[发明专利]一种对移动终端进行信息分发的方法

说明书

技术领域

本发明适用于移动通信和信息安全领域，具体涉及一种网络服务器对移动终端进行信息分发的方法。

背景技术

随着移动网络从2G向3G发展，以及各种无线局域网接入方式的融合，建立在多媒体传输基础上的业务日益多样化，媒体流的数据量越来越大，实时性要求高，单一的安全保障机制已经不能适应这一发展趋势，因此，移动网络需要从技术上提供机制，让终端可以接受来自网络必要的安全管理和控制。比如移动终端通过安装各种代理，从而使网络侧的业务能够和终端业务应用紧密结合，形成一个整体。

在移动网络中，分发的信息需要根据不同的应用发生相应的变化。在病毒查杀应用中，比较典型的终端代理有杀毒业务代理，它能够及时地检测出移动终端是否感染了手机病毒，并且能与服务器进行通信，对带毒终端进行在线查杀功能。病毒服务器同时也能对安装在终端的杀毒代理在线地进行病毒库更新等操作。

在移动安全服务体系中，用户安全代理集中管理终端安全机制的代理软件模块，其安全策略由网络侧的安全策略服务器提供，并保持同步。安全策略是安全管理员根据市场安全需求对移动通信中的安全资源做一个管理和控制，它是整个移动安全服务系统的基础。安全策略存储于策略服务器内部，描述移动终端安全等级信息，属于移动网络中分发信息的一类，由策略服务器负责对其他网络实体进行安全策略的分发操作。只有当网络中的通信实体对安全策略有一个共同描述时，才能更好的完成安全协议、安全算法和安全参数的协商，并实现必要的管理和控制功能，最终为终端用户提供全面的移动安全服务。

在移动终端中有ISIM模块，它以ISIM卡的形式存在。由它代表移动终端与网络完成相互认证。网络是指传统的包括接入网和核心网的移动网络，认证中心(AUC)位于移动核心网，由它代表网络与移动终端完成相互认证。认证与密钥协商(Authentication and Key Agreement，AKA)过程实现了IP多媒体业务身份模块(ISIM)和认证中心之间的相互认证，并建立了一对加密密钥和完整性密钥，其中，ISIM是存储了共享密钥(K)和相应的AKA算法的模块。这一认证过程是由网络发起的，它发出一个认证请求，包含一个随机挑战(RAND)和一个网络认证令牌(AUTN)。ISIM对AUTN进行认证，从而对网络本身的真实性进行了验证。为了响应网络的认证请求，ISIM将密钥应用于随机挑战(RAND)，从而产生一个响应(RES)。认证中心对RES进行验证以认证ISIM。到这一点时，移动终端和网络已经成功地完成了相互认证，并且生成了加密密钥(CK)和完整性密钥(IK)。这些密钥随后可被用于两个实体之间通信的安全保护。

在现有的移动网络中，当移动终端和网络服务器之间需要进行数据传输时，需要为传输单独建立一次连接，这需要为做许多额外的工作，即使是在由SIP协议进行控制的全IP网络架构中，也需要为一次数据传输完成诸如路由选择等工作。类似于安全策略这种需要在每个使用安全服务的移动终端上进行保存的信息，每次为这种信息的分发建立单独的连接的代价是昂贵的，现有的一种技术是将某种终端需要经常使用的软件模块固化到移动终端，但这显然不适合象安全策略这种需要实时更新的信息数据。另外，由于移动终端的位置、状态等不确定性，服务器也无法保证所有的移动终端在同一时刻均保存着最新的信息数据，这就给此后的通信带来了困难。

发明内容

本发明提出了一种网络服务器对移动终端进行信息分发的方法，利用此方法能够获得较高的通信效率，同时，也加强了通信数据的安全性能。

本发明的技术方案为，在移动终端与网络服务器相互认证的过程中，移动终端向认证服务器发送移动终端相关信息代号，认证成功后建立会话密钥，认证服务器将移动终端相关信息代号发送到网络服务器，网络服务器根据移动终端相关信息代号，完成信息分发操作，并将操作结果返回到认证服务器；认证服务器通知移动终端认证及信息分发结果。其中，信息代号是移动终端当前信息的一个标识，网络服务器根据此代号判断是否需要对当前移动终端进行信息分发操作。

所述认证过程包括以下步骤：

第一步，移动终端向认证服务器发送用户身份信息及移动终端相关信息代号；

第二步，认证服务器使用认证向量向移动终端发送认证挑战；

第三步，移动终端对网络进行认证，认证成功后计算会话密钥，向认证服务器发送认证响应信息；否则，回到第一步重新认证；

第四步，认证服务器对移动终端进行认证，认证成功后，将移动终端相关信息代号发送到网络服务器，否则，回到第一步重新认证。