專利名稱:認(rèn)證方法和架構(gòu)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及認(rèn)證方法和架構(gòu)�����,尤其涉及無線通信網(wǎng)絡(luò)(諸如超寬帶通信網(wǎng)絡(luò))中 對等(peer-to-peer)分布認(rèn)證架構(gòu)和方法�����。
背景技術(shù):
超寬帶(ultra-wideband)是在非常寬的頻率范圍(3. 1至10. 6GHz)內(nèi)傳輸數(shù)字 數(shù)據(jù)的無線電技術(shù)����。通過在大帶寬上散布RF能量�,所傳輸?shù)男盘枌嶋H上不能被傳統(tǒng)的頻率 選擇性RF技術(shù)檢測到。然而��,低傳輸功率將通信距離限制為通常小于10米至15米�����。對于UWB存在兩種方法時域方法,其根據(jù)具有UWB性能的脈沖波形構(gòu)建信號���; 以及頻域調(diào)制方法���,在多(頻)帶上使用傳統(tǒng)的基于FFT的正交頻分復(fù)用(OFDM),稱為 MB-0FDM�����。這兩種UWB方法導(dǎo)致覆蓋頻譜內(nèi)的非常寬帶寬的頻譜成分�����,因此稱為術(shù)語超寬 帶�����,從而帶寬占用百分之二十以上的中心頻率���,通常為至少500MHz�。超寬帶的這些性能(與非常寬帶寬結(jié)合)意味著UWB是用于在家庭或辦公室環(huán)境 中提供高速無線通信的理想技術(shù)�����,從而正在通信的設(shè)備在另一設(shè)備的IOm至15m的范圍內(nèi)。圖1示出了用于超寬帶通信的多帶正交頻分復(fù)用(MB-OFDM)系統(tǒng)中的頻帶布置�。 MB-OFDM系統(tǒng)包括每個均為528MHz的14個子帶�����,并且在子帶之間使用每312. 5ns的跳頻作 為接入方法。在每個子帶內(nèi)�,采用OFDM和QPSK或DCM編碼來傳輸數(shù)據(jù)����。注意,5GHz周圍的 子帶(目前為5. 1-5. 8GHz)被保留為空值�,以避免與現(xiàn)有窄帶系統(tǒng)(例如�,802. IlaWLAN系 統(tǒng)�����,安全局通信系統(tǒng)或航空工業(yè))的干擾。14個子帶被組織成五個帶組�����,四個帶組具有三個528MHz的子帶,一個帶組具有兩 個528MHz的子帶。如圖1所示����,第一帶組包括子帶1�����、子帶2和子帶3��。典型UWB系統(tǒng)將在 帶組的子帶之間采用跳頻���,使得第一數(shù)據(jù)符號在帶組的第一頻率子帶內(nèi)的第一個312. 5ns 持續(xù)時間間隔內(nèi)被傳輸�����,第二數(shù)據(jù)符號在帶組的第二頻率子帶內(nèi)的第二個312. 5ns持續(xù)時 間間隔內(nèi)被傳輸����,以及第三數(shù)據(jù)符號在帶組的第三頻率子帶內(nèi)的第三個312. 5ns持續(xù)時間 內(nèi)被傳輸��。從而��,在每個時間間隔內(nèi),數(shù)據(jù)符號在具有528MHz帶寬的各自子帶內(nèi)被傳輸�����,例 如,具有以3960MHz為中心的528MHz基帶信號的子帶2����。發(fā)送每個數(shù)據(jù)符號的三個頻率序列表示時頻碼(TFC)信道。第一 TFC信道可以遵 循序列1��、2����、3、1�����、2���、3����,其中���,1為第一子帶��,2為第二子帶��,以及3為第三子帶�����。第二和第三 TFC信道可以分別遵循序列1、3���、2、1��、3��、2和1、1����、2����、2�����、3、3�。根據(jù)ECMA-368規(guī)格����,七個TFC 信道被限定用于前四個帶組中的每一個���,兩個TFC信道被限定用于第五個帶組。超帶寬的技術(shù)性能意味著其被部署用于數(shù)據(jù)通信領(lǐng)域內(nèi)的應(yīng)用����。例如,存在集中 于以下環(huán)境中的電纜替換的多種應(yīng)用-PC和外圍設(shè)備之間的通信����,S卩,諸如硬盤驅(qū)動器、⑶刻錄器�����、打印機�、掃描儀等的 外圍設(shè)備。-家庭娛樂��,諸如電視和通過無線裝置����、無線揚聲器等連接的設(shè)備�。-手持設(shè)備和PC之間的通信,例如移動電話和PDA�����、數(shù)字相機和MP3播放器等�����。
在諸如UWB網(wǎng)絡(luò)的無線網(wǎng)絡(luò)中�����,一個或多個設(shè)備在信標(biāo)(beacon)周期期間傳輸信 標(biāo)幀。信標(biāo)幀的主要目的在于提供關(guān)于媒質(zhì)的定時結(jié)構(gòu)���,即�����,將時間劃分為所謂的超幀��,并 且允許網(wǎng)絡(luò)設(shè)備與它們的相鄰設(shè)備同步�����。UffB系統(tǒng)的基本定時結(jié)構(gòu)為如圖2所示的超幀�。根據(jù)歐洲計算機制造商協(xié)會標(biāo)準(zhǔn) (ECMA)的超幀(ECMA-3682nd版本)由256個媒質(zhì)接入時隙(MAS)構(gòu)成�����,其中���,每個MAS都 具有限定的持續(xù)時間(例如256 μ S)�。每個超幀都以信標(biāo)周期開始��,其持續(xù)一個或多個連續(xù) MAS��。形成信標(biāo)周期的每個MAS都包括三個信標(biāo)時隙,設(shè)備在信標(biāo)時隙內(nèi)傳輸它們各自的信 標(biāo)幀����。信標(biāo)周期中的第一 MAS的開始已知為信標(biāo)周期開始時間(BPST)。用于特定設(shè)備的信 標(biāo)組被限定為具有與特定設(shè)備共享的信標(biāo)周期開始時間(士 IP s)的設(shè)備組���,并且其在特 定設(shè)備的傳輸范圍內(nèi)���。諸如上述UWB系統(tǒng)的無線系統(tǒng)越來越多地用在自組(ad-hoc,或稱為多跳)對等配 置中���。這意味著網(wǎng)絡(luò)將在不進(jìn)行中心控制或組織的情況下存在,每個設(shè)備都潛在地與范圍 內(nèi)的所有其他設(shè)備進(jìn)行通信��。這種方法具有多種優(yōu)點�,諸如自發(fā)和靈活的交互。然而�,這種 靈活配置還帶來了需要解決的其他問題。例如�,由于沒有監(jiān)管權(quán)限,所以網(wǎng)絡(luò)中的各個設(shè)備或用戶必須實現(xiàn)由這種權(quán)限另 外所保持的角色���。對于許多任務(wù)�����,這可以通過每個設(shè)備獨立實現(xiàn)���,但是一些任務(wù)不能以這種 方式進(jìn)行�。尤其需要注意的是��,傳統(tǒng)的集中認(rèn)證架構(gòu)不能在自組網(wǎng)絡(luò)中起作用��。這是因為 沒有對等體(peer)可以被信任用作中央安全服務(wù)器����。
認(rèn)證是提供并驗證設(shè)備或用戶的“身份”的處理,并且被要求反擊假冒攻擊���。圖3 示出了用于在具有多個獨立設(shè)備或用戶4(標(biāo)為A至C)的網(wǎng)絡(luò)2中提供認(rèn)證的傳統(tǒng)方法�。 根據(jù)該傳統(tǒng)方法的認(rèn)證通過在中央認(rèn)證服務(wù)器“D”(例如����,諸如Apache的網(wǎng)絡(luò)服務(wù)器應(yīng)用 程序或者UNIX上的登錄服務(wù)器)的存儲器5中存儲身份列表(例如,用戶名或密碼)以及 還被每個身份的擁有者持有的憑證來執(zhí)行����。然后�����,期望向另一用戶“B”證明它們身份的任 何用戶“A”可以將這些憑證提供給認(rèn)證服務(wù)器D��,然后認(rèn)證服務(wù)器D向B通知它們憑證的有 效性��。如果“A”和“B”都信任“D”��,并且D很可能被網(wǎng)絡(luò)的控制器所運行�����,則該方法非常簡 單且是提供認(rèn)證的有效方法���。這些系統(tǒng)要求服務(wù)提供設(shè)備執(zhí)行對每個用戶的認(rèn)證和每個請 求的授權(quán)���。由于自組對等網(wǎng)絡(luò)不具有單個被信任的服務(wù)器(諸如D)���,所以不能夠完成該角 色。此外���,這會需要多個認(rèn)證憑證的列表���,意味著安裝階段必需在使用每個服務(wù)之前完成����。 如此��,預(yù)分享憑證適合于長期使用���,但是在自組情況下沒有用�����。對設(shè)備認(rèn)證的其他解決方案(例如網(wǎng)絡(luò)訪問期間)為共享單個密鑰或密碼(例 如����,IEEE802. 11 的 WPA-PSK��,如 2003 年在標(biāo)題為"Wi-Fi ProtectedAccess =Strong, standards-based, interoperable security for today's Wi-Finetworks����,,的論文中的 Wi-Fi聯(lián)盟所描述)���。用在無線網(wǎng)絡(luò)中的常用分布式認(rèn)證協(xié)議架構(gòu)是擴展認(rèn)證協(xié)議(EAP)����,如在Aboba 等人 2004 年 6 月發(fā)表的標(biāo)題為"Extensible AuthenticationProtocol (ΕΑΡ) ”(FRC 3748, IETF網(wǎng)絡(luò)工作組)的論文中所描述的�。這種環(huán)境中“分布式”的意思是指認(rèn)證服務(wù)器可以 在與服務(wù)提供設(shè)備和未認(rèn)證用戶不同的網(wǎng)絡(luò)上。因此����,EAP還被有效集中,并且其主要優(yōu)點 在于一個認(rèn)證服務(wù)器可用于多個位置��。換句話說���,第二種已知的方法類似于上面所述�����,但是要集中認(rèn)證信息��。這具有減少憑證的獨立列表數(shù)量的優(yōu)點,意味著對于每個用戶設(shè)備只需 完成一個安裝階段即可��。然而����,所定義的自組對等網(wǎng)絡(luò)不具有中央被信任的認(rèn)證服務(wù)器�����。因此���,本發(fā)明的目的在于提供可用在自組對等網(wǎng)絡(luò)中的認(rèn)證方法和架構(gòu)。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的第一方面���,提供了一種在通信網(wǎng)絡(luò)中利用第二設(shè)備認(rèn)證第一設(shè)備的 方法��,該方法包括以下步驟在認(rèn)證處理中使用第三設(shè)備���,第三設(shè)備具有對第一和第二設(shè)備 中的每一個的現(xiàn)有安全認(rèn)證。在下面的權(quán)利要求1中限定的認(rèn)證方法通過在整個網(wǎng)絡(luò)中分布權(quán)限而克服了自 組對等網(wǎng)絡(luò)中認(rèn)證的缺點�。以這種方式,對于認(rèn)證處理不再需要單個實體被信任�����。此外��,由 于可從網(wǎng)絡(luò)的設(shè)備或用戶得到更多數(shù)量的信息����,使用本發(fā)明可以實現(xiàn)比傳統(tǒng)方法更加靈活 的認(rèn)證�。
為了更好地理解本發(fā)明以及更加清楚示出如何實現(xiàn)本發(fā)明����,現(xiàn)在僅通過實例對附 圖進(jìn)行描述作為參考,其中圖1示出了用于超寬帶通信的多帶正交頻分復(fù)用(MB-OFDM)系統(tǒng)中的頻帶的布 置�����;圖2示出了 UWB系統(tǒng)中的超幀的基本定時結(jié)構(gòu)��;圖3示出了傳統(tǒng)網(wǎng)絡(luò)�;圖4示出了根據(jù)本發(fā)明的認(rèn)證架構(gòu);圖5示出了在網(wǎng)絡(luò)的服務(wù)提供設(shè)備中執(zhí)行的步驟��;圖6示出了在網(wǎng)絡(luò)的服務(wù)請求設(shè)備中執(zhí)行的步驟����;圖7示出了在網(wǎng)絡(luò)的對等設(shè)備中執(zhí)行的步驟。
具體實施例方式下面���,參照超寬帶無線通信網(wǎng)絡(luò)來描述本發(fā)明���。然而,應(yīng)該理解����,本發(fā)明還可應(yīng)用 于其他通信網(wǎng)絡(luò)。還關(guān)于服務(wù)請求設(shè)備形式的未認(rèn)證設(shè)備以及服務(wù)提供設(shè)備形式的安全或認(rèn)證設(shè) 備來描述本發(fā)明��。然而���,應(yīng)該理解��,本發(fā)明可應(yīng)用于任何形式的設(shè)備�����。圖4示出了用于使未認(rèn)證用戶40 (例如����,服務(wù)請求設(shè)備)被另一設(shè)備42 (例如�,月艮 務(wù)提供設(shè)備)認(rèn)證的協(xié)議架構(gòu)。根據(jù)本發(fā)明�,多級協(xié)議被用于安全地從網(wǎng)絡(luò)內(nèi)的一個或多 個其他設(shè)備41至44n獲得認(rèn)證相關(guān)信息。這使得服務(wù)提供設(shè)備42驗證服務(wù)請求設(shè)備40 的身份����,以確定是否繼續(xù)提供服務(wù)。圖4示出了在普通協(xié)議架構(gòu)中具有5個步驟51至55。以時間先后順序����,它們是 “51-請求”,“52-查詢”�����,“53-響應(yīng)”��,“54-通知”和“55-認(rèn)證”��。這些步驟中的每一步的目 的都將在下文進(jìn)行詳細(xì)描述���。但是����,應(yīng)該注意�����,從該架構(gòu)中生成的協(xié)議不需要嚴(yán)格限制于這 些具體步驟�,對于一些應(yīng)用或者其他應(yīng)用的一些步驟來說,可以要求在這些架構(gòu)步驟之前 或之后的附加消息�����。還應(yīng)該注意,這些消息流不是必須在層2(例如�����,OSI模型中的數(shù)據(jù)鏈路層)中�,并且任何設(shè)備可通過多跳網(wǎng)絡(luò)與另一設(shè)備通信�。當(dāng)未認(rèn)證設(shè)備(諸如服務(wù)請求設(shè)備40)向安全設(shè)備(諸如服務(wù)提供設(shè)備42)發(fā)送 服務(wù)請求(service request,也稱業(yè)務(wù)請求)時����,啟動該協(xié)議。如果服務(wù)請求設(shè)備40未被 認(rèn)證����,則服務(wù)提供設(shè)備42向其一個或多個對等體44至44n發(fā)送查詢消息52。根據(jù)一個實 施例����,服務(wù)提供設(shè)備42向其所有對等體41至44n發(fā)送查詢消息。查詢消息52包含對應(yīng)于 未認(rèn)證設(shè)備40的固有標(biāo)識符���,其被用作地址��。注意����,對等設(shè)備(peer device)44是已經(jīng)被 服務(wù)提供設(shè)備42認(rèn)證的設(shè)備,其具有當(dāng)前憑證或者先前已被服務(wù)提供設(shè)備42認(rèn)證�。任何對等設(shè)備44 (其接收查詢消息52并且具有與未認(rèn)證設(shè)備44的安全聯(lián)系)然 后發(fā)送兩個消息。第一個消息是到服務(wù)提供設(shè)備42的響應(yīng)消息53��。第二個消息是到未認(rèn) 證設(shè)備40的通知消息54��。響應(yīng)消息53和通知消息54都包含認(rèn)證憑證“R”�����。例如�����,認(rèn)證憑 證“R”可以是認(rèn)證密鑰��,或者任何其他形式的認(rèn)證數(shù)據(jù)���。根據(jù)一個實例�,認(rèn)證憑證“R”是隨 機生成的認(rèn)證密鑰��。由于未認(rèn)證設(shè)備40和對等設(shè)備44具有現(xiàn)有的安全聯(lián)系,所以對等設(shè)備44可以發(fā) 送加密格式的通知消息54����,使得只有真正的未認(rèn)證設(shè)備40才能夠讀取器通知消息54。對 認(rèn)證憑證“R”進(jìn)行解密的未認(rèn)證設(shè)備40向服務(wù)提供設(shè)備42發(fā)送認(rèn)證消息55�����。一旦從服務(wù)請求設(shè)備40接收到認(rèn)證消息55����,服務(wù)提供設(shè)備42就將認(rèn)證憑證“R” 與從對等設(shè)備44接收的在響應(yīng)消息53中的認(rèn)證憑證進(jìn)行比較��。如果在認(rèn)證消息55中接 收的認(rèn)證憑證與在響應(yīng)消息53中接收的認(rèn)證憑證相匹配����,則認(rèn)證消息55是有效的,使得可 以提供服務(wù)�。應(yīng)該理解,由于只有真正的服務(wù)請求設(shè)備40可以向服務(wù)提供設(shè)備42發(fā)送認(rèn)證消 息55����,所以這防止了假冒并允許進(jìn)行認(rèn)證。在上述實施例中�,基于從單個對等體44接收的響應(yīng)消息53��,通過服務(wù)提供設(shè)備42 來做出認(rèn)證決定��。根據(jù)本發(fā)明的另一方面�����,認(rèn)證決定可基于從多個對等設(shè)備44(每個均具 有各自的認(rèn)證憑證)接收的多個響應(yīng)消息53�����。在這種情況下���,服務(wù)提供設(shè)備42還從服務(wù)請 求設(shè)備40接收對應(yīng)的多個認(rèn)證憑證。多個認(rèn)證憑證可以相同或不同�����。圖5是描述在例如從未認(rèn)證設(shè)備接收到請求以向未認(rèn)證服務(wù)請求設(shè)備提供服務(wù) 時在安全設(shè)備中執(zhí)行的步驟的流程圖���。在步驟501中接收服務(wù)請求之后�,在步驟503中�����,設(shè) 備確定服務(wù)請求設(shè)備是否已經(jīng)被認(rèn)證。如果服務(wù)請求設(shè)備已經(jīng)被認(rèn)證���,則在步驟515中��,月艮 務(wù)提供設(shè)備提供所請求的服務(wù)�����。然而��,如果在步驟503中確定服務(wù)請求設(shè)備還沒有被認(rèn)證��,則在步驟505中,服務(wù) 提供設(shè)備向其一個或多個對等設(shè)備發(fā)送查詢消息����。然后,在步驟507中���,服務(wù)提供設(shè)備從服 務(wù)請求設(shè)備接收至少一個認(rèn)證憑證以及從對等設(shè)備接收至少一個對應(yīng)的認(rèn)證憑證����。在步驟 509中��,服務(wù)提供設(shè)備確定從服務(wù)請求設(shè)備接收的認(rèn)證憑證是否與從對應(yīng)的對等設(shè)備接收 的認(rèn)證憑證匹配。如果認(rèn)證憑證相匹配�,則在步驟513中,服務(wù)提供設(shè)備對服務(wù)請求設(shè)備進(jìn) 行認(rèn)證����,并且在步驟515中提供所請求的服務(wù)。如果從服務(wù)請求設(shè)備接收的認(rèn)證憑證與從對等設(shè)備接收的認(rèn)證憑證不匹配���,則在 步驟511中���,拒絕服務(wù)請求設(shè)備的認(rèn)證。從以上內(nèi)容應(yīng)該想到���,從另一設(shè)備接收用于認(rèn)證的請求的設(shè)備向其一個或多個對 等體查詢關(guān)于未認(rèn)證設(shè)備的信息���。那些對等體中的一些響應(yīng)于服務(wù)提供設(shè)備和未認(rèn)證設(shè)備,并且未認(rèn)證設(shè)備接觸服務(wù)提供設(shè)備以表明其身份���。如上所述�,認(rèn)證步驟509可被配置為基于僅從一個對等設(shè)備接收的認(rèn)證憑證或者從多個對等設(shè)備接收的多個認(rèn)證憑證來進(jìn)行�。因此,根據(jù)后一種情況,在允許認(rèn)證之前�����,未 認(rèn)證設(shè)備必須具有與服務(wù)提供設(shè)備的兩個或更多對等設(shè)備的現(xiàn)有安全認(rèn)證�。圖6是描述在未認(rèn)證設(shè)備試圖被安全設(shè)備認(rèn)證時在其中執(zhí)行的步驟的流程圖。在 步驟601中�,未認(rèn)證設(shè)備向服務(wù)提供設(shè)備發(fā)送對服務(wù)的請求。接下來�,在步驟603中,未認(rèn)證設(shè)備從獨立的對等設(shè)備接收認(rèn)證憑證���。在步驟607 中向服務(wù)提供設(shè)備發(fā)送認(rèn)證憑證之前�����,如果所接收的認(rèn)證憑證是加密格式�,則在步驟605 中����,未認(rèn)證設(shè)備對認(rèn)證憑證進(jìn)行解密�。服務(wù)提供設(shè)備將從對等設(shè)備接收其認(rèn)證憑證的自身 版本,假設(shè)認(rèn)證憑證匹配���,則在步驟609中��,未認(rèn)證設(shè)備被認(rèn)證并接收來自服務(wù)提供設(shè)備的 服務(wù)�����。圖7是描述當(dāng)參與服務(wù)提供設(shè)備與服務(wù)請求設(shè)備(其未被服務(wù)提供設(shè)備認(rèn)證)之 間的認(rèn)證處理時在對等設(shè)備中執(zhí)行的步驟的流程圖���。在步驟701中��,對等設(shè)備從服務(wù)提供 設(shè)備接收查詢���,查詢包含未認(rèn)證服務(wù)請求設(shè)備的地址。在步驟703中���,對等設(shè)備確定未認(rèn)證服務(wù)請求設(shè)備是否被對等設(shè)備認(rèn)證���。優(yōu)選地, 這涉及確定未認(rèn)證服務(wù)請求設(shè)備當(dāng)前是否被對等設(shè)備認(rèn)證����。作為可選實施例,確定服務(wù)請 求設(shè)備當(dāng)前是否被對等設(shè)備認(rèn)證��,步驟703可涉及確定服務(wù)請求設(shè)備是否先前可能在預(yù)定 時間段內(nèi)被對等設(shè)備認(rèn)證。如果對等設(shè)備認(rèn)證了服務(wù)請求設(shè)備���,則在步驟705中���,對等設(shè)備向服務(wù)請求設(shè)備 和服務(wù)提供設(shè)備發(fā)送認(rèn)證憑證。根據(jù)一個實施例�,對等設(shè)備對發(fā)送給未認(rèn)證設(shè)備的認(rèn)證憑 證進(jìn)行加密?�;谠趯Φ仍O(shè)備和未認(rèn)證設(shè)備之間建立的認(rèn)證來執(zhí)行加密����。如果在步驟703中確定對等設(shè)備沒有對服務(wù)請求設(shè)備進(jìn)行安全認(rèn)證,則在步驟 707中�����,不發(fā)送響應(yīng)����?����?蛇x地,對等設(shè)備可被配置為僅向服務(wù)提供設(shè)備發(fā)送響應(yīng)��,表明對等設(shè) 備沒有對服務(wù)請求設(shè)備進(jìn)行認(rèn)證�����。上述本發(fā)明通過在整個網(wǎng)絡(luò)中分布權(quán)限而解決了自組網(wǎng)絡(luò)中的認(rèn)證問題����。以這種 方式,對于認(rèn)證處理不再需要單個實體被信任���。此外�����,由于可從網(wǎng)絡(luò)的設(shè)備或用戶得到更多 數(shù)量的信息�,使用本發(fā)明可以實現(xiàn)比傳統(tǒng)方法更加靈活的認(rèn)證�。注意,上述協(xié)議架構(gòu)可以在應(yīng)用層中操作��,并且不要求任何較低層的擴展或修改���。本發(fā)明具有不要求任何中央認(rèn)證服務(wù)器的優(yōu)點�����,從而簡化了網(wǎng)絡(luò)配置��。相反���,可從 網(wǎng)絡(luò)對等體中獲得潛在的認(rèn)證信息�����,同時認(rèn)證協(xié)議確保了不可能存在假冒�。本發(fā)明還具有在請求服務(wù)之后不需要任何直接用戶交互的優(yōu)點����。服務(wù)可以被認(rèn) 證,簡單且順利而無須用戶交互�。本發(fā)明使得服務(wù)提供設(shè)備在需要時從自組網(wǎng)絡(luò)獲得認(rèn)證信息。這不需要安裝階 段�,不要求中央信任服務(wù)器,并且不需要集合憑證的長期中央列表�。
權(quán)利要求
一種在通信網(wǎng)絡(luò)中利用第二設(shè)備認(rèn)證第一設(shè)備的方法,所述方法包括以下步驟在認(rèn)證處理中使用第三設(shè)備�����,所述第三設(shè)備具有對所述第一設(shè)備和所述第二設(shè)備中的每一個的安全認(rèn)證��。
2.根據(jù)權(quán)利要求1所述的方法�����,還包括以下步驟響應(yīng)于所述第二設(shè)備從所述第一設(shè)備接收到認(rèn)證請求�,從所述第二設(shè)備向所述第三設(shè) 備發(fā)送查詢消息;以及所述第三設(shè)備提供信息以幫助所述第二設(shè)備確定是否認(rèn)證所述第一設(shè)備����。
3.根據(jù)權(quán)利要求2所述的方法,其中���,所述查詢消息包括所述第一設(shè)備的身份�。
4.根據(jù)權(quán)利要求2或3所述的方法�����,其中�,提供信息的步驟包括以下步驟從所述第三設(shè)備向所述第一設(shè)備和所述第二設(shè)備傳輸認(rèn)證憑證。
5.根據(jù)權(quán)利要求4所述的方法��,還包括以下步驟將在所述第一設(shè)備接收的所述認(rèn)證 憑證傳輸至所述第二設(shè)備����;以及在所述第二設(shè)備處����,將從所述第一設(shè)備接收的認(rèn)證憑證與從所述第三設(shè)備接收的認(rèn)證 憑證進(jìn)行比較�;并且如果來自所述第一設(shè)備的認(rèn)證憑證與來自所述第二設(shè)備的認(rèn)證憑證相匹配,則利用所 述第二設(shè)備來認(rèn)證所述第一設(shè)備�。
6.根據(jù)權(quán)利要求4或5所述的方法,還包括以下步驟將從所述第三設(shè)備發(fā)送至所述第一設(shè)備的認(rèn)證憑證進(jìn)行加密�����;以及在將所述認(rèn)證憑證從所述第一設(shè)備傳輸至所述第二設(shè)備之前����,在所述第一設(shè)備處對所 述認(rèn)證憑證進(jìn)行解密。
7.根據(jù)前述權(quán)利要求中任一項所述的方法���,還包括以下步驟在認(rèn)證處理中使用第四 設(shè)備���,所述第四設(shè)備具有對所述第一設(shè)備和所述第二設(shè)備中的每一個的安全認(rèn)證。
8.根據(jù)權(quán)利要求7所述的方法�,還包括以下步驟將第二認(rèn)證憑證從所述第四設(shè)備傳輸至所述第一設(shè)備和所述第二設(shè)備;將在所述第一設(shè)備處接收的第二認(rèn)證憑證傳輸至所述第二設(shè)備;以及在所述第二設(shè)備處��,將從所述第一設(shè)備接收的所述第二認(rèn)證憑證與從所述第三設(shè)備接 收的所述第二認(rèn)證憑證進(jìn)行比較���,如果認(rèn)證憑證相匹配�����,則利用所述第二設(shè)備認(rèn)證所述第 一設(shè)備。
9.根據(jù)權(quán)利要求4至8中任一項所述的方法�����,還包括以下步驟隨機生成所述認(rèn)證憑證���。
10.根據(jù)權(quán)利要求9所述的方法���,其中,所述認(rèn)證憑證是認(rèn)證密鑰�����。
11.根據(jù)前述權(quán)利要求中任一項所述的方法�����,其中,所述第三設(shè)備和所述第一設(shè)備之間 的安全認(rèn)證基于所述第三設(shè)備和所述第一設(shè)備當(dāng)前正被認(rèn)證���。
12.根據(jù)權(quán)利要求1至10中任一項所述的方法���,其中,所述第三設(shè)備和所述第一設(shè)備之 間的安全認(rèn)證基于所述第三設(shè)備和所述第一設(shè)備先前已經(jīng)被認(rèn)證�����。
13.根據(jù)權(quán)利要求12所述的方法�,其中,所述第三設(shè)備和所述第一設(shè)備先前在預(yù)定時 間段內(nèi)已經(jīng)被認(rèn)證���。
14.一種在服務(wù)提供設(shè)備中執(zhí)行認(rèn)證的方法��,所述方法包括以下步驟從服務(wù)請求設(shè)備接收認(rèn)證請求�;向認(rèn)證了服務(wù)提供設(shè)備的一個或多個對等設(shè)備傳輸查詢消息�����;接收來自對等設(shè)備的認(rèn)證憑證����;從所述服務(wù)請求設(shè)備接收認(rèn)證憑證����;以及如果來自所述對等設(shè)備的認(rèn)證憑證與來自所述服務(wù)請求設(shè)備的認(rèn)證憑證相匹配���,則認(rèn) 證所述服務(wù)請求設(shè)備��。
15.一種在服務(wù)請求設(shè)備中獲得憑證的方法���,所述方法包括以下步驟 向服務(wù)提供設(shè)備傳輸認(rèn)證請求����;從認(rèn)證了所述服務(wù)提供設(shè)備的對等設(shè)備接收認(rèn)證憑證;以及向所述服務(wù)提供設(shè)備傳輸所接收的認(rèn)證憑證��,使得所述服務(wù)提供設(shè)備能夠執(zhí)行認(rèn)證決定����。
16.一種在對等設(shè)備中執(zhí)行認(rèn)證的方法,所述對等設(shè)備用于幫助服務(wù)請求設(shè)備和服務(wù) 提供設(shè)備之間的認(rèn)證��,所述方法包括以下步驟從所述服務(wù)提供設(shè)備接收查詢消息����,其中�,所述服務(wù)提供設(shè)備認(rèn)證了所述對等設(shè)備���,以 及其中���,所述查詢消息包含所述服務(wù)請求設(shè)備的身份;確定所述對等設(shè)備是否認(rèn)證了所述服務(wù)請求設(shè)備����,如果認(rèn)證了 ; 向所述服務(wù)提供設(shè)備傳輸認(rèn)證憑證����;以及 向所述服務(wù)請求設(shè)備傳輸認(rèn)證憑證。
17.根據(jù)權(quán)利要求14�、15或16所述的方法,其中���,所述認(rèn)證憑證是認(rèn)證密鑰����。
18.—種通信網(wǎng)絡(luò)���,被配置為提供在所述通信網(wǎng)絡(luò)中的第一設(shè)備和第二設(shè)備之間的認(rèn) 證�,其中,所述網(wǎng)絡(luò)適用于在認(rèn)證處理中使用第三設(shè)備����,所述第三設(shè)備具有對所述第一設(shè)備 和所述第二設(shè)備中的每一個的安全認(rèn)證。
19.根據(jù)權(quán)利要求18所述的網(wǎng)絡(luò)�,其中,所述網(wǎng)絡(luò)被配置為 將認(rèn)證請求從所述第一設(shè)備傳輸至所述第二設(shè)備��; 將查詢消息從所述第二設(shè)備傳輸至所述第三設(shè)備�;將認(rèn)證憑證從所述第三設(shè)備傳輸至所述第一設(shè)備和所述第二設(shè)備; 將在所述第一設(shè)備處接收的認(rèn)證憑證傳輸至所述第二設(shè)備�;以及 在所述第二設(shè)備處,將從所述第一設(shè)備接收的認(rèn)證憑證與從所述第三設(shè)備接收的認(rèn)證 憑證進(jìn)行比較�����,并且如果來自所述第一設(shè)備的認(rèn)證憑證與來自所述第三設(shè)備的認(rèn)證憑證匹 配���,則利用所述第二設(shè)備認(rèn)證所述第一設(shè)備。
20.根據(jù)權(quán)利要求19所述的網(wǎng)絡(luò)���,其中�,從所述第二設(shè)備傳輸至所述第三設(shè)備的所述 查詢消息包括所述第一設(shè)備的身份。
21.根據(jù)權(quán)利要求19或20所述的網(wǎng)絡(luò)����,其中,從所述第三設(shè)備發(fā)送至所述第一設(shè)備的 認(rèn)證憑證被加密���,并且其中���,在將所述認(rèn)證憑證從所述第一設(shè)備傳輸至所述第二設(shè)備之前, 在所述第一設(shè)備處對所述認(rèn)證憑證進(jìn)行解密����。
22.根據(jù)權(quán)利要求18至21中任一項所述的網(wǎng)絡(luò),其中�����,所述網(wǎng)絡(luò)還用于在所述認(rèn)證處 理中使用第四設(shè)備��,所述第四設(shè)備具有對所述第一設(shè)備和所述第二設(shè)備中的每一個的安全 認(rèn)證��。
23.根據(jù)權(quán)利要求22所述的網(wǎng)絡(luò)�,其中,所述網(wǎng)絡(luò)還適用于將第二認(rèn)證憑證從所述第四設(shè)備傳輸至所述第一設(shè)備和所述第二設(shè)備���;將在所述第一設(shè)備處接收的所述第二認(rèn)證憑證傳輸至所述第二設(shè)備�;以及 在所述第二設(shè)備處,將從所述第一設(shè)備接收的所述第二認(rèn)證憑證與從所述第三設(shè)備接 收的所述第二認(rèn)證憑證進(jìn)行比較���,如果所述第二認(rèn)證憑證相匹配���,則利用所述第二設(shè)備認(rèn) 證所述第一設(shè)備。
24.根據(jù)權(quán)利要求19至23中任一項所述的網(wǎng)絡(luò)����,其中,所述認(rèn)證憑證是隨機生成的�����。
25.根據(jù)權(quán)利要求24所述的網(wǎng)絡(luò)����,其中�����,所述認(rèn)證憑證是認(rèn)證密鑰�。
26.一種用于對未認(rèn)證設(shè)備進(jìn)行認(rèn)證的設(shè)備��,所述設(shè)備包括收發(fā)信機���,所述收發(fā)信機適 用于從所述未認(rèn)證設(shè)備接收認(rèn)證請求;將查詢消息傳輸至當(dāng)前利用所述設(shè)備認(rèn)證的一個或多個對等設(shè)備�; 接收來自對等設(shè)備的認(rèn)證憑證; 接收來自所述未認(rèn)證設(shè)備的認(rèn)證憑證�;以及如果從所述未認(rèn)證設(shè)備接收的認(rèn)證憑證與從所述對等設(shè)備接收的認(rèn)證憑證相匹配,則 認(rèn)證所述未認(rèn)證設(shè)備�。
27.一種設(shè)備,包括用于向第二設(shè)備傳輸認(rèn)證請求的裝置�;用于接收來自當(dāng)前所述第二設(shè)備認(rèn)證的一個或多個對等設(shè)備的認(rèn)證憑證的裝置;以及 用于將所接收的認(rèn)證憑證傳輸至所述第二設(shè)備的裝置�。
28.一種用于利用第二設(shè)備對第一設(shè)備進(jìn)行認(rèn)證的設(shè)備,所述設(shè)備正在被所述第二設(shè) 備認(rèn)證��,所述設(shè)備包括收發(fā)信機�����,所述收發(fā)信機適用于接收來自所述第二設(shè)備的查詢消息�����,所述查詢消息包括所述第一設(shè)備的身份��; 確定所述設(shè)備是否已經(jīng)認(rèn)證了所述第一設(shè)備,如果認(rèn)證了 ��; 則向所述第一設(shè)備發(fā)送認(rèn)證憑證�;以及 向所述第二設(shè)備發(fā)送認(rèn)證憑證。
29.根據(jù)權(quán)利要求26�����、27或28所述的設(shè)備�����,所述認(rèn)證憑證是認(rèn)證密鑰����。
全文摘要
使用第三設(shè)備(對等設(shè)備)在第一設(shè)備(例如服務(wù)請求設(shè)備)和第二設(shè)備(例如服務(wù)提供設(shè)備)之間建立自組網(wǎng)絡(luò)中的認(rèn)證。從第一設(shè)備向第二設(shè)備傳輸認(rèn)證請求���。第二設(shè)備向至少一個第三設(shè)備(即�,對等設(shè)備)傳輸查詢消息�����。如果對等設(shè)備先前被第一設(shè)備認(rèn)證���,則對等設(shè)備向第一和第二設(shè)備發(fā)送認(rèn)證憑證(例如���,認(rèn)證密鑰)。一旦接收到認(rèn)證憑證��,第一設(shè)備就向第二設(shè)備發(fā)送認(rèn)證憑證����。然后,第二設(shè)備將從第一設(shè)備接收的認(rèn)證憑證與從第三設(shè)備接收的認(rèn)證憑證進(jìn)行比較�,如果認(rèn)證憑證相匹配,則認(rèn)證第一設(shè)備�����。優(yōu)選地�,從第三(對等)設(shè)備到第一設(shè)備的認(rèn)證憑證被加密。
文檔編號H04L29/06GK101816163SQ200880109892
公開日2010年8月25日 申請日期2008年10月6日 優(yōu)先權(quán)日2007年10月5日
發(fā)明者詹姆斯·歐文, 阿利斯代爾·邁克蒂安米德 申請人:Iti蘇格蘭有限公司