[发明专利]在通信系统中分发证书的方法

说明书

技术领域

本发明涉及移动通信系统中的安全性。具体说来，本发明涉及根据用户的当前网络将根证书从用户的本地网络传送到用户。

背景技术

在移动系统中，安全性是网络和移动终端功能的重要部分。由于移动终端可在不同的网络中自由漫游的情况，所以有必要在移动终端以及当前服务于移动终端的网络之间建立信任关系。所述信任关系涉及：移动终端和拜访网络执行相互认证并准备使用数据加密和完整性保护。由于移动终端在不同网络中漫游，所以会增加对于建立从移动终端到网关的安全性关联的需要，所述网关提供对移动终端已经信任的网络的接入。例如，已经得到信任的网络可以是企业内联网。已经得到信任的网络还可以是内联网区段，经过所述内联网区段，可建立到远程客户机或远程网络的信任连接，例如，所述远程网络可以是企业内联网。

在互联网工程任务组(IETF)IP安全性体系结构(IPsec)标准(即，请求注解(RFC 2401))中讨论了在一对主机之间、主机与安全性网络之间或在两个安全性网关之间建立安全性关联(SA)的处理。IPsec体系结构依靠安全性协议认证头部(AH)和封装安全性净荷(ESP)，它们原本存在于IPv6中，同时也可用于IPv4。IPsec依靠两种类型的数据库，即，安全性策略数据库(SPD)和安全性关联数据库(SAD)。SPD定义如下准则，基于该准则，给定包被分配给给定SA。SAD描述与给定SA关联的参数，诸如使用的算法和密钥。可应来自用户的请求手动建立AS，或者可当确定包与当前不存在的SA关联时自动建立SA。使用互联网密钥交换(IKE)协议来执行对安全性关联的建立。IKE的当前版本是IKE版本2，作为示例，其在IETF文档draft-ietf-ipsec-ikev2-17.txt中被描述。

IPsec体系结构尤其用于无线局域网(WLAN)，其中，有必要在移动终端以及位于移动终端的当前拜访网络的网关之间建立安全性关联。网关用于接入信任的第二网络。例如，第二网络是企业内联网或另一信任网络。可与移动终端对网络的认证相结合来执行安全性关联建立。例如，在第三代伙伴项目(3GPP)规范TS33.234 V6.0.0(2004-3)中描述了移动终端对网络的认证。在移动终端对其本地网络的认证以及本地网络对移动终端的认证期间，有必要认证用作第二网络的接入点的网关。否则，可通过使用错误网关执行中间人(man-in-the-middle)攻击，并且可记录数据，其稍后用于重放类型的攻击。

现在参照图1，其示出在现有技术中的无线局域网与移动通信系统相互作用方案中，经由网关与远程主机通信的移动节点。在图1中，示出IP网络120，网关114和远程主机122被连接到IP网络120。在网关114与远程主机之间存在安全性关联124，安全性关联124通过IP网络安全地携带从网关114到远程主机122的通信量。移动节点100使用无线局域网(WLAN)110与网关114通信。至少由基站112服务于WLAN 110覆盖区域。同时，WLAN 110还与认证、授权和计费(AAA)代理116关联。例如，AAA代理使用RADIUS(远程认证拨入用户服务)或DIAMETER(直径基本协议)协议与网关114通信。RADIUS协议在IEFT文档RFC 2865中定义，DIAMETER协议在RFC 3588中定义。AAA代理116还与AAA服务器132通信，所述AAA服务器132与作为移动终端100的本地网络的网络130关联。AAA服务器132轮流访问本地位置寄存器(HLR)134，以便获得与移动节点100关联的认证和加密信息。认证和加密信息实际存储在与HLR 134关联的认证中心(AuC)。以下，AuC功能没有被单独讨论，而是被当作诸如HLR 134的HLR的一部分。

现在参照图2，其示出现有技术中由IKEv2安全性关联初始化遵循的可扩展认证协议(EAP)认证和密钥协议信令传输。应注意到：信令传输还可应用于EAP用户标识模块(SIM)认证的情况。可扩展认证协议(EAP)在IEFT文档RFC 2284中定义。所述信令传输的目的在于相互认证移动节点100和代表移动节点100的本地网络的AAA服务器132，并在于相互认证移动节点100和网关114。图2还阐明涉及检查网关114的证书的问题。