[19]
中华人民共和国国家知识产权局
[12]发明专利申请公开说明书
[11]公开号CN 1859097A
[43]公开日2006年11月8日
[21]申请号200610033213.X [22]申请日2006.01.19
[21]申请号200610033213.X
[71]申请人华为技术有限公司
地址518129广东省深圳市龙岗区坂田华为总部
办公楼
[72]发明人位继伟 范絮妍 李超 [51]Int.CI.H04L 9/32 (2006.01)H04Q 7/38 (2006.01)
权利要求书 4 页 说明书 11 页 附图 4 页
[54]发明名称
[57]摘要
本发明适用于移动通信领域,提供了一种基于
通用鉴权框架的认证方法及系统,所述通用鉴权框
务实体签约信息的实体签约信息数据库,所述方法
包括下述步骤:A.实体认证中心与业务实体协商认
证方式和加密算法,确定采用公钥方式进行互认证;
B.实体认证中心对业务实体的证书进行验证,获取
业务实体的公钥;C.实体认证中心和业务实体之间
利用对方的公钥进行互认证,认证通过后生成共享
密钥。通过本发明,可以基于通用鉴权框架采用公
钥机制实现业务实体与EAC之间的互认证,使得通
用鉴权框架能够更好地满足不同实体对于认证机制
的要求,提高了通用鉴权框架的通用性。
200610033213.X权 利 要 求 书第1/4页 1、一种基于通用鉴权框架的认证方法,所述通用鉴权框架包括与业务实体连接的实体认证中心以及保存业务实体签约信息的实体签约信息数据库,其特征在于,所述方法包括下述步骤:
A.实体认证中心与业务实体协商认证方式和加密算法,确定采用公钥方式进行互认证;
B.实体认证中心对业务实体的证书进行验证,获取业务实体的公钥;
C.实体认证中心和业务实体之间利用对方的公钥进行互认证,认证通过后生成共享密钥。
2、如权利要求1所述的基于通用鉴权框架的认证方法,其特征在于,所述步骤B进一步包括下述步骤:
B11.业务实体向实体认证中心发送认证请求消息,消息中携带有业务实体的证书;
B12.实体认证中心查询实体签约信息数据库,获取证书撤销列表; B13.实体认证中心根据所述证书撤销列表验证所述证书的有效性,验证通过后获取业务实体的公钥。
3、如权利要求1所述的基于通用鉴权框架的认证方法,其特征在于,所述步骤B进一步包括下述步骤:
B21.业务实体向实体认证中心发送认证请求消息,消息中携带有业务实体的证书的统一资源地址信息;
B22.实体认证中心根据所述统一资源地址信息查询实体签约信息数据库,获取对应的证书,并下载证书撤销列表;
B23.实体认证中心根据所述证书撤销列表验证所述证书的有效性,验证通过后获取业务实体的公钥。
4、如权利要求1所述的基于通用鉴权框架的认证方法,其特征在于,所述步骤C进一步包括下述步骤:
C11.实体认证中心向业务实体发送认证挑战消息,消息中携带有采用业务实体公钥加密的认证信息,所
述认证信息包含有实体认证中心的签名信息; C12.业务实体收到所述认证挑战消息后,利用其私钥解密所述认证信息,并利用实体认证中心的公钥对实体认证中心的签名信息进行验证; C13.验证通过后,业务实体向实体认证中心返回认证响应消息,消息中携带有采用实体认证中心公钥加密的认证信息,所述认证信息包含有业务实体的签名信息;
C14.实体认证中心收到所述认证响应消息后,利用其私钥解密所述认证信息,并利用业务实体的公钥对业务实体的签名信息进行验证; C15.验证通过后,实体认证中心根据与业务实体协商的加密算法,以所述认证参数以及业务实体的私有身份标识作为共享密钥生成参数生成共享密钥。
5、如权利要求1所述的基于通用鉴权框架的认证方法,其特征在于,所述步骤C进一步包括下述步骤:
C21.实体认证中心向业务实体发送认证挑战消息,消息中携带有采用业务实体公钥加密的认证信息,所述认证信息包含有实体认证中心的签名信息以及实体认证中心本地保存的明文的重放攻击参数;
C22.业务实体收到所述认证挑战消息后,利用其私钥解密所述认证信息,对所述重放攻击参数进行验证,并利用实体认证中心的公钥对实体认证中心的签名信息进行验证;
C23.验证通过后,业务实体向实体认证中心返回认证响应消息,消息中携带有采用实体认证中心公钥加密的认证信息,所述认证信息包含有业务实体的签名信息以及业务实体根据所述认证挑战消息中的重放攻击参数更新后的明文的重放攻击参数;
C24.实体认证中心收到所述认证响应消息后,利用其私钥解密所述认证信息,对所述重放攻击参数进行验证,并利用业务实体的公钥对业务实体的签名信息进行验证;
C25.验证通过后,实体认证中心根据与业务实体协商的加密算法,以所述认证参数、重放攻击参数以及业务实体的私有身份标识作为共享密钥生成参数生成共享密钥。
6、如权利要求5所述的基于通用鉴权框架的认证方法,其特征在于,所述重放攻击参数为认证序列号,用于标识业务实体与实体认证中心进行互认证的次数,当业务实体与实体认证中心的认证序列号同步时,验证通过。
7、如权利要求4或5所述的基于通用鉴权框架的认证方法,其特征在于,所述认证参数为实体认证中心生成的一个随机数。
8、如权利要求4或5所述的基于通用鉴权框架的认证方法,其特征在于,所述共享密钥生成参数包括实体认证中心与业务实体共享的秘密密钥。
9、如权利要求1所述的基于通用鉴权框架的认证方法,其特征在于,所述实体认证中心的公钥由业务实体通过实体认证中心的证书获取或者在实体认证中心注册签约信息时获取。
10、如权利要求9所述的基于通用鉴权框架的认证方法,其特征在于,所述实体认证中心的证书为无线
传输层安全证书。
11、如权利要求1所述的基于通用鉴权框架的认证方法,其特征在于,所述加密算法为椭圆曲线算法。
12、一种基于通用鉴权框架的认证系统,所述通用鉴权框架包括与业务实体连接的实体认证中心以及保存业务实体签约信息的实体签约信息数据库,其特征在于,所述系统包括:
证书数据库,设置于实体签约信息数据库,用于存储业务实体的证书信息以及证书撤销列表;
实体认证单元,设置于实体认证中心,用于与业务实体协商认证方式和加密算法,利用所述证书撤销列表对业务实体的证书进行验证,获取业务实体的公钥,并利用业务实体的公钥与业务实体之间进行互认证,认证通过后生成共享密钥。
13、如权利要求12所述的基于通用鉴权框架的认证系统,其特征在于,所述共享密钥的生成参数包括认证参数、重放攻击参数、业务实体的私有身份标识或者实体认证中心与业务实体共享的秘密密钥。
14、如权利要求13所述的基于通用鉴权框架的认证系统,其特征在于,所述重放攻击参数为认证序列号,用于标识业务实体与实体认证中心进行互认证的次数。
15、如权利要求13所述的基于通用鉴权框架的认证系统,其特征在于,所述认证参数为实体认证单元生成的一个随机数。
16、如权利要求12所述的基于通用鉴权框架的认证系统,其特征在于,所述加密算法为椭圆曲线算法。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议