RU2458481C2 - Способ и система двусторонней идентификации объекта на основе доверенной третьей стороны - Google Patents

Способ и система двусторонней идентификации объекта на основе доверенной третьей стороны Download PDF

Info

Publication number
RU2458481C2
RU2458481C2 RU2010120133/08A RU2010120133A RU2458481C2 RU 2458481 C2 RU2458481 C2 RU 2458481C2 RU 2010120133/08 A RU2010120133/08 A RU 2010120133/08A RU 2010120133 A RU2010120133 A RU 2010120133A RU 2458481 C2 RU2458481 C2 RU 2458481C2
Authority
RU
Russia
Prior art keywords
message
authentication
transmitted
optional
verification
Prior art date
Application number
RU2010120133/08A
Other languages
English (en)
Other versions
RU2010120133A (ru
Inventor
Манься ТЕ (CN)
Манься ТЕ
Цзюнь ЦАО (CN)
Цзюнь ЦАО
Сяолун ЛАЙ (CN)
Сяолун ЛАЙ
Ляоцзюнь ПАН (CN)
Ляоцзюнь ПАН
Чжэнхай ХУАН (CN)
Чжэнхай ХУАН
Original Assignee
Чайна Ивнкомм Ко., Лтд.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Чайна Ивнкомм Ко., Лтд. filed Critical Чайна Ивнкомм Ко., Лтд.
Publication of RU2010120133A publication Critical patent/RU2010120133A/ru
Application granted granted Critical
Publication of RU2458481C2 publication Critical patent/RU2458481C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Изобретение относится к радиосвязи, а именно к способу и системе двусторонней аутентификации объектов на основе доверенной третьей стороны. Техническим результатом является устранение технической проблемы, связанной с невозможностью проверки достоверности открытого ключа. Технический результат достигается тем, что система включает в себя первый объект для посылки первого сообщения второму объекту, посылки третьего сообщения третьему объекту после приема второго сообщения, посланного вторым объектом, верификации четвертого сообщения после приема четвертого сообщения, переданного из третьего объекта так, чтобы завершить аутентификацию второго объекта посредством первого объекта, посылки пятого сообщения второму объекту, после того как верификация завершена; второй объект для приема первого сообщения, посланного первым объектом, посылки второго сообщения первому объекту, верификации пятого сообщения после приема пятого сообщения, посланного первым объектом; третий объект для приема третьего сообщения, посланного первым объектом, проверки, являются ли допустимыми первый объект и второй объект, осуществления предварительной обработки в соответствии с результатами проверки, посылки четвертого сообщения первому объекту, после того как обработка завершена. 2 н. и 7 з.п. ф-лы, 2 ил.

Description

Настоящая заявка испрашивает приоритет китайской патентной заявки за № 200710018920.6, поданной в китайское патентное ведомство 23 октября 2007 г., озаглавленной «METHOD AND SYSTEM FOR MUTUAL AUTHENTICATION OF ENTITIES BASED UPON TRUSTED THIRD PARTY» и которая полностью включена в данный документ посредством ссылки.
Область техники
Настоящее изобретение относится к области связи и, в частности, к способу взаимной аутентификации объектов на основе доверенной третьей стороны, а также системе для этого.
Предшествующий уровень техники
В настоящее время взаимная аутентификация типично применяется между пользователем и точкой доступа к сети посредством сети связи для того, чтобы гарантировать доступ достоверного пользователя к достоверной сети. Способы аутентификации объектов с использованием асимметричной криптографической методики могут быть классифицированы на два следующих типа: односторонняя аутентификация и взаимная аутентификация. В частности, уникальностью/своевременностью аутентификации управляют посредством формирования и проверки переменных во времени параметров, таких как временные отметки, порядковые номера или случайные числа. Если в качестве переменных во времени параметров используются временные отметки или порядковые номера, то взаимная аутентификация между объектами может быть осуществлена посредством двухэтапной аутентификации; или, если в качестве переменных во времени параметров используются случайные числа, то взаимная аутентификация между объектами может быть осуществлена посредством трехэтапной аутентификации или двух параллельных.
Перед работой или во время работы механизма аутентификации устройство верификации должно быть обеспечено достоверным открытым ключом заявляющей стороны, в противном случае аутентификация может быть поставлена под угрозу или неудачно завершиться. В качестве примера описывается трехэтапная взаимная аутентификация.
Ссылаясь на фиг.1, система аутентификации включает в себя два объекта аутентификации - А и В. Объект А аутентификации передает маркер TokenAB=RA║RB║B║Text3║SSA(RA║RB║B║Text2) объекту В аутентификации, а объект В аутентификации передает маркер TokenBA=RB║RA║A║Text5║SSB(RB║RA║A║Text4) объекту А аутентификации, при этом SSX обозначает подпись объекта Х, RX обозначает случайное число, сгенерированное объектом Х, CertX обозначает сертификат объекта Х, Text2, Text3, Text4 и Text5 обозначают необязательные текстовые поля, и Х обозначает отличительный идентификатор объекта аутентификации, в данном случае это А или В.
Далее подробно описывается процесс работы механизма трехэтапной аутентификации:
1) Объект В передает случайное число RB и необязательное текстовое поле Text1 объекту А;
2) Объект А передает маркер TokenAB и необязательное поле сертификата CertA объекту В;
3) После приема сообщения, переданного из объекта А, объект В выполняет следующие этапы:
3.1) Гарантирует получение достоверного открытого ключа объекта А или посредством верификации сертификата объекта А, или с помощью каких-либо других средств; и
3.2) Верифицирует подпись объекта А, содержащуюся в маркере TokenAB на этапе 2), проверяет правильность отличительного идентификатора объекта - В и проверяет, что случайное число RB, переданное на этапе 1), согласуется со случайным числом RB, содержащимся в маркере TokenAB, для того, чтобы объект А был аутентифицирован объектом В;
4) Объект В передает маркер TokenBA и необязательное поле сертификата CertB объекту А;
5) После приема сообщения, содержащего маркер TokenBA, переданный из объекта В, объект А выполняет следующие этапы:
5.1) Гарантирует получение достоверного открытого ключа для объекта В либо посредством верификации сертификата объекта В, или с помощью каких-либо других средств; и
5.2) Верифицирует подпись объекта В, содержащуюся в маркере TokenBA, переданном на этапе 4), проверяет правильность отличительного идентификатора А объекта и проверяет, что случайное число RA, переданное на этапе 2), согласуется со случайным числом RA, содержащимся в маркере TokenBA, и что случайное число RB, принятое на этапе 1), согласуется со случайным числом RB, содержащимся в маркере TokenBA, для того, чтобы объект В был аутентифицирован объектом А.
Очевидно, что успешная работа механизма трехэтапной аутентификации может быть гарантирована при условии, что объект А и объект В обладают соответственно достоверными открытыми ключами друг друга, но при этом протокол не включает в себя то, как получить достоверные открытые ключи и их достоверность. Однако это условие гарантирования не может быть выполнено в настоящее время во многих прикладных сценариях. Например, функция управления пользовательским доступом типично реализуется посредством механизма аутентификации объекта по сети, и, таким образом, доступ пользователя в сеть запрещается до того, как механизм аутентификации успешно сработает, и, следовательно, невозможно или трудно для пользователя получить доступ к центру сертификации и даже невозможно получить достоверность открытого ключа противоположного объекта, то есть точки доступа к сети, до аутентификации.
Сущность изобретения
Для решения технической задачи, существующей в предшествующем уровне техники, настоящее изобретение предлагает способ и систему для взаимной аутентификации объектов на основе доверенной третьей стороны для того, чтобы неаутентифицированные объекты могли быть успешно аутентифицированы, не требуя знания достоверного открытого ключа противоположного объекта связи перед аутентификацией.
Вариант осуществления изобретения обеспечивает способ взаимной идентификации объектов на основе доверенной третьей стороны, который содержит этапы, на которых:
этап 1) передают первое сообщение из первого объекта во второй объект, причем первое сообщение содержит первый переменный во времени параметр R1A, сгенерированный первым объектом, идентификатор IDA первого объекта и первое необязательное текстовое поле Text1;
этап 2) передают второе сообщение из второго объекта в первый объект после приема первого сообщения, причем второе сообщение содержит маркер TokenBA, переданный из второго объекта в первый объект, идентификатор IDB второго объекта и второе необязательное текстовое поле Text2;
этап 3) передают третье сообщение из первого объекта в третий объект после приема второго сообщения, причем третье сообщение содержит второй переменный во времени параметр RB, сгенерированный вторым объектом, идентификатор IDв второго объекта и третье необязательное текстовое поле Text3;
этап 4) верифицируют посредством третьего объекта после приема третьего сообщения, являются ли первый объект и второй объект допустимыми, и выполняют процесс предварительной установки в зависимости от результатов верификации;
этап 5) передают четвертое сообщение из третьего объекта в первый объект, причем четвертое сообщение содержит маркер TokenTA, переданный из третьего объекта в первый объект, и четвертое необязательное текстовое поле Text4;
этап 6) верифицируют четвертое сообщение посредством первого объекта после приема четвертого сообщения, для завершения аутентификации второго объекта, после того как первый объект верифицирует четвертое сообщение;
этап 7) передают четвертое сообщение из первого объекта во второй объект, причем четвертое сообщение содержит маркер TokenTA, переданный из третьего объекта в первый объект, маркер TokenAB, переданный из первого объекта во второй объект, и пятое необязательное текстовое поле Text5 или содержит второй подмаркер TokenTA2, переданный из третьего объекта в первый объект, маркер TokenAB, переданный из первого объекта во второй объект, и пятое необязательное текстовое поле Text5; и
этап 8) верифицируют пятое сообщение посредством второго объекта после приема пятого сообщения, для завершения аутентификации первого объекта, после того, как второй объект верифицирует пятое сообщение.
Предпочтительно этап 4) верификации, являются ли первый объект и второй объект допустимыми, и выполнения процесса предварительной установки в зависимости от результатов верификации включает в себя следующее: если IDA и IDB в третьем сообщении являются сертификатами, верифицируют сертификат первого объекта и сертификат второго объекта на действительность, и, если сертификат первого объекта и/или сертификат второго объекта является недействительным, отбрасывают третье сообщение и заканчивают процесс аутентификации, или возвращают четвертое сообщение первому объекту и переходят к этапу 5); или, если сертификат первого объекта и сертификат второго объекта являются действительными, возвращают четвертое сообщение первому объекту и переходят к этапу 5).
Предпочтительно этап 4) верификации, являются ли первый объект и второй объект допустимыми, и выполнения процесса предварительной установки в зависимости от результатов верификации включает в себя следующее: если IDA и IDB в третьем сообщении являются отличительными идентификаторами, верифицируют открытый ключ первого объекта и открытый ключ второго объекта на действительность, и, если открытый ключ первого объекта и/или открытый ключ второго объекта являются недействительными, отбрасывают третье сообщение и заканчивают процесс аутентификации, или возвращают четвертое сообщение третьему объекту; или, если открытый ключ первого объекта и открытый ключ второго объекта являются действительными, возвращают четвертое сообщение первому объекту.
Предпочтительно этап 6) верификации четвертого сообщения посредством первого объекта включает в себя следующее: 601, верифицируют подпись третьего объекта, содержащуюся в маркере TokenTA или первом подмаркере TokenTA1, переданном из третьего объекта в первый объект, и согласовывается ли R2A в третьем сообщении с R2A в TokenTA или TokenTA1, и, если верификация пройдена, получают результат верификации второго объекта, определяют, является ли второй объект допустимым, и, если второй объект является допустимым, переходят к этапу 602; если второй объект является недопустимым, заканчивают процесс аутентификации или переходят к этапу 7); и 602, получают открытый ключ второго объекта, верифицируют подпись второго объекта, содержащуюся в TokenBA во втором сообщении, и согласовывается ли R1A в первом сообщении с R1A в TokenAB, и, если верификация пройдена, переходят к этапу 7) для того, чтобы второй объект был аутентифицирован первым объектом.
Предпочтительно этап 8) верификации пятого сообщения вторым объектом включает в себя следующее: 801, верифицируют подпись третьего объекта, содержащуюся в TokenTA или TokenTA2, и согласовывается ли RB во втором сообщении с RB в TokenTA или TokenTA2, и, если верификация пройдена, получают результат верификации первого объекта, определяют, является ли первый объект достоверным, и, если первый объект является достоверным, переходят к этапу 802; если первый объект является недействительным, заканчивают процесс аутентификации; и 802, получают открытый ключ первого объекта, верифицируют подпись первого объекта, содержащуюся в TokenAB, и согласовывается ли RB во втором сообщении с RB в TokenAB, и, если верификация пройдена, то второй объект завершает аутентификацию первого объекта.
Предпочтительно R2A в третьем сообщении может быть таким же, как R1A в первом сообщении.
Предпочтительно переменные во времени параметры могут быть случайными числами, временными тегами или порядковыми номерами.
Предпочтительно этап 1) является необязательным, если переменные во времени параметры являются порядковыми номерами или временными тэгами.
Другой вариант осуществления настоящего изобретения, обеспечивающий систему для взаимной аутентификации объектов на основе доверенной третьей стороны, включает в себя следующее: первый объект, выполненный с возможностью передачи первого сообщения второму объекту, передачи третьего сообщения третьему объекту после приема второго сообщения, переданного от второго объекта, верификации четвертого сообщения после приема четвертого сообщения, переданного из третьего объекта, и передачи пятого сообщения второму объекту после верификации; второй объект, выполненный с возможностью приема первого сообщения, переданного из первого объекта, передачи второго сообщения первому объекту, и верификации пятого сообщения после приема пятого сообщения, переданного из первого объекта; и третий объект, выполненный с возможностью приема третьего сообщения, переданного из первого объекта, верификации, являются ли первый объект и второй объект допустимыми, выполнения процесса предварительной установки в зависимости от результата верификации и передачи четвертого сообщения первому объекту после упомянутого процесса.
Вариант осуществления изобретения обеспечивает систему для взаимной аутентификации объектов на основе доверенной третьей стороны, которая включает в себя следующее: первый объект, выполненный с возможностью передачи первого сообщения второму объекту, передачи третьего сообщения третьему объекту после приема второго сообщения, переданного из второго объекта, верификации четвертого сообщения после приема четвертого сообщения, переданного из третьего объекта, и передачи пятого сообщения второму объекту после аутентификации; второй объект, выполненный с возможностью приема первого сообщения, переданного из первого объекта, передачи второго сообщения первому объекту и верификации пятого сообщения после приема пятого сообщения, переданного из первого объекта; и третий объект, выполненный с возможностью приема третьего сообщения, переданного из первого объекта, проверки первого объекта и второго объекта на их допустимость, выполнения процесса предварительной установки в зависимости от результата проверки и передачи четвертого сообщения первому объекту после упомянутого процесса.
Как это очевидным образом следует из описанных выше вариантов осуществления изобретения, архитектура с тремя объектами может быть принята для того, чтобы объекты аутентификации извлекали открытый ключ или сертификат третьего объекта до аутентификации и извлекали сертификат пользователя, выданный для использования, из третьего объекта или предоставляли их собственный открытый ключ третьему объекту для безопасного хранения, не требуя предварительного знания достоверного открытого ключа противоположного объекта аутентификации. Во время работы протокола открытый ключ одного из объектов аутентификации и его достоверность могут быть автоматически переданы противоположному объекту аутентификации посредством извлечения и верификации объектом третьей стороны. По сравнению с традиционными механизмами аутентификации варианты осуществления изобретения определяют механизм оперативного извлечения и аутентификации открытых ключей, чтобы тем самым сделать возможным централизованное управление открытыми ключами, упростить условия работы протокола и достичь хорошей осуществимости и легкости использования в практических применениях.
Краткое описание чертежей
Фиг.1 представляет собой блок-схему механизма трехэтапной аутентификации в предшествующем уровне техники.
Фиг.2 представляет собой блок-схему способа взаимной аутентификации в соответствии с настоящим изобретением.
Подробное описание изобретения
Ссылаясь на фиг.2, иллюстрируется блок-схема способа взаимной аутентификации в соответствии с настоящим изобретением. Вариант осуществления изобретения предполагает использование трех объектов, то есть двух объектов А и В аутентификации и объекта (TP) доверенной третьей стороны, который является доверенной третьей стороной объектов А и В аутентификации, где ValidX обозначает достоверность сертификата CertX, PublicKeyX является открытым ключом объекта Х, IDX является идентификатором объекта Х, который представлен с помощью CertX или Х, PubX обозначает результат верификации объекта Х и состоит из сертификата CertX и его действительности ValidX или состоит из объекта Х и его открытого ключа PublicKeyX, и Х представляет собой отличительный идентификатор объекта аутентификации, который в настоящем варианте осуществления изобретения может быть А или В.
В настоящем варианте осуществления изобретения соответствующие маркеры определяются следующим образом:
TokenBA=R1A║RB║IDA║SSB(R1A║RB║IDA║Text2): маркер, переданный объекту А аутентификации из объекта В аутентификации, где R1A представляет собой первое случайное число, сгенерированное объектом А аутентификации;
TokenAB=SSA(RB║R1A║IDB║Text5║TokenTA): маркер, переданный объекту В аутентификации из объекта А аутентификации;
TokenTA=R2A║RB║PubA║PubB║SSTP(R2A║RB║PubA║PubB║Text4): маркер, переданный объекту А аутентификации от доверенной третьей стороны, где R2A представляет собой второе случайное число, сгенерированное объектом А аутентификации.
Альтернативно, маркеры могут быть определены следующим образом:
TokenTA=TokenTA1║TokenTA2
TokenTA1=R2A║PubB║Text6║SSTP(R2A║PubB║Text6)
TokenTA2=RB║PubA║Text7║SSTP(RB║PubA║Text7).
Конкретная последовательность операций способа является следующей:
1) Объект А аутентификации передает объекту В аутентификации сообщение 1, включающее в себя первое случайное число R1A, сгенерированное объектом А аутентификации, идентификатор IDA объекта А аутентификации и необязательное текстовое поле Text1.
2) После приема сообщения 1 объект В аутентификации передает объекту А аутентификации сообщение 2, включающее в себя маркер TokenBA, переданный из объекта В аутентификации объекту А аутентификации, идентификатор IDB объекта В аутентификации и необязательное текстовое поле Text2.
3) После приема сообщения 2 объект А аутентификации передает доверенной третьей стороне сообщение 3, включающее в себя второе случайное число R2A, сгенерированное объектом А аутентификации, случайное число RB, сгенерированное объектом B аутентификации, идентификатор IDA объекта А аутентификации, идентификатор IDB объекта В аутентификации и необязательное текстовое поле Text3.
4) После приема сообщения 3 доверенная третья сторона верифицирует объект А аутентификации и объект аутентификации на допустимость.
В частности, если идентификаторы объекта А аутентификации и объекта В аутентификации в сообщении 3 являются сертификатами, то сертификат объекта А аутентификации и сертификат объекта В аутентификации верифицируются на действительность; и, если сертификат объекта А аутентификации и/или сертификат объекта В аутентификации являются недействительными, то сообщение 3 непосредственно отбрасывается и процесс аутентификации заканчивается, или сообщение 4 возвращается объекту А аутентификации и процесс переходит к этапу 5); и, если сертификат объекта А аутентификации и сертификат объекта В аутентификации являются действительными, то сообщение 4 возвращается объекту А аутентификации и процесс переходит к этапу 5).
Если идентификаторы объекта А аутентификации и объекта В аутентификации в сообщении 3 являются отличительными идентификаторами, то открытый ключ объекта А аутентификации и открытый ключ объекта В аутентификации верифицируются на действительность, и, если открытый ключ объекта А аутентификации и/или открытый ключ объекта В аутентификации являются недействительными, то сообщение 3 непосредственно отбрасывается и процесс аутентификации заканчивается, или сообщение 4 возвращается объекту А аутентификации и процесс переходит к этапу 5); и, если открытый ключ объекта А аутентификации и открытый ключ объекта В аутентификации являются действительными, то сообщение 4 возвращается объекту А аутентификации и процесс переходит к этапу 5).
5) Объект доверенной третьей стороны передает объекту А аутентификации сообщение 4, включающее в себя маркер TokenTA, переданный из объекта доверенной третьей стороны объекту А аутентификации, и необязательное текстовое поле Text4.
6) Объект А аутентификации верифицирует сообщение 4 после приема сообщения 4.
В частности, данный процесс верификации включает в себя следующее:
6.1) Верифицируют подпись объекта доверенной третьей стороны, содержащуюся в маркере TokenTA или маркере TokenTA1, и согласуется ли второе случайное число R2A, сгенерированное объектом А аутентификации, в сообщении 3 со случайным числом R2A в маркере TokenTA или маркере TokenTA1; если верификация пройдена, то переходят к этапу 6.2);
6.2) Получают результат PubB верификации объекта В аутентификации, определяют, является ли объект В аутентификации допустимым, и, если объект В аутентификации является допустимым, то переходят к этапу 6.3); в противном случае заканчивают процесс аутентификации или переходят к этапу 7); и
6.3) Получают открытый ключ объекта В аутентификации, верифицируют подпись объекта В аутентификации, содержащуюся в маркере TokenBA, в сообщении 2, и согласуется ли случайное число R1A, сгенерированное объектом А аутентификации, в сообщении 1 со случайным числом R1A в маркере TokenBA; если верификация пройдена, то переходят к этапу 7), на котором первый объект завершает аутентификацию второго объекта.
7) Объект А аутентификации передает объекту В аутентификации сообщение 5, включающее в себя маркер TokenTA, маркер TokenAB и необязательное текстовое поле Text5, или включает в себя маркер TokenTA2, маркер TokenAB и необязательное текстовое поле Text5.
8) Объект В аутентификации верифицирует сообщение 5 после приема сообщения 5.
В частности, данный процесс верификации включает в себя следующее:
8.1) Верифицируют подпись доверенной третьей стороны, содержащуюся в маркере TokenTA или маркере TokenTA2, и согласуется ли случайное число RB, сгенерированное объектом В аутентификации, в сообщении 2 со случайным числом RB в маркере TokenTA или маркере TokenTA2; если верификация пройдена, то переходят к этапу 8.2);
8.2) Получают результат PubA верификации объекта А аутентификации, определяют, является ли объект А аутентификации допустимым, и, если объект А аутентификации является допустимым, то переходят к этапу 8.3); если объект А аутентификации является недопустимым, то заканчивают процесс аутентификации; и
8.3) Получают открытый ключ объекта А аутентификации, верифицируют подпись объекта А аутентификации, содержащуюся в маркере TokenAB, и согласуется ли случайное число RB в сообщении 2 со случайным числом RB в маркере TokenAB; и, если верификация пройдена, то второй объект завершает аутентификацию первого объекта.
Следует отметить, что в вышеописанном варианте осуществления изобретения переменные во времени параметры являются случайными числами. Альтернативно, временные отметки или порядковые номера могут быть использованы в качестве переменных во времени параметров, и в этом случае сообщение 1 является необязательным сообщением, то есть этап 1) может быть опущен.
В соответствии со способом взаимной аутентификации объектов на основе доверенной третьей стороны согласно вышеописанному варианту осуществления изобретения вариант осуществления изобретения дополнительно обеспечивает систему для взаимной аутентификации объектов на основе доверенной третьей стороны, которая включает в себя объект А, объект В и объект доверенной третьей стороны, в которой любой из взаимно соединенных объекта А и объекта В могут быть соединены с объектом доверенной третьей стороны. Объект доверенной третьей стороны может быть объектом службы аутентификации, уже существующей или вновь добавляемой к системе. Например, объект доверенной третьей стороны может быть сервером аутентификации, уже существующим или вновь добавляемым к системе в приложении для пользователя и точки доступа к сети.

Claims (9)

1. Способ взаимной аутентификации объектов на основе доверенной третьей стороны, содержащий:
этап 1), на котором передают первое сообщение из первого объекта во второй объект, причем первое сообщение содержит первый переменный во времени параметр R1A, сгенерированный первым объектом, идентификатор IDA первого объекта и первое необязательное текстовое поле Text1;
этап 2), на котором передают второе сообщение из второго объекта в первый объект после приема первого сообщения, причем второе сообщение содержит маркер TokenBA, переданный из второго объекта в первый объект, идентификатор IDB второго объекта и второе необязательное текстовое поле Text2;
этап 3), на котором передают третье сообщение из первого объекта в третий объект после приема второго сообщения, причем третье сообщение содержит второй переменный во времени параметр R2A, сгенерированный первым объектом, переменный во времени параметр RB, сгенерированный вторым объектом, идентификатор IDA первого объекта, идентификатор IDB второго объекта и третье необязательное текстовое поле Text3;
этап 4), на котором верифицируют посредством третьего объекта после приема третьего сообщения, являются ли первый объект и второй объект допустимыми, и выполняют процесс предварительной установки в зависимости от результата верификации;
этап 5), на котором передают четвертое сообщение из третьего объекта в первый объект, причем четвертое сообщение содержит маркер TokenTA, переданный из третьего объекта во второй объект, и четвертое необязательное текстовое поле Text4;
этап 6), на котором верифицируют четвертое сообщение посредством первого объекта после приема четвертого сообщения для завершения аутентификации второго объекта, после того как первый объект верифицирует четвертое сообщение;
этап 7), на котором передают пятое сообщение из первого объекта во второй объект, причем пятое сообщение содержит маркер TokenTA, переданный из третьего объекта в первый объект, маркер TokenAB, переданный из первого объекта во второй объект, и пятое необязательное текстовое поле Text5 или включает в себя второй подмаркер TokenTA2, переданный из третьего объекта в первый объект, маркер TokenAB, переданный из первого объекта во второй объект, и необязательное пятое текстовое поле Text5; и
этап 8), на котором верифицируют пятое сообщение посредством второго объекта после приема пятого сообщения для завершения аутентификации первого объекта, после того как второй объект верифицирует пятое сообщение.
2. Способ по п.1, в котором этап 4) верификации, являются ли первый объект и второй объект допустимыми, и выполнения процесса предварительной установки в зависимости от результата верификации содержит этапы, на которых:
если IDA и IDB в третьем сообщении являются сертификатами, то верифицируют сертификат первого объекта и сертификат второго объекта на достоверность, и если сертификат первого объекта и/или сертификат второго объекта является недостоверным, то отбрасывают третье сообщение и заканчивают процесс аутентификации, или возвращают четвертое сообщение первому объекту и переходят к этапу 5); или, если сертификат первого объекта и сертификат второго объекта являются достоверными, то возвращают четвертое сообщение первому объекту и переходят к этапу 5).
3. Способ по п.1, в котором этап 4) верификации, являются ли первый объект и второй объект допустимыми, и выполнения процесса предварительной установки в зависимости от результата верификации включает в себя следующее:
если IDA и IDB в третьем сообщении являются отличительными идентификаторами, то верифицируют открытый ключ первого объекта и открытый ключ второго объекта на достоверность, и если открытый ключ первого объекта и/или открытый ключ второго объекта является недостоверным, то отбрасывают третье сообщение и заканчивают процесс аутентификации, или возвращают четвертое сообщение первому объекту и переходят к этапу 5); или если сертификат первого объекта и сертификат второго объекта являются достоверными, то возвращают четвертое сообщение первому объекту и переходят к этапу 5).
4. Способ по одному из пп.1-3, в котором этап 6) верификации четвертого сообщения посредством первого объекта содержит этапы:
601, на котором верифицируют подпись третьего объекта, содержащуюся в TokenTA или первом подмаркере TokenTA1, переданном из третьего объекта в первый объект, и согласуется ли R2A в третьем сообщении с R2A в TokenTA или TokenTA1, и если верификация пройдена, то получают результат верификации второго объекта, определяют, является ли второй объект допустимым, и если второй объект является допустимым, то переходят к этапу 602; если второй объект является недопустимым, заканчивают процесс аутентификации или переходят к этапу 7); и
602, на котором получают открытый ключ второго объекта, верифицируют подпись второго объекта, содержащуюся в TokenBA во втором сообщении, и согласуется ли R1A в первом сообщении с R1A в TokenAB, и если верификация пройдена, то переходят к этапу 7) для того, чтобы второй объект был аутентифицирован первым объектом.
5. Способ по п.4, в котором этап 8) верификации пятого сообщения вторым объектом содержит этапы:
801, на котором верифицируют подпись третьего объекта, содержащуюся в TokenTA или ТокеnТА2, и согласуется ли RB во втором сообщении с RB в ТокеnТА или ТокеnТА2, и если верификация пройдена, то получают результат верификации первого объекта, определяют, является ли первый объект достоверным, и если первый объект является достоверным, то переходят к этапу 802; если первый объект является недостоверным, заканчивают процесс аутентификации; и
802, на котором получают открытый ключ первого объекта, верифицируют подпись первого объекта, содержащуюся в TokenAB, и RB во втором сообщении согласуется с RB в TokenAB, и если верификация пройдена, то второй объект завершает аутентификацию первого объекта.
6. Способ по п.5, в котором R2A в третьем сообщении может быть таким же, что и R1A в первом сообщении.
7. Способ по п.6, в котором переменными во времени параметрами могут быть случайные числа, временные тэги или порядковые номера.
8. Способ по п.7, в котором этап 1) является необязательным, если переменными во времени параметрами являются случайные числа или временные тэги.
9. Система для взаимной аутентификации объектов на основе доверенной третьей стороны, содержащая:
первый объект, выполненный с возможностью передачи первого сообщения второму объекту, передачи третьего сообщения третьему объекту после приема второго сообщения, переданного из второго объекта, верификации четвертого сообщения после приема четвертого сообщения, переданного из третьего объекта так, чтобы завершить аутентификацию второго объекта посредством первого объекта, и передачи пятого сообщения второму объекту после верификации четвертого сообщения;
второй объект, выполненный с возможностью приема первого сообщения, переданного из первого объекта, передачи второго сообщения первому объекту и верификации пятого сообщения после приема пятого сообщения, переданного из первого объекта; и
третий объект, выполненный с возможностью приема третьего сообщения, переданного из первого объекта, верификации, являются ли первый объект и второй объект допустимыми, выполнения процесса предварительной установки в зависимости от результата верификации и передачи четвертого сообщения первому объекту после упомянутого процесса, причем первое сообщение содержит первый переменный во времени параметр R1A, сгенерированный первым объектом, идентификатор IDA первого объекта и первое необязательное текстовое поле Text1; второе сообщение содержит маркер TokenBA, переданный из второго объекта в первый объект, идентификатор IDB второго объекта и второе необязательное текстовое поле Text2; третье сообщение содержит второй переменный во времени параметр R2A, сгенерированный первым объектом, переменный во времени параметр RB, сгенерированный вторым объектом, идентификатор IDA первого объекта, идентификатор IDB второго объекта и третье необязательное текстовое поле Text3; четвертое сообщение содержит маркер TokenTA, переданный из третьего объекта во второй объект, и четвертое необязательное текстовое поле Text4; пятое сообщение содержит маркер TokenTA, переданный из третьего объекта в первый объект, маркер TokenAB, переданный из первого объекта во второй объект, и пятое необязательное текстовое поле Text5 или включает в себя второй подмаркер TokenTA2, переданный из третьего объекта в первый объект, маркер TokenAB, переданный из первого объекта во второй объект, и необязательное пятое текстовое поле Text5.
RU2010120133/08A 2007-10-23 2008-10-23 Способ и система двусторонней идентификации объекта на основе доверенной третьей стороны RU2458481C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN200710018920.6 2007-10-23
CNB2007100189206A CN100553193C (zh) 2007-10-23 2007-10-23 一种基于可信第三方的实体双向鉴别方法及其系统

Publications (2)

Publication Number Publication Date
RU2010120133A RU2010120133A (ru) 2011-11-27
RU2458481C2 true RU2458481C2 (ru) 2012-08-10

Family

ID=39208227

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2010120133/08A RU2458481C2 (ru) 2007-10-23 2008-10-23 Способ и система двусторонней идентификации объекта на основе доверенной третьей стороны

Country Status (8)

Country Link
US (1) US8356179B2 (ru)
EP (1) EP2214429B1 (ru)
JP (1) JP5099568B2 (ru)
KR (1) KR101117393B1 (ru)
CN (1) CN100553193C (ru)
ES (1) ES2698449T3 (ru)
RU (1) RU2458481C2 (ru)
WO (1) WO2009056049A1 (ru)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100553193C (zh) * 2007-10-23 2009-10-21 西安西电捷通无线网络通信有限公司 一种基于可信第三方的实体双向鉴别方法及其系统
CN101217811B (zh) * 2008-01-17 2010-06-02 西安西电捷通无线网络通信有限公司 一种宽带无线多媒体网络广播通信的安全传输方法
CN101286844B (zh) 2008-05-29 2010-05-12 西安西电捷通无线网络通信有限公司 一种支持快速切换的实体双向鉴别方法
CN101547095B (zh) * 2009-02-11 2011-05-18 广州杰赛科技股份有限公司 基于数字证书的应用服务管理系统及管理方法
CN101547097B (zh) * 2009-02-11 2011-05-04 广州杰赛科技股份有限公司 基于数字证书的数字媒体管理系统及管理方法
CN101599959B (zh) * 2009-07-10 2012-07-25 西北工业大学 基于身份的匿名双向认证方法
CN101640593B (zh) 2009-08-28 2011-11-02 西安西电捷通无线网络通信股份有限公司 一种引入在线第三方的实体双向鉴别方法
CN101635624B (zh) * 2009-09-02 2011-06-01 西安西电捷通无线网络通信股份有限公司 引入在线可信第三方的实体鉴别方法
CN101674182B (zh) 2009-09-30 2011-07-06 西安西电捷通无线网络通信股份有限公司 引入在线可信第三方的实体公钥获取、证书验证及鉴别的方法及系统
US8752152B2 (en) * 2009-12-14 2014-06-10 Microsoft Corporation Federated authentication for mailbox replication
WO2011075906A1 (zh) * 2009-12-25 2011-06-30 西安西电捷通无线网络通信股份有限公司 一种实现实体的公钥获取、证书验证及鉴别的方法
GB2490075B (en) * 2010-02-26 2013-05-15 Ibm Transaction auditing for data security devices
US20120008784A1 (en) * 2010-07-08 2012-01-12 Phillip Martin Hallam-Baker Delegated Key Exchange System and Method of Operation
CN101997688B (zh) 2010-11-12 2013-02-06 西安西电捷通无线网络通信股份有限公司 一种匿名实体鉴别方法及系统
CN101984577B (zh) * 2010-11-12 2013-05-01 西安西电捷通无线网络通信股份有限公司 匿名实体鉴别方法及系统
US9331993B2 (en) * 2011-06-16 2016-05-03 Telefonaktiebolaget L M Ericsson (Publ) Authentication server and communication device
US9032494B2 (en) * 2011-11-10 2015-05-12 Sony Corporation Network-based revocation, compliance and keying of copy protection systems
CN103312499B (zh) 2012-03-12 2018-07-03 西安西电捷通无线网络通信股份有限公司 一种身份认证方法及系统
CN103312670A (zh) 2012-03-12 2013-09-18 西安西电捷通无线网络通信股份有限公司 一种认证方法及系统
DE102012208834A1 (de) * 2012-05-25 2013-11-28 Siemens Aktiengesellschaft Authentisierung eines Produktes gegenüber einem Authentisierer
JP5958544B2 (ja) * 2012-09-06 2016-08-02 富士通株式会社 情報処理システム,情報処理方法,プログラム
US9722984B2 (en) * 2014-01-30 2017-08-01 Netiq Corporation Proximity-based authentication
CN104954130B (zh) * 2014-03-31 2019-08-20 西安西电捷通无线网络通信股份有限公司 一种实体鉴别方法及装置
US9331989B2 (en) * 2014-10-06 2016-05-03 Micron Technology, Inc. Secure shared key sharing systems and methods
US9967332B1 (en) * 2015-02-24 2018-05-08 Amazon Technologies, Inc. Peer-to-peer file sharing and collaboration
CN106572066B (zh) * 2015-10-10 2019-11-22 西安西电捷通无线网络通信股份有限公司 一种实体身份有效性验证方法及其装置
CN107404489B (zh) * 2017-08-08 2020-09-11 广东工业大学 一种移动终端共享系统及方法
JP6278290B1 (ja) * 2017-09-14 2018-02-14 タメコ株式会社 認証方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2278477C2 (ru) * 2004-06-04 2006-06-20 Корпорация "Самсунг Электроникс" Способ аутентификации для стационарных региональных систем беспроводного широкополосного доступа
RU2295200C2 (ru) * 2002-08-16 2007-03-10 Тогева Холдинг Аг Способ и система для gsm-аутентификации при роуминге в беспроводных локальных сетях

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5491750A (en) * 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for three-party entity authentication and key distribution using message authentication codes
JPH08297638A (ja) * 1995-04-26 1996-11-12 Nippon Telegr & Teleph Corp <Ntt> 利用者認証方式
JPH08335208A (ja) 1995-06-08 1996-12-17 Nippon Telegr & Teleph Corp <Ntt> 代理認証方法及びシステム
GB9903124D0 (en) 1999-02-11 1999-04-07 Nokia Telecommunications Oy An authentication method
JP2004015665A (ja) * 2002-06-10 2004-01-15 Takeshi Sakamura 電子チケット流通システムにおける認証方法およびicカード
ATE506797T1 (de) 2004-05-07 2011-05-15 Alcatel Lucent Datenauthentifizierungsverfahren und agent basiertes system
EP1601154A1 (en) 2004-05-28 2005-11-30 Sap Ag Client authentication using a challenge provider
US7464267B2 (en) * 2004-11-01 2008-12-09 Innomedia Pte Ltd. System and method for secure transmission of RTP packets
US7412232B2 (en) 2004-12-22 2008-08-12 Research In Motion Limited Method and system for controlling software loads on a third-party mobile station
WO2006079953A1 (en) 2005-01-31 2006-08-03 Koninklijke Philips Electronics N.V. Authentication method and device for use in wireless communication system
KR100652125B1 (ko) * 2005-06-03 2006-12-01 삼성전자주식회사 서비스 제공자, 단말기 및 사용자 식별 모듈 간을총괄적으로 인증하여 관리할 수 있도록 하는 상호 인증방법 및 이를 이용한 시스템과 단말 장치
CN100550725C (zh) 2005-06-17 2009-10-14 中兴通讯股份有限公司 一种用户与应用服务器协商共享密钥的方法
WO2007000179A1 (en) 2005-06-29 2007-01-04 Telecom Italia S.P.A. Short authentication procedure in wireless data communications networks
KR100735221B1 (ko) * 2005-08-12 2007-07-03 삼성전자주식회사 컨텐츠를 다수의 단말기에서 재생할 수 있도록 하는 컨텐츠재생 방법 및 이를 이용한 시스템과 단말 장치
US20070055881A1 (en) 2005-09-02 2007-03-08 Fuchs Kenneth C Method for securely exchanging public key certificates in an electronic device
WO2007066203A2 (en) * 2005-12-05 2007-06-14 Nokia Corporation Computer program product, apparatus and method for secure http digest response verification and integrity protection in a mobile terminal
US20090063851A1 (en) 2006-03-20 2009-03-05 Nijdam Mark J Establishing communications
CN100555936C (zh) 2007-01-08 2009-10-28 中国信息安全产品测评认证中心 一种在智能卡与u盘复合设备中提高访问安全性的方法
CN100553193C (zh) 2007-10-23 2009-10-21 西安西电捷通无线网络通信有限公司 一种基于可信第三方的实体双向鉴别方法及其系统
CN101640593B (zh) 2009-08-28 2011-11-02 西安西电捷通无线网络通信股份有限公司 一种引入在线第三方的实体双向鉴别方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2295200C2 (ru) * 2002-08-16 2007-03-10 Тогева Холдинг Аг Способ и система для gsm-аутентификации при роуминге в беспроводных локальных сетях
RU2278477C2 (ru) * 2004-06-04 2006-06-20 Корпорация "Самсунг Электроникс" Способ аутентификации для стационарных региональных систем беспроводного широкополосного доступа

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
i, IEEE Standard for Information technology - Telecommunications and information exchange between systems - Local and metropolitan area networks - Specific requirements, Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications, Amendment 6: Medium Access Control (MAC) Security Enhancements, IEEE Computer Society, 24.06.2004, найдено в Интернете 12.08.2011, URL:"http://standards.ieee.org/getieee802/download/802.11i-2004.pdf". *

Also Published As

Publication number Publication date
WO2009056049A1 (fr) 2009-05-07
US8356179B2 (en) 2013-01-15
KR20100071107A (ko) 2010-06-28
JP2011501582A (ja) 2011-01-06
CN101145910A (zh) 2008-03-19
ES2698449T3 (es) 2019-02-04
RU2010120133A (ru) 2011-11-27
KR101117393B1 (ko) 2012-03-07
EP2214429B1 (en) 2018-09-19
EP2214429A1 (en) 2010-08-04
EP2214429A4 (en) 2012-12-26
JP5099568B2 (ja) 2012-12-19
US20100306839A1 (en) 2010-12-02
CN100553193C (zh) 2009-10-21

Similar Documents

Publication Publication Date Title
RU2458481C2 (ru) Способ и система двусторонней идентификации объекта на основе доверенной третьей стороны
RU2445741C1 (ru) Способ и система двухсторонней аутентификации субъектов
KR101483818B1 (ko) 신뢰성 있는 제 3자를 기반으로 한 양방향 엔티티 인증 방법
JP5468137B2 (ja) オンライン第三者装置を導入するエンティティ双方向認証方法
JP5425314B2 (ja) オンライン信頼できる第三者を導入したエンティティの公開鍵の取得、証明書の検証及び認証の方法及びシステム
US8763100B2 (en) Entity authentication method with introduction of online third party
US20080150753A1 (en) Secure Data Transfer In A Communication System Including Portable Meters
CN116189340A (zh) 基于pki安全鉴权的门禁管理方法、系统、装置及介质