CN104704789A - 网络认证 - Google Patents
网络认证 Download PDFInfo
- Publication number
- CN104704789A CN104704789A CN201280076420.7A CN201280076420A CN104704789A CN 104704789 A CN104704789 A CN 104704789A CN 201280076420 A CN201280076420 A CN 201280076420A CN 104704789 A CN104704789 A CN 104704789A
- Authority
- CN
- China
- Prior art keywords
- network node
- certificate
- network
- operator
- use certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出了用于由网络节点来提供改进的网络认证的装置、方法和计算机程序产品。将网络节点标识和供应商证书配置在网络节点中;针对网络节点创建使用证书,所述使用证书由供应商利用签名来签署,并且包含指示使用证书与该网络节点有关的验证信息和用于允许网络节点对网络进行认证的认证信息;将使用证书传送至运营商网络的运营商;当网络节点最初连接至运营商网络时,网络节点向运营商请求使用证书;网络节点确定在请求时接收到的使用证书中的签名的有效性;并且网络节点基于在使用证书中包含的信息来检查所接收到的使用证书是否实际上与最初被连接至运营商网络的网络节点有关。
Description
技术领域
本发明大体上涉及有线或无线通信网络,并且更特定地涉及用于由网络节点来实现改进的网络认证的方法、装置和计算机程序产品。
背景技术
当如移动网络基站的网络节点(例如“演进的节点B”(eNB))从供应商交付至运营商时,运营商需要用于以高效但仍安全的方式将网络节点集成至运营商的网络中的方法。高效在这里意味着,在将网络节点最初连接至网络之前,运营商不需要做网络节点的任何配置,但是在最初连接之后,可按照“即插即用”方式远程地做所有的配置。这对于许多运营商而言是非常重要的,特别是当要被连接至网络的网络节点的数量高时,由于它经常是当建立或扩展移动网络时的情况。安全在这里意味着运营商可确定以下是不可能的:在最初网络连接期间,例如以在攻击者作为在网络节点和运营商的网络之间的“中间人攻击”的情况下引起网络节点连接至运营商的网络的方式,某个攻击者可获得对网络节点的控制并且可能操纵它。要注意,网络节点到运营商网络的互连可能不被运营商自身所物理保护和/或所拥有——网络节点甚至可以使用因特网而连接至运营商网络,因特网是特别不安全的网络。
另一方面,典型地将同一类型的网络节点交付至不同的运营商的供应商期望允许以统一的方式制造所有的网络节点而不需要特定地针对它们被交付至的运营商来配置节点的高效制造处理。所以无法利用例如运营商“信任根”(如包含运营商的公钥(public key)的(根)证书)来配置网络节点。因此,在最初网络连接期间,网络节点无法验证它们正实际连接至正确的运营商网络还是连接至攻击者的网络。在后一情况下,它们将对由攻击者进行的使用和操纵而开放。
根据现有技术,使用或已经讨论多种方法(例如,在3GPP SA3中):
方法1)网络节点被物理连接并且被远程地配置而无需任何认证。这是高效的但是不提供安全性。在网络节点经由受保护的专用链接(private link)而连接至运营商(例如,基站被连接至运营商所拥有的专用接入网络)的情况下,它可以是可应用的。
方法2)网络节点被制造成其中每一个具有个体id、私钥(private key)/公钥对和由供应商CA(认证授权)签署(可能经由中间证书链)的用于公钥的证书。供应商CA证书例如在被安全地传送之前为运营商所知。当售卖网络节点时,供应商以安全的方式将网络节点的id传送至运营商。这样,当网络节点被连接至运营商网络时,运营商可对网络节点进行认证。该方法已由3GPP针对eNB的最初登记而在两个变体(variant)中指定(参见3GPP TS 33.310和TS 33.401):
2a)除了上述配置之外,利用运营商的公钥(即,利用运营商证书)来预先配置网络节点。这允许当网络节点最初被连接至运营商网络时网络节点可对运营商网络进行认证。因此,相互认证是可能的。然而,过程不是高效的,由于网络节点必须由供应商或由运营商来预先配置以用于特定运营商网络。
2b)网络节点没有运营商特定的预先配置。当它最初被连接至运营商网络时,运营商网络可对网络节点进行认证(但是反之并不亦然)。在最初连接期间,运营商网络远程地提供(provision)运营商证书。在该步骤之后,网络节点可使用运营商证书来对网络进行认证。这是“即插即用”解决方案,但是留下开放攻击窗口:在最初连接,攻击者可能欺骗网络节点而连接至由攻击者控制的节点。攻击者然后可能就为了他自己的目的而使用网络节点(“劫持”网络节点),或他可能以它随后连接至所意图的运营商网络的方式成功操纵网络节点,其中攻击者仍能够控制网络节点。这对于运营商网络而言将是严重的安全性破坏。3GPP已经认为该脆弱性是可接受的并且因此已经指定该解决方案作为允许的登记变体。
方法3)供应商将所有可能运营商的根证书配置至网络节点中。然而,该方法将不保护一个运营商免受另一运营商的攻击。而且,必须在网络节点内安全地存储大量运营商证书是个问题。
方法4)供应商针对所有的运营商根证书而签署证书。然而,该方法将不保护一个运营商免受另一运营商的攻击。而且,在运营商的PKI和供应商的PKI之间具有这种依赖性将是不合期望的。
方法5)供应商操作供应商特定“登记服务器”。网络节点被编程为在最初网络连接之后连接至供应商登记服务器。利用如变体2中描述的凭证和在网络节点中配置的供应商根证书,网络节点和供应商登记服务器之间的相互认证是可能的,所以可建立安全性关联并且供应商可向网络节点提供运营商根证书。该方法的大缺点在于这样供应商卷进了运营商的网络的操作中,并且必须以它始终是可用的并且从网络节点可以被连接至的所有网络可达到的方式来提供登记服务器。
发明内容
因此,为了克服现有技术的缺点,成为本发明的基础的目的是提供网络认证优化。特别是,本发明的目的是提供用于由网络节点来实现改进的网络认证的方法、装置和计算机程序产品。
根据本发明的第一方面,提供了一种方法,该方法包括:将网络节点标识和供应商证书配置在网络节点中;创建用于网络节点的使用证书,使用证书由供应商利用签名来签署,并且包含指示使用证书与该网络节点有关的验证信息和用于允许网络节点对网络进行认证的认证信息;将使用证书传送至运营商网络的运营商;当网络节点最初被连接至运营商网络时,网络节点向运营商请求使用证书;网络节点确定在请求时接收到的使用证书中的签名的有效性;以及网络节点基于在使用证书中包含的信息来检查所接收到的使用证书是否实际上与最初被连接至运营商网络的网络节点有关。
根据本发明的第二方面,提供了一种装置,该装置包括:存储构件,适合于存储网络节点标识和供应商证书;处理构件,适合于在将网络节点安装在运营商网络中时,请求用于网络节点的使用证书,使用证书由供应商利用签名来签署并且包含指示使用证书与该网络节点有关的验证信息和用于允许网络节点对网络进行认证的认证信息;确定构件,适合于确定在请求时接收的使用证书中的签名的有效性;以及检查构件,适合于基于包含在使用证书中的信息来检查所接收到的使用证书是否实际上与最初被连接至运营商网络的网络节点有关。
根据本发明的第三方面,提供了一种计算机程序,计算机程序产品包括计算机可执行的部件,计算机可执行的部件当程序运行时被配置为执行根据第一方面的方法。
根据另外的实施例,认证信息包括至少一个运营商证书。
根据某些实施例,网络节点标识包括单个个体网络节点标识,并且检查最初被连接至运营商网络的网络节点的网络节点标识是否与单个网络节点标识一致。
根据另外的实施例,网络节点标识包括多个网络节点标识,并且检查最初被连接至运营商网络的网络节点的网络节点标识是否被包括在多个网络节点标识中。
根据本发明的另一些实施例,使用证书不由配置在网络节点中的供应商证书来直接签署,但是由经由被包括在使用证书中的证书链而链接至该证书的证书来签署。
根据本发明的某些实施例,使用证书被指定为特定有效期,并且检查是否已经过了所接收到的使用证书的有效期。
根据另外的实施例,当在请求时接收的使用证书中的签名被确定为无效和/或所接收到的使用证书不与最初被连接至运营商网络的网络节点有关的情况下,禁止对网络进行认证并且重复向运营商请求使用证书。
根据另外的实施例,被传送至运营商的使用证书被嵌入在运营商网络中,并且经由运营商网络而被传送至网络节点。
根据本发明的某些实施例,当网络节点最初被连接至运营商网络时,被传送至运营商的使用证书由运营商网络外部的构件来传送至网络节点。
在从属权利要求中阐述了本发明的前述示例性方面的有利的进一步发展或修改。
附图说明
为了对本发明的示例实施例的更透彻理解,现在参考结合附图的以下描述,在附图中:
图1示出了根据本发明的某些实施例的方法的示例的原理配置;
图2示出了根据本发明的某些实施例的装置的示例的原理架构;
图3图示了根据本发明的某些实施例的使用证书的结构;以及
图4图示了根据本发明的某些实施例的在供应商、运营商、运营商网络和新的网络节点之间的使用证书的流。
具体实施方式
下面本文将描述本发明的示例性方面。更特定地,下文参照特定非限制示例并且参照目前被认为是本发明的可构想实施例的事物来描述本发明的示例性方面。本领域技术人员将理解到,本发明绝不限制于这些示例,并且可以被更广泛地应用。
要注意到,本发明及其实施例的以下描述主要指的是被用作用于某些示例性网络配置和部署的非限制示例的规范。即,关于被用作用于某些示例性网络配置和部署的非限制示例的3GPP规范来主要描述本发明及其实施例。因此,本文给出的示例性实施例的描述特别指的是直接与其有关的术语学。这种术语学仅被用在所提出的非限制示例的上下文中,并且并非自然地以任何方式限制本发明。相反,只要符合本文描述的特征,也可以使用任何其他网络配置或系统部署等。
在下文,使用若干替选方式来描述各个实施例和本发明及其各方面或实施例的实现方式。通常要注意到,根据某些需要和限制,可以单独地或者以任何可构想的组合(还包括各个替选方式的单独的特征的组合)来提供所有所描述的替选方式。
大体上,使用公钥密码术的认证被执行如下:A方具有私钥/公钥对。私钥是秘密的并且仅为A所知。公钥是公共的。与A通信的B方可使用A的公钥来对A进行认证。这通过质询(challenge)/响应机制来完成,在该机制中,B质询A并且A证明对私钥的拥有。重要的是B具有A的真正公钥。如果攻击者可能欺骗B相信由攻击者提供的公钥是A的公钥,则攻击者将随后能够(朝向B)模仿A。
证书是使身份与公钥有关的数据记录并且由某一方来签署。签署还依赖于私钥/公钥对。如果C使用其私钥来签署某数据,则知道C的公钥的任何其他方可验证该签名。再者,关键的是验证该签名的方实际上具有C的真正公钥。
所以,为了对证书进行验证,一方需要签署方的公钥。再者,在由某其他方等签署的证书中典型地提供该公钥。所以,可存在证书链。然而,该证书链必须是有限的(并且在实践中还是短的);它结束于不由另一方签署但是必须被安全地提供(例如,通过配置)的“根证书”。
如果B方想要在通信中对A方进行认证,则A发送其证书并且如果需要的话还发送一直到根证书但排除根证书的证书链。B可解析开始于A的证书的该证书链并且对所有签名进行验证。为了验证所传送的链中的最后一个证书,B需要知道相应的根证书(即,根证书中的公钥)。(对于A而言动态地传送根证书将是无意义的,由于从B的视点来看,这样传送的证书可能是伪造的,并且B将没有机会来识别这点,除非B在之前已经拥有该根证书。)如果所有的证书都是正确的并且B信任签署方仅签署正确的信息,则B可信任A的证书并且可使用来自A的证书的公钥来对A进行认证(通过质询/响应机制,在该机制中,A证明对属于A的证书中的公共的私钥的拥有)。
如果攻击者能够欺骗B方信任攻击者的证书或者根证书cert_a,则攻击者可通过创建利用cert_a签署的证书来朝向B模仿任意身份。
因此,为了实现改进的网络节点认证,根据本发明的某些实施例,利用每个个体id、供应商根证书、私钥/公钥对和由供应商CA(认证授权)签署的用于公钥的证书来制造新的网络节点。供应商CA证书例如在被安全地传送之前为运营商所知。
此外,当例如售卖网络节点时,供应商为该网络节点创建“使用证书”,即,声称该网络节点(具有其个体id)打算仅被用在网络节点被交付至的运营商的网络内并且必须不被用在其他网络中的信息。该信息包括网络节点id和运营商证书并且由供应商来签署。(运营商证书必须在之前已经从运营商安全地传送至供应商。)供应商将使用证书传送运营商。
知道来自使用证书以及供应商CA证书的网络节点id,当新的网络节点被连接至运营商网络并且将其证书发送至运营商时,运营商可对新的网络节点进行认证。(这可根据现有技术来完成,参见上面提到的方法2。)
为了对网络进行认证,新的网络节点被编程为在最初连接至网络之后请求使用证书。运营商发送从供应商接收的使用证书,并且新的网络节点验证签名以及使用证书是否包含网络节点的id并且然后接受运营商证书。为了促进签名验证,在制造期间,供应商将签署使用证书的实体的公钥(典型地以证书的形式)提供至新的网络节点,如上面所提到的。(新的网络节点被编程为只要没有提供有效的使用证书就不继续进行。)使用运营商证书,新的网络节点可对运营商网络进行认证,因此连同由运营商网络对新的网络节点进行认证,相互认证以及因此到该网络的安全连接是可能的。
因此,对于攻击者而言不可能欺骗新的网络节点接受所操纵的运营商证书,因为供应商将仅签署包含真正的运营商证书的使用证书。新的网络节点无法被用在不同于运营商网络的网络中,由于网络将不拥有属于真正的运营商证书的私钥。
图1示出了根据本发明的某些实施例的方法的示例的原理流程图。
在步骤S11中,将网络节点标识和供应商证书配置在网络节点中。
在步骤S12中,针对网络节点来创建使用证书,使用证书由供应商利用签名来签署,并且包含指示使用证书与该网络节点有关的验证信息和用于允许网络节点对网络进行认证的认证信息。
在步骤S13中,将使用证书传送至运营商网络的运营商。
在步骤S14中,当网络节点最初被连接至运营商网络时,网络节点向运营商请求使用证书。
在步骤S15中,网络节点确定在请求时接收的使用证书中的签名的有效性。
在步骤S16中,网络节点基于包含在使用证书中的信息来检查接收的使用证书是否实际上与最初被连接至运营商网络的网络节点有关。
图2示出了根据本发明的某些实施例的装置的示例的原理配置。装置20包括:存储构件21,适合于存储网络节点标识和供应商证书;处理构件22,适合于在将网络节点安装在运营商网络中时请求用于网络节点的使用证书,使用证书由供应商利用签名来签署,并且包含指示使用证书与该网络节点有关的验证信息和用于允许网络节点对网络进行认证的认证信息;确定构件23,适合于确定在请求时接收的使用证书中的签名的有效性;以及检查构件24,适合于基于包含在使用证书中的信息来检查接收的使用证书是否实际上与最初被连接至运营商网络的网络节点有关。
根据本发明的某些实施例,在制造期间在网络节点中提供的信息如下:
——个体标识(id)
——个体私钥
——设备证书:由供应商CA签署的、属于个体私钥的针对公钥的证书
——被用于签署使用证书的供应商实体的证书
需要个体私钥和设备证书来允许网络对节点进行认证。连同本发明的某些实施例一起,促进由网络节点进行的对网络的认证,可实现相互认证。
在图3中图示了根据本发明的某些实施例的使用证书。
使用证书包括:
——网络节点id
——运营商证书
——签名(由供应商进行的)
使用证书的语义是:具有使用证书中包含的id的网络节点将(仅)在以下网络中操作,该网络拥有属于使用证书中包含的运营商证书中的公钥的私钥。
此外,图4图示了根据本发明的某些实施例的使用证书的流程。即,在供应商组织内创建使用证书并且将使用证书传递给运营商组织。然后将使用证书存储在运营商网络中。在请求时,将使用证书传递至新的网络节点。
按照以下方式来对网络节点进行编程:当网络节点处于其工厂设置时,在它最初被连接至网络时它请求使用证书。网络节点被编程为验证它接收的使用证书。网络节点被编程为只要没有接收到有效的使用证书就不继续进行其操作。当接收到有效的使用证书时,网络节点存储在使用证书中包含的运营商证书。随后,它使用该运营商证书对它被连接至的网络进行认证。
在下文中,提供根据本发明的某些实施例的网络连接过程的详细描述。
前提:
● 供应商以每个网络节点包含个体id、私钥/公钥对、由供应商CA签署的针对公钥的证书和签署该使用证书的供应商实体的证书的方式制造网络节点。所有该信息都不取决于网络节点将被交付至的运营商。
● 运营商已经以安全的方式接收到供应商CA证书并且已经将它配置在运营商网络内,即,一个或多个网络节点已经存储供应商CA证书作为可信证书。
● 供应商已经以安全的方式接收到运营商证书。运营商网络拥有相应的私钥。
过程:
● 运营商订购新的网络节点。
● 供应商选择要被交付至运营商的具有给定id的所制造的网络节点作为新的网络节点。
● 供应商创建包含所选择的网络节点的id、运营商证书和签名的使用证书(即,由供应商签署使用证书)。
● 供应商将使用证书传送至运营商。
● 运营商将网络节点的id配置在运营商网络中(即,将它存储在一个或多个节点中),从而该网络准备好与新的网络节点互连。
● 新的网络节点被交付至网站并且被连接至运营商的网络。(这可通过第三方来完成,而该方无需具有关于网络连接过程的其他步骤的信息)
● 当新的网络节点被连接至运营商的网络并且被启动时,它接收可提供使用证书的节点的最初地址。(该最初地址可以例如经由DHCP或以某其他方式来提供。)
● 新的网络节点针对其id来请求使用证书。
● 新的网络节点可以在该请求期间传送其设备证书,并且网络可以对新的网络节点进行认证,并且如果它无法对新的网络节点进行认证则取消该过程。
● 网络将使用证书发送至新的网络节点。
● 当新的网络节点接收到使用证书时,它对id和签名进行验证。
● 只要尚未接收到有效的使用证书,新的网络节点就重复请求但不以其他方式继续进行。
● 当新的网络节点已经接收到有效的使用证书时,它存储包含在使用证书中的运营商证书。
● 新的网络节点和网络基于存储在新的网络节点以及在网络中的证书和私钥来执行相互认证并且设置安全性关联。(IKE或TLS可以被用于这点。)
● 安全性关联被用于将进一步操作所需要的所有配置信息安全地传送至新的网络节点。
根据本发明的某些实施例,使用证书可以包括关于新的网络节点的配置或关于使用证书的验证的另外的信息。例如,使用证书可以包含多于一个运营商证书,允许新的网络节点连接至拥有相应的私钥中的至少一个私钥的网络。另一示例是有效期——可以获得当前时间的新的网络节点可能接受仅在该有效期期间的使用证书。
使用证书可能还不仅包括新的网络节点的id,还包括完整的设备证书。在该情况下,该设备证书无需被存储在该新的网络节点中。该新的网络节点将仅必须呈递其id并且将不必须传送证书。
此外,根据本发明的某些实施例,使用证书可能包含网络节点id的整个列表,例如,针对特定大客户(网络运营商)保留所有id,而不仅单个id。这将显著地减少供应商在生成使用证书时的努力。当使这样的使用证书有效时,网络节点需要检查其id是否被包含在该id列表中。当使用证书未被存储在运营商网络中并且经由该网络而传送至网络节点但是替代地在网络节点的安装期间例如通过现场工程师来人工配置时,本发明的优点也可以适用,其中,使用“使用证书”的优点(相比于直接安装运营商证书而言)则将是增强的安全性,因为现场工程师无法操纵该信息,与仅仅运营商根证书的配置相反,其中现场工程师可能安装他可以为该目的而组成(make up)的任何证书。
又进一步地,使用证书的内部结构可能是专有的,由于它需要仅被一个供应商的网络节点所理解;如果在协议中传送,则仅编码和大小将必须被标准化,如果被人工配置至网络节点中,则将不需要标准化。
由本发明提供的主要优点如下。使用本发明,网络节点不需要由供应商或者由运营商利用运营商证书(或者任何其他运营商特定信息)来预先配置。因此,可达到运营商和供应商效率要求。同样利用本发明,可在网络节点最初连接至运营商网络期间完成相互认证(假设例如通过如现有技术中描述的手段由网络对网络节点进行认证,参见上面的方法2)),意味着达到安全性要求并且没有攻击窗口保持开放。
对于攻击者而言不可能欺骗网络节点接受所操纵的运营商证书,因为供应商将仅签署包含真正的运营商证书的使用证书。网络节点无法被用在不同于运营商网络的网络中,由于这样的网络将不拥有属于真正的运营商证书的私钥。
该过程可以包括以下措施:使得对于攻击者而言难以获得使用证书(例如,如果可能的话,将它仅交付给经认证的新的网络节点,在各实体之间的传输期间对它加密);然而,该过程的安全性不取决于这点。
与在介绍部分中所指示的现有技术相比,本发明提供至少以下优点。
-方法1)本发明提供较高安全性(由网络节点进行的对网络的认证)。
-方法2a)本发明提供相同的安全性但是不要求网络节点的预先配置,并且因此提供运营商所需的“即插即用”解决方案。
-方法2b)本发明提供较高安全性(相互认证,代替仅网络节点的认证)并且避免在2b中存在的脆弱性窗口。
相比于方法3和4)本发明允许指定单个运营商网络,在该运营商网络中节点将是可使用的,因此一个运营商无法劫持针对另一运营商交付的网络节点。
-方法3)本发明不要求将所有的可能的运营商证书配置至网络节点中
-方法4)本发明避免运营商的PKI和供应商的PKI之间的依赖性。
-方法5)利用本发明,供应商无需操作它自己的登记服务器。运营商无需关心网络节点和供应商登记服务器之间的连接性。供应商不卷入至运营商网络的操作中。
在装置的前述示例性描述中,已经使用功能块仅描述了与理解本发明的原理有关的单元。这些装置可以包括其各自的功能所必要的另外的单元。然而,在本说明书中省略了对这些单元的描述。所述装置的功能块的布置不被解释为限制本发明,并且所述功能可以由一个块或进一步划分出的子块来执行。
根据本发明的示例性实施例,系统可以包括被布置为如上面描述的那样协作的因此描绘的设备/装置和其他网络元件的任何可构想的组合。
本发明的实施例可以作为电路系统、以软件、硬件、应用逻辑或软件、硬件和应用逻辑的组合来实现。在示例实施例中,在各种传统计算机可读介质中的任何一种上维护应用逻辑、软件或指令集合。在本文档的上下文中,“计算机可读介质”可以是以下任何介质或构件,所述介质或构件可包含、存储、传送、传播或传输供指令执行系统、装置或设备(诸如计算机或智能电话)或者用户设备使用或与其结合的指令。
如在本申请中使用的,术语“电路系统”指的是以下各项中的所有:(a)仅硬件电路实现方式(诸如以仅模拟和/或数字电路系统的实现方式);以及(b)电路和软件(和/或固件)的组合,诸如(作为可应用的):一起工作以使装置(诸如移动电话或服务器)执行各种功能的(i)一个或多个处理器的组合或(ii)一个或多个处理器/软件(包括一个或多个数字信号处理器)、软件和一个或多个存储器的部分;以及(c)电路,诸如一个或多个微处理器或一个或多个微处理器的一部分,即使软件或固件在物理上不存在,其仍需要软件或固件来用于操作。
“电路系统”的该定义适用于该术语在本申请中(包括在任何权利要求中)的所有使用。作为另外的示例,如在本申请中使用的,术语“电路系统”还将涵盖仅处理器(或多个处理器)或处理器的一部分以及它的(或它们的)附属软件和/或固件的实现方式。术语“电路系统”还将涵盖(例如并且如果可应用于特定权利要求要素的话)用于移动电话的基带集成电路或应用处理器集成电路或者服务器、蜂窝网络设备或其他网络设备中的类似集成电路。
本发明特别是涉及但不限于移动通信,例如涉及但不限于GSM、HSDPA、UMTS、LTE、WCDMA、WIMAX和WLAN下的环境,并且还可有利地实现在可连接至这样的网络的控制器、基站、用户设备或智能电话或个人计算机。即,它可被实现例如作为至所连接的设备的芯片集/在至所连接的装置的芯片集中。
如果期望的话,本文讨论的不同功能可以按照不同的次序和/或彼此同时地执行。此外,如果期望的话,上述功能中的一个或多个可以是可选的或者可以被组合。
尽管在独立权利要求中阐述了本发明的各种方面,但是本发明的其他方面包括来自所描述的实施例和/或具有独立权利要求的特征的从属权利要求的特征的其他组合,而不仅在权利要求中明确阐述的组合。
还注意到本文中尽管上面描述了本发明的实施例,不应当在限制的意义上看待这些描述。相反,存在在不背离在所附权利要求中限定的本发明的范围的情况下可以进行的各种变化和修改。
在本说明书中所使用的缩写的以下含义适用:
3GPP 代合作伙伴计划
CA 认证授权
eNB 演进的节点B
EPS 演进的分组系统
PKI 公钥基础设施。
Claims (20)
1.一种方法,包括:
将网络节点标识和供应商证书配置在网络节点中;
创建用于网络节点的使用证书,所述使用证书由供应商利用签名来签署并且包含指示所述使用证书与该网络节点有关的验证信息和用于允许网络节点对网络进行认证的认证信息;
将所述使用证书传送至运营商网络的运营商;
当网络节点最初被连接至运营商网络时,网络节点向运营商请求所述使用证书;
网络节点确定在请求时接收的所述使用证书中的签名的有效性;以及
网络节点基于包含在所述使用证书中的信息来检查所接收到的使用证书是否实际上与最初被连接至运营商网络的网络节点有关。
2.根据权利要求1所述的方法,其中,所述认证信息包括至少一个运营商证书。
3.根据权利要求1或2所述的方法,其中,所述网络节点标识包括单个个体网络节点标识,所述方法还包括检查最初被连接至运营商网络的网络节点的网络节点标识是否与单个网络节点标识一致。
4.根据权利要求1或2所述的方法,其中,所述网络节点标识包括多个网络节点标识,所述方法还包括检查最初被连接至运营商网络的网络节点的网络节点标识是否被包括在所述多个网络节点标识中。
5.根据权利要求1至4中任一项所述的方法,其中,所述使用证书不由配置在网络节点中的供应商证书来直接签署,但是由经由被包括在所述使用证书中的证书链而链接至该证书的证书来签署。
6.根据权利要求1至5中任一项所述的方法,其中,所述使用证书被指定为特定有效期,所述方法还包括检查是否已经过了所接收到的使用证书的有效期。
7.根据权利要求1至6中任一项所述的方法,其中,当在请求时接收的使用证书中的签名被确定为无效和/或所接收到的使用证书不与最初被连接至运营商网络的网络节点有关的情况下,网络节点禁止对网络进行认证并且重复向运营商请求所述使用证书。
8.根据权利要求1至7中任一项所述的方法,其中,被传送至运营商的使用证书被嵌入在运营商网络中,并且经由运营商网络而被传送至网络节点。
9.根据权利要求1至7中任一项所述的方法,其中,当网络节点最初被连接至运营商网络时,被传送至运营商的使用证书由运营商网络外部的构件来传送至网络节点。
10.一种装置,包括:
存储构件,适合于存储网络节点标识和供应商证书;
处理构件,适合于在将网络节点安装在运营商网络中时,请求用于网络节点的使用证书,所述使用证书由供应商利用签名来签署并且包含指示所述使用证书与该网络节点有关的验证信息和用于允许网络节点对网络进行认证的认证信息;
确定构件,适合于确定在请求时接收的使用证书中的签名的有效性;以及
检查构件,适合于基于包含在所述使用证书中的信息来检查所接收到的使用证书是否实际上与最初被连接至运营商网络的网络节点有关。
11.根据权利要求10所述的装置,其中,所述认证信息包括至少一个运营商证书。
12.根据权利要求10或11所述的装置,其中,所述网络节点标识包括单个个体网络节点标识,并且所述检查构件适合于检查最初被连接至运营商网络的网络节点的网络节点标识是否与单个网络节点标识一致。
13.根据权利要求10或11所述的装置,其中,所述网络节点标识包括多个网络节点标识,并且所述检查构件适合于检查最初被连接至运营商网络的网络节点的网络节点标识是否被包括在所述多个网络节点标识中。
14.根据权利要求10至13中任一项所述的装置,其中,所述使用证书不由配置在网络节点中的供应商证书来直接签署,但是由经由被包括在所述使用证书中的证书链而链接至该证书的证书来签署。
15.根据权利要求10至14中任一项所述的装置,其中,所述使用证书被指定为特定有效期,并且所述检查构件适合于检查是否已经过了所接收到的使用证书的有效期。
16.根据权利要求10至15中任一项所述的装置,其中,当在请求时接收的使用证书中的签名被确定为无效和/或所接收到的使用证书不与最初被连接至运营商网络的网络节点有关的情况下,所述装置适合于禁止对网络进行认证并且重复向运营商请求所述使用证书。
17.根据权利要求10至16中任一项所述的装置,其中,被传送至运营商的使用证书被嵌入在运营商网络中,并且经由运营商网络而被传送至网络节点。
18.根据权利要求10至16中任一项所述的装置,其中,当网络节点最初被连接至运营商网络时,被传送至运营商的使用证书由运营商网络外部的构件来传送至网络节点。
19.一种计算机程序产品,包括计算机可执行的部件,当所述程序运行时,所述计算机可执行的部件被配置为执行根据权利要求1至9中任一项所述的方法。
20.根据权利要求19所述的计算机程序产品,其中,所述计算机程序产品包括其上存储有软件代码部分的计算机可读介质,或其中,所述程序直接可加载至处理设备的内部存储器中。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2012/070422 WO2014060013A1 (en) | 2012-10-15 | 2012-10-15 | Network authentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104704789A true CN104704789A (zh) | 2015-06-10 |
| CN104704789B CN104704789B (zh) | 2018-06-22 |
Family
ID=47080481
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280076420.7A Active CN104704789B (zh) | 2012-10-15 | 2012-10-15 | 网络认证 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9762569B2 (zh) |
| EP (1) | EP2907287B1 (zh) |
| CN (1) | CN104704789B (zh) |
| WO (1) | WO2014060013A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108990060A (zh) * | 2017-06-05 | 2018-12-11 | 中国移动通信集团公司 | 一种基站设备的证书分发系统及方法 |
| CN113785605A (zh) * | 2019-05-06 | 2021-12-10 | 西门子股份公司 | 认证方法及装置 |
| CN114978698A (zh) * | 2022-05-24 | 2022-08-30 | 中国联合网络通信集团有限公司 | 网络接入方法、目标终端、凭证管理网元及验证网元 |
| WO2023201550A1 (zh) * | 2022-04-19 | 2023-10-26 | 北京小米移动软件有限公司 | 信息处理方法及装置、通信设备及存储介质 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9473487B2 (en) * | 2014-08-15 | 2016-10-18 | Bank Of America Corporation | Network identity certificate pinning |
| US9525555B2 (en) * | 2014-12-18 | 2016-12-20 | Intel Corporation | Partitioning access to system resources |
| US10009336B2 (en) * | 2016-05-18 | 2018-06-26 | Cisco Technology, Inc. | Network security system to validate a server certificate |
| EP3291504B1 (en) * | 2016-08-30 | 2020-03-11 | Wacom Co., Ltd. | Authentication and secure transmission of data between signature devices and host computers using transport layer security |
| US11558202B2 (en) * | 2017-07-31 | 2023-01-17 | Cisco Technology, Inc. | Network device authentication |
| WO2020148222A1 (en) * | 2019-01-17 | 2020-07-23 | Nokia Technologies Oy | Network security |
| US11558363B2 (en) * | 2019-08-19 | 2023-01-17 | Verizon Patent And Licensing Inc. | Method and device for provisioning a node in a wireless network |
| US11038699B2 (en) | 2019-08-29 | 2021-06-15 | Advanced New Technologies Co., Ltd. | Method and apparatus for performing multi-party secure computing based-on issuing certificate |
| US20220006654A1 (en) * | 2020-07-02 | 2022-01-06 | EMC IP Holding Company LLC | Method to establish an application level ssl certificate hierarchy between master node and capacity nodes based on hardware level certificate hierarchy |
| US20220271947A1 (en) * | 2021-02-24 | 2022-08-25 | Cisco Technology, Inc. | Centralized Consent Vendors for Managing Network-Based Consent Contracts |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100185849A1 (en) * | 2007-06-11 | 2010-07-22 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangement for certificate handling |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1127835C (zh) * | 1999-04-09 | 2003-11-12 | 通用器材公司 | 有线电话适配器与相连信令控制器之间的密钥管理 |
| JP2002207427A (ja) * | 2001-01-10 | 2002-07-26 | Sony Corp | 公開鍵証明書発行システム、公開鍵証明書発行方法、および情報処理装置、情報記録媒体、並びにプログラム記憶媒体 |
| US7707406B2 (en) * | 2002-11-08 | 2010-04-27 | General Instrument Corporation | Certificate renewal in a certificate authority infrastructure |
| US8213408B1 (en) * | 2005-09-16 | 2012-07-03 | Genband Us Llc | Providing security in a multimedia network |
| CN101640886B (zh) | 2008-07-29 | 2012-04-25 | 上海华为技术有限公司 | 鉴权方法、重认证方法和通信装置 |
| US8176328B2 (en) * | 2008-09-17 | 2012-05-08 | Alcatel Lucent | Authentication of access points in wireless local area networks |
| WO2010145686A1 (en) * | 2009-06-15 | 2010-12-23 | Nokia Siemens Networks Oy | Gateway certificate creation and validation |
| US8301880B2 (en) * | 2009-11-09 | 2012-10-30 | Cisco Technology, Inc. | Certificate enrollment with purchase to limit sybil attacks in peer-to-peer network |
| US9197420B2 (en) * | 2010-01-06 | 2015-11-24 | International Business Machines Corporation | Using information in a digital certificate to authenticate a network of a wireless access point |
| US8627422B2 (en) * | 2010-11-06 | 2014-01-07 | Qualcomm Incorporated | Authentication in secure user plane location (SUPL) systems |
| US8627064B2 (en) * | 2011-03-24 | 2014-01-07 | Alcatel Lucent | Flexible system and method to manage digital certificates in a wireless network |
| CN102724102B (zh) * | 2011-03-29 | 2015-04-08 | 华为技术有限公司 | 与网管系统建立连接的方法、设备及通信系统 |
| US9288672B2 (en) * | 2013-09-23 | 2016-03-15 | Qualcomm Incorporated | Method for configuring a remote station with a certificate from a local root certificate authority for securing a wireless network |
-
2012
- 2012-10-15 US US14/435,578 patent/US9762569B2/en active Active
- 2012-10-15 WO PCT/EP2012/070422 patent/WO2014060013A1/en active Application Filing
- 2012-10-15 CN CN201280076420.7A patent/CN104704789B/zh active Active
- 2012-10-15 EP EP12778689.5A patent/EP2907287B1/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100185849A1 (en) * | 2007-06-11 | 2010-07-22 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangement for certificate handling |
Non-Patent Citations (2)
| Title |
|---|
| 3GPP SUPPORT OFFICE: "3rd Generation Partnership Project;Technical Specification Group Services and System Aspects;3GPP System Architecture Evolution (SAE);Security architecture", 《3GPP》 * |
| 3GPP SUPPORT OFFICE: "3rd Generation Partnership Project;Technical Specification Group Services and System Aspects;Network Domain Security;Authentication Framework", 《3GPP》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108990060A (zh) * | 2017-06-05 | 2018-12-11 | 中国移动通信集团公司 | 一种基站设备的证书分发系统及方法 |
| CN113785605A (zh) * | 2019-05-06 | 2021-12-10 | 西门子股份公司 | 认证方法及装置 |
| CN113785605B (zh) * | 2019-05-06 | 2024-04-09 | 西门子股份公司 | 认证方法及装置 |
| WO2023201550A1 (zh) * | 2022-04-19 | 2023-10-26 | 北京小米移动软件有限公司 | 信息处理方法及装置、通信设备及存储介质 |
| CN114978698A (zh) * | 2022-05-24 | 2022-08-30 | 中国联合网络通信集团有限公司 | 网络接入方法、目标终端、凭证管理网元及验证网元 |
| CN114978698B (zh) * | 2022-05-24 | 2023-07-28 | 中国联合网络通信集团有限公司 | 网络接入方法、目标终端、凭证管理网元及验证网元 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104704789B (zh) | 2018-06-22 |
| US20150264040A1 (en) | 2015-09-17 |
| US9762569B2 (en) | 2017-09-12 |
| EP2907287B1 (en) | 2016-06-29 |
| EP2907287A1 (en) | 2015-08-19 |
| WO2014060013A1 (en) | 2014-04-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104704789A (zh) | 网络认证 | |
| US11349831B2 (en) | Technique for downloading a network access profile | |
| CN107079007B (zh) | 用于基于证书的认证的方法、装置和计算机可读介质 | |
| CN105101194B (zh) | 终端安全认证方法、装置及系统 | |
| CN107784223B (zh) | 用于将证书传输到设备中的仪器的计算机装置 | |
| CN106257861B (zh) | 通过控制设备来和汽车通信的认证方法及其系统 | |
| KR101318306B1 (ko) | 인터넷 프로토콜 어드레스들의 제 3 자 유효화 | |
| CN106850680B (zh) | 一种用于轨道交通设备的智能身份认证方法及装置 | |
| CN109756447A (zh) | 一种安全认证方法及相关设备 | |
| CN102934470A (zh) | 用于在通信系统中将订户认证与设备认证绑定的方法和装置 | |
| CN103155614A (zh) | 漫游网络中接入终端身份的认证 | |
| CN101455053A (zh) | 对应用进行认证 | |
| CN112203271B (zh) | 一种通信连接方法、装置及系统 | |
| US11711693B2 (en) | Non-3GPP device access to core network | |
| CN110351725B (zh) | 通信方法和装置 | |
| US11917416B2 (en) | Non-3GPP device access to core network | |
| US20180069836A1 (en) | Tiered attestation for resource-limited devices | |
| CN108886530B (zh) | 企业移动管理中移动设备的激活方法和移动设备 | |
| Buschlinger et al. | Plug-and-patch: Secure value added services for electric vehicle charging | |
| CN101436931B (zh) | 无线通信系统中提供安全通信的方法、系统、基站与中继站 | |
| CN107040508B (zh) | 用于适配终端设备的授权信息的设备和方法 | |
| CN106304400A (zh) | 无线网络的ip地址分配方法和系统 | |
| CN106332084A (zh) | 一种无线网络的拓展方法、系统及无线网络 | |
| CN116887266A (zh) | 车辆数据访问方法、电子设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |