一种终端设备登录认证的方法和设备的制造方法
【技术领域】
[0001]本发明涉及信息安全技术领域,尤其涉及一种基于保密通信业务系统的终端设备登录认证的方法和设备。
【背景技术】
[0002]随着通信技术的发展,通信安全在人们心中的意识越来越强。为了保证通信过程中终端设备和/或网络设备身份的真实性,3GPP (3rd Generat1n Partnership Project,第三代移动通信标准化组织)定义了 AKA (Authenticat1n and Key Agreement,认证与密钥协商)认证机制来实现终端设备与网络设备之间的认证。
[0003]其中,所谓AKA认证机制是基于终端侧和网络侧设置的预共享密钥,采用挑战应答方式实现终端设备与网络设备之间的相互认证。
[0004]具体地,AKA认证机制在实施的过程中,网络侧身份认证实体(例如:VLR (VisitedLocat1n Register,访问位置寄存器)/SGSN (Serving GSN,服务GPRS支持节点))需要从归属网络HLR (Home Locat1n Register,归属位置寄存器)中获取认证向量,利用获取的认证向量完成终端设备与网络设备之间的身份认证。也就是说,在网络侧认证实体与归属网络HLR之间只有建立安全的传输接口,才能保证认证向量传输的安全性。
[0005]由此可见,保存了认证向量的HLR由运营商进行管理和控制,并且运营商需要在认证实体与归属网络HLR之间建立安全传输认证向量的通道。
[0006]随着信息安全技术的发展,一种保密通信业务系统应运而生。该系统基于MS网络建立,包含了加密应用服务器和密钥管理中心,其中,密钥管理中心由用户自己部署。该系统网络侧设备与终端设备之间的认证流程需要通过MS网络完成,也就是说,在认证实体密钥管理中心和归属网络HLR之间不存在用于传输认证向量的安全接口,因此,目前使用的AKA认证机制无法应用在保密通信业务系统中。
[0007]因此,如何在保密通信业务系统中完成终端设备与网络侧设备之间的认证成为需要解决的重要问题。
【发明内容】
[0008]本发明实施例提供了一种终端设备登录认证的方法和设备,用于解决如何在保密通信业务系统中完成终端设备与网络侧设备之间的认证问题。
[0009]一种终端设备登录认证的方法,应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中,包括:
[0010]所述KMC接收所述EAS转发的终端设备发送的登录请求消息,其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证所述KMC身份的第一挑战信息;
[0011 ] 所述KMC通过所述EAS向所述终端设备发送认证请求消息,其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息;
[0012]所述KMC接收所述EAS转发的所述终端设备发送的认证响应消息,其中,所述认证响应消息是所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时发送的,所述认证响应消息中包含了第二挑战应答信息;
[0013]所述KMC根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录。
[0014]所述第一挑战应答信息通过以下方式确定的:
[0015]所述KMC根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息。
[0016]所述用于验证所述KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息;
[0017]所述KMC利用所述共享密钥信息对所述第一挑战信息进行计算,得到第一挑战应答信息,包括:
[0018]所述KMC利用所述共享密钥信息对所述第一随机信息进行加密运算,得到第一加密结果,并将得到的第一加密结果作为第一挑战应答信息;
[0019]其中,所述共享密钥信息是用户在部署KMC时预先存储在KMC内部的,并在KMC内部存储了共享密钥信息与用户使用终端设备的标识信息之间的对应关系。
[0020]所述用于验证所述终端设备的第二挑战信息为所述KMC为验证待请求登录的所述终端设备产生的第二随机信息;
[0021]所述KMC根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,包括:
[0022]所述KMC利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到第二加密结果;并
[0023]将所述第二挑战应答信息与所述第二加密结果进行比较;
[0024]所述KMC在确定所述第二挑战应答信息与所述第二加密结果相同时,确定对所述终端设备的登录认证通过;
[0025]其中,所述第二挑战应答信息是所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时,利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到的第三加密结果;
[0026]其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
[0027]所述KMC在允许所述终端设备登录时,所述方法还包括:
[0028]所述KMC通过所述EAS向所述终端设备发送登录接受消息,其中,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
[0029]一种终端设备登录认证的方法,应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中,包括:
[0030]所述终端设备通过所述EAS向KMC发送登录请求消息,其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证KMC身份的第一挑战信息;
[0031 ] 所述终端设备通过所述EAS接收所述KMC发送的认证请求消息,其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息,其中,所述第一挑战应答信息是所述KMC是根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算得到;
[0032]所述终端设备根据所述第一挑战应答信息,确定对所述KMC认证通过,并通过EAS向所述KMC发送认证响应消息,其中,所述认证响应消息中包含了第二挑战应答信息,使得所述KMC根据所述第二挑战应答信息对所述终端设备进行登录认证。
[0033]所述终端设备通过所述EAS向KMC发送登录请求消息,包括:
[0034]所述终端设备通过MS网络信令向所述EAS发送登录请求消息,其中,所述登录请求消息用于表征终端设备需要登录KMC ;
[0035]所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息,确定所述终端设备所属的KMC,并将接收到的所述登录请求消息转发给确定的所述KMC。
[0036]所述终端设备通过所述EAS向KMC发送登录请求消息,包括:
[0037]所述终端设备通过MS网络信令向所述EAS发送登录请求消息,其中,所述登录请求消息用于表征终端设备需要登录KMC ;
[0038]所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息确定所述终端设备所属的用户域以及所述终端设备的安全等级信息,并根据所述终端设备的安全等级信息,确定所述终端设备所属的至少一个KMC,并将接收到的所述登录请求消息分别转发给确定的所述至少一个KMC ;
[0039]其中,所述用户域内包含了至少一个KMC,每一个KMC对应一个安全等级。
[0040]所述用于验证KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息;
[0041]所述终端设备根据所述第一挑战应答信息,确定对所述KMC认证通过,包括:
[0042]所述终端设备利用本地存储的共享密钥对所述第一随机信息进行加密运算,得到第四加密结果;并
[0043]将所述第一挑战应答信息与所述第四加密结果进行比较;
[0044]所述终端设备在确定所述第一挑战应答信息与所述第四加密结果相同时,确定对所述KMC认证通过;
[0045]其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
[0046]所述方法还包括:
[0047]所述终端设备通过所述EAS接收所述KMC发送的登录接受消息,其中,所述登录接受消息是所述KMC根据接收到的所述第二挑战应答信息对所述终端设备认证通过后发送的,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,并指示该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
[0048]一种用于对终端设备进行登录认证的密钥管理中心,应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中,包括:
[0049]接收模块,用于接收所述EAS转发的终端设备发送的登录请求消息,其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证所述KMC身份的第一挑战信息;
[0050]发送模块,用于通过所述EAS向所述终端设备发送认证请求消息,其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息;
[0051]所述接收模块,还用于接收所述EAS转发的所述终端设备发送的认证响应消息,其中,所述认证响应消息是所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时发送的,所述认证响应消息中包含了第二挑战应答信息;
[0052]登录认证模块,用于根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录。
[0053]所述密钥管理中心还包括:应答模块,其中:
[0054]所述应答模块,用于根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息。
[0055]所述用于验证所述KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息;
[0056]所述应答模块,具体用于利用所述共享密钥信息对所述第一随机信息进行加密运算,得到第一加密结果,并将得到的第一加密结果作为第一挑战应答信息;
[0057]其中,所述共享密钥信息是用户在部署KMC时预先存储在KMC内部的,并在KMC内部存储了共享密钥信息与用户使用终端设备的标识信息之间的对应关系。
[0058]所述用于验证所述终端设备的第二挑战信息为所述KMC为验证待请求登录的所述终端设备产生的第二随机信息;
[0059]所述登录认证模块,具体用于利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到第二加密结果;并将所述第二挑战应答信息与所述第二加密结果进行比较;
[0060]在确定所述第二挑战应答信息与所述第二加密结果相同时,确定对所述终端设备的登录认证通过;
[0061]其中,所述第二挑战应答信息是所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时,利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到的第三加密结果;
[0062]终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
[0063]所述发送模块,还用于在允许所述终端设备登录时,通过所述EAS向所述终端设备发送登录接受消息,其中,所述登录接受消息中包