專(zhuān)利名稱(chēng):通用鑒權(quán)框架推送業(yè)務(wù)實(shí)現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域�,具體涉及一種通用鑒權(quán)框架推送業(yè)務(wù)實(shí)現(xiàn)方法。
背景技術(shù):
在第三代無(wú)線通信標(biāo)準(zhǔn)中�,多種應(yīng)用業(yè)務(wù)實(shí)體使用一個(gè)用于完成對(duì)用戶身
份進(jìn)行驗(yàn)證的通用結(jié)構(gòu),即GAA (通用鑒權(quán)框架)�。應(yīng)用通用鑒權(quán)框架可實(shí)現(xiàn) 對(duì)應(yīng)用業(yè)務(wù)的用戶進(jìn)行檢查和驗(yàn)證身份,并為用戶訪問(wèn)應(yīng)用業(yè)務(wù)提供安全通信 的密鑰。所述多種應(yīng)用業(yè)務(wù)可以是多播或廣播業(yè)務(wù)��、用戶證書(shū)業(yè)務(wù)��、信息即時(shí) 提供業(yè)務(wù)等��,也可以是代理業(yè)務(wù)���。 圖1為GAA的結(jié)構(gòu)示意圖
通用鑒權(quán)框架通常由UE (用戶設(shè)備)�����、執(zhí)行用戶身份初始檢查驗(yàn)證的實(shí)體 BSF ( Bootstrapping Server Function,自引導(dǎo)鑒權(quán)協(xié)議服務(wù)功能)���、HSS ( Home Subscriber Server,用戶歸屬服務(wù)器)、定位HSS的位置的實(shí)體SLF ( Subscriber Locator Function ����,用戶位置功能)和網(wǎng)全備業(yè)務(wù)應(yīng)用實(shí)體NAF ( Network Application Function,網(wǎng)絡(luò)應(yīng)用功能)組成。BSF用于與IJE進(jìn)行互驗(yàn)證身份�����, 同時(shí)生成BSF與用戶的共享密鑰Ks; HSS中存儲(chǔ)用于描述用戶信息的描述文 件��,同時(shí)HSS還兼有產(chǎn)生鑒權(quán)信息的功能。Dz��、 Zh��、 Zn�、 Ub�、 Ua為各實(shí)體之 間的4妻口 。
通常情況下���,Ul':需要使用某種業(yè)務(wù)時(shí)�����,需要和該業(yè)務(wù)對(duì)應(yīng)的NAF聯(lián)系��, 即UK主動(dòng)向NAF發(fā)起連接請(qǐng)求����。如果該NAF使用GAA通用鑒權(quán)框架���,則UK首 先需要和BSF進(jìn)行互鑒權(quán)�����,以驗(yàn)證身份��。鑒權(quán)成功后����,UE根據(jù)與BSF的共享密
鑰Ks計(jì)算出與NAF力口密通信的衍生密鑰Ks—NAF,同時(shí)將包含Ks信息的B-TID (會(huì)話事務(wù)標(biāo)識(shí))發(fā)送給NAF, NAF根據(jù)收到的B-TID從BSF獲得共享密鑰Ks 的衍生密鑰Ks—NAF����。這樣,UE就可以和NAF使用衍生密鑰Ks—NAF在lJa口進(jìn)
行安全通信�。
在某些應(yīng)用場(chǎng)景,需要網(wǎng)絡(luò)側(cè)向UE主動(dòng)發(fā)起通信請(qǐng)求�����,即推送(push) 業(yè)務(wù)?����,F(xiàn)有的GAA推送流程如下
在NAF采用GAA技術(shù)向用戶發(fā)送推送消息之前��,必須先到BSF請(qǐng)求Ua口 通信的Ks書(shū)亍生密鑰Ks—NAF ����。
如果在收到NAI:的密鑰請(qǐng)求時(shí)�����,UE和BSF之間還沒(méi)有協(xié)商一個(gè)可用的共 享密鑰Ks�����,那么BSF從HSS獲取一組鑒權(quán)向量����,并計(jì)算得到Ks以及Ks一NAF; 同時(shí)向NAF發(fā)送該組鑒權(quán)向量中的AUTN (認(rèn)證令牌)以及衍生密鑰Ks-NAF���, 還可能包括鑒權(quán)向量中的RAND (隨機(jī)數(shù)),B-TID (會(huì)話事務(wù)標(biāo)識(shí))和衍生密 鑰Ks—NAF生存期等��。然后NAF將在向UE發(fā)送的push消息中發(fā)送AUTN ���、 RAND ��、 B-TII) ��、 NAF—ID ( NAF標(biāo)識(shí))等信息�,并且可能包含加密的數(shù)據(jù)�����。 UE將根據(jù)AUTN, RAND值認(rèn)證網(wǎng)絡(luò)��,并且計(jì)算出共享密鑰Ks以及衍生密鑰 Ks NAF��。
如果在收到NAF的密鑰請(qǐng)求時(shí)���,UE和BSF已經(jīng)協(xié)商好一個(gè)可用的共享密 鑰Ks,那么BSl:將利用該共享密鑰Ks計(jì)算出衍生密鑰Ks一NAF��,并將相應(yīng)的 B-TID和Ks—NAF生存期發(fā)給NAF��。 NAF在向UE發(fā)送push消息中攜帶B-TID和 NAF-ID�����,并且可能包含加密的數(shù)據(jù)����。UE根據(jù)B-TID中的共享密鑰Ks計(jì)算出衍 生密鑰Ks一NAF,或者在本地找到一個(gè)與B-TID對(duì)應(yīng)的Ks—NAF��,并采用此密鑰 解密攜帶的加密數(shù)據(jù)���。
由于在GBA—U (基于UICC的通用自引導(dǎo)鑒權(quán)框架)的情況下����,BSF和Ul; 可能會(huì)利用共享密鑰Ks衍生出兩個(gè)密鑰,即放在UICC (Universal Integrated Circuit Card,通用集成電路卡)上的衍生密鑰Ks int NAF和放在ME (mobile
Equipment,移動(dòng)設(shè)備)上的衍生密鑰Ks—ext—NAF���。在這種情況下���,NAF就需 要與UP:協(xié)商好到底采用哪一個(gè)密鑰進(jìn)行安全通信。
在U1:':發(fā)起業(yè)務(wù)中���,UE側(cè)根據(jù)應(yīng)用所處的位置來(lái)決定采用的衍生密鑰如 果基于UICC的應(yīng)用��,將采用放在UICC上的密鑰Ks—int—NAF;如果基于ME的 應(yīng)用,將采用放在ME上的密鑰Ks—ext—NAF����。然后UE將選^^的密鑰類(lèi)型以向 NAF上報(bào)應(yīng)用所處位置的方式告訴NAF。 NAF再根據(jù)本地策略���,或者BSF的策 略��,來(lái)判斷是否允許終端所選的密鑰類(lèi)型�����。如果允許��,則采用該密鑰通信�,否 則拒絕UK的請(qǐng)求。
但是在推送業(yè)務(wù)中��,由于NAF向UE發(fā)送推送消息之前����,不存在與l見(jiàn)的交
Ul':也就不可能通知網(wǎng)絡(luò)側(cè)其所選的密鑰類(lèi)型。因此現(xiàn)有這種方法不能應(yīng)用于 GAA推送過(guò)程中�����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題是提供一種通用鑒權(quán)框架推送業(yè)務(wù)實(shí)現(xiàn)方法��,以 克服現(xiàn)有技術(shù)在GBA—U的情況下����,無(wú)法適應(yīng)GAA推送業(yè)務(wù)的缺點(diǎn),保證推 送業(yè)務(wù)的安全�。
本發(fā)明一種通用鑒權(quán)框架推送業(yè)務(wù)實(shí)現(xiàn)方法的一個(gè)實(shí)施例包括 網(wǎng)絡(luò)側(cè)確定推送業(yè)務(wù)密鑰及密鑰類(lèi)型;
用戶側(cè)與網(wǎng)絡(luò)側(cè)通信���,確定與網(wǎng)絡(luò)側(cè)一致的推送業(yè)務(wù)密鑰�,并使用該推送 業(yè)務(wù)密鑰與網(wǎng)絡(luò)側(cè)進(jìn)行通信。
其中��,網(wǎng)絡(luò)側(cè)確定推送業(yè)務(wù)密鑰及密鑰類(lèi)型時(shí)�,可以由自引導(dǎo)鑒權(quán)協(xié)議服 務(wù)功能實(shí)體BSF確定網(wǎng)絡(luò)應(yīng)用功能實(shí)體NAF需要使用的推送業(yè)務(wù)密鑰及密鑰 類(lèi)型;或者由NAF確定NAF需要使用的推送業(yè)務(wù)密鑰及密鑰類(lèi)型��。
用戶側(cè)確定與網(wǎng)絡(luò)側(cè)一致的推送業(yè)務(wù)密鑰時(shí)���,可以根據(jù)用戶側(cè)收到的推送
業(yè)務(wù)消息的需要來(lái)選擇存儲(chǔ)在UICC上的衍生密鑰或者存儲(chǔ)在ME上的衍生密 鑰�;還可以依次嘗試存儲(chǔ)在通用集成電路卡UICC上和存儲(chǔ)在移動(dòng)設(shè)備MK上 的衍生密鑰����,根據(jù)嘗試結(jié)果確定符合要求的衍生密鑰;或者用戶側(cè)按照應(yīng)用規(guī) 范所規(guī)定的密鑰選擇規(guī)則并結(jié)合自身能力選擇�����。
由以上本發(fā)明提供的技術(shù)方案可以看出����,本發(fā)明在推送業(yè)務(wù)中�,由網(wǎng)絡(luò)側(cè) 確定符合要求的推送業(yè)務(wù)密鑰及密鑰類(lèi)型,并使用該密鑰加密向用戶側(cè)發(fā)送的 推送業(yè)務(wù)數(shù)據(jù);用戶側(cè)選擇能夠識(shí)別網(wǎng)絡(luò)側(cè)推送業(yè)務(wù)加密數(shù)據(jù)的推送業(yè)務(wù)密 鑰���,并使用該密鑰與網(wǎng)絡(luò)側(cè)進(jìn)行通信��。在具體實(shí)現(xiàn)時(shí)���,推送業(yè)務(wù)使用的密鑰類(lèi) 型選4奪^L則可以由應(yīng)用^見(jiàn)范確定,也可以由BSF運(yùn)營(yíng)商或NAF運(yùn)營(yíng)商來(lái)確定�����, 還可以由用戶和BSF運(yùn)營(yíng)商�����、NAF運(yùn)營(yíng)商共同來(lái)確定���,從而可以方便����、靈活 地適應(yīng)不同應(yīng)用場(chǎng)景的需要�。根據(jù)確定的密鑰類(lèi)型來(lái)選用相應(yīng)的衍生密鑰作為 推送業(yè)務(wù)密鑰,有效地保證了推送業(yè)務(wù)的安全����。
圖1是現(xiàn)有技術(shù)中通用鑒權(quán)框架結(jié)構(gòu)示意圖��; 圖2是本發(fā)明方法第一實(shí)施例的實(shí)現(xiàn)流程圖3是本發(fā)明方法中由BSF和NAF共同確定密鑰類(lèi)型的一種實(shí)現(xiàn)流程圖�; 圖4是本發(fā)明方法中 一種網(wǎng)絡(luò)側(cè)與用戶側(cè)消息交互的流程圖�����; 圖5是本發(fā)明方法中另 一種網(wǎng)絡(luò)側(cè)與用戶側(cè)消息交互的流程圖�; 圖6是本發(fā)明方法第二實(shí)施例的實(shí)現(xiàn)流程圖。
具體實(shí)施例方式
本發(fā)明在推送業(yè)務(wù)中��,由網(wǎng)絡(luò)側(cè)選定符合要求的推送業(yè)務(wù)密鑰及密鑰類(lèi) 型����,并使用該密鑰加密向用戶側(cè)發(fā)送的推送業(yè)務(wù)數(shù)據(jù);用戶側(cè)選擇能夠識(shí)別網(wǎng)
絡(luò)側(cè)推送業(yè)務(wù)加密數(shù)據(jù)的推送業(yè)務(wù)密鑰�,并使用該密鑰與網(wǎng)絡(luò)側(cè)進(jìn)行通信。所
述推送業(yè)務(wù)密鑰即為BSF和UE共享密鑰Ks的書(shū)f生密鑰(Ksjnt—NAI'�����、或者 Ksjext)—NAF)����。由于在GBA—U的情況下,BSF和UE可能會(huì)利用共享密鑰 Ks衍生出兩個(gè)密鑰�,即放在UICC上的衍生密鑰Ks—int—NAF和放在MH上的 衍生密鑰Ks一ext—NAF。因此��,針對(duì)這種情況��,本發(fā)明中推送業(yè)務(wù)使用的密鑰 類(lèi)型選擇規(guī)則可以由應(yīng)用規(guī)范確定��,也可以由BSF運(yùn)營(yíng)商或NAF運(yùn)營(yíng)商來(lái)確 定��,還可以由用戶和BSF運(yùn)營(yíng)商�����、NAF運(yùn)營(yíng)商共同來(lái)確定����。
如果密鑰選擇規(guī)則由用戶和BSF運(yùn)營(yíng)商、NAF運(yùn)營(yíng)商共同規(guī)定���,那么用戶 定制某項(xiàng)業(yè)務(wù)時(shí)�����,可以由用戶與網(wǎng)絡(luò)協(xié)商出一種密鑰類(lèi)型�,并將協(xié)商結(jié)果放在 用戶簽約信息文件中。同時(shí)���,用戶側(cè)的移動(dòng)設(shè)備也可以將這一選擇結(jié)果加以保 存��。
如果用戶是跟B SF運(yùn)營(yíng)商協(xié)商�����,那么網(wǎng)絡(luò)側(cè)的密鑰選擇類(lèi)型信息可以放在 nss的用戶簽約文件中�����,比如可以放在GUSS (通用自引導(dǎo)鑒權(quán)框架用戶安全 設(shè)置)的USS (用戶安全設(shè)置)中����。采用何種密鑰進(jìn)行推送業(yè)務(wù)����,可以由BSF 進(jìn)行判斷后,只將可用的密鑰發(fā)給NAF ( Ksjnt—NAF或者Ks一(ext)—NAF );也 可以是BSF根據(jù)UICC屬性���,判斷GBA的類(lèi)型后�,計(jì)算Ks衍生密鑰����,然后將所 有得到的衍生密鑰(Ks—int—NAF和Ks—ext—NAF兩個(gè)密鑰)及用戶簽約文件中 的密鑰選擇策略一并發(fā)給NAF,由NAF判斷選擇何種密鑰類(lèi)型進(jìn)行推送業(yè)務(wù)���。
在這種情況下�����,用戶側(cè)只需按照本地存儲(chǔ)的密鑰選擇類(lèi)型�,選擇使用何種 密鑰解密推送消息���。
如果用戶是跟NAF運(yùn)營(yíng)商協(xié)商�,那么NAF需要保存對(duì)應(yīng)于該用戶的密鑰選 擇類(lèi)型信息��,并在向用戶推送業(yè)務(wù)時(shí)�,直接采用選擇好的密鑰,同樣用戶側(cè)只 需按照本地存儲(chǔ)的密鑰選擇類(lèi)型��,選擇使用何種密鑰解密推送業(yè)務(wù)消息���。
如果密鑰選擇規(guī)則由應(yīng)用規(guī)范規(guī)定��,則可以規(guī)定如果UICC具備GBA功 能�����,則選擇保存在UICC上的密鑰����;而如果UICC不具備GBA功能,則選擇保存
在M1LL的密鑰�。那么當(dāng)BSF收到NAF的推送業(yè)務(wù)密鑰請(qǐng)求后,或者根據(jù)UICC 屬性以及應(yīng)用規(guī)范的規(guī)定�����,判斷Ua口需要采用的密鑰類(lèi)型��,選擇出一種密鑰 (MH上的或者UICC上的)��,然后向NAF發(fā)送所選的密鑰�����;或者是將UICC屬性 與兩種密鑰 一起發(fā)送給NAF �����,由NAF根據(jù)應(yīng)用規(guī)范來(lái)選擇�����。
在這種情況下,用戶側(cè)完全可以根據(jù)自己的UICC屬性以及應(yīng)用規(guī)范的規(guī) 定來(lái)選擇使用何種密鑰解密推送消息�。
如果應(yīng)用規(guī)范沒(méi)有規(guī)定密鑰的選擇策略,而僅僅是由網(wǎng)絡(luò)側(cè)BSF運(yùn)營(yíng)商或 者NAF運(yùn)營(yíng)商來(lái)規(guī)定���,那么可以按照以下方式來(lái)選擇
1. 網(wǎng)絡(luò)側(cè)按照用戶的UICC屬性以及網(wǎng)絡(luò)運(yùn)營(yíng)商或NAF運(yùn)營(yíng)商的策略來(lái)選 擇一個(gè)密鑰使用后,將在推送消息中發(fā)送一個(gè)使用的密鑰類(lèi)型的指示�。用戶側(cè) 收到推送消息后,根據(jù)該指示選擇一個(gè)密鑰進(jìn)行解密�����。
2. 網(wǎng)絡(luò)側(cè)按照用戶的UICC屬性以及網(wǎng)絡(luò)BSF運(yùn)營(yíng)商或NAF運(yùn)營(yíng)商的策略 來(lái)選擇一個(gè)密鑰使用后����,并不向用戶發(fā)送密鑰類(lèi)型指示信息,而是由用戶自己 去嘗試�����。如果是GBAJJ��,用戶設(shè)備將計(jì)算出兩個(gè)密鑰����,先用其中一個(gè)密鑰解 密����,如果不成功��,再換用另一個(gè)密鑰解密���。
3. NAF自己判斷要發(fā)送的推送消息的解密點(diǎn)及解密端是UICC還是ME�����。 如果解密點(diǎn)是UICC�,就采用存放于UICC上的Ks衍生密鑰加密���,否則采用存放 于ME上的Ks衍生密鑰加密�。而用戶設(shè)備自己也能判斷某個(gè)推送消息應(yīng)該由MK 來(lái)執(zhí)行����,還是UICC來(lái)執(zhí)行。如果消息是發(fā)給ME的�����,就由ME采用ME上的衍生 密鑰來(lái)解密,如果消息是發(fā)給UICC的�,則由UICC釆用UICC上的衍生密鑰來(lái) 執(zhí)行解密。
4. 網(wǎng)絡(luò)側(cè)按照自己的策略選擇一種密鑰對(duì)推送業(yè)務(wù)數(shù)據(jù)進(jìn)行加密后發(fā)送 給用戶側(cè)�����。而用戶設(shè)備事前已經(jīng)通過(guò)某種方式得到網(wǎng)絡(luò)側(cè)的密鑰選擇策略���,比 如主動(dòng)下載,或者網(wǎng)絡(luò)側(cè)業(yè)務(wù)通知�,或者用戶與網(wǎng)絡(luò)簽約時(shí),將密鑰選擇信息 保存在本地等方式����。當(dāng)用戶側(cè)收到推送消息后,即按照該策略選擇密鑰解密推
送消息��。例如����,將可以接收這種消息的客戶端放在符合要求的位置。要求使用
MH上的衍生密鑰的��,就將客戶端放到ME上;需要使用UICC上的衍生密鑰的���, 就將客戶端放到UICC上����。由于網(wǎng)絡(luò)側(cè)的策略有可能會(huì)變化�,在這種情況下, 用戶就需要?jiǎng)討B(tài)獲得網(wǎng)絡(luò)的當(dāng)前策略�����?�?梢栽诰W(wǎng)絡(luò)側(cè)策略改變后將策略通知用 戶側(cè)�,或者定期地向用戶發(fā)送業(yè)務(wù)通知,告訴其網(wǎng)絡(luò)側(cè)的新策略��,還可以由用 戶定期從網(wǎng)絡(luò)下載���,已達(dá)到更新�。
5.與用戶側(cè)主動(dòng)發(fā)起業(yè)務(wù)類(lèi)似���,事前根據(jù)其它原因?qū)?yīng)用客戶端放在所 需的位置��,再根據(jù)應(yīng)用客戶端所在位置決定密鑰類(lèi)型��,如果應(yīng)用基于Mli����,則 選擇Ml.;上的密鑰;如果應(yīng)用基于UICC,則選擇UICC上的密鑰�。網(wǎng)絡(luò)側(cè)NAl-' 可以通過(guò)以下幾種可能的方法獲知應(yīng)用客戶端的位置,從而確定可以使用的密 鑰類(lèi)型
(1 )用戶申請(qǐng)簽約業(yè)務(wù)時(shí)告訴網(wǎng)絡(luò)側(cè)��。該簽約信息可以存放在HSS�����、或 者BSF��、或者NAF中�。如果根據(jù)應(yīng)用客戶端位置選擇的密鑰不符合NAF或者BSF 運(yùn)營(yíng)商的要求���,那么將不對(duì)該用戶發(fā)送推送業(yè)務(wù)����。
(2)從應(yīng)用本身獲知�。如某種應(yīng)用只可能在ME上實(shí)現(xiàn),或者只可能在 IJICC上實(shí)現(xiàn)??梢詫?yīng)用在用戶側(cè)終端上的位置信息保存在用戶的簽約文件 中,在需要了解該應(yīng)用的位置信息時(shí)��,由BSF讀取該用戶的簽約文件即可得到����。
(3 )網(wǎng)絡(luò)側(cè)在發(fā)送第一條推送消息時(shí)不攜帶使用Ks衍生密鑰加密數(shù)據(jù), 當(dāng)從用戶側(cè)收到響應(yīng)消息后��,再?gòu)脑擁憫?yīng)消息或者應(yīng)用所在位置的指示信息來(lái) 決定使用哪種衍生密鑰���,然后再發(fā)送相應(yīng)的Ks衍生密鑰加密的數(shù)據(jù)�。當(dāng)然如果 用戶側(cè)所指示的密鑰類(lèi)型不符合網(wǎng)絡(luò)側(cè)要求�����,那么NAF將不再向用戶發(fā)送后面 的數(shù)據(jù)�。
為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案,下面結(jié)合附圖和實(shí)施方 式對(duì)本發(fā)明作進(jìn)一 步的詳細(xì)說(shuō)明���。
參照?qǐng)D2����,圖2示出了本發(fā)明方法的第一實(shí)施例的實(shí)現(xiàn)流程,包括以下步驟
步驟201:當(dāng)需要進(jìn)行推送業(yè)務(wù)時(shí)�����,NAF檢查本地是否已經(jīng)存在與用戶側(cè) 相關(guān)的推送業(yè)務(wù)密鑰���。如果存在���,則進(jìn)到步驟202;否則,進(jìn)到步驟203����。 步驟202:選用本地存儲(chǔ)的密鑰并確定可以使用的密鑰類(lèi)型。 步驟203: NAF向BSF請(qǐng)求推送業(yè)務(wù)密鑰���。
可以在該請(qǐng)求消息中攜帶需要通信的用戶的標(biāo)識(shí)信息����、NAF的標(biāo)識(shí)信息 等���。其中,用戶標(biāo)識(shí)可以是用戶的私有標(biāo)識(shí)IMPI (IP多々某體子系統(tǒng)私有用戶 身份標(biāo)識(shí))或永久標(biāo)識(shí)IMSI (International Mobile Subscriber Identifier,國(guó)際移 動(dòng)用戶標(biāo)識(shí))����,也可以是能夠唯一標(biāo)識(shí)該用戶的其他標(biāo)識(shí)信息�����。
步驟204: BSF判斷NAF是否有權(quán)進(jìn)行推送業(yè)務(wù)��。如果沒(méi)有�����,則進(jìn)到步 驟205;否則�����,進(jìn)到步驟206�����。
BSF可以根據(jù)用戶的簽約信息或者NAF運(yùn)營(yíng)商與BSF運(yùn)營(yíng)商的簽約關(guān)系 來(lái)判斷NAF是否有權(quán)�����。
步驟205:拒絕NAF的密鑰請(qǐng)求����。
上述步驟204和步驟205是可選步驟,也就是說(shuō)�,BSF也可以不用判斷 NAl''是否有權(quán)進(jìn)行推送業(yè)務(wù)。
步驟206: BSF檢查本地是否存在可用于計(jì)算NAF推送業(yè)務(wù)密鑰的密鑰 Ks���。如果不存在����,則進(jìn)到步驟207;否則�,進(jìn)到步驟208。
前面已提到����,NAF可以在向BSF發(fā)送推送業(yè)務(wù)密鑰請(qǐng)求消息時(shí)攜帶用戶 標(biāo)識(shí)信息、NAF標(biāo)識(shí)信息�,因此,BSF可以根據(jù)這些信息檢查本地存儲(chǔ)的可 用密鑰中是否有這些信息對(duì)應(yīng)的�����,也就是說(shuō)可以使用的計(jì)算NAF推送業(yè)務(wù)密 鑰的密鑰Ks�����。
如果GAApush中Ks不可重用����,那么該步驟可以省略。直接進(jìn)入207��。 步驟207: BSF獲取新的鑒權(quán)向量�����,計(jì)算得到BSF與用戶的共享密鑰Ks����。 本技術(shù)領(lǐng)域人員知道,HSS中存儲(chǔ)了用戶的簽約信息����,因此,BSF可以根
據(jù)收到的4,送業(yè)務(wù)密鑰-清求消息中包含的用戶標(biāo)識(shí)/人HSS中獲^U于應(yīng)該用戶
的一組鑒權(quán)向量��,并計(jì)算得到共享密鑰Ks以及Ks衍生密鑰Ks—NA1:或者Ks— (cxt/int) —NAF��。
步驟208: BSF計(jì)算Ks衍生密鑰Ks_NAF/Ks— ( ext/int) —NAF��。
由于在GBA—U的情況下�����,BSF和用戶會(huì)利用Ks衍生出兩個(gè)密鑰, 一個(gè) 放在MI( ( Mobile Equipment,移動(dòng)設(shè)備)的UICC ( Universal Integrated Circuit Card,通用集成電路卡)上�,即Ks—int—NAF;另 一個(gè)放在ME上,即Ks—ext—N八F�����。 在這種情況下�,就需要確定NAF可以使用的密鑰類(lèi)型,也就是說(shuō)�,確定NAF 應(yīng)該使用UICC上的衍生密鑰,還是應(yīng)該使用ME上的衍生密鑰�。
如果BSF能夠計(jì)算得到兩個(gè)Ks衍生密鑰,則由BSF獨(dú)自確定或者由BSF 和NAI''共同確定NAF需要使用的密鑰類(lèi)型����。當(dāng)然,在ME不支持GBA—IJ的 情況下���,BSF只計(jì)算出一個(gè)衍生密鑰Ks—NAF,也就不存在選用哪一個(gè)衍生密 鑰的問(wèn)題�。
步驟209: BSF將獲取的Ks衍生密鑰發(fā)送給NAF�����。
BS1.'還可以同時(shí)將AIJTN、 B-TID���、密鑰有效期等信息發(fā)送給NAI',�����,也可 以包括計(jì)算推送業(yè)務(wù)密鑰的其他參數(shù)�。
如果由BSF獨(dú)自確定NAF需要使用的密鑰類(lèi)型,則可以只將選定的Ks 衍生密鑰���,而且還可以包括其對(duì)應(yīng)的密鑰類(lèi)型發(fā)送給NAF�����。如果由BSF和NAF 共同來(lái)確定NAF需要使用的密鑰類(lèi)型�����,則可以將獲取的兩個(gè)Ks衍生密鑰���、 BSF指定的密鑰選擇策略和用戶簽約信息發(fā)送給NAF,使NAF根據(jù)該策略及 用戶簽約信息來(lái)確定可以使用的密鑰類(lèi)型���。當(dāng)然����,還可以只將獲取的兩個(gè)Ks 衍生密鑰發(fā)送給NAF,由NAF根據(jù)自已的密鑰選擇策略或者應(yīng)用規(guī)范所規(guī)定 的密鑰類(lèi)型并結(jié)合用戶的能力信息選定可以使用的密鑰類(lèi)型���。
當(dāng)然��,也可以是BSF先自己選定采用哪種密鑰后�,再計(jì)算符合要求的Ks
衍生密鑰���。
選用哪種方式可以根據(jù)系統(tǒng)應(yīng)用環(huán)境����、終端簽約信息��、終端能力等來(lái)確定�����。 具體的密鑰類(lèi)型選擇方式將在后面詳細(xì)舉例描述����。
步驟210: N八F確定可以使用的推送業(yè)務(wù)密鑰及密鑰類(lèi)型����。 步驟21NATT向用戶側(cè)發(fā)送推送消息�。
在該消息中,NAF可以將網(wǎng)絡(luò)側(cè)的密鑰選擇策略一起發(fā)送��,還可以包含 采用推送業(yè)務(wù)密鑰加密的數(shù)據(jù)�����。
步驟212:用戶側(cè)選擇符合要求的衍生密鑰�����,該衍生密鑰即與網(wǎng)絡(luò)側(cè)一致 的推送業(yè)務(wù)密鑰�����,并使用該密鑰與網(wǎng)絡(luò)側(cè)進(jìn)行通信��。
用戶側(cè)收到NA1''發(fā)送的推送消息后�,在利用Ks衍生密鑰解密推送業(yè)務(wù)數(shù) 據(jù)前需要確定采用何種密鑰����。比如����,可以采用以下方式來(lái)選擇符合要求的衍生 密鑰
(1) 如果推送消息中有密鑰類(lèi)型指示�,那么將采用相應(yīng)密鑰對(duì)推送業(yè)務(wù) 數(shù)據(jù)解密;
(2) 如果應(yīng)用已經(jīng)規(guī)定首選密鑰�,并按照先選密鑰,后決定解密點(diǎn)位置 的方式來(lái)選����。用戶設(shè)備將根據(jù)應(yīng)用規(guī)范的規(guī)定以及UICC屬性(是否支持GBA 功能)來(lái)選擇符合要求的衍生密鑰,并使用該衍生密鑰對(duì)推送業(yè)務(wù)數(shù)據(jù)解密��。
(3) 根據(jù)應(yīng)用自身屬性決定���。如該應(yīng)用只可能在UICC或者M(jìn)E上實(shí)現(xiàn)��, 則可以按照客戶端在何處�,就采用何處存放密鑰的原則來(lái)選擇符合要求的衍生 密鑰���,并使用該衍生密鑰對(duì)推送業(yè)務(wù)數(shù)據(jù)解密�����。�����。
(4) 若對(duì)應(yīng)于該應(yīng)用���,用戶設(shè)備已經(jīng)預(yù)先配置了密鑰選擇信息�,那么將
按照配置來(lái)選��。
(5) 采用自適應(yīng)方法���,即如果是GBA—U����,用戶設(shè)備將計(jì)算出兩個(gè)密鑰���, 先用其中一個(gè)密鑰解密,如果不成功���,則換另一個(gè)密鑰解密�����。
前面4是到����,如果BSF上存在或計(jì)算得到兩個(gè)Ks書(shū)f生密鑰,則可以由BSI: 獨(dú)自確定或者由BSF和NAF共同確定NAF需要使用的密鑰類(lèi)型���。
在本發(fā)明中���,BSF可以按以下任意一種方式選擇NAF可以使用的密鑰類(lèi)
型
(1 )BSF根據(jù)用戶與網(wǎng)絡(luò)簽約時(shí)確定的密鑰選擇規(guī)則確定NAF需要使用 的密鑰類(lèi)型;
(2)BSF根據(jù)應(yīng)用的自身屬性確定NAF需要使用的密鑰類(lèi)型����。比如,當(dāng) 應(yīng)用位于通用集成電路卡UICC上時(shí)�,則選用存放在UICC上的衍生密鑰;當(dāng) 應(yīng)用位于移動(dòng)設(shè)備ME上時(shí)�,選用存放在ME上的衍生密鑰。
(3 )BSF根據(jù)應(yīng)用規(guī)范中規(guī)定的密鑰選擇規(guī)則和用戶屬性確定NAF需要 使用的密鑰類(lèi)型���。�����。比如���,如果應(yīng)用規(guī)范中規(guī)定了首選的密鑰類(lèi)型��,則優(yōu)先選 擇該規(guī)定的首選的密鑰類(lèi)型作為NAF需要使用的密鑰類(lèi)型�����;如果應(yīng)用規(guī)范中 未確定密鑰選擇規(guī)范���,則BSF可以根據(jù)應(yīng)用的自身屬性確定NAF需要使用的 密鑰類(lèi)型。
如果由BSF和NAF共同來(lái)確定NAF需要使用的推送業(yè)務(wù)密鑰及密鑰類(lèi)
型�,同樣也可以有多種實(shí)現(xiàn)方式。
參照?qǐng)D3����,圖3示出了其中一種實(shí)現(xiàn)流程,包括以下步驟
步驟301: BSF獲取與用戶側(cè)的共享密鑰��,并計(jì)算該共享密鑰的衍生密鑰����。
步驟302: BSF將計(jì)算出的共享密鑰的衍生密鑰返回給NAF����,并在該消息
中攜帶BSF指定的密鑰選擇策略和用戶簽約信息。
BSI;指定的密鑰選擇策略可以是例如只允許采用Ks—int—NAF,或者兩
者都允許�����,但是首選Ks—int—NAF等策略。
步驟303: NAF根據(jù)BSF返回的密鑰選擇策略和用戶簽約信息選定可以
使用的密鑰類(lèi)型���。
如果BSF沒(méi)有返回密鑰選擇策略���,NAF將根據(jù)自己策略來(lái)選定可以使用
的密鑰類(lèi)型。
步驟304:將已選密鑰類(lèi)型的衍生密鑰作為NAF需要使用的推送業(yè)務(wù)密鑰���。
在上述步驟302中�,BSF也可以只將計(jì)算出的共享密鑰的衍生密鑰返回給 NAI''�,然后由N八F根據(jù)自已的密鑰選擇策略并結(jié)合用戶UICC的能力信息選 定可以使用的密鑰類(lèi)型。NAF可以在與用戶簽約時(shí)��,得知該用戶UICC的能 力����;或者NAF從BSF獲取該用戶的能力信息。
NAI''自己的密鑰選擇策略可以是例如只允許釆用Ks—int—NAF,或者兩 者都允許�����,但是首選Ks_int—NAF,即如果用戶卡能夠支持GBA密鑰衍生功能�, 那么就選擇Ks—int_NAF ,否則選擇Ks_NAF ����。
下面進(jìn)一步詳細(xì)iJt明本發(fā)明中網(wǎng)絡(luò)側(cè)與用戶側(cè)交互時(shí)的消息流程。
參照?qǐng)D4所示網(wǎng)絡(luò)側(cè)與用戶側(cè)消息交互的一個(gè)實(shí)施例的流程
1. NAF想要向某用戶發(fā)送推送消息�。如果本地還沒(méi)有推送業(yè)務(wù)密鑰,則 向BSF請(qǐng)求推送業(yè)務(wù)密鑰�。請(qǐng)求消息中攜帶用戶標(biāo)識(shí),NAF—ID (NAF標(biāo)識(shí)) 等信息�����。其中�����,用戶標(biāo)識(shí)可以是用戶的私有標(biāo)識(shí)IMPI或永久標(biāo)識(shí)IMSI,也可 以是其他可以唯一標(biāo)識(shí)該用戶的標(biāo)識(shí)�。如果NAF已經(jīng)存在與用戶相關(guān)的push 業(yè)務(wù)密鑰,那么直接進(jìn)入步驟4�����。
2. BSF檢查該NAF是否有權(quán)進(jìn)行推送業(yè)務(wù)���。如果NAF無(wú)權(quán)進(jìn)行推送業(yè)務(wù)�, 則進(jìn)行步驟3'; 否則BSF獲取Ks , 并利用Ks計(jì)算Ks衍生密鑰 Ks—(ext/int)—push—NAF �����。
首先���,BSF查找在本地對(duì)應(yīng)該用戶是否存在一個(gè)可用的Ks�。如果已經(jīng)存在 一個(gè)可用的Ks,便利用該Ks計(jì)算衍生密鑰Ks—(ext/int)_push—NAF��,用作NAF 推送業(yè)務(wù)密鑰��。如果不存在�,則先獲取一組新的鑒權(quán)向量,并且利用已有參數(shù) 得到Ks����,并計(jì)算Ks衍生密鑰作為NAF推送業(yè)務(wù)密鑰Ks—(ext/int)_push_NAF。然
后��,進(jìn)到步驟3����。
3'. BSF向NAF回應(yīng)拒絕推送業(yè)務(wù)密鑰請(qǐng)求消息。該步驟為可選步驟。
3. BS1'�,將B-TID、密鑰有效期以及計(jì)算得到的NAF推送業(yè)務(wù)密鑰 Ks」cxt/int)—push—NAF,進(jìn)一步可能包括AUTN�、 一起發(fā)送^會(huì)NAF,還可能包 括用于計(jì)算推送業(yè)務(wù)密鑰的其它參數(shù)��。
BSF可以判斷推送業(yè)務(wù)應(yīng)該使用哪種Ks衍生密鑰保護(hù)(尤其在GBA—IJ情 況下)���,并只將可用的密鑰發(fā)給NAF使用�。具體可以根據(jù)以下方式判斷NA1; 應(yīng)該采用哪種密鑰作為推送信息加密密鑰
(1) 采用何種密鑰已經(jīng)由用戶和網(wǎng)絡(luò)在簽約時(shí)協(xié)商好了��,并放在用戶簽 約文件里(如在HSS里的用戶簽約文件里的GUSS中)�。那么BSF可以根據(jù)簽 約信息來(lái)判斷。
(2) 用戶簽約信息中具備應(yīng)用客戶端在終端側(cè)所在位置(MF:或UICC) 信息���。BS1'��,可以按照客戶端在何處���,就采用何處存放的密鑰的原則來(lái)選擇。
(3) 根據(jù)應(yīng)用自身屬性決定�。如該應(yīng)用只可能在UICC (或者)MlUi實(shí) 現(xiàn),BSF可以按照客戶端在何處�,就采用何處存放密鑰的原則來(lái)選擇��。
(4) 應(yīng)用規(guī)范已經(jīng)規(guī)定首選密鑰,并按照先選密鑰�,后決定解密點(diǎn)位置 的方式來(lái)選。BSF將根據(jù)應(yīng)用規(guī)范的規(guī)定以及UICC屬性(是否支持GBA功能) 來(lái)選擇�。
BSF也可以不判斷推送業(yè)務(wù)應(yīng)該使用哪種Ks衍生密鑰保護(hù),只將用戶簽約 信息(如USS)發(fā)送給NAF�。
4. NAF組成推送消息。同時(shí)可以將推送業(yè)務(wù)數(shù)據(jù)以Ks衍生密鑰加密后一 起發(fā)送�����。至于選擇何種密鑰有以下幾種方式
(1) 如果BSF只返回一種密鑰�����,就采用該密鑰加密����。
(2) 如果BSF返回兩種密鑰,并且同時(shí)返回密鑰選擇的策略以及用戶簽 約信息���,那么NAF將根據(jù)密鑰選擇策略以及用戶簽約信息來(lái)選����。簽約信息可能
是用戶與運(yùn)營(yíng)商之前已經(jīng)協(xié)商好使用何種密鑰,或者協(xié)商好的解密點(diǎn)的位置����。
(3) 應(yīng)用規(guī)范已經(jīng)規(guī)定首選密鑰,并按照先選密鑰����,后決定解密點(diǎn)位置
的方式來(lái)選。NAF將根據(jù)應(yīng)用規(guī)范的規(guī)定以及UICC屬性(是否支持GBA功能)來(lái)選�。
(4) NAF按照自己策略來(lái)選或者本地存儲(chǔ)的用戶信息來(lái)選,還可以結(jié)合 UICC屬性��。UICC屬性可以從BSF返回的GUSS中獲得��。
(5) 應(yīng)用自身屬性決定���。如該應(yīng)用只可能在UICC或者M(jìn)E上實(shí)現(xiàn)���,NA1: 可以按照客戶端在何處,就采用何處存放密鑰的原則來(lái)選擇�。
6. NAF向UE發(fā)送推送消息。該消息除了可能包括B-TID �����、 NAF—ID以及 在l爪沒(méi)有有效Ks情況下包括AUTN等信息以外,還可以包括NAF所選Ks衍生 密鑰的類(lèi)型標(biāo)識(shí)�。除此之外,還可以包括由所選Ks衍生密鑰保護(hù)的推送業(yè)務(wù)數(shù) 據(jù)���。
7. UE收到推送消息后,在利用Ks衍生密鑰解密推送數(shù)據(jù)以前需要確定采 用何種密鑰��??梢赃x用以下幾種方法確定采用何種密鑰
(1) 如果推送消息中有密鑰類(lèi)型指示,那么將采用相應(yīng)密鑰解密���。
(2) 如果應(yīng)用已經(jīng)規(guī)定首選密鑰�����,并按照先選密鑰���,后決定解密點(diǎn)位置 的方式來(lái)選。UK將根據(jù)應(yīng)用規(guī)范的規(guī)定以及UICC屬性(是否支持GBA功能) 來(lái)選���。
(3) 應(yīng)用自身屬性決定�����。如該應(yīng)用只可能在UICC或者M(jìn)E上實(shí)現(xiàn)����,BSF 可以按照客戶端在何處,就采用何處存放密鑰的原則來(lái)選才奪����。
(4) 若對(duì)應(yīng)于該應(yīng)用,UE已經(jīng)預(yù)先配置了密鑰選擇信息�,那么將按照配
置來(lái)選。
(5) 采用自適應(yīng)法����,即如果是GBA—U,終端將計(jì)算出兩個(gè)密鑰,先用其 中一個(gè)密鑰解密���,如果不成功�����,則換另一個(gè)解�。
參照?qǐng)D5所示網(wǎng)絡(luò)側(cè)與用戶側(cè)消息交互的另一個(gè)實(shí)施例的流程
1. NAI'��,想要向某用戶發(fā)送推送消息��。如果本地還沒(méi)有推送業(yè)務(wù)密鑰,則
向BSF請(qǐng)求推送業(yè)務(wù)密鑰�����。請(qǐng)求消息中攜帶用戶標(biāo)識(shí)����,NAF—ID ( NAF標(biāo)識(shí)) 等信息。其中���,用戶標(biāo)識(shí)可以是用戶的私有標(biāo)識(shí)IMPI或永久標(biāo)識(shí)IMSI,也可 以是其他可以唯一標(biāo)識(shí)該用戶的標(biāo)識(shí)���。如果NAF已經(jīng)存在與用戶相關(guān)的push 業(yè)務(wù)密鑰��,那么直接進(jìn)入步驟4�。
2. BSI;檢查該NAF是否有權(quán)進(jìn)行推送業(yè)務(wù)���。如果NAF無(wú)權(quán)進(jìn)行推送業(yè)務(wù)�����, 則進(jìn)行步驟3'; 否貝'J BSF獲取Ks �����, 并利用Ks計(jì)算Ks衍生密鑰 Ks—(ext/int)一push一NAF �����。
首先����,BSF查找在本地對(duì)應(yīng)該用戶是否存在一個(gè)可用的Ks。如果已經(jīng)存在 一個(gè)可用的Ks ����,便利用該Ks計(jì)算衍生密鑰Ks—(ext/int)_push—NAF,用作NAF 推送業(yè)務(wù)密鑰。如果不存在��,則先獲取一組新的鑒權(quán)向量��,并且利用已有參數(shù) 得到Ks,并計(jì)算Ks衍生密鑰作為NAF推送業(yè)務(wù)密鑰Ks—(ext/int)_push—NA1 ��。然 后�����,進(jìn)到步驟3。
當(dāng)然如果Ks不可以重用���,BSF就無(wú)須判斷是否已有可用的Ks�,而是直接取 新的認(rèn)證向量得到Ks�����。
3'. BSr'向NAF回應(yīng)拒絕推送業(yè)務(wù)密鑰請(qǐng)求消息�����。
3. BSI'��,將計(jì)算得到的NAF推送業(yè)務(wù)密鑰Ks—(ext/int)_push—NAF—起發(fā)送給 NAF,還可能包括密鑰有效期和/或用于計(jì)算推送業(yè)務(wù)密鑰的其它參數(shù)�����,如 AUTN����、 B-TID���。
BSl:可以判斷推送業(yè)務(wù)應(yīng)該使用哪種Ks衍生密鑰保護(hù)(尤其在GBA—U情 況下)��,并只將可用的密鑰發(fā)給NAF使用��。具體可以根據(jù)以下方式判斷NAF 應(yīng)該采用哪種密鑰作為推送信息加密密鑰
(1)采用何種密鑰已經(jīng)由用戶和網(wǎng)絡(luò)在簽約時(shí)協(xié)商好了���,并放在用戶簽 約文件里(如在HSS里的用戶簽約文件里的GUSS中)�,那么BSF可以根據(jù)簽 約信息來(lái)判斷�。
(2) 用戶簽約信息中具備應(yīng)用客戶端在終端側(cè)所在位置(Mt:或UICC) 信息。BSF可以按照客戶端在何處����,就采用何處存放的密鑰的原則來(lái)選擇。
(3) 根據(jù)應(yīng)用自身屬性決定����。如該應(yīng)用只可能在UICC (或者)Ml〖上實(shí) 現(xiàn),BSF可以按照客戶端在何處����,就采用何處存放密鑰的原則來(lái)選擇。
(4) 應(yīng)用規(guī)范已經(jīng)規(guī)定首選密鑰�����,并按照先選密鑰��,后決定解密點(diǎn)位置 的方式來(lái)選。BSF將根據(jù)應(yīng)用規(guī)范的規(guī)定以及UICC屬性(是否支持GBA功能) 來(lái)選擇�����。
BSF也可以不判斷推送業(yè)務(wù)應(yīng)該使用哪種Ks衍生密鑰保護(hù)�,只將用戶簽約 信息(如USS)發(fā)送給NAF。
4. NA1:組成推送消息�����。該消息不包括由Ks衍生密鑰加密或者完整性保護(hù)
的數(shù)據(jù)�。
5. 向Ufi發(fā)送第一條推送消息。此時(shí)���,可以將網(wǎng)絡(luò)側(cè)密鑰選擇策略一起發(fā) 送�。該策略可能是NAF自己規(guī)定的策略���,也可以是BSF規(guī)定的策略?����?梢灾该?只能使用某一種密鑰��,或者是兩種都可以。
6. l疋收到推送消息后���,驗(yàn)證該消息的合法性����,客戶端選擇支持的密鑰類(lèi)型����。
7. UE向網(wǎng)絡(luò)發(fā)送響應(yīng)消息,并將自身選擇的密鑰類(lèi)型(也即客戶端解密 點(diǎn)位置)告知NAF���。
8. NAF按照UE所選密鑰對(duì)推送業(yè)務(wù)數(shù)據(jù)進(jìn)行保護(hù)或者如果用戶側(cè)返回類(lèi) 型不符合要求�,則結(jié)束流程�。
9. NA1''將加密后的數(shù)據(jù)發(fā)給UE。
10. UE計(jì)算得到Ks^f汙生密鑰后��,采用適當(dāng)?shù)拿荑€解密����。 參照?qǐng)D6,圖6示出了本發(fā)明方法第二實(shí)施例的實(shí)現(xiàn)流程。 在該實(shí)施例中�����,由BSF與UE共同決定push業(yè)務(wù)的密鑰類(lèi)型。該流程包
括以下步驟
1. NAF想要向某用戶發(fā)送推送消息�����。如果本地還沒(méi)有推送業(yè)務(wù)密鑰���,則 向BSF請(qǐng)求推送業(yè)務(wù)密鑰��。該消息包括用戶的身份標(biāo)識(shí)���、自身的NAF—ID等 信息。其中���,用戶標(biāo)識(shí)可以是用戶的私有標(biāo)識(shí)IMPI或永久標(biāo)識(shí)IMSI,也可以 是其他可以唯一標(biāo)識(shí)該用戶的標(biāo)識(shí)����。如果NAF對(duì)密鑰類(lèi)型有自身的要求�,該 消息還可進(jìn)一步包括NAF想要采用的密鑰類(lèi)型。
2~3. BSF收到請(qǐng)求以后����,進(jìn)行相應(yīng)的處理�����,主要有
BSF首先從HSS獲得一組新的鑒權(quán)向量,然后向UE發(fā)送推送消息�,并 在消息中攜帶AIJTN, RAND和/或B-TID,還可進(jìn)一步攜帶NAF—ID�����。
另外�����,BSF還可以根據(jù)NAF要求采用的密鑰類(lèi)型決定采用的密鑰類(lèi)型�; 如果BS1',運(yùn)營(yíng)商自己也有一定的策略���,那么還需要考慮BSF運(yùn)營(yíng)商的策略�����, 決定采用的密鑰類(lèi)型����。在這種情況下����,該推送消息需要進(jìn)一步包括所選擇的密 鑰類(lèi)型�����。
4. UH收到推送消息后��,根據(jù)AUTN和RAND驗(yàn)證網(wǎng)絡(luò)�,并且計(jì)算出Ks�����。
5. 如果UE到BSF有反饋信道���,UE向BSF發(fā)送響應(yīng)消息��。如果Ul<:不 支持BSF確定的密鑰類(lèi)型���,還可通過(guò)該響應(yīng)消息攜帶UE選擇的密鑰類(lèi)型,使 BSF根據(jù)U1;的能力來(lái)重新確定推送業(yè)務(wù)的密鑰類(lèi)型或者確定是否向UK發(fā)送 Push消息�����。
6. BSl''向NAF發(fā)送計(jì)算得到的GBA密鑰(Ks—(ext/int)—NAF )�。
在GBA—U情況下��,可以只發(fā)送協(xié)商好的密鑰類(lèi)型的密鑰給NAF;也可以 將計(jì)算得到的兩種密鑰及BSF和/或UE選擇的密鑰類(lèi)型發(fā)送給NAF,由NAF
自己選擇。
另外�,如果步驟5中攜帶了 UE選擇的密鑰類(lèi)型,則BSF還需要判斷UH
所選是否符合要求����。
7. NA1;采用GBA密鑰加密需要發(fā)送的推送業(yè)務(wù)數(shù)據(jù)。
8. NAF向Ul':發(fā)送包含該數(shù)據(jù)的推送消息����,在該消息中還可進(jìn)一步包括
加密密鑰的類(lèi)型。
9. UE對(duì)收到的推送消息采用相應(yīng)的密鑰解密��。
雖然通過(guò)實(shí)施例描繪了本發(fā)明�,本領(lǐng)域普通技術(shù)人員知道,本發(fā)明有許多 變形和變化而不脫離本發(fā)明的精神��,希望所附的權(quán)利要求包括這些變形和變化 而不脫離本發(fā)明的精神�����。
權(quán)利要求
1����、一種通用鑒權(quán)框架推送業(yè)務(wù)實(shí)現(xiàn)方法����,其特征在于�,所述方法包括網(wǎng)絡(luò)側(cè)確定推送業(yè)務(wù)密鑰及密鑰類(lèi)型;用戶側(cè)與網(wǎng)絡(luò)側(cè)通信�����,確定與網(wǎng)絡(luò)側(cè)一致的推送業(yè)務(wù)密鑰�����,并使用該推送業(yè)務(wù)密鑰與網(wǎng)絡(luò)側(cè)進(jìn)行通信�����。
2�、 根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述網(wǎng)絡(luò)側(cè)確定推送業(yè)務(wù) 密鑰及密鑰類(lèi)型的步驟包括由自引導(dǎo)鑒權(quán)協(xié)議服務(wù)功能實(shí)體BSF確定網(wǎng)絡(luò)應(yīng)用功能實(shí)體NAF需要使 用的推送業(yè)務(wù)密鑰及密鑰類(lèi)型�����;或者由NAF確定NAF需要4吏用的推送業(yè)務(wù)密鑰及密鑰類(lèi)型。
3�、 根據(jù)權(quán)利要求2所述的方法,其特征在于��,所述由BSF確定NAF需 要使用的推送業(yè)務(wù)密鑰及密鑰類(lèi)型的步驟包括BSI''選擇N八F可以使用的密鑰類(lèi)型����,并獲取可用于計(jì)算NAF推送業(yè)務(wù)密 鑰的密鑰Ks�、計(jì)算Ks衍生密鑰;將已選密鑰類(lèi)型的衍生密鑰作為NAF需要使用的推送業(yè)務(wù)密鑰���; BSF將選擇的密鑰類(lèi)型的推送業(yè)務(wù)密鑰發(fā)送給NAF�。
4��、 根據(jù)權(quán)利要求3所述的方法����,其特征在于,所述由BSF確定NAF需 要使用的推送業(yè)務(wù)密鑰及密鑰類(lèi)型的步驟進(jìn)一步包括BSF將選擇的密鑰類(lèi)型信息發(fā)送給NAF�����。
5����、 根據(jù)權(quán)利要求3或4所述的方法����,其特征在于�����,所述BSF選擇NAF 可以使用的密鑰類(lèi)型的步驟具體為BSF根據(jù)用戶與網(wǎng)絡(luò)簽約時(shí)確定的密鑰選擇規(guī)則確定NAF需要使用的密 鑰類(lèi)型����;或者BSF根據(jù)應(yīng)用的自身屬性確定NAF需要使用的密鑰類(lèi)型;或者BSF根據(jù)應(yīng)用規(guī)范中規(guī)定的密鑰選擇規(guī)則和用戶屬性確定NAF需要使用 的密鑰類(lèi)型���;或者BSF根據(jù)用戶側(cè)反饋上來(lái)的用戶側(cè)信息�����、自身策略���、NAF要求的密鑰類(lèi) 型這三者中的任一項(xiàng)或多項(xiàng)來(lái)確定NAF需要使用的密鑰類(lèi)型。
6�����、 根據(jù)權(quán)利要求5所述的方法,其特征在于�����,所述BSF根據(jù)應(yīng)用的自身 屬性確定NAF需要使用的密鑰類(lèi)型的步驟包括當(dāng)應(yīng)用位于通用集成電路卡UICC上時(shí)���,則選用存放在UICC上的衍生密 鑰的類(lèi)型�����;當(dāng)應(yīng)用位于移動(dòng)設(shè)備ME上時(shí),選用存放在ME上的衍生密鑰的類(lèi)型���。
7�����、 根據(jù)權(quán)利要求5所述的方法���,其特征在于,所述BSF根據(jù)應(yīng)用規(guī)范中 規(guī)定的密鑰選擇規(guī)則和用戶UICC屬性確定NAF需要使用的密鑰類(lèi)型的步驟 包括應(yīng)用規(guī)范中未規(guī)定密鑰選擇規(guī)則����,則BSF根據(jù)應(yīng)用的自身屬性確定NAl'' 需要使用的密鑰類(lèi)型�����。
8�、 根據(jù)權(quán)利要求5所述的方法��,其特征在于���,BSF通過(guò)以下方式獲取NAF 要求的密鑰類(lèi)型NAl''向BS1'���,請(qǐng)求推送業(yè)務(wù)密鑰,并將NAF要求的密鑰類(lèi)型發(fā)給BSF�。
9、 根據(jù)權(quán)利要求3所述的方法���,其特征在于�����,在所述BSF選擇NA1<'可 以使用的密鑰類(lèi)型的步驟前還包括BSF向用戶側(cè)發(fā)送推送消息�;用戶側(cè)將自身要使用的密鑰類(lèi)型或者應(yīng)用所在位置通過(guò)響應(yīng)消息反饋給 BS1'�。
10、 根據(jù)權(quán)利要求2所述的方法��,其特征在于,所述由NAF確定NAF需 要使用的推送業(yè)務(wù)密鑰及密鑰類(lèi)型的步驟具體為BSF獲取與用戶側(cè)的共享密鑰���,并計(jì)算該共享密鑰的衍生密鑰�; 將計(jì)算出的共享密鑰的衍生密鑰返回給N AF; NA1:選定可以使用的密鑰類(lèi)型��;將已選密鑰類(lèi)型的衍生密鑰作為NAF需要使用的推送業(yè)務(wù)密鑰�����。
11�����、 根據(jù)權(quán)利要求10所述的方法���,其特征在于,所述將計(jì)算出的共享密 鑰的衍生密鑰返回給NAF的步驟進(jìn)一步包括BSF在向N八返回衍生密鑰的消息中攜帶BSF指定的密鑰選擇策略和用 戶簽約信息�����。
12����、 根據(jù)權(quán)利要求11所述的方法�,其特征在于���,所述NAF選定可以使用 的密鑰類(lèi)型的步驟具體為NAI''根據(jù)BSF返回的密鑰選擇策略和用戶簽約信息選定可以使用的密鑰類(lèi)型�����。
13�����、 根據(jù)權(quán)利要求IO所述的方法�,其特征在于��,所述NAF選定可以使用 的密鑰類(lèi)型的步驟具體為N八h'根據(jù)自已的密鑰選擇策略并結(jié)合用戶的能力信息選定可以使用的密 鑰類(lèi)型�����;或者NAF根據(jù)應(yīng)用規(guī)范所規(guī)定的密鑰類(lèi)型并結(jié)合用戶的能力信息選定可以使 用的密鑰類(lèi)型�。
14、 根據(jù)權(quán)利要求13所述的方法�����,其特征在于����, 在用戶與NAF簽約時(shí)�����,NAF獲取用戶的能力信息����;或者 NAl''從BSF獲取用戶的能力信息�。
15、 根據(jù)權(quán)利要求IO所述的方法�,其特征在于,在所述NAF選定可以使 用的密鑰類(lèi)型的步驟前還包括NAF向用戶側(cè)發(fā)送推送消息����;用戶側(cè)將自身要使用的密鑰類(lèi)型或者應(yīng)用所在位置通過(guò)響應(yīng)消息反饋給 薩',�。
16、 根據(jù)權(quán)利要求15所述的方法��,其特征在于����,所述NAF選定可以使用 的密鑰類(lèi)型的步驟具體為NAl''根據(jù)用戶惻反饋上來(lái)的密鑰類(lèi)型信息����,并結(jié)合網(wǎng)絡(luò)側(cè)密鑰選擇策略來(lái)選擇���。
17、 根據(jù)權(quán)利要求2所述的方法���,其特征在于���,所述網(wǎng)絡(luò)側(cè)確定需要使用 的推送業(yè)務(wù)密鑰及密鑰類(lèi)型的步驟進(jìn) 一 步包括如果NAF還未存在與所述用戶側(cè)相關(guān)的推送業(yè)務(wù)密鑰,則在確定N八l;需 要使用的推送業(yè)務(wù)密鑰及密鑰類(lèi)型之前����,NAF向自引導(dǎo)鑒權(quán)功能BSF發(fā)送推 送業(yè)務(wù)密鑰請(qǐng)求消息,在該請(qǐng)求消息中攜帶用戶標(biāo)識(shí)和NAF標(biāo)識(shí)���。
18����、 根據(jù)權(quán)利要求2所述的方法��,其特征在于��,所述方法進(jìn)一步包括 在用戶與網(wǎng)絡(luò)簽約時(shí)確定密鑰選擇規(guī)則,并將其放在用戶的簽約文件中����。
19、 根據(jù)權(quán)利要求2所述的方法����,其特征在于,所述方法進(jìn)一步包括 將應(yīng)用在用戶側(cè)終端上的位置信息保存在用戶的簽約文件中�。
20、 根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述方法進(jìn)一步包括 用戶側(cè)獲取網(wǎng)絡(luò)側(cè)使用的密鑰類(lèi)型��。
21��、 根據(jù)權(quán)利要求20所述的方法�����,其特征在于���,所述用戶側(cè)獲取網(wǎng)絡(luò)側(cè) 使用的密鑰類(lèi)型的步驟具體為由網(wǎng)絡(luò)側(cè)BSF或者NAF在發(fā)送推送消息時(shí)將確定的密鑰類(lèi)型通知用戶 側(cè)����;或者由網(wǎng)絡(luò)側(cè)BSF或者NAF通過(guò)發(fā)送業(yè)務(wù)通知的方式通知用戶側(cè)�����;或者 由用戶側(cè)通過(guò)主動(dòng)下載的方式獲取網(wǎng)絡(luò)側(cè)確定的密鑰類(lèi)型��;或者 用戶與網(wǎng)絡(luò)簽約時(shí)����,將密鑰選擇信息保存在本地。
22�、 根據(jù)權(quán)利要求20所述的方法,其特征在于����,所述用戶側(cè)確定與網(wǎng)絡(luò) 側(cè) 一致的推送業(yè)務(wù)密鑰的步驟具體為用戶側(cè)根椐網(wǎng)絡(luò)側(cè)所要求使用的密鑰類(lèi)型確定與網(wǎng)絡(luò)側(cè)一致的推送業(yè)務(wù)密鑰。
23�����、 根據(jù)權(quán)利要求20所述的方法����,其特征在于,所述用戶側(cè)確定與網(wǎng)絡(luò) 側(cè)一致的推送業(yè)務(wù)密鑰的步驟進(jìn)一步包括用戶側(cè)根據(jù)網(wǎng)絡(luò)側(cè)要求使用的類(lèi)型并結(jié)合自身能力確定密鑰類(lèi)型。
24����、 根據(jù)權(quán)利要求21或22或23所述的方法,其特征在于����,所述用戶側(cè) 與網(wǎng)絡(luò)側(cè)通信,確定與網(wǎng)絡(luò)側(cè)一致的推送業(yè)務(wù)密鑰的步驟包括BSF通過(guò)推送消息將用于計(jì)算NAF推送業(yè)務(wù)密鑰的鑒權(quán)向量發(fā)送給用戶 側(cè)����,并將確定的推送業(yè)務(wù)密鑰及密鑰類(lèi)型發(fā)送給NAF;用戶側(cè)根據(jù)所述鑒權(quán)向量計(jì)算得到符合所述密鑰類(lèi)型的推送業(yè)務(wù)密鑰。
25��、 根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述用戶側(cè)確定與網(wǎng)絡(luò)側(cè) 一致的推送業(yè)務(wù)密鑰的步驟包括當(dāng)用戶側(cè)收到的推送業(yè)務(wù)消息需要由通用集成電路卡UICC處理時(shí)��,選擇 存儲(chǔ)在UICC上的衍生密鑰�����;當(dāng)用戶側(cè)收到的推送業(yè)務(wù)消息需要由移動(dòng)設(shè)備 Ml;處理時(shí)�,選擇存儲(chǔ)在ME上的衍生密鑰;或者用戶側(cè)依次嘗試存儲(chǔ)在通用集成電路卡UICC上和存儲(chǔ)在移動(dòng)設(shè)備MK上 的衍生密鑰�,根據(jù)嘗試結(jié)果確定符合要求的衍生密鑰���;或者用戶側(cè)按照應(yīng)用規(guī)范所規(guī)定的密鑰選擇規(guī)則并結(jié)合自身能力選擇。
全文摘要
本發(fā)明公開(kāi)了一種通用鑒權(quán)框架推送業(yè)務(wù)實(shí)現(xiàn)方法�,所述方法包括網(wǎng)絡(luò)側(cè)確定推送業(yè)務(wù)密鑰及密鑰類(lèi)型����;用戶側(cè)與網(wǎng)絡(luò)側(cè)通信,確定與網(wǎng)絡(luò)側(cè)一致的推送業(yè)務(wù)密鑰�����,并使用該推送業(yè)務(wù)密鑰與網(wǎng)絡(luò)側(cè)進(jìn)行通信��。利用本發(fā)明�����,可以根據(jù)實(shí)際應(yīng)用情況����,方便、靈活地選擇推送業(yè)務(wù)的密鑰類(lèi)型���,使網(wǎng)絡(luò)側(cè)和用戶側(cè)選擇符合要求的密鑰類(lèi)型的衍生密鑰進(jìn)行通信��。
文檔編號(hào)H04L9/12GK101102186SQ200610145188
公開(kāi)日2008年1月9日 申請(qǐng)日期2006年11月17日 優(yōu)先權(quán)日2006年7月4日
發(fā)明者楊艷梅 申請(qǐng)人:華為技術(shù)有限公司