CN101160924A - 在通信系统中分发证书的方法 - Google Patents
在通信系统中分发证书的方法 Download PDFInfo
- Publication number
- CN101160924A CN101160924A CNA2006800126639A CN200680012663A CN101160924A CN 101160924 A CN101160924 A CN 101160924A CN A2006800126639 A CNA2006800126639 A CN A2006800126639A CN 200680012663 A CN200680012663 A CN 200680012663A CN 101160924 A CN101160924 A CN 101160924A
- Authority
- CN
- China
- Prior art keywords
- gateway
- certificate
- mobile node
- entity
- network entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000004891 communication Methods 0.000 title claims abstract description 27
- 230000004044 response Effects 0.000 claims description 101
- 230000007246 mechanism Effects 0.000 claims description 41
- 238000009434 installation Methods 0.000 claims description 33
- 238000004590 computer program Methods 0.000 claims description 19
- 230000005540 biological transmission Effects 0.000 claims description 14
- 238000010295 mobile communication Methods 0.000 claims description 13
- 238000010200 validation analysis Methods 0.000 claims description 9
- 238000003860 storage Methods 0.000 claims description 5
- 238000009795 derivation Methods 0.000 claims description 3
- 238000004422 calculation algorithm Methods 0.000 description 15
- 230000008859 change Effects 0.000 description 6
- 238000004846 x-ray emission Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 239000000463 material Substances 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 239000000203 mixture Substances 0.000 description 3
- 230000007474 system interaction Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000000151 deposition Methods 0.000 description 2
- 230000003252 repetitive effect Effects 0.000 description 2
- 238000000429 assembly Methods 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- WDQKVWDSAIJUTF-GPENDAJRSA-N via protocol Chemical compound ClCCNP1(=O)OCCCN1CCCl.O([C@H]1C[C@@](O)(CC=2C(O)=C3C(=O)C=4C=CC=C(C=4C(=O)C3=C(O)C=21)OC)C(=O)CO)[C@H]1C[C@H](N)[C@H](O)[C@H](C)O1.C([C@H](C[C@]1(C(=O)OC)C=2C(=C3C([C@]45[C@H]([C@@]([C@H](OC(C)=O)[C@]6(CC)C=CCN([C@H]56)CC4)(O)C(=O)OC)N3C=O)=CC=2)OC)C[C@@](C2)(O)CC)N2CCC2=C1NC1=CC=CC=C21 WDQKVWDSAIJUTF-GPENDAJRSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/081—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying self-generating credentials, e.g. instead of receiving credentials from an authority or from another peer, the credentials are generated at the entity itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种使用可扩展认证协议(EAP)在通信系统中传递证书的方法。将移动节点的身份发送到网关,身份被从所述网关发送到网络实体。在网络实体中,基于涉及移动节点的信息选择至少一个第一证书。在网络实体中,使用主密钥对所述至少一个第一证书签名。将所述至少一个第一证书从网络实体提供到移动节点。
Description
技术领域
本发明涉及移动通信系统中的安全性。具体说来,本发明涉及根据用户的当前网络将根证书从用户的本地网络传送到用户。
背景技术
在移动系统中,安全性是网络和移动终端功能的重要部分。由于移动终端可在不同的网络中自由漫游的情况,所以有必要在移动终端以及当前服务于移动终端的网络之间建立信任关系。所述信任关系涉及:移动终端和拜访网络执行相互认证并准备使用数据加密和完整性保护。由于移动终端在不同网络中漫游,所以会增加对于建立从移动终端到网关的安全性关联的需要,所述网关提供对移动终端已经信任的网络的接入。例如,已经得到信任的网络可以是企业内联网。已经得到信任的网络还可以是内联网区段,经过所述内联网区段,可建立到远程客户机或远程网络的信任连接,例如,所述远程网络可以是企业内联网。
在互联网工程任务组(IETF)IP安全性体系结构(IPsec)标准(即,请求注解(RFC 2401))中讨论了在一对主机之间、主机与安全性网络之间或在两个安全性网关之间建立安全性关联(SA)的处理。IPsec体系结构依靠安全性协议认证头部(AH)和封装安全性净荷(ESP),它们原本存在于IPv6中,同时也可用于IPv4。IPsec依靠两种类型的数据库,即,安全性策略数据库(SPD)和安全性关联数据库(SAD)。SPD定义如下准则,基于该准则,给定包被分配给给定SA。SAD描述与给定SA关联的参数,诸如使用的算法和密钥。可应来自用户的请求手动建立AS,或者可当确定包与当前不存在的SA关联时自动建立SA。使用互联网密钥交换(IKE)协议来执行对安全性关联的建立。IKE的当前版本是IKE版本2,作为示例,其在IETF文档draft-ietf-ipsec-ikev2-17.txt中被描述。
IPsec体系结构尤其用于无线局域网(WLAN),其中,有必要在移动终端以及位于移动终端的当前拜访网络的网关之间建立安全性关联。网关用于接入信任的第二网络。例如,第二网络是企业内联网或另一信任网络。可与移动终端对网络的认证相结合来执行安全性关联建立。例如,在第三代伙伴项目(3GPP)规范TS33.234 V6.0.0(2004-3)中描述了移动终端对网络的认证。在移动终端对其本地网络的认证以及本地网络对移动终端的认证期间,有必要认证用作第二网络的接入点的网关。否则,可通过使用错误网关执行中间人(man-in-the-middle)攻击,并且可记录数据,其稍后用于重放类型的攻击。
现在参照图1,其示出在现有技术中的无线局域网与移动通信系统相互作用方案中,经由网关与远程主机通信的移动节点。在图1中,示出IP网络120,网关114和远程主机122被连接到IP网络120。在网关114与远程主机之间存在安全性关联124,安全性关联124通过IP网络安全地携带从网关114到远程主机122的通信量。移动节点100使用无线局域网(WLAN)110与网关114通信。至少由基站112服务于WLAN 110覆盖区域。同时,WLAN 110还与认证、授权和计费(AAA)代理116关联。例如,AAA代理使用RADIUS(远程认证拨入用户服务)或DIAMETER(直径基本协议)协议与网关114通信。RADIUS协议在IEFT文档RFC 2865中定义,DIAMETER协议在RFC 3588中定义。AAA代理116还与AAA服务器132通信,所述AAA服务器132与作为移动终端100的本地网络的网络130关联。AAA服务器132轮流访问本地位置寄存器(HLR)134,以便获得与移动节点100关联的认证和加密信息。认证和加密信息实际存储在与HLR 134关联的认证中心(AuC)。以下,AuC功能没有被单独讨论,而是被当作诸如HLR 134的HLR的一部分。
现在参照图2,其示出现有技术中由IKEv2安全性关联初始化遵循的可扩展认证协议(EAP)认证和密钥协议信令传输。应注意到:信令传输还可应用于EAP用户标识模块(SIM)认证的情况。可扩展认证协议(EAP)在IEFT文档RFC 2284中定义。所述信令传输的目的在于相互认证移动节点100和代表移动节点100的本地网络的AAA服务器132,并在于相互认证移动节点100和网关114。图2还阐明涉及检查网关114的证书的问题。
在时间t1,移动节点100拥有证书发行机构(CA)证书,换言之,根证书,其用于验证其它证书。在其它证书可被信任之前需要拥有CA证书。证书发行机构使用它的私钥对其发布的所有证书签名。相应的证书发行机构公钥本身被包含在称为CA证书的证书之内。移动节点100必须将所述CA证书包含在它的信任根库中,以便信任由CA的私钥签名的证书。信任根库包括所有CA证书。需要用于其它实体的证书来验证由与移动节点100通信的对等实体产生的签名。移动节点100会需要拥有多个CA证书,原因在于与移动节点100通信的不同实体可使用不同的证书发行机构来对它们的公钥签名。例如,不同WLAN中的不同网关可具有由不同CA证明的证书。因此,在与网关114建立通信之前,移动节点100必须获得由网关114使用的CA证书。在现有技术中,CA证书已经被手动配置为移动节点。该处理涉及:在由本地网络经营者提供的诸如用户标识模块(SIM)的智能卡上将CA证书传递到移动节点。移动节点用户还可将CA证书手动下载到移动节点100。当用户订阅被激活时,在移动节点100将启动任何安全通信之前,本地网络还可决定将多个CA证书送入移动节点100。这些技术方案的缺点在于:移动节点100需要大量CA证书,而其中仅有少数CA证书实际被使用。此外,当移动节点100进入拜访网络时,由移动节点100拥有的CA证书中可能会丢失实现经由拜访网络的安全通信所必需的CA证书。移动节点100不可能预先获得所有CA证书。
在时间t1,移动节点100使用IKE开始安全性关联启动。WLAN连接存在于移动节点100与网关114之间。在IKE启动阶段,移动节点100通过箭头201如图2所示将IKE_SA_INIT消息发送到网关114。所述消息包括:IKE头部、移动节点100的公共Diffie-Hellman值、由移动节点100建议的算法和第一nonce,所述第一nonce为非重复的随机值,即,无意义值。如箭头202所示,网关114通过发送IKE_SA_INIT消息来进行响应。所述消息包括:IKE头部、网关114的公共Diffie-Hellman值、由网关114选择的算法和由网关114选择的第二nonce。
在IKE认证阶段,移动节点100发送IKE_AUTH消息,所述消息包括:消息身份MS-Id、认证移动节点100并验证移动节点100是先前的IKE_SA_INIT消息的发送者的值、由移动节点100对于认证建议的算法以及通信量规范,其提供关于用于安全性关联的源和目的IP地址的信息。所述消息由箭头203示出。网关114将包括MS-Id的EAP响应/身份消息发送到AAA代理,所述消息例如封装在DIAMETER包中。所述消息由箭头204示出。AAA代理116基于网络接入标识符(NAI)的领域部分路由到适当的AAA服务器。MS-Id包括在NAI中。领域部分识别移动节点100的本地网络。如箭头205所示,AAA代理116将EAP响应/身份消息发送到AAA服务器132。AAA服务器132检查其是否具有用于移动节点100的未使用的认证向量。如果没有未使用的认证向量,则如箭头206所示,AAA服务器132将移动节点100身份MS-Id发送到HLR 134。如箭头207所示,HLR 134利用至少一个认证向量进行响应。认证向量至少包括:随机值RAND、期望的响应值XRES、密码密钥(CK)、完整性密钥(IK)、认证令牌AUTN。因此,AAA服务器132至少使用接收的随机值RAND来计算主会话密钥(MSK)。在本发明的一实施例中,使用接收的CK和IK来计算MSK。然而,应注意到:先前已经使用与HLR 134关联的AuC中的秘密密钥K从RAND值计算出CK和IK。
AAA服务器132形成EAP请求/AKA询问消息,该消息包括:RAND和AUTN值、移动节点100的受保护假名和下一重新认证身份。缩写AKA表示认证和密钥协商。使用MAC值来保护所述消息,其中,通过作为密钥的MSK使用安全散列算法来产生所述MAC值。因此,如箭头208所示,AAA服务器132将EAP请求/AKA询问消息发送到AAA代理116。AAA代理将EAP请求/AKA询问消息发送到网关114。
在时间t2,网关114将已经由CA签名的网关114自己的证书(GW-cert)和EAP请求/AKA询问消息内容包括在IKE_AUTH消息中。网关114还对IKE_AUTH消息签名(在图2中示为“sign”参数),并如箭头210所述将IKE_AUTH消息发送到移动节点100。
在时间t3,在接收到消息210之后,移动节点100通过使用网关114的公钥来验证消息210中的签名“sign”是正确的。例如,在网关114刚发送的网关114的证书(GW-cert)中提供网关114的公钥。由移动节点100检查网关的证书的有效性。移动节点100验证网关的证书已经由作为示例的CA签名,从而移动节点从CA证书获得CA公钥,并将从网关的证书计算的第一消息摘要与通过使用CA公钥解密CA签名获得的第二消息摘要进行比较。因此,移动节点100至少使用到达它的消息210中获得的RAND值来形成它的主会话密钥(MSK)。该推导可涉及:首先导出IK值,并使用秘密密钥K从RAND值导出CK值。因此,移动节点100和AAA服务器132中的MSK应该相同。移动节点100使用其与HLR 134共享的秘密密钥K来计算RES值。移动节点100将RES值包括在EAP响应/AKA询问消息中。移动节点100还计算包括在消息中的MAC值。使用MAC值来保护所述消息,其中,通过作为密钥的MSK使用安全散列算法来产生所述MAC值。如箭头211所述,移动节点100发送所述消息。如箭头212和213所示,该消息进一步由网关114发送到AAA代理116并由AAA代理116发送到AAA服务器132。
在时间t4,在接收到消息213之后,AAA服务器132使用MSK来验证MAC值。AAA服务器132还将提供的RES值与当前认证向量中的XRES值进行比较,其中,AAA服务器132先前从所述当前认证向量发送相应RAND值。如果比较显示成功,则如箭头214所示,AAA服务器132将EAP成功消息发送到AAA代理116。如果需要某些额外的密码资料来进行WLAN技术的特定机密性和/或整体性保护,则AAA服务器132将其包括在携带EWAP成功消息的包中。AAA服务器132将所述密钥资料包括在下层的AAA协议消息,而不是包括在EAP层的消息中。如箭头215和216所示,AAA代理116将所述消息转发到网关114,网关114将所述消息进一步发送到移动节点100。
发明内容
本发明涉及一种在至少包括移动节点、网关和网络实体的通信系统中传递证书的方法。所述方法包括:经由所述网关将所述移动节点的身份发送到所述网络实体;在所述网络实体中基于所述网关所属的网络选择至少一个第一证书;在所述网络实体中使用主密钥对所述至少一个第一证书签名;在可扩展认证协议(EAP)请求消息中将所述至少一个第一证书从所述网络实体提供到所述网关;将包括所述至少一个第一证书的消息发送到所述移动节点;在所述移动节点中使用主密钥验证所述消息;以及如果验证成功,则接受所述至少一个证书。
本发明还涉及一种用于在至少包括移动节点、网关和网络实体的通信系统中获得证书的方法,所述方法包括:经由所述网关将所述移动节点的身份发送到所述网络实体;将认证数据从所述网络实体发送到所述网关;将可扩展认证协议(EAP)认证请求从所述网关发送到所述移动节点;在移动节点中使用主密钥对证书发行机构身份签名;经由所述网关将认证响应和签名的证书发行机构身份从所述移动节点发送到所述网络实体;在所述网络实体中使用主密钥来验证签名的证书发行机构身份;在所述网络实体中获得具有所述证书发行机构身份的第一证书;以及经由所述网关将所述第一证书从所述网络实体发送到所述移动节点。
本发明还涉及一种用于在至少包括移动节点、网关和网络实体的通信系统中公布证书的方法,所述方法包括:经由所述网关将所述移动节点的身份发送到所述网络实体;将认证数据从所述网络实体发送到所述网关;将可扩展认证协议(EAP)认证请求发送到所述移动节点;在所述移动节点中使用主密钥对至少包括公钥的登记请求签名;经由所述网关将认证响应和签名的登记请求从所述移动节点发送到所述网络实体;在所述网络实体中验证对登记请求的签名;以及由所述网络实体向安全目录至少提供所述公钥。
本发明还涉及一种用于在至少包括移动节点、网关和网络实体的通信系统中获得订户证书的方法,所述方法包括:经由所述网关将所述移动节点的身份发送到所述网络实体;将认证数据从所述网络实体发送到所述网关;将可扩展认证协议(EAP)认证请求从所述网关发送到所述移动节点;在所述移动节点中使用主密钥对至少包含公钥的登记请求签名;经由所述网关将认证响应以及用于公钥的签名的登记请求从所述移动节点发送到所述网络实体;在所述网络实体中验证对登记请求的签名;响应于接收所述公钥产生用于所述公钥的订户证书;以及经由所述网关将所述订户证书从所述网络实体发送到所述移动节点。
本发明还涉及一种至少包括移动节点、网关和网络实体的系统,所述系统还包括:所述移动节点中的安全性实体,被配置以经由所述网关将所述移动节点的身份发送到所述网络实体,使用主密钥验证消息,如果验证成功,则接受至少一个证书;所述网关中的安全性实体,被配置以将包括所述至少一个第一证书的消息发送到所述移动节点;以及所述网络实体中的证书传递实体,被配置以基于所述网关所属的网络选择所述至少一个第一证书,在所述网络实体中使用主密钥对所述至少一个第一证书签名,在可扩展认证协议(EAP)请求消息中将所述至少一个第一证书从所述网络实体提供到所述网关。
本发明还涉及一种至少包括移动节点、网关和网络实体的系统,所述系统还包括:所述移动节点中的安全性实体,被配置以经由所述网关将所述移动节点的身份发送到所述网络实体,使用主密钥对证书发行机构身份签名,经由所述网关将认证响应以及所述签名的证书发行机构身份发送到所述网络实体;所述网关中的安全性实体,被配置以将可扩展认证协议(EAP)认证请求发送到所述移动节点;所述网络实体中的认证实体,被配置以将认证数据发送到所述网关;以及所述网络实体中的证书传递实体,被配置以使用主密钥验证签名的证书发行机构身份,获得具有所述证书发行机构身份的第一证书,并经由所述网关将所述第一证书发送到所述移动节点。
本发明还涉及一种至少包括移动节点、网关和网络实体的系统,所述系统还包括:所述移动节点中的安全性实体,被配置以经由所述网关将所述移动节点的身份发送到所述网络实体,使用主密钥对至少包括公钥的登记请求签名,经由所述网关将认证响应以及所述签名的登记请求发送到所述网络实体;所述网关中的安全性实体,被配置以发送可扩展认证协议(EAP)认证请求;以及所述网络实体中的公钥公布实体,被配置以将认证数据发送到所述网关,验证对所述登记请求的签名,并向安全目录至少提供所述公钥。
本发明还涉及一种至少包括移动节点、网关和网络实体的系统,所述系统还包括:所述移动节点中的安全性实体,被配置以经由所述网关将所述移动节点的身份发送到所述网络实体,使用主密钥对至少包括公钥的登记请求签名,并经由所述网关将认证响应以及所述登记请求发送到所述网络实体;所述网关中的安全性实体,被配置以将可扩展认证协议(EAP)认证请求发送到所述移动节点;所述网络实体中的认证实体,被配置以将认证数据发送到所述网关,验证对所述登记请求的签名;以及所述网络实体中的证书传递实体,被配置以响应于接收所述公钥而产生用于所述公钥的订户证书,并经由所述网关将所述订户证书从所述网络实体发送到所述移动节点。
本发明还涉及一种网络节点,包括:认证实体,被配置以从网关接收移动节点的身份并认证所述移动节点;以及证书传递实体,被配置以基于所述网关所属的网络选择至少一个第一证书,在所述网络实体中使用主密钥对所述至少一个第一证书签名,并将所述至少一个第一证书从所述网络实体提供到所述移动节点。
本发明还涉及一种网络节点,包括:认证实体,被配置以从网关接收移动节点的身份并认证所述移动节点;以及证书传递实体,被配置以从所述移动节点接收签名的证书发行机构身份,使用主密钥验证所述签名的证书发行机构身份,获得具有所述证书发行机构身份的第一证书,使用所述主密钥对所述第一证书签名,经由所述网关将所述第一证书从所述网络实体提供到所述移动节点。
本发明还涉及一种网络节点,包括:认证实体,被配置以从网关接收移动节点的身份,利用可扩展认证协议(EAP)认证来认证所述移动节点,并验证对登记请求的签名;以及公钥公布实体,被配置以在可扩展认证协议(EAP)响应消息中从所述移动节点接收验证的公钥并在安全目录中公布所述公钥。
本发明还涉及一种网络节点,包括:认证实体,被配置以从网关接收移动节点的身份,利用可扩展认证协议(EAP)认证来认证所述移动节点,并验证对登记请求的签名;以及所述网络实体中的证书传递实体,被配置以响应于接收所述公钥而产生用于所述公钥的订户证书,并经由所述网关将所述订户证书从所述网络实体发送到所述移动节点。
本发明还涉及一种电子装置,包括:安全性实体,被配置以将电子装置的身份发送到网关,接收至少一个由网络实体签名的第一证书,使用与电子装置关联的智能卡上的秘密密钥导出主会话密钥,并使用主密钥验证所述至少一个第一证书的签名。
本发明还涉及一种电子装置,包括:安全性实体,被配置以将电子装置的身份发送到网关,使用与电子装置关联的智能卡上的秘密密钥来导出主会话密钥,将利用主密钥签名的证书发行机构身份发送到网关,接收由网络实体签名的第一证书,并使用主密钥验证第一证书的签名。
本发明还涉及一种电子装置,包括:安全性实体,被配置以产生公钥和私钥,将电子装置的身份发送到网关,接收可扩展认证协议(EAP)认证请求,使用主密钥对至少包括所述公钥的登记请求签名,并发送包括所述登记请求的可扩展认证协议(EAP)认证响应。
本发明还涉及一种电子装置,包括:安全性实体,被配置以产生公钥和私钥,将电子装置的身份发送到网关,使用与电子装置关联的智能卡上的秘密密钥导出主会话密钥,使用主密钥对至少包括所述公钥的登记请求签名,接收可扩展认证协议(EAP)认证请求,发送包括所述登记请求的可扩展认证协议(EAP)认证响应,接收用于所述公钥的订户证书,并使用所述主密钥验证用于所述订户证书的消息认证。
本发明还涉及一种包括代码的计算机程序,当所述程序在数据处理系统上执行时,其适于执行以下步骤:从网关接收移动节点的身份;确定所述网关所属的网络;基于所述网关所属的网络选择至少一个第一证书;使用与所述移动节点关联的主密钥对所述至少一个第一证书签名;以及将所述至少一个第一证书提供到所述移动节点。
本发明还涉及一种包括代码的计算机程序,当所述程序在数据处理系统上执行时,其适于执行以下步骤:从网关接收移动节点的身份;经由所述网关将可扩展认证协议(EAP)请求发送到所述移动节点;经由所述网关从所述移动节点接收包括签名的证书发行机构身份的可扩展认证协议(EAP)响应;使用主密钥验证签名的证书发行机构身份;使用所述证书发行机构身份检索证书发行机构证书;使用所述主密钥对所述证书发行机构证书签名;以及经由所述网关将包括所述证书发行机构证书的可扩展认证协议(EAP)请求发送到所述移动节点。
本发明还涉及一种包括代码的计算机程序,当所述程序在数据处理系统上执行时,其适于执行以下步骤:经由网关接收移动节点的身份;将可扩展认证协议(EAP)请求发送到所述移动节点;经由所述网关从所述移动节点接收可扩展认证协议(EAP)响应和用于公钥的签名的登记请求;验证对登记请求的签名;以及将所述公钥提供到安全目录。
本发明还涉及一种包括代码的计算机程序,当所述程序在数据处理系统上执行时,其适于执行以下步骤:经由网关接收移动节点的身份;将可扩展认证协议(EAP)认证请求发送到所述移动节点;经由所述网关从所述移动节点接收可扩展认证协议(EAP)认证响应以及用于公钥的签名的登记请求;验证对登记请求的签名;产生用于所述公钥的订户证书;在使用主密钥签名的可扩展认证协议(EAP)请求消息中经由网关将所述订户证书发送到所述移动节点;以及经由确认所述订户证书的所述网关接收可扩展认证协议(EAP)响应消息。
通过接受证书在此表示证书随后用于验证其它证书,从而验证从任何发送实体(诸如作为示例的网关)接收的消息中的签名。
在本发明的一实施例中,网关的签名和来自所述网关的第二证书被添加到到达移动节点的消息。由移动节点中的安全性实体使用所述至少一个第一证书之一来验证第二证书。因此,安全性实体使用第二证书来验证网关的签名。
在本发明的一实施例中,通过将包括至少一个第一证书的消息发送到网关(所述网关进一步将它们包括在消息中而发送到移动节点)来完成将所述至少一个第一证书从网络实体提供到移动节点。所述消息可经过网络实体与网关之间的至少一个代理。在本发明的一实施例中,在单个消息中将所述至少一个第一证书、网关的签名以及与网关关联的第二证书从网关发送到移动节点。响应于从网络实体接收所述至少一个第一证书来发送所述消息。
电子装置包括移动节点。网络节点包括网络实体,作为示例,所述网络实体为移动节点的本地网络中的网络实体。
在本发明的一实施例中,电子装置包括移动台。在本发明的一实施例中,电子装置包括无线局域网终端。在本发明的一实施例中,移动节点是在不同的固定网络之间移动的固定网络节点。例如,移动节点可以是从一固定局域网移动到另一固定局域网的膝上型计算机。
在本发明的一实施例中,电子装置包括用户标识模块(SIM)。移动节点中的安全性实体可部分或完全包括在SIM卡中。
在本发明的一实施例中,第一主密钥在移动节点中被导出。主密钥在网络实体中被导出。因此,在移动节点中使用第一主密钥来验证所述至少一个第一证书的签名。
在本发明的一实施例中,将询问和期望的响应从网络实体提供到网关。将询问从网关提供到移动节点。将对于来自移动节点的询问的响应提供到网关,并使用期望的响应来验证所述响应。例如,询问和响应交换可根据通用移动电话系统(UMTS)认证和密钥交换算法(AKA)。因此,所述询问是AKA RAND值,所述期望的响应是XRES值。期望和响应包括在从订户寄存器提供的AKA认证向量中。订户寄存器是本地位置寄存器(HLR)或本地订户服务器(HSS)。在本发明的一实施例中,分别在可扩展认证协议(EAP)请求和响应消息中携带询问和响应。
在本发明的一实施例中,获得至少一个从订户寄存器到网络实体的认证向量。使用属于所述至少一个认证向量的认证向量中的至少一个密钥来计算主密钥。
在一实施例中,第一证书是证书发行机构(CA)证书。所述证书可以是公钥证书。在本发明的一实施例中,第一证书仅是通过对完整的证书进行散列来计算的证书指纹。
在本发明的一实施例中,从由移动节点和网络实体两者拥有的秘密密钥导出主密钥,或者换言之,主会话密钥。
在本发明的一实施例中,通信系统包括无线局域网。在本发明的一实施例中,通信系统包括移动通信系统。在本发明的一实施例中,移动通信系统包括全球移动通信系统(GSM)网络和通用移动电话系统(UMTS)网络中的至少一种。例如,网络实体与网关之间的协议使用DIAMETER或RADIUS协议进行通信。网络实体,即,网络节点可以是认证、授权和计费服务器。
在本发明的一实施例中,网关是WLAN接入点(AP),其控制用户经由WLAN接入至少一个分组数据网络。
在本发明的一实施例中,在移动节点与网关之间交换Diffie-Hellman值,在移动节点与网关之间建立安全性关联。
在本发明的一实施例中,移动节点之内的安全性实体是软件组件。在本发明的一实施例中,网关之内的安全性实体是软件组件。在本发明的一实施例中,网络实体之内的认证实体和证书传递实体是软件组件。这些组件中的每一个均包括至少一个独立编译或翻译的程序模块。所述组件可包括在处理器中执行的多个处理或线程,或诸如Java虚拟机的虚拟机。
在本发明的一实施例中,计算机程序被存储在计算机可读介质中。计算机可读介质可以是可移除存储卡、磁盘、光盘或磁带。
在本发明的一实施例中,电子装置包括移动装置,例如,膝上型计算机、掌上计算机、移动终端或个人数字助理(PDA)。在本发明的一实施例中,电子装置包括WLAN终端(WT)。
本发明的好处涉及移动节点的改进的可靠性,原因在于验证网关证书所需的CA证书可从本地网络导出。CA证书更加容易地被作为移动节点用户的本地网络经营者来管理。此外,本发明还提供经由本地网络中的网络实体将与移动节点的订户关联的公钥提交到目录的选项。用于公钥的证书可从本地网络导出。
附图说明
附图被包括以提供对本发明的进一步理解并构成该说明书的一部分,所述附图示出本发明的实施例并连同所述说明帮助解释本发明的原理,在附图中:
图1是示出现有技术中的无线局域网与移动通信系统相互作用方案中,经由网关与远程主机通信的移动节点的框图;
图2是示出现有技术中由IKEv2安全性关联初始化遵循的可扩展认证协议(EAP)认证和密钥协议信令传输的消息时序图;
图3是示出在本发明一实施例中经由网关与远程主机通信的移动节点的框图;
图4是示出在本发明一实施例中在可扩展认证协议(EAP)认证请求中传递证书发行机构(CA)证书的消息时序图;
图5是示出在本发明一实施例中请求和传递作为可扩展认证协议(EAP)认证响应消息一部分的证书发行机构(CA)证书的消息时序图;
图6是示出在本发明一实施例中在可扩展认证协议(EAP)认证响应消息中提供用于公布者的订户公钥和网络实体登记所述公钥的消息时序图;
图7是示出在本发明一实施例中提供作为可扩展认证协议(EAP)认证响应消息的一部分的用于公布者的订户公钥和网络实体传递发布的订户证书的消息时序图;
图8是示出用于在通信系统中进行证书分发的方法的一实施例的流程图;
图9是示出用于在通信系统中进行获得证书的方法的一实施例的流程图;
图10是示出用于在通信系统中进行订户公钥公布的方法的一实施例的流程图;以及
图11是示出用于在通信系统中进行订户公钥公布和获得订户证书的方法的一实施例的流程图。
具体实施方式
现在将详细参照本发明的实施例,其示例在附图中示出。
图3是示出经由网关与远程主机通信的移动节点的框图。图3示出在无线局域网和移动通信系统互相作用方案中经由网关与远程主机通信的移动节点。在图3中示出IP网络320,网关314和远程主机322被连接到IP网络320。在网关314与远程主机之间存在安全性关联324,所述安全性关联324安全地通过IP网络320携带从网关314到远程主机322的通信量。在本发明的一实施例中,IP网络320受信任,从而不需要实际的安全性关联用于通过IP网络320与远程主机通信。在这种情况下,网络可被连接到多个IP网络,例如,每个IP网络为不同的专用IP网络。根据移动节点300的身份执行到正确的IP网络的连接。
移动节点300使用无线局域网(WLAN)310与网关314通信。通过至少一个基站312服务于WLAN 310覆盖区域。同时,WLAN 310还与认证、授权和计费(AAA)代理316关联。例如,AAA代理使用RADIUS(远程认证拨入用户服务)或DIAMETER(直径基本协议)协议与网关314通信。AAA代理316还与AAA服务器332通信,所述AAA服务器332与作为移动节点300的本地网络的网络330关联。AAA服务器332轮流访问本地位置寄存器(HLR)334,以便获得与移动节点300关联的认证和加密信息。所述HLR还可被称作本地订户服务器(HSS)。在本发明的一实施例中,不存在AAA代理316,并且网关314和AAA服务器332彼此直接通信。
在图3中用框302示出移动节点300的内部功能。移动节点300包括安全性实体304,其从诸如网关314的网关接收证书并执行其它认证、安全性关联建立、管理和释放相关任务。安全性实体304经由协议实体(未示出)与网络通信,例如,所述协议实体至少执行网络层和较低层协议相关任务。与密钥计算、密钥存储、消息签名和认证关联的任务还可在诸如GSM或UMTS SIM卡的智能卡上执行。AAA服务器332包括证书传递实体336,其基于网关或AAA代理地址决定必须被传递到移动节点300的正确的CA证书。例如,从与用于移动节点300的IKE认证过程相关联而接收的EAP响应/身份消息获得网关或AAA代理地址。AAA服务器332还包括认证实体338,所述认证实体338执行普通认证相关任务并在与AAA代理316和HLR 334的通信中执行应用协议层相关任务。由网络协议层实体(未示出)执行网络协议层功能。AAA服务器332还可包括公钥公布实体(未示出),其负责处理从移动节点300接收的公钥。公钥公布实体将公钥提供到安全目录服务器,通过所述安全目录服务器,其它订户可访问所述公钥。网关314包括安全性实体(未示出),其执行与以下项相关的任务:将移动节点的身份从网关发送到网络实体,将包括网关的签名的消息发送到移动节点,将网关证书提供到移动节点。
图4是示出在本发明一实施例中在可扩展认证协议(EAP)认证请求中传递证书发行机构(CA)证书的消息时序图。该方法同样可应用于EAP AKA和EAP SIM认证方法。
在时间t1,移动节点300使用IKE开始安全性关联启动。移动节点300不必拥有已经对网关314的证书签名的CA的CA证书。在移动节点300与网关314之间存在WLAN连接。使用安全性实体304执行安全性关联建立。在IKE启动阶段,移动节点300中的安全性实体304通过箭头401如图4所示将IKE_SA_INIT消息发送到网关314。所述消息包括:IKE头部、移动节点300的公共Diffie-Hellman值、由移动节点300之内的安全性实体304建议的算法和第一nonce(非重复的随机值)。如箭头402所示,网关314通过发送IKE_SA_INIT消息进行响应。所述消息包括:IKE头部、网关314的公共Diffie-Hellman值、由网关314选择的算法以及由网关314选择的第二nonce。
在IKE认证阶段,安全性实体304发送IKE_AUTH消息,所述消息包括:移动节点300身份MS-Id、认证移动节点300并验证移动节点300是先前的IKE_SA_INIT消息的发送者的值、由移动节点300对于认证建议的算法以及通信量规范,其提供关于用于安全性关联的源和目的IP地址的信息。所述消息由箭头403示出。网关314将包括MS-Id的EAP响应/身份消息发送到AAA代理316,所述消息例如封装在DIAMETER包中。所述消息由箭头404示出。AAA代理316基于网络接入标识符(NAI)的领域部分路由到适当的AAA服务器。MS-Id包括在NAI中。领域部分识别移动节点300的本地网络。如箭头405所示,AAA代理316将EAP响应/身份消息发送到AAA服务器332。AAA服务器332中的认证实体338接收EAP响应/身份消息。认证实体338检查其是否具有用于移动节点300的未使用的认证向量。如果没有未使用的认证向量,则如箭头406所示,认证实体338将移动节点300身份MS-Id发送到HLR 334。如箭头407所示,HLR 334利用至少一个认证向量进行响应。在本发明的一实施例中,每个认证向量至少包括:随机值RAND、期望的响应值XRES、密码密钥(CK)、完整性密钥(IK)、认证令牌AUTN。
在时间t2,AAA服务器332中的证书传递实体336确定从其接收EAP响应/身份消息的网络。证书传递实体336从认证实体338获得源地址信息。如果从AAA代理316接收到EAP响应/身份消息,则AAA服务器332将AAA代理316的地址当作源地址。如果从诸如网关314的网关直接接收到EAP响应/身份消息,则证书传递实体336将网关地址当作源地址。源地址可以是IP地址或其它网络地址,或节点名称,诸如,作为示例的正式域名(FQDN)。证书传递实体336从源地址确定源网络。例如,通过使用树结构分析源地址来执行确定处理,其中,使用多个成分(诸如位于每层的比特、数字或名称成分)来定位所述数结构。树结构中的叶节点识别网络,从所述网络接收消息。在本发明的一实施例中,证书传递实体336通过向外部服务器提供源地址向外部服务器请求用于源网络的诸如FQDN的符号名称。外部服务器响应于证书传递实体来提供符号名称。还可使用树结构来分析符号名称以确定符号名称中的实际源网络部分。证书传递实体336将由AAA服务器332存储的表中的源网络直接映射到CA证书或CA证书索引,通过所述CA证书或CA证书索引,证书传递实体336索CA证书。
因此,至少使用从认证向量获得的RAND值,认证实体338计算主会话密钥(MSK)。在本发明的一实施例中,认证实体338使用CK和IK计算MSK,所述CK和IK依次从与HLR 334关联的认证中心(AuC)中的RAND值计算出。
认证实体338形成EAP请求消息,该消息包括:RAND和AUTN值、移动节点300的受保护假名、下一重新认证身份和至少一个CA证书。使用MAC值来保护所述消息,其中,通过作为密钥的MSK使用安全散列算法来产生所述MAC值。
在一实施例中,来自AAA服务器332的EAP请求消息可包括多于单个CA证书,在这种情况下,证书传递实体在将源网络映射到CA证书的同时已经获得多于单个CA证书。
因此,如箭头408所示,AAA服务器332将EAP请求消息发送到AAA代理316。AAA代理将EAP请求消息发送到网关314。
在时间t3,网关314将它自己的证书(GW-cert,已经由CA签名)以及EAP请求消息内容包括在IKE_AUTH消息中。网关314还对IKE_AUTH消息签名(在图4中示为“sign”参数),并将所述IKE_AUTH消息发送到移动节点300(如箭头410所示)。
在时间t4,在接收到消息410之后,移动节点300中的安全性实体304还通过使用网关314的公钥验证消息410中的签名“sign”正确。例如,在消息410中的网关314的证书“GW-cert”中提供网关314的公钥。由安全性实体304使用在消息410中接收到至少一个CA证书中的CA证书来检查网关的证书的有效性。安全性实体304验证网关的证书已经由作为示例的CA签名,从而移动节点从CA证书获得CA公钥,并将从网关的证书计算的第一消息摘要与通过使用CA公钥对CA证书进行解密获得的第二消息摘要进行比较。如果在消息410中提供多于单个CA证书,则安全性实体304选择与网关的证书相应的CA证书。安全性实体304至少使用RAND值来计算它的主会话密钥(MSK)。在本发明的一实施例中,安全性实体304使用秘密K来计算IK和CK值,然后从IK和CK值计算MSK。安全性实体304使用MSK验证消息410中的MAC值。正确的MAC值说明至少一个CA证书源自AAA服务器332,所述AAA服务器332已经从HLR334获得正确的认证向量。
安全性实体304使用由它和HLR 334共享的秘密密钥K来计算RES值。安全性实体304将RES值包括在EAP响应消息中。使用MAC值来保护所述消息,其中,通过作为密钥的MSK使用安全散列算法来产生所述MAC值。如箭头411所示,安全性实体304发送所述消息。如箭头412和413所示,所述消息进一步由网关314发送到AAA代理316,并由AAA代理316发送到AAA服务器332。
在时间t5,在接收到消息413之后,AAA服务器332中的认证实体338使用MSK来验证MAC值。认证实体338还将提供的RES值与当前认证向量中的XRES值进行比较,其中,AAA服务器332先前从所述当前认证向量发送相应RAND值。如果比较显示成功,则如箭头414所示,认证实体338将EAP成功消息发送到AAA代理316。如果需要某些额外的密码资料来进行WLAN技术的特定机密性和/或整体性保护,则认证实体338将其包括在携带EWAP成功消息的包中。认证实体338将所述密钥资料包括在下层的AAA协议消息,而不是包括在EAP层的消息中。如箭头415和416所示,AAA代理316将所述消息转发到网关314,网关314将所述消息进一步发送到移动节点300。
图5是示出在本发明一实施例中请求作为可扩展认证协议(EAP)认证响应消息一部分的证书发行机构(CA)证书的消息时序图。
在时间t1,开始点位于在移动节点300与网关314之间交换IKE_SA_INIT消息。同样,包括移动节点的身份的IKE_AUTH消息,即,MS-Id已经被发送到网关314。包括移动节点300的身份的EAP响应消息已经被发送到AAA服务器332,所述AAA服务器332已利用EAP请求经由AAA代理316和网关314对移动节点300进行响应。换言之,与图2中箭头201到210相应的消息已经被交换。
在接收到EAP请求消息之后,移动节点300中的安全性实体还通过使用网关314的公钥来验证EAP请求消息中的签名“sign”是正确的。例如,在图2的箭头210所示的EAP请求消息中的网关314的证书(GW-cert)中提供网关314的公钥。稍后,必须由安全性实体304使用CA证书来检查网关的证书的有效性。安全性实体304使用由它和HLR 334共享的秘密密钥K来计算RES值。安全性实体304将RES值包括在EAP响应消息中。所述消息还包括识别证书发行机构的CA区分名称(DN)。DA是证书发行机构(CA)向其发布数字证书的实体的名称。区分名称包括名称成分,诸如公共名称、组织、组织单位、城市、州和国家,它们的组合确保唯一性。使用MAC值来保护所述消息,其中,通过作为密钥的MSK使用安全散列算法来产生所述MAC值。如箭头500所述,安全性实体304发送所述消息。如箭头501和502所示,该消息进一步由网关314发送到AAA代理316并由AAA代理316发送到AAA服务器332。AAA服务器332中的认证实体338使用MSK来验证MAC值。认证实体338还将提供的RES值与当前认证向量中的XRES值进行比较,其中,AAA服务器332先前从所述当前认证向量发送相应RAND值。
在时间t2,AAA服务器332基于在消息502中提供的CA DN获得CA证书。AAA服务器还可与目录服务器联系,AAA服务器向所述目录服务器提供CA DN,并获得CA证书作为相应。AAA服务器332将CA证书打包到EAP请求消息中,使用MAC值来保护所述EAP请求消息。如箭头503所示,AAA服务器332将EAP请求消息发送到AAA代理316。如箭头504和505所示,AAA代理316将EAP请求消息发送到网关314,网关314将所述EAP请求消息进一步发送到移动节点300。移动节点使用其导出的MSK来验证MAC。
因此,如箭头506、507和508所示,移动节点300将包括空净荷的EAP响应消息经由网关314和AAA代理316发送到AAA服务器332。具有空净荷的EAP响应消息指示成功接收到CA证书。如箭头509、510和511所示,AAA服务器332通过将EAP成功消息经由AAA代理316和网关314发送到移动节点300来结束EAP协商。在已经接收到CA证书之后,移动节点300可验证网关314的证书的有效性。
图6是示出在本发明一实施例中在可扩展认证协议(EAP)认证响应消息中提供用于公布者的订户公钥和网络实体登记所述公钥的消息时序图。
在时间t1,移动节点300形成包括公钥和私钥的密钥对。例如,公钥必须在目录中公布,在所述目录中,公钥与移动节点300的订户的DN关联。通过将用户标识模块插入移动节点300或简单地通过使用用户ID登录到移动节点300来确定移动节点300的订户。在本发明的一实施例中,公钥直接与移动节点关联。
在图6中,由箭头201到210指示的消息类似于图2中的消息。必须注意到:针对这些消息的处理,移动节点300、网关314、AAA代理316、AAA服务器332和HLR 334相应于移动节点100、网关114、AAA代理116、AAA服务器132和HLR 134。
在接收到EAP请求消息210之后,移动节点300中的安全性实体314还通过使用网关314的公钥来验证EAP请求消息中的签名“sign”是正确的。例如,在图2的箭头210所示的EAP请求消息中的网关314的证书(GW-cert)中提供网关314的公钥。必须由安全性实体304使用CA证书来检查网关的证书的有效性,使用参照图4和图5描述的方法之一来获得所述CA证书。安全性实体304使用由它和HLR 334共享的秘密密钥K来计算RES值。安全性实体304将RES值包括在EAP响应消息中。所述消息还包括用于与移动节点300的订户关联的公钥的登记请求。使用MAC值来保护所述消息,其中,通过作为密钥的MSK使用安全散列算法来产生所述MAC值。如箭头600所述,安全性实体304发送所述消息。如箭头601和602所示,该消息进一步由网关314发送到AAA代理316并由AAA代理316发送到AAA服务器332。
因此,如箭头603所示,AAA服务器332将订户公钥(PK)提供到安全目录服务器。目录服务器确认公钥的存放。如箭头604、605和606所示,AAA服务器332通过将EAP成功消息经由AAA代理316和网关314发送到移动节点300来结束EAP协商。
图7是示出在本发明一实施例中提供作为可扩展认证协议(EAP)认证响应消息的一部分的用于公布者的订户公钥和网络实体传递发布的用于订户公钥的订户证书的消息时序图。
在时间t1,移动节点300形成包括公钥和私钥的密钥对。例如,公钥必须在目录中公布,在所述目录中,公钥与移动节点300的订户的DN关联。通过将用户标识模块插入移动节点300或简单地通过使用用户ID登录到移动节点300来确定移动节点300的订户。在本发明的一实施例中,公钥直接与移动节点关联。
因此,在移动节点300与网关314之间交换IKE_SA_INIT消息。同样,包括移动节点的身份的IKE_AUTH消息,即,MS-Id已经被发送到网关314。包括移动节点300的身份的EAP响应消息已经被发送到AAA服务器332,所述AAA服务器332已利用EAP请求经由AAA代理316和网关314对移动节点300进行响应。换言之,与图2中箭头201到210相应的消息已经被交换。
在接收到EAP请求消息之后,移动节点300中的安全性实体304还通过使用网关314的公钥来验证EAP请求消息中的签名“sign”是正确的。例如,在图2的箭头210所示的EAP请求消息中的网关314的证书(GW-cert)中提供网关314的公钥。使用参照图4和图5所述的方法之一来完成所述证书本身的验证。安全性实体304使用由它和HLR 334共享的秘密密钥K来计算RES值。安全性实体304将RES值包括在EAP响应/AKA询问消息中。所述消息还包括与移动节点的订户关联的公钥。使用MAC值来保护所述消息,其中,通过作为密钥的MSK使用安全散列算法来产生所述MAC值。如箭头700所述,安全性实体304发送所述消息。如箭头701和702所示,该消息进一步由网关314发送到AAA代理316并由AAA代理316发送到AAA服务器332。
在时间t2,如先前在图6中由箭头603所示,AAA服务器332将订户公钥(PK)提供到目录服务器。目录服务器确认公钥的存放。AAA服务器332还获得订户证书,所述订户证书验证公钥与移动节点300的订户关联。AAA服务器332将订户证书打包到EAP请求消息中,使用MAC值来保护所述EAP请求消息。如箭头703所示,AAA服务器332将EAP请求消息发送到AAA代理316。如箭头704和705所示,AAA代理316将EAP请求消息发送到网关314,网关314将所述EAP请求消息进一步发送到移动节点300。移动节点在使用CA证书之前,使用MSK来验证MAC。
因此,如箭头706、707和708所示,移动节点300将包括空净荷的EAP响应消息经由网关314和AAA代理316发送到AAA服务器332。具有空净荷的EAP响应消息指示成功接收到订户证书。如箭头709、710和711所示,AAA服务器332通过将EAP成功消息经由AAA代理316和网关314发送到移动节点300来结束EAP协商。
图8是示出用于在通信系统中进行证书分发的方法的一实施例的流程图。
在步骤801,移动节点300中的安全性实体304得到必须与网关314建立安全性关联的指示。应安全性实体304的请求,例如,通过提供网关314的地址或FQDN(被分解为地址),向安全性实体304标识网关314。安全性实体304在客户机(即,移动节点300)与网关314之间启动密钥交换。
在步骤802,在从安全性实体304发送的身份消息中,将客户机的身份提供到网络。首先在网关314中接收到身份消息,网关314在检查身份之后,提供所述身份消息以便路由到本地网络中的网络实体。身份消息在到达本地网络中的网络实体之前会经过多个代理网络节点。例如,本地网络中的网络实体是AAA服务器332,其可与诸如HLR 334的外部用户数据库通信。在所述身份消息中还指定关于网关314所属的网络的信息。所述信息可被包括在身份消息中所携带的源地址字段中。源地址还可由AAA代理316来提供,从而其提供关于网关314所属的网络的信息。最终在本地网络中的网络实体中接收身份消息。
在步骤803,本地网络中的网络实体基于网关314所属的网络选择至少一个证书。
在步骤804,在被发送以便路由到网关314的消息中,由本地网络中的网络实体提供至少一个CA证书。所述消息在到达网关314之前会经过多个代理节点。由本地网络中的网络实体使用由客户机和本地网络中的网络实体共享的MSK来保护所述至少一个CA证书。例如,使用与客户机关联的IK和CK密钥来产生MSK。
在步骤805,在网关314接收到包括所述至少一个CA证书的消息。网关314将签名的消息发送到客户机。签名的消息包括网关314的证书和所述至少一个CA证书。
在步骤806,客户机从自网关314接收的签名消息取出网关314的证书和CA证书。客户机使用来自与网关的证书响应的CA证书的公钥来验证网关的证书中的签名。
在步骤807,客户机使用来自网关的证书的公钥来验证签名消息中的签名。因为包括在签名消息中的MAC值,所以客户机可信任CA证书。已经由本地网络中的网络实体使用由客户机和本地网络中的网络实体两者共享的MSK产生了MAC值。MAC值保护所述至少一个CA证书。应注意到:可通过MAC值包括其它消息字段。
在步骤808,客户机将认证响应消息经由网关314发送到本地网络中的网络实体。
在步骤809,本地网络中的网络实体验证由客户机提供的认证响应。
在本发明的一实施例中,本地网络中的网络实体将证书指纹和统一资源定位符(URL)发送到客户机,从所述证书指纹和统一资源定位符(URL)可下载到整个CA证书。对CA证书使用散列算法来形成证书指纹。客户机可下载证书并验证指纹。由于客户机可安全地将证书在它的存储器中进行高速缓存,所以可仅执行一次证书下载。这一技术方案的好处在于节省了带宽,原因在于不需要下载整个证书,整个证书会相对较长,例如,长600-800字节。
图9是示出用于在通信系统中进行获得证书的方法的一实施例的流程图。
在步骤901,移动节点300中的安全性实体304得到必须与网关314建立安全性关联的指示。应安全性实体304的请求,例如,通过提供网关314的地址或FQDN(被分解为地址),向安全性实体304标识网关314。安全性实体304在客户机(即,移动节点300)与网关314之间启动密钥交换。
在步骤902,在从安全性实体304发送的身份消息中,将客户机的身份提供到网络。首先在网关314中接收到身份消息,网关314在检查身份之后,提供所述身份消息以便路由到本地网络中的网络实体。身份消息在到达本地网络中的网络实体之前会经过多个代理网络节点。例如,本地网络中的网络实体是AAA服务器332,其可与诸如HLR 334的外部用户数据库通信。所述身份消息最终在本地网络中的网络实体中被接收。
在步骤903,本地网络中的网络实体将认证数据发送到网关314。认证数据可包括诸如结合图4所解释的RAND、AUTN和MAC的值。
在步骤904,网关基于从本地网络中的网络实体接收的认证数据将认证请求发送到移动节点300。在移动节点300的安全性实体304中接收到所述认证请求。
在步骤905,移动节点300将认证响应消息发送到网关314,网关314将所述认证响应消息发送到本地网络中的网络实体。认证响应与CA DN关联。
在步骤906,本地网络中的网络实体接收到认证响应。由网络实体基于认证数据来验证认证响应。
在步骤907,本地网络中的网络实体使用从移动节点300提供的CA DN来获得CA证书。网络实体可使用CA DN从目录服务器获得CA证书。
在步骤908,网络实体将CA证书提供到移动节点300。在响应于由移动节点300发送的认证响应消息而发送的消息中提供CA证书。CA证书是使用MSK通过MAC保护的完整性。
图10是示出用于在通信系统中进行订户公钥公布的方法的一实施例的流程图。
在步骤1001,移动节点300中的安全性实体304得到必须与网关314建立安全性关联的指示。应安全性实体304的请求,例如,通过提供网关314的地址或FQDN(被分解为地址),向安全性实体304标识网关314。安全性实体304在客户机(即,移动节点300)与网关314之间启动密钥交换。
在步骤1002,在从安全性实体304发送的身份消息中,将客户机的身份提供到网络。首先在网关314中接收到身份消息,网关314在检查身份之后,提供所述身份消息以便路由到本地网络中的网络实体。身份消息在到达本地网络中的网络实体之前会经过多个代理网络节点。例如,本地网络中的网络实体是AAA服务器332,其可与诸如HLR 334的外部用户数据库通信。所述身份消息最终在本地网络中的网络实体中被接收。
在步骤1003,本地网络中的网络实体将认证数据发送到网关314。
在步骤1004,网关基于从本地网络中的网络实体接收的认证数据将认证请求发送到移动节点300。在移动节点300的安全性实体304中接收到所述认证请求。
在步骤1005,移动节点300将认证响应消息发送到网关314,网关314将所述认证响应消息发送到本地网络中的网络实体。认证响应消息还包含对于与移动节点300关联的公钥的登记请求。认证响应消息是使用MSK通过MAC保护的完整性。
在步骤1006,本地网络中的网络实体接收到认证响应。由网络实体基于认证数据来验证认证响应,此外,由网络实体使用MSK来验证登记请求上的MAC。
在步骤1007,本地网络中的网络实体将公钥连同识别移动节点300的订户的标识符提供到目录服务器。例如,所述标识符可以是区别名称或会话初始协议URI。因此,公钥与标识符关联,通过所述标识符,其它订户可从目录服务器获得公钥。
图11是示出用于在通信系统中进行订户公钥公布和获得订户证书的方法的一实施例的流程图。
在步骤1101,移动节点300产生与移动节点300的订户关联的公钥和密钥对。因此,移动节点300中的安全性实体304得到必须与网关314建立安全性关联的指示。应安全性实体304的请求,例如,通过提供网关314的地址或FQDN(被分解为地址),向安全性实体304标识网关314。安全性实体304在客户机(即,移动节点300)与网关314之间启动密钥交换。
在步骤1102,在从安全性实体304发送的身份消息中,将客户机的身份提供到网络。首先在网关314中接收到身份消息,网关314在检查身份之后,提供所述身份消息以便路由到本地网络中的网络实体。身份消息在到达本地网络中的网络实体之前会经过多个代理网络节点。例如,本地网络中的网络实体是AAA服务器332,其可与诸如HLR 334的外部用户数据库通信。所述身份消息最终在本地网络中的网络实体中被接收。
在步骤1103,本地网络中的网络实体将认证数据发送到网关314。
在步骤1104,网关基于从本地网络中的网络实体接收的认证数据将认证请求发送到移动节点300。在移动节点300的安全性实体304中接收到所述认证请求。
在步骤1105,移动节点300将认证响应消息发送到网关314,网关314将所述认证响应消息发送到本地网络中的网络实体。认证响应与对于移动节点300的订户的公钥的登记请求关联。认证响应消息是使用MSK通过MAC保护的完整性。
在步骤1106,本地网络中的网络实体接收到认证响应。由网络实体基于认证数据来验证认证响应。此外,由网络实体使用MSK来验证登记请求上的MAC。
在步骤1107,本地网络中的网络实体获得用于在步骤1105由移动节点300发送的公钥的订户证书。例如,由网络实体或目录服务器来产生订户证书,由网络实体将公钥提供到所述目录服务器。
在步骤1108,网络实体将订户证书提供到移动节点300。在响应于由移动节点300发送的认证响应消息而发送的消息中提供订户证书。
本领域的技术人员将清楚:随着技术的发展,可通过各种方式实现本发明的基本构思。因此,本发明及其实施例并不受限于上述示例,而是可以在权利要求的范围之内变化。
Claims (49)
1.一种在至少包括移动节点、网关和网络实体的通信系统中传递证书的方法,所述方法包括:
经由网关将移动节点的身份发送到网络实体;
在所述网络实体中基于所述网关所属的网络选择至少一个第一证书;
在所述网络实体中使用第一主密钥对所述至少一个第一证书签名;
在可扩展认证协议EAP请求消息中将所述至少一个第一证书从所述网络实体提供到所述网关;
将包括所述至少一个第一证书的消息发送到所述移动节点;
在所述移动节点中使用第一主密钥验证所述消息;以及
如果验证成功,则接受所述至少一个第一证书。
2.如权利要求1所述的方法,所述方法还包括:
将网关的签名和来自所述网关的第二证书添加到所述消息;
使用所述至少一个第一证书之一来验证所述第二证书;以及
使用所述第二证书来验证所述网关的签名。
3.如权利要求1所述的方法,所述方法还包括:
在所述移动节点中导出第二主密钥;
在所述网络实体中导出所述第一主密钥;以及
在所述移动节点中使用所述第二主密钥验证所述至少一个第一证书的签名。
4.如权利要求1所述的方法,所述方法还包括:
在可扩展认证协议EAP请求中,将询问和期望的响应从所述网络实体提供到所述网关;
在可扩展认证协议EAP请求中,将所述询问从所述网关提供到所述移动节点;
将对于所述询问的可扩展认证协议EAP响应从所述移动节点提供到所述网络实体;以及
使用所述期望的响应来验证所述响应。
5.如权利要求1所述的方法,所述方法还包括:
获得从订户寄存器到所述网络实体的至少一个认证向量;以及
使用属于所述至少一个认证向量的认证向量中的至少一个密钥来计算所述第一主密钥。
6.如权利要求1所述的方法,其中,所述第一证书是证书发行机构证书。
7.如权利要求1所述的方法,其中,所述通信系统包括无线局域网。
8.如权利要求7所述的方法,其中,所述通信系统包括移动通信系统。
9.如权利要求1所述的方法,其中,所述移动通信系统包括全球移动通信系统GSM网络和通用移动电话系统UMTS网络中的至少一个。
10.如权利要求1所述的方法,其中,所述网络实体和所述网关使用直径基本DIAMETER协议和远程认证拨入用户服务RADIUS协议中的至少一种进行通信。
11.如权利要求1所述的方法,所述方法还包括:
在所述移动节点与所述网关之间交换Diffie-Hellman值;以及
在所述移动节点与所述网关之间建立安全性关联。
12.一种用于在至少包括移动节点、网关和网络实体的通信系统中获得证书的方法,所述方法包括:
经由网关将移动节点的身份发送到网络实体;
将认证数据从所述网络实体发送到所述网关;
将可扩展认证协议EAP认证请求从所述网关发送到所述移动节点;
在移动节点中使用主密钥对证书发行机构身份进行签名;
经由所述网关将认证响应和签名的证书发行机构身份从所述移动节点发送到所述网络实体;
在所述网络实体中使用主密钥来验证签名的证书发行机构身份;
在所述网络实体中获得具有所述证书发行机构身份的第一证书;以及
经由所述网关将所述第一证书从所述网络实体发送到所述移动节点。
13.一种用于在至少包括移动节点、网关和网络实体的通信系统中公布证书的方法,所述方法包括:
经由网关将移动节点的身份发送到网络实体;
将认证数据从所述网络实体发送到所述网关;
将可扩展认证协议EAP认证请求发送到所述移动节点;
在所述移动节点中使用主密钥对至少包括公钥的登记请求进行签名;
经由所述网关将认证响应和所述签名的登记请求从所述移动节点发送到所述网络实体;
在所述网络实体中验证对登记请求的签名;以及
由所述网络实体向安全目录至少提供所述公钥。
14.一种用于在至少包括移动节点、网关和网络实体的通信系统中获得订户证书的方法,所述方法包括:
经由网关将移动节点的身份发送到网络实体;
将认证数据从所述网络实体发送到所述网关;
将可扩展认证协议EAP认证请求从所述网关发送到所述移动节点;
在所述移动节点中使用主密钥对至少包含公钥的登记请求进行签名;
经由所述网关将认证响应以及用于公钥的签名的登记请求从所述移动节点发送到所述网络实体;
在所述网络实体中验证对登记请求的签名;
响应于接收所述公钥而产生用于所述公钥的订户证书;以及
经由所述网关将所述订户证书从所述网络实体发送到所述移动节点。
15.一种至少包括移动节点、网关和网络实体的系统,所述系统还包括:
移动节点中的移动节点安全性实体,所述移动节点安全性实体被配置以经由网关将所述移动节点的身份发送到网络实体,使用主密钥验证消息,以及如果验证成功,则接受至少一个第一证书;
所述网关中的网关安全性实体,所述网关安全性实体被配置以将包括所述至少一个第一证书的消息发送到所述移动节点;以及
所述网络实体中的证书传递实体,所述证书传递实体被配置以基于所述网关所属的网络选择所述至少一个第一证书,在所述网络实体中使用主密钥对所述至少一个第一证书进行签名,以及在可扩展认证协议EAP请求消息中将所述至少一个第一证书从所述网络实体提供到所述网关。
16.如权利要求15所述的系统,其中:
所述网关安全性实体被配置以将网关的签名和来自所述网关的第二证书添加到所述消息;并且
所述移动节点安全性实体被配置以使用至少一个第一证书之一来验证所述第二证书,并使用所述第二证书来验证网关的所述签名。
17.如权利要求15所述的系统,其中:
所述移动节点安全性实体被配置以在所述移动节点中导出第一主密钥,并使用所述第一主密钥验证所述至少一个第一证书的签名;以及
所述网络实体中的证书传递实体被配置以导出所述主密钥。
18.如权利要求15所述的系统,所述系统还包括:
所述网络实体中的认证实体,其被配置以将询问和期望的响应提供到所述网关;
以及其中
移动节点安全性实体被配置以将对所述询问的响应提供到所述网关;以及
网络安全性实体被配置以将所述询问提供到所述移动节点并使用所述期望的响应来验证所述响应。
19.如权利要求15所述的系统,所述系统还包括:
认证实体,被配置以获得从订户寄存器到所述网络实体的至少一个认证向量,并使用属于所述至少一个认证向量的认证向量中的至少一个密钥来计算所述主密钥;以及
订户寄存器,被配置以提供所述至少一个认证向量。
20.如权利要求15所述的系统,其中,所述至少一个第一证书是证书发行机构证书。
21.如权利要求15所述的系统,其中,所述系统包括无线局域网。
22.如权利要求15所述的系统,其中,所述系统包括移动通信系统。
23.如权利要求22所述的系统,其中,所述移动通信系统包括全球移动通信系统GSM网络和通用移动电话系统UMTS网络中的至少一个。
24.如权利要求15所述的系统,其中,所述网络实体和所述网关被配置以使用DIAMETER协议和RADIUS协议中的至少一种进行通信。
25.如权利要求15所述的系统,其中:
网络节点安全性实体被配置以将第一Diffie-Hellman值提供到所述网关,并在所述移动节点与所述网关之间建立安全性关联;以及
网关安全性实体被配置以将第二Diffie-Hellman值提供给所述移动节点。
26.一种至少包括移动节点、网关和网络实体的系统,所述系统还包括:
移动节点中的移动节点安全性实体,所述移动节点安全性实体被配置以经由网关将所述移动节点的身份发送到网络实体,使用主密钥对证书发行机构身份进行签名,经由所述网关将认证响应以及所述签名的证书发行机构身份发送到所述网络实体;
所述网关中的网关安全性实体,所述网关安全性实体被配置以将可扩展认证协议EAP认证请求发送到所述移动节点;
所述网络实体中的认证实体,所述认证实体被配置以将认证数据发送到所述网关;以及
所述网络实体中的证书传递实体,所述证书传递实体被配置以使用主密钥验证签名的证书发行机构身份,获得具有所述证书发行机构身份的第一证书,并经由所述网关将所述第一证书发送到所述移动节点。
27.一种至少包括移动节点、网关和网络实体的系统,所述系统还包括:
移动节点中的移动节点安全性实体,所述移动节点安全性实体被配置以经由网关将所述移动节点的身份发送到网络实体,使用主密钥对至少包括公钥的登记请求进行签名,并经由所述网关将认证响应以及所述签名的登记请求发送到所述网络实体;
所述网关中的网关安全性实体,所述网关安全性实体被配置以发送可扩展认证协议EAP认证请求;以及
所述网络实体中的公钥公布实体,所述公钥公布实体被配置以将认证数据发送到所述网关,验证对所述登记请求的签名,并向安全目录至少提供所述公钥。
28.一种至少包括移动节点、网关和网络实体的系统,所述系统还包括:
移动节点中的移动节点安全性实体,所述移动节点安全性实体被配置以经由网关将所述移动节点的身份发送到网络实体,使用主密钥对至少包括公钥的登记请求进行签名,并经由所述网关将认证响应以及所述登记请求发送到所述网络实体;
所述网关中的网关安全性实体,所述网关安全性实体被配置以将可扩展认证协议EAP认证请求发送到所述移动节点;
所述网络实体中的认证实体,所述认证实体被配置以将认证数据发送到所述网关,并验证对所述登记请求的签名;以及
所述网络实体中的证书传递实体,所述证书传递实体被配置以响应于接收所述公钥而产生用于所述公钥的订户证书,并经由所述网关将所述订户证书从所述网络实体发送到所述移动节点。
29.一种网络节点,包括:
认证实体,被配置以从网关接收移动节点的身份并认证所述移动节点;以及
证书传递实体,被配置以基于所述网关所属的网络选择至少一个第一证书,在所述网络实体中使用主密钥对所述至少一个第一证书进行签名,并将所述至少一个第一证书从所述网络实体提供到所述移动节点。
30.一种网络节点,包括:
认证实体,被配置以从网关接收移动节点的身份并认证所述移动节点;以及
证书传递实体,被配置以从所述移动节点接收签名的证书发行机构身份,使用主密钥来验证所述签名的证书发行机构身份,获得具有所述证书发行机构身份的第一证书,使用所述主密钥对所述第一证书进行签名,经由所述网关将所述第一证书从所述网络实体提供到所述移动节点。
31.一种网络节点,包括:
认证实体,被配置以从网关接收移动节点的身份,利用可扩展认证协议EAP认证来认证所述移动节点,并验证对登记请求的签名;以及
公钥公布实体,被配置以在可扩展认证协议EAP响应消息中从所述移动节点接收验证的公钥,并在安全目录中公布所述公钥。
32.一种网络节点,包括:
认证实体,被配置以从网关接收移动节点的身份,利用可扩展认证协议EAP认证来认证所述移动节点,并验证对登记请求的签名;以及
所述网络实体中的证书传递实体,被配置以响应于接收公钥而产生用于所述公钥的订户证书,并经由所述网关将所述订户证书从所述网络实体发送到所述移动节点。
33.一种电子装置,包括:
安全性实体,被配置以将电子装置的身份发送到网关,接收至少一个由网络实体签名的第一证书,使用与电子装置关联的智能卡上的秘密密钥导出主会话密钥,并使用主密钥验证所述至少一个第一证书的签名。
34.如权利要求33所述的电子装置,其中,所述电子装置包括移动台。
35.如权利要求33所述的电子装置,其中,所述电子装置包括无线局域网终端。
36.如权利要求33所述的电子装置,其中,所述智能卡包括用户标识模块SIM。
37.一种电子装置,包括:
安全性实体,被配置以将电子装置的身份发送到网关,使用与电子装置关联的智能卡上的秘密密钥来导出主会话密钥,将利用主密钥签名的证书发行机构身份发送到网关,接收由网络实体签名的第一证书,并使用主密钥验证第一证书的签名。
38.一种电子装置,包括:
安全性实体,被配置以产生公钥和私钥,将电子装置的身份发送到网关,接收可扩展认证协议EAP认证请求,使用主密钥对至少包括所述公钥的登记请求进行签名,并发送包括所述登记请求的可扩展认证协议EAP认证响应。
39.一种电子装置,包括:
安全性实体,被配置以产生公钥和私钥,将电子装置的身份发送到网关,使用与电子装置关联的智能卡上的秘密密钥导出主会话密钥,使用主密钥对至少包括所述公钥的登记请求进行签名,接收可扩展认证协议EAP认证请求,发送包括所述登记请求的可扩展认证协议EAP认证响应,接收用于所述公钥的订户证书,并使用所述主密钥验证用于所述订户证书的消息认证。
40.一种包括代码的计算机程序,其被配置以当在数据处理系统上执行时执行以下步骤:
从网关接收移动节点的身份;
确定所述网关所属的网络;
基于所述网关所属的网络选择至少一个第一证书;
使用与所述移动节点关联的主密钥对所述至少一个第一证书进行签名;以及
将所述至少一个第一证书提供到所述移动节点。
41.如权利要求40所述的计算机程序,其中,所述计算机程序存储在计算机可读介质中。
42.如权利要求41所述的计算机程序,其中,所述计算机可读介质是可移除存储卡。
43.如权利要求41所述的计算机程序,其中,所述计算机可读介质是磁盘或光盘。
44.一种包括代码的计算机程序,其被配置以当在数据处理系统上执行时执行以下步骤:
从网关接收移动节点的身份;
经由所述网关将可扩展认证协议EAP请求发送到所述移动节点;
经由所述网关从所述移动节点接收包括签名的证书发行机构身份的可扩展认证协议EAP响应;
使用主密钥验证签名的证书发行机构身份;
使用所述证书发行机构身份检索证书发行机构证书;
使用所述主密钥对所述证书发行机构证书进行签名;以及
经由所述网关将包括所述证书发行机构证书的可扩展认证协议EAP请求发送到所述移动节点。
45.如权利要求44所述的计算机程序,其中,所述计算机程序存储在计算机可读介质中。
46.一种包括代码的计算机程序,其被配置以当在数据处理系统上执行时执行以下步骤:
经由网关接收移动节点的身份;
将可扩展认证协议EAP请求发送到所述移动节点;
经由所述网关从所述移动节点接收可扩展认证协议EAP响应和用于公钥的签名的登记请求;
验证对登记请求的签名;以及
将所述公钥提供到安全目录。
47.如权利要求46所述的计算机程序,其中,所述计算机程序存储在计算机可读介质上。
48.一种包括代码的计算机程序,其被配置以当在数据处理系统上执行时执行以下步骤:
经由网关接收移动节点的身份;
将可扩展认证协议EAP认证请求发送到所述移动节点;
经由所述网关从所述移动节点接收可扩展认证协议EAP认证响应以及用于公钥的签名的登记请求;
验证对登记请求的签名;
产生用于所述公钥的订户证书;
在使用主密钥签名的可扩展认证协议EAP请求消息中经由所述网关将所述订户证书发送到所述移动节点;以及
经由确认所述订户证书的所述网关来接收可扩展认证协议EAP响应消息。
49.如权利要求48所述的计算机程序,其中,所述计算机程序存储在计算机可读介质上。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FI20050491A FI20050491A0 (fi) | 2005-05-09 | 2005-05-09 | Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä |
| FI20050491 | 2005-05-09 | ||
| PCT/FI2006/000150 WO2006120288A2 (en) | 2005-05-09 | 2006-05-08 | Method for distributing certificates in a communication system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101160924A true CN101160924A (zh) | 2008-04-09 |
| CN101160924B CN101160924B (zh) | 2012-03-28 |
Family
ID=34630061
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800126639A Expired - Fee Related CN101160924B (zh) | 2005-05-09 | 2006-05-08 | 在通信系统中分发证书的方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US7984291B2 (zh) |
| EP (1) | EP1880527B1 (zh) |
| JP (1) | JP4801147B2 (zh) |
| KR (1) | KR101158956B1 (zh) |
| CN (1) | CN101160924B (zh) |
| FI (1) | FI20050491A0 (zh) |
| WO (1) | WO2006120288A2 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102625306A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 认证方法、系统和设备 |
| WO2013056668A1 (zh) * | 2011-10-20 | 2013-04-25 | 中兴通讯股份有限公司 | 一种使用eap进行外部认证的设备、系统及方法 |
| CN104796255A (zh) * | 2014-01-21 | 2015-07-22 | 中国移动通信集团安徽有限公司 | 一种客户端的安全认证方法、设备及系统 |
| CN105516066A (zh) * | 2014-09-26 | 2016-04-20 | 阿里巴巴集团控股有限公司 | 一种对中间人的存在进行辨识的方法及装置 |
| CN106537871A (zh) * | 2014-07-11 | 2017-03-22 | 因特鲁斯特公司 | 用于在网络中提供设备的登记的系统、方法和装置 |
| WO2018053856A1 (zh) * | 2016-09-26 | 2018-03-29 | 华为技术有限公司 | 一种消息转发的方法、装置及接入网关 |
Families Citing this family (61)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100770928B1 (ko) * | 2005-07-02 | 2007-10-26 | 삼성전자주식회사 | 통신 시스템에서 인증 시스템 및 방법 |
| US8613071B2 (en) * | 2005-08-10 | 2013-12-17 | Riverbed Technology, Inc. | Split termination for secure communication protocols |
| US20090083537A1 (en) * | 2005-08-10 | 2009-03-26 | Riverbed Technology, Inc. | Server configuration selection for ssl interception |
| US7715562B2 (en) * | 2006-03-06 | 2010-05-11 | Cisco Technology, Inc. | System and method for access authentication in a mobile wireless network |
| CN101496387B (zh) | 2006-03-06 | 2012-09-05 | 思科技术公司 | 用于移动无线网络中的接入认证的系统和方法 |
| US8782393B1 (en) | 2006-03-23 | 2014-07-15 | F5 Networks, Inc. | Accessing SSL connection data by a third-party |
| US8160255B2 (en) * | 2006-04-24 | 2012-04-17 | Cisco Technology, Inc. | System and method for encrypted group network communication with point-to-point privacy |
| US7752463B2 (en) * | 2006-09-07 | 2010-07-06 | International Business Machines Corporation | Automatically filling a drive table |
| US8881283B2 (en) * | 2006-10-06 | 2014-11-04 | Juniper Networks, Inc. | System and method of malware sample collection on mobile networks |
| FI121560B (fi) * | 2006-11-20 | 2010-12-31 | Teliasonera Ab | Todentaminen matkaviestintäyhteistoimintajärjestelmässä |
| US8087085B2 (en) * | 2006-11-27 | 2011-12-27 | Juniper Networks, Inc. | Wireless intrusion prevention system and method |
| US8254882B2 (en) * | 2007-01-29 | 2012-08-28 | Cisco Technology, Inc. | Intrusion prevention system for wireless networks |
| CN100454876C (zh) * | 2007-02-06 | 2009-01-21 | 西安西电捷通无线网络通信有限公司 | 无线局域网wapi安全机制中证书的申请方法 |
| US8583915B1 (en) * | 2007-05-31 | 2013-11-12 | Bby Solutions, Inc. | Security and authentication systems and methods for personalized portable devices and associated systems |
| US20100185849A1 (en) * | 2007-06-11 | 2010-07-22 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangement for certificate handling |
| US8280057B2 (en) * | 2007-09-04 | 2012-10-02 | Honeywell International Inc. | Method and apparatus for providing security in wireless communication networks |
| US8625610B2 (en) * | 2007-10-12 | 2014-01-07 | Cisco Technology, Inc. | System and method for improving spoke to spoke communication in a computer network |
| JP5167759B2 (ja) * | 2007-10-24 | 2013-03-21 | 日本電気株式会社 | 通信システム、通信方法、認証情報管理サーバおよび小型基地局 |
| US8346961B2 (en) * | 2007-12-12 | 2013-01-01 | Cisco Technology, Inc. | System and method for using routing protocol extensions for improving spoke to spoke communication in a computer network |
| US8839403B2 (en) * | 2007-12-31 | 2014-09-16 | Sandisk Il Ltd. | Local proxy system and method |
| US20090239503A1 (en) * | 2008-03-20 | 2009-09-24 | Bernard Smeets | System and Method for Securely Issuing Subscription Credentials to Communication Devices |
| US8321670B2 (en) * | 2008-07-11 | 2012-11-27 | Bridgewater Systems Corp. | Securing dynamic authorization messages |
| US8181030B2 (en) * | 2008-12-02 | 2012-05-15 | Electronics And Telecommunications Research Institute | Bundle authentication system and method |
| US8533466B2 (en) | 2008-12-23 | 2013-09-10 | Nbcuniversal Media, Llc | Electronic file access control system and method |
| US20100199095A1 (en) * | 2009-01-30 | 2010-08-05 | Texas Instruments Inc. | Password-Authenticated Association Based on Public Key Scrambling |
| WO2010145686A1 (en) * | 2009-06-15 | 2010-12-23 | Nokia Siemens Networks Oy | Gateway certificate creation and validation |
| DE102009036179A1 (de) * | 2009-08-05 | 2011-02-10 | Siemens Aktiengesellschaft | Verfahren zur Ausstellung eines digitalen Zertifikats durch eine Zertifizierungsstelle, Anordnung zur Durchführung des Verfahrens und Rechnersystem einer Zertifizierungsstelle |
| WO2011023338A1 (en) * | 2009-08-25 | 2011-03-03 | Deutsche Telekom Ag | Method client and system for authentication of a low-security client and a high-security client in a mobile radio network |
| US8700892B2 (en) | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
| US9202049B1 (en) | 2010-06-21 | 2015-12-01 | Pulse Secure, Llc | Detecting malware on mobile devices |
| DE102010035098A1 (de) * | 2010-08-23 | 2012-02-23 | Giesecke & Devrient Gmbh | Verfahren zum Authentisieren eines portablen Datenträgers |
| WO2012172533A1 (en) * | 2011-06-16 | 2012-12-20 | Accuris Technologies Limited | A device authentication method and devices |
| CN102917356B (zh) * | 2011-08-03 | 2015-08-19 | 华为技术有限公司 | 将用户设备接入演进的分组核心网络的方法、设备和系统 |
| US8522035B2 (en) | 2011-09-20 | 2013-08-27 | Blackberry Limited | Assisted certificate enrollment |
| EP2797780B1 (en) * | 2011-12-29 | 2020-01-22 | Intel Corporation | Secured electronic device |
| KR101683251B1 (ko) * | 2014-03-27 | 2016-12-06 | 한국전자통신연구원 | 센서 네트워크에서 센서 노드 설정 방법, 보안 설정 방법 및 이를 포함하는 센서 네트워크 시스템 |
| US9477841B2 (en) | 2014-03-28 | 2016-10-25 | Tyco Fire & Security Gmbh | Network node security using short range communication |
| US10114939B1 (en) * | 2014-09-22 | 2018-10-30 | Symantec Corporation | Systems and methods for secure communications between devices |
| US10560842B2 (en) | 2015-01-28 | 2020-02-11 | Verint Systems Ltd. | System and method for combined network-side and off-air monitoring of wireless networks |
| WO2017010925A1 (en) * | 2015-07-15 | 2017-01-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Enabling setting up a secure peer-to-peer connection |
| US10264092B2 (en) * | 2015-08-24 | 2019-04-16 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Signature based distributed inventory caching |
| US10992649B2 (en) * | 2016-04-01 | 2021-04-27 | Consensys Software Inc. | Systems and methods for privacy in distributed ledger transactions |
| IL245299B (en) | 2016-04-25 | 2021-05-31 | Verint Systems Ltd | A system and method for decoding communication transmitted in a wireless local communication network |
| US10250587B2 (en) * | 2016-09-30 | 2019-04-02 | Microsoft Technology Licensing, Llc | Detecting malicious usage of certificates |
| WO2018187937A1 (en) * | 2017-04-11 | 2018-10-18 | Huawei Technologies Co., Ltd. | Network authentication method, device, and system |
| US10749692B2 (en) | 2017-05-05 | 2020-08-18 | Honeywell International Inc. | Automated certificate enrollment for devices in industrial control systems or other systems |
| IL254438B (en) | 2017-09-07 | 2021-12-01 | Verint Systems Ltd | A system and method for decoding communication on the umts network |
| CN111165001B (zh) * | 2017-10-02 | 2023-05-16 | 瑞典爱立信有限公司 | 用于保护网络操控信息的方法和装置 |
| US10701032B2 (en) | 2018-02-13 | 2020-06-30 | Palo Alto Networks, Inc. | Application layer signaling security with next generation firewall |
| US10693838B2 (en) | 2018-02-13 | 2020-06-23 | Palo Alto Networks, Inc. | Transport layer signaling security with next generation firewall |
| CN115643097B (zh) * | 2018-02-13 | 2024-05-10 | 帕洛阿尔托网络公司 | 利用下一代防火墙的用于信令安全性的系统和方法、以及计算机可读存储介质 |
| US10715491B2 (en) | 2018-02-13 | 2020-07-14 | Palo Alto Networks, Inc. | Diameter security with next generation firewall |
| US10701033B2 (en) | 2018-02-13 | 2020-06-30 | Palo Alto Networks, Inc. | Network layer signaling security with next generation firewall |
| EP3674934A1 (en) * | 2018-12-26 | 2020-07-01 | Thales Dis France SA | Biometric acquisition system and method |
| US20200322334A1 (en) * | 2019-04-05 | 2020-10-08 | Cisco Technology, Inc. | Authentication of network devices based on extensible access control protocols |
| US11151276B1 (en) * | 2019-04-15 | 2021-10-19 | Trend Micro Incorporated | Systems and methods for data certificate notarization utilizing bridging from private blockchain to public blockchain |
| CN111416760B (zh) * | 2020-03-30 | 2022-11-08 | 京东方科技集团股份有限公司 | 一种信息同步方法、终端及信息同步系统 |
| US20210321255A1 (en) * | 2020-04-10 | 2021-10-14 | Qualcomm Incorporated | Method and apparatus for verifying mobile device communications |
| US11546176B2 (en) * | 2020-08-26 | 2023-01-03 | Rockwell Collins, Inc. | System and method for authentication and cryptographic ignition of remote devices |
| US11799662B2 (en) * | 2021-02-15 | 2023-10-24 | Sony Semiconductor Solutions Corporation | Efficient data item authentication |
| CN113115310A (zh) * | 2021-04-08 | 2021-07-13 | 武汉极意网络科技有限公司 | 一种无感认证网关调用方法 |
Family Cites Families (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7743248B2 (en) * | 1995-01-17 | 2010-06-22 | Eoriginal, Inc. | System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components |
| US6246771B1 (en) * | 1997-11-26 | 2001-06-12 | V-One Corporation | Session key recovery system and method |
| EP1131962A1 (en) | 1998-12-21 | 2001-09-12 | Kent Ridge Digital Labs | Mobile communications network |
| GB2389749B (en) * | 1999-05-28 | 2004-02-25 | Nec Corp | Mobile telecommunications system |
| JP3570310B2 (ja) * | 1999-10-05 | 2004-09-29 | 日本電気株式会社 | 無線lanシステムにおける認証方法と認証装置 |
| GB2364477B (en) * | 2000-01-18 | 2003-11-05 | Ericsson Telefon Ab L M | Virtual private networks |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| US7107248B1 (en) | 2000-09-11 | 2006-09-12 | Nokia Corporation | System and method of bootstrapping a temporary public-key infrastructure from a cellular telecommunication authentication and billing infrastructure |
| US7308431B2 (en) * | 2000-09-11 | 2007-12-11 | Nokia Corporation | System and method of secure authentication and billing for goods and services using a cellular telecommunication and an authorization infrastructure |
| US20020136226A1 (en) * | 2001-03-26 | 2002-09-26 | Bluesocket, Inc. | Methods and systems for enabling seamless roaming of mobile devices among wireless networks |
| US7900242B2 (en) * | 2001-07-12 | 2011-03-01 | Nokia Corporation | Modular authentication and authorization scheme for internet protocol |
| JP3865317B2 (ja) * | 2001-09-19 | 2007-01-10 | 日立ソフトウエアエンジニアリング株式会社 | 無線lan端末の無線lanへの参加制御方法および無線lan基地局装置並びに無線lan端末装置 |
| FI114953B (fi) * | 2001-09-28 | 2005-01-31 | Nokia Corp | Menetelmä käyttäjän tunnistamiseksi päätelaitteessa, tunnistusjärjestelmä, päätelaite ja käyttöoikeuksien varmistuslaite |
| FI114276B (fi) | 2002-01-11 | 2004-09-15 | Nokia Corp | Verkkovierailun järjestäminen |
| JP3831331B2 (ja) * | 2001-11-09 | 2006-10-11 | 株式会社エヌ・ティ・ティ・ドコモ | モバイルipネットワークへのアクセスを安全にする方法 |
| JP3822555B2 (ja) | 2001-11-09 | 2006-09-20 | 株式会社エヌ・ティ・ティ・ドコモ | 安全なネットワークアクセス方法 |
| US7577425B2 (en) * | 2001-11-09 | 2009-08-18 | Ntt Docomo Inc. | Method for securing access to mobile IP network |
| US7362869B2 (en) * | 2001-12-10 | 2008-04-22 | Cryptomathic A/S | Method of distributing a public key |
| CN1215386C (zh) * | 2002-04-26 | 2005-08-17 | St微电子公司 | 根据量子软计算控制过程或处理数据的方法和硬件体系结构 |
| ES2295336T3 (es) * | 2002-05-01 | 2008-04-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Sistema, aparato y metodo para la autentificacion y encriptacion basadas en sim (modulo de identificacion del suscriptor) en el acceso de una red de area local inalambrica (wlan). |
| GB0221674D0 (en) | 2002-09-18 | 2002-10-30 | Nokia Corp | Linked authentication protocols |
| FI20021833A0 (fi) | 2002-10-09 | 2002-10-15 | Nokia Corp | Sertifikaattien toimittamisen kontrollointi matkaviestinjärjestelmässä |
| US7284062B2 (en) * | 2002-12-06 | 2007-10-16 | Microsoft Corporation | Increasing the level of automation when provisioning a computer system to access a network |
| JP2004208073A (ja) * | 2002-12-25 | 2004-07-22 | Sony Corp | 無線通信システム |
| JP4039277B2 (ja) * | 2003-03-06 | 2008-01-30 | ソニー株式会社 | 無線通信システム、端末、その端末における処理方法並びにその方法を端末に実行させるためのプログラム |
| JP2004343448A (ja) * | 2003-05-15 | 2004-12-02 | Matsushita Electric Ind Co Ltd | 無線lanアクセス認証システム |
| CN1836419B (zh) * | 2003-06-18 | 2010-09-01 | 艾利森电话股份有限公司 | 在cdma系统中支持移动ip第6版业务的方法、系统和设备 |
| WO2004112347A1 (en) * | 2003-06-18 | 2004-12-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Method, system and apparatus to support hierarchical mobile ip services |
| EP1492296B1 (en) * | 2003-06-26 | 2007-04-25 | Telefonaktiebolaget LM Ericsson (publ) | Apparatus and method for a single a sign-on authentication through a non-trusted access network |
| JP4252063B2 (ja) * | 2003-09-10 | 2009-04-08 | 富士通株式会社 | ユーザ位置利用システム |
| JP4299621B2 (ja) * | 2003-09-24 | 2009-07-22 | 日本電信電話株式会社 | サービス提供方法、サービス提供プログラム、ホスト装置、および、サービス提供装置 |
| US7299354B2 (en) * | 2003-09-30 | 2007-11-20 | Intel Corporation | Method to authenticate clients and hosts to provide secure network boot |
| US7607012B2 (en) * | 2003-10-01 | 2009-10-20 | Nokia Corporation | Method for securing a communication |
| US8341700B2 (en) * | 2003-10-13 | 2012-12-25 | Nokia Corporation | Authentication in heterogeneous IP networks |
| US20050272466A1 (en) | 2004-05-03 | 2005-12-08 | Nokia Corporation | Selection of wireless local area network (WLAN) with a split WLAN user equipment |
| US7640428B2 (en) * | 2004-09-02 | 2009-12-29 | Research In Motion Limited | System and method for searching and retrieving certificates |
| JP2006086907A (ja) * | 2004-09-17 | 2006-03-30 | Fujitsu Ltd | 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム |
-
2005
- 2005-05-09 FI FI20050491A patent/FI20050491A0/fi not_active Application Discontinuation
-
2006
- 2006-02-09 US US11/350,087 patent/US7984291B2/en active Active
- 2006-05-08 KR KR1020077028697A patent/KR101158956B1/ko active IP Right Grant
- 2006-05-08 EP EP06743518A patent/EP1880527B1/en active Active
- 2006-05-08 WO PCT/FI2006/000150 patent/WO2006120288A2/en not_active Application Discontinuation
- 2006-05-08 JP JP2008510603A patent/JP4801147B2/ja not_active Expired - Fee Related
- 2006-05-08 CN CN2006800126639A patent/CN101160924B/zh not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102625306A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 认证方法、系统和设备 |
| WO2013056668A1 (zh) * | 2011-10-20 | 2013-04-25 | 中兴通讯股份有限公司 | 一种使用eap进行外部认证的设备、系统及方法 |
| CN104796255A (zh) * | 2014-01-21 | 2015-07-22 | 中国移动通信集团安徽有限公司 | 一种客户端的安全认证方法、设备及系统 |
| CN106537871A (zh) * | 2014-07-11 | 2017-03-22 | 因特鲁斯特公司 | 用于在网络中提供设备的登记的系统、方法和装置 |
| CN105516066A (zh) * | 2014-09-26 | 2016-04-20 | 阿里巴巴集团控股有限公司 | 一种对中间人的存在进行辨识的方法及装置 |
| CN105516066B (zh) * | 2014-09-26 | 2019-04-09 | 阿里巴巴集团控股有限公司 | 一种对中间人的存在进行辨识的方法及装置 |
| WO2018053856A1 (zh) * | 2016-09-26 | 2018-03-29 | 华为技术有限公司 | 一种消息转发的方法、装置及接入网关 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006120288A2 (en) | 2006-11-16 |
| US7984291B2 (en) | 2011-07-19 |
| EP1880527A4 (en) | 2010-03-10 |
| FI20050491A0 (fi) | 2005-05-09 |
| EP1880527A2 (en) | 2008-01-23 |
| US20060253703A1 (en) | 2006-11-09 |
| JP2008541590A (ja) | 2008-11-20 |
| KR20080047503A (ko) | 2008-05-29 |
| KR101158956B1 (ko) | 2012-06-21 |
| JP4801147B2 (ja) | 2011-10-26 |
| EP1880527B1 (en) | 2012-11-28 |
| CN101160924B (zh) | 2012-03-28 |
| WO2006120288A3 (en) | 2007-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101160924B (zh) | 在通信系统中分发证书的方法 | |
| US10425808B2 (en) | Managing user access in a communications network | |
| Arkko et al. | Extensible authentication protocol method for 3rd generation authentication and key agreement (EAP-AKA) | |
| US7900242B2 (en) | Modular authentication and authorization scheme for internet protocol | |
| Simon et al. | The EAP-TLS authentication protocol | |
| US7707412B2 (en) | Linked authentication protocols | |
| US7653813B2 (en) | Method and apparatus for address creation and validation | |
| US9043599B2 (en) | Method and server for providing a mobility key | |
| US20040236965A1 (en) | System for cryptographical authentication | |
| CN101185311A (zh) | 为移动互联网协议密钥分发使用通用认证架构 | |
| KR100973118B1 (ko) | 듀얼 스택 동작의 인가를 인터워킹하기 위한 방법 및 장치 | |
| US8275987B2 (en) | Method for transmission of DHCP messages | |
| Arkko et al. | RFC 4187: Extensible authentication protocol method for 3rd generation authentication and key agreement (eap-aka) | |
| TWI448128B (zh) | 用於雙堆疊操作互通授權的方法及裝置 | |
| Kambourakis et al. | Support of subscribers’ certificates in a hybrid WLAN-3G environment | |
| Mizikovsky et al. | CDMA 1x EV-DO security | |
| Pagliusi | Internet Authentication for Remote Access | |
| Agreement | Network Working Group J. Arkko Internet-Draft Ericsson Expires: October 4, 2004 H. Haverinen Nokia April 5, 2004 | |
| Authentication | Network Working Group J. Arkko Internet Draft Ericsson Document: draft-arkko-pppext-eap-aka-11. txt H. Haverinen Expires: 27 April, 2004 Nokia 27 October, 2003 | |
| Hoeper | Channel Binding Support for EAP Methods draft-ietf-emu-chbind-16. txt | |
| Hoeper | EMU Working Group S. Hartman, Ed. Internet-Draft Painless Security Intended status: Standards Track T. Clancy Expires: May 2, 2012 Electrical and Computer Engineering |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20090116 Address after: American Delaware Applicant after: NOKIA Corp. Address before: Helsinki Applicant before: NOKIA Corp. |
|
| ASS | Succession or assignment of patent right |
Owner name: SIBIDE SAILING CO., LTD. Free format text: FORMER OWNER: NOKIA NETWORKS OY Effective date: 20090116 |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: INTELLECTUAL VENTURES NO.1 CO., LTD. Free format text: FORMER OWNER: SPYDER NAVIGATIONS L. L. C. Effective date: 20120227 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20120227 Address after: Delaware Patentee after: SPYDER NAVIGATIONS LLC Address before: American Delaware Patentee before: NOKIA Corp. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120328 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |