备的第二挑战信息。
[0164]此时,EAS通过MS网络信令将接收到的认证请求消息下发给终端设备。
[0165]其中,用于承载发送认证请求消息的MS网络信令包括但不限于:MS系统的MESSAGE消息、OPT1NS消息、INFO等SIP信令消息,这里不做限定。
[0166]需要说明的是,EAS在将接收到的所述认证请求消息转发给终端设备时,可以根据传输需要对接收到的认证请求消息进行协议转换,并在转换后的认证请求消息中携带所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息,发送给终端设备。
[0167]步骤203:所述终端设备根据所述第一挑战应答信息,确定对所述KMC认证通过,并通过EAS向所述KMC发送认证响应消息。
[0168]其中,所述认证响应消息中包含了第二挑战应答信息,使得所述KMC根据所述第二挑战应答信息对所述终端设备进行登录认证。
[0169]在步骤203中,当所述用于验证KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息时,所述终端设备利用本地存储的共享密钥对所述第一随机信息进行加密运算,得到第四加密结果;并将所述第一挑战应答信息与所述第四加密结果进行比较;在确定所述第一挑战应答信息与所述第四加密结果相同时,确定对所述KMC认证通过。
[0170]其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
[0171]所述终端设备在对所述KMC认证通过时,根据接收到的所述认证请求消息中包含的第二挑战信息,生成第二挑战应答信息,用于响应KMC对所述终端设备的认证。
[0172]具体地,终端设备利用本地存储的共享密钥对接收到的第二挑战信息进行加密运算,得到第二挑战应答信息。
[0173]当所述用于验证所述终端设备的第二挑战信息为所述KMC为验证待请求登录的所述终端设备产生的第二随机信息时,所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时,利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到的第三加密结果,并将第三加密结果作为第二挑战应答信息。
[0174]其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
[0175]此时,终端设备通过EAS向所述KMC发送认证响应消息。
[0176]其中,所述认证响应消息中包含了第二挑战应答信息。
[0177]步骤204:所述终端设备通过所述EAS接收所述KMC发送的登录接受消息。
[0178]其中,所述登录接受消息是所述KMC根据接收到的所述第二挑战应答信息对所述终端设备认证通过后发送的,所述登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
[0179]具体地,所述KMC通过所述EAS向所述终端设备发送登录接受消息。
[0180]此时,EAS通过MS网络信令将接收到的登录接受消息下发给终端设备。
[0181]其中,用于承载发送登录接受消息的MS网络信令包括但不限于:MS系统的MESSAGE消息、OPT1NS消息、INFO等SIP信令消息,这里不做限定。
[0182]需要说明的是,EAS在将接收到的所述登录接受消息转发给终端设备时,可以根据传输需要对接收到的认证请求消息进行协议转换,并在转换后的登录接受消息中包含了允许所述终端设备登录时产生的保护密钥信息,并指示该保护密钥信息用于为所述终端设备在登录该KMC之后发生的保密通信业务服务。
[0183]实施例三:
[0184]如图3所示,为本发明实施例三提供的一种终端设备登录认证的方法的流程示意图,本发明实施例三是与本发明实施例一?本发明实施例二在同一发明构思下的发明,所述方法可以如下所述。
[0185]步骤1:所述终端设备通过所述EAS向KMC发送登录请求消息。
[0186]其中,所述登录请求消息中包含了所述终端设备的标识信息和用于验证KMC身份的第一挑战信息。
[0187]所述终端设备通过MS网络信令向所述EAS发送登录请求消息。
[0188]其中,所述登录请求消息用于表征终端设备需要登录KMC ;
[0189]此时,所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息,确定所述终端设备所属的KMC,并将接收到的所述登录请求消息转发给确定的所述KMC。
[0190]具体地,终端设备在开机之后,通过IP网络接入MS核心网,并完成MS网络以及业务注册。
[0191]终端设备在准备开展保密通信业务时,发起登录请求消息,该登录请求消息用于表征终端设备需要登录密钥管理中心。
[0192]终端设备通过MS网络信令将登录请求消息发送给加密应用服务器(EAS),并告知EAS触发终端设备登录KMC的登录流程。
[0193]需要说明的是,用于承载发送登录请求消息的MS网络信令包括但不限于:MS系统的MESSAGE消息、OPT1NS消息、INFO等SIP信令消息,这里不做限定。
[0194]此时,EAS根据接收到的所述登录请求消息中包含了终端设备的标识信息,确定所述终端设备所属的密钥管理中心(KMC),将接收到的所述登录请求消息转发给确定的所述KMC。
[0195]需要说明的是,EAS在将接收到的所述登录请求消息转发给确定的所述KMC时,可以根据传输需要对接收到的登录请求消息进行协议转换,并通过与KMC之间的安全接口,将转换后的登录请求消息发送给KMC,其中,转换后的登录请求消息中包含了终端设备的标识信息和用于验证所述KMC身份的第一挑战信息。
[0196]可选地,所述终端设备通过MS网络信令向所述EAS发送登录请求消息。
[0197]其中,所述登录请求消息用于表征终端设备需要登录KMC ;
[0198]此时,所述EAS根据所述登录请求消息中包含的所述终端设备的标识信息确定所述终端设备所属的用户域以及所述终端设备的安全等级信息,并根据所述终端设备的安全等级信息,确定所述终端设备所属的至少一个KMC,并将接收到的所述登录请求消息分别转发给确定的所述至少一个KMC。
[0199]其中,所述用户域内包含了至少一个KMC,每一个KMC对应一个安全等级。
[0200]步骤2:所述KMC接收所述EAS转发的终端设备发送的登录请求消息。
[0201]步骤3:所述KMC根据所述登录请求消息中包含了所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息。
[0202]所述KMC在接收到终端设备的登录请求消息之后,根据所述登录请求消息中包含的所述终端设备的标识信息,确定本地存储的与所述终端设备的标识信息对应的共享密钥信息,并利用所述共享密钥信息对所述第一挑战信息进行加密运算,得到第一挑战应答信息,以协助完成终端设备对KMC的认证。
[0203]需要说明的是,所述第一挑战信息可以是随机数信息,还可以是其他形式的信息,这里不做限定。
[0204]假设所述用于验证所述KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息。
[0205]此时,所述KMC利用所述共享密钥信息对所述第一挑战信息进行计算,得到第一挑战应答信息,具体包括:
[0206]所述KMC利用所述共享密钥信息对所述第一随机信息进行加密运算,得到第一加密结果,并将得到的第一加密结果作为第一挑战应答信息。
[0207]其中,所述共享密钥信息是用户在部署KMC时预先存储在KMC内部的,并在KMC内部存储了共享密钥信息与用户使用终端设备的标识信息之间的对应关系。
[0208]步骤4:所述KMC通过所述EAS向所述终端设备发送认证请求消息。
[0209]其中,所述认证请求消息中包含了所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息。
[0210]所述KMC将用于认证终端设备的认证请求消息发送给EAS,告知EAS将接收到的认证请求消息转发给所述终端设备,并在所述认证请求消息中携带了所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息。
[0211]此时,EAS通过MS网络信令将接收到的认证请求消息下发给终端设备。
[0212]其中,用于承载发送认证请求消息的MS网络信令包括但不限于:MS系统的MESSAGE消息、OPT1NS消息、INFO等SIP信令消息,这里不做限定。
[0213]需要说明的是,EAS在将接收到的所述认证请求消息转发给终端设备时,可以根据传输需要对接收到的认证请求消息进行协议转换,并在转换后的认证请求消息中携带所述第一挑战应答信息和用于验证所述终端设备的第二挑战信息,发送给终端设备。
[0214]步骤5:所述终端设备通过所述EAS接收所述KMC发送的认证请求消息。
[0215]其中,所述认证请求消息中包含了第一挑战应答信息和用于验证所述终端设备的第二挑战信息。
[0216]步骤6:所述终端设备根据所述第一挑战应答信息,确定对所述KMC认证通过,并通过EAS向所述KMC发送认证响应消息。
[0217]其中,所述认证响应消息中包含了第二挑战应答信息,使得所述KMC根据所述第二挑战应答信息对所述终端设备进行登录认证。
[0218]当所述用于验证KMC身份的第一挑战信息为所述终端设备为验证本次待登录的KMC产生的第一随机信息时,所述终端设备利用本地存储的共享密钥对所述第一随机信息进行加密运算,得到第四加密结果;并将所述第一挑战应答信息与所述第四加密结果进行比较;在确定所述第一挑战应答信息与所述第四加密结果相同时,确定对所述KMC认证通过。
[0219]其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
[0220]所述终端设备在对所述KMC认证通过时,根据接收到的所述认证请求消息中包含的第二挑战信息,生成第二挑战应答信息,用于响应KMC对所述终端设备的认证。
[0221]具体地,终端设备利用本地存储的共享密钥对接收到的第二挑战信息进行加密运算,得到第二挑战应答信息。
[0222]当所述用于验证所述终端设备的第二挑战信息为所述KMC为验证待请求登录的所述终端设备产生的第二随机信息时,所述终端设备根据所述第一挑战应答信息对所述KMC认证通过时,利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到的第三加密结果,并将第三加密结果作为第二挑战应答信息。
[0223]其中,终端设备本地存储的共享密钥信息是用户将部署KMC时预先存储在KMC内部的共享密钥信息存储在终端设备中。
[0224]此时,终端设备通过EAS向所述KMC发送认证响应消息。
[0225]其中,所述认证响应消息中包含了第二挑战应答信息。
[0226]步骤7:所述KMC接收所述EAS转发的所述终端设备发送的认证响应消息。
[0227]步骤8:所述KMC根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,并允许所述终端设备登录。
[0228]当所述用于验证所述终端设备的第二挑战信息为所述KMC为验证待请求登录的所述终端设备产生的第二随机信息时,所述KMC根据所述第二挑战应答信息,确定对所述终端设备的登录认证通过,具体包括:
[0229]所述KMC利用本地存储的共享密钥对所述第二随机信息进行加密运算,得到第二加密结果;并将所述第二挑战应答信息与所述第二加密结果进行比较;在确定所述第二挑战应答信息与所述第二加密结果相同时