[发明专利]基于认证和密钥协商(AKA)机制认证对于使能KERBEROS应用的用户访问的方法和装置

说明书

技术领域

本发明涉及用户认证技术，更具体地，涉及对于使能Kerberos应用的认证的用户访问的方法和装置。

背景技术

Kerberos是允许在非安全网络上通信的实体以安全方式证明对于彼此的身份的认证协议。Kerberos主要以客户端-服务器模型为目标，并提供相互认证。因此，对用户和服务器两者的身份进行验证。例如，见B.CliffordNeuman和Theodore Ts’o的“Kerberos：An Authentication Service forComputer Networks”，IEEE通信，32(9)，33-38(1994，9月)；或JohnT.Kohl等的“The Evolution of the Kerberos Authentication System”，分布式开放系统，78-94(ieee计算机社会出版社1994)，或C.Neuman等的“RFC 4120：The Kerberos Network Authentication Service(V5)”(2005)，其中每个通过引用合并于此。

Kerberos通常用作企业环境中的认证机制，并且正部署在支持新服务(例如IPTV和网络游戏)的提供商网络中。Kerberos建立在对称密钥密码方法上，并且典型地需要信任的第三方，称为密钥分配中心(KDC)。密钥分配中心典型地包括两个逻辑单独部分：认证服务器(AuS)和票据授权服务器(TGS)。Kerberos基于用于证明用户的身份的“票据”来运行。密钥分配中心维护密钥的数据库。网络上的每个实体(例如客户端和服务器)具有仅对于自身和对于密钥分配中心已知的密钥。这个密钥的信息用于确立实体的身份。为了在两个实体之间通信，密钥分配中心生成可用于在实体之间安全交互的会话密钥。

认证和密钥协商(AKA)机制是当前用在3G电话网络中的安全协议。AKA是使用共享秘密和对称密码方法的基于挑战响应的认证机制。AKA导致在用户设备以及能够向用户提供一组安全服务的网络之间的安全关联(即一组安全数据)的建立。

由于电信和信息技术(IT)服务不断趋同，所以需要基于AKA认证机制对于使能Kerberos应用的认证的用户访问。还需要基于特定设备(例如蜂窝电话)的持有对于使能Kerberos应用的认证的用户访问，以提供增强的用户体验。

发明内容

一般地，提供了基于认证和密钥协商机制对于使能Kerberos应用的认证的用户访问的方法和装置。根据一方面，提供了一种用于认证对于一个或多个使能Kerberos应用的用户的方法。首先，基于相互认证用户和一个或多个服务器的引导协议，使用认证和密钥协商机制来认证所述用户。一旦认证了所述用户，使得所述用户能够导出会话密钥，以及向所述用户提供对于票据授权服务器的第一票据。所述第一票据可确立用户的身份和包括会话密钥。

根据本发明另一方面，所述引导协议可基于通用引导架构。所述会话密钥可用于加密由所述用户发送的一个或多个数据元素，以及可具有寿命指示符，以防止重放攻击。所述会话密钥可通过例如密钥导出功能来生成。所述用户可使用所述第一票据向所述票据授权服务器认证，以及随后请求对于一个或多个期望应用服务器的票据。可选地，可作为XML文档的一部分向用户提供所述第一票据。

通过参照以下具体实施方案和附图将获得本发明的更完整理解以及本发明的其他特征和优点。

附图说明

图1是传统的通用引导架构的示意性框图；

图2示出认证对于使能Kerberos应用的用户的传统过程；以及

图3示出这样一认证过程，其结合使用AKA认证访问使能Kerberos应用的本发明特征。

具体实施方式

本发明提供基于AKA认证机制对于使能Kerberos应用的认证的用户访问。根据本发明的一方面，修改在Kerberos环境中的初始用户认证过程，以包括AKA认证机制的部分。在一个示例性实施例中，修改Kerberos用户认证过程，以包括如下所述的来自3GPP网络的通用引导架构(GBA)的AKA过程的部分。AKA过程将得到临时用户标识符、会话密钥、以及对于已知票据授权服务器的票据。由此，用户可随后通过正常Kerberos过程继续，以请求对于已知应用服务器(AS)的票据，并最终通过呈现票据向应用服务器认证。

通用引导架构