通信网络中的安全连接方法和系统的制作方法

专利名称：通信网络中的安全连接方法和系统的制作方法
技术领域：
本发明涉及通信网络中的安全连接技术。
具体考虑到本发明在虚拟专用网络(VPN)中的可能使用而做出本发明。当然，对可能应用的该具体领域的描述不应被解释为限制本
背景技术：
用于在通信网络中保护业务的技术是日益关注的对象，并且还与用户的更大移动性相关。
现今，公司普遍习惯于通过公共网络-通常诸如互联网的分组交换网络将其站点互连。
为了降低危害在这些网络上传送的业务的风险，能够保护业务的私密性、真实性和完整性的多种协议已经被标准化。
这些协议的大多数通常使用加密算法，其旨在减少可以以未授权方式危害或更改包括所交换的业务的信息的风险。
事实上，加密术的使用将公共网络转换成虚拟专用网络，这使得能够保护所传送的信息，从而仅仅被授权的实体能够使用该信息。
在文献中，已经描述了多种协议，其能够提供如下特征私密性、真实性和业务完整性。
在这些协议中，特别重要的是由互联网工程任务组在“IPsecurity protocol(IPsec)”中提出的框架IPsec。从本申请的申请日起，在地址http://www.ietf.org/html.charters/ipsec-charter.html处，在互联网上可访问相关文档。框架IPsec包括多种协议，其能够在IP层提供安全服务，诸如，有关各方的鉴权、业务的私密性、完整性和真实性以及对于在以前通信中发送的分组的重复的避免(所谓的重放攻击)。
其它用于实现VPN的协议是今天在任一浏览器或者邮件客户端中集成的、被称为安全套接层(SSL)和传输层安全(TLS)的协议，其中所述SSL是由Netscape公司在“SSLv3 Protocol Specification”(从本申请的申请日起，在地址http://www.netscape.com/eng/ssl3/处，在互联网上可访问相关文档)中提出的事实上的标准，而所述FLS是1999年1月由互联网工程任务组(IETF)RFC2246在“TLS Version1.0”(从本申请的申请日起，在地址http://www.ietf.org/rfc/rfc2246.txt？number＝2246处，在互联网上可访问相关文档)中提出的SSL协议的演进。
还有，也是由互联网工程任务组在“Secure Shell(secsh)”中提出的安全外壳协议(Secure Shell protocol，SSH)；从本申请的申请日起，在地址http://www.ietf.org/html.charters/secsh-charter.html处，在互联网上可访问相关文档。还将安全外壳协议与前述两个协议一起用于通过“端口转发”来保护基于TCP(传输控制协议)和UDP(用户数据报协议)的不受保护的协议。
在VPN中使用的大多数框架/协议，诸如IPsec、SSL、TLS或SSH，包括鉴权步骤和交换加密密钥的步骤，所述加密密钥用于保护在网络上经过的业务。
通常通过不同的策略来实现这些步骤，这些策略最普遍的是提供接入口令的使用和数字证书的使用。
此外，WO-A-01/69838提出了一种用于在运行于GSM蜂窝网络上或另一通信系统上的移动终端之间安全地交换密钥的方法和相关设备。当在GSM蜂窝通信网络上实现该方法时，在SIM卡上存储的信息用于产生在移动终端之间交换的密钥，随后，将其用于保护在通信会话期间移动终端之间发送的数据。申请人已经观察到该解决方案需要以“Diffie-Helman”模式交换密钥，其特征是高计算负载。

发明内容
申请人已经注意到需要定义能够以灵活、安全且经济的方式管理用于分发将被用于激活VPN框架/协议的证书(例如，以使能密钥的形式)的机制的解决方案。
具体而言，相对于现有技术，申请人已经注意到特定技术问题与这些分发机制的高运行成本相联系。
特别地，本发明使用安全网络(例如，GSM/UMTS网络)和所述网络的安全组件(例如，SIM模块)来产生用于加密保护在非安全网络(例如，IP公共网络)上通信的加密算法的使能证书的机制，其中该使能证书用于访问其它安全网络(例如，公司网络)。
本发明的目的是要满足该需求，特别是克服以上概述的特定技术问题。
根据本发明，所述目的是通过一种具有在所附权利要求中阐述的特征的方法而实现的。本发明还涉及一种对应的系统、包括所述系统的网络以及计算机产品，所述计算机产品能够被加载到至少一个计算机的内存中，并且包括用于实现上述方法的软件代码部分。如在本文中所使用的，将对这样一种计算机产品的描述理解为等同于对可以由计算机读取的单元的描述，所述单元包含用于控制计算机系统以便配合根据本发明的方法的实现的指令。对“至少一个计算机”的描述旨在强调以分布式和/或模块化方式实现本发明的可能性。
因此，本发明的当前优选的实施例是一种使得用户(U)能够通过公共通信网络(IP)在虚拟专用网络(VPN)上通信的方法，在所述虚拟专用网络(VPN)上通信的可能性依赖于以加密形式发送到用户(U)的至少一个使能证书(KS)对于所述用户(U)的可用性，该方法包括操作给所述用户(U)提供承载加密机制的SIM类型模块；以及利用由所述SIM类型模块承载的所述加密机制，在所述用户(U)处解密所述至少一个使能证书(KS)，所述SIM类型模块能够与至少一个其它通信网络交互，以便激活所述加密机制。
在当前优选的实施例中，本发明旨在给连接到IP公共网络的移动/远程用户提供一种以灵活、安全且经济的方式连接到任一非公共网络，诸如按照通常如主机-网关所示的模式运行的网络的方法。
具体而言，在本文中描述的解决方案允许提供了与IP公共网络互连的终端的移动/远程用户在被授权时，通过其自身的SIM卡，使能与位于用于访问特定网络的路由器处的特定网关的受保护信道。这样，在网关和被授权访问该网络的用户之间创建了虚拟专用网络(VPN)。
更详细地，利用存在于与被授权用户相关联的SIM卡上的加密机制，来加密用于使能受保护信道的证书，并且所述证书仅由所述SIM卡解密。通过由网关使用的特定VPN框架/协议提供的加密算法，执行对于在VPN上经过的业务的保护。
换言之，在本文中所说明的实施例中，具有有效SIM卡的被授权用户可以仅利用其SIM访问网络资源，而不必使用其它证书或者鉴权步骤以及注册行为。从而消除了与这种过程相联系的高运行成本。
在本文中描述的解决方案可以容易地适用于多种VPN网络。在本说明书的剩余部分中，仅仅通过示例来对基于IPsec框架或者基于SSL/TLS协议的VPN进行描述。该选择受到与其极大的可靠性相结合的所述框架/协议的广泛使用的控制。
但是，所提出的解决方案可以被扩展到任何其它VPN协议，其需要使用用于业务保护的加密算法，并且与或者可以与能够使能所述算法的证书相关联。


现在参照附图中的图，仅通过非限制性的指示来描述本发明，在附图中-图1示出了可以应用本发明的情形的示例；-图2示出了在用户终端和SIM卡之间的可能连接的示例；-图3示出了根据本发明的连接方法的第一实施例；以及-图4示出了根据本发明的连接方法的第二实施例。
具体实施例方式
在本文中通过示例描述的解决方案指的是如下场景，在该场景中，连接到IP公共网络并且例如属于同一公司的移动/远程用户需要安全地连接到公司的资源。通过与被授权用户相关联的SIM卡激活与接入端口或者位于用于接入公司内部网络的路由器处的网关的受保护信道，产生所述连接。这样，在网关和被授权用户之间的公共IP网络上创建了虚拟专用网络。
具体而言，通过利用存在于与被授权用户相关联的SIM卡上的加密机制来加密用来使能受保护信道的证书，并且该证书仅由所述SIM解密。在下述的本发明的实施例中，以密钥的形式分发这些证书。通过由该网关使用的特定VPN框架/协议提供的加密算法，对在VPN上经过的业务进行保护。
此外，以下将对被称为全球移动通信系统(GSM)的蜂窝技术世界进行描述，特别是对SIM(用户标识身份)卡进行描述。
事实上，在GSM网络中，SIM卡是通常插入在移动终端中的设备，通过SIM卡用户能够鉴权他/她自己与特定GSM运营商的网络，以便接入到语音和数据服务。
然而，本领域技术人员将容易理解的是，如在本说明书中以及根据情况而在所附权利要求中使用的术语SIM(或SIM-类型)，除了包括目前在GSM网络中使用的SIM卡之外，还包括功能相同的模块，诸如在UMTS网络中使用的被称为USIM的模块，或者其它硬件模块，这些硬件模块能够基于在所述模块中包含的、且网络可以得到的用户标识符，允许用户终端与一个或者多个特定通信网络交互，以便通过运行在所述模块上的加密机制来验证用户的身份。
通常，对于“SIM类型”模块，所实现的鉴权机制是典型的“询问-响应”机制。
具体而言，为了鉴权SIM卡，并从而鉴权相关用户，在像GSM或者UMTS网络的移动无线网络中，网络自身产生被称为RAND的不可预测的随机值。将该参数发送到移动终端，其随后将该参数发送到SIM卡。这里，RAND参数由移动运营商所选择的、且存在于SIM卡之上的加密算法处理。
被称为A3的该算法通过存在于SIM卡中的、如Ki所指示的特定密钥，加密RAND参数。被称为SRES的该运算结果充当鉴权响应角色，并从而将其返回到移动终端，由此而返回到网络。为了鉴权用户，并且已经得到了SIM卡的Ki密钥的复本，网络执行相同的过程，并将其自身的结果与由SIM卡产生的结果相比较。
一旦网络验证了两个值一致，就允许访问网络资源。此外，在此情况下，SIM卡和网络还使用被称为A8的第二算法来处理RAND参数。
该算法使用SIM卡的Ki密钥来加密RAND参数，以便在输出处产生被称为Kc的会话密钥。一旦该密钥被传递到移动终端，其将保护网络无线链路上的所有语音、数据和信令业务。
该鉴权模型的安全性依赖SIM卡的Ki密钥的保密性。为此，通常在SIM卡内保护Ki密钥。特别地，不仅从不在通信信道上传送Ki密钥，而且即使当某人物理地拥有了SIM卡，也不能够读取该Ki密钥(当然，除非在A3和A8参数中存在加密弱点)。
在本文中描述的解决方案基本上利用了两个原理一方面，由SIM卡提供上述的安全服务，例如，蜂窝技术的安全机制，并且其存在于该卡上；另一方面，给大量用户提供服务而在分发对该服务的访问证书中没有任何运行问题的能力。
简而言之，在本文中所描述的解决方案中，使用从技术观点而言的在SIM类型卡上实现的、且通常在移动无线环境中使用的安全功能，以及从组织观点而言的用于挂起和/或取消移动运营商已经改进和实现的SIM卡的过程，解决由移动/远程用户来使能受保护信道的问题。
特别地，为了使用户能够激活受保护信道并从而允许他/她安全接入特定网络，例如公司内部网络，了解与他/她相关联的SIM卡的电话号码就足够了。
在本发明的可能实施例中，存在图1所示的如下单元。
用户(U)是移动/远程用户，SIM卡的持有者，其通过用户终端TU与IP公共网络互连，并且需要激活与网关G的安全通信。
用户终端(TU)其是与IP公共网络互连的终端，通过该终端，用户U能够与网关G通信。可以通过不同的过程和接入技术，诸如PSTN、ISDN、xDSL、电缆、以太网等等，进行用户终端TU对IP网络的接入。通常，通过接入提供商(互联网服务提供商或者ISP)而进行所述接入。所述终端还可以连接到用户U的SIM卡。
如图2所示，为此目的可以采用不同的解决方案，诸如智能卡读取器10、具有蓝牙接口的蜂窝电话12、具有IrDA接口的蜂窝电话14、SIM卡读取器16、或者通过电缆的蜂窝电话18。用户终端TU的非限制性列表包括PC、笔记本电脑、膝上电脑、PDA、智能电话等等。
此外，在用户终端TU上安装有能够在一侧与网关G连接和通信，而在另一侧与和用户相关联的SIM卡连接和通信的软件模块SW。所述软件模块SW还不能被预先安装在用户终端TU上，而是从用户U能够连接到的站点在线下载。为此目的，可以使用多种技术。非限制性的示例是Java和ActiveX。这两种技术通过适当的TAGS，允许将可执行代码直接插入到网页中。能够在检测到Java小应用程序或者ActiveX的存在之后支持这样的机制，例如Internet Explorer、Netscape Navigator或者OperaTM的浏览器可以本地下载相应代码并运行它。这两种机制还允许设置有关可执行代码的下载的安全策略。
特别地，可以以如下方式来配置浏览器仅下载数字签名的Java小应用程序和ActiveX以便减少下载恶意软件(maleware)的风险，将其特别写入以便捕获用户的数据或者以被授权的方式访问用户终端TU。可替换地，也可以利用其它解决方案，诸如通过像FTP、TFTP、HTTP的网络协议下载可执行代码，还可以使用CD、软盘、令牌USB或者其它装置来预先安装该模块。需要注意的是，无论如何，尽管在线解决方案确保了设备的更大覆盖范围，但是基于诸如软盘、CD、令牌USB的“便携式”存储器的解决方案还可以确保一定程度的便携性。
网关(G)是这样的网关，即其必须例如使用IPsec框架或者SSL/TLS协议，鉴权移动/远程用户且激活与被授权用户的受保护信道，以便保护所述被授权用户和例如公司内部网络(如图1中的客户网络CN所示)之间的业务。通常，网关G位于客户网络CN的前端，其接入路由器的下游。这样，由网关G过滤和验证所有移动/远程用户的接入请求。在被授权用户的情况下，网关G将激活受保护信道以允许在用户终端TU和网关G自身之间的所有敏感业务的经过。为了激活受保护信道，网关G可以使用多种VPN协议，诸如IPsec、SSL、TLS、SSH。
互通功能(IWF)这是通常在给用户U发放SIM卡的运营商(例如，移动运营商)控制下的服务器，其允许网关G鉴权请求激活指向网关的受保护信道的用户U，并且分发由特定VPN协议，例如IPsec使用的加密密钥，所述特定VPN协议用于加密经过信道的业务。该服务器还与SIM卡与其相关的网络(例如，GSM网络)接口。互通功能IWF实现IP公共网络和例如GSM网络之间的接入网关功能，并且其还能够接入鉴权中心或者AuC，该鉴权中心以已知方式代表在无线链路上管理在网络(GSM)上鉴权和产生用户会话密钥的功能的网络单元(GSM)。因此，其能够请求鉴权中心给予SIM卡的标识符，通常是国际移动用户身份、IMSI、特定＜RAND，SRES，和Kc＞三元组。
优选地，网关G和用户终端TU通过IP公共网络互连，同时，假若为了安全而满足对所交换数据的真实性、完整性、私密性和免受重放攻击的需要的话，网关G和互通功能IWF可以使用不同的标准和/或专有的解决方案互连。
更特别地，在本文中描述的解决方案的操作基于两个主要步骤-使用互通功能IWF注册网关G以及各个用户U；-激活在被授权用户和网关G之间创建的虚拟专用网络VPN。
具体而言，注册网关G以及用户U的步骤具有如下目的允许移动运营商基于与正在注册的特定网关G相关的SIM卡，识别所发放的SIM卡中的哪些SIM卡可以激活受保护的VPN信道。
该步骤需要运营商向互通功能提供下列信息-可以通过正在注册的网关G访问服务的SIM卡列表；-在互通功能IWF和网关G之间的互连模式(安全)。
事实上，如下文中将详细描述的、激活被授权用户U和网关G之间的VPN的过程还包括在网关G和互通功能IWF之间的受保护信道上的信息的交换。
在所发送数据的私密性、真实性、完整性和免受重放攻击方面，如上所述，该信道是受保护的。为此目的，可以选择多种不同的路由，例如，链路或专用链路上的互连、通过标准VPN技术的公共网络上的连接，等等。
需要注意的是，无论如何，所述通信信道具有静态特征，并从而不存在在替代被授权用户U和网关G之间激活的通信信道的情况下所遇到的密钥的可扩展性、分发和管理问题相同的问题。
在该步骤结束时，网管G和互通功能IWF已经在两个对应的数据库中存储了与被授权激活VPN信道的用户U相关联的SIM卡的列表。
可以在诸如电话号码、移动用户ISDN号(MSISDN)、国际移动用户身份(IMSI)等的许多参数中选择被授权SIM卡的标识符。
当前优选的选择是采用IMSI作为SIM标识符。
在数据库内部还可以存储用于实现接入控制的附加信息。例如，可以为每个被授权用户U指定附加接入条件。这些附加条件的非限制性列表可以包括-从客户网络CN上的该特定IMSI可以到达的地址集；-允许安全接入的时间段；-允许安全接入的星期中的数日；以及-用于用户的被使能的协议。
可以以不同的方式，例如，通过激活基于IPsec框架的VPN(在下文中被定义为IPsec VPN)或者通过激活基于SSL/TLS协议的VPN(在下文中被定义为SSL/TLS VPN)，实现激活在被授权用户U和网关G之间的VPN的步骤。
VPN激活步骤的目的事实上在于，在互通功能IWF的帮助下激活在被授权用户U和网关G之间的IPsec或SSL/TLS VPN信道。
参照图3，激活IPsec VPN的过程包括下列操作i)每个用户U将他/她自己的用户终端TU与他/她自己的SIM卡接口(如所述的，还参照图2，多种技术方案可以用于此目的，诸如标准PC/SC读取器、具有无线连接到计算机的蓝牙接口的移动终端、具有无线连接到计算机的IrDA接口的移动终端、具有经电缆连接到串行总线、USB、固件、或者PCMCIA端口的移动终端，等等)；ii)每个用户U在他/她自己的用户终端TU上激活软件模块SW，其在步骤100中，例如通过配置文件在其输入处要求注册密钥或者其它手段、激活IPsec VPN信道所需的信息。所述信息的非限制性列表可以包括-IPsec配置-所使用的IPsec协议鉴权标题-AH、封装安全净荷-ESP；-所使用的加密算法例如高级加密标准(AES)，参见美国国家标准与技术研究院(NIST)，“Federal Information ProcessingStandards Publication 197-Advanced Encryption Standard(AES)”，2001年11月；三重数据加密标准(3DES)，参见美国国家标准与技术研究院(NIST)，“Federal Information ProcessingStandards Publication 46-3-Data Encryption Standard(DES)”，1999年10月；安全散列标准(SHA-1)，参见美国国家标准与技术研究院(NIST)，“Federal Information Processing StandardsPublication 180-2-Secure Hash Standard(SHS)”，2002年8月；报文摘要(MD5)，参见互联网工程任务组(IETF)RFC1321，“TheMD5 Message-Digest Algorithm”，1992年4月，上述内容从本申请的申请日起，在地址http://www.ietf.org/rfc/rfc1321.txt处，在线可以得到；-精确转发保密(PFS)、密钥更新(re-key)策略(基于时间或者所交换的数据量)的使用，参见用于管理安全关联(SA)的策略，互联网工程任务组(IETF)，“IP Security Protocol(IPsec)”，http://www.ietf.org/html.charters/ipsec-charter.html。
-有关网关G的信息；-与通过SIM卡激活受保护的IPsec VPN信道的服务相关的网关G的IP地址和端口；-用于鉴权网关G的数字证书，例如，X.509。也可以使用鉴权网关G的其它方式，例如，OpenPGP证书、一次性口令等等。数字证书可以直接对应于网关G，或者发放该证书的证书授权中心(CA)。使用数字证书所获得的优点与以下事实相联系网关G的单个证书允许所有用户U在IPsec VPN信道的激活期间鉴权网关G。
iii)在步骤110中，软件模块SW在指定端口通过输入的IP地址打开指向通过数字证书鉴权的网关G的连接。该连接提供通过数字证书对网关G的鉴权、私密性、真实性、完整性和免受重放攻击。
iv)一旦打开了指向经过鉴权的网关G的连接，网关G自身请求软件模块SW提供连接到用户终端TU的SIM卡的IMSI。在步骤120中，软件模块SW从SIM卡请求该信息，并且在步骤140中，其将该信息发送给网关G。如果对SIM卡的访问受PIN保护，则软件模块SW在请求该IMSI之前请求用户U输入该PIN，并将其传递给SIM卡。
v)网关G通过访问其自身的被授权激活IPsec VPN信道的IMSI的数据库，验证由用户U提供的IMSI的存在。仅根据诸如小时段、星期中的数日、起始IP地址、目的IP地址等等的特定附加策略的作用，可以授权SIM卡激活IPsec VPN信道。
如果结果是否定的，则网关G关闭连接并使用有关该请求的信息更新日志文件。该信息的非限制性列表可以包括-该请求的时间坐标(时、分、秒、日、月、年)；
-与该请求用户U有关的IP地址和端口；-属于该用户U的SIM卡的IMSI(或其它标识符)；-用于拒绝激活IPsec VPN信道的代码(例如，未被授权的IMSI、不允许的时间段、不允许的源IP地址等等)。
如果结果是肯定的，网关G继续执行激活步骤并更新请求激活IPsec VPN信道的用户U的日志文件。
vi)网关G随后例如以随机方式产生使能密钥KS，其与所接收的IMSI一起在步骤150中被转发给互通功能IWF。
简而言之，发送到互通功能IWF的消息M包括信息项对(IMSI，KS)。还可以使网关G不产生使能密钥KS，而是使互通功能IWF产生所述密钥。
vii)互通功能IWF随后通过访问其自身的、被授权激活与特定网关G有关的IPsec VPN信道的IMSI的数据库，验证由网关G提供的IMSI的存在。在检查结果是否定的情况下，互通功能IWF通过恰当的错误代码通知网关G操作失败，然后更新日志文件。所述日志文件可以包含不同信息。所述信息的非限制性示例可以包含-该请求的时间坐标(时、分、秒、日、月、年)；-属于该用户U的SIM的IMSI；-做出该请求的特定网关G的标识符(例如，IP地址和端口)。
如果结果是肯定的，则互通功能IWF继续执行激活阶段，并且在步骤160中，互通功能IWF联系鉴权中心AuC，从其请求用于所接收IMSI的两个GSM鉴权三元组。在步骤170中，鉴权中心AuC将两个三元组<RAND1，SRES1，Kc1>和<RAND2，SRES2，Kc2>发送给互通功能IWF。互通功能IWF随后以下列方式计算加密密钥KSIMKSIM＝h(Kc1，Kc2)。
所述值表示将散列函数h应用于与该SIM的秘密密钥Ki相关联的两个GSM会话密钥Kc1和Kc2的级联。在特定情况下，使用标准化的散列函数SHA-1。然而，可以使用任意其它安全散列函数。非限制性列表可以包括，例如-MD5，参见互联网工程任务组(IETF)RFC1321，“The MD5Message-Digest Algorithm”，1992年4月，上述内容从本申请的申请日起，在地址http://www.ietf.org/rfc/rfc1321.txt处，在互联网上可以得到；-Tiger，R.Anderson，E.Biham，“TigerA Fast NewCryptographic Hash Function”，上述内容从本申请的申请日起，在地址http://www.cs.technion.ac.il/～biham/Reports/Tiger/处，在互联网上可以得到；-RIPEMD-160，H.Dobbertin，A.Bosselaers，B.Preneel，“RIPEMD-160a strengthened version of RIPEMD”，Fast SoftwareEncryption，LNCS 1039，D.Gollmann，Ed.，Springer-Verlag，1996，pp.71-82；-UHASH，T.Krovetz，J.Black，S.Halevi，A.Hevia，H.Krawczyk，P.Rogaway，“UMACMessage Authentication Codeusing Universal Hashing”，Advances in Cryptology-CRYPTO′99。
更一般地，基于n个鉴权三元组<RANDn，SRESn，Kcn>来计算KSIM加密密钥，诸如KSIM＝f(Kc1，Kc2，...，Kcn；SRES1，SRES2，...，SRESn)。
为了安全，作为散列函数的函数f不可逆是便利的，从而不可能获得GSM会话密钥Kci以及根据对KSIM加密密钥的了解而产生的可能的SRESi。
在此点上，互通功能IWF可以产生用于加密操作的随机初始化矢量(IV)，随后继续计算下列消息M1，该消息在步骤180中被返回到网关GM1RAND1，RAND2，IV，cert_KS，EKSIM，IV(KS，cert_KS，h(KS，cert_KS))其中，EKSIM，IV(M)是通过算法E、加密密钥KSIM和初始化矢量IV保护消息M1的加密。
在特定情况下，使用128比特的KSIM密钥和初始化矢量IV，以CBC(密码块链接)模式使用AES加密算法。然而，可以使用任意其它加密算法，优选地使用对称类型的加密算法。这些算法的非限制性列表可以包括，例如-Twofish，B.Schneier，J.Kelsey，D.Whiting，D.Wagner，C.Hall，N.Ferguson，“TwofishA 128-Bit Block Cipher”，AESsubmission，1998年6月；-RC6，R.Rivest，M.Robshaw，R.Sidney，Y.L.Yin，“TheRC6 Block Cipher，algorithm specification”，1998年8月；以及-Serpent，Anderson，E.Biham，L.Knudsen，“Serpent”，AES submission，1998。
此外，在步骤180中返回给网关G的M1消息中，项h(KS，cert_KS)表示将散列函数h应用于级联到其数字证书的使能密钥KS。在解密操作期间，存在于加密后的消息内的所述项将允许验证数字证书的完整性和使能密钥KS的完整性。尽管可以使用任意其它散列函数，但在特定情况下，使用散列函数SHA-1。
在步骤180中返回给网关G的消息中，项cert_KS是一种使能密钥KS的证书(密钥证书)。其可以编码与用于使用使能密钥KS的模式相联系的任何信息。这些模式的非限制性列表包括，例如-使能密钥KS的时间有效性(例如，从起始时刻t1到终止时刻t2)；-可使用使能密钥KS的服务类型。例如，在特定情况下，IPsecVPN服务或者安全SIM服务(邮件、登录等等)；-请求了使能密钥KS的实体。例如，在特定情况下，网关G的标识符。
viii)一旦从互通功能接收到消息M1，网关G在步骤190中发送下列的M2消息M2RAND1，RAND2，IV，EKSIM，IV(KS，cert_KS，h(KS，cert_KS))
ix)在步骤200和220中，软件模块SW一旦接收到消息M2就将RAND1和RAND2的值发送给SIM卡，并且请求SIM卡计算下列与SIM卡的密钥Ki相关联的会话密钥GSMKc1＝A8(RAND1)，Kc2＝A8(RAND1)。
随后，SIM卡通过步骤210和230将GSM会话密钥Kc1和Kc2返回到软件模块SW。
一旦GSM会话密钥Kc1和Kc2是已知的，软件模块SW就计算加密密钥KSIM＝h(Kc1，Kc2)。
随后，一旦重建了KSIM加密密钥并且从消息M2中提取了初始化矢量IV，软件模块SW就解密剩余的消息M2，从而无碍地获得以下参数使能密钥KS以及项cert_KS和h(KS，cert_KS)。随后软件模块SW通过重新计算级联到相应数字证书的密钥KS的散列值，并将其与在所接收的消息M2中包含的解密后的散列值相比较，验证使能密钥KS的正确性。
如果两个值不一致，则软件模块SW向网关G发送包含与出现的事件有关的错误代码的消息，并且通过图形用户界面(GUI)通知用户U激活IPsec VPN信道是不可能的。
x)如果比较的结果是肯定的，则软件模块SW验证该使能密钥KS的证书。特别地，软件模块SW验证-使能密钥KS的有效期尚未届满；-允许使用与IPsec VPN信道的设置有关的使能密钥KS；-请求使能密钥KS的网关G事实上是已注册的网关。
甚至在单次检查失败时，软件模块SW都向网关G发送包含与发生的事件有关的错误代码的消息，并通过图形用户界面通知用户U激活IPsec VPN信道是不可能的。
xi)如果在x)中进行的检查产生肯定的结果，则软件模块SW在步骤240中基于作为输入读取的配置，创建使用预先共享的密钥鉴权的所谓IPsec策略。预先共享的密钥IPsec的值事实上由使能密钥KS给出。然后将操作结果返回到网关G。
xii)网关G执行类似的操作，从而为与等于KS的使能密钥相联系的用户终端的IP地址创建使用预先共享的密钥鉴权的IPsec策略。
xiii)在此点上，用户U和网关G可以以受保护的方式交换信息。依赖于IPsec配置，在私密性、真实性、完整性和免受重放方面，可以在IP层保护所有交换的信息。
需要注意的是有利的，网关G不需要“先验地”知道请求激活IPsec VPN信道的用户U的IP地址。此外，依赖于所需的安全级别，使用不同的IPsec预先共享的密钥可以进行激活IPsec VPN信道的每个请求。可替换地，依赖于使能密钥KS的证书，可以将同一密钥用于多个请求，从而增强VPN IPsec激活阶段的性能。
此外，可以修改上述方法，使得甚至移动运营商也不能知道实际的使能密钥KS。这可以通过确保用户终端TU上的软件模块SW和网关G可以得到的共享秘密来实现，其中所述共享秘密与通过互通功能IWF获得的使能密钥KS相混合。需要注意的是，相对于简单使用在IPsec引擎内的所述附加秘密作为用于信道激活的预先共享的密钥，该解决方案提供了更高的安全级别。在后一种情况下，在一个激活请求和随后的激活请求之间未经过任何修改的所述秘密易受到多次攻击。这将需要必须修改使能密钥，从而导致系统退回到传统的预先共享密钥VPN的管理(管理、分发、更新、取消等)所具有的问题。相反，将所述共享秘密与使能密钥KS混合使得最小化了攻击的风险，而不需要任何管理负载，其中所述使能密钥KS本质上与用户U相联系并且潜在地对于每个请求都是不同的。
以对于以上描述的全部两种方式，SSL/TLS VPN的激活包括在互通功能IWF的帮助下，激活被授权用户U和网关G之间的SSL/TLS VPN信道。
参照图4，激活SSL/TLS VPN阶段包括以下步骤i)执行以上对于IPsec VPN的激活所描述的步骤i)至x)。因此在图4中用与在图3中已经采用的标记相同的标记来指示这些步骤。
ii)在此点上，如果由上述步骤i)和x)所提供的所有检查都已成功，则网关G和用户U将已经激活了VPN SSL/TLS信道，用户U将通过数字证书已经鉴权了网关G，并且最后用户U和网关G将能够得到与使能密钥KS相对应的共享密钥。网关G仍需要鉴权用户U，以便授予或者拒绝对客户网络CN的受保护接入，从而授予或者拒绝使用现有SSL/TLS VPN信道。为此，网关G可以使用不同的策略。在非限制性的示例中，使用了询问-响应机制。网关G在步骤250中产生包括随机部分(random_value)和时间戳(timestamping)，即<random_value，timestamping>对，的“nonce”，并将其发送给软件模块SW。
iii)软件模块SW在步骤260中接收该nonce，并且基于使能密钥KS，使用MAC(消息鉴权代码)函数来处理它。简而言之，获得下列函数MACKS(random_value，timestamping)其中，MACK(M)表示基于使能密钥KS计算的、消息M的MAC函数。可以遵循多种策略来选择MAC函数。非限制性的示例包括-HMAC-SHA-1，参见互联网工程任务组(IETF)，“HMACKeyed-Hashing for Message Authentication”，1997年2月，上述内容从本申请的申请日起，在地址http://www.ietf.org/rfc/rfc2104.txt处，在互联网上可以得到；-UMAC，T.Krovetz，J.Black，S.Halevi，A.Hevia，H.Krawczyk，P.Rogaway，“UMACMessage Authentication Codeusing Universal Hashing”，Advances in Cryptology-CRYPTO′99；-HMAC-MD5；-AES-XCBC-MAC-96，S.Frankel，H.Herbert，“TheAES-XCBC-MAC-96 Algorithm and Its Use with IPsec”，Internetdraft(work in progress)，draft-ietf-ipsec-ciph-aes-xcbc-mac-02.txt，2002年6月。
当前优选的实现选择提供用来使用HMAC-SHA-1解决方案。最后将MAC函数返回给网关G以便进行验证。
iv)接收到MAC函数且已经得到包括使能密钥KS的所有数据的网关G重复MAC函数的计算并比较结果。
在匹配的情况下，保持SSL/TLS VPN信道有效，否则关闭SSL/TLS VPN信道。在两种情况下，都更新日志文件。
为了由网关G鉴权用户U，可以使用基于对共享秘密的了解的任意其它鉴权机制。MAC函数的使用仅仅是实现的示例。
由所提出的方法提供的主要优点包括相对于基于口令的解决方案，本发明提供了更高的安全级别，而不会遭遇基于证书和公钥基础设施(PKI)的虚拟专用网络的高运行和实现成本。
作为硬件设备的SIM卡是防止篡改的安全设备。由于一般不能从SIM卡中提取密钥Ki，所以由于VPN的正确操作需要物理地拥有该卡以及了解个人识别号(PIN)，使得安全级别高。通常，在三次尝试输入PIN之后，锁定该卡，从而在用户认识到之前，并且抢在基于偷窃并且已执行的尝试攻击之前，并且通知他/她的移动运营商。
在这方面，应当注意的是，加强且很好地限定了SIM卡的现有安全过程，并且移动运营商常年对其进行改进。因此，最初在GSM情况下设计的这样的技术也可用于管理IP公共网络上的鉴权证书。所述过程独立于用户使用的网络技术，诸如GSM或者IP。
此外，应当理解的是，在本文中描述的解决方案不需要通过SIM应用工具包(SAT)环境或者类似环境修改或者个性化该服务使用的SIM卡。这潜在地允许任何GSM用户安全地激活VPN信道，而不用任何其它注册、口令通信或其它过程。
因此，在不改变本发明的原理的情况下，相对于在本文中描述和图示的内容，甚至在很大程度上，可以改变构造细节和实施例，从而不会背离由以下权利要求中所定义的本发明的范围。
权利要求
1.一种用于使得用户(U)能够通过公共通信网络(IP)在虚拟专用网络(VPN)上通信的方法，在所述虚拟专用网络(VPN)上通信的可能性依赖于以加密形式发送给用户(U)的至少一个使能证书(KS)对于所述用户(U)的可用性，所述方法包括操作给所述用户(U)提供承载加密机制的SIM类型模块；以及利用由所述SIM类型模块承载的所述加密机制，在所述用户(U)处解密所述至少一个使能证书(KS)，所述SIM类型模块能够与至少一个其它通信网络交互，以便激活所述加密机制。
2.根据权利要求1所述的方法，其特征在于，所述方法包括如下操作给所述用户(U)提供包括能够与至少一个移动电话网络交互的SIM卡的SIM类型模块。
3.根据权利要求1所述的方法，其特征在于，所述方法包括如下操作给所述用户(U)提供能够连接到所述公共通信网络(IP)和所述SIM类型模块的用户终端(TU)。
4.根据权利要求1所述的方法，其特征在于，所述方法包括如下操作给所述用户(U)提供在由PC、笔记本电脑、膝上电脑、PDA、智能电话构成的组中选择的用户终端(TU)。
5.根据权利要求3所述的方法，其特征在于，所述方法包括如下操作给所述用户(U)提供能够通过至少一个通信信道连接到所述SIM类型模块的用户终端(TU)，所述至少一个通信信道是在由智能卡读取器(10)、蓝牙信道(12)、IrDA信道(14)、SIM卡读取器(16)、蜂窝电话(18)、电缆构成的组中选择的。
6.根据权利要求1所述的方法，其特征在于，所述方法包括如下操作在所述虚拟专用网络(VPN)和在其上通信的用户(U)之间提供加密通信模式。
7.根据权利要求6所述的方法，其特征在于，所述方法包括如下操作根据在SSL、TLS、SSH和IPsec中选择的协议，提供所述加密通信模式。
8.根据权利要求6所述的方法，其特征在于，所述方法包括如下操作提供与所述虚拟专用网络(VPN)相关联的至少一个网关(G)，以激活所述加密通信模式。
9.根据权利要求1所述的方法，其特征在于，所述方法包括如下操作提供与所述至少一个其它通信网络协作的互通功能(IWF)，其中所述至少一个其它通信网络带有鉴权中心(AuC)。
10.根据权利要求9所述的方法，其特征在于，所述方法包括如下操作给所述用户(U)提供与所述SIM类型模块相关联的用户终端(TU)；用于移动通信的所述用户终端(TU)能够通过所述互通功能(IWF)与所述鉴权中心(AuC)通信；以及从所述鉴权中心(AuC)请求鉴权数据的至少一个对应集合(<RAND，SRES，和Kc>)，所述鉴权数据用于激活由所述SIM类型模块承载的所述加密机制，其中所述用户(U)为了在所述虚拟专用网络(VPN)上通信而给出所述请求。
11.根据权利要求10所述的方法，其特征在于，所述请求操作包括将所述SIM类型模块的标识符传送到所述鉴权中心(AuC)。
12.根据权利要求11所述的方法，其特征在于，所述标识符是国际移动用户身份(IMSI)。
13.根据权利要求10所述的方法，其特征在于，所述鉴权数据包括至少一个三元组<RAND，SRES，和Kc>。
14.根据权利要求9所述的方法，其特征在于，所述方法包括如下操作使用所述互通功能(IWF)注册所述至少一个网关(G)和对应用户；以及激活在所述用户和所述至少一个网关(G)之间的所述虚拟专用网络(VPN)。
15.根据权利要求14所述的方法，其特征在于，所述使用所述互通功能(IWF)注册所述至少一个网关(G)和对应用户的操作需要如下操作识别所发出的一组SIM类型模块中的哪些模块是使得能够在与特定网关(G)相关的所述虚拟专用网络上通信的SIM类型模块。
16.根据权利要求14所述的方法，其特征在于，所述使用所述互通功能(IWF)注册所述至少一个网关(G)和对应用户的操作需要如下操作给所述互通功能(IWF)提供在由以下信息构成的组中选择的信息能够通过所述网关(G)接入所述虚拟专用网络(VPN)的服务的SIM类型模块的列表；以及在所述互通功能(IWF)和所述网关(G)之间的互连模式。
17.根据权利要求16所述的方法，其特征在于，在所述互通功能(IWF)和所述网关(G)之间的所述互连模式是在由专用链路上的互连和借助于VPN技术在公共网络上的连接构成的组中选择的。
18.根据权利要求1所述的方法，其特征在于，所述方法包括如下操作从期望在所述虚拟专用网络(VPN)上通信的所述用户(U)接收所述SIM类型模块的标识符和在由以下信息实体构成的组中选择的相关信息实体在所述虚拟专用网络(VPN)上所述标识符可以到达的地址集；允许所述用户接入所述虚拟专用网络(VPN)的时间段；允许所述用户接入所述虚拟专用网络(VPN)的一星期中的数日；以及用于所述用户(U)的被使能的协议。
19.一种用于使得用户(U)能够通过公共通信网络(IP)在虚拟专用网络(VPN)上通信的系统，在所述虚拟专用网络(VPN)上通信的可能性依赖于以加密形式发送给用户(U)的至少一个使能证书(KS)对于所述用户(U)的可用性，所述系统包括所述用户(U)可用并且承载加密机制的至少一个SIM类型模块，以及至少一个其它通信网络，所述系统被配置成所述用户(U)利用由所述SIM类型模块承载的所述加密机制，解密所述至少一个使能证书(KS)，通过所述SIM类型模块与所述至少一个其它通信网络之间的交互，激活所述加密机制。
20.根据权利要求19所述的系统，其特征在于，所述至少一个其它通信网络包括鉴权中心(AuC)，用于提供能够激活所述加密机制的鉴权数据。
21.一种公共通信网络(IP)，其被配置成使得用户(U)能够通过所述公共通信网络(IP)在虚拟专用网络(VPN)上通信，在所述虚拟专用网络(VPN)上通信的可能性依赖于以加密形式发送给用户(U)的至少一个使能证书(KS)对于所述用户(U)的可用性，所述公共网络(IP)具有与之相关联的、根据权利要求19所述的系统。
22.一种计算机产品，其能够被加载到电子计算机的内存中，并且包括用于实现根据权利要求1至18中的任一个所述的方法的软件代码部分。
全文摘要
一种用于使得用户(U)能够通过公共通信网络(IP)在虚拟专用网络(VPN)上通信的系统，在所述虚拟专用网络(VPN)上通信的可能性依赖于以加密形式发送给用户(U)的至少一个使能证书(KS)对于所述用户(U)的可用性。所述系统包括所述用户(U)可用并且承载加密机制的至少一个SIM类型模块，并且所述系统被配置成利用由所述SIM类型模块承载的所述加密机制，在所述用户(U)处解密前述的使能证书(KS)，所述SIM类型模块能够与至少一个其它通信网络交互，以便激活所述加密机制。
文档编号H04W92/16GK1961557SQ200480043206
公开日2007年5月9日 申请日期2004年5月31日 优先权日2004年5月31日
发明者玛纽·里昂, 艾托·E·卡普瑞拉 申请人:意大利电信股份公司