专利名称:一种通信认证查询方法和系统的制作方法
技术领域:
本发明涉及网络通信服务技术领域,特别涉及一种基于移动网的端到端应用服务通信认证查询方法和系统。
背景技术:
在第三代无线通信标准中,通用鉴权框架是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构,应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务。
图1所示为现有的通用鉴权框架的结构示意图。通用鉴权框架通常由用户终端(UE)1、执行初始检查验证的功能实体(BSF)2、用户归属网络服务器(HSS)3和网络应用功能实体(NAF)4组成。BSF 2用于与用户终端101互验证身份,同时生成BSF 2与用户终端1的共享密钥;HSS 3中存储有用于描述用户信息的描述(Profile)文件,该Profile中包括用户身份标识等所有与用户有关的描述信息,同时HSS 3还兼有产生鉴权矢量信息的功能。
用户需要使用某种业务时,如果其知道需要到BSF进行互鉴权,则直接与BSF交互以进行互鉴权,否则,用户会首先和该业务对应的NAF联系,如果该NAF应用通用鉴权框架且需要用户到BSF进行身份验证,则通知用户应用通用鉴权框架进行身份验证,否则进行其它相应处理。
用户终端与BSF之间的互认证过程是用户向BSF发出鉴权请求,该鉴权请求消息中包括用户的永久身份标识,BSF接到来自用户的鉴权请求后,向HSS请求该用户的鉴权信息,该请求消息中也包含了该用户终端的永久身份标识,HSS根据该用户终端的永久身份标识查找到该用户的profile文件并且生成鉴权信息返回给BSF。BSF根据所获取的鉴权信息与用户之间执行鉴权和密钥协商协议(AKA)进行互鉴权。鉴权成功后,用户和BSF之间互相认证了身份并且同时生成了共享密钥Ks,BSF为这个密钥Ks定义有效期限,以便Ks进行更新。之后,BSF分配一个会话事务标识(B-TID)给UE,在将B-TID和密钥Ks发送给UE的同时包含了Ks的有效期限,该B-TID是与Ks相关联的。共享密钥Ks是作为根密钥来使用的,不会离开用户的UE和BSF,当用户和NAF通信时,将使用由Ks衍生出的密钥作为通信保护。
当用户发现Ks即将过期,或NAF要求用户重新到BSF进行鉴权时,用户就会重复上述的步骤重新到BSF进行鉴权,以得到新的Ks及B-TID。
上述的技术方案认证查询模型单一、缺乏灵活性,不能很好地与现有机制兼容,而且只能应用于第三代移动网络。
发明内容
基于现有技术中,在不同移动网络中的不同业务实体之间要进行业务通信前,没有一种完善的、可行的认证查询方法来检查业务签约者和业务提供者身份的合法性,并为二者生成衍生密钥以保护他们之间通信的安全性。本发明提出了一种通信认证查询方法,所述方法中包含多种认证查询方式,可以检查业务签约者和业务提供者身份的合法性,并为二者生成衍生密钥以保护他们之间通信的安全性。
本发明所述的通信认证查询方法的核心在于,所述方法利用支持一种或多种认证查询方式的实体认证中心参与认证查询过程,至少包括以下步骤所述实体认证中心根据业务实体所请求或提供的业务的安全等级需求,查找安全等级列表,选择一种符合业务安全等级需求的认证查询方式,并将选择结果返回给业务实体;以及所述业务实体按照所述实体认证中心选出的查询方式发起业务请求。
其中,所述实体认证中心支持的一种认证查询方式包括如下步骤步骤1)业务签约者向业务提供者发送业务请求,所述业务请求消息中携带业务签约者在所述认证中心认证得到的中间业务请求标识以及业务提供者的公开身份标识;步骤2)业务提供者收到业务请求后,查找本地是否保存有业务签约者的中间业务请求标识的相关信息以识别所述业务签约者;如果保存有所述信息,双方开始业务过程;如果没有保存所述信息,则向实体认证中心发出查询请求,并在查询请求消息中携带业务签约者的中间业务请求标识以及自身的中间业务查询标识和公开身份标示;步骤3)实体认证中心收到查询请求后,进行身份和权限的合法性检查;如果检查结果合法,则所述实体认证中心根据所述业务签约者和业务提供者的身份信息,以及所述业务签约者与实体认证中心的共享密钥材料计算出一个用于保护所述业务签约者和业务提供者之间业务通信的衍生密钥,并利用实体认证中心与所述业务提供者的共享密钥材料加密后发送给业务提供者;如果检查结果不合法,则所述实体认证中心向相应的业务实体发错误信息,通知相应的业务实体重新到实体认证中心认证身份;步骤4)所述业务提供者解密获得衍生密钥,并将衍生密钥,有效期,业务签约者的中间业务请求标识以及业务提供者的公开身份标识关联保存在本地,并向业务签约者返回业务请求成功响应;步骤5)业务签约者在本地也利用相同的参数和密钥算法计算出相同的衍生密钥,并和业务提供者的中间业务查询标识关联保存在本地。
所述实体认证中心支持的第二种认证查询方式包括如下步骤步骤1)业务签约者向实体认证中心发送业务许可票据请求,所述请求消息中携带所述业务签约者的中间业务请求标识,以及该项业务的业务提供者的公开身份标识;步骤2)所述实体认证中心收到请求后,进行身份和权限的合法性检查;如果检查结果合法,所述实体认证中心根据所述业务签约者和业务提供者的身份信息,以及所述业务签约者与实体认证中心的共享密钥材料计算出一个用于保护所述业务签约者和业务提供者之间业务通信的衍生密钥;如果检查结果不合法,则所述实体认证中心向相应的业务实体发错误信息,通知相应的业务实体重新到实体认证中心认证身份;步骤3)所述实体认证中心产生一个包含衍生密钥、业务签约者身份信息和业务提供者身份信息的业务许可票据,利用其与所述业务提供者的共享密钥材料加密所述业务许可票据,并向所述业务签约者发送所述加密后的业务许可票据;步骤4)所述业务签约者收到所述业务许可票据后在本地产生一个相同的所述衍生密钥;
步骤5)所述业务签约者向所述业务提供者发送业务请求,并携带所述业务许可票据;步骤6)所述业务提供者解密所述业务许可票据,获得衍生密钥,并向所述业务签约者返回业务请求成功响应。
优选地,所述步骤4)具体包括以下步骤所述业务签约者收到所述业务许可票据后,在本地利用相同的参数和密钥算法计算出相同的所述衍生密钥。
优选地,所述步骤3)进一步包括所述实体认证中心利用其与所述业务签约者的共享密钥材料加密所述衍生密钥,并将加密后的衍生密钥发送给所述业务签约者的步骤,从而所述步骤4)的具体步骤变为所述业务签约者解密获得衍生密钥。
优选地,还包括以下步骤当业务签约者需要获得某项业务时,首先查看本地是否保存了对应于此项业务的业务许可票据,如果有,则直接跳到步骤5)。
所述实体认证中心支持的第三种认证查询方式包括如下步骤步骤1)业务签约者向所述实体认证中心提出业务请求,请求消息中携带所述业务签约者的中间业务请求标识以及所述业务提供者的公开身份标识;步骤2)所述实体认证中心检查所述业务签约者的中间业务请求标识的有效性,以及所述签约者的签约信息,以确定所述签约者是否有请求此项业务的权限;步骤3)如果所述业务签约者是合法的,则所述实体认证中心为其转发业务请求给所述业务提供者;步骤4)所述业务提供者返回业务请求响应,响应中携带着自己的中间认证查询标识;步骤5)所述实体认证中心检查所述中间认证查询标识的有效性和所述业务提供者的签约信息,以确定其是否有权提供此项业务;如果所述业务提供者是合法的,则所述实体认证中心根据所述业务签约者和业务提供者的身份信息,以及所述业务签约者与实体认证中心的共享密钥材料计算出一个用于保护所述业务签约者和业务提供者之间业务通信的衍生密钥,向所述业务签约者发送业务请求成功响应,并向所述业务提供者发送由所述实体认证中心与业务提供者的共享密钥材料加密的衍生密钥;
如果所述业务提供者是不合法的,则所述实体认证中心向相应的业务实体发错误信息,通知相应的业务实体重新到实体认证中心认证身份;步骤6)所述业务签约者和业务提供者分别生成各自的衍生密钥。
优选地,所述步骤4)和步骤5)进一步包括所述业务提供者返回业务请求响应,所述响应中还包括业务提供者产生的随机数;所述实体认证中心根据所述业务签约者和业务提供者的身份信息,所述业务签约者与实体认证中心的共享密钥材料以及所述随机数计算出所述衍生密钥;所述实体认证中心向所述业务签约者发送业务请求成功响应,所述业务请求成功响应中还包括业务提供者产生的随机数。
优选地,所述步骤6)具体包括以下步骤所述业务签约者收到业务请求成功响应后,利用相同的参数和密钥算法计算出所述的衍生密钥;所述业务提供者收到加密的衍生密钥后,解密获得衍生密钥。
优选地,所述步骤5)进一步包括以下步骤所述实体认证中心向所述业务签约者发送业务请求成功响应,响应中携带由所述实体认证中心与业务签约者共享密钥材料加密的衍生密钥;所述步骤6)具体包括以下步骤所述业务签约者收到业务请求成功响应后,解密获得衍生密钥;所述业务提供者收到加密的衍生密钥后,解密获得衍生密钥。
优选地,所述身份和权限的合法性检查具体包括以下步骤根据业务签约者的中间业务请求标识来判断业务签约者是否有权使用所述此项业务;根据业务提供者的公开身份标识获得业务提供者的中间业务查询标识,并以此判断业务提供者是否有权提供所述此项业务;查找业务签约者或者业务提供者的签约信息,以确定实体是否有权请求或提供此项业务。
优选地,所述实体认证中心与所述业务签约者之间发送的响应中携带的随机数是由实体认证中心与业务签约者的共享密钥材料加密的。
本发明还提供了一种通信认证查询系统,包括实体认证中心,业务实体,所述业务实体包括业务签约者、业务提供者和既是业务签约者又是业务提供者的实体,所述实体认证中心用于根据业务实体所请求或提供的业务的安全等级需求,查找安全等级列表,选择一种符合业务安全等级需求的认证查询方式,并将选择结果在认证成功响应中返回给业务实体;所述业务实体按照所述实体认证中心选出的查询方式发起业务请求。
本发明的有益效果是本发明所述的EAC支持的认证查询方式与一些较为成熟的认证模型(如,Kerberos模型)结合,提高了端到端应用服务通信认证查询方法的兼容性和可实施性,应用前景十分广阔。
图1为现有技术中的通用鉴权框架示意图。
图2为本发明所述端到端通信认证框架的示意图。
图3为本发明所述实体认证中心支持的一种认证查询过程示意图。
图4为本发明所述一种与Kerberos模型相结合的端到端认证模型示意图。
图5为本发明所述一种与Kerberos模型相结合一种认证查询过程流程图。
图6为本发明所述一种与Mediation模型相结合的端到端认证模型示意图。
图7为本发明所述一种与Mediation模型相结合一种认证查询过程流程图。
图8为业务实体与实体认证中心之间的认证过程流程图。
具体实施例方式
下面将结合附图和实施例对本发明进行详细说明。
参见图2,本发明所述通信认证查询系统的涉及到实体包括业务签约者(SS-Service Subscriber)001、既是业务签约者又是业务提供者(SSP-ServiceSubscriber and Provider)002、业务提供者(SP-Service Provider)003,以及实体认证中心(EAC-Entity Authentication Center)004等。所述业务实体按照所述实体认证中心选出的查询方式发起业务请求。其中,业务签约者SS只能申请服务,一般为普通的移动用户。既是业务签约者又是业务提供者SSP可以是普通的移动用户,也可以是第三方的应用服务器(AS-Application Server)。业务提供者SP可以是运营商网络的应用服务器AS或第三方网络的应用服务器AS。实体认证中心EAC完成和其它业务实体进行认证方法协商及认证的过程,并且接受某个业务实体对其它业务实体认证情况的查询。实体认证中心EAC是基于移动网端到端通信认证框架中的一个网络元素。其功能是完成其与业务实体的认证方式的协商,生成与业务实体间的共享密钥材料,根据业务实体的临时身份标识查询业务实体的认证情况,以及计算衍生密钥等。实体认证中心EAC还应包括检测证书的功能,Kerberos服务器的功能以及仲裁TTP的功能等。在实际网络中,实体认证中心EAC在硬件上可以是一个安全性要求很高的独立的服务器,也可以作为现有移动网中某一网元的一部分。
业务实体的签约信息应该与业务实体的私有身份标识一起保存。业务提供者在能够向其它业务实体提供业务,或者业务签约者SS向其它业务实体请求业务之前,应该首先已经与网络存在签约关系,并将签约信息存放于业务实体签约信息数据库(ESD-Entity Subscription Database)005中。
网络中每个业务签约者SS与业务提供者SP进行通信之前,应该先到实体认证中心EAC协商认证方式,并完成对身份的认证过程。
认证方式的协商过程应该由业务实体发起,并在请求消息携带自身身份标识。实体认证中心EAC根据本地策略情况和业务实体签约信息,即根据业务实体所请求或提供的业务的安全等级需求,查找安全等级列表,选择一种符合业务安全等级需求的认证查询方式。并将相应信息返回给认证请求者。请求者再发确认信息表示协商过程结束。参见图8,其步骤如下(1)如果业务签约者SS需要向某一SP请求一种视频会议的业务,如果上述业务实体还没有和实体认证中心EACEAC进行互认证,则应该首先自动选择此项业务对应的安全等级需求,(例如是,高安全等级)。
(2)然后业务实体向实体认证中心EAC发送认证请求,请求消息中携带该实体的身份标识以及其所选择的认证方式安全等级等相关信息。在本例中是高安全等级。
(3)实体认证中心EAC收到认证请求消息后,查找本地保存的安全等级列表,找到符合高安全等级需求的网络的认证方式(例如,Http AKA)以及认证查询方式(例如基本查询方式)。
(4)实体认证中心EAC根据业务实体的身份标识在业务实体签约信息数据库ESD存储的签约信息中查询该实体认证信息,即实体支持的认证协议、加密算法和其它相关参数。
(5)业务实体签约信息数据库ESD向EAC返回该业务实体所支持的认证协议、加密算法和其它相关参数;(6)实体认证中心EAC根据本地策略匹配网络和实体所支持的认证协议和加密算法,确定出符合安全等级需求的并且双方都支持认证方式,如果没有,则向业务实体返回错误指示;(7)实体认证中心EAC将选定的认证方式以及认证查询方式返回给业务实体;(8)业务实体收到信息后,对认证方式进行确认。
(9)接下来,业务实体和实体认证中心EAC应用所选的认证协议和加密算法进行互认证,并在认证成功后,双方获得共享的秘密信息。
(10)实体认证中心EAC向业务实体返回认证成功响应,并分配实体临时身份标识ISR-ID,以及密钥有效期,EAC在认证成功响应中将认证查询方式一并发给业务实体。
(11)实体认证中心EAC和实体侧都将Ks与相应的安全等级关联保存;接下来业务实体与实体认证中心EAC按照协商的方式进行认证。该认证应该是双向的。认证结束后,认证请求业务实体和实体认证中心EAC应该共享一个密钥,并且实体认证中心EAC将会根据认证请求业务实体的签约信息情况给其分配临时身份标识以及相应的有效期1)如果该认证请求业务实体是业务签约者(SS/SSP),则实体认证中心EAC将向其分配一个临时身份标识,即中间业务请求标识(Interim Service Request Identifier,ISR-ID)。2)如果该认证请求业务实体是业务提供者(SP/SSP),则实体认证中心EAC将向其分配一个临时身份标识,即中间业务查询标识(Interim Authentication CheckIdentifier,IAC-ID)。
最后实体认证中心EAC将业务实体的临时身份标识(ISR-ID或IAC-ID)以及有效期和选择后得到的符合业务安全等级需求的认证查询方式在认证成功响应中发送给请求认证的业务实体,此后该业务实体与实体认证中心EAC之间的通信都可以采用所选择的认证查询方式,并通过认证过程生成的业务实体与实体认证中心EAC间的共享密钥(Ks)进行保护。
下面结合附图来描述实体认证中心EAC支持的多种典型的认证查询方式的具体实现过程1.基本认证查询方式参见图3,具体的认证查询过程如下步骤101,业务签约者SS向能够提供服务的业务提供者SP提出业务请求,业务请求中包括了业务签约者SS前面认证得到的中间业务请求标识(ISR-ID)以及业务提供者SP的公开身份标识(UID);步骤102,业务提供者SP收到业务请求后,查找本地是否保存有业务签约者SS的中间业务请求标识ISR-ID的相关信息以识别所述业务签约者SS;如果保存有所述信息,双方开始业务过程;如果没有保存所述信息,则业务提供者SP向实体认证中心EAC发出查询请求,并在查询请求消息中携带业务签约者SS的中间业务请求标识ISR-ID以及自身的中间业务查询标识IAC-ID和公开身份标示UID;业务提供者SP收到业务请求后,查找本地是否保存有业务签约者SS的中间业务请求标识ISR-ID的相关信息以识别所述业务签约者SS;步骤103,实体认证中心EAC收到认证查询请求消息后,首先查询并判断IAC-ID是否有效以及业务提供者SP是否有权提供该项业务,然后再查询并判断ISR-ID是否有效以及业务签约者SS是否有权请求此项业务;如果检查结果合法,则所述实体认证中心EAC根据所述业务签约者SS和业务提供者SP的身份信息,以及所述业务签约者SS与实体认证中心EAC的共享密钥材料计算出一个用于保护所述业务签约者SS和业务提供者SP之间业务通信的衍生密钥,并利用实体认证中心与所述业务提供者SP的共享密钥材料加密后发送给业务提供者SP;如果检查结果不合法,则发出错误信息,所述实体认证中心EAC通知相应的实体重新到实体认证中心认证身份;步骤104,实体认证中心EAC将新衍生出的密钥和密钥的有效期放在响应消息中发送给SP业务提供者SP;步骤105,业务提供者SP解密得到衍生密钥,并将衍生密钥,有效期,业务签约者SS的ISR-ID以及业务提供者SP的UID关联保存在本地;步骤106,业务提供者SP向业务签约者SS返回服务请求响应;步骤107,业务签约者SS在本地利用相同的参数和密钥算法计算出相同的衍生密钥;其中,所述的密钥算法可以采用DES(数据加密标准)、3-DES(三重DES)、AES(高级加密标准)256、AES1024等,其中256和1024是密钥长度;步骤108,业务签约者SS与业务提供者SP使用衍生密钥开始它们之间的业务过程。
如果业务实体(如业务提供者SP)是一个移动终端的话,那么共享密钥材料就可以是共享密钥(Ks),如果业务实体(如业务提供者SP)是一个移动核心网域的应用服务器,那么业务实体(如业务提供者SP)和实体认证中心EAC在互认证过程中可能协商出的共享密钥材料为SA(安全关联——IPSec协议中业务实体双方协商的安全通信的密钥以及密钥算法信息)。
2.与Kerberos模型结合的认证查询方式参见图4和图5,当实体认证中心EAC具有Kerberos服务器功能时,具体认证查询过程如下步骤201,当业务签约者SS需要获得某项业务时,首先查看本地是否保存了对应于此项业务的业务许可票据,如果有,则直接跳到步骤205,如果没有,则向实体认证中心EAC发送业务许可票据请求,所述请求消息中携带所述业务签约者SS的中间业务请求标识ISR-ID,以及该项业务的业务提供者SP的公开身份标识UID;步骤202,所述实体认证中心EAC收到请求后,进行身份和权限的合法性检查。首先查询ISR-ID是否有效来判断该业务签约者SS是否有权使用此项业务,然后根据业务提供者SP的UID获得业务提供者SP的临时身份标识IAC-ID,并根据IAC-ID是否有效判断该业务提供者SP是否有权提供此项业务;如果上述检查结果是合法,所述实体认证中心EAC根据所述业务签约者SS和业务提供者SP的身份信息,以及所述业务签约者SS与实体认证中心EAC的共享密钥材料计算出一个用于保护所述业务签约者SS和业务提供者SP之间业务通信的衍生密钥K-SSP/SP;实体认证中心EAC还产生一个包含衍生密钥、业务签约者SS身份信息和业务提供者SP身份信息的业务许可票据SGT,利用其与所述业务提供者SP的共享密钥材料加密所述业务许可票据SGT;如果检查结果不合法,发出错误信息,所述实体认证中心EAC通知相应的实体重新到实体认证中心认证身份;步骤203,实体认证中心EAC向所述业务签约者SS发送所述加密后的业务许可票据;步骤204,业务签约者SS收到所述业务许可票据SGT后在本地采用和实体认证中心EAC相同的参数和算法产生一个相同的所述衍生密钥;步骤205,业务签约者SS向所述业务提供者SP发送业务请求,并携带所述业务许可票据SGT;步骤206,业务提供者SP解密所述业务许可票据SGT,获得衍生密钥。
步骤207,业务提供者SP向业务签约者SS返回业务请求成功响应。
步骤208,业务签约者SS与业务提供者SP使用衍生密钥开始它们之间的业务过程。
除了采用上述步骤外,步骤204中实体认证中心EAC也可以利用其与所述业务签约者SS的共享密钥材料加密所述衍生密钥,并将加密后的衍生密钥发送给业务签约者SS,从而使业务签约者SS不必在本地重新计算得出衍生密钥,而是通过解密获得衍生密钥。
3.与Mediation模型结合的认证查询方式如图6和图7所示。当实体认证中心EAC具有充当仲裁者身份的TTP功能时,采用Mediation模型结合的认证查询与端到端认证模型,具体认证查询过程如下步骤301,业务签约者SS在需要使用业务提供者SP的某项业务时,首先向实体认证中心EAC提出业务请求,请求消息中携带所述业务签约者SS的中间业务请求标识ISR-ID以及所述业务提供者SP的公开身份标识UID;步骤302,所述实体认证中心EAC检查所述业务签约者SS的中间业务请求标识ISR-ID的有效性,以及所述业务签约者SS的签约信息,以确定所述业务签约者SS是否有请求此项业务的权限;步骤303,如果所述业务签约者SS是合法的,则所述实体认证中心EAC为其转发业务请求给所述业务提供者SP;如果所述业务签约者SS是不合法的,则所述实体认证中心EAC向业务签约者SS发错误信息,通知业务签约者SS重新到实体认证中心EAC认证身份;步骤304,所述业务提供者SP返回业务请求响应,响应中携带着自己的中间认证查询标识IAC-ID;步骤305,所述实体认证中心EAC检查所述中间认证查询标识IAC-ID的有效性,以及所述业务提供者SP的签约信息,以确定其是否有权提供此项业务;如果所述业务提供者SP是合法的,则所述实体认证中心EAC根据所述业务签约者SS和业务提供者SP的身份信息,以及所述业务签约者SS与实体认证中心EAC的共享密钥材料计算出一个用于保护所述业务签约者SS和业务提供者SP之间业务通信的衍生密钥;如果所述业务提供者SP是不合法的,所述实体认证中心EAC向业务提供者SS发错误信息,通知业务提供者SP重新到实体认证中心EAC认证身份;步骤306,实体认证中心EAC向业务签约者SS发送业务请求成功响应,并向所述业务提供者SP发送由所述实体认证中心EAC与业务提供者SP的共享密钥材料加密的衍生密钥;步骤307,所述业务签约者SS收到实体认证中心EAC发送的业务请求成功响应后,采用和实体认证中心EAC相同的参数和算法计算衍生密钥;步骤308,所述业务签约者SS和所述业务提供者SP开始业务过程。
4.与Mediation模型结合的认证查询方式的扩展所述实体认证中心EAC支持的与Mediation模型结合的认证查询方式的另一种变化包括如下步骤步骤401,业务签约者SS在需要使用业务提供者SP的某项业务时,首先向实体认证中心EAC提出业务请求,请求消息中携带所述业务签约者SS的中间业务请求标识ISR-ID以及所述业务提供者的公开身份标识UID;步骤402,所述实体认证中心EAC检查所述业务签约者SS的中间业务请求标识ISR-ID的有效性,以及所述业务签约者SS的签约信息,以确定所述业务签约者SS是否有请求此项业务的权限;步骤403,如果所述业务签约者SS是合法的,则所述实体认证中心EAC为其转发业务请求给所述业务提供者SP;步骤404,所述业务提供者SP收到业务请求响应后,生成一个随机数rand,并在返回的业务请求响应中携带着自己的中间认证查询标识IAC-ID以及该随机数rand;步骤405,所述实体认证中心EAC检查所述中间认证查询标识IAC-ID的有效性,以及所述业务提供者SP的签约信息,以确定其是否有权提供此项业务.
如果所述业务提供者SP是合法的,则所述实体认证中心EAC根据所述业务签约者SS和业务提供者SP的身份信息,所述业务签约者SS与实体认证中心EAC的共享密钥材料以及由业务提供者SP生成的随机数rand计算出一个用于保护所述业务签约者SS和业务提供者SP之间业务通信的衍生密钥;如果所述业务提供者SP是不合法的,返回错误消息;步骤406,所述实体认证中心EAC向所述业务签约者SS发送业务请求成功响应,响应中携带随机数rand,并向所述业务提供者SP发送由所述实体认证中心EAC与所述业务提供者的共享密钥材料加密的衍生密钥;步骤407,所述业务签约者SS收到实体认证中心EAC发送的业务请求成功响应后,采用和实体认证中心EAC相同的参数(其中包括随机数rand)和算法计算衍生密钥;步骤408,所述业务签约者SS和所述业务提供者SP开始业务过程。
所述实体认证中心EAC与所述业务签约者SS之间发送的响应中携带的随机数rand是由实体认证中心EAC与业务签约者SS的共享密钥材料加密的。
对于上述的认证查询方式3、4,除了采用上述步骤外,步骤307和407中实体认证中心EAC也可以利用其与所述业务签约者SS的共享密钥材料加密所述衍生密钥,并将加密后的衍生密钥通过业务请求成功响应发送给所述业务签约者SS,从而使业务签约者SS不必在本地重新计算得出衍生密钥,而是通过解密获得衍生密钥。
以上只是本发明的优选实施方式进行了描述,本领域的技术人员在本发明技术的方案范围内,进行的通常变化和替换,都应包含在本发明的保护范围内。
权利要求
1.一种通信认证查询方法,其特征在于,所述方法利用支持一种或多种认证查询方式的实体认证中心参与认证查询过程,至少包括以下步骤所述实体认证中心根据业务实体所请求或提供的业务的安全等级需求,查找安全等级列表,选择一种符合业务安全等级需求的认证查询方式,并将选择结果返回给业务实体;以及所述业务实体按照所述实体认证中心选出的查询方式发起业务请求。
2.根据权利要求1所述的通信认证查询方法,其特征在于,所述实体认证中心支持的一种认证查询方式包括如下步骤步骤1)业务签约者向业务提供者发送业务请求,所述业务请求消息中携带业务签约者在所述认证中心认证得到的中间业务请求标识以及业务提供者的公开身份标识;步骤2)业务提供者收到业务请求后,查找本地是否保存有业务签约者的中间业务请求标识的相关信息以识别所述业务签约者;如果保存有所述信息,双方开始业务过程;如果没有保存所述信息,则向实体认证中心发出查询请求,并在查询请求消息中携带业务签约者的中间业务请求标识以及自身的中间业务查询标识和公开身份标识;步骤3)实体认证中心收到查询请求后,进行身份和权限的合法性检查;如果检查结果合法,则所述实体认证中心根据所述业务签约者和业务提供者的身份信息,以及所述业务签约者与实体认证中心的共享密钥材料计算出一个用于保护所述业务签约者和业务提供者之间业务通信的衍生密钥,并利用实体认证中心与所述业务提供者的共享密钥材料加密后发送给业务提供者;如果检查结果不合法,则所述实体认证中心向相应的业务实体发错误信息,通知相应的业务实体重新到实体认证中心认证身份;步骤4)所述业务提供者解密获得衍生密钥,并将衍生密钥,有效期,业务签约者的中间业务请求标识以及业务提供者的公开身份标识关联保存在本地,并向业务签约者返回业务请求成功响应;步骤5)业务签约者在本地也利用相同的参数和密钥算法计算出相同的衍生密钥,并和业务提供者的中间业务查询标识关联保存在本地。
3.根据权利要求1所述的通信认证查询方法,其特征在于,所述实体认证中心支持的一种认证查询方式包括如下步骤步骤1)业务签约者向实体认证中心发送业务许可票据请求,所述请求消息中携带所述业务签约者的中间业务请求标识,以及该项业务的业务提供者的公开身份标识;步骤2)所述实体认证中心收到请求后,进行身份和权限的合法性检查;如果检查结果合法,所述实体认证中心根据所述业务签约者和业务提供者的身份信息,以及所述业务签约者与实体认证中心的共享密钥材料计算出一个用于保护所述业务签约者和业务提供者之间业务通信的衍生密钥;如果检查结果不合法,则所述实体认证中心向相应的业务实体发错误信息,通知相应的业务实体重新到实体认证中心认证身份;步骤3)所述实体认证中心产生一个包含衍生密钥、业务签约者身份信息和业务提供者身份信息的业务许可票据,利用其与所述业务提供者的共享密钥材料加密所述业务许可票据,并向所述业务签约者发送所述加密后的业务许可票据;步骤4)所述业务签约者收到所述业务许可票据后在本地产生一个相同的所述衍生密钥;步骤5)所述业务签约者向所述业务提供者发送业务请求,并携带所述业务许可票据;步骤6)所述业务提供者解密所述业务许可票据,获得衍生密钥,并向所述业务签约者返回业务请求成功响应。
4.根据权利要求3所述的通信认证查询方法,其特征在于,所述步骤4)具体包括以下步骤所述业务签约者收到所述业务许可票据后,在本地利用相同的参数和密钥算法计算出相同的所述衍生密钥。
5.根据权利要求3所述的通信认证查询方法,其特征在于,所述步骤3)进一步包括所述实体认证中心利用其与所述业务签约者的共享密钥材料加密所述衍生密钥,并将加密后的衍生密钥发送给所述业务签约者的步骤,从而所述步骤4)的具体步骤变为所述业务签约者解密获得衍生密钥。
6.根据权利要求1所述的通信认证查询方法,其特征在于,所述实体认证中心支持的一种认证查询方式包括如下步骤步骤1)业务签约者向所述实体认证中心提出业务请求,请求消息中携带所述业务签约者的中间业务请求标识以及所述业务提供者的公开身份标识;步骤2)所述实体认证中心检查所述业务签约者的中间业务请求标识的有效性,以及所述签约者的签约信息,以确定所述签约者是否有请求此项业务的权限;步骤3)如果所述业务签约者是合法的,则所述实体认证中心为其转发业务请求给所述业务提供者;步骤4)所述业务提供者返回业务请求响应,响应中携带着自己的中间认证查询标识;步骤5)所述实体认证中心检查所述中间认证查询标识的有效性和所述业务提供者的签约信息,以确定其是否有权提供此项业务;如果所述业务提供者是合法的,则所述实体认证中心根据所述业务签约者和业务提供者的身份信息,以及所述业务签约者与实体认证中心的共享密钥材料计算出一个用于保护所述业务签约者和业务提供者之间业务通信的衍生密钥,向所述业务签约者发送业务请求成功响应,并向所述业务提供者发送由所述实体认证中心与业务提供者的共享密钥材料加密的衍生密钥;如果所述业务提供者是不合法的,则所述实体认证中心向相应的业务实体发错误信息,通知相应的业务实体重新到实体认证中心认证身份;步骤6)所述业务签约者和业务提供者分别生成各自的衍生密钥。
7.根据权利要求6所述的通信认证查询方法,其特征在于所述步骤4)和步骤5)进一步包括所述业务提供者返回业务请求响应,所述响应中还包括业务提供者产生的随机数;所述实体认证中心根据所述业务签约者和业务提供者的身份信息,所述业务签约者与实体认证中心的共享密钥材料以及所述随机数计算出所述衍生密钥;所述实体认证中心向所述业务签约者发送业务请求成功响应,所述业务请求成功响应中还包括业务提供者产生的随机数。
8.根据权利要求6或7所述的通信认证查询方法,其特征在于,所述步骤6)具体包括以下步骤所述业务签约者收到业务请求成功响应后,利用相同的参数和密钥算法计算出所述的衍生密钥;所述业务提供者收到加密的衍生密钥后,解密获得衍生密钥。
9.根据权利要求6或7所述的通信认证查询方法,其特征在于,所述步骤5)进一步包括以下步骤所述实体认证中心向所述业务签约者发送业务请求成功响应,响应中携带由所述实体认证中心与业务签约者共享密钥材料加密的衍生密钥;所述步骤6)具体包括以下步骤所述业务签约者收到业务请求成功响应后,解密获得衍生密钥;所述业务提供者收到加密的衍生密钥后,解密获得衍生密钥。
10.根据权利要求2或3所述的通信认证查询方法,其特征在于,所述身份和权限的合法性检查具体包括以下步骤根据业务签约者的中间业务请求标识来判断业务签约者是否有权使用所述此项业务;根据业务提供者的公开身份标识获得业务提供者的中间业务查询标识,并以此判断业务提供者是否有权提供所述此项业务;查找业务签约者或者业务提供者的签约信息,以确定实体是否有权请求或提供此项业务。
11.根据权利要求3所述的通信认证查询方法,其特征在于,还包括以下步骤当业务签约者需要获得某项业务时,首先查看本地是否保存了对应于此项业务的业务许可票据,如果有,则直接跳到步骤5)。
12.根据权利要求7所述的通信认证查询方法,其特征在于,所述实体认证中心与所述业务签约者之间发送的响应中携带的随机数是由实体认证中心与业务签约者的共享密钥材料加密的。
13.一种通信认证查询系统,包括实体认证中心,业务实体,其特征在于,所述业务实体包括业务签约者、业务提供者和既是业务签约者又是业务提供者的实体,所述实体认证中心用于根据业务实体所请求或提供的业务的安全等级需求,查找安全等级列表,选择一种符合业务安全等级需求的认证查询方式,并将选择结果在认证成功响应中返回给业务实体;所述业务实体按照所述实体认证中心选出的查询方式发起业务请求。
全文摘要
本发明涉及一种通信认证查询方法和系统,属于网络通信领域。所述方法利用支持一种或多种认证查询方式的实体认证中心参与认证查询过程,至少包括以下步骤所述实体认证中心根据业务实体所请求或提供的业务的安全等级需求,查找安全等级列表,选择一种符合业务安全等级需求的认证查询方式,并将选择结果在认证成功响应中返回给业务实体;以及所述业务实体按照所述实体认证中心选出的查询方式发起业务请求。所述系统包括实体认证中心,业务实体,所述业务实体包括业务签约者、业务提供者和既是业务签约者又是业务提供者的实体。本发明所述方法提高了端到端应用服务通信认证查询方法的兼容性和可实施性。
文档编号H04L9/32GK1929377SQ20061003269
公开日2007年3月14日 申请日期2006年1月4日 优先权日2006年1月4日
发明者位继伟, 范絮妍 申请人:华为技术有限公司