专利名称:固定终端及其认证方法
技术领域:
本发明涉及通信领域,并且特别地,涉及一种固定终端及其认 证方法。
背景技术:
目前,第三^f戈移动通^f言^^半组织(3rd Generation partnership project,简称为3GPP )中的IP多々某体子系统(IP Multimedia Subsystem,简称为IMS)中井见定移动用户采用密钥十办商(AKA) 的鉴权方式,并对摘要才几制Digest的认证方式进行扩展,从而携带 AKA认证的参数。IMS用户需要支持IP多媒体客户识别模块(IP Multimedia Service Identity Module,简碎尔为ISIM ), ISIM中存^f诸有 用户的公有用户标志、私有用户标志、以及鉴权认证的参数,对于 通用客户iX别冲莫^: (Universal Subscriber Identity Module,简一尔为 USIM )的用户,要求终端能够根据USIM中的用户信息来生成公有 用户标、志和矛A有用户才示志。
^f旦是,对固定终端,由于固定终端没有通用集成电3各卡 (Universal Integrated Circuit Card,简称为UICC),通常只有/>有 用户标志(E.164码或SIPURI),而没有私有用户标志,因此,固定 终端目前还不支持AKA的鉴纟又认证方式。
在相关^支术中,电信和互联网融合业务即高级网络协i义 (Telecommunications and Internet Coverged Services and Protocolsfor Advanced Networking,简称为TISPAN )已经头见定,IMS对移动、 固定终端推荐采用基于ISIM/USIM的AKA鉴4又认证方式。因此, 目前急需一种能够支持固定终端的AKA鉴权认证方式。
发明内容
考虑到相关^支术中没有能够支持固定终端的AKA鉴斥又"i人证方 式的问题而提出本发明,为此,本发明的主要目的在于提供一种固 定终端及其认证方法,以解决相关技术中存在的上述问题。
为了实现上述目的,才艮据本发明的一个方面,才是供了一种认证 方法,用于IP多媒体子系统业务中的固定终端进行身4分iU正。
才艮据本发明的认证方法包括固定终端向核心网发送第 一注册 请求,并接收核心网返回的携带有鉴权参数的响应消息;固定终端 将鉴权参数发送到外部存储装置,并接收外部存储装置根据鉴权参 凄t和本地保存的预定信息通过预定算法获耳又的计算结果;固定终端 向核心网发送携带有计算结果的第二注册请求,以使核心网根据计 算结果进4于认i正。
优选地,固定终端向核心网发送第二注册^青求之后,上述方法 还包括核心网将计算结果与预先计算出的期望结果进行比较,如 果计算结果与期望结果相同,则核心网确i人固定终端i人i正成功;否 则,核心网确^人固定终端i人i正失败。
优选地,鉴权参数至少包括随机挑战、网络认证令牌、完整 性密钥、加密密钥。
优选地,预定信息包括固定信息和可读信息,其中,固定信息 至少包括个人密码、密钥协商鉴纟又信息,可读信息至少包括私 有用户身份信息、公有用户身份信息、登录信息。优选地,密钥协商鉴权信息至少包括在放号时指定的密钥、 运营商指定的可配置域、用于序列号计算的屏蔽序列号标志和重新 同步屏蔽序列号标志。
优选地,预定算法为集成在外部存储装置中的密钥协商算法。
优选地,外部存储装置为USBKey。
为了实现上述目的,根据本发明的一个方面,提供了一种认证系统。
才艮据本发明的认证系统包括固定终端、外部存^f诸装置,其中, 固定终端包括第一发送才莫块,用于向核心网发送第一注册请求; 第一接收模块,用于接收核心网返回的携带有鉴权参数的响应消息; 第二发送模块,用于将鉴权参数发送到外部存储装置;第二接收模 块,用于接收外部存储装置返回的计算结果;第三发送模块,用于 向核心网发送携带有计算结果的第二注册请求,以使核心网根据计 算结果进4于认i正;外部存储装置,用于4艮据鉴片又参lt和本地保存的 预定信息通过预定算法获取的计算结果。
优选地,鉴权参数至少包括随机挑战、网络认证令牌、完整 性密钥、加密密钥;预定信息包括固定信息和可读信息,其中,固 定信息至少包括个人密码、密钥协商鉴权信息,可读信息至少包 括私有用户身份信息、公有用户身份信息、登录信息;密钥协商 鉴权信息至少包括在放号时指定的密钥、运营商指定的可配置域、 用于序列号计算的屏蔽序列号标志和重新同步屏蔽序列号标志;预 定算法为集成在外部存储装置中的密钥协商算法。
优选地,外部存储装置为USB Key。借助于本发明的^支术方案,通过^f吏用外部存储装置即USB Key 对固定终端进行基于密钥协商的认证,解决了相关技术中没有能够 支持固定终端的AKA鉴权认证方式的问题,使得固定终端可以方 便的在IMS系统中进行基于密钥协商的认证。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部 分地从说明书中变得显而易见,或者通过实施本发明而了解。本发 明的目的和其他优点可通过在所写的说明书、权利要求书、以及附 图中所特别指出的结构来实现和获得。
附图"i兌明
附图用来提供对本发明的进一步理解,并且构成说明书的一部 分,与本发明的实施例一起用于解释本发明,并不构成对本发明的 限制。在附图中
图1是根据本发明实施例的固定终端及其认证方法的流程图; 图2是根据本发明实施例的认证方法的详细处理的信令流程
图3是根据本发明实施例的认证系统的框图。
具体实施例方式
功能相克述
如上所述,在相关冲支术中,没有能够支持固定终端AKA鉴权 的认证方式,为此,本发明提供一种认证方式,使固定终端能够支 持基于AKA鉴权方式的认证,在本发明的技术方案中,主要采用 USBKey身份认证技术。USB Key是结合了现代密码学技术、智能卡技术和USB技术的新一代身份认证产品,并采用了基于智能密码 钥匙的i^i正方式基于冲击-响应的双因子iU正方式。
在本发明的技术方案中,当固定终端需要在网络上验证用户身 份时,先由固定终端向服务器发出一个验证请求,服务器接到此请 求后生成一个随机数并通过网络传输给固定终端(此为冲击)。客户 端将收到的随机数通过USB接口提供给智能密码钥匙,由智能密码 钥匙使用该随才几数与存〗诸在智能密码钥匙中的密钥进4于MAC运算 并得到一个结果作为认证证据传给服务器(此为响应)。与此同时, 服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行 MAC运算,如果服务器的运算结果与固定终端传回的响应结果相 同,则认为固定终端是一个合法用户。
密钥运算分别在USB Key智能密码钥匙和月l务器中运4亍,不出 现在客户端内存中,也不在网络上传输,并且,MAC算法是一个不 可逆的算法,也就是i兌知道密钥和运算用随枳4t就可以得到运算结 果,但是,知道随机数和运算结果却无法计算出密钥,从而保护了 密钥的安全,也就保护了用户身份的安全。
以下结合附图对本发明的优选实施例进行说明,应当理解,此 处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本 发明。
在以下的描述中,为了解释的目的,描述了多个特定的细节, 以^是供对本发明的透彻理解。然而,^艮显然,在没有这些特定细节 的情况下,也可以实现本发明,此外,在不背离所附权利要求阐明 的精神和范围的情况下,下述实施例以及实施例中得各个细节可以 进行各种组合。
方-法实施例才艮据本发明的实施例,才是供了一种固定终端及其iU正方法,图 1是根据本发明实施例的固定终端及其认证方法的流程图,如图1 所示,包^^口下处J里(步骤S102-步骤S106):
步骤S102,固定终端向核心网发送第一注册请求,并接收核心 网返回的携带有鉴权参数的响应消息;其中,鉴权参数包括但不限 于以下信息随机挑战(RAND),网络认证令牌(AUTN),完整 性密钥(IK)、力口密密钥(CK)等。
步骤S104,固定终端将鉴权参数发送到外部存储装置,并接收 外部存储装置根据鉴权参数和本地保存的预定信息通过预定算法获 取的计算结果,优选地,预定算法为集成在外部存储装置中的密钥 协商算法;
优选地,外部存储装置可以为USB Key, USB Key主要具有存 储信息的功能(即,本地保存的预定信息),存储的一部分内容只能 由卡自身的程序读取(固定信息),存储的另一部分内容可以通过开 放的API进行操作(可读信息)。针对本发明实施例的具体应用, USB Key需要具备如下功能
1 、存储USB Key私有信息(即,固定信息)。
固定信息是在预烧录USB Key时写入的,USB Key的固定信 息包括但不限于下述内容个人密码(PIN码),密钥协商鉴一又信息 (即,AKA鉴权需要使用的信息),其中,密钥协商鉴权信息可以 包括1、在用户;^文号时指定的密钥(Ki), 一共占用16个字节;2、 可酉己置域(OP/OPC),该信息为全局量,由标记指定可配置域是OP 还是OPC, —共占用16字节;3、两个SQN的标志(2个位标记), 即,屏蔽序列号(SQN)标志、以及重同步屏蔽SQN标志,用于 SQN计算。上述信息主要用于USB Key自身的管理和进4亍AKA算法,例如,在读取密钥(Ki)后,固定终端程序只能进行验证,如 果-验证多次失败,则USB Key将进行锁卡保护。
需要说明的是,上述固定信息是固定终端的程序无法访问的, 这样使得USB Key无法进行复制,保证了 USB Key的安全性。
2、 存^f渚可读信息
此部分信息是固定终端需要使用的一些信息,包括但不限于以 下内容私有用户身^f分信息(IMPI)、 />有用户身<分信息(IMPU)、 登录信息(即,登录需要使用到的信息),例如,IMS域名、P-CSCF (代理CSCF)的地址等均属于登陆信息,固定终端程序可以-使用 读取密码对上述信息进行读取,但是固定终端程序不可以写入。
3、 AKA算法
AKA算法是集成在USB Key中的算法程序,固定终端通过API 函数将必要的信息,例如,SQN[32]、核心网发送的401 (未授权) 消息中携带的鉴权参数等信息发送到USB Key算法程序,AKA算 法程序使用接收到的鉴权参数,以及USB Key中存储的私有信息 (例如,Ki OP/OPC、 SQN等)进行AKA算法的运算,得到运算 结果,并4巴计算的结果返回给固定终端程序。
步骤S106,固定终端向核心网发送携带有计算结果的第二注册 请求,以使核心网根据计算结果进行认证。优选地,固定终端还可 以将返回结果作为密码以及IMPI传入HTTP Digest算法,计算出的 RES可以在后面的登陆流程中使用。
在执行了步骤S106后,核心网将计算结果与预先计算出的期 望结果进行比较,如果计算结果与期望结果相同,则核心网确认固 定终端i人i正成功;否则,核心网确i人固定參冬端i人i正失败。下面,结合附图,对本发明的上述l支术方案进4亍详细的说明。
图2是根据本发明实施例的认证方法的详细处理的信令流程图,如 图2所述,包括如下处理
步骤1,固定终端A发起第一注册^青求Register,该注册i青求 经由代理呼叫会话控制功能实体(Proxy-Call Session Control Function , 简称为P-CSCF )、 咨询呼叫会话控制功能实体 (Interrogating-Call Session Control Function, 简^尔为I-CSCF )发送 到月良务呼叫会话控制功能实体(Serving-Call Session Control Function,简一尔为S-CSCF)。
步骤2,核心网S-CSCF通过I-CSCF、 P-CSCF向固定终端A 发送401 (未4受权)响应消息,拒绝终端发出的第一注册"i青求 Register,并在401 (未4受4又)响应消息中携带鉴—又参凄史。
步骤3,固定终端A接收到核心网S-CSCF返回的鉴权参数, 并将该鉴权参数传给USB Key,由USB Key根据该鉴权参数和本地 保存的相关信息通过AKA算法计算出结果(RES)。
步骤4,固定终端A再次携带结果(RES )发起第二注册请求 Register,该注册请求经由P-CSCF、 I-CSCF发送到S-CSCF。
步骤5,核心网S-CSCF将终端携带的结果(RES)与核心网归 属月艮务器(Home Subscriber Server,筒称为HSS )计算出的期望响 应(XRES )进4亍比專交,如果才交-险成功,S-CSCF就iL为用户i人i正通 过,随后S-CSCF会经由I-CSCF、 P-CSCF向固定终端A发送200OK 消息,并继续执行SIP注册过程;否则认证失败。
通过上述处理,使得固定终端在IMS系统中能够进行基于AKA 算法的验证。系乡克实施例
根据本发明的实施例,提供了 一种认证系统,图3是根据本发 明实施例的认证系统的框图,如图3所示,根据本发明实施例的认 i正系统包括固定终端2、外部存4诸装置4、以及核心网6。下面,对 本发明实施例的i人i正系统进4亍详细的i兌明。
固定纟冬端2
具体地,固定终端2包括第一发送^ft块20,用于向核心网6 发送第一注册请求;第一接收模块22,用于接收核心网6返回的携 带有鉴权参数的响应消息;其中,鉴权参数包括但不限于以下信息 随机挑战(RAND),网络认证令牌(AUTN),完整性密钥(IK)、 加密密钥(CK)等。此外,固定终端2还包括第二发送模块24, 用于将鉴权参数发送到外部存储装置4;第二接收模块26,用于接 收外部存储装置4返回的计算结果;第三发送模块28,用于向核心 网6发送携带有计算结果的第二注册请求,以4吏核心网6才艮据计算 结果进行i人i正。
外部存储装置4
外部存储装置4主要用于根据鉴权参数和本地保存的预定信息 通过预定算法获取的计算结果。
具体地,外部存储装置4优选为USB Key, USB Key主要具有 存储信息的功能(即,本地保存的预定信息),存储的有些一部分内 容只能由卡自身的程序读取(固定信息),存^^的另一部分内容可以 通过开放的API进行操作(可读信息)。针对本发明实施例的具体 应用,USBKey需要具备如下功能
1 、存储USB Key私有信息(即,固定信息)。固定信息是在预烧录USB Key时写入的,USB Key的固定信 息包括但不限于下述内容个人密码(PIN码),密钥协商鉴权信息 (即,AKA鉴权需要使用的信息),其中,密钥协商鉴权信息可以 包括1、在用户放号时指定的密钥(Ki), 一共占用16个字节;2、 可西己置域(OP/OPC),该信息为全局量,由标记指定可配置域是OP 还是OPC, —共占用16字节;3、两个SQN的标志(2个位标记), 即,屏蔽序列号(SQN)标志、以及重同步屏蔽SQN标志,用于 SQN计算。上述4言息主要用于USB Key自身的管理和进4亍AKA算 法,例如,在读取密钥(Ki)后,固定终端2只能进行验证,如果 ^r证多次失败,则USB Key将进行锁卡保护。
需要说明的是,上述固定信息是固定终端2无法访问的,这样 4吏得USB Key无法进4亍复制,^f呆i正了 USB Key的安全性。
2、 存储可读信息
此部分信息是固定终端2需要使用的一些信息,包括但不限于 以下内容私有用户身〗分信息(IMPI )、公有用户身4分信息(IMPU )、 登录信息(即,登录需要4吏用到的信息),例如,IMS域名、P-CSCF (代理CSCF)的地址等均属于登陆信息,固定终端2可以使用读 取密码对上述信息进行读取,但是固定终端2不可以写入。
3、 AKA算法
AKA算法是集成在USB Key中的算法程序,固定终端2通过 API函数将必要的信息,例如,SQN[32]、核心网发送的401 (未4受 权)消息中携带的鉴权参数等信息发送到USB Key算法程序,AKA 算法程序使用接收到的鉴权参数,以及USBKey中存储的私有信息 (例如,Ki OP/OPC、 SQN等)进行AKA算法的运算,得到运算 结果,并4巴计算的结果返回给固定终端2。核心网6
在核心网6中,与本发明实施例相关的实体主要包括P-CSCF、 I-CSCF、以及S-CSCF。核心网6的主要功能是在接收到固定终端2 的第一注册请求时,向固定终端2返回携带有鉴4又参ft的401 (未 授权)响应消息,并在接收到固定终端2发送的第二注册请求时, 获取第二注册请求中携带的由USB Key计算得出的鉴权结果,并与 预先计算出的期望结果进行比较,如果计算结果与期望结果相同, 则核心网6确i人固定终端iU正成功;否则,核心网6确:〖人固定终端 认证失败。
需要说明的是,在不背离所附权利要求阐明的精神和范围的情 况下,可以对上述各个模块进行各种改变以及组合。
综上所述,借助于本发明的技术方案,通过使用外部存储装置 即USB Key对固定终端进行基于密钥协商的认证,解决了相关技术 中没有能够支持固定终端的AKA鉴权认证方式的问题,使得固定 终端可以方便的在IMS系统中进行基于密钥协商的认证。
显然,本领域的技术人员应该明白,上述的本发明的各模块或 各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算 装置上,或者分布在多个计算装置所组成的网络上,可选地,它们 可以用计算装置可执行的程序代码来实现,从而,可以将它们存储
在存储装置中由计算装置来执行,或者将它们分别制作成各个集成 电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模 块来实现。这样,本发明不限制于任何特定的^:件和软件结合。
以上所述^又为本发明的优选实施例而已,并不用于限制本发明, 对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何+爹改、等同替换、改进等, 均应包含在本发明的保护范围之内。
权利要求
1.一种认证方法,用于IP多媒体子系统业务中的固定终端进行身份认证,其特征在于,所述方法包括所述固定终端向核心网发送第一注册请求,并接收所述核心网返回的携带有鉴权参数的响应消息;所述固定终端将所述鉴权参数发送到外部存储装置,并接收所述外部存储装置根据所述鉴权参数和本地保存的预定信息通过预定算法获取的计算结果;所述固定终端向所述核心网发送携带有所述计算结果的第二注册请求,以使所述核心网根据所述计算结果进行认证。
2. 根据权利要求1所述的方法,其特征在于,所述固定终端向所 述核心网发送第二注册请求之后,所述方法还包括所述核心网将所述计算结果与预先计算出的期望结果进 行比较,如果所述计算结果与所述期望结果相同,则所述核心 网确i^所述固定纟冬端^人i正成功;否则所述核心网确:〖人所述固定终端iU正失败。
3. 根据权利要求2所述的方法,其特征在于,所述鉴权参数至少 包括随枳4兆战、网络认证令牌、完整性密钥、力口密密钥。
4. 根据权利要求2所述的方法,其特征在于,所述预定信息包括 固定信息和可读信息,其中,所述固定信息至少包括个人密 码、密钥协商鉴权信息,所述可读信息至少包括私有用户身 份信息、公有用户身份信息、登录信息。
5. 根据权利要求4所述的方法,其特征在于,所述密钥协商鉴权信息至少包括在放号时指定的密钥、运营商指定的可配置域、用于序列号计算的屏蔽序列号标志和重新同步屏蔽序列号标 士
6. 根据权利要求2所述的方法,其特征在于,所述预定算法为集 成在所述外部存储装置中的密钥协商算法。
7. 根据权利要求1至6中任一项所述的方法,其特征在于,所述 外部存储装置为USB Key。
8. —种认证系统,包括固定终端、外部存^诸装置,其特征在于,所述固定终端包括第一发送模块,用于向核心网发送第一注册请求;第一接收模块,用于接收所述核心网返回的携带有鉴权参 凄史的响应消息;第二发送模块,用于将所述鉴权参数发送到外部存储装置;第二接收模块,用于接收所述外部存储装置返回的计算结果;第三发送模块,用于向所述核心网发送携带有所述计算结 果的第二注册请求,以使所述核心网根据所述计算结果进行认证;所述外部存储装置,用于根据所述鉴权参数和本地保存的 预定信息通过预定算法获取的计算结果。
9. 根据权利要求8所述的系统,其特征在于,所述鉴权参数至少包括随机挑战、网络认证令牌、完整 性密钥、加密密钥;所述预定信息包括固定信息和可读信息,其中,所述固定 信息至少包括个人密码、密钥协商鉴权信息,所述可读信息 至少包括私有用户身份信息、公有用户身份信息、登录信息;所述密钥协商鉴权信息至少包括在放号时指定的密钥、 运营商指定的可配置域、用于序列号计算的屏蔽序列号标志和 重新同步屏蔽序列号标志;所述预定算法为集成在所述外部存储装置中的密钥协商 算法。
10. 根据权利要求9所述的系统,其特征在于,所述外部存储装置 为USB Key。
全文摘要
本发明公开了一种固定终端及其认证方法,其中,该方法包括固定终端向核心网发送第一注册请求,并接收核心网返回的携带有鉴权参数的响应消息;固定终端将鉴权参数发送到外部存储装置,并接收外部存储装置根据鉴权参数和本地保存的预定信息通过预定算法获取的计算结果;固定终端向核心网发送携带有计算结果的第二注册请求,以使核心网根据计算结果进行认证。通过上述处理,使得固定终端可以方便的进行基于密钥协商的认证。
文档编号H04L9/32GK101540678SQ20091013448
公开日2009年9月23日 申请日期2009年4月20日 优先权日2009年4月20日
发明者陈红领 申请人:中兴通讯股份有限公司