终端进行认证的方法,其中由认证服务器 管理对一个或多个资源的访问,网关装置包括用于在一方的一个或多个终端与另一方的所 述认证服务器和所述一个或多个资源之间路由数据的装置,其特征在于,所述认证服务器 执行以下处理: -针对每个终端,得到至少一条认证信息; -向所述网关装置发送至少一个检验函数或其系数; 其中,每条认证信息代表如下的值:当该值被输入到各个检验函数时,所述检验函数返 回预定值; 并且其特征在于,所述网关装置执行以下处理: -从一个终端接收访问所述一个或多个资源的第一请求,所述第一请求是与所述终端 提供的一条认证信息一同接收的; -在从所述认证服务器接收的一个或多个检验函数之中,获取可应用于接收到的请求 的检验函数; -将所述终端提供的所述一条认证信息输入到获取的检验函数,以得到认证结果; -当所述认证结果等于所述预定值时,接受访问所述一个或多个资源的所述第一请求; 并且 -当所述认证结果不同于所述预定值时,拒绝访问所述一个或多个资源的所述第一请 求。
2. 根据权利要求1所述的方法,其特征在于,所述认证服务器执行以下处理: -针对每个终端,确定一条或多条所述认证信息; -向每个终端发送各条认证信息。
3. 根据权利要求2所述的方法,其特征在于,所述认证服务器执行以下处理: -为每个终端确定不止一条认证信息,每条认证信息代表如下的值:当该值被输入到 为所述终端确定的各检验函数时,所确定的所述检验函数返回所述预定值; -选择与已经发送到所述终端的所述一条认证信息不同的另一条认证信息; -向所述终端发送所选择的认证信息; 并且其特征在于,在接收到所选择的认证信息时,所述终端用所选择的认证信息取代 之前接收的认证信息。
4. 根据权利要求1所述的方法,其特征在于,所述认证服务器执行以下处理: -针对每个终端,根据从所述终端接收的信息导出一条或多条所述认证信息; -基于所确定的各条认证信息,确定所述一个或多个检验函数; 并且其特征在于,所述终端执行以下处理: -与所述认证服务器针对所述终端执行的处理同样地,根据所述终端提供到所述认证 服务器的信息,导出一条或多条所述认证信息。
5. 根据权利要求1至4中的任一项所述的方法,其特征在于,所述认证服务器得到的每 条认证信息是所述认证服务器发送的至少一个检验函数的根,并且其特征在于,所述预定 值是空值。
6. 根据权利要求1至5中的任一项所述的方法,其特征在于,一旦预先执行了所述方法 的以下步骤,所述认证服务器就发送所述一个或多个检验函数或其系数: -所述网关装置从所述终端接收访问所述一个或多个资源的第二请求; -所述网关装置请求所述认证服务器对用于访问所述一个或多个资源的终端进行认 证; -在成功地对用于访问所述一个或多个资源的终端进行了认证时,授权访问所述一个 或多个资源。
7. 根据权利要求1至6中的任一项所述的方法,其特征在于,所述认证服务器执行以下 处理: -为每个终端确定不止一个检验函数,每个检验函数使得发送到所述终端的每条认证 信息代表如下的值:当该值被输入到所确定的各检验函数时,所确定的所述检验函数返回 所述预定值; -选择与已经发送到所述网关装置的检验函数不同的另一个检验函数; -向所述网关装置发送所选择的检验函数或其系数; 并且其特征在于,在接收到所选择的检验函数或其系数时,所述网关装置用所选择的 检验函数或其系数取代之前接收的检验函数或其系数。
8. 根据权利要求1至7中的任一项所述的方法,其特征在于,至少第一终端和第二终端 能够请求访问所述一个或多个资源,所述认证服务器执行以下处理: -确定用于所述第一终端的至少一个第一检验函数和如下的任意值的第一集合:当该 值被输入到任何第一检验函数时,所述第一检验函数返回所述预定值; _确定用于所述第二终端的至少一个第二检验函数和如下的任意值的第二集合:当该 值被输入到一个或多个所述第二检验函数中的至少一个时,所述第二检验函数返回所述预 定值; 并且其特征在于,所述第一集合和所述第二集合的交集是空集。
9. 根据权利要求1至8中的任一项所述的方法,其特征在于,每个检验函数是多项式形 式或是基于线性代码。
10. 根据权利要求1至9中的任一项所述的方法,其特征在于,所述认证服务器针对每 个装置,与临时标识符一同地向所述网关装置发送至少一个检验函数或其系数,并且其特 征在于所述认证服务器与所述临时标识符一同地向任何终端发送至少一条认证信息。
11. 根据权利要求1至9中的任一项所述的方法,其特征在于,在所述网关装置和所述 终端之间进行通信的期间,所述网关装置分配用于识别各个终端的第一临时标识符, 其特征在于,所述认证服务器针对每个装置向所述网关装置发送至少一个检验函数或 其系数,所述检验函数与所述网关装置和所述认证服务器共享的第二临时标识符关联, 并且其特征在于,所述网关装置保持所述第一临时标识符和所述第二临时标识符之间 的对应关系。
12. 根据权利要求1至11中的任一项所述的方法,其特征在于,所述认证服务器执行以 下处理: -针对每个终端确定至少一个检验函数; -作为所述检验函数的组合而针对每个资源确定全局检验函数,所述组合包括为每个 终端确定的至少一个检验函数; -针对每个资源,向所述网关装置发送所述全局检验函数或其系数; 并且其特征在于,所述第一请求是访问给定资源的请求,所述网关装置执行以下处 理: -获取用于所述给定资源的全局检验函数; -将所述终端提供的所述认证信息输入到所获取的所述全局检验函数,以得到认证结 果; -当所述认证结果等于所述预定值时,接受访问所述给定资源的所述第一请求;以及 -当所述认证结果不同于所述预定值时,拒绝访问一个或多个资源的所述第一请求。
13. 根据权利要求12所述的方法,其特征在于,对于每个资源,所述全局检验函数被确 定为被允许合法访问所述资源的每个终端的至少一个检验函数的乘积。
14. 根据权利要求13所述的方法,其特征在于,对于每个资源,所述全局检验函数被定 义为被允许合法访问所述资源的每个终端的至少一个检验函数乘以没有根的辅助函数的 乘积。
15. -种对请求访问至少一个资源的至少一个终端进行认证的系统,所述系统包括认 证服务器和网关装置,所述认证服务器管理对一个或多个资源的访问,所述网关装置包括 用于在一方的一个或多个终端与另一方的所述认证服务器和所述一个或多个资源之间路 由数据的装置,其特征在于,所述认证服务器包括: -用于针对每个终端得到至少一条认证信息的装置; _用于向所述网关装置发送至少一个检验函数或其系数的装置; 其中,每条认证信息代表如下的值:当该值被输入到各个检验函数时,所述检验函数返 回预定值; 并且其特征在于,所述网关装置包括: _用于接收访问所述一个或多个资源的第一请求的装置,所述第一请求是与一条认证 信息一同接收的; -用于在从所述认证服务器接收的一个或多个检验函数之中获取可应用于接收到的请 求的检验函数的装置; -用于将所提供的所述一条认证信息输入到所获取的检验函数以得到认证结果的装 置; _当所述认证结果等于所述预定值时实施的用于接受访问所述一个或多个资源的所述 第一请求的装置;以及 _当所述认证结果不同于所述预定值时实施的用于拒绝访问所述一个或多个资源的所 述第一请求的装置。
【专利摘要】为了认证请求访问至少一个资源的至少一个终端,认证服务器执行:针对每个终端,得到至少一条认证信息;向网关装置发送至少一个检验函数或其系数。每条认证信息代表使得当被输入到各个检验函数时所述检验函数返回预定值的值。所述网关装置执行:从一个终端接收访问资源的请求,所述请求是与一条认证信息结合地接收的;获取可应用于接收到的请求的检验函数;将所述终端提供的所述一条认证信息输入到获取的检验函数,以得到认证结果;当所述认证结果等于所述预定值时,接受访问资源的请求;否则,拒绝所述请求。
【IPC分类】H04L29-06
【公开号】CN104782099
【申请号】CN201380058986
【发明人】N·格雷塞特, H·博纳维尔
【申请人】三菱电机株式会社
【公开日】2015年7月15日
【申请日】2013年11月1日
【公告号】EP2736213A1, US20150249653, WO2014080780A1