專利名稱:基于家庭網(wǎng)關的認證憑證統(tǒng)一管理方法��、系統(tǒng)和家庭網(wǎng)關的制作方法
技術領域:
本發(fā)明涉及數(shù)據(jù)通信領域中的網(wǎng)絡安全技術��,特別是指一種基于 家庭網(wǎng)關的認證憑證統(tǒng)一管理方法�、系統(tǒng)和家庭網(wǎng)關。
背景技術:
隨著網(wǎng)絡和信息化的發(fā)展���,家庭寬帶上網(wǎng)已越來越普及��。 一個家 庭可具有多個信息終端�����,如計算機�����、數(shù)字電視���、可視電話等,組成小 型的家庭網(wǎng)絡�����,并通過家庭網(wǎng)關接入運營商網(wǎng)絡。未來的家庭網(wǎng)絡可 能實現(xiàn)包括信息設備��、通信設備��、娛樂設備����、家用電器�、甚至水電氣 熱表設備等設備的互聯(lián)和管理,以及數(shù)據(jù)和多媒體信息共享����。
家庭信息終端在接入運營商網(wǎng)絡、使用業(yè)務前首先必須進行身份 驗證�����,由于缺乏統(tǒng)一規(guī)劃����,各種設備、各類業(yè)務具有獨立的認證方 案�����,使用多種認證憑證,如帳號/密碼�����、數(shù)字證書����、動態(tài)口令等,不 僅給用戶使用帶來不便���,也不利于運營商的管理�,難以應用統(tǒng)一的安 全策略�����,因此統(tǒng)一認證成為運營商提高服務質(zhì)量的一種手段��,其中�, 認證憑證的統(tǒng)一是一個重要問題。
由于家庭網(wǎng)絡具有多終端的特點�����,在認證憑證統(tǒng)一的情況下,憑 證的共享成為一個難點��。如果使用信息終端存儲認證憑證�,則每個終
端都需保存一個副本,不利于憑證管理����;如果使用通用串行總線鑰匙 (USB Key)等外置設備存儲憑證,則需在各個終端插拔移動�,使用 不便�����。
發(fā)明內(nèi)容
有鑒于此�,本發(fā)明的目的在于提出一種基于家庭網(wǎng)關的認證憑證 統(tǒng)一管理方法、系統(tǒng)和家庭網(wǎng)關����,本發(fā)明使用家庭網(wǎng)關作為家庭網(wǎng)絡
4內(nèi)所有終端認證憑證的統(tǒng)一管理中心,為多個設備��、多種業(yè)務統(tǒng)一提 供認證憑證的存儲���、分發(fā)等管理功能��,實現(xiàn)家庭網(wǎng)絡內(nèi)多終端��、多業(yè) 務認證憑證的共享�。
基于上述目的本發(fā)明提供的一種基于家庭網(wǎng)關的認證憑證統(tǒng)一管
理方法,由家庭網(wǎng)關負責內(nèi)部網(wǎng)絡中認證憑證的統(tǒng)一分發(fā)����;并包括如 下步驟
信息終端進行業(yè)務認證時,向家庭網(wǎng)關發(fā)送認證憑證的獲取請求�����; 家庭網(wǎng)關根據(jù)所述請求獲取相應的認證憑證�,發(fā)送給請求的信息終
端;
信息終端通過獲取的認證憑證向內(nèi)部網(wǎng)絡以外的認證服務器進行認證����。
可選的,該方法所述信息終端向家庭網(wǎng)關發(fā)送的認證憑證的獲取請
求中包括該信息終端對應的用戶標識�����; 家庭網(wǎng)關根據(jù)用戶標識獲取認證憑證���; 終端將用戶標識和獲取的認證憑證發(fā)給認證服務器��; 認證服務器驗證用戶的合法性���,決定是否允許用戶使用����。 可選的�,該方法所述信息終端向家庭網(wǎng)關發(fā)送認證憑證的獲取請求
前進一步包括
信息終端向認證服務器發(fā)送認證請求;
認證服務器收到該認證請求后�����,生成隨機的質(zhì)詢字符串發(fā)送給信息 終端�����;
信息終端向家庭網(wǎng)關發(fā)送包含有帳號和質(zhì)詢字符串的認證憑證獲取 請求�;
所述家庭網(wǎng)關將獲取的質(zhì)詢串密文返回給信息終端�; 信息終端將質(zhì)詢串密文發(fā)給認證服務器; 認證服務器發(fā)^用戶的合法性���,決定是否允許用戶使用����。 可選的,該方法所述家庭網(wǎng)關根據(jù)所述請求獲取相應的認證憑證包 括家庭網(wǎng)關在本地存儲或計算認證憑證����;
或者家庭網(wǎng)關獲取外置認證設備存儲或計算的認證憑證?�?蛇x的�,該方法所述的認證憑證,包括口令�、動態(tài)口令、數(shù)字證書 的簽名��。
基于上述目的��,本發(fā)明還提供了一種基于家庭網(wǎng)關的認證憑證統(tǒng)一
管理的系統(tǒng)�����,包括
信息終端�,在進行業(yè)務認證時,向家庭網(wǎng)關發(fā)送認證憑證的獲取請 求��,并通過獲取的認證憑證向內(nèi)部網(wǎng)絡以外的認證服務器進行認證��;
家庭網(wǎng)關,負責內(nèi)部網(wǎng)絡中認證憑證的統(tǒng)一分發(fā)�����,根據(jù)接收的所述 認證憑證的獲取請求獲取相應的認證憑證�����,發(fā)送給請求的信息終端��;
認證服務器�,根據(jù)收到的信息終端認證憑證進行認證。
可選的����,該系統(tǒng)所述家庭網(wǎng)關,在本地存儲信息終端對應的認證憑 證信息�����,根據(jù)認證憑證請求在本地查找所需的認證憑證�����;或者根據(jù)認證 憑證請求在本地計算所需的認證憑證���;
或者所述家庭網(wǎng)關與外置認證設備連接����,從外置認證設備獲取該外 置認證設備存儲或計算得到的認證憑證�。
基于上述目的,本發(fā)明還提供了一種基于家庭網(wǎng)關的認證憑證統(tǒng)一 管理的家庭網(wǎng)關��,負責內(nèi)部網(wǎng)絡中認證憑證的統(tǒng)一分發(fā)�,根據(jù)接收的所 述認證憑證的獲取請求獲擬目應的認證憑證,發(fā)送給請求的信息終端�����。
可選的����,所述家庭網(wǎng)關中存儲認證憑證或根據(jù)認證憑證請求計算憑 證所需的配置信息;或提供擴展接口�,向外置認證設備獲取該外置認證 設備存儲或計算的認證憑證。
可選的��,所述家庭網(wǎng)關還用于監(jiān)聽終端的認證憑證請求�����。
從上面所述可以看出,本發(fā)明提供的基于家庭網(wǎng)關的認證憑證統(tǒng) 一管理方法����、系統(tǒng)和家庭網(wǎng)關,利用家庭網(wǎng)關作為認證憑證的管理中 心���,統(tǒng)一負責各終端認證憑證的存儲和分發(fā)���,具有以下優(yōu)點
1)多終端、多業(yè)務環(huán)境的認證憑證共享
家庭網(wǎng)絡多終端��、多業(yè)務環(huán)境的憑證共享是統(tǒng)一認證憑證的一個 難點����,本方案利用家庭網(wǎng)關進行憑證的存儲、管理和分發(fā)����,較好地解 決了此問題,從而可以為家庭用戶提供統(tǒng)一的認證憑證�����,方便運營商 的管理���、提高服務質(zhì)量���。2) 方l更用戶^f吏用
由家庭網(wǎng)關統(tǒng)一管理認證憑證,身份認證過程中�����,只需用戶輸入 或選擇用戶標識�����、不需要每次輸入認證憑證或插拔認證設備�����,在只有 單一用戶標識的情況下�,認證過程甚至可以不需要用戶干預,大大方 便了用戶使用���。
外置的認證設備可采用與計算機相同的接口 �����,如USB接口�����,外 出時可攜帶認證設備���,既可在家庭網(wǎng)絡環(huán)境下為多終端共享���,也可滿 足外出時使用業(yè)務的需要。
3) 支持多種認證憑證
本方案可以支持賬號/口令�、數(shù)字證書、動態(tài)口令等多種認證憑 證�����,既可將憑證內(nèi)置于家庭網(wǎng)關���,也可采用具有通用接口的外置設 備�,如USBKey����。
4) 不影響^人證流程
方案對終端與認證服務器間的交互過程沒有任何影響,可支持各 種認證方式��。
5) 改造小�,投資少
本方案主要通過改造家庭網(wǎng)關���,增加相應的認證憑證管理功能��, 不需要改造網(wǎng)絡側的設備����、認證服務器,投資較小��。
綜上所述��,本發(fā)明可實現(xiàn)家庭網(wǎng)絡中多終端�、多業(yè)務環(huán)境的認證 憑證共享,實現(xiàn)家庭網(wǎng)絡環(huán)境的統(tǒng)一認證憑證����,并可支持多種認證憑 證和認證方式,在方便用戶使用的同時���,有利于運營商的統(tǒng)一管理��、 提高服務質(zhì)量�。
圖1為本發(fā)明實施例普通認證流程示意圖2為本發(fā)明實施例采用質(zhì)詢握手認證協(xié)議(CHAP)認證的流程 示意圖3為本發(fā)明實施例家庭網(wǎng)絡結構示意圖�����; 圖4為本發(fā)明實施例接入i人證流程示意圖。
具體實施例方式
下面參照附圖對本發(fā)明進行更全面的描述�����,其中說明本發(fā)明的示例 性實施例���。
本發(fā)明針對以家庭網(wǎng)關作為統(tǒng)一網(wǎng)絡出口的家庭網(wǎng)絡���,以及具有類
似結構的內(nèi)部網(wǎng)絡。方案主要涉及兩個部件家庭網(wǎng)關和信息終端��。其 中����,
網(wǎng)關是將兩個使用不同協(xié)議的網(wǎng)絡段連接在一起的設備,家庭網(wǎng)關 是連接家庭網(wǎng)絡和公共網(wǎng)絡的設備�,國際工業(yè)論壇組織RG (Residential Gateway Group )給家庭網(wǎng)關的定義是 一種簡單的、智 能的���、標準化的��、靈活的整個家庭網(wǎng)絡接口單元�����,它可以從不同的外部 網(wǎng)絡接收通訊信號��,通過家庭網(wǎng)絡傳遞信號給某個信息設備���。
信息終端包括計算機、數(shù)字電視�����、可視電話等具有聯(lián)網(wǎng)功能的信息 設備�。
信息終端與家庭網(wǎng)關采用私有地址互聯(lián),組成一個獨立的內(nèi)部網(wǎng) 絡�����,并以家庭網(wǎng)關作為外部網(wǎng)絡的統(tǒng)一出口�����。
本發(fā)明實施例中����,家庭網(wǎng)關除具備普通網(wǎng)關的網(wǎng),入等基本功能 外��,還具有以下功能
存儲認證憑證或計算憑證所需的配置信息����;或提供擴展接口�����,由外 置認證設備存儲/計算憑證�;
監(jiān)聽終端的認證憑證請求;
接收終端的認證憑證請求��;
根據(jù)請求類型�,查找或計算出認證憑證(比如有的請求是普通認證 的請求類型,則只需直接查找認證憑證�;有的請求是如CHAP認證方 式等對應的請求類型,則需要通過執(zhí)行預定的算法計算得到認證憑 證)�;或?qū)⒄埱筠D(zhuǎn)發(fā)給外置設備,由外置設備完成相關操作��;
將i人證憑證返回給終端����。
其中���,家庭網(wǎng)關提供的認證擴展接口應采用與計算機等常用設備通 用的接口,如USB才妄口�。本發(fā)明中所述用戶標識可以是電話號碼、帳號等用戶身份標識���。 運營商提供的不同業(yè)務可能采用不同的用戶標識�,因此�,家庭網(wǎng)關
應支持多個憑證,如果采用的是外置的認證設備�,該設備應支持多個憑證���。
本發(fā)明認證系統(tǒng)主要涉及家庭網(wǎng)關�����、認證客戶端(即信息終端) 和認證服務器���,以及可能的外置認證設備。其中�,認證客戶端可能使用 外置的認證設備,如USBKey;認證服務器是網(wǎng)絡側所有認證設備和服 務器的總稱��。
本發(fā)明認證方法主要涉及信息終端與家庭網(wǎng)關的交互過程,信息終 端與認證服務器的交互過程由具體的認證方式?jīng)Q定���,本發(fā)明不影響認證 協(xié)議所規(guī)定原有的流程�。
參見附圖1所示�,為基于本發(fā)明認證系統(tǒng)進行認證的普通認證流 程,描述如下
步驟101����,用戶通過信息終端使用運營商的網(wǎng)絡或業(yè)務,這時認證 服務器會要求終端提供用戶的認證憑證�;信息終端讀取用戶標識,或者 提示用戶輸入或選擇用戶標識�����,用戶輸入或選擇后���;信息終端向家庭網(wǎng) 關請求認證憑證����,請求中至少包括用戶標識�����。
步驟102,家庭網(wǎng)關收到該請求后,根據(jù)用戶標識在本地查找認證 憑證�,或查找配置信息并計算出認證憑證;如果使用的是USB Key等 外置認證設備���,家庭網(wǎng)關將請求提交給外置設備�,由外置認證設備產(chǎn)生
認證憑證o
步驟103��,家庭網(wǎng)關將認證憑證返回給信息終端�����; 步驟104��,信息終端將包含有用戶標識���、認證憑證的認證請求發(fā)給 認證服務器。
步驟105��,認證服務器驗證用戶的合法性��,決定是否允許用戶使用�����。
步驟106,認證服務器向信息終端返回認證結果�。
參見附圖2所示,為采用CHAP認證方式的認證流程�����,描述如
下步驟201�����,用戶通過信息終端使用運營商的網(wǎng)絡或業(yè)務��,信息終端 向認證服務器發(fā)送認證請求�����。
步驟202�����,認證服務器收到該認證請求后���,生成隨機的質(zhì)詢字符串�。
步驟203��,認證服務器將生成的質(zhì)詢字符串發(fā)送給信息終端。
步驟204��,信息終端向家庭網(wǎng)關請求認證憑證�,請求中至少包括帳
號和質(zhì)詢字符串。
步驟205�,家庭網(wǎng)關收到該認證憑證請求后,在本地查找用戶帳號
配置�����,對質(zhì)詢字符串加密或簽名生成質(zhì)詢串密文��,或者家庭網(wǎng)關將請求
交給外置認證設備�,由外置認證設備完成該操作。
步驟206,家庭網(wǎng)關將質(zhì)詢串密文返回給信息終端��。 步驟207,信息終端將質(zhì)詢串密文發(fā)給認證服務器�����。 步驟208,認證服務器驗證用戶的合法性���,決定是否允許用戶使用。
步驟209,認證服務器向信息終端返回認證結果��。 下面結合具體的應用實例對本發(fā)明進行進一步具體說明。 參見圖3所示的實施例�,信息終端PC 301、 IPTV 302等通過家庭 網(wǎng)關303接入到互聯(lián)網(wǎng)(internet) 304��,與網(wǎng)絡端的遠程用戶撥號認證 服務(RADIUS) 305�、網(wǎng)上教育306、 IPTV服務器307以及認證中心 308 (即認證服務器)連接�。
家庭用戶采用USB Key 310作為網(wǎng)絡和各類業(yè)務統(tǒng)一的認證憑證, 并采用家庭網(wǎng)關303作為憑證的管理中心��,其中�����,USBKey310插在家 庭網(wǎng)關303的擴展接口上�,負責認證憑證的計算。
所述認證憑證為用戶寬帶網(wǎng)絡接入和多種業(yè)務統(tǒng)一提供認證����,如 IPTV、網(wǎng)上教育����,各種業(yè)務具有獨立的帳號。使用前�����,用戶將帳號預 先配置在客戶端軟件,則使用相應的業(yè)務時�,認證過程基本上不需要用 戶干預,由客戶端軟件從家庭網(wǎng)關303中獲得認證憑證����,完成認證。 應用1:用戶使用網(wǎng)絡教育的課程��。
用戶首先需要接入網(wǎng)絡�����,本實施例采用CHAP認證方式��,圖4為認證流程���,包括如下步驟
步驟401,用戶啟動客戶端撥號軟件����,撥號軟件讀取配置的接入帳 號���,請求接入網(wǎng)絡�����,認證請求經(jīng)RADIUS發(fā)給認證中心�����。
步驟402�,認證中心生成隨機的質(zhì)詢字符串����。
步驟403,認證中心經(jīng)RADIUS向信息終端發(fā)送質(zhì)詢字符串���,要求 客戶端對其簽名�。
步驟404����,信息終端將帳號、質(zhì)詢字符串以數(shù)字簽名請求的形式發(fā) 給家庭網(wǎng)關��。
步驟405��,家庭網(wǎng)關接受請求,提交給外置的USBKey對質(zhì)詢字符 串簽名�����。
步驟406,外置USBKey查找?guī)ぬ柵渲?���,對質(zhì)詢串簽名。 步驟407��,外置USBKey將簽名結果返回給家庭網(wǎng)關����。 步驟408,家庭網(wǎng)關將簽名結果返回給信息終端��。 步驟409�,信息終端將包含質(zhì)詢串簽名和帳號的請求經(jīng)遠程用戶撥 號認證服務(RADIUS)發(fā)給認證中心。
步驟410���,認證中心查找?guī)ぬ?���、質(zhì)詢串�����,對簽名進行認證。 步驟4U�,將認證結果經(jīng)過RADIUS發(fā)送給信息終端。 i人證通過后�,用戶接入網(wǎng)絡����。
然后客戶啟動瀏覽器,瀏覽網(wǎng)上教育站點的內(nèi)容�,當需要訪問受限 的內(nèi)容時,站點推送認證頁面要求驗證用戶身份�����,驗證過程與接入認證 流程類似��,不同的是���,客戶端軟件為瀏覽器插件����,服務器為網(wǎng)上教育站 點�。認證通過后�,用戶即可使用受限資源����。
應用2: 4吏用IPTV。
用戶啟動數(shù)字電視��,機頂盒讀取用戶的帳號����,從家庭網(wǎng)關獲得認證 憑證,驗證過程與上述接入認證過程類似��,不同的是����,客戶端為機頂 盒,服務器為IPTV業(yè)務系統(tǒng)���。驗證通過后��,用戶即可收看視頻節(jié)目���。
本示例中,用戶對客戶端軟件進行配置后�����,接入網(wǎng)絡、使用各種業(yè) 務時的認證過程都不需要干預�����,直接由軟件從家庭網(wǎng)關獲取認證憑證完 成認證流程��,使用方^f更���。本發(fā)明的描述是為了示例和說明起見而給出的,而并不是無遺漏的 或者將本發(fā)明限于所公開的形式�。很多修改和變化對于本領域的普通技
術人員而言是顯然的。選擇和描述實施例是為了更好說明本發(fā)明的原理 和實際應用�,并且使本領域的普通技術人員能夠理解本發(fā)明從而設計適 于特定用途的帶有各種修改的各種實施例。
權利要求
1. 一種基于家庭網(wǎng)關的認證憑證統(tǒng)一管理方法�,其特征在于,由家庭網(wǎng)關負責內(nèi)部網(wǎng)絡中認證憑證的統(tǒng)一分發(fā)�;并包括如下步驟信息終端進行業(yè)務認證時,向家庭網(wǎng)關發(fā)送認證憑證的獲取請求��;家庭網(wǎng)關根據(jù)所述請求獲取相應的認證憑證���,發(fā)送給請求的信息終端����;信息終端通過獲取的認證憑證向內(nèi)部網(wǎng)絡以外的認證服務器進行認證。
2. 根據(jù)權利要求l所述的方法�����,其特征在于��,所述信息終端向家庭 網(wǎng)關發(fā)送的認證憑證的獲取請求中包括該信息終端對應的用戶標識�;家庭網(wǎng)關根據(jù)用戶標識獲取認證憑證;終端將用戶標識和獲取的認證憑證發(fā)給認證服務器�����;認證服務器驗汪用戶的合法性�,決定是否允許用戶使用。
3. 根據(jù)權利要求l所述的方法����,其特征在于,所述信息終端向家庭 網(wǎng)關發(fā)送認證憑證的獲取請求前進一步包括信息終端向認證服務器發(fā)送認證請求��;認證服務器收到該認證請求后��,生成隨機的質(zhì)詢字符串發(fā)送給信息 終端����;信息終端向家庭網(wǎng)關發(fā)送包含有帳號和質(zhì)詢字符串的認證憑證獲取 請求���;所述家庭網(wǎng)關將獲取的質(zhì)詢串密文返回給信息終端; 信息終端將質(zhì)詢串密文發(fā)給認證服務器�����; 認證服務器驗證用戶的合法性���,決定是否允許用戶使用���。
4. 根據(jù)權利要求1-3任意一項所述的方法�����,其特征在于���,所述家 庭網(wǎng)關根據(jù)所述請求獲取相應的認證憑證包括家庭網(wǎng)關在本地存儲或 計算認證憑證����;或者家庭網(wǎng)關獲取外置認證設備存儲或計算的認證憑證�����。
5. 根據(jù)權利要求l所述的方法,其特征在于�����,所述的認證憑證����,包 括口令、動態(tài)口令���、數(shù)字證書的簽名�����。
6. —種基于家庭網(wǎng)關的認證憑證統(tǒng)一管理的系統(tǒng)�����,其特征在于�,包括信息終端�����,在進行業(yè)務認證時,向家庭網(wǎng)關發(fā)送認證憑證的獲取請 求�,并通過獲取的認證憑證向內(nèi)部網(wǎng)絡以外的認證服務器進行認證;家庭網(wǎng)關��,負責內(nèi)部網(wǎng)絡中認證憑證的統(tǒng)一分發(fā)��,根據(jù)接收的所述 認證憑證的獲取請求獲取相應的認證憑證��,發(fā)送給請求的信息終端��;認證服務器�����,根據(jù)收到的信息終端認證憑證進行認證����。
7. 根據(jù)權利要求6所述的系統(tǒng)��,其特征在于���,所述家庭網(wǎng)關��,在本 地存儲信息終端對應的認證憑證信息�,根據(jù)認證憑證請求在本地查找所 需的認證憑證;或者根據(jù)認證憑證請求在本地計算所需的認證憑證���;或者所述家庭網(wǎng)關與外置認證設備連接�,從外置認證設備獲取該外 置認證設備存儲或計算得到的認證憑證����。
8. —種基于家庭網(wǎng)關的認證憑證統(tǒng)一管理的家庭網(wǎng)關,其特征在 于�,家庭網(wǎng)關,負責內(nèi)部網(wǎng)絡中認證憑證的統(tǒng)一分發(fā)�,根據(jù)接收的所述 認證憑證的獲取請求獲取相應的認證憑證,發(fā)送給請求的信息終端�。
9. 根據(jù)權利要求8所述的家庭網(wǎng)關,其特征在于�,所述家庭網(wǎng)關中存儲認證憑證或根據(jù)認證憑證請求計算憑證所需的 配置信息;或提供擴展接口����,向外置認證設備獲取該外置認證設備存儲 或計算的認證憑證。
10. 根據(jù)權利要求8或9所述的家庭網(wǎng)關�����,其特征在于,所述家庭 網(wǎng)關還用于監(jiān)聽終端的認證憑證請求��。
全文摘要
本發(fā)明公開一種基于家庭網(wǎng)關的認證憑證統(tǒng)一管理方法�、系統(tǒng)和家庭網(wǎng)關,包括由家庭網(wǎng)關負責內(nèi)部網(wǎng)絡中認證憑證的統(tǒng)一分發(fā)����;信息終端進行業(yè)務認證時,向家庭網(wǎng)關發(fā)送認證憑證的獲取請求���;家庭網(wǎng)關根據(jù)所述請求獲取相應的認證憑證�,發(fā)送給請求的信息終端����;信息終端通過獲取的認證憑證向內(nèi)部網(wǎng)絡以外的認證服務器進行認證。本發(fā)明使用家庭網(wǎng)關作為家庭網(wǎng)絡內(nèi)所有終端認證憑證的統(tǒng)一管理中心���,為多個設備�、多種業(yè)務統(tǒng)一提供認證憑證的存儲�����、分發(fā)等管理功能�����,實現(xiàn)家庭網(wǎng)絡內(nèi)多終端�、多業(yè)務認證憑證的共享。
文檔編號H04L9/32GK101521577SQ20091013177
公開日2009年9月2日 申請日期2009年4月1日 優(yōu)先權日2009年4月1日
發(fā)明者劉國榮, 軍 沈, 金華敏 申請人:中國電信股份有限公司