CN101183939B - 基于多重认证的重授权方法 - Google Patents
基于多重认证的重授权方法 Download PDFInfo
- Publication number
- CN101183939B CN101183939B CN2006101387267A CN200610138726A CN101183939B CN 101183939 B CN101183939 B CN 101183939B CN 2006101387267 A CN2006101387267 A CN 2006101387267A CN 200610138726 A CN200610138726 A CN 200610138726A CN 101183939 B CN101183939 B CN 101183939B
- Authority
- CN
- China
- Prior art keywords
- authentication
- authorization
- master key
- key
- user side
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种基于多重认证的重授权方法,涉及认证授权方法,为解决现有认证授权方式造成系统资源的大量消耗的问题而发明。本发明通过用户端与网络端的n重认证完成后,如果任意一个单认证过程协商出的主密钥过期,则发起重授权过程;所述n为自然数;执行所述重授权过程;所述重授权过程完成后,用户端与网络端协商出新的主密钥和其生命期,旧的主密钥失效,新的主密钥被激活;用户端和网络端根据新的主密钥重新计算授权密钥,旧的授权密钥失效,新的授权密钥将被激活。使主密钥过期的认证过程和其主密钥都能得到更新,每次重授权过程都不必完成整个n重认证过程,因此大大减少了对系统资源的消耗。
Description
技术领域
本发明涉及通信系统的安全领域的授权方法,尤其涉及基于多重认证的重授权方法。
背景技术
在固定网络、无线通信和移动通信系统中,为了保证通信系统的可运营、可管理和可计费,防止非授权的用户接入网络,通信系统必须对接入的设备和用户进行认证授权,身份认证是授权的基础,在认证过程中,接入设备和用户向通信系统提供自己的身份,只有通过认证的设备和用户才能接入系统。
认证按其认证的层次可以分为单重认证和多重认证。在单重认证中,认证双方只需要进行一次认证。在多重认证中,认证双方先后进行多次认证,每次认证可能分别基于不同的目的,针对不同的对象。例如在无线城域网中,设备进入网络时,网络端通常要认证接入用户端的设备和用户,只有在接入用户端使用合法设备并具备合法用户身份的情况下,才允许其接入网络,使用网络资源,访问网络提供服务。
对于一个n(n>1)重认证,首先用户端与网络端采用单重认证方法实现第一重认证,认证成功后协商出第一个共享的主密钥PK1和其生命期PK1_lifetime。其次,用户端与网络端完成后续的n-1重认证过程。后续的n-1重认证中,有些单重认证完成后协商出共享的主密钥,有些单重认证完成后不协商出共享的主密钥。经过n重认证后,用户端与网络端根据n重认证过程中协商出来的主密钥按照一定的策略推演出共享的授权密钥AK。
在多重认证过程中,由于每重认证过程和目的都不同,每次认证过程协商出的主密钥的生命期相差很大,并且AK生命期的确定方式与重授权过程有着直接的联系,因此目前对于AK生命期的确定方式与重授权过程有很多不同的见解:
一种是AK的生命期是n重认证过程协商出来的这些主密钥生命期的最小值。AK生命期到期后,重授权过程只需要完成最后一重单认证过程,不需要完成整个n重认证。这种重授权过程忽略了前n-1重认证过程,如果用户的权限发生改变或者主密钥被泄漏,需要执行前n-1重认证过程中的某些单重认证过程,则无法利用重授权过程来完成。
另一种是AK的生命期是由管理员在n重认证之前就预先配置的,与协商出来的这些主密钥的生命期无关,重授权过程需要完成整个n重认证的过程。这种做法不管n重认证中任意一重单认证过程的主密钥是否过期,在重授权过程中都必须执行,因此造成系统资源的消耗。
发明内容
为了克服上述问题,本发明的目的在于提出一种节省系统资源消耗的基于多重认证的重授权方法。
为达到上述目的,本发明一种基于多重认证的重授权方法,包括如下步骤:
(1)用户端与网络端的n重认证完成后,如果任意一个单认证过程协商出的主密钥过期,则发起重授权过程;所述n为大于1的自然数;
(2)执行所述重授权过程;
(3)所述重授权过程完成后,用户端和网络端协商出新的主密钥和其生命期,旧的主密钥失效,新的主密钥被激活;
(4)用户端和网络端根据新的主密钥重新计算授权密钥,旧的授权密钥失效,新的授权密钥将被激活;
所述步骤(2)具体为:执行所述主密钥过期的单重认证对应的重授权过程;或者,
执行从所述主密钥过期的单重认证到第n重认证的每一重认证对应的重授权过程。
进一步地,所述的重授权过程由用户端发起或由网络端发起。
进一步地,所述的用户端为移动工作站,所述的网络端为基站或认证授权服务器。
本发明通过在n重认证过程中,任意一单重认证的主密钥过期,就会发起该主密钥过期的单重认证的重授权过程,或者从该主密钥过期的单重认证到第n重认证的每一重认证的重授权过程,从而完成主密钥过期的认证过程。使每个主密钥过期后其单重认证过程和主密钥都得到更新,并且由于重授权过程不需要每次都完成整个n重认证过程,因此大大减少了对系统资源的消耗。
附图说明
图1是多重认证的重授权过程中完成单认证的流程图;
图2是多重认证的重授权过程中完成多重认证的流程图;
图3是本发明方法在IEEE802.16e中具体实施的重授权过程的流程图。
具体实施方式
下面结合附图对本发明的方法做进一步详细的说明:本发明主要通过用户端和网络端分别独立地管理n重认证过程中协商出来的主密钥生命期,如果这些主密钥中任意一个主密钥的生命期到期后,就发起重授权。使每个主密钥过期后其单重认证过程和主密钥都得到更新,且由于重授权过程不需要每次都完成整个n重认证过程,因此大大减少了对系统资源的消耗。
具体的重授权过程有两种方法,图1所示的是n重认证中任意一单认证过程的主密钥过期,发起该单重认证的重授权过程流程图:
该种重授权过程包括如下步骤:
(11)用户端与网络端的n重认证完成后,如果任意一个单认证过程(例如:第m重认证)协商出的主密钥(PKm)过期,就发起重授权(可以由用户端发起,也可以由网络端发起),这里的n为自然数。
(12)执行上述主密钥PKm对应的第m重认证过程对应的重授权过程,重授权过程完成这个过期的主密钥(PKm)所对应的单重认证。
(13)重授权过程完成后,用户端和网络端协商出新的主密钥和其生命期,旧的PKm失效,新的PKm被激活。
(14)用户端和网络端根据新的PKm重新计算授权密钥AK,旧的授权密钥AK失效,新的授权密钥AK将被激活。
图2所示的在n重认证过程中,任意一单重认证的主密钥过期,发起从该主密钥过期的单重认证到第n重认证的每一重认证过程的重授权过程的流程,该图中的虚线部分表示的是单认证过程中可能协商出共享的主密钥,也有可能不协商出共享的主密钥,这与实际的单认证方式有关,该种重授权方法包括如下步骤:
(21)用户端与网络端的n重认证完成后,如果任意一个单认证过程协商出的主密钥(若第m重认证的主密钥PKm)过期,就发起重授权(可以由用户端发起,也可以由网络端发起)这里的n为自然数。
(22)执行从第m重认证到第n重认证的每一重认证的重授权过程,重授权过程主要完成第m重认证到第n重的多重认证过程。
(23)重授权过程完成后,用户端与网络端协商出新的主密钥和其生命期,旧的主密钥失效,新的主密钥被激活。
(24)用户端与网络端根据新的主密钥重新计算出授权密钥AK,旧的授权密钥AK失效,新的授权密钥AK将被激活。
下面结合附图3对本发明的重授权过程在IEEE802.16e中实施做进一步详细描述:
该图是本发明的方法在无线通讯系统中具体应用的一个实例,图中存在三类实体:MSS(移动工作站)、BS(基站)和ASA Server(认证授权服务器)。其中BS完成接入功能,ASA完成对MSS的认证。MSS属于用户端,BS和ASA属于网络端。在现有的IEEE 802.6e的标准中,存在两种基本的认证机制,一种是RSA认证,另一种是EAP认证。
RSA认证主要是网络端针对用户端设备的认证,认证成功后,用户端与网络端协商出一个共享的预主授权密钥pre-PAK(pre-Primary Authorization Key)。用户端与网络端根据pre-PAK采用一定的策略推演出共享的主授权密钥PAK(Primary Authorization Key)和EIK(EAP Integrity Key)。EIK可以向后续的EAP认证过程提供完整性保护。
EAP认证主要是网络端针对用户端的用户身份进行认证。现有标准可以支持多种EAP认证方式,有些EAP认证过程完成后双方不协商出共享的主密钥,有些EAP认证过程完成后双方协商出一个共享的PMK(Pairwise Master Key)。
用户端与网络端完成上述RSA认证和EAP认证两重认证过程后,双方根据协商出来的主密钥采用一定的策略推演出授权密钥AK。
图3中所示的是用户端与网络端之间的多重认证过程后,若用户和网络端在RSA认证中,双方协商出的pre-PAK过期,则要发起针对该RSA认证的重授权过程:
具体的重授权过程如下:
(31)用户端与网络端完成RSA认证和EAP认证两重认证后,如果任意一个主密钥(例如:pre-PAK)过期,则发起重授权。
(32)执行重授权过程。重授权过程主要是完成此过期的主密钥pre-PAK所对应的单重认证过程,也就是完成RSA认证过程。
(33)重授权过程完成后,双方协商出新的pre-PAK和其生命期,并根据pre-PAK按照一定的策略推演出PAK和EIK。同时,旧的pre-PAK失效,新的pre-PAK被激活。
(34)双方根据新的PAK重新计算出授权密钥AK。同时,旧的授权密钥AK失效,新的授权密钥AK被激活。
上述过程完成后,如果PMK过期,则发起新的一次重授权过程。重授权过程主要是完成EAP认证,此认证过程受到EIK(由新的激活的pre-PAK推演而成)的完整性保护。
上述附图1所示的重授权过程只完成这个过期的主密钥所对应的单重认证过程,重授权过程的效率高。图2所示的重授权过程不仅需要完成这个过期的主密钥所对应的单重认证过程还需要完成后续的认证过程,因此重授权过程的效率不高,但是其安全系数比图1所示的方法要高。这两种方式都可以使每个主密钥过期后其单重认证过程和主密钥都得到更新,并且由于重授权过程不需要每次都完成整个n重认证过程,因此大大减少了对系统资源的消耗。
Claims (3)
1.一种基于多重认证的重授权方法,其特征在于,包括如下步骤:
(1)用户端与网络端的n重认证完成后,如果任意一个单认证过程协商出的主密钥过期,则发起重授权过程;所述n为大于1的自然数;
(2)执行所述重授权过程;
(3)所述重授权过程完成后,用户端与网络端协商出新的主密钥和其生命期,旧的主密钥失效,新的主密钥被激活;
(4)用户端和网络端根据新的主密钥重新计算授权密钥,旧的授权密钥失效,新的授权密钥将被激活;
所述步骤(2)具体为:执行所述主密钥过期的单重认证对应的重授权过程;或者,
执行从所述主密钥过期的单重认证到第n重认证的每一重认证对应的重授权过程。
2.根据权利要求1所述的基于多重认证的重授权方法,其特征在于,所述的重授权过程由用户端发起或由网络端发起。
3.根据权利要求2所述的基于多重认证的重授权方法,其特征在于,所述的用户端为移动工作站,所述的网络端为基站或认证授权服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101387267A CN101183939B (zh) | 2006-11-14 | 2006-11-14 | 基于多重认证的重授权方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101387267A CN101183939B (zh) | 2006-11-14 | 2006-11-14 | 基于多重认证的重授权方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101183939A CN101183939A (zh) | 2008-05-21 |
| CN101183939B true CN101183939B (zh) | 2010-06-09 |
Family
ID=39449037
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101387267A Active CN101183939B (zh) | 2006-11-14 | 2006-11-14 | 基于多重认证的重授权方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101183939B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102014382B (zh) * | 2009-09-04 | 2015-08-12 | 中兴通讯股份有限公司 | 一种会话密钥的更新方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1698308A (zh) * | 2002-10-03 | 2005-11-16 | 诺基亚有限公司 | 允许在蜂窝通信系统中重新认证的方法和装置 |
| CN1725685A (zh) * | 2004-07-22 | 2006-01-25 | 中兴通讯股份有限公司 | 无线局域网移动终端的安全重认证方法 |
| CN1725853A (zh) * | 2004-07-21 | 2006-01-25 | 华为技术有限公司 | 一种获取用户在线信息的实现方法 |
| CN1735023A (zh) * | 2004-08-10 | 2006-02-15 | 华为技术有限公司 | 一种进行重鉴权及重鉴权事件和触发事件的处理方法 |
| CN1777094A (zh) * | 2004-11-15 | 2006-05-24 | 中兴通讯股份有限公司 | 通用引导体系中密钥重协商的触发方法 |
-
2006
- 2006-11-14 CN CN2006101387267A patent/CN101183939B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1698308A (zh) * | 2002-10-03 | 2005-11-16 | 诺基亚有限公司 | 允许在蜂窝通信系统中重新认证的方法和装置 |
| CN1725853A (zh) * | 2004-07-21 | 2006-01-25 | 华为技术有限公司 | 一种获取用户在线信息的实现方法 |
| CN1725685A (zh) * | 2004-07-22 | 2006-01-25 | 中兴通讯股份有限公司 | 无线局域网移动终端的安全重认证方法 |
| CN1735023A (zh) * | 2004-08-10 | 2006-02-15 | 华为技术有限公司 | 一种进行重鉴权及重鉴权事件和触发事件的处理方法 |
| CN1777094A (zh) * | 2004-11-15 | 2006-05-24 | 中兴通讯股份有限公司 | 通用引导体系中密钥重协商的触发方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101183939A (zh) | 2008-05-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA3005598C (en) | Methods and systems for conjugated authentication and authorization | |
| CN106471514B (zh) | 安全无线充电 | |
| CN102984252B (zh) | 一种基于动态跨域安全令牌的云资源访问控制方法 | |
| CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
| CN108260102B (zh) | 基于代理签名的lte-r车-地通信非接入层认证方法 | |
| CN101951603A (zh) | 一种无线局域网接入控制方法及系统 | |
| CN102111766A (zh) | 网络接入方法、装置及系统 | |
| CN101777978A (zh) | 一种基于无线终端的数字证书申请方法、系统及无线终端 | |
| US11057195B2 (en) | Method and system for providing security for the first time a mobile device makes contact with a device | |
| CN103873473A (zh) | 充电站对电动汽车匿名群组认证方法 | |
| CN102281143B (zh) | 智能卡远程解锁系统 | |
| CN100456884C (zh) | 无线通信系统中的重认证方法 | |
| CN108932771A (zh) | 一种远程临时授权、开锁方法及系统 | |
| CN102833066A (zh) | 一种三方认证方法、装置及支持双向认证的智能卡 | |
| CN105050086A (zh) | 一种终端登录Wifi热点的方法 | |
| CN105261097A (zh) | 一种智能门锁控制方法及控制系统 | |
| CN101282215A (zh) | 证书鉴别方法和设备 | |
| CN110807854B (zh) | 一种开锁策略配置方法及设备 | |
| Vaidya et al. | Efficient authentication mechanism for PEV charging infrastructure | |
| KR101509079B1 (ko) | 스마트카드 및 동적 id 기반 전기 자동차 사용자 인증 기법 | |
| CN101183939B (zh) | 基于多重认证的重授权方法 | |
| CN101282220A (zh) | 一种增强密钥使用安全性的信息安全装置及其实现方法 | |
| CN101022330A (zh) | 提高密钥管理授权消息安全性的方法和模块 | |
| CN110942538A (zh) | 一种带有加密算法的远程授权的实时蓝牙电子密钥 | |
| CN114615309B (zh) | 客户端接入控制方法、装置、系统、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |