專利名稱：：一種基于多重認(rèn)證以及rsa認(rèn)證的授權(quán)方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及通信系統(tǒng)中的安全領(lǐng)域，尤其涉及一種基于多重認(rèn)證以及RSA認(rèn)證的授權(quán)方法。
背景技術(shù)：
：隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展，以固定網(wǎng)絡(luò)系統(tǒng)、無線通信系統(tǒng)和移動通信為代表的通信系統(tǒng)已深入人們的生活。為了保證通信系統(tǒng)的可運(yùn)營、可管理和可計(jì)費(fèi)，防止非法用戶訪問網(wǎng)絡(luò)所提供的服務(wù)，通信系統(tǒng)必須對接入的設(shè)備和用戶進(jìn)行授權(quán)。授權(quán)是指允許用戶進(jìn)行某項(xiàng)行為，如允許用戶訪問接入網(wǎng)絡(luò)、訪問網(wǎng)絡(luò)所提供的某項(xiàng)服務(wù)等。為了防止非法用戶訪問網(wǎng)絡(luò)提供的服務(wù)，一個(gè)在用戶端與網(wǎng)絡(luò)側(cè)存在一個(gè)或多個(gè)連接的通信系統(tǒng)通常采取以下措施對每個(gè)連接上傳送的數(shù)據(jù)使用加密算法對其進(jìn)行加密處理，由于不同的連接上所傳送數(shù)據(jù)的重要性不同，不同的連接按照一定策略采用不同的加密算法和完整性保護(hù)算法。通常加密算法與完整性保護(hù)算法的組合稱為加密套件，加密套件及其使用的密鑰、初始向量等安全信息的集合稱為安全關(guān)聯(lián)(SA)。在這類通信系統(tǒng)中，用戶只要獲取了SA就能夠訪問網(wǎng)絡(luò)，因此對用戶的授權(quán)也可以理解為給用戶分配SA的使用權(quán)。網(wǎng)絡(luò)給用戶分配SA的使用權(quán)通常是通過以下方式實(shí)現(xiàn)的1.網(wǎng)絡(luò)側(cè)與授權(quán)的用戶端以一定策略協(xié)商出一個(gè)共享的AK(授權(quán)密鑰)，并協(xié)商通信中使用的SA的相關(guān)屬性(包括SA標(biāo)識號SAD、SA所使用的安全套件)。2.網(wǎng)絡(luò)側(cè)和用戶側(cè)協(xié)商各SA的密鑰TEK(通信加密密鑰),其中TEK由AK或者AK推演出來的密鑰保護(hù)。3.SA被映射到不同的連接上，連接上傳送的凄t據(jù)使用映射在其上的SA進(jìn)行保護(hù)。通過上述方法，網(wǎng)絡(luò)側(cè)與其授權(quán)的用戶協(xié)商出了只有雙方才能使用的SA，用戶就能通過這些SA與網(wǎng)絡(luò)側(cè)進(jìn)行通信，因此可以將上述過程歸屬到網(wǎng)絡(luò)側(cè)對用戶端的授權(quán)過程。在通信系統(tǒng)中，授權(quán)是以認(rèn)證為基礎(chǔ)的，認(rèn)證的目的是保證用戶身份屬實(shí)。只有通過認(rèn)證并擁有一定權(quán)限的用戶，系統(tǒng)才會對他進(jìn)行授權(quán)。認(rèn)證與授權(quán)通常需要通過一定的策略綁定在一起，使得它們之間呈現(xiàn)出一種緊耦合或者松耦合的關(guān)系。實(shí)現(xiàn)認(rèn)證與授權(quán)緊耦合的方式通常是將認(rèn)證與授權(quán)在同一個(gè)過程中實(shí)現(xiàn)，即在用戶端與網(wǎng)絡(luò)側(cè)進(jìn)行認(rèn)證的同時(shí)，網(wǎng)絡(luò)側(cè)4艮據(jù)認(rèn)證的結(jié)果對用戶端進(jìn)行授權(quán)，并分發(fā)AK、協(xié)商SA等相關(guān)的授權(quán)屬性。例如在802.16e中，用戶端與網(wǎng)絡(luò)側(cè)之間支持基于RSA認(rèn)證的授權(quán)，在該過程中，認(rèn)證與授權(quán)在同一個(gè)過程中完成。在松耦合的方式中，認(rèn)證與授權(quán)分別在兩個(gè)相對獨(dú)立的過程中實(shí)現(xiàn)，即用戶端與網(wǎng)絡(luò)側(cè)先在認(rèn)證過程中完成認(rèn)證，用戶端與網(wǎng)絡(luò)端之間會生成一個(gè)共享的SK(sharekey,共享密鑰)，然后雙方啟動授權(quán)過程，協(xié)商AK，并通過SK將認(rèn)證過程與授權(quán)過程綁定在—起。當(dāng)前，通信系統(tǒng)的授權(quán)大多基于單重認(rèn)證，分別通過上迷兩種方式實(shí)現(xiàn)。但是對于基于多重認(rèn)證的授權(quán)，則出現(xiàn)了混亂，原因是這些系統(tǒng)后向兼容以前基于單重認(rèn)證的版本，出現(xiàn)了認(rèn)證與授權(quán)之間緊耦合與松耦合交錯(cuò)的局面，造成部分授權(quán)在所有認(rèn)證完成前就開始進(jìn)行，這不符合安全原則，因?yàn)檎J(rèn)證是授權(quán)的基礎(chǔ)，只有在所有認(rèn)證完成后，才能確認(rèn)用戶是否合法，進(jìn)而對用戶進(jìn)行授權(quán)。同時(shí)，這種授權(quán)方法還在邏輯上造成混亂，而且嚴(yán)重影響了系統(tǒng)的可擴(kuò)展性，特別當(dāng)某些通信系統(tǒng)既支持基于RSA認(rèn)證的授權(quán)，又支持基于多重認(rèn)證的授權(quán)時(shí)，更給授權(quán)過程帶來了復(fù)雜性，因此就需要設(shè)計(jì)出一種基于RSA認(rèn)證以及基于多重認(rèn)證的授權(quán)方法。
發(fā)明內(nèi)容5本發(fā)明所要解決的技術(shù)問題在于提供一種通信系統(tǒng)中基于多重認(rèn)證以及RSA認(rèn)證的授權(quán)方法，以克服目前所述授權(quán)方法在邏輯上造成混亂且影響系統(tǒng)的可擴(kuò)展性以及在所有認(rèn)證完成前部分授權(quán)就開始進(jìn)行從而違背了姿全性原則等缺點(diǎn)。為了解決上述技術(shù)問題，本發(fā)明提供了一種通信系統(tǒng)中基于多重認(rèn)證的授權(quán)方法，所述通信系統(tǒng)包括用戶端、接入設(shè)備、認(rèn)證服務(wù)器，其中，所述用戶端屬于用戶側(cè)，所述接入設(shè)備和認(rèn)證服務(wù)器屬于網(wǎng)絡(luò)側(cè)，該方法包括(1)在前N重認(rèn)證過程中，用戶端與網(wǎng)絡(luò)側(cè)在每重認(rèn)證過程中分別執(zhí)行認(rèn)證過程，并在認(rèn)證過程中協(xié)商出一個(gè)雙方共享的共享密鑰SKi;(2)用戶端與認(rèn)證服務(wù)器分別從各重認(rèn)證過程中所協(xié)商出的共享密鑰推演出共享的授權(quán)密鑰；(3)認(rèn)證服務(wù)器將授權(quán)密鑰發(fā)送給接入設(shè)備；(4)認(rèn)證服務(wù)器和接入設(shè)備分別通過授權(quán)密鑰直接或間接的推演出授權(quán)過程中所需要的完整性保護(hù)密銅；(5)用戶端與接入設(shè)備協(xié)商安全關(guān)聯(lián)的相關(guān)屬性信息。其中，步驟(1)所述的N重認(rèn)證過程，不是每一重認(rèn)證過程都需要認(rèn)證雙方協(xié)商出一個(gè)共享的SKi,但必須有部分認(rèn)證過程協(xié)商出SKi。其中，步驟(l)中所述的i是指N重認(rèn)證中的第i重認(rèn)證，i大于等于1。其中，所述步驟(3)進(jìn)一步包括，所述授權(quán)密鑰被用戶端與接入設(shè)備共享。其中，所述步驟(5)進(jìn)一步包括，協(xié)商過程中的所有消息都使用完整性保護(hù)密鑰進(jìn)行完整性保護(hù)。為了解決上述技術(shù)問題，本發(fā)明還提供一種如上所述的通信系統(tǒng)中基于RSA認(rèn)-i正的授權(quán)方法，其特征在于，該方法包括(1)用戶端與網(wǎng)絡(luò)側(cè)進(jìn)行RSAiU正，包括(11)用戶端將認(rèn)證信息及授權(quán)請求消息發(fā)送給網(wǎng)絡(luò)側(cè)；(12)網(wǎng)絡(luò)側(cè)接收到用戶端的授權(quán)請求消息后，向用戶端發(fā)送授權(quán)響應(yīng)消息；(2)認(rèn)證完成后，用戶端與網(wǎng)絡(luò)側(cè)分別通過預(yù)主授權(quán)密鑰直接或間接推演出授權(quán)密鑰，并由授權(quán)密鑰推演出授權(quán)過程中的完整性保護(hù)密鑰；(3)用戶端與網(wǎng)絡(luò)側(cè)完成授權(quán)過程，包括-.(31)網(wǎng)絡(luò)側(cè)向用戶端發(fā)送消息，指示雙方開始協(xié)商安全關(guān)聯(lián)的相關(guān)屬性信息；(32)用戶端向網(wǎng)絡(luò)側(cè)發(fā)送響應(yīng)消息；(33)網(wǎng)絡(luò)側(cè)在接收到用戶端的消息后，向其發(fā)送確認(rèn)消息。其中，步驟(2)所述間接推演是指先通過預(yù)主授權(quán)密鑰推演出主授權(quán)密鑰，然后再通過主授權(quán)密鑰推演出授權(quán)密鑰。其中，步驟(11)所述認(rèn)證信息包含頒發(fā)用戶側(cè)證書的用戶端生產(chǎn)廠商的證書信息，所述授權(quán)請求消息包含用戶側(cè)的證書信息。其中，步驟(12)所述授權(quán)響應(yīng)消息包含網(wǎng)絡(luò)側(cè)的證書信息、預(yù)主授權(quán)密鑰。其中，所述步驟(3)進(jìn)一步包括，在授權(quán)過程中用戶端與網(wǎng)絡(luò)側(cè)雙方協(xié)商出本次通信中使用的主安全關(guān)聯(lián)和靜態(tài)安全關(guān)聯(lián)的相關(guān)屬性信息，并在該授權(quán)過程中使用完整性保護(hù)密鑰保護(hù)消息的完整性。其中，步驟(32)所述的響應(yīng)消息包含用戶端支持的安全能力信息。其中，步驟(33)所述的確認(rèn)消息包含網(wǎng)絡(luò)側(cè)與用戶端所協(xié)商出的安全關(guān)聯(lián)的相關(guān)屬性信息。本發(fā)明所述的一種通信系統(tǒng)中基于多重認(rèn)證以及RSA認(rèn)證的授權(quán)方法，克服了目前所述授權(quán)方法在邏輯上造成混亂且影響系統(tǒng)的可擴(kuò)展性以及在所有認(rèn)證完成前部分授權(quán)就開始進(jìn)行從而違背了安全性原則等缺點(diǎn)。圖l是一種基于多重認(rèn)證的授權(quán)過程示意圖；圖2是一種基于多重認(rèn)證的授權(quán)方法的具體過程示意圖；圖3是一種基于RSA認(rèn)證的授權(quán)方法過程示意圖；圖4是根據(jù)本發(fā)明實(shí)施例所述的一種802.16e中基于RSA認(rèn)證及EAP認(rèn)證的授權(quán)方法的過程示意圖；圖5是根據(jù)本發(fā)明實(shí)施例所述的一種802.16e中基于RSA認(rèn)證及輕量級EAP認(rèn)證的授權(quán)方法的過程示意圖；圖6是根據(jù)本發(fā)明實(shí)施例所述的一種802.16e中基于RSA認(rèn)證的授權(quán)過程示意圖。具體實(shí)施方式下面結(jié)合附圖對本發(fā)明作進(jìn)一步的詳細(xì)描述。如圖l所示，為一種通信系統(tǒng)中基于多重認(rèn)證的授權(quán)過程示意圖，在通信系統(tǒng)中用戶側(cè)與網(wǎng)絡(luò)側(cè)經(jīng)過N重認(rèn)證后，協(xié)商出AK與SA的屬性，從而達(dá)到了要完成授權(quán)的目的。如圖2所示，為一種基于多重認(rèn)證的授權(quán)方法的具體過程示意圖。在通信系統(tǒng)中，通常包含三類實(shí)體用戶端設(shè)備、接入設(shè)備和認(rèn)證服務(wù)器。其中，用戶端設(shè)備屬于用戶側(cè)，接入設(shè)備和認(rèn)證服務(wù)器屬于網(wǎng)絡(luò)側(cè)。接入設(shè)備完成接入功能，認(rèn)證設(shè)備完成對用戶側(cè)的認(rèn)證。當(dāng)通信系統(tǒng)采用基于N(N>1)重認(rèn)證的授權(quán)方法時(shí)，授權(quán)方法過程如下步驟210:在前N重認(rèn)證過程中，用戶端與網(wǎng)絡(luò)側(cè)在每重認(rèn)證過程中分別執(zhí)行認(rèn)證過程，并在認(rèn)證過程中協(xié)商出一個(gè)雙方共享的SKi(i指N重認(rèn)證中的第i重認(rèn)證，i>=i)。本發(fā)明中所述的認(rèn)證方法并未作限制，可以是現(xiàn)有的認(rèn)證方法，也可以是設(shè)計(jì)者自己設(shè)計(jì)的認(rèn)證方法，這些認(rèn)證方法均只完成認(rèn)證功能，而不涉及授權(quán)過程中需要協(xié)商的屬性，如AK、SA等。此外，并非上述每一重認(rèn)證過程都需要認(rèn)證雙方協(xié)商出一個(gè)共享的SK,但是必須有部分認(rèn)證過禾呈十辦商出SK。上述認(rèn)證過程可以發(fā)生在通信系統(tǒng)中的用戶側(cè)的用戶端與網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器之間，各重認(rèn)證中的SK分別在用戶端和認(rèn)證服務(wù)器上生成，接入設(shè)備轉(zhuǎn)發(fā)用戶端與認(rèn)i正服務(wù)器之間的認(rèn)證消息。步驟220:在完成上述N重認(rèn)證過程后，用戶端與網(wǎng)絡(luò)側(cè)開始進(jìn)行授權(quán)過程，授權(quán)過程主要完成AK及其SA相關(guān)屬性信息的協(xié)商。授權(quán)過程與上述N重認(rèn)證過程通過各重認(rèn)證過程中協(xié)商的SK進(jìn)行綁定。授權(quán)過程與認(rèn)ii過程的綁定可以通過以下方法實(shí)現(xiàn)用戶端與網(wǎng)絡(luò)側(cè)分別通過各重認(rèn)證中協(xié)商的SK根據(jù)一定策略直接或間接推演出授權(quán)過程中要使用的完整性保護(hù)密鑰IK，授權(quán)過程中的所有消息都使用IK進(jìn)行完整性保護(hù)。當(dāng)步驟210所述各重認(rèn)證中的SK分別在用戶端和認(rèn)證服務(wù)器上生成時(shí)，步驟220可以通過以下實(shí)現(xiàn)1.用戶端和認(rèn)證服務(wù)器分別根據(jù)一定策略從各重認(rèn)證中協(xié)商的SK推演出共享的AK。2.認(rèn)證服務(wù)器將AK發(fā)送給接入設(shè)備，從而AK被用戶端與接入設(shè)備程中要使用的完整性保護(hù)密鑰IK。3.用戶端與接入設(shè)備進(jìn)行SA相關(guān)屬性信息的協(xié)商，協(xié)商過程中所有消息都使用IK進(jìn)行完整性保護(hù)。參考圖3，為一種基于RSA認(rèn)證的授權(quán)方法過程示意圖。步驟310:用戶側(cè)與網(wǎng)絡(luò)側(cè)進(jìn)行RSA認(rèn)證。認(rèn)i正過程如下1.用戶側(cè)將認(rèn)證信息消息發(fā)送給網(wǎng)絡(luò)側(cè)，該信息中包含了頒發(fā)用戶側(cè)證書的用戶側(cè)終端生產(chǎn)廠商的證書信息。2.用戶側(cè)將授權(quán)請求消息發(fā)送給網(wǎng)絡(luò)側(cè)，該消息中包含了用戶側(cè)的證書。注意，該消息中不再包含用戶側(cè)支持的安全能力(即用戶側(cè)支持的加密套件列表)等信息。3.網(wǎng)絡(luò)側(cè)接收到用戶側(cè)的授權(quán)請求后，將向用戶側(cè)發(fā)送授權(quán)響應(yīng)消息,響應(yīng)消息中包含了網(wǎng)絡(luò)側(cè)的證書、pre-PAK(pre-primaryauthorizationkey,預(yù)主授權(quán)密鑰)等，該消息中不再包含SA屬性信息。步驟320:用戶側(cè)與網(wǎng)絡(luò)側(cè)分別通過pre-PAK按照一定策略推演出AK,并從AK推演出授權(quán)過程完整性保護(hù)密鑰IK。步驟330:用戶端與網(wǎng)絡(luò)側(cè)完成授權(quán)過程，在該過程中雙方協(xié)商出本次通信中使用的主SA(primarySA)和靜態(tài)SA(staticSA)屬性(包含SA標(biāo)識號SAID、SA的類型、SA使用加密套件等)等，授權(quán)過程中使用IK保護(hù)消息的完整性。該授權(quán)過程如下1.網(wǎng)絡(luò)側(cè)向用戶端發(fā)送消息，指示開始協(xié)商SA屬性等信息；2.用戶端向網(wǎng)絡(luò)側(cè)發(fā)送響應(yīng)消息，該消息中包含了用戶端支持的安全能力等信息；3.網(wǎng)絡(luò)側(cè)在接收到用戶端的消息后，向其發(fā)送確認(rèn)消息，該消息中包含了網(wǎng)絡(luò)側(cè)與用戶端協(xié)商的SA屬性信息。步驟330可以包含1、2、3三步，也可以只包含2、3兩步。基于IEEE802.16的無線城域網(wǎng)(WMAN)是一項(xiàng)新興的寬帶無線接入技術(shù)，是針對2-66GHz頻段提出的一種新的空中接口標(biāo)準(zhǔn)。802.16e是對當(dāng)前802.16系列標(biāo)準(zhǔn)增強(qiáng)，它支持移動用戶站以車載速度接入網(wǎng)絡(luò)。在802.16e中，存在三類實(shí)體MSS(移動用戶站)、BS(基站)和ASA(認(rèn)證服務(wù)器)，其中BS完成接入功能，ASA完成對MSS的認(rèn)證。MSS屬于用戶側(cè)，BS和ASA屬于網(wǎng)絡(luò)側(cè)。802.16e支持設(shè)備認(rèn)證和用戶認(rèn)證兩種認(rèn)證方式，目前802.16e對設(shè)備認(rèn)證采用的是RSA認(rèn)證，在基于該認(rèn)證的授權(quán)過程中，認(rèn)證與授權(quán)在同一個(gè)過程中完成。對用戶的認(rèn)證采用的是基于EAP的認(rèn)證方法，在基于該認(rèn)證的授權(quán)過程中，認(rèn)證與授權(quán)在兩個(gè)相對獨(dú)立的過程中完成。與上述移動終端和網(wǎng)絡(luò)側(cè)之間進(jìn)行的設(shè)備認(rèn)證與用戶認(rèn)證相對應(yīng)，它們之間可能存在以下幾種i人i正組合，并且采用不同的方式推演出AK:1.首先進(jìn)行設(shè)備認(rèn)證，然后進(jìn)行用戶認(rèn)證。2.只進(jìn)行設(shè)備認(rèn)i正，不進(jìn)行用戶認(rèn)證。3.只進(jìn)行用戶認(rèn)證，不進(jìn)行設(shè)備認(rèn)證。上述三種認(rèn)證組合中，第2、3兩種都是單重認(rèn)-〖正，只有第一種是多重認(rèn)證。在當(dāng)前的80116e方案中，分別有對應(yīng)上迷三種認(rèn)證的授權(quán)機(jī)制1.用戶端和網(wǎng)絡(luò)側(cè)首先進(jìn)行設(shè)備認(rèn)證，在設(shè)備認(rèn)證過程中雙方協(xié)商在本次通信中使用的SA等，然后進(jìn)行用戶認(rèn)證，最后雙方協(xié)商出AK。2.用戶端和網(wǎng)絡(luò)側(cè)進(jìn)行設(shè)備認(rèn)證，在設(shè)備認(rèn)證過程中同時(shí)完成授權(quán)過程，雙方協(xié)商出在本次通信中使用的SA、AK。3.用戶端和網(wǎng)絡(luò)側(cè)進(jìn)行用戶認(rèn)證，在認(rèn)證過程結(jié)束后，雙方開始授權(quán)過程，協(xié)商出在本次通信中使用的SA、AK。從上述中可以看出，802.16e在設(shè)計(jì)基于設(shè)備認(rèn)證和用戶認(rèn)證時(shí)出現(xiàn)了混亂，因?yàn)镾A的協(xié)商應(yīng)該在授權(quán)過程中協(xié)商(除非該SA是授權(quán)過程之前就要使用的)。而且上述方案中針對不同的認(rèn)證組合采用了不同的認(rèn)證授權(quán)流程，缺乏一致性。在本發(fā)明所述實(shí)施例中根據(jù)本發(fā)明對802.16e的授權(quán)流程進(jìn)行了重新設(shè)計(jì)。參考圖4,為本發(fā)明實(shí)施例所述的一種802.16e中基于RSA認(rèn)證和EAP認(rèn)證的授權(quán)方法的過程示意圖。本實(shí)施例是一種基于二重認(rèn)證的授權(quán)方法，同樣可以推廣到其它基于多重認(rèn)證的授權(quán)中。具體過程為步驟410:MSS與BS、ASA進(jìn)行基于RSA的設(shè)備認(rèn)證。認(rèn)證過程如下1.SS將認(rèn)證信息消息發(fā)送給BS，該信息中包含了頒發(fā)SS證書的SS生產(chǎn)廣商的證書信息；2.SS將授權(quán)請求消息發(fā)送給BS，該消息中包含了SS的證書。該消息中不再包含SS支持的安全能力(即SS支持的加密套件列表)等信息；3.BS接收到SS的授權(quán)請求后，將向SS發(fā)送授權(quán)響應(yīng)消息，響應(yīng)消息中包含了BS的證書、pre-PAK(pre-primaryauthorizationkey,預(yù)主授權(quán)密鑰)等信息。該消息中不再包含SA屬性信息。上述第3步中，BS在4吏權(quán)響應(yīng)消息中發(fā)送給SS的pre-PAK是從ASA獲取的，SS與ASA分別從pre-PAK推演出PAK(主授權(quán)密鑰).，步驟420:SS與BS、ASA進(jìn)行基于EAP認(rèn)證的用戶認(rèn)證，在該認(rèn)證過程中MSS與ASA協(xié)商出一共享的PMK(pairwisemasterkey,成對主密鑰)，如果使用的是輕量級EAP認(rèn)證，雙方便不會生成共享的PMK,如圖5所示。認(rèn)證流程見正EE802.16e/D5a。步驟430:SS與ASA分別通過PAK和PMK推演出AK，同時(shí)ASA將AK發(fā)送給BS,SS與BS從AK推演出授權(quán)過程完整性保護(hù)密鑰IK。步驟440:SS與BS進(jìn)行授權(quán)過程，在該過程中雙方協(xié)商出本次通信中使用的SA的屬性(包含SA標(biāo)識號SAID、SA的類型、SA使用加密套件等)等，授權(quán)過程中使用IK保護(hù)消息的完整性。授權(quán)過程如下1.BS向SS發(fā)送消息，指示開始協(xié)商SA屬性等信息；2.SS向BS發(fā)送響應(yīng)消息，該消息中包含了SS支持的安全能力等信自.-3.BS在接收到SS的消息后，向其發(fā)送確認(rèn)消息，該消息中包含了BS與SS協(xié)商的SA屬性。步驟440可以包含1、2、3步，也可以只包含2、3兩步。參考圖6,為本發(fā)明實(shí)施例所述的一種802.16e中基于RSA認(rèn)證的授權(quán)過程示意圖。具體過程為步驟610:SS與BS、ASA進(jìn)行基于RSA的認(rèn)證。認(rèn)證過程如下l.SS將認(rèn)證信息消息發(fā)送給BS。該信息中包含了頒發(fā)SS證書的SS生產(chǎn)廠商的證書信息；2.SS將授權(quán)請求消息發(fā)送給BS。該消息中包含SS的證書信息，而不再包含SS支持的安全能力即SS支持的加密套件列表等信息；3.BS接收到SS的授權(quán)請求后，將向SS發(fā)送授權(quán)響應(yīng)消息，響應(yīng)消息中包含了BS的證書、pre-PAK(pre-primaryauthorizationkey,予貞主授權(quán)密鑰)等信息，而不再包含SA屬性信息。上述第3步中，BS在授權(quán)響應(yīng)消息中發(fā)送給SS的pre-PAK是從ASA獲取的，SS與ASA分別從pre-PAK推演出PAK。步驟620:SS與ASA分別通過PAK和PMK推演出AK，同時(shí)ASA將AK發(fā)送給BS,SS與BS從AK推演出授權(quán)過程完整性保護(hù)密鑰IK。步驟630:SS與BS完成授權(quán)過程，在該過程中雙方協(xié)商出本次通信中使用的主SA(primarySA)和靜態(tài)SA(staticSA)屬性(包含SA標(biāo)識號SAID、SA的類型、SA使用加密套件等)等，授權(quán)過程中使用IK保護(hù)消息的完整性。授權(quán)過程如下l.BS向SS發(fā)送消息，指示開始協(xié)商SA屬性等信息；2.SS向BS發(fā)送響應(yīng)消息，該消息中包含了SS支持的安全能力等信息；3.BS在接收到SS的消息后，向其發(fā)送確認(rèn)消息，該消息中包含了BS與SS所協(xié)商的SA的相關(guān)屬性信息。步驟630可以包含1、2、3三步，也可以只包含2、3兩步。下面通過表格對802.16e中的加密套件作進(jìn)一步詳細(xì)描述。802.16e支持的數(shù)據(jù)加密算法，見下表<table>tableseeoriginaldocumentpage13</column></row><table>以下表格所描述的是安全關(guān)聯(lián)密鑰協(xié)商時(shí)使用的密鑰加密算法:<table>tableseeoriginaldocumentpage14</column></row><table>以上所述三種算法組合成為一個(gè)加密套件，例如(1,0,l)表示使用該加密套件的安全關(guān)聯(lián)，將使用DES-CBC算法加密傳送的數(shù)據(jù)，數(shù)據(jù)不進(jìn)行完整性校驗(yàn)，并且該SA在協(xié)商加密密鑰TEK時(shí)，TEK使用3DES算法加密。權(quán)利要求1.一種基于多重認(rèn)證的授權(quán)方法，用于通信系統(tǒng)中，該通信系統(tǒng)包括用戶端、接入設(shè)備、認(rèn)證服務(wù)器，其中，所述用戶端屬于用戶側(cè)，所述接入設(shè)備和認(rèn)證服務(wù)器屬于網(wǎng)絡(luò)側(cè)，其特征在于，該方法包括(1)在前N重認(rèn)證過程中，用戶端與網(wǎng)絡(luò)側(cè)在每重認(rèn)證過程中分別執(zhí)行認(rèn)證過程，并在認(rèn)證過程中協(xié)商出一個(gè)雙方共享的共享密鑰SKi；(2)用戶端與認(rèn)證服務(wù)器分別從各重認(rèn)證過程中所協(xié)商出的共享密鑰推演出共享的授權(quán)密鑰；(3)認(rèn)證服務(wù)器將授權(quán)密鑰發(fā)送給接入設(shè)備；(4)認(rèn)證服務(wù)器和接入設(shè)備分別通過授權(quán)密鑰直接或間接的推演出授權(quán)過程中所需要的完整性保護(hù)密鑰；(5)用戶端與接入設(shè)備協(xié)商安全關(guān)聯(lián)的相關(guān)屬性信息。2.如權(quán)利要求1所述的方法，其特征在于，步驟(1)所述的N重認(rèn)證過程，不是每一重認(rèn)證過程都需要認(rèn)證雙方協(xié)商出一個(gè)共享的SKi,但必須有部分認(rèn)證過程協(xié)商出SKi。3.如權(quán)利要求2所述的方法，其特征在于，步驟(1)中所述的i是指N重認(rèn)證中的第i重認(rèn)證，i大于等于l。4.如，又利要求1所述的方法，其特征在于，所述步驟(3)進(jìn)一步包括，所述授權(quán)密鑰被用戶端與接入設(shè)備共享。5.如權(quán)利要求l所述的方法，其特征在于，所述步驟(5)進(jìn)一步包括，協(xié)商過程中的所有消息都使用完整性保護(hù)密鑰進(jìn)行完整性保護(hù)。6.—種如權(quán)利要求1所述的通信系統(tǒng)中基于RSA認(rèn)證的授權(quán)方法，其特征在于，包括(1)用戶端與網(wǎng)絡(luò)側(cè)進(jìn)行RSA認(rèn)證，包括(11)用戶端將認(rèn)證信息及授權(quán)請求消息發(fā)送給網(wǎng)絡(luò)側(cè)；　(12)網(wǎng)絡(luò)側(cè)接收到用戶端的授權(quán)請求消息后，向用戶端發(fā)送授權(quán)響應(yīng)消息；(2)認(rèn)證完成后，用戶端與網(wǎng)絡(luò)側(cè)分別通過預(yù)主授權(quán)密鑰直接或間接推演出授權(quán)密鑰，并由授權(quán)密鑰推演出授權(quán)過程中的完整性保護(hù)密鑰；(3)用戶端與網(wǎng)絡(luò)側(cè)完成授權(quán)過程，包括(31)網(wǎng)絡(luò)側(cè)向用戶端發(fā)送消息，指示雙方開始協(xié)商安全關(guān)聯(lián)的相關(guān)屬性信息；(32)用戶端向網(wǎng)絡(luò)側(cè)發(fā)送響應(yīng)消息；(33)網(wǎng)絡(luò)側(cè)在接收到用戶端的消息后，向其發(fā)送確認(rèn)消息。7.如權(quán)利要求6所述的方法，其特征在于，步驟(2)所述間接推演是指先通過預(yù)主授權(quán)密鑰推演出主授權(quán)密鑰，然后再通過主授權(quán)密鑰推演出授權(quán)密鑰。8.如權(quán)利要求6所述的方法，其特征在于，步驟(11)所述認(rèn)證信息包含頒發(fā)用戶側(cè)證書的用戶端生產(chǎn)廠商的證書信息，所述授權(quán)請求消息包含用戶側(cè)的證書信息。9.如權(quán)利要求6所述的方法，其特征在于，步驟(12)所述授權(quán)響應(yīng)消息包含網(wǎng)絡(luò)側(cè)的證書信息、預(yù)主授權(quán)密鑰。10.如權(quán)利要求6所述的方法，其特征在于，所述步驟(3)進(jìn)一步包括，在授權(quán)過程中用戶端與網(wǎng)絡(luò)側(cè)雙方協(xié)商出本次通信中使用的主安全關(guān)聯(lián)和靜態(tài)安全關(guān)聯(lián)的相關(guān)屬性信息，并在該授權(quán)過程中使用完整性保護(hù)密鑰保護(hù)消息的完整性。11.如權(quán)利要求6所述的方法，其特征在于，步驟(32)所述的響應(yīng)消息包含用戶端支持的安全能力信息。12.如權(quán)利要求6所迷的方法，其特征在于，步驟(33)所述的確認(rèn)全文摘要本發(fā)明公開了一種基于多重認(rèn)證的授權(quán)方法，包括在前N重認(rèn)證過程中，用戶端與網(wǎng)絡(luò)側(cè)在每重認(rèn)證過程中分別執(zhí)行認(rèn)證過程，并在認(rèn)證過程中協(xié)商出一個(gè)雙方共享的共享密鑰SKi；在完成上述N重認(rèn)證過程后，用戶端與網(wǎng)絡(luò)側(cè)進(jìn)行AK及其SA的相關(guān)屬性信息的協(xié)商。本發(fā)明公開了一種基于RSA認(rèn)證的授權(quán)方法，包括用戶端與網(wǎng)絡(luò)側(cè)進(jìn)行RSA認(rèn)證；認(rèn)證完成后，用戶端與網(wǎng)絡(luò)側(cè)分別通過預(yù)主授權(quán)密鑰直接或間接推演出授權(quán)密鑰，并由授權(quán)密鑰推演出授權(quán)過程中的完整性保護(hù)密鑰；用戶端與網(wǎng)絡(luò)側(cè)完成授權(quán)過程。應(yīng)用本發(fā)明所述的方法，克服了目前所述授權(quán)方法在邏輯上造成混亂且影響系統(tǒng)的可擴(kuò)展性以及在所有認(rèn)證完成前部分授權(quán)就開始進(jìn)行而違背了安全性原則等缺點(diǎn)。文檔編號H04L9/32GK101166090SQ20061014025公開日2008年4月23日申請日期2006年10月20日優(yōu)先權(quán)日2006年10月20日發(fā)明者峰田申請人:中興通訊股份有限公司