專利名稱:一種對移動終端進行信息分發(fā)的方法
技術(shù)領(lǐng)域:
本發(fā)明適用于移動通信和信息安全領(lǐng)域��,具體涉及一種網(wǎng)絡(luò)服務(wù)器對移動 終端進行信息分發(fā)的方法��。
背景技術(shù):
隨著移動網(wǎng)絡(luò)從2G向3G發(fā)展�����,以及各種無線局域網(wǎng)接入方式的融合����,建立 在多媒體傳輸基礎(chǔ)上的業(yè)務(wù)日益多樣化����,媒體流的數(shù)據(jù)量越來越大,實時性要求 高����,單一的安全保障機制己經(jīng)不能適應(yīng)這一發(fā)展趨勢���,因此,移動網(wǎng)絡(luò)需要從技 術(shù)上提供機制��,讓終端可以接受來自網(wǎng)絡(luò)必要的安全管理和控制�����。比如移動終端 通過安裝各種代理�����,從而使網(wǎng)絡(luò)側(cè)的業(yè)務(wù)能夠和終端業(yè)務(wù)應(yīng)用緊密結(jié)合��,形成一 個整體�。
在移動網(wǎng)絡(luò)中�,分發(fā)的信息需要根據(jù)不同的應(yīng)用發(fā)生相應(yīng)的變化。 在病毒查殺應(yīng)用中����,比較典型的終端代理有殺毒業(yè)務(wù)代理,它能夠及時地檢測 出移動終端是否感染了手機病毒���,并且能與服務(wù)器進行通信���,對帶毒終端進行在 線査殺功能�����。病毒服務(wù)器同時也能對安裝在終端的殺毒代理在線地進行病毒庫更 新等操作��。
在移動安全服務(wù)體系中�����,用戶安全代理集中管理終端安全機制的代理軟件模 塊�,其安全策略由網(wǎng)絡(luò)側(cè)的安全策略服務(wù)器提供���,并保持同步���。安全策略是安全 管理員根據(jù)市場安全需求對移動通信中的安全資源做一個管理和控制,它是整個 移動安全服務(wù)系統(tǒng)的基礎(chǔ)�����。安全策略存儲于策略服務(wù)器內(nèi)部�,描述移動終端安 全等級信息��,屬于移動網(wǎng)絡(luò)中分發(fā)信息的一類��,由策略服務(wù)器負責對其他網(wǎng)絡(luò) 實體進行安全策略的分發(fā)操作����。只有當網(wǎng)絡(luò)中的通信實體對安全策略有一個共同 描述時����,才能更好的完成安全協(xié)議、安全算法和安全參數(shù)的協(xié)商���,并實現(xiàn)必要的 管理和控制功能�,最終為終端用戶提供全面的移動安全服務(wù)�����。
在移動終端中有ISIM模塊���,它以ISIM卡的形式存在。由它代表移動終端與網(wǎng) 絡(luò)完成相互認證���。網(wǎng)絡(luò)是指傳統(tǒng)的包括接入網(wǎng)和核心網(wǎng)的移動網(wǎng)絡(luò)�,認證中心 (AUC)位于移動核心網(wǎng),由它代表網(wǎng)絡(luò)與移動終端完成相互認證�。認證與密鑰協(xié) 商(Authentication and Key Agreement, AKA)過程實現(xiàn)了 IP多媒體業(yè)務(wù)身份 模塊(ISIM)和認證中心之間的相互認證,并建立了一對加密密鑰和完整性密鑰��, 其中���,ISIM是存儲了共享密鑰(K)和相應(yīng)的AKA算法的模塊���。這一認證過程是由
網(wǎng)絡(luò)發(fā)起的,它發(fā)出一個認證請求�,包含一個隨機挑戰(zhàn)(RAND)和一個網(wǎng)絡(luò)認證 令牌(AUTN) 。 ISIM對AUTN進行認證�,從而對網(wǎng)絡(luò)本身的真實性進行了驗證。為 了響應(yīng)網(wǎng)絡(luò)的認證請求�,ISIM將密鑰應(yīng)用于隨機挑戰(zhàn)(RAND),從而產(chǎn)生一個響 應(yīng)(RES)�。認證中心對RES進行驗證以認證ISIM。到這一點時�����,移動終端和網(wǎng)絡(luò) 已經(jīng)成功地完成了相互認證����,并且生成了加密密鑰(CK)和完整性密鑰(IK)�����。 這些密鑰隨后可被用于兩個實體之間通信的安全保護��。
在現(xiàn)有的移動網(wǎng)絡(luò)中���,當移動終端和網(wǎng)絡(luò)服務(wù)器之間需要進行數(shù)據(jù)傳輸時, 需要為傳輸單獨建立一次連接����,這需要為做許多額外的工作,即使是在由SIP協(xié)
議進行控制的全IP網(wǎng)絡(luò)架構(gòu)中�����,也需要為一次數(shù)據(jù)傳輸完成諸如路由選擇等工作��。 類似于安全策略這種需要在每個使用安全服務(wù)的移動終端上進行保存的信息�,每 次為這種信息的分發(fā)建立單獨的連接的代價是昂貴的,現(xiàn)有的一種技術(shù)是將某種 終端需要經(jīng)常使用的軟件模塊固化到移動終端��,但這顯然不適合象安全策略這種 需要實時更新的信息數(shù)據(jù)��。另外��,由于移動終端的位置���、狀態(tài)等不確定性����,服務(wù) 器也無法保證所有的移動終端在同一時刻均保存著最新的信息數(shù)據(jù)�����,這就給此后 的通信帶來了困難�����。
發(fā)明內(nèi)容
本發(fā)明提出了一種網(wǎng)絡(luò)服務(wù)器對移動終端進行信息分發(fā)的方法����,利用此方法 能夠獲得較高的通信效率,同時�,也加強了通信數(shù)據(jù)的安全性能。
本發(fā)明的技術(shù)方案為��,在移動終端與網(wǎng)絡(luò)服務(wù)器相互認證的過程中�,移動終 端向認證服務(wù)器發(fā)送移動終端相關(guān)信息代號,認證成功后建立會話密鑰,認證服 務(wù)器將移動終端相關(guān)信息代號發(fā)送到網(wǎng)絡(luò)服務(wù)器����,網(wǎng)絡(luò)服務(wù)器根據(jù)移動終端相關(guān) 信息代號,完成信息分發(fā)操作����,并將操作結(jié)果返回到認證服務(wù)器;認證服務(wù)器通 知移動終端認證及信息分發(fā)結(jié)果�����。其中��,信息代號是移動終端當前信息的一個標 識�����,網(wǎng)絡(luò)服務(wù)器根據(jù)此代號判斷是否需要對當前移動終端進行信息分發(fā)操作�。
所述認證過程包括以下步驟
第一步,移動終端向認證服務(wù)器發(fā)送用戶身份信息及移動終端相關(guān)信息代號��;
第二步���,認證服務(wù)器使用認證向量向移動終端發(fā)送認證挑戰(zhàn)���;
第三步�,移動終端對網(wǎng)絡(luò)進行認證���,認證成功后計算會話密鑰,向認證服務(wù)
器發(fā)送認證響應(yīng)信息�;否則,回到第一步重新認證�����;
第四步���,認證服務(wù)器對移動終端進行認證�,認證成功后�����,將移動終端相關(guān)信
息代號發(fā)送到網(wǎng)絡(luò)服務(wù)器���,否則�����,回到第一步重新認證����。
上述步驟中,第一步中的"移動終端相關(guān)信息代號"可以放在第三步中�����,艮P:
第一步�����,移動終端向認證服務(wù)器發(fā)送用戶身份信息����;
第二步,認證服務(wù)器使用認證向量向移動終端發(fā)送認證挑戰(zhàn)��,
第三步�����,移動終端對網(wǎng)絡(luò)進行認證����,認證成功后計算會話密鑰����,向認證服務(wù)
器發(fā)送認證響應(yīng)信息以及移動終端相關(guān)信息代號�;否則,回到第一步重新認證����; 第四步����,認證服務(wù)器對移動終端進行認證,認證成功后�����,將移動終端相關(guān)信
息代號發(fā)送到網(wǎng)絡(luò)服務(wù)器�,否則,回到第一步重新認證�。
上述認證向量包括隨機數(shù),期望響應(yīng)�,會話密鑰,認證標識等����。
本發(fā)明在移動網(wǎng)絡(luò)中����,認證過程包括
(1) 認證服務(wù)器向移動終端歸屬服務(wù)器請求認證數(shù)據(jù)��;
(2) 移動終端歸屬服務(wù)器產(chǎn)生一系列認證向量AV(l…n);
(3) 移動終端歸屬服務(wù)器將認證向量AV(l…n)發(fā)送到認證服務(wù)器(VLR);
(4) 認證服務(wù)器保存認證向量AV(l…n);
(5) 認證服務(wù)器選擇一個認證向量AV(i);
(6) 認證服務(wù)器將選擇的向量中的隨機數(shù)和認證令牌RAND(i)llAUTN(i) 發(fā)送到移動終端�,而將該向量中的期盼認證響應(yīng)XRES和會話密鑰保留在認證服 務(wù)器中;
(7) 移動終端對網(wǎng)絡(luò)進行認證����,即檢驗認證令牌AUTN(i),并計算出響應(yīng) RES(i);
(8) 移動終端發(fā)送認證響應(yīng)RES(i)到認證服務(wù)器�����;
(9) 認證服務(wù)器對終端進行認證�����,即比較認證響應(yīng)RES(i)和期盼認證響應(yīng) XRES(i)�����。
本發(fā)明在IMS網(wǎng)絡(luò)中�,認證過程包括
CM1:認證服務(wù)器向移動終端歸屬服務(wù)器請求認證向量(AV); CM2:移動終端歸屬服務(wù)器向認證服務(wù)器發(fā)送認證向量(AV),包括隨機數(shù) (RAND)��、期望響應(yīng)(XRES)、會話密鑰和認證標識(AUTH);
SM3:認證服務(wù)器向安全網(wǎng)關(guān)發(fā)送一個認證挑戰(zhàn)�,包括隨機數(shù)RAND、認證標識 AUTH及會話密鑰�;
SM4:安全網(wǎng)關(guān)收到后,取出會話密鑰����,將剩余消息通過轉(zhuǎn)發(fā)到移動終端; SM5:移動終端收到上述消息后����,計算期待消息認證碼(XMAC)��,通過對認證
標識AUTH的檢驗完成對網(wǎng)絡(luò)的認證���,如果檢驗失敗則認證失敗�����,重新回到SM1; 如果檢驗成功��,移動終端計算響應(yīng)RES和會話密鑰�,將響應(yīng)RES發(fā)送到安全網(wǎng)關(guān)����; SM6:安全網(wǎng)關(guān)轉(zhuǎn)發(fā)響應(yīng)RES到認證服務(wù)器���;認證服務(wù)器通過期望響應(yīng)XRES和 響應(yīng)RES的比較完成對移動終端的認證。
使用本發(fā)明的方法���,將信息分發(fā)嵌入AKA過程�,不必單獨進行操作���,減少了通 信代價��;認證過程中對信息進行分發(fā)�,可以盡量減少網(wǎng)絡(luò)服務(wù)器對信息分發(fā)的遺 漏和錯誤���;可以使用認證過程協(xié)商出的會話密鑰加密分發(fā)信息��,減少了受攻擊的 概率�����。利用AKA過程協(xié)商出的密鑰對分發(fā)數(shù)據(jù)進行安全保護��,提高了安 全性能��。
圖1是本發(fā)明應(yīng)用的系統(tǒng)結(jié)構(gòu)示意圖2是在移動網(wǎng)絡(luò)中對安全策略進行維護的流程圖3是在IMS網(wǎng)絡(luò)中對安全策略進行維護的流程圖���。
具體實施例方式
如圖1所示��,它是本發(fā)明的系統(tǒng)結(jié)構(gòu)圖���,它包括的網(wǎng)絡(luò)實體有移動終端,認證 服務(wù)器�����,移動終端歸屬服務(wù)器�,網(wǎng)絡(luò)服務(wù)器。其中�,移動終端位于用戶平面�,完 成與用戶間的交互及通信數(shù)據(jù)的傳輸和接收。位于控制平面的認證服務(wù)器�、移 動終端歸屬服務(wù)器位于移動核心網(wǎng)絡(luò),完成對通信數(shù)據(jù)和信令的控制���。在本發(fā) 明中�����,認證服務(wù)器主要完成與移動終端的相互認證及協(xié)商會話密鑰�,同時,也 與移動終端歸屬服務(wù)器保持通信��,移動終端歸屬服務(wù)器保存與認證相關(guān)的基本 信息����。網(wǎng)絡(luò)服務(wù)器位于應(yīng)用平面,為終端用戶提供各種服務(wù)�。
如圖2所示,是本發(fā)明的一個實施例�,即在移動網(wǎng)絡(luò)中對安全策略進行維護的 流程示意圖。在本具體實施例中�,安全策略就是需要對移動終端進行分發(fā) 的信息。維護操作就是對移動終端的安全策略信息進行査新�����,當發(fā)現(xiàn)其版本過期 時���,對其進行更新操作�。
在圖中�,認證服務(wù)器對應(yīng)移動網(wǎng)絡(luò)中的用戶拜訪位置寄存器(VLR)或者GPRS服 務(wù)支持結(jié)點(SGSN),移動終端歸屬服務(wù)器對應(yīng)用戶歸屬位置寄存器(HLR),策略服 務(wù)器,即發(fā)明內(nèi)容部分中所說的網(wǎng)絡(luò)服務(wù)器�����,它用來保存通用安全策略�����,由它完 成對移動終端安全策略的維護操作�����。
下面對各步驟進行描述
(1) 認證服務(wù)器向移動終端歸屬服務(wù)器請求認證數(shù)據(jù)�;
(2) 移動終端歸屬服務(wù)器產(chǎn)生一系列認證向量AV(l…n);
(3) 移動終端歸屬服務(wù)器將認證向量AV(l…n)發(fā)送到認證服務(wù)器(VLR); ;(4)認證服務(wù)器保存認證向量AV(l…n);
(5) 認證服務(wù)器選擇一個認證向量AV(i)
(6) 認證服務(wù)器將選擇的向量中的用戶認證請求信息RAND(i) I lAUTN(i) 發(fā)送到移動終端,而將該向量中的XRES和會話密鑰保留在認證服務(wù)器中����;
(7) 移動終端對網(wǎng)絡(luò)進行認證,即檢驗AUTN(i)���,并計算出RES(i);
(8) 移動終端發(fā)送認證響應(yīng)RES(i)和終端安全策略版本信息到認證服務(wù)器;
(9) 認證服務(wù)器對終端進行認證���,即比較認證響應(yīng)RES(i)和期盼認證響應(yīng) XRES(i);
(10) 認證服務(wù)器選擇機密性密鑰CK(i)和完整性密鑰IK(i)��,同時�����,移動終 端計算出機密性密鑰CK(i)和完整性密鑰IK(i);
(11) 認證服務(wù)器將移動終端安全策略版本信息發(fā)送到策略服務(wù)器���;
(12) 策略服務(wù)器根據(jù)終端安全策略版本信息對終端安全策略進行維護操作�;
(13) 策略服務(wù)器將安全策略維護結(jié)果發(fā)送到認證服務(wù)器�����;
(14) 認證服務(wù)器通知移動終端認證結(jié)果及安全策略維護結(jié)果�。 在以上各步驟中,步驟1到步驟4是認證向量從歸屬環(huán)境到服務(wù)網(wǎng)絡(luò)的一個分
發(fā)過程���,步驟5到步驟10是移動終端和服務(wù)網(wǎng)絡(luò)相互認證和建立會話密鑰的過程�����, 對移動終端安全策略進行維護主要在步驟8及步驟11到步驟14中完成���,其中, 安全策略維護過程是根據(jù)移動終端安全策略版本信息進行的����,當策略服務(wù)器發(fā)現(xiàn) 移動終端的版本號低于服務(wù)器最新版本號�����,或者移動終端沒有安全策略時�����,策略 服務(wù)器需要將最新的安全策略下發(fā)到移動終端����,如果移動終端安全策略已經(jīng)是最 新版本時��,策略服務(wù)器僅需要發(fā)送一個維護成功的信號到移動終端���。其中���,在步 驟14中,使用已建立的會話密鑰進行安全性保護時�,可以根據(jù)應(yīng)用的需要,對安 全策略進行機密性保護和(或)完整性保護�����。
如圖3所示是本發(fā)明的另一個實施例����,即在IMS網(wǎng)絡(luò)中將本發(fā)明應(yīng)用到對安全 策略進行維護的流程示意圖。此流程參照了 IMS中的Authentication and Key Agreement (AKA)過程�����。在圖中���,安全網(wǎng)關(guān)對應(yīng)IMS網(wǎng)絡(luò)中的代理呼叫會話控制 功能(P-CSCF)�����、認證服務(wù)器對應(yīng)服務(wù)呼叫會話控制功能(S-CSCF)�、移動終端歸屬 服務(wù)器就是歸屬用戶服務(wù)器(HSS)��,策略服務(wù)器即發(fā)明內(nèi)容中所說的網(wǎng)絡(luò)服務(wù)器�����,
它用來保存通用安全策略���,它完成對對移動終端安全策略的維護操作��。圖3中的 安全網(wǎng)關(guān)與認證服務(wù)器共同起著發(fā)明內(nèi)容中的認證服務(wù)器的作用�����。 下面對各步驟進行描述
SM1:移動終端發(fā)送移動終端的公有身份和私有身份及移動終端的安全策略信 息的版本號到安全網(wǎng)關(guān)��;
SM2:安全網(wǎng)關(guān)在收到上述信息后向認證服務(wù)器轉(zhuǎn)發(fā)���;
Cx-Put:認證服務(wù)器在收到上述信息后�����,將移動終端的安全策略的版本號信息 取出�����,并存于本地�;如發(fā)現(xiàn)移動終端的公有身份并沒在移動終端歸屬服務(wù)器上注 冊����,則策略服務(wù)器通過一個Cx-Put命令,在移動終端歸屬服務(wù)器上對注冊標記進
行標記��;否則�,移動終端歸屬服務(wù)器會判斷移動終端的公有身份和私有身份是否 屬于同一用戶�;
CM1:認證服務(wù)器向移動終端歸屬服務(wù)器請求認證向量(AV)���,用于認證用戶
及與用戶協(xié)商出會話密鑰;
CM2:移動終端歸屬服務(wù)器向認證服務(wù)器發(fā)送認證向量(AV)����,包括隨機數(shù)
R緒D、期望響應(yīng)XRES��、會話密鑰�、認證標識別AUTH;
SM3:認證服務(wù)器向安全網(wǎng)關(guān)發(fā)送一個認證挑戰(zhàn),包括RAND�、 AUTH及會話密鑰; SM4:安全網(wǎng)關(guān)收到后����,取出會話密鑰,將剩余消息通過轉(zhuǎn)發(fā)到移動終端�; SM5:移動終端,到上述消息后�����,計算期待消息認證碼(XMAC)���,通過對AUTH
的檢驗完成對網(wǎng)絡(luò)的認證�,如果檢驗失敗則認證失敗,重新回到SM1;如果檢驗成
功�,移動終端計算RES和會話密鑰,將RES發(fā)送到安全網(wǎng)關(guān)��;
SM6:安全網(wǎng)關(guān)轉(zhuǎn)發(fā)RES到認證服務(wù)器�����;認證服務(wù)器通過XRES和RES的比較完
成對移動終端的認證��;
SM7:如果認證成功����,認證服務(wù)器轉(zhuǎn)發(fā)移動終端安全策略版本信息到策略服務(wù)
器;
SM8:策略服務(wù)器將移動終端的安全策略版本號信息和最新版本信息進行比較��, 如果相同����,則不需要對移動終端的安全策略配置信息進行更新;否則�,將策略服 務(wù)器現(xiàn)有的安全策略發(fā)送到認證服務(wù)器;
SM9:認證服務(wù)器將安全策略維護結(jié)果與認證成功的消息一同發(fā)送到安全網(wǎng)關(guān);
SM10:安全網(wǎng)關(guān)收到后可以使用AKA過程協(xié)商出的會話密鑰加密需要轉(zhuǎn)發(fā)的消 息,加密后將此消息轉(zhuǎn)發(fā)到移動終端���,此時���,完成了移動終端和網(wǎng)絡(luò)的相互認證, 并對移動終端的安全策略配置進行了維護操作���。
在以上安全策略的維護過程中,SM7之前是一個幾乎完整的AKA過程(網(wǎng)絡(luò)側(cè) 未通知用戶認證結(jié)果)����,對安全策略的維護主要體現(xiàn)在SM1終端在發(fā)送身份信息
時,需要將自己的安全策略信息的版本號一同發(fā)向網(wǎng)絡(luò)側(cè)����,以及SM6以后,策略 服務(wù)器根據(jù)終端安全策略版本信息對安全策略進行維護�����。這樣���,便完成了與AKA 過程相結(jié)合的安全策略維護過程�。其中����,在SM10中��,利用AKA過程協(xié)商出的會話 密鑰進行安全性保護時�����,可以根據(jù)應(yīng)用的需要�,對安全策略進行機密性保護和(或) 完整性保護�。此外,如發(fā)明內(nèi)容中所述����,移動終端也可將安全策略信息的版本號結(jié) 合到SM5中,完成對網(wǎng)絡(luò)側(cè)認證后將其發(fā)送到網(wǎng)絡(luò)側(cè)���。
權(quán)利要求
1���、一種對移動終端進行信息分發(fā)的方法,其特征在于�,在移動終端與網(wǎng)絡(luò)服務(wù)器相互認證的過程中,移動終端向認證服務(wù)器發(fā)送移動終端相關(guān)信息代號���,認證成功后建立會話密鑰����,認證服務(wù)器將移動終端相關(guān)信息代號發(fā)送到網(wǎng)絡(luò)服務(wù)器,網(wǎng)絡(luò)服務(wù)器根據(jù)移動終端相關(guān)信息代號����,完成信息分發(fā)操作,并將操作結(jié)果返回到認證服務(wù)器���;認證服務(wù)器通知移動終端認證及信息分發(fā)結(jié)果�����;所述相關(guān)信息代號是移動終端當前信息的一個標識,網(wǎng)絡(luò)服務(wù)器根據(jù)此代號判斷是否需要對當前移動終端進行信息分發(fā)操作�����。
2��、 權(quán)利要求1所述的對移動終端進行信息分發(fā)的方法����,其特征在于,認證 過程包括以下步驟第一步,移動終端向認證服務(wù)器發(fā)送用戶身份信息及移動終端相關(guān)信息代號���;第二步����,認證服務(wù)器使用認證向量向移動終端發(fā)送認證挑戰(zhàn)�;第三步,移動終端對網(wǎng)絡(luò)進行認證�����,認證成功后計算會話密鑰���,向認證服務(wù)器發(fā)送認證響應(yīng)信息�;否則���,回到第一步���;第四步,認證服務(wù)器對移動終端進行認證�����,認證成功后,將移動終端相關(guān)信息代號發(fā)送到網(wǎng)絡(luò)服務(wù)器��,否則���,回到第一步重新認證��。
3����、 權(quán)利要求1所述的對移動終端進行信息分發(fā)的方法�����,其特征在于��,認證 過程包括以下步驟第一步���,移動終端向認證服務(wù)器發(fā)送認證需要的用戶身份信息;第二步���,認證服務(wù)器使用認證向量向移動終端發(fā)送認證挑戰(zhàn)���,第三步���,移動終端對網(wǎng)絡(luò)進行認證,認證成功后計算會話密鑰����,向認證服務(wù)器發(fā)送認證響應(yīng)信息以及移動終端相關(guān)信息代號;否則�,回到第一步;第四步�,認證服務(wù)器對移動終端進行認證,認證成功后����,將移動終端相關(guān)信息代號發(fā)送到網(wǎng)絡(luò)服務(wù)器,否則�,回到第一步重新認證。
4���、 權(quán)利要求2或3所述的對移動終端進行信息分發(fā)的方法��,其特征在于���, 所述認證向量包括隨機數(shù),期望響應(yīng)�,會話密鑰�����,認證標識等�。
5���、 權(quán)利要求2或3所述的對移動終端進行信息分發(fā)的方法��,其特征在于���, 在移動網(wǎng)絡(luò)中,認證過程包括(1)認證服務(wù)器向移動終端歸屬服務(wù)器請求認證數(shù)據(jù)���; (2) 移動終端歸屬服務(wù)器產(chǎn)生一系列認證向量���;(3) 移動終端歸屬服務(wù)器將認證向量發(fā)送到認證服務(wù)器;(4) 認證服務(wù)器保存認證向量�����;(5) 認證服務(wù)器選擇一個認證向量�����;(6) 認證服務(wù)器將選擇的向量中的隨機數(shù)和認證令牌發(fā)送到移動終端�����, 而將該向量中的期盼認證響應(yīng)和會話密鑰保留在認證服務(wù)器中���;(7) 移動終端對網(wǎng)絡(luò)進行認證�,即檢驗認證令牌���,并計算出響應(yīng)�;(8) 移動終端發(fā)送認證響應(yīng)到認證服務(wù)器����;(9) 認證服務(wù)器對終端進行認證,即比較認證響應(yīng)和期盼認證響應(yīng)�。
6、權(quán)利要求2或3所述的對移動終端進行信息分發(fā)的方法����,其特征在于,在 IMS網(wǎng)絡(luò)中�,認證過程包括CM1:認證服務(wù)器向移動終端歸屬服務(wù)器請求認證向量;CM2:移動終端歸屬服務(wù)器向認證服務(wù)器發(fā)送認證向量�����,包括隨機數(shù)、期望響 應(yīng)��、會話密鑰和認證標識���;SM3:認證服務(wù)器向安全網(wǎng)關(guān)發(fā)送一個認證挑戰(zhàn)����,包括隨機數(shù)���、認證標識及會 話密鑰�;SM4:安全網(wǎng)關(guān)收到后���,取出會話密鑰����,將剩余消息通過轉(zhuǎn)發(fā)到移動終端�; SM5:移動終端收到上述消息后,計算期待消息認證碼�,通過對認證標識的檢驗完成對網(wǎng)絡(luò)的認證,如果檢驗失敗則認證失敗,重新回到SM1;如果檢驗成功��,移動終端計算響應(yīng)和會話密鑰�,將響應(yīng)發(fā)送到安全網(wǎng)關(guān)��;SM6:安全網(wǎng)關(guān)轉(zhuǎn)發(fā)響應(yīng)到認證服務(wù)器����;認證服務(wù)器通過期望響應(yīng)和響應(yīng)的比較完成對移動終端的認證。
全文摘要
一種對移動終端進行信息分發(fā)的方法����,在移動終端與網(wǎng)絡(luò)服務(wù)器相互認證的過程中,移動終端向認證服務(wù)器發(fā)送移動終端相關(guān)信息代號�,認證成功后建立會話密鑰,認證服務(wù)器將移動終端相關(guān)信息代號發(fā)送到網(wǎng)絡(luò)服務(wù)器�,網(wǎng)絡(luò)服務(wù)器根據(jù)移動終端相關(guān)信息代號,完成信息分發(fā)操作�,并將操作結(jié)果返回到認證服務(wù)器;認證服務(wù)器通知移動終端認證及信息分發(fā)結(jié)果�。使用本發(fā)明的方法,將信息分發(fā)嵌入AKA過程���,減少了通信代價���,可以盡量減少網(wǎng)絡(luò)服務(wù)器對信息分發(fā)的遺漏和錯誤��;可以使用認證過程協(xié)商出的會話密鑰加密分發(fā)信息���,減少了受攻擊的概率。利用AKA過程協(xié)商出的密鑰對分發(fā)數(shù)據(jù)進行安全保護�,提高了安全性能。
文檔編號H04Q7/38GK101198148SQ20061015741
公開日2008年6月11日 申請日期2006年12月6日 優(yōu)先權(quán)日2006年12月6日
發(fā)明者劉紅軍, 晨 吳, 周世杰, 慶 游, 野 田, 錢偉中, 嶸 高 申請人:中興通訊股份有限公司