CN101394395B - 一种认证方法和系统、及装置 - Google Patents
一种认证方法和系统、及装置 Download PDFInfo
- Publication number
- CN101394395B CN101394395B CN2007101518145A CN200710151814A CN101394395B CN 101394395 B CN101394395 B CN 101394395B CN 2007101518145 A CN2007101518145 A CN 2007101518145A CN 200710151814 A CN200710151814 A CN 200710151814A CN 101394395 B CN101394395 B CN 101394395B
- Authority
- CN
- China
- Prior art keywords
- equipment
- user
- certificate
- authentication
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种认证方法和系统、及装置,在不浪费空口资源的情况下,扩大了认证的适用范围。所述认证方法包括:接收被认证方发送的认证信息,所述被认证方包括设备和使用该设备的用户,所述认证信息包括:设备证书信息和/或用户证书信息及签名数据,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成;根据所述证书信息获得证书;根据所述证书和签名数据进行认证。所述认证系统包括被认证方设备和认证方设备。根据本发明实施例,将用户-设备联合认证的LTC扩展到证书的情况,在认证过程中,对用户、设备进行联合认证,不仅节省了空口资源,提高了认证效率,而且也扩大的认证的适用范围。
Description
技术领域
本发明涉及一种通信技术,尤其涉及一种认证方法和系统、及装置。
背景技术
WiMax(World Interoperability for Microwave Access,全球微波接入互操作性)是一项基于IEEE 802.16标准的宽带无线接入城域网技术,其基本目标是提供一种在城域网一点对多点的多厂商环境下,可有效地互操作的实现宽带无线接入。在实际应用中,出于计费、安全等考虑,需要对WiMAX终端作网络接入认证,认证模式通常有4种:用户认证模式、设备认证模式、用户-设备联合认证模式(Device-User Single EAP)及用户-设备双重认证模式(Device-UserDouble EAP)。认证的具体内容是一方向另一方证明自己拥有特定身份才能拥有的LTC(长期信任状),长期信任状可以是证书(一方拥有的情形)或者预共享密钥PSK(双方拥有的情形)。
在实际应用中,当需要同时对终端设备及使用该终端设备的用户身份进行网络接入认证时,此时需采用用户-设备联合认证模式或用户-设备双重认证模式。
在用户-设备双重认证模式下,需要对用户及设备进行两次相对独立的EAP(Extensible Authentication Protocol,扩展认证协议)认证过程。即,网络侧先对设备进行网络接入验证(第一个EAP),验证通过后再对用户进行网络接入认证(第二个EAP),其中,设备认证的终结点在访问域的AAA(Authentication,Authorization and Accounting,认证、授权和计费)服务器上,用户认证的终结点是在家乡域的AAA服务器上。在上述认证过程中,需要对用户及设备进行两次相对独立的EAP认证过程,因此,这种认证方式的空口开销较大。
用户-设备联合认证模式是指在设备、用户的LTC均为PSK的前提下,终端及AAA服务器根据用户、设备的标识及PSK生成联合标识(Combined_identifier)及联合预共享密钥(Combined_PSK),利用这些联合标识和联合预共享密钥在同一次EAP(Extensible Authentication Protocol,扩展认证协议)验证过程中同时完成对用户及设备的认证,联合认证的流程与普通EAP认证的流程基本相同。用于联合认证的联合标识及联合PSK的生成方法如下:
Combined_identifier=MAC_Address|“-”| User_ID
Combined_PSK=truncate(HMAC-SHA256(PSK_device,PSK_user),N)
其中,MAC_Address为设备的48位MAC地址,truncate为截取函数,HMAC-SHA256为一种Hash函数;“|”表示串联;User_ID为使用设备的用户标识;N为用于验证的PSK的长度。
在用户-设备联合认证模式下,认证终结点是在家乡AAA服务器。由于在用户-设备联合认证模式下将用户标识与设备的MAC(媒体接入控制)地址绑定在一起,因此,即使终端设备被盗或者丢失,其他人也无法使用该终端设备。如上所述,用户-设备联合认证模式必须在双方(用户和设备)的LTC均为PSK的情况下方能实现。因此,该认证方法的使用具有一定局限性。
发明内容
本发明的实施例提供了一种认证方法和系统、及装置,在不浪费空口资源的情况下,扩大了认证的适用范围。
本发明的实施例提供了一种认证方法,包括:
接收被认证方发送的认证信息,所述被认证方包括设备和使用该设备的用户,所述认证信息包括:设备证书信息和/或用户证书信息及签名数据,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成;
根据所述证书信息获得证书;
根据所述证书和签名数据进行认证。
本发明的实施例还提供了一种认证系统,包括:
被认证方设备,用于向认证方发送认证信息,所述被认证方包括设备和使用该设备的用户,所述认证信息包括:设备证书信息和/或用户证书信息及签名数据,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成;
认证方设备,用于接收被认证方发送的认证信息,并根据所述验证信息中所述证书信息获得证书;根据所述证书和签名数据进行认证。
本发明的实施例还提供了一种被认证方设备,包括:
生成单元,用于生成认证信息,所述被认证方包括设备和使用该设备的用户,所述认证信息包括:设备证书信息和/或用户证书信息及签名数据,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成;
发送单元,用于向认证方发送认证信息。
本发明的实施例还提供了一种认证方设备,包括:
接收单元,用于接收被认证方发送的认证信息,所述被认证方包括设备和使用该设备的用户,所述认证信息包括:设备证书信息和/或用户证书信息及签名数据,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成;
认证单元,用于根据所述认证信息中所述证书信息获得证书;根据所述证书和签名数据进行认证。
根据本发明实施例,将用户-设备联合认证的LTC扩展到证书的情况,在认证过程中,对用户、设备进行联合认证,不仅节省了空口资源,提高了认证效率,而且也扩大的认证的适用范围。
附图说明
图1示出了本发明实施例一的认证流程;
图2示出了本发明实施例四的认证系统。
具体实施方式
为了便于本领域一般技术人员理解和实现本发明,现结合附图描绘本发明的实施例。
实施例一
参照图1,本发明的实施例提供了一种认证方法,包括:
步骤11、被认证方生成用户-设备联合认证的联合标识:
Combined_identifier=MAC_address|“-”| user_ID;所述联合标识可作为一个联合的网络接入标识(Network Access Indentifier,NAI),在EAP认证过程中,该网络接入标识可在EAP ID请求后发送到认证方,以便认证方根据联合标识发起认证过程。
所述被认证方包括第一设备和使用该第一设备的用户。所述认证方可以是第二设备,如终端、认证服务器或除第一设备之外的其它设备。
步骤12、被认证方利用验证数据DATA2生成用于验证用户、设备身份的签名数据S,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成,所述验证数据DATA2可由已知的验证数据DATA1导出,如,验证数据DATA2是验证数据DATA1的消息摘要,也可以就是验证数据DATA1。
步骤13、被认证方向认证方发送认证信息,例如,在EAP-TLS(ExtensibleAuthentication Protocol-Transportlayer Security,可扩展认证协议的传输层安全)认证方法中,所述认证信息可通过EAP-Response/Client_Key_Exchange(认证响应/客户端密钥交换)消息携带。所述认证信息包含以下内容:被认证方的证书信息、验证数据DATA1、以及被认证方利用自身的私钥对验证数据DATA2的签名数据S。被认证方的证书信息可以是被认证方的证书本身、或者被认证方的证书的地址信息。认证信息中也可以没有验证数据DATA1,认证方和被认证方在认证之前通过协商确定验证数据DATA1。
步骤14、认证方收到认证信息后,首先验证被认证方证书的真实性;在证书通过真实性验证后,认证方通过证书信息获得证书,取出证书中的公钥,利用该公钥解密签名数据S,将从签名数据S中解密出来的数据与验证数据DATA2的内容(其可以为DATA1或者DATA1的消息摘要)作比较,如果两者相符,则认证方认为被认证方是该证书的真正拥有者,被认证方通过认证,可以接入网络。
应该注意,认证方也可在其它时候验证证书的真实性。
实施例二
参照图1,本实施例描述被认证方(用户、设备)的LTC均为证书的情景下的认证方法。
步骤11、被认证方生成用户-设备联合认证的联合标识:
Combined_identifier=MAC_address|“-”| user_ID;所述联合标识可作为一个联合的网络接入标识(Network Access Indentifier,NAI),在EAP认证过程中,该网络接入标识可在EAP ID请求后发送到认证方。以便认证方根据联合标识发起认证过程。
所述被认证方包括第一设备和使用该第一设备的用户。认证方可以是第二设备,如终端、认证服务器或除第一设备之外的其它设备。
步骤12、被认证方利用验证数据DATA2生成用于验证用户、设备身份的签名数据S=SAU(SAE(DATA2))或S=SAE(SAU(DATA2)),其中S为签名数据,SAU表示利用用户私钥对括号中的内容进行签名,SAE表示利用设备私钥对括号中的内容进行签名,所述验证数据DATA2可由已知的验证数据DATA1导出,如,验证数据DATA2是验证数据DATA1的消息摘要,也可以就是验证数据DATA1。
步骤13、被认证方向认证方发送认证信息,例如,在EAP-TLS认证方法中,所述认证信息可通过EAP-Response/Client_Key_Exchange(认证响应/客户端密钥交换)消息携带。所述认证信息包含以下内容:被认证方(用户和设备)的证书、验证数据DATA1、以及被认证方利用自身的私钥对验证数据DATA2的签名数据S。被认证方的证书信息可以是被认证方的证书本身、或者被认证方的证书的地址信息。认证信息中也可以没有验证数据DATA1,认证方和被认证方在认证之前通过协商确定验证数据DATA1。
步骤14、认证方收到认证信息后,先验证被认证方(用户、设备)两个证书的真实性,在证书验证通过后,通过证书信息获得证书,针对不同的签名数据,利用两个证书里的公钥来验证签名数据,如,当签名数据为S=SAU(SAE(DATA2))时,先利用用户证书中公钥进行解密,再利用设备证书中公钥进行解密,获得验证数据;当签名数据为S=SAE(SAU(DATA2))时,先利用设备证书中公钥进行解密,再利用用户证书中公钥进行解密,获得验证数据。将从签名数据S中解密出来的验证数据与验证数据DATA2的内容比较,如果两者相符,则说明用户、设备身份是真实的,可以允许接入网络。
应该注意,认证方也可在其它时候验证证书的真实性。
实施例三
参照图1,本实施例描述被认证方的用户、设备的LTC中,一个为证书,一个为PSK情景下的认证方法。
步骤11、被认证方生成用户-设备联合认证的联合标识:
Combined_identifier=MAC_address|“-”| user_ID;所述联合标识可作为一个联合的网络接入标识(Network Access Indentifier,NAI),在EAP认证过程中,该网络接入标识可在EAP ID请求后发送到认证方,以便认证方根据联合标识发起认证过程。
所述被认证方包括第一设备和使用该第一设备的用户,认证方可以是第二设备,如终端、认证服务器或除第一设备之外的其它设备。
步骤12、被认证方利用DATA2生成用于验证用户、设备身份的签名数据S,所述验证数据DATA2可以由验证数据DATA1导出,如,验证数据DATA2是验证数据DATA1的消息摘要,也可以就是验证数据DATA1。所述验证数据DATA1可采用下述方法设置:验证数据DATA1=prf(Key,salt),其中salt可为salt=ID|Nonce1|Nonce2,其中,Nonce1和Nonce2为被认证方和认证方在该次认证过程中交换的两个随机数;ID可为被认证方的身份标识、或者为认证方的身份标识;Key可以是基于PSK生成的用于认证的密钥,prf是伪随机数生成函数,它可以是HMAC_MD5,CMAC-AES-128 HASH128等。
下面分两种情况来说明生成签名数据的方法:一种是用户拥有证书,而设备拥有PSK(为了叙述方面,我们假设它为PSKE);另一种是用户拥有PSK(为了叙述方面,我们假设它为PSKU),而设备拥有证书。下面对这种情况分别进行描述。
(1)、用户为拥有证书,设备拥有PSKE,被认证方的签名数据为SU=SAU(DATA2)。
(2)、用户拥有PSKU,设备拥有证书,被认证方的签名数据为SE=SAE(DATA2)。
步骤13、被认证方向认证方发送认证信息。
下面分两种情况来描述认证信息的内容:一种是用户拥有证书,而设备拥有PSK(为了叙述方面,我们假设它为PSKE);另一种是用户拥有PSK(为了叙述方面,我们假设它为PSKU),而设备拥有证书。下面对这种情况分别进行描述。
(1)、用户为拥有证书,设备拥有PSKE,所述认证信息包含以下内容:被认证方(用户)的证书信息、验证数据DATA1、以及被认证方利用自身的私钥对验证数据DATA2的签名数据SU=SAU(DATA2)。被认证方的证书信息可以是被认证方的证书本身、或者被认证方的证书的地址信息。认证信息中也可以没有验证数据DATA1,认证方和被认证方在认证之前通过协商确定验证数据DATA1。
(2)、用户拥有PSKU,设备拥有证书,所述认证信息包含以下内容:被认证方(设备)的证书、验证数据DATA1、以及被认证方利用自身的私钥对验证数据DATA2的签名数据SE=SAE(DATA2)。被认证方的证书信息可以是被认证方的证书本身、或者被认证方的证书的地址信息。认证信息中也可以没有验证数据DATA1,认证方和被认证方在认证之前通过协商确定验证数据DATA1。
步骤14、认证方收到认证信息后,认证方对证书进行验证,当验证通过后,根据所述证书信息得到所述证书中的公钥;获得预共享密钥,并根据所述预共享密钥获得第一验证数据;利用所述公钥解密所述签名数据,获得解密数据,判断所述解密数据是否与由第一验证数据导出的第二验证数据相符,若是,则通过认证,否则,认证失败。
下面分两种情况来描述认证信息的内容:一种是用户拥有证书,而设备拥有PSK(为了叙述方面,我们假设它为PSKE);另一种是用户拥有PSK(为了叙述方面,我们假设它为PSKU),而设备拥有证书。下面对这种情况分别进行描述。
(1)、用户为拥有证书,设备拥有PSKE,根据所述用户证书信息得到所述证书中的公钥;获得设备的预共享密钥,并根据所述预共享密钥获得第一验证数据;利用所述公钥解密所述签名数据,获得解密数据,判断所述解密数据是否与由第一验证数据导出的第二验证数据相符,若是,则通过认证,则说明用户、设备身份是真实的,可以允许接入网络。否则,认证失败。
(2)、用户拥有PSKU,设备拥有证书,根据所述设备证书信息得到所述证书中的公钥;获得用户的预共享密钥,并根据所述预共享密钥获得第一验证数据;利用所述公钥解密所述签名数据,获得解密数据,判断所述解密数据是否与由第一验证数据导出的第二验证数据相符,若是,则通过认证,则说明用户、设备身份是真实的,可以允许接入网络。否则,认证失败。
在上述认证过程中,认证方可根据认证前的协商过程获得用户标识和/或设备标识来获得其预共享密钥,也可根据联合标识获得预共享密钥。
实施例四
如图2所示,本实施例公开了一种认证系统,包括:被认证方设备,用于向认证方发送认证信息,所述被认证方包括设备和使用该设备的用户,所述认证信息包括:设备证书信息和/或用户证书信息及签名数据,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成;认证方设备,用于接收被认证方发送的认证信息,并根据所述验证信息中所述证书信息获得证书;根据所述证书和签名数据进行认证。
所述被认证方设备包括:生成单元,用于生成认证信息,所述被认证方包括设备和使用该设备的用户,所述认证信息包括:设备证书信息和/或用户证书信息及签名数据,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成;发送单元,用于向认证方发送认证信息。所述生成单元具体包括:签名数据生成子单元,用于生成根据所述用户的长期信任状、所述设备的长期信任状生成签名数据;合成子单元,用于将设备证书信息和/或用户证书信息及签名数据合成认证信息。
所述认证方设备包括:接收单元,用于接收被认证方发送的认证信息,所述被认证方包括设备和使用该设备的用户,所述认证信息包括:设备证书信息和/或用户证书信息及签名数据,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成;认证单元,用于根据所述认证信息中所述证书信息获得证书;根据所述证书和签名数据进行认证。所述认证单元包括:选择单元,用于根据认证信息中包括的证书信息启动认证子单元,当认证信息中包括设备证书信息和用户证书信息时,启动第一认证子单元;当认证信息中仅包括设备证书信息时,启动第二认证子单元;当认证信息中仅包括用户证书信息时,启动第三认证子单元;第一认证子单元,用于根据设备证书信息、用户证书信息和签名数据进行认证;第二认证子单元,用于根据设备证书信息和签名数据进行认证;第三认证子单元,用于根据用户证书信息和签名数据进行认证。为了保证认证的正确性,所述认证方设备还包括:证书认证子单元(未示出),用于验证证书是否有效,若否,认证失败。
根据本发明实施例,将用户-设备联合认证的LTC扩展到证书的情况,在认证过程中,对用户、设备进行联合认证,不仅大大节省了空口资源,提高了效率,还扩大了认证的适用范围。
虽然通过实施例描绘了本发明,但本领域普通技术人员知道,在不脱离本发明的精神和实质的情况下,就可使本发明有许多变形和变化,本发明的范围由所附的权利要求来限定。
Claims (20)
1.一种认证方法,其特征在于,包括:
认证方接收联合标识,并根据该联合标识发起认证过程,所述联合标识由被认证方生成并发送给所述认证方,具体为:
Combined_identifier=MAC_Address|“-”|User_ID
其中,MAC_Address为设备的MAC地址,“|”表示串联;User_ID为使用该设备的用户标识;
认证方接收被认证方发送的认证信息,所述被认证方包括设备和使用该设备的用户,所述认证信息包括:设备证书信息和/或用户证书信息及签名数据,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成;
根据所述证书信息获得证书;
根据所述证书和签名数据进行认证。
2.根据权利要求1所述的方法,其特征在于,所述设备的长期信任状、及用户的长期信任状均为证书时,所述认证信息包括设备证书信息、用户证书信息及签名数据,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成具体包括:
按如下公式获得签名数据S:S=SAU(SAE(DATA2))或S=SAE(SAU(DATA2)),其中,SAU为利用用户的私钥进行签名,SAE为利用设备的私钥进行签名,DATA2为第二验证数据,所述第二验证数据由第一验证数据导出。
3.根据权利要求2所述的方法,其特征在于,所述根据所述证书和签名数据进行认证具体包括:
根据所述设备证书信息得到设备公钥,根据用户证书信息得到用户公钥;
利用所述设备公钥和所述用户公钥解密所述签名数据,获得解密数据,判断所述解密数据是否与由第一验证数据导出的第二验证数据相符,若是,则通过认证,否则,认证失败。
4.根据权利要求3所述的方法,其特征在于,所述利用所述设备公钥和所 述用户公钥解密所述签名数据具体包括:
当签名数据为:S=SAU(SAE(DATA2))时,先利用所述用户公钥对所述签名数据进行解密,得到解密数据,再利用所述设备公钥对所述解密数据进行解密;
当签名数据为:S=SAE(SAU(DATA2))时,先利用所述设备公钥对所述签名数据进行解密,得到解密数据,再利用所述用户公钥对所述解密数据进行解密。
5.根据权利要求1所述的方法,其特征在于,所述设备的长期信任状为证书,使用该设备的所述用户的长期信任状为预共享密钥时,所述认证信息包括设备证书信息和签名数据,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成具体包括:
所述签名数据由所述证书的私钥对第二验证数据进行签名,所述第二验证数据由第一验证数据导出,所述第一验证数据由所述预共享密钥生成。
6.根据权利要求1所述的方法,其特征在于,所述设备的长期信任状为预共享密钥,使用该设备的所述用户的长期信任状为证书时,所述认证信息包括用户证书信息和签名数据,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成具体包括:
所述签名数据由所述证书的私钥对第二验证数据进行签名,所述第二验证数据由第一验证数据导出,所述第一验证数据由所述预共享密钥生成。
7.根据权利要求5或6所述的方法,其特征在于,所述根据所述证书和签名数据进行认证具体包括:
根据所述证书信息得到所述证书中的公钥;
获得预共享密钥,并根据所述预共享密钥获得第一验证数据;
利用所述公钥解密所述签名数据,获得解密数据,判断所述解密数据是否与由第一验证数据导出的第二验证数据相符,若是,则通过认证,否则,认证失败。
8.根据权利要求1所述的方法,其特征在于,所述设备长期信任状为预共享密钥、及用户的长期信任状为证书时,所述认证信息包括用户证书信息和签 名数据,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成具体包括:
按如下公式获得签名数据SU:SU=SAU(DATA2),其中,SAU为利用用户的私钥进行签名,DATA2为第二验证数据,所述第二验证数据由第一验证数据导出,所述第一验证数据由所述设备的预共享密钥生成。
9.根据权利要求8所述的方法,其特征在于,所述根据所述证书和签名数据进行认证具体包括:
根据所述用户证书信息得到所述证书中的公钥;
获得设备的预共享密钥,并根据所述预共享密钥获得第一验证数据;
利用所述公钥解密所述签名数据,获得解密数据,判断所述解密数据是否与由第一验证数据导出的第二验证数据相符,若是,则通过认证,否则,认证失败。
10.根据权利要求1所述的方法,其特征在于,所述设备的长期信任状为证书、及用户的长期信任状为预共享密钥时,所述认证信息包括设备证书信息和签名数据,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成具体包括:
按如下公式获得签名数据SE:SE=SAE(DATA2),其中,SAE为利用设备的私钥进行签名,DATA2为第二验证数据,所述第二验证数据由第一验证数据导出,所述第一验证数据由所述被认证方用户的预共享密钥生成。
11.根据权利要求10所述的方法,其特征在于,所述根据所述证书和签名数据进行认证具体包括:
根据所述设备证书信息得到所述证书中的公钥;
获得用户的预共享密钥,并根据所述预共享密钥获得第一验证数据;
利用所述公钥解密所述签名数据,获得解密数据,判断所述解密数据是否与由第一验证数据导出的第二验证数据相符,若是,则通过认证,否则,认证失败。
12.根据权利要求1至6任一项所述的方法,其特征在于,所述证书信息包括证书本身或证书的地址信息。
13.根据权利要求1至6任一项所述的方法,其特征在于,所述认证方根据所述证书和签名数据进行认证之前还包括:所述认证方对所述证书进行验证,当验证通过后,则执行后续步骤,否则,认证失败,结束认证过程。
14.根据权利要求1至6任一项所述的方法,其特征在于,所述方法还包括:所述认证方对所述证书进行验证,当验证通过后,则执行后续步骤,否则,认证失败,结束认证过程。
15.一种认证系统,其特征在于,包括:
被认证方设备,用于生成联合标识,并将该联合标识发给认证方;向认证方发送认证信息,所述被认证方包括设备和使用该设备的用户,所述认证信息包括:设备证书信息和/或用户证书信息及签名数据,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成;所述联合标识为:
Combined_identifier=MAC_Address |“-”|User_ID
其中,MAC_Address为设备的MAC地址,“|”表示串联;User_ID为使用该设备的用户标识;
认证方设备,用于根据该联合标识发起认证过程;接收被认证方发送的认证信息,并根据所述认证信息中所述证书信息获得证书;根据所述证书和签名数据进行认证。
16.一种被认证方设备,其特征在于,包括:
生成单元,用于生成联合标识;生成认证信息,所述被认证方包括设备和使用该设备的用户,所述认证信息包括:设备证书信息和/或用户证书信息及签名数据,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成;所述联合标识为:
Combined_identifier=MAC_Address|“-”|User_ID
其中,MAC_Address为设备的MAC地址,“|”表示串联;User_ID为使用该设备的用户标识;
发送单元,用于将该联合标识发给认证方;并向认证方发送认证信息。
17.根据权利要求16所述的被认证方设备,其特征在于,所述生成单元具体包括:
签名数据生成子单元,用于生成根据所述用户的长期信任状、所述设备的长期信任状生成签名数据;
合成子单元,用于将设备证书信息和/或用户证书信息及签名数据合成认证信息。
18.一种认证方设备,其特征在于,包括:
接收单元,用于接收被认证方发送的联合标识;并接收被认证方发送的认证信息,所述被认证方包括设备和使用该设备的用户,所述认证信息包括:设备证书信息和/或用户证书信息及签名数据,所述签名数据由所述设备的长期信任状、及用户的长期信任状生成;所述联合标识为:
Combined_identifier=MAC_Address|“-”|User_ID
其中,MAC_Address为设备的MAC地址,“|”表示串联;User_ID为使用该设备的用户标识;
认证单元,用于根据该联合标识发起认证过程;并根据所述认证信息中所述证书信息获得证书;根据所述证书和签名数据进行认证。
19.根据权利要求18所述的认证方设备,其特征在于,所述认证单元包括:
选择单元,用于根据认证信息中包括的证书信息启动认证子单元,当认证信息中包括设备证书信息和用户证书信息时,启动第一认证子单元;当认证信息中仅包括设备证书信息时,启动第二认证子单元;当认证信息中仅包括用户证书信息时,启动第三认证子单元;
第一认证子单元,用于根据设备证书信息、用户证书信息和签名数据进行认证;
第二认证子单元,用于根据设备证书信息和签名数据进行认证;
第三认证子单元,用于根据用户证书信息和签名数据进行认证。
20.根据权利要求19所述的认证方设备,其特征在于,所述认证方设备还包括:证书认证子单元,用于验证证书是否有效,若否,认证失败。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101518145A CN101394395B (zh) | 2007-09-18 | 2007-09-18 | 一种认证方法和系统、及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101518145A CN101394395B (zh) | 2007-09-18 | 2007-09-18 | 一种认证方法和系统、及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101394395A CN101394395A (zh) | 2009-03-25 |
| CN101394395B true CN101394395B (zh) | 2012-04-04 |
Family
ID=40494471
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101518145A Expired - Fee Related CN101394395B (zh) | 2007-09-18 | 2007-09-18 | 一种认证方法和系统、及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101394395B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2833572B1 (en) | 2013-07-29 | 2019-12-25 | Alcatel Lucent | Adaptive traffic encryption for optical networks |
| CN103684797B (zh) * | 2013-12-30 | 2017-10-13 | 北京天诚安信科技股份有限公司 | 用户和用户终端设备的关联认证方法及系统 |
| CN103795728A (zh) * | 2014-02-24 | 2014-05-14 | 哈尔滨工程大学 | 一种隐藏身份且适合资源受限终端的eap认证方法 |
| CN104660417B (zh) * | 2015-03-17 | 2018-02-27 | 联想(北京)有限公司 | 验证方法、验证装置和电子设备 |
| CN106161019B (zh) * | 2015-03-23 | 2019-07-26 | 联想(北京)有限公司 | 电子设备及其控制方法 |
| CN107277020A (zh) * | 2017-06-23 | 2017-10-20 | 国民认证科技(北京)有限公司 | 基于公私钥体制的远程验证移动设备合法性的系统和方法 |
| CN110198296B (zh) * | 2018-04-27 | 2021-08-20 | 腾讯科技(深圳)有限公司 | 鉴权方法和装置、存储介质及电子装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1627684A (zh) * | 2003-12-09 | 2005-06-15 | 联想(北京)有限公司 | 网络计算机用户安全管理方法及系统 |
| CN1802018A (zh) * | 2005-07-15 | 2006-07-12 | 华为技术有限公司 | 一种消息认证方法 |
-
2007
- 2007-09-18 CN CN2007101518145A patent/CN101394395B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1627684A (zh) * | 2003-12-09 | 2005-06-15 | 联想(北京)有限公司 | 网络计算机用户安全管理方法及系统 |
| CN1802018A (zh) * | 2005-07-15 | 2006-07-12 | 华为技术有限公司 | 一种消息认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101394395A (zh) | 2009-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8001381B2 (en) | Method and system for mutual authentication of nodes in a wireless communication network | |
| CN101160924B (zh) | 在通信系统中分发证书的方法 | |
| KR100651715B1 (ko) | 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조 | |
| US8327143B2 (en) | Techniques to provide access point authentication for wireless network | |
| CN104145465B (zh) | 机器类型通信中基于群组的自举的方法和装置 | |
| CN103686709B (zh) | 一种无线网格网认证方法和系统 | |
| US9392453B2 (en) | Authentication | |
| CN101394395B (zh) | 一种认证方法和系统、及装置 | |
| US8312263B2 (en) | System and method for installing trust anchors in an endpoint | |
| CN101534192B (zh) | 一种提供跨域令牌的系统和方法 | |
| CN102404347A (zh) | 一种基于公钥基础设施的移动互联网接入认证方法 | |
| CN105323754B (zh) | 一种基于预共享密钥的分布式鉴权方法 | |
| CN101610150B (zh) | 第三方数字签名方法和数据传输系统 | |
| CN102082665B (zh) | 一种eap认证中的标识认证方法、系统和设备 | |
| CN103067337B (zh) | 一种身份联合的方法、IdP、SP及系统 | |
| CN100344208C (zh) | 一种防止重放攻击的认证方法 | |
| CN101145915B (zh) | 一种可信路由器认证系统和方法 | |
| JP2011507369A (ja) | セルラー無線システムにおける無線基地局鍵を生成する方法と装置 | |
| CN103795728A (zh) | 一种隐藏身份且适合资源受限终端的eap认证方法 | |
| CN104955040B (zh) | 一种网络鉴权认证的方法及设备 | |
| JP4550759B2 (ja) | 通信システム及び通信装置 | |
| CN113965425B (zh) | 物联网设备的接入方法、装置、设备及计算机可读存储介质 | |
| CN105610667B (zh) | 建立虚拟专用网通道的方法和装置 | |
| CN112954643A (zh) | 直连通信认证方法、终端、边缘服务节点及网络侧设备 | |
| CN103139770B (zh) | Wlan接入网络中传递成对主密钥的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120404 Termination date: 20160918 |