專利名稱:認(rèn)證方法
技術(shù)領(lǐng)域:
當(dāng)前公開的內(nèi)容涉及計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域。更特別的����,當(dāng)前公開的內(nèi)容涉及網(wǎng)絡(luò)環(huán)境中的認(rèn)證過程和加密的通信。該公開內(nèi)容展示了一種在無線網(wǎng)絡(luò)中通過密鑰的分配來認(rèn)證用戶和設(shè)備的方案�。
背景技術(shù):
硬件技術(shù)和軟件開發(fā)的連續(xù)發(fā)展使計(jì)算機(jī)系統(tǒng)和其他如個(gè)人數(shù)字助手、電子圖書����、蜂窩電話等的電子設(shè)備,可以應(yīng)用在多種不同的實(shí)踐和應(yīng)用中�����。其中一些實(shí)現(xiàn)金融和商業(yè)交易、計(jì)算機(jī)輔助設(shè)計(jì)����、通信、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)倉(cāng)庫(kù)��、教育等等���。另外��,將單獨(dú)的計(jì)算機(jī)和其他電子設(shè)備連接成網(wǎng)絡(luò)環(huán)境將極大的增強(qiáng)它們的功能�����。在一個(gè)網(wǎng)絡(luò)環(huán)境中,用戶可以交換信息����,共享一般的存儲(chǔ)文件,整合資源����,通過電子郵件和視頻會(huì)議進(jìn)行通信。更進(jìn)一步,隨著無線通信的出現(xiàn)�,聯(lián)網(wǎng)的計(jì)算機(jī)幾乎可以和其他任何電腦或電子設(shè)備進(jìn)行通信和交換信息,而無需通過電線配置物理的將它們連接在一起���。
在無線環(huán)境中存在無線客戶端和一個(gè)接入點(diǎn)�。在客戶端和接入點(diǎn)之間的通信要通過公共的大氣空間傳播�����,所以這一通信對(duì)任何在該范圍內(nèi)的人來講是可見的����。為了保護(hù)通信的私密性和通信的傳輸內(nèi)容,信息通常是需要加密的��。為了使能這一加密過程�����,就要為使用無線網(wǎng)絡(luò)的每個(gè)客戶端分配一個(gè)密鑰����。
保證客戶端設(shè)備可以有效的接收到特定網(wǎng)絡(luò)的密鑰也是很重要的,以及反過來���,該網(wǎng)絡(luò)也要被特定的客戶端設(shè)備認(rèn)可��。同時(shí)該設(shè)備的用戶同意通過這個(gè)網(wǎng)絡(luò)進(jìn)行通信也很重要�。因此,必須使用某種形式的認(rèn)證協(xié)議對(duì)設(shè)備���、網(wǎng)絡(luò)和用戶進(jìn)行認(rèn)證���。
對(duì)一個(gè)網(wǎng)絡(luò)而言,為了檢驗(yàn)用戶是否有權(quán)限訪問該網(wǎng)絡(luò)資源�����,可以使用很多種方法檢驗(yàn)用戶標(biāo)識(shí)���。對(duì)于局域網(wǎng)���,IEEE的草案標(biāo)準(zhǔn)802.1x/D11規(guī)定了如何完成這個(gè)過程�����。為了控制用戶到網(wǎng)絡(luò)的接入��,該草案建立了從申請(qǐng)者到認(rèn)證器,以及可選的從認(rèn)證器到認(rèn)證服務(wù)器傳送認(rèn)證信息的基礎(chǔ)���。
同有線網(wǎng)絡(luò)相比����,當(dāng)用戶試圖連接到無線網(wǎng)絡(luò)時(shí)����,無線網(wǎng)絡(luò)有一個(gè)額外的問題需要解決。通常���,有線網(wǎng)絡(luò)依賴于受到保護(hù)的分布系統(tǒng)(例如�����,由導(dǎo)管保護(hù)的電纜����,固定在配線架上的交換機(jī))來確保它們承載的業(yè)務(wù)不會(huì)通過非授權(quán)方式被中途截取或修改�。另一方面,無線網(wǎng)絡(luò)是通過公眾均可接入的無線信道進(jìn)行通信的���。因此�,無線網(wǎng)絡(luò)必須提供其他的方法來保護(hù)它們的傳送信息。通常����,這要求無線網(wǎng)絡(luò)設(shè)備進(jìn)行加密并完整保護(hù)它們間的傳送信息。
以前的一些方案已經(jīng)解決了在無線局域網(wǎng)中的用戶鑒別���、授權(quán)和密鑰分配的問題����。在一個(gè)解決方案中���,用戶和網(wǎng)絡(luò)通過共享的機(jī)密���,通常是密碼,來進(jìn)行相互認(rèn)證�。一種值得肯定的方案是通過在用戶和網(wǎng)絡(luò)之間共享的機(jī)密來創(chuàng)建密鑰,隨后它們可使用該密鑰來保護(hù)在用戶的無線設(shè)備和網(wǎng)絡(luò)之間傳送信息的機(jī)密性和完整性�����。這兩種方案在安全的認(rèn)證用戶和創(chuàng)建密鑰中具有一定優(yōu)勢(shì)���。
然而��,當(dāng)接入點(diǎn)的增加�����,創(chuàng)建并管理存儲(chǔ)在這些接入點(diǎn)上的用戶名和密碼變得越來越困難����。特別的�,如果在網(wǎng)絡(luò)中存在多于一個(gè)的無線設(shè)備接入點(diǎn),所有這樣的設(shè)備必須使用相同的用戶名/密碼數(shù)據(jù)庫(kù)的拷貝�。這意味著當(dāng)一個(gè)密碼改變,或者從數(shù)據(jù)庫(kù)中添加或刪除一個(gè)用戶的時(shí)候�����,這些修改必須安全地傳送到其他的接入點(diǎn)����。當(dāng)存在大量接入點(diǎn)的時(shí)候,保證每個(gè)用戶名/密碼數(shù)據(jù)庫(kù)的每個(gè)拷貝的同步變得很困難�。這可能會(huì)造成安全性的危機(jī)���。
為了解決這些規(guī)模的問題���,其他發(fā)明和方法使用了存儲(chǔ)在第三方系統(tǒng)中的中心數(shù)據(jù)庫(kù)(數(shù)據(jù)庫(kù)中可以存儲(chǔ)用戶名和密碼或者其他的認(rèn)證信息)�。該同時(shí)待審的公共所有的美國(guó)專利申請(qǐng),律師備案號(hào)3COM-2995.WHD����,專利序號(hào)09/560,396,其提交日期為2000年4月28日�,作者為Danny M.Nessett以及其他人,其命名為“在通信的雙方與第三方共享密鑰的情況下認(rèn)證Diffie-Hellman密鑰協(xié)商協(xié)議”���,因此����,它將作為背景資料在參考目錄中引入�,它描述了一種無線設(shè)備(潛在的同使用該設(shè)備的用戶相呼應(yīng))和網(wǎng)絡(luò)使用已認(rèn)證的Diffle-Hellman密鑰協(xié)商創(chuàng)建共享的的密鑰的方案。使用這種密鑰對(duì)它們之間傳送信息進(jìn)行保護(hù)�����,保證信息的機(jī)密性和完整性���。在Diffle-HellMan密鑰協(xié)商交換期間����,無線設(shè)備和接入點(diǎn)都要對(duì)用于生成共享密鑰的信息進(jìn)行簽名,并且該信息要被傳送到可信任的第三方�。這一簽名使用了無線設(shè)備或該無線設(shè)備用戶與第三方之間共享的機(jī)密��,并且該簽名也使用了在接入點(diǎn)和第三方之間共享的另一個(gè)機(jī)密�。可信任的第三方測(cè)試簽名�����,并且如果這些簽名是正確的���,它將重簽名這一信息����,以保證無線設(shè)備以及接入點(diǎn)接收的信息是來自相互的雙方��。
一旦交換完成��,只有無線設(shè)備和接入點(diǎn)知道共享的密鑰�����。而可信任的第三方并不知道密鑰。本發(fā)明的一個(gè)缺點(diǎn)就是它要求無線設(shè)備和接入點(diǎn)都需要具有有效的處理能力���。這將增加這些設(shè)備的成本���,并且因此會(huì)縮減他們的市場(chǎng)。另外一個(gè)缺點(diǎn)就是它需要一個(gè)專門的服務(wù)器或者進(jìn)程來進(jìn)行簽名和重簽名信息���。
為了彌補(bǔ)第一缺點(diǎn)����,同時(shí)待審的公共所有的美國(guó)專利申請(qǐng)����,律師備案號(hào)3COM-3000.WHD,專利序號(hào)09/561,416���,其提交日期為2000年4月28日�,作者為Danny M.Nessett以及其他人����,其命名為“使用密鑰租借方法來增強(qiáng)認(rèn)證協(xié)議”,此處作為背景資料在參考目錄中引入�,它描述了一種方案,其中一旦一個(gè)無線設(shè)備和接入點(diǎn)相互認(rèn)證并且共享一個(gè)密鑰,這兩個(gè)設(shè)備就可以快速的重新認(rèn)證��,并且重新建立該密鑰而無需通過更多資源的大量協(xié)議交換�����。例如�����,假設(shè)無線設(shè)備和接入點(diǎn)可以通過上面提到的參考專利申請(qǐng)3Com-2995.WHD所描述的專利進(jìn)行相互認(rèn)證并建立一個(gè)共享密鑰����。假如無線設(shè)備和接入點(diǎn)失去聯(lián)系���,隨后重新建立了聯(lián)系��,無線設(shè)備和接入點(diǎn)可以使用快速重新認(rèn)證的方案進(jìn)行相互認(rèn)證���,并生成共享密鑰,而無需引入在3Com-2995.WHD中描述方案中的固有開銷��。
即使使用快速重認(rèn)證���,在某些應(yīng)用中��,一些無線設(shè)備和接入點(diǎn)也沒有足夠的計(jì)算資源���,以及足夠的時(shí)間來執(zhí)行在3Com-2995.WHD專利應(yīng)用中描述的過程�,以滿足在一些配置中用戶和系統(tǒng)需求�����。存在這樣一種方案����,它調(diào)用一個(gè)過程,該過程將大部分對(duì)無線設(shè)備和接入點(diǎn)來講是必須的程序上載到一個(gè)接入點(diǎn)服務(wù)器�����,其中這些程序完成它們之間的相互認(rèn)證并產(chǎn)生一個(gè)共享的密鑰���。該方案有減輕這種負(fù)荷的優(yōu)勢(shì)�,但是也有將共享密鑰透露給接入點(diǎn)服務(wù)器的劣勢(shì)�����。在一些配置中,為了減小無線設(shè)備和/或接入點(diǎn)的計(jì)算負(fù)荷����,這是一個(gè)可接受的風(fēng)險(xiǎn)。在另外一些配置中��,這種風(fēng)險(xiǎn)是不可接受的����。這種方案也有和認(rèn)證Diffie-Hellman方案一樣的缺點(diǎn),即它們需要一個(gè)特殊的服務(wù)器或者進(jìn)程來簽名或重簽名信息����。
其他人也對(duì)在無線網(wǎng)絡(luò)中解決相互認(rèn)證和共享密鑰的分發(fā)問題提出了解決方案�����。一個(gè)途徑是使用可擴(kuò)展認(rèn)證協(xié)議和EAP-TLS�。在這個(gè)方案中,無線設(shè)備通過使用帶有客戶側(cè)證書的TLS�����,對(duì)一個(gè)通常在接入點(diǎn)外部但是和它可以安全通信的認(rèn)證服務(wù)器進(jìn)行認(rèn)證����。這個(gè)協(xié)議(帶有可選的客戶側(cè)證書)完成無線設(shè)備和認(rèn)證服務(wù)器的相互認(rèn)證(NB不是無線設(shè)備和接入點(diǎn))�,并且在二者之間建立一個(gè)共享密鑰���。接著���,認(rèn)證服務(wù)器使用它到接入點(diǎn)的安全通道來給接入點(diǎn)發(fā)送共享密鑰(準(zhǔn)確地說,認(rèn)證服務(wù)器發(fā)送給接入點(diǎn)計(jì)算一個(gè)它要和無線設(shè)備共享的密鑰所必要的全部信息)���。它也向接入點(diǎn)確保無線設(shè)備的身份����。
這種方案的優(yōu)點(diǎn)是使用了標(biāo)準(zhǔn)的安全協(xié)議(比如TLS�����,EAP-TLS)�,并且接入點(diǎn)具有非常小的計(jì)算負(fù)擔(dān)。它的缺點(diǎn)就是需要公共密鑰的配置(為了支持客戶端側(cè)證書)����,并且,認(rèn)證服務(wù)器也知道在無線設(shè)備和接入點(diǎn)之間共享的密鑰(技術(shù)上�,用于產(chǎn)生該密鑰的信息是已知的)�。
另一種解決方案將使用Kerberos�����,EAP-GSS協(xié)議�,以及802.1x來完成無線設(shè)備和接入點(diǎn)的相互認(rèn)證,并在這二者之間分發(fā)共享密鑰���。在這個(gè)方案中���,接入點(diǎn)作為Kerberos服務(wù)器,它使用IAKERB協(xié)議來接收和轉(zhuǎn)發(fā)請(qǐng)求到代表無線設(shè)備的KDC(它作為Kerberos客戶端)�。大致可以這樣認(rèn)為,無線設(shè)備通過接入點(diǎn)和KDC通信�����,接收發(fā)送到運(yùn)行在接入點(diǎn)的Kerberos服務(wù)器的通知單���。在這個(gè)過程中,接入點(diǎn)服務(wù)器獲得用于運(yùn)行在無線設(shè)備上的(偽)服務(wù)器的通知單����。這兩個(gè)設(shè)備用這些通知單來完成相互的認(rèn)證并建立共享密鑰�。
這種方案的一個(gè)優(yōu)點(diǎn)就是它分發(fā)通知單(ticket)到無線設(shè)備��,這些通知單可以用于后來和接入點(diǎn)的重新連接中而無需和KerberosKDC相互作用�。另一個(gè)優(yōu)點(diǎn)是它使用標(biāo)準(zhǔn)協(xié)議來實(shí)現(xiàn)它的一些功能。這種方案的缺點(diǎn)就是它需要對(duì)Kerberos基礎(chǔ)結(jié)構(gòu)進(jìn)行配置���,密鑰對(duì)于KDC和無線設(shè)備以及接入點(diǎn)來講一樣都是已知的����,無線設(shè)備和接入點(diǎn)都要對(duì)每個(gè)Kerberos事務(wù)做大量處理(例如���,初始化交換�,為了重新認(rèn)證而進(jìn)行的無線設(shè)備對(duì)通知單的使用)����,并且它使用了非標(biāo)準(zhǔn)的協(xié)議(在書寫本文時(shí)),它使用特定的EAP-GSS和IAKERB協(xié)議來實(shí)現(xiàn)它的部分功能�。
關(guān)于這些方案還有一個(gè)問題沒有被討論,就是他們是否適應(yīng)于現(xiàn)存的配置���。一個(gè)小的商業(yè)公司要擁有足夠的專業(yè)知識(shí)和資源來實(shí)現(xiàn)任何類型的安全基礎(chǔ)結(jié)構(gòu)是不太可能的��。因此�����,在同時(shí)待審的公共所有的美國(guó)專利應(yīng)用�����,律師備案號(hào)3COM-2999.WHD�����,專利序號(hào)09/561,088��,其提交日期為2000年4月28日��,作者為Albert Young以及其他人���,其命名為“在不安全的無線通信信道中實(shí)現(xiàn)受保護(hù)的相互認(rèn)證”�����,以及律師備案號(hào)3COM-3001.WHD,專利序號(hào)09/900,617���,其提交日期為2001年7月6日�����,作者為Danny M.Nessett以及其他人����,其命名為“在主認(rèn)證協(xié)議之后的第二認(rèn)證協(xié)議中使用密鑰租借”,這里將它們作為背景資料在參考目錄中引入�,其中描述的這些方案在這些配置中是通常地有利的。
小型和中型的企業(yè)也可能不具備專業(yè)知識(shí)和資源來實(shí)現(xiàn)一個(gè)龐大的安全基礎(chǔ)結(jié)構(gòu)����,在這種情況下,它們和小型的商業(yè)公司具有相同的地位����。然而小型的、中型的和大型的企業(yè)的另外的問題就是這些方案如何適應(yīng)現(xiàn)存的配置�����。一個(gè)需要考慮的事情是使用哪個(gè)認(rèn)證服務(wù)器����。
差不多沒有例外的,對(duì)企業(yè)網(wǎng)絡(luò)的遠(yuǎn)程接入需要使用RADIUS服務(wù)器來控制接入到該網(wǎng)絡(luò)的用戶。如果支持遠(yuǎn)程接入的企業(yè)為了保護(hù)無線網(wǎng)絡(luò)而使用一個(gè)不同的用戶認(rèn)證服務(wù)器而不是RADIUS服務(wù)器���,這些企業(yè)就必須找到一種方法來合并兩個(gè)服務(wù)器的數(shù)據(jù)庫(kù)或者分別維護(hù)和管理這兩個(gè)認(rèn)證數(shù)據(jù)庫(kù)����,其中一個(gè)服務(wù)器用于遠(yuǎn)程接入�,一個(gè)用于接入到無線網(wǎng)絡(luò)。由于Kerberos KDC不存儲(chǔ)直接和用戶名相關(guān)聯(lián)的密碼��,所以當(dāng)其中一個(gè)用戶認(rèn)證服務(wù)器是Kerberos KDC時(shí)��,兩種策略都特別的困難��。相反地���,Kerberos KDC存儲(chǔ)一個(gè)密碼的散列作為密鑰�����。
通過使用公共的認(rèn)證數(shù)據(jù)庫(kù)來試圖合并RADIUS服務(wù)器和Kerberos KDC��,這要求密碼的存儲(chǔ)(那么KDC不得不動(dòng)態(tài)的將其轉(zhuǎn)換為密鑰)或者使用散列的密碼作為RADIUS服務(wù)器和用戶使用的密鑰用于認(rèn)證�。前面的方法違背了Kerberos的一個(gè)設(shè)計(jì)目標(biāo)���,即避免在服務(wù)器上存儲(chǔ)密碼�����。已知的Kerberos KDC應(yīng)用都不能支持這個(gè)目標(biāo)��。由于已經(jīng)廣泛使用的遠(yuǎn)程接入客戶端并不使用Kerberos轉(zhuǎn)換算法將密碼轉(zhuǎn)換成認(rèn)證數(shù)據(jù)���,所以后面的方法也是不切實(shí)際的。
還有另外一個(gè)方案�,可以用它來解決合并用于無線網(wǎng)絡(luò)保護(hù)和遠(yuǎn)程接入的認(rèn)證數(shù)據(jù)庫(kù)的問題。對(duì)于無線網(wǎng)絡(luò)保護(hù)���,它將相互認(rèn)證和密鑰的分發(fā)的步驟分成兩個(gè)階段�。它通過在接入點(diǎn)和用戶設(shè)備上保留設(shè)備標(biāo)識(shí)以及和這些標(biāo)識(shí)相關(guān)的共享機(jī)密�,并在中心用戶認(rèn)證服務(wù)器上保留用戶標(biāo)識(shí)實(shí)現(xiàn)上述目標(biāo)。
這個(gè)方案通過如下的方法使用這一數(shù)據(jù)��。首先����,網(wǎng)絡(luò)和客戶端設(shè)備使用設(shè)備標(biāo)識(shí)以及和它相關(guān)的共享機(jī)密來完成相互認(rèn)證。在這個(gè)過程中���,要生成一個(gè)密鑰來保護(hù)這兩者之間的通信��。一旦這一步完成�����,用戶通過能訪問中心用戶認(rèn)證數(shù)據(jù)庫(kù)的中心認(rèn)證服務(wù)器來完成到網(wǎng)絡(luò)的認(rèn)證���。也可以使用這個(gè)數(shù)據(jù)庫(kù)進(jìn)行用戶認(rèn)證�����,以控制到無線網(wǎng)絡(luò)的接入以及從遠(yuǎn)端位置到網(wǎng)絡(luò)的接入����。
僅后面一個(gè)方案通過使用標(biāo)準(zhǔn)的遠(yuǎn)程接入機(jī)制支持使用公共遠(yuǎn)程接入和無線網(wǎng)絡(luò)用戶認(rèn)證數(shù)據(jù)庫(kù)來進(jìn)行配置�����。然而��,本方案不可大規(guī)?����;?duì)于具有大量接入點(diǎn)的配置��,在某種程度上���,在每個(gè)接入點(diǎn)上以保持?jǐn)?shù)據(jù)同步的方式管理客戶端標(biāo)識(shí)和共享機(jī)密是非常困難的。
為了相互的認(rèn)證客戶端設(shè)備和接入點(diǎn)����,需要一種方法和系統(tǒng)??杀豢蛻舳嗽O(shè)備和接入點(diǎn)使用的用于保護(hù)它們之間通信的密鑰也是需要的。一旦在客戶端設(shè)備和接入點(diǎn)之間通信受到保護(hù)�����,客戶端設(shè)備需要使用用戶的標(biāo)識(shí)來完成用戶到使用中心認(rèn)證系統(tǒng)的網(wǎng)絡(luò)的認(rèn)證����。為了無線網(wǎng)絡(luò)接入和遠(yuǎn)程接入而使用的公共認(rèn)證數(shù)據(jù)庫(kù)也是需要的,它既不會(huì)在客戶端設(shè)備也不會(huì)在接入點(diǎn)上引入可觀的計(jì)算負(fù)荷����。
發(fā)明內(nèi)容
因此,本發(fā)明提供了一種用于相互認(rèn)證客戶端設(shè)備和接入點(diǎn)的方法�����。本發(fā)明創(chuàng)建一個(gè)密鑰,客戶端設(shè)備和接入點(diǎn)可以使用該密鑰來保護(hù)它們之間的通信����。該密鑰可以由網(wǎng)絡(luò)設(shè)備(例如,本地接入點(diǎn))創(chuàng)建或者它可以由中心認(rèn)證服務(wù)器創(chuàng)建����。一旦客戶端設(shè)備和網(wǎng)絡(luò)設(shè)備之間的通信受到保護(hù),客戶端設(shè)備可使用用戶標(biāo)識(shí)來實(shí)現(xiàn)用戶到使用中心認(rèn)證系統(tǒng)的網(wǎng)絡(luò)的認(rèn)證����。使用公共認(rèn)證數(shù)據(jù)庫(kù)來進(jìn)行無線網(wǎng)絡(luò)的接入和遠(yuǎn)程接入,它既不會(huì)在客戶端設(shè)備也不會(huì)在接入點(diǎn)上引入可觀的計(jì)算負(fù)荷��。
在一個(gè)實(shí)施例中��,本發(fā)明提供一種接入到受控網(wǎng)絡(luò)的認(rèn)證的方法����。在一個(gè)實(shí)施例中,本發(fā)明完成第二電子設(shè)備到第一電子設(shè)備的認(rèn)證����,并且隨后完成第一電子設(shè)備到第二電子設(shè)備的認(rèn)證�。第一電子設(shè)備和第二電子設(shè)備隨后基于它們共享機(jī)密確定一個(gè)密鑰���,該密鑰用于兩個(gè)設(shè)備之間的加密通信��。第一電子設(shè)備和第二電子設(shè)備隨后到中心認(rèn)證服務(wù)器認(rèn)證一個(gè)用戶���。在一個(gè)實(shí)施例中,第一電子設(shè)備是客戶端設(shè)備��,而第二電子設(shè)備是網(wǎng)絡(luò)設(shè)備��。在另一個(gè)實(shí)施例中�����,第二電子設(shè)備是中心認(rèn)證服務(wù)器�。
本發(fā)明的其他特性和優(yōu)勢(shì)對(duì)于那些具有本領(lǐng)域一般技術(shù)并閱讀了下面結(jié)合伴隨圖示對(duì)推薦的實(shí)施例所進(jìn)行的詳細(xì)描述的人來講是非常明顯的���,這些圖示通過舉例顯示了本發(fā)明的原理�。
這些伴隨的圖示�,并入本發(fā)明并形成了本規(guī)范的一部分,它們和描述一起闡明了本發(fā)明的實(shí)施例��,它的作用是解釋本發(fā)明的原理圖1顯示了一個(gè)可以在其上實(shí)現(xiàn)本發(fā)明的實(shí)施例的示范性的電子系統(tǒng)平臺(tái)。
圖2顯示了可以在其上實(shí)現(xiàn)本發(fā)明實(shí)施例的示范性的網(wǎng)絡(luò)環(huán)境�,它包括無線和有線通信。
圖3顯示了用于交換密鑰的電子設(shè)備的認(rèn)證以及用于接入網(wǎng)絡(luò)的用戶的認(rèn)證的流程圖�����。
圖4A���,4B和4C顯示了根據(jù)本發(fā)明的一個(gè)實(shí)施例�,在認(rèn)證過程中以及密鑰分配的過程中信息交換的數(shù)據(jù)流程圖�����。
圖5A和5B顯示了根據(jù)本發(fā)明的另一個(gè)實(shí)施例�����,在認(rèn)證過程中以及密鑰分配的過程中信息交換的數(shù)據(jù)流程圖����。
具體實(shí)施例方式
對(duì)于本發(fā)明推薦的實(shí)施例將給出詳細(xì)的參考,它們中的例子將在伴隨的圖示中顯示�����。同時(shí)本發(fā)明將結(jié)合推薦的實(shí)施例進(jìn)行描述,可以理解它們并不能將本發(fā)明限制于這些實(shí)施例中���。相反的���,本發(fā)明意圖覆蓋可替換的,經(jīng)過修改的以及對(duì)等的實(shí)施例�,它們包含在本發(fā)明的精神和外延中,就像在附加的權(quán)利要求中定義的那樣�����。另外����,在下面的描述中���,為了解釋的目的��,規(guī)定了多個(gè)具體的細(xì)節(jié)�,這是為了深入的理解本發(fā)明���。但是���,對(duì)于熟悉這項(xiàng)技術(shù)的人來講非常明顯的是不需要應(yīng)用這些特定的細(xì)節(jié)就可以實(shí)現(xiàn)本發(fā)明���。在其他的例子中,熟知的結(jié)構(gòu)和設(shè)備以框圖的方式顯示�,這樣作的目的是防止模糊本發(fā)明。另外的��,在其他的例子中����,并沒有詳細(xì)描述熟知的方法,過程���,部件以及電路�����,這樣就不會(huì)不必要的模糊本發(fā)明的各個(gè)方面�����。
符號(hào)和術(shù)語(yǔ)在下面的詳細(xì)描述中的某些部分��,將使用術(shù)語(yǔ)過程����,步驟,邏輯框圖��,處理以及其他標(biāo)識(shí)對(duì)數(shù)據(jù)比特的操作的符號(hào)�,這些操作可以在計(jì)算計(jì)的內(nèi)存中執(zhí)行。這些描述以及標(biāo)識(shí)是由那些對(duì)數(shù)據(jù)處理技術(shù)精通的人使用的方法�����,它們可以最有效的將它們的主旨轉(zhuǎn)發(fā)給其他對(duì)這個(gè)技術(shù)熟悉的人�����。在這里����,一個(gè)過程��,計(jì)算機(jī)執(zhí)行的步驟�,邏輯框圖,進(jìn)程等等��,總體上被看作是一個(gè)自洽的步驟序列或者引導(dǎo)期望結(jié)果的指令。這些步驟需要對(duì)物理量進(jìn)行物理操縱����。通常,雖然并不必須����,這些量以電子或者磁性信號(hào)的形式出現(xiàn),它們可以被存儲(chǔ)��,轉(zhuǎn)發(fā)���,合并���,比較以及或者在計(jì)算機(jī)系統(tǒng)中操作。通常����,原理上由于共享使用的原因,稱這些信號(hào)為比特�,值,成分��,符號(hào)�,字符�����,術(shù)語(yǔ)�����,數(shù)字或者類似的東西��,這樣做經(jīng)過證明是方便的���。
但是,需要明確的是�,所有的這些以及相似的術(shù)語(yǔ)要與適合的物理量相關(guān)聯(lián),并且僅僅是應(yīng)用到這些量上的為了方便而使用的標(biāo)簽���。除非特殊說明����,否則正如從下面的討論中很明顯可以看到的���,提及電子系統(tǒng)或者計(jì)算機(jī)系統(tǒng)或者類似的如PDA(個(gè)人數(shù)字助理),手提電話��,尋呼機(jī),光或者機(jī)械計(jì)算機(jī)等等的電子計(jì)算設(shè)備的動(dòng)作以及過程���,在本發(fā)明的自始至終的討論中都使用了術(shù)語(yǔ)如“生成”或者“確定”或者“接收”或者“檢驗(yàn)”或者“加密”或者“發(fā)送”或者“傳送”或者“解密”或者“使能”或者“計(jì)算”或者“計(jì)數(shù)”或者“提供”或者“傳送”或者類似的術(shù)語(yǔ)���。電子設(shè)備或者類似的計(jì)算機(jī)系統(tǒng)或者其他設(shè)備操縱數(shù)據(jù),并且將在計(jì)算機(jī)系統(tǒng)的注冊(cè)表中以及內(nèi)存中的作為物理(電子)量表示數(shù)據(jù)轉(zhuǎn)換為其他類似的在計(jì)算機(jī)系統(tǒng)內(nèi)存中或者注冊(cè)表中或者其他這樣的信息存儲(chǔ)器中���,傳送或者顯示裝置中的作為物理量表示的數(shù)據(jù)����。
在推薦的應(yīng)用中�����,本發(fā)明的實(shí)施例將結(jié)合認(rèn)證申請(qǐng)����。在一個(gè)實(shí)施例中,認(rèn)證協(xié)議由EAP-TLS協(xié)議支持���。需要肯定的是本發(fā)明的實(shí)施例也可以使用其他的認(rèn)證協(xié)議���。
需要進(jìn)一步肯定的是在下面的詳細(xì)描述中將使用一些附加符號(hào)�����。一些這樣附加符號(hào)如下|串連操作���。根據(jù)一些協(xié)議指示對(duì)象的鏈接。
Digest(n)n的消息摘要����。指示一個(gè)單向散列函數(shù)。
Dev_id和一個(gè)設(shè)備相關(guān)的一個(gè)標(biāo)識(shí)�。
Secret(Dev_id)由客戶端設(shè)備和它所連接的網(wǎng)絡(luò)所共享的機(jī)密。
User_name一個(gè)用戶的名字����。
User_credentials用于認(rèn)證的用戶信任狀。
Shared_Key從Digest(Dev_id��,Secret(Dev_id)��,x����,y)中選擇的一些比特。
Dev_certificate客戶端設(shè)備的公共密鑰證書����。
Serv_certificate中心認(rèn)證服務(wù)器的公共密鑰。
示范性計(jì)算機(jī)系統(tǒng)參考圖1��,本發(fā)明的若干部分包含在計(jì)算機(jī)可讀的和計(jì)算機(jī)可執(zhí)行的指令中�,它駐留在,例如���,像計(jì)算機(jī)系統(tǒng)這樣的電子系統(tǒng)的計(jì)算機(jī)可讀的媒質(zhì)中���。圖1說明了一個(gè)示范性電子設(shè)備100,將在其上實(shí)現(xiàn)本發(fā)明的實(shí)施例�����?��?梢钥隙?,圖1中的電子設(shè)備100是幾個(gè)不同計(jì)算機(jī)系統(tǒng)和電子設(shè)備的代表�,本發(fā)明可以在這些設(shè)備上進(jìn)行操作,這些設(shè)備包括但不限于臺(tái)式機(jī)�,筆記本電腦,PDA(個(gè)人數(shù)字助理)��,手提電話,尋呼機(jī)等等��。
電子系統(tǒng)100包括一個(gè)用于交換信息的地址/數(shù)據(jù)總線109��,處理器101連接總線109用來處理信息和指令�����,非易失性內(nèi)存(ROM-只讀存儲(chǔ)器)102連接總線109用于存儲(chǔ)靜態(tài)信息和處理器101執(zhí)行的指令�����,并且易失性內(nèi)存(RAM-隨機(jī)接入存儲(chǔ)器)103連接總線109用于存儲(chǔ)信息和處理器101執(zhí)行的指令���。電子設(shè)備100也包括數(shù)據(jù)存儲(chǔ)設(shè)備104����,比如磁盤或光盤并且磁盤驅(qū)動(dòng)器連接總線109用于存儲(chǔ)信息和指令�����。數(shù)據(jù)存儲(chǔ)設(shè)備104可包括一個(gè)或者多個(gè)可移動(dòng)的磁盤或光盤存儲(chǔ)媒質(zhì)���,例如磁盤�����,磁帶�����,SD(安全數(shù)字的)卡�,MMC(多媒體卡)�����,這些都是計(jì)算機(jī)可讀存儲(chǔ)器��。電子設(shè)備100的存儲(chǔ)器單元包括易失性存儲(chǔ)器102��,非易失性存儲(chǔ)器103����,和數(shù)據(jù)存儲(chǔ)設(shè)備104。
圖1中的電子設(shè)備還包括輸入/輸出設(shè)備108�,它連接總線109用于在電子設(shè)備100和網(wǎng)絡(luò)200間提供物理通信連接。就像這樣�,輸入/輸出設(shè)備108使得中央處理單元101可以和與網(wǎng)絡(luò)200相連接的其他電子系統(tǒng)進(jìn)行通信?����?梢钥隙ǖ氖牵诒緦?shí)施例中����,通過有線通信接口或者無線通信接口(比如IEEE802.11b接口),輸入/輸出設(shè)備108提供傳輸和接收信息的功能���。
電子設(shè)備100還可以包含一個(gè)可選的字母數(shù)字的輸入設(shè)備106�����,該輸入設(shè)備包括字母數(shù)字以及功能鍵��,它們和總線109相連用于給處理器101轉(zhuǎn)發(fā)信息和命令選擇����??蛇x的顯示設(shè)備105也可以和總線相連用于給計(jì)算機(jī)用戶顯示信息。顯示設(shè)備105可以是液晶顯示器(LCD)�����,陰極射線管(CRT),其它的平面控制板顯示器�����,電子文件顯示器��,或者其他適合生成用戶可識(shí)別的圖像以及字母數(shù)字的顯示設(shè)備�����。
電子設(shè)備100還包含可選擇的光標(biāo)控制或者引導(dǎo)設(shè)備107���,它也和總線109相連用于給處理器101轉(zhuǎn)發(fā)信息并進(jìn)行命令選擇�����。光標(biāo)控制設(shè)備107允許用戶動(dòng)態(tài)的標(biāo)志在顯示設(shè)備105的屏幕上的可視的符號(hào)(光標(biāo))的二維的移動(dòng)�����。光標(biāo)控制設(shè)備107的很多實(shí)現(xiàn)以及在該領(lǐng)域已知的技術(shù)可以包括光標(biāo)滾動(dòng)球����,鼠標(biāo),光鼠,觸摸桿��,觸摸屏�����,操縱桿��,或者字母數(shù)字輸入設(shè)備106上的特殊鍵����,這些鍵可以標(biāo)志給定的方向移動(dòng)或者位移的方式?���;蛘撸档每隙ǖ氖强梢酝ㄟ^使用特殊的鍵及/或者鍵序列命令從字母數(shù)字輸入設(shè)備106的輸入來引導(dǎo)和/或者激活光標(biāo)�����。
示范性的網(wǎng)絡(luò)環(huán)境本發(fā)明的實(shí)施例����,用于在無線網(wǎng)絡(luò)中通過密鑰分配實(shí)現(xiàn)設(shè)備和用戶相互認(rèn)證的方案,它包括用于給客戶端設(shè)備(如�,無線網(wǎng)絡(luò)中的無線用戶或者有線網(wǎng)絡(luò)中的有線用戶)和網(wǎng)絡(luò)設(shè)備(如無線網(wǎng)絡(luò)上的接入點(diǎn)或者有線網(wǎng)絡(luò)中的調(diào)制解調(diào)器)提供一個(gè)安全通信的網(wǎng)絡(luò)的系統(tǒng)�����,并且它在網(wǎng)絡(luò)環(huán)境中是可以實(shí)施的��。圖2顯示了一個(gè)示范性的無線網(wǎng)絡(luò)環(huán)境200�,在其中將會(huì)實(shí)施本發(fā)明的一個(gè)實(shí)施例�����。所顯示的無線網(wǎng)絡(luò)環(huán)境包括一個(gè)通過連接250連接到網(wǎng)絡(luò)設(shè)備210和網(wǎng)絡(luò)設(shè)備220的中心認(rèn)證服務(wù)器(CAS)230����。在一個(gè)實(shí)施例中,連接250是一個(gè)物理連接(例如�����,有線的)�����,諸如在以太網(wǎng)����,令牌環(huán),或者光纖網(wǎng)絡(luò)配置中的連接���。在其他的實(shí)施例中�,連接250是使用無線通信技術(shù)的無線連接���,諸如紅外傳輸���,或者其他在中心認(rèn)證服務(wù)器230和網(wǎng)絡(luò)設(shè)備210、網(wǎng)絡(luò)設(shè)備220之間不需要物理(有線)連接的連接技術(shù)���。
繼續(xù)參考圖2�,值得肯定的是�,在另外的實(shí)施例中,可能僅僅一個(gè)單一的網(wǎng)絡(luò)設(shè)備通過連接250連接到中心認(rèn)證服務(wù)器230���。值得進(jìn)一步肯定的是��,在另一個(gè)的實(shí)施例中���,多于兩個(gè)的在圖2顯示的網(wǎng)絡(luò)設(shè)備將會(huì)連接到CAS 230。根據(jù)本發(fā)明的實(shí)施例所實(shí)現(xiàn)的網(wǎng)絡(luò)環(huán)境的范圍����,在還有另外一個(gè)的實(shí)施例中��,將會(huì)有幾十個(gè)甚至幾百個(gè)的網(wǎng)絡(luò)設(shè)備連接到接入服務(wù)器230�。還值得進(jìn)一步肯定的是���,如果連接250是CAS 230分別到網(wǎng)絡(luò)設(shè)備210以及220的無線連接����,就將假設(shè)在CAS 230和網(wǎng)絡(luò)設(shè)備之間具有預(yù)先分配的密鑰���。
繼續(xù)參考圖2�����,無線網(wǎng)絡(luò)環(huán)境200可以包括多個(gè)無線客戶端設(shè)備(例如���,無線客戶端設(shè)備201���,204���,206以及208����,分別地)通過無線連接240連接到網(wǎng)絡(luò)設(shè)備210和網(wǎng)絡(luò)設(shè)備220����。值得肯定的是無線客戶端設(shè)備201,204����,206以及208中的每一個(gè)都可以和網(wǎng)絡(luò)設(shè)備210或者220進(jìn)行通信。另外的��,連接240�����,即一個(gè)無線連接��,使用無線通信技術(shù)�����,諸如紅外傳輸����、擴(kuò)展頻譜無線電傳輸�、窄帶無線電傳輸����,或者其他不需要網(wǎng)絡(luò)設(shè)備210、網(wǎng)絡(luò)設(shè)備220以及無線用戶201����、204、206以及208之間的物理(有線)連接的連接技術(shù)���。無線客戶端設(shè)備201�、204�����、206以及208�,網(wǎng)絡(luò)設(shè)備210以及220,以及中心認(rèn)證服務(wù)器230可以由電子系統(tǒng)來實(shí)現(xiàn)��,例如圖1中的電子系統(tǒng)100�����。在本實(shí)施例中����,無線客戶端設(shè)備,網(wǎng)絡(luò)設(shè)備以及CAS通過連接240以及250���、連接到多個(gè)網(wǎng)絡(luò)資源�,例如�,文件服務(wù)器、打印機(jī)����、因特網(wǎng)網(wǎng)關(guān),等等��。
圖3顯示了過程300����,其中根據(jù)本發(fā)明的一個(gè)實(shí)施例,電子設(shè)備通過認(rèn)證來交換密鑰����,而用戶通過認(rèn)證接入網(wǎng)絡(luò)。在圖3的步驟301�,為了和網(wǎng)絡(luò)進(jìn)行通信,第一電子設(shè)備和第二電子設(shè)備相連。在本發(fā)明的一個(gè)實(shí)施例中���,第一電子設(shè)備是客戶端設(shè)備�����,如手提電腦����,而第二電子設(shè)備是網(wǎng)絡(luò)設(shè)備����,如無線接入點(diǎn)。在另外的實(shí)施例中����,第一設(shè)備是客戶端設(shè)備,而第二設(shè)備是中心網(wǎng)絡(luò)認(rèn)證服務(wù)器��。
為了建立與網(wǎng)絡(luò)之間的安全的通信���,每個(gè)電子設(shè)備必須得到其他電子設(shè)備的認(rèn)證�。這個(gè)雙向的認(rèn)證在此就可以理解為相互認(rèn)證���。圖3的步驟302顯示了這個(gè)認(rèn)證�,根據(jù)本發(fā)明的一個(gè)實(shí)施例,第二設(shè)備使用了通常的認(rèn)證協(xié)議完成到第一設(shè)備的認(rèn)證����。反過來����,如圖3中步驟303所示,第一設(shè)備完成到第二設(shè)備的認(rèn)證�。這就組成了相互認(rèn)證,并且這樣兩個(gè)設(shè)備完成了相互認(rèn)證��。
在步驟304�����,根據(jù)一個(gè)實(shí)施例���,完成相互認(rèn)證的第一和第二電子設(shè)備根據(jù)在這兩個(gè)設(shè)備中共享的機(jī)密確定了一個(gè)密鑰�。一旦確定了這個(gè)密鑰�����,根據(jù)一個(gè)實(shí)施例,就可以使用這個(gè)密鑰來加密網(wǎng)絡(luò)之間的通信����,來保證通信是安全的。
一旦建立了安全的通信�����,第一電子設(shè)備的用戶必須經(jīng)過認(rèn)證才能和網(wǎng)絡(luò)進(jìn)行通信���。在一個(gè)實(shí)施例中��,如圖3的步驟305所示���,用戶到中心認(rèn)證服務(wù)器進(jìn)行認(rèn)證。一旦用戶經(jīng)過網(wǎng)絡(luò)的認(rèn)證���,就建立了通信�,因而用戶可以在網(wǎng)絡(luò)中開始發(fā)送和接收操作��。
現(xiàn)在參考圖4A�����,本發(fā)明一個(gè)實(shí)施例的開始步驟通過數(shù)據(jù)流圖400的方式顯示。在這個(gè)實(shí)施例中�,設(shè)備的機(jī)密存儲(chǔ)在網(wǎng)絡(luò)設(shè)備中,如圖2的210和220�����,因此這一實(shí)施例適合小型業(yè)務(wù)以及其他配置����,其中網(wǎng)絡(luò)設(shè)備的數(shù)目很小并且密鑰更新的后勤是合情合理的�。在該實(shí)施例中,信息流在客戶設(shè)備202��,網(wǎng)絡(luò)設(shè)備210和中心認(rèn)證服務(wù)器230之間傳輸���。
在圖4A的步驟401��,客戶端設(shè)備202通過抽取隨機(jī)數(shù)x開始����。隨后客戶端設(shè)備202將這個(gè)隨機(jī)數(shù)x和它的設(shè)備標(biāo)識(shí)一起發(fā)送到網(wǎng)絡(luò)設(shè)備210����。
在步驟402�,網(wǎng)絡(luò)設(shè)備210使用設(shè)備標(biāo)識(shí)來確定它和客戶端設(shè)備202之間共享的機(jī)密����。隨后網(wǎng)絡(luò)設(shè)備210產(chǎn)生一個(gè)隨機(jī)數(shù)y,因此我們現(xiàn)在有兩個(gè)隨機(jī)數(shù)x和y�。
在圖4A的步驟403,根據(jù)本發(fā)明的一個(gè)實(shí)施例����,網(wǎng)絡(luò)設(shè)備210根據(jù)設(shè)備標(biāo)識(shí)、它和客戶端設(shè)備202共享的機(jī)密以及由客戶端設(shè)備202發(fā)送的隨機(jī)數(shù)x計(jì)算一個(gè)單向的散列函數(shù)���,Digest(Dev_id|Secret(Dev_id)|x)�����。網(wǎng)絡(luò)設(shè)備210隨后發(fā)送Digest(Dev_id|Secret(Dev_id)|x)以及隨機(jī)數(shù)y給客戶端設(shè)備202��。其他網(wǎng)絡(luò)并不知道這個(gè)共享的機(jī)密����,Secret(Dev_id)����,所以�,從這點(diǎn)來看���,網(wǎng)絡(luò)設(shè)備210向客戶端設(shè)備202證明了它是正確的網(wǎng)絡(luò)設(shè)備����。
在圖4A的步驟404中���,隨后網(wǎng)絡(luò)設(shè)備210將計(jì)算另外的散列函數(shù)�����,Digest(Dev_id|Secret(Dev_id)|x|y),它是由客戶端設(shè)備202在步驟401的時(shí)候發(fā)送的設(shè)備標(biāo)識(shí)���、網(wǎng)絡(luò)設(shè)備210和客戶端設(shè)備202之間的機(jī)密與隨機(jī)數(shù)x和y的一個(gè)串連的摘要���。網(wǎng)絡(luò)設(shè)備可以從這個(gè)摘要選擇若干比特用作一個(gè)加密密鑰。
在步驟405�,客戶端設(shè)備202計(jì)算Digest(Dev_id|Secret(Dev_id)|x),并且在步驟406將這個(gè)值和從網(wǎng)絡(luò)設(shè)備210在步驟403接收到的值進(jìn)行比較��。如果兩個(gè)值不一致����,那么就不會(huì)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證��,而且會(huì)話將會(huì)結(jié)束���。如果兩個(gè)值匹配,那么就顯示了對(duì)于客戶端設(shè)備202來講網(wǎng)絡(luò)設(shè)備210是正確的����,而且因此客戶端設(shè)備202將會(huì)完成到網(wǎng)絡(luò)設(shè)備210的認(rèn)證。
在圖4A的步驟407����,客戶端設(shè)備202確定這一摘要,Digest(Dev_id|Secret(Dev_id)|x|y)��,就像網(wǎng)絡(luò)設(shè)備210在步驟304處所作的����。從這個(gè)摘要,客戶端設(shè)備202選擇了和網(wǎng)絡(luò)設(shè)備在步驟404所選擇的一樣的比特�,這樣客戶端設(shè)備202現(xiàn)在可以使用它來加密所有和網(wǎng)絡(luò)設(shè)備210之間的未來通信。
一旦網(wǎng)絡(luò)設(shè)備210得到客戶端設(shè)備202的認(rèn)證�����,客戶端設(shè)備202必須得到網(wǎng)絡(luò)設(shè)備210的認(rèn)證,以達(dá)到相互的認(rèn)證���。在圖4A所示的步驟408中����,客戶端設(shè)備202計(jì)算了一個(gè)不同的單向散列函數(shù)Digest(Dev_id|Secret(Dev_id)|y)�,該函數(shù)包含了由網(wǎng)絡(luò)設(shè)備210在步驟403發(fā)送的隨機(jī)數(shù)y,并把該值發(fā)送給網(wǎng)絡(luò)設(shè)備210��。
現(xiàn)在來參考圖4B的步驟409����,網(wǎng)絡(luò)設(shè)備210獨(dú)立的計(jì)算這一摘要,Digest(Dev_id|Secret(Dev_id)|y)����。在步驟410����,網(wǎng)絡(luò)設(shè)備將比較從步驟409得到的摘要的值以及在圖4A的步驟408中由客戶端設(shè)備202發(fā)送的值。如果兩個(gè)值不一致���,由于客戶端設(shè)備202對(duì)網(wǎng)絡(luò)設(shè)備210來講并不是正確的���,所以將終止會(huì)話��。如果兩個(gè)值相互匹配��,客戶端設(shè)備202將會(huì)得到網(wǎng)絡(luò)設(shè)備210的認(rèn)證�����,并且��,根據(jù)本發(fā)明的一個(gè)實(shí)施例���,將會(huì)達(dá)到相互的認(rèn)證。
從圖4B的步驟411開始���,允許業(yè)務(wù)的傳送���,并且網(wǎng)絡(luò)設(shè)備210將使用在圖4A的步驟404建立的共享密鑰加密它發(fā)送的信息。在步驟412��,網(wǎng)絡(luò)設(shè)備210發(fā)送一個(gè)消息給客戶端設(shè)備202�,請(qǐng)求該用戶的標(biāo)識(shí)。
從圖4B的步驟413開始,根據(jù)本發(fā)明的一個(gè)實(shí)施例����,由客戶端設(shè)備202發(fā)送的數(shù)據(jù)將受到密鑰保護(hù),該密鑰是在圖4A的步驟407計(jì)算得到的�。僅僅是客戶端設(shè)備202和網(wǎng)絡(luò)設(shè)備210知道該密鑰,因此���,任何在這兩個(gè)設(shè)備之間中途截獲的傳輸數(shù)據(jù)不能夠被解密��。
在步驟414�,根據(jù)本發(fā)明的一個(gè)實(shí)施例�����,客戶端設(shè)備202發(fā)送給網(wǎng)絡(luò)設(shè)備210該用戶的標(biāo)識(shí)以及一些用戶得到中心認(rèn)證服務(wù)器230的認(rèn)證所需要的信任狀����。
然后,網(wǎng)絡(luò)設(shè)備210在圖4B的步驟415將用戶的標(biāo)識(shí)和用戶的信任狀轉(zhuǎn)發(fā)給中心認(rèn)證服務(wù)器�����。在步驟416��,根據(jù)一個(gè)實(shí)施例��,中心認(rèn)證服務(wù)器230試圖使用幾個(gè)存在的認(rèn)證協(xié)議中的一個(gè)完成用戶到網(wǎng)絡(luò)的認(rèn)證�����。
現(xiàn)在參考圖4C��,在步驟417中�����,假設(shè)認(rèn)證成功�,就像在步驟418中所示的那樣,中心認(rèn)證服務(wù)器230向網(wǎng)絡(luò)設(shè)備210回送一個(gè)成功的消息�����。
在圖4C所示的步驟419��,網(wǎng)絡(luò)設(shè)備210將成功消息回送給客戶端設(shè)備202����,并允許客戶端設(shè)備接入到網(wǎng)絡(luò)中來。步驟420顯示了客戶端設(shè)備202接收到成功消息����,并從此可以向網(wǎng)絡(luò)上發(fā)送以及從網(wǎng)絡(luò)上接收信息�����。
如果圖4C的步驟417的認(rèn)證失敗了���,中心認(rèn)證服務(wù)器230將向網(wǎng)絡(luò)設(shè)備210發(fā)送一個(gè)失敗的消息,就像步驟421所示的那樣�。在步驟422網(wǎng)絡(luò)設(shè)備將會(huì)把該失敗的消息回送給客戶端設(shè)備202,否決用戶對(duì)網(wǎng)絡(luò)的接入�,并停止信息傳送。步驟423顯示了用戶接收到了失敗的消息�。
現(xiàn)在參考圖5A,本發(fā)明的又一個(gè)實(shí)施例由流程圖500顯示����。對(duì)于具有大量的網(wǎng)絡(luò)設(shè)備或者接入點(diǎn)的大型的商業(yè)和配置來講,以保持?jǐn)?shù)據(jù)同步的方式在每一個(gè)網(wǎng)絡(luò)設(shè)備中管理用戶標(biāo)識(shí)以及共享機(jī)密是很困難的�����。本發(fā)明的實(shí)施例提供了一種可規(guī)?��;姆椒?����,即通過客戶端設(shè)備202和中心認(rèn)證服務(wù)器230之間的相互認(rèn)證����,使用中心認(rèn)證服務(wù)器230建立用于保護(hù)客戶端設(shè)備202和網(wǎng)絡(luò)設(shè)備210之間的通信的密鑰���,完成用戶為了接入網(wǎng)絡(luò)到中心認(rèn)證服務(wù)器的認(rèn)證�。
在本實(shí)施例中����,使用了對(duì)這項(xiàng)技術(shù)基本了解的人所熟知的標(biāo)準(zhǔn)協(xié)議。該協(xié)議為可擴(kuò)展認(rèn)證協(xié)議(EAP)�,并為密鑰的分配使用了傳輸層安全(TLS),或者EAP-TLS���。EAP-TLS使用了公共密鑰密碼術(shù)��,其在中心認(rèn)證服務(wù)器230進(jìn)行認(rèn)證�����。
在圖5A的步驟501�����,客戶端設(shè)備202抽取了一個(gè)隨機(jī)數(shù)x���,并將其嵌入到一個(gè)“hello”消息中����,發(fā)送到網(wǎng)絡(luò)設(shè)備210�����。在步驟502��,網(wǎng)絡(luò)設(shè)備210將轉(zhuǎn)發(fā)用戶的“hello(x)”消息到中心認(rèn)證服務(wù)器(CAS)230�。
在步驟503,CAS 230抽取一個(gè)隨機(jī)數(shù)y����,并發(fā)送一個(gè)服務(wù)器的“hello”給網(wǎng)絡(luò)設(shè)備210,其中嵌入了該隨機(jī)數(shù)y���。和“hello(y)”一起�����,它還將發(fā)送給網(wǎng)絡(luò)設(shè)備210一個(gè)證書�,即該服務(wù)器的公共密鑰,以及一個(gè)對(duì)于用戶證書(或者是用戶的公共密鑰)的請(qǐng)求消息以及一個(gè)“hello-done”(或者我已經(jīng)完成)消息�。
在本實(shí)施例中���,在步驟504�,網(wǎng)絡(luò)設(shè)備210將轉(zhuǎn)發(fā)從步驟503得到的CAS 230的消息給客戶端設(shè)備202����。在圖5A的步驟505,接收CAS 230的證書的過程完成了CAS 230到客戶端設(shè)備202的認(rèn)證���?���?蛻舳嗽O(shè)備202現(xiàn)在使用這一信息���,以及使用EAP-TLS協(xié)議���,確定一個(gè)主機(jī)密,并從中提取一個(gè)會(huì)話密鑰�,從此以后���,客戶端設(shè)備202將使用該密鑰來保護(hù)它和網(wǎng)絡(luò)設(shè)備210之間的通信。
在步驟506中��,客戶端設(shè)備202發(fā)送它的證書���,一個(gè)EAP-TLS密鑰交換���,一個(gè)“改變密碼定義”的消息以及一個(gè)“完成”的消息到網(wǎng)絡(luò)設(shè)備210。在步驟507�����,網(wǎng)絡(luò)設(shè)備210將從客戶端設(shè)備202接收的消息轉(zhuǎn)發(fā)給CAS 230�����。
在圖5A的步驟508����,CAS 230接收到具有客戶端設(shè)備證書的消息,并通過該證書完成客戶端設(shè)備202到CAS 230的認(rèn)證��。此時(shí)�,客戶端設(shè)備202以及中心認(rèn)證服務(wù)器230就完成了相互認(rèn)證�����。CAS230使用消息其它的部分以及EAP-TLS協(xié)議來確定用來產(chǎn)生會(huì)話密鑰的主機(jī)密���。隨后CAS 230將該主機(jī)密發(fā)送給網(wǎng)絡(luò)設(shè)備202,并使用它和網(wǎng)絡(luò)設(shè)備202共享的機(jī)密來對(duì)其進(jìn)行保護(hù)�����。
在圖5A的步驟509�,根據(jù)本實(shí)施例��,網(wǎng)絡(luò)設(shè)備210提取主機(jī)密���,并使用它以及EAP協(xié)議來加密并保護(hù)和客戶端設(shè)備202以及服務(wù)器210之間的未來信息���。
根據(jù)本發(fā)明的一個(gè)實(shí)施例,在圖5A的步驟510�����,網(wǎng)絡(luò)設(shè)備210給客戶端設(shè)備202發(fā)送一個(gè)EAP標(biāo)識(shí)消息��,并請(qǐng)求用戶的標(biāo)識(shí)。
現(xiàn)在來參考圖5B�,流程圖500將繼續(xù)圖5A中的流程圖。根據(jù)一個(gè)實(shí)施例����,用戶認(rèn)證要通過快速認(rèn)證完成。根據(jù)本實(shí)施例����,在步驟511,客戶端設(shè)備202發(fā)送一個(gè)標(biāo)準(zhǔn)的EAP響應(yīng)給網(wǎng)絡(luò)設(shè)備210�,其中包含用戶的名字。
在圖5B的步驟512�����,網(wǎng)絡(luò)設(shè)備210將用戶的名字轉(zhuǎn)發(fā)給中心認(rèn)證服務(wù)器(CAS)230��。在步驟513���,CAS 230抽取一個(gè)隨機(jī)數(shù)z并向網(wǎng)絡(luò)設(shè)備發(fā)送一個(gè)EAP請(qǐng)求����,以及一個(gè)包含隨機(jī)數(shù)z的第一詢問。
在圖5B的步驟514����,網(wǎng)絡(luò)設(shè)備210將ERP請(qǐng)求以及第一詢問轉(zhuǎn)發(fā)給客戶端設(shè)備202。在步驟515中����,客戶端設(shè)備202發(fā)送給網(wǎng)絡(luò)設(shè)備210一個(gè)EAP響應(yīng)以及另一個(gè)包含EAP響應(yīng)的第二詢問。
在圖5B的步驟516�,網(wǎng)絡(luò)設(shè)備210將第二詢問以及EAP響應(yīng)轉(zhuǎn)發(fā)給CAS 230。隨后�����,如步驟517所示���,CAS 230將比較發(fā)送給客戶端設(shè)備202的第一詢問以及和從客戶端設(shè)備202接收到的第二請(qǐng)求,并確定它們是否一致��。
如果兩個(gè)詢問一致���,CAS 230發(fā)送給網(wǎng)絡(luò)設(shè)備210一個(gè)成功消息���,如步驟518所示。在步驟519,網(wǎng)絡(luò)設(shè)備210隨后將消息轉(zhuǎn)發(fā)給客戶端設(shè)備�,而且現(xiàn)在用戶已經(jīng)完成到網(wǎng)絡(luò)的認(rèn)證,所以允許在用戶和網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)業(yè)務(wù)��。在步驟520���,客戶端設(shè)備202接收到成功消息��,并且現(xiàn)在可以發(fā)送由會(huì)話密鑰來保護(hù)的信息給網(wǎng)絡(luò)�����,這個(gè)會(huì)話密鑰是和網(wǎng)絡(luò)設(shè)備210共享的�。
在步驟517����,如果兩個(gè)詢問不一致�����,CAS 230將發(fā)送給網(wǎng)絡(luò)設(shè)備210一個(gè)失敗的消息�,如圖5B的步驟521所示�����。在步驟522�,網(wǎng)絡(luò)設(shè)備210將這個(gè)失敗消息轉(zhuǎn)發(fā)給客戶端設(shè)備202,并且阻塞客戶端設(shè)備202以及網(wǎng)絡(luò)之間的業(yè)務(wù)流�。
在步驟523中,客戶端設(shè)備接收到失敗消息�����,該消息通知用戶到網(wǎng)絡(luò)的接入被拒絕了。
對(duì)本發(fā)明公開的內(nèi)容的一個(gè)簡(jiǎn)短的總結(jié)就是����,在一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中�����,一種相互認(rèn)證一個(gè)客戶端設(shè)備和一個(gè)網(wǎng)絡(luò)接口����,以及將一個(gè)用戶認(rèn)證到網(wǎng)絡(luò)中并交換密鑰的方法。在一個(gè)實(shí)施例中�����,該方法包括����,在本地網(wǎng)絡(luò)設(shè)備點(diǎn)認(rèn)證客戶端設(shè)備�����,其中客戶端設(shè)備和本地網(wǎng)絡(luò)設(shè)備點(diǎn)交換一個(gè)加密密鑰�,然后客戶被一個(gè)中心認(rèn)證服務(wù)器認(rèn)證���。在另外的實(shí)施例中���,該方法包含在中心認(rèn)證服務(wù)器認(rèn)證客戶端設(shè)備��,其中客戶端設(shè)備和中心認(rèn)證服務(wù)器交換一個(gè)密鑰�,該密鑰與一個(gè)由中心認(rèn)證服務(wù)器和網(wǎng)絡(luò)設(shè)備共享的機(jī)密一起被發(fā)送的網(wǎng)絡(luò)設(shè)備中�����。在本實(shí)施例中�,用戶也是在中心認(rèn)證服務(wù)器處被認(rèn)證的。
前面對(duì)本發(fā)明的特定實(shí)施例的描述的目的就是顯示和描述�。它們并不是意圖詳細(xì)的說明,或者將本發(fā)明限定到前面所描述的形式中��。明顯地�,根據(jù)前面地描述,對(duì)本發(fā)明可以進(jìn)行許多修改和改變���。選擇這些實(shí)施例并對(duì)其進(jìn)行描述的目的是更好的解釋本發(fā)明的原理以及它實(shí)際的應(yīng)用����,因此,使其他對(duì)這項(xiàng)技術(shù)熟悉的人可以更好的利用本發(fā)明以及根據(jù)它們適合特定地使用的不同條件而修改應(yīng)用多個(gè)實(shí)施例���。本發(fā)明的范圍由附加在其后的權(quán)利要求以及它們的對(duì)等體意圖定義��。
權(quán)利要求
1.在包含第一電子設(shè)備和第二電子設(shè)備的網(wǎng)絡(luò)中�����,一種方法包括a)進(jìn)行所述的第二電子設(shè)備到所述的第一電子設(shè)備的認(rèn)證���,所述的第一電子設(shè)備和第二電子設(shè)備通信地耦合;b)進(jìn)行所述的第一電子設(shè)備到所述的第二電子設(shè)備的認(rèn)證�;c)在所述的第一電子設(shè)備以及所述的第二電子設(shè)備確定一個(gè)密鑰;并且d)進(jìn)行一個(gè)用戶到一個(gè)中心認(rèn)證服務(wù)器的認(rèn)證��。
2.權(quán)利要求1的方法���,其中所述的第一電子設(shè)備是一個(gè)客戶端設(shè)備��,而所述的第二電子設(shè)備是一個(gè)網(wǎng)絡(luò)設(shè)備�。
3.權(quán)利要求2的方法,其中所述的步驟a)包含在所述的網(wǎng)絡(luò)設(shè)備從所述的客戶端設(shè)備接收一個(gè)第一消息�����,所述第一消息包含一個(gè)設(shè)備標(biāo)識(shí)以及一個(gè)第一隨機(jī)數(shù)��;在所述的客戶端設(shè)備從所述的網(wǎng)絡(luò)設(shè)備接收一個(gè)第二消息����,所述第二消息包含一個(gè)第二隨機(jī)數(shù)以及一個(gè)第一摘要�,所述的第一摘要包含一個(gè)單向的散列函數(shù),該函數(shù)對(duì)所述的第一隨機(jī)數(shù)��、所述的設(shè)備標(biāo)識(shí)以及所述網(wǎng)絡(luò)設(shè)備和用戶設(shè)備所共享的一個(gè)機(jī)密進(jìn)行操作���;在所述的客戶端設(shè)備確定一個(gè)第二摘要���,所述的第二摘要包含一個(gè)單向的散列函數(shù),該函數(shù)對(duì)所述的第一隨機(jī)數(shù)��、所述的設(shè)備標(biāo)識(shí)以及所述的第一機(jī)密進(jìn)行操作�����;在所述的客戶端設(shè)備比較第一摘要以及第二摘要;以及假設(shè)所述的第一摘要和所述的第二摘要相互匹配���,完成所述的網(wǎng)絡(luò)設(shè)備到所述的客戶端設(shè)備的認(rèn)證���。
4.權(quán)利要求2的方法,其中步驟b)包含在所述的網(wǎng)絡(luò)設(shè)備從所述的客戶端設(shè)備接收一個(gè)第三消息�����,所述第三消息包含一個(gè)第三摘要���,所述的第三摘要包含一個(gè)單向的散列函數(shù)�����,該函數(shù)對(duì)所述的第二隨機(jī)數(shù)�����、所述的設(shè)備標(biāo)識(shí)以及所述的第一機(jī)密進(jìn)行操作����;在所述的網(wǎng)絡(luò)設(shè)備確定一個(gè)第四摘要����,所述的第四摘要包含所述的第二隨機(jī)數(shù)�����、所述的設(shè)備標(biāo)識(shí)以及所述的第一機(jī)密�;在所述的客戶端設(shè)備比較所述的第三摘要和第四摘要����;以及假設(shè)所述的第三摘要和所述的第四摘要相互匹配,完成所述的客戶端設(shè)備到所述的網(wǎng)絡(luò)設(shè)備的認(rèn)證���。
5.權(quán)利要求2的方法,其中步驟c)包含在所述的網(wǎng)絡(luò)設(shè)備確定一個(gè)第五摘要�����,所述的第五摘要包含從所述的客戶端設(shè)備接收到的設(shè)備標(biāo)識(shí)��、所述的第一機(jī)密�����、所述的第一隨機(jī)數(shù)��、所述的第二隨機(jī)數(shù),所述的網(wǎng)絡(luò)設(shè)備從第五摘要選擇若干比特并確定所述的密鑰����;以及在所述的客戶端設(shè)備計(jì)算一個(gè)第六摘要,所述的第六摘要包含所述的設(shè)備標(biāo)識(shí)����、所述的第一機(jī)密、所述的第一隨機(jī)數(shù)以及所述的第二隨機(jī)數(shù)�,所述的客戶端設(shè)備從所述的第六摘要選擇若干比特并確定所述的密鑰。
6.權(quán)利要求2的方法�����,其中步驟d)包含向所述的客戶端設(shè)備發(fā)送一個(gè)請(qǐng)求���,請(qǐng)求用戶的姓名以及用戶信任狀���;從所述的客戶端設(shè)備發(fā)送所述的用戶姓名以及用戶信任狀給所述的網(wǎng)絡(luò)設(shè)備;所述的網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)所述的用戶姓名以及用戶信任狀給所述中心認(rèn)證服務(wù)器����;以及在所述的中心認(rèn)證服務(wù)器使用所述的用戶姓名以及用戶信任狀來認(rèn)證所述的用戶。
7.如權(quán)利要求6所述的方法進(jìn)一步包含假設(shè)所述的用戶在所述中心認(rèn)證服務(wù)器通過認(rèn)證在所述中心認(rèn)證服務(wù)器發(fā)送一個(gè)成功消息給所述的網(wǎng)絡(luò)設(shè)備�;在所述網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)成功消息給所述的客戶端設(shè)備���;在所述網(wǎng)絡(luò)設(shè)備允許所述的客戶端設(shè)備接入到所述受控網(wǎng)絡(luò);以及假設(shè)所述的用戶并沒有在所述的中心認(rèn)證服務(wù)器通過認(rèn)證在所述中心認(rèn)證服務(wù)器發(fā)送一個(gè)失敗消息給所述的網(wǎng)絡(luò)設(shè)備�����;在所述網(wǎng)絡(luò)設(shè)備處轉(zhuǎn)發(fā)失敗消息給所述的客戶端設(shè)備�;在所述網(wǎng)絡(luò)設(shè)備不允許所述的客戶端設(shè)備接入到所述受控網(wǎng)絡(luò)。
8.如權(quán)利要求1所述的方法����,其中所述的第一電子設(shè)備是一個(gè)客戶端設(shè)備,第二電子設(shè)備是一個(gè)中心認(rèn)證服務(wù)器�����。
9.如權(quán)利要求8所述的方法����,其中一個(gè)網(wǎng)絡(luò)設(shè)備用于在所述的客戶端設(shè)備和所述的中心認(rèn)證服務(wù)器之間提供一個(gè)接口���。
10.權(quán)利要求9的方法�����,其中步驟a)包含在所述的網(wǎng)絡(luò)設(shè)備從所述的客戶端設(shè)備接收一個(gè)第一標(biāo)準(zhǔn)消息����;在所述的網(wǎng)絡(luò)設(shè)備將所述的第一標(biāo)準(zhǔn)消息轉(zhuǎn)發(fā)給所述的中心認(rèn)證服務(wù)器;以及在中心認(rèn)證服務(wù)器從所述的網(wǎng)絡(luò)設(shè)備接收到所述的第一標(biāo)準(zhǔn)消息�����,從而所述的客戶端設(shè)備被所述的中心認(rèn)證服務(wù)器所識(shí)別�。
11.如權(quán)利要求10所述的方法進(jìn)一步包含從所述的中心認(rèn)證服務(wù)器發(fā)送一個(gè)第二標(biāo)準(zhǔn)消息給所述的網(wǎng)絡(luò)設(shè)備;以及從所述的網(wǎng)絡(luò)設(shè)備將所述的第二標(biāo)準(zhǔn)消息轉(zhuǎn)發(fā)給所述的客戶端設(shè)備�����,從而所述的中心認(rèn)證服務(wù)器被所述的用戶設(shè)備認(rèn)證��。
12.權(quán)利要求10的方法�����,其中步驟c)包含從所述的客戶端設(shè)備發(fā)送一個(gè)第三標(biāo)準(zhǔn)消息給所述的網(wǎng)絡(luò)設(shè)備����;以及從所述的網(wǎng)絡(luò)設(shè)備將所述的第三標(biāo)準(zhǔn)消息轉(zhuǎn)發(fā)個(gè)所述的中心認(rèn)證服務(wù)器,從而所述客戶端設(shè)備被所述的中心認(rèn)證服務(wù)器認(rèn)證�。
13.如權(quán)利要求10所述的方法�,其中所述的第一標(biāo)準(zhǔn)消息包含一個(gè)標(biāo)準(zhǔn)的EAP-TLS協(xié)議消息�����。
14.如權(quán)利要求11所述的方法�����,其中所述的第二標(biāo)準(zhǔn)消息包含從所述的中心認(rèn)證服務(wù)器到所述的客戶端設(shè)備的密鑰交換���。
15.如權(quán)利要求11所述的方法�����,其中所述的第二標(biāo)準(zhǔn)消息包含一個(gè)標(biāo)準(zhǔn)的EAP-TLS協(xié)議消息���。
16.如權(quán)利要求12所述的方法,其中所述的第三標(biāo)準(zhǔn)消息包含從所述的客戶端設(shè)備到所述的中心認(rèn)證服務(wù)器的密鑰交換�����。
17.如權(quán)利要求12所述的方法�����,其中所述的第三標(biāo)準(zhǔn)消息包含一個(gè)標(biāo)準(zhǔn)的EAP-TLS協(xié)議消息�����。
18.如權(quán)利要求1所述的方法�,其中所述的第一電子設(shè)備以及第二電子設(shè)備通過一個(gè)無線連接建立通信連接。
19.如權(quán)利要求1所述的方法����,其中所述的第一電子設(shè)備以及第二電子設(shè)備通過一個(gè)有線連接建立通信連接。
20.如權(quán)利要求2所述的方法����,其中所述的網(wǎng)絡(luò)設(shè)備是一個(gè)無線網(wǎng)絡(luò)接入點(diǎn)。
21.一個(gè)計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)包含一個(gè)中心認(rèn)證服務(wù)器�����,用于認(rèn)證一個(gè)用戶以在計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)上發(fā)送或接收信息���;連接到所述的網(wǎng)絡(luò)設(shè)備上的第一電子設(shè)備�����;以及連接到所述的中心認(rèn)證服務(wù)器上的第二電子設(shè)備�����;所述的中心認(rèn)證服務(wù)器�����、所述的第一電子設(shè)備和所述的第二電子設(shè)備結(jié)合操作來執(zhí)行對(duì)一個(gè)受控網(wǎng)絡(luò)訪問的認(rèn)證����,所述的方法包含a)進(jìn)行所述的第二電子設(shè)備認(rèn)證到所述的第一電子設(shè)備的認(rèn)證,所述的第一電子設(shè)備與所述的第二電子設(shè)備通信地耦合��;b)進(jìn)行所述的第一電子設(shè)備到所述的第二電子設(shè)備的認(rèn)證�;c)在所述的第一電子設(shè)備和所述的第二電子設(shè)備確定一個(gè)密鑰;以及d)進(jìn)行一個(gè)用戶到一個(gè)中心認(rèn)證服務(wù)器的認(rèn)證���。
22.權(quán)利要求21的方法���,其中所述的第一電子設(shè)備是一個(gè)客戶端設(shè)備,所述的第二電子設(shè)備是一個(gè)網(wǎng)絡(luò)設(shè)備��。
23.權(quán)利要求22的方法�,其中步驟a)包含在所述的網(wǎng)絡(luò)設(shè)備從所述的客戶端設(shè)備接收一個(gè)第一消息,所述的第一消息包含一個(gè)設(shè)備標(biāo)識(shí)以及一個(gè)第一隨機(jī)數(shù)����;在所述的客戶端設(shè)備從所述的網(wǎng)絡(luò)設(shè)備接收一個(gè)第二消息,所述的第二消息包含一個(gè)第二隨機(jī)數(shù)以及一個(gè)第一摘要����,所述的第一摘要包含一個(gè)單向的散列函數(shù),該函數(shù)對(duì)所述的第一隨機(jī)數(shù)�����、所述的設(shè)備標(biāo)識(shí)以及在所述的網(wǎng)絡(luò)設(shè)備和所述的客戶端設(shè)備之間共享的第一機(jī)密進(jìn)行操作�;在客戶端設(shè)備確定一個(gè)第二摘要,所述的第二摘要包含一個(gè)單向的散列函數(shù)��,該函數(shù)對(duì)所述的第一隨機(jī)數(shù)�、所述的設(shè)備標(biāo)識(shí)以及所述的第一機(jī)密進(jìn)行操作;在所述的客戶端設(shè)備比較所述的第一摘要以及所述的第二摘要�;以及假設(shè)所述的第一摘要和所述的第二摘要相互匹配,完成所述的網(wǎng)絡(luò)設(shè)備到所述的客戶端設(shè)備的認(rèn)證�����。
24.權(quán)利要求22的方法�����,其中步驟b)包含在所述的網(wǎng)絡(luò)設(shè)備從所述的客戶端設(shè)備接收一個(gè)第三消息,所述的第三消息包含一個(gè)第三摘要���,所述的第三摘要包含一個(gè)單向的散列函數(shù)����,該函數(shù)對(duì)所述的第二隨機(jī)數(shù)�����、所述的設(shè)備標(biāo)識(shí)以及所述的第一機(jī)密進(jìn)行操作�;在所述網(wǎng)絡(luò)設(shè)備確定一個(gè)第四摘要,所述的第四摘要包含所述第二隨機(jī)數(shù)�����、所述的設(shè)備標(biāo)識(shí)�,以及所述的第一機(jī)密;在所述的客戶端設(shè)備比較所述的第三摘要以及所述的第四摘要�;以及假設(shè)所述的第三摘要和所述的第四摘要相互匹配,完成所述的客戶端設(shè)備到所述的網(wǎng)絡(luò)設(shè)備的認(rèn)證���。
25.權(quán)利要求22的方法�,其中步驟c)包含在所述的網(wǎng)絡(luò)設(shè)備確定一個(gè)第五摘要,所述的第五摘要包含從所述的客戶端設(shè)備接收的所述設(shè)備標(biāo)識(shí)���、所述的第一機(jī)密、所述的第一隨機(jī)數(shù)以及所述的第二隨機(jī)數(shù)���,所述的網(wǎng)絡(luò)設(shè)備從所述的第五摘要選擇若干比特并確定所述的密鑰�;以及在所述的客戶端設(shè)備計(jì)算一個(gè)第六摘要�,所述的第六摘要包含所述的設(shè)備標(biāo)識(shí)、所述的第一機(jī)密����、所述的第一隨機(jī)數(shù)以及所述的第二隨機(jī)數(shù),所述的客戶端設(shè)備從所述的第六摘要選擇若干比特并確定所述的密鑰�。
26.權(quán)利要求22的方法,其中步驟d)包含向所述的客戶端設(shè)備發(fā)送一個(gè)請(qǐng)求���,請(qǐng)求用戶的姓名以及用戶信任狀��;從所述的客戶端設(shè)備發(fā)送所述的用戶姓名以及用戶信任狀給所述的網(wǎng)絡(luò)設(shè)備�����;從所述的網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)所述的用戶姓名以及用戶信任狀給所述中心認(rèn)證服務(wù)器��;以及在所述的中心認(rèn)證服務(wù)器使用所述的用戶姓名以及用戶信任狀來認(rèn)證所述的用戶�����。
27.如權(quán)利要求26所述的方法進(jìn)一步包含假設(shè)所述的用戶在中心認(rèn)證服務(wù)器通過認(rèn)證在所述中心認(rèn)證服務(wù)器發(fā)送一個(gè)成功消息給所述的網(wǎng)絡(luò)設(shè)備�;在所述網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)所述成功消息給所述的客戶端設(shè)備;在所述網(wǎng)絡(luò)設(shè)備允許所述的客戶端設(shè)備接入到所述受控網(wǎng)絡(luò)中��;以及假設(shè)所述的用戶沒有在所述的中心認(rèn)證服務(wù)器通過認(rèn)證在所述中心認(rèn)證服務(wù)器發(fā)送一個(gè)失敗消息給所述的網(wǎng)絡(luò)設(shè)備����;在所述網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)所述失敗消息給所述的客戶端設(shè)備;在所述網(wǎng)絡(luò)設(shè)備不允許所述的客戶端設(shè)備接入到所述受控網(wǎng)絡(luò)中�。
28.如權(quán)利要求21所述的方法,其中所述的第一電子設(shè)備是一個(gè)客戶端設(shè)備���,所述第二電子設(shè)備是一個(gè)中心認(rèn)證服務(wù)器���。
29.如權(quán)利要求28所述的方法,其中使用一個(gè)網(wǎng)絡(luò)設(shè)備在所述的客戶端設(shè)備和所述的中心認(rèn)證服務(wù)器之間提供一個(gè)接口����。
30.權(quán)利要求29的方法,其中步驟a)包含在所述的網(wǎng)絡(luò)設(shè)備從所述的客戶端設(shè)備接收一個(gè)第一標(biāo)準(zhǔn)消息��;在所述的網(wǎng)絡(luò)設(shè)備將所述的第一標(biāo)準(zhǔn)消息轉(zhuǎn)發(fā)給所述的中心認(rèn)證服務(wù)器;以及在所述中心認(rèn)證服務(wù)器從所述的網(wǎng)絡(luò)設(shè)備接收所述的第一標(biāo)準(zhǔn)消息���,從而所述的客戶端設(shè)備被所述的中心認(rèn)證服務(wù)器識(shí)別�����。
31.如權(quán)利要求30所述的方法進(jìn)一步包含從所述的中心認(rèn)證服務(wù)器發(fā)送一個(gè)第二標(biāo)準(zhǔn)消息給所述的網(wǎng)絡(luò)設(shè)備;以及從所述的網(wǎng)絡(luò)設(shè)備將所述的第二標(biāo)準(zhǔn)消息轉(zhuǎn)發(fā)給所述的客戶端設(shè)備����,從而所述的中心認(rèn)證服務(wù)器被所述的客戶端設(shè)備認(rèn)證。
32.權(quán)利要求30的方法����,其中步驟c)包含從所述的客戶端設(shè)備發(fā)送一個(gè)第三標(biāo)準(zhǔn)消息給所述的網(wǎng)絡(luò)設(shè)備;以及從所述的網(wǎng)絡(luò)設(shè)備將所述的第三標(biāo)準(zhǔn)消息轉(zhuǎn)發(fā)給所述的中心認(rèn)證服務(wù)器�,從而所述客戶端設(shè)備被所述的中心認(rèn)證服務(wù)器認(rèn)證。
33.如權(quán)利要求30所述的方法����,其中所述的第一標(biāo)準(zhǔn)消息包含一個(gè)標(biāo)準(zhǔn)的EAP-TLS協(xié)議消息。
34.如權(quán)利要求31所述的方法���,其中所述的第二標(biāo)準(zhǔn)消息包含從所述的中心認(rèn)證服務(wù)器到所述的客戶端設(shè)備的密鑰交換�。
35.如權(quán)利要求31所述的方法,其中所述的第二標(biāo)準(zhǔn)消息包含一個(gè)標(biāo)準(zhǔn)的EAP-TLS協(xié)議消息���。
36.如權(quán)利要求32所述的方法�,其中所述的第三標(biāo)準(zhǔn)消息包含從所述的客戶端設(shè)備到所述的中心認(rèn)證服務(wù)器的密鑰交換����。
37.如權(quán)利要求32所述的方法,其中所述的第三標(biāo)準(zhǔn)消息包含一個(gè)標(biāo)準(zhǔn)的EAP-TLS協(xié)議消息����。
38.如權(quán)利要求21所述的方法,其中所述的第一電子設(shè)備以及第二電子設(shè)備通過一個(gè)無線連接建立通信連接����。
39.如權(quán)利要求21所述的方法,其中所述的第一電子設(shè)備以及第二電子設(shè)備通過一個(gè)有線連接建立通信連接�。
40.如權(quán)利要求22所述的方法,其中所述的網(wǎng)絡(luò)設(shè)備是一個(gè)無線網(wǎng)絡(luò)接入點(diǎn)����。
41.在一種具有計(jì)算機(jī)可讀的程序代碼嵌入其中的計(jì)算機(jī)可用介質(zhì)中,用于認(rèn)證一個(gè)第一電子設(shè)備和一個(gè)第二電子設(shè)備的計(jì)算機(jī)實(shí)施方法���,所述的方法包含a)進(jìn)行所述的第二電子設(shè)備認(rèn)證到所述的第一電子設(shè)備的認(rèn)證���,所述的第一電子設(shè)備與所述的第二電子設(shè)備通信地耦合�����;b)進(jìn)行所述的第一電子設(shè)備到所述的第二電子設(shè)備的認(rèn)證��;c)在所述的第一電子設(shè)備和所述的第二電子設(shè)備確定一個(gè)密鑰����;以及d)進(jìn)行一個(gè)用戶到一個(gè)中心認(rèn)證服務(wù)器的認(rèn)證���。
42.權(quán)利要求41的計(jì)算機(jī)實(shí)施方法,其中所述的第一電子設(shè)備是一個(gè)客戶端設(shè)備�����,而所述的第二電子設(shè)備是一個(gè)網(wǎng)絡(luò)設(shè)備����。
43.權(quán)利要求42的計(jì)算機(jī)實(shí)施方法,其中步驟a)包含在所述的網(wǎng)絡(luò)設(shè)備從所述的客戶端設(shè)備接收一個(gè)第一消息��,所述的第一消息包含一個(gè)設(shè)備標(biāo)識(shí)以及一個(gè)第一隨機(jī)數(shù)��;在所述的客戶端設(shè)備從所述的網(wǎng)絡(luò)設(shè)備接收一個(gè)第二消息,所述的第二消息包含一個(gè)第二隨機(jī)數(shù)以及一個(gè)第一摘要����,所述的第一摘要包含一個(gè)單向的散列函數(shù),該函數(shù)對(duì)所述的第一隨機(jī)數(shù)�、所述的設(shè)備標(biāo)識(shí)以及所述的網(wǎng)絡(luò)設(shè)備和所述的客戶端設(shè)備之間共享的第一機(jī)密進(jìn)行操作;在所述客戶端設(shè)備確定一個(gè)第二摘要��,所述的第二摘要包含一個(gè)單向的散列函數(shù)���,該函數(shù)對(duì)所述的第一隨機(jī)數(shù)����、所述的設(shè)備標(biāo)識(shí)以及所述的第一機(jī)密進(jìn)行操作����;在所述的客戶端設(shè)備比較所述的第一摘要以及所述的第二摘要;以及假設(shè)所述的第一摘要和所述的第二摘要相互匹配��,完成所述的網(wǎng)絡(luò)設(shè)備到所述的客戶端設(shè)備的認(rèn)證�����。
44.權(quán)利要求42的計(jì)算機(jī)實(shí)施方法,其中步驟b)包含在所述的網(wǎng)絡(luò)設(shè)備從所述的客戶端設(shè)備接收一個(gè)第三消息�����,所述的第三消息包含一個(gè)第三摘要�����,所述的第三摘要包含一個(gè)單向的散列函數(shù)���,該函數(shù)對(duì)所述的第二隨機(jī)數(shù)�����、所述的設(shè)備標(biāo)識(shí)以及所述的第一機(jī)密進(jìn)行操作����;在所述網(wǎng)絡(luò)設(shè)備確定一個(gè)第四摘要��,所述的第四摘要包含所述第二隨機(jī)數(shù)����、所述的設(shè)備標(biāo)識(shí)以及所述的第一機(jī)密��;在所述的客戶端設(shè)備比較所述的第三摘要以及所述的第四摘要;以及假設(shè)所述的第三摘要和所述的第四摘要相互匹配�����,完成所述的客戶端設(shè)備到所述的網(wǎng)絡(luò)設(shè)備的認(rèn)證����。
45.權(quán)利要求42的計(jì)算機(jī)實(shí)施方法,其中步驟c)包含在所述的網(wǎng)絡(luò)設(shè)備確定一個(gè)第五摘要�����,所述的第五摘要包含從所述的客戶端設(shè)備接收的所述設(shè)備標(biāo)識(shí)�����、所述的第一機(jī)密���、所述的第一隨機(jī)數(shù)以及所述的第二隨機(jī)數(shù)����,所述的網(wǎng)絡(luò)設(shè)備從所述的第五摘要選擇若干比特并確定所述的密鑰�;以及在所述的客戶端設(shè)備計(jì)算一個(gè)第六摘要,所述的第六摘要包含所述的設(shè)備標(biāo)識(shí)�、所述的第一機(jī)密�、所述的第一隨機(jī)數(shù)以及所述的第二隨機(jī)數(shù)�,所述的客戶端設(shè)備從所述的第六摘要選擇若干比特并確定所述的密鑰。
46.權(quán)利要求42的計(jì)算機(jī)實(shí)施方法����,其中步驟d)包含向所述的客戶端設(shè)備發(fā)送一個(gè)請(qǐng)求,請(qǐng)求用戶的姓名以及用戶信任狀��;從所述的客戶端設(shè)備發(fā)送所述的用戶姓名以及用戶信任狀給所述的網(wǎng)絡(luò)設(shè)備�;從所述的網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)所述的用戶姓名以及用戶信任狀給所述中心認(rèn)證服務(wù)器;以及在所述的中心認(rèn)證服務(wù)器使用所述的用戶姓名以及用戶信任狀來認(rèn)證所述的用戶�����。
47.如權(quán)利要求46所述的計(jì)算機(jī)實(shí)施方法進(jìn)一步包含假設(shè)所述的用戶在中心認(rèn)證服務(wù)器通過認(rèn)證在所述中心認(rèn)證服務(wù)器發(fā)送一個(gè)成功消息給所述的網(wǎng)絡(luò)設(shè)備�;在所述網(wǎng)絡(luò)設(shè)備處轉(zhuǎn)發(fā)所述成功消息給所述的客戶端設(shè)備;在所述網(wǎng)絡(luò)設(shè)備允許所述的客戶端設(shè)備接入到所述受控網(wǎng)絡(luò)中���;以及假設(shè)所述的用戶沒有在所述的中心認(rèn)證服務(wù)器通過認(rèn)證在所述中心認(rèn)證服務(wù)器發(fā)送一個(gè)失敗消息給所述的網(wǎng)絡(luò)設(shè)備�;在所述網(wǎng)絡(luò)設(shè)備處轉(zhuǎn)發(fā)所述失敗消息給所述的客戶端設(shè)備�;在所述網(wǎng)絡(luò)設(shè)備不允許所述的客戶端設(shè)備接入到所述受控網(wǎng)絡(luò)中��。
48.如權(quán)利要求41所述的計(jì)算機(jī)實(shí)施方法��,其中所述的第一電子設(shè)備是一個(gè)客戶端設(shè)備,第二電子設(shè)備是一個(gè)中心認(rèn)證服務(wù)器�����。
49.如權(quán)利要求48所述的計(jì)算機(jī)實(shí)施方法�����,其中使用一個(gè)網(wǎng)絡(luò)設(shè)備用于在所述的客戶端設(shè)備和所述的中心認(rèn)證服務(wù)器之間提供一個(gè)接口����。
50.權(quán)利要求49的計(jì)算機(jī)實(shí)施方法,其中步驟a)包含在所述的網(wǎng)絡(luò)設(shè)備從所述的客戶端設(shè)備接收一個(gè)第一標(biāo)準(zhǔn)消息���;在所述的網(wǎng)絡(luò)設(shè)備將所述的第一標(biāo)準(zhǔn)消息轉(zhuǎn)發(fā)給所述的中心認(rèn)證服務(wù)器�;以及在中心認(rèn)證服務(wù)器從所述的網(wǎng)絡(luò)設(shè)備接收所述的第一標(biāo)準(zhǔn)消息�,從而所述的客戶端設(shè)備被所述的中心認(rèn)證服務(wù)器識(shí)別。
51.如權(quán)利要求50所述的計(jì)算機(jī)實(shí)施方法進(jìn)一步包含從所述的中心認(rèn)證服務(wù)器發(fā)送一個(gè)第二標(biāo)準(zhǔn)消息給所述的網(wǎng)絡(luò)設(shè)備����;以及從所述的網(wǎng)絡(luò)設(shè)備將所述的第二標(biāo)準(zhǔn)消息轉(zhuǎn)發(fā)給所述的客戶端設(shè)備,從而完成所述的中心認(rèn)證服務(wù)器到所述的用戶設(shè)備的認(rèn)證���。
52.如權(quán)利要求50所述的計(jì)算機(jī)實(shí)施方法��,其中步驟c)包含從所述的客戶端設(shè)備發(fā)送一個(gè)第三標(biāo)準(zhǔn)消息給所述的網(wǎng)絡(luò)設(shè)備��;以及從所述的網(wǎng)絡(luò)設(shè)備將所述的第三標(biāo)準(zhǔn)消息轉(zhuǎn)發(fā)給所述的中心認(rèn)證服務(wù)器���,從而完成客戶端設(shè)備到所述的中心認(rèn)證服務(wù)器的認(rèn)證�。
53.如權(quán)利要求50所述的計(jì)算機(jī)實(shí)施方法�,其中所述的第一標(biāo)準(zhǔn)消息包含一個(gè)標(biāo)準(zhǔn)的EAP-TLS協(xié)議消息。
54.如權(quán)利要求51所述的計(jì)算機(jī)實(shí)施方法�����,其中所述的第二標(biāo)準(zhǔn)消息包含從所述的中心認(rèn)證服務(wù)器到所述的客戶端設(shè)備的密鑰交換�����。
55.如權(quán)利要求51所述的計(jì)算機(jī)實(shí)施方法��,其中所述的第二標(biāo)準(zhǔn)消息包含一個(gè)標(biāo)準(zhǔn)的EAP-TLS協(xié)議消息�。
56.如權(quán)利要求52所述的計(jì)算機(jī)實(shí)施方法,其中所述的第三標(biāo)準(zhǔn)消息包含從所述的客戶端設(shè)備到所述的中心認(rèn)證服務(wù)器的密鑰交換����。
57.如權(quán)利要求52所述的計(jì)算機(jī)實(shí)施方法,其中所述的第三標(biāo)準(zhǔn)消息包含一個(gè)標(biāo)準(zhǔn)的EAP-TLS協(xié)議消息�。
58.如權(quán)利要求41所述的計(jì)算機(jī)實(shí)施方法,其中所述的第一電子設(shè)備以及第二電子設(shè)備通過一個(gè)無線連接建立通信連接����。
59.如權(quán)利要求41所述的計(jì)算機(jī)實(shí)施方法,其中所述的第一電子設(shè)備以及第二電子設(shè)備通過一個(gè)有線連接建立通信連接����。
60.如權(quán)利要求42所述的計(jì)算機(jī)實(shí)施方法,其中所述的網(wǎng)絡(luò)設(shè)備是一個(gè)無線網(wǎng)絡(luò)接入點(diǎn)�����。
61.任何權(quán)利要求1-20的方法�����,其中該方法用于對(duì)一個(gè)受控網(wǎng)絡(luò)的接入的認(rèn)證���。
全文摘要
對(duì)本發(fā)明公開的內(nèi)容的一個(gè)簡(jiǎn)短的總結(jié)就是��,在一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中���,一種相互認(rèn)證一個(gè)客戶端設(shè)備和一個(gè)網(wǎng)絡(luò)接口,以及將一個(gè)用戶認(rèn)證到網(wǎng)絡(luò)中并交換密鑰的方法�����。在一個(gè)實(shí)施例中,該方法包括�����,在本地網(wǎng)絡(luò)設(shè)備點(diǎn)認(rèn)證客戶端設(shè)備�����,其中客戶端設(shè)備和本地網(wǎng)絡(luò)設(shè)備點(diǎn)交換一個(gè)加密密鑰���,然后用戶被一個(gè)中心認(rèn)證服務(wù)器認(rèn)證����。在另外的實(shí)施例中�����,該方法包含在中心認(rèn)證服務(wù)器認(rèn)證客戶端設(shè)備�,其中客戶端設(shè)備和中心認(rèn)證服務(wù)器交換一個(gè)密鑰,該密鑰與一個(gè)由中心認(rèn)證服務(wù)器和網(wǎng)絡(luò)設(shè)備共享的機(jī)密一起被發(fā)送的網(wǎng)絡(luò)設(shè)備中�����。在本實(shí)施例中,用戶也是在中心認(rèn)證服務(wù)器處被認(rèn)證的���。
文檔編號(hào)H04L29/06GK1608362SQ02812705
公開日2005年4月20日 申請(qǐng)日期2002年5月16日 優(yōu)先權(quán)日2001年5月16日
發(fā)明者阿伯特·揚(yáng), 維克托·常, 丹尼·M.·尼賽特 申請(qǐng)人:3Com公司