一种认证方法以及装置制造方法及图纸

一种认证方法以及装置，用以提高一种服务器之间的认证效率。本申请中，第一服务器可以先从安全认证令牌服务中心获取基于根密钥生成的第一服务器的密钥加密密钥和第一服务器与第二服务器认证所需的认证令牌，认证令牌包括第一认证参数；之后，第一服务器可以根据第一服务器的密钥加密密钥对认证令牌中的第一认证参数进行认证；当第一服务器在对第一认证参数认证成功后，第一服务器从第一认证参数中获取第一服务器的认证密钥，保存认证令牌；后续第一服务器和第二服务器之间的认证是基于从安全认证令牌服务中心获取的认证令牌进行的，能够有效的简化服务器之间认证流程，以提高服务器之间的认证效率。高服务器之间的认证效率。高服务器之间的认证效率。

【技术实现步骤摘要】
一种认证方法以及装置


[0001]本申请涉及通信
，尤其涉及一种认证方法以及装置。

技术介绍

[0002]基于预共享密钥的认证方式是设备之间的常用的认证方式，在基于预共享密钥的认证方式中要求在需要交互的双方中预先配置共享密钥K。
[0003]这里以设备A和设备B为例对基于预共享密钥的认证方式进行说明，当设备A需要向设备B请求数据时，设备A可以向设备B发送设备A的身份信息，设备B为了验证设备A的身份信息是否正确，可以生成一个随机数，发送给设备A；设备A在接收到随机数后，可利用共享密钥K对随机数进行加密，并将加密后的随机数发送给设备B；设备B在接收到熬加密后的随机数后，可以利用本地保存的共享密钥K也对随机数进行加密，设备B对比生成的加密后的随机数与从设备A接收的加密后的随机数；若相同则认证成功，可以向设备A发送认证成功的应答消息；若不同则认证失败，向设备A发送认证失败的应答消息。同样的，设备A也可以向设备B发送随机数，对设备B进行认证，在双方都认证成功后，才可以进行数据交互。
[0004]基于预共享密钥的认证方式具备认证速度快、安全性较高的问题，但是基于预共享密钥的认证方式需要事先在交互的双方配置共享密钥，在服务器集群数量较大或多对多认证场景下，若每两个需要交互的设备配置不同的共享密钥，共享密钥的配置和管理操作就会非常复杂；若均配置相同的共享密钥，一旦某一个设备的共享密钥泄露，则会使得所有设备的共享密钥都泄露。
[0005]故而亟需一种新型的认证方式，可以简化密钥的预置过程，还可以保证设备之间可以进行高效的认证。

技术实现思路

[0006]本申请提供一种认证方法以及装置，用以提高设备之间的认证效率。
[0007]第一方面，本申请提供了一种认证方法，该方法包括：第一服务器可以先从安全认证令牌服务中心获取第一服务器的密钥加密密钥和第一服务器与第二服务器认证所需的认证令牌，认证令牌包括第一认证参数，其中，第一认证参数是安全认证令牌服务中心利用第一服务器的密钥加密密钥对第一服务器的认证密钥进行认证加密生成的；之后，第一服务器可以根据第一服务器的密钥加密密钥对认证令牌中的第一认证参数进行认证；当第一服务器在对第一认证参数认证成功后，第一服务器利用第一服务器的密钥加密密钥对第一认证参数进行解密获取第一服务器的认证密钥，保存认证令牌；若第一服务器需要第二服务器提供服务，第一服务器可以向第二服务器发送服务请求，服务请求用于请求第二服务器为第一服务器提供服务，服务请求中包括认证令牌、认证信息、以及指示信息；其中，认证信息是利用第一服务器的认证密钥对指示信息进行认证加密生成的，指示信息用于指示第一服务器所请求的服务类型。
[0008]通过上述方法，第一服务器和第二服务器之间的认证是基于从安全认证令牌服务
中心获取的认证令牌进行的，该认证令牌只针对特定的两个服务器，能够有效的简化服务器之间认证流程，进而可以提高服务器之间的认证效率。
[0009]在一种可能的设计中，第一服务器利用第一服务器的密钥加密密钥对第一认证参数进行解密后，除了能够从第一认证参数中获取第一服务器的认证密钥外，还可以从第一认证参数中获取第一服务器的数据密钥。
[0010]通过上述方法，认证令牌中可以携带多种不同的密钥，第一服务器可以较为方便从认证令牌中获取所需要的密钥，以便第一服务器后续在向第二服务器发送服务请求时使用。
[0011]在一种可能的设计中，服务请求还可以包括第一密文，第一密文是利用第一服务器的数据密钥对第一服务器的敏感数据加密生成的，敏感数据为需要加密的数据。
[0012]通过上述方法，对于一些需要加密的数据可以利用数据密钥进行加密，能够保证数据传输的安全性。
[0013]在一种可能的设计中，第一服务器从安全认证令牌服务中心获取第一服务器的密钥加密密钥时，第一服务器可以向安全认证令牌服务中心发送第一请求，第一请求用于请求第一服务器的密钥加密密钥，第一请求包括第一服务器的随机公钥；之后，第一服务器可以接收安全认证令牌服务中心的第一响应，第一响应中包括第三认证参数，第三认证参数是安全认证令牌服务中心利用第一服务器的随机公钥对第一服务器的密钥加密密钥进行加密生成的；在第一服务器利用第一服务器的随机私钥对第三认证参数解密的情况下，可以确定该第三认证参数为安全认证令牌服务中心发送的真实参数，第一服务器可以从第三认证参数中获取第一服务器的密钥加密密钥。
[0014]通过上述方法，第一服务器从安全认证令牌服务中心获取第一服务器的密钥加密密钥，需要利用随机私钥对第三认证参数进行认证，能够保证第三认证参数的来源真实可靠。
[0015]在一种可能的设计中，第一请求还包括第一签名值，第一服务器根据第一服务器的证书私钥对第一服务器的随机公钥进行签名生成第一签名值，并将第一签名值携带在第一请求中。
[0016]通过上述方法，通过携带第一签名值，可以使得安全认证令牌服务中心利用第一签名值对第一签名值的来源(第一服务器)的身份进行认证，进一步保证第一请求来自与第一服务器，保证数据传输的可靠性。
[0017]在一种可能的设计中，第一请求还包括第一服务器的证书，第一服务器的证书记录第一服务器的证书私钥对应的证书公钥。
[0018]通过上述方法，以便安全认证令牌服务中心能够较为方便的从第一请求中获取第一服务器的证书公钥。
[0019]在一种可能的设计中，第一响应还可以包括第二签名值，第一服务器可以利用安全认证令牌服务中心的证书公钥对第二签名值进行验证，在对第二签名值验证成功后，第一服务器从第三认证参数中获取第一服务器的密钥加密密钥。
[0020]通过上述方法，通过携带第二签名值，可以使得第一服务器利用第二签名值对第二签名值的来源(安全认证令牌服务中心)的身份进行认证，进一步保证第一响应来自与安全认证令牌服务中心，保证数据传输的可靠性。
[0021]第二方面，本申请提供了一种认证方法，该方法包括：安全认证令牌服务中心可以基于根密钥生成第一服务器的密钥加密密钥、第一服务器的认证密钥以及第二服务器的密钥加密密钥；之后，生成包括第一认证参数和第二认证参数的认证令牌，其中，第一认证参数是利用第一服务器的密钥加密密钥对第一服务器的认证密钥进行认证加密生成的，第二认证参数是利用第二服务器的密钥加密密钥对第一服务器的认证密钥进行认证加密生成的；之后，安全认证令牌服务中心可以向第一服务器发送第一服务器的密钥加密密钥和认证令牌；还可以向第二服务器发送第二服务器的密钥加密密钥。
[0022]通过上述方法，安全认证令牌服务中心只需基于根密钥就可以生成各个服务器之间认证所需的认证令牌，还可以生成每个服务器的密钥加密密钥，使得认证令牌的生成过程有效简化，便于安全认证令牌服务中心便捷的派发认证令牌。
[0023]在一种可能的设计中，安全认证令牌服务中心还可以基于根密钥生成第一服务器的数据密钥；并利用第一服务器的密钥加密密钥对第一服务器的认证密钥和数据密钥进行认证加密生成本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种认证方法，其特征在于，该方法包括：安全认证令牌服务中心基于根密钥生成第一服务器的密钥加密密钥、所述第一服务器的认证密钥以及第二服务器的密钥加密密钥；所述安全认证令牌服务中心生成包括第一认证参数和第二认证参数的认证令牌，其中，所述第一认证参数是利用所述第一服务器的密钥加密密钥对所述第一服务器的认证密钥进行认证加密生成的，所述第二认证参数是利用第二服务器的密钥加密密钥对所述第一服务器的认证密钥进行认证加密生成的；所述安全认证令牌服务中心向所述第一服务器发送所述第一服务器的密钥加密密钥和所述认证令牌；所述安全认证令牌服务中心向所述第二服务器发送所述第二服务器的密钥加密密钥。2.如权利要求1所述的方法，其特征在于，所述方法还包括：所述安全认证令牌服务中心基于根密钥生成第一服务器的数据密钥；所述第一认证参数是利用所述第一服务器的密钥加密密钥对所述第一服务器的认证密钥和数据密钥进行认证加密生成的。3.如权利要求2所述的方法，其特征在于，所述第二认证参数是利用所述第二服务器的密钥加密密钥对所述第一服务器的认证密钥和数据密钥进行认证加密生成的。4.如权利要求1～3任一所述的方法，其特征在于，所述安全认证令牌服务中心向所述第一服务器发送所述第一服务器的密钥加密密钥，包括：所述安全认证令牌服务中心接收来自所述第一服务器的第一请求，所述第一请求用于请求所述第一服务器的密钥加密密钥，所述第一请求包括所述第一服务器的随机公钥；所述安全认证令牌服务中心利用所述第一服务器的随机公钥对所述第一服务器的密钥加密密钥进行加密生成第三认证参数；所述安全认证令牌服务中心向所述第一服务器发送第一响应，所述第一响应中包括所述第三认证参数。5.如权利要求4所述的方法，其特征在于，所述第一请求还包括第一签名值，所述安全认证令牌服务中心利用所述第一服务器的随机公钥对所述第一服务器的密钥加密密钥进行加密生成第三认证参数之前，还包括：所述安全认证令牌服务中心利用所述第一服务器的证书公钥对所述第一签名值验证成功。6.如权利要求4或5所述的方法，其特征在于，所述第一响应还包括第二签名值，所述第二签名值是根据所述安全认证令牌服务中心的证书私钥对所述第一服务器的密钥加密密钥进行签名生成的。7.一种认证方法，其特征在于，该方法包括：第一服务器从安全认证令牌服务中心获取所述第一服务器的密钥加密密钥和所述第一服务器与第二服务器认证所需的认证令牌，所述认证令牌包括第一认证参数；其中，所述第一认证参数是所述安全认证令牌服务中心利用所述第一服务器的密钥加密密钥对所述第一服务器的认证密钥进行认证加密生成的；所述第一服务器根据所述第一服务器的密钥加密密钥对所述认证令牌中的第一认证参数进行认证；
所述第一服务器在对所述第一认证参数认证成功后，利用所述第一服务器的密钥加密密钥对所述第一认证参数进行解密获取所述第一服务器的认证密钥；所述第一服务器向所述第二服务器发送服务请求，所述服务请求用于请求所述第二服务器为所述第一服务器提供服务，所述服务请求中包括所述认证令牌、认证信息、以及指示信息；其中，所述认证信息是利用所述第一服务器的认证密钥对所述指示信息进行认证加密生成的，所述指示信息用于指示所述第一服务器所请求的服务类型。8.如权利要求7所述的方法，其特征在于，还包括：所述第一服务器利用所述第一服务器的密钥加密密钥对所述第一认证参数进行解密后，从所述第一认证参数中获取所述第一服务器的数据密钥；所述服务请求中还包括第一密文，所述第一密文是利用所述第一服务器的数据密钥对所述第一服务器的敏感数据加密生成的，所述敏感数据为需要加密的数据。9.如权利要求7或8所述的方法，其特征在于，所述第一服务器从安全认证令牌服务中心获取所述第一服务器的密钥加密密钥，包括：所述第一服务器向所述安全认证令牌服务中心发送第一请求，所述第一请求用于请求所述第一服务器的密钥加密密钥，所述第一请求包括所述第一服务器的随机公钥；所述第一服务器接收所述安全认证令牌服务中心的第一响应，所述第一响应中包括第三认证参数，其中，所述第三认证参数是所述安全认证令牌服务中心利用所述第一服务器的随机公钥对所述第一服务器的密钥加密密钥进行加密生成的；所述第一服务器利用所述第一服务器的随机私钥对所述第三认证参数解密后，从所述第三认证参数中获取所述第一服务器的密钥加密密钥。10.如权利要求9所述的方法，其特征在于，所述第一请求还包括第一签名值，所述第一签名值是根据所述第一服务器的证书私钥对所述第一服务器的随机公钥进行签名生成的。11.如权利要求9或10所述的方法，其特征在于，所述第一响应还包括第二签名值；所述第一服务器从所述第三认证参数中获取所述第一服务器的密钥加密密钥之前，还包括：所述第一服务器利用所述安全认证令牌服务中心的证书公钥对所述第二签名值验证成功。12.一种认证方法，其特征在于，该方法包括：第二服务器从安全认证令牌服务中心获取所述第二服务器的密钥加密密钥；所述第二服务器接收来自第一服务器的服务请求，所述服务请求用于请求所述第二服务器为所述第一服务器提供服务，所述服务请求中包括所述认证令牌、认证信息、以及指示信息，所述指示信息用于指示所述第一服务器所请求的服务类型；其中，所述认证信息是利用所述第一服务器的认证密钥对所述指示信息进行认证加密生成的；所述认证令牌包括第二认证参数；所述第二认证参数是所述安全认证令牌服务中心利用所述第二服务器的密钥加密密钥对所述第一服务器的认证密钥进行认证加密生成的；所述第二服务器根据所述第二服务器的密钥加密密钥对所述认证令牌中的第二认证参数进行认证；所述第二服务器在对所述第二认证参数认证成功后，利用所述第二服务器的密钥加密
密钥对所述第二认证参数进行解密获取所述第一服务器的认证密钥；所述第二服务器利用所述第一服务器的认证密钥和所述指示信息对所述认证信息认证成功后，向所述第一服务器提供所述指示信息所指示的服务。13.如权利要求12所述的方法，其特征在于，所述服务请求还包括第一密文，所述方法还包括：所述第二服务器利用所述第二服务器的密钥加密密钥对所述第二认证参数进行解密后，从所述第二认证参数中获取所述第一服务器的数据密钥；所述第二服务器利用所述第一服务器的数据密钥，对所述第一密文进行解密获取所述第一服务器的敏感数据，所述敏感数据为需要加密的数据。14.一种装置，其特征在于，该装置包括生成单元和发送单元：所述生成单元，用于基于根密钥生成第一服务器的密钥加密密钥、所述第一服务器的认证密钥以及第二服务器的密钥加密密钥；生成包括第一认证参数和第二认证参数的认证令牌，其中，所述第一认证参数是利用...

【专利技术属性】
技术研发人员：李泳，张冠男，王益丰，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：