WO2007079698A1

WO2007079698A1 - Procédé et système d'authentification d'entité, procédé et système d'authentification de bout en bout et centre d'authentification

Info

Publication number: WO2007079698A1
Application number: PCT/CN2007/000141
Authority: WO
Inventors: Yanmei Yang; Jiwei Wei
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2006-01-13
Filing date: 2007-01-15
Publication date: 2007-07-19
Also published as: CN101001144B; CN101001144A

Description

实体认证方法及系统、端到端认证方法及系统、认证中心技术领域

本发明涉及通用鉴权技术，尤指一种实体认证的方法及系统、一种端到端认证的方法及系统、一种实体认证中心（ EAC , Entity Authentication Center )。发明背景 '

图 1是现有技术端到端通信认证架构的示意图，如图 1所示，该架构适用于不同移动网络标准，其作用在于为在不同类型的实体间建立相互信任关系，是一个真正意义上的通用鉴权框架。图 1所示的认证架构涉及到的网络元素除了三种业务实体：业务定购者（SS , Service Subscriber )、业务定购 /提供者（ SSP , Service Subscriber and Provider )、业务提供者（SP, Service Provider )外，在运营商网络中，还包括一个 EAC和一个实体签约数据库（ ESD, Entity Subscription Database )。

其中，业务实体是业务提供实体与业务请求实体的统称，包括 SS、 SSP和 SP三种类型。 SS只能申请服务，一般为普通的移动用户； SSP 可以是普通的移动用户，也可以是第三方的应用服务器（AS， Application Server ); SP为运营商网络的 AS或外部网络的 SP; EAC 用于完成和其它业务实体进行认证方法的协商及认证的过程，并且接受某个业务实体对其它业务实体认证情况的查询； ESD用于存储业务实体签约信息，签约信息可以包括业务实体签约的服务，或业务实体提供的服务，或业务实体签约的服务及提供的服务等，以及业务实体支持的认证方式及其它认证信息等，业务实体的签约信息与业务实体的私有身份标识（ΡΠ), Private Identity ) 关联保存。业务提供实体在为其它业务实体提供业务，或者业务请求实体向其它业务实体请求业务之前，应该首先已经与网络存在签约关系，并将签约信息存放于 ESD 中；并且，网络中每个业务实体在与其他业务实体进行通信之前，需要先与 EAC协商认证方式，并完成对身份的认证过程。

认证方式的协商过程由业务实体发起，业务实体将自身身份标识携带在认证请求消息中发送给 EAC。 EAC根据本地预设策略和该业务实体签约信息，选择一种认证方式，并将该认证方式及相关认证信息返回给发起认证请求的业务实体，该业务实体向 EAC发送确认信息表示协商过程结束。

业务实体与 EAC 间按照协商的认证方式进行认证，该认证是双向的。认证结束后，请求认证的业务实体和 EAC共享一个密钥即共享密钥 Ks，并且 EAC将根据请求认证的业务实体的签约信息给该业务实体分配临时身份标识以及相应的有效期： 1 ) 若该请求认证的业务实体是 SS ,则 EAC向该 SS分配一个中间业务请求标识（ ISR-ID ); 2 )若该请求认证的业务实体是 SP, 则 EAC向该 SP分配一个中间认证查询标识（IAC-ID ); 3 ) 若该请求认证的业务实体是 SSP, 那么 EAC向该 SSP分配一个 ISR-ID和一个 IAC- ID; 认证建立的信任关系存在一个有效期，当过了有效期，业务实体需要与 EAC之间进行重认证过程，建立新的信任关系。

业务实体与 EAC完成认证后， EAC将分配的临时身份标识以及有效期发送给请求认证的业务实体，此后该业务实体与 EAC之间的通信采用认证过程生成的业务实体与 EAC 间的共享密钥 Ks进行保护。

在业务请求实体完成到 EAC的认证过程后，便可向业务提供实体请求业务。 SP或 SSP收到业务请求消息后，如果 SP或 SSP 已经完成到 EAC的认证过程并获得有效的 IAC-ID或 ISR-ID和 IAC-ID, 便可将业务请求实体的 ISR- ID以及自身的 IAC-ID携带在查询请求消息中，向 EAC查询业务请求实体的认证情况；否则， SP或 SSP应先到 EAC进行认证以及密钥协商过程后，才能向 EAC请求查询业务请求实体的认证情况。

EAC收到查询请求后，首先根据业务请求实体的 ISR- ID以及业务提供实体的 IAC- ID或 ISR- ID和 IAC- ID, 查询二者有'；殳有相应的权限，然后根据二者的相关信息，利用业务请求实体与 EAC协商的共享密钥 Ks及认证方式的加密算法为二者计算一个用于保护业务请求实体和业务提供实体之间业务通信的衍生密钥，并将该衍生密钥发送给业务提供实体。与此同时，业务请求实体也利用业务请求实体与 EAC协商的共享密钥 Ks以及协商后得到的认证方式的加密算法计算得到衍生密钥。这样，业务请求实体与业务提供实体均荻得相同的衍生密钥，并利用该衍生密钥对相互间的通信进行保护。

图 1所示的通用认证框架适用的范围很广，可以适用于各种不同的业务实体。在实际应用中，不同的业务可能有不同的安全需求，比如高安全級别的业务要求业务提供实体与业务请求实体之间的通信具有足够的安全性，通信的安全程度不仅取决于认证方式即认证协议以及加密算法的安全，还取决于所采用的密钥的安全性。

通用鉴权框架中，业务实体之间信任的建立是以业务实体与 EAC之间的信任为基的，业务实体之间通信采用的衍生密钥是利用业务实体与 EAC协商的共享密钥 Ks计算得到的，要生成高安全等级的衍生密钥，需要 Ks也具有较高的安全性。因此，要求 EAC能够对业务实体提供不同安全等级的认证，并且生成不同安全等级的共享密钥 Ks，从而为实体间通信提供不同安全等级的衍生密钥。而现有的通用鉴权框架未对 EAC 与业务实体间的认证与密钥协商划分安全等级，使 EAC 不能为业务实体提供不同安全等级的认证，从而得不到符合业务安全等级需求的ί>Τ生密钥，也不便于运营商对不同安全等级需求的业务进行更合理、更精确的计费，不能很好地适应业务发展的需求。发明内容

本发明的实施例提供了一种实体认证的方法及系统、一种端到端认证的方法及系统、一种实体认证中心（EAC ), 能够为业务实体提供不同安全等级的认证，符合业务安全等级需求，很好地适应业务发展的需求。

本发明实施例的技术方案具体是这样实现的：

一种实体认证的方法，当业务实体向 EAC发起认证时，该方法包括：

所述 EAC获取与所述业务实体之间进行认证的安全等级，并获取所述 EAC与所述业务实体均支持的且符合所述安全等级的认证方式；所述 EAC与所述业务实体按照获得的认证方式进行认证并生成共享密钥，为所述共享密钥分配所述安全等级，并关联存储所述共享密钥和所述安全等级；

所述业务实体关联存储自身生成的共享密钥和所述安全等级。

一种端到端的认证方法，应用于包括实体认证中心 EAC、业务请求实体和业务提供实体的系统，该方法包括：

所述业务请求实体向所述 EAC发起认证时，所述 EAC获取与所述业务请求实体之间进行认证的安全等级、以及与所述业务请求实体均支持的且符合所述安全等级的认证方式；所述 EAC 与所述业务请求实体按照获得的认证方式进行认证并分别生成共享密钥，所述 EAC 为所生成的共享密钥分配所述安全等级，所述 EAC 和所述业务请求实体分别将各自生成的共享密钥与所述安全等级关联存储；

所述业务请求实体请求业务时，采用所述业务请求实体的符合所请求的业务的安全等级需求的共享密钥生成用于保护所述业务请求实体和所述业务提供实体之间业务通信的衍生密钥。

一种实体认证系统，包括：实体认证中心 EAC和业务实体；所述 EAC, 获取与所述业务实体之间进行认证的安全等级，获取所照所获取的认证方式与所述业务实体进行认证并生成共享密钥，为所生成的共享密钥分配所述安全等级，并关联存储所生成的共享密钥和所述安全等級；

所述业务实体，按所述 EAC获取的认证方式与所述 EAC进行认证并生成共享密钥，关联存储所生成的共享密钥和所述的安全等级。

一种端到端的认证系统，包括：实体认证中心 EAC、业务请求实体和业务提供实体；

所述 EAC，获取与所述业务请求实体之间进行认证的安全等级，获取所述 EAC 与所述业务情求实体均支持的且符合所述安全等级的认证方式，与所述业务请求实体按照所获得的认证方式进行认证并生成共享密钥，为所生成的共享密钥分配所述安全等级，并关联存储所生成的共享密钥和所述安全等级；当所述业务请求实体请求业务时，采用所述业务请求实体的符合所请求的业务的安全等级需求的共享密钥生成用于保护所述业务请求实体和所述业务提供实体之间业务通信的衍生密钥；认证并生成共享密钥，关联存储所生成的共享密钥和所述安全等级，并在请求业务时采用所述业务请求实体的符合所请求的业务的安全等级需求的共享密钥生成用于保护与所述业务提供实体之间业务通信的衍生密钥；

所述业务提供实体，为所述业务请求实体提供业务并用所述 EAC 生成的衍生密钥保护与所述业务请求实体之间的通信。

一种实体认证中心 EAC, 包括：

第一单元，获取与业务实体之间进行认证的安全等级，并获取所述 EAC和所述业务实体均支持的认证方式；

第二单元，按照第一单元所获取的认证方式进行认证并生成共享密钥，为所生成的共享密钥分配第一单元获取的安全等级，并关联存储所生成的共享密钥和所述安全等级。 .

由上述技术方案可见，本发明的实施例通过在认证过程中，按照业务要求的安全等级选择符合该安全等级需求的认证方式，在 EAC与请求认证的业务实体间进行认证，并为建立认证后协商生成的共享密钥分配安全等级。本发明的实施例对 E AC与业务实体间的认证与密钥协商划分了安全等级，使 EAC为业务实体提供了不同安全等级的认证，方便了运营商对不同安全等级需求的业务采取不同的计费策略进行计费，很好地适应了业务发展的需求。

本发明的实施例进一步地，在请求业务过程中，通信双方可以采用符合当前业务安全等级要求的共享密钥为业务实体间通信提供符合业务安全等级需求的衍生密钥，保证了不同业务实体间不同'业务的通信建立不同安全级别的信任关系。附图简要说明

图 1是现有技术端到端通信认证架构的示意图；图 2是本发明实施例中 EAC实现认证的流程图；

图 3是本发明实施例中业务实体向 EAC请求认证的流程图；图 4是本发明实施例中 SS与 SP之间实现业务通信的流程图；图 5是本发明实施例中 SS与 SP之间实现业务通信的流程图。实施本发明的方式

在本发明的实施例中，实体认证中心获取与请求认证的业务实体之间进行认证的安全等级，并根据获得的安全等级、预设的安全等级与不同认证方式的对应关系以及该业务实体的签约信息，获取实体认证中心与该业务实体均支持的且符合安全等级要求的认证方式；实体认证中心与该业务实体按照所获取的认证方式进行认证并协商生成共享密钥，实体认证中心为生成的共享密钥分配安全等级、为请求认证的业务实体分配临时身份标识，并在实体认证中心和该业务实体中关联存储所述临时身份标识、共享密钥和该共享密钥的安全等级。

图 2是本发明实施例中 EAC实现认证的流程图，在 EAC中设置安全等级与不同认证方式的对应关系，该对应关系可以存储在一安全等级数据库中；假设请求认证的业务实体已经与网絡存在签约关系并将签约信息存储于 ESD中，本发明这一实施例包括以下步骤：

步骤 200: EAC获取与请求认证的业务实体之间进行认证的安全等级，并根据获得的安全等级，查询所述安全等级数据库选择符合该安全等级需求的且又是 EAC 支持的认证方式；并根据该业务实体的签约信息选择该业务实体支持的认证方式。

获取与请求认证的业务实体之间进行认证的安全等级的方法为：由请求认证的业务实体选定并上报给 EAC, 或由 EAC来选择，具体实现如下：如果安全等级由业务实体选定并上报给 EAC, 则 EAC按照上报的安全等级查询预设的安全等级数据库，获得该安全等级对应的 EAC 支持的认证方式。比如可以将认证方式按照安全等级分为：高、较高、一般、低四种安全等级等。在本发明的这一实施例中，所述认证方式包括认证协议和加密算法。认证协议、加密算法可以通过简单的字段来表示，比如用一个英文字母 a加一个 4bit的数字字段来表示认证方式，如 aOOOl 表示基于用户业务身份模块（USIM ) 的 3G认证与密钥协商（AKA )、 a0010表示基于用户身份模块（SIM )的鉴权、 aOOll表示 SIM与传输层安全（ TLS )相结合的鉴权、 aOlOO表示基于公私钥鉴权加 DH密钥交换等；一个英文字母 k加一个 4bit的数字字段来表示加密算法，如 kOOOl 表示高级加密标准 -256 ( AES-256 ) 算法、 kOOlO表示 AES-128算法、 kOOll表示公月加密 -2048 ( SA-2048 ) 算法、 kOlOO表示 RSA-1024算法、 kOlOl表示数据加密标准- 64 ( DES-64 ) 算法等。

如果安全等级由 EAC选择，，则业务实体在认证请求中应携带业务提供实体的公开身份标识（UID, Public Identity ), EAC根据该 UID确定业务类型，并查询预设的业务安全等级列表，获取该业务类型对应的安全等级，然后根据获得的安全等级查询安全等级数据库，获得符合请求认证的业务实体上报的安全等级需求的 EAC支持的认证方式。此处，业务实体上报的安全等级需求由认证请求中携带的 UID确定。其中， UID是用于与其它业务实体进行联系的身份标识，同一业务实体可以提供不同的业务，不同类型的业务对应不同的 UID, 即通过 UID能够区分出不同的业务类型；业务安全等级列表用于存储安全等级与不同业务类型的对应关系，可预设在 EAC或 ESD中。

如果业务实体和 EAC都选择了业务安全等级，则选择安全等级较高的一个安全等级作为当前安全等级，然后根据当前安全等级查询安全等级数据库获取符合当前安全等级需求的 EAC支持的认证方式。

同时， EAC根据 ESD中存储的该请求认证的业务实体的签约信息，确定该业务实体支持的认证方式。一般业务实体请求认证时，都会将自身 PID提供给 EAC, EAC根据该 PID从 ESD中查询该 PID关联的签约信息，并从该签约信息中获得该业务实体支持的认证方式。

EAC 获取业务实体的认证方式的另外一种方法是，业务实体在向 EAC发起的认证请求消息中携带该业务实体支持的认证方式。

步骤 201 : EAC从符合该安全等级需求的自身支持的认证方式中，选择 EAC和该业务实体双方均支持的认证方式，并将该认证方式返回给请求认证的业务实体。

EAC 从所述业务实体支持的认证方式中选择自身同时也支持的且符合与请求认证的业务实体之间进行认证的安全等级的需求的认证方式。

如果在所述该业务实体支持的认证方式中， EAC未能获得自身也支持的且符合安全等级需求的认证方式，或者，从符合该安全等级需求的自身支持的认证方式中，未能获得该业务实体也支持的认证方式，则 EAC向请求认证的业务实体返回错误指示，指示此次认证失败。

步骤 202: EAC与请求认证的业务实体间通过所述双方支持的认证方式进行互认证并协商生成共享密钥， EAC为生成的共享密钥分配获取的安全等级、为请求认证的业务实体分配认证相关信息，如临时身份标识及共享密钥的有效期，将所述认证相关信息、所分配的共享密钥和该共享密钥的安全等级关联存储，并将所述认证相关信息和该共享密钥的安全等级发送给请求认证的业务实体。

本步骤中 EAC 与请求认证的业务实体间的互认证过程以及协商生成共享密钥 Ks的过程与现有技术完全一致，这里强调的是，在本发明的这一实施例中， EAC与请求认证的业务实体之间是利用符合要求的安全等级的认证方式进行的认证，并且，本发明的这一实施例会为协商生成的共享密钥 Ks分配该共享密钥的安全等级即 Ks安全等级。

可以通过下面两种方法来标识 Ks安全等级：一种方法是采用一个单独的安全等级字段来表示 Ks安全等级，比如安全等级字段中写入 0表示安全等级为高、写入 1表示安全级别为较高、写入 2表示安全级别为一般、写入 3表示安全级别为低等；另一种方法是为用户分配一个可以区分出 Ks安全等级的临时身份标识，即不同的临时身份标识代表不同的安全等级，比如安全等级为高的共享密钥 Ks对应的临时身份标识包含字符" HIG"，比如：可将一个高安全等级的共享密钥 Ks对应的临时身份标识为： HIG.RAND@ operator.com。 - 每个业务实体与 EAC可能共享多个共享密钥 Ks, 各共享密钥 Ks 可以对应不同的安全等级。

步驟 203:请求认证的业务实体接收来自 EAC的认证相关信息和该共享密钥的安全等级并与所生成的共享密钥关联存储。

根据本发明的这一实施例，针对不同业务需求，在 EAC和请求认证的业务实体中均保存了对应的临时身份标识、有效期、共享密钥和该共享密钥的安全等级，以便在业务请求中针对不同业务的安全需求采用不同安全等级的共享密钥生成的衍生密钥对通信进行保护。

在图 2所示认证方法的基础上，本发明的这一实施例还进一步包括：业务请求实体向业务提供实体申请业务服务时，业务请求实体首先要查询自身是否已经保存了符合当前业务的安全等级需求的共享密钥 Ks。业务对 Ks安全等级的需求可以是业务提供实体向业务请求实体指示的业务要求的安全等级；也可以是业务请求实体通过其它方式在申请业务服务之前获得的，比如业务请求实体自身保存有业务安全等级列表，这样在业务请求实体请求某项业务之前通过查询该业务安全等级列表，获得要申请的业务的安全等级需求。

如果业务请求实体检查自身存在要申请的业务所需的 Ks安全等级，则业务请求实体将该 Ks安全等级关联的临时身份标识发送给业务提供者。如果业务请求实体检查自身不存在要申请的业务所需的 Ks安全等级，则业务请求实体与 EAC重新协商并分配一个符合当前要申请的业务所需的安全等级的 Ks安全等级，然后将该 Ks安全等级对应的临时身份标识发送给业务提供实体。

业务提供实体在接收到来自业务请求实体的所述 Ks安全等级对应的临时身份标识之后，可通过下述方法一获得共享密钥 Ks的衍生密钥：

方法一：业务提供实体将自身的临时身份标识和 UID、业务请求实体的临时身份标识以及 Ks安全等级发送给 EAC, EAC验证业务请求实体的合法性，比如检查临时身份标识的有效性， Ks 安全等级是否属实等，如果合法，则根据业务请求实体的临时身份标识、业务提供实体的临时身份标识、以及与业务请求实体的临时身份标识关联的共享密钥 Ks生成业务请求实体与业务提供实体通信用的衍生密钥，并返回给业务提供实体。如果不合法，则 EAC向业务提供实体返回错误信息。

方法二：如果业务请求实体向 EAC发送认证请求消息时，在该认证请求消息中除了携带该业务请求实体的 PID外，还携带有所申请的业务对应的 UID , 则可由 EAC根据业务安全等级列表查询获得该 UID对应的安全等级，如果 UID对应的业务提供实体已经完成在 E AC 的认证过程，则可以获知该业务提供实体的临时身份标识，然后再查询与该安全等级关联的业务请求实体的临时身份标识和共享密钥，通过该共享密钥以及业务请求实体和业务提供实体的临时身份标识计算出衍生密钥后直接推送（Push ) 给业务提供实体。

同时，业务请求实体根据申请的业务的安全等级对应的共享密钥 Ks生成衍生密钥，这样，业务请求实体和业务提供实体间采用符合当前业务安全等级要求的衍生密钥对通信进行保护，保证了不同业务实体间能够为不同业务的通信建立不同安全级别的信任关系。

图 3是本发明实施例中业务实体向 EAC请求认证的流程图，在本实施例中，假设由请求认证的业务实体选择认证的安全等级要求，请求认证的业务实体已经与网絡存在签约关系并将签约信息存储于 ESD中，该实施例包括以下步骤：

步骤 300〜步骤 301 : 请求认证的业务实体选择认证方式的安全等级，将选定的安全等级及该业务实体的 PID携带在认证请求消息中发送给 EAC。

请求认证的业务实体选择认证的安全等级的方法可以是：对于业务请求实体，可以选择业务请求实体通过预设的用户界面设置的安全等级、或者选择业务所需求的安全等级、或者选择业务请求实体通过预设的用户界设置的安全等级和业务所需求的安全等级中较高的一个安全等级；对于业务提供实体，选择业务所需求的安全等级。

业务实体获得业务对 Ks安全等级的需求的方式，可以是业务请求实体向业务提供实体请求业务服务时，由业务提供实体返回相应的 Ks 安全等级信息给业务请求实体；也可以是业务实体在请求认证之前通过其它方式获得，比如业务实体通过自身保存的业务安全等级列表，查询某项业务对应的 Ks安全等级的需求。

该认证请求消息中还可以携带业务实体的鉴权能力信息即支持的认证方式。另外，如果采用由 EAC选择认证方式的安全等级的方式，则该认证请求消息中还要携带所要访问的业务的 UID。

步骤 302―步骤 303: EAC根据请求认证的业务实体的 PID在 ESD 存储的签约信息中查询该业务实体支持的认证方式，包括认证协议、加密算法和其它相关参数，并获得该业务实体支持的认证方式。

步骤 304 ~步驟 305:匹配 EAC与所述业务实体均支持的认证方式。 EAC从所述业务实体支持的认证方式中，选择自身和该业务实体双方均支持的认证方式，并将该双方均支持的认证方式返回给请求认证的业务实体。

EAC查询自身存储的安全等級数据库，选择符合与请求认证的业务实体之间进行认证的安全等级的需求的认证方式， EAC从所述业务实体支持的认证方式中选择自身同时也支持的认证方式。

如果在所述该业务实体支持的认证方式中， EAC未能获得自身也支持的且符合与请求认证的业务实体之间进行认证的安全等级的需求的认证方式，则 EAC 向请求认证的业务实体返回错误指示，指示此次认证失败。

步骤 306:请求认证的业务实体接收到来自 EAC的符合当前安全等级需求的认证方式后，向 EAC返回确认响应消息。

本步綠可以省略。

步骤 307 -步骤 308: EAC与请求认证的业务实体间通过所述双方均支持的认证方式进行互认证并协商生成共享密钥 Ks, EAC为生成的共享密钥分配 Ks安全等级、为请求认证的业务实体分配临时身份标识及共享密钥 Ks的有效期，将所述临时身份标识、共享密钥 Ks、有效期和该共享密钥的 Ks安全等级关联存储并将所述临时身份标识、有效期和该共享密钥的 Ks安全等级发送给请求认证的业务实体。请求认证的业务实体接收来自 EAC的所述临时身份标识、共享密钥 Ks的有效期和该共享密钥的 Ks安全等级并与共享密钥 Ks关联存储。

在上述业务实体实现认证的基础上，以 SS向 SP请求业务为例，结合图 4和图 5所示的两个实施例流程图，具体描述 SS与 SP之间实现业务通信的方法。

图 4是本发明实施例中 SS与 SP之间实现业务通信的流程图，通过 SS向 SP发送业务请求消息来实现 SS与 SP之间的业务通信，具体包括以下步聚：

步驟 400: SS向 SP发送业务请求消息，该业务请求消息中携带有 SS的临时身份标识及 SS申请的业务对应的 UID。

本步骤中，假设临时身份标识中设置有用于存储 SS进行认证所需的安全等级的安全等级字段。 SS可通过自身保存的业务安全等级列表，查找与所请求业务的 UID对应的安全等级，并找到符合该安全等级的共享密钥 Ks关联的临时身份标识，将该携带有 Ks安全等级的临时身份标识发送给业务提供实体。

若临时身份标识中未设置安全等级字段，在所述业务请求消息中可以携带共享密钥 Ks对应的安全等级信息，即共享密钥 Ks对应的安全等级信息作为一个单独的安全等级参数指示发送给 SP ,也可以只发送与共享密钥 Ks关联的临时身份标识给 SP。

步驟 401: SP根据接收到的 UID, 查询自身预设的业务安全等级列表获得与该 UID对应的业务的安全等级需求，并判断来自 SS的临时身份标识中携带的安全等级或 SS直接发来的安全等级是否符合当前申请业务的安全等级需求，若符合，则进入步骤 405; 否则，拒绝 SS的业务请求或者进入步骤 402。

在本步骤中， SP也可以不判断 SS发来的安全等级是否符合 UID对应的业务的安全等级需要，而直接执行步骤 405。当 SP判断 SS发来的安全等级是否符合 UID对应的业务的安全等级需要时，若 SS的临时身份标识中携带的安全等級高于或等于所述 UID 对应的安全等级需求，则表明符合；否则，不符合。本实施例中，支设 SS 的临时身份标识中携带的安全等级符合当前申请业务的安全等级需求。

步骤 402〜步骤 404: SP向 SS返回 SS申请的业务所需的安全等级指示； SS 根据自身存储的关联信息查找符合该安全等级需求的共享密钥 Ks关联的临时身份标识和其它相关信息，并向 SP返回与共享密钥 Ks关联的临时身份标识。

如果 SS找不到符合安全等级需求的 Ks, 则需要重新到 EAC协商一个符合安全等级需求的 Ks。

步骤 405: SP向 EAC发送查询请求，将自身的临时身份标识， SS的临时身份标识发送给 EAC, EAC查询自身是否存储有与 SS的临时身份标识关联存储的信息，若存储有，则验证出 SS是合法的；否则， SS是不合法的。本实施例中，假设对 SS的验证是合法的。

若 SP没有判断 SS发来的安全等级是否符合 UID对应的业务的安全等级需要，则在步骤 405中， SP可以同时将当前 UID发送给 EAC, 由 EAC检查 SS发送的安全等级是否符合业务的要求，具体包括： EAC根据接收到的 UID查询业务安全等级列表获得该 UID对应的安全等级需求，再检查 SS的临时身份标识对应的安全等级是否符合要求；否则， EAC向 SP返回认证查询失败响应，并指明失败原因，比如，临时身份标识与安全等级需求不匹配，并指示 SS重新向 EAC发起该安全等级的认证请求，以获得满足该安全等级要求的新的共享密钥 Ks和临时身份标识等信息。

另夕卜，如果 SS的临时身份标识中没有携带安全等级，则 EAC可以根据 SP提供的 SS的临时身份标识查找自身关联存储的信息， SP从 EAC中查询并获得该业务请求实体的临时身份标识对应的安全等级，并根据 SS所请求业务的 UID对应的安全等级判断与 SS的临时身份标识关联的安全等级是否符合业务需要，如果不符合，则不能请求该业务。

步骤 406: EAC验证 SS合法后，利用与接收到的 SS的临时身份标识关联的共享密钥 Ks及相关信息生成衍生密钥。与此同时， SS 利用与发送给 SP的临时身份标识关联的共享密钥 Ks及相关信息生成衍生密钥。

步骤 407: EAC 将生成的用于保护业务通信的衍生密钥下发给

SP。

步骤 408: SP保存接收到的衍生密钥并向 SS返回业务请求成功响应。

需要说明的是，若 SP收到来自 EAC的认证查询失败响应，则 SP向 SS返回相应的业务请求失败响应。本实施例中，假设 SP向 SS 返回业务渚求成功响应。

步骤 409: SS收到业务请求成功响应后， SS与 SP使用衍生密钥保护两者之间的业务通信。

当然，在本实施例中，如果步骤 400中 SS将 Ks对应安全等级通过一个单独的参数上报给 SP， SP还要根据 EAC发来的信息判断 SS上报的安全等级是否属实。

图 5是本发明实施例中 SS与 SP之间实现业务通信的流程图，通过 SS向 EAC发送认证请求消息来实现 SS与 SP之间的业务通信，具体包括以下步驟：

步骤 500: SS向 EAC发送认证请求消息时，在认证请求消息中，同时携带有 SS的 PID以及申请的业务对应的 UID。

该认证请求消息中还可以携带业务实体的鉴权能力信息即支持的认证方式。

步骤 501 : EAC收到认证请求消息后，查询预设的业务安全等级列表获得与接收到的 UID对应的安全等级，若通过与安全等级关联存储的信息，能获得 SP的临时身份标识，则表明 SP已完成在 EAC 的认证，是合法的；另外，通过 SS的 PID，可以查出 SS的所有临时身份标识，然后，； ^据 UID对应的业务安全等级，判断是否存在与该安全等级关联存储的 SS的临时身份标识，若存在，则进入步骤 509; 否则，执行步骤 502〜步骤 508, 重新对 SS进行认证。

在本步驟中，如果 EAC为 SS分配的临时身份标识只能使用一次，即 SS通过向 EAC发送认证请求消息来实现 SS与 SP之间的业务通信时，必须与 EAC为此次请求进行认证并由 EAC分配临时身份标识，则该步骤可以省略，直接执行步骤 502。

本实施例中， 4艮设 EAC中存储有与所述 UID对应的安全等级关联存储的 SS的临时身份标识。

步骤 502 ~步骤 504: EAC根据所述 UID对应的安全等级，选择符合该安全等级需求的 EAC支持的认证方式； EAC根据 SS的 PID 从存储于的签约信息中获取 SS支持的认证方式，即 SS支持的认证协议、加密算法和其它相关参数。

步骤 505 ~步骤 507: 匹配 EAC与 SS均支持的认证方式。 EAC 从符合该安全等级需求的自身支持的认证方式中，选择 EAC和 SS双方均支持的认证方式，并将该认证方式返回给 SS , SS收到认证方式后，向 EAC返回确认响应消息。

如果不存在二者均支持的符合该安全等级的认证方式，则 EAC 向 SS返回错误指示。

步骤 508: SS和 EAC利用所选的认证方式进行互认证，认证成功后，双方获得共享密钥 Ks, 并且在 EAC和 SS分别利用生成的共享密钥 Ks以及其它参数计算出衍生密钥。

步驟 509: EAC向 SS返回认证成功响应，响应中携带符合当前业务安全需求的 SS的 ISR-ID, 共享密钥 Ks的有效期和相应的安全等级。 EAC和 SS均将共享密钥 Ks、 SS的 ISR-ID、有效期以及相应的安全等级关联保存。

步骤 510: EAC将生成的衍生密钥及 SS的 ISR-ID发送给 UID 对应的业务所属的 SP，该 SP将收到的衍生密钥及 SS的 ISR-ID关联存储，并可以向 EAC返回确认响应消息。

步骤 511 : 当 SS向 SP申请业务时，若该 SP中已经保存了与 SS 的 ISR-ID关联的衍生密钥，那么 SS与 SP可以使用与该 SS的 ISR- ID 关联的衍生密钥来保护双方的业务通信。

本发明的实施例还提供了一种实体认证系统，该系统包括 E AC和业务实体。

在该系统中， EAC 与业务实体之间的认证由业务实体发起， EAC 获取与业务实体之间进行认证的安全等级，并获取该 EAC 与业务实体均支持的且符合所述安全等级的认证方式，然后，该 EAC 与业务实体按照所获取的认证方式进行认证并协商生成共享密钥， EAC为所生成的共享密钥分配安全等级，为该业务实体分配临时身份标识，并关联存储所分配的临时身份标识、所生成的共享密钥和该共享密钥的安全等级，之后，将所分配的临时身份标识和该共享密钥的安全等级发送给业务实体，业务实体将接收到的该 EAC所分配的临时身份标识和该共享密钥的安全等级与所生成的共享密钥关联存储。该系统还包括实体签约数据库 ESD, 存储用于保存安全等级与业务类型之间对应关系的业务安全等级列表及该业务实体的签约信息。

在本实施例中，该 EAC可以通过以下方式之一获取与业务实体之间进行认证的安全等级：

由业务实体选定与所述 EAC之间进行认证的安全等级并上报给该 EAC, 在这种方式中，业务实体可以选择通过预设的用户界面设置的安全等级，或选择业务所需求的安全等级，或选择通过预设的用户界面设置的安全等级和业务所需求的安全等级中等级高的一个安全等级作为进行认证的安全等级；

由 EAC选定与业务实体进行认证的安全等级，在这种方式中，业务实体向 EAC提供公开身份标识 UID; EAC根据该业务实体提供的 UID 确定业务类型，查询所述 ESD存储的业务安全等级列表获取该业务类型对应的安全等级；

另外，还可以由业务实体进行认证的安全等级并上报给 EAC, 同时业务实体向 EAC提供 UID, 由 EAC根据该 UID确定业务类型，并根据业务等级列表获取该业务类型对应的安全等级，并选择该业务实体上报的安全等级和自身获取的安全等级中等级高的一个安全等级作为与业务实体之间进行认证的安全等级。

在获取与业务实体进行认证的安全等级之后， EAC可以查询实体签约数据库中存储的业务实体的签约信息，获取该 EAC 与该业务实体均支持的且符合该安全等级的认证方式。

本发明的实施例还提供了一种端到端认证的系统，该系统包括 EAC、业务请求实体和业务提供实体。

在该系统中， EAC用于获取与业务请求实体之间进行认证的安全等级，获取该 EAC 与该业务请求实体均支持的且符合所述安全等级的认证方式，与该业务请求实体按照所获得的认证方式进行认证并生成二者之间的共享密钥，为所生成的共享密钥分配所获取的与所述业务请求实体之间进行认证的安全等级，为该业务请求实体分配临时身份标识，并关联存储所分配的临时身份标识、所生成的共享密钥和该共享密钥的安全等级；

当该业务请求实体请求业务时，若 EAC判断该业务请求实体具有符合所请求的业务的安全等级需求的临时身份标识，则采用该业务请求实体的符合所请求的业务的安全等级需求的临时身份标识及其关联的共享密钥生成用于保护该业务请求实体和该业务提供实体之间业务通信的衍生密钥，并发送给业务提供实体；若判断该业务请求实体不具有符合所请求的业务的安全等级需求的临时身份标识，则通知该业务请求实体重新发起认证，并在该业务请求实体重新发起认证时，生成新的共享密钥，为业务请求实体分配新的临时身份标识，使用该新的临时身份标识和新的共享密钥生成新的衍生密钥发送给业务提供实体。

业务请求实体可以按所述 EAC获取的认证方式与该 EAC进行认证并生成共享密钥，关联存储该 EAC 所分配的临时身份标识、所生成的共享密钥和该共享密钥的安全等级，并在请求业务时采用该业务请求实体的符合所请求的业务的安全等级需求的临时身份标识及其关联的共享密钥生成用于保护该业务请求实体和该业务提供实体之间业务通信的衍生密钥。

业务提供实体为该业务请求实体提供业务并用 EAC 生成的衍生密钥保护与该业务请求实体之间的通信。

本发明的实施例还提供了一种实体认证中心 EAC, 包括第一单元和第二单元。

在该系统中，第一单元用于获取 EAC与业务实体之间进行认证的安全等级，并获取 EAC和业务实体均支持的认证方式，并将获取的认证方式发送给第二单元。第二单元按照第一单元所获取的认证方式与业务实体进行认证并生成共享密钥，为所生成的共享密钥分配安全等级，为业务实体分配临时身份标识，并关联存储分配的临时身份标识、所生成的共享密钥和该共享密钥的安全等级。该 EAC还包括第三单元，用于在业务实体请求业务时，根据该业务实体提供的公开身份标识 UID确定业务类型，并将确定的业务类型发送给第一单元，以便第一单元获取该第三单元确定的业务类型对应的安全等級。该 EAC还可以包括第四单元。当业务实体请求业务时，第四单元用于获取第二单元中与该业务请求实体请求的业务对应的安全等级关联存储的该业务实体的临时身份标识和共享密钥，使用所获取的共享密钥生成衍生密钥；否则，要求该业务实体重新进行认证。

在本实施例中，第四单元可进一步判断该请求业务的业务实体是否具有符合所请求业务的安全等级需求的临时身份标识，如果具有，则获取第二单元中与该临时身份标识和安全等级关联存储的共享密钥，使用所获取的共享密钥生成衍生密钥，并将所生成的衍生密钥发送给提供该业务的业务实体；否则，要求该业务实体重新进行认证。

在上述实施例的流程中，已经对该实体认证系统中各组成部分、端到端认证系统的各組成部分、以及 EAC 的功能做了详细说明，此处不再进一步描述。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围，凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. —种实体认证的方法，其特征在于，当业务实体向实体认证中心 EAC发起认证时，所述方法包括：

2. 根据权利要求 1所述的方法，其特征在于，所述 EAC获取与所述业务实体之间进行认证的安全等级，包括：所述业务实体选定认证的安全等级并上报给所述 EAC。

3. 根据杈利要求 1所述的方法，其特征在于，所述 EAC获取与所述业务实体之间进行认证的安全等级，包括：

所述业务实体向所述 EAC提供公开身份标识 UID, 所述 EAC根据所述 UID确定业务类型，并通过查询用于存储安全等级与业务类型之间对应关系的业务安全等级列表，获取所述业务类型对应的安全等級。

4.根据权利要求 1所述的方法，其特征在于，所述 EAC获取与所述业务实体之间进行认证的安全等级，包括：

所述业务实体选定认证的安全等级并上报给所述 EAC;

所述业务实体向所述 JBAC提供公开身份标识 UID, 所述 EAC根据所述 UID确定业务类型，并通过查询用于存储安全等级与业务类型之间对应关系的业务安全等级列表，获取所述业务类型对应的安全等级；所述 EAC选择所述业务实体上报的安全等级与自身获取的安全等等级。

5. 根据权利要求 2或 4所述的方法，其特征在于，所述业务实体选定认证的安全等级并上报给所述 EAC 包括：将所述业务实体选定的安全等级信息携带在认证请求消息中发送给所述 EAC。

6.根据权利要求 1所述的方法，其特征在于，所述业务实体关联存储自身生成的共享密钥和所述安全等级包括：

所述 EAC将所述安全等级发送给所述业务实体；

所述业务实体接收来自所述 EAC 的安全等级，将接收到的安全等级与自身生成的共享密钥关联存储。

7.根据权利要求 1至 6所述的方法，其特征在于，所述业务实体为：业务请求实体或业务提供实体。

8.根据权利要求 1所述的方法，其特征在于，所述 EAC生成共享密钥时为所述业务实体分配临时身份标识并提供给所述业务实体；

所述安全等级为：设置于所述临时身份标识中的一个字段或者作为单独的安全等级参数；

所述临时身份标识与所述安全等级和共享密钥关联存储。

9. 一种端到端的认证方法，应用于包括实体认" ^中心 EAC、业务请求实体和业务提供实体的系统，其特征在于，该方法包括：

所述业务请求实体向所述 EAC发起认证时，所述 EAC获取与所述业务埼求实体之间进行认证的安全等级、以及与所述业务请求实体均支持的且符合所述安全等级的认证方式；所述 EAC 与所述业务请求实体按照获得的认证方式进行认证并分别生成共享密钥，所述 EAC 为所生成的共享密钥分配所述安全等级，所述 EAC和所述业务请求实体分别将各自生成的共享密钥与所述安全等级关联存储；所述业务请求实体请求业务时，采用所述业务请求实体的符合所请求的业务的安全等级需求的共享密钥生成用于保护所述业务请求实体和所述业务提供实体之间业务通信的衍生密钥。

10. 根据权利要求 9所述的方法，其特征在于，所述业务请求实体请求业务时，如果所述业务请求实体具有符合所请求的业务的安全等级需求的共享密钥，则采用所述共享密钥生成所述衍生密钥。

11. 根据权利要求 10 所述的方法，其特征在于，所述方法进一步包括：如果所述业务请求实体不具有符合所请求的业务的安全等级需求的共享密钥，则所述业务请求实体重新向所述 EAC发起认证。

12. 根据权利要求 11 所述的方法，其特征在于，如果所述业务请求实体重新向所述 EAC发起认证，则所述 EAC和所迷业务请求实体生成新的共享密钥，使用所述新的共享密钥生成新的衍生密钥。

13. 居权利要求 9所述的方法，其特征在于，所述业务请求实体请求业务时，所述业务请求实体向所述 EAC发起认证，获得符合所请求业务的安全等级需求的共享密钥，所述业务请求实体和所述 EAC分别采用所述共享密钥生成所述衍生密钥，并由所述 EAC提供所述衍生密钥给所述业务提供实体。

14. 居权利要求 10所述的方法，其特征在于，所述 EAC与所述业务请求实体生成共享密钥时，所述 EAC 为所述业务请求实体分配与所述共享密钥及所述共享密钥的安全等级相关联的临时身份标识；所述业务请求实体请求业务时，包括：

所述业务请求实体向所述 EAC请求业务，并提供所述业务对应的公开身份标识 UID;

所述 EAC查找得到所述 UID对应的安全等级，并判断是否存有符合所述安全等级需求的临时身份标识，若有，则所述 EAC和所述业务请求实体分别釆用符合所述安全等级需求的共享密钥生成所述衍生密钥，并由所述 EAC提供所述衍生密钥给所述业务提供实体。

15. 根据权利要求 10所述的方法，其特征在于，所述 EAC与所述业务请求实体生成共享密钥时，所述 EAC 为所述业务请求实体分配与所述共享密钥及所述共享密钥的安全等级相关联的临时身份标识；所述业务请求实体请求业务时，包括：

所述业务请求实体查找到本地存储的符合所请求业务的安全等级需求的临时身份标识，向所述业务提供实体请求业务，并提供所述业务对应的 UID和所述临时身份标识给所述业务提供实体；

判断所述业务请求实体的临时身份标识对应的安全等级与所述 UID 对应的安全等级是否相符，若相符，则所述 EAC和所述业务请求实体分别采用符合所述安全等级需求的共享密钥生成所述衍生密钥，并由所述 EAC提供所述衍生密钥给所述业务提供实体。

16. 根据权利要求 15 所述的方法，其特征在于，所述判断所述业务请求实体的临时身份标识对应的安全等级与所述 UID 对应的安全等级是否相符，包括：

所述业务提供实体从所述 EAC 中查询得到所述业务请求实体的临时身份标识对应的安全等级，并判断查询到的安全等级与所述 UID对应的安全等级是否相符；或者，

所述业务提供实体向所述 EAC提供所述业务请求实体的临时身份标识和所述 U1D, 由所述 EAC判断所述临时身份标识对应的安全等级与所述 UID对应的安全等级是否相符。

17. 根据权利要求 15 所述的方法，其特征在于，所述业务请求实体进一步向所述业务提供实体提供安全等级；

所述判断所述业务请求实体的临时身份标识对应的安全等级与所述 UID对应的安全等级是否相符，包括：

所述业务提供实体判断所述业务请求实体提供的安全等级与所述 UID对应的安全等级是否相符，若相符，则提供所述业务请求实体的临时身份标识给所述 EAC, 由所述 EAC判断所述临时身份标识是否合法。

18. 一种实体认证系统，其特征在于，所述系统包括：实体认证中心 EAC和业务实体；

所述 EAC, 获取与所述业务实体之间进行认证的安全等级，获取所述 EAC 与所述业务实体均支持的且符合所述安全等级的认证方式，按照所获取的认证方式与所述业务实体进行认证并生成共享密钥，为所生成的共享密钥分配所述安全等级，并关联存储所生成的共享密钥和所述安全等级；

19.根据权利要求 18所述的系统，其特征在于，

所述业务实体，选定与所述 EAC之间进行认证的安全等级并上报给所述 EAC;

所述 EAC, 获取来自所述业务实体选定的认证的安全等级。

20.才艮据权利要求 18所述的系统，其特征在于，所述系统进一步包括实体签约数据库 ESD,存储用于保存安全等级与业务类型之间对应关系的业务安全等级列表；

所述 EAC, 查询所述实体签约数据库，获取与所述业务实体之间进行认证的安全等级、以及所述 EAC 与所述业务实体均支持的且符合所述安全等级的认证方式。

21. 根据权利要求 20所述的系统，其特征在于，

所述业务实体，提供公开身份标识 UID; 所述 EAC，根据所述业务实体提供的 UID确定业务类型，查询所述 ESD存储的业务安全等级列表获取所述业务类型对应的安全等级。

22. 根据权利要求 20所述的系统，其特征在于，

所述业务实体，选定认证的安全等级并上报给所述 EAC;

所述 EAC, 根据所述业务实体提供的 UID确定业务类型，查询所述 ESD存储的业务等级列表获取所述业务类型对应的安全等级，并选择所述业务实体上报的安全等级和自身获取的安全等级中等级高的一个安全等级作为与所述业务实体之间进行认证的安全等级。

23. 一种端到端的认证系统，其特征在于，所述系统包括：实体认证中心 EAC、业务请求实体和业务提供实体；

所述 EAC, 获取与所述业务请求实体之间进行认证的安全等级，获取所述 EAC 与所述业务请求实体均支持的且符合所述安全等级的认证方式，与所述业务请求实体按照所获得的认证方式进行认证并生成共享密钥，为所生成的共享密钥分配所述安全等级，并关联存储所生成的共享密钥和所述安全等级；当所述业务请求实体请求业务时，釆用所述业务请求实体的符合所请求的业务的安全等级需求的共享密钥生成用于保护所述业务请求实体和所述业务提供实体之间业务通信的衍生密钥；所述业务请求实体，按所述 EAC获取的认证方式与所述 EAC进行认证并生成共享密钥，关联存储所生成的共享密钥和所述安全等级，并在请求业务时采用所述业务请求实体的符合所请求的业务的安全等级需求的共享密钥生成用于保护与所述业务提供实体之间业务通信的衍生密钥；

24. 根据权利要求 23所述的系统，其特征在于，所述 EAC若判断所述业务请求实体具有符合所请求的业务的安全等级需求的共享密钥，则采用所述共享密钥生成所述衍生密钥。

25. ^^据权利要求 24所述的系统，其特征在于，所述 EAC若判断所述业务请求实体不具有符合所请求的业务的安全等级需求的共享密钥，则通知所述业务请求实体重新发起认证。

26. 才艮据权利要求 25所述的系统，其特征在于，所述 EAC在所述业务请求实体重新发起认证时，生成新的共享密钥，并使用所述新的共享密钥生成新的衍生密钥。

27. 一种实体认证中心 EAC, 其特征在于，包括：

第二单元，按照第一单元所获取的认证方式进行认证并生成共享密钥，为所生成的共享密钥分配第一单元获取的安全等级，并关联存储所生成的共享密钥和所述安全等级。

28.根据权利要求 27所述的 EAC, 其特征在于，所述 EAC进一步包括：

第三单元，根据请求业务的业务实体提供的公开身份标识 UID确定业务类型；

所述第一单元，获取所述第三单元确定的业务类型对应的安全等级。

29.根据权利要求 27所述的 EAC, 其特征在于，所述 EAC进一步包括：

第四单元，所述业务实体请求业务时获取所述第二单元中与所述业务实体请求的业务对应的安全等级关联存储的共享密钥，使用所获取的共享密钥生成衍生密钥。

30.根据权利要求 29所述的 EAC,其特征在于，所述第四单元若判断所述请求业务的业务实体具有符合所请求业务的安全等级需求的共享密钥，则获取所述第二单元中存储的共享密钥，使用所获取的共享密钥生成衍生密钥。