专利名称:移动终端的鉴权方法及装置的制作方法
技术领域:
本发明涉及通讯技术领域,尤其涉及到一种移动终端的鉴权方法及装置。
背景技术:
在数字移动通讯系统中,如何提高通讯的安全性,保护手机用户的隐私数据一直 是一个永恒不断的话题。虽然目前移动终端自身提供了鉴权的方法,对于普通用户来说,其 安全性已经足够了,然而对于一些安全部门、重要部门,其安全性是远远不够的。鉴权是为了确认终端的身份而在终端和基站之间进行的交互过程,它防止假的 MIN(电话标示)和ESN(设备序列号)使用网络服务事件。鉴于无线网络的开放性,非法用 户可以通过复制手机的ESN与MIN相匹配,使呼叫者能对无线互联网进行未授权的访问,并 且终端和系统侧鉴权过程可以被系统侧关闭掉。因此,通常的鉴权的安全性是远远不够的。
发明内容
鉴于上述的分析,本发明旨在提供一种移动终端的鉴权方法及装置,用以解决现 有技术中存在的移动终端的鉴权安全性不够的问题。本发明的目的主要是通过以下技术方案实现的本发明提供了一种移动终端的鉴权方法,利用密钥管理中心和加密模块,并且所 述加密模块中预存有与所述密钥管理中心的通信协议,则所述方法包括步骤A 所述加密模块利用所述通信协议向所述密钥管理中心进行第一次鉴权请 求,并在确定第一次鉴权请求成功后进行第二次鉴权请求;步骤B 所述密钥管理中心在第二次鉴权完成后生成最终的双向鉴权结果,并通 知给所述加密模块。进一步地,所述步骤A中具体包括步骤Al 所述加密模块根据移动终端发来的鉴权申请命令做出第一次鉴权请求 数据,并转发给所述密钥管理中心;步骤A2 所述密钥管理中心根据所述第一次鉴权请求数据判断所述加密模块的 合法性,并在确认合法后做出第一次应答;步骤A3 所述加密模块根据所述第一次应答进行判断,当确定第一次鉴权请求成 功时生成第二次鉴权请求数据,并以转发给所述密钥管理中心。进一步地,所述步骤A3具体包括所述加密模块在收到所述密钥管理中心的第一次应答后,根据所述第一次应答判 断是否进行第二次鉴权如果判定第一次鉴权失败,则通知对应的移动终端进行锁死;如 果判定第一次鉴权成功,则生成第二次鉴权请求数据,并转发给所述密钥管理中心。进一步地,所述步骤B具体包括所述密钥管理中心根据所述加密模块发来的第二次鉴权请求数据进行解析后生 成最终的双向鉴权结果,并通过第二次应答将所述双向鉴权结果发送给所述加密模块;
4
所述加密模块根据所述双向鉴权结果判断本次双向鉴权是否成功,并通知对应的 移动终端。本发明还提供了一种移动终端的鉴权装置,包括密钥管理中心和加密模块,所述 加密模块中预存有与所述密钥管理中心的通信协议,所述加密模块,用于利用所述通信协议向所述密钥管理中心进行第一次鉴权请 求,并在确定第一次鉴权请求成功后进行第二次鉴权请求;所述密钥管理中心,用于与所述加密模块进行第一次鉴权和第二次鉴权,在第二 次鉴权完成后生成最终的双向鉴权结果,并通知给所述加密模块。进一步地所述加密模块具体用于,根据移动终端发来的鉴权申请命令做出第一次鉴权请求 数据,并转发给所述密钥管理中心;以及,根据所述密钥管理中心发来的第一次应答进行判 断,并在确定进行第二次鉴权请求时生成第二次鉴权请求数据,并转发给所述密钥管理中 心;所述密钥管理中心具体用于,根据所述第一次鉴权请求数据判断所述加密模块的 合法性,并在确认合法后做出第一次应答。进一步地,所述密钥管理中心还用于,根据所述加密模块发来的第二次鉴权请求数据进行解 析后生成最终的双向鉴权结果,并通过第二次应答将所述双向鉴权结果发送给所述加密模 块;所述加密模块还用于,根据所述双向鉴权结果判断本次双向鉴权是否成功,并通 知对应的移动终端。本发明有益效果如下通过在硬件上增加加密模块和密钥管理中心,软件上增加两者的通信协议,从而 有效的提高用户身份识别的安全性,从而极大的减少了对手机固有的身份鉴权的依赖,提 高了移动终端使用的安全性,更好地满足数字移动通讯的安全性要求。本发明的其他特征和优点将在随后的说明书中阐述,并且,部分的从说明书中变 得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明 书、权利要求书、以及附图中所特别指出的结构来实现和获得。
图1为本发明实施例所述方法的通信流程示意图;图2为本发明实施例所述装置的结构示意图。
具体实施例方式下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并 与本发明的实施例一起用于阐释本发明的原理。为了清楚和简化目的,当其可能使本发明 的主题模糊不清时,将省略本文所描述的器件中已知功能和结构的详细具体说明。首先,结合图1对本发明实施例所述方法进行详细说明。本发明实施例在硬件上增加了移动终端侧的加密模块和短信中心侧的密钥管理
5中心,其中,加密模块在硬件上可以内置到移动终端中,当然也可以做成可插拔的硬件。在 软件上增加了加密模块和密钥管理中心之间预定的通信协议,该协议是通过加密模块和密 钥管理中心的双向应答完成加密模块与密钥管理中心的合法性的相互判断来实现的首 先,密钥管理中心判断加密模块的合法性;其次,加密模块判断密钥管理中心的合法性;双 向请求应答结束之后,即完成了加密模块和密钥管理中心的相互识别,从而完成了移动终 端的身份识别,进一步提高了移动终端的安全性。本发明实施例的主要内容包括加密模块利用所述通信协议向密钥管理中心进行 第一次鉴权请求,并在确定第一次鉴权请求成功后进行第二次鉴权请求;密钥管理中心在 第二次鉴权完成后生成最终的双向鉴权结果,并通知给加密模块,由加密模块再通知对应 的移动终端。由于本发明实施例主要涉及到加密模块和密钥管理中心的交互过程,移动终端与 短信中心主要是转发的功能,因而以下描述时将不做详细说明。如图1所示,图1为本发明实施例所述方法的通信流程示意图,具体可以包括如下 步骤步骤101 当移动终端开机时,发送鉴权申请命令给加密模块;步骤102 加密模块根据接收到的鉴权申请命令进行第一次鉴权请求,生成第一 次鉴权请求数据并转发给该移动终端,该移动终端使用短信的形式将第一次鉴权请求数据 封装起来,经短信中心转发给KDC (密钥管理中心);步骤103 密钥管理中心对短信中心转发过来的需要进行鉴权的短信进行解析, 解析后得到第一次鉴权请求数据,根据第一次鉴权请求数据判断该加密模块的合法性,并 在确定该加密模块合法后做出第一次应答,同时将第一次应答使用短信的形式封装起来 发,通过短信中心和移动终端转发给加密模块;步骤104 加密模块接收到密钥管理中心发来的第一次应答后,根据第一次应答 判断是否进行第二次鉴权请求,如果根据第一次应答判定第一次鉴权失败(由于密钥管理 中心非法或者其他等原因),则整个双向鉴权失败,通知该移动终端进行锁死,整个流程结 束;如果根据第一次应答判定第一次鉴权成功,则进行第二次鉴权请求,生成第二次鉴权请 求数据并转发给该移动终端,发送给密钥管理中心;同意开始第二次鉴权,并产生第二次鉴权的内容,由移动终端以短信的形式包装 起来,该移动终端使用短信的形式将第二次鉴权请求数据封装起来,经短信中心转发给 KDC(密钥管理中心);步骤105 密钥管理中心解析通过短信中心转发来的第二次鉴权请求数据,根据 第二鉴权请求数据的解析结果生成最终的双向鉴权结果,并将该双向鉴权结果通过第二次 应答转发给加密模块;步骤106 加密模块对密钥管理中心发来的双向鉴权结果进行解析,判断本次双 向鉴权成功或者失败,并通知该移动终端;以便该移动终端根据该双向鉴权结果进行下一 步操作如果双向鉴权成功,则该移动终端打开正常的业务功能,否则该移动终端锁死。接下来,结合附图2对本发明实施例所述装置进行详细说明。如图2所示,图2为本发明实施例所述装置的结构示意图,具体可以包括密钥管 理中心和移动终端的加密模块,所述密钥管理中心和所述加密模块中均存有预定的通信协
6议,其中,加密模块,设置于移动终端侧,利用通信协议向密钥管理中心进行第一次鉴权请 求,并在确定第一次鉴权请求成功后进行第二次鉴权请求;密钥管理中心,用于与加密模块进行第一次鉴权和第二次鉴权,在第二次鉴权完 成后生成最终的双向鉴权结果,并通知给加密模块。具体的说就是,加密模块根据移动终端发来的鉴权申请命令做出第一次鉴权请求 数据,并转发给密钥管理中心;密钥管理中心根据第一次鉴权请求数据判断加密模块的合 法性,并在确认合法后做出第一次应答;加密模块根据密钥管理中心发来的第一次应答进 行判断,并在确定进行第二次鉴权请求时生成第二次鉴权请求数据,并转发给密钥管理中 心;密钥管理中心根据加密模块发来的第二次鉴权请求数据进行解析,生成最终的双向鉴 权结果并发送给加密模块;加密模块根据双向鉴权结果判断本次双向鉴权是否成功,并通 知移动终端。对于上述加密模块和密钥管理中心的具体实施过程,由于上述方法中已有详细说 明,故此处不再赘述。综上所述,本发明实施例提供了一种移动终端的鉴权方法及装置,通过在硬件上 增加加密模块和密钥管理中心,软件上增加两者的通信协议,从而有效的提高用户身份识 别的安全性,从而极大的减少了对手机固有的身份鉴权的依赖,提高了移动终端使用的安 全性,更好地满足数字移动通讯的安全性要求。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换, 都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范 围为准。
权利要求
一种移动终端的鉴权方法,其特征在于,利用密钥管理中心和加密模块,并且所述加密模块中预存有与所述密钥管理中心的通信协议,则所述方法包括步骤A所述加密模块利用所述通信协议向所述密钥管理中心进行第一次鉴权请求,并在确定第一次鉴权请求成功后进行第二次鉴权请求;步骤B所述密钥管理中心在第二次鉴权完成后生成最终的双向鉴权结果,并通知给所述加密模块。
2.根据权利要求1所述的方法,其特征在于,所述步骤A中具体包括步骤Al 所述加密模块根据移动终端发来的鉴权申请命令做出第一次鉴权请求数据, 并转发给所述密钥管理中心;步骤A2 所述密钥管理中心根据所述第一次鉴权请求数据判断所述加密模块的合法 性,并在确认合法后做出第一次应答;步骤A3 所述加密模块根据所述第一次应答进行判断,当确定第一次鉴权请求成功时 生成第二次鉴权请求数据,并以转发给所述密钥管理中心。
3.根据权利要求2所述的方法,其特征在于,所述步骤A3具体包括所述加密模块在收到所述密钥管理中心的第一次应答后,根据所述第一次应答判断是 否进行第二次鉴权如果判定第一次鉴权失败,则通知对应的移动终端进行锁死;如果判 定第一次鉴权成功,则生成第二次鉴权请求数据,并转发给所述密钥管理中心。
4.根据权利要求3所述的方法,其特征在于,所述步骤B具体包括所述密钥管理中心根据所述加密模块发来的第二次鉴权请求数据进行解析后生成最 终的双向鉴权结果,并通过第二次应答将所述双向鉴权结果发送给所述加密模块;所述加密模块根据所述双向鉴权结果判断本次双向鉴权是否成功,并通知对应的移动 终端。
5.一种移动终端的鉴权装置,其特征在于,包括密钥管理中心和加密模块,所述加密 模块中预存有与所述密钥管理中心的通信协议,所述加密模块,用于利用所述通信协议向所述密钥管理中心进行第一次鉴权请求,并 在确定第一次鉴权请求成功后进行第二次鉴权请求;所述密钥管理中心,用于与所述加密模块进行第一次鉴权和第二次鉴权,在第二次鉴 权完成后生成最终的双向鉴权结果,并通知给所述加密模块。
6.根据权利要求5所述的装置,其特征在于,所述加密模块具体用于,根据移动终端发来的鉴权申请命令做出第一次鉴权请求数 据,并转发给所述密钥管理中心;以及,根据所述密钥管理中心发来的第一次应答进行判 断,并在确定进行第二次鉴权请求时生成第二次鉴权请求数据,并转发给所述密钥管理中 心;所述密钥管理中心具体用于,根据所述第一次鉴权请求数据判断所述加密模块的合法 性,并在确认合法后做出第一次应答。
7.根据权利要求6所述的装置,其特征在于,所述密钥管理中心还用于,根据所述加密模块发来的第二次鉴权请求数据进行解析后 生成最终的双向鉴权结果,并通过第二次应答将所述双向鉴权结果发送给所述加密模块;所述加密模块还用于,根据所述双向鉴权结果判断本次双向鉴权是否成功,并通知对应的移动终端。
全文摘要
本发明公开了一种移动终端的鉴权方法及装置,利用密钥管理中心和加密模块,并且所述加密模块中预存有与所述密钥管理中心的通信协议,则所述方法包括所述加密模块利用所述通信协议向所述密钥管理中心进行第一次鉴权请求,并在确定第一次鉴权请求成功后进行第二次鉴权请求;所述密钥管理中心在第二次鉴权完成后生成最终的双向鉴权结果,并通知给所述加密模块;本发明有效的提高用户身份识别的安全性,极大的减少了对手机固有的身份鉴权的依赖,提高了移动终端使用的安全性,更好地满足数字移动通讯的安全性要求。
文档编号H04W12/04GK101977379SQ20101052280
公开日2011年2月16日 申请日期2010年10月28日 优先权日2010年10月28日
发明者张金雷, 曾稹卓 申请人:中兴通讯股份有限公司