[发明专利]计算机系统的有效的和安全的认证

权利要求书

1.在客户机计算系统中的一种参与与服务器计算系统的认证的方法，所述方 法包括：

由所述客户机计算系统接收第一服务器请求，所述第一服务器请求至少包括 关于在服务器计算系统采用的认证机制的第一指示以及服务器不重性；

由所述客户机计算系统向所述服务器计算系统发送第一应答，所述第一应答 包括客户机公开密钥、客户机不重性以及包含在来自所述服务器计算系统的第一指 示中的且同样在所述客户机计算系统采用的选择的一组认证机制；

识别能用于加密在所述客户机计算系统和所述服务器计算系统之间传送的内 容的隧道密钥，所述隧道密钥包括会话密钥和所述服务器不重性及客户机不重性串 接后的散列；

接收包括加密的认证内容的第二服务器请求，所述加密的认证内容是用所述 隧道密钥加密的且包括服务器查问、相互采用的认证机制以及信任锚；

用所述隧道密钥对所述加密的认证内容解密以显示未加密的认证内容，所述 未加密的认证内容指示出所述相互采用的认证机制、所述服务器查问以及所述信任 锚；以及

发送对所述第二服务器请求的第二应答，所述第二应答包括响应于所述未加 密的认证内容的加密的应答数据，所述加密的应答数据包括客户机查问、对应于所 述服务器查问的经散列的消息认证代码和客户机认证签名中的至少一个，所述加密 的应答数据用于按照所述相互采用的认证机制来与服务器计算系统认证所述客户 机计算系统。

2.如权利要求1所述的方法，其特征在于，所述第一服务器请求包括与存在 于所述客户机计算系统和所述服务器计算系统之间的前次会话对应的前次数据包 ID。

3.如权利要求1所述的方法，其特征在于，在所述服务器计算系统采用的认 证机制包括选自MS-CHAP v2、用MD5的认证、用属性令牌卡的认证、用Kerberos 的认证、用X.509的认证和用WS-安全的认证中的一个或多个认证机制。

4.如权利要求1所述的方法，其特征在于，在所述客户机计算系统采用的认 证机制包括选自MS-CHAP v2、用MD5的认证、用属性令牌卡的认证、用Kerberos 的认证、用X.509的认证和用WS-安全的认证中的一个或多个认证机制。

5.如权利要求1所述的方法，其特征在于，所述第一应答包括多个公开密钥。

6.如权利要求1所述的方法，其特征在于，接收第二服务器请求包括：接收 对应于一认证方法的加密的认证内容，所述认证方法选自：用存在的用户名和口令 引导客户机、用X.509证书引导客户机、用X.509证书认证和用Kerberos令牌引 导新客户机。

7.如权利要求6所述的方法，其特征在于，所述第二服务器请求包括前次的 数据包ID。

8.如权利要求6所述的方法，其特征在于，发送第二应答包括：发送用于一认 证方法的加密的应答数据，该认证方法选自：用存在的用户名和口令引导客户机、 用X.509证书引导客户机、用X.509证书认证和用Kerberos令牌引导新客户机。

9.如权利要求7所述的方法，其特征在于，所述第二应答包括所述前次的数 据包ID。

10.如权利要求1所述的方法，其特征在于，所述第一应答还包括多个安全 协议，所述第二请求包括从所述多个安全协议中选择的一个安全协议。

11.如权利要求1所述的方法，其特征在于，所述第二应答包括所述客户机 查问。

12.如权利要求1所述的方法，其特征在于，所述第二应答包括所述经散列 的消息认证代码。

13.如权利要求1所述的方法，其特征在于，所述第二应答包括所述客户机 认证签名。