无卡终端的业务访问方法及设备 |
|||||||
| 申请号 | CN201110287756.5 | 申请日 | 2011-09-26 | 公开(公告)号 | CN103024735B | 公开(公告)日 | 2015-07-01 |
| 申请人 | 中国移动通信集团公司; | 发明人 | 卢山; 路晓明; 黄开莉; 常辉; | ||||
| 摘要 | 一种无卡终端的业务 访问 方法,包括:有卡终端接收无卡终端发送的业务认证 请求 ,根据所述业务认证请求为所述无卡终端生成用户密钥,并根据所述用户密钥,通过与网络侧交互对所述无卡终端进行认证;所述有卡终端在所述无卡终端认证通过后,根据接收到的所述无卡终端发送的业务交互请求与网络侧进行业务交互。本方法用以解决无卡终端难以利用GBA流程直接访问网络业务的问题,增强无卡终端对网络业务访问的便捷性。 | ||||||
| 权利要求 | 1.一种无卡终端的业务访问方法,其特征在于,包括: |
||||||
| 说明书全文 | 无卡终端的业务访问方法及设备技术领域[0001] 本发明涉及通信技术领域,尤其涉及一种无卡终端的业务访问方法及设备。 背景技术[0002] 在移动网络环境下,用户使用终端访问某些业务时,需要基于用户密钥实现终端与业务服务器的相互认证并利用用户密钥加密传输某些机密数据,由此可见,用户密钥的生成是用户使用此类业务的前提条件。 [0003] 从用户使用的设备中是否带有SIM/USIM卡(Subscriber Identity Module/Universal Subscriber Identity Module,用户识别卡/全球用户识别卡)来区分,目前的终端可以分为两类:有卡终端和无卡终端。有卡终端中插有SIM/USIM卡,卡中记录了用户登录移动通信网络的个性化用户根密钥,与网络侧HLR/HSS(Home Location Register/Home Subscriber Server,归属位置寄存器/归属用户服务器)中记录的密钥相同。最常见的有卡终端如手机。由于卡中的密钥已经在网络侧和终端侧共享,所以对于有卡终端,可以基于该密钥实现终端与网络平台的相互认证并生成业务层的共享用户密钥。目前3GPP定义了GBA(Generic Bootstrapping Architecture,通用引导架构),用于对有卡终端生成终端与业务平台共享的用户密钥。 [0004] 由于无卡终端中没有插SIM/USIM卡,终端中不包含任何能够用于认证用户身份的密钥或秘密信息,所以无法像有卡终端这样通过GBA流程生成终端与业务平台共享的用户密钥。因此,在现有的终端业务访问技术中,无卡终端难以利用GBA流程直接访问网络业务。 [0005] 随着无卡终端(例如,PC、笔记本、机顶盒、平板电脑和电子阅读器等),尤其是以平板电脑为代表的无卡终端越来越流行和普及,由此带来的无卡终端无法利用GBA流程直接访问网络业务的问题亟待解决。 发明内容[0006] 本发明实施例提供了一种无卡终端的业务访问方法及设备,用以解决无卡终端难以利用GBA流程直接访问网络业务的问题,增强无卡终端对网络业务访问的便捷性。 [0007] 本发明实施例提供的无卡终端的业务访问方法,包括以下步骤: [0009] 所述有卡终端在所述无卡终端认证通过后,根据接收到的所述无卡终端发送的业务交互请求与网络侧进行业务交互。 [0010] 本发明实施例提供的有卡终端,包括: [0011] 第一接收模块,用于接收无卡终端发送的业务认证请求;以及,接收无卡终端发送的业务交互请求; [0012] 安全模块,用于根据所述业务认证请求为所述无卡终端生成用户密钥,并根据所述用户密钥,通过网络侧对所述无卡终端进行认证;以及,在网络侧对所述无卡终端认证通过后,根据所述第一接收模块接收到的所述无卡终端发送的业务交互请求与网络侧进行业务交互。 [0013] 本发明实施例提供的无卡终端,包括: [0014] 安全模块,用于与有卡终端建立安全通道; [0015] 客户端模块,用于通过所述安全通道向有卡终端发送业务认证请求,以使有卡终端根据所述业务认证请求为所述无卡终端生成用户密钥,并根据所述用户密钥,通过与网络侧交互对所述无卡终端进行认证;以及,通过所述安全通道向有卡终端发送业务交互请求,以使有卡终端与网络侧进行业务交互。 [0016] 与现有技术相比,本发明的上述实施例具有以下有益技术效果: [0017] 本发明实施例通过有卡终端在接收到无卡终端的发起的认证请求后,根据该业务认证请求为无卡终端生成用户密钥,并根据该用户密钥,通过网络侧对所述无卡终端进行认证,并在网络侧对无卡终端认证通过后,根据接收到的无卡终端发送的业务交互请求与网络侧进行业务交互,由此可以为不具备访问网络能力的无卡终端提供网络接入通道,使其可以访问业务平台,增强了无卡终端对网络业务访问的便捷性。附图说明 [0018] 图1为本发明实施例提供的无卡终端的业务访问方法的步骤流程图; [0019] 图2为本发明实施例提供的无卡终端的业务访问方法的信令示意图; [0020] 图3为本发明实施例提供的有卡终端的中间件生成无卡终端用户密钥以及无卡终端的用户密钥的引导标识的步骤流程图; [0021] 图4为本发明实施例提供的BSF生成无卡终端用户密钥的验证密钥的步骤流程图; [0022] 图5为本发明实施例提供的有卡终端的结构示意图; [0023] 图6为本发明实施例提供的无卡终端的结构示意图。 具体实施方式[0024] 下面结合附图对本发明的技术方案进行清楚、完整的描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。 [0025] 本发明实施例所适用的业务访问系统架包括:有卡终端、无卡终端、网络应用平台(Network Application Function,NAF)和初始化服务器(Bootstrapping server function,BSF)。其中,NAF在本实施例中主要用于与有卡终端进行业务认证以及业务交互;BSF主要用于生成无卡终端的用户密钥并发送给NAF,以使NAF与有卡终端进行业务认证;有卡终端是不带有SIM/USIM卡的设备,例如PC、笔记本、机顶盒、平板电脑和电子阅读器等;无卡终端是具有SIM/USIM卡的设备,例如手机等。 [0026] 本系统中的有卡终端作为无卡终端的代理,为无卡终端提供用户密钥生成、用户认证、网络接入等功能。无卡终端不参与用户密钥生成、用户认证、网络接入等功能的实现,无卡终端上的业务客户端无需关心密钥协商、用户认证等流程和业务通道安全性,只需要按业务客户端逻辑向有卡终端发起业务交互流程,再由有卡终端通过代理机制向NAF发送。 [0027] 基于前述系统架构,本发明实施例提供的无卡终端的业务访问流程可如图1所示,包括: [0028] 步骤101,无卡终端与有卡终端之间建立安全通道。 [0029] 具体实施时,无卡终端与有卡终端可利用各自存储的共享密钥(PSK)相互认证并建立安全通道。 [0030] 步骤102,无卡终端需要接入NAF进行业务访问时,通过安全通道向有卡终端发送业务认证请求。 [0031] 步骤103,有卡终端根据该业务认证请求为该无卡终端生成用户密钥。 [0032] 具体实施时,所述业务认证请求中可携带NAF ID(NAF标识)、Device ID(发起该业务认证请求的无卡终端的设备标识)等参数,有卡终端可根据该业务认证请求中携带的NAF ID和Ks(Ks是有卡终端与BSF之间的共享密钥,即根密钥)计算得到业务访问密钥Ks_NAF,然后根据Ks_NAF、Device ID等参数生成用户密钥TempK_NAF和TB-TID,TB-TID即临时B-TID(Bootstrapping transaction identifier,引导业务标识)。 [0033] 步骤104,有卡终端使用该用户密钥,通过网络侧对该无卡终端进行业务认证。 [0034] 具体实施时,有卡终端向NAF发起业务认证请求,其中携带有为该无卡终端生成的TB-TID,NAF向BSF发起获取用户密钥的请求,其中携带有TB-TID和NAF ID;BSF解析TB-TID得到DeviceID、B-TID和用户密钥的效期(Expire Date),并根据NAF ID和Ks计算得到业务访问密钥Ks_NAF,然后根据Ks_NAF、DeviceID等参数生成用户密钥TempK_NAF,并返回给NAF;NAF和有卡终端之间基于为无卡终端生成的TempK_NAF对该无卡终端进行业务认证。 [0035] 步骤105,若该无卡终端认证通过,则该无卡终端可通过与有卡终端之间的安全通道向有卡终端发送业务交互请求,该有卡终端将该业务交互请求发送给NAF,并在接收到NAF返回的业务响应后,通过该安全通道将该业务响应发送给该无卡终端。其间,根据业务需要,有卡终端可以使用为该无卡终端生成的用户密钥TempK_NAF对发送给NAF的数据进行加密;NAF可使用该无卡终端的用户密钥TempK_NAF对业务响应进行加密后发送给有卡终端,此种情况下,有卡终端可以使用为该无卡终端生成的用户密钥TempK_NAF对接收到的业务响应数据进行解密,然后将解密后的业务响应发送给无卡终端。 [0036] 通过以上流程可以看出,本发明实施例具有以下优点: [0037] 1、为不具备访问网络能力的无卡终端提供网络接入通道,使其可以访问业务平台,增强了无卡终端对网络业务访问的便捷性。 [0038] 2、无卡终端不参与用户密钥生成、网络接入以及用户认证等流程,只需要向有卡终端发起业务交互请求,再由有卡终端通过代理机制向业务平台发送,实现有卡终端作为无卡终端的代理接入网络访问业务平台。 [0039] 3、无卡终端利用有卡终端通过代理方式接入网络访问业务平台,有卡终端接入的网络与业务平台所属网络相同,保证了无卡终端访问业务平台链路的QoS(Quality of Service,服务质量),可以通过统一的网络规划和升级来降低信令响应时延和数据包丢失。 [0041] 5、有卡终端使得无卡终端在有限的时间内以有卡终端的用户身份使用业务,有效期过后,为无卡终端生成的用户密钥作废,另外,在有卡终端与无卡终端之间建立安全通道,以保证设备的认证和连接的保密性。 [0042] 本发明实施例在具体实施时,可通过在有卡终端和无卡终端上分别部署一个安全模块(Secure Module,SeM),来实现有卡终端代理无卡终端进行业务认证和网络接入的功能。无卡终端上的SeM模块包括接口层,有卡终端上的SeM模块包括接口层和中间件。其中,接口层可以采用多种软件或硬件形式,来保证有卡终端上中间件与无卡终端的业务客户端间接口的通信安全。有卡终端上的SeM模块中的中间件作为一种通用能力,可以为多个无卡终端、多个业务客户端提供用户密钥生成、用户认证、网络接入等功能。 [0043] 基于以上有卡终端和无卡终端的结构,本发明实施例提供的无卡终端的用户密钥生成、用户认证、网络接入以及业务交互过程的信令流程可如图2所示。 [0044] 其中,在GBA初始化过程中,有卡终端中的密钥运算模块和BSF之间协商共享密钥,即,有卡终端的GBA密钥运算模块利用SIM/USIM卡计算鉴权信息与BSF认证,实现GBA初始化过程,并生成有卡终端的根密钥Ks。 [0045] 以下结合图1及图2详细说明GBA初始化过程之后的用户密钥生成、用户认证以及业务交互过程,如图2所示,该过程包括: [0046] 无卡终端和有卡终端之间建立安全通道(对应图1中的步骤101) [0047] 其中,无卡终端的SeM模块的接口层与有卡终端的SeM模块的接口层利用各自存储的共享密钥(PSK)相互认证并建立安全通道。其中,该共享密钥既可以是预存的,也可以是用户临时输入的口令等。 [0048] 有卡终端代理无卡终端进行的业务认证过程(对应图1中的步骤102-104)[0049] 无卡终端在需要接入NAF时,无卡终端的NAF客户端向有卡终端的SeM模块中的中间件发起认证请求,其中携带有需要访问的网络应用平台标识(NAF ID)和该无卡终端标识(Device ID)。 [0050] 有卡终端的中间件向该有卡终端SIM/USIM中的密钥运算模块发送密钥请求,以请求获取该无卡终端的业务密钥Ks_NAF;SIM/USIM中的密钥运算模块接收到中间件的密钥请求后生成Ks_NAF并发送给中间件,该Ks_NAF对应无卡终端所请求的业务平台标识NAF ID。具体的,有卡终端的密钥运算模块利用Ks、NAF ID及IP多媒体私有标识(IP Multimedia Private Identity,IMPI)等生成Ks_NAF。密钥运算模块既可以是在SIM/USIM中,也可以在SIM/USIM之外,比如在终端上的软件或硬件。有卡终端的中间件根据获得的Ks_NAF生成无卡终端的用户密钥TempK_NAF以及无卡终端的用户密钥的临时TB-TID。 [0051] 有卡终端的中间件向NAF发起业务认证请求,其中携带有为无卡终端生成的TB-TID;NAF接收到中间件发送的业务认证请求后,向BSF发起密钥请求,该密钥请求中携带有自己的NAF ID以及从业务认证请求中获取到的TB-TID;BSF接收到该密钥请求后生成无卡终端的用户密钥TempK_NAF,并将该无卡终端的TempK_NAF发送给NAF;有卡终端的中间件与NAF基于为该无卡终端生成的TempK_NAF为该无卡终端进行认证,即,中间件与NAF基于TempK_NAF完成HTTP Digest相互认证,认证通过后在有卡终端和NAF之间建立业务通信安全通道。 [0052] NAF与有卡终端中间件对无卡终端认证通过后,中间件将该认证结果发送给无卡终端的NAF客户端。 [0053] 优选的,有卡终端可以在用户界面上向用户提示无卡终端的业务认证请求,并等待用户选择是否同意,若接收到用户提交的拒绝信息,则有卡终端拒绝无卡终端的认证请求,若接收到用户提交的确认信息,则有卡终端的中间件向密钥运算模块请求业务访问密钥(Ks_NAF)。 [0054] 有卡终端代理无卡终端进行的业务交互过程(对应图1中的步骤105)[0055] 认证通过后的无卡终端的NAF客户端向有卡终端中间件发起下一步业务交互请求;有卡终端的中间件将该业务交互请求通过有卡终端的接入网络发送给NAF(即通过该有卡终端与NAF之间建立的业务安全通道发送该业务交互请求);NAF接收到有卡终端中间件发来的业务交互请求后进行相应处理,并将业务响应发送给有卡终端的中间件;有卡终端的中间件接收到NAF发送的业务响应后将其发送给无卡终端的NAF客户端;无卡终端的NAF客户端收到业务响应后进行相应业务处理操作。 [0056] 优选的,有卡终端中间件根据业务交互的安全级别,可以选择对从无卡终端收到的业务交互请求利用该无卡终端的TempK_NAF进行加密,并将加密后的业务交互请求发送给NAF;NAF也可以根据业务交互的安全级别对发送给有卡终端中间件的业务响应,使用该无卡终端的TempK_NAF进行加密。如果有卡终端的中间件接收到的业务响应进行了加密处理,则该中间件使用对应的TempK_NAF对该业务响应进行解密,并将解密后的业务响应发送给无卡终端的NAF客户端。 [0057] 在前述步骤103中,中间件根据获得的Ks_NAF生成无卡终端的用户密钥以及无卡终端的用户密钥的引导标识(参见图3所示),具体包括以下步骤: [0058] 步骤301,中间件根据策略为无卡终端的用户密钥设置有效期(Expire Date),该用户密钥的有效期可针对不同的用户以及需要访问的业务内容不同而灵活设定,以满足不同用户、不同业务的需要。具体操作时,根据无卡设备标识(Device ID)所携带的终端类型进行判断:如果是机顶盒、家庭设备等家庭内的终端,则密钥有效期长度可以为1天,则Expire Date可以为2010-3-2012:00:00:2010-3-21 12:00:00;如果是公共PC等设备,则有效期可以为1小时,则Expire Date可为2010-3-20 12:00:00:2010-3-21 13:00:00。 [0059] 步骤302,中间件根据Ks_NAF、Expire Date和Device ID生成用户密钥(TempK_NAF)以及该无卡终端用户密钥的引导标识(TB-TID)。 [0061] 同时,中间件为无卡终端的NAF Client生成引导标识TB-TID。具体的,[0062] 有卡终端的密钥运算模块将Expire Date及TempK_NAF传送至有卡终端的中间件;有卡终端的中间件根据有效期、无卡终端设备标识及引导业务标识(Bootstrapping transaction identifier,B-TID)生成无卡终端的临时引导标识TB-TID,例如无卡终端的临时引导业务标识为:终端标识@有效期@引导业务标识;其中,B-TID是有卡终端执行过GBA初始化后,由BSF为有卡终端生成的;B-TID用于标识有卡终端的用户密钥Ks。 [0063] 在前述步骤104中,BSF生成无卡终端用户密钥的验证密钥(参见图4所示),具体包括以下步骤: [0064] 步骤401,BSF接收到NAF发送的密钥请求后,解析该密钥请求中携带的TB-TID,取出B-TID、Device ID和Expire Date。 [0065] 步骤402,BSF判断该TB-TID的Expire Date是否仍然有效,若有效,根据B-TID查找Ks_NAF,否则给中间件返回认证未通过的消息。 [0066] 步骤403,BSF根据Ks_NAF计算无卡终端用户密钥的验证密钥,TempK_NAF=KDF(Ks_NAF,Device ID,,Expire Date)。其中,KDF是单向摘要函数,其包括MD5,SHA1、SHA256,或者HMAC算法。 [0067] 通过以上流程可以看出,本发明实施例还具有以下优点: [0068] 1、本发明实施例将认证和生成业务层的共享用户密钥的功能集中在有卡终端的SeM模块中,无卡终端上的业务客户端无需关心认证流程和业务通道安全性,降低了无卡终端上业务客户端的复杂度,减少了有卡终端和无卡终端SeM模块间交互复杂度,提高了功能稳定性。 [0069] 2、有卡终端SeM模块中的中间件作为一种通用能力,可以为多个终端、多个客户端提供认证流程和业务通道安全性,降低各客户端的开发成本和融合难度。中间件基于相同的GBA方案、相同的SIM卡可以为自身业务客户端和其他若干个无卡终端上的业务客户端产生不同的身份标识和不同的业务密钥,保证不同的业务客户端可以用不同的身份进行认证。 [0070] 本发明实施例还提供一种有卡终端,参见图5所示,为本发明实施例提供的有卡终端的结构示意图,该有卡终端包括: [0071] 第一接收模块501,用于接收无卡终端发送的业务认证请求;以及,接收无卡终端发送的业务交互请求; [0072] 安全模块502,用于根据业务认证请求为无卡终端生成用户密钥,并根据用户密钥,通过网络侧对无卡终端进行认证;以及,在网络侧对无卡终端认证通过后,根据第一接收模块501接收到的无卡终端发送的业务交互请求与网络侧进行业务交互。 [0073] 具体的,安全模块502具体用于,为无卡终端生成用户密钥和该用户密钥的临时引导标识,向网络应用平台NAF发起业务认证请求,其中携带有临时引导标识,以使NAF将所述临时引导标识发送给初始化服务器BSF,并从BSF获取其根据该临时引导标识生成的用户密钥; [0074] 安全模块502还用于,与NAF基于为无有卡终端生成的用户密钥进行认证。 [0075] 本发明实施例提供的有卡终端还包括密钥运算模块503,用于根据网络侧的网络平台标识NAF ID以及有卡终端与网络侧的共享密钥Ks生成业务访问密钥Ks_NAF; [0076] 安全模块502还用于,为无卡终端的用户密钥设置有效期,根据Ks_NAF、有效期和无卡终端的设备标识生成无卡终端的用户密钥,根据所述有效期、所述无卡终端的设备标识和用户密钥的引导标识生成无卡终端的用户密钥的临时引导标识。 [0077] 该有卡终端还包括:第二接收模块504,该第二接收模块504用于接收网络侧返回的业务响应; [0078] 安全模块502还用于,将所述第二接收模块504接收的业务响应发送给无卡终端。 [0079] 具体的,安全模块502还用于,使用为无卡终端生成的用户密钥对接收到的业务交互请求进行加密,并将加密后的业务交互请求发送给网络侧;以及,使用为无卡终端生成的用户密钥对网络侧返回的业务响应进行解密,并将解密后的业务响应发送给所述无卡终端。 [0080] 本发明实施例还提供一种无卡终端,参见图6所示,为本发明实施例提供的无卡终端的结构示意图,该无卡终端包括: [0081] 安全模块601,用于与有卡终端建立安全通道; [0082] 客户端模块602,用于通过安全通道向有卡终端发送业务认证请求,以使有卡终端根据业务认证请求为所述无卡终端生成用户密钥,并根据用户密钥,通过与网络侧交互对无卡终端进行认证;以及,通过安全通道向有卡终端发送业务交互请求,以使有卡终端与网络侧进行业务交互。 [0083] 具体的,客户端模块602还用于,接收有卡终端返回的业务响应。 [0084] 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。 [0085] 本领域技术人员可以理解,实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。 [0086] 以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。 |
||||||
