CN109075973A - 一种使用基于id的密码术进行网络和服务统一认证的方法 - Google Patents

一种使用基于id的密码术进行网络和服务统一认证的方法 Download PDF

Info

Publication number
CN109075973A
CN109075973A CN201780028149.2A CN201780028149A CN109075973A CN 109075973 A CN109075973 A CN 109075973A CN 201780028149 A CN201780028149 A CN 201780028149A CN 109075973 A CN109075973 A CN 109075973A
Authority
CN
China
Prior art keywords
provider network
equipment
authentication
key
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201780028149.2A
Other languages
English (en)
Other versions
CN109075973B (zh
Inventor
康鑫
王海光
时杰
王贵林
杨艳江
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei International Pte Ltd
Original Assignee
Huawei International Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei International Pte Ltd filed Critical Huawei International Pte Ltd
Publication of CN109075973A publication Critical patent/CN109075973A/zh
Application granted granted Critical
Publication of CN109075973B publication Critical patent/CN109075973B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种统一认证方法,用于使设备根据基于身份的密码术来认证运营提供商网络和服务提供商网络,所述统一认证方法包括:所述设备生成认证数据包并向所述运营提供商网络传输所述认证数据包;响应于接收到所述认证数据包,所述运营提供商网络的所述单元基于所述认证类型确定认证的类型;响应于确定所述第一类型的认证,所述运营提供商网络的所述单元生成第一认证响应消息并向所述设备传输所述第一认证响应消息,并基于所述SP_ID向所述服务提供商网络的所述单元传输所述认证数据包;以及响应于接收到所述认证数据包,所述服务提供商网络的所述单元生成第二认证响应消息并向所述设备传输所述第二认证响应消息。

Description

一种使用基于ID的密码术进行网络和服务统一认证的方法
发明领域
本发明涉及一种运营提供商和服务提供商之间的认证框架的方法和系统。具体地,本发明涉及一种根据基于ID的密码术的运营提供商和服务提供商之间的统一认证框架的方法和系统。
现有技术概述
在当前的3G/4G蜂窝网络中,在用户设备(User Equipment,UE)和网络之间采用相互认证,以保护移动设备和网络在数据通信期间不被窃听或操纵。3G/4G采用的当前相互认证协议是认证和密钥协商(Authentication and Key Agreement,AKA)。为了执行AKA,UE和核心网(Core Network,CN)需要在两侧都保存一些预共享的机密信息。
在3G/4G网络中,在网络侧,凭证保存在名为归属用户服务器(Home SubscriberServer,HSS)的服务器中;而在UE侧,凭证保存在名为全球用户身份模块(UniversalSubscriber Identity Module,USIM)卡的独立设备中。USIM卡是内嵌在UE内USIM槽中的计算设备。USIM和UE可以通过特殊接口交换信息。目前,3G/4G网络在相互认证中使用对称密钥。因此,对于给定的国际移动用户识别码(International Mobile SubscriberIdentification,IMSI),保存在相应USIM和HSS中的凭证是相同的。
当UE想要接入网络并传输和接收数据时,UE必须基于AKA执行与CN的相互认证。图1所示的AKA过程称为网络接入认证。在AKA过程中,UE首先向移动性管理实体(MobilityManagement Entity,MME)发送附着请求。响应于接收到附着请求,MME将附着请求转发到HSS,HSS随后基于与UE共享的凭证生成认证向量。将认证向量发送到MME,MME随后向UE发送包含认证材料的认证数据响应。UE对网络进行认证,然后将包含认证码的用户认证发送给MME。进而,MME对认证码进行验证并对UE进行认证。在认证之后,UE与MME和eNB交换密钥材料以进一步生成用于控制和数据面的会话密钥。
在传统的通信系统中,当用户想要使用任何第三方服务时,必须进行服务认证。通常,服务认证基于“用户名+密码”,其安全级别远低于网络接入认证。用户必须首先进行网络接入认证,然后进行服务认证才能使用该服务。因此,必须维护两个认证系统以提供这种类型的认证服务。
因此,本领域技术人员正努力为用户提供更好的认证系统和方法,以便与运营提供商和服务提供商进行认证。
发明内容
本发明实施例提供的系统和方法解决了上述和其它问题,并且在本领域中取得了进步。根据本发明的系统和方法实施例的第一个优点是仅需要一个认证消息来认证蜂窝网络和服务提供商,这极大地方便了用户并减少了网络开销。根据本发明的系统和方法实施例的第二个优点是网络和服务统一认证框架实现了与网络认证相同的安全级别,该安全级别远高于服务认证的级别。
根据本发明的一方面,通过以下方式提供了一种统一认证方法,用于使设备根据基于身份的密码术来认证第一提供商网络和第二提供商网络,其中所述设备、第一提供商网络和第二提供商网络中的每一个具有公钥生成器发布的不同私钥以及相同全局公钥(Global Public Key,GPK)。所述统一认证方法包括:所述设备生成认证数据包并向所述第一提供商网络传输所述认证数据包,所述认证数据包包括认证类型(Auth.Type)和所述第二提供商网络的ID(SP_ID),其中所述Auth.Type包括:第一类型,其中认证涉及所述第一提供商网络的单元和所述第二提供商网络的单元;第二类型,其中认证涉及所述第一提供商网络的所述单元;以及第三类型,其中认证涉及所述第二提供商网络的所述单元;响应于接收到所述认证数据包,所述第一提供商网络的所述单元基于所述认证类型确定认证的类型;响应于确定所述第一类型的认证,所述第一提供商网络的所述单元生成第一认证响应消息并向所述设备传输所述第一认证响应消息,并基于所述SP_ID向所述第二提供商网络的所述单元传输所述认证数据包;以及响应于接收到所述认证数据包,所述第二提供商网络的所述单元生成第二认证响应消息并向所述设备传输所述第二认证响应消息。根据本发明的实施例,所述Sig_De由所述设备使用所述设备的所述秘密密钥和所述全局公钥(Global Public Key,GPK)生成。根据本实施例的实施例,所述认证数据包还包括第一随机数(RAND1)、所述设备的标识(Device_ID)和设备签名(Sig_De)。
根据本发明实施例,所述第一提供商网络的所述单元生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息的步骤包括:使用所述Device_ID和所述GPK验证所述Sig_De;以及响应于验证成功,生成第二随机数(RAND2)。随后,所述方法根据基于身份的加密(Identity Based Encryption,IBE)使用所述Device_ID生成包含RAND2的第一加密消息m1;使用所述第一提供商网络的所述秘密密钥和GPK生成签名(Sig_AN);以及向所述设备传输所述第一认证响应消息,其中所述第一认证响应消息包括所述第一提供商网络的标识(AN_ID)、RAND1、m1和Sig_AN。
根据本发明实施例,所述方法还包括:响应于接收到所述第一认证响应消息,所述设备执行以下步骤:通过使用AN_ID和所述GPK验证Sig_AN来认证所述第一提供商网络;响应于认证成功,使用所述设备的所述秘密密钥解密m1以获得RAND2;使用所述预定义的KDF导出第一会话密钥(K_com),其中输入参数是RAND1和RAND2;将所述第一会话密钥保存在所述设备的所述存储器中;使用MAC生成函数生成第一消息认证码(MAC1),其中RAND2和K_com作为所述输入;以及向所述第一提供商网络的所述单元传输MAC1。
根据本发明实施例,所述方法还包括:响应于接收到所述MAC1,所述第一提供商网络的所述单元执行以下步骤:使用预定义的密钥导出函数(Key Derivation Function,KDF)导出所述第一会话密钥(K_com),其中输入参数是RAND1和RAND2;使用所述相同MAC生成函数生成MAC,其中RAND2和K_com作为所述输入;确定MAC1是否等于MAC;以及响应于MAC1等于MAC,将所述第一会话密钥K_com保存在所述第一提供商网络的所述单元的存储器中。
根据本发明实施例,所述第二提供商网络的所述单元生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息的步骤包括:使用所述Device_ID和所述GPK验证所述Sig_De;以及响应于验证成功,生成第三随机数(RAND3);根据IBE使用所述Device_ID生成包含RAND3的第二加密消息(m2);使用所述第二提供商网络的所述秘密密钥和所述GPK生成签名(Sig_SP);以及生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息,其中所述第二认证响应消息包括所述第二提供商网络的标识(SP_ID)、RAND1、m2和Sig_SP。
根据本发明实施例,所述方法还包括:响应于接收到所述第二认证响应消息,所述设备执行以下步骤:通过使用SP_ID和所述GPK验证Sig_SP来认证所述第二提供商网络;响应于认证成功,使用所述设备的所述秘密密钥解密m2以获得RAND3;使用所述预定义的KDF导出第二会话密钥(K_ser),其中输入参数是RAND1和RAND3;将所述第二会话密钥保存在所述设备的所述存储器中;使用MAC生成函数生成第二消息认证码(MAC1),其中RAND3和K_ser作为所述输入;以及向所述第二提供商网络的所述单元传输MAC2。
根据本发明实施例,所述方法还包括:响应于接收到所述MAC2,所述第二提供商网络的所述单元执行以下步骤:使用所述预定义的KDF导出所述第二会话密钥(K_ser),其中输入参数是RAND1和RAND3;使用所述相同MAC生成函数生成MAC,其中RAND3和K_ser作为所述输入;确定MAC2是否等于MAC;以及响应于MAC2等于MAC,将所述第二会话密钥K_ser保存在所述第二提供商网络的所述单元的存储器中。
根据本发明实施例,所述方法还包括:响应于确定所述第二类型的认证,所述第一提供商网络的所述单元生成第三认证响应消息并向所述设备传输所述第三认证响应消息。
根据本发明实施例,所述第一提供商网络的所述单元生成所述第三认证响应消息并向所述设备传输所述第三认证响应消息的步骤包括:使用所述Device_ID和所述GPK验证所述Sig_De;响应于验证成功,生成第二随机数(RAND2)。
根据本发明实施例,所述第一提供商网络的所述单元生成所述第三认证响应消息并向所述设备传输所述第三认证响应消息的步骤还包括:根据基于身份的加密(IdentityBased Encryption,IBE)使用所述Device_ID生成包含所述RAND2的第一加密消息(m1);使用所述第一提供商网络的所述秘密密钥和GPK生成签名(Sig_AN);生成所述第三认证响应消息并向所述设备传输所述第三认证响应消息,其中所述第三认证响应消息包括所述第一提供商网络的标识(AN_ID)、RAND1、m1和Sig_AN。
根据本发明实施例,所述方法还包括:响应于接收到所述第三认证响应消息,所述设备执行以下步骤:通过使用AN_ID和所述GPK验证Sig_AN来认证所述第一提供商网络;响应于认证成功,使用所述设备的所述秘密密钥解密m1以获得RAND2;使用所述预定义的KDF导出第一会话密钥(K_com),其中输入参数是RAND1和RAND2;将所述会话密钥保存在所述设备的所述存储器中;使用MAC生成函数生成第一消息认证码(MAC1),其中RAND2和K_com作为所述输入;以及向所述第一提供商网络的所述单元传输MAC1。
根据本发明实施例,所述方法还包括:响应于接收到所述MAC1,所述第一提供商网络的所述单元执行以下步骤:使用预定义的密钥导出函数(Key Derivation Function,KDF)导出所述会话密钥(K_com),其中输入参数是RAND1和RAND2;使用所述相同MAC生成函数生成MAC,其中RAND2和K_com作为所述输入;确定MAC1是否等于MAC;以及响应于MAC1等于MAC,将所述会话密钥K_com保存在所述第一提供商网络的所述单元的存储器中。
根据本发明实施例,所述方法还包括:响应于确定所述第三类型的认证,所述第一提供商网络的所述单元向所述第二提供商网络的所述单元传输所述认证数据包。
根据本发明实施例,所述第二提供商网络的所述单元生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息的步骤包括:使用所述Device_ID和所述GPK验证所述Sig_De;响应于验证成功,生成第三随机数(RAND3)。
根据本发明实施例,所述第二提供商网络的所述单元生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息的步骤还包括:根据IBE使用所述Device_ID生成包含RAND3的第二加密消息(m2);使用所述第二提供商网络的所述秘密密钥和所述GPK生成签名(Sig_SP);生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息,其中所述第二认证响应消息包括所述第二提供商网络的标识(SP_ID)、RAND1、m2和Sig_SP。
根据本发明实施例,所述方法还包括:响应于接收到所述第二认证响应消息,所述设备执行以下步骤:通过使用SP_ID和所述GPK验证Sig_SP来认证所述第二提供商网络;响应于认证成功,使用所述设备的所述秘密密钥解密m2以获得RAND3;使用所述预定义的KDF导出第二会话密钥(K_ser),其中输入参数是RAND1和RAND3;将所述第二会话密钥保存在所述设备的所述存储器中;使用MAC生成函数生成第二消息认证码(MAC1),其中RAND3和K_ser作为所述输入;以及向所述第二提供商网络的所述单元传输MAC2。
根据本发明实施例,所述方法还包括:响应于接收到所述MAC2,所述第二提供商网络的所述单元执行以下步骤:使用所述预定义的KDF导出所述第二会话密钥(K_ser),其中输入参数是RAND1和RAND3;使用所述相同MAC生成函数生成MAC,其中RAND3和K_ser作为所述输入;确定MAC2是否等于MAC;以及响应于MAC2等于MAC,将所述第二会话密钥K_ser保存在所述第二提供商网络的所述单元的存储器中。
根据本发明的另一方面,提供了一种使用基于身份的密码术的认证框架中的设备,所述认证框架涉及所述设备、第一提供商网络和第二提供商网络,其中所述设备、所述第一提供商网络的单元和所述第二提供商网络的单元中的每一个具有公钥生成器发布的不同私钥以及相同全局公钥(Global Public Key,GPK),所述设备包括:处理器、存储器和指令,其中所述指令存储在所述存储器上并且可由所述处理器执行以用于:生成认证类型(Auth.Type),其中所述Auth.Type包括:第一类型,其中认证涉及所述第一提供商网络的所述单元和所述第二提供商网络的所述单元;第二类型,其中认证涉及所述第一提供商网络的所述单元;以及第三类型,其中认证涉及所述第二提供商网络的所述单元;生成认证数据包,其中所述认证数据包包括Auth.Type和服务提供商网络的ID(SP_ID);以及向所述第一提供商网络的所述单元传输所述认证数据包。所述Sig_De通过所述设备的所述秘密密钥和所述GPK生成。
根据本发明实施例,所述指令还包括用于以下操作的指令:生成第一随机数(RAND1);以及生成设备签名(Sig_De),其中所述认证数据包还包括RAND1、所述设备的标识(Device_ID)和Sig_De。
根据本发明实施例,响应于所述Auth.Type是所述第一类型或第二类型的认证,所述指令还包括用于以下操作的指令:从所述第一提供商网络的所述单元接收第一认证响应消息,其中所述第一认证响应消息包括所述第一提供商网络的标识(AN_ID)、RAND1、由所述第一提供商网络的所述单元根据基于身份的加密(Identity Based Encryption,IBE)使用所述Device_ID生成的包含第二随机数(RAND2)的第一加密消息m1,以及使用所述第一提供商网络的所述秘密密钥和所述GPK的签名(Sig_AN);通过使用AN_ID和所述GPK验证Sig_AN来认证所述第一提供商网络;响应于认证成功,使用所述设备的所述秘密密钥解密m1以获得RAND2;使用所述预定义的KDF导出所述第一会话密钥(K_com),其中输入参数是RAND1和RAND2;将所述第一会话密钥保存在所述设备的所述存储器中;使用MAC生成函数生成第一消息认证码(MAC1),其中RAND2和K_com作为所述输入;以及向所述第一提供商网络的所述单元传输MAC1。
根据本发明实施例,响应于所述Auth.Type是所述第一类型或第二类型的认证,所述指令还包括用于以下操作的指令:从所述第二提供商网络的所述单元接收第二认证响应消息,其中所述第二认证响应消息包括所述第二提供商网络的标识(SP_ID)、RAND1、由所述第二提供商网络的所述单元根据基于身份的加密(Identity Based Encryption,IBE)使用所述Device_ID生成的包含第三随机数(RAND3)的第二加密消息m2,以及使用所述第二提供商网络的所述秘密密钥和所述GPK的签名(Sig_SP);通过使用SP_ID和所述GPK验证Sig_SP来认证所述第二提供商网络;响应于认证成功,使用所述设备的所述秘密密钥解密m2以获得RAND3;使用所述预定义的KDF导出所述第二会话密钥(K_ser),其中输入参数是RAND1和RAND3;将所述第二会话密钥保存在所述设备的所述存储器中;使用MAC生成函数生成第二消息认证码(MAC1),其中RAND3和K_ser作为所述输入;以及向所述第二提供商网络的所述单元传输MAC2。
根据本发明实施例,响应于所述Auth.Type是所述第三类型的认证,所述指令还包括用于以下操作的指令:从所述第二提供商网络的所述单元接收认证响应消息,其中所述认证响应消息包括所述第二提供商网络的标识(SP_ID)、RAND1、由所述第二提供商网络的所述单元根据基于身份的加密(Identity Based Encryption,IBE)使用所述Device_ID生成的包含第二随机数(RAND2)的加密消息m,以及使用所述服务提供商网络的所述秘密密钥和所述GPK的签名(Sig_SP);通过使用SP_ID和所述GPK验证Sig_SP来认证所述第二提供商网络;响应于认证成功,使用所述设备的所述秘密密钥解密m2以获得RAND2;使用所述预定义的KDF导出所述第二会话密钥(K_ser),其中输入参数是RAND1和RAND2;将所述第二会话密钥保存在所述设备的所述存储器中;使用MAC生成函数生成消息认证码(MessageAuthentication Code,MAC),其中RAND2和K_ser作为所述输入;以及向所述第二提供商网络的所述单元传输MAC。
根据本发明的另一方面,提供了一种使用基于身份的密码术的的认证框架中的运营提供商网络,所述认证框架涉及设备、服务提供商网络和所述运营提供商网络,其中所述设备、运营提供商网络和服务提供商网络中的每一个具有公钥生成器发布的不同私钥以及相同全局公钥(Global Public Key,GPK),所述运营提供商网络包括:认证节点,包括处理器、存储器和指令,其中所述指令存储在所述存储器上并且可由所述处理器执行以用于:从所述设备接收认证数据包,所述认证数据包包括第一随机数(RAND1)、认证类型(Auth.Type)、服务提供商网络的ID(SP_ID)、所述设备的标识(Device_ID)和设备签名(Sig_De),其中所述Auth.Type包括:第一类型,其中认证涉及所述运营商和服务提供商网络;第二类型,其中认证涉及所述运营提供商网络;以及第三类型,其中认证涉及所述服务提供商网络;基于所述认证类型确定认证的类型;响应于确定所述第一类型的认证,生成第一认证响应消息并向所述设备传输所述第一认证响应消息,并基于所述SP_ID向所述第二提供商网络的单元传输所述认证数据包;响应于确定所述第二类型的认证,生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息;以及响应于确定所述第三类型的认证,向所述第二提供商网络的所述单元传输所述认证数据包。Sig_De由所述设备使用所述设备的所述秘密密钥以及所述公钥(Global Public Key,GPK)生成。所述认证数据包还包括第一随机数(RAND1)、所述设备的标识(Device_ID)和设备签名(Sig_De)。
根据本发明实施例,所述指令存储在所述认证节点的所述存储器上以生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息,包括用于以下操作的指令:使用所述Device_ID和所述GPK验证所述Sig_De;以及响应于验证成功,生成第二随机数(RAND2)。
根据本发明实施例,所述指令存储在所述认证节点的所述存储器上以生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息,还包括用于以下操作的指令:根据基于身份的加密(Identity Based Encryption,IBE)使用所述Device_ID生成包含RAND2的第一加密消息(m1);使用所述运营提供商网络的所述秘密密钥和所述GPK生成签名(Sig_AN);以及生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息,其中所述第一认证响应消息包括所述运营提供商网络的标识(AN_ID)、RAND1、m1和Sig_AN。
根据本发明实施例,所述指令存储在所述认证节点的所述存储器上以生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息,还包括用于以下操作的指令:接收所述设备通过MAC生成函数生成的第一消息认证码(MAC1),其中RAND2和第一会话密钥(K_com)作为所述输入;使用预定义的密钥导出函数(Key Derivation Function,KDF)导出所述第一会话密钥(K_com),其中输入参数是RAND1和RAND2;使用MAC生成函数生成MAC,其中RAND2和K_com作为所述输入;确定MAC1是否等于MAC;响应于MAC1等于MAC,将所述第一会话密钥K_com保存在所述认证节点的所述存储器中。
根据本发明的另一方面,提供了一种使用基于身份的密码术的认证框架中的服务提供商网络,所述认证框架涉及设备、运营提供商网络和所述服务提供商网络,其中所述设备、运营提供商网络和服务提供商网络中的每一个具有公钥生成器发布的不同私钥以及相同全局公钥(Global Public Key,GPK),所述服务提供商网络包括:认证单元,包括处理器、存储器和指令,其中所述指令存储在所述存储器上并且可由所述处理器执行以用于:从所述运营提供商网络接收认证数据包,所述认证数据包包括第一随机数(RAND1)、认证类型(Auth.Type)、服务提供商网络的ID(SP_ID)、所述设备的标识(Device_ID)和设备签名(Sig_De),其中所述Auth.Type包括:第一类型,其中认证涉及所述运营商和服务提供商网络;第二类型,其中认证涉及所述运营提供商网络;以及第三类型,其中认证涉及所述服务提供商网络;使用所述Device_ID和所述GPK验证所述Sig_De;响应于验证成功,生成第三随机数(RAND3)。
根据本发明实施例,所述指令还包括用于以下操作的指令:根据IBE使用所述Device_ID生成包含RAND3的第二加密消息(m2);使用所述服务提供商网络的所述秘密密钥和所述GPK生成签名(Sig_SP);生成所述第二认证响应消息并向所述设备传输第二认证响应消息,其中所述第二认证响应消息包括所述服务提供商网络的标识(SP_ID)、RAND1、m2和Sig_SP。
根据本发明实施例,所述指令还包括用于以下操作的指令:接收所述设备通过MAC生成函数生成的第二消息认证码(MAC2),其中RAND3和第二会话密钥(K_ser)作为所述输入;使用预定义的KDF导出所述第二会话密钥(K_ser),其中输入参数是RAND1和RAND3;使用所述MAC生成函数生成MAC,其中RAND3和K_ser作为所述输入;确定MAC2是否等于MAC;以及响应于MAC2等于MAC,将所述第二会话密钥K_ser保存在所述认证单元的所述存储器中。
根据本发明的另一方面,提供了一种统一认证方法,用于使设备根据基于身份的密码术来认证第一提供商网络和第二提供商网络,其中所述设备、第一提供商网络和第二提供商网络中的每一个具有公钥生成器发布的不同私钥以及相同全局公钥(GlobalPublic Key,GPK),所述统一认证方法包括:所述设备生成随机数(RAND1)并导出第一对称密钥(K_C)和第二对称密钥(K_S);所述设备生成认证数据包并向所述运营提供商网络传输所述认证数据包,所述认证数据包包括RAND1、认证类型(Auth.Type)、所述第二提供商网络的ID(SP_ID)、所述设备的标识(Device_ID)和设备签名(Sig_De),其中所述Auth.Type包括:第一类型,其中认证涉及所述第一提供商网络的单元和所述第二提供商网络的单元;第二类型,其中认证涉及所述第一提供商网络的所述单元;以及第三类型,其中认证涉及所述第二提供商网络的所述单元;响应于接收到所述认证数据包,所述第一提供商网络的所述单元基于所述认证类型确定认证的类型;响应于确定所述第一类型的认证,所述第一提供商网络的所述单元生成第一认证响应消息并向所述设备传输所述第一认证响应消息,并基于所述SP_ID向所述第二提供商网络的所述单元传输所述认证数据包;以及响应于接收到所述认证数据包,所述第二提供商网络的所述单元生成第二认证响应消息并向所述设备传输所述第二认证响应消息。所述Sig_De由所述设备使用所述设备的所述秘密密钥和所述全局公钥(Global Public Key,GPK)生成。
根据本发明实施例,所述第一对称密钥(K_C)通过所述设备的所述私钥(xH(Device_ID))和所述第一提供商网络的所述单元的标识(BS_ID)导出,所述第二对称密钥(K_S)通过所述xH(Device_ID)和所述第二提供商网络的所述单元的所述标识(SP_ID)导出。
根据本发明实施例,所述第一提供商网络的所述单元生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息的步骤包括:使用所述Device_ID和所述GPK验证所述Sig_De;以及响应于验证成功,生成第二随机数(RAND2)。
根据本发明实施例,所述第一提供商网络的所述单元生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息的步骤还包括:通过所述第一提供商网络的所述私钥(xH(BS_ID))和所述Device_ID导出所述第一对称密钥(K_C);使用所述K_C生成包含RAND2的第一加密消息(m1),并且可使用以下方式表示:m1=En(RAND2,K_C);使用所述第一提供商网络的所述秘密密钥和所述GPK生成签名(Sig_AN);以及生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息,其中所述第一认证响应消息包括所述第一提供商网络的标识(AN_ID)、RAND1、m1和Sig_AN。
根据本发明实施例,所述方法还包括:响应于接收到所述第一认证响应消息,所述设备执行以下步骤:通过使用AN_ID和所述GPK验证Sig_AN来认证所述第一提供商网络;响应于认证成功,使用所述第一对称密钥K_C解密m1以获得RAND2;使用预定义的KDF导出第一会话密钥(K_com),其中输入参数是RAND1和RAND2;将所述第一会话密钥保存在所述设备的所述存储器中;使用MAC生成函数生成第一消息认证码(MAC1),其中RAND2和K_com作为所述输入;以及向所述第一提供商网络的所述单元传输MAC1。
根据本发明实施例,所述方法还包括:响应于接收到所述MAC1,所述第一提供商网络的所述单元执行以下步骤:使用所述预定义的密钥导出函数(Key DerivationFunction,KDF)导出所述第一会话密钥(K_com),其中输入参数是RAND1和RAND2;使用所述相同MAC生成函数生成MAC,其中RAND2和K_com作为所述输入;确定MAC1是否等于MAC;以及响应于MAC1等于MAC,将所述第一会话密钥K_com保存在所述第一提供商网络的所述单元的存储器中。
根据本发明实施例,所述第二提供商网络的所述单元生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息的步骤包括:使用所述Device_ID和所述GPK验证所述Sig_De;以及响应于验证成功,生成第三随机数(RAND3)。
根据本发明实施例,所述第二提供商网络的所述单元生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息的步骤还包括:通过所述第二提供商网络的所述私钥(xH(SP_ID))和所述Device_ID导出所述第二对称密钥(K_S);使用所述K_S生成包含RAND3的第二加密消息(m2);使用所述第二提供商网络的所述秘密密钥和所述GPK生成签名(Sig_SP);生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息,其中所述第二认证响应消息包括所述第二提供商网络的标识(SP_ID)、RAND1、m2和Sig_SP。
根据本发明实施例,所述方法还包括:响应于接收到所述第二认证响应消息,所述设备执行以下步骤:通过使用SP_ID和所述GPK验证Sig_SP来认证所述第二提供商网络;响应于认证成功,使用所述第二对称密钥K_S解密m2以获得RAND3;使用所述预定义的KDF导出所述第二会话密钥(K_ser),其中输入参数是RAND1和RAND3;将所述第二会话密钥保存在所述设备的所述存储器中;使用MAC生成函数生成第二消息认证码(MAC1),其中RAND3和K_ser作为所述输入;以及向所述第二提供商网络的所述单元传输MAC2。
根据本发明实施例,所述方法还包括:响应于接收到所述MAC2,所述第二提供商网络的所述单元执行以下步骤:使用所述预定义的KDF导出第二会话密钥(K_ser),其中输入参数是RAND1和RAND3;使用所述相同MAC生成函数生成MAC,其中RAND3和K_ser作为所述输入;确定MAC2是否等于MAC;响应于MAC2等于MAC,将所述第二会话密钥K_ser保存在所述第二提供商网络的所述单元的存储器中。
根据本发明的另一方面,提供了一种统一认证方法,用于使设备根据基于身份的密码术来认证第一提供商网络和第二提供商网络,其中所述设备、第一提供商网络和第二提供商网络中的每一个具有公钥生成器发布的不同私钥以及相同全局公钥(GlobalPublic Key,GPK)。所述统一认证方法包括:所述设备生成随机数(RAND1)并导出DH公钥(A),所述DH公钥(A)由A=gRAND1mod p导出,其中mod表示所述取模运算;所述设备生成认证数据包并向所述运营提供商网络传输所述认证数据包,所述认证数据包包括DH公钥(A)、认证类型(Auth.Type)、所述第二提供商网络的ID(SP_ID)、所述设备的标识(Device_ID)以及设备签名(Sig_De),其中所述Auth.Type包括:第一类型,其中认证涉及所述第一提供商网络的单元和所述第二提供商网络的单元;第二类型,其中认证涉及所述第一提供商网络的所述单元;以及第三类型,其中认证涉及所述第二提供商网络的所述单元;响应于接收所述认证数据包,所述第一提供商网络的所述单元基于所述认证类型确定认证的类型;响应于确定所述第一类型的认证,所述第一提供商网络的所述单元生成第一认证响应消息并向所述设备传输所述第一认证响应消息,并基于所述SP_ID向所述第二提供商网络的所述单元传输所述认证数据包;以及响应于接收到所述认证数据包,所述第二提供商网络的所述单元生成第二认证响应消息并向所述设备传输所述第二认证响应消息。所述Sig_De由所述设备使用所述设备的所述秘密密钥和所述全局公钥(Global Public Key,GPK)生成。
根据本发明实施例,所述第一提供商网络的所述单元生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息的步骤包括:使用所述Device_ID和所述GPK验证所述Sig_De;以及响应于验证成功,生成第二随机数(RAND2)。
根据本发明实施例,所述第一提供商网络的所述单元生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息的步骤还包括:导出DH公钥(B),其中B=gRAND2modp;以及导出第一会话密钥(K_com),其中K_com=ARAND2mod p。
根据本发明实施例,所述第一提供商网络的所述单元生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息的步骤还包括:使用所述第一提供商网络的所述秘密密钥和所述GPK生成签名(Sig_AN);以及生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息,其中所述第一认证响应消息包括所述第一提供商网络的标识(AN_ID)、DH公钥(A)、DH公钥(B)和Sig_AN。
根据本发明实施例,所述方法还包括:响应于接收到所述第一认证响应消息,所述设备执行以下步骤:通过使用AN_ID和所述GPK验证Sig_AN来认证所述第一提供商网络;响应于认证成功,使用所述DH公钥(B)导出所述第一会话密钥K_com,其中K_com=BRAND2mod p;将所述第一会话密钥保存在所述设备的所述存储器中;使用MAC生成函数生成第一消息认证码(MAC1),其中所述DH公钥(B)和K_com作为所述输入;以及向所述第一提供商网络的所述单元传输MAC1。
根据本发明实施例,所述方法还包括:响应于接收到所述MAC1,所述第一提供商网络的所述单元执行以下步骤:使用所述相同MAC生成函数生成MAC,其中DH公钥(B)和K_com作为所述输入;确定MAC1是否等于MAC;以及响应于MAC1等于MAC,将所述第一会话密钥K_com保存在所述第一提供商网络的所述单元的存储器中。
根据本发明实施例,所述第二提供商网络的所述单元生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息的步骤包括:使用所述Device_ID和所述GPK验证所述Sig_De;以及响应于验证成功,生成第三随机数(RAND3)。
根据本发明实施例,所述第二提供商网络的所述单元生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息的步骤还包括:导出DH公钥(C),其中C=gRAND3modp;以及导出第二会话密钥(K_ser),其中K_ser=ARAND3mod p。
根据本发明实施例,所述第二提供商网络的所述单元生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息的步骤还包括:使用所述第二提供商网络的所述秘密密钥和所述GPK生成签名(Sig_SP);以及生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息,其中所述第二认证响应消息包括所述第二提供商网络的标识(SP_ID)、DH公钥(A)、DH公钥(C)和Sig_SP。
根据本发明实施例,所述方法还包括:响应于接收到所述第二认证响应消息,所述设备执行以下步骤:通过使用SP_ID和所述GPK验证Sig_SP来认证所述第二提供商网络;响应于认证成功,使用所述DH公钥(C)导出所述第二会话密钥K_ser,其中K_ser=CRAND3mod p;将所述第二会话密钥保存在所述设备的所述存储器中;使用MAC生成函数生成第二消息认证码(MAC2),其中所述DH公钥(C)和K_ser作为所述输入;以及向所述第二提供商网络的所述单元传输MAC2。
根据本发明实施例,所述方法还包括:响应于接收到所述MAC2,所述第二提供商网络的所述单元执行以下步骤:使用所述相同MAC生成函数生成MAC,其中DH公钥(C)和K_ser作为所述输入;确定MAC2是否等于MAC;以及响应于MAC2等于MAC,将所述第二会话密钥K_ser保存在所述第二提供商网络的所述单元的存储器中。
附图说明
在以下详细描述中描述并在以下附图中示出根据本发明的以上优点和特征:
图1示出了AKA过程;
图2示出了根据本发明的使用认证类型来指示认证的类型以进行该认证;
图3示出了根据本发明的一种对用于导出密钥的随机数进行加密的运营提供商和服务提供商统一认证过程的过程300;
图4示出了根据本发明的一种使用对称密钥方法对用于导出密钥的随机数进行加密的运营提供商和服务提供商统一认证过程的过程400;
图5示出了根据本发明实施例的一种使用Diffie-Hellman对用于导出密钥的随机数进行加密的运营提供商和服务提供商统一认证过程的替代过程500;
图6示出了双方之间的标准Diffie-Hellman密钥协商过程;
图7示出了根据本发明实施例的一种对用于导出密钥的随机数进行加密的运营提供商和服务提供商统一认证过程的替代过程700;
图8示出了根据本发明实施例的一种对用于导出密钥的随机数进行加密的运营提供商和服务提供商统一认证过程的替代过程800;
图9示出了根据本发明实施例的一种对用于导出密钥的随机数进行加密的服务提供商认证过程的过程900;
图10示出了根据本发明实施例的一种对用于导出密钥的随机数进行加密的运营提供商认证过程的过程1000;
图11示出了根据本发明的由设备210执行的过程1100;
图12示出了根据本发明实施例的由运营提供商220的认证节点执行的过程1200;以及
图13示出了根据本发明实施例的由服务提供商230的认证单元执行的过程1300。
具体实施方式
本发明涉及一种运营提供商和服务提供商之间的认证框架的方法和系统。具体地,本发明涉及一种根据基于ID的密码术的运营提供商和服务提供商之间的统一认证框架的方法和系统。
通过根据本发明的系统和方法主要可以解决三个问题。首先,当前的运营提供商网络接入认证与服务提供商网络认证是分开的。因此,终端设备必须经过两个认证过程才能访问运营提供商网络和服务提供商网络。
其次,当前的服务提供商网络认证通常基于“用户名+密码”。换句话说,用户需要记住多组“用户名+密码”才能访问多个服务。这带来了不便和麻烦。通过所提出的统一认证,服务提供商网络认证可以与运营提供商网络认证一起完成,或者通过运营提供商网络认证方法完成。这意味着用户不需要记住任何密码,这给用户带来了极大便利。
最后,可以克服的另一个问题是在采用统一认证时保证用户隐私。具体地,用户和服务提供商之间的消息不应暴露给移动网络运营商(Mobile Network Operator,MNO),并且用户和MNO之间的消息不应暴露给服务提供商。
在本发明中,提出了一种使用基于ID的密码术的第一提供商网络和第二提供商网络统一认证方案。本质上,本概念是使用一个认证消息来成功实现第一提供商网络接入认证和第二提供商网络认证。出于本发明的目的,第一网络是运营提供商网络,第二网络是服务提供商网络。此外,引入了称为认证类型的新参数。认证类型用作指示符以识别用户希望继续进行哪些类型的认证(例如,仅运营提供商网络访问、仅服务提供商网络访问或统一认证)。此外,提出了几种不同的方法来保护用于生成会话密钥的随机数。
基于身份的密码术(identity-based cryptography,IBC)是一种公钥密码术,其中公钥是已知字符串,例如电子邮件地址、电话号码、域名或物理IP地址。对于基于IBC的系统,公钥生成器可以基于给定的全局公钥(Global Public Key,GPK)和全局秘密密钥(Global Secret Key,GSK)为任何给定ID生成私钥(SKID)。所生成的私钥SKID与GPK和ID一起分发给实体(Alice或Bob)。
IBC包括基于身份的加密(identity-based encryption,IBE)和基于身份的签名(identity-based signature,IBS)。IBE主要用于加密,而IBS主要用于签名消息。例如,当想要向Bob发送秘密消息时,Alice加密具有Bob的ID的消息。当Bob收到消息时,Bob用其私钥解密该消息。当Alice希望Bob对其自身进行认证时,Alice首先生成随机数,并进一步基于已知算法使用SKID和GPK生成随机数的签名。然后,Alice将带有随机数、签名及其ID的消息发送给另一个实体Bob。在接收到该消息之后,Bob基于已知算法使用所接收的随机数、签名,ID和GPK对Alice进行认证。如果验证成功,Bob随后会与Alice进行认证。同样,Alice也可以使用Bob的签名和ID对实体Bob进行认证。通过上面的示例,可以看出基于IBC的认证的优势在于在认证中不需要集中式服务器来保留设备凭证。
图2示出了使用认证类型250来指示认证的类型以进行该认证。如上所述,本发明公开了一种使用基于ID的密码术的运营提供商网络和服务提供商网络统一认证方案。虽然UE 210可以与运营提供商220和服务提供商230进行认证,但是本发明中提出的认证过程还允许用户单独地与运营商和服务提供商进行认证。因此,认证类型250用于识别要进行的认证的类型。出于本发明的目的,如果认证类型250是第一类型1,则UE与运营提供商220和服务提供商230两者进行认证。如果认证类型250是第二类型2,则UE与运营提供商220进行认证以进行运营商网络访问。如果认证类型250是第三类型3,则UE与服务提供商230进行认证以进行服务级访问。
首先讨论认证类型250的第一类型1,然后是第二类型2和第三类型3。
图3示出了一种对用于导出密钥的随机数进行加密的运营提供商和服务提供商统一认证过程的过程300。具体地,IBE用于加密随机数。
过程300开始于步骤305,即设备210生成随机数(RAND1)。然后,设备210在步骤310中向运营提供商220的认证节点(Authentication Node,AN)发送认证消息。认证消息包括认证类型(Auth.Type)250、服务提供商网络的ID(SP_ID)、设备ID(Device_ID)、RAND1和设备签名(Sig_De)。可能的消息格式如下:(Auth.Type,SP_ID,Device_ID,RAND1,Sig_De,……)。设备签名由设备通过IBS使用设备的秘密密钥(SKID)和GPK生成。由于过程300是运营提供商和服务提供商的统一认证过程,因此过程300的认证类型250是第一类型的认证1。
在步骤315中,响应于接收到认证消息,认证节点首先识别认证类型。如果认证类型是统一认证,则认证节点基于IBS使用设备ID(Device_ID)来验证设备签名(Sig_De)。具体地,认证节点使用设备ID(Device_ID)和GPK来验证设备签名(Sig_De)。如果验证成功,则AN生成随机数(RAND2)。此后,AN使用预定义的密钥导出函数(key derivation function,KDF)导出密钥(表示为K_com)。KDF的输入参数包括RAND1和RAND2,并且可使用以下方式表示:K_com=KDF(RAND1,RAND2,……)。
在步骤320中,AN将认证消息转发给服务提供商的认证单元。
在步骤325中,认证节点生成加密消息m1,并向设备210发送认证响应消息。加密消息m1根据IBE使用Device_ID加密RAND2而获得,并且可使用以下方式表示:m1=En(RAND2,Device_ID)。认证响应消息包括AN的ID(表示为AN_ID)、从设备接收的随机数(RAND1)、加密消息m1和AN签名(表示为Sig_AN)。AN签名由AN通过IBS使用AN的秘密密钥(SKID)和GPK生成。
在步骤330中,响应于从AN接收到认证响应消息,设备210通过验证AN签名(Sig_AN)来认证AN。具体地,设备使用AN的ID(AN_ID)和GPK来验证AN签名(Sig_AN)。如果验证成功,则设备使用其私钥和设备的SKID解密消息m1以获得RAND2。然后,设备使用预定义的KDF导出密钥(K_com)。KDF的输入参数应包括RAND1和RAND2,并且可使用以下方式表示:K_com=KDF(RAND1,RAND2,……)。然后,设备210将密钥K_com保存在其存储器中。RAND1也包含在认证响应消息中以防止重放攻击。
在步骤335中,设备210使用MAC生成函数生成消息认证码(MAC1),其中RAND2和K_com作为输入。设备向AN发送MAC1。
在步骤340中,响应于从设备210接收MAC1,AN对MAC1进行验证。为了对MAC1进行验证,AN使用相同MAC生成函数生成MAC,其中RAND2和K_com作为输入,并查看MAC1是否等于MAC。如果验证成功,则AN将密钥K_com保存在其存储器中。本领域技术人员将认识到,AN可以在该步骤中而不是在步骤315中导出密钥(表示为K_com)。具体地,在接收到MAC1时,AN在对MAC1进行验证之前导出密钥(表示为K_com)。
在步骤345中,响应于从AN接收到认证消息,服务提供商230的认证单元首先基于IBS使用设备ID(Device_ID)来验证设备签名(Sig_De)。具体地,认证单元使用设备ID(Device_ID)和GPK来验证设备签名(Sig_De)。如果验证成功,则认证单元生成随机数(RAND3)。然后,认证单元使用预定义的密钥导出函数(key derivation function,KDF)导出密钥(表示为K_ser)。KDF的输入参数应包括RAND1和RAND3,并且可使用以下方式表示:K_ser=KDF(RAND1,RAND3,……)。
在步骤350中,认证单元生成加密消息m2,并向设备210发送认证响应消息。加密消息m2根据IBE使用Device_ID加密RAND3而获得,并且可使用以下方式表示:m2=En(RAND3,Device_ID)。认证响应消息包括认证单元的ID(表示为SP_ID)、从设备接收的随机数(RAND1)、加密消息m2和认证单元签名(表示为Sig_SP)。认证单元签名由认证单元通过IBS使用认证单元的秘密密钥(SKID)和GPK生成。
在步骤355中,响应于从服务提供商230接收到认证响应消息,设备210通过验证认证单元的签名(Sig_SP)来对其进行认证。然后,设备使用其私钥解密消息m2以获得RAND3。然后,设备210使用预定义的KDF导出密钥(K_ser)。KDF的输入参数应包括RAND1和RAND3,并且可使用以下方式表示:K_ser=KDF(RAND1,RAND3,……)。然后,设备将密钥K_ser保存在其存储器中。
在步骤360中,设备使用MAC生成函数生成消息认证码(MAC2),其中RAND3和K_ser作为输入。设备210将MAC2发送到服务提供商230的认证单元。
在步骤365中,响应于接收MAC2,认证单元对MAC2进行验证。为了对MAC2进行验证,认证单元使用相同MAC生成函数生成MAC,其中RAND3和K_ser作为输入,并查看MAC2是否等于MAC。如果验证成功,则认证单元将密钥K_ser保存在其存储器中。本领域技术人员将认识到,认证单元可以在该步骤中而不是在步骤345中导出密钥(表示为K-ser)。具体地,在接收到MAC2时,认证单元在对MAC2进行验证之前导出密钥(表示为K-ser)。
过程300在步骤365之后结束。重要的是要注意,过程300中示出的步骤可以按所示顺序执行,或以不同顺序执行。例如,可以将步骤310中的认证数据包,即认证消息发送给服务提供商而不是运营提供商。或者,可以将步骤310中的认证数据包,即认证消息发送给服务提供商以及运营提供商。此外,两个或多个步骤可以并行执行而不是顺序执行。例如,步骤315、325至340可以与步骤345至365并行执行而不脱离本发明。
出于本发明的目的,假设设备210配备有多个公钥和私钥集,并且至少一个密钥集用于IBS,并且至少一个密钥集用于IBE。如果使用多组公钥和私钥,则在发送给运营提供商和服务提供商的认证消息中也会指示用于指示所使用的公钥和私钥集的索引,以便运营提供商和服务提供商知悉用于认证的公钥和私钥集。
出于本发明的目的,仅考虑三方,即设备、MNO等运营提供商和服务提供商。这里描述了MNO的一个网络单元,即认证节点。MNO可以提供另一个网络单元,称之为黑名单服务器。认证节点的功能是在授予设备访问权限之前对设备进行认证。黑名单服务器用于存储被侵设备ID。在认证设备之前,认证节点应首先确保设备ID不在黑名单服务器中。这里还描述了服务提供商的一个网络单元,即认证单元。服务提供商还可以提供称之为身份管理服务器的另一网络单元。认证单元的功能是在授予设备访问其服务之前对设备进行认证。身份管理服务器用于生成和管理设备的身份。
图4示出了一种使用对称密钥方法对用于导出密钥的随机数进行加密的运营提供商和服务提供商统一认证过程的过程400。除了随机数的加密之外,过程400类似于过程300。具体地,还使用对称密钥加密随机数。
过程400开始于步骤405,即设备210生成随机数(RAND1)并导出第一对称密钥(K_C)和第二对称密钥(K_S)。第一对称密钥(K_C)利用设备的私钥(xH(Device_ID))和AN的ID(BS_ID)导出,并且可使用以下方式表示:K_C=e(xH(Device_ID),H(BS_ID))。第二对称密钥(K_S)利用设备的私钥(xH(Device_ID))和认证单元的ID(SP_ID)导出,并且可使用以下方式表示:K_S=e(xH(Device_ID),H(SP_ID))。
然后,设备210在步骤410中向运营提供商220的认证节点(Authentication Node,AN)发送认证消息。认证消息包括认证类型(Auth.Type)250、服务提供商网络的ID(SP_ID)、设备ID(Device_ID)、RAND1和设备签名(Sig_De)。可能的消息格式如下:(Auth.Type,SP_ID,Device_ID,RAND1,Sig_De,……)。设备签名由设备通过IBS使用设备的秘密密钥(SKID)和GPK生成。这类似于过程300的步骤310。
在步骤415中,响应于接收到认证消息,认证节点首先识别认证类型。如果认证类型是统一认证,则认证节点基于IBS使用设备ID(Device_ID)来验证设备签名(Sig_De)。具体地,认证节点使用设备ID(Device_ID)和GPK来验证设备签名(Sig_De)。如果验证成功,则AN生成随机数(RAND2)。此后,AN使用预定义的密钥导出函数(key derivation function,KDF)导出密钥(表示为K_com)。KDF的输入参数包括RAND1和RAND2,并且可使用以下方式表示:K_com=KDF(RAND1,RAND2,……)。此后,AN利用其私钥(xH(BS_ID))和设备ID(Device_ID)导出另一对称密钥(K_C),并且可使用以下方式表示:K_C=e(xH(BS_ID),H(Device_ID))。
在步骤420中,AN将认证消息转发给服务提供商的认证单元。
在步骤425中,认证节点生成加密消息m1,并向设备210发送认证响应消息。加密消息m1通过使用K_C加密RAND2而获得,并且可使用以下方式表示:m1=En(RAND2,K_C)。认证响应消息包括AN的ID(表示为AN_ID)、从设备接收的随机数(RAND1)、加密消息m1和AN签名(表示为Sig_AN)。AN签名由AN通过IBS使用AN的秘密密钥(SKID)和GPK生成。
在步骤430中,响应于从AN接收到认证响应消息,设备210通过验证AN签名(Sig_AN)来认证AN。具体地,设备使用AN的ID(AN_ID)和GPK来验证AN签名(Sig_AN)。如果认证成功,则使用K_C解密消息m1以获得RAND2。然后,使用预定义的KDF导出密钥(K_com)。KDF的输入参数应包括RAND1和RAND2,并且可使用以下方式表示:K_com=KDF(RAND1,RAND2,......)。设备将密钥K_com保存在其存储器中。在步骤435中,设备210使用MAC生成函数生成消息认证码(MAC1),其中RAND2和K_com作为输入。设备向AN发送MAC1。
在步骤440中,响应于从设备210接收MAC1,AN对MAC1进行验证。为了对MAC1进行验证,AN使用相同MAC生成函数生成MAC,其中RAND2和K_com作为输入,并查看MAC1是否等于MAC。如果验证成功,则AN将密钥K_com保存在其存储器中。
在步骤445中,响应于从AN接收到认证消息,服务提供商230的认证单元首先基于IBS使用设备ID(Device_ID)来验证设备签名(Sig_De)。具体地,认证单元使用设备ID(Device_ID)和GPK来验证设备签名(Sig_De)。如果验证成功,则认证单元生成随机数(RAND3)。然后,认证单元使用预定义的密钥导出函数(key derivation function,KDF)导出密钥(表示为K_ser)。KDF的输入参数应包括RAND1和RAND3,并且可使用以下方式表示:K_ser=KDF(RAND1,RAND3,……)。此后,认证单元利用其私钥(xH(SP_ID))和设备ID(Device_ID)导出另一对称密钥(K_S),并且可使用以下方式表示:K_S=e(xH(SP_ID),H(Device_ID))。
在步骤450中,认证单元生成加密消息m2,并向设备210发送认证响应消息。加密消息m2通过使用K_S加密RAND3而获得,并且可使用以下方式表示:m2=En(RAND3,K_S)。认证响应消息包括认证单元的ID(表示为SP_ID)、从设备接收的随机数(RAND1)、加密消息m2和认证单元签名(表示为Sig_SP)。认证单元签名由认证单元通过IBS使用认证单元的秘密密钥(SKID)和GPK生成。
在步骤455中,响应于从服务提供商230接收到认证响应消息,设备210通过验证认证单元的签名(Sig_SP)来对其进行认证。然后,设备使用K_S解密消息m2以获得RAND3。然后,设备210使用预定义的KDF导出密钥(K_ser)。KDF的输入参数应包括RAND1和RAND3,并且可使用以下方式表示:K_ser=KDF(RAND1,RAND3,……)。然后,设备210将密钥K_ser保存在其存储器中。
在步骤460中,使用MAC生成函数生成消息认证码(MAC2),其中RAND3和K_ser作为输入。设备210将MAC2发送到服务提供商230的认证单元。
在步骤465中,响应于接收到MAC2,认证单元对MAC2进行验证。为了对MAC2进行验证,认证单元使用相同MAC生成函数生成MAC,其中RAND3和K_ser作为输入,并查看MAC2是否等于MAC。如果验证成功,则认证单元将密钥K_ser保存在其存储器中。
过程400在步骤465之后结束。在过程400中,对称密钥K_C和K_S的使用基于IBS方案的重要特征,其为:对于ID1_SK=xH(ID1)和ID2_SK=xH(ID2),对称密钥K=e(xH(ID1),H(ID2))等于K=e(H(ID1),xH(ID2))。图5示出了一种使用Diffie-Hellman对用于导出密钥的随机数进行加密的运营提供商和服务提供商统一认证过程的过程500。除了随机数的加密之外,过程500类似于过程300。具体地,使用Diffie-Hellman加密随机数。
过程500开始于步骤505,即设备210生成随机数(RAND1)和导出DH公钥(A)。DH公钥(A)由A=gRAND1mod p导出,其中mod表示取模运算。
然后,设备210在步骤510中向运营提供商220的认证节点(Authentication Node,AN)发送认证消息。认证消息包括认证类型(Auth.Type)250、服务提供商网络的ID(SP_ID)、设备ID(Device_ID)、设备的DH公钥(A)和设备签名(Sig_De)。可能的消息格式如下:(Auth.Type,SP_ID,Device_ID,A,Sig_De,……)。设备签名由设备通过IBS使用设备的秘密密钥(SKID)和GPK生成。
在步骤515中,响应于接收到认证消息,认证节点首先识别认证类型。如果认证类型是统一认证,则认证节点基于IBS使用设备ID(Device_ID)来验证设备签名(Sig_De)。具体地,认证节点使用设备ID(Device_ID)和GPK来验证设备签名(Sig_De)。如果验证成功,则AN生成随机数(RAND2)。此后,AN计算其DH公钥(B)并导出密钥(表示为K_com)。DH公钥(B)通过B=gRAND2mod p计算得出,而密钥通过K_com=ARAND2mod p导出。
在步骤520中,AN将认证消息转发给服务提供商的认证单元。
在步骤525中,认证节点向设备210发送认证响应消息。认证响应消息包括AN的ID(表示为AN_ID)、从设备接收的设备的DH公钥(A)、认证节点的DH公钥(B)和AN签名(表示为Sig_AN)。AN签名由AN通过IBS使用AN的秘密密钥(SKID)和GPK生成。
在步骤530中,响应于从AN接收到认证响应消息,设备210通过验证AN签名(Sig_AN)来认证AN。具体地,设备使用AN的ID(AN_ID)和GPK来验证AN签名(Sig_AN)。如果认证成功,则使用所接收的DH公钥来导出密钥(K_com),即K_com=BRAND2mod p。然后,设备210将密钥K_com保存在其存储器中。
在步骤535中,设备210使用MAC生成函数生成消息认证码(MAC1),其中B和K_com作为输入。设备向AN发送MAC1。
在步骤540中,响应于从设备210接收到MAC1,AN对MAC1进行验证。为了对MAC1进行验证,AN使用相同MAC生成函数生成MAC,其中B和K_com作为输入,并查看MAC1是否等于MAC。如果验证成功,则AN将密钥K_com保存在其存储器中。
在步骤545中,响应于从AN接收到认证消息,服务提供商230的认证单元首先基于IBS使用设备ID(Device_ID)来验证设备签名(Sig_De)。具体地,认证单元使用设备ID(Device_ID)和GPK来验证设备签名(Sig_De)。如果验证成功,则认证单元生成随机数(RAND3)。然后,认证单元通过C=gRAND3mod p计算其DH公钥(C),并通过K_ser=ARAND3mod p导出密钥。
在步骤550中,认证单元向设备210发送认证响应消息。认证响应消息包括认证单元的ID(表示为SP_ID)、从设备接收的设备的DH公钥(A)、认证单元的DH公钥(C)和认证单元签名(表示为Sig_SP)。认证单元签名由认证单元通过IBS使用认证单元的秘密密钥(SKID)和GPK生成。
在步骤555中,响应于从服务提供商230接收到认证响应消息,设备210通过验证认证单元的签名(Sig_SP)来对其进行认证。然后,设备使用所接收的DH公钥导出密钥(K_ser),即K_ser=CRAND1mod p。然后,设备210将密钥K_ser保存在其存储器中。
在步骤560中,设备使用MAC生成函数生成消息认证码(MAC2),其中C和K_ser作为输入。设备210将MAC2发送到服务提供商230的认证单元。
在步骤565中,响应于接收到MAC2,认证单元对MAC2进行验证。为了对MAC2进行验证,认证单元使用相同MAC生成函数生成MAC,其中C和K_ser作为输入,并查看MAC2是否等于MAC。如果验证成功,则认证单元将密钥K_ser保存在其存储器中。
过程500在步骤565之后结束。图6示出了两方,即Alice和Bob之间的标准Diffie-Hellman密钥协商过程。首先,双方必须同意不需要保密的任意数字。在本示例中,“g”和“p”是已知的,而“a”和“b”是未知的,K=Ab mod p=(gb mod p)b=gab mod p=(gb mod p)a=Bamod p。Alice为了与Bob交换密钥,Alice首先为“a”选择一个随机数并确定“A”。然后Alice向Bob发送“g”、“p”和“A”。响应于从Alice接收信息,Bob选择“b”并确定“B”。然后,Bob向Alice发送“B”。对于Alice,通过“B”能够确定K,因为K=Ba mod p。对于Bob,通过“A”能够确定K,因为K=Ab mod p。K是共享秘密密钥,只为Alice和Bob所知。
图7示出了一种对用于导出密钥的随机数进行加密的运营提供商和服务提供商统一认证过程的过程700。具体地,过程700示出了认证节点代表设备210与服务提供商进行认证。
过程700开始于步骤705,即设备210生成随机数(RAND1)。然后,设备210在步骤710中向运营提供商220的认证节点(Authentication Node,AN)发送认证消息。认证消息包括认证类型(Auth.Type)250、服务提供商网络的ID(SP_ID)、设备ID(Device_ID)、RAND1和设备签名(Sig_De)。可能的消息格式如下:(Auth.Type,SP_ID,Device_ID,RAND1,Sig_De,……)。设备签名由设备通过IBS使用设备的秘密密钥(SKID)和GPK生成。
在步骤715中,响应于接收到认证消息,认证节点首先识别认证类型。如果认证类型是统一认证,则认证节点基于IBS使用设备ID(Device_ID)来验证设备签名(Sig_De)。具体地,认证节点使用设备ID(Device_ID)和GPK来验证设备签名(Sig_De)。如果验证成功,则AN生成随机数(RAND2)。此后,AN使用预定义的密钥导出函数(key derivation function,KDF)导出密钥(表示为K_com)。KDF的输入参数包括RAND1和RAND2,并且可使用以下方式表示:K_com=KDF(RAND1,RAND2,……)。
在步骤720中,AN将认证消息转发给服务提供商的认证单元。
在步骤725中,响应于从AN接收到认证消息,服务提供商230的认证单元首先基于IBS使用设备ID(Device_ID)来验证设备签名(Sig_De)。具体地,认证单元使用设备ID(Device_ID)和GPK来验证设备签名(Sig_De)。如果验证成功,则认证单元生成随机数(RAND3)。然后,认证单元使用预定义的密钥导出函数(key derivation function,KDF)导出密钥(表示为K_ser)。KDF的输入参数应包括RAND1和RAND3,并且可使用以下方式表示:K_ser=KDF(RAND1,RAND3,……)。
在步骤730中,认证单元生成认证响应消息(m2)并将其发送到AN。认证响应消息(m2)包括认证单元的ID(表示为SP_ID)、从设备接收的随机数(RAND1)、加密消息m1和认证单元签名(表示为Sig_SP)。认证单元签名由认证单元通过IBS使用认证单元的秘密密钥(SKID)和GPK生成。加密消息m1根据IBE使用Device_ID加密RAND3而获得,并且可使用以下方式表示:m1=En(RAND3,Device_ID)。
在步骤735中,响应于接收到m2,认证节点生成加密消息m3,并向设备210发送认证响应消息。加密消息m3根据IBE使用Device_ID加密RAND2而获得,并且可使用以下方式表示:m3=En(RAND2,Device_ID)。认证响应消息包括m1、AN的ID(表示为AN_ID)、从设备接收的随机数(RAND1)、加密消息m3和AN签名(表示为Sig_AN)。AN签名由AN通过IBS使用AN的秘密密钥(SKID)和GPK生成。
在步骤740中,响应于从AN接收到认证响应消息,设备210通过验证AN签名(Sig_AN)来认证AN。具体地,设备使用AN的ID(AN_ID)和GPK来验证AN签名(Sig_AN)。如果验证成功,则设备使用其私钥和设备的SKID解密消息m3以获得RAND2。然后,设备使用预定义的KDF导出密钥(K_com)。KDF的输入参数应包括RAND1和RAND2,并且可使用以下方式表示:K_com=KDF(RAND1,RAND2,......)。然后,设备210将密钥K_com保存在其存储器中。然后,设备210使用从服务提供商获得的认证响应消息来对认证单元进行认证。设备210然后对服务提供商签名(Sig_SP)进行验证。然后,设备使用其私钥解密消息m1以获得RAND3。然后,设备210使用预定义的KDF导出密钥(K_ser)。KDF的输入参数应包括RAND1和RAND3,并且可使用以下方式表示:K_ser=KDF(RAND1,RAND3,……)。然后,设备210将密钥K_ser保存在其存储器中。
在步骤745,设备210使用MAC生成函数生成第一消息认证码(MAC1),其中RAND2和K_com作为输入,并使用MAC生成函数生成第二消息认证码(MAC2),其中RAND3和K_ser作为输入。设备向AN发送MAC1和MAC2。
在步骤750中,响应于从设备210接收到MAC1和MAC2,AN对MAC1进行验证。为了对MAC1进行验证,AN使用相同MAC生成函数生成MAC,其中RAND2和K_com作为输入,并查看MAC1是否等于MAC。如果验证成功,则AN将密钥K_com保存在其存储器中。本领域技术人员将认识到,AN可以在该步骤中而不是在步骤715中导出密钥(表示为K-com)。具体地,在接收到MAC1时,AN在对MAC1进行验证之前导出密钥(表示为K-com)。
在步骤755中,AN将MAC2转发给服务提供商。
在步骤760中,响应于从AN接收到MAC2,认证单元对MAC2进行验证。为了对MAC2进行验证,认证单元使用相同MAC生成函数生成MAC,其中RAND3和K_ser作为输入,并查看MAC2是否等于MAC。如果验证成功,则认证单元将密钥K_ser保存在其存储器中。本领域技术人员将认识到,认证单元可以在该步骤中而不是在步骤725中导出密钥(表示为K-ser)。具体地,在接收到MAC2时,认证单元在对MAC2进行验证之前导出密钥(表示为K-ser)。
过程700在步骤760之后结束。
图8示出了一种对用于导出密钥的随机数进行加密的运营提供商和服务提供商统一认证过程的过程800。具体地,过程800示出了在与服务提供商进行认证之前首先与运营提供商220进行认证的顺序过程。
过程800开始于步骤805,即设备210生成随机数(RAND1)。然后,设备210在步骤810中向运营提供商220的认证节点(Authentication Node,AN)发送认证消息。认证消息包括认证类型(Auth.Type)250、服务提供商网络的ID(SP_ID)、设备ID(Device_ID)、RAND1和设备签名(Sig_De)。可能的消息格式如下:(Auth.Type,SP_ID,Device_ID,RAND1,Sig_De,……)。设备签名由设备通过IBS使用设备的秘密密钥(SKID)和GPK生成。
在步骤815中,响应于接收到认证消息,认证节点首先识别认证类型。如果认证类型是统一认证,则认证节点基于IBS使用设备ID(Device_ID)来验证设备签名(Sig_De)。具体地,认证节点使用设备ID(Device_ID)和GPK来验证设备签名(Sig_De)。如果验证成功,则AN生成随机数(RAND2)。此后,AN使用预定义的密钥导出函数(key derivation function,KDF)导出密钥(表示为K_com)。KDF的输入参数包括RAND1和RAND2,并且可使用以下方式表示:K_com=KDF(RAND1,RAND2,……)。
在步骤820中,认证节点生成加密消息m1,并向设备210发送认证响应消息。加密消息m1根据IBE使用Device_ID加密RAND2而获得,并且可使用以下方式表示:m1=En(RAND2,Device_ID)。认证响应消息包括AN的ID(表示为AN_ID)、从设备接收的随机数(RAND1)、加密消息m1和AN签名(表示为Sig_AN)。AN签名由AN通过IBS使用AN的秘密密钥(SKID)和GPK生成。
在步骤825中,响应于从AN接收到认证响应消息,设备210通过验证AN签名(Sig_AN)来认证AN。具体地,设备使用AN的ID(AN_ID)和GPK来验证AN签名(Sig_AN)。如果验证成功,则设备使用其私钥和设备的SKID解密消息m1以获得RAND2。然后,设备使用预定义的KDF导出密钥(K_com)。KDF的输入参数应包括RAND1和RAND2,并且可使用以下方式表示:K_com=KDF(RAND1,RAND2,......)。然后,设备210将密钥K_com保存在其存储器中。
在步骤830中,设备210使用MAC生成函数生成消息认证码(MAC1),其中RAND2和K_com作为输入。设备向AN发送MAC1。
在步骤835中,响应于从设备210接收到MAC1,AN对MAC1进行验证。为了对MAC1进行验证,AN使用相同MAC生成函数生成MAC,其中RAND2和K_com作为输入,并查看MAC1是否等于MAC。如果验证成功,则AN将密钥K_com保存在其存储器中。本领域技术人员将认识到,AN可以在该步骤中而不是在步骤815中导出密钥(表示为K-com)。具体地,在接收到MAC1时,AN在对MAC1进行验证之前导出密钥(表示为K-com)。
在步骤840中,AN将认证消息转发给服务提供商的认证单元。认证消息包括设备ID(Device_ID)、指示设备已成功与运营提供商进行认证的指示符(Auth_Succ)、从设备接收的随机数(RAND 1)、认证节点的签名(Sig_AN)。
在步骤845中,响应于从AN接收到认证消息,服务提供商230的认证单元首先验证AN签名(Sig_De)。具体地,认证单元使用设备ID(Device_ID)和GPK来验证设备签名(Sig_De)。如果验证成功,则认证单元生成随机数(RAND3)。然后,认证单元使用预定义的密钥导出函数(key derivation function,KDF)导出密钥(表示为K_ser)。KDF的输入参数应包括RAND1和RAND3,并且可使用以下方式表示:K_ser=KDF(RAND1,RAND3,……)。然后,认证单元将密钥K_ser保存在其存储器中。
在步骤850中,认证单元生成加密消息m2,并向AN发送认证响应消息。加密消息m2根据IBE使用Device_ID加密RAND3而获得,并且可使用以下方式表示:m2=En(RAND3,Device_ID)。认证响应消息包括认证单元的ID(表示为SP_ID)、从设备接收的随机数(RAND1)、加密消息m2和认证单元签名(表示为Sig_SP)。认证单元签名由认证单元通过IBS使用认证单元的秘密密钥(SKID)和GPK生成。
在步骤855中,响应于从服务提供商230接收到认证响应消息,AN通过验证认证单元的签名(Sig_SP)来对其进行认证。如果认证成功,则AN生成消息认证码MAC2并向设备发送消息。该消息包括加密消息m2、指示服务提供商被成功认证的指示符(SP_Auth)和MAC2。MAC2由AN使用m2、SP_Auth、K_com生成,并且可使用以下方式表示:MAC2=MAC(m2,SP_Auth,K_com)。
在步骤865中,响应于从AN接收到消息,设备对MAC2进行验证。为了对MAC2进行验证,设备使用相同MAC生成函数生成MAC,并查看MAC2是否等于MAC。如果验证成功,则设备使用其私钥解密消息m2以获得RAND3。然后,设备210使用预定义的KDF导出密钥(K_ser)。KDF的输入参数应包括RAND1和RAND3,并且可使用以下方式表示:K_ser=KDF(RAND1,RAND3,……)。然后,设备210将密钥K_ser保存在其存储器中。
过程800在步骤865之后结束。
图9示出了一种对用于导出密钥的随机数进行加密的服务提供商认证过程的过程900。仅当设备已与运营提供商建立网络连接时,此过程才适用。
过程900开始于步骤905,即设备210生成随机数(RAND1)。然后,设备210在步骤910中向运营提供商220的认证节点(Authentication Node,AN)发送认证消息。认证消息包括认证类型(Auth.Type)250、服务提供商网络的ID(SP_ID)、设备ID(Device_ID)、RAND1和设备签名(Sig_De)。可能的消息格式如下:(Auth.Type,SP_ID,Device_ID,RAND1,Sig_De,……)。设备签名由设备通过IBS使用设备的秘密密钥(SKID)和GPK生成。由于过程900是服务提供商认证过程,因此过程900的认证类型250是第三类型的认证3。
在步骤915中,响应于接收到认证消息,认证节点首先识别认证类型。如果认证类型是第三类型的认证3,则认证节点在步骤920中将认证消息转发到服务提供商的认证单元。
在步骤925中,响应于从AN接收到认证消息,服务提供商230的认证单元首先基于IBS使用设备ID(Device_ID)来验证设备签名(Sig_De)。具体地,认证单元使用设备ID(Device_ID)和GPK来验证设备签名(Sig_De)。如果验证成功,则认证单元生成随机数(RAND2)。然后,认证单元使用预定义的密钥导出函数(key derivation function,KDF)导出密钥(表示为K_ser)。KDF的输入参数应包括RAND1和RAND2,并且可使用以下方式表示:K_ser=KDF(RAND1,RAND2,……)。
在步骤930中,认证单元生成加密消息(m),并向设备210发送认证响应消息。加密消息m根据IBE使用Device_ID加密RAND2而获得,并且可使用以下方式表示:m=En(RAND2,Device_ID)。认证响应消息包括认证单元的ID(表示为SP_ID)、从设备接收的随机数(RAND1)、加密消息m和认证单元签名(表示为Sig_SP)。认证单元签名由认证单元通过IBS使用认证单元的秘密密钥(SKID)和GPK生成。
在步骤935中,响应于从服务提供商230接收到认证响应消息,设备210通过验证认证单元的签名(Sig_SP)来对其进行认证。然后,设备使用其私钥解密消息m以获得RAND2。然后,设备210使用预定义的KDF导出密钥(K_ser)。KDF的输入参数应包括RAND1和RAND2,并且可使用以下方式表示:K_ser=KDF(RAND1,RAND2,……)。然后,设备210将密钥K_ser保存在其存储器中。
在步骤940中,设备使用MAC生成函数生成消息认证码(MAC1),其中RAND2和K_ser作为输入。设备210将MAC1发送到服务提供商230的认证单元。
在步骤945中,响应于接收到MAC1,认证单元对MAC1进行验证。为了对MAC1进行验证,认证单元使用相同MAC生成函数生成MAC,其中RAND2和K_ser作为输入,并查看MAC1是否等于MAC。如果验证成功,则认证单元将密钥K_ser保存在其存储器中。本领域技术人员将认识到,认证单元可以在该步骤中而不是在步骤925中导出密钥(表示为K-ser)。具体地,在接收到MAC1时,认证单元在对MAC1进行验证之前导出密钥(表示为K-ser)。
过程900在步骤945之后结束。
图10示出了一种对用于导出密钥的随机数进行加密的运营提供商认证过程的过程1000。当设备希望访问运营提供商的网络时,此过程适用。
过程1000开始于步骤1005,即设备210生成随机数(RAND1)。然后,设备210在步骤1010中向运营提供商220的认证节点(Authentication Node,AN)发送认证消息。认证消息包括认证类型(Auth.Type)250、设备ID(Device_ID)、RAND1和设备签名(Sig_De)。可能的消息格式如下:(Auth.Type,Device_ID,RAND1,Sig_De,……)。设备签名由设备通过IBS使用设备的秘密密钥(SKID)和GPK生成。由于过程1000是运营提供商和服务提供商统一认证过程,因此过程1000的认证类型250是第二类型的认证2。
在步骤1015中,响应于接收到认证消息,认证节点首先识别认证类型。如果认证类型是第二类型的认证,则认证节点基于IBS使用设备ID(Device_ID)来验证设备签名(Sig_De)。具体地,认证节点使用设备ID(Device_ID)和GPK来验证设备签名(Sig_De)。如果验证成功,则AN生成随机数(RAND2)。此后,AN使用预定义的密钥导出函数(key derivationfunction,KDF)导出密钥(表示为K_com)。KDF的输入参数包括RAND1和RAND2,并且可使用以下方式表示:K_com=KDF(RAND1,RAND2,……)。
在步骤1025中,认证节点生成加密消息m1,并向设备210发送认证响应消息。加密消息m1根据IBE使用Device_ID加密RAND2而获得,并且可使用以下方式表示:m1=En(RAND2,Device_ID)。认证响应消息包括AN的ID(表示为AN_ID)、从设备接收的随机数(RAND1)、加密消息m1和AN签名(表示为Sig_AN)。AN签名由AN通过IBS使用AN的秘密密钥(SKID)和GPK生成。
在步骤1030中,响应于从AN接收到认证响应消息,设备210通过验证AN签名(Sig_AN)来认证AN。具体地,设备使用AN的ID(AN_ID)和GPK来验证AN签名(Sig_AN)。如果验证成功,则设备使用其私钥和设备的SKID解密消息m1以获得RAND2。然后,设备使用预定义的KDF导出密钥(K_com)。KDF的输入参数应包括RAND1和RAND2,并且可使用以下方式表示:K_com=KDF(RAND1,RAND2,......)。然后,设备210将密钥K_com保存在其存储器中。
在步骤1035中,设备210使用MAC生成函数生成消息认证码(MAC1),其中RAND2和K_com作为输入。设备向AN发送MAC1。
在步骤1040中,响应于从设备210接收到MAC1,AN对MAC1进行验证。为了对MAC1进行验证,AN使用相同MAC生成函数生成MAC,其中RAND2和K_com作为输入,并查看MAC1是否等于MAC。如果验证成功,则AN将密钥K_com保存在其存储器中。本领域技术人员将认识到,AN可以在该步骤中而不是在步骤1015中导出密钥(表示为K-com)。具体地,在接收到MAC1时,认证节点在对MAC1进行验证之前导出密钥(表示为K-com)。
过程1000在步骤1040之后结束。
图11示出了根据本发明的由设备210执行的过程1100。过程1100开始于步骤1105,即生成随机数(RAND1)。
在如过程400所述的另一实施例中,可以修改步骤1105以进一步导出第一对称密钥(K_C)和第二对称密钥(K_S)。第一对称密钥(K_C)利用设备的私钥(xH(Device_ID))和AN的ID(BS_ID)导出,并且可使用以下方式表示:K_C=e(xH(Device_ID),H(BS_ID))。第二对称密钥(K_S)利用设备的私钥(xH(Device_ID))和认证单元的ID(SP_ID)导出,并且可使用以下方式表示:K_S=e(xH(Device_ID),H(SP_ID))。
在如过程500所述的另一实施例中,可以修改步骤1105以进一步导出DH公钥(A)。DH公钥(A)由A=gRAND1mod p导出,其中mod表示取模运算。
在步骤1110中,过程1100确定认证的类型。如果认证是针对涉及运营提供商和服务提供商的统一认证,则过程1100指示1以进行第一类型的认证,并且此后继续执行步骤1160。如果认证是针对仅涉及运营提供商的认证,则过程1100指示2以进行第二类型的认证,并且此后继续执行步骤1140。如果认证是针对仅涉及服务提供商的认证,则过程1100指示3以进行第三类型的认证,并且此后继续执行步骤1115。
在步骤1115中,过程1100向运营提供商220的认证节点(Authentication Node,AN)发送认证消息。认证消息包括认证类型(Auth.Type)250、服务提供商网络的ID(SP_ID)、设备ID(Device_ID)、RAND1和设备签名(Sig_De)。可能的消息格式如下:(Auth.Type,SP_ID,Device_ID,RAND1,Sig_De,……)。设备签名由设备通过IBS使用设备的秘密密钥(SKID)和GPK生成。
在如过程500所述的另一实施例中,可以修改步骤1115,使得认证消息包括认证类型(Auth.Type)250、服务提供商网络的ID(SP_ID)、设备ID(Device_ID)、设备的DH公钥(A)和设备签名(Sig_De)。可能的消息格式如下:(Auth.Type,SP_ID,Device_ID,A,Sig_De,……)。
在步骤1120中,过程1100从服务提供商230接收认证响应消息。认证响应消息包括认证单元的ID(表示为SP_ID)、从设备接收的随机数(RAND1)、加密消息m和认证单元签名(表示为Sig_SP)。加密消息m通过服务提供商230的认证单元根据IBE使用Device_ID加密RAND2而导出,并且可使用以下方式表示:m=En(RAND2,Device_ID)。
在步骤1125中,过程1100通过认证其签名(Sig_SP)来认证服务提供商230。如果认证成功,则过程1100使用设备的私钥解密消息m以获得RAND2,并使用预定义的KDF导出密钥(K_ser)。KDF的输入参数包括RAND1和RAND2,并且可使用以下方式表示:K_ser=KDF(RAND1,RAND2,……)。
在步骤1130中,过程1100将密钥(K-ser)、RAND1和RAND2保存在存储器中。然后,过程1100生成消息认证码(Message Authentication Code,MAC)并向服务提供商230传输该消息认证码。该MAC通过MAC生成函数而生成,其中RAND2和K_ser作为输入。
步骤1115至1130涉及第三类型的认证,其中设备与服务提供商230进行认证。
在步骤1140中,过程1100向运营提供商220的认证节点(Authentication Node,AN)发送认证消息。认证消息包括认证类型(Auth.Type)250、设备ID(Device_ID)、RAND1和设备签名(Sig_De)。可能的消息格式如下:(Auth.Type,Device_ID,RAND1,Sig_De,……)。设备签名由设备通过IBS使用设备的秘密密钥(SKID)和GPK生成。
在步骤1145中,过程1100从运营提供商220接收认证响应消息。认证响应消息包括AN的ID(表示为AN_ID)、从设备接收的随机数(RAND1)、加密消息m和AN签名(表示为Sig_AN)。加密消息m通过运营提供商根据IBE使用Device_ID加密RAND2而导出,并且可使用以下方式表示:m=En(RAND2,Device_ID)。
在步骤1150中,响应于从AN接收到认证响应消息,过程1100通过验证AN签名(Sig_AN)来认证AN。具体地,设备使用AN的ID(AN_ID)和GPK来验证AN签名(Sig_AN)。如果认证成功,则过程1100使用设备的私钥解密消息m以获得RAND2,并使用预定义的KDF导出密钥(K_com)。KDF的输入参数应包括RAND1和RAND2,并且可使用以下方式表示:K_com=KDF(RAND1,RAND2,......)。
在步骤1155中,过程1100将密钥(K-com)、RAND1和RAND2保存在存储器中。然后,过程1100生成消息认证码(Message Authentication Code,MAC)并向服务提供商230传输该消息认证码。该MAC通过MAC生成函数而生成,其中RAND2和K_com作为输入。
步骤1140至1155涉及第二类型的认证,其中设备与运营提供商220进行认证。
在步骤1160中,过程1100向运营提供商220的认证节点(Authentication Node,AN)发送认证消息。认证消息包括认证类型(Auth.Type)250、服务提供商网络的ID(SP_ID)、设备ID(Device_ID)、RAND1和设备签名(Sig_De)。可能的消息格式如下:(Auth.Type,SP_ID,Device_ID,RAND1,Sig_De,……)。
在步骤1165中,过程1100从运营提供商220或服务提供商230接收第一认证响应消息或第二认证响应消息。出于讨论目的,将假设第一认证响应消息来自运营提供商220,第二认证响应消息来自服务提供商230。
第一认证响应消息包括AN的ID(表示为AN_ID)、从设备接收的随机数(RAND1)、加密消息m1和AN签名(表示为Sig_AN)。加密消息m1通过运营提供商220根据IBE使用Device_ID加密RAND2而导出,并且可使用以下方式表示:m1=En(RAND2,Device_ID)。
在如过程400所述的另一实施例中,可以修改步骤1165,使得第一认证响应消息包括AN的ID(表示为AN_ID)、从设备接收的随机数(RAND1)、加密消息m1和AN签名(表示为Sig_AN)。加密消息m1通过使用K_C对RAND2进行加密而获得,并且可使用以下方式表示:m1=En(RAND2,K_C)。
在如过程500所述的另一实施例中,可以修改步骤1165,使得第一认证响应消息包括AN的ID(表示为AN_ID)、从设备接收的设备的DH公钥(A)、认证节点的DH公钥(B)和AN签名(表示为Sig_AN)。
第二认证响应消息包括认证单元的ID(表示为SP_ID)、从设备接收的随机数(RAND1)、加密消息m2和认证单元签名(表示为Sig_SP)。加密消息m2通过认证单元根据IBE使用Device_ID加密RAND3而导出,并且可使用以下方式表示:m2=En(RAND3,Device_ID)。
在如过程400所述的另一实施例中,可以修改步骤1165,使得第二认证响应消息包括认证单元的ID(表示为SP_ID)、从设备接收的随机数(RAND1)、加密消息m2和认证单元签名(表示为Sig_SP)。加密消息m2通过使用K_S对RAND3进行加密而获得,并且可使用以下方式表示:m2=En(RAND3,K_S)。
在如过程500所述的另一实施例中,可以修改步骤1165,使得第二认证响应消息包括认证单元的ID(表示为SP_ID)、从设备接收的设备的DH公钥(A)、认证单元的DH公钥(C)和认证单元签名(表示为Sig_SP)。
在步骤1170中,响应于从运营提供商220接收到第一认证响应消息,过程1100通过验证AN签名(Sig_AN)来认证运营提供商220。具体地,设备使用AN的ID(AN_ID)和GPK来验证AN签名(Sig_AN)。如果认证成功,则过程1100使用设备的私钥解密消息m1以获得RAND2,并使用预定义的KDF导出密钥(K_com)。KDF的输入参数应包括RAND1和RAND2,并且可使用以下方式表示:K_com=KDF(RAND1,RAND2,......)。
在如过程400所述的另一实施例中,可以修改步骤1170,使得在过程1100通过验证AN签名(Sig_AN)成功认证AN之后,过程1100使用K_C解密消息m1以获得RAND2。然后,过程1100使用预定义的KDF导出密钥(K_com)。KDF的输入参数包括RAND1和RAND2,并且可使用以下方式表示:K_com=KDF(RAND1,RAND2,……)。
在如过程500所述的另一实施例中,可以修改步骤1170,使得在过程1100通过验证AN签名(Sig_AN)成功认证AN之后,过程1100使用所接收的DH公钥导出密钥(K_com),即K_com=BRAND2mod p。
在步骤1170中,响应于从运营提供商220或直接从服务提供商230接收到第二认证响应消息,过程1100通过验证其签名(Sig_SP)来认证服务提供商230。如果认证成功,则过程1100使用其私钥解密消息m2以获得RAND3,并使用预定义的KDF导出密钥(K_ser)。KDF的输入参数应包括RAND1和RAND3,并且可使用以下方式表示:K_ser=KDF(RAND1,RAND3,……)。
在如过程400所述的另一实施例中,可以修改步骤1170,使得在过程1100通过验证服务提供商230的签名(Sig_SP)成功认证服务提供商230之后,过程1100使用其私钥解密消息m2以获得RAND3,使用预定义的KDF导出密钥(K_ser)。KDF的输入参数应包括RAND1和RAND3,并且可使用以下方式表示:K_ser=KDF(RAND1,RAND3,……)。
在如过程500所述的另一实施例中,可以修改步骤1170,使得在过程1100通过验证服务提供商230的签名(Sig_SP)成功认证服务提供商230之后,过程1100使用所接收的DH公钥导出密钥(K_ser),即K_ser=CRAND1mod p。
在步骤1175中,过程1100根据在步骤1165中设备接收到的是第一认证响应消息还是第二认证响应消息,将用于运营提供商220的第一凭证或用于服务提供商230的第二凭证保存在存储器中。第一凭证包括密钥(K_com)。第二凭证包括密钥(K_ser)。
在步骤1180中,过程1100根据在步骤1165中设备接收到的是第一认证响应消息还是第二认证响应消息,生成第一消息认证码(MAC1)并向运营提供商220传输第一消息认证码,生成第二消息认证码MAC2并向服务提供商230传输第二消息认证码。使用MAC生成函数生成MAC1,其中RAND2和K_com作为输入。使用MAC生成函数生成MAC2,其中RAND3和K_ser作为输入。
在步骤1185中,过程1100确定是否已接收到两个认证响应消息。如果已经接收到两个认证响应消息,则过程1100结束。否则,过程1100从步骤1165重复并等待第二认证响应。
图12示出了由运营提供商220的认证节点执行的过程1200。过程1200开始于步骤1205,即从设备210接收认证消息。
在步骤1210中,过程1200基于认证类型(Auth.Type)250确定认证的类型。如果Auth.Type指示1,则过程1200确定第一类型的认证,并且此后继续执行步骤1260。如果Auth.Type指示2,则过程1200确定第二类型的认证,并且此后继续执行步骤1240。如果Auth.Type指示3,则过程1200确定第三类型的认证,并且此后继续执行步骤1215。
在步骤1215中,过程1200将认证消息转发给服务提供商230的认证单元。
在步骤1240中,过程1200基于IBS使用设备ID(Device_ID)来验证设备签名(Sig_De)。具体地,认证节点使用设备ID(Device_ID)和GPK来验证设备签名(Sig_De)。如果验证成功,则过程1200在步骤1245中生成随机数(RAND2)并使用预定义的密钥导出函数(keyderivation function,KDF)导出密钥(表示为K_com)。KDF的输入参数包括RAND1和RAND2,并且可使用以下方式表示:K_com=KDF(RAND1,RAND2,……)。
在步骤1250中,过程1200生成加密消息m1,并向设备210发送认证响应消息。加密消息m1根据IBE使用Device_ID加密RAND2而获得,并且可使用以下方式表示:m1=En(RAND2,Device_ID)。认证响应消息包括AN的ID(表示为AN_ID)、从设备接收的随机数(RAND1)、加密消息m1和AN签名(表示为Sig_AN)。AN签名由AN通过IBS使用AN的秘密密钥(SKID)和GPK生成。
在步骤1255中,过程1200从设备210接收MAC1。作为响应,过程1200通过使用相同MAC生成函数生成MAC来验证MAC1,其中RAND2和K_com作为输入,并且查看MAC1是否等于MAC。如果MAC等于MAC1,则过程1200在步骤1258中将K_com、RAND1和RAND2保存在存储器中。本领域技术人员将认识到,认证节点可以在该步骤中而不是在步骤1245中导出密钥(表示为K-com)。具体地,在接收到MAC1时,认证节点在对MAC1进行验证之前导出密钥(表示为K-com)。
在步骤1260中,过程1200基于IBS使用设备ID(Device_ID)来验证设备签名(Sig_De)。具体地,认证节点使用设备ID(Device_ID)和GPK来验证设备签名(Sig_De)。如果验证成功,则过程1200生成随机数(RAND2)并使用预定义的密钥导出函数(key derivationfunction,KDF)导出密钥(表示为K_com)。KDF的输入参数包括RAND1和RAND2,并且可使用以下方式表示:K_com=KDF(RAND1,RAND2,……)。
在步骤1265中,过程1200将认证消息转发给服务提供商的认证单元。本领域技术人员将认识到,步骤1265可以在步骤1260之前发生而不脱离本发明。
在步骤1270中,过程1200生成加密消息m1,并向设备210发送认证响应消息。加密消息m1根据IBE使用Device_ID加密RAND2而获得,并且可使用以下方式表示:m1=En(RAND2,Device_ID)。认证响应消息包括AN的ID(表示为AN_ID)、从设备接收的随机数(RAND1)、加密消息m1和AN签名(表示为Sig_AN)。AN签名由AN通过IBS使用AN的秘密密钥(SKID)和GPK生成。
在步骤1275中,过程1200从设备210接收MAC1。作为响应,过程1200对MAC1进行验证。为了对MAC1进行验证,AN使用相同MAC生成函数生成MAC,其中RAND2和K_com作为输入,并查看MAC1是否等于MAC。如果MAC1等于MAC,则过程1200在步骤1280中将K-com保存在存储器中。本领域技术人员将认识到,认证节点可以在该步骤中而不是在步骤1260中导出密钥(表示为K-com)。具体地,在接收到MAC1时,认证节点在对MAC1进行验证之前导出密钥(表示为K-com)。
过程1200在步骤1280之后结束。
图13示出了由服务提供商230的认证单元执行的过程1300。过程1300开始于步骤1305,即从AN接收认证消息。认证消息包括认证类型(Auth.Type)250、服务提供商网络的ID(SP_ID)、设备ID(Device_ID)、RAND1和设备签名(Sig_De)。可能的消息格式如下:(Auth.Type,SP_ID,Device_ID,RAND1,Sig_De,……)。
在步骤1310中,过程1300基于IBS使用设备ID(Device_ID)来验证设备签名(Sig_De)。具体地,认证单元使用设备ID(Device_ID)和GPK来验证设备签名(Sig_De)。如果验证成功,则过程1300在步骤1315中生成随机数(RAND2)并使用预定义的密钥导出函数(keyderivation function,KDF)导出密钥(表示为K_ser)。KDF的输入参数应包括RAND1和RAND2,并且可使用以下方式表示:K_ser=KDF(RAND1,RAND2,……)。
在步骤1320中,过程1300生成加密消息(m),并向设备210发送认证响应消息。加密消息m根据IBE使用Device_ID加密RAND2而获得,并且可使用以下方式表示:m=En(RAND2,Device_ID)。认证响应消息包括认证单元的ID(表示为SP_ID)、从设备接收的随机数(RAND1)、加密消息m和认证单元签名(表示为Sig_SP)。认证单元签名由认证单元通过IBS使用认证单元的秘密密钥(SKID)和GPK生成。
在步骤1325中,过程1300从设备210接收MAC1。作为响应,过程1300对MAC1进行验证。为了对MAC1进行验证,过程1300使用相同MAC生成函数生成MAC,其中RAND2和K_ser作为输入,并查看MAC1是否等于MAC。如果MAC1等于MAC,则过程1300在步骤1330中将包括K_ser的凭证保存在存储器中。本领域技术人员将认识到,认证单元可以在该步骤中而不是在步骤1315中导出密钥(表示为K-ser)。具体地,在接收到MAC1时,认证单元在对MAC1进行验证之前导出密钥(表示为K-ser)。
过程1300在步骤1330之后结束。
总而言之,如果设备210想要与运营和/或服务提供商网络进行认证,则该设备生成认证数据包并向运营提供商网络传输该认证数据包。认证数据包包括认证消息,包括认证类型(Auth.Type)、服务提供商网络的ID(SP_ID)、设备ID(Device_ID)、RAND1和设备签名(Sig_De)。
响应于接收到认证数据包,运营提供商网络确定认证的类型。如果认证是第一类型或第三类型,则运营提供商网络将认证数据包转发到服务提供商网络。运营提供商网络和服务提供商网络都会相应地处理认证数据包,即首先通过验证设备签名(Sig_De)来认证设备。具体地,运营提供商网络和服务提供商网络使用设备ID(Device_ID)和GPK来验证设备签名(Sig_De)。如果验证成功,则运营提供商网络和服务提供商网络分别生成RAND2和RAND3。此后,运营提供商网络和服务提供商网络分别生成K_com(使用具有RAND1和RAND2的KDF)和K-ser(使用具有RAND1和RAND3的KDF)。随机数(RAND2和RAND3)通过IBE使用设备ID进行加密,然后和各自对应的签名(Sig_AN和Sig_SP)一起传输给设备。或者,可以在运营商和服务提供商接收到MAC1和MAC2之后生成会话密钥K-com和K-ser。
响应于从运营提供商网络和服务提供商网络接收到加密的随机数,设备使用相应的身份(Sig_ID和SP_ID)来认证签名。如果验证成功,则设备解密随机数(RAND2和RAND3)并使用RAND2和RAND1导出用于运营提供商网络的第一会话密钥,并使用RAND3和RAND1导出用于服务提供商网络的第二会话密钥。然后,设备使用MAC生成函数为运营提供商网络生成第一消息认证码(MAC1),其中RAND2和K_com作为输入,并使用MAC生成函数为服务提供商网络生成第二消息认证码(MAC2),其中RAND3和K_ser作为输入。然后向运营提供商网络传输MAC1和MAC2。
响应于接收到MAC1和MAC2,运营提供商网络首先认证MAC1。在可选实施例中,运营提供商网络和网络提供商网络分别在认证MAC1和MAC2之前生成K_com和K-ser。如果验证成功,则运营提供商网络保存第一会话密钥并将MAC2转发到服务提供商网络。响应于接收到MAC2,服务提供商网络验证MAC2。如果验证成功,则运营提供商网络保存第二会话密钥。
第一会话密钥K-com和第二会话密钥K-ser分别由设备用于与运营提供商网络和服务提供商网络进行通信。
所提出的方法可以应用于需要网络接入认证和服务认证的所有通信系统,包括5G通信系统的所有三个主要应用场景:增强型移动宽带(enhanced Mobile BroadBand,eMBB)、大规模物联网(massive Internet of Things,mIoT)、高可靠低延迟通信(UltraReliable Low Latency Communication,uRLLC)。
所提出的网络和服务统一认证使用一个认证数据包来生成两组会话密钥(一组用于网络,另一组用于服务),可以有效地分离网络运营商和服务提供商之间的信息。
注意,UE、设备、运营提供商网络的各种单元以及服务提供商网络的各种单元是众所周知的。因此,为简洁起见,省略了UE、设备、运营提供商网络的单元和服务提供商网络的单元中的每一个的操作系统、配置、结构、组件等。重要的是,根据本发明实施例的方法和系统以存储在存储介质上的指令形式提供,并且可由相应UE、设备、认证节点等运营提供商网络的单元和认证单元等服务提供商网络的单元的处理器执行。
以上是对用于与运营提供商和/或服务提供商进行认证的统一认证框架的方法和系统的实施例的描述。可以预见,本领域技术人员能够并且会基于本发明设计可选方法和系统,这会侵犯如以下权利要求中所述的本发明。

Claims (45)

1.一种统一认证方法,其特征在于,用于使设备根据基于身份的密码术来认证第一提供商网络和第二提供商网络,所述设备、所述第一提供商网络和所述第二提供商网络中的每一个具有公钥生成器发布的不同私钥以及相同全局公钥(Global Public Key,GPK),所述统一认证方法包括:
所述设备生成认证数据包并向所述第一提供商网络传输所述认证数据包,所述认证数据包包括认证类型(Auth.Type)和所述第二提供商网络的ID(SP_ID),其中所述Auth.Type包括:第一类型,其中认证涉及所述第一提供商网络的单元和所述第二提供商网络的单元;第二类型,其中认证涉及所述第一提供商网络的所述单元;以及第三类型,其中认证涉及所述第二提供商网络的所述单元;
响应于接收到所述认证数据包,所述第一提供商网络的所述单元基于所述认证类型确定认证的类型;
响应于确定所述第一类型的认证,所述第一提供商网络的所述单元生成第一认证响应消息并向所述设备传输所述第一认证响应消息,并基于所述SP_ID向所述第二提供商网络的所述单元传输所述认证数据包;以及
响应于接收到所述认证数据包,所述第二提供商网络的所述单元生成第二认证响应消息并向所述设备传输所述第二认证响应消息。
2.根据权利要求1所述的统一认证方法,其特征在于,所述认证数据包还包括第一随机数(RAND1)、所述设备的标识(Device_ID)和设备签名(Sig_De);
其中所述第一提供商网络的所述单元生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息的步骤包括:
使用所述Device_ID和所述GPK验证所述Sig_De;以及
响应于验证成功,生成第二随机数(RAND2);以及
根据基于身份的加密(Identity Based Encryption,IBE)使用所述Device_ID生成包含所述RAND2的第一加密消息(m1);
使用所述第一提供商网络的所述秘密密钥和GPK生成签名(Sig_AN);以及
向所述设备传输所述第一认证响应消息,其中所述第一认证响应消息包括所述第一提供商网络的标识(AN_ID)、所述RAND1、所述m1和所述Sig_AN。
3.根据权利要求2所述的统一认证方法,其特征在于,还包括:
响应于接收到所述第一认证响应消息,所述设备执行以下步骤:
通过使用AN_ID和所述GPK验证所述Sig_AN来认证所述第一提供商网络;
响应于认证成功,使用所述设备的所述秘密密钥解密m1以获得RAND2;
使用所述预定义的KDF导出第一会话密钥(K_com),其中输入参数是所述RAND1和所述RAND2;
将所述第一会话密钥保存在所述设备的所述存储器中;
使用MAC生成函数生成第一消息认证码(MAC1),其中所述RAND2和K_com作为所述输入;以及
向所述第一提供商网络的所述单元传输MAC1。
4.根据权利要求3所述的统一认证方法,其特征在于,还包括:
响应于接收到所述MAC1,所述第一提供商网络的所述单元执行以下步骤:
使用预定义的密钥导出函数(Key Derivation Function,KDF)导出所述第一会话密钥(K_com),其中输入参数是所述RAND1和RAND2;
使用所述相同MAC生成函数生成MAC,其中所述RAND2和K_com作为所述输入;
确定MAC1是否等于MAC;以及
响应于MAC1等于MAC,将所述第一会话密钥K_com保存在所述第一提供商网络的所述单元的存储器中。
5.根据权利要求4所述的统一认证方法,其特征在于,所述第二提供商网络的所述单元生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息的步骤包括:
使用所述Device_ID和所述GPK验证所述Sig_De;以及
响应于验证成功,生成第三随机数(RAND3);以及
根据IBE使用所述Device_ID生成包含RAND3的第二加密消息(m2);
使用所述第二提供商网络的所述秘密密钥和所述GPK生成签名(Sig_SP);以及
向所述设备传输所述第二认证响应消息,其中所述第二认证响应消息包括所述第二提供商网络的标识(SP_ID)、所述RAND1、所述m2和所述Sig_SP。
6.根据权利要求5所述的统一认证方法,其特征在于,还包括:
响应于接收到所述第二认证响应消息,所述设备执行以下步骤:
通过使用SP_ID和所述GPK验证Sig_SP来认证所述第二提供商网络;
响应于认证成功,使用所述设备的所述秘密密钥解密m2以获得RAND3;
使用所述预定义的KDF导出第二会话密钥(K_ser),其中输入参数是RAND1和RAND3;
将所述第二会话密钥保存在所述设备的所述存储器中;
使用MAC生成函数生成第二消息认证码(MAC2),其中RAND3和K_ser作为所述输入;以及
向所述第二提供商网络的所述单元传输MAC2。
7.根据权利要求6所述的统一认证方法,其特征在于,还包括:
响应于接收到所述MAC2,所述第二提供商网络的所述单元执行以下步骤:
使用所述预定义的密钥导出函数(Key Derivation Function,KDF)导出所述第二会话密钥(K_ser)),其中输入参数是RAND1和RAND3;
使用所述相同MAC生成函数生成MAC,其中RAND3和K_ser作为所述输入;
确定MAC2是否等于MAC;以及
响应于MAC2等于MAC,将所述第二会话密钥K_ser保存在所述第二提供商网络的所述单元的存储器中。
8.根据权利要求1所述的统一认证方法,其特征在于,还包括:
响应于确定所述第二类型的认证,所述第一提供商网络的所述单元生成第三认证响应消息并向所述设备传输所述第三认证响应消息。
9.根据权利要求8所述的统一认证方法,其特征在于,所述认证数据包还包括第一随机数(RAND1)、所述设备的标识(Device_ID)和设备签名(Sig_De);
其中,所述第一提供商网络的所述单元生成所述第三认证响应消息并向所述设备传输所述第三认证响应消息的步骤包括:
使用所述Device_ID和所述GPK验证所述Sig_De;以及
响应于验证成功,生成第二随机数(RAND2);
根据基于身份的加密(Identity Based Encryption,IBE)使用所述Device_ID生成包含所述RAND2的第一加密消息(m1);
使用所述第一提供商网络的所述秘密密钥和GPK生成签名(Sig_AN);以及
向所述设备传输所述第三认证响应消息,其中所述第三认证响应消息包括所述第一提供商网络的标识(AN_ID)、所述RAND1、所述m1和所述Sig_AN。
10.根据权利要求9所述的统一认证方法,其特征在于,还包括:
响应于接收到所述第三认证响应消息,所述设备执行以下步骤:
通过使用AN_ID和所述GPK验证Sig_AN来认证所述第一提供商网络;
响应于认证成功,使用所述设备的所述秘密密钥解密m1以获得RAND2;
使用所述预定义的KDF导出所述会话密钥(K_com),其中输入参数是RAND1和RAND2;
将所述会话密钥保存在所述设备的所述存储器中;
使用MAC生成函数生成第一消息认证码(MAC1),其中RAND2和K_com作为所述输入;以及
向所述第一提供商网络的所述单元传输MAC1。
11.根据权利要求10所述的统一认证方法,其特征在于,还包括:
响应于接收到所述MAC1,所述第一提供商网络的所述单元执行以下步骤:
使用预定义的密钥导出函数(Key Derivation Function,KDF)导出所述会话密钥(K_com),其中输入参数是RAND1和RAND2;
使用所述相同MAC生成函数生成MAC,其中RAND2和K_com作为所述输入;
确定MAC1是否等于MAC;以及
响应于MAC1等于MAC,将所述会话密钥K_com保存在所述第一提供商网络的所述单元的存储器中。
12.根据权利要求1所述的统一认证方法,其特征在于,还包括:
响应于确定所述第三类型的认证,所述第一提供商网络的所述单元向所述第二提供商网络的所述单元传输所述认证数据包。
13.根据权利要求12所述的统一认证方法,其特征在于,所述认证数据包还包括第一随机数(RAND1)、所述设备的标识(Device_ID)和设备签名(Sig_De);
其中,所述第二提供商网络的所述单元生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息的步骤包括:
使用所述Device_ID和所述GPK验证所述Sig_De;以及
响应于验证成功,生成第三随机数(RAND3);
根据IBE使用所述Device_ID生成包含RAND3的第二加密消息(m2);
使用所述第二提供商网络的所述秘密密钥和所述GPK生成签名(Sig_SP);以及
向所述设备传输所述第二认证响应消息,其中所述第二认证响应消息包括所述第二提供商网络的标识(SP_ID)、所述RAND1、所述m2和所述Sig_SP。
14.根据权利要求13所述的统一认证方法,其特征在于,还包括:
响应于接收到所述第二认证响应消息,所述设备执行以下步骤:
通过使用SP_ID和所述GPK验证Sig_SP来认证所述第二提供商网络;
响应于认证成功,使用所述设备的所述秘密密钥解密m2以获得RAND3;
使用所述预定义的KDF导出第二会话密钥(K_ser),其中输入参数是RAND1和RAND3;
将所述第二会话密钥保存在所述设备的所述存储器中;
使用MAC生成函数生成第二消息认证码(MAC1),其中RAND3和K_ser作为所述输入;以及
向所述第二提供商网络的所述单元传输MAC2。
15.根据权利要求14所述的统一认证方法,其特征在于,还包括:
响应于接收到所述MAC2,所述第二提供商网络的所述单元执行以下步骤:
使用所述预定义的KDF导出所述第二会话密钥(K_ser),其中输入参数是RAND1和RAND3;
使用所述相同MAC生成函数生成MAC,其中RAND3和K_ser作为所述输入;
确定MAC2是否等于MAC;以及
响应于MAC2等于MAC,将所述第二会话密钥K_ser保存在所述第二提供商网络的所述单元的存储器中。
16.一种使用基于身份的密码术的认证框架中的设备,其特征在于,所述认证框架涉及所述设备、第一提供商网络和第二提供商网络,所述设备、所述第一提供商网络的单元和所述第二提供商网络的单元中的每一个具有公钥生成器发布的不同私钥以及相同全局公钥(Global Public Key,GPK),所述设备包括:
处理器、存储器和指令,其中所述指令存储在所述存储器上并且可由所述处理器执行以用于:
生成认证类型(Auth.Type),其中所述Auth.Type包括:第一类型,其中认证涉及所述第一提供商网络的所述单元和所述第二提供商网络的所述单元;第二类型,其中认证涉及所述第一提供商网络的所述单元;以及第三类型,其中认证涉及所述第二提供商网络的所述单元;
生成认证数据包,其中所述认证数据包包括Auth.Type和所述第二提供商网络的ID;以及
向所述第一提供商网络的所述单元传输所述认证数据包。
17.根据权利要求16所述的设备,其特征在于,所述指令还包括用于以下操作的指令:
生成第一随机数(RAND1);
生成设备签名(Sig_De),其中所述认证数据包还包括RAND1、所述设备的标识(Device_ID)和Sig_De。
18.根据权利要求17所述的设备,其特征在于,响应于所述Auth.Type是所述第一类型或第二类型的认证,所述指令还包括用于以下操作的指令:
从所述第一提供商网络的所述单元接收第一认证响应消息,其中所述第一认证响应消息包括所述第一提供商网络的标识(AN_ID)、RAND1、由所述第一提供商网络的所述单元根据基于身份的加密(Identity Based Encryption,IBE)使用所述Device_ID生成的包含第二随机数(RAND2)的第一加密消息(m1),以及使用所述第一提供商网络的所述秘密密钥和所述GPK的签名(Sig_AN);
通过使用AN_ID和所述GPK验证Sig_AN来认证所述第一提供商网络;
响应于认证成功,使用所述设备的所述秘密密钥解密m1以获得RAND2;
使用所述预定义的KDF导出所述第一会话密钥(K_com),其中输入参数是RAND1和RAND2;
将所述第一会话密钥保存在所述设备的所述存储器中;
使用MAC生成函数生成第一消息认证码(MAC1),其中RAND2和K_com作为所述输入;以及
向所述第一提供商网络的所述单元传输MAC1。
19.根据权利要求18所述的设备,其特征在于,响应于所述Auth.Type是所述第一类型的认证,所述指令还包括用于以下操作的指令:
从所述第二提供商网络的所述单元接收第二认证响应消息,其中所述第二认证响应消息包括所述第二提供商网络的标识(SP_ID)、RAND1、由所述第二提供商网络的所述单元根据基于身份的加密(Identity Based Encryption,IBE)使用所述Device_ID生成的包含第三随机数(RAND3)的第二加密消息(m2),以及使用所述第二提供商网络的所述秘密密钥和所述GPK的签名(Sig_SP);
通过使用SP_ID和所述GPK验证Sig_SP来认证所述第二提供商网络;
响应于认证成功,使用所述设备的所述秘密密钥解密m2以获得RAND3;
使用所述预定义的KDF导出所述第二会话密钥(K_ser),其中输入参数是RAND1和RAND3;
将所述第二会话密钥保存在所述设备的所述存储器中;
使用MAC生成函数生成第二消息认证码(MAC1),其中RAND3和K_ser作为所述输入;以及
向所述第二提供商网络的所述单元传输MAC2。
20.根据权利要求19所述的设备,其特征在于,响应于所述Auth.Type是所述第三类型的认证,所述指令还包括用于以下操作的指令:
从所述第二提供商网络的所述单元接收认证响应消息,其中所述认证响应消息包括所述第二提供商网络的标识(SP_ID)、RAND1、由所述第二提供商网络的所述单元根据基于身份的加密(Identity Based Encryption,IBE)使用所述Device_ID生成的包含第二随机数(RAND3)的加密消息(m2),以及使用所述服务提供商网络的所述秘密密钥和所述GPK的签名(Sig_SP);
通过使用SP_ID和所述GPK验证Sig_SP来认证所述第二提供商网络;
响应于认证成功,使用所述设备的所述秘密密钥解密m2以获得RAND3;
使用所述预定义的KDF导出所述第二会话密钥(K_ser),其中输入参数是RAND1和RAND3;
将所述第二会话密钥保存在所述设备的所述存储器中;
使用MAC生成函数生成消息认证码(Message Authentication Code,MAC),其中RAND3和K_ser作为所述输入;以及
向所述第二提供商网络的所述单元传输MAC。
21.一种使用基于身份的密码术的认证框架中的运营提供商网络,其特征在于,所述认证框架涉及设备、服务提供商网络和所述运营提供商网络,所述设备、运营提供商网络和服务提供商网络中的每一个具有公钥生成器发布的不同私钥以及相同全局公钥(GlobalPublic Key,GPK),所述运营提供商网络包括:
认证节点,包括处理器、存储器和指令,其中所述指令存储在所述存储器上并且可由所述处理器执行以用于:
从所述设备接收认证数据包,所述认证数据包包括认证类型(Auth.Type)和服务提供商网络的ID(SP_ID),其中所述Auth.Type包括:第一类型,其中认证涉及所述运营商和服务提供商网络;第二类型,其中认证涉及所述运营提供商网络;以及第三类型,其中认证涉及所述服务提供商网络;
基于所述认证类型确定认证的类型;
响应于确定所述第一类型的认证,生成第一认证响应消息并向所述设备传输所述第一认证响应消息,并向所述服务提供商网络的单元传输所述认证数据包;
响应于确定所述第二类型的认证,生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息;以及
响应于确定所述第三类型的认证,向所述服务提供商网络的所述单元传输所述认证数据包。
22.根据权利要求21所述的运营提供商网络,其特征在于,所述认证数据包还包括第一随机数(RAND1)、所述设备的标识(Device_ID)和设备签名(Sig_De);
其中所述指令存储在所述认证节点的所述存储器上以生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息,包括用于以下操作的指令:
使用所述Device_ID和所述GPK验证所述Sig_De;以及
响应于验证成功,生成第二随机数(RAND2);
根据基于身份的加密(Identity Based Encryption,IBE)使用所述Device_ID生成包含RAND2的第一加密消息(m1);
使用所述运营提供商网络的所述秘密密钥和所述GPK生成签名(Sig_AN);以及
向所述设备传输所述第一认证响应消息,其中所述第一认证响应消息包括所述运营提供商网络的标识(AN_ID)、RAND1、m1和Sig_AN。
23.根据权利要求22所述的运营提供商网络,其特征在于,所述指令存储在所述认证节点的所述存储器上,还包括用于以下操作的指令:
接收所述设备通过MAC生成函数生成的第一消息认证码(MAC1),其中RAND2和第一会话密钥(K_com)作为所述输入;
使用预定义的密钥导出函数(Key Derivation Function,KDF)导出所述第一会话密钥(K_com),其中输入参数是RAND1和RAND2;
使用所述MAC生成函数生成MAC,其中RAND2和K_com作为所述输入;
确定MAC1是否等于MAC;以及
响应于MAC1等于MAC,将所述第一会话密钥K_com保存在所述认证节点的所述存储器中。
24.一种使用基于身份的密码术的认证框架中的服务提供商网络,其特征在于,所述认证框架涉及设备、运营提供商网络和所述服务提供商网络,所述设备、运营提供商网络和服务提供商网络中的每一个具有公钥生成器发布的不同私钥以及相同全局公钥(GlobalPublic Key,GPK),所述服务提供商网络包括:
认证单元,包括处理器、存储器和指令,其中所述指令存储在所述存储器上并且可由所述处理器执行以用于:
从所述运营提供商网络接收认证数据包,所述认证数据包包括第一随机数(RAND1)、认证类型(Auth.Type)、服务提供商网络的ID(SP_ID)、所述设备的标识(Device_ID)和设备签名(Sig_De),其中所述Auth.Type包括:第一类型,其中认证涉及所述运营商和服务提供商网络;第二类型,其中认证涉及所述运营提供商网络;以及第三类型,其中认证涉及所述服务提供商网络;
使用所述Device_ID和所述GPK验证所述Sig_De;以及
响应于验证成功,生成第三随机数(RAND3)。
25.根据权利要求24所述的服务提供商网络,其特征在于,所述指令还包括用于以下操作的指令:
根据IBE使用所述Device_ID生成包含RAND3的第二加密消息(m2);
使用所述服务提供商网络的所述秘密密钥和所述GPK生成签名(Sig_SP);以及
向所述设备传输第二认证响应消息,其中所述第二认证响应消息包括所述服务提供商网络的标识(SP_ID)、RAND1、m2和Sig_SP。
26.根据权利要求25所述的服务提供商网络,其特征在于,所述指令还包括用于以下操作的指令:
接收所述设备通过MAC生成函数生成的第二消息认证码(MAC2),其中RAND3和第二会话密钥(K_ser)作为所述输入;
使用预定义的KDF导出所述第二会话密钥(K_ser),其中输入参数是RAND1和RAND3;
使用所述MAC生成函数生成MAC,其中RAND3和K_ser作为所述输入;
确定MAC2是否等于MAC;以及
响应于MAC2等于MAC,将所述第二会话密钥K_ser保存在所述认证单元的存储器中。
27.一种统一认证方法,其特征在于,用于使设备根据基于身份的密码术来认证第一提供商网络和第二提供商网络,所述设备、所述第一提供商网络和所述第二提供商网络中的每一个具有公钥生成器发布的不同私钥以及相同全局公钥(Global Public Key,GPK),所述统一认证方法包括:
所述设备生成随机数(RAND1)并导出第一对称密钥(K_C)和第二对称密钥(K_S);
所述设备生成认证数据包并向所述运营提供商网络传输所述认证数据包,所述认证数据包包括RAND1、认证类型(Auth.Type)、所述第二提供商网络的ID(SP_ID)、所述设备的标识(Device_ID)和设备签名(Sig_De),其中所述Auth.Type包括:第一类型,其中认证涉及所述第一提供商网络的单元和所述第二提供商网络的单元;第二类型,其中认证涉及所述第一提供商网络的所述单元;以及第三类型,其中认证涉及所述第二提供商网络的所述单元;
响应于接收到所述认证数据包,所述第一提供商网络的所述单元基于所述认证类型确定认证的类型;
响应于确定所述第一类型的认证,所述第一提供商网络的所述单元生成第一认证响应消息并向所述设备传输所述第一认证响应消息,并基于所述SP_ID向所述第二提供商网络的所述单元传输所述认证数据包;以及
响应于接收到所述认证数据包,所述第二提供商网络的所述单元生成第二认证响应消息并向所述设备传输所述第二认证响应消息。
28.根据权利要求27所述的统一认证方法,其特征在于,所述第一对称密钥(K_C)通过所述设备的所述私钥(xH(Device_ID))和所述第一提供商网络的所述单元的标识(BS_ID)导出,所述第二对称密钥(K_S)通过所述xH(Device_ID)和所述第二提供商网络的所述单元的所述标识(SP_ID)导出。
29.根据权利要求28所述的统一认证方法,其特征在于,所述第一提供商网络的所述单元生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息的步骤包括:
使用所述Device_ID和所述GPK验证所述Sig_De;
响应于验证成功,生成第二随机数(RAND2);
通过所述第一提供商网络的所述私钥(xH(BS_ID))和所述Device_ID导出所述第一对称密钥(K_C);
使用所述K_C生成包含RAND2的第一加密消息m1,并且可使用以下方式表示:m1=En(RAND2,K_C);
使用所述第一提供商网络的所述秘密密钥和所述GPK生成签名(Sig_AN);以及
生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息,其中所述第一认证响应消息包括所述第一提供商网络的标识(AN_ID)、RAND1、m1和Sig_AN。
30.根据权利要求29所述的统一认证方法,其特征在于,还包括:
响应于接收到所述第一认证响应消息,所述设备执行以下步骤:
通过使用AN_ID和所述GPK验证Sig_AN来认证所述第一提供商网络;
响应于认证成功,使用所述第一对称密钥K_C解密m1以获得RAND2;
使用预定义的KDF导出第一会话密钥(K_com),其中输入参数是RAND1和RAND2;
将所述第一会话密钥保存在所述设备的所述存储器中;
使用MAC生成函数生成第一消息认证码(MAC1),其中RAND2和K_com作为所述输入;以及
向所述第一提供商网络的所述单元传输MAC1。
31.根据权利要求30所述的统一认证方法,其特征在于,还包括:
响应于接收到所述MAC1,所述第一提供商网络的所述单元执行以下步骤:
使用所述预定义的密钥导出函数(Key Derivation Function,KDF)导出所述第一会话密钥(K_com),其中输入参数是RAND1和RAND2;
使用所述相同MAC生成函数生成MAC,其中RAND2和K_com作为所述输入;
确定MAC1是否等于MAC;以及
响应于MAC1等于MAC,将所述第一会话密钥K_com保存在所述第一提供商网络的所述单元的存储器中。
32.根据权利要求31所述的统一认证方法,其特征在于,所述第二提供商网络的所述单元生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息的步骤包括:
使用所述Device_ID和所述GPK验证所述Sig_De;以及
响应于验证成功,生成第三随机数(RAND3);
通过所述第二提供商网络的所述私钥(xH(SP_ID))和所述Device_ID导出所述第二对称密钥(K_S);
使用所述K_S生成包含RAND3的第二加密消息(m2);
使用所述第二提供商网络的所述秘密密钥和所述GPK生成签名(Sig_SP);以及
生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息,其中所述第二认证响应消息包括所述第二提供商网络的标识(SP_ID)、RAND1、m2和Sig_SP。
33.根据权利要求32所述的统一认证方法,其特征在于,还包括:
响应于接收到所述第二认证响应消息,所述设备执行以下步骤:
通过使用SP_ID和所述GPK验证Sig_SP来认证所述第二提供商网络;
响应于认证成功,使用所述第二对称密钥K_S解密m2以获得RAND3;
使用所述预定义的KDF导出所述第二会话密钥(K_ser),其中输入参数是RAND1和RAND3;
将所述第二会话密钥保存在所述设备的所述存储器中;
使用MAC生成函数生成第二消息认证码(MAC1),其中RAND3和K_ser作为所述输入;以及
向所述第二提供商网络的所述单元传输MAC2。
34.根据权利要求33所述的统一认证方法,其特征在于,还包括:
响应于接收到所述MAC2,所述第二提供商网络的所述单元执行以下步骤:
使用所述预定义的KDF导出第二会话密钥(K_ser),其中输入参数是RAND1和RAND3;
使用所述相同MAC生成函数生成MAC,其中RAND3和K_ser作为所述输入;
确定MAC2是否等于MAC;
响应于MAC2等于MAC,将所述第二会话密钥K_ser保存在所述第二提供商网络的所述单元的存储器中。
35.一种统一认证方法,其特征在于,用于使设备根据基于身份的密码术来认证第一提供商网络和第二提供商网络,其特征在于,所述设备、所述第一提供商网络和所述第二提供商网络中的每一个具有公钥生成器发布的不同私钥以及相同全局公钥(Global PublicKey,GPK),所述统一认证方法包括:
所述设备生成随机数(RAND1)并导出DH公钥(A),所述DH公钥(A)由A=gRAND1mod p导出,其中mod表示所述取模运算;
所述设备生成认证数据包并向所述运营提供商网络传输所述认证数据包,所述认证数据包包括DH公钥(A)、认证类型(Auth.Type)、所述第二提供商网络的ID(SP_ID)、所述设备的标识(Device_ID)以及设备签名(Sig_De),其中所述Auth.Type包括:第一类型,其中认证涉及所述第一提供商网络的单元和所述第二提供商网络的单元;第二类型,其中认证涉及所述第一提供商网络的所述单元;以及第三类型,其中认证涉及所述第二提供商网络的所述单元;
响应于接收到所述认证数据包,所述第一提供商网络的所述单元基于所述认证类型确定认证的类型;
响应于确定所述第一类型的认证,所述第一提供商网络的所述单元生成第一认证响应消息并向所述设备传输所述第一认证响应消息,并基于所述SP_ID向所述第二提供商网络的所述单元传输所述认证数据包;以及
响应于接收到所述认证数据包,所述第二提供商网络的所述单元生成第二认证响应消息并向所述设备传输所述第二认证响应消息。
36.根据权利要求35所述的统一认证方法,其特征在于,所述第一提供商网络的所述单元生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息的步骤包括:
使用所述Device_ID和所述GPK验证所述Sig_De;以及
响应于验证成功,生成第二随机数(RAND2)。
37.根据权利要求36所述的统一认证方法,其特征在于,所述第一提供商网络的所述单元生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息的步骤还包括:
导出DH公钥(B),其中B=gRAND2mod p;以及
导出第一会话密钥(K_com),其中K_com=ARAND2mod p。
38.根据权利要求37所述的统一认证方法,其特征在于,所述第一提供商网络的所述单元生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息的步骤还包括:
使用所述第一提供商网络的所述秘密密钥和所述GPK生成签名(Sig_AN);以及
生成所述第一认证响应消息并向所述设备传输所述第一认证响应消息,其中所述第一认证响应消息包括所述第一提供商网络的标识(AN_ID)、DH公钥(A)、DH公钥(B)和Sig_AN。
39.根据权利要求38所述的统一认证方法,其特征在于,还包括:
响应于接收到所述第一认证响应消息,所述设备执行以下步骤:
通过使用AN_ID和所述GPK验证Sig_AN来认证所述第一提供商网络;
响应于认证成功,使用所述DH公钥(B)导出所述第一会话密钥K_com,其中K_com=BRAND2mod p;
将所述第一会话密钥保存在所述设备的所述存储器中;
使用MAC生成函数生成第一消息认证码(MAC1),其中所述DH公钥(B)和K_com作为所述输入;以及
向所述第一提供商网络的所述单元传输MAC1。
40.根据权利要求39所述的统一认证方法,其特征在于,还包括:
响应于接收到所述MAC1,所述第一提供商网络的所述单元执行以下步骤:
使用所述相同MAC生成函数生成MAC,其中DH公钥(B)和K_com作为所述输入;
确定MAC1是否等于MAC;以及
响应于MAC1等于MAC,将所述第一会话密钥K_com保存在所述第一提供商网络的所述单元的存储器中。
41.根据权利要求40所述的统一认证方法,其特征在于,所述第二提供商网络的所述单元生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息的步骤包括:
使用所述Device_ID和所述GPK验证所述Sig_De;以及
响应于验证成功,生成第三随机数(RAND3)。
42.根据权利要求41所述的统一认证方法,其特征在于,所述第二提供商网络的所述单元生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息的步骤包括:
导出DH公钥(C),其中C=gRAND3mod p;以及
导出第二会话密钥(K_ser),其中K_ser=ARAND3mod p。
43.根据权利要求42所述的统一认证方法,其特征在于,所述第二网络提供商的所述单元生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息的步骤还包括:
使用所述第二提供商网络的所述秘密密钥和所述GPK生成签名(Sig_SP);以及
生成所述第二认证响应消息并向所述设备传输所述第二认证响应消息,其中所述第二认证响应消息包括所述第二提供商网络的标识(SP_ID)、DH公钥(A)、DH公钥(C)和Sig_SP。
44.根据权利要求35所述的统一认证方法,其特征在于,还包括:
响应于接收到所述第二认证响应消息,所述设备执行以下步骤:
通过使用SP_ID和所述GPK验证Sig_SP来认证所述第二提供商网络;
响应于认证成功,使用所述DH公钥(C)导出所述第二会话密钥K_ser,其中K_ser=CRAND3mod p;
将所述第二会话密钥保存在所述设备的所述存储器中;
使用MAC生成函数生成第二消息认证码(MAC2),其中所述DH公钥(C)和K_ser作为所述输入;以及
向所述第二提供商网络的所述单元传输MAC2。
45.根据权利要求44所述的统一认证方法,其特征在于,还包括:
响应于接收到所述MAC2,所述第二提供商网络的所述单元执行以下步骤:
使用所述相同MAC生成函数生成MAC,其中DH公钥(C)和K_ser作为所述输入;
确定MAC2是否等于MAC;以及
响应于MAC2等于MAC,将所述第二会话密钥K_ser保存在所述第二提供商网络的所述单元的存储器中。
CN201780028149.2A 2016-07-22 2017-03-28 一种使用基于id的密码术进行网络和服务统一认证的方法 Active CN109075973B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
SG10201606061PA SG10201606061PA (en) 2016-07-22 2016-07-22 A method for unified network and service authentication based on id-based cryptography
SG10201606061P 2016-07-22
PCT/SG2017/050162 WO2018017013A1 (en) 2016-07-22 2017-03-28 A method for unified network and service authentication based on id-based cryptography

Publications (2)

Publication Number Publication Date
CN109075973A true CN109075973A (zh) 2018-12-21
CN109075973B CN109075973B (zh) 2022-04-05

Family

ID=58640966

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780028149.2A Active CN109075973B (zh) 2016-07-22 2017-03-28 一种使用基于id的密码术进行网络和服务统一认证的方法

Country Status (5)

Country Link
US (1) US11044084B2 (zh)
EP (1) EP3469763B1 (zh)
CN (1) CN109075973B (zh)
SG (1) SG10201606061PA (zh)
WO (1) WO2018017013A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113242554A (zh) * 2021-07-12 2021-08-10 北京电信易通信息技术股份有限公司 一种基于无证书签名的移动终端认证方法及系统

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114826673A (zh) * 2016-07-06 2022-07-29 华为技术有限公司 一种传输数据的保护系统、方法及装置
SG10201606061PA (en) * 2016-07-22 2018-02-27 Huawei Int Pte Ltd A method for unified network and service authentication based on id-based cryptography
CN110120927B (zh) * 2018-02-05 2022-03-25 华为技术有限公司 私钥生成的方法和设备
AU2019388293A1 (en) * 2018-11-26 2021-06-10 Forticode Limited Mutual authentication of computer systems over an insecure network
WO2020146998A1 (en) * 2019-01-15 2020-07-23 Zte Corporation Method and device for preventing user tracking, storage medium and electronic device
WO2021112603A1 (en) 2019-12-06 2021-06-10 Samsung Electronics Co., Ltd. Method and electronic device for managing digital keys
CN113452660B (zh) * 2020-03-27 2023-07-25 瑞昱半导体股份有限公司 网状网络与云端服务器的通信方法、网状网络系统及其节点装置
JP7458348B2 (ja) * 2021-07-05 2024-03-29 株式会社東芝 通信システム、アクセスポイント装置、通信方法及びプログラム

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7542569B1 (en) * 1997-11-26 2009-06-02 Nokia Siemens Networks Oy Security of data connections
US20100031042A1 (en) * 2007-10-26 2010-02-04 Telcordia Technologies, Inc. Method and System for Secure Session Establishment Using Identity-Based Encryption (VDTLS)
CN102487379A (zh) * 2010-12-01 2012-06-06 李洪伟 一种基于身份的网格认证协议
CN103188080A (zh) * 2011-12-31 2013-07-03 中兴通讯股份有限公司 一种基于身份标识的端到端的密钥认证协商方法及系统
CN103532720A (zh) * 2013-10-22 2014-01-22 杭州华三通信技术有限公司 一种capwap报文的传输方法和设备
CN105530099A (zh) * 2015-12-11 2016-04-27 捷德(中国)信息科技有限公司 基于ibc的防伪验证方法、装置、系统和防伪凭证
CN105743646A (zh) * 2016-02-03 2016-07-06 四川长虹电器股份有限公司 一种基于身份的加密方法及系统
CN105790941A (zh) * 2016-04-22 2016-07-20 长沙市迪曼森信息科技有限公司 一种基于标识的具有域划分的组合密钥生成及认证方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6373946B1 (en) * 1996-05-31 2002-04-16 Ico Services Ltd. Communication security
US20050135610A1 (en) * 2003-11-01 2005-06-23 Liqun Chen Identifier-based signcryption
US10339791B2 (en) * 2007-06-12 2019-07-02 Icontrol Networks, Inc. Security network integrated with premise security system
US7266435B2 (en) * 2004-05-14 2007-09-04 General Motors Corporation Wireless operation of a vehicle telematics device
GB2416282B (en) * 2004-07-15 2007-05-16 Hewlett Packard Development Co Identifier-based signcryption with two trusted authorities
US7594261B2 (en) * 2005-02-08 2009-09-22 Microsoft Corporation Cryptographic applications of the Cartier pairing
EP2343916B1 (en) * 2010-01-12 2018-05-09 Koninklijke KPN N.V. Secure coupling of hardware components
CN102480354A (zh) 2010-11-30 2012-05-30 北大方正集团有限公司 一种统一认证服务系统及统一认证的方法
WO2012146282A1 (en) * 2011-04-27 2012-11-01 Telefonaktiebolaget L M Ericsson (Publ) Authenticating a device in a network
CN102420808B (zh) 2011-06-30 2014-07-23 南京中兴软创科技股份有限公司 一种在电信网上营业厅实现单点登录的方法
CN103259667B (zh) 2013-06-07 2016-05-18 北京邮电大学 移动终端上eID身份认证的方法及系统
CN104717648B (zh) 2013-12-12 2018-08-17 中国移动通信集团公司 一种基于sim卡的统一认证方法和设备
CN107317674B (zh) * 2016-04-27 2021-08-31 华为技术有限公司 密钥分发、认证方法,装置及系统
SG10201606061PA (en) * 2016-07-22 2018-02-27 Huawei Int Pte Ltd A method for unified network and service authentication based on id-based cryptography
JP2019041321A (ja) * 2017-08-28 2019-03-14 ルネサスエレクトロニクス株式会社 データ受信装置、データ伝送システム、及び鍵生成装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7542569B1 (en) * 1997-11-26 2009-06-02 Nokia Siemens Networks Oy Security of data connections
US20100031042A1 (en) * 2007-10-26 2010-02-04 Telcordia Technologies, Inc. Method and System for Secure Session Establishment Using Identity-Based Encryption (VDTLS)
CN102487379A (zh) * 2010-12-01 2012-06-06 李洪伟 一种基于身份的网格认证协议
CN103188080A (zh) * 2011-12-31 2013-07-03 中兴通讯股份有限公司 一种基于身份标识的端到端的密钥认证协商方法及系统
CN103532720A (zh) * 2013-10-22 2014-01-22 杭州华三通信技术有限公司 一种capwap报文的传输方法和设备
CN105530099A (zh) * 2015-12-11 2016-04-27 捷德(中国)信息科技有限公司 基于ibc的防伪验证方法、装置、系统和防伪凭证
CN105743646A (zh) * 2016-02-03 2016-07-06 四川长虹电器股份有限公司 一种基于身份的加密方法及系统
CN105790941A (zh) * 2016-04-22 2016-07-20 长沙市迪曼森信息科技有限公司 一种基于标识的具有域划分的组合密钥生成及认证方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113242554A (zh) * 2021-07-12 2021-08-10 北京电信易通信息技术股份有限公司 一种基于无证书签名的移动终端认证方法及系统
CN113242554B (zh) * 2021-07-12 2021-09-24 北京电信易通信息技术股份有限公司 一种基于无证书签名的移动终端认证方法及系统

Also Published As

Publication number Publication date
EP3469763B1 (en) 2021-06-09
SG10201606061PA (en) 2018-02-27
CN109075973B (zh) 2022-04-05
EP3469763A1 (en) 2019-04-17
US11044084B2 (en) 2021-06-22
WO2018017013A1 (en) 2018-01-25
US20190158283A1 (en) 2019-05-23

Similar Documents

Publication Publication Date Title
CN109075973A (zh) 一种使用基于id的密码术进行网络和服务统一认证的方法
KR100581590B1 (ko) 이중 요소 인증된 키 교환 방법 및 이를 이용한 인증방법과 그 방법을 포함하는 프로그램이 저장된 기록매체
JP5579872B2 (ja) 安全な複数uim認証および鍵交換
CN100558035C (zh) 一种双向认证方法及系统
US8831224B2 (en) Method and apparatus for secure pairing of mobile devices with vehicles using telematics system
CN107800539A (zh) 认证方法、认证装置和认证系统
CN110087240B (zh) 基于wpa2-psk模式的无线网络安全数据传输方法及系统
CN104754581A (zh) 一种基于公钥密码体制的lte无线网络的安全认证方法
WO2012024906A1 (zh) 一种移动通信系统及其语音通话加密的方法
CN101895881B (zh) 一种实现gba密钥的方法及终端可插拔设备
CN101192927B (zh) 基于身份保密的授权与多重认证方法
Niu et al. A novel user authentication scheme with anonymity for wireless communications
Ahmed et al. Dynamic reciprocal authentication protocol for mobile cloud computing
Maccari et al. Security analysis of IEEE 802.16
CN111416712A (zh) 基于多个移动设备的量子保密通信身份认证系统及方法
Chuang et al. Cryptanalysis of four biometric based authentication schemes with privacy-preserving for multi-server environment and design guidelines
CN101547091A (zh) 一种信息发送的方法及装置
CN113014376A (zh) 一种用户与服务器之间安全认证的方法
Yoon et al. Security enhancement scheme for mobile device using H/W cryptographic module
KR101451163B1 (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
CN115348578B (zh) 一种接触者追踪方法及装置
Jain et al. SAP: a low-latency protocol for mitigating evil twin attacks and high computation overhead in WI-FI networks
Ananthanarayanan et al. Space: Secure protocol for address-book based connection establishment
Yan et al. Achieving secure and convenient WLAN sharing in personal
TWI514189B (zh) 網路認證系統及其方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant