一种认证方法和系统、及装置制造方法及图纸

本发明专利技术的实施例提供了一种认证方法和系统、及装置，在不浪费空口资源的情况下，扩大了认证的适用范围。所述认证方法包括：接收被认证方发送的认证信息，所述被认证方包括设备和使用该设备的用户，所述认证信息包括：设备证书信息和／或用户证书信息及签名数据，所述签名数据由所述设备的长期信任状、及用户的长期信任状生成；根据所述证书信息获得证书；根据所述证书和签名数据进行认证。所述认证系统包括被认证方设备和认证方设备。根据本发明专利技术实施例，将用户－设备联合认证的ＬＴＣ扩展到证书的情况，在认证过程中，对用户、设备进行联合认证，不仅节省了空口资源，提高了认证效率，而且也扩大的认证的适用范围。

【技术实现步骤摘要】

本专利技术涉及一种通信技术，尤其涉及一种认证方法和系统、及装置。
技术介绍
WiMax(World Interoperability for Microwave Access，全球微波接入互操作性)是一项基于IEEE 802.16标准的宽带无线接入城域网技术，其基本目标是提供一种在城域网一点对多点的多厂商环境下，可有效地互操作的实现宽带无线接入。在实际应用中，出于计费、安全等考虑，需要对WiMAX终端作网络接入认证，认证模式通常有4种：用户认证模式、设备认证模式、用户-设备联合认证模式(Device-User Single EAP)及用户-设备双重认证模式(Device-UserDouble EAP)。认证的具体内容是一方向另一方证明自己拥有特定身份才能拥有的LTC(长期信任状)，长期信任状可以是证书(一方拥有的情形)或者预共享密钥PSK(双方拥有的情形)。在实际应用中，当需要同时对终端设备及使用该终端设备的用户身份进行网络接入认证时，此时需采用用户-设备联合认证模式或用户-设备双重认证模式。在用户-设备双重认证模式下，需要对用户及设备进行两次相对独立的EAP(Extensible Authentication Protocol，扩展认证协议)认证过程。即，网络侧先对设备进行网络接入验证(第一个EAP)，验证通过后再对用户进行网络接入认证(第二个EAP)，其中，设备认证的终结点在访问域的AAA(Authentication，Authorization and Accounting，认证、授权和计费)服务器上，用户认证的终结点是在家乡域的AAA服务器上。在上述认证过程中，需要对用户及设备进行-->两次相对独立的EAP认证过程，因此，这种认证方式的空口开销较大。用户-设备联合认证模式是指在设备、用户的LTC均为PSK的前提下，终端及AAA服务器根据用户、设备的标识及PSK生成联合标识(Combined_identifier)及联合预共享密钥(Combined_PSK)，利用这些联合标识和联合预共享密钥在同一次EAP(Extensible Authentication Protocol.扩展认证协议)验证过程中同时完成对用户及设备的认证，联合认证的流程与普通EAP认证的流程基本相同。用于联合认证的联合标识及联合PSK的生成方法如下：Combined_identifier＝MAC_Address|“-”|User_IDCombined_PSK＝truncate(HMAC-SHA256(PSK_device，PSK_user)，N)其中，MAC_Address为设备的48位MAC地址，truncate为截取函数，HMAC-SHA256为一种Hash函数；“|”表示串联；User_ID为使用设备的用户标识；N为用于验证的PSK的长度。在用户-设备联合认证模式下，认证终结点是在家乡AAA服务器。由于在用户-设备联合认证模式下将用户标识与设备的MAC(媒体接入控制)地址绑定在一起，因此，即使终端设备被盗或者丢失，其他人也无法使用该终端设备。如上所述，用户-设备联合认证模式必须在双方(用户和设备)的LTC均为PSK的情况下方能实现。因此，该认证方法的使用具有一定局限性。
技术实现思路
本专利技术的实施例提供了一种认证方法和系统、及装置，在不浪费空口资源的情况下，扩大了认证的适用范围。本专利技术的实施例提供了一种认证方法，包括：接收被认证方发送的认证信息，所述被认证方包括设备和使用该设备的用户，所述认证信息包括：设备证书信息和/或用户证书信息及签名数据，所述签名数据由所述设备的长期信任状、及用户的长期信任状生成；根据所述证书信息获得证书；-->根据所述证书和签名数据进行认证。本专利技术的实施例还提供了一种认证系统，包括：被认证方设备，用于向认证方发送认证信息，所述被认证方包括设备和使用该设备的用户，所述认证信息包括：设备证书信息和/或用户证书信息及签名数据，所述签名数据由所述设备的长期信任状、及用户的长期信任状生成；认证方设备，用于接收被认证方发送的认证信息，并根据所述验证信息中所述证书信息获得证书；根据所述证书和签名数据进行认证。本专利技术的实施例还提供了一种被认证方设备，包括：生成单元，用于生成认证信息，所述被认证方包括设备和使用该设备的用户，所述认证信息包括：设备证书信息和/或用户证书信息及签名数据，所述签名数据由所述设备的长期信任状、及用户的长期信任状生成；发送单元，用于向认证方发送认证信息。本专利技术的实施例还提供了一种认证方设备，包括：接收单元，用于接收被认证方发送的认证信息，所述被认证方包括设备和使用该设备的用户，所述认证信息包括：设备证书信息和/或用户证书信息及签名数据，所述签名数据由所述设备的长期信任状、及用户的长期信任状生成；认证单元，用于根据所述认证信息中所述证书信息获得证书；根据所述证书和签名数据进行认证。根据本专利技术实施例，将用户-设备联合认证的LTC扩展到证书的情况，在认证过程中，对用户、设备进行联合认证，不仅节省了空口资源，提高了认证效率，而且也扩大的认证的适用范围。附图说明图1示出了本专利技术实施例一的认证流程；图2示出了本专利技术实施例四的认证系统。具体实施方式-->为了便于本领域一般技术人员理解和实现本专利技术，现结合附图描绘本专利技术的实施例。实施例一参照图1，本专利技术的实施例提供了一种认证方法，包括：步骤11、被认证方生成用户-设备联合认证的联合标识：Combined_identifier＝MAC_address|“-”|user_ID；所述联合标识可作为一个联合的网络接入标识(Network Access Indentifier，NAI)，在EAP认证过程中，该网络接入标识可在EAP ID请求后发送到认证方，以便认证方根据联合标识发起认证过程。所述被认证方包括第一设备和使用该第一设备的用户。所述认证方可以是第二设备，如终端、认证服务器或除第一设备之外的其它设备。步骤12、被认证方利用验证数据DATA2生成用于验证用户、设备身份的签名数据S，所述签名数据由所述设备的长期信任状、及用户的长期信任状生成，所述验证数据DATA2可由已知的验证数据DATA1导出，如，验证数据DATA2是验证数据DATA1的消息摘要，也可以就是验证数据DATA1。步骤13、被认证方向认证方发送认证信息，例如，在EAP-TLS(ExtensibleAuthentication Protocol-Transportlayer Security，可扩展认证协议的传输层安全)认证方法中，所述认证信息可通过EAP-Response/Client_Key_Exchange(认证响应/客户端密钥交换)消息携带。所述认证信息包含以下内容：被认证方的证书信息、验证数据DATA1、以及被认证方利用自身的私钥对验证数据DATA2的签名数据S。被认证方的证书信息可以是被认证方的证书本身、或者被认证方的证书的地址信息。认证信息中也可以没有验证数据DATA1，认证方和被认证方在认证之前通过协商确定验证数据DATA1。步骤14、认证方收到认证信息后，首先验证被认证方证书的真实性；在证书通过真实性验证后，认证方通过证书信息获得证书，取出证书中的公钥，利用该公本文档来自技高网...

【技术保护点】
一种认证方法，其特征在于，包括：　接收被认证方发送的认证信息，所述被认证方包括设备和使用该设备的用户，所述认证信息包括：设备证书信息和／或用户证书信息及签名数据，所述签名数据由所述设备的长期信任状、及用户的长期信任状生成；　根据所述证书信息获得证书；　根据所述证书和签名数据进行认证。

【技术特征摘要】
1、一种认证方法，其特征在于，包括：接收被认证方发送的认证信息，所述被认证方包括设备和使用该设备的用户，所述认证信息包括：设备证书信息和/或用户证书信息及签名数据，所述签名数据由所述设备的长期信任状、及用户的长期信任状生成；根据所述证书信息获得证书；根据所述证书和签名数据进行认证。2、根据权利要求1所述的方法，其特征在于，在所述接收被认证方发送的认证信息之前，所述方法还包括步骤：所述被认证方生成联合标识，并将该联合标识发给认证方，认证方根据该联合标识发起认证过程，所述联合标识为：Combined_identifier＝MAC_Address|“-”|User_ID其中，MAC_Address为设备的MAC地址，“|”表示串联；User_ID为使用该设备的用户标识。3、根据权利要求1所述的方法，其特征在于，所述设备的长期信任状、及用户的长期信任状均为证书时，所述认证信息包括设备证书信息、用户证书信息及签名数据所述签名数据由所述设备的长期信任状、及用户的长期信任状生成具体包括：按如下公式获得签名数据S：S＝SAU(SAE(DATA2))或S＝SAE(SAU(DATA2))，其中，SAU为利用用户的私钥进行签名，SAE为利用设备的私钥进行签名，DATA2为第二验证数据，所述第二验证数据由第一验证数据导出。4、根据权利要求3所述的方法，其特征在于，所述根据被认证方的证书和签名数据进行认证具体包括：根据所述设备证书信息得到设备公钥，根据用户证书信息得到用户公钥；利用所述设备公钥和所述用户公钥解密所述签名数据，获得解密数据，判断所述解密数据是否与由第一验证数据导出的第二验证数据相符，若是，则通过认证，否则，认证失败。5、根据权利要求4所述的方法，其特征在于，所述利用所述设备公钥和所述用户公钥解密所述签名数据具体包括：当签名数据为：S＝SAU(SAE(DATA2))时，先利用所述用户公钥对所述签名数据进行解密，得到解密数据，再利用所述设备公钥对所述解密数据进行解密；当签名数据为：S＝SAE(SAU(DATA2))时，先利用所述设备公钥对所述签名数据进行解密，得到解密数据，再利用所述用户公钥对所述解密数据进行解密。6、根据权利要求1所述的方法，其特征在于，所述设备的长期信任状为证，所述使用该设备的用户的长期信任状为预共享密钥时，所述认证信息包括设备证书信息和签名数据，所述签名数据由所述设备的长期信任状、及用户的长期信任状生成具体包括：所述签名数据由所述证书的私钥对第二数据进行签名，所述第二验证数据由所述第一验证数据导出，所述第一验证数据由所述预共享密钥生成。7、根据权利要求1所述的方法，其特征在于，所述设备的长期信任状为预共享密钥，所述使用该设备的用户的长期信任状为证书时，所述认证信息包括用户证书信息和签名数据，所述签名数据由所述设备的长期信任状、及用户的长期信任状生成具体包括：所述签名数据由所述证书的私钥对第二数据进行签名，所述第二验证数据由所述第一验证数据导出，所述第一验证数据由所述预共享密钥生成。8、根据权利要求6或7所述的方法，其特征在于，所述根据被认证方的证书和签名数据进行认证具体包括：根据所述证书信息得到所述证书中的公钥；获得预共享密钥，并根据所述预共享密钥获得第一验证数据；利用所述公钥解密所述签名数据，获得解密数据，判断所述解密数据是否与由第一验证数据导出的第二验证数据相符，若是，则通过认证，否则，认证失败。9、根据权利要求1所述的方法，其特征在于，所述设备长期信任状为预共享密钥、及用户的长期信任状为证书时，所述认证信息包括用户证书信息和签名数据，所述签名数据由所述设备的长期信任状、及用户的长期信任状生成具体包括：按如下公式获得签名数据SU：SU＝SAU(DATA2)，其中，SAU为利用用户的私钥进行签名，DATA2为第二验证数据，所述第二验证数据由所述第一验证数据导出，所述第一验证数据由所述设备的预共享密钥生成。10、根据权利要求9所述的方法，其特征在于...

【专利技术属性】
技术研发人员：潘云波，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：94[中国|深圳]