一种通过网关(46)使客户端(42)和服务器(44)彼此认证的方法,其中客户端使用自己和网关之间的第一个加密协议并且服务器使用自己和网关之间的第二个加密协议,该方法包括以下步骤:在服务器上设置网关是被信任的认证机构(48);网关发行数字证书认证客户端;以及服务器验证数字证书以便向自己确认该数字证书来自被信任的认证。
A Method of Authenticating Users through Gateway
【技术实现步骤摘要】
一种通过网关认证用户的方法
本专利技术涉及认证并且特别地,但是不是专门涉及通信系统。在一个实施方案中,其涉及无线通信系统。技术背景在互联网上的通信使用TCP/IP协议族。TCP指传输控制协议并且IP指互联网协议。TCP/IP指由互联网工程任务组(IETF)规定的一大组协议。TCP/IP是基本互联网和内联网通信协议。其允许信息通过中间设备和单独的网络从一个计算机发送到其目的地。TCP/IP的很大的灵活性导致其被全世界接受。同时,TCP/IP允许信息通过中间设备的事实使得第三方以下列方式干预通信成为可能。加密(密码术)被用于解决这些问题。加密使信息能够被秘密呈递因此对偷听者难以理解。这样其提供了保密性。接收者可以检验信息在运送中没有被修改或者检测其何时被修改。接收者可以确定信息源自其声称的源,并且因此可以被认证。除此之外,加密可以提供禁止信息的发送者在稍后的时期声称其没有发送该信息的非否认。加密的一种形式是对称密钥加密。在对称密钥加密中,密钥可以从解密密钥中被计算或者相反。利用大多数对称算法,相同的密钥用于加密和解密。对称密钥加密的实现可以有很高的效率,因此用户没有经历作为加密和解密过程的结果的任何显著的时间延迟。对称密钥加密还提供一定程度的认证,因为用一个对称密钥加密的信息不能用任何其它对称密钥解密。只有对称密钥由涉及的双方保持秘密,对称密钥加密才是有效的。如果其他人发现了密钥,则其影响机密性和认证。具有未授权的对称密钥的人不仅可以解密用该密钥发送的消息,还可以加密新的消息并且将其发送,就像其来自最初使用该密钥的两方之一。另一种形式的加密是公共密钥加密。公共密钥加密的一个版本是基于RSA数据安全算法。公共密钥(也称为不对称密钥)涉及与需要电子地鉴别其身份或者签名或者加密数据的一方相关的一对密钥,公共密钥和私有密钥。公用密钥必须是可靠的。公用密钥可以被公布,而对应的私有密钥必须保密。利用公共密钥和加密算法加密的消息仅可以用私有密钥解密。因此如果一方已经被给予公共密钥,则其可以使用这个密钥来加密仅可以利用该私有密钥解密的消息。这样,提供了保密性和机密性。相反地,利用私有密钥加密的消息仅可以利用公共密钥解密。因此,如果一方有私有密钥,则该方可以使用这个密钥来加密可以由具有公共密钥的另一方来解密的消息。可以被利用公共密钥解密的消息仅可以来自拥有相应私有密钥的一方。这样,提供了认证或签名。为解决这个问题,如图1所示使用认证机构。这个方案显示发送者12、接收者14以及认证机构(CA)16。CA16连接到发送者12以及接收者14并且由两者信任。发送者12有私有密钥(S-SK)和公共密钥(S-PK),接收者14有私有密钥(R-SK)和公共密钥(R-PK),并且CA有私有密钥(CA-SK)和公共密钥(CA-PK)。CA-PK被提供给发送者12和接收者14以便用于认证的通信发生。显然,CA-PK必须被以认证的方式提供,因此发送者12和接收者14可以确信其源。发送者12生成证书签名请求(CSR),其被发送到CA16。发送者12向CA16提供其身份(或者利用发送者12的用户发送一些个人数据或者利用呈现给发送者12的被使用的私有代码)。发送者12还在CSR中发送其公共密钥S-PK。CA16用唯一的数字签名签署个人数据或私有代码以及公共密钥S-PK以便证明它们一致。签名的证书被返回到发送者12。接收者14与CA16执行类似的过程以便获得其自己签名的证书。当发送者12想要与接收者14谈话时,需要它们之间的握手,其中发送者12和接收者14交换其数字证书(这个交换不加密)。然后发送者12和接收者14可以利用CA-PK来验证接收的签名的证书以便确保其由CA16认证并且因此可以被信任。因为发送者12和接收者14现在每个都有另一个的公共密钥,机密的和认证的通信可以发生。实际上发送者12和接收者14可以发送认证证书(下面讨论)而不是仅仅发送认证的公共密钥。一般CA被按来自公共根的分层结构排列。这个分层结构被称为公共密钥基础结构。这意味着CA可以彼此认证。与对称密钥加密相比,公共密钥加密需要更多的计算并且因此不总是适合于大量的数据。因此,RSA或某个其他形式的公共密钥加密仅用于通信的协议握手部分以便生成主要的秘密。这显示在图2中,其中公共密钥加密被用于协商会话密钥。因为数据通信是双向的,下面将参考客户端和服务器端而不是发送者和接收者。最初,客户端22和服务器端24有来自认证机构(CA-PK)的公共密钥。客户端22和服务器端24每个都进入认证机构以便获得认证的证书,其由认证机构的CA-SK签名。除了(例如客户端22或服务器端24的)公共密钥之外,证书包括其识别的实体的名称(以区别的名称形式)、到期日期(有效期)、发布证书的认证机构的名称(以区别的名称形式,下面称为DN)、序号以及其他信息。最重要的,证书总包括发行认证机构的数字签名。认证机构的数字签名使得证书能够作为知道并且信任该授权机构但是不知道由该证书识别的实体的用户的“介绍信”。DN是个人的唯一识别符,例如用于识别一个人或一个终端节点。如果DN被包括在数字证书中并且该证书由受信任的CA签名,则相信识别的个人是真实的并且具有对应于证书中公共密钥的私有密钥的个人是这个真实的个人。实际上,由认证机构发行的证书将一个特定公共密钥合并在该证书识别的实体或多个实体的名称中。在CA签名证书之前,其验证个人是声称的那个。这个验证包括个人识别信息的分析、签名或者其他信息。在这个实施方案中,区别的名称(DN)识别客户端22或者服务器端24。当来自TCP/IP的以及来自具有其自己的保密层的另一种通信协议的加密方法一起使用时,出现了问题。例如,当根据无线应用协议(WAP)操作的移动终端被用于访问互联网时,可出现这种情况。为了提供保密连接,互联网使用如传输层保密(TLS)(由RFC2246规定)以及加密套接字协议层(SSL)(由网景公司开发的一个事实上的标准)的保密协议层。在WAP网中使用的等价的协议层是无线传输层保密(WTLS)(由WAP论坛标准化)。虽然互联网和WAP网非常类似,但是它们不兼容并且因此需要执行超文本标记语言(HTML)和无线标记语言(WML)之间以及HTTP和WSP层之间的内容转换。参考图3说明了这个问题。WAP协议栈32(包含在客户端)通过网关36连接到TCP/IP协议栈34(包含在服务器端)。WAP协议栈32有协议层无线数据报协议(WDP)、无线传输层保密(WTLS)、无线交易协议(WTP)以及无线会话协议(WSP)。其提供WML内容。TCP/IP协议栈34有协议层互联网协议(IP)、交易控制协议(TCP)、加密套接字协议层(SSL)以及超文本传输协议(HTTP)。其提供HTML内容。在WAP和TCP/IP协议栈的情况下,如果WTLS和SSL层是活动的,并且网关36不拥有必需的密钥来解密被发送的消息,则位于加密层之上的层在网关中不能被修改并且因此它们之间(WSP和HTTP之间或者WML和HTML之间)的转换不可能。因为网关不能访问需要的密钥(通常其以不能被从中读出的方式存储在物理地抵御篡改的设备中),所以应使用另一种加密方案。客户端应该认证网关并且网关应该认证发端服务器并且服务本文档来自技高网...
【技术保护点】
1.一种通过网关(46)向第二方(44)认证第一方(42)的方法,第一方使用自己和所述网关之间的第一加密协议并且第二加密协议被用在所述第二方和所迷网关之间,所述方法包括步骤:向所述网关传送包含与第一方有关的信息的第一数字证书,以使得所迷网关产生包含与第一方有关的信息的断的数字证书,以便该第二方能够为了向第二方确认所述断的数字证书来自被信任的认证机构而验证所述断的数字证书。
【技术特征摘要】
1.一种通过网关(46)向第二方(44)认证第一方(42)的方法,第一方使用自己和所述网关之间的第一加密协议并且第二加密协议被用在所述第二方和所迷网关之间,所述方法包括步骤:向所述网关传送包含与第一方有关的信息的第一数字证书,以使得所迷网关产生包含与第一方有关的信息的断的数字证书,以便该第二方能够为了向第二方确认所述断的数字证书来自被信任的认证机构而验证所述断的数字证书。2.根据权利要求1的方法,其中第一和第二加密协议是不同的。3.根据权利要求2的方法,其中第一加密协议是无线传输层保密(WTLS)并且第二加密协议是加密套接字协议层(SSL)。4.根据权利要求1的方法,其中网关公共密钥被提供给第二方(44)并且被向第二方(44)指示作为被信任的认证机构(48)的公共密钥。5.根据权利要求1的方法,其中网关(46)为多个第一方生成不同...
【专利技术属性】
技术研发人员:吴文斌,
申请(专利权)人:广州微言科技有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。