技術領域

本發明屬于網絡安全領域，特別涉及一種端到端通信認證的方法及裝置。

背景技術

端到端通信認證框架是一種適用于不同移動網絡標準的通用鑒權框架，其作用在于為不同類型的實體之間建立相互信任關系。參見圖1，該框架涉及到的網絡元素除了3種業務實體：業務簽約者(SS-Service?Provider)(101)、既是業務簽約者又是業務提供者(SSP-Service?Subscriber?and?Provider)(102)、業務提供者(SP-Service?Provider)(103)以外，在運營商網絡中，還應該存在一個實體認證中心(EAC-Entity?Authentication?Center)(104)和一個實體簽約信息數據庫(ESD-Entity?Subscription?Database)(105)。

業務提供者在能夠向其它實體提供業務，或者業務簽約者向其它實體請求業務之前，應該首先已經與網絡存在簽約關系，并將簽約信息存放于ESD中。

網絡中每個業務簽約者與業務提供者進行通信之前，業務實體需要先到EAC協商認證方式，并完成對身份的認證過程。

認證方式的協商過程應該由業務實體發起，并在請求消息攜帶自身身份標識，以及業務的安全等級需求。EAC根據安全等級、網絡支持情況和實體簽約信息，選擇一種認證方法，并將相應信息返回給認證請求者。其中業務的安全等級不同所選擇的認證方式也不同。請求者再發確認信息表示協商過程結束。

接下來實體與EAC按照協商的方式進行認證。該認證應該是雙向的。認證結束后，認證請求實體和EAC應該生成共享的密鑰材料，并且EAC將會根據認證請求實體的簽約信息情況給其分配臨時身份標識以及相應的有效期：1)如果該認證請求實體是SS，則EAC將向其分配一個中間業務請求標識(ISR-ID-Interim?Service?RequestIdentifier)。2)如果該認證請求實體是SSP，則EAC將向其分配一個中間業務查詢標識(IAC-ID-Interim?Authentication?CheckIdentifier)。

最后EAC將業務實體的臨時身份標識以及有效期發送給請求認證的業務實體，此后該業務實體與EAC之間的通信都可以采用認證過程生成的業務實體與EAC間的共享密鑰材料進行保護。

在業務簽約者完成到EAC的認證過程后，便可向業務提供者請求業務。SP或SSP收到請求以后，如果已經完成到EAC的認證過程并獲得有效的IAC-ID，便可向EAC查詢業務簽約者的認證情況。否則，首先到EAC進行認證以及密鑰協商過程后，再向EAC請求查詢業務簽約者的認證情況。并在查詢請求消息攜帶業務簽約者的ISR-ID以及自身的IAC-ID。

EAC收到查詢請求后，首先根據業務簽約者的標識信息以及業務提供者的標識查詢二者有沒有相應的權限，然后根據二者的相關信息，利用SS/SSP到EAC協商的Ks為二者計算一個用于保護業務簽約者和提供者之間業務通信的衍生密鑰。并發送給業務提供者。

同時，業務簽約者也由相同的參數以及算法計算出衍生密鑰。

當SS和SP具有共享的衍生密鑰后，需要利用衍生密鑰進行雙方間的互認證，并進一步生成保護本次通信安全的會話密鑰Kr-SS-SP.

業務實體與EAC之間認證所建立的信任關系存在一個有效期。有效期快要過期或已經過期，業務實體需要到EAC之間進行重認證過程，建立新的信任關系。

現有技術有以下缺點：

1.整個認證過程分為不同的認證階段，在每個認證階段都需要進行認證方法的協商，使整個認證過程的消息交互有重復、不合理，認證階段劃分過于僵化；

2.在某些情況下，SS和SP可以直接認證并建立安全連接，因此并不需要進行SS和EAC及SP和EAC的認證，而現有技術中的框架每個認證階段中的認證方法定義不具有選擇性，必須經過認證；

3.不能很好兼容現有各種機制，例如，如果在3GPP場景下使用，實現起來比較復雜。

發明內容

為了解決現有技術中認證各步驟劃分過于僵化且認證過程不靈活，認證步驟的交互消息有重復、不合理，不能以統一的方式處理各種認證方法，不能很好兼容現有各種機制的問題，本發明提供了一種端到端通信認證方法及裝置。

本發明所述方案如下：

一種端到端通信認證方法，所述方法包括以下步驟：

步驟A：業務實體向實體認證中心發送認證請求信息，所述請求信息包括業務實體的身份標識、認證能力標識和業務類型；