一种基于信任列表的系统及方法
阅读:4发布:2020-06-03
专利汇可以提供一种基于信任列表的系统及方法专利检索,专利查询,专利分析的服务。并且本 发明 公开了一种基于信任列表的系统,该系统中的运营商公钥 基础 设施证书库/证书撤销列表(OPKI CR/CRL)用于存储根证书,并添加到信任列表;以及收到运营商公钥基础设施 授权中心 /注册中心(OPKI RA/CA)发送的证书 请求 消息,从信任列表中检索与证书请求消息相对应的根证书,返回检索到的根证书给OPKI RA/CA。本发明公开了一种基于信任列表的方法,OPKI CR/CRL从信任列表中检索对应的根证书返回给OPKI RA/CA。采用本发明的系统及方法,实现了基于信任列表的PKI模型的系统架构及其具体管理流程,从而满足了回程网安全的需求。,下面是一种基于信任列表的系统及方法专利的具体信息内容。
1.一种基于信任列表的系统,其特征在于,该系统包括:公钥基础设施授权中心/注册中心(OPKI RA/CA)和公钥基础设施证书库/证书撤销列表(OPKICR/CRL);其中,OPKI RA/CA,用于将获取的根证书发送到OPKI CR/CRL中存储;以及向OPKI CR/CRL发送证书请求消息;
OPKI CR/CRL,用于存储所述根证书,并添加到信任列表;以及收到OPKIRA/CA发送的所述证书请求消息,从所述信任列表中检索与所述证书请求消息相对应的根证书,返回检索到的所述根证书给所述OPKI RA/CA。
2.根据权利要求1所述的系统,其特征在于,所述OPKI RA/CA和OPKICR/CRL隶属于运营商;所述根证书为设备商的根证书。
3.根据权利要求1所述的系统,其特征在于,该系统还包括:设备商公钥基础设施授权中心/注册中心(VPKI RA/CA),用于与所述OPKI RA/CA以安全的方式进行交互,并将正确的设备商根证书发送给所述OPKI RA/CA;
所述OPKI RA/CA,进一步用于以安全的方式从VPKI RA/CA获取到正确的设备商根证书;其中,实现所述获取的方式包括:带内方式或带外方式。
4.根据权利要求1至3中任一项所述的系统,其特征在于,该系统还包括:安全网关(SeGW),用于在本地存储有信任列表的情况下,在认证设备商颁发的增强型基站(eNB)证书的情况时,先检索本地信任列表中是否存储有设备商根证书,如果有,则采用设备商根证书完成对eNB证书的认证;否则,转而向所述OPKI RA/CA发送证书请求消息;
所述SeGW,还用于在本地未存储有信任列表的情况下,在认证设备商颁发的eNB证书的情况时,直接向所述OPKI RA/CA发送证书请求消息。
5.根据权利要求4所述的系统,其特征在于,所述OPKI RA/CA,进一步用于将从所述SeGW收到的证书请求消息,转发给所述OPKI CR/CRL进行设备商根证书的检索;以及将所述OPKI CR/CRL检索到的设备商根证书返回给所述SeGW,由SeGW采用设备商根证书实现对eNB证书的认证。
6.根据权利要求5所述的系统,其特征在于,该系统还包括:eNB,用于通过与所述SeGW的认证交互,完成因特网密钥交换协议(IKE)连接;其中,
所述认证交互包括:所述SeGW接收到所述eNB发送的因特网密钥交换协议认证(IKE_AUTH)请求消息,对IKE_AUTH请求消息中的加密载荷解密,取出证书选项(CERT)中的eNB证书,对IKE_AUTH请求消息中的认证载荷(AUTH)进行认证;发起对设备商颁发的eNB证书真实性的认证。
7.一种基于信任列表的方法,其特征在于,该方法包括:
OPKI RA/CA将获取的根证书发送到OPKI CR/CRL;OPKI CR/CRL存储所述根证书,并添加到信任列表;
OPKI RA/CA向OPKI CR/CRL发送证书请求消息;OPKI CR/CRL收到OPKI RA/CA发送的所述证书请求消息,从所述信任列表中检索与所述证书请求消息相对应的根证书,返回检索到的根证书给所述OPKI RA/CA。
8.根据权利要求7所述的方法,其特征在于,所述根证书为设备商的根证书;所述OPKI RA/CA获取所述设备商根证书具体包括:所述OPKI RA/CA以安全的方式与VPKI RA/CA交互,并从VPKI RA/CA获取到正确的设备商根证书;
其中,实现所述获取的方式包括:带内方式或带外方式。
9.根据权利要求7或8所述的方法,其特征在于,该方法进一步包括:eNB通过与SeGW的认证交互,完成IKE连接;其中,
所述认证交互包括:所述SeGW接收到所述eNB发送的IKE_AUTH请求消息,对IKE_AUTH请求消息中的加密载荷解密,取出CERT证书选项中的eNB证书,对IKE_AUTH请求消息中的AUTH进行认证;发起对设备商颁发的eNB证书真实性的认证。
10.根据权利要求9所述的方法,其特征在于,SeGW在本地未存储有信任列表的情况下,所述SeGW发起对所述eNB证书真实性的认证之前,还包括:
所述SeGW向所述OPKI RA/CA发送证书请求消息;所述OPKI RA/CA将所述证书请求消息转发给所述OPKI CR/CRL进行设备商根证书的检索;
OPKI RA/CA将OPKI CR/CRL检索到的设备商根证书返回给SeGW,由SeGW采用设备商根证书实现对eNB证书的认证。
11.根据权利要求9所述的方法,其特征在于,SeGW在本地存储有信任列表的情况下,所述SeGW发起对所述eNB证书真实性的认证的过程包括:
所述SeGW先检索本地信任列表中是否存储有设备商根证书;如果有,则采用所述设备商根证书完成对eNB证书的认证;否则,转而向所述OPKI RA/CA发送证书请求消息;
所述OPKI RA/CA将所述证书请求消息转发给所述OPKI CR/CRL进行设备商根证书的检索;
OPKI RA/CA将OPKI CR/CRL检索到的设备商根证书返回给SeGW,由SeGW采用设备商根证书实现对eNB证书的认证。
一种基于信任列表的系统及方法
技术领域
背景技术
[0002] 移动回程网的安全问题受到越来越多的关注。第三代合作伙伴计划(3GPP,3rd Generation Partnership Project)、宽带论坛(BBF,Broadband Forum)和下一代移动网络(NGMN,Next Generation Mobile Networks)等组织对移动回程网的安全需求进行了较为深入的分析。
[0003] 3GPP TS 33.401中提出基于网络域安全机制(NDS,Network Domain Security)的相关规范保护移动回程网安全。然而,NDS是针对网络域安全提出的规范,需要依据回程网特殊的需求进行增强,其中一个有待增强的方面就是PKI(Public Key Infrastructure)信任模型的系统架构及其具体的方法流程。
[0004] 为了满足这方面的增强需求,目前NDS中引入了基于交叉证书的PKI信任模型,以下对该基于交叉证书的PKI信任模型进行阐述。
[0005] NDS PKI信任模型的总体要求如下:简单、容易部署;与现有标准兼容;适用于通用分组无线业务漫游交换(GRX,GPRS Roaming Exchange)和non-GRX运营商。
[0006] 基于以上原则,在TS 33.310中引入了直接交叉的PKI信任模型,解决了跨域认证的问题。
[0007] TS 33.310中的交叉证书信任模型如图1所示,图1中,以 表示因特网密钥交换协议(IKE,Internet Key Exchange)连接;以 表示以太网交换路径(ESP)隧道(tunnel);以 表示签发证书(Issues a certificate)。如果授权机构A同授权机构B实现了交叉认证,授权机构A就信任授权机构B签发的证书。交叉认证过程使得认证机构双方的用户可以验证对方授权的证书。当域间互联协定建立后,互联证书授权(CA,Certificate Authority)可以依据互联协定,为对方运营商的安全网关证书授权(SEG CA,Security Gateway Certificate Authority)签发交叉证书,生成的交叉证书仅部署在本地,基于交叉证书可以完成跨域的认证。
[0008] 然而,在回程网环境中,基于交叉证书的PKI信任模型并不能完全解决认证问题,也就是说,该基于交叉证书的PKI信任模型并不能完全满足回程网安全的需求。
[0009] 在回程网中,为了满足安全通信的需求,增强型基站(eNB,Evolved NodeB)需要运营商签发的证书。但由于在回程网中支持后期绑定,那么eNB不能预先配置运营商的证书、或者运营商的交叉证书。eNB在初始接入认证时,或者在申请运营商证书时,需要通过运营商接入控制设备的认证。而此时eNB仅仅拥有设备商颁发的证书,此证书需要设备商根证书进行认证,所以接入控制设备需要拥有设备商根证书。此外,运营商可能部署多个厂家的eNB设备,那么就需要所有这些厂商的根证书,这就需要运营商建立信任列表的PKI信任模型,将这些设备商根证书都加入信任列表中。由于eNB对运营商的认证可以用交叉证书的方式,因此,为了完全满足回程网安全的需求,在回程网中需要基于信任列表的PKI模型和基于交叉证书的PKI模型的结合。
[0010] 如果在回程网中引入基于信任列表的PKI模型,必须对该模型进行有效地管理。在RFC4158分析了信任列表方式的缺点,信任列表安全性较差,终端用户的能力有限。如果信任列表中的根CA中有一个CA的私钥被泄露,即使其它根CA仍然完好无损,安全性也将被破坏。如果一个欺诈的根CA证书加入了信任列表,那么整个系统的也将受到破坏。信任列表中的根证书都是自签名证书,也给管理带来了一定难度。为了保障信任列表模型的安全,必须提出有效的管理流程,但是目前并未揭示基于信任列表的PKI模型的具体管理流程。
[0011] 综上所述,3GPP提出对NDS机制进行增强,以满足回程网安全的需求建议。由于目前NDS中仅支持基于交叉证书的PKI信任模型,并不能完全满足回程网的需求。
[0012] 因此,需要针对回程网的安全需求,提出新的回程网PKI信任模型:即基于信任列表的PKI模型的系统架构及其具体管理流程,以保障回程网安全应用的顺利实施,然而,目前并未有这样的解决方案。
发明内容
[0013] 有鉴于此,本发明的主要目的在于提供一种基于信任列表的系统及方法,实现了基于信任列表的PKI模型的系统架构及其具体管理流程,从而满足了回程网安全的需求。
[0014] 为达到上述目的,本发明的技术方案是这样实现的:
[0015] 一种基于信任列表的系统,该系统包括:公钥基础设施授权中心/注册中心(OPKI RA/CA)和公钥基础设施证书库/证书撤销列表(OPKI CR/CRL);其中,
[0017] OPKI CR/CRL,用于存储所述根证书,并添加到信任列表;以及收到OPKIRA/CA发送的所述证书请求消息,从所述信任列表中检索与所述证书请求消息相对应的根证书,返回检索到的所述根证书给所述OPKI RA/CA。
[0018] 其中,所述OPKI RA/CA和OPKI CR/CRL隶属于运营商;所述根证书为设备商的根证书。
[0019] 其中,该系统还包括:设备商公钥基础设施授权中心/注册中心(VPKIRA/CA),用于与所述OPKI RA/CA以安全的方式进行交互,并将正确的设备商根证书发送给所述OPKI RA/CA;
[0020] 所述OPKI RA/CA,进一步用于以安全的方式从VPKI RA/CA获取到正确的设备商根证书;其中,实现所述获取的方式包括:带内方式或带外方式。
[0021] 其中,该系统还包括:安全网关(SeGW),用于在本地存储有信任列表的情况下,在认证设备商颁发的增强型基站(eNB)证书的情况时,先检索本地信任列表中是否存储有设备商根证书,如果有,则采用设备商根证书完成对eNB证书的认证;否则,转而向所述OPKI RA/CA发送证书请求消息;
[0022] 所述SeGW,还用于在本地未存储有信任列表的情况下,在认证设备商颁发的eNB证书的情况时,直接向所述OPKI RA/CA发送证书请求消息。
[0023] 其中,所述OPKI RA/CA,进一步用于将从所述SeGW收到的证书请求消息,转发给所述OPKI CR/CRL进行设备商根证书的检索;以及将所述OPKICR/CRL检索到的设备商根证书返回给所述SeGW,由SeGW采用设备商根证书实现对eNB证书的认证。
[0024] 其中,该系统还包括:eNB,用于通过与所述SeGW的认证交互,完成因特网密钥交换协议(IKE)连接;其中,
[0025] 所述认证交互包括:所述SeGW接收到所述eNB发送的因特网密钥交换协议认证(IKE_AUTH)请求消息,对IKE_AUTH请求消息中的加密载荷解密,取出证书选项(CERT)中的eNB证书,对IKE_AUTH请求消息中的认证载荷(AUTH)进行认证;发起对设备商颁发的eNB证书真实性的认证。
[0026] 一种基于信任列表的方法,该方法包括:
[0027] OPKI RA/CA将获取的根证书发送到OPKI CR/CRL;OPKI CR/CRL存储所述根证书,并添加到信任列表;
[0028] OPKI RA/CA向OPKI CR/CRL发送证书请求消息;OPKI CR/CRL收到OPKI RA/CA发送的所述证书请求消息,从所述信任列表中检索与所述证书请求消息相对应的根证书,返回检索到的根证书给所述OPKI RA/CA。
[0029] 其中,所述根证书为设备商的根证书;所述OPKI RA/CA获取所述设备商根证书具体包括:所述OPKI RA/CA以安全的方式与VPKI RA/CA交互,并从VPKI RA/CA获取到正确的设备商根证书;
[0030] 其中,实现所述获取的方式包括:带内方式或带外方式。
[0031] 其中,该方法进一步包括:eNB通过与SeGW的认证交互,完成IKE连接;其中,[0032] 所述认证交互包括:所述SeGW接收到所述eNB发送的IKE_AUTH请求消息,对IKE_AUTH请求消息中的加密载荷解密,取出CERT证书选项中的eNB证书,对IKE_AUTH请求消息中的AUTH进行认证;发起对设备商颁发的eNB证书真实性的认证。
[0033] 其中,SeGW在本地未存储有信任列表的情况下,所述SeGW发起对所述eNB证书真实性的认证之前,还包括:
[0034] 所述SeGW向所述OPKI RA/CA发送证书请求消息;所述OPKI RA/CA将所述证书请求消息转发给所述OPKI CR/CRL进行设备商根证书的检索;
[0035] OPKI RA/CA将OPKI CR/CRL检索到的设备商根证书返回给SeGW,由SeGW采用设备商根证书实现对eNB证书的认证。
[0036] 其中,SeGW在本地存储有信任列表的情况下,所述SeGW发起对所述eNB证书真实性的认证的过程包括:
[0037] 所述SeGW先检索本地信任列表中是否存储有设备商根证书;如果有,则采用所述设备商根证书完成对eNB证书的认证;否则,转而向所述OPKI RA/CA发送证书请求消息;
[0038] 所述OPKI RA/CA将所述证书请求消息转发给所述OPKI CR/CRL进行设备商根证书的检索;
[0039] OPKI RA/CA将OPKI CR/CRL检索到的设备商根证书返回给SeGW,由SeGW采用设备商根证书实现对eNB证书的认证。
[0040] 本发明的系统包括:运营商PKI授权中心/注册中心(OPKI RA/CA,Operator PKI Certificate Authority/Registration Authority)和运营商PKI证书库/证书撤销列表(OPKI CR/CRL,Certificate Repository/Certificate Revocation List)。其中,OPKI RA/CA用于将获取的根证书发送到OPKI CR/CRL中存储;以及向OPKICR/CRL发送证书请求消息。OPKI CR/CRL用于存储根证书,并添加到信任列表;以及收到OPKI RA/CA发送的证书请求消息,从信任列表中检索与证书请求消息相对应的根证书,返回检索到的根证书给OPKI RA/CA。
[0042] 图1为基于交叉证书的NDS/AF PKI的系统架构示意图;
[0043] 图2为基于信任列表的移动回程网PKI的一系统架构示意图;
[0044] 图3为实例一的基于信任列表的移动回程网PKI的实现流程示意图;
[0045] 图4为实例二的SeGW不存储信任列表的IKE认证过程的实现流程示意图;
[0046] 图5为实例三的SeGW存储信任列表的IKE认证过程的实现流程示意图。
具体实施方式
[0047] 本发明的基本思想是:系统架构包括OPKI RA/CA和OPKI CR/CRL。其中,OPKI RA/CA用于将获取的根证书发送到OPKI CR/CRL中存储;以及向OPKICR/CRL发送证书请求消息。OPKI CR/CRL用于存储根证书,并添加到信任列表;以及收到OPKI RA/CA发送的证书请求消息,从信任列表中检索与证书请求消息相对应的根证书,返回检索到的根证书给OPKI RA/CA。
[0048] 下面结合附图对技术方案的实施作进一步的详细描述。
[0049] 一种基于信任列表的系统,如图2所示,该系统包括:OPKI RA/CA和OPKICR/CRL。其中,OPKI RA/CA用于将获取的根证书发送到OPKI CR/CRL中存储;以及向OPKI CR/CRL发送证书请求消息。OPKI CR/CRL用于存储根证书,并添加到信任列表;以及收到OPKI RA/CA发送的证书请求消息,从信任列表中检索与证书请求消息相对应的根证书,返回检索到的根证书给OPKI RA/CA。
[0050] 这里,OPKI RA/CA和OPKI CR/CRL隶属于运营商;根证书具体为设备商的根证书。
[0051] 这里,该系统还包括设备商PKI授权中心/注册中心(VPKI RA/CA,Vendor PKI Certificate Authority/Registration Authority),VPKI RA/CA用于与OPKIRA/CA以安全的方式进行交互,并将正确的设备商根证书发送给OPKI RA/CA。OPKI RA/CA进一步用于以安全的方式从VPKI RA/CA获取到正确的设备商根证书;其中,实现所述获取的方式包括:带内方式或带外方式。
[0052] 这里,该系统还包括安全网关(SeGW,Security Gateway),SeGW用于在本地存储有信任列表的情况下,需要认证设备商颁发的增强型基站(eNB)证书的情况时,先检索本地信任列表中是否存储有设备商根证书,如果有,则采用设备商根证书完成对eNB证书真实性的认证;否则,转而向OPKI RA/CA发送证书请求消息。
[0053] SeGW还用于在本地未存储有信任列表的情况下,需要认证设备商颁发的eNB证书的情况时,直接向OPKI RA/CA发送证书请求消息。
[0054] 这里,OPKI RA/CA,进一步用于将从SeGW收到的证书请求消息,转发给OPKI CR/CRL进行设备商根证书的检索;以及将OPKI CR/CRL检索到的设备商根证书返回给SeGW,由SeGW采用设备商根证书实现对eNB证书真实性的认证。
[0055] 这里,该系统还包括:eNB,eNB用于通过与SeGW的认证交互,完成IKE连接。其中,所述认证交互包括:SeGW接收到eNB发送的IKE认证(IKE_AUTH)请求消息,对IKE_AUTH请求消息中的加密载荷解密,取出证书选项(CERT)中的eNB证书,对IKE_AUTH请求消息中的认证载荷(AUTH)进行认证;发起对设备商颁发的eNB证书真实性的认证。
[0056] 一种基于信任列表的方法,该方法包括以下步骤:
[0057] 步骤101、OPKI RA/CA将获取的根证书发送到OPKI CR/CRL;OPKICR/CRL存储根证书,并添加到信任列表。
[0058] 这里,根证书具体为设备商的根证书。OPKI RA/CA获取该设备商根证书具体包括:OPKI RA/CA以安全的方式与VPKI RA/CA交互,并从VPKI RA/CA获取到正确的设备商根证书。其中,实现所述获取的方式包括:带内方式或带外方式。
[0059] 步骤102、OPKI RA/CA向OPKI CR/CRL发送证书请求消息;OPKI CR/CRL收到OPKI RA/CA发送的所述证书请求消息,从信任列表中检索与证书请求消息相对应的根证书,返回检索到的根证书给OPKI RA/CA。
[0060] 这里,针对由步骤101~步骤102所构成的技术方案而言,该方法进一步包括:eNB通过与SeGW的认证交互,完成IKE连接。
[0061] 其中,认证交互包括:SeGW接收到eNB发送的IKE AUTH请求消息,对IKE AUTH请求消息中的加密载荷解密,取出CERT证书选项中的eNB证书,对IKE AUTH请求消息中的AUTH进行认证;发起对设备商颁发的eNB证书真实性的认证。
[0062] 由于SeGW可以选择是否在本地存储信任列表,因此,SeGW在存储或不存储信任列表的情况下,SeGW发起对设备商颁发的eNB证书真实性的认证后,所实现的eNB证书真实性的认证过程有所不同,以下分别阐述。
[0063] 第一种情况:SeGW在本地未存储有信任列表的情况。
[0064] 此时,SeGW发起对eNB证书真实性的认证之前,还包括以下步骤:
[0065] 步骤201、SeGW向OPKI RA/CA发送证书请求消息。
[0066] 步骤202、OPKI RA/CA将证书请求消息转发给OPKI CR/CRL进行设备商根证书的检索。
[0067] 步骤203、OPKI RA/CA将OPKI CR/CRL检索到的设备商根证书返回给SeGW,由SeGW采用设备商根证书实现对eNB证书真实性的认证。
[0068] 第二种情况:SeGW在本地存储有信任列表的情况。
[0069] 此时,SeGW发起对eNB证书真实性的认证过程包括以下步骤:
[0070] 步骤301、SeGW先检索本地信任列表中是否存储有设备商根证书;如果有,则执行步骤302;否则,执行步骤303。
[0071] 步骤302、SeGW采用设备商根证书完成对eNB证书真实性的认证;结束当前对eNB证书真实性的认证过程。
[0072] 步骤303、SeGW转而向OPKI RA/CA发送证书请求消息。
[0073] 步骤304、OPKI RA/CA将证书请求消息转发给OPKI CR/CRL进行设备商根证书的检索。
[0074] 步骤305、OPKI RA/CA将OPKI CR/CRL检索到的设备商根证书返回给SeGW,由SeGW采用设备商根证书实现对eNB证书真实性的认证。
[0075] 综上所述,本发明的目的是提供移动回程网PKI信任模型的系统架构及其具体管理流程,以解决回程网中的证书管理和实体认证问题,并通过证书分发过程中的双向认证机制,解决了信任模型自身的安全问题。
[0076] 为了解决上述问题,本发明提供了移动回程网PKI架构和方法,在回程网中引入基于信任列表的PKI模型,并且针对回程网特征,设计了信任模型的安全方案,所提架构和方法适用于不同移动回程网场景。
[0077] 本发明主要包括以下内容:
[0078] 基于信任列表的移动回程网PKI架构如图2所示。OPKI RA/CA是运营商PKI系统中的认证机构和注册机构,负责运营商PKI中的证书管理。VPKI
[0079] RA/CA是设备商PKI系统中的认证机构和注册机构,负责设备商PKI中的证书管理。OPKI CR/CRL是运营商PKI中的证书库和证书撤销列表,负责存储证书和证书撤销列表。SeGW是运营商域的边界网关,负责对进出运营商网络的流进行安全控制。
[0080] 信任列表由OPKI RA/CA负责管理。OPKI RA/CA和VPKI RA/CA通过安全的方式进行交互,并安全的获得VPKI RA/CA的根证书。OPKI CR/CRL负责存储信任列表,并维护信任列表中根证书的状态。SeGW如果需要验证设备商颁发的eNB证书,可以向OPKI RA/CA申请。OPKI RA/CA要保证信任列表中根证书分发消息的真实性和完整性。
[0081] SeGW可以选择是否维护本地信任列表,如果维护本地信任列表,可以减少证书查询的延迟,并避免单点失败,但是将增加信任列表维护成本。
[0082] 综上所述,基于本发明提出的PKI模型系统架构、以及基于该系统架构管理信任列表的具体流程,可以满足回程网的安全需求,保障回程网安全应用的顺利实施。
[0083] 以下对本发明进行举例阐述。
[0084] 实例一:
[0085] 图3所示为:本实例基于信任列表的移动回程网PKI系统架构,实现对信任列表管理的具体流程示意图,该流程包括如下步骤:
[0086] 步骤401:OPKI RA/CA与VPKI RA/CA进行交互,从VPKI RA/CA获得设备商根证书。
[0087] 获得设备商根证书用英文可以表示为:Obtain CERTVPKI securely。其中的CERTVPKI表示设备商根证书。
[0088] 这里,当设备商向运营商提供基站设备的时候,应该提供设备商根证书,用于认证提供的设备。设备商提供的根证书由OPKI RA/CA管理,OPKI RA/CA必须通过安全的方式与VPKI RA/CA进行交互,从VPKI RA/CA获得设备商根证书。获取的方式可以是带内或者带外方式。
[0089] 其中,就安全的方式而言,安全的方式包括:带有机密性、完整性保护的带内方式;或者安全通信人员分发的带外方式。
[0090] 步骤402:OPKI RA/CA正确获得设备商根证书后,存储到OPKI CR/CRL中,并添加到信任列表。
[0091] 这里,添加到信任列表用英文可以表示为:Add CERTVPKI into trust list。
[0092] 步骤403:当运营商域中的SeGW需要认证设备商提供的基站时,检查本地是否有对应的设备商根证书。
[0093] 步骤404:如果SeGW本地没有对应的设备商根证书,则向OPKI RA/CA发送证书请求消息。
[0094] 这里,发送证书请求消息用英文可以表示为:Request{CERTREQVPKI}。
[0095] 步骤405:OPKI RA/CA收到SeGW发送的证书请求消息后,将该发送证书请求消息转发给OPKI CR/CRL,向OPKI CR/CRL检索相应的设备商根证书。
[0096] 步骤406:OPKI CR/CRL收到OPKI RA/CA的发送证书请求消息后,从信任列表中检索对应的设备商根证书,返回检索结果。
[0097] 这里,返回检索结果采用的消息用英文可以表示为:Response{CERTVPKI}。
[0098] 步骤407:OPKI RA/CA接收到检索结果,对检索结果进行签名和完整性保护,将签名后的消息返回给SeGW。
[0099] 这里,返回签名后的应答消息用英文可以表示为:Response{SKOPKI[CERTVPKI]}。
[0100] 步骤408:SeGW接收到OPKI RA/CA返回的应答消息,检查该应答消息的签名和完整性,如果没有问题,则取出并使用该应答消息中的设备商根证书。
[0101] 步骤409:继续后续IKE连接过程。
[0102] 实例二:
[0103] 图4所示为:本实例的SeGW不存储信任列表的IKE认证流程示意图,该图中eNB和SeGW之间进行IKE协商,经过协商建立IKE关联。本实例中SeGW不存储设备商根证书,需要设备商根证书时直接向OPKI RA/CA请求。该流程主要包括如下步骤:
[0104] 步骤501:eNB发起IKEv2初始化过程,发送IKE_SA_INIT请求消息给SeGW,消息内容包括HDR、SA、KE和Ni。
[0105] 其中,HDR表示IKE_SA_INIT请求消息的报头;Ni表示发起方eNB的随机载荷;KE表示发起者的Diffle-Hellman公开值;SA是安全关联,包含了发起者针对IKE-SA的建议,建议包括加密算法、认证算法以及DH组等内容。
[0106] 这里,IKE_SA_INIT请求消息用英文可以表示为:IKE_SA_INIT request(HDR,SA,KE,Ni)。
[0107] 步骤502:SeGW接收到eNB发送IKE_SA_INIT请求消息后,返回IKE_SA_INIT应答消息给eNB,应答消息中包括HDR、SA、KE、Nr和CERTREQ证书请求选项。
[0108] 其中,Nr表示应答方SeGW的随机载荷;CERTREQ表示证书请求。
[0109] 这里,IKE_SA_INIT应答消息用英文可以表示为:IKE_SA_INIT response(HDR,SA,KE,Nr,CERTREQ)。
[0110] 步骤503:eNB收到IKE_SA_INIT应答消息后,利用IKE_SA_INIT阶段协商的SA和KE,发起认证过程,发送IKE_AUTH请求消息给SeGW。
[0111] 这里,IKE-AUTH请求消息中包括HDR以及一个加密载荷,加密载荷中包括用于请求合法IP地址的CFG_REQUEST选项,CERT证书选项和CERTREQ证书请求选项以及AUTH选项。
[0112] 其中,CFG_REQUEST表示配置请求选项;CERT证书选项中承载有eNB证书。
[0113] 这里,IKE_AUTH请求消息用英文可以表示为:IKE_AUTH request(HDR,SK{SA,TSi,TSr,CERT,IDi=NAI,IDr,AUTH})。
[0114] 这里,CERTREQ证书请求选项用于请求SeGW的证书和交叉证书,因为CERTREQ证书请求选项最多可以放4个证书,所以SeGW应答的时候可以将证书和交叉证书都放在CERTREQ证书请求选项发送给eNB。
[0115] 步骤504:SeGW接收到eNB发送的IKE AUTH请求消息,对加密载荷解密,取出CERT证书选项中的eNB证书,对eNB发送的AUTH进行认证。
[0116] 步骤505:需要利用设备商根证书对eNB证书的真实性进行认证。由于本实例中SeGW本地不存储相应设备商根证书,则直接向OPKI RA/CA发送证书请求消息,请求对应的设备商根证书。
[0117] 这里,请求对应的设备商根证书采用的消息用英文可以表示为:Request{CERTREQVPKI}。
[0118] 步骤506:当OPKI RA/CA收到SeGW发送 的证书请求 消息后,转发 该Request{CERTREQVPKI}消息,向OPKI CR/CRL检索对应的设备商根证书。
[0119] 步骤507:OPKI CR/CRL收到OPKI RA/CA的Request{CERTREQVPKI}消息,从信任列表中检索对应的设备商根证书,返回检索结果。
[0120] 这里,返回检索结果采用的消息用英文可以表示为:Response{CERTVPKI}。
[0121] 步骤508:OPKI RA/CA接收到检索结果,对检索结果进行签名和完整性保护,将签名后的应答消息返回给SeGW。
[0122] 这里,返回签名后的应答消息用英文可以表示为:Response{SKOPKI[CERTVPKI]}。
[0123] 步骤509:SeGW接收到OPKI RA/CA返回的应答消息,检查应答消息的签名和完整性,如果没有问题,则取出应答消息中的设备商根证书。
[0124] 步骤510:SeGW利用设备商根证书对eNB证书的真实性进行认证,并验证eNB证书的有效性。
[0125] 步骤511:SeGW完成对eNB认证后返回IKE_AUTH应答消息给eNB,IKE_AUTH应答消息中包括CERT证书选项,该CERT证书选项承载有SeGW的证书和交叉证书。
[0126] 这里,IKE_AUTH应答消息用英文可以表示为:IKE-AUTH response(HDRSK{AUTH,CERT,SA,TSi,TSr})。
[0127] 步骤512:eNB接收到SeGW返回的IKE_AUTH应答消息,利用SeGW的证书对SeGW发送的AUTH进行认证,验证AUTH的正确性。同时eNB利用交叉证书对SeGW的证书的真实性进行认证,并通过查询CRL验证SeGW的证书的有效性。eNB利用设备商根证书验证交叉证书的真实性,并查询CRL验证交叉证书的有效性。
[0128] 以上流程中,如果认证没有通过,则认证流程终止。
[0129] 该采用预共享密钥的认证过程是在IKEv2协议中规定的,具体可以参考IKEv2协议。
[0130] 实例三:
[0131] 图5所示为:本实例的SeGW存储用户信任列表的IKE认证流程示意图,该图中eNB和SeGW之间进行IKE协商,经过协商建立IKE关联。本实例中SeGW维护着一个本地的信任列表,需要设备商根证书时首先检查本地信任列表中是否有该证书,如果本地存储有信任列表,则可以直接使用,以减少验证延迟,并可以避免单点失败。该流程包括如下步骤:
[0132] 步骤601:eNB发起IKEv2初始化过程,发送IKE_SA_INIT请求消息给SeGW,消息内容包括HDR、SA、KE和Ni。
[0133] 这里,IKE_SA_INIT请求消息用英文可以表示为:IKE_SA_INIT request(HDR,SA,KE,Ni)。
[0134] 步骤602:SeGW接收到eNB发送IKE_SA_INIT请求消息后返回IKE_SA_INIT应答消息给eNB,应答消息中包括HDR、SA、KE、Nr和CERTREQ证书请求选项。
[0135] 这里,IKE_SA_INIT应答消息用英文可以表示为:IKE_SA_INIT response(HDR,SA,KE,Nr,CERTREQ)。
[0136] 步骤603:eNB收到IKE_SA_INIT应答消息后,利用IKE_SA_INIT阶段协商的SA和KE,发起认证过程,发送IKE_AUTH请求消息给SeGW。
[0137] 这里,IKE-AUTH请求消息中包括HDR以及一个加密载荷,加密载荷中包括用于请求合法IP地址的CFG_REQUEST选项,CERT证书选项和CERTREQ证书请求选项以及AUTH选项。其中,CERT证书选项中承载有eNB证书。
[0138] 这里,IKE_AUTH请求消息用英文可以表示为:IKE_AUTH request(HDR,SK{SA,TSi,TSr,CERT,IDi=NAI,IDr,AUTH})。
[0139] 这里,CERTREQ证书请求选项用于请求SeGW的证书和交叉证书,因为CERTREQ证书请求选项最多可以放4个证书,所以SeGW应答的时候可以将证书和交叉证书都放在CERTREQ证书请求选项发送给eNB。
[0140] 步骤604:SeGW接收到eNB发送的IKE_AUTH请求消息,对加密载荷解密,取出CERT证书选项中的eNB证书,对eNB发送的AUTH进行认证。此外,还需要利用设备商根证书对eNB证书的真实性进行认证。由于本实例中SeGW本地存储有一个本地信任列表,本地信任列表中包含有设备商根证书。所以SeGW首先检查本地信任列表中是否有需要的证书,如果有,则直接转到步骤611。如果本地信任列表没有需要的设备商根证书,则执行步骤605。
[0141] 步骤605:SeGW向OPKI RA/CA发送证书请求消息,请求对应的设备商根证书。
[0142] 这里,请求对应的设备商根证书采用的消息用英文可以表示为:Request{CERTREQVPKI}。
[0143] 步骤606:当OPKI RA/CA收到SeGW发送 的证书请求 消息后,转发 该Request{CERTREQVPKI}消息,向OPKI CR/CRL检索对应的设备商根证书。
[0144] 步骤607:OPKI CR/CRL收到OPKI RA/CA的Request{CERTREQVPKI}消息,从信任列表中检索对应的设备商根证书,返回检索结果。
[0145] 这里,返回检索结果采用的消息用英文可以表示为:Response{CERTVPKI}。
[0146] 步骤608:OPKI RA/CA接收到检索结果,对检索结果进行签名和完整性保护,将签名后的应答消息返回给SeGW。
[0147] 这里,返回签名后的应答消息用英文可以表示为:Response{SKOPKI[CERTVPKI]}。
[0148] 步骤609:SeGW接收到OPKI RA/CA返回的应答消息,检查消息的签名和完整性,如果没有问题,则取出应答消息中的设备商根证书。
[0149] 步骤610:SeGW利用设备商根证书对eNB证书的真实性进行认证,并验证eNB证书的有效性。
[0150] 步骤611:SeGW完成对eNB认证后返回IKE_AUTH应答消息给eNB,IKE_AUTH应答消息中包括CERT证书选项,该CERT证书选项承载有SeGW的证书和交叉证书。
[0151] 这里,IKE_AUTH应答消息用英文可以表示为:IKE-AUTH response(HDRSK{AUTH,CERT,SA,TSi,TSr})。
[0152] 步骤612:eNB接收到SeGW返回的IKE_AUTH应答消息,利用SeGW的证书对SeGW发送的AUTH进行认证,验证AUTH的正确性。同时eNB利用交叉证书对SeGW的证书的真实性进行认证,并通过查询CRL验证SeGW的证书的有效性。eNB利用设备商根证书验证交叉证书的真实性,并查询CRL验证交叉证书的有效性。
[0153] 以上流程中,如果认证没有通过,则认证流程终止。
[0154] 该采用预共享密钥的认证过程是在IKEv2协议中规定的,具体可以参考IKEv2协议。
[0155] 这里,对上述各图和文字中涉及到的中英文做一对比说明:
[0156] 图1中,授权机构A指Security domainA;授权机构B指Security domain B;互联CAA指Interconnection CAA,其中CA指证书授权中心;互联CAB指Interconnection CAB;SEG CAA指安全网关CAA,其中CA指证书授权中心;SEGCAB指安全网关CAB;NEA-1指网元NEA-1;NEB-1指网元NEB-1;NEA-2指网元NEA-2;NEB-2指网元NEB-2;SEGA指安全网关A;SEGB指安全网关B;Zb指接口Zb;Za指接口Za。
[0157] 以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种基于联盟链的身份认证方法及终端设备 | 2022-03-21 | 3 |
| 一种基于证书关联的数字资产实名登记系统 | 2020-07-10 | 4 |
| 基于二维码的网站链接处理方法、装置及系统 | 2022-01-13 | 1 |
| 一种基于信任列表的系统及方法 | 2020-06-03 | 4 |
| 业务处理的方法和装置 | 2020-11-29 | 2 |
| 一种数据仓库的数据处理方法及装置 | 2020-08-26 | 4 |
| 一种RPKI数据的主动同步方法和系统 | 2020-12-25 | 0 |
| 网络功能服务的发现方法及设备 | 2020-08-09 | 3 |
| 数字证书跨信任域互通方法 | 2021-02-02 | 4 |
| 基于命名实体的信息处理方法及装置 | 2021-03-13 | 4 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈