。
[0105]此时,EAS根据接收到的所述登录请求消息中包含了终端设备的标识信息,确定所述终端设备所属的密钥管理中心(KMC),将接收到的所述登录请求消息转发给确定的所述KMC。
[0106]需要说明的是,EAS在将接收到的所述登录请求消息转发给确定的所述KMC时,可以根据传输需要对接收到的登录请求消息进行协议转换,并通过与KMC之间的安全接口,将转换后的登录请求消息发送给KMC,其中,转换后的登录请求消息中包含了终端设备的标识信息和用于验证所述KMC身份的第一挑战信息。
[0107]步骤102:所述KMC根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息。
[0108]在步骤102中,所述KMC在接收到终端设备的登录请求消息之后,根据所述登录请求消息中包含的所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息,以协助完成终端设备对KMC的认证。
[0109]需要说明的是,所述第一挑战信息可以是随机数信息,还可以是其他形式的信息,这里不做限定。
[0110]假设所述用于验证所述KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息。
[0111]此时,所述KMC利用所述共享密钥信息对所述第一挑战信息进行计算,得到第一挑战应答信息,具体包括:
[0112]所述KMC利用所述共享密钥信息对所述第一随机信息进行加密运算,得到第一加密结果,并将得到的第一加密结果作为第一挑战应答信息。
[0113]其中,所述共享密钥信息是用户在部署KMC时预先存储在KMC内部的,并在KMC内部存储了共享密钥信息与用户使用终端设备的标识信息之间的对应关系。
[0114]步骤103:所述KMC通过所述EAS向所述终端设备发送认证请求消息。
[0115]其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息。
[0116]在步骤103中,所述KMC将用于认证终端设备的认证请求消息发送给EAS,告知EAS将接收到的认证请求消息转发给所述终端设备,并在所述认证请求消息中携带了所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息。
[0117]此时,EAS通过MS网络信令将接收到的认证请求消息下发给终端设备。
[0118]其中,用于承载发送认证请求消息的MS网络信令包括但不限于:MS系统的MESSAGE消息、OPT1NS消息、INFO等SIP信令消息,这里不做限定。
[0119]需要说明的是,EAS在将接收到的所述认证请求消息转发给终端设备时,可以根据传输需要对接收到的认证请求消息进行协议转换,并在转换后的认证请求消息中携带所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息,发送给终端设备。
[0120]步骤104:所述KMC接收所述EAS转发的所述终端设备发送的认证响应消息。
[0121]其中,所述认证响应消息是所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时发送的,所述认证响应消息中包含了第二挑战应答信息。
[0122]在步骤104中,首先,终端设备在接收到EAS发送的认证请求消息时,对发送认证请求消息的KMC进行认证。
[0123]具体地,当终端设备为验证KMC生成的所述用于验证KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息时,所述终端设备利用本地存储的共享密钥对所述第一随机信息进行加密运算,得到第四加密结果;并将所述第一挑战应答信息与所述第四加密结果进行比较;在确定所述第一挑战应答信息与所述第四加密结果相同时,确定对所述KMC认证通过。
[0124]其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
[0125]其次,终端设备根据接收到的所述认证请求消息中包含的第二挑战信息,生成第二挑战应答信息,用于响应KMC对所述终端设备的认证。
[0126]具体地,终端设备利用本地存储的共享密钥对接收到的第二挑战信息进行加密运算,得到第二挑战应答信息。
[0127]当所述用于验证所述终端设备的第二挑战信息为所述KMC为验证待请求登录的所述终端设备产生的第二随机信息时,所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时,利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到的第三加密结果,并将第三加密结果作为第二挑战应答信息。
[0128]其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
[0129]此时,终端设备通过EAS向所述KMC发送认证响应消息。
[0130]其中,所述认证响应消息中包含了第二挑战应答信息。
[0131]步骤105:所述KMC根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录。
[0132]在步骤105中,当所述用于验证所述终端设备的第二挑战信息为所述KMC为验证待请求登录的所述终端设备产生的第二随机信息时,所述KMC根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,具体包括:
[0133]所述KMC利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到第二加密结果;并将所述第二挑战应答信息与所述第二加密结果进行比较;在确定所述第二挑战应答信息与所述第二加密结果相同时,确定对所述终端设备的登录认证通过。
[0134]在本发明的另一个实施例中,所述KMC在允许所述终端设备登录时,所述方法还包括:
[0135]所述KMC通过所述EAS向所述终端设备发送登录接受消息。
[0136]其中,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
[0137]此时,EAS通过MS网络信令将接收到的登录接受消息下发给终端设备。
[0138]其中,用于承载发送登录接受消息的MS网络信令包括但不限于:MS系统的MESSAGE消息、OPT1NS消息、INFO等SIP信令消息,这里不做限定。
[0139]需要说明的是,EAS在将接收到的所述登录接受消息转发给终端设备时,可以根据传输需要对接收到的认证请求消息进行协议转换,并在转换后的登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,并指示该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
[0140]通过本发明实施例一的方案,在MS网络系统中引入加密应用服务器和密钥管理中心,通过所述KMC接收所述EAS转发的终端设备发送的包含了所述终端设备的标识信息和用于验证所述KMC身份的第一挑战信息的登录请求消息,根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息;再通过所述EAS向所述终端设备发送包含了所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息的认证请求消息;并接收所述EAS转发的所述终端设备发送的包含了第二挑战应答信息的认证响应消息;根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录,为后续保密通信业务的执行奠定基础。
[0141]由此可见,由于在部署KMC时为终端设备和KMC存储共享密钥,利用MS网络信令实现在KMC侧对终端设备的认证机制以及在终端设备侧对KMC的认证机制,有针对性地解决了 IMS网络保密通信业务系统中终端设备与网络侧设备相互认证的问题,有效增加了保密通信业务系统中保密通信业务执行的安全性。
[0142]实施例二:
[0143]如图2所示,为本发明实施例二提供的一种终端设备登录认证的方法的流程示意图。本发明实施例二是与本发明实施例一在同一发明构思下的发明,应用在包含了加密应用服务器EAS和密钥管理中心KMC的保密通信业务系统中,所述方法可以如下所述。
[0144]步骤201:所述终端设备通过所述EAS向KMC发送登录请求消息。
[0145]其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证KMC身份的第一挑战信息。
[0146]在步骤201中,所述终端设备通过MS网络信令向所述EAS发送登录请求消息。
[0147]其中,所述登录请求消息用于表征终端设备需要登录KMC。
[0148]此时,所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息,确定所述终端设备所属的KMC,并将接收到的所述登录请求消息转发给确定的所述KMC。
[0149]具体地,终端设备在开机之后,通过IP网络接入MS核心网,并完成MS网络以及业务注册。
[0150]终端设备在准备开展保密通信业务时,发起登录请求消息,该登录请求消息用于表征终端设备需要登录密钥管理中心。
[0151]终端设备通过MS网络信令将登录请求消息发送给加密应用服务器(EAS),并告知EAS触发终端设备登录KMC的登录流程。
[0152]需要说明的是,用于承载发送登录请求消息的MS网络信令包括但不限于:MS系统的MESSAGE消息、OPT1NS消息、INFO等SIP信令消息,这里不做限定。
[0153]此时,EAS根据接收到的所述登录请求消息中包含了终端设备的标识信息,确定所述终端设备所属的密钥管理中心(KMC),将接收到的所述登录请求消息转发给确定的所述KMC。
[0154]需要说明的是,EAS在将接收到的所述登录请求消息转发给确定的所述KMC时,可以根据传输需要对接收到的登录请求消息进行协议转换,并通过与KMC之间的安全接口,将转换后的登录请求消息发送给KMC,其中,转换后的登录请求消息中包含了终端设备的标识信息和用于验证所述KMC身份的第一挑战信息。
[0155]可选地,所述终端设备通过MS网络信令向所述EAS发送登录请求消息。
[0156]其中,所述登录请求消息用于表征终端设备需要登录KMC。
[0157]此时,所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息确定所述终端设备所属的用户域以及所述终端设备的安全等级信息,并根据所述终端设备的安全等级信息,确定所述终端设备所属的至少一个KMC,并将接收到的所述登录请求消息分别转发给确定的所述至少一个KMC。
[0158]其中,所述用户域内包含了至少一个KMC,每一个KMC对应一个安全等级。
[0159]需要说明的是,EAS本地可以存储有终端设备的安全等级信息,也可以通过信令交互的方式从其他设备获取终端设备的安全等级信息,这里不做限定。
[0160]步骤202:所述终端设备通过所述EAS接收所述KMC发送的认证请求消息。
[0161]其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息。
[0162]所述第一挑战应答信息是所述KMC是根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述登录请求消息中包含的所述第一挑战信息进行加密运算得到的。
[0163]在步骤202中,所述KMC将用于认证终端设备的认证请求消息发送给EAS,告知EAS将接收到的认证请求消息转发给所述终端设备,并在所述认证请求消息中携带了所述第一挑战应答信息和用于验证所述终端设