[发明专利]一种通过网关认证用户的方法

说明书

一种通过网关(46)使客户端(42)和服务器(44)彼此认证的方法，其中客户端使用自己和网关之间的第一个加密协议并且服务器使用自己和网关之间的第二个加密协议，该方法包括以下步骤：在服务器上设置网关是被信任的认证机构(48)；网关发行数字证书认证客户端；以及服务器验证数字证书以便向自己确认该数字证书来自被信任的认证。

技术领域

本发明涉及认证并且特别地，但是不是专门涉及通信系统。在一个实施方案中，其涉及无线通信系统。

技术背景

在互联网上的通信使用TCP/IP协议族。TCP指传输控制协议并且IP指互联网协议。TCP/IP指由互联网工程任务组(IETF)规定的一大组协议。TCP/IP是基本互联网和内联网通信协议。其允许信息通过中间设备和单独的网络从一个计算机发送到其目的地。

TCP/IP的很大的灵活性导致其被全世界接受。同时，TCP/IP允许信息通过中间设备的事实使得第三方以下列方式干预通信成为可能。

加密(密码术)被用于解决这些问题。加密使信息能够被秘密呈递因此对偷听者难以理解。这样其提供了保密性。接收者可以检验信息在运送中没有被修改或者检测其何时被修改。接收者可以确定信息源自其声称的源，并且因此可以被认证。除此之外，加密可以提供禁止信息的发送者在稍后的时期声称其没有发送该信息的非否认。

加密的一种形式是对称密钥加密。在对称密钥加密中，密钥可以从解密密钥中被计算或者相反。利用大多数对称算法，相同的密钥用于加密和解密。对称密钥加密的实现可以有很高的效率，因此用户没有经历作为加密和解密过程的结果的任何显著的时间延迟。对称密钥加密还提供一定程度的认证，因为用一个对称密钥加密的信息不能用任何其它对称密钥解密。

只有对称密钥由涉及的双方保持秘密，对称密钥加密才是有效的。如果其他人发现了密钥，则其影响机密性和认证。具有未授权的对称密钥的人不仅可以解密用该密钥发送的消息，还可以加密新的消息并且将其发送，就像其来自最初使用该密钥的两方之一。

另一种形式的加密是公共密钥加密。公共密钥加密的一个版本是基于RSA数据安全算法。公共密钥(也称为不对称密钥)涉及与需要电子地鉴别其身份或者签名或者加密数据的一方相关的一对密钥，公共密钥和私有密钥。公用密钥必须是可靠的。公用密钥可以被公布，而对应的私有密钥必须保密。利用公共密钥和加密算法加密的消息仅可以用私有密钥解密。因此如果一方已经被给予公共密钥，则其可以使用这个密钥来加密仅可以利用该私有密钥解密的消息。这样，提供了保密性和机密性。相反地，利用私有密钥加密的消息仅可以利用公共密钥解密。因此，如果一方有私有密钥，则该方可以使用这个密钥来加密可以由具有公共密钥的另一方来解密的消息。可以被利用公共密钥解密的消息仅可以来自拥有相应私有密钥的一方。这样，提供了认证或签名。

为解决这个问题，如图1所示使用认证机构。这个方案显示发送者12、接收者14以及认证机构(CA)16。CA 16连接到发送者12以及接收者14并且由两者信任。发送者12有私有密钥(S-SK)和公共密钥(S-PK)，接收者14有私有密钥(R-SK)和公共密钥(R-PK)，并且CA有私有密钥(CA-SK)和公共密钥(CA-PK)。CA-PK被提供给发送者12和接收者14以便用于认证的通信发生。显然，CA-PK必须被以认证的方式提供，因此发送者12和接收者14可以确信其源。

发送者12生成证书签名请求(CSR)，其被发送到CA 16。发送者12向CA 16提供其身份(或者利用发送者12的用户发送一些个人数据或者利用呈现给发送者12的被使用的私有代码)。发送者12还在CSR中发送其公共密钥S-PK。CA 16用唯一的数字签名签署个人数据或私有代码以及公共密钥S-PK以便证明它们一致。签名的证书被返回到发送者12。接收者14与CA 16执行类似的过程以便获得其自己签名的证书。当发送者12想要与接收者14谈话时，需要它们之间的握手，其中发送者12和接收者14交换其数字证书(这个交换不加密)。