專(zhuān)利名稱(chēng):客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法和認(rèn)證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明實(shí)施例涉及客戶(hù)網(wǎng)關(guān)(Customer Network Gateway, CNG )的管理 認(rèn)證方法和認(rèn)證系統(tǒng)��,尤其是一種客戶(hù)網(wǎng)關(guān)和客戶(hù)網(wǎng)關(guān)配置功能(CNG Configuration Function, CNGCF )的管理認(rèn)證方法和認(rèn)證系統(tǒng)�����。
背景技術(shù):
如圖l所示�,為現(xiàn)有技術(shù)的CNG和CNGCF的認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖�,現(xiàn) 有的網(wǎng)絡(luò)附著子系統(tǒng)(Network Attachment Sub-system, NASS )包括如下功 能實(shí)體網(wǎng)絡(luò)接入配置模塊(Network Access Configuration Function, NACF ), 具有網(wǎng)絡(luò)接入配置功能;連接會(huì)話定位和存儲(chǔ)模塊(Connectivity Session Location and R印ository Function, CLF )��,具有連接性會(huì)話定位功能����;用 戶(hù)接入授權(quán)模塊(User Access Authorization Function, UAAF),具有用 戶(hù)接入4更權(quán)功能;配置數(shù)據(jù)庫(kù)模塊(Profile Database Function, PDBF), 具有用戶(hù)簽約數(shù)據(jù)庫(kù)功能���;CNGCF,具有用戶(hù)端設(shè)備配置功能�����。
NASS主要功能是用戶(hù)上線時(shí)基于用戶(hù)的簽約配置對(duì)用戶(hù)進(jìn)行認(rèn)證���、授權(quán) 用戶(hù)對(duì)網(wǎng)絡(luò)資源使用�,并根據(jù)授權(quán)情況進(jìn)行網(wǎng)絡(luò)配置����,以及負(fù)責(zé)分配IP地址。 在現(xiàn)有技術(shù)中NASS僅僅具有用戶(hù)接入的網(wǎng)絡(luò)認(rèn)證����,并沒(méi)有涉及CNG和CNGCF 之間管理平面的認(rèn)證。具體來(lái)講�����,在CNG和CNGCF進(jìn)行管理面的交互之前(如 配置����,故障檢測(cè)、CNG升級(jí))����,CNG和CNGCF之間需要進(jìn)行單向或者雙向交互 認(rèn)證。只有在認(rèn)證通過(guò)后才能執(zhí)行管理操作����。目前通常有2種方案用于CNG 和CNGCF之間的單向或者雙向認(rèn)證�����。
一種方案是在CNG和CNGCF上靜態(tài)部署共享認(rèn)證憑證���,例如靜態(tài)配置用戶(hù)名/共享密鑰方式。如圖2所示����,為現(xiàn)有技術(shù)CNG和CNGCF的認(rèn)證方法的信 令圖��,具體步驟如下
步驟201����,在業(yè)務(wù)部署階段,由電信運(yùn)營(yíng)商的操作維護(hù)人員針對(duì)每個(gè)CNG 生成一個(gè)認(rèn)證憑證�����,比如用戶(hù)名和共享密鑰��;
步驟202,將認(rèn)證憑證配置到CNG上���,然后在CNGCF上配置這個(gè)認(rèn)證憑證�, 并將其和CNG標(biāo)識(shí)相關(guān)聯(lián);
另外也可以將認(rèn)證憑證告知最終用戶(hù)���,由最終用戶(hù)負(fù)責(zé)在CNG上配置�����;
步驟203���,在認(rèn)證憑證配置完畢后的CNG與CNGCF認(rèn)證階段,CNG和CNGCF 之間就可以在互操作時(shí)以這個(gè)認(rèn)證憑證進(jìn)行雙向或者單向認(rèn)證����;
比如CNG上電時(shí)攜帶認(rèn)證憑證向CNGCF注冊(cè),CNGCF根據(jù)接收到的CNG 認(rèn)證憑證和自身保存的CNG認(rèn)證憑證進(jìn)行比較�����,如果匹配則認(rèn)證通過(guò)����,返回 i人i正成功消息;
步驟204��, CNG與CNGCF互操作階段,CNGCF向CNG發(fā)送攜帶認(rèn)證憑的對(duì) CNG操作請(qǐng)求�����;
步驟205, CNG匹配認(rèn)證憑證���,以決定是否允許操作�; 步驟206, CNG向CNGCF返回操作結(jié)果����。
因此,現(xiàn)有的靜態(tài)配置共享認(rèn)證方式雖然簡(jiǎn)單�����,無(wú)須額外的網(wǎng)絡(luò)設(shè)備支 持��,但是該方法的缺點(diǎn)是針對(duì)大量CNG而生成的每一個(gè)CNG的唯一共享密鑰 需要人工配置到CNG和CNGCF,因此工作成本高��。而且因?yàn)槊總€(gè)CNG都必須由 運(yùn)營(yíng)商開(kāi)封�����、生成共享密鑰�����、人工配置�����,因而共享密鑰分發(fā)途徑不易控制��, 安全性差��,另外在后續(xù)的共享密鑰更新過(guò)程中����,又需要重復(fù)業(yè)務(wù)部署階段的 過(guò)程,繁瑣復(fù)雜���。
另外一種方法是采用PKI(PubicKey Infrastructure,公鑰基礎(chǔ)設(shè)施)數(shù) 字證書(shū)方式��,證書(shū)通常由專(zhuān)門(mén)的CA (Certificate Authorities第三方認(rèn)證才幾 構(gòu))生成����,并在生產(chǎn)過(guò)程中預(yù)配置到CNG上或者將證書(shū)以;茲盤(pán)等介質(zhì)保存并發(fā) 給用戶(hù)��。
數(shù)字證書(shū),是由認(rèn)證中心CA (負(fù)責(zé)電子證書(shū)的生成和維護(hù))發(fā)放并經(jīng)認(rèn) 證中心數(shù)字簽名的�����,包含公開(kāi)密鑰擁有者以及公開(kāi)密鑰相關(guān)信息的一種電子 文件�����,可以用來(lái)證明數(shù)字證書(shū)持有者的真實(shí)身份���,數(shù)字證書(shū)采用公鑰體制�。
PKI是一個(gè)用公鑰概念和技術(shù)來(lái)實(shí)施和提供安全服務(wù)的具有普適性的安 全基礎(chǔ)設(shè)施�,它是生成、管理����、存儲(chǔ)、分發(fā)和吊銷(xiāo)基于公鑰密碼學(xué)的公鑰證
書(shū)所需要的硬件����、軟件����、人員、策略和規(guī)程的總和。如圖3所示�,為現(xiàn)有的 PKI的結(jié)構(gòu)示意圖。
當(dāng)在CNG和CNGCF之間采用PKI證書(shū)方式進(jìn)行單向或者雙向認(rèn)證時(shí)����,需 要通過(guò)一個(gè)第三方的認(rèn)證中心CA簽發(fā)證書(shū)(雙向認(rèn)證時(shí)需要為CNG、 CNGCF 各自生成證書(shū))�。然后,需要分別將CNG/CNGCF的證書(shū)配置到對(duì)端(雙向認(rèn) 證時(shí))����。證書(shū)的分發(fā)可以采用專(zhuān)用的證書(shū)分發(fā)網(wǎng)絡(luò)系統(tǒng)分發(fā),也可以靜態(tài)手 工配置���。另外證書(shū)有時(shí)效性�����,證書(shū)過(guò)期或者因管理需要更新時(shí)必須重新采集 CNG����、 CNGCF信息��,然后向第三方CA審核申請(qǐng)證書(shū)�。另外在證書(shū)廢止時(shí)缺乏 CNG/CNGCF之間的通知機(jī)制。
因此對(duì)于PKI方式,需要復(fù)雜的CA系統(tǒng)����,而且在當(dāng)前CNG的生成過(guò)程中, 如何自動(dòng)提取針對(duì)CNG特定信息并生成每個(gè)CNG獨(dú)特的證書(shū)并預(yù)置到CNG很 難克服����;并且成本高,證書(shū)過(guò)期�����、更新維護(hù)困難��。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法和認(rèn)證系統(tǒng)�����,以實(shí)現(xiàn)簡(jiǎn)單 而低成本的客戶(hù)網(wǎng)關(guān)和CNGCF的認(rèn)證����,降低運(yùn)營(yíng)成本和提高運(yùn)營(yíng)效率。 本發(fā)明實(shí)施例提供了一種客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法����,包括 用戶(hù)接入授權(quán)模塊對(duì)客戶(hù)網(wǎng)關(guān)進(jìn)行接入認(rèn)證;
用戶(hù)接入授權(quán)模塊生成客戶(hù)網(wǎng)關(guān)和客戶(hù)網(wǎng)關(guān)配置功能之間的管理認(rèn)證憑
證����;
用戶(hù)接入授權(quán)模塊將生成的管理認(rèn)證憑證發(fā)送給客戶(hù)網(wǎng)關(guān)配置功能和客
戶(hù)網(wǎng)關(guān);并建立客戶(hù)網(wǎng)關(guān)和所述管理認(rèn)證憑證的管理關(guān)系�;
在雙向交互中客戶(hù)網(wǎng)關(guān)和客戶(hù)網(wǎng)關(guān)配置功能采用保存的管理認(rèn)證憑證進(jìn) 行管理認(rèn)證,判斷是否允許操作��。
本發(fā)明實(shí)施例還提供了一種客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法,包括
用戶(hù)接入授權(quán)模塊對(duì)客戶(hù)網(wǎng)關(guān)進(jìn)行接入認(rèn)證����,所述客戶(hù)網(wǎng)關(guān)生成第 一次
生密鑰����,所述接入授權(quán)^t塊生成第二次生密鑰��;
所述客戶(hù)網(wǎng)關(guān)對(duì)接收到的客戶(hù)網(wǎng)關(guān)配置功能發(fā)送的報(bào)文根據(jù)第一次生密
鑰和第二次生密鑰進(jìn)行認(rèn)證���;
所述客戶(hù)網(wǎng)關(guān)配置功能對(duì)接收到的客戶(hù)網(wǎng)關(guān)發(fā)送的報(bào)文根據(jù)第一次生密 鑰和第二次生密鑰進(jìn)行認(rèn)證。
本發(fā)明實(shí)施例還提供了一種客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)��,包括 用戶(hù)接入授權(quán)模塊,用于對(duì)客戶(hù)網(wǎng)關(guān)進(jìn)行接入認(rèn)證�,以及生成客戶(hù)網(wǎng)關(guān)
和客戶(hù)網(wǎng)關(guān)配置功能之間的管理認(rèn)證憑證并發(fā)送;
客戶(hù)網(wǎng)關(guān)�,用于接收所述管理認(rèn)證憑證���,和建立與所述管理認(rèn)證憑證的
管理關(guān)系;
客戶(hù)網(wǎng)關(guān)配置功能����,用于接收所述管理認(rèn)證憑證���;所述客戶(hù)網(wǎng)關(guān)根據(jù)該 管理認(rèn)證憑證對(duì)客戶(hù)網(wǎng)關(guān)配置功能進(jìn)行認(rèn)證,所述客戶(hù)網(wǎng)關(guān)配置功能根據(jù)該 管理認(rèn)證憑證對(duì)所述客戶(hù)網(wǎng)關(guān)進(jìn)行認(rèn)證����。
本發(fā)明實(shí)施例還提供了一種客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)�����,包括 客戶(hù)網(wǎng)關(guān),用于發(fā)送接入認(rèn)證信息,發(fā)送和接收管理認(rèn)證信息��,以及生 成第一次生密鑰���;
客戶(hù)網(wǎng)關(guān)配置功能�����,用于接收和發(fā)送所述管理認(rèn)證信息; 用戶(hù)接入授權(quán)模塊,用于接收所述接入認(rèn)證信息����,和生成第二次生密鑰�, 并將第二次生密鑰發(fā)送給客戶(hù)網(wǎng)關(guān)配置功能�����;所述客戶(hù)網(wǎng)關(guān)配置功能根據(jù)第 一次生密鑰和第二次生密鑰對(duì)接收到的客戶(hù)網(wǎng)關(guān)的報(bào)文做認(rèn)證�����,所述客戶(hù)網(wǎng) 關(guān)根據(jù)第一次生密鑰和第二次生密鑰對(duì)接收到的客戶(hù)網(wǎng)關(guān)配置功能的報(bào)文做認(rèn)證����。
因此本發(fā)明實(shí)施例客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法和認(rèn)證系統(tǒng)能夠自動(dòng)實(shí)現(xiàn)認(rèn)
證憑證的生成�、分發(fā)和修改,能夠極大的降低運(yùn)營(yíng)商發(fā)放大規(guī)模CNG的運(yùn)營(yíng) 維護(hù)成本和提高運(yùn)營(yíng)效率����。
圖1為現(xiàn)有技術(shù)的客戶(hù)網(wǎng)關(guān)和客戶(hù)網(wǎng)關(guān)配置功能的認(rèn)證系統(tǒng)的結(jié)構(gòu)示意
圖2為現(xiàn)有技術(shù)客戶(hù)網(wǎng)關(guān)和客戶(hù)網(wǎng)關(guān)配置功能的認(rèn)證方法的信令圖; 圖3為現(xiàn)有技術(shù)的PKI的結(jié)構(gòu)示意圖5為本發(fā)明實(shí)施例客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法的流程圖之一���;
圖7為本發(fā)明實(shí)施例客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法的流程圖之二��;
圖8為本發(fā)明實(shí)施例客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖之一
圖9為本發(fā)明實(shí)施例客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖之二�����;
圖10為本發(fā)明實(shí)施例客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖之三�;
圖11為本發(fā)明實(shí)施例另一客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法的流程圖之一;
圖12為本發(fā)明實(shí)施例另一客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖之一���;
圖13為本發(fā)明實(shí)施例另一客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖之二���。
具體實(shí)施例方式
下面通過(guò)附圖和實(shí)施例�,對(duì)本發(fā)明實(shí)施例的技術(shù)方案做進(jìn)一步的詳細(xì)描述�����。
因?yàn)榭蛻?hù)網(wǎng)關(guān)管理的特殊性���,其典型特征是數(shù)量大�����,分布廣,因此為了 滿(mǎn)足CNG-CNGCF認(rèn)證的需求���,需要對(duì)每個(gè)CNG產(chǎn)生獨(dú)特的�����、唯一的認(rèn)證憑證
(credential),但是數(shù)量龐大的認(rèn)證憑證����,不管是共享密鑰還是數(shù)字證書(shū)��, 其生成���、可靠分發(fā)(分別配置到CNG����、 CNGCF)和更新給運(yùn)營(yíng)商帶來(lái)很大的困難�。
本發(fā)明實(shí)施例客戶(hù)網(wǎng)關(guān)和客戶(hù)網(wǎng)關(guān)配置功能的認(rèn)證方法,包括 步驟1 ���,用戶(hù)接入授權(quán)模塊對(duì)客戶(hù)網(wǎng)關(guān)進(jìn)行接入認(rèn)證�����; 步驟2,用戶(hù)接入授權(quán)模塊生成客戶(hù)網(wǎng)關(guān)和客戶(hù)網(wǎng)關(guān)配置功能之間的管理 認(rèn)證憑證�����;
步驟3,用戶(hù)接入授權(quán)模塊將生成的管理認(rèn)證憑證發(fā)送給客戶(hù)網(wǎng)關(guān)配置功 能和客戶(hù)網(wǎng)關(guān)�����;并建立客戶(hù)網(wǎng)關(guān)和所述管理認(rèn)證憑證的管理關(guān)系�;
步驟4,在雙向交互中客戶(hù)網(wǎng)關(guān)和客戶(hù)網(wǎng)關(guān)配置功能采用保存的管理認(rèn)證 憑證進(jìn)行認(rèn)證�,判斷是否允許操作。
如圖4所示��,為本發(fā)明實(shí)施例客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法的構(gòu)架示意圖之 一�,基于NASS架構(gòu)��,包括CNG1、接入管理功能才莫塊(Access Management Function, AMF ) 2��、 UAAF3���、 CLF4、 NACF5和CNGCF6��。 NACF5和AMF2之間的 接口為al���, NACF5和CLF4之間的接口為a2, AMF2和UAAF3之間的接口為a3, UAAF3和CLF4之間的接口為a4��, CLF4和CNGCF6之間的接口為a5;UEl和AMF2 之間的接口為el�, CLF4自身的接口為e2�, CNGCF6和UE1之間的接口為e3, UAAF3自身的接口為e5��。
如圖5所示�,為本發(fā)明實(shí)施例客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法的流程圖之一, 具體步驟如下
步驟501, UAAF對(duì)CNG進(jìn)行接入認(rèn)證����;
步驟502,根據(jù)本地策略判斷是否需要產(chǎn)生客戶(hù)網(wǎng)關(guān)和客戶(hù)網(wǎng)關(guān)配置功能 之間的管理認(rèn)證憑證,如果需要?jiǎng)tUAAF生成CNG和CNGCF之間的管理認(rèn)證憑 證�;
可以利用用戶(hù)接入認(rèn)證密鑰信息或者運(yùn)營(yíng)商配置的種子密鑰產(chǎn)生CNG和 CNGCF之間的管理認(rèn)證憑證;步驟503, UAAF通過(guò)對(duì)a4接口的擴(kuò)展和在CLF和CNGCF之間的a5接口 , 將生成的管理認(rèn)證憑證通過(guò)CLF配置到CNGCF����,并且通過(guò)與AMF之間的接口 e3 /人返回纟合CNG的i1
在后續(xù)的用戶(hù)上線附著過(guò)程中��,UAAF可以以上次上線認(rèn)證中生成的管理 認(rèn)證憑證為種子密鑰生成新的管理認(rèn)證憑證�����,或者仍使用用戶(hù)接入認(rèn)證密鑰 信息或者其他運(yùn)營(yíng)商配置的信息作為種子密鑰��,并通過(guò)同樣的過(guò)程分配配置 到CNGCF和CNG;
另外在后續(xù)的用戶(hù)上線附著過(guò)程中���,UAAF根據(jù)運(yùn)營(yíng)商的配置的策略決定 是否每次上線時(shí)需要生成新的管理認(rèn)證憑證�,如果不需要每次生成新的管理 認(rèn)證憑證���,則CNG和CNGCF之間可以繼續(xù)使用最近一次生成的管理認(rèn)證憑證����;
管理認(rèn)證憑證可以是一個(gè)為CNG和CNGCF之間的共享密鑰��,也可以是分 別為CNG和CNGCF生成的證書(shū)�����,在管理認(rèn)證憑證為CNG和CNGCF生成的證書(shū) 的情況下,UAAF起到了 CA證書(shū)中心的作用���;
在實(shí)際網(wǎng)絡(luò)部署中���,可能存在一個(gè)CLF對(duì)應(yīng)多個(gè)CNGCF的情況,CLF對(duì) CNGCF的定位方法有兩種�, 一種方式是CLF根據(jù)用戶(hù)上線接入認(rèn)證時(shí)UAAF推 送的CNG位置信息(物理位置信息或者邏輯位置信息)建立CNG與所歸屬的 CNGCF的關(guān)聯(lián)關(guān)系,因此CLF必須配置每個(gè)CNGCF和物理位置或者邏輯位置的 對(duì)應(yīng)關(guān)系�����;另外一種方式是CLF根據(jù)用戶(hù)上線接入認(rèn)證時(shí)NACF給CNG分配的 接入網(wǎng)絡(luò)標(biāo)識(shí)建立CNG與所歸屬的CNGCF的關(guān)聯(lián)關(guān)系���,前提是CLF必須配置 每個(gè)CNGCF和接入網(wǎng)絡(luò)標(biāo)識(shí)的映射關(guān)系�����。
步驟504,在雙向交互中CNG和CNGCF采用保存的認(rèn)證憑進(jìn)行認(rèn)證����,判斷 是否允許操作�����。
本發(fā)明實(shí)施例因此本發(fā)明實(shí)施例能夠自動(dòng)實(shí)現(xiàn)管理認(rèn)證憑證的生成、分 發(fā)和修改�����,從根本上解決CNG和CNGCF之間認(rèn)證實(shí)施的問(wèn)題����,因此能夠極大 的降低運(yùn)營(yíng)商發(fā)放大規(guī)模CNG的運(yùn)營(yíng)維護(hù)成本和提高運(yùn)營(yíng)效率�����。
如圖6所示�,為本發(fā)明實(shí)施例客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法的構(gòu)架示意圖之二,也是基于NASS架構(gòu)����,包括CNG1、 AMF2��、 UAAF3����、 CLF4、 NACF5和CNGCF6。 NACF5和AMF2之間的接口為al ��, NACF5和CLF4之間的接口為a2 ���, AMF2和UAAF3 之間的接口為a3, UAAF3和CLF4之間的接口為a4, UAAF3和CNGCF6之間的 接口為a6, UAAF3和NACF54之間的接口為a7; CNG1和AMF2之間的接口為el, CLF4自身的接口為e2�����, CNGCF6和CNG1之間的接口為e3����, UAAF3自身的接口 為e5�。
如圖7所示,為本發(fā)明實(shí)施例客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法的流程圖之二����, 具體步驟如下
步驟701 , UAAF對(duì)CNG進(jìn)行接入認(rèn)證�;
步驟702,根據(jù)本地策略判斷是否需要產(chǎn)生客戶(hù)網(wǎng)關(guān)和客戶(hù)網(wǎng)關(guān)配置功能 之間的管理認(rèn)證憑證�,如果需要?jiǎng)tUAAF生成CNG和CNGCF之間的管理認(rèn)證憑 證;
可以利用用戶(hù)接入認(rèn)證密鑰信息或者運(yùn)營(yíng)商配置的種子密鑰產(chǎn)生CNG和 CNGCF之間的管理認(rèn)證憑證��;
步驟703�, UAAF通過(guò)在UAAF和CNGCF之間的a6接口��,將生成的管理認(rèn) 證憑證配置到CNGCF�,并且通過(guò)與AMF之間的接口 e3從返回給CNG的認(rèn)證響 應(yīng)報(bào)文中將管理認(rèn)證憑證發(fā)送給CNG;
在后續(xù)的用戶(hù)上線附著過(guò)程中�,UAAF可以以上次附著過(guò)程中生成的管理 認(rèn)證憑證為種子密鑰生成新的管理認(rèn)證憑證,或者仍使用用戶(hù)接入認(rèn)證密鑰 信息或者其他運(yùn)營(yíng)商配置的信息作為種子密鑰���,并通過(guò)同樣的過(guò)程分配配置 到CNGCF和CNG;
另外在后續(xù)的用戶(hù)上線附著過(guò)程中��,UAAF根據(jù)運(yùn)營(yíng)商的配置的策略決定 是否每次上線時(shí)需要生成新的管理認(rèn)證憑證,如果不需要每次生成新的管理 認(rèn)證憑證����,則CNG和CNGCF之間可以繼續(xù)使用最近一次生成的管理認(rèn)證憑證;
管理認(rèn)證憑證可以是一個(gè)為CNG和CNGCF之間的共享密鑰�����,也可以是分 別為CNG和CNGCF生成的證書(shū)���,在管理認(rèn)證憑證為CNG和CNGCF生成的證書(shū)
的情況下���,UAAF起到了 CA證書(shū)中心的作用;
在實(shí)際網(wǎng)絡(luò)部署中���,可能存在一個(gè)UAAF對(duì)應(yīng)多個(gè)CNGCF的情況����,UAAF對(duì) CNGCF的定位方法有如下幾種, 一種方式是UAAF根據(jù)用戶(hù)上線接入認(rèn)證時(shí)CNG 位置信息(物理位置信息或者邏輯位置信息)查找CNG所歸屬的CNGCF,因此 前提是UAAF必須配置每個(gè)CNGCF和物理位置或者邏輯位置的對(duì)應(yīng)關(guān)系��;另一 種方式是UAAF根據(jù)用戶(hù)上線時(shí)NACF給CNG分配的接入網(wǎng)絡(luò)標(biāo)識(shí)(通過(guò)a7接 口 )����,或者利用CLF轉(zhuǎn)發(fā)的NACF給CNG分配的接入網(wǎng)絡(luò)標(biāo)識(shí)(通過(guò)a4接口 ) 查找出CNG所歸屬的CNGCF,前提是UAAF必須配置每個(gè)CNGCF和接入網(wǎng)絡(luò)標(biāo) 識(shí)的映射關(guān)系;
步驟704�����,在雙向交互中CNG和CNGCF采用保存的認(rèn)證憑進(jìn)行認(rèn)證���,判斷 是否允許纟喿作�。
本發(fā)明實(shí)施例因此本發(fā)明實(shí)施例能夠自動(dòng)實(shí)現(xiàn)管理認(rèn)證憑證的生成���、分 發(fā)和修改��,從根本上解決CNG和CNGCF之間認(rèn)證實(shí)施的問(wèn)題�,因此能夠極大 的降低運(yùn)營(yíng)商發(fā)放大規(guī)模CNG的運(yùn)營(yíng)維護(hù)成本和提高運(yùn)營(yíng)效率���。
如圖8所示�����,為本發(fā)明實(shí)施例客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖之 一�,包括UAAF13,用于對(duì)CNG11進(jìn)行接入認(rèn)證,以及生成CNG11和CNGCF16 之間的管理認(rèn)證憑證并發(fā)送����;CNG11,用于接收管理認(rèn)證憑證,和建立與管理 認(rèn)證憑證的管理關(guān)系����;CNGCF16,用于接收所述管理認(rèn)證憑證�����,CNG11根據(jù)該 管理認(rèn)證憑證對(duì)CNGCF16進(jìn)行認(rèn)證�,CNGCF16根據(jù)該管理認(rèn)證憑證對(duì)CNG11進(jìn) 行認(rèn)證;AMF12��,用于向UAAF13轉(zhuǎn)發(fā)客戶(hù)網(wǎng)關(guān)的位置信息�����;NACF15,用于給 客戶(hù)網(wǎng)關(guān)分配接入網(wǎng)絡(luò)標(biāo)識(shí)并發(fā)送給UAAF13。
如圖9所示���,為本發(fā)明實(shí)施例客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖之 二���,包括UAAF23,用于生成客戶(hù)網(wǎng)關(guān)和CNGCF6之間的管理認(rèn)證憑證���;CNG21�, 用于接收管理認(rèn)證憑證�����,并根據(jù)該管理認(rèn)證憑證進(jìn)行管理認(rèn)證�����;CNGCFM,用 于接收所述管理認(rèn)證憑證�,并根據(jù)該管理認(rèn)證憑證進(jìn)行管理認(rèn)證;AMF22����,用 于向UAAF23轉(zhuǎn)發(fā)客戶(hù)網(wǎng)關(guān)的位置信息;CLF24,用于向UAAF23轉(zhuǎn)發(fā)NACF25 給客戶(hù)網(wǎng)關(guān)分配的接入網(wǎng)絡(luò)標(biāo)識(shí)�。
如圖IO所示����,為本發(fā)明實(shí)施例客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖之
三���,包括UAAF33,用于生成客戶(hù)網(wǎng)關(guān)和CNGCF36之間的管理認(rèn)證憑證�����;CNG31, 用于接收管理認(rèn)證憑證�,并根據(jù)該管理認(rèn)證憑證進(jìn)行管理認(rèn)證�;CNGCF36,用 于接收所述管理認(rèn)證憑證,并根據(jù)該認(rèn)證憑進(jìn)行認(rèn)證���;AMF32,用于向UAAF33 轉(zhuǎn)發(fā)客戶(hù)網(wǎng)關(guān)的位置信息����;CLF34,用于將UAAF33生成的所述管理認(rèn)證憑證 轉(zhuǎn)發(fā)給所述CNGCF36; CLF34,用于將UAAF3生成的所述管理認(rèn)證憑證轉(zhuǎn)發(fā)給 所述CNGCF36����。
因此本發(fā)明實(shí)施例客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)能夠自動(dòng)實(shí)現(xiàn)管理認(rèn)證憑證 的生成�����、分發(fā)和修改,從根本上解決CNG和CNGCF之間認(rèn)證實(shí)施的問(wèn)題��,因 此能夠極大的降低運(yùn)營(yíng)商發(fā)放大規(guī)模CNG的運(yùn)營(yíng)維護(hù)成本和提高運(yùn)營(yíng)效率����。
前述的兩種客戶(hù)網(wǎng)關(guān)和客戶(hù)網(wǎng)關(guān)配置功能的認(rèn)證方法的基本的前提是 CNG-CNGCF之間的管理認(rèn)證與CNG的接入認(rèn)證相互獨(dú)立。這意味著在CNG網(wǎng) 絡(luò)附著過(guò)程的接入認(rèn)證用戶(hù)/密鑰與CNG和CNGCF之間的認(rèn)證用戶(hù)名/密碼是 相互獨(dú)立的����。而下述實(shí)施例CNG-CNGCF之間的認(rèn)證采用CNG的接入認(rèn)證用戶(hù) 名/密碼。本發(fā)明實(shí)施例另一客戶(hù)網(wǎng)關(guān)和客戶(hù)網(wǎng)關(guān)配置功能的認(rèn)證方法����,包括
步驟1 ,用戶(hù)接入授權(quán)模塊對(duì)客戶(hù)網(wǎng)關(guān)進(jìn)行接入認(rèn)證���,所述客戶(hù)網(wǎng)關(guān)生成 第一次生密鑰(Pre-Shared Key, PSK)�����,所述接入授權(quán)模塊生成第二次生密 鑰���;
步驟2,所述客戶(hù)網(wǎng)關(guān)對(duì)接收到的客戶(hù)網(wǎng)關(guān)配置功能發(fā)送的報(bào)文根據(jù)第一 次生密鑰和第二次生密鑰進(jìn)行認(rèn)證;
步驟3��,所述客戶(hù)網(wǎng)關(guān)配置功能對(duì)接收到的客戶(hù)網(wǎng)關(guān)發(fā)送的報(bào)文根據(jù)第一 次生密鑰和第二次生密鑰進(jìn)行認(rèn)證���。
如圖ll所示���,為本發(fā)明實(shí)施例另一客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法的流程圖之 一,具體步驟如下
步驟801 �, CNG向UAAF發(fā)送接入認(rèn)證請(qǐng)求;
步驟802�����,在接入認(rèn)證過(guò)程的安全聯(lián)盟協(xié)商階段���,可能包括多個(gè)協(xié)商過(guò)程��, Challenge (Session ID����,任意字串S,…)
步驟803�, CNG根據(jù)自身保存的用戶(hù)ID和原始接入認(rèn)證密鑰以及從所述 協(xié)商過(guò)程得到的任意字串S�、認(rèn)證會(huì)話Session ID計(jì)算得到第一 PSK,并發(fā) 送給UAAF;
計(jì)算方法可以使用哈希算法,第一 PSK=HASH (Session ID,任意字串S���, 用戶(hù)ID����,密鑰)�����;
步驟804, UAAF塊根據(jù)自身保存的用戶(hù)ID和原始接入認(rèn)證密鑰以及從所 述協(xié)商過(guò)程得到的任意字串S���、認(rèn)證會(huì)話Session ID計(jì)算得到第二PSK;
計(jì)算方法使用相同的哈希算法����,第二PSK-HASH (Session ID���,任意字串S, 用戶(hù)ID,密鑰)��;
步驟805, UAAF才艮據(jù)所述第二 PSK和第一 PSK進(jìn)行接入認(rèn)證�,如果相同 則認(rèn)證成功�����,否則認(rèn)證失敗���;
步驟806��, UAAF將第二 PSK和第二 PSK與CNG的關(guān)聯(lián)關(guān)系發(fā)送給CNGCF;
步驟807�, CNGCF根據(jù)接收到的CNG發(fā)送的報(bào)文中的第一次生密鑰和自己 保存的第二次生密鑰進(jìn)行認(rèn)證��;CNG關(guān)根據(jù)接收到的CNGCF發(fā)送的報(bào)文中的第 二次生密鑰和自己保存的第一次生密鑰進(jìn)行認(rèn)證���。
相同的用戶(hù)ID/密鑰�����,并且利用接入認(rèn)證過(guò)程產(chǎn)生的第一PSK和第二PSK,簡(jiǎn) 化了 CNG管理認(rèn)證的安全聯(lián)盟協(xié)商過(guò)程���,在保證安全的情況下提高了認(rèn)證效 率,因此能夠降低運(yùn)營(yíng)商發(fā)放大規(guī)模CNG的運(yùn)營(yíng)維護(hù)成本和提高運(yùn)營(yíng)效率��。
如圖13所示�,為本發(fā)明實(shí)施例另一客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)的結(jié)構(gòu)示意 圖之一,包括CNG41,用于發(fā)送接入認(rèn)證信息�,發(fā)送和接收管理認(rèn)證信息,以 及生成第一次生密鑰����;CNGCF46,用于接收和發(fā)送所述管理認(rèn)證信息���;MAF"�, 用于接收所述接入認(rèn)證信息��,和生成第二次生密鑰�,并將第二次生密鑰發(fā)送 給CNGCF46, CNGCF46根據(jù)第一次生密鑰和第二次生密鑰對(duì)接收到的CNG41的
報(bào)文做認(rèn)證,CNG41根據(jù)第一次生密鑰和第二次生密鑰對(duì)接收到的CNGCF46的 報(bào)文做認(rèn)證����。還包括AMF4 2,用于CNG41和UAAF4 3之間的接入認(rèn)證信息的轉(zhuǎn) 發(fā);NACF45,用于給CNG41分配接入網(wǎng)絡(luò)標(biāo)識(shí)并發(fā)送給UAAF43����, UAAF43塊才艮 據(jù)網(wǎng)絡(luò)接入配置模塊發(fā)送的客戶(hù)網(wǎng)關(guān)和接入網(wǎng)絡(luò)標(biāo)識(shí)信息,查找客戶(hù)網(wǎng)關(guān)對(duì) 應(yīng)的客戶(hù)網(wǎng)關(guān)配置功能信息�,并轉(zhuǎn)發(fā)第二次生密鑰給查找到的CNGCF46。管理 認(rèn)證過(guò)程不涉及到AMF�����。
如圖14所示�����,為本發(fā)明實(shí)施例另一客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)的結(jié)構(gòu)示意 圖之二,包括CNG51�,用于發(fā)送接入認(rèn)證信息,發(fā)送和接收管理認(rèn)證信息�����,以 及生成第一次生密鑰�����;CNGCF56����,用于接收和發(fā)送所述管理認(rèn)證信息;UAAF53, 用于接收所述接入認(rèn)證信息�,和生成第二次生密鑰,并將第二次生密鑰發(fā)送 給CLF54; CLF54,用于轉(zhuǎn)發(fā)所述第二次生密鑰給CNGCF56; CNGCF56根據(jù)第一 次生密鑰和第二次生密鑰對(duì)接收到的CNG51的報(bào)文做認(rèn)證�����,CNG51根據(jù)第一次 生密鑰和第二次生密鑰對(duì)接收到的CNGCF56的報(bào)文做認(rèn)證�����。還包括AMF52,用 于CNG51和UAAF53之間的接入認(rèn)證信息的轉(zhuǎn)發(fā)�。
因此本發(fā)明實(shí)施例客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)能夠自動(dòng)實(shí)現(xiàn)管理認(rèn)證憑證 的生成、分發(fā)和修改�����,從根本上解決CNG和CNGCF之間認(rèn)證實(shí)施的問(wèn)題�,因 此能夠極大的降低運(yùn)營(yíng)商發(fā)放大規(guī)模CNG的運(yùn)營(yíng)維護(hù)成本和提高運(yùn)營(yíng)效率��。
最后所應(yīng)說(shuō)明的是��,以上實(shí)施例僅用以說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案而 非限制��,盡管參照較佳實(shí)施例對(duì)本發(fā)明實(shí)施例進(jìn)行了詳細(xì)說(shuō)明����,本領(lǐng)域的普 通技術(shù)人員應(yīng)當(dāng)理解,可以對(duì)本發(fā)明實(shí)施例的技術(shù)方案進(jìn)行修改或者等同替 換�,而不脫離本發(fā)明實(shí)施例技術(shù)方案的精神和范圍。
權(quán)利要求
1��、一種客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法�,其特征在于包括用戶(hù)接入授權(quán)模塊對(duì)客戶(hù)網(wǎng)關(guān)進(jìn)行接入認(rèn)證;用戶(hù)接入授權(quán)模塊生成客戶(hù)網(wǎng)關(guān)和客戶(hù)網(wǎng)關(guān)配置功能之間的管理認(rèn)證憑證�����;用戶(hù)接入授權(quán)模塊將生成的管理認(rèn)證憑證發(fā)送給客戶(hù)網(wǎng)關(guān)配置功能和客戶(hù)網(wǎng)關(guān);并建立客戶(hù)網(wǎng)關(guān)和所述管理認(rèn)證憑證的管理關(guān)系����;在雙向交互中客戶(hù)網(wǎng)關(guān)和客戶(hù)網(wǎng)關(guān)配置功能采用保存的管理認(rèn)證憑證進(jìn)行管理認(rèn)證。
2���、 根據(jù)權(quán)利要求1所述的客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法���,其特征在于所述用 戶(hù)接入授權(quán)模塊生成客戶(hù)網(wǎng)關(guān)和客戶(hù)網(wǎng)關(guān)配置功能之間的管理認(rèn)證憑證具體 為初次上線時(shí)用戶(hù)接入授權(quán)模塊根據(jù)本地策略判斷是否需要產(chǎn)生客戶(hù)網(wǎng)關(guān) 和客戶(hù)網(wǎng)關(guān)配置功能之間的管理認(rèn)證憑證,如果需要?jiǎng)t利用用戶(hù)原始接入認(rèn) 證密鑰信息或者運(yùn)營(yíng)商配置的種子密鑰產(chǎn)生客戶(hù)網(wǎng)關(guān)和客戶(hù)網(wǎng)關(guān)配置功能之 間的管理i人i正憑i正���。
3�����、 根據(jù)權(quán)利要求1所述的客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法�����,其特征在于所述用 戶(hù)接入授權(quán)模塊根據(jù)所述客戶(hù)網(wǎng)關(guān)接入認(rèn)證時(shí)���,接入管理功能模塊在認(rèn)證信 息中攜帶的客戶(hù)網(wǎng)關(guān)位置信息建立所述客戶(hù)網(wǎng)關(guān)與所歸屬的客戶(hù)網(wǎng)關(guān)配置功 能的關(guān)聯(lián)關(guān)系��。
4���、 根據(jù)權(quán)利要求1所述的客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法,其特征在于所述用 戶(hù)接入授權(quán)模塊根據(jù)客戶(hù)網(wǎng)關(guān)接入認(rèn)證時(shí)����,網(wǎng)絡(luò)接入配置模塊給客戶(hù)網(wǎng)關(guān)分 配的接入網(wǎng)絡(luò)標(biāo)識(shí),或者根據(jù)由連接會(huì)話定位和存儲(chǔ)^^莫塊轉(zhuǎn)發(fā)的網(wǎng)絡(luò)接入配 置模塊給客戶(hù)網(wǎng)關(guān)分配的接入網(wǎng)絡(luò)標(biāo)識(shí)建立客戶(hù)網(wǎng)關(guān)與所歸屬的客戶(hù)網(wǎng)關(guān)配 置功能的關(guān)聯(lián)關(guān)系��。
5�����、 根據(jù)權(quán)利要求1所述的客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法��,其特征在于所述用 戶(hù)接入授權(quán)模塊將生成的管理認(rèn)證憑證發(fā)送給客戶(hù)網(wǎng)關(guān)配置功能具體為�����,所 述用戶(hù)接入授權(quán)模塊通過(guò)連接會(huì)話定位和存儲(chǔ)模塊將生成的管理認(rèn)證憑證發(fā) 送給客戶(hù)網(wǎng)關(guān)配置功能����。
6�����、 根據(jù)權(quán)利要求5所述的客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法,其特征在于所述連 接會(huì)話定位和存儲(chǔ)模塊根據(jù)所述客戶(hù)網(wǎng)關(guān)位置信息查找所述客戶(hù)網(wǎng)關(guān)所歸屬 的客戶(hù)網(wǎng)關(guān)配置功能��。
7�����、 根據(jù)權(quán)利要求5所述的客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法�,其特征在于所述連 接會(huì)話定位和存儲(chǔ)模塊根據(jù)所述接入網(wǎng)絡(luò)標(biāo)識(shí)查找用戶(hù)終端所歸屬的客戶(hù)網(wǎng) 關(guān)配置功能。
8�、 根據(jù)權(quán)利要求1至7任一權(quán)利要求所述的客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法, 其特征在于所述用戶(hù)接入授權(quán)模塊將生成的管理認(rèn)證憑證發(fā)送給客戶(hù)網(wǎng)關(guān)具 體為���,所述用戶(hù)接入授權(quán)模塊通過(guò)接入管理功能模塊將生成的管理認(rèn)證憑證 發(fā)送給客戶(hù)網(wǎng)關(guān)�。
9����、 一種客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法,其特征在于包括用戶(hù)接入授權(quán)模塊對(duì)客戶(hù)網(wǎng)關(guān)進(jìn)行接入認(rèn)證���,所述客戶(hù)網(wǎng)關(guān)生成第 一次 生密鑰��,所述接入授權(quán)模塊生成第二次生密鑰�����;所述客戶(hù)網(wǎng)關(guān)對(duì)接收到的客戶(hù)網(wǎng)關(guān)配置功能發(fā)送的報(bào)文根據(jù)第一次生密 鑰和第二次生密鑰進(jìn)行認(rèn)證��;所述客戶(hù)網(wǎng)關(guān)配置功能對(duì)接收到的客戶(hù)網(wǎng)關(guān)發(fā)送的報(bào)文根據(jù)第一次生密 鑰和第二次生密鑰進(jìn)行認(rèn)證�����。
10���、 根據(jù)權(quán)利要求9所述的客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法��,其特征在于所述 將第一次生密鑰和第二次生密鑰進(jìn)行認(rèn)證具體為所述客戶(hù)網(wǎng)關(guān)配置功能根據(jù)接收到的客戶(hù)網(wǎng)關(guān)發(fā)送的報(bào)文中的第一次生 密鑰和自己保存的第二次生密鑰進(jìn)行認(rèn)證����;所述客戶(hù)網(wǎng)關(guān)根據(jù)接收到的客戶(hù) 網(wǎng)關(guān)配置功能發(fā)送的報(bào)文中的第二次生密鑰和自己保存的第一次生密鑰進(jìn)行 認(rèn)證�����。
11���、 根據(jù)權(quán)利要求9或10所述的客戶(hù)網(wǎng)關(guān)的管理認(rèn)證方法,其特征在于 所述用戶(hù)接入授權(quán)模塊生成第二次生密鑰后,將第二次生密鑰和第二次生密 鑰與客戶(hù)網(wǎng)關(guān)的關(guān)聯(lián)關(guān)系發(fā)送給客戶(hù)網(wǎng)關(guān)配置功能��。
12�����、 一種客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)���,其特征在于包括 用戶(hù)接入授權(quán)模塊��,用于對(duì)客戶(hù)網(wǎng)關(guān)進(jìn)行接入認(rèn)證���,以及生成客戶(hù)網(wǎng)關(guān)和客戶(hù)網(wǎng)關(guān)配置功能之間的管理認(rèn)證憑證并發(fā)送;客戶(hù)網(wǎng)關(guān)�����,用于接收所述管理認(rèn)證憑證����,和建立與所述管理認(rèn)證憑證的 管理關(guān)系;客戶(hù)網(wǎng)關(guān)配置功能��,用于接收所述管理認(rèn)證憑證�;所述客戶(hù)網(wǎng)關(guān)根據(jù)該 管理認(rèn)證憑證對(duì)客戶(hù)網(wǎng)關(guān)配置功能進(jìn)行認(rèn)證����,所述客戶(hù)網(wǎng)關(guān)配置功能根據(jù)該 管理認(rèn)證憑證對(duì)所述客戶(hù)網(wǎng)關(guān)進(jìn)行認(rèn)證�����。
13�、 根據(jù)權(quán)利要求12所述的客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng),其特征在于還包 括接入管理功能模塊����,用于所述客戶(hù)網(wǎng)關(guān)和用戶(hù)接入授權(quán)模塊之間的信息 轉(zhuǎn)發(fā)。
14���、 根據(jù)權(quán)利要求12或13所述的客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)��,其特征在 于還包括網(wǎng)絡(luò)接入配置模塊�,用于給客戶(hù)網(wǎng)關(guān)分配接入網(wǎng)絡(luò)標(biāo)識(shí)并發(fā)送給 用戶(hù)接入授權(quán)模塊����,和\或連接會(huì)話定位和存儲(chǔ)模塊��,用于將網(wǎng)絡(luò)接入配置模 塊給客戶(hù)網(wǎng)關(guān)分配的接入網(wǎng)絡(luò)標(biāo)識(shí)轉(zhuǎn)發(fā)給用戶(hù)接入授權(quán)模塊�。。
15、 一種客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)���,其特征在于包括客戶(hù)網(wǎng)關(guān)���,用于發(fā)送接入認(rèn)證信息,發(fā)送和接收管理認(rèn)證信息����,以及生 成第一次生密鑰;客戶(hù)網(wǎng)關(guān)配置功能���,用于接收和發(fā)送所述管理認(rèn)證信息����; 用戶(hù)接入授權(quán)模塊�,用于接收所述接入認(rèn)證信息,和生成第二次生密鑰����, 并將第二次生密鑰發(fā)送給客戶(hù)網(wǎng)關(guān)配置功能;所述客戶(hù)網(wǎng)關(guān)配置功能根據(jù)第 一次生密鑰和第二次生密鑰對(duì)接收到的客戶(hù)網(wǎng)關(guān)的報(bào)文做認(rèn)證�,所述客戶(hù)網(wǎng) 關(guān)根據(jù)第 一 次生密鑰和第二次生密鑰對(duì)接收到的客戶(hù)網(wǎng)關(guān)配置功能的報(bào)文做 認(rèn)證。
16����、 根據(jù)權(quán)利要求15所述的客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)����,其特征在于還包 括接入管理功能模塊��,用于所述客戶(hù)網(wǎng)關(guān)和用戶(hù)接入授權(quán)模塊之間的接入 認(rèn)證信息的轉(zhuǎn)發(fā)�����。
17���、 根據(jù)權(quán)利要求15或16所述的客戶(hù)網(wǎng)關(guān)的管理認(rèn)證系統(tǒng)�����,其特征在 于還包括網(wǎng)絡(luò)接入配置模塊�����,用于給客戶(hù)網(wǎng)關(guān)分配接入網(wǎng)絡(luò)標(biāo)識(shí)并發(fā)送給 用戶(hù)接入授權(quán)模塊���;和\或連接會(huì)話定位和存儲(chǔ)模塊,用于接收所述第二次生 密鑰�����。
全文摘要
本發(fā)明實(shí)施例涉及一種CNG的管理認(rèn)證方法���,UAAF對(duì)CNG進(jìn)行接入認(rèn)證�����;UAAF生成CNG和CNGCF之間的管理認(rèn)證憑證并發(fā)送給CNGCF和CNG��;采用保存的管理認(rèn)證憑證進(jìn)行認(rèn)證�。本發(fā)明實(shí)施例還涉及一種CNG和CNGCF的管理認(rèn)證方法�����,UAAF對(duì)CNG進(jìn)行接入認(rèn)證���,生成第一PSK和第二PSK����;CNG向CNGCF發(fā)送包含第一PSK的管理認(rèn)證請(qǐng)求�;根據(jù)第一PSK和第二PSK進(jìn)行管理認(rèn)證。本發(fā)明實(shí)施例還涉及CNG和CNGCF的管理認(rèn)證系統(tǒng)��。因此本發(fā)明實(shí)施例能夠自動(dòng)實(shí)現(xiàn)認(rèn)證憑證的生成、分發(fā)和修改�,降低運(yùn)營(yíng)商的運(yùn)營(yíng)成本和提高運(yùn)營(yíng)效率。
文檔編號(hào)H04L12/66GK101345723SQ20071012958
公開(kāi)日2009年1月14日 申請(qǐng)日期2007年7月11日 優(yōu)先權(quán)日2007年7月11日
發(fā)明者宮小玉, 李洪廣 申請(qǐng)人:華為技術(shù)有限公司