[发明专利]一种授权认证方法、装置以及系统

说明书

技术领域

本发明涉及一种能够在存在多个授权中心的情况下保证合法终端之间的通信的授权认证方法、装置以及系统。

背景技术

在终端与终端之间进行通信时，为了确保通信的安全性，终端之间需要互相认证对方是否为合法设备。一般情况下，终端的合法性借助第三方机构来证明，即终端首先需要向第三方机构登记授权，当该终端被第三方机构授权之后，可以与其它被该第三方机构授权的终端之间进行通信。在此，通信双方可以通过验证对方是否为被同一个第三方机构授权的终端这样的认证过程来证实对方是否为合法终端，如果证实了对方是合法终端则进行通信，否则结束通信。

在如上所述的现有的授权认证方式中，被同一个第三方机构授权的终端之间可以互相通信，而这些终端不能与没有被该第三方机构授权的终端之间进行通信。这样，能够有效地避免非法终端的侵入。

然而，在现有的授权认证方式中，即使是合法终端也有无法通信的问题。例如，当存在多个第三方机构时，如果每一个第三方机构分别管理属于各自的终端，则属于同一个第三方机构的终端之间可以互相进行通信，但不属于同一个第三方机构的合法终端之间则无法进行通信。

因此，需要改变现有的授权认证方式，以方便更多合法终端之间的通信。

在本发明中，这种第三方机构称为授权中心。

发明内容

有鉴于此，本发明的目的在于提供一种授权认证方法、装置以及系统，能够在存在多个授权中心的情况下保证合法终端之间的通信。

为了实现上述目的，本发明提供一种授权认证方法，包括m个授权中心，第一装置通过向所述m个授权中心中的每一个授权中心分别申请授权，从每一个授权中心分别得到授权信息，所述第一装置利用从所述m个授权中心得到的m个授权信息生成第一装置认证信息，并将该生成的第一装置认证信息发送给第二装置，所述第二装置根据来自所述第一装置的第一装置认证信息进行对所述第一装置的认证，其中，所述m为大于等于2的自然数。

较佳地，所述第一装置利用从所述m个授权中心得到的m个授权信息生成第一装置认证信息的步骤包括：所述第一装置分别利用从所述m个授权中心得到的m个授权信息一一对应地生成m个认证信息，所述m个认证信息构成所述第一装置认证信息，所述第二装置根据来自所述第一装置的第一装置认证信息进行对所述第一装置的认证的步骤包括：所述第二装置根据来自所述第一装置的第一装置认证信息中的m个认证信息一一对应地进行m次认证，当m次认证都通过时，对所述第一装置的认证通过，当至少一次认证没有通过时，对所述第一装置的认证失败。

较佳地，对于所述m次认证中的任一次认证来说，第二装置根据认证信息进行认证的步骤包括：所述第二装置根据认证信息计算得到授权验证信息，利用所计算得到的授权验证信息验证所述第一装置是否被相应的授权中心授权，如果上述验证结果为是则认证通过，否则认证失败。

较佳地，所述授权信息是由授权中心对授权给所述第一装置的授权公钥证书进行签名生成的用户私钥，所述第二装置根据认证信息计算得到授权验证信息，利用所计算得到的授权验证信息验证所述第一装置是否被相应的授权中心授权的步骤包括：所述第二装置根据认证信息计算得到公钥证书，比较所计算得到的公钥证书和相应的授权中心授权给所述第一装置的授权公钥证书是否一致，如果一致则认证通过，否则认证失败。

较佳地，所述授权信息是由授权中心对授权给所述第一装置的授权公钥证书进行签名生成的用户私钥。

较佳地，所述第一装置利用从所述m个授权中心得到的m个授权信息生成第一装置认证信息的步骤包括：所述第一装置利用从所述m个授权中心中的第i授权中心得到的第i用户私钥Si生成第i认证信息，其中，i的值分别取1至m，所生成的第1认证信息至第m认证信息构成所述第一装置认证信息，其中，所述第一装置利用从所述m个授权中心中的第i授权中心得到的第i用户私钥Si生成第i认证信息的步骤包括：所述第一装置产生第一随机数Ri和安全熵参数CTi，所述第一装置基于安全熵参数CTi，利用可重组逻辑电路生成安全熵混合数STi，所述第一装置基于第一随机数Ri、安全熵混合数STi、第i用户私钥Si、以及安全熵参数CTi来产生第i认证信息，所述第二装置根据来自所述第一装置的第一装置认证信息进行对所述第一装置的认证的步骤包括：第二装置从所接收到的第一装置认证信息中提取第一装置的第1认证信息至第m认证信息，根据第一装置的第j认证信息计算出第一装置的第j公钥证书GCj’，并利用计算出的第j公钥证书GCj’来认证第一装置，其中j的值分别取1至m。