本发明涉及无线通信安全领域,特别涉及一种身份鉴别方法、装置和系统、计算机可读存储介质。
背景技术:
伪基站通常以高于核心网基站的功率运行,它会模拟运营商的网络,误导用户终端在伪基站驻留,以获取用户终端号码后向用户发送欺诈、广告推销等短消息,不仅影响用户终端的正常通讯,甚至会给用户造成财务损失。
技术实现要素:
申请人发现:相关技术实现方法主要是通过伪基站自身的特征对其进行识别,或是在位置更新时利用鉴权过程排除伪基站。
相关技术的伪基站识别技术存在以下一些问题:
相关技术身份认证主要由网络侧因素决定,而用户终端无法察觉网络侧被冒仿的信息,导致识别的可靠性低。
相关技术的多数识别方法往往需要比较复杂的特征数据加解密处理,甚至要增加数据链路或占用信令,影响用户终端进行位置更新和网络连接的速度。
相关技术的另一种场景是用户在注册或位置更新时,依据相关通信协议,极端情况会采用明文方式传送终端imsi(internationalmobilesubscriberidentificationnumber,国际移动用户识别码)等隐私敏感信息,容易被非法窃取利用,相关技术还没有可行的措施解决此问题。
鉴于以上技术问题中的至少一项,本发明提供了一种身份鉴别方法、装置和系统、计算机可读存储介质,可以实现双向鉴权,可极大提高伪基站识别的可靠性,又能确保用户隐私安全。
根据本发明的一个方面,提供一种身份鉴别方法,包括:
用户终端采用网络公钥对终端信息进行加密;
用户终端将加密后的终端信息发送至网络侧设备,以便网络侧设备实现对终端身份的鉴别。
在本发明的一些实施例中,所述身份鉴别方法还包括:
用户终端预先设置网络公钥、或用户终端获取网络公钥。
在本发明的一些实施例中,所述用户终端采用网络公钥对终端信息进行加密包括:
用户终端随机生成特征数;
用户终端根据特征数和共享密钥,采用预定算法生成第一鉴权响应参数和第一密钥;
用户终端采用网络公钥对终端信息进行加密,其中,所述终端信息包括第一鉴权响应参数、终端识别码和特征数。
在本发明的一些实施例中,所述身份鉴别方法还包括:
用户终端接收网络侧设备返回的网络侧消息,其中:网络侧设备根据特征数生成第二密钥,在判断用户终端为合法用户的情况下,采用第二密钥对应答消息进行加密后,将加密后的应答消息作为网络侧消息返回给用户终端;
用户终端根据网络侧消息能否用第一密钥解密,来判断网络侧设备是否为真。
在本发明的一些实施例中,所述用户终端根据网络侧消息能否用第一密钥解密,来判断网络侧设备是否为真包括:
用户终端在网络侧消息能用第一密钥解密的情况下,判定网络侧设备为真;
用户终端在网络侧消息不能用第一密钥解密的情况下,判定网络侧设备为伪。
在本发明的一些实施例中,所述用户终端将加密后的终端信息发送至网络侧设备包括:
用户终端在注册或位置更新的情况下,将加密后的终端信息加载到请求消息中,发送给网络侧设备。
根据本发明的另一方面,提供一种身份鉴别方法,包括:
移动交换中心接收用户终端发送的加密后的终端信息;
移动交换中心采用私钥对所述加密后的终端信息进行解密,并将所述终端信息发送给拜访位置寄存器,以便拜访位置寄存器根据所述终端信息实现对终端身份的鉴别。
在本发明的一些实施例中,所述终端信息包括第一鉴权响应参数、终端识别码和特征数;
所述身份鉴别方法还包括:
移动交换中心接收拜访位置寄存器返回的应答消息;
移动交换中心采用第二密钥对应答消息进行加密,其中,所述第二密钥为归属位置寄存器根据特征数和共享密钥,采用预定算法生成的;
移动交换中心将加密后的应答消息作为网络侧消息返回给用户终端。
根据本发明的另一方面,提供一种身份鉴别方法,包括:
拜访位置寄存器接收移动交换中心发送的终端信息,其中,移动交换中心接收用户终端发送的加密后的终端信息,并采用私钥对所述加密后的终端信息进行解密;
拜访位置寄存器根据所述终端信息实现对终端身份的鉴别。
在本发明的一些实施例中,所述终端信息包括第一鉴权响应参数、终端识别码和特征数。
在本发明的一些实施例中,所述拜访位置寄存器根据所述终端信息实现对终端身份的鉴别包括:
拜访位置寄存器将终端识别码和特征数发送给归属位置寄存器,以便归属位置寄存器根据特征数和共享密钥,采用预定算法生成第二鉴权响应参数和第二密钥,并返回给拜访位置寄存器;
拜访位置寄存器通过比较第二鉴权响应参数是否与第一鉴权响应参数相同,来判断用户终端是否为真。
在本发明的一些实施例中,所述拜访位置寄存器通过比较第二鉴权响应参数是否与第一鉴权响应参数相同,来判断用户终端是否为真包括:
在第二鉴权响应参数与第一鉴权响应参数相同的情况下,拜访位置寄存器判定用户终端为真;
在第二鉴权响应参数与第一鉴权响应参数不同的情况下,拜访位置寄存器判定用户终端为伪。
在本发明的一些实施例中,所述身份鉴别方法还包括:
在判定用户终端为真的情况下,拜访位置寄存器指示移动交换中心采用第二密钥对应答消息进行加密后,将加密后的应答消息作为网络侧消息返回给用户终端。
根据本发明的另一方面,提供一种身份鉴别方法,包括:
归属位置寄存器接收拜访位置寄存器发送的终端识别码和特征数,其中,移动交换中心接收用户终端发送的加密后的终端信息,并采用私钥对所述加密后的终端信息进行解密,拜访位置寄存器接收移动交换中心发送的终端信息,其中,所述终端信息包括第一鉴权响应参数、终端识别码和特征数;
归属位置寄存器根据特征数和共享密钥,采用预定算法生成第二鉴权响应参数和第二密钥;
归属位置寄存器将第二鉴权响应参数和第二密钥返回给拜访位置寄存器,以便拜访位置寄存器根据第一鉴权响应参数和第二鉴权响应参数实现对终端身份的鉴别。
根据本发明的另一方面,提供一种用户终端,包括:
终端信息加密模块,用于采用网络公钥对终端信息进行加密;
终端信息发送模块,用于将加密后的终端信息发送至网络侧设备,以便网络侧设备实现对终端身份的鉴别。
在本发明的一些实施例中,所述用户终端用于执行实现如上述任一实施例所述的身份鉴别方法的操作。
根据本发明的另一方面,提供一种用户终端,包括:
终端存储器,用于存储指令;
终端处理器,用于执行所述指令,使得所述用户终端执行实现如上述任一实施例所述的身份鉴别方法的操作。
根据本发明的另一方面,提供一种移动交换中心,包括:
信息接收模块,用于接收用户终端发送的加密后的终端信息;
信息解密模块,用于采用私钥对所述加密后的终端信息进行解密,并将所述终端信息发送给拜访位置寄存器,以便拜访位置寄存器根据所述终端信息实现对终端身份的鉴别。
在本发明的一些实施例中,所述移动交换中心用于执行实现如上述任一实施例所述的身份鉴别方法的操作。
根据本发明的另一方面,提供一种移动交换中心,包括:
交换中心存储器,用于存储指令;
交换中心处理器,用于执行所述指令,使得所述移动交换中心执行实现如上述任一实施例所述的身份鉴别方法的操作。
根据本发明的另一方面,提供一种拜访位置寄存器,包括:
终端信息接收模块,用于接收移动交换中心发送的终端信息,其中,移动交换中心接收用户终端发送的加密后的终端信息,并采用私钥对所述加密后的终端信息进行解密;
终端身份鉴别模块,用于根据所述终端信息实现对终端身份的鉴别。
在本发明的一些实施例中,所述拜访位置寄存器用于执行实现如上述任一实施例所述的身份鉴别方法的操作。
根据本发明的另一方面,提供一种拜访位置寄存器,包括:
拜访位置存储器,用于存储指令;
拜访位置处理器,用于执行所述指令,使得所述拜访位置寄存器执行实现如上述任一实施例所述的身份鉴别方法的操作。
根据本发明的另一方面,提供一种归属位置寄存器,包括:
特征数接收模块,用于接收拜访位置寄存器发送的终端识别码和特征数,其中,移动交换中心接收用户终端发送的加密后的终端信息,并采用私钥对所述加密后的终端信息进行解密,拜访位置寄存器接收移动交换中心发送的终端信息,其中,所述终端信息包括第一鉴权响应参数、终端识别码和特征数;
参数生成模块,用于根据特征数和共享密钥,采用预定算法生成第二鉴权响应参数和第二密钥;
参数返回模块,用于将第二鉴权响应参数和第二密钥返回给拜访位置寄存器,以便拜访位置寄存器根据第一鉴权响应参数和第二鉴权响应参数实现对终端身份的鉴别。
根据本发明的另一方面,提供一种归属位置寄存器,包括:
归属位置存储器,用于存储指令;
归属位置处理器,用于执行所述指令,使得所述归属位置寄存器执行实现如上述任一实施例所述的身份鉴别方法的操作。
根据本发明的另一方面,提供一种身份鉴别系统,包括:
用户终端,用于采用网络公钥对终端信息进行加密;将加密后的终端信息发送至网络侧设备;
网络侧设备,用于根据加密后的终端信息实现对终端身份的鉴别。
在本发明的一些实施例中,用户终端为如上述任一实施例所述的用于终端。
在本发明的一些实施例中,所述网络侧设备包括如上述任一实施例所述的移动交换中心、如上述任一实施例所述的拜访位置寄存器、以及如上述任一实施例所述的归属位置寄存器。
根据本发明的另一方面,提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如上述任一实施例所述的身份鉴别方法。
本发明可以实现双向鉴权,可极大提高伪基站识别的可靠性,又能确保用户隐私安全,从而提升了移动网络系统安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明身份鉴别系统一些实施例的示意图。
图2为本发明身份鉴别系统另一些实施例的示意图。
图3为本发明身份鉴别方法另一些实施例的示意图。
图4为本发明身份鉴别方法又一些实施例的示意图。
图5为本发明身份鉴别方法又一些实施例的示意图。
图6为本发明用户终端一些实施例的示意图。
图7为本发明用户终端另一些实施例的示意图。
图8为本发明身份鉴别方法再一些实施例的示意图。
图9为本发明移动交换中心一些实施例的示意图。
图10为本发明移动交换中心另一些实施例的示意图。
图11为本发明身份鉴别方法再一些实施例的示意图。
图12为本发明拜访位置寄存器一些实施例的示意图。
图13为本发明拜访位置寄存器另一些实施例的示意图。
图14为本发明身份鉴别方法再一些实施例的示意图。
图15为本发明归属位置寄存器一些实施例的示意图。
图16为本发明归属位置寄存器另一些实施例的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本发明身份鉴别系统一些实施例的示意图。所述身份鉴别系统可以包括用户终端1和网络侧设备2,其中:
用户终端1,用于采用网络公钥对终端信息进行加密;将加密后的终端信息发送至网络侧设备2。
在本发明的一些实施例中,用户终端1可以用于随机生成特征数;根据特征数和共享密钥,采用预定算法生成第一鉴权响应参数和第一密钥;采用网络公钥对终端信息进行加密,其中,所述终端信息包括第一鉴权响应参数、终端识别码和特征数。
网络侧设备2,用于根据加密后的终端信息实现对终端身份的鉴别。
在本发明的一些实施例中,网络侧设备2可以通用根据特征数生成第二密钥,在判断用户终端1为合法用户的情况下,采用第二密钥对应答消息进行加密后,将加密后的应答消息作为网络侧消息返回给用户终端1。
用户终端1还可以用于接收网络侧设备2返回的网络侧消息,并根据网络侧消息能否用第一密钥解密,来判断网络侧设备2(例如基站)是否为真。
基于本发明上述实施例提供的身份鉴别系统,是一种双向鉴权系统,通过增加一个网络公钥模块,加密传输终端信息,能够在不过多占用通信资源的基础上,创造性地对终端的信息进行加密处理,并由此改进优化相关流程,实现双向鉴权,可极大提高伪基站识别的可靠性,又能确保用户隐私安全,从而提升移动网络系统安全。
图2为本发明身份鉴别系统另一些实施例的示意图。所述身份鉴别系统可以包括用户终端(ms)和网络侧设备,其中:
在本发明的一些实施例中,如图2所示,所述网络侧设备可以包括bss(basestationsubsystem,基站子系统)、msc(mobileswitchingcenter,移动交换中心)、vlr(visitorlocationregister,拜访位置寄存器)和hlr(homelocationregister,归属位置寄存器)。
在本发明的一些实施例中,如图2所示,auc(authenticationcenter,鉴权中心)与hlr合置在一起。
图2还给出了本发明身份鉴别方法一些实施例的示意图。优选的,本实施例可由本发明身份鉴别系统(例如图1或图2实施例的身份鉴别系统)执行。本发明身份鉴别方法是一种双向鉴权方法。
下面结合分别从终端侧和网络侧,对图2实施例的身份鉴别方法进行介绍。
终端侧:
图3为本发明身份鉴别方法另一些实施例的示意图。优选的,本实施例可由本发明用户终端执行。该方法包括以下步骤:
步骤31,用户终端1采用网络公钥对终端信息进行加密。
在本发明的一些实施例中,所述终端信息可以包括第一鉴权响应参数、终端识别码和特征数。
步骤32,用户终端1将加密后的终端信息发送至网络侧设备2,以便网络侧设备2实现对终端身份的鉴别。
图4为本发明身份鉴别方法又一些实施例的示意图。优选的,本实施例可由本发明用户终端执行。如图2和图4所示,该方法包括以下步骤:
步骤41,用户终端预置网络公钥;或在用户终端中新增sim卡(subscriberidentificationmodule,用户身份识别卡)小程序,通过sim卡小程序获取网络公钥。
步骤42,用户终端触发接入、注册或位置更新。
步骤43,用户终端随机生成特征数rand,为鉴权网络做准备。
步骤44,在某次数据交互时,终端以该特征数为基础,与终端的共享密钥ki通过预定计算模式(例如ran算法)生成第一鉴权响应参数sres、第一密钥k。
步骤45,用户终端利用网络公钥(新增参数)加密终端信息,其中,所述终端信息包括特征数、响应参数,以及隐私参数imsi/tmsi(temporarymobilesubscriberidentity,临时移动用户标识);将终端信息附着在信令中发送给基站。例如,将该特征数加载在locationupdaterequest(位置更新请求)、map(mobileapplicationpart,移动应用部分)updatelocationreq(位置更新请求)中发送给基站。
由当前驻留基站(网络)对该特征数作出响应,网络经过鉴定终端为合法用户,生成相应的第二密钥k,并附着在其作出的应答信令中,用第二密钥k加密返回给终端;对应地,即通过mapupdatelocationrsp(回复)、locationupdateaccept(位置更新接受消息)将返回值传给终端。
步骤46:在终端侧,判断返回值信令能否用第一密钥k解密。如果能正确解密,则鉴定网络侧设备(例如:当前驻留基站)为真;如果不能正确解密,或只能用之前的模式解密,则鉴定网络侧设备(例如:当前驻留基站)为伪。
网络侧:
图5为本发明身份鉴别方法又一些实施例的示意图。优选的,本实施例可由本发明网络侧设备执行。如图2和图5所示,该方法包括以下步骤:
步骤51,移动交换中心接收用户加密信息(终端信息)。
步骤52,网络侧新增加解密模块,可与安全锚点放置在一起,加密信息经解密模块用私钥解密,传送至vlr进行预处理,进一步可将该用户的特征数以及imsi,传送至hlr。
步骤53,hlr在判断该用户为有效用户后,不再自行生产随机数,而是以接收到的用户特征数为基础,依相应模式(例如ran算法)计算该用户的第二密钥kc(如果用户是合法唯一,hlr生成的kc应该与终端计算出的k是一样的)、第二鉴权响应参数sres`,并将相关参数传送至vlr。
步骤54,vlr将解密的该用户的第一鉴权响应参数sres与hlr计算得出的第二鉴权响应参数sres`进行比对。如相等,则鉴定终端为合法有效;如不等,则为非法用户。
相关技术标准流程是发送鉴权参数至终端,终端依序返回相应鉴权参数后再进行鉴权比较,与相关技术标准流程相比,本发明上述实施例流程简化高效。
步骤55,在鉴定用户为真后,vlr指定无线侧对鉴权成功后的应答信息用第二密钥kc加密,发回至终端;如判断终端为伪,则以原模式发送失败消息给终端。
与相关技术相比,本发明上述实施例中校验相关的信息都由终端掌握,校验结果更准确可靠。
本发明上述实施例可以在多次数据交互过程中,平滑自然地轮番相互检验,进一步提高了伪基站识别的准确性。
本发明上述实施例仅需比对不同次序的鉴权响应参数,而不用进行复杂的数据运算,检验效率高。
本发明上述实施例可利用鉴权过程中的剩余信令捎带识别基站真伪的特征值,不额外占用网络资源。
图6为本发明用户终端一些实施例的示意图。如图6所示,本发明用户终端(例如图1或图2实施例的用户终端1)可以包括终端信息加密模块61和终端信息发送模块62,其中:
终端信息加密模块61,用于采用网络公钥对终端信息进行加密。
在本发明的一些实施例中,终端信息加密模块61可以用于随机生成特征数;根据特征数和共享密钥,采用预定算法生成第一鉴权响应参数和第一密钥;采用网络公钥对终端信息进行加密,其中,所述终端信息包括第一鉴权响应参数、终端识别码和特征数。
终端信息发送模块62,用于将加密后的终端信息发送至网络侧设备2,以便网络侧设备2实现对终端身份的鉴别。
在本发明的一些实施例中,如图6所示,所述用户终端还可以包括网络信息接收模块63和鉴权模块64,其中:
网络信息接收模块63,可以用于接收网络侧设备2返回的网络侧消息,其中:网络侧设备2根据特征数生成第二密钥,在判断用户终端1为合法用户的情况下,采用第二密钥对应答消息进行加密后,将加密后的应答消息作为网络侧消息返回给用户终端1。
鉴权模块64,用于根据网络侧消息能否用第一密钥解密,来判断网络侧设备2是否为真。
在本发明的一些实施例中,鉴权模块64具体可以用于在网络侧消息能用第一密钥解密的情况下,判定网络侧设备2(例如:当前驻留基站)为真;在网络侧消息不能用第一密钥解密的情况下,判定网络侧设备2(例如:当前驻留基站)为伪。
在本发明的一些实施例中,所述用户终端1用于执行实现如上述任一实施例(例如图3或图4实施例)所述的身份鉴别方法的操作。
图7为本发明用户终端另一些实施例的示意图。如图7所示,本发明用户终端(例如图1或图2实施例的用户终端1)可以包括终端存储器71和终端处理器72,其中:
终端存储器71,用于存储指令;
终端处理器72,用于执行所述指令,使得所述用户终端1执行实现如上述任一实施例(例如图3或图4实施例)所述的身份鉴别方法的操作。
基于本发明上述实施例提供的用户终端,通过增加一个网络公钥模块,加密传输终端信息,能够在不过多占用通信资源的基础上,创造性地对终端的信息进行加密处理,并由此改进优化相关流程,实现双向鉴权,可极大提高伪基站识别的可靠性,又能确保用户隐私安全,从而提升移动网络系统安全。
本发明上述实施例中校验相关的信息都由终端掌握,校验结果更准确可靠。
本发明上述实施例可以在多次数据交互过程中,平滑自然地轮番相互检验,进一步提高了伪基站识别的准确性。
本发明上述实施例可利用鉴权过程中的剩余信令捎带识别基站真伪的特征值,不额外占用网络资源。
图8为本发明身份鉴别方法再一些实施例的示意图。优选的,本实施例可由本发明移动交换中心执行。该方法包括以下步骤:
步骤81,移动交换中心接收用户终端1发送的加密后的终端信息。
在本发明的一些实施例中,所述终端信息可以包括第一鉴权响应参数、终端识别码和特征数。
步骤82,移动交换中心采用私钥对所述加密后的终端信息进行解密,并将所述终端信息发送给拜访位置寄存器,以便拜访位置寄存器根据所述终端信息实现对终端身份的鉴别。
在本发明的一些实施例中,如图8所示,所述身份鉴别方法还可以包括:
步骤83,移动交换中心接收拜访位置寄存器返回的应答消息。
步骤84,移动交换中心采用第二密钥对应答消息进行加密,其中,所述第二密钥为归属位置寄存器根据特征数和共享密钥,采用预定算法生成的。
步骤85,移动交换中心将加密后的应答消息作为网络侧消息返回给用户终端1。
图9为本发明移动交换中心一些实施例的示意图。如图9所示,本发明移动交换中心(例如图2实施例的移动交换中心)可以包括信息接收模块91和信息解密模块92,其中:
信息接收模块91,用于接收用户终端发送的加密后的终端信息。
信息解密模块92,用于采用私钥对所述加密后的终端信息进行解密,并将所述终端信息发送给拜访位置寄存器,以便拜访位置寄存器根据所述终端信息实现对终端身份的鉴别。
在本发明的一些实施例中,所述移动交换中心用于执行实现如上述任一实施例(例如图8实施例)所述的身份鉴别方法的操作。
图10为本发明移动交换中心另一些实施例的示意图。如图10所示,本发明移动交换中心(例如图2实施例的移动交换中心)可以包括交换中心存储器101和交换中心处理器102,其中:
交换中心存储器101,用于存储指令。
交换中心处理器102,用于执行所述指令,使得所述移动交换中心执行实现如上述任一实施例(例如图8实施例)所述的身份鉴别方法的操作。
基于本发明上述实施例提供的移动交换中心,接收用户终端并解密终端发送的加密后的终端信息;采用第二密钥对应答消息进行加密,并将将加密后的应答消息作为网络侧消息返回给用户终端,由此可以实现双向鉴权,可极大提高伪基站识别的可靠性,又能确保用户隐私安全,从而提升移动网络系统安全。
本发明上述实施例可以在多次数据交互过程中,平滑自然地轮番相互检验,进一步提高了伪基站识别的准确性。
本发明上述实施例可利用鉴权过程中的剩余信令捎带识别基站真伪的特征值,不额外占用网络资源。
图11为本发明身份鉴别方法再一些实施例的示意图。优选的,本实施例可由本发明拜访位置寄存器执行。该方法包括以下步骤:
步骤111,拜访位置寄存器接收移动交换中心发送的终端信息,其中,移动交换中心接收用户终端1发送的加密后的终端信息,并采用私钥对所述加密后的终端信息进行解密。
在本发明的一些实施例中,所述终端信息包括第一鉴权响应参数、终端识别码和特征数。
步骤112,拜访位置寄存器根据所述终端信息实现对终端身份的鉴别。
在本发明的一些实施例中,步骤112可以包括:
步骤a,拜访位置寄存器将终端识别码和特征数发送给归属位置寄存器,以便归属位置寄存器根据特征数和共享密钥,采用预定算法生成第二鉴权响应参数和第二密钥,并返回给拜访位置寄存器。
步骤b,拜访位置寄存器通过比较第二鉴权响应参数是否与第一鉴权响应参数相同,来判断用户终端1是否为真。
在本发明的一些实施例中,步骤b可以包括:
步骤b1,在第二鉴权响应参数与第一鉴权响应参数相同的情况下,拜访位置寄存器判定用户终端1为真。
步骤b2,在第二鉴权响应参数与第一鉴权响应参数不同的情况下,拜访位置寄存器判定用户终端1为伪。
在本发明的一些实施例中,所述身份鉴别方法还可以包括:在判定用户终端1为真的情况下,拜访位置寄存器指示移动交换中心采用第二密钥对应答消息进行加密后,将加密后的应答消息作为网络侧消息返回给用户终端1。
图12为本发明拜访位置寄存器一些实施例的示意图。如图12所示,本发明拜访位置寄存器(例如图2实施例的拜访位置寄存器)可以包括终端信息接收模块121和终端身份鉴别模块122,其中:
终端信息接收模块121,用于接收移动交换中心发送的终端信息,其中,移动交换中心接收用户终端1发送的加密后的终端信息,并采用私钥对所述加密后的终端信息进行解密。
终端身份鉴别模块122,用于根据所述终端信息实现对终端身份的鉴别。
在本发明的一些实施例中,所述拜访位置寄存器用于执行实现如上述任一实施例(例如图11实施例)所述的身份鉴别方法的操作。
图13为本发明拜访位置寄存器另一些实施例的示意图。如图13所示,本发明拜访位置寄存器(例如图2实施例的拜访位置寄存器)可以包括拜访位置存储器131和拜访位置处理器132,其中:
拜访位置存储器131,用于存储指令。
拜访位置处理器132,用于执行所述指令,使得所述拜访位置寄存器执行实现如上述任一实施例(例如图11实施例)所述的身份鉴别方法的操作。
基于本发明上述实施例提供的拜访位置寄存器,将终端识别码和特征数发送给归属位置寄存器,以便归属位置寄存器根据特征数和共享密钥,采用预定算法生成第二鉴权响应参数和第二密钥,并返回给拜访位置寄存器;通过比较第二鉴权响应参数是否与第一鉴权响应参数相同,来判断用户终端1是否为真。由此改进优化相关流程,实现双向鉴权,可极大提高伪基站识别的可靠性,又能确保用户隐私安全,从而提升移动网络系统安全。
本发明上述实施例可以在多次数据交互过程中,平滑自然地轮番相互检验,进一步提高了伪基站识别的准确性。
本发明上述实施例仅需比对不同次序的鉴权响应参数,而不用进行复杂的数据运算,检验效率高。
本发明上述实施例可利用鉴权过程中的剩余信令捎带识别基站真伪的特征值,不额外占用网络资源。
图14为本发明身份鉴别方法再一些实施例的示意图。优选的,本实施例可由本发明归属位置寄存器执行。该方法包括以下步骤:
步骤141,归属位置寄存器接收拜访位置寄存器发送的终端识别码和特征数,其中,移动交换中心接收用户终端1发送的加密后的终端信息,并采用私钥对所述加密后的终端信息进行解密,拜访位置寄存器接收移动交换中心发送的终端信息,其中,所述终端信息包括第一鉴权响应参数、终端识别码和特征数。
步骤142,归属位置寄存器根据特征数和共享密钥,采用预定算法生成第二鉴权响应参数和第二密钥。
步骤143,归属位置寄存器将第二鉴权响应参数和第二密钥返回给拜访位置寄存器,以便拜访位置寄存器根据第一鉴权响应参数和第二鉴权响应参数实现对终端身份的鉴别。
图15为本发明归属位置寄存器一些实施例的示意图。如图15所示,本发明归属位置寄存器(例如图2实施例的归属位置寄存器)可以包括特征数接收模块151、参数生成模块152和参数返回模块153,其中:
特征数接收模块151,用于接收拜访位置寄存器发送的终端识别码和特征数,其中,移动交换中心接收用户终端1发送的加密后的终端信息,并采用私钥对所述加密后的终端信息进行解密,拜访位置寄存器接收移动交换中心发送的终端信息,其中,所述终端信息包括第一鉴权响应参数、终端识别码和特征数。
参数生成模块152,用于根据特征数和共享密钥,采用预定算法生成第二鉴权响应参数和第二密钥。
参数返回模块153,用于将第二鉴权响应参数和第二密钥返回给拜访位置寄存器,以便拜访位置寄存器根据第一鉴权响应参数和第二鉴权响应参数实现对终端身份的鉴别。
在本发明的一些实施例中,所述归属位置寄存器用于执行实现如上述任一实施例(例如图14实施例)所述的身份鉴别方法的操作。
图16为本发明归属位置寄存器另一些实施例的示意图。如图16所示,本发明归属位置寄存器(例如图2实施例的归属位置寄存器)可以包括归属位置存储器161和归属位置处理器162,其中:
归属位置存储器161,用于存储指令;
归属位置处理器162,用于执行所述指令,使得所述归属位置寄存器执行实现如上述任一实施例(例如图14实施例)所述的身份鉴别方法的操作。
基于本发明上述实施例提供的归属位置寄存器,根据特征数和共享密钥,采用预定算法生成第二鉴权响应参数和第二密钥,以便拜访位置寄存器根据第一鉴权响应参数和第二鉴权响应参数实现对终端身份的鉴别。由此改进优化相关流程,实现双向鉴权,可极大提高伪基站识别的可靠性,又能确保用户隐私安全,从而提升移动网络系统安全。
本发明上述实施例可以在多次数据交互过程中,平滑自然地轮番相互检验,进一步提高了伪基站识别的准确性。
本发明上述实施例仅需比对不同次序的鉴权响应参数,而不用进行复杂的数据运算,检验效率高。
本发明上述实施例可利用鉴权过程中的剩余信令捎带识别基站真伪的特征值,不额外占用网络资源。
根据本发明的另一方面,提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如上述任一实施例(例如图/2-图5、图8、图11和图14中任一实施例)所述的身份鉴别方法。
基于本发明上述实施例提供的计算机可读存储介质,加密传输终端信息,能够在不过多占用通信资源的基础上,创造性地对终端的信息进行加密处理,并由此改进优化相关流程,实现双向鉴权,可极大提高伪基站识别的可靠性,又能确保用户隐私安全,从而提升移动网络系统安全。
本发明上述实施例中校验相关的信息都由终端掌握,校验结果更准确可靠。
本发明上述实施例可以在多次数据交互过程中,平滑自然地轮番相互检验,进一步提高了伪基站识别的准确性。
本发明上述实施例仅需比对不同次序的鉴权响应参数,而不用进行复杂的数据运算,检验效率高。
本发明上述实施例可利用鉴权过程中的剩余信令捎带识别基站真伪的特征值,不额外占用网络资源。
在上面所描述的用户终端、移动交换中心、拜访位置寄存器和归属位置寄存器可以实现为用于执行本申请所描述功能的通用处理器、可编程逻辑控制器(plc)、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
1.一种身份鉴别方法,其特征在于,包括:
用户终端采用网络公钥对终端信息进行加密;
用户终端将加密后的终端信息发送至网络侧设备,以便网络侧设备实现对终端身份的鉴别。
2.根据权利要求1所述的身份鉴别方法,其特征在于,还包括:
用户终端预先设置网络公钥、或用户终端获取网络公钥。
3.根据权利要求1或2所述的身份鉴别方法,其特征在于,所述用户终端采用网络公钥对终端信息进行加密包括:
用户终端随机生成特征数;
用户终端根据特征数和共享密钥,采用预定算法生成第一鉴权响应参数和第一密钥;
用户终端采用网络公钥对终端信息进行加密,其中,所述终端信息包括第一鉴权响应参数、终端识别码和特征数。
4.根据权利要求3所述的身份鉴别方法,其特征在于,还包括:
用户终端接收网络侧设备返回的网络侧消息,其中:网络侧设备根据特征数生成第二密钥,在判断用户终端为合法用户的情况下,采用第二密钥对应答消息进行加密后,将加密后的应答消息作为网络侧消息返回给用户终端;
用户终端根据网络侧消息能否用第一密钥解密,来判断网络侧设备是否为真。
5.根据权利要求4所述的身份鉴别方法,其特征在于,所述用户终端根据网络侧消息能否用第一密钥解密,来判断网络侧设备是否为真包括:
用户终端在网络侧消息能用第一密钥解密的情况下,判定网络侧设备为真;
用户终端在网络侧消息不能用第一密钥解密的情况下,判定网络侧设备为伪。
6.根据权利要求1或2所述的身份鉴别方法,其特征在于,所述用户终端将加密后的终端信息发送至网络侧设备包括:
用户终端在注册或位置更新的情况下,将加密后的终端信息加载到请求消息中,发送给网络侧设备。
7.一种身份鉴别方法,其特征在于,包括:
移动交换中心接收用户终端发送的加密后的终端信息;
移动交换中心采用私钥对所述加密后的终端信息进行解密,并将所述终端信息发送给拜访位置寄存器,以便拜访位置寄存器根据所述终端信息实现对终端身份的鉴别。
8.根据权利要求7所述的身份鉴别方法,其特征在于,所述终端信息包括第一鉴权响应参数、终端识别码和特征数;
所述身份鉴别方法还包括:
移动交换中心接收拜访位置寄存器返回的应答消息;
移动交换中心采用第二密钥对应答消息进行加密,其中,所述第二密钥为归属位置寄存器根据特征数和共享密钥,采用预定算法生成的;
移动交换中心将加密后的应答消息作为网络侧消息返回给用户终端。
9.一种身份鉴别方法,其特征在于,包括:
拜访位置寄存器接收移动交换中心发送的终端信息,其中,移动交换中心接收用户终端发送的加密后的终端信息,并采用私钥对所述加密后的终端信息进行解密;
拜访位置寄存器根据所述终端信息实现对终端身份的鉴别。
10.根据权利要求9所述的身份鉴别方法,其特征在于,所述终端信息包括第一鉴权响应参数、终端识别码和特征数;
所述拜访位置寄存器根据所述终端信息实现对终端身份的鉴别包括:
拜访位置寄存器将终端识别码和特征数发送给归属位置寄存器,以便归属位置寄存器根据特征数和共享密钥,采用预定算法生成第二鉴权响应参数和第二密钥,并返回给拜访位置寄存器;
拜访位置寄存器通过比较第二鉴权响应参数是否与第一鉴权响应参数相同,来判断用户终端是否为真。
11.根据权利要求10所述的身份鉴别方法,其特征在于,所述拜访位置寄存器通过比较第二鉴权响应参数是否与第一鉴权响应参数相同,来判断用户终端是否为真包括:
在第二鉴权响应参数与第一鉴权响应参数相同的情况下,拜访位置寄存器判定用户终端为真;
在第二鉴权响应参数与第一鉴权响应参数不同的情况下,拜访位置寄存器判定用户终端为伪。
12.根据权利要求10或11所述的身份鉴别方法,其特征在于,还包括:
在判定用户终端为真的情况下,拜访位置寄存器指示移动交换中心采用第二密钥对应答消息进行加密后,将加密后的应答消息作为网络侧消息返回给用户终端。
13.一种身份鉴别方法,其特征在于,包括:
归属位置寄存器接收拜访位置寄存器发送的终端识别码和特征数,其中,移动交换中心接收用户终端发送的加密后的终端信息,并采用私钥对所述加密后的终端信息进行解密,拜访位置寄存器接收移动交换中心发送的终端信息,其中,所述终端信息包括第一鉴权响应参数、终端识别码和特征数;
归属位置寄存器根据特征数和共享密钥,采用预定算法生成第二鉴权响应参数和第二密钥;
归属位置寄存器将第二鉴权响应参数和第二密钥返回给拜访位置寄存器,以便拜访位置寄存器根据第一鉴权响应参数和第二鉴权响应参数实现对终端身份的鉴别。
14.一种用户终端,其特征在于,包括:
终端信息加密模块,用于采用网络公钥对终端信息进行加密;
终端信息发送模块,用于将加密后的终端信息发送至网络侧设备,以便网络侧设备实现对终端身份的鉴别。
15.根据权利要求14所述的用户终端,其特征在于,所述用户终端用于执行实现如权利要求1-6中任一项所述的身份鉴别方法的操作。
16.一种用户终端,其特征在于,包括:
终端存储器,用于存储指令;
终端处理器,用于执行所述指令,使得所述用户终端执行实现如权利要求1-6中任一项所述的身份鉴别方法的操作。
17.一种移动交换中心,其特征在于,包括:
信息接收模块,用于接收用户终端发送的加密后的终端信息;
信息解密模块,用于采用私钥对所述加密后的终端信息进行解密,并将所述终端信息发送给拜访位置寄存器,以便拜访位置寄存器根据所述终端信息实现对终端身份的鉴别。
18.根据权利要求17所述的移动交换中心,其特征在于,所述移动交换中心用于执行实现如权利要求7或8所述的身份鉴别方法的操作。
19.一种移动交换中心,其特征在于,包括:
交换中心存储器,用于存储指令;
交换中心处理器,用于执行所述指令,使得所述移动交换中心执行实现如权利要求7或8所述的身份鉴别方法的操作。
20.一种拜访位置寄存器,其特征在于,包括:
终端信息接收模块,用于接收移动交换中心发送的终端信息,其中,移动交换中心接收用户终端发送的加密后的终端信息,并采用私钥对所述加密后的终端信息进行解密;
终端身份鉴别模块,用于根据所述终端信息实现对终端身份的鉴别。
21.根据权利要求20所述的拜访位置寄存器,其特征在于,所述拜访位置寄存器用于执行实现如权利要求9-12中任一项所述的身份鉴别方法的操作。
22.一种拜访位置寄存器,其特征在于,包括:
拜访位置存储器,用于存储指令;
拜访位置处理器,用于执行所述指令,使得所述拜访位置寄存器执行实现如权利要求9-12中任一项所述的身份鉴别方法的操作。
23.一种归属位置寄存器,其特征在于,包括:
特征数接收模块,用于接收拜访位置寄存器发送的终端识别码和特征数,其中,移动交换中心接收用户终端发送的加密后的终端信息,并采用私钥对所述加密后的终端信息进行解密,拜访位置寄存器接收移动交换中心发送的终端信息,其中,所述终端信息包括第一鉴权响应参数、终端识别码和特征数;
参数生成模块,用于根据特征数和共享密钥,采用预定算法生成第二鉴权响应参数和第二密钥;
参数返回模块,用于将第二鉴权响应参数和第二密钥返回给拜访位置寄存器,以便拜访位置寄存器根据第一鉴权响应参数和第二鉴权响应参数实现对终端身份的鉴别。
24.一种归属位置寄存器,其特征在于,包括:
归属位置存储器,用于存储指令;
归属位置处理器,用于执行所述指令,使得所述归属位置寄存器执行实现如权利要求13所述的身份鉴别方法的操作。
25.一种身份鉴别系统,其特征在于,包括:
用户终端,用于采用网络公钥对终端信息进行加密;将加密后的终端信息发送至网络侧设备;
网络侧设备,用于根据加密后的终端信息实现对终端身份的鉴别。
26.根据权利要求25所述的身份鉴别系统,其特征在于,
用户终端为如权利要求14-16中任一项所述的用于终端;
和/或,
所述网络侧设备包括如权利要求17-19中任一项所述的移动交换中心、如权利要求20-22中任一项所述的拜访位置寄存器、以及如权利要求23或24所述的归属位置寄存器。
27.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如权利要求1-13中任一项所述的身份鉴别方法。
技术总结