CN103460736A - 在无线网络中管理数字证书的灵活系统和方法 - Google Patents
在无线网络中管理数字证书的灵活系统和方法 Download PDFInfo
- Publication number
- CN103460736A CN103460736A CN2012800145334A CN201280014533A CN103460736A CN 103460736 A CN103460736 A CN 103460736A CN 2012800145334 A CN2012800145334 A CN 2012800145334A CN 201280014533 A CN201280014533 A CN 201280014533A CN 103460736 A CN103460736 A CN 103460736A
- Authority
- CN
- China
- Prior art keywords
- cms
- certificate
- sur
- base station
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
- H04L9/007—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models involving hierarchical structures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
- H04L63/064—Hierarchical key distribution, e.g. by multi-tier trusted parties
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供一种用于在无线回程网络中管理用于网络安全的数字证书的分发的基础设施体系。在实施例中,根证书管理系统(根CMS)处理对数字证书的请求,发布根证书,自动认证代理证书管理系统(sur-CMS),以及自动处理证书请求,并向被成功认证的sur-CMS发布证书包。该基础设施体系包括在各自的区域内被分配了基站的sur-CMS。每个sur-CMS自动认证它自己的基站,自动处理证书请求,并向被成功认证的基站发布证书包。发布给基站的证书包包括由发布sur-CMS签名的该基站的公共密钥的数字证书和至少一个其它数字证书,其包括根CMS的自签名证书。
Description
技术领域
本发明涉及管理由无线网络中的网络单元使用的安全数字证书以认证安全协议的系统和方法。
背景技术
无线网络中的无线接入网络(RAN)已经从电路交换网络演进到分组交换网络,以满足不断增长的携带无线高速分组数据和与其它分组数据网络进行交互和操作的需求。无线4G特别是LTE技术的出现已经提出了具有全IP基础协议以用于通信的更快更平坦的网络体系架构。相对于较早的网络,LTE网络例如具有更少的锚点(anchor point)、在边缘处更大的控制逻辑分布和驱动在多个运营商之间共享的传输的高小区带宽。一个后果是诸如计算机、服务器、路由器和基站的RAN网络单元以及它们之间的接口被暴露给IP业务。这对在网络层和更高层的NE引入了安全威胁和漏洞。需要解决这种威胁和漏洞。
网络运营商已经采用以保护RAN网络单元不受这种威胁和漏洞的一个防御措施已经被实施到RAN所使用的通信协议的安全版本中。一个例子是称为IP安全(IPsec)的安全协议集,其由互联网工程任务组(IETF)开发以支持在IP层的分组的安全交换。
在其它有利的属性中,IPsec是可扩展的,以使得它可以在从LAN到全球网的所有规模的网络中得到支持。它运行在低的网络层,因此不受用户、应用和高级协议的影响。它不限于特定的应用。它不需要更新传输协议(例如TCP、UDP、SCTP)或更高层协议(例如http、ftp、SSH)和应用。IPsec可封装IP分组以形成IPsec隧道,其保留分组的原始属性并在网络层提供安全VPN。
IPsec支持源认证、完整性保护和逐个分组的加密。为此,IPsec依赖在两个IPsec对等体之间共享的秘密密钥,并依赖在IPsec活动期间在两个对等体之间达成一致的若干对称性加密算法(对称加密算法)的执行。对称加密算法使用会话密钥,其由IPsec从在每个IPsec对等体中存储的预先建立的密钥中导出。称为因特网密钥交换(IKE)的协议在IPsec活动期间和在密钥被刷新时完成密钥协商和密钥协定。
IKE是在IPsec被激活时运行的第一协议。虽然IKE的两个当前标准版本,即IKEv1和IKEv2,并不互相兼容,但它们具有某些共同的属性,对其进行简要描述。IKE的两个版本在两个阶段执行消息交换。在第一阶段,IKE设置安全通道以在两个IPsec对等体之间建立安全关联(SecurityAssociation)。在第二阶段,IKE对等体认证彼此。如果任意一个阶段失败,则IPsec连接被终止。
IKE认证的几种备选方法是已知的。在一个广泛应用的方法中,X.509数字证书在IKE认证阶段在两个IPsec对等体之间交换。根据已知的过程,数字证书从认证机构(CA)获取。数字证书提供更大的灵活性以将公共密钥绑定到许多身份类型、数据信息和格式。X.509是来自ITU-T的公共密钥体系的标准。ITU-T是国际电信联盟的电信标准化部门。
例如,LTE回程网络中的基站、服务器或者某些其它用作IP主机的实体可通过将公共密钥和主机身份作为参数插入主机数字证书中以使得IPsec主机证书包含这两个参数来将主机公共密钥绑定到主机身份上。
使用数字证书以用于IKE相互认证的方法是有利的,因为除了其它原因外这些方法是可扩展的:当IPsec被激活时节点网络中认证每个节点所需的证书的数量与节点的数量是线性关系。
在IKE认证期间,每个节点交换证书包(certificates bundle)(包通常拥有一个到三个证书)以提供其身份的证明。包形成证书的授权链,其定义从IP主机的身份开始一路到接收方所信任的锚点的可信路径。如果授权链可以从可信锚点到对等体证书逐个证书地验证,则IKE对等体被认证。为了认证过程成功地完成,每个IKE对等体需要被提供正确的证书包,否则IKE认证阶段将失败。
需要使管理和刷新数字证书的过程自动进行,以使得诸如无线回程的大型网络的需求可以满足。
发明内容
我们已经开发了一种用于在大型无线回程网络中管理数字证书的自动方法。可将该自动方法称为分层方法,因为它依赖管理数字证书的两级或更多级节点。后面将描述若干实施方式,每一个都具有涉及证书授权的特定节点模型层级。在将要被描述的每个实施方式中,假定证书的管理经由安全和认证通道执行,以使得只有合法证书被发送到IKE对等体并被其接受。
因此,在系统的实现中,根证书管理系统(根CMS)被授权发布根证书。根CMS被配置为自动认证代理证书管理系统(sur-CMS),并自动向被成功认证的任何sur-CMS发布证书包。该系统包括两个或多个sur-CMS,其每一个在各自的区域内具有分配给它的一个或多个基站。每个sur-CMS被配置为自动认证它自己的基站,并自动向它成功认证的每个基站发布证书包。发布给基站的每个证书包包括由发布sur-CMS签名的该基站的公共密钥的数字证书。发布给基站的每个证书包还包括至少一个其它数字证书,包括根CMS的自签名证书。
附图说明
图1是典型LTE网络的高级示意图。
图2是其中已经实现了安全措施的LTE网络的一部分的高级框图。
图3至图5是各种用于在无线网络中管理数字证书的CMS分层体系架构模型的示意图。各个图中的相同单元被付与相同的附图标记。
图3是其中没有运营商认证机构(CA)且每个节点信任根CMS的CA的模型的示意图。
图4是其中运营商拥有CA且每个节点信任运营商CA的模型的示意图。
图5是其中具有运营商CA且基站信任根CMS的CA且SEG信任运营商CA的直接交叉认证模型的示意图。
图6是其中具有两个可信机构的模型的示意图。即,基站信任根CMS的CA,SEG信任外部CA。
图7至图11是协议消息传送图,其表示如在此描述的数字证书管理的若干用例。
具体实施方式
首先参照图1简要描述LTE网络的主要特征。尽管本发明参照其在LTE网络中的特定实线来描述,但这种描述仅是为了说明的目的,并不意味着暗示本发明的范围局限于此。例如,其中本方法在大部分方面可以实现的其它类型的网络包括WiFi、WCDMA、CDMA/EVDO和GSM。
LTE是UMTS电信的第四代增强型,其包括全IP网络体系架构。LTE通过第三代伙伴计划(3GPP)的一系列版本引入。在LTE中,GPRS核心网络被系统架构演进(SAE)替换,SAE是平坦的基于IP的网络体系架构。由于LTE是端到端全IP,因此,LTE的移动手持设备和其它终端设备100已嵌入了IP功能,称为演进NodeB(eNodeB)的基站是基于IP的。
演进分组核心(EPC)130是SAE的主要架构组件。从图中可以看出,EPC包括四个单元:服务网关(SGW)140、分组数据网络网关(PGW)150、移动性管理实体(MME)160和策略与计费规则功能(PCRF)170。SGW、PGW和MME在3GPP版本8中被引入,PCRF在3GPP版本7中被引入。
SGW是数据平面单元。它的主要功能是管理用户平面移动性和用作无线接入网络(RAN)与核心网络之间的分界点。SGW维护eNodeB与PGW之间的数据路径。
PGW是去往分组数据网络的分组数据接口的端点。因此,它是用于UE即用户终端的业务的入口点和出口点。PGW支持运营商定义的资源分配和使用、分组过滤和计费的策略。
MME执行管理UE对网络连接的接入的信令和控制功能、网络资源的分配和移动性状态的管理以支持跟踪、寻呼、漫游和切换以及所有其它与用户和会话管理有关的控制平面功能。
PCRF支持服务数据流检测、策略执行和基于流量的计费。(在LTE中,服务数据流SDF是载有数据平面业务的虚拟连接。)
另外,如图所示,与EPC连接的是用于支持IMS服务的IMS管理网络180和归属用户服务器(HSS)190,其包括用户数据库并通过提供用户认证、定位和订阅服务来支持处理呼叫的IMS网络实体。图中还示出了OAM服务器200,其提供用于LTE网络的操作、管理和维护功能。
进一步参照图1,可以看出,以太网回程网络210将eNodeB彼此连接并连接到EPC。与包括eNodeB120和网络210的无线接入网络之间的各种互连可以通过网络级多层交换机(MLS)220转接。通信网络230和240可分别在回程与EPC以及OAM服务器之间提供通信。诸如网络230和249的网络通常是由网络运营商拥有的专用网络。
图2示出其中安全措施已被实施的LTE网络体系结构的一个例子。与图1相同的附图单元被付与相同的附图标记。在图2中可以看出,网络级层间交换网络(图1中用附图标记220指出)现在包括安全网关(SEG)250。如果IPsec协议集已经被实施,则SEG也可称为IPsec网关。
由于移动基础设施体系通常非常大并且包括非常多的节点,因此,通常有利地,将RAN细分成多个区域,诸如图2的区域R1和R2。每个区域包含多个基站,这些基站通常在地理上彼此相对接近。对于特定区域内的安全通信,区域中的基站直接经由IPsec隧道260连接到安全网关(SEG)聚合器。对于区域之间的安全通信,在不同区域内的SEG之间穿过网络290的IPsec隧道280用于保护每个区域的周边。因此,例如,隧道280可用于在由第三方拥有的网络上漫游期间保护业务。穿过网络230的IPsec隧道270用于例如保护控制平面和用户平面业务,包括IMSI和其它用户机密信息。
我们的方法将被实现为管理例如X.509数字证书的应用基础设施体系。该应用基础设施体系将在适当的硬件机器上执行,其中硬件机器例如可以是数字信号处理器或者专用或通用数字计算机。为此,它可被提供为采用源或目标代码的一组指令或者为一组机器可执行指令。前述的任意一个可被提供为包含在有形、非瞬态机器可读媒体中,诸如光盘、现场可编程门阵列或计算机存储器设备。
可以看出,该应用基础设施体系将根据运营商命令触发数字证书请求,对数字证书进行签名,并向无线回程网络中的IP节点分发证书包。
应用基础设施体系可进一步被有利地设计为支持自配置场景,据此,例如,如果用于即插即用等的新的IP节点已经从工厂配备了考虑了IP节点的初始认证的证书,则它可以在现场部署而无需技术人员支持。
应用基础设施体系可进一步被有利地设计为在IP主机中驻留证书以支持迁移场景,据此,例如,无证书的传统IP节点从先前的软件版本迁移到新的版本。这样,传统IP节点远程而无需人工干预地获取它需要的证书包,以便被IPsec中的IKE协议认证。
应用基础设施体系通常被安置在固定在无线网络中的集中式平台中,但它也可以安装在诸如膝上型计算机的本地平台。即,本地平台可被配置为在诸如小区基站的本地站点处管理证书,以为了例如下载IP主机证书以用于安装在新部署的基站中,这些基站在工厂中未被提供证书,因此在初始配置时,不能认证它们自己。
在本地平台的另一个例子中,应用基础设施体系例如在工厂中使用以下载数字证书包。
我们的应用基础设施体系具有两个或多个层级。使用多个级别,特别地使用两个级别,对于简化证书的管理是有利的,还提供至少一个中间层以将根认证机构与用户隔离,并因此保护它以避免攻击者企图获取例如私钥。
更具体地,每个管理事务在本地执行,以使得仅有有限数量的证书需要被每个CMS创建和交换以建立可信路径。因此,分级层不仅经由隔离层添加安全性,而且还提供执行在线证书请求的本地功能。这反过来简化和加速了在可信机构处的认证和交叉认证过程。
应当注意,在这方面,两层、三层或甚至更多层分级层容易在我们的基础设施体系中容纳。然而,存在设计权衡:如果分级层的数量太大,则在IKE认证期间,证书的数量和签名有效性可能会大到降低性能并增加开销到不能容忍的程度。另一方面,如果有非常少的分级层,则会有不足够的CMS的本地功能的授权,其中一些可能被需要响应于来自网络的IP节点的请求来创建和交换的大量证书淹没。
因此,我们发现具有两层或者在某些情况下稍微多一些的分层模型通常具有足够的延展性以调整成若干不同的信任机构模型,而保持开销最小。“具有延展性的”基础设施体系例如能够支持超过一个的认证机构和超过一个的信任模型。具有这种有延展性的基础设施体系是有利的,以使得安全通信可以与需要引入外部认证机构的第三方建立。
图3表示用于在无线回程网络中实施应用基础设施体系的一个可能的体系架构。该体系架构的一个重要组成是负责管理数字证书的系统应用。将这种系统应用称为证书管理系统(CMS)。
参照图3,可以看出,根CMS应用300位于CMS分层体系的顶端。在实际的实现中,根CMS驻留在诸如图1的网络240的OMA网络的服务器上。在根CMS300之下是多个sur-CMS应用310,其以本地或远程的方式直接与需要证书的IP节点交互。在实际的实现中,sur-CMS功能驻留在类似于根CMS的平台上。图3已经被简化成仅示出三个sur-CMS应用,当然在实践中,更大数量的sur-CMS应用可被公共的根CMS服务。因此,附图应当被理解为仅仅是示例性的,而不是在这方面进行限制。
在图中还示出了两种类型的IP节点:基站321-323(在LTE环境中称为eNodeB)和SEG330。如下面更详细地解释的,所示出的体系架构中的SEG330被安全地互连,每个SEG例如通过IPsec隧道安全地连接到各组基站321、322或323。为了建立安全连接,基站是彼此的IKE对等体,SEG也是彼此的IKE对等体。
应当理解,在这一点,尽管在此已经假定IPsec是为RAN通信选择的安全协议,但是,IPsec的选择仅仅是示例性的而非限定。可在本上下文中使用的其它安全协议的例子包括https和TLS。
在通常的实现中,单个可信机构,诸如移动基础设施体系的所有者或者回程网络的运营商,将与单个根CMS相关联。
如在上面所指出的,假设大的移动基础设施体系和许多节点,将RAN网络细分成若干不同的区域是有利的,其中每个区域包括在地理上聚集的多个基站。在图3中示出3个区域361-363。如上面所说明的,附图限于三个区域是为了简化而非限制。同样,附图中对每个区域示出的基站的数量限于三个,以简化附图而非为了限制。
如上所述,图3的SEG330被安全互连,每个SEG被安全地连接到各组基站。更具体地,为了在特定区域内提供安全通信,每个区域361-363中的基站直接经由IPsec隧道351、352和353连接到它们各自的SEG330。对于区域间的安全通信,穿过区域的在SEG之间的IPsec隧道340用于保护每个区域的周边。
IPsec隧道使用所指示的已知的方法,例如通过IP协议集建立。IPsec建立过程是公知的,不需要在此详细描述。然而为了方便起见,在此进行简要回顾。
IKE具有第一阶段和第二阶段,第一阶段的目标是在两个潜在IPsec对等体之间建立安全认证通信信道,第二阶段的目标是代表IPsec或其它服务在对等体之间协商安全关联(SA)。SA使用在阶段1建立的安全信道进行协商。
有几种对等体可用于在IKE阶段1期间认证它们自己的可选方法,其中一个必须达成一致或者被预先选择。一个这种方法在本上下文中特别感兴趣,其使用由RSA签名认证的数字证书。每个对等体向另一个对等体发送它自己的ID值、它的身份数字证书和RSA签名值。在对等体的证书已被验证后,每个对等体通过向证书机构(CA)注册并具有证书号来获取它的数字证书。证书的内容通常包括证书承载的身份和IP地址、证书的序列号和届满日期以及承载的公共密钥的副本。
如上所述,在多级别网络中,证书的授权链定义了从在网络底部的IP主机一直扩展到或接近网络顶部的可信锚点的可信路径。因此,在IKE认证期间,每个对等体交换证书包,其组成证书的授权链。如果授权链可被逐个证书地从可信锚点到对等证书地验证,则IKE对等体被认证。对于认证过程成功完成,每个IKE对等体需要被提供正确的证书包,否则,IKE认证阶段失败。
IKE阶段1如果成功,则在对等体之间建立安全隧道。使用安全隧道,IKE阶段2协商用于对等体之间的SA的参数并建立SA,从而创建IPsec隧道。在对等体之间使用IPsec隧道交换的分组根据已被建立的SA参数进行加密和解密。
在示例性实施例中,eNodeB是认证过程的发起者。例如,过程可在新的eNodeB进入网络时或者在系统软件被更新以首次支持认证证书时或者在安全信道被首次建立以用于通过公共传输网络或回程传输敏感信息时被发起。
应当指出,在在此描述的体系架构方面,eNodeB不是彼此的IKE对等体:即,在eNodeB之间不建立IPsec隧道。该特别的设计选择应当被理解为仅仅是实例而非限制。如果需要,该基础设施体系可容易地提供在经由隧道互连的eNodeB之间的认证。然而,在许多情况下,这种互连是不受欢迎的,因为相对于eNodeB经由它们共享的SEG而间接地互连的情况,网络节点之间的链路的增殖可能导致网络太复杂并因此不经济。
根据上述讨论应当理解,认证机构(CA)必须可用于向SEG和基站发布数字证书。这是必需的,以使得在每个区域内,当IPsec被初始化且IKE协议被调用时,SEG和基站可彼此相互认证,以使得位于不同区域的周边的SEG也可彼此相互认证。
在图1的配置中,基站和SEG都信任同一个根CMS,其从而可用作认证机构。这可例如是单个机构拥有并运营基站和SEG的情形。
然而,也会出现不同的机构分别拥有基站和SEG的情形。在这种情况下,一个机构可能想要使用它自己的外部认证机构(CA),而其它机构使用根CMS作为它的CA。这种分开情形的例子在图6中提供。
CMS分层模型
我们将描述几种不同的证书管理和授权的认证机构(CA)分层模型,其可被我们的基础设施体系支持。每个模型意味着解决无线运营商可能需要支持的不同情形。
三个示例性模型是:
1.无运营商CA的分层CMS:无线服务提供商不拥有运营商CA。基站和SEG可信锚点是根CMS。
2.具有运营商CA的分层CMS:无线服务提供商拥有运营商CA。基站和SEG可信锚点是运营商CA。增值是CMS基础设施体系允许运营商CA证书的基站证书管理的自动化。
3.具有运营商CA的直接交叉认证模型:基站和SEG被不同的机构所有,并且它们信任不同的锚点。SEG运营商拥有运营商CA。基站信任根CMS,SEG信任运营商CA。增值是运营商可在运营商CA与根CMS之间桥接通信,并自动管理基站证书。
尽管前面的模型在其创建可信路径的方式上根本不同,但只需要相对少量的进一步开发以扩展对一个模型开发的CMS基础设施体系,以使得其它模型也得到支持。这是由于各个模块式主要在证书包的内容上不同,但CMS基础设施体系以及传输机制和过程基本上相同。
无运营商CA的分层模型
图3示出单个机构被基站和SEG信任而运营商不拥有外部CA的CMS高级体系架构组成。在该模型中,CMS基础设施体系自动地请求证书和在基站中分发证书,以对SEG认证基站。模型是分层的,因为证书被签名并从顶层到底层向下传送。在分层的顶部是根CMS300。这在分层基础设施体系中是可信任锚点CA。根CMS的CA向下属sur-CMS CA310和SEG330发布证书。每个sur-CMS CA分别向其负责的基站终端实体321-323发布证书。Sur-CMS还向与其相关联的SEG发布证书。
对于该模型,用于基站和SEG的可信锚点、认证路径和数字证书的存储位置在下表中示出。在存储位置行,使用下面的标记:X(Y)意味着CA X发布CA或终端实体Y的公共密钥的数字证书。证书被存储在位于与证书的发布方相同的机构域中的终端实体中。
具有运营商CA的分层模型
图4示出当运营商拥有外部CA400且基站和SEG信任运营商CA的体系架构。在该模型中,基站和SEG可信锚点是运营商CA400。根CMS300和sur-CMS310是下属CA,其将可信路径授权给运营商CA。由CMS给该模型的增值是运营商可以通过以自动的方式添加CMS基础设施体系可向下分发给基站的几个证书来自动进行基站的证书管理。
对于该模型,用于基站和SEG的可信锚点、认证路径和数字证书的存储位置在下表中示出。
具有运营商CA的直接交叉认证模型
图5示出具有运营商CA400的直接交叉认证模型。在该模型中,基站和SEG属于两个单独的网络安全域,并且它们信任未直接连接到IKE等同体的不同的机构。为了建立可信的关系,每个机构通过在根CMS CA300与运营商CA400之间直接发布双向交叉证书来建立与另一个信任。交叉认证经由这两个机构之间的协定来实现。
该模型例如适合于其中移动运营商是基站机构、传输运营商是SEG机构且每个机构想要维护独立的信任域(关于网络安全)的情形。该模型在基站和传输具有不共享网络安全域的不同运营商时也用于支持回程共享。
该模型是有利的,因为它实现简单,缩短了认证路径,并且可在两个独立的CA之间迅速建立信任关系。另一个优点在于即使SEG运营商不信任CMS基础设施体系,基站也能够使用由CMS基础设施体系提供的自动能力以通过sur-CMS下载证书,包括由供应商CA签名的交叉证书。
该模型的重要方面在于认证SEG,基站仅需要信任由在它自己的安全域中的CA签名的证书。即,只需要信任根CMS CA的自签名证书,并信任也由根CMS CA发布的运营商CA公共密钥的交叉证书。更具体地,在IKE期间由运营商CA发布并从SEG接收的证书可以由基站使用在基站安全域中发布的两个证书验证。类似地,SEG只需要信任由它自己的安全域中的CA签名的证书以认证基站。
对于该模型,用于基站和SEG的可信锚点、认证路径和数字证书的存储位置在下表中示出。
如图6所示,另一个模型是具有外部CA的交叉认证。从图中可以理解,该模型在拓扑结构上类似于图5的模型。然而,外部CA600不是网络运营商所拥有的。相反,它是例如已经同意提供证书管理服务的第三方。在这种情况下,相关的私有密钥由外部CA拥有,而不是网络运营商。
实例1
图7表示导致sur-CMS获取包含根CMS自签名证书和sur-CMS证书的证书包的事务。如图中模块71所示,根CMS应用被初始化,在根CMS,根CMS公共-私有密钥对(在该实例中,根据RSA协议)被生成,根CMS自签名证书也被生成。
在模块72,sur-CMS被初始化,它生成RSA密钥对。在模块73,sur-CMS向根CMS发送证书请求,包括它的RSA公共密钥和基站身份。在模块74,根CMS生成sur-CMS证书并用它的私有密钥签名。在模块75,根CMS向sur-CMS发送它自己的自签名证书和sur-CMS证书。在模块76,sur-CMS存储所接收的证书包。
实例2
图8和图9表示基站中新的或升级的回程控制板下载数字证书的事务。在图8中,下载由新的板经由本地CMS应用进行。在图9中,它由现有的板经由位于远程的CMS应用进行。
如图所示,sur-CMS向基站发送请求以创建RSA密钥对和发送公共密钥和基站的身份(模块81和91)。基站生成密钥对和基站ID(模块82和92),并将公共密钥和ID发送到sur-CMS(模块83和93)。sur-CMS生成基站证书,用sur-CMS的私有密钥进行签名,并存储该证书(模块84和94)。sur-CMS向基站发送基站证书、它自己的证书和由根CMS自签名的证书(模块85和95)。
在图8的事务中,证书的使用限于在IPsec协议下保护的OAM业务。在图9的事务中,没有这种限制,sur-CMS还在证书包中包括由根CMS签名的交叉证书(如果有的话)。
基站用适当的错误代码向sur-CMS报告事务的成功或失败(模块86和96)。
实例3
图10和图11表示基站中的新的或升级的回程控制板下载证书的事务。在图10中,下载由新的板经由远程CMS应用进行。在图11中,由在运营商设备中的中心位置但未连接到eRAN(即,LTE演进无线接入网络)回程的现有的板进行。
如图所示,sur-CMS向基站发送请求以创建RSA密钥对和发送公共密钥和基站的身份(模块101和111)。基站生成密钥对和基站ID(模块102和112),并将公共密钥和ID发送到sur-CMS(模块103和113)。sur-CMS生成基站证书,用sur-CMS的私有密钥进行签名,并存储证书(模块104和114)。sur-CMS向基站发送基站证书、它自己的证书和由根CMS自签名的证书以及由根CMS签名的任何交叉证书(模块105和115)。在图11的事务中,证书的使用限于在IPsec协议下保护的OAM业务。
基站使用适当的错误代码来向sur-CMS报告事务的成功或失败(模块106和116)。
Claims (10)
1.一种系统,包括:
根证书管理系统(根CMS),其被授权处理对数字证书的请求和发布根证书,被配置为自动认证代理证书管理系统(sur-CMS),并被配置为自动处理证书请求和向被成功认证的sur-CMS发布证书包;以及
两个或多个sur-CMS,其每一个具有在各自的区域内分配给它的一个或多个基站;
其中,每个所述sur-CMS被配置为自动认证它自己的基站,自动处理证书请求,并向被成功认证的基站发布证书包;
其中,发布给基站的每个证书包包括:由发布sur-CMS签名的该基站的公共密钥的数字证书;以及至少一个其它数字证书,包括所述根CMS的自签名证书。
2.如权利要求1所述的系统,其中,所述根CMS和至少一个所述sur-CMS还被配置为在每个所述区域中自动认证至少一个安全网关聚合器(SEG),自动处理证书请求,并向被成功认证的SEG发布证书包。
3.如权利要求1所述的系统,其中,所述根CMS被配置为由认证机构(CA)进行认证,以及接收由所述CA发布的数字证书,其中,所述数字证书将公共密钥绑定到所述根CMS。
4.如权利要求3所述的系统,其中,发布给基站的每个证书包还包括将公共密钥绑定到所述根CMS的所述数字证书,并还包括所述CA的自签名证书。
5.如权利要求3所述的系统,其中,所述根CMS被配置为认证所述CA,处理证书请求,以及向所述CA发布数字证书,其中,所述数字证书将公共密钥绑定到所述CA。
6.一种在使用证书管理系统(CMS)分发数字证书的类型的无线网络中执行的方法,包括:
由代理CMS(sur-CMS)执行导致所述sur-CMS从根CMS获取数字证书的认证过程;
由所述sur-CMS自动认证一个或多个基站;以及
由所述sur-CMS自动向每个被认证的基站发布数字证书包,其中,所述包包括:由发布sur-CMS签名的该基站的公共密钥的数字证书;以及至少一个其它数字证书,包括所述根CMS的自签名证书。
7.如权利要求6所述的方法,还包括:
由所述sur-CMS自动认证至少一个安全网关聚合器(SEG);以及
由所述sur-CMS自动向每个被认证的SEG发布数字证书包。
8.如权利要求6所述的方法,其中,发布给每个被认证的基站的数字证书包还包括由所述根CMS发布的与所述根CMS不同的认证机构的数字证书。
9.一种在使用证书管理系统(CMS)分发数字证书的类型的无线网络中执行的方法,包括:
由基站执行导致所述基站从代理CMS(sur-CMS)接收数字证书包的认证过程;以及
由所述基站执行导致所述基站建立与安全网关聚合器(SEG)的安全隧道的认证过程;
其中,从所述sur-CMS接收的证书包包括由所述sur-CMS签名的数字证书和由所述根CMS自签名的数字证书。
10.如权利要求9所述的方法,其中,
从所述sur-CMS接收的证书包还包括由所述根CMS发布的与所述根CMS不同的认证机构(CA)的数字证书;
所述基站与所述SEG之间的认证过程至少使用:由所述根CMS自签名的数字证书;以及由所述根CMS发布的与所述根CMS不同的CA的数字证书。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201161467089P | 2011-03-24 | 2011-03-24 | |
US61/467,089 | 2011-03-24 | ||
US13/155,614 US8627064B2 (en) | 2011-03-24 | 2011-06-08 | Flexible system and method to manage digital certificates in a wireless network |
US13/155,614 | 2011-06-08 | ||
PCT/US2012/025782 WO2012128876A1 (en) | 2011-03-24 | 2012-02-20 | A flexible system and method to manage digital certificates in a wireless network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103460736A true CN103460736A (zh) | 2013-12-18 |
CN103460736B CN103460736B (zh) | 2017-06-20 |
Family
ID=46878338
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280014533.4A Expired - Fee Related CN103460736B (zh) | 2011-03-24 | 2012-02-20 | 在无线网络中管理数字证书的灵活系统和方法 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8627064B2 (zh) |
EP (1) | EP2689597A1 (zh) |
JP (2) | JP2014512120A (zh) |
KR (1) | KR101532968B1 (zh) |
CN (1) | CN103460736B (zh) |
WO (1) | WO2012128876A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108990060A (zh) * | 2017-06-05 | 2018-12-11 | 中国移动通信集团公司 | 一种基站设备的证书分发系统及方法 |
CN115277001A (zh) * | 2022-06-20 | 2022-11-01 | 中国联合网络通信集团有限公司 | 一种共建共享网络的证书分发方法、装置、系统及介质 |
WO2023216276A1 (zh) * | 2022-05-13 | 2023-11-16 | 北京小米移动软件有限公司 | 认证方法、装置、通信设备及存储介质 |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ES2404045T3 (es) * | 2008-05-13 | 2013-05-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Manejo del tipo de usuario en una red de acceso inalámbrica |
US8627064B2 (en) | 2011-03-24 | 2014-01-07 | Alcatel Lucent | Flexible system and method to manage digital certificates in a wireless network |
US9549317B2 (en) * | 2011-10-17 | 2017-01-17 | Mitel Mobility Inc. | Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network |
CN102711106B (zh) * | 2012-05-21 | 2018-08-10 | 中兴通讯股份有限公司 | 建立IPSec隧道的方法及系统 |
US9253636B2 (en) * | 2012-08-15 | 2016-02-02 | Cisco Technology, Inc. | Wireless roaming and authentication |
WO2014060013A1 (en) * | 2012-10-15 | 2014-04-24 | Nokia Solutions And Networks Oy | Network authentication |
SG11201503553YA (en) * | 2012-11-09 | 2015-06-29 | Ent Technologies Inc | Entity network translation (ent) |
US10924470B2 (en) | 2013-03-27 | 2021-02-16 | Nokia Solutions And Networks Oy | Secured network architecture |
US9288672B2 (en) * | 2013-09-23 | 2016-03-15 | Qualcomm Incorporated | Method for configuring a remote station with a certificate from a local root certificate authority for securing a wireless network |
US9413738B2 (en) * | 2014-06-19 | 2016-08-09 | Microsoft Technology Licensing, Llc | Securing communications with enhanced media platforms |
US9819497B2 (en) * | 2015-06-30 | 2017-11-14 | Vmware, Inc. | Automated provisioning of certificates |
US10432610B2 (en) * | 2015-06-30 | 2019-10-01 | Vmware, Inc. | Automated monitoring and managing of certificates |
EP3425853B1 (en) * | 2016-03-02 | 2023-09-20 | Nec Corporation | Network system, terminal, sensor data collection method, and program |
US10313878B2 (en) * | 2016-09-16 | 2019-06-04 | Qualcomm Incorporated | On-demand network function re-authentication based on key refresh |
US10397006B2 (en) | 2017-02-13 | 2019-08-27 | Amazon Technologies, Inc. | Network security with surrogate digital certificates |
US20200274859A1 (en) | 2019-02-22 | 2020-08-27 | Beyond Identity Inc. | User authentication system with self-signed certificate and identity verification with offline root certificate storage |
EP3965392A4 (en) * | 2019-04-29 | 2022-12-28 | Hyundai Motor Company | CROSS CERTIFICATE METHOD AND DEVICE FOR ELECTRIC VEHICLE CHARGING |
CN112261068B (zh) * | 2020-12-22 | 2021-03-19 | 北京翼辉信息技术有限公司 | 一种局域网内的动态 tls 认证方法、装置及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060047949A1 (en) * | 2004-09-01 | 2006-03-02 | Research In Motion Limited | System and method for retrieving related certificates |
US20100318788A1 (en) * | 2009-06-12 | 2010-12-16 | Alexandro Salvarani | Method of managing secure communications |
CN101931952A (zh) * | 2010-08-25 | 2010-12-29 | 广州杰赛科技股份有限公司 | 一种无线城域网系统及其鉴别认证方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8176328B2 (en) | 2008-09-17 | 2012-05-08 | Alcatel Lucent | Authentication of access points in wireless local area networks |
US8627064B2 (en) | 2011-03-24 | 2014-01-07 | Alcatel Lucent | Flexible system and method to manage digital certificates in a wireless network |
-
2011
- 2011-06-08 US US13/155,614 patent/US8627064B2/en not_active Expired - Fee Related
-
2012
- 2012-02-20 WO PCT/US2012/025782 patent/WO2012128876A1/en active Application Filing
- 2012-02-20 EP EP12706175.2A patent/EP2689597A1/en not_active Withdrawn
- 2012-02-20 CN CN201280014533.4A patent/CN103460736B/zh not_active Expired - Fee Related
- 2012-02-20 KR KR1020137027868A patent/KR101532968B1/ko active IP Right Grant
- 2012-02-20 JP JP2014501077A patent/JP2014512120A/ja active Pending
-
2015
- 2015-12-28 JP JP2015256031A patent/JP2016067054A/ja not_active Withdrawn
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060047949A1 (en) * | 2004-09-01 | 2006-03-02 | Research In Motion Limited | System and method for retrieving related certificates |
US20100318788A1 (en) * | 2009-06-12 | 2010-12-16 | Alexandro Salvarani | Method of managing secure communications |
CN101931952A (zh) * | 2010-08-25 | 2010-12-29 | 广州杰赛科技股份有限公司 | 一种无线城域网系统及其鉴别认证方法 |
Non-Patent Citations (1)
Title |
---|
3GPP: "《3GPP TS 33.310 V10.2.0》", 20 December 2010 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108990060A (zh) * | 2017-06-05 | 2018-12-11 | 中国移动通信集团公司 | 一种基站设备的证书分发系统及方法 |
WO2023216276A1 (zh) * | 2022-05-13 | 2023-11-16 | 北京小米移动软件有限公司 | 认证方法、装置、通信设备及存储介质 |
CN115277001A (zh) * | 2022-06-20 | 2022-11-01 | 中国联合网络通信集团有限公司 | 一种共建共享网络的证书分发方法、装置、系统及介质 |
Also Published As
Publication number | Publication date |
---|---|
KR20140002773A (ko) | 2014-01-08 |
EP2689597A1 (en) | 2014-01-29 |
WO2012128876A1 (en) | 2012-09-27 |
JP2014512120A (ja) | 2014-05-19 |
US8627064B2 (en) | 2014-01-07 |
KR101532968B1 (ko) | 2015-07-09 |
JP2016067054A (ja) | 2016-04-28 |
CN103460736B (zh) | 2017-06-20 |
US20120246466A1 (en) | 2012-09-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103460736B (zh) | 在无线网络中管理数字证书的灵活系统和方法 | |
CN100592678C (zh) | 用于网络元件的密钥管理 | |
US11843950B2 (en) | Protecting a telecommunications network using network components as blockchain nodes | |
CN101222331B (zh) | 一种认证服务器及网状网中双向认证的方法及系统 | |
KR101374810B1 (ko) | 가상 가입자 식별 모듈 | |
CN109511115A (zh) | 一种授权方法和网元 | |
CN101594616B (zh) | 认证方法、服务器、用户设备及通信系统 | |
CN101356759A (zh) | 安全密钥材料的基于令牌的分布式生成 | |
WO2020174121A1 (en) | Inter-mobile network communication authorization | |
CN102378170A (zh) | 一种鉴权及业务调用方法、装置和系统 | |
CN111092820B (zh) | 一种设备节点认证方法、装置和系统 | |
Liu et al. | A secure and efficient authentication protocol for satellite-terrestrial networks | |
Goswami et al. | A blockchain-based authentication scheme for 5g-enabled iot | |
Lin et al. | A fast iterative localized re-authentication protocol for heterogeneous mobile networks | |
Modares et al. | Enhancing security in mobile IPv6 | |
Lim et al. | Reducing communication overhead for nested NEMO networks: Roaming authentication and access control structure | |
CN106797560A (zh) | 用于配置安全参数的方法、服务器、基站和通信系统 | |
Liu et al. | Efficient and trustworthy authentication in 5g networks based on blockchain | |
Køien | A privacy enhanced device access protocol for an IoT context | |
KR100972743B1 (ko) | 마니모의 이동 애드 혹 네트워크에 속한 이동 라우터 간에인증 토큰을 이용한 상호 인증 방법 | |
CN101742507B (zh) | 一种WAPI终端访问Web应用站点的系统及方法 | |
Abdelkader et al. | A novel advanced identity management scheme for seamless handoff in 4G wireless networks | |
Kim et al. | On authentication signaling costs in hierarchical LTE networks | |
Shan et al. | Blockchain-Based Distributed Addressing for Initial Authentication in Future Network | |
Johnson et al. | dAuth: A Resilient Authentication Architecture for Federated Private Cellular Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170620 Termination date: 20200220 |