专利名称:通信系统、用于注册通信关系的方法以及网络连接计算机的制作方法
技术领域:
本发明涉及一种通信系统,该通信系统作为通信元件具有一个连接控制计算机、一个与连接控制计算机相耦合的网络连接计算机和至少一个与网络连接计算机相耦合的通信单元。本发明还涉及一种用于在这种通信系统中注册通信关系的方法,以及涉及一种网络连接计算机。
背景技术:
在ITU标准H.235(在ITU-T Recommendation H.235版本3“Security and Encryption for H-Series(H.323 and other H.245based)Multimedia-Terminals”中公开)中,定义了面向分组的网络通信的安全机制。在此还在纳入一个公共密钥的情况下通过加密的校检和来确保注册数据和信令数据的完整性和鉴权。如果在检查加密的校验和时出现错误,则丢弃也含有地址信息的消息。
在按照H.235附录D的所谓的“基本规范(Baseline-Profil)”中,通信单元和也称为关守的连接控制计算机借助事先已受管理的密码来进行鉴权。在根据H.235附录F的所谓的“混合规范”中,通信单元和连接控制计算机在注册时采用数字签名和证书。为了保护跟随在成功注册之后的其它消息的完整性,在注册过程期间利用Diffie-Hellman方法动态地商定一个公共密钥(Geheimnis)。
在具有连接控制计算机、网络连接计算机和至少一个通信单元的通信系统中,通常由连接控制计算机来执行通信单元的鉴权和授权,而也称为网关的网络连接计算机将消息不加改变地由通信单元向连接控制计算机递送。
如果通信单元和连接控制计算机位于具有不兼容的IP地址范围的不同通信网中,则产生问题。在此情况下,由建立两个通信网之间的连接的网络连接计算机借助所谓的网址翻译(NAT)来实现消息中的IP地址的转换。由于IP地址的转换,所改变的消息的加密的校验和不再正确,因此该消息由连接控制计算机丢弃。为了避免这种情况,也必须通过网络连接计算机来替换校验和,为此该网络连接计算机会需要通信单元和连接控制计算机的公共密钥。
在所述的情况下,必须给予网络连接计算机访问数据库的权利,该数据库与用于检查授权的连接控制计算机相连接,因此在转换IP地址时网络连接计算机可以计算出新的正确的校验和。在此情况下网络连接计算机既检查鉴权也检查授权。
该处理方式的缺点是需要通向网络连接计算机上的数据库的接口。只要该通信系统具有多个这样的网络连接计算机,这些网络连接计算机分别使两个不同的通信网彼此连接并且分别进行IP地址的转换,就必须在网络连接计算机中的每一个中执行授权和鉴权的检查。这意味着,多个网络连接计算机中的每一个会需要访问用户数据库的数据。
发明内容
因此本发明的任务在于,创造一种通信系统和一种用于在通信系统中注册通信关系的方法,该通信系统和方法在管理开支低的情况下确保高的安全性。
通过具有权利要求1所述特征的通信系统、通过具有权利要求12所述特征的用于在通信系统中注册通信关系的方法以及通过具有权利要求21所述特征的网络连接计算机来解决该任务。
如此来设置本发明的通信系统,使得为了在通信系统中注册通信单元的通信关系而由该通信单元通过网络连接计算机来传输询问消息到连接控制计算机上,在该网络连接计算机中检查该询问消息的鉴权,而在该连接控制计算机中检查该询问消息的授权。
本发明的方法具有以下的步骤将询问消息从通信单元通过网络连接计算机传输到连接控制计算机上;由网络连接计算机执行询问消息的鉴权;如果鉴权的结果是肯定的,则转送询问消息到连接控制计算机上;由连接控制计算机检查询问消息的授权;传输应答消息到发送询问消息的通信单元上。
如此来设置本发明的网络连接计算机,使得它检查应由通信单元转送到连接控制计算机上的询问消息的鉴权,并且仅在肯定的鉴权的情况下才进行转送。
由从属权利要求中产生有利的扩展方案。
本发明的基本原理在于鉴权的检查和授权的检查的划分。在网络连接计算机中进行询问消息的鉴权,而当该询问消息已输送给连接控制计算机时,才进行授权。优点在于,只须建立具有通向数据库的连接的连接控制计算机,用于检查授权的涉及用户的数据位于该数据库中。与此相反,这些数据不需要提供给各自中间连接的网络连接计算机来使用,因为为了检查鉴权不需要其它涉及用户的数据。仅仅利用位于询问消息中的信息就可以进行鉴权。
如果通信单元和连接控制计算机属于不同的通信网,则可以有利地采用本发明,其中通过网络连接计算机来实现各自IP地址的转换。该转换称为网址翻译(NAT)。由于在传输询问消息时为了确保完整性和鉴权而传输加密的校验和,所以在IP地址转换的范围内也实现校验和的改变。因为由与通信单元相连接的网络连接计算机来进行询问消息的校验和的检查,并因此进行鉴权,所以可以毫无顾忌地改变用于地址转换的消息,因为在连接控制计算机中不再需要该原先的校验和或签名来用于授权的检查。
有利地,通信单元是一个计算机或一个其它的网络连接计算机,该网络连接计算机与至少一个其它的通信单元相耦合。因此本发明方法可以同样用于计算机(计算机上的硬件或软件)或其它的网络连接计算机的注册。多个串联地彼此相耦合的网络连接计算机用于将相应的多个通信网彼此相连接,其中各自的网络连接计算机从事两个通信网之间的地址转换。
在所设置的通信系统中优选地通过信赖关系分别将通信元件中的两个通信元件彼此相连接。概念“设置”在此意味着,这种通信元件已经被鉴权和授权,因此可以利用大大简化的检查来进行消息的递送。因此尤其不再需要对通信单元的消息进行授权,却还对稍后的数据消息进行鉴权。
例如可以通过一个(预先管理的)密码或一个根据Diffie-Hellman方法所形成的密钥来示出信赖关系。优选地通过一个密码或一个根据Diffie-Hellman法所形成的密钥来示出每一个信赖关系。换而言之这意味着,每对通信元件之间的密码或密钥可以是不同的。优选地,仅在事先通过连接控制计算机进行了肯定的鉴权和肯定的授权之后才存在信赖关系。
只要在两个通信元件之间还不存在信赖关系,就优选地在采用数字证书的情况下实现两个通信元件之间的消息传输。为此目的,每个通信元件具有一个个人证书和一个私人密钥。此外每个通信元件还具有至少一个所谓的根证书,利用该根证书或这些根证书来对所连接的通信元件的个人证书进行签名。尽管进行了地址转换并因此改变了要传输的数据,这仍然能够实现对由相邻通信元件所传输的消息的鉴权进行检查。
本发明有利地实现了每个通信元件只认识与它相连接的通信元件的地址。这种处理方式显著地简化了整个通信系统的管理。
根据本发明方法的有利的扩展方案,在传输询问消息之前实现网络连接计算机和连接控制计算机之间的信赖关系的建立。如上所述,在采用数字证书的情况下实现信赖关系的建立。为此目的,与连接控制计算机相连接的网络连接计算机发送询问消息到该连接控制计算机上,该询问消息由连接控制计算机来进行鉴权和授权。只要两项检查的结果是肯定的,连接控制计算机就发送应答消息到网络连接计算机上,其中同时约定一个密钥。该密钥是以后存在的信赖关系的基础。
在采用在网络连接计算机和连接控制计算机之间约定的信赖关系、即商定的密钥的情况下,实现从通信单元发送到连接控制计算机上的询问消息的转送。
优选地,在两个还不存在信赖关系的通信元件之间在采用证书的情况下进行数据传输,而在两个已经存在信赖关系的通信元件之间在采用密钥或密码的情况下进行数据传输。
为了有效地设置通信系统,合理地是从连接控制计算机出发,朝远离它的网络连接计算机或通常情况下通信元件的方向建立信赖关系。因此在具有多个网络连接计算机的通信系统中,在通信单元想在通信系统中注册之前,这些网络连接计算机必须已与连接控制计算机建立了信赖关系。在此情况下,只须通过证书来进行询问消息从通信单元到与该通信单元相连接的网络连接计算机的传输。这意味着,与通信单元相连接的网络连接计算机检查询问消息的鉴权。如果该鉴权是肯定的,则可以通过该网络连接计算机或多个网络连接计算机将询问消息直接(也许通过各自的地址转换)转送到连接控制计算机上,而不需要通过位于通信单元之间的网络连接计算机来进行通信单元的鉴权的进一步检查。但是只有当所有位于传输线路中的网络连接计算机已经与连接控制计算机具有信赖关系时,这才适用。
优选地,从与连接控制计算机相连接的网络连接计算机开始按顺序地实现多个网络连接计算机的注册。
在另一个有利的扩展方案中,在肯定的鉴权和授权之后作为其它的步骤,在发送询问消息的通信单元和与该通信单元相连接的网络连接计算机之间建立信赖关系。在已建立了这种信赖关系之后,通信单元可以在采用较简单的加密方法的情况下将消息传输到连接控制计算机上。
在本发明方法的另一个扩展方案中,询问消息在从通信单元传输到连接控制计算机上时由每个网络连接计算机至少部分地进行修改。数据的修改在此优选地包括各自IP地址的转换。
合理地,应答消息在从连接控制计算机传输到通信单元上时由通信单元针对鉴权进行检查。
本发明可以如下来概括基本原理在于在通信系统中注册的通信单元的鉴权和授权的划分。由通信单元发送的询问消息的鉴权在与该通信单元相连接的网络连接计算机上实现,而授权由连接控制计算机来实现。这更确切地意味着,通过网络连接计算机对通信单元进行鉴权,该网络连接计算机已经通过以前在连接控制计算机处的注册具有到该连接控制计算机的安全性关系。随后该网络连接计算机(必要时通过其它的网络连接计算机)将修改后的询问消息转递到连接控制计算机为止。由于在此涉及的不是符合标准的消息,而是修改后的消息,所以优选采用一种专门的标志。最终在连接控制计算机上检查授权,该连接控制计算机通过一个或多个网络连接计算机与通信单元分开。随后通过网络连接计算机链将连接控制计算机的应答消息传输至与通信单元相连接的网络连接计算机为止。该网络连接计算机用符合标准的应答消息来应答通信单元的询问消息,通信单元可以检查该应答消息的鉴权。在称为“握手”的该过程中,在成功注册的情况下,例如在通信单元和与该通信单元相连接的网络连接计算机之间交换Diffie-Hellman参数。从这些参数中计算出一个公共密钥,因此现在也在该通信单元和与该通信单元相连接的网络连接计算机之间以及因而也与连接控制计算机存在着安全性关系。
本发明方法的优点在于即使在通信系统中进行多次地址转换时通信单元也可在通信系统中进行安全的注册。通信系统的管理被简化,因为仅仅需要一个唯一的具有涉及用户的数据的数据库,其中该数据库只与连接控制计算机相连接。如上所述的通信系统不要求在通信单元上进行技术类型的任何改变。将鉴权的工作量、尤其是签名计算和费事的Diffie-Hellman计算几乎完全从迄今集中所使用的连接控制计算机转移到各自的网络连接计算机上。
以下借助附图来详述本发明及其优点。
图1展示了在第一实施例中的本发明的通信系统,图2展示了在第一实施例中的网络连接计算机在连接控制计算机上的、用于建立信赖关系的注册,图3展示了在第一实施例中的通信单元在连接控制计算机上的注册,图4展示了以H.235数据字段为实例的两个表格的对比,由该对比表明在询问消息中所传输的字段以及在连接控制计算机上注册期间这些字段通过网络连接计算机进行的修改,图5展示了在第一实施例中的在肯定的鉴权和授权之后数据消息从所注册的通信单元到连接控制计算机上的传输,图6展示了在第一实施例中的网络连接计算机注册失败的流程,图7展示了在第一实施例中的网络连接计算机注册失败的流程,图8展示了在第一实施例中的通信单元注册失败的流程,图9展示了在第一实施例中的通信单元注册失败的流程,图10展示了在第二实施例中的具有用于改善负载分配的、平行布置的网络连接计算机的通信系统,图11展示了在第三实施例中的具有多个彼此串联耦合的网络连接计算机的通信系统,图12展示了在第三实施例中的通信单元的注册,其中在各自的网络连接计算机和连接控制计算机之间已经存在着信赖关系,图13展示了在第三实施例中的数据消息从所注册的通信单元到连接控制计算机上的传输,图14展示了在第三实施例中的通信单元的失败的注册,图15展示了在第三实施例中的通信单元的失败的注册。
具体实施例方式
以下说明的不同通信系统的实施例优选地被用于基于IP(因特网协议)的电话。
附图1展示了在第一实施例中的本发明通信系统KS的最简单的形式。本发明的通信系统KS作为通信元件KE具有一个通信单元KEH、一个网络连接计算机GW、一个连接控制计算机GK和一个数据库DB。含有关于通信单元KEH的用户专门信息的数据库DB根据本发明只与连接控制计算机GK相连接。它含有诸如全部通信单元和网络连接计算机的证书那样的授权数据。
通信单元KEH属于第一通信网NW1。连接控制计算机GK和与其相连接的数据库DB属于第二通信网NW2。第一或第二通信网NW1、NW2中各自的通信元件可以在不同协议的基础上工作。将第一通信网NW1的通信元件与第二通信网NW2的通信元件相连接的网络连接计算机GW承担尤其是地址、格式、代码等等的协议转换和协议翻译。也称为网关的网络连接计算机在要连接的通信网的最小的公共层上工作。网络连接计算机可以作为网络节点被寻址,并且由第一和第二通信网NW1、NW2来询问(ansprechen)。
与图1中的示图相反,第一通信网NW1可以具有多个通信单元KEH,这些通信单元KEH彼此和/或与网络连接计算机GW相连接。相应的内容也适用于第二通信网NW2。
为了根据本发明在连接控制计算机上注册通信单元,每个通信元件KE需要一个个人证书和与此相配的私人密钥。除此之外,每个通信元件KE需要一个根证书,利用该根证书已对每个直接相邻的通信元件的个人证书进行了签名。针对图1的第一实施例,这意味着,通信单元KEH具有网络连接计算机GW的根证书和个人证书Zert_KEH。网络连接计算机GW具有个人证书Zert_GW以及通信单元KEH和连接控制计算机GK的根证书。连接控制计算机具有个人证书Zert_GK以及网络连接计算机GW的根证书。各自的根证书用来检查个人证书的真实性。
为了确保在相应的通信元件之间顺利地传输消息,通信单元KEH需要与通信单元KEH相连接的网络连接计算机GW的地址,以代替连接控制计算机GK的地址。该网络连接计算机又分别需要紧接着的网络连接计算机的地址,只要它存在。只有与连接控制计算机GK相连接的网络连接计算机GW获得连接控制计算机GK的地址。
在图2至9中描述了根据按照图1的第一实施例的本发明通信系统的设置和运行的不同流程。
为了在本发明通信系统KS中迅速而有效地注册通信单元,首先需要可以以迅速而简单的方式来实现网络连接计算机GW和连接控制计算机GK之间的数据传输。为此目的,如果网络连接计算机GW首先在连接控制计算机GK上进行注册则是合宜的。图2中示出了时间上的流程和在此所采用的安全机制。网络连接计算机GW发送询问消息ANF到连接控制计算机GK上,该询问消息ANF借助网络连接计算机的个人证书Zert_GW进行了签名。除此之外,在该消息中含有所谓的Diffie-Hellman半组(Halfset)(用参考符号DH1标记的),该Diffie-Hellman半组还含有Diffie-Hellman方法的公共的参数。在肯定的鉴权(AUTC)之后进行网络连接计算机的授权(AUTORIS),在该授权(AUTORIS)中连接控制计算机GK分析研究与其相连接的数据库DB的相应的录入项。如果授权曾是肯定的,连接控制计算机GK则传输一个用它的个人证书Zert_GK签名的应答消息ANT到网络连接计算机GW上,其中同样传输Diffie-Hellman半组(参考符号DH2),以便生成网络连接计算机GW和连接控制计算机GK之间的公共密钥。借助在网络连接计算机GW中存在的、连接控制计算机GK的根证书检查该应答消息ANT的鉴权(AUTC)。如果该检查曾是成功的,则用Diffie-Hellman方法计算出建立信赖关系VB基础的密钥(参考符号DH)。
只要在以下的图中在两个相邻的通信元件之间存在信赖关系,这就通过虚线来示出,并且已根据上述的操作来建立。
信赖关系VB的存在现在能够实现在网络连接计算机GW和连接控制计算机GK之间传输消息,而不采用证书。替代于此,可以动用所商定的密钥,由此简化和显著地加快消息的检查。
在标准H.235附录F中该处理方式称为混合规范,在该规范中首先借助证书来实现连接建立,并且在采用HMAC(基于散列的消息鉴权代码Hash-Based Message Authentication Code)的情况下借助密钥来实现其它的通信。这是一种在RFC2104中详细说明的用于消息鉴权的机制,该机制采用加密的散列函数。可以利用任何加密的单程散列函数、例如SHA-1(安全散列算法)将HMAC与机密的、共同采用的密钥相结合地来使用。HMAC的加密的强度取决于所基于的散列函数的特性。
在网络连接计算机GW和连接控制计算机GK之间已建立了信赖关系之后,可以进行通信单元KEH在通信系统KS中、尤其在连接控制计算机GK上的注册。图3中示出了该过程。为此目的,通信单元KEH传输询问消息ANF到网络连接计算机GW上,该询问消息ANF补充了一个Diffie-Hellman半组DH1并已借助它的个人证书Zert_KEH进行了签名。该网络连接计算机GW根据本发明方法承担询问消息ANF的鉴权。由于存在通信单元KEH的根证书,所以这对于它来说是可能的。如果鉴权是肯定的,它则在改变数据的至少一部分(NAT)的情况下将询问消息转送到连接控制计算机GK上。在此,借助HMAC加密方法来实现对修改后的询问消息ANF’的加密。数据的改变尤其涉及地址转换。
这将联系以标准H.235为实例的图4更确切地进行说明。图4展示了两个具有等同的消息字段的表格,在询问消息ANF中还含有这些消息字段。字段包括消息类型、发送方IP地址、目标IP地址、时间、序列号、总ID、DH半组、证书、算法0ID和签名。
如果网络连接计算机GW收到了询问消息ANF,则还(以任意的顺序)执行以下的检查-T_KEH是否位于时间窗内?-是否存在用于检查证书Zert_KEH的根证书?-消息的签名是否正确?-证书Zert_KEH的签名是否正确?因而执行除了通信单元的简档(Profil)的可靠性之外的所有检查,因为为此会需要来自数据库DB的数据,但是网络连接计算机GW无权访问该数据库DB。如果这些检查中的一个失败了,则借助签名后的应答消息ANT来拒绝通信单元(图8)。在此情况下不将询问消息转送到连接控制计算机GK上。
网络连接计算机GW至少部分地改写联系图4所阐述的字段,因为在第二通信网NW2中的IP地址是不同的。除此之外,修改后的询问消息ANF’的接收方必须能够区别,是否涉及通常的签名后的询问消息或“修改后的”询问消息。这通过改变后的算法0ID来显示。
如果在根据图1的实施例中连接控制计算机GK收到了这种修改后的询问消息ANF’(图3),则还执行以下的检查-参数T_GW是否位于时间窗内?-序列号R_GW是否正确?-修改后的询问消息ANF’的HMAC是否正确?如果所有的检查都正确,则现在通过用于授权控制的连接控制计算机GK从数据库DB中查询启动询问消息的通信单元KEH的简档。该属于通信单元的简档含有明确识别通信单元的可靠的证书的信息,要么含有证书本身,要么含有例如出版者(所谓发行者)的系列号和名称。
连接控制计算机现在(按照检查的结果)将利用HMAC的H.235基本规范中的应答消息发送到网络连接计算机GW上。网络连接计算机GW又承担如上所述的数据修改(NAT),添加DH半组DH2,以及借助它的个人证书Zert_GW将修改后的询问消息ANF’传输到通信单元KEH上。通信单元KEH检查修改后的应答消息ANT’的鉴权。如果检查是成功的,则从所收到的DH半组中计算出一个与网络连接计算机GW的公共密钥(参考符号DH)。在采用Zert_GW的情况下借助数字签名来实现修改后的应答消息的完整性保护。
在通信单元KEH和网络连接计算机GW之间以及在网络连接计算机GW和连接控制计算机GK之间现在存在着信赖关系之后,可以利用根据HMAC的较简单的方法来保护所有其它的消息。在此要强调的是,图5中所展示的信赖关系VB分别动用了不同的密钥。
图6和7展示了网络连接计算机GW在连接控制计算机GK上注册失败的流程。根据图6注册失败了,因为未满足联系图4所提及的鉴权准则中的一个。在此情况下,不通过连接控制计算机进行授权的检查。替代于此,更确切地说在采用证书Zert_GK的情况下传输相应的应答消息到网络连接计算机GW上,该网络连接计算机GW在其侧执行鉴权检查。在应答消息中将拒绝注册通知网络连接计算机。
不同于此,在根据图7的实例中鉴权的检查是肯定的,但是在授权检查时出现了错误。在此情况下,也通过应答消息ANT将注册失败通知网络连接计算机。
在图6和7的这两种情况下,在连接控制计算机GK一侧舍弃DH半组的传送,因为不需要商定公共密钥。
在图8和9中出发点在于,在网络连接计算机GW和连接控制计算机GK之间已经存在着信赖关系VB。如结合图3所述的那样来实现将询问消息ANF从通信单元传输到网络连接计算机GW上以及检查鉴权准则。但是由于未曾满足鉴权准则中的一个,所以在图8中不进行询问消息的修改和到连接控制计算机GK上的转送。更确切地说,通过网络连接计算机GW将借助证书Zert_GW签名的应答消息回送到通信单元上。同样不传送Diffie-Hellman半组。
与此相反,在图9中通过网络连接计算机GW进行的询问消息ANF的鉴权的检查是肯定的。进行修改和到连接控制计算机GK上的转送,该连接控制计算机GK进行上述的授权的检查。在该检查失败时,连接控制计算机GK在采用HMAC的情况下传送应答消息ANT到网络连接计算机GW上。该网络连接计算机GW修改该消息,并且在采用它的证书Zert_GW的情况下转送该消息到通信单元KEH上,该通信单元KEH对修改后的应答消息ANT’进行鉴权。在修改后的应答消息ANT’中含有拒绝注册的信息。
图10展示了具有并行的网络连接计算机GW1、GW2的通信系统的第二实施例,这些网络连接计算机GW1、GW2分别与连接控制计算机GK相耦合。多个通信单元KEH1,…KEH4与网络连接计算机GW2相连接。仅仅示范性地将唯一的一个通信单元KEH5与网络连接计算机GW1相连接。通信单元KEH1,…KEH4以及通信单元KEH5位于一个共同的通信网NW1中。连接控制计算机GK和数据库DB布置在通信网NW2中。
在以下的简短的说明中出发点在于,在通信单元KEH1,…KEH4和网络连接计算机GW2之间已经存在着信赖关系。同样出发点在于,在连接控制计算机GK和网络连接计算机GW1、GW2之间存在着信赖关系。
通信单元KEH5现在想在通信系统中注册。为此它可以将询问消息既发送到网络连接计算机GW2上,也发送到网络连接计算机GW1上。网络连接计算机GW2由于它的巨大的满载而在检查了通信单元KEH5的询问消息的鉴权之后传输应答消息到该通信单元KEH5上,在该应答消息中它拒绝转送该询问消息到连接控制计算机GK上。通信单元KEH5现在可以发送其它的询问消息到网络连接计算机GW1上,该网络连接计算机GW1接受询问消息的处理。其它的操作对应于联系图1至9所述的操作。
图11至15涉及本发明通信系统的第三实施例,该通信系统详细示出在图11中。通信系统KS的特征在于,设置了多个网络连接计算机GW1,…GWn。多个网络连接计算机串联在位于第一通信网NW1中的通信单元KEH1和连接控制计算机GK之间,该连接控制计算机GK与数据库DB一起被置于通信网NWn+1中。在每两个网络连接计算机GW1,GW2;GW2,GW3;GWn-1,GWn之间,布置了一个各自的通信网NW2,NW3,…,NWn。
借助图12说明询问消息ANF从通信单元KEH通过多个网络连接计算机GW1,…GWn到连接控制计算机GK上的传输。在此出发点在于,在各自的网络连接计算机GW1,…GWn之间,以及在网络连接计算机GWn和连接控制计算机GK之间已经存在着信赖关系VB。首先必须在与连接控制计算机GK相连接的网络连接计算机GWn和连接控制计算机GK之间建立信赖关系。然后从连接控制计算机GK出发实现信赖关系的进一步建立。该处理方式能够实现在传输消息中的大部分时动用根据HMAC的较简单的方法来保护完整性。于是分别仅在第一步骤中,在进行注册的通信元件和相邻的通信元件之间需要借助证书来签名消息。
在注册通信单元时的处理方式原则上与结合图1至9所述的一致。但是要明确地指出,仅在与通信单元相邻的网络连接计算机GW1中进行对询问消息ANF的鉴权的检查。如果鉴权检查已顺利地进行,则在分别至少部分地改变数据的情况下将消息从其它的网络连接计算机GW2,…GWn仅仅转递到连接控制计算机上。相应的内容适用于应答消息从连接控制计算机GK到网络连接计算机GW1上的传输。在该数据路径之内仅仅借助HMAC进行完整性保护,其中通过数据路径中的每一个网络连接计算机来修改应答消息。如图3中所述的那样来实现应答消息ANT从网络连接计算机GW1到通信单元KEH上的传输。
基于现在也在通信单元KEH和网络连接计算机GW1之间存在的信赖关系,可以通过利用HMAC的较简单的方法对通信单元KEH和连接控制计算机GK之间的数据消息进行完整性保护(图13)。
图14至15展示了通信单元KEH在通信系统中的失败的注册尝试。由于仅仅通过网络连接计算机GW1来执行询问消息鉴权的检查,所以在否定的检查的情况下,直接回送应答消息ANT到通信单元KEH上。不进行询问消息ANF的修改和传送到其他网络连接计算机GW2,…GWn中的一个上(图14)。
根据图15的实施例,鉴权的检查顺利地进行,因此询问消息ANF在被修改的情况下由每个网络连接计算机GW1,…GWn传输到连接控制计算机GK上。对于授权检查失败的情况,则生成一个应答消息,借助HMAC方法传输该应答消息到网络连接计算机GW1上。由于连接控制计算机GK拒绝了注册,所以不给再次修改后的应答消息ANT添加Diffie-Hellman半组。因此也不可能在通信单元和网络连接计算机GW1之间建立信赖关系。
在所述的实施例中通过计算机来构成连接控制计算机。替代地也可以将连接控制计算机划分成多个计算机。
权利要求
1.通信系统,该通信系统作为通信元件(KE)具有一个连接控制计算机(GK)、一个与所述连接控制计算机(GK)相耦合的网络连接计算机(GW)和至少一个与所述网络连接计算机(GW)相耦合的通信单元(KEH),其中如此来设置所述通信系统,使得为了在所述通信系统(KS)中注册所述通信单元(KEH)的通信关系,询问消息(ANF)由所述通信单元(KEH)通过所述网络连接计算机(GW)传输到所述连接控制计算机(GK)上,在所述网络连接计算机(GW)中检查所述询问消息(ANF)的鉴权,而在所述连接控制计算机(GK)中检查所述询问消息(ANF)的授权。
2.按权利要求1的通信系统,其特征在于,所述通信单元(KEH)和连接控制计算机(GK)属于不同的通信网。
3.按权利要求1或2的通信系统,其特征在于,所述通信单元(KEH)是一个计算机或一个其它的网络连接计算机(GW),所述网络连接计算机(GW)与至少一个其它的通信单元(KEH)相耦合。
4.按以上权利要求之一的通信系统,其特征在于,所述通信元件(KE)中的每两个通过一种信赖关系彼此相连接。
5.按权利要求4的通信系统,其特征在于,通过密码或根据Diffie-Hellman方法所形成的密钥示出所述信赖关系。
6.按权利要求5的通信系统,其特征在于,通过密码或根据Diffie-Hellman方法所形成的密钥示出每一种信赖关系。
7.按权利要求4至6之一的通信系统,其特征在于,仅在以前的肯定的鉴权和肯定的授权之后才存在信赖关系。
8.按以上权利要求之一的通信系统,其特征在于,只要在两个通信元件(KE)之间还不存在信赖关系,就在采用数字证书的情况下在所述两个通信元件(KE)之间传输消息。
9.按权利要求8的通信系统,其特征在于,每个通信元件(KE)具有一个个人证书和一个私人密钥。
10.按权利要求8或9的通信系统,其特征在于,每个通信元件(KE)具有至少一个根证书,利用所述根证书对所连接的通信元件(KE)的所述个人证书进行签名。
11.按以上权利要求之一的通信系统,其特征在于,每个通信元件仅认识与其相连接的通信元件的地址。
12.用于在按以上权利要求之一的通信系统中注册通信关系的方法,其具有以下的步骤由所述通信单元(KEH)通过所述网络连接计算机(GW)来传输询问消息(ANF)到所述连接控制计算机(GK)上;通过所述网络连接计算机(GW)来执行所述询问消息的鉴权;如果所述鉴权的结果是肯定的,则将所述询问消息转送到所述连接控制计算机上;通过所述连接控制计算机(GK)来检查所述询问消息的授权;以及将应答消息(ANT)传输到发送所述询问消息的通信单元(KEH)上。
13.按权利要求12的方法,其特征在于,在传输所述询问消息(ANF)之前,在所述网络连接计算机(GW)和连接控制计算机(GK)之间建立信赖关系。
14.按权利要求12或13的方法,其特征在于,在采用所述网络连接计算机(GW)和连接控制计算机(GK)之间的信赖关系的情况下实现所述询问消息(ANF)的转送。
15.按权利要求12至14之一的方法,其特征在于,在两个还不存在信赖关系的通信元件(KE)之间在采用证书的情况下进行数据传输,而在两个存在信赖关系的通信元件(KE)之间在采用密钥或密码的情况下进行数据传输。
16.按权利要求12至15之一的方法,其特征在于,在多个网络连接计算机(GW)串联在所述通信单元(KEH)和连接控制计算机(GK)之间的情况下,在与所述通信单元(KEH)相连接的网络连接计算机(GW)中进行所述询问消息的鉴权,而在所述连接控制计算机(GK)中才进行所述授权。
17.按权利要求16的方法,其特征在于,从与所述连接控制计算机(GK)相连接的网络连接计算机(GWn)开始按顺序地进行所述多个网络连接计算机(GW1,...,GWn)的注册。
18.按权利要求12至17之一的方法,其特征在于,在肯定的鉴权和授权之后,作为其它的步骤,在所述通信单元(KEH)和与该通信单元(KEH)相连接的网络连接计算机(GW)之间建立信赖关系。
19.按权利要求12至18之一的方法,其特征在于,所述应答消息(ANT)在从所述连接控制计算机(GK)传输到所述通信单元(KEH)上时由所述通信单元(KEH)检查鉴权。
20.按权利要求12至19之一的方法,其特征在于,所述询问消息在从所述通信单元(KEH)传输到所述连接控制计算机(GK)上时由每个网络连接计算机(GW)至少部分地进行修改。
21.网络连接计算机(GW),该网络连接计算机(GW)仅检查要从通信单元(KEH)转送到连接控制计算机(GK)上的询问消息(ANF)的鉴权,并且仅在肯定的鉴权的情况下才进行转送。
全文摘要
建议一种通信系统,该通信系统作为通信元件(KE)具有一个连接控制计算机(GK)、一个与该连接控制计算机(GK)相耦合的网络连接计算机(GW)和至少一个与该网络连接计算机(GW)相耦合的通信单元(KEH),其中如此来设置通信系统,使得为了在通信系统(KS)中注册通信单元(KEH)的通信关系,由通信单元(KEH)通过网络连接计算机(GW)来传输询问消息(ANF)到连接控制计算机(GK)上,在该网络连接计算机(GW)中检查该询问消息(ANF)的鉴权,而在连接控制计算机(GK)中检查该询问消息(ANF)的授权。
文档编号H04M3/38GK1649331SQ200510005820
公开日2005年8月3日 申请日期2005年1月27日 优先权日2004年1月27日
发明者J·U·布泽尔, M·贝姆, S·弗里斯, W·克拉森 申请人:西门子公司