[发明专利]在通信系统中分发证书的方法

权利要求书

1.一种在至少包括移动节点、网关和网络实体的通信系统中传递证书的方法，所述方法包括：

经由网关将移动节点的身份发送到网络实体；

在所述网络实体中基于所述网关所属的网络选择至少一个第一证书；

在所述网络实体中使用第一主密钥对所述至少一个第一证书签名；

在可扩展认证协议EAP请求消息中将所述至少一个第一证书从所述网络实体提供到所述网关；

将包括所述至少一个第一证书的消息发送到所述移动节点；

在所述移动节点中使用第一主密钥验证所述消息；以及

如果验证成功，则接受所述至少一个第一证书。

2.如权利要求1所述的方法，所述方法还包括：

将网关的签名和来自所述网关的第二证书添加到所述消息；

使用所述至少一个第一证书之一来验证所述第二证书；以及

使用所述第二证书来验证所述网关的签名。

3.如权利要求1所述的方法，所述方法还包括：

在所述移动节点中导出第二主密钥；

在所述网络实体中导出所述第一主密钥；以及

在所述移动节点中使用所述第二主密钥验证所述至少一个第一证书的签名。

4.如权利要求1所述的方法，所述方法还包括：

在可扩展认证协议EAP请求中，将询问和期望的响应从所述网络实体提供到所述网关；

在可扩展认证协议EAP请求中，将所述询问从所述网关提供到所述移动节点；

将对于所述询问的可扩展认证协议EAP响应从所述移动节点提供到所述网络实体；以及

使用所述期望的响应来验证所述响应。

5.如权利要求1所述的方法，所述方法还包括：

获得从订户寄存器到所述网络实体的至少一个认证向量；以及

使用属于所述至少一个认证向量的认证向量中的至少一个密钥来计算所述第一主密钥。

6.如权利要求1所述的方法，其中，所述第一证书是证书发行机构证书。

7.如权利要求1所述的方法，其中，所述通信系统包括无线局域网。

8.如权利要求7所述的方法，其中，所述通信系统包括移动通信系统。

9.如权利要求1所述的方法，其中，所述移动通信系统包括全球移动通信系统GSM网络和通用移动电话系统UMTS网络中的至少一个。

10.如权利要求1所述的方法，其中，所述网络实体和所述网关使用直径基本DIAMETER协议和远程认证拨入用户服务RADIUS协议中的至少一种进行通信。

11.如权利要求1所述的方法，所述方法还包括：

在所述移动节点与所述网关之间交换Diffie-Hellman值；以及

在所述移动节点与所述网关之间建立安全性关联。

12.一种用于在至少包括移动节点、网关和网络实体的通信系统中获得证书的方法，所述方法包括：

经由网关将移动节点的身份发送到网络实体；

将认证数据从所述网络实体发送到所述网关；

将可扩展认证协议EAP认证请求从所述网关发送到所述移动节点；

在移动节点中使用主密钥对证书发行机构身份进行签名；

经由所述网关将认证响应和签名的证书发行机构身份从所述移动节点发送到所述网络实体；

在所述网络实体中使用主密钥来验证签名的证书发行机构身份；

在所述网络实体中获得具有所述证书发行机构身份的第一证书；以及

经由所述网关将所述第一证书从所述网络实体发送到所述移动节点。

13.一种用于在至少包括移动节点、网关和网络实体的通信系统中公布证书的方法，所述方法包括：

经由网关将移动节点的身份发送到网络实体；

将认证数据从所述网络实体发送到所述网关；

将可扩展认证协议EAP认证请求发送到所述移动节点；

在所述移动节点中使用主密钥对至少包括公钥的登记请求进行签名；

经由所述网关将认证响应和所述签名的登记请求从所述移动节点发送到所述网络实体；

在所述网络实体中验证对登记请求的签名；以及

由所述网络实体向安全目录至少提供所述公钥。