含了允许所述终端设备登录时产生的保护密钥信息,该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
[0064]一种终端设备,应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中,包括:
[0065]发送模块,用于通过所述EAS向KMC发送登录请求消息,其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证KMC身份的第一挑战信息;
[0066]接收模块,用于通过所述EAS接收所述KMC发送的认证请求消息,其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息,其中,所述第一挑战应答信息是所述KMC是根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算得到;
[0067]认证模块,用于根据所述第一挑战应答信息,确定对所述KMC认证通过,并通过EAS向所述KMC发送认证响应消息,其中,所述认证响应消息中包含了第二挑战应答信息,使得所述KMC根据所述第二挑战应答信息对所述终端设备进行登录认证。
[0068]所述发送模块,具体用于通过MS网络信令向所述EAS发送登录请求消息,其中,所述登录请求消息用于表征终端设备需要登录KMC ;使得所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息,确定所述终端设备所属的KMC,并将接收到的所述登录请求消息转发给确定的所述KMC。
[0069]所述发送模块,具体用于通过MS网络信令向所述EAS发送登录请求消息,其中,所述登录请求消息用于表征终端设备需要登录KMC ;使得所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息确定所述终端设备所属的用户域以及所述终端设备的安全等级信息,并根据所述终端设备的安全等级信息,确定所述终端设备所属的至少一个KMC,并将接收到的所述登录请求消息分别转发给确定的所述至少一个KMC ;
[0070]其中,所述用户域内包含了至少一个KMC,每一个KMC对应一个安全等级。
[0071]所述用于验证KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息;
[0072]所述认证模块,具体用于利用本地存储的共享密钥对所述第一随机信息进行加密运算,得到第四加密结果;并将所述第一挑战应答信息与所述第四加密结果进行比较;在确定所述第一挑战应答信息与所述第四加密结果相同时,确定对所述KMC认证通过;
[0073]其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
[0074]所述接收模块,还用于通过所述EAS接收所述KMC发送的登录接受消息,其中,所述登录接受消息是所述KMC根据接收到的所述第二挑战应答信息对所述终端设备认证通过后发送的,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
[0075]本发明有益效果如下:
[0076]本发明实施例在MS网络系统中引入加密应用服务器和密钥管理中心,主要用于执行保密通信业务,通过所述KMC接收所述EAS转发的终端设备发送的包含了所述终端设备的标识信息和用于验证所述KMC身份的第一挑战信息的登录请求消息,根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息;再通过所述EAS向所述终端设备发送包含了所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息的认证请求消息;并接收所述EAS转发的所述终端设备发送的包含了第二挑战应答信息的认证响应消息;根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录,为后续保密通信业务的执行奠定基础。由此可见,由于在部署KMC时为终端设备和KMC存储共享密钥,利用IMS网络信令实现在KMC侧对终端设备的认证机制以及在终端设备侧对KMC的认证机制,有针对性地解决了 IMS网络保密通信业务系统中终端设备与网络侧设备相互认证的问题,有效增加了保密通信业务系统中保密通信业务执行的安全性。
【附图说明】
[0077]图1为本发明实施例一提供的一种终端设备登录认证的方法的流程示意图;
[0078]图2为本发明实施例二提供的一种终端设备登录认证的方法的流程示意图;
[0079]图3为本发明实施例三提供的一种终端设备登录认证的方法的流程示意图;
[0080]图4为本发明实施例四提供的一种用于对终端设备进行登录认证的密钥管理中心的结构示意图;
[0081]图5为本发明实施例五提供的一种终端设备的结构示意图。
【具体实施方式】
[0082]为了实现本发明的目的,本发明实施例提供了一种终端设备登录认证的方法和设备,在MS网络系统中引入加密应用服务器和密钥管理中心,通过所述KMC接收所述EAS转发的终端设备发送的包含了所述终端设备的标识信息和用于验证所述KMC身份的第一挑战信息的登录请求消息,根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息;再通过所述EAS向所述终端设备发送包含了所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息的认证请求消息;并接收所述EAS转发的所述终端设备发送的包含了第二挑战应答信息的认证响应消息;根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录,为后续保密通信业务的执行奠定基础。
[0083]由此可见,由于在部署KMC时为终端设备和KMC存储共享密钥,利用MS网络信令实现在KMC侧对终端设备的认证机制以及在终端设备侧对KMC的认证机制,有针对性地解决了 IMS网络保密通信业务系统中终端设备与网络侧设备相互认证的问题,有效增加了保密通信业务系统中保密通信业务执行的安全性。
[0084]需要说明的是,本发明实施例应用的系统架构包括但不限于MS核心网络(例如:包含了 SBC(Sess1n Border Controller,会话边界控制器)、P_CSCF(Proxy Call Sess1nControl Funct1n,代理呼叫会话控制功能)、S-CSCF (Serving Call Sess1n ControlFunct1n,服务呼叫会话控制功能)、HSS(Home Subscriber Server,归属用户服务器)、MGCF(Media Gateway Control Funct1n,媒体网关控制功能)、MGW (Media Gateway,媒体网关)等网元设备;此外,当系统构架中包含了 SIP (Sess1n Initiat1n Protocol,会话初始协议)服务器时,也可以使用本发明实施例提供的技术方案,实现由SIP系统为用户提供保密通信业务,这里不做具体限定。
[0085]本发明各个实施例中涉及的加密应用服务器(EAS, Encrypt1n Applicat1nServer),用于为终端设备提供保密通信业务(其中,保密通信业务包括但不限于加密语音通话业务、加密视频通话业务、加密会议通话业务、加密短信业务、加密文件传输业务、加密邮件业务等)。EAS具备的功能包括:一方面,EAS兼容有MS网络系统中AS (Applicat1nServer,应用服务器)会话业务逻辑出发功能,能够从MS网络的核心实体S-CSCF中接收终端设备发起的业务请求消息,触发保密通信业务以及负责各种控制面呼叫处理和连接控制,并对执行的业务进行计费;另一方面,EAS通过设置的安全接口与密钥管理中心(KMC,Key Management Center)进行通信,能够根据业务处理逻辑完成终端设备在KMC上的注册、身份鉴权、密钥管理等方面信息的传输,支持终端设备与KMC之间的信令交互。
[0086]本发明各个实施例中涉及的密钥管理中心(KMC),用于对保密通信业务需要的密钥进行管理,具体包括但不限于:生成密钥、注入密钥、分发密钥、存储密钥、归档密钥、导出密钥、更新密钥以及销毁密钥等在内的全生命周期的密钥管理。KMC通过安全接口与EAS进行通信,能够通过EAS接收来自终端设备的密码请求消息,完成终端设备的注册、身份鉴权、密钥分发等操作,还能够通过EAS向终端设备中的密码模块下发控制指令,实现对终端设备中的密码模块的远程控制,例如:KMC实现对终端设备中包含了密码模块的管理,能够远程销毁终端设备中的密码模块。
[0087]此外,为了提升用户对运营商保密业务服务的信任度,实现用户对KMC的自行部署。
[0088]用户在部署KMC时,在部署的KMC中存储共享密钥,并确定存储的共享密钥与用户使用终端设备的标识信息之间的对应关系。也就是说,用户在使用终端设备进行通信时,可以将存储在KMC内的共享密钥存储在终端设备中。
[0089]需要说明的是,共享密钥的数量不限,并且终端设备的安全等级不同对应的共享密钥也可以不相同。终端设备的安全等级相同对应的共享密钥可以相同,也可以不相同。不同的终端设备可以使用一个共享密钥,这里不做具体限定。
[0090]本发明各个实施例中涉及的终端设备,该终端设备包含了 IP通信模块和密码通信模块。其中,IP通信模块支持SIP通信协议,具有MS通信能力,支持终端在MS系统的登录/注销、身份认证、呼叫控制与处理等功能;密码模块负责终端密钥管理并执行加解密算法,在控制面,实现与KMC进行信令交互获得通信业务密钥,在媒体面,利用获取的通信业务密钥建立与对端设备的安全关联,实现通信业务的保密传输。
[0091]需要说明的是,本发明实施例中涉及到的第一加密结果、第二加密结果、第三加密结果以及第四加密结果中的“第一”、“第二”、“第三”以及“第四”没有特殊含义,只是用来区分不同主体计算出的不同结果。
[0092]例如:本发明实施例中第一加密结果是KMC在接收终端设备发送的第一挑战信息时利用共享密钥进行加密后得到的;
[0093]第二加密结果是KMC利用共享密钥对自身产生的第二挑战信息进行加密后得到的;
[0094]第三加密结果是终端设备在接收到KMC发送的第二挑战信息时利用共享密钥进行加密后得到的;
[0095]第四加密结果是终端设备利用共享密钥对自身产生的第一挑战信息进行加密后得到的。
[0096]下面结合说明书附图对本发明各个实施例进行详细描述。
[0097]实施例一:
[0098]如图1所示,为本发明实施例一提供的一种终端设备登录认证的方法的流程示意图,本发明实施例一的方案应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中。所述方法可以如下所述。
[0099]步骤101:所述KMC接收所述EAS转发的终端设备发送的登录请求消息。
[0100]其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证所述KMC身份的第一挑战信息。
[0101]在步骤101中,终端设备在开机之后,通过IP网络接入IMS核心网,并完成IMS网络以及业务注册。
[0102]终端设备在准备开展保密通信业务时,发起登录请求消息,该登录请求消息用于表征终端设备需要登录密钥管理中心。
[0103]终端设备通过MS网络信令将登录请求消息发送给加密应用服务器(EAS),并告知EAS触发终端设备登录KMC的登录流程。
[0104]需要说明的是,用于承载发送登录请求消息的MS网络信令包括但不限于:MS系统的MESSAGE消息、OPT1NS消息、INFO等SIP信令消息,这里不做限定