CN102761870A - 一种终端身份验证和服务鉴权的方法、***和终端 - Google Patents
一种终端身份验证和服务鉴权的方法、***和终端 Download PDFInfo
- Publication number
- CN102761870A CN102761870A CN2012102574641A CN201210257464A CN102761870A CN 102761870 A CN102761870 A CN 102761870A CN 2012102574641 A CN2012102574641 A CN 2012102574641A CN 201210257464 A CN201210257464 A CN 201210257464A CN 102761870 A CN102761870 A CN 102761870A
- Authority
- CN
- China
- Prior art keywords
- terminal
- unique code
- control centre
- user
- cloud control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种终端身份验证和服务鉴权的方法,包括:终端发起服务请求后,根据SIM卡中的用户特定信息生成用户唯一码,并将所述用户特定信息的名称加密后,与所述用户唯一码一同发送到可信云控制中心;服务供应商根据自身的特定信息生成唯一码,并将加密后的自身特定信息的名称与生成的唯一码一同发送到可信云控制中心;可信云控制中心根据唯一码对终端和服务供应商进行鉴权,确定两者鉴权均通过时,将通信码发送给终端和服务供应商,两者依据通信码进行通信以完成本次服务。本发明还同时公开了一种***和终端,运用该方法、***和终端可使终端用户个人隐私信息的安全性得到保证,防止在无线传输过程中被恶意拦截。
Description
技术领域
本发明涉及移动通信***中的信息安全技术领域,尤其涉及一种终端身份验证和服务鉴权的方法、***和终端。
背景技术
传统的移动通信终端安全策略主要集中在单主机领域,也就是单个用户单一主机的移动通信终端安全策略,即:用户对个人持有的终端设备进行安全管理。上述安全策略主要包括:用户终端设备使用合法性,如:用户为终端设置开机密码,使得非法用户无法开机;功能使用权限管理,例如:限制浏览终端设备中所存储的信息,以及隐私信息加密,例如:对文档进行加密,等本地安全管理。这些安全策略不涉及用户信息的无线传递、用户身份识别和服务供应商对用户提交的服务进行鉴权等方面的内容。
目前,随着通信技术的发展,各种无线应用迅速增加,但因移动通信领域的信息安全性一直不够完善,所以终端用户的重要信息在无线传输过程中经常受到威胁,暴露出很多终端设备安全策略上的缺陷。而且,伴随着智能终端的普及和第三代移动通信技术(3G)网络的全面覆盖,经由3G网络为用户提供服务的应用越来越多,这种信息安全状况会更加令人担忧。
现有基于3G网络的服务均通过终端用户个人隐私信息的无线传输来判定服务是否可以执行,也就是服务供应商通过用户个人隐私信息来对终端进行身份验证。但是,网络黑客或恶意破坏者很容易在无线环境中截获用户个人隐私信息,给用户和服务供应商双方造成巨大的损失。
发明内容
有鉴于此,本发明的主要目的在于提供一种终端身份验证和服务鉴权的方法、***和终端,使得终端用户个人隐私信息的安全性得到保证,防止在无线传输过程中被恶意拦截。
为达到上述目的,本发明的技术方案是这样实现的:
一种终端身份验证和服务鉴权的方法,该方法包括:
终端发起服务请求后,根据SIM卡中的用户特定信息生成用户唯一码,并将所述用户特定信息的名称加密后,与所述用户唯一码一同发送到可信云控制中心;
服务供应商根据自身的特定信息生成唯一码,并将加密后的自身特定信息的名称与生成的唯一码一同发送到可信云控制中心;
可信云控制中心根据唯一码对终端和服务供应商进行鉴权,确定两者鉴权均通过时,将通信码发送给终端和服务供应商,两者依据通信码进行通信以完成本次服务。
所述用户唯一码的生成过程为:终端采用散列算法对SIM卡中的用户特定信息进行计算,生成用户唯一码;所述SIM卡中的用户特定信息为:SIM卡内储存的各种用户特定信息集合的一个子集。
所述对用户特定信息的名称进行加密,为:利用个人识别码PIN对所述用户特定信息的名称进行加密。
所述可信云控制中心根据唯一码对终端和服务供应商进行鉴权,为:
可信云控制中心对终端所发的用户特定信息的名称进行解密,根据解密所得的用户特定信息的名称,从自身的存储服务器中找到相应的用户特定信息,并使用散列算法生成相应的字符串;将所述计算所得的字符串与终端所发的用户唯一码进行比较,如果比较结果相同,则表明终端鉴权通过;否则,鉴权未通过;
同样,可信云控制中心对根据解密得到的服务供应商的特定信息的名称采用散列算法生成相应的字符串,并将所述字符串与服务供应商所发的唯一码进行比较,如果比较结果相同,则表明鉴权通过;否则,鉴权未通过。
所述通信码包括:一次性密钥和数字证书。
所述方法还包括:本次服务完成后,终端通知服务供应商和可信云控制中心删除通信码和唯一码,即:通知服务供应商删除通信码和自身的唯一码;通知可信云控制中心删除通信码,以及终端和服务供应商的唯一码。
一种终端身份验证和服务鉴权的***,该***包括:终端、服务供应商和可信云控制中心;其中,
所述终端,用于发起服务请求后,根据SIM卡中的用户特定信息生成用户唯一码,并将所述用户特定信息的名称加密后,与所述用户唯一码一同发送到可信云控制中心;
所述服务供应商,用于根据自身的特定信息生成唯一码,并将加密后的自身特定信息的名称与生成的唯一码一同发送到可信云控制中心;
所述可信云控制中心,用于根据唯一码对终端和服务供应商进行鉴权,确定两者鉴权均通过时,将通信码发送给终端和服务供应商,两者依据通信码进行通信以完成本次服务。
所述终端,进一步用于本次服务完成后,通知服务供应商和可信云控制中心删除通信码和唯一码,即:通知服务供应商删除通信码和自身的唯一码,通知可信云控制中心删除通信码,以及终端和服务供应商的唯一码;相应的,
所述服务供应商,进一步用于收到终端的通知后,删除通信码和自身的唯一码;
所述可信云控制中心,进一步用于收到终端的通知后,删除通信码,以及终端和服务供应商的唯一码。
一种终端,所述终端,用于发起服务请求后,根据SIM卡中的用户特定信息生成用户唯一码,并将所述用户特定信息的名称加密后,与所述用户唯一码一同发送到可信云控制中心。
所述终端,还用于本次服务完成后,通知服务供应商和可信云控制中心删除通信码和唯一码,即:通知服务供应商删除通信码和自身的唯一码,通知可信云控制中心删除通信码,以及终端和服务供应商的唯一码。
本发明提供的终端身份验证和服务鉴权的方法、***和终端,终端发起服务请求后,根据SIM卡中的用户特定信息生成用户唯一码,并将所述用户特定信息的名称加密后,与所述用户唯一码一同发送到可信云控制中心;服务供应商根据自身的特定信息生成唯一码,并将加密后的自身特定信息的名称与生成的唯一码一同发送到可信云控制中心;可信云控制中心根据唯一码对终端和服务供应商进行鉴权,确定两者鉴权均通过时,将通信码发送给终端和服务供应商,两者依据通信码进行通信以完成本次服务。本发明在不增加用户现有终端资源的前提下,利用已有SIM卡携带的信息生成用户唯一码,唯一码的计算方法为散列算法,因该算法具有不可逆性,即便恶意用户截获唯一码,他也无法从中获得任何有价值的信息,确保用户信息的安全和不被冒充。同时,在本发明的整个服务过程中都有通信码对终端和服务供应商双方的通信数据进行加密,同样保证了终端用户以及服务供应商信息的安全性。
与传统应用场景中数获得字证书、完成数字签名等操作都需要特定硬件设备支持的方式不同,本发明是依靠用户终端、服务供应商和可信云控制中心相互通信来完成,不需要用户另外购置新的硬件设备,因此,本发明的实现方法可降低用户的消费成本。
此外,本发明在本次服务完成后,终端通知服务供应商和可信云控制中心删除通信码和唯一码,这进一步确保了终端和服务供应商信息的安全性。
附图说明
图1为本发明终端身份验证和服务鉴权的方法实现流程示意图;
图2为本发明终端身份验证和服务鉴权的***结构示意图;
图3为本发明服务供应商的实施例结构示意图;
图4为本发明可信云控制中心的实施例结构示意图。
具体实施方式
本发明的基本思想是:终端发起服务请求后,根据SIM卡中的用户特定信息生成用户唯一码,并将所述用户特定信息的名称加密后,与所述用户唯一码一同发送到可信云控制中心;服务供应商根据自身的特定信息生成唯一码,并将加密后的自身特定信息的名称与生成的唯一码一同发送到可信云控制中心;可信云控制中心根据唯一码对终端和服务供应商进行鉴权,确定两者鉴权均通过时,将通信码发送给终端和服务供应商,两者依据通信码进行通信以完成本次服务。
进一步地,本次服务完成后,终端通知服务供应商和可信云控制中心删除通信码和唯一码。
这里,利用个人识别码(Personal Identification Number,PIN)对所述用户特定信息的名称进行加密;所述通信码包括:一次性密钥和数字证书。
下面结合附图及具体实施例对本发明作进一步详细说明。
图1为本发明终端身份验证和服务鉴权的方法实现流程示意图,如图1所示,该流程的实现步骤如下:
步骤101:终端发起服务请求后,根据SIM卡中的用户特定信息生成用户唯一码,并将所述用户特定信息的名称加密后,与所述用户唯一码一同发送到可信云控制中心;
具体为:终端向服务供应商发起服务请求后,根据SIM卡中的用户特定信息,如:PIN、国际移动用户识别号(IMSI)、鉴权密钥(KI)和移动用户暂时识别码(TMSI)等等,采用散列算法生成用户唯一码。其中,所述用户特定信息是基于SIM卡内储存的各种用户特定信息集合的一个子集,即:包括SIM卡内储存信息的一部分,终端用户可通过服务供应商提供的应用程序自行选择所述子集中的信息的种类和数目,例如:服务供应商给用户提供用户特定信息选择界面,界面中列出各种用户特定信息,用户可自行选择其中的几种组合成一个集合,即上述的子集,终端根据用户所选的子集生成用户唯一码W,W=f(X,Y...,Z),这个函数算法可以采用散列算法,但不限于这一种算法。
这里,优选散列算法是因为该算法具有不可逆性,即便恶意用户截获唯一码,他也无法从中获得任何有价值的信息,确保用户信息的安全和不被冒充。同时,散列算法还具有唯一性,只要子集中的任意元素或元素数量发生变化,用户将得到不同的唯一码。这样,可以确保恶意者不能通过篡改用户特定信息子集并使用相同的散列算法伪造用户唯一码。
因此,本发明这种新型的基于SIM卡中用户特定信息的唯一码作为安全策略流程的重要信息,可以确保用户身份不被冒充,用户信息不会被篡改。
进一步地,针对每一次不同的服务,用户都可以重新生成一个唯一码,即:每次从上文所述的用户特定信息选择界面选择不同的组合方式生成新的用户特定信息子集,然后再将这个子集作为散列算法计算的对象,得出一次性的用户唯一码,这个用户唯一码是随机性的。此外,用户唯一码的产生不依赖终端设备,完全可以使用同一张SIM卡在不同的终端设备上完成各项服务。
终端生成唯一码后,利用PIN对所述用户特定信息的名称进行加密,并与所述用户唯一码一同发送到可信云控制中心。其中,所述用户特定信息的名称与生成用户唯一码时所选的用户特定信息相对应,也就是说,如果用户特定信息子集中包括三个用户特定信息,则此处需加密的用户特定信息的名称也为三个。这里,用户特定信息为具体数值,如:IMSI的值为15位十进制的数字号码,而用户特定信息的名称为IMSI本身。
其中,将用户特定信息的名称发送给可信云控制中心,是用于后续可信云控制中心对终端的鉴权;关于对用户特定信息的名称的加密算法为现有的加密算法,终端与可信云控制中心已对所述算法进行协商。
步骤102:服务供应商根据自身的特定信息生成唯一码,并将加密后的自身特定信息的名称与生成的唯一码一同发送到可信云控制中心;
具体为:服务供应商根据自身已在可信云控制中心注册过的特定信息,如:ID和二维码等生成自身的唯一码,其生成过程与用户唯一码的生成过程相同,也采用散列算法,此处不再详述。同样,服务供应商还需将自身特定信息的名称加密后,与生成的唯一码一同发送到可信云控制中心。
步骤103:可信云控制中心根据唯一码对终端和服务供应商进行鉴权,确定两者鉴权均通过时,将通信码发送给终端和服务供应商,两者依据通信码进行通信以完成本次服务;
具体为:可信云控制中心对终端所发的用户特定信息的名称进行解密,根据解密所得的用户特定信息的名称从自身的存储服务器中找到相应的用户特定信息,并使用相同的散列算法生成相应的字符串,并将所述计算所得的字符串与终端所发的用户唯一码进行比较,如果比较结果相同,则表明终端鉴权通过;否则,鉴权未通过。可信云控制中心对服务供应商的鉴权过程与对终端鉴权过程相同,即:根据解密得到的特定信息的名称采用散列算法生成相应的字符串,并将所述字符串与服务供应商所发的唯一码进行比较,如果比较结果相同,则表明鉴权通过;否则,鉴权未通过。
可信云控制中心确定终端和服务供应商的鉴权均通过时,将本次服务的通信码分别发送到终端和服务供应商,终端和服务供应商依据该通信码进行相互间的通信以完成本次服务。这里,所述包括但不限于:一次性密钥和数字证书,在通信过程中,终端和服务供应商互相发送的信息均需用通信码中的一次性密钥进行加密。
其中,所述通信码中的一次性密钥也可以是一次性的,可保证用户信息的安全性,避免用户信息被恶意篡改,当然,此处也可保证终端用户对服务供应商的服务进行鉴权,具体见后续实施例的描述。
进一步地,本发明还包括步骤104:本次服务完成后,终端通知服务供应商和可信云控制中心删除通信码和唯一码;
具体为:在本次服务完成后,终端确定不再需要其它服务时,可通知服务供应商和可信云控制中心删除本次服务的通信码和唯一码,即:服务供应商删除本次服务的通信码以及自身的唯一码;可信云控制中心删除本次服务的通信码以及终端和服务供应商两者的唯一码。该步骤可进一步确保用户信息的安全性和私密性。
下面以商业银行提供的网上银行业务为例,对本发明的方法进行描述,实现步骤如下:
步骤一:用户终端进入银行提供的应用界面发起服务流程,在银行的选择界面中选择SIM卡中储存的若干个用户特定信息,并通过散列算法计算得到用户唯一码;用PIN加密用户特定信息的名称,将这两者一起发送给可信云控制中心,同时将服务请求信息发送到银行。
步骤二:银行收到终端发来的服务请求信息后,使用与步骤一相同的散列算法根据身在可信云控制中心注册过的特定信息得到银行的唯一码,并对特定信息的名称进行加密,并将唯一码和加密的特定信息的名称发送给可信云控制中心。
步骤三:可信云控制中心根据解密得到用户特定信息的名称和银行特定信息的名称,从其自身的存储服务器中找到这些特定信息,并使用相同的散列算法分别得到对应终端和银行的字符串,若对应字符串与终端和银行的唯一码均相同,则判定两者身份合法,并将用于服务信息加密的一次性密钥和数字证书,即将通行码分别发送给终端和银行。
步骤四:终端收到通行码后,用户进行数字签名,终端将用户的数字签名发送给银行;
本步骤中,终端还同时将数字签名发送给可信云控制中心进行保存,这样,能够保证整个服务过程的不可否认性,确保用户和银行的切实利益。
步骤五:银行收到用户的数字签名后,完成对用户的身份验证/服务鉴权;银行使用可信云控制中心下发的一次性密钥对服务具体信息和自身身份标识信息进行加密,并发送给用户终端,这组经加密得到的信息可称为功能码。
步骤六:用户终端收到功能码后进行解密,根据解密所得的银行身份标识信息可以验证银行的身份;之后进一步完善服务信息,经加密后发给银行。
步骤七:银行完成对服务详细信息的核对,并完成当前服务;
进一步地,银行开放用户的相应权限,并发送经加密的询问信息到用户终端,询问用户是否需要增加权限内的服务项目。
步骤八:若用户还需要其它服务,重复步骤六至步骤七,若同意完成整个服务,则发送经加密的完成码给银行和可信云控制中心,通知其将此次服务的密钥和唯一码删除。
步骤九:银行收到通知确认服务完成,废弃一次性密钥和自身的唯一码。
步骤十:可信云控制中心收到通知后,废弃此次服务的一次性密钥以及终端和银行的唯一码。
本发明还提供了一种终端身份验证和服务鉴权的***,如图2所示,包括:终端、服务供应商和可信云控制中心;其中,
所述终端,用于发起服务请求后,根据SIM卡中的用户特定信息生成用户唯一码,并将所述用户特定信息的名称加密后,与所述用户唯一码一同发送到可信云控制中心;
所述服务供应商,用于根据自身的特定信息生成唯一码,并将加密后的自身特定信息的名称与生成的唯一码一同发送到可信云控制中心;
所述可信云控制中心,用于根据唯一码对终端和服务供应商进行鉴权,确定两者鉴权均通过时,将通信码发送给终端和服务供应商,两者依据通信码进行通信以完成本次服务。
所述终端,进一步用于本次服务完成后,通知服务供应商和可信云控制中心删除通信码和唯一码,即:通知服务供应商删除通信码和自身的唯一码,通知可信云控制中心删除通信码,以及终端和服务供应商的唯一码;相应的,
所述服务供应商,进一步用于收到终端的通知后,删除通信码和自身的唯一码;
所述可信云控制中心,进一步用于收到终端的通知后,删除通信码,以及终端和服务供应商的唯一码。
本发明还提供了一种终端,所述终端,用于发起服务请求后,根据SIM卡中的用户特定信息生成用户唯一码,并将所述用户特定信息的名称加密后,与所述用户唯一码一同发送到可信云控制中心。
所述终端,还用于本次服务完成后,通知服务供应商和可信云控制中心删除通信码和唯一码,即:通知服务供应商删除通信码和自身的唯一码,通知可信云控制中心删除通信码,以及终端和服务供应商的唯一码。
本发明服务供应商的实施例结构示意图如图3所示,包括:通信模块、存储服务器、加密/解密运算模块和控制中心。
在实际运行过程中,所述通信模块,用于与终端和可信云控制中心进行通信,本地数据与终端和可信云控制中心间数据的传输;
所述存储服务器,用于存储自身的特定信息、通信码和自身的唯一码;
所述加密/解密运算模块,用于对自身特定信息的名称进行加密;
所述控制中心,用于根据自身的特定信息生成唯一码,并与加密后的自身特定信息的名称经通信模块一同发送到可信云控制中心;
所述控制中心,还用于收到终端的通知后,删除存储服务器中存储的通信码和自身的唯一码。
本发明可信云控制中心的实施例结构示意图如图4所示,包括:通信模块、存储服务器、加密/解密运算模块、证书生成服务器、密钥生成服务器和控制中心。
在实际运行过程中,所述通信模块,用于与终端和服务供应商进行通信,本地数据与终端和服务供应商间数据的传输;
所述存储服务器,用于存储终端和服务供应商所发的唯一码、服务供应商的已加密的特定信息的名称和终端的已加密的用户特定信息的名称;存储已注册的终端用户特定信息和服务供应商特定信息;存储证书生成服务器和密钥生成服务器共同生成的通信码;
所述加密/解密运算模块,用于对服务供应商的已加密的特定信息的名称和终端的已加密的用户特定信息的名称进行解密;
所述证书生成服务器,用于生成通信码中的数字证书;
所述密钥生成服务器,用于生成通信码中的一次性密钥;
所述控制中心,用于根据唯一码对终端和服务供应商进行鉴权,确定两者鉴权均通过时,经通信模块将通信码发送给终端和服务供应商;
所述控制中心,还用于收到终端的通知后,删除存储服务器中存储的通信码,以及终端和服务供应商的唯一码。
需要说明的是,本发明所述的终端包括但不仅限于(Portable ApplicationDescription,PAD)、智能手机、超级本(Ultra book),也可应用于普通手机、数据卡等所有可以支持3G网络服务的终端类产品。同时,本发明方法的具体实施步骤包含但不限于上述的过程,可以为不同安全等级和应用范围的服务定义新增的流程步骤或精简流程步骤,达到灵活运用的目的。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (10)
1.一种终端身份验证和服务鉴权的方法,其特征在于,该方法包括:
终端发起服务请求后,根据SIM卡中的用户特定信息生成用户唯一码,并将所述用户特定信息的名称加密后,与所述用户唯一码一同发送到可信云控制中心;
服务供应商根据自身的特定信息生成唯一码,并将加密后的自身特定信息的名称与生成的唯一码一同发送到可信云控制中心;
可信云控制中心根据唯一码对终端和服务供应商进行鉴权,确定两者鉴权均通过时,将通信码发送给终端和服务供应商,两者依据通信码进行通信以完成本次服务。
2.根据权利要求1所述的终端身份验证和服务鉴权的方法,其特征在于,所述用户唯一码的生成过程为:
终端采用散列算法对SIM卡中的用户特定信息进行计算,生成用户唯一码;所述SIM卡中的用户特定信息为:SIM卡内储存的各种用户特定信息集合的一个子集。
3.根据权利要求1所述的终端身份验证和服务鉴权的方法,其特征在于,所述对用户特定信息的名称进行加密,为:
利用个人识别码PIN对所述用户特定信息的名称进行加密。
4.根据权利要求1所述的终端身份验证和服务鉴权的方法,其特征在于,所述可信云控制中心根据唯一码对终端和服务供应商进行鉴权,为:
可信云控制中心对终端所发的用户特定信息的名称进行解密,根据解密所得的用户特定信息的名称,从自身的存储服务器中找到相应的用户特定信息,并使用散列算法生成相应的字符串;将所述计算所得的字符串与终端所发的用户唯一码进行比较,如果比较结果相同,则表明终端鉴权通过;否则,鉴权未通过;
同样,可信云控制中心对根据解密得到的服务供应商的特定信息的名称采用散列算法生成相应的字符串,并将所述字符串与服务供应商所发的唯一码进行比较,如果比较结果相同,则表明鉴权通过;否则,鉴权未通过。
5.根据权利要求1所述的终端身份验证和服务鉴权的方法,其特征在于,所述通信码包括:一次性密钥和数字证书。
6.根据权利要求1至5中任一项所述的终端身份验证和服务鉴权的方法,其特征在于,该方法还包括:
本次服务完成后,终端通知服务供应商和可信云控制中心删除通信码和唯一码,即:通知服务供应商删除通信码和自身的唯一码;通知可信云控制中心删除通信码,以及终端和服务供应商的唯一码。
7.一种终端身份验证和服务鉴权的***,其特征在于,该***包括:终端、服务供应商和可信云控制中心;其中,
所述终端,用于发起服务请求后,根据SIM卡中的用户特定信息生成用户唯一码,并将所述用户特定信息的名称加密后,与所述用户唯一码一同发送到可信云控制中心;
所述服务供应商,用于根据自身的特定信息生成唯一码,并将加密后的自身特定信息的名称与生成的唯一码一同发送到可信云控制中心;
所述可信云控制中心,用于根据唯一码对终端和服务供应商进行鉴权,确定两者鉴权均通过时,将通信码发送给终端和服务供应商,两者依据通信码进行通信以完成本次服务。
8.根据权利要求7所述的终端身份验证和服务鉴权的***,其特征在于,所述终端,进一步用于本次服务完成后,通知服务供应商和可信云控制中心删除通信码和唯一码,即:通知服务供应商删除通信码和自身的唯一码,通知可信云控制中心删除通信码,以及终端和服务供应商的唯一码;相应的,
所述服务供应商,进一步用于收到终端的通知后,删除通信码和自身的唯一码;
所述可信云控制中心,进一步用于收到终端的通知后,删除通信码,以及终端和服务供应商的唯一码。
9.一种终端,其特征在于,所述终端,用于发起服务请求后,根据SIM卡中的用户特定信息生成用户唯一码,并将所述用户特定信息的名称加密后,与所述用户唯一码一同发送到可信云控制中心。
10.根据权利要求9所述的终端,其特征在于,所述终端,还用于本次服务完成后,通知服务供应商和可信云控制中心删除通信码和唯一码,即:通知服务供应商删除通信码和自身的唯一码,通知可信云控制中心删除通信码,以及终端和服务供应商的唯一码。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210257464.1A CN102761870B (zh) | 2012-07-24 | 2012-07-24 | 一种终端身份验证和服务鉴权的方法、***和终端 |
| EP13823645.0A EP2879421B1 (en) | 2012-07-24 | 2013-07-17 | Terminal identity verification and service authentication method, system, and terminal |
| PCT/CN2013/079552 WO2014015759A1 (zh) | 2012-07-24 | 2013-07-17 | 一种终端身份验证和服务鉴权的方法、***和终端 |
| CA2879910A CA2879910C (en) | 2012-07-24 | 2013-07-17 | Terminal identity verification and service authentication method, system and terminal |
| US14/417,024 US9445269B2 (en) | 2012-07-24 | 2013-07-17 | Terminal identity verification and service authentication method, system and terminal |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210257464.1A CN102761870B (zh) | 2012-07-24 | 2012-07-24 | 一种终端身份验证和服务鉴权的方法、***和终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102761870A true CN102761870A (zh) | 2012-10-31 |
| CN102761870B CN102761870B (zh) | 2015-06-03 |
Family
ID=47056158
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210257464.1A Active CN102761870B (zh) | 2012-07-24 | 2012-07-24 | 一种终端身份验证和服务鉴权的方法、***和终端 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9445269B2 (zh) |
| EP (1) | EP2879421B1 (zh) |
| CN (1) | CN102761870B (zh) |
| CA (1) | CA2879910C (zh) |
| WO (1) | WO2014015759A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014015759A1 (zh) * | 2012-07-24 | 2014-01-30 | 中兴通讯股份有限公司 | 一种终端身份验证和服务鉴权的方法、***和终端 |
| GB2517732A (en) * | 2013-08-29 | 2015-03-04 | Sim & Pin Ltd | System for accessing data from multiple devices |
| CN105308560A (zh) * | 2013-05-30 | 2016-02-03 | 三星电子株式会社 | 用于设置简档的方法和装置 |
| CN105592456A (zh) * | 2014-10-20 | 2016-05-18 | 中国电信股份有限公司 | 二维码认证的方法和*** |
| CN106101068A (zh) * | 2016-05-27 | 2016-11-09 | 宇龙计算机通信科技(深圳)有限公司 | 终端通信方法及*** |
| CN107222556A (zh) * | 2017-06-28 | 2017-09-29 | 中天海洋***有限公司 | 一种深海观测安全可信组网*** |
| CN110612698A (zh) * | 2017-05-22 | 2019-12-24 | 株式会社Fns价值 | 通过组合多用户的认证因素生成安全密钥的安全认证***及安全认证方法 |
| US10979550B2 (en) | 2012-02-23 | 2021-04-13 | TapNav Ltd | Mobile communication device |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108932619B (zh) * | 2018-06-07 | 2022-03-22 | 贵州玛迩比特通信科技有限公司 | 一种终端离线的收费服务方法及*** |
| WO2020162739A1 (ko) * | 2019-02-08 | 2020-08-13 | 주식회사 센스톤 | 칩 고유값 기반의 가상코드를 이용하여 장치를 식별하는 방법, 프로그램 및 장치 |
| EP3917103A1 (de) * | 2020-05-29 | 2021-12-01 | Siemens Aktiengesellschaft | Verfahren, system, sender und empfänger zum authentifizieren eines senders |
| US12021861B2 (en) * | 2021-01-04 | 2024-06-25 | Bank Of America Corporation | Identity verification through multisystem cooperation |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1691578A (zh) * | 2004-04-29 | 2005-11-02 | 华为技术有限公司 | 一种设备验证自身合法性的方法 |
| CN101588579A (zh) * | 2008-05-20 | 2009-11-25 | 华为技术有限公司 | 一种对用户设备鉴权的***、方法及其基站子*** |
| CN102316080A (zh) * | 2010-06-30 | 2012-01-11 | 百度在线网络技术(北京)有限公司 | 支持中心认证服务在同一主域下的匿名验证功能 |
| CN102571702A (zh) * | 2010-12-22 | 2012-07-11 | 中兴通讯股份有限公司 | 物联网中的密钥生成方法、***和设备 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060059344A1 (en) * | 2004-09-10 | 2006-03-16 | Nokia Corporation | Service authentication |
| CN100505927C (zh) * | 2004-10-22 | 2009-06-24 | 北京握奇数据***有限公司 | 动态口令认证方法 |
| NO20050152D0 (no) * | 2005-01-11 | 2005-01-11 | Dnb Nor Bank Asa | Fremgangsmate ved frembringelse av sikkerhetskode og programmbar anordning for denne |
| US20070186115A1 (en) | 2005-10-20 | 2007-08-09 | Beijing Watch Data System Co., Ltd. | Dynamic Password Authentication System and Method thereof |
| EP1865656A1 (en) * | 2006-06-08 | 2007-12-12 | BRITISH TELECOMMUNICATIONS public limited company | Provision of secure communications connection using third party authentication |
| US8640203B2 (en) * | 2007-06-04 | 2014-01-28 | Rajesh G. Shakkarwar | Methods and systems for the authentication of a user |
| US8590037B2 (en) | 2008-12-23 | 2013-11-19 | Sandisk Technologies Inc. | Managing host application privileges |
| US9166975B2 (en) * | 2012-02-16 | 2015-10-20 | Inbay Technologies Inc. | System and method for secure remote access to a service on a server computer |
| US8590022B2 (en) * | 2009-02-26 | 2013-11-19 | Blackberry Limited | Authentication using a wireless mobile communication device |
| US8584221B2 (en) | 2009-10-23 | 2013-11-12 | Microsoft Corporation | Authenticating using cloud authentication |
| US8667569B2 (en) * | 2011-09-29 | 2014-03-04 | Target Brands, Inc. | Credentials management |
| WO2013122869A1 (en) * | 2012-02-13 | 2013-08-22 | Eugene Shablygin | Sharing secure data |
| US20130226812A1 (en) * | 2012-02-24 | 2013-08-29 | Mads Landrok | Cloud proxy secured mobile payments |
| US9038137B2 (en) * | 2012-06-28 | 2015-05-19 | Cellco Partnership | Subscriber authentication using a user device-generated security code |
| CN102761870B (zh) | 2012-07-24 | 2015-06-03 | 中兴通讯股份有限公司 | 一种终端身份验证和服务鉴权的方法、***和终端 |
-
2012
- 2012-07-24 CN CN201210257464.1A patent/CN102761870B/zh active Active
-
2013
- 2013-07-17 US US14/417,024 patent/US9445269B2/en active Active
- 2013-07-17 EP EP13823645.0A patent/EP2879421B1/en active Active
- 2013-07-17 CA CA2879910A patent/CA2879910C/en active Active
- 2013-07-17 WO PCT/CN2013/079552 patent/WO2014015759A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1691578A (zh) * | 2004-04-29 | 2005-11-02 | 华为技术有限公司 | 一种设备验证自身合法性的方法 |
| CN101588579A (zh) * | 2008-05-20 | 2009-11-25 | 华为技术有限公司 | 一种对用户设备鉴权的***、方法及其基站子*** |
| CN102316080A (zh) * | 2010-06-30 | 2012-01-11 | 百度在线网络技术(北京)有限公司 | 支持中心认证服务在同一主域下的匿名验证功能 |
| CN102571702A (zh) * | 2010-12-22 | 2012-07-11 | 中兴通讯股份有限公司 | 物联网中的密钥生成方法、***和设备 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10979550B2 (en) | 2012-02-23 | 2021-04-13 | TapNav Ltd | Mobile communication device |
| US9445269B2 (en) | 2012-07-24 | 2016-09-13 | Zte Corporation | Terminal identity verification and service authentication method, system and terminal |
| WO2014015759A1 (zh) * | 2012-07-24 | 2014-01-30 | 中兴通讯股份有限公司 | 一种终端身份验证和服务鉴权的方法、***和终端 |
| CN105308560A (zh) * | 2013-05-30 | 2016-02-03 | 三星电子株式会社 | 用于设置简档的方法和装置 |
| USRE49465E1 (en) | 2013-05-30 | 2023-03-14 | Samsung Electronics Co., Ltd. | Method and apparatus for setting profile |
| CN105308560B (zh) * | 2013-05-30 | 2019-05-28 | 三星电子株式会社 | 用于设置简档的方法和装置 |
| US10893045B2 (en) | 2013-08-29 | 2021-01-12 | Liberty Labs Limited | System for accessing data from multiple devices |
| GB2517732A (en) * | 2013-08-29 | 2015-03-04 | Sim & Pin Ltd | System for accessing data from multiple devices |
| CN105592456A (zh) * | 2014-10-20 | 2016-05-18 | 中国电信股份有限公司 | 二维码认证的方法和*** |
| CN105592456B (zh) * | 2014-10-20 | 2018-10-30 | 中国电信股份有限公司 | 二维码认证的方法和*** |
| CN106101068B (zh) * | 2016-05-27 | 2019-06-11 | 宇龙计算机通信科技(深圳)有限公司 | 终端通信方法及*** |
| CN106101068A (zh) * | 2016-05-27 | 2016-11-09 | 宇龙计算机通信科技(深圳)有限公司 | 终端通信方法及*** |
| CN110612698A (zh) * | 2017-05-22 | 2019-12-24 | 株式会社Fns价值 | 通过组合多用户的认证因素生成安全密钥的安全认证***及安全认证方法 |
| CN110612698B (zh) * | 2017-05-22 | 2021-05-11 | 株式会社Fns价值 | 通过组合多用户的认证因素生成安全密钥的安全认证***及安全认证方法 |
| CN107222556A (zh) * | 2017-06-28 | 2017-09-29 | 中天海洋***有限公司 | 一种深海观测安全可信组网*** |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150208238A1 (en) | 2015-07-23 |
| US9445269B2 (en) | 2016-09-13 |
| EP2879421B1 (en) | 2019-09-11 |
| CA2879910A1 (en) | 2014-01-30 |
| WO2014015759A1 (zh) | 2014-01-30 |
| EP2879421A1 (en) | 2015-06-03 |
| CA2879910C (en) | 2018-02-13 |
| EP2879421A4 (en) | 2015-10-21 |
| CN102761870B (zh) | 2015-06-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102761870B (zh) | 一种终端身份验证和服务鉴权的方法、***和终端 | |
| CN105760764B (zh) | 一种嵌入式存储设备文件的加解密方法、装置及终端 | |
| CN104065653B (zh) | 一种交互式身份验证方法、装置、***和相关设备 | |
| CN105050081B (zh) | 网络接入设备接入无线网络接入点的方法、装置和*** | |
| EP3605942B1 (en) | Key agreement for wireless communication | |
| US9094823B2 (en) | Data processing for securing local resources in a mobile device | |
| CN105450395A (zh) | 一种信息加解密处理方法及*** | |
| CN101621794A (zh) | 一种无线应用服务***的安全认证实现方法 | |
| CN104065621A (zh) | 一种第三方服务的身份验证方法、客户端和*** | |
| JP2014527379A (ja) | 共有エフェメラル・キー・データのセットを用いるエクスチェンジを符号化するためのシステム及び方法 | |
| CN104253801B (zh) | 实现登录认证的方法、装置和*** | |
| CN104662870A (zh) | 数据安全管理*** | |
| TWI632798B (zh) | 伺服器、行動終端機、網路實名認證系統及方法 | |
| US9826403B2 (en) | Protected smart card profile management | |
| CN110612698B (zh) | 通过组合多用户的认证因素生成安全密钥的安全认证***及安全认证方法 | |
| CN105812334B (zh) | 一种网络认证方法 | |
| CN104468937A (zh) | 移动终端的数据加、解密方法、装置及保护*** | |
| CN102866960A (zh) | 一种在存储卡中实现加密的方法、解密的方法和装置 | |
| KR101281099B1 (ko) | 스마트폰 분실 및 도난의 피해 방지를 위한 인증방법 | |
| CN106357678A (zh) | 一种智能终端的云加密存储方法及智能终端 | |
| KR101358375B1 (ko) | 스미싱 방지를 위한 문자메시지 보안 시스템 및 방법 | |
| Baek et al. | Secure and lightweight authentication protocol for NFC tag based services | |
| WO2017120745A1 (zh) | profile的处理方法、装置及*** | |
| KR101680536B1 (ko) | 기업용 모바일 업무데이터 보안 서비스 방법 및 그 시스템 | |
| KR101745482B1 (ko) | 스마트홈 시스템에서의 통신 방법 및 그 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |