认证方法、生成信任状的方法及相关装置转让专利
申请号 : CN201380000924.5
文献号 : CN104584477B
文献日 : 2017-11-17
发明人 : 陈璟
申请人 : 华为技术有限公司
摘要 :
认证方法、生成信任状的方法及相关装置。其中的认证方法包括:当接收到用户设备的第一登录请求时,若查找到登录请求没有有效的第一信任状的指示,则根据登录请求携带的用户设备的标识,发送对应标识的认证挑战给用户设备,以使用户设备根据认证挑战生成相应的第一信任状;接收用户设备发送的第二登录请求,该第二登录请求是用户设备根据标识和第一信任状生成的;根据对应标识的第二信任状,对用户设备进行验证;其中,该第二信任状是采用与生成第一信任状相同的方式生成的。还公开了相关装置。采用本发明的认证方法、生成信任状的方法及相关装置的技术方案,可以简化用户设备登录应用服务器的流程。
权利要求 :
1.一种认证方法,其特征在于,包括:
当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则根据所述登录请求携带的用户设备的标识,发送对应所述标识的认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状;
接收所述用户设备发送的第二登录请求,所述第二登录请求是所述用户设备根据所述标识和所述第一信任状生成的;
根据所述标识,查找本地是否存储有第二信任状;
若查找的结果为是,则从本地获取所述第二信任状;
若查找的结果为否,则从认证功能装置AF获取所述第二信任状,所述第二信任状是由所述AF根据所述标识从家庭用户注册服务器HSS或归属位置寄存器HLR获取的相应的认证向量、采用与生成所述第一信任状相同的算法生成的;
根据对应所述标识的第二信任状,对所述用户设备进行验证;
所述当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则根据所述登录请求携带的用户设备的标识,发送对应所述标识的认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状,包括:当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则将所述标识发送给认证功能装置AF,以使所述AF将所述标识发送给家庭注册用户服务器HSS或归属位置寄存器HLR,并从所述HSS或HLR获取所述HSS或HLR根据所述标识生成的相应的认证向量,所述认证向量包括认证挑战和认证响应;
从所述AF获取所述认证挑战并发送给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状。
2.如权利要求1所述的方法,其特征在于,所述查找到所述第一登录请求没有有效的第一信任状的指示之后,以及所述发送对应所述标识的认证挑战给所述用户设备之前,还包括:将所述标识发送给认证功能装置AF,以使所述AF将应用服务器的信息和所述标识发送给家庭用户注册服务器HSS或归属位置寄存器HLR,以使得所述HSS或HLR检查所述用户设备是否允许接入所述应用服务器。
3.如权利要求2所述的方法,其特征在于,还包括:
将所述标识转换为所述用户设备的国际移动识别号IMSI。
4.如权利要求1所述的方法,其特征在于,还包括:
当接收到所述用户设备的所述第一登录请求时,若根据所述标识查找到所述第一信任状,则根据所述标识,获取对应所述标识的所述第二信任状。
5.一种生成信任状的方法,其特征在于,包括:
当应用服务器查找到用户设备发送的登录请求中没有有效的第一信任状的指示时,接收应用服务器发送的认证向量获取请求,所述认证向量获取请求包括所述用户设备的标识;
将从家庭注册用户服务器HSS或归属位置寄存器HLR获取的对应所述标识的认证向量发送给所述应用服务器,以使所述应用服务器将所述认证向量中的认证挑战发送给所述用户设备以生成对应所述认证挑战的所述第一信任状;
当所述应用服务器接收到所述用户设备发送的第二登录请求时,接收所述应用服务器的第二信任状获取请求,所述第二信任状获取请求包括所述用户设备的标识;
根据所述认证向量,采用与生成所述第一信任状相同的算法生成所述第二信任状,以使所述应用服务器根据所述第二信任状,对所述用户设备进行验证。
6.如权利要求5所述的方法,其特征在于,所述接收应用服务器发送的认证向量获取请求之后,以及所述将从家庭注册用户服务器HSS或归属位置寄存器HLR获取的对应所述标识的认证向量发送给所述应用服务器之前,还包括:将所述标识和所述应用服务器的信息发送给所述HSS或HLR,以使得所述HSS或HLR检查所述用户设备是否允许接入所述应用服务器。
7.如权利要求5所述的方法,其特征在于,所述根据所述认证向量,采用与生成所述第一信任状相同的算法生成所述第二信任状之后,还包括:对应所述标识,存储所述第二信任状。
8.如权利要求5-7任意一项所述的方法,其特征在于,还包括:
将所述标识转换为所述用户设备的国际移动识别号IMSI。
9.一种应用服务器,其特征在于,包括:
第一发送单元,用于当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则根据所述登录请求携带的用户设备的标识,发送对应所述标识的认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状;
第一接收单元,用于接收所述用户设备发送的第二登录请求,所述第二登录请求是所述用户设备根据所述标识和所述第一信任状生成的;
第二获取单元,用于根据所述标识,获取对应所述标识的第二信任状;
第一验证单元,用于根据对应所述标识的第二信任状,对所述用户设备进行验证;
所述第二获取单元包括:
第一查找单元,用于根据所述标识,查找本地是否存储有所述第二信任状;
第三获取单元,用于若查找的结果为是,则从本地获取所述第二信任状;
第四获取单元,用于若查找的结果为否,则从认证功能装置AF获取所述第二信任状,所述第二信任状是由所述AF根据所述标识从家庭用户注册服务器HSS或归属位置寄存器HLR获取的相应的认证向量、采用与生成所述第一信任状相同的算法生成的;
所述第一发送单元包括:
第二发送单元,用于当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则将所述标识发送给认证功能装置AF,以使所述AF将所述标识发送给家庭注册用户服务器HSS或归属位置寄存器HLR,并从所述HSS或HLR获取所述HSS或HLR根据所述标识生成的相应的认证向量,所述认证向量包括认证挑战和认证响应;
第一获取单元,用于从所述AF获取所述认证挑战;
第三发送单元,用于发送所述认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状。
10.如权利要求9所述的应用服务器,其特征在于,还包括:
第四发送单元,用于将所述标识发送给认证功能装置AF,以使所述AF将应用服务器的信息和所述标识发送给家庭用户注册服务器HSS或归属位置寄存器HLR,以使得所述HSS或HLR检查所述用户设备是否允许接入所述应用服务器。
11.如权利要求10所述的应用服务器,其特征在于,还包括:
第一转换单元,用于将所述标识转换为所述用户设备的国际移动识别号IMSI。
12.如权利要求9所述的应用服务器,其特征在于,所述第二获取单元还用于当接收到所述用户设备的所述第一登录请求时,若根据所述标识查找到所述第一信任状,则根据所述标识,获取对应所述标识的所述第二信任状。
13.一种认证功能装置AF,其特征在于,包括:
第二接收单元,用于当应用服务器查找到用户设备发送的登录请求中没有有效的第一信任状的指示时,接收应用服务器发送的认证向量获取请求,所述认证向量获取请求包括所述用户设备的标识;
第五发送单元,用于将从家庭注册用户服务器HSS或归属位置寄存器HLR获取的对应所述标识的认证向量发送给所述应用服务器,以使所述应用服务器将所述认证向量中的认证挑战发送给所述用户设备以生成对应所述认证挑战的所述第一信任状;
第三接收单元,用于当所述应用服务器接收到所述用户设备发送的第二登录请求时,接收所述应用服务器的第二信任状获取请求,所述第二信任状获取请求包括所述用户设备的标识;
第一生成单元,用于根据所述认证向量,采用与生成所述第一信任状相同的算法生成所述第二信任状,以使所述应用服务器根据所述第二信任状,对所述用户设备进行验证。
14.如权利要求13所述的AF,其特征在于,还包括:
第六发送单元,用于将所述标识和所述应用服务器的信息发送给所述HSS或HLR,以使得所述HSS或HLR检查所述用户设备是否允许接入所述应用服务器。
15.如权利要求13所述的AF,其特征在于,还包括:
存储单元,用于对应所述标识,存储所述第二信任状。
16.如权利要求13-15任意一项所述的AF,其特征在于,还包括:第二转换单元,用于将所述标识转换为所述用户设备的国际移动识别号IMSI。
17.一种认证系统,其特征在于,包括权利要求9-12任意一项所述的应用服务器、权利要求13-16任意一项所述的认证功能装置AF、家庭注册用户服务器HSS或归属位置寄存器HLR和用户设备。
18.一种应用服务器,其特征在于,包括输入装置、输出装置、存储器和处理器;
其中,所述处理器执行如下步骤:
当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则根据所述登录请求携带的用户设备的标识,发送对应所述标识的认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状;
接收所述用户设备发送的第二登录请求,所述第二登录请求是所述用户设备根据所述标识和所述第一信任状生成的;
根据所述标识,查找本地是否存储有第二信任状;
若查找的结果为是,则从本地获取所述第二信任状;
若查找的结果为否,则从认证功能装置AF获取所述第二信任状,所述第二信任状是由所述AF根据所述标识从家庭用户注册服务器HSS或归属位置寄存器HLR获取的相应的认证向量、采用与生成所述第一信任状相同的算法生成的;
根据对应所述标识的第二信任状,对所述用户设备进行验证;
所述处理器执行所述当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则根据所述登录请求携带的用户设备的标识,发送对应所述标识的认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状的步骤,包括:当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则将所述标识发送给认证功能装置AF,以使所述AF将所述标识发送给家庭注册用户服务器HSS或归属位置寄存器HLR,并从所述HSS或HLR获取所述HSS或HLR根据所述标识生成的相应的认证向量,所述认证向量包括认证挑战和认证响应;
从所述AF获取所述认证挑战并发送给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状。
19.如权利要求18所述的应用服务器,其特征在于,所述处理器执行所述查找到所述第一登录请求没有有效的第一信任状的指示的步骤之后,以及执行所述发送对应所述标识的认证挑战给所述用户设备的步骤之前,还执行如下步骤:将所述标识发送给认证功能装置AF,以使所述AF将应用服务器的信息和所述标识发送给家庭用户注册服务器HSS或归属位置寄存器HLR,以使得所述HSS或HLR检查所述用户设备是否允许接入所述应用服务器。
20.如权利要求19所述的应用服务器,其特征在于,所述处理器还执行如下步骤:将所述标识转换为所述用户设备的国际移动识别号IMSI。
21.如权利要求18所述的应用服务器,其特征在于,所述处理器还执行如下步骤:当接收到所述用户设备的所述第一登录请求时,若根据所述标识查找到所述第一信任状,则根据所述标识,获取对应所述标识的所述第二信任状。
22.一种认证功能设备AF,其特征在于,包括输入装置、输出装置、存储器和处理器;
其中,所述处理器执行如下步骤:
当应用服务器查找到用户设备发送的登录请求中没有有效的第一信任状的指示时,接收应用服务器发送的认证向量获取请求,所述认证向量获取请求包括所述用户设备的标识;
将从家庭注册用户服务器HSS或归属位置寄存器HLR获取的对应所述标识的认证向量发送给所述应用服务器,以使所述应用服务器将所述认证向量中的认证挑战发送给所述用户设备以生成对应所述认证挑战的所述第一信任状;
当所述应用服务器接收到所述用户设备发送的第二登录请求时,接收所述应用服务器的第二信任状获取请求,所述第二信任状获取请求包括所述用户设备的标识;
根据所述认证向量,采用与生成所述第一信任状相同的算法生成所述第二信任状,以使所述应用服务器根据所述第二信任状,对所述用户设备进行验证。
23.如权利要求22所述的AF,其特征在于,所述处理器执行所述接收应用服务器发送的认证向量获取请求的步骤之后,以及执行所述将从家庭注册用户服务器HSS或归属位置寄存器HLR获取的对应所述标识的认证向量发送给所述应用服务器的步骤之前,还执行如下步骤:将所述标识和所述应用服务器的信息发送给所述HSS或HLR,以使得所述HSS或HLR检查所述用户设备是否允许接入所述应用服务器。
24.如权利要求22所述的AF,其特征在于,所述处理器执行所述根据所述认证向量,采用与生成所述第一信任状相同的算法生成所述第二信任状的步骤之后,还执行如下步骤:对应所述标识,存储所述第二信任状。
25.如权利要求22-24任意一项所述的AF,其特征在于,所述处理器还执行如下步骤:将所述标识转换为所述用户设备的国际移动识别号IMSI。
26.一种认证系统,其特征在于,包括权利要求18-21任意一项所述的应用服务器、权利要求22-25任意一项所述的认证功能设备AF、家庭注册用户服务器HSS或归属位置寄存器HLR和用户设备。
说明书 :
认证方法、生成信任状的方法及相关装置
技术领域
[0001] 本发明涉及通信安全技术领域,尤其涉及认证方法、生成信任状的方法及相关装置。
背景技术
[0002] 在第三代合作伙伴项目(The3rd Generation Partnership Project,3GPP)TS33.220中介绍了一种通用自引导架构(Generic Bootstrapping Architecture,GBA)认证机制,如图1所示,首先,用户设备(User Equipment,UE)和BSF(Bootstrapping Function)执行认证流程,UE和BSF共享密钥Ks和密钥标示符B-TID,在该流程中,BSF从HSS/HLR(Home Subscriber Server/Home Location Register)获取认证向量,然后,UE和某应用服务器(Network Application Function,NAF)执行登录认证流程,具体是安装在UE上的应用客户端如浏览器登录应用服务器,NAF根据该用户的B-TID从BSF获得登录该NAF的密钥Ks_NAF1,UE侧也生成与Ks_NAF1相同的Ks_NAF2,NAF和UE基于相同的Ks_NAF1和Ks_NAF2进行验证,以确定是否通过登录认证。
[0003] 然而,GBA机制需要运营商部署BSF,BSF需要和UE可以直接连接,UE需要分别连接BSF和NAF才能完成应用服务器的登录,流程复杂,接入时延大。
[0004] 因此,如何简化用户设备和应用服务器的认证流程成为目前业界迫切需要解决的问题。
发明内容
[0005] 本发明实施例提供了认证方法、生成信任状的方法及相关装置,用于解决现有技术中存在着的用户设备和应用服务器的认证流程复杂的问题。
[0006] 第一方面,本发明提供了一种认证方法,包括:
[0007] 当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则根据所述登录请求携带的用户设备的标识,发送对应所述标识的认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状;
[0008] 接收所述用户设备发送的第二登录请求,所述第二登录请求是所述用户设备根据所述标识和所述第一信任状生成的;
[0009] 根据对应所述标识的第二信任状,对所述用户设备进行验证;
[0010] 其中,所述第二信任状是采用与生成所述第一信任状相同的方式生成的。
[0011] 在第一种可能的实现方式中,所述当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则根据所述登录请求携带的用户设备的标识,发送对应所述标识的认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状,包括:
[0012] 当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则将所述标识发送给认证功能装置AF,以使所述AF将所述标识发送给家庭注册用户服务器HSS或归属位置寄存器HLR,并从所述HSS或HLR获取所述HSS或HLR根据所述标识生成的相应的认证向量,所述认证向量包括认证挑战和认证响应;
[0013] 从所述AF获取所述认证挑战并发送给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状。
[0014] 结合第一方面或第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述查找到所述第一登录请求没有有效的第一信任状的指示之后,以及所述发送对应所述标识的认证挑战给所述用户设备之前,所述方法还包括:
[0015] 将所述标识发送给认证功能装置AF,以使所述AF将应用服务器的信息和所述标识发送给家庭用户注册服务器HSS或归属位置寄存器HLR,以使得所述HSS或HLR检查所述用户设备是否允许接入所述应用服务器。
[0016] 结合第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式,在第三种可能的实现方式中,所述方法还包括:
[0017] 将所述标识转换为所述用户设备的国际移动识别号IMSI。
[0018] 结合第一方面或第一方面的第一种可能的实现方式,在第四种可能的实现方式中,所述接收所述用户设备发送的第二登录请求之后,以及所述根据对应所述标识的第二信任状,对所述用户设备进行验证之前,所述方法还包括:
[0019] 根据所述标识,获取对应所述标识的所述第二信任状。
[0020] 结合第一方面,在第五种可能的实现方式中,所述方法还包括:
[0021] 当接收到用户设备的登录请求时,若根据所述标识查找到所述第一信任状,则根据所述标识,获取对应所述标识的所述第二信任状。
[0022] 结合第一方面的第四种可能的实现方式或结合第一方面的第五种可能的实现方式,在第六种可能的实现方式中,所述根据所述标识,获取对应所述标识的所述第二信任状,包括:
[0023] 根据所述标识,查找本地是否存储有所述第二信任状;
[0024] 若查找的结果为是,则从本地获取所述第二信任状;
[0025] 若查找的结果为否,则从认证功能装置AF获取所述第二信任状,所述第二信任状是由所述AF根据所述标识从家庭用户注册服务器HSS或归属位置寄存器HLR获取的相应的认证向量、采用与生成所述第一信任状相同的算法生成的。
[0026] 第二方面,本发明提供了一种生成信任状的方法,包括:
[0027] 当应用服务器查找到用户设备发送的登录请求中没有有效的第一信任状的指示时,接收应用服务器发送的认证向量获取请求,所述认证向量获取请求包括所述用户设备的标识;
[0028] 将从家庭注册用户服务器HSS或归属位置寄存器HLR获取的对应所述标识的认证向量发送给所述应用服务器,以使所述应用服务器将所述认证向量中的认证挑战发送给所述用户设备以生成对应所述认证挑战的所述第一信任状;
[0029] 当所述应用服务器接收到所述用户设备发送的第二登录请求时,接收所述应用服务器的第二信任状获取请求,所述第二信任状获取请求包括所述用户设备的标识;
[0030] 根据所述认证向量,采用与生成所述第一信任状相同的算法生成所述第二信任状,以使所述应用服务器根据所述第二信任状,对所述用户用户进行验证。
[0031] 在第一种可能的实现方式中,所述接收应用服务器发送的认证向量获取请求之后,以及所述将从家庭注册用户服务器HSS或归属位置寄存器HLR获取的对应所述标识的认证向量发送给所述应用服务器之前,所述方法还包括:
[0032] 将所述标识和所述应用服务器的信息发送给所述HSS或HLR,以使得所述HSS或HLR检查所述用户设备是否允许接入所述应用服务器。
[0033] 结合第二方面,在第二种可能的实现方式中,所述根据所述认证向量,采用与生成所述第一信任状相同的算法生成所述第二信任状之后,所述方法还包括:
[0034] 对应所述标识,存储所述第二信任状。
[0035] 结合第二方面或第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式,在第三种可能的实现方式中,所述方法还包括:
[0036] 将所述标识转换为所述用户设备的国际移动识别号IMSI。
[0037] 第三方面,提供了一种认证方法,包括:
[0038] 当向应用服务器发送第一登录请求时,所述第一登录请求携带用户设备的标识,若在所述登录请求携带没有有效的第一信任状的指示,则接收所述应用服务器发送的对应所述标识的认证挑战;
[0039] 根据所述认证挑战,生成所述第一信任状;
[0040] 向所述应用服务器发送第二登录请求,所述第二登录请求是根据所述标识和所述第一信任状生成的,以使所述应用服务器根据对应所述标识的第二信任状,对所述用户设备进行验证;
[0041] 其中,所述第二信任状是采用与生成所述第一信任状相同的方式生成的。
[0042] 在第一种可能的实现方式中,所述根据所述认证挑战,生成所述第一信任状,包括:
[0043] 根据所述认证挑战,获取对应所述认证挑战的认证响应;
[0044] 根据所述认证挑战和所述认证响应,采用与生成所述第二信任状相同的算法生成所述第一信任状。
[0045] 结合第三方面或第三方面的第一种可能的实现方式,在第二种可能的实现方式中,所述方法还包括:
[0046] 向所述应用服务器发送第三登录请求,所述第三登录请求是根据所述标识和所述第一信任状生成的,所述标识为临时标识或永久标识,所述永久标识为根据所述用户设备的国际移动识别号IMSI或移动注册用户国际综合业务数字网号MSISDN生成的;
[0047] 接收所述应用服务器发送的对所述用户设备的验证结果。
[0048] 第四方面,提供了一种应用服务器,包括:
[0049] 第一发送单元,用于当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则根据所述登录请求携带的用户设备的标识,发送对应所述标识的认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状;
[0050] 第一接收单元,用于接收所述用户设备发送的第二登录请求,所述第二登录请求是所述用户设备根据所述标识和所述第一信任状生成的;
[0051] 第一验证单元,用于根据对应所述标识的第二信任状,对所述用户设备进行验证;
[0052] 其中,所述第二信任状是采用与生成所述第一信任状相同的方式生成的。
[0053] 在第一种可能的实现方式中,所述第一发送单元包括:
[0054] 第二发送单元,用于当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则将所述标识发送给认证功能装置AF,以使所述AF将所述标识发送给家庭注册用户服务器HSS或归属位置寄存器HLR,并从所述HSS或HLR获取所述HSS或HLR根据所述标识生成的相应的认证向量,所述认证向量包括认证挑战和认证响应;
[0055] 第一获取单元,用于从所述AF获取所述认证挑战;
[0056] 第三发送单元,用于发送所述认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状。
[0057] 结合第四方面或第四方面的第一种可能的实现方式,在第二种可能的实现方式中,所述应用服务器还包括:
[0058] 第四发送单元,用于将所述标识发送给认证功能装置AF,以使所述AF将应用服务器的信息和所述标识发送给家庭用户注册服务器HSS或归属位置寄存器HLR,以使得所述HSS或HLR检查所述用户设备是否允许接入所述应用服务器。
[0059] 结合第四方面的第一种可能的实现方式或第四方面的第二种可能的实现方式,在第三种可能的实现方式中,所述应用服务器还包括:
[0060] 第一转换单元,用于将所述标识转换为所述用户设备的国际移动识别号IMSI。
[0061] 结合第四方面或第四方面的第一种可能的实现方式,在第四种可能的实现方式中,所述应用服务器还包括:
[0062] 第二获取单元,用于根据所述标识,获取对应所述标识的所述第二信任状。
[0063] 结合第一方面,在第五种可能的实现方式中,所述第二获取单元还用于当接收到用户设备的登录请求时,若根据所述标识查找到所述第一信任状,则根据所述标识,获取对应所述标识的所述第二信任状。
[0064] 结合第四方面的第四种可能的实现方式或结合第四方面的第五种可能的实现方式,在第六种可能的实现方式中,所述第二获取单元包括:
[0065] 第一查找单元,用于根据所述标识,查找本地是否存储有所述第二信任状;
[0066] 第三获取单元,用于若查找的结果为是,则从本地获取所述第二信任状;
[0067] 第四获取单元,用于若查找的结果为否,则从认证功能装置AF获取所述第二信任状,所述第二信任状是由所述AF根据所述标识从家庭用户注册服务器HSS或归属位置寄存器HLR获取的相应的认证向量、采用与生成所述第一信任状相同的算法生成的。
[0068] 第五方面,提供了一种认证功能装置AF,包括:
[0069] 第二接收单元,用于当应用服务器查找到用户设备发送的登录请求中没有有效的第一信任状的指示时,接收应用服务器发送的认证向量获取请求,所述认证向量获取请求包括所述用户设备的标识;
[0070] 第五发送单元,用于将从家庭注册用户服务器HSS或归属位置寄存器HLR获取的对应所述标识的认证向量发送给所述应用服务器,以使所述应用服务器将所述认证向量中的认证挑战发送给所述用户设备以生成对应所述认证挑战的所述第一信任状;
[0071] 第三接收单元,用于当所述应用服务器接收到所述用户设备发送的第二登录请求时,接收所述应用服务器的第二信任状获取请求,所述第二信任状获取请求包括所述用户设备的标识;
[0072] 第一生成单元,用于根据所述认证向量,采用与生成所述第一信任状相同的算法生成所述第二信任状,以使所述应用服务器根据所述第二信任状,对所述用户用户进行验证。
[0073] 在第一种可能的实现方式中,所述AF还包括:
[0074] 第六发送单元,用于将所述标识和所述应用服务器的信息发送给所述HSS或HLR,以使得所述HSS或HLR检查所述用户设备是否允许接入所述应用服务器。
[0075] 结合第五方面,在第二种可能的实现方式中,所述AF还包括:
[0076] 存储单元,用于对应所述标识,存储所述第二信任状。
[0077] 结合第五方面或第五方面的第一种可能的实现方式或第五方面的第二种可能的实现方式,在第三种可能的实现方式中,所述AF还包括:
[0078] 第二转换单元,用于将所述标识转换为所述用户设备的国际移动识别号IMSI。
[0079] 第六方面,提供了一种用户设备,包括:
[0080] 第四接收单元,用于当向应用服务器发送第一登录请求时,所述第一登录请求携带用户设备的标识,若在所述登录请求携带没有有效的第一信任状的指示,则接收所述应用服务器发送的对应所述标识的认证挑战;
[0081] 第二生成单元,用于根据所述认证挑战,生成所述第一信任状;
[0082] 第七发送单元,用于向所述应用服务器发送第二登录请求,所述第二登录请求是根据所述标识和所述第一信任状生成的,以使所述应用服务器根据对应所述标识的第二信任状,对所述用户设备进行验证;
[0083] 其中,所述第二信任状是采用与生成所述第一信任状相同的方式生成的。
[0084] 在第一种可能的实现方式中,所述第二生成单元包括:
[0085] 第五获取单元,用于根据所述认证挑战,获取对应所述认证挑战的认证响应;
[0086] 第三生成单元,用于根据所述认证挑战和所述认证响应,采用与生成所述第二信任状相同的算法生成所述第一信任状。
[0087] 结合第六方面或第六方面的第一种可能的实现方式,在第二种可能的实现方式中,所述用户设备还包括:
[0088] 第八发送单元,用于向所述应用服务器发送第三登录请求,所述第三登录请求是根据所述标识和所述第一信任状生成的,所述标识为临时标识或永久标识,所述永久标识为根据所述用户设备的国际移动识别号IMSI或移动注册用户国际综合业务数字网号MSISDN生成的;
[0089] 第五接收单元,用于接收所述应用服务器发送的对所述用户设备的验证结果。
[0090] 第七方面,提供了一种认证系统,包括第四方面或第四方面的第一种可能的实现方式或第四方面的第二种可能的实现方式或第四方面的第三种可能的实现方式或第四方面的第四种可能的实现方式或第四方面的第五种可能的实现方式或第四方面的第六种可能的实现方式所述的应用服务器、第五方面或第五方面的第一种可能的实现方式或第五方面的第二种可能的实现方式或第五方面的第三种可能的实现方式所述的认证功能装置AF、家庭注册用户服务器HSS或归属位置寄存器HLR和第六方面或第六方面的第一种可能的实现方式或第六方面的第二种可能的实现方式所述的用户设备。
[0091] 第八方面,提供了一种应用服务器,包括输入装置、输出装置、存储器和处理器;
[0092] 其中,所述处理器执行如下步骤:
[0093] 当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则根据所述登录请求携带的用户设备的标识,发送对应所述标识的认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状;
[0094] 接收所述用户设备发送的第二登录请求,所述第二登录请求是所述用户设备根据所述标识和所述第一信任状生成的;
[0095] 根据对应所述标识的第二信任状,对所述用户设备进行验证;
[0096] 其中,所述第二信任状是采用与生成所述第一信任状相同的方式生成的。
[0097] 在第一种可能的实现方式中,所述处理器执行所述当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则根据所述登录请求携带的用户设备的标识,发送对应所述标识的认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状的步骤,包括:
[0098] 当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则将所述标识发送给认证功能装置AF,以使所述AF将所述标识发送给家庭注册用户服务器HSS或归属位置寄存器HLR,并从所述HSS或HLR获取所述HSS或HLR根据所述标识生成的相应的认证向量,所述认证向量包括认证挑战和认证响应;
[0099] 从所述AF获取所述认证挑战并发送给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状。
[0100] 结合第八方面或第八方面的第一种可能的实现方式,在第二种可能的实现方式中,所述处理器执行所述查找到所述第一登录请求没有有效的第一信任状的指示的步骤之后,以及执行所述发送对应所述标识的认证挑战给所述用户设备的步骤之前,还执行如下步骤:
[0101] 将所述标识发送给认证功能装置AF,以使所述AF将应用服务器的信息和所述标识发送给家庭用户注册服务器HSS或归属位置寄存器HLR,以使得所述HSS或HLR检查所述用户设备是否允许接入所述应用服务器。
[0102] 结合第八方面的第一种可能的实现方式或第八方面的第二种可能的实现方式,在第三种可能的实现方式中,所述处理器还执行如下步骤:
[0103] 将所述标识转换为所述用户设备的国际移动识别号IMSI。
[0104] 结合第八方面或第八方面的第一种可能的实现方式,在第四种可能的实现方式中,所述处理器执行所述接收所述用户设备发送的第二登录请求的步骤之后,以及执行所述根据对应所述标识的第二信任状,对所述用户设备进行验证的步骤之前,还执行如下步骤:
[0105] 根据所述标识,获取对应所述标识的所述第二信任状。
[0106] 结合第八方面,在第五种可能的实现方式中,所述处理器还执行如下步骤:
[0107] 当接收到用户设备的登录请求时,若根据所述标识查找到所述第一信任状,则根据所述标识,获取对应所述标识的所述第二信任状。
[0108] 结合第八方面的第四种可能的实现方式或结合第八方面的第五种可能的实现方式,在第六种可能的实现方式中,所述处理器执行所述根据所述标识,获取对应所述标识的所述第二信任状的步骤,包括:
[0109] 根据所述标识,查找本地是否存储有所述第二信任状;
[0110] 若查找的结果为是,则从本地获取所述第二信任状;
[0111] 若查找的结果为否,则从认证功能装置AF获取所述第二信任状,所述第二信任状是由所述AF根据所述标识从家庭用户注册服务器HSS或归属位置寄存器HLR获取的相应的认证向量、采用与生成所述第一信任状相同的算法生成的。
[0112] 第九方面,提供了一种认证功能设备AF,包括输入装置、输出装置、存储器和处理器;
[0113] 其中,所述处理器执行如下步骤:
[0114] 当应用服务器查找到用户设备发送的登录请求中没有有效的第一信任状的指示时,接收应用服务器发送的认证向量获取请求,所述认证向量获取请求包括所述用户设备的标识;
[0115] 将从家庭注册用户服务器HSS或归属位置寄存器HLR获取的对应所述标识的认证向量发送给所述应用服务器,以使所述应用服务器将所述认证向量中的认证挑战发送给所述用户设备以生成对应所述认证挑战的所述第一信任状;
[0116] 当所述应用服务器接收到所述用户设备发送的第二登录请求时,接收所述应用服务器的第二信任状获取请求,所述第二信任状获取请求包括所述用户设备的标识;
[0117] 根据所述认证向量,采用与生成所述第一信任状相同的算法生成所述第二信任状,以使所述应用服务器根据所述第二信任状,对所述用户用户进行验证。
[0118] 在第一种可能的实现方式中,所述处理器执行所述接收应用服务器发送的认证向量获取请求的步骤之后,以及执行所述将从家庭注册用户服务器HSS或归属位置寄存器HLR获取的对应所述标识的认证向量发送给所述应用服务器的步骤之前,还执行如下步骤:
[0119] 将所述标识和所述应用服务器的信息发送给所述HSS或HLR,以使得所述HSS或HLR检查所述用户设备是否允许接入所述应用服务器。
[0120] 结合第九方面,在第二种可能的实现方式中,所述处理器执行所述根据所述认证向量,采用与生成所述第一信任状相同的算法生成所述第二信任状的步骤之后,还执行如下步骤:
[0121] 对应所述标识,存储所述第二信任状。
[0122] 结合第九方面或第九方面的第一种可能的实现方式或第九方面的第二种可能的实现方式,在第三种可能的实现方式中,所述处理器还执行如下步骤:
[0123] 将所述标识转换为所述用户设备的国际移动识别号IMSI。
[0124] 第十方面,提供了一种用户设备,包括输入装置、输出装置、存储器和处理器;
[0125] 其中,所述处理器执行如下步骤:
[0126] 当向应用服务器发送第一登录请求时,所述第一登录请求携带用户设备的标识,若在所述登录请求携带没有有效的第一信任状的指示,则接收所述应用服务器发送的对应所述标识的认证挑战;
[0127] 根据所述认证挑战,生成所述第一信任状;
[0128] 向所述应用服务器发送第二登录请求,所述第二登录请求是根据所述标识和所述第一信任状生成的,以使所述应用服务器根据对应所述标识的第二信任状,对所述用户设备进行验证;
[0129] 其中,所述第二信任状是采用与生成所述第一信任状相同的方式生成的。
[0130] 在第一种可能的实现方式中,所述处理器执行所述根据所述认证挑战,生成所述第一信任状的步骤,包括:
[0131] 根据所述认证挑战,获取对应所述认证挑战的认证响应;
[0132] 根据所述认证挑战和所述认证响应,采用与生成所述第二信任状相同的算法生成所述第一信任状。
[0133] 结合第十方面或第十方面的第一种可能的实现方式,在第二种可能的实现方式中,所述处理器还执行如下步骤:
[0134] 向所述应用服务器发送第三登录请求,所述第三登录请求是根据所述标识和所述第一信任状生成的,所述标识为临时标识或永久标识,所述永久标识为根据所述用户设备的国际移动识别号IMSI或移动注册用户国际综合业务数字网号MSISDN生成的;
[0135] 接收所述应用服务器发送的对所述用户设备的验证结果。
[0136] 第十一方面,提供了一种认证系统,包括第八方面或第八方面的第一种可能的实现方式或第八方面的第二种可能的实现方式或第八方面的第三种可能的实现方式或第八方面的第四种可能的实现方式或第八方面的第五种可能的实现方式或第八方面的第六种可能的实现方式所述的应用服务器、第九方面或第九方面的第一种可能的实现方式或第九方面的第二种可能的实现方式或第九方面的第三种可能的实现方式所述的认证功能设备AF、家庭注册用户服务器HSS或归属位置寄存器HLR和第十方面或第十方面的第一种可能的实现方式或第十方面的第二种可能的实现方式所述的用户设备。
[0137] 采用本发明的认证方法、生成信任状的方法及相关装置的技术方案,可以简化用户设备登录应用服务器的流程。
附图说明
[0138] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0139] 图1为现有技术中的通用自引导架构GBA示意图;
[0140] 图2为本发明一种认证方法的一个实施例的流程图;
[0141] 图3为对图2所示的本发明一种认证方法的一个实施例的进一步细化的流程图;
[0142] 图4为本发明一种认证方法的另一个实施例的流程图;
[0143] 图5为对图4所示的本发明一种认证方法的另一个实施例的进一步细化的流程图;
[0144] 图6为本发明一种生成信任状的方法的一个实施例的流程图;
[0145] 图7为对图6所示的生成信任状的方法的实施例的进一步细化的另一个实施例的流程图;
[0146] 图8为本发明一种应用服务器的一个实施例的结构示意图;
[0147] 图9为对图8所示的本发明一种应用服务器的一个实施例的进一步细化的结构示意图;
[0148] 图10为本发明一种用户设备的一个实施例的结构示意图;
[0149] 图11为对图10所示的本发明一种用户设备的一个实施例的进一步细化的结构示意图;
[0150] 图12为本发明一种认证功能装置AF的一个实施例的结构示意图;
[0151] 图13为对图12所示的认证功能装置AF的一个实施例的进一步细化的结构示意图;
[0152] 图14为本发明一种认证系统的一个实施例的结构示意图;
[0153] 图15为本发明提供的一种应用服务器的另一个实施例的结构示意图;
[0154] 图16为本发明提供的一种认证功能设备AF的另一个实施例的结构示意图;
[0155] 图17为本发明提供的一种用户设备的另一个实施例的结构示意图。
具体实施方式
[0156] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0157] 本发明以下实施例的位于终端侧的用户设备为具有通用集成电路卡(Universal Integrated Circuit Card,UICC)或全球用户识别模块(Universal Subscriber Identity Module,USIM)的设备,其上安装有应用客户端软件,其应用客户端软件可以通过认证应用程序接口(Authentication Application Programming Interface,AAPI)与该用户设备上的UICC或USIM进行通信。
[0158] 本发明以下实施例的位于网络侧的认证系统可包括应用服务器、认证功能模块(Authentication Function,AF)和家庭用户注册服务器/家庭位置注册器(Home Subscriber Server/Home Location Register,HSS/HLR),应用服务器接收用户设备上的应用客户端的登录请求,运营商在给用户发放UICC/USIM卡时,在HSS和UICC/USIM卡中存储相同的密钥。
[0159] 图2为本发明一种认证方法的一个实施例的流程图。如图2所示,该方法包括以下步骤:
[0160] 步骤S101,当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则根据所述登录请求携带的用户设备的标识,发送对应所述标识的认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状。
[0161] 通过用户设备上的应用客户端向应用服务器发送登录请求,该登录请求是根据用户设备的标识和第一信任状生成的。如果一个用户设备是首次登录一个应用服务器,该用户设备里可能没有存储进行登录验证的信任状,在登录请求中会携带指示,该指示说明没有有效的第一信任状,该指示可以是一个标识,因此,当接收到用户设备的登录请求时,首先查找该登录请求是否有该指示的标识。若该用户设备没有有效的第一信任状,则获取对应该用户设备标识的认证挑战,并将该认证挑战发送给用户设备,以使该用户设备根据该认证挑战生成相应的第一信任状。在此,用户设备的标识可以是用户设备的UICC卡/USIM卡的标识。对应该标识的认证挑战是唯一的。
[0162] 步骤S102,接收所述用户设备发送的第二登录请求,所述第二登录请求是所述用户设备根据所述标识和所述第一信任状生成的。
[0163] 重新接收用户设备发送的登录请求,该登录请求是根据用户设备的标识和第一信任状生成的。该第一信任状是用户设备根据接收到的认证挑战生成的。
[0164] 步骤S103,根据对应所述标识的第二信任状,对所述用户设备进行验证;其中,所述第二信任状是采用与生成所述第一信任状相同的方式生成的。
[0165] 应用服务器获取了对应该标识的认证挑战,也可以根据该认证挑战采用与生成第一信任状的相同的方式生成第二信任状,根据该第二信任状和第一信任状,对该用户设备进行验证。
[0166] 根据本发明实施例提供的认证方法,用户设备和应用服务器通过双方的交互而无需通过第三方就可完成认证,简化了用户设备和应用服务器的认证流程。
[0167] 图3为对图2所示的本发明一种认证方法的一个实施例的进一步细化的流程图。如图3所示,该方法包括以下步骤:
[0168] 步骤S201,接收用户设备的第一登录请求。
[0169] 步骤S202,查找所述第一登录请求是否携带没有有效的第一信任状的指示;如果是,则转至步骤S203;否则,转至步骤S208。
[0170] 通过用户设备上的应用客户端向应用服务器发送登录请求,该登录请求是根据用户设备的标识和第一信任状生成的。如果一个用户设备是首次登录一个应用服务器,该用户设备里可能没有存储进行登录验证的信任状,在登录请求中会携带指示,该指示说明没有有效的第一信任状,该指示可以是一个标识,因此,当接收到用户设备的登录请求时,首先查找该登录请求是否有该指示的标识。若没有该指示,则表明能根据该登录请求获得第一信任状,可以继续下面的认证流程;若存在该指示,则转至步骤S203。
[0171] 在此,用户设备的标识可以是用户设备的UICC/USIM卡的身份标识。该标识可以是UICC/USIM卡的临时身份标识TID,也可以是其永久身份标识PID,PID是基于UICC/USIM卡的IMSI或MSISDN生成的,例如,可以通过以下方法生成IMSI:PID=MSISDN@pid.ottserver.operator.com;TID是为了隐藏PID中包含的MSISDN这样的敏感信息而设置的,用来减少PID的使用次数,例如可以通过以下方法生成TID:TID=SHA-256(RES)@tid.ottserver.operator.com,其中RES为UICC/USIM卡的认证响应中的部分。
[0172] 步骤S203,将所述第一登录请求携带的标识转换为所述用户设备的国际移动识别号IMSI。
[0173] 由于在该登录请求中根据标识查找不到对应的信任状,所以需要应用服务器与AF、HSS通信,获取认证挑战,而HSS只能识别IMSI,因此,需要将该标识转换为IMSI。在应用服务器中可以存储标识与IMSI之间的映射关系,根据该映射关系可以简单的完成标识到IMSI的转换,或根据上述PID的生成方法反推MSISDN或IMSI。
[0174] 转换也可以放在AF上完成。这样应用服务器只需要将收到的用户设备标识发送给AF,由AF完成用户设备标识到IMSI的转换。
[0175] 步骤S204,将所述IMSI发送给认证功能装置AF,以使所述AF将所述IMSI发送给家庭注册用户服务器HSS或归属位置寄存器HLR,并从所述HSS或HLR获取所述HSS或HLR根据所述IMSI生成的相应的认证向量,所述认证向量包括认证挑战和认证响应。
[0176] 若应用服务器完成转换,则应用服务器将根据标识转换的IMSI发送给AF,AF将IMSI发送给HSS,HSS根据该IMSI查找到HSS之前与UICC/USIM卡约定的密钥,根据该密钥生成相应的认证向量。若使用UICC中的用户识别模块(Subscriber Identity Module,SIM),其认证向量包括{RAND,RES,Kc};若使用USIM,其认证向量包括{RAND、AUTN、RES、CK、IK}。HSS将该认证向量发送给AF。
[0177] 若AF完成转换,则AF根据接收到的所述用户设备的标识得到IMSI。AF上可以保存用户设备标识和IMSI之间的映射关系,根据该映射关系可以简单的完成标识到IMSI的转换,或根据上述PID的生成方法反推MSISDN,进而找到IMSI。
[0178] 进一步的,AF可能将应用服务器的信息也发送HSS,HSS可以通过检查IMSI对应的签约信息判断用户设备是否签约了对应的业务。如果IMSI对应的用户设备没有签约访问该应用服务器,则AF将HSS返回的错误指示发送给应用服务器。
[0179] 步骤S205,从所述AF获取所述认证挑战。
[0180] AF发送认证挑战给应用服务器。若用户为SIM用户,则认证挑战为RAND;若用户为USIM用户,则认证挑战为{RAND,AUTN}。
[0181] 步骤S206,发送对应所述标识的认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状。
[0182] 将获取的认证挑战发送给该用户设备。
[0183] 步骤S207,接收所述用户设备发送的第二登录请求,所述第二登录请求是所述用户设备根据所述标识和所述第一信任状生成的。
[0184] 重新接收所述用户设备发送的登录请求,该登录请求是用户设备根据标识和生成的第一信任状生成的,该第一信任状是根据认证挑战生成的。
[0185] 步骤S208,根据所述标识,查找本地是否存储有第二信任状;如果是,则转至步骤S209;否则,转至步骤S210。
[0186] 步骤S209,从本地获取所述第二信任状。
[0187] 步骤S210,从认证功能装置AF获取所述第二信任状,所述第二信任状是由所述AF根据所述标识从所述HSS或HLR获取的相应的认证向量、采用与生成所述第一信任状相同的算法生成的。
[0188] 步骤S208至步骤S210为根据该标识,获取对应该标识的第二信任状。
[0189] 如果用户设备之前登录过该应用服务器,应用服务器可能在本地存储了对应该标识的第二信任状,因此,根据该标识,就可以查找到本地存储的第二信任状,该第二信任状是由AF根据从HSS获取的该标识对应的认证向量,采用与生成第一信任状相同的算法生成的。如果本地没有存储第二信任状,由于在步骤S205中AF已经获取了对应该标识的认证向量,所以,根据该认证向量,采用与生成第一信任状相同的算法生成第二信任状即可。向AF发送第二信任状的获取请求,接收AF生成的第二信任状。
[0190] 例如,AF根据认证向量(RAND、AUTN、RES、CK、IK)计算第二信任状的方法是:Credential=KDF(CK||IK,“name of OTT server”)。
[0191] 步骤S211,根据所述第二信任状,对所述用户设备进行验证。
[0192] 由于生成的第二信任状和用户设备发送的第一信任状是一致的,因此可以通过该用户设备的验证。
[0193] 根据本发明实施例提供的认证方法,用户设备和应用服务器通过双方的交互而无需通过第三方就可完成认证,简化了用户设备和应用服务器的认证流程。
[0194] 图4为本发明一种认证方法的另一个实施例的流程图。如图4所示,该方法包括以下步骤:
[0195] 步骤S301,当向应用服务器发送第一登录请求时,所述第一登录请求携带用户设备的标识,若在所述登录请求携带没有有效的第一信任状的指示,则接收所述应用服务器发送的对应所述标识的认证挑战。
[0196] 通过用户设备上的应用客户端向应用服务器发送登录请求,该登录请求是根据用户设备的标识和第一信任状生成的。如果一个用户设备是首次登录一个应用服务器,该用户设备里可能没有存储进行登录验证的信任状,在登录请求中会携带指示,该指示说明没有有效的第一信任状,该指示可以是一个标识,因此,当接收到用户设备的登录请求时,首先查找该登录请求是否有该指示的标识。若该用户设备没有有效的第一信任状,则应用服务器获取对应该用户设备标识的认证挑战,并将该认证挑战发送给用户设备,该用户设备接收应用服务器发送的认证挑战。在此,用户设备的标识可以是用户设备的UICC卡/USIM卡的标识。对应该标识的认证挑战是唯一的。
[0197] 步骤S302,根据所述认证挑战,生成所述第一信任状。
[0198] 根据接收到的认证挑战,用户设备可以查找到其上的UICC/USIM卡的相应信息,采用设定的算法生成第一信任状。
[0199] 步骤S303,向所述应用服务器发送第二登录请求,所述第二登录请求是根据所述标识和所述第一信任状生成的,以使所述应用服务器根据对应所述标识的第二信任状,对所述用户设备进行验证;其中,所述第二信任状是采用与生成所述第一信任状相同的方式生成的。
[0200] 再次向应用服务器发送登录请求,该登录请求是根据标识和生成的第一信任状生成的,而应用服务器获取了对应该标识的认证挑战,也可以根据该认证挑战采用与生成第一信任状相同的方式生成第二信任状,根据第二信任状和第一信任状,对该用户设备进行验证。
[0201] 根据本发明实施例提供的认证方法,用户设备和应用服务器通过双方的交互而无需通过第三方就可完成认证,简化了用户设备和应用服务器的认证流程。
[0202] 图5为对图4所示的本发明一种认证方法的另一个实施例的进一步细化的流程图。如图5所示,该方法包括以下步骤:
[0203] 步骤S401,当向应用服务器发送第一登录请求时,所述第一登录请求携带用户设备的标识,若在所述登录请求携带没有有效的第一信任状的指示,则接收所述应用服务器发送的对应所述标识的认证挑战。
[0204] 通过用户设备上的应用客户端向应用服务器发送登录请求,该登录请求是根据用户设备的标识和第一信任状生成的。如果一个用户设备是首次登录一个应用服务器,该用户设备里可能没有存储进行登录验证的信任状,在登录请求中会携带指示,该指示说明没有有效的第一信任状,该指示可以是一个标识,因此,当接收到用户设备的登录请求时,首先查找该登录请求是否有该指示的标识。若该用户设备没有有效的第一信任状,则获取对应该用户设备标识的认证挑战,并将该认证挑战发送给用户设备,以使该用户设备根据该认证挑战生成相应的第一信任状。
[0205] 在此,用户设备的标识可以是用户设备的UICC卡/USIM卡的标识。对应该标识的认证挑战是唯一的。该标识可以是UICC/USIM卡的临时身份标识TID,也可以是其永久身份标识PID,PID是基于UICC/USIM卡的IMSI或MSISDN生成的,例如,可以通过以下方法生成PID:PID=MSISDN@pid.ottserver.operator.com;TID是为了隐藏PID中包含的MSISDN这样的敏感信息而设置的,用来减少PID的使用次数,例如可以通过以下方法生成TID:TID=SHA-256(RES)@tid.ottserver.operator.com,其中RES为UICC/USIM卡的认证响应中的部分。
[0206] 由于在该登录请求中根据标识查找不到对应的信任状,所以需要应用服务器与AF、HSS通信,获取认证挑战,而AF和HSS只能识别IMSI,因此,需要将该标识转换为IMSI。在应用服务器中可以存储标识与IMSI之间的映射关系,根据该映射关系可以简单的完成标识到IMSI的转换,或根据上述PID的生成方法反推MSISDN或IMSI。
[0207] 应用服务器将根据标识转换的IMSI发送给AF,AF将IMSI发送给HSS,HSS根据该IMSI查找到HSS之前与UICC/USIM卡约定的密钥,根据该密钥生成相应的认证向量。若使用UICC中的用户识别模块(Subscriber Identity Module,SIM),其认证向量包括认证挑战RAND和认证响应(RES、Kc);若使用USIM,其认证向量包括认证挑战(RAND、AUTN)和认证响应(RES、CK、IK)。HSS将该认证向量发送给AF。
[0208] 进一步的,AF可能将应用服务器的信息也发送HSS,HSS可以通过检查IMSI对应的签约信息判断用户设备是否签约了对应的业务。如果IMSI对应的用户设备没有签约访问该应用服务器,则HSS返回相应的错误指示给应用服务器。
[0209] 应用服务器从AF获取的认证向量中获得认证挑战。用户设备接收应用服务器发送的该认证挑战。
[0210] 若在登录请求中能根据标识查找到对应的第一信任状,应用服务器根据该标识查找是否存在对应该标识的第二信任状,若存在,且第一信任状与第二信任状一致,则接收应用服务器发送的验证成功的结果;若不存在,则接收应用服务器发送的验证失败的结果。
[0211] 步骤S402,根据所述认证挑战,获取对应所述认证挑战的认证响应。
[0212] 步骤S403,根据所述认证挑战和所述认证响应,采用与生成所述第二信任状相同的算法生成所述第一信任状。
[0213] 用户设备中的应用客户端接收到该认证挑战例如(RAND、AUTN)后,将其发送给AAPI,AAPI将其发送给USIM,USIM查找到之前与HSS约定的密钥,生成认证响应例如(RES、CK、IK),AAPI根据该认证向量(RAND、AUTN、RES、CK、IK),采用设定算法生成第一信任状,例如Credential=KDF(CK||IK,“name of OTT server”)。
[0214] 步骤S404,向所述应用服务器发送第二登录请求,所述第二登录请求是根据所述标识和所述第一信任状生成的,以使所述应用服务器根据对应所述标识的第二信任状,对所述用户设备进行验证。
[0215] 再次向应用服务器发送登录请求,该登录请求是根据标识和生成的第一信任状生成的,而应用服务器获取了对应该标识的认证向量,也可以根据该认证向量采用与生成第一信任状相同的算法生成第二信任状,根据第二信任状和第一信任状,对该用户设备进行验证。
[0216] 根据本发明实施例提供的认证方法,用户设备和应用服务器通过双方的交互而无需通过第三方就可完成认证,简化了用户设备和应用服务器的认证流程,减少了用户设备的接入时延。
[0217] 图6为本发明一种生成信任状的方法的一个实施例的流程图。如图5所示,该方法包括以下步骤:
[0218] 步骤S501,当应用服务器查找到用户设备发送的登录请求中没有有效的第一信任状的指示时,接收应用服务器发送的认证向量获取请求,所述认证向量获取请求包括所述用户设备的标识。
[0219] 通过用户设备上的应用客户端向应用服务器发送登录请求,该登录请求是根据用户设备的标识和第一信任状生成的。如果一个用户设备是首次登录一个应用服务器,该用户设备里可能没有存储进行登录验证的信任状,在登录请求中会携带指示,该指示说明没有有效的第一信任状,该指示可以是一个标识,因此,当接收到用户设备的登录请求时,首先查找该登录请求是否有该指示的标识。若该用户设备没有有效的第一信任状,则应用服务器会发送认证向量获取请求,接收该请求,该请求中携带用户设备的标识。在此,用户设备的标识可以是用户设备的UICC卡/USIM卡的标识。
[0220] 步骤S502,将从家庭注册用户服务器HSS或归属位置寄存器HLR获取的对应所述标识的认证向量发送给所述应用服务器,以使所述应用服务器将所述认证向量中的认证挑战发送给所述用户设备以生成对应所述认证挑战的所述第一信任状。
[0221] 在发放UICC/USIM卡时,在HSS或HLR和UICC/USIM卡里对应该标识存储了相同的密钥。HSS或HLR根据该标识查找到相应的密钥,可以生成相应的认证向量,根据该标识从HSS或HLR中获取该认证向量,将该认证向量发送给应用服务器并存储该认证向量,使应用服务器将该认证向量中的认证挑战发送给用户设备,以使该用户设备根据该认证挑战生成相应的第一信任状。其中,认证向量包括认证挑战和认证响应。
[0222] 步骤S503,当所述应用服务器接收到所述用户设备发送的第二登录请求时,接收所述应用服务器的第二信任状获取请求,所述第二信任状获取请求包括所述用户设备的标识。
[0223] 应用服务器接收到用户设备再次发送的登录请求时,该登录请求是用户设备根据标识和第一信任状生成的,应用服务器获取其中的第一信任状后,会发送第二信任状的获取请求。接收应用服务器的第二信任状获取请求,该请求中包括用户设备的标识。
[0224] 步骤S504,根据所述认证向量,采用与生成所述第一信任状相同的算法生成所述第二信任状,以使所述应用服务器根据所述第二信任状,对所述用户设备进行验证。
[0225] 根据步骤S502中获取的认证向量,采用与生成第一信任状的相同的算法生成第二信任状,将该第二信任状发送给应用服务器,以使应用服务器根据该第二信任状对用户设备进行验证。
[0226] 根据本发明实施例提供的生成信任状的方法,在应用服务器对用户设备的认证过程中,为应用服务器生成进行验证的信任状,无需用户设备和应用服务器通过和第三方的交互来进行认证,简化了该认证过程。
[0227] 图7为对图6所示的生成信任状的方法的实施例的进一步细化的另一个实施例的流程图。如图6所示,该方法包括以下步骤:
[0228] 步骤S601,当应用服务器查找到用户设备发送的登录请求中没有有效的第一信任状的指示时,接收应用服务器发送的认证向量获取请求,所述认证向量获取请求包括所述用户设备的标识。
[0229] 步骤S601与前述实施例的步骤S501相同,在此不再赘述。
[0230] 步骤S602,将所述标识转换为所述用户设备的国际移动识别号IMSI。
[0231] 由于HSS或HLR只能识别用户设备的IMSI,用户设备的UICC/USIM卡具有唯一的IMSI,因此,需要先将从登录请求中获取的标识转换为IMSI。
[0232] 步骤S603,将所述IMSI和所述应用服务器的信息发送给所述HSS或HLR,以使所述HSS或HLR查找对应所述IMSI的所述用户设备是否与所述应用服务器存在签约信息,若查找的结果为是,则转至步骤S605;否则,转至步骤S604。
[0233] 步骤S604,将所述HSS或HLR返回的错误指示发送给所述应用服务器。
[0234] 步骤S605,将从家庭注册用户服务器HSS或归属位置寄存器HLR获取的对应所述IMSI的认证向量发送给所述应用服务器,以使所述应用服务器将所述认证向量中的认证挑战发送给所述用户设备以生成对应所述认证挑战的所述第一信任状。
[0235] HSS或HLR中不仅存储了与UICC/USIM卡约定的密钥,还根据UICC/USIM卡的标识,存储了该卡即插有该卡的用户设备是否与某应用服务器存在签约的信息。根据用户设备的IMSI和应用服务器的信息如应用服务器的标识NAF_ID,可以查找到是否存在相应的签约信息,如果不存在,则HSS或HLR返回错误指示。收到将该错误指示后,将该错误指示发送给应用服务器,结束该认证流程。如果存在相应的签约信息,则HSS或HLR根据IMSI找到相应的密钥,根据该密钥生成认证向量,该认证向量包括认证挑战和认证响应。将从HSS或HLR获取的认证向量发送给应用服务器,以使应用服务器将认证向量中的认证挑战发送给用户设备,用户设备根据该认证挑战从UICC/USIM卡获取相应的认证响应,生成第一信任状。
[0236] 步骤S606,当所述应用服务器接收到所述用户设备发送的第二登录请求时,接收所述应用服务器的第二信任状获取请求,所述第二信任状获取请求包括所述用户设备的标识。
[0237] 步骤S607,根据所述认证向量,采用与生成所述第一信任状相同的算法生成所述第二信任状,以使所述应用服务器根据所述第二信任状,对所述用户用户进行验证。
[0238] 步骤S606和S607分别与前述实施例的步骤S503和S504相同,在此不再赘述。
[0239] 根据本发明实施例提供的生成信任状的方法,在应用服务器对用户设备的认证过程中,为应用服务器生成进行验证的信任状,无需用户设备和应用服务器通过和第三方的交互来进行认证,简化了该认证过程;且能根据HSS/HLR中存储的用户设备与应用服务器的签约信息,帮助应用服务器进行验证。
[0240] 图8为本发明一种应用服务器的一个实施例的结构示意图。如图8所示,该应用服务器1000包括:
[0241] 第一发送单元11,用于当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则根据所述登录请求携带的用户设备的标识,发送对应所述标识的认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状。
[0242] 通过用户设备上的应用客户端向应用服务器发送登录请求,该登录请求是根据用户设备的标识和第一信任状生成的。如果一个用户设备是首次登录一个应用服务器,该用户设备里可能没有存储进行登录验证的信任状,在登录请求中会携带指示,该指示说明没有有效的第一信任状,该指示可以是一个标识,因此,当接收到用户设备的登录请求时,首先查找该登录请求是否有该指示的标识。若该用户设备没有有效的第一信任状,则获取对应该用户设备标识的认证挑战,并将该认证挑战发送给用户设备,以使该用户设备根据该认证挑战生成相应的第一信任状。在此,用户设备的标识可以是用户设备的UICC卡/USIM卡的标识。对应该标识的认证挑战是唯一的。
[0243] 第一接收单元12,用于接收所述用户设备发送的第二登录请求,所述第二登录请求是所述用户设备根据所述标识和所述第一信任状生成的。
[0244] 重新接收用户设备发送的登录请求,该登录请求是根据用户设备的标识和第一信任状生成的。该第一信任状是用户设备根据接收到的认证挑战生成的。
[0245] 第一验证单元13,用于根据对应所述标识的第二信任状,对所述用户设备进行验证;其中,所述第二信任状是采用与生成所述第一信任状相同的方式生成的。
[0246] 应用服务器获取了对应该标识的认证挑战,也可以根据该认证挑战采用与生成第一信任状的相同的方式生成第二信任状,根据该第二信任状和第一信任状,对该用户设备进行验证。
[0247] 根据本发明实施例提供的应用服务器,用户设备和该应用服务器通过双方的交互而无需通过第三方就可完成认证,简化了用户设备和应用服务器的认证流程。
[0248] 图9为对图8所示的本发明一种应用服务器的一个实施例的进一步细化的结构示意图。如图9所示,该应用服务器2000包括:
[0249] 第一转换单元21,用于当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则将所述标识转换为所述用户设备的国际移动识别号IMSI。
[0250] 由于在该登录请求中根据标识查找不到对应的信任状,所以需要应用服务器与AF、HSS通信,获取认证挑战,而HSS只能识别IMSI,因此,需要将该标识转换为IMSI。在应用服务器中可以存储标识与IMSI之间的映射关系,根据该映射关系可以简单的完成标识到IMSI的转换,或根据上述PID的生成方法反推MSISDN或IMSI。
[0251] 转换也可以放在AF上完成。这样应用服务器只需要将收到的用户设备标识发送给AF,由AF完成用户设备标识到IMSI的转换。
[0252] 第四发送单元22,用于将所述IMSI发送给认证功能装置AF,以使所述AF将应用服务器的信息和所述IMSI发送给家庭用户注册服务器HSS或归属位置寄存器HLR,以使得所述HSS或HLR检查所述用户设备是否允许接入所述应用服务器。第一发送单元23,用于当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则根据所述登录请求携带的用户设备的标识,发送对应所述标识的认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状。
[0253] 在本实施例中,第一发送单元23包括第二发送单元231、第一获取单元232和第三发送单元233。
[0254] 第二发送单元231,用于当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则将所述标识发送给认证功能装置AF,以使所述AF将所述标识发送给家庭注册用户服务器HSS或归属位置寄存器HLR,并从所述HSS或HLR获取所述HSS或HLR根据所述标识生成的相应的认证向量,所述认证向量包括认证挑战和认证响应。
[0255] 若应用服务器完成转换,则应用服务器将根据标识转换的IMSI发送给AF,AF将IMSI发送给HSS,HSS根据该IMSI查找到HSS之前与UICC/USIM卡约定的密钥,根据该密钥生成相应的认证向量。若使用UICC中的用户识别模块(Subscriber Identity Module,SIM),其认证向量包括{RAND,RES,Kc};若使用USIM,其认证向量包括{RAND、AUTN、RES、CK、IK}。HSS将该认证向量发送给AF。
[0256] 若AF完成转换,则AF根据接收到的所述用户设备的标识得到IMSI。AF上可以保存用户设备标识和IMSI之间的映射关系,根据该映射关系可以简单的完成标识到IMSI的转换,或根据上述PID的生成方法反推MSISDN,进而找到IMSI。
[0257] 进一步的,AF可能将应用服务器的信息也发送HSS,HSS可以通过检查IMSI对应的签约信息判断用户设备是否签约了对应的业务。如果IMSI对应的用户设备没有签约访问该应用服务器,则AF将HSS返回的错误指示发送给应用服务器。
[0258] 第一获取单元232,用于从所述AF获取所述认证挑战。
[0259] AF发送认证挑战给应用服务器。若用户为SIM用户,则认证挑战为RAND;若用户为USIM用户,则认证挑战为{RAND,AUTN}。
[0260] 第三发送单元233,用于发送所述认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状。
[0261] 将获取的认证挑战发送给该用户设备。
[0262] 通过用户设备上的应用客户端向应用服务器发送登录请求,该登录请求是根据用户设备的标识和第一信任状生成的。如果一个用户设备是首次登录一个应用服务器,该用户设备里可能没有存储进行登录验证的信任状,在登录请求中会携带指示,该指示说明没有有效的第一信任状,该指示可以是一个标识,因此,当接收到用户设备的登录请求时,首先查找该登录请求是否有该指示的标识。
[0263] 在此,用户设备的标识可以是用户设备的UICC/USIM卡的身份标识。该标识可以是UICC/USIM卡的临时身份标识TID,也可以是其永久身份标识PID,PID是基于UICC/USIM卡的IMSI或MSISDN生成的,例如,可以通过以下方法生成IMSI:PID=MSISDN@pid.ottserver.operator.com;TID是为了隐藏PID中包含的MSISDN这样的敏感信息而设置的,用来减少PID的使用次数,例如可以通过以下方法生成TID:TID=SHA-256(RES)@tid.ottserver.operator.com,其中RES为UICC/USIM卡的认证响应中的部分。
[0264] 第一接收单元24,用于接收所述用户设备发送的第二登录请求,所述第二登录请求是所述用户设备根据所述标识和所述第一信任状生成的。
[0265] 重新接收所述用户设备发送的登录请求,该登录请求是用户设备根据标识和生成的第一信任状生成的,该第一信任状是根据认证挑战生成的。
[0266] 第二获取单元25,用于根据所述标识,获取对应所述标识的所述第二信任状。
[0267] 第二获取单元25还用于当接收到用户设备的登录请求时,若根据所述标识查找到所述第一信任状,则根据所述标识,获取对应所述标识的所述第二信任状。
[0268] 在本发明实施例中,第二获取单元25包括第一查找单元251、第三获取单元252和第四获取单元253。
[0269] 第一查找单元251,用于根据所述标识,查找本地是否存储有所述第二信任状。
[0270] 如果用户设备之前登录过该应用服务器,应用服务器可能在本地存储了对应该标识的第二信任状,因此,根据该标识,就可以查找到本地存储的第二信任状,该第二信任状是由AF根据从HSS获取的该标识对应的认证向量,采用与生成第一信任状相同的算法生成的。如果本地没有存储第二信任状,由于在步骤S205中AF已经获取了对应该标识的认证向量,所以,根据该认证向量,采用与生成第一信任状相同的算法生成第二信任状即可。向AF发送第二信任状的获取请求,接收AF生成的第二信任状。
[0271] 例如,AF根据认证向量(RAND、AUTN、RES、CK、IK)计算第二信任状的方法是:Credential=KDF(CK||IK,“name of OTT server”)。
[0272] 第三获取单元252,用于若查找的结果为是,则从本地获取所述第二信任状。
[0273] 第四获取单元253,用于若查找的结果为否,则从认证功能装置AF获取所述第二信任状,所述第二信任状是由所述AF根据所述标识从家庭用户注册服务器HSS或归属位置寄存器HLR获取的相应的认证向量、采用与生成所述第一信任状相同的算法生成的。
[0274] 第一验证单元26,用于根据对应所述标识的第二信任状,对所述用户设备进行验证;其中,所述第二信任状是采用与生成所述第一信任状相同的方式生成的。
[0275] 由于生成的第二信任状和用户设备发送的第一信任状是一致的,因此可以通过该用户设备的验证。
[0276] 根据本发明实施例提供的应用服务器,用户设备和该应用服务器通过双方的交互而无需通过第三方就可完成认证,简化了用户设备和应用服务器的认证流程。
[0277] 图10为本发明一种用户设备的一个实施例的结构示意图。如图10所示,该用户设备3000:
[0278] 第四接收单元31,用于当向应用服务器发送第一登录请求时,所述第一登录请求携带用户设备的标识,若在所述登录请求携带没有有效的第一信任状的指示,则接收所述应用服务器发送的对应所述标识的认证挑战。
[0279] 通过用户设备上的应用客户端向应用服务器发送登录请求,该登录请求是根据用户设备的标识和第一信任状生成的。如果一个用户设备是首次登录一个应用服务器,该用户设备里可能没有存储进行登录验证的信任状,在登录请求中会携带指示,该指示说明没有有效的第一信任状,该指示可以是一个标识,因此,当接收到用户设备的登录请求时,首先查找该登录请求是否有该指示的标识。若该用户设备没有有效的第一信任状,则应用服务器获取对应该用户设备标识的认证挑战,并将该认证挑战发送给用户设备,该用户设备接收应用服务器发送的认证挑战。在此,用户设备的标识可以是用户设备的UICC卡/USIM卡的标识。对应该标识的认证挑战是唯一的。
[0280] 第二生成单元32,用于根据所述认证挑战,生成所述第一信任状。
[0281] 根据接收到的认证挑战,用户设备可以查找到其上的UICC/USIM卡的相应信息,采用设定的算法生成第一信任状。
[0282] 第七发送单元33,用于向所述应用服务器发送第二登录请求,所述第二登录请求是根据所述标识和所述第一信任状生成的,以使所述应用服务器根据对应所述标识的第二信任状,对所述用户设备进行验证;其中,所述第二信任状是采用与生成所述第一信任状相同的方式生成的。
[0283] 再次向应用服务器发送登录请求,该登录请求是根据标识和生成的第一信任状生成的,而应用服务器获取了对应该标识的认证挑战,也可以根据该认证挑战采用与生成第一信任状相同的方式生成第二信任状,根据第二信任状和第一信任状,对该用户设备进行验证。
[0284] 根据本发明实施例提供的用户设备,该用户设备和应用服务器通过双方的交互而无需通过第三方就可完成认证,简化了用户设备和应用服务器的认证流程。
[0285] 图11为对图10所示的本发明一种用户设备的一个实施例的进一步细化的结构示意图。如图11所示,该用户设备4000:
[0286] 第四接收单元41,用于当向应用服务器发送第一登录请求时,所述第一登录请求携带用户设备的标识,若在所述登录请求携带没有有效的第一信任状的指示,则接收所述应用服务器发送的对应所述标识的认证挑战。
[0287] 通过用户设备上的应用客户端向应用服务器发送登录请求,该登录请求是根据用户设备的标识和第一信任状生成的。如果一个用户设备是首次登录一个应用服务器,该用户设备里可能没有存储进行登录验证的信任状,在登录请求中会携带指示,该指示说明没有有效的第一信任状,该指示可以是一个标识,因此,当接收到用户设备的登录请求时,首先查找该登录请求是否有该指示的标识。若该用户设备没有有效的第一信任状,则获取对应该用户设备标识的认证挑战,并将该认证挑战发送给用户设备,以使该用户设备根据该认证挑战生成相应的第一信任状。
[0288] 在此,用户设备的标识可以是用户设备的UICC卡/USIM卡的标识。对应该标识的认证挑战是唯一的。该标识可以是UICC/USIM卡的临时身份标识TID,也可以是其永久身份标识PID,PID是基于UICC/USIM卡的IMSI或MSISDN生成的,例如,可以通过以下方法生成PID:PID=MSISDN@pid.ottserver.operator.com;TID是为了隐藏PID中包含的MSISDN这样的敏感信息而设置的,用来减少PID的使用次数,例如可以通过以下方法生成TID:TID=SHA-256(RES)@tid.ottserver.operator.com,其中RES为UICC/USIM卡的认证响应中的部分。
[0289] 由于在该登录请求中根据标识查找不到对应的信任状,所以需要应用服务器与AF、HSS通信,获取认证挑战,而AF和HSS只能识别IMSI,因此,需要将该标识转换为IMSI。在应用服务器中可以存储标识与IMSI之间的映射关系,根据该映射关系可以简单的完成标识到IMSI的转换,或根据上述PID的生成方法反推MSISDN或IMSI。
[0290] 应用服务器将根据标识转换的IMSI发送给AF,AF将IMSI发送给HSS,HSS根据该IMSI查找到HSS之前与UICC/USIM卡约定的密钥,根据该密钥生成相应的认证向量。若使用UICC中的用户识别模块(Subscriber Identity Module,SIM),其认证向量包括认证挑战RAND和认证响应(RES、Kc);若使用USIM,其认证向量包括认证挑战(RAND、AUTN)和认证响应(RES、CK、IK)。HSS将该认证向量发送给AF。
[0291] 进一步的,AF可能将应用服务器的信息也发送HSS,HSS可以通过检查IMSI对应的签约信息判断用户设备是否签约了对应的业务。如果IMSI对应的用户设备没有签约访问该应用服务器,则HSS返回相应的错误指示给应用服务器。
[0292] 应用服务器从AF获取的认证向量中获得认证挑战。用户设备接收应用服务器发送的该认证挑战。
[0293] 若在登录请求中能根据标识查找到对应的第一信任状,应用服务器根据该标识查找是否存在对应该标识的第二信任状,若存在,且第一信任状与第二信任状一致,则接收应用服务器发送的验证成功的结果;若不存在,则接收应用服务器发送的验证失败的结果。
[0294] 第二生成单元42,用于根据所述认证挑战,生成所述第一信任状。
[0295] 在本实施例中,第二生成单元42包括第五获取单元421和第三生成单元422。
[0296] 第五获取单元421,用于根据所述认证挑战,获取对应所述认证挑战的认证响应。
[0297] 第三生成单元422,用于根据所述认证挑战和所述认证响应,采用与生成所述第二信任状相同的算法生成所述第一信任状。
[0298] 用户设备中的应用客户端接收到该认证挑战例如(RAND、AUTN)后,将其发送给AAPI,AAPI将其发送给USIM,USIM查找到之前与HSS约定的密钥,生成认证响应例如(RES、CK、IK),AAPI根据该认证向量(RAND、AUTN、RES、CK、IK),采用设定算法生成第一信任状,例如Credential=KDF(CK||IK,“name of OTT server”)。
[0299] 第七发送单元43,用于向所述应用服务器发送第二登录请求,所述第二登录请求是根据所述标识和所述第一信任状生成的,以使所述应用服务器根据对应所述标识的第二信任状,对所述用户设备进行验证。
[0300] 再次向应用服务器发送登录请求,该登录请求是根据标识和生成的第一信任状生成的,而应用服务器获取了对应该标识的认证向量,也可以根据该认证向量采用与生成第一信任状相同的算法生成第二信任状,根据第二信任状和第一信任状,对该用户设备进行验证。
[0301] 根据本发明实施例提供的用户设备,该用户设备和应用服务器通过双方的交互而无需通过第三方就可完成认证,简化了用户设备和应用服务器的认证流程,减少了用户设备的接入时延。
[0302] 图12为本发明一种认证功能装置AF的一个实施例的结构示意图。如图12所示,该AF5000包括:
[0303] 第二接收单元51,用于当应用服务器查找到用户设备发送的登录请求中没有有效的第一信任状的指示时,接收应用服务器发送的认证向量获取请求,所述认证向量获取请求包括所述用户设备的标识。
[0304] 通过用户设备上的应用客户端向应用服务器发送登录请求,该登录请求是根据用户设备的标识和第一信任状生成的。如果一个用户设备是首次登录一个应用服务器,该用户设备里可能没有存储进行登录验证的信任状,在登录请求中会携带指示,该指示说明没有有效的第一信任状,该指示可以是一个标识,因此,当接收到用户设备的登录请求时,首先查找该登录请求是否有该指示的标识。若该用户设备没有有效的第一信任状,则应用服务器会发送认证向量获取请求,接收该请求,该请求中携带用户设备的标识。在此,用户设备的标识可以是用户设备的UICC卡/USIM卡的标识。
[0305] 第五发送单元52,用于将从家庭注册用户服务器HSS或归属位置寄存器HLR获取的对应所述标识的认证向量发送给所述应用服务器,以使所述应用服务器将所述认证向量中的认证挑战发送给所述用户设备以生成对应所述认证挑战的所述第一信任状。
[0306] 在发放UICC/USIM卡时,在HSS或HLR和UICC/USIM卡里对应该标识存储了相同的密钥。HSS或HLR根据该标识查找到相应的密钥,可以生成相应的认证向量,根据该标识从HSS或HLR中获取该认证向量,将该认证向量发送给应用服务器并存储该认证向量,使应用服务器将该认证向量中的认证挑战发送给用户设备,以使该用户设备根据该认证挑战生成相应的第一信任状。其中,认证向量包括认证挑战和认证响应。
[0307] 第三接收单元53,用于当所述应用服务器接收到所述用户设备发送的第二登录请求时,接收所述应用服务器的第二信任状获取请求,所述第二信任状获取请求包括所述用户设备的标识。
[0308] 应用服务器接收到用户设备再次发送的登录请求时,该登录请求是用户设备根据标识和第一信任状生成的,应用服务器获取其中的第一信任状后,会发送第二信任状的获取请求。接收应用服务器的第二信任状获取请求,该请求中包括用户设备的标识。
[0309] 第一生成单元54,用于根据所述认证向量,采用与生成所述第一信任状相同的算法生成所述第二信任状,以使所述应用服务器根据所述第二信任状,对所述用户设备进行验证。
[0310] 根据获取的认证向量,采用与生成第一信任状的相同的算法生成第二信任状,将该第二信任状发送给应用服务器,以使应用服务器根据该第二信任状对用户设备进行验证。
[0311] 根据本发明实施例提供的AF,在应用服务器对用户设备的认证过程中,为应用服务器生成进行验证的信任状,无需用户设备和应用服务器通过和第三方的交互来进行认证,简化了该认证过程。
[0312] 图13为对图12所示的认证功能装置AF的一个实施例的进一步细化的结构示意图。如图13所示,该AF6000包括:
[0313] 第二接收单元61,用于当应用服务器查找到用户设备发送的登录请求中没有有效的第一信任状的指示时,接收应用服务器发送的认证向量获取请求,所述认证向量获取请求包括所述用户设备的标识。
[0314] 第二接收单元61的功能与前述实施例的第二接收单元51相同,在此不再赘述。
[0315] 第二转换单元62,用于将所述标识转换为所述用户设备的国际移动识别号IMSI。
[0316] 由于HSS或HLR只能识别用户设备的IMSI,用户设备的UICC/USIM卡具有唯一的IMSI,因此,需要先将从登录请求中获取的标识转换为IMSI。
[0317] 第六发送单元63,用于将所述IMSI和所述应用服务器的信息发送给所述HSS或HLR,以使得所述HSS或HLR检查所述用户设备是否允许接入所述应用服务器。
[0318] 第五发送单元64,用于将从家庭注册用户服务器HSS或归属位置寄存器HLR获取的对应所述IMSI的认证向量发送给所述应用服务器,以使所述应用服务器将所述认证向量中的认证挑战发送给所述用户设备以生成对应所述认证挑战的所述第一信任状。
[0319] HSS或HLR中不仅存储了与UICC/USIM卡约定的密钥,还根据UICC/USIM卡的标识,存储了该卡即插有该卡的用户设备是否与某应用服务器存在签约的信息。根据用户设备的IMSI和应用服务器的信息如应用服务器的标识NAF_ID,可以查找到是否存在相应的签约信息,如果不存在,则HSS或HLR返回错误指示。收到将该错误指示后,将该错误指示发送给应用服务器,结束该认证流程。如果存在相应的签约信息,则HSS或HLR根据IMSI找到相应的密钥,根据该密钥生成认证向量,该认证向量包括认证挑战和认证响应。将从HSS或HLR获取的认证向量发送给应用服务器,以使应用服务器将认证向量中的认证挑战发送给用户设备,用户设备根据该认证挑战从UICC/USIM卡获取相应的认证响应,生成第一信任状。
[0320] 存储单元65,用于对应所述标识,存储所述第二信任状。
[0321] 第三接收单元66,用于当所述应用服务器接收到所述用户设备发送的第二登录请求时,接收所述应用服务器的第二信任状获取请求,所述第二信任状获取请求包括所述用户设备的标识。
[0322] 第一生成单元67,用于根据所述认证向量,采用与生成所述第一信任状相同的算法生成所述第二信任状,以使所述应用服务器根据所述第二信任状,对所述用户用户进行验证。
[0323] 第三接收单元66和第一生成单元67的功能分别与前述实施例的第三接收单元53和第一生成单元54相同,在此不再赘述。
[0324] 根据本发明实施例提供的AF,在应用服务器对用户设备的认证过程中,为应用服务器生成进行验证的信任状,无需用户设备和应用服务器通过和第三方的交互来进行认证,简化了该认证过程;且能根据HSS/HLR中存储的用户设备与应用服务器的签约信息,帮助应用服务器进行验证。
[0325] 图14为本发明一种认证系统的一个实施例的结构示意图。如图14所示,该认证系统7000包括:应用服务器71、认证功能装置AF72、家庭注册用户服务器HSS或归属位置寄存器HLR73和用户设备74。
[0326] 其中,用户设备74中包括应用客户端741、认证应用程序接口(Authentication Application Programming Interface,AAPI)742和UICC/USIM卡743。
[0327] 根据本发明实施例提供的一种认证系统,用户设备和应用服务器通过双方的交互而无需通过第三方就可完成认证,简化了用户设备和应用服务器的认证流程,减少了用户设备的接入时延。
[0328] 图15为本发明提供的一种应用服务器的另一个实施例的结构示意图。如图15所示,该应用服务器8000包括:
[0329] 输入装置81、输出装置82、存储器83和处理器84(监测设备中的处理器84的数量可以一个或多个,图15中以一个处理器为例)。在本发明的一些实施例中,输入装置81、输出装置82、存储器83和处理器84可通过总线或其它方式连接,其中,图15中以通过总线连接为例。
[0330] 其中,存储器83中存储一组程序代码,且处理器84用于调用存储器83中存储的程序代码,用于执行以下操作:
[0331] 当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则根据所述登录请求携带的用户设备的标识,发送对应所述标识的认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状;
[0332] 接收所述用户设备发送的第二登录请求,所述第二登录请求是所述用户设备根据所述标识和所述第一信任状生成的;
[0333] 根据对应所述标识的第二信任状,对所述用户设备进行验证;
[0334] 其中,所述第二信任状是采用与生成所述第一信任状相同的方式生成的。
[0335] 在本发明的一些实施例中,处理器84执行所述当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则根据所述登录请求携带的用户设备的标识,发送对应所述标识的认证挑战给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状的步骤,包括:
[0336] 当接收到用户设备的第一登录请求时,若查找到所述第一登录请求没有有效的第一信任状的指示,则将所述标识发送给认证功能装置AF,以使所述AF将所述标识发送给家庭注册用户服务器HSS或归属位置寄存器HLR,并从所述HSS或HLR获取所述HSS或HLR根据所述标识生成的相应的认证向量,所述认证向量包括认证挑战和认证响应;
[0337] 从所述AF获取所述认证挑战并发送给所述用户设备,以使所述用户设备根据所述认证挑战生成相应的所述第一信任状。
[0338] 在本发明的一些实施例中,处理器84执行所述查找到所述第一登录请求没有有效的第一信任状的指示的步骤之后,以及执行所述发送对应所述标识的认证挑战给所述用户设备的步骤之前,还执行如下步骤:
[0339] 将所述标识发送给认证功能装置AF,以使所述AF将应用服务器的信息和所述标识发送给家庭用户注册服务器HSS或归属位置寄存器HLR,并获取所述HSS或HLR查找对应所述标识的用户设备是否与所述应用服务器存在签约信息的查找结果;
[0340] 接收所述AF发送的所述查找结果。
[0341] 在本发明的一些实施例中,处理器84还执行如下步骤:
[0342] 将所述标识转换为所述用户设备的国际移动识别号IMSI。
[0343] 在本发明的一些实施例中,处理器84执行所述接收所述用户设备发送的第二登录请求的步骤之后,以及执行所述根据对应所述标识的第二信任状,对所述用户设备进行验证的步骤之前,还执行如下步骤:
[0344] 根据所述标识,获取对应所述标识的所述第二信任状。
[0345] 在本发明的一些实施例中,处理器84还执行如下步骤:
[0346] 当接收到用户设备的登录请求时,若根据所述标识查找到所述第一信任状,则根据所述标识,获取对应所述标识的所述第二信任状。
[0347] 在本发明的一些实施例中,处理器84执行所述根据所述标识,获取对应所述标识的所述第二信任状的步骤,包括:
[0348] 根据所述标识,查找本地是否存储有所述第二信任状;
[0349] 若查找的结果为是,则从本地获取所述第二信任状;
[0350] 若查找的结果为否,则从认证功能装置AF获取所述第二信任状,所述第二信任状是由所述AF根据所述标识从家庭用户注册服务器HSS或归属位置寄存器HLR获取的相应的认证向量、采用与生成所述第一信任状相同的算法生成的。
[0351] 可以理解的是,本实施例的应用服务器8000的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
[0352] 根据本发明实施例提供的应用服务器,用户设备和该应用服务器通过双方的交互而无需通过第三方就可完成认证,简化了用户设备和应用服务器的认证流程。
[0353] 图16为本发明提供的一种认证功能设备AF的另一个实施例的结构示意图。如图16所示,该AF9000包括:
[0354] 输入装置91、输出装置92、存储器93和处理器94(监测设备中的处理器94的数量可以一个或多个,图16中以一个处理器为例)。在本发明的一些实施例中,输入装置91、输出装置92、存储器93和处理器94可通过总线或其它方式连接,其中,图16中以通过总线连接为例。
[0355] 其中,存储器93中存储一组程序代码,且处理器94用于调用存储器93中存储的程序代码,用于执行以下操作:
[0356] 当应用服务器查找到用户设备发送的登录请求中没有有效的第一信任状的指示时,接收应用服务器发送的认证向量获取请求,所述认证向量获取请求包括所述用户设备的标识;
[0357] 将从家庭注册用户服务器HSS或归属位置寄存器HLR获取的对应所述标识的认证向量发送给所述应用服务器,以使所述应用服务器将所述认证向量中的认证挑战发送给所述用户设备以生成对应所述认证挑战的所述第一信任状;
[0358] 当所述应用服务器接收到所述用户设备发送的第二登录请求时,接收所述应用服务器的第二信任状获取请求,所述第二信任状获取请求包括所述用户设备的标识;
[0359] 根据所述认证向量,采用与生成所述第一信任状相同的算法生成所述第二信任状,以使所述应用服务器根据所述第二信任状,对所述用户用户进行验证。
[0360] 在本发明的一些实施例中,处理器94执行所述接收应用服务器发送的认证向量获取请求的步骤之后,以及执行所述将从家庭注册用户服务器HSS或归属位置寄存器HLR获取的对应所述标识的认证向量发送给所述应用服务器的步骤之前,还执行如下步骤:
[0361] 将所述标识和所述应用服务器的信息发送给所述HSS或HLR,以使所述HSS或HLR查找对应所述标识的所述用户设备是否与所述应用服务器存在签约信息,若查找的结果为否,返回错误指示;
[0362] 将所述错误指示发送给所述应用服务器。
[0363] 在本发明的一些实施例中,处理器94执行所述根据所述认证向量,采用与生成所述第一信任状相同的算法生成所述第二信任状的步骤之后,还执行如下步骤:
[0364] 对应所述标识,存储所述第二信任状。
[0365] 在本发明的一些实施例中,处理器94还执行如下步骤:
[0366] 将所述标识转换为所述用户设备的国际移动识别号IMSI。
[0367] 可以理解的是,本实施例的AF9000的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
[0368] 根据本发明实施例提供的AF,在应用服务器对用户设备的认证过程中,为应用服务器生成进行验证的信任状,无需用户设备和应用服务器通过和第三方的交互来进行认证,简化了该认证过程。
[0369] 图17为本发明提供的一种用户设备的另一个实施例的结构示意图。如图17所示,该用户设备1110包括:
[0370] 输入装置111、输出装置112、存储器113和处理器114(监测设备中的处理器114的数量可以一个或多个,图17中以一个处理器为例)。在本发明的一些实施例中,输入装置111、输出装置112、存储器113和处理器114可通过总线或其它方式连接,其中,图17中以通过总线连接为例。
[0371] 其中,存储器113中存储一组程序代码,且处理器114用于调用存储器113中存储的程序代码,用于执行以下操作:
[0372] 当向应用服务器发送第一登录请求时,所述第一登录请求携带用户设备的标识,若在所述登录请求携带没有有效的第一信任状的指示,则接收所述应用服务器发送的对应所述标识的认证挑战;
[0373] 根据所述认证挑战,生成所述第一信任状;
[0374] 向所述应用服务器发送第二登录请求,所述第二登录请求是根据所述标识和所述第一信任状生成的,以使所述应用服务器根据对应所述标识的第二信任状,对所述用户设备进行验证;
[0375] 其中,所述第二信任状是采用与生成所述第一信任状相同的方式生成的。
[0376] 在本发明的一些实施例中,处理器114执行所述根据所述认证挑战,生成所述第一信任状的步骤,包括:
[0377] 根据所述认证挑战,获取对应所述认证挑战的认证响应;
[0378] 根据所述认证挑战和所述认证响应,采用与生成所述第二信任状相同的算法生成所述第一信任状。
[0379] 在本发明的一些实施例中,处理器114还执行如下步骤:
[0380] 向所述应用服务器发送第三登录请求,所述第三登录请求是根据所述标识和所述第一信任状生成的,所述标识为临时标识或永久标识,所述永久标识为根据所述用户设备的国际移动识别号IMSI或移动注册用户国际综合业务数字网号MSISDN生成的;
[0381] 接收所述应用服务器发送的对所述用户设备的验证结果。
[0382] 可以理解的是,本实施例的用户设备1110的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
[0383] 根据本发明实施例提供的用户设备,该用户设备和应用服务器通过双方的交互而无需通过第三方就可完成认证,简化了用户设备和应用服务器的认证流程,减少了用户设备的接入时延。
[0384] 本发明还提供一种认证系统,包括前述实施例的应用服务器8000、认证功能设备AF9000、家庭注册用户服务器HSS或归属位置寄存器HLR和用户设备1110。
[0385] 根据本发明实施例提供的一种认证系统,用户设备和应用服务器通过双方的交互而无需通过第三方就可完成认证,简化了用户设备和应用服务器的认证流程,减少了用户设备的接入时延。
[0386] 所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备和模块的具体工作过程,可以参考前述方法实施例中的对应过程描述,在此不再赘述。
[0387] 在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个设备中,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
[0388] 所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部,模块来实现本实施例方案的目的。
[0389] 另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。
[0390] 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件设备的形式体现出来,该计算机软件设备可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0391] 以上所述的实施方式,并不构成对该技术方案保护范围的限定。任何在上述实施方式的精神和原则之内所作的修改、等同替换和改进等,均应包含在该技术方案的保护范围之内。