一種安全認(rèn)證方法及鑒權(quán)認(rèn)證服務(wù)器的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)���,尤指一種安全認(rèn)證方法及鑒權(quán)認(rèn)證服務(wù)器���。
【背景技術(shù)】
[0002]隨著全球信息和通信技術(shù)(ICT,Informat1n and Communicat1n Technology)產(chǎn)業(yè)(包括電信服務(wù)�、信息服務(wù)、IT服務(wù)及應(yīng)用的有機(jī)結(jié)合)的快速發(fā)展����,網(wǎng)絡(luò)安全和信息安全日益成為人們關(guān)注的核心問(wèn)題之一。如何進(jìn)行可靠的認(rèn)證�,來(lái)保護(hù)信息、金融��、商業(yè)機(jī)密等關(guān)鍵領(lǐng)域的安全,成為通信和信息產(chǎn)業(yè)的最重要技術(shù)之一��。
[0003]目前��,行業(yè)流行的安全認(rèn)證方式有很多種��,可以歸納為以下最基本的四種:一種是用戶名+ 口令(靜態(tài)和動(dòng)態(tài))的安全機(jī)制�����,其中動(dòng)態(tài)口令通常包括短信密碼���、動(dòng)態(tài)令牌(通?���;跁r(shí)間同步方式�����,在一定的時(shí)間間隔內(nèi)生成新的口令)���、手機(jī)令牌(通過(guò)手機(jī)客戶端軟件生成動(dòng)態(tài)口令)等����;普通互聯(lián)網(wǎng)業(yè)務(wù)通常采用靜態(tài)口令認(rèn)證,銀行以及支付類業(yè)務(wù)通常采用動(dòng)態(tài)口令�����;第二種是數(shù)字證書認(rèn)證(USBKEY)�����,網(wǎng)絡(luò)銀行通常采取該認(rèn)證方式�����;第三種是基于共享密鑰的認(rèn)證方式��,比如通用引導(dǎo)認(rèn)證(GBA, Generic BootstrappingAuthenticat1n),即基于移動(dòng)通用集成電路卡(UICC)與歸屬用戶服務(wù)器(HSS)中共享密鑰K的認(rèn)證方式����,比如中國(guó)移動(dòng)手機(jī)電視業(yè)務(wù)采用此認(rèn)證方式;第四種是基于生物特征的認(rèn)證:如指紋�����、虹膜、人臉等�����。通常�,系統(tǒng)會(huì)使用上述多個(gè)認(rèn)證方式的組合�,也就是常說(shuō)的多因素認(rèn)證��,來(lái)增加認(rèn)證的安全強(qiáng)度。
[0004]傳統(tǒng)的網(wǎng)絡(luò)0SI7層結(jié)構(gòu)中網(wǎng)絡(luò)層網(wǎng)元與應(yīng)用層網(wǎng)絡(luò)在邏輯上是完全分離的�,網(wǎng)絡(luò)層主要負(fù)責(zé)網(wǎng)絡(luò)的連接建立和刪除;應(yīng)用層主要負(fù)責(zé)業(yè)務(wù)應(yīng)用的建立和刪除�����,在傳統(tǒng)的方案中這兩層分別都有身份安全認(rèn)證的協(xié)議流程��,且不交叉使用�����。目前�,上述所有現(xiàn)有認(rèn)證方案均在應(yīng)用層實(shí)現(xiàn)����。而且,現(xiàn)有安全認(rèn)證方式存在使用復(fù)雜的問(wèn)題���,比如�,對(duì)于USBKEY方式,就必須額外攜帶U盾�;再如,對(duì)于動(dòng)態(tài)短信密碼的方式���,實(shí)現(xiàn)比較復(fù)雜,用戶需要等待5?20秒后再按照短信通知的短信密碼輸入�����,降低了用戶體驗(yàn)����。
[0005]基于上述安全認(rèn)證方式�,現(xiàn)有的政企應(yīng)用都是在應(yīng)用層實(shí)現(xiàn)的身份認(rèn)證,比如虛擬專用網(wǎng)絡(luò)(VPN)�,數(shù)字證書等���,安全等級(jí)較低,容易被破解��。而且現(xiàn)有針對(duì)園區(qū)用戶的認(rèn)證����,需要在不同的硬件平臺(tái)和操作系統(tǒng)的各種終端上普遍使用����,適配工作比較繁瑣���,認(rèn)證效率低�����,降低了用戶體驗(yàn)��。
【發(fā)明內(nèi)容】
[0006]為了解決上述技術(shù)問(wèn)題��,本發(fā)明提供一種安全認(rèn)證方法及鑒權(quán)認(rèn)證服務(wù)器,能夠簡(jiǎn)單���、高效地實(shí)現(xiàn)認(rèn)證�����,并且保密級(jí)別高��。
[0007]為了達(dá)到本發(fā)明目的����,本發(fā)明提供了一種安全認(rèn)證方法��,包括:在終端建立承載連接中,通過(guò)鑒權(quán)認(rèn)證服務(wù)器激活用戶狀態(tài)���;
[0008]在終端用戶訪問(wèn)園區(qū)網(wǎng)應(yīng)用時(shí)��,應(yīng)用服務(wù)器通過(guò)鑒權(quán)認(rèn)證服務(wù)器對(duì)用戶身份進(jìn)行認(rèn)證�。
[0009]所述在終端建立承載連接中,通過(guò)鑒權(quán)認(rèn)證服務(wù)器激活用戶狀態(tài)包括:
[0010]所述在終端建立承載連接中的分組網(wǎng)關(guān)����,為合法用戶分配動(dòng)態(tài)IP地址��,并判斷請(qǐng)求建立承載連接的終端是否為園區(qū)網(wǎng)用戶��,如果是����,向園區(qū)網(wǎng)中的鑒權(quán)認(rèn)證服務(wù)器發(fā)出注冊(cè)請(qǐng)求�,并將終端的國(guó)際移動(dòng)用戶識(shí)別碼MSI和分配的IP地址攜帶給鑒權(quán)認(rèn)證服務(wù)器��;
[0011]所述鑒權(quán)認(rèn)證服務(wù)器會(huì)根據(jù)MSI完成用戶激活����,存儲(chǔ)該IP地址。
[0012]所述鑒權(quán)認(rèn)證服務(wù)器會(huì)根據(jù)MSI完成用戶激活包括:
[0013]所述鑒權(quán)認(rèn)證服務(wù)器根據(jù)所述終端的MSI�,確定終端用戶是否屬于鑒權(quán)認(rèn)證服務(wù)器所屬園區(qū)網(wǎng)的合法用戶,如果是���,認(rèn)證用戶名口令����,以確認(rèn)IMSI對(duì)應(yīng)的終端用戶是否與請(qǐng)求中的用戶名匹配����;并校驗(yàn)用戶名對(duì)應(yīng)的密碼是否正確��。
[0014]認(rèn)證完成后���,如果匹配且正確�,則認(rèn)證成功��,所述鑒權(quán)認(rèn)證服務(wù)器將所述IP地址與IMS1�、員工信息進(jìn)行關(guān)聯(lián),并向所述分組網(wǎng)關(guān)返回注冊(cè)響應(yīng)為注冊(cè)成功信息���。
[0015]所述通過(guò)鑒權(quán)認(rèn)證服務(wù)器對(duì)用戶身份進(jìn)行認(rèn)證包括:
[0016]所述應(yīng)用服務(wù)器將收到的IP地址攜帶在應(yīng)用訪問(wèn)請(qǐng)求中發(fā)送給鑒權(quán)認(rèn)證服務(wù)器�;所述鑒權(quán)認(rèn)證服務(wù)器完成認(rèn)證后�,將該IP地址對(duì)應(yīng)的用戶信息�����,返回給應(yīng)用服務(wù)器;
[0017]所述應(yīng)用服務(wù)器將來(lái)自終端用戶的密碼提交給鑒權(quán)認(rèn)證服務(wù)器,所述鑒權(quán)認(rèn)證服務(wù)器對(duì)密碼進(jìn)行驗(yàn)證并將驗(yàn)證結(jié)果返回給應(yīng)用服務(wù)器�����。
[0018]所述在終端用戶斷開園區(qū)網(wǎng)時(shí)���,該方法還包括:
[0019]所述分組網(wǎng)關(guān)向鑒權(quán)認(rèn)證服務(wù)器發(fā)送注銷請(qǐng)求,其中攜帶有終端的MSI�����,IP地址����;
[0020]所述鑒權(quán)認(rèn)證服務(wù)器清除自身保存的該終端的IP地址與MS1、用戶信息的關(guān)聯(lián)關(guān)系�,并向所述分組網(wǎng)關(guān)返回注銷響應(yīng);
[0021]所述分組網(wǎng)關(guān)向終端返回注銷響應(yīng)����,以使終端斷開園區(qū)網(wǎng)�。
[0022]本發(fā)明還提供一種鑒權(quán)認(rèn)證服務(wù)器�����,用于在終端建立承載連接中,激活用戶狀態(tài)����;在終端用戶訪問(wèn)園區(qū)網(wǎng)應(yīng)用時(shí)��,對(duì)用戶身份進(jìn)行認(rèn)證��。
[0023]所述鑒權(quán)認(rèn)證服務(wù)器至少包括認(rèn)證模塊��、身份認(rèn)證模塊,其中����,
[0024]認(rèn)證模塊,用于在接收到來(lái)自分組網(wǎng)關(guān)的注冊(cè)請(qǐng)求���,根據(jù)終端MSI完成用戶激活并存儲(chǔ)隨影的IP地址�����,對(duì)用戶終端進(jìn)行安全認(rèn)證并向分組網(wǎng)關(guān)返回認(rèn)證結(jié)果�����;
[0025]身份認(rèn)證模塊����,用于在接收到來(lái)自應(yīng)用服務(wù)器的應(yīng)用訪問(wèn)請(qǐng)求時(shí),根據(jù)認(rèn)證模塊的認(rèn)證結(jié)果���,完成進(jìn)一步認(rèn)證后��,向應(yīng)用服務(wù)器返回該IP地址對(duì)應(yīng)的用戶信息�;在接收到來(lái)自應(yīng)用服務(wù)器提交的密碼時(shí),驗(yàn)證后向應(yīng)用服務(wù)器返回驗(yàn)證結(jié)果�����。
[0026]所述認(rèn)證模塊�����,還用于在接收到來(lái)自分組網(wǎng)關(guān)的注銷請(qǐng)求�����,清除自身保存的請(qǐng)求注銷的終端的IP地址與IMS1�����、用戶信息�����,并向分組網(wǎng)關(guān)返回注銷響應(yīng)��。
[0027]所述鑒權(quán)認(rèn)證服務(wù)器為IT側(cè)園區(qū)網(wǎng)內(nèi)的鑒權(quán)認(rèn)證服務(wù)器��。
[0028]與現(xiàn)有技術(shù)相比�,本申請(qǐng)技術(shù)方案提供包括在終端建立承載連接中��,通過(guò)鑒權(quán)認(rèn)證服務(wù)器激活用戶狀態(tài)��;在終端用戶訪問(wèn)園區(qū)網(wǎng)應(yīng)用時(shí)���,應(yīng)用服務(wù)器通過(guò)鑒權(quán)認(rèn)證服務(wù)器對(duì)用戶身份進(jìn)行認(rèn)證。通過(guò)本發(fā)明安全認(rèn)證方法��,安全認(rèn)證由網(wǎng)絡(luò)中的設(shè)備來(lái)完成,減少了用戶的參與�,明顯提高了認(rèn)證效率����,節(jié)省了用戶認(rèn)證時(shí)間,更重要的是�,通過(guò)具有電信級(jí)的園區(qū)網(wǎng)(泛指政府、企業(yè)���、公共事業(yè)等有組織的網(wǎng)絡(luò))進(jìn)行安全認(rèn)證激活���,達(dá)到了電信級(jí)安全認(rèn)證水平即本發(fā)明采用了 SM卡+鑒權(quán)認(rèn)證服務(wù)器的安全認(rèn)證方式�����,明顯改善了用戶體驗(yàn)。
[0029]本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說(shuō)明書中闡述��,并且�����,部分地從說(shuō)明書中變得顯而易見��,或者通過(guò)實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過(guò)在說(shuō)明書��、權(quán)利要求書以及附圖中所特別指出的結(jié)構(gòu)來(lái)實(shí)現(xiàn)和獲得�����。
【附圖說(shuō)明】
[0030]此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解�,構(gòu)成本申請(qǐng)的一部分,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明��,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定���。在附圖中:
[0031]圖1為本發(fā)明安全認(rèn)證方法的流程圖���;
[0032]圖2為本發(fā)明安全認(rèn)證方法中終端建立承載連接的實(shí)施例的流程圖�;
[0033]圖3為本發(fā)明安全認(rèn)證方法中園區(qū)網(wǎng)認(rèn)證的實(shí)施例的流程圖;
[0034]圖4為本發(fā)明安全認(rèn)證中用戶訪問(wèn)園區(qū)網(wǎng)應(yīng)用的實(shí)施例的流程圖�����;
[0035]圖5為本發(fā)明終端注銷園區(qū)網(wǎng)訪問(wèn)的實(shí)施例的流程圖�����;
[0036]圖6為本發(fā)明鑒權(quán)認(rèn)證服務(wù)器的組成結(jié)構(gòu)示意圖�。
【具體實(shí)施方式】
[0037]為使本發(fā)明的目的���、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白�����,下文中將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說(shuō)明。需要說(shuō)明的是���,在不沖突的情況下��,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合���。
[0038]圖1為本發(fā)明安全認(rèn)證方法的流程圖��,如圖1所示,本發(fā)明應(yīng)用于使用移動(dòng)終端SM卡的場(chǎng)景中��,比如手機(jī)�����、PAD、筆記本電腦、PC等設(shè)備的數(shù)據(jù)卡���。包括以下步驟:
[0039]步驟100:在終端建立承載連接中�����,通過(guò)鑒權(quán)認(rèn)證服務(wù)器激活用戶狀態(tài)�����。
[0040]本步驟中�,終端和通過(guò)通信網(wǎng)絡(luò),包括基站�、移動(dòng)管理單元(MME)����、服務(wù)網(wǎng)關(guān)(SGW)、分組網(wǎng)關(guān)(LGW/PGW)����,與網(wǎng)絡(luò)建立承載連接��,在現(xiàn)有的承載連接建立過(guò)程中���,對(duì)于園區(qū)網(wǎng)用戶,本發(fā)明中會(huì)向園區(qū)網(wǎng)中的鑒權(quán)認(rèn)證服務(wù)器發(fā)出認(rèn)證請(qǐng)求��。園區(qū)網(wǎng)泛指政府、企業(yè)���、公共事業(yè)等有組織的網(wǎng)絡(luò)���。
[0041]圖2為本發(fā)明安全認(rèn)證方法中終端建立承載連接的實(shí)施例的流程圖�,如圖2所示,包括:
[0042]步驟200:用戶開機(jī)�����,觸發(fā)終端(UE)附著網(wǎng)絡(luò)的過(guò)程�����,UE向MME發(fā)送網(wǎng)絡(luò)附著請(qǐng)求(Attach Request)消息����。此處���,如果UE已經(jīng)附著成功,那么需要先發(fā)起分離過(guò)程����,再發(fā)起附著過(guò)程����。
[0043]步驟201:MME觸發(fā)建立默認(rèn)承載過(guò)程��,向SGW發(fā)送會(huì)話請(qǐng)求(Create Sess1nRequest)消息�����。
[0044]步驟202:SGff 將會(huì)話請(qǐng)求(Create Sess1n Request)消息轉(zhuǎn)發(fā)到 LGW/PGW。
[0045]步驟203?步驟204 =LGff/PGff為合法用戶分配動(dòng)態(tài)IP地址����,并判斷請(qǐng)求建立承載連接的終端是否為園區(qū)網(wǎng)用戶,如果是�����,LGW/PGW向園區(qū)網(wǎng)中的鑒權(quán)認(rèn)證服務(wù)器發(fā)出注冊(cè)請(qǐng)求,并將終端的國(guó)際移動(dòng)用戶識(shí)別碼(MSI)和分配的IP地址攜帶給鑒權(quán)認(rèn)證服務(wù)器�����,而鑒權(quán)認(rèn)證服務(wù)器會(huì)根據(jù)MSI完成用戶激活��,存儲(chǔ)該IP地址���。
[0046]本步驟中�����,園區(qū)網(wǎng)泛指政府���、企業(yè)、公共事業(yè)等有組織的網(wǎng)絡(luò)����。園區(qū)用戶是指如用戶被設(shè)置為APN等園區(qū)網(wǎng)用戶。本步驟中�,鑒權(quán)認(rèn)證服務(wù)器可以是位于IT側(cè)園區(qū)網(wǎng)內(nèi)的鑒權(quán)認(rèn)證服務(wù)器(Authenticat1n Server)�。從本步驟可見,在終端進(jìn)行附著建立承載連接的同時(shí),通過(guò)園區(qū)網(wǎng)進(jìn)行電信級(jí)安全認(rèn)證激活��,使得整個(gè)安全認(rèn)證具有了更高的安全級(jí)別。
[0047]步驟205:同時(shí)�,LGW/PGW 向 SGW 返回會(huì)話響應(yīng)(Create Sess1n Response)消息,在會(huì)話響應(yīng)消息中攜帶有分配的IP地址��。
[0048]步驟206:SGff將收到的會(huì)話響應(yīng)(Create Sess1n Response)消息轉(zhuǎn)發(fā)給MME���。
[0049]步驟207:MME附著成功�����,向UE發(fā)送攜帶有分配的IP地址的附著響應(yīng)(AttachAccept)消息。用戶附著成功后����,即完成終端承載連接建立。
[