专利名称:一种基于通用鉴权框架的认证方法及系统的制作方法
技术领域:
本发明属于移动通信领域,尤其涉及一种基于通用鉴权框架的认证方法和系统。
背景技术:
通用鉴权框架是第三代无线通信标准中多种应用业务使用一个通用的结构,用来完成对用户身份的验证,如图1所示。该框架适用于不同移动网络标准,其作用在于为不同类型的实体之间建立相互信任的关系。它涉及到的网络元素包括业务签约实体(Service Subscriber,SS)、既是业务签约实体又是业务提供实体(Service Subscriber and Provider,SSP)、业务提供实体(ServiceProvider,SP)3种业务实体。
SS一般为普通的移动用户,可以向SP发出业务请求。SP为运营商网络的应用服务商或外部网络的服务提供商,接收SS的业务请求,向SS提供相应的服务。SSP可以是普通的移动用户,也可以是第三方的请求服务用户(ApplicationServer,AS)。SS、SP与SSP统称为业务实体。
在运营商网络中,通用鉴权框架还包括一个实体认证中心(EntityAuthentication Center,EAC)和一个实体签约信息数据库(Entity SubscriptionDatabase,ESD)。EAC负责完成与业务实体之间进行认证方法协商及认证的过程,并且接受业务实体对其它业务实体认证情况的查询。ESD存储有业务实体的签约信息或提供的服务信息,以及业务实体支持的认证方式及认证信息。
SP在向其它实体提供业务,或者SS向其它实体请求业务之前,需要与网络存在签约关系,并将签约信息存放于ESD中。另外,网络中每个SS与其他实体进行通信之前,需要与EAC协商认证方式,并完成身份认证。
业务实体与EAC认证方式的协商过程是由业务实体发起,业务实体在请求消息中携带身份标识。EAC根据本地策略情况和实体签约信息,选择一种认证方法,并将相应的信息返回给认证请求业务实体,认证请求业务实体发送确认信息表示协商过程结束。
完成认证方式的协商以后,认证请求实体与EAC按照协商的认证方式进行身份认证,身份认证是双向的。认证结束后,认证请求实体和EAC生成一个共享密钥(Ks),并且EAC将会根据认证请求实体的签约信息给其分配临时身份标识以及相应的有效期。当认证请求实体是SS,则EAC将向其分配一个中间业务请求标识(Interim Service Request Identifier,ISR-ID);当认证请求实体是SP,则EAC将向其分配一个中间业务查询标识(Interim Authentication CheckIdentifier,IAC-ID);当请求实体是SSP,EAC将会向其分配一个ISR-ID和一个IAC-ID。EAC将认证请求实体的临时身份标识ISR-ID或IAC-ID以及有效期发送给认证请求实体。认证请求实体与EAC之间的通信,在认证请求实体与EAC信任关系的有效期内使用认证过程生成的Ks进行保护。认证请求实体与EAC信任关系的有效期过期后,认证请求实体需要与EAC进行重认证过程,建立新的信任关系。
在SS与EAC完成认证过程后,可以向SP请求业务。SP收到请求以后,查找本地是否保存有ISR-ID相关信息以识别该SS;如果没有,则使用SP与EAC互认证结果生成的IAC-ID到EAC查询SS的认证情况。如果SP没有有效的IAC-ID,则SP将首先到EAC进行认证以及完成密钥协商过程后,再向EAC请求查询SS的认证情况,并在查询请求消息中携带SS的标识ISR-ID以及其自身的标识IAC-ID。
EAC收到SP的查询请求后,根据查询请求消息中的ISR-ID以及IAC-ID查询二者有没有相应的权限。当认证查询成功后,EAC根据二者的相关信息,利用SS到EAC协商的Ks为二者计算生成一个衍生密钥,用于保护SS和SP之间的业务通信,并将生成的衍生密钥发送给SP。SP将衍生密钥、SS的ISR-ID以及有效期等信息关联保存在本地。
查询完成后,SP向SS返回业务请求成功的响应消息,响应消息中携带有EAC生成的衍生密钥。SS利用Ks计算出衍生密钥,并和ISR-ID关联保存在本地。当SS使用当前ISR-ID向SP请求业务,且SS和SP已经具有了与该ISR-ID关联的衍生密钥时,SS和SP使用该衍生密钥对业务通信进行加密,以保护通信数据的安全。
通用鉴权框架适用的范围很广,可以适用于各种不同的移动网络中的各种业务实体,为业务实体与EAC之间建立信任关系,保证端到端的通信安全。业务实体对与EAC之间的认证和密钥协商机制有两种,一种使用对称密钥机制进行认证和协商密钥,另外一种使用公钥机制完成。
在现有的通用鉴权框架中,没有明确提出如何使用公钥机制完成业务实体与EAC之间的认证和密钥协商,在EAC和ESD网络元素中没有明确是否具有支持公钥机制认证的功能,实施性和应用性较差。
发明内容
本发明的目的在于提供一种基于通用鉴权框架的认证方法,旨在解决现有技术中没有明确业务实体与实体认证中心如何使用公钥机制进行认证和密钥协商,实施性和应用性较差的问题。
本发明的另一目的在于提供一种基于通用鉴权框架的认证系统。
本发明是这样实现的,一种基于通用鉴权框架的认证方法,所述通用鉴权框架包括与业务实体连接的实体认证中心以及保存业务实体签约信息的实体签约信息数据库,所述方法包括下述步骤A.实体认证中心与业务实体协商认证方式和加密算法,确定采用公钥方式进行互认证;B.实体认证中心对业务实体的证书进行验证,获取业务实体的公钥;C.实体认证中心和业务实体之间利用对方的公钥进行互认证,认证通过后生成共享密钥。
所述步骤B进一步包括下述步骤B11.业务实体向实体认证中心发送认证请求消息,消息中携带有业务实体的证书;B12.实体认证中心查询实体签约信息数据库,获取证书撤销列表;B13.实体认证中心根据所述证书撤销列表验证所述证书的有效性,验证通过后获取业务实体的公钥。
所述步骤B进一步包括下述步骤B21.业务实体向实体认证中心发送认证请求消息,消息中携带有业务实体的证书的统一资源地址信息;B22.实体认证中心根据所述统一资源地址信息查询实体签约信息数据库,获取对应的证书,并下载证书撤销列表;B23.实体认证中心根据所述证书撤销列表验证所述证书的有效性,验证通过后获取业务实体的公钥。
所述步骤C进一步包括下述步骤C11.实体认证中心向业务实体发送认证挑战消息,消息中携带有采用业务实体公钥加密的认证信息,所述认证信息包含有实体认证中心的签名信息;C12.业务实体收到所述认证挑战消息后,利用其私钥解密所述认证信息,并利用实体认证中心的公钥对实体认证中心的签名信息进行验证;C13.验证通过后,业务实体向实体认证中心返回认证响应消息,消息中携带有采用实体认证中心公钥加密的认证信息,所述认证信息包含有业务实体的签名信息;C14.实体认证中心收到所述认证响应消息后,利用其私钥解密所述认证信息,并利用业务实体的公钥对业务实体的签名信息进行验证;C15.验证通过后,实体认证中心根据与业务实体协商的加密算法,以所述认证参数以及业务实体的私有身份标识作为共享密钥生成参数生成共享密钥。
所述步骤C进一步包括下述步骤C21.实体认证中心向业务实体发送认证挑战消息,消息中携带有采用业务实体公钥加密的认证信息,所述认证信息包含有实体认证中心的签名信息以及实体认证中心本地保存的明文的重放攻击参数;C22.业务实体收到所述认证挑战消息后,利用其私钥解密所述认证信息,对所述重放攻击参数进行验证,并利用实体认证中心的公钥对实体认证中心的签名信息进行验证;C23.验证通过后,业务实体向实体认证中心返回认证响应消息,消息中携带有采用实体认证中心公钥加密的认证信息,所述认证信息包含有业务实体的签名信息以及业务实体根据所述认证挑战消息中的重放攻击参数更新后的明文的重放攻击参数;C24.实体认证中心收到所述认证响应消息后,利用其私钥解密所述认证信息,对所述重放攻击参数进行验证,并利用业务实体的公钥对业务实体的签名信息进行验证;C25.验证通过后,实体认证中心根据与业务实体协商的加密算法,以所述认证参数、重放攻击参数以及业务实体的私有身份标识作为共享密钥生成参数生成共享密钥。
所述重放攻击参数为认证序列号,用于标识业务实体与实体认证中心进行互认证的次数,当业务实体与实体认证中心的认证序列号同步时,验证通过。
所述认证参数为实体认证中心生成的一个随机数。
所述共享密钥生成参数包括实体认证中心与业务实体共享的秘密密钥。
所述实体认证中心的公钥由业务实体通过实体认证中心的证书获取或者在实体认证中心注册签约信息时获取。
所述实体认证中心的证书为无线传输层安全证书。
所述加密算法为椭圆曲线算法。
一种基于通用鉴权框架的认证系统,所述通用鉴权框架包括与业务实体连接的实体认证中心以及保存业务实体签约信息的实体签约信息数据库,所述系统包括证书数据库,设置于实体签约信息数据库,用于存储业务实体的证书信息以及证书撤销列表;实体认证单元,设置于实体认证中心,用于与业务实体协商认证方式和加密算法,利用所述证书撤销列表对业务实体的证书进行验证,获取业务实体的公钥,并利用业务实体的公钥与业务实体之间进行互认证,认证通过后生成共享密钥。
所述共享密钥的生成参数包括认证参数、重放攻击参数、业务实体的私有身份标识或者实体认证中心与业务实体共享的秘密密钥。
所述重放攻击参数为认证序列号,用于标识业务实体与实体认证中心进行互认证的次数。
所述认证参数为实体认证单元生成的一个随机数。
所述加密算法为椭圆曲线算法。
通过本发明,可以基于通用鉴权框架采用公钥机制实现业务实体与EAC之间的互认证,使得通用鉴权框架能够更好地满足不同实体对于认证机制的要求,提高了通用鉴权框架的通用性。同时,可以有效地减轻业务实体的存储负担和加解密运算的负担,保证了认证的可靠性。
图1是是通用鉴权框架的结构示意图;图2是本发明中第一实施例中业务实体与EAC进行互认证和密钥协商的流程图;图3是本发明中第二实施例中业务实体与EAC进行互认证和密钥协商的流程图;图4是本发明中第三实施例中移动终端与EAC进行互认证和密钥协商的流程图;图5是实现本发明基于通用鉴权框架的认证系统的结构图。
具体实施例方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在本发明中,业务实体与EAC基于公钥机制进行互认证和密钥协商,完成认证以后,业务实体和EAC生成Ks,用于保护业务实体和EAC的业务通信。
图2示出了本发明的第一施例中业务实体与EAC互认证和密钥协商的实现流程,具体内容如下1、业务实体与EAC协商确定公钥机制作为双方都支持的、符合安全要求等级需要的认证方式,密钥算法采用椭圆曲线密码算法(Elliptic CurveCryptography,ECC)。
与其他加密算法相比,ECC算法的抗攻击性强、计算量小、处理速度快、占用存储空间小以及带宽要求低等特点。例如160位ECC与1024位RSA(Rivest-Shamir-Adleman)算法、DSA(Digital Signature Algorithm)算法有相同的安全强度,210位ECC则与2048bit的RSA算法、DSA算法具有相同的安全强度。
2、业务实体向EAC发送认证请求消息,消息中包含有业务实体的证书。
3、EAC收到业务实体的认证请求消息后,从ESD下载证书撤销列表(Certificate Revocation List,CRL)。
4.EAC验证证书的有效性,即验证证书签名是否有效,证书是否超过有效期,并查找CRL,判断该业务实体的证书是否被注销。证书验证有效后,EAC获取证书中携带的业务实体的公钥,同时生成一个认证参数,如随机数。
5、EAC向业务实体发送认证挑战消息,消息中携带有采用业务实体的公钥加密的认证信息,认证信息中包含有EAC的签名信息,即EAC利用其私钥加密的随机数。
6、业务实体接收到EAC发送的认证挑战消息后,使用其私钥解密认证信息,获取密文随机数,并使用EAC的公钥解密获得随机数,对EAC的签名信息进行验证。
EAC的公钥可以是EAC通过证书形式发给业务实体的,这种情况下,业务实体应保存向EAC颁发证书的权威机构的公钥,用来验证EAC证书的有效性。当业务实体为移动终端时,EAC的证书可以使用无线/无线应用协议公钥基础设施(Wireless/Wireless Application Protocol Public Key Infrastructure,WPKI)中的无线传输层安全证书(Wireless Transport Layer Security,WTLS)证书,便于移动终端存储并且减轻其加解密运算量。另外,业务实体可以直接存储由EAC发放的公钥,该公钥可以是业务实体在签约信息注册阶段获得的。
7、业务实体向EAC发送认证响应消息,消息中包含有采用EAC的公钥加密的认证信息,认证信息中包含有利用业务实体的私钥加密的随机数。
8、EAC接收认证响应消息,利用私钥解密认证信息,使用业务实体的公钥解密获得随机数。当该随机数与EAC生成的随机数相同时,对业务实体的认证通过。EAC以随机数以及业务实体的私有身份标识作为密钥生成参数,使用ECC算法计算生成Ks。
9、EAC向业务实体发送认证成功响应消息,消息中携带有由Ks加密的业务实体的临时身份标识以及临时身份标识的有效期等信息。
10、业务实体接收EAC发送的认证成功响应消息,使用与EAC相同的Ks生成参数和算法,计算出Ks,解密获得临时身份标识、临时身份标识的有效期等信息,将Ks、临时身份标识以及临时身份标识的有效期关联保存在本地。
作为本发明的第二实施例,考虑到业务实体例如移动终端的存储能力有限,而且一个业务实体有可能有几张证书适合于不同的场合,证书过期之后需要进行更新,因此业务实体本地存储的可以是证书的统一资源定位地址(UniformResource Locator,URL),该证书URL就是证书在ESD证书目录中的地址。
在本实施例下,业务实体与EAC进行互认证和密钥协商的实现流程如图3所示,与第一实施例不同的是,业务实体向EAC发送的认证请求消息中携带有业务实体的证书的URL信息(步骤2),EAC根据该证书的URL信息到ESD中查询与该URL信息对应的证书,并下载CRL,对业务实体的证书进行验证,获得业务实体的公钥(步骤3)。其他实现步骤与第一实施例相同,不再赘述。
在本发明的第三实施例中,为了防止攻击者的重放攻击,业务实体和EAC在认证过程中设置重放攻击参数,并对重放攻击参数进行验证,防止攻击者对所截获的消息进行复制、延迟后直传,造成EAC误将攻击者当成合法的业务实体通过认证。
重放攻击参数可以是业务实体和EAC同步更新的认证序列号,也可以是一个随机数。认证序列号用来标识业务实体与EAC使用公钥机制进行互认证的次数。认证序列号与业务实体的身份信息关联保存在EAC和业务实体两侧,从1开始随认证次数的增加依次递增。
在业务实体侧,如果收到的EAC发送的认证序列号比本地保存的认证序列号大1,则表明认证序列号同步,比对成功,同时更新本地保存的认证序列号为EAC发送的认证序列号。在EAC侧,如果收到的业务实体发送的认证序列号与本地保存的认证序列号相等,则表明认证序列号同步,比对成功。
在该实施例下,业务实体与EAC进行互认证和密钥协商的实现流程如图4所示,具体内容如下1、业务实体与EAC协商确定公钥机制作为双方都支持的、符合安全要求等级需要的认证方式,密钥算法采用ECC算法。
2、业务实体向EAC发送认证请求消息,消息中包含有业务实体的证书。
3、EAC收到业务实体的认证请求消息后,从ESD下载证书撤销列表。
4、EAC验证证书的有效性,即验证证书签名是否有效,证书是否超过有效期,并查找CRL,判断该业务实体的证书是否被注销。证书验证有效后,EAC获取证书中携带的业务实体的公钥,同时生成一个随机数。
5、EAC向业务实体发送认证挑战消息,消息中携带有采用业务实体的公钥加密的认证信息,认证信息中包含有采用EAC私钥加密的随机数以及明文的EAC本地保存的认证序列号。
6、业务实体接收到EAC发送的认证挑战消息后,使用私钥解密认证信息,获取密文随机数和明文认证序列号,验证认证序列号,当认证序列号验证正确时,业务实体进一步使用EAC的公钥解密获得随机数。验证通过后,业务实体更新本地保存的认证序列号为EAC发送的认证序列号。
7、业务实体向EAC发送认证响应消息,消息中包含有采用EAC公钥加密的认证信息,认证信息中包含有使用业务实体私钥加密的随机数以及明文的业务实体更新后的认证序列号。
8、EAC接收认证响应消息,使用私钥解密认证信息,对认证序列号进行验证,认证序列号与本地存储的认证序列号相同时,验证通过,进一步使用业务实体的公钥解密获得随机数,当验证该随机数与EAC生成的随机数相同时,随机数验证正确,对业务实体的认证通过。EAC以随机数、认证序列号以及业务实体的私有身份标识作为密钥生成参数使用ECC算法计算生成Ks。
9、EAC向业务实体发送认证成功响应消息,消息中携带有由Ks加密业务实体的临时身份标识以及临时身份标识的有效期等信息。
10、业务实体接收EAC发送的认证成功响应消息,使用与EAC相同的Ks生成参数和算法,计算出Ks,解密获取临时身份以及临时身份标识的有效期等信息,并将Ks、临时身份标识以及临时身份标识的有效期关联保存在本地。
在上述过程中,若EAC对业务实体认证失败,如业务实体的证书验证失败、解密不成功或者随机数验证不正确等,EAC将会向业务实体发送请求认证失败消息,消息中包含有认证失败的原因。业务实体将根据该消息,确定是否重新向EAC请求认证。
在本发明中,如果业务实体与EAC存在共享的秘密密钥(Ki)时,EAC在生成Ks时可以将该秘密密钥作为共享密钥的生成参数。
图5是实现本发明的基于通用鉴权框架的认证系统结构,包括设置于实体签约信息数据库的证书数据库501以及设置于实体认证中心的实体认证单元502。
证书数据库501存储有业务实体的证书和CRL,实体认证单元502可以根据业务实体提供的证书URL查询证书数据库501,获取与业务实体提供的URL对应的证书,根据从证书数据库501下载的CRL对证书的有效性进行验证,获取业务实体的公钥。证书验证通过后,实体认证单元502与业务实体之间利用对方的公钥进行互认证,认证通过后生成共享密钥。实体认证单元502与业务实体之间利用对方的公钥进行互认证的具体实现过程如上所述,不再赘述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种基于通用鉴权框架的认证方法,所述通用鉴权框架包括与业务实体连接的实体认证中心以及保存业务实体签约信息的实体签约信息数据库,其特征在于,所述方法包括下述步骤A.实体认证中心与业务实体协商认证方式和加密算法,确定采用公钥方式进行互认证;B.实体认证中心对业务实体的证书进行验证,获取业务实体的公钥;C.实体认证中心和业务实体之间利用对方的公钥进行互认证,认证通过后生成共享密钥。
2.如权利要求1所述的基于通用鉴权框架的认证方法,其特征在于,所述步骤B进一步包括下述步骤B11.业务实体向实体认证中心发送认证请求消息,消息中携带有业务实体的证书;B12.实体认证中心查询实体签约信息数据库,获取证书撤销列表;B13.实体认证中心根据所述证书撤销列表验证所述证书的有效性,验证通过后获取业务实体的公钥。
3.如权利要求1所述的基于通用鉴权框架的认证方法,其特征在于,所述步骤B进一步包括下述步骤B21.业务实体向实体认证中心发送认证请求消息,消息中携带有业务实体的证书的统一资源地址信息;B22.实体认证中心根据所述统一资源地址信息查询实体签约信息数据库,获取对应的证书,并下载证书撤销列表;B23.实体认证中心根据所述证书撤销列表验证所述证书的有效性,验证通过后获取业务实体的公钥。
4.如权利要求1所述的基于通用鉴权框架的认证方法,其特征在于,所述步骤C进一步包括下述步骤C11.实体认证中心向业务实体发送认证挑战消息,消息中携带有采用业务实体公钥加密的认证信息,所述认证信息包含有实体认证中心的签名信息;C12.业务实体收到所述认证挑战消息后,利用其私钥解密所述认证信息,并利用实体认证中心的公钥对实体认证中心的签名信息进行验证;C13.验证通过后,业务实体向实体认证中心返回认证响应消息,消息中携带有采用实体认证中心公钥加密的认证信息,所述认证信息包含有业务实体的签名信息;C14.实体认证中心收到所述认证响应消息后,利用其私钥解密所述认证信息,并利用业务实体的公钥对业务实体的签名信息进行验证;C15.验证通过后,实体认证中心根据与业务实体协商的加密算法,以所述认证参数以及业务实体的私有身份标识作为共享密钥生成参数生成共享密钥。
5.如权利要求1所述的基于通用鉴权框架的认证方法,其特征在于,所述步骤C进一步包括下述步骤C21.实体认证中心向业务实体发送认证挑战消息,消息中携带有采用业务实体公钥加密的认证信息,所述认证信息包含有实体认证中心的签名信息以及实体认证中心本地保存的明文的重放攻击参数;C22.业务实体收到所述认证挑战消息后,利用其私钥解密所述认证信息,对所述重放攻击参数进行验证,并利用实体认证中心的公钥对实体认证中心的签名信息进行验证;C23.验证通过后,业务实体向实体认证中心返回认证响应消息,消息中携带有采用实体认证中心公钥加密的认证信息,所述认证信息包含有业务实体的签名信息以及业务实体根据所述认证挑战消息中的重放攻击参数更新后的明文的重放攻击参数;C24.实体认证中心收到所述认证响应消息后,利用其私钥解密所述认证信息,对所述重放攻击参数进行验证,并利用业务实体的公钥对业务实体的签名信息进行验证;C25.验证通过后,实体认证中心根据与业务实体协商的加密算法,以所述认证参数、重放攻击参数以及业务实体的私有身份标识作为共享密钥生成参数生成共享密钥。
6.如权利要求5所述的基于通用鉴权框架的认证方法,其特征在于,所述重放攻击参数为认证序列号,用于标识业务实体与实体认证中心进行互认证的次数,当业务实体与实体认证中心的认证序列号同步时,验证通过。
7.如权利要求4或5所述的基于通用鉴权框架的认证方法,其特征在于,所述认证参数为实体认证中心生成的一个随机数。
8.如权利要求4或5所述的基于通用鉴权框架的认证方法,其特征在于,所述共享密钥生成参数包括实体认证中心与业务实体共享的秘密密钥。
9.如权利要求1所述的基于通用鉴权框架的认证方法,其特征在于,所述实体认证中心的公钥由业务实体通过实体认证中心的证书获取或者在实体认证中心注册签约信息时获取。
10.如权利要求9所述的基于通用鉴权框架的认证方法,其特征在于,所述实体认证中心的证书为无线传输层安全证书。
11.如权利要求1所述的基于通用鉴权框架的认证方法,其特征在于,所述加密算法为椭圆曲线算法。
12.一种基于通用鉴权框架的认证系统,所述通用鉴权框架包括与业务实体连接的实体认证中心以及保存业务实体签约信息的实体签约信息数据库,其特征在于,所述系统包括证书数据库,设置于实体签约信息数据库,用于存储业务实体的证书信息以及证书撤销列表;实体认证单元,设置于实体认证中心,用于与业务实体协商认证方式和加密算法,利用所述证书撤销列表对业务实体的证书进行验证,获取业务实体的公钥,并利用业务实体的公钥与业务实体之间进行互认证,认证通过后生成共享密钥。
13.如权利要求12所述的基于通用鉴权框架的认证系统,其特征在于,所述共享密钥的生成参数包括认证参数、重放攻击参数、业务实体的私有身份标识或者实体认证中心与业务实体共享的秘密密钥。
14.如权利要求13所述的基于通用鉴权框架的认证系统,其特征在于,所述重放攻击参数为认证序列号,用于标识业务实体与实体认证中心进行互认证的次数。
15.如权利要求13所述的基于通用鉴权框架的认证系统,其特征在于,所述认证参数为实体认证单元生成的一个随机数。
16.如权利要求12所述的基于通用鉴权框架的认证系统,其特征在于,所述加密算法为椭圆曲线算法。
全文摘要
本发明适用于移动通信领域,提供了一种基于通用鉴权框架的认证方法及系统,所述通用鉴权框架包括与业务实体连接的实体认证中心以及保存业务实体签约信息的实体签约信息数据库,所述方法包括下述步骤A.实体认证中心与业务实体协商认证方式和加密算法,确定采用公钥方式进行互认证;B.实体认证中心对业务实体的证书进行验证,获取业务实体的公钥;C.实体认证中心和业务实体之间利用对方的公钥进行互认证,认证通过后生成共享密钥。通过本发明,可以基于通用鉴权框架采用公钥机制实现业务实体与EAC之间的互认证,使得通用鉴权框架能够更好地满足不同实体对于认证机制的要求,提高了通用鉴权框架的通用性。
文档编号H04Q7/38GK1859097SQ20061003321
公开日2006年11月8日 申请日期2006年1月19日 优先权日2006年1月19日
发明者位继伟, 范絮妍, 李超 申请人:华为技术有限公司