专利名称:无卡终端及其业务访问方法及系统、有卡终端及bsf的制作方法
技术领域:
本发明涉及数据业务领域,具体涉及一种无卡终端的业务访问方法及系统、有卡终端、无卡终端及初始化服务器。
背景技术:
在移动网络环境下,用户使用终端访问某些业务时,需要基于用户密钥实现终端与业务服务器的相互认证并利用用户密钥加密传输某些机密数据。可见,用户密钥的生成是用户使用此类业务的前提条件。从用户使用的设备中是否带有用户身份识别模块/ 全球用户身份识另1J模块(Subscriberldentity Module/Universal Subscriber Identity Module,简称SIM/USIM)来区分,目前的终端可以分为两类有卡终端和无卡终端。有卡终端中插有SIM/USIM卡,卡中记录了用户登录移动通信网络的个性化用户根密钥,与网络侧HLR/HSS中记录的密钥相同。最常见的有卡终端如手机。由于卡中的密钥已经在网络侧和终端侧共享,所以对于有卡终端可以基于该密钥实现终端与网络平台的相互认证并生成业务层的共享用户密钥。目前3GPP定义了通用初始化架构(Generic Boostrapping Archeticture,简称GBA)用于对有卡终端,生成终端与业务平台共享的用户密钥。无卡终端中没有插SIM/USIM卡,终端中不包含任何能够用于认证用户身份的密钥或秘密信息。常见的无卡终端如PC、笔记本等。对于无卡终端,由于其中没有任何可以认证用户身份的数据,所以无法像有卡终端这样通过GBA流程生成终端与业务平台共享的用户密钥。现有终端的业务访问技术有如下不足(1)无卡终端难以利用GBA流程直接访问网络业务。(2)终端访问业务的有效期缺乏控制。
发明内容
本发明的第一目的是提出一种有效的无卡终端的业务访问方法。本发明的第二目的是提出一种有效应用于无卡终端业务访问的有卡终端。本发明的第三目的是提出一种的无卡终端。本发明的第四目的是提出一种有效应用于无卡终端业务访问的初始化服务器。本发明的第五目的是提出一种有效的无卡终端的业务访问系统。为实现上述第一目的,本发明提供了一种无卡终端的业务访问方法,包括在收到无卡终端的密钥获取请求时,有卡终端根据密钥获取请求生成无卡终端用户密钥及用于标识无卡终端用户密钥的引导标识;根据无卡终端用户密钥及引导标识,无卡终端与网络侧进行业务访问流程。为实现上述第二目的,本发明提供了一种有卡终端,包括接收模块,用于接收无卡终端的密钥获取请求;处理模块,用于根据密钥获取请求生成无卡终端用户密钥及用于标识无卡终端用户密钥的引导标识。为实现上述第三目的,本发明提供了一种无卡终端,包括收发模块,用于向有卡终端发送密钥获取请求,以及接收有卡终端根据密钥获取请求发送的无卡终端用户密钥及用于标识无卡终端用户密钥的引导标识;交互模块,用于根据无卡终端用户密钥及引导标识,与网络侧进行业务访问流程。为实现上述第四目的,本发明提供了一种初始化服务器(Bootstrappingserver function,即BSF),包括信息接收模块,用于接收用于标识无卡终端用户密钥的引导标识;信息处理模块,根据引导标识,控制网络应用平台与无卡终端进行业务访问流程。为实现上述第五目的,本发明提供了一种无卡终端的业务访问系统,包括无卡终端,用于发送密钥获取请求;有卡终端,用于根据密钥获取请求生成无卡终端用户密钥及用于标识无卡终端用户密钥的引导标识,并将无卡终端用户密钥及引导标识发送至无卡终端;网络侧,用于根据无卡终端发送的无卡终端用户密钥及引导标识,与无卡终端进行业务访问流程。本发明各个实施例中通过无卡终端从有卡终端获取无卡终端用户密钥及引导标识进而与网络侧进行业务访问流程,实现通过无卡终端使用业务。
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一并用于解释本发明,并不构成对本发明的限制。在附图中图1为本发明的无卡终端的业务访问方法的实施例一流程图;图2为本发明的无卡终端的业务访问方法的实施例二信令图;图3为本发明的有卡终端的实施例结构图;图4为本发明的无卡终端的实施例结构图;图5为本发明的初始化服务器的实施例结构图;图6为本发明的无卡终端的业务访问系统的实施例结构图。
具体实施例方式以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。方法实施例图1为本发明的无卡终端的业务访问方法的实施例一流程图。如图1所示,本实施例包括步骤S102 在收到无卡终端的密钥获取请求时,有卡终端根据密钥获取请求生成无卡终端用户密钥及用于标识无卡终端用户密钥的引导标识;具体操作过程参见图2的解释说明;步骤S104 根据无卡终端用户密钥及引导标识,无卡终端与网络侧进行业务访问流程;具体操作过程参见图2的解释说明。本实施例通过无卡终端从有卡终端获取无卡终端用户密钥及引导标识进而根据该无卡终端用户密钥及引导标识与网络侧进行业务访问流程,实现用户直接通过无卡终端来使用业务。图2为本发明的无卡终端的业务访问方法的实施例二信令图。如图2所示,本实施例包括步骤S201 无卡终端向有卡终端发起密钥获取请求时,无卡终端及有卡终端利用各自存储的共享密钥(PSK)相互认证并建立安全通道;其中,该共享密钥既可以是预存的, 也可以是用户临时输入的口令等;步骤S202-S203 无卡终端向有卡终端发送密钥获取请求,其中,该密钥获取请求包括需要访问的网络应用平台标识(即Network ApplicationFunction ID,简称NAF ID) 和本自身的终端标识,即无卡终端的Device ID ;步骤S204 有卡终端的(可以包括图3中的安全模块及处理模块)收到请求后,向有卡终端的GBA密钥运算模块请求业务访问密钥Ks_NAF,该密钥Ks_NAF对应无卡终端所请求的平台的网络应用平台ID ;具体操作为GBA密钥运算模块利用SIM/USIM卡计算鉴权信息与初始化服务器(Bootstrapping server function,即BSF)认证,实现GBA初始化过程,并生成有卡终端的根密钥Ks (即用户密钥),然后利用Ks、NAFID及IP多媒体私有标识(IP Multimedia Private Identity)等生成Ks_NAF ;GBA密钥运算模块既可以是在 SIM/USIM中,也可以在SIM/USIM之外,比如在终端上的软件或硬件;具体操作时,在步骤S204之前还可以包括,有卡终端SeM还可以在用户界面上向用户提示无卡终端的密钥请求,并等待用户选择是否同意,若用户不同意,则有卡终端拒绝无卡终端请求;步骤S205 有卡终端的%Μ,收到Ks_NAF,利用Ks_NAF为无卡终端生成临时用户密钥具体操作包括1)有卡终端根据策略为无卡终端用户密钥设置有效期(ExpireDate);如, 具体操作时,根据无卡设备标识DeviceID所携带的终端类型进行判断如果是机顶盒、家庭设备等家庭内的终端,则密钥有效期长度可以为1天,则ExipreDate可以为 2010-3-2012:00:00 2010-3-21 12:00:00,如果是公共PC等设备,则有效期可以为1小时, 则 ExpireDate 可为 2010-3-2012:00:00 :2010-3-21 13:00:00 ;2)有卡终端根据Ks_NAF、有效期和无卡终端设备标识生成无卡终端用户密钥 TempK_NAF = KDF(Ks_NAF,终端标识,有效期);其中,KDF是单向摘要函数,其包括MD5, SHA1、SHA256,或者 HMAC 算法;步骤S206 有卡终端的SIM/USIM将有效日期及TempK_NAF传送至有卡终端的 SeM ;步骤S207 有卡终端的SeM根据有效期、无卡终端设备标识及引导业务标识 (Bootstrapping transaction identifier,简称B-TID)生成无卡终端的引导标识,如无卡终端的引导业务标识为终端标识@有效期@引导业务标识;其中,B-TID是有卡终端执行过GBA初始化后,由BSF为有卡终端生成的;B-TID用于标识有卡终端的用户密钥Ks ;步骤S208 有卡终端的SeM将I~empK_NAF及引导业务标识传送至无卡终端;步骤S209 无卡终端向网络应用平台发送包括引导业务标识的业务访问请求;步骤S210 网络应用平台向初始化服务器(Bootstrapping server function,即 BSF)请求用户密钥,携带引导业务标识和网络应用平台ID ;步骤S211 初始化服务器根据引导业务标识进行处理;具体包括a.解析引导业务标识,取出引导业务标识、终端标识和有效期;
b.根据策略判断该引导业务标识是否有效;c.若有效则根据引导业务标识查找用户密钥Ks_NAF ;d.计算 TempK_NAF = KDF (Ks_NAF,终端标识,有效期);步骤S212 返回TempK_NAF给网络应用平台;步骤S213 网络应用平台使用TempK_NAF与无卡终端相互认证,并安全通信。本实施例通过无卡终端通过从有卡终端获取密钥,并在有限的时间内代表有卡终端的用户身份使用业务,有效期过后,无卡终端中的用户密钥作废。另外,在有卡终端与无卡终端之间建立安全通道,以保证设备的认证和连接的保密性。装置实施例图3为本发明的有卡终端的实施例结构图,上述各方法实施例均可应用于本实施例中。如图3所示,本实施例包括接收模块34,用于接收无卡终端的密钥获取请求;处理模块36,用于根据密钥获取请求生成无卡终端用户密钥及用于标识无卡终端用户密钥的引导标识。具体操作时,该有卡终端还可以包括安全模块32,用于根据存储的共享密钥求对无卡终端认证。处理模块36可以包括有效期生成子模块362,用于根据预设的有效期生成方法,生成无卡终端用户密钥的有效期;密钥生成子模块364,用于根据生成的业务访问密钥、有效期及密钥获取请求内的无卡终端的终端标识,生成无卡终端用户密钥;标识生成子模块366,用于根据存储的引导业务标识、有效期及终端标识,生成无卡终端的引导标识。本实施例通过无卡终端通过从有卡终端获取密钥,并在有限的时间内代表有卡终端的用户身份使用业务,有效期过后,无卡终端中的用户密钥作废。另外,在有卡终端与无卡终端之间建立安全通道,以保证设备的认证和连接的保密性。图4为本发明的点无卡终端的实施例结构图,上述各方法实施例均可应用于本实施例中。如图4所示,本实施例包括收发模块44,用于向有卡终端发送密钥获取请求,以及接收有卡终端根据密钥获取请求发送的无卡终端用户密钥及用于标识无卡终端用户密钥的引导标识;交互模块46,用于根据无卡终端用户密钥及引导标识,与网络侧进行业务访问流程。具体操作时,无卡终端还可以包括安全验证模块,用于根据存储的共享密钥求对有卡终端认证。图5为本发明的初始化服务器的实施例结构图,上述各方法实施例均可应用于本实施例中。如图5所示,本实施例包括信息接收模块52,用于接收用于标识无卡终端用户密钥的引导标识;信息处理模块M,根据引导标识,控制网络应用平台与无卡终端进行业务访问流程;具体操作时,信息处理模块讨可以包括解析子模块M2,用于根据网络应用平台转发的引导标识,解析出引导业务标识、无卡终端的终端标识和无卡终端用户密钥的有效期;获取子模块M4,用于在当前时间处于有效期内时,根据引导业务标识获取对应的业务访问密钥;生成子模块M6,用于根据对应的业务访问密钥、有效期及终端标识生成验证密钥,验证密钥用于控制网络应用平台与无卡终端的业务访问流程。有上述描述知,有卡终端与无卡终端上均部署有一个安全模块(kcureModule, SEM)。该模块可以为软件形式或者硬件形式存在,在模块中安全存储有一个有卡终端与无卡终端共享的秘密信息PSK,PSK既可以是在出厂或者下载安装时预置的,也可以是用户在初次使用时,自行设置的。此外,获取子模块Μ4,可以在当前时间处于有效期内时,获取对应的业务访问密钥,还可以根据有卡终端所负载的无卡终端数目以及BSF及NAF自身的负载能力及安全设置决定是否获取该对应的业务访问密钥。图6为本发明的无卡终端的业务访问系统的实施例结构图,上述各方法实施例均可应用于本实施例中。如图6所示,本实施例包括无卡终端64,用于发送密钥获取请求; 有卡终端62,用于根据密钥获取请求生成无卡终端用户密钥及无卡终端用户密钥的引导标识,并将无卡终端用户密钥及引导标识发送至无卡终端64;网络侧,用于根据无卡终端64 发送的无卡终端用户密钥及引导标识,与无卡终端64进行业务访问流程。其中,网络侧可以包括网络应用平台66,用于接收无卡终端64发送的包括引导标识的业务访问请求;初始化服务器68,用于引导标识,控制网络应用平台66与无卡终端64进行业务访问流程。本实施例通过无卡终端通过从有卡终端获取密钥,并在有限的时间内代表有卡终端的用户身份使用业务,有效期过后,无卡终端中的用户密钥作废。另外,在有卡终端与无卡终端之间建立安全通道,以保证设备的认证和连接的保密性。最后应说明的是以上仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种无卡终端的业务访问方法,其特征在于,包括以下步骤在收到无卡终端的密钥获取请求时,有卡终端根据所述密钥获取请求生成无卡终端用户密钥及用于标识所述无卡终端用户密钥的引导标识;根据所述无卡终端用户密钥及引导标识,所述无卡终端与网络侧进行业务访问流程。
2.根据权利要求1所述的无卡终端的业务访问方法,其特征在于,所述在收到无卡终端的密钥获取请求时,有卡终端根据所述密钥获取请求生成无卡终端用户密钥及用于标识所述无卡终端用户密钥的引导标识的步骤之前还包括所述无卡终端及有卡终端利用各自存储的共享密钥相互认证。
3.根据权利要求1或2所述的无卡终端的业务访问方法,其特征在于,所述有卡终端根据所述密钥获取请求生成无卡终端用户密钥及用于标识所述无卡终端用户密钥的引导标识的步骤包括所述有卡终端根据预设的有效期生成方法,生成所述无卡终端用户密钥的有效期;所述有卡终端根据生成的业务访问密钥、所述有效期及所述密钥获取请求内的所述无卡终端的终端标识生成所述无卡终端用户密钥,以及根据存储的引导业务标识、所述有效期及所述终端标识,生成所述引导标识。
4.根据权利要求3所述的无卡终端的业务访问方法,其特征在于,所述有卡终端根据生成的业务访问密钥、所述有效期及所述密钥获取请求内的所述无卡终端的终端标识生成所述无卡终端用户密钥的步骤包括所述有卡终端根据自身的用户密钥、IP多媒体私有标识及所述密钥获取请求内的待访问网络应用平台的平台标识,生成所述业务访问密钥;所述有卡终端根据所述业务访问密钥、有效期及终端标识生成所述无卡终端用户密钥。
5.根据权利要求1或2所述的无卡终端的业务访问方法,其特征在于,所述根据所述无卡终端用户密钥及引导标识,所述无卡终端与网络侧进行业务访问流程的步骤包括所述无卡终端将包括所述弓I导标识的业务访问请求发送至网络侧的网络应用平台;网络侧的初始化服务器根据所述网络应用平台转发的所述引导标识,获取对应的业务访问密钥,并根据所对应的业务访问密钥计算出用于检验所述无卡终端用户密钥的验证密钥;在所述无卡终端用户密钥与验证密钥一致时,所述网络应用平台与所述无卡终端进行业务访问流程。
6.根据权利要求5所述的无卡终端的业务访问方法,其特征在于,所述网络侧的初始化服务器根据所述网络应用平台转发的所述引导标识,获取对应的业务访问密钥,并根据所对应的业务访问密钥计算出用于检验所述无卡终端用户密钥的验证密钥的步骤包括所述网络侧的初始化服务器根据所述网络应用平台转发的引导标识,解析出所述引导业务标识、终端标识和有效期;并在当前时间处于所述有效期内时,根据所述引导业务标识获取对应的业务访问密钥;以及根据所述对应的业务访问密钥、有效期及终端标识生成所述验证密钥。
7.一种有卡终端,其特征在于,包括接收模块,用于接收无卡终端的密钥获取请求;处理模块,用于根据所述密钥获取请求生成无卡终端用户密钥及用于标识所述无卡终端用户密钥的引导标识。
8.根据权利要求7所述的有卡终端,其特征在于,还包括 安全模块,用于根据存储的共享密钥求对所述无卡终端认证。
9.根据权利要求7或8所述的有卡终端,其特征在于,所述处理模块包括有效期生成子模块,用于根据预设的有效期生成方法,生成所述无卡终端用户密钥的有效期;密钥生成子模块,用于根据生成的业务访问密钥、所述有效期及所述密钥获取请求内的所述无卡终端的终端标识,生成所述无卡终端用户密钥;标识生成子模块,用于根据存储的引导业务标识、所述有效期及所述终端标识,生成所述引导标识。
10.一种无卡终端,其特征在于,包括收发模块,用于向有卡终端发送密钥获取请求,以及接收所述有卡终端根据所述密钥获取请求发送的无卡终端用户密钥及用于标识所述无卡终端用户密钥的引导标识;交互模块,用于根据所述无卡终端用户密钥及引导标识,与网络侧进行业务访问流程。
11.根据权利要求10所述的无卡终端,其特征在于,还包括 安全验证模块,用于根据存储的共享密钥求对所述有卡终端认证。
12.—种初始化服务器,其特征在于,包括信息接收模块,用于接收用于标识无卡终端用户密钥的弓I导标识;信息处理模块,根据所述引导标识,控制网络应用平台与无卡终端进行业务访问流程。
13.根据权利要求12所述的初始化服务器,其特征在于,所述信息处理模块包括 解析子模块,用于根据所述网络应用平台转发的引导标识,解析出引导业务标识、所述无卡终端的终端标识和所述无卡终端用户密钥的有效期;获取子模块,用于在当前时间处于所述有效期内时,根据所述引导业务标识获取对应的业务访问密钥;生成子模块,用于根据所述对应的业务访问密钥、有效期及终端标识生成验证密钥,所述验证密钥用于控制所述网络应用平台与无卡终端的业务访问流程。
14.一种无卡终端的业务访问系统,其特征在于,包括 无卡终端,用于发送密钥获取请求;有卡终端,用于根据所述密钥获取请求生成无卡终端用户密钥及用于标识所述无卡终端用户密钥的引导标识,并将所述无卡终端用户密钥及引导标识发送至所述无卡终端;网络侧,用于根据所述无卡终端发送的所述无卡终端用户密钥及引导标识,与所述无卡终端进行业务访问流程。
15.根据权利要求14所述的点对点传输的接入节点,其特征在于,所述网络侧包括 网络应用平台,用于接收所述无卡终端发送的包括所述引导标识的业务访问请求;初始化服务器,用于所述引导标识,控制所述网络应用平台与无卡终端进行业务访问流程。
全文摘要
本发明提供了一种无卡终端及其业务访问方法及系统、有卡终端、无卡终端及BSF,其中,该方法包括在收到无卡终端的密钥获取请求时,有卡终端根据密钥获取请求生成无卡终端用户密钥及用于标识无卡终端用户密钥的引导标识;根据无卡终端用户密钥及引导标识,无卡终端与网络侧进行业务访问流程。本发明实现了无卡终端通过从有卡终端获取密钥进行业务访问。
文档编号H04W8/24GK102202291SQ20101013086
公开日2011年9月28日 申请日期2010年3月22日 优先权日2010年3月22日
发明者路晓明 申请人:中国移动通信集团公司