在無線網(wǎng)絡(luò)中管理數(shù)字證書的靈活系統(tǒng)和方法
【專利摘要】提供一種用于在無線回程網(wǎng)絡(luò)中管理用于網(wǎng)絡(luò)安全的數(shù)字證書的分發(fā)的基礎(chǔ)設(shè)施體系。在實(shí)施例中，根證書管理系統(tǒng)（根CMS）處理對數(shù)字證書的請求，發(fā)布根證書，自動(dòng)認(rèn)證代理證書管理系統(tǒng)（sur-CMS），以及自動(dòng)處理證書請求，并向被成功認(rèn)證的sur-CMS發(fā)布證書包。該基礎(chǔ)設(shè)施體系包括在各自的區(qū)域內(nèi)被分配了基站的sur-CMS。每個(gè)sur-CMS自動(dòng)認(rèn)證它自己的基站，自動(dòng)處理證書請求，并向被成功認(rèn)證的基站發(fā)布證書包。發(fā)布給基站的證書包包括由發(fā)布sur-CMS簽名的該基站的公共密鑰的數(shù)字證書和至少一個(gè)其它數(shù)字證書，其包括根CMS的自簽名證書。
【專利說明】在無線網(wǎng)絡(luò)中管理數(shù)字證書的靈活系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及管理由無線網(wǎng)絡(luò)中的網(wǎng)絡(luò)單元使用的安全數(shù)字證書以認(rèn)證安全協(xié)議的系統(tǒng)和方法。
【背景技術(shù)】
[0002]無線網(wǎng)絡(luò)中的無線接入網(wǎng)絡(luò)(RAN)已經(jīng)從電路交換網(wǎng)絡(luò)演進(jìn)到分組交換網(wǎng)絡(luò)，以滿足不斷增長的攜帶無線高速分組數(shù)據(jù)和與其它分組數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行交互和操作的需求。無線4G特別是LTE技術(shù)的出現(xiàn)已經(jīng)提出了具有全I(xiàn)P基礎(chǔ)協(xié)議以用于通信的更快更平坦的網(wǎng)絡(luò)體系架構(gòu)。相對于較早的網(wǎng)絡(luò)，LTE網(wǎng)絡(luò)例如具有更少的錨點(diǎn)(anchor point)、在邊緣處更大的控制邏輯分布和驅(qū)動(dòng)在多個(gè)運(yùn)營商之間共享的傳輸?shù)母咝^(qū)帶寬。一個(gè)后果是諸如計(jì)算機(jī)、服務(wù)器、路由器和基站的RAN網(wǎng)絡(luò)單元以及它們之間的接口被暴露給IP業(yè)務(wù)。這對在網(wǎng)絡(luò)層和更高層的NE引入了安全威脅和漏洞。需要解決這種威脅和漏洞。
[0003]網(wǎng)絡(luò)運(yùn)營商已經(jīng)采用以保護(hù)RAN網(wǎng)絡(luò)單元不受這種威脅和漏洞的一個(gè)防御措施已經(jīng)被實(shí)施到RAN所使用的通信協(xié)議的安全版本中。一個(gè)例子是稱為IP安全(IPsec)的安全協(xié)議集，其由互聯(lián)網(wǎng)工程任務(wù)組(IETF)開發(fā)以支持在IP層的分組的安全交換。
[0004]在其它有利的屬性中，IPsec是可擴(kuò)展的，以使得它可以在從LAN到全球網(wǎng)的所有規(guī)模的網(wǎng)絡(luò)中得到支持。它運(yùn)行在低的網(wǎng)絡(luò)層，因此不受用戶、應(yīng)用和高級協(xié)議的影響。它不限于特定的應(yīng)用。它不需要更新傳輸協(xié)議(例如TCP、UDP、SCTP)或更高層協(xié)議(例如http、ftp、SSH)和應(yīng)用。IPsec可封裝IP分組以形成IPsec隧道,其保留分組的原始屬性并在網(wǎng)絡(luò)層提供安全VPN。
[0005]IPsec支持源認(rèn)證、完整性保護(hù)和逐個(gè)分組的加密。為此，IPsec依賴在兩個(gè)IPsec對等體之間共享的秘密密鑰，并依賴在IPsec活動(dòng)期間在兩個(gè)對等體之間達(dá)成一致的若干對稱性加密算法(對稱加密算法)的執(zhí)行。對稱加密算法使用會(huì)話密鑰，其由IPsec從在每個(gè)IPsec對等體中存儲的預(yù)先建立的密鑰中導(dǎo)出。稱為因特網(wǎng)密鑰交換(IKE)的協(xié)議在IPsec活動(dòng)期間和在密鑰被刷新時(shí)完成密鑰協(xié)商和密鑰協(xié)定。
[0006]IKE是在IPsec被激活時(shí)運(yùn)行的第一協(xié)議。雖然IKE的兩個(gè)當(dāng)前標(biāo)準(zhǔn)版本，即IKEvl和IKEv2，并不互相兼容，但它們具有某些共同的屬性，對其進(jìn)行簡要描述。IKE的兩個(gè)版本在兩個(gè)階段執(zhí)行消息交換。在第一階段，IKE設(shè)置安全通道以在兩個(gè)IPsec對等體之間建立安全關(guān)聯(lián)(Security Association)。在第二階段，IKE對等體認(rèn)證彼此。如果任意一個(gè)階段失敗，則IPsec連接被終止。
[0007]IKE認(rèn)證的幾種備選方法是已知的。在一個(gè)廣泛應(yīng)用的方法中，X.509數(shù)字證書在IKE認(rèn)證階段在兩個(gè)IPsec對等體之間交換。根據(jù)已知的過程，數(shù)字證書從認(rèn)證機(jī)構(gòu)(CA)獲取。數(shù)字證書提供更大的靈活性以將公共密鑰綁定到許多身份類型、數(shù)據(jù)信息和格式。X.509是來自ITU-T的公共密鑰體系的標(biāo)準(zhǔn)。ITU-T是國際電信聯(lián)盟的電信標(biāo)準(zhǔn)化部門。
[0008]例如，LTE回程網(wǎng)絡(luò)中的基站、服務(wù)器或者某些其它用作IP主機(jī)的實(shí)體可通過將公共密鑰和主機(jī)身份作為參數(shù)插入主機(jī)數(shù)字證書中以使得IPsec主機(jī)證書包含這兩個(gè)參數(shù)來將主機(jī)公共密鑰綁定到主機(jī)身份上。
[0009]使用數(shù)字證書以用于IKE相互認(rèn)證的方法是有利的，因?yàn)槌似渌蛲膺@些方法是可擴(kuò)展的:當(dāng)IPsec被激活時(shí)節(jié)點(diǎn)網(wǎng)絡(luò)中認(rèn)證每個(gè)節(jié)點(diǎn)所需的證書的數(shù)量與節(jié)點(diǎn)的數(shù)量是線性關(guān)系。
[0010]在IKE認(rèn)證期間，每個(gè)節(jié)點(diǎn)交換證書包(certificates bundle)(包通常擁有一個(gè)到三個(gè)證書)以提供其身份的證明。包形成證書的授權(quán)鏈，其定義從IP主機(jī)的身份開始一路到接收方所信任的錨點(diǎn)的可信路徑。如果授權(quán)鏈可以從可信錨點(diǎn)到對等體證書逐個(gè)證書地驗(yàn)證，則IKE對等體被認(rèn)證。為了認(rèn)證過程成功地完成，每個(gè)IKE對等體需要被提供正確的證書包，否則IKE認(rèn)證階段將失敗。
[0011]需要使管理和刷新數(shù)字證書的過程自動(dòng)進(jìn)行，以使得諸如無線回程的大型網(wǎng)絡(luò)的需求可以滿足。

【發(fā)明內(nèi)容】

[0012]我們已經(jīng)開發(fā)了一種用于在大型無線回程網(wǎng)絡(luò)中管理數(shù)字證書的自動(dòng)方法?？蓪⒃撟詣?dòng)方法稱為分層方法，因?yàn)樗蕾嚬芾頂?shù)字證書的兩級或更多級節(jié)點(diǎn)。后面將描述若干實(shí)施方式，每一個(gè)都具有涉及證書授權(quán)的特定節(jié)點(diǎn)模型層級。在將要被描述的每個(gè)實(shí)施方式中，假定證書的管理經(jīng)由安全和認(rèn)證通道執(zhí)行，以使得只有合法證書被發(fā)送到IKE對等體并被其接受。
[0013]因此，在系統(tǒng)的實(shí)現(xiàn)中，根證書管理系統(tǒng)(根CMS)被授權(quán)發(fā)布根證書。根CMS被配置為自動(dòng)認(rèn)證代理證書管理系統(tǒng)(sur-CMS)，并自動(dòng)向被成功認(rèn)證的任何sur-CMS發(fā)布證書包。該系統(tǒng)包括兩個(gè)或多個(gè)sur-CMS，其每一個(gè)在各自的區(qū)域內(nèi)具有分配給它的一個(gè)或多個(gè)基站。每個(gè)sur-CMS被配置為自動(dòng)認(rèn)證它自己的基站，并自動(dòng)向它成功認(rèn)證的每個(gè)基站發(fā)布證書包。發(fā)布給基站的每個(gè)證書包包括由發(fā)布sur-CMS簽名的該基站的公共密鑰的數(shù)字證書。發(fā)布給基站的每個(gè)證書包還包括至少一個(gè)其它數(shù)字證書，包括根CMS的自簽名證書。
【專利附圖】

【附圖說明】
[0014]圖1是典型LTE網(wǎng)絡(luò)的高級示意圖。
[0015]圖2是其中已經(jīng)實(shí)現(xiàn)了安全措施的LTE網(wǎng)絡(luò)的一部分的高級框圖。
[0016]圖3至圖5是各種用于在無線網(wǎng)絡(luò)中管理數(shù)字證書的CMS分層體系架構(gòu)模型的示意圖。各個(gè)圖中的相同單元被付與相同的附圖標(biāo)記。
[0017]圖3是其中沒有運(yùn)營商認(rèn)證機(jī)構(gòu)(CA)且每個(gè)節(jié)點(diǎn)信任根CMS的CA的模型的示意圖。
[0018]圖4是其中運(yùn)營商擁有CA且每個(gè)節(jié)點(diǎn)信任運(yùn)營商CA的模型的示意圖。
[0019]圖5是其中具有運(yùn)營商CA且基站信任根CMS的CA且SEG信任運(yùn)營商CA的直接交叉認(rèn)證模型的示意圖。
[0020]圖6是其中具有兩個(gè)可信機(jī)構(gòu)的模型的示意圖。即，基站信任根CMS的CA，SEG信任外部CA。
[0021]圖7至圖11是協(xié)議消息傳送圖，其表示如在此描述的數(shù)字證書管理的若干用例。【具體實(shí)施方式】
[0022]首先參照圖1簡要描述LTE網(wǎng)絡(luò)的主要特征。盡管本發(fā)明參照其在LTE網(wǎng)絡(luò)中的特定實(shí)線來描述，但這種描述僅是為了說明的目的，并不意味著暗示本發(fā)明的范圍局限于此。例如，其中本方法在大部分方面可以實(shí)現(xiàn)的其它類型的網(wǎng)絡(luò)包括WiF1、WCDMA, CDMA/EVDO 和 GSM。
[0023]LTE是UMTS電信的第四代增強(qiáng)型，其包括全I(xiàn)P網(wǎng)絡(luò)體系架構(gòu)。LTE通過第三代伙伴計(jì)劃(3GPP)的一系列版本引入。在LTE中，GPRS核心網(wǎng)絡(luò)被系統(tǒng)架構(gòu)演進(jìn)(SAE)替換，SAE是平坦的基于IP的網(wǎng)絡(luò)體系架構(gòu)。由于LTE是端到端全I(xiàn)P，因此，LTE的移動(dòng)手持設(shè)備和其它終端設(shè)備100已嵌入了 IP功能，稱為演進(jìn)NodeB CeNodeB)的基站是基于IP的。
[0024]演進(jìn)分組核心(EPC) 130是SAE的主要架構(gòu)組件。從圖中可以看出，EPC包括四個(gè)單元:服務(wù)網(wǎng)關(guān)(SGW) 140、分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)(PGW) 150、移動(dòng)性管理實(shí)體(MME) 160和策略與計(jì)費(fèi)規(guī)則功能(PCRF) 170。SGW、PGff和MME在3GPP版本8中被引入，PCRF在3GPP版本7中被引入。
[0025]SGff是數(shù)據(jù)平面單元。它的主要功能是管理用戶平面移動(dòng)性和用作無線接入網(wǎng)絡(luò)(RAN)與核心網(wǎng)絡(luò)之間的分界點(diǎn)。SGW維護(hù)eNodeB與PGW之間的數(shù)據(jù)路徑。
[0026]PGW是去往分組數(shù)據(jù)網(wǎng)絡(luò)的分組數(shù)據(jù)接口的端點(diǎn)。因此，它是用于UE即用戶終端的業(yè)務(wù)的入口點(diǎn)和出口點(diǎn)。PGW支持運(yùn)營商定義的資源分配和使用、分組過濾和計(jì)費(fèi)的策略。
[0027]MME執(zhí)行管理UE對網(wǎng)絡(luò)連接的接入的信令和控制功能、網(wǎng)絡(luò)資源的分配和移動(dòng)性狀態(tài)的管理以支持跟蹤、尋呼、漫游和切換以及所有其它與用戶和會(huì)話管理有關(guān)的控制平面功能。
[0028]PCRF支持服務(wù)數(shù)據(jù)流檢測、策略執(zhí)行和基于流量的計(jì)費(fèi)。(在LTE中，服務(wù)數(shù)據(jù)流SDF是載有數(shù)據(jù)平面業(yè)務(wù)的虛擬連接。)
[0029]另外，如圖所示，與EPC連接的是用于支持MS服務(wù)的MS管理網(wǎng)絡(luò)180和歸屬用戶服務(wù)器(HSS) 190，其包括用戶數(shù)據(jù)庫并通過提供用戶認(rèn)證、定位和訂閱服務(wù)來支持處理呼叫的MS網(wǎng)絡(luò)實(shí)體。圖中還示出了 OAM服務(wù)器200，其提供用于LTE網(wǎng)絡(luò)的操作、管理和維護(hù)功能。
[0030]進(jìn)一步參照圖1，可以看出，以太網(wǎng)回程網(wǎng)絡(luò)210將eNodeB彼此連接并連接到EPC0與包括eNodeB120和網(wǎng)絡(luò)210的無線接入網(wǎng)絡(luò)之間的各種互連可以通過網(wǎng)絡(luò)級多層交換機(jī)(MLS) 220轉(zhuǎn)接。通信網(wǎng)絡(luò)230和240可分別在回程與EPC以及OAM服務(wù)器之間提供通信。諸如網(wǎng)絡(luò)230和249的網(wǎng)絡(luò)通常是由網(wǎng)絡(luò)運(yùn)營商擁有的專用網(wǎng)絡(luò)。
[0031]圖2示出其中安全措施已被實(shí)施的LTE網(wǎng)絡(luò)體系結(jié)構(gòu)的一個(gè)例子。與圖1相同的附圖單元被付與相同的附圖標(biāo)記。在圖2中可以看出，網(wǎng)絡(luò)級層間交換網(wǎng)絡(luò)(圖1中用附圖標(biāo)記220指出)現(xiàn)在包括安全網(wǎng)關(guān)(SEG) 250。如果IPsec協(xié)議集已經(jīng)被實(shí)施，則SEG也可稱為IPsec網(wǎng)關(guān)。
[0032]由于移動(dòng)基礎(chǔ)設(shè)施體系通常非常大并且包括非常多的節(jié)點(diǎn)，因此，通常有利地，將RAN細(xì)分成多個(gè)區(qū)域，諸如圖2的區(qū)域Rl和R2。每個(gè)區(qū)域包含多個(gè)基站，這些基站通常在地理上彼此相對接近。對于特定區(qū)域內(nèi)的安全通信，區(qū)域中的基站直接經(jīng)由IPsec隧道260連接到安全網(wǎng)關(guān)(SEG)聚合器。對于區(qū)域之間的安全通信，在不同區(qū)域內(nèi)的SEG之間穿過網(wǎng)絡(luò)290的IPsec隧道280用于保護(hù)每個(gè)區(qū)域的周邊。因此，例如，隧道280可用于在由第三方擁有的網(wǎng)絡(luò)上漫游期間保護(hù)業(yè)務(wù)。穿過網(wǎng)絡(luò)230的IPsec隧道270用于例如保護(hù)控制平面和用戶平面業(yè)務(wù)，包括MSI和其它用戶機(jī)密信息。
[0033]我們的方法將被實(shí)現(xiàn)為管理例如X.509數(shù)字證書的應(yīng)用基礎(chǔ)設(shè)施體系。該應(yīng)用基礎(chǔ)設(shè)施體系將在適當(dāng)?shù)挠布C(jī)器上執(zhí)行，其中硬件機(jī)器例如可以是數(shù)字信號處理器或者專用或通用數(shù)字計(jì)算機(jī)。為此，它可被提供為采用源或目標(biāo)代碼的一組指令或者為一組機(jī)器可執(zhí)行指令。前述的任意一個(gè)可被提供為包含在有形、非瞬態(tài)機(jī)器可讀媒體中，諸如光盤、現(xiàn)場可編程門陣列或計(jì)算機(jī)存儲器設(shè)備。
[0034]可以看出，該應(yīng)用基礎(chǔ)設(shè)施體系將根據(jù)運(yùn)營商命令觸發(fā)數(shù)字證書請求，對數(shù)字證書進(jìn)行簽名，并向無線回程網(wǎng)絡(luò)中的IP節(jié)點(diǎn)分發(fā)證書包。
[0035]應(yīng)用基礎(chǔ)設(shè)施體系可進(jìn)一步被有利地設(shè)計(jì)為支持自配置場景，據(jù)此，例如，如果用于即插即用等的新的IP節(jié)點(diǎn)已經(jīng)從工廠配備了考慮了 IP節(jié)點(diǎn)的初始認(rèn)證的證書，則它可以在現(xiàn)場部署而無需技術(shù)人員支持。
[0036]應(yīng)用基礎(chǔ)設(shè)施體系可進(jìn)一步被有利地設(shè)計(jì)為在IP主機(jī)中駐留證書以支持遷移場景，據(jù)此，例如，無證書的傳統(tǒng)IP節(jié)點(diǎn)從先前的軟件版本遷移到新的版本。這樣，傳統(tǒng)IP節(jié)點(diǎn)遠(yuǎn)程而無需人工干預(yù)地獲取它需要的證書包，以便被IPsec中的IKE協(xié)議認(rèn)證。
[0037]應(yīng)用基礎(chǔ)設(shè)施體系通常被安置在固定在無線網(wǎng)絡(luò)中的集中式平臺中，但它也可以安裝在諸如膝上型計(jì)算機(jī)的本地平臺。即，本地平臺可被配置為在諸如小區(qū)基站的本地站點(diǎn)處管理證書，以為了例如下載IP主機(jī)證書以用于安裝在新部署的基站中，這些基站在工廠中未被提供證書，因此在初始配置時(shí)，不能認(rèn)證它們自己。
[0038]在本地平臺的另一個(gè)例子中，應(yīng)用基礎(chǔ)設(shè)施體系例如在工廠中使用以下載數(shù)字證書包。
[0039]我們的應(yīng)用基礎(chǔ)設(shè)施體系具有兩個(gè)或多個(gè)層級。使用多個(gè)級別，特別地使用兩個(gè)級別，對于簡化證書的管理是有利的，還提供至少一個(gè)中間層以將根認(rèn)證機(jī)構(gòu)與用戶隔離，并因此保護(hù)它以避免攻擊者企圖獲取例如私鑰。
[0040]更具體地，每個(gè)管理事務(wù)在本地執(zhí)行，以使得僅有有限數(shù)量的證書需要被每個(gè)CMS創(chuàng)建和交換以建立可信路徑。因此，分級層不僅經(jīng)由隔離層添加安全性，而且還提供執(zhí)行在線證書請求的本地功能。這反過來簡化和加速了在可信機(jī)構(gòu)處的認(rèn)證和交叉認(rèn)證過程。
[0041]應(yīng)當(dāng)注意，在這方面，兩層、三層或甚至更多層分級層容易在我們的基礎(chǔ)設(shè)施體系中容納。然而，存在設(shè)計(jì)權(quán)衡:如果分級層的數(shù)量太大，則在IKE認(rèn)證期間，證書的數(shù)量和簽名有效性可能會(huì)大到降低性能并增加開銷到不能容忍的程度。另一方面，如果有非常少的分級層，則會(huì)有不足夠的CMS的本地功能的授權(quán)，其中一些可能被需要響應(yīng)于來自網(wǎng)絡(luò)的IP節(jié)點(diǎn)的請求來創(chuàng)建和交換的大量證書淹沒。
[0042]因此，我們發(fā)現(xiàn)具有兩層或者在某些情況下稍微多一些的分層模型通常具有足夠的延展性以調(diào)整成若干不同的信任機(jī)構(gòu)模型，而保持開銷最小。“具有延展性的”基礎(chǔ)設(shè)施體系例如能夠支持超過一個(gè)的認(rèn)證機(jī)構(gòu)和超過一個(gè)的信任模型。具有這種有延展性的基礎(chǔ)設(shè)施體系是有利的，以使得安全通信可以與需要引入外部認(rèn)證機(jī)構(gòu)的第三方建立。
[0043]圖3表示用于在無線回程網(wǎng)絡(luò)中實(shí)施應(yīng)用基礎(chǔ)設(shè)施體系的一個(gè)可能的體系架構(gòu)。該體系架構(gòu)的一個(gè)重要組成是負(fù)責(zé)管理數(shù)字證書的系統(tǒng)應(yīng)用。將這種系統(tǒng)應(yīng)用稱為證書管理系統(tǒng)(CMS)。
[0044]參照圖3，可以看出，根CMS應(yīng)用300位于CMS分層體系的頂端。在實(shí)際的實(shí)現(xiàn)中，根CMS駐留在諸如圖1的網(wǎng)絡(luò)240的OMA網(wǎng)絡(luò)的服務(wù)器上。在根CMS300之下是多個(gè)sur-CMS應(yīng)用310，其以本地或遠(yuǎn)程的方式直接與需要證書的IP節(jié)點(diǎn)交互。在實(shí)際的實(shí)現(xiàn)中，sur-CMS功能駐留在類似于根CMS的平臺上。圖3已經(jīng)被簡化成僅示出三個(gè)sur-CMS應(yīng)用，當(dāng)然在實(shí)踐中，更大數(shù)量的sur-CMS應(yīng)用可被公共的根CMS服務(wù)。因此，附圖應(yīng)當(dāng)被理解為僅僅是示例性的，而不是在這方面進(jìn)行限制。
[0045]在圖中還示出了兩種類型的IP節(jié)點(diǎn):基站321-323 (在LTE環(huán)境中稱為eNodeB)和SEG330。如下面更詳細(xì)地解釋的，所示出的體系架構(gòu)中的SEG330被安全地互連，每個(gè)SEG例如通過IPsec隧道安全地連接到各組基站321、322或323。為了建立安全連接，基站是彼此的IKE對等體，SEG也是彼此的IKE對等體。
[0046]應(yīng)當(dāng)理解,在這一點(diǎn)，盡管在此已經(jīng)假定IPsec是為RAN通信選擇的安全協(xié)議,但是，IPsec的選擇僅僅是示例性的而非限定?？稍诒旧舷挛闹惺褂玫钠渌踩珔f(xié)議的例子包括https和TLS。
[0047]在通常的實(shí)現(xiàn)中，單個(gè)可信機(jī)構(gòu)，諸如移動(dòng)基礎(chǔ)設(shè)施體系的所有者或者回程網(wǎng)絡(luò)的運(yùn)營商，將與單個(gè)根CMS相關(guān)聯(lián)。
[0048]如在上面所指出的，假設(shè)大的移動(dòng)基礎(chǔ)設(shè)施體系和許多節(jié)點(diǎn)，將RAN網(wǎng)絡(luò)細(xì)分成若干不同的區(qū)域是有利的，其中每個(gè)區(qū)域包括在地理上聚集的多個(gè)基站。在圖3中示出3個(gè)區(qū)域361-363。如上面所說明的，附圖限于三個(gè)區(qū)域是為了簡化而非限制。同樣，附圖中對每個(gè)區(qū)域示出的基站的數(shù)量限于三個(gè)，以簡化附圖而非為了限制。
[0049]如上所述，圖3的SEG330被安全互連，每個(gè)SEG被安全地連接到各組基站。更具體地，為了在特定區(qū)域內(nèi)提供安全通信，每個(gè)區(qū)域361-363中的基站直接經(jīng)由IPsec隧道351、352和353連接到它們各自的SEG330。對于區(qū)域間的安全通信，穿過區(qū)域的在SEG之間的IPsec隧道340用于保護(hù)每個(gè)區(qū)域的周邊。
[0050]IPsec隧道使用所指示的已知的方法，例如通過IP協(xié)議集建立。IPsec建立過程是公知的，不需要在此詳細(xì)描述。然而為了方便起見，在此進(jìn)行簡要回顧。
[0051]IKE具有第一階段和第二階段，第一階段的目標(biāo)是在兩個(gè)潛在IPsec對等體之間建立安全認(rèn)證通信信道，第二階段的目標(biāo)是代表IPsec或其它服務(wù)在對等體之間協(xié)商安全關(guān)聯(lián)(SA)。SA使用在階段I建立的安全信道進(jìn)行協(xié)商。
[0052]有幾種對等體可用于在IKE階段I期間認(rèn)證它們自己的可選方法，其中一個(gè)必須達(dá)成一致或者被預(yù)先選擇。一個(gè)這種方法在本上下文中特別感興趣，其使用由RSA簽名認(rèn)證的數(shù)字證書。每個(gè)對等體向另一個(gè)對等體發(fā)送它自己的ID值、它的身份數(shù)字證書和RSA簽名值。在對等體的證書已被驗(yàn)證后，每個(gè)對等體通過向證書機(jī)構(gòu)(CA)注冊并具有證書號來獲取它的數(shù)字證書。證書的內(nèi)容通常包括證書承載的身份和IP地址、證書的序列號和屆滿日期以及承載的公共密鑰的副本。
[0053]如上所述，在多級別網(wǎng)絡(luò)中，證書的授權(quán)鏈定義了從在網(wǎng)絡(luò)底部的IP主機(jī)一直擴(kuò)展到或接近網(wǎng)絡(luò)頂部的可信錨點(diǎn)的可信路徑。因此，在IKE認(rèn)證期間，每個(gè)對等體交換證書包，其組成證書的授權(quán)鏈。如果授權(quán)鏈可被逐個(gè)證書地從可信錨點(diǎn)到對等證書地驗(yàn)證，則IKE對等體被認(rèn)證。對于認(rèn)證過程成功完成，每個(gè)IKE對等體需要被提供正確的證書包，否則，IKE認(rèn)證階段失敗。
[0054]IKE階段I如果成功，則在對等體之間建立安全隧道。使用安全隧道，IKE階段2協(xié)商用于對等體之間的SA的參數(shù)并建立SA,從而創(chuàng)建IPsec隧道。在對等體之間使用IPsec隧道交換的分組根據(jù)已被建立的SA參數(shù)進(jìn)行加密和解密。
[0055]在示例性實(shí)施例中，eNodeB是認(rèn)證過程的發(fā)起者。例如,過程可在新的eNodeB進(jìn)入網(wǎng)絡(luò)時(shí)或者在系統(tǒng)軟件被更新以首次支持認(rèn)證證書時(shí)或者在安全信道被首次建立以用于通過公共傳輸網(wǎng)絡(luò)或回程傳輸敏感信息時(shí)被發(fā)起。
[0056]應(yīng)當(dāng)指出，在在此描述的體系架構(gòu)方面，eNodeB不是彼此的IKE對等體:S卩，在eNodeB之間不建立IPsec隧道。該特別的設(shè)計(jì)選擇應(yīng)當(dāng)被理解為僅僅是實(shí)例而非限制。如果需要，該基礎(chǔ)設(shè)施體系可容易地提供在經(jīng)由隧道互連的eNodeB之間的認(rèn)證。然而，在許多情況下，這種互連是不受歡迎的，因?yàn)橄鄬τ趀NodeB經(jīng)由它們共享的SEG而間接地互連的情況，網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路的增殖可能導(dǎo)致網(wǎng)絡(luò)太復(fù)雜并因此不經(jīng)濟(jì)。
[0057]根據(jù)上述討論應(yīng)當(dāng)理解，認(rèn)證機(jī)構(gòu)(CA)必須可用于向SEG和基站發(fā)布數(shù)字證書。這是必需的，以使得在每個(gè)區(qū)域內(nèi)，當(dāng)IPsec被初始化且IKE協(xié)議被調(diào)用時(shí)，SEG和基站可彼此相互認(rèn)證，以使得位于不同區(qū)域的周邊的SEG也可彼此相互認(rèn)證。
[0058]在圖1的配置中，基站和SEG都信任同一個(gè)根CMS，其從而可用作認(rèn)證機(jī)構(gòu)。這可例如是單個(gè)機(jī)構(gòu)擁有并運(yùn)營基站和SEG的情形。
[0059]然而，也會(huì)出現(xiàn)不同的機(jī)構(gòu)分別擁有基站和SEG的情形。在這種情況下，一個(gè)機(jī)構(gòu)可能想要使用它自己的外部認(rèn)證機(jī)構(gòu)(CA)，而其它機(jī)構(gòu)使用根CMS作為它的CA。這種分開情形的例子在圖6中提供。
[0060]CMS分層模型
[0061]我們將描述幾種不同的證書管理和授權(quán)的認(rèn)證機(jī)構(gòu)(CA)分層模型，其可被我們的基礎(chǔ)設(shè)施體系支持。每個(gè)模型意味著解決無線運(yùn)營商可能需要支持的不同情形。
[0062]三個(gè)示例性模型是:
[0063]1.無運(yùn)營商CA的分層CMS:無線服務(wù)提供商不擁有運(yùn)營商CA?；竞蚐EG可信錨點(diǎn)是根CMS。
[0064]2.具有運(yùn)營商CA的分層CMS:無線服務(wù)提供商擁有運(yùn)營商CA。基站和SEG可信錨點(diǎn)是運(yùn)營商CA。增值是CMS基礎(chǔ)設(shè)施體系允許運(yùn)營商CA證書的基站證書管理的自動(dòng)化。
[0065]3.具有運(yùn)營商CA的肓接交叉認(rèn)證模型:基站和SEG被不同的機(jī)構(gòu)所有，并且它們信任不同的錨點(diǎn)。SEG運(yùn)營商擁有運(yùn)營商CA?；拘湃胃鵆MS，SEG信任運(yùn)營商CA。增值是運(yùn)營商可在運(yùn)營商CA與根CMS之間橋接通信，并自動(dòng)管理基站證書。
[0066]盡管前面的模型在其創(chuàng)建可信路徑的方式上根本不同，但只需要相對少量的進(jìn)一步開發(fā)以擴(kuò)展對一個(gè)模型開發(fā)的CMS基礎(chǔ)設(shè)施體系，以使得其它模型也得到支持。這是由于各個(gè)模塊式主要在證書包的內(nèi)容上不同，但CMS基礎(chǔ)設(shè)施體系以及傳輸機(jī)制和過程基本上相同。
[0067]無運(yùn)營商CA的分層模型
[0068]圖3示出單個(gè)機(jī)構(gòu)被基站和SEG信任而運(yùn)營商不擁有外部CA的CMS高級體系架構(gòu)組成。在該模型中，CMS基礎(chǔ)設(shè)施體系自動(dòng)地請求證書和在基站中分發(fā)證書，以對SEG認(rèn)證基站。模型是分層的，因?yàn)樽C書被簽名并從頂層到底層向下傳送。在分層的頂部是根CMS300。這在分層基礎(chǔ)設(shè)施體系中是可信任錨點(diǎn)CA。根CMS的CA向下屬sur-CMS CA310和SEG330發(fā)布證書。每個(gè)sur-CMS CA分別向其負(fù)責(zé)的基站終端實(shí)體321-323發(fā)布證書。Sur-CMS還向與其相關(guān)聯(lián)的SEG發(fā)布證書。
[0069]對于該模型，用于基站和SEG的可信錨點(diǎn)、認(rèn)證路徑和數(shù)字證書的存儲位置在下表中示出。在存儲位置行，使用下面的標(biāo)記:x (Y)意味著CA X發(fā)布CA或終端實(shí)體Y的公
共密鑰的數(shù)字證書。證書被存儲在位于與證書的發(fā)布方相同的機(jī)構(gòu)域中的終端實(shí)體中。
[0070]
【權(quán)利要求】
1.一種系統(tǒng)，包括: 根證書管理系統(tǒng)(根CMS)，其被授權(quán)處理對數(shù)字證書的請求和發(fā)布根證書，被配置為自動(dòng)認(rèn)證代理證書管理系統(tǒng)(sur-CMS)，并被配置為自動(dòng)處理證書請求和向被成功認(rèn)證的sur-CMS發(fā)布證書包；以及 兩個(gè)或多個(gè)sur-CMS，其每一個(gè)具有在各自的區(qū)域內(nèi)分配給它的一個(gè)或多個(gè)基站； 其中，每個(gè)所述sur-CMS被配置為自動(dòng)認(rèn)證它自己的基站，自動(dòng)處理證書請求，并向被成功認(rèn)證的基站發(fā)布證書包； 其中，發(fā)布給基站的每個(gè)證書包包括:由發(fā)布sur-CMS簽名的該基站的公共密鑰的數(shù)字證書；以及至少一個(gè)其它數(shù)字證書，包括所述根CMS的自簽名證書。
2.如權(quán)利要求1所述的系統(tǒng)，其中，所述根CMS和至少一個(gè)所述sur-CMS還被配置為在每個(gè)所述區(qū)域中自動(dòng)認(rèn)證至少一個(gè)安全網(wǎng)關(guān)聚合器(SEG)，自動(dòng)處理證書請求，并向被成功認(rèn)證的SEG發(fā)布證書包。
3.如權(quán)利要求1所述的系統(tǒng)，其中，所述根CMS被配置為由認(rèn)證機(jī)構(gòu)(CA)進(jìn)行認(rèn)證，以及接收由所述CA發(fā)布的數(shù)字證書，其中，所述數(shù)字證書將公共密鑰綁定到所述根CMS。
4.如權(quán)利要求3所述的系統(tǒng)，其中，發(fā)布給基站的每個(gè)證書包還包括將公共密鑰綁定到所述根CMS的所述數(shù)字證書，并還包括所述CA的自簽名證書。
5.如權(quán)利要求3所述的系統(tǒng)，其中，所述根CMS被配置為認(rèn)證所述CA，處理證書請求，以及向所述CA發(fā)布數(shù)字證書，其中，所述數(shù)字證書將公共密鑰綁定到所述CA。
6.一種在使用證書管理系統(tǒng)(CMS)分發(fā)數(shù)字證書的類型的無線網(wǎng)絡(luò)中執(zhí)行的方法，包括: 由代理CMS (sur-CMS)執(zhí)行導(dǎo)致所述sur-CMS從根CMS獲取數(shù)字證書的認(rèn)證過程； 由所述sur-CMS自動(dòng)認(rèn)證一個(gè)或多個(gè)基站；以及 由所述sur-CMS自動(dòng)向每個(gè)被認(rèn)證的基站發(fā)布數(shù)字證書包,其中，所述包包括:由發(fā)布sur-CMS簽名的該基站的公共密鑰的數(shù)字證書；以及至少一個(gè)其它數(shù)字證書，包括所述根CMS的自簽名證書。
7.如權(quán)利要求6所述的方法，還包括: 由所述sur-CMS自動(dòng)認(rèn)證至少一個(gè)安全網(wǎng)關(guān)聚合器(SEG);以及 由所述sur-CMS自動(dòng)向每個(gè)被認(rèn)證的SEG發(fā)布數(shù)字證書包。
8.如權(quán)利要求6所述的方法，其中，發(fā)布給每個(gè)被認(rèn)證的基站的數(shù)字證書包還包括由所述根CMS發(fā)布的與所述根CMS不同的認(rèn)證機(jī)構(gòu)的數(shù)字證書。
9.一種在使用證書管理系統(tǒng)(CMS)分發(fā)數(shù)字證書的類型的無線網(wǎng)絡(luò)中執(zhí)行的方法，包括: 由基站執(zhí)行導(dǎo)致所述基站從代理CMS (sur-CMS)接收數(shù)字證書包的認(rèn)證過程；以及由所述基站執(zhí)行導(dǎo)致所述基站建立與安全網(wǎng)關(guān)聚合器(SEG)的安全隧道的認(rèn)證過程；其中，從所述sur-CMS接收的證書包包括由所述sur-CMS簽名的數(shù)字證書和由所述根CMS自簽名的數(shù)字證書。
10.如權(quán)利要求9所述的方法，其中， 從所述sur-CMS接收的證書包還包括由所述根CMS發(fā)布的與所述根CMS不同的認(rèn)證機(jī)構(gòu)(CA)的數(shù)字證書；所述基站與所述SEG之間的認(rèn)證過程至少使用:由所述根CMS自簽名的數(shù)字證書；以及由所述根CMS發(fā)布的與所 述根CMS不同的CA的數(shù)字證書。
【文檔編號】H04W12/04GK103460736SQ201280014533
【公開日】2013年12月18日 申請日期:2012年2月20日 優(yōu)先權(quán)日:2011年3月24日
【發(fā)明者】A·F·薩爾瓦拉尼, F·達(dá)萬特 申請人:阿爾卡特朗訊公司