[发明专利]一种基于多重认证以及RSA认证的授权方法

说明书

技术领域

本发明涉及通信系统中的安全领域，尤其涉及一种基于多重认证以及RSA认证的授权方法。

背景技术

随着计算机技术和通信技术的发展，以固定网络系统、无线通信系统和移动通信为代表的通信系统已深入人们的生活。为了保证通信系统的可运营、可管理和可计费，防止非法用户访问网络所提供的服务，通信系统必须对接入的设备和用户进行授权。授权是指允许用户进行某项行为，如允许用户访问接入网络、访问网络所提供的某项服务等。

为了防止非法用户访问网络提供的服务，一个在用户端与网络侧存在一个或多个连接的通信系统通常采取以下措施：对每个连接上传送的数据使用加密算法对其进行加密处理，由于不同的连接上所传送数据的重要性不同，不同的连接按照一定策略采用不同的加密算法和完整性保护算法。通常加密算法与完整性保护算法的组合称为加密套件，加密套件及其使用的密钥、初始向量等安全信息的集合称为安全关联(SA)。在这类通信系统中，用户只要获取了SA就能够访问网络，因此对用户的授权也可以理解为给用户分配SA的使用权。

网络给用户分配SA的使用权通常是通过以下方式实现的：

1.网络侧与授权的用户端以一定策略协商出一个共享的AK(授权密钥)，并协商通信中使用的SA的相关属性(包括SA标识号SAID、SA所使用的安全套件)。

2.网络侧和用户侧协商各SA的密钥TEK(通信加密密钥)，其中TEK由AK或者AK推演出来的密钥保护。

3.SA被映射到不同的连接上，连接上传送的数据使用映射在其上的SA进行保护。

通过上述方法，网络侧与其授权的用户协商出了只有双方才能使用的SA，用户就能通过这些SA与网络侧进行通信，因此可以将上述过程归属到网络侧对用户端的授权过程。

在通信系统中，授权是以认证为基础的，认证的目的是保证用户身份属实。只有通过认证并拥有一定权限的用户，系统才会对他进行授权。认证与授权通常需要通过一定的策略绑定在一起，使得它们之间呈现出一种紧耦合或者松耦合的关系。

实现认证与授权紧耦合的方式通常是将认证与授权在同一个过程中实现，即在用户端与网络侧进行认证的同时，网络侧根据认证的结果对用户端进行授权，并分发AK、协商SA等相关的授权属性。例如在802.16e中，用户端与网络侧之间支持基于RSA认证的授权，在该过程中，认证与授权在同一个过程中完成。在松耦合的方式中，认证与授权分别在两个相对独立的过程中实现，即用户端与网络侧先在认证过程中完成认证，用户端与网络端之间会生成一个共享的SK(share key，共享密钥)，然后双方启动授权过程，协商AK，并通过SK将认证过程与授权过程绑定在一起。

当前，通信系统的授权大多基于单重认证，分别通过上述两种方式实现。但是对于基于多重认证的授权，则出现了混乱，原因是这些系统后向兼容以前基于单重认证的版本，出现了认证与授权之间紧耦合与松耦合交错的局面，造成部分授权在所有认证完成前就开始进行，这不符合安全原则，因为认证是授权的基础，只有在所有认证完成后，才能确认用户是否合法，进而对用户进行授权。同时，这种授权方法还在逻辑上造成混乱，而且严重影响了系统的可扩展性，特别当某些通信系统既支持基于RSA认证的授权，又支持基于多重认证的授权时，更给授权过程带来了复杂性，因此就需要设计出一种基于RSA认证以及基于多重认证的授权方法。

发明内容

本发明所要解决的技术问题在于提供一种通信系统中基于多重认证以及RSA认证的授权方法，以克服目前所述授权方法在逻辑上造成混乱且影响系统的可扩展性以及在所有认证完成前部分授权就开始进行从而违背了安全性原则等缺点。

为了解决上述技术问题，本发明提供了一种通信系统中基于多重认证的授权方法，所述通信系统包括：用户端、接入设备、认证服务器，其中，所述用户端属于用户侧，所述接入设备和认证服务器属于网络侧，该方法包括：

(1)在前N重认证过程中，用户端与网络侧在每重认证过程中分别执行认证过程，并在认证过程中协商出一个双方共享的共享密钥SKi；

(2)用户端与认证服务器分别从各重认证过程中所协商出的共享密钥推演出共享的授权密钥；

(3)认证服务器将授权密钥发送给接入设备；

(4)认证服务器和接入设备分别通过授权密钥直接或间接的推演出授权过程中所需要的完整性保护密钥；

(5)用户端与接入设备协商安全关联的相关属性信息。

其中，步骤(1)所述的N重认证过程，不是每一重认证过程都需要认证双方协商出一个共享的SKi，但必须有部分认证过程协商出SKi。