[发明专利]一种数据终端接入服务器的鉴权方法

说明书

【技术领域】

本发明涉及一种数据终端接入服务器的鉴权方法。

【背景技术】

常用的手机用户鉴权接入方法是：认证网元和SIM卡都持有密钥Ki(Authentication key鉴权密钥，Ki就是GSM系统中加密解密中的密钥)，由认证网元产生一个随机数发给手机端，手机端用SIM卡里面的密钥Ki对该随机数进行加密运算得到XRES(Expected response期望响应)，然后再将XRES上传给认证网元，所述认证网元解密XRES，并判断是否是由密钥Ki加密而成的，从而来完成接入鉴权。存在于2G网络的接入鉴权方法不足之处是必须由认证网元产生随机数并发送给手机，然后通过SIM卡的密钥Ki加密后再回送给认证网元进行判断其合法性，这样的认证流程至少需要1.5个来回的数据交互才能完成。

【发明内容】

本发明要解决的技术问题，在于提供一种数据终端接入服务器的鉴权方法，它能够简化鉴权流程，而且安全性高。

本发明是这样实现的：一种数据终端接入服务器的鉴权方法，具体包括如下步骤：

步骤10、将接入鉴权密钥植入到安全模块，并将该接入鉴权密钥与该安全模块的ID绑定保存到服务器的数据库；

步骤20、将所述安全模块安装到数据终端，数据终端连接到服务器，并记录下连接服务器成功的时间点；

步骤30、将上述时间点送入安全模块的接入鉴权密钥进行加密运算得到加密数据DCI(ciphertext data密文数据)；

步骤40、将加密数据DCI与该安全模块的ID上传到服务器；

步骤50、服务器的鉴权中心根据安全模块的ID对所述加密数据DCI进行解密得到数据DPL(plaintext data明文数据)；

步骤60、服务器判断DPL与鉴权中心当前时间点的时间差，如果时间差在预设的时间范围内，则鉴权成功，如果时间差超过预设的时间范围，则鉴权失败。

进一步的，所述步骤50中，鉴权中心对所述加密数据DCI进行解密得到数据DPL，如果数据DPL无效，则鉴权失败。

进一步的，所述安全模块的接入鉴权密钥为112bit长的对称加密算法，所述对称加密算法使用的加密算法为3DES算法(Data Encryption Standard数据加密标准)。

进一步的，所述数据终端设置有可掉电运行的第一RTC(Real TimeClock实时时钟)，所述数据终端通过所述第一RTC记录连接服务器成功的时间点，所述鉴权中心也设置有第二RTC，所述鉴权中心通过第二RTC记录解密DCI得到数据DPL后的当前时间点。

本发明具有如下优点：

本发明是利用数据终端和服务器的时间差不能有较大偏差的特点，再利用安全模块特有的加密功能完成接入鉴权的识别，本发明数据交互少，不受数据终端本身型号的限制，大大简化了鉴权流程；安全性高，不容易被破解，因为时间是唯一的，不可能重复，接入鉴权的密钥被保存在安全模块里面，密钥的存储是安全的，采用时间作为接入鉴权的依据，在一次网络链接中可以有效的限制这段时间内的攻击次数，防止恶意攻击。

【附图说明】

下面参照附图结合实施例对本发明作进一步的说明。

图1为本发明安全模块植入密钥的方法示意图。

图2为本发明安全模块失活密钥的方法示意图。

图3为本发明数据终端与服务器的接入鉴权流程示意图。

【具体实施方式】

请参阅图1至图3所示，对本发明的实施例进行详细的说明。

本发明一种数据终端接入服务器的鉴权方法，它包括若干通过GPRS网络连接的数据终端，服务器，安全模块密钥植入软件、安全模块失活软件，所述数据终端安装有一安全模块，所述服务器设置有鉴权中心，所述安全模块通过安全模块密钥植入软件植入接入鉴权密钥Ki，通过安全模块失活软件进行失活接入鉴权密钥Ki。

如图1，首先随机生成了一个接入鉴权密钥，然后将该接入鉴权密钥与当前安全模块的ID绑定保存到服务器的数据库里面，在安全环境下将接入鉴权密钥植入安全模块，则植入成功。如图2，首先读取安全模块的ID，然后解除安全模块ID与接入鉴权密钥的绑定关系，删除服务器数据库中接入鉴权数据与安全模块ID的信息，对安全模块进行失活操作，则失活成功。

当安全模块授权植入了接入鉴权密钥，并将该接入鉴权密钥与该安全模块的ID绑定保存到服务器的数据库，，将所述安全模块安装到数据终端。然后进行服务器与数据终端之间的接入鉴权。