WO2009115017A1 - 网络认证服务系统和方法 - Google Patents

Description

网络认证服务系统和方法 本申请要求于 2008 年 3 月 17 日提交中国专利局、 申请号为 200810102058.1、 发明名称为"网络认证服务系统和方法"的中国专利申请的优 先权， 其全部内容通过引用结合在本申请中。

技术领域

本发明涉及网络通信领域， 特别是涉及一种网络认证服务系统和方法。 背景技术

随着网络（Web )服务由技术概念到实践应用的不断发展， Web服务将是 未来应用架构的一个极为重要的模式。 Web服务具有与语言和平台无关的特 性， 因此在跨企业、跨因特网链接应用程序时， 其优势愈来愈明显。 Web服务 采用扩展标记语言（Extensible Markup Language, XML )来进行数据交换， 在 默认情况下， XML是明文编码的； 同时， 大部分 Web服务使用超文本传输协 议（Hypertext Transfer Protocol, HTTP )作为传输协议， HTTP也是使用明文 方式来传输数据的，这就造成在不加密的传输协议上传输不加密的信息，从而 使信息传输的保密性受到威胁。 而企业对 Web服务的安全性具有以下基本要 求： 首先， 数据在因特网上传输时不应该被第三方看到； 其次， 数据的收发双 方能够确定数据的来源； 再次，数据的收发双方能够确定在传输过程中数据没 有被篡改。 但是， 上述的 Web服务方式不能满足企业对安全性的基本要求， 为此， 企业采用不同的方式， 如安全套接层协议（Secure Socket Layer, SSL ) 来解决 "数据在传输时不被第三方看到"的问题， 采用数字签名和数字证书技 术来解决 "确定数据的来源" 和 "确定数据未被篡改" 的问题。

基于上述技术及企业对安全级别的不同要求 ,按照安全级别从低到高的顺 序， 现在由如下一些技术来保证企业 Web服务的安全性：

1、 应用认证机制实现安全性， 如在 J2EE Web服务中应用默认的访问机 制， 及在 Servlet技术中应用过滤器进行访问控制；

2、 应用加密的数据传输协议实现安全性， 如采用 SSL、 HTTPS等。

发明内容

本发明实施例是提供一种网络认证服务系统和方法，实现满足不同企业的 Web服务的安全性要求。

本发明实施例提供了一种网络认证服务系统， 对应于网络应用层， 包括： 网络服务安全装置， 用于拦截网络应用层交互的报文；

认证服务器， 用于对所述网络服务安全装置拦截后的报文进行认证处理。 本发明实施例提供了一种网络认证服务方法， 包括：

拦截网络应用层的请求报文； 对所述请求报文进行加密处理，得到加密报 文； 对所述加密 文进行认证处理； 对通过认证的加密 文进行解密。

本发明实施例通过对网络应用层内交互的报文进行拦截 ,对拦截后的报文 进行安全相关的处理， 能够实现报文的安全传输。

附图说明

图 1为本发明网络认证服务系统实施例一结构示意图；

图 2为与本发明网络认证服务系统实施例一对应的网络协议关系示意图； 图 3为本发明网络认证服务系统实施例二结构示意图；

图 4为本发明网络认证服务系统实施例中拦截模块网络关系示意图； 图 5为本发明网络认证服务方法实施例一流程图；

图 6为本发明网络认证服务方法实施例二流程图；

图 7为本发明网络认证服务方法实施例中认证流程图。

具体实施方式

下面结合附图和具体实施例进一步说明本发明的技术方案。

请参阅图 1， 图 1为本发明网络认证服务系统实施例一结构示意图， 该实 施例包括：

网络服务安全装置 11和认证服务器 12。 网络服务安全装置 11用于拦截 网络应用层交互的报文； 认证服务器 12用于对拦截后的报文进行认证处理。 参见图 2， 为与本发明网络认证服务系统实施例一对应的网络协议关系示意 图。 本实施例中的网络安全装置具体为 Web服务安全装置， 所述 Web服务安 全装置对应的协议 WS-Defy 是在现有网络服务安全规范 （Web Services Security , 以下简称 WS-Security )之上的一种扩展， WS-Security对应于 OSI ( Open System Interconnection Reference Model,开放系统互连参考模型 )的应 用层 , 建立在简单对象接入协议（ Simple Object Access Protocol , 以下简称 SOAP )标准规范上， WS-Security使用 XML ( Extensible Markup Language, 扩展标记语言）通过创建对特定方唯一的数字签名来帮助验证数据是否发自特 定方， 从而可以确保消息的完整性， 消息在传输过程中未被修改， 同时， 使用 XML加密可以使 SOAP消息的一部分保密， 提供消息机密性。 如， 应用层的 Web服务客户端和 Web服务服务端之间进行报文的交互， 如 Web服务客户端 向 Web服务服务端发送调用函数的请求报文， Web服务服务端向 Web服务客 户端返回相应的应 艮文等； 该系统设置于 Web服务客户端和 Web服务服务 端之间， 用于拦截 Web服务客户端和 Web服务服务端之间交互的报文， 并对 该报文进行认证处理， 如拦截 Web服务客户端向 Web服务服务端发送的请求 报文并对请求报文进行认证处理， 拦截 Web服务服务端向 Web服务客户端发 送的应 ^艮文并对应答报文进行认证处理。

其中， 网络服务安全装置 11可以具体包括： 客户端拦截模块 111 , 服务 端拦截模块 112;客户端拦截模块 111用于拦截 Web服务客户端发送和接收的 报文； 服务端拦截模块 112用于拦截 Web服务服务端接收和发送的报文。 认 证服务器 12对客户端拦截模块 111和服务端拦截模块 112拦截的报文进行认 证处理。 Web服务在发送和接收 SOAP报文前拥有多个阶段，每个阶段都可以 注册拦截（Handler ), 对 SOAP报文进行前置和后置处理的加工操作。 Web服 务发送 SOAP报文时， 通过发送拦截模块（OutHandler ), 对 SOAP报文进行 加密、 签名、 添加用户身份信息等后置处理操作。 而在接收 SOAP报文时， 则 通过接收拦截模块 ( InHandler )对 SOAP报文进行解密、验证签名， 用户身份 认证等前置操作。 请求和响应的 SOAP 报文在发送之前可以通过注册的 OutHandler进行加工处理， 让 SOAP报文转换为 WS-Security的保护格式。 而 Web服务服务端或 Web服务客户端在接收 SOAP报文之前， 可以通过注册的 行处理。 这些操作完全独立于业务处理逻辑， 实施 WS-Defy对于 Web服务的 业务操作是透明的。

本实施例通过对 Web服务发送或接收的报文进行拦截， 并且可对拦截后 的报文进行安全鉴权和认证， 实现安全认证的多样化， 并且通过认证服务器进 行认证， 可以结合企业的单点登录（Single Sign On, SSO )认证方案， 将认证 服务器设置于单点登录服务器， 实现统一安全认证。 并且， 由于本实施例采用

XML加密， 对应于应用层， 可以只对 SOAP报文头进行加密， 而不需对整个 SOAP报文进行加密， 因此可以实现部分数据的加密， 并且不依赖传输层实现 安全传输。

请参阅图 3 , 图 3为本发明网络认证服务系统实施例二结构示意图， 并参 照图 4所示的网络关系示意图，相比于实施例一，该实施例的客户端拦截模块 111具体包括客户端发送拦截模块 1111和客户端接收拦截模块 1112; 服务端 拦截模块 112具体包括服务端接收拦截模块 1121和服务端发送拦截模块 1122。 客户端发送拦截模块 1111用于拦截网络服务客户端发送的请求报文， 向认证 服务器 12获取第一认证码， 并根据该第一认证码对所述请求报文进行加密处 理得到加密报文； 服务端接收拦截模块 1121用于拦截网络服务服务端接收的 加密报文， 并发送用于认证所述加密报文的服务验证消息给认证服务器 12， 认证服务器 12根据该服务验证消息对拦截的该加密报文进行认证； 服务端发 送拦截模块 1122用于拦截网络服务服务端发送的应^艮文， 向认证服务器 12 获取第二认证码， 并用该第二认证码封装所述应答报文得到认证报文；客户端 接收拦截模块 1112用于拦截网络服务客户端接收的认证报文， 并发送用于对 所述认证报文进行认证的客户验证消息给认证服务器 12， 认证服务器 12根据 该客户验证消息对拦截的认证报文进行认证。

本实施中的客户端、服务端采用不同的模块对接收、发送的报文分别进行 拦截处理， 由于对接收、发送的报文分开处理， 有利于提高设备使用时的灵活 性。

请参阅图 5， 图 5为本发明网络认证服务方法实施例一流程图， 该方法主 要包括： 拦截应用层交互的报文， 并对拦截后的报文进行认证处理， 具体实现 为：

步骤 51 : Web服务安全装置（如， 客户端发送拦截模块）拦截 Web服务 客户端发送的请求报文；

步骤 52: Web服务安全装置（如， 客户端发送拦截模块） 为所述请求报 文进行加密处理（如， 向认证服务器申请认证码并将该认证码匹配给该请求报 文）得到加密报文 , 并将该加密报文发送给 Web服务服务端； 步骤 53: Web服务安全装置（如， 服务端接收拦截模块）接收加密报文 (实际应用中， 加密报文可以直接发送给 Web服务端， 但由于该加密报文要 进行认证 ,因此在加密报文中可增加回调函数以使该加密报文回调到服务端接 收拦截模块处， 以便进一步的认证）， 并通过认证服务器对该接收的加密报文 进行认证处理；

步骤 54: Web服务安全装置（如， 服务端接收拦截模块）解密通过认证 的加密 文。

本实施例能够对 Web服务客户端和 Web服务服务端之间交互的报文进行 拦截， 进而对拦截后的报文进行认证等相关安全处理， 实现报文的安全传输。

请参阅图 6, 图 6为本发明网络认证服务方法实施例二流程图， 该方法包 括：

步骤 60: Web服务客户端发送 SOAP请求报文；

步骤 61 : 客户端发送拦截模块（客户端 OutHandler )对接收到的 SOAP 请求报文进行拦截处理；

其中， 根据 WS-Security的规定， 该请求报文包括报文体和报文头， 报文 头中包括客户端配置的用户帐号等信息。 在 Web服务客户端实现拦截可以通 过配置的方式， 如可以通过在 Web服务中注册 OutHandler服务， 当 Web服务 客户端向 Web服务服务端发送 SOAP请求报文时， 根据配置文件， 客户端 OutHandler将实现拦截此请求报文。 OutHandler服务对客户端发送的 SOAP请 求报文进行前置处理，添加 WS-Security信息和导入必要的配置信息和类文件。 因此使用 DOMOutHandler将 DOM ( Document Object Model, 文档对象模型 ) 转换为 STAX ( Streaming API for XML ) 的流模型， 此外通过定义一个 WSS4JOutHandler完成在 SOAP头添加认证信息的操作，此客户端 OutHandler 能够连通认证服务器以进行认证信息的请求和应答。

步骤 62: 客户端发送拦截模块拦截该请求报文后， 向认证服务器发送用 于获取第一认证码的申请消息；

步骤 63: 客户端发送拦截模块利用根据申请消息获取的第一认证码对拦 截后的请求报文进行加密封装并发送；

其中，加密报文的形成具体可以包括以下步骤：客户端拦截模块从认证服 务器获取第一认证码并自生成随机数（步骤 631 ); 根据所述请求报文中携带 的用户帐号查询出用户密码（步骤 632 ); ^居所述认证码、 随机数、 用户帐 号、用户密码和所述请求报文的报文体生成第一应答串， 并用所述第一应答串 和用户帐号加密封装所述请求报文（步骤 633 )。 对应于上述对拦截的报文进 行加密的步骤可以为：

第一步： 认证服务器根据客户端发送拦截模块发送的申请请求， 向客户端 发送拦截模块发送第一认证码，第一认证码包括随机数 nonce和随机串 realm; 第二步，客户端发送拦截模块自生成一随机数 cnonce,并根据用户帐号查 询出用户密码；

第三步， 根据 Web服务服务端和 Web服务客户端约定的算法生成第一应 答串 ( response 1 );

其中， 第一应答串的生成步骤为：

1、将用户帐号 +realm+用户密码进行 md5散列，再进行十六进制编码（小 写）， 生成 keyl。

2、 先将请求报文的报文体进行 md5散列， 并将散列的结果进行十六进制 字符编码， 生成 key2。

3、 将 keyl + ":，， + nonce + "：" + cnonce + "：" + key2进行 md5散 列， 再将散列的结果进行十六进制字符编码， 生成最终的第一应答串。

第四步， 用生成的第一应答串重新封装 SOAP请求报文， 封装后的 SOAP 报文头中至少包括第一应答串和用户帐号；

第五步， 将封装后的 SOAP报文发送给 Web服务服务端。

步骤 64: 服务端接收拦截模块（服务端 InHandler )拦截客户端发送拦截 模块发送给 Web服务服务端的加密报文（由于实际应用中加密报文通常会发 给 Web 服务服务端， 为了对加密报文进行验证， 因此需要回调到服务端 InHandler, 也可以通过配置将加密报文直接发给服务端 InHandler, 此时不需 要回调）。 在此之前包括： 服务端接收拦截模块从 Web服务服务端回调加密的 请求报文（步骤 641 )。 相似于在 Web服务客户端进行的 OutHandler配置， 因 为 Web服务服务端同样需要拦截， 因此 Web服务服务端要进行 InHandler配 置 , 具体可以为： Web月良务月良务端创建一个 applicationContext-ws-security.xml 文件， 让 Web服务拥有认证和拦截功能。 此配置文件主要配置 Web服务的名 称、 负责将 STAX流模型的 SOAP转换为 DOM模型、 认证或鉴权的方式、 导 入的必要类、 回调实现类以实现将加密的请求报文从 Web服务端回调至服务 端 InHandler处。此 InHandler能够连通认证服务器以进行认证信息的请求和应 答。

步骤 65: 认证服务器根据服务端接收拦截模块（服务端 InHandler )发送 的服务验证消息对加密报文进行认证；

其中， 服务验证消息的形成具体包括：

步骤 651 : 服务端接收拦截模块根据该回调的加密报文中携带的用户帐号 向认证模块查询获取上述第一认证码， 该第一认证码为 nonce和 realm;

步骤 652: 认证服务器向服务端接收拦截模块发送第一认证码， 然后失效 原来的第一认证码 nonce, 并生成存储新的第二认证码 nextnonce;。

步骤 653: 服务端接收拦截模块根据所述用户帐号查询出用户密码； 步骤 654: 服务端接收拦截模块根据上述第一认证码（nonce和 realm )、 用户帐号、用户密码和回调的加密报文的报文体生成第二应答串（response2 ); 其中， 第二应答串的生成方法与第一应答串的生成方法原理相同， 只是在 生成第一应答串时是对请求报文的报文体进行散列 ,在生成第二应答串时是对 回调的加密报文的报文体进行散列。

步骤 655: 服务端接收拦截模块将回调的加密报文中携带的第一应答串和 上述生成的第二应答串添加进服务验证消息中， 并发送给认证服务器；

认证服务器认证过程具体为：认证服务器通过比较所述第一应答串和第二 应答串是否相同来判断加密报文是否通过认证，若第一应答串和第二应答串相 同， 则表明通过认证， 否则表明未通过认证， 对于通过认证的加密报文， 执行 步骤 656， 对于未通过认证的加密报文， 执行步骤 657。

步骤 656: 认证服务器向服务端接收拦截模块发送验证通过的消息， 并指 示服务端接收拦截模块解密通过认证的加密报文；

步骤 657: 认证服务器向 Web服务客户端发送请求认证未通过之类的提 示， 结束流程。

上述流程实现了 Web服务服务端对 Web服务客户端发送的 SOAP请求报 文的认证鉴权， 之后 Web服务服务端需要向 Web服务客户端发送应 艮文， Web服务客户端同样可实现对应 艮文的鉴权，因此本实施例在上述流程之后 还可以包括：

步骤 66: Web服务服务端发送认证报文， 所述认证报文对与上述请求报 文相应的应答报文添加认证获得的；

其中， 认证报文的获得具体包括：

步骤 661： Web服务服务端返回与上述请求报文相应的应 艮文； 步骤 662: 服务端发送拦截模块（服务端 OutHandler )拦截该应 艮文； 步骤 663: 服务端发送拦截模块向认证服务器获取第二认证码 nextnonce; 步骤 664: 服务端发送拦截模块将该第二认证码添加到应答报文的报文头 中， 得到认证报文；

步骤 67: 客户端接收拦截模块（客户端 InHandler )拦截该认证报文；

其中，该认证报文可以通过配置直接发送到客户端接收拦截模块，也可以 先发送给 Web服务客户端， 再从 Web服务客户端回调给该客户端接收拦截模 块。

步骤 68: 客户端接收拦截模块发 户验证消息给认证服务器； 其中， 所述客户验证消息包括所述认证报文中携带的第二认证码 nextnonce,, 若认证报文未被修改， 则认证码 nextnonce与认证服务器中存储的 相同， 若认证报文被更改， 则认证报文中携带的认证码也将被更改。

步骤 69: 认证服务器通过比较所述客户验证消息中的第二认证码和自身 存储的第二认证码 nextnonce是否相同来判断所述请求报文的应 艮文是否通 过认证 ,若客户端接收拦截模块发送的第二认证码和认证服务器存储的第二认 证码相同， 则表明认证报文未被篡改， 即 Web服务服务端发送的应 艮文通 过认证， 执行步骤 691， 否则表明未通过认证， 执行步骤 692;

步骤 691：认证服务器指示客户端接收拦截模块向 Web服务客户端发送解 密后的认证报文， 即发送所述请求报文的应 艮文；

步骤 692: 认证服务器向 Web服务客户端发送应答认证未通过之类的提 示。

上述流程示出了 SOAP报文从 Web服务客户端到 Web服务服务端、 Web 服务服务端认证、 Web服务服务端返回应答报文、 Web服务客户端认证的整 个 SOAP报文传输过程， 针对认证服务器的认证过程可以参见图 7, 图 7为本 发明网络认证服务方法实施例中认证流程图， 该认证流程包括：

步骤 71 : 客户端发送拦截模块（客户端 OutHandler ) 向认证服务器请求 第一认证码；

步骤 72: 客户端 OutHandler接收该第一认证码。 将该第一认证码匹配给 请求报文后实现对请求报文的加密；

步骤 73: 服务端接收拦截模块（服务端 InHandler )接收到加密报文后， 向认证服务器发送确认第一认证码的请求，即用于认证接收到的加密报文是否 被篡改；

步骤 74: 认证服务器根据服务端 InHandler发送的信息对加密报文进行认 证， 并返回相应的结果；

步骤 75: 服务端发送拦截模块（服务端 OutHandler ) 向认证服务器请求 第二认证码， 得到认证报文；

其中， 如加密报文是有效的（通过认证）， 服务端向客户端返回应 艮文， 类似于客户端发送请求报文，服务端对发送的应答报文添加认证， 以使客户端 可以验证接收的报文是否被篡改。 因此， 在返回应 艮文时， 服务端可以将第 二认证码添加给应 艮文得到认证报文，客户端接收到该认证报文后要进行认 证， 如确认第二认证码。

步骤 76: 认证服务器返回第二认证码， 以使服务端 OutHandler对应答报 文添力口认证 ^

步骤 77: 客户端接收拦截模块（客户端 InHandler )发送确认第二认证码 的请求给认证服务器；

步骤 78: 认证服务器返回相应的认证结果。

本实施例中的认证方式是采用用户帐号和用户密码的方式， 可替代的是， 对拦截后的报文也可以采用数字签名认证、 指纹认证等。 并且， 本实施例为了 实现灵活的认证方式，客户端拦截模块和服务端拦截模块分为了接收和发送两 个模块， 可替代的是客户端和服务端分别用一个拦截模块，或者客户端和服务 端共用一个拦截模块， 实现拦截>¾文的功能。 本实施例通过扩展 WS-Security安全规范， 即采用对 SOAP 文进行拦截 的方式， 可以实现 Web服务安全认证方式多样化； 本实施例通过认证模块进 行认证， 可以结合企业的单点登录（Single Sign On, SSO )认证方案， 将认 证模块设置于单点登录服务器， 实现统一安全认证； 本实施例并没有采用加密 的传输层协议，如传输层的 HTTPS协议，保证了 Web服务与传输层的无关性， 并且， 采用 WS-Security中的 XML进行数据交换， 可以只对 SOAP报文头进 行加密， 而不需对整个 SOAP报文进行加密， 这些都节省了性能开销； 本实施 例的客户端和服务端设置有拦截模块，可以通过拦截模块对业务进行安全方面 的特殊处理， 如日志审议、 数据包压缩等。

需要说明的是，本领域普通技术人员可以理解实现上述实施例方法中的全 部或部分流程，是可以通过计算机程序指令相关的硬件来完成， 所述的程序可 存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的 实施例的流程。 其中， 所述的存储介质可为磁碟、 光盘、 只读存储记忆体

( Read-Only Memory, ROM )或随才 储记忆体 ( Random Access Memory, RAM )等。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对其限 制； 尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员 应当理解： 其依然可以对前述各实施例所记载的技术方案进行修改，或者对其 中部分技术特征进行等同替换； 而这些修改或者替换， 并不使相应技术方案的 本质脱离本发明各实施例技术方案的精神和范围。

Claims

权 利 要 求

1、 一种网络认证服务系统， 其特征在于， 对应于网络应用层， 包括： 网络服务安全装置， 用于拦截网络应用层交互的报文；

认证服务器， 用于对所述网络服务安全装置拦截后的报文进行认证处理。

2、 根据权利要求 1所述的系统， 其特征在于， 所述网络服务安全装置包 括：

客户端拦截模块 , 用于拦截网络服务客户端发送和接收的报文；

服务端拦截模块， 用于拦截网络服务服务端接收和发送的报文。

3、根据权利要求 2所述的系统， 其特征在于， 所述客户端拦截模块包括： 客户端发送拦截模块和客户端接收拦截模块， 其中，

所述客户端发送拦截模块， 用于拦截网络服务客户端发送的请求报文， 向 所述认证服务器获取第一认证码 , 并根据所述第一认证码加密所述请求报文 , 得到加密报文；

所述客户端接收拦截模块， 用于拦截网络服务客户端接收的认证报文， 并 发送对所述认证报文进行认证的客户验证消息给所述认证服务器，以便所述认 证服务器根据所述客户验证消息对拦截的认证报文进行认证。

4、 根据权利要求 2所述的网络认证服务系统， 其特征在于，

所述服务端拦截模块包括： 服务端接收拦截模块和服务端发送拦截模块， 其中，

所述服务端接收拦截模块， 用于拦截网络服务服务端接收的加密报文， 并 发送用于认证所述加密报文的服务验证消息给所述认证服务器，以便由认证服 务器根据所述服务验证消息对拦截的加密报文进行认证；

所述服务端发送拦截模块， 用于拦截网络服务服务端发送的应 艮文， 向 所述认证服务器获取第二认证码， 并用所述第二认证码封装所述应^艮文，得 到认证报文。

5、 一种网络认证服务方法， 其特征在于， 包括：

拦截网络应用层的请求报文；

对所述请求报文进行加密处理， 得到加密报文， 并发送所述加密报文； 接收加密4艮文， 对接收的加密 文进行认证处理； 对通过认证的加密 ^艮文进行解密。

6、 根据权利要求 5所述的方法， 其特征在于， 所述对请求报文进行加密 处理， 得到加密报文包括：

发送用于获取第一认证码的申请消息；

根据所述申请消息获取第一认证码， 并生成随机数；

根据所述请求报文中携带的用户帐号查询出用户密码；

根据所述第一认证码、 随机数、 用户帐号、 用户密码和所述请求报文的报 文体生成第一应答串， 并用所述第一应答串和用户帐号加密封装所述请求报 文， 得到所述加密报文。

7、 根据权利要求 6所述的方法， 其特征在于， 所述对加密报文进行认证 处理包括：

根据所述加密报文中携带的用户帐号获取所述第一认证码和用户密码； 根据所述第一认证码、用户帐号、用户密码和接收的加密报文的报文体生 成第二应答串；

如果所述第一应答串和第二应答串相同， 则所述接收的加密报文通过认 证，如果所述第一应答串和第二应答串不相同， 则所述接收的加密报文未通过 认证。

8、 根据权利要求 5所述的方法， 其特征在于， 所述方法还包括： 拦截与所述加密报文相对应的应^艮文；

为所述应答报文添加认证， 得到认证4艮文；

对所述认证 文进行认证处理；

对通过认证的所述认证报文进行解密。

9、根据权利要求 8所述的方法， 其特征在于， 所述为应答报文添加认证， 得到认证报文包括：

生成并存储第二认证码；

用所述第二认证码封装所述应答报文， 得到认证报文。

10、根据权利要求 9所述的方法， 其特征在于， 所述对认证报文进行认证 处理具体为：

如果所述认证报文中携带的第二认证码和存储的第二认证码相同，则所述 认证报文通过认证，如果所述认证报文中携带的第二认证码和存储的第二认证 码不相同 , 则所述认证^艮文未通过认证。