本發(fā)明公開了一種網(wǎng)絡(luò)認(rèn)證方法、裝置及系統(tǒng)，應(yīng)用于安全傳輸層協(xié)議TLS/數(shù)據(jù)傳輸安全協(xié)議DTLS協(xié)議中，包括：獲取認(rèn)證服務(wù)器發(fā)送的認(rèn)證向量；利用所述認(rèn)證向量中的認(rèn)證字段構(gòu)造DH_PSK類型的服務(wù)器密鑰交換Server Key Exchange消息，將所述Server Key Exchange消息攜帶于服務(wù)器問候消息中發(fā)送給所述終端；接收所述終端發(fā)送的DH_PSK類型的客戶端密鑰交換Client Key Exchange消息，獲取所述Client Key Exchange消息中攜帶的res信息；確定所述res信息與所述認(rèn)證向量中的XRES信息是否匹配；在確定所述res信息與所述認(rèn)證向量中的XRES信息匹配時，確定對所述終端的認(rèn)證成功，并向所述用戶終端發(fā)送認(rèn)證成功的通知消息，實(shí)現(xiàn)了對使用預(yù)共享密鑰的用戶進(jìn)行認(rèn)證。

技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)認(rèn)證方法、裝置及系統(tǒng)。

背景技術(shù)

在現(xiàn)有技術(shù)中，網(wǎng)絡(luò)認(rèn)證技術(shù)主要是指在網(wǎng)絡(luò)中確認(rèn)終端身份的過程，而所謂認(rèn)證交互技術(shù)主要是雙向認(rèn)證，即除了網(wǎng)絡(luò)確認(rèn)終端身份，終端也可確認(rèn)網(wǎng)絡(luò)服務(wù)器的身份。通過身份網(wǎng)絡(luò)認(rèn)證交互技術(shù)，可以使網(wǎng)絡(luò)獲知用戶的正確身份，防止非法用戶接入，還可以使終端確認(rèn)網(wǎng)絡(luò)的正確身份，防止攻擊者假冒網(wǎng)絡(luò)誘騙用戶接入。而密鑰產(chǎn)生方法則與認(rèn)證結(jié)合，借助認(rèn)證產(chǎn)生的信息作為密鑰產(chǎn)生的材料，從而防止攻擊者進(jìn)行中間人攻擊。網(wǎng)絡(luò)認(rèn)證交互與密鑰產(chǎn)生技術(shù)在電信網(wǎng)絡(luò)、計(jì)算機(jī)網(wǎng)絡(luò)等多種網(wǎng)絡(luò)中具有廣泛的應(yīng)用。

正如我們所熟知的，現(xiàn)有的網(wǎng)絡(luò)認(rèn)證技術(shù)主要包含有以下幾種：

基于SIM（Subscriber Identity Module，客戶識別模塊）卡的SIM/AKA（Authentication and Key Agreement，認(rèn)證與密鑰協(xié)商協(xié)議）類認(rèn)證。具體的，此類認(rèn)證較為成熟，主要用于通信網(wǎng)絡(luò)，借助于SIM卡中與通信網(wǎng)共享的根密鑰，依照嚴(yán)格的消息格式與流程，從而在SIM卡外的手機(jī)和接入控制網(wǎng)元之間進(jìn)行雙向認(rèn)證并產(chǎn)生會話密鑰。

基于共享密鑰/證書的IKEv2（Internet Key Exchange protocol，第二代密鑰交換協(xié)議）認(rèn)證。具體的，此類認(rèn)證基于IP協(xié)議，主要優(yōu)點(diǎn)在于適用于所有使用IP協(xié)議的設(shè)備，使用預(yù)共享的密鑰或者證書進(jìn)行認(rèn)證。

基于證書的TLS（Transport Layer Security，安全傳輸層協(xié)議）/DTLS（DatagramTransport Layer Security,數(shù)據(jù)傳輸安全協(xié)議）握手協(xié)議認(rèn)證。此類認(rèn)證基于TCP（Transmission Control Protocol，傳輸控制協(xié)議）/UDP（User Datagram Protocol，用戶數(shù)據(jù)報(bào)協(xié)議）會話層協(xié)議，主要優(yōu)點(diǎn)在于通用性，可適用于所有使用IP協(xié)議的設(shè)備，并且不需要處于操作系統(tǒng)核心層面，因此對條件受限的設(shè)備也適用。

然而，對于上述三種網(wǎng)絡(luò)認(rèn)證方式，均會帶來不同的問題：

對于基于SIM卡的SIM/AKA類認(rèn)證，其協(xié)議格式固定，必須依照特定的消息流程才能完成，不得更改；此外，該認(rèn)證用于通信網(wǎng)絡(luò)層面，在上層業(yè)務(wù)層/應(yīng)用層的通信認(rèn)證過程中不使用，具有很大的應(yīng)用局限性；

對于共享密鑰/證書的IKEv2認(rèn)證，其協(xié)議處于操作系統(tǒng)核心層面，因此并不適用于所有的設(shè)備，尤其是條件受限的設(shè)備；

對于基于證書的TLS/DTLS握手協(xié)議認(rèn)證，其必須基于證書系統(tǒng)，對于使用預(yù)共享密鑰的用戶無法適用；

綜上，雖然上述三種認(rèn)證方式均能解決認(rèn)證問題，也同時能夠產(chǎn)生密鑰，但是由于各自的應(yīng)用的局限性，致使限制了密鑰的應(yīng)用范圍。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例的目的在于提供一種網(wǎng)絡(luò)認(rèn)證方法、裝置及系統(tǒng)，實(shí)現(xiàn)了對使用預(yù)共享密鑰的用戶進(jìn)行認(rèn)證。