CN101366233B - 用于管理无线网络中安全密钥的方法和系统 - Google Patents
用于管理无线网络中安全密钥的方法和系统 Download PDFInfo
- Publication number
- CN101366233B CN101366233B CN2006800494429A CN200680049442A CN101366233B CN 101366233 B CN101366233 B CN 101366233B CN 2006800494429 A CN2006800494429 A CN 2006800494429A CN 200680049442 A CN200680049442 A CN 200680049442A CN 101366233 B CN101366233 B CN 101366233B
- Authority
- CN
- China
- Prior art keywords
- certificate
- network
- traditional
- mca
- pki
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
一种用于管理无线网络中安全密钥的系统包括:制造商认证授权机构(MCA),用于提供签署的数字MCA证书,以便在网络中安装和初始化新网络部件(NE)之前安装到制造商的设施处的新NE中。MCA还提供可信授权机构的源,以便鉴认网络中的传统NE。该系统包括:服务提供商认证授权机构,用于管理由NE在网络中进行安全通信所使用的证书和文件;签署服务器,用于向NE提供签署服务供鉴认;部件管理器,用于提供安全密钥和数字证书管理;以及管理代理(MA),用于向未直接连接到EM的NE提供EM安全密钥服务的代理功能性。
Description
技术领域
本发明一般涉及用于管理无线网络中安全密钥的系统和方法。
背景技术
无线高速分组数据的出现使无线网络中的无线电接入网(RAN)从电路交换发展成分组交换网络,致力于有效地满足容量要求以及与其它分组数据网络的接口和操作。因此,无线电网络控制器(RNC)和/或基站收发器(BTS)中的RAN网络部件(NE)如计算机和/或服务器以及这些NE之间的接口易受IP业务的影响。这可能对NE引起需要解决的安全威胁和弱点。
用来保护RAN NE免于这些安全威胁和弱点的一种防线是用例如安全壳(SSH)和IP安全性(称作“IPsec”)等安全协议版本取代RAN所使用的现有不安全通信协议。SSH是一种通过网络登录到另一计算机、在远程机器中运行命令并将文件从一台机器移到另一台的程序。SSH通过不安全信道提供强鉴认和安全通信。IPsec是由因特网工程任务小组(IETF)开发来支持在IP层安全交换分组的协议集合。
这些协议要求将公钥/私钥对、数字证书和其它凭证装载到网络的各网络部件中,以便支持强鉴认和公钥密码术。这些凭证必须被生成、提供给网络部件,并且一般以安全的方式并根据可信源例如经由人工带外过程或者通过经由交换数字签名而使用某种类型的自动化过程来管理。
在无线接入网中,托管安全凭证(即密钥对和数字证书)的网络部件是无线电网络控制器(RNC)和/或基站收发器(BTS)中的计算机和服务器。为了在具有数千个BTS的大网络中管理这些凭证,应使这些过程自动化,使得操作变为可管理的。备选方案是人工管理这些过程,这将极大地增加维护成本、降低操作效率并且可能更易于出现人为错误和/或违反安全性。应当解决通过在具有相当大量BTS(数百、数千等)的网络中提供安全密钥管理所引起的可缩放性问题。
发明内容
本发明的示范实施例针对一种用于管理支持网络安全性的无线网络中的安全密钥和数字证书的系统。该系统包括:制造商认证授权机构(MCA),用于提供签署的数字MCA证书,以便在网络中安装和初始化新网络部件(NE)之前安装到制造商的设施处的新NE中。签署的数字MCA证书用于鉴认新NE的安全密钥对,以便使能够与网络中的其它NE进行安全通信。MCA还提供用于鉴认网络中其中没有包括已安装数字MCA证书的传统NE的可信授权机构源。系统包括:服务提供商认证授权机构(SPCA),用于管理由新NE和传统NE用于在网络中安全通信的数字SPCA证书和文件;签署服务器(SS),用于向新NE和传统NE提供签署服务,以便向网络鉴认新NE和传统NE;部件管理器(EM),用于提供由部件管理器直接或间接管理的任何新NE和传统NE的安全密钥和数字证书管理、供应和初始化服务;以及管理代理(MA),用于向未直接连接到EM的NE提供EM安全密钥服务的代理功能性。
本发明的另一个示范实施例针对一种用于管理要安装在服务提供商网络中的网络部件(N)的安全密钥的方法。该方法包括在从服务提供商网络离线的制造商认证授权机构(MCA)接收NE的公钥。NE的公钥的数字证书从MCA被发送到NE。在NE的网络安装和初始化时,证书用于向网络中的密钥安全管理实体鉴认NE的公钥。
本发明的另一个示范实施例针对一种用于管理服务提供商网络中传统网络部件的安全密钥的方法。该方法包括:从传统网络部件(NE)接收公钥;以及将数字证书的捆绑与传统NE的公钥一起从网络中的多个密钥安全管理实体发送回传统NE,用于指示传统NE的公钥是真实的,并且能够是可信的。
附图说明
通过下文提供的详细描述和附图,将更全面地理解本发明的示范实施例,其中相似的参考标号表示相似的部件,详细描述和附图仅作为说明来提供,因而不是限制本发明的示例实施例。
图1是示出根据本发明的一个示例实施例用于管理无线网络中的安全密钥和数字证书及其它类型安全凭证的密钥安全管理系统的框图。
图2是示出系统如何执行与关联系统中给定网络部件安全功能的属性变化相关的示例任务的流程图。
图3是示出系统如何执行与将在工厂供应有密钥对和数字证书的新网络部件引导到无线网络中的过程相关的示例任务的流程图。
图4是示出系统如何执行与更新无线网络中现有的两个传统网络部件的证书相关的示例任务的流程图。
具体实施方式
以下描述涉及用于管理支持网络安全性的无线网络中的安全密钥和数字证书的示例系统和示范方法。示例无线网络包括基于CDMA(IS95、CDMA2000和各种技术变化)、1xEV-DO、W-CDMA/UMTS和/或相关技术中的一种或多种的服务提供商网络,并且可在这个示例上下文中描述。但是,本文所示和所述的示例实施例仅用于说明而决不是限制。因此,本领域的技术人员将会清楚根据不同于以上所述的技术应用管理服务提供商网络中安全密钥的所述方法和系统的各种修改方案,其可处于开发的各种不同阶段,并打算将来取代上述网络或系统,或者与其一起使用。
图1是示出根据本发明的一个示例实施例用于管理无线网络中的安全密钥、数字证书和其它类型安全凭证的网络安全密钥管理系统的框图。密码机制的有效性取决于管理密钥和证书的有效性。甚至最鲁棒的密码算法和最安全的协议都需要适当的密钥管理服务和功能根据安全服务所面临的威胁来满足安全要求。
根据示例实施例,这些密钥管理服务可由称作密钥管理基础设施的较大实体来管理,其中可在网络安全密钥管理系统100中定义参与者和功能。图1示出网络安全密钥管理系统100、密钥安全管理实体以及管理实体之间关系的高级体系结构。
下面更详细地进行说明,系统100可包括服务提供商认证授权机构(SPCA)110、签署服务器(SS)115、部件管理器(EM)120、EM120控制下的一个或多个管理代理(MA)130以及一个或多个网络部件(NE)140。无线网络(例如服务提供商网络)中的这些实体中的每个配置成通过安全通信等级在线进行通信。另外,系统100包括制造商认证授权机构(MCA)150。MCA 150是独立的离线系统,即不与网络或者系统100的管理实体在线通信。MCA 150由NE 140的设备制造商拥有,并且由设备制造商设置以及管理和操作。
SPCA 110、SS 115、EM 120和MA 130表示向NE 140在线提供密钥管理服务的管理实体。MCA 150还将向在制造商工厂综合设施处的因而还未发运给服务提供商以便在网络中安装并初始化的新制造的NE离线提供某些服务。以下将这些网络部件称作“新NE”。下面更详细地描述每个管理实体以及网络部件。新的和传统的网络部件
网络部件(NE)140可定义为任何计算机系统,它包括IP地址,并且可与无线网络中的其它NE进行通信(例如对等通信)。NE 140可实施为基站收发器(BTS)、无线电网络控制器(RNC)或者RNC上的组件、如应用处理器。例如,NE 140可通过服务提供商网络或节点与其它对等体通信。本文所述的NE 140可称作新NE 140或传统NE 140。
本文所使用的“新NE”是在制造商工厂综合设施处新制造的因而还未发运给服务提供商以便在网络中安装并初始化的网络部件。下面将会看到,在发运以及在网络中安装/初始化之前,将在工厂向新NE 140供应MCA 150的数字证书,它指示新NE 140的公钥可以是可信的。
本文所定义的传统部件是给定无线网络中没有包含来自制造商的MCA数字证书的NE。因此,这些传统NE 140没有来自MCA150、要用于鉴认的数字证书。
因此,NE 140是服务提供商网络中需要私钥/公钥对来鉴认自己以便使用安全协议与网络中的其它网络部件进行通信的节点。能够永久存储的网络部件独自生成密钥对。生成并存储它们自己密钥对的网络部件的示例是支持RAN中的各种操作、管理、维护和供应(OAM&P)功能的计算机系统和应用处理器以及支持呼叫处理和空中接口功能的计算机系统。通常,在RAN中支持的所有网络部件都能够将它们的密钥对存储在永久存储器中。但是,没有永久存储密钥对的组件的网络部件如无盘系统必须依靠其它组件来生成和存取它们的密钥对。制造商的认证授权机构(MCA)
MCA 150是独立的离线认证授权系统。MCA 150的主要功能是签署、管理和注销由制造商制造的、需要与其它网络部件安全通信的新NE所生成的主机公钥的X.509v3证书。在网络部件被发运给服务提供商之前,MCA 150接收主机公钥、签署证书并通过安全信道将它们发送给网络部件。在将新NE 140发运给服务提供商以便在网络中安装和初始化之前,在工厂综合设施处将数字MCA证书存储在新NE 140的非易失性存储器中。
MCA证书的主要目的是,在服务提供商网络中首次安装和初始化新NE 140时,向MA 130和EM 120鉴认新NE 140。在网络中首次导入已经在工厂安装了MCA证书的新NE 140时,这些NE可使用数字MCA证书来证明它们的身份。
另一方面,传统NE 140在工厂没有安装MCA证书,因此,当它们首次尝试与EM 120和MA 130交换安全凭证时,它们无法鉴认它们自己。在初始化期间,传统NE 140必须使用略有不同的过程来获取安全凭证。
作为说明,初始化传统NE的安全凭证的一种方式是安全管理员供应NE身份的某个组成部分,可使用它来接受或拒绝NE公钥和其它安全凭证。这个过程对于可缩放性可以是自动的,并且可限制为仅在安全管理员的监控下、在预定时间间隔才可用。一旦在传统NE140与EM 120之间建立了安全信道,就可通过相似方式对新NE继续进行该过程,并且可将MCA数字证书和其它凭证加载到传统NE 140中。这种机制提供了网络信息到传统NE 140中的“引导”,其中传统NE 140在工厂没有安装MCA证书。
MCA 150设计用于高可用性,其中具有用于冗余的后备系统。MCA 150配置成处理大量NE。MCA使用单个根密钥对来签署由服务提供商网络中的NE所使用的证书。MCA 150遵照用于互操作性和链委托的ITU-T推荐X.509v3标准。它还支持证书注销表(CRL)。服务提供商认证授权机构(SPCA)
SPCA 110是提供服务提供商网络中的网络部件之间的日常操作和安全通信所需的证书和文件的认证授权机构。SPCA 110向新网络部件140以及已经存在的传统网络部件140提供服务。
SPCA 110由服务提供商供给、拥有、操作和维护,并且是整个服务提供商网络中的根认证授权机构。SPCA 110配置成发布、管理和注销由NE 140进行安全通信所需的数字证书。SPCA 110使用单个根密钥对来签署分发给NE 140的证书。
SPCA证书用来鉴认从EM 120和MA 130发送到安装在网络中的NE 140的信息,其方式与MCA证书用于新NE 140相似,加上所有公钥基础设施步骤,这些步骤要求服务提供商网络中如支持没有MCA证书的NE 140的传统系统以及NE 140之间日常通信的SPCA证书。
SPCA 110遵照用于与服务提供商网络中NE 140的互操作性的ITU-T推荐X.509v3标准,并发布CRL和支持CRL管理。签署服务器
签署服务器(SS 115)是负责实时或接近实时签署服务提供商网络中EM 120、MA 130和NE 140的主机和用户公钥的实体。SS 115是网络中的委托认证授权机构。其目的是向NE 140提供低等待时间签署服务,并在物理上隔离SPCA 110,以便使SPCA 110的安全弱点最小化。由于SS 115是在线的,所以易于注销证书。
在初始化时,SS 115生成签署证书的密钥对。SS 115可支持两种截然不同的配置:用于较小载体的、在物理上与EM 120共存于同一硬件中的实时软件应用程序,或者用于大载体的、每个移动交换中心(MSC)一个、每个网络一个或者每个区域一个部署的分开的物理系统。该物理系统可以是在线的或离线的。由于每当在网络中供应NE 140时SS 115就响应签署请求,因此,服务提供商决定要采用哪种SS 115配置,取决于它们自己的等待时间要求和安全策略。当签署服务器配置的选择是具有物理上分开的系统的签署服务器配置时,服务提供商将提供SS 115。部件管理器
部件管理器(EM 120)是系统100上层中签署服务器115与网络部件140之间的实例。EM 120可负责以下示范功能:(a)由部件管理器120直接管理的网络部件140的密钥和证书管理、供应和初始化;(b)在部件管理器120域下的所有管理代理130的密钥和证书管理、供应和初始化;(c)提供用于人工供应和配置密钥管理系统100的安全能力的人类界面;(d)维护在初始化操作和日常操作期间所使用的网络部件140的状态的状态机;(e)向签署服务器115提供从部件管理器120域下的任一个管理代理130或者任一个网络部件140提交签署主机和用户公钥的请求的界面;(f)提供处理请求并将证书注销表(CRL)文件下载到网络部件的机制;以及执行安全审计跟踪服务(例如供应和签署请求活动的登录)。
在RAN的现有硬件中可支持部件管理器功能性,从而利用尽可能多的现有软件平台以及应用资源和协议。由于EM 120提供本地服务,所以部件管理器功能性可分布于网络中的许多物理装置。管理代理
与充当管理角色的EM 120相比,管理代理(MA 130)充当被管理角色。MA 130将EM 120本地安全管理服务扩展到其它NE 140作为中间部件管理器或代理,提供EM 120与NE 140之间的接口集中。由MA 130管理的NE例如在RNC的情况下可位于本地网络部件的群集中,或者在BTS的情况下位于远程位置。MA 130到EM 120和NE140的接口允许MA 130提供连续的实时安全管理服务,例如NE 140的供应和初始化、客户机和服务器装置运行例如SSH和IPsec所需的证书和文件的分发。
由于MA 130对于NE 140是本地的,所以在服务提供商网络中存在许多MA 130。在大多数情况下,MA 130本身也是网络部件,因此它们应当作为二者被供应和初始化。在任何情况下,在初始化MA130所服务的NE 140中的密钥管理服务之前,应当初始化MA 130。管理代理应用驻留在服务提供商网络的现有硬件中。新NE的密钥管理
在工厂或制造用设施处制造底板时,将NE设置在底板上,并在NE上安装例如具有软件的微处理器等组件。一般来说,在NE上安装组件时,组件就被引导了,并且安装的软件运行以便生成用于鉴认的密钥对。生成公钥,它可以被提取并送往认证授权机构、如SPCA,并生成私钥,它可存储在NE中。
根据示例实施例,下面从制造商工厂的制造角度来描述新NE在无线网络如服务提供商网络中安装和初始化所发生的情况。最初,一旦制造了新NE 140,就在其中安装软件,并且系统被引导,以便在诊断测试中检查软件配置。在诊断结束时,生成两个密钥:要在对等体之间共享供鉴认之用的公钥,以及不共享的私钥。新NE 140使私钥被保护,但是新NE 140必须能够广播公钥,并且一旦它安装在无线网络如服务提供商网络中,就需要使其公钥对于可能希望对新NE140进行通信或鉴认的其它对等体是可信的。
可将在诊断中生成的公钥发送到制造商认证授权机构(MCA)150。这个公钥可通过安全专用信道如带外安全信道在线传送。一旦MCA 150接收到该公钥,MCA 150就生成由MCA 150签署的数字证书。该证书表示这个公钥是用于这个特定的新NE 140,并且它是可信的。这是数字证书,例如具有经过散列和加密的信息的文件。
值得注意的是,MCA 150本身可以是网络部件,并且包括生成根密钥对的软件:MCA 150的私钥和MCA 150的根公钥,它们被传递到无线网络中的其它安全密钥管理实体,这些实体在EM 120的控制下执行网络安全密钥管理,例如SPCA 110、SS 115、EM 120和/或MA 130。在系统100中,在网络中供应时,SPCA 110、SS 115和EM 120/MA 130中的每个都提供有MCA的根公钥。
新NE 140的公钥的MCA数字证书具有新NE 140的某个信息,例如生成新NE的公钥时的日期、数字证书的使用期限、什么实体发布数字证书以及公钥的散列。数字证书不能被伪造,但是可被传递和复制。
因此,为了确保MCA数字证书是可信的而不是伪造的,查询实体可通过使用MCA 150的根公钥进行测试,来测试该数字证书实际上是真实的。存在可执行这个演进的现有软件。然后,将MCA数字证书发送回制造现场的诊断中心,并安装到新NE 140的底板上。
因此,在制造工厂的新NE 140这时包括数字MCA证书,指示其公钥作为新NE 140的公钥可以是可信的。证书由MCA 150签署。另外,NE例如在永久存储器中下载由MCA 150自己签署的MCA150的根公钥的数字证书。例如在初始化期间,这个证书可由新NE 140用来鉴认EM 120的EM数字证书。值得注意的是,网络安全密钥管理系统的安全密钥管理实体(SPCA 110、SS 115和EM 120/MA 130)还具有MCA 150的根公钥,如上所述。这使这些管理实体能够验证MCA150实际上是真实的,并且是可信源。然后,发运具有其公钥、私钥、MCA 150的已签署数字证书以及MCA 150自己签署的证书的新NE140,以便安装到服务提供商网络中进行供应和初始化。
为了作为给定网络中的日常操作的一部分使新NE 140与另一个NE进行通信,新NE 140将使用其根公钥的SPCA 110的自己签署的证书向另一个节点鉴认它自己。例如,SPCA证书将按照证书的标准委托链过程链接到MCA根证书。
因此,通过为新制造的NE提供MCA数字证书,新NE 140在安装到无线网络中时,将首次被鉴认为制造商的真实NE。网络中需要与新NE 140进行通信的其它节点可由此鉴认和验证新NE 140的身份,因为加载到新NE 140中的MCA数字证书(它们已被传递到网络鉴认实体(SPCA 110、SS 115、EM 120、MA 130))将使这些实体能够鉴认新NE 140。
相反,新NE 140必须鉴认部件管理器120或管理代理130,以便获得存取权。新NE 140配备了MCA根公钥的证书(在设备制造商设施中供应时接收的)。通过作为本领域已知的标准过程的相互鉴认过程,新NE 140将执行相反的质询和认证子例程,使得可开始新NE140与部件管理器120或管理代理130之间的通信,或者与网络中另一个NE的对等通信。传统NE的密钥管理
可能存在以下情况:在给定无线网络内或工厂中存在等待安装的、没有包括来自制造商的预先存在的MCA数字证书的NE。这些被称作传统NE 140,它们没有来自传统140的NE主机公钥的MCA的数字证书。这些传统NE 140在必须与EM 120和MA 130网络部件交换安全凭证时,必须依靠略有不同的过程首次对它们鉴认。因此,图1的网络安全密钥管理系统100可提供传统NE可被鉴认并与网络中的其它实体进行通信的机制。
一般来说,在NE初始化阶段期间交换安全凭证(例如交换NE公钥的MCA证书)的过程可称作“引导过程”。这个“引导过程”适用于从工厂配备了MCA证书的新NE 140,以及在初始化之前没有这些可信凭证的传统NE 140。
对于传统NE 140,初始相互鉴认是不可能的,因为还未装载节点上的凭证。在这种情况下,必须在网络安全管理员的监控下执行整个鉴认过程。一般来说,自从系统100和网络安全管理员知道NE引导时以来,系统100可为安全管理员提供在固定时间量内打开“门”的能力,在这段时间间隔内,传统NE 140可与EM 120或MA 130连接,并使用传统NE 140的身份的其它组成部分(例如其IP地址,序列号、网络中的位置或者可用的其它供应信息)鉴认它自己。
不需要强鉴认来设置通信路径。可经由例如SSH等安全协议来建立连接,其不需要客户机或服务器公钥鉴认。一旦建立了连接,就可进行证书交换,如从工厂为新NE 140供应MCA证书的情况那样。一旦完成了交换,就在安全管理员的监控下关闭“门”,并且仅允许使用密码组件的强鉴认来管理和交换密钥与证书。
过程的其余部分与工厂配备NE相似。下面可说明在引导期间传统NE 140与EM 120之间的一种可能的交互作用。一旦传统NE 140与EM 120建立了安全连接而无需强鉴认,EM 120就接收来自传统NE的公钥,EM 120将转到签署服务器(SS)115以便开始引导将发送到传统NE 140的网络信息。EM 120请求SS 115生成传统NE 140的公钥的数字证书。SS 115将已签署数字证书发送回EM 120,表示这是这个特定传统NE 140的由可信源(签署服务器115)签署的公钥。实际上,在SS 115与EM 120之间,作为引导过程的一部分,将数字证书捆绑与其公钥一起发送回传统NE 140。这可通过安全专用信道在线进行。
除了发送回(1)由其签署的传统NE 140的公钥的数字证书外,SS 115还发送回(2)由可信源-SPCA 110-签署的它自己的公钥的数字证书。SS 115还向EM 120发送(3)SPCA 110的根公钥的自己签署的数字证书。EM 120捆绑这三个证书与传统NE 140的公钥和附加证书、(4)由SS 115签署的它自己的公钥的数字证书,并将证书与传统NE的公钥的捆绑直接转发到传统NE 140(如果它由EM 120直接管理的话),或者转发到EM 120域下的代理MA 130。由于在供应时为它提供了MCA 150的根公钥的数字证书(由MCA 150自己签署的),所以EM 120还可在其直接控制下将这提供给传统NE 140。在一个示例中,MA 130还可具有其中存储的、在供应时提供的MCA证书的副本。
如果存在EM 120域下的MA 130,并且由于MA 130具有由最可信源(SPCA 110)签署的它自己的公钥的数字证书,它将这个证书(5)加入捆绑。另外,MA 130可将MCA 150的自己签署的数字证书加入捆绑,并将证书捆绑与传统NE 140的公钥一起发送回传统NE140。此外,MA 130(或者在直接管理传统NE 140时为EM)将提供服务提供商网络中传统NE 140需要与其通信的那些网络部件的公钥的数字证书,每个证书由SS 115签署。
因此,当传统NE 140接收到这个数字证书捆绑时,它然后可在网络中被鉴认,以便发起与其它NE的通信,例如对等通信。由传统NE 140接收的证书捆绑由此表示可信源的证书链委托,它指向SPCA的根公钥。在向MA 130(或EM 120)发送状态报告时,完成引导过程。
由于这时可在服务提供商网络中鉴认传统NE 140的公钥,因此EM 120将传统NE 140的公钥转发给网络中需要与传统NE 140安全通信的其它NE,以便开始对等通信。当用于NE之间对等通信的安全协议使用数字证书进行对等鉴认时,可链接这些证书,使得该链的根是MCA 150的根公钥,它由MCA 150的自己签署的证书来提供。这样,各NE 140可质询和鉴认要求数字证书链以MCA 150的公钥为根的对等体,该公钥是在引导过程期间提供的可信信息。
一般来说,在引导期间,证书委托链可指向MCA根公钥,而在日常操作期间,对等证书委托可指向也在引导期间分发的SPCA根公钥。值得注意的是,前一示例中描述的新NE 140可以使用用于交换公钥和数字证书的安全信道来还接收捆绑中鉴认其它NE所需的其它数字证书,这将在下面描述。NE之间的对等通信
对于日常操作,当两个NE希望相互通信(例如第一NE想要与第二NE通信)时,它们将使用数字证书的捆绑。例如,NE 1想要与NE 2通话,并向NE 2发送由SS 115签署的它自己的公钥的数字证书。NE 2获得SS 115签署的NE 1的公钥,并使用SS 112公钥的SPCA发布的捆绑中的不同证书来验证从NE 1接收的证书的真实性。
因此,给定NE(传统或新NE 140)仅必须携带它自己的ID,而不必重复获得用于日常操作的每个数字证书。换言之,证书的捆绑表示数字证书之间的委托或链接的鉴认,并且可由任何NE用来“冒泡”或指向用于日常通信的网络中最可信管理实体的证书,SPCA 110的根公钥。网络中的所有NE都信任SPCA 110的根公钥。
因此,对于正常的日常操作,给定NE 140具有SPCA 110的自己签署的数字证书,它可在给定NE 140是新NE 140的情况下在供应时在工厂中被加载(如果目标的服务提供商为已知的话),或者与其它数字证书捆绑并发送回传统NE 140。NE还将具有由SPCA 110签署的、签署服务器的已签署数字证书以及由SS 115签署的、EM 120的公钥的已签署数字证书。因此,为了与另一个网络部件(NE 2)通话,NE 1接收由SS 115签署的、NE 2的公钥的数字证书,并从该数字证书获得SS 115的公钥,其中NE 1已基于在供应期间插入的数字证书。
图2-4示出了由网络安全密钥管理系统100执行的示范任务。以下描述的流程图没有示出建立两个实体之间安全通信所需的细节和步骤。这些流程图的目的是说明图1的安全管理基础设施如何执行高级过程以便执行特定任务。
图2是示出系统如何执行有关与系统中给定网络部件的安全功能关联的属性变化的示例任务的流程图。这被认为是网络中日常操作的一部分。
服务提供商安全管理员登录到EM,并提交命令(点1)以改变NE1和NE2中给定安全能力的配置属性。在EM与NE之间不存在直接连接,因此EM经由使用先前所述的数字证书鉴认的安全信道将命令委托给MA。EM向MA发送属性(点2)。MA接收EM命令,并经由使用先前所述的证书鉴认的安全信道将命令和属性转发给直接连接的NE1和NE2(点3)。
各NE接收命令并通过更新属性来执行命令。各NE向MA报告操作的状态(成功还是失败)(点4)。MA将状态报告转发给EM(点5),它将被报告给服务提供商安全管理器。
图3是示出系统如何执行与将在工厂供应了密钥对和数字证书的新网络部件引导到无线网络中的过程相关的示例任务的流程图。
参照图3,NE在服务提供商网络中首次引导。NE在工厂配备了主机密钥对以及由MCA 150签署的NE公钥的证书。NE开始与MA的连接,其使用NE证书进行相互鉴认,并且由MA保存证书。一旦鉴认了安全连接,NE就向MA发送NE公钥(自点1的箭头)以便由SS进行签署。这个SS证书将用于日常通信。
MA接收NE公钥,并将它转发到EM(点2)。EM接收NE公钥,并与SS连接(点3)以便请求证书。SS接收NE公钥,并生成返回给(点4)EM的证书。EM将证书转发到MA(点5)。
MA接收证书,并将它与NE对网络中其它NE进行通信所需的其它公钥和证书一起转发到NE(自点6的箭头)。NE接收证书和密钥的捆绑,并向MA报告(点7)操作状态(成功还是失败)。在这点上,NE已经完成了引导。
MA将状态报告转发到EM(自点8的箭头)。在点9,EM为安全管理员记录状态报告。EM必须将NE公钥转发到需要与这个NE安全通信的其它网络部件。为了简洁起见,流程图中未示出这些步骤。
图4是示出系统如何执行与更新无线网络中现有的两个传统网络部件的证书相关的示例任务的流程图。
参照图4,服务提供商安全管理员登录EM,并输入命令以更新由NE1和NE2使用的证书供强鉴认。将命令委托给对应MA(自点1的箭头)。MA接收命令(点2),并将它转发到NE1和NE2(点3)。
NE1和NE2生成RSA密钥对的新集合。各NE向MA发送公钥(点4)。MA接收NE1和NE2的公钥,并将密钥转发到要签署的EM(自点5的箭头)。EM接收NE1和NE2公钥,并将它们转发到签署服务器SS。
SS创建NE1和NE2证书(点6),并将它们转发到EM。EM接收证书,并将它们发送到MA(点7)。MA接收证书,并将它们(点8)发送到NE1和NE2。NE1和NE2接收新证书。操作的状态报告(成功还是失败)被创建,并转发到MA(点9)。MA接收状态报告(点10),并将它转发到EM。EM接收状态报告,它被报告给安全管理员(点11)。
因此,在工厂安装了MCA证书的网络部件(新NE 140)可使用它们来证明其身份。另一方面,没有在工厂安装MCA证书的网络部件、如传统NE 140必须依靠如上所述的备选方法,来获取日常通信所需的证书。即使传统NE 140的引导没有提供从工厂配备的新NE140的安全等级,但通过允许安全管理员选通和供应传统NE,可使供应基本上与新NE 140引导过程同样安全。
由此描述了本发明的示例实施例,会清楚,可通过许多方式改变它们。这类改变并不视为背离了本发明的示例实施例的精神和范围,并且本领域的技术人员清楚,所有这类修改都要包含在以下权利要求书的范围内。
Claims (13)
1.一种用于管理无线网络中安全密钥的系统,包括:
服务提供商认证授权机构SPCA,配置成接收制造商认证授权机构MCA的根公钥,以及配置成管理由新网络部件NE和传统NE在所述网络中进行安全通信所使用的数字SPCA证书和文件,
签署服务器SS,用于向所述新NE和传统NE提供签署服务,配置成向所述网络鉴认所述新NE和传统NE,以及
部件管理器EM,用于提供由所述部件管理器直接或间接管理的任何新NE或传统NE的安全密钥和数字证书管理、供应和初始化,其中为了鉴认未安装有数字MCA证书的传统NE,签署的数字MCA证书用于鉴认所述新NE的安全密钥对,以使能够与网络中的其它NE进行安全通信:
所述EM配置成接收所述传统NE的公钥,并向所述SS请求至少一个已签署数字证书,
所述SS配置成向所述EM发送由所述SPCA签署的、指示它是可信SS的所述SS的公钥的数字证书以及由所述SPCA自己签署的所述SPCA的根公钥的数字证书,以及
所述EM配置成生成由所述EM签署的所述传统NE的公钥的数字证书,并捆绑所述SS证书、SPCA证书、由所述EM签署的所述传统NE的公钥的证书以及由所述SS签署的所述EM的公钥的所述EM自己的数字证书,将每一个所述证书与所述传统NE的公钥一起作为证书捆绑发送到所述传统NE,所述证书捆绑表示可信源的证书的链委托,其指向所述SPCA的所述根公钥,用于鉴认所述传统NE,以便在所述网络中开始对等通信。
2.如权利要求1所述的系统,其中所述MCA配置成签署、管理和注销所述制造商的新NE的公钥的X.509v3数字证书,使得所述新NE能够直接向所述EM鉴认它们自己,或者在所述网络中首次安装和初始化所述新NE时,在所述EM的控制下,通过所述新NE间接向具有安全管理授权机构的管理代理MA鉴认。
3.如权利要求1所述的系统,其中所述MCA配置成通过安全信道从位于所述制造商的工厂综合设施处的给定新NE接收所述公钥,签署所述公钥的所述数字MCA证书,并在所述网络中安装所述新NE之前,将已签署数字MCA证书与所述新NE的公钥一起通过安全信道发送回所述新NE。
4.如权利要求3所述的系统,其中所述已签署MCA证书存储在所述新NE的非易失性存储器中。
5.如权利要求1所述的系统,其中所述MCA是独立的离线系统,不与所述网络在线通信。
6.如权利要求1所述的系统,其中所述EM包括发送到所述传统NE的所述证书捆绑中的所述已签署数字MCA证书,在所述网络中供应时为所述EM提供所述MCA证书。
7.一种用于管理要安装在服务提供商网络中的网络部件NE的安全密钥的方法,包括:
在从所述服务提供商网络离线的制造商认证授权机构MCA接收所述NE的公钥,所述NE还具有其私钥、MCA的已签署数字证书以及MCA自己签署的证书,以及
将所述NE的公钥的数字证书从所述MCA发送到所述NE,其中
在所述NE进行网络安装和初始化时,所述数字证书对于向所述服务提供商网络中的多个密钥安全管理实体鉴认所述NE的公钥是有效的,
其中所述MCA具有根公钥,并且所述多个密钥安全管理实体包括以下至少一个:
服务提供商认证授权机构SPCA,用于管理由所述NE在所述网络中进行安全通信所使用的数字SPCA证书和文件,所述SPCA具有所述MCA的所述根公钥,
签署服务器SS,用于向NE提供签署服务,以便向所述网络鉴认所述NE,所述SS具有所述MCA的所述根公钥,以及
部件管理器EM,用于提供所述NE的安全密钥和数字证书管理、供应和初始化,所述EM具有所述MCA的所述根公钥。
8.如权利要求7所述的方法,还包括:在所述网络中供应所述多个密钥安全管理实体时,向所述多个密钥安全管理实体提供所述MCA的所述根公钥。
9.如权利要求7所述的方法,还包括:如果在所述NE出厂之前所述服务提供商为已知,则向所述新NE发送由所述MCA签署的所述SPCA的根公钥的数字证书。
10.一种用于管理服务提供商网络中传统网络部件NE的安全密钥的方法,包括:
从所述传统NE接收公钥,以及
将数字证书的捆绑与所述NE的公钥一起从所述网络中的多个密钥安全管理实体提供回所述NE,以便指示所述NE的公钥是真实的,并且能够信任,
其中所述证书的捆绑表示可信源的证书的链委托,用于鉴认所述NE,以便在所述网络中开始对等通信,
其中多个密钥安全管理实体包括:
服务提供商认证授权机构SPCA,配置成接收制造商认证授权机构MCA的根公钥,以及配置成管理由传统NE在所述网络中进行安全通信所使用的数字SPCA证书和文件,
签署服务器SS,用于向所述传统NE提供签署服务,配置成向所述网络鉴认所述传统NE,以及
部件管理器EM,用于提供由所述部件管理器直接或间接管理的任何传统NE的安全密钥和数字证书管理、供应和初始化,其中,所述将数字证书的捆绑与所述NE的公钥一起从所述网络中的多个密钥安全管理实体提供回所述NE包括:
所述EM配置成接收所述传统NE的公钥,并向所述SS请求至少一个已签署数字证书,
所述SS配置成向所述EM发送由所述SPCA签署的、指示它是可信SS的所述SS的公钥的数字证书以及由所述SPCA自己签署的所述SPCA的根公钥的数字证书,以及
所述EM配置成生成由所述EM签署的所述传统NE的公钥的数字证书,并捆绑所述SS证书、SPCA证书、由所述EM签署的所述传统NE的公钥的证书以及由所述SS签署的所述EM的公钥的所述EM自己的数字证书,将每一个所述证书与所述传统NE的公钥一起作为证书捆绑发送到所述传统NE。
11.如权利要求10所述的方法,其中所述密钥安全管理实体包括:
服务提供商认证授权机构SPCA,用于管理由所述传统NE在所述网络中进行安全通信所使用的数字SPCA证书和文件,
签署服务器SS,用于向传统NE提供签署服务,以便向所述网络鉴认所述传统NE,
部件管理器EM,用于提供所述传统NE的安全密钥和数字证书管理、供应和初始化,无论所述传统NE由所述EM直接管理还是间接管理,以及
管理代理MA,用于向未直接连接到所述EM的所述NE提供所述EM安全密钥服务的代理功能性。
12.如权利要求11所述的方法,其中所述证书的捆绑包括由所述SS签署的所述EM的公钥的证书以及由所述SPCA签署的所述MA的公钥的证书,
所述已签署数字证书由所述SS签署,以及
所述自己签署的证书是基于所述SPCA的根公钥的所述SPCA的自己签署的证书。
13.如权利要求12所述的方法,其中:
为所述EM和MA其中之一提供制造商认证授权机构的所述根公钥的数字证书,所述制造商认证授权机构是独立的离线系统,不与所述网络在线通信,并且它是所述传统NE的制造商,以及
提供包括所述MA和EM其中之一将所述MCA证书加入所述证书捆绑,并将所述捆绑与所述传统NE的公钥一起提供给所述传统NE。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/318,481 US7929703B2 (en) | 2005-12-28 | 2005-12-28 | Methods and system for managing security keys within a wireless network |
US11/318,481 | 2005-12-28 | ||
PCT/US2006/047882 WO2007117293A2 (en) | 2005-12-28 | 2006-12-15 | Methods and system for managing security keys within a wireless network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101366233A CN101366233A (zh) | 2009-02-11 |
CN101366233B true CN101366233B (zh) | 2013-07-10 |
Family
ID=38193761
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006800494429A Expired - Fee Related CN101366233B (zh) | 2005-12-28 | 2006-12-15 | 用于管理无线网络中安全密钥的方法和系统 |
Country Status (6)
Country | Link |
---|---|
US (1) | US7929703B2 (zh) |
EP (1) | EP1966929B1 (zh) |
JP (1) | JP5460056B2 (zh) |
KR (1) | KR101353725B1 (zh) |
CN (1) | CN101366233B (zh) |
WO (1) | WO2007117293A2 (zh) |
Families Citing this family (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2571891C (en) * | 2006-12-21 | 2015-11-24 | Bce Inc. | Device authentication and secure channel management for peer-to-peer initiated communications |
CN101378591B (zh) * | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
EP2191627A2 (en) * | 2007-09-07 | 2010-06-02 | Philips Intellectual Property & Standards GmbH | Network and method for establishing a secure network |
CN101399767B (zh) | 2007-09-29 | 2011-04-20 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
JP5012574B2 (ja) * | 2008-03-03 | 2012-08-29 | 日本電気株式会社 | 共通鍵自動共有システム及び共通鍵自動共有方法 |
ATE546944T1 (de) * | 2008-06-12 | 2012-03-15 | Ericsson Telefon Ab L M | Verfahren und vorrichtung zur kommunikation von maschine zu maschine |
US10764748B2 (en) | 2009-03-26 | 2020-09-01 | Qualcomm Incorporated | Apparatus and method for user identity authentication in peer-to-peer overlay networks |
US8555054B2 (en) * | 2009-10-12 | 2013-10-08 | Palo Alto Research Center Incorporated | Apparatus and methods for protecting network resources |
EP2387262B1 (en) * | 2010-05-10 | 2015-04-29 | BlackBerry Limited | System and method for multi-certificate and certificate authority strategy |
US8347080B2 (en) | 2010-05-10 | 2013-01-01 | Research In Motion Limited | System and method for multi-certificate and certificate authority strategy |
TW201215070A (en) * | 2010-06-14 | 2012-04-01 | Revere Security Corp | Key Management Systems and methods for shared secret ciphers |
WO2012023122A2 (en) * | 2010-08-20 | 2012-02-23 | Nxp B.V. | Authentication device and system |
KR20160130870A (ko) * | 2010-11-15 | 2016-11-14 | 인터디지탈 패튼 홀딩스, 인크 | 인증서 검증 및 채널 바인딩 |
US8554912B1 (en) | 2011-03-14 | 2013-10-08 | Sprint Communications Company L.P. | Access management for wireless communication devices failing authentication for a communication network |
US9148846B2 (en) * | 2011-06-30 | 2015-09-29 | Motorola Solutions, Inc. | Methods for intelligent network selection |
EP2600647B1 (en) * | 2011-12-02 | 2015-03-18 | BlackBerry Limited | Derived certificate based on changing identity |
US8843740B2 (en) | 2011-12-02 | 2014-09-23 | Blackberry Limited | Derived certificate based on changing identity |
US9026789B2 (en) | 2011-12-23 | 2015-05-05 | Blackberry Limited | Trusted certificate authority to create certificates based on capabilities of processes |
CN104221347B (zh) * | 2012-02-14 | 2017-03-29 | 苹果公司 | 支持多个访问控制客户端的移动装置和对应的方法 |
US9436940B2 (en) * | 2012-07-09 | 2016-09-06 | Maxim Integrated Products, Inc. | Embedded secure element for authentication, storage and transaction within a mobile terminal |
US9672360B2 (en) * | 2012-10-02 | 2017-06-06 | Mordecai Barkan | Secure computer architectures, systems, and applications |
US9092628B2 (en) | 2012-10-02 | 2015-07-28 | Mordecai Barkan | Secure computer architectures, systems, and applications |
US9342695B2 (en) | 2012-10-02 | 2016-05-17 | Mordecai Barkan | Secured automated or semi-automated systems |
US11188652B2 (en) | 2012-10-02 | 2021-11-30 | Mordecai Barkan | Access management and credential protection |
TWI480761B (zh) * | 2012-12-27 | 2015-04-11 | Chunghwa Telecom Co Ltd | Security and Trusted Network Entity Isolation System and Method |
US20140281497A1 (en) * | 2013-03-13 | 2014-09-18 | General Instrument Corporation | Online personalization update system for externally acquired keys |
US9774571B2 (en) | 2015-03-10 | 2017-09-26 | Microsoft Technology Licensing, Llc | Automatic provisioning of meeting room device |
US20160269409A1 (en) | 2015-03-13 | 2016-09-15 | Microsoft Technology Licensing, Llc | Meeting Join for Meeting Device |
EP3530602B1 (en) | 2018-02-23 | 2020-06-17 | Otis Elevator Company | Safety circuit for an elevator system, device and method of updating such a safety circuit |
US11757853B2 (en) * | 2018-08-30 | 2023-09-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for restricting access to a management interface using standard management protocols and software |
CN111049660B (zh) * | 2020-03-16 | 2020-06-09 | 杭州海康威视数字技术股份有限公司 | 证书分发方法、系统、装置及设备、存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1463117A (zh) * | 2003-05-22 | 2003-12-24 | 中国科学院计算技术研究所 | 网络计算机通信系统和面向用户的网络层安全通信方法 |
CN1538303A (zh) * | 2003-04-15 | 2004-10-20 | 联想(北京)有限公司 | 分布式软件系统的通信安全控制方法 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5473692A (en) * | 1994-09-07 | 1995-12-05 | Intel Corporation | Roving software license for a hardware agent |
US6865673B1 (en) | 2000-03-21 | 2005-03-08 | 3Com Corporation | Method for secure installation of device in packet based communication network |
WO2002006932A2 (en) * | 2000-07-17 | 2002-01-24 | Equifax, Inc | Methods and systems for authenticating business partners for secured electronic transactions |
WO2002013116A1 (en) * | 2000-08-04 | 2002-02-14 | First Data Corporation | Entity authentication in electronic communications by providing verification status of device |
WO2003014999A1 (en) * | 2001-08-07 | 2003-02-20 | United States Postal Service | System and method for providing secured electronic transactions |
US8019989B2 (en) * | 2003-06-06 | 2011-09-13 | Hewlett-Packard Development Company, L.P. | Public-key infrastructure in network management |
US7831693B2 (en) * | 2003-08-18 | 2010-11-09 | Oracle America, Inc. | Structured methodology and design patterns for web services |
JP4712330B2 (ja) * | 2003-09-12 | 2011-06-29 | 株式会社リコー | 通信装置、通信システム、通信方法及びプログラム |
JP2005191646A (ja) * | 2003-12-24 | 2005-07-14 | Canon Inc | 遮断装置、匿名公開鍵証明書発行装置、システム、および、プログラム |
US7603715B2 (en) * | 2004-07-21 | 2009-10-13 | Microsoft Corporation | Containment of worms |
-
2005
- 2005-12-28 US US11/318,481 patent/US7929703B2/en not_active Expired - Fee Related
-
2006
- 2006-12-15 WO PCT/US2006/047882 patent/WO2007117293A2/en active Application Filing
- 2006-12-15 JP JP2008548578A patent/JP5460056B2/ja not_active Expired - Fee Related
- 2006-12-15 EP EP06850585.8A patent/EP1966929B1/en not_active Not-in-force
- 2006-12-15 CN CN2006800494429A patent/CN101366233B/zh not_active Expired - Fee Related
- 2006-12-15 KR KR1020087015996A patent/KR101353725B1/ko active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1538303A (zh) * | 2003-04-15 | 2004-10-20 | 联想(北京)有限公司 | 分布式软件系统的通信安全控制方法 |
CN1463117A (zh) * | 2003-05-22 | 2003-12-24 | 中国科学院计算技术研究所 | 网络计算机通信系统和面向用户的网络层安全通信方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2009522863A (ja) | 2009-06-11 |
WO2007117293A3 (en) | 2008-02-28 |
EP1966929A2 (en) | 2008-09-10 |
KR101353725B1 (ko) | 2014-01-20 |
US20070147619A1 (en) | 2007-06-28 |
KR20080080160A (ko) | 2008-09-02 |
JP5460056B2 (ja) | 2014-04-02 |
US7929703B2 (en) | 2011-04-19 |
CN101366233A (zh) | 2009-02-11 |
EP1966929B1 (en) | 2014-02-19 |
WO2007117293A2 (en) | 2007-10-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101366233B (zh) | 用于管理无线网络中安全密钥的方法和系统 | |
CN110770695B (zh) | 物联网(iot)设备管理 | |
CN112583802B (zh) | 基于区块链的数据共享平台系统、设备以及数据共享方法 | |
US9100403B2 (en) | Apparatus and methods for providing authorized device access | |
US8392702B2 (en) | Token-based management system for PKI personalization process | |
US6895501B1 (en) | Method and apparatus for distributing, interpreting, and storing heterogeneous certificates in a homogenous public key infrastructure | |
CN101669128B (zh) | 级联认证系统 | |
WO2000042730A1 (en) | Seamless integration of application programs with security key infrastructure | |
CN101689991A (zh) | 通过非安全网络的设备供应和域加入仿真 | |
US20070179907A1 (en) | Security bootstrapping for distributed architecture devices | |
CN112202713B (zh) | 一种Kubernetes环境下用户数据安全保护方法 | |
CN118159967A (zh) | 对在隔离环境中实现的计算资源的访问的控制 | |
Erba et al. | Security analysis of vendor implementations of the OPC UA protocol for industrial control systems | |
US20230062521A1 (en) | Gateway | |
Balachandran et al. | EDISON: a blockchain-based secure and auditable orchestration framework for multi-domain software defined networks | |
Zheng et al. | Secure distributed applications the decent way | |
CN117121435A (zh) | 连接弹性多因素认证 | |
Rao et al. | PKI Deployment Challenges and Recommendations for ICS Networks | |
KR102162108B1 (ko) | Nfv 환경을 위한 lw_pki 시스템 및 그 시스템을 이용한 통신방법. | |
US20230412397A1 (en) | Transitioning To and From Crypto-Agile Hybrid Public Key Infrastructures | |
Unger et al. | Extending the devices profile for web services for secure mobile device communication | |
Loconsolo | Securing digital identities: from the deployment to the analysis of a PKI ecosystem with virtual HSMs leveraging open-source tools | |
US20190394028A1 (en) | Secured and easy deployment of servers in virtual environment | |
WO2022038522A1 (en) | Renewing vendor certificates in a network | |
Liu | Using Security Proxy Based Trusted Computing Enhanced Grid Security Infrastructure |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130710 Termination date: 20191215 |