CN101442402A - 认证接入点设备的方法、系统和装置 - Google Patents
认证接入点设备的方法、系统和装置 Download PDFInfo
- Publication number
- CN101442402A CN101442402A CNA2007101246545A CN200710124654A CN101442402A CN 101442402 A CN101442402 A CN 101442402A CN A2007101246545 A CNA2007101246545 A CN A2007101246545A CN 200710124654 A CN200710124654 A CN 200710124654A CN 101442402 A CN101442402 A CN 101442402A
- Authority
- CN
- China
- Prior art keywords
- access point
- point apparatus
- network side
- information
- security gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/04—Interfaces between hierarchically different network devices
- H04W92/10—Interfaces between hierarchically different network devices between terminal device and access point, i.e. wireless air interface
Abstract
本发明公开了认证接入点设备的方法、系统和装置。其方法之一包括:网络侧收到该接入点设备发送的验证信息;网络侧认证该接入点设备。其系统包括:接入点设备和网络侧;该接入点设备向该网络侧发送验证信息;该网络侧认证该接入点设备。本发明通过网络侧接收接入点设备发送的验证信息,来认证接入点设备,从而解决现有技术中缺少对接入点设备进行认证的办法所带来的问题。
Description
技术领域
本发明涉及通信技术领域,尤其涉认证接入点设备的方法、系统和装置。
背景技术
在目前的移动通信网络中,对于网络节点的布置,一般来说,都是由运营商事先规划好,根据规划的内容来完成网络的布置。在网络中,在同一位置区域中的所有用户共享小区的资源,当有高速率(高带宽)的业务接入之后,有可能会对其他用户的接入造成影响。
随着Internet的发展以及各种无线业务的广泛应用,用户对于无线网络提出了高速、便捷、低成本等方面的需求。另一方面,从运营商的角度来看,需要充分地利用现有网络的资源,扩大容量,减少成本,更好地为用户提供服务。
家庭基站的提出,充分的满足了上面的需求和网络的发展需求。家庭基站是一种家用的微型基站,移动用户可以在家庭,办公场所等热点覆盖区域布置这种基站,通过Internet接入移动通信网络,来获得无线通信服务。家庭基站的引入,解决了无线数据业务中空口资源瓶颈问题,使得用户可以享用到高速率、高带宽的网络服务。另一方面,家庭基站通过Internet接入,节省了移动运营商的传输费用,提高了移动网络的容量。而且,家庭基站主要应用在家庭个人使用,办公场所等热点区域,以及边远地区的盲点覆盖,提高了移动网络的覆盖,优化了网络的质量。
由于家庭基站通过Internet或其他IP网络接入,因此PLMN需要对家庭基站进行认证。认证一般基于家庭基站上插入的SIM或USIM卡进行。但是仅仅执行这种基于SIM/USIM的认证是不够的。这是因为如果认证仅仅基于SIM/USIM卡进行,那么任何一个公网上的设备只要能获得SIM/USIM卡,就可以通过对SIM/USIM的认证接入到PLMN网络内部。为了防止公网上的设备可能发起的这种攻击,需要对家庭基站设备进行认证,保证接入PLMN网络内部的设备确实是一个家庭基站设备。
发明内容
需要指出的是:家庭基站设备实际上是一个接入点设备(Access Point,AP)。家庭基站只是接入点设备的一种应用方式。本发明所述方案可以用来认证各种AP设备,而并不仅限于家庭基站这种应用方式。
本发明的实施例提供认证接入点设备的方法、系统和相应的装置,以解决前面提到的现有技术中存在的问题。
为达到上述目的,本发明的实施例提供一种认证接入点设备的方法,该方法包括:
网络侧收到该接入点设备发送的验证信息;
网络侧认证该接入点设备。
本发明的实施例还提供另一种认证接入点设备的方法,该方法包括:
网络侧的服务器与接入点设备建立连接;
在建立连接的过程中,网络恻收到该接入点设备发送的自身保存的设备身份、以及证书或密钥K,与该网络侧进行设备认证。
本发明的实施例还提供一种认证接入点设备的系统,其特征在于,包括:接入点设备和网络侧;
该接入点设备向该网络侧发送验证信息;该网络侧认证该接入点设备。
本发明的实施例还提供一种接入点设备,其特征在于,包括:
存储单元,用于存储验证密钥和接入点设备的设备身份,或用于存储验证接入点设备需要的证书,并提供给计算单元和发送单元;
计算单元,根据存储单元提供的验证密钥和设备身份,或根据存储单元提供的证书计算证明,并将该证明提供给发送单元;
发送单元,用于发送该设备身份和证明,或用于发送该证书和证明。
本发明的实施例还提供一种安全网关,其特征在于,包括:
接收单元,用于接收接入点设备发送的验证信息;
认证单元,用于根据该验证信息认证接入点设备,或与存储接入点信息的服务器交互认证接入点设备。
本发明的实施例还提供一种存储接入点信息的服务器,其特征在于,包括:
接收单元,用于接收安全网关发送的密钥请求;
存储单元,用于存储验证密钥和接入点设备的设备身份,并根据接收单元接收到的密钥请求获取相应的验证密钥提供给发送单元;
发送单元,用于将存储单元提供的验证密钥发送给安全网关。
本发明的实施例还提供另一种存储接入点信息的服务器,其特征在于,包括:
接收单元,用于接收安全网关发送的密钥请求;
存储单元,用于存储验证密钥和接入点设备的设备身份,并根据接收单元接收到的密钥请求获取相应的验证密钥提供给衍生单元;
衍生单元,用于根据存储单元提供的验证密钥生成衍生密钥,并提供给发送单元;
发送单元,用于将衍生单元提供的衍生密钥发送给安全网关。
本发明的实施例还提供另一种存储接入点信息的服务器,其特征在于,包括:
接收单元,用于接收安全网关发送的认证接入点设备需要的参数,并提供给存储单元和认证单元;
存储单元,用于存储验证密钥和接入点设备的设备身份,并根据接收单元接收到的参数获取相应的验证密钥和/或设备身份提供给发送单元;
认证单元,用于根据所述接收单元和存储单元提供的参数认证接入点设备,并通知发送单元发送认证结果;
发送单元,用于根据认证单元的指示发送认证结果。
与现有技术相比,本发明的实施例具有以下优点:
通过网络侧向接入点设备请求验证信息,并接收接入点设备反馈的验证信息,来认证接入点设备,从而解决现有技术中缺少对接入点设备进行认证的办法所带来的问题。
附图说明
图1是本发明实施例一中认证接入点设备的系统的示意图;
图2是本发明实施例二中认证接入点设备的系统的示意图;
图3是本发明实施例三中认证接入点设备的系统的示意图;
图4是本发明实施例四中认证接入点设备的系统的示意图。
具体实施方式
AP在接入PLMN网络时,需要和PLMN网络的安全网关之间建立安全隧道。建立安全隧道的方法可以采用IKEv2协议。PLMN网络对AP设备的认证可以在建立安全隧道的过程中完成。
若采用这种方式,则在AP设备中保存密钥K和设备身份IDap;在PLMN网络中有存储AP信息的服务器,该服务器上也保存AP的设备身份IDap和密钥K。不同的AP设备使用不同设备身份IDap,且一般情况下使用不同的密钥K。该存储AP信息的服务器可以与安全网关或AAA服务器处于同一个实体中,或作为一个单独的实体。当AP和PLMN网络的安全网关建立安全隧道时,该AP上报其设备身份IDap以及根据IDap、密钥K和其他参数计算得到的证明;安全网关验证该AP设备是否合法。
若安全网关与存储AP信息的服务器不在同一个实体中,则安全网关可以和存储AP信息的服务器进行交互,验证该AP设备是否合法。在验证AP设备时,安全网关可以向存储AP信息的服务器请求密钥K,或者获得一个根据密钥K推演得到的密钥K’。安全网关利用K或者K’验证AP是否合法。
安全网关也可以将AP上报的设备身份IDap和证明发送给存储AP信息的服务器,必要时将相关参数一起发送给存储AP信息的服务器。存储AP信息的服务器验证AP设备是否合法,并将验证结果发送给安全网关。
其中,AP上报的身份IDap以及证明可以携带在IKEv2协议的CP载荷中传递,或者分别携带在CP载荷和V载荷中传递。
上述方案的一个具体实施例是如图1所示的实施例一,该实施例为一个认证接入点设备的系统,该系统包括:
接入点AP101和安全网关102,该AP101中保存密钥K和设备身份IDap,该安全网关102自身作为存储AP信息的服务器,也保存AP的设备身份IDap和密钥K;
在步骤S11中,AP101获得安全网关102的IP地址;
在步骤S12中,AP101和安全网关102进行IKE_SA_INIT交换,协商IKESA。AP101发送其支持的安全关联信息(SAi1)、DH交换值(KEi)和nonce(Ni)给安全网关102;
在步骤S13中,安全网关102选择IKE SA的安全关联,将选择结果发送给AP101,DH交换值(KEr)、nonce(Nr)也一起发送给AP101。这一步结束后,安全网关102和AP101协商完成IKE SA。其中,为了完成对AP设备的认证,安全网关102在这条消息中携带CP载荷,向AP请求其版本信息。
在步骤S14中,AP101和安全网关102开始进行IPsec安全关联的协商。在安全关联的协商过程中,AP101和安全网关102利用EAPAKA/SIM进行交互认证。AP101发送AP的身份(ID of AP,根据AP中插入的USIM卡中的IMSI推导出来NAI格式的身份,与前述AP的设备身份IDap不同)、证书请求(CERT REQUEST,请求安全网关的证书)、内网IP地址请求(携带在CP载荷中,用于请求安全网关给其分配运维管理域的内网IP地址,可选)、AP支持的安全关联信息(SAi2)和策略选择符(TSi,TSr)。
其中,为了完成对AP设备的认证,AP101还在该步骤携带CP载荷和/或V载荷作为安全网关102在步骤S13中发送的CP载荷的响应。AP101利用其存储的IDap、密钥K以及其他参数计算得到证明。IDap和证明可以携带在CP载荷中发送;也可以将IDap携带在CP载荷中发送,将证明携带在V载荷中发送;还可以将IDap和证明分别携带在两个不同的CP载荷中发送。当证明和IDap一起携带在CP载荷中发送时,安全网关102需要区分CP载荷中哪些是IDap部分,哪些是证明部分。一种简单的区分方法是将IDap载荷和证明载荷使用某个特殊的标识符分隔开来。当IDap和证明分别携带在两个不同的CP载荷中发送时,安全网关需要区分两个CP载荷中哪个携带了IDap,哪个携带了证明。附图1中描述的是IDap和证明分别携带在CP载荷和V载荷中发送的情况。
计算证明的方法可以是:证明=KDF(IDap,K,Ni,Nr);或证明=KDF(IDap,KDF(K,ID of SG),Ni,Nr)。其中,KDF(参数1,参数2,...)表示计算证明的算法,ID of SG是安全网关的身份。
在步骤S15中,安全网关102认证AP设备是否合法。因为在本实施例中,安全网关102自身就作为存储AP信息的服务器,因此该安全网关102可以单独认证AP设备。认证方法为:
安全网关102根据保存的密钥K或根据密钥K推演得到的密钥K’=KDF(K,...)认证AP设备是否合法。安全网关102可以采用和AP101相同的方式计算证明,并将计算得到的证明和AP101发送的证明比较,如果两者相同则说明AP设备合法。
本实施例中,通过在AP101和安全网关102共同保存密钥K和IDap,并利用现有流程,在步骤S13中由安全网关102向AP101请求版本信息,AP101则在步骤S14中响应相关参数,使得安全网关102可以认证该AP设备。该系统在运行时对现有流程影响较小,能比较方便地实现对AP设备的认证。
上述方案的另一个具体实施例是如图2所示的实施例二,该实施例为一个认证接入点设备的系统,该系统包括:
接入点AP201、安全网关202和存储AP信息的服务器203,该AP201中保存密钥K和设备身份IDap,该存储AP信息的服务器203也保存AP的设备身份IDap和密钥K。该存储AP信息的服务器203与安全网关202不在同一个实体中,但存储AP信息的服务器203可以与AAA服务器处于同一个实体中。
在步骤S21中,AP201获得安全网关202的IP地址;
在步骤S22中,AP201和安全网关202进行IKE_SA_INIT交换,协商IKESA。AP201发送其支持的安全关联信息(SAi1)、DH交换值(KEi)和nonce(Ni)给安全网关202;
在步骤S23中,安全网关202选择IKE SA的安全关联,将选择结果发送给AP201,DH交换值(KEr)、nonce(Nr)也一起发送给AP201。这一步结束后,安全网关202和AP201协商完成IKE SA。其中,为了完成对AP设备的认证,安全网关202在这条消息中携带CP载荷,向AP请求其版本信息。
在步骤S24中,AP201和安全网关202开始进行IPsec安全关联的协商。在安全关联的协商过程中,AP201和安全网关202利用EAP AKA/SIM进行交互认证。AP201发送AP的身份(ID of AP,根据AP中插入的USIM卡中的IMSI推导出来NAI格式的身份,与前述AP的设备身份IDap不同)、证书请求(CERT REQUEST,请求安全网关的证书)、内网IP地址请求(携带在CP载荷中,用于请求安全网关给其分配运维管理域的内网IP地址,可选)、AP支持的安全关联信息(SAi2)和策略选择符(TSi,TSr)。
其中,为了完成对AP设备的认证,AP201还在该步骤携带CP载荷和/或V载荷作为安全网关202在步骤S23中发送的CP载荷的响应。AP201利用其存储的IDap、密钥K以及其他参数计算得到证明。IDap和证明可以携带在CP载荷中发送;也可以将IDap携带在CP载荷中发送,将证明携带在V载荷中发送;还可以将IDap和证明分别携带在两个不同的CP载荷中发送。当证明和IDap一起携带在CP载荷中发送时,安全网关202需要区分CP载荷中哪些是IDap部分,哪些是证明部分。一种简单的区分方法是将IDap载荷和证明载荷使用某个特殊的标识符分隔开来。当IDap和证明分别携带在两个不同的CP载荷中发送时,安全网关需要区分两个CP载荷中哪个携带了IDap,哪个携带了证明。附图2中描述的是IDap和证明携带在同一个CP载荷中发送的情况。
计算证明的方法可以是:证明=KDF(IDap,K,Ni,Nr);或证明=KDF(IDap,KDF(K,ID of SG),Ni,Nr)。其中,KDF(参数1,参数2,...)表示计算证明的算法,ID of SG是安全网关的身份。
在步骤S25中,安全网关202认证AP设备是否合法。因为在本实施例中,安全网关202自身没有存储AP信息,因此该安全网关202与存储AP信息的服务器203交互认证AP设备。认证方法为:
安全网关202向存储AP信息的服务器203请求密钥K或根据密钥K推演得到的密钥K’=KDF(K,...)。存储AP信息的服务器203将密钥K或者K’发送给安全网关202。安全网关202利用密钥K或者K’认证AP设备是否合法。安全网关202可以采用和AP201相同的方式计算证明,并将计算得到的证明和AP201发送的证明比较,如果两者相同则说明AP设备合法。
安全网关202与存储AP信息的服务器203交互认证AP设备还可以通过以下方法进行:
安全网关202将AP201发来的设备身份IDap、证明以及其他参数发送给存储AP信息的服务器203。存储AP信息的服务器203认证AP设备是否合法,并将认证结果发送给安全网关202。存储AP信息的服务器203可以采用和AP201相同的方式计算证明,并将计算得到的证明和AP201发送的证明比较,如果两者相同则说明AP设备合法。
本实施例中,通过在AP201和存储AP信息的服务器203共同保存密钥K和IDap,并利用现有流程,在步骤S23中由安全网关202向AP201请求版本信息,AP201则在步骤S24中响应相关参数,使得安全网关202可以和存储AP信息的服务器203交互认证该AP设备。该系统在运行时对现有流程影响较小,且不需要对安全网关本身进行大的升级,实现相对简单。该实施例所述方案也能比较方便地实现对AP设备的认证。
除了在建立安全隧道的过程中对AP设备进行认证之外,PLMN网络还可以利用IKEv2协议中规定的信息交换过程对AP设备进行认证。
若采用这种方式,则在AP设备中保存密钥K和设备身份IDap;在PLMN网络中有存储AP信息的服务器,该服务器上也保存AP的设备身份IDap和密钥K。不同的AP设备使用不同设备身份IDap,且一般情况下使用不同的密钥K。该存储AP信息的服务器可以与安全网关或AAA服务器处于同一个实体中,或作为一个单独的实体。当AP和安全网关建立IPsec隧道后,AP利用IKEv2协议中规定的信息交换过程上报其设备身份IDap以及根据IDap、密钥K和其他参数计算得到的证明;安全网关验证该AP设备是否合法。
若安全网关与存储AP信息的服务器不在同一个实体中,则安全网关可以和存储AP信息的服务器进行交互,验证该AP设备是否合法。在验证AP设备时,安全网关可以向存储AP信息的服务器请求密钥K,或者获得一个根据密钥K推演得到的密钥K’。安全网关利用K或者K’验证AP是否合法。
安全网关也可以将AP上报的设备身份IDap和证明发送给存储AP信息的服务器,必要时将相关参数一起发送给存储AP信息的服务器。存储AP信息的服务器验证AP设备是否合法,并将验证结果发送给安全网关。
其中,AP上报的身份IDap以及证明可以携带在IKEv2协议的CP载荷中传递,或者分别携带在CP载荷和V载荷中传递。
上述方案的一个具体实施例是如图3所示的实施例三,该实施例为一个认证接入点设备的系统,该系统包括:
接入点AP301、安全网关302和AAA服务器303,该AP301中保存密钥K和设备身份IDap,该AAA服务器303作为存储AP信息的服务器也保存AP的设备身份IDap和密钥K。
在步骤S31中,AP301和安全网关302建立IPsec隧道;
在步骤S32中,安全网关302利用IKEv2协议中规定的信息交换过程发送IKE消息给AP301,消息中携带CP载荷,向AP301请求其版本信息。
在步骤S33中,AP301携带CP载荷和/或V载荷作为对安全网关302在步骤S32中发送的CP载荷的响应。AP301利用其存储的IDap、密钥K以及其他参数计算得到证明。IDap和证明可以携带在CP载荷中发送;也可以将IDap携带在CP载荷中发送,将证明携带在V载荷中发送;还可以将IDap和证明分别携带在两个不同的CP载荷中发送。当证明和IDap一起携带在CP载荷中发送时,安全网关302需要区分CP载荷中哪些是IDap部分,哪些是证明部分。一种简单的区分方法是将IDap载荷和证明载荷使用某个特殊的标识符分隔开来。当IDap和证明分别携带在两个不同的CP载荷中发送时,安全网关302需要区分两个CP载荷中哪个携带了IDap,哪个携带了证明。附图3中描述的是IDap和证明分别携带在两个不同的CP载荷中发送的情况。
计算证明的方法可以是:证明=KDF(IDap,K,IKE key);或证明=KDF(IDap,KDF(K,ID of SG),IKE key)。其中,KDF(参数1,参数2,...)表示计算证明的算法,ID of SG是安全网关的身份,IKE key是IKE协商结束后,AP和安全网关之间共享的IKE SA所包含的密钥。
在步骤S34中,安全网关302认证AP设备是否合法。因为在本实施例中,安全网关302自身没有存储AP信息,因此该安全网关302与存储AP信息的服务器,即AAA服务器303交互认证AP设备。认证方法为:
安全网关302向AAA服务器303请求密钥K或根据密钥K推演得到的密钥K’=KDF(K,...)。AAA服务器303将密钥K或者K’发送给安全网关302。安全网关302利用密钥K或者K’认证AP设备是否合法。安全网关302可以采用和AP301相同的方式计算证明,并将计算得到的证明和AP301发送的证明比较,如果两者相同则说明AP设备合法。
安全网关302与AAA服务器303交互认证AP设备还可以通过以下方法进行:
安全网关302将AP301发来的设备身份IDap、证明以及其他参数发送给AAA服务器303。AAA服务器303认证AP设备是否合法,并将认证结果发送给安全网关302。AAA服务器303可以采用和AP301相同的方式计算证明,并将计算得到的证明和AP301发送的证明比较,如果两者相同则说明AP设备合法。
本实施例中,通过在AP301和AAA服务器303共同保存密钥K和IDap,并利用IKEv2协议中规定的信息交换流程,在步骤S32中由安全网关302向AP301请求版本信息,AP301则在步骤S33中响应相关参数,使得安全网关302可以和AAA服务器303交互认证该AP设备。该系统在运行时利用现有协议规定的流程完成对AP设备的认证,且不需要对安全网关本身进行大的升级,实现相对简单。该实施例所述方案也能比较方便地实现对AP设备的认证。
上面描述的实施例中,都是基于共享密钥机制对AP设备进行认证。实际上还可以基于证书机制对AP设备进行认证。AP的证书可以在证书载荷中携带,AP利用证书计算证明。计算方法可以是利用证书对消息进行签名操作。并将签名的结果作为证明。证明可以携带在证书载荷中传递。安全网关验证AP证书的合法性;并利用证书验证证明是否正确,具体方法可以是安全网关利用证书验证签名是否正确。
基于证书机制对AP设备进行认证的一个具体实施例是如图4所示的实施例四,该实施例为一个认证接入点设备的系统,该系统包括:
接入点AP401、安全网关402,该AP401中保存AP的证书。
在步骤S41中,AP401和安全网关402建立IPsec隧道;
在步骤S42中,安全网关402利用IKEv2协议中规定的信息交换过程发送IKE消息给AP401,消息中携带证书请求载荷,向AP301请求其证书信息。
在步骤S43中,AP401将其证书和证明发送给安全网关。证书携带在证书载荷中发送。证明携带在CP载荷或V载荷中发送。证明的计算方式可以是AP利用证书对消息进行签名操作,将获得的签名作为证明。附图4中描述的是证明携带在V载荷中的情况。
在步骤S44中,安全网关402验证AP的证书的合法性。安全网关根据证书验证证明是否正确,具体方法可以是安全网关402利用证书验证签名是否正确。
本实施例中,通过利用IKEv2协议中规定的信息交换流程,在步骤S42中由安全网关402向AP401请求证书信息,AP401则在步骤S43中响应相关参数,使得安全网关402可以认证该AP设备。该系统在运行时利用现有协议规定的流程完成对AP设备的认证,且不需要对安全网关本身进行大的升级,实现相对简单。该实施例所述方案也能比较方便地实现对AP设备的认证。
上述实施例中均是利用现有的IKEv2协议中规定的相关流程来具体实现本发明目的。目前的IKEv2协议要求上述验证信息的发送需要基于网络侧的请求,因此在接入点设备在发送验证信息之前,需要网络侧向该接入点设备请求验证信息。但同领域技术人员可以知道,如果对IKEv2协议中信息交互双方的能力进行增强,也可以让接入点设备在没有收到请求的情况下主动发送验证信息。因此,从实现本发明的目的这个角度来看,网络侧向接入点设备请求验证信息并非是必不可少的步骤。
此外,当网络侧对接入点设备的认证不在IKEv2协议规定的流程中完成设备认证,而在其他流程中或采用专门的流程来认证设备的话,也可能由接入点设备主动向网络侧发送验证信息,而并不需要网络侧先向接入点设备请求验证信息。
根据上面的说明,除上述实施例所述方案外,还可以通过其他途径对AP设备进行认证。例如,AP需要从PLMN网络中的某个设备或某些设备下载相应的配置信息才能正常工作,PLMN网络对AP设备的认证可以在下载配置信息的过程中完成。
具体来说,AP和PLMN网络的安全网关建立安全隧道后,AP将和PLMN网络的服务器建立连接,并从服务器下载相关的配置信息。PLMN网络可以在AP和服务器进行交互时对AP设备进行认证。如:AP和服务器之间可能需要建立TLS连接,那么AP可以和服务器在建立TLS连接时进行设备认证。当设备认证基于共享密钥时,TLS连接采用基于共享密钥的方式建立,当设备认证基于证书时,TLS连接可以采用基于证书的方式建立。步骤简要描述如下:
AP与为其提供服务的网管系统之间发起安全连接的建立;
在建立安全连接的过程中,AP利用自身保存的设备身份IDap、证书或密钥K,与网管系统进行设备认证;
设备认证成功后,AP和为其提供服务的网管系统之间完成安全连接的建立。
本发明的实施例五提供了一种接入点设备,该设备包括:
存储单元,用于存储验证密钥和接入点设备的设备身份,或用于存储验证接入点设备需要的证书,并提供给计算单元和发送单元;
计算单元,根据存储单元提供的验证密钥和设备身份,或根据存储单元提供的证书计算证明,并将该证明提供给发送单元;
发送单元,用于发送所述设备身份和证明,或用于发送所述证书和证明。
其中,计算单元计算证明的方法,可以参照前面实施例中的方法。若在建立安全隧道的过程中,或利用IKEv2协议规定的信息交换流程对接入点设备进行认证,则发送单元将在相应的载荷中携带设备身份和证明,或证书和证明。具体携带方法可以参照前面实施例中的方案。
本发明的实施例六提供了一种安全网关,该安全网关包括:
接收单元,用于接收接入点设备发送的验证信息;
认证单元,用于根据该验证信息认证接入点设备,或与存储接入点信息的服务器交互认证接入点设备。
其中,向接入点设备请求验证信息和接收接入点设备发送的验证信息可以在建立安全隧道的过程中,或利用IKEv2协议规定的信息交换流程完成。当存在存储接入点信息的服务器时,该安全网关的认证单元可以通过与存储接入点信息的服务器交互认证接入点设备;在某些情况下,该安全网关也可以单独认证接入点设备。具体实现方案可以参照前面的实施例。
本发明的实施例七提供了一种存储接入点信息的服务器,该服务器包括:
接收单元,用于接收安全网关发送的密钥请求;
存储单元,用于存储验证密钥和接入点设备的设备身份,并根据接收单元接收到的密钥请求获取相应的验证密钥提供给发送单元;
发送单元,用于将存储单元提供的验证密钥发送给安全网关。
本发明的实施例八提供了另一种存储接入点信息的服务器,该服务器包括:
接收单元,用于接收安全网关发送的密钥请求;
存储单元,用于存储验证密钥和接入点设备的设备身份,并根据接收单元接收到的密钥请求获取相应的验证密钥提供给衍生单元;
衍生单元,用于根据存储单元提供的验证密钥生成衍生密钥,并提供给发送单元;
发送单元,用于将衍生单元提供的衍生密钥发送给安全网关。
本发明的实施例九提供了又一种存储接入点信息的服务器,该服务器包括:
接收单元,用于接收安全网关发送的认证接入点设备需要的参数,并提供给存储单元和认证单元;
存储单元,用于存储验证密钥和接入点设备的设备身份,并根据接收单元接收到的参数获取相应的验证密钥和/或设备身份提供给发送单元;
认证单元,用于根据所述接收单元和存储单元提供的参数认证接入点设备,并通知发送单元发送认证结果;
发送单元,用于根据认证单元的指示发送认证结果。
与现有技术相比,本发明的实施例具有以下优点:
通过网络侧向接入点设备请求验证信息,并接收接入点设备反馈的验证信息,来认证接入点设备,从而解决现有技术中缺少对接入点设备进行认证的办法所带来的问题。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来。该计算机软件产品可以存储在一个存储介质中,包括若干指令用以使得一台网络设备执行本发明各个实施例所述的方法。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (36)
1、一种认证接入点设备的方法,其特征在于,包括:
网络侧收到所述接入点设备发送的验证信息;
网络侧认证所述接入点设备。
2、如权利要求1所述的方法,其特征在于,
所述接入点设备保存验证密钥和设备身份,所述网络侧保存相同的验证密钥和设备身份;
所述网络侧收到所述接入点设备发送的验证信息具体为:所述网络侧收到所述接入点设备发送的设备身份,以及所述接入点设备计算得到的证明。
3、如权利要求2所述的方法,其特征在于,
所述计算证明的参数包括:所述验证密钥和设备身份。
4、如权利要求2所述的方法,其特征在于,
所述网络侧保存相同的验证密钥和设备身份具体为:所述网络侧的安全网关保存所述验证密钥和设备身份;
所述网络侧认证所述接入点设备具体为:所述安全网关根据所述验证密钥和设备身份认证所述接入点设备。
5、如权利要求2所述的方法,其特征在于,
所述网络侧保存相同的验证密钥和设备身份具体为:所述网络侧存储接入点设备信息的服务器保存所述验证密钥和设备身份;
所述网络侧认证所述接入点设备具体为:所述安全网关与所述存储接入点设备信息的服务器进行交互,根据所述验证密钥和设备身份认证所述接入点设备。
6、如权利要求5所述的方法,其特征在于,
所述安全网关与所述存储接入点设备信息的服务器进行交互,根据所述验证密钥和设备身份认证所述接入点设备包括:
所述安全网关向所述存储接入点设备信息的服务器请求验证密钥或验证密钥的衍生密钥;所述安全网关收到所述存储接入点设备信息的服务器发送的验证密钥或验证密钥的衍生密钥;所述安全网关根据所述设备身份,以及所述收到的验证密钥或验证密钥的衍生密钥认证所述接入点设备;或者
所述安全网关将所述设备身份、证明和其他参数发送给所述存储接入点信息的服务器;所述存储接入点信息的服务器根据自己保存的所述验证密钥和设备身份认证所述接入点设备;所述存储接入点信息的服务器将认证结果发送给所述安全网关。
7、如权利要求5或6所述的方法,其特征在于,
所述存储接入点信息的服务器与AAA服务器处于同一实体中。
8、如权利要求2、4或5中任一项所述的方法,其特征在于,
所述网络侧认证所述接入点设备是通过:所述网络侧采用与所述接入点设备相同的方式计算证明,并比较该计算得到的证明与所述接入点设备发送的证明是否相同。
9、如权利要求2~6中任一项所述的方法,其特征在于,
所述网络侧收到所述接入点设备发送的验证信息在所述接入点设备和所述网络侧建立安全隧道的过程中完成;或者
所述网络侧收到所述接入点设备发送的验证信息利用IKEv2协议中规定的信息交换过程完成。
10、如权利要求9所述的方法,其特征在于,
所述接入点设备发送的设备身份,以及所述接入点设备计算得到的证明携带在同一个CP载荷中;或者
所述接入点设备发送的设备身份,以及所述接入点设备计算得到的证明携带在不同的CP载荷中;或者
所述接入点设备发送的设备身份携带在CP载荷中,所述接入点设备计算得到的证明携带在V载荷中。
11、如权利要求10所述的方法,其特征在于,当所述接入点设备发送的设备身份,以及所述接入点设备计算得到的证明携带在同一个CP载荷中时,所述设备身份和所述接入点设备计算得到的证明用标识符分隔。
12、如权利要求1所述的方法,其特征在于,在网络侧收到所述接入点设备发送的验证信息之前,还包括:网络侧向接入点设备请求验证信息。
13、如权利要求12所述的方法,其特征在于,所述网络侧向接入点设备请求验证信息具体为:所述网络侧向所述接入点设备请求版本信息。
14、如权利要求13所述的方法,其特征在于,所述网络侧通过CP载荷向所述接入点设备请求版本信息。
15、如权利要求1所述的方法,其特征在于,
所述接入点设备保存验证该设备需要的证书。
所述网络侧收到所述接入点设备发送的验证信息具体为:所述网络侧收到所述接入点设备发送的证书,以及所述接入点设备计算得到的证明。
16、如权利要求15所述的方法,其特征在于,
所述网络侧收到所述接入点设备发送的验证信息在所述接入点设备和所述网络侧建立安全隧道的过程中完成;或者
所述网络侧收到所述接入点设备发送的验证信息利用IKEv2协议中规定的信息交换过程完成。
17、如权利要求16所述的方法,其特征在于,所述接入点设备发送的证书携带在证书载荷中。
18、如权利要求16所述的方法,其特征在于,所述接入点设备计算得到的证明携带在CP载荷中或携带在V载荷中。
19、如权利要求15所述的方法,其特征在于,所述计算证明的方法为:利用所述证书对消息进行签名操作,将签名的结果作为证明。
20、如权利要求15所述的方法,其特征在于,所述网络侧认证所述接入点设备具体为:所述安全网关验证所述接入点设备发送的证书的合法性,并利用所述证书验证证明是否正确。
21、如权利要求15所述的方法,其特征在于,所述网络侧向接入点设备请求验证信息具体为:所述网络侧向所述接入点设备请求证书信息。
22、如权利要求21所述的方法,其特征在于,所述网络侧通过证书请求载荷向所述接入点设备请求证书信息。
23、一种认证接入点设备的方法,其特征在于,包括:
网络侧的服务器与接入点设备建立连接;
在建立连接的过程中,网络侧收到所述接入点设备发送的自身保存的设备身份、以及证书或密钥K,与所述网络侧进行设备认证。
24、一种认证接入点设备的系统,其特征在于,包括:接入点设备和网络侧;
所述接入点设备向所述网络侧发送验证信息;所述网络侧认证所述接入点设备。
25、如权利要求24所述的系统,其特征在于,
所述接入点设备保存验证密钥和设备身份,所述网络侧保存相同的验证密钥和设备身份;
所述接入点设备向所述网络侧发送验证信息包括所述接入点设备的设备身份,以及所述接入点设备计算得到的证明。
26、如权利要求25所述的系统,其特征在于,所述网络侧包括安全网关;
所述网络侧保存相同的验证密钥和设备身份具体为:所述安全网关保存相同的验证密钥和设备身份;
所述网络侧认证所述接入点设备具体为:所述安全网关认证所述接入点设备。
27、如权利要求25所述的系统,其特征在于,所述网络侧包括存储接入点信息的服务器;
所述网络侧保存相同的验证密钥和设备身份具体为:所述存储接入点信息的服务器保存相同的验证密钥和设备身份;
所述网络侧认证所述接入点设备具体为:所述安全网关与所述存储接入点信息的服务器进行交互,认证所述接入点设备。
28、如权利要求25所述的系统,其特征在于,所述存储接入点信息的服务器与AAA服务器处于同一实体中。
29、如权利要求24所述的系统,其特征在于,
所述接入点设备保存验证该设备需要的证书;
所述接入点设备向所述网络侧发送验证信息包括所述证书,以及所述接入点设备计算得到的证明。
30、如权利要求29所述的系统,其特征在于,所述网络侧包括安全网关;
所述网络侧认证所述接入点设备具体为:所述安全网关验证所述接入点设备发送的证书的合法性,并利用所述证书验证证明是否正确。
31、如权利要求24所述的系统,其特征在于,所述网络侧向所述接入点设备请求验证信息。
32、一种接入点设备,其特征在于,包括:
存储单元,用于存储验证密钥和接入点设备的设备身份,或用于存储验证接入点设备需要的证书,并提供给计算单元和发送单元;
计算单元,根据存储单元提供的验证密钥和设备身份,或根据存储单元提供的证书计算证明,并将该证明提供给发送单元;
发送单元,用于发送所述设备身份和证明,或用于发送所述证书和证明。
33、一种安全网关,其特征在于,包括:
接收单元,用于接收接入点设备发送的验证信息;
认证单元,用于根据所述验证信息认证接入点设备,或与存储接入点信息的服务器交互认证接入点设备。
34、一种存储接入点信息的服务器,其特征在于,包括:
接收单元,用于接收安全网关发送的密钥请求;
存储单元,用于存储验证密钥和接入点设备的设备身份,并根据接收单元接收到的密钥请求获取相应的验证密钥提供给发送单元;
发送单元,用于将存储单元提供的验证密钥发送给安全网关。
35、一种存储接入点信息的服务器,其特征在于,包括:
接收单元,用于接收安全网关发送的密钥请求;
存储单元,用于存储验证密钥和接入点设备的设备身份,并根据接收单元接收到的密钥请求获取相应的验证密钥提供给衍生单元;
衍生单元,用于根据存储单元提供的验证密钥生成衍生密钥,并提供给发送单元;
发送单元,用于将衍生单元提供的衍生密钥发送给安全网关。
36、一种存储接入点信息的服务器,其特征在于,包括:
接收单元,用于接收安全网关发送的认证接入点设备需要的参数,并提供给存储单元和认证单元;
存储单元,用于存储验证密钥和接入点设备的设备身份,并根据接收单元接收到的参数获取相应的验证密钥和/或设备身份提供给发送单元;
认证单元,用于根据所述接收单元和存储单元提供的参数认证接入点设备,并通知发送单元发送认证结果;
发送单元,用于根据认证单元的指示发送认证结果。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101246545A CN101442402B (zh) | 2007-11-20 | 2007-11-20 | 认证接入点设备的方法、系统和装置 |
| PCT/CN2008/073132 WO2009074050A1 (fr) | 2007-11-20 | 2008-11-20 | Procede, systeme et appareil d'authentification de dispositif de point d'acces |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101246545A CN101442402B (zh) | 2007-11-20 | 2007-11-20 | 认证接入点设备的方法、系统和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101442402A true CN101442402A (zh) | 2009-05-27 |
| CN101442402B CN101442402B (zh) | 2011-08-24 |
Family
ID=40726663
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101246545A Active CN101442402B (zh) | 2007-11-20 | 2007-11-20 | 认证接入点设备的方法、系统和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101442402B (zh) |
| WO (1) | WO2009074050A1 (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102469063A (zh) * | 2010-11-03 | 2012-05-23 | 中兴通讯股份有限公司 | 路由协议安全联盟管理方法、装置及系统 |
| CN102546523A (zh) * | 2010-12-08 | 2012-07-04 | 中国电信股份有限公司 | 一种互联网接入的安全认证方法、系统和设备 |
| CN102625307A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 一种无线网络接入系统 |
| CN102724665A (zh) * | 2011-03-31 | 2012-10-10 | 中国联合网络通信集团有限公司 | 飞蜂窝型基站的安全认证方法及飞蜂窝型无线通信系统 |
| CN102801545A (zh) * | 2011-05-25 | 2012-11-28 | 华为技术有限公司 | 配置信息的获取方法和设备 |
| CN103096311A (zh) * | 2011-10-31 | 2013-05-08 | 中兴通讯股份有限公司 | 家庭基站安全接入的方法及系统 |
| CN103391544A (zh) * | 2012-05-10 | 2013-11-13 | 华为技术有限公司 | 基站接入控制方法、相应的装置以及系统 |
| CN104168566A (zh) * | 2014-08-19 | 2014-11-26 | 京信通信系统(中国)有限公司 | 一种接入网络的方法及装置 |
| CN104780534A (zh) * | 2014-01-10 | 2015-07-15 | 中国移动通信集团公司 | 一种用户设备接入方法及用户设备 |
| WO2016169142A1 (zh) * | 2015-04-20 | 2016-10-27 | 中兴通讯股份有限公司 | 识别无线接入点合法性的方法、终端、系统及存储介质 |
| CN108738017A (zh) * | 2017-04-21 | 2018-11-02 | 网件公司 | 网络接入点中的安全通信 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1322702C (zh) * | 2003-12-30 | 2007-06-20 | 华为技术有限公司 | 因特网协议语音接入设备的认证方法 |
| JP2007189422A (ja) * | 2006-01-12 | 2007-07-26 | Doshisha | 無線lanにおける相互認証方法、および、相互認証を行うアクセスポイントとステーション |
| JP4804983B2 (ja) * | 2006-03-29 | 2011-11-02 | 富士通株式会社 | 無線端末、認証装置、及び、プログラム |
-
2007
- 2007-11-20 CN CN2007101246545A patent/CN101442402B/zh active Active
-
2008
- 2008-11-20 WO PCT/CN2008/073132 patent/WO2009074050A1/zh active Application Filing
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102469063B (zh) * | 2010-11-03 | 2016-03-30 | 中兴通讯股份有限公司 | 路由协议安全联盟管理方法、装置及系统 |
| CN102469063A (zh) * | 2010-11-03 | 2012-05-23 | 中兴通讯股份有限公司 | 路由协议安全联盟管理方法、装置及系统 |
| CN102546523B (zh) * | 2010-12-08 | 2015-01-07 | 中国电信股份有限公司 | 一种互联网接入的安全认证方法、系统和设备 |
| CN102546523A (zh) * | 2010-12-08 | 2012-07-04 | 中国电信股份有限公司 | 一种互联网接入的安全认证方法、系统和设备 |
| CN102625307A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 一种无线网络接入系统 |
| CN102625307B (zh) * | 2011-01-31 | 2014-07-09 | 电信科学技术研究院 | 一种无线网络接入系统 |
| CN102724665A (zh) * | 2011-03-31 | 2012-10-10 | 中国联合网络通信集团有限公司 | 飞蜂窝型基站的安全认证方法及飞蜂窝型无线通信系统 |
| CN102724665B (zh) * | 2011-03-31 | 2015-07-22 | 中国联合网络通信集团有限公司 | 飞蜂窝型基站的安全认证方法及飞蜂窝型无线通信系统 |
| CN102801545A (zh) * | 2011-05-25 | 2012-11-28 | 华为技术有限公司 | 配置信息的获取方法和设备 |
| CN102801545B (zh) * | 2011-05-25 | 2015-12-09 | 华为技术有限公司 | 配置信息的获取方法和设备 |
| WO2013064002A1 (zh) * | 2011-10-31 | 2013-05-10 | 中兴通讯股份有限公司 | 家庭基站安全接入的方法、系统及核心网网元 |
| RU2580399C2 (ru) * | 2011-10-31 | 2016-04-10 | ЗетТиИ Корпорейшн | СПОСОБ И СИСТЕМА ЗАЩИЩЕННОГО ДОСТУПА К HNB ИЛИ HeNB И ЭЛЕМЕНТ БАЗОВОЙ СЕТИ |
| CN103096311B (zh) * | 2011-10-31 | 2018-11-09 | 中兴通讯股份有限公司 | 家庭基站安全接入的方法及系统 |
| US9467295B2 (en) | 2011-10-31 | 2016-10-11 | Zte Corporation | HNB or HeNB security access method and system, and core network element |
| CN103096311A (zh) * | 2011-10-31 | 2013-05-08 | 中兴通讯股份有限公司 | 家庭基站安全接入的方法及系统 |
| CN103391544B (zh) * | 2012-05-10 | 2017-04-26 | 华为技术有限公司 | 基站接入控制方法、相应的装置以及系统 |
| CN103391544A (zh) * | 2012-05-10 | 2013-11-13 | 华为技术有限公司 | 基站接入控制方法、相应的装置以及系统 |
| CN104780534A (zh) * | 2014-01-10 | 2015-07-15 | 中国移动通信集团公司 | 一种用户设备接入方法及用户设备 |
| CN104780534B (zh) * | 2014-01-10 | 2019-02-05 | 中国移动通信集团公司 | 一种用户设备接入方法及用户设备 |
| CN104168566B (zh) * | 2014-08-19 | 2018-11-06 | 京信通信系统(中国)有限公司 | 一种接入网络的方法及装置 |
| CN104168566A (zh) * | 2014-08-19 | 2014-11-26 | 京信通信系统(中国)有限公司 | 一种接入网络的方法及装置 |
| WO2016169142A1 (zh) * | 2015-04-20 | 2016-10-27 | 中兴通讯股份有限公司 | 识别无线接入点合法性的方法、终端、系统及存储介质 |
| CN106162649A (zh) * | 2015-04-20 | 2016-11-23 | 中兴通讯股份有限公司 | 一种识别无线接入点合法性的方法、终端及系统 |
| CN108738017A (zh) * | 2017-04-21 | 2018-11-02 | 网件公司 | 网络接入点中的安全通信 |
| US10986626B2 (en) | 2017-04-21 | 2021-04-20 | Netgear, Inc. | Robust control plane for management of a multi-band wireless networking system |
| US10999834B2 (en) | 2017-04-21 | 2021-05-04 | Netgear, Inc. | Method and apparatus for generating and maintaining an accurate network map in a communications network |
| US11229023B2 (en) | 2017-04-21 | 2022-01-18 | Netgear, Inc. | Secure communication in network access points |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101442402B (zh) | 2011-08-24 |
| WO2009074050A1 (fr) | 2009-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101442402B (zh) | 认证接入点设备的方法、系统和装置 | |
| CN101951603B (zh) | 一种无线局域网接入控制方法及系统 | |
| CN101437223B (zh) | 一种家庭基站接入的方法、系统和装置 | |
| US7913080B2 (en) | Setting information distribution apparatus, method, program, and medium, authentication setting transfer apparatus, method, program, and medium, and setting information reception program | |
| US8769647B2 (en) | Method and system for accessing 3rd generation network | |
| CN101500229B (zh) | 建立安全关联的方法和通信网络系统 | |
| EP2248317B1 (en) | Secure bootstrapping architecture method based on password-based digest authentication | |
| US20090100262A1 (en) | Apparatus and method for detecting duplication of portable subscriber station in portable internet system | |
| CN101500230B (zh) | 建立安全关联的方法和通信网络 | |
| CN101877850B (zh) | 接入认证方法及装置 | |
| CA2894357A1 (en) | Virtual subscriber identity module | |
| WO2009152749A1 (zh) | 一种绑定认证的方法、系统和装置 | |
| US20070165582A1 (en) | System and method for authenticating a wireless computing device | |
| WO2010078492A2 (en) | Authentication method selection using a home enhanced node b profile | |
| WO2017024449A1 (zh) | 终端接入3gpp网络的处理方法及装置 | |
| CN101677440A (zh) | 一种接入点认证的方法、系统及安全网关 | |
| CN102088699B (zh) | 一种基于信任列表的系统及方法 | |
| CN102685742B (zh) | 一种wlan接入认证方法和装置 | |
| CN102752298B (zh) | 安全通信方法、终端、服务器及系统 | |
| CN104168566B (zh) | 一种接入网络的方法及装置 | |
| CN106304400A (zh) | 无线网络的ip地址分配方法和系统 | |
| WO2012151933A1 (zh) | 自有业务认证方法及系统 | |
| WO2012068801A1 (zh) | 移动终端的认证方法及移动终端 | |
| CN101742507B (zh) | 一种WAPI终端访问Web应用站点的系统及方法 | |
| Abdelkader et al. | A novel advanced identity management scheme for seamless handoff in 4G wireless networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |