專(zhuān)利名稱(chēng):基于認(rèn)證和密鑰協(xié)商(aka)機(jī)制認(rèn)證對(duì)于使能kerberos應(yīng)用的用戶(hù)訪問(wèn)的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用戶(hù)認(rèn)證技術(shù)��,更具體地����,涉及對(duì)于使能Kerberos應(yīng)用的認(rèn)證的用戶(hù) 訪問(wèn)的方法和裝置。
背景技術(shù):
Kerberos是允許在非安全網(wǎng)絡(luò)上通信的實(shí)體以安全方式證明對(duì)于彼此的身份的 認(rèn)證協(xié)議���。Kerberos主要以客戶(hù)端-服務(wù)器模型為目標(biāo)�,并提供相互認(rèn)證�。因此,對(duì)用戶(hù)和 服務(wù)器兩者的身份進(jìn)行驗(yàn)證�����。例如�,見(jiàn)B. CliffordNeuman和Theodore Ts,o的“Kerberos An Authentication Service forComputer Networks", IEEE fflff, 32(9), 33-38(1994,9 月)���;或 JohnT. Kohl 等的"The Evolution of the Kerberos Authentication System����,�����,, 分布式開(kāi)放系統(tǒng)���,78-94 (ieee計(jì)算機(jī)社會(huì)出版社1994)�����,或C. Neuman等的“RFC 4120 =The Kerberos Network Authentication Service (V5) ”(2005),其中每個(gè)通過(guò)引用合并于此�。Kerberos通常用作企業(yè)環(huán)境中的認(rèn)證機(jī)制,并且正部署在支持新服務(wù)(例如IPTV 和網(wǎng)絡(luò)游戲)的提供商網(wǎng)絡(luò)中���。Kerberos建立在對(duì)稱(chēng)密鑰密碼方法上�,并且典型地需要信 任的第三方����,稱(chēng)為密鑰分配中心(KDC)。密鑰分配中心典型地包括兩個(gè)邏輯單獨(dú)部分認(rèn)證 服務(wù)器(AuS)和票據(jù)授權(quán)服務(wù)器(TGS)�����。Kerberos基于用于證明用戶(hù)的身份的“票據(jù)”來(lái) 運(yùn)行��。密鑰分配中心維護(hù)密鑰的數(shù)據(jù)庫(kù)����。網(wǎng)絡(luò)上的每個(gè)實(shí)體(例如客戶(hù)端和服務(wù)器)具有 僅對(duì)于自身和對(duì)于密鑰分配中心已知的密鑰����。這個(gè)密鑰的信息用于確立實(shí)體的身份����。為了 在兩個(gè)實(shí)體之間通信,密鑰分配中心生成可用于在實(shí)體之間安全交互的會(huì)話密鑰�����。認(rèn)證和密鑰協(xié)商(AKA)機(jī)制是當(dāng)前用在3G電話網(wǎng)絡(luò)中的安全協(xié)議��。AKA是使用共 享秘密和對(duì)稱(chēng)密碼方法的基于挑戰(zhàn)響應(yīng)的認(rèn)證機(jī)制�。AKA導(dǎo)致在用戶(hù)設(shè)備以及能夠向用戶(hù) 提供一組安全服務(wù)的網(wǎng)絡(luò)之間的安全關(guān)聯(lián)(即一組安全數(shù)據(jù))的建立。由于電信和信息技術(shù)(IT)服務(wù)不斷趨同���,所以需要基于AKA認(rèn)證機(jī)制對(duì)于使能 Kerberos應(yīng)用的認(rèn)證的用戶(hù)訪問(wèn)��。還需要基于特定設(shè)備(例如蜂窩電話)的持有對(duì)于使能 Kerberos應(yīng)用的認(rèn)證的用戶(hù)訪問(wèn)�����,以提供增強(qiáng)的用戶(hù)體驗(yàn)�����。
發(fā)明內(nèi)容
一般地�,提供了基于認(rèn)證和密鑰協(xié)商機(jī)制對(duì)于使能Kerberos應(yīng)用的認(rèn)證的用戶(hù) 訪問(wèn)的方法和裝置。根據(jù)一方面�,提供了一種用于認(rèn)證對(duì)于一個(gè)或多個(gè)使能Kerberos應(yīng)用 的用戶(hù)的方法。首先����,基于相互認(rèn)證用戶(hù)和一個(gè)或多個(gè)服務(wù)器的引導(dǎo)協(xié)議,使用認(rèn)證和密鑰 協(xié)商機(jī)制來(lái)認(rèn)證所述用戶(hù)�����。一旦認(rèn)證了所述用戶(hù)�����,使得所述用戶(hù)能夠?qū)С鰰?huì)話密鑰�,以及向 所述用戶(hù)提供對(duì)于票據(jù)授權(quán)服務(wù)器的第一票據(jù)����。所述第一票據(jù)可確立用戶(hù)的身份和包括會(huì) 話S朗。根據(jù)本發(fā)明另一方面,所述引導(dǎo)協(xié)議可基于通用引導(dǎo)架構(gòu)�����。所述會(huì)話密鑰可用于 加密由所述用戶(hù)發(fā)送的一個(gè)或多個(gè)數(shù)據(jù)元素����,以及可具有壽命指示符,以防止重放攻擊�����。所述會(huì)話密鑰可通過(guò)例如密鑰導(dǎo)出功能來(lái)生成�����。所述用戶(hù)可使用所述第一票據(jù)向所述票據(jù)授 權(quán)服務(wù)器認(rèn)證����,以及隨后請(qǐng)求對(duì)于一個(gè)或多個(gè)期望應(yīng)用服務(wù)器的票據(jù)?�?蛇x地���,可作為XML 文檔的一部分向用戶(hù)提供所述第一票據(jù)�����。通過(guò)參照以下具體實(shí)施方案和附圖將獲得本發(fā)明的更完整理解以及本發(fā)明的其 他特征和優(yōu)點(diǎn)�。
圖1是傳統(tǒng)的通用引導(dǎo)架構(gòu)的示意性框圖;圖2示出認(rèn)證對(duì)于使能Kerberos應(yīng)用的用戶(hù)的傳統(tǒng)過(guò)程�����;以及圖3示出這樣一認(rèn)證過(guò)程��,其結(jié)合使用AKA認(rèn)證訪問(wèn)使能Kerberos應(yīng)用的本發(fā)明 特征�。
具體實(shí)施例方式本發(fā)明提供基于AKA認(rèn)證機(jī)制對(duì)于使能Kerberos應(yīng)用的認(rèn)證的用戶(hù)訪問(wèn)。根據(jù) 本發(fā)明的一方面�����,修改在Kerberos環(huán)境中的初始用戶(hù)認(rèn)證過(guò)程��,以包括AKA認(rèn)證機(jī)制的部 分���。在一個(gè)示例性實(shí)施例中,修改Kerberos用戶(hù)認(rèn)證過(guò)程�����,以包括如下所述的來(lái)自3GPP網(wǎng) 絡(luò)的通用引導(dǎo)架構(gòu)(GBA)的AKA過(guò)程的部分。AKA過(guò)程將得到臨時(shí)用戶(hù)標(biāo)識(shí)符���、會(huì)話密鑰��、 以及對(duì)于已知票據(jù)授權(quán)服務(wù)器的票據(jù)���。由此,用戶(hù)可隨后通過(guò)正常Kerberos過(guò)程繼續(xù)�,以 請(qǐng)求對(duì)于已知應(yīng)用服務(wù)器(AS)的票據(jù),并最終通過(guò)呈現(xiàn)票據(jù)向應(yīng)用服務(wù)器認(rèn)證����。通用引導(dǎo)架構(gòu)一般地,通用引導(dǎo)架構(gòu)提供先前對(duì)于用戶(hù)設(shè)備和服務(wù)器彼此未知的兩者的相互認(rèn) 證以及隨后引導(dǎo)安全元素(例如秘密會(huì)話密鑰)的交換的應(yīng)用獨(dú)立功能����。可采用通用引導(dǎo) 架構(gòu)來(lái)認(rèn)證例如對(duì)于需要認(rèn)證的網(wǎng)絡(luò)服務(wù)(例如移動(dòng)電視服務(wù))的用戶(hù)�����。例如���,見(jiàn)3GPP標(biāo) 準(zhǔn)GBA(通用引導(dǎo)架構(gòu))�����,以及3GPP TS 33.919,33. 220 24. 109,29. 109�����,其每個(gè)通過(guò)引用合 并于此�����。圖1是傳統(tǒng)的通用引導(dǎo)架構(gòu)100的示意性框圖�����。如圖1所示����,通用引導(dǎo)架構(gòu)100 典型地包括用戶(hù)設(shè)備(UE) 130,其嘗試在移動(dòng)網(wǎng)絡(luò)上訪問(wèn)網(wǎng)絡(luò)應(yīng)用功能150�。用戶(hù)設(shè)備130 可實(shí)現(xiàn)為例如移動(dòng)蜂窩電話,其正在嘗試訪問(wèn)例如由網(wǎng)絡(luò)應(yīng)用功能150提供的特定服務(wù) (例如移動(dòng)電視)���。根據(jù)通用引導(dǎo)架構(gòu)100,引導(dǎo)服務(wù)器功能(BSF) 120建立用戶(hù)設(shè)備130和 網(wǎng)絡(luò)應(yīng)用功能150之間的安全關(guān)系����。如下所述���,由網(wǎng)絡(luò)服務(wù)提供商提供的家庭訂戶(hù)服務(wù)器 (HSS) 110存儲(chǔ)用戶(hù)簡(jiǎn)檔。當(dāng)用戶(hù)設(shè)備130嘗試訪問(wèn)由網(wǎng)絡(luò)應(yīng)用功能150提供的訪問(wèn)時(shí)����,網(wǎng)絡(luò)應(yīng)用功能150 使得用戶(hù)設(shè)備130求助于引導(dǎo)服務(wù)器功能120。用戶(hù)設(shè)備130和BSF 120使用3GPP AKA過(guò) 程相互認(rèn)證��。此外�,BSF 120向HSS 110發(fā)送相關(guān)的查詢(xún)。之后���,用戶(hù)設(shè)備130和BSF 120 商定由用戶(hù)設(shè)備130用于向應(yīng)用服務(wù)器(NAF 150)認(rèn)證自身的會(huì)話密鑰����。Kerberos 應(yīng)用如先前所述��,Kerberos典型地需要信任的第三方��,這里稱(chēng)為密鑰分配中心220����。密 鑰分配中心220典型地包括認(rèn)證服務(wù)器230和票據(jù)授權(quán)服務(wù)器240����。圖2示出基于用于應(yīng) 用服務(wù)器250提供的使能Kerberos應(yīng)用的訪問(wèn)的在用戶(hù)210以及認(rèn)證服務(wù)器230之間的共享秘密來(lái)認(rèn)證用戶(hù)的傳統(tǒng)過(guò)程��。如圖2所示���,在步驟1期間�����,用戶(hù)210識(shí)別自身����,呈現(xiàn)量KJ時(shí)間戳)作為真實(shí)性 的證明�����,以及請(qǐng)求對(duì)于TGS 240的票據(jù)����。所述量Ku(時(shí)間戳)是用Ku加密的時(shí)間戳。之后����, 在步驟2期間,在用戶(hù)210的成功認(rèn)證時(shí)���,AuS 230發(fā)送回用于用戶(hù)和TGS 240之間的會(huì)話 密鑰��,Kiftcs��,并且其中的票據(jù)部分如Ktcs (用戶(hù)����,Kihigs�,...)所實(shí)現(xiàn)地來(lái)加密。如圖2所示��, 密鑰用Ku加密����,票據(jù)用Ktcs加密,其認(rèn)證AuS 230�。在步驟3期間,用戶(hù)向TGS 240識(shí)別自身���,呈現(xiàn)量Kiftcs (時(shí)間戳)作為真實(shí)性的證 明�����,呈現(xiàn)TGS票據(jù)�,其部分被加密并顯示為Ktgs (用戶(hù),Kiftgs�,...),以及請(qǐng)求對(duì)于TGS 250的 票據(jù)。在步驟4期間����,在用戶(hù)210的成功認(rèn)證時(shí),TGS 240發(fā)送回用于用戶(hù)210和AS 250之 間的會(huì)話密鑰��、以及AS票據(jù)��,其部分被加密并顯示為Kas (用戶(hù)����,Vas,...)。在步驟5期間����,用戶(hù)210向AS 250識(shí)別自身,呈現(xiàn)量Kifas (時(shí)間戳)作為真實(shí)性的 證明�����,呈現(xiàn)AS票據(jù),其部分被加密并顯示為Kas (用戶(hù)����,K _AS)。在步驟6期間�����,在用戶(hù)210的成功認(rèn)證時(shí)�����,AS 250基于量Kifas (時(shí)間戳)可選地向 用戶(hù)210認(rèn)證自身���。基于 AKA 的 Kerberos 認(rèn)證如先前所述��,本發(fā)明提供基于AKA認(rèn)證機(jī)制對(duì)于使能Kerberos應(yīng)用的認(rèn)證的用戶(hù) 訪問(wèn)���。修改在Kerberos中的初始用戶(hù)認(rèn)證過(guò)程�,以包括AKA認(rèn)證機(jī)制的部分�。在一個(gè)示例 性實(shí)施例中,修改Kerberos用戶(hù)認(rèn)證過(guò)程����,以包括來(lái)自圖1的通用引導(dǎo)架構(gòu)100的AKA過(guò)程 的部分���。公開(kāi)的AKA過(guò)程將得到臨時(shí)用戶(hù)標(biāo)識(shí)符、會(huì)話密鑰���、以及對(duì)于票據(jù)授權(quán)服務(wù)器240 的票據(jù)�����。由此��,用戶(hù)可結(jié)合圖2所述通過(guò)正常Kerberos過(guò)程繼續(xù)���,以請(qǐng)求對(duì)于應(yīng)用服務(wù)器 250的票據(jù),并最終通過(guò)呈現(xiàn)票據(jù)向應(yīng)用服務(wù)器認(rèn)證����。本發(fā)明的示例性實(shí)施例用GBA 100中的AKA相關(guān)過(guò)程來(lái)代替結(jié)合圖2所述的 Kerberos認(rèn)證過(guò)程中的步驟1和2。此外��,由GBA 100中定義的引導(dǎo)服務(wù)器功能120來(lái)包 含AuS 230����。由此��,擴(kuò)充引導(dǎo)服務(wù)器功能120�����,以允許響應(yīng)于UE 130進(jìn)行票據(jù)的生成和票據(jù) 的包含�����。圖3示出這樣一認(rèn)證過(guò)程,其結(jié)合使用AKA認(rèn)證訪問(wèn)使能Kerberos應(yīng)用的本發(fā)明 特征��。如圖3所示�����,票據(jù)授權(quán)服務(wù)器(TGS) 340和應(yīng)用服務(wù)器(AS) 350可通過(guò)與圖2的相應(yīng) 元素類(lèi)似的方式實(shí)現(xiàn)��。此外��,可根據(jù)結(jié)合圖2所述的Kerberos過(guò)程執(zhí)行在步驟370期間的 用戶(hù)310和票據(jù)授權(quán)服務(wù)器340之間的交互以及在步驟380期間的用戶(hù)310和應(yīng)用服務(wù)器 350之間的交互����。—般地�,可根據(jù)結(jié)合圖1所述的GBA過(guò)程執(zhí)行在步驟360期間的用戶(hù)310、家庭訂 戶(hù)服務(wù)器320和引導(dǎo)服務(wù)器功能330之間的交互。如下所述��,在步驟360期間的用戶(hù)310 和BSF 330之間的交互根據(jù)本發(fā)明允許基于AKA的用戶(hù)310的認(rèn)證��,然后允許例如秘密會(huì) 話密鑰的多個(gè)安全元素的最終導(dǎo)出��。如圖3所示�����,在步驟360期間的用戶(hù)310和BSF 330 之間的示例性交互可根據(jù)結(jié)合圖1所述的引導(dǎo)協(xié)議(例如HTTP digest AKA)實(shí)現(xiàn)�����。在步驟360期間導(dǎo)出的示例性安全元素包括·臨時(shí)用戶(hù)標(biāo)識(shí)符(B-TID)�,可用作在隨后Kerberos交互中的用戶(hù)標(biāo)識(shí)符(即用 戶(hù)),如果期望匿名��;·密鑰壽命���,防止重放攻擊����;
主會(huì)話密鑰�,Ks�,基于此�,可能與用戶(hù)身份、TGS身份和其他參數(shù)一起�����,密鑰導(dǎo)出功 能(KDF)可導(dǎo)出在用戶(hù)310和TGS 340之間的會(huì)話密鑰����,Kiftgs ;以及·對(duì)于TGS 340的票據(jù)��,例如以IETF RFC 4120中指定的形式�。密鑰導(dǎo)出功能可例如基于3GPP技術(shù)規(guī)范TS 33. 220的附件B(標(biāo)準(zhǔn))中的說(shuō)明�, 其通過(guò)引用合并于此。應(yīng)注意����,可作為在步驟360期間從BSF 330到用戶(hù)310的響應(yīng)的部分在XML文檔 中攜帶密鑰壽命、臨時(shí)用戶(hù)標(biāo)識(shí)符和票據(jù)���。在響應(yīng)360之后��,進(jìn)行正常Kerberos過(guò)程�����。Mrk盡管圖3示出了步驟的示例性序列�����,但是本發(fā)明的實(shí)施例也可改變序列����。將算法 的各種排列看作本發(fā)明的備選實(shí)施例。盡管針對(duì)軟件程序中的處理步驟描述了本發(fā)明的示例性實(shí)施例��,本領(lǐng)域普通技術(shù) 人員清楚�����,各個(gè)功能可以在數(shù)字域中作為軟件程序中的處理步驟��、通過(guò)電路元件或狀態(tài)機(jī) 在硬件中�����、或在軟件和硬件的組合中實(shí)現(xiàn)���。這種軟件可用在例如數(shù)字信號(hào)處理器�、微控制 器、或通用計(jì)算機(jī)中�����。這種硬件和軟件可在集成電路中實(shí)現(xiàn)的電路中實(shí)施�。因此,本發(fā)明的功能可通過(guò)方法和實(shí)踐這些方法的裝置來(lái)實(shí)施���。本發(fā)明的一個(gè)或 多個(gè)方面可通過(guò)程序代碼的形式來(lái)實(shí)施����,例如���,存儲(chǔ)在存儲(chǔ)介質(zhì)中�����,加載在機(jī)器中和/或由 機(jī)器執(zhí)行,或在某些傳輸介質(zhì)上傳輸�����,其中當(dāng)程序代碼加載在機(jī)器(例如計(jì)算機(jī))中和由機(jī) 器執(zhí)行時(shí)��,機(jī)器變?yōu)閷?shí)踐本發(fā)明的裝置。當(dāng)在通用處理器上實(shí)現(xiàn)時(shí)����,程序代碼段與處理器組 合,以提供模擬地運(yùn)行特定邏輯電路的設(shè)備��。本發(fā)明還可在集成電路���、數(shù)字信號(hào)處理器��、微 處理器��、和微控制器中的一個(gè)或多個(gè)中實(shí)現(xiàn)�。系統(tǒng)和制造物品的細(xì)節(jié)本領(lǐng)域已知地�����,這里討論的方法和裝置可作為制造物品來(lái)分布���,其自身包括計(jì)算 機(jī)可讀介質(zhì)�,具有在上面實(shí)現(xiàn)的計(jì)算機(jī)可讀代碼裝置�����。計(jì)算機(jī)可讀程序代碼裝置可結(jié)合計(jì) 算機(jī)系統(tǒng)操作為執(zhí)行所有或某些步驟,以執(zhí)行方法或創(chuàng)建這里討論的裝置���。計(jì)算機(jī)可讀介 質(zhì)可以是可讀介質(zhì)(例如軟盤(pán)���、硬盤(pán)驅(qū)動(dòng)器、壓縮盤(pán)�����、存儲(chǔ)器卡����、半導(dǎo)體設(shè)備、芯片���、專(zhuān)用集 成電路(ASIC))或可以是傳輸介質(zhì)(例如包括光纖��、萬(wàn)維網(wǎng)���、電纜��、或使用時(shí)分多址����、碼分多 址����、或其他射頻信道的無(wú)線信道的網(wǎng)絡(luò))�。可使用已知地或開(kāi)發(fā)地可存儲(chǔ)適用于計(jì)算機(jī)系統(tǒng) 的信息的任意介質(zhì)��。計(jì)算機(jī)可讀代碼裝置是允許計(jì)算機(jī)讀取指令和數(shù)據(jù)的任意介質(zhì)����,例如 磁介質(zhì)上的磁變型或壓縮盤(pán)的表面上的高變型。這里所述的計(jì)算機(jī)系統(tǒng)和服務(wù)器均包含存儲(chǔ)器����,其可配置相關(guān)處理器以實(shí)現(xiàn)這里 公開(kāi)的方法、步驟�����、和功能��。存儲(chǔ)器可以是分布式或局部的��,以及處理器可以是分布式或獨(dú) 立的。存儲(chǔ)器可以實(shí)現(xiàn)為電���、磁���、或光存儲(chǔ)器、或這些或其他類(lèi)型存儲(chǔ)設(shè)備的任意組合�。此 外,術(shù)語(yǔ)“存儲(chǔ)器”應(yīng)廣泛地理解�����,以足以包含能夠從相關(guān)處理器訪問(wèn)的可尋址空間中的地 址讀取或向其寫(xiě)入的任意信息��。利用這個(gè)定義���,網(wǎng)絡(luò)上的信息仍舊在存儲(chǔ)器中�����,因?yàn)橄嚓P(guān)處 理器可從網(wǎng)絡(luò)提取信息����?�?衫斫猓@里所示和所述的實(shí)施例和變型僅是本發(fā)明原理的示例性表示���,在不脫 離本發(fā)明的范圍和精神的情況下可通過(guò)本領(lǐng)域普通技術(shù)人員進(jìn)行各種修改。
權(quán)利要求
一種用于認(rèn)證對(duì)于一個(gè)或多個(gè)使能Kerberos應(yīng)用的用戶(hù)的方法����,包括基于相互認(rèn)證所述用戶(hù)和一個(gè)或多個(gè)服務(wù)器的引導(dǎo)協(xié)議,使用認(rèn)證和密鑰協(xié)商機(jī)制來(lái)認(rèn)證所述用戶(hù)�;以及在認(rèn)證了所述用戶(hù)時(shí),使得所述用戶(hù)能夠?qū)С鰰?huì)話密鑰�����,以及向所述用戶(hù)提供對(duì)于票據(jù)授權(quán)服務(wù)器的第一票據(jù)����,其中所述票據(jù)授權(quán)服務(wù)器提供對(duì)于一個(gè)或多個(gè)應(yīng)用服務(wù)器的票據(jù),所述一個(gè)或多個(gè)應(yīng)用服務(wù)器提供一個(gè)或多個(gè)使能Kerberos應(yīng)用��。
2.如權(quán)利要求1所述的方法�����,其中所述第一票據(jù)確立所述用戶(hù)的身份���。
3.如權(quán)利要求1所述的方法�����,其中所述第一票據(jù)包括所述會(huì)話密鑰�。
4.如權(quán)利要求1所述的方法,其中所述會(huì)話密鑰用于加密由所述用戶(hù)發(fā)送的一個(gè)或多 個(gè)數(shù)據(jù)元素����。
5.如權(quán)利要求1所述的方法,其中所述會(huì)話密鑰具有壽命指示符��,以防止重放攻擊��。
6.如權(quán)利要求1所述的方法�,其中所述用戶(hù)使用所述第一票據(jù)向所述票據(jù)授權(quán)服務(wù)器 認(rèn)證,以及請(qǐng)求對(duì)于一個(gè)或多個(gè)期望應(yīng)用服務(wù)器的所述票據(jù)����。
7.一種用于認(rèn)證對(duì)于一個(gè)或多個(gè)使能Kerberos應(yīng)用的用戶(hù)的裝置,所述裝置包括存儲(chǔ)器�����;以及至少一個(gè)處理器����,耦合至所述存儲(chǔ)器��,可操作為基于相互認(rèn)證所述用戶(hù)和一個(gè)或多個(gè)服務(wù)器的引導(dǎo)協(xié)議���,使用認(rèn)證和密鑰協(xié)商機(jī)制來(lái) 認(rèn)證所述用戶(hù)�;以及在所述用戶(hù)的所述認(rèn)證時(shí),使得所述用戶(hù)能夠?qū)С鰰?huì)話密鑰����,以及向所述用戶(hù)提供對(duì) 于票據(jù)授權(quán)服務(wù)器的第一票據(jù),其中所述票據(jù)授權(quán)服務(wù)器提供對(duì)于一個(gè)或多個(gè)應(yīng)用服務(wù)器 的票據(jù)�����,所述一個(gè)或多個(gè)應(yīng)用服務(wù)器提供一個(gè)或多個(gè)使能Kerberos應(yīng)用�����。
8.如權(quán)利要求7所述的裝置�����,其中所述會(huì)話密鑰用于加密由所述用戶(hù)發(fā)送的一個(gè)或多 個(gè)數(shù)據(jù)元素����。
9.如權(quán)利要求7所述的裝置��,其中所述會(huì)話密鑰具有壽命指示符�����,以防止重放攻擊����。
10.如權(quán)利要求7所述的裝置��,其中所述用戶(hù)使用所述第一票據(jù)向所述票據(jù)授權(quán)服務(wù) 器認(rèn)證����,以及請(qǐng)求對(duì)于一個(gè)或多個(gè)期望應(yīng)用服務(wù)器的所述票據(jù)。
全文摘要
提供了基于認(rèn)證和密鑰協(xié)商機(jī)制對(duì)于使能Kerberos應(yīng)用的認(rèn)證的用戶(hù)訪問(wèn)的方法和裝置��。首先�,基于相互認(rèn)證用戶(hù)和一個(gè)或多個(gè)服務(wù)器的引導(dǎo)協(xié)議,使用認(rèn)證和密鑰協(xié)商機(jī)制來(lái)認(rèn)證所述用戶(hù)��;一旦認(rèn)證了所述用戶(hù)�,使得所述用戶(hù)能夠?qū)С鰰?huì)話密鑰,以及向所述用戶(hù)提供對(duì)于票據(jù)授權(quán)服務(wù)器的第一票據(jù)�。所述第一票據(jù)可確立用戶(hù)的身份和包括會(huì)話密鑰����。所述引導(dǎo)協(xié)議可基于通用引導(dǎo)架構(gòu)���。
文檔編號(hào)H04L29/06GK101990751SQ200980112663
公開(kāi)日2011年3月23日 申請(qǐng)日期2009年3月26日 優(yōu)先權(quán)日2008年4月10日
發(fā)明者H-L·盧, I·凡博格 申請(qǐng)人:阿爾卡特朗訊美國(guó)公司