CN102088699B - 一种基于信任列表的系统及方法 - Google Patents

一种基于信任列表的系统及方法 Download PDF

Info

Publication number
CN102088699B
CN102088699B CN200910242135.8A CN200910242135A CN102088699B CN 102088699 B CN102088699 B CN 102088699B CN 200910242135 A CN200910242135 A CN 200910242135A CN 102088699 B CN102088699 B CN 102088699B
Authority
CN
China
Prior art keywords
certificate
opki
segw
equipment vendor
request message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN200910242135.8A
Other languages
English (en)
Other versions
CN102088699A (zh
Inventor
陈书义
韦银星
端时立
高峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN200910242135.8A priority Critical patent/CN102088699B/zh
Publication of CN102088699A publication Critical patent/CN102088699A/zh
Application granted granted Critical
Publication of CN102088699B publication Critical patent/CN102088699B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种基于信任列表的系统,该系统中的运营商公钥基础设施证书库/证书撤销列表(OPKI CR/CRL)用于存储根证书,并添加到信任列表;以及收到运营商公钥基础设施授权中心/注册中心(OPKI RA/CA)发送的证书请求消息,从信任列表中检索与证书请求消息相对应的根证书,返回检索到的根证书给OPKI RA/CA。本发明公开了一种基于信任列表的方法,OPKI CR/CRL从信任列表中检索对应的根证书返回给OPKI RA/CA。采用本发明的系统及方法,实现了基于信任列表的PKI模型的系统架构及其具体管理流程,从而满足了回程网安全的需求。

Description

一种基于信任列表的系统及方法
技术领域
本发明涉及通信技术领域,尤其涉及一种移动回程网中基于信任列表的公钥基础设施(PKI)的系统及方法。
背景技术
移动回程网的安全问题受到越来越多的关注。第三代合作伙伴计划(3GPP,3rd Generation Partnership Project)、宽带论坛(BBF,Broadband Forum)和下一代移动网络(NGMN,Next Generation Mobile Networks)等组织对移动回程网的安全需求进行了较为深入的分析。
3GPP TS 33.401中提出基于网络域安全机制(NDS,Network DomainSecurity)的相关规范保护移动回程网安全。然而,NDS是针对网络域安全提出的规范,需要依据回程网特殊的需求进行增强,其中一个有待增强的方面就是PKI(Public Key Infrastructure)信任模型的系统架构及其具体的方法流程。
为了满足这方面的增强需求,目前NDS中引入了基于交叉证书的PKI信任模型,以下对该基于交叉证书的PKI信任模型进行阐述。
NDS PKI信任模型的总体要求如下:简单、容易部署;与现有标准兼容;适用于通用分组无线业务漫游交换(GRX,GPRS Roaming Exchange)和non-GRX运营商。
基于以上原则,在TS 33.310中引入了直接交叉的PKI信任模型,解决了跨域认证的问题。
TS 33.310中的交叉证书信任模型如图1所示,图1中,以
Figure G2009102421358D00011
表示因特网密钥交换协议(IKE,Internet Key Exchange)连接;以
Figure G2009102421358D00012
表示以太网交换路径(ESP)隧道(tunnel);以
Figure G2009102421358D00013
表示签发证书(Issues a certificate)。如果授权机构A同授权机构B实现了交叉认证,授权机构A就信任授权机构B签发的证书。交叉认证过程使得认证机构双方的用户可以验证对方授权的证书。当域间互联协定建立后,互联证书授权(CA,Certificate Authority)可以依据互联协定,为对方运营商的安全网关证书授权(SEG CA,Security GatewayCertificate Authority)签发交叉证书,生成的交叉证书仅部署在本地,基于交叉证书可以完成跨域的认证。
然而,在回程网环境中,基于交叉证书的PKI信任模型并不能完全解决认证问题,也就是说,该基于交叉证书的PKI信任模型并不能完全满足回程网安全的需求。
在回程网中,为了满足安全通信的需求,增强型基站(eNB,Evolved NodeB)需要运营商签发的证书。但由于在回程网中支持后期绑定,那么eNB不能预先配置运营商的证书、或者运营商的交叉证书。eNB在初始接入认证时,或者在申请运营商证书时,需要通过运营商接入控制设备的认证。而此时eNB仅仅拥有设备商颁发的证书,此证书需要设备商根证书进行认证,所以接入控制设备需要拥有设备商根证书。此外,运营商可能部署多个厂家的eNB设备,那么就需要所有这些厂商的根证书,这就需要运营商建立信任列表的PKI信任模型,将这些设备商根证书都加入信任列表中。由于eNB对运营商的认证可以用交叉证书的方式,因此,为了完全满足回程网安全的需求,在回程网中需要基于信任列表的PKI模型和基于交叉证书的PKI模型的结合。
如果在回程网中引入基于信任列表的PKI模型,必须对该模型进行有效地管理。在RFC4158分析了信任列表方式的缺点,信任列表安全性较差,终端用户的能力有限。如果信任列表中的根CA中有一个CA的私钥被泄露,即使其它根CA仍然完好无损,安全性也将被破坏。如果一个欺诈的根CA证书加入了信任列表,那么整个系统的也将受到破坏。信任列表中的根证书都是自签名证书,也给管理带来了一定难度。为了保障信任列表模型的安全,必须提出有效的管理流程,但是目前并未揭示基于信任列表的PKI模型的具体管理流程。
综上所述,3GPP提出对NDS机制进行增强,以满足回程网安全的需求建议。由于目前NDS中仅支持基于交叉证书的PKI信任模型,并不能完全满足回程网的需求。
因此,需要针对回程网的安全需求,提出新的回程网PKI信任模型:即基于信任列表的PKI模型的系统架构及其具体管理流程,以保障回程网安全应用的顺利实施,然而,目前并未有这样的解决方案。
发明内容
有鉴于此,本发明的主要目的在于提供一种基于信任列表的系统及方法,实现了基于信任列表的PKI模型的系统架构及其具体管理流程,从而满足了回程网安全的需求。
为达到上述目的,本发明的技术方案是这样实现的:
一种基于信任列表的系统,该系统包括:公钥基础设施授权中心/注册中心(OPKI RA/CA)和公钥基础设施证书库/证书撤销列表(OPKI CR/CRL);其中,
OPKI RA/CA,用于将获取的根证书发送到OPKI CR/CRL中存储;以及向OPKI CR/CRL发送证书请求消息;
OPKI CR/CRL,用于存储所述根证书,并添加到信任列表;以及收到OPKIRA/CA发送的所述证书请求消息,从所述信任列表中检索与所述证书请求消息相对应的根证书,返回检索到的所述根证书给所述OPKI RA/CA。
其中,所述OPKI RA/CA和OPKI CR/CRL隶属于运营商;所述根证书为设备商的根证书。
其中,该系统还包括:设备商公钥基础设施授权中心/注册中心(VPKIRA/CA),用于与所述OPKI RA/CA以安全的方式进行交互,并将正确的设备商根证书发送给所述OPKI RA/CA;
所述OPKI RA/CA,进一步用于以安全的方式从VPKI RA/CA获取到正确的设备商根证书;其中,实现所述获取的方式包括:带内方式或带外方式。
其中,该系统还包括:安全网关(SeGW),用于在本地存储有信任列表的情况下,在认证设备商颁发的增强型基站(eNB)证书的情况时,先检索本地信任列表中是否存储有设备商根证书,如果有,则采用设备商根证书完成对eNB证书的认证;否则,转而向所述OPKI RA/CA发送证书请求消息;
所述SeGW,还用于在本地未存储有信任列表的情况下,在认证设备商颁发的eNB证书的情况时,直接向所述OPKI RA/CA发送证书请求消息。
其中,所述OPKI RA/CA,进一步用于将从所述SeGW收到的证书请求消息,转发给所述OPKI CR/CRL进行设备商根证书的检索;以及将所述OPKICR/CRL检索到的设备商根证书返回给所述SeGW,由SeGW采用设备商根证书实现对eNB证书的认证。
其中,该系统还包括:eNB,用于通过与所述SeGW的认证交互,完成因特网密钥交换协议(IKE)连接;其中,
所述认证交互包括:所述SeGW接收到所述eNB发送的因特网密钥交换协议认证(IKE_AUTH)请求消息,对IKE_AUTH请求消息中的加密载荷解密,取出证书选项(CERT)中的eNB证书,对IKE_AUTH请求消息中的认证载荷(AUTH)进行认证;发起对设备商颁发的eNB证书真实性的认证。
一种基于信任列表的方法,该方法包括:
OPKI RA/CA将获取的根证书发送到OPKI CR/CRL;OPKI CR/CRL存储所述根证书,并添加到信任列表;
OPKI RA/CA向OPKI CR/CRL发送证书请求消息;OPKI CR/CRL收到OPKI RA/CA发送的所述证书请求消息,从所述信任列表中检索与所述证书请求消息相对应的根证书,返回检索到的根证书给所述OPKI RA/CA。
其中,所述根证书为设备商的根证书;所述OPKI RA/CA获取所述设备商根证书具体包括:所述OPKI RA/CA以安全的方式与VPKI RA/CA交互,并从VPKI RA/CA获取到正确的设备商根证书;
其中,实现所述获取的方式包括:带内方式或带外方式。
其中,该方法进一步包括:eNB通过与SeGW的认证交互,完成IKE连接;其中,
所述认证交互包括:所述SeGW接收到所述eNB发送的IKE_AUTH请求消息,对IKE_AUTH请求消息中的加密载荷解密,取出CERT证书选项中的eNB证书,对IKE_AUTH请求消息中的AUTH进行认证;发起对设备商颁发的eNB证书真实性的认证。
其中,SeGW在本地未存储有信任列表的情况下,所述SeGW发起对所述eNB证书真实性的认证之前,还包括:
所述SeGW向所述OPKI RA/CA发送证书请求消息;所述OPKI RA/CA将所述证书请求消息转发给所述OPKI CR/CRL进行设备商根证书的检索;
OPKI RA/CA将OPKI CR/CRL检索到的设备商根证书返回给SeGW,由SeGW采用设备商根证书实现对eNB证书的认证。
其中,SeGW在本地存储有信任列表的情况下,所述SeGW发起对所述eNB证书真实性的认证的过程包括:
所述SeGW先检索本地信任列表中是否存储有设备商根证书;如果有,则采用所述设备商根证书完成对eNB证书的认证;否则,转而向所述OPKI RA/CA发送证书请求消息;
所述OPKI RA/CA将所述证书请求消息转发给所述OPKI CR/CRL进行设备商根证书的检索;
OPKI RA/CA将OPKI CR/CRL检索到的设备商根证书返回给SeGW,由SeGW采用设备商根证书实现对eNB证书的认证。
本发明的系统包括:运营商PKI授权中心/注册中心(OPKI RA/CA,OperatorPKI Certificate Authority/Registration Authority)和运营商PKI证书库/证书撤销列表(OPKI CR/CRL,Certificate Repository/Certificate Revocation List)。其中,OPKI RA/CA用于将获取的根证书发送到OPKI CR/CRL中存储;以及向OPKICR/CRL发送证书请求消息。OPKI CR/CRL用于存储根证书,并添加到信任列表;以及收到OPKI RA/CA发送的证书请求消息,从信任列表中检索与证书请求消息相对应的根证书,返回检索到的根证书给OPKI RA/CA。
采用本发明,实现了基于信任列表的PKI模型的系统架构,并基于该系统架构完善了具体的处理流程,从而满足了回程网安全的需求。
附图说明
图1为基于交叉证书的NDS/AF PKI的系统架构示意图;
图2为基于信任列表的移动回程网PKI的一系统架构示意图;
图3为实例一的基于信任列表的移动回程网PKI的实现流程示意图;
图4为实例二的SeGW不存储信任列表的IKE认证过程的实现流程示意图;
图5为实例三的SeGW存储信任列表的IKE认证过程的实现流程示意图。
具体实施方式
本发明的基本思想是:系统架构包括OPKI RA/CA和OPKI CR/CRL。其中,OPKI RA/CA用于将获取的根证书发送到OPKI CR/CRL中存储;以及向OPKICR/CRL发送证书请求消息。OPKI CR/CRL用于存储根证书,并添加到信任列表;以及收到OPKI RA/CA发送的证书请求消息,从信任列表中检索与证书请求消息相对应的根证书,返回检索到的根证书给OPKI RA/CA。
下面结合附图对技术方案的实施作进一步的详细描述。
一种基于信任列表的系统,如图2所示,该系统包括:OPKI RA/CA和OPKICR/CRL。其中,OPKI RA/CA用于将获取的根证书发送到OPKI CR/CRL中存储;以及向OPKI CR/CRL发送证书请求消息。OPKI CR/CRL用于存储根证书,并添加到信任列表;以及收到OPKI RA/CA发送的证书请求消息,从信任列表中检索与证书请求消息相对应的根证书,返回检索到的根证书给OPKI RA/CA。
这里,OPKI RA/CA和OPKI CR/CRL隶属于运营商;根证书具体为设备商的根证书。
这里,该系统还包括设备商PKI授权中心/注册中心(VPKI RA/CA,VendorPKI Certificate Authority/Registration Authority),VPKI RA/CA用于与OPKIRA/CA以安全的方式进行交互,并将正确的设备商根证书发送给OPKI RA/CA。OPKI RA/CA进一步用于以安全的方式从VPKI RA/CA获取到正确的设备商根征书;其中,实现所述获取的方式包括:带内方式或带外方式。
这里,该系统还包括安全网关(SeGW,Security Gateway),SeGW用于在本地存储有信任列表的情况下,需要认证设备商颁发的增强型基站(eNB)证书的情况时,先检索本地信任列表中是否存储有设备商根证书,如果有,则采用设备商根证书完成对eNB证书真实性的认证;否则,转而向OPKI RA/CA发送证书请求消息。
SeGW还用于在本地未存储有信任列表的情况下,需要认证设备商颁发的eNB证书的情况时,直接向OPKI RA/CA发送证书请求消息。
这里,OPKI RA/CA,进一步用于将从SeGW收到的证书请求消息,转发给OPKI CR/CRL进行设备商根证书的检索;以及将OPKI CR/CRL检索到的设备商根证书返回给SeGW,由SeGW采用设备商根证书实现对eNB证书真实性的认证。
这里,该系统还包括:eNB,eNB用于通过与SeGW的认证交互,完成IKE连接。其中,所述认证交互包括:SeGW接收到eNB发送的IKE认证(IKE_AUTH)请求消息,对IKE_AUTH请求消息中的加密载荷解密,取出证书选项(CERT)中的eNB证书,对IKE_AUTH请求消息中的认证载荷(AUTH)进行认证;发起对设备商颁发的eNB证书真实性的认证。
一种基于信任列表的方法,该方法包括以下步骤:
步骤101、OPKI RA/CA将获取的根证书发送到OPKI CR/CRL;OPKICR/CRL存储根证书,并添加到信任列表。
这里,根证书具体为设备商的根证书。OPKI RA/CA获取该设备商根证书具体包括:OPKI RA/CA以安全的方式与VPKI RA/CA交互,并从VPKI RA/CA获取到正确的设备商根证书。其中,实现所述获取的方式包括:带内方式或带外方式。
步骤102、OPKI RA/CA向OPKI CR/CRL发送证书请求消息;OPKI CR/CRL收到OPKI RA/CA发送的所述证书请求消息,从信任列表中检索与证书请求消息相对应的根证书,返回检索到的根证书给OPKI RA/CA。
这里,针对由步骤101~步骤102所构成的技术方案而言,该方法进一步包括:eNB通过与SeGW的认证交互,完成IKE连接。
其中,认证交互包括:SeGW接收到eNB发送的IKE_AUTH请求消息,对IKE_AUTH请求消息中的加密载荷解密,取出CERT证书选项中的eNB证书,对IKE_AUTH请求消息中的AUTH进行认证;发起对设备商颁发的eNB证书真实性的认证。
由于SeGW可以选择是否在本地存储信任列表,因此,SeGW在存储或不存储信任列表的情况下,SeGW发起对设备商颁发的eNB证书真实性的认证后,所实现的eNB证书真实性的认证过程有所不同,以下分别阐述。
第一种情况:SeGW在本地未存储有信任列表的情况。
此时,SeGW发起对eNB证书真实性的认证之前,还包括以下步骤:
步骤201、SeGW向OPKI RA/CA发送证书请求消息。
步骤202、OPKI RA/CA将证书请求消息转发给OPKI CR/CRL进行设备商根证书的检索。
步骤203、OPKI RA/CA将OPKI CR/CRL检索到的设备商根证书返回给SeGW,由SeGW采用设备商根证书实现对eNB证书真实性的认证。
第二种情况:SeGW在本地存储有信任列表的情况。
此时,SeGW发起对eNB证书真实性的认证过程包括以下步骤:
步骤301、SeGW先检索本地信任列表中是否存储有设备商根证书;如果有,则执行步骤302;否则,执行步骤303。
步骤302、SeGW采用设备商根证书完成对eNB证书真实性的认证;结束当前对eNB证书真实性的认证过程。
步骤303、SeGW转而向OPKI RA/CA发送证书请求消息。
步骤304、OPKI RA/CA将证书请求消息转发给OPKI CR/CRL进行设备商根证书的检索。
步骤305、OPKI RA/CA将OPKI CR/CRL检索到的设备商根证书返回给SeGW,由SeGW采用设备商根证书实现对eNB证书真实性的认证。
综上所述,本发明的目的是提供移动回程网PKI信任模型的系统架构及其具体管理流程,以解决回程网中的证书管理和实体认证问题,并通过证书分发过程中的双向认证机制,解决了信任模型自身的安全问题。
为了解决上述问题,本发明提供了移动回程网PKI架构和方法,在回程网中引入基于信任列表的PKI模型,并且针对回程网特征,设计了信任模型的安全方案,所提架构和方法适用于不同移动回程网场景。
本发明主要包括以下内容:
基于信任列表的移动回程网PKI架构如图2所示。OPKI RA/CA是运营商PKI系统中的认证机构和注册机构,负责运营商PKI中的证书管理。VPKIRA/CA是设备商PKI系统中的认证机构和注册机构,负责设备商PKI中的证书管理。OPKI CR/CRL是运营商PKI中的证书库和证书撤销列表,负责存储证书和证书撤销列表。SeGW是运营商域的边界网关,负责对进出运营商网络的流进行安全控制。
信任列表由OPKI RA/CA负责管理。OPKI RA/CA和VPKI RA/CA通过安全的方式进行交互,并安全的获得VPKI RA/CA的根证书。OPKI CR/CRL负责存储信任列表,并维护信任列表中根证书的状态。SeGW如果需要验证设备商颁发的eNB证书,可以向OPKI RA/CA申请。OPKI RA/CA要保证信任列表中根证书分发消息的真实性和完整性。
SeGW可以选择是否维护本地信任列表,如果维护本地信任列表,可以减少证书查询的延迟,并避免单点失败,但是将增加信任列表维护成本。
综上所述,基于本发明提出的PKI模型系统架构、以及基于该系统架构管理信任列表的具体流程,可以满足回程网的安全需求,保障回程网安全应用的顺利实施。
以下对本发明进行举例阐述。
实例一:
图3所示为:本实例基于信任列表的移动回程网PKI系统架构,实现对信任列表管理的具体流程示意图,该流程包括如下步骤:
步骤401:OPKI RA/CA与VPKI RA/CA进行交互,从VPKI RA/CA获得设备商根证书。
获得设备商根证书用英文可以表示为:Obtain CERTVPKI securely。其中的CERTVPKI表示设备商根证书。
这里,当设备商向运营商提供基站设备的时候,应该提供设备商根证书,用于认证提供的设备。设备商提供的根证书由OPKI RA/CA管理,OPKI RA/CA必须通过安全的方式与VPKI RA/CA进行交互,从VPKI RA/CA获得设备商根证书。获取的方式可以是带内或者带外方式。
其中,就安全的方式而言,安全的方式包括:带有机密性、完整性保护的带内方式;或者安全通信人员分发的带外方式。
步骤402:OPKI RA/CA正确获得设备商根证书后,存储到OPKI CR/CRL中,并添加到信任列表。
这里,添加到信任列表用英文可以表示为:Add CERTVPKI into trust list。
步骤403:当运营商域中的SeGW需要认证设备商提供的基站时,检查本地是否有对应的设备商根证书。
步骤404:如果SeGW本地没有对应的设备商根证书,则向OPKI RA/CA发送证书请求消息。
这里,发送证书请求消息用英文可以表示为:Request{CERTREQVPKI}。
步骤405:OPKI RA/CA收到SeGW发送的证书请求消息后,将该发送证书请求消息转发给OPKI CR/CRL,向OPKI CR/CRL检索相应的设备商根证书。
步骤406:OPKI CR/CRL收到OPKI RA/CA的发送证书请求消息后,从信任列表中检索对应的设备商根证书,返回检索结果。
这里,返回检索结果采用的消息用英文可以表示为:Response{CERTVPKI}。
步骤407:OPKI RA/CA接收到检索结果,对检索结果进行签名和完整性保护,将签名后的消息返回给SeGW。
这里,返回签名后的应答消息用英文可以表示为:Response{SKOPKI[CERTVPKI]}。
步骤408:SeGW接收到OPKI RA/CA返回的应答消息,检查该应答消息的签名和完整性,如果没有问题,则取出并使用该应答消息中的设备商根证书。
步骤409:继续后续IKE连接过程。
实例二:
图4所示为:本实例的SeGW不存储信任列表的IKE认证流程示意图,该图中eNB和SeGW之间进行IKE协商,经过协商建立IKE关联。本实例中SeGW不存储设备商根证书,需要设备商根证书时直接向OPKI RA/CA请求。该流程主要包括如下步骤:
步骤501:eNB发起IKEv2初始化过程,发送IKE_SA_INIT请求消息给SeGW,消息内容包括HDR、SA、KE和Ni。
其中,HDR表示IKE_SA_INIT请求消息的报头;Ni表示发起方eNB的随机载荷;KE表示发起者的Diffle-Hellman公开值;SA是安全关联,包含了发起者针对IKE-SA的建议,建议包括加密算法、认证算法以及DH组等内容。
这里,IKE_SA_INIT请求消息用英文可以表示为:IKE_SA_INIT request(HDR,SA,KE,Ni)。
步骤502:SeGW接收到eNB发送IKE_SA_INIT请求消息后,返回IKE_SA_INIT应答消息给eNB,应答消息中包括HDR、SA、KE、Nr和CERTREQ证书请求选项。
其中,Nr表示应答方SeGW的随机载荷;CERTREQ表示证书请求。
这里,IKE_SA_INIT应答消息用英文可以表示为:IKE_SA_INIT response(HDR,SA,KE,Nr,CERTREQ)。
步骤503:eNB收到IKE_SA_INIT应答消息后,利用IKE_SA_INIT阶段协商的SA和KE,发起认证过程,发送IKE_AUTH请求消息给SeGW。
这里,IKE-AUTH请求消息中包括HDR以及一个加密载荷,加密载荷中包括用于请求合法IP地址的CFG_REQUEST选项,CERT证书选项和CERTREQ证书请求选项以及AUTH选项。
其中,CFG_REQUEST表示配置请求选项;CERT证书选项中承载有eNB证书。
这里,IKE_AUTH请求消息用英文可以表示为:IKE_AUTH_request(HDR,SK{SA,TSi,TSr,CERT,IDi=NAI,IDr,AUTH})。
这里,CERTREQ证书请求选项用于请求SeGW的证书和交叉证书,因为CERTREQ证书请求选项最多可以放4个证书,所以SeGW应答的时候可以将证书和交叉证书都放在CERTREQ证书请求选项发送给eNB。
步骤504:SeGW接收到eNB发送的IKE_AUTH请求消息,对加密载荷解密,取出CERT证书选项中的eNB证书,对eNB发送的AUTH进行认证。
步骤505:需要利用设备商根证书对eNB证书的真实性进行认证。由于本实例中SeGW本地不存储相应设备商根证书,则直接向OPKI RA/CA发送证书请求消息,请求对应的设备商根证书。
这里,请求对应的设备商根证书采用的消息用英文可以表示为:Request{CERTREQVPKI}。
步骤506:当OPKI RA/CA收到SeGW发送的证书请求消息后,转发该Request{CERTREQVPKI}消息,向OPKI CR/CRL检索对应的设备商根证书。
步骤507:OPKI CR/CRL收到OPKI RA/CA的Request{CERTREQVPKI}消息,从信任列表中检索对应的设备商根证书,返回检索结果。
这里,返回检索结果采用的消息用英文可以表示为:Response{CERTVPKI}。
步骤508:OPKI RA/CA接收到检索结果,对检索结果进行签名和完整性保护,将签名后的应答消息返回给SeGW。
这里,返回签名后的应答消息用英文可以表示为:Response{SKOPKI[CERTVPKI]}。
步骤509:SeGW接收到OPKI RA/CA返回的应答消息,检查应答消息的签名和完整性,如果没有问题,则取出应答消息中的设备商根证书。
步骤510:SeGW利用设备商根证书对eNB证书的真实性进行认证,并验证eNB证书的有效性。
步骤511:SeGW完成对eNB认证后返回IKE_AUTH应答消息给eNB,IKE_AUTH应答消息中包括CERT证书选项,该CERT证书选项承载有SeGW的证书和交叉证书。
这里,IKE_AUTH应答消息用英文可以表示为:IKE-AUTH response(HDRSK{AUTH,CERT,SA,TSi,TSr})。
步骤512:eNB接收到SeGW返回的IKE_AUTH应答消息,利用SeGW的证书对SeGW发送的AUTH进行认证,验证AUTH的正确性。同时eNB利用交叉证书对SeGW的证书的真实性进行认证,并通过查询CRL验证SeGW的证书的有效性。eNB利用设备商根证书验证交叉证书的真实性,并查询CRL验证交叉证书的有效性。
以上流程中,如果认证没有通过,则认证流程终止。
该采用预共享密钥的认证过程是在IKEv2协议中规定的,具体可以参考IKEv2协议。
实例三:
图5所示为:本实例的SeGW存储用户信任列表的IKE认证流程示意图,该图中eNB和SeGW之间进行IKE协商,经过协商建立IKE关联。本实例中SeGW维护着一个本地的信任列表,需要设备商根证书时首先检查本地信任列表中是否有该证书,如果本地存储有信任列表,则可以直接使用,以减少验证延迟,并可以避免单点失败。该流程包括如下步骤:
步骤601:eNB发起IKEv2初始化过程,发送IKE_SA_INIT请求消息给SeGW,消息内容包括HDR、SA、KE和Ni。
这里,IKE_SA_INIT请求消息用英文可以表示为:IKE_SA_INIT request(HDR,SA,KE,Ni)。
步骤602:SeGW接收到eNB发送IKE_SA_INIT请求消息后返回IKE_SA_INIT应答消息给eNB,应答消息中包括HDR、SA、KE、Nr和CERTREQ证书请求选项。
这里,IKE_SA_INIT应答消息用英文可以表示为:IKE_SA_INIT response(HDR,SA,KE,Nr,CERTREQ)。
步骤603:eNB收到IKE_SA_INIT应答消息后,利用IKE_SA_INIT阶段协商的SA和KE,发起认证过程,发送IKE_AUTH请求消息给SeGW。
这里,IKE-AUTH请求消息中包括HDR以及一个加密载荷,加密载荷中包括用于请求合法IP地址的CFG_REQUEST选项,CERT证书选项和CERTREQ证书请求选项以及AUTH选项。其中,CERT证书选项中承载有eNB证书。
这里,IKE_AUTH请求消息用英文可以表示为:IKE_AUTH request(HDR,SK{SA,TSi,TSr,CERT,IDi=NAI,IDr,AUTH})。
这里,CERTREQ证书请求选项用于请求SeGW的证书和交叉证书,因为CERTREQ证书请求选项最多可以放4个证书,所以SeGW应答的时候可以将证书和交叉证书都放在CERTREQ证书请求选项发送给eNB。
步骤604:SeGW接收到eNB发送的IKE_AUTH请求消息,对加密载荷解密,取出CERT证书选项中的eNB证书,对eNB发送的AUTH进行认证。此外,还需要利用设备商根证书对eNB证书的真实性进行认证。由于本实例中SeGW本地存储有一个本地信任列表,本地信任列表中包含有设备商根证书。所以SeGW首先检查本地信任列表中是否有需要的证书,如果有,则直接转到步骤611。如果本地信任列表没有需要的设备商根证书,则执行步骤605。
步骤605:SeGW向OPKI RA/CA发送证书请求消息,请求对应的设备商根证书。
这里,请求对应的设备商根证书采用的消息用英文可以表示为:Request{CERTREQVPKI}。
步骤606:当OPKI RA/CA收到SeGW发送的证书请求消息后,转发该Request{CERTREQVPKI}消息,向OPKI CR/CRL检索对应的设备商根证书。
步骤607:OPKI CR/CRL收到OPKI RA/CA的Request{CERTREQVPKI}消息,从信任列表中检索对应的设备商根证书,返回检索结果。
这里,返回检索结果采用的消息用英文可以表示为:Response{CERTVPKI}。
步骤608:OPKI RA/CA接收到检索结果,对检索结果进行签名和完整性保护,将签名后的应答消息返回给SeGW。
这里,返回签名后的应答消息用英文可以表示为:Response{SKOPKI[CERTVPKI]}。
步骤609:SeGW接收到OPKI RA/CA返回的应答消息,检查消息的签名和完整性,如果没有问题,则取出应答消息中的设备商根证书。
步骤610:SeGW利用设备商根证书对eNB证书的真实性进行认证,并验证eNB证书的有效性。
步骤611:SeGW完成对eNB认证后返回IKE_AUTH应答消息给eNB,IKE_AUTH应答消息中包括CERT证书选项,该CERT证书选项承载有SeGW的证书和交叉证书。
这里,IKE_AUTH应答消息用英文可以表示为:IKE-AUTH response(HDRSK{AUTH,CERT,SA,TSi,TSr})。
步骤612:eNB接收到SeGW返回的IKE_AUTH应答消息,利用SeGW的证书对SeGW发送的AUTH进行认证,验证AUTH的正确性。同时eNB利用交叉证书对SeGW的证书的真实性进行认证,并通过查询CRL验证SeGW的证书的有效性。eNB利用设备商根证书验证交叉证书的真实性,并查询CRL验证交叉证书的有效性。
以上流程中,如果认证没有通过,则认证流程终止。
该采用预共享密钥的认证过程是在IKEv2协议中规定的,具体可以参考IKEv2协议。
这里,对上述各图和文字中涉及到的中英文做一对比说明:
图1中,授权机构A指Security domain A;授权机构B指Security domain B;互联CAA指Interconnection CAA,其中CA指证书授权中心;互联CAB指Interconnection CAB;SEG CAA指安全网关CAA,其中CA指证书授权中心;SEGCAB指安全网关CAB;NEA-1指网元NEA-1;NEB-1指网元NEB-1;NEA-2指网元NEA-2;NEB-2指网元NEB-2;SEGA指安全网关A;SEGB指安全网关B;Zb指接口Zb;Za指接口Za。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (7)

1.一种基于信任列表的系统,其特征在于,该系统包括:公钥基础设施授权中心/注册中心(OPKI RA/CA)、公钥基础设施证书库/证书撤销列表(OPKICR/CRL)、设备商公钥基础设施授权中心/注册中心(VPKI RA/CA)和安全网关(SeGW);其中,
OPKI RA/CA,用于将以安全的方式从VPKI RA/CA获取到正确的设备商根证书发送到OPKI CR/CRL中存储;接收SeGW在没有存储设备商根证书时发送的证书请求消息并向OPKI CR/CRL转发所述证书请求消息;以及对OPKICR/CRL发送的返回检索到的所述设备商根证书进行签名和完整性保护,将签名后的应答消息返回给SeGW;其中,实现所述获取的方式包括:带内方式或带外方式;
SeGW,用于在本地存储有信任列表的情况下,本地信任列表中没有存储有设备商根证书时,以及在本地未存储有信任列表的情况下,向OPKI RA/CA发送证书请求消息,接收OPKI RA/CA返回的应答消息,检查所述应答消息的签名和完整性,如果正确,则取出并使用所述应答消息中的设备商根证书;
OPKI CR/CRL,用于存储所述根证书,并添加到信任列表;以及收到OPKIRA/CA发送的所述证书请求消息,从所述信任列表中检索与所述证书请求消息相对应的设备商根证书,返回检索到的所述设备商根证书给所述OPKI RA/CA;
VPKI RA/CA,用于与所述OPKI RA/CA以安全的方式进行交互,并将正确的设备商根证书发送给所述OPKI RA/CA。
2.根据权利要求1所述的系统,其特征在于,该系统还包括:安全网关(SeGW),用于在本地存储有信任列表的情况下,在认证设备商颁发的增强型基站(eNB)证书的情况时,先检索本地信任列表中是否存储有设备商根证书,如果有,则采用设备商根证书完成对eNB证书的认证。
3.根据权利要求2所述的系统,其特征在于,所述OPKI RA/CA,进一步用于将从所述SeGW收到的证书请求消息,转发给所述OPKI CR/CRL进行设备商根证书的检索;以及将所述OPKI CR/CRL检索到的设备商根证书返回给所述SeGW,由SeGW采用设备商根证书实现对eNB证书的认证。
4.根据权利要求3所述的系统,其特征在于,该系统还包括:eNB,用于通过与所述SeGW的认证交互,完成因特网密钥交换协议(IKE)连接;其中,
所述认证交互包括:所述SeGW接收到所述eNB发送的因特网密钥交换协议认证(IKE_AUTH)请求消息,对IKE_AUTH请求消息中的加密载荷解密,取出证书选项(CERT)中的eNB证书,对IKE_AUTH请求消息中的认证载荷(AUTH)进行认证;发起对设备商颁发的eNB证书真实性的认证。
5.一种基于信任列表的方法,其特征在于,该方法包括:
OPKI RA/CA将以安全的方式从VPKI RA/CA获取到正确的获取的根证书发送到OPKI CR/CRL;OPKI CR/CRL存储所述根证书,并添加到信任列表;其中,实现所述获取的方式包括:带内方式或带外方式;
OPKI RA/CA将接收到的安全网关(SeGW)在没有存储设备商根证书时发送的证书请求消息向OPKI CR/CRL转发;OPKI CR/CRL收到OPKI RA/CA发送的所述证书请求消息,从所述信任列表中检索与所述证书请求消息相对应的设备商根证书,返回检索到的设备商根证书给所述OPKI RA/CA,OPKI RA/CA对OPKI CR/CRL发送的返回检索到的所述设备商根证书进行签名和完整性保护,将签名后的应答消息返回给SeGW;
SeGW在本地存储有信任列表的情况下,本地信任列表中没有存储有设备商根证书时,以及在本地未存储有信任列表的情况下,向OPKI RA/CA发送证书请求消息,接收OPKI RA/CA返回的应答消息,检查所述应答消息的签名和完整性,如果正确,则取出并使用所述应答消息中的设备商根证书;
设备商公钥基础设施授权中心/注册中心(VPKI RA/CA)与所述OPKIRA/CA以安全的方式进行交互,并将正确的设备商根证书发送给所述OPKIRA/CA。
6.根据权利要求5所述的方法,其特征在于,该方法进一步包括:eNB通过与SeGW的认证交互,完成IKE连接;其中,
所述认证交互包括:所述SeGW接收到所述eNB发送的IKE_AUTH请求消息,对IKE_AUTH请求消息中的加密载荷解密,取出CERT证书选项中的eNB证书,对IKE_AUTH请求消息中的AUTH进行认证;发起对设备商颁发的eNB证书真实性的认证。
7.根据权利要求6所述的方法,其特征在于,SeGW在本地存储有信任列表的情况下,所述SeGW发起对所述eNB证书真实性的认证的过程包括:
所述SeGW先检索本地信任列表中是否存储有设备商根证书;如果有,则采用所述设备商根证书完成对eNB证书的认证。
CN200910242135.8A 2009-12-08 2009-12-08 一种基于信任列表的系统及方法 Active CN102088699B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN200910242135.8A CN102088699B (zh) 2009-12-08 2009-12-08 一种基于信任列表的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200910242135.8A CN102088699B (zh) 2009-12-08 2009-12-08 一种基于信任列表的系统及方法

Publications (2)

Publication Number Publication Date
CN102088699A CN102088699A (zh) 2011-06-08
CN102088699B true CN102088699B (zh) 2014-04-09

Family

ID=44100260

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200910242135.8A Active CN102088699B (zh) 2009-12-08 2009-12-08 一种基于信任列表的系统及方法

Country Status (1)

Country Link
CN (1) CN102088699B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105634744B (zh) * 2015-12-31 2020-01-21 北京元心科技有限公司 一种根证书存储装置及安全接入方法
WO2018182198A1 (ko) * 2017-03-29 2018-10-04 엘지전자(주) V2x 통신 장치 및 그의 데이터 통신 방법
CN108990060B (zh) * 2017-06-05 2021-02-02 中国移动通信集团公司 一种基站设备的证书分发系统及方法
CN107592292B (zh) * 2017-07-26 2019-08-09 阿里巴巴集团控股有限公司 一种区块链节点间通信方法及装置
CN112019339B (zh) * 2019-05-31 2024-02-27 西安理邦科学仪器有限公司 一种数字证书自动分发方法及装置
CN113395160B (zh) * 2020-03-11 2022-11-01 大唐移动通信设备有限公司 证书管理方法、装置、颁发实体、管理实体及车联网设备
CN113497779A (zh) * 2020-03-18 2021-10-12 华为技术有限公司 网络密钥交换协议使用证书认证的方法和通信设备
WO2024043812A1 (en) * 2022-08-26 2024-02-29 Telefonaktiebolaget Lm Ericsson (Publ) Trust based access control in communication network

Also Published As

Publication number Publication date
CN102088699A (zh) 2011-06-08

Similar Documents

Publication Publication Date Title
CN102088699B (zh) 一种基于信任列表的系统及方法
US10638321B2 (en) Wireless network connection method and apparatus, and storage medium
KR101374810B1 (ko) 가상 가입자 식별 모듈
US9490984B2 (en) Method and apparatus for trusted authentication and logon
CN101951603B (zh) 一种无线局域网接入控制方法及系统
KR101158956B1 (ko) 통신 시스템에 증명서를 배분하는 방법
JP5688087B2 (ja) 信頼できる認証およびログオンのための方法および装置
US20130132717A1 (en) Mobile Handset Identification and Communication Authentication
CN101442402B (zh) 认证接入点设备的方法、系统和装置
CN1929371B (zh) 用户和外围设备协商共享密钥的方法
CN102647394B (zh) 路由设备身份认证方法及装置
CN113746632B (zh) 一种物联网系统多级身份认证方法
CN102404347A (zh) 一种基于公钥基础设施的移动互联网接入认证方法
CN101969638A (zh) 一种移动通信中对imsi进行保护的方法
CN102026192B (zh) 一种移动回程网证书分发方法及系统
CN101145915A (zh) 一种可信路由器认证系统和方法
US8275987B2 (en) Method for transmission of DHCP messages
CN100499453C (zh) 一种客户端认证的方法
KR101308498B1 (ko) 무선 센서 네트워크를 위한 암호 및 스마트카드 기반의 사용자 인증방법.
CN109995723A (zh) 一种域名解析系统dns信息交互的方法、装置及系统
Kumar et al. A secure n-secret based client authentication protocol for 802.11 WLANs
CN101742507B (zh) 一种WAPI终端访问Web应用站点的系统及方法
Rajavelsamy et al. Towards security architecture for home (evolved) nodeb: challenges, requirements and solutions
JP2017139026A (ja) 信頼できる認証およびログオンのための方法および装置
CN102026160A (zh) 一种移动回程网安全接入的方法和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant