CN1659558B - 使用分层证书的基于中介器的交互工作 - Google Patents

使用分层证书的基于中介器的交互工作 Download PDF

Info

Publication number
CN1659558B
CN1659558B CN038129906A CN03812990A CN1659558B CN 1659558 B CN1659558 B CN 1659558B CN 038129906 A CN038129906 A CN 038129906A CN 03812990 A CN03812990 A CN 03812990A CN 1659558 B CN1659558 B CN 1659558B
Authority
CN
China
Prior art keywords
network
user
intermediary device
wlan
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN038129906A
Other languages
English (en)
Other versions
CN1659558A (zh
Inventor
张俊彪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thomson Licensing SAS
Original Assignee
Thomson Licensing SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thomson Licensing SAS filed Critical Thomson Licensing SAS
Publication of CN1659558A publication Critical patent/CN1659558A/zh
Application granted granted Critical
Publication of CN1659558B publication Critical patent/CN1659558B/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种用于在至少两个网络(210和220)之间的交互工作中的验证、授权和账户管理(AAA)的方法。所述至少两个网络能够与中介器(230)通信,并且包括第一网络和第二网络。第二网络从中介器接收中介器公共密钥,并且从对应于第一网络的用户的用户设备接收对于用户的第一网络证书。所述对于用户的第一网络证书通过第一网络私有密钥被签字,并且包括对于第一网络的中介器(230)证书和用户公共密钥。对于第一网络的中介器(230)证书通过中介器私有密钥被签字,并且包括第一网络(210)公共密钥。当第二网络(220)分别根据中介器(230)公共密钥和第一网络(210)公共密钥将对于第一网络(210)的中介器(230)证书和对于用户的第一网络(210)证书确定为可信时,从第二网络(220)向用户设备发送会话密钥。使用所述用户公共密钥来加密所述会话密钥。所述会话密钥用于使得用户设备可以访问第二网络。

Description

使用分层证书的基于中介器的交互工作
技术领域
本发明一般地涉及交互工作,具体涉及使用分层证书的、基于中介器的交互工作的验证、授权和账户管理(AAA)。
背景技术
通常,需要验证、授权和账户管理(AAA)来访问和利用网络,诸如蜂窝网络和无线局域网(WLAN)。在其中移动终端具有多重网络接入机构的环境中,在这些网络之中提供AAA交互工作很重要。但是,一般是这样的情况:所涉及的网络不属于同一个管理域,并且不共享相同的AAA方案。而且,蜂窝操作员难于与每个无线LAN操作员建立合同关系,反之亦然。而且,已经对于交互工作签约的移动用户应当不知道在交互工作中涉及的任何第三方,即他们仅仅需要保持单个账户,即,它们自己的蜂窝账户。
在蜂窝网络和WLAN之间存在两种主要类型的交互工作:紧密耦合和松散耦合。在松散耦合的情况下,WLAN和蜂窝网络具有独立的数据路径,但WLAN用户的AAA依靠蜂窝网络AAA功能。然而,蜂窝网络AAA协议(MAP/SS7)与由WLAN用户使用的基于因特网协议(IP)的协议不兼容。
为了解决不属于同一管理域并且不共享相同的AAA方案的网络的问题,已提出了特殊的交互工作功能或网关来在蜂窝网络和WLAN AAA方案之间搭桥。这些特殊功能中的某些需要适应蜂窝网络原籍位置登记器(HomeLocation Register,HLR);但是,由于许多原因这不是所期望的,尤其是从蜂窝操作员的角度来看。
针对在每个WLAN和蜂窝网络操作员之间建立合同的问题的传统的中介器模型都要求:中介器部署在实时移动用户验证中涉及的AAA引擎;这容易地建立了单个失败点。这些中介器模型的某些还要求:移动用户使用中介器来建立独立的账户;这对于用户很不方便。
因此,具有克服现有技术的交互工作AAA方案的上述问题的交互工作AAA方案是所需的和非常有益的。
发明内容
通过本发明、即,使用分层证书的基于中介器的交互工作的验证、授权和账户管理(AAA)来解决现有技术的上述问题以及其它相关联的问题。
本发明特别有益于、但是不限于在蜂窝数据网络和WLAN交互工作中的松散耦合情况。通过部署中介器,蜂窝操作员不必建立与每个无线LAN操作员的合同关系来进行交互工作。因此它比现有技术的手段更为可升级。而且,通过使用分层证书,中介器不必保留任何移动用户信息。移动用户可以仅仅使用它们的蜂窝账户来获得对于与它们的蜂窝操作员具有合同的无线LAN的接入。
按照本发明的一个方面,提供了一种用于在至少两个网络之间的交互工作中的验证、授权和账户管理(AAA)的方法。所述至少两个网络能够与中介器通信,并且包括第一网络和第二网络。第二网络从中介器接收中介器公共密钥,并且从与第一网络的用户对应的用户设备接收对于用户的第一网络证书。所述对于用户的第一网络证书通过第一网络私有密钥被签字,并且包括对于第一网络的中介器证书和用户公共密钥。对于第一网络的中介器证书通过中介器私有密钥被签字,并且包括第一网络公共密钥。当第二网络分别根据中介器公共密钥和第一网络公共密钥将对于第一网络的中介器证书和对于用户的第一网络证书确定为可信时,从第二网络向用户设备发送会话密钥。使用所述用户公共密钥来加密所述会话密钥。所述会话密钥用于使得用户设备可以访问第二网络。
按照本发明的一种在具有交互工作功能的无线局域网与第二网络之间交互工作的方法和设备,所述无线局域网和第二网络能够与中介器通信,所述方法包括下列步骤:从中介器接收第一密钥;从用户设备接收对于用户的第二网络证书,它包括对于第二网络的中介器证书和第二密钥;使用第一密钥验证对于第二网络的中介器证书以得到第三密钥;使用第三密钥来验证对于用户的第二网络证书以得到第二密钥;产生会话密钥,使用第二密钥来加密所述会话密钥,并且向用户设备发送被加密的会话密钥;以及使用被加密的会话密钥来与用户设备通信。
按照本发明的一种在具有交互工作功能的无线局域网与第二网络之间交互工作的方法和设备,所述无线局域网和第二网络能够与中介器通信,所述方法包括下列步骤:从中介器接收中介器公共密钥;从用户设备接收对于用户的第二网络证书,它使用第二网络私有密钥被签字,并且包括对于第二网络的中介器证书和用户公共密钥,所述对于第二网络的中介器证书以中介器私有密钥被签字,并且包括第二网络公共密钥;使用中介器公共密钥来验证对于第二网络的中介器证书,并且得到第二网络公共密钥;使用第二网络公共密钥来验证对于用户的第二网络证书,并且得到用户公共密钥;产生会话密钥,使用用户公共密钥来加密所述会话密钥,并且向用户设备发送被加密的会话密钥;以及使用被加密的会话密钥来与用户设备通信。
按照本发明的一种使用具有对第二网络的预订的用户设备与无线局域网通信的方法,所述第二网络与所述无线局域网具有交互工作配置,所述无线局域网和第二网络能够与中介器通信,所述方法包括下列步骤:从第二网络接收对于用户的第二网络证书,它以第二网络私有密钥被签字,并且包括对于网络的中介器证书和用户公共密钥;向无线局域网发送对于用户设备的第二网络证书,其中无线局域网能够使用从中介器接收的中介器公共密钥来得到用户公共密钥;从无线局域网接收使用用户公共密钥加密的会话密钥;使用用户私有密钥来解密所述会话密钥;以及使用解密的会话密钥与无线局域网通信。
通过参照附图下面详细说明优选实施例,本发明这些和其他方面、特征和优点将会变得清楚。
附图说明
图1是图解按照本发明的说明性实施例的、可以应用本发明的计算机系统100的方框图;
图2是图解按照本发明的说明性实施例的、可以应用本发明的通信结构的方框图;
图3是图解按照本发明的说明性实施例的、用于在接入网络之间的松散耦合交互工作中的移动用户的验证、授权和账户管理(AAA)的基于中介器的方法的流程图;
图4是图解按照本发明的说明性实施例的、用于在接入网络之间的松散耦合交互工作中的移动用户的验证、授权和账户管理(AAA)的基于证书的方法的流程图。
具体实施方式
本发明涉及使用分层证书的、基于中介器的交互工作的验证、授权和账户管理(AAA)。应当明白,本发明适用于接入网络的任何组合。但是,本发明尤其适用于蜂窝网络和无线局域网(WLAN)交互工作。
应当明白,本发明可以以各种形式的硬件、软件、固件、专用处理器或其组合来被实现。优选的是,本发明被实现为硬件和软件的组合。而且,所述软件优选地被实现为在程序存储器上明显地包含的应用程序。所述应用程序可以被上载到包括任何适当的架构的机器并且被其执行。优选的是,所述机器被实现在具有硬件的计算机平台上,所述硬件是诸如一个或多个中央处理单元(CPU)、随机存取存储器(RAM)和输入/输出接口。所述计算机平台也包括操作系统和微指令代码。在此所述的各种处理和功能可以是经由操作系统执行的所述微指令代码的一部分或应用程序的一部分(或其组合)。另外,各种其他的外围设备可以连接到计算机平台,诸如附加的数据存储器和打印设备。
还可以明白,因为在附图中所述的组成系统部件和方法步骤的一些最好以软件来实现,因此在系统部件(或处理步骤)之间的实际连接可能依赖于本发明被编程的方式而不同。在提供在此的讲授的情况下,本领域的普通技术人员能够考虑到本发明的这些和类似的实现方式或配置。
图1是图解按照本发明的说明性实施例的、可以应用本发明的计算机系统100的方框图。通过包括在本领域内公知的必要通信接口元件和处理元件,计算机系统100可以被实现在例如用于接入无线LAN或蜂窝网络的移动设备中或用于实现无线LAN的接入点中。在移动用户设备的情况下,计算机系统100将包括例如用于与所需要的无线接入网络通信的必要无线接口,以及用于编码和解码按照可适用的标准的消息的处理元件。计算机处理系统100包括至少一个处理器(CPU)102,用于经由系统总线104工作地耦接到其他部件。只读存储器(ROM)106、随机存取存储器(RAM)108、显示器适配器110、输入/输出适配器112、用户界面适配器114、声音适配器199和网络适配器198工作地耦接到系统总线104。
显示器116通过显示器适配器110工作地耦接到系统总线104。盘存储器(例如磁盘或光盘存储器)118通过输入/输出适配器112工作地耦接到系统总线104。鼠标120和键盘122通过用户界面适配器114工作地耦接到系统总线104。鼠标120和键盘122用于向系统100输入信息和从系统100输出信息。
至少一个扬声器(以下称为“扬声器”)197通过声音适配器199工作地耦接到系统总线104。
(数字和/或模拟)调制解调器196通过网络适配器198工作地连接到系统总线104。
本发明提供其中使用中介器的AAA手段。中介器用作证书权力机构而不是实时验证引擎。因此,中介器不再是单个的故障点。中介器向无线网络发出证书,无线网络继而向预订交互工作服务的独立移动用户发出它们自己的证书。
图2是图解按照本发明的说明性实施例的、可以被应用本发明的通信结构的方框图。在图2的说明性实施例中,所述通信结构包括蜂窝网络210、无线局域网(WLAN)220、中介器230和移动用户240。本发明提供基于证书的方案以向WLAN用户提供AAA服务。如上所述,本发明可以被应用到网络的任何组合,所述网络包括不同数量和不同类型的网络。
图3是图解按照本发明的说明性实施例的、用于在接入网络之间的松散耦合交互工作中的移动用户的验证、授权和账户管理(AAA)的基于中介器的方法的流程图。所述接入网络包括蜂窝网络和无线局域网(WLAN)。蜂窝网络与至少一个移动用户相关联。应当明白,虽然参照蜂窝网络和WLAN来说明图3的说明性实施例(以及下面图4的说明性实施例),但是可以在保持本发明的精神和范围的情况下按照本发明容易地使用网络的任何组合,其中包括在前的和其他类型的网络以及不同数量的网络(例如,一个蜂窝网络和三个WLAN、两个蜂窝网络和两个WLAN等)。还应当明白,在本发明的优选实施例中,可能存在移动用户已经初始地与其签订合同以用于服务的单个蜂窝网络和与所述单个蜂窝网络具有交互工作合同的多个WLAN。可以使用在WLAN和蜂窝网络之间的各种公知通信方法来实现所述交互工作合同。
从中介器向WLAN发送中介器的公共密钥Kpub_b,后者具有与蜂窝网络的交互工作合同(步骤305)。在蜂窝网络与一个以上的WLAN具有交互工作合同的情况下,中介器可以向所有这些WLAN发送所述公共密钥Kpub_b。优选但不强制的是,经由安全信道来发送中介器的所述公共密钥Kpub_b,以便WLAN可以保证所述公共密钥Kpub_b确实是所述中介器的公共密钥。
对于蜂窝网络的中介器证书被中介器颁发给蜂窝网络(步骤310)。所述对于蜂窝网络的中介器证书包括但是不限于下列:蜂窝网络的公共密钥Kpub_b;和蜂窝网络的ID。使用中介器的私有密钥Kpri_b来将对于蜂窝网络的中介器证书签字。
在移动用户为WLAN交互工作服务与蜂窝网络签约时,由蜂窝网络向移动用户发出对于移动用户的蜂窝网络证书(步骤315)。所述对于移动用户的蜂窝网络证书包括但是不限于下列:对于蜂窝网络的中介器证书;移动用户的公共密钥Kpub_m;移动用户预订级别(移动用户是否预订WLAN交互工作服务);对于移动用户的蜂窝网络证书的期满时间。使用蜂窝网络的私有密钥Kpri_cn来将对于移动用户的蜂窝网络证书签字。
在移动用户移动进入WLAN覆盖的区域时,移动用户向WLAN(例如接入点(AP)或WLAN的其他实体)发送他/她的证书(即,对于移动用户的蜂窝网络证书)(步骤320)。WLAN使用(在步骤305被发送到WLAN的)中介器的公共密钥Kpub_b确定(在对于移动用户的蜂窝网络证书中包括的)对于蜂窝网络的中介器证书是否是可信的(步骤325)。如果对于蜂窝网络的中介器证书不是可信的,则所述方法终止。但是,如果对于蜂窝网络的中介器证书是可信的,则WLAN(从在对于移动用户的蜂窝网络证书中包括的对于蜂窝网络的中介器证书)提取蜂窝网络的公共密钥Kpub_cn(步骤330)。使用蜂窝网络的公共密钥Kpub_cn,WLAN确定对于移动用户的蜂窝网络证书是否是可信的(步骤335)。
如果对于移动用户的蜂窝网络证书不是可信的,则所述方法终止。但是,如果对于移动用户的蜂窝网络证书是可信的,则WLAN从所述对于移动用户的蜂窝网络证书提取移动用户的公共密钥Kpub_m,并且向使用移动用户的公共密钥Kpub_m加密的移动用户发出会话密钥(步骤340)。所述会话密钥可以是但不限于每个用户的有线等效私有(WEP)密钥。
移动用户使用他/她的私有密钥Kpri_m来解密所述被加密的会话密钥(步骤345)。移动用户和WLAN使用会话密钥来通信(即,使用会话密钥来加密在移动用户和WLAN之间的所有后续通信)(步骤350)。移动用户被WLAN验证,因为仅仅特定的移动用户具有必要的解密所述会话密钥的私有密钥Kpri_m
图4是图解按照本发明的说明性实施例的、用于在接入网络之间的松散耦合交互工作中的移动用户的验证、授权和账户管理(AAA)的基于证书的方法的流程图。接入网络包括蜂窝网络和无线局域网(WLAN)。所述蜂窝网络与至少一个移动用户相关联。图4的方法允许在移动用户和WLAN之间的相互验证,以便移动用户也可以验证他/她确实在与合法的WLAN交谈(以防止例如消息被窥探)。
从中介器向WLAN发送中介器的公共密钥Kpub_b和对于WLAN的中介器证书,后者具有与蜂窝网络的交互工作合同(步骤405)。所述对于WLAN的中介器证书包括但是不限于下列:WLAN的公共密钥Kpub_w;WLAN的ID。使用中介器的私有密钥Kpri_b来将对于WLAN的中介器证书签字。
在蜂窝网络与一个以上的WLAN具有交互工作合同时,则中介器可以向所有这些WLAN发送公共密钥Kpub_b。优选但是不强制的是,中介器的公共密钥Kpub_b经由安全信道被发送,以便WLAN可以保证所述公共密钥Kpub_b确实是所述中介器的公共密钥。
中介器向蜂窝网络颁发对于蜂窝网络的中介器证书(步骤410)。所述对于蜂窝网络的中介器证书包括但是不限于下列:蜂窝网络的公共密钥Kpub_cn;蜂窝网络的ID;中介器的公共密钥Kpub_b。使用中介器的私有密钥Kpri_b来将对于蜂窝网络的中介器证书签字。
在移动用户为WLAN交互工作服务与蜂窝网络签约时,由蜂窝网络向移动用户发出对于移动用户的蜂窝网络证书(步骤415)。所述对于移动用户的蜂窝网络证书包括但是不限于下列:对于蜂窝网络的中介器证书;移动用户的公共密钥Kpub_m;移动用户预订级别(移动用户是否预订WLAN交互工作服务);对于移动用户的蜂窝网络证书的期满时间。使用蜂窝网络的私有密钥Kpri_cn来将对于移动用户的蜂窝网络证书签字。所述中介器的公共密钥Kpub_b也被发送到移动用户(步骤417)。
在移动用户移动进入WLAN覆盖的区域时,移动用户向WLAN(例如,接入点(AP)或WLAN的其他实体)发送他/她的证书(即对于移动用户的蜂窝网络证书)(步骤420)。WLAN使用(在步骤405发送到WLAN的)中介器的公共密钥Kpub_b确定(在对于移动用户的蜂窝网络证书中包括的)对于蜂窝网络的中介器证书是否是可信的(步骤425)。如果对于蜂窝网络的中介器证书不是可信的,则所述方法终止。但是,如果对于蜂窝网络的中介器证书是可信的,则WLAN(从在对于移动用户的蜂窝网络证书中包括的对于蜂窝网络的中介器证书)提取蜂窝网络的公共密钥Kpub_cn(步骤430)。使用蜂窝网络的公共密钥Kpub_cn,WLAN确定对于移动用户的蜂窝网络证书是否是可信的(步骤435)。
如果对于移动用户的蜂窝网络证书不是可信的,则所述方法终止。但是,如果对于移动用户的蜂窝网络证书是可信的,则WLAN提取移动用户的公共密钥Kpub_m,并且向使用移动用户的公共密钥Kpub_m加密并且通过WLAN的私有密钥Kpri_w签字的移动用户发出会话密钥,并且也向移动用户发送通过中介器的私有密钥Kpri_b签字的对于WLAN的中介器证书(步骤440)。对于WLAN的中介器证书包括WLAN的公共密钥Kpub_w。会话密钥可以是但不限于每个用户的有线等效私有(WEP)密钥。
移动用户使用中介器的公共密钥Kpub_b来确定对于WLAN的中介器证书是否是可信的(步骤442)。如果所述对于WLAN的中介器证书不是可信的,则所述方法终止。但是,如果对于WLAN的中介器证书是可信的,则移动用户从对于WLAN的中介器证书获得WLAN的公共密钥Kpub_w。移动用户使用WLAN的公共密钥Kpub_w来确定会话密钥是否是可信的(步骤444)。如果所述会话密钥不是可信的,则所述方法终止。
但是,如果所述会话密钥是可信的,则移动用户使用他/她的私有密钥Kpri_m来解密被加密的会话密钥(步骤445)。移动用户和WLAN使用会话密钥通信(即,使用会话密钥来加密在移动用户和WLAN之间的所有后续通信)(步骤450)。
虽然在此已经参照附图描述了说明性实施例,但是应当明白,本发明不限于那些精确的实施例,可以在不脱离本发明的范围和精神的情况下由本领域的技术人员在其中进行各种其他改变和修改。所有这样的改变和修改意欲被包括在由所附的权利要求所限定的本发明范围内。

Claims (17)

1.一种在具有交互工作功能的无线局域网与第二网络之间交互工作的方法,所述无线局域网和第二网络能够与中介器通信,所述方法包括下列步骤:
从中介器接收第一密钥;
从用户设备接收对于用户的第二网络证书,它包括对于第二网络的中介器证书和第二密钥;
使用第一密钥验证对于第二网络的中介器证书以得到第三密钥;
使用第三密钥来验证对于用户的第二网络证书以得到第二密钥;
产生会话密钥,使用第二密钥来加密所述会话密钥,并且向用户设备发送被加密的会话密钥;以及
使用被加密的会话密钥来与用户设备通信。
2.按照权利要求1的方法,其中对于用户的第二网络证书还包括用户预订级别,它指示用户是否预订交互工作服务,并且响应于用户预订级别来执行产生步骤。
3.按照权利要求1的方法,其中对于用户的第二网络证书还包括对于用户的第二网络证书的期满时间,所述方法还包括:查看所述期满时间以确定对于用户的第二网络证书是否已经过期。
4.按照权利要求1的方法,还包括:产生使用第五密钥签字并且包括会话密钥的对于用户的无线局域网证书,由此能够验证无线局域网。
5.一种在具有交互工作功能的无线局域网与第二网络之间交互工作的方法,所述无线局域网和第二网络能够与中介器通信,所述方法包括下列步骤:
从中介器接收中介器公共密钥;
从用户设备接收对于用户的第二网络证书,它使用第二网络私有密钥被签字,并且包括对于第二网络的中介器证书和用户公共密钥,所述对于第二网络的中介器证书以中介器私有密钥被签字,并且包括第二网络公共密钥;
使用中介器公共密钥来验证对于第二网络的中介器证书,并且得到第二网络公共密钥;
使用第二网络公共密钥来验证对于用户的第二网络证书,并且得到用户公共密钥;
产生会话密钥,使用用户公共密钥来加密所述会话密钥,并且向用户设备发送被加密的会话密钥;以及
使用被加密的会话密钥来与用户设备通信。
6.按照权利要求5的方法,其中对于用户的第二网络证书还包括用户的预订级别,它指示用户是否预订交互工作服务,并且响应于预订级别来执行产生步骤。
7.按照权利要求5的方法,其中对于用户的第二网络证书还包括对于用户的第二网络证书的期满时间,所述方法还包括:查看所述期满时间以确定对于用户的第二网络证书是否已经过期。
8.按照权利要求5的方法,还包括:向用户设备提供验证无线局域网的能力。
9.按照权利要求8的方法,其中提供步骤包括下列步骤:
接收对于无线局域网的中介器证书,它以中介器私有密钥被签字并且包括无线局域网私有密钥;
产生对于用户的无线局域网证书,它以无线局域网私有密钥被签字,并且包括被加密的会话密钥;和
发送对于用户的无线局域网证书。
10.一种使用具有对第二网络的预订的用户设备与无线局域网通信的方法,所述第二网络与所述无线局域网具有交互工作配置,所述无线局域网和第二网络能够与中介器通信,所述方法包括下列步骤:
从第二网络接收对于用户的第二网络证书,它以第二网络私有密钥被签字,并且包括对于网络的中介器证书和用户公共密钥;
向无线局域网发送对于用户设备的第二网络证书,其中无线局域网能够使用从中介器接收的中介器公共密钥来得到用户公共密钥;
从无线局域网接收使用用户公共密钥加密的会话密钥;
使用用户私有密钥来解密所述会话密钥;以及
使用解密的会话密钥与无线局域网通信。
11.按照权利要求10的方法,其中对于用户的第二网络证书还包括用户的预订级别,它指示用户是否预订交互工作服务。
12.按照权利要求10的方法,其中对于用户的第二网络证书还包括对于用户的第二网络证书的期满时间,如果期满时间还未过期则执行所述发送步骤。
13.按照权利要求10的方法,其中所述接收会话密钥的步骤包括接收以中介器私有密钥签字并且包括会话密钥的对于用户的无线局域网证书,并且还包括:接收中介器公共密钥,并且使用中介器公共密钥来验证对于用户的无线局域网证书和得到会话密钥。
14.一种在具有交互工作功能的无线局域网与第二网络之间交互工作的设备,所述无线局域网和第二网络能够与中介器通信,该设备包括:
用于从中介器接收中介器公共密钥的部件;
用于从用户设备接收对于用户的第二网络证书的部件,所述第二网络证书使用第二网络私有密钥被签字,并且包括对于第二网络的中介器证书和用户公共密钥,所述对于第二网络的中介器证书以中介器私有密钥被签字,并且包括第二网络公共密钥;
用于使用中介器公共密钥来验证对于第二网络的中介器证书并且得到第二网络公共密钥的部件;
用于使用第二网络公共密钥来验证对于用户的第二网络证书并且得到用户公共密钥的部件;
用于产生会话密钥、使用用户公共密钥来加密所述会话密钥、以及向用户设备发送被加密的会话密钥的部件;以及
用于使用被加密的会话密钥来与用户设备通信的部件。
15.按照权利要求14的设备,还包括:
用于接收对于无线局域网的中介器证书的部件,所述中介器证书以中介器私有密钥被签字并且包括无线局域网私有密钥;
用于产生对于用户的无线局域网证书的部件,所述无线局域网证书以无线局域网私有密钥被签字,并且包括被加密的会话密钥;和
用于发送对于用户的无线局域网证书的部件。
16.一种在具有交互工作功能的无线局域网与第二网络之间交互工作的设备,所述无线局域网和第二网络能够与中介器通信,该设备包括:
用于从中介器接收第一密钥的部件;
用于从用户设备接收对于用户的第二网络证书的部件,所述对于用户的第二网络证书包括对于第二网络的中介器证书和第二密钥;
用于使用第一密钥验证对于第二网络的中介器证书以得到第三密钥的部件;
用于使用第三密钥来验证对于用户的第二网络证书以得到第二密钥的部件;
用于产生会话密钥、使用第二密钥来加密所述会话密钥、以及向用户设备发送被加密的会话密钥的部件;和
用于使用被加密的会话密钥来与用户设备通信的部件。
17.按照权利要求16的设备,其中所述第二网络是蜂窝网络。
CN038129906A 2002-06-06 2003-05-27 使用分层证书的基于中介器的交互工作 Expired - Fee Related CN1659558B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US38660302P 2002-06-06 2002-06-06
US60/386,603 2002-06-06
PCT/US2003/016546 WO2003105049A1 (en) 2002-06-06 2003-05-27 Broker-based interworking using hierarchical certificates

Publications (2)

Publication Number Publication Date
CN1659558A CN1659558A (zh) 2005-08-24
CN1659558B true CN1659558B (zh) 2010-09-22

Family

ID=29736185

Family Applications (1)

Application Number Title Priority Date Filing Date
CN038129906A Expired - Fee Related CN1659558B (zh) 2002-06-06 2003-05-27 使用分层证书的基于中介器的交互工作

Country Status (9)

Country Link
US (1) US8468354B2 (zh)
EP (1) EP1514208A4 (zh)
JP (1) JP4792221B2 (zh)
KR (1) KR101002471B1 (zh)
CN (1) CN1659558B (zh)
AU (1) AU2003237252A1 (zh)
BR (1) BR0305019A (zh)
MX (1) MXPA04012157A (zh)
WO (1) WO2003105049A1 (zh)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1215386C (zh) * 2002-04-26 2005-08-17 St微电子公司 根据量子软计算控制过程或处理数据的方法和硬件体系结构
KR101002471B1 (ko) 2002-06-06 2010-12-17 톰슨 라이센싱 계층적 인증을 이용하는 브로커-기반 연동
AU2003243346A1 (en) * 2002-06-06 2003-12-22 Thomson Licensing S.A. Interworking function (iwf) as logical radio network controller (rnc) for hybrid coupling in an interworking between wlan and a mobile communications network
JP2006139747A (ja) * 2004-08-30 2006-06-01 Kddi Corp 通信システムおよび安全性保証装置
DE102004045147A1 (de) * 2004-09-17 2006-03-23 Fujitsu Ltd., Kawasaki Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
US7614080B2 (en) * 2005-12-28 2009-11-03 Panasonic Electric Works Co., Ltd. Systems and methods for providing secure access to embedded devices using a trust manager and a security broker
US7908292B2 (en) * 2006-12-05 2011-03-15 Nokia Corporation Metadata broker
US20090259851A1 (en) * 2008-04-10 2009-10-15 Igor Faynberg Methods and Apparatus for Authentication and Identity Management Using a Public Key Infrastructure (PKI) in an IP-Based Telephony Environment
CN102461273B (zh) * 2009-06-10 2014-07-09 苹果公司 提供表明能够与第二接入网络互通的第一接入网络存在的指示符
US8914628B2 (en) 2009-11-16 2014-12-16 At&T Intellectual Property I, L.P. Method and apparatus for providing radio communication with an object in a local environment
US9215220B2 (en) 2010-06-21 2015-12-15 Nokia Solutions And Networks Oy Remote verification of attributes in a communication network
EP2617223B1 (en) * 2010-09-17 2020-10-21 Nokia Solutions and Networks Oy Remote verification of attributes in a communication network
US10205598B2 (en) 2015-05-03 2019-02-12 Ronald Francis Sulpizio, JR. Temporal key generation and PKI gateway
US10687212B2 (en) * 2017-04-07 2020-06-16 At&T Mobility Ii Llc Mobile network core component for managing security keys
US10959167B1 (en) * 2020-05-06 2021-03-23 Verizon Patent And Licensing Inc. System and method for 5G service icon display and quality of service enforcement

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1249096A (zh) * 1997-01-31 2000-03-29 摩托罗拉公司 加密与解密方法及装置
CN1299544A (zh) * 1998-07-15 2001-06-13 国际商业机器公司 确定通信连接中的参与方的信任级别的方法

Family Cites Families (54)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5455863A (en) 1993-06-29 1995-10-03 Motorola, Inc. Method and apparatus for efficient real-time authentication and encryption in a communication system
US5371794A (en) 1993-11-02 1994-12-06 Sun Microsystems, Inc. Method and apparatus for privacy and authentication in wireless networks
EP0658021B1 (en) 1993-12-08 2001-03-28 International Business Machines Corporation A method and system for key distribution and authentication in a data communication network
JP3453944B2 (ja) 1995-09-04 2003-10-06 日本電信電話株式会社 秘話通信方法
AU2307497A (en) 1996-04-10 1997-10-29 Kyowa Yuka Co., Ltd. Process for the dimerization of lower olefins
US5850444A (en) 1996-09-09 1998-12-15 Telefonaktienbolaget L/M Ericsson (Publ) Method and apparatus for encrypting radio traffic in a telecommunications network
US20010010046A1 (en) * 1997-09-11 2001-07-26 Muyres Matthew R. Client content management and distribution system
US6393482B1 (en) 1997-10-14 2002-05-21 Lucent Technologies Inc. Inter-working function selection system in a network
FI974341A (fi) 1997-11-26 1999-05-27 Nokia Telecommunications Oy Datayhteyksien tietosuoja
US6069947A (en) 1997-12-16 2000-05-30 Nortel Networks Corporation Communication system architecture and operating protocol therefor
US6535493B1 (en) 1998-01-15 2003-03-18 Symbol Technologies, Inc. Mobile internet communication protocol
US6233577B1 (en) 1998-02-17 2001-05-15 Phone.Com, Inc. Centralized certificate management system for two-way interactive communication devices in data networks
US6553493B1 (en) 1998-04-28 2003-04-22 Verisign, Inc. Secure mapping and aliasing of private keys used in public key cryptography
FI105965B (fi) 1998-07-07 2000-10-31 Nokia Networks Oy Autentikointi tietoliikenneverkosssa
US6115699A (en) 1998-12-03 2000-09-05 Nortel Networks Corporation System for mediating delivery of a document between two network sites
JP2000244547A (ja) 1999-02-17 2000-09-08 Nippon Telegr & Teleph Corp <Ntt> 認証方法
US6463534B1 (en) 1999-03-26 2002-10-08 Motorola, Inc. Secure wireless electronic-commerce system with wireless network domain
CN1293720C (zh) 1999-05-21 2007-01-03 国际商业机器公司 初始化无线设备间安全通信和对其专用配对的方法和装置
US6772331B1 (en) 1999-05-21 2004-08-03 International Business Machines Corporation Method and apparatus for exclusively pairing wireless devices
FI107486B (fi) 1999-06-04 2001-08-15 Nokia Networks Oy Autentikaation ja salauksen järjestäminen matkaviestinjärjestelmässä
US7174018B1 (en) 1999-06-24 2007-02-06 Nortel Networks Limited Security framework for an IP mobility system using variable-based security associations and broker redirection
US7028186B1 (en) 2000-02-11 2006-04-11 Nokia, Inc. Key management methods for wireless LANs
FI20000761A0 (fi) 2000-03-31 2000-03-31 Nokia Mobile Phones Ltd Laskutus pakettidataverkossa
US6766160B1 (en) 2000-04-11 2004-07-20 Nokia Corporation Apparatus, and associated method, for facilitating authentication of communication stations in a mobile communication system
US6451295B1 (en) * 2000-08-31 2002-09-17 Colgate-Palmolive Company Clear antiperspirants and deodorants made with siloxane-based polyamides
GB2367213B (en) 2000-09-22 2004-02-11 Roke Manor Research Access authentication system
US6915345B1 (en) 2000-10-02 2005-07-05 Nortel Networks Limited AAA broker specification and protocol
GB2369530A (en) 2000-11-24 2002-05-29 Ericsson Telefon Ab L M IP security connections for wireless authentication
US6961776B1 (en) * 2000-12-22 2005-11-01 Nortel Networks Limited Architecture for multiple channel access to applications
FI110977B (fi) 2001-02-09 2003-04-30 Nokia Oyj Mekanismi palvelujen mainostamista ja käyttäjän auktorisointia varten
SE0100474D0 (sv) 2001-02-14 2001-02-14 Ericsson Telefon Ab L M A security architecture
US6879690B2 (en) 2001-02-21 2005-04-12 Nokia Corporation Method and system for delegation of security procedures to a visited domain
US20020120536A1 (en) 2001-02-23 2002-08-29 David Maung Financial institution wireless internet system and method
US20020174335A1 (en) 2001-03-30 2002-11-21 Junbiao Zhang IP-based AAA scheme for wireless LAN virtual operators
US7921290B2 (en) * 2001-04-18 2011-04-05 Ipass Inc. Method and system for securely authenticating network access credentials for users
JP4042344B2 (ja) * 2001-04-25 2008-02-06 松下電工株式会社 ウォールウォッシャー型照明器具
US6856800B1 (en) 2001-05-14 2005-02-15 At&T Corp. Fast authentication and access control system for mobile networking
US7653815B2 (en) * 2001-06-12 2010-01-26 Research In Motion Limited System and method for processing encoded messages for exchange with a mobile data communication device
US7389412B2 (en) 2001-08-10 2008-06-17 Interactive Technology Limited Of Hk System and method for secure network roaming
US7207060B2 (en) * 2001-10-18 2007-04-17 Nokia Corporation Method, system and computer program product for secure ticketing in a communications device
KR100882033B1 (ko) 2001-11-29 2009-02-09 지멘스 악티엔게젤샤프트 네트워크 오퍼레이터 및 사업 파트너들에 대한 원격통신 가입자의 인증 및 허가를 위한 단말기 내의 공개키 키 쌍의 사용
SE0104325D0 (sv) 2001-12-20 2001-12-20 Ericsson Telefon Ab L M A method and apparatus for switching access between mobile networks
US20030139180A1 (en) 2002-01-24 2003-07-24 Mcintosh Chris P. Private cellular network with a public network interface and a wireless local area network extension
US20030211842A1 (en) 2002-02-19 2003-11-13 James Kempf Securing binding update using address based keys
US6792534B2 (en) 2002-03-22 2004-09-14 General Instrument Corporation End-to end protection of media stream encryption keys for voice-over-IP systems
BRPI0309523B1 (pt) 2002-04-26 2016-08-30 Thomson Licensing Sa método para permitir um dispositivo de usuário ganhar acesso a uma lan sem fios e método para acessar uma lan sem fios usando um dispositivo de usuário
KR100427551B1 (ko) * 2002-05-14 2004-04-28 에스케이 텔레콤주식회사 공중 무선랜과 셀룰러망 간의 로밍 방법
KR101002471B1 (ko) 2002-06-06 2010-12-17 톰슨 라이센싱 계층적 인증을 이용하는 브로커-기반 연동
KR101010806B1 (ko) * 2002-06-21 2011-01-25 톰슨 라이센싱 Wlan-umts 인터워킹을 위한 umts 라우팅영역으로서 wlan의 등록
EP1532826B1 (en) * 2002-06-21 2019-03-27 Thomson Licensing Multimedia content delivery through wlan coverage area
US7581095B2 (en) 2002-07-17 2009-08-25 Harris Corporation Mobile-ad-hoc network including node authentication features and related methods
ITRM20030100A1 (it) * 2003-03-06 2004-09-07 Telecom Italia Mobile Spa Tecnica di accesso multiplo alla rete, da parte di terminale di utente interconnesso ad una lan e relativa architettura di riferimento.
GB2402842B (en) 2003-06-12 2005-06-08 Nec Technologies Mobile radio communications device
DE602004010683T2 (de) 2003-08-29 2009-01-02 Thomson Licensing Verfahren und vorrichtung zur modellierung von filmkorn-mustern im frequenzbereich

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1249096A (zh) * 1997-01-31 2000-03-29 摩托罗拉公司 加密与解密方法及装置
CN1299544A (zh) * 1998-07-15 2001-06-13 国际商业机器公司 确定通信连接中的参与方的信任级别的方法

Also Published As

Publication number Publication date
EP1514208A1 (en) 2005-03-16
JP4792221B2 (ja) 2011-10-12
US8468354B2 (en) 2013-06-18
WO2003105049A1 (en) 2003-12-18
EP1514208A4 (en) 2010-11-17
AU2003237252A1 (en) 2003-12-22
MXPA04012157A (es) 2005-04-19
BR0305019A (pt) 2004-11-09
KR101002471B1 (ko) 2010-12-17
CN1659558A (zh) 2005-08-24
US20050240760A1 (en) 2005-10-27
JP2005529525A (ja) 2005-09-29
KR20050010859A (ko) 2005-01-28

Similar Documents

Publication Publication Date Title
CN101150857B (zh) 用于松散耦合互操作的基于证书的认证授权计费方案
KR100985869B1 (ko) 엔티티의 제 1 아이덴티티 및 제 2 아이덴티티 검증 방법
CN101183938B (zh) 一种无线网络安全传输方法、系统及设备
CN1659558B (zh) 使用分层证书的基于中介器的交互工作
CN102006276B (zh) 经由次级或经分割信令通信路径的许可证发放和证书分发
CN100373991C (zh) 一种分组网络中语音通信的加密协商方法
US20060271785A1 (en) Method for producing key material
WO2004034645A1 (ja) Wlan相互接続における識別情報の保護方法
JP2005524262A5 (zh)
CN101416541A (zh) 移动通信设备的电话号码发现以及电话号码认证的方法和系统
CN102143492B (zh) Vpn连接建立方法、移动终端、服务器
CN101232371B (zh) 一种流媒体业务水平组网架构下数字签名的验证方法
CN1885768B (zh) 一种环球网认证方法
JP6153622B2 (ja) インターネットプロトコルマルチメディアサブシステム端末のネットワークへのアクセス方法及び装置
CN100375410C (zh) 一种位置信息传输的方法
KR20050033255A (ko) 무선 인터넷 사용자 인증 방법 및 시스템
Schنfer et al. Current Approaches to Authentication in Wireless and Mobile Communications Networks
EP1843541B1 (en) A method of securing communication between an access network and a core network
CN101529796B (zh) Tetra网络中的移动台验证
KR101719295B1 (ko) 메시징 서비스 시스템 및 방법
KR20030092851A (ko) 무선통신을 위한 패킷데이터 생성 방법과, 이를 이용한무선통신 방법 및 그 장치

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100922

Termination date: 20120527