CN101345723A - 客户网关的管理认证方法和认证系统 - Google Patents
客户网关的管理认证方法和认证系统 Download PDFInfo
- Publication number
- CN101345723A CN101345723A CNA2007101295838A CN200710129583A CN101345723A CN 101345723 A CN101345723 A CN 101345723A CN A2007101295838 A CNA2007101295838 A CN A2007101295838A CN 200710129583 A CN200710129583 A CN 200710129583A CN 101345723 A CN101345723 A CN 101345723A
- Authority
- CN
- China
- Prior art keywords
- client gateway
- authentication
- administrative
- secondary key
- administrative authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例涉及一种CNG的管理认证方法,UAAF对CNG进行接入认证;UAAF生成CNG和CNGCF之间的管理认证凭证并发送给CNGCF和CNG;采用保存的管理认证凭证进行认证。本发明实施例还涉及一种CNG和CNGCF的管理认证方法,UAAF对CNG进行接入认证,生成第一PSK和第二PSK;CNG向CNGCF发送包含第一PSK的管理认证请求;根据第一PSK和第二PSK进行管理认证。本发明实施例还涉及CNG和CNGCF的管理认证系统。因此本发明实施例能够自动实现认证凭证的生成、分发和修改,降低运营商的运营成本和提高运营效率。
Description
技术领域
本发明实施例涉及客户网关(Customer Network Gateway,CNG)的管理认证方法和认证系统,尤其是一种客户网关和客户网关配置功能(CNGConfiguration Function,CNGCF)的管理认证方法和认证系统。
背景技术
如图1所示,为现有技术的CNG和CNGCF的认证系统的结构示意图,现有的网络附着子系统(Network Attachment Sub-system,NASS)包括如下功能实体:网络接入配置模块(Network Access Configuration Function,NACF),具有网络接入配置功能;连接会话定位和存储模块(Connectivity SessionLocation and Repository Function,CLF),具有连接性会话定位功能;用户接入授权模块(User Access Authorization Function,UAAF),具有用户接入授权功能;配置数据库模块(Profile Database Function,PDBF),具有用户签约数据库功能;CNGCF,具有用户端设备配置功能。
NASS主要功能是用户上线时基于用户的签约配置对用户进行认证、授权用户对网络资源使用,并根据授权情况进行网络配置,以及负责分配IP地址。在现有技术中NASS仅仅具有用户接入的网络认证,并没有涉及CNG和CNGCF之间管理平面的认证。具体来讲,在CNG和CNGCF进行管理面的交互之前(如配置,故障检测、CNG升级),CNG和CNGCF之间需要进行单向或者双向交互认证。只有在认证通过后才能执行管理操作。目前通常有2种方案用于CNG和CNGCF之间的单向或者双向认证。
一种方案是在CNG和CNGCF上静态部署共享认证凭证,例如静态配置用户名/共享密钥方式。如图2所示,为现有技术CNG和CNGCF的认证方法的信令图,具体步骤如下:
步骤201,在业务部署阶段,由电信运营商的操作维护人员针对每个CNG生成一个认证凭证,比如用户名和共享密钥;
步骤202,将认证凭证配置到CNG上,然后在CNGCF上配置这个认证凭证,并将其和CNG标识相关联;
另外也可以将认证凭证告知最终用户,由最终用户负责在CNG上配置;
步骤203,在认证凭证配置完毕后的CNG与CNGCF认证阶段,CNG和CNGCF之间就可以在互操作时以这个认证凭证进行双向或者单向认证;
比如CNG上电时携带认证凭证向CNGCF注册,CNGCF根据接收到的CNG认证凭证和自身保存的CNG认证凭证进行比较,如果匹配则认证通过,返回认证成功消息;
步骤204,CNG与CNGCF互操作阶段,CNGCF向CNG发送携带认证凭的对CNG操作请求;
步骤205,CNG匹配认证凭证,以决定是否允许操作;
步骤206,CNG向CNGCF返回操作结果。
因此,现有的静态配置共享认证方式虽然简单,无须额外的网络设备支持,但是该方法的缺点是针对大量CNG而生成的每一个CNG的唯一共享密钥需要人工配置到CNG和CNGCF,因此工作成本高。而且因为每个CNG都必须由运营商开封、生成共享密钥、人工配置,因而共享密钥分发途径不易控制,安全性差,另外在后续的共享密钥更新过程中,又需要重复业务部署阶段的过程,繁琐复杂。
另外一种方法是采用PKI(Pubic Key Infrastructure,公钥基础设施)数字证书方式,证书通常由专门的CA(Certificate Authorities第三方认证机构)生成,并在生产过程中预配置到CNG上或者将证书以磁盘等介质保存并发给用户。
数字证书,是由认证中心CA(负责电子证书的生成和维护)发放并经认证中心数字签名的,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件,可以用来证明数字证书持有者的真实身份,数字证书采用公钥体制。
PKI是一个用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施,它是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。如图3所示,为现有的PKI的结构示意图。
当在CNG和CNGCF之间采用PKI证书方式进行单向或者双向认证时,需要通过一个第三方的认证中心CA签发证书(双向认证时需要为CNG、CNGCF各自生成证书)。然后,需要分别将CNG/CNGCF的证书配置到对端(双向认证时)。证书的分发可以采用专用的证书分发网络系统分发,也可以静态手工配置。另外证书有时效性,证书过期或者因管理需要更新时必须重新采集CNG、CNGCF信息,然后向第三方CA审核申请证书。另外在证书废止时缺乏CNG/CNGCF之间的通知机制。
因此对于PKI方式,需要复杂的CA系统,而且在当前CNG的生成过程中,如何自动提取针对CNG特定信息并生成每个CNG独特的证书并预置到CNG很难克服;并且成本高,证书过期、更新维护困难。
发明内容
本发明实施例提供了客户网关的管理认证方法和认证系统,以实现简单而低成本的客户网关和CNGCF的认证,降低运营成本和提高运营效率。
本发明实施例提供了一种客户网关的管理认证方法,包括:
用户接入授权模块对客户网关进行接入认证;
用户接入授权模块生成客户网关和客户网关配置功能之间的管理认证凭证;
用户接入授权模块将生成的管理认证凭证发送给客户网关配置功能和客户网关;并建立客户网关和所述管理认证凭证的管理关系;
在双向交互中客户网关和客户网关配置功能采用保存的管理认证凭证进行管理认证,判断是否允许操作。
本发明实施例还提供了一种客户网关的管理认证方法,包括:
用户接入授权模块对客户网关进行接入认证,所述客户网关生成第一次生密钥,所述接入授权模块生成第二次生密钥;
所述客户网关对接收到的客户网关配置功能发送的报文根据第一次生密钥和第二次生密钥进行认证;
所述客户网关配置功能对接收到的客户网关发送的报文根据第一次生密钥和第二次生密钥进行认证。
本发明实施例还提供了一种客户网关的管理认证系统,包括:
用户接入授权模块,用于对客户网关进行接入认证,以及生成客户网关和客户网关配置功能之间的管理认证凭证并发送;
客户网关,用于接收所述管理认证凭证,和建立与所述管理认证凭证的管理关系;
客户网关配置功能,用于接收所述管理认证凭证;所述客户网关根据该管理认证凭证对客户网关配置功能进行认证,所述客户网关配置功能根据该管理认证凭证对所述客户网关进行认证。
本发明实施例还提供了一种客户网关的管理认证系统,包括:
客户网关,用于发送接入认证信息,发送和接收管理认证信息,以及生成第一次生密钥;
客户网关配置功能,用于接收和发送所述管理认证信息;
用户接入授权模块,用于接收所述接入认证信息,和生成第二次生密钥,并将第二次生密钥发送给客户网关配置功能;所述客户网关配置功能根据第一次生密钥和第二次生密钥对接收到的客户网关的报文做认证,所述客户网关根据第一次生密钥和第二次生密钥对接收到的客户网关配置功能的报文做认证。
因此本发明实施例客户网关的管理认证方法和认证系统能够自动实现认证凭证的生成、分发和修改,能够极大的降低运营商发放大规模CNG的运营维护成本和提高运营效率。
附图说明
图1为现有技术的客户网关和客户网关配置功能的认证系统的结构示意图;
图2为现有技术客户网关和客户网关配置功能的认证方法的信令图;
图3为现有技术的PKI的结构示意图;
图4为本发明实施例客户网关的管理认证方法的构架示意图之一;
图5为本发明实施例客户网关的管理认证方法的流程图之一;
图6为本发明实施例客户网关的管理认证方法的构架示意图之二;
图7为本发明实施例客户网关的管理认证方法的流程图之二;
图8为本发明实施例客户网关的管理认证系统的结构示意图之一
图9为本发明实施例客户网关的管理认证系统的结构示意图之二;
图10为本发明实施例客户网关的管理认证系统的结构示意图之三;
图11为本发明实施例另一客户网关的管理认证方法的流程图之一;
图12为本发明实施例另一客户网关的管理认证系统的结构示意图之一;
图13为本发明实施例另一客户网关的管理认证系统的结构示意图之二。
具体实施方式
下面通过附图和实施例,对本发明实施例的技术方案做进一步的详细描述。
因为客户网关管理的特殊性,其典型特征是数量大,分布广,因此为了满足CNG-CNGCF认证的需求,需要对每个CNG产生独特的、唯一的认证凭证(credential),但是数量庞大的认证凭证,不管是共享密钥还是数字证书,其生成、可靠分发(分别配置到CNG、CNGCF)和更新给运营商带来很大的困难。
本发明实施例客户网关和客户网关配置功能的认证方法,包括:
步骤1,用户接入授权模块对客户网关进行接入认证;
步骤2,用户接入授权模块生成客户网关和客户网关配置功能之间的管理认证凭证;
步骤3,用户接入授权模块将生成的管理认证凭证发送给客户网关配置功能和客户网关;并建立客户网关和所述管理认证凭证的管理关系;
步骤4,在双向交互中客户网关和客户网关配置功能采用保存的管理认证凭证进行认证,判断是否允许操作。
如图4所示,为本发明实施例客户网关的管理认证方法的构架示意图之一,基于NASS架构,包括CNG1、接入管理功能模块(Access ManagementFunction,AMF)2、UAAF3、CLF4、NACF5和CNGCF6。NACF5和AMF2之间的接口为a1,NACF5和CLF4之间的接口为a2,AMF2和UAAF3之间的接口为a3,UAAF3和CLF4之间的接口为a4,CLF4和CNGCF6之间的接口为a5;UE1和AMF2之间的接口为e1,CLF4自身的接口为e2,CNGCF6和UE1之间的接口为e3,UAAF3自身的接口为e5。
如图5所示,为本发明实施例客户网关的管理认证方法的流程图之一,具体步骤如下:
步骤501,UAAF对CNG进行接入认证;
步骤502,根据本地策略判断是否需要产生客户网关和客户网关配置功能之间的管理认证凭证,如果需要则UAAF生成CNG和CNGCF之间的管理认证凭证;
可以利用用户接入认证密钥信息或者运营商配置的种子密钥产生CNG和CNGCF之间的管理认证凭证;
步骤503,UAAF通过对a4接口的扩展和在CLF和CNGCF之间的a5接口,将生成的管理认证凭证通过CLF配置到CNGCF,并且通过与AMF之间的接口e3从返回给CNG的认证响应报文中将管理认证凭证发送给CNG;
在后续的用户上线附着过程中,UAAF可以以上次上线认证中生成的管理认证凭证为种子密钥生成新的管理认证凭证,或者仍使用用户接入认证密钥信息或者其他运营商配置的信息作为种子密钥,并通过同样的过程分配配置到CNGCF和CNG;
另外在后续的用户上线附着过程中,UAAF根据运营商的配置的策略决定是否每次上线时需要生成新的管理认证凭证,如果不需要每次生成新的管理认证凭证,则CNG和CNGCF之间可以继续使用最近一次生成的管理认证凭证;
管理认证凭证可以是一个为CNG和CNGCF之间的共享密钥,也可以是分别为CNG和CNGCF生成的证书,在管理认证凭证为CNG和CNGCF生成的证书的情况下,UAAF起到了CA证书中心的作用;
在实际网络部署中,可能存在一个CLF对应多个CNGCF的情况,CLF对CNGCF的定位方法有两种,一种方式是CLF根据用户上线接入认证时UAAF推送的CNG位置信息(物理位置信息或者逻辑位置信息)建立CNG与所归属的CNGCF的关联关系,因此CLF必须配置每个CNGCF和物理位置或者逻辑位置的对应关系;另外一种方式是CLF根据用户上线接入认证时NACF给CNG分配的接入网络标识建立CNG与所归属的CNGCF的关联关系,前提是CLF必须配置每个CNGCF和接入网络标识的映射关系。
步骤504,在双向交互中CNG和CNGCF采用保存的认证凭进行认证,判断是否允许操作。
本发明实施例因此本发明实施例能够自动实现管理认证凭证的生成、分发和修改,从根本上解决CNG和CNGCF之间认证实施的问题,因此能够极大的降低运营商发放大规模CNG的运营维护成本和提高运营效率。
如图6所示,为本发明实施例客户网关的管理认证方法的构架示意图之二,也是基于NASS架构,包括CNG1、AMF2、UAAF3、CLF4、NACF5和CNGCF6。NACF5和AMF2之间的接口为a1,NACF5和CLF4之间的接口为a2,AMF2和UAAF3之间的接口为a3,UAAF3和CLF4之间的接口为a4,UAAF3和CNGCF6之间的接口为a6,UAAF3和NACF54之间的接口为a7;CNG1和AMF2之间的接口为e1,CLF4自身的接口为e2,CNGCF6和CNG1之间的接口为e3,UAAF3自身的接口为e5。
如图7所示,为本发明实施例客户网关的管理认证方法的流程图之二,具体步骤如下:
步骤701,UAAF对CNG进行接入认证;
步骤702,根据本地策略判断是否需要产生客户网关和客户网关配置功能之间的管理认证凭证,如果需要则UAAF生成CNG和CNGCF之间的管理认证凭证;
可以利用用户接入认证密钥信息或者运营商配置的种子密钥产生CNG和CNGCF之间的管理认证凭证;
步骤703,UAAF通过在UAAF和CNGCF之间的a6接口,将生成的管理认证凭证配置到CNGCF,并且通过与AMF之间的接口e3从返回给CNG的认证响应报文中将管理认证凭证发送给CNG;
在后续的用户上线附着过程中,UAAF可以以上次附着过程中生成的管理认证凭证为种子密钥生成新的管理认证凭证,或者仍使用用户接入认证密钥信息或者其他运营商配置的信息作为种子密钥,并通过同样的过程分配配置到CNGCF和CNG;
另外在后续的用户上线附着过程中,UAAF根据运营商的配置的策略决定是否每次上线时需要生成新的管理认证凭证,如果不需要每次生成新的管理认证凭证,则CNG和CNGCF之间可以继续使用最近一次生成的管理认证凭证;
管理认证凭证可以是一个为CNG和CNGCF之间的共享密钥,也可以是分别为CNG和CNGCF生成的证书,在管理认证凭证为CNG和CNGCF生成的证书的情况下,UAAF起到了CA证书中心的作用;
在实际网络部署中,可能存在一个UAAF对应多个CNGCF的情况,UAAF对CNGCF的定位方法有如下几种,一种方式是UAAF根据用户上线接入认证时CNG位置信息(物理位置信息或者逻辑位置信息)查找CNG所归属的CNGCF,因此前提是UAAF必须配置每个CNGCF和物理位置或者逻辑位置的对应关系;另一种方式是UAAF根据用户上线时NACF给CNG分配的接入网络标识(通过a7接口),或者利用CLF转发的NACF给CNG分配的接入网络标识(通过a4接口)查找出CNG所归属的CNGCF,前提是UAAF必须配置每个CNGCF和接入网络标识的映射关系;
步骤704,在双向交互中CNG和CNGCF采用保存的认证凭进行认证,判断是否允许操作。
本发明实施例因此本发明实施例能够自动实现管理认证凭证的生成、分发和修改,从根本上解决CNG和CNGCF之间认证实施的问题,因此能够极大的降低运营商发放大规模CNG的运营维护成本和提高运营效率。
如图8所示,为本发明实施例客户网关的管理认证系统的结构示意图之一,包括UAAF13,用于对CNG11进行接入认证,以及生成CNG11和CNGCF16之间的管理认证凭证并发送;CNG11,用于接收管理认证凭证,和建立与管理认证凭证的管理关系;CNGCF16,用于接收所述管理认证凭证,CNG11根据该管理认证凭证对CNGCF16进行认证,CNGCF16根据该管理认证凭证对CNG11进行认证;AMF12,用于向UAAF13转发客户网关的位置信息;NACF15,用于给客户网关分配接入网络标识并发送给UAAF13。
如图9所示,为本发明实施例客户网关的管理认证系统的结构示意图之二,包括UAAF23,用于生成客户网关和CNGCF6之间的管理认证凭证;CNG21,用于接收管理认证凭证,并根据该管理认证凭证进行管理认证;CNGCF26,用于接收所述管理认证凭证,并根据该管理认证凭证进行管理认证;AMF22,用于向UAAF23转发客户网关的位置信息;CLF24,用于向UAAF23转发NACF25给客户网关分配的接入网络标识。
如图10所示,为本发明实施例客户网关的管理认证系统的结构示意图之三,包括UAAF33,用于生成客户网关和CNGCF36之间的管理认证凭证;CNG31,用于接收管理认证凭证,并根据该管理认证凭证进行管理认证;CNGCF36,用于接收所述管理认证凭证,并根据该认证凭进行认证;AMF32,用于向UAAF33转发客户网关的位置信息;CLF34,用于将UAAF33生成的所述管理认证凭证转发给所述CNGCF36;CLF34,用于将UAAF3生成的所述管理认证凭证转发给所述CNGCF36。
因此本发明实施例客户网关的管理认证系统能够自动实现管理认证凭证的生成、分发和修改,从根本上解决CNG和CNGCF之间认证实施的问题,因此能够极大的降低运营商发放大规模CNG的运营维护成本和提高运营效率。
前述的两种客户网关和客户网关配置功能的认证方法的基本的前提是CNG-CNGCF之间的管理认证与CNG的接入认证相互独立。这意味着在CNG网络附着过程的接入认证用户/密钥与CNG和CNGCF之间的认证用户名/密码是相互独立的。而下述实施例CNG-CNGCF之间的认证采用CNG的接入认证用户名/密码。本发明实施例另一客户网关和客户网关配置功能的认证方法,包括:
步骤1,用户接入授权模块对客户网关进行接入认证,所述客户网关生成第一次生密钥(Pre-Shared Key,PSK),所述接入授权模块生成第二次生密钥;
步骤2,所述客户网关对接收到的客户网关配置功能发送的报文根据第一次生密钥和第二次生密钥进行认证;
步骤3,所述客户网关配置功能对接收到的客户网关发送的报文根据第一次生密钥和第二次生密钥进行认证。
如图11所示,为本发明实施例另一客户网关的管理认证方法的流程图之一,具体步骤如下:
步骤801,CNG向UAAF发送接入认证请求;
步骤802,在接入认证过程的安全联盟协商阶段,可能包括多个协商过程,Challenge(Session ID,任意字串S,...)
步骤803,CNG根据自身保存的用户ID和原始接入认证密钥以及从所述协商过程得到的任意字串S、认证会话Session ID计算得到第一PSK,并发送给UAAF;
计算方法可以使用哈希算法,第一PSK=HASH(Session ID,任意字串S,用户ID,密钥);
步骤804,UAAF块根据自身保存的用户ID和原始接入认证密钥以及从所述协商过程得到的任意字串S、认证会话Session ID计算得到第二PSK;
计算方法使用相同的哈希算法,第二PSK=HASH(Session ID,任意字串S,用户ID,密钥);
步骤805,UAAF根据所述第二PSK和第一PSK进行接入认证,如果相同则认证成功,否则认证失败;
步骤806,UAAF将第二PSK和第二PSK与CNG的关联关系发送给CNGCF;
步骤807,CNGCF根据接收到的CNG发送的报文中的第一次生密钥和自己保存的第二次生密钥进行认证;CNG关根据接收到的CNGCF发送的报文中的第二次生密钥和自己保存的第一次生密钥进行认证。
因此本发明实施例客户网关的管理认证方法与客户网关的接入认证共享相同的用户ID/密钥,并且利用接入认证过程产生的第一PSK和第二PSK,简化了CNG管理认证的安全联盟协商过程,在保证安全的情况下提高了认证效率,因此能够降低运营商发放大规模CNG的运营维护成本和提高运营效率。
如图13所示,为本发明实施例另一客户网关的管理认证系统的结构示意图之一,包括CNG41,用于发送接入认证信息,发送和接收管理认证信息,以及生成第一次生密钥;CNGCF46,用于接收和发送所述管理认证信息;UAAF43,用于接收所述接入认证信息,和生成第二次生密钥,并将第二次生密钥发送给CNGCF46,CNGCF46根据第一次生密钥和第二次生密钥对接收到的CNG41的报文做认证,CNG41根据第一次生密钥和第二次生密钥对接收到的CNGCF46的报文做认证。还包括AMF42,用于CNG41和UAAF43之间的接入认证信息的转发;NACF45,用于给CNG41分配接入网络标识并发送给UAAF43,UAAF43块根据网络接入配置模块发送的客户网关和接入网络标识信息,查找客户网关对应的客户网关配置功能信息,并转发第二次生密钥给查找到的CNGCF46。管理认证过程不涉及到AMF。
如图14所示,为本发明实施例另一客户网关的管理认证系统的结构示意图之二,包括CNG51,用于发送接入认证信息,发送和接收管理认证信息,以及生成第一次生密钥;CNGCF56,用于接收和发送所述管理认证信息;UAAF53,用于接收所述接入认证信息,和生成第二次生密钥,并将第二次生密钥发送给CLF54;CLF54,用于转发所述第二次生密钥给CNGCF56;CNGCF56根据第一次生密钥和第二次生密钥对接收到的CNG51的报文做认证,CNG51根据第一次生密钥和第二次生密钥对接收到的CNGCF56的报文做认证。还包括AMF52,用于CNG51和UAAF53之间的接入认证信息的转发。
因此本发明实施例客户网关的管理认证系统能够自动实现管理认证凭证的生成、分发和修改,从根本上解决CNG和CNGCF之间认证实施的问题,因此能够极大的降低运营商发放大规模CNG的运营维护成本和提高运营效率。
最后所应说明的是,以上实施例仅用以说明本发明实施例的技术方案而非限制,尽管参照较佳实施例对本发明实施例进行了详细说明,本领域的普通技术人员应当理解,可以对本发明实施例的技术方案进行修改或者等同替换,而不脱离本发明实施例技术方案的精神和范围。
Claims (17)
1、一种客户网关的管理认证方法,其特征在于包括:
用户接入授权模块对客户网关进行接入认证;
用户接入授权模块生成客户网关和客户网关配置功能之间的管理认证凭证;
用户接入授权模块将生成的管理认证凭证发送给客户网关配置功能和客户网关;并建立客户网关和所述管理认证凭证的管理关系;
在双向交互中客户网关和客户网关配置功能采用保存的管理认证凭证进行管理认证。
2、根据权利要求1所述的客户网关的管理认证方法,其特征在于所述用户接入授权模块生成客户网关和客户网关配置功能之间的管理认证凭证具体为:初次上线时用户接入授权模块根据本地策略判断是否需要产生客户网关和客户网关配置功能之间的管理认证凭证,如果需要则利用用户原始接入认证密钥信息或者运营商配置的种子密钥产生客户网关和客户网关配置功能之间的管理认证凭证。
3、根据权利要求1所述的客户网关的管理认证方法,其特征在于所述用户接入授权模块根据所述客户网关接入认证时,接入管理功能模块在认证信息中携带的客户网关位置信息建立所述客户网关与所归属的客户网关配置功能的关联关系。
4、根据权利要求1所述的客户网关的管理认证方法,其特征在于所述用户接入授权模块根据客户网关接入认证时,网络接入配置模块给客户网关分配的接入网络标识,或者根据由连接会话定位和存储模块转发的网络接入配置模块给客户网关分配的接入网络标识建立客户网关与所归属的客户网关配置功能的关联关系。
5、根据权利要求1所述的客户网关的管理认证方法,其特征在于所述用户接入授权模块将生成的管理认证凭证发送给客户网关配置功能具体为,所述用户接入授权模块通过连接会话定位和存储模块将生成的管理认证凭证发送给客户网关配置功能。
6、根据权利要求5所述的客户网关的管理认证方法,其特征在于所述连接会话定位和存储模块根据所述客户网关位置信息查找所述客户网关所归属的客户网关配置功能。
7、根据权利要求5所述的客户网关的管理认证方法,其特征在于所述连接会话定位和存储模块根据所述接入网络标识查找用户终端所归属的客户网关配置功能。
8、根据权利要求1至7任一权利要求所述的客户网关的管理认证方法,其特征在于所述用户接入授权模块将生成的管理认证凭证发送给客户网关具体为,所述用户接入授权模块通过接入管理功能模块将生成的管理认证凭证发送给客户网关。
9、一种客户网关的管理认证方法,其特征在于包括:
用户接入授权模块对客户网关进行接入认证,所述客户网关生成第一次生密钥,所述接入授权模块生成第二次生密钥;
所述客户网关对接收到的客户网关配置功能发送的报文根据第一次生密钥和第二次生密钥进行认证;
所述客户网关配置功能对接收到的客户网关发送的报文根据第一次生密钥和第二次生密钥进行认证。
10、根据权利要求9所述的客户网关的管理认证方法,其特征在于所述将第一次生密钥和第二次生密钥进行认证具体为:
所述客户网关配置功能根据接收到的客户网关发送的报文中的第一次生密钥和自己保存的第二次生密钥进行认证;所述客户网关根据接收到的客户网关配置功能发送的报文中的第二次生密钥和自己保存的第一次生密钥进行认征。
11、根据权利要求9或10所述的客户网关的管理认证方法,其特征在于所述用户接入授权模块生成第二次生密钥后,将第二次生密钥和第二次生密钥与客户网关的关联关系发送给客户网关配置功能。
12、一种客户网关的管理认证系统,其特征在于包括:
用户接入授权模块,用于对客户网关进行接入认证,以及生成客户网关和客户网关配置功能之间的管理认证凭证并发送;
客户网关,用于接收所述管理认证凭证,和建立与所述管理认证凭证的管理关系;
客户网关配置功能,用于接收所述管理认证凭证;所述客户网关根据该管理认证凭证对客户网关配置功能进行认证,所述客户网关配置功能根据该管理认证凭证对所述客户网关进行认证。
13、根据权利要求12所述的客户网关的管理认证系统,其特征在于还包括:接入管理功能模块,用于所述客户网关和用户接入授权模块之间的信息转发。
14、根据权利要求12或13所述的客户网关的管理认证系统,其特征在于还包括:网络接入配置模块,用于给客户网关分配接入网络标识并发送给用户接入授权模块,和\或连接会话定位和存储模块,用于将网络接入配置模块给客户网关分配的接入网络标识转发给用户接入授权模块。。
15、一种客户网关的管理认证系统,其特征在于包括:
客户网关,用于发送接入认证信息,发送和接收管理认证信息,以及生成第一次生密钥;
客户网关配置功能,用于接收和发送所述管理认证信息;
用户接入授权模块,用于接收所述接入认证信息,和生成第二次生密钥,并将第二次生密钥发送给客户网关配置功能;所述客户网关配置功能根据第一次生密钥和第二次生密钥对接收到的客户网关的报文做认证,所述客户网关根据第一次生密钥和第二次生密钥对接收到的客户网关配置功能的报文做以证。
16、根据权利要求15所述的客户网关的管理认证系统,其特征在于还包括:接入管理功能模块,用于所述客户网关和用户接入授权模块之间的接入认证信息的转发。
17、根据权利要求15或16所述的客户网关的管理认证系统,其特征在于还包括:网络接入配置模块,用于给客户网关分配接入网络标识并发送给用户接入授权模块;和\或连接会话定位和存储模块,用于接收所述第二次生密钥。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101295838A CN101345723B (zh) | 2007-07-11 | 2007-07-11 | 客户网关的管理认证方法和认证系统 |
| EP08773169A EP2131525B1 (en) | 2007-07-11 | 2008-07-11 | Method and system for CNG and CNGCF authentication management in a NASS |
| PCT/CN2008/071617 WO2009006854A1 (fr) | 2007-07-11 | 2008-07-11 | Procédé et système d'authentification de gestion basée sur le sous-système de rattachement au réseau |
| US12/639,623 US20100095363A1 (en) | 2007-07-11 | 2009-12-16 | Method and System for Authentication Based On NASS |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101295838A CN101345723B (zh) | 2007-07-11 | 2007-07-11 | 客户网关的管理认证方法和认证系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101345723A true CN101345723A (zh) | 2009-01-14 |
| CN101345723B CN101345723B (zh) | 2011-04-06 |
Family
ID=40228188
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101295838A Active CN101345723B (zh) | 2007-07-11 | 2007-07-11 | 客户网关的管理认证方法和认证系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20100095363A1 (zh) |
| EP (1) | EP2131525B1 (zh) |
| CN (1) | CN101345723B (zh) |
| WO (1) | WO2009006854A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102223231A (zh) * | 2010-04-16 | 2011-10-19 | 中兴通讯股份有限公司 | M2m终端认证系统及认证方法 |
| CN102932244A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于双向可信性验证的可信接入网关 |
| CN110445614A (zh) * | 2019-07-05 | 2019-11-12 | 阿里巴巴集团控股有限公司 | 证书申请方法、装置、终端设备、网关设备和服务器 |
| US11095460B2 (en) | 2019-07-05 | 2021-08-17 | Advanced New Technologies Co., Ltd. | Certificate application operations |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9058467B2 (en) | 2011-09-01 | 2015-06-16 | Microsoft Corporation | Distributed computer systems with time-dependent credentials |
| US9032492B2 (en) | 2011-09-01 | 2015-05-12 | Microsoft Corporation | Distributed computer systems with time-dependent credentials |
| US8640210B2 (en) | 2011-09-01 | 2014-01-28 | Microsoft Corporation | Distributed computer systems with time-dependent credentials |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5485520A (en) * | 1993-10-07 | 1996-01-16 | Amtech Corporation | Automatic real-time highway toll collection from moving vehicles |
| EP0939514A3 (en) * | 1998-02-25 | 2001-02-07 | Matsushita Electric Industrial Co., Ltd. | Device authentication and encrypted communication system offering increased security |
| CN100442920C (zh) * | 2005-04-18 | 2008-12-10 | 华为技术有限公司 | 在下一代网络中获取用户接入信息的方法 |
| CN1859722B (zh) * | 2005-05-08 | 2010-04-07 | 华为技术有限公司 | 用户驻地设备配置功能获取终端信息的方法及系统 |
| CN100488137C (zh) * | 2005-07-04 | 2009-05-13 | 华为技术有限公司 | 网络附着子系统中的用户相关信息关联方法、系统和装置 |
| CN100544255C (zh) * | 2005-10-27 | 2009-09-23 | 中兴通讯股份有限公司 | Nass中定位描述数据功能实体的方法 |
| DK2039199T3 (en) * | 2006-07-06 | 2019-01-21 | Nokia Technologies Oy | ACCESSORIES SYSTEM FOR USER EQUIPMENT |
| CN101132307B (zh) * | 2006-08-22 | 2010-12-01 | 华为技术有限公司 | 控制系统、控制方法、以及控制装置 |
| US7870601B2 (en) * | 2006-11-16 | 2011-01-11 | Nokia Corporation | Attachment solution for multi-access environments |
| US20080276006A1 (en) * | 2007-05-02 | 2008-11-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Systems and Methods for Providing Terminal Configuration Data |
-
2007
- 2007-07-11 CN CN2007101295838A patent/CN101345723B/zh active Active
-
2008
- 2008-07-11 EP EP08773169A patent/EP2131525B1/en not_active Not-in-force
- 2008-07-11 WO PCT/CN2008/071617 patent/WO2009006854A1/zh active Application Filing
-
2009
- 2009-12-16 US US12/639,623 patent/US20100095363A1/en not_active Abandoned
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102223231A (zh) * | 2010-04-16 | 2011-10-19 | 中兴通讯股份有限公司 | M2m终端认证系统及认证方法 |
| CN102223231B (zh) * | 2010-04-16 | 2016-03-30 | 中兴通讯股份有限公司 | M2m终端认证系统及认证方法 |
| CN102932244A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于双向可信性验证的可信接入网关 |
| CN102932244B (zh) * | 2012-10-25 | 2015-08-12 | 中国航天科工集团第二研究院七〇六所 | 基于双向可信性验证的可信接入网关 |
| CN110445614A (zh) * | 2019-07-05 | 2019-11-12 | 阿里巴巴集团控股有限公司 | 证书申请方法、装置、终端设备、网关设备和服务器 |
| CN110445614B (zh) * | 2019-07-05 | 2021-05-25 | 创新先进技术有限公司 | 证书申请方法、装置、终端设备、网关设备和服务器 |
| US11095460B2 (en) | 2019-07-05 | 2021-08-17 | Advanced New Technologies Co., Ltd. | Certificate application operations |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2131525A1 (en) | 2009-12-09 |
| US20100095363A1 (en) | 2010-04-15 |
| EP2131525B1 (en) | 2012-12-26 |
| WO2009006854A1 (fr) | 2009-01-15 |
| EP2131525A4 (en) | 2011-02-23 |
| CN101345723B (zh) | 2011-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8971537B2 (en) | Access control protocol for embedded devices | |
| CN101951603B (zh) | 一种无线局域网接入控制方法及系统 | |
| KR100925329B1 (ko) | 디지털케이블 방송망에서 다운로더블 제한수신시스템을위한 상호인증 및 키 공유 방법과 장치 | |
| CN101189827B (zh) | 综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端 | |
| CN101741860B (zh) | 一种计算机远程安全控制方法 | |
| CN101547095B (zh) | 基于数字证书的应用服务管理系统及管理方法 | |
| CN1681238B (zh) | 用于加密通信的密钥分配方法及系统 | |
| CN101345723B (zh) | 客户网关的管理认证方法和认证系统 | |
| CN110958229A (zh) | 一种基于区块链的可信身份认证方法 | |
| US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| CN113746632B (zh) | 一种物联网系统多级身份认证方法 | |
| CN110069918A (zh) | 一种基于区块链技术的高效双因子跨域认证方法 | |
| US8312263B2 (en) | System and method for installing trust anchors in an endpoint | |
| CN106713279A (zh) | 一种视频终端身份认证系统 | |
| US20070186097A1 (en) | Sending of public keys by mobile terminals | |
| CN103490881A (zh) | 认证服务系统、用户认证方法、认证信息处理方法及系统 | |
| CN101547096B (zh) | 基于数字证书的网络会议系统及其管理方法 | |
| CN112804356B (zh) | 一种基于区块链的联网设备监管认证方法及系统 | |
| CN104901940A (zh) | 一种基于cpk标识认证的802.1x网络接入方法 | |
| CN113312639A (zh) | 基于标识加密算法的智能电网终端接入认证方法和系统 | |
| CN101547097B (zh) | 基于数字证书的数字媒体管理系统及管理方法 | |
| WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| CN107135081A (zh) | 一种双证书ca系统及其实现方法 | |
| CN111800270B (zh) | 一种证书签名方法、装置、存储介质及计算机设备 | |
| CN110891067B (zh) | 一种可撤销的多服务器隐私保护认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |