[发明专利]一种基于多重认证以及RSA认证的授权方法

权利要求书

1.一种基于多重认证的授权方法，用于通信系统中，该通信系统包括：用户端、接入设备、认证服务器，其中，所述用户端属于用户侧，所述接入设备和认证服务器属于网络侧，其特征在于，该方法包括：

(1)在前N重认证过程中，用户端与网络侧在每重认证过程中分别执行认证过程，并在认证过程中协商出一个双方共享的共享密钥SKi；

(2)用户端与认证服务器分别从各重认证过程中所协商出的共享密钥推演出共享的授权密钥；

(3)认证服务器将授权密钥发送给接入设备；

(4)认证服务器和接入设备分别通过授权密钥直接或间接的推演出授权过程中所需要的完整性保护密钥；

(5)用户端与接入设备协商安全关联的相关属性信息。

2.如权利要求1所述的方法，其特征在于，步骤(1)所述的N重认证过程，不是每一重认证过程都需要认证双方协商出一个共享的SKi，但必须有部分认证过程协商出SKi。

3.如权利要求2所述的方法，其特征在于，步骤(1)中所述的i是指N重认证中的第i重认证，i大于等于1。

4.如权利要求1所述的方法，其特征在于，所述步骤(3)进一步包括，所述授权密钥被用户端与接入设备共享。

5.如权利要求1所述的方法，其特征在于，所述步骤(5)进一步包括，协商过程中的所有消息都使用完整性保护密钥进行完整性保护。

6.一种如权利要求1所述的通信系统中基于RSA认证的授权方法，其特征在于，包括：

(1)用户端与网络侧进行RSA认证，包括：

(11)用户端将认证信息及授权请求消息发送给网络侧；

(12)网络侧接收到用户端的授权请求消息后，向用户端发送授权响应消息；

(2)认证完成后，用户端与网络侧分别通过预主授权密钥直接或间接推演出授权密钥，并由授权密钥推演出授权过程中的完整性保护密钥；

(3)用户端与网络侧完成授权过程，包括：

(31)网络侧向用户端发送消息，指示双方开始协商安全关联的相关属性信息；

(32)用户端向网络侧发送响应消息；

(33)网络侧在接收到用户端的消息后，向其发送确认消息。

7.如权利要求6所述的方法，其特征在于，步骤(2)所述间接推演是指先通过预主授权密钥推演出主授权密钥，然后再通过主授权密钥推演出授权密钥。

8.如权利要求6所述的方法，其特征在于，步骤(11)所述认证信息包含颁发用户侧证书的用户端生产厂商的证书信息，所述授权请求消息包含用户侧的证书信息。

9.如权利要求6所述的方法，其特征在于，步骤(12)所述授权响应消息包含网络侧的证书信息、预主授权密钥。

10.如权利要求6所述的方法，其特征在于，所述步骤(3)进一步包括，在授权过程中用户端与网络侧双方协商出本次通信中使用的主安全关联和静态安全关联的相关属性信息，并在该授权过程中使用完整性保护密钥保护消息的完整性。

11.如权利要求6所述的方法，其特征在于，步骤(32)所述的响应消息包含用户端支持的安全能力信息。

12.如权利要求6所述的方法，其特征在于，步骤(33)所述的确认消息包含网络侧与用户端所协商出的安全关联的相关属性信息。