用于绑定多个认证的方法和设备技术

本发明专利技术描述用于绑定用于同级的多个认证的技术。在一个设计中，可基于用于所述同级的唯一识别符来绑定用于所述同级的多个认证。所述唯一识别符可以是伪随机数且可在所述同级、认证服务器与认证器之间安全地交换以便防止中间人攻击。用于由所述唯一识别符绑定的所有认证的数据可基于由这些认证的全部或子集产生的一个或一个以上密码密钥而安全地交换。在另一设计中，可将多个安全等级用于同级的多个认证。所述同级可与第一认证服务器一起执行第一认证并获得第一密码密钥，且也可与所述第一认证服务器或第二认证服务器一起执行第二认证并获得第二密码密钥。所述同级此后可使用所述两个密钥使用嵌套的安全性来安全地交换数据。

【技术实现步骤摘要】
【国外来华专利技术】根据35U.S.C.§119主张优先权本专利申请案主张2006年4月11日申请的题为“用于绑定多个认证的方法和设备(METHOD AND APPARATUS FOR BINDING MULTIPLE AUTHENTICATIONS)”的第60/791,321号临时申请案的优先权，所述临时申请案转让给本受让人，且明确以引用的方式并入本文中。
本专利技术大体上涉及通信，且更明确地说，涉及用于绑定认证的技术。
技术介绍
认证广泛地用于确定给定实体的真实身份、用于确定所述实体是否经授权以接收特定服务和/或用于其它目的。举例来说，终端可试图与无线通信网络建立通信以便获得数据服务，例如，因特网语音协议(VoIP)。可由认证服务器为无线网络认证所述终端的身份以确保所述终端可与所述网络通信。也可由同一认证服务器或不同的认证服务器认证所述终端以确保所述终端具有适当的预约且可接收所请求的数据服务。可通过从实体发送安全性信息且通过另一实体核实所述信息来执行认证。为了防止恶意攻击，可基于仅这两个实体已知的秘密信息(例如，密码密钥)来产生所述安全信息。安全信息可为加密数据、消息认证码，或基于使用秘密信息的密码技术而产生的一些其它信息。终端可循序地或并行地执行多个认证。终端可为系统接入执行一认证且为服务请求执行另一认证。终端也可执行装置认证以核实终端且执行用户认证以核实终端的用户。需要以一种方式执行多个认证以使得这些认证可捆在一起(如果适当的话)。
技术实现思路
本文描述用于绑定用于同级的多个认证的技术。所述同级可与一个或一个以上认证服务器一起执行多个认证，所述一个或一个以上服务器可将认证的结果转发到一个或一个以上认证器。认证器为起始和/或促进认证的实体且通常位于通信网络的边缘处。同级为响应于认证器的实体。认证服务器为将认证服务提供给认证器的实体。在一个设计中，可基于用于所述同级的唯一识别符(UID)来绑定对于所述同级的-->多个认证。所述唯一识别符可为伪随机数且可在所述同级、认证服务器与认证器之间安全地交换以便防止中间人(MiTM)攻击。用于由所述唯一识别符绑定的所有认证的数据可基于由这些认证的全部或子集产生的一个或一个以上密码密钥而安全地交换。根据一方面，一种用于同级的设备获得用于所述同级的唯一识别符且与至少一认证服务器一起执行多个认证。所述唯一识别符用于将多个认证绑定到所述同级。根据另一方面，一种用于认证服务器的设备获得用于同级的唯一识别符，与所述同级一起执行认证，且使所述唯一识别符与所述同级相关联。根据又一方面，一种用于认证器的设备接收在至少一认证服务器与同级之间的至少一认证的结果。所述设备基于唯一识别符而将所述至少一认证绑定到所述同级。在另一设计中，可将多个安全等级(或嵌套的安全性)用于同级的多个认证。所述同级可与第一认证服务器一起执行第一认证且获得第一密码密钥。所述同级也可与第二认证服务器一起执行第二认证且获得第二密码密钥。所述同级此后可使用所述两个密钥来安全地交换数据。根据又一方面，描述一种设备，所述设备根据从第一认证获得的第一安全性信息来产生用于数据的第一包，根据从第二认证获得的第二安全性信息来产生载运所述第一包的第二包，且发送所述第二包。下文更详细地描述本专利技术的各种设计、方面和特征。附图说明图1展示用于多个认证的架构。图2展示用于执行认证的过程。图3展示在MiTM攻击的情况下用于同级的两个认证。图4展示使用唯一识别符的用于多个认证的过程。图5、图6和图7展示分别由同级、认证服务器和认证器使用唯一识别符针对多个认证而执行的过程。图8展示用于两个认证的嵌套的安全性。图9展示用于具有嵌套的安全性的多个认证的过程。图10展示图1中的各种实体的方框图。具体实施方式本文中所描述的技术可用于各种通信网络，例如广域网络(WAN)、局域网(LAN)、无线WAN(WWAN)、无线LAN(WLAN)等。通常可互换地使用术语“网络”与“系-->统”。WWAN可为码分多址(CDMA)网络、时分多址(TDMA)网络、频分多址(FDMA)网络、正交FDMA(OFDMA)网络、单载波FDMA(SC-FDMA)网络等。CDMA网络可实施例如宽带CDMA(W-CDMA)、cdma2000等的无线电技术。cdma2000涵盖IS-2000、IS-95和IS-856标准。TDMA网络可实施无线电技术，例如全球移动通信系统(GSM)。WLAN可实施IEEE 802.11、Hiperlan等。此项技术中已知这些各种无线电技术和标准。为清晰起见，使用公开可获得的RFC3748(标题为“可扩展的认证协议(ExtensibleAuthentication Protocol(EAP))”，2004年6月)中所界定的术语来描述所述技术的某些方面。图1展示一部署100，在所述部署中同级110可执行多个认证。为简单起见，图1仅展示与认证有关的逻辑实体。部署可包括图1中未展示的其它网络实体。同级110可为任何装置，例如蜂窝式电话、个人数字助理(PDA)、无线通信装置、手持式装置、无线调制解调器、膝上型计算机、无绳电话等。同级110也可被称作移动台、站、用户装备、终端、接入终端、订户单元、移动装备等。在图1所示的实例中，网络侧包括L个执行点120a到1201、M个认证器130a到130m，和用于N个提供商150a到150n的N个认证服务器140a到140n，其中一般来说L≥1、M≥1且N≥1。同级110可与执行点120a通信。每一执行点120可与一个或一个以上其它执行点120通信和/或与一个或一个以上认证器130通信。每一认证器130可与一个或一个以上执行点120、一个或一个以上其它认证器130和/或一个或一个以上认证服务器140通信。图1展示部署100中的实体之间的实例性连接。这些实体也可以其它方式连接，例如，可省略虚线连接。执行点为对用于同级的入站数据和出站数据执行或应用所述同级已完成的任何认证的实体。执行点、认证器和认证服务器为逻辑实体，且所述实体的一者或一者以上可共同定位在实体网络实体内。如图1所示，执行点和认证器可为单独的网络实体。单一网络实体也可执行例如执行点和认证器的不同逻辑实体的功能。图1中的各种逻辑实体描述于RFC3748中。执行点120和认证器130可由在不同通信网络中的不同网络实体实施。在WLAN中，执行点可由接入点实施，且认证器可由WLAN交换机(WLAN switch)实施。在蜂窝式网络中，执行点可由基站实施，且认证器可由无线电网络控制器(RNC)实施。在WLAN和蜂窝式网络中，认证服务器可由认证、授权和记帐(AAA)服务器实施。图2展示用于认证过程200的消息流。同级110最初可将接入请求发送到执行点120a，执行点120a可将所述请求转发到认证器130a(步骤210)。对于所述认证过程，-->执行点120a可仅在同级110与认证器130a之间转发消息且为清晰起见，未展示于图2中。同级110可使用指派给同级110的下层识别符LID同级来将接入请求以及其它消息发送到认证器130a。下层识别符可为媒体接入控制(MAC)地址或在同级与认证器/执行点之间使用的某一其它下层识别符。认证器130a可接收接入请求，确定其不具有用于同级110本文档来自技高网...

【技术保护点】
一种在通信系统中用于同级的设备，所述设备包含：　处理器，其用以获得用于所述同级的唯一识别符且与至少一认证服务器一起执行多个认证，其中所述唯一识别符用于将所述多个认证绑定到所述同级；以及　存储器，其耦合到所述处理器。

【技术特征摘要】
【国外来华专利技术】US 2006-4-11 60/791,3211.一种在通信系统中用于同级的设备，所述设备包含：处理器，其用以获得用于所述同级的唯一识别符且与至少一认证服务器一起执行多个认证，其中所述唯一识别符用于将所述多个认证绑定到所述同级；以及存储器，其耦合到所述处理器。2.根据权利要求1所述的设备，其中所述处理器产生伪随机数且将所述伪随机数用作用于所述同级的所述唯一识别符。3.根据权利要求1所述的设备，其中所述处理器使用指派给所述同级的识别符或地址作为用于所述同级的所述唯一识别符。4.根据权利要求1所述的设备，其中所述处理器从认证服务器或认证器接收所述唯一识别符。5.根据权利要求1所述的设备，其中对于所述多个认证中的一者，所述处理器接收来自认证器的认证请求；发送具有所述唯一识别符的认证响应，所述唯一识别符由所述认证器转发到所述认证服务器；以及与所述认证服务器一起执行相互认证。6.根据权利要求1所述的设备，其中所述处理器将所述唯一识别符安全地发送到用于第一认证的认证服务器，且将所述唯一识别符安全地发送到用于第二认证的所述认证服务器。7.根据权利要求1所述的设备，其中所述处理器将所述唯一识别符安全地发送到用于第一认证的第一认证服务器，且将所述唯一识别符安全地发送到用于第二认证的第二认证服务器，所述第二认证服务器不同于所述第一认证服务器。8.根据权利要求1所述的设备，其中所述处理器使用加密或完整性保护或两者来将所述唯一识别符安全地发送到所述至少一认证服务器中的每一者。9.根据权利要求1所述的设备，其中所述处理器从所述多个认证获得至少一密码密钥且基于所述至少一密码密钥而安全地交换用于所述多个认证的数据。10.根据权利要求1所述的设备，其中所述处理器从第一认证获得密码密钥且基于从所述第一认证获得的所述密码密钥而安全地交换用于第二认证的数据。11.根据权利要求1所述的设备，其中所述多个认证包含接入认证和服务认证。12.根据权利要求1所述的设备，其中所述多个认证包含装置认证和用户认证。13.根据权利要求1所述的设备，其中所述多个认证包含用于网络接入提供商(NAP)的第一认证和用于因特网服务提供商(ISP)的第二认证。14.根据权利要求1所述的设备，其中所述处理器以顺序次序执行所述多个认证。15.根据权利要求1所述的设备，其中所述处理器并行地执行所述多个认证。16.一种方法，其包含：获得用于同级的唯一识别符；以及与至少一认证服务器一起执行多个认证，其中所述唯一识别符用于将所述多个认证绑定到所述同级。17.根据权利要求16所述的方法，其中所述导出用于所述同级的所述唯一识别符包含：产生伪随机数，以及将所述伪随机数用作用于所述同级的所述唯一识别符。18.根据权利要求16所述的方法，其中所述执行多个认证对于所述多个认证中的一者包含：接收来自认证器的认证请求，将具有所述唯一识别符和用于认证服务器的信息的认证响应发送到所述认证器，所述唯一识别符由所述认证器转发到所述认证服务器，以及与所述认证服务器一起执行相互认证。19.根据权利要求16所述的方法，其进一步包含：从所述多个认证获得至少一密码密钥；以及基于所述至少一密码密钥而安全地交换用于所述多个认证的数据。20.根据权利要求16所述的方法，其进一步包含：从第一认证获得密码密钥；以及基于从所述第一认证获得的所述密码密钥而安全地交换用于第二认证的数据。21.一种设备，其包含：用于获得用于同级的唯一识别符的装置；以及用于与至少一认证服务器一起执行多个认证的装置，其中所述唯一识别符用于将所述多个认证绑定到所述同级。22.根据权利要求21所述的设备，其中所述用于执行多个认证的装置对于所述多个认证中的一者包含：用于接收来自认证器的认证请求的装置，用于将具有所述唯一识别符和用于认证服务器的信息的认证响应发送到所述认证器的装置，所述唯一识别符由所述认证器转发到所述认证服务器，以及用于与所述认证服务器一起执行相互认证的装置。23.根据权利要求21所述的设备，其进一步包含：用于从所述多个认证获得至少一密码密钥的装置；以及用于基于所述至少一密码密钥而安全地交换用于所述多个认证的数据的装置。24.一种处理器可读媒体，其用于存储指令以：获得用于同级的唯一识别符；以及与至少一认证服务器一起执行多个认证，其中所述唯一识别符用于将所述多个认证绑定到所述同级。25.根据权利要求24所述的处理器可读媒体，且进一步用于存储指令以：从所述多个认证获得至少一密码密钥；以及基于所述至少一密码密钥而安全地交换用于所述多个认证的数据。26.一种用于认证服务器的设备，其包含：处理器，其用以获得用于同级的唯一识别符、用以与所述同级一起执行认证、以及用以使所述唯一识别符与所述同级相关联；以及存储器，其耦合到所述处理器。27.根据权利要求26所述的设备，其中所述处理器从所述同级或认证器安全地接收所述唯一识别符。28.根据权利要求26...

【专利技术属性】
技术研发人员：拉克希米纳特雷迪唐德蒂，维迪亚纳拉亚南，
申请(专利权)人：高通股份有限公司，
类型：发明
国别省市：US[美国]