专利名称:一种为无线个域网中的用户终端提供业务的方法及系统的制作方法
技术领域:
本发明涉及短距离无线通信技术领域,尤其涉及一种为无线个域网中的 用户终端提供业务的方法及系统。
背景技术:
短距离无线通信技术是通信技术中的一大类,短距离是相对于蜂窝无线
通信、WIMAX ( Worldwide Interoperability for Microwave Access,微波存取全 球互通)等通信距离较长的技术来说的,通常距离不超过几百米,包括红外、 蓝牙、UWB (ultra wideband,超宽带技术)、ZigBee (紫蜂, 一种低速的短 距离无线通信技术)等技术。人们发展短距离无线通信技术,初始的目的是 为了代替有线电缆,如蓝牙耳机可以跟手机进行无线连接,方便用户。
随着短距离无线通信技术应用的逐渐深入,人们发现,如果把各种短距 离无线通信设备组成一个网络,能够充分利用网络的特性,发挥出比个别设 备更强大功能。由于组成一个网络,设备的传输距离和作用范围实际上极大 的增加。因为设备的传输可以经过其它设备中转进行多跳的传输,而作用范 围也从单个设备的覆盖范围扩展到整个网络的覆盖范围。这样组成的网络, 通常称为WP AN (Wireless Personal Area Network,无线个域网)。WPAN相 对于WWAN (Wireless Wide Area Network,无线广域网)、WMAN ( Wireless Metropolitan Area Networks,无线城域网)、WLAN( Wireless local-area network, 无线局域网)等概念,指的是个人范围内的设备所组成的网络,个人范围也 指短距离的范围,典型的距离如10米。WPAN当中的设备可以通过各种无线 技术进行连接,比如蓝牙、UWB、 ZigBee等。因为这样的网络一开始是考虑 到为个人服务的,比如人身上带着的各种电子设备,包括手机、无线耳机、 MP3、手表等都可以组成一个个域网,但后来作用被大大扩展。比如无线个 域网的一种重要技术ZigBee,目前讨论的很多应用实际已经超出了个人的范畴,像楼宇自动化、工业控制、无线传感器应用、电信应用、自动抄表系统
等。而随着无处不在网络概念的推广,WPAN等各种无线接入网络与包括无 线蜂窝网络在内的电信网络的融合正经历着迅速的产业化发展。把无线个域 网和电信网络相结合,这样无线个域网可以充分利用电信网络的长距离通信 和大范围覆盖的特性,同时也可以发挥自己设备筒单、成本低、容易携带、 发射功率小、能耗低等特点,更好的满足用户的需求。用户可以通过无线个 域网请求电信网络提供的业务,或者由无线个域网直接提供各种业务,但需 要电信网络的辅助。这样极大的增加了业务服务的灵活性。其网络结构如图l 所示,包括电信网络、网关、接入点和用户终端,图中实线代表电信网络 链路,虚线代表无线个域网链路。其中,网关是无线个域网和电信网络的结 合点,是无线个域网内部的一个节点,同时可以直接接入到电信网络,这样 无线个域网内部的消息可以通过网关传送到电信网络,电信网络的消息也可 以通过网关传送到无线个域网;接入点是无线个域网中具有路由能力的节点, 给用户终端提供接入服务,用户终端可以通过接入点接入到无线个域网并获 取其提供的服务;用户终端通常是无线个域网的末端节点,直接和用户进行 交互。用户终端可以和电信网络进行直接通信,也可以不直接通信,例如, 通过无线个域网获取电信网络的消息,或者直接获取无线个域网提供的服务 信息。
用户终端从无线个域网获取服务的流程如图2所示,包括以下步骤 步骤s201,用户终端向接入点发送业务请求消息,该消息中包括用户终端 标识Iu和私密信息Mn。
步骤s202,接入点判断该请求消息是否合法。
步骤s203,当合法时,接入点向网关发送业务请求消息,该消息中包括Iu 和Mn。
步骤s204,网关向安全实体发送业务请求消息,该消息中包括Iu和Mn。 步骤s205,安全实体根据Iu和Mn判断请求是否合法。 步骤s205至步骤s207,安全实体判断合法时,通过网关、接入点向用户终 端发送应答消息,接入点为用户终端提供业务。该方案中,用户终端直接向安全实体发送没有采取安全措施的私密信息, 由于无线个域网的安全机制相对不够完善,在无线个域网内传输消息时存在 被恶意截获的安全隐患,因此降低了电信网络提供的安全机制(即电信网络 和用户共享的私密信息)的作用。
发明内容
本发明实施例提供一种为无线个域网中的用户终端提供业务的方法及系 本发明实施例提供了 一种为无线个域网中的用户终端提供业务的方法,
在安全实体和所述用户终端中存储有共享密钥及所述用户终端的标识;所述 方法包括以下步骤
在所述用户终端发起业务请求后,所述安全实体接收来自所述用户终端 的私密信息,所述私密信息由所述用户终端才艮据共享密钥进行了加密;
所述安全实体根据所存储的共享密钥及所述用户终端的标识对所述私密 信息进行解密;
所述安全实体根据解密后的私密信息确定所述用户终端符合安全要求 时,允许为所述用户终端提供所请求的业务。
本发明实施例还提供了 一种为无线个域网中的用户终端提供业务的系 统,包括
所述用户终端,用于在业务请求过程中发送私密信息和用户终端标识; 所述私密信息由所述用户终端根据自己存储的共享密钥进行加密;
所述安全实体,用于接收用户终端发送的私密信息,并根据自己存储的 用户终端标识及共享密钥对所述私密信息进行解密,并在根据解密后的私密 信息判断所述用户终端符合安全要求时,允许为所述用户终端提供请求的业 务。
本发明实施例还提供了一种安全实体,包括
接收单元,用于接收发起业务请求的用户终端发送的私密信息和用户终 端标识;对应关系存储单元,用于存储共享密钥和用户终端标识;
解密单元,用于根据接收单元所接收的用户终端标识及所述存储单元存 储的共享密钥对所接收的私密信息进行解密;
服务提供指示单元,用于根据所述解密后的私密信息确定是否为所述用 户终端提供请求的业务。
本发明的实施例中,即使无线个域网的安全机制不足,当私密信息被截获 后,因为其通过电信网络提供的密钥进行了加密处理,所以还是难以被破译, 因此,增强了为无线个域网中用户终端提供业务的安全性。
图1是现有技术中无线个域网和电信网络相结合示意图2是现有技术中电信网络管理的无线个域网流程示意图3是本发明实施例一实现无线个域网中安全服务的方法流程图4是本发明实施例二实现无线个域网中安全服务的方法流程图5是本发明实施例三实现无线个域网中安全服务的方法流程图6是本发明实施例四实现无线个域网中安全服务的方法流程图7是本发明实施例五实现无线个域网中安全服务的方法流程图8是本发明实施例六实现无线个域网中安全服务的系统结构图9是本发明实施例六实现无线个域网中安全服务的另 一种系统结构图。
具体实施例方式
本发明实施例一是一种为无线个域网中的用户终端提供业务的方法,应 用于电信网络和无线个域网的结合系统中,无线个域网通过网关和电信网络 相连接,如图3所示,其中,该系统中还包括一个安全实体,该安全实体位 于电信网络内,或者经IP链路、《鼓波存取全球互通WIMAX接入链路或蜂窝 接入链路和电信网络相连。如图4所示,包括以下步骤
步骤s401 ,在安全实体和用户终端中存储有共享密钥Ku及用户终端的标 识Iu。步骤s402,在用户终端发起业务请求后,安全实体接收来自用户终端的 私密信息,该私密信息由用户终端根据共享密钥进行了加密。具体为用户终 端根据共享密钥Ku生成加密密钥Kc,并l吏用加密密钥Kc对私密信息加密。 其中,生成加密密钥Kc方式可以为Kc=h (Ku); h ()为哈希函数,是加 密算法中常用的函数,其特点是单向性和非冲突性。单向性是指知道函数值 和部分参数值,很难反向推知其余参数值,即知道Kc,的值和h (),而Kc-h (Ku),想计算Ku很困难;非冲突性是指对于不同的参数值,函数值也不相 同,不过有时候想构造出完全无冲突的哈希函数并不容易,因此一些冲突概 率比较小的函数也可用作哈希函数的用途。当然,使用哈希函数只是一种实 施例,其它具有相同特点的函数同样适用。
步骤s403,安全实体根据所存储的共享密钥及用户终端的标识对私密信 息进行解密。具体为安全实体根据用户终端标识Iu查找预先存储的用户终端 标识和共享密钥Ku的对应关系,确定共享密钥Ku,并利用共享密钥Ku及 步骤s402中的哈希函数获得解密密钥,并才艮据解密密钥对私密信息进行解密。
步骤s404,安全实体根据解密后的私密信息确定用户终端符合安全要求 时,允许为用户终端提供所请求的业务。具体为当用户终端的私密信息符合 安全要求时,安全实体通知接入点可以向该用户终端提供业务;否则,通过 接入点通知用户终端不符合安全条件。所述业务可以是接入点直接提供的, 也可以是电信网络委托接入点提供的。
由于实施例 一 中可能存在重放攻击的情况,即非法设备截获正常数据包 并进行重新发送,接收方误以为是合法设备重发的数据,而进行错误的操作。 为了防止重放攻击,可以有两种处理方式, 一种是通过在用户信息中增加序
共享密钥。
本发明实施例二,通过在用户信息中增加序列数字Cun防止重放攻击,具 体实现过程如图5所示,包括以下步骤
步骤s501,安全实体和用户终端共享一个密钥Ku,称为共享密钥Ku, 安全实体和用户终端还需要共同记录一个序列数字Cun,安全实体还记录用户终端标识Iu,能够根据用户终端标识Iu查找对应的用户信息,如共享密钥Ku 和序列数字Cun。
安全实体可以是电信网络中的AAA ( Authorization, Authentication and Accounting,鉴权、认证和计费服务器),即运营商提供的安全实体,也可能 是商家提供的一个安全服务器,但是和电信网络连接。共享密钥Ku共同存储 在安全实体和用户终端中,比如用户终端中的SIM ( Subscriber Identity Model, 客户识别模块)卡可以存储共享密钥;序列数字Cun可以是用户终端根据某一 规则产生,比如依次加一,到最大值归零、或者直接使用随机数发生器生成; 用户终端标识Iu可以是用户终端的号码,如电话号码,也可以是SIM卡当中记 录的标识信息,或者是用户输入的帐户信息。
步骤s502,用户终端生成私密信息的加密密钥Kc,并利用加密密钥对私 密信息进行加密。生成加密密钥Kc的方法是首先生成新的序列数字Civp 并且判断满足Cun+一CX时,计算Kc-h(Ku, Cun+1),并且把Kc作为所述的 加密密钥,这里h ()是一个函数,比如加密算法当中常用的哈希函数。
步骤s503,用户终端发送业务请求到接入点,请求当中带有用户终端标识 Iu,序列数字Cu^,经过密钥Kc使用某种加密算法进行加密的私密信息。
步骤s504,接入点判断业务请求是否合法,如果不合法,则返回响应给用 户终端,否则转步骤s505。
步骤s505,接入点将业务请求发送到网关。如果用户终端到接入点是单跳 的,接入点收到业务请求后直接处理即可,若用户终端到接入点是多跳的, 那么中间节点会中转业务请求,这个过程中可以使用无线个域网内部基于现 有技术的安全机制保证数据包中转的安全。
步骤s506,网关把业务请求经过电信网络发送到安全实体。
步骤s507,安全实体^4居用户终端标识Iu查找对应的共享密钥Ku和序列
数字CUn,判断是否CUn^Cu^,如果等于则忽略请求或者返回错误响应给网
关,如果不等于则计算解密密钥Kc,-h (Ku, Cun+1),使用Kc,对业务请求当 中的私密信息部分进行解密。
步骤s508,安全实体根据解密的私密信息判断用户请求是否合法。安全实体把解密后的私密信息发送到应用服务实体,应用服务实体根据私密信息判 断用户是否能获得请求的业务,然后给用户终端响应。
步骤s509至步骤s511,判断请求合法后可以由安全实体完成,然后安傘实 体通知应用服务器通过网关、接入点向目的用户终端提供服务,或者由应用
服务器完成。如果请求合法,安全实体可以更新序列数字CUn。
本发明实施例三,通过每次业务请求完成后更新用户终端和安全实体中 的共享密钥。私密信息在无线个域网内部传输的时候,纟可以直接使用电信网 络和用户终端的共享密钥Ku进行加密,但每完成一次业务请求都需要更新共 享密钥以防止重i文攻击。
共享密钥更新方法具体包括两种 一种是如果用户终端同时连接到电信 网络,则电信网络的安全实体生成一个新的共享密钥并通过电信网络链路发 送给用户终端,用户终端收到后更新共享密钥Ku并返回响应给安全实体,安 全实体收到响应后也更新存储的共享密钥Ku,如果收不到响应则重发更新共 享密钥命令。另一种是电信网络的安全实体不直接生成新的共享密钥Ku,而 是生成一段用于更新密钥的信息Mu,然后经过网关由无线个域网发送给用户 终端,用户终端收到更新命令后更新共享密钥,根据预定MJ3'J g ()计算新共 享密钥Ku^g (Ku,Mu),然后经过网关发送应答到安全实体,安全实体收到 应答后也更新存储的共享密钥Ku,=g (Ku,Mu),如果在规定时间内没收到则 重发。本发明实施例四中以移动支付为例进行详细说明,商家在一些地区力文置 一些销售接入点,并且这些点可以连接到国际互联网,商家可以对这些接入 点进行管理。另外,商家提供一个计费系统,相当于安全实体,连接到国际 互联网上,销售接入点就可以和商家的计费系统进行交易信息的交互。商家 可以发行点卡进行充值,并且负责记录管理用户信息。具体实现过程如图6所 示,包括以下步骤
步骤s601,用户终端在网上进行注册,获得购买商家提供的商品或服务的 账号和密码,该账号可以作为用户终端标识Iu(其实是用户标识),而该密码, 或者由该密码按照预定规则生成的序列作为共享密钥Ku (比如输入的密码可以是6 16位字母、数字和特殊字符的组合,但实际存储的密码是一个固定长 度的序列,如64比特,此时需要根据预定规则把不定长的密码转化为定长序 列,例如规定每种符号都可以用0 127的一个数字表示,输入的密码不足16位 的在后面补零,然后把低8位和高8位分别叠加,于是每一位都是0 254的数字, 一共8个数字,每个都可以用8比特表示, 一共64比特)。商家的计费系统记 录了Iu和Ku的对应列表,而用户在需要的时候,可以在用户终端输入账号和 密码,生成的Iu和Ku数据存储在用户终端内。
例如,用户终端首先加入到销售接入点形成的无线个域网中,获取接入 点发来的商品和服务信息,然后用户选取要购买的商品或服务,发送交易请 求到接入点,此时接入点可能会要求用户输入账号和密码,用户输入后把账 号存储起来作为用户终端标识Iu,密码经过预定规则转换生成共享密钥Ku, 也存储在用户终端内。商家的计费系统可能还记录了每个Iu对应的序列数字 Cun。可以规定这个序列数字的初值,比如为O。用户终端也会存储有这个序 列数字Cun,在未使用无线个域网提供的服务时,序列数字为规定的初值。
步骤s602,用户终端随机生成一个新的序列数字CUn+i,并且按照预定的 规则计算加密密钥Kc-h (Ku, Cun+1)。为了完成交易,用户终端需要发送一 段秘密信息,如数字证书,此时应对这段秘密信息使用Kc进行加密。
步骤s603,用户终端向销售接入点发送带有经过Kc加密的秘密信息的数 据包,格式如表l所示,包括帧头、交易信息、终端标识Iu、序列数字CiVi和 Kc加密的秘密信息。帧头后面所有的内容可以使用无线个域网内部的密钥进 行加密。
表l:
帧头交易信息终端标识Iu序列数字CuwKc加密的^it密信息
步骤s604,销售接入点根据业务请求数据包中的交易信息对交易情况进行 初步判断,比如交易商品的数量是否超过限额,若超过限额,则交易信息不 合法,直接返回错误响应给用户终端,若判断交易信息合法,且如果销售接 入点本身就是网关,那么直接执行步骤s605,否则把用户终端标识Iu,序列数 字Cuw和Kc加密的秘密信息一起重新封装在新的数据包当中发送到网关。步骤s605,网关判断接收到的消息是带有秘密信息的交易请求,则通过电 信网络链路把数据包发送到商家的计费系统中。计费系统解封装数据包,从 而获得用户终端标识Iu,序列数字Cu^和Kc加密的秘密信息。计费系统根据
用户终端标识IU查找对应的序列数字CUn和共享密钥Ku,首先对比CUn和CUnw,
若两者相等,则向网关返回错误信息,如不相等则计算Kc,-h (Ku,Cun+1), 并且使用Kc,对加密的秘密信息进行解密,解密后的信息再和Iu对应的信息进 行对比,或者经过预定规则处理后进行对比,若两者一致,则认为用户交易 合法,进行计费并且通过网关通知销售接入点,用户的交易成功;然后销售 接入点完成最后的交易,如送出商品。
本发明实施例五以信息发布为例进行详细说明。为了方便用户随时获得 信息,运营商在一些热点地区会布置一些信息发布点进行信息发布。无线个 域网由于造价低、组网容易而受青睐。在某个地区布置的一些信息发布点可 以组成一个无线个域网,该无线个域网通过网关和电信网络进行连接,因此 运营商可以对它进行集中管理,比如更新信息和维护网络。用户可以利用用 户终端获得信息服务,比如用户向运营商开通信息服务,运营商的应用服务 器就会生成用于获得信息服务的秘密信息Mn,并且通过安全通道发送给用户, 只有给出正确的秘密信息,才会认为是合法的用户。具体实现过程如图7所示, 包括以下步骤
步骤s701,运营商位于电信网络内的安全实体生成一个用于加密信息服务 的共享密钥Ku,记录并且通过电信网络链路发送给用户终端。于是安全实体 当中有一个列表,存储了每个用户标识Iu对应的共享密钥Ku,另外还存储了
用户终端的请求序号,作为序列数字CUn,初始的时候CUn-O,以后每进行一
次信息业务,序列数字都会增一,到最大值又会归零。用户终端也按这个规
则来更改序列数字,并且一开始也把数字设为O。
步骤s702,用户终端需要获得信息,首先接入到信息发布点組成的无线个 域网,然后生成加密密钥,Cun+1=Cun,计算Kc-h (Ku,Cun+1),并利用Kc作 为密钥加密私密信息Mn,比如用函数f()表示加密算法,生成的Mc-f( Kc, Mn) 就是加密后的私密信息。步骤s703,用户终端发送信息请求到信息发布点(下面称为接入点)。信 息请求数据包当中带有请求内容、用户终端标识Iu、序列数字Cu^和加密后 的私密信息Mc。
步骤s704,接入点首先根据请求内容判断请求是否合法,若不合法则通知 用户终端,否则处理这个请求,把请求内容、Iu、 Cun+,和Mc重新封装并发给 网关。
步骤s705,网关解封装并通过电信网络链if各把请求内容、Iu、 Cuw和Mc 发送到电信网络的安全实体。
步骤s706,安全实体获取请求内容、Iu、 Cunw和Mc,首先判断请求是否 合法,于是根据Iu找到存储的相应的序列数字Cun和共享密钥Ku,对比Cun+1 #Cun,则计算Kc,-h(Ku,Cunw),然后用Kc,来解密Mc,计算Mn,=f1 (Kc,, Mc),然后经过安全通道把Mn,发送给应用服务器,应用服务器对比若 Mn,-Mn,则用户合法,允许信息服务并通过网关通知接入点,然后接入点向 用户发送所需要的信息。
其中,安全实体位于电信网络内,或者经IP链路、WIMAX接入链3各或 蜂窝接入链路和电信网络相连,同时无线个域网通过网关和电信网络相连接。 安全实体放在电信网络是因为电信网络的覆盖范围很广,即使用户更改无线 个域网,那么也不需要更改共享密钥及用户终端标识,并且可以利用了电信 网络成熟的安全机制;如果安全实体放在无线个域网,那么每个无线个域网 的共享密钥可能都不同,用户更换网络必须更换密钥,而实际终端可能无法 存储那么多密钥,而且无线个域网的安全机制可能有缺陷。
本发明实施例六是一种实现无线个域网中安全服务的系统,如图8和图9 所示,包括用户终端100和安全实体200,安全实体200位于电信网络内,或 者经IP链路、微波存取全球互通WIMAX接入链路或蜂窝接入链路和电信网 络相连,无线个域网通过网关和电信网络相连接。其中,用户终端IOO,用于 在业务请求过程中发送私密信息和用户终端标识,该私密信息由用户终端才艮 据自己存储的共享密钥进行加密;安全实体200,用于接收用户终端IOO发送 的私密信息,并根据自己存储的用户终端标识及共享密钥对私密信息进行解密,并在根据解密后的私密信息判断用户终端100符合安全要求时,允许为 用户终端100提供请求的业务。
用户终端100还用于发起业务请求,系统还包括接入点,位于无线个域 网中,用于接收业务请求,并在安全实体200允许为用户终端100提供请求 的业务时,向用户终端IOO提供该业务。
安全实体200包括接收单元210,用于接收发起业务请求的用户终端 IOO发送的私密信息和用户终端标识;对应关系存储单元220,用于存储共享 密钥和用户终端标识;解密单元230,用于根据接收单元所接收的用户终端标 识及对应关系存储单元220存储的共享密钥对所接收的私密信息进行解密; 服务提供指示单元240,用于根据解密后的私密信息确定是否为用户终端100 提供请求的业务。
其中,解密单元230包括共享密钥查找子单元231,用于根据所接收的
用户终端标识确定对应的共享密钥;解密密钥获取子单元232,用于才艮据共享
密钥获取解密密钥;私密信息获取子单元233,用于根据解密密钥获取私密信 自
当用户信息中还包括序列数字Cu^时,如图8所示,安全实体200还可 以包括序列数字判断单元250。解密密钥获取单元根据共享密钥和序列数字 Cuw获取解密密钥;序列数字判断单元250判断Cu^是否等于Cun,如果不 等于则触发解密单元230。当用户信息中不包括序列数字时,如图9所示,安 全实体还可以包括共享密钥更新单元260,用于主动更新共享密钥,或才艮据用 户终端IOO的通知消息更新共享密钥。
本发明实施例中,增强了无线个域网数据传输的安全性,通过电信网络 提供的密钥对私密信息进行加密处理,即使无线个域网的安全机制不足导致 私密信息被截获,也难以被破译。另外,由于电信网络的覆盖范围很广,即 使用户更改无线个域网,也不需要更改共享密钥及用户终端标识,并且可以 利用电信网络成熟的安全机制。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此, 例如,私密信息可以不携带在业务请求中,而是单独发送,这样,就不需要接入点将安全请求转发给安全实体,安全实体只需要接收私密信息即可。因 此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、 一种为无线个域网中的用户终端提供业务的方法,其特征在于,在安全实体和所述用户终端中存储有共享密钥及所述用户终端的标识;所述方法包括以下步骤在所述用户终端发起业务请求后,所述安全实体接收来自所述用户终端的私密信息,所述私密信息由所述用户终端根据共享密钥进行了加密;所述安全实体根据所存储的共享密钥及所述用户终端的标识对所述私密信息进行解密;所述安全实体根据解密后的私密信息确定所述用户终端符合安全要求时,允许为所述用户终端提供所请求的业务。
2、 如权利要求1所述的为无线个域网中的用户终端提供业务的方法,其 特征在于,所述安全实体允许为所述用户终端提供所请求的业务包括所述业务请求由所述用户终端向无线个域网中的接入点发起,所述安全 实体通知所述接入点为所述用户终端提供所请求的业务。
3、 如权利要求1所述的为无线个域网中的用户终端提供业务的方法,其 特征在于,所述安全实体和用户终端中还存储有序列数字Cun,所述用户终端 生成与Cun不相等的Cun+1,所述私密信息由所述用户终端根据该Cun及自 己存储的共享密钥进行了加密;所述安全实体接收来自所述用户终端的Cun+1,在该Cun+1与自己存储的CUn不相等时,根据该CUn及自己存储的共享密钥来解密所迷私密信息。
4、 如权利要求1所述的为无线个域网中的用户终端提供业务的方法,其 特征在于,还包括在所述用户终端发起下一次业务请求之前,所述安全实 体与所述用户终端进行共享密钥更新。
5、 如权利要求1至4中任一项所述的为无线个域网中的用户终端提供业 务的方法,其特征在于,所述安全实体位于电信网络内,或者经IP链路、微 波存取全球互通WIMAX接入链路或蜂窝接入链路和电信网络相连。
6、 如权利要求1至4中任一项所述的为无线个域网中的用户终端提供业 务的方法,其特征在于,所述无线个域网通过网关和所述电信网络相连接。
7、 一种为无线个域网中的用户终端提供业务的系统,其特征在于,包括 所述用户终端,用于在业务请求过程中发送私密信息和用户终端标识;所述私密信息由所述用户终端根据自己存储的共享密钥进行加密;所述安全实体,用于接收用户终端发送的私密信息,并根据自己存储的 用户终端标识及共享密钥对所述私密信息进行解密,并在根据解密后的私密 信息判断所述用户终端符合安全要求时,允许为所述用户终端提供请求的业 务。
8、 如权利要求7所述的为无线个域网中的用户终端提供业务的系统,其 特征在于,所述用户终端还用于发起业务请求,所述系统还包括接入点,位于所迷无线个域网中,用于接收所述业务请求,并在所述安 全实体允许为所述用户终端提供请求的业务时,向所述用户终端提供该业务。
9.如权利要求7或8所述的为无线个域网中的用户终端提供业务的系统, 其特征在于,所述安全实体位于电信网络内,或者经IP链路、微波存取全球 互通WIMAX接入链路或蜂窝接入链路和电信网络相连。
10、 如权利要求7或8所述的为无线个域网中的用户终端提供业务的系 统,其特征在于,所迷无线个域网通过网关和所述电信网桑各相连接。
11、 一种安全实体,其特征在于,包括接收单元,用于接收发起业务请求的用户终端发送的私密信息和用户终 端标识;对应关系存储单元,用于存储共享密钥和用户终端标识;解密单元,用于根据接收单元所接收的用户终端标识及所述存储单元存储的共享密钥对所接收的私密信息进行解密;服务提供指示单元,用于根据所述解密后的私密信息确定是否为所述用户终端提供请求的业务。
12、 如权利要求11所述安全实体,其特征在于,所述解密单元包括 共享密钥查找子单元,用于根据所接收的用户终端标识确定对应的共享密钥;解密密钥获取子单元,用于根据所述对应的共享密钥获取解密密钥;私密信息获取子单元,用于根据所述解密密钥获取私密信息。
13、如权利要求11所述安全实体,其特征在于,所述安全实体位于电信网络内,或者经IP链路、微波存取全球互通WIMAX接入链路或蜂窝接入链 路和电信网络相连;所述用户终端位于与所述电信网相连的无线个域网中。
全文摘要
本发明公开了一种为无线个域网中的用户终端提供业务的方法,在安全实体和用户终端中存储有共享密钥及用户终端的标识;该方法包括以下步骤在用户终端发起业务请求后,安全实体接收来自用户终端的私密信息,私密信息由用户终端根据共享密钥进行了加密;安全实体根据所存储的共享密钥及用户终端的标识对私密信息进行解密;安全实体根据解密后的私密信息确定用户终端符合安全要求时,允许为用户终端提供所请求的业务。本发明还公开了一种为无线个域网中的用户终端提供业务的系统和安全实体。本发明中,当私密信息被截获后,因为其通过电信网络提供的密钥进行了加密处理,所以难以被破译,因此,增强了为无线个域网中用户终端提供业务的安全性。
文档编号H04L12/28GK101287277SQ200710090218
公开日2008年10月15日 申请日期2007年4月13日 优先权日2007年4月13日
发明者刘永俊 申请人:华为技术有限公司