專利名稱:用于證書處理的方法和布置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種接入網(wǎng)中認(rèn)證和授權(quán)的方法和布置�。具體來說,本發(fā)明涉及此類網(wǎng)絡(luò)中的證書處理����。
背景技術(shù):
對(duì)訪問網(wǎng)絡(luò)的用戶的身份進(jìn)行認(rèn)證的需求,以及向用戶或客戶端
iU正網(wǎng)絡(luò)實(shí)體的等效需求在許多現(xiàn)有和將來的通信系統(tǒng)中是顯而易見的�����。具體來說�����,在用戶訪問多個(gè)不同網(wǎng)絡(luò)并利用不同運(yùn)營商和服務(wù)提供商提供的寬范圍服務(wù)的漫游情形中產(chǎn)生了認(rèn)證問題����。用戶/客戶端與網(wǎng)絡(luò)實(shí)體之間的安全通信的流行技術(shù)是在客戶端與接入網(wǎng)的安全性網(wǎng)關(guān)(security gateway: SEGW)之間建立所謂的安全隧道���。
建立的安全隧道技術(shù)的 一個(gè)示例稱為IPsec (Internet Protocolsecurity:因特網(wǎng)協(xié)議安全性),其在多種通信系統(tǒng)中用于多種接入方法[7P]��。這種安全連4妄4吏用稱為iKEv2 (Internet Key Exchange Version 2:因特網(wǎng)密鑰交換版本2 ) [6]的密鑰交換過程來建立�����,IKEv2利用例如基于訂戶身份模塊(EAP-SIM )的可擴(kuò)展認(rèn)證協(xié)議(extentionalauthentication protocol: EAP )同或認(rèn)證和密鑰協(xié)定(EAP-AKA)作為用于客戶端的用戶認(rèn)證方法����。使用此接入機(jī)制的 一個(gè)示例是經(jīng)由IP網(wǎng)絡(luò)接入GSM網(wǎng)絡(luò)的方法,其中至終端的第2層連接大概由WLAN或藍(lán)牙提供��,其已經(jīng)由第三代合作伙伴計(jì)劃(3GPP)自版本6開始進(jìn)行規(guī)定并一般稱為通用接入網(wǎng)(Generic Access Network: GAN) [12] [13](有時(shí)或先前稱為非授權(quán)移動(dòng)接入U(xiǎn)MA)�����。另一個(gè)示例是如3GPP規(guī)定的互聯(lián)WLAN [14][15][16]接入方法��。第三個(gè)示例是在預(yù)期的3GPP系統(tǒng)體系結(jié)構(gòu)演進(jìn)(SAE)體系結(jié)構(gòu)中經(jīng)由非3GPP接入網(wǎng)對(duì)歸屬代理(Host Agent: HA)的移動(dòng)IPv6 (MIPv6)接入�。IKEv2要求���,如果對(duì)于一方使用基于EAP^的認(rèn)證�����,則必須對(duì)另一方使用基于證書的認(rèn)證�����。對(duì)于涉及的接入類型�,這意味著使用IKEv2中的證書向終端、即用戶設(shè)備(UE)/移動(dòng)臺(tái)(MS ))認(rèn)證SEGW(對(duì)于I-WLAN參見例如[16])�。IKEv2協(xié)商期間,SEGW向UE提供其證書�。注意,這可能實(shí)際是證書鏈(chain )��,而不僅是單個(gè)證書����,但是為了簡(jiǎn)明起見,本文檔將在此后將該SEGW動(dòng)作稱為提供證書�。在具體實(shí)施方式
中定義術(shù)語"證書鏈,��,�。假定UE具有來自同一證書授權(quán)中心(Certificate Authority: CA)的"根(root)"證書���,根證書位于SEGW證書的證書鏈的頂端,因此提供證書有效性的最終保證���。使用此根證書����,UE可以對(duì)從SEGW接收到的證書并由此對(duì)該SEGW進(jìn)行認(rèn)證�。
在運(yùn)營商之間漫游的情況中,可以從歸屬公眾陸地移動(dòng)網(wǎng)絡(luò)
(HPLMN)命令UE聯(lián)系并使用受訪PLMN (VPLMN)中的SEGW�����。此漫游情形在GAN中并在I-WLAN接入的某些情形中且可能在SAE中出現(xiàn)�����。UE需要得到證書授權(quán)中心(CA)的根證書��,所述證書授權(quán)中心提供產(chǎn)生載入到SEGW的i正書的i正書鏈頂端����。如果第一 PLMN的運(yùn)營商與另一 PLMN的運(yùn)營商簽署了漫游協(xié)定�����,則將需要用另一PLMN中使用的CA的根證書來更新第一運(yùn)營商的所有UE。運(yùn)營商還可能出于任意原因而需要改變它正在使用的CA�,或可能需要擁有多個(gè)CA。用根證書更新所有UE是項(xiàng)艱巨的任務(wù)��,尤其是因?yàn)檫@是手工任務(wù)�,原因在于終端目前無法通過使用"空中接口" (OverTheAir:OTA)供應(yīng)來加載新證書。
目前設(shè)想的情形���、例如在GAN的情況中產(chǎn)生了另一個(gè)問題��,即不包含訂戶身份模塊(Subscriber Identity Module: SIM)卡/通用集成電路卡(Universal Integrated Circuit Card: UICC )的每個(gè)移動(dòng)設(shè)備
(ME)��、即UE在制造時(shí)加載有有限集合(一個(gè)或多個(gè))的根證書�����。因此這個(gè)或這些證書將是ME制造商認(rèn)為適合的證書����。因?yàn)镸E將潛在地供任何用戶在任何網(wǎng)絡(luò)中使用�,所以ME的才艮證書與所聯(lián)系的
9SEGW所要求的根證書之間的匹配問題也可能出現(xiàn)在非漫游情況中,
即在ME訪問用戶的HPLMN中的SEGW時(shí)。
因此�����,現(xiàn)有解決方案的問題可以描述為SEGW的證書與UE的根證書之間的潛在不匹配或不兼容����,這導(dǎo)致UE無法-驗(yàn)證SEGW的證書的有效性,這又意味著UE不能認(rèn)證SWEG�����。
發(fā)明內(nèi)容
顯然��,需要一種用于向安全性網(wǎng)關(guān)朝訪問用戶設(shè)備的認(rèn)證提供有用證書的改進(jìn)方法和布置����。
本發(fā)明的目的在于提供一種克服現(xiàn)有技術(shù)的缺點(diǎn)的方法和布置。這通過權(quán)利要求1中定義的方法�、權(quán)利要求24中定義的證書服務(wù)器、權(quán)利要求28中定義的用戶設(shè)備以及權(quán)利要求30中定義的網(wǎng)關(guān)來實(shí)現(xiàn)�。
根據(jù)本發(fā)明的方法提供在用戶設(shè)備經(jīng)由通信網(wǎng)絡(luò)中的安全性網(wǎng)關(guān)訪問受訪或歸屬網(wǎng)絡(luò)時(shí)適用的認(rèn)證過程。在初始階段�����,用戶設(shè)備和安全性網(wǎng)關(guān)通過提供證書本身或通過提供指定可用證書的指示來交換關(guān)于可用證書的信息。
如果用戶設(shè)備和安全性網(wǎng)關(guān)缺乏匹配證書��,則安全性網(wǎng)關(guān)的嘗試認(rèn)證無法根據(jù)現(xiàn)有協(xié)議和布置進(jìn)行�。根據(jù)本發(fā)明�����,如果識(shí)別出證書不匹配�,則使證書服務(wù)器參與。證書服務(wù)器����,作為與安全性網(wǎng)關(guān)分開的實(shí)體,至少部分協(xié)助認(rèn)證過程����。 一旦確認(rèn)認(rèn)證,則可以在用戶設(shè)備與安全性網(wǎng)關(guān)之間建立安全隧道����,并可以傳輸有效載荷業(yè)務(wù)。
根據(jù)本發(fā)明的一個(gè)實(shí)施例����,證書服務(wù)器通過向安全性網(wǎng)關(guān)或用戶設(shè)備提供至少 一個(gè)證書以使安全性網(wǎng)關(guān)和用戶設(shè)備具有至少 一個(gè)匹配證書來協(xié)助認(rèn)證的一部分�。該實(shí)施例包括如下步驟
-用戶設(shè)備向安全性網(wǎng)關(guān)提供其可用根證書的指示�����,
-安全性網(wǎng)關(guān)將來自用戶設(shè)備的可用證書的指示與存儲(chǔ)的證書進(jìn)行比較����,-如果安全性網(wǎng)關(guān)無法找到與指示的證書相匹配的所存儲(chǔ)證書,則安全性網(wǎng)關(guān)從證書服務(wù)器請(qǐng)求匹配證書���,
-證書服務(wù)器生成匹配證書和關(guān)聯(lián)的密鑰對(duì)���,
-證書服務(wù)器將該證書及其關(guān)聯(lián)的密鑰對(duì)發(fā)送到安全性網(wǎng)關(guān),-安全性網(wǎng)關(guān)將匹配證書發(fā)送到用戶設(shè)備�,以及-用戶設(shè)備驗(yàn)證收到的證書。
根據(jù)另 一個(gè)實(shí)施例�,證書服務(wù)器通過代表用戶設(shè)備執(zhí)行安全性網(wǎng)
關(guān)的認(rèn)證的一部分來協(xié)助認(rèn)證。該實(shí)施例可以包括如下步驟-安全性網(wǎng)關(guān)將至少一個(gè)證書發(fā)送到用戶設(shè)備��,-用戶設(shè)備將從安全性網(wǎng)關(guān)收到的證書與存儲(chǔ)的根證書進(jìn)行比
較�����,
-如果用戶設(shè)備無法使用用戶設(shè)備中存儲(chǔ)的根證書來驗(yàn)證從安全性網(wǎng)關(guān)收到的證書���,則用戶設(shè)備將收到的證書發(fā)送到證書服務(wù)器���,畫證書服務(wù)器驗(yàn)證始發(fā)于安全性網(wǎng)關(guān)的證書�����,-證書服務(wù)器將驗(yàn)證的結(jié)果的指示發(fā)送到用戶設(shè)備。作為備選方案����,代之請(qǐng)求證書服務(wù)器驗(yàn)證安全性網(wǎng)關(guān)的證書,用戶設(shè)備請(qǐng)求證書服務(wù)器發(fā)送所需根證書��,以便用戶設(shè)備自己能夠驗(yàn)證安全性網(wǎng)關(guān)的證書�����。在其對(duì)根證書的請(qǐng)求中��,用戶設(shè)備包含安全性網(wǎng)關(guān)的證書或所需根證書的指示�。假如證書服務(wù)器對(duì)所需根證書有訪問權(quán),則它將其返回到用戶設(shè)備�。用戶設(shè)備使用所獲取的根證書來驗(yàn)證安全性網(wǎng)關(guān)的證書,并且可以額外并可選地存儲(chǔ)該根證書以供以后使用�。
本發(fā)明的 一個(gè)實(shí)施例平衡證書服務(wù)器與安全性網(wǎng)關(guān)之間以及證書服務(wù)器與用戶設(shè)備之間的信任/安全性關(guān)系�。
借助本發(fā)明���,解決了安全性網(wǎng)關(guān)的證書與訪問用戶設(shè)備的根證書之間的不兼容/不匹配的問題��。
本發(fā)明的實(shí)施例提供可以完全限于網(wǎng)絡(luò)而對(duì)UE沒有影響(這在某種環(huán)境中是首選的)的解決方案�。其他實(shí)施例通過平衡歸屬AAA服務(wù)器(證書服務(wù)器)與安全性網(wǎng)關(guān)之間以及歸屬AAA服務(wù)器與用
戶設(shè)備之間的信任/安全性關(guān)系��,避免了潛在的管理問題�����。
根據(jù)本發(fā)明的方法通過使用動(dòng)態(tài)建立的至所搜尋網(wǎng)絡(luò)中的網(wǎng)關(guān)
(稱為SEGW)的IPsec隧道作為接入機(jī)制而通用到足以應(yīng)用于任何接入類型����。典型示例包括GAN (先前稱為UMA)和I-WLAN。這些解決方案可應(yīng)用的其他示例是在預(yù)期的3GPP SAE體系結(jié)構(gòu)中對(duì)MIPv6歸屬代理的訪問����。
本發(fā)明的實(shí)施例還消除了在用戶設(shè)備中實(shí)現(xiàn)和使用在線證書狀態(tài)協(xié)議(Online Certificate Status Protocol: OCSP )的需要。根據(jù)本發(fā)明的實(shí)施例����,可以改為在證書服務(wù)器中實(shí)現(xiàn)OSCP。
在從屬權(quán)利要求中定義了本發(fā)明的實(shí)施例����。從本發(fā)明結(jié)合附圖和權(quán)利要求書考慮時(shí)的以下詳細(xì)描述���,本發(fā)明的其它目的、優(yōu)點(diǎn)和創(chuàng)新特征將變得顯而易見����。
現(xiàn)在將參考附圖詳細(xì)描述本發(fā)明,其中
圖1示意圖示其中可以采用根據(jù)本發(fā)明的方法和布置的訪問情
形����;
圖2a-d是圖示利用如下過程建立IPsec隧道的信令方案a)完全EAP-SIM認(rèn)證過程��,b )EAP-SIM快速再認(rèn)證過程��,c )完全EAP-AKA認(rèn)證過程以及d) EAP-AKA快速再認(rèn)證過程�;
圖3示意圖示才艮據(jù)本發(fā)明的一個(gè)實(shí)施例的認(rèn)-〖正方法;
圖4a示意圖示才艮據(jù)本發(fā)明的一個(gè)實(shí)施例的認(rèn)證方法�,且圖4b是對(duì)應(yīng)的信令方案;
圖5a示意圖示才艮據(jù)本發(fā)明的一個(gè)實(shí)施例的認(rèn)證過程�,且圖5b-e是對(duì)應(yīng)的信令圖,b)完全EAP-SIM認(rèn)證過程��,c) EAP-SIM快速再i人證過程�����,c )完全EAP-AKA認(rèn)證過程以及e) EAP-AKA快速再認(rèn)證過程;圖6a示意圖示根據(jù)本發(fā)明的一個(gè)實(shí)施例的認(rèn)證方法��,以及圖6b)
是對(duì)應(yīng)的信令方案���;
圖7是圖示了本發(fā)明的一個(gè)實(shí)施例的信令方案����;以及
圖8a-c示意圖示根據(jù)本發(fā)明的(a)證書服務(wù)器�����、(b)用戶設(shè)備
以及(c)安全性網(wǎng)關(guān)�����。
具體實(shí)施例方式
下文將參考附圖更完整地描述本發(fā)明�,附圖中示出了本發(fā)明的優(yōu)選實(shí)施例。但是�,本發(fā)明可以多種不同形式來體現(xiàn),并且不應(yīng)將其視為局限于本文提出這些實(shí)施例��;相反,提供這些實(shí)施例以使本公開透徹且完整���,這些實(shí)施例將充分地把本發(fā)明的范圍傳達(dá)給本領(lǐng)域技術(shù)人貝�。
下文中�,將使用如下定義"AAA"-認(rèn)證、授權(quán)和記賬是指網(wǎng)絡(luò)對(duì)用戶的身份進(jìn)行認(rèn)證����、
授權(quán)用戶使用網(wǎng)絡(luò)的服務(wù)和資源以及收集將用于計(jì)費(fèi)和統(tǒng)計(jì)的與用戶通信會(huì)話有關(guān)的記賬數(shù)據(jù)而執(zhí)行的過程和動(dòng)作。這些過程涉及接入網(wǎng)與歸屬網(wǎng)絡(luò)之間��、特別是AAA客戶端與AAA服務(wù)器之間(可能經(jīng)由受訪網(wǎng)絡(luò)中的AAA代理)的通信����。此通信使用諸如RADIUS [1][2]或Diameter [3][4][5]的AAA協(xié)議。
證書—證書的目的是證明已經(jīng)將某個(gè)公用密鑰(來自公用-私用密鑰對(duì))發(fā)布給某一方����。證書通常包含涉及的公用密鑰�����、擁有者的身份��、期滿時(shí)間�、證書發(fā)布者的身份以及可能的其他相關(guān)屬性���。為了保證證書有效,公用-私用密鑰對(duì)的發(fā)布者且因而證書的發(fā)布者以數(shù)字方式用其(即發(fā)布者的)私用密鑰來簽署證書�����。
如果B在通信會(huì)話期間從A接收到證書�����,那么假如B信任該發(fā)布者�、即假如發(fā)布者是受信任的第三方,則B可以使用證書發(fā)布者的公用密鑰來檢驗(yàn)證書的有效性并由此檢驗(yàn)所涉及公用密鑰的有效性�。
證書鏈-假定A向B發(fā)布公用-私用密鑰對(duì)以及關(guān)聯(lián)的證書,并
13用其私用密鑰來簽署證書���。擁有了公用-私用密鑰對(duì)�����,B就可以將另一公用-私用密鑰對(duì)和證書發(fā)布給C, C又可以將公用-私用密鑰對(duì)和證
書發(fā)布給D���,以此類推。每個(gè)證書發(fā)布者用其私用密鑰來簽署證書,
以保證其有效性�。由此,以信任和有效性確保的分層序列將這些證書鏈接在一起���,其中證書鏈中的每個(gè)證書的有效性可以使用其發(fā)布者的公用密鑰來檢驗(yàn)���,公用密鑰被包含在證書鏈中的下一分層級(jí)的證書
中。然后可以使用下一分層級(jí)的證書中的公用密鑰來抬r驗(yàn)此發(fā)布者的公用密鑰的有效性��,以此類推���。因此為了驗(yàn)證某個(gè)證書�, 一方可以順著分層鏈���,沿途驗(yàn)證每個(gè)證書�,直到找到受信任的發(fā)布者的證書為止��,并且驗(yàn)證序列可以結(jié)束�����。這種證書的分層鏈表示證書鏈�。
根證書-證書鏈的頂部表示根證書。因?yàn)闆]有分層更高的級(jí)可檢驗(yàn)根證書的有效性���,所以根證書是未經(jīng)簽署的或用其擁有者的私用密鑰來簽署(即自我簽署)����。
為了使根證書有用��,使用根證書的一方必須認(rèn)為擁有者的公用密鑰已知�����,并且必須信任其擁有者��。(在實(shí)踐中��,以"安全���,�����,方式提供根證書�����、例如將其預(yù)先存儲(chǔ)在軟件應(yīng)用中是使公用密鑰已知的一種方式���,則所需的信任是"安全"供應(yīng)的假設(shè)條件���。)
證書授權(quán)中心(CA)-為了使證書鏈最終促成成功的驗(yàn)證,它必須包括受信任的第三方�。受信任的笫三方還可以祐^見為在具有多對(duì)多關(guān)系的環(huán)境中使用公用-私用密鑰對(duì)和證書的先決條件。發(fā)布證書的受信任的第三方稱為證書授權(quán)中心(CA)��。 CA的根證書通常位于證書鏈的頂端���。CA根證書因此通常未經(jīng)簽署或經(jīng)自我簽署���,但是不同CA還有可能交叉簽署彼此的根證書(這不應(yīng)視為對(duì)證書鏈添加分層級(jí))。交叉簽署的目的是增加在不同方信任不同CA子集的情況下某一方可信任某根證書的概率��。
可傳遞信任-如果A信任B且B信任C,則可傳遞信任意味著A自動(dòng)信任C�����。
圖2-7中的信令圖中使用如下符號(hào)���。ProtocolX(...){protocolY}是指封裝在protocolX (協(xié)議X)消息中 的protocolY (協(xié)議Y)消息��,例如IKEv^EAP)是指封裝在IKEv2[6] 消息中的EAP分組���。"(...)"符號(hào)指示protocolX消息的可能屬性/參凄史 /有效載荷�����。
ProtocolX(attributeZ...)是指包含attributeZ (屬性Z)的protocolX 消息���,例如IKEv2(CERTREQ.,.)是指至少包含(通過點(diǎn)來指示) CERTREQ有效載荷的IKEv2消息。
ProtocolX([attributeR]...)是指可包含可選attributeR (屬性R)的 protocolX消息����,例如IKEv2([CERTREQ]…)是指可選地包含(至少) CERTREQ有效載荷的IKEv2消息。
ProtocolX(attributeZ=z)是指具有指示"z"的attributeZ的 protocolX消息��,例如IKEv2(CERTREQ-VeriSign)是指具有指示CA VeriSign的CERTREQ有效載荷的IKEv2消息��。
圖1中示意圖示其中可應(yīng)用根據(jù)本發(fā)明的方法和布置的一種訪問 情形���。用戶i殳備(UE) 105正在訪問其歸屬網(wǎng)絡(luò)110或受訪網(wǎng)絡(luò)115�����。 該訪問經(jīng)由歸屬網(wǎng)絡(luò)中的安全性網(wǎng)關(guān)(SEGW) SEGWh 120或受訪 網(wǎng)絡(luò)中的安全性網(wǎng)關(guān)SEGWv 125����,分別對(duì)應(yīng)非漫游情形A和漫游情 形B。歸屬網(wǎng)絡(luò)110中的AAA服務(wù)器AAAhl30用于認(rèn)證�����,在訪問受 訪網(wǎng)絡(luò)115的情形中�,除了 AAAh 130外還涉及受訪網(wǎng)絡(luò)中的受訪 AAA代理AAAv 135。在下文將進(jìn)一步描述的過程中��,例如利用IKEv2 信令���、AAA信令和EAP信令來執(zhí)行認(rèn)證��。假定認(rèn)證正確�����,則該訪問 過程在UE與SEGW ( SEGWh 120或SEGWv 125 )之間產(chǎn)生承載業(yè) 務(wù)的安全隧道165 (IPsec隧道)�����。
訪問過程的多個(gè)變形可供使用�,如圖2a-d的信令圖中示意圖示���。
圖2a是信令圖���,圖示了當(dāng)使用完全EAP-SIM認(rèn)證過程時(shí)接入機(jī) 制中使用的IPsec隧道的建立����。"AAA"是指AAA協(xié)議��,通常為 RADIUS或Diameter���。
用于IPsec隧道建立的IKEv2過程由兩個(gè)階—敬組成。第一階段建立用于保護(hù)后續(xù)IKEv2信令的IKE安全性關(guān)聯(lián)(SA )�。第二階段建立 用于實(shí)際IPsec隧道的SA。當(dāng)使用基于EAP的認(rèn)證時(shí)��,第一階段隨 承載基于EAP的認(rèn)證過程的消息而被擴(kuò)展���。
圖2a中的消息a和b發(fā)起階段1交換����。該第一對(duì)消息 (IKE—SA—INIT )協(xié)商密碼算法���、交換不重性(nonce )并執(zhí)行 Diffie-Hellman交換����,以建立用于IKE SA的加密密鑰。第二對(duì)消息c 和d通常用于對(duì)兩個(gè)對(duì)等體(peer)以及在先消息進(jìn)行認(rèn)證�,且此消 息交換通常結(jié)束第一階段。但是�����,當(dāng)使用基于EAP的認(rèn)證時(shí)���,該過程 不同��。通過不將AUTH有效載荷包括在消息c中���,UE指示它希望使 用基于EAP的認(rèn)證。UE還可以可選地將CERTREQ有效載荷包含在 此消息中��,以指示它支持哪些CA����。在消息d中,SEGW將其證書(其 可以是整個(gè)證書鏈)傳送到UE�。消息e-j是階段1過程的擴(kuò)展,用于 傳送基于EAP的認(rèn)證過程,其在此情況下由用于完全EAP-SIM認(rèn)證 過程的EAP消息組成�。SEGW不對(duì)UE本身進(jìn)行認(rèn)證,而是通過將 EAP消息封裝到SEGW-AAAh路徑上的AAA消息中以對(duì)往返于UE 歸屬AAA服務(wù)器AAAh的EAP消息進(jìn)行中繼��。AAAh執(zhí)行UE的實(shí) 際認(rèn)證���,并在消息j中向SEGW告知結(jié)果(在本示例中為成功)��。在 EAP-SIM認(rèn)證過程之后,UE和SEGW在階段1中交換兩個(gè)別的IKEv2 消息、消息k和l�����,以便對(duì)所有在先消息進(jìn)行認(rèn)證���。
階段2也稱為CREATE—CHILD—SA交換。此階段由單獨(dú)一對(duì)消 息、消息m和n組成�,其中受IKE SA保護(hù)的UE和SEGW交換建立 用于IPsec隧道的SA所需的信息����。
在圖1中,用粗條紋箭頭圖示UE 105與SEGWh 120或SEGWv 125之間的IKEv2信令150,分別用粗棋盤紋箭頭圖示SEGWh 120與 AAAh 130之間或者SEGWv 125與AAAv 135之間的AAA信令151, 并用實(shí)線圖示UE 105與AAAh 130之間的端到端EAP信令160��。在 漫游情況中���,AAA信令151且因而經(jīng)封裝的EAP信令160經(jīng)受訪網(wǎng) 絡(luò)115中的AAAv 135進(jìn)行���。細(xì)實(shí)線箭頭圖示建立了 IPsec隧道165之后業(yè)務(wù)流167的路徑�����。
圖2a中的完全EAP-SIM認(rèn)證過程開始于消息d中的身份請(qǐng)求。 UE在消息e中提供用戶身份。消息f和g是EAP-Request (請(qǐng)求) /SIM/Start (開始)和EAP-Response (響應(yīng))/SIM/Start消息����。這兩個(gè) 消息協(xié)商要使用的EAP-SIM版本�����,并交換包括來自UE的不重性��、在 導(dǎo)出其中用于保護(hù)后續(xù)消息的加密(keying)材料時(shí)使用的數(shù)據(jù)�。因 此����,可以通過消息認(rèn)證碼、AT一MAC屬性來保護(hù)后續(xù)EAP-SIM消息�����。 在消息h中����,AAAh向UE發(fā)送詢問(challenge )���。 UE使用基于SIM 的GSM認(rèn)證算法來計(jì)算對(duì)該詢問的響應(yīng),并在消息i中返回此響應(yīng)�。 AAAh檢驗(yàn)該響應(yīng),并且如果檢驗(yàn)是成功的則在消息j中確認(rèn)該成功 的認(rèn)證��。
圖2b是信令圖�����,圖示了在使用EAP-SIM快速再i人證過程時(shí)接入 機(jī)制中使用的IPsec隧道的建立�����。此信令圖與圖2a的信令圖的不同之 處僅在于承載EAP-SIM認(rèn)證過程的消息��。代之用戶身份�����,UE發(fā)送與 AAAh在先前的完全認(rèn)證過程期間約定的快速再認(rèn)證身份�����。在快速再 認(rèn)證過程中�,不需要EAP-Request/SIM/Start和EAP-Response/SIM/Start 消息。而是����,在EAP-Request/SIM/Re-authentication (再認(rèn)證)和 EAP-Request/SIM/Re-authentication消息中只有詢問-響應(yīng)交換�,然后 在來自AAAh的EAP-Success (成功)消息中確認(rèn)成功的認(rèn)證。
圖2c是信令圖,圖示了當(dāng)使用完全EAP-AKA認(rèn)證過程時(shí)接入 機(jī)制中使用的IPsec隧道的建立�。在此信令圖中����,圖2a的完全EAP-SIM 認(rèn)證過程被完全EAP-AKA認(rèn)證過程取代。與完全EAP-SIM認(rèn)證過程 一樣�����,完全EAP-AKA認(rèn)證過程開始于身份請(qǐng)求��,該請(qǐng)求觸發(fā)UE向 AAAh發(fā)送用戶身份�����。AAAh接著通過在EAP-Request/AKA-Challenge 消息中向UE發(fā)送詢問和網(wǎng)絡(luò)認(rèn)證令牌(用于向UE認(rèn)證網(wǎng)絡(luò))來發(fā) 起實(shí)際的AKA認(rèn)證過程�����。UE檢驗(yàn)網(wǎng)絡(luò)認(rèn)證令牌�����,并使用AKA算法 計(jì)算對(duì)該詢問的響應(yīng)�,并在EAP-Response/AKA-Challenge消息中將此 響應(yīng)返回到AAAh����。 AAAh檢驗(yàn)該響應(yīng)���,并且如果該檢驗(yàn)是成功的則確認(rèn)成功的iU正���。
圖2d是信令圖��,圖示了當(dāng)使用EAP-AKA快速再認(rèn)證過程時(shí)接 入機(jī)制中使用的IPsec隧道的建立����。此信令圖與圖2c的信令圖的不同 之處僅在于承載EAP-AKA認(rèn)證過程的消息。代之用戶身份,UE發(fā) 送與AAAh在先前的完全認(rèn)證過程期間約定的快速再認(rèn)證身份�����。在這 以后是在EAP-Request/AKA-Reauthentication和EAP國Response/AKA陽 Reauthentication消息中的詢問-響應(yīng)交換��,然后是來自AAAh的成功 認(rèn)證的確認(rèn)。
上述認(rèn)證版本全部依賴于UE與UE訪問的SEGW之間的匹配根 證書�����。正如背景技術(shù)部分中描述的��,情況并非總是如此�。提供匹配根 證書的問題在漫游情形中最為突出�����,但是正如所指示的�,該問題也可 能在歸屬網(wǎng)絡(luò)中的訪問過程中出現(xiàn)。
根據(jù)圖3所示的本發(fā)明的方法和布置��,引入證書服務(wù)器(CS)并 將其用于認(rèn)證過程的階段1�。證書服務(wù)器140可以屬于受訪網(wǎng)絡(luò)或UE 的歸屬網(wǎng)絡(luò)。該認(rèn)證過程在UE105經(jīng)由SEGW 120/125訪問歸屬或受 訪網(wǎng)絡(luò)時(shí)發(fā)起�����,且包括如下主要步驟
310: UE 105和SEGW 120/125交換有關(guān)可用證書的信息。
315:識(shí)別UE 105與SEGW 125之間的"i正書的不匹配���,阻止嘗試 的認(rèn)證過程�����。
320:使證書服務(wù)器140參與�。證書服務(wù)器140的選擇可以基于 UE105提供的用戶身份�。
325:通過向SEGW 120/125 (以實(shí)線箭頭來指示)或UE 105 (以 虛線箭頭指示)提供根證書、或通過代表UE 105執(zhí)行SEGW本身的 認(rèn)證或SEGW認(rèn)證的一部分并向SEGW 120/125或UE 105告知結(jié)果���, 證書服務(wù)器140參與到認(rèn)證過程的至少一部分。
330:在UE 105與SEGW 120/125之間建立安全隧道�,并可以傳
輸有效載荷業(yè)務(wù)。
術(shù)語"證書服務(wù)器"是可用于認(rèn)證目的的中央位置的通用描述�����。證書服務(wù)器可以例如是AAA服務(wù)器或?qū)S梅?wù)器��。
與先前一樣���,在UE 105與SEGW 120��、 125之間優(yōu)選使用IKEv2 信令���,而在SEGW與證書服務(wù)器140之間優(yōu)選使用AAA信令���。
根據(jù)本發(fā)明的實(shí)施例,從證書服務(wù)器給SEGW 120/125提供與UE 的根證書(之一 )匹配的證書�����。圖4a中示意圖示該實(shí)施例�,且對(duì)應(yīng)信 令在圖4b的信令方案中。UE 105經(jīng)由SEGW 120/125訪問歸屬或受 訪網(wǎng)絡(luò)110/115 (圖1)�����,并發(fā)起認(rèn)證過程����。優(yōu)選地,該訪問是對(duì)上述 IKEv2過程的改進(jìn)��。在本實(shí)施例中����,證書服務(wù)器位于SEGW的網(wǎng)絡(luò)中����。 如果此網(wǎng)絡(luò)也是UE的歸屬網(wǎng)絡(luò)(非漫游情況)���,則證書服務(wù)器可以被 集成到AAAh 130,這在圖4a中示出����。如果SEGW的網(wǎng)絡(luò)是受訪網(wǎng)絡(luò) (漫游情況)�,則證書服務(wù)器可以集成到AAAv 135。在圖4b的信令 圖中�����,其圖示為表示備選實(shí)現(xiàn)的分離實(shí)體�。該實(shí)施例包括如下步驟
410: UE 105給SEGW 120/125提供其可用根證書的指示。該指 示采用UE 105支持的CA的指示的形式�����?����?梢詫A的指示包含在 IKVEv2交換中的第三消息�����、消息c的CERTREQ參數(shù)中�����。
415: SEGW 120/125將來自UE 105的CA與存儲(chǔ)的證書進(jìn)行比較�。
420:如果SEGW 120/125未找到與這些CA匹配的證書,則SEGW 120/125在消息c����,中從證書服務(wù)器AAAh 130(實(shí)線箭頭)或AAAv 135 (虛線箭頭)請(qǐng)求匹配證書。證書服務(wù)器先前已由運(yùn)營商提供有大量 的證書并已存儲(chǔ)這些證書及其關(guān)聯(lián)密鑰對(duì)����,優(yōu)選地,這些證書與要被 服務(wù)的潛在UE可依賴的絕大多數(shù)CA對(duì)應(yīng)�。
422:證書服務(wù)器AAAh 130或AAAv 135生成具有關(guān)4關(guān)密鑰對(duì)的 此類匹配證書,并用其自己來自所涉及CA的私用密鑰來簽署該證書��。 備選地���,還可以預(yù)先生成證書和密鑰對(duì)以改善實(shí)時(shí)性能�。
425:證書服務(wù)器AAAh 130或AAAv 135將證書及其關(guān)聯(lián)密鑰對(duì) 發(fā)送到SEGW 120/125 (消息c"),分別如實(shí)線箭頭和虛線箭頭所示。
427: SEGW 120/125將匹配證書發(fā)送到UE 105 (消息d)���。428: UE 105驗(yàn)證收到的證書����。
430:在UE 105與SEGW 120/125之間建立安全隧道���,并可以傳 輸有效載荷業(yè)務(wù)�����。
應(yīng)該注意���,在漫游情況中,AAA/EAP信令終止于AAAh 130,而 用于證書的請(qǐng)求/返回的信令終止于證書服務(wù)器�、例如AAAvl35。在 SEGW 120/125和AAAh或AAAv之間的證書請(qǐng)求/返回的通信可以遵 循多個(gè)公知協(xié)議����。
下文實(shí)施例中將舉例說明的一種備選方法是,提供一種使UE 105 檢驗(yàn)SEGW的證書的有效性的方式。此方法平衡(leverage) UE與證 書服務(wù)器140��、例如且優(yōu)選為AAAh 130之間的信任/安全性關(guān)系����,使 得AAAh 130驗(yàn)證SEGW的證書(代表UE 105 )或向UE 105提供驗(yàn) 證所需的根證書。此驗(yàn)證可以作為簡(jiǎn)單的成功指示(通過EAP)或通 過將AAAh的數(shù)字簽名與SEGW的證書相關(guān)聯(lián)來通信給UE 105��。 AAAh 130可以采用常規(guī)方式使用根證書���、或通過平^TAAAh 130與 SEGW 120/125之間的現(xiàn)有信任/安全性關(guān)系可能經(jīng)由受訪網(wǎng)絡(luò)中的 AAA代理��、AAAv 135使用可傳遞信任來驗(yàn)證SEGW的證書�����。
在本發(fā)明的一個(gè)實(shí)施例中����,如圖5a中示意圖示�,且對(duì)應(yīng)信令在 圖5b-e的信令方案中,歸屬AAA服務(wù)器AAAh 130協(xié)助UE 105驗(yàn)證 SEGW的證書��。UE 105經(jīng)由SEGW 120/125訪問歸屬或受訪網(wǎng)絡(luò)����,并 發(fā)起認(rèn)證過程��。優(yōu)選地�,該認(rèn)證過程是對(duì)上述EAP過程的改進(jìn)�����。信令 方案5b圖示EAP-SIM完全認(rèn)證過程����,信令方案5c圖示EAP-SIM快 速再認(rèn)證過程,信令方案5d圖示EAP-AKA完全認(rèn)證過程而信令方案 5e圖示EAP-AKA快速再認(rèn)證過程����。該實(shí)施例包括如下步驟
510: SEGW 120/125將至少一個(gè)證書發(fā)送給UE 105 (消息d)。
515: UE 105將從SEGW 120/125接收的證書與存儲(chǔ)的根證書進(jìn) 行比較�����。
520:如果UE 105未能使用UE中存儲(chǔ)的根證書驗(yàn)證SEGW的證 書��,則UE優(yōu)選地在EAP (即EAP-SIM或EAP-AKA)認(rèn)證過程期間
20將SEGW的證書發(fā)送到AAAh 130 (證書服務(wù)器)�。優(yōu)選地,將SEGW 的證書包含在新EAP-SIM或EAP-AKA屬性"SEGW cert"中�,緊跟 用于對(duì)EAP-SIM和EAP-AKA的屬性擴(kuò)展的TLV( Type-Length-Value: 類型-長度-值)格式。UE將具有SEGW的證書的屬性包含在第一 EAP 消息中�����,該第一 EAP消息由EAP-SIM和EAP-AKA的AT—MAC屬性 進(jìn)行完整性保護(hù)(消息g')。
522: AAAh 130驗(yàn)證SEGW的證書��。AAAh 130可以使用至少兩 種不同方法a)如果AAAh對(duì)來自所涉及CA的才艮證書具有訪問權(quán)����, 則使用根證書以常規(guī)方式驗(yàn)證該證書����,b)依賴于AAAh 130與SEGW 120/125之間的現(xiàn)有信任/安全性關(guān)系。如果AAAh和SEGW屬于同一 網(wǎng)絡(luò)�,則AAAh自然信任SEGW提供了有效證書,其完整性通過SEGW 與AAAh之間的AAA信令的強(qiáng)制性保護(hù)以及通過EAP信令中的 AT—MAC屬性來得到保證并因此向UE 105確保SEGW的證書有效��。 如果AAAh 130和SEGW 120/125屬于不同網(wǎng)絡(luò)��、即不同的運(yùn)營商或 管理域�����,則AAAh 130與SEGW 120/125或作為備選的受訪網(wǎng)絡(luò)中的 中間AAA代理基于漫游協(xié)定而具有信任關(guān)系�,并具有確保安全AAA 通信的安全性關(guān)聯(lián)。因此�,AAAh可以向UE確保SEGW的證書在漫 游情形中也是有效的��。
525: AAAh 130將"OK (成功)���,,指示(或在失敗驗(yàn)證的情況中 為"不OK�����,�,指示)發(fā)送給UE 105 (消息h,)�。優(yōu)選地,此指示還包 含在新EAP-SIM或EAP-AKA屬性中��,并且必須受AT_MAC屬性保 護(hù)�。如果在其中AAAh接收到SEGW的證書的消息是認(rèn)證過程中的 最后一個(gè)(特定)EAP-SIM或EAP-AKA消息,則(方法通用的) EAP-Success (成功)消息是該認(rèn)證過程的唯一剩余EAP消息����。因?yàn)?EAP-Success消息不能承載方法特定屬性,例如用于"OK"(或"不 OK")指示的新屬性���,所以AAAh使用附加的EAP-Request/SIM/ Notification(通知)消息(在EAP-SIM的情況中)或EAP-Request/AKA-Notification消息(在EAP-AKA的情況中)來將該指示傳送給UE���。在此情況中�,UE用EAP-Response/SIM/Notification消息或EAP-Response/AKA-Notification消息進(jìn)4亍響應(yīng)��,然后 AAAh發(fā)送 EAP-Success消息���,結(jié)束EAP認(rèn)證過程�。當(dāng)使用EAP-Request/SIM/ Notification消息或EAP-Request/AKA-Notification消息來傳輸指示時(shí)��, 則可以使用新通知代碼(即現(xiàn)有消息字段的新值)來取代新屬性���。
530:在UE 105與SEGW 120/125之間建立安全隧道,并可以傳 輸有效載荷業(yè)務(wù)��。
當(dāng)證書有效性基于信任/安全性關(guān)系時(shí)�����,AAAh 130無需具有任何 根證書�。始終存在的、UE 105中的SIM卡(或UICC)與AAAh 130 (或更準(zhǔn)確而言是向AAAh提供認(rèn)證參數(shù)的認(rèn)證中心AuC )之間的安 全性關(guān)系是唯一所需的先決條件���。
在GAN的情況中�����,UE 105可在將SEGW的證書發(fā)送到AAAh
述的要求���,并且僅在滿足該要求時(shí)才選擇將其進(jìn)行發(fā)送����。該要求是 不僅SEGW ^是供的證書中的SubjectAltName數(shù)據(jù)與從SEGW接收的 IDr有效載荷匹配�,而且它還包含與UE先前已從供應(yīng)(例如配置)、 發(fā)現(xiàn)(在GA-RC DISCOVERY ACCEPT (發(fā)現(xiàn)接受)消息中的)或注 冊(cè)重定向(在GA-RC REGISTER REDIRECT (注冊(cè)重定向)消息中 的)獲得的SEGW身份相匹配的項(xiàng)��。此SEGW身份可以是IPv4地址�����、 IPv6地址或FQDN���。
作為備選實(shí)施例����,代之請(qǐng)求AAAh 130驗(yàn)證SEGW的證書��,UE 105請(qǐng)求AAAh 130發(fā)送所需根證書�,以使UE 105自己能夠驗(yàn)證 SEGW的證書。在其對(duì)根證書的請(qǐng)求中,UE 105包含SEGW的證書 或所需4艮證書的指示����。如果AAAh 130對(duì)所需根證書有訪問權(quán),則它 將其返回給UE 105�����。UE 105使用所獲的根證書來驗(yàn)證SEGW的證書���, 并且可以額外地且可選地存儲(chǔ)該才艮證書以供以后使用��。
在本發(fā)明的另一個(gè)實(shí)施例中,如圖6a中示意圖示且對(duì)應(yīng)信令在 圖6b的信令方案中��,改進(jìn)了 SEGW 120/125與AAAh 130之間的交互�。利用AAAh簽署SEGW的證書的能力來向UE 105保證其有效性。UE 105經(jīng)由SEGW 120/125訪問歸屬或受訪網(wǎng)絡(luò)110/115 (圖1)�����,并發(fā)起 認(rèn)證過程�。優(yōu)選地,該訪問是對(duì)上述IKEv2和AAA過程的改進(jìn)�����。該 實(shí)施例包括如下步驟
610: UE 105向SEGW 120/125提供其可用根證書的指示。該指 示采用UE 105所支持CA的指示的形式�。
615: SEGW 120/ 125將來自UE 105的CA與存儲(chǔ)的證書進(jìn)行比較。
620:如果SEGW 120/125未找到與UE 105提供的CA相匹配的 證書��,則SEGW 120/125將其證書(之一)發(fā)送到AAAh 130,并請(qǐng) 求AAAh 130簽署該證書�。
622:在使用根證書的常規(guī)證書驗(yàn)證之后或平衡AAAh 130與 SEGW 120/125 (或AAA代理135 )之間的現(xiàn)有信任/安全性關(guān)系與安 全通信,AAAh 130簽署SEGW 120/125所提供的證書���。
625: AAAh 130將經(jīng)簽署的證書返回到SEGW 120/125�。
627:接著��,SEGW 120/125將證書發(fā)送到UE 105并包含AAAh 的簽名��。
628: UE 105驗(yàn)證AAAh的簽名并將其接受為對(duì)SEGW的證書 的驗(yàn)證��。
630:在UE 105與SEGW 120/125之間建立安全隧道���,并可以傳
輸有效載荷業(yè)務(wù)����。
對(duì)于AAAh 130,在步驟622中利用其私用密鑰簽署SEGW的證 書是可能的����,但是優(yōu)選的是利用UE 105和AAAh BO先前共享的密 鑰�����、例如最新生成的主會(huì)話密鑰MSK或經(jīng)擴(kuò)展的主會(huì)4舌密鑰EMSK (其在EAP-SIM和EAP-AKA認(rèn)證過程中使用)或從這些密鑰導(dǎo)出的 密鑰來簽署該證書�����。如果AAAh 130不確定UE 105是否存儲(chǔ)有最新 的MSK/EMSK���,則它可以發(fā)送兩個(gè)簽名,其中一個(gè)用其私用密鑰生 成而一個(gè)用最新MSK/EMSK或>^人其導(dǎo)出的密鑰生成����。優(yōu)選地,SEGW-AAAh通信利用使用新消息類型和/或新屬性的 AAA協(xié)議(即RADIUS或Diameter),如圖6b所示����。SEGW (和AAA 代理(如果有的話))通過使用SEGW在與CERTREQ有效載荷消息 c-IKEv2(CERTREQ…)"相同的IKEv2消息中從UE接收到的用戶ID 中所包含的信息���,經(jīng)由AAA路由到達(dá)AAAh,消息c�,- "AAA(SEGW cert.,...)"�。此信息最終必須取領(lǐng)域(realm)的形式,例如是指歸屬運(yùn) 營商的域的"the-worlds-best-operator.com,��,��。從UE接收的信息可以釆 用NAI�����、例長口〈user-name〉(^the-worids-best-operator.com或某個(gè)其^f也才各 式的形式���,該其他格式包含用戶的國際移動(dòng)訂戶身份(IMSI)或至少 包含通常包含在IMSI中的移動(dòng)國家碼(MCC )和移動(dòng)網(wǎng)絡(luò)碼(MNC )��。 使用MCC和MNC, UE或SEGW可以創(chuàng)建包含MCC和MNC的缺 省領(lǐng)域�,例如與結(jié)合WLAN和3GPP網(wǎng)絡(luò)(I-WLAN)之間的互連所 使用的領(lǐng)域才各式(即"wlan.mnc<MNC〉,mcc<MCC>.3gppnetwork.org����,,) 相似(或相同)����。AAAhl30通過相似方式、消息c"-- "AAA (signed SEGW cert.,...)"返回經(jīng)簽署的證書����。SEGW 120/125在修改的IKEv2 消息�、消息d���,國IKEv2(CERT= signed cert"…){EAP-request/Identity (身 份)}中轉(zhuǎn)發(fā)經(jīng)簽署的證書(以及簽名)���。
作為備選實(shí)施例,如圖7的信令圖所示�����,SEGW 120/125將其證 書發(fā)送(如果需要的話)到AAAh 130以供簽署��,如步驟620中所示���。 AAAh 130簽署該證書��,如步驟622中所示����。代之在專用的新消息中 將經(jīng)簽署的證書返回到SEGW 120/125, AAAh 130將其在EAP-SIM 或EAP-AKA消息�、例如分別為改進(jìn)的消息h�,- "AAA{EAP-Request /SIM/Challenge(signed cert"…)"和"IKEv2{EAP-Request/SIM/ Challenge (signed cert.,...),����,之一發(fā)送到UE�����??梢栽谙惹懊枋龅钠渌麰AP-SIM /EAP-AKA過程中進(jìn)行相似的改進(jìn)����。
雖然上文概括地針對(duì)3GPP描述了本發(fā)明,但是GAN系統(tǒng)已成 為隱含的主要中心����。因此,應(yīng)該注意本發(fā)明還可應(yīng)用于多種其他通信 系統(tǒng)�,例如3GPPI-WLAN系統(tǒng)。I-WLAN UE建立至PLMN中的PDG或TTG的IPsec隧道����。通常,此PDG/TTG位于歸屬PLMN,但是可選地它可以位于受訪PLMN�����。在前一種情況中�����,僅在PDG/TTG證書與UE中的根證書之間協(xié)調(diào)的缺乏在I-WLAN系統(tǒng)中與在GAN情況中相同時(shí),才存在本發(fā)明解決的問題���。在后一種情況中���,當(dāng)建立IPsec隧道至受訪PLMN (即歸屬PLMN的運(yùn)營商的漫游伙伴的PLMN)的PDG/TTG時(shí),該問題適用于任何情況���。
在I-WLAN系統(tǒng)中的解決方案與上文所述相同��,其中SEGW是PDG或TTG�����。
3GPP SAE體系結(jié)構(gòu)是關(guān)注的領(lǐng)域�����,本發(fā)明在此情形中有利地實(shí)現(xiàn)��。在預(yù)期的SAE體系結(jié)構(gòu)中�,經(jīng)由非3GPP接入網(wǎng)(或可能是I-WLAN )訪問網(wǎng)絡(luò)的UE將面向MIPv6 HA的IKEv2與EAP-AKA用作集成的認(rèn)證機(jī)制���,以便建立用于保護(hù)MIPv6信令以及可能用于保護(hù)UE-HA隧道的IPsec SA���。通常,HA位于歸屬PLMN,在此情況中���,僅在HA證書與UE中的根證書之間協(xié)調(diào)的缺乏與GAN情況中相同時(shí)���,才存在本發(fā)明解決的問題。但是�����,在受訪PLMN中����,UE還可潛在地3皮分酉己HA或4妾入系統(tǒng)間4苗點(diǎn)(Inter Access System Anchor:IASA),在此情況中,該問題無論如何都適用���。
圖8a-c中示意圖示了根據(jù)本發(fā)明的實(shí)施例的證書服務(wù)器140����、用戶設(shè)備105和安全性網(wǎng)關(guān)120/125�。證書服務(wù)器140�、用戶設(shè)備105和安全性網(wǎng)關(guān)120/125設(shè)有用于"t丸行上文所述方法的相應(yīng)部分的相應(yīng)部件��。根據(jù)本發(fā)明的模塊和塊將被視為節(jié)點(diǎn)的功能部分�����,而本身不一定-現(xiàn)為物理對(duì)象�。優(yōu)選地,這些模塊和塊至少部分實(shí)現(xiàn)為適合完成根據(jù)本發(fā)明的方法的軟件代碼部件��。術(shù)語"包括"主要是指邏輯結(jié)構(gòu)'而術(shù)語"連接"在本文應(yīng)解釋為功能部分之間的鏈路而不一定為物理連接�����。但是�����,取決于所選的具體實(shí)現(xiàn)����,可以將某些模塊實(shí)現(xiàn)為接收或發(fā)送裝置中的物理不同的對(duì)象。
證書服務(wù)器140包括適用于與通信網(wǎng)絡(luò)中的其他實(shí)體通信的通信服務(wù)器140適合經(jīng)由通信模塊805與SEGW通信����。根據(jù)本發(fā)明���,證書服務(wù)器140包括認(rèn)證模塊810,認(rèn)證模塊810適合執(zhí)行或協(xié)助其中向訪問SEGW的UE認(rèn)證SEGW的認(rèn)證過程中的至少一部分���,該認(rèn)證過程涉及SEGW和訪問該SEGW的UE??梢詫⒄J(rèn)證服務(wù)器集成在AAA服務(wù)器或AAA代理中。
根據(jù)一個(gè)實(shí)施例���,認(rèn)證模塊810包括證書存儲(chǔ)模塊815或與證書存儲(chǔ)模塊815相連接��,且證書服務(wù)器140適合向SEGW或UE提供從證書存儲(chǔ)模塊815中檢索的根證書�。
根據(jù)另一個(gè)實(shí)施例��,認(rèn)證模塊810適合執(zhí)行SEGW認(rèn)證的至少一部分��,并適合產(chǎn)生結(jié)果的指示�����,由通信模塊805將該指示傳送到SEGW或UE�����。
用戶設(shè)備(UE) 105包括適用于與通信網(wǎng)絡(luò)中的其他實(shí)體通信的無線通信模塊820。無線通信模塊820通常且優(yōu)選適合處理用于無線通信的多種不同技術(shù)���。UE 105適合經(jīng)由通信;漠塊820并經(jīng)由多個(gè)公共通信節(jié)點(diǎn)(未示出)與SEGW通信��。根據(jù)本發(fā)明的一個(gè)實(shí)施例����,UE105包括與證書存儲(chǔ)模塊830連接的證書處理模塊.825����。證書處理模塊825適合識(shí)別在SEGW的嘗試認(rèn)證期間是否沒有匹配證書被存儲(chǔ)在證書存儲(chǔ)模塊830中,以及如果沒有匹配證書被存儲(chǔ)則請(qǐng)求證書服務(wù)器CS參與到該認(rèn)證�。證書處理模塊825還適合從CS接收^正書并在SEGW認(rèn)證中使用此證書。備選地�,證書處理模塊825適合接收SEGW已經(jīng)被與UE 105通信的另 一節(jié)點(diǎn)驗(yàn)證的指示。
安全性網(wǎng)關(guān)(SEGW) 120/125包括適用于與通信網(wǎng)絡(luò)中的其他實(shí)體通信的通信模塊835��。通信模塊835通常且優(yōu)選適合處理多種不同協(xié)議�。SEGW 120/125適合經(jīng)由通信模塊835與證書服務(wù)器通信。根據(jù)本發(fā)明的一個(gè)實(shí)施例�����,SEGW 120/125包括與證書存儲(chǔ)模塊845連接的證書處理才莫塊840。證書處理模塊840適合在與UE的認(rèn)證過程中將提供的證書指示與先前存儲(chǔ)的證書作比較���,且如果未識(shí)別出匹配證書則使另一個(gè)通信節(jié)點(diǎn)一證書服務(wù)器參與到該認(rèn)證過程���。在一個(gè)實(shí)施例中,證書處理模塊840還適合請(qǐng)求參與的證書服務(wù)器提供匹配
證書�,以及還適合接收該匹配證書并將其用于與UE的認(rèn)證過程。在備選實(shí)施例中���,證書處理模塊840還適合將證書發(fā)送到參與的證書服務(wù)器,并請(qǐng)求證書服務(wù)器簽署該證書��,且還適合接收經(jīng)簽署的證書并將其用于與UE的認(rèn)證過程����。
的軟件代碼部件的程序產(chǎn)品或程序i^莫塊產(chǎn)品來實(shí)現(xiàn)。這些程序產(chǎn)品優(yōu)選地在網(wǎng)絡(luò)內(nèi)的多個(gè)實(shí)體上運(yùn)行���。例如����,該程序從諸如USB存儲(chǔ)器����、CD的計(jì)算機(jī)可用媒體進(jìn)行分發(fā)并加載��,或通過空中接口傳輸或從因特網(wǎng)下載��。
雖然結(jié)合目前視為最實(shí)用且優(yōu)選的實(shí)施例描述了本發(fā)明�,但是要理解本發(fā)明并不局限于所公開的實(shí)施例����,相反,理應(yīng)涵蓋隨附權(quán)利要求內(nèi)的多種改進(jìn)和等效布置�����。
參考文獻(xiàn) C. Rigney et al., "Remote Authentication Dial In User Service
(RADIUS)", RFC 2865���, June 2000 C. Rigney et al,����, "RADIUS Extensions", RFC 2869���, June 2000[3] Pat Calhoun et al., "Diameter Base Protocol", RFC 3588���,
September 2003 P. Eronen et al., "Diameter Extensible Authentication Protocol(EAP) Application, Internet-Draft draft-ietf-aaa-eap-10.txt��, November2004 Pat Calhoun et al., "Diameter Network Access ServerApplication", Internet-Draft draft-ietf-aaa-diameter-nasreq-17.txt, July2004 C. Kaufman, "Internet Key Exchange (IKEv2) Protocol", RFC4306, December 2005[7] S. Kent, R. Atkinson, "Security Architecture for the InternetProtocol", RPC 2401, November 1998 S. Kent, K. Seo, "Security Architecture for the Internet Protocol",RPC 4301, December 2005 B. Aboba et al.��, "Extensible Authentication Protocol (EAP)"�,RFC 3748, June 2004 H. Haverinen, J. Salowey, "Extensible Authentication ProtocolMethod for Global System for Mobile Communications (GSM) SubscriberIdentity Modules (EAP-SIM)"����, RFC 4186, January 2006 J. Arkko, H. Haverinen, "Extensible Authentication ProtocolMethod for 3rd Generation Authentication and Key Agreement(EAP-AKA), RFC 4187, January 2006 3GPP TS 43.318 v6.9.0, "3rd Generation Partnership Project;Technical Specification Group GSM/EDGE Radio Access Network;Generic access to the A/Gb interface; Stage 2 (Release 6) 3GPP TS 44.318 v6.8.0, "3rd Generation Partnership Project;Technical Specification Group GSM/EDGE Radio Access Network;Generic Access (GA) to the A/Gb interface; Mobile GA interface layer 3specification (Release 6) 3GPP TS 23.234 v6.10.0, "3rd Generation Partnership Project;Technical Specification Group Services and System Aspects; 3GPP systemto V/ireless Local Area Network (WLAN) interworking; Systemdescription (Release 6) 3GPP TS 24.234 v7.5.0���, "3rd Generation Partnership Project;Technical Specification Group Core Network and Terminals; 3GPP systemto Wireless Local Area Network (WLAN) interworking; User Equipment(UE) to network protocols; Stage 3 (Release 7) 3GPP TS 33.234 v7.4.0, "3rd Generation Partnership Project;Technical Specification Group Services and System Aspects; 3G Security;Wireless Local Area Network (WLAN) interworking security (Release 7)
28
權(quán)利要求
1.一種用于訪問接入網(wǎng)時(shí)的認(rèn)證過程的方法�,其中用戶設(shè)備(105)經(jīng)由安全性網(wǎng)關(guān)(120/125)訪問受訪或歸屬網(wǎng)絡(luò)(110/115)�����,所述方法特征在于如下步驟-(310)所述用戶設(shè)備(105)和所述安全性網(wǎng)關(guān)(120/125)交換與可用證書有關(guān)的信息���;-(315)識(shí)別所述用戶設(shè)備(105)與所述安全性網(wǎng)關(guān)125之間的證書的不匹配,所述不匹配阻止所述安全性網(wǎng)關(guān)(120/125)的所嘗試認(rèn)證��;-(320)使證書服務(wù)器(140)參與����,所述證書服務(wù)器協(xié)助所述認(rèn)證過程的至少一部分��。
2. 如權(quán)利要求1所述的方法�����,其中����,所述證書服務(wù)器(140)通 過向所述安全性網(wǎng)關(guān)(120/125)或所述用戶設(shè)備(105)提供至少一 個(gè)證書以使所述安全性網(wǎng)關(guān)(120/125)和所述用戶設(shè)備(105)具有 至少 一個(gè)匹配證書來協(xié)助所述認(rèn)i正的 一部分�����。
3. 如權(quán)利要求2所述的方法�����,包括如下步驟-(410)所述用戶設(shè)備(105)向所述安全性網(wǎng)關(guān)(120/125)提供其可用根證書的指示���;-(415)所述安全性網(wǎng)關(guān)(120/125)將來自所述用戶設(shè)備(105)的可用證書的指示與存儲(chǔ)的證書進(jìn)行比較�;-(420)如果所述安全性網(wǎng)關(guān)(120/125)無法找到與所指示的證書相匹配的所存儲(chǔ)證書����,則所述安全性網(wǎng)關(guān)(120/125)向所述證書服務(wù)器(140)請(qǐng)求匹配證書;-(422)所述證書服務(wù)器(140)生成匹配證書和關(guān)耳關(guān)的密鑰對(duì)�����; -(425)所述證書服務(wù)器(140)將所述證書及其關(guān)聯(lián)的密鑰對(duì)發(fā)送到所述安全性網(wǎng)關(guān)(120/125 );-(427)所述安全性網(wǎng)關(guān)(120/125)將所述匹配證書發(fā)送到所述 用戶設(shè)備(105);以及-(428)所述用戶設(shè)備(105)驗(yàn)證所述收到的證書。
4. 如權(quán)利要求3所述的方法�����,其中���,所述證書服務(wù)器是所述安全 性網(wǎng)關(guān)的網(wǎng)絡(luò)中的AAA服務(wù)器�����。
5. 如權(quán)利要求4所述的方法��,其中�����,所述證書服務(wù)器是所述用戶 設(shè)備(105)的歸屬網(wǎng)絡(luò)中的AAA服務(wù)器。
6. 如權(quán)利要求4所述的方法�����,其中���,所述證書服務(wù)器是受訪網(wǎng)絡(luò) 中的AAA代理服務(wù)器����。
7. 如權(quán)利要求3-6中任一項(xiàng)所述的方法,其中�����,所述證書服務(wù)器 在來自所述安全性網(wǎng)關(guān)(120/125)的所述請(qǐng)求之前已經(jīng)生成并存儲(chǔ)一 個(gè)或多個(gè)證書及關(guān)聯(lián)的密鑰對(duì)以促進(jìn)實(shí)時(shí)性能�����。
8. 如權(quán)利要求1所述的方法��,其中���,所述證書服務(wù)器(140)通 過代表所述用戶設(shè)備(105)執(zhí)行所述安全性網(wǎng)關(guān)的認(rèn)證的一部分來 協(xié)助所述認(rèn)證�����。
9. 如權(quán)利要求8所述的方法��,包括如下步驟-(510)所述安全性網(wǎng)關(guān)(120/125)將至少一個(gè)證書發(fā)送到所述 用戶設(shè)備(105 );-(515)所述用戶設(shè)備(105)將從所述安全性網(wǎng)關(guān)(120/125) 收到的證書與存儲(chǔ)的根證書進(jìn)行比較��;-(520 )如果所述用戶設(shè)備(105 )無法使用所述用戶設(shè)備(105 ) 中存儲(chǔ)的根證書來驗(yàn)證從所述安全性網(wǎng)關(guān)(120/125 )收到的證書��,則 所述用戶設(shè)備(105 )將所述收到的證書發(fā)送到所述證書服務(wù)器(140 );-(522)所述證書服務(wù)器(140)驗(yàn)證所述始發(fā)于所述安全性網(wǎng) 關(guān)(120/125)的證書�����;-(525)所述證書服務(wù)器(140)將所述驗(yàn)證的結(jié)杲的指示發(fā)送 到所述用戶設(shè)備(105 )�����。
10. 如權(quán)利要求8或9所述的方法�����,其中�,所述"i正書服務(wù)器是所述用戶設(shè)備(105)的歸屬網(wǎng)絡(luò)中的AAA服務(wù)器。
11. 如權(quán)利要求9或IO所述的方法��,其中�,使用可擴(kuò)展認(rèn)證協(xié)議 來執(zhí)行所述收到的證書從所述用戶設(shè)備(105)到所述證書服務(wù)器(140)的發(fā)送以及所述驗(yàn)證結(jié)果的指示從所述證書服務(wù)器到所述用 戶設(shè)備的發(fā)送。
12. 如權(quán)利要求9-11中任一項(xiàng)所述的方法����,其中,在EAP認(rèn)證 過程期間將所述安全性網(wǎng)關(guān)(120/125)的證書發(fā)送到所述證書服務(wù)器(140)��,以及其中所述^E書^NL包含在消息屬性中�。
13. 如權(quán)利要求9-11中任一項(xiàng)所述的方法,其中��,在EAP認(rèn)證 過程期間將所述驗(yàn)證的結(jié)果的指示發(fā)送到所述用戶設(shè)備��,以及其中所述指示被包含在消息屬性中����。
14. 如權(quán)利要求8-12中任一項(xiàng)所述的方法,其中�����,在所述驗(yàn)證步 驟(522)中���,所述證書服務(wù)器(140)利用存儲(chǔ)的根證書��。
15. 如權(quán)利要求8-12中任一項(xiàng)所述的方法���,其中,在所述驗(yàn)證步 驟(522)中���,所述證書服務(wù)器(140)依靠所述證書服務(wù)器(MO) 與所述安全性網(wǎng)關(guān)(120/125)之間或所述證書服務(wù)器與代理AAA服 務(wù)器之間的信任/安全性關(guān)系��。
16. 如權(quán)利要求1所述的方法���,其中�,所述證書服務(wù)器(140)通 過依靠所述安全性網(wǎng)關(guān)一代理AAA服務(wù)器(l20/125)與所述證書服 務(wù)器(140)之間的可傳遞信任來代表所述用戶設(shè)備(105)執(zhí)行所述 i人證的至少一部分�。
17. 如權(quán)利要求1所述的方法,包括如下步驟-(510)所述安全性網(wǎng)關(guān)(120/125)將至少一個(gè)證書發(fā)送到所述 用戶設(shè)備(105);-所述用戶設(shè)備(105)將從所述安全性網(wǎng)關(guān)(120/125)收到的 證書與存儲(chǔ)的根證書進(jìn)行比較�����;-如果所述用戶設(shè)備(105)無法使用所述用戶設(shè)備(105)中存 儲(chǔ)的根證書來驗(yàn)證從所述安全性網(wǎng)關(guān)(120/125 )收到的證書�,則所述用戶設(shè)備(05)請(qǐng)求所述證書服務(wù)器(140)發(fā)送所需根證書;-所述證書服務(wù)器(140)將所述所需根證書發(fā)送到所述用戶設(shè) 備(105 );-所述用戶設(shè)備(105)利用從所述證書服務(wù)器(140)收到的根 證書來驗(yàn)證所述安全性網(wǎng)關(guān)(120/125)的證書�。
18. 如權(quán)利要求17所述的方法,其中���,使用可擴(kuò)展認(rèn)證協(xié)議來執(zhí) 行所述請(qǐng)求從所述用戶設(shè)備到所述證書服務(wù)器的發(fā)送以及所述根證 書從所述證書服務(wù)器到所述用戶設(shè)備的發(fā)送��。
19. 如權(quán)利要求17或18所述的方法����,還包括所述用戶設(shè)備(105 ) 存儲(chǔ)所述收到的根證書�����。
20. 如權(quán)利要求1所述的方法,其中��,所述證書服務(wù)器(140)通 過代表所述用戶設(shè)備(105)驗(yàn)證從所述安全性網(wǎng)關(guān)(120/125)所提 供的證書來協(xié)助所述認(rèn)證���。
21. 如權(quán)利要求20所述的方法,包括如下步驟-(610)所述用戶設(shè)備(105)向所述安全性網(wǎng)關(guān)(120/125)提 供其可用根證書的指示�����;-(615)所述安全性網(wǎng)關(guān)(120/125)將來自所述用戶設(shè)備(105) 的可用根證書的指示與存儲(chǔ)的證書進(jìn)行比較�;-(620)如果所述安全性網(wǎng)關(guān)U20A25)無法找到匹配證書,則 所述安全性網(wǎng)關(guān)(120/125 )將其存儲(chǔ)的證書之一發(fā)送到所述證書服務(wù) 器(140)并請(qǐng)求所述證書服務(wù)器(140)簽署它�;-(622)所述證書服務(wù)器(140)驗(yàn)證并簽署所述安全性網(wǎng)關(guān) (120/125)提供的證書;-(625 )所述證書服務(wù)器(140)將所述簽署的證書返回到所述 安全性網(wǎng)關(guān)(120/125 );-(627)所述安全性網(wǎng)關(guān)(120/125)然后將所述證書和所述證書 服務(wù)器簽名發(fā)送到所述用戶設(shè)備(105);-(628)所述用戶設(shè)備(105)驗(yàn)證所述證書服務(wù)器的簽名并將其接受為對(duì)所述安全性網(wǎng)關(guān)(120/125)的證書的驗(yàn)證�。
22. 如權(quán)利要求21所述的方法,其中�����,在所述驗(yàn)證和簽署(622) 的步驟中��,所述證書服務(wù)器(140)利用存儲(chǔ)的根證書來驗(yàn)證所述安 全性網(wǎng)關(guān)(120/125)提供的證書����。
23. 如權(quán)利要求21所述的方法����,其中��,在所述驗(yàn)證和簽署的步驟 (622)中����,所述證書服務(wù)器(140)通過平衡所述證書服務(wù)器(140)與所述安全性網(wǎng)關(guān)(120/125)之間或所述證書服務(wù)器與代理AAA服 務(wù)器之間的現(xiàn)有信任/安全性關(guān)系及安全通信來驗(yàn)證所述安全性網(wǎng)關(guān) (120/125)提供的證書。
24. —種適合與通信網(wǎng)絡(luò)中的安全性網(wǎng)關(guān)(120/125 )通信的證書 服務(wù)器(140),所述證書服務(wù)器包括通信模塊(805)����,以及其特征在 于,認(rèn)證模塊(810)��,所述認(rèn)證模塊(810)適合協(xié)助向經(jīng)由所述安 全性網(wǎng)關(guān)(120/125)訪問所述網(wǎng)絡(luò)的用戶設(shè)備(105)認(rèn)證所述安全 性網(wǎng)關(guān)(120/125)��。
25. 如權(quán)利要求24所述的證書服務(wù)器��,其特征在于�, 證書存儲(chǔ)模塊(815),且所述證書服務(wù)器(140)適合向所述安全性網(wǎng)關(guān)(120/125)或所述用戶設(shè)備(105)提供從所述證書存儲(chǔ)模 塊(815);險(xiǎn)索的證書。
26. 如權(quán)利要求24所述的證書服務(wù)器����,其中,所述認(rèn)證模塊(810) 適合執(zhí)行所述安全性網(wǎng)關(guān)(120/125 )的認(rèn)證的至少一部分并產(chǎn)生結(jié)果 的指示�,由所述通信模塊(805)將所述指示傳送到所述安全性網(wǎng)關(guān)(120/125)或所述用戶設(shè)備(105)��。
27. —種適合與通信網(wǎng)絡(luò)中的安全性網(wǎng)關(guān)(120/125)通信的用戶 設(shè)備(105 ),所述用戶設(shè)備(105 )包括通信模塊(820 )并且其特征 在于���,與證書存儲(chǔ)模塊(830 )連接的證書處理模塊(825 ),所述證書 處理模塊(825)適合在安全性網(wǎng)關(guān)的嘗試認(rèn)證期間識(shí)別是否沒有匹配證書被存儲(chǔ)在所述證書存儲(chǔ)模塊(830 )中���,以及如果沒有存儲(chǔ)匹配證書,則請(qǐng)求證書服務(wù)器參與到所述認(rèn)證�����。
28. 如權(quán)利要求27所述的用戶設(shè)備(105),其中���,所述證書處理 模塊(825)適合從所述證書服務(wù)器接收證書并在所述認(rèn)證中使用此 證書���。
29. 如權(quán)利要'求27所述的用戶設(shè)備(105 ),其中�����,所述證書處理 模塊(825 )適合接收所述安全性網(wǎng)關(guān)已經(jīng)被與所述用戶設(shè)備(105 ) 通信的另一個(gè)節(jié)點(diǎn)驗(yàn)證的指示�。
30. —種適合與通信網(wǎng)絡(luò)中的用戶設(shè)備(105)和證書服務(wù)器(140) 通信的安全性網(wǎng)關(guān)(120/125),所述安全性網(wǎng)關(guān)(120/125)包括通信 ^t塊(835 )并且其特征在于�,與證書存儲(chǔ)模塊(845)連接的證書處理模塊(840)��,所述證書 處理模塊(840)適合在與所述用戶設(shè)備(105)的認(rèn)證過程中�,將至 少 一個(gè)所提供證書指示與至少 一個(gè)先前存儲(chǔ)的證書進(jìn)行比較���,以及如 果未識(shí)別出匹配證書���,則使所述證書服務(wù)器(140)參與到所述認(rèn)證 過程。
31. 如權(quán)利要求30所述的安全性網(wǎng)關(guān)(120/125 ),其中�,所述證 書處理模塊(840)適合請(qǐng)求所述證書服務(wù)器提供匹配證書,以及接 收所述匹配證書并將其用于與所述用戶i殳備的認(rèn)證過程�����。
32. 如權(quán)利要求30所述的安全性網(wǎng)關(guān)(120/125 ),其中�,所述證 書處理模塊(840)適合將證書發(fā)送到所述證書服務(wù)器并請(qǐng)求所述證 書服務(wù)器簽署所述證書,以及適合接收所述簽署的證書并將其用于與 所述用戶設(shè)備的認(rèn)證過程�。
全文摘要
本發(fā)明涉及接入網(wǎng)中認(rèn)證和授權(quán)的方法和布置。在根據(jù)本發(fā)明的方法的最初階段中�����,用戶設(shè)備和安全性網(wǎng)關(guān)交換關(guān)于可用證書的信息��。如果用戶設(shè)備和安全性網(wǎng)關(guān)缺乏匹配證書�,則安全性網(wǎng)關(guān)的嘗試認(rèn)證無法根據(jù)現(xiàn)有協(xié)議和布置進(jìn)行�。根據(jù)本發(fā)明����,如果識(shí)別出證書失配,則使證書服務(wù)器參與����。證書服務(wù)器,作為與安全性網(wǎng)關(guān)分開的實(shí)體��,協(xié)助認(rèn)證過程的至少一部分��。一旦確認(rèn)認(rèn)證���,則可以在用戶設(shè)備與安全性網(wǎng)關(guān)之間建立安全隧道,并可以傳輸有效載荷業(yè)務(wù)����。
文檔編號(hào)G06F21/44GK101681402SQ200780053298
公開日2010年3月24日 申請(qǐng)日期2007年6月11日 優(yōu)先權(quán)日2007年6月11日
發(fā)明者J·維克伯格, J·魯恩, T·尼蘭德 申請(qǐng)人:艾利森電話股份有限公司