[发明专利]一种网络鉴权认证的方法及设备

摘要

本发明公开了一种网络鉴权认证的方法及设备。其方法包括：接入网元通过接入网元向终端发送使用第二网元签名私钥进行签名的鉴权向量信息；终端对鉴权向量信息的签名进行验证，验证成功后，生成两个一致性检查密钥，分别使用这两个一致性检查密钥进行消息完整性计算，并分别与第一网元和接入网元发送的消息完整性计算结果进行比对；比对正确后，再分别使用这两个一致性检查密钥再次进行消息完整性计算，将计算结果分别发送给接入网元和第一网元；接入网元和第一网元分别使用各自生成的一致性检查密钥进行消息完整性计算，将计算结果与终端发送的计算结果进行比对，从而实现鉴权。保证了鉴权向量信息在传递过程中的安全性以及鉴权的可靠性。

主权项

1.一种网络鉴权认证的方法，其特征在于，包括：终端生成第二临时公私钥对，向接入网元发送终端问候消息和终端密钥交换消息，所述终端问候消息包含终端标识和终端随机数，所述终端密钥交换消息包含第二临时公钥；所述接入网元向第一网元发送所述终端问候消息、所述终端密钥交换消息和接入网元问候消息，所述接入网元问候消息包含接入网元标识和接入网元后向随机数；所述第一网元向第二网元发送所述终端问候消息、所述接入网元问候消息和第一网元后向问候消息，所述第一网元后向问候消息中包含第一网元后向随机数和第一网元签名证书；第二网元向第一网元发送鉴权向量信息，所述鉴权向量信息中需要终端验证的信息使用第二网元签名私钥进行签名；所述第一网元获取所述鉴权向量信息；所述第一网元生成第一临时公私钥对和包含第一网元前向随机数的第一网元前向问候消息，利用获得的鉴权向量信息、所述第二临时公钥、第一网元交换私钥和所述第一临时私钥生成第一一致性检查密钥，使用所述第一一致性检查密钥对所述终端问候消息和第一网元前向问候消息进行完整性计算产生第一消息完整性计算结果，并向所述接入网元发送所述鉴权向量信息、包含第一临时公钥的第一网元密钥交换消息、第一网元前向问候消息和第一消息完整性计算结果；所述接入网元生成接入网元临时公私钥对和包含接入网元前向随机数的接入网元前向问候消息，利用获得的鉴权向量信息、所述第二临时公钥、所述接入网元交换私钥和所述接入网元临时私钥生成接入一致性检查密钥，使用所述接入一致性检查密钥对所述终端问候消息和接入网元前向问候消息进行完整性计算产生接入消息完整性计算结果，并向终端发送所述鉴权向量信息、包含接入网元临时公钥的接入网元密钥交换消息、所述接入网元前向问候消息、接入消息完整性计算结果、所述第一网元前向问候消息和所述第一消息完整性计算结果；所述终端使用保存的第二网元的签名证书对接收到的所述鉴权向量信息中的签名进行验证；验证成功后，所述终端利用所述鉴权向量信息、所述终端标识、所述第一临时公钥、终端交换私钥、和所述第二临时私钥生成第二一致性检查密钥，并利用所述鉴权向量信息、所述终端标识、接入临时公钥、终端交换私钥、和第三临时私钥生成第三一致性检查密钥；所述终端使用所述第二一致性检查密钥对所述终端问候消息和第一网元前向问候消息进行消息完整性计算产生第二消息完整性计算结果，将所述第二消息完整性计算结果与第一网元发送的所述第一消息完整性计算结果比对，比对正确后，使用生成的所述第二一致性检查密钥对第一网元前向问候消息和终端问候消息进行第二次消息完整性计算产生第三消息完整性计算结果；所述终端使用所述第三一致性检查密钥对所述终端问候消息和接入网元前向问候消息进行消息完整性计算产生第四消息完整性计算结果，将所述第四消息完整性计算结果与接入网元发送的所述接入消息完整性计算结果比对，比对正确后，使用生成的所述第三一致性检查密钥对接入网元前向问候消息和终端问候消息进行消息完整性计算产生第五消息完整性计算结果；将所述第五消息完整性计算结果发送给所述接入网元，并将所述第三消息完整性计算结果通过所述接入网元发送给所述第一网元；所述接入网元使用所述接入一致性检查密钥对接入网元前向问候消息和终端问候消息进行消息完整性计算产生第六消息完整性计算结果，使用所述第六消息完整性计算结果验证所述第五消息完整性计算结果，验证成功后，向所述终端发送接入网元鉴权成功消息；所述第一网元使用所述第一一致性检查密钥对所述第一网元前向问候消息和终端问候消息进行消息完整性计算产生第七消息完整性计算结果，使用生成的所述第七消息完整性计算结果验证所述第三消息完整性计算结果；验证成功后，所述第一网元通过所述接入网元向所述终端发送第一网元鉴权成功消息。