CN111050314B - 客户端注册方法、装置及*** - Google Patents
客户端注册方法、装置及*** Download PDFInfo
- Publication number
- CN111050314B CN111050314B CN201910774037.2A CN201910774037A CN111050314B CN 111050314 B CN111050314 B CN 111050314B CN 201910774037 A CN201910774037 A CN 201910774037A CN 111050314 B CN111050314 B CN 111050314B
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- identity
- registration server
- party application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种客户端注册方法、装置及***。所述方法包括:用户终端基于用户识别模块SIM与注册服务器基于用户数据***进行认证与密钥协商;若认证与密钥协商成功,则注册服务器根据移动用户标识确定用户身份标识,生成与所述用户身份标识相关联的安全令牌;用户终端获取注册服务器传递的所述安全令牌;用户终端基于所述安全令牌与注册服务器进行安全认证,并且向注册服务器传递第三方应用客户端的第三方应用标识;若所述安全认证成功,则注册服务器向用户终端提供包括第三方用户标识或/和用户令牌的注册信息,从而使得所述第三方应用客户端可以实现快捷、安全的身份认证等操作,可极大提升用户的使用体验。
Description
【技术领域】
本发明涉及通信技术领域和互联网技术领域,尤其涉及客户端注册方法、装置及***。
【背景技术】
用于3G以上网络的全球用户识别模块(USIM,Universal Subscriber IdentityModule)和用于IMS网络的IP多媒体服务识别模块(IP multimedia services identitymodule,ISIM),是通信运营商用于鉴别签约用户的身份、符合3GPP标准规范的IC集成电路设备。
eSIM作为一种嵌入式SIM卡,实质上是将SIM卡上的用户数据和加密信息由原来存储在物理SIM卡转移到用户终端设备本身的另一个硬件载体上;软SIM是通过纯软件方式代替物理SIM卡实现SIM的功能,同样安全地存储有用户数据和密钥信息。
无论是哪一种SIM卡类型,SIM卡里都存储有签约用户的移动用户标识和密钥信息,为了表述方便,对于上述存储有移动通信网络签约用户的身份标识和密钥信息的模块统称为“用户识别模块SIM”。相应地,归属用户服务器HSS(home subscriber server,归属用户服务器)和统一数据管理(unified data management,UDM)是移动通信网络的用户数据***,里面存储了与用户识别模块SIM中对应的移动用户标识和密钥信息。
随着用户智能终端(如智能手机)的广泛使用,用户在用户智能终端上会安装有大量的第三方应用客户端,而第三方应用客户端在使用时,往往需要获取终端用户的认证信息之后才能向第三方应用服务器实现身份认证和获取应用服务,而这些认证信息通常是需要终端用户手工输入或预先配置的,例如输入账号及相应的口令、预先配置共享密钥等,但这些操作都较为烦琐和影响用户的使用体验。
【发明内容】
本发明的主要目的在于提供一种客户端注册方法、装置及***,旨在提供一种为用户终端中运行的第三方应用客户端能安全、自动地获取注册信息的方法、装置及***,从而能为第三方应用客户端自动获取包括第三方用户标识、用户令牌等在内的注册信息,进而解决现有第三方应用客户端在注册账号、获取用户令牌、用户身份认证等过程中使用较为烦琐从而影响用户使用体验的技术问题。
为达到上述目的,本发明提供了以下技术方案:
第一方面,提供了一种客户端注册方法,应用于运行有第三方应用客户端的用户终端中,所述方法包括:
基于用户识别模块SIM与注册服务器基于用户数据***进行认证与密钥协商,若所述认证与密钥协商成功,则获取所述注册服务器传递的安全令牌;
基于所述安全令牌与所述注册服务器进行安全认证;
将第三方应用标识传递给所述注册服务器,所述第三方应用标识为所述第三方应用客户端的标识;
在所述安全认证成功之后,接收所述注册服务器为所述第三方应用客户端提供的注册信息和服务。
优选的,所述用户终端与所述注册服务器通过数据网络连接。
优选的,所述数据网络包括因特网、移动互联网。
优选的,所述用户终端通过移动数据连接、WiFi连接或/和WLAN连接接入所述移动互联网。
优选的,所述移动数据包括3G移动数据、4G移动数据、5G移动数据或6G移动数据。
优选的,所述基于用户识别模块SIM与注册服务器基于用户数据***进行认证与密钥协商包括:
获取所述用户识别模块SIM的移动用户标识;
向所述注册服务器发送认证与密钥协商请求,所述认证与密钥协商请求包括所述移动用户标识;
接收所述注册服务器发送的认证与密钥协商挑战消息,所述认证与密钥协商挑战消息包括随机数RAND和鉴权令牌AUTN;
向所述用户识别模块SIM发送鉴权请求,所述鉴权请求包括所述随机数RAND和所述鉴权令牌AUTN;
接收所述用户识别模块SIM的返回值,所述返回值包括期望响应值RES;
向所述注册服务器发送认证与密钥协商挑战应答消息,所述认证与密钥协商挑战应答消息包括第一期望响应值,所述第一期望响应值是基于所述期望响应值RES生成的;
接收所述注册服务器发送的认证与密钥协商成功应答消息,所述认证与密钥协商成功应答消息是在所述注册服务器验证所述第一期望响应值有效之后发送的;
获取所述注册服务器传递的所述安全令牌。
优选的,所述用户数据***为归属用户服务器HSS,则:
所述用户识别模块SIM为全球用户识别模块USIM,所述移动用户标识为国际移动用户识别码IMSI;或者,所述用户识别模块SIM为IP多媒体服务识别模块ISIM,所述移动用户标识为IP多媒体私有标识IMPI;
所述第一期望响应值为所述期望响应值RES;或者,所述第一期望响应值为对所述期望响应值RES哈希计算后所生成的哈希值。
优选的,所述用户数据***为统一用户管理UDM,则:
所述用户识别模块SIM为全球用户识别模块USIM,所述移动用户标识为用户永久标识SUPI;
所述第一期望响应值为期望响应值RES*,所述期望响应值RES*是基于所述期望响应值RES生成的;或者,所述第一期望响应值为对所述期望响应值RES*哈希计算后所生成的哈希值。
优选的,所述向所述注册服务器发送认证与密钥协商请求还包括:
将所述用户永久标识SUPI加密生成用户隐藏标识SUCI;
在所述向所述注册服务器发送的认证与密钥协商请求中,将所述用户隐藏标识SUCI作为所述移动用户标识。
优选的,所述接收所述注册服务器传递的所述安全令牌包括:
所述认证与密钥协商成功应答消息中包括所述安全令牌,从所述认证与密钥协商成功应答消息中获取所述安全令牌;或者,
在接收到所述认证与密钥协商成功应答消息之后,接收所述注册服务器发送的所述安全令牌。
优选的,所述基于所述安全令牌与所述注册服务器进行安全认证包括:
向所述注册服务器发送安全认证请求,所述安全认证请求包括所述安全令牌;
若所述注册服务器验证所述安全令牌有效,则确定安全认证成功。
优选的,所述将第三方应用标识传递给所述注册服务器包括:
在所述安全认证过程中,将第三方应用标识传递给所述注册服务器;或者,
在所述安全认证过程之后,以及在所述接收所述注册服务器为所述第三方应用客户端提供的注册信息和服务之前,将第三方应用标识传递给所述注册服务器。
优选的,所述接收所述注册服务器为所述第三方应用客户端提供的注册信息和服务包括:
接收所述注册服务器传递的第三方用户标识,所述第三方用户标识用于在所述第三方应用客户端中标识用户身份;或/和,
接收所述注册服务器发送的用户令牌,所述用户令牌用于所述第三方应用客户端访问对应第三方应用服务器的认证鉴权。
优选的,在所述向所述注册服务器传递第三方应用标识和在所述安全认证成功之后,以及在所述接收所述注册服务器为所述第三方应用客户端提供的注册信息和服务之前,还包括:
向所述注册服务器发送经终端用户确认的授权信息。
优选的,所述向所述注册服务器发送经终端用户确认的授权信息包括:
接收所述注册服务器发送的应用授权请求消息;
显示应用授权验证界面;
接收终端用户在所述应用授权验证界面中输入的授权信息;
若所述授权信息表示确认授权,则向所述注册服务器发送应用授权应答消息,所述应用授权应答消息为应用授权确认消息。
第二方面,提供了一种客户端注册方法,应用于注册服务器中,所述方法包括:
基于用户数据***与用户终端基于用户识别模块SIM进行认证与密钥协商,若所述认证与密钥协商成功,则根据移动用户标识确定用户身份标识,生成安全令牌,以及建立所述安全令牌与所述用户身份标识的关联关系,将所述安全令牌传递给所述用户终端,所述移动用户标识为所述用户识别模块SIM的移动用户标识;
基于所述关联关系与所述用户终端进行安全认证,以及获取所述用户身份标识;
获取所述用户终端传递的第三方应用标识,所述第三方应用标识为所述用户终端中运行的第三方应用客户端的标识;
在所述安全认证成功之后,根据所述用户身份标识和所述第三方应用标识向所述用户终端提供注册信息和服务,所述注册信息和服务为向所述第三方应用客户端提供的注册信息和服务。
优选的,所述注册服务器与所述用户终端通过数据网络连接。
优选的,所述数据网络包括因特网、移动互联网。
优选的,所述基于用户数据***与用户终端基于用户识别模块SIM进行认证与密钥协商包括:
接收所述用户终端发送的认证与密钥协商请求,所述认证与密钥协商请求包括所述移动用户标识;
向所述用户数据***发送认证请求,所述认证请求包括所述移动用户标识;
接收所述用户数据***反馈的认证应答,所述认证应答包括随机数RAND、鉴权令牌AUTN和第二期望响应值;
向所述用户终端发送认证与密钥协商挑战消息,所述认证与密钥协商挑战消息包括所述随机数RAND和所述鉴权令牌AUTN;
接收所述用户终端发送的认证与密钥协商挑战应答消息,所述认证与密钥协商挑战应答消息包括第一期望响应值;
基于所述第二期望响应值验证所述第一期望响应值;
若验证所述第一期望响应值有效,则根据所述移动用户标识确定用户身份标识,生成安全令牌以及建立所述安全令牌与所述用户身份标识的关联关系,将所述安全令牌传递给所述用户终端,以及向所述用户终端发送认证与密钥协商成功应答消息。
优选的,所述基于所述第二期望响应值验证所述第一期望响应值包括:
所述第一期望响应值为明文,比较所述第二期望响应值与所述第一期望响应值是否一致,若一致则确定所述第一期望响应值有效;或者,
所述第一期望响应值为哈希计算后的哈希值,则将所述第二期望响应值使用相同的哈希计算方式计算生成哈希值,并且比较两个哈希值是否一致,若一致则确定所述第一期望响应值有效。
优选的,所述根据所述移动用户标识确定用户身份标识包括:
将所述移动用户标识确定为所述用户身份标识;或者,
根据所述移动用户标识获取对应的MSISDN,将所述对应的MSISDN确定为所述用户身份标识;或者,
预先建立有移动用户标识与用户身份标识的关联关系,根据所述移动用户标识在所述移动用户标识与用户身份标识的关联关系中获取所述用户身份标识。
优选的,所述生成安全令牌以及建立所述安全令牌与所述用户身份标识的关联关系包括:
使用随机生成的全局唯一字符串作为所述安全令牌,并且建立所述安全令牌与所述用户身份标识的关联关系;或者,
使用对称加密算法基于预置密钥将包括所述用户身份标识的信息加密,将加密后得到的密文作为所述安全令牌。
优选的,所述将所述安全令牌传递给所述用户终端包括:
在所述认证与密钥协商成功应答消息中包括所述安全令牌,以使得所述用户终端获取所述安全令牌;或者,
在发送所述认证与密钥协商成功应答消息之后,将所述安全令牌发送给所述用户终端。
优选的,所述用户数据***为归属用户服务器HSS,则:
所述移动用户标识为国际移动用户识别码IMSI或者是IP多媒体私有标识IMPI;
所述第二期望响应值为期望响应值XRES。
优选的,所述用户数据***为统一用户管理UDM,则:
所述移动用户标识为用户永久标识SUPI;
所述第二期望响应值为期望响应值XRES*。
优选的,所述移动用户标识为对所述用户永久标识SUPI加密后生成的用户隐藏标识SUCI,将所述用户隐藏标识SUCI作为所述向所述用户数据***发送的认证请求中所包括的所述移动用户标识,在所述认证应答中还包括所述用户数据***对所述用户隐藏标识SUCI解密后得到的所述用户永久标识SUPI,将所述解密后得到的所述用户永久标识SUPI作为后续步骤中的所述移动用户标识。
优选的,所述基于所述关联关系与所述用户终端进行安全认证包括:
接收所述用户终端发送的安全认证请求,所述安全认证请求包括所述安全令牌;
若验证所述安全令牌有效并且获取到所述用户身份标识,则确定安全认证成功。
优选的,所述验证所述安全令牌有效并且获取到关联的所述用户身份标识包括:
若使用随机生成的全局唯一字符串作为安全令牌,则在存储的所有安全令牌与用户身份标识的关联关系中查找所述安全令牌,以及获取所述安全令牌关联的用户身份标识;若查找到,则确定验证所述安全令牌有效,并确定所述关联的用户身份标识为所述用户身份标识;若没查找到,则确定验证所述安全令牌无效;或者,
若使用对称加密算法基于预置密钥将包括用户身份标识的信息加密后得到的密文作为安全令牌,则使用相同的对称加密算法基于所述预置密钥将所述安全令牌解密,并获取所述解密后的明文中的用户身份标识;若能成功解密并获取到用户身份标识,则确定验证所述安全令牌有效,并确定所述成功解密后获取到的用户身份标识为所述用户身份标识;若否,则确定验证所述安全令牌无效。
优选的,所述获取所述用户终端传递的第三方应用标识包括:
在所述安全认证过程中,接收所述用户终端传递的第三方应用标识;或者,
在所述安全认证过程之后,以及在所述根据所述用户身份标识和所述第三方应用标识向所述用户终端提供注册信息和服务之前,接收所述用户终端传递的第三方应用标识。
优选的,所述根据所述用户身份标识和所述第三方应用标识向所述用户终端提供注册信息和服务包括:
获取所述用户身份标识和所述第三方应用标识对应的第三方用户标识,向所述用户终端传递所述第三方用户标识,以使得所述第三方用户标识用于在所述第三方应用客户端中标识用户身份;或/和,
生成与所述用户身份标识和所述第三方应用标识相关联的用户令牌,向所述用户终端传递所述用户令牌,以使得所述用户令牌用于在所述第三方应用客户端中访问对应第三方应用服务器的认证鉴权。
优选的,所述获取所述用户身份标识和所述第三方应用标识对应的第三方用户标识包括:
根据所述用户身份标识和所述第三方应用标识查找对应的第三方用户标识;
若查找到对应的第三方用户标识,则确定所述查找到的对应的第三方用户标识为所述第三方用户标识;
若没有查找到对应的第三方用户标识,则创建一个唯一的第三方用户标识,确定所述唯一的第三方用户标识为所述第三方用户标识,并且建立所述用户身份标识和所述第三方应用标识与所述唯一的第三方用户标识的对应关系,以使得根据所述用户身份标识和所述第三方应用标识能查找到所述唯一的第三方用户标识。
优选的,所述生成与所述用户身份标识和所述第三方应用标识相关联的用户令牌包括:
使用随机生成的全局唯一字符串作为所述用户令牌;
建立所述用户令牌与所述用户身份标识和所述第三方应用标识的关联关系,以使得根据所述用户令牌能获取到所述用户身份标识和所述第三方应用标识。
优选的,在接收所述用户终端传递的第三方应用标识和在所述安全认证成功之后,以及在所述根据所述用户身份标识和所述第三方应用标识向所述用户终端提供注册信息和服务之前,还包括:
获取所述用户终端发送的经终端用户确认的授权信息,若获取到所述用户终端发送的经终端用户确认的授权信息,则执行所述根据所述用户身份标识和所述第三方应用标识向所述用户终端提供注册信息和服务。
优选的,所述获取所述用户终端发送的经终端用户确认的授权信息包括:
向所述用户终端发送应用授权请求消息;
接收所述用户终端发送的应用授权应答消息;
若所述应用授权应答消息为应用授权确认消息,则执行所述根据所述用户身份标识和所述第三方应用标识向所述用户终端提供注册信息和服务。
优选的,所述应用授权请求消息包括:
第三方应用名称,所述第三方应用名称是所述第三方应用标识所对应的第三方应用名称;或/和,
移动用户名称,所述移动用户名称是所述用户身份标识所对应的移动用户名称。
第三方面,提供一种客户端注册装置,其特征在于,所述客户端注册装置应用于运行有第三方应用客户端的用户终端中,包括:存储器、处理器,所述处理器用于运行所述存储器所存储的程序,所述程序运行时执行包括上述第一方面应用于运行有第三方应用客户端的用户终端中任一项所述的方法。
提供一种客户端注册装置,其特征在于,所述客户端注册装置应用于注册服务器,包括:存储器、处理器,所述处理器用于运行所述存储器所存储的程序,所述程序运行时执行包括上述第二方面应用于注册服务器中任一项所述的方法。
提供一种客户端注册***,其特征在于,所述客户端注册***包括:用户终端以及注册服务器;所述用户终端包括上述应用于运行有第三方应用客户端的用户终端的客户端注册装置;所述注册服务器包括上述应用于注册服务器的客户端注册装置。
提供一种存储介质,其特征在于,所述存储介质中存储有程序,所述程序用于实现包括上述第一方面应用于运行有第三方应用客户端的用户终端中的任一项所述方法。
提供一种存储介质,其特征在于,所述存储介质中存储有程序,所述程序用于实现包括上述第二方面应用于注册服务器中的任一项所述方法。
本发明实现了用户终端基于用户识别模块SIM、注册服务器基于用户数据***为第三方应用客户端自动获取包括第三方用户标识、用户令牌等在内的注册信息,带来的有益效果至少包括:第一方面,解决现有第三方应用客户端在注册账号、获取用户令牌、用户身份认证等过程中使用较为烦琐、影响用户使用体验的技术问题,整个过程不需要用户输入或仅少量输入信息,提升了用户的使用体验;第二方面,只要是同一用户识别模块SIM,即使是更换到其他的用户终端上,只要是相同的第三方应用客户端,也能为其自动获取相同的第三方用户标识;第三方面,用户识别模块SIM作为用户在移动通信网络中的必备组件,将其应用在因特网、移动互联网等应用服务的身份认证领域,减少了用户在身份认证领域的投入,也提高了应用服务商获取用户的效率;第四方面,使得注册服务器可以作为一种提供注册信息的服务平台,安全、高效地为用户终端向因特网、移动互联网等应用服务的身份认证提供注册信息,促进了通信网络与因特网、移动互联网的业务融合。
【附图说明】
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1是本发明实施例提供的一种实施环境结构示意图;
图2是本发明提供的客户端注册方法实施例一的流程示意图;
图3是本发明提供的客户端注册方法实施例二的流程示意图;
图4是本发明提供的客户端安全认证过程实施例的流程示意图;
图5是本发明提供的客户端注册信息提供过程实施例一的流程示意图;
图6是本发明提供的客户端注册信息提供过程实施例二的流程示意图;
图7是本发明提供的认证与密钥协商过程实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
【具体实施方式】
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
一、相关名词术语
为了便于理解,对本文中涉及的一些名词作介绍和说明。
移动用户标识:用于唯一识别用户识别模块SIM的标识,移动用户标识包括:国际移动用户识别码(international mobile subscriber identification number,IMSI),或者IP多媒体私有标识(IP multimedia private identity,IMPI),或者用户永久标识(5Gsubscription permanent identifier,SUPI),或者对用户永久标识加密后的结果即用户隐藏标识(SUbscription concealed identifier,SUCI)。
MSISDN:移动用户ISDN号码(Mobile Subscriber ISDN Number),为呼叫一个移动用户所需拨打的号码,以及为向一个移动用户发送短信消息的接收号码,也就是通常所说的移动电话号码。
用户身份标识:用于长期标识用户身份的标识,包括移动用户标识、MSISDN或其他可以用于长期标识用户身份的标识。
第三方应用标识:第三方应用标识用于唯一地标识第三方应用服务器,以及用于标识该第三方应用服务器对应的第三方应用客户端。
签名加密算法:指用于加密地核实信息真实性的加密算法,只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明,例如消息认证码(诸如基于哈希的消息认证码HMAC、密码分组链接消息认证码CBC-MAC、伽罗瓦消息认证码GMAC等)、含密钥加密的哈希函数、基于RSA的数字方案(诸如RSA-PSS)、数字签名算法(DSA)和椭圆曲线数字签名算法等。
对称加密算法:指加密和解密使用相同密钥的加密算法,例如三重数据加密标准(Triple Data Encryption Standard,DES)、高级加密标准(Advanced EncryptionStandard,AES)等。
认证与密钥协商机制:英文简称为AKA(authentication and key agreement,AKA),基于挑战应答机制,完成终端用户和移动通信网络间的身份认证,同时基于身份认证对通信加密密钥进行协商。当前,通常将用于3G/4G移动通信网络的认证与密钥协商机制称为AKA,而将用于5G移动通信网络的认证与密钥协商机制称为5G AKA,为了加以区分和避免混淆,在本发明实施例中,将用于3G/4G移动通信网络的认证与密钥协商机制称为3G/4GAKA,将用于5G移动通信网络的认证与密钥协商机制称为5G AKA,如无特别说明,认证与密钥协商机制包括3G/4G AKA和5G AKA。
用户数据***:在移动通信网络中用于存储移动用户标识、移动用户密钥(K)、AKA相关算法并对终端用户进行身份认证等的***,也被称为用户签约服务器,具体包括归属用户服务器(home subscriber server,HSS)和统一数据管理(unified data management,UDM)。
用户识别模块SIM:用于为终端用户存储包括移动用户标识、移动用户密钥(K)、归属网络、AKA相关算法等的应用,终端用户基于用户识别模块SIM实现向移动通信网络的身份认证,具体包括全球用户识别模块(universal subscriber identity module,USIM)和IP多媒体服务识别模块(IP multimedia services identity module,ISIM)。
令牌:用于安全认证或访问受保护资源的凭据,通常是一个字符串。基于令牌可用于安全认证或访问受保护资源的不同,在本发明各实施例中,将令牌区分为安全令牌、用户令牌等。
二、实施环境结构示意图
请参考图1,其示出了本发明实施例提供的客户端注册方法所涉及的一种实施环境的结构示意图。该实施环境包括注册服务器、用户终端、第三方应用客户端。
注册服务器:与用户终端通过网络相连,用于与用户终端进行认证与密钥协商,对用户终端进行安全认证,以及向用户终端提供注册信息和服务;与用户数据***通过网络相连,用于向用户数据***发送认证请求和获取请求结果,该用户数据***包括归属用户服务器(home subscriber server,HSS)或/和统一数据管理(unified data management,UDM)。注册服务器通常由通信运营服务商提供。
用户终端:用户终端通过WLAN、WiFi、移动数据(包括3G/4G/5G/6G移动数据)、LAN、固定宽带等有线或无线方式接入网络并与注册服务器进行数据连接,该网络包括因特网、移动互联网等数据网络。用户终端是可***、内嵌或者外部连接有用户识别模块SIM并且支持对用户识别模块SIM读取的智能终端设备,通常是智能手机,也可以是智能电视、机顶盒、平板电脑、便携计算机、台式计算机、智能手表等。
第三方应用客户端:运行在用户终端的操作***中的应用程序,由第三方应用服务商提供。
可以理解的是,在实际实施环境中,可以包括一个、多个或大量的用户终端,每个用户终端中可以运行一个或多个由不同第三方应用服务商提供的第三方应用客户端,每个第三方应用客户端分别用于访问对应的第三方应用服务器,从而获取对应的第三方应用服务器提供的业务应用数据和服务。
需要说明的是,在实际实施环境中,还应当有第三方应用服务器。第三方应用服务器由第三方应用服务商提供,用于和对应的第三方应用客户端通过网络相连接,向第三方应用客户端提供用户所需的业务应用数据和服务,例如资讯、购物、社交等;用于和注册服务器通过网络相连接,向注册服务器获取或验证第三方应用客户端的注册信息,例如第三方用户标识、用户令牌等信息。
本领域技术人员可以理解,图1中示出的实施环境结构并不构成对实施环境的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
三、客户端注册方法实施例一
请参考图2,其示出了本发明提供的客户端注册方法实施例一的流程图,该方法可用于图1所示的实施环境中。该方法可以包括:
步骤201.用户终端与注册服务器进行认证与密钥协商,若认证与密钥协商成功,则注册服务器建立安全令牌与用户身份标识的关联关系,用户终端获取该安全令牌。
用户终端连接的用户识别模块SIM中存储有移动用户标识、移动用户密钥(K)和AKA相关算法,相应的,在注册服务器连接的用户数据***中存储有该移动用户标识、该移动用户标识对应的移动用户密钥(K)和AKA相关算法。
因此,用户终端基于用户识别模块SIM、注册服务器基于用户数据***通过认证与密钥协商机制进行认证与密钥协商,其中,若认证与密钥协商成功,则注册服务器根据移动用户标识确定用户身份标识,生成安全令牌,以及建立该安全令牌与该用户身份标识的关联关系,将该安全令牌传递给用户终端,移动用户标识为用户识别模块SIM的标识。相对应的,用户终端获取注册服务器传递的该安全令牌。
建立安全令牌与用户身份标识的关联关系的实施方式,可以在注册服务器上建立安全令牌与用户身份标识的关联关系,也可以将包括用户身份标识的信息加密生成安全令牌,从而都可以使得根据安全令牌能获取到用户身份标识。
具体的,用户终端与注册服务器进行认证与密钥协商可以包括多种实施方式,在认证与密钥协商过程实施例中,提供了一种用以实现用户终端与注册服务器进行认证与密钥协商的实施方式。
步骤202.用户终端基于该安全令牌与注册服务器基于该关联关系进行安全认证。
在用户终端与注册服务器成功进行了认证与密钥协商之后,用户终端基于得到的安全令牌,向注册服务器进行安全认证;注册服务器则验证该安全令牌,并且根据该安全令牌在用户身份标识与安全令牌的关联关系中获取关联的用户身份标识。
具体的,用户终端与注册服务器进行安全认证可以包括多种实施方式,在客户端安全认证过程实施例中,提供了一种用以实现用户终端与注册服务器进行安全认证的实施方式。
步骤203.用户终端将第三方应用客户端的第三方应用标识传递给注册服务器。
第三方应用标识是用户终端中运行的第三方应用客户端的标识,也是该第三方应用客户端对应的第三方应用服务器的标识。
用户终端获取第三方应用标识。例如,在第三方应用客户端软件安装包内已经内置存储并且在安装后存储在配置文件中,用户终端从该配置文件中获取该第三方应用标识;或者,由第三方应用客户端向对应的第三方应用服务器发送请求后获得,再由用户终端从该第三方应用客户端获取,或者由第三方应用客户端发送给用户终端。
用户终端将获取的第三方应用标识传递给注册服务器,以使得注册服务器能根据该第三方应用标识为第三方应用客户端提供注册信息和服务。
步骤204.在安全认证成功之后,注册服务器向用户终端提供为第三方应用客户端提供的注册信息和服务。
在安全认证成功之后,注册服务器根据用户终端传递的第三方应用标识,以及根据获取的用户身份标识,向用户终端提供为该第三方应用标识对应的第三方应用客户端提供的注册信息和服务。
相应地,在确定安全认证成功和向注册服务器传递第三方应用标识之后,用户终端接收注册服务器为第三方应用客户端提供的注册信息和服务,并将接收的该注册信息和服务传递给该第三方应用客户端。
需要说明的是,上述步骤203用户终端将第三方应用标识传递给注册服务器,既可以在步骤202用户终端与注册服务器进行安全认证的过程中同时进行,还可以在步骤204即用户终端与注册服务器安全认证成功之后、注册服务器向用户终端提供为第三方应用客户端提供的注册信息和服务之前进行,例如,在安全认证过程中,在用户终端向注册服务器发送的安全认证请求中还包括第三方应用标识;或者,在安全认证成功之后,用户终端与注册服务器间保持有会话状态或认证令牌,用户终端根据该会话状态或认证令牌向注册服务器传递第三方应用标识。
具体的,注册服务器向运行在用户终端中的第三方应用客户端提供注册信息和服务可以包括多种实施方式,在客户端注册信息提供过程实施例一和客户端注册信息提供过程实施例二中,提供了多种用以实现为运行在用户终端中的第三方应用客户端提供注册信息的实施方式。
由上可知,本实施例提供的方法,经过用户终端与注册服务器之间的认证与密钥协商,用户终端基于获取的安全令牌与注册服务器进行安全认证,以及用户终端将第三方应用标识传递给注册服务器,从而注册服务器为用户终端中运行的第三方应用客户端提供注册信息和服务,整个过程不需要用户输入注册信息,提升了用户的使用体验。
四、客户端注册方法实施例二
请参考图3,其示出了本发明提供的客户端注册方法实施例二的流程图,该方法可用于图1所示的实施环境中。作为基于客户端注册方法实施例一提供的更为优选的实施例,本实施例还进一步实现了终端用户的授权确认过程。
本实施的方法在客户端注册方法实施例一的基础上,应用在用户终端向注册服务器传递第三方应用标识、以及注册服务器确定安全认证成功之后,以及应用在注册服务器向用户终端提供为第三方应用客户端提供的注册信息和服务之前,用户终端向注册服务器发送经终端用户确认的授权信息,注册服务器接收用户终端发送的经终端用户确认的授权信息。具体包括:
步骤a.注册服务器向用户终端发送应用授权请求消息。
在用户终端基于安全令牌与注册服务器基于关联关系进行安全认证时,注册服务器获取到安全令牌关联的用户身份标识。注册服务器根据该用户身份标识,以及根据获取到的用户终端传递的第三方应用标识,在该应用授权请求消息中可以包括:
或/和第三方应用名称,该名称是用于识别第三方应用客户端和第三方应用服务器的名称,在注册服务器上预先存储有第三方应用标识与第三方应用名称的对应关系,注册服务器根据第三方应用标识在该对应关系中查找和获取对应的第三方应用名称。
或/和移动用户名称,该名称是用于识别移动用户的名称,在注册服务器上预先存储有用户身份标识与移动用户名称的对应关系,注册服务器根据用户身份标识在该对应关系中查找和获取对应的移动用户名称。
相应地,用户终端接收注册服务器发送的应用授权请求消息。
步骤b.用户终端显示应用授权验证界面。
用户终端接收到注册服务器发送的应用授权请求消息之后,调用并显示应用授权验证界面,以询问终端用户是否同意向该第三方应用授权。
在显示的应用授权验证界面上,可以显示应用授权请求消息中所包括的第三方应用名称或/和移动用户名称,具体为:
第三方应用名称,即将要授权的第三方应用客户端和第三方应用服务器的名称;
移动用户名称,即将要授权的移动用户名称。
在显示应用授权验证界面之后,终端用户可以输入表示确认授权或者表示取消授权的授权信息。
可选地,在显示的应用授权验证界面上,还可以包括安全验证码输入框,以询问终端用户输入安全验证码。该安全验证码用于进一步地验证终端用户的授权,相应地,在注册服务器上预先存储有用户身份标识与安全验证码的对应关系。
步骤c.用户终端接收终端用户在应用授权验证界面中输入的授权信息。
用户根据显示的应用授权验证界面,在该界面中输入(包括触发)表示确认授权或取消授权的授权信息。相应地,用户终端接收用户在应用授权验证界面中输入的授权信息。
步骤d.用户终端向注册服务器发送应用授权应答消息,该应用授权应答消息是应用授权确认消息或者是应用授权取消消息。
用户终端根据终端用户输入的授权信息执行相应的操作,包括:
如果授权信息是表示确认授权的授权信息,则用户终端向注册服务器发送的应用授权应答消息是应用授权确认消息。
可选地,如果在显示的应用授权验证界面上还包括安全验证码输入框,并且用户终端接收的终端用户输入的授权消息中包括安全验证码,则用户终端向注册服务器发送的应用授权确认消息中还包括该安全验证码。
如果授权信息是表示取消授权的授权信息,则用户终端向注册服务器发送的应用授权应答消息是应用授权取消消息。
步骤e.注册服务器接收用户终端发送的应用授权应答消息并执行相应的操作。
注册服务器接收用户终端发送的应用授权应答消息,该应用授权应答消息是应用授权确认消息或者是应用授权取消消息。
注册服务器根据该应用授权应答消息执行相应的操作,包括:
如果该应用授权应答消息是应用授权确认消息,则继续执行后续步骤,即继续执行注册服务器向用户终端提供为第三方应用客户端提供的注册信息和服务的过程。
可选地,在注册服务器上预先存储有用户身份标识与安全验证码的对应关系,如果在注册服务器接收的应用授权确认消息中包括安全验证码,则注册服务器根据用户身份标识在该对应关系中查找和获取对应的安全验证码,并且比较两个安全验证码是否一致:如果一致,则继续执行后续步骤;如果不一致,则结束流程,不执行后续步骤。
如果该应用授权应答消息是应用授权取消消息,则结束流程,不执行后续步骤。
本实施例提供的方法,在客户端注册方法实施例一的基础上,增加了让终端用户确认授权的过程,通过增加这一过程,可以更加确认为第三方应用客户端提供的注册信息和服务得到了终端用户的授权许可,避免由于误操作等原因为非必要的第三方应用客户端提供了注册信息和服务。
五、客户端安全认证过程实施例
请参考图4,其示出了本发明提供的客户端安全认证过程实施例的流程图,本实施例可用于图1所示的实施环境中。本实施例以用户终端与注册服务器在认证与密钥协商成功之后为例进行说明,具体包括:
步骤401.用户终端向注册服务器发送安全认证请求,该安全认证请求包括安全令牌。
在用户终端与注册服务器的认证与密钥协商过程中,若认证与密钥协商成功,注册服务器为用户终端生成安全令牌,并且建立了安全令牌与用户身份标识的关联关系,并且将该安全令牌传递给了用户终端,用户终端获取了该安全令牌。
用户终端以该安全令牌作为认证信息,向注册服务器发送安全认证请求,并在该安全认证请求中包括该安全令牌,以使得注册服务器能对该安全令牌进行验证。
相应地,注册服务器接收用户终端发送的安全认证请求,以及获取该安全认证请求中的安全令牌。
步骤402.注册服务器验证该安全令牌是否有效,并且获取关联的用户身份标识。
注册服务器系验证该安全令牌是否有效,并且根据该安全令牌在安全令牌与用户身份标识的关联关系中获取关联的用户身份标识,以及在为第三方应用客户端提供注册信息和服务的过程中将该用户身份标识用于识别用户身份,其中,安全令牌与用户身份标识的关联关系是在生成安全令牌时建立的。
与注册服务器在认证与密钥协商过程中生成安全令牌可以包括的多种实施方式相对应的,注册服务器验证该安全令牌需使用相对应的实施方式,具体包括:
第一种实施方式,与注册服务器使用随机生成的全局唯一字符串作为安全令牌的实施方式相对应的,注册服务器在存储的所有安全令牌与用户身份标识的关联关系中查找是否存在该安全令牌,并且查找该安全令牌是否有关联的用户身份标识;若有,则确定该安全令牌有效,并获取该安全令牌关联的用户身份标识;若否,则确定该安全令牌无效。
第二种实施方式,与注册服务器使用对称加密算法基于预置密钥将包括该用户身份标识的信息加密得到的密文作为安全令牌的实施方式相对应的,注册服务器使用相同的对称加密算法和相同的预置密钥对该安全令牌解密,并获取该解密后的明文中的用户身份标识。若能成功解密并获取到用户身份标识,则确定该安全令牌有效,并获取该明文中的用户身份标识;若否,则确定该安全令牌无效。
例如,以生成安全令牌的对称加密算法为AES为例,解密方式可以表示为:m=AES_DENCRYPT(s,k),其中m是解密后的结果值,即解密后的明文,k是解密密钥即在生成安全令牌时所使用的预置密钥,AES_DENCRYPT是解密算法,s是密文即该安全令牌。
步骤403.注册服务器根据对该安全令牌的验证结果确定安全认证是否成功。
注册服务器根据对安全令牌的验证结果确定安全认证是否成功,并执行相应的操作,包括:
若确定该安全令牌有效,则确定安全认证成功。
若确定该安全令牌无效,则确定安全认证失败。
在确定安全认证成功之后,注册服务器可以向用户终端提供注册信息和服务,还可以保持与用户终端的会话状态以接收用户终端传递的信息,或者为用户终端生成认证令牌等。相应地,用户终端者接收注册服务器提供的注册信息和服务,或者通过与注册服务器保持的会话状态或接收的认证令牌向注册服务器传递信息。
在确定安全认证失败之后,注册服务器向用户终端发送注册失败应答消息。相应地,用户终端接收注册服务器发送的注册失败应答消息。
综上所述,本实施例提供的方法,主要是基于用户终端与注册服务器在认证与密钥协商过程中生成的安全令牌进行安全认证,在确定安全认证成功之后,可以为用户终端及用户终端上运行的第三方应用客户端安全地提供相应的注册信息和服务。
六、客户端注册信息提供过程实施例一
请参考图5,其示出了本发明提供的客户端注册信息提供过程实施例一的流程图,该方法可用于图1所示的实施环境中。本实施例注册服务器为用户终端中运行的第三方应用客户端提供了注册信息,该注册信息包括第三方用户标识。
为了让注册服务器为用户终端中运行的第三方应用客户端提供相应的注册信息和服务,用户终端需将第三方应用客户端的第三方应用标识传递给注册服务器。
具体的,用户终端将第三方应用标识传递给注册服务器可以包括多种实施方式,例如可以包括:
第一种实施方式,在客户端安全认证过程中,用户终端将该第三方应用标识传递给注册服务器,注册服务器接收该第三方应用标识。
用户终端将该第三方应用标识传递给注册服务器,可以以一个单独的发送请求将该第三方应用标识发送给注册服务器,也可以合并在其他的发送请求中将该第三方应用标识发送给注册服务器。
例如,以上述客户端安全认证过程实施例为例,可以合并在上述步骤401的安全认证请求中,即在向注册服务器发送的安全认证请求中还包括第三方应用标识,以使得注册服务器在接收的安全认证请求中获取第三方应用标识。
第二种实施方式,在客户端安全认证成功之后,以及在注册服务器向用户终端提供注册信息和服务之前,用户终端通过与注册服务器间保持的会话状态或认证令牌将第三方应用标识传递给注册服务器。
例如,以上述客户端安全认证过程实施例为例,在用户终端与注册服务器进行安全认证成功之后,用户终端与注册服务器间保持有会话状态或认证令牌,用户终端通过该会话状态或认证令牌向注册服务器传递第三方应用标识。
在用户终端向注册服务器传递第三方应用标识、以及注册服务器确定安全认证成功之后,注册服务器可以为用户终端中运行的第三方应用客户端提供包括第三方用户标识的注册信息,其中,注册服务器确定安全认证成功的实施过程可以参照客户端安全认证过程实施例。注册服务器提供第三方用户标识的具体实施方式可以包括:
步骤501.注册服务器根据用户身份标识和第三方应用标识获取对应的第三方用户标识。
与上述客户端安全认证过程实施例相对应的,该用户身份标识为根据安全令牌所获取的用户身份标识。
注册服务器根据用户身份标识和第三方应用标识获取对应的第三方用户标识,具体可以包括:
步骤501a.注册服务器根据该用户身份标识和该第三方应用标识查找对应的第三方用户标识。
在注册服务器上存储有用户身份标识和第三方应用标识与第三方用户标识的账户对应关系,即根据用户身份标识和第三方应用标识在该账户对应关系中能够查找到对应的第三方用户标识。
注册服务器根据该用户身份标识和该第三方应用标识在该账户对应关系中查找对应的第三方用户标识。
如果查找到对应的第三方用户标识,则说明注册服务器已经为该用户身份标识创建了用于该第三方应用标识的第三方用户标识,则注册服务器获取对应的第三方用户标识,然后执行下述步骤502或步骤503。
如果没有查找到对应的第三方用户标识,则说明注册服务器没有为该用户身份标识创建过用于该第三方应用标识的第三方用户标识,则执行下述步骤501b。
步骤501b.注册服务器创建一个唯一的第三方用户标识。
注册服务器创建一个新用户标识,该新用户标识是注册服务器上所有的第三方用户标识中唯一的标识,也可以是在步骤501a所述的账户对应关系中该第三方应用标识对应的所有第三方用户标识中唯一的标识,然后将该新用户标识作为第三方用户标识。
步骤501c.注册服务器建立和存储该用户身份标识和该第三方应用标识与该第三方用户标识的对应关系。
注册服务器在步骤501a所述的账户对应关系中新增该用户身份标识和该第三方应用标识与该第三方用户标识的对应关系,即根据该用户身份标识和该第三方应用标识在该账户对应关系中将能查找和获取到该第三方用户标识。
步骤501a、步骤501b和步骤501c,还可以是,注册服务器预先建立有用于该第三方应用标识的应用用户关系表,在该应用用户关系表中存储有用户身份标识与第三方用户标识的一一对应关系。注册服务器根据该用户身份标识在该应用用户关系表中查找第三方用户标识,如果没有查找到第三方用户标识,则创建一个唯一的第三方用户标识,并且在该应用用户关系表中新增该用户身份标识和该第三方用户标识的一一对应关系,如果查找到第三方用户标识,则获取该第三方用户标识。
步骤501a、步骤501b和步骤501c,还可以是,注册服务器预先建立有用于该用户身份标识的移动用户关系表,在该移动用户关系表中存储有第三方应用标识与第三方用户标识的一一对应关系。注册服务器根据该第三方应用标识在该移动用户关系表中查找第三方用户标识,如果没有查找到第三方用户标识,则创建一个唯一的第三方用户标识,并且在该移动用户关系表中新增该第三方应用标识和该第三方用户标识的一一对应关系,如果查找到第三方用户标识,则获取该第三方用户标识。
步骤502.注册服务器将该第三方用户标识传递给用户终端。
注册服务器将该第三方用户标识传递给用户终端,例如,在注册服务器向用户终端发送的注册成功应答消息中,包括该第三方用户标识。
步骤503.用户终端接收注册服务器传递的该第三方用户标识。
用户终端接收注册服务器传递的该第三方用户标识,例如,接收注册服务器发送的注册成功应答消息,在该注册成功应答消息中获取该第三方用户标识。
又例如,上述步骤502和503还可以是,用户终端与注册服务器进行安全认证成功之后保持有会话状态或认证令牌,用户终端通过该会话状态或认证令牌向注册服务器发送获取第三方用户标识的请求,注册服务器反馈该第三方用户标识,用户终端接收并获取该第三方用户标识。
在用户终端接收到该第三方用户标识之后,用户终端将该第三方用户标识传递给该第三方应用标识对应的第三方应用客户端。由此,可以使得第三方应用客户端可以自动获取到用于访问第三方应用服务器的第三方用户标识。
如上实施例过程,为用户终端中运行的第三方应用客户端获取了第三方用户标识。带来的效果至少包括:第一方面,自动为第三方应用客户端获取第三方用户标识,减少了终端用户的输入操作,提升了用户的使用体验;第二方面,只要是同一用户识别模块SIM,即使是更换到其他的用户终端上,只要是相同的第三方应用客户端,也能为其自动获取相同的第三方用户标识;第三方面,第三方应用客户端对应的第三方应用服务器,将只能获取与其有关的第三方用户标识,而不能获取移动用户标识,从而能够有效地保护用户的隐私不被泄露。
七、客户端注册信息提供过程实施例二
请参考图6,其示出了本发明提供的客户端注册信息提供过程实施例二的流程图,该方法可用于图1所示的实施环境中。本实施例注册服务器为用户终端中运行的第三方应用客户端提供了注册信息,该注册信息包括为用户终端中运行的第三方应用客户端生成的用户令牌。
为了让注册服务器为用户终端中运行的第三方应用客户端提供相应的注册信息和服务,则用户终端需将第三方应用客户端对应的第三方应用标识传递给注册服务器。具体实施方式可以参照上述客户端注册信息提供过程实施例一,在此不再赘述。
在用户终端向注册服务器传递第三方应用标识、以及注册服务器确定安全认证成功之后,注册服务器可以为用户终端中运行的第三方应用客户端提供包括用户令牌的注册信息,其中,注册服务器确定安全认证成功的实施过程可以参照客户端安全认证过程实施例。注册服务器提供用户令牌的具体实施方式可以包括:
步骤601.注册服务器生成用户令牌。
注册服务器生成用户令牌,该用户令牌是唯一的,并且具有足够的长度和足够的随机性,使得难以被猜测破解。
步骤602.注册服务器将该用户令牌与该用户身份标识和该第三方应用标识相关联。
注册服务器建立该用户令牌与该用户身份标识和该第三方应用标识的关联关系,以使得根据该用户令牌能查找和获取到关联的该用户身份标识和该第三方应用标识,从而根据该第三方应用标识确定该用户令牌是否是应用于该第三方应用标识对应的第三方应用服务器的用户令牌,以及根据该用户身份标识确定用户身份,从而为同一用户提供持续的服务。
例如,在第三方应用服务器接收到用户终端发送的包括用户令牌的认证请求之后,第三方应用服务器将该用户令牌转发给注册服务器,注册服务器根据该认证请求中的安全令牌在该关联关系中获取关联的用户身份标识和第三方应用标识,如果该关联的第三方应用标识与该第三方应用服务器的第三方应用标识一致,则注册服务器向第三方应用服务器反馈表示认证成功的信息,并且注册服务器根据该关联的用户身份标识确定用户身份,例如根据该关联的用户身份标识和该第三方应用标识确定第三方用户标识,将该第三方用户标识提供给第三方应用服务器以用于绑定用户身份等。
需要说明的是,还应当提供清理机制,对于已经失效的用户令牌应当及时清理相应的关联关系,例如在用户令牌验证一次后删除该用户令牌相应的关联关系,或者给用户令牌设定一个有效期,依据有效期及时删除已过有效期的用户令牌相应的关联关系。具体清理机制在此不赘述。
步骤603.注册服务器将该用户令牌传递给用户终端。
注册服务器将该用户令牌传递给用户终端,例如,在注册服务器向用户终端发送的注册成功应答消息中,包括该用户令牌。
步骤604.用户终端接收注册服务器传递的该用户令牌。
用户终端接收注册服务器传递的该用户令牌,例如,接收注册服务器发送的注册成功应答消息,在该注册成功应答消息中获取该用户令牌。
又例如,上述步骤603和604还可以是,用户终端与注册服务器进行安全认证成功之后保持有会话状态或认证令牌,用户终端通过该会话状态或认证令牌向注册服务器发送获取用户令牌的请求,注册服务器反馈该用户令牌,用户终端接收并获取该用户令牌。
在用户终端接收到该用户令牌之后,将该用户令牌传递给第三方应用客户端。第三方应用客户端将可以根据该用户令牌实现向对应的第三方应用服务器的认证。
如上实施例过程,为用户终端中运行的第三方应用客户端生成了用户令牌。带来的效果包括:第一方面,自动为第三方应用客户端获取用户令牌,减少了终端用户的输入操作,提升了用户的使用体验;第二方面,该用户令牌将可以用于第三方应用客户端向对应的第三方应用服务器的认证鉴权,从而提升用户的使用体验;第三方面,在用于认证鉴权时,该用户令牌由于不需要进行加密计算等操作,因此,更适用于一些轻量级的第三方应用客户端(如基于HTML5、JavaScript的客户端程序)。
八、认证与密钥协商过程实施例
请参考图7,其示出了本发明提供的认证与密钥协商过程实施例的流程图。本实施例可用于图1所示的实施环境中,具体可以包括:
步骤801.用户终端启动认证与密钥协商过程。
在获取到用于认证与密钥协商的操作指示之后,用户终端启动认证与密钥协商过程。
步骤802.用户终端获取移动用户标识。
该移动用户标识是用于唯一识别用户识别模块SIM的标识,该移动用户标识和客户端安全认证过程实施例的流程中获取的移动用户标识是同一标识。
例如,以使用的用户数据***是归属用户服务器HSS、用户识别模块SIM是USIM为例,在USIM上获取的移动用户标识是IMSI,用户终端通过操作***上的API获取IMSI(例如Android***上使用getSubscriberId方法),或者用户终端通过APDU命令读取USIM的EFimsi值。
又例如,以使用的用户数据***是归属用户服务器HSS、用户识别模块SIM是ISIM为例,在ISIM上获取的移动用户标识是IMPI,用户终端通过APDU命令读取ISIM的EFimpi值。
还例如,以使用的用户数据***是统一用户管理UDM、用户识别模块SIM是USIM为例,则通过USIM获取的移动用户标识是SUPI,SUPI由IMSI和网络标识等组成。
步骤803.用户终端向注册服务器发送认证与密钥协商请求,该认证与密钥协商请求包括该移动用户标识。
进一步地,如上述步骤802中的示例,如果移动用户标识为SUPI,则还可以将该SUPI加密生成SUCI,并将该SUCI作为该认证与密钥协商请求中的移动用户标识,即,用户终端向注册服务器发送认证与密钥协商请求,在该认证与密钥协商请求中包括该SUCI。
相应地,注册服务器接收用户终端发送的认证与密钥协商请求。
步骤804.注册服务器向用户数据***发送认证请求,该认证请求包括该移动用户标识。
例如,以用户数据***为归属用户服务器HSS、移动用户标识是IMSI为例,可以通过向归属用户服务器HSS的SWx接口发送Multimedia-Auth-Request认证请求,该Multimedia-Auth-Request认证请求中包括该移动用户标识(即IMSI)。
又例如,再以使用的用户数据***是归属用户服务器HSS、移动用户标识是IMSI为例,可以通过向归属用户服务器HSS的S6a接口发送Authentication-Information-Request_S6认证请求,在该认证请求中包括移动用户标识(即IMSI)、服务网络标识以及网络类型,例如,服务网络标识是MCC(Mobile Country Code,移动国家码)+MNC(MobileNetwork Code,移动网络码),网络类型是E-UTRAN。
再例如,以用户数据***为归属用户服务器HSS、移动用户标识是IMPI为例,可以通过向归属用户服务器HSS的Cx或SWx接口发送Multimedia-Auth-Request认证请求,该Multimedia-Auth-Request认证请求中包括该移动用户标识(即IMPI)。
还例如,以使用的用户数据***是统一用户管理UDM、移动用户标识是SUPI或SUCI为例,注册服务器向统一数据管理UDM发送Nudm_Authentication_Get认证请求,该认证请求中包括移动用户标识(即SUPI或SUCI),以及服务网络名(SN name),该服务网络名是注册服务器的服务网络名。
需要说明的是,如果注册服务器同时连接有归属用户服务器HSS和统一数据管理UDM,则注册服务器需将认证请求发送给移动用户标识所属的归属用户服务器HSS或统一数据管理UDM,例如根据移动用户标识的类型或范围确定认证请求是要发送给归属用户服务器HSS还是统一数据管理UDM。
步骤805.注册服务器接收用户数据***反馈的认证应答,该认证应答包括随机数RAND、鉴权令牌AUTN和第二期望响应值。
在用户数据***接收到注册服务器发送的认证请求之后,用户数据***根据该认证请求反馈相应的认证应答,该认证应答包括随机数RAND、鉴权令牌AUTN和第二期望响应值。
相应地,注册服务器从该认证应答中获取随机数RAND、鉴权令牌AUTN和第二期望响应值。
例如,以使用的用户数据***是归属用户服务器HSS、移动用户标识是IMSI或IMPI为例,在注册服务器向归属用户服务器HSS发送Multimedia-Auth-Request认证请求之后,归属用户服务器HSS向注册服务器返回Multimedia-Auth-Answer认证应答。注册服务器对Multimedia-Auth-Answer认证应答进行解析,从中获取SIP-Auth-Data-Item属性值对(AVP:Attribute Value Pair),该SIP-Auth-Data-Item属性值对包括SIP-Authenticate、SIP-Authorization属性值对,注册服务器从该SIP-Authenticate属性值对中获取随机数RAND和鉴权令牌AUTN,从该SIP-Authorization属性值对中获取期望响应值XRES,其中,第二期望响应值为期望响应值XRES。
又例如,再以使用的用户数据***是归属用户服务器HSS、移动用户标识是IMSI为例,在归属用户服务器HSS接收到注册服务器发送的Authentication-Information-Request_S6认证请求之后,归属用户服务器HSS向注册服务器返回Authentication-Information-Answer_S6认证应答,该认证应答中包括随机数RAND、鉴权令牌AUTN和期望响应值XRES,其中,第二期望响应值为期望响应值XRES。
再例如,以使用的用户数据***是统一用户管理UDM、移动用户标识是SUPI或SUCI为例,在统一数据管理UDM接收到注册服务器发送的Nudm_Authentication_Get认证请求之后,统一数据管理UDM向注册服务器返回Nudm_Authentication_Get认证应答,该认证应答中包括随机数RAND、鉴权令牌AUTN和期望响应值XRES*,其中,第二期望响应值为期望响应值XRES*。进一步的,如果注册服务器向统一数据管理UDM发送的Nudm_Authentication_Get认证请求中包括的移动用户标识为SUCI,则统一用户管理UDM返回的Nudm_Authenticate_Get认证应答中还包括对该SUCI解密后得到的SUPI,并且注册服务器将该解密后的SUPI作为后续步骤中的移动用户标识。
步骤806.注册服务器向用户终端发送认证与密钥协商挑战消息,该认证与密钥协商挑战消息包括该随机数RAND和该鉴权令牌AUTN。
注册服务器保留第二期望响应值,并向用户终端发送认证与密钥协商挑战消息,该认证与密钥协商挑战消息包括该随机数RAND和该鉴权令牌AUTN。
相应地,用户终端接收注册服务器发送的认证与密钥协商挑战消息,并从中获取该随机数RAND和该鉴权令牌AUTN。
步骤807.用户终端向用户识别模块SIM发送鉴权请求,该鉴权请求包括该随机数RAND和该鉴权令牌AUTN。
用户终端向用户识别模块SIM发送鉴权请求(例如通过发送APDU命令AUTHENTICATE),传递参数为该随机数RAND和该鉴权令牌AUTN。
步骤808.用户终端接收用户识别模块SIM的返回值,该返回值包括期望响应值RES。
在用户识别模块SIM接收到用户终端发送的鉴权请求之后,用户识别模块SIM经过鉴权计算后向用户终端发送返回值,该返回值包括期望响应值RES,用户终端接收该返回值。
步骤809.用户终端向注册服务器发送认证与密钥协商挑战应答消息,该认证与密钥协商挑战应答消息包括第一期望响应值,该第一期望响应值是基于期望响应值RES生成的。
以使用的用户数据***是归属用户服务器HSS为例,即与注册服务器保留的第二期望响应值为期望响应值XRES相对应的,用户终端从返回值中获取的期望响应值RES即为第一期望响应值。
以使用的用户数据***是统一用户管理UDM为例,即与注册服务器保留的第二期望响应值为期望响应值XRES*相对应的,用户终端参照TS33.501 Annex A.4中“RES*和XRES*派生函数”中使用的方式,即使用和统一数据管理UDM生成期望响应值XRES*相同的方式,根据期望响应值RES生成期望响应值RES*,该期望响应值RES*即为第一期望响应值。
进一步地,为了保护期望响应值RES或期望响应值RES*的安全,避免在传输过程中被泄露,还可以使用哈希算法(例如SHA256)对期望响应值RES或期望响应值RES*进行哈希计算,将经过哈希计算后生成的哈希值作为第一期望响应值,而不发送期望响应值RES或期望响应值RES*的明文。
相应地,注册服务器接收用户终端发送的该第一期望响应值。
步骤810.注册服务器基于第二期望响应值验证第一期望响应值;若验证第一期望响应值有效,则执行步骤811。
注册服务器从接收的认证与密钥协商挑战应答消息中获取第一期望响应值,注册服务器将本地保留的第二期望响应值对其进行验证。若验证第一期望响应值有效,则执行下述步骤811;若验证无效,则向用户终端发送认证与密钥协商应答消息,该认证与密钥协商应答消息是认证与密钥协商失败应答消息,并跳转执行下述步骤814。
如果第一期望响应值为期望响应值RES或期望响应值RES*的明文,则比较第二期望响应值与第一期望响应值是否一致;若一致,则确定验证第一期望响应值有效;若不一致,则确定验证第一期望响应值无效;或者,
如果第一期望响应值为期望响应值RES或期望响应值RES*经过哈希计算后的哈希值,则将第二期望响应值使用相同的哈希计算方式计算生成哈希值,并且比较两个哈希值是否一致;若一致,则确定验证第一期望响应值有效;若不一致,则确定验证第一期望响应值无效。
步骤811.注册服务器根据该移动用户标识确定用户身份标识。
移动用户标识可以用于唯一地识别移动用户,根据移动用户标识确定的用户身份标识,也可以用于唯一地识别移动用户。
例如,将该移动用户标识作为用户身份标识。
又例如,根据该移动用户标识获取对应的MSISDN,将该对应的MSISDN确定为用户身份标识。具体地,在用户数据***中(例如归属用户服务器HSS或统一数据管理UDM),存储了移动用户标识与MSISDN的映射关系,根据移动用户标识可以在该映射关系中获取到对应的MSISDN。因此,注册服务器向用户数据***发送包括该移动用户标识的MSISDN查询请求,用户数据***向注册服务器反馈该移动用户标识对应的MSISDN,则注册服务器获取到对应的MSISDN。
再例如,预先建立有移动用户标识与用户身份标识的关联关系,根据该移动用户标识在该关联关系中获取用户身份标识。具体地,在注册服务器上预先创建有一个唯一的用户身份标识,再预先建立该移动用户标识与该用户身份标识的关联关系,以使得根据该移动用户标识在该关联关系中能查找和获取到该用户身份标识。
步骤812.注册服务器生成安全令牌,以及建立该安全令牌与该用户身份标识的关联关系。
注册服务器生成安全令牌,并且建立该安全令牌与该用户身份标识的关联关系,以使得根据该安全令牌可以获取到该用户身份标识。
例如,注册服务器生成安全令牌,该安全令牌是全局唯一的安全令牌,并且具有足够的长度和足够的随机性,使得难以被猜测破解。同时,建立该安全令牌与该用户身份标识的关联关系,以使得根据该安全令牌在该关联关系中能获取到该关联的用户身份标识。
又例如,注册服务器使用对称加密算法基于预置密钥将包括用户身份标识的信息加密,将加密后得到的密文作为安全令牌,以使得注册服务器在对该安全令牌解密后获得该用户身份标识。以生成安全令牌的对称加密算法为AES为例,加密方式可以表示为:s=AES_ENCRYPT(m,k),其中m是明文,该明文为包括该用户身份标识的信息,k是加密密钥即预置密钥,AES_ENCRYPT是加密算法,s是加密结果即安全令牌。
步骤813.注册服务器向用户终端发送认证与密钥协商应答消息,该认证与密钥协商应答消息是认证与密钥协商成功应答消息。
注册服务器向用户终端发送认证与密钥协商应答消息,该认证与密钥协商应答消息是认证与密钥协商成功应答消息,在该认证与密钥协商成功应答消息中还包括该安全令牌。
步骤814.用户终端接收注册服务器发送的认证与密钥协商应答消息并执行相应的操作。
用户终端接收注册服务器发送的认证与密钥协商应答消息,该认证与密钥协商应答消息包括认证与密钥协商成功应答消息或认证与密钥协商失败应答消息。
用户终端根据该认证与密钥协商应答消息执行相应的操作,包括:
如果该认证与密钥协商应答消息是认证与密钥协商成功应答消息,则用户终端获取认证与密钥协商成功应答消息中包括的该安全令牌,结束本次认证与密钥协商流程。
如果该认证与密钥协商应答消息是认证与密钥协商失败应答消息,则结束本次认证与密钥协商流程。
需要说明的是,实际应用中,统一用户管理UDM主要作为5G网络的用户数据***,归属用户服务器HSS主要作为3G/4G网络的用户数据***,但若统一用户管理UDM保持了对归属用户服务器HSS的向前兼容,则本实施例各步骤中应用在归属用户服务器HSS的示例,也可以应用在统一用户管理UDM。
通过本实施例提供的方法,用户终端基于用户识别模块SIM中存储的移动用户标识、移动用户密钥(K)和相关AKA算法,以及注册服务器基于用户数据***中存储的移动用户标识、移动用户密钥(K)和相关AKA算法,在用户终端与注册服务器间的认证与密钥协商成功之后,用户终端获取到注册服务器生成的安全令牌,从而用户终端可根据该安全令牌用于后续用户终端与注册服务器间的安全认证。
需要说明的是,在本文中,术语“包括”、“包含”、“传递”、“发送”或者任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、产品或者***不仅包括那些要素,而且还可以包括没有明确列出的其他要素,或者是还可以包括为这种过程、方法、产品或者***所固有的要素。
术语“第一”、“第二”、“第三”等(如果存在)仅用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解,这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
可以以许多方式来实现本发明的方法、装置和***。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法、装置和***。用于方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (39)
1.一种客户端注册方法,其特征在于,应用于运行有第三方应用客户端的用户终端中,所述方法包括:
与注册服务器通过认证与密钥协商机制进行认证与密钥协商,其中,所述用户终端基于用户识别模块SIM中包括的移动用户标识、移动用户密钥和AKA算法进行所述认证与密钥协商,所述注册服务器基于用户数据***进行所述认证与密钥协商;
若所述认证与密钥协商成功,则获取所述注册服务器传递的安全令牌;
基于所述安全令牌与所述注册服务器进行安全认证;
将第三方应用标识传递给所述注册服务器,所述第三方应用标识为所述第三方应用客户端的标识;
在所述安全认证成功之后,接收所述注册服务器为所述第三方应用客户端提供的注册信息和服务,并且将所述注册信息和服务传递给所述第三方应用客户端。
2.根据权利要求1所述的方法,其特征在于,所述用户终端与所述注册服务器通过数据网络连接。
3.根据权利要求2所述的方法,其特征在于,所述数据网络包括因特网或移动互联网。
4.根据权利要求3所述的方法,其特征在于,所述用户终端通过移动数据连接或/和WiFi连接或/和WLAN连接接入所述移动互联网。
5.根据权利要求4所述的方法,其特征在于,所述移动数据包括3G移动数据或4G移动数据或5G移动数据或6G移动数据。
6.根据权利要求1所述的方法,其特征在于,所述与注册服务器通过认证与密钥协商机制进行认证与密钥协商包括:
获取所述用户识别模块SIM的所述移动用户标识;
向所述注册服务器发送认证与密钥协商请求,所述认证与密钥协商请求包括所述移动用户标识;
接收所述注册服务器发送的认证与密钥协商挑战消息,所述认证与密钥协商挑战消息包括随机数RAND和鉴权令牌AUTN;
向所述用户识别模块SIM发送鉴权请求,所述鉴权请求包括所述随机数RAND和所述鉴权令牌AUTN;
接收所述用户识别模块SIM的返回值,所述返回值包括期望响应值RES;
向所述注册服务器发送认证与密钥协商挑战应答消息,所述认证与密钥协商挑战应答消息包括第一期望响应值,所述第一期望响应值是基于所述期望响应值RES生成的;
接收所述注册服务器发送的认证与密钥协商成功应答消息,所述认证与密钥协商成功应答消息是在所述注册服务器验证所述第一期望响应值有效之后发送的;
获取所述注册服务器传递的所述安全令牌。
7.根据权利要求6所述的方法,其特征在于,所述用户数据***为归属用户服务器HSS,则:
所述用户识别模块SIM为全球用户识别模块USIM,所述移动用户标识为国际移动用户识别码IMSI;或者,所述用户识别模块SIM为IP多媒体服务识别模块ISIM,所述移动用户标识为IP多媒体私有标识IMPI;
所述第一期望响应值为所述期望响应值RES;或者,所述第一期望响应值为对所述期望响应值RES哈希计算后所生成的哈希值。
8.根据权利要求6所述的方法,其特征在于,所述用户数据***为统一用户管理UDM,则:
所述用户识别模块SIM为全球用户识别模块USIM,所述移动用户标识为用户永久标识SUPI;
所述第一期望响应值为期望响应值RES*,所述期望响应值RES*是基于所述期望响应值RES生成的;或者,所述第一期望响应值为对所述期望响应值RES*哈希计算后所生成的哈希值。
9.根据权利要求8所述的方法,其特征在于,所述向所述注册服务器发送认证与密钥协商请求还包括:
将所述用户永久标识SUPI加密生成用户隐藏标识SUCI;
在所述向所述注册服务器发送的认证与密钥协商请求中,将所述用户隐藏标识SUCI作为所述移动用户标识。
10.根据权利要求6所述的方法,其特征在于,所述获取所述注册服务器传递的所述安全令牌包括:
所述认证与密钥协商成功应答消息中包括所述安全令牌,从所述认证与密钥协商成功应答消息中获取所述安全令牌;或者,
在接收到所述认证与密钥协商成功应答消息之后,接收并获取所述注册服务器发送的所述安全令牌。
11.根据权利要求1所述的方法,其特征在于,所述基于所述安全令牌与所述注册服务器进行安全认证包括:
向所述注册服务器发送安全认证请求,所述安全认证请求包括所述安全令牌;
若所述注册服务器验证所述安全令牌有效,则确定安全认证成功。
12.根据权利要求1所述的方法,其特征在于,所述将第三方应用标识传递给所述注册服务器包括:
在所述安全认证过程中,将所述第三方应用标识传递给所述注册服务器;或者,
在所述安全认证过程之后,以及在所述接收所述注册服务器为所述第三方应用客户端提供的注册信息和服务之前,将所述第三方应用标识传递给所述注册服务器。
13.根据权利要求1所述的方法,其特征在于,所述接收所述注册服务器为所述第三方应用客户端提供的注册信息和服务包括:
所述注册信息和服务包括第三方用户标识,具体的,接收所述注册服务器传递的第三方用户标识,所述第三方用户标识用于在所述第三方应用客户端中标识用户身份;或/和,
所述注册信息和服务包括用户令牌,具体的,接收所述注册服务器发送的用户令牌,所述用户令牌用于所述第三方应用客户端访问对应第三方应用服务器的认证鉴权。
14.根据权利要求1所述的方法,其特征在于,在所述将第三方应用标识传递给所述注册服务器和在所述安全认证成功之后,以及在所述接收所述注册服务器为所述第三方应用客户端提供的注册信息和服务之前,还包括:
向所述注册服务器发送经终端用户确认的授权信息。
15.根据权利要求14所述的方法,其特征在于,所述向所述注册服务器发送经终端用户确认的授权信息包括:
接收所述注册服务器发送的应用授权请求消息;
显示应用授权验证界面;
接收终端用户在所述应用授权验证界面中输入的授权信息;
若所述授权信息表示确认授权,则向所述注册服务器发送应用授权应答消息,所述应用授权应答消息为应用授权确认消息。
16.一种客户端注册方法,其特征在于,应用于注册服务器中,所述方法包括:
与用户终端通过认证与密钥协商机制进行认证与密钥协商,其中,所述用户终端基于用户识别模块SIM进行所述认证与密钥协商,所述注册服务器基于用户数据***中包括的移动用户标识、移动用户密钥和AKA算法进行所述认证与密钥协商,所述移动用户标识为所述用户识别模块SIM的移动用户标识,所述移动用户密钥为所述移动用户标识所对应的移动用户密钥;
若所述认证与密钥协商成功,则根据移动用户标识确定用户身份标识,生成安全令牌,以及建立所述安全令牌与所述用户身份标识的关联关系,将所述安全令牌传递给所述用户终端;
基于所述关联关系与所述用户终端进行安全认证,以及获取所述用户身份标识;
获取所述用户终端传递的第三方应用标识,所述第三方应用标识为所述用户终端中运行的第三方应用客户端的标识;
在所述安全认证成功之后,根据所述用户身份标识和所述第三方应用标识向所述用户终端提供注册信息和服务,所述注册信息和服务为向所述第三方应用客户端提供的注册信息和服务。
17.根据权利要求16所述的方法,其特征在于,所述注册服务器与所述用户终端通过数据网络连接。
18.根据权利要求17所述的方法,其特征在于,所述数据网络包括因特网或移动互联网。
19.根据权利要求16所述的方法,其特征在于,所述与用户终端通过认证与密钥协商机制进行认证与密钥协商包括:
接收所述用户终端发送的认证与密钥协商请求,所述认证与密钥协商请求包括所述移动用户标识;
向所述用户数据***发送认证请求,所述认证请求包括所述移动用户标识;
接收所述用户数据***反馈的认证应答,所述认证应答包括随机数RAND、鉴权令牌AUTN和第二期望响应值;
向所述用户终端发送认证与密钥协商挑战消息,所述认证与密钥协商挑战消息包括所述随机数RAND和所述鉴权令牌AUTN;
接收所述用户终端发送的认证与密钥协商挑战应答消息,所述认证与密钥协商挑战应答消息包括第一期望响应值;
基于所述第二期望响应值验证所述第一期望响应值;
若验证所述第一期望响应值有效,则根据所述移动用户标识确定用户身份标识,生成安全令牌以及建立所述安全令牌与所述用户身份标识的关联关系,将所述安全令牌传递给所述用户终端,以及向所述用户终端发送认证与密钥协商成功应答消息。
20.根据权利要求19所述的方法,其特征在于,所述基于所述第二期望响应值验证所述第一期望响应值包括:
所述第一期望响应值为明文,比较所述第二期望响应值与所述第一期望响应值是否一致,若一致则确定所述第一期望响应值有效;或者,
所述第一期望响应值为哈希计算后的哈希值,则将所述第二期望响应值使用相同的哈希计算方式计算生成哈希值,并且比较两个哈希值是否一致,若一致则确定所述第一期望响应值有效。
21.根据权利要求19所述的方法,其特征在于,所述根据所述移动用户标识确定用户身份标识包括:
将所述移动用户标识确定为所述用户身份标识;或者,
根据所述移动用户标识获取对应的MSISDN,将所述对应的MSISDN确定为所述用户身份标识;或者,
预先建立有移动用户标识与用户身份标识的关联关系,根据所述移动用户标识在所述移动用户标识与用户身份标识的关联关系中获取所述用户身份标识。
22.根据权利要求19所述的方法,其特征在于,所述生成安全令牌以及建立所述安全令牌与所述用户身份标识的关联关系包括:
使用随机生成的全局唯一字符串作为所述安全令牌,并且建立所述安全令牌与所述用户身份标识的关联关系;或者,
使用对称加密算法基于预置密钥将包括所述用户身份标识的信息加密,将加密后得到的密文作为所述安全令牌。
23.根据权利要求19所述的方法,其特征在于,所述将所述安全令牌传递给所述用户终端包括:
在所述认证与密钥协商成功应答消息中包括所述安全令牌,以使得所述用户终端获取所述安全令牌;或者,
在发送所述认证与密钥协商成功应答消息之后,将所述安全令牌发送给所述用户终端。
24.根据权利要求19所述的方法,其特征在于,所述用户数据***为归属用户服务器HSS,则:
所述移动用户标识为国际移动用户识别码IMSI或者是IP多媒体私有标识IMPI;
所述第二期望响应值为期望响应值XRES。
25.根据权利要求19所述的方法,其特征在于,所述用户数据***为统一用户管理UDM,则:
所述移动用户标识为用户永久标识SUPI;
所述第二期望响应值为期望响应值XRES*。
26.根据权利要求25所述的方法,其特征在于,所述移动用户标识为对所述用户永久标识SUPI加密后生成的用户隐藏标识SUCI,将所述用户隐藏标识SUCI作为所述向所述用户数据***发送的认证请求中所包括的所述移动用户标识,在所述认证应答中还包括所述用户数据***对所述用户隐藏标识SUCI解密后得到的所述用户永久标识SUPI,将所述解密后得到的所述用户永久标识SUPI作为后续步骤中的所述移动用户标识。
27.根据权利要求16所述的方法,其特征在于,所述基于所述关联关系与所述用户终端进行安全认证包括:
接收所述用户终端发送的安全认证请求,所述安全认证请求包括所述安全令牌;
若验证所述安全令牌有效并且获取到所述用户身份标识,则确定安全认证成功。
28.根据权利要求27所述的方法,其特征在于,所述验证所述安全令牌有效并且获取到关联的所述用户身份标识包括:
若使用随机生成的全局唯一字符串作为安全令牌,则在存储的所有安全令牌与用户身份标识的关联关系中查找所述安全令牌,以及获取所述安全令牌关联的用户身份标识;若查找到,则确定验证所述安全令牌有效,并确定所述关联的用户身份标识为所述用户身份标识;若没查找到,则确定验证所述安全令牌无效;或者,
若使用对称加密算法基于预置密钥将包括用户身份标识的信息加密后得到的密文作为安全令牌,则使用相同的对称加密算法基于所述预置密钥将所述安全令牌解密,并获取所述解密后的明文中的用户身份标识;若能成功解密并获取到用户身份标识,则确定验证所述安全令牌有效,并确定所述成功解密后获取到的用户身份标识为所述用户身份标识;若否,则确定验证所述安全令牌无效。
29.根据权利要求16所述的方法,其特征在于,所述获取所述用户终端传递的第三方应用标识包括:
在所述安全认证过程中,接收所述用户终端传递的所述第三方应用标识;或者,
在所述安全认证过程之后,以及在所述根据所述用户身份标识和所述第三方应用标识向所述用户终端提供注册信息和服务之前,接收所述用户终端传递的所述第三方应用标识。
30.根据权利要求16所述的方法,其特征在于,所述根据所述用户身份标识和所述第三方应用标识向所述用户终端提供注册信息和服务包括:
所述注册信息和服务包括第三方用户标识,具体的,获取所述用户身份标识和所述第三方应用标识对应的第三方用户标识作为所述第三方用户标识,向所述用户终端传递所述第三方用户标识,以使得所述第三方用户标识用于在所述第三方应用客户端中标识用户身份;或/和,
所述注册信息和服务包括用户令牌,具体的,生成与所述用户身份标识和所述第三方应用标识相关联的用户令牌作为所述用户令牌,向所述用户终端传递所述用户令牌,以使得所述用户令牌用于在所述第三方应用客户端中访问对应第三方应用服务器的认证鉴权。
31.根据权利要求30所述的方法,其特征在于,所述获取所述用户身份标识和所述第三方应用标识对应的第三方用户标识包括:
根据所述用户身份标识和所述第三方应用标识查找对应的第三方用户标识;
若查找到对应的第三方用户标识,则确定所述查找到的对应的第三方用户标识为所述第三方用户标识;
若没有查找到对应的第三方用户标识,则创建一个唯一的第三方用户标识,确定所述唯一的第三方用户标识为所述第三方用户标识,并且建立所述用户身份标识和所述第三方应用标识与所述唯一的第三方用户标识的对应关系,以使得根据所述用户身份标识和所述第三方应用标识能查找到所述唯一的第三方用户标识。
32.根据权利要求31所述的方法,其特征在于,所述生成与所述用户身份标识和所述第三方应用标识相关联的用户令牌包括:
使用随机生成的全局唯一字符串作为所述用户令牌;
建立所述用户令牌与所述用户身份标识和所述第三方应用标识的关联关系,以使得根据所述用户令牌能获取到所述用户身份标识和所述第三方应用标识。
33.根据权利要求16所述的方法,其特征在于,在接收所述用户终端传递的第三方应用标识和在所述安全认证成功之后,以及在所述根据所述用户身份标识和所述第三方应用标识向所述用户终端提供注册信息和服务之前,还包括:
获取所述用户终端发送的经终端用户确认的授权信息,若获取到所述用户终端发送的经终端用户确认的授权信息,则执行所述根据所述用户身份标识和所述第三方应用标识向所述用户终端提供注册信息和服务。
34.根据权利要求33所述的方法,其特征在于,所述获取所述用户终端发送的经终端用户确认的授权信息包括:
向所述用户终端发送应用授权请求消息;
接收所述用户终端发送的应用授权应答消息;
若所述应用授权应答消息为应用授权确认消息,则执行所述根据所述用户身份标识和所述第三方应用标识向所述用户终端提供注册信息和服务。
35.根据权利要求34所述的方法,其特征在于,所述应用授权请求消息包括:
第三方应用名称,所述第三方应用名称是所述第三方应用标识所对应的第三方应用名称;或/和,
移动用户名称,所述移动用户名称是所述用户身份标识所对应的移动用户名称。
36.一种客户端注册装置,其特征在于,所述客户端注册装置应用于运行有第三方应用客户端的用户终端中,包括:存储器、处理器,所述处理器用于运行所述存储器所存储的程序,所述程序运行时执行包括权利要求1至15中任一项所述的方法。
37.一种客户端注册装置,其特征在于,所述客户端注册装置应用于注册服务器,包括:存储器、处理器,所述处理器用于运行所述存储器所存储的程序,所述程序运行时执行包括权利要求16至35中任一项所述的方法。
38.一种客户端注册***,其特征在于,所述客户端注册***包括:用户终端以及注册服务器;
所述用户终端包括如权利要求36所述应用于运行有第三方应用客户端的用户终端中的客户端注册装置;
所述注册服务器包括如权利要求37所述应用于注册服务器的客户端注册装置。
39.一种计算机可读存储介质,其特征在于,所述存储介质中存储有程序,所述程序被处理器执行时用于实现包括权利要求1至15中任一项所述的方法;或/和,所述程序被处理器执行时用于实现包括权利要求16至35中任一项所述的方法。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810969927.4A CN109041205A (zh) | 2018-08-23 | 2018-08-23 | 客户端注册方法、装置及*** |
| CN2018109699274 | 2018-08-23 | ||
| PCT/CN2019/074724 WO2020037957A1 (zh) | 2018-08-23 | 2019-02-04 | 客户端注册方法、装置及*** |
| CNPCT/CN2019/074724 | 2019-02-04 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111050314A CN111050314A (zh) | 2020-04-21 |
| CN111050314B true CN111050314B (zh) | 2023-06-30 |
Family
ID=64627198
Family Applications (4)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810969927.4A Pending CN109041205A (zh) | 2018-08-23 | 2018-08-23 | 客户端注册方法、装置及*** |
| CN201910777127.7A Pending CN110858969A (zh) | 2018-08-23 | 2019-08-22 | 客户端注册方法、装置及*** |
| CN201910775079.8A Pending CN110858968A (zh) | 2018-08-23 | 2019-08-22 | 客户端注册方法、装置及*** |
| CN201910774037.2A Active CN111050314B (zh) | 2018-08-23 | 2019-08-22 | 客户端注册方法、装置及*** |
Family Applications Before (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810969927.4A Pending CN109041205A (zh) | 2018-08-23 | 2018-08-23 | 客户端注册方法、装置及*** |
| CN201910777127.7A Pending CN110858969A (zh) | 2018-08-23 | 2019-08-22 | 客户端注册方法、装置及*** |
| CN201910775079.8A Pending CN110858968A (zh) | 2018-08-23 | 2019-08-22 | 客户端注册方法、装置及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (4) | CN109041205A (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020037957A1 (zh) * | 2018-08-23 | 2020-02-27 | 刘高峰 | 客户端注册方法、装置及*** |
| CN111327583B (zh) * | 2019-08-22 | 2022-03-04 | 刘高峰 | 一种身份认证方法、智能设备及认证服务器 |
| CN111327582B (zh) * | 2019-08-22 | 2022-12-20 | 刘高峰 | 一种基于OAuth协议的授权方法、装置及*** |
| CN110611719B (zh) * | 2019-10-16 | 2022-04-19 | 四川虹美智能科技有限公司 | 一种消息推送方法、服务器和*** |
| CN111327416A (zh) * | 2019-12-13 | 2020-06-23 | 刘高峰 | 一种物联网设备接入方法、装置和物联网平台 |
| CN112118243B (zh) * | 2020-09-09 | 2023-04-07 | 中国联合网络通信集团有限公司 | 身份认证方法及***,和互联网应用登录方法及*** |
| CN114268953B (zh) * | 2020-09-14 | 2023-08-15 | ***通信集团重庆有限公司 | 一种基站认证方法、查询节点、***及设备 |
| CN112689283B (zh) * | 2020-12-15 | 2021-11-23 | 青海大学 | 一种密钥保护和协商方法、***和存储介质 |
| WO2022133741A1 (en) * | 2020-12-22 | 2022-06-30 | Huawei Technologies Co., Ltd. | Registration methods using one-time identifiers for user equipments and nodes implementing the registration methods |
| CN113806798B (zh) * | 2021-08-13 | 2023-07-14 | 苏州浪潮智能科技有限公司 | 一种用户端验证方法、***、设备以及介质 |
| CN114338173B (zh) * | 2021-12-29 | 2023-01-24 | 渔翁信息技术股份有限公司 | 一种账户注册方法、***、设备及计算机可读存储介质 |
| CN114584971A (zh) * | 2022-02-15 | 2022-06-03 | 北京快乐茄信息技术有限公司 | 账号注册方法及装置、电子设备及存储介质 |
| CN115001841A (zh) * | 2022-06-23 | 2022-09-02 | 北京瑞莱智慧科技有限公司 | 一种身份认证方法、装置及存储介质 |
| CN115225672A (zh) * | 2022-07-14 | 2022-10-21 | 蔚来汽车科技(安徽)有限公司 | 端到端的数据传输方法、设备和介质 |
| CN115208702B (zh) * | 2022-09-16 | 2022-12-30 | 国网江西省电力有限公司电力科学研究院 | 一种物联网设备认证与密钥协商方法 |
| CN117556411B (zh) * | 2024-01-10 | 2024-05-10 | 鼎铉商用密码测评技术(深圳)有限公司 | 密码的生成方法、密码的生成设备以及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103259795A (zh) * | 2013-05-14 | 2013-08-21 | 百度在线网络技术(北京)有限公司 | 执行自动注册登录的方法、移动终端以及服务器 |
| CN104125565A (zh) * | 2013-04-23 | 2014-10-29 | 中兴通讯股份有限公司 | 一种基于oma dm实现终端认证的方法、终端及服务器 |
| CN106161032A (zh) * | 2015-04-24 | 2016-11-23 | 华为技术有限公司 | 一种身份认证的方法及装置 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100384120C (zh) * | 2004-09-30 | 2008-04-23 | 华为技术有限公司 | Ip多媒体子***中对终端用户标识模块进行鉴权的方法 |
| CN100544249C (zh) * | 2004-10-29 | 2009-09-23 | 大唐移动通信设备有限公司 | 移动通信用户认证与密钥协商方法 |
| CN1859087A (zh) * | 2005-12-30 | 2006-11-08 | 华为技术有限公司 | 一种客户端和服务器密钥协商方法及其*** |
| EP1858278B1 (en) * | 2006-05-19 | 2013-05-15 | Research In Motion Limited | System and method for facilitating accelerated network selection in a radio network enviroment |
| CN101197673B (zh) * | 2006-12-05 | 2011-08-10 | 中兴通讯股份有限公司 | 固定网络接入ims双向认证及密钥分发方法 |
| CN101488945B (zh) * | 2008-01-14 | 2012-09-19 | 北京大唐高鸿数据网络技术有限公司 | 一种面向会话初始化协议的鉴权方法 |
| CN102150446A (zh) * | 2008-09-09 | 2011-08-10 | 爱立信电话股份有限公司 | 通信网络中的鉴定 |
| CN101635823B (zh) * | 2009-08-27 | 2011-09-21 | 中兴通讯股份有限公司 | 一种终端对视频会议数据进行加密的方法及*** |
| CN102196436B (zh) * | 2010-03-11 | 2014-12-17 | 华为技术有限公司 | 安全认证方法、装置及*** |
| CN102196426B (zh) * | 2010-03-19 | 2014-11-05 | ***通信集团公司 | 一种接入ims网络的方法、装置和*** |
| CN102413464B (zh) * | 2011-11-24 | 2014-07-09 | 杭州东信北邮信息技术有限公司 | 基于gba的电信能力开放平台密钥协商***和方法 |
| US20160219039A1 (en) * | 2013-09-06 | 2016-07-28 | Mario Houthooft | Mobile Authentication Method and System for Providing Authenticated Access to Internet-Sukpported Services and Applications |
| CN106534050A (zh) * | 2015-09-11 | 2017-03-22 | 中移(杭州)信息技术有限公司 | 一种实现虚拟专用网络密钥协商的方法和装置 |
| CN107454045B (zh) * | 2016-06-01 | 2020-09-11 | 宇龙计算机通信科技(深圳)有限公司 | 一种用户ims注册认证的方法、装置及*** |
| WO2018053271A1 (en) * | 2016-09-16 | 2018-03-22 | Idac Holdings, Inc. | Unified authentication framework |
| CN108401275A (zh) * | 2017-02-06 | 2018-08-14 | 财团法人工业技术研究院 | 用户设备注册方法、网络控制器与网络通信*** |
-
2018
- 2018-08-23 CN CN201810969927.4A patent/CN109041205A/zh active Pending
-
2019
- 2019-08-22 CN CN201910777127.7A patent/CN110858969A/zh active Pending
- 2019-08-22 CN CN201910775079.8A patent/CN110858968A/zh active Pending
- 2019-08-22 CN CN201910774037.2A patent/CN111050314B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104125565A (zh) * | 2013-04-23 | 2014-10-29 | 中兴通讯股份有限公司 | 一种基于oma dm实现终端认证的方法、终端及服务器 |
| CN103259795A (zh) * | 2013-05-14 | 2013-08-21 | 百度在线网络技术(北京)有限公司 | 执行自动注册登录的方法、移动终端以及服务器 |
| CN106161032A (zh) * | 2015-04-24 | 2016-11-23 | 华为技术有限公司 | 一种身份认证的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110858968A (zh) | 2020-03-03 |
| CN110858969A (zh) | 2020-03-03 |
| CN109041205A (zh) | 2018-12-18 |
| CN111050314A (zh) | 2020-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111050314B (zh) | 客户端注册方法、装置及*** | |
| CN111327582B (zh) | 一种基于OAuth协议的授权方法、装置及*** | |
| US10284555B2 (en) | User equipment credential system | |
| US8122250B2 (en) | Authentication in data communication | |
| CN111327583B (zh) | 一种身份认证方法、智能设备及认证服务器 | |
| CN111050322B (zh) | 基于gba的客户端注册和密钥共享方法、装置及*** | |
| KR101508360B1 (ko) | 데이터 전송 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 | |
| EP2852118B1 (en) | Method for an enhanced authentication and/or an enhanced identification of a secure element located in a communication device, especially a user equipment | |
| US10880291B2 (en) | Mobile identity for single sign-on (SSO) in enterprise networks | |
| CN111147421B (zh) | 一种基于通用引导架构gba的认证方法及相关设备 | |
| US9693226B2 (en) | Method and apparatus for securing a connection in a communications network | |
| KR20180095873A (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
| CN111327416A (zh) | 一种物联网设备接入方法、装置和物联网平台 | |
| JP7404540B2 (ja) | プライバシー情報伝送方法、装置、コンピュータ機器及びコンピュータ読み取り可能な媒体 | |
| CN111770496B (zh) | 一种5g-aka鉴权的方法、统一数据管理网元及用户设备 | |
| KR100330418B1 (ko) | 이동통신 환경에서의 가입자 인증 방법 | |
| WO2020037957A1 (zh) | 客户端注册方法、装置及*** | |
| WO2020037958A1 (zh) | 基于gba的客户端注册和密钥共享方法、装置及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |