专利名称:一种基于设备的多方身份认证方法及系统的制作方法
技术领域:
本发明关于身份认证技术,特别是关于终端设备、用户端和服务器间的 身份认证技术,具体的讲是一种基于设备的多方身份认证方法及系统。
背景技术:
随着通信技术及IT技术的快速发展, 一方面,通信/应用终端的智能及运 算能力越来越高,基于终端的网络攻击、假冒身份的安全事件愈加频繁,攻 击的频度和烈度也越来越高,加强终端自身安全防护的需求日益提高;另一 方面,企业网络的地域限制逐渐淡化,网络规模日益庞大,对网络中的个体 管理的需求日益突出。
传统的电力、银行、交通等大量的传统工业客户,对应用的安全性有非 常高的要求,例如金融行业的无线POS业务,由于涉及到货币交易,银行 对于交易的各环节有特殊的安全要求,首先,对于终端,必须是通过金融行 业组织的特别认证,才可以接入到银行交易系统中;对于使用者,必须是银 行授权的用户,并通过特定的用户名/口令才能接入到交易系统;银行的后台 中心负责对于用户权限、口令的统一管理。但是,随着终端运算能力的提高 及各种网络通信能力的普及,终端本身不再是可信的,例如网络黑客通过 伪造终端的外部特征(终端硬件编号、IP、消息内容等),发起非法的通信/ 交易行为,骗取中心的信任,从而进行非法的交易;另外一种情况,黑客通 过仿冒IP、截取数据等方式,伪造非法的交易中心,欺骗合法的终端/用户, 窃取用户名、口令等关键数据,进行非法交易。
为了解决终端、用户以及应用中心各环节的相互鉴权认证问题,中国专 利申请200680019600.6公开了一种综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端。在该发明申请的技术方案中, 终端、用户以及应用中心任意双方的认证过程均需要通过管理中心、终端、 用户身份模块三方在认证消息中加入各自的身份信息在网络中传递,这种三 方在认证消息中都加入各自身份信息的方法安全性较低,在进行任意双方间 的安全鉴权时消耗较大,并且认证流程固定。
发明内容
为了解决现有技术中应用中心、终端和用户三者之间身份认证的安全性 低、鉴权消耗大以及认证流程固定的问题,本发明提供了一种基于设备的多 方身份认证方法及系统。
本发明的目的之一是,提供一种多方身份认证方法,所述的方法包括以 下步骤由鉴权端向至少两个认证设备分别发送包含所有参与认证的认证设 备电子证书的身份认证数据;每个认证设备都将接收的身份认证数据进行存 储;当两个认证设备之间进行身份认证时,认证发起方认证设备向认证处理 方认证设备发送包含有认证发起方认证设备电子证书的认证请求消息;认证 处理方认证设备将自身存储的认证发起方认证设备电子证书与接收的认证请 求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权端发送身份 合法消息,如果不一致则向所述的鉴权端发送身份非法消息。
本发明的目的之一是,提供一种多方身份认证系统,所述的系统包括 鉴权服务器和至少两个认证设备;所述的鉴权服务器向至少两个认证设备分 别发送包含所有参与认证的认证设备电子证书的身份认证数据;所述的认证 设备将接收的身份认证数据进行存储;其中,所述的至少两个认证设备包括 认证发起方认证设备和认证处理方认证设备;所述的认证发起方认证设备向 认证处理方认证设备发送包含有认证发起方认证设备电子证书的认证请求消 息;认证处理方认证设备将自身存储的认证发起方认证设备电子证书与接收 的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权服务器发送身份合法消息,如果不一致则向所述的鉴权服务器发送身份非法消 息。
本发明的有益效果在于,解决了终端设备、用户设备乃至作为应用中心 的认证服务器均可能存在的假冒问题。本发明基于三方均不可信的原则,在 进行应用交互前,终端设备、用户设备、应用中心均可主动发起向其他任意 一方或多方的合法性的鉴权。
特别是,终端设备与用户设备的相互认证锁定,用户设备与终端设备对 应关系发生变化后,终端设备或用户设备无法发起与应用中心的应用交互。
另外,终端或用户发起的对于应用中心的合法性鉴权,如果应用中心未 通过终端或用户的鉴权,则终端或用户拒绝发起与应用中心的连接。应用中 心对于终端或用户进行身份合法性的鉴权,若未通过应用中心鉴权,则应用 中心拒绝终端和用户的应用连接请求。
图l是本发明的系统结构框图。 图2是电子证书发放流程图。
图3为终端鉴权用户的流程图。
图4为用户鉴权终端的流程图。
图5是终端对应用中心的鉴权流程图。
图6是应用中心发起对终端的鉴权流程图。
图7是本发明应用实例的结构示意图。
具体实施例方式
下面结合
本发明的具体实施方式
。如图1所示,多方身份认证 系统包括终端设备、用户设备、应用服务器和鉴权服务器,用户设备通过 终端设备与鉴权服务器及应用服务器相联接。如图2所示,鉴权服务器向终端设备、用户设备、应用服务器分别发送 包含所有参与认证的认证设备电子证书的身份认证数据。身份认证数据可以 包括终端设备电子证书和加密密钥、用户设备电子证书和加密密钥、以及 应用服务器电子证书和加密密钥。
终端设备、用户设备以及应用服务器分别接收鉴权服务器发来的身份认 证数据,并将其中的终端设备电子证书和加密密钥、用户设备电子证书和加
密密钥、以及应用服务器电子证书和加密密钥进行存储;其中,
终端设备、用户设备以及应用服务器可以进行任意组合的两两认证,两
两认证的设备包括认证发起方认证设备和认证处理方认证设备;认证发起
方认证设备向认证处理方认证设备发送包含有认证发起方认证设备电子证书
的认证请求消息;认证处理方认证设备将自身存储的认证发起方认证设备电 子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向 所述的鉴权服务器发送身份合法消息,如果不一致则向所述的鉴权服务器发 送身份非法消息。 实施例1
如图2所示,鉴权中心的鉴权服务器通过安全的方式向终端设备下发唯 一电子证书,终端设备将该电子证书固化在终端设备中,并确保不可篡改。 鉴权中心通过安全渠道,向终端设备提供安全密钥,终端设备将该密钥存储 在本地硬件环境中。加密解密的算法通过硬件方式实现,防止篡改及窃取。 根据鉴权中心鉴权策略模块的记录,如果终端设备需要对用户设备或应用中 心的应用服务器鉴权,则鉴权中心一并将用户设备及应用中心的电子证书及 对应加密密钥通过安全方式直接下发至终端设备。
下发唯一电子证书的流程是-
步骤IOI、鉴权中心通过安全的方式向终端设备下发唯一电子证书,终端 设备将该电子证书固化在终端设备中,终端设备可为手机、POS机和移动
电脑等设备,该电子证书确保不可篡改。鉴权中心通过安全渠道,向终端设备提供安全密钥,终端设备将该密钥存储在本地硬件环境中。加密解密的算 法通过硬件方式实现,防止篡改及窃取。
步骤102、鉴权中心通过安全方式向用户设备下发唯一电子证书,该电子 证书固化在用户设备中,用户设备可为SIM/USIM卡、用户IC卡和SD存 储卡等载体,该电子证书不可篡改。鉴权中心通过安全渠道,向用户设备提 供安全密钥,该密钥存储在用户设备硬件环境中。同时,加密解密的算法通 过硬件方式实现,防止篡改及窃取。
如图3所示,终端设备鉴权用户设备的流程包括以下两种方案
1) 终端设备加电启动后,从用户设备读取用户设备本地存储的用户密钥 加密的用户身份认证信息;终端设备采用本地存储的用户密钥进行解密,将 解密后获得的用户身份信息与本地存储的用户身份信息进行比对;终端判断 用户身份合法性,并向用户设备返回采用本地存储的用户密钥加密的确认消 息。如果终端设备判断用户设备合法,则向鉴权中心发送采用终端密钥加密 的合法性鉴权结果通知,鉴权中心采用本地存储的终端密钥进行解密,获得 认证结果,进行记录;同时终端设备向应用中心发起应用连接,应用平台根 据本地记录的定购关系,判断合法性,记录访问日志,并向终端设备返回确 认消息。如果终端判断用户身份非法,向鉴权中心发送采用终端密钥加密的 非法性鉴权结果通知,鉴权中心采用本地存储的终端密钥进行解密,获得认 证结果,进行记录,终端设备拒绝该用户设备发起的应用连接请求,终端设 备进入休眠或停机状态,直至正确的用户身份设备插入设备后,正常启动。
2) 终端设备加电启动后,向用户设备发送终端设备本地存储的用户身份 认证信息,并采用终端设备本地存储的用户密钥进行加密;用户设备接收终 端设备传递的加密用户身份信息,采用用户设备本地存储的用户设备密钥进 行解密,获取终端上传的用户身份电子证书,与用户设备本地存储的身份信 息进行比对,向终端设备反馈采用本地存储的用户密钥进行加密的确认消息, 终端设备对接收的确认消息采用本地存储的用户密钥进行解密,获得确认消息,判銜用户身份合法。如果终端设备判断用户设备合法,则向鉴权中心发 送采用终端密钥加密的合法性鉴权结果通知,鉴权中心采用本地存储的终端 密钥进行解密,获得认证结果,进行记录;同时终端设备向应用平台发起应 用连接,应用平台根据本地记录的定购关系,判断合法性,进行记录,并向 终端设备返回确认消息。如果终端判断用户身份非法,向鉴权中心发送采用 终端密钥加密的非法性鉴权结果通知,鉴权中心采用本地存储的终端密钥进 行解密,获得认证结果,进行记录,终端设备拒绝该用户设备发起的应用连 接请求,终端设备进入休眠或停机状态,直至正确的用户身份设备插入设备 后,正常启动。
终端设备对用户信息进行鉴权(用户信息通过公开加密密钥加密,终端 通过解密芯片和密钥解密进行解密,获取用户信息)包括企业信息、用户 ID、有效期等。
用户设备对终端设备身份信息进行鉴权(用户信息通过公开加密密钥加 密,终端通过解密芯片和密钥解密进行解密,获取用户信息),包括厂家 信息,设备ID、有效期等
类似的,设备与用户互相通过鉴权后,形成单方身份信息或双方的联合 身份信息,并通过加密密钥和加密芯片加密后送鉴权中心,鉴权中心通过加 密密钥和解密芯片对设备传来的联合身份信息进行解密,并与本地维护的鉴 权策略,例如终端与用户的联合捆绑鉴权要求,对用户身份信息和终端身 份信息进行比对鉴权。
实施例二
如图4所示,用户设备鉴权终端设备的流程包括以下两种方案 1)当用户设备进行鉴权终端设备的操作时,用户设备假设终端设备不可 信,向终端设备传递用户设备本地存储的终端设备的身份信息,并采用用户 设备本地存储的终端设备密钥进行加密;终端设备接收用户设备传递的加密 终端设备信息,釆用本地存储的终端设备密钥进行解密,获取用户设备上传的终端设备电子证书,与本地存储的身份信息进行比对,并向用户设备返回 采用本地存储的终端设备密钥加密的确认消息,用户设备采用本地存储的终 端设备密钥对接收的确认消息进行解密,确认终端的合法性。如果用户设备 判断终端设备合法,则向鉴权中心发送釆用用户设备密钥加密的合法性鉴权 结果通知,鉴权中心采用本地存储的用户设备密钥进行解密,获得认证结果,
进行记录;同时用户设备通过终端设备向应用平台发起应用连接,应用平台
根据本地记录的定购关系,判断合法性,进行记录,并向终端设备返回确认 消息。如果用户设备判断终端身份非法,通过终端设备向鉴权中心发送采用 用户设备密钥加密的非法性鉴权结果通知,鉴权中心采用本地存储的用户设 备密钥进行解密,获得认证结果,进行记录,用户设备拒绝通过该终端设备 发起的应用连接请求,终端设备进入休眠或停机状态,直至更换合法的终端 设备后,正常启动。
2)用户设备要求终端设备返回采用终端密钥加密后的终端设备电子证 书,用户设备对接收到的信息采用本地存储的终端密钥解密,进行确认,并 向终端设备返回釆用本地存储的终端密钥加密的确认消息。后者的安全性高 于前者。为确保安全,用户设备不向外发送自己的身份及密钥信息。
如果用户设备判断终端设备合法,则向鉴权中心发送采用用户密钥加密 的合法性鉴权结果通知,鉴权中心采用本地存储的用户密钥进行解密,获得 认证结果,进行记录;同时用户设备通过终端设备向应用中心发起应用连接, 应用平台根据本地记录的定购关系,判断合法性,记录访问日志,并向终端 设备返回确认消息。如果用户设备判断终端设备身份非法,向鉴权中心发送 釆用用户设备密钥加密的非法性鉴权结果通知,鉴权中心采用本地存储的用 户设备密钥进行解密,获得认证结果,进行记录,用户设备拒绝通过终端设 备发起到应用中心的应用连接请求,终端设备进入休眠或停机状态,直至更 换合法的终端设备后,正常启动。
实施例三如图5所示,终端对应用中心的鉴权包括两种方案
1) 终端加电启动后,向应用中心发送终端本地存储的应用中心身份认证 信息,并采用终端本地存储的应用中心密钥进行加密;应用中心接收终端传 递的加密应用中心身份信息,并采用本地存储的应用中心密钥进行解密,获 取终端上传的应用中心电子证书,与本地存储的身份信息进行比对,终端根 据比对结果,向鉴权中心发送鉴权结果通知,并采用终端本地存储的终端加 密钥对消息进行加密。终端判断应用中心身份合法,终端向应用平台发起应 用连接,应用平台根据定购关系,判断合法性,并进行记录。终端判断应用 中心非法,进入休眠,终端记录非法应用中心的事件记录,包括通信消息记 录、非法应用IP等必要信息,存储在终端本地,待连接到合法应用中心后, 上报相关记录,同时终端将详细的记录通知用户身份设备。
2) 终端加电启动后,终端设备从应用中心读取应用中心身份认证信息,
并采用应用中心本地存储的应用中心密钥进行加密,终端采用本地存储的应 用中心密钥进行解密,将解密后获得的应用中心身份信息与本地存储的应用 中心身份信息进行比对,并将鉴权结果通知鉴权中心,采用终端本地存储的 终端设备密钥进行加密。终端判断应用中心身份合法,终端向应用平台发起 应用连接,应用平台根据定购关系,判断合法性,并进行记录。终端判断应 用中心非法,进入休眠,终端记录非法应用中心的事件记录,包括通信消息 记录、非法应用IP等必要信息,存储在终端本地,待连接到合法应用中心后, 上报相关记录,同时终端将详细的记录通知用户身份设备。 类似的,用户发起对应用中心的鉴权流程包括两种-
1) 当用户对终端进行鉴权时,用户假设应用中心不可信。用户设备向应 用中心传递用户设备存储的应用中心身份信息,并采用用户设备本地存储应 用中心加密密钥加密,由应用中心返回鉴权确认消息。
2) 当用户对终端进行鉴权时,用户假设应用中心不可信。用户设备要求
应用中心返回加密后的应用中心身份的电子证书,由用户身份设备进行解密确认。后者的安全性高于前者。为确保安全,用户不向外发送自己的身份信 息。
实施例四
如图6所示,应用中心发起对终端的鉴权流程包括两种方案
1 )终端加电启动后,应用中心向终端发送本地存储的终端身份认证信息,
并采用应用中心本地存储的终端密钥进行加密;终端采用本地存储的终端密
钥解密接收到的消息,与本地存储的终端身份信息进行比对,判断合法性, 并采用本地存储的终端密钥的确认消息。应用中心采用本地存储的终端密钥 对确认消息解密,判断判断终端合法性。如果应用中心判断终端设备合法, 则向鉴权中心发送采用应用中心密钥加密的合法性鉴权结果通知,鉴权中心
采用本地存储的应用中心密钥进行解密,获得认证结果,进行记录;同时应 用中心允许终端设备发起的应用连接请求,应用中心根据本地记录的定购关 系,判断合法性,记录访问日志,并向终端设备返回确认消息。如果应用中 心判断终端设备身份非法,向鉴权中心发送采用应用中心密钥加密的非法性 鉴权结果通知,鉴权中心采用本地存储的应用中心密钥进行解密,获得认证 结果,进行记录,应用中心拒绝该终端设备发起的应用连接请求,要求终端 设备进入休眠或停机状态,直至更换合法的终端设备后,正常启动。
2)终端加电启动后,应用中心读取终端设备的身份认证信息,并采用终 端设备本地存储的终端设备密钥进行加密,应用中心采用应用中心本地存储 的终端设备密钥对接受到的消息进行解密,将获得的终端设备身份信息与本 地存储的应用中心身份信息进行比对,并判断终端身份合法性。如果应用中 心判断终端设备合法,则向鉴权中心发送采用应用中心密钥加密的合法性鉴 权结果通知,鉴权中心采用本地存储的应用中心密钥进行解密,获得认证结 果,进行记录;同时应用中心允许终端设备发起的应用连接请求,应用中心 根据本地记录的定购关系,判断合法性,记录访问日志,并向终端设备返回 确认消息。如果应用中心判断终端设备身份非法,向鉴权中心发送釆用应用中心密钥加密的非法性鉴权结果通知,鉴权中心采用本地存储的应用中心密 钥进行解密,获得认证结果,进行记录,应用中心拒绝该终端设备发起的应 用连接请求,要求终端设备进入休眠或停机状态,直至更换合法的终端设备 后,正常启动。
与图6所示相类似,应用中心也可以发起对用户的鉴权流程。 如图7所示,在本发明的一个应用中,应用设备通过鉴权中心与应用中 心实现数据交互。其中,应用设备的用户设备为用户信息存储设备(SIM卡), 应用设备的终端设备为设备信息存储芯片。鉴权中心包括认证服务器。应用 中心包括应用服务器。
用户设备和终端设备是应用设备的一部分或是应用设备的外围设备。
应用中心向鉴权中心提交鉴权要求包括终端与用户的对应关系、应
用中心的身份信息、用户定制的鉴权策略(例如要求中心身份ID与设备ID
捆绑等用户、中心、设备三方的任意双方或三方的绑定鉴权)。认证流程如
图3至图6所示。
本发明基于三方均不可信的原则,在进行应用交互前,终端设备、用户 设备、应用中心均可主动发起向其他任意一方或多方的合法性的鉴权。
权利要求
1.一种多方身份认证方法,其特征是,所述的方法包括以下步骤由鉴权端向至少两个认证设备分别发送包含所有参与认证的认证设备电子证书的身份认证数据;每个认证设备都将接收的身份认证数据进行存储;当两个认证设备之间进行身份认证时,认证发起方认证设备向认证处理方认证设备发送包含有认证发起方认证设备电子证书的认证请求消息;认证处理方认证设备将自身存储的认证发起方认证设备电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权端发送身份合法消息,如果不一致则向所述的鉴权端发送身份非法消息。
2. 根据权利要求1所述的方法,其特征是,所述的身份认证数据还包含 加密密钥;所述的认证设备将所述的身份认证数据和加密密钥进行存储; 当两个认证设备之间进行身份认证时,认证发起方认证设备向认证处理方认证设备发送包含有认证发起方认证 设备电子证书的加密认证请求消息;认证处理方认证设备根据自身存储的认证发起方认证设备加密密钥对接 收的加密认证请求消息进行解密,获取其中的电子证书,并将自身存储的认 证发起方认证设备电子证书与获取的认证请求消息中的电子证书进行一致性 比较,如果一致则向所述的鉴权端发送身份合法消息,如果不一致则向所述 的鉴权端发送身份非法消息。
3. 根据权利要求1所述的方法,其特征是,所述的认证设备包括终端 设备、用户设备和应用服务器;其中,当终端设备与用户设备之间进行身份认证时,终端设备向用户设备发送包含有终端设备电子证书的认证请求消息; 用户设备将自身存储的终端设备电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权端发送身份合法消息,如果不一致则向所述的鉴权端发送身份非法消息。
4. 根据权利要求1所述的方法,其特征是,所述的认证设备包括终端 设备、用户设备和应用服务器;其中,当用户设备与终端设备之间进行身份认证时,用户设备向终端设备发送包含有用户设备电子证书的认证请求消息; 终端设备将自身存储的用户设备电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权端发送身份合法消息,如果不一致则向所述的鉴权端发送身份非法消息。
5. 根据权利要求1所述的方法,其特征是,所述的认证设备包括终端 设备、用户设备和应用服务器;其中,当终端设备与应用服务器之间进行身份认证时,终端设备向应用服务器发送包含有终端设备电子证书的认证请求消息; 应用服务器将自身存储的终端设备电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权端发送身份合法消息,如果不一致则向所述的鉴权端发送身份非法消息。
6. 根据权利要求1所述的方法,其特征是,所述的认证设备包括终端 设备、用户设备和应用服务器;其中,当应用服务器与终端设备之间进行身份认证时,应用服务器向终端设备发送包含有应用服务器电子证书的认证请求消息;终端设备将自身存储的应用服务器电子证书与接收的认证请求消息中的 电子证书进行一致性比较,如果一致则向所述的鉴权端发送身份合法消息, 如果不一致则向所述的鉴权端发送身份非法消息。
7. —种多方身份认证系统,其特征是,所述的系统包括鉴权服务器和 至少两个认证设备;所述的鉴权服务器向至少两个认证设备分别发送包含所有参与认证的认证设备电子证书的身份认证数据;所述的认证设备将接收的身份认证数据进行存储;其中, 所述的至少两个认证设备包括认证发起方认证设备和认证处理方认证设备;所述的认证发起方认证设备向认证处理方认证设备发送包含有认证发起 方认证设备电子证书的认证请求消息;认证处理方认证设备将自身存储的认证发起方认证设备电子证书与接收 的认证请求消息中的电子证书进行一致性比较,如果一致则向所述的鉴权服 务器发送身份合法消息,如果不一致则向所述的鉴权服务器发送身份非法消 息。
8. 根据权利要求7所述的系统,其特征是,所述的身份认证数据还包含 加密密钥;所述的认证设备将所述的身份认证数据和加密密钥进行存储; 所述的认证发起方认证设备向认证处理方认证设备发送包含有认证发起 方认证设备电子证书的加密认证请求消息;所述的认证处理方认证设备根据自身存储的认证发起方认证设备加密密 钥对接收的加密认证请求消息进行解密,获取其中的电子证书,并将自身存 储的认证发起方认证设备电子证书与获取的认证请求消息中的电子证书进行 一致性比较,如果一致则向所述的鉴权端发送身份合法消息,如果不一致则 向所述的鉴权端发送身份非法消息。
9. 根据权利要求7所述的系统,其特征是,所述的认证设备包括终端 设备、用户设备和应用服务器;其中,所述的终端设备向所述的用户设备发送包含有终端设备电子证书的认证请求消息;所述的用户设备将自身存储的终端设备电子证书与接收的认证请求消息 中的电子证书进行一致性比较,如果一致则向所述的鉴权端发送身份合法消 息,如果不一致则向所述的鉴权端发送身份非法消息。
10. 根据权利要求7所述的系统,其特征是,所述的认证设备包括终 端设备、用户设备和应用服务器;其中,请求消息;所述的终端设备将自身存储的用户设备电子证书与接收的认证请求消息 中的电子证书进行一致性比较,如果一致则向所述的鉴权端发送身份合法消 息,如果不一致则向所述的鉴权端发送身份非法消息。
11. 根据权利要求7所述的系统,其特征是,所述的认证设备包括终 端设备、用户设备和应用服务器;其中,所述的终端设备向所述的应用服务器发送包含有终端设备电子证书的认 证请求消息;所述的应用服务器将自身存储的终端设备电子证书与接收的认证请求消 息中的电子证书进行一致性比较,如果一致则向所述的鉴权端发送身份合法 消息,如果不一致则向所述的鉴权端发送身份非法消息。
12. 根据权利要求7所述的系统,其特征是,所述的认证设备包括终 端设备、用户设备和应用服务器;其中,所述的应用服务器向所述的终端设备发送包含有应用服务器电子证书的 认证请求消息;所述的终端设备将自身存储的应用服务器电子证书与接收的认证请求消 息中的电子证书进行一致性比较,如果一致则向所述的鉴权端发送身份合法 消息,如果不一致则向所述的鉴权端发送身份非法消息。
全文摘要
本发明提供一种多方身份认证方法及系统,该系统包括鉴权服务器和至少两个认证设备;鉴权服务器向至少两个认证设备分别发送包含所有参与认证的认证设备电子证书的身份认证数据;认证设备将接收的身份认证数据进行存储;其中,认证设备包括认证发起方认证设备和认证处理方认证设备;认证发起方认证设备向认证处理方认证设备发送包含有认证发起方认证设备电子证书的认证请求消息;认证处理方认证设备将自身存储的认证发起方认证设备电子证书与接收的认证请求消息中的电子证书进行一致性比较,如果一致则向鉴权服务器发送身份合法消息,如果不一致则向鉴权服务器发送身份非法消息。解决了服务器、终端和用户三者之间身份认证问题。
文档编号H04L9/32GK101409621SQ20081022649
公开日2009年4月15日 申请日期2008年11月13日 优先权日2008年11月13日
发明者暐 朱, 李黎阳, 铮 林, 王崇锐, 冰 范, 鹏 赵 申请人:中国移动通信集团北京有限公司