WO2012055297A1

WO2012055297A1 - 移动终端的鉴权方法及装置

Info

Publication number: WO2012055297A1
Application number: PCT/CN2011/079177
Authority: WO
Inventors: 张金雷; 曾稹卓
Original assignee: 中兴通讯股份有限公司
Priority date: 2010-10-28
Filing date: 2011-08-31
Publication date: 2012-05-03
Also published as: CN101977379A

Abstract

公开了一种移动终端的鉴权方法及装置，所述装置具有密钥管理中心KDC（4）和加密模块（1），在所述加密模块（1）中预存有与所述KDC（4）的通信协议，所述方法包括：所述加密模块（1）利用所述通信协议向所述KDC（4）进行第一次鉴权请求（102），并在确定第一次鉴权请求成功后进行第二次鉴权请求（104）;所述KDC（4）在第二次鉴权完成后生成最终的双向鉴权结果，并将该结果通知给所述加密模块（1）。根据本发明，能有效提高用户身份鉴权的安全性，极大减少对移动终端固有的身份鉴权的依赖，提高移动终端使用的安全性，更好地满足数字移动通讯的安全性要求。

Description

移动终端的鉴权方法及装置技术领域本发明涉及通讯技术领域，尤其涉及到一种移动终端的鉴权方法及装置。背景技术

在数字移动通讯***中，如何提高通讯的安全性，保护手机用户的隐私数据一直是一个永恒不断的话题。虽然目前移动终端自身提供了鉴权的方法，对于普通用户来说，其安全性已经足够了，然而对于一些***门、重要部门，其安全性是远远不够的。

鉴权是为了确认终端的身份而在终端和基站之间进行的交互过程，它防止假的 MIN (电话标示）和 ESN (设备序列号）使用网络服务事件。鉴于无线网络的开放性，非法用户可以通过复制手机的 ESN与 MIN相匹配，使呼叫者能对无线互联网进行未授权的访问，并且终端和***侧鉴权过程可以被***侧关闭掉。因此，通常的鉴权的安全性是远远不够的。发明内容

鉴于上述的分析，本发明的主要目的在于提供一种移动终端的鉴权方法及装置，用以解决现有技术中存在的移动终端的鉴权安全性不够的问题。

本发明的目的主要是通过以下技术方案实现的：

一种移动终端的鉴权方法，利用密钥管理中心 KDC和加密模块，以及所述加密模块与所述 KDC的通信协议，执行如下步驟：

步驟 A: 所述加密模块利用所述通信协议向所述 KDC进行第一次鉴权请求，并在确定第一次鉴权请求成功后进行第二次鉴权请求；步驟 B: 所述 KDC在第二次鉴权完成后生成最终的双向鉴权结果，并通知给所述加密模块。

其中，所述步驟 A包括：

步驟 A1: 所述加密模块根据移动终端发来的鉴权申请命令做出第一次鉴权请求数据，并转发给所述 KDC;

步驟 A2: 所述 KDC根据所述第一次鉴权请求数据判断所述加密模块的合法性，并在确认合法后做出第一次应答；

步驟 A3: 所述加密模块根据所述第一次应答进行判断，当确定第一次鉴权请求成功时生成第二次鉴权请求数据，并以转发给所述 KDC。

其中，所述步驟 A3包括：

所述加密模块在收到所述 KDC的第一次应答后，根据所述第一次应答判断是否进行第二次鉴权：如果判定第一次鉴权失败，则通知对应的移动终端进行锁死；如果判定第一次鉴权成功，则生成第二次鉴权请求数据，并转发给所述 KDC。

其中，所述步驟 B包括：

所述 KDC根据所述加密模块发来的第二次鉴权请求数据进行解析后生成最终的双向鉴权结果，并通过第二次应答将所述双向鉴权结果发送给所述加密模块；

所述加密模块根据所述双向鉴权结果判断本次双向鉴权是否成功，并通知对应的移动终端。

其中，所述通信协议为：在所述加密模块和所述 KDC之间增加的预定的通信协议。

一种移动终端的鉴权装置，包括： KDC、加密模块，所述加密模块与所述 KDC之间存在通信协议；其中，

所述加密模块，用于利用所述通信协议向所述 KDC进行第一次鉴权请求，并在确定第一次鉴权请求成功后进行第二次鉴权请求；

所述 KDC, 用于与所述加密模块进行第一次鉴权和第二次鉴权，在第二次鉴权完成后生成最终的双向鉴权结果，并通知给所述加密模块。

其中，所述加密模块用于，根据移动终端发来的鉴权申请命令做出第一次鉴权请求数据，并转发给所述 KDC; 以及，根据所述 KDC发来的第一次应答进行判断，并在确定进行第二次鉴权请求时生成第二次鉴权请求数据，并转发给所述 KDC;

所述 KDC用于，根据所述第一次鉴权请求数据判断所述加密模块的合法性，并在确认合法后做出第一次应答。

其中，所述加密模块用于，在收到所述 KDC的第一次应答后，根据所述第一次应答判断是否进行第二次鉴权：如果判定第一次鉴权失败，则通知对应的移动终端进行锁死；如果判定第一次鉴权成功，则生成第二次鉴权请求数据，并转发给所述 KDC。

其中，所述 KDC用于，根据所述加密模块发来的第二次鉴权请求数据进行解析后生成最终的双向鉴权结果，并通过第二次应答将所述双向鉴权结果发送给所述加密模块；

所述加密模块用于，根据所述双向鉴权结果判断本次双向鉴权是否成功，并通知 ^"应的移动终端。

本发明有益效果如下：

通过增加加密模块和 KDC (密钥管理中心），以及这两者的通信协议，从而有效提高用户身份识别的安全性，从而极大减少了对手机固有的身份鉴权的依赖，提高了移动终端使用的安全性，更好地满足数字移动通讯的安全性要求。附图说明

图 1为本发明实施例所述方法的通信流程示意图；

图 2为本发明实施例所述装置的结构示意图。具体实施方式

下面结合附图来具体描述本发明的优选实施例。

首先，结合图 1对本发明实施例所述方法进行详细说明。

本发明实施例增加了移动终端侧的加密模块和短信中心侧的 KDC, 其中，加密模块可以内置到移动终端中，当然也可以做成可插拔的硬件。并且，还增加了加密模块和 KDC之间预定的通信协议。具体而言，可以通过加密模块和 KDC的双向应答完成加密模块与 KDC的合法性的相互判断：首先， KDC判断加密模块的合法性；其次，加密模块判断 KDC的合法性；双向请求应答结束之后，即完成了加密模块和 KDC的相互识别，从而完成了移动终端的身份识别，进一步提高了移动终端的安全性。

在实际应用中，加密模块可以利用所述通信协议向 KDC进行第一次鉴权请求，并在确定第一次鉴权请求成功后进行第二次鉴权请求； KDC在第二次鉴权完成后生成最终的双向鉴权结果，并通知给加密模块，由加密模块再通知对应的移动终端。

如图 1所示，图 1为本发明实施例所述方法的通信流程示意图，具体可以包括如下步驟：

步驟 101 : 当移动终端开机时，发送鉴权申请命令给加密模块；步驟 102: 加密模块根据接收到的鉴权申请命令进行第一次鉴权请求，生成第一次鉴权请求数据并转发给该移动终端，该移动终端使用短信的形式将第一次鉴权请求数据封装起来，经短信中心转发给 KDC;

步驟 103: KDC对短信中心转发过来的需要进行鉴权的短信进行解析，解析得到第一次鉴权请求数据，根据第一次鉴权请求数据判断该加密模块的合法性，并在确定该加密模块合法后做出第一次应答，同时将第一次应答使用短信的形式封装起来发，通过短信中心和移动终端转发给加密模块；步驟 104: 加密模块接收到 KDC发来的第一次应答后，根据第一次应答判断是否进行第二次鉴权请求，如果根据第一次应答判定第一次鉴权失败（由于 KDC非法或者其他等原因），则整个双向鉴权失败，通知该移动终端进行锁死，整个流程结束；如果根据第一次应答判定第一次鉴权成功，则进行第二次鉴权请求，生成第二次鉴权请求数据并转发给该移动终端，发送给 KDC;

同意开始第二次鉴权，并产生第二次鉴权的内容，由移动终端以短信的形式包装起来，该移动终端使用短信的形式将第二次鉴权请求数据封装起来，经短信中心转发给 KDC ( KDC );

步驟 105: KDC解析通过短信中心转发来的第二次鉴权请求数据，根据第二鉴权请求数据的解析结果生成最终的双向鉴权结果，并将该双向鉴权结果通过第二次应答转发给加密模块；

步驟 106: 加密模块对 KDC发来的双向鉴权结果进行解析，判断本次双向鉴权成功或者失败，并通知该移动终端；以便该移动终端根据该双向鉴权结果进行下一步操作：如果双向鉴权成功，则该移动终端打开正常的业务功能，否则该移动终端锁死。

接下来，结合附图 2对本发明实施例所述装置进行详细说明。

如图 2所示，图 2为本发明实施例所述装置的结构示意图，具体可以包括 KDC和移动终端的加密模块；所述 KDC和所述加密模块中均存有预定的通信协议，其中，

加密模块，设置于移动终端侧，利用通信协议向 KDC进行第一次鉴权请求，并在确定第一次鉴权请求成功后进行第二次鉴权请求；

KDC, 用于与加密模块进行第一次鉴权和第二次鉴权，在第二次鉴权完成后生成最终的双向鉴权结果，并通知给加密模块。

具体而言，加密模块根据移动终端发来的鉴权申请命令做出第一次鉴权请求数据，并转发给 KDC; KDC根据第一次鉴权请求数据判断加密模块的合法性，并在确认合法后做出第一次应答；加密模块根据 KDC发来的第一次应答进行判断，并在确定进行第二次鉴权请求时生成第二次鉴权请求数据，并转发给 KDC; KDC根据加密模块发来的第二次鉴权请求数据进行解析，生成最终的双向鉴权结果并发送给加密模块；加密模块根据双向鉴权结果判断本次双向鉴权是否成功，并通知移动终端。

对于上述加密模块和 KDC的具体实施过程，由于上述方法中已有详细说明，故此处不再赘述。

综上所述，本发明实施例提供了一种移动终端的鉴权方法及装置，通过增加加密模块和 KDC, 以及这两者的通信协议，从而使加密模块利用通信协议向 KDC进行第一次鉴权请求，并在确定第一次鉴权请求成功后进行第二次鉴权请求； KDC在第二次鉴权完成后生成最终的双向鉴权结果，并通知给加密模块。本发明方法及装置，能够有效提高用户身份识别的安全性，从而极大减少了对手机固有的身份鉴权的依赖，提高了移动终端使用的安全性，更好地满足数字移动通讯的安全性要求。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。工业实用性

本发明实施例提供了一种移动终端的鉴权方法及装置，通过增加加密模块和 KDC, 以及这两者的通信协议，从而使加密模块利用通信协议向 KDC进行第一次鉴权请求，并在确定第一次鉴权请求成功后进行第二次鉴权请求； KDC在第二次鉴权完成后生成最终的双向鉴权结果，并通知给加密模块。本发明方法及装置，能够有效提高用户身份识别的安全性，从而极大减少了对手机固有的身份鉴权的依赖，提高了移动终端使用的安全性，更好地满足数字移动通讯的安全性要求。

Claims

权利要求书

1、一种移动终端的鉴权方法，利用密钥管理中心 KDC和加密模块，以及所述加密模块与所述 KDC的通信协议，执行如下步驟：

步驟 A: 所述加密模块利用所述通信协议向所述 KDC进行第一次鉴权请求，并在确定第一次鉴权请求成功后进行第二次鉴权请求；

步驟 B: 所述 KDC在第二次鉴权完成后生成最终的双向鉴权结果，并通知给所述加密模块。

2、根据权利要求 1所述的方法，其中，所述步驟 A包括：

3、根据权利要求 2所述的方法，其中，所述步驟 A3包括：

4、根据权利要求 1所述的方法，其中，所述步驟 B包括：

5、根据权利要求 1至 4任一项所述的方法，其中，所述通信协议为：在所述加密模块和所述 KDC之间增加的预定的通信协议。

6、一种移动终端的鉴权装置，包括： KDC、加密模块，所述加密模块与所述 KDC之间存在通信协议；其中，

7、根据权利要求 6所述的装置，其中，

所述加密模块用于，根据移动终端发来的鉴权申请命令做出第一次鉴权请求数据，并转发给所述 KDC; 以及，根据所述 KDC发来的第一次应答进行判断，并在确定进行第二次鉴权请求时生成第二次鉴权请求数据，并转发给所述 KDC;

8、根据权利要求 7所述的装置，其中，

所述加密模块用于，在收到所述 KDC的第一次应答后，根据所述第一次应答判断是否进行第二次鉴权：如果判定第一次鉴权失败，则通知对应的移动终端进行锁死；如果判定第一次鉴权成功，则生成第二次鉴权请求数据，并转发给所述 KDC。

9、根据权利要求 6所述的装置，其中，

所述 KDC用于，根据所述加密模块发来的第二次鉴权请求数据进行解析后生成最终的双向鉴权结果，并通过第二次应答将所述双向鉴权结果发送给所述加密模块；

所述加密模块用于，根据所述双向鉴权结果判断本次双向鉴权是否成功，并通知对应的移动终端。

10、根据权利要求 6至 9任一项所述的装置，其中，所述通信协议为: 在所述加密模块和所述 KDC之间增加的预定的通信协议。