī)密數(shù)據(jù)��,由此可見(jiàn)�,用戶密鑰的生成是用戶使用此類業(yè)務(wù)的前提條件。
從用戶使用的設(shè)備中是否帶有SIM/USIM卡(Subscriber Identity Module/ Universal Subscriber Identity Module,用戶識(shí)別卡/全球用戶識(shí)別卡)來(lái)區(qū)分�,目前的終端可以分為兩類有卡終端和無(wú)卡終端。有卡終端中插有SIM/USIM卡,卡中記錄了用戶登錄移動(dòng)通信網(wǎng)絡(luò)的個(gè)性化用戶根密鑰��,與網(wǎng)絡(luò)側(cè)HLR/HSS(Home Location Register/ Home Subscriber Server,歸屬位置寄存器/歸屬用戶服務(wù)器)中記錄的密鑰相同����。最常見(jiàn)的有卡終端如手機(jī)。由于卡中的密鑰已經(jīng)在網(wǎng)絡(luò)側(cè)和終端側(cè)共享���,所以對(duì)于有卡終端���,可以基于該密鑰實(shí)現(xiàn)終端與網(wǎng)絡(luò)平臺(tái)的相互認(rèn)證并生成業(yè)務(wù)層的共享用戶密鑰。目前3GPP 定義了 GBA (Generic Bootstrapping Architecture,通用引導(dǎo)架 構(gòu))����,用于對(duì)有卡終端生成終端與業(yè)務(wù)平臺(tái)共享的用戶密鑰。
由于無(wú)卡終端中沒(méi)有插SM/US頂卡�,終端中不包含任何能夠用于認(rèn)證用戶身份的密鑰或秘密信息,所以無(wú)法像有卡終端這樣通過(guò)GBA流程生成終端與業(yè)務(wù)平臺(tái)共享的用戶密鑰��。因此��,在現(xiàn)有的終端業(yè)務(wù)訪問(wèn)技術(shù)中���,無(wú)卡終端難以利用GBA流程直接訪問(wèn)網(wǎng)絡(luò)業(yè)務(wù)�����。
隨著無(wú)卡終端(例如�,PC����、筆記本、機(jī)頂盒�����、平板電腦和電子閱讀器等),尤其是以平板電腦為代表的無(wú)卡終端越來(lái)越流行和普及����,由此帶來(lái)的無(wú)卡終端無(wú)法利用GBA流程直接訪問(wèn)網(wǎng)絡(luò)業(yè)務(wù)的問(wèn)題亟待解決。發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了一種無(wú)卡終端的業(yè)務(wù)訪問(wèn)方法及設(shè)備�����,用以解決無(wú)卡終端難以利用GBA流程直接訪問(wèn)網(wǎng)絡(luò)業(yè)務(wù)的問(wèn)題�����,增強(qiáng)無(wú)卡終端對(duì)網(wǎng)絡(luò)業(yè)務(wù)訪問(wèn)的便捷性����。
本發(fā)明實(shí)施例提供的無(wú)卡終端的業(yè)務(wù)訪問(wèn)方法,包括以下步驟
有卡終端接收無(wú)卡終端發(fā)送的業(yè)務(wù)認(rèn)證請(qǐng)求�����,根據(jù)所述業(yè)務(wù)認(rèn)證請(qǐng)求為所述無(wú)卡終端生成用戶密鑰����,并根據(jù)所述用戶密鑰���,通過(guò)與網(wǎng)絡(luò)側(cè)交互對(duì)所述無(wú)卡終端進(jìn)行認(rèn)證;
所述有卡終端在所述無(wú)卡終端認(rèn)證通過(guò)后�,根據(jù)接收到的所述無(wú)卡終端發(fā)送的業(yè)務(wù)交互請(qǐng)求與網(wǎng)絡(luò)側(cè)進(jìn)行業(yè)務(wù)交互。
本發(fā)明實(shí)施例提供的有卡終端���,包括
第一接收模塊,用于接收無(wú)卡終端發(fā)送的業(yè)務(wù)認(rèn)證請(qǐng)求�;以及,接收無(wú)卡終端發(fā)送的業(yè)務(wù)交互請(qǐng)求�;
安全模塊,用于根據(jù)所述業(yè)務(wù)認(rèn)證請(qǐng)求為所述無(wú)卡終端生成用戶密鑰���,并根據(jù)所述用戶密鑰����,通過(guò)網(wǎng)絡(luò)側(cè)對(duì)所述無(wú)卡終端進(jìn)行認(rèn)證����;以及,在網(wǎng)絡(luò)側(cè)對(duì)所述無(wú)卡終端認(rèn)證通過(guò)后�,根據(jù)所述第一接收模塊接收到的所述無(wú)卡終端發(fā)送的業(yè)務(wù)交互請(qǐng)求與網(wǎng)絡(luò)側(cè)進(jìn)行業(yè)務(wù)交互。
本發(fā)明實(shí)施例提供的無(wú)卡終端����,包括
安全模塊����,用于與有卡終端建立安全通道��;
客戶端模塊���,用于通過(guò)所述安全通道向有卡終端發(fā)送業(yè)務(wù)認(rèn)證請(qǐng)求����,以使有卡終端根據(jù)所述業(yè)務(wù)認(rèn)證請(qǐng)求為所述無(wú)卡終端生成用戶密鑰�,并根據(jù)所述用戶密鑰,通過(guò)與網(wǎng)絡(luò)側(cè)交互對(duì)所述無(wú)卡終端進(jìn)行認(rèn)證����;以及,通過(guò)所述安全通道向有卡終端發(fā)送業(yè)務(wù)交互請(qǐng)求�,以使有卡終端與網(wǎng)絡(luò)側(cè)進(jìn)行業(yè)務(wù)交互。
與現(xiàn)有技術(shù)相比����,本發(fā)明的上述實(shí)施例具有以下有益技術(shù)效果
本發(fā)明實(shí)施例通過(guò)有卡終端在接收到無(wú)卡終端的發(fā)起的認(rèn)證請(qǐng)求后,根據(jù)該業(yè)務(wù)認(rèn)證請(qǐng)求為無(wú)卡終端生成用戶密鑰����,并根據(jù)該用戶密鑰�����,通過(guò)網(wǎng)絡(luò)側(cè)對(duì)所述無(wú)卡終端進(jìn)行認(rèn)證����,并在網(wǎng)絡(luò)側(cè)對(duì)無(wú)卡終端認(rèn)證通過(guò)后��,根據(jù)接收到的無(wú)卡終端發(fā)送的業(yè)務(wù)交互請(qǐng)求與網(wǎng)絡(luò)側(cè)進(jìn)行業(yè)務(wù)交互���,由此可以為不具備訪問(wèn)網(wǎng)絡(luò)能力的無(wú)卡終端提供網(wǎng)絡(luò)接入通道,使其可以訪問(wèn)業(yè)務(wù)平臺(tái)�����,增強(qiáng)了無(wú)卡終端對(duì)網(wǎng)絡(luò)業(yè)務(wù)訪問(wèn)的便捷性�。
圖1為本發(fā)明實(shí)施例提供的無(wú)卡終端的業(yè)務(wù)訪問(wèn)方法的步驟流程圖2為本發(fā)明實(shí)施例提供的無(wú)卡終端的業(yè)務(wù)訪問(wèn)方法的信令示意圖3為本發(fā)明實(shí)施例提供的有卡終端的中間件生成無(wú)卡終端用戶密鑰以及無(wú)卡終端的用戶密鑰的引導(dǎo)標(biāo)識(shí) 的步驟流程圖4為本發(fā)明實(shí)施例提供的BSF生成無(wú)卡終端用戶密鑰的驗(yàn)證密鑰的步驟流程圖5為本發(fā)明實(shí)施例提供的有卡終端的結(jié)構(gòu)示意圖6為本發(fā)明實(shí)施例提供的無(wú)卡終端的結(jié)構(gòu)示意圖。
具體實(shí)施方式
下面結(jié)合附圖對(duì)本發(fā)明的技術(shù)方案進(jìn)行清楚�����、完整的描述����,顯然�,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例����,而不是全部的實(shí)施例?���;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�,都屬于本發(fā)明的保護(hù)范圍。
本發(fā)明實(shí)施例所適用的業(yè)務(wù)訪問(wèn)系統(tǒng)架包括有卡終端�、無(wú)卡終端、網(wǎng)絡(luò)應(yīng)用平臺(tái)(Network Application Function, NAF)和初始化服務(wù)器(Bootstrapping server function, BSF)���。其中���,NAF在本實(shí)施例中主要用于與有卡終端進(jìn)行業(yè)務(wù)認(rèn)證以及業(yè)務(wù)交互;BSF主要用于生成無(wú)卡終端的用戶密鑰并發(fā)送給NAF����,以使NAF與有卡終端進(jìn)行業(yè)務(wù)認(rèn)證;有卡終端是不帶有SM/USIM卡的設(shè)備�����,例如PC、筆記本��、機(jī)頂盒���、平板電腦和電子閱讀器等�;無(wú)卡終端是具有SM/USIM卡的設(shè)備�,例如手機(jī)等。
本系統(tǒng)中的有卡終端作為無(wú)卡終端的代理����,為無(wú)卡終端提供用戶密鑰生成�����、用戶認(rèn)證��、網(wǎng)絡(luò)接入等功能����。無(wú)卡終端不參與用戶密鑰生成、用戶認(rèn)證��、網(wǎng)絡(luò)接入等功能的實(shí)現(xiàn),無(wú)卡終端上的業(yè)務(wù)客戶端無(wú)需關(guān)心密鑰協(xié)商�����、用戶認(rèn)證等流程和業(yè)務(wù)通道安全性����,只需要按業(yè)務(wù)客戶端邏輯向有卡終端發(fā)起業(yè)務(wù)交互流程,再由有卡終端通過(guò)代理機(jī)制向NAF發(fā)送����。
基于前述系統(tǒng)架構(gòu),本發(fā)明實(shí)施例提供的無(wú)卡終端的業(yè)務(wù)訪問(wèn)流程可如圖1所示��,包括
步驟101���,無(wú)卡終端與有卡終端之間建立安全通道����。
具體實(shí)施時(shí)��,無(wú)卡終端與有卡終端可利用各自存儲(chǔ)的共享密鑰(PSK)相互認(rèn)證并建立安全通道�����。
步驟102,無(wú)卡終端需要接入NAF進(jìn)行業(yè)務(wù)訪問(wèn)時(shí)���,通過(guò)安全通道向有卡終端發(fā)送業(yè)務(wù)認(rèn)證請(qǐng)求��。
步驟103�����,有卡終端根據(jù)該業(yè)務(wù)認(rèn)證請(qǐng)求為該無(wú)卡終端生成用戶密鑰�����。
具體實(shí)施時(shí),所述業(yè)務(wù)認(rèn)證請(qǐng)求中可攜帶NAF ID(NAF標(biāo)識(shí))��、Device ID(發(fā)起該業(yè)務(wù)認(rèn)證請(qǐng)求的無(wú)卡終端的設(shè)備標(biāo)識(shí))等參數(shù)�,有卡終端可根據(jù)該業(yè)務(wù)認(rèn)證請(qǐng)求中攜帶的 NAF ID和Ks (Ks是有卡終端與BSF之間的共享密鑰����,即根密鑰)計(jì)算得到業(yè)務(wù)訪問(wèn)密鑰Ks_ NAF����,然后根據(jù)Ks_NAF、Device ID等參數(shù)生成用戶密鑰TempK_NAF和TB-TID�����,TB-TID即臨時(shí) B-TID (Bootstrapping transaction identifier,引導(dǎo)業(yè)務(wù)標(biāo)識(shí))。
步驟104�����,有卡終端使用該用戶密鑰�,通過(guò)網(wǎng)絡(luò)側(cè)對(duì)該無(wú)卡終端進(jìn)行業(yè)務(wù)認(rèn)證。
具體實(shí)施時(shí)�,有卡終端向NAF發(fā)起業(yè)務(wù)認(rèn)證請(qǐng)求,其中攜帶有為該無(wú)卡終端生成的TB-TID�����,NAF向BSF發(fā)起獲取用戶密鑰的請(qǐng)求���,其中攜帶有TB-TID和NAF ID �����;BSF解析 TB-TID得到DeviceID�、B-TID和用戶密鑰的效期(Expire Date)�����,并根據(jù)NAF ID和Ks計(jì)算得到業(yè)務(wù)訪問(wèn)密鑰Ks_NAF,然后根據(jù)Ks_NAF����、DeviceID等參數(shù)生成用戶密鑰TempK_NAF,并返回給NAF �;NAF和有卡終端之間基于為無(wú)卡終端生成的TempK_NAF對(duì)該無(wú)卡終端進(jìn)行業(yè)務(wù)認(rèn)證。
步驟105��,若該無(wú)卡終端認(rèn)證通過(guò)��,則該無(wú)卡終端可通過(guò)與有卡終端之間的安全通道向有卡終端發(fā)送業(yè)務(wù)交互請(qǐng)求�����,該有卡終端將該業(yè)務(wù)交互請(qǐng)求發(fā)送給NAF�����,并在接收到 NAF返回的業(yè)務(wù)響應(yīng)后����,通過(guò)該安全通道將該業(yè)務(wù)響應(yīng)發(fā)送給該無(wú)卡終端。其間���,根據(jù)業(yè)務(wù)需要����,有卡終端可以使用為該無(wú)卡終端生成的用戶密鑰TempK_NAF對(duì)發(fā)送給NAF的數(shù)據(jù)進(jìn)行加密�����;NAF可使用該無(wú)卡終端的用戶密鑰TempK_NAF對(duì)業(yè)務(wù)響應(yīng)進(jìn)行加密后發(fā)送給有卡終端�,此種情況下,有卡終端可以使用為該無(wú)卡終端生成的用戶密鑰TempK_NAF對(duì)接收到的業(yè)務(wù)響應(yīng)數(shù)據(jù)進(jìn)行解密���,然后將解密后的業(yè)務(wù)響應(yīng)發(fā)送給無(wú)卡終端����。
通過(guò)以上流程可以看出���,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)
1���、為不具備訪問(wèn)網(wǎng)絡(luò)能力的無(wú)卡終端提供網(wǎng)絡(luò)接入通道,使其可以訪問(wèn)業(yè)務(wù)平臺(tái)��,增強(qiáng)了無(wú)卡終端對(duì)網(wǎng)絡(luò)業(yè)務(wù)訪問(wèn)的便捷性���。
2�、無(wú)卡終端不參與用戶密鑰生成�、網(wǎng)絡(luò)接入以及用戶認(rèn)證等流程,只需要向有卡終端發(fā)起業(yè)務(wù)交互請(qǐng)求,再由有卡終端通過(guò)代理機(jī)制向業(yè)務(wù)平臺(tái)發(fā)送�����,實(shí)現(xiàn)有卡終端作為無(wú)卡終端的代理接入網(wǎng)絡(luò)訪問(wèn)業(yè)務(wù)平臺(tái)�����。
3�����、無(wú)卡終端利用有卡終端通過(guò)代理方式接入網(wǎng)絡(luò)訪問(wèn)業(yè)務(wù)平臺(tái)��,有卡終端接入的網(wǎng)絡(luò)與業(yè)務(wù)平臺(tái)所屬網(wǎng)絡(luò)相同,保證了無(wú)卡終端訪問(wèn)業(yè)務(wù)平臺(tái)鏈路的QoS(Quality of Service���,服務(wù)質(zhì)量),可以通過(guò)統(tǒng)一的網(wǎng)絡(luò)規(guī)劃和升級(jí)來(lái)降低信令響應(yīng)時(shí)延和數(shù)據(jù)包丟失。
4��、無(wú)論TempK_NAF還是Ks_NAF都不出有卡終端��,有效消除了無(wú)卡終端通過(guò)TempK_NAF推算出有卡終端Ks_NAF的風(fēng)險(xiǎn)�����,提高了有卡終端上業(yè)務(wù)客戶端用戶密鑰的安全性��。
5、有卡終端使得無(wú)卡終端在有限的時(shí)間內(nèi)以有卡終端的用戶身份使用業(yè)務(wù)���,有效期過(guò)后,為無(wú)卡終端生成的用戶密鑰作廢,另外�����,在有卡終端與無(wú)卡終端之間建立安全通道,以保證設(shè)備的認(rèn)證和連接的保密性�����。
本發(fā)明實(shí)施例在具體實(shí)施時(shí)���,可通過(guò)在有卡終端和無(wú)卡終端上分別部署一個(gè)安全模塊(Secure Module, SeM),來(lái)實(shí)現(xiàn)有卡終端代理無(wú)卡終端進(jìn)行業(yè)務(wù)認(rèn)證和網(wǎng)絡(luò)接入的功能。無(wú)卡終端上的SeM模塊包括接口層�,有卡終端上的SeM模塊包括接口層和中間件。其中���,接口層可以采用多種軟件或硬件形式����,來(lái)保證有卡終端上中間件與無(wú)卡終端的業(yè)務(wù)客戶端間接口的通信安全。有卡終端上的SeM模塊中的中間件作為一種通用能力,可以為多個(gè)無(wú)卡終端、多個(gè)業(yè)務(wù)客戶端提供用戶密鑰生成���、用戶認(rèn)證����、網(wǎng)絡(luò)接入等功能。
基于以上有卡終端和無(wú)卡終端的結(jié)構(gòu),本發(fā)明實(shí)施例提供的無(wú)卡終端的用戶密鑰生成、用戶認(rèn)證���、網(wǎng)絡(luò)接入以及業(yè)務(wù)交互過(guò)程的信令流程可如圖2所示�。
其中���,在GBA初始化過(guò)程中�����,有卡終端中的密鑰運(yùn)算模塊和BSF之間協(xié)商共享密鑰���,即,有卡終端的GBA密鑰運(yùn)算模塊利用SM/USM卡計(jì)算鑒權(quán)信息與BSF認(rèn)證���,實(shí)現(xiàn)GBA 初始化過(guò)程,并生成有卡終端的根密鑰Ks�����。
以下結(jié)合圖1及圖2詳細(xì)說(shuō)明GBA初始化過(guò)程之后的用戶密鑰生成��、用戶認(rèn)證以及業(yè)務(wù)交互過(guò)程,如圖2所示�����,該過(guò)程包括
無(wú)卡終端和有卡終端之間建立安全通道(對(duì)應(yīng)圖1中的步驟101)
其中,無(wú)卡終端的SeM模塊的接口層與有卡終端的SeM模塊的接口層利用各自存儲(chǔ)的共享密鑰 (PSK)相互認(rèn)證并建立安全通道��。其中��,該共享密鑰既可以是預(yù)存的����,也可以是用戶臨時(shí)輸入的口令等。
有卡終端代理無(wú)卡終端進(jìn)行的業(yè)務(wù)認(rèn)證過(guò)程(對(duì)應(yīng)圖1中的步驟102-104)
無(wú)卡終端在需要接入NAF時(shí)�����,無(wú)卡終端的NAF客戶端向有卡終端的SeM模塊中的中間件發(fā)起認(rèn)證請(qǐng)求����,其中攜帶有需要訪問(wèn)的網(wǎng)絡(luò)應(yīng)用平臺(tái)標(biāo)識(shí)(NAF ID)和該無(wú)卡終端標(biāo)識(shí)(Device ID)。
有卡終端的中間件向該有卡終端SM/USM中的密鑰運(yùn)算模塊發(fā)送密鑰請(qǐng)求���,以請(qǐng)求獲取該無(wú)卡終端的業(yè)務(wù)密鑰Ks_NAF ;SM/USIM中的密鑰運(yùn)算模塊接收到中間件的密鑰請(qǐng)求后生成Ks_NAF并發(fā)送給中間件�,該Ks_NAF對(duì)應(yīng)無(wú)卡終端所請(qǐng)求的業(yè)務(wù)平臺(tái)標(biāo)識(shí)NAF ID�。具體的,有卡終端的密鑰運(yùn)算模塊利用Ks���、NAF ID及IP多媒體私有標(biāo)識(shí)(IP Multimedia Private Identity, IMPI)等生成 Ks_NAF�����。密鑰運(yùn)算模塊既可以是在 SIM/USIM 中��,也可以在SM/USIM之外��,比如在終端上的軟件或硬件���。有卡終端的中間件根據(jù)獲得的 Ks_NAF生成無(wú)卡終端的用戶密鑰TempK_NAF以及無(wú)卡終端的用戶密鑰的臨時(shí)TB-TID�。
有卡終端的中間件向NAF發(fā)起業(yè)務(wù)認(rèn)證請(qǐng)求,其中攜帶有為無(wú)卡終端生成的 TB-TID ;NAF接收到中間件發(fā)送的業(yè)務(wù)認(rèn)證請(qǐng)求后��,向BSF發(fā)起密鑰請(qǐng)求���,該密鑰請(qǐng)求中攜帶有自己的NAF ID以及從業(yè)務(wù)認(rèn)證請(qǐng)求中獲取到的TB-TID ;BSF接收到該密鑰請(qǐng)求后生成無(wú)卡終端的用戶密鑰TempK_NAF�,并將該無(wú)卡終端的TempK_NAF發(fā)送給NAF ;有卡終端的中間件與NAF基于為該無(wú)卡終端生成的TempK_NAF為該無(wú)卡終端進(jìn)行認(rèn)證,即��,中間件與NAF 基于TempK_NAF完成HTTP Digest相互認(rèn)證��,認(rèn)證通過(guò)后在有卡終端和NAF之間建立業(yè)務(wù)通信安全通道�。
NAF與有卡終端中間件對(duì)無(wú)卡終端認(rèn)證通過(guò)后,中間件將該認(rèn)證結(jié)果發(fā)送給無(wú)卡終端的NAF客戶端�。
優(yōu)選的,有卡終端可以在用戶界面上向用戶提示無(wú)卡終端的業(yè)務(wù)認(rèn)證請(qǐng)求,并等待用戶選擇是否同意�,若接收到用戶提交的拒絕信息�,則有卡終端拒絕無(wú)卡終端的認(rèn)證請(qǐng)求,若接收到用戶提交的確認(rèn)信息�����,則有卡終端的中間件向密鑰運(yùn)算模塊請(qǐng)求業(yè)務(wù)訪問(wèn)密鑰(Ks_NAF)���。
有卡終端代理無(wú)卡終端進(jìn)行的業(yè)務(wù)交互過(guò)程(對(duì)應(yīng)圖1中的步驟105)
認(rèn)證通過(guò)后的無(wú)卡終端的NAF客戶端向有卡終端中間件發(fā)起下一步業(yè)務(wù)交互請(qǐng)求�����;有卡終端的中間件將該業(yè)務(wù)交互請(qǐng)求通過(guò)有卡終端的接入網(wǎng)絡(luò)發(fā)送給NAF(即通過(guò)該有卡終端與NAF之間建立的業(yè)務(wù)安全通道發(fā)送該業(yè)務(wù)交互請(qǐng)求)���;NAF接收到有卡終端中間件發(fā)來(lái)的業(yè)務(wù)交互請(qǐng)求后進(jìn)行相應(yīng)處理,并將業(yè)務(wù)響應(yīng)發(fā)送給有卡終端的中間件�;有卡終端的中間件接收到NAF發(fā)送的業(yè)務(wù)響應(yīng)后將其發(fā)送給無(wú)卡終端的NAF客戶端;無(wú)卡終端的 NAF客戶端收到業(yè)務(wù)響應(yīng)后進(jìn)行相應(yīng)業(yè)務(wù)處理操作��。
優(yōu)選的��,有卡終端中間件根據(jù)業(yè)務(wù)交互的安全級(jí)別��,可以選擇對(duì)從無(wú)卡終端收到的業(yè)務(wù)交互請(qǐng)求利用該無(wú)卡終端的TempK_NAF進(jìn)行加密��,并將加密后的業(yè)務(wù)交互請(qǐng)求發(fā)送給NAF ;NAF也可以根據(jù)業(yè)務(wù)交互的安全級(jí)別對(duì)發(fā)送給有卡終端中間件的業(yè)務(wù)響應(yīng)�����,使用該無(wú)卡終端的TempK_NAF進(jìn)行加密�。如果有卡終端的中間件接收到的業(yè)務(wù)響應(yīng)進(jìn)行了加密 處理,則該中間件使用對(duì)應(yīng)的TempK_NAF對(duì)該業(yè)務(wù)響應(yīng)進(jìn)行解密��,并將解密后的業(yè)務(wù)響應(yīng)發(fā)送給無(wú)卡終端的NAF客戶端����。
在前述步驟103中,中間件根據(jù)獲得的Ks_NAF生成無(wú)卡終端的用戶密鑰以及無(wú)卡終端的用戶密鑰的引導(dǎo)標(biāo)識(shí)(參見(jiàn)圖3所示)�,具體包括以下步驟
步驟301,中間件根據(jù)策略為無(wú)卡終端的用戶密鑰設(shè)置有效期(Expire Date)����,該用戶密鑰的有效期可針對(duì)不同的用戶以及需要訪問(wèn)的業(yè)務(wù)內(nèi)容不同而靈活設(shè)定,以滿足不同用戶����、不同業(yè)務(wù)的需要。具體操作時(shí)�����,根據(jù)無(wú)卡設(shè)備標(biāo)識(shí)(Device ID)所攜帶的終端類型進(jìn)行判斷如果是機(jī)頂盒、家庭設(shè)備等家庭內(nèi)的終端�,則密鑰有效期長(zhǎng)度可以為I天,則 Expire Date 可以為 2010-3-2012:00:00 :2010-3-21 12:00:00 ;如果是公共 PC 等設(shè)備��,則有效期可以為 I 小時(shí)�,則 Expire Date 可為 2010-3-20 12:00:00 :2010-3-21 13:00:00����。
步驟302,中間件根據(jù)Ks_NAF、Expire Date和Device ID生成用戶密鑰(TempK_ NAF)以及該無(wú)卡終端用戶密鑰的引導(dǎo)標(biāo)識(shí)(TB-TID)�����。
具體的��,TempK_NAF= KDF(Ks_NAF, Device ID, Expire Date);其中��,KDF 是單向摘要函數(shù)����,其包括MD5,SHAUSHA256,或者HMAC算法���。
同時(shí)�����,中間件為無(wú)卡終端的NAF Client生成引導(dǎo)標(biāo)識(shí)TB-TID����。具體的,
有卡終端的密鑰運(yùn)算模塊將Expire Date及TempK_NAF傳送至有卡終端的中間件���;有卡終端的中間件根據(jù)有效期���、無(wú)卡終端設(shè)備標(biāo)識(shí)及引導(dǎo)業(yè)務(wù)標(biāo)識(shí)(Bootstrapping transaction identifier, B-TID)生成無(wú)卡終端的臨時(shí)引導(dǎo)標(biāo)識(shí)TB-TID,例如無(wú)卡終端的臨時(shí)引導(dǎo)業(yè)務(wù)標(biāo)識(shí)為終端標(biāo)識(shí)@有效期@引導(dǎo)業(yè)務(wù)標(biāo)識(shí);其中����,B-TID是有卡終端執(zhí)行過(guò) GBA初始化后,由BSF為有卡終端生成的�����;B-TID用于標(biāo)識(shí)有卡終端的用戶密鑰Ks���。
在前述步驟104中�����,BSF生成無(wú)卡終端用戶密鑰的驗(yàn)證密鑰(參見(jiàn)圖4所示)����,具體包括以下步驟
步驟401,BSF接收到NAF發(fā)送的密鑰請(qǐng)求后��,解析該密鑰請(qǐng)求中攜帶的TB-TID�, 取出 B-TID����、Device ID 和 Expire Date。
步驟402��,BSF判斷該TB-TID的Expire Date是否仍然有效�,若有效,根據(jù)B-TID 查找Ks_NAF�,否則給中間件返回認(rèn)證未通過(guò)的消息。
步驟403��,BSF根據(jù)Ks_NAF計(jì)算無(wú)卡終端用戶密鑰的驗(yàn)證密鑰��,TempK_NAF = KDF(Ks_NAF, Device ID,, Expire Date)����。其中��,KDF 是單向摘要函數(shù)��,其包括 MD5��,SHA1���、 SHA256,或者HMAC算法�。
通過(guò)以上流程可以看出,本發(fā)明實(shí)施例還具有以下優(yōu)點(diǎn)
1��、本發(fā)明實(shí)施例將認(rèn)證和生成業(yè)務(wù)層的共享用戶密鑰的功能集中在有卡終端的 SeM模塊中�����,無(wú)卡終端上的業(yè)務(wù)客戶端無(wú)需關(guān)心認(rèn)證流程和業(yè)務(wù)通道安全性�,降低了無(wú)卡終端上業(yè)務(wù)客戶端的復(fù)雜度,減少了有卡終端和無(wú)卡終端SeM模塊間交互復(fù)雜度����,提高了功能穩(wěn)定性。
2�、有卡終端SeM模塊中的中間件作為一種通用能力�����,可以為多個(gè)終端���、多個(gè)客戶端提供認(rèn)證流程和業(yè)務(wù)通道安全性,降低各客戶端的開(kāi)發(fā)成本和融合難度�����。中間件基于相同的GBA方案��、相同的SIM卡可以為自身業(yè)務(wù)客戶端和其他若干個(gè)無(wú)卡終端上的業(yè)務(wù)客戶端產(chǎn)生不同的身份標(biāo)識(shí)和不同的業(yè)務(wù)密鑰����,保證不同的業(yè)務(wù)客戶端可以用不同的身份進(jìn)行認(rèn)證��。
本發(fā)明實(shí)施例還提供一種有卡終端�����,參見(jiàn)圖5所示�����,為本發(fā)明實(shí)施例提供的有卡終端的結(jié)構(gòu)示意圖,該有卡終端包括
第一接收模塊501�����,用于接收無(wú)卡終端發(fā)送的業(yè)務(wù)認(rèn)證請(qǐng)求����;以及,接收無(wú)卡終端發(fā)送的業(yè)務(wù)交互請(qǐng)求���;
安全模塊502�,用于根據(jù)業(yè)務(wù)認(rèn)證請(qǐng)求為無(wú)卡終端生成用戶密鑰�,并根據(jù)用戶密鑰,通過(guò)網(wǎng)絡(luò)側(cè) 對(duì)無(wú)卡終端進(jìn)行認(rèn)證����;以及,在網(wǎng)絡(luò)側(cè)對(duì)無(wú)卡終端認(rèn)證通過(guò)后�����,根據(jù)第一接收模塊501接收到的無(wú)卡終端發(fā)送的業(yè)務(wù)交互請(qǐng)求與網(wǎng)絡(luò)側(cè)進(jìn)行業(yè)務(wù)交互����。
具體的��,安全模塊502具體用于�,為無(wú)卡終端生成用戶密鑰和該用戶密鑰的臨時(shí)引導(dǎo)標(biāo)識(shí)���,向網(wǎng)絡(luò)應(yīng)用平臺(tái)NAF發(fā)起業(yè)務(wù)認(rèn)證請(qǐng)求����,其中攜帶有臨時(shí)引導(dǎo)標(biāo)識(shí)��,以使NAF將所述臨時(shí)引導(dǎo)標(biāo)識(shí)發(fā)送給初始化服務(wù)器BSF��,并從BSF獲取其根據(jù)該臨時(shí)引導(dǎo)標(biāo)識(shí)生成的用戶密鑰��;
安全模塊502還用于�����,與NAF基于為無(wú)有卡終端生成的用戶密鑰進(jìn)行認(rèn)證�����。
本發(fā)明實(shí)施例提供的有卡終端還包括密鑰運(yùn)算模塊503����,用于根據(jù)網(wǎng)絡(luò)側(cè)的網(wǎng)絡(luò)平臺(tái)標(biāo)識(shí)NAF ID以及有卡終端與網(wǎng)絡(luò)側(cè)的共享密鑰Ks生成業(yè)務(wù)訪問(wèn)密鑰Ks_NAF ;
安全模塊502還用于�,為無(wú)卡終端的用戶密鑰設(shè)置有效期,根據(jù)Ks_NAF�、有效期和無(wú)卡終端的設(shè)備標(biāo)識(shí)生成無(wú)卡終端的用戶密鑰,根據(jù)所述有效期��、所述無(wú)卡終端的設(shè)備標(biāo)識(shí)和用戶密鑰的弓I導(dǎo)標(biāo)識(shí)生成無(wú)卡終端的用戶密鑰的臨時(shí)引導(dǎo)標(biāo)識(shí)��。
該有卡終端還包括第二接收模塊504����,該第二接收模塊504用于接收網(wǎng)絡(luò)側(cè)返回的業(yè)務(wù)響應(yīng);
安全模塊502還用于�����,將所述第二接收模塊504接收的業(yè)務(wù)響應(yīng)發(fā)送給無(wú)卡終端���。
具體的����,安全模塊502還用于����,使用為無(wú)卡終端生成的用戶密鑰對(duì)接收到的業(yè)務(wù)交互請(qǐng)求進(jìn)行加密����,并將加密后的業(yè)務(wù)交互請(qǐng)求發(fā)送給網(wǎng)絡(luò)側(cè)�����;以及,使用為無(wú)卡終端生成的用戶密鑰對(duì)網(wǎng)絡(luò)側(cè)返回的業(yè)務(wù)響應(yīng)進(jìn)行解密�,并將解密后的業(yè)務(wù)響應(yīng)發(fā)送給所述無(wú)卡終端。
本發(fā)明實(shí)施例還提供一種無(wú)卡終端�,參見(jiàn)圖6所示,為本發(fā)明實(shí)施例提供的無(wú)卡終端的結(jié)構(gòu)示意圖����,該無(wú)卡終端包括
安全模塊601,用于與有卡終端建立安全通道;
客戶端模塊602����,用于通過(guò)安全通道向有卡終端發(fā)送業(yè)務(wù)認(rèn)證請(qǐng)求,以使有卡終端根據(jù)業(yè)務(wù)認(rèn)證請(qǐng)求為所述無(wú)卡終端生成用戶密鑰�,并根據(jù)用戶密鑰,通過(guò)與網(wǎng)絡(luò)側(cè)交互對(duì)無(wú)卡終端進(jìn)行認(rèn)證��;以及��,通過(guò)安全通道向有卡終端發(fā)送業(yè)務(wù)交互請(qǐng)求�����,以使有卡終端與網(wǎng)絡(luò)側(cè)進(jìn)行業(yè)務(wù)交互�����。
具體的��,客戶端模塊602還用于�����,接收有卡終端返回的業(yè)務(wù)響應(yīng)��。
通過(guò)以上的實(shí)施方式的描述�,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn),當(dāng)然也可以通過(guò)硬件�����,但很多情況下前者是更佳的實(shí)施方式�����。基于這樣的理解����,本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái),該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中�����,包括若干指令用以使得一臺(tái)終端設(shè)備(可以是手機(jī)�����,個(gè)人計(jì)算機(jī)����,服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法���。
本領(lǐng)域技術(shù)人員可以理解�,實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分布于實(shí)施例的裝置中�����,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中�����。上述實(shí)施例的模塊可以合并為一個(gè)模塊����,也可以進(jìn)一步拆分成多個(gè)子模塊。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式���,應(yīng)當(dāng)指出�����,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)���,在不脫離本發(fā)明原理 的前提下,還可以做出若干改進(jìn)和潤(rùn)飾�����,這些改進(jìn)和潤(rùn)飾也應(yīng)視本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種無(wú)卡終端的業(yè)務(wù)訪問(wèn)方法����,其特征在于��,包括 有卡終端接收無(wú)卡終端發(fā)送的業(yè)務(wù)認(rèn)證請(qǐng)求,根據(jù)所述業(yè)務(wù)認(rèn)證請(qǐng)求為所述無(wú)卡終端生成用戶密鑰���,并根據(jù)所述用戶密鑰�����,通過(guò)與網(wǎng)絡(luò)側(cè)交互對(duì)所述無(wú)卡終端進(jìn)行認(rèn)證����; 所述有卡終端在所述無(wú)卡終端認(rèn)證通過(guò)后�,根據(jù)接收到的所述無(wú)卡終端發(fā)送的業(yè)務(wù)交互請(qǐng)求與網(wǎng)絡(luò)側(cè)進(jìn)行業(yè)務(wù)交互。
2.如權(quán)利要求1所述的方法�����,其特征在于����,所述有卡終端根據(jù)所述業(yè)務(wù)認(rèn)證請(qǐng)求為所述無(wú)卡終端生成用戶密鑰,并根據(jù)所述用戶密鑰����,通過(guò)與網(wǎng)絡(luò)側(cè)交互對(duì)所述無(wú)卡終端進(jìn)行認(rèn)證,包括 有卡終端為所述無(wú)卡終端生成用戶密鑰和該用戶密鑰的臨時(shí)引導(dǎo)標(biāo)識(shí)����; 所述有卡終端向網(wǎng)絡(luò)應(yīng)用平臺(tái)NAF發(fā)起業(yè)務(wù)認(rèn)證請(qǐng)求����,其中攜帶有所述臨時(shí)引導(dǎo)標(biāo)識(shí)��;NAF向初始化服務(wù)器BSF發(fā)起密鑰請(qǐng)求���,其中攜帶有所述臨時(shí)引導(dǎo)標(biāo)識(shí); 所述BSF根據(jù)所述臨時(shí)引導(dǎo)標(biāo)識(shí)生成用戶密鑰�,并返回給所述NAF ; 所述有卡終端與所述NAF基于為所述無(wú)卡終端生成的用戶密鑰對(duì)所述無(wú)卡終端進(jìn)行認(rèn)證���。
3.如權(quán)利要求2所述的方法�����,其特征在于����,所述有卡終端為所述無(wú)卡終端生成用戶密鑰和該用戶密鑰的臨時(shí)引導(dǎo)標(biāo)識(shí)����,具體包括 有卡終端根據(jù)網(wǎng)絡(luò)平臺(tái)標(biāo)識(shí)NAF ID以及有卡終端與網(wǎng)絡(luò)側(cè)的共享密鑰Ks生成業(yè)務(wù)訪問(wèn)密鑰Ks_NAF ��; 所述有卡終端為無(wú)卡終端的用戶密鑰設(shè)置有效期���; 所述有卡終端根據(jù)Ks_NAF、所述有效期和所述無(wú)卡終端的設(shè)備標(biāo)識(shí)生成無(wú)卡終端的用戶密鑰����,根據(jù)所述有效期、所述無(wú)卡終端的設(shè)備標(biāo)識(shí)和用戶密鑰的引導(dǎo)標(biāo)識(shí)生成所述無(wú)卡終端的用戶密鑰的臨時(shí)引導(dǎo)標(biāo)識(shí)����; 所述BSF根據(jù)所述臨時(shí)引導(dǎo)標(biāo)識(shí)生成用戶密鑰,具體包括 BSF通過(guò)解析臨時(shí)引導(dǎo)標(biāo)識(shí)得到無(wú)卡終端用戶密鑰的引導(dǎo)標(biāo)識(shí)��、設(shè)備標(biāo)識(shí)和用戶密鑰的有效期���; 所述BSF判斷解析得到的用戶密鑰的有效期是否有效�����,并在判斷為有效時(shí)�����,根據(jù)用戶密鑰的引導(dǎo)標(biāo)識(shí)查找對(duì)應(yīng)的業(yè)務(wù)訪問(wèn)密鑰�����,并根據(jù)該業(yè)務(wù)訪問(wèn)密鑰�、無(wú)卡終端的設(shè)備標(biāo)識(shí)和有效期生成用戶密鑰。
4.如權(quán)利要求1所述的方法����,其特征在于,該方法還包括 所述有卡終端與網(wǎng)絡(luò)側(cè)進(jìn)行業(yè)務(wù)交互后���,將網(wǎng)絡(luò)側(cè)返回的業(yè)務(wù)響應(yīng)發(fā)送給無(wú)卡終端。
5.如權(quán)利要求4所述的方法��,其特征在于��,所述有卡終端根據(jù)接收到的所述無(wú)卡終端發(fā)送的業(yè)務(wù)交互請(qǐng)求與網(wǎng)絡(luò)側(cè)進(jìn)行業(yè)務(wù)交互��,包括 所述有卡終端使用為所述無(wú)卡終端生成的用戶密鑰對(duì)接收到的業(yè)務(wù)交互請(qǐng)求進(jìn)行加密����,并將加密后的業(yè)務(wù)交互請(qǐng)求發(fā)送給網(wǎng)絡(luò)側(cè); 所述有卡終端將網(wǎng)絡(luò)側(cè)返回的業(yè)務(wù)響應(yīng)發(fā)送給無(wú)卡終端��,包括 所述有卡終端使用為所述無(wú)卡終端生成的用戶密鑰對(duì)網(wǎng)絡(luò)側(cè)返回的業(yè)務(wù)響應(yīng)進(jìn)行解密��,并將解密后的業(yè)務(wù)響應(yīng)發(fā)送給所述無(wú)卡終端。
6.一種有卡終端��,其特征在于�����,包括 第一接收模塊�����,用于接收無(wú)卡終端發(fā)送的業(yè)務(wù)認(rèn)證請(qǐng)求����;以及,接收無(wú)卡終端發(fā)送的業(yè)務(wù)交互請(qǐng)求��; 安全模塊�,用于根據(jù)所述業(yè)務(wù)認(rèn)證請(qǐng)求為所述無(wú)卡終端生成用戶密鑰,并根據(jù)所述用戶密鑰����,通過(guò)網(wǎng)絡(luò)側(cè)對(duì)所述無(wú)卡終端進(jìn)行認(rèn)證;以及����,在網(wǎng)絡(luò)側(cè)對(duì)所述無(wú)卡終端認(rèn)證通過(guò)后��,根據(jù)所述第一接收模塊接收到的所述無(wú)卡終端發(fā)送的業(yè)務(wù)交互請(qǐng)求與網(wǎng)絡(luò)側(cè)進(jìn)行業(yè)務(wù)交互���。
7.如權(quán)利要求6所述的有卡終端,其特征在于����,所述安全模塊具體用于,為所述無(wú)卡終端生成用戶密鑰和該用戶密鑰的臨時(shí)引導(dǎo)標(biāo)識(shí)���,向網(wǎng)絡(luò)應(yīng)用平臺(tái)NAF發(fā)起業(yè)務(wù)認(rèn)證請(qǐng)求����,其中攜帶有所述臨時(shí)引導(dǎo)標(biāo)識(shí)��,以使NAF將所述臨時(shí)引導(dǎo)標(biāo)識(shí)發(fā)送給初始化服務(wù)器BSF��,并從BSF獲取其根據(jù)該臨時(shí)引導(dǎo)標(biāo)識(shí)生成的用戶密鑰�; 所述安全模塊還用于�,與NAF基于為所述無(wú)有卡終端生成的用戶密鑰進(jìn)行認(rèn)證。
8.如權(quán)利要求7所述的有卡終端����,其特征在于��,所述有卡終端���,還包括 密鑰運(yùn)算模塊,用于根據(jù)網(wǎng)絡(luò)側(cè)的網(wǎng)絡(luò)平臺(tái)標(biāo)識(shí)NAF ID以及有卡終端與網(wǎng)絡(luò)側(cè)的共享密鑰Ks生成業(yè)務(wù)訪問(wèn)密鑰Ks_NAF ����; 所述安全模塊還用于,為無(wú)卡終端的用戶密鑰設(shè)置有效期�����,根據(jù)Ks_NAF����、所述有效期和所述無(wú)卡終端的設(shè)備標(biāo)識(shí)生成無(wú)卡終端的用戶密鑰,根據(jù)所述有效期����、所述無(wú)卡終端的設(shè)備標(biāo)識(shí)和用戶密鑰的引導(dǎo)標(biāo)識(shí)生成所述無(wú)卡終端的用戶密鑰的臨時(shí)引導(dǎo)標(biāo)識(shí)。
9.如權(quán)利要求6所述的有卡終端���,其特征在于��,還包括第二接收模塊�����; 所述第二接收模塊���,用于接收網(wǎng)絡(luò)側(cè)返回的業(yè)務(wù)響應(yīng)�; 所述安全模塊還用于�����,將所述第二接收模塊接收的業(yè)務(wù)響應(yīng)發(fā)送給無(wú)卡終端����。
10.如權(quán)利要求9所述的有卡終端,其特征在于�, 所述安全模塊還用于,使用為所述無(wú)卡終端生成的用戶密鑰對(duì)接收到的業(yè)務(wù)交互請(qǐng)求進(jìn)行加密�����,并將加密后的業(yè)務(wù)交互請(qǐng)求發(fā)送給網(wǎng)絡(luò)側(cè)�;以及���,使用為所述無(wú)卡終端生成的用戶密鑰對(duì)網(wǎng)絡(luò)側(cè)返回的業(yè)務(wù)響應(yīng)進(jìn)行解密���,并將解密后的業(yè)務(wù)響應(yīng)發(fā)送給所述無(wú)卡終端����。
11.一種無(wú)卡終端�����,其特征在于�,包括 安全模塊,用于與有卡終端建立安全通道�����; 客戶端模塊�����,用于通過(guò)所述安全通道向有卡終端發(fā)送業(yè)務(wù)認(rèn)證請(qǐng)求�,以使有卡終端根據(jù)所述業(yè)務(wù)認(rèn)證請(qǐng)求為所述無(wú)卡終端生成用戶密鑰,并根據(jù)所述用戶密鑰����,通過(guò)與網(wǎng)絡(luò)側(cè)交互對(duì)所述無(wú)卡終端進(jìn)行認(rèn)證�����;以及��,通過(guò)所述安全通道向有卡終端發(fā)送業(yè)務(wù)交互請(qǐng)求��,以使有卡終端與網(wǎng)絡(luò)側(cè)進(jìn)行業(yè)務(wù)交互���。
12.如權(quán)利要求11所述的無(wú)卡終端,其特征在于�,所述客戶端模塊還用于,接收有卡終端返回的業(yè)務(wù)響應(yīng)��。
全文摘要
一種無(wú)卡終端的業(yè)務(wù)訪問(wèn)方法���,包括有卡終端接收無(wú)卡終端發(fā)送的業(yè)務(wù)認(rèn)證請(qǐng)求���,根據(jù)所述業(yè)務(wù)認(rèn)證請(qǐng)求為所述無(wú)卡終端生成用戶密鑰,并根據(jù)所述用戶密鑰�����,通過(guò)與網(wǎng)絡(luò)側(cè)交互對(duì)所述無(wú)卡終端進(jìn)行認(rèn)證�����;所述有卡終端在所述無(wú)卡終端認(rèn)證通過(guò)后�����,根據(jù)接收到的所述無(wú)卡終端發(fā)送的業(yè)務(wù)交互請(qǐng)求與網(wǎng)絡(luò)側(cè)進(jìn)行業(yè)務(wù)交互���。本方法用以解決無(wú)卡終端難以利用GBA流程直接訪問(wèn)網(wǎng)絡(luò)業(yè)務(wù)的問(wèn)題���,增強(qiáng)無(wú)卡終端對(duì)網(wǎng)絡(luò)業(yè)務(wù)訪問(wèn)的便捷性。
文檔編號(hào)H04W88/02GK103024735SQ20111028775
公開(kāi)日2013年4月3日 申請(qǐng)日期2011年9月26日 優(yōu)先權(quán)日2011年9月26日
發(fā)明者盧山, 路曉明, 黃開(kāi)莉, 常輝 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)公司