業(yè)務(wù)接入的身份認(rèn)證方法與系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開(kāi)了一種業(yè)務(wù)接入的身份認(rèn)證方法與系統(tǒng)。該方法包括:業(yè)務(wù)接入終端包括認(rèn)證客戶端與中央處理器CPU�����,CPU的一次性編程O(píng)TP存儲(chǔ)區(qū)域中設(shè)置有預(yù)先寫(xiě)入的終端序列號(hào)與運(yùn)營(yíng)商標(biāo)識(shí)�����;認(rèn)證客戶端向終端管理平臺(tái)發(fā)送身份認(rèn)證請(qǐng)求�����;終端管理平臺(tái)與識(shí)別身份認(rèn)證請(qǐng)求中包含的終端序列號(hào)是否合法�����;響應(yīng)于終端序列號(hào)為合法的終端序列號(hào),終端管理平臺(tái)與業(yè)務(wù)接入終端分別通過(guò)平臺(tái)挑戰(zhàn)字����、終端挑戰(zhàn)字進(jìn)行雙向身份認(rèn)證;響應(yīng)于認(rèn)證通過(guò)����,終端管理平臺(tái)允許終端進(jìn)行業(yè)務(wù)接入。通過(guò)本發(fā)明所提供的方案提供了重要身份信息存儲(chǔ)的安全性�����,從而提高了用戶保密信息的安全性�����,同時(shí)���,還提供了平臺(tái)與終端之間的雙向身份認(rèn)證����。
【專利說(shuō)明】業(yè)務(wù)接入的身份認(rèn)證方法與系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全領(lǐng)域�,特別涉及一種業(yè)務(wù)接入的身份認(rèn)證方法與系統(tǒng)。
【背景技術(shù)】
[0002]隨著通信技術(shù)的發(fā)展��,運(yùn)營(yíng)商為用戶提供越來(lái)越豐富的業(yè)務(wù)服務(wù)����。用戶利用終端接入各種業(yè)務(wù)之前,通常需要對(duì)用戶的身份信息進(jìn)行認(rèn)證�����,以實(shí)現(xiàn)在對(duì)用戶的合法性進(jìn)行確認(rèn)之后�,再提供業(yè)務(wù)服務(wù)。
[0003]目前業(yè)務(wù)接入的認(rèn)證過(guò)程主要采用兩種方式來(lái)實(shí)現(xiàn)對(duì)用戶身份信息的確認(rèn)����。一種是要求用戶輸入用戶名以及用戶密碼的方式。這種方式適合于具有顯示界面以及用戶輸入裝置的終端��,以便于用戶在需要進(jìn)行用戶身份認(rèn)證時(shí)����,提示用戶輸入用戶名及用戶密碼,然后用戶利用終端的輸入裝置在顯示界面上輸入用戶名及用戶密碼�。然而,對(duì)于例如機(jī)頂盒這一類的設(shè)備�����,通常機(jī)頂盒設(shè)備的軟、硬件設(shè)置相對(duì)簡(jiǎn)單�,沒(méi)有如鍵盤(pán)、按鍵等輸入裝置����,因此,不易在機(jī)頂盒上實(shí)施輸入用戶名及用戶密碼的方式��,即使能夠?qū)嵤?�,也需要用戶的交互操作�。同時(shí),這種方法將用戶名以及用戶密碼存儲(chǔ)在普通存儲(chǔ)器中�,極易于讀取,從而還可能存在用戶保密信息的安全隱患��。
[0004]另一種方案是使用客戶識(shí)別模塊(SubscriberIdentity Module, SIM)卡���、(UserIdentity Module, UIM)卡��、通用串行總線(Universal Serial Bus, USB)棒等外接硬件的方式�����。在進(jìn)行用戶身份認(rèn)證時(shí)�����,通過(guò)預(yù)先安裝在終端的外接SM卡�、UM卡�、USB棒等硬件,利用這些硬件實(shí)現(xiàn)信息交互��,以及使用這些硬件內(nèi)部的用戶身份信息進(jìn)行身份認(rèn)證���。使用在機(jī)頂盒設(shè)備上安插SIM卡�����、ΠΜ卡����、USB棒等硬件的方法���,對(duì)機(jī)頂盒類的終端產(chǎn)品��,從硬件軟件上都提出了更高的要求����,例如,需要專門(mén)的硬件插口���、插槽和軟件讀寫(xiě)接口�����。同時(shí)���,用戶需要安插、保管這些硬件�,使用起來(lái)也極為不便。
【發(fā)明內(nèi)容】
[0005]根據(jù)本發(fā)明實(shí)施例的一個(gè)方面���,所要解決的一個(gè)技術(shù)問(wèn)題是:提供一種業(yè)務(wù)接入的認(rèn)證方法與系統(tǒng)�,以在業(yè)務(wù)接入過(guò)程中實(shí)現(xiàn)終端與終端管理平臺(tái)之間便利安全的雙向身份認(rèn)證�。
[0006]本發(fā)明實(shí)施例提供的一種業(yè)務(wù)接入的身份認(rèn)證方法,其中�����,業(yè)務(wù)接入終端包括認(rèn)證客戶端與中央處理器CPU,所述CPU的一次性編程O(píng)TP存儲(chǔ)區(qū)域中設(shè)置有預(yù)先寫(xiě)入的終端序列號(hào)與運(yùn)營(yíng)商標(biāo)識(shí)���,所述終端序列號(hào)用于標(biāo)識(shí)所述終端的唯一身份信息�;所述方法包括:
[0007]所述認(rèn)證客戶端向終端管理平臺(tái)發(fā)送身份認(rèn)證請(qǐng)求���,所述身份認(rèn)證請(qǐng)求中包含所述終端序列號(hào)���;
[0008]所述終端管理平臺(tái)識(shí)別所述身份認(rèn)證請(qǐng)求中包含的終端序列號(hào)是否合法�;
[0009]響應(yīng)于所述終端序列號(hào)為合法的終端序列號(hào),所述終端管理平臺(tái)生成平臺(tái)挑戰(zhàn)字發(fā)送至所述認(rèn)證客戶端���,所述平臺(tái)挑戰(zhàn)字包括所述終端管理平臺(tái)所屬運(yùn)營(yíng)商的運(yùn)營(yíng)商標(biāo)識(shí)��;
[0010]所述認(rèn)證客戶端將所述平臺(tái)挑戰(zhàn)字傳遞給所述CPU �;
[0011]響應(yīng)于所述CPU驗(yàn)證所述平臺(tái)挑戰(zhàn)字獲得通過(guò)��,所述認(rèn)證客戶端將從所述CPU傳遞來(lái)的終端挑戰(zhàn)字的散列值發(fā)送給所述終端管理平臺(tái)��;
[0012]所述終端管理平臺(tái)所述計(jì)算終端挑戰(zhàn)字的散列驗(yàn)證值�,識(shí)別所述散列驗(yàn)證值是否與從認(rèn)證客戶端接收的所述散列值相同;
[0013]響應(yīng)于所述散列驗(yàn)證值與從認(rèn)證客戶端接收的所述散列值相同����,所述終端管理平臺(tái)允許所述終端進(jìn)行業(yè)務(wù)接入��。
[0014]本發(fā)明實(shí)施例提供的一種業(yè)務(wù)接入的身份認(rèn)證系統(tǒng)��,所述系統(tǒng)包括:
[0015]業(yè)務(wù)接入終端���、終端管理平臺(tái),其中��,所述業(yè)務(wù)接入終端包括認(rèn)證客戶端與中央處理器CPU ���;
[0016]所述業(yè)務(wù)接入終端的CPU具有一次性編程O(píng)TP存儲(chǔ)區(qū)域����,所述OTP區(qū)域中設(shè)置有預(yù)先寫(xiě)入的終端序列號(hào)與運(yùn)營(yíng)商標(biāo)識(shí)����,所述終端序列號(hào)用于標(biāo)識(shí)所述終端的唯一身份信息;所述CPU�,用于驗(yàn)證所述平臺(tái)挑戰(zhàn)字;計(jì)算終端挑戰(zhàn)字的散列值����;
[0017]所述業(yè)務(wù)接入終端的認(rèn)證客戶端����,用于向所述終端管理平臺(tái)發(fā)送身份認(rèn)證請(qǐng)求�����,所述身份認(rèn)證請(qǐng)求中包含所述終端序列號(hào)���;將所述平臺(tái)挑戰(zhàn)字傳遞給所述CPU ;響應(yīng)于所述CPU驗(yàn)證所述平臺(tái)挑戰(zhàn)字獲得通過(guò)�,將從所述CPU傳遞來(lái)的終端挑戰(zhàn)字的散列值發(fā)送給所述終端管理平臺(tái)��;
[0018]所述終端管理平臺(tái)��,用于識(shí)別所述身份認(rèn)證請(qǐng)求中包含的終端序列號(hào)是否合法�;響應(yīng)于所述終端序列號(hào)為合法的終端序列號(hào)��,生成平臺(tái)挑戰(zhàn)字發(fā)送至所述認(rèn)證客戶端���,所述平臺(tái)挑戰(zhàn)字包括所述終端管理平臺(tái)所屬運(yùn)營(yíng)商的運(yùn)營(yíng)商標(biāo)識(shí)���;所述計(jì)算終端挑戰(zhàn)字的散列驗(yàn)證值,識(shí)別所述散列驗(yàn)證值是否與從認(rèn)證客戶端接收的所述散列值相同��;響應(yīng)于所述散列驗(yàn)證值與從認(rèn)證客戶端接收的所述散列值相同,允許所述終端進(jìn)行業(yè)務(wù)接入����。
[0019]基于本發(fā)明上述實(shí)施例提供的業(yè)務(wù)接入的認(rèn)證方法與系統(tǒng),用戶在使用終端進(jìn)行業(yè)務(wù)接入時(shí)�,通過(guò)將代表身份信息的終端序列號(hào)以及運(yùn)營(yíng)商的標(biāo)識(shí)預(yù)先寫(xiě)入終端CPU內(nèi)部的一次性編程(One Time Programmable,OTP)存儲(chǔ)區(qū)域中,通過(guò)認(rèn)證終端對(duì)其進(jìn)行讀寫(xiě)�,自動(dòng)實(shí)現(xiàn)業(yè)務(wù)接入的身份認(rèn)證,無(wú)需進(jìn)行額外的用戶輸入或其他外接硬件��,方便用戶操作�。利用OTP儲(chǔ)存介質(zhì)的可靠性與安全性,使用OTP存儲(chǔ)重要的身份信息���,提高了用戶保密信息的安全性�。同時(shí)�,區(qū)別于現(xiàn)有技術(shù)中僅提供管理平臺(tái)對(duì)終端單方面的身份認(rèn)證,本發(fā)明實(shí)施例中的平臺(tái)挑戰(zhàn)字與終端挑戰(zhàn)字還使得終端與終端管理平臺(tái)之間能夠?qū)崿F(xiàn)相互的身份認(rèn)證��,提高了認(rèn)證的安全性�����。
[0020]通過(guò)以下參照附圖對(duì)本發(fā)明的示例性實(shí)施例的詳細(xì)描述���,本發(fā)明的其它特征及其優(yōu)點(diǎn)將會(huì)變得清楚��。
【專利附圖】
【附圖說(shuō)明】
[0021]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹���,顯而易見(jiàn)地����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)性的前提下�,還可以根據(jù)這些附圖獲得其他的附圖。[0022]同時(shí)����,應(yīng)當(dāng)明白���,為了便于描述��,附圖中所示出的各個(gè)部分的尺寸并不是按照實(shí)際的比例關(guān)系繪制的���。相似的標(biāo)號(hào)和字母在下面的附圖中表示類似項(xiàng)���,因此,一旦某一項(xiàng)在一個(gè)附圖中被定義�����,則在隨后的附圖中不需要對(duì)其進(jìn)行進(jìn)一步討論����。
[0023]構(gòu)成說(shuō)明書(shū)的一部分的附圖描述了本發(fā)明的實(shí)施例,并且連同說(shuō)明書(shū)一起用于解釋本發(fā)明的原理�����。
[0024]參照附圖���,根據(jù)下面的詳細(xì)描述��,可以更加清楚地理解本發(fā)明���,其中:
[0025]圖1示出本發(fā)明所提供的業(yè)務(wù)接入的身份認(rèn)證方法一種實(shí)施例的流程示意圖;
[0026]圖2示出本發(fā)明所提供的業(yè)務(wù)接入的身份認(rèn)證方法另一種實(shí)施例的流程示意圖��;
[0027]圖3示出本發(fā)明所提供的業(yè)務(wù)接入的身份認(rèn)證系統(tǒng)一種實(shí)施例的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0028]下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�、完整地描述�,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例��,而不是全部的實(shí)施例�����。應(yīng)注意到:除非另外具體說(shuō)明����,否則在這些實(shí)施例中闡述的部件和步驟的相對(duì)布置不限制本發(fā)明的范圍。
[0029]以下對(duì)至少一個(gè)示例性實(shí)施例的描述實(shí)際上僅僅是說(shuō)明性的����,決不作為對(duì)本發(fā)明及其應(yīng)用或使用的任何限制?��;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例���,都屬于本發(fā)明保護(hù)的范圍�。
[0030]對(duì)于相關(guān)領(lǐng)域普通技術(shù)人員已知的技術(shù)、方法和設(shè)備可能不作詳細(xì)討論����,但在適當(dāng)情況下,所述技術(shù)��、方法和設(shè)備應(yīng)當(dāng)被視為授權(quán)說(shuō)明書(shū)的一部分��。
[0031]在這里示出和討論的所有示例中����,任何具體值應(yīng)被解釋為僅僅是示例性的,而不是作為限制���。因此�,示例性實(shí)施例的其它示例可以具有不同的值�����。
[0032]參見(jiàn)圖1所示�����,該圖示出本發(fā)明提供的業(yè)務(wù)接入的身份認(rèn)證方法一種實(shí)施例的流程示意圖。在圖1實(shí)施例中���,業(yè)務(wù)接入終端包括認(rèn)證客戶端與中央處理器CPU����。CPU的一次性編程(One Time Programmable,OTP)存儲(chǔ)區(qū)域中設(shè)置有預(yù)先寫(xiě)入的終端序列號(hào)與運(yùn)營(yíng)商標(biāo)識(shí)��,終端序列號(hào)用于標(biāo)識(shí)終端的唯一身份信息�����。該實(shí)施例中業(yè)務(wù)接入的身份認(rèn)證方法包括以下操作:
[0033]步驟101�����,認(rèn)證客戶端向終端管理平臺(tái)發(fā)送身份認(rèn)證請(qǐng)求�,身份認(rèn)證請(qǐng)求中包含終端序列號(hào);
[0034]步驟102��,終端管理平臺(tái)識(shí)別身份認(rèn)證請(qǐng)求中包含的終端序列號(hào)是否合法�;
[0035]步驟103,響應(yīng)于終端序列號(hào)為合法的終端序列號(hào)�����,終端管理平臺(tái)生成平臺(tái)挑戰(zhàn)字發(fā)送至認(rèn)證客戶端����,平臺(tái)挑戰(zhàn)字包括終端管理平臺(tái)所屬運(yùn)營(yíng)商的運(yùn)營(yíng)商標(biāo)識(shí);
[0036]步驟104����,認(rèn)證客戶端將平臺(tái)挑戰(zhàn)字傳遞給CPU ;
[0037]步驟105��,響應(yīng)于CPU驗(yàn)證平臺(tái)挑戰(zhàn)字獲得通過(guò)��,認(rèn)證客戶端將從CPU傳遞來(lái)的終端挑戰(zhàn)字的散列值發(fā)送給終端管理平臺(tái)����;
[0038]步驟106,終端管理平臺(tái)計(jì)算終端挑戰(zhàn)字的散列驗(yàn)證值��,識(shí)別散列驗(yàn)證值是否與從認(rèn)證客戶端接收的散列值相同���;
[0039]步驟107���,響應(yīng)于散列驗(yàn)證值與從認(rèn)證客戶端接收的散列值相同,終端管理平臺(tái)允許終端進(jìn)行業(yè)務(wù)接入。[0040]基于本發(fā)明上述實(shí)施例提供的業(yè)務(wù)接入的認(rèn)證方法�����,用戶在使用終端進(jìn)行業(yè)務(wù)接入時(shí)�,通過(guò)將代表身份信息的終端序列號(hào)以及運(yùn)營(yíng)商的標(biāo)識(shí)預(yù)先寫(xiě)入終端CPU內(nèi)部的一次性編程(One Time Programmable,OTP)存儲(chǔ)區(qū)域中,通過(guò)認(rèn)證終端對(duì)其進(jìn)行讀寫(xiě)��,自動(dòng)實(shí)現(xiàn)業(yè)務(wù)接入的身份認(rèn)證��,無(wú)需進(jìn)行額外的用戶輸入或其他外接硬件����,方便用戶操作。利用OTP儲(chǔ)存介質(zhì)的可靠性與安全性����,使用OTP存儲(chǔ)重要的身份信息,提高了用戶保密信息的安全性��。同時(shí)��,區(qū)別于現(xiàn)有技術(shù)中僅提供管理平臺(tái)對(duì)終端單方面的身份認(rèn)證�,本發(fā)明實(shí)施例中的平臺(tái)挑戰(zhàn)字與終端挑戰(zhàn)字還使得終端與終端管理平臺(tái)之間能夠?qū)崿F(xiàn)相互的身份認(rèn)證,提高了認(rèn)證的安全性����。
[0041]根據(jù)本發(fā)明方法實(shí)施例的一個(gè)具體示例而非限制��,圖1所示實(shí)施例的操作105中�,響應(yīng)于CPU驗(yàn)證平臺(tái)挑戰(zhàn)字獲得通過(guò)��,認(rèn)證客戶端將從CPU傳遞來(lái)的終端挑戰(zhàn)字的散列值發(fā)送給終端管理平臺(tái)����,可以通過(guò)如下方式實(shí)現(xiàn):
[0042]CPU識(shí)別平臺(tái)挑戰(zhàn)字中包含的運(yùn)營(yíng)商標(biāo)識(shí)是否與OTP存儲(chǔ)區(qū)域的運(yùn)營(yíng)商標(biāo)識(shí)相同�;
[0043]響應(yīng)于平臺(tái)挑戰(zhàn)字中包含的運(yùn)營(yíng)商標(biāo)識(shí)與OTP存儲(chǔ)區(qū)域的運(yùn)營(yíng)商標(biāo)識(shí)相同,驗(yàn)證平臺(tái)挑戰(zhàn)字獲得通過(guò)����;
[0044]通過(guò)CPU生成終端挑戰(zhàn)字,計(jì)算終端挑戰(zhàn)字的散列值�����;
[0045]CPU將散列值傳遞給認(rèn)證客戶端����,由認(rèn)證客戶端發(fā)送給終端管理平臺(tái)。
[0046]根據(jù)本發(fā)明方法實(shí)施例的一個(gè)具體示例而非限制�,在另一個(gè)實(shí)施例中���,身份認(rèn)證請(qǐng)求中還包括認(rèn)證客戶端預(yù)先產(chǎn)生的終端時(shí)間戳與終端隨機(jī)數(shù),該實(shí)施例的方法還可以包括:
[0047]終端管理平臺(tái)從接收到的身份認(rèn)證請(qǐng)求中獲取終端時(shí)間戳與終端隨機(jī)數(shù)�;
[0048]平臺(tái)挑戰(zhàn)字中還包括終端時(shí)間戳與終端隨機(jī)數(shù);
[0049]驗(yàn)證平臺(tái)挑戰(zhàn)字獲得通過(guò)之后�����,方法還包括:
[0050]認(rèn)證客戶端識(shí)別平臺(tái)挑戰(zhàn)字中包含的終端時(shí)間戳與終端隨機(jī)數(shù)是否分別與認(rèn)證客戶端最近一次產(chǎn)生的終端時(shí)間戳與最近一次產(chǎn)生的終端隨機(jī)數(shù)相同��;
[0051]認(rèn)證客戶端響應(yīng)于平臺(tái)挑戰(zhàn)字中包含的終端時(shí)間戳與終端隨機(jī)數(shù)分別與認(rèn)證客戶端最近一次產(chǎn)生的終端時(shí)間戳與最近一次產(chǎn)生的終端隨機(jī)數(shù)相同���,向CPU發(fā)送散列值計(jì)算請(qǐng)求���;
[0052]CPU響應(yīng)于接收到散列值計(jì)算請(qǐng)求后,開(kāi)始執(zhí)行生成終端挑戰(zhàn)字的操作�����。
[0053]基于上述實(shí)施例中�,認(rèn)證客戶端預(yù)先產(chǎn)生的終端時(shí)間戳與終端隨機(jī)數(shù),并將其包含在身份認(rèn)證請(qǐng)求中�����,以識(shí)別平臺(tái)挑戰(zhàn)字中所包含的終端時(shí)間戳與終端隨機(jī)數(shù)是否為最近所產(chǎn)生的,以防止身份驗(yàn)證的重放攻擊���,提高終端對(duì)平臺(tái)的身份認(rèn)證的安全性��。
[0054]對(duì)應(yīng)地��,根據(jù)本發(fā)明方法實(shí)施例的一個(gè)具體示例而非限制���,平臺(tái)挑戰(zhàn)字中還包括終端管理平臺(tái)預(yù)先產(chǎn)生的平臺(tái)時(shí)間戳與平臺(tái)隨機(jī)數(shù)�����;
[0055]終端挑戰(zhàn)字中還包括終端序列號(hào)����、平臺(tái)時(shí)間戳、平臺(tái)隨機(jī)數(shù)�;
[0056]計(jì)算終端挑戰(zhàn)字的散列驗(yàn)證值,具體包括:計(jì)算從認(rèn)證客戶端接收的終端序列號(hào)���、最近一次產(chǎn)生的平臺(tái)時(shí)間戳與最近一次產(chǎn)生的平臺(tái)隨機(jī)數(shù)的散列值作為散列驗(yàn)證值�����。
[0057]基于終端管理平臺(tái)預(yù)先產(chǎn)生的平臺(tái)時(shí)間戳與平臺(tái)隨機(jī)數(shù)�,平臺(tái)挑戰(zhàn)字中包含平臺(tái)時(shí)間戳與平臺(tái)隨機(jī)數(shù),從而提高平臺(tái)對(duì)終端的身份認(rèn)證的安全性�����。表I示出了一種平臺(tái)挑戰(zhàn)字的組成���,平臺(tái)挑戰(zhàn)字可以包括運(yùn)營(yíng)商標(biāo)識(shí)�、終端時(shí)間戳���、終端隨機(jī)數(shù)����、平臺(tái)時(shí)間戳與平臺(tái)隨機(jī)數(shù)��。
[0058]表1示出了一種平臺(tái)挑戰(zhàn)字的組成
[0059]
【權(quán)利要求】
1.一種業(yè)務(wù)接入的身份認(rèn)證方法����,其特征在于,業(yè)務(wù)接入終端包括認(rèn)證客戶端與中央處理器CPU�,所述CPU的一次性編程O(píng)TP存儲(chǔ)區(qū)域中設(shè)置有預(yù)先寫(xiě)入的終端序列號(hào)與運(yùn)營(yíng)商標(biāo)識(shí),所述終端序列號(hào)用于標(biāo)識(shí)所述終端的唯一身份信息�����;所述方法包括: 所述認(rèn)證客戶端向終端管理平臺(tái)發(fā)送身份認(rèn)證請(qǐng)求,所述身份認(rèn)證請(qǐng)求中包含所述終端序列號(hào)�����; 所述終端管理平臺(tái)識(shí)別所述身份認(rèn)證請(qǐng)求中包含的終端序列號(hào)是否合法�; 響應(yīng)于所述終 端序列號(hào)為合法的終端序列號(hào),所述終端管理平臺(tái)生成平臺(tái)挑戰(zhàn)字發(fā)送至所述認(rèn)證客戶端��,所述平臺(tái)挑戰(zhàn)字包括所述終端管理平臺(tái)所屬運(yùn)營(yíng)商的運(yùn)營(yíng)商標(biāo)識(shí)��;所述認(rèn)證客戶端將所述平臺(tái)挑戰(zhàn)字傳遞給所述CPU ���; 響應(yīng)于所述CPU驗(yàn)證所述平臺(tái)挑戰(zhàn)字獲得通過(guò),所述認(rèn)證客戶端將從所述CPU傳遞來(lái)的終端挑戰(zhàn)字的散列值發(fā)送給所述終端管理平臺(tái)����; 所述終端管理平臺(tái)所述計(jì)算終端挑戰(zhàn)字的散列驗(yàn)證值,識(shí)別所述散列驗(yàn)證值是否與從認(rèn)證客戶端接收的所述散列值相同��; 響應(yīng)于所述散列驗(yàn)證值與從認(rèn)證客戶端接收的所述散列值相同����,所述終端管理平臺(tái)允許所述終端進(jìn)行業(yè)務(wù)接入���。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述響應(yīng)于所述CPU驗(yàn)證所述平臺(tái)挑戰(zhàn)字獲得通過(guò)�,所述認(rèn)證客戶端將從所述CPU傳遞來(lái)的終端挑戰(zhàn)字的散列值發(fā)送給所述終端管理平臺(tái),包括: 所述CPU識(shí)別所述平臺(tái)挑戰(zhàn)字中包含的運(yùn)營(yíng)商標(biāo)識(shí)是否與所述OTP存儲(chǔ)區(qū)域的運(yùn)營(yíng)商標(biāo)識(shí)相同���; 響應(yīng)于所述平臺(tái)挑戰(zhàn)字中包含的運(yùn)營(yíng)商標(biāo)識(shí)與所述OTP存儲(chǔ)區(qū)域的運(yùn)營(yíng)商標(biāo)識(shí)相同�����,驗(yàn)證所述平臺(tái)挑戰(zhàn)字獲得通過(guò)�; 通過(guò)所述CPU生成終端挑戰(zhàn)字�����,計(jì)算所述終端挑戰(zhàn)字的散列值�; 所述CPU將所述散列值傳遞給所述認(rèn)證客戶端,由所述認(rèn)證客戶端發(fā)送給所述終端管理平臺(tái)�。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于��,所述身份認(rèn)證請(qǐng)求中還包括所述認(rèn)證客戶端預(yù)先產(chǎn)生的終端時(shí)間戳與終端隨機(jī)數(shù);所述方法還包括: 所述終端管理平臺(tái)從接收到的身份認(rèn)證請(qǐng)求中獲取所述終端時(shí)間戳與終端隨機(jī)數(shù)�; 所述平臺(tái)挑戰(zhàn)字中還包括所述終端時(shí)間戳與終端隨機(jī)數(shù); 所述驗(yàn)證所述平臺(tái)挑戰(zhàn)字獲得通過(guò)之后�����,所述方法還包括: 所述認(rèn)證客戶端識(shí)別所述平臺(tái)挑戰(zhàn)字中包含的終端時(shí)間戳與終端隨機(jī)數(shù)是否分別與所述認(rèn)證客戶端最近一次產(chǎn)生的終端時(shí)間戳與最近一次產(chǎn)生的終端隨機(jī)數(shù)相同���; 所述認(rèn)證客戶端響應(yīng)于所述平臺(tái)挑戰(zhàn)字中包含的終端時(shí)間戳與終端隨機(jī)數(shù)分別與所述認(rèn)證客戶端最近一次產(chǎn)生的終端時(shí)間戳與最近一次產(chǎn)生的終端隨機(jī)數(shù)相同�����,向所述CPU發(fā)送散列值計(jì)算請(qǐng)求���; 所述CPU響應(yīng)于接收到所述散列值計(jì)算請(qǐng)求后,開(kāi)始執(zhí)行所述生成終端挑戰(zhàn)字的操作�。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于�����,所述平臺(tái)挑戰(zhàn)字中還包括所述終端管理平臺(tái)預(yù)先產(chǎn)生的平臺(tái)時(shí)間戳與平臺(tái)隨機(jī)數(shù)����;所述終端挑戰(zhàn)字中還包括所述終端序列號(hào)、所述平臺(tái)時(shí)間戳���、所述平臺(tái)隨機(jī)數(shù)����; 所述計(jì)算終端挑戰(zhàn)字的散列驗(yàn)證值�����,具體包括: 所述計(jì)算從認(rèn)證客戶端接收的所述終端序列號(hào)��、最近一次產(chǎn)生的平臺(tái)時(shí)間戳與最近一次產(chǎn)生的平臺(tái)隨機(jī)數(shù)的散列值作為所述散列驗(yàn)證值�。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于�����,所述終端管理平臺(tái)生成平臺(tái)挑戰(zhàn)字發(fā)送至所述認(rèn)證客戶端�����,具體包括: 所述終端管理平臺(tái)生成平臺(tái)挑戰(zhàn)字�,采用加密算法加密所述平臺(tái)挑戰(zhàn)字獲得所述平臺(tái)挑戰(zhàn)字的密文,將所述密文發(fā)送至所述認(rèn)證客戶端��; 所述認(rèn)證客戶端將所述平臺(tái)挑戰(zhàn)字發(fā)送給所述CPU,包括: 所述認(rèn)證客戶端將所述密文發(fā)送給所述CPU �����; 所述方法還包括: 所述CPU采用所述加密算法對(duì)應(yīng)的解密算法解 密所述密文�,獲得平臺(tái)挑戰(zhàn)字。
6.根據(jù)權(quán)利要求1至5任意一項(xiàng)所述的方法��,其特征在于�����,所述CPU與所述認(rèn)證客戶端之間通過(guò)所述終端的操作系統(tǒng)內(nèi)核驅(qū)動(dòng)程序進(jìn)行通信�����。
7.根據(jù)權(quán)利要求6所述的方法���,其特征在于�,所述CPU將所述散列值傳遞給所述認(rèn)證客戶端時(shí)��,還將計(jì)算所述散列值的散列算法傳遞給所述認(rèn)證客戶端���,由所述認(rèn)證客戶端發(fā)送給所述終端管理平臺(tái)���; 所述終端管理平臺(tái)計(jì)算終端挑戰(zhàn)字的散列驗(yàn)證值,包括: 所述終端管理平臺(tái)使用從所述認(rèn)證客戶端接收到的所述散列算法計(jì)算終端挑戰(zhàn)字的散列驗(yàn)證值�。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于����,所述終端挑戰(zhàn)字還包括:所述CPU的芯片型號(hào)和/或所述CPU的內(nèi)部序列號(hào); 所述終端管理平臺(tái)預(yù)先存儲(chǔ)有終端序列號(hào)以及對(duì)應(yīng)的CPU芯片型號(hào)和/或CPU內(nèi)部序列號(hào)���,根據(jù)所述終端序列號(hào)獲取所述CPU的芯片型號(hào)和/或CPU的內(nèi)部序列號(hào)���。
9.根據(jù)權(quán)利要求5所述的方法,其特征在于���,所述加密算法為公鑰加密算法�,具體包括RSA算法�����、Rabin算法����、DH公鑰加密算法�、橢圓曲線加密算法ECC��、ElGamal算法中的任意一種�; 所述采用加密算法加密所述平臺(tái)挑戰(zhàn)字獲得所述平臺(tái)挑戰(zhàn)字的密文,具體包括:使用所述終端管理平臺(tái)預(yù)先生成的公私密鑰對(duì)中的私鑰���,基于所述公鑰加密算法加密所述平臺(tái)挑戰(zhàn)字���; 所述CPU采用所述加密算法對(duì)應(yīng)的解密算法解密所述密文,包括: 所述CPU使用所述公私密鑰對(duì)中的公鑰�����,基于所述公鑰加密算法對(duì)應(yīng)的公鑰解密算法解密所述密文���。
10.一種業(yè)務(wù)接入的身份認(rèn)證系統(tǒng)��,其特征在于���,所述系統(tǒng)包括: 業(yè)務(wù)接入終端、終端管理平臺(tái)���,其中���,所述業(yè)務(wù)接入終端包括認(rèn)證客戶端與中央處理器CPU ; 所述業(yè)務(wù)接入終端的CPU具有一次性編程O(píng)TP存儲(chǔ)區(qū)域�����,所述OTP區(qū)域中設(shè)置有預(yù)先寫(xiě)入的終端序列號(hào)與運(yùn)營(yíng)商標(biāo)識(shí)���,所述終端序列號(hào)用于標(biāo)識(shí)所述終端的唯一身份信息�;所述CPU�,用于驗(yàn)證所述平臺(tái)挑戰(zhàn)字;計(jì)算終端挑戰(zhàn)字的散列值����;所述業(yè)務(wù)接入終端的認(rèn)證客戶端,用于向所述終端管理平臺(tái)發(fā)送身份認(rèn)證請(qǐng)求���,所述身份認(rèn)證請(qǐng)求中包含所述終端序列號(hào)��;將所述平臺(tái)挑戰(zhàn)字傳遞給所述CPU ;響應(yīng)于所述CPU驗(yàn)證所述平臺(tái)挑戰(zhàn)字獲得通過(guò)���,將從所述CPU傳遞來(lái)的終端挑戰(zhàn)字的散列值發(fā)送給所述終端管理平臺(tái); 所述終端管理平臺(tái)�����,用于識(shí)別所述身份認(rèn)證請(qǐng)求中包含的終端序列號(hào)是否合法;響應(yīng)于所述終端序列號(hào)為合法的終端序列號(hào)��,生成平臺(tái)挑戰(zhàn)字發(fā)送至所述認(rèn)證客戶端����,所述平臺(tái)挑戰(zhàn)字包括所述終端管理平臺(tái)所屬運(yùn)營(yíng)商的運(yùn)營(yíng)商標(biāo)識(shí);所述計(jì)算終端挑戰(zhàn)字的散列驗(yàn)證值�,識(shí)別所述散列驗(yàn)證值是否與從認(rèn)證客戶端接收的所述散列值相同;響應(yīng)于所述散列驗(yàn)證值與從認(rèn)證客戶端接收的所述散列值相同�,允許所述終端進(jìn)行業(yè)務(wù)接入。
11.根據(jù)權(quán)利要求10所述的系統(tǒng)���,其特征在于���,所述CPU,具體用于識(shí)別所述平臺(tái)挑戰(zhàn)字中包含的運(yùn)營(yíng)商標(biāo)識(shí)是否與所述OTP存儲(chǔ)區(qū)域的運(yùn)營(yíng)商標(biāo)識(shí)相同�;響應(yīng)于所述平臺(tái)挑戰(zhàn)字中包含的運(yùn)營(yíng)商標(biāo)識(shí)與所述OTP存儲(chǔ)區(qū)域的運(yùn)營(yíng)商標(biāo)識(shí)相同,驗(yàn)證所述平臺(tái)挑戰(zhàn)字獲得通過(guò)�����;生成終端挑戰(zhàn)字,計(jì)算所述終端挑戰(zhàn)字的散列值��;將所述散列值傳遞給所述認(rèn)證客戶端�����。
12.根據(jù)權(quán)利要求11所述的系統(tǒng)���,其特征在于,所述身份認(rèn)證請(qǐng)求中還包括所述認(rèn)證客戶端預(yù)先產(chǎn)生的終端時(shí)間戳與終端隨機(jī)數(shù)�;所述終端管理平臺(tái),還用于從接收到的身份認(rèn)證請(qǐng)求中獲取所述終端時(shí)間戳與終端隨機(jī)數(shù)��; 所述平臺(tái)挑戰(zhàn)字中還包括所述終端時(shí)間戳與終端隨機(jī)數(shù)��; 所述認(rèn)證客戶端���,還用于在所述驗(yàn)證所述平臺(tái)挑戰(zhàn)字獲得通過(guò)之后��,識(shí)別所述平臺(tái)挑戰(zhàn)字中包含的終端時(shí)間戳與終端隨機(jī)數(shù)是否分別與所述認(rèn)證客戶端最近一次產(chǎn)生的終端時(shí)間戳與最近一次產(chǎn)生的終端隨機(jī)數(shù)相同����;響應(yīng)于所述平臺(tái)挑戰(zhàn)字中包含的終端時(shí)間戳與終端隨機(jī)數(shù)分別與所述認(rèn)證客戶端最近一次產(chǎn)生的終端時(shí)間戳與最近一次產(chǎn)生的終端隨機(jī)數(shù)相同��,向所述CPU發(fā)送散列值計(jì)算請(qǐng)求; 所述CPU���,具體用于響應(yīng)于接收到所述散列值計(jì)算請(qǐng)求后�����,開(kāi)始執(zhí)行所述生成終端挑戰(zhàn)字的操作�。
13.根據(jù)權(quán)利要求12所述的系統(tǒng)��,其特征在于���,所述平臺(tái)挑戰(zhàn)字中還包括所述終端管理平臺(tái)預(yù)先產(chǎn)生的平臺(tái)時(shí)間戳與平臺(tái)隨機(jī)數(shù)��; 所述終端挑戰(zhàn)字中還包括所述終端序列號(hào)���、所述平臺(tái)時(shí)間戳、所述平臺(tái)隨機(jī)數(shù)���; 所述終端管理平臺(tái),具體用于所述計(jì)算從認(rèn)證客戶端接收的所述終端序列號(hào)�����、最近一次產(chǎn)生的平臺(tái)時(shí)間戳與最近一次產(chǎn)生的平臺(tái)隨機(jī)數(shù)的散列值作為所述散列驗(yàn)證值��。
14.根據(jù)權(quán)利要求13所述的系統(tǒng)����,其特征在于�,所述終端管理平臺(tái)�,具體用于生成平臺(tái)挑戰(zhàn)字��,采用加密算法加密所述平臺(tái)挑戰(zhàn)字獲得所述平臺(tái)挑戰(zhàn)字的密文�����,將所述密文發(fā)送至所述認(rèn)證客戶端���; 所述認(rèn)證客戶端,具體用于將所述密文發(fā)送給所述CPU ; 所述CPU,還用于采用所述加密算法對(duì)應(yīng)的解密算法解密所述密文,獲得平臺(tái)挑戰(zhàn)字����。
15.根據(jù)權(quán)利要求10至14任意一項(xiàng)所述的系統(tǒng)�����,其特征在于,所述CPU與所述認(rèn)證客戶端之間通過(guò)所述終端的操作系統(tǒng)內(nèi)核驅(qū)動(dòng)程序進(jìn)行通信����。
16.根據(jù)權(quán)利要求16所述的系統(tǒng),其特征在于�����,所述CPU�,還用于在將所述散列值傳遞給所述認(rèn)證客戶端時(shí),還將計(jì)算所述散列值的散列算法傳遞給所述認(rèn)證客戶端���,以由所述認(rèn)證客戶端發(fā)送給所述終端管理平臺(tái)��;
所述終端管理平臺(tái)�����,具體用于使用從所述認(rèn)證客戶端接收到的所述散列算法計(jì)算終端挑戰(zhàn)字的散列驗(yàn)證值�����。
17.根據(jù)權(quán)利要求16所述的系統(tǒng)����,其特征在于���,所述終端挑戰(zhàn)字還包括:所述CPU的芯片型號(hào)和/或所述CPU的內(nèi)部序列號(hào); 所述終端管理平臺(tái)���,還用于預(yù)先存儲(chǔ)有終端序列號(hào)以及對(duì)應(yīng)的CPU芯片型號(hào)和/或CPU內(nèi)部序列號(hào),根據(jù)所述終端序列號(hào)獲取所述CPU的芯片型號(hào)和/或CPU的內(nèi)部序列號(hào)�����。
18.根據(jù)權(quán)利要求17所述的系統(tǒng),其特征在于,所述加密算法為公鑰加密算法,具體包括RSA算法���、Rabin算法、DH公鑰加密算法、橢圓曲線加密算法ECC���、ElGamal算法中的任意一種��; 所述終端管理平臺(tái),具體用于使用預(yù)先生成的公私密鑰對(duì)中的私鑰���,基于所述公鑰加密算法加密所述平臺(tái)挑戰(zhàn)字�; 所述CPU�,具體用于使用所述公私密鑰對(duì)中的公鑰,基于所述公鑰加密算法對(duì)應(yīng)的公鑰解密算法解密所述密文��。
【文檔編號(hào)】H04L29/06GK103701757SQ201210365176
【公開(kāi)日】2014年4月2日 申請(qǐng)日期:2012年9月27日 優(yōu)先權(quán)日:2012年9月27日
【發(fā)明者】胡冰松, 夏俊, 肖晴 申請(qǐng)人:中國(guó)電信股份有限公司