认证接入点设备的方法、系统和装置的制作方法

专利名称：认证接入点设备的方法、系统和装置的制作方法
技术领域：
本发明涉及通信技术领域，尤其涉认证接入点设备的方法、系统和装置。
背景技术：
在目前的移动通信网络中，对于网络节点的布置， 一般来说，都是由运 营商事先规划好，根据规划的内容来完成网络的布置。在网络中，在同一位 置区域中的所有用户共享小区的资源，当有高速率(高带宽)的业务接入之 后，有可能会对其他用户的接入造成影响。
随着Internet的发展以及各种无线业务的广泛应用，用户对于无线网络提 出了高速、便捷、低成本等方面的需求。另一方面，从运营商的角度来看， 需要充分地利用现有网络的资源，扩大容量，减少成本，更好地为用户提供 服务。
家庭基站的提出，充分的满足了上面的需求和网络的发展需求。家庭基 站是一种家用的微型基站，移动用户可以在家庭，办公场所等热点覆盖区域 布置这种基站，通过Internet接入移动通信网络，来获得无线通信服务。家庭 基站的引入，解决了无线数据业务中空口资源瓶颈问题，使得用户可以享用 到高速率、高带宽的网络服务。另一方面，家庭基站通过Internet接入，节省 了移动运营商的传输费用，提高了移动网络的容量。而且，家庭基站主要应 用在家庭个人使用，办公场所等热点区域，以及边远地区的盲点覆盖，提高 了移动网络的覆盖，优化了网络的质量。
由于家庭基站通过Internet或其他IP网络接入，因此PLMN需要对家庭 基站进4亍-〖人证。认证一关i基于家庭基站上插入的SIM或USIM卡进行。 <旦是 仅仅执行这种基于SIM/USIM的认证是不够的。这是因为如果认证仅仅基于 SIM/USIM卡进行，那么任何一个公网上的设备只要能获得SIM/USIM卡，就 可以通过对SIM/USIM的认证接入到PLMN网络内部。为了防止公网上的设备可能发起的这种攻击，需要对家庭基站设备进行认证，保证接入PLMN网 络内部的设备确实是一个家庭基站设备。

发明内容
需要指出的是家庭基站设备实际上是一个接入点设备(Access Point, AP)。家庭基站只是接入点设备的一种应用方式。本发明所述方案可以用来认 证各种AP设备，而并不仅限于家庭基站这种应用方式。
本发明的实施例提供认证接入点设备的方法、系统和相应的装置，以解 决前面提到的现有技术中存在的问题。
为达到上述目的，本发明的实施例提供一种认证接入点设备的方法，该 方法包括
网络侧收到该接入点设备发送的验证信息； 网络侧认证该接入点设备。
本发明的实施例还提供另一种认证接入点设备的方法，该方法包括 网络侧的服务器与接入点设备建立连接；
在建立连接的过程中，网络恻收到该接入点设备发送的自身保存的设备
身份、以及证书或密钥K,与该网络侧进行设备认证。
本发明的实施例还提供一种认证接入点设备的系统，其特征在于，包括
接入点设备和网络侧；
该接入点设备向该网络侧发送验证信息；该网络侧认证该接入点设备。 本发明的实施例还提供一种接入点设备，其特征在于，包括 存储单元，用于存储验证密钥和接入点设备的设备身份，或用于存储验
证接入点设备需要的证书，并提供给计算单元和发送单元；
计算单元，根据存储单元提供的验证密钥和设备身份，或根据存储单元
提供的证书计算证明，并将该证明提供给发送单元；
发送单元，用于发送该设备身份和证明，或用于发送该证书和证明。 本发明的实施例还提供一种安全网关，其特征在于，包括 接收单元，用于接收接入点设备发送的验证信息；认证单元，用于根据该验证信息认证接入点设备，或与存储接入点信息 的服务器交互认证接入点设备。
本发明的实施例还提供一种存储接入点信息的服务器，其特征在于，包
括
接收单元，用于接收安全网关发送的密钥请求；
存储单元，用于存储验证密钥和接入点设备的设备身份，并根据接收单 元接收到的密钥请求获取相应的验证密钥提供给发送单元；
发送单元，用于将存储单元提供的验证密钥发送给安全网关。 本发明的实施例还提供另一种存储接入点信息的服务器，其特征在于， 包括
接收单元，用于接收安全网关发送的密钥请求；
存储单元，用于存储验证密钥和接入点设备的设备身份，并根据接收单 元接收到的密钥请求获取相应的验证密钥提供给衍生单元；
衍生单元，用于根据存储单元提供的验证密钥生成衍生密钥，并提供给 发送单元；
发送单元，用于将衍生单元提供的衍生密钥发送给安全网关。 本发明的实施例还提供另一种存储接入点信息的服务器，其特征在于， 包括
接收单元，用于接收安全网关发送的认证接入点设备需要的参数，并提 供给存储单元和认证单元；
存储单元，用于存储验证密钥和接入点设备的设备身份，并根据接收单 元接收到的参数获取相应的验证密钥和/或设备身份提供给发送单元；
认证单元，用于根据所述接收单元和存储单元提供的参数认证接入点设 备，并通知发送单元发送认证结果；
发送单元，用于根据认证单元的指示发送认证结果。
与现有技术相比，本发明的实施例具有以下优点
通过网络侧向接入点设备请求验证信息，并接收接入点设备反馈的验证 信息，来认证接入点设备，从而解决现有技术中缺少对接入点设备进行认证
10的办法所带来的问题。


图1是本发明实施例一中认证接入点设备的系统的示意图； 图2是本发明实施例二中认证接入点设备的系统的示意图； 图3是本发明实施例三中认证接入点设备的系统的示意图； 图4是本发明实施例四中认证接入点设备的系统的示意图。
具体实施例方式
AP在接入PLMN网络时，需要和PLMN网络的安全网关之间建立安全 隧道。建立安全隧道的方法可以采用IKEv2协议。PLMN网络对AP设备的 认证可以在建立安全隧道的过程中完成。
若采用这种方式，则在AP设备中保存密钥K和设备身份IDap;在PLMN 网络中有存储AP信息的服务器，该服务器上也保存AP的设备身份IDap和 密钥K。不同的AP设备使用不同设备身份IDap,且一般情况下使用不同的 密钥K。该存储AP信息的服务器可以与安全网关或AAA服务器处于同一个 实体中，或作为一个单独的实体。当AP和PLMN网络的安全网关建立安全 隧道时，该AP上报其设备身份IDap以及根据IDap、密钥K和其他参数计算 得到的证明；安全网关验证该AP设备是否合法。
若安全网关与存储AP信息的服务器不在同一个实体中，则安全网关可以 和存储AP信息的服务器进行交互，验证该AP设备是否合法。在验证AP设 备时，安全网关可以向存储AP信息的服务器请求密钥K，或者获得一个根据 密钥K推演得到的密钥K，。安全网关利用K或者K，验证AP是否合法。
安全网关也可以将AP上报的设备身份IDap和证明发送给存储AP信息 的服务器，必要时将相关参数一起发送给存储AP信息的服务器。存储AP信 息的服务器验证AP设备是否合法，并将验证结果发送给安全网关。
其中，AP上报的身份IDap以及证明可以携带在IKEv2协议的CP载荷 中传递，或者分别携带在CP载荷和V载荷中传递。上述方案的一个具体实施例是如图1所示的实施例一，该实施例为一个
认证接入点设备的系统，该系统包括
接入点AP101和安全网关102，该AP 101中保存密钥K和设备身份IDap， 该安全网关102自身作为存储AP信息的服务器，也保存AP的设备身份IDap 和密钥K;
在步骤Sll中，AP101获得安全网关102的IP地址；
在步骤S12中，AP101和安全网关102进行IKE—SA_INIT交换，协商IKE SA。 AP101发送其支持的安全关联信息(SAil )、 DH交换值(KEi)和nonce (Ni)给安全网关102;
在步骤S13中，安全网关102选择IKE SA的安全关联，将选择结果发送 给APIOI, DH交换值(KEr)、 nonce (Nr)也一起发送给APIOI。这一步结 束后，安全网关102和AP101协商完成IKESA。其中，为了完成对AP设备 的认证，安全网关102在这条消息中携带CP载荷，向AP请求其版本信息。
在步骤S14中，AP101和安全网关102开始进行IPsec安全关联的协商。 在安全关联的协商过程中，AP101和安全网关102利用EAPAKA/SIM进行交 互认证。AP101发送AP的身份(ID of AP，根据AP中插入的USIM卡中的 IMSI推导出来NAI格式的身份，与前述AP的设备身份IDap不同)、证书请 求(CERT REQUEST,请求安全网关的证书)、内网IP地址请求(携带在CP 载荷中，用于请求安全网关给其分配运维管理域的内网IP地址，可选)、AP 支持的安全关联信息(SAi2)和策略选择符(TSi， TSr)。
其中，为了完成对AP设备的认证，AP101还在该步骤携带CP载荷和/ 或V载荷作为安全网关102在步骤S13中发送的CP载荷的响应。AP101利 用其存储的IDap、密钥K以及其他参数计算得到证明。IDap和证明可以携带 在CP载荷中发送；也可以将IDap携带在CP载荷中发送，将证明携带在V 载荷中发送；还可以将IDap和证明分别携带在两个不同的CP载荷中发送。 当证明和IDap—起携带在CP载荷中发送时，安全网关102需要区分CP载 荷中哪些是IDap部分，哪些是证明部分。 一种简单的区分方法是将IDap载荷和证明载荷使用某个特殊的标识符分隔开来。当IDap和证明分别携带在两 个不同的CP载荷中发送时，安全网关需要区分两个CP载荷中哪个携带了 IDap，哪个携带了证明。附图1中描述的是IDap和证明分别携带在CP载荷 和V载荷中发送的情况。
计算证明的方法可以是证明KDF(IDap， K， Ni， Nr);或证明-KDF (IDap， KDF (K, IDofSG), Ni， Nr)。其中，KDF(参数l,参数2，…) 表示计算证明的算法，IDofSG是安全网关的身份。
在步骤S15中，安全网关102认证AP设备是否合法。因为在本实施例中， 安全网关102自身就作为存储AP信息的服务器，因此该安全网关102可以单 独认证AP设备。认证方法为
安全网关102根据保存的密钥K或根据密钥K推演得到的密钥K， = KDF (K,...)认证AP设备是否合法。安全网关102可以采用和AP101相同的方 式计算证明，并将计算得到的证明和AP101发送的证明比较，如果两者相同 则说明AP设备合法。
本实施例中，通过在AP101和安全网关102共同保存密钥K和IDap,并 利用现有流程，在步骤S13中由安全网关102向AP101请求版本信息，AP101 则在步骤S14中响应相关参数，使得安全网关102可以认证该AP设备。该系 统在运行时对现有流程影响较小，能比较方便地实现对AP设备的认证。
上述方案的另一个具体实施例是如图2所示的实施例二，该实施例为一 个认证接入点设备的系统，该系统包括
接入点AP201、安全网关202和存储AP信息的服务器203,该AP 201 中保存密钥K和设备身份IDap,该存储AP信息的服务器203也保存AP的 设备身份IDap和密钥K。该存储AP信息的服务器203与安全网关202不在 同一个实体中，但存储AP信息的服务器203可以与AAA服务器处于同一个 实体中。
在步骤S21中，AP201获得安全网关202的IP地址；
在步骤S22中，AP201和安全网关202进行IKE—SA—INIT交换，协商IKESA。 AP201发送其支持的安全关联信息(SAil )、 DH交换值(KEi)和nonce (Ni)给安全网关202;
在步骤S23中，安全网关202选择IKE SA的安全关联，将选择结果发送 给AP201, DH交换值(KEr)、 nonce (Nr)也一起发送给AP201。这一步结 束后，安全网关202和AP201协商完成IKESA。其中，为了完成对AP设备 的认证，安全网关202在这条消息中携带CP载荷，向AP请求其版本信息。
在步骤S24中，AP201和安全网关202开始进行IPsec安全关联的协商。 在安全关联的协商过程中，AP201和安全网关202利用EAP AKA/SIM进行交 互认证。AP201发送AP的身份(ID of AP,根据AP中插入的USIM卡中的 IMSI推导出来NAI格式的身份，与前述AP的设备身份IDap不同)、证书请 求(CERT REQUEST,请求安全网关的证书)、内网IP地址请求(携带在CP 载荷中，用于请求安全网关给其分配运维管理域的内网IP地址，可选)、AP 支持的安全关联信息(SAi2)和策略选择符(TSi, TSr)。
其中，为了完成对AP设备的认证，AP201还在该步骤携带CP载荷和/ 或V载荷作为安全网关202在步骤S23中发送的CP载荷的响应。AP201利 用其存储的IDap、密钥K以及其他参数计算得到证明。IDap和证明可以携带 在CP载荷中发送；也可以将IDap携带在CP载荷中发送，将证明携带在V 载荷中发送；还可以将IDap和证明分别携带在两个不同的CP载荷中发送。 当证明和IDap —起携带在CP载荷中发送时，安全网关202需要区分CP载 荷中哪些是IDap部分，哪些是证明部分。 一种简单的区分方法是将IDap载 荷和证明载荷使用某个特殊的标识符分隔开来。当IDap和证明分别携带在两 个不同的CP载荷中发送时，安全网关需要区分两个CP载荷中哪个携带了 IDap,哪个携带了证明。附图2中描述的是IDap和证明携带在同一个CP载 荷中发送的情况。
计算证明的方法可以是证明^KDF(IDap， K, Ni, Nr);或证明=KDF (IDap, KDF (K， IDofSG)， Ni， Nr)。其中，KDF(参数1，参数2，…) 表示计算证明的算法，IDofSG是安全网关的身份。
在步骤S25中，安全网关202认证AP设备是否合法。因为在本实施例中，安全网关202自身没有存储AP信息，因此该安全网关202与存储AP信息的 服务器203交互认证AP设备。认证方法为
安全网关202向存储AP信息的服务器203请求密钥K或根据密钥K推 演得到的密钥K， = KDF (K，...)。存储AP信息的服务器203将密钥K或者 K，发送给安全网关202。安全网关202利用密钥K或者K，认证AP设备是否 合法。安全网关202可以采用和AP201相同的方式计算证明，并将计算得到 的证明和AP201发送的证明比较，如果两者相同则说明AP设备合法。
安全网关202与存储AP信息的服务器203交互认证AP设备还可以通过 以下方法进4亍
安全网关202将AP201发来的设备身份IDap、证明以及其他参数发送给 存储AP信息的服务器203。存储AP信息的服务器203认证AP设备是否合 法，并将认证结果发送给安全网关202。存储AP信息的服务器203可以采用 和AP201相同的方式计算证明，并将计算得到的证明和AP201发送的证明比 较，如果两者相同则说明AP设备合法。
和IDap，并利用现有流程，在步骤S23中由安全网关202向AP201请求版本 信息，AP201则在步骤S24中响应相关参数，使得安全网关202可以和存储 AP信息的服务器203交互认证该AP设备。该系统在运行时对现有流程影响 较小，且不需要对安全网关本身进行大的升级，实现相对简单。该实施例所 述方案也能比较方便地实现对AP设备的认证。
除了在建立安全隧道的过程中对AP设备进行认证之外，PLMN网络还可 以利用IKEv2协议中规定的信息交换过程对AP设备进行认证。
若采用这种方式，则在AP设备中保存密钥K和设备身份IDap;在PLMN 网络中有存储AP信息的服务器，该服务器上也保存AP的设备身份IDap和 密钥K。不同的AP设备使用不同设备身份IDap，且一般情况下使用不同的
实体中，或作为一个单独的实体。当AP和安全网关建立IPsec隧道后，AP利用IKEv2协议中规定的信息交换过程上报其设备身份IDap以及根据IDap、 密钥K和其他参数计算得到的证明；安全网关验证该AP设备是否合法。
若安全网关与存储AP信息的服务器不在同一个实体中，则安全网关可以 和存储AP信息的服务器进行交互，验证该AP设备是否合法。在验证AP设 备时，安全网关可以向存储AP信息的服务器请求密钥K，或者获得一个根据 密钥K推演得到的密钥K，。安全网关利用K或者K，验证AP是否合法。
安全网关也可以将AP上报的设备身份IDap和证明发送给存储AP信息 的服务器，必要时将相关参数一起发送给存储AP信息的服务器。存储AP信 息的服务器验证AP设备是否合法，并将验证结果发送给安全网关。
其中，AP上报的身份IDap以及证明可以携带在IKEv2协议的CP载荷 中传递，或者分别携带在CP载荷和V载荷中传递。
上述方案的一个具体实施例是如图3所示的实施例三，该实施例为一个 认证接入点设备的系统，该系统包括
接入点AP301、安全网关302和AAA服务器303,该AP 301中保存密 钥K和设备身份IDap，该AAA服务器303作为存储AP信息的服务器也保 存AP的设备身份IDap和密钥K。
在步骤S31中，AP301和安全网关302建立IPsec隧道；
在步骤S32中，安全网关302利用IKEv2协议中规定的信息交换过程发 送IKE消息给AP301，消息中携带CP载荷，向AP301请求其版本信息。
在步骤S33中，AP301携带CP载荷和/或V载荷作为对安全网关302在 步骤S32中发送的CP载荷的响应。AP301利用其存储的IDap、密钥K以及 其他参数计算得到证明。IDap和证明可以携带在CP载荷中发送；也可以将 IDap携带在CP载荷中发送，将证明携带在V载荷中发送；还可以将IDap和 证明分别携带在两个不同的CP载荷中发送。当证明和IDap —起携带在CP 载荷中发送时，安全网关302需要区分CP载荷中哪些是IDap部分，哪些是 证明部分。 一种简单的区分方法是将IDap载荷和证明载荷使用某个特殊的标 识符分隔开来。当IDap和证明分别携带在两个不同的CP载荷中发送时，安全网关302需要区分两个CP载荷中哪个携带了 IDap,哪个携带了证明。附 图3中描述的是IDap和证明分别携带在两个不同的CP载荷中发送的情况。
计算证明的方法可以是证明-KDF(IDap， K, IKE key);或证明=KDF (IDap， KDF(K, IDofSG)， IKE key )。其中，KDF(参数1，参数2，…) 表示计算证明的算法，ID of SG是安全网关的身份，IKE key是IKE协商结 束后，AP和安全网关之间共享的IKESA所包含的密钥。
在步骤S34中，安全网关302认证AP设备是否合法。因为在本实施例中， 安全网关302自身没有存储AP信息，因此该安全网关302与存储AP信息的 服务器，即AAA服务器303交互认证AP设备。认证方法为
安全网关302向AAA服务器303请求密钥K或根据密钥K推演得到的 密钥K、KDF(K, ...)。 AAA服务器303将密钥K或者K，发送给安全网关 302。安全网关302利用密钥K或者K，认证AP设备是否合法。安全网关302 可以采用和AP301相同的方式计算证明，并将计算得到的证明和AP301发送 的证明比较，如果两者相同则说明AP设备合法。
安全网关302与AAA服务器303交互认证AP设备还可以通过以下方法 进行
安全网关302将AP301发来的设备身份IDap、证明以及其他参数发送给 AAA服务器303。 AAA服务器303认证AP设备是否合法，并将认证结果发 送给安全网关302。 AAA服务器303可以采用和AP301相同的方式计算证明， 并将计算得到的证明和AP301发送的证明比较，如果两者相同则说明AP设 备合法。
本实施例中，通过在AP301和AAA服务器303共同保存密钥K和IDap， 并利用IKEv2协议中规定的信息交换流程，在步骤S32中由安全网关302向 AP301请求版本信息，AP301则在步骤S33中响应相关参数，使得安全网关 302可以和AAA服务器303交互认证该AP设备。该系统在运行时利用现有 协议规定的流程完成对AP设备的认证，且不需要对安全网关本身进行大的升 级，实现相对筒单。该实施例所述方案也能比较方便地实现对AP设备的认证。
17上面描述的实施例中，都是基于共享密钥机制对AP设备进行认证。实际
上还可以基于证书机制对AP设备进行认证。AP的证书可以在证书载荷中携 带，AP利用证书计算证明。计算方法可以是利用证书对消息进行签名操作。
并将签名的结果作为证明。证明可以携带在证书载荷中传递。安全网关验证
AP证书的合法性；并利用证书验证证明是否正确，具体方法可以是安全网关
利用证书验证签名是否正确。
基于证书机制对AP设备进行认证的一个具体实施例是如图4所示的实施
例四，该实施例为 一个认证接入点设备的系统，该系统包括
接入点AP401 、安全网关402 ，该AP 401中保存AP的证书。
在步骤S41中，AP401和安全网关402建立IPsec隧道；
在步骤S42中，安全网关402利用IKEv2协议中规定的信息交换过程发
送IKE消息给AP401，消息中携带证书请求载荷，向AP301请求其证书信息。 在步骤S43中，AP401将其证书和证明发送给安全网关。证书携带在证
书载荷中发送。证明携带在CP载荷或V载荷中发送。证明的计算方式可以
是AP利用证书对消息进行签名操作，将获得的签名作为证明。附图4中描述
的是证明携带在V载荷中的情况。
在步骤S44中，安全网关402验证AP的证书的合法性。安全网关根据证
书验证证明是否正确，具体方法可以是安全网关402利用证书-睑证签名是否正确。
本实施例中，通过利用IKEv2协议中规定的信息交换流程，在步骤S42 中由安全网关402向AP401请求证书信息，AP401则在步骤S43中响应相关 参数，使得安全网关402可以认证该AP设备。该系统在运行时利用现有协议 规定的流程完成对AP设备的认证，且不需要对安全网关本身进行大的升级， 实现相对筒单。该实施例所述方案也能比较方便地实现对AP设备的认证。
上述实施例中均是利用现有的IKEv2协议中规定的相关流程来具体实现 本发明目的。目前的IKEv2协议要求上述验证信息的发送需要基于网络侧的 请求，因此在接入点设备在发送验证信息之前，需要网络侧向该接入点设备请求验证信息。但同领域技术人员可以知道，如果对IKEv2协议中信息交互
双方的能力进行增强，也可以让接入点设备在没有收到请求的情况下主动发 送验证信息。因此，从实现本发明的目的这个角度来看，网络侧向接入点设 备请求验证信息并非是必不可少的步骤。
此外，当网络侧对接入点设备的认证不在IKEv2协议规定的流程中完成 设备认证，而在其他流程中或采用专门的流程来认证设备的话，也可能由接 入点设备主动向网络侧发送验证信息，而并不需要网络侧先向接入点设备请 求-睑证信息。
根据上面的说明，除上述实施例所述方案外，还可以通过其他途径对AP 设备进行认证。例如，AP需要从PLMN网络中的某个设备或某些设备下载相 应的配置信息才能正常工作，PLMN网络对AP设备的认证可以在下载配置信 息的过程中完成。
具体来说，AP和PLMN网络的安全网关建立安全隧道后，AP将和PLMN 网络的服务器建立连接，并从服务器下载相关的配置信息。PLMN网络可以 在AP和服务器进行交互时对AP设备进行认证。如AP和服务器之间可能 需要建立TLS连接，那么AP可以和服务器在建立TLS连接时进行设备认证。 当设备认证基于共享密钥时，TLS连接釆用基于共享密钥的方式建立，当设 备认证基于证书时，TLS连接可以采用基于证书的方式建立。步骤简要描述
AP与为其提供服务的网管系统之间发起安全连接的建立； 在建立安全连接的过程中，AP利用自身保存的设备身份IDap、证书或密 钥K，与网管系统进行设备认证；
设备认证成功后，AP和为其提供服务的网管系统之间完成安全连接的建立。
本发明的实施例五提供了一种接入点设备，该设备包括
存储单元，用于存储验证密钥和接入点设备的设备身份，或用于存储验证接入点设备需要的证书，并提供给计算单元和发送单元；
计算单元，根据存储单元提供的验证密钥和设备身份，或根据存储单元
提供的证书计算证明，并将该证明提供给发送单元；
发送单元，用于发送所述设备身份和证明，或用于发送所述证书和证明。 其中，计算单元计算i正明的方法，可以参照前面实施例中的方法。若在
建立安全隧道的过程中，或利用IKEv2协议规定的信息交换流程对接入点设
备进行认证，则发送单元将在相应的载荷中携带设备身份和证明，或证书和
证明。具体携带方法可以参照前面实施例中的方案。
本发明的实施例六提供了一种安全网关，该安全网关包括 接收单元，用于接收接入点设备发送的验证信息；
认证单元，用于根据该验证信息认证接入点设备，或与存储接入点信息 的服务器交互认证接入点设备。
其中，向接入点设备请求验证信息和接收接入点设备发送的验证信息可 以在建立安全隧道的过程中，或利用IKEv2协议规定的信息交换流程完成。 当存在存储接入点信息的服务器时，该安全网关的认证单元可以通过与存储 接入点信息的服务器交互认证接入点设备；在某些情况下，该安全网关也可 以单独认证接入点设备。具体实现方案可以参照前面的实施例。
本发明的实施例七提供了 一种存储接入点信息的服务器，该服务器包括 接收单元，用于接收安全网关发送的密钥请求；
存储单元，用于存储验证密钥和接入点设备的设备身份，并根据接收单 元接收到的密钥请求获取相应的验证密钥提供给发送单元；
发送单元，用于将存储单元提供的验证密钥发送给安全网关。 本发明的实施例八提供了另一种存储接入点信息的服务器，该服务器包
括.
接收单元，用于接收安全网关发送的密钥请求；
存储单元，用于存储验证密钥和接入点设备的设备身份，并根据接收单元接收到的密钥请求获取相应的验证密钥提供给衍生单元；
衍生单元，用于根据存储单元提供的验证密钥生成衍生密钥，并提供给
发送单元；
发送单元，用于将衍生单元提供的衍生密钥发送给安全网关。
本发明的实施例九提供了又一种存储接入点信息的服务器，该服务器包
括
接收单元，用于接收安全网关发送的认证接入点设备需要的参数，并提 供给存储单元和认证单元；
存储单元，用于存储验证密钥和接入点设备的设备身份，并根据接收单 元接收到的参数获取相应的验证密钥和/或设备身份提供给发送单元；
认证单元，用于根据所述接收单元和存储单元提供的参数认证接入点设 备，并通知发送单元发送认证结果；
发送单元，用于根据认证单元的指示发送认证结果。
与现有技术相比，本发明的实施例具有以下优点
通过网络侧向接入点设备请求验证信息，并接收接入点设备反馈的验证 信息，来认证接入点设备，从而解决现有技术中缺少对接入点设备进行认证 的办法所带来的问题。
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发 明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件， 但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案 本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来。 该计算机软件产品可以存储在一个存储介质中，包括若干指令用以使得一台 网络设备执行本发明各个实施例所述的方法。
以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此， 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
2权利要求
1、一种认证接入点设备的方法，其特征在于，包括网络侧收到所述接入点设备发送的验证信息；网络侧认证所述接入点设备。
2、 如权利要求l所述的方法，其特征在于，所述接入点设备保存验证密钥和设备身份，所述网络侧保存相同的验证 密钥和设备身份；所述网络侧收到所述接入点设备发送的验证信息具体为所述网络侧收 到所述接入点设备发送的设备身份，以及所述接入点设备计算得到的证明。
3、 如权利要求2所述的方法，其特征在于， 所述计算证明的参数包括所述验证密钥和设备身份。
4、 如权利要求2所述的方法，其特征在于，所述网络侧保存相同的验证密钥和设备身份具体为所述网络侧的安全 网关保存所述验证密钥和设备身份；所述网络侧认证所述接入点设备具体为所述安全网关根据所述验证密 钥和设备身份认证所述接入点设备。
5、 如权利要求2所述的方法，其特征在于，所述网络侧保存相同的验证密钥和设备身份具体为所述网络侧存储接 入点设备信息的服务器保存所述验证密钥和设备身份；所述网络侧认证所述接入点设备具体为所述安全网关与所述存储接入 点设备信息的服务器进行交互，根据所述验证密钥和设备身份认证所述接入 点设备。
6、 如权利要求5所述的方法，其特征在于，所述安全网关与所述存储接入点设备信息的服务器进行交互，根据所述 验证密钥和设备身份认证所述接入点设备包括所述安全网关向所述存储接入点设备信息的服务器请求验证密钥或验证 密钥的衍生密钥；所述安全网关收到所述存储接入点设备信息的服务器发送 的验证密钥或验证密钥的衍生密钥；所述安全网关根据所述设备身份，以及所述收到的验证密钥或验证密钥的衍生密钥认证所述接入点设备；或者所述安全网关将所述设备身份、证明和其他参数发送给所述存储接入点信息的服务器；所迷存储接入点信息的服务器根据自己保存的所述验证密钥 和设备身份认证所述接入点设备；所述存储接入点信息的服务器将认证结果 发送给所述安全网关。
7、 如权利要求5或6所述的方法，其特征在于， 所述存储接入点信息的服务器与AAA服务器处于同一实体中。
8、 如权利要求2、 4或5中任一项所述的方法，其特征在于， 所述网络侧认证所述接入点设备是通过所述网络侧采用与所述接入点设备相同的方式计算证明，并比较该计算得到的证明与所述接入点设备发送 的证明是否相同。
9、 如权利要求2 6中任一项所述的方法，其特征在于，所述网络侧收到所述接入点设备发送的验证信息在所述接入点设备和所 述网络侧建立安全隧道的过程中完成；或者所述网络侧收到所述接入点设备发送的验证信息利用IKEv2协议中规定 的信息交换过程完成。
10、 如权利要求9所述的方法，其特征在于，所述接入点设备发送的设备身份，以及所述接入点设备计算得到的证明 携带在同一个CP载荷中；或者所述接入点设备发送的设备身份，以及所述接入点设备计算得到的证明 携带在不同的CP栽荷中；或者所述接入点设备发送的设备身份携带在CP载荷中，所述接入点设备计算 得到的证明携带在V载荷中。
11、 如权利要求IO所述的方法，其特征在于，当所述接入点设备发送的 设备身份，以及所述接入点设备计算得到的证明携带在同一个CP载荷中时， 所述设备身份和所述接入点设备计算得到的证明用标识符分隔。
12、 如权利要求1所述的方法，其特征在于，在网络侧收到所述接入点 设备发送的验证信息之前，还包括网络侧向接入点设备请求验证信息。
13、 如权利要求12所述的方法，其特征在于，所述网络侧向接入点设备请求验证信息具体为所述网络侧向所述接入点设备请求版本信息。
14、 如权利要求13所述的方法，其特征在于，所述网络侧通过CP载荷 向所述接入点设备请求版本信息。
15、 如权利要求l所述的方法，其特征在于， 所述接入点设备保存验证该设备需要的证书。所述网络侧收到所述接入点设备发送的验证信息具体为所述网络侧收 到所述接入点设备发送的证书，以及所述接入点设备计算得到的证明。
16、 如权利要求15所述的方法，其特征在于，所述网络侧收到所述接入点设备发送的验证信息在所述接入点设备和所 述网络侧建立安全隧道的过程中完成；或者所述网络侧收到所述接入点设备发送的验证信息利用IKEv2协议中规定 的信息交换过程完成。
17、 如权利要求16所述的方法，其特征在于，所述接入点设备发送的证 书携带在证书载荷中。
18、 如权利要求16所述的方法，其特征在于，所述接入点设备计算得到 的证明携带在CP载荷中或携带在V载荷中。
19、 如权利要求15所述的方法，其特征在于，所述计算证明的方法为 利用所述证书对消息进行签名操作，将签名的结果作为证明。
20、 如权利要求15所述的方法，其特征在于，所述网络侧认证所述接入 点设备具体为所述安全网关验证所述接入点设备发送的证书的合法性，并 利用所述证书验证证明是否正确。
21、 如权利要求15所述的方法，其特征在于，所述网络侧向接入点设备 请求验证信息具体为所述网络侧向所述接入点设备请求证书信息。
22、 如权利要求21所述的方法，其特征在于，所述网络侧通过证书请求 载荷向所述接入点设备请求证书信息。
23、 一种认证接入点设备的方法，其特征在于，包括 网络侧的服务器与接入点设备建立连接；在建立连接的过程中，网络侧收到所述接入点设备发送的自身保存的设 备身份、以及证书或密钥K，与所述网络侧进行设备认证。
24、 一种认证接入点设备的系统，其特征在于，包括接入点设备和网 络侧；所述接入点设备向所述网络侧发送验证信息；所述网络侧认证所述接入 点设备。
25、 如权利要求24所述的系统，其特征在于，所述接入点设备保存验证密钥和设备身份，所述网络侧保存相同的验证 密钥和设备身份；所述接入点设备向所述网络侧发送验证信息包括所述接入点设备的设备 身份，以及所述接入点设备计算得到的证明。
26、 如权利要求25所述的系统，其特征在于，所述网络侧包括安全网关； 所述网络侧保存相同的验证密钥和设备身份具体为所述安全网关保存相同的验证密钥和设备身份；所述网络侧认证所述接入点设备具体为所述安全网关认证所述接入点 设备。
27、 如权利要求25所述的系统，其特征在于，所述网络侧包括存储接入 点信息的服务器；所述网络侧保存相同的验证密钥和设备身份具体为所述存储接入点信 息的服务器保存相同的验证密钥和设备身份；所述网络侧认证所述接入点设备具体为所述安全网关与所述存储接入 点信息的服务器进行交互，认证所述接入点设备。
28、 如权利要求25所述的系统，其特征在于，所述存储接入点信息的服 务器与AAA服务器处于同一实体中。
29、 如权利要求24所述的系统，其特征在于， 所述接入点设备保存验证该设备需要的证书；所述接入点设备向所述网络侧发送验证信息包括所述证书，以及所述接 入点设备计算得到的证明。
30、 如权利要求29所述的系统，其特征在于，所述网络侧包括安全网关； 所述网络侧认证所述接入点设备具体为所述安全网关验证所述接入点设备发送的证书的合法性，并利用所迷证书验证证明是否正确。
31、 如权利要求24所述的系统，其特征在于，所述网络侧向所述接入点 设备请求验证信息。
32、 一种接入点设备，其特征在于，包括存储单元，用于存储验证密钥和接入点设备的设备身份，或用于存储验 证接入点设备需要的证书，并提供给计算单元和发送单元；计算单元，根据存储单元提供的验证密钥和设备身份，或根据存储单元 提供的证书计算证明，并将该证明提供给发送单元；发送单元，用于发送所述设备身份和证明，或用于发送所述证书和证明。
33、 一种安全网关，其特征在于，包括 接收单元，用于接收接入点设备发送的验证信息；认证单元，用于根据所述验证信息认证接入点设备，或与存储接入点信 息的服务器交互认证接入点设备。
34、 一种存储接入点信息的服务器，其特征在于，包括 接收单元，用于接收安全网关发送的密钥请求；存储单元，用于存储验证密钥和接入点设备的设备身份，并根据接收单 元接收到的密钥请求获取相应的验证密钥提供给发送单元；发送单元，用于将存储单元提供的验证密钥发送给安全网关。
35、 一种存储接入点信息的服务器，其特征在于，包括 接收单元，用于接收安全网关发送的密钥请求；存储单元，用于存储验证密钥和接入点设备的设备身份，并根据接收单 元接收到的密钥请求获取相应的验证密钥提供给衍生单元；衍生单元，用于根据存储单元提供的验证密钥生成衍生密钥，并提供给 发送单元；发送单元，用于将衍生单元提供的衍生密钥发送给安全网关。
36、 一种存储接入点信息的服务器，其特征在于，包括接收单元，用于接收安全网关发送的认证接入点设备需要的参数，并提 供给存储单元和认证单元；存储羊元，用于存储验证密钥和接入点设备的设备身份，并根据接收单元接收到的参数获取相应的验证密钥和/或设备身份提供给发送单元；认证单元， 备，并通知发送单元发送认证结果；发送单元，用于根据认证单元的指示发送认证结果c
全文摘要
本发明公开了认证接入点设备的方法、系统和装置。其方法之一包括网络侧收到该接入点设备发送的验证信息；网络侧认证该接入点设备。其系统包括接入点设备和网络侧；该接入点设备向该网络侧发送验证信息；该网络侧认证该接入点设备。本发明通过网络侧接收接入点设备发送的验证信息，来认证接入点设备，从而解决现有技术中缺少对接入点设备进行认证的办法所带来的问题。
文档编号H04L9/08GK101442402SQ20071012465
公开日2009年5月27日 申请日期2007年11月20日 优先权日2007年11月20日
发明者璟 陈 申请人:华为技术有限公司