專利名稱:一種基于信任列表的系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種移動(dòng)回程網(wǎng)中基于信任列表的公鑰基礎(chǔ) 設(shè)施(PKI)的系統(tǒng)及方法。
背景技術(shù):
移動(dòng)回程網(wǎng)的安全問題受到越來越多的關(guān)注。第三代合作伙伴計(jì)劃(3GPP,3rd Generation Partnership Project)、寬帶論壇(BBF,Broadband Forum)禾口下一代移動(dòng)網(wǎng)絡(luò) (NGMN, Next Generation Mobile Networks)等組織對移動(dòng)回程網(wǎng)的安全需求進(jìn)行了較為 深入的分析。3GPP TS 33. 401 中提出基于網(wǎng)絡(luò)域安全機(jī)制(NDS,Network Domain Security)的 相關(guān)規(guī)范保護(hù)移動(dòng)回程網(wǎng)安全。然而,NDS是針對網(wǎng)絡(luò)域安全提出的規(guī)范,需要依據(jù)回程網(wǎng) 特殊的需求進(jìn)行增強(qiáng),其中一個(gè)有待增強(qiáng)的方面就是I3KI (Public Key Infrastructure)信 任模型的系統(tǒng)架構(gòu)及其具體的方法流程。為了滿足這方面的增強(qiáng)需求,目前NDS中引入了基于交叉證書的PKI信任模型,以 下對該基于交叉證書的PKI信任模型進(jìn)行闡述。NDS PKI信任模型的總體要求如下簡單、容易部署;與現(xiàn)有標(biāo)準(zhǔn)兼容;適用于通 用分組無線業(yè)務(wù)漫游交換(GRX,GPRS Roaming Exchange)和non_GRX運(yùn)營商。基于以上原則,在TS 33. 310中引入了直接交叉的PKI信任模型,解決了跨域認(rèn)證 的問題。TS 33. 310中的交叉證書信任模型如圖1所示,圖1中,以<… 表示因特網(wǎng)密鑰 交換協(xié)議(IKE,Internet Key Exchange)連接;以_表示以太網(wǎng)交換路徑(ESP)隧道 (tunnel);以_ 表示簽發(fā)證書(Issues a certificate)。如果授權(quán)機(jī)構(gòu)A同授權(quán)機(jī) 構(gòu)B實(shí)現(xiàn)了交叉認(rèn)證,授權(quán)機(jī)構(gòu)A就信任授權(quán)機(jī)構(gòu)B簽發(fā)的證書。交叉認(rèn)證過程使得認(rèn)證 機(jī)構(gòu)雙方的用戶可以驗(yàn)證對方授權(quán)的證書。當(dāng)域間互聯(lián)協(xié)定建立后,互聯(lián)證書授權(quán)(CA, Certificate Authority)可以依據(jù)互聯(lián)協(xié)定,為對方運(yùn)營商的安全網(wǎng)關(guān)證書授權(quán)(SEG CA, Security Gateway Certificate Authority)簽發(fā)交叉證書,生成的交叉證書僅部署在本 地,基于交叉證書可以完成跨域的認(rèn)證。然而,在回程網(wǎng)環(huán)境中,基于交叉證書的PKI信任模型并不能完全解決認(rèn)證問題, 也就是說,該基于交叉證書的PKI信任模型并不能完全滿足回程網(wǎng)安全的需求。在回程網(wǎng)中,為了滿足安全通信的需求,增強(qiáng)型基站(eNB,Evolved NodeB)需要運(yùn) 營商簽發(fā)的證書。但由于在回程網(wǎng)中支持后期綁定,那么eNB不能預(yù)先配置運(yùn)營商的證書、 或者運(yùn)營商的交叉證書。eNB在初始接入認(rèn)證時(shí),或者在申請運(yùn)營商證書時(shí),需要通過運(yùn)營 商接入控制設(shè)備的認(rèn)證。而此時(shí)eNB僅僅擁有設(shè)備商頒發(fā)的證書,此證書需要設(shè)備商根證 書進(jìn)行認(rèn)證,所以接入控制設(shè)備需要擁有設(shè)備商根證書。此外,運(yùn)營商可能部署多個(gè)廠家的 eNB設(shè)備,那么就需要所有這些廠商的根證書,這就需要運(yùn)營商建立信任列表的PKI信任模 型,將這些設(shè)備商根證書都加入信任列表中。由于eNB對運(yùn)營商的認(rèn)證可以用交叉證書的方式,因此,為了完全滿足回程網(wǎng)安全的需求,在回程網(wǎng)中需要基于信任列表的PKI模型和 基于交叉證書的PKI模型的結(jié)合。如果在回程網(wǎng)中引入基于信任列表的PKI模型,必須對該模型進(jìn)行有效地管理。 在RFC4158分析了信任列表方式的缺點(diǎn),信任列表安全性較差,終端用戶的能力有限。如果 信任列表中的根CA中有一個(gè)CA的私鑰被泄露,即使其它根CA仍然完好無損,安全性也將 被破壞。如果一個(gè)欺詐的根CA證書加入了信任列表,那么整個(gè)系統(tǒng)的也將受到破壞。信任 列表中的根證書都是自簽名證書,也給管理帶來了一定難度。為了保障信任列表模型的安 全,必須提出有效的管理流程,但是目前并未揭示基于信任列表的PKI模型的具體管理流 程。綜上所述,3GPP提出對NDS機(jī)制進(jìn)行增強(qiáng),以滿足回程網(wǎng)安全的需求建議。由于目 前NDS中僅支持基于交叉證書的PKI信任模型,并不能完全滿足回程網(wǎng)的需求。因此,需要針對回程網(wǎng)的安全需求,提出新的回程網(wǎng)PKI信任模型即基于信任列 表的PKI模型的系統(tǒng)架構(gòu)及其具體管理流程,以保障回程網(wǎng)安全應(yīng)用的順利實(shí)施,然而,目 前并未有這樣的解決方案。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種基于信任列表的系統(tǒng)及方法,實(shí)現(xiàn)了 基于信任列表的PKI模型的系統(tǒng)架構(gòu)及其具體管理流程,從而滿足了回程網(wǎng)安全的需求。為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種基于信任列表的系統(tǒng),該系統(tǒng)包括公鑰基礎(chǔ)設(shè)施授權(quán)中心/注冊中心(0ΡΚΙ RA/CA)和公鑰基礎(chǔ)設(shè)施證書庫/證書撤銷列表(0ΡΚΙ CR/CRL);其中,OPKI RA/CA,用于將獲取的根證書發(fā)送到OPKI CR/CRL中存儲(chǔ);以及向OPKI CR/ CRL發(fā)送證書請求消息;OPKI CR/CRL,用于存儲(chǔ)所述根證書,并添加到信任列表;以及收到0PKIRA/CA發(fā) 送的所述證書請求消息,從所述信任列表中檢索與所述證書請求消息相對應(yīng)的根證書,返 回檢索到的所述根證書給所述OPKI RA/CA。其中,所述OPKI RA/CA和OPKI CR/CRL隸屬于運(yùn)營商;所述根證書為設(shè)備商的根 證書。其中,該系統(tǒng)還包括設(shè)備商公鑰基礎(chǔ)設(shè)施授權(quán)中心/注冊中心(VPKIRA/CA),用 于與所述OPKI RA/CA以安全的方式進(jìn)行交互,并將正確的設(shè)備商根證書發(fā)送給所述OPKI RA/CA ;所述CffKI RA/CA,進(jìn)一步用于以安全的方式從VPKI RA/CA獲取到正確的設(shè)備商根 證書;其中,實(shí)現(xiàn)所述獲取的方式包括帶內(nèi)方式或帶外方式。其中,該系統(tǒng)還包括安全網(wǎng)關(guān)(SeGW),用于在本地存儲(chǔ)有信任列表的情況下,在 認(rèn)證設(shè)備商頒發(fā)的增強(qiáng)型基站(eNB)證書的情況時(shí),先檢索本地信任列表中是否存儲(chǔ)有設(shè) 備商根證書,如果有,則采用設(shè)備商根證書完成對eNB證書的認(rèn)證;否則,轉(zhuǎn)而向所述OPKI RA/CA發(fā)送證書請求消息;所述kGW,還用于在本地未存儲(chǔ)有信任列表的情況下,在認(rèn)證設(shè)備商頒發(fā)的eNB 證書的情況時(shí),直接向所述OPKI RA/CA發(fā)送證書請求消息。
5
其中,所述OPKI RA/CA,進(jìn)一步用于將從所述kGW收到的證書請求消息,轉(zhuǎn)發(fā)給 所述OPKI CR/CRL進(jìn)行設(shè)備商根證書的檢索;以及將所述0PKICR/CRL檢索到的設(shè)備商根證 書返回給所述&GW,由kGW采用設(shè)備商根證書實(shí)現(xiàn)對eNB證書的認(rèn)證。其中,該系統(tǒng)還包括eNB,用于通過與所述kGW的認(rèn)證交互,完成因特網(wǎng)密鑰交 換協(xié)議(IKE)連接;其中,所述認(rèn)證交互包括所述kGW接收到所述eNB發(fā)送的因特網(wǎng)密鑰交換協(xié)議認(rèn)證 (IKE_AUTH)請求消息,對IKE_AUTH請求消息中的加密載荷解密,取出證書選項(xiàng)(CERT)中的 eNB證書,對IKE_AUTH請求消息中的認(rèn)證載荷(AUTH)進(jìn)行認(rèn)證;發(fā)起對設(shè)備商頒發(fā)的eNB 證書真實(shí)性的認(rèn)證。一種基于信任列表的方法,該方法包括OPKI RA/CA將獲取的根證書發(fā)送到OPKI CR/CRL ;OPKI CR/CRL存儲(chǔ)所述根證書, 并添加到信任列表;OPKI RA/CA 向 CffKI CR/CRL 發(fā)送證書請求消息;CffKI CR/CRL 收到 OPKI RA/CA 發(fā) 送的所述證書請求消息,從所述信任列表中檢索與所述證書請求消息相對應(yīng)的根證書,返 回檢索到的根證書給所述OPKI RA/CA。其中,所述根證書為設(shè)備商的根證書;所述OPKI RA/CA獲取所述設(shè)備商根證書具 體包括所述OPKI RA/CA以安全的方式與VPKI RA/CA交互,并從VPKI RA/CA獲取到正確 的設(shè)備商根證書;其中,實(shí)現(xiàn)所述獲取的方式包括帶內(nèi)方式或帶外方式。其中,該方法進(jìn)一步包括eNB通過與kGW的認(rèn)證交互,完成IKE連接;其中,所述認(rèn)證交互包括所述kGW接收到所述eNB發(fā)送的IKE_AUTH請求消息,對IKE_ AUTH請求消息中的加密載荷解密,取出CERT證書選項(xiàng)中的eNB證書,對IKE_AUTH請求消息 中的AUTH進(jìn)行認(rèn)證;發(fā)起對設(shè)備商頒發(fā)的eNB證書真實(shí)性的認(rèn)證。其中,SeGff在本地未存儲(chǔ)有信任列表的情況下,所述kGW發(fā)起對所述eNB證書真 實(shí)性的認(rèn)證之前,還包括所述kGW向所述OPKI RA/CA發(fā)送證書請求消息;所述OPKI RA/CA將所述證書請 求消息轉(zhuǎn)發(fā)給所述OPKI CR/CRL進(jìn)行設(shè)備商根證書的檢索;OPKI RA/CA將CffKI CR/CRL檢索到的設(shè)備商根證書返回給kGW,由kGW采用設(shè) 備商根證書實(shí)現(xiàn)對eNB證書的認(rèn)證。其中,SeGff在本地存儲(chǔ)有信任列表的情況下,所述kGW發(fā)起對所述eNB證書真實(shí) 性的認(rèn)證的過程包括所述kGW先檢索本地信任列表中是否存儲(chǔ)有設(shè)備商根證書;如果有,則采用所述 設(shè)備商根證書完成對eNB證書的認(rèn)證;否則,轉(zhuǎn)而向所述OPKI RA/CA發(fā)送證書請求消息;所述OPKI RA/CA將所述證書請求消息轉(zhuǎn)發(fā)給所述OPKI CR/CRL進(jìn)行設(shè)備商根證 書的檢索;OPKI RA/CA將CffKI CR/CRL檢索到的設(shè)備商根證書返回給kGW,由kGW采用設(shè) 備商根證書實(shí)現(xiàn)對eNB證書的認(rèn)證。本發(fā)明的系統(tǒng)包括運(yùn)營商PKI授權(quán)中心/注冊中心(0ΡΚΙ RA/CA, Operator PKI Certificate Authority/Registration Authority)禾口運(yùn)營商 PKI i正書庫 / 證書撤銷列表(0ΡΚI CR/CRL, Certificate Repository/Certificate Revocation List)。其中,OPKI RA/ CA用于將獲取的根證書發(fā)送到OPKI CR/CRL中存儲(chǔ);以及向0PKICR/CRL發(fā)送證書請求消 息。OPKI CR/CRL用于存儲(chǔ)根證書,并添加到信任列表;以及收到OPKI RA/CA發(fā)送的證書請 求消息,從信任列表中檢索與證書請求消息相對應(yīng)的根證書,返回檢索到的根證書給OPKI RA/CA。采用本發(fā)明,實(shí)現(xiàn)了基于信任列表的PKI模型的系統(tǒng)架構(gòu),并基于該系統(tǒng)架構(gòu)完 善了具體的處理流程,從而滿足了回程網(wǎng)安全的需求。
圖1為基于交叉證書的NDS/AF PKI的系統(tǒng)架構(gòu)示意圖;圖2為基于信任列表的移動(dòng)回程網(wǎng)PKI的一系統(tǒng)架構(gòu)示意圖;圖3為實(shí)例一的基于信任列表的移動(dòng)回程網(wǎng)PKI的實(shí)現(xiàn)流程示意圖;圖4為實(shí)例二的kGW不存儲(chǔ)信任列表的IKE認(rèn)證過程的實(shí)現(xiàn)流程示意圖;圖5為實(shí)例三的kGW存儲(chǔ)信任列表的IKE認(rèn)證過程的實(shí)現(xiàn)流程示意圖。
具體實(shí)施例方式本發(fā)明的基本思想是系統(tǒng)架構(gòu)包括OPKI RA/CA和OPKI CR/CRL。其中,OPKI RA/ CA用于將獲取的根證書發(fā)送到OPKI CR/CRL中存儲(chǔ);以及向0PKICR/CRL發(fā)送證書請求消 息。OPKI CR/CRL用于存儲(chǔ)根證書,并添加到信任列表;以及收到OPKI RA/CA發(fā)送的證書請 求消息,從信任列表中檢索與證書請求消息相對應(yīng)的根證書,返回檢索到的根證書給OPKI RA/CA。下面結(jié)合附圖對技術(shù)方案的實(shí)施作進(jìn)一步的詳細(xì)描述。一種基于信任列表的系統(tǒng),如圖2所示,該系統(tǒng)包括0PKI RA/CA和0PKICR/CRL。 其中,OPKI RA/CA用于將獲取的根證書發(fā)送到OPKI CR/CRL中存儲(chǔ);以及向OPKI CR/CRL 發(fā)送證書請求消息。OPKI CR/CRL用于存儲(chǔ)根證書,并添加到信任列表;以及收到OPKI RA/ CA發(fā)送的證書請求消息,從信任列表中檢索與證書請求消息相對應(yīng)的根證書,返回檢索到 的根證書給OPKI RA/CA。這里,OPKI RA/CA和OPKI CR/CRL隸屬于運(yùn)營商;根證書具體為設(shè)備商的根證書。這里,該系統(tǒng)還包括設(shè)備商PKI授權(quán)中心/注冊中心(VPKI RA/CA, Vendor PKI Certificate Authority/Registration Authority),VPKI RA/CA 用于與 OPKIRA/CA 以安 全的方式進(jìn)行交互,并將正確的設(shè)備商根證書發(fā)送給OPKI RA/CA。OPKI RA/CA進(jìn)一步用 于以安全的方式從VPKI RA/CA獲取到正確的設(shè)備商根證書;其中,實(shí)現(xiàn)所述獲取的方式包 括帶內(nèi)方式或帶外方式。這里,該系統(tǒng)還包括安全網(wǎng)關(guān)(SeGW,Security Gateway),kGW用于在本地存儲(chǔ)有 信任列表的情況下,需要認(rèn)證設(shè)備商頒發(fā)的增強(qiáng)型基站(eNB)證書的情況時(shí),先檢索本地 信任列表中是否存儲(chǔ)有設(shè)備商根證書,如果有,則采用設(shè)備商根證書完成對eNB證書真實(shí) 性的認(rèn)證;否則,轉(zhuǎn)而向OPKI RA/CA發(fā)送證書請求消息。SeGff還用于在本地未存儲(chǔ)有信任列表的情況下,需要認(rèn)證設(shè)備商頒發(fā)的eNB證書 的情況時(shí),直接向OPKI RA/CA發(fā)送證書請求消息。
這里,OPKI RA/CA,進(jìn)一步用于將WkGW收到的證書請求消息,轉(zhuǎn)發(fā)給OPKI CR/ CRL進(jìn)行設(shè)備商根證書的檢索;以及將OPKI CR/CRL檢索到的設(shè)備商根證書返回給%6評(píng),由 SeGff采用設(shè)備商根證書實(shí)現(xiàn)對eNB證書真實(shí)性的認(rèn)證。這里,該系統(tǒng)還包括eNB,eNB用于通過與kGW的認(rèn)證交互,完成IKE連接。其中, 所述認(rèn)證交互包括JeGW接收到eNB發(fā)送的IKE認(rèn)證(IKE_AUTH)請求消息,對IKE_AUTH請 求消息中的加密載荷解密,取出證書選項(xiàng)(CERT)中的eNB證書,對IKE_AUTH請求消息中的 認(rèn)證載荷(AUTH)進(jìn)行認(rèn)證;發(fā)起對設(shè)備商頒發(fā)的eNB證書真實(shí)性的認(rèn)證。一種基于信任列表的方法,該方法包括以下步驟步驟101、0PKI RA/CA將獲取的根證書發(fā)送到OPKI CR/CRL ;0PKICR/CRL存儲(chǔ)根證 書,并添加到信任列表。這里,根證書具體為設(shè)備商的根證書。OPKI RA/CA獲取該設(shè)備商根證書具體包括 OPKI RA/CA以安全的方式與VPKI RA/CA交互,并從VPKI RA/CA獲取到正確的設(shè)備商根證 書。其中,實(shí)現(xiàn)所述獲取的方式包括帶內(nèi)方式或帶外方式。步驟102、0PKI RA/CA 向 CffKI CR/CRL 發(fā)送證書請求消息;CffKI CR/CRL 收到 OPKI RA/CA發(fā)送的所述證書請求消息,從信任列表中檢索與證書請求消息相對應(yīng)的根證書,返回 檢索到的根證書給OPKI RA/CA。這里,針對由步驟101 步驟102所構(gòu)成的技術(shù)方案而言,該方法進(jìn)一步包括eNB 通過與kGW的認(rèn)證交互,完成IKE連接。 其中,認(rèn)證交互包括JeGW接收到eNB發(fā)送的IKE AUTH請求消息,對IKE AUTH請 求消息中的加密載荷解密,取出CERT證書選項(xiàng)中的eNB證書,對IKE AUTH請求消息中的 AUTH進(jìn)行認(rèn)證;發(fā)起對設(shè)備商頒發(fā)的eNB證書真實(shí)性的認(rèn)證。由于kGW可以選擇是否在本地存儲(chǔ)信任列表,因此,SeGff在存儲(chǔ)或不存儲(chǔ)信任列 表的情況下,SeGff發(fā)起對設(shè)備商頒發(fā)的eNB證書真實(shí)性的認(rèn)證后,所實(shí)現(xiàn)的eNB證書真實(shí) 性的認(rèn)證過程有所不同,以下分別闡述。第一種情況AeGW在本地未存儲(chǔ)有信任列表的情況。此時(shí),kGW發(fā)起對eNB證書真實(shí)性的認(rèn)證之前,還包括以下步驟步驟201、SeGff向OPKI RA/CA發(fā)送證書請求消息。步驟202、OPKI RA/CA將證書請求消息轉(zhuǎn)發(fā)給OPKI CR/CRL進(jìn)行設(shè)備商根證書的 檢索。步驟203、0PKI RA/CA將OPKI CR/CRL檢索到的設(shè)備商根證書返回給^^1,由kGW 采用設(shè)備商根證書實(shí)現(xiàn)對eNB證書真實(shí)性的認(rèn)證。第二種情況JeGW在本地存儲(chǔ)有信任列表的情況。此時(shí),SeGff發(fā)起對eNB證書真實(shí)性的認(rèn)證過程包括以下步驟步驟301、kGW先檢索本地信任列表中是否存儲(chǔ)有設(shè)備商根證書;如果有,則執(zhí)行 步驟302 ;否則,執(zhí)行步驟303。步驟302 JeGW采用設(shè)備商根證書完成對eNB證書真實(shí)性的認(rèn)證;結(jié)束當(dāng)前對eNB 證書真實(shí)性的認(rèn)證過程。步驟303、SeGff轉(zhuǎn)而向OPKI RA/CA發(fā)送證書請求消息。步驟304、OPKI RA/CA將證書請求消息轉(zhuǎn)發(fā)給OPKI CR/CRL進(jìn)行設(shè)備商根證書的檢索。步驟305、0PKI RA/CA將OPKI CR/CRL檢索到的設(shè)備商根證書返回給^^1,由kGW 采用設(shè)備商根證書實(shí)現(xiàn)對eNB證書真實(shí)性的認(rèn)證。綜上所述,本發(fā)明的目的是提供移動(dòng)回程網(wǎng)PKI信任模型的系統(tǒng)架構(gòu)及其具體管 理流程,以解決回程網(wǎng)中的證書管理和實(shí)體認(rèn)證問題,并通過證書分發(fā)過程中的雙向認(rèn)證 機(jī)制,解決了信任模型自身的安全問題。為了解決上述問題,本發(fā)明提供了移動(dòng)回程網(wǎng)PKI架構(gòu)和方法,在回程網(wǎng)中引入 基于信任列表的PKI模型,并且針對回程網(wǎng)特征,設(shè)計(jì)了信任模型的安全方案,所提架構(gòu)和 方法適用于不同移動(dòng)回程網(wǎng)場景。本發(fā)明主要包括以下內(nèi)容基于信任列表的移動(dòng)回程網(wǎng)PKI架構(gòu)如圖2所示。OPKI RA/CA是運(yùn)營商PKI系統(tǒng) 中的認(rèn)證機(jī)構(gòu)和注冊機(jī)構(gòu),負(fù)責(zé)運(yùn)營商PKI中的證書管理。VPKIRA/CA是設(shè)備商PKI系統(tǒng)中的認(rèn)證機(jī)構(gòu)和注冊機(jī)構(gòu),負(fù)責(zé)設(shè)備商I3KI中的證書管 理。OPKI CR/CRL是運(yùn)營商PKI中的證書庫和證書撤銷列表,負(fù)責(zé)存儲(chǔ)證書和證書撤銷列 表。kGW是運(yùn)營商域的邊界網(wǎng)關(guān),負(fù)責(zé)對進(jìn)出運(yùn)營商網(wǎng)絡(luò)的流進(jìn)行安全控制。信任列表由OPKI RA/CA負(fù)責(zé)管理。CffKI RA/CA和VPKI RA/CA通過安全的方式 進(jìn)行交互,并安全的獲得VPKI RA/CA的根證書。OPKI CR/CRL負(fù)責(zé)存儲(chǔ)信任列表,并維護(hù) 信任列表中根證書的狀態(tài)。&GW如果需要驗(yàn)證設(shè)備商頒發(fā)的eNB證書,可以向OPKI RA/CA 申請。OPKI RA/CA要保證信任列表中根證書分發(fā)消息的真實(shí)性和完整性。kGW可以選擇是否維護(hù)本地信任列表,如果維護(hù)本地信任列表,可以減少證書查 詢的延遲,并避免單點(diǎn)失敗,但是將增加信任列表維護(hù)成本。綜上所述,基于本發(fā)明提出的PKI模型系統(tǒng)架構(gòu)、以及基于該系統(tǒng)架構(gòu)管理信任 列表的具體流程,可以滿足回程網(wǎng)的安全需求,保障回程網(wǎng)安全應(yīng)用的順利實(shí)施。以下對本發(fā)明進(jìn)行舉例闡述。實(shí)例一圖3所示為本實(shí)例基于信任列表的移動(dòng)回程網(wǎng)PKI系統(tǒng)架構(gòu),實(shí)現(xiàn)對信任列表管 理的具體流程示意圖,該流程包括如下步驟步驟401:0PKI RA/CA與VPKI RA/CA進(jìn)行交互,從VPKI RA/CA獲得設(shè)備商根證 書。獲得設(shè)備商根證書用英文可以表示為0btain CERTvpki securely。其中的CERTvpki 表示設(shè)備商根證書。這里,當(dāng)設(shè)備商向運(yùn)營商提供基站設(shè)備的時(shí)候,應(yīng)該提供設(shè)備商根證書,用于認(rèn)證 提供的設(shè)備。設(shè)備商提供的根證書由OPKI RA/CA管理,OPKI RA/CA必須通過安全的方式 與VPKI RA/CA進(jìn)行交互,從VH(I RA/CA獲得設(shè)備商根證書。獲取的方式可以是帶內(nèi)或者 帶外方式。其中,就安全的方式而言,安全的方式包括帶有機(jī)密性、完整性保護(hù)的帶內(nèi)方式; 或者安全通信人員分發(fā)的帶外方式。步驟402 =OPKI RA/CA正確獲得設(shè)備商根證書后,存儲(chǔ)到OPKI CR/CRL中,并添加 到信任列表。
這里,添加到信任列表用英文可以表示為Add CERTvpki into trust list。步驟403 當(dāng)運(yùn)營商域中的kGW需要認(rèn)證設(shè)備商提供的基站時(shí),檢查本地是否有 對應(yīng)的設(shè)備商根證書。步驟404 如果kGW本地沒有對應(yīng)的設(shè)備商根證書,則向OPKI RA/CA發(fā)送證書請 求消息。這里,發(fā)送證書請求消息用英文可以表示為=Request {CERTREQVPKI}。步驟405 =OPKI RA/CA收到kGW發(fā)送的證書請求消息后,將該發(fā)送證書請求消息 轉(zhuǎn)發(fā)給OPKI CR/CRL,向OPKI CR/CRL檢索相應(yīng)的設(shè)備商根證書。步驟406:0PKI CR/CRL收到OPKI RA/CA的發(fā)送證書請求消息后,從信任列表中檢 索對應(yīng)的設(shè)備商根證書,返回檢索結(jié)果。這里,返回檢索結(jié)果采用的消息用英文可以表示為Response {CERTVPKI}。步驟407 =OPKI RA/CA接收到檢索結(jié)果,對檢索結(jié)果進(jìn)行簽名和完整性保護(hù),將簽 名后的消息返回給&GW。這里,返回簽名后的應(yīng)答消息用英文可以表示為Response {SKQPKI [CERTvpki] }。步驟408 =SeGff接收到OPKI RA/CA返回的應(yīng)答消息,檢查該應(yīng)答消息的簽名和完 整性,如果沒有問題,則取出并使用該應(yīng)答消息中的設(shè)備商根證書。步驟409 繼續(xù)后續(xù)IKE連接過程。實(shí)例二圖4所示為本實(shí)例的kGW不存儲(chǔ)信任列表的IKE認(rèn)證流程示意圖,該圖中eNB 和kGW之間進(jìn)行IKE協(xié)商,經(jīng)過協(xié)商建立IKE關(guān)聯(lián)。本實(shí)例中kGW不存儲(chǔ)設(shè)備商根證書, 需要設(shè)備商根證書時(shí)直接向OPKI RA/CA請求。該流程主要包括如下步驟步驟501 :eNB發(fā)起IKEv2初始化過程,發(fā)送IKE_SA_INIT請求消息給kGW,消息 內(nèi)容包括HDR、SA, KE和Ni。其中,HDR表示IKE_SA_INIT請求消息的報(bào)頭;Ni表示發(fā)起方eNB的隨機(jī)載荷;KE 表示發(fā)起者的Diffle-Hellman公開值;SA是安全關(guān)聯(lián),包含了發(fā)起者針對IKE-SA的建議, 建議包括加密算法、認(rèn)證算法以及DH組等內(nèi)容。這里,IKE_SA_INIT請求消息用英文可以表示為IKE_SA_INIT request (HDR, SA, KE, Ni)。步驟502 JeGW接收到eNB發(fā)送IKE_SA_INIT請求消息后,返回IKE_SA_INIT應(yīng)答 消息給eNB,應(yīng)答消息中包括HDR、SA、KE、Nr和CERTREQ證書請求選項(xiàng)。其中,Nr表示應(yīng)答方kGW的隨機(jī)載荷;CERTREQ表示證書請求。這里,IKE_SA_INIT應(yīng)答消息用英文可以表示為IKE_SA_INITresponse (HDR, SA, KE, Nr, CERTREQ)。步驟503 :eNB收到IKE_SA_INIT應(yīng)答消息后,利用IKE_SA_INIT階段協(xié)商的SA和 KE,發(fā)起認(rèn)證過程,發(fā)送IKE_AUTH請求消息給kGW。這里,IKE-AUTH請求消息中包括HDR以及一個(gè)加密載荷,加密載荷中包括用于請 求合法IP地址的CFG_REQUEST選項(xiàng),CERT證書選項(xiàng)和CERTREQ證書請求選項(xiàng)以及AUTH選 項(xiàng)。其中,CFG_REQUEST表示配置請求選項(xiàng);CERT證書選項(xiàng)中承載有eNB證書。
這里,IKE_AUTH請求消息用英文可以表示為IKE_AUTHrequest (HDR,SK {SA,TSi, TSr,CERT, IDi = ΝΑΙ, IDr,AUTH})。這里,CERTREQ證書請求選項(xiàng)用于請求kGW的證書和交叉證書,因?yàn)镃ERTREQ 證書請求選項(xiàng)最多可以放4個(gè)證書,所以kGW應(yīng)答的時(shí)候可以將證書和交叉證書都放在 CERTREQ證書請求選項(xiàng)發(fā)送給eNB。步驟504 JeGW接收到eNB發(fā)送的IKE AUTH請求消息,對加密載荷解密,取出CERT 證書選項(xiàng)中的eNB證書,對eNB發(fā)送的AUTH進(jìn)行認(rèn)證。步驟505 需要利用設(shè)備商根證書對eNB證書的真實(shí)性進(jìn)行認(rèn)證。由于本實(shí)例中 kGW本地不存儲(chǔ)相應(yīng)設(shè)備商根證書,則直接向OPKI RA/CA發(fā)送證書請求消息,請求對應(yīng)的 設(shè)備商根證書。這里,請求對應(yīng)的設(shè)備商根證書采用的消息用英文可以表示為 Request {CERTREQVPKI}。步驟506 當(dāng)OPKI RA/CA收到kGW發(fā)送的證書請求消息后,轉(zhuǎn)發(fā)該 Request {CERTREQVPKI}消息,向CffKI CR/CRL檢索對應(yīng)的設(shè)備商根證書。步驟507 =OPKI CR/CRL 收到 CffKI RA/CA 的 Request {CERTREQVPKI}消息,從信任列 表中檢索對應(yīng)的設(shè)備商根證書,返回檢索結(jié)果。這里,返回檢索結(jié)果采用的消息用英文可以表示為Response {CERTVPKI}。步驟508:0PKI RA/CA接收到檢索結(jié)果,對檢索結(jié)果進(jìn)行簽名和完整性保護(hù),將簽 名后的應(yīng)答消息返回給&GW。這里,返回簽名后的應(yīng)答消息用英文可以表示為Response {SKQPKI [CERTvpki] }。步驟509 JeGW接收到OPKI RA/CA返回的應(yīng)答消息,檢查應(yīng)答消息的簽名和完整 性,如果沒有問題,則取出應(yīng)答消息中的設(shè)備商根證書。步驟510 =SeGff利用設(shè)備商根證書對eNB證書的真實(shí)性進(jìn)行認(rèn)證,并驗(yàn)證eNB證書 的有效性。步驟511 =SeGff完成對eNB認(rèn)證后返回IKE_AUTH應(yīng)答消息給eNB,IKE_AUTH應(yīng)答 消息中包括CERT證書選項(xiàng),該CERT證書選項(xiàng)承載有kGW的證書和交叉證書。這里,IKE_AUTH應(yīng)答消息用英文可以表示為IKE-AUTH response (HDRSK{AUTH, CERT, SA, TSi,TSr})。步驟512 :eNB接收到kGW返回的IKE_AUTH應(yīng)答消息,利用kGW的證書對kGW 發(fā)送的AUTH進(jìn)行認(rèn)證,驗(yàn)證AUTH的正確性。同時(shí)eNB利用交叉證書對kGW的證書的真實(shí) 性進(jìn)行認(rèn)證,并通過查詢CRL驗(yàn)證kGW的證書的有效性。eNB利用設(shè)備商根證書驗(yàn)證交叉 證書的真實(shí)性,并查詢CRL驗(yàn)證交叉證書的有效性。以上流程中,如果認(rèn)證沒有通過,則認(rèn)證流程終止。該采用預(yù)共享密鑰的認(rèn)證過程是在IKEv2協(xié)議中規(guī)定的,具體可以參考IKEv2協(xié) 議。實(shí)例三圖5所示為本實(shí)例WkGW存儲(chǔ)用戶信任列表的IKE認(rèn)證流程示意圖,該圖中eNB 和kGW之間進(jìn)行IKE協(xié)商,經(jīng)過協(xié)商建立IKE關(guān)聯(lián)。本實(shí)例中kGW維護(hù)著一個(gè)本地的信 任列表,需要設(shè)備商根證書時(shí)首先檢查本地信任列表中是否有該證書,如果本地存儲(chǔ)有信任列表,則可以直接使用,以減少驗(yàn)證延遲,并可以避免單點(diǎn)失敗。該流程包括如下步驟步驟601 :eNB發(fā)起IKEv2初始化過程,發(fā)送IKE_SA_INIT請求消息給kGW,消息 內(nèi)容包括HDR、SA, KE和Ni。這里,IKE_SA_INIT請求消息用英文可以表示為IKE_SA_INIT request (HDR, SA, KE, Ni)。步驟602 =SeGff接收到eNB發(fā)送IKE_SA_INIT請求消息后返回IKE_SA_INIT應(yīng)答 消息給eNB,應(yīng)答消息中包括HDR、SA、KE、Nr和CERTREQ證書請求選項(xiàng)。這里,IKE_SA_INIT應(yīng)答消息用英文可以表示為IKE_SA_INITresponse (HDR, SA, KE, Nr, CERTREQ)。步驟603 :eNB收到IKE_SA_INIT應(yīng)答消息后,利用IKE_SA_INIT階段協(xié)商的SA和 KE,發(fā)起認(rèn)證過程,發(fā)送IKE_AUTH請求消息給kGW。這里,IKE-AUTH請求消息中包括HDR以及一個(gè)加密載荷,加密載荷中包括用于請 求合法IP地址的CFG_REQUEST選項(xiàng),CERT證書選項(xiàng)和CERTREQ證書請求選項(xiàng)以及AUTH選 項(xiàng)。其中,CERT證書選項(xiàng)中承載有eNB證書。這里,IKE_AUTH請求消息用英文可以表示為IKE_AUTHrequest (HDR, SK {SA, TSi, TSr, CERT, IDi = ΝΑΙ, IDr,AUTH})。這里,CERTREQ證書請求選項(xiàng)用于請求kGW的證書和交叉證書,因?yàn)镃ERTREQ 證書請求選項(xiàng)最多可以放4個(gè)證書,所以kGW應(yīng)答的時(shí)候可以將證書和交叉證書都放在 CERTREQ證書請求選項(xiàng)發(fā)送給eNB。步驟604 JeGW接收到eNB發(fā)送的IKE_AUTH請求消息,對加密載荷解密,取出CERT 證書選項(xiàng)中的eNB證書,對eNB發(fā)送的AUTH進(jìn)行認(rèn)證。此外,還需要利用設(shè)備商根證書對 eNB證書的真實(shí)性進(jìn)行認(rèn)證。由于本實(shí)例中&GW本地存儲(chǔ)有一個(gè)本地信任列表,本地信任 列表中包含有設(shè)備商根證書。所以&GW首先檢查本地信任列表中是否有需要的證書,如果 有,則直接轉(zhuǎn)到步驟611。如果本地信任列表沒有需要的設(shè)備商根證書,則執(zhí)行步驟605。步驟605 =SeGff向OPKI RA/CA發(fā)送證書請求消息,請求對應(yīng)的設(shè)備商根證書。這里,請求對應(yīng)的設(shè)備商根證書采用的消息用英文可以表示為 Request {CERTREQVPKI}。步驟606 當(dāng)OPKI RA/CA收到kGW發(fā)送的證書請求消息后,轉(zhuǎn)發(fā)該 Request {CERTREQVPKI}消息,向CffKI CR/CRL檢索對應(yīng)的設(shè)備商根證書。步驟607 =OPKI CR/CRL 收到 OPKI RA/CA 的 Request {CERTREQVPKI}消息,從信任列 表中檢索對應(yīng)的設(shè)備商根證書,返回檢索結(jié)果。這里,返回檢索結(jié)果采用的消息用英文可以表示為Response {CERTVPKI}。步驟608:0PKI RA/CA接收到檢索結(jié)果,對檢索結(jié)果進(jìn)行簽名和完整性保護(hù),將簽 名后的應(yīng)答消息返回給&GW。這里,返回簽名后的應(yīng)答消息用英文可以表示為Response {SKQPKI [CERTvpki] }。步驟609 JeGW接收到OPKI RA/CA返回的應(yīng)答消息,檢查消息的簽名和完整性,如 果沒有問題,則取出應(yīng)答消息中的設(shè)備商根證書。步驟610 =SeGff利用設(shè)備商根證書對eNB證書的真實(shí)性進(jìn)行認(rèn)證,并驗(yàn)證eNB證書 的有效性。
12
步驟611 =SeGff完成對eNB認(rèn)證后返回IKE_AUTH應(yīng)答消息給eNB,IKE_AUTH應(yīng)答 消息中包括CERT證書選項(xiàng),該CERT證書選項(xiàng)承載有kGW的證書和交叉證書。這里,IKE_AUTH應(yīng)答消息用英文可以表示為IKE-AUTH response (HDRSK{AUTH, CERT, SA, TSi,TSr})。步驟612 :eNB接收到kGW返回的IKE_AUTH應(yīng)答消息,利用kGW的證書對kGW 發(fā)送的AUTH進(jìn)行認(rèn)證,驗(yàn)證AUTH的正確性。同時(shí)eNB利用交叉證書對kGW的證書的真實(shí) 性進(jìn)行認(rèn)證,并通過查詢CRL驗(yàn)證kGW的證書的有效性。eNB利用設(shè)備商根證書驗(yàn)證交叉 證書的真實(shí)性,并查詢CRL驗(yàn)證交叉證書的有效性。以上流程中,如果認(rèn)證沒有通過,則認(rèn)證流程終止。該采用預(yù)共享密鑰的認(rèn)證過程是在IKEv2協(xié)議中規(guī)定的,具體可以參考IKEv2協(xié) 議。這里,對上述各圖和文字中涉及到的中英文做一對比說明圖 1 中,授權(quán)機(jī)構(gòu) A 指 Security domainA ;授權(quán)機(jī)構(gòu) B 指 Security domain B ; 互聯(lián)CAa指Interconnection CAa,其中CA指證書授權(quán)中心;互聯(lián)CAb指Interconnection CAb ;SEG CAa指安全網(wǎng)關(guān)CAa,其中CA指證書授權(quán)中心;SEGCAb指安全網(wǎng)關(guān)CAb ;NEa^1指網(wǎng)元 NEp1 ;NEb^1指網(wǎng)元NEp1 ;NEa_2指網(wǎng)元NEa_2 ;NEb_2指網(wǎng)元NEB_2 ;SEGa指安全網(wǎng)關(guān)A ;SEGb指安 全網(wǎng)關(guān)B ;Zb指接口 Zb Ja指接口 Za0以上所述,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種基于信任列表的系統(tǒng),其特征在于,該系統(tǒng)包括公鑰基礎(chǔ)設(shè)施授權(quán)中心/注冊 中心(0ΡΚΙ RA/CA)和公鑰基礎(chǔ)設(shè)施證書庫/證書撤銷列表(0PKICR/CRL);其中,OPKI RA/CA,用于將獲取的根證書發(fā)送到OPKI CR/CRL中存儲(chǔ);以及向OPKI CR/CRL發(fā) 送證書請求消息;OPKI CR/CRL,用于存儲(chǔ)所述根證書,并添加到信任列表;以及收到0PKIRA/CA發(fā)送的 所述證書請求消息,從所述信任列表中檢索與所述證書請求消息相對應(yīng)的根證書,返回檢 索到的所述根證書給所述OPKI RA/CA。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,所述OPKIRA/CA和0PKICR/CRL隸屬于運(yùn) 營商;所述根證書為設(shè)備商的根證書。
3.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,該系統(tǒng)還包括設(shè)備商公鑰基礎(chǔ)設(shè)施授權(quán) 中心/注冊中心(VPKI RA/CA),用于與所述OPKI RA/CA以安全的方式進(jìn)行交互,并將正確 的設(shè)備商根證書發(fā)送給所述OPKI RA/CA ;所述OPKI RA/CA,進(jìn)一步用于以安全的方式從VPKI RA/CA獲取到正確的設(shè)備商根證 書;其中,實(shí)現(xiàn)所述獲取的方式包括帶內(nèi)方式或帶外方式。
4.根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的系統(tǒng),其特征在于,該系統(tǒng)還包括安全網(wǎng)關(guān) (SeGW),用于在本地存儲(chǔ)有信任列表的情況下,在認(rèn)證設(shè)備商頒發(fā)的增強(qiáng)型基站(eNB)證 書的情況時(shí),先檢索本地信任列表中是否存儲(chǔ)有設(shè)備商根證書,如果有,則采用設(shè)備商根證 書完成對eNB證書的認(rèn)證;否則,轉(zhuǎn)而向所述OPKI RA/CA發(fā)送證書請求消息;所述kGW,還用于在本地未存儲(chǔ)有信任列表的情況下,在認(rèn)證設(shè)備商頒發(fā)的eNB證書 的情況時(shí),直接向所述OPKI RA/CA發(fā)送證書請求消息。
5.根據(jù)權(quán)利要求4所述的系統(tǒng),其特征在于,所述OPKIRA/CA,進(jìn)一步用于將從所述 SeGff收到的證書請求消息,轉(zhuǎn)發(fā)給所述OPKI CR/CRL進(jìn)行設(shè)備商根證書的檢索;以及將所 述OPKI CR/CRL檢索到的設(shè)備商根證書返回給所述kGW,采用設(shè)備商根證書實(shí)現(xiàn)對 eNB證書的認(rèn)證。
6.根據(jù)權(quán)利要求5所述的系統(tǒng),其特征在于,該系統(tǒng)還包括eNB,用于通過與所述義訓(xùn) 的認(rèn)證交互,完成因特網(wǎng)密鑰交換協(xié)議(IKE)連接;其中,所述認(rèn)證交互包括所述&GW接收到所述eNB發(fā)送的因特網(wǎng)密鑰交換協(xié)議認(rèn)證(IKE_ AUTH)請求消息,對IKE_AUTH請求消息中的加密載荷解密,取出證書選項(xiàng)(CERT)中的eNB 證書,對IKE_AUTH請求消息中的認(rèn)證載荷(AUTH)進(jìn)行認(rèn)證;發(fā)起對設(shè)備商頒發(fā)的eNB證書 真實(shí)性的認(rèn)證。
7.一種基于信任列表的方法,其特征在于,該方法包括OPKI RA/CA將獲取的根證書發(fā)送到OPKI CR/CRL ;OPKI CR/CRL存儲(chǔ)所述根證書,并添 加到信任列表;OPKI RA/CA向OPKI CR/CRL發(fā)送證書請求消息;OPKI CR/CRL收到OPKI RA/CA發(fā)送的 所述證書請求消息,從所述信任列表中檢索與所述證書請求消息相對應(yīng)的根證書,返回檢 索到的根證書給所述OPKI RA/CA。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述根證書為設(shè)備商的根證書;所述OPKI RA/CA獲取所述設(shè)備商根證書具體包括所述OPKI RA/CA以安全的方式與VPKI RA/CA交 互,并從VPKI RA/CA獲取到正確的設(shè)備商根證書;其中,實(shí)現(xiàn)所述獲取的方式包括帶內(nèi)方式或帶外方式。
9.根據(jù)權(quán)利要求7或8所述的方法,其特征在于,該方法進(jìn)一步包括eNB通過與義訓(xùn) 的認(rèn)證交互,完成IKE連接;其中,所述認(rèn)證交互包括所述&GW接收到所述eNB發(fā)送的IKE_AUTH請求消息,對IKE_AUTH 請求消息中的加密載荷解密,取出CERT證書選項(xiàng)中的eNB證書,對IKE_AUTH請求消息中的 AUTH進(jìn)行認(rèn)證;發(fā)起對設(shè)備商頒發(fā)的eNB證書真實(shí)性的認(rèn)證。
10.根據(jù)權(quán)利要求9所述的方法,其特征在于,kGW在本地未存儲(chǔ)有信任列表的情況 下,所述&GW發(fā)起對所述eNB證書真實(shí)性的認(rèn)證之前,還包括所述kGW向所述OPKI RA/CA發(fā)送證書請求消息;所述OPKI RA/CA將所述證書請求消 息轉(zhuǎn)發(fā)給所述OPKI CR/CRL進(jìn)行設(shè)備商根證書的檢索;OPKI RA/CA將OI3KI CR/CRL檢索到的設(shè)備商根證書返回給kGW,由kGW采用設(shè)備商 根證書實(shí)現(xiàn)對eNB證書的認(rèn)證。
11.根據(jù)權(quán)利要求9所述的方法,其特征在于,kGW在本地存儲(chǔ)有信任列表的情況下, 所述kGW發(fā)起對所述eNB證書真實(shí)性的認(rèn)證的過程包括所述&GW先檢索本地信任列表中是否存儲(chǔ)有設(shè)備商根證書;如果有,則采用所述設(shè)備 商根證書完成對eNB證書的認(rèn)證;否則,轉(zhuǎn)而向所述OPKI RA/CA發(fā)送證書請求消息;所述OPKI RA/CA將所述證書請求消息轉(zhuǎn)發(fā)給所述OPKI CR/CRL進(jìn)行設(shè)備商根證書的 檢索;OPKI RA/CA將OI3KI CR/CRL檢索到的設(shè)備商根證書返回給kGW,由kGW采用設(shè)備商 根證書實(shí)現(xiàn)對eNB證書的認(rèn)證。
全文摘要
本發(fā)明公開了一種基于信任列表的系統(tǒng),該系統(tǒng)中的運(yùn)營商公鑰基礎(chǔ)設(shè)施證書庫/證書撤銷列表(OPKI CR/CRL)用于存儲(chǔ)根證書,并添加到信任列表;以及收到運(yùn)營商公鑰基礎(chǔ)設(shè)施授權(quán)中心/注冊中心(OPKI RA/CA)發(fā)送的證書請求消息,從信任列表中檢索與證書請求消息相對應(yīng)的根證書,返回檢索到的根證書給OPKI RA/CA。本發(fā)明公開了一種基于信任列表的方法,OPKI CR/CRL從信任列表中檢索對應(yīng)的根證書返回給OPKI RA/CA。采用本發(fā)明的系統(tǒng)及方法,實(shí)現(xiàn)了基于信任列表的PKI模型的系統(tǒng)架構(gòu)及其具體管理流程,從而滿足了回程網(wǎng)安全的需求。
文檔編號(hào)H04W12/06GK102088699SQ20091024213
公開日2011年6月8日 申請日期2009年12月8日 優(yōu)先權(quán)日2009年12月8日
發(fā)明者端時(shí)立, 陳書義, 韋銀星, 高峰 申請人:中興通訊股份有限公司