【技术实现步骤摘要】
【国外来华专利技术】发起器和响应器之间的安全的、被认证的通信
本申请一般涉及安全的、被认证的(authenticated)通信,并且更具体地涉及在发起器(initiator)和响应器(responder)之间的安全的、被认证的通信。
技术介绍
诸如因特网密钥交换(IKE)协议之类的协议帮助双方彼此相互认证并安全地通信,以便确保数据机密性和/或完整性。例如,在IKE协议的版本2中,所谓的发起器发起与响应器的关于哪个密码算法、建钥材料(keyingmaterial)和其它参数将被用于保护发起器和响应器之间的通信的协商。该协商有效地在发起器和响应器之间建立安全控制信道(也称为安全关联)。发起器和响应器接下来以确保已经协商的控制信道被束缚(beboundto)到被认证的实体的方式彼此认证。发起器和响应器然后能使用安全控制信道来建立安全“业务”信道(例如,以因特网协议IP安全隧道(securitytunnel)的形式),以用于安全地交换数据。在一些情况下,例如,如果使用可扩展认证协议(EAP)来设立IPSec隧道,则IKE和其它协议可能要求基于公钥签名的认证。这要求各方彼此交换证书(certificate)(和证书链)。然而,例如,当涉及多个中间证书机构(certificateauthority)时,证书可能相当大(例如,几千字节),并且到信任根的证书链也可能很长。这证明是有问题的,因为一些实体可能不能够处置这种冗长的(lengthy)证书或证书链,尤其是不能以一种高效的方式。例如,一些实体可能在IP层不支持对冗长的证书或证书链进行分段( ...
【技术保护点】
1.一种用于在发起器(12)和响应器(14)之间能够实现安全的、被认证的通信的方法,所述方法由所述发起器(12)执行,并且包括:/n通过在所述发起器(12)和所述响应器(14)之间建立的安全通信信道(16)从所述发起器(12)向所述响应器(14)传送(110)消息(20),其中所述消息(20)包括指示第三方(18)的信息,所述第三方(18)对束缚到所述安全通信信道(16)的数据的签名将向所述发起器(12)认证所述响应器(14);/n在所述发起器(12)处并通过所述安全通信信道(16)从所述响应器(14)接收(120)对所述消息(20)的响应(24);以及/n在所述发起器(12)处,通过确定所述响应(24)是否包括束缚到所述安全通信信道(16)并由所述第三方(18)签名的数据来确定(130)所述响应器(14)是否被认证。/n
【技术特征摘要】
【国外来华专利技术】1.一种用于在发起器(12)和响应器(14)之间能够实现安全的、被认证的通信的方法,所述方法由所述发起器(12)执行,并且包括:
通过在所述发起器(12)和所述响应器(14)之间建立的安全通信信道(16)从所述发起器(12)向所述响应器(14)传送(110)消息(20),其中所述消息(20)包括指示第三方(18)的信息,所述第三方(18)对束缚到所述安全通信信道(16)的数据的签名将向所述发起器(12)认证所述响应器(14);
在所述发起器(12)处并通过所述安全通信信道(16)从所述响应器(14)接收(120)对所述消息(20)的响应(24);以及
在所述发起器(12)处,通过确定所述响应(24)是否包括束缚到所述安全通信信道(16)并由所述第三方(18)签名的数据来确定(130)所述响应器(14)是否被认证。
2.如权利要求1所述的方法,其中所述确定包括使用所述第三方(18)的公钥来确定所述响应(24)是否包括用所述第三方(18)的私钥签名的数据。
3.一种用于在发起器(12)和响应器(14)之间能够实现安全的、被认证的通信的方法,所述方法由所述响应器(14)执行,并且包括:
通过在所述发起器(12)和所述响应器(14)之间建立的安全通信信道(16)从所述发起器(12)接收(210)消息(20),其中所述消息(20)包括指示第三方(18)的信息,所述第三方(18)对束缚到所述安全通信信道(16)的数据的签名将向所述发起器(12)认证所述响应器(14);
从所指示的第三方(18)检索(220)束缚到所述安全通信信道(16)并由所述第三方(18)签名的数据;以及
由所述响应器(14)并且通过所述安全通信信道(16)来传送(230)对消息(20)的响应(24),所述响应(24)包括束缚到所述安全通信信道(16)并由所述第三方(18)签名的检索的数据。
4.如权利要求1-3中任一项所述的方法,进一步包括:在向所述发起器(12)认证所述响应器(14)之后,代表安全服务来协商(140、240)用于所述发起器(12)和所述响应器(14)之间的安全业务信道的一个或多个安全关联。
5.如权利要求4所述的方法,其中所述安全服务是因特网协议(IP)安全IPSec服务。
6.如权利要求1-5中任一项所述的方法,其中所述消息(20)是根据因特网密钥交换IKE协议的IKE_AUTH请求消息,其中所述响应(24)是对所述IKE_AUTH请求消息的IKE_AUTH响应,其中所述发起器(12)是IKE发起器,并且所述响应器(14)是IKE响应器。
7.如权利要求1-6中任一项所述的方法,其中所述消息(20)进一步指示可扩展认证协议EAP要被用于至少向所述响应器(14)认证所述发起器(12)。
8.一种用于在发起器(12)和响应器(14)之间能够实现安全的、被认证的通信的方法,所述方法由第三方(18)的第三方设备执行,并且包括:
在所述第三方设备处并且从所述响应器(14)接收(310)请求,所述请求包括束缚到在所述发起器(12)和所述响应器(14)之间建立的安全通信信道(16)的数据并且请求所述第三方(18)对所述数据进行签名;
在所述第三方设备处对所述数据进行签名(320);以及
在对所述请求的响应(24)中,从所述第三方设备朝向所述响应器(14)传送(330)签名的数据。
9.如权利要求8所述的方法,其中对所述数据进行签名包括用所述第三方的私钥对所述数据进行签名。
10.如权利要求1-9中任一项所述的方法,其中所述数据包括或者是作为建立所述安全通信信道(16)的部分在所述发起器(12)和所述响应器(14)之间交换的至少一些数据的函数。
11.如权利要求1-10中任一项所述的方法,其中所述数据包括或者是以下项中的一个或多个的函数:
由所述安全通信信道(16)的建立产生的共享秘密;
作为建立所述安全通信信道(16)的部分而被交换的一个或多个新鲜参数;以及
所述响应器(14)的身份和/或所述发起器(12)的身份。
12.如权利要求1-11中任一项所述的方法,其中所述数据包括用从共享秘密SKEYSEED导出的密钥签名的随机数,其中所述共享秘密SKEYSEED是从作为建立所述安全通信信道(16)的部分在所述发起器(12)和所述响应器(14)之间交换的一个或多个临时数,以及从在所述发起器(12)和所述响应器(14)之间的Diffie-Hellman共享秘密或椭圆曲线Diffie-Hellman共享秘密计算的。
13.如权利要求1-12中任一项所述的方法,其中所述数据包括作...
【专利技术属性】
技术研发人员:V·莱图维塔,M·塞蒂,
申请(专利权)人:瑞典爱立信有限公司,
类型:发明
国别省市:瑞典;SE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。