用于证书处理的方法和布置的制作方法

文档序号:6457242阅读:287来源:国知局
专利名称:用于证书处理的方法和布置的制作方法
技术领域
本发明涉及一种接入网中认证和授权的方法和布置。具体来说,本发明涉及此类网络中的证书处理。
背景技术
对访问网络的用户的身份进行认证的需求,以及向用户或客户端
iU正网络实体的等效需求在许多现有和将来的通信系统中是显而易见的。具体来说,在用户访问多个不同网络并利用不同运营商和服务提供商提供的宽范围服务的漫游情形中产生了认证问题。用户/客户端与网络实体之间的安全通信的流行技术是在客户端与接入网的安全性网关(security gateway: SEGW)之间建立所谓的安全隧道。
建立的安全隧道技术的 一个示例称为IPsec (Internet Protocolsecurity:因特网协议安全性),其在多种通信系统中用于多种接入方法[7P]。这种安全连4妄4吏用称为iKEv2 (Internet Key Exchange Version 2:因特网密钥交换版本2 ) [6]的密钥交换过程来建立,IKEv2利用例如基于订户身份模块(EAP-SIM )的可扩展认证协议(extentionalauthentication protocol: EAP )同或认证和密钥协定(EAP-AKA)作为用于客户端的用户认证方法。使用此接入机制的 一个示例是经由IP网络接入GSM网络的方法,其中至终端的第2层连接大概由WLAN或蓝牙提供,其已经由第三代合作伙伴计划(3GPP)自版本6开始进行规定并一般称为通用接入网(Generic Access Network: GAN) [12] [13](有时或先前称为非授权移动接入UMA)。另一个示例是如3GPP规定的互联WLAN [14][15][16]接入方法。第三个示例是在预期的3GPP系统体系结构演进(SAE)体系结构中经由非3GPP接入网对归属代理(Host Agent: HA)的移动IPv6 (MIPv6)接入。IKEv2要求,如果对于一方使用基于EAP^的认证,则必须对另一方使用基于证书的认证。对于涉及的接入类型,这意味着使用IKEv2中的证书向终端、即用户设备(UE)/移动台(MS ))认证SEGW(对于I-WLAN参见例如[16])。IKEv2协商期间,SEGW向UE提供其证书。注意,这可能实际是证书链(chain ),而不仅是单个证书,但是为了简明起见,本文档将在此后将该SEGW动作称为提供证书。在具体实施方式
中定义术语"证书链,,。假定UE具有来自同一证书授权中心(Certificate Authority: CA)的"根(root)"证书,根证书位于SEGW证书的证书链的顶端,因此提供证书有效性的最终保证。使用此根证书,UE可以对从SEGW接收到的证书并由此对该SEGW进行认证。
在运营商之间漫游的情况中,可以从归属公众陆地移动网络
(HPLMN)命令UE联系并使用受访PLMN (VPLMN)中的SEGW。此漫游情形在GAN中并在I-WLAN接入的某些情形中且可能在SAE中出现。UE需要得到证书授权中心(CA)的根证书,所述证书授权中心提供产生载入到SEGW的i正书的i正书链顶端。如果第一 PLMN的运营商与另一 PLMN的运营商签署了漫游协定,则将需要用另一PLMN中使用的CA的根证书来更新第一运营商的所有UE。运营商还可能出于任意原因而需要改变它正在使用的CA,或可能需要拥有多个CA。用根证书更新所有UE是项艰巨的任务,尤其是因为这是手工任务,原因在于终端目前无法通过使用"空中接口" (OverTheAir:OTA)供应来加载新证书。
目前设想的情形、例如在GAN的情况中产生了另一个问题,即不包含订户身份模块(Subscriber Identity Module: SIM)卡/通用集成电路卡(Universal Integrated Circuit Card: UICC )的每个移动设备
(ME)、即UE在制造时加载有有限集合(一个或多个)的根证书。因此这个或这些证书将是ME制造商认为适合的证书。因为ME将潜在地供任何用户在任何网络中使用,所以ME的才艮证书与所联系的
9SEGW所要求的根证书之间的匹配问题也可能出现在非漫游情况中,
即在ME访问用户的HPLMN中的SEGW时。
因此,现有解决方案的问题可以描述为SEGW的证书与UE的根证书之间的潜在不匹配或不兼容,这导致UE无法-验证SEGW的证书的有效性,这又意味着UE不能认证SWEG。

发明内容
显然,需要一种用于向安全性网关朝访问用户设备的认证提供有用证书的改进方法和布置。
本发明的目的在于提供一种克服现有技术的缺点的方法和布置。这通过权利要求1中定义的方法、权利要求24中定义的证书服务器、权利要求28中定义的用户设备以及权利要求30中定义的网关来实现。
根据本发明的方法提供在用户设备经由通信网络中的安全性网关访问受访或归属网络时适用的认证过程。在初始阶段,用户设备和安全性网关通过提供证书本身或通过提供指定可用证书的指示来交换关于可用证书的信息。
如果用户设备和安全性网关缺乏匹配证书,则安全性网关的尝试认证无法根据现有协议和布置进行。根据本发明,如果识别出证书不匹配,则使证书服务器参与。证书服务器,作为与安全性网关分开的实体,至少部分协助认证过程。 一旦确认认证,则可以在用户设备与安全性网关之间建立安全隧道,并可以传输有效载荷业务。
根据本发明的一个实施例,证书服务器通过向安全性网关或用户设备提供至少 一个证书以使安全性网关和用户设备具有至少 一个匹配证书来协助认证的一部分。该实施例包括如下步骤
-用户设备向安全性网关提供其可用根证书的指示,
-安全性网关将来自用户设备的可用证书的指示与存储的证书进行比较,-如果安全性网关无法找到与指示的证书相匹配的所存储证书,则安全性网关从证书服务器请求匹配证书,
-证书服务器生成匹配证书和关联的密钥对,
-证书服务器将该证书及其关联的密钥对发送到安全性网关,-安全性网关将匹配证书发送到用户设备,以及-用户设备验证收到的证书。
根据另 一个实施例,证书服务器通过代表用户设备执行安全性网
关的认证的一部分来协助认证。该实施例可以包括如下步骤-安全性网关将至少一个证书发送到用户设备,-用户设备将从安全性网关收到的证书与存储的根证书进行比
较,
-如果用户设备无法使用用户设备中存储的根证书来验证从安全性网关收到的证书,则用户设备将收到的证书发送到证书服务器,画证书服务器验证始发于安全性网关的证书,-证书服务器将验证的结果的指示发送到用户设备。作为备选方案,代之请求证书服务器验证安全性网关的证书,用户设备请求证书服务器发送所需根证书,以便用户设备自己能够验证安全性网关的证书。在其对根证书的请求中,用户设备包含安全性网关的证书或所需根证书的指示。假如证书服务器对所需根证书有访问权,则它将其返回到用户设备。用户设备使用所获取的根证书来验证安全性网关的证书,并且可以额外并可选地存储该根证书以供以后使用。
本发明的 一个实施例平衡证书服务器与安全性网关之间以及证书服务器与用户设备之间的信任/安全性关系。
借助本发明,解决了安全性网关的证书与访问用户设备的根证书之间的不兼容/不匹配的问题。
本发明的实施例提供可以完全限于网络而对UE没有影响(这在某种环境中是首选的)的解决方案。其他实施例通过平衡归属AAA服务器(证书服务器)与安全性网关之间以及归属AAA服务器与用
户设备之间的信任/安全性关系,避免了潜在的管理问题。
根据本发明的方法通过使用动态建立的至所搜寻网络中的网关
(称为SEGW)的IPsec隧道作为接入机制而通用到足以应用于任何接入类型。典型示例包括GAN (先前称为UMA)和I-WLAN。这些解决方案可应用的其他示例是在预期的3GPP SAE体系结构中对MIPv6归属代理的访问。
本发明的实施例还消除了在用户设备中实现和使用在线证书状态协议(Online Certificate Status Protocol: OCSP )的需要。根据本发明的实施例,可以改为在证书服务器中实现OSCP。
在从属权利要求中定义了本发明的实施例。从本发明结合附图和权利要求书考虑时的以下详细描述,本发明的其它目的、优点和创新特征将变得显而易见。


现在将参考附图详细描述本发明,其中
图1示意图示其中可以采用根据本发明的方法和布置的访问情
形;
图2a-d是图示利用如下过程建立IPsec隧道的信令方案a)完全EAP-SIM认证过程,b )EAP-SIM快速再认证过程,c )完全EAP-AKA认证过程以及d) EAP-AKA快速再认证过程;
图3示意图示才艮据本发明的一个实施例的认-〖正方法;
图4a示意图示才艮据本发明的一个实施例的认证方法,且图4b是对应的信令方案;
图5a示意图示才艮据本发明的一个实施例的认证过程,且图5b-e是对应的信令图,b)完全EAP-SIM认证过程,c) EAP-SIM快速再i人证过程,c )完全EAP-AKA认证过程以及e) EAP-AKA快速再认证过程;图6a示意图示根据本发明的一个实施例的认证方法,以及图6b)
是对应的信令方案;
图7是图示了本发明的一个实施例的信令方案;以及
图8a-c示意图示根据本发明的(a)证书服务器、(b)用户设备
以及(c)安全性网关。
具体实施例方式
下文将参考附图更完整地描述本发明,附图中示出了本发明的优选实施例。但是,本发明可以多种不同形式来体现,并且不应将其视为局限于本文提出这些实施例;相反,提供这些实施例以使本公开透彻且完整,这些实施例将充分地把本发明的范围传达给本领域技术人贝。
下文中,将使用如下定义"AAA"-认证、授权和记账是指网络对用户的身份进行认证、
授权用户使用网络的服务和资源以及收集将用于计费和统计的与用户通信会话有关的记账数据而执行的过程和动作。这些过程涉及接入网与归属网络之间、特别是AAA客户端与AAA服务器之间(可能经由受访网络中的AAA代理)的通信。此通信使用诸如RADIUS [1][2]或Diameter [3][4][5]的AAA协议。
证书—证书的目的是证明已经将某个公用密钥(来自公用-私用密钥对)发布给某一方。证书通常包含涉及的公用密钥、拥有者的身份、期满时间、证书发布者的身份以及可能的其他相关属性。为了保证证书有效,公用-私用密钥对的发布者且因而证书的发布者以数字方式用其(即发布者的)私用密钥来签署证书。
如果B在通信会话期间从A接收到证书,那么假如B信任该发布者、即假如发布者是受信任的第三方,则B可以使用证书发布者的公用密钥来检验证书的有效性并由此检验所涉及公用密钥的有效性。
证书链-假定A向B发布公用-私用密钥对以及关联的证书,并
13用其私用密钥来签署证书。拥有了公用-私用密钥对,B就可以将另一公用-私用密钥对和证书发布给C, C又可以将公用-私用密钥对和证
书发布给D,以此类推。每个证书发布者用其私用密钥来签署证书,
以保证其有效性。由此,以信任和有效性确保的分层序列将这些证书链接在一起,其中证书链中的每个证书的有效性可以使用其发布者的公用密钥来检验,公用密钥被包含在证书链中的下一分层级的证书
中。然后可以使用下一分层级的证书中的公用密钥来抬r验此发布者的公用密钥的有效性,以此类推。因此为了验证某个证书, 一方可以顺着分层链,沿途验证每个证书,直到找到受信任的发布者的证书为止,并且验证序列可以结束。这种证书的分层链表示证书链。
根证书-证书链的顶部表示根证书。因为没有分层更高的级可检验根证书的有效性,所以根证书是未经签署的或用其拥有者的私用密钥来签署(即自我签署)。
为了使根证书有用,使用根证书的一方必须认为拥有者的公用密钥已知,并且必须信任其拥有者。(在实践中,以"安全,,方式提供根证书、例如将其预先存储在软件应用中是使公用密钥已知的一种方式,则所需的信任是"安全"供应的假设条件。)
证书授权中心(CA)-为了使证书链最终促成成功的验证,它必须包括受信任的第三方。受信任的笫三方还可以祐^见为在具有多对多关系的环境中使用公用-私用密钥对和证书的先决条件。发布证书的受信任的第三方称为证书授权中心(CA)。 CA的根证书通常位于证书链的顶端。CA根证书因此通常未经签署或经自我签署,但是不同CA还有可能交叉签署彼此的根证书(这不应视为对证书链添加分层级)。交叉签署的目的是增加在不同方信任不同CA子集的情况下某一方可信任某根证书的概率。
可传递信任-如果A信任B且B信任C,则可传递信任意味着A自动信任C。
图2-7中的信令图中使用如下符号。ProtocolX(...){protocolY}是指封装在protocolX (协议X)消息中 的protocolY (协议Y)消息,例如IKEv^EAP)是指封装在IKEv2[6] 消息中的EAP分组。"(...)"符号指示protocolX消息的可能属性/参凄史 /有效载荷。
ProtocolX(attributeZ...)是指包含attributeZ (属性Z)的protocolX 消息,例如IKEv2(CERTREQ.,.)是指至少包含(通过点来指示) CERTREQ有效载荷的IKEv2消息。
ProtocolX([attributeR]...)是指可包含可选attributeR (属性R)的 protocolX消息,例如IKEv2([CERTREQ]…)是指可选地包含(至少) CERTREQ有效载荷的IKEv2消息。
ProtocolX(attributeZ=z)是指具有指示"z"的attributeZ的 protocolX消息,例如IKEv2(CERTREQ-VeriSign)是指具有指示CA VeriSign的CERTREQ有效载荷的IKEv2消息。
图1中示意图示其中可应用根据本发明的方法和布置的一种访问 情形。用户i殳备(UE) 105正在访问其归属网络110或受访网络115。 该访问经由归属网络中的安全性网关(SEGW) SEGWh 120或受访 网络中的安全性网关SEGWv 125,分别对应非漫游情形A和漫游情 形B。归属网络110中的AAA服务器AAAhl30用于认证,在访问受 访网络115的情形中,除了 AAAh 130外还涉及受访网络中的受访 AAA代理AAAv 135。在下文将进一步描述的过程中,例如利用IKEv2 信令、AAA信令和EAP信令来执行认证。假定认证正确,则该访问 过程在UE与SEGW ( SEGWh 120或SEGWv 125 )之间产生承载业 务的安全隧道165 (IPsec隧道)。
访问过程的多个变形可供使用,如图2a-d的信令图中示意图示。
图2a是信令图,图示了当使用完全EAP-SIM认证过程时接入机 制中使用的IPsec隧道的建立。"AAA"是指AAA协议,通常为 RADIUS或Diameter。
用于IPsec隧道建立的IKEv2过程由两个阶—敬组成。第一阶段建立用于保护后续IKEv2信令的IKE安全性关联(SA )。第二阶段建立 用于实际IPsec隧道的SA。当使用基于EAP的认证时,第一阶段随 承载基于EAP的认证过程的消息而被扩展。
图2a中的消息a和b发起阶段1交换。该第一对消息 (IKE—SA—INIT )协商密码算法、交换不重性(nonce )并执行 Diffie-Hellman交换,以建立用于IKE SA的加密密钥。第二对消息c 和d通常用于对两个对等体(peer)以及在先消息进行认证,且此消 息交换通常结束第一阶段。但是,当使用基于EAP的认证时,该过程 不同。通过不将AUTH有效载荷包括在消息c中,UE指示它希望使 用基于EAP的认证。UE还可以可选地将CERTREQ有效载荷包含在 此消息中,以指示它支持哪些CA。在消息d中,SEGW将其证书(其 可以是整个证书链)传送到UE。消息e-j是阶段1过程的扩展,用于 传送基于EAP的认证过程,其在此情况下由用于完全EAP-SIM认证 过程的EAP消息组成。SEGW不对UE本身进行认证,而是通过将 EAP消息封装到SEGW-AAAh路径上的AAA消息中以对往返于UE 归属AAA服务器AAAh的EAP消息进行中继。AAAh执行UE的实 际认证,并在消息j中向SEGW告知结果(在本示例中为成功)。在 EAP-SIM认证过程之后,UE和SEGW在阶段1中交换两个别的IKEv2 消息、消息k和l,以便对所有在先消息进行认证。
阶段2也称为CREATE—CHILD—SA交换。此阶段由单独一对消 息、消息m和n组成,其中受IKE SA保护的UE和SEGW交换建立 用于IPsec隧道的SA所需的信息。
在图1中,用粗条紋箭头图示UE 105与SEGWh 120或SEGWv 125之间的IKEv2信令150,分别用粗棋盘紋箭头图示SEGWh 120与 AAAh 130之间或者SEGWv 125与AAAv 135之间的AAA信令151, 并用实线图示UE 105与AAAh 130之间的端到端EAP信令160。在 漫游情况中,AAA信令151且因而经封装的EAP信令160经受访网 络115中的AAAv 135进行。细实线箭头图示建立了 IPsec隧道165之后业务流167的路径。
图2a中的完全EAP-SIM认证过程开始于消息d中的身份请求。 UE在消息e中提供用户身份。消息f和g是EAP-Request (请求) /SIM/Start (开始)和EAP-Response (响应)/SIM/Start消息。这两个 消息协商要使用的EAP-SIM版本,并交换包括来自UE的不重性、在 导出其中用于保护后续消息的加密(keying)材料时使用的数据。因 此,可以通过消息认证码、AT一MAC属性来保护后续EAP-SIM消息。 在消息h中,AAAh向UE发送询问(challenge )。 UE使用基于SIM 的GSM认证算法来计算对该询问的响应,并在消息i中返回此响应。 AAAh检验该响应,并且如果检验是成功的则在消息j中确认该成功 的认证。
图2b是信令图,图示了在使用EAP-SIM快速再i人证过程时接入 机制中使用的IPsec隧道的建立。此信令图与图2a的信令图的不同之 处仅在于承载EAP-SIM认证过程的消息。代之用户身份,UE发送与 AAAh在先前的完全认证过程期间约定的快速再认证身份。在快速再 认证过程中,不需要EAP-Request/SIM/Start和EAP-Response/SIM/Start 消息。而是,在EAP-Request/SIM/Re-authentication (再认证)和 EAP-Request/SIM/Re-authentication消息中只有询问-响应交换,然后 在来自AAAh的EAP-Success (成功)消息中确认成功的认证。
图2c是信令图,图示了当使用完全EAP-AKA认证过程时接入 机制中使用的IPsec隧道的建立。在此信令图中,图2a的完全EAP-SIM 认证过程被完全EAP-AKA认证过程取代。与完全EAP-SIM认证过程 一样,完全EAP-AKA认证过程开始于身份请求,该请求触发UE向 AAAh发送用户身份。AAAh接着通过在EAP-Request/AKA-Challenge 消息中向UE发送询问和网络认证令牌(用于向UE认证网络)来发 起实际的AKA认证过程。UE检验网络认证令牌,并使用AKA算法 计算对该询问的响应,并在EAP-Response/AKA-Challenge消息中将此 响应返回到AAAh。 AAAh检验该响应,并且如果该检验是成功的则确认成功的iU正。
图2d是信令图,图示了当使用EAP-AKA快速再认证过程时接 入机制中使用的IPsec隧道的建立。此信令图与图2c的信令图的不同 之处仅在于承载EAP-AKA认证过程的消息。代之用户身份,UE发 送与AAAh在先前的完全认证过程期间约定的快速再认证身份。在这 以后是在EAP-Request/AKA-Reauthentication和EAP國Response/AKA陽 Reauthentication消息中的询问-响应交换,然后是来自AAAh的成功 认证的确认。
上述认证版本全部依赖于UE与UE访问的SEGW之间的匹配根 证书。正如背景技术部分中描述的,情况并非总是如此。提供匹配根 证书的问题在漫游情形中最为突出,但是正如所指示的,该问题也可 能在归属网络中的访问过程中出现。
根据图3所示的本发明的方法和布置,引入证书服务器(CS)并 将其用于认证过程的阶段1。证书服务器140可以属于受访网络或UE 的归属网络。该认证过程在UE105经由SEGW 120/125访问归属或受 访网络时发起,且包括如下主要步骤
310: UE 105和SEGW 120/125交换有关可用证书的信息。
315:识別UE 105与SEGW 125之间的"i正书的不匹配,阻止尝试 的认证过程。
320:使证书服务器140参与。证书服务器140的选择可以基于 UE105提供的用户身份。
325:通过向SEGW 120/125 (以实线箭头来指示)或UE 105 (以 虚线箭头指示)提供根证书、或通过代表UE 105执行SEGW本身的 认证或SEGW认证的一部分并向SEGW 120/125或UE 105告知结果, 证书服务器140参与到认证过程的至少一部分。
330:在UE 105与SEGW 120/125之间建立安全隧道,并可以传
输有效载荷业务。
术语"证书服务器"是可用于认证目的的中央位置的通用描述。证书服务器可以例如是AAA服务器或专用服务器。
与先前一样,在UE 105与SEGW 120、 125之间优选使用IKEv2 信令,而在SEGW与证书服务器140之间优选使用AAA信令。
根据本发明的实施例,从证书服务器给SEGW 120/125提供与UE 的根证书(之一 )匹配的证书。图4a中示意图示该实施例,且对应信 令在图4b的信令方案中。UE 105经由SEGW 120/125访问归属或受 访网络110/115 (图1),并发起认证过程。优选地,该访问是对上述 IKEv2过程的改进。在本实施例中,证书服务器位于SEGW的网络中。 如果此网络也是UE的归属网络(非漫游情况),则证书服务器可以被 集成到AAAh 130,这在图4a中示出。如果SEGW的网络是受访网络 (漫游情况),则证书服务器可以集成到AAAv 135。在图4b的信令 图中,其图示为表示备选实现的分离实体。该实施例包括如下步骤
410: UE 105给SEGW 120/125提供其可用根证书的指示。该指 示采用UE 105支持的CA的指示的形式。可以将CA的指示包含在 IKVEv2交换中的第三消息、消息c的CERTREQ参数中。
415: SEGW 120/125将来自UE 105的CA与存储的证书进行比较。
420:如果SEGW 120/125未找到与这些CA匹配的证书,则SEGW 120/125在消息c,中从证书服务器AAAh 130(实线箭头)或AAAv 135 (虚线箭头)请求匹配证书。证书服务器先前已由运营商提供有大量 的证书并已存储这些证书及其关联密钥对,优选地,这些证书与要被 服务的潜在UE可依赖的绝大多数CA对应。
422:证书服务器AAAh 130或AAAv 135生成具有关4关密钥对的 此类匹配证书,并用其自己来自所涉及CA的私用密钥来签署该证书。 备选地,还可以预先生成证书和密钥对以改善实时性能。
425:证书服务器AAAh 130或AAAv 135将证书及其关联密钥对 发送到SEGW 120/125 (消息c"),分別如实线箭头和虚线箭头所示。
427: SEGW 120/125将匹配证书发送到UE 105 (消息d)。428: UE 105验证收到的证书。
430:在UE 105与SEGW 120/125之间建立安全隧道,并可以传 输有效载荷业务。
应该注意,在漫游情况中,AAA/EAP信令终止于AAAh 130,而 用于证书的请求/返回的信令终止于证书服务器、例如AAAvl35。在 SEGW 120/125和AAAh或AAAv之间的证书请求/返回的通信可以遵 循多个公知协议。
下文实施例中将举例说明的一种备选方法是,提供一种使UE 105 检验SEGW的证书的有效性的方式。此方法平衡(leverage) UE与证 书服务器140、例如且优选为AAAh 130之间的信任/安全性关系,使 得AAAh 130验证SEGW的证书(代表UE 105 )或向UE 105提供验 证所需的根证书。此验证可以作为简单的成功指示(通过EAP)或通 过将AAAh的数字签名与SEGW的证书相关联来通信给UE 105。 AAAh 130可以采用常规方式使用根证书、或通过平^TAAAh 130与 SEGW 120/125之间的现有信任/安全性关系可能经由受访网络中的 AAA代理、AAAv 135使用可传递信任来验证SEGW的证书。
在本发明的一个实施例中,如图5a中示意图示,且对应信令在 图5b-e的信令方案中,归属AAA服务器AAAh 130协助UE 105验证 SEGW的证书。UE 105经由SEGW 120/125访问归属或受访网络,并 发起认证过程。优选地,该认证过程是对上述EAP过程的改进。信令 方案5b图示EAP-SIM完全认证过程,信令方案5c图示EAP-SIM快 速再认证过程,信令方案5d图示EAP-AKA完全认证过程而信令方案 5e图示EAP-AKA快速再认证过程。该实施例包括如下步骤
510: SEGW 120/125将至少一个证书发送给UE 105 (消息d)。
515: UE 105将从SEGW 120/125接收的证书与存储的根证书进 行比较。
520:如果UE 105未能使用UE中存储的根证书验证SEGW的证 书,则UE优选地在EAP (即EAP-SIM或EAP-AKA)认证过程期间
20将SEGW的证书发送到AAAh 130 (证书服务器)。优选地,将SEGW 的证书包含在新EAP-SIM或EAP-AKA属性"SEGW cert"中,紧跟 用于对EAP-SIM和EAP-AKA的属性扩展的TLV( Type-Length-Value: 类型-长度-值)格式。UE将具有SEGW的证书的属性包含在第一 EAP 消息中,该第一 EAP消息由EAP-SIM和EAP-AKA的AT—MAC属性 进行完整性保护(消息g')。
522: AAAh 130验证SEGW的证书。AAAh 130可以使用至少两 种不同方法a)如果AAAh对来自所涉及CA的才艮证书具有访问权, 则使用根证书以常规方式验证该证书,b)依赖于AAAh 130与SEGW 120/125之间的现有信任/安全性关系。如果AAAh和SEGW属于同一 网络,则AAAh自然信任SEGW提供了有效证书,其完整性通过SEGW 与AAAh之间的AAA信令的强制性保护以及通过EAP信令中的 AT—MAC属性来得到保证并因此向UE 105确保SEGW的证书有效。 如果AAAh 130和SEGW 120/125属于不同网络、即不同的运营商或 管理域,则AAAh 130与SEGW 120/125或作为备选的受访网络中的 中间AAA代理基于漫游协定而具有信任关系,并具有确保安全AAA 通信的安全性关联。因此,AAAh可以向UE确保SEGW的证书在漫 游情形中也是有效的。
525: AAAh 130将"OK (成功),,指示(或在失败验证的情况中 为"不OK,,指示)发送给UE 105 (消息h,)。优选地,此指示还包 含在新EAP-SIM或EAP-AKA属性中,并且必须受AT_MAC属性保 护。如果在其中AAAh接收到SEGW的证书的消息是认证过程中的 最后一个(特定)EAP-SIM或EAP-AKA消息,则(方法通用的) EAP-Success (成功)消息是该认证过程的唯一剩余EAP消息。因为 EAP-Success消息不能承载方法特定属性,例如用于"OK"(或"不 OK")指示的新属性,所以AAAh使用附加的EAP-Request/SIM/ Notification(通知)消息(在EAP-SIM的情况中)或EAP-Request/AKA-Notification消息(在EAP-AKA的情况中)来将该指示传送给UE。在此情况中,UE用EAP-Response/SIM/Notification消息或EAP-Response/AKA-Notification消息进4亍响应,然后 AAAh发送 EAP-Success消息,结束EAP认证过程。当使用EAP-Request/SIM/ Notification消息或EAP-Request/AKA-Notification消息来传输指示时, 则可以使用新通知代码(即现有消息字段的新值)来取代新属性。
530:在UE 105与SEGW 120/125之间建立安全隧道,并可以传 输有效载荷业务。
当证书有效性基于信任/安全性关系时,AAAh 130无需具有任何 根证书。始终存在的、UE 105中的SIM卡(或UICC)与AAAh 130 (或更准确而言是向AAAh提供认证参数的认证中心AuC )之间的安 全性关系是唯一所需的先决条件。
在GAN的情况中,UE 105可在将SEGW的证书发送到AAAh
述的要求,并且仅在满足该要求时才选择将其进行发送。该要求是 不仅SEGW ^是供的证书中的SubjectAltName数据与从SEGW接收的 IDr有效载荷匹配,而且它还包含与UE先前已从供应(例如配置)、 发现(在GA-RC DISCOVERY ACCEPT (发现接受)消息中的)或注 册重定向(在GA-RC REGISTER REDIRECT (注册重定向)消息中 的)获得的SEGW身份相匹配的项。此SEGW身份可以是IPv4地址、 IPv6地址或FQDN。
作为备选实施例,代之请求AAAh 130验证SEGW的证书,UE 105请求AAAh 130发送所需根证书,以使UE 105自己能够验证 SEGW的证书。在其对根证书的请求中,UE 105包含SEGW的证书 或所需4艮证书的指示。如果AAAh 130对所需根证书有访问权,则它 将其返回给UE 105。UE 105使用所获的根证书来验证SEGW的证书, 并且可以额外地且可选地存储该才艮证书以供以后使用。
在本发明的另一个实施例中,如图6a中示意图示且对应信令在 图6b的信令方案中,改进了 SEGW 120/125与AAAh 130之间的交互。利用AAAh签署SEGW的证书的能力来向UE 105保证其有效性。UE 105经由SEGW 120/125访问归属或受访网络110/115 (图1),并发起 认证过程。优选地,该访问是对上述IKEv2和AAA过程的改进。该 实施例包括如下步骤
610: UE 105向SEGW 120/125提供其可用根证书的指示。该指 示采用UE 105所支持CA的指示的形式。
615: SEGW 120/ 125将来自UE 105的CA与存储的证书进行比较。
620:如果SEGW 120/125未找到与UE 105提供的CA相匹配的 证书,则SEGW 120/125将其证书(之一)发送到AAAh 130,并请 求AAAh 130签署该证书。
622:在使用根证书的常规证书验证之后或平衡AAAh 130与 SEGW 120/125 (或AAA代理135 )之间的现有信任/安全性关系与安 全通信,AAAh 130签署SEGW 120/125所提供的证书。
625: AAAh 130将经签署的证书返回到SEGW 120/125。
627:接着,SEGW 120/125将证书发送到UE 105并包含AAAh 的签名。
628: UE 105验证AAAh的签名并将其接受为对SEGW的证书 的验证。
630:在UE 105与SEGW 120/125之间建立安全隧道,并可以传
输有效载荷业务。
对于AAAh 130,在步骤622中利用其私用密钥签署SEGW的证 书是可能的,但是优选的是利用UE 105和AAAh BO先前共享的密 钥、例如最新生成的主会话密钥MSK或经扩展的主会4舌密钥EMSK (其在EAP-SIM和EAP-AKA认证过程中使用)或从这些密钥导出的 密钥来签署该证书。如果AAAh 130不确定UE 105是否存储有最新 的MSK/EMSK,则它可以发送两个签名,其中一个用其私用密钥生 成而一个用最新MSK/EMSK或>^人其导出的密钥生成。优选地,SEGW-AAAh通信利用使用新消息类型和/或新属性的 AAA协议(即RADIUS或Diameter),如图6b所示。SEGW (和AAA 代理(如果有的话))通过使用SEGW在与CERTREQ有效载荷消息 c-IKEv2(CERTREQ…)"相同的IKEv2消息中从UE接收到的用户ID 中所包含的信息,经由AAA路由到达AAAh,消息c,- "AAA(SEGW cert.,...)"。此信息最终必须取领域(realm)的形式,例如是指归属运 营商的域的"the-worlds-best-operator.com,,。从UE接收的信息可以釆 用NAI、例长口〈user-name〉(^the-worids-best-operator.com或某个其^f也才各 式的形式,该其他格式包含用户的国际移动订户身份(IMSI)或至少 包含通常包含在IMSI中的移动国家码(MCC )和移动网络码(MNC )。 使用MCC和MNC, UE或SEGW可以创建包含MCC和MNC的缺 省领域,例如与结合WLAN和3GPP网络(I-WLAN)之间的互连所 使用的领域才各式(即"wlan.mnc<MNC〉,mcc<MCC>.3gppnetwork.org,,) 相似(或相同)。AAAhl30通过相似方式、消息c"-- "AAA (signed SEGW cert.,...)"返回经签署的证书。SEGW 120/125在修改的IKEv2 消息、消息d,國IKEv2(CERT= signed cert"…){EAP-request/Identity (身 份)}中转发经签署的证书(以及签名)。
作为备选实施例,如图7的信令图所示,SEGW 120/125将其证 书发送(如果需要的话)到AAAh 130以供签署,如步骤620中所示。 AAAh 130签署该证书,如步骤622中所示。代之在专用的新消息中 将经签署的证书返回到SEGW 120/125, AAAh 130将其在EAP-SIM 或EAP-AKA消息、例如分别为改进的消息h,- "AAA{EAP-Request /SIM/Challenge(signed cert"…)"和"IKEv2{EAP-Request/SIM/ Challenge (signed cert.,...),,之一发送到UE。可以在先前描述的其它EAP-SIM /EAP-AKA过程中进行相似的改进。
虽然上文概括地针对3GPP描述了本发明,但是GAN系统已成 为隐含的主要中心。因此,应该注意本发明还可应用于多种其他通信 系统,例如3GPPI-WLAN系统。I-WLAN UE建立至PLMN中的PDG或TTG的IPsec隧道。通常,此PDG/TTG位于归属PLMN,但是可选地它可以位于受访PLMN。在前一种情况中,仅在PDG/TTG证书与UE中的根证书之间协调的缺乏在I-WLAN系统中与在GAN情况中相同时,才存在本发明解决的问题。在后一种情况中,当建立IPsec隧道至受访PLMN (即归属PLMN的运营商的漫游伙伴的PLMN)的PDG/TTG时,该问题适用于任何情况。
在I-WLAN系统中的解决方案与上文所述相同,其中SEGW是PDG或TTG。
3GPP SAE体系结构是关注的领域,本发明在此情形中有利地实现。在预期的SAE体系结构中,经由非3GPP接入网(或可能是I-WLAN )访问网络的UE将面向MIPv6 HA的IKEv2与EAP-AKA用作集成的认证机制,以便建立用于保护MIPv6信令以及可能用于保护UE-HA隧道的IPsec SA。通常,HA位于归属PLMN,在此情况中,仅在HA证书与UE中的根证书之间协调的缺乏与GAN情况中相同时,才存在本发明解决的问题。但是,在受访PLMN中,UE还可潜在地3皮分酉己HA或4妾入系统间4苗点(Inter Access System Anchor:IASA),在此情况中,该问题无论如何都适用。
图8a-c中示意图示了根据本发明的实施例的证书服务器140、用户设备105和安全性网关120/125。证书服务器140、用户设备105和安全性网关120/125设有用于"t丸行上文所述方法的相应部分的相应部件。根据本发明的模块和块将被视为节点的功能部分,而本身不一定-现为物理对象。优选地,这些模块和块至少部分实现为适合完成根据本发明的方法的软件代码部件。术语"包括"主要是指逻辑结构'而术语"连接"在本文应解释为功能部分之间的链路而不一定为物理连接。但是,取决于所选的具体实现,可以将某些模块实现为接收或发送装置中的物理不同的对象。
证书服务器140包括适用于与通信网络中的其他实体通信的通信服务器140适合经由通信模块805与SEGW通信。根据本发明,证书服务器140包括认证模块810,认证模块810适合执行或协助其中向访问SEGW的UE认证SEGW的认证过程中的至少一部分,该认证过程涉及SEGW和访问该SEGW的UE。可以将认证服务器集成在AAA服务器或AAA代理中。
根据一个实施例,认证模块810包括证书存储模块815或与证书存储模块815相连接,且证书服务器140适合向SEGW或UE提供从证书存储模块815中检索的根证书。
根据另一个实施例,认证模块810适合执行SEGW认证的至少一部分,并适合产生结果的指示,由通信模块805将该指示传送到SEGW或UE。
用户设备(UE) 105包括适用于与通信网络中的其他实体通信的无线通信模块820。无线通信模块820通常且优选适合处理用于无线通信的多种不同技术。UE 105适合经由通信;漠块820并经由多个公共通信节点(未示出)与SEGW通信。根据本发明的一个实施例,UE105包括与证书存储模块830连接的证书处理模块.825。证书处理模块825适合识别在SEGW的尝试认证期间是否没有匹配证书被存储在证书存储模块830中,以及如果没有匹配证书被存储则请求证书服务器CS参与到该认证。证书处理模块825还适合从CS接收^正书并在SEGW认证中使用此证书。备选地,证书处理模块825适合接收SEGW已经被与UE 105通信的另 一节点验证的指示。
安全性网关(SEGW) 120/125包括适用于与通信网络中的其他实体通信的通信模块835。通信模块835通常且优选适合处理多种不同协议。SEGW 120/125适合经由通信模块835与证书服务器通信。根据本发明的一个实施例,SEGW 120/125包括与证书存储模块845连接的证书处理才莫块840。证书处理模块840适合在与UE的认证过程中将提供的证书指示与先前存储的证书作比较,且如果未识别出匹配证书则使另一个通信节点一证书服务器参与到该认证过程。在一个实施例中,证书处理模块840还适合请求参与的证书服务器提供匹配
证书,以及还适合接收该匹配证书并将其用于与UE的认证过程。在备选实施例中,证书处理模块840还适合将证书发送到参与的证书服务器,并请求证书服务器签署该证书,且还适合接收经签署的证书并将其用于与UE的认证过程。
的软件代码部件的程序产品或程序i^莫块产品来实现。这些程序产品优选地在网络内的多个实体上运行。例如,该程序从诸如USB存储器、CD的计算机可用媒体进行分发并加载,或通过空中接口传输或从因特网下载。
虽然结合目前视为最实用且优选的实施例描述了本发明,但是要理解本发明并不局限于所公开的实施例,相反,理应涵盖随附权利要求内的多种改进和等效布置。
参考文献 C. Rigney et al., "Remote Authentication Dial In User Service
(RADIUS)", RFC 2865, June 2000 C. Rigney et al,, "RADIUS Extensions", RFC 2869, June 2000[3] Pat Calhoun et al., "Diameter Base Protocol", RFC 3588,
September 2003 P. Eronen et al., "Diameter Extensible Authentication Protocol(EAP) Application, Internet-Draft draft-ietf-aaa-eap-10.txt, November2004 Pat Calhoun et al., "Diameter Network Access ServerApplication", Internet-Draft draft-ietf-aaa-diameter-nasreq-17.txt, July2004 C. Kaufman, "Internet Key Exchange (IKEv2) Protocol", RFC4306, December 2005[7] S. Kent, R. Atkinson, "Security Architecture for the InternetProtocol", RPC 2401, November 1998 S. Kent, K. Seo, "Security Architecture for the Internet Protocol",RPC 4301, December 2005 B. Aboba et al., "Extensible Authentication Protocol (EAP)",RFC 3748, June 2004 H. Haverinen, J. Salowey, "Extensible Authentication ProtocolMethod for Global System for Mobile Communications (GSM) SubscriberIdentity Modules (EAP-SIM)", RFC 4186, January 2006 J. Arkko, H. Haverinen, "Extensible Authentication ProtocolMethod for 3rd Generation Authentication and Key Agreement(EAP-AKA), RFC 4187, January 2006 3GPP TS 43.318 v6.9.0, "3rd Generation Partnership Project;Technical Specification Group GSM/EDGE Radio Access Network;Generic access to the A/Gb interface; Stage 2 (Release 6) 3GPP TS 44.318 v6.8.0, "3rd Generation Partnership Project;Technical Specification Group GSM/EDGE Radio Access Network;Generic Access (GA) to the A/Gb interface; Mobile GA interface layer 3specification (Release 6) 3GPP TS 23.234 v6.10.0, "3rd Generation Partnership Project;Technical Specification Group Services and System Aspects; 3GPP systemto V/ireless Local Area Network (WLAN) interworking; Systemdescription (Release 6) 3GPP TS 24.234 v7.5.0, "3rd Generation Partnership Project;Technical Specification Group Core Network and Terminals; 3GPP systemto Wireless Local Area Network (WLAN) interworking; User Equipment(UE) to network protocols; Stage 3 (Release 7) 3GPP TS 33.234 v7.4.0, "3rd Generation Partnership Project;Technical Specification Group Services and System Aspects; 3G Security;Wireless Local Area Network (WLAN) interworking security (Release 7)
28
权利要求
1.一种用于访问接入网时的认证过程的方法,其中用户设备(105)经由安全性网关(120/125)访问受访或归属网络(110/115),所述方法特征在于如下步骤-(310)所述用户设备(105)和所述安全性网关(120/125)交换与可用证书有关的信息;-(315)识别所述用户设备(105)与所述安全性网关125之间的证书的不匹配,所述不匹配阻止所述安全性网关(120/125)的所尝试认证;-(320)使证书服务器(140)参与,所述证书服务器协助所述认证过程的至少一部分。
2. 如权利要求1所述的方法,其中,所述证书服务器(140)通 过向所述安全性网关(120/125)或所述用户设备(105)提供至少一 个证书以使所述安全性网关(120/125)和所述用户设备(105)具有 至少 一个匹配证书来协助所述认i正的 一部分。
3. 如权利要求2所述的方法,包括如下步骤-(410)所述用户设备(105)向所述安全性网关(120/125)提供其可用根证书的指示;-(415)所述安全性网关(120/125)将来自所述用户设备(105)的可用证书的指示与存储的证书进行比较;-(420)如果所述安全性网关(120/125)无法找到与所指示的证书相匹配的所存储证书,则所述安全性网关(120/125)向所述证书服务器(140)请求匹配证书;-(422)所述证书服务器(140)生成匹配证书和关耳关的密钥对; -(425)所述证书服务器(140)将所述证书及其关联的密钥对发送到所述安全性网关(120/125 );-(427)所述安全性网关(120/125)将所述匹配证书发送到所述 用户设备(105);以及-(428)所述用户设备(105)验证所述收到的证书。
4. 如权利要求3所述的方法,其中,所述证书服务器是所述安全 性网关的网络中的AAA服务器。
5. 如权利要求4所述的方法,其中,所述证书服务器是所述用户 设备(105)的归属网络中的AAA服务器。
6. 如权利要求4所述的方法,其中,所述证书服务器是受访网络 中的AAA代理服务器。
7. 如权利要求3-6中任一项所述的方法,其中,所述证书服务器 在来自所述安全性网关(120/125)的所述请求之前已经生成并存储一 个或多个证书及关联的密钥对以促进实时性能。
8. 如权利要求1所述的方法,其中,所述证书服务器(140)通 过代表所述用户设备(105)执行所述安全性网关的认证的一部分来 协助所述认证。
9. 如权利要求8所述的方法,包括如下步骤-(510)所述安全性网关(120/125)将至少一个证书发送到所述 用户设备(105 );-(515)所述用户设备(105)将从所述安全性网关(120/125) 收到的证书与存储的根证书进行比较;-(520 )如果所述用户设备(105 )无法使用所述用户设备(105 ) 中存储的根证书来验证从所述安全性网关(120/125 )收到的证书,则 所述用户设备(105 )将所述收到的证书发送到所述证书服务器(140 );-(522)所述证书服务器(140)验证所述始发于所述安全性网 关(120/125)的证书;-(525)所述证书服务器(140)将所述验证的结杲的指示发送 到所述用户设备(105 )。
10. 如权利要求8或9所述的方法,其中,所述"i正书服务器是所述用户设备(105)的归属网络中的AAA服务器。
11. 如权利要求9或IO所述的方法,其中,使用可扩展认证协议 来执行所述收到的证书从所述用户设备(105)到所述证书服务器(140)的发送以及所述验证结果的指示从所述证书服务器到所述用 户设备的发送。
12. 如权利要求9-11中任一项所述的方法,其中,在EAP认证 过程期间将所述安全性网关(120/125)的证书发送到所述证书服务器(140),以及其中所述^E书^NL包含在消息属性中。
13. 如权利要求9-11中任一项所述的方法,其中,在EAP认证 过程期间将所述验证的结果的指示发送到所述用户设备,以及其中所述指示被包含在消息属性中。
14. 如权利要求8-12中任一项所述的方法,其中,在所述验证步 骤(522)中,所述证书服务器(140)利用存储的根证书。
15. 如权利要求8-12中任一项所述的方法,其中,在所述验证步 骤(522)中,所述证书服务器(140)依靠所述证书服务器(MO) 与所述安全性网关(120/125)之间或所述证书服务器与代理AAA服 务器之间的信任/安全性关系。
16. 如权利要求1所述的方法,其中,所述证书服务器(140)通 过依靠所述安全性网关一代理AAA服务器(l20/125)与所述证书服 务器(140)之间的可传递信任来代表所述用户设备(105)执行所述 i人证的至少一部分。
17. 如权利要求1所述的方法,包括如下步骤-(510)所述安全性网关(120/125)将至少一个证书发送到所述 用户设备(105);-所述用户设备(105)将从所述安全性网关(120/125)收到的 证书与存储的根证书进行比较;-如果所述用户设备(105)无法使用所述用户设备(105)中存 储的根证书来验证从所述安全性网关(120/125 )收到的证书,则所述用户设备(05)请求所述证书服务器(140)发送所需根证书;-所述证书服务器(140)将所述所需根证书发送到所述用户设 备(105 );-所述用户设备(105)利用从所述证书服务器(140)收到的根 证书来验证所述安全性网关(120/125)的证书。
18. 如权利要求17所述的方法,其中,使用可扩展认证协议来执 行所述请求从所述用户设备到所述证书服务器的发送以及所述根证 书从所述证书服务器到所述用户设备的发送。
19. 如权利要求17或18所述的方法,还包括所述用户设备(105 ) 存储所述收到的根证书。
20. 如权利要求1所述的方法,其中,所述证书服务器(140)通 过代表所述用户设备(105)验证从所述安全性网关(120/125)所提 供的证书来协助所述认证。
21. 如权利要求20所述的方法,包括如下步骤-(610)所述用户设备(105)向所述安全性网关(120/125)提 供其可用根证书的指示;-(615)所述安全性网关(120/125)将来自所述用户设备(105) 的可用根证书的指示与存储的证书进行比较;-(620)如果所述安全性网关U20A25)无法找到匹配证书,则 所述安全性网关(120/125 )将其存储的证书之一发送到所述证书服务 器(140)并请求所述证书服务器(140)签署它;-(622)所述证书服务器(140)验证并签署所述安全性网关 (120/125)提供的证书;-(625 )所述证书服务器(140)将所述签署的证书返回到所述 安全性网关(120/125 );-(627)所述安全性网关(120/125)然后将所述证书和所述证书 服务器签名发送到所述用户设备(105);-(628)所述用户设备(105)验证所述证书服务器的签名并将其接受为对所述安全性网关(120/125)的证书的验证。
22. 如权利要求21所述的方法,其中,在所述验证和签署(622) 的步骤中,所述证书服务器(140)利用存储的根证书来验证所述安 全性网关(120/125)提供的证书。
23. 如权利要求21所述的方法,其中,在所述验证和签署的步骤 (622)中,所述证书服务器(140)通过平衡所述证书服务器(140)与所述安全性网关(120/125)之间或所述证书服务器与代理AAA服 务器之间的现有信任/安全性关系及安全通信来验证所述安全性网关 (120/125)提供的证书。
24. —种适合与通信网络中的安全性网关(120/125 )通信的证书 服务器(140),所述证书服务器包括通信模块(805),以及其特征在 于,认证模块(810),所述认证模块(810)适合协助向经由所述安 全性网关(120/125)访问所述网络的用户设备(105)认证所述安全 性网关(120/125)。
25. 如权利要求24所述的证书服务器,其特征在于, 证书存储模块(815),且所述证书服务器(140)适合向所述安全性网关(120/125)或所述用户设备(105)提供从所述证书存储模 块(815);险索的证书。
26. 如权利要求24所述的证书服务器,其中,所述认证模块(810) 适合执行所述安全性网关(120/125 )的认证的至少一部分并产生结果 的指示,由所述通信模块(805)将所述指示传送到所述安全性网关(120/125)或所述用户设备(105)。
27. —种适合与通信网络中的安全性网关(120/125)通信的用户 设备(105 ),所述用户设备(105 )包括通信模块(820 )并且其特征 在于,与证书存储模块(830 )连接的证书处理模块(825 ),所述证书 处理模块(825)适合在安全性网关的尝试认证期间识别是否没有匹配证书被存储在所述证书存储模块(830 )中,以及如果没有存储匹配证书,则请求证书服务器参与到所述认证。
28. 如权利要求27所述的用户设备(105),其中,所述证书处理 模块(825)适合从所述证书服务器接收证书并在所述认证中使用此 证书。
29. 如权利要'求27所述的用户设备(105 ),其中,所述证书处理 模块(825 )适合接收所述安全性网关已经被与所述用户设备(105 ) 通信的另一个节点验证的指示。
30. —种适合与通信网络中的用户设备(105)和证书服务器(140) 通信的安全性网关(120/125),所述安全性网关(120/125)包括通信 ^t块(835 )并且其特征在于,与证书存储模块(845)连接的证书处理模块(840),所述证书 处理模块(840)适合在与所述用户设备(105)的认证过程中,将至 少 一个所提供证书指示与至少 一个先前存储的证书进行比较,以及如 果未识别出匹配证书,则使所述证书服务器(140)参与到所述认证 过程。
31. 如权利要求30所述的安全性网关(120/125 ),其中,所述证 书处理模块(840)适合请求所述证书服务器提供匹配证书,以及接 收所述匹配证书并将其用于与所述用户i殳备的认证过程。
32. 如权利要求30所述的安全性网关(120/125 ),其中,所述证 书处理模块(840)适合将证书发送到所述证书服务器并请求所述证 书服务器签署所述证书,以及适合接收所述签署的证书并将其用于与 所述用户设备的认证过程。
全文摘要
本发明涉及接入网中认证和授权的方法和布置。在根据本发明的方法的最初阶段中,用户设备和安全性网关交换关于可用证书的信息。如果用户设备和安全性网关缺乏匹配证书,则安全性网关的尝试认证无法根据现有协议和布置进行。根据本发明,如果识别出证书失配,则使证书服务器参与。证书服务器,作为与安全性网关分开的实体,协助认证过程的至少一部分。一旦确认认证,则可以在用户设备与安全性网关之间建立安全隧道,并可以传输有效载荷业务。
文档编号G06F21/44GK101681402SQ200780053298
公开日2010年3月24日 申请日期2007年6月11日 优先权日2007年6月11日
发明者J·维克伯格, J·鲁恩, T·尼兰德 申请人:艾利森电话股份有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1