端到端鉴权方法和系统及业务端智能卡的制作方法

文档序号:7699983阅读:101来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:端到端鉴权方法和系统及业务端智能卡的制作方法
技术领域
本发明涉及通信技术,尤其涉及一种端到端鉴权方法和系统及业务端智能卡。
背景技术
随着通信技术和市场需求的发展,端到端业务的应用逐渐增多。所谓端到端业务, 即基于通信网络实现网络侧的某个业务终端为用户侧特定的某个或某几个客户终端提供 业务服务,其特点是少量的业务终端为少量的特定客户终端提供业务服务,这区别于常见 的一个业务平台为众多的客户终端同时提供业务服务的情况。在端到端业务中,通常业务 终端和客户终端之间的链接建立及交互等过程均需由网络侧的服务平台进行管理。视频监 控、网络游戏、远程私人医疗服务等业务都可归于端到端业务。鉴权过程是端到端业务中的一个重要环节。以视频监控业务为例来说明鉴权过 程,其可以基于超文本传输协议(Hypertext Transfer Protocol ;以下简称HTTP)登录服 务平台的控制页面,输入用户名和密码进行鉴权。服务平台根据数据库中记载的用户信息 进行用户鉴权,若鉴权通过,则基于用户信息直接可以建立用户与其选定的监控终端之间 的视频连接。即服务平台仅依据用户名和密码即可完成用户的接入鉴权和应用某监控终 端的业务鉴权。这种鉴权方式中,业务终端的鉴权在服务平台上完成,并且以网页方式传输用户 名和密码的明文,存在着鉴权信息被盗的危险性。一旦用户口令失窃,则可能使任何获得用 户口令的人员直接获取视频监控业务服务,进入监控界面,侵犯个人隐私,严重的还可能为 犯罪分子留下可乘之机。因此,现有端到端业务的鉴权可靠性较差,业务应用的安全性低。

发明内容
本发明的目的是提供一种端到端鉴权方法和系统及业务端智能卡,以提高端到端 业务应用的安全性。为实现上述目的,本发明提供了一种端到端鉴权方法,包括当业务终端接收到业务接入请求时产生一业务鉴权请求,发送给客户终端;所述客户终端将所述业务鉴权请求发送给客户端智能卡,接收返回的客户端鉴权 信息并发送给所述业务终端,所述客户端鉴权信息中至少包括客户端鉴权参数;所述业务终端将所述业务鉴权请求和/或所述客户端鉴权信息发送给业务端智 能卡;所述业务端智能卡根据所述业务鉴权请求和/或所述客户端鉴权信息识别所述 客户终端的标识,根据所述客户终端的标识采用对应的算法产生业务端鉴权参数;所述业务终端获取根据所述客户端鉴权参数和所述业务端鉴权参数产生的鉴权结果。为实现上述目的,本发明还提供了一种业务端智能卡,包括接收模块,用于接收业务终端发送的业务鉴权请求和/或客户端鉴权信息;
客户终端识别模块,用于根据所述业务鉴权请求和/或所述客户端鉴权信息识别所述客户终端的标识;算法存储模块,用于存储与各客户终端对应的各算法;业务端加密模块,用于根据所述客户终端的标识获取对应的算法进行加密,以产 生业务端鉴权参数;返回模块,用于将所述业务端鉴权参数返回给所述业务终端,或将根据所述业务 端鉴权参数及所述客户端鉴权信息中的客户端鉴权参数产生的鉴权结果返回给所述业务 终端。为实现上述目的,本发明还提供了一种包括本发明业务端智能卡的端到端鉴权系 统,还包括客户终端和业务终端,且所述客户终端包括业务鉴权请求接收模块,用于接收所述业务终端发送的业务鉴权请求;鉴权信息获取模块,用于将所述业务鉴权请求发送给客户端智能卡,并接收返回 的客户端鉴权信息,所述客户端鉴权信息中至少包括客户端鉴权参数;鉴权信息发送模块,用于将所述客户端鉴权信息发送给所述业务终端,所述业务终端包括接入请求接收模块,用于接收业务接入请求;业务鉴权请求发送模块,用于当接收到所述业务接入请求时产生一业务鉴权请 求,并发送给所述客户终端;业务鉴权模块,用于将所述业务鉴权请求和/或所述客户端鉴权信息发送给所述 业务端智能卡,并接收所述业务端智能卡返回的所述鉴权结果或业务端鉴权参数,当接收 到所述业务端鉴权参数时,还用于根据所述业务端鉴权参数和所述客户端鉴权参数获取鉴 权结果。由以上技术方案可知,本发明在端到端业务的鉴权过程中引入了智能卡鉴权方 式,且业务端智能卡会识别客户终端,根据客户终端采用与其对应的算法,在鉴权过程中体 现了不同客户终端之间的差异,实现了端到端的业务鉴权,从而能够提高端到端业务的安 全性。


图1为本发明端到端鉴权方法所基于的系统架构示意图;图2为本发明第一实施例所提供的端到端鉴权方法的流程图;图3为本发明第二实施例所提供的端到端鉴权方法的流程图;图4为本发明第三实施例所提供的端到端鉴权方法的信令流程图;图5为本发明第四实施例所提供的端到端鉴权方法的信令流程图;图6为本发明第五实施例所提供的端到端鉴权方法的信令流程图;图7为本发明第六实施例所提供的业务端智能卡的结构示意图;图8为本发明第七实施例所提供的端到端鉴权系统的结构示意图;图9为本发明第八实施例所提供的端到端鉴权系统的结构示意图。
具体实施例方式下面通过具体实施例并结合附图对本发明做进一步的详细描述。图1为本发明端到端鉴权方法所基于的系统架构示意图。如图1所示,实现端到 端业务的系统通常可以包括服务平台30、多个客户终端20和多个业务终端40。业务终端 40可以布设在局域网中,客户终端20可以通过局域网或广域网连接至业务终端40,客户终 端20需要在服务平台30完成相应的管理,而后实现与业务终端40的端到端连接。本发明 实施例将智能卡鉴权方式引入端到端业务之中,因此,各用户分别具有自己的客户端智能 卡10,可在客户终端20上使用。例如,可以采用常用的客户识别模块(Subscriberldentity Module ;以下简称SIM)卡作为客户端智能卡10,客户端智能卡10可以相对固定的插入客 户终端20中,也可以在需要使用时由用户随时插入客户终端20中。各业务终端40也相应 分配一业务端智能卡50。以下实施例以视频监控业务为例来说明端到端鉴权过程,业务终端即监控终端, 某个监控终端提供视频监控业务的客户终端范围通常较小,限于某些客户终端中。第一实施例图2为本发明第一实施例所提供的端到端鉴权方法的流程图,本实施例具体包括 如下流程步骤203、当待连接的业务终端接收到业务接入请求时产生一业务鉴权请求,并将 其发送给客户终端;步骤204、客户终端将业务鉴权请求发送给客户端智能卡,接收客户端智能卡返回 的客户端鉴权信息,并将客户端鉴权信息发送给待连接的业务终端,该客户端鉴权信息中 至少包括有客户端鉴权参数;步骤205、待连接的业务终端将业务鉴权请求和/或客户端鉴权信息发送给业务 端智能卡;步骤206、业务端智能卡根据业务鉴权请求和/或客户端鉴权信息识别客户终端 的标识,根据客户终端的标识采用对应的算法产生业务端鉴权参数,该业务端智能卡中可 以预先存储有对应不同客户终端的不同算法,在应用时可以进行选取;步骤207、业务终端获取根据客户端鉴权参数和业务端鉴权参数产生的鉴权结果。本实施例的端到端鉴权方法可以基于图1所示的系统来实现,且主要为客户终端 与待连接的业务终端之间的鉴权过程。具体应用中,客户终端可以首先通过服务平台来确 定待连接的业务终端,并发起业务接入请求,即在业务终端接收到业务接入请求之前,还 包括下述步骤步骤201、客户终端根据服务平台提供的业务终端信息确定待连接的业务终端,在 此步骤中,客户终端可以首先与服务平台交互,实现服务平台对端到端业务的管理,服务平 台将可供该用户使用的业务终端的相关信息提供给客户终端供其选择;步骤202、客户终端或服务平台向待连接的业务终端发送业务接入请求。在客户终端通过服务平台确定待连接业务终端之后,基于智能卡鉴权的方式进行 端到端鉴权,由于智能卡具有安全性高、易携带、可内置算法的特点,因此可有效提高端到 端业务的安全性。该鉴权方式既可作为原有端到端鉴权的有效补充,又可单独使用来提高 安全性。本实施例的鉴权方法实现了端到端的鉴权,在业务端智能卡中根据客户终端选择对应的鉴权算法,不同的客户终端用对应的独立的算法,充分体现了不同客户终端在鉴权 时的差异性,可以提高端到端业务鉴权的安全性。第二实施例图3为本发明第二实施例所提供的端到端鉴权方法的流程图,本实施例可以上述 第一实施例为基础,在上述步骤201之前进一步执行下述步骤步骤301、客户终端将用户输入的接入鉴权信息发送给服务平台;步骤302、服务平台根据接入鉴权信息进行接入鉴权,当接入鉴权通过时查找获取 与用户对应的业务终端信息;步骤303、服务平台将业务终端信息提供给客户终端。本实施例的技术方案实现了端到端业务中的两级鉴权过程,S卩服务平台的接入鉴 权和业务终端的业务鉴权。在采用端到端业务时,接入鉴权和业务鉴权是两套不同的鉴权 认证体系。接入鉴权为服务平台对用户接入进行身份鉴别,是一种点到面的鉴权方式,用户 仅需知道用户名和登录口令即可,可以采用明文传输。而业务鉴权是采用端到端的方式,用 户拥有单独的鉴权算法和/或单独的密钥。现有技术中的鉴权方式以及非端到端业务的鉴 权方式通常都属于接入鉴权阶段,接入鉴权和业务鉴权没有严格区分,用户的安全性缺乏 保证。本实施例的两级鉴权方式将接入鉴权与业务鉴权明确区分为两个阶段,而且业务鉴 权采用智能卡鉴权方式,所以能够有效提高鉴权的可靠性,保证端到端业务应用的安全性。第三实施例图4为本发明第三实施例所提供的端到端鉴权方法的信令流程图,本实施例可以 上述第一和第二实施例为基础,其具体流程如下步骤401、用户通过客户终端以网页形式登录服务平台的控制页面,客户终端接收 用户输入的接入鉴权信息,并发送给服务平台,该鉴权信息可以是用户名和密码;步骤402、服务平台根据接入鉴权信息进行接入鉴权,例如可以在本地存储的用户 信息中进行匹配,以验证该用户的合法性,当接入鉴权通过时服务平台查找获取与用户对 应的业务终端信息,在视频监控业务中,服务平台可以查找到该用户所登记的被监控点的 监控终端列表;步骤403、服务平台将业务终端信息提供给客户终端,客户终端可以进行显示,以 便用户选择;步骤404、客户终端根据服务平台提供的业务终端信息确定待连接的业务终端,本 步骤具体可以是客户终端确定待连接的业务终端的标识(ID),通过网页形式提交给服务平 台;步骤405、服务平台基于客户终端提交的标识,向待连接的业务终端发送业务接入 请求,或者业务接入请求也可以由客户终端直接向业务终端发起;步骤406、当待连接的业务终端接收到业务接入请求时,产生一业务鉴权请求,并 产生一随机数(RND),将随机数设置在业务鉴权请求中,将业务鉴权请求发送给客户终端;步骤407、客户终端将业务鉴权请求发送给客户端智能卡;步骤408、客户端智能卡从接收到的业务鉴权请求中解析获取待连接的业务终端 设置的随机数;步骤409、客户端智能卡采用本地存储的鉴权算法,将客户端密钥与该随机数进行加密运算,产生客户端鉴权参数;步骤410、客户端智能卡将客户端鉴权参数作为客户端鉴权信息,返回给客户终 端;步骤411、当客户终端接收到返回的客户端鉴权信息时,将其发送给待连接业务终 端;步骤412、待连接的业务终端将客户端鉴权信息发送给业务端智能卡,此时,待连 接的业务终端可以将上述产生的业务鉴权请求一并发送给业务端智能卡,也可以在上述步 骤406中,产生业务鉴权请求后立即发送给业务端智能卡;步骤413、业务端智能卡根据业务鉴权请求或客户端鉴权信息识别该客户终端的 标识,并从接收到的业务鉴权请求中解析获取业务终端设置的随机数,从客户端鉴权信息 中解析获取客户端鉴权参数;步骤414、业务端智能卡根据客户终端的标识在本地获取对应的鉴权算法和业务 端密钥,采用鉴权算法对业务端密钥与该随机数进行加密,产生业务端鉴权参数,具体的, 业务端密钥和上述客户端密钥可以为相同的对称密钥;步骤415、业务端智能卡比较业务端鉴权参数与客户端鉴权参数,当两者相同时, 产生通过的鉴权结果,否则为不通过的鉴权结果;步骤416、业务端智能卡将鉴权结果返回给待连接的业务终端。上述为鉴权过程,业务终端可以根据鉴权结果确定是否开通视频监控。上述步骤412 步骤416为待连接的业务终端根据客户端鉴权参数和业务端鉴权 参数来获取鉴权结果的一种具体方式。在具体应用中,另一种实施方式还可以为待连接的业务终端仅将业务鉴权请求发送给业务端智能卡;业务端智能卡根据业务鉴权请求识别客户终端的标识,并从业务鉴权请求中解析 获取业务终端设置的随机数;业务端智能卡根据客户终端的标识在本地获取对应的鉴权算法和业务端密钥,采 用鉴权算法对业务端密钥与该随机数进行加密运算,产生业务端鉴权参数;业务端智能卡将业务端鉴权参数返回给业务终端;而后由业务终端自行完成客户端鉴权参数和业务端鉴权参数的比较鉴权,以获取 鉴权结果。本实施例的上述技术方案实现了端到端业务中接入鉴权和业务鉴权的两级鉴权 过程,并且以智能卡鉴权方式完成业务鉴权,且业务端智能卡中为不同的客户终端提供了 对应的鉴权算法和业务端密钥,显著提高了端到端业务的安全性和可靠性。客户端密钥保 存在保密性极高的智能卡内,其他人员无法将其窃取与复制,即使发生智能卡丢失的情况, 只需重新颁发两张新智能卡给客户终端和业务终端即可使用,原卡立刻废止。本实施例的端到端鉴权方法可用于各种端到端业务,例如视频电话、视频监控、网 络游戏和远程私人医疗服务业务等。由于端到端业务的服务范围相对较小,因此业务端智 能卡和客户端智能卡可以采用对称密钥算法来进行加密。当该端到端鉴权方式应用于类 似网络电视(IPTV)这类业务,业务终端可能需要以广播、多播形式向大量客户终端提供服 务,则业务端智能卡和客户端智能卡可以采用非对称密钥算法,客户端智能卡采用私钥,业 务端智能卡采用公钥来完成端到端业务的鉴权。
第四实施例图5为本发明第四实施例所提供的端到端鉴权方法的信令流程图,本实施例可以上述第一和第二实施例为基础,其具体流程如下步骤501、用户通过客户终端以网页形式登录服务平台的控制页面,客户终端接收 用户输入的接入鉴权信息,并发送给服务平台,该鉴权信息可以是用户名和密码;步骤502、服务平台根据接入鉴权信息进行接入鉴权,当接入鉴权通过时服务平台 查找获取与用户对应的业务终端信息;步骤503、服务平台将业务终端信息提供给客户终端,客户终端可以进行显示,以 便用户选择;步骤504、客户终端根据服务平台提供的业务终端信息确定待连接的业务终端,可 以将待连接的业务终端的ID提交给服务平台;步骤505、服务平台基于客户终端提交的标识,向待连接的业务终端发送业务接入 请求,或者业务接入请求也可以由客户终端直接向业务终端发起;步骤506、当待连接的业务终端接收到业务接入请求时,产生一业务鉴权请求,将 业务鉴权请求发送给客户终端;步骤507、客户终端将业务鉴权请求发送给客户端智能卡;步骤508、当客户端智能卡接收到业务鉴权请求时,采用与业务端智能卡相同的同 步随机数生成装置,产生一同步随机数作为客户端鉴权参数;步骤509、客户端智能卡将客户端鉴权参数作为客户端鉴权信息返回给客户终 端;步骤510、当客户终端接收到返回的客户端鉴权信息时,将其发送给待连接的业务 终端;步骤511、待连接的业务终端将客户端鉴权信息发送给业务端智能卡,可以在此步 骤中一并将业务鉴权请求发送给业务端智能卡;步骤512、业务端智能卡根据业务鉴权请求或客户端鉴权信息识别客户终端的 标识,并从客户端鉴权信息中解析获取客户端鉴权参数,即客户端智能卡生成的同步随机 数;步骤513、业务端智能卡根据客户终端的标识,采用与客户终端的客户端智能卡相 同的同步随机数生成装置,产生一同步随机数作为业务端鉴权参数;步骤514、业务端智能卡比较业务端鉴权参数与客户端鉴权参数的一致性,一致时 产生通过的鉴权结果,否则产生不通过的鉴权结果;步骤515、业务端智能卡将鉴权结果返回给待连接的业务终端。本实施例的技术方案采用了接入鉴权和业务鉴权的两级鉴权方法,且引入智能卡 鉴权方式进行业务鉴权,智能卡所具有的内置算法、不易破解的特点使端到端业务的安全 性更高。第五实施例图6为本发明第五实施例所提供的端到端鉴权方法的信令流程图,本实施例可以 上述第一和第二实施例为基础,其具体流程如下步骤601、用户通过客户终端以网页形式登录服务平台的控制页面,客户终端接收用户输入的接入鉴权信息,并发送给服务平台,该鉴权信息可以是用户名和密码;步骤602、服务平台根据接入鉴权信息进行接入鉴权,当接入鉴权通过时服务平台查找获取与用户对应的业务终端信息;步骤603、服务平台将业务终端信息提供给客户终端,客户终端可以进行显示,以 便用户选择;步骤604、客户终端根据服务平台提供的业务终端信息确定待连接的业务终端,可 以将待连接的业务终端的ID提交给服务平台;步骤605、服务平台基于客户终端提交的标识,向待连接的业务终端发送业务接入 请求,或者业务接入请求也可以由客户终端直接向业务终端发起;步骤606、当待连接的业务终端接收到业务接入请求时,产生一业务鉴权请求,将 业务鉴权请求发送给客户终端;步骤607、客户终端将业务鉴权请求发送给客户端智能卡;步骤608、当客户端智能卡接收到业务鉴权请求时,生成一随机数;步骤609、客户端智能卡采用本地存储的鉴权算法,将客户端密钥与随机数进行加 密运算,产生客户端鉴权参数;步骤610、客户端智能卡将客户端鉴权参数和随机数作为客户端鉴权信息,返回给 客户终端;步骤611、当客户终端接收到返回的客户端鉴权信息时,将其发送给待连接的业务 终端;步骤612、待连接的业务终端将客户端鉴权信息发送给业务端智能卡;步骤613、业务端智能卡根据客户端鉴权信息识别客户终端的标识,并从客户端鉴 权信息中解析获取客户端智能卡生成的随机数和客户端鉴权参数;步骤614、业务端智能卡根据客户终端的标识在本地获取对应的鉴权算法和业务 端密钥,采用鉴权算法对业务端密钥与随机数进行加密运算,产生业务端鉴权参数;步骤615、业务端智能卡比较客户端鉴权参数和业务端鉴权参数,产生鉴权结果;步骤616、业务端智能卡将鉴权结果返回给业务终端。本实施例的技术方案采用了接入鉴权和业务鉴权的两级鉴权方法,且引入智能卡 鉴权方式进行业务鉴权,智能卡所具有的内置算法、不易破解的特点使端到端业务的安全 性更高。第六实施例图7为本发明第六实施例所提供的业务端智能卡的结构示意图,该业务端智能卡 包括接收模块51、客户终端识别模块52、算法存储模块53、业务端加密模块54和返回模 块55。其中,接收模块51用于接收业务终端发送的业务鉴权请求和/或客户端鉴权信息; 客户终端识别模块52用于根据业务鉴权请求和/或客户端鉴权信息识别客户终端的标识; 算法存储模块53用于存储与各客户终端对应的各算法;业务端加密模块54用于根据客户 终端的标识获取对应的算法进行加密,以产生业务端鉴权参数;返回模块55用于将根据业 务端鉴权参数及客户端鉴权信息中的客户端鉴权参数产生的鉴权结果返回给业务终端,或 者用于将业务端鉴权参数返回给业务终端,以便业务终端比较业务端鉴权参数和客户端鉴 权参数来获取鉴权结果。
本实施例的业务端智能卡可以用于执行本发明上述实施例提供的端到端鉴权方 法中,由于智能卡具有安全性高、易携带、可内置算法的特点,因此可有效提高端到端业务 的安全性。本实施例的业务端智能卡中根据客户终端选择对应的鉴权算法,不同的客户终 端用对应的独立的算法,充分体现了不同客户终端在鉴权时的差异性,可以提高端到端业 务鉴权的安全性。第七实施例图8为本发明第七实施例所提供的端到端鉴权系统的结构示意图,本实施例的系 统包括本发明的业务端智能卡50、客户终端20和业务终端40。具体的,客户终端20包 括业务鉴权请求接收模块22、鉴权信息获取模块23和鉴权信息发送模块24。其中,业务 鉴权请求接收模块22用于接收业务终端40发送的业务鉴权请求;鉴权信息获取模块23用 于将业务鉴权请求发送给客户端智能卡10,并接收返回的客户端鉴权信息,该客户端鉴权 信息中至少包括客户端鉴权参数;鉴权信息发送模块24用于将客户端鉴权信息发送给业 务终端40。业务终端40包括接入请求接收模块41、业务鉴权请求发送模块42和业务鉴 权模块43。其中,接入请求接收模块41用于接收业务接入请求;业务鉴权请求发送模块42 用于当接收到业务接入请求时产生一业务鉴权请求,并发送给客户终端20 ;业务鉴权模块 43用于将业务鉴权请求和/或客户端鉴权信息发送给业务端智能卡50,并接收业务端智能 卡50返回的鉴权结果或业务端鉴权参数,当接收到业务端鉴权参数时,还用于根据业务端 鉴权参数和客户端鉴权参数获取鉴权结果。该业务端智能卡50的结构如第六实施例所描 述的,包括接收模块51、客户终端识别模块52、算法存储模块53、业务端加密模块54和返回 模块55。在上述技术方案的基础上,该系统还可以包括一服务平台30。服务平台30包括一 信息提供模块31,该信息提供模块31用于将业务终端信息提供给客户终端20。且客户终 端20还包括业务终端确定模块21。业务终端确定模块21用于根据服务平台30提供的业 务终端信息确定至少一个业务终端40作为待连接的业务终端40。在上述技术方案的基础上,客户终端20中还可以设置有该客户端智能卡10,用于 根据业务鉴权请求产生客户端鉴权信息并返回给客户终端20 ;该业务端智能卡50可以设 置在业务终端40中。客户端智能卡10和业务端智能卡50可以采用对称密钥、非对称密钥 或相同的同步随机数生成装置各自产生客户端鉴权参数和业务端鉴权参数。在本实施例的技术方案中,客户端智能卡和业务端智能卡可以设置于客户终端和 业务终端之中,也可以在使用时才插入。本实施例的端到端鉴权系统可以执行本发明端到 端鉴权方法第一实施例的技术方案,引入智能卡鉴权方式,提高鉴权的安全性。第八实施例图9为本发明第八实施例所提供的端到端鉴权系统的结构示意图,本实施例可以 第七实施例为基础,进一步地,客户终端20还包括接入鉴权发送模块25,该接入鉴权发送 模块25用于将用户输入的接入鉴权信息发送给服务平台30。该服务平台30进一步还包 括接入鉴权接收模块32和信息获取模块33。接入鉴权接收模块32用于根据接入鉴权信 息进行接入鉴权;信息获取模块33用于当接入鉴权通过时查找获取与用户对应的业务终 端信息。本实施例的端到端鉴权系统可以执行本发明端到端鉴权方法任一实施例的技术方案。该端到端鉴权系统引入了统一的SIM认证方法,并融合了接入鉴权和业务鉴权统一认证,在客户终端和业务终端之间建立了一种端到端的鉴权认证关系,使得用户可以在通 过网络鉴权方式的基础上,获得更加安全、方便的接入鉴权。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者 光盘等各种可以存储程序代码的介质。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然 可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替 换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
权利要求
一种端到端鉴权方法,其特征在于,包括当业务终端接收到业务接入请求时产生一业务鉴权请求,发送给客户终端;所述客户终端将所述业务鉴权请求发送给客户端智能卡,接收返回的客户端鉴权信息并发送给所述业务终端,所述客户端鉴权信息中至少包括客户端鉴权参数;所述业务终端将所述业务鉴权请求和/或所述客户端鉴权信息发送给业务端智能卡;所述业务端智能卡根据所述业务鉴权请求和/或所述客户端鉴权信息识别所述客户终端的标识,根据所述客户终端的标识采用对应的算法产生业务端鉴权参数;所述业务终端获取根据所述客户端鉴权参数和所述业务端鉴权参数产生的鉴权结果。
2.根据权利要求1所述的端到端鉴权方法,其特征在于,在所述业务终端接收到业务 接入请求之前,还包括所述客户终端根据服务平台提供的业务终端信息确定待连接的业务终端; 所述客户终端或所述服务平台向待连接的所述业务终端发送业务接入请求。
3.根据权利要求2所述的端到端鉴权方法,其特征在于,在所述客户终端根据服务平 台提供的业务终端信息确定待连接的业务终端之前,还包括所述客户终端将用户输入的接入鉴权信息发送给所述服务平台; 所述服务平台根据所述接入鉴权信息进行接入鉴权,当接入鉴权通过时查找获取与所 述用户对应的业务终端信息;所述服务平台将所述业务终端信息提供给所述客户终端。
4.根据权利要求1或2或3所述的端到端鉴权方法,其特征在于,所述客户终端将所述 业务鉴权请求发送给客户端智能卡之后,还包括当所述客户端智能卡接收到所述业务鉴权请求时,生成一随机数; 所述客户端智能卡采用本地存储的鉴权算法,将客户端密钥与所述随机数进行加密运 算,产生客户端鉴权参数;所述客户端智能卡将所述客户端鉴权参数和所述随机数作为所述客户端鉴权信息,返 回给所述客户终端。
5.根据权利要求4所述的端到端鉴权方法,其特征在于,所述业务端智能卡根据所述 客户端鉴权信息识别所述客户终端的标识,根据所述客户终端的标识采用对应的算法产生 业务端鉴权参数,包括所述业务端智能卡根据所述客户端鉴权信息识别所述客户终端的标识,并从所述客户 端鉴权信息中解析获取所述随机数和所述客户端鉴权参数;所述业务端智能卡根据所述客户终端的标识在本地获取对应的鉴权算法和业务端密 钥,采用鉴权算法对所述业务端密钥与所述随机数进行加密运算,产生所述业务端鉴权参 数;所述业务端智能卡比较所述客户端鉴权参数和所述业务端鉴权参数,产生鉴权结果; 所述业务端智能卡将所述鉴权结果返回给所述业务终端。
6.根据权利要求1或2或3所述的端到端鉴权方法,其特征在于,所述客户终端将所述 业务鉴权请求发送给客户端智能卡之后,还包括所述客户端智能卡从接收到的所述业务鉴权请求中解析获取所述业务终端设置的随 机数;所述客户端智能卡采用本地存储的鉴权算法,将客户端密钥与所述随机数进行加密运 算,产生客户端鉴权参数;所述客户端智能卡将所述客户端鉴权参数作为所述客户端鉴权信息,返回给所述客户 终端。
7.根据权利要求6所述的端到端鉴权方法,其特征在于,所述业务端智能卡根据所述 业务鉴权请求和所述客户端鉴权信息识别所述客户终端的标识,根据所述客户终端的标识 采用对应的算法产生业务端鉴权参数,包括所述业务端智能卡根据所述业务鉴权请求或所述客户端鉴权信息识别所述客户终端 的标识,并从所述业务鉴权请求中解析获取所述业务终端设置的随机数,从所述客户端鉴 权信息中解析获取所述客户端鉴权参数;所述业务端智能卡根据所述客户终端的标识在本地获取对应的鉴权算法和业务端密 钥,采用鉴权算法对所述业务端密钥与所述随机数进行加密运算,产生所述业务端鉴权参 数;所述业务端智能卡比较所述客户端鉴权参数与所述业务端鉴权参数,产生鉴权结果;所述业务端智能卡将所述鉴权结果返回给所述业务终端。
8.根据权利要求6所述的端到端鉴权方法,其特征在于,所述业务端智能卡根据所述 业务鉴权请求识别所述客户终端的标识,根据所述客户终端的标识采用对应的算法产生业 务端鉴权参数,包括所述业务端智能卡根据所述业务鉴权请求识别所述客户终端的标识,并从所述业务鉴 权请求中解析获取所述业务终端设置的随机数;所述业务端智能卡根据所述客户终端的标识在本地获取对应的鉴权算法和业务端密 钥,采用所述鉴权算法对所述业务端密钥与所述随机数进行加密运算,产生所述业务端鉴 权参数;所述业务端智能卡将所述业务端鉴权参数返回给所述业务终端。
9.根据权利要求1或2或3所述的端到端鉴权方法,其特征在于所述业务端智能卡 和所述客户端智能卡采用的算法为对称密钥算法或非对称密钥算法。
10.根据权利要求1或2或3所述的端到端鉴权方法,其特征在于,所述客户终端将所 述业务鉴权请求发送给客户端智能卡之后,还包括当所述客户端智能卡接收到所述业务鉴权请求时,采用与所述业务端智能卡相同的同 步随机数生成装置,产生一同步随机数作为客户端鉴权参数;所述客户端智能卡将所述客户端鉴权参数作为所述客户端鉴权信息返回给所述客户 终端。
11.根据权利要求10所述的端到端鉴权方法,其特征在于,所述业务端智能卡根据所 述业务鉴权请求和所述客户端鉴权信息识别所述客户终端的标识,根据所述客户终端的标 识采用对应的算法产生业务端鉴权参数,包括所述业务端智能卡根据所述业务鉴权请求或所述客户端鉴权信息识别所述客户终端 的标识,并从所述客户端鉴权信息中解析获取客户端鉴权参数;所述业务端智能卡根据所述客户终端的标识,采用与所述客户终端的客户端智能卡相 同的同步随机数生成装置,产生一同步随机数作为业务端鉴权参数;所述业务端智能卡比较所述客户端鉴权参数和所述业务端鉴权参数,产生鉴权结果; 所述业务端智能卡将所述鉴权结果返回给所述业务终端。
12.—种业务端智能卡,其特征在于,包括接收模块,用于接收业务终端发送的业务鉴权请求和/或客户端鉴权信息; 客户终端识别 模块,用于根据所述业务鉴权请求和/或所述客户端鉴权信息识别所述 客户终端的标识;算法存储模块,用于存储与各客户终端对应的各算法;业务端加密模块,用于根据所述客户终端的标识获取对应的算法进行加密,以产生业 务端鉴权参数;返回模块,用于将所述业务端鉴权参数返回给所述业务终端,或将根据所述业务端鉴 权参数及所述客户端鉴权信息中的客户端鉴权参数产生的鉴权结果返回给所述业务终端。
13.一种包括权利要求12所述业务端智能卡的端到端鉴权系统,其特征在于,还包括 客户终端和业务终端,且所述客户终端包括业务鉴权请求接收模块,用于接收所述业务终端发送的业务鉴权请求; 鉴权信息获取模块,用于将所述业务鉴权请求发送给客户端智能卡,并接收返回的客 户端鉴权信息,所述客户端鉴权信息中至少包括客户端鉴权参数;鉴权信息发送模块,用于将所述客户端鉴权信息发送给所述业务终端, 所述业务终端包括接入请求接收模块,用于接收业务接入请求;业务鉴权请求发送模块,用于当接收到所述业务接入请求时产生一业务鉴权请求,并 发送给所述客户终端;业务鉴权模块,用于将所述业务鉴权请求和/或所述客户端鉴权信息发送给所述业务 端智能卡,并接收所述业务端智能卡返回的所述鉴权结果或业务端鉴权参数,当接收到所 述业务端鉴权参数时,还用于根据所述业务端鉴权参数和所述客户端鉴权参数获取鉴权结^ ο
14.根据权利要求13所述的端到端鉴权系统,其特征在于还包括一服务平台,且所述服务平台包括信息提供模块,用于将业务终端信息提供给 所述客户终端,所述客户终端还包括业务终端确定模块,用于根据所述服务平台提供的业务终端信息确定至少一个业务终 端作为待连接的业务终端。
15.根据权利要求14所述的端到端鉴权系统,其特征在于 所述客户终端还包括接入鉴权发送模块,用于将用户输入的接入鉴权信息发送给所述服务平台, 所述服务平台还包括接入鉴权接收模块,用于根据所述接入鉴权信息进行接入鉴权;信息获取模块,用于当接入鉴权通过时查找获取与所述用户对应的业务终端信息。
16.根据权利要求13或14或15所述的端到端鉴权系统,其特征在于所述业务终端为视频监控终端、网络游戏服务终端、远程医疗服务终端、网络电话服务终端或网络电视服 务终端。
全文摘要
本发明涉及一种端到端鉴权方法和系统及业务端智能卡。该方法包括当业务终端接收到业务接入请求时产生一业务鉴权请求,发送给客户终端;客户终端将业务鉴权请求发送给客户端智能卡,接收返回的客户端鉴权信息并发送给业务终端;业务终端将业务鉴权请求和/或客户端鉴权信息发送给业务端智能卡;业务端智能卡识别客户终端的标识,采用对应的算法产生业务端鉴权参数;业务终端获取根据客户端鉴权参数和业务端鉴权参数产生的鉴权结果。本发明在端到端业务的鉴权过程中引入了智能卡鉴权方式,且针对不同客户终端采用对应的算法进行鉴权,实现了端到端的业务鉴权,从而能够提高端到端业务的安全性。
文档编号H04L9/32GK101873213SQ20091008305
公开日2010年10月27日 申请日期2009年4月27日 优先权日2009年4月27日
发明者王彬 申请人:中国网通集团宽带业务应用国家工程实验室有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:王彬
  • 技术所有人:中国网通集团宽带业务应用国家工程实验室有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
端到端业务流程相关技术
端到端业务相关技术
端到端业务质量分析相关技术
端到端业务体验相关技术
端到端的业务流程相关技术
视频业务端到端分析相关技术
移动电视业务鉴权失败相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2