[发明专利]基于多重认证的重授权方法

说明书

技术领域

本发明涉及通信系统的安全领域的授权方法，尤其涉及基于多重认证的重授权方法。

背景技术

在固定网络、无线通信和移动通信系统中，为了保证通信系统的可运营、可管理和可计费，防止非授权的用户接入网络，通信系统必须对接入的设备和用户进行认证授权，身份认证是授权的基础，在认证过程中，接入设备和用户向通信系统提供自己的身份，只有通过认证的设备和用户才能接入系统。

认证按其认证的层次可以分为单重认证和多重认证。在单重认证中，认证双方只需要进行一次认证。在多重认证中，认证双方先后进行多次认证，每次认证可能分别基于不同的目的，针对不同的对象。例如在无线城域网中，设备进入网络时，网络端通常要认证接入用户端的设备和用户，只有在接入用户端使用合法设备并具备合法用户身份的情况下，才允许其接入网络，使用网络资源，访问网络提供服务。

对于一个n(n＞1)重认证，首先用户端与网络端采用单重认证方法实现第一重认证，认证成功后协商出第一个共享的主密钥PK1和其生命期PK1_lifetime。其次，用户端与网络端完成后续的n-1重认证过程。后续的n-1重认证中，有些单重认证完成后协商出共享的主密钥，有些单重认证完成后不协商出共享的主密钥。经过n重认证后，用户端与网络端根据n重认证过程中协商出来的主密钥按照一定的策略推演出共享的授权密钥AK。

在多重认证过程中，由于每重认证过程和目的都不同，每次认证过程协商出的主密钥的生命期相差很大，并且AK生命期的确定方式与重授权过程有着直接的联系，因此目前对于AK生命期的确定方式与重授权过程有很多不同的见解：

一种是AK的生命期是n重认证过程协商出来的这些主密钥生命期的最小值。AK生命期到期后，重授权过程只需要完成最后一重单认证过程，不需要完成整个n重认证。这种重授权过程忽略了前n-1重认证过程，如果用户的权限发生改变或者主密钥被泄漏，需要执行前n-1重认证过程中的某些单重认证过程，则无法利用重授权过程来完成。

另一种是AK的生命期是由管理员在n重认证之前就预先配置的，与协商出来的这些主密钥的生命期无关，重授权过程需要完成整个n重认证的过程。这种做法不管n重认证中任意一重单认证过程的主密钥是否过期，在重授权过程中都必须执行，因此造成系统资源的消耗。

发明内容

为了克服上述问题，本发明的目的在于提出一种节省系统资源消耗的基于多重认证的重授权方法。

为达到上述目的，本发明一种基于多重认证的重授权方法，包括如下步骤：

(1)用户端与网络端的n重认证完成后，如果任意一个单认证过程协商出的主密钥过期，则发起重授权过程；所述n为自然数；

(2)执行所述重授权过程；

(3)所述重授权过程完成后，用户端和网络端协商出新的主密钥和其生命期，旧的主密钥失效，新的主密钥被激活；

(4)用户端和网络端根据新的主密钥重新计算授权密钥，旧的授权密钥失效，新的授权密钥将被激活。

进一步地，所述步骤(2)具体为：执行所述主密钥过期的单重认证对应的重授权过程。

进一步地，所述步骤(2)具体为：执行从所述主密钥过期的单重认证到第n重认证的每一重认证对应的重授权过程。

进一步地，所述的重授权过程由用户端发起或由网络端发起。

进一步地，所述的用户端为移动工作站，所述的网络端为基站或认证授权服务器。

本发明通过在n重认证过程中，任意一单重认证的主密钥过期，就会发起该主密钥过期的单重认证的重授权过程，或者从该主密钥过期的单重认证到第n重认证的每一重认证的重授权过程，从而完成主密钥过期的认证过程。使每个主密钥过期后其单重认证过程和主密钥都得到更新，并且由于重授权过程不需要每次都完成整个n重认证过程，因此大大减少了对系统资源的消耗。

附图说明

图1是多重认证的重授权过程中完成单认证的流程图；

图2是多重认证的重授权过程中完成多重认证的流程图；

图3是本发明方法在IEEE802.16e中具体实施的重授权过程的流程图。

具体实施方式

下面结合附图对本发明的方法做进一步详细的说明：本发明主要通过用户端和网络端分别独立地管理n重认证过程中协商出来的主密钥生命期，如果这些主密钥中任意一个主密钥的生命期到期后，就发起重授权。使每个主密钥过期后其单重认证过程和主密钥都得到更新，且由于重授权过程不需要每次都完成整个n重认证过程，因此大大减少了对系统资源的消耗。