專利名稱:非ims終端應用增強型通用鑒權架構的方法
技術領域:
本發(fā)明涉及第三代移動通信領域,特別涉及一種擴展通用鑒權架構的方法�����。
背景技術:
3GPP(第三代移動通信系統(tǒng))中定義了一種通用鑒權框架(GBA)���。如圖1所示�,通用鑒權框架通常由IMS(IP多媒體業(yè)務子系統(tǒng))用戶(UE)�����、引導服務功能實體(BSF)�����、用戶歸屬網絡服務器(HSS)、用戶定位功能實體(SLF)和網絡業(yè)務應用實體(NAF)組成����。UE和BSF通過Ub接口連接,BSF和NAF通過Zn接口連接�,UE和NAF通過Ua接口連接,SLF和BSF通過Dz接口連接����,BSF和HSS通過Zh接口連接。BSF用于與UE進行互驗證身份�����,同時生成BSF與用戶的共享密鑰Ks����;HSS中存儲用于描述用戶信息的簽約文件,同時HSS還兼有產生鑒權信息的功能��。SLF用于當存在多個HSS時�,協(xié)助BSF查找相應的HSS。NAF用于為UE提供網絡業(yè)務��。
當用戶UE第一次向NAF發(fā)出應用請求時,不知道NAF是否需要GBA過程���,就不攜帶GBA參數(shù)�����。如果NAF要求進行初始的GBA過程���,則在發(fā)給UE的響應消息中會告訴UE進行GBA過程���。
當用戶UE需要使用某種業(yè)務時�,如果用戶知道該業(yè)務需要到BSF進行互鑒權過程�����,則直接發(fā)送鑒權請求到BSF進行互鑒權���。否則���,用戶會首先和該業(yè)務對應的NAF聯(lián)系,如果該NAF使用GBA通用鑒權框架�����,并且發(fā)現(xiàn)該用戶還未到BSF進行互認證過程,NAF則通知該用戶到BSF進行互鑒權以驗證身份�����。
參照圖2�,描述UE和BSF執(zhí)行互鑒權的流程。
首先�����,在步驟710中����,UE向BSF發(fā)送GBA請求消息,該GBA請求消息包括該用戶的標識�。
接著,進入步驟720中��,BSF向HSS獲取認證向量����,BSF通過與HSS的交互獲取該UE的鑒權向量信息,如AUTN���、RAND�、IK(加密密鑰)、CK(完整性密鑰)以及XRES等��。
接著�����,進入步驟730�����,BSF向UE返回挑戰(zhàn)響應消息���,該消息中包含AUTN、RAND�����。具體地說�,BSF在接收到UE的鑒權向量信息后,將鑒權向量信息中的AUTN和RAND��,一并攜帶在挑戰(zhàn)響應消息中����,并將該消息返回給UE�。其中����,AUTN用于驗證BSF的身份,RAND用于使UE獲取與BSF側相同的IK和CK�����。
接著����,進入步驟740,UE通過運行AKA算法��,檢查AUTN的有效性以鑒權網絡�,得到IK和CK,并生成RES(鑒權響應值)��。具體地說���,UE在接收到BSF返回的挑戰(zhàn)響應消息后���,通過對其中AUTN的有效性檢查驗證對端BSF的身份�����,根據其中的RAND計算得到與BSF側相同的IK和CK���,并生成RES。
接著��,進入步驟750�,UE再次向BSF發(fā)送GBA請求消息,并在該消息中攜帶RES���。其中�����,RES用于驗證UE的身份�����。
接著,進入步驟760����,BSF檢查RES的有效性以鑒權UE�。BSF通過判斷GBA請求消息中的RES是否與從HSS處獲取的XRES一致���,從而對UE進行鑒權�����。
接著��,進入步驟770����,BSF根據從HSS處獲取的IK和CK生成Ks�����。此外�,BSF還為共享密鑰Ks定義了一個有效期限,以便Ks進行定期更新�����。
接著�����,進入步驟780,BSF將B-TID以及Ks的有效期攜帶在成功響應消息中發(fā)送給UE�����。具體地說�,BSF為標識和UE之間本次鑒權交互事務而分配一個B-TID,使該B-TID與Ks��、UE的私有用戶標識相關聯(lián)��,以便以后BSF可以根據該B-TID查找出相應的Ks����,并且,為Ks定義一個有效期���,以便Ks進行定期更新���。BSF將該B-TID以及Ks的有效期攜帶在成功響應消息中。
接著�����,進入步驟790����,UE在接收到該成功響應消息后,得到B-TID和Ks的有效期��,并將該B-TID和Ks的有效期保存在UE側����,并生成Ks。該共享密鑰Ks是作為根密鑰來使用的���,用于衍生出與各NAF通信時的加密密鑰����。
完成了如圖2所述的過程后���,UE和BSF之間就共享了一個根密鑰Ks�。并且UE可以利用公式Ks_NAF=KDF(Ks����,″gba-me″,RAND���,IMPI�,NAF_Id)推導出與想要訪問的NAF之間的衍生的共享密鑰Ks_NAF,其中NAF_Id可以標識出想要訪問的NAF�,RAND是一個隨機數(shù),IMPI是指UE的私有身份標識��,″gba-me″代表字符串�,KDF是密鑰導出函數(shù)的縮寫。這樣��,UE側就獲取了該衍生的共享密鑰Ks_NAF��。剩下的任務就是NAF如何獲取該衍生的共享密鑰Ks_NAF�。只有NAF和UE都獲取了Ks_NAF,才能建立雙方通訊的安全通道���。
參照圖3��,描述NAF獲取Ks_NAF的流程首先���,在步驟901中,用戶在收到B-TID后�,生成一個攜帶了該B-TID的請求連接消息,并發(fā)給NAF�。NAF收到用戶的連接請求后,生成一個攜帶了NAF標識和B-TID的認證請求信息,然后在步驟902中向BSF進行查詢���。
接著,在步驟903中����,BSF根據該B-TID查找相應的Ks后,再使用與用戶側相同的算法計算出衍生的共享密鑰Ks_NAF�,然后在認證響應消息中把Ks_NAF、Ks_NAF的有效期限����、BSF與UE之間的相互鑒權的時間、以及其他應用相關信息發(fā)給NAF����。NAF在步驟904中將這些信息保存在NAF上。
接著�����,在步驟905中�,NAF將應用響應消息發(fā)送給UE。
通過如上步驟�,NAF確認該用戶是經過BSF認證的合法用戶,同時NAF和UE也就共享了由Ks衍生的密鑰Ks_NAF,從而這兩者在后續(xù)的通信中可以進行安全通信�。
當用戶發(fā)現(xiàn)Ks即將過期,或NAF要求用戶重新到BSF進行鑒權時�����,用戶就會重復圖2和圖3的處理重新到BSF進行互鑒權����,以得到新的共享密鑰Ks及衍生密鑰Ks_NAF。
如圖4所示����,描述了NAF發(fā)現(xiàn)衍生的共享密鑰Ks_NAF已經過期時UE和NAF之間執(zhí)行的處理。詳細的�,UE在步驟1001中發(fā)送應用請求消息給NAF后,NAF發(fā)現(xiàn)衍生的共享密鑰Ks_NAF已經過期�����,則在步驟1002中通知UE需要重新執(zhí)行和BSF之間的相互鑒權過程����。
以上所述UE上包含IP多媒體業(yè)務身份標識模塊ISIM(IP MultimediaServices Subscriber Identity Module)/通用集成電路卡UICC(UniversalIntegrated Circuit Card),而且UE上既包含GBA客戶端�,也包含NAF應用客戶端�。但是隨著通用鑒權框架應用范圍越來越廣泛�����,出現(xiàn)一些新的應用場景�,例如在傳統(tǒng)的沒有ISIM/UICC模塊因而也就不具備ISIM能力的用戶終端上��,或者NAF應用客戶端與GBA客戶端分離的終端(多個外圍終端采用同一個ISIM/UICC訪問網絡業(yè)務)上如何應用GBA�。為了描述簡便,我們統(tǒng)一稱之為非IMS終端�。
TISPAN(ETSI的NGN網絡標準)中定義了一種稱為IMS駐留網關IRG(IMS Residential Gateway)的功能實體,用于為那些非IMS終端提供訪問IMS業(yè)務的安全通道�。
這些非IMS終端包括但不限于SIP電話、軟電話�����,PC�����,PDA等�����。IMS駐留網關功能上相當于一個B2BUA(背靠背用戶代理)實體,其具有一“ISIMON UICC(通用集成電路卡上的IP多媒體業(yè)務身份標識模塊)”模塊���,用來為這些非IMS終端提供訪問IMS業(yè)務的安全通道�����,并且該模塊上存儲了一個私有用戶標識(IMPI)和多個公共用戶標識(IMPU)�。該IRG面向非IMS終端的本地接口可能是網線�、數(shù)據線、USB�、藍牙、或紅外線等接口�。我們也可以稱這種實體為IMS終端代理。
這種應用場景下�����,一個IMS用戶可能具備多個非IMS終端設備�,并且所有這些非IMS終端采用同一個ISIM/UICC模塊(位于IMS終端代理上)訪問網絡業(yè)務。另外�,NAF應用客戶端位于IMS終端代理以外的一個或者幾個非IMS終端上,因此與執(zhí)行GBA的客戶端(位于IMS終端代理上)不在同一個設備上��。我們稱之為增強的GBA框架�,如圖5所示����。在該增強型GBA框架中���,具有SIP電話���、PC、軟電話等非IMS終端���,IMS終端代理B2BUA為這些非IMS終端生成衍生密鑰Ks_NAF,這些IMS終端利用該生成的衍生密鑰Ks_NAF和NAF通信���。當多個外圍終端設備共享一個UE上的GBA客戶端時��,如果這些外圍終端設備中的某兩個或者某幾個訪問同一個NAF時�,還會出現(xiàn)多個外圍終端設備采用同一個衍生密鑰Ks_NAF與某一個NAF通信的情況�,造成安全隱患如果其中一個被攻破,另外一個也會不攻自破�����。
如圖6所示���,描述了現(xiàn)有的針對如圖5所示的增強型GBA架構的鑒權方法�����。
首先��,在步驟801中�����,非IMS終端發(fā)送應用請求給NAF����。NAF在步驟802中指示非IMS終端采用GBA。
接著����,在步驟803中,非IMS終端發(fā)送一請求給UE(IMS終端)�,請求UE生成密鑰,該請求中包含該非IMS終端的設備標識�。
接著,通過和圖2中的步驟701-709類似的步驟807-808生成基本密鑰Ks�,且在步驟808中根據該基本密鑰Ks和設備標識生成衍生密鑰。然后在步驟809中將衍生密鑰和B-TID發(fā)送給非IMS終端�����。
接著,在步驟810中�,非IMS終端將包括B-TID和設備標識的認證請求發(fā)送給NAF。NAF在步驟811中發(fā)送一密鑰請求給BSF�,請求生成衍生密鑰,該密鑰請求包括設備標識�、B-TID和NAF標識。
BSF在步驟812中計算出衍生密鑰���,并在步驟813中將該衍生密鑰返回NAF�����。
從而,非IMS終端和NAF之間可以通過該衍生密鑰執(zhí)行安全通信�。
但是,該方案具有如下缺點1.該方案是針對3GPP移動終端的��,對于固定終端不適用����。
2.網絡側需要能夠管理所有這些終端設備,需要為每個終端設備分配唯一的設備標志���。由于終端制造商和網絡運營商可能并不是一家�,并且終端類型多種多樣,管理上比較困難�。
3.所有的非IMS終端都需要知道自己的設備標志,并主動攜帶這個設備標志給UE(包含ISIM/UICC模塊)和NAF���。這樣可能存在非IMS終端進行設備標志偽裝攻擊(類似IP地址偽裝攻擊)的隱患�。
4.該方案沒有考慮新舊版本互通的情況�����。
發(fā)明內容
本發(fā)明的目的在于提供一種更安全的非IMS終端應用增強型通用鑒權架構的方法����。
依照本發(fā)明的非IMS終端通過IMS終端代理應用增強型通用鑒權架構的方法如下步驟步驟a,非IMS終端發(fā)送不帶GBA參數(shù)的應用請求消息給網絡業(yè)務應用實體�,以及網絡業(yè)務應用實體響應該應用請求消息,指示非IMS終端和引導服務功能實體執(zhí)行鑒權處理��,步驟b�����,IMS終端代理在接收到非IMS終端的GBA請求信息后,查詢一關系映射表��,獲取該非IMS終端的設備標識����,該關系映射表存儲非IMS終端的標識信息與非IMS終端的設備標識的對應關系,該GBA請求信息包括非IMS終端的標識信息���,步驟c�����,IMS終端代理為非IMS終端生成與所述設備標識相關的衍生密鑰Ks_NAF��,步驟d��,引導服務功能實體為網絡業(yè)務應用實體生成衍生密鑰Ks_NAF��,其與步驟c中生成的衍生密鑰Ks_NAF相同��。
依照本發(fā)明,由于與衍生密鑰Ks_NAF的生成相關的設備標識是由網絡側實體生成的����,因此非IMS終端不需要主動將其設備標識發(fā)送給B2BUA,從而防止了非IMS終端進行設備標志偽裝攻擊的隱患��。此外,不同的非IMS終端訪問同一個NAF時���,衍生的共享密鑰Ks_NAF是不一樣的���,這樣即使一個Ks_NAF泄密,也不會影響其他的Ks_NAF����,從而保證了安全性。此外��,設備標識是由B2BUA連同衍生共享密鑰Ks_NAF一起傳給非IMS終端�����,這樣保證了非IMS終端上不容易進行偽標識攻擊���。
圖1為GBA架構的框架圖�。
圖2為GBA架構中UE和BSF相互鑒權的流程圖�。
圖3為GBA架構中NAF獲取Ks_NAF的流程圖。
圖4為GBA架構中密鑰過期時UE和NAF執(zhí)行的處理的流程圖����。
圖5為增強型GBA架構的框架圖���。
圖6為現(xiàn)有的增強型GBA架構的鑒權方法的流程圖。
圖7為依照本發(fā)明的UA和NAF之間的初始引導過程的流程圖�。
圖8為依照本發(fā)明的UA和BSF之間的引導交互過程的流程圖。
圖9為依照本發(fā)明的多個UA和BSF之間的引導交互過程的一實施方式的流程圖���。
圖10為依照本發(fā)明的多個UA和BSF之間的引導交互過程的另一實施方式的流程圖��。
圖11為UA和NAF之間建立安全聯(lián)盟的流程圖��。
圖12為密鑰過期時UA和NAF執(zhí)行的處理的流程圖����。
具體實施例方式
本發(fā)明提出了一個或者多個非IMS終端通過IMS終端代理B2BUA實體應用增強通用鑒權架構(GBA)的一種解決方法���。該B2BUA實體包括NGN的IRG(IMS駐留網關)實體�����,或3GPP/3GPP2中具有類似功能的實體�。該非IMS終端可以是移動網絡或者固定網絡中的非IMS終端�。在下面的描述中,利用UA來統(tǒng)一表示各種非IMS終端���。此外��,在本發(fā)明中�����,假設這些UA和B2BUA之間的接口是安全的���。而且,B2BUA不能主動發(fā)起GBA過程���,必須由UA來觸發(fā)���。依照本發(fā)明,不同的非IMS終端訪問同一個NAF時����,即使其中一個非IMS終端的密鑰泄密,也不會影響到其他的非IMS終端的安全性���。
在本發(fā)明中����,首先設置一關系映射表,該關系映射表包括UA的用戶名(或者終端地址/終端端口號)和唯一標識該UA的設備標識之間的映射關系�。該關系映射表可以預先配置在B2BUA上,也可以配置在HSS上�����。當該關系映射表配置在HSS上時����,B2BUA通過在從BSF下載鑒權向量的同時將該關系映射表下載,或者通過其他方式獲取�。
當UA第一次向NAF發(fā)出應用請求(或者通過B2BUA)時,如果不知道是否使用GBA參數(shù)和NAF通訊或者和NAF之間的共享密鑰已經過期�����,就不攜帶任何GBA參數(shù)����。NAF發(fā)現(xiàn)UA發(fā)來的應用請求中沒有攜帶GBA參數(shù),就會指示UA(或者通過B2BUA指示UA)進行GBA過程���。接著�,UA請求B2BUA和BSF之間進行GBA過程,BSF生成根密鑰Ks和引導事務標識B-TID并返回給B2BUA���。然后,B2BUA通過查詢上述映射表����,找出對應的設備標識,并通過擴展公式Ks_NAF=KDF(Ks����,″gba-me″,RAND�,IMPI,NAF_Id�����,設備標識)生成Ks_NAF�,其中NAF_Id為要訪問的NAF的ID,RAND是一個隨機數(shù)�,IMPI是指UA的私有身份標識,″gba-me″代表字符串���,KDF是密鑰導出函數(shù)的縮寫��。B2BUA將Ks_NAF��、B-TID�、設備標識、密鑰有效期一起發(fā)給UA����。然后UA(或者通過B2BUA)在發(fā)給NAF的請求消息中攜帶B-TID和獲取的設備標識。NAF在發(fā)給BSF的請求消息中也攜帶獲取的設備標識����。BSF通過相同的公式Ks_NAF=KDF(Ks,″gba-me″���,RAND�����,IMPI���,NAF_Id,設備標識)生成Ks_NAF��,并將其發(fā)給NAF���。這樣��,NAF和UA就通過B2BUA共同獲取了一個公共密鑰Ks_NAF��。而且��,對于不同的UA�,只要使用的用戶名不一樣����,相應的Ks_NAF也就不一樣,這樣即使一個Ks_NAF泄密���,也不會影響到其他Ks_NAF��。從而保證了安全性���。
下面,參照附圖��,詳細描述依照本發(fā)明UA(非IMS終端)應用增強型GBA的方法����。
如圖7所示�����,描述了UA和NAF之間的初始引導過程的兩種方式��。
方式1包括圖中所示的步驟101-102����。當UA1第一次發(fā)送應用請求消息到NAF時����,如果不知道NAF是否支持GBA,則在步驟101中將一應用請求消息發(fā)送給NAF����,且該應用請求消息不攜帶任何GBA參數(shù)。接著��,在步驟102中���,NAF發(fā)送應用響應消息給UA1���,指示UA1需要首先和BSF進行GBA過程。
方式2包括圖中的步驟101a、101b�、102a和102b。該方式2與方式1基本相同��,不同之處僅在于所述應用請求消息和應用相應消息皆通過B2BUA轉發(fā)�。
當按照圖7所描述的任一方式執(zhí)行了初始引導過程之后,執(zhí)行如圖8所示的UA和BSF之間的引導交互過程�。該引導交互過程包括如下步驟首先,在步驟201中�����,UA1發(fā)送GBA請求到B2BUA��,該GBA請求中攜帶有該UA1的用戶名和NAF的標識ID�。
接著��,在步驟202中���,B2BUA根據GBA請求攜帶的用戶名�����,在存儲在B2BUA上的關系映射表中找出與該UA1對應的設備標識����。當然,該關系映射表也可以配置在HSS上���,當B2BUA和BSF相互鑒權時�����,BSF查詢HSS獲取鑒權向量(即步驟204)的同時獲取該關系映射表����,然后將該關系映射表連同B-TID���,密鑰有效期一起發(fā)給B2BUA(即步驟209)�����。在這種情況下�����,該步驟202位于步驟209和步驟211之間���。
接著,在步驟203-210中,執(zhí)行B2BUA和BSF之間的互相鑒權過程�。通過這些步驟,BSF生成了事務標識B-TID��,連同密鑰有效期一同發(fā)給B2BUA��,并且B2BUA和BSF都生成根密鑰Ks����。此外,在BSF中保存一張表(B-TID����,IMPI,Ks��,密鑰有效期����,引導開始時間)�,從而當BSF收到NAF的請求后可以根據此B-TID查到根密鑰Ks。
具體的���,在步驟203中����,B2BUA向BSF發(fā)送GBA請求消息,該GBA請求消息包括UA1的私有用戶標識��。
接著�,在步驟204中,BSF向HSS獲取認證向量����,BSF通過與HSS的交互獲取該B2BUA的鑒權向量信息,如AUTN�、RAND、IK�、CK以及XRES等。
接著��,在步驟205中��,BSF向B2BUA返回挑戰(zhàn)響應消息��,該消息中包含AUTN��、RAND�����。具體地說,BSF在接收到B2BUA的鑒權向量信息后����,將鑒權向量信息中的AUTN和RAND,一并攜帶在挑戰(zhàn)響應消息中���,并將該消息返回給B2BUA��。其中���,AUTN用于驗證BSF的身份,RAND用于使B2BUA獲取與BSF側相同的IK和CK�。
接著,在步驟206中��,B2BUA通過運行AKA算法���,檢查AUTN的有效性以鑒權網絡�,得到IK和CK����,并生成RES����。具體地說�,B2BUA在接收到BSF返回的挑戰(zhàn)響應消息后�����,通過對其中AUTN的有效性檢查驗證對端BSF的身份��,根據其中的RAND計算得到與BSF側相同的IK和CK����,并生成RES。
接著��,在步驟207中�,B2BUA再次向BSF發(fā)送GBA請求消息,并在該消息中攜帶RES����。其中,RES用于驗證B2BUA的身份�。
接著,在步驟208中����,BSF檢查RES的有效性以鑒權B2BUA�����。BSF通過判斷GBA請求消息中的RES是否與從HSS處獲取的XRES一致��,從而對B2BUA進行鑒權��。而且�����,BSF根據從HSS處獲取的IK和CK生成Ks���。
接著,在步驟209中���,BSF將B-TID以及Ks的有效期攜帶在成功響應消息中發(fā)送給B2BUA�����。具體地說�����,BSF為標識和B2BUA之間本次鑒權交互事務而分配一個B-TID��,使該B-TID與Ks�����、B2BUA的私有用戶標識相關聯(lián)�,以便以后BSF可以根據該B-TID查找出相應的Ks�����,并且��,為Ks定義一個有效期��,以便Ks進行定期更新�����。BSF將該B-TID以及Ks的有效期攜帶在成功響應消息中��。
接著��,在步驟210中��,B2BUA在接收到該成功響應消息后�,得到B-TID和Ks的有效期,并將該B-TID和Ks的有效期保存在B2BUA側�,并生成Ks。
在執(zhí)行了B2BUA和BSF之間的互相鑒權過程之后��,在步驟211中,B2BUA根據公式Ks_NAF=KDF(Ks��,″gba-me″�,RAND���,IMPI�����,NAF_Id�����,設備標識)推導出Ks_NAF���,并保存Ks_NAF與私有用戶標識IMPI之間的關系�����。
接著,在步驟212中,B2BUA將Ks_NAF���、B-TID����、設備標識�����、密鑰有效期發(fā)給UA1�。
當存在多個UA需與BSF之間執(zhí)行引導交互時,可以通過如圖9或8所示的流程來執(zhí)行該引導交互。
如圖9所示���,首先�,第一個UA1通過步驟201-212執(zhí)行GBA過程��。之后���,當其他的UA也需要和BSF交互時�,其首先在步驟301中將GBA請求發(fā)送至B2BUA��,該GBA請求中攜帶有該UA2的用戶名����。接著在步驟302中,B2BUA根據GBA請求中攜帶的用戶名�����,在關系映射表中找出該UA2對應的設備標識��。根據B2BUA的本地安全策略,在Ks有效期內����,可以跳過步驟203-210����。BSF對于所有的UA都保存相同的B-TID���、Ks等數(shù)據�����。因此�����,直接執(zhí)行步驟311�����,B2BUA根據公式Ks_NAF=KDF(Ks�����,″gba-me″��,RAND����,IMPI,NAF_Id���,設備標識)推導出Ks_NAF����,并保存Ks_NAF與私有用戶標識IMPI之間的關系����。然后在步驟312中�,B2BUA將Ks_NAF、B-TID�、設備標識、密鑰有效期發(fā)給UA2�����。在該過程中,步驟301����、302、311����、312和如圖2所示的步驟201、202����、211、212相似��。
如圖10所示���,描述了多個UA與BSF之間執(zhí)行引導交互的另一實施方式���。
該實施方式基本上與如圖10所示的實施方式相同,其不同之處在于當?shù)谝粋€UA1完成了GBA過程后����,其他的UA也需要和BSF交互時���,根據B2BUA的本地安全策略,在Ks有效期內�����,需要重新執(zhí)行上述步驟203-210�����。為了讓BSF區(qū)分是同一個UA和BSF的重新交互���,還是不同的UA和BSF的交互�,需要在上述步驟203中攜帶設備標識參數(shù)���。BSF對于每一個UA都保存相應的B-TID_UA�、IMPI����、KS_UA等數(shù)據(如圖所示)����。因此�,以后這些UA將使用不同的B-TID(Ks)和Ks_NAF來訪問NAF�。
當通過圖8,7或8所描述的流程完成了UA與BSF之間的引導交互過程之后���,接著執(zhí)行如圖11所描述的過程�,實現(xiàn)UA和NAF之間的SA(安全聯(lián)盟)建立�。如圖11所示,其包括如下步驟����。
首先,在步驟501中��,UA發(fā)送應用請求消息給NAF����,該應用請求中攜帶有B-TID,設備標識參數(shù)���。該步驟501也可以由圖中的步驟501a-501b代替���,在這些步驟中,UA通過B2BUA將應用請求消息發(fā)給NAF,這里B2BUA起到轉發(fā)的作用�,該應用請求消息也包括B-TID和設備標識參數(shù)。
接著�����,在步驟502中����,NAF發(fā)送認證請求消息給BSF,該認證請求消息攜帶有設備標識�、B-TID,NAF主機名(即NAF的標識ID)���。
接著���,在步驟503中,BSF根據和用戶側相同的公式推導出Ks_NAF����,并在步驟504中將推導出的Ks_NAF連同其他參數(shù)一起發(fā)送給NAF。具體的����,BSF根據B-TID查找存儲在BSF中的表��,獲得Ks和IMPI�,根據獲得的參數(shù)和在步驟502中發(fā)送來的參數(shù)����,生成Ks_NAF����。
接著,在步驟504中��,BSF將Ks_NAF�����、應用相關用戶屬性數(shù)據�、GBA開始時間、密鑰有效期發(fā)送給NAF���。在步驟505中��,NAF保存Ks_NAF等參數(shù)以及B-TID�����、設備標識的關系�。
在步驟506中,NAF發(fā)送應用響應消息給UA���。相應的����,該步驟也可以由圖中的步驟506a-506b代替��,即NAF也可能通過B2BUA將應用響應消息發(fā)給UA�。
通過上面圖8,7��,或8的過程��,B2BUA為UA生成了衍生密鑰Ks_NAF�,且通過圖11所示的處理,BSF為NAF生成了相同的衍生密鑰Ks_NAF����。從而,UA和NAF之間建立了安全聯(lián)盟���。
當通過上面描述的過程建立了UA和NAF之間的安全聯(lián)盟之后����,UA和NAF之間執(zhí)行安全的通信,但是如果NAF認為衍生的共享密鑰Ks_NAF已經過期���,則可以通過如圖12所示的步驟602中指示指示UA需要重新執(zhí)行和BSF之間的相互鑒權過程��。當然,該指示也可以通過按照步驟602a和602b由B2BUA進行轉發(fā)����。
下面,分析根據上述的方法來實現(xiàn)新舊版本的互通的情況����。考慮到BSF由運營商管理��,因此可以認為BSF可以通過是否有設備標識參數(shù)來區(qū)分新��、舊版本的情況�����。
對于UE(或B2BUA)或者NAF����,則可能新��、舊版本都有����。因此只需要考慮新版本的UE(支持設備標識參數(shù))和舊版本的NAF(不支持設備標識參數(shù))��、舊版本的UE(不支持設備標識參數(shù))和新版本的NAF(支持設備標識參數(shù))這兩種互通情況���。
<新版本的UE和舊版本的NAF之間的互通>
新版本的UE和舊版本的NAF之間的互通有如下兩種情況情況1如圖8�����、圖9所示��,假設新版本的UE和舊版本的BSF之間進行GBA過程時�����,不攜帶設備標識參數(shù)����。完成GBA過程后���,UE會使用帶設備標識的密鑰推導公式Ks_NAF=KDF(Ks��,″gba-me″�����,RAND���,IMPI�����,NAF_Id,設備標識)生成Ks_NAF�����;UE向NAF發(fā)送的應用請求消息中也攜帶設備標識參數(shù)�����;但是NAF不識別�����,因此NAF向BSF發(fā)送的認證請求消息中不攜帶設備標識參數(shù);從而會導致BSF使用不同的密鑰推導公式Ks_NAF=KDF(Ks�����,″gba-me″�,RAND,IMPI�����,NAF_Id)生成Ks_NAF���。從而導致互通不可行�。
情況2如圖6所示���,假設新版本的UE和舊版本的BSF之間進行GBA過程時���,在步驟203中攜帶設備標識參數(shù)。完成GBA過程后���,UE會使用帶設備標識的密鑰推導公式Ks_NAF=KDF(Ks�����,″gba-me″���,RAND�,IMPI��,NAF_Id�����,設備標識)生成Ks_NAF���,同時BSF也應將B-TID和設備標識的關系記錄下來��;UE向NAF發(fā)送的應用請求消息中也攜帶設備標識參數(shù);但是NAF不識別����,因此NAF向BSF發(fā)送的認證請求消息中不攜帶設備標識參數(shù);BSF根據B-TID可以知道UE是新版本的��,從而可以查出對應的設備標識����,然后BSF使用相同的密鑰推導公式Ks_NAF=KDF(Ks�,″gba-me″�����,RAND����,IMPI,NAF_Id����,設備標識)生成Ks_NAF。因此互通是可行的���。
因此�,從新舊版本互通的角度考慮�����,新版本的UE和BSF之間進行GBA過程時�,必須攜帶設備標識參數(shù)。
<舊版本的UE和新版本的NAF的互通分析>
舊版本的UE和BSF之間進行GBA過程時��,不會攜帶設備標識參數(shù)。完成GBA過程后�,UE會使用不帶設備標識的密鑰推導公式Ks_NAF=KDF(Ks,″gba-me″����,RAND,IMPI����,NAF_Id)生成Ks_NAF;UE向NAF發(fā)送的應用請求消息中也不帶設備標識參數(shù)���;NAF向BSF發(fā)送的認證請求消息中也不帶設備標識參數(shù)�,從而BSF也使用相同的密鑰推導公式Ks_NAF=KDF(Ks�����,″gba-me″�,RAND,IMPI�,NAF_Id)生成Ks_NAF����。因此互通是可行的。
本發(fā)明不僅適用于固定網絡中的非IMS終端,也同樣適用于移動網絡中的非IMS終端�,該非IMS終端代理實體可以是所述B2BUA(IRG)實體,也可以是3GPP/3GPP2中具備類似功能的實體��。
依照本發(fā)明���,不同的非IMS終端訪問同一個NAF時���,衍生的共享密鑰Ks_NAF是不一樣的,這樣即使一個Ks_NAF泄密�,也不會影響其他的Ks_NAF,從而保證了安全性�。此外,設備標識是由B2BUA連同衍生共享密鑰Ks_NAF一起傳給非IMS終端�,這樣保證了非IMS終端上不容易進行偽標識攻擊。此外�����,不同的非IMS終端訪問同一個NAF時�����,不僅Ks_NAF不同��,B-TID也可以不一樣,進一步保證了安全性����。而且,本發(fā)明是在現(xiàn)有的GBA架構上進行的擴展�����,從而保證了后向兼容性���。
雖然本發(fā)明已以較多的方式進行了表達��,但并不是用以限定本發(fā)明�����,任何熟悉該技術的人員��,在不脫離本發(fā)明的精神和范圍內�����,可以做各種改動和潤飾�����,因此本發(fā)明的保護范圍當視專利申請范圍所界定者為準��。
權利要求
1.一種非IP多媒體業(yè)務子系統(tǒng)終端通過IP多媒體業(yè)務子系統(tǒng)終端代理應用增強型通用鑒權架構的方法�,其包括如下步驟步驟a�����,非IP多媒體業(yè)務子系統(tǒng)終端發(fā)送不帶通用鑒權架構參數(shù)的應用請求消息給網絡業(yè)務應用實體����,以及網絡業(yè)務應用實體響應該應用請求消息,指示非IP多媒體業(yè)務子系統(tǒng)終端和引導服務功能實體執(zhí)行鑒權處理��,非IP多媒體業(yè)務子系統(tǒng)終端向IP多媒體業(yè)務子系統(tǒng)終端代理發(fā)送通用鑒權架構請求消息�,步驟b,IP多媒體業(yè)務子系統(tǒng)終端代理在接收到非IP多媒體業(yè)務子系統(tǒng)終端的通用鑒權架構請求信息后����,查詢一關系映射表,獲取該非IP多媒體業(yè)務子系統(tǒng)終端的設備標識����,該關系映射表存儲非IP多媒體業(yè)務子系統(tǒng)終端的標識信息與非IP多媒體業(yè)務子系統(tǒng)終端的設備標識的對應關系,該通用鑒權架構請求信息包括非IP多媒體業(yè)務子系統(tǒng)終端的標識信息�,步驟c��,IP多媒體業(yè)務子系統(tǒng)終端代理為非IP多媒體業(yè)務子系統(tǒng)終端生成與所述設備標識相關的衍生密鑰Ks_NAF����,步驟d��,引導服務功能實體為網絡業(yè)務應用實體生成衍生密鑰Ks_NAF����,其與步驟c中生成的衍生密鑰Ks_NAF相同,步驟e����,非IP多媒體業(yè)務子系統(tǒng)終端和網絡業(yè)務應用實體利用步驟c和步驟d生成的衍生密鑰Ks_NAF建立安全聯(lián)盟。
2.如權利要求1所述的方法����,其中,所述非IP多媒體業(yè)務子系統(tǒng)終端的標識信息為非IP多媒體業(yè)務子系統(tǒng)終端的用戶名��,終端地址�,終端端口號中的任一種。
3.如權利要求2所述的方法��,其中��,所述應用請求消息和指示消息通過IP多媒體業(yè)務子系統(tǒng)終端代理轉發(fā)。
4.如權利要求1所述的方法���,其中,步驟b包括步驟b1�,非IP多媒體業(yè)務子系統(tǒng)終端發(fā)送一通用鑒權架構請求消息給IP多媒體業(yè)務子系統(tǒng)終端代理,該通用鑒權架構請求包括非IP多媒體業(yè)務子系統(tǒng)終端的用戶名和網絡業(yè)務應用實體的ID����,以及步驟b2,IP多媒體業(yè)務子系統(tǒng)終端代理根據該非IP多媒體業(yè)務子系統(tǒng)終端的用戶名���,查找存儲在IP多媒體業(yè)務子系統(tǒng)終端代理上的所述關系映射表���,獲取設備標識。
5.如權利要求4所述的方法����,其中,步驟b2進一步包括����,IP多媒體業(yè)務子系統(tǒng)終端代理在從引導服務功能實體下載鑒權向量的同時下載該關系映射表的步驟。
6.如權利要求1所述的方法�,其中�����,步驟c包括步驟c0�����,IP多媒體業(yè)務子系統(tǒng)終端代理和引導服務功能實體雙向認證��,生成基本密鑰Ks���、事務標識B-TID、密鑰有效期��,步驟c1�����,IP多媒體業(yè)務子系統(tǒng)終端代理根據設備標識���、基本密鑰Ks��、用戶私有標識和網絡業(yè)務應用實體的ID���,生成衍生密鑰Ks_NAF�,步驟c2����,IP多媒體業(yè)務子系統(tǒng)終端代理將設備標識、事務標識B-TID��、衍生密鑰Ks_NAF和密鑰有效期發(fā)送給非IP多媒體業(yè)務子系統(tǒng)終端�。
7.如權利要求6所述的方法�����,其中����,在步驟c0中,IP多媒體業(yè)務子系統(tǒng)終端代理將用戶的私有用戶標識����,或私有用戶標識和設備標識發(fā)送給引導服務功能實體。
8.如權利要求6所述的方法���,其中�����,在步驟c0中IP多媒體業(yè)務子系統(tǒng)終端代理和引導服務功能實體完成通用鑒權架構認證后��,以后當其它非IP多媒體業(yè)務子系統(tǒng)終端通過該IP多媒體業(yè)務子系統(tǒng)終端代理與網絡業(yè)務應用實體交互時��,根據本地策略�����,可以省略該步驟c0�,直接利用前一非IP多媒體業(yè)務子系統(tǒng)終端通過該IP多媒體業(yè)務子系統(tǒng)終端代理應用該增強型通用鑒權架構時生成的基本密鑰Ks和事務標識B-TID。
9.如權利要求7所述的方法��,其進一步包括引導服務功能實體將基本密鑰Ks����、事務標識B-TID、密鑰有效期�����、IP多媒體業(yè)務子系統(tǒng)終端代理的私有用戶標識和該非IP多媒體業(yè)務子系統(tǒng)終端的設備標識關聯(lián)存儲���。
10.如權利要求1所述的方法�,其中,步驟d包括����,步驟d1,非IP多媒體業(yè)務子系統(tǒng)終端發(fā)送包括該非IP多媒體業(yè)務子系統(tǒng)終端的設備標識和事務標識B-TID的應用請求消息給網絡業(yè)務應用實體�����,步驟d2����,網絡業(yè)務應用實體發(fā)送包括該非IP多媒體業(yè)務子系統(tǒng)終端的設備標識、事務標識B-TID和網絡業(yè)務應用實體的ID的認證請求消息給引導服務功能實體��,步驟d3�,引導服務功能實體根據該事務標識B-TID查詢得到基本密鑰Ks和用戶私有標識IMPI��,并根據這些信息連同非IP多媒體業(yè)務子系統(tǒng)終端的設備標識�����、網絡業(yè)務應用實體的ID生成衍生密鑰Ks_NAF�,并將生成的衍生密鑰Ks_NAF、密鑰有效期����、通用鑒權架構開始時間��、用戶屬性數(shù)據發(fā)送給網絡業(yè)務應用實體����。
11.如權利要求1-10任一項所述的方法�����,其進一步包括網絡業(yè)務應用實體在所述衍生密鑰過期時����,發(fā)送消息指示非IP多媒體業(yè)務子系統(tǒng)終端執(zhí)行與引導服務功能實體雙向認證。
12.如權利要求11所述的方法��,其中���,指示非IP多媒體業(yè)務子系統(tǒng)終端執(zhí)行與引導服務功能實體雙向認證的消息通過IP多媒體業(yè)務子系統(tǒng)終端代理轉發(fā)��。
全文摘要
本發(fā)明提供一種非IMS終端通過IMS終端代理應用增強型通用鑒權架構的方法�。該方法包括如下步驟步驟a����,非IMS終端發(fā)送不帶GBA參數(shù)的應用請求消息給NAF��,以及NAF響應該應用請求消息���,指示非IMS終端先和引導服務功能實體執(zhí)行鑒權處理,非IMS終端向IMS終端代理發(fā)送GBA請求消息���。步驟b�����,IMS終端代理在接收到非IMS終端的GBA請求信息后����,查詢一關系映射表�����,獲取該非IMS終端的設備標識��,該關系映射表存儲非IMS終端的標識信息與非IMS終端的設備標識的對應關系��,該GBA請求信息包括非IMS終端的標識信息以及要訪問的NAF的標識�。步驟c��,IMS終端代理為非IMS終端生成與所述設備標識相關的衍生密鑰,步驟d���,引導服務功能實體為NAF生成衍生密鑰��,其與步驟c中生成的衍生密鑰相同���。
文檔編號H04L9/08GK1870500SQ200610001570
公開日2006年11月29日 申請日期2006年1月24日 優(yōu)先權日2006年1月24日
發(fā)明者何承東 申請人:華為技術有限公司