CN101243642A - 同时执行多个基于预共享密钥的认证的方法和执行该方法的设备 - Google Patents
同时执行多个基于预共享密钥的认证的方法和执行该方法的设备 Download PDFInfo
- Publication number
- CN101243642A CN101243642A CNA2006800301869A CN200680030186A CN101243642A CN 101243642 A CN101243642 A CN 101243642A CN A2006800301869 A CNA2006800301869 A CN A2006800301869A CN 200680030186 A CN200680030186 A CN 200680030186A CN 101243642 A CN101243642 A CN 101243642A
- Authority
- CN
- China
- Prior art keywords
- psk
- user identifier
- combination
- terminal
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/40—User authentication by quorum, i.e. whereby two or more security principals are required
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
描述了一种在单个过程中执行多个基于预共享密钥(PSK)的认证的方法和设备,其中,所述多个基于PSK的认证通过使用包括用户标识符和PSK的多个凭证来在终端中产生结合的凭证,并通过使用结合的凭证在认证服务器中对终端进行认证。
Description
技术领域
本发明涉及一种在单个过程中执行多个基于预共享密钥(PSK)认证的方法和用于执行该方法的系统。更具体地讲,本发明涉及一种在终端中将用户标识符和PSK相结合,并通过使用结合的用户标识符和PSK在认证服务器中对终端进行认证的方法,以及用于执行该方法的系统。
背景技术
认证系统表示可通过使用安全方法验证经过网络访问计算机的用户是注册用户还是授权用户。认证系统对开放式网络来说尤其重要。在这种情况下,认证系统的密钥部分是被称作掌管用户的名称、密码等的认证服务器的软件。认证服务器通过使用对服务程序进行加密的认证协议来验证用户本身是授权用户。认证系统的一个示例可包括作为美国的Xerox公司的Xerox网络系统(XNS)的认证服务。直到在麻省理工学院(MIT)基于Athena项目开发了Kerberos,这种认证系统才被包括在UNIX中。
每当执行认证系统的认证处理时,认证处理引起一定的等待时间。作为示例,对简单的密码进行加密并发送加密的密码的挑战握手认证协议(CHAP)需要移动装置和本地域之间的一个双程(roundtrip)。这样,对每个认证,引起一个双程的等待时间。
图1是示出根据传统技术的用于两个认证的等待时间的示图。具体地讲,在图1中,示图示出移动装置101和认证服务器102之间的认证请求和认证处理,以及由该处理引起的等待时间。
参照图1,在步骤103,移动装置101请求认证服务器102进行第一认证。直到在步骤S104中执行了根据该请求的认证为止,在步骤S105中引起第一等待时间。在进行了认证之后,移动装置101在步骤S106中请求认证服务器102进行第二认证。直到在步骤S107中执行了根据该请求的认证为止,在步骤S108中引起第二等待时间。
如上所述,当移动装置分别请求至少两个认证(例如,装置认证和订购认证)时,引起两个网络登录等待时间。引起的等待时间是用于实现无线终端的无缝切换的问题。
具体地讲,在根据传统技术的认证方法中,在无线终端访问期望的服务之前需要发送的多个独立的认证引起通过将每个认证的等待时间和认证的数量相乘而产生的等待时间。因此,当与基站进行通信时,不会规律地产生切换。
因此,需要一种在单个过程中执行认证以至少减少等待时间的改进的设备和方法。
发明内容
本发明示例性实施例的一方面至少解决上述问题和/或缺点,并至少提供如下所述的优点。因此,本发明示例性实施例的一方面在于提供一种在单个过程中执行多个基于预共享密钥(PSK)的认证的方法和执行该方法的系统。
本发明示例性实施例的一方面还提供了一种基于PSK的认证方法,所述方法可经过单个过程处理多个认证,从而将访问服务所需的等待时间减少到用于一个认证的等待时间。
本发明示例性实施例的另一方面还提供了一种基于PSK认证方法,所述方法可在等待时间利用现有认证协议,而不利用新认证协议。
根据本发明示例性实施例的一方面,提供了一种使用单个处理执行多个基于预共享密钥(PSK)的认证的方法。所述方法包括:通过使用多个凭证在终端中产生结合的凭证,所述凭证包括用户标识符和PSK;通过使用结合的凭证在认证服务器中对终端进行认证。
根据本发明示例性实施例的另一方面,产生结合的凭证的步骤包括:通过连续地将用户标识符相结合来产生结合的用户标识符;通过连续地将PSK相结合来产生结合的PSK;产生包括结合的用户标识符和结合的PSK的结合的凭证。
根据本发明示例性实施例的另一方面,结合的用户标识符和结合的PSK以相同的次序分别被包括在凭证中包括的用户标识符和PSK。
根据本发明示例性实施例的另一方面,当认证服务器的处理已经访问了所有的PSK时,执行PSK的产生处理。
根据本发明示例性实施例的另一方面,提供了一种在终端中执行基于PSK的认证的方法。所述方法包括:从认证服务器接收预定挑战代码;基于挑战代码和N个PSK来产生响应代码;将响应代码发送到认证服务器。
根据本发明的另一方面,提供了一种在认证服务器中执行基于PSK的认证的方法。所述方法包括:将预定挑战代码发送到终端;基于挑战代码和N个PSK来产生第一响应代码;从终端接收第二响应代码;将第一响应代码和第二响应代码相比较;当第一响应代码和第二响应代码相同时,对终端进行认征。
通过下面结合附图对本发明的示例性实施例的详细描述中,本发明的其他目的、优点和显著特点对本领域的技术人员来说将会更清楚。
附图说明
通过下面结合附图的详细描述,本发明特定示例性实施例的上述和其他目的、特征和优点将会更清楚,其中:
图1是示出根据传统技术的用于两个认证的等待时间的示图;
图2是示出根据本发明示例性实施例的用于多个认证的等待时间的示图;
图3是示出根据本发明示例性实施例的经过单个过程执行多个基于PSK的认证的方法的流程图;
图4是示出根据本发明另一示例性实施例的在终端中执行基于PSK的认证的方法的流程图;
图5是示出根据本发明另一示例性实施例的在认证服务器中执行基于PSK的认证的方法的流程图;
图6是示出根据本发明示例性实施例的在执行基于PSK的认证的终端和认证服务器之间执行基于PSK的认证的方法的流程图;
图7是根据本发明另一示例性实施例的经过单个过程执行多个基于PSK认证的系统的内部结构的框图;
图8是示出根据本发明另一示例性实施例的执行基于PSK的认证的终端的内部结构的框图。
贯穿附图,相同的标号将被理解为表示相同的部件、特征和结构。
具体实施方式
提供在描述中定义的内容(比如详细的结构和部件)以有助于对本发明实施例的全面理解。因此,本领域的普通技术人员将认识到,在不脱离本发明的范围和精神的情况下,可以对这里描述的实施例进行各种改变和修改。此外,为了清楚和简明,已知功能和构造的描述将被省略。
在本说明书中使用的终端包括移动通信装置(比如个人数字蜂窝(PDC)电话、个人通信服务(PCS)电话、个人手提电话系统(PHS)电话、码分多址(CDMA)-2000(1X、3X)电话、宽带CDMA电话、双带/双模式电话、用于全球移动通信系统(GSM)电话、移动宽带系统(MBS)电话、数字多媒体广播(DMB)电话、智能电话和蜂窝电话)、便携式终端(比如个人数字助手(PDA)、手持PC、笔记本PC、膝上计算机、无线宽带互联网(WiBro)终端和MP3播放器)、以及各种类型的基于手持的无线通信装置,所述无线通信装置包括提供国际漫游服务和扩展的移动通信服务的国际移动电信(IMT)-2000。此外,所述终端可包括预定的通信模块(比如CDMA模块、蓝牙模块、红外数据协会(IrDA)模块、无线/有线LAN卡、和设置有能够经过全球定位系统(GPS)跟踪位置的GPS芯片的无线通信装置)。此外,终端可包括能够播放多媒体并执行特定计算操作的微处理器。
此外,这里所指的“对终端进行认证”或“执行终端的认证”实际上与对需要经过终端认证的多个用户标识符进行认证相同。
下面,将参照附图来描述本发明的实施例。
图2是根据本发明示例性实施例的解释用于多个认证的等待时间的示图。图2示出了移动装置201和认证服务器202之间的认证请求和认证处理,以及由该处理引起的等待时间。
参照图2,在步骤203,移动装置201通过将进行多个认证所需的多个用户标识符和预共享密钥(PSK)相结合产生结合的用户标识符和结合的PSK,将结合的用户标识符和结合的PSK发送到认证服务器202,并请求认证服务器202进行多个认证。具体地讲,可在单个请求过程中执行对多个认证的请求。
在步骤204,认证服务器202响应于用于多个认证的请求经过单个过程对移动装置201进行认证。因此,在步骤S205,引起只与一个认证的等待时间相同的等待时间。
之后,将参照图3来详细描述结合用户标识符和PSK的方法。
图3是示出根据本发明示例性实施例的经过单个过程来执行多个基于PSK的认证的方法的流程图。
在步骤S310,基于PSK的认证系统通过使用多个包括用户标识符和PSK的凭证在终端中产生结合的凭证。
在这种情况下,PSK或共享的秘密是虚拟专用网络(VPN)服务的字符串,并且在其他凭证(例如用户名称和密码)之前而被获得。在Windows XP中,PSK被称作用于认证的PSK,但是在一般操作系统中它作为共享的秘密而被公众所知。
当产生到VPN服务器的连接时,VPN服务器可在字符串被正确地赋值之后才允许认证处理。当VPN服务器不接收PSK时,可不发送用户名称和密码,并且也终止到VPN服务器的连接。尽管PSK不为很多用户所知,但是PSK可被认为是一种密码。
基于PSK的认证系统可如下面的等式1所示构建多个包括用户标识符U和PSK K的凭证C。
[等式1]
C1={U1,K1};C2={U2,K2};......Cn={Un,Kn};
将参照步骤S311到S313来详细描述如等式1所示的通过使用多个凭证来产生结合的凭证的方法。
在步骤S311,基于PSK的认证系统通过连续地将用户标识符相结合来产生结合的用户标识符。在这种情况下,结合的用户标识符可基于包括“|”、“/”和“,”的预定识别符识别用户标识符。
在这种情况下,结合的用户标识符Uc可由下面的等式2来表示。
[等式2]
Uc=U1|”,”|U2|”,”|......|Un
如上所述,可通过使用识别符安排和识别连续字符串中的用户标识符来在单个字符串中产生结合的用户标识符。作为示例,可结合两个用户标识符joe.smith@ISP1.com和00:0D:56:DD:C4:49,从而可使用“,”作为识别符,将结合的用户标识符产生为单个字符串joe.smith@ISP1.com,00:0D:56:DD:C4:49。
在步骤S312,基于PSK的认证系统通过连续将多个PSK相结合产生结合的PSK。当认证服务器的认证处理已经访问所有的PSK时,可执行步骤S312。
在这种情况下,结合的PSK Kc可如下面的等式3所示。
[等式3]
Kc=K1|K2|......Kn
如上所述,通过分别将构成单个字符串的PSK相结合来将结合的PSK产生为单个较大字符串。
在这种情况下,在步骤S311和S312,结合的用户标识符和结合的PSK可以以相同次序分别包括凭证中包括的用户标识符和PSK。
在步骤S313,基于PSK的认证系统产生包括结合的用户标识符和结合的PSK的结合的凭证。
在这种情况下,结合的凭证cC可如下面的等式4所示。
[等式4]
cC={Uc,Kc}
如上所述,结合的凭证cC可将包括上述两个字符串(例如结合的用户标识符Uc和结合的PSK Kc)的一组表示为元素。
在步骤S320,基于PSK的认证系统通过使用结合的凭证在认证服务器中执行对终端的认证。
具体地讲,认证服务器通过使用结合的凭证来执行基于PSK的认证,并且结合的凭证的成功认证也隐含地对多个凭证C1、C2......Cn中每一个进行认证。
如上所述,通过经过单个过程来处理多个认证,访问服务的等待时间可被减少为进行一个认证的等待时间。此外,可在等待时间利用现有认证协议而非新认证协议的认证方法,将多个认证的等待时间减少到一个认证的等待时间。
然而,单个认证处理有时可能不访问所有的密钥。作为示例,订购密钥和装置密钥可被存储在单独的硬件单元中。在这种情况下,必须重复执行认证方法需要的密钥散列的产生,这就确保了在依然产生拥有所有PSK的证明的同时,在安全域中不需要共享PSK。
将参照图4和图5来详细描述所述方法。
图4是示出根据本发明另一示例性实施例的在终端中执行基于PSK的认证的方法的流程图。
在步骤S410,终端从认证服务器接收预定挑战代码。
在步骤S420,终端基于挑战代码和N个PSK产生响应代码。
在步骤S421,终端经预定的转换方法转换挑战代码和第一用户标识符的第一PSK,并产生第一响应结果。在这种情况下,所述转换方法可包括预定散列函数。
经过挑战代码ch和第一PSK K1产生第一响应结果R1的处理将如下面的等式5所示。
[等式5]
R1=hash(ch,K1)
在步骤S422,终端经所述转换方法转换第n-1响应结果和第n用户标识符的第n PSK,并产生第n响应结果。
所述第n响应结果Rn可如下面等式6所示。
[等式6]
Rn=hash(Rn-1,Kn)
在步骤S423,根据n和N的比较结果,当n等于N时,终端执行步骤S424;当n不等于N时,终端执行步骤S422。在这种情况下,n包括2和N之间的数。步骤S423表示对包括在n中的每个数重复步骤S422。
在步骤S424,终端产生作为响应代码的第n响应结果,其中n等于N。
在步骤S430,终端将响应代码发送到认证服务器。
图5是示出根据本发明另一示例性实施例的在认证服务器中执行基于PSK的认证的方法的流程图。
在步骤S501,认证服务器将预定挑战代码发送到终端。
在步骤S502,认证服务器基于挑战代码和N个PSK产生第一响应代码。
在这种情况下,如参照步骤S421至S424所描述的,步骤S502可包括下述操作:经过预定转换方法转换挑战代码和第一用户标识符的第一PSK,并产生第一响应结果;经过该转换方法转换第n-1响应结果和第n用户标识符的第n PSK,并产生第n响应结果;以及在n等于N时,将第n响应结果产生为第一响应代码。此外,步骤S502还可包括重复下述操作:对每个包括在n中的数,经过该转换方法转换第n-1响应结果和第n用户标识符的第nPSK,并产生第n响应结果。
此外,所述转换方法可包括预定散列函数。
在步骤S503,认证服务器从终端接收第二响应代码。
在步骤S504,认证服务器将第一响应代码和第二响应代码相比较,并在第一响应代码与第二响应代码相同时执行步骤S505。此外,当第一响应代码与第二响应代码不相同时,认证服务器终止连接。
在步骤S505,当第一响应代码与第二响应代码相同时,认证服务器对终端进行认证。
具体地讲,如图4中所述,认证服务器保持与存储在终端的多个PSK相同的PSK。因此,经过图4中所示的方法来预先产生响应代码,并且在产生的响应代码与从终端发送的响应代码相同时,认证服务器对终端进行认证。
图6是示出根据本发明示例性实施例的在执行基于PSK的认证的终端和认证服务器之间执行基于PSK的认证的方法的流程图。
在步骤603,从认证服务器602发送挑战代码。在步骤605,终端601使用发送的挑战代码和存储在终端601中的PSK产生响应代码。此外,在这之前,在步骤604,认证服务器602使用PSK产生第一响应代码。在这种情况下,PSK与存储在认证服务器602中的PSK相同。
在步骤606,终端601将所述响应代码发送到认证服务器602。在步骤607,认证服务器602将发送的响应代码和第一响应代码相比较。当在步骤608,发送的响应代码与第一响应代码相同时,在步骤609中,认证服务器602对终端601进行认证。
在这种情况下,当认证方法需要密钥派生密钥(KDK)时,可使用下面的等式7来计算KDK。
[等式7]
KDKc=KDF(KDK1,KDK2|KDK3|...KDKn)
在这种情况下,需要选择合适的KDK。作为示例,可以如下面的等式8所示来表示KDF。
[等式8]
M_AES-CTR(K1,K2|K3|...Kn|”combined KDK”,ctr_iv=1)
KDF是加密散列函数,设计所述加密散列函数以确保密钥或密码的安全。
图7是示出根据本发明另一示例性实施例的经过单个过程来执行多个基于PSK的认证的系统的内容结构的框图。如图7所示,基于PSK的认证系统700可包括产生单元710和认证单元720。
产生单元710可表示请求认证的终端。认证单元720可表示用于对终端进行认证的认证服务器。因此,不示出或描述用于执行认证的数据输入/输出装置。
产生单元710通过使用多个包括用户标识符和PSK的凭证在终端中产生结合的凭证。在这种情况下,产生单元710可包括结合的用户标识符识别单元711、结合的PSK产生单元712和结合的凭证产生单元713。
结合的用户标识符产生单元711通过连续地将用户标识符相结合产生结合的用户标识符。结合的PSK产生单元712通过连续地将PSK相结合来产生结合的PSK。在这种情况下,结合的PSK产生单元712可在认证服务器的认证处理已经访问了所有的PSK时,执行结合的PSK的产生操作。
结合的凭证产生单元713产生结合的凭证,所述结合的凭证包括结合的用户标识符和结合的PSK。由于使用结合的凭证来对多个用户标识符进行认证,所以可在与由一个认证引起的等待时间相同的等待时间内执行多个凭证的认证。
认证单元720使用结合的凭证来在认证服务器中执行终端的认证。
如上所述,通过经单个过程来处理多个认证,访问服务器的等待时间可被减少到用于一个认证的等待时间。此外,可在等待时间利用现有认证协议而非新认证协议的认证方法,将用于多个认证的等待时间减少到一个认证的等待时间。
作为示例,期望基于PSK的装置和订购认证在WiMAX网络中变得普通。在这种情况下,WiMAX是Intel公司正在为便携式互联网技术标准研发的一项技术。此外,WiMAX对现有无线LAN 802.11a/b/g进行补充以广泛地将互联网的使用扩展到户外,但是不能保障移动基站之间的切换的安全。
遵循最初的规定,将需要WiMAX终端在相同的认证服务器中执行装置认证和订购认证。
如上所述,当将本发明特定示例性实施例应用到WiMAX之后,WiMAX网络的登录的等待时间将会减少一半。
此外,可使用WiMAX来平滑移动终端的切换。在这种情况下,当移动终端离开相应的移动基站服务小区边界到达相邻基站服务小区时,切换表示移动终端自动跟踪相邻基站的新的通信信道,并继续保持通信状态。
在这种情况下,当通信信道被自动改变时,呼叫中断时间小于大约15ms。
由于基站和终端之间的数字消息交换在这样短的时间内被执行,所以发出呼叫的用户不会感知到呼叫中断状态。
然而,当等待时间被延长时,呼叫中断时间可被增加。因此,用户可能忍受很大不便。
如上所述,根据本发明示例性实施例,通过减少等待时间来解决上述问题。
图8是示出根据本发明示例性实施例的用于执行基于PSK的认证的终端800的内部结构的框图。如图8所示,终端800可包括挑战代码输入单元810、产生单元820、和响应代码发送单元830。
挑战代码输入单元810从认证服务器接收预定挑战代码。可通过认证服务器来预先确定挑战代码的值。
产生单元820基于挑战代码和N个PSK产生响应代码。在这种情况下,产生单元820可包括第一响应结果产生单元821、第n响应结果产生单元822、响应代码产生单元823和重复单元824。
第一响应结果产生单元821经过预定的转换方法转换挑战代码和第一用户标识符的第一PSK,并产生第一响应结果。
第n响应结果产生单元822经过转换方法转换第n-1响应结果和第n用户标识符的第n PSK,并产生第n响应结果。
当n与N相同时,响应代码产生单元823将第n响应结果产生为响应代码。
通过与在图4中描述的产生响应代码的方法相同的方法来执行产生所述响应代码的方法。
重复单元824重复下述处理:针对包括在n中的每个数,经过所述转换方法转换第n-1响应结果和第n用户标识符的第n PSK,并产生第n响应结果。
响应代码发送单元830将响应代码发送到认证服务器。
如参照图2到图8所述的,可通过单独的认证服务器来执行认证用户标识符的方法。
作为示例,尽管多个凭证被包括在相同移动终端中,可通过不同的授权、认证和记账(AAA)服务器来对多个凭证中的每个凭证进行认证。在这种情况下,可利用新认证协议(例如新可扩展的认证协议(EAP)方法)和AAA后台协议的扩展(例如远程认证拨号用户服务(RADUS))。
根据本发明上述示例性实施例的基于PSK的认证方法可被记录在计算机可读介质中,所述介质包括用于实现由计算机实现的各种操作的程序指令。所述介质还可单独或结合程序指令包括:数据文件、数据结构等。计算机可读介质的示例包括磁介质(比如硬盘、软盘和磁带)、光学介质(比如CD ROM盘和DVD)、磁光介质(比如光学盘)和具体被构造为存储和执行程序指令的硬件装置(比如只读存储器(ROM)、随机存取存储器(RAM)、闪存等)。所述介质还可以是包括传输指定程序指令、数据结构等信号的载波的传输介质(比如光学或金属线、波导等)。所述程序指令的示例包括(比如通过编译器产生的)机器代码和包含可使用解释器由计算机执行的高级代码的文件。可构造上述硬件装置以用作一个或多个软件模块,以执行本发明上述实施例的操作。
产业上的可利用性
根据本发明示例性实施例的基于PSK的认证方法可经过单个过程来处理多个认证,从而将访问服务的等待时间减少到一个认证的等待时间。
此外,根据本发明示例性实施例的基于PSK的认证方法可在等待时间利用现有认证协议,而不利用新认证协议。
尽管已经参照本发明的特定示例性实施例显示和描述了本发明,但是本领域的技术人员应该理解,在不脱离由权利要求及其等同物限定的本发明的精神和范围的情况下,可在形式和细节上对本发明进行各种改变。
Claims (23)
1、一种执行多个基于预共享密钥(PSK)的认证的方法,所述方法包括:
通过使用多个凭证在终端中产生结合的凭证,所述多个凭证中的至少两个凭证中的每一个都包括用户标识符和PSK;
通过使用结合的凭证在认证服务器中对终端进行认证。
2、如权利要求1所述的方法,其中,产生结合的凭证的步骤包括:
通过将用户标识符相结合来产生结合的用户标识符;
通过将PSK相结合来产生结合的PSK;
产生包括结合的用户标识符和结合的PSK的结合的凭证。
3、如权利要求2所述的方法,其中,结合的用户标识符和结合的PSK以相同的次序分别包括在凭证中包括的用户标识符和PSK。
4、如权利要求2所述的方法,其中,当认证服务器的认证处理已经访问了所有的PSK时,执行PSK的产生处理。
5、如权利要求2所述的方法,其中,结合的用户标识符基于识别符来识别用户标识符,所述识别符包括“|”、“/”和“,”中的至少一个。
6、一种在终端中执行基于预共享密钥(PSK)的认证的方法,所述方法包括:
从认证服务器接收挑战代码;
基于挑战代码和N个PSK来产生响应代码;
将响应代码发送到认证服务器,
其中,N是整数。
7、如权利要求6所述的方法,其中,产生响应代码的步骤包括:
经过转换方法转换挑战代码和第一用户标识符的第一PSK,并产生第一响应结果;
经过所述转换方法转换第n-1响应结果和第n用户标识符的第n PSK,并产生第n响应结果;
当n等于N时,将第n响应结果产生为响应代码,其中,n是整数。
8、如权利要求7所述的方法,其中,n包括2和N之间的值,所述方法还包括重复下述操作:
针对n的每个值,经过所述转换方法转换第n-1响应结果和第n用户标识符的第n PSK,并产生第n响应结果。
9、如权利要求7所述的方法,其中,所述转换方法包括散列函数。
10、一种在认证服务器中执行基于预共享密钥(PSK)的认证的方法,所述方法包括:
将挑战代码发送到终端;
基于挑战代码和N个PSK来产生第一响应代码;
从终端接收第二响应代码;
将第一响应代码和第二响应代码相比较;
当第一响应代码和第二响应代码相同时,对终端进行认证,
其中,N是整数。
11、如权利要求10所述的方法,其中,产生第一响应代码的步骤包括:
经过转换方法转换挑战代码和第一用户标识符的第一PSK,并产生第一响应结果;
经过所述转换方法转换第n-1响应结果和第n用户标识符的第n PSK,并产生第n响应结果;
当n等于N时,将第n响应结果产生为第一响应代码,其中,n是整数。
12、如权利要求11所述的方法,其中,n包括2和N之间的值,所述方法还包括重复下述操作:
针对n的每个值,经过所述转换方法转换第n-1响应结果和第n用户标识符的第n PSK,并产生第n响应结果。
13、如权利要求11所述的方法,其中,所述转换方法包括散列函数。
14、一种存储用于实现执行基于预共享密钥(PSK)的认证方法的方法的程序的计算机可读记录介质,所述方法包括:
通过使用多个凭证在终端中产生结合的凭证,所述多个凭证中的至少两个凭证中的每一个都包括用户标识符和PSK;
通过使用结合的凭证在认证服务器中对终端进行认证。
15、一种执行多个基于预共享密钥(PSK)的认证的系统,所述系统包括:
产生单元,通过使用多个凭证在终端中产生结合的凭证,所述多个凭证中的至少两个凭证中的每一个都包括用户标识符和PSK;
认证单元,通过使用结合的凭证在认证服务器中对终端进行认证。
16、如权利要求15所述的系统,其中,所述产生单元包括:
结合的用户标识符产生单元,通过将用户标识符相结合来产生结合的用户标识符;
结合的PSK产生单元,通过将PSK相结合来产生结合的PSK;
结合的凭证产生单元,产生包括结合的用户标识符和结合的PSK的结合的凭证。
17、如权利要求16所述的系统,其中,在认证服务器的认证处理已经访问了所有的PSK时,所述结合的PSK产生单元产生结合的PSK。
18、一种执行基于预共享密钥(PSK)的认证的终端,所述终端包括:
挑战代码接收单元,从认证服务器接收挑战代码;
产生单元,基于挑战代码和N个PSK来产生响应代码;
响应代码发送单元,将响应代码发送到认证服务器,
其中,N是整数。
19、如权利要求18所述的系统,其中,所述产生单元包括:
第一响应结果产生单元,经过转换方法转换挑战代码和第一用户标识符的第一PSK,并产生第一响应结果;
第n响应结果产生单元,经过所述转换方法转换第n-1响应结果和第n用户标识符的第n PSK,并产生第n响应结果;
响应代码产生单元,当n与N相同时,将第n响应结果产生为响应代码,其中,n是整数。
20、如权利要求19所述的终端,其中,n包括2和N之间的值,所述终端还包括:
重复单元,重复执行下述操作:针对n的每个值,经过所述转换方法转换第n-1响应结果和第n用户标识符的第n PSK,并产生第n响应结果。
21、如权利要求16所述的系统,其中,所述结合的用户标识符和结合的PSK以相同的次序分别包括在凭证中包括的用户标识符和PSK。
22、如权利要求2所述的方法,其中,产生结合的标识符的步骤包括连续地将用户标识符相结合,产生结合的PSK的步骤包括连续地将PSK相结合。
23、如权利要求16所述的系统,其中,结合的用户标识符产生单元被构造为通过连续地将用户标识符相结合来产生结合的用户标识符,所述结合的PSK产生单元被构造为通过连续地将PSK相结合来产生结合的PSK。
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US70946305P | 2005-08-19 | 2005-08-19 | |
| US60/709,463 | 2005-08-19 | ||
| KR1020060048238A KR101300844B1 (ko) | 2005-08-19 | 2006-05-29 | 한번에 복수의 psk 기반 인증을 수행하는 방법 및 상기방법을 수행하는 시스템 |
| KR1020060048238 | 2006-05-29 | ||
| KR10-2006-0048238 | 2006-05-29 | ||
| PCT/KR2006/003137 WO2007021094A1 (en) | 2005-08-19 | 2006-08-10 | Method for performing multiple pre-shared key based authentication at once and system for executing the method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101243642A true CN101243642A (zh) | 2008-08-13 |
| CN101243642B CN101243642B (zh) | 2013-01-02 |
Family
ID=37757730
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800301869A Active CN101243642B (zh) | 2005-08-19 | 2006-08-10 | 同时执行多个基于预共享密钥的认证的方法和执行该方法的设备 |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP1915837B1 (zh) |
| JP (2) | JP2009505271A (zh) |
| CN (1) | CN101243642B (zh) |
| WO (1) | WO2007021094A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013120225A1 (en) * | 2012-02-16 | 2013-08-22 | Nokia Siemens Networks Oy | Method and system for group based service bootstrap in m2m environment |
| CN103931220A (zh) * | 2011-08-08 | 2014-07-16 | 马维尔国际贸易有限公司 | 用于网络通信的密钥推导函数 |
| CN107005409A (zh) * | 2014-12-16 | 2017-08-01 | 德国捷德有限公司 | 身份到安全元件内的引入 |
| CN110837633A (zh) * | 2019-10-16 | 2020-02-25 | 支付宝(杭州)信息技术有限公司 | 智能凭证实现方法、系统及可读存储介质 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100924168B1 (ko) | 2007-08-07 | 2009-10-28 | 한국전자통신연구원 | 주파수 오버레이 기반의 통신 시스템의 인증키 생성 방법및 인증 방식 협상 방법 |
| CN104822002A (zh) * | 2015-04-19 | 2015-08-05 | 叶春林 | 手机辨别各人状况的方式 |
| KR20230038571A (ko) * | 2020-07-30 | 2023-03-20 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 연관 제어 방법 및 관련 장치 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5202921A (en) * | 1991-04-01 | 1993-04-13 | International Business Machines Corporation | Method and apparatus for authenticating users of a communication system to each other |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| CA2356420A1 (en) * | 2001-08-30 | 2003-02-28 | Wmode Inc. | Authentication and non-repudiation of a subscriber on a public network |
| JP2003150553A (ja) * | 2001-11-14 | 2003-05-23 | Nippon Telegr & Teleph Corp <Ntt> | 複数のアカウントを用いた認証方法及び装置並びに処理プログラム |
| JP3889660B2 (ja) * | 2002-05-07 | 2007-03-07 | 日本電信電話株式会社 | 認証方法及び認証システム |
| FR2851104A1 (fr) * | 2003-02-10 | 2004-08-13 | France Telecom | Procede et systeme d'authentification d'un utilisateur au niveau d'un reseau d'acces lors d'une connexion de l'utilisateur au reseau internet |
| JP4276259B2 (ja) * | 2003-04-01 | 2009-06-10 | パク,ミ−キョン | タグ読み取り機能を備えた移動通信端末機及び真正品認証サービス提供方法 |
-
2006
- 2006-08-10 EP EP06783561.1A patent/EP1915837B1/en active Active
- 2006-08-10 WO PCT/KR2006/003137 patent/WO2007021094A1/en active Application Filing
- 2006-08-10 CN CN2006800301869A patent/CN101243642B/zh active Active
- 2006-08-10 JP JP2008526868A patent/JP2009505271A/ja active Pending
-
2011
- 2011-06-01 JP JP2011123674A patent/JP5392728B2/ja active Active
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103931220A (zh) * | 2011-08-08 | 2014-07-16 | 马维尔国际贸易有限公司 | 用于网络通信的密钥推导函数 |
| CN103931220B (zh) * | 2011-08-08 | 2018-06-05 | 马维尔国际贸易有限公司 | 用于网络通信的密钥推导函数 |
| WO2013120225A1 (en) * | 2012-02-16 | 2013-08-22 | Nokia Siemens Networks Oy | Method and system for group based service bootstrap in m2m environment |
| CN107005409A (zh) * | 2014-12-16 | 2017-08-01 | 德国捷德有限公司 | 身份到安全元件内的引入 |
| CN110837633A (zh) * | 2019-10-16 | 2020-02-25 | 支付宝(杭州)信息技术有限公司 | 智能凭证实现方法、系统及可读存储介质 |
| CN110837633B (zh) * | 2019-10-16 | 2021-10-08 | 支付宝(杭州)信息技术有限公司 | 智能凭证实现方法、系统及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1915837A1 (en) | 2008-04-30 |
| CN101243642B (zh) | 2013-01-02 |
| EP1915837A4 (en) | 2016-11-23 |
| WO2007021094A1 (en) | 2007-02-22 |
| JP5392728B2 (ja) | 2014-01-22 |
| JP2011238245A (ja) | 2011-11-24 |
| EP1915837B1 (en) | 2020-04-22 |
| JP2009505271A (ja) | 2009-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8621577B2 (en) | Method for performing multiple pre-shared key based authentication at once and system for executing the method | |
| RU2333607C2 (ru) | Генерирование ключей в системе связи | |
| CN101406021B (zh) | 基于sim的认证 | |
| US5455863A (en) | Method and apparatus for efficient real-time authentication and encryption in a communication system | |
| US7370350B1 (en) | Method and apparatus for re-authenticating computing devices | |
| CN101366299B (zh) | 使用特殊随机询问的引导认证 | |
| EP2424185B1 (en) | Method and device for challenge-response authentication | |
| US7793103B2 (en) | Ad-hoc network key management | |
| CN101243642B (zh) | 同时执行多个基于预共享密钥的认证的方法和执行该方法的设备 | |
| KR101068424B1 (ko) | 통신시스템을 위한 상호동작 기능 | |
| KR101300844B1 (ko) | 한번에 복수의 psk 기반 인증을 수행하는 방법 및 상기방법을 수행하는 시스템 | |
| US20030084287A1 (en) | System and method for upper layer roaming authentication | |
| US8600356B2 (en) | Authentication in a roaming environment | |
| CN105814859B (zh) | 一种网络配置方法、相关装置及系统 | |
| US20080181401A1 (en) | Method of Establishing a Secure Communication Link | |
| US20150208238A1 (en) | Terminal identity verification and service authentication method, system and terminal | |
| CN102111766A (zh) | 网络接入方法、装置及系统 | |
| KR100523058B1 (ko) | 무선랜 시스템에서의 동적 그룹키 관리 장치 및 그 방법 | |
| Martins et al. | A Potpourri of authentication mechanisms The mobile device way | |
| KR20050023050A (ko) | 분할 생체정보를 이용한 암호키 생성 방법 및 이를 이용한사용자 인증 방법 | |
| Prakash et al. | Authentication protocols and techniques: a survey | |
| CN101192921A (zh) | 共享密钥管理装置 | |
| CN112039838A (zh) | 一种适用于移动通信不同应用场景的二次认证方法和系统 | |
| Luo et al. | DIAM: Diversified identity authentication mechanism for 5G multi-service system | |
| Asokan et al. | Visitor access management in personal wireless networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |