[发明专利]认证方法、装置、认证中心及系统

说明书

技术领域

本发明涉及通信领域中网络安全技术，具体地，涉及认证方法、装置、认证中心及系统。

背景技术

现有通信网络认证机制，多为一对一的双向认证方式，包括基于单钥的认证和密钥协商(Authentication and Key Agreement，简称AKA)认证机制，和基于公钥的证书认证机制。

如图1所示，单钥认证机制包括：用户节点与对应的归属服务器(HLR/HSS)节点间保存共享的密钥K；用户接入网络时与对应的归属服务器节点进行交互认证；认证通过后，网络侧只能确定本用户节点的身份。

基于公钥的证书认证机制包括：用户与对应的归属服务器节点都可从可信的第三方数字证书认证中心(Certificate Authority，简称CA)处取得各自对应的身份证书和对应的私钥，并可取得CA证书用于验证证书；用户接入网络时，与对应的归属服务器通过发送各自的证书进行验证双方身份；认证通过后，拥有此合法证书的用户可以接入网络。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

在终端节点数量庞大时，大量用户认证会消耗信令交互的网络资源及服务器的计算资源。现有的认证方式都是一对一，当网络中具有相同行为特性的终端节点数量规模很大时，这些节点有时需要同时接入网络，此时，将占用大量网络资源，增加网络负担，并且大量用户认证会增加服务器的计算资源。现有的认证方式并不适用物联网，且有可能降低物联网业务的可用性。

发明内容

本发明的第一目的是提出一种认证方法，以实现一次认证多个节点。

本发明的第二目的是提出一种认证装置，以实现一次认证多个节点。

本发明的第三目的是提出一种网络侧的认证中心，以实现一次认证多个节点。

本发明的第四目的是提出一种认证系统，以实现一次认证多个节点。

为实现上述第一目的，根据本发明的一个方面，提供了一种认证方法，包括：接收至少一个接入请求，从接收的接入请求中获取子密钥信息；根据获取的子密钥信息生成组密钥；根据组密钥与网络侧交互进行组认证。

其中，接收至少一个接入请求之后还可以包括：根据预存的组标识信息生成携带组信息的组认证请求；将携带组信息的组认证请求发送至网络侧。

其中，根据组密钥与网络侧交互进行组认证可以包括：接收网络侧对组认证请求的反馈消息；根据反馈消息及组密钥生成发送至网络侧的组认证响应。

优选地，当组认证通过时，发送接入请求的节点信息至网络侧。网络侧根据预存的组及组内节点的标识信息对节点信息进行合法性验证；节点的标识信息可以包括节点的ID、或者节点的ID及对应的子密钥信息。

优选地，生成组密钥可以包括：从获取的所有子密钥信息及本地存储的子密钥信息中选择不大于组内节点总数目n的t个密钥信息生成组密钥。

优选地，进一步可以包括：对生成组密钥时选择的密钥信息对应的节点进行标记；在发送至网络侧的节点信息中携带标记信息。

为实现上述第二目的，根据本发明的另一个方面，提供了一种认证装置，包括：接口模块，用于接收至少一个接入请求；密钥生成模块，用于从接收的接入请求中获取子密钥信息，并根据获取的子密钥信息生成组密钥；组认证模块，用于根据组密钥与网络侧交互进行组认证。

还可以包括：存储模块，用于存储组标识信息；组认证模块，还进一步用于根据接入请求及组标识信息生成携带组信息的组认证请求，发送至网络侧。

优选地，存储模块还可以存储组内节点的标识信息，该装置进一步可以包括：判别模块，用于根据组内节点的标识信息判断接入请求的节点为组外节点时，拒绝或删除接入请求。

其中，组认证模块可以包括：请求子模块，用于生成组认证请求，并接收网络侧对组认证请求的反馈消息；响应子模块，用于根据反馈消息及组密钥生成发送至网络侧的认证响应。

密钥生成模块可以包括：密钥恢复子模块，用于从获取的子密钥信息及本地存储的子密钥信息中选择不大于组内终端节点总数目n的t个密钥信息生成组密钥。

还可以包括：标记子模块，用于对生成组密钥时选择的密钥信息对应的节点进行标记，并在发送至网络侧的节点信息中携带标记信息；节点信息可以包括：节点的ID、或者节点的ID及对应的子密钥信息、或者节点的ID及标记信息、或者节点的ID及对应的子密钥信息和标记信息。