終端安全認(rèn)證方法、裝置及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明實(shí)施例涉及通信技術(shù)，尤其涉及一種終端安全認(rèn)證方法、裝置及系統(tǒng)。
【背景技術(shù)】
[0002]第二代全球移動(dòng)通信系統(tǒng)(GlobalSystem for Mobile Communicat1n,簡(jiǎn)稱GSM)手機(jī)和用戶身份識(shí)別卡(Subscriber Identity Module,簡(jiǎn)稱SIM)的出現(xiàn)使得用戶不必再像機(jī)卡一體時(shí)代那樣頻繁地的更換手機(jī)或更換號(hào)碼，也使得手機(jī)技術(shù)飛速發(fā)展，樣式層出不窮，同時(shí)移動(dòng)通信網(wǎng)絡(luò)運(yùn)營商借助機(jī)卡分離技術(shù)，靈活的擴(kuò)展了 S頂卡發(fā)行渠道，保障了網(wǎng)絡(luò)基礎(chǔ)密鑰的安全使用，帶來了今天的手機(jī)用戶規(guī)模和豐富的移動(dòng)業(yè)務(wù)，并沿用到第三代手機(jī)終端中。而在物聯(lián)網(wǎng)應(yīng)用中，由于終端對(duì)使用環(huán)境的特殊要求，以及終端集成和發(fā)行流程多樣化，傳統(tǒng)硬件S頂卡已不能滿足除手機(jī)外其它終端的需求，此時(shí)在終端中放置軟SIM可能更加適合，GSM協(xié)會(huì)和第三代合作伙伴計(jì)劃(3rd Generat1n PartnershipProject,簡(jiǎn)稱3GPP)都有關(guān)于軟SIM的標(biāo)準(zhǔn)化工作，最大的問題在于硬件SIM卡使用了特殊的硬件加工方式，保證了私鑰部分不可讀出，軟S頂不具備上述功能要保證密鑰的安全性比較困難。
[0003]現(xiàn)有技術(shù)是通過終端的操作系統(tǒng)提供的安全環(huán)境來保證軟S頂?shù)陌踩职l(fā)和使用，這種安全環(huán)境由操作系統(tǒng)級(jí)別的驅(qū)動(dòng)或者虛擬機(jī)來提供，不對(duì)外提供軟S頂?shù)拿荑€等信息，保證了該軟S頂不可復(fù)制。但是這種方法過于依賴終端的操作系統(tǒng)的安全能力，而目前操作系統(tǒng)的絕對(duì)安全還不能證明已實(shí)現(xiàn)。

【發(fā)明內(nèi)容】

[0004]本發(fā)明實(shí)施例提供一種終端安全認(rèn)證方法、裝置及系統(tǒng)，以解決使用軟件用戶身份識(shí)別信息的終端接入認(rèn)證過于依賴于終端的操作系統(tǒng)的安全能力的問題。
[0005]第一方面，本發(fā)明實(shí)施例提供一種終端安全認(rèn)證方法，包括:
[0006]獲取運(yùn)營商服務(wù)器分發(fā)的用戶身份識(shí)別信息，所述用戶身份識(shí)別信息包括唯一標(biāo)識(shí)用戶身份的序列號(hào)和密鑰；
[0007]向接入服務(wù)器發(fā)送接入認(rèn)證請(qǐng)求；
[0008]根據(jù)所述終端的數(shù)字證書和所述用戶身份識(shí)別信息，與所述接入服務(wù)器進(jìn)行用于實(shí)現(xiàn)接入認(rèn)證的信息交互；
[0009]接收所述接入服務(wù)器發(fā)送的接入認(rèn)證成功信息，并通過所述接入服務(wù)器接入網(wǎng)絡(luò)并使用所述網(wǎng)絡(luò)提供的網(wǎng)絡(luò)服務(wù)。
[0010]結(jié)合第一方面，在第一方面的第一種可能的實(shí)現(xiàn)方式中，所述根據(jù)所述終端的數(shù)字證書和所述用戶身份識(shí)別信息，與所述接入服務(wù)器進(jìn)行用于實(shí)現(xiàn)接入認(rèn)證的信息交互，包括:
[0011]接收所述接入服務(wù)器發(fā)送的標(biāo)識(shí)請(qǐng)求信息和安全認(rèn)證字串，所述安全認(rèn)證字串包括時(shí)間字串和隨機(jī)字串；
[0012]根據(jù)所述標(biāo)識(shí)請(qǐng)求信息，通過所述數(shù)字證書對(duì)應(yīng)的私鑰對(duì)數(shù)據(jù)包進(jìn)行簽名，得到數(shù)字簽名，所述數(shù)據(jù)包包括所述序列號(hào)和所述安全認(rèn)證字串；
[0013]向所述接入服務(wù)器發(fā)送所述數(shù)據(jù)包和數(shù)字簽名。
[0014]結(jié)合第一方面的第一種可能的實(shí)現(xiàn)方式，在第一方面的第二種可能的實(shí)現(xiàn)方式中，所述向所述接入服務(wù)器發(fā)送所述數(shù)據(jù)包和數(shù)字簽名之后，還包括:
[0015]接收所述接入服務(wù)器發(fā)送的數(shù)字證書請(qǐng)求消息；
[0016]向所述接入服務(wù)器發(fā)送所述數(shù)字證書。
[0017]結(jié)合第一方面，在第一方面的第三種可能的實(shí)現(xiàn)方式中，所述獲取運(yùn)營商服務(wù)器分發(fā)的用戶身份識(shí)別信息之前，還包括:
[0018]接收所述運(yùn)營商服務(wù)器發(fā)送的數(shù)字證書請(qǐng)求消息；
[0019]向所述運(yùn)營商服務(wù)器發(fā)送所述數(shù)字證書；
[0020]所述獲取運(yùn)營商服務(wù)器分發(fā)的用戶身份識(shí)別信息，包括:
[0021]接收所述運(yùn)營商服務(wù)器發(fā)送的所述序列號(hào)和加密后的所述密鑰。
[0022]結(jié)合第一方面的第三種可能的實(shí)現(xiàn)方式，在第一方面的第四種可能的實(shí)現(xiàn)方式中，所述根據(jù)所述終端的數(shù)字證書和所述用戶身份識(shí)別信息，與所述接入服務(wù)器進(jìn)行用于實(shí)現(xiàn)接入認(rèn)證的信息交互，包括::
[0023]接收所述接入服務(wù)器發(fā)送的標(biāo)識(shí)請(qǐng)求信息；
[0024]根據(jù)所述標(biāo)識(shí)請(qǐng)求信息向所述接入服務(wù)器發(fā)送所述序列號(hào)；
[0025]接收所述接入服務(wù)器發(fā)送的認(rèn)證消息，所述認(rèn)證消息包括隨機(jī)字串和鑒權(quán)碼；
[0026]通過所述數(shù)字證書對(duì)應(yīng)的私鑰對(duì)所述加密后的所述密鑰進(jìn)行解密，并根據(jù)解密后的密鑰和所述隨機(jī)字串執(zhí)行預(yù)設(shè)算法生成會(huì)話密鑰，用所述會(huì)話密鑰校驗(yàn)所述消息鑒權(quán)碼。
[0027]第二方面，本發(fā)明實(shí)施例提供一種終端安全認(rèn)證方法，包括:
[0028]接收終端發(fā)送的接入認(rèn)證請(qǐng)求；
[0029]根據(jù)所述接入認(rèn)證請(qǐng)求，獲取所述終端的驗(yàn)證信息；
[0030]根據(jù)所述驗(yàn)證信息向運(yùn)營商認(rèn)證服務(wù)器請(qǐng)求進(jìn)行用戶身份驗(yàn)證；
[0031]在所述用戶身份驗(yàn)證通過后，向所述終端發(fā)送接入認(rèn)證成功信息。
[0032]結(jié)合第二方面，在第二方面的第一種可能的實(shí)現(xiàn)方式中，所述根據(jù)所述接入認(rèn)證請(qǐng)求，獲取所述終端的驗(yàn)證信息，包括:
[0033]向所述終端發(fā)送標(biāo)識(shí)請(qǐng)求信息和安全認(rèn)證字串，所述安全認(rèn)證字串包括時(shí)間字串和隨機(jī)字串；
[0034]接收所述終端發(fā)送的所述驗(yàn)證信息，所述驗(yàn)證信息包括數(shù)據(jù)包和所述終端的數(shù)字簽名，所述數(shù)據(jù)包包括用戶身份識(shí)別信息中的序列號(hào)和安全認(rèn)證字串，所述用戶身份識(shí)別信息包括密鑰和所述序列號(hào)；
[0035]所述根據(jù)所述驗(yàn)證信息向運(yùn)營商認(rèn)證服務(wù)器請(qǐng)求進(jìn)行用戶身份驗(yàn)證，包括:
[0036]根據(jù)所述序列號(hào)和所述數(shù)字簽名向所述運(yùn)營商認(rèn)證服務(wù)器請(qǐng)求進(jìn)行用戶身份驗(yàn)證。
[0037]結(jié)合第二方面的第一種可能的實(shí)現(xiàn)方式，在第二方面的第二種可能的實(shí)現(xiàn)方式中，所述根據(jù)所述序列號(hào)和所述數(shù)字簽名向所述運(yùn)營商認(rèn)證服務(wù)器請(qǐng)求進(jìn)行用戶身份驗(yàn)證之后，還包括:
[0038]接收所述運(yùn)營商認(rèn)證服務(wù)器發(fā)送的數(shù)字證書請(qǐng)求消息，并將所述數(shù)字證書請(qǐng)求消息發(fā)送給所述終端；
[0039]接收所述終端發(fā)送的所述數(shù)字證書，并將所述數(shù)字證書發(fā)送給所述運(yùn)營商認(rèn)證服務(wù)器。
[0040]結(jié)合第二方面，在第二方面的第三種可能的實(shí)現(xiàn)方式中，所述根據(jù)所述接入認(rèn)證請(qǐng)求，獲取所述終端的驗(yàn)證信息，包括:
[0041 ] 向所述終端發(fā)送標(biāo)識(shí)請(qǐng)求信息；
[0042]接收所述終端發(fā)送的所述驗(yàn)證信息，所述驗(yàn)證信息包括用戶身份識(shí)別信息中的所述序列號(hào)，所述用戶身份識(shí)別信息包括密鑰和所述序列號(hào)；
[0043]所述根據(jù)所述驗(yàn)證信息向運(yùn)營商認(rèn)證服務(wù)器請(qǐng)求用戶身份驗(yàn)證，包括:
[0044]根據(jù)所述序列號(hào)從所述運(yùn)營商認(rèn)證服務(wù)器獲取認(rèn)證消息，所述認(rèn)證消息包括隨機(jī)字串和鑒權(quán)碼。
[0045]結(jié)合第二方面的第三種可能的實(shí)現(xiàn)方式，在第二方面的第四種可能的實(shí)現(xiàn)方式中，所述根據(jù)所述序列號(hào)從所述運(yùn)營商認(rèn)證服務(wù)器獲取認(rèn)證消息之后，還包括:
[0046]向所述終端發(fā)送所述認(rèn)證消息。
[0047]第三方面，本發(fā)明實(shí)施例提供一種終端安全認(rèn)證方法，包括:
[0048]接收接入服務(wù)器發(fā)送的用戶身份驗(yàn)證請(qǐng)求，所述用戶身份驗(yàn)證請(qǐng)求包括終端發(fā)送的數(shù)據(jù)包和數(shù)字簽名，所述數(shù)據(jù)包包括用戶身份識(shí)別信息中的序列號(hào)和安全認(rèn)證字串，所述用戶身份識(shí)別信息包括密鑰和所述序列號(hào)，所述安全認(rèn)證字串包括時(shí)間字串和隨機(jī)字串，所述數(shù)字簽名為所述終端通過所述數(shù)字證書對(duì)應(yīng)的私鑰對(duì)所述數(shù)據(jù)包進(jìn)行的簽名；
[0049]根據(jù)所述用戶身份驗(yàn)證請(qǐng)求獲取所述終端的數(shù)字證書；
[0050]根據(jù)所述數(shù)字證書驗(yàn)證所述數(shù)字簽名，驗(yàn)證通過后與所述接入服務(wù)器進(jìn)行信息交互以完成接入認(rèn)證。
[0051]結(jié)合第三方面，在第三方面的第一種可能的實(shí)現(xiàn)方式中，所述根據(jù)所述身份驗(yàn)證請(qǐng)求獲取所述終端的數(shù)字證書，包括:
[0052]向用戶數(shù)據(jù)庫發(fā)送所述序列號(hào)；
[0053]獲取與所述序列號(hào)綁定的所述數(shù)字證書。
[0054]結(jié)合第三方面，在第三方面的第二種可能的實(shí)現(xiàn)方式中，所述根據(jù)所述身份驗(yàn)證請(qǐng)求獲取所述終端的數(shù)字證書，包括:
[0055]向用戶數(shù)據(jù)庫發(fā)送所述序列號(hào)；
[0056]接收所述用戶數(shù)據(jù)庫發(fā)送的數(shù)字證書請(qǐng)求消息；
[0057]將所述數(shù)字證書請(qǐng)求消息轉(zhuǎn)發(fā)給接入服務(wù)器；
[0058]接收所述接入服務(wù)器發(fā)送的所述數(shù)字證書；
[0059]根據(jù)從數(shù)字證書管理機(jī)構(gòu)獲取到的根證書驗(yàn)證所述數(shù)字證書。
[0060]第四方面，本發(fā)明實(shí)施例提供一種終端安全認(rèn)證方法，包括:
[0061]接收運(yùn)營商認(rèn)證服務(wù)器發(fā)送的終端的用戶身份識(shí)別信息中的序列號(hào)，所述用戶身份識(shí)別信息包括密鑰和所述序列號(hào)；
[0062]判斷所述序列號(hào)是否已經(jīng)綁定數(shù)字證書；
[0063]若是，則向所述運(yùn)營商認(rèn)證服務(wù)器發(fā)送與所述序列號(hào)綁定的數(shù)字證書。
[0064]結(jié)合第四方面，在第四方面的第一種可能的實(shí)現(xiàn)方式中，所述判斷所述序列號(hào)是否已經(jīng)綁定數(shù)字證書之后，還包括:
[0065]若否，則向所述運(yùn)營商認(rèn)證服務(wù)器發(fā)送數(shù)字證書請(qǐng)求消息；
[0066]接收所述運(yùn)營商認(rèn)證服務(wù)器上傳的所述序列號(hào)和所述數(shù)字證書，并保存所述序列號(hào)和所述數(shù)字證書的綁定關(guān)系。
[0067]第五方面,本發(fā)明實(shí)施例提供一種終端，包括:
[0068]信息獲取模塊，用于獲取運(yùn)營商服務(wù)裝置分發(fā)的用戶身份識(shí)別信息，所述用戶身份識(shí)別信息包括序列號(hào)和密鑰；
[0069]請(qǐng)求發(fā)送模塊，用于向接入服務(wù)裝置發(fā)送接入認(rèn)證請(qǐng)求；
[0070]認(rèn)證交互模塊，用于根據(jù)所述終端的數(shù)字證書和所述用戶身份識(shí)別信息，與所述接入服務(wù)裝置進(jìn)行用于實(shí)現(xiàn)接入認(rèn)證的信息交互；
[0071]接入模塊，用于接收所述接入服務(wù)裝置發(fā)送的接入認(rèn)證成功信息，并通過所述接入服務(wù)裝置接入網(wǎng)絡(luò)并使用所述網(wǎng)絡(luò)提供的網(wǎng)絡(luò)服務(wù)。
[0072]結(jié)合第五方面，在第五方面的第一種可能的實(shí)現(xiàn)方式中，所述認(rèn)證交互模塊，具體用于接收所述接入服務(wù)裝置發(fā)送的標(biāo)識(shí)請(qǐng)求信息和安全認(rèn)證字串，所述安全認(rèn)證字串包括時(shí)間字串和隨機(jī)字串；根據(jù)所述標(biāo)識(shí)請(qǐng)求信息，通過所述數(shù)字證書對(duì)應(yīng)的私鑰對(duì)數(shù)據(jù)包進(jìn)行簽名，得到數(shù)字簽名，所述數(shù)據(jù)包包括所述序列號(hào)和所述安全認(rèn)證字串；向所述接入服務(wù)裝置發(fā)送所述數(shù)據(jù)包和數(shù)字簽名。
[0073]結(jié)合第五方面的第一種可能的實(shí)現(xiàn)方式，在第五方面的第二種可能的實(shí)現(xiàn)方式中，還包括:
[0074]第一數(shù)字證書處理模塊，用于接收所述接入服務(wù)裝置發(fā)送的數(shù)字證書請(qǐng)求消息；向所述接入服務(wù)裝置發(fā)送所述數(shù)字證書。
[0075]結(jié)合第五方面，在第五方面的第三種可能的實(shí)現(xiàn)方式中，還包括:
[0076]第二數(shù)字證書處理模塊，用于接收所述運(yùn)營商服務(wù)裝置發(fā)送的數(shù)字證書請(qǐng)求消息；向所述運(yùn)營商服務(wù)裝置發(fā)送所述數(shù)字證書；
[0077]所述信息獲取模塊，具體用于接收所述運(yùn)營商服務(wù)裝置發(fā)送的所述序列號(hào)和加密后的所述密鑰。
[0078]結(jié)合第五方面的第三種可能的實(shí)現(xiàn)方式，在第五方面的第四種可能的實(shí)現(xiàn)方式中，所述認(rèn)證交互模塊，具體用于接收所述接入服務(wù)裝置發(fā)送的標(biāo)識(shí)請(qǐng)求信息；根據(jù)所述標(biāo)識(shí)請(qǐng)求信息向所述接入服務(wù)裝置發(fā)送所述序列號(hào)；接收所述接入服務(wù)裝置發(fā)送的認(rèn)證消息，所述認(rèn)證消息包括隨機(jī)字串和鑒權(quán)碼；通過所述數(shù)字證書對(duì)應(yīng)的私鑰對(duì)所述加密后的所述密鑰進(jìn)行解密，并根據(jù)解密后的密鑰和所述隨機(jī)字串執(zhí)行預(yù)設(shè)算法生成會(huì)話密鑰，用所述會(huì)話密鑰校驗(yàn)所述消息鑒權(quán)碼。
[0079]第六方面，本發(fā)明實(shí)施例提供一種接入服務(wù)裝置，包括:
[0080]接收模塊，用于接收終端發(fā)送的接入認(rèn)證請(qǐng)求；
[0081]驗(yàn)證信息獲取模塊，用于根據(jù)所述接入認(rèn)證請(qǐng)求，獲取所述終端的驗(yàn)證信息；
[0082]驗(yàn)證模塊，用于根據(jù)所述驗(yàn)證信息向運(yùn)營商認(rèn)證服務(wù)裝置請(qǐng)求進(jìn)行用戶身份驗(yàn)證；
[0083]接入模塊，用于在所述用戶身份驗(yàn)證通過后，向所述終端發(fā)送接入認(rèn)證成功信息。
[0084]結(jié)合第六方面，在第六方面的第一種可能的實(shí)現(xiàn)方式中，所述驗(yàn)證信息獲取模塊，具體用于向所述終端發(fā)送標(biāo)識(shí)請(qǐng)求信息和安全認(rèn)證字串，所述安全認(rèn)證字串包括時(shí)間字