[发明专利]一种服务访问认证方法和系统

权利要求书

1、一种服务认证密钥产生方法，其特征在于，该方法包括：

用户设备和密钥生成器利用信任关系生成在预设的生命周期内有效的服务认证密钥层次中的预备密钥，并进行保存；

用户设备访问服务器时，用户设备和密钥生成器根据当前生命周期内有效的服务认证密钥层次中的预备密钥、用户设备信息和服务器信息，生成用户设备和服务器共享的服务认证密钥层次中的服务认证密钥。

2、根据权利要求1所述的方法，其特征在于，

当用户设备访问服务器时，由服务器触发用户设备和密钥生成器执行所述生成并保存预备密钥的操作；或者，

用户设备和密钥生成器每隔所述预设的生命周期执行所述生成并保存预备密钥的操作。

3、根据权利要求1所述的方法，其特征在于，

所述生命周期为用户设备的接入认证周期；

所述利用信任关系生成并保存服务认证密钥层次中的预备密钥为：利用用户设备的接入认证过程生成并保存所述预备密钥。

4、根据权利要求1所述的方法，其特征在于，

所述利用信任关系生成并保存服务认证密钥层次中的预备密钥为：利用引导过程生成所述预备密钥。

5、根据权利要求1所述的方法，其特征在于，所述用户设备和密钥生成器生成所述服务认证密钥包括：

用户设备向要访问的服务器发送服务请求，并在该请求中携带生成预备密钥时一并生成的预备密钥标识，服务器根据该服务请求，向密钥生成器发送携带所述预备密钥标识的服务认证密钥请求；

用户设备和密钥生成器根据接收的服务认证密钥请求中的预备密钥标识确定本次生成服务认证密钥所使用的服务认证密钥层次，并根据当前生命周期内有效的该服务认证密钥层次的预备密钥、请求服务的用户设备信息和要访问的服务器信息，生成服务认证密钥。

6、根据权利要求1所述的方法，其特征在于，该方法进一步包括：预先将具有相同安全级别的服务器划分为一个服务器组，根据每个服务器组的安全级别，设置该服务器组对应的生命周期；

所述利用信任关系生成并保存服务认证密钥层次中的预备密钥为：按照不同服务器组对应的生命周期，利用信任关系生成该生命周期内服务认证密钥层次中的预备密钥，并与所述不同服务器组对应保存。

7、根据权利要求6所述的方法，其特征在于，所述用户设备和密钥生成器生成所述服务认证密钥包括：

用户设备向要访问的服务器发送服务请求，并在该请求中携带与要访问的服务器所在服务器组对应的预备密钥生成时一并生成的预备密钥标识，服务器根据该服务请求，向密钥生成器发送携带预备密钥标识的服务认证密钥请求；

用户设备和密钥生成器根据接收的服务认证密钥请求中的预备密钥标识确定本次生成服务认证密钥所使用的服务认证密钥层次，并根据当前生命周期内有效的该服务认证密钥层次的预备密钥、请求服务的用户设备信息和要访问的服务器信息，生成服务认证密钥。

8、根据权利要求5或7所述的方法，其特征在于，若用户设备访问服务器时，由服务器触发用户设备和密钥生成器执行所述生成并保存预备密钥的操作，则

在所述服务器向密钥生成器发送服务认证密钥请求后、用户设备和密钥生成器生成服务认证密钥前，该方法进一步包括：判断是否存在当前生命周期内有效的预备密钥，若存在，则获取该预备密钥，并执行所述生成服务认证密钥的操作；否则，触发用户设备和密钥生成器生成并保存当前生命周期内有效的预备密钥，再执行所述用户设备和密钥生成器生成服务认证密钥的操作。

9、根据权利要求8所述的方法，其特征在于，所述触发用户设备和密钥生成器生成并保存当前生命周期内有效的预备密钥为：密钥生成器将不存在当前生命周期内有效预备密钥的消息直接发送给用户设备或通过所述服务器转发给用户设备，用户设备发起利用信任关系生成所述预备密钥的过程。

10、根据权利要求5或7所述的方法，其特征在于，所述预备密钥为单个密钥或多层密钥。

11、根据权利要求10所述的方法，其特征在于，所述多层密钥为包括根密钥和中间密钥的两层密钥，所述根密钥为扩展认证协议EAP认证过程中产生的扩展主会话密钥EMSK，所述中间密钥为根据EMSK生成的应用密钥AK。