鉴权的方法、终端和服务器技术
Authentication method, terminal and server
The invention discloses a authentication method, a terminal and a server, which can reduce the manual participation of the terminal device in the authentication process of the access network. The system used the method of authentication by the security key and the server, the method includes: a first device request message to the server to send the first access in the first period, the first device for shared key equipment held; the first device receives the first message server authentication challenge first access request message based on the first authentication the challenge message carries authentication parameters, the authentication parameters used to generate the first device to derive the key; sending in right guarantee guarantee that the equipment request message authentication guarantees request message carrying authentication parameters; the first device receives the security equipment first derived key authentication security request message based on the first generation derived key secured by equipment based on the first security key and authentication parameters; the first device to the server to send the first to derive the key with the server. Bank authentication.
【技术实现步骤摘要】
鉴权的方法、终端和服务器
本专利技术涉及通信领域,并且更具体地,涉及鉴权的方法、终端和服务器。
技术介绍
移动通信的安全问题正越来越多地受到关注。目前,第三代伙伴关系项目(3rdGenerationPartnershipProject,简称“3GPP”)网际协议多媒体子系统(InternetProtocolMultimediaSubsystem,简称“IMS”)的终端接入机制,是典型的卡接入机制。即,单个终端内置IMS用户身份模块(IPMultimediaServicesIdentityModule,简称“IMIS”)卡,网络为各终端预发放与网络共享的密钥,各终端基于该密钥,与网络侧交互完成网络接入认证。也就是说,该鉴权认证体系要求网络对每台设备都需要预发放密钥。随着物联网(InternetofThings,简称“IoT”)技术的发展,海量终端、移动应用以及开放社区开发者接入网络,存在大量的机器到机器(MachinetoMachine,简称“M2M”)。其中,存在大量的无卡(例如,用户标识模块(SubscriberIdentityModule,简称“SIM”)卡、...
【技术保护点】
一种鉴权的方法,其特征在于,所述方法应用于通过安全密钥与服务器进行鉴权的系统中,所述方法包括:第一设备在第一时段向服务器发送第一接入请求消息,所述第一接入请求消息用于请求接入所述服务器,所述第一设备为未持有所述安全密钥的设备;所述第一设备接收所述服务器基于所述第一接入请求消息发送的第一鉴权挑战消息,所述第一鉴权挑战消息携带鉴权参数,所述鉴权参数用于生成派生密钥,所述第一鉴权挑战消息用于指示所述第一设备基于担保设备提供的第一安全密钥与所述服务器进行鉴权,其中,所述第一安全密钥用于所述服务器与所述担保设备之间的鉴权;所述第一设备向所述担保设备发送鉴权担保请求消息,所述鉴权担保请...
【技术特征摘要】
1.一种鉴权的方法,其特征在于,所述方法应用于通过安全密钥与服务器进行鉴权的系统中,所述方法包括:第一设备在第一时段向服务器发送第一接入请求消息,所述第一接入请求消息用于请求接入所述服务器,所述第一设备为未持有所述安全密钥的设备;所述第一设备接收所述服务器基于所述第一接入请求消息发送的第一鉴权挑战消息,所述第一鉴权挑战消息携带鉴权参数,所述鉴权参数用于生成派生密钥,所述第一鉴权挑战消息用于指示所述第一设备基于担保设备提供的第一安全密钥与所述服务器进行鉴权,其中,所述第一安全密钥用于所述服务器与所述担保设备之间的鉴权;所述第一设备向所述担保设备发送鉴权担保请求消息,所述鉴权担保请求消息中携带所述鉴权参数;所述第一设备接收所述担保设备基于所述鉴权担保请求消息发送的第一派生密钥,所述第一派生密钥由所述担保设备基于所述第一安全密钥和所述鉴权参数生成;所述第一设备向所述服务器发送所述第一派生密钥,以与所述服务器进行鉴权。2.根据权利要求1所述的方法,其特征在于,所述第一设备接收所述服务器基于所述第一接入请求消息发送的第一鉴权挑战消息,包括:所述第一设备接收所述服务器基于所述第一接入请求消息发送的第一鉴权挑战消息,所述第一鉴权挑战消息中携带有担保设备的信息,所述担保设备由所述服务器根据所述第一接入请求消息和预存的可信设备集合确定;以及,所述第一设备向所述担保设备发送鉴权担保请求消息,所述鉴权担保请求消息中携带所述鉴权参数,包括:所述第一设备根据所述服务器确定的所述担保设备的信息,向所述担保设备发送所述鉴权担保请求消息,所述鉴权担保请求消息中携带所述鉴权参数。3.根据权利要求2所述的方法,其特征在于,第一设备在第一时段向服务器发送第一接入请求,包括:所述第一设备根据第一预设条件,确定担保设备集合,所述担保设备集合包括至少一台设备,其中,所述第一预设条件包括:所述担保设备集合中的各设备均访问目标业务,所述目标业务为所述第一设备在所述第一时段所访问的业务,且所述担保设备集合中的各设备与所述第一设备的距离小于等于第一预设范围;所述第一设备向所述服务器发送所述第一接入请求消息,所述第一接入请求消息中携带所述担保设备集合中各设备的信息,其中,所述担保设备集合用于所述服务器确定所述担保设备,所述担保设备属于所述担保设备集合,且所述担保设备属于所述可信设备集合。4.根据权利要求1至3中任一项所述的方法,其特征在于,所述安全密钥包括网络预发放的共享密钥,所述担保设备为第一安全级别设备,所述第一安全级别设备为持有网络预发放的第一共享密钥的设备,以及,所述第一设备接收所述第一安全级别设备基于所述鉴权担保请求消息发送的第一派生密钥,所述第一派生密钥由所述第一安全级别设备基于所述第一安全密钥和所述鉴权参数生成,包括:所述第一设备接收所述第一安全级别设备基于所述鉴权担保请求消息发送的第一派生密钥,所述第一派生密钥由所述第一安全级别设备基于所述第一共享密钥和所述鉴权参数生成。5.根据权利要求1至3中任一项所述的方法,其特征在于,所述安全密钥包括终端设备与所述服务器共享的私人密钥,所述担保设备为至少两台第二安全级别设备,所述第二安全级别设备为持有所述私人密钥的设备,所述至少两台第二安全级别设备包括第三设备和第四设备,所述第三设备为持有与所述服务器共享的第一私人密钥的设备,所述第四设备为持有与所述服务器共享的第二私人密钥的设备,以及,所述第一设备接收所述担保设备基于所述鉴权担保请求消息发送的第一派生密钥,所述第一派生密钥由所述担保设备基于所述第一安全密钥和所述鉴权参数生成,包括:所述第一设备接收所述第三设备基于所述鉴权担保请求消息发送的第一派生子密钥,所述第一派生子密钥由所述第三设备基于所述第一私人密钥和所述鉴权参数生成;所述第一设备接收所述第四设备基于所述鉴权担保请求消息发送的第二派生子密钥,所述第二派生子密钥由所述第四设备基于所述第二私人密钥和所述鉴权参数生成;所述第一设备对所述第一派生子密钥和所述第二派生子密钥进行处理,生成所述第一派生密钥。6.根据权利要求1至5中任一项所述的方法,其特征在于,在所述第一设备向所述服务器发送所述第一派生密钥,以与所述服务器进行鉴权之后,所述方法还包括:所述第一设备生成第三私人密钥;所述第一设备向所述服务器发送所述第三私人密钥,所述第三私人密钥基于所述担保设备提供的第一安全密钥生效,所述第三私人密钥为所述第一设备与所述服务器共享的私人密钥。7.根据权利要求6所述的方法,其特征在于,第一设备在第一时段向服务器发送第一接入请求消息,包括:所述第一设备在所述第一时段向所述服务器发送所述第一接入请求消息,所述第一接入请求消息携带所述第一设备的设备ID;所述方法还包括:所述第一设备在第二时段向所述服务器发送第二接入请求消息,所述第二接入请求消息携带所述第一设备的设备ID,所述第二时段处于所述第一时段之后;所述第一设备接收所述服务器基于所述第二接入请求消息发送的第二鉴权挑战消息,所述第二鉴权挑战消息携带鉴权参数,所述第二鉴权挑战消息用于指示所述第一设备基于所述第三私人密钥与所述服务器进行鉴权;所述第一设备基于所述第三私人密钥和所述鉴权参数,生成鉴权响应消息;所述第一设备向所述服务器发送所述鉴权响应消息,以与所述服务器进行鉴权。8.一种鉴权的方法,其特征在于,所述方法应用于通过安全密钥与服务器进行鉴权的系统中,所述方法包括:服务器接收第一设备在第一时段发送的第一接入请求消息,所述第一接入请求消息用于请求接入所述服务器;所述服务器基于所述第一接入请求消息和预存的可信设备集合,确定所述第一设备为未持有所述安全密钥的设备;所述服务器根据所述可信设备集合,为所述第一设备确定担保设备,所述担保设备持有与所述服务器共享的第一安全密钥,所述第一安全密钥用于所述服务器与所述担保设备之间的鉴权,其中,所述可信设备集合不包括所述第一设备,且所述可信设备集合包括所述担保设备;所述服务器基于所述第一接入请求消息,向所述第一设备发送第一鉴权挑战消息,所述第一鉴权挑战消息中携带有所述担保设备的信息和鉴权参数,所述鉴权参数用于生成派生密钥,所述第一鉴权挑战消息用于指示所述第一设备基于所述担保设备提供的所述第一安全密钥与所述服务器进行鉴权;所述服务器接收所述第一设备发送的第一派生密钥,所述第一派生密钥由所述第一设备从所述担保设备获取,且所述派生密钥由所述担保设备基于所述鉴权参数和所述第一安全密钥生成;所述服务器根据所述第一派生密钥,与所述第一设备进行鉴权。9.根据权利要求8所述的方法,其特征在于,所述第一接入请求消息中携带所述第一设备确定的担保设备集合,所述担保设备集合中的各设备所访问的业务包括所述第一设备所访问的目标业务,且所述担保设备集合中的各设备与所述第一设备的距离小于等于第一预设范围,以及,所述服务器基于所述第一接入请求和预存的可信设备集合,为所述第一设备确定担保设备,包括:所述服务器基于所述第一接入请求,从预存的所述可信设备集合和所述担保设备集合中,确定候选担保设备集合,所述候选担保设备集合为所述可信设备集合和所述担保设备集合的交集;所述服务器确定所述候选担保设备集合包括第一安全级别设备时,确定所述担保设备属于所述第一安全级别设备,或者,所述服务器确定所述候选担保设备集合不包括所述第一安全级别设备时,且所述候选担保设备集合包括至少两台第二安全级别设备时,确定所述担保设备为所述至少两台第二安全级别设备,其中,所述安全密钥包括网络预发放的共享密钥或者终端设备与服务器共享的私人密钥,所述第一安全级别设备为持有网络预发放的第一共享密钥的设备,所述第二安全级别设备为持有与所述服务器共享的第一私人密钥的设备,所述第一安全级别设备的安全性高于所述第二安全级别设备的安全性。10.根据权利要求8或9所述的方法,其特征在于,在所述服务器根据所述第一派生密钥,与所述第一设备进行鉴权之后,所述方法还包括:所述服务器确定所述第一设备鉴权成功;所述服务器更新所述可信设备集合,更新后的所述可信设备集合包括所述第一设备。11.一种鉴权的方法,其特征在于,所述方法应用于通过安全密钥与服务器进行鉴权的系统中,所述方法包括:担保设备接收第一设备发送的鉴权担保请求消息,所述鉴权担保请求消息携带服务器下发的鉴权参数,所述鉴权参数用于生成派生密钥;所述担保设备基于所述鉴权参数和与所述服务器共享的第一安全密钥,生成第一派生密钥;所述担保设备向所述第一设备发送所述第一派生密钥。12.根据权利要求11所述的方法,其特征在于,所述安全密钥包括网络预发放的共享密钥,所述担保设备为第一安全级别设备,所述第一安全级别设备为持有网络预发放的第一共享密钥的设备,以及,所述第一安全级别设备基于所述鉴权参数和与所述服务器共享的第一安全密钥,...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。