專利名稱:用戶接入認(rèn)證代理時確定認(rèn)證使用的密鑰的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及3GPP通用鑒權(quán)框架(GAA)技術(shù)領(lǐng)域��,特別是指一種UE接入AP時確定認(rèn)證所使用的密鑰的方法及系統(tǒng)。
背景技術(shù):
在第三代無線通信標(biāo)準(zhǔn)中��,通用鑒權(quán)框架(GAA)是多種應(yīng)用業(yè)務(wù)實體使用的一個用于完成對用戶身份進(jìn)行驗證的通用結(jié)構(gòu)�����,應(yīng)用通用鑒權(quán)框架可實現(xiàn)對應(yīng)用業(yè)務(wù)的用戶進(jìn)行檢查和驗證身份�����。上述多種應(yīng)用業(yè)務(wù)可以是多播/廣播業(yè)務(wù)�、用戶證書業(yè)務(wù)����、信息即時提供業(yè)務(wù)等,也可以是代理業(yè)務(wù)�����。
圖1示出了所述通用鑒權(quán)框架的結(jié)構(gòu)���。通用鑒權(quán)框架通常由用戶(UE)�����、執(zhí)行用戶身份初始檢查驗證的實體(BSF)�、用戶歸屬網(wǎng)絡(luò)服務(wù)器(HSS)和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體(NAF)組成。BSF用于與UE進(jìn)行互驗證身份���,同時生成BSF與UE的共享密鑰Ks�;HSS中存儲用于描述用戶信息的描述(Profile)文件��,同時HSS還兼有產(chǎn)生鑒權(quán)信息的功能��。
UE需要使用某種業(yè)務(wù)時��,如果UE知道該業(yè)務(wù)需要到BSF進(jìn)行互鑒權(quán)過程�,則直接到BSF進(jìn)行互鑒權(quán),否則���,UE會首先和該業(yè)務(wù)對應(yīng)的NAF聯(lián)系�,如果該NAF使用GAA通用鑒權(quán)框架���,并且發(fā)現(xiàn)該UE還未到BSF進(jìn)行互認(rèn)證過程�����,NAF則通知該UE到BSF進(jìn)行互鑒權(quán)以驗證身份���。
接下來UE與BSF之間執(zhí)行互認(rèn)證過程�。根據(jù)UE中的UICC(通用集成電路卡�,是可插入UE的一種IC卡或智能卡)屬性的不同,UE和BSF之間會執(zhí)行兩種不同的過程如果UICC具備GBA功能��,那么UE與BSF執(zhí)行GBA_U過程�,結(jié)果產(chǎn)生UICC和BSF之間共享一個密鑰Ks;如果UICC不具備互認(rèn)證(GBA)功能���,那么UE與BSF執(zhí)行GBA_ME過程,結(jié)果產(chǎn)生UE和BSF之間共享一個密鑰Ks�。
接下來UE和BSF將會由Ks計算用來加密UE和NAF之間通信的GAA衍生密鑰(NAF-specific key)。并且根據(jù)UICC屬性不同��,也會有不同的NAF-specific key生成如果UICC具備GBA功能����,那么終端將由Ks計算的GAA衍生密鑰為Ks_NAF,存放于UE的移動設(shè)備(ME)上�����;BSF也由Ks根據(jù)同樣方法計算出Ks_NAF,并發(fā)送給NAF�。如果UICC不具備GBA功能,那么終端將由Ks計算的GAA衍生密鑰為Ks_ext_NAF和Ks_int_NAF�����,Ks_int_NAF存放于UICC�����,Ks_ext_NAF發(fā)到ME保存�����。BSF也由Ks根據(jù)同樣方法計算出Ks_ext_NAF和Ks_int_NAF�����,并發(fā)送給NAF����。
接下來UE和NAF之間的通信采用所述GAA衍生密鑰進(jìn)行加密保護。
在實際應(yīng)用中��,根據(jù)實現(xiàn)NAF的實體的不同�,應(yīng)用在Ua接口(Ua是NAF與UE之間的接口)認(rèn)證UE的方式也有不同一種情況是應(yīng)用服務(wù)器(AS)自身作為實現(xiàn)NAF的實體,在UE接入AS時,直接對UE進(jìn)行業(yè)務(wù)接入認(rèn)證�����,認(rèn)證過程中��,AS與UE需要采用GAA過程生成密鑰進(jìn)行相互認(rèn)證�。
另外一種如圖2所示AS和UE之間存在認(rèn)證代理(AP,AuthenticationProxy)的情況����。在UE接入AS前,由AP代替AS對UE進(jìn)行認(rèn)證���,在認(rèn)證成功后再將UE接入對應(yīng)的AS。在對UE的認(rèn)證過程中�����,AP與UE需要采用GAA過程生成的密鑰進(jìn)行相互認(rèn)證��。其中每個認(rèn)證代理(AP)可以為多個AS認(rèn)證UE�。
具體來說,對于后一種所述存在認(rèn)證代理(AP)的情況��。當(dāng)UE的認(rèn)證請求發(fā)往AP(以發(fā)送給與AP關(guān)聯(lián)的AS)時,TLS(Transport Layer Security�����,傳輸層安全性)隧道終止于AP�,由AP截獲該認(rèn)證請求執(zhí)行對UE的認(rèn)證。認(rèn)證通過后��,AP將從UE接收到的請求轉(zhuǎn)發(fā)給一個或者多個AS����,AP可以在UE請求中插入用戶身份的申明,以便于AS判斷請求是否來自已經(jīng)被認(rèn)證的UE�。
如上所述,根據(jù)UICC是否具備GBA功能�,生成的GAA衍生密鑰為Ks_NAF,或者為Ks_ext_NAF和Ks_int_NAF��。目前�����,對AP與UE進(jìn)行上述認(rèn)證所采用的密鑰并沒有進(jìn)行規(guī)定�。而不同的AS對認(rèn)證所要求使用的密鑰可能是不同的,這導(dǎo)致不同AS對認(rèn)證所要求使用的密鑰可能與AP與UE間實際認(rèn)證時采用的密鑰不一致��。從而,可能會導(dǎo)致AP與UE進(jìn)行認(rèn)證時采用的密鑰不符合要接入的AS對認(rèn)證所要求使用的密鑰��,從而不符合AS對認(rèn)證的安全性的要求�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供了一種UE接入AP時確定認(rèn)證所使用的密鑰的方法及系統(tǒng)��,實現(xiàn)AP與UE的認(rèn)證過程所使用的GAA衍生密鑰符合AS對認(rèn)證所使用密鑰的要求����。
本發(fā)明提供的UE接入認(rèn)證代理(AP)時確定認(rèn)證所使用的密鑰的方法,GAA下的AP保存根據(jù)一共享密鑰Ks計算出的GAA衍生密鑰�;AP記錄有AS對認(rèn)證所需密鑰類型的要求,UE通過AP接入AS時�����,包括以下步驟A���、UE向AP發(fā)送認(rèn)證請求;該認(rèn)證請求攜帶UE所要接入AS的AS標(biāo)識����;B、AP根據(jù)所述認(rèn)證請求中的AS標(biāo)識查找記錄的該AS對認(rèn)證所需密鑰類型的要求�;C�、AP根據(jù)所述AS對認(rèn)證所需密鑰類型的要求確定出認(rèn)證時要使用的GAA衍生密鑰��。
其中�����,步驟C所述確定出認(rèn)證時要使用的GAA衍生密鑰的步驟包括A2�����、UE根據(jù)所述Ks生成認(rèn)證時要使用的GAA衍生密鑰�����,將所述GAA衍生密鑰的類型發(fā)送給AP�;B2、AP收到所述GAA衍生密鑰的類型后��,判斷該GAA衍生密鑰類型是否符合所述AS對認(rèn)證所需密鑰類型的要求���,若是�,則采用所保存的所述GAA衍生密鑰類型的GAA衍生密鑰作為確定出的認(rèn)證時要使用的GAA衍生密鑰����;否則退出本流程��。
其中����,步驟A2所述UE根據(jù)所述Ks生成認(rèn)證時要使用的GAA衍生密鑰的步驟包括判斷UE的通用集成電路卡UICC是否具備互認(rèn)證GBA能力�,若是,則生成Ks_NAF類型的GAA衍生密鑰�;否則,進(jìn)一步判斷當(dāng)前應(yīng)用是UE的UICC上的應(yīng)用時�,生成Ks_int_NAF類型的GAA衍生密鑰,若判斷是UE的移動設(shè)備ME上的應(yīng)用�����,生成Ks_ext_NAF類型的GAA衍生密鑰�。
其中,步驟C所述確定出認(rèn)證時要使用的GAA衍生密鑰的步驟包括A4���、UE獲得所述AS對認(rèn)證所需密鑰類型的要求����,并根據(jù)UE的UICC是否具備GBA能力判斷是否能夠產(chǎn)生所述所需密鑰類型要求的GAA衍生密鑰����,若是,則產(chǎn)生所述所需密鑰類型要求的GAA衍生密鑰�����,否則退出本流程��;B4���、AP根據(jù)所述AS對認(rèn)證所需密鑰類型的要求���,判斷所保存的GAA衍生密鑰的類型是否有所需密鑰類型要求的類型,若是�����,則使用所述GAA衍生密鑰�����,否則退出本流程��。
其中���,所述UE獲得所述AS對認(rèn)證所需密鑰類型的要求是從所述AS或AP獲得的�����。
其中�,所述AS對認(rèn)證所需密鑰類型的要求包括要求采用Ks_NAF、Ks_NAF或Ks_int_NAF類型中的某一種�,或首選其中的某一種。
本發(fā)明還提供了一種用戶UE接入認(rèn)證代理AP時確定認(rèn)證所使用的密鑰的系統(tǒng)�����,包括存儲單元��,記錄有連接AP的各個AS對認(rèn)證所需密鑰類型的要求�����;判斷單元����,用來判斷UE接入AP認(rèn)證時要使用的GAA衍生密鑰;AP�����,保存有根據(jù)UE和BSF執(zhí)行GBA過程生成的共享密鑰Ks所計算出的GAA衍生密鑰;用于接收帶到UE發(fā)送的認(rèn)證請求時����,查詢存儲單元�����,根據(jù)所述認(rèn)證請求中攜帶的UE所要接入AS的AS標(biāo)識從存儲單元中讀取該AS對認(rèn)證所需的密鑰類型��;并將從存儲單元中讀取的所述AS對認(rèn)證所需的密鑰類型���、AP保存的所述GAA衍生密鑰發(fā)信給判斷單元����;判斷單元依據(jù)所述AS對認(rèn)證所需的密鑰類型對所述GAA衍生密鑰進(jìn)行判斷���,以確認(rèn)在UE接入AP時是否采用所述GAA衍生密鑰�����。
本發(fā)明方法中����,AP為每個AS配置該AS對認(rèn)證要求的密鑰類型,當(dāng)AP接到UE的認(rèn)證請求時�����,判斷在BSF上對UE所要訪問的AS的認(rèn)證密鑰沒有特殊限定時�,則根據(jù)所配置的信息判斷UE所選的密鑰類型是否符合要接入的AS的要求;以確定出所要使用的GAA衍生密鑰�����,繼續(xù)后續(xù)的認(rèn)證過程���。
或者是根據(jù)該信息選擇符合要接入的AS對認(rèn)證所使用的密鑰類型的要求�,來匹配GAA過程所生成的GAA衍生密鑰的類型��,確定出要使用的GAA衍生密鑰��,以繼續(xù)后續(xù)的認(rèn)證過程���。保證AP認(rèn)證UE時����,認(rèn)證安全強度(即認(rèn)證采用的密鑰類型)是符合AS對認(rèn)證的要求��。
本發(fā)明系統(tǒng)中,根據(jù)AP��、判斷單元�、存儲單元可以以確定出UE接入AP時確定認(rèn)證所使用的GAA衍生密鑰,從而繼續(xù)后續(xù)的認(rèn)證過程�。保證AP認(rèn)證UE時,認(rèn)證安全強度(即認(rèn)證采用的密鑰類型)是符合AS對認(rèn)證的要求��。
圖1為GAA框架示意圖����。
圖2為AS和UE之間存在認(rèn)證代理AP的結(jié)構(gòu)圖��。
圖3為確定Ua接口密鑰的流程圖�����。
圖4為UE接入AP時確定認(rèn)證所使用密鑰的系統(tǒng)���。
具體實施例方式
預(yù)先����,AP為關(guān)聯(lián)的每個AS配置對認(rèn)證所需密鑰類型的要求���,該配置信息可以在AP為AS配置的認(rèn)證要求信息里配置�。該配置信息用來指定AS對認(rèn)證所需密鑰類型的要求,可以是Ks_NAF���、Ks_ext_NAF��、Ks_int_NAF中的某一種類型�;或者是首選的一種類型��。在配置時�,將AS認(rèn)證要求信息與對應(yīng)的AS名稱關(guān)聯(lián)保存。以便于AP能夠根據(jù)AS名檢索到對應(yīng)的認(rèn)證要求信息����。
上述為每個AS配置對認(rèn)證所要求的密鑰類型,也可以在BSF中進(jìn)行配置(可由運營商配置)���,配置好后發(fā)送給AP�。
配置好上述信息后�,在AP與UE之間通信進(jìn)行認(rèn)證時,參加附圖3��,包括以下步驟步驟301在AP和UE能夠采用GAA衍生密鑰(NAF-specific key)進(jìn)行相互認(rèn)證以前����,UE首先與BSF執(zhí)行雙向認(rèn)證以及密鑰協(xié)商過程����,即GBA過程��。通過GBA過程UE和BSF之間協(xié)商一個共享密鑰Ks�����,并為該共享密鑰Ks分配一個B-TID作為該共享密鑰Ks的索引�����,以及分配Ks的有效期���。
步驟302執(zhí)行完GBA過程后,UE向AP發(fā)送認(rèn)證請求�,并在該認(rèn)證請求里攜帶所述B-TID,以及NAF-ID(這里即AP-ID�,后文不再說明),以及要訪問的應(yīng)用服務(wù)器(AS)的名稱���,以便于AP識別所要訪問的AS�。
例如,如果采用的http digest方式認(rèn)證UE�����,則可以在認(rèn)證請求的http頭的“host”里攜帶AS名稱����。如果采用PSK TLS方式認(rèn)證,那么在UE發(fā)送的ClientHello message使用server_name extension方式發(fā)送AS名稱�����。
步驟303AP接到UE的認(rèn)證請求以后�����,向BSF請求GAA衍生密鑰����,并在請求消息攜帶有所述NAF-ID、B-TID�����。
步驟304BSF找到B-TID對應(yīng)的Ks����,并且計算出GAA衍生密鑰(根據(jù)UICC是否具備GBA功能����,生成的GAA衍生密鑰為Ks_NAF��,或者為Ks_ext_NAF和Ks_int_NAF)���。并將計算出的GAA衍生密鑰通過響應(yīng)消息返回給AP���。
如果在BSF上配置了AS對認(rèn)證所需密鑰類型的要求(要求是某種類型,或要求首選某種類型)���,可以通過所述響應(yīng)消息中包含的USS(User SecuritySetting����,用戶安全設(shè)置)字段里設(shè)置一個標(biāo)志位����,將所述配置的AS對認(rèn)證所需密鑰類型的要求返回給AP�。
步驟305AP根據(jù)在BSF配置的AS對認(rèn)證所需密鑰類型的要求、AP上配置的對認(rèn)證所需密鑰類型的要求����、UE所采用的GAA衍生密鑰類型確定認(rèn)證過程中所使用的GAA衍生密鑰類型��。具體來說包括以下兩種方式第一種判斷UE所采用的GAA衍生密鑰類型是否符合在BSF配置的對AS的認(rèn)證密鑰的類型要求���、或是否符合AP上配置的AS所要采用的密鑰類型,若是���,則確定使用該類型密鑰��,否則結(jié)束��。
第二種AP和UE均獲得UICC能力和在BSF或AP上配置的AS對認(rèn)證所需密鑰類型的要求���,使用同樣的方法,根據(jù)所述AS對認(rèn)證所需GAA衍生密鑰類型的要求匹配出符合要求的GAA衍生密鑰�����。
步驟306當(dāng)確定所使用的密鑰后��,則使用該確定出的GAA衍生密鑰進(jìn)行后續(xù)的UE和AP之間的認(rèn)證����。
這里對上述步驟305所述的兩種確定GAA衍生密鑰的過程進(jìn)一步詳細(xì)說明第一種方式����,具體包括以下步驟a���、UE判斷是否支持GBA����,若是��,則選擇Ks_NAF密鑰�����,否則進(jìn)一步根據(jù)當(dāng)前應(yīng)用所處位置選用密鑰����,也就是說,若是UICC上的應(yīng)用就采用存放于UICC上的GAA衍生密鑰ks_int_NAF���,若是ME上的應(yīng)用就采用存放于ME上的GAA衍生密鑰Ks_ext_NAF。在選擇后���,將所選用GAA衍生密鑰的類型置于密鑰選擇信息中����,通過Ua口發(fā)送給AP;b���、AP收到所述密鑰選擇信息后����,判斷該消息中攜帶的GAA衍生密鑰的類型是否符合BSF發(fā)送過來的在BSF上配置的AS對認(rèn)證所需密鑰類型的要求���,并判斷是否符合AP上記錄的對應(yīng)于要訪問的AS對認(rèn)證所需密鑰類型的要求�����,若是�,則采用UE發(fā)送的GAA衍生密鑰類型選擇步驟304中BSF發(fā)送過來的GAA衍生密鑰�,用于對UE進(jìn)行認(rèn)證;否則拒絕UE的認(rèn)證請求�����。
例如����,當(dāng)UE將使用Ks_ext_NAF密鑰類型發(fā)送給AP后�,而AP記錄的AS對認(rèn)證所需密鑰類型的要求為Ks_int_NAF類型時�����,則結(jié)束�;若記錄的AS對認(rèn)證所需密鑰類型的要求為Ks_ext_NAF類型時,則采用BSF發(fā)送過來的對應(yīng)類型的密鑰�。
在具體實現(xiàn)時,當(dāng)存在BSF發(fā)送過來的在BSF上配置的AS對認(rèn)證所需密鑰類型的要求時���,優(yōu)先選擇該條件對所述UE的密鑰類型進(jìn)行判斷���。
第二種方式,具體包括以下步驟a����、UE從網(wǎng)絡(luò)得到對要訪問的AS對認(rèn)證所需密鑰類型的要求,然后將UICC能力(即是否支持GBA)與得到的AS對認(rèn)證所需密鑰類型的要求進(jìn)行匹配來選擇密鑰���。其中���,UE可根據(jù)所要訪問的AS請求AP,或直接與AS通信獲得要訪問的AS對認(rèn)證所需密鑰類型的要求���。
b���、AP從BSF獲得GAA衍生密鑰后,根據(jù)該GAA衍生密鑰的類型(GAA衍生密鑰的類型反應(yīng)了UICC的能力��,如���,衍生密鑰為Ks_NAF��,則UICC具備GBA能力��;若GAA衍生密鑰為Ks_ext_NAF和Ks_int_NAF���,則UICC不具備GBA能力)與BSF發(fā)送過來的在BSF上配置的AS對認(rèn)證所需密鑰類型的要求,或者AP上記錄的要訪問的AS對認(rèn)證所需密鑰類型的要求��,進(jìn)行匹配選擇要使用的密鑰���。
對于a��、b中���,若能匹配則使用匹配出的密鑰��,否則結(jié)束����。例如���,獲得的AS對認(rèn)證所需密鑰類型的要求為Ks_int_NAF類型時���,當(dāng)判斷UICC不具備GBA,有能力產(chǎn)生該密鑰類型時����,則產(chǎn)生該類型的密鑰。
在具體實現(xiàn)時�����,可當(dāng)存在BSF發(fā)送過來的在BSF上配置的AS對認(rèn)證所需密鑰類型的要求時�,優(yōu)先選擇該條件匹配選擇密鑰類型。
相應(yīng)的���,參見圖4所示��,本發(fā)明還提供了UE接入AP時確定認(rèn)證所使用密鑰的系統(tǒng)���。該系統(tǒng)包括AP�、還包括分別和AP相連的存儲單元和判斷單元����,下面進(jìn)行說明AP保存有根據(jù)UE和BSF執(zhí)行GBA過程生成的共享密鑰Ks所計算出的GAA衍生密鑰�����;存儲單元記錄有連接AP的各個AS對認(rèn)證所需密鑰類型的要求��;判斷單元用來判斷UE接入AP認(rèn)證時要使用的GAA衍生密鑰����。
UE通過AP接入AS時,AP接收UE發(fā)送的認(rèn)證請求(該認(rèn)證請求攜帶UE所要接入AS的AS標(biāo)識)�����;AP查詢存儲單元���,根據(jù)UE所要接入AS的標(biāo)識從存儲單元中讀取該AS對認(rèn)證所需的密鑰類型��;然后AP將從存儲單元中讀取的所述AS對認(rèn)證所需的密鑰類型��、AP保存的所述GAA衍生密鑰發(fā)信給判斷單元���;判斷單元依據(jù)所述AS對認(rèn)證所需的密鑰類型對所述GAA衍生密鑰進(jìn)行判斷���,當(dāng)類型一致時,確認(rèn)使用該類型的GAA衍生密鑰����,并通知AP在UE接入AP時采用該GAA衍生密鑰;否則退出本流程以拒絕UE的接入�����。
以上所述僅為本發(fā)明的較佳實施例而已�,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改�、等同替換、改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)�。
權(quán)利要求
1.一種用戶UE接入認(rèn)證代理AP時確定認(rèn)證所使用的密鑰的方法��,通用鑒權(quán)框架GAA下的AP保存根據(jù)一共享密鑰Ks計算出的GAA衍生密鑰�;其特征在于,AP記錄有應(yīng)用服務(wù)器AS對認(rèn)證所需密鑰類型的要求�,UE通過AP接入AS時����,包括以下步驟A、UE向AP發(fā)送認(rèn)證請求����;該認(rèn)證請求攜帶UE所要接入AS的AS標(biāo)識;B��、AP根據(jù)所述認(rèn)證請求中的AS標(biāo)識查找記錄的該AS對認(rèn)證所需密鑰類型的要求�����;C��、AP根據(jù)所述AS對認(rèn)證所需密鑰類型的要求確定出認(rèn)證時要使用的GAA衍生密鑰��。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�,步驟C所述確定出認(rèn)證時要使用的GAA衍生密鑰的步驟包括A2、UE根據(jù)所述Ks生成認(rèn)證時要使用的GAA衍生密鑰����,將所述GAA衍生密鑰的類型發(fā)送給AP;B2���、AP收到所述GAA衍生密鑰的類型后����,判斷該GAA衍生密鑰類型是否符合所述AS對認(rèn)證所需密鑰類型的要求����,若是,則采用所保存的所述GAA衍生密鑰類型的GAA衍生密鑰作為確定出的認(rèn)證時要使用的GAA衍生密鑰��;否則退出本流程����。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于�����,步驟A2所述UE根據(jù)所述Ks生成認(rèn)證時要使用的GAA衍生密鑰的步驟包括判斷UE的通用集成電路卡UICC是否具備互認(rèn)證GBA能力,若是��,則生成Ks_NAF類型的GAA衍生密鑰��;否則���,進(jìn)一步判斷當(dāng)前應(yīng)用是UE的UICC上的應(yīng)用時����,生成Ks_int_NAF類型的GAA衍生密鑰��,若判斷是UE的移動設(shè)備ME上的應(yīng)用�����,生成Ks_ext_NAF類型的GAA衍生密鑰�。
4.根據(jù)權(quán)利要求1所述的方法��,其特征在于���,步驟C所述確定出認(rèn)證時要使用的GAA衍生密鑰的步驟包括A4�����、UE獲得所述AS對認(rèn)證所需密鑰類型的要求���,并根據(jù)UE的UICC是否具備GBA能力判斷是否能夠產(chǎn)生所述所需密鑰類型要求的GAA衍生密鑰���,若是,則產(chǎn)生所述所需密鑰類型要求的GAA衍生密鑰��,否則退出本流程�;B4、AP根據(jù)所述AS對認(rèn)證所需密鑰類型的要求��,判斷所保存的GAA衍生密鑰的類型是否有所需密鑰類型要求的類型���,若是����,則使用所述GAA衍生密鑰���,否則退出本流程��。
5.根據(jù)權(quán)利要求4所述的方法���,其特征在于�����,所述UE獲得所述AS對認(rèn)證所需密鑰類型的要求是從所述AS或AP獲得的��。
6.根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,所述AS對認(rèn)證所需密鑰類型的要求包括要求采用Ks_NAF�、Ks_NAF或Ks_int_NAF類型中的某一種,或首選其中的某一種�。
7.一種用戶UE接入認(rèn)證代理AP時確定認(rèn)證所使用密鑰的系統(tǒng),其特征在于���,包括存儲單元,記錄有連接AP的各個AS對認(rèn)證所需密鑰類型的要求��;判斷單元�,用來判斷UE接入AP認(rèn)證時要使用的GAA衍生密鑰;AP,保存有根據(jù)UE和BSF執(zhí)行GBA過程生成的共享密鑰Ks所計算出的GAA衍生密鑰����;用于接收帶到UE發(fā)送的認(rèn)證請求時,查詢存儲單元�����,根據(jù)所述認(rèn)證請求中攜帶的UE所要接入AS的AS標(biāo)識從存儲單元中讀取該AS對認(rèn)證所需的密鑰類型��;并將從存儲單元中讀取的所述AS對認(rèn)證所需的密鑰類型��、AP保存的所述GAA衍生密鑰發(fā)信給判斷單元���;判斷單元依據(jù)所述AS對認(rèn)證所需的密鑰類型對所述GAA衍生密鑰進(jìn)行判斷��,以確認(rèn)在UE接入AP時是否采用所述GAA衍生密鑰��。
全文摘要
一種UE接入認(rèn)證代理AP時確定認(rèn)證所使用的密鑰的方法�,通用鑒權(quán)框架GAA下的AP保存根據(jù)一共享密鑰Ks計算出的GAA衍生密鑰���;還AP記錄有應(yīng)用服務(wù)器AS對認(rèn)證所需密鑰類型的要求�����,UE通過AP接入AS時�����,包括以下步驟A.UE向AP發(fā)送認(rèn)證請求���;該認(rèn)證請求攜帶UE要接入的AS的標(biāo)識����;B.AP根據(jù)所述認(rèn)證請求中的AS標(biāo)識查找記錄的該AS對認(rèn)證所需密鑰類型的要求��;C.AP根據(jù)所述AS對認(rèn)證所需密鑰類型的要求確定出認(rèn)證時要使用的GAA衍生密鑰���。還相應(yīng)的提供了UE接入AP時確定認(rèn)證所使用的密鑰的系統(tǒng)���。使用本發(fā)明,可實現(xiàn)AP與UE的認(rèn)證過程所使用的GAA衍生密鑰符合AS對認(rèn)證所使用密鑰的要求���。
文檔編號H04L9/28GK1929370SQ200510099740
公開日2007年3月14日 申請日期2005年9月5日 優(yōu)先權(quán)日2005年9月5日
發(fā)明者楊艷梅 申請人:華為技術(shù)有限公司