[发明专利]客户网关的管理认证方法和认证系统

说明书

技术领域

本发明实施例涉及客户网关(Customer Network Gateway，CNG)的管理认证方法和认证系统，尤其是一种客户网关和客户网关配置功能模块(CNGConfiguration Function，CNGCF)的管理认证方法和认证系统。

背景技术

如图1所示，为现有技术的CNG和CNGCF的认证系统的结构示意图，现有的网络附着子系统(Network Attachment Sub-system，NASS)包括如下功能实体：网络接入配置模块(Network Access Configuration Function，NACF)，具有网络接入配置功能；连接会话定位和存储模块(Connectivity SessionLocation and Repository Function，CLF)，具有连接性会话定位功能；用户接入授权模块(User Access Authorization Function，UAAF)，具有用户接入授权功能；配置数据库模块(Profile Database Function，PDBF)，具有用户签约数据库功能；CNGCF，具有用户端设备配置功能。

NASS主要功能是用户上线时基于用户的签约配置对用户进行认证、授权用户对网络资源使用，并根据授权情况进行网络配置，以及负责分配IP地址。在现有技术中NASS仅仅具有用户接入的网络认证，并没有涉及CNG和CNGCF之间管理平面的认证。具体来讲，在CNG和CNGCF进行管理面的交互之前(如配置，故障检测、CNG升级)，CNG和CNGCF之间需要进行单向或者双向交互认证。只有在认证通过后才能执行管理操作。目前通常有2种方案用于CNG和CNGCF之间的单向或者双向认证。

一种方案是在CNG和CNGCF上静态部署共享认证凭证，例如静态配置用户名/共享密钥方式。如图2所示，为现有技术CNG和CNGCF的认证方法的信令图，具体步骤如下：

步骤201，在业务部署阶段，由电信运营商的操作维护人员针对每个CNG生成一个认证凭证，比如用户名和共享密钥；

步骤202，将认证凭证配置到CNG上，然后在CNGCF上配置这个认证凭证，并将其和CNG标识相关联；

另外也可以将认证凭证告知最终用户，由最终用户负责在CNG上配置；

步骤203，在认证凭证配置完毕后的CNG与CNGCF认证阶段，CNG和CNGCF之间就可以在互操作时以这个认证凭证进行双向或者单向认证；

比如CNG上电时携带认证凭证向CNGCF注册，CNGCF根据接收到的CNG认证凭证和自身保存的CNG认证凭证进行比较，如果匹配则认证通过，返回认证成功消息；

步骤204，CNG与CNGCF互操作阶段，CNGCF向CNG发送携带认证凭的对CNG操作请求；

步骤205，CNG匹配认证凭证，以决定是否允许操作；

步骤206，CNG向CNGCF返回操作结果。

因此，现有的静态配置共享认证方式虽然简单，无须额外的网络设备支持，但是该方法的缺点是针对大量CNG而生成的每一个CNG的唯一共享密钥需要人工配置到CNG和CNGCF，因此工作成本高。而且因为每个CNG都必须由运营商开封、生成共享密钥、人工配置，因而共享密钥分发途径不易控制，安全性差，另外在后续的共享密钥更新过程中，又需要重复业务部署阶段的过程，繁琐复杂。

另外一种方法是采用PKI(Pubic Key Infrastructure，公钥基础设施)数字证书方式，证书通常由专门的CA(Certificate Authorities第三方认证机构)生成，并在生产过程中预配置到CNG上或者将证书以磁盘等介质保存并发给用户。

数字证书，是由认证中心CA(负责电子证书的生成和维护)发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份，数字证书采用公钥体制。

PKI是一个用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施，它是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。如图3所示，为现有的PKI的结构示意图。