專利名稱:驗(yàn)證終端設(shè)備和用戶卡安全關(guān)聯(lián)的方法�、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信安全技術(shù)領(lǐng)域�����,尤其涉及一種驗(yàn)證終端設(shè)備和用戶卡安全的方法�����、裝置及系統(tǒng)����。
背景技術(shù):
現(xiàn)有的移動(dòng)通信網(wǎng)絡(luò)中���,終端設(shè)備與用戶卡之間不采用安全機(jī)制�����,用戶可以將任意一張用戶卡置于任意的終端設(shè)備當(dāng)中��,用戶卡包括用戶識(shí)別模塊(SM��,SubscriberIdentity Module)卡或者全球用戶識(shí)別卡(USIM, Universal Subscriber IdentityModule)卡等�。這種使用方式在普通的應(yīng)用場(chǎng)景下不存在安全問題,但是應(yīng)用于物聯(lián)網(wǎng)等無人值守的場(chǎng)景下可能存在安全問題����,例如,攻擊者可以通過物理接觸方式破壞終端設(shè)備和用戶卡之間的聯(lián)系方式���,使得特定的用戶卡從相應(yīng)的終端設(shè)備中被拔出�,進(jìn)而濫用用戶卡或者終端設(shè)備����。為了在物聯(lián)網(wǎng)等無人值守等場(chǎng)景下,保障特定的用戶卡和相應(yīng)的終端設(shè)備的安全使用�����,現(xiàn)有技術(shù)提出了以下兩種解決方案:1����、在終端設(shè)備和用戶卡之間建立安全通道��,使得終端設(shè)備和用戶卡之間能夠進(jìn)行相互認(rèn)證��;2�、在終端設(shè)備上預(yù)置用戶卡的個(gè)人識(shí)別密碼(PIN,Personal Identification Number)進(jìn)行驗(yàn)證����。上述第一種解決方案中,需要在用戶卡上增加功能模塊�����,用來建立安全通道�,使得用戶卡的功能變得更復(fù)雜��;上述第二種解決方案中��,由于PIN碼密鑰空間較短����,攻擊者可以嘗試進(jìn)行暴力破解,且只能進(jìn)行終端設(shè)備對(duì)用戶卡的單向認(rèn)證�����,無法進(jìn)行用戶卡對(duì)終端設(shè)備的認(rèn)證。從而�,如何在不擴(kuò)展用戶卡功能的前提下,實(shí)現(xiàn)用戶卡和終端設(shè)備的雙向安全認(rèn)證���,成為現(xiàn)有技術(shù)中亟待解決的技術(shù)問題之一�����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種驗(yàn)證用戶卡和終端設(shè)備安全關(guān)聯(lián)的方法��、裝置及系統(tǒng)���,用以在不擴(kuò)展用戶卡功能的前提下,實(shí)現(xiàn)用戶卡和終端設(shè)備的雙向安全認(rèn)證�����。本發(fā)明實(shí)施例提供的驗(yàn)證終端設(shè)備和用戶卡安全關(guān)聯(lián)的方法��,當(dāng)終端設(shè)備接入核心網(wǎng)時(shí)�,將自身的終端標(biāo)識(shí)和自身內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)及其對(duì)應(yīng)的第一待驗(yàn)證終端標(biāo)識(shí)發(fā)送給網(wǎng)絡(luò)側(cè),網(wǎng)絡(luò)側(cè)根據(jù)用戶卡標(biāo)識(shí)在預(yù)先存儲(chǔ)的用戶卡標(biāo)識(shí)與鑒權(quán)密鑰標(biāo)識(shí)的對(duì)應(yīng)關(guān)系中�����,查找其對(duì)應(yīng)的鑒權(quán)密鑰,并利用查找到的鑒權(quán)密鑰對(duì)終端標(biāo)識(shí)和用戶卡標(biāo)識(shí)加密得到第二待驗(yàn)證終端標(biāo)識(shí)�����,若第一待驗(yàn)證終端標(biāo)識(shí)與第二待驗(yàn)證終端標(biāo)識(shí)相同�,則確定終端設(shè)備和用戶卡安全關(guān)聯(lián)驗(yàn)證通過,否則���,確定終端設(shè)備和用戶卡安全關(guān)聯(lián)驗(yàn)證未通過�。這樣���,由網(wǎng)絡(luò)側(cè)對(duì)終端設(shè)備和用戶卡是否為安全關(guān)聯(lián)進(jìn)行驗(yàn)證����,實(shí)現(xiàn)了對(duì)終端設(shè)備和用戶卡的雙向認(rèn)證����,且無需擴(kuò)展用戶卡功能�。本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說明書中闡述,并且�����,部分地從說明書中變得顯而易見,或者通過實(shí)施本發(fā)明而了解���。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過在所寫的說明書�����、權(quán)利要求書���、以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得。
圖1為本發(fā)明實(shí)施例中�����,驗(yàn)證終端設(shè)備和用戶卡安全關(guān)聯(lián)的系統(tǒng)的結(jié)構(gòu)示意圖��;圖2為本發(fā)明實(shí)施例中�����,驗(yàn)證終端設(shè)備和用戶卡安全關(guān)聯(lián)的方法的實(shí)施流程示意圖�;圖3為本發(fā)明實(shí)施例中,終端設(shè)備和用戶卡首次安全關(guān)聯(lián)時(shí)的實(shí)施流程示意圖�����;圖4為本發(fā)明實(shí)施例中,終端設(shè)備和用戶卡非首次安全關(guān)聯(lián)時(shí)的實(shí)施流程示意圖����;圖5為本發(fā)明實(shí)施例中,驗(yàn)證終端設(shè)備和用戶卡安全關(guān)聯(lián)的裝置的結(jié)構(gòu)示意圖��。
具體實(shí)施例方式現(xiàn)有技術(shù)中�,驗(yàn)證用戶卡和終端設(shè)備是否安全關(guān)聯(lián)的方法要么需要擴(kuò)展用戶卡的功能,要么只能實(shí)現(xiàn)終端設(shè)備對(duì)用戶卡的單向認(rèn)證����,而且現(xiàn)有技術(shù)的解決方案均為終端側(cè)的解決方案,這些解決方案無法將用戶卡和終端設(shè)備的驗(yàn)證結(jié)果告知網(wǎng)絡(luò)側(cè)���,因此�,在無人值守的物聯(lián)網(wǎng)等應(yīng)用場(chǎng)景下無法滿足網(wǎng)絡(luò)側(cè)對(duì)終端設(shè)備進(jìn)行異常檢測(cè)的需求���。有鑒于此��,本發(fā)明實(shí)施例提供一種驗(yàn)證用戶卡和終端設(shè)備安全關(guān)聯(lián)的方法、裝置及系統(tǒng)�����,使得網(wǎng)絡(luò)側(cè)可以判斷和獲知用戶卡和終端設(shè)備之間是否安全關(guān)聯(lián)的驗(yàn)證結(jié)果,實(shí)現(xiàn)用戶卡和終端設(shè)備的雙向安全認(rèn)證�����,并且在保證安全性的條件下無需對(duì)用戶卡進(jìn)行功能擴(kuò)展�����。以下結(jié)合說明書附圖對(duì)本發(fā)明的優(yōu)選實(shí)施例進(jìn)行說明���,應(yīng)當(dāng)理解��,此處所描述的優(yōu)選實(shí)施例僅用于說明和解釋本發(fā)明����,并不用于限定本發(fā)明����,并且在不沖突的情況下,本發(fā)明中的實(shí)施例及實(shí)施例中的特征可以相互組合�。如圖1所示,為本發(fā)明實(shí)施例提供的驗(yàn)證終端設(shè)備和用戶卡安全關(guān)聯(lián)的系統(tǒng)的結(jié)構(gòu)示意圖�,包括終端設(shè)備101和核心網(wǎng)設(shè)備102����,以及驗(yàn)證服務(wù)器103��,其中����,終端設(shè)備101中內(nèi)置有用戶卡。為了實(shí)現(xiàn)由網(wǎng)絡(luò)側(cè)對(duì)終端設(shè)備和用戶卡是否安全關(guān)聯(lián)進(jìn)行判斷���,本發(fā)明實(shí)施例中�����,用戶卡擁有用戶卡標(biāo)識(shí)和根密鑰K;終端設(shè)備101擁有終端標(biāo)識(shí)和基礎(chǔ)密鑰Ks��,其中����,終端標(biāo)識(shí)與基礎(chǔ)密鑰Ks為一一對(duì)應(yīng)的關(guān)系���,即每個(gè)終端標(biāo)識(shí)對(duì)應(yīng)唯一的基礎(chǔ)密鑰Ks ;驗(yàn)證服務(wù)器103擁有終端標(biāo)識(shí)和該終端標(biāo)識(shí)對(duì)應(yīng)的基礎(chǔ)密鑰Ks���,核心網(wǎng)設(shè)備102擁有用戶卡標(biāo)識(shí)及其對(duì)應(yīng)的根密鑰���。其中���,終端標(biāo)識(shí)可以為國(guó)際移動(dòng)設(shè)備身份碼(IMEI��,International Mobile Equipment Identity),用戶卡標(biāo)識(shí)可以為國(guó)際移動(dòng)用戶識(shí)別碼(IMSI, International MobileSubscriberIdentification Number)�。對(duì)于任一終端設(shè)備來說�,均可以采用發(fā)明實(shí)施例提供的方法驗(yàn)證終端設(shè)備與其內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)是否安全關(guān)聯(lián),為了便于描述����,本發(fā)明實(shí)施例中涉及的驗(yàn)證過程針對(duì)任一終端設(shè)備進(jìn)行說明。如圖2所示�,為本發(fā)明實(shí)施例提供的驗(yàn)證終端設(shè)備和用戶卡安全關(guān)聯(lián)的方法的實(shí)施流程示意圖,包括如下步驟:S201���、在終端設(shè)備接入核心網(wǎng)時(shí)����,接收終端設(shè)備發(fā)送的第一驗(yàn)證請(qǐng)求����;其中����,第一驗(yàn)證請(qǐng)求中攜帶有接入終端設(shè)備的終端標(biāo)識(shí)���、終端設(shè)備內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)和第一待驗(yàn)證終端標(biāo)識(shí)���;該第一待驗(yàn)證終端標(biāo)識(shí)為該終端設(shè)備利用第二鑒權(quán)密鑰加密得到,該第二鑒權(quán)密鑰為所述終端設(shè)備利用預(yù)先存儲(chǔ)的基礎(chǔ)密鑰對(duì)所述終端設(shè)備的終端標(biāo)識(shí)進(jìn)行加密得到��。S202����、根據(jù)第一驗(yàn)證請(qǐng)求中攜帶的用戶卡標(biāo)識(shí),在預(yù)先存儲(chǔ)的用戶卡標(biāo)識(shí)與鑒權(quán)密鑰的對(duì)應(yīng)關(guān)系中�,查找該用戶卡標(biāo)識(shí)對(duì)應(yīng)的第一鑒權(quán)密鑰;S203��、利用查找到的第一鑒權(quán)密鑰對(duì)第一驗(yàn)證請(qǐng)求中攜帶的終端標(biāo)識(shí)和用戶卡標(biāo)識(shí)進(jìn)行加密后得到第二待驗(yàn)證終端標(biāo)識(shí)����;S204、判斷第一待驗(yàn)證終端標(biāo)識(shí)與第二待驗(yàn)證終端標(biāo)識(shí)是否相同��,如果是,執(zhí)行步驟S205����,如果否,執(zhí)行步驟S206 ��;S205��、確定終端設(shè)備和用戶卡安全關(guān)聯(lián)驗(yàn)證通過����;S206����、確定終端設(shè)備和用戶卡安全關(guān)聯(lián)驗(yàn)證未通過。為了在終端設(shè)備接入接入網(wǎng)設(shè)備的過程中���,實(shí)現(xiàn)由網(wǎng)絡(luò)側(cè)對(duì)終端設(shè)備和該終端設(shè)備內(nèi)置的用戶卡進(jìn)行雙向安全關(guān)聯(lián)認(rèn)證的目的����,需要預(yù)先建立用戶卡標(biāo)識(shí)與鑒權(quán)密鑰之間的對(duì)應(yīng)關(guān)系���。本發(fā)明實(shí)施例中����,可以按照以下過程建立用戶卡標(biāo)識(shí)與第一鑒權(quán)密鑰之間的對(duì)應(yīng)關(guān)系:獲得第一鑒權(quán)密鑰;在終端設(shè)備首次接入核心網(wǎng)時(shí)��,接收該終端設(shè)備發(fā)送的第二驗(yàn)證請(qǐng)求�,該第二驗(yàn)證請(qǐng)求中攜帶有該終端設(shè)備的終端標(biāo)識(shí)、該終端終端設(shè)備內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)和第一待驗(yàn)證終端標(biāo)識(shí)�����;利用獲得的第一鑒權(quán)密鑰����,對(duì)該終端標(biāo)識(shí)和該用戶卡標(biāo)識(shí)進(jìn)行加密得到第二待驗(yàn)證終端標(biāo)識(shí);確定第一待驗(yàn)證終端標(biāo)識(shí)和第二待驗(yàn)證終端標(biāo)識(shí)相同時(shí)����,建立該用戶卡標(biāo)識(shí)與第一鑒權(quán)密鑰之間的對(duì)應(yīng)關(guān)系。 為了更好地理解本發(fā)明�����,以下通過具體的實(shí)施例對(duì)本發(fā)明實(shí)施例的實(shí)施過程進(jìn)行說明�����。如圖3所示,為本發(fā)明實(shí)施例中���,終端設(shè)備和用戶卡首次安全關(guān)聯(lián)時(shí)的實(shí)施流程示意圖�����,包括以下步驟:S301�、驗(yàn)證服務(wù)器和終端設(shè)備分別生成第一鑒權(quán)密鑰和第二鑒權(quán)密鑰���;較佳地,第一鑒權(quán)密鑰為驗(yàn)證服務(wù)器利用預(yù)設(shè)算法對(duì)自身存儲(chǔ)的該終端設(shè)備的終端標(biāo)識(shí)和該終端設(shè)備對(duì)應(yīng)的基礎(chǔ)密鑰進(jìn)行加密得到���,具體的��,驗(yàn)證服務(wù)器可以按照如下公式確定第一鑒權(quán)密鑰KEYl:KEY1 = KDF(i���,ml,rl)��,其中:KDF表示預(yù)設(shè)的加密算法����;i表示終端設(shè)備的終端標(biāo)識(shí)�����;ml表示所述驗(yàn)證服務(wù)器存儲(chǔ)的基礎(chǔ)密鑰��;rl表示第一預(yù)設(shè)值�;第二鑒權(quán)密鑰為終端設(shè)備利用預(yù)設(shè)算法對(duì)自身的終端標(biāo)識(shí)和自身對(duì)應(yīng)的基礎(chǔ)密鑰進(jìn)行加密得到�����,具體的���,終端設(shè)備按照如下公式確定第二鑒權(quán)密鑰KEY2:KEY2 = KDF(i,m2, r2),其中:KDF表示預(yù)設(shè)的加密算法�����;i表示終端設(shè)備的終端標(biāo)識(shí)�����;m2表示終端設(shè)備存儲(chǔ)的基礎(chǔ)密鑰�;r2表示第二預(yù)設(shè)值��。對(duì)于同一終端設(shè)備設(shè)備來說��,終端設(shè)備存儲(chǔ)的基礎(chǔ)密鑰m2與驗(yàn)證服務(wù)器存儲(chǔ)的基礎(chǔ)密鑰ml相同;第一預(yù)設(shè)值rI和第二預(yù)設(shè)值r2為相同隨機(jī)數(shù)�����,該隨機(jī)數(shù)可以在終端設(shè)備與用戶卡首次進(jìn)行安全關(guān)聯(lián)時(shí)由驗(yàn)證服務(wù)器生成�,通過業(yè)務(wù)通道或者其他途徑發(fā)送給終端設(shè)備,也可以由終端設(shè)備生成并發(fā)送給驗(yàn)證服務(wù)器�����。
本發(fā)明實(shí)施例中�����,設(shè)計(jì)的加密算法可以使用高級(jí)加密標(biāo)準(zhǔn)(AES, AdvancedEncryption Standard)����、三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)(3DES, Triple Data EncryptionStandard)等進(jìn)行加密�,能夠有效地保證安全性。S302�����、驗(yàn)證服務(wù)器將自身確定出的第一鑒權(quán)密鑰KEYl發(fā)送給核心網(wǎng)設(shè)備����;S303���、終端設(shè)備首次向核心網(wǎng)設(shè)備發(fā)送接入請(qǐng)求;S304����、核心網(wǎng)設(shè)備向終端設(shè)備發(fā)送獲取請(qǐng)求,請(qǐng)求獲取終端設(shè)備的終端標(biāo)識(shí)和該終端設(shè)備內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)�����;S305���、終端設(shè)備利用自身確定出的第二鑒權(quán)密鑰KEY2���,生成第一臨時(shí)鑒權(quán)密鑰KEY3 ;S306���、終端設(shè)備獲取其內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)�,并利用KEY3對(duì)終端標(biāo)識(shí)和用戶卡標(biāo)識(shí)進(jìn)行加密����,得到第一待驗(yàn)證終端標(biāo)識(shí)�����;特別地�����,為了保證第一待驗(yàn)證終端標(biāo)識(shí)的長(zhǎng)度與終端設(shè)備的終端標(biāo)識(shí)長(zhǎng)度相同����,可以對(duì)利用KEY3對(duì)終端標(biāo)識(shí)和用戶卡標(biāo)識(shí)加密后得到的結(jié)果進(jìn)行分段截取異或操作�。S307、終端設(shè)備將自身的終端標(biāo)識(shí)���、自身內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)以及得到到第一待驗(yàn)證終端標(biāo)識(shí)發(fā)送給接入網(wǎng)設(shè)備�;S308����、接入網(wǎng)設(shè)備利用驗(yàn)證服務(wù)器發(fā)送的第一鑒權(quán)密鑰KEY1��,生成第二臨時(shí)鑒權(quán)密鑰KEY4 �;S309、接入網(wǎng)設(shè)備利用第二臨時(shí)鑒權(quán)密鑰KEY4�����,對(duì)接收到的終端標(biāo)識(shí)和用戶卡標(biāo)識(shí)加密得到第二待驗(yàn)證終端標(biāo)識(shí);具體的�,為了保證第二待驗(yàn)證終端標(biāo)識(shí)的長(zhǎng)度與終端設(shè)備的終端標(biāo)識(shí)長(zhǎng)度相同,可以對(duì)利用KEY4對(duì)終端標(biāo)識(shí)和用戶卡標(biāo)識(shí)加密后得到的結(jié)果進(jìn)行分段截取異或操作�。S310、核心網(wǎng)設(shè)備比較第一待驗(yàn)證終端標(biāo)識(shí)與第二待驗(yàn)證終端標(biāo)識(shí)是否相同����,若二者相同,則建立用戶卡標(biāo)識(shí)與第一鑒權(quán)密鑰之間的對(duì)應(yīng)關(guān)系�,若不相同,則拒絕終端設(shè)備的接入請(qǐng)求���。具體實(shí)施中��,當(dāng)該終端設(shè)備再次請(qǐng)求接入時(shí)�����,接入網(wǎng)設(shè)備可以根據(jù)已經(jīng)建立的用戶卡標(biāo)識(shí)語(yǔ)第一鑒權(quán)密鑰之間的對(duì)應(yīng)關(guān)系���,驗(yàn)證終端設(shè)備與用戶卡之間是否為安全關(guān)聯(lián),如圖4所示,為終端設(shè)備和用戶卡非首次安全關(guān)聯(lián)時(shí)的實(shí)施流程示意圖��,包括如下步驟:S401���、終端設(shè)備向核心網(wǎng)設(shè)備發(fā)送接入請(qǐng)求�;S402�����、核心網(wǎng)設(shè)備向終端設(shè)備發(fā)送獲取請(qǐng)求����,請(qǐng)求獲取該終端設(shè)備的終端標(biāo)識(shí)和該終端設(shè)備內(nèi)置的用戶卡的用戶卡標(biāo)識(shí);S403�、終端設(shè)備利用自身確定出的第二鑒權(quán)密鑰KEY2,生成第一臨時(shí)鑒權(quán)密鑰KEY3 �;S404、終端設(shè)備獲取其內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)�,并利用KEY3對(duì)終端標(biāo)識(shí)和用戶卡標(biāo)識(shí)進(jìn)行加密,得到第一待驗(yàn)證終端標(biāo)識(shí)���;特別地���,為了保證第一待驗(yàn)證終端標(biāo)識(shí)的長(zhǎng)度與終端設(shè)備的終端標(biāo)識(shí)長(zhǎng)度相同,可以對(duì)利用KEY3對(duì)終端標(biāo)識(shí)和用戶卡標(biāo)識(shí)加密后得到的結(jié)果進(jìn)行分段截取異或操作����。S405、終端設(shè)備將自身的終端標(biāo)識(shí)�����、自身內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)以及得到到第一待驗(yàn)證終端標(biāo)識(shí)發(fā)送給接入網(wǎng)設(shè)備�;S406、接入網(wǎng)設(shè)備從預(yù)先存儲(chǔ)的用戶卡標(biāo)識(shí)與鑒權(quán)密鑰對(duì)應(yīng)關(guān)系中�����,查找用戶卡標(biāo)識(shí)對(duì)應(yīng)的第一鑒權(quán)密鑰KEYl �����;S407�、接入網(wǎng)設(shè)備利用查找到的第一鑒權(quán)密鑰KEYl生成第二臨時(shí)鑒權(quán)密鑰KEY4 ;S408�����、接入網(wǎng)設(shè)備利用第二臨時(shí)鑒權(quán)密鑰KEY4�����,對(duì)接收到的終端標(biāo)識(shí)和用戶卡標(biāo)識(shí)加密得到第二待驗(yàn)證終端標(biāo)識(shí);S409���、接入網(wǎng)設(shè)備比較接收到的第一待驗(yàn)證終端標(biāo)識(shí)和自身確定出的第二待驗(yàn)證終端標(biāo)識(shí)是否相同�����,如果相同���,確定終端設(shè)備與用戶卡安全關(guān)聯(lián)驗(yàn)證通過,否則�����,確定終端設(shè)備與用戶卡安全關(guān)聯(lián)驗(yàn)證不通過���。通過上述過程可以看出��,本發(fā)明實(shí)施例中�����,終端設(shè)備只需要從用戶卡中獲取用戶卡標(biāo)識(shí)����,這已經(jīng)成現(xiàn)有技術(shù)中用戶卡能夠?qū)崿F(xiàn)的功能,從而�����,本發(fā)明實(shí)施例中無需對(duì)用戶卡功能進(jìn)行擴(kuò)展���。基于同一發(fā)明構(gòu)思����,本發(fā)明實(shí)施例中還提供一種驗(yàn)證終端設(shè)備和用戶卡安全關(guān)聯(lián)的裝置,由于該裝置解決問題的原理與上述驗(yàn)證終端設(shè)備和用戶卡安全關(guān)聯(lián)的方法相似����,因此該裝置的實(shí)施可以參見上述驗(yàn)證終端設(shè)備和用戶卡安全關(guān)聯(lián)的方法的實(shí)施,重復(fù)之處不再贅述�。如圖5所示,為本發(fā)明實(shí)施例中���,驗(yàn)證終端設(shè)備和用戶卡安全關(guān)聯(lián)的裝置�,包括:存儲(chǔ)單元501�����,用于存儲(chǔ)用戶卡標(biāo)識(shí)與第一鑒權(quán)密鑰的對(duì)應(yīng)關(guān)系;接收單元502���,用于在終端設(shè)備接入核心網(wǎng)時(shí)��,接收該終端設(shè)備發(fā)送的第一驗(yàn)證請(qǐng)求���,該第一驗(yàn)證請(qǐng)求中攜帶有所述終端設(shè)備的終端標(biāo)識(shí)、該終端設(shè)備內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)和第一待驗(yàn)證終端標(biāo)識(shí)�;查找單元503,用于根據(jù)該用戶卡標(biāo)識(shí)����,在存儲(chǔ)單元501存儲(chǔ)的用戶卡標(biāo)識(shí)與第一鑒權(quán)密鑰的對(duì)應(yīng)關(guān)系中,查找該用戶卡標(biāo)識(shí)對(duì)應(yīng)的第一鑒權(quán)密鑰�����;加密單元504��,用于利用查找單元503查找到的第一鑒權(quán)密鑰對(duì)第一驗(yàn)證請(qǐng)求中攜帶的終端標(biāo)識(shí)和用戶卡標(biāo)識(shí)進(jìn)行加密后得到第二待驗(yàn)證終端標(biāo)識(shí)��;判斷單元505�,用于判斷第一待驗(yàn)證終端標(biāo)識(shí)與第二待驗(yàn)證終端標(biāo)識(shí)是否相同���;確定單元506,用于在判斷單元505的判斷結(jié)果為是時(shí)�,確定該終端設(shè)備和用戶卡安全關(guān)聯(lián)驗(yàn)證通過;用于在判斷單元505的判斷結(jié)果為否時(shí)�,確定該終端設(shè)備和用戶卡安全關(guān)聯(lián)驗(yàn)證未通過。具體實(shí)施中���,驗(yàn)證終端設(shè)備和用戶卡安全關(guān)聯(lián)的裝置,還可以包括獲得單元和對(duì)應(yīng)關(guān)系建立單元��,其中:獲得單元����,用于獲得第一鑒權(quán)密鑰;接收單元502����,還用于在該終端設(shè)備首次接入核心網(wǎng)時(shí),接收該終端設(shè)備發(fā)送的第二驗(yàn)證請(qǐng)求�,該第二驗(yàn)證請(qǐng)求中攜帶有該終端設(shè)備的終端標(biāo)識(shí)、該終端終端設(shè)備內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)和第一待驗(yàn)證終端標(biāo)識(shí)�����;加密單元504,還用于利用獲得單元獲得的第一鑒權(quán)密鑰�����,對(duì)該終端標(biāo)識(shí)和所述用戶卡標(biāo)識(shí)進(jìn)行加密得到第二待驗(yàn)證終端標(biāo)識(shí)����;對(duì)應(yīng)關(guān)系建立單元,用于確定第一待驗(yàn)證終端標(biāo)識(shí)和第二待驗(yàn)證終端標(biāo)識(shí)相同時(shí)�����,建立所述用戶卡標(biāo)識(shí)與第一鑒權(quán)密鑰之間的對(duì)應(yīng)關(guān)系����。具體的,獲得單元����,可以用于接收驗(yàn)證服務(wù)器發(fā)送的第一鑒權(quán)密鑰,改第一鑒權(quán)密鑰為驗(yàn)證服務(wù)器利用預(yù)設(shè)算法對(duì)自身存儲(chǔ)的該終端設(shè)備的終端標(biāo)識(shí)和該終端設(shè)備對(duì)應(yīng)的基礎(chǔ)密鑰進(jìn)行加密得到��。本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白�����,本發(fā)明的實(shí)施例可提供為方法、系統(tǒng)�����、或計(jì)算機(jī)程序產(chǎn)品�。因此,本發(fā)明可采用完全硬件實(shí)施例��、完全軟件實(shí)施例���、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且����,本發(fā)明可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤存儲(chǔ)器、CD-ROM��、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式�。本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法、設(shè)備(系統(tǒng))����、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合�。可提供這些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)��、專用計(jì)算機(jī)�����、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器��,使得通過計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置����。這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中,使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品��,該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能����。這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理����,從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。盡管已描述了本發(fā)明的優(yōu)選實(shí)施例����,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念����,則可對(duì)這些實(shí)施例做出另外的變更和修改���。所以�,所附權(quán)利要求意欲解釋為包括優(yōu)選實(shí)施例以及落入本發(fā)明范圍的所有變更和修改�。本發(fā)明實(shí)施例提供的驗(yàn)證終端設(shè)備和用戶卡安全關(guān)聯(lián)的方法,當(dāng)終端設(shè)備接入核心網(wǎng)時(shí)�,將自身的終端標(biāo)識(shí)和自身內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)及其對(duì)應(yīng)的第一待驗(yàn)證終端標(biāo)識(shí)發(fā)送給網(wǎng)絡(luò)側(cè),網(wǎng)絡(luò)側(cè)根據(jù)用戶卡標(biāo)識(shí)在預(yù)先存儲(chǔ)的用戶卡標(biāo)識(shí)與鑒權(quán)密鑰標(biāo)識(shí)的對(duì)應(yīng)關(guān)系中��,查找對(duì)應(yīng)其對(duì)應(yīng)的鑒權(quán)密鑰��,并利用查找到的鑒權(quán)密鑰對(duì)終端標(biāo)識(shí)和用戶卡標(biāo)識(shí)加密得到第二待驗(yàn)證終端標(biāo)識(shí)�����,若第一待驗(yàn)證終端標(biāo)識(shí)與第二待驗(yàn)證終端標(biāo)識(shí)相同���,則確定終端設(shè)備和用戶卡安全關(guān)聯(lián)驗(yàn)證通過,否則�,確定終端設(shè)備和用戶卡安全關(guān)聯(lián)驗(yàn)證未通過。這樣,由網(wǎng)絡(luò)側(cè)對(duì)終端設(shè)備和用戶卡是否為安全關(guān)聯(lián)進(jìn)行驗(yàn)證���,實(shí)現(xiàn)了對(duì)終端設(shè)備和用戶卡的雙向認(rèn)證��,且無需擴(kuò)展用戶卡功能���。顯然,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍�����。這樣��,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)��,則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)����。
權(quán)利要求
1.一種驗(yàn)證終端設(shè)備和用戶卡安全關(guān)聯(lián)的方法,其特征在于��,包括: 在終端設(shè)備接入核心網(wǎng)時(shí)����,接收所述終端設(shè)備發(fā)送的第一驗(yàn)證請(qǐng)求�����,所述第一驗(yàn)證請(qǐng)求中攜帶有所述終端設(shè)備的終端標(biāo)識(shí)�、所述終端設(shè)備內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)和第一待驗(yàn)證終端標(biāo)識(shí)���; 根據(jù)所述用戶卡標(biāo)識(shí)���,在預(yù)先存儲(chǔ)的用戶卡標(biāo)識(shí)與第一鑒權(quán)密鑰的對(duì)應(yīng)關(guān)系中,查找所述用戶卡標(biāo)識(shí)對(duì)應(yīng)的第一鑒權(quán)密鑰�����; 利用查找到的第一鑒權(quán)密鑰對(duì)所述第一驗(yàn)證請(qǐng)求中攜帶的終端標(biāo)識(shí)和用戶卡標(biāo)識(shí)進(jìn)行加密后得到第二待驗(yàn)證終端標(biāo)識(shí)�����; 判斷所述第一待驗(yàn)證終端標(biāo)識(shí)與所述第二待驗(yàn)證終端標(biāo)識(shí)是否相同�; 在判斷結(jié)果為是時(shí),確定所述終端設(shè)備和用戶卡安全關(guān)聯(lián)驗(yàn)證通過�;在判斷結(jié)果為否時(shí)����,確定所述終端設(shè)備和用戶卡安全關(guān)聯(lián)驗(yàn)證未通過���。
2.如權(quán)利要求1所述的方法,其特征在于�,按照如下過程建立用戶卡標(biāo)識(shí)與第一鑒權(quán)密鑰的對(duì)應(yīng)關(guān)系: 獲得第一鑒權(quán)密鑰; 在所述終端設(shè)備首次接入核心網(wǎng)時(shí)�,接收所述終端設(shè)備發(fā)送的第二驗(yàn)證請(qǐng)求,所述第二驗(yàn)證請(qǐng)求中攜帶有所述終端設(shè)備的終端標(biāo)識(shí)���、所述終端終端設(shè)備內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)和第一待驗(yàn)證終端標(biāo)識(shí)��; 利用獲得的第一鑒權(quán)密鑰����,對(duì)所述終端標(biāo)識(shí)和所述用戶卡標(biāo)識(shí)進(jìn)行加密得到第二待驗(yàn)證終端標(biāo)識(shí)���; 確定所述第一待驗(yàn)證終端標(biāo)識(shí)和`第二待驗(yàn)證終端標(biāo)識(shí)相同時(shí)���,建立所述用戶卡標(biāo)識(shí)與所述第一鑒權(quán)密鑰之間的對(duì)應(yīng)關(guān)系。
3.如權(quán)利要求2所述的方法����,其特征在于,獲得鑒權(quán)密鑰��,具體包括: 接收驗(yàn)證服務(wù)器發(fā)送的第一鑒權(quán)密鑰,所述第一鑒權(quán)密鑰為所述驗(yàn)證服務(wù)器利用預(yù)設(shè)算法對(duì)自身存儲(chǔ)的所述終端設(shè)備的終端標(biāo)識(shí)和所述終端設(shè)備對(duì)應(yīng)的基礎(chǔ)密鑰進(jìn)行加密得到����。
4.如權(quán)利要求3所述的方法,其特征在于��,所述驗(yàn)證服務(wù)器按照如下公式確定第一鑒權(quán)密鑰:KEY1 = KDF(i�����,ml�,rl),其中: KEYl表示第一鑒權(quán)密鑰�����; KDF表示預(yù)設(shè)的加密算法��; i表示所述終端設(shè)備的終端標(biāo)識(shí)����; ml表示所述驗(yàn)證服務(wù)器存儲(chǔ)的、所述終端設(shè)備對(duì)應(yīng)的基礎(chǔ)密鑰�����; rl表不第一預(yù)設(shè)值��。
5.如權(quán)利要求1 4任一權(quán)利要求所述的方法����,其特征在于,所述第一待驗(yàn)證終端標(biāo)識(shí)為所述終端設(shè)備利用第二鑒權(quán)密鑰對(duì)所述終端設(shè)備的終端標(biāo)識(shí)和該終端設(shè)備內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)進(jìn)行加密得到����,所述第二鑒權(quán)密鑰為所述終端設(shè)備利用預(yù)設(shè)算法對(duì)自身的終端標(biāo)識(shí)和自身對(duì)應(yīng)的基礎(chǔ)密鑰進(jìn)行加密得到。
6.如權(quán)利要求5所述的方法�����,其特征在于����,所述終端設(shè)備按照如下公式確定第二鑒權(quán)密鑰:KEY2 = KDF(i,m2���,r2)��,其中: KEY2表示第二鑒權(quán)密鑰��;KDF表示預(yù)設(shè)的加密算法����; i表示所述終端設(shè)備的終端標(biāo)識(shí); m2表示所述終端設(shè)備存儲(chǔ)的����、自身對(duì)應(yīng)的基礎(chǔ)密鑰; r2表示第二預(yù)設(shè)值�。
7.—種驗(yàn)證終端設(shè)備和用戶卡安全關(guān)聯(lián)的裝置,其特征在于�����,包括: 存儲(chǔ)單元���,用于存儲(chǔ)用戶卡標(biāo)識(shí)與第一鑒權(quán)密鑰的對(duì)應(yīng)關(guān)系�; 接收單元�,用于在終端設(shè)備接入核心網(wǎng)時(shí),接收所述終端設(shè)備發(fā)送的第一驗(yàn)證請(qǐng)求���,所述第一驗(yàn)證請(qǐng)求中攜帶有所述終端設(shè)備的終端標(biāo)識(shí)�����、所述終端設(shè)備內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)和第一待驗(yàn)證終端標(biāo) 識(shí)��; 查找單元��,用于根據(jù)所述用戶卡標(biāo)識(shí)�,在所述存儲(chǔ)單元存儲(chǔ)的用戶卡標(biāo)識(shí)與第一鑒權(quán)密鑰的對(duì)應(yīng)關(guān)系中����,查找所述用戶卡標(biāo)識(shí)對(duì)應(yīng)的第一鑒權(quán)密鑰; 加密單元��,用于利用所述查找單元查找到的第一鑒權(quán)密鑰對(duì)所述第一驗(yàn)證請(qǐng)求中攜帶的終端標(biāo)識(shí)和用戶卡標(biāo)識(shí)進(jìn)行加密后得到第二待驗(yàn)證終端標(biāo)識(shí)��; 判斷單元��,用于判斷所述第一待驗(yàn)證終端標(biāo)識(shí)與所述第二待驗(yàn)證終端標(biāo)識(shí)是否相同����;確定單元,用于在所述判斷單元的判斷結(jié)果為是時(shí)�����,確定所述終端設(shè)備和用戶卡安全關(guān)聯(lián)驗(yàn)證通過�����;用于在所述判斷單元的判斷結(jié)果為否時(shí),確定所述終端設(shè)備和用戶卡安全關(guān)聯(lián)驗(yàn)證未通過��。
8.如權(quán)利要求7所述的裝置�,其特征在于,還包括獲得單元和對(duì)應(yīng)關(guān)系建立單元�����,其中: 所述獲得單元�����,用于獲得第一鑒權(quán)密鑰���; 所述接收單元��,還用于在所述終端設(shè)備首次接入核心網(wǎng)時(shí)�����,接收所述終端設(shè)備發(fā)送的第二驗(yàn)證請(qǐng)求��,所述第二驗(yàn)證請(qǐng)求中攜帶有所述終端設(shè)備的終端標(biāo)識(shí)���、所述終端終端設(shè)備內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)和第一待驗(yàn)證終端標(biāo)識(shí)�; 所述加密單元����,還用于利用獲得單元獲得的第一鑒權(quán)密鑰,對(duì)所述終端標(biāo)識(shí)和所述用戶卡標(biāo)識(shí)進(jìn)行加密得到第二待驗(yàn)證終端標(biāo)識(shí)���; 對(duì)應(yīng)關(guān)系建立單元�����,用于確定所述第一待驗(yàn)證終端標(biāo)識(shí)和第二待驗(yàn)證終端標(biāo)識(shí)相同時(shí),建立所述用戶卡標(biāo)識(shí)與所述第一鑒權(quán)密鑰之間的對(duì)應(yīng)關(guān)系���。
9.如權(quán)利要求8所述的裝置�����,其特征在于�, 所述獲得單元�����,具體用于接收驗(yàn)證服務(wù)器發(fā)送的第一鑒權(quán)密鑰,所述第一鑒權(quán)密鑰為所述驗(yàn)證服務(wù)器利用預(yù)設(shè)算法對(duì)自身存儲(chǔ)的所述終端設(shè)備的終端標(biāo)識(shí)和所述終端設(shè)備對(duì)應(yīng)的基礎(chǔ)密鑰進(jìn)行加密得到�����。
10.一種驗(yàn)證終端設(shè)備和用戶卡安全關(guān)聯(lián)的系統(tǒng)����,其特征在于,包括終端設(shè)備和核心網(wǎng)設(shè)備�����,所述終端設(shè)備內(nèi)置有用戶卡�,其中: 所述終端設(shè)備,用于在接入所述接入網(wǎng)設(shè)備時(shí)���,利用預(yù)先存儲(chǔ)的第一鑒權(quán)密鑰對(duì)自身的終端標(biāo)識(shí)進(jìn)行加密得到第一待驗(yàn)證終端標(biāo)識(shí)����,并將所述第一待驗(yàn)證終端標(biāo)識(shí)�����、自身的終端標(biāo)識(shí)和自身內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)發(fā)送給所述核心網(wǎng)設(shè)備���; 所述核心網(wǎng)設(shè)備�,用于根據(jù)接收到的所述用戶卡標(biāo)識(shí),在預(yù)先存儲(chǔ)的用戶卡標(biāo)識(shí)與第二鑒權(quán)密鑰的對(duì)應(yīng)關(guān)系中��,查找所述用戶卡標(biāo)識(shí)對(duì)應(yīng)的第二鑒權(quán)密鑰����,利用查找到的第二鑒權(quán)密鑰對(duì)所述終端標(biāo)識(shí)和用戶卡標(biāo)識(shí)進(jìn)行加密后待到第二待驗(yàn)證終端標(biāo)識(shí);當(dāng)判斷出所述第一待驗(yàn)證終端標(biāo)識(shí)和所述第二待驗(yàn)證終端標(biāo)識(shí)相同時(shí)����,確定所述終端設(shè)備和用戶卡安全關(guān)聯(lián)驗(yàn)證通過;當(dāng)判斷出所述第一待驗(yàn)證終端標(biāo)識(shí)和所述第二待驗(yàn)證終端標(biāo)識(shí)不相同時(shí)����,確定所述終端設(shè)備和用戶卡安全關(guān)聯(lián)驗(yàn)證未通過�����。
11.如權(quán)利要求10所述的系統(tǒng)�����,其特征在于����,所述第一鑒權(quán)密鑰為所述終端設(shè)備利用預(yù)設(shè)算法對(duì)自身的終端標(biāo)識(shí)和自身對(duì)應(yīng)的基礎(chǔ)密鑰進(jìn)行加密得到��;以及 所述系統(tǒng)�,還包括驗(yàn)證服務(wù)器����,其中: 所述驗(yàn)證服務(wù)器,用于針對(duì)每一個(gè)終端設(shè)備�,利用預(yù)設(shè)算法對(duì)自身存儲(chǔ)的該終端設(shè)備的終端標(biāo)識(shí)和該終端設(shè)備對(duì)應(yīng)的基礎(chǔ)密鑰進(jìn)行加密得到第二鑒權(quán)密鑰,并將所述第二鑒權(quán)密鑰發(fā)送給所述核心網(wǎng)設(shè)備��。
12.如權(quán)利要求11所述的系統(tǒng)����,其特征在于, 所述終端設(shè)備�,還用于在首次接入所述接入網(wǎng)設(shè)備時(shí),利用預(yù)先存儲(chǔ)的第一鑒權(quán)密鑰對(duì)自身的終端標(biāo)識(shí)進(jìn)行加密得到第一待驗(yàn)證終端標(biāo)識(shí)�,并將所述第一待驗(yàn)證終端標(biāo)識(shí)、自身的終端標(biāo)識(shí)和自身內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)發(fā)送給所述核心網(wǎng)設(shè)備��; 所述核心網(wǎng)設(shè)備��,用于在所述終端設(shè)備首次接入時(shí)�,利用所述驗(yàn)證服務(wù)器發(fā)送的第二鑒權(quán)密鑰對(duì)該終端設(shè)備發(fā)送的終端標(biāo)識(shí)和該終端設(shè)備內(nèi)置的用戶卡的用戶卡標(biāo)識(shí)進(jìn)行加密得到第二待驗(yàn)證終端標(biāo)識(shí)��;當(dāng)判斷出所述第一待驗(yàn)證終端標(biāo)識(shí)和所述第二待驗(yàn)證終端標(biāo)識(shí)相同時(shí)���,建立所述第二鑒權(quán) 密鑰與所述用戶卡標(biāo)識(shí)的對(duì)應(yīng)關(guān)系。
全文摘要
本發(fā)明公開了一種驗(yàn)證終端設(shè)備和用戶卡安全關(guān)聯(lián)的方法��、裝置及系統(tǒng)��,用以在不擴(kuò)展用戶卡功能的前提下����,實(shí)現(xiàn)用戶卡和終端設(shè)備的雙向安全認(rèn)證。其中���,所述方法包括在終端設(shè)備接入核心網(wǎng)時(shí)�����,接收所述終端設(shè)備發(fā)送的第一驗(yàn)證請(qǐng)求;根據(jù)驗(yàn)證請(qǐng)求中攜帶的用戶卡標(biāo)識(shí)��,在預(yù)先存儲(chǔ)的用戶卡標(biāo)識(shí)與第一鑒權(quán)密鑰的對(duì)應(yīng)關(guān)系中�,查找所述用戶卡標(biāo)識(shí)對(duì)應(yīng)的第一鑒權(quán)密鑰;利用查找到的第一鑒權(quán)密鑰對(duì)所述驗(yàn)證請(qǐng)求中攜帶的終端標(biāo)識(shí)和用戶卡標(biāo)識(shí)進(jìn)行加密后得到第二待驗(yàn)證終端標(biāo)識(shí)�;若第一待驗(yàn)證終端標(biāo)識(shí)與所述第二待驗(yàn)證終端標(biāo)識(shí)�����,確定所述終端設(shè)備和用戶卡安全關(guān)聯(lián)驗(yàn)證通過����;否則���,確定所述終端設(shè)備和用戶卡安全關(guān)聯(lián)驗(yàn)證未通過���。
文檔編號(hào)H04W12/06GK103108327SQ20111036223
公開日2013年5月15日 申請(qǐng)日期2011年11月15日 優(yōu)先權(quán)日2011年11月15日
發(fā)明者齊旻鵬, 朱紅儒 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)公司