专利名称:用于鉴权的方法、装置和设备的制作方法
技术领域:
本发明涉及电信网络中用于鉴权的方法。本发明也涉及电信网络中用于完成鉴权操作的装置以及在鉴权中使用的设备。
背景技术:
有各种类型的通过电信网络(或几个网络)实施以及需要至少某种类型的鉴权的通信应用和/或事项和/或业务。例如,当用户在通过电信网接入特定的应用时,可能需要鉴权以确保用户接入的权利。此外,当用户已经通过通信网使用应用时,可能需要验证用户使用该应用的权利和/或用户进行另外的某些事项的权利,诸如在使用期间重新配置或重新编程或更新操作,或从用户接收应答以便允许应用进行另外的某些事项,诸如从应用或有关的数据库/记录中检索或转移信息,或配置应用或包含在应用数据库中的信息。
可能需要鉴权的应用的例子包括通过分组交换的通信网(诸如互联网、内联网或局域网(LAN))得到的各种商业和非商业的服务和/或数据库或记录。这些例子也包括通过分组交换通信网接入的、诸如付费业务和银行业务的应用。应用的例子也包括通过通信网的、诸如资源接入、远端编程或重新编程或软件和/或数据库的重新配置、更新或维护的事项,以及通过通信网完成的保密文件和记录等的发送事项。正如已指出的,甚至某些通过通信网得到的免费业务也可能需要鉴权。
近年来,需要至少某种程度的对这样的用户和/或终端进行鉴权的应用的数量大大增加,其中所述用户和/或终端试图接入到应用,或者所述用户和/或终端已经在使用这些应用但在使用应用期间需要被鉴权或检验,或者在使用应用期间需要进行确认。对安全和可靠的鉴权的需要预期在将来还会进一步增加。
现在的数据通信系统可以利用特定的密钥或电子签名(电子实现的签名)来对通信系统的使用进行鉴权。由此,在通信鉴权事项中在两个通信数据处理设备的或计算机设备和/或服务器和/或节点等等数据通信设备之间使用了密钥连同各种密码技术和/或算法。
按照一种情况,随机质询被赋予两个计算机设备的加密函数。这两个计算机都具有一个秘密,即加密密钥,它也被赋予两个计算机中的加密/解密函数。此后,两个加密函数的计算结果被比较,并且如果比较结果是肯定的,则鉴权被认为是有效的,以及如果比较给出否定的结果,则鉴权测试被认为是失败的。
在大多数情况下,密钥是公共的或专用的密钥。在公共密钥方法中,用户可借助于密钥(例如密码字)而被识别。用户和应用可以使用公共密钥来加密数据。在专用密钥方法中,密钥通常只被用户知道。这样,用户只有在密钥是在用户与应用之间共享(所谓的共享秘密)的情况下才被识别。所以在大多数情况下,专用密钥只用于解密加密的数据,而共享秘密的密钥可被用于加密和解密操作。
此外,密钥相对于时间可以是对称或非对称的。然而,在连接期间非对称密钥的使用可能使得鉴权装置的运行太繁重。因此,非对称密钥(或多个密钥)通常只在建立连接时被使用,然后,对称密钥被用于连接本身。
电子的或数字的签名是一个已经通过使用某个秘密密钥而创建的数据块。公共密钥可被用来验证签名已经通过使用相应的秘密密钥而被产生。用来产生签名的算法必须使得在不知道实际的秘密密钥的情况下,不可能创建或猜想这样一个可被验证为有效签名的签名。
为了更好地理解背景情况,下面更详细地说明一些技术术语,并概要地描述它们的某些缺点-用户识别符(ID)。每个用户有一个用户识别符(ID),它有时也被称为用户名。用户通常自己创建ID,并且它可以由例如用户姓名的开头字母、名字和/或姓、他/她的别名等等组成。这样,用户ID并不提供任何专门的和可靠的安全性来防止非授权地或非法地使用它们。ID可被除了它的实际拥有者以外的任何人使用。
-密码。现在把密码或几个密码连同用户ID一起使用是鉴权最经常使用的方法。密码被通过用户接口,例如通过连接到通信网的计算机终端给予远端应用。然而,这种解决办法没有考虑到网络的脆弱性,因为密码被暴露给接入到网络的每个人(以及有足够技巧能从消息中读出密码的人)。
-秘密。秘密可被描述为电子密码或签名或加密密钥,它被用户接口存储和使用。即使秘密没有暴露给网络,它也可能最终落入“错误的手”中,以及可能被那些原先打算是秘密的用户以外的某个另一方使用。
-用户接口中的鉴权软件。这是更先进的用于鉴权的方法。密码代码被给予用户接口中的程序,然后它以加密的方式对请求的应用的接入自动鉴权。即使这比起以上的解决办法提供了更安全的做法,但它仍旧留下从用户接口获取秘密的密码的可能性。也有可能修改软件而不通知实际的用户。
以上的内容已经提到在实施本鉴权系统时可能涉及的某些当事方。下面也对它们作概略的解释-用户通常是通过电信网络或互相连接的几个网络来使用各种应用或业务的人,即真实的个人。用户可以借助于用户ID连同只有他/她知道的密钥(密码或秘密)(公共密钥方法),或借助于在用户与应用之间共享的密钥(共享秘密密钥方法)而被识别。
-应用是想要确保用户的鉴权的一方。应用也可被称为业务。从应用的角度来看,鉴权问题可被分成四种不同的类别(问题)(1)在该时刻用户在另一端吗?(所谓的同等实体鉴权),(2)另外的消息和通信是从同一个用户处接收的吗?(消息流的完整性),(3)特定的消息和通信是从确定的用户发起的吗?(数据来源鉴权),以及(4)消息和通信是使得甚至第三方也会相信它来源于确定的用户的吗?(非-否定)。
-用户接口是使得用户能够接入到应用的设备或装置。在大多数情况下,它也可被称为终端,以及可包含计算机(例如,个人计算机,PC)、工作站、诸如移动电话或无线电或寻呼机或移动电话与数据处理设备的组合的移动台的电话终端、自动提款机和/或银行机器等等。用户接口提供输入/输出设施,并且它甚至可能提供一部分应用。
-密钥服务器是包含通信网的不同用户的所有密钥和签名的服务器。在现有系统中,密钥服务器位于全球的和开放的无连接的互联网中,因此它可由所有那些正在接入互联网的用户接入。本密钥服务器被安排成响应于互联网用户发送的密钥询问。通常,程序步骤是互联网用户给出另一方的姓名(或ID),此后密钥服务器从其数据库检索密钥并发送这个密钥作为对用户的应答。被包含在各个密钥服务器中的信息可被能够使用互联网的任何人更新,或在密钥服务器的接入只限于服务器的拥有者的情况下,只由服务器的拥有者更新。
发明概要现有系统的问题是所使用的通信系统和其用户必须相信用户一开始就把正确的用户识别符(ID)给予系统,例如密钥服务器。此外,被存储在互联网密钥服务器的数据库中的信息可被第三方改变,因此这些开放的数据库不能保持安全来对抗黑客(偷窃者)。
为了提高安全性而引入和使用了已验证的密钥服务器以代替传统的未验证的密钥服务器。已验证的密钥服务器将不在分组交换通信网上接受用户的密钥,而是用户必须通过“手拉手方法”把密钥交给已验证的密钥服务器的管理者。然而,这使得其使用更复杂,以及许多用户感觉它不方便,因而不想使用它。
所以,本密钥服务器被这样利用以使得用户通过ftp(文件传送协议)来下载密钥。除了相信已知的用户ID的正确性以外,系统(例如使用的应用)还必须相信没有人曾经改变过原先的密钥。
电子签名不一定是可信的,因为不能绝对地确定位于密钥服务器中的电子密钥的正确性。用户/系统必须相信用户给出的是正确的用户识别符。电子签名对于黑客或类似的入侵者也是脆弱的。例如,在互联网环境下,这些可以很容易地为每个用户配置,以及任何人都可以改变公共密钥,如果他/她想要这样做的话。
电子密钥/签名的另一个问题是它们需要复杂的鉴权程序。但仍旧不能绝对地确定密钥或签名的正确性或来源。在应用的接入被现有技术解决办法做得尽可能安全的情况下,应用从其结构而言会容易变得极其复杂,以及在接入和使用时还会变得很复杂和很费时间。
随着安全水平被提高,所需要的硬件和软件的数量也将增加,这将导致需要增加对它的维护和更新,因此鉴权的总费用可能变得非常高。此外,可以认为,所谓“绝对安全”的条件在现有开放的通信网中甚至是不存在的,因为技术发展使得例如黑客有可能解密甚至比现在的安全装置更复杂的装置。
人们的问题在于,密钥或签名可能变得相当复杂和/或太长,或可能有太多的密钥或签名要用户正确地运用和记住它们。典型地,在秘密密钥方法中被认为是安全的密钥是128比特或更长,以及在公共/专用密钥方法中安全密钥被认为是1024比特或更长。对于大多数人来说是不可能记住这类密钥的。
除了如上面所讨论的那样、在开放的分组交换通信网上传输电子密钥或签名或密码期间有捕获这些电子密钥或签名或密码的可能性以外,今天的解决办法也没有充分地注意用户接口的脆弱性。用来形成接口的终端设备已经发展成充满复杂的技术和软件以至大多数用户不再能够全面控制终端或甚至了解它们的运行。此外,经常是许多用户共享同一个终端设备(例如终端是公用的PC)和/或某些外部维修人员能够接入本身封闭的组织的计算机。
计算机终端在其存储器装置中包含存储的状态和程序,它们可以被修改。在现代的计算机中,有可能修改其软件而甚至使用户不注意到这一点,以及甚至通过通信路径而不用任何物理路径来接入到设备本身。给出一个风险的例子,有可能在计算机终端处修改程序以使得它修改用户发送给例如银行的数据,例如使得计算机将某一天的所有银行转帐修改到由用户指定帐户之外的另一个帐户。当针对普通单独的用户使用时,特别是当针对组织(诸如公司或公共行政机关)使用时,这种不通知的修改和重新编程可能造成严重的和巨大的损害。所有这些都意味着,普通的终端设备和通信路径是不能被信任的。
所以,本发明的一个目的是克服现有技术解决办法的缺点,以及提供一种新型的用于鉴权的解决办法。
一个目的是提供一种方法和装置,借助于它,接入应用的用户接口可以以较之现有技术中可能有的更安全的方式来被鉴权。另一个目的是在使用已经接入的应用期间需要进行鉴权时,提供更安全的鉴权。
一个目的是提供一种解决办法,其中应用可以肯定用户识别符和鉴权数据(诸如密钥或签名)是正确的。
本发明的一个目的是提供一种解决办法,其中电话用户号、移动台的识别模块、或移动设备识别符、或由智能卡或类似的装置提供的识别符等在鉴权时可被利用。
一个目的是一种提供解决办法,借助于这种办法,在通信方之间的数据加密过程可以以新颖的和改进的方式被实现。
这些目的是通过电信网络中鉴权通信的方法而得到的,其中该方法包括把鉴权数据存储在鉴权服务器中,把用户接口识别数据存储在鉴权服务器中以使得它与有关的鉴权数据结合在一起,把通信的用户接口的识别数据发送到鉴权服务器,在鉴权服务器中接收识别数据,从与接收的识别数据结合在一起的存储的鉴权数据中检索这样的鉴权数据,以及发送至少一部分来自鉴权服务器的检索的鉴权数据作为对接收的识别数据的应答。
按照一个替换例,电信通信网中鉴权通信的方法包括把鉴权数据存储在鉴权服务器中,把用户接口识别数据存储在鉴权服务器中以使得它与有关的鉴权数据结合在一起,把用于通信的用户接口的鉴权数据发送到鉴权服务器,在鉴权服务器中接收鉴权数据,从与接收的鉴权数据结合在一起的存储的用户接口识别数据中检索这样的用户接口识别数据,以及发送至少一部分来自鉴权服务器的检索的用户接口识别数据作为对接收的鉴权数据的应答。
此外,本发明提供在电信网络中使用的装置。该装置包括被连接的第一电信网的用户接口,所述用户接口具有一个识别符,一个可通过第二电信网接入的应用,一个使得用户接口能够通过第一电信网接入到第二电信网的接入服务器,以及一个鉴权服务器,其中该鉴权服务器包括其中以可检索的方式存储了用户接口的识别符和需要的鉴权数据并因此使得它们被结合在一起的记录或数据库。
也提供了在电信网络中使用的鉴权服务器。鉴权服务器包括数据库或记录,它被用来存储用于连接到电信网的用户接口终端的用户接口识别数据和用于多个用户接口终端的鉴权数据,以使得用户接口识别符与用于所述用户接口终端的相关的鉴权数据结合在一起。
借助于本发明可以得到几个益处,因为解决办法提供了简单的、可靠的和可控制的鉴权方式。该解决办法把分组交换网络的安全级别提高到几乎相当于至少是公共交换电话网(PSTN)的安全级别的级别。提供鉴权的装置是处在可信方,诸如网络操作员(例如公共电话网操作员)的监管下,或处在通常可被保持成这样的可信方(它可以充分地确保连接到操作员的网络的用户接口的真实性)的类似的一方的监管下。提供应用的服务器的拥有者并不需要知道用户的特征,但应用提供者可依赖于操作员对用户信任这样的事实,并因此准备鉴权其使用。本发明为远端工作提供了改进的可能性,因为鉴权事项更可靠而同时由鉴权过程对系统造成的运行时间负荷减小,并且使得鉴权过程以及加密密钥的供应过程被更简单地完成和对于用户更透明,而同时仍旧可以提供连接的良好的安全性。
下面通过参照附图以示例的方式来描述本发明及其其它目的和优点,其中在各个图上相同的参考字符是指相同的特征。
附图简述
图1是包括按照本发明的原理运行的服务器的一个网络装置的示意图;图2是在图1的服务器内实施的表格的示意图;图3和4揭示了本发明的两个实施例的运行的流程图;图5和6显示了在两个不同的信令情形下在各方之间的信号流。
附图详细描述图1是包括PSTN(公共交换电话网)的装置的示意图,其中用户通过他/她的用户接口或终端1被连接到PSTN。PSTN是熟知的交换电话网装置,它以本领域技术人员本来熟知的方式被用于话音和数据业务,因此这里不再更详细地解释。只要注意到,PSTN通常包含各种交换机(本地分支交换机、专用分支交换机、中央交换机、网关交换机等等),以及在这些之间的连接(诸如中继线)或到其它网络和接口用于把用户终端连接到PSTN的链路。
应当指出,本发明不打算限于这样的情况中的使用,即其中用户接口或终端被连接到PSTN从而通过PSTN网络运行,它也可以用在能够提供在至少两方之间的通信的其它类型的电信网中,诸如各种类型的PLMN(公共地面移动网)。在这方面,应当指出,两个通常使用的PLMN系统是分别基于CDMA(码分多址)和TDMA(时分多址)的。例如,在美国使用的IS-95标准是基于CDMA的,而广泛使用的GSM(全球移动通信系统)标准是基于TDMA的。预期将来的PLMN是基于以上的宽带解决方案的,诸如W-CDMA或W-TDMA。
在图1的例子中,用户终端1由一个数据处理设备构成,更精确地是由个人计算机(PC)构成。PC机通常包括中央处理单元(CPU)、存储器(ROM,RAM)、键盘、显示器和必要的用于通过工作的连接2把数据处理装置连接和接口到诸如图1的交换分机3的PSTN交换设备接口装置。这些接口装置可以包括,例如一个网络板、适当的连接端口和耦合、调制解调器(在使用调制解调器连接的情况下)等,或者接口可以借助于ISDN(综合业务数字网)连接,或通过包括ADSL(非对称数字用户线)的xDSL(任何的数字用户线),或通过IDSL(ISDN用户线),或通过用于高速接入的ATM(异步传输模式)连接,或通过用于接入数据网的任何其它相应的解决方案而被安排。
网络接入服务器(NAS)5通过连接4被可操作地连接到PSTN交换机3。在某些情况下,接入服务器也可以被实现为形成网络交换设备的一部分。在要被接入的网络是利用TCP/IP协议组以及被称为互联网的全球分组数据网的情况下,接入服务器(AS)常常相应地被称为互联网接入服务器(IAS)。
网络接入服务器(NAS)被安排去识别由呼叫的电话预定(即由PC机1使用的预定)试图与之建立连接的电话号码。在目的地号码是互联网号码(诸如用于办公室网络网关9的号码,或用于在互联网8以外的互联网业务提供者9′的号码)的情况下,呼叫将不作为普通的电路交换的呼叫被进一步路由到公共交换电话网(PSTN),而是被终接到NAS 5,以及数据将接着作为分组交换的呼叫通常以数据分组的形式通过数据网被路由到互联网8。换句话说,NAS 5被用来把来自终端1的电路交换网络的信号变换成数据分组,然后数据分组可被发送到分组交换的网络,以及把这个数据分组发送到互联网8。然而,除了上述的NAS以外的另外类型的适合的接入节点(AN)也是已知的,也可代替NAS而被用来提供从终端1到互联网8的接入。
在图1上,要被接入的应用被显示为办公室网络网关9或ISP 9′。在所使用的应用是网关9的情况下,PC 1的用户可被看成是在远端地工作(例如在家中)并且作为通过互联网TCP/IP连接接入办公室网络网关9的用户。然而,应当指出,需要鉴权的应用可以是除了所显示的以外的任何其它类型的、可通过分组数据网络接入的应用,例如由除了互联网业务提供者(ISP)9′以外的某些其它方提供的业务或应用。
装置还包括鉴权节点或鉴权服务器,在本例中它被称为域密钥服务器(DKS),用10表示。鉴权服务器是在交换网和分组数据网之间的接口或连接点中实施的。这样,如图1所示,鉴权服务器10定位于与PSTN 4的较近联系中,最好是使得它与接入点即在PSTN 4与互联网8之间的NAS 5具有直接的连接。
鉴权服务器包含记录或数据库,它包括在要求鉴权的应用中所需要的所有的密钥和/或签名,即鉴权数据。为了提供鉴权,应用被安排成使用由鉴权服务器10提供的鉴权业务。鉴权服务器10被安排来把鉴权数据结合或组合到作为通信或呼叫的发源地的用户接口的识别符上。这个识别符可以是,例如电话预定识别符(例如E.164)、IMEI代码(国际移动设备识别符)或SIM代码(用户识别模块)、智能卡或类似的指明入呼叫的发源地的装置的识别符。这些识别符也被存储在鉴权服务器内,正如将参照图2更详细地说明的。
鉴权服务器的重要特性是,它是由可信的一方(诸如由PSTN的电话网操作员,或政府组织或提供网络安全性业务或通常的网络业务的公司)来实施、运行、管理、维护和控制的。诸如公司、大学、协会等的各种组织也可以具有它们自己的密钥服务器。服务器在物理上最好位于接入服务器内或紧密地靠近接入服务器,这样便没有外来者可以接入到其中,因而它是可信任的。
图2揭示了在鉴权服务器内实施的表格的一个例子。表格20被用作存储用于鉴权过程的必要数据/信息的记录。在该例中,第一列是识别数据区或设备识别区22,它包括诸如E.164电话号码、SIM(用户识别模块)或IMEI代码(国际移动设备识别符)、或智能卡识别符的识别符。为了简明起见,图2的示例的区22只显示了电话号码。
如上所述,E.164号码只是不同的号码地址的一个例子,E.164是由ITU-T(国际电信联盟)标准化的。其它的相应的电话号码自然也可以被用作用户接口识别符。而SIM通常是被安装在移动台内的一个卡或芯片,但在其它的终端中也可以使用相应的识别模块。IMEI是移动台的唯一的识别符。
某些其它的识别符,诸如基于最终用户帐号的解决方案,也可被用于识别目的。此外,终端的类型也可被使用于识别目的。举一个后者的例子,终端可以按照其工作原理而被分成“愚笨的”和“智能的”终端。“愚笨的”终端可以按照接口点(通常是固定线路连接点)被识别。“聪明的”终端配备有SIM、IMEI、智能卡等等,并且识别是基于这种装置而不是接口点。
表20的第二列构成密钥类型区24。密钥的类型可以是例如公共密钥、专用密钥、签名、对称密钥或非对称密钥。
表20的第三列构成用于所使用的密码算法的名称的区26。所使用的算法可以是例如基于DES(数据加密标准)、或RSA(Rivest,Shamir,Adleman-算法)、或IDEA(国际数据加密算法)的算法或任何适合于进行鉴权过程中可能需要的密码运算的其它的算法。
表20的第四列构成表示所使用的密钥/签名的鉴权数据区28。正如所看到的,在鉴权数据区28中的密钥/签名被结合到在识别符数据区22和其它可能的区中的各个识别符上。应当指出,一个用户/识别符可以具有一个以上的密钥和/或签名,然后这些密钥和签名被按照所用的应用的要求来使用。
按照一个替换的表格结构,识别数据区22可被分成单独的区,以使得电话号码、SIM和IMEI、智能卡等,每个都被包括在它们自己的单独的识别数据区。来自以上的单独的区的数据可以在鉴权过程中被利用,以使得单独的区在鉴权期间被互相比较。
在运行时,鉴权服务器被用来这样地存储适当的鉴权数据或信息以及设备识别数据,以使得各个数据按预定的方式被组合。在鉴权服务器10中,存储的鉴权数据可被用来借助于设备识别数据或识别符来鉴权呼叫的设备(例如,通过把呼叫的电话号码,或呼叫设备的SIM或IMSE与鉴权数据进行验证)。或者,呼叫设备识别数据可被鉴权数据用于鉴权目的(例如通过把密钥或签名与识别符进行验证)。换句话说,呼叫设备识别符(即用户接口识别)与鉴权数据的结合可以以这两种方式来完成,这样,真实性测试可以通过设备识别数据(鉴权数据的真实性)或通过鉴权数据(设备识别的真实性)来完成。
更精确地,以及参照图3的流程图,所需要的密钥/签名和设备识别符被包含在鉴权服务器数据库或记录中,并从鉴权服务器数据库或记录中检索出来。可以这样安排,即使得鉴权服务器和NAS都具有它们自己用来鉴权它们进入另一个网络设备的密钥。
更精确地,在步骤100开始有鉴权的需要后,应用(例如,图1的9或9′)在步骤102通过使用例如客户的IP(互联网协议)号码来从NAS处请求呼叫的终端的电话号码或其它识别符。也可以从某个具有呼叫终端识别符的其它的可信的一方请求识别符。然而,第一个解决办法在使用动态IP的情况下是特别优选的。
然后在步骤104,NAS发送请求的电话号码或其它识别符给应用,在步骤106,应用再把它发送给鉴权服务器(DKS 10)。也有可能安排这样的阶段,使得号码被直接地从NAS发送到鉴权服务器。发送的识别符数据优选地可以用鉴权服务器的公共密钥来加密。
在步骤108在鉴权服务器中,识别符数据被接收。在相关的鉴权数据在步骤108被发现在鉴权服务器表格中和从该表格中被检索出来的情况下,该鉴权数据在步骤110被返还作为对应用的应答。在这一阶段,鉴权数据优选地可以用应用的公共密钥来加密。
在应用接收到鉴权数据和发现它是适当的和正确的(步骤112)以后,它可在步骤114被用于应用事项。这样,在鉴权数据由密钥等组成的情况下,应用将该密钥用于可能的加密运算。在鉴权数据是电子签名的情况下,应用可以例如把它与从用户处接收的签名进行比较,以便确认该用户就是他/她所声称的那个用户,以及根据该用户是否被确认而接着进行。例如,在从鉴权服务器接收的签名与来自用户的签名互相匹配的情况下,允许事项继续进行。在签名不匹配的情况下,即它们是不同的,应用就不允许完成任何进一步的事项,以及甚至可能立即断开连接。其中可以使用签名的应用的一个例子是电子商务(E-Commerce),在其中签名可被用作为预订的验证,以使得销售者可以确保用户是真实的个人以及被授权成能够使用预订单来预订产品和/或业务。
按照由图4的流程图说明的实施例,客户在步骤120发送他/她的电话号码给应用,此后,在步骤122应用(诸如图1的办公室网关9)请求NAS确认这个电话号码是正确的电话号码。在NAS在步骤124确认电话号码(即设备识别)的情况下,应用在步骤126发送该电话号码给鉴权服务器。在电话号码不被确认的情况下,连接被断开,或可以跟着进行某些其它的过程,例如重新进入。给鉴权服务器10的发送可以在这一阶段通过使用应用9的公共密钥或鉴权服务器的公共密钥来加密。加密也可以通过使用包含在鉴权服务器记录中的用户的公共密钥来完成。
在鉴权服务器在步骤128接收到设备识别符以后,鉴权服务器检索相应的密钥/签名,以及在步骤130把这个密钥/签名作为应答返还给应用。如上所述,这个发送可在步骤132通过使用鉴权服务器或用户的应用服务器的公共密钥而被加密。可能的加密/解密和签名操作可以在例如互联网接入点(即图1中的NAS 5)中、或甚至在客户(即用户接口)中、或自然地在应用本身中来完成。
如果在图1的接入服务器5中完成解密,则接入服务器从鉴权服务器10请求用户的专用密钥。如果在PC机1中完成解密,则PC请求专用密钥。这样,专用密钥只被给予可信的一方。而公共密钥可以被给予请求要它的任何人。公共密钥只可被使用于加密,而专用密钥可被用于加密和解密数据。应用给出它的公共密钥或对称的一次性的或唯一的会话密钥。
为了提高安全性级别,有可能在应用服务器与NAS以及使用本身已知的隧道技术的鉴权服务器之间的通信中使用各种隧道技术,诸如L2TP(第2层隧道协议)或IPSEC(IP安全协议)。发送的数据分组在其发送期间也可以被封装。一个可能性是使用IPv6协议,它使得能够进行数据头加密。IPv6协议是熟知的IP(互联网协议)的新版本。
应当指出,虽然图3和4揭示了其中用户接口识别数据被发送给鉴权服务器以便于接收相应的鉴权数据的情形,但发送的信息也可以是由应用从接入服务器或从用户接口接收的鉴权数据。
在鉴权数据被正确地宣布的情况下,在发送这个鉴权数据给鉴权服务器以后,它接收设备识别。这个接收的设备识别必须匹配于在原先的与用户接口的通信期间可能从接入服务器或用户接口接收的设备识别符数据。
图5和6揭示了在各方之间的可能的信令的示例的流程图。未被加密的那些消息用虚线表示,以及加密的消息用实线表示。
在图5上,连接被建立,以及电话号码被作为识别符通过消息50从电话交换机发送到NAS。此后用户接口通过消息51第一次建立一个到应用的连接。消息51可以包括类似的设备识别符的电话号码。消息50和51没有被加密。
应用通过消息52请求呼叫设备的预定号码或类似的识别符。这个连接可用例如NAS的公共密钥加密。随后,NAS通过消息53回答询问。这个消息可用应用的公共密钥加密。然后应用通过消息54从鉴权服务器DKS请求用户的密钥。这个消息可能用DKS的公共密钥加密。DKS通过消息55回答询问,该消息可通过使用应用的公共密钥来加密。
在这个实施例中,甚至NAS也通过消息56从DKS请求用户的密钥。这个消息可用DKS的公共密钥加密。DKS通过消息57回答询问,该消息可用NAS的公共密钥加密。
在用户被成功地鉴权的情况下,在用户接口和应用之间建立了连接。正如可以看到的,在用户接口与NAS之间的消息59不被加密,而在NAS与应用之间的消息58被加密。NAS被安排来例如通过检索出的密钥或通过双方之间已同意的会话密钥来执行所需要的加密和解密操作。
在图6上,连接被建立,以及电话号码等被作为识别符而通过消息60发送到NAS。然后用户接口通过消息61第一次建立一个到应用的连接。如上所述,消息61可包括类似的设备识别符的电话号码。消息60和61没有被加密。
应用通过消息62请求呼叫设备的预定号码或类似的识别符。这个连接可用例如NAS的公共密钥加密。随后,NAS通过消息63回答询问。这个消息可用应用的公共密钥加密。然后应用通过消息64从鉴权服务器DKS请求用户的密钥。这个消息可用DKS的公共密钥加密。DKS通过消息65回答询问,该消息可通过使用应用的公共密钥来加密。
在这个实施例中,用户接口通过消息66从NAS请求用户接口号码。在用户接口知道这个密钥的情况下,这个消息可用NAS的公共密钥加密。NAS通过消息67回答询问。如果必要的话,在用户接口随询问消息66一起提供一个一次性密钥的情况下,这可以由这样的一次性密钥加密。
此后,用户接口通过消息68从DKS请求用户密钥。如果用户知道DKS的公共密钥,则这可以用DKS的公共密钥加密。此后,DKS通过消息69回答询问。在用户接口在消息68中提供一个一次性密钥的情况下,这个消息可被加密。
最后,在用户接口与应用之间建立了连接。正如所看到的,在用户接口与应用之间的整个消息70被加密。用户接口现在能够例如通过检索的密钥或双方之间已同意的会话密钥来执行所需要的加密和解密操作。
这样,本发明提供了藉以达到在连接的安全性方面的重大改进的设备和方法。由于鉴权服务器提供了密钥持有者(识别符数据)和鉴权数据(电子密钥或签名)的正确性的改进的确定性,鉴权过程的安全性被提高。本发明使得能够提供可靠的链路,在其中一部分连接以例如交换网完成且一部分以隧道分组网络完成。因为它使得用户能够在建立连接时使用非对称密钥,并且在非对称密钥的使用使得处理过程的运行太繁重而难以完成的情况下,发送一个一次性的对称密钥以用于连接本身。本发明提供了例如用于远端工作、远程教育或远程维护病人记录、远端更新数据库等的良好的可能性。
应当指出,本发明的实施例的以上实例不打算把本发明的范围限制于以上给出的特定形式,而是本发明可以覆盖包含于由所附的权利要求所定义的本发明的精神和范围内的所有的修改例、类似例、和替换例。
权利要求
1.电信网中鉴权通信的方法,包括把鉴权数据存储在鉴权服务器中;把用户接口识别数据存储在鉴权服务器中以使得它与有关的鉴权数据结合在一起;把通信的用户接口的识别数据发送到鉴权服务器;在鉴权服务器中接收识别数据;从与接收的识别数据结合在一起的存储的鉴权数据中检索这样的鉴权数据;以及发送至少一部分来自鉴权服务器的检索的鉴权数据,作为对接收的识别数据的应答。
2.电信网中用于鉴权通信的方法,包括把鉴权数据存储在鉴权服务器中;把用户接口识别数据存储在鉴权服务器中以使得它与有关的鉴权数据结合在一起;把用于通信的用户接口的鉴权数据发送到鉴权服务器;在鉴权服务器中接收鉴权数据;从与接收的鉴权数据结合在一起的存储的用户接口识别数据中检索这样的用户接口识别数据;以及发送至少一部分来自鉴权服务器的检索的用户接口识别数据,作为对接收的鉴权数据的应答。
3.按照权利要求1或2的方法,其特征在于,其中用户接口正在与在分组数据网中实施的应用通信,用户接口包括数据处理设备,并且它被连接到具有到分组数据网的可使用的连接的电路交换电信网。
4.按照权利要求1到3的任一项的方法,其特征在于,其中鉴权数据由电子密钥或签名组成,以及用户接口识别数据是电信预定识别号码、用户识别模块(SIM)、国际移动设备识别符(IMEI)、智能卡识别符或者至少两个所述识别符的组合中的一个。
5.按照权利要求1到4的任一项的方法,其特征在于,其中在鉴权服务器与请求鉴权的网络设备之间的通信是通过使用应用或鉴权服务器或用户的公共密钥或专用密钥来加密的。
6.按照权利要求1到5的任一项的方法,其特征在于,其中隧道被用于在鉴权服务器与请求鉴权的网络设备之间的通信。
7.按照权利要求1到6的任一项的方法,其特征在于,其中从鉴权服务器检索的密钥在加密通信时被使用。
8.按照权利要求1到7的任一项的方法,其特征在于,其中通过以下的一个装置来发送一个从鉴权服务器接收鉴权数据或用户接口识别数据的请求,以作为对发送到鉴权服务器的数据的应答用户当前正在与其通信的应用,或为用户提供从一个电信网到另一个电信网的接入的接入服务器,或用户接口。
9.按照权利要求1到8的任一项的方法,其特征在于,其中鉴权服务器由电话网操作员、政府组织、私人安全组织、或类似的提供对于鉴权服务器的可信任的操作和管理的组织来进行管理和操作。
10.在电信网中使用的装置,包括被连接到第一电信网的用户接口,所述用户接口具有它自己的识别符,可通过第二电信网接入的应用,使得用户接口能够通过第一电信网接入第二电信网的接入服务器,以及鉴权服务器,其中鉴权服务器包括记录或数据库,在其中以可检索的方式存储用户接口的识别符和相应的鉴权数据,并且使得它们被结合在一起。
11.按照权利要求10的装置,其特征在于,其中第一电信网是电路交换的电话网和用户接口包括数据处理设备,以及第二电信网是可操作地连接到所述第一网络的分组数据网,以及其中鉴权服务器被安排成与在所述第一网络和第二网络之间的接入服务器有直接连接。
12.按照权利要求10或11的装置,其特征在于,其中鉴权服务器包含一个表格,它具有一个用于具有电子密钥或签名的形式的鉴权数据的区,以及一个用于具有以下形式的识别数据,即电话预定号码、或用户识别模块(SIM)、或国际移动设备识别符(IMEI)、或智能卡识别符或类似的用于提供识别符的方式的区。
13.按照权利要求10到12的任一项的装置,其特征在于,其中应用是连到局域网的网关,例如到办公室网络的网关。
14.按照权利要求10到13的任一项的装置,其特征在于,其中第二电信网通过接入服务器被接入,所述接入服务器被用来终接电路交换的呼叫和用来把信息变换成分组数据,以便能在分组数据网中进行通信。
15.按照权利要求10到14的任一项的装置,其特征在于,其中鉴权服务器是在第一电信网与第二电信网之间的接入点处被实施的。
16.按照权利要求10到15的任一项的装置,其特征在于,其中在鉴权服务器与通信的其它方之间的至少一部分通信被加密和/或被隧道化。
17.按照权利要求10到16的任一项的装置,其特征在于,其中鉴权服务器由电话网操作员、政府组织、私人安全组织或类似的提供对于鉴权服务器的可信任的操作和管理的组织来进行管理和操作。
18.电信网中使用的鉴权服务器,它包括数据库或记录,所述数据库或记录被用来存储用于连接到电信网的用户接口终端的用户接口识别数据和用于多个用户接口终端的鉴权数据,以使得用户接口识别符与用于所述用户接口终端的相关的鉴权数据结合在一起。
19.按照权利要求18的鉴权服务器,其特征在于,其中服务器被实施成具有与用户接口终端所连接的电路交换电话网的接入服务器的直接连接,用户接口终端包括数据处理设备,以及其中分组数据网被通过所述接入服务器可操作地连接到所述电路交换电话网,以及其中应用是通过所述分组数据网提供的。
20.按照权利要求18或19的鉴权服务器,其特征在于,其中鉴权服务器包含一个表格,它具有一个用于具有电子密钥或签名的形式的鉴权数据的区,以及一个用于具有以下形式的识别数据,即电话预定号、或用户识别模块(SIM)、或国际移动设备识别符(IMEI)、或智能卡识别符或类似的用于提供识别符的方式的区。
21.按照权利要求19或20的鉴权服务器,其特征在于,其中鉴权服务器是在电路交换电话网与分组数据网之间的接入点处被实施的。
22.按照权利要求18到21的任一项的鉴权服务器,其特征在于,其中在鉴权服务器与通信的其它方之间的至少一部分通信被加密和/或被隧道化。
23.按照权利要求18到22的任一项的鉴权服务器,其特征在于,其中鉴权服务器由电话网操作员、政府组织、私人安全组织或类似的提供对于鉴权服务器的可信任的操作和管理的组织来进行管理和操作。
全文摘要
本发明涉及电信网络中用于鉴权通信的方法和设备。所述方法包括把鉴权数据和用户接口识别数据存储在鉴权服务器中以使得识别数据与相关的鉴权数据结合在一起的步骤。通信的用户接口的识别数据被发送到鉴权服务器,此后在鉴权服务器中接收识别数据。从与接收的识别数据结合在一起的存储的鉴权数据中检索这样的鉴权数据。然后,至少一部分来自鉴权服务器的检索的鉴权数据被发送,以作为对接收的识别数据的应答。
文档编号H04L29/06GK1298589SQ99805613
公开日2001年6月6日 申请日期1999年3月29日 优先权日1998年4月29日
发明者J·M·梅伦 申请人:艾利森电话股份有限公司