Nothing Special   »   [go: up one dir, main page]

CN102083066B - 统一安全认证的方法和系统 - Google Patents

统一安全认证的方法和系统 Download PDF

Info

Publication number
CN102083066B
CN102083066B CN200910246722.4A CN200910246722A CN102083066B CN 102083066 B CN102083066 B CN 102083066B CN 200910246722 A CN200910246722 A CN 200910246722A CN 102083066 B CN102083066 B CN 102083066B
Authority
CN
China
Prior art keywords
ass
terminal
identity information
authentication
iic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200910246722.4A
Other languages
English (en)
Other versions
CN102083066A (zh
Inventor
颜正清
张世伟
符涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN200910246722.4A priority Critical patent/CN102083066B/zh
Priority to PCT/CN2010/075667 priority patent/WO2011063658A1/zh
Publication of CN102083066A publication Critical patent/CN102083066A/zh
Application granted granted Critical
Publication of CN102083066B publication Critical patent/CN102083066B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明统一安全认证的方法包括:A、认证中心(AC)对应用服务器(ASS)进行认证后建立与所述ASS之间的安全通道;B、所述AC对终端进行认证后,所述终端访问所述ASS;C、需要对所述终端二次认证时,所述ASS向所述AC获取所述终端的身份信息,并根据所述AC通过所述安全通道返回的所述终端的身份信息进行二次认证。本发明统一安全认证的方法和系统可以保证二次认证的安全性。

Description

统一安全认证的方法和系统
技术领域
本发明涉及移动通讯领域和互联网领域,涉及一种统一安全认证的方法和系统。
背景技术
各种各样的认证帐号以及各种各样的身份信息,如论坛注册信息,让人们很容易就忘记和丢失已注册的帐号或者注册的身份信息。为了解决这样的问题,现在很多统一认证登录(或者叫单点认证和登录)技术在各政府,企业和学校等机构广泛使用。
统一认证和登录技术是指用户只需要记住一对帐号和密码,只要登录一次,便可以直接访问各种各样的应用服务。统一登录技术的好处如下:
减少了用户依次对各个应用进行登录的操作时间,从而降低了人工操作的失误率;
减少了用户需要记忆的帐号和密码对,从而提高了系统的安全性;
对多个应用统一身份管理,方便了系统管理员对用户身份的管理操作,提高了系统的反馈性能。
统一认证和登录技术在目前来看具有很大的优越性。但对于某些需要二次认证的敏感业务来说,仍然存在需要终端参与的认证过程,从而无法从根本上实现统一认证,另外其安全性也无法得到很好的保证。
发明内容
本发明要解决的技术问题是提供一种统一安全认证的方法和系统,以保证二次认证的安全性。
为解决以上技术问题,本发明提供一种统一安全认证的方法,该方法包括:
A、认证中心(AC)对应用服务器(ASS)进行认证后建立与所述ASS之间的安全通道;
B、所述AC对终端进行认证后,所述终端访问所述ASS;
C、需要对所述终端二次认证时,所述ASS向所述AC获取所述终端的身份信息,并根据所述AC通过所述安全通道返回的所述终端的身份信息进行二次认证。
进一步地,步骤A中所述AC与所述ASS建立安全通道的流程包括:
A1、所述AC向所述ASS发起安全通道协商请求,其中携带安全通道类型;
A2、所述ASS向所述AC发送安全通道协商响应,其中携带加密认证参数;
A3、所述AC收到所述ASS的响应消息后,向所述ASS返回确认消息。
进一步地,所述身份信息中心(IIC)预置各应用服务器及终端的类型信息,所述AC对所述ASS或终端进行认证后,向所述IIC查询认证对象的类型,若IIC回复所述认证对象是应用服务器,再建立所述安全通道。
进一步地,所述IIC存储各ASS的权限级别信息,且各终端的身份信息以分级的方式进行存储;步骤C中,所述ASS获取的身份信息是与所述ASS的权限级别相应级别的所述终端的身份信息。
进一步地,所述终端的身份信息包括注册信息和业务信息,是所述终端在所述ASS注册或订购业务后由所述ASS经所述AC发送到所述IIC的。
进一步地,所述方法基于用户身份标识和位置分离网络实现,所述ASS及所述终端均具有全网唯一的接入身份标识(AID),步骤C具体包括:
所述终端向所述ASS申请需要二次认证的业务时,所述ASS向所述AC发送终端身份信息查询请求,其中携带所述ASS的AID及所述终端的AID;
所述AC向所述IIC转发所述查询请求,所述IIC根据所述ASS的AID查询所述ASS的权限级别以及根据所述终端的AID查询所述终端的身份信息,向所述AC发送查询响应,其中携带所述ASS的权限级别对应的所述终端的相应的身份信息;
所述AC通过所述安全通道将所述查询响应转发给所述ASS;
所述ASS根据所述AC返回的所述终端的身份信息进行二次认证。
为解决以上技术问题,本发明还提供一种统一安全认证的系统,该系统包括通过网络连接的应用服务器(ASS)、认证中心(AC)及身份信息中心(IIC),其中,
所述ASS包括相连接的接入认证模块、安全通道协商模块及二次认证模块,其中,所述接入认证模块用于与所述AC交互完成接入认证;所述安全通道协商模块用于与所述AC协商建立安全通道;所述二次认证模块,用于向所述AC请求获取需二次认证的终端的身份信息,以及根据获取的所述终端的身份信息进行二次认证;
所述AC包括相连接的认证模块、安全通道协商模块及终端身份信息转发模块,其中,所述认证模块用于对所述终端及应用服务器进行认证;所述安全通道协商模块用于与所述ASS协商建立安全通道;所述终端身份信息转发模块,用于根据所述ASS的请求将从所述IIC获取所述终端的身份信息通过所述安全通道转发给所述ASS;
所述IIC,用于保存终端的身份信息以及向所述AC提供所述身份信息。
进一步地,所述IIC还用于保存所述ASS及终端的类型信息;所述AC还包括与所述认证模块和安全通道协商模块连接的认证对象识别模块,用于根据接入认证对象的标识信息从所述IIC获取所述认证对象的类型,当认证对象的类型是ASS时,还用于通知所述安全通道协商模块发起安全通道协商流程。
进一步地,所述终端的身份信息以分级的方式存储;所述IIC还保存所述ASS的权限级别信息;所述ASS获取的所述终端的身份信息是与所述ASS的权限级别相应级别的所述终端的身份信息。
进一步地,所述系统基于用户身份标识和位置分离网络实现,所述ASS及所述终端均具有全网唯一的接入身份标识(AID),所述ASS的二次认证模块向所述AC请求获取需二次认证的终端的身份信息时,向所述AC发送终端身份信息查询请求,其中携带所述ASS的AID及所述终端的AID;
所述AC的终端身份信息转发模块向所述IIC转发所述查询请求,所述IIC向所述AC提供所述身份信息时,先根据所述ASS的AID查询所述ASS的权限级别以及根据所述终端的AID查询所述终端的身份信息,再向所述AC发送查询响应,其中携带所述ASS的权限级别对应的所述终端的相应的身份信息。
本发明统一安全认证的方法和系统通过在ASS和AC之间建立安全通道,AC通过该安全通道向ASS发送终端相关身份信息,以便ASS对终端访问的敏感业务进行二次认证,从而在的统一认证的基础上,保证终端身份信息不会在认证过程中被截获,提高了终端业务的安全性。另外对用户身份信息以及ASS的身份信息读取权限进行分级,从而保证ASS不会获取到超出权限的身份信息。相对于以前IP网络的统一认证技术,采用身份标识和位置分离架构网络实现本发明方法和系统,可以利用利用用户AID的全网唯一性,实现承载和业务进行统一安全认证,不再局限与小范围应用层的单点认证和登陆。
附图说明
图1是本发明统一安全认证的方法示意图。
图2是实现本发明统一安全认证的SILSN的系统架构图。
图3是本发明终端身份信息分级存储的示意图。
图4是本发明认证中心对应用服务器进行认证的认证流程示意图。
图5是本发明终端访问敏感业务的二次认证流程示意图。
图6是本发明统一安全认证的系统示意图。
具体实施方式
本发明统一安全认证的主要思想是在认证中心(Authentication Center,AC)和应用服务器(Application Server System,ASS)之间建立安全通道,认证中心通过该安全通道向应用服务器发送终端相关身份信息,以便应用服务器对终端访问的敏感业务进行二次认证,从而在实现统一认证的基础上,保证终端业务的安全性。
如图1所示,本发明统一安全认证的方法包括:
步骤101:认证中心(AC)对应用服务器(ASS)进行认证后建立与所述ASS之间的安全通道;
步骤102:所述AC对终端进行认证后,所述终端访问所述ASS;
所述身份信息中心(IIC)预置各应用服务器及终端的类型信息,AC对ASS或终端进行认证后,向所述IIC查询认证对象的类型,若IIC回复所述认证对象是应用服务器,再建立所述安全通道。
本发明方法和系统适用于现有通信网络。在现有通信网络中,AC根据ASS或终端的标识信息(如用户名)向IIC查询确认该认证对象的类型(ASS或普通终端),如果ASS,AC再与ASS协商建立安全通道。
建立安全通道时,AC和ASS协商的内容包括安全通道类型,加密和认证参数等等。
步骤103:需要对所述终端二次认证时,所述ASS向所述AC获取所述终端的身份信息,并根据所述AC通过所述安全通道返回的所述终端的身份信息进行二次认证。
所述IIC存储各ASS的权限级别信息,且各终端的身份信息以分级的方式进行存储;步骤C中,所述ASS获取的身份信息是与所述ASS的权限级别相应级别的所述终端的身份信息。
举例来说,终端身份信息可以分三个级别存储,分别是机密信息,秘密信息和公开信息。终端身份信息的查询必须根据查询者的读取权限进行。进一步说明,监管机构,即公安等国家机构,可以查询终端信息表中所有级别的信息,而其它一些查询者,如应用服务器等可以根据自身查询级别查询用户的其它级别身份信息。
所述终端的身份信息包括注册信息和业务信息,是所述终端在所述ASS注册或订购业务后由所述ASS经所述AC发送到所述IIC的。
建立安全通道并通过安全通道来传输用于二次认证的身份信息,虽然在实现统一认证的基础上进一步保证了业务认证的安全性,但仍存在以下缺点:
(1)由于该技术需要应用层软件支持,只能在小范围内部署,如企业内部资源统一认证和登录,政府政务系统统一认证和登录等等,但无法做到跨企业,跨机构的统一认证和登录。
(2)由于IP地址存在身份和位置的二义性,也就是说IP地址无法确定一个用户的身份,使得该技术无法做到承载(网络层)和业务(应用层)统一登录认证。
为了实现承载业务统一安全认证,本发明还提供了一种基于用户身份标识和位置分离架构的网络实现方法和系统,为描述方便,下文将此用户身份标识和位置分离网络简称为SILSN(Subscriber Identifier & Locator SeparationNetwork)。以下结合图2对SILSN进行说明。
图2所示网络有如下特征:此网络内每个用户只有经过严格认证才能接入,用户在发送每个数据包时,都同时携带自己的真实接入身份标识AID,此符号仅分配给该用户使用且全网唯一,用户在各种业务中所发送的数据包都一直携带此标识符,用户发送的每个数据包都必须经过接入服务器ASN验证,保证用户发出的数据包携带的是自己的接入身份标识,不会假冒其他用户AID接入网络,并且此标识符在网内传送时将一直保持不变,当用户在移动或切换时,此标识符也不会发生变化。
如图2所示的身份标识和位置分离架构网络由接入服务器ASN(AccessService Node)和用户终端UE(User Equipment)、身份标识和位置登记寄存器ILR(Identification & Location Register)、身份信息中心IIC(IdentificationInformation Center)和认证中心(Authentication Center,AC)等组成。其中:
UE存在唯一的接入身份标识(Access Identification,AID);
接入服务器ASN用来接入用户终端设备UE,负责为用户终端实现接入,并承担计费、切换等功能;
ILR承担用户的位置注册和身份识别功能;
AC用于对终端和应用服务器进行严格认证,同时对应用服务器的权限进行人为定义;同时认证中心与应用服务器之间需要建立安全通道,防止在传输过程中,身份信息被攻击者截获。另外,需要确认其对其它终端身份的读取的权限界别;
IIC用于保存提前录入的终端和ASS的身份信息,ASS的身份信息包括其权限级别,终端的身份信息在IIC中分级存储,用以应对不同权限级别的ASS的查询;终端信息表根据终端的AID进行检索。
IIC也可以分机密信息,秘密信息和公开信息三个级别来存储终端身份信息,如图3所示。比如机密信息由网络管理者事先人工录入,秘密信息通常是用户订购的SID等通常是付费之类的用户信息,由ASS发送到AC并送IIC保存。而公开信息通常是用户的一些兴趣爱好之类,也是用户注册填写,由ASS发送到AC并送IIC保存。秘密信息和公开信息由ASS发送,并分别做不同的标记,便于AC和IIC识别。具体实现中可以根据实际情况添加或者减少级别。
IIC和AC可以分开设置也可以合并设置,其对本发明的实现没有影响。
ASS(Application Server System)是位于SILSN网络的应用服务器(如网页服务、邮件服务和银行服务等等),UE是ASS的用户。终端在ASS注册成功或业务(如视频,技术资料等付费业务)订购成功后,ASS会将该用户的身份信息以及订购信息经认证中心发送到IIC存储。
终端成功接入网络,经过认证中心的严格认证之后,如果访问ASS的业务,ASS只需要查询本地数据库看该终端是否订购该业务。如果该业务属于敏感业务,则ASS将会通过AC向IIC查询该终端的身份信息,身份信息中心IIC根据应用服务器的ASS身份信息权限级别将相应级别的身份信息发送给ASS,ASS据此进一步步确认该终端的真实身份,实现二次认证。
用户接入网络时通过AC进行承载和业务统一严格认证,无需再进行业务认证。这里所说的严格认证也可称为接入认证,是指SILSN网络的AC对用户身份的认证,保证其合法才能允许该用户接入网络。典型的有,在移动网络中,UE的AID与SIM卡绑定,SIM卡中预存有密钥K。而在AC同样存有该UE的AID与密钥K。UE在接入时,只需要采用AKA(Authenticationand Key Agreement)机制进行接入认证,可以有效的防止SIM卡被复制。当然也可以采用其他认证方式,如共享密钥认证等等。
下面根据附图介绍各实施例。需要说明的是,本发明内容可以用以下实施例解释,但不限于以下的实施例。下面给出具体说明。
图4所示为认证中心AC对ASS的认证流程。在该实施例中,AC对ASS进行接入认证和身份识别。识别出其身份为ASS,则与ASS之间建立安全通道。具体包括以下步骤:
S400:认证中心携带ASS的AID,向身份信息中心IIC发送AID类型查询报文;
在ASS通过接入认证(承载层认证)之后,认证中心读取ASS的AID。
S410:IIC根据AID查询到其类型,返回查询响应报文,说明该AID属于ASS;
S420,AC向ASS发起安全通道协商请求,携带安全通道类型;
AID类型分为服务器和普通终端两种,AC接收到响应报文,得知该AID的类型是ASS,则向ASS发起安全通道协商流程。协商的内容包括安全通道类型,加密和认证参数等等。
S430:ASS响应安全通道协商请求消息;
如果ASS不支持该安全通道类型,则返回表示不支持的消息;如果支持该安全通道类型,ASS则返回响应消息,同时携带加密认证等参数。
S440,AC收到ASS的响应消息,向ASS返回确认消息。
安全通道协商流程结束,AC和ASS之间建立安全通道。
本发明不限定义安全通道的类型,如IPSec IP Security、TLS TransportLayer Security均适用。
图5所示为终端访问敏感业务时,ASS对终端进行的加强认证流程。
由于终端AID的唯一性,承载与业务统一认证,使得一旦终端在已通过承载认证的情况下遭到盗用,用户的业务将无防范措施。对于用户的一些重要业务,需进行加强保护。当用户访问ASS上的敏感业务,如用户通过网络访问银行业务,进行转账等敏感操作,ASS需要对用户进行进一步的认证。
UE通过AC的统一认证之后,除需要二次认证的敏感业务外,其他在AC认证过的ASS上的业务(如E-MAIL、BBS)都可以直接访问。
如图5所示,UE已通过承载接入认证,ASS也已经通过接入认证,且与AC已建立安全通道。
UE与AC完成认证后,AC也要向IIC查询UE的AID的类型,因查询其类型为普通终端,故不需要建立安全通道。
二次认证的流程包括:
S500:UE向ASS发送业务请求;
UE向ASS申请敏感业务,如,UE要求进行银行转账操作。UE填写一些私人身份信息,如用户银行卡密码。
S510:ASS收到该业务请求,向AC发送UE身份信息查询请求,其中携带UE的AID以及该ASS的AID;
ASS判断UE申请敏感业务,则向AC查询该UE部分身份信息,用以与用户提交的个人信息进行比较认证。
S520:AC向IIC转发查询信息;
S530:IIC接收到AC转发的身份查询消息,识别ASS的身份,并根据ASS的AID查得该ASS的权限级别,IIC根据查询消息中携带的UE的AID查得UE的身份信息,并根据ASS的查询权限,将ASS可以读取的UE身份信息发送到AC;
S540:AC通过建立的安全通道将IIC的响应消息转发给ASS;
S550:ASS接收到IIC的响应消息,读取UE身份信息,与UE提交的个人身份信息进行比较,如果身份信息一致,则向UE发送操作成功的消息;如果不一致,则向UE发送拒绝消息。
业务操作流程结束。
为实现以上方法,本发明还提供一种统一安全认证的系统,如图6所示,该系统包括通过网络连接的应用服务器(ASS)、认证中心(AC)及身份信息中心(IIC),其中,
ASS包括相连接的接入认证模块、安全通道协商模块及二次认证模块,其中,所述接入认证模块用于与所述AC交互完成接入认证;所述安全通道协商模块用于与所述AC协商建立安全通道;所述二次认证模块,用于向所述AC请求获取需二次认证的终端的身份信息,以及根据获取的所述终端的身份信息进行二次认证;
AC包括相连接的认证模块、安全通道协商模块、终端身份信息转发模块及认证对象识别模块,其中:
所述认证模块用于对所述终端及应用服务器进行认证;所述安全通道协商模块用于与所述ASS协商建立安全通道;所述终端身份信息转发模块,用于根据所述ASS的请求将从所述IIC获取所述终端的身份信息通过所述安全通道转发给所述ASS;
认证对象识别模块,用于根据接入认证对象的标识信息从所述IIC获取所述认证对象的类型,当认证对象的类型是ASS时,还用于通知所述安全通道协商模块发起安全通道协商流程。
所述IIC,用于保存终端的身份信息以及向所述AC提供所述身份信息,且终端的身份信息以分级的方式存储。
所述IIC还用于保存所述ASS及终端的类型信息,以及所述ASS的权限级别信息;
所述IIC还保存所述ASS获取的所述终端的身份信息是与所述ASS的权限级别相应级别的所述终端的身份信息。
为了实现承载和业务的统一安全认证,所述系统可基于用户身份标识和位置分离网络实现,所述ASS及所述终端均具有全网唯一的接入身份标识(AID),所述ASS的二次认证模块向所述AC请求获取需二次认证的终端的身份信息时,向所述AC发送终端身份信息查询请求,其中携带所述ASS的AID及所述终端的AID;
所述AC的终端身份信息转发模块向所述IIC转发所述查询请求,所述IIC向所述AC提供所述身份信息时,先根据所述ASS的AID查询所述ASS的权限级别以及根据所述终端的AID查询所述终端的身份信息,再向所述AC发送查询响应,其中携带所述ASS的权限级别对应的所述终端的相应的身份信息。
本发明所说的ASS包括邮箱、BBS、网络银行等各种业务的应用服务器,但适用于进行图4的二次认证的ASS特指涉及敏感业务对的网络银行或商务交易网站的应用服务器。
本发明统一安全认证的方法和系统通过在ASS和AC之间建立安全通道,AC通过该安全通道向ASS发送终端相关身份信息,以便ASS对终端访问的敏感业务进行二次认证,从而在的统一认证的基础上,保证终端身份信息不会在认证过程中被截获,提高了终端业务的安全性。另外对用户身份信息以及ASS的身份信息读取权限进行分级,从而保证ASS不会获取到超出权限的身份信息。相对于以前IP网络的统一认证技术,采用身份标识和位置分离架构网络实现本发明方法和系统,可以利用利用用户AID的全网唯一性,实现承载和业务进行统一安全认证,不再局限与小范围应用层的单点认证和登陆。

Claims (10)

1.一种统一安全认证的方法,其特征在于,该方法包括:
A、认证中心(AC)对应用服务器(ASS)进行认证后建立与所述ASS之间的安全通道;
B、所述AC对终端进行认证后,所述终端访问所述ASS;
C、需要对所述终端二次认证时,所述ASS向所述AC获取所述终端的身份信息,并根据所述AC通过所述安全通道返回的所述终端的身份信息进行二次认证。
2.如权利要求1所述的方法,其特征在于,步骤A中所述AC与所述ASS建立安全通道的流程包括:
A1、所述AC向所述ASS发起安全通道协商请求,其中携带安全通道类型;
A2、所述ASS向所述AC发送安全通道协商响应,其中携带加密认证参数;
A3、所述AC收到所述ASS的响应消息后,向所述ASS返回确认消息。
3.如权利要求1所述的方法,其特征在于:所述身份信息中心(IIC)预置各应用服务器及终端的类型信息,所述AC对所述ASS或终端进行认证后,向所述IIC查询认证对象的类型,若IIC回复所述认证对象是应用服务器,再建立所述安全通道。
4.如权利要求3所述的方法,其特征在于:所述IIC存储各ASS的权限级别信息,且各终端的身份信息以分级的方式进行存储;步骤C中,所述ASS获取的身份信息是与所述ASS的权限级别相应级别的所述终端的身份信息。
5.如权利要求3所述的方法,其特征在于:所述终端的身份信息包括注册信息和业务信息,是所述终端在所述ASS注册或订购业务后由所述ASS经所述AC发送到所述IIC的。
6.如权利要求3所述的方法,其特征在于:所述方法基于用户身份标识和位置分离网络实现,所述ASS及所述终端均具有全网唯一的接入身份标识(AID),步骤C具体包括:
所述终端向所述ASS申请需要二次认证的业务时,所述ASS向所述AC发送终端身份信息查询请求,其中携带所述ASS的AID及所述终端的AID;
所述AC向所述IIC转发所述查询请求,所述IIC根据所述ASS的AID查询所述ASS的权限级别以及根据所述终端的AID查询所述终端的身份信息,向所述AC发送查询响应,其中携带所述ASS的权限级别对应的所述终端的相应的身份信息;
所述AC通过所述安全通道将所述查询响应转发给所述ASS;
所述ASS根据所述AC返回的所述终端的身份信息进行二次认证。
7.一种统一安全认证的系统,其特征在于,该系统包括通过网络连接的应用服务器(ASS)、认证中心(AC)及身份信息中心(IIC),其中:
所述ASS包括相连接的接入认证模块、安全通道协商模块及二次认证模块,其中,所述接入认证模块用于与所述AC交互完成接入认证;所述安全通道协商模块用于与所述AC协商建立安全通道;所述二次认证模块,用于向所述AC请求获取需二次认证的终端的身份信息,以及根据获取的所述终端的身份信息进行二次认证;
所述AC包括相连接的认证模块、安全通道协商模块及终端身份信息转发模块,其中,所述认证模块用于对所述终端及应用服务器进行认证;所述安全通道协商模块用于与所述ASS协商建立安全通道;所述终端身份信息转发模块,用于根据所述ASS的请求将从所述IIC获取所述终端的身份信息通过所述安全通道转发给所述ASS;
所述IIC,用于保存终端的身份信息以及向所述AC提供所述身份信息。
8.如权利要求7所述的系统,其特征在于:所述IIC还用于保存所述ASS及终端的类型信息;所述AC还包括与所述认证模块和安全通道协商模块连接的认证对象识别模块,用于根据接入认证对象的标识信息从所述IIC获取所述认证对象的类型,当认证对象的类型是ASS时,还用于通知所述安全通道协商模块发起安全通道协商流程。
9.如权利要求7所述的系统,其特征在于:所述终端的身份信息以分级的方式存储;所述IIC还保存所述ASS的权限级别信息;所述ASS获取的所述终端的身份信息是与所述ASS的权限级别相应级别的所述终端的身份信息。
10.如权利要求7所述的系统,其特征在于:所述系统基于用户身份标识和位置分离网络实现,所述ASS及所述终端均具有全网唯一的接入身份标识(AID),所述ASS的二次认证模块向所述AC请求获取需二次认证的终端的身份信息时,向所述AC发送终端身份信息查询请求,其中携带所述ASS的AID及所述终端的AID;
所述AC的终端身份信息转发模块向所述IIC转发所述查询请求,所述IIC向所述AC提供所述身份信息时,先根据所述ASS的AID查询所述ASS的权限级别以及根据所述终端的AID查询所述终端的身份信息,再向所述AC发送查询响应,其中携带所述ASS的权限级别对应的所述终端的相应的身份信息。
CN200910246722.4A 2009-11-26 2009-11-26 统一安全认证的方法和系统 Expired - Fee Related CN102083066B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN200910246722.4A CN102083066B (zh) 2009-11-26 2009-11-26 统一安全认证的方法和系统
PCT/CN2010/075667 WO2011063658A1 (zh) 2009-11-26 2010-08-03 统一安全认证的方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200910246722.4A CN102083066B (zh) 2009-11-26 2009-11-26 统一安全认证的方法和系统

Publications (2)

Publication Number Publication Date
CN102083066A CN102083066A (zh) 2011-06-01
CN102083066B true CN102083066B (zh) 2014-04-09

Family

ID=44065845

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200910246722.4A Expired - Fee Related CN102083066B (zh) 2009-11-26 2009-11-26 统一安全认证的方法和系统

Country Status (2)

Country Link
CN (1) CN102083066B (zh)
WO (1) WO2011063658A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103297437B (zh) * 2013-06-20 2016-03-16 中国软件与技术服务股份有限公司 一种移动智能终端安全访问服务器的方法
CN106610966A (zh) * 2015-10-21 2017-05-03 阿里巴巴集团控股有限公司 一种信息提供方法及装置
CN105873059A (zh) * 2016-06-08 2016-08-17 中国南方电网有限责任公司电网技术研究中心 配电通信无线专网的联合身份认证方法和系统
CN111737499B (zh) * 2020-07-27 2020-11-27 平安国际智慧城市科技股份有限公司 基于自然语言处理的数据搜索方法及相关设备
CN114389896A (zh) * 2022-02-16 2022-04-22 郑州富铭环保科技股份有限公司 一种建立安全数据通讯的方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101018129A (zh) * 2006-12-31 2007-08-15 华东师范大学 公共安全播控媒体管理与识别其完整未被篡改的认证方法
CN101083530A (zh) * 2007-07-13 2007-12-05 北京工业大学 利用短消息实现的移动实体间的认证与密钥协商方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009001447A1 (ja) * 2007-06-27 2008-12-31 Fujitsu Limited 認証方法、認証システム、認証装置及びコンピュータプログラム
CN101150472A (zh) * 2007-10-22 2008-03-26 华为技术有限公司 Wimax中实现认证的方法、认证服务器和终端

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101018129A (zh) * 2006-12-31 2007-08-15 华东师范大学 公共安全播控媒体管理与识别其完整未被篡改的认证方法
CN101083530A (zh) * 2007-07-13 2007-12-05 北京工业大学 利用短消息实现的移动实体间的认证与密钥协商方法

Also Published As

Publication number Publication date
WO2011063658A1 (zh) 2011-06-03
CN102083066A (zh) 2011-06-01

Similar Documents

Publication Publication Date Title
US8572377B2 (en) Method for authentication
US7043230B1 (en) Method and system for multi-network authorization and authentication
US7142840B1 (en) Method and system for multi-network authorization and authentication
CN101569217B (zh) 不同认证基础设施的集成的方法和布置
US7240362B2 (en) Providing identity-related information and preventing man-in-the-middle attacks
CN101951321B (zh) 一种实现身份认证的装置、系统及方法
CN101014958A (zh) 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法
CN101714918A (zh) 一种登录vpn的安全系统以及登录vpn的安全方法
KR20060135630A (ko) 데이터 처리 시스템의 사용자 인증 방법 및 장치
EP2924944B1 (en) Network authentication
CN103503408A (zh) 用于提供访问凭证的系统和方法
EP2957064B1 (en) Method of privacy-preserving proof of reliability between three communicating parties
CN101374050A (zh) 一种实现身份认证的装置、系统及方法
Berbecaru et al. Providing login and Wi-Fi access services with the eIDAS network: A practical approach
WO2007128134A1 (en) Secure wireless guest access
CN101052032B (zh) 一种业务实体认证方法及装置
CN102083066B (zh) 统一安全认证的方法和系统
CN103401686A (zh) 一种用户互联网身份认证系统及其应用方法
RU2354066C2 (ru) Способ и система для аутентификации пользователя системы обработки данных
KR20170070379A (ko) 이동통신 단말기 usim 카드 기반 암호화 통신 방법 및 시스템
KR101133167B1 (ko) 보안이 강화된 사용자 인증 처리 방법 및 장치
JP4097951B2 (ja) 携帯電話端末における利用者認証システム及び方法、並びに利用者認証プログラム
CN113316139B (zh) 无线网络接入方法及无线接入点
CN101742507B (zh) 一种WAPI终端访问Web应用站点的系统及方法
CN101848228A (zh) 用sim卡认证电脑终端服务器isp身份的方法和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20140409

Termination date: 20171126

CF01 Termination of patent right due to non-payment of annual fee