在能力开放系统中的终端安全性保护方法、装置及系统的制作方法

在能力开放系统中的终端安全性保护方法、装置及系统的制作方法
【专利摘要】本发明公开了一种在能力开放系统中的终端安全性保护方法、装置及系统，在通过安全中间件为终端多个应用提供服务时，能力开放系统网络侧与安全中间件之间进行安全认证，保证终端设置的安全中间件的安全性和合法性。更进一步地，终端中的各种应用和终端设置的安全中间件之间也进行安全性认证，保证每个应用在使用安全中间件服务时，应用及终端设置的安全中间件的安全性和合法性。
【专利说明】在能力开放系统中的终端安全性保护方法、装置及系统
【技术领域】
[0001]本发明涉及通信领域中的能力开放系统，特别涉及一种在能力开放系统中的终端安全性保护方法、装置及系统。
【背景技术】
[0002]随着通信技术的发展，电信运营商可以通过通信系统的网络侧提供各种应用，由于不同应用是不同应用代理商提供的，所以就需要将通信系统的网络侧开放，成为能力开放系统。随着开放模式多样化，如何使得能力开放过程变得安全可靠，提高能力开放系统的自身竞争力，同时保障能力开放系统的自身能力不被滥用受到广泛关注。
[0003]为了使得能力开放系统便于应用提供商使用，且保证开放的安全，实现诸如应用内计费等移动互联网应用模式，能力开放系统中的终端必须集成或调用相关单元与能力开放系统网络侧进行安全协议通信，通过安全协议进行终端应用及终端身份认证。如采用每个终端应用均集成独立安全组件的方案，存在应用下载及更新时均产生较大的网络资源开销问题，且终端应用存储也带来不必要的开销。
[0004]在能力开放系统中，同一终端具有多个应用时可以采用调用设置的安全中间件实现，有效节省网络资源及终端存储资源。比如，申请号为03825201.5，名称为《中间件中的安全访问管理器》公开了一种用于控制对无线电信系统的移动终端的平台的访问的方法和系统。该系统包括具有软件服务构件和接口构件的平台，该接口构件具有至少一个接口，用于提供对软件服务构件的访问，以便能够在平台中安装，加载并运行应用域软件。访问控制器控制应用域软件经由至少一个接口对软件服务构件的访问。访问控制器包括拦截模块，用于从应用域软件接收访问软件服务构件的请求；以及包括安全访问管理器，用于确定是否应该准许许可请求。如果安全访问管理器准许该许可请求，则准许应用域软件经由至少一个接口访问软件服务构件。
[0005]但是，上述方案中未涉及该中间件本身合法性的认证，不能保证该中间件与能力开放系统网络侧交互时的安全。也就是说，安全中间件作为在能力开放系统中一个独立于终端的程序，充当终端与能力开放系统网络侧的应用交互媒介，一旦受到假冒及篡改的安全威胁，将导致应用中的消息泄露及拒绝服务等风险，造成使用终端的用户体验不佳，给能力开放系统运营造成损失。
[0006]因此，保证能力开放系统的网络侧、终端中的安全中间件的合法性、完整性及可用性是应用得以安全调用的前提与保证。目前能力开放系统通过安全中间件为终端提供多种应用的方案着重于解决终端和安全中间件的安全认证及交互，合理地缓解了网络负载问题，但是却引入了安全中间件本身身份合法性的安全隐患，尤其是安全中间件加载在多个终端之后，一个终端的安全中间件被攻破后，其他安装有相同安全中间件的终端也会存在安全问题。

【发明内容】
[0007]有鉴于此，本发明提供一种在能力开放系统中的终端安全性保护方法，该方法能够在通过安全中间件为终端提供多种应用时，保证终端的安全中间件的合法性及安全。
[0008]本发明还提供一种在能力开放系统中的终端安全性保护系统，该系能能够在通过安全中间件为终端提供多种应用时，保证终端的安全中间件的合法性及安全。
[0009]本发明还提供一种在能力开放系统中的终端安全性保护装置，该装置能够在通过安全中间件为终端提供多种应用时，保证终端的安全中间件的合法性及安全。
[0010]为达到上述目的，本发明实施的技术方案具体是这样实现的:
[0011]一种在能力开放系统中的终端安全性保护方法、该方法包括:
[0012]能力开放系统网络侧接收终端中的安全中间件发送的初始化请求，携带采用初始密钥计算的第一消息验证码及采用初始密钥加密的终端标识及终端号码；
[0013]能力开放系统网络侧使用初始密钥对第一消息验证码进行验证，验证正确后，采用初始密钥解密终端标识和终端号码，生成该安全中间件的身份标识及密钥信息，绑定终端标识和终端号码存储；
[0014]能力开放系统网络侧将该安全中间件的身份标识、密钥信息、和采用初始密钥计算的第二消息验证码发送给该终端的安全中间件认证，认证通过后该终端中的安全中间件存储安全中间件的身份标识及密钥信息。
[0015]所述第一消息验证码还采用终端的安全中间件生成的随机数计算，且初始化请求中携带该随机数；
[0016]所述生成该安全中间件的身份标识及密钥信息是根据终端标识及随机数生成的。
[0017]所述生成该安全中间件的密钥信息为:根据终端标识生成安全中间件的身份标识及临时密钥信息，根据终端标识及随机数生成密钥信息；
[0018]所述将该安全中间件的密钥信息加密后，加密为临时密钥信息；
[0019]将该密钥信息存储之前:采用临时密钥信息和随机数计算得到密钥信息。
[0020]所述发送初始化请求之前,该方法还包括:
[0021]终端设置安全中间件，或终端检测到自身的用户识别模块SM更换、或终端已经设置安全中间件并且检测到该安全中间件没有初始化。
[0022]所述发送初始化请求之前,该方法还包括:
[0023]终端的安全中间件检测是否通过WAP网关与能力开放系统网络侧通信，如果是，则所述的初始化请求由WAP网关转发，在转发时，将终端标识填入到所述初始化请求中；如果否，安全中间件通过短信网关以终端号码及终端标识发送给能力开放系统网络侧，然后再发送初始化请求。
[0024]该方法还包括终端中的软件开发工具包SDK单元与终端中的安全中间件认证过程:SDK单元将从安全中间件获取到的随机数及应用密码生成第一应用消息验证码后，将第一应用消息验证码及应用信息发送给安全中间件；安全中间件采用由能力开放系统网络侧获得的应用密码验证第一应用消息验证码通过后，再将应用信息传输给能力开放系统网络侧。
[0025]所述安全中间件由能力开放系统网络侧获得应用密码的过程为:安全中间件采用密钥信息、第一应用消息验证码、随机数及时间戳计算第二应用消息验证码，发送给能力开放系统网络侧；或者采用应用密码和随机数计算第二应用消息验证码，发送给能力开放系统网络侧；
[0026]能力开放系统网络侧验证第二应用消息验证码成功后，根据应用标识查找对应的应用密钥，然后根据应用密钥验证第一应用消息验证码，验证成功后加密应用密钥，并采用密钥信息、随机数及时间戳计算得到第三应用验证码后，发送第三应用验证码及加密应用密钥给安全中间件；
[0027]安全中间件验证第三应用验证码，验证成功后解密应用密钥，存储应用标识及应用密钥的对应关系；
[0028]安全中间件采用应用密钥校验第一应用消息验证码的合法性，验证成功，则应用合法，与能力开放系统网络侧交互应用信息。
[0029]一种在能力开放系统中的终端安全性保护系统，该系统包括:设置安全中间件的终端和开放移动互联网平台0ΜΡ，其中，
[0030]终端，用于安全中间件发送初始化请求，携带采用初始密钥计算的第一消息验证码及采用初始密钥加密的终端标识和终端号码；根据初始密钥验证第二消息验证码正确后，采用初始密钥对该安全中间件的密钥信息及身份标识解密后，存储；
[0031]0ΜΡ，用于接收该初始化请求后，使用初始密钥对第一消息验证码进行验证，验证消息验证码正确后，采用初始密钥解密终端标识，生成该安全中间件的身份标识及密钥信息，绑定终端标识和终端号码存储，将该安全中间件的密钥信息和身份标识采用初始密钥加密后，并采用初始密钥计算的第二消息验证码发送给该终端。
[0032]终端，用于安全中间件生成随机数，得到第一消息验证码时采用了随机数，初始化请求中还携带了采用初始密钥加密的随机数；
[0033]0ΜΡ，还用于解密随机数，生成该安全中间件的密钥信息是根据随机数生成的。
[0034]0ΜΡ，还用于生成该安全中间件的密钥信息为:根据终端标识生成安全中间件的身份标识及临时密钥信息，根据终端标识及随机数生成密钥信息；所述将该安全中间件的密钥信息加密后，加密为临时密钥信息；
[0035]终端，还用于安全中间件将该密钥信息存储之前，采用临时密钥信息和随机数计算得到密钥信息。
[0036]所述终端，还用于安全中间件在发送初始化请求之前，终端设置安全中间件，或终端检测到自身的SIM更换。或终端已经设置安全中间件并且检测到该安全中间件没有初始化。
[0037]终端，还用于安全中间件检测是否通过WAP网关与能力开放系统网络侧通信，如果是，所述的初始化请求由WAP网关转发，在转发时，将终端标识填入到所述初始化请求中；如果否，安全中间件通过短信网关以终端号码及终端标识发送给能力开放系统网络侧，然后再发送初始化请求。
[0038]终端还包括SDK单元，用于与安全中间件进行认证过程，包括:SDK单元将从安全中间件获取到的随机数及应用密码生成第一应用消息验证码后，将第一应用消息验证码及应用信息发送给安全中间件；安全中间件采用由能力开放系统网络侧获得的应用密码验证第一应用消息验证码通过后，再将应用信息传输给能力开放系统网络侧。
[0039]一种在能力开放系统中的终端安全性保护装置，该装置包括:安全中间件，用于发送初始化请求，携带采用初始密钥加密计算的第一消息验证码及采用初始密钥加密的终端标识和终端号码；根据第二消息验证码认证初始密钥正确后，采用初始密钥对该安全中间件的密钥信息和身份标识解密后，存储。
[0040]还包括SDK单元，用于与安全中间件进行认证过程，包括:SDK单元将从安全中间件获取到的随机数及应用密码生成第一应用消息验证码后，将第一应用消息验证码及应用信息发送给安全中间件；安全中间件采用由能力开放系统网络侧获得的应用密码验证第一应用消息验证码通过后，再将应用信息传输给能力开放系统网络侧。
[0041]一种在能力开放系统中的终端安全性保护装置，该装置包括0ΜΡ，用于接收该初始化请求后，对第一消息验证码进行解码，验证初始密钥正确后，采用初始密钥解密终端标识，生成该安全中间件的身份标识及密钥信息，绑定终端标识和终端号码存储，将该安全中间件的密钥信息和身份标识采用初始密钥加密后，并采用初始密钥计算的第二消息验证码发送给该终端。
[0042]OMP还包括平台接入子系统、平台鉴权子系统、平台安全模块及平台管理子系统，其中，
[0043]所述平台接入子系统及平台鉴权子系统依次转发信息给平台安全模块处理，平台管理子系统对平台接入子系统、平台鉴权子系统及平台安全模块进行管理。
[0044]由上述方案可以看出，本发明中的能力开放系统在通过安全中间件为终端多个应用提供服务时，能力开放系统网络侧与安全中间件之间进行安全认证，保证终端设置的安全中间件的安全性和合法性。更进一步地，终端中的各种应用和终端设置的安全中间件之间也进行安全性认证，保证每个应用在使用安全中间件服务时，应用及终端设置的安全中间件的安全性和合法性。
【专利附图】

【附图说明】
[0045]图1为本发明实施例提供的在能力开放系统中的终端安全性保护方法；
[0046]图2为本发明实施例提供的在能力开放系统中的终端安全性保护系统结构示意图；
[0047]图3为本发明实施例提供的在能力开放系统中的终端安全性保护装置一结构示意图；
[0048]图4为本发明实施例提供的在能力开放系统中的终端安全性保护装置二结构示意图；
[0049]图5为本发明实施例提供的通过WAP网关终端设置的安全中间件进行初始化的方法流程图；
[0050]图6为本发明实施例提供的通过短信网关终端设置的安全中间件进行初始化的方法流程图；
[0051]图7为本发明实施例提供的终端的应用执行时认证的方法流程图。
【具体实施方式】
[0052]为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举实施例，对本发明作进一步详细说明。
[0053]为了在通过安全中间件为终端提供多种应用时，保证终端的安全中间件的合法性及安全，本发明中的能力开放系统在通过安全中间件为终端多个应用提供服务时，能力开放系统网络侧与安全中间件之间进行安全认证，保证终端设置的安全中间件的安全性和合法性。
[0054]更进一步地，终端中的各种应用和终端设置的安全中间件之间也进行安全性认证，保证每个应用在使用安全中间件服务时，应用及终端设置的安全中间件的安全性和合法性。。
[0055]在本发明中，设置了安全中间件的终端采用无线应用协议(WAP)、互联网(NET)或WIFI方式与能力开放系统网络侧连接，要首次执行应用之前，需要完成终端的安全中间件的初始化过程，该过程就是对终端的安全中间件的认证过程。
[0056]图1为本发明实施例提供的在能力开放系统中的终端安全性保护方法，该方法包括:
[0057]步骤101、设置了安全中间件的终端中的安全中间件向能力开放系统网络侧发送初始化请求，携带采用初始密钥计算的媒体访问控制(MAC) I密码及采用初始密钥加密的终端标识及终端号码；
[0058]在该步骤中，初始密钥设置为InitMkey，安全中间件和能力开放系统网络侧都预先设置好；
[0059]在该步骤中，计算MACl密码的加密算法可以采用现有技术的加密算法，在计算时，还可以生成随机数，采用随机数及初始密钥加密计算，这时，所生成的随机数也采用初始S钥加S后发送；
[0060]步骤102、能力开放系统网络侧接收到该初始化请求后，对MACl密码进行解码得到初始密钥，验证初始密钥正确后，采用初始密钥解密终端标识和终端号码，生成该安全中间件的身份标识及密钥信息，绑定终端标识和终端号码存储；
[0061]在该步骤中，如果MACl密码是由随机数及初始密钥加密得到的，在解密时，解密时解密得到随机数，根据解密终端标识及随机数，生成该安全中间件的身份标识及密钥信息，绑定终端标识和终端号码存储；
[0062]步骤103、能力开放系统网络侧将该安全中间件的身份标识、密钥信息、和采用初始密钥计算的MAC2密码发送给该终端中的安全中间件；
[0063]在该步骤中，也就是对初始密钥进行加密后发送；
[0064]步骤104、该终端的安全中间件根据MAC2密码认证初始密钥正确后，将该安全中间件的身份标识及密钥信息，存储；
[0065]在本发明中，终端标识为国际移动用户识别码(IMSI)，为区别使用终端的用户的标识。
[0066]在本发明中，终端号码为移动台识别号码(MSISDN)。
[0067]在本发明中的步骤102中，生成该安全中间件的密钥信息为:根据终端标识生成安全中间件的身份标识及临时密钥信息，根据终端标识及随机数生成密钥信息。
[0068]在本发明中的步骤103中，所述将该安全中间件的密钥信息加密后，加密为临时密钥信息；
[0069]在本发明中的步骤104，将该密钥信息存储之前:采用临时密钥信息和随机数计算得到密钥信息。[0070]在本发明中，在执行步骤101之前，该方法还包括:
[0071]终端设置安全中间件，或终端检测到自身的用户识别模块(SM)更换。或终端已经设置安全中间件并且检测到该安全中间件没有初始化。
[0072]在本步骤中，在执行步骤101之前，该方法还包括:
[0073]终端的安全中间件检测是否通过WAP网关与能力开放系统网络侧通信，如果是，则步骤101中所述的初始化请求由WAP网关转发，在转发时，将终端标识填入到所述初始化请求中；如果否，安全中间件通过短信网关以终端号码及终端标识发送给能力开放系统网络侧，然后再发送初始化请求。
[0074]在本发明中，还包括，
[0075]终端中的软件开发工具包(SDK)单元与终端中的安全中间件认证过程，具体为:SDK单元将从安全中间件获取到的随机数及应用密码生成第一应用消息验证码后，将第一应用消息验证码及应用信息发送给安全中间件；安全中间件采用由能力开放系统网络侧获得的应用密码验证第一应用消息验证码通过后，再将应用信息传输给能力开放系统网络侧。
[0076]安全中间件与能力开放系统网络侧认证SDK单元的应用密码的过程为:安全中间件采用密钥信息、第一应用消息验证码、随机数及时间戳计算第二应用消息验证码，发送给能力开放系统网络侧；或者采用应用密码和随机数计算第二应用消息验证码，发送给能力开放系统网络侧；
[0077]能力开放系统网络侧验证第二应用消息验证码成功后，根据应用标识查找对应的应用密钥，然后根据应用密钥验证第一应用消息验证码，验证成功后加密应用密钥，并采用密钥信息、随机数及时间戳计算得到MAC密码后，发送MAC密码及加密应用密钥给安全中间件；
[0078]安全中间件验证MAC密码，验证成功后解密应用密钥，存储应用标识及应用密钥的对应关系；
[0079]安全中间件采用应用密钥校验第一应用消息验证码的合法性，验证成功，则应用合法，与能力开放系统网络侧交互应用信息。
[0080]图2为本发明实施例提供的在能力开放系统中的终端安全性保护系统结构不意图，包括:设置安全中间件的终端和开放移动互联网平台(0ΜΡ)，其中，
[0081]终端，用于安全中间件发送初始化请求，携带采用初始密钥加密计算的MACl密码及采用初始密钥加密的终端标识和终端号码；根据MAC2密码认证初始密钥正确后，采用初始密钥对该安全中间件的密钥信息及身份标识解密后，存储；
[0082]0ΜΡ,用于接收该初始化请求后，对MACl密码进行解码，验证初始密钥正确后，采用初始密钥解密终端标识，生成该安全中间件的身份标识及密钥信息，绑定终端标识和终端号码存储，将该安全中间件的密钥信息和身份标识采用初始密钥加密后，并采用初始密钥计算的MAC2密码发送给该终端。
[0083]在该系统中，终端，用于安全中间件生成随机数，得到MACl密码时采用了随机数，初始化请求中还携带了采用初始密钥加密的随机数；
[0084]0ΜΡ，还用于解密随机数，生成该安全中间件的密钥信息是根据随机数生成的。
[0085]在该系统中，0ΜΡ，还用于生成该安全中间件的密钥信息为:根据终端标识生成安全中间件的身份标识及临时密钥信息，根据终端标识及随机数生成密钥信息；所述将该安全中间件的密钥信息加密后，加密为临时密钥信息；
[0086]终端，还用于安全中间件将该密钥信息存储之前，采用临时密钥信息和随机数计算得到密钥信息。
[0087]在该系统中，终端，还用于在发送初始化请求之前，终端设置安全中间件，或终端检测到自身的SM更换。或终端已经设置安全中间件并且检测到该安全中间件没有初始化。
[0088]在该系统中，终端，还用于安全中间件检测是否通过WAP网关与能力开放系统网络侧通信，如果是，所述的初始化请求由WAP网关转发，在转发时，将终端标识填入到所述初始化请求中；如果否，安全中间件通过短信网关以终端号码及终端标识发送给能力开放系统网络侧，然后再发送初始化请求。
[0089]在该系统中，终端还包括SDK单元，用于与安全中间件进行认证过程，包括:SDK单元将从安全中间件获取到的随机数及应用密码生成第一应用消息验证码后，将第一应用消息验证码及应用信息发送给安全中间件；安全中间件采用由能力开放系统网络侧获得的应用密码验证第一应用消息验证码通过后，再将应用信息传输给能力开放系统网络侧。
[0090]图3为本发明实施例提供的在能力开放系统中的终端安全性保护装置一结构示意图，该装置为终端，包括:安全中间件，用于发送初始化请求，携带采用初始密钥加密计算的MACl密码及采用初始密钥加密的终端标识和终端号码；根据MAC2密码认证初始密钥正确后，采用初始密钥对该安全中间件的密钥信息和身份标识解密后，存储。
[0091]在该装置中，安全中间件，还用于生成随机数，得到MACl密码时采用了随机数，初始化请求中还携带了采用初始密钥加密的随机数。
[0092]在该装置中，安全中间件，还用于将该密钥信息存储之前，采用临时密钥信息和随机数计算得到密钥信息。
[0093]在该装置中，安全中间件，还用于在发送初始化请求之前，终端设置安全中间件，或终端检测到自身的SIM更换。或终端已经设置安全中间件并且检测到该安全中间件没有初始化。
[0094]在该装置中，安全中间件，还用于检测是否通过WAP网关与能力开放系统网络侧通信，如果是，所述的初始化请求由WAP网关转发，在转发时，将终端标识填入到所述初始化请求中；如果否，安全中间件通过短信网关以终端号码及终端标识发送给能力开放系统网络侧，然后再发送初始化请求。
[0095]在该装置中，终端还包括SDK单元，用于与安全中间件进行认证过程，包括:SDK单元将从安全中间件获取到的随机数及应用密码生成第一应用消息验证码后，将第一应用消息验证码及应用信息发送给安全中间件；安全中间件采用由能力开放系统网络侧获得的应用密码验证第一应用消息验证码通过后，再将应用信息传输给能力开放系统网络侧。
[0096]图4为本发明实施例提供的在能力开放系统系统的终端安全性保护装置二结构示意图，该结构为0ΜΡ,包括:接收该初始化请求后,对MACl密码进行解码,验证初始密钥正确后，采用初始密钥解密终端标识，生成该安全中间件的身份标识及密钥信息，绑定终端标识和终端号码存储，将该安全中间件的密钥信息和身份标识采用初始密钥加密后，并采用初始密钥计算的MAC2密码发送给该终端。[0097]0ΜΡ，还用于解密随机数，生成该安全中间件的密钥信息是根据随机数生成的。
[0098]在该装置中，0ΜΡ，还用于生成该安全中间件的密钥信息为:根据终端标识生成安全中间件的身份标识及临时密钥信息，根据终端标识及随机数生成密钥信息；所述将该安全中间件的密钥信息加密后，加密为临时密钥信息。
[0099]在OMP中，还包括平台接入子系统、平台鉴权子系统、平台安全模块及平台管理子系统，所述平台接入子系统及平台鉴权子系统转发信息给平台安全模块处理，平台管理子系统对平台接入子系统、平台鉴权子系统及平台安全模块进行管理。
[0100]在OMP中，平台安全模块为关键模块。
[0101]在本发明中，对终端设置的安全中间件进行初始化时可以通过WAP网关或短信网关与能力开放系统网络侧交互完成。对终端设置的安全中间件进行初始化的发生时间点有三个:1)安全终端件设置在终端上首次运行时，终端检测到发起初始化过程；2)当终端检测到终端的SIM更换时，发起初始化过程；3)在终端调用所设置的安全中间件执行应用时，检测到该安全中间件未进行初始化，发起初始化过程。
[0102]终端的安全中间件通过WAP网关与能力开放系统网络侧交互进行初始化时，终端使用通用分组无线服务技术(GPRS)上网并设置接入点为中国移动无线应用协议(CMWAP)网关场景下，初始化请求由WAP网关转发给能力开放系统，初始化请求中的终端号码，也就是终端的IMSI是由WAP网关添加的，从而在开放能力系统网络侧建立绑定关系，该终端标识也由WAP网关下发给安全中间件，安全中间件实现基于WAP网关的初始化流程。
[0103]在终端使用WIFI或接入点设置非CMWAP的情况下与能力开放系统网络侧交互进行初始化时，终端的安全中间件发送两条短信，一条以文本方式通过短信网关发送到能力开放系统网络侧，生成终端标识与终端号码的绑定关系，另一条直接发送给能力开放系统网络侧，由能力开放系统网络侧根据这两条短信中的终端标识和终端号码建立绑定关系。
[0104]在本发明中，能力开放系统网络侧根据设置安全中间件的终端的MSI生成安全中间件的身份标识及密钥信息，既能有效实现能力开放系统网络侧与安全中间件之间的身份认证，又能保证终端号码，即MSISDN不被能力开放系统网络侧中提供应用的代理商获知，有效保护终端隐私。本发明的关键点为密钥管理机制、安全中间件的身份标识与密钥生成机制，以及安全中间件的认证及初始化机制。
[0105]密钥管理机制
[0106]初始密钥，是由能力开放系统网络侧预先生成的，并存储在能力开放系统网络侧和终端的安全中间件中，在初始化过程中认证安全中间件，初始化成功后执行应用时，就采用密钥信息取代。
[0107]密钥信息，是由能力开放系统网络侧生成的，在传输时采用初始密钥加密传输，并在能力开放系统网络侧与安全中间件中与终端标识、终端号码及中间安全件的身份标识绑定，对于不同的中间安全件，其密钥信息是不同且唯一的。
[0108]安全中间件的认证及初始化机制
[0109]能力开放系统网络侧通过WAP网关或短信网关获取到初始化请求后，认证发送该初始化请求的安全中间件的合法性，认证通过后生成安全中间件的身份标识及密钥信息并与初始化请求携带的终端标识绑定。
[0110]安全中间件的身份标识与密钥生成机制[0111]在各个终端的安全中间件经过了认证和初始化后，具有唯一的安全中间件的身份标识及密钥信息，从而区分不同终端，或使用同一终端的不同用户在终端上设置的安全中间件。
[0112]在终端的安全中间件在初始化过程中，使用预先设置的通用的初始密钥进行认证，及对生成的安全中间件的身份标识及密钥信息加密传输，有效在初始化过程中放置安全中间件的假冒，提高安全性。
[0113]在本发明中，由于在终端的安全中间件初始化过程中，需要使用预先设置的通用的初始密钥进行认证，及对生成的安全中间件的身份标识及密钥信息加密传输，所以采用安全加固技术保证预先设置的通用的初始密钥及程序逻辑的安全性，所采用的安全加固技术包括:代码混淆、动态反调试及核心代码加壳等，保证安全中间件不会被进行静态或动态攻击。在安全中间件运行时，还需要进行完整性校验及应用程序编程接口(API)访问校验，保证其在运行时不被篡改。
[0114]以下对终端的安全中间件的两种初始化流程进行详细说明。
[0115]图5为本发明实施例提供的通过WAP网关终端设置的安全中间件进行初始化的方法流程图，其具体步骤为:
[0116]步骤501、终端设置的安全中间件确定终端的接入点设置的为CMWAP ；
[0117]在该步骤中，终端会检测到终端的接入状况，且告知终端设置的安全中间件；
[0118]步骤502、该安全中间件生成随机数；
[0119]步骤503、该中间安全件向WAP网关发送初始化请求，携带用初始密钥加密的随机数和终端号码，以及使用初始密钥计算得到的MACl密码；
[0120]步骤504、WAP网关接收到该初始化请求后，在该初始化请求中添加终端标识后发送给OMP中的平台接入子系统；
[0121]步骤505、0MP中的平台接入子系统从WAP网关接收到的初始化请求发送给OMP中的平台鉴权子系统；
[0122]步骤506、OMP中的平台鉴权子系统将该初始化请求转发给OMP中的平台安全模块；
[0123]步骤507、OMP中的平台安全模块验证该初始化请求中的MACl密码，验证成功后采用初始密钥解密随机数和终端标识，根据终端标识生成该安全中间件的身份标识和临时密钥信息，采用临时密钥信息及随机数生成密钥信息，绑定密钥信息、安全中间件的身份标识、终端标识及终端号码，存储；
[0124]步骤508、OMP中的平台安全模块将临时密钥信息和中间件的安全身份标识使用初始密钥加密后，并采用初始密钥加密计算MAC2后，发送到OMP中的平台鉴权子系统；
[0125]步骤509、OMP中的平台鉴权子系统将MAC2及使用初始密钥加密的临时密钥信息和中间件的安全身份标识发送给OMP的平台接入子系统；
[0126]步骤510、OMP的平台接入子系统将MAC2及使用初始密钥加密的临时密钥信息和中间件的安全身份标识发送给WAP网关；
[0127]步骤511、WAP网关将MAC2及使用初始密钥加密的临时密钥信息和中间件的安全身份标识发送给终端的安全中间件；
[0128]步骤512、终端的安全中间件验证MAC2，验证成功后采用初始密钥对临时密钥信息和安全中间件的身份标识解密后，采用临时密钥信息与随机数计算生成密钥信息，绑定密钥信息及安全中间件的身份标识，存储。
[0129]图6为本发明实施例提供的通过短信网关终端设置的安全中间件进行初始化的方法流程图，其具体步骤为:
[0130]步骤601、终端设置的安全中间件确定终端的接入点为非CMWAP，确定采用短信方式进行初始化；
[0131]步骤602、终端设置的安全中间件发送携带经过加密的终端标识的短信发送给短/[目网关；
[0132]步骤603、短信网关将加密的终端标识及填入的终端号码以短信方式发送给OMP中的平台接入子系统；
[0133]步骤604、OMP中的平台接入子系统从短信中解密得到终端标识，将终端标识及终端号码发送给OMP中的平台鉴权子系统；
[0134]步骤605、0MP中的平台鉴权子系统将终端标识及终端号码发送给OMP中的平台安全模块；
[0135]步骤606、OMP中的平台安全模块存储终端标识及终端号码的对应关系；
[0136]步骤607、终端的安全中间件向OMP中的平台子系统发送初始化请求，携带用初始密钥加密的终端标识和随机数，以及使用初始密钥计算得到的MACl ；
[0137]步骤608、OMP中的平台接入子系统将初始化请求发送给OMP中的平台鉴权子系统；
[0138]步骤609、OMP中的平台鉴权子系统将该初始化请求转发给OMP中的平台安全模块；
[0139]步骤610、0MP中的平台安全模块验证该初始化请求中的MACl，验证成功后采用初始密钥解密随机数和终端标识，根据终端标识生成该安全中间件的身份标识和临时密钥信息，采用临时密钥信息及随机数生成密钥信息，绑定密钥信息、安全中间件的身份标识、终端标识及终端号码，存储；
[0140]步骤611、OMP中的平台安全模块将临时密钥信息和中间件的安全身份标识使用初始密钥加密后，并采用初始密钥加密计算MAC2后，发送到OMP中的平台鉴权子系统；
[0141]步骤612、OMP中的平台鉴权子系统将MAC2及使用初始密钥加密的临时密钥信息和中间件的安全身份标识发送给OMP的平台接入子系统；
[0142]步骤613、OMP的平台接入子系统将MAC2及使用初始密钥加密的临时密钥信息和中间件的安全身份标识发送给终端的安全中间件；
[0143]步骤614、终端的安全中间件验证MAC2，验证成功后采用初始密钥对临时密钥信息和安全中间件的身份标识解密后，采用临时密钥信息与随机数计算生成密钥信息，绑定密钥信息及安全中间件的身份标识，存储。
[0144]在本发明中，当终端的安全中间件经过初始化后，终端的应用就通过该安全中间件与能力开放系统网络侧通信，同时要验证应用、安全中间件及能力开放系统网络侧三者之间的合法身份。通过认证，保证应用不被非法盗用及篡改，保证能力开放系统网络侧不被非法用户及应用滥用或盗用，维护使用终端的用户、应用代理商及能力开放系统运营商的共同利益。[0145]图7为本发明实施例提供的终端的应用执行时认证的方法流程图，其具体步骤为:
[0146]步骤701、终端的安全软件开放工具包(SDK)单元将携带应用标识的应用请求发送给终端的安全中间件；
[0147]步骤702、终端的安全中间件生成随机数，发送给终端的SDK单元；
[0148]步骤703、终端的SDK单元采用随机数与应用密码计算得到H2，将H2及应用信息发送给终端的安全中间件；
[0149]步骤704、终端的安全中间件检测是否存储有对应的应用密钥，确定没有存储有对应的应用密钥；
[0150]步骤705、终端的安全中间件采用密钥信息、H2、随机数及时间戳计算Hl ；
[0151]在该步骤中，如果确定有对应的应用密钥，则采用对应的应用密钥及随机数计算Hl ；
[0152]步骤706、终端的安全中间件将H2、随机数、应用标识、时间戳、Hl及终端标识发送给OMP中的平台接入子系统；
[0153]步骤707、OMP中的接入子系统转发H2、随机数、应用标识、时间戳、Hl及终端标识给OMP中的平台鉴权子系统；
[0154]步骤708、OMP中的平台鉴权子系统转发H2、随机数、应用标识、时间戳、Hl及终端标识给OMP中的平台安全模块；
[0155]步骤709、OMP中的平台安全模块验证H1，验证成功后，根据应用标识查找对应的应用密钥，然后根据应用密钥验证H2，验证成功后加密应用密钥，并采用密钥信息、随机数及时间戳计算得到MAC后，发送MAC及加密应用密钥给OMP中的平台鉴权子系统；
[0156]步骤710、0MP中的平台鉴权子系统将接收的MAC及加密应用密钥转发给OMP中的平台接入子系统；
[0157]步骤711、0MP中的平台接入子系统将MAC及加密应用密钥发送给终端的安全中间件；
[0158]步骤712、终端的安全中间件验证MAC，验证成功后解密应用密钥，存储应用标识及应用密钥的对应关系；
[0159]步骤713、终端的安全中间件采用应用密钥校验H2的合法性，H2验证成功，则应用合法。
[0160]在此之后，终端的安全中间件将应用信息与OMP之间进行交互。
[0161]从本发明可以看出，本发明针对终端应用场景，为基于终端设置的安全中间件的能力开放系统中引入了安全中间件的身份认证机制，保证了安全中间件的本身合法性，为终端的应用与能力开放系统的通信提供了安全基础，使得能力开放系统的安全性有所提高，更好地兼顾了能力开放系统提供多种应用性能及安全性能。
[0162]本发明明为终端设置的安全中间件生成的密钥信息与该安全中间件唯一绑定，保证了当某个终端设置的安全中间件的密钥信息被破解后不会波及其他终端设置的安全中间件，大大降低了终端设置的安全中间件的密钥信息被破解的风险。本发明为终端设置的安全中间件提供了密钥生成机制，相应地协议报文及报文完整性验证参数，保证了终端设置的安全中间件的密钥信息不会通过能力开放系统的网络传输，避免了中间人为攻击，及传输报文被篡改。
[0163]以上举较佳实施例，对本发明的目的、技术方案和优点进行了进一步详细说明，所应理解的是，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种在能力开放系统中的终端安全性保护方法、其特征在于，该方法包括: 能力开放系统网络侧接收终端中的安全中间件发送的初始化请求，携带采用初始密钥计算的第一消息验证码及采用初始密钥加密的终端标识及终端号码； 能力开放系统网络侧使用初始密钥对第一消息验证码进行验证，验证正确后，采用初始密钥解密终端标识和终端号码，生成该安全中间件的身份标识及密钥信息，绑定终端标识和终端号码存储； 能力开放系统网络侧将该安全中间件的身份标识、密钥信息、和采用初始密钥计算的第二消息验证码发送给该终端的安全中间件认证，认证通过后该终端中的安全中间件存储安全中间件的身份标识及密钥信息。
2.如权利要求1所述的方法，其特征在于，所述第一消息验证码还采用终端的安全中间件生成的随机数计算，且初始化请求中携带该随机数； 所述生成该安全中间件的身份标识及密钥信息是根据终端标识及随机数生成的。
3.如权利要求2所述的方法，其特征在于，所述生成该安全中间件的密钥信息为:根据终端标识生成安全中间件的身份标识及临时密钥信息，根据终端标识及随机数生成密钥信息； 所述将该安全中间件的密钥信息加密后，加密为临时密钥信息； 将该密钥信息存储之前:采用临时密钥信息和随机数计算得到密钥信息。
4.如权利要求1所述的方法，其特征在于，所述发送初始化请求之前，该方法还包括: 终端设置安全中间件，或终端检测到自身的用户识别模块SM更换、或终端已经设置安全中间件并且检测到该安全中间件没有初始化。
5.如权利要求1或4所述的方法，其特征在于，所述发送初始化请求之前，该方法还包括: 终端的安全中间件检测是否通过WAP网关与能力开放系统网络侧通信，如果是，则所述的初始化请求由WAP网关转发，在转发时，将终端标识填入到所述初始化请求中；如果否，安全中间件通过短信网关以终端号码及终端标识发送给能力开放系统网络侧，然后再发送初始化请求。
6.如权利要求1所述的方法，其特征在于，该方法还包括终端中的软件开发工具包SDK单元与终端中的安全中间件认证过程:SDK单元将从安全中间件获取到的随机数及应用密码生成第一应用消息验证码后，将第一应用消息验证码及应用信息发送给安全中间件；安全中间件采用由能力开放系统网络侧获得的应用密码验证第一应用消息验证码通过后，再将应用信息传输给能力开放系统网络侧。
7.如权利要求6所述的方法，其特征在于，所述安全中间件由能力开放系统网络侧获得应用密码的过程为:安全中间件采用密钥信息、第一应用消息验证码、随机数及时间戳计算第二应用消息验证码，发送给能力开放系统网络侧；或者采用应用密码和随机数计算第二应用消息验证码，发送给能力开放系统网络侧； 能力开放系统网络侧验证第二应用消息验证码成功后，根据应用标识查找对应的应用密钥，然后根据应用密钥验证第一应用消息验证码，验证成功后加密应用密钥，并采用密钥信息、随机数及时间戳计算得到第三应用验证码后，发送第三应用验证码及加密应用密钥给安全中间件；安全中间件验证第三应用验证码，验证成功后解密应用密钥，存储应用标识及应用密钥的对应关系； 安全中间件采用应用密钥校验第一应用消息验证码的合法性，验证成功，则应用合法，与能力开放系统网络侧交互应用信息。
8.一种在能力开放系统中的终端安全性保护系统，其特征在于，该系统包括:设置安全中间件的终端和开放移动互联网平台OMP，其中， 终端，用于安全中间件发送初始化请求，携带采用初始密钥计算的第一消息验证码及采用初始密钥加密的终端标识和终端号码；根据初始密钥验证第二消息验证码正确后，采用初始密钥对该安全中间件的密钥信息及身份标识解密后，存储； 0ΜΡ，用于接收该初始化请求后，使用初始密钥对第一消息验证码进行验证，验证消息验证码正确后，采用初始密钥解密终端标识，生成该安全中间件的身份标识及密钥信息，绑定终端标识和终端号码存储，将该安全中间件的密钥信息和身份标识采用初始密钥加密后，并采用初始密钥计算的第二消息验证码发送给该终端。
9.如权利要求8所述的系统，其特征在于，终端，用于安全中间件生成随机数，得到第一消息验证码时采用了随机数，初始化请求中还携带了采用初始密钥加密的随机数； 0ΜΡ，还用于解密随机数，生成该安全中间件的密钥信息是根据随机数生成的。
10.如权利要求8所述的系统，其特征在于，0ΜΡ，还用于生成该安全中间件的密钥信息为:根据终端标识生成安全中间件的身份标识及临时密钥信息，根据终端标识及随机数生成密钥信息；所述将该安全中间件的密钥信息加密后，加密为临时密钥信息； 终端，还用于安全中间件将该密钥信息存储之前，采用临时密钥信息和随机数计算得到密钥信息。
11.如权利要求8所述的系统，其特征在于，所述终端，还用于安全中间件在发送初始化请求之前，终端设置安全中间件，或终端检测到自身的SIM更换。或终端已经设置安全中间件并且检测到该安全中间件没有初始化。
12.如权利要求8所述的系统，其特征在于，终端，还用于安全中间件检测是否通过WAP网关与能力开放系统网络侧通信，如果是，所述的初始化请求由WAP网关转发，在转发时，将终端标识填入到所述初始化请求中；如果否，安全中间件通过短信网关以终端号码及终端标识发送给能力开放系统网络侧，然后再发送初始化请求。
13.如权利要求8所述的系统，其特征在于，终端还包括SDK单元，用于与安全中间件进行认证过程，包括:SDK单元将从安全中间件获取到的随机数及应用密码生成第一应用消息验证码后，将第一应用消息验证码及应用信息发送给安全中间件；安全中间件采用由能力开放系统网络侧获得的应用密码验证第一应用消息验证码通过后，再将应用信息传输给能力开放系统网络侧。
14.一种在能力开放系统中的终端安全性保护装置，其特征在于，该装置包括:安全中间件，用于发送初始化请求，携带采用初始密钥加密计算的第一消息验证码及采用初始密钥加密的终端标识和终端号码；根据第二消息验证码认证初始密钥正确后，采用初始密钥对该安全中间件的密钥信息和身份标识解密后，存储。
15.如权利要求14所述的装置，其特征在于，还包括SDK单元，用于与安全中间件进行认证过程，包括:SDK单元将从安全中间件获取到的随机数及应用密码生成第一应用消息验证码后，将第一应用消息验证码及应用信息发送给安全中间件；安全中间件采用由能力开放系统网络侧获得的应用密码验证第一应用消息验证码通过后，再将应用信息传输给能力开放系统网络侧。
16.一种在能力开放系统中的终端安全性保护装置，其特征在于，该装置包括OMP，用于接收该初始化请求后，对第一消息验证码进行解码，验证初始密钥正确后，采用初始密钥解密终端标识，生成该安全中间件的身份标识及密钥信息，绑定终端标识和终端号码存储，将该安全中间件的密钥信息和身份标识采用初始密钥加密后，并采用初始密钥计算的第二消息验证码发送给该终端。
17.如权利要求16所述的装置，其特征在于，OMP还包括平台接入子系统、平台鉴权子系统、平台安全模块及平台管理子系统，其中， 所述平台接入子系统及平台鉴权子系统依次转发信息给平台安全模块处理，平台管理子系统对平台接入子系统、平台鉴权子 系统及平台安全模块进行管理。
【文档编号】H04W12/06GK103974248SQ201310027409
【公开日】2014年8月6日 申请日期:2013年1月24日 优先权日:2013年1月24日
【发明者】蔡准, 王姗姗, 张译恬 申请人:中国移动通信集团公司