CN101051898A - 无线网络端到端通信认证方法及其装置 - Google Patents
无线网络端到端通信认证方法及其装置 Download PDFInfo
- Publication number
- CN101051898A CN101051898A CN 200610074932 CN200610074932A CN101051898A CN 101051898 A CN101051898 A CN 101051898A CN 200610074932 CN200610074932 CN 200610074932 CN 200610074932 A CN200610074932 A CN 200610074932A CN 101051898 A CN101051898 A CN 101051898A
- Authority
- CN
- China
- Prior art keywords
- authentication
- service
- request
- business
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供了一种端到端通信认证方法,用于实现无线网络的Kerberos模型端到端通信认证,其包括:步骤a.业务签约者向实体认证中心发出认证请求,其中认证请求包含用户信息、以及业务签约者所请求的业务所对应的业务提供者的公开身份标识;步骤b.实体认证中心根据认证请求包含的信息,对认证请求做出相应的认证响应;步骤c.如果认证响应是确认认证请求,则实体认证中心向业务提供者发出业务请求,其携带证明业务签约者通过认证以及有权使用业务的凭证;步骤d.业务提供者对业务请求做出业务响应;以及步骤e.当业务响应为成功时,业务签约者与业务提供者之间开始进行相应的业务。此外,本发明还提供了一种端到端通信认证装置。
Description
技术领域
本发明涉及无线通信领域,更具体而言,涉及一种将Kerberos模型应用于无线网络端到端通信认证的方法及其装置。
背景技术
在无线网络业务端到端通信中,为了保护通信内容,人们发展了一种通信认证的方案。下面将参照图1来说明相关技术中无线网络业务端到端通信认证的方法。
图1所示为相关技术的无线移动网络中的一种端到端通信认证框架100的示意图,该框架适用于不同移动网络标准,其作用在于为不同类型的实体之间建立相互信任关系,是一个真正意义上的通用鉴权框架。涉及到的网络元素除了3种业务实体:SS 102(ServiceSubscriber,业务签约者)、SSP 104(Service Subscriber and Provider,既是业务签约者又是业务提供者)、SP 106(Service Provider,业务提供者)以外,在运营商网络中,还应该存在一个EAC 108(EntityAuthentication Center,实体认证中心)和一个ESD 110(EntitySubscription Database,实体签约信息数据库)。
实体认证中心(Entity Authentication Center,缩写为EAC)108,是认证框架中的一个网络元素。其功能是完成认证协商,生成与业务实体间的共享秘密信息,接受认证查询,以及计算衍生密钥等。EAC还应包括检测证书的功能,Kerberos服务器的功能等;
业务签约者(Service subscriber,缩写为SS)102,只能申请服务,一般为普通的移动用户;以及
业务提供者(Service Provider,缩写为SP)106,是运营商网络的AS(Application Server,应用服务器)或外部网络的SP。
SP 106在能够向其它实体提供业务,或者SS 102向其它实体请求业务之前,应该首先已经与网络存在签约关系,并将签约信息存放于ESD 110中。
网络中每个SS 102与SP 106进行通信之前,应该先到EAC 108协商认证方式,并完成对身份的认证过程。
认证方式的协商过程应该由业务实体发起,并在请求消息携带自身身份标识。EAC 108根据本地策略情况和实体签约信息,选择一种认证方式,并将相应信息返回给认证请求者。请求者再发确认信息表示协商过程结束。
接下来实体与EAC 108按照协商的方式进行认证。该认证应该是双向的。认证结束后,认证请求实体和EAC 108应该共享一个密钥,并且EAC 108将会根据认证请求实体的签约信息情况给其分配临时身份标识以及相应的有效期:1)如果该认证请求实体是SS 102(SS 102/SSP 104),则共享密钥为Ks,EAC 108将向其分配一个中间业务请求标识ISR-ID。2)如果该认证请求实体是SP 106(SP106/SSP 104),则共享密钥为Kp,EAC 108将向其分配一个中间业务查询标识IAC-ID。
最后EAC 108将业务实体的临时身份标识ISR-ID或IAC-ID以及有效期发送给请求认证的业务实体,此后该业务实体与EAC 108之间的通信都可以采用认证过程生成的业务实体与EAC 108间的共享密钥Ks进行保护。
认证建立的信任关系存在一个有效期。当快要过期或过了有效期时,业务实体需要到EAC 108之间进行重认证过程,建立新的信任关系。
在SS 102向SP 106请求业务时,EAC 108要查询二者的认证情况,确定二者身份是否合法以及是否有请求和提供某项业务的权限,并且帮助二者协商共享的衍生密钥。
具体来说,一种用于实现相关技术中无线网络业务端到端通信认证的解决方案是利用相关技术的Kerberos模型。Kerberos模型是一种基于可信任第三方的客户端-服务器之间的认证模型,是一种较成熟的认证模型,广泛应用于Internet网络中。下面将参照图2来说明该Kerberos模型。
图2示出了相关技术的Kerberos认证模型200的方框图。
用户(User)202在申请服务时,首先要有一张有效的服务许可票据,如果没有要向KDC(Key Distribution Center,密钥分发中心)210中的票据许可服务器TGS 206申请,申请时必须携带票据许可票据,如果没有就要先向AS(Authentication Server,认证服务器)204申请。过程如下:
在步骤S102中,用户202向AS 204发出认证请求,携带有(用户ID,用户地址和TGS-ID);
在步骤S104中,AS 204收到后返回由用户口令导出密钥加密的票据许可票据以及用户202与TGS 206共享的口令,票是由TGS206的密钥加密的,票的内容是:票{口令:用户名:用户地址:TGS-ID:有效期:时间戳}其中,口令是用户202与TGS 206共享的;
在步骤S106中,用户202收到响应后,输入正确的口令密码,才能获得票据和口令,(由于票据是用TGS 206的密钥加密的,用户202无法读到票中的信息,也无须读到)这样用户202就通过了AS 204的认证;
在步骤S108中,用户202向TGS 206申请获得某项服务,消息中携带票据许可票据和验证器,票是用TGS 206的密钥加密的,验证器是通过用户202和TGS 206共享的口令加密的,验证器{用户身份:用户地址:有效期:时间戳}(验证器的有效期很短,每申请一次服务都须生成一个新的验证器,这样能避免非法用户202使用合法用户202的工作站,在票据有效期内,获取服务);
在步骤S110中,TGS 206收到请求消息后,先解读票据,如果它能正确切除票据内容,说明票据是来自合法的AS 204(因为只有真正的AS 204才知道TGS 206的密钥,这就防止了有人伪造票);然后,TGS 206核对票的有效期和时间戳看是否过期(这就防止了使用旧票);最后,它用票中的口令解读验证器,看验证器中的用户ID和用户地址与票中的是否一致,这就防止了有人盗用票;
在步骤S112中,待上面的检查都通过后,TGS 206向用户202发一张服务许可票据,该票据用应用服务器208的密钥加密,票{口令:用户名:用户地址:服务器-ID:有效期:时间戳}同时返回由口令加密的验证器,验证器的时间戳加一,防止重传攻击;
在步骤S114中,用户202获得了服务许可票据,并如能正确解开验证器,核对其中的内容无误,则说明该票据是来自真正的TGS 206;
在步骤S116中,当用户202向应用服务器208请求服务时,送上服务许可票据和验证器,服务器208获得票据中的口令,这个口令就可以保护用户202和服务器208以后的业务通信;以及
在步骤S118中,票据通过检验后,服务器返回认证成功响应,响应中携带验证器,验证器的时间戳加一,并用共享口令加密。
然而,从以上的描述中可以看到,当将Kerberos模型应用于无线网络的业务通信认证机制时,还存在以下问题:
1.由于用户与AS之间通过口令请求认证,所以不能很好地防止口令猜测式攻击;
2.在无线网络中,当业务请求者是移动终端时,共享密钥和票据在空口中传输容易被截获以及破解;以及
3.获得服务需要申请两次票据,这对于移动终端来说负担过重。
因此,上述的相关技术的Kerberos模型还不能很好地应用于无线网络,人们需要提供一种解决方案,能够解决上述相关技术中的问题。
发明内容
本发明旨在提供一种无线网络端到端通信认证的方法及其装置,其对相关技术的Kerberos认证机制进行改进,使之能够适用于无线网络环境下业务通信的端到端认证,并对认证过程进行适当简化,达到较佳的兼容效果。
根据本发明的一个方面,提供了一种端到端通信认证方法,用于实现无线网络的Kerberos模型端到端通信认证,其特征在于包括以下步骤:步骤a,业务签约者向实体认证中心发出认证请求,其中认证请求包含用户信息、以及业务签约者所请求的业务所对应的业务提供者的公开身份标识;步骤b,实体认证中心根据认证请求包含的信息,对认证请求做出相应的认证响应;步骤c,如果认证响应是确认认证请求,则实体认证中心向业务提供者发出业务请求;步骤d,业务提供者对业务请求做出业务响应;以及步骤e,当业务响应为成功时,业务签约者与业务提供者之间开始进行相应的业务。
在上述的端到端通信认证方法中,步骤b包括以下步骤:步骤b1,实体认证中心与业务签约者根据运营商策略、业务签约者的签约信息中的认证信息、或无线网络所支持的认证方式协商出一种双方都支持的认证方式。
在上述的端到端通信认证方法中,认证方式包括:AKA认证方式,基于SIM的认证方式,基于CAVE的认证方式。
在上述的端到端通信认证方法中,步骤b还包括以下步骤:步骤b2,当认证响应为成功时,认证中心与业务签约者获得共享密钥材料,并且实体认证中心向业务签约者发送中间业务请求标识、以及共享密钥材料的有效期。
在上述的端到端通信认证方法中,步骤b还包括以下步骤:步骤b3,实体认证中心判断业务签约者是否可以使用业务,如果可用,那么实体认证中心为其生成相应的业务许可票据以及相应的票据摘要作为凭证,凭证证明业务签约者通过认证以及有权使用所述业务,其中,业务许可票据的票据内容包括业务签约者的中间业务请求标识以及衍生密钥。
在上述的端到端通信认证方法中,步骤b还包括以下步骤:步骤b4,实体认证中心将业务许可票据发送到业务提供者,并在认证成功响应中将票据摘要连同公开身份标识加密发送给业务签约者。
在上述的端到端通信认证方法中,还包括以下步骤:步骤f,业务提供者收到业务许可票据后,用其与实体认证中心之间的第一共享密钥材料解密业务许可票据,验证票据内容的正确性,以及有效性,将业务许可票据以及票据内容关联保存在本地。
在上述的端到端通信认证方法中,还包括以下步骤:步骤g,当业务签约者需要请求业务时,首先查找本地是否保存有证明其有权申请业务的有效的业务许可票据和票据摘要,如果有,则业务签约者利用共享密钥材料以及公开身份标识,自己的私有身份标识参数导出衍生密钥,然后直接向业务提供者发送业务请求,请求消息中携带由衍生密钥加密的业务许可票据的摘要以及一个重放攻击参数,重放攻击参数是随时间变化的参数,用于表示业务许可票据的使用状况,分别设置在业务签约者和业务提供者的本地,与业务许可票据关联保存;以及如果没有,则业务签约者需要先向实体认证中心申请相应的业务许可票据摘要,然后再向业务提供者发送业务请求。
在上述的端到端通信认证方法中,步骤g还包括以下步骤:重放攻击参数是序列号,用于表示业务许可票据的使用次数,其初始值设为零,业务提供者每收到一次包含有业务许可票据摘要的服务请求,都比对收到的序列号是否和本地保存的一致,如果一致则将序列号加一,保存在本地,如果不一致,则返回失败响应。
在上述的端到端通信认证方法中,步骤d包括以下步骤:步骤d1,业务提供者收到业务请求后,根据业务请求者的身份信息在本地查找业务许可票据和与共享密钥相对应的衍生密钥。
在上述的端到端通信认证方法中,步骤d还包括以下步骤:步骤d2,用衍生密钥解密票据摘要,并根据票据摘要和业务许可票据来确认业务请求。
在上述的端到端通信认证方法中,业务是业务签约者将要使用的业务,或者是业务签约者预订的业务。
根据本发明的另一方面,提供了一种端到端通信认证装置,用于实现无线网络的Kerberos模型端到端通信认证,其特征在于包括:认证请求模块,用于使业务签约者向实体认证中心发出认证请求,其中认证请求包含用户信息、以及业务签约者所请求的业务所对应的业务提供者的公开身份标识;认证响应模块,用于使实体认证中心根据认证请求包含的信息,对认证请求做出相应的认证响应;业务请求模块,用于如果认证响应是确认认证请求,则使实体认证中心向业务提供者发出业务请求;业务响应模块,用于使业务提供者对业务请求做出业务响应;以及业务启动模块,用于当业务响应为成功时,使业务签约者与业务提供者之间开始进行相应的业务。
在上述的端到端通信认证装置中,认证响应模块包括:第一认证响应模块,用于使实体认证中心与业务签约者根据运营商策略、业务签约者的签约信息中的认证信息、或无线网络所支持的认证方式协商出一种双方都支持的认证方式。
在上述的端到端通信认证装置中,认证方式包括:AKA认证方式,基于SIM的认证方式,基于CAVE的认证方式。
在上述的端到端通信认证装置中,还包括:第二认证响应模块,用于当认证响应为成功时,使认证中心与业务签约者获得共享密钥材料,并且实体认证中心向业务签约者发送中间业务请求标识、以及共享密钥材料的有效期。
在上述的端到端通信认证装置中,认证响应模块还包括:第三认证响应模块,用于使实体认证中心判断业务签约者是否可以使用业务,如果可用,那么实体认证中心为其生成相应的业务许可票据以及相应的票据摘要作为凭证,凭证证明业务签约者通过认证以及有权使用所述业务,其中,业务许可票据的票据内容包括业务签约者的中间业务请求标识以及衍生密钥。
在上述的端到端通信认证装置中,认证响应模块还包括:第四认证响应模块,用于使实体认证中心将业务许可票据发送到业务提供者,并在认证成功响应中将票据摘要连同公开身份标识加密发送给业务签约者。
在上述的端到端通信认证装置中,还包括:业务许可票据验证模块,用于使业务提供者在收到业务许可票据后,用其与实体认证中心之间的第一共享密钥材料解密业务许可票据,验证票据内容的正确性,以及有效性,将业务许可票据以及票据内容关联保存在本地。
在上述的端到端通信认证装置中,还包括:防重放攻击模块,用于使业务签约者当需要请求业务时,首先查找本地是否保存有证明其有权申请业务的有效的业务许可票据和票据摘要,如果有,则业务签约者利用共享密钥材料以及公开身份标识,自己的私有身份标识参数导出衍生密钥,然后直接向业务提供者发送业务请求,请求消息中携带由衍生密钥加密的业务许可票据的摘要以及一个重放攻击参数,重放攻击参数是随时间变化的参数,用于表示业务许可票据的使用状况,分别设置在业务签约者和业务提供者的本地,与业务许可票据关联保存;以及如果没有,则业务签约者需要先向实体认证中心申请相应的业务许可票据摘要,然后再向业务提供者发送业务请求。
在上述的端到端通信认证装置中,重放攻击参数是序列号,用于表示业务许可票据的使用次数,其初始值设为零,业务提供者每收到一次包含有业务许可票据摘要的服务请求,都比对收到的序列号是否和本地保存的一致,如果一致则将序列号加一,保存在本地,如果不一致,则返回失败响应。
在上述的端到端通信认证装置中,业务响应模块包括:第一业务响应模块,用于使业务提供者在收到业务请求后,根据业务请求者的身份信息在本地查找业务许可票据和与共享密钥相对应的衍生密钥。
在上述的端到端通信认证装置中,业务响应模块还包括:第二业务响应模块,用衍生密钥解密票据摘要,并根据票据摘要和业务许可票据来确认业务请求。
在上述的端到端通信认证装置中,业务是业务签约者将要使用的业务,或者是业务签约者预订的业务。
通过上述技术方案,本发明实现了如下技术效果:
解决了相关技术的Kerberos认证机制中口令攻击的问题,改进后的Kerberos机制能够克服移动网络特有的安全威胁,并能适应移动终端处理能力有限等特征,实现了基于移动网络端到端认证机制与现有成熟认证机制的有机融合,增强了该端到端认证机制的可实施性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1示出了相关技术的无线移动网络中的一种端到端通信认证框架的示意图;
图2示出了相关技术的Kerberos认证模型的方框图;
图3示出了根据本发明的原理的无线网络端到端通信认证方法的流程图;
图4示出了根据本发明的原理的无线网络端到端通信认证装置的方框图;
图5示出了根据本发明的原理的无线网络端到端通信认证方法的流程图;
图6示出了根据本发明的原理的无线网络端到端通信认证装置的方框图;
图7示出了根据本发明的第一实施例的基于移动网络业务通信的Kerberos端到端认证机制;
图8示出了根据本发明的第二实施例的基于移动网络业务通信的Kerberos端到端认证机制;以及
图9示出了根据本发明的另一可选的认证方法的流程图。
具体实施方式
下面将参考附图详细说明本发明。
本具体实施方式中,缩略语和关键术语定义如下:
EAC Entity Authentication Center(实体认证中心)
ESD Entity Subscription Database(实体签约数据库)
ISR-ID Interim Service Request Identifier(中间业务请求标识)
IAC-ID Interim Authentication Check Identifier(中间业务查询标识)
PID Private Identity(私有身份标识)
UID Public Identity(公开身份标识)
SP Service Provider(业务提供者)
SS Service Subscriber(业务签约者)
SSP Service Subscriber and Provider(既是业务签约者又是业务提供者)
共享密钥Ks:由业务实体到EAC完成认证和密钥协商过程生成,是业务实体与EAC之间的共享密钥。
衍生密钥:在端到端业务通信中,为了保护业务签约者和业务提供者间的业务通信而生成的一种共享密钥,是由业务签约者与EAC的共享密钥Ks以及实体的身份信息等导出的。
实体认证中心(EAC):是认证框架中的一个网络元素。其功能是完成认证协商,生成与业务实体间的共享秘密信息,接受认证查询,以及计算衍生密钥等。EAC还应包括检测证书的功能,Kerberos服务器的功能等。
实体签约信息数据库(ESD):包括该实体签约的服务,或该实体提供的服务,或该实体既签约服务又能提供的服务等等,以及该实体支持的认证方式及认证资料等。实体的签约信息应该与实体的私有身份标识一起保存。
业务签约者(SS):他只能申请服务。一般为普通的移动用户。
既是业务签约者又是业务提供者(SSP):可以是普通的移动用户,也可以是第三方的AS(Application Server,应用服务器)
业务提供者(SP):运营商网络的AS或外部网络的SP。
业务实体:业务提供者与业务签约者的统称,包括SS、SSP、SP三种类型。
中间认证请求标识(ISR-ID):实体认证中心为用户(SS/SSP)分配的临时身份标识,该标识是在用户向其它实体请求业务时使用。
中间认证查询标识(IAC-ID):实体认证中心为业务提供者(SP/SSP)分配的临时身份标识,该标识是实体需要向EAC查询业务签约者的认证情况时使用。
私有身份标识(PID):业务实体的真实身份标识,该标识信息属于实体私密信息,只有EAC和ESD有权获得。
公开身份标识(UID):业务实体的公开身份,该标识信息是与其它实体联系的身份标识。同一业务实体提供不同的业务应该对应不同的UID(即UID能够区分出不同的业务)。
Kerberos模型:一种基于可信任第三方的客户端-服务器之间的认证模型,是一种较成熟的认证模型,广泛应用于Internet网络中。
下面参照图3至图6说明本发明的原理,图3示出了根据本发明的原理的无线网络端到端通信认证方法的流程图;图4示出了根据本发明的原理的无线网络端到端通信认证装置的方框图;图5示出了根据本发明的原理的无线网络端到端通信认证方法的流程图;以及图6示出了根据本发明的原理的无线网络端到端通信认证装置的方框图。
针对相关技术用户获得服务需要申请两次票据的问题,本发明提出了一种思想,在用户请求认证时,用户将所申请的业务类型标号也发送给EAC,这样EAC在认证时,同时也对业务请求权限进行认证,这就避免了需要申请两次票据。
具体来说,如图3所示,在图1所示的无线移动网络端到端通信认证框架中,根据本发明的原理的无线网络端到端通信认证方法包括以下步骤:
在步骤S12中,SS向EAC发出互认证请求,携带有(用户ID,用户地址和TGS-ID),并且将对应业务提供者的UID发送给EAC,可选地还可以携带业务的业务类型标号;
在步骤S14中,EAC根据认证请求包含的信息,对互认证请求做出相应的互认证响应,可选地,其与SS根据运营商策略以及SS的签约信息中的认证信息、网络所支持的认证方式协商出一种双方都支持的认证方式,例如AKA(Authentication and Key Agreement)认证方式,基于SIM的认证方式,基于CAVE的认证方式等;
在步骤S16中,如果互认证响应是确认认证请求,则EAC向SP发出业务请求,可选地,其携带证明SS通过认证以及有权使用业务的凭证,可选地,EAC针对每项可用业务为SS生成业务许可票据(SGT),EAC根据SS的用户信息确定是否向SS发送认证成功响应,并根据提供此项业务的业务提供者的UID,直接将票据SGT推送(push)给相应的业务提供者SP,并将业务类别标号以及票据摘要关联推送给SS,SS利用认证成功响应、业务类别标号以及票据摘要关联与SP之间进行业务认证;
在步骤S18中,SP对业务请求做出业务响应;以及
在步骤S20中,当业务认证成功时,SS与SP之间开始进行相应的业务。
具体来说,如图4所示,在图1所示的无线移动网络端到端通信认证框架中,根据本发明的原理的无线网络端到端通信认证装置10包括:
认证请求模块12,用于使SS向EAC发出认证请求,其中认证请求包含用户信息、以及SS所请求的业务所对应的SP的公开身份标识;
认证响应模块14,用于使EAC根据认证请求包含的信息,对认证请求做出相应的认证响应;
业务请求模块16,用于如果认证响应是确认认证请求,则使EAC向SP发出业务请求,可选地,其携带证明SS通过认证以及有权使用业务的凭证;
业务响应模块18,用于使SP对业务请求做出业务响应;以及
业务启动模块20,用于当业务响应为成功时,使SS与SP之间开始进行相应的业务。
另外,针对相关技术不能很好地防止口令猜测式攻击的问题,本发明提出了一种思想,在用户与AS之间通过可以协商的认证方式来代替口令,例如EAC与SS根据运营商策略以及SS的签约信息中的认证信息、网络所支持的认证方式协商出一种双方都支持的认证方式。
另外,针对相关技术当业务请求者是移动终端时,共享密钥和票据在空口中传输容易被截获以及破解的问题,本发明提出了一种思想,EAC直接将票据发送给相应的业务提供者SP,而只将票据摘要发送给用户。
具体来说,如图5所示,在图1所示的无线移动网络端到端通信认证框架中,根据本发明的原理的无线网络端到端通信认证方法包括以下步骤:一种端到端通信认证方法,用于实现无线网络的Kerberos模型端到端通信认证,其特征在于包括以下步骤:
在步骤S202中,SS向EAC发出互认证请求,携带有(用户ID,用户地址和TGS-ID),并且将多项业务的类型标号联并对应业务提供者的UID发送给EAC;
在步骤S204中,EAC与SS根据运营商策略以及SS的签约信息中的认证信息、网络所支持的认证方式协商出一种双方都支持的认证方式,例如AKA(Authentication and Key Agreement)认证方式,基于SIM的认证方式,基于CAVE的认证方式等;
在步骤S206中,EAC针对每项可用业务为SS生成业务许可票据(SGT);
在步骤S208中,EAC根据SS的用户信息确定是否向SS发送认证成功响应,并根据提供此项业务的业务提供者的UID,直接将票据SGT推送(push)给相应的业务提供者SP,并将业务类别标号以及票据摘要关联推送给SS;
在步骤S210中,SS利用认证成功响应、业务类别标号以及票据摘要关联与SP之间进行业务认证;以及
在步骤S212中,SP对业务认证进行响应,当业务认证成功时,SS与SP之间开始进行相应的业务。
具体来说,如图6所示,在图1所示的无线移动网络端到端通信认证框架中,根据本发明的原理的无线网络端到端通信认证装置300包括:
互认证请求模块302,用于使SS向EAC发出互认证请求,携带有(用户ID,用户地址和TGS-ID),并且将多项业务的类型标号联并对应业务提供者的UID发送给EAC;
认证方式协商模块304,用于使EAC与SS根据运营商策略以及SS的签约信息中的认证信息、网络所支持的认证方式协商出一种双方都支持的认证方式;
SGT生成模块306,EAC针对每项可用业务为SS生成业务许可票据(SGT);
互认证响应模块308,用于使EAC根据SS的用户信息确定是否向SS发送认证成功响应,并根据提供此项业务的业务提供者的UID,直接将票据SGT推送(push)给相应的业务提供者SP,并将业务类别标号以及票据摘要关联推送给SS;
业务认证请求模块310,SS利用认证成功响应、业务类别标号以及票据摘要关联与SP之间进行业务认证;以及
业务认证响应模块312,用于使SP对业务认证进行响应,当业务认证成功时,SS与SP之间开始进行相应的业务。
下面将详细说明根据本发明的实施例。
根据本发明的端到端通信认证方法的一个实施例包括以下步骤:
在步骤S302中,在业务签约者SS与实体认证中心EAC互认证时,SS在认证或重认证请求中携带自己将申请的业务的类型标号,以及该项业务的业务提供者的公开身份标识UID,发送给EAC。SS也可以预定制业务,同时申请多项业务的SGT。SS只需将多项业务的类型标号联并对应业务提供者的UID发送给EAC。
在步骤S304中,当SS和EAC互认证成功后,双方生成了共享密钥Ks,并且EAC根据认证或重认证请求中所列业务类型标号逐个确认SS的业务使用权限。权限确认后,EAC针对每项可用业务为SS生成业务许可票据SGT,并根据提供此项业务的业务提供者的UID,直接将票据发送给相应的业务提供者SP。
SGT的内容为{Ksp:SS的ISR-ID:SS的UID:有效期:防重放攻击参数},其中Ksp是EAC为SS生成的保护该项业务通信的衍生密钥,Ksp的生成参数包括Ks以及SP的UID,SS的私有身份标识(例如,IMSI(International Mobile Subscriber Identity,国际移动用户标识))等。
在步骤S306中,SP收到SGT后,用其与EAC的共享密钥Kp解密票据,验证票据内容的正确性,以及有效性,将票据以及票据内容(包括SS的ISR-ID以及Ksp等)关联保存在本地。
在步骤S308中,EAC在认证成功响应中将业务许可票据的摘要连同业务类型标识加密发送给SS。
在步骤S310中,当SS需要请求某项业务时,他首先查找本地是否保存有证明其有权申请此业务的有效的业务许可票据SGT摘要。
如果有,SS利用Ks以及SP的UID,自己的私有身份标识(例如,IMSI)等参数导出衍生密钥Ksp,然后直接向SP发送业务请求,请求消息中携带由Ksp加密的SGT的摘要以及一个重放攻击参数。
该重放攻击参数是一个随时间变化的任何参数。例如,重放攻击参数可以是一个序列号。该序列号表示某SGT的使用次数,分别设置在SS和SP的本地,与SGT关联保存。序列号的初始值设为零,SP每收到一次包含有某SGT摘要的服务请求,都比对收到的序列号是否和本地保存的一致,如果一致将序列号加一,保存在本地,如果不一致,返回失败响应。
如果没有,SS需要先向EAC申请相应的SGT摘要,然后再向SP发送业务请求。
在步骤S312中,SP收到业务请求后,在本地查找相应的SGT以及Ksp,用Ksp解密票据摘要,并验证重放攻击参数以及摘要的正确性,如果无误,证明SS身份合法且有权请求此项服务。
在步骤S314中,SP向SS返回服务请求成功响应,消息中包含由Ksp加密的新鲜的重放攻击参数以及SGT摘要。
在步骤S316中,SS收到成功响应后,解密,检验重放攻击参数的新鲜性以及SGT摘要的正确性。如果无误,则证明SP的身份是合法的并且有权提供此项业务。
注意,在步骤S310-S316中,SS与SP实际上是基于已经共享的衍生密钥Ksp进行双向的互认证。在此过程中二者可以利用衍生密钥以及重放攻击参数等作为参数,采用某种密钥产生算法生成保护本次业务通信的会话密钥Kr-ss-sp,已达到通信业务一次一密的加密效果。
应该注意,在上述方案中,SS在与EAC互认证过程中,可以同时申请其将要使用的业务的SGT或者可以预订制某些业务的SGT;另外,EAC生成SGT后,将其直接发送给相关的SP,也可以间接由SS转发给相关SP;另外,SS在向SP请求业务前,先要查找本地是否保存有相应的SGT摘要。如果有,SS直接向SP发送业务请求并携带此SGT摘要。如果没有,SS首先须向EAC申请SGT,然后再向SP申请该项业务;以及,SS与SP基于衍生密钥Ksp的互认证过程(即业务请求与业务请求响应过程),而且在此过程中双方可以利用Ksp协商生成保护本次通信的会话密钥方法。
下面参照图7来说明根据本发明的第一实施例:SS与EAC互认证时申请SGT。
图7示出了根据本发明的第一实施例的基于移动网络业务通信的Kerberos端到端认证机制。
SS与EAC互认证时申请SGT的过程如下:
在步骤S402中,在业务签约者SS向实体认证中心EAC发送认证或重认证请求中携带自己马上要申请的或经常使用的业务的类型标号,以及提供该项业务的业务提供者的公开身份标识UID等参数发送给EAC。
在步骤S404中,EAC与SS根据运营商策略以及SS的签约信息中的认证信息、网络所支持的认证方式协商出一种双方都支持的认证方式。
在步骤S406中,EAC与SS采用协商出的认证方式进行互认证;
在步骤S408中,当SS和EAC互认证成功后,双方生成了共享密钥Ks,并且EAC根据认证或重认证请求中所列业务类型标号逐个确认SS的业务使用权限。权限确认后,EAC针对每项可用业务为SS生成业务许可票据(SGT)。
SGT的内容为{Ksp:SS的ISR-ID:SS的UID:有效期:防重放攻击参数},其中Ksp是EAC为SS生成的保护该项业务通信的衍生密钥,Ksp的生成参数包括Ks以及SP的UID,SS的私有身份标识(例如,IMSI)等。
在步骤S410中,EAC向SS发送认证成功响应,携带由Ks加密的票据摘要连同业务类型标识以及新分配的中间认证查询标识ISR-ID等信息;同时,根据提供此项业务的业务提供者的UID,直接将票据SGT推送(push)给相应的业务提供者SP。
在步骤S412中,SS收到认证成功响应后,解密获得ISR-ID,并将业务类别标号以及票据摘要关联保存在本地。SP收到SGT后,用其与EAC的共享密钥Kp解密票据,验证票据内容的正确性,以及有效性,将票据以及票据内容(包括SS的ISR-ID以及Ksp等)关联保存在本地。
在步骤S414中,当SS需要请求某项业务时,利用Ks以及SP的UID,自己的私有身份标识(例如,IMSI)等参数导出衍生密钥Ksp,然后直接向SP发送业务请求,请求消息中携带由Ksp加密的ISR-ID,SGT的摘要以及防止重访攻击的序列号,序列号记载了该SGT的使用次数。
在步骤S416中,SP收到业务请求后,根据ISR-ID在本地查找相应的SGT以及Ksp,用Ksp解密票据摘要等,并对以下内容进行确认:解密得到的ISR-ID与明文的是否一致、获得的序列号比本地的序列号是否小一,以及获得的票据摘要与保存的票据的摘要值是否一致,如果无误,证明SS身份合法且有权请求此项服务。SP将本地序列号加一,并保存。
在步骤S418中,SP向SS返回服务请求成功响应,消息中包含由Ksp加密的UID、加一后的序列号以及SGT摘要等。
在步骤S420中,SS收到成功响应后,解密,检验加密内容的正确性。如果无误,则证明SP的身份是合法的并且有权提供此项业务。SS将本地序列号加一。
在步骤S422中,双方开始业务过程。
下面将参照图8来说明根据本发明的第二实施例:SS与EAC互认证后再申请SGT。
图8示出了根据本发明的第二实施例的基于移动网络业务通信的Kerberos端到端认证机制。
SS与EAC互认证后再申请SGT的过程如下:
在步骤S502中,当业务签约者SS需要请求某种业务时,如果它在本地没有保存证明其有权申请此项业务的SGT摘要,则它应当首先向实体认证中心EAC发送业务许可票据请求,消息中携带自己的ISR-ID、所要申请的业务的类型标号,以及提供该项业务的业务提供者的公开身份标识UID等参数。
在步骤S504中,EAC收到票据请求后,根据SS的ISR-ID查找与之关联保存的共享密钥Ks以及SS的私有身份标识(如,IMSI),如果找到有效的Ks证明SS身份合法,然后利用其私有身份标识到实体签约数据库ESD中查找SS的业务签约情况,以确定SS是否有权使用此业务,如果成功,则证明SS有权使用此项业务。否则,返回错误指示。
身份和权限的合法性确认后,EAC为SS生成业务许可票据SGT。SGT的内容为{Ksp:SS的ISR-ID:SS的UID:有效期:防重放攻击参数},其中Ksp是EAC为SS生成的保护该项业务通信的衍生密钥,Ksp的生成参数包括Ks以及SP的UID,SS的私有身份标识(例如,IMSI)等。
在步骤S506中,EAC向SS发送票据请求成功响应,携带由Ks加密的票据摘要等信息。
同时,根据提供此项业务的业务提供者的UID,直接将票据SGT推送给相应的业务提供者SP。
在步骤S508中,SS收到成功响应后,解密并将业务类别标号以及票据摘要关联保存在本地。
SP收到SGT后,用其与EAC的共享密钥Kp解密票据,验证票据内容的正确性,以及有效性,将票据以及票据内容(包括SS的ISR-ID以及Ksp等)关联保存在本地。
在步骤S510中,在步骤S512中,当SS需要请求某项业务时,利用Ks以及SP的UID,自己的私有身份标识(例如,IMSI)等参数导出衍生密钥Ksp,然后直接向SP发送业务请求,请求消息中携带由Ksp加密的ISR-ID,SGT的摘要以及防止重访攻击的序列号,序列号记载了该SGT的使用次数。
在步骤S512中,SP收到业务请求后,根据ISR-ID在本地查找相应的SGT以及Ksp,用Ksp解密票据摘要等,并对以下内容进行确认:解密得到的ISR-ID与明文的是否一致、获得的序列号比本地的序列号小一否以及获得的票据摘要与保存的票据的摘要值是否一致,如果无误,证明SS身份合法且有权请求此项服务。SP将本地序列号加一,并保存。
在步骤S514中,SP向SS返回服务请求成功响应,消息中包含由Ksp加密的UID、加一后的序列号以及SGT摘要等。
在步骤S515中,SS收到成功响应后,解密,检验加密内容的正确性。如果无误,则证明SP的身份是合法的并且有权提供此项业务。SS将本地序列号加一。
在步骤S518中,双方开始业务过程。
图9示出了根据本发明的另一可选的认证方法的流程图。
参见图9,根据本发明的方法也可以包括以下步骤:
在步骤S602中,当业务签约者SS需要获得某项业务时,首先向EAC请求业务许可票据SGT,请求中携带该SS的临时身份标识ISR-ID以及该项服务的提供者SP的公开身份标识UID;
在步骤S604中,EAC查询ISR-ID是否有效来判断该SS是否有权使用此项业务,然后根据SP的UID获得SP的临时身份标识IAC-ID,并根据IAC-ID是否有效判断该SP是否有权提供此项业务。如果身份或权限不合法则通知相应实体到EAC认证身份;如果二者都是合法的,则EAC利用双方的身份信息,以及SS与EAC共享的密钥Ks导出保护业务通信的衍生密钥Ksp。并且EAC会生成一个包含衍生密钥和SS的身份信息和SP身份信息的业务许可票据SGT;
在步骤S606中,EAC用其与SP的共享密钥材料加密SGT,并传输给SS;
在步骤S608中,SS在本地利用相同的参数和密钥算法计算出相同的衍生密钥;
在步骤S610中,SS向SP发送业务请求,携带业务许可票据SGT,以及加密的身份信息和重放攻击参数;
在步骤S612中,SP解密票据SGT,获得衍生密钥,验证SS身份的合法性以及重放攻击参数的正确性;
在步骤S614中,SP返回业务成功响应,包含加密的身份信息以及重放攻击参数;以及
在步骤S616中,SS验证SP的身份信息以及重放攻击参数的正确性,成功后,双方开始业务过程。
通过以上的描述,可以看出本发明实现了如下技术效果:
解决了相关技术的Kerberos认证机制中口令攻击的问题,改进后的Kerberos机制能够克服移动网络特有的安全威胁,并能适应移动终端处理能力有限等特征,实现了基于移动网络端到端认证机制与现有成熟认证机制的有机融合,增强了该端到端认证机制的可实施性。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种端到端通信认证方法,用于实现无线网络的Kerberos模型端到端通信认证,其特征在于包括以下步骤:
步骤a,业务签约者向实体认证中心发出认证请求,其中所述认证请求包含用户信息、以及所述业务签约者所请求的业务所对应的业务提供者的公开身份标识;
步骤b,所述实体认证中心根据所述认证请求包含的信息,对所述认证请求做出相应的认证响应;
步骤c,如果所述认证响应是确认所述认证请求,则所述实体认证中心向所述业务提供者发出业务请求;
步骤d,所述业务提供者对所述业务请求做出业务响应;以及
步骤e,当所述业务响应为成功时,所述业务签约者与所述业务提供者之间开始进行相应的业务。
2.根据权利要求1所述的端到端通信认证方法,其特征在于,所述步骤b包括以下步骤:
步骤b1,所述实体认证中心与所述业务签约者根据运营商策略、所述业务签约者的签约信息中的认证信息、或所述无线网络所支持的认证方式协商出一种双方都支持的认证方式。
3.根据权利要求2所述的端到端通信认证方法,其特征在于,所述认证方式包括:AKA认证方式,基于SIM的认证方式,基于CAVE的认证方式。
4.根据权利要求1所述的端到端通信认证方法,其特征在于,所述步骤b还包括以下步骤:
步骤b2,当所述认证响应为成功时,所述认证中心与所述业务签约者获得共享密钥材料,并且所述实体认证中心向所述业务签约者发送中间业务请求标识、以及所述共享密钥材料的有效期。
5.根据权利要求4所述的端到端通信认证方法,其特征在于,所述步骤b还包括以下步骤:
步骤b3,所述实体认证中心判断所述业务签约者是否可以使用所述业务,如果可用,那么所述实体认证中心为其生成相应的业务许可票据以及相应的票据摘要作为所述凭证,所述凭证证明所述业务签约者通过认证以及有权使用所述业务,其中,所述业务许可票据的票据内容包括所述业务签约者的中间业务请求标识以及衍生密钥。
6.根据权利要求5所述的端到端通信认证方法,其特征在于,所述步骤b还包括以下步骤:
步骤b4,所述实体认证中心将所述业务许可票据发送到所述业务提供者,并在认证成功响应中将所述票据摘要连同所述公开身份标识加密发送给所述业务签约者。
7.根据权利要求6所述的端到端通信认证方法,其特征在于,还包括以下步骤:
步骤f,所述业务提供者收到所述业务许可票据后,用其与所述实体认证中心之间的第一共享密钥材料解密所述业务许可票据,验证所述票据内容的正确性,以及有效性,将所述业务许可票据以及所述票据内容关联保存在本地。
8.根据权利要求7所述的端到端通信认证方法,其特征在于,还包括以下步骤:
步骤g,当所述业务签约者需要请求业务时,首先查找本地是否保存有证明其有权申请所述业务的有效的业务许可票据和所述票据摘要,
如果有,则所述业务签约者利用所述共享密钥材料以及所述公开身份标识,自己的私有身份标识参数导出衍生密钥,然后直接向所述业务提供者发送业务请求,请求消息中携带由衍生密钥加密的所述业务许可票据的摘要以及一个重放攻击参数,所述重放攻击参数是随时间变化的参数,用于表示所述业务许可票据的使用状况,分别设置在所述业务签约者和所述业务提供者的本地,与所述业务许可票据关联保存;以及
如果没有,则所述业务签约者需要先向所述实体认证中心申请相应的所述业务许可票据摘要,然后再向所述业务提供者发送业务请求。
9.根据权利要求8所述的端到端通信认证方法,其特征在于,所述步骤g还包括以下步骤:
所述重放攻击参数是序列号,用于表示所述业务许可票据的使用次数,其初始值设为零,所述业务提供者每收到一次包含有所述业务许可票据摘要的服务请求,都比对收到的序列号是否和本地保存的一致,如果一致则将序列号加一,保存在本地,如果不一致,则返回失败响应。
10.根据权利要求7所述的端到端通信认证方法,其特征在于,所述步骤d包括以下步骤:
步骤d1,所述业务提供者收到所述业务请求后,根据所述业务请求者的身份信息在本地查找所述业务许可票据和与所述共享密钥相对应的衍生密钥。
11.根据权利要求10所述的端到端通信认证方法,其特征在于,所述步骤d还包括以下步骤:
步骤d2,用所述衍生密钥解密所述票据摘要,并根据所述票据摘要和所述业务许可票据来确认所述业务请求。
12.根据权利要求1至11中任一项所述的端到端通信认证方法,其特征在于,所述业务是所述业务签约者将要使用的业务,或者是所述业务签约者预订的业务。
13.一种端到端通信认证装置,用于实现无线网络的Kerberos模型端到端通信认证,其特征在于包括:
认证请求模块,用于使业务签约者向实体认证中心发出认证请求,其中所述认证请求包含用户信息、以及所述业务签约者所请求的业务所对应的业务提供者的公开身份标识;
认证响应模块,用于使所述实体认证中心根据所述认证请求包含的信息,对所述认证请求做出相应的认证响应;
业务请求模块,用于如果所述认证响应是确认所述认证请求,则使所述实体认证中心向所述业务提供者发出业务请求;
业务响应模块,用于使所述业务提供者对所述业务请求做出业务响应;以及
业务启动模块,用于当所述业务响应为成功时,使所述业务签约者与所述业务提供者之间开始进行相应的业务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100749326A CN101051898B (zh) | 2006-04-05 | 2006-04-05 | 无线网络端到端通信认证方法及其装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100749326A CN101051898B (zh) | 2006-04-05 | 2006-04-05 | 无线网络端到端通信认证方法及其装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101051898A true CN101051898A (zh) | 2007-10-10 |
| CN101051898B CN101051898B (zh) | 2010-04-21 |
Family
ID=38783114
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100749326A Active CN101051898B (zh) | 2006-04-05 | 2006-04-05 | 无线网络端到端通信认证方法及其装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101051898B (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025704A (zh) * | 2009-09-14 | 2011-04-20 | 中兴通讯股份有限公司 | 一种可重用票据使用方法及终端 |
| CN102457482A (zh) * | 2010-10-19 | 2012-05-16 | 成都市华为赛门铁克科技有限公司 | 一种认证方法、装置和系统 |
| CN102624702A (zh) * | 2011-02-01 | 2012-08-01 | 微软公司 | 自适应网络通信技术 |
| US8386784B2 (en) | 2008-05-29 | 2013-02-26 | International Business Machines Corporation | Apparatus and method for securely submitting and processing a request |
| CN103001936A (zh) * | 2011-09-16 | 2013-03-27 | 北京新媒传信科技有限公司 | 一种第三方应用接口授权方法和系统 |
| CN103200162A (zh) * | 2012-01-04 | 2013-07-10 | 株式会社野村综合研究所 | 服务器系统、服务提供服务器及控制方法 |
| WO2014183392A1 (zh) * | 2013-05-14 | 2014-11-20 | 北大方正集团有限公司 | 分布式环境下的安全通信认证方法及系统 |
| CN104468074A (zh) * | 2013-09-18 | 2015-03-25 | 北京三星通信技术研究有限公司 | 应用程序之间认证的方法及设备 |
| CN105577618A (zh) * | 2014-10-15 | 2016-05-11 | 中兴通讯股份有限公司 | 认证方法及装置 |
| CN106685906A (zh) * | 2016-06-29 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 鉴权处理方法、节点及系统 |
| CN106780782A (zh) * | 2016-12-21 | 2017-05-31 | 北京红马传媒文化发展有限公司 | 基于服务器推荐的验票方案进行验票的方法、系统及设备 |
| CN107261502A (zh) * | 2017-05-10 | 2017-10-20 | 珠海金山网络游戏科技有限公司 | 一种基于网络协议的在线游戏反外挂系统及方法 |
| WO2018099407A1 (zh) * | 2016-11-29 | 2018-06-07 | 中兴通讯股份有限公司 | 账户认证登录方法及装置 |
| US10313399B2 (en) | 2012-02-29 | 2019-06-04 | Microsoft Technology Licensing, Llc | Dynamic selection of security protocol |
| JP2021040330A (ja) * | 2016-10-27 | 2021-03-11 | 株式会社デンソー | デバイスを認証および認可するためのシステムおよび方法 |
| CN112533195A (zh) * | 2019-09-19 | 2021-03-19 | 华为技术有限公司 | 一种设备认证方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7024692B1 (en) * | 2000-01-21 | 2006-04-04 | Unisys Corporation | Non pre-authenticated kerberos logon via asynchronous message mechanism |
| US6993652B2 (en) * | 2001-10-05 | 2006-01-31 | General Instrument Corporation | Method and system for providing client privacy when requesting content from a public server |
| US7231663B2 (en) * | 2002-02-04 | 2007-06-12 | General Instrument Corporation | System and method for providing key management protocol with client verification of authorization |
| US7549048B2 (en) * | 2004-03-19 | 2009-06-16 | Microsoft Corporation | Efficient and secure authentication of computing systems |
-
2006
- 2006-04-05 CN CN2006100749326A patent/CN101051898B/zh active Active
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8386784B2 (en) | 2008-05-29 | 2013-02-26 | International Business Machines Corporation | Apparatus and method for securely submitting and processing a request |
| CN102025704A (zh) * | 2009-09-14 | 2011-04-20 | 中兴通讯股份有限公司 | 一种可重用票据使用方法及终端 |
| CN102457482A (zh) * | 2010-10-19 | 2012-05-16 | 成都市华为赛门铁克科技有限公司 | 一种认证方法、装置和系统 |
| CN102457482B (zh) * | 2010-10-19 | 2015-06-17 | 华为数字技术(成都)有限公司 | 一种认证方法、装置和系统 |
| CN102624702A (zh) * | 2011-02-01 | 2012-08-01 | 微软公司 | 自适应网络通信技术 |
| US8769000B2 (en) | 2011-02-01 | 2014-07-01 | Microsoft Corporation | Adaptive network communication techniques |
| CN102624702B (zh) * | 2011-02-01 | 2015-08-12 | 微软技术许可有限责任公司 | 自适应网络通信技术 |
| CN103001936A (zh) * | 2011-09-16 | 2013-03-27 | 北京新媒传信科技有限公司 | 一种第三方应用接口授权方法和系统 |
| CN103001936B (zh) * | 2011-09-16 | 2016-05-25 | 北京新媒传信科技有限公司 | 一种第三方应用接口授权方法和系统 |
| CN103200162B (zh) * | 2012-01-04 | 2016-04-27 | 株式会社野村综合研究所 | 服务器系统、服务提供服务器及控制方法 |
| CN103200162A (zh) * | 2012-01-04 | 2013-07-10 | 株式会社野村综合研究所 | 服务器系统、服务提供服务器及控制方法 |
| US10313399B2 (en) | 2012-02-29 | 2019-06-04 | Microsoft Technology Licensing, Llc | Dynamic selection of security protocol |
| WO2014183392A1 (zh) * | 2013-05-14 | 2014-11-20 | 北大方正集团有限公司 | 分布式环境下的安全通信认证方法及系统 |
| CN104468074A (zh) * | 2013-09-18 | 2015-03-25 | 北京三星通信技术研究有限公司 | 应用程序之间认证的方法及设备 |
| CN105577618A (zh) * | 2014-10-15 | 2016-05-11 | 中兴通讯股份有限公司 | 认证方法及装置 |
| CN106685906A (zh) * | 2016-06-29 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 鉴权处理方法、节点及系统 |
| JP2021040330A (ja) * | 2016-10-27 | 2021-03-11 | 株式会社デンソー | デバイスを認証および認可するためのシステムおよび方法 |
| US11895247B2 (en) | 2016-10-27 | 2024-02-06 | Denso Corporation | System and method for authenticating and authorizing devices |
| WO2018099407A1 (zh) * | 2016-11-29 | 2018-06-07 | 中兴通讯股份有限公司 | 账户认证登录方法及装置 |
| CN106780782A (zh) * | 2016-12-21 | 2017-05-31 | 北京红马传媒文化发展有限公司 | 基于服务器推荐的验票方案进行验票的方法、系统及设备 |
| CN106780782B (zh) * | 2016-12-21 | 2019-07-02 | 北京红马传媒文化发展有限公司 | 基于服务器推荐的验票方案进行验票的方法、系统及设备 |
| CN107261502A (zh) * | 2017-05-10 | 2017-10-20 | 珠海金山网络游戏科技有限公司 | 一种基于网络协议的在线游戏反外挂系统及方法 |
| CN112533195A (zh) * | 2019-09-19 | 2021-03-19 | 华为技术有限公司 | 一种设备认证方法及装置 |
| US11392685B2 (en) | 2019-09-19 | 2022-07-19 | Huawei Technologies Co., Ltd. | Device authentication method and apparatus |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101051898B (zh) | 2010-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101051898A (zh) | 无线网络端到端通信认证方法及其装置 | |
| CN1701561A (zh) | 基于地址的验证系统及其装置和程序 | |
| CN1681238A (zh) | 用于加密通信的密钥分配方法及系统 | |
| CN1751533A (zh) | 在移动无线电系统中形成和分配加密密钥的方法和移动无线电系统 | |
| CN1631000A (zh) | 因特网上用于安全内容递送的密钥管理协议与认证系统 | |
| CN1901448A (zh) | 通信网络中接入认证的系统及实现方法 | |
| CN1315268C (zh) | 一种验证用户合法性的方法 | |
| CN1531245A (zh) | 服务器、终端控制设备以及终端鉴权方法 | |
| CN1689367A (zh) | 安全装置的安全和保密性增强 | |
| CN1268088C (zh) | 基于pki的vpn密钥交换的实现方法 | |
| CN1104118C (zh) | 计算机支持的在两个计算机之间的密码交换方法 | |
| CN1906883A (zh) | 实现基于无状态服务器的预共享私密 | |
| CN1703001A (zh) | 程序、通信设备、数据处理方法及通信系统 | |
| CN1898624A (zh) | 在使用授权证书时维护私密性 | |
| CN1659922A (zh) | 用于询问-应答用户鉴权的方法和系统 | |
| CN1788263A (zh) | 登录系统和方法 | |
| CN1716953A (zh) | 会话初始协议认证的方法 | |
| CN1729645A (zh) | 保密通信 | |
| CN1615632A (zh) | 用于支持有线和无线客户端和服务器端认证的方法的机制 | |
| CN1859729A (zh) | 一种鉴权方法及相应的信息传递方法 | |
| CN1596522A (zh) | 加密装置、解密装置、密钥生成装置、版权保护系统和密码通信装置 | |
| CN1921384A (zh) | 一种公钥基础设施系统、局部安全设备及运行方法 | |
| CN1708942A (zh) | 设备特定安全性数据的安全实现及利用 | |
| CN1878092A (zh) | 域管理系统、建立本地域的方法和获取本地域许可的方法 | |
| CN101039182A (zh) | 认证系统及用户标识证书发放方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |