CN109120408A - 用于认证用户身份的方法、装置和*** - Google Patents
用于认证用户身份的方法、装置和*** Download PDFInfo
- Publication number
- CN109120408A CN109120408A CN201710492457.2A CN201710492457A CN109120408A CN 109120408 A CN109120408 A CN 109120408A CN 201710492457 A CN201710492457 A CN 201710492457A CN 109120408 A CN109120408 A CN 109120408A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- encryption algorithm
- authentication password
- service server
- ciphertext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3215—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种用于认证用户身份的方法、装置和***,涉及通信领域。其中业务服务器在接收到用户终端发送的首次注册请求后,若用户终端为指定类型,则向用户终端发送认证密码,以便用户终端利用所选择的加密算法,根据认证密码对指定报文进行加密以得到密文;业务服务器在接收到用户终端发送的二次注册请求后,从二次注册请求中提取出加密算法索引和密文,利用认证密码及与加密算法索引相对应的加密算法,对密文进行解密,若解密成功,则向用户终端发送注册成功指示。本发明通过用户终端和业务服务器之间的二次注册,从而提升了RCS业务***的安全性。
Description
技术领域
本发明涉及通信领域,特别涉及一种用于认证用户身份的方法、装置和***。
背景技术
在互联网应用的用户身份认证技术领域,目前主流技术采用基于HTTP(HyperTextTransfer Protocol,超文本传输协议)的Digest摘要身份认证机制。在Digest摘要身份认证机制下,在用户账号、密码丢失情况时,互联网应用***或平台通常难以甄别用户身份的真伪性。因此,单一Digest手段身份认证防护能力有一定的局限性。
RCS(Rich Communication Suite,富通信套件)业务是电信运营商面向VoLTE(Voice over LTE,基于LTE的语音)用户提供的一项新增新业务,支持高清音视频、多媒体融合消息、移动支付等类似OTT(Over The Top)业务应用。
RCS存在两种终端形态:Natvie、App软件客户端。Native终端通过专网接入VoLTEIMS核心网,采用AKA身份认证机制,安全性相对较高。然而,RCS APP软件客户端通过Internet接入,目前主要采用Digest摘要身份认证机制。认证过程中,存在注册信息拦截、用户身份被仿冒的安全风险。隐藏,现有RCS用户身份认证方式业务使用存在安全风险。
发明内容
本发明实施例提供一种用于认证用户身份的方法、装置和***,通过用户终端和业务服务器之间的二次注册,从而提升了RCS业务***的安全性。
根据本发明的一个方面,提供一种用于认证用户身份的方法,包括:
在接收到用户终端发送的首次注册请求后,若用户终端为指定类型,则向用户终端发送认证密码,以便用户终端利用所选择的加密算法,根据认证密码对指定报文进行加密以得到密文;
在接收到用户终端发送的二次注册请求后,从二次注册请求中提取出加密算法索引和密文;
利用认证密码及与加密算法索引相对应的加密算法,对密文进行解密;
若解密成功,则向用户终端发送注册成功指示。
在一个实施例中,向用户终端发送认证密码包括:
向用户终端发送认证短信,其中认证短信中包括认证密码。
在一个实施例中,短信是用户不可见短信。
在一个实施例中,在向用户终端发送注册成功指示后,还包括:
在接收到用户终端发送的业务请求后,从二次注册请求中提取出加密算法索引和密文;
利用与加密算法索引相对应的加密算法、以及与用户终端相关联的认证密码,对密文进行解密,以获得业务报文并进行相应的转发处理。
在一个实施例中,在接收到用户终端发送的业务请求后,还包括:
判断与用户终端相关联的认证密码是否在有效期内;
若与用户终端相关联的认证密码是否在有效期内,则从二次注册请求中提取出加密算法索引和密文。
在一个实施例中,若与用户终端相关联的认证密码不在有效期内,则指示用户终端重新发送首次注册请求。
根据本发明的另一方面,提供一种用于认证用户身份的方法,包括:
向业务服务器发送首次注册请求,其中首次注册请求中包括用户终端的终端类型,以便业务服务器在用户终端为指定类型时向用户终端发送认证密码;
接收业务服务器发送的认证密码;
选择加密算法;
利用所选择的加密算法和认证密码对指定报文进行加密以得到密文;
向业务服务器发送二次注册请求,其中二次注册请求包括密文、以及与加密算法相对应的加密算法索引,以便业务服务器利用认证密码及与加密算法索引相对应的加密算法,对密文进行解密。
在一个实施例中,接收业务服务器发送的认证密码包括:
接收业务服务器发送的认证短信;
从认证短信中提取认证密码。
在一个实施例中,短信是用户不可见短信。
在一个实施例中,在接收到业务服务器发送的注册成功指示后,向业务服务器发送业务请求,其中业务请求包括加密算法索引和密文,以便业务服务器利用与加密算法索引相对应的加密算法、以及与用户终端相关联的认证密码,对密文进行解密,以获得业务报文并进行相应的转发处理。
根据本发明的另一方面,还提供一种用于认证用户身份的业务服务器,包括:
第一接收模块,用于接收用户终端发送的首次注册请求;
认证密码发送模块,用于在第一接收模块接收到用户终端发送的首次注册请求后,若用户终端为指定类型,则向用户终端发送认证密码,以便用户终端利用所选择的加密算法,根据认证密码对指定报文进行加密以得到密文;
提取模块,用于在第一接收模块接收到用户终端发送的二次注册请求后,从二次注册请求中提取出加密算法索引和密文;
认证模块,用于利用认证密码及与加密算法索引相对应的加密算法,对密文进行解密;
第一发送模块,用于在解密成功的情况下,向用户终端发送注册成功指示。
在一个实施例中,认证密码发送模块用于向用户终端发送认证短信,其中认证短信中包括认证密码。
在一个实施例中,短信是用户不可见短信。
在一个实施例中,业务服务器还包括业务处理模块,其中:
提取模块用于在第一接收模块接收到用户终端发送的业务请求后,从二次注册请求中提取出加密算法索引和密文;
业务处理模块,用于利用与加密算法索引相对应的加密算法、以及与用户终端相关联的认证密码,对密文进行解密,以获得业务报文并进行相应的转发处理。
在一个实施例中,业务服务器还包括:
识别模块,用于在第一接收模块接收到用户终端发送的业务请求后,判断与用户终端相关联的认证密码是否在有效期内,若与用户终端相关联的认证密码是否在有效期内,则指示提取模块从二次注册请求中提取出加密算法索引和密文。
在一个实施例中,识别模块还用于在与用户终端相关联的认证密码不在有效期内的情况下,通过第一发送模块指示用户终端重新发送首次注册请求。
根据本发明的另一方面,提供一种用于认证用户身份的用户终端,包括:
第二发送模块,用于向业务服务器发送首次注册请求,其中首次注册请求中包括用户终端的终端类型,以便业务服务器在用户终端为指定类型时向用户终端发送认证密码;
认证密码接收模块,用于接收业务服务器发送的认证密码;
算法选择模块,用于选择加密算法;
加密模块,用于利用所选择的加密算法和认证密码对指定报文进行加密以得到密文;指示第二发送模块向业务服务器发送二次注册请求,其中二次注册请求包括密文、以及与加密算法相对应的加密算法索引,以便业务服务器利用认证密码及与加密算法索引相对应的加密算法,对密文进行解密。
在一个实施例中,认证密码接收模块用于接收业务服务器发送的认证短信,从认证短信中提取认证密码。
在一个实施例中,短信是用户不可见短信。
在一个实施例中,用户终端还包括第二接收模块,其中:
第二接收模块,用于接收业务服务器发送的注册成功指示;
第二发送模块还用于在第二接收模块接收到业务服务器发送的注册成功指示后,向业务服务器发送业务请求,其中业务请求包括加密算法索引和密文,以便业务服务器利用与加密算法索引相对应的加密算法、以及与用户终端相关联的认证密码,对密文进行解密,以获得业务报文并进行相应的转发处理。
根据本发明的另一方面,提供一种用于认证用户身份的***,包括:
如上述任一实施例涉及的业务服务器;
如上述任一实施例涉及的用户终端。
在一个实施例中,上述***还包括:
***,用于将业务服务器发送的认证短信转发给用户终端。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明用于认证用户身份的方法一个实施例的示意图。
图2为本发明用于认证用户身份的方法另一实施例的示意图。
图3为本发明用于认证用户身份的方法又一实施例的示意图。
图4为本发明用于认证用户身份的方法又一实施例的示意图。
图5为本发明用于认证用户身份的业务服务器一个实施例的示意图。
图6为本发明用于认证用户身份的业务服务器另一实施例的示意图。
图7为本发明用于认证用户身份的用户终端一个实施例的示意图。
图8为本发明用于认证用户身份的用户终端另一实施例的示意图。
图9为本发明用于认证用户身份的***一个实施例的示意图。
图10为本发明用户身份认证流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本发明用于认证用户身份的方法一个实施例的示意图。可选地,本实施例的方法步骤可由RCS业务服务器执行。其中:
步骤101,在接收到用户终端发送的首次注册请求后,若用户终端为指定类型,则向用户终端发送认证密码。以便用户终端利用所选择的加密算法,根据认证密码对指定报文进行加密以得到密文。
其中,指定类型可以为RCS应用客户端。
可选地,向用户终端发送认证密码可包括:
向用户终端发送认证短信,其中认证短信中包括认证密码。
此外,短信可以是用户不可见短信,以便减少对用户造成干扰。
步骤102,在接收到用户终端发送的二次注册请求后,从二次注册请求中提取出加密算法索引和密文。
其中,用户终端将所选择的加密算法相对应的加密算法索引提供给业务服务器,以便业务服务器根据加密算法索引就可了解到用户终端所选择的加密算法。
步骤103,利用认证密码及与加密算法索引相对应的加密算法,对密文进行解密。
步骤104,若解密成功,则向用户终端发送注册成功指示。
基于本发明上述实施例提供的用于认证用户身份的方法,通过用户终端和业务服务器之间的二次注册,从而提升了RCS业务***的安全性。
图2为本发明用于认证用户身份的方法另一实施例的示意图。可选地,本实施例的方法步骤可由RCS业务服务器执行。其中:
步骤201,在接收到用户终端发送的首次注册请求后,若用户终端为指定类型,则向用户终端发送认证密码。以便用户终端利用所选择的加密算法,根据认证密码对指定报文进行加密以得到密文。
步骤202,在接收到用户终端发送的二次注册请求后,从二次注册请求中提取出加密算法索引和密文。
步骤203,利用认证密码及与加密算法索引相对应的加密算法,对密文进行解密。
步骤204,若解密成功,则向用户终端发送注册成功指示。
步骤205,在接收到用户终端发送的业务请求后,从二次注册请求中提取出加密算法索引和密文。
步骤206,利用与加密算法索引相对应的加密算法、以及与用户终端相关联的认证密码,对密文进行解密,以获得业务报文并进行相应的转发处理。
其中,在接收到用户终端发送的业务请求后,还可进一步判断与用户终端相关联的认证密码是否在有效期内。可为认证密码设置相应的有效期,例如1个小时。
若与用户终端相关联的认证密码是否在有效期内,则从二次注册请求中提取出加密算法索引和密文,进行相应的解密等业务处理。
若与用户终端相关联的认证密码不在有效期内,则表明该认证密码已经失效,此时会指示用户终端重新发送首次注册请求以获得新的认证密码。
图3为本发明用于认证用户身份的方法又一实施例的示意图。可选地,本实施例的方法步骤可由用户指定执行。其中:
步骤301,向业务服务器发送首次注册请求,其中首次注册请求中包括用户终端的终端类型,以便业务服务器在用户终端为指定类型时向用户终端发送认证密码。
步骤302,接收业务服务器发送的认证密码。
可选地,可通过接收业务服务器发送的认证短信,从认证短信中提取认证密码。
其中,短信可以是用户不可见短信。以便减小对用户的干扰。
步骤303,选择加密算法。
步骤304,利用所选择的加密算法和认证密码对指定报文进行加密以得到密文。
步骤305,向业务服务器发送二次注册请求,其中二次注册请求包括密文、以及与加密算法相对应的加密算法索引,以便业务服务器利用认证密码及与加密算法索引相对应的加密算法,对密文进行解密。
例如,加密算法索引及对应的加密算法可如下表所示。
表1
从而,业务服务器可利用加密算法索引得知用户终端所采用的加密算法,进而进行后续的认证处理。
图4为本发明用于认证用户身份的方法又一实施例的示意图。可选地,本实施例的方法步骤可由用户指定执行。其中:
步骤401,向业务服务器发送首次注册请求,其中首次注册请求中包括用户终端的终端类型,以便业务服务器在用户终端为指定类型时向用户终端发送认证密码。
步骤402,接收业务服务器发送的认证密码。
步骤403,选择加密算法。
步骤404,利用所选择的加密算法和认证密码对指定报文进行加密以得到密文。
步骤405,向业务服务器发送二次注册请求,其中二次注册请求包括密文、以及与加密算法相对应的加密算法索引,以便业务服务器利用认证密码及与加密算法索引相对应的加密算法,对密文进行解密。
步骤406,在接收到业务服务器发送的注册成功指示后,向业务服务器发送业务请求,其中业务请求包括加密算法索引和密文,以便业务服务器利用与加密算法索引相对应的加密算法、以及与用户终端相关联的认证密码,对密文进行解密,以获得业务报文并进行相应的转发处理。
图5为本发明用于认证用户身份的业务服务器一个实施例的示意图。如图5所示,业务服务器可包括第一接收模块51、认证密码发送模块52、提取模块53、认证模块54和第一发送模块55,其中:
第一接收模块51用于接收用户终端发送的首次注册请求。
认证密码发送模块52用于在第一接收模块51接收到用户终端发送的首次注册请求后,若用户终端为指定类型,则向用户终端发送认证密码,以便用户终端利用所选择的加密算法,根据认证密码对指定报文进行加密以得到密文。
可选地,认证密码发送模块52用于向用户终端发送认证短信,其中认证短信中包括认证密码。
其中,短信可以是用户不可见短信。
提取模块53用于在第一接收模块51接收到用户终端发送的二次注册请求后,从二次注册请求中提取出加密算法索引和密文。
认证模块54用于利用认证密码及与加密算法索引相对应的加密算法,对密文进行解密。
第一发送模块55用于在解密成功的情况下,向用户终端发送注册成功指示。
基于本发明上述实施例提供的用于认证用户身份的业务服务器,通过与用户终端进行二次注册处理,从而提升了RCS业务***的安全性。
图6为本发明用于认证用户身份的业务服务器又一实施例的示意图。与图5所示实施例相比,在图6所示实施例中,业务服务器还包括业务处理模块56。其中:
提取模块53用于在第一接收模块51接收到用户终端发送的业务请求后,从二次注册请求中提取出加密算法索引和密文。
业务处理模块56用于利用与加密算法索引相对应的加密算法、以及与用户终端相关联的认证密码,对密文进行解密,以获得业务报文并进行相应的转发处理。
此外,在图6所示实施例中,业务服务器还包括识别模块57,用于在第一接收模块51接收到用户终端发送的业务请求后,判断与用户终端相关联的认证密码是否在有效期内,若与用户终端相关联的认证密码是否在有效期内,则指示提取模块53从二次注册请求中提取出加密算法索引和密文。
可选地,识别模块57还用于在与用户终端相关联的认证密码不在有效期内的情况下,通过第一发送模块55指示用户终端重新发送首次注册请求。
通过给认证密码设置有效期,以便提高***的安全性。
图7为本发明用于认证用户身份的用户终端一个实施例的示意图。如图7所示,用户终端可包括第二发送模块71、认证密码接收模块72、算法选择模块73和加密模块74,其中:
第二发送模块71用于向业务服务器发送首次注册请求,其中首次注册请求中包括用户终端的终端类型,以便业务服务器在用户终端为指定类型时向用户终端发送认证密码。
认证密码接收模块72用于接收业务服务器发送的认证密码。
可选地,认证密码接收模块72用于接收业务服务器发送的认证短信,从认证短信中提取认证密码。
其中,短信可以是用户不可见短信。
算法选择模块73用于选择加密算法。
加密模块74用于利用所选择的加密算法和认证密码对指定报文进行加密以得到密文;指示第二发送模块71向业务服务器发送二次注册请求,其中二次注册请求包括密文、以及与加密算法相对应的加密算法索引,以便业务服务器利用认证密码及与加密算法索引相对应的加密算法,对密文进行解密。
基于本发明上述实施例提供的用于认证用户身份的用户终端,通过与业务服务器进行二次注册处理,从而提升了RCS业务***的安全性。
图8为本发明用于认证用户身份的用户终端另一实施例的示意图。与图7所示实施例相比,在图8所示实施例中,用户终端还包括第二接收模块75,用于接收业务服务器发送的注册成功指示。
第二发送模块71还用于在第二接收模块75接收到业务服务器发送的注册成功指示后,向业务服务器发送业务请求,其中业务请求包括加密算法索引和密文,以便业务服务器利用与加密算法索引相对应的加密算法、以及与用户终端相关联的认证密码,对密文进行解密,以获得业务报文并进行相应的转发处理。
图9为本发明用于认证用户身份的***一个实施例的示意图。如图9所示,该***可包括业务服务器91和用户终端92。其中,业务服务器91为图5或图6中任一实施例涉及的业务服务器,用户终端92为图7或图8中任一实施例涉及的用户终端。
下面通过一个具体示例对本发明进行说明,如图10所示。在该***中包括RCS业务服务器和用户终端(应用客户端)两个部分。其中,
1、RCS业务服务器具备以下功能:
1)判断RCS终端类型;
2)获取增强型认证信息:生成随机短信密码、获取Client在移动网中的用户位置;
3)注册及业务交互过程中客户端身份鉴权。
2、应用客户端具备以下功能:
1)增强型认证信息提供:自动提取认证短信密码,动态选择加密算法进行报文加密;
2)注册及业务交互过程中增强鉴权信息提供。
在本发明中,通过对IMS SIP协议的Contact头域进行扩展,增加2个增强型身份认证参数,即:
Contact:<sip:[email protected]:11065;transport=udp;Dpt=8e62_16;instance=TeminalType,privacy=sm_passwod:secret_index>;expires=3600
其中,Instance参数携带用户终端类型信息。TeminalType代表终端类型:
·instance=imei,RCS Native终端
·instance=uuid,RCS App软件客户端
privacy参数携带用户随机短信密码信息。
·sm_passwod:短信认证密码密文(有效期与注册周期相同,过期重发)
·secret_index:所选加密算法索引指示位(业务服务器与应用客户端共享加密算法列表)
步骤1001,应用客户端向业务服务器发送首次注册请求,其中Contact头域中的Instance参数为uuid。
步骤1002,业务服务器在接收到首次注册请求后,根据Contact头域中的Instance参数为uuid,确定需要启动增强认证机制。
步骤1003,业务服务器向***发送认证短信,其中认证短信中包括业务服务器随机生成的认证密码。
步骤1004,***将认证短信转发给应用客户端。
步骤1005,应用客户端从认证短信中提取出认证密码。
步骤1006,应用客户端随机选择加密算法。
步骤1007,应用客户端利用所选择的加密算法,根据所述认证密码对指定报文进行加密以得到密文。
步骤1008,应用客户端向业务服务器发送二次注册请求,其中二次注册请求包括加密算法索引和所得到的密文。
步骤1009,业务服务器从二次注册请求中提取出加密算法索引和密文。
步骤1010,业务服务器利用上述认证密码及与加密算法索引相对应的加密算法,对上述密文进行解密。
步骤1011,若解密成功,则业务服务器向应用客户端发送注册成功指示。
步骤1012,应用客户端向业务服务器发送业务请求,其中业务请求包括利用上述认证密码和所选择的加密算法进行加密处理所得到的加密报文、以及与所选择的加密算法相对应的加密算法索引。
步骤1013,业务服务器在所使用的认证密码在有效期内的情况下,利用相应的认证密码及与加密算法索引相对应的加密算法,对加密报文进行解密以得到业务报文。
步骤1014,业务服务器对得到的业务报文进行相应的转发处理。
下面给出注册消息的参考示例:
REGISTER sip:bj.ims.mnc000.mcc460.3gppnetwork.org SIP/2.0
Via:SIP/2.0/UDP
183.1.28.128:11065;branch=z9hG4bK06ip8ai8obyobpap0idbch5ao;Role=3;Dpt=8e62_16;TRC=71a-ffffffff
Call-ID:[email protected]
From:<sip:[email protected]>;tag=HHecbxH
To:<sip:[email protected]>
CSeq:1REGISTER
Allow:INVITE,ACK,BYE,CANCEL,REGISTER,INFO,PRACK,SUBSCRIBE,NOTIFY,MESSAGE,RE FER,PUBLISH
Authorization:Digest username="[email protected]",
realm="bj.ims.mnc000.mcc460.3gppnetwork.org",nonce="",uri="sip:bj.ims.mnc000.mcc460.3gppnetwo rk.org",response=""
Supported:100rel,path
User-Agent:RCS/1.3.0(And)
P-Access-Network-Info:3GPP-E-UTRAN-TDD;utran-cell-id-3gpp="4600800000000001"
Contact:<sip:[email protected]:11065;transport=udp;Dpt=8e62_16;
instance=urn:uuid:CBB1A9AA-DB2C-4937-A192-288E8041CC2C,privacy=#x%7*!~&:00
>;expires=3600;+g.3gpp.icsi-ref="urn%3Aurn-7%3A3gpp-service.ims.icsi.oma.cpm.msg";+g.3gpp.icsi-ref="urn%3Aurn-7%3A3gpp-service.ims.icsi.oma.cpm.largemsg";+g.3gpp.icsi-ref="urn%3Aurn-7%3A3gpp-service.ims.icsi.oma.cpm.filetransfer";+g.3gpp.icsi-ref="urn%3Aurn-7%3A3gpp-service.ims.icsi.oma.cpm.session"
Path:<sip:[email protected]:11065;transport=udp;lr;ssn;hwnos;TYPE=V4;IP=50.51.120.82;
PORT=16891;Dpt=8e62_86;TRC=71a-ffffffff>
P-Visited-Network-ID:"cmcc.rcs.com"
Max-Forwards:70
Content-Length:0
通过实施本发明,可以得到以下有益效果:
1、认证机制的安全性更高
与面向互联网的Digest摘要认证机制相比,本专利除保留原Digest认证方法外,借助电信运营商移动网、VoLTE网络的安全性优势,增加了随机短信密码认证,实现双重认证机制。
当用户账号、密码认证信息泄密后,攻击者通过第三方终端采用盗取的账号、密码进行注册登录时,将无法获取独立于互联网渠道的短信密码,将导致其位置认证失败。
2、增加对RCS业务交互过程中的用户身份鉴权
除增强注册鉴权机制外,本发明在RCS业务交互过程中,***将对协议消息Contact头域的privacy参数(携带认证短信密文)进行用户身份认证鉴别。对未携带合法信息的业务请求拒绝处理,以防止攻击者利用本人真实号码进行电话、消息类诈骗活动。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (22)
1.一种用于认证用户身份的方法,其特征在于,包括:
在接收到用户终端发送的首次注册请求后,若所述用户终端为指定类型,则向所述用户终端发送认证密码,以便所述用户终端利用所选择的加密算法,根据所述认证密码对指定报文进行加密以得到密文;
在接收到所述用户终端发送的二次注册请求后,从所述二次注册请求中提取出加密算法索引和所述密文;
利用所述认证密码及与所述加密算法索引相对应的加密算法,对所述密文进行解密;
若解密成功,则向所述用户终端发送注册成功指示。
2.根据权利要求1所述的方法,其特征在于,
向所述用户终端发送所述认证密码包括:
向所述用户终端发送认证短信,其中所述认证短信中包括所述认证密码。
3.根据权利要求2所述的方法,其特征在于,
所述短信是用户不可见短信。
4.根据权利要求1-3中任一项所述的方法,其特征在于,
在向所述用户终端发送注册成功指示后,还包括:
在接收到所述用户终端发送的业务请求后,从所述二次注册请求中提取出加密算法索引和所述密文;
利用与所述加密算法索引相对应的加密算法、以及与所述用户终端相关联的认证密码,对所述密文进行解密,以获得业务报文并进行相应的转发处理。
5.根据权利要求4所述的方法,其特征在于,
在接收到所述用户终端发送的业务请求后,还包括:
判断与所述用户终端相关联的认证密码是否在有效期内;
若与所述用户终端相关联的认证密码是否在有效期内,则从所述二次注册请求中提取出加密算法索引和所述密文。
6.根据权利要求5所述的方法,其特征在于,
若与所述用户终端相关联的认证密码不在有效期内,则指示所述用户终端重新发送首次注册请求。
7.一种用于认证用户身份的方法,其特征在于,包括:
向业务服务器发送首次注册请求,其中首次注册请求中包括用户终端的终端类型,以便业务服务器在所述用户终端为指定类型时向所述用户终端发送认证密码;
接收业务服务器发送的认证密码;
选择加密算法;
利用所选择的加密算法和所述认证密码对指定报文进行加密以得到密文;
向业务服务器发送二次注册请求,其中二次注册请求包括所述密文、以及与所述加密算法相对应的加密算法索引,以便业务服务器利用所述认证密码及与所述加密算法索引相对应的加密算法,对所述密文进行解密。
8.根据权利要求7所述的方法,其特征在于,
接收业务服务器发送的认证密码包括:
接收业务服务器发送的认证短信;
从所述认证短信中提取所述认证密码。
9.根据权利要求8所述的方法,其特征在于,
所述短信是用户不可见短信。
10.根据权利要求9所述的方法,其特征在于,还包括:
在接收到业务服务器发送的注册成功指示后,向业务服务器发送业务请求,其中所述业务请求包括加密算法索引和所述密文,以便业务服务器利用与所述加密算法索引相对应的加密算法、以及与所述用户终端相关联的认证密码,对所述密文进行解密,以获得业务报文并进行相应的转发处理。
11.一种用于认证用户身份的业务服务器,其特征在于,包括:
第一接收模块,用于接收用户终端发送的首次注册请求;
认证密码发送模块,用于在第一接收模块接收到用户终端发送的首次注册请求后,若所述用户终端为指定类型,则向所述用户终端发送认证密码,以便所述用户终端利用所选择的加密算法,根据所述认证密码对指定报文进行加密以得到密文;
提取模块,用于在第一接收模块接收到所述用户终端发送的二次注册请求后,从所述二次注册请求中提取出加密算法索引和所述密文;
认证模块,用于利用所述认证密码及与所述加密算法索引相对应的加密算法,对所述密文进行解密;
第一发送模块,用于在解密成功的情况下,向所述用户终端发送注册成功指示。
12.根据权利要求11所述的业务服务器,其特征在于,
认证密码发送模块用于向所述用户终端发送认证短信,其中所述认证短信中包括所述认证密码。
13.根据权利要求12所述的业务服务器,其特征在于,
所述短信是用户不可见短信。
14.根据权利要求11-13中任一项所述的业务服务器,其特征在于,还包括业务处理模块,其中:
提取模块用于在第一接收模块接收到所述用户终端发送的业务请求后,从所述二次注册请求中提取出加密算法索引和所述密文;
业务处理模块,用于利用与所述加密算法索引相对应的加密算法、以及与所述用户终端相关联的认证密码,对所述密文进行解密,以获得业务报文并进行相应的转发处理。
15.根据权利要求14所述的业务服务器,其特征在于,还包括识别模块,其中:
识别模块,用于在第一接收模块接收到所述用户终端发送的业务请求后,判断与所述用户终端相关联的认证密码是否在有效期内,若与所述用户终端相关联的认证密码是否在有效期内,则指示提取模块从所述二次注册请求中提取出加密算法索引和所述密文。
16.根据权利要求15所述的业务服务器,其特征在于,
识别模块还用于在与所述用户终端相关联的认证密码不在有效期内的情况下,通过第一发送模块指示所述用户终端重新发送首次注册请求。
17.一种用于认证用户身份的用户终端,其特征在于,包括:
第二发送模块,用于向业务服务器发送首次注册请求,其中首次注册请求中包括用户终端的终端类型,以便业务服务器在所述用户终端为指定类型时向所述用户终端发送认证密码;
认证密码接收模块,用于接收业务服务器发送的认证密码;
算法选择模块,用于选择加密算法;
加密模块,用于利用所选择的加密算法和所述认证密码对指定报文进行加密以得到密文;指示第二发送模块向业务服务器发送二次注册请求,其中二次注册请求包括所述密文、以及与所述加密算法相对应的加密算法索引,以便业务服务器利用所述认证密码及与所述加密算法索引相对应的加密算法,对所述密文进行解密。
18.根据权利要求17所述的用户终端,其特征在于,
认证密码接收模块用于接收业务服务器发送的认证短信,从所述认证短信中提取所述认证密码。
19.根据权利要求18所述的用户终端,其特征在于,
所述短信是用户不可见短信。
20.根据权利要求19所述的用户终端,其特征在于,还包括第二接收模块,其中:
第二接收模块,用于接收业务服务器发送的注册成功指示;
第二发送模块还用于在第二接收模块接收到业务服务器发送的注册成功指示后,向业务服务器发送业务请求,其中所述业务请求包括加密算法索引和所述密文,以便业务服务器利用与所述加密算法索引相对应的加密算法、以及与所述用户终端相关联的认证密码,对所述密文进行解密,以获得业务报文并进行相应的转发处理。
21.一种用于认证用户身份的***,其特征在于,包括:
如权利要求11-16中任一项所述的业务服务器;
如权利要求17-20中任一项所述的用户终端。
22.根据权利要求21所述的***,其特征在于,还包括:
***,用于将所述业务服务器发送的认证短信转发给所述用户终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710492457.2A CN109120408A (zh) | 2017-06-26 | 2017-06-26 | 用于认证用户身份的方法、装置和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710492457.2A CN109120408A (zh) | 2017-06-26 | 2017-06-26 | 用于认证用户身份的方法、装置和*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109120408A true CN109120408A (zh) | 2019-01-01 |
Family
ID=64732408
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710492457.2A Pending CN109120408A (zh) | 2017-06-26 | 2017-06-26 | 用于认证用户身份的方法、装置和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109120408A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112020063A (zh) * | 2019-05-31 | 2020-12-01 | ***通信有限公司研究院 | 一种富通信套件rcs业务的注册方法、终端及服务器 |
| CN112052432A (zh) * | 2020-09-01 | 2020-12-08 | 禾麦科技开发(深圳)有限公司 | 终端设备授权方法及装置 |
| CN114826574A (zh) * | 2022-04-19 | 2022-07-29 | 中国电子科技集团公司第三十研究所 | 智能家居安全通信***及通信方法 |
| CN115913593A (zh) * | 2021-09-30 | 2023-04-04 | 中国电信股份有限公司 | 云富媒体通讯套件业务配置的方法、***和相关设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043337A (zh) * | 2007-03-22 | 2007-09-26 | 中兴通讯股份有限公司 | 内容类业务的交互方法 |
| CN101277192A (zh) * | 2008-04-25 | 2008-10-01 | 华为技术有限公司 | 一种验证客户端的方法及*** |
| CN101753296A (zh) * | 2009-12-29 | 2010-06-23 | 浙江大学 | 密钥嵌入式密码 |
| CN103906052A (zh) * | 2012-12-26 | 2014-07-02 | ***通信集团公司 | 一种移动终端认证方法、业务访问方法及设备 |
| US20160373257A1 (en) * | 2015-06-22 | 2016-12-22 | Farid Adrangi | Key agreement and authentication for wireless communication |
-
2017
- 2017-06-26 CN CN201710492457.2A patent/CN109120408A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043337A (zh) * | 2007-03-22 | 2007-09-26 | 中兴通讯股份有限公司 | 内容类业务的交互方法 |
| CN101277192A (zh) * | 2008-04-25 | 2008-10-01 | 华为技术有限公司 | 一种验证客户端的方法及*** |
| CN101753296A (zh) * | 2009-12-29 | 2010-06-23 | 浙江大学 | 密钥嵌入式密码 |
| CN103906052A (zh) * | 2012-12-26 | 2014-07-02 | ***通信集团公司 | 一种移动终端认证方法、业务访问方法及设备 |
| US20160373257A1 (en) * | 2015-06-22 | 2016-12-22 | Farid Adrangi | Key agreement and authentication for wireless communication |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112020063A (zh) * | 2019-05-31 | 2020-12-01 | ***通信有限公司研究院 | 一种富通信套件rcs业务的注册方法、终端及服务器 |
| CN112052432A (zh) * | 2020-09-01 | 2020-12-08 | 禾麦科技开发(深圳)有限公司 | 终端设备授权方法及装置 |
| CN115913593A (zh) * | 2021-09-30 | 2023-04-04 | 中国电信股份有限公司 | 云富媒体通讯套件业务配置的方法、***和相关设备 |
| CN115913593B (zh) * | 2021-09-30 | 2024-05-14 | 中国电信股份有限公司 | 云富媒体通讯套件业务配置的方法、***和相关设备 |
| CN114826574A (zh) * | 2022-04-19 | 2022-07-29 | 中国电子科技集团公司第三十研究所 | 智能家居安全通信***及通信方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104579694B (zh) | 一种身份认证方法及*** | |
| EP2705642B1 (en) | System and method for providing access credentials | |
| US8763097B2 (en) | System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication | |
| CN102160357B (zh) | 通信网络中的密钥管理 | |
| CN104683304B (zh) | 一种保密通信业务的处理方法、设备和*** | |
| CN109302412B (zh) | 基于CPK的VoIP通信处理方法、终端、服务器及存储介质 | |
| CN105141636B (zh) | 适用于cdn增值业务平台的http安全通信方法及*** | |
| US20080141313A1 (en) | Authentication bootstrap by network support | |
| KR20180095873A (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
| CN103906052B (zh) | 一种移动终端认证方法、业务访问方法及设备 | |
| KR20120109580A (ko) | 인증 방법, 시스템 및 장치 | |
| CN102868665A (zh) | 数据传输的方法及装置 | |
| CN104683098B (zh) | 一种保密通信业务的实现方法、设备及*** | |
| CN109120408A (zh) | 用于认证用户身份的方法、装置和*** | |
| CN107483429B (zh) | 一种数据加密方法和装置 | |
| WO2022033278A1 (zh) | 一种基于ims数据通道的通信方法及设备 | |
| CN102196426A (zh) | 一种接入ims网络的方法、装置和*** | |
| CN104378379A (zh) | 一种数字内容加密传输方法、设备和*** | |
| CN107094156A (zh) | 一种基于p2p模式的安全通信方法及*** | |
| CN111756726A (zh) | 一种支持国密算法的sip安全认证方法 | |
| Rao et al. | Authentication using mobile phone as a security token | |
| CN103973543B (zh) | 即时通信方法及装置 | |
| Zhang et al. | Cryptanalysis and improvement of password‐authenticated key agreement for session initiation protocol using smart cards | |
| CN114765534A (zh) | 基于国密标识密码算法的私钥分发*** | |
| US20150067807A1 (en) | Operating a user device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190101 |
|
| RJ01 | Rejection of invention patent application after publication |