專利名稱:基于通用引導構(gòu)架實現(xiàn)推送功能的方法�、設備和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡通訊技術領域�����,具體涉及一種基于通用引導構(gòu)架實現(xiàn)推送功能的方法���、設備和系統(tǒng)����。
背景技術:
3GPP(The Third Generation Partnership Project�����,第三代移動通信系統(tǒng))中定義的GBA(Generic Bootstrapping Architecture��,通用引導架構(gòu))如附圖1所示�。
圖1中,通用鑒權框架通常由IMS用戶即UE��、BSF(引導服務功能實體)�����、HSS(用戶歸屬網(wǎng)絡服務器)���、SLF(用戶定位功能實體)和NAF(網(wǎng)絡業(yè)務應用實體)組成�。BSF用于與UE執(zhí)行引導會話過程(bootstrapping)時進行互驗證身份����,同時生成BSF與用戶的共享密鑰Ks。HSS中存儲用于描述用戶信息的簽約文件�,同時HSS還兼有產(chǎn)生鑒權信息的功能。SLF用于當存在多個HSS時���,協(xié)助BSF查找相應的HSS�。NAF用于為UE提供網(wǎng)絡業(yè)務�����。BSF與HSS����、NAF、UE�����、SLF之間的接口分別為Zh、Zn�����、Ub�、Dz。NAF與UE之間的接口為Ua����。
在通常情況下,當用戶需要使用某種業(yè)務時�����,如果用戶知道該業(yè)務需要到BSF進行互鑒權過程�����,則直接到BSF進行互鑒權��,否則��,用戶會首先和該業(yè)務對應的NAF聯(lián)系��,如果該NAF支持使用通用引導框架GBA機制����,并且發(fā)現(xiàn)該用戶還未到BSF進行互認證過程,NAF則通知該用戶到BSF進行互鑒權以驗證身份�。
在Ub接口中,UE執(zhí)行引導會話過程的流程如附圖2所示�。
圖2中,在步驟1����、UE(用戶)需要使用某種業(yè)務時,如果UE知道該業(yè)務需要到BSF進行相互鑒權過程�,則直接發(fā)送鑒權請求到BSF進行相互鑒權,否則�����,UE會首先和該業(yè)務對應的NAF聯(lián)系���,如果該NAF支持使用通用引導框架GBA機制�����,并且發(fā)現(xiàn)該UE還未到BSF進行互認證過程����,則NAF通知該UE到BSF進行互鑒權以驗證身份,UE接收到NAF的通知后�����,再直接發(fā)送鑒權請求到BSF進行相互鑒權����。
到步驟2、BSF接到鑒權請求后��,通過Zh接口從HSS處獲取該用戶的鑒權向量信息五元組�,如鑒權序號AUTN、隨機數(shù)RAND����、完整性密鑰IK、加密密鑰CK����、期望結(jié)果XRES。
在步驟3至步驟6�、BSF采用HTTP digest AKA協(xié)議與UE進行雙向認證以及密鑰協(xié)商,完成UE和BSF之間身份的互相認證���。
到步驟7�、BSF生成共享根密鑰Ks。BSF還為共享根密鑰Ks定義了一個有效期限����,以便Ks進行定期更新。
到步驟8����、BSF為UE分配一個B-TID(引導事務標識)����,B-TID用于標識BSF和UE之間的本次鑒權交互事務。BSF將該B-TID與共享根密鑰Ks���、UE的IMPI(IMS私有用戶標識)相關聯(lián)��,以便以后BSF可以根據(jù)該B-TID查找出相應的Ks�。然后�����,BSF將B-TID和Ks的有效期限一起明文發(fā)送給UE��。
到步驟9����、UE也生成和BSF側(cè)相同的共享根密鑰Ks�����,并保存BSF發(fā)送來的B-TID和Ks的有效期限��。
在上述過程結(jié)束后����,UE和BSF之間就共享了一個根密鑰Ks�,并且UE可以利用公式推導出與想要訪問的NAF之間的衍生的共享密鑰Ks_NAF,如利用公式Ks_NAF或者Ks_ext_NAF=KDF來推導���,這里的KDF即Ks����、″gba-me″�����、RAND����、IMPI����、NAF_Id�;再如利用公式Ks_int_NAF=KDF來推導,這里的KDF即Ks����、″gba-u″、RAND����、IMPI�����、NAF_Id���。上述公式中的Ks_ext_NAF�、Ks_int_NAF可以統(tǒng)一簡稱為Ks_NAF���。上述公式中的NAF_Id是由要訪問的NAF域名以及Ua接口上的協(xié)議標識UaID連接而成���,RAND是隨機數(shù)�,IMPI是指UE的IMS私有用戶標識��,″gba-me″或者″gba-u″代表字符串���;KDF是密鑰導出函數(shù)的縮寫��。
在UE獲取了其與想要訪問的NAF之間的衍生的共享密鑰Ks_NAF后����,NAF需要獲取該衍生的共享密鑰Ks_NAF����,只有NAF和UE都獲取了Ks_NAF,才能建立雙方通訊的安全通道����。
NAF通過Zn接口獲取Ks_NAF的流程圖如附圖3所示。
圖3中�,在步驟1、UE在根據(jù)上述公式推導出衍生的共享密鑰Ks_NAF后��,以B-TID為用戶名��、Ks_NAF為口令向NAF發(fā)送連接請求。
到步驟2��、NAF收到UE的連接請求后����,向BSF發(fā)送認證請求消息。認證請求消息中攜帶有B-TID和NAF主機名�����。
到步驟3���、BSF在接收到認證請求消息后����,利用請求消息中的B-TID在其保留的引導會話過程參數(shù)信息中查找相應的Ks�����,這里�,BSF保留的引導會話過程參數(shù)如B-TID��、IMPI�、Ks、密鑰有效期����、引導會話過程的開始時間����、應用相關的GUSS(GBA用戶安全設置信息)等�。如果BSF能夠根據(jù)B-TID查找到相應的Ks,則完成相應用戶的認證�,BSF使用查找到的Ks、與用戶側(cè)相同的上述公式計算出衍生的共享密鑰Ks_NAF���,然后��,BSF在認證響應消息中將其計算出來的Ks_NAF�����、Ks_NAF的有效期限����、BSF與UE之間相互鑒權的開始時間��、以及其他應用相關的USS(用戶安全設置信息)發(fā)給NAF���。NAF接收并保存這些信息���。
這樣���,NAF和UE之間共享了由Ks衍生的密鑰Ks_NAF,從而�,在后續(xù)的通信中,NAF和UE之間可以進行安全通信��。
到步驟4��、NAF向UE發(fā)送連接應答�。
從上述描述可以看出,在GBA過程中�����,UE總是可以主動連接到網(wǎng)絡側(cè)如BSF或者NAF�,即UE總是有到網(wǎng)絡側(cè)方向的返回通道��,也就是說����,UE可以向NAF發(fā)送消息,以便通過此通道觸發(fā)GBA過程。
隨著GBA應用的更加廣泛�����,一些由網(wǎng)絡應用實體如NAF向UE主動發(fā)起通信請求的GBA推送push業(yè)務對GBA產(chǎn)生了新的需求���。在這種情況下�����,UE沒有到網(wǎng)絡側(cè)方向的返回通道����,即UE不能向NAF發(fā)送消息��,因此����,UE也就不能主動連接到網(wǎng)絡側(cè)。此時�,必須由網(wǎng)絡側(cè)NAF向UE主動發(fā)起GBA過程,如網(wǎng)絡側(cè)經(jīng)常主動向UE廣播一些信息��。這樣�����,就需要擴展GBA,使其能夠符合GBApush業(yè)務的需求��。
對于UE來說��,網(wǎng)絡側(cè)NAF向UE主動發(fā)起GBA過程好象是網(wǎng)絡側(cè)向自己主動推送一些信息一樣�����,因此�����,可以將這種GBA過程稱為GBA PUSH(基于GBA的推送功能)����。
GBA PUSH的實現(xiàn)過程流程圖如附圖4所示。
圖4中����,在步驟1、NAF需要向UE廣播數(shù)據(jù)��。NAF事先知道UE的某種用戶標識如IMPI等�����,如果NAF事先知道UE的IMPI之外的其它標識���,則BSF或HSS應該能夠知道與其他標識對應的IMPI�����。此時�,UE沒有到NAF的返回通道��。
到步驟2��、NAF通過Zn接口向BSF發(fā)送請求消息�����,以請求Ks_NAF��。該請求消息中攜帶有該UE的某種用戶標識如IMPI等����、NAF_ID參數(shù)、以及可選的Req_KeyLT(請求密鑰有效期)參數(shù)和可選的GSID(GBA業(yè)務標識)參數(shù)��。
到步驟3、BSF接收到該請求消息后�����,首先檢查該NAF是否有權執(zhí)行GBAPUSH操作�����,在該檢查通過后�����,再檢查該UE是否已經(jīng)有一個引導會話過程�����,如果檢查出該UE還沒有一個引導會話過程�����,表示NAF首次執(zhí)行GBA PUSH操作�,到步驟3a。
步驟3a�、BSF啟動一個新的引導會話過程,具體過程為BSF首先從HSS處獲取鑒權矢量5元組即AUTN���、RAND���、XRES、IK����、CK,然后�����,BSF根據(jù)IK和CK計算出Ks��,再利用上述公計算出Ks_NAF��,并生成B-TID�。BSF從UE的GUSS中提取出用戶安全設置USS。最后�����,BSF保存上述創(chuàng)建的引導會話過程參數(shù)���,即B-TID�����、IMPI����、Ks、密鑰有效期��、引導會話過程的的開始時間���、應用相關的GUSS��、以及RAND參數(shù)等�����,以便這些參數(shù)在以后也可以和其他的NAF一起使用�����。BSF也可以只保存RAND和B-TID兩者中的一個�����。
如果BSF檢查出該UE已經(jīng)有一個引導會話過程��,則到步驟3b�����。
在步驟3b�����、BSF利用上述公計算出Ks_NAF��,并從UE的GUSS中提取出用戶安全設置USS�����。
到步驟4����、BSF向NAF發(fā)送響應消息���,以向NAF返回Ks_NAF等信息��。該步驟有兩種不同的執(zhí)行方式步驟4a����、如果在步驟3中,該UE沒有一個引導會話過程�����,則BSF向NAF返回AUTN����、RAND、B-TID�����、Ks_NAF��、密鑰有效期���、USS�����。這里���,BSF也可能只返回RAND和B-TID中的一個。
步驟4b、如果在步驟3中�,該UE已經(jīng)有一個引導會話過程,則BSF向NAF返回B-TID�����、Ks_NAF�、密鑰有效期、USS���。
到步驟5、NAF使用Ks_NAF加密PUSH業(yè)務數(shù)據(jù)����,即NAF使用Ks_NAF加密需要發(fā)送到UE的廣播數(shù)據(jù)。這里的Ks_NAF是包括Ks_ext_NAF和Ks_int_NAF的����。
到步驟6、NAF向UE發(fā)送PUSH消息���,即執(zhí)行GBA PUSH過程��。該步驟有兩種不同的執(zhí)行方式步驟6a�����、如果BSF和UE之間還沒有一個引導會話過程�����,即UE還沒有產(chǎn)生共享密鑰Ks_NAF��,則NAF向UE發(fā)送PUSH消息�����,PUSH消息中攜帶有AUTN����、RAND、B-TID�����、NAF_ID����、以及可選的加密的數(shù)據(jù)。這里����,NAF也可能只向UE返回RAND和B-TID中的一個�����。
步驟6b�����、如果BSF和UE之間已經(jīng)有一個引導會話過程����,即雙方都產(chǎn)生了共享密鑰Ks_NAF�,則NAF向UE發(fā)送PUSH消息,PUSH消息中攜帶有B-TID����、NAF_ID���、以及可選的加密的數(shù)據(jù)��。
到步驟7�、UE接收到NAF發(fā)送來的PUSH消息后�����,解密NAF發(fā)送來的數(shù)據(jù)。同樣�,該步驟也有兩種不同的執(zhí)行方式步驟7a、如果UE接收到的PUSH消息中存在AUTN和RAND�,則表明該NAF首次和UE通訊,UE首先通過AUTN和RAND來認證網(wǎng)絡���,并在認證成功后���,先根據(jù)IK和CK計算出Ks,再利用上述公式計算出Ks_NAF�����。最后�����,UE使用Ks_NAF解密獲得NAF發(fā)送來的數(shù)據(jù)���。UE也保存引導會話相關的信息如B-TID�����、Ks等以及RAND�、AUTN參數(shù),以便以后也可以和其他的NAF一起使用���。
步驟7b�、如果UE接收到的PUSH消息中不存在AUTN和RAND���,則表示UE需要創(chuàng)建Ks_NAF或者UE從其以前保存的數(shù)據(jù)中提取Ks_NAF�����。最后���,UE使用Ks_NAF解密獲得NAF發(fā)送來的數(shù)據(jù)。
當只有一個NAF如NAF1向某UE如通過IMPI標識的用戶發(fā)起一次GBAPUSH過程時��,上述GBA PUSH的實現(xiàn)流程是沒有問題的����,但是�,當一個NAF如NAF1和BSF完成了對某UE的引導會話過程以后,如果其他NAF如NAF2也需要向同一個UE發(fā)起GBA PUSH過程時���,就會存在如下問題在圖4的步驟2中��,BSF接收到NAF2發(fā)來的請求消息后�,由于BSF已經(jīng)通過NAF1建立了該用戶的一個有效的引導會話過程,因此�����,在執(zhí)行步驟3時���,會執(zhí)行步驟3b�����,在執(zhí)行步驟4時���,會執(zhí)行步驟4b,即BSF只會向NAF2返回B-TID��、Ks_NAF�、密鑰有效期,USS��,而不會向NAF2返回AUTN和RAND等信息��。但是,在步驟6中�,由于NAF2還沒有和UE之間建立一個引導會話過程,即NAF2和UE之間是首次通訊����,因此,NAF2會執(zhí)行步驟6a���,即NAF2向UE發(fā)送PUSH消息�,PUSH消息中應該攜帶有AUTN��、RAND�、B-TID、NAF_ID�����、以及可選的加密的數(shù)據(jù)�。這里,NAF也可能只向UE返回RAND和B-TID中的一個�。這樣,UE可以根據(jù)RAND和B-TID這兩個參數(shù)來認證網(wǎng)絡側(cè)�。問題是此時NAF2并不知道AUTN和RAND���,所以����,NAF2實際上不可能向UE發(fā)送AUTN和RAND。從而導致UE不能夠完成對網(wǎng)絡側(cè)的認證��。
同樣����,在圖4的步驟7中,在執(zhí)行步驟7a時����,當UE認證網(wǎng)絡側(cè)即NAF2成功后,仍然需要根據(jù)IK和CK計算出Ks����,再利用上述公式計算出Ks_NAF。其實����,UE已經(jīng)建立并保存了其和NAF1的引導會話過程信息,該引導會話過程信息中已經(jīng)含有B-TID和Ks等的配對信息�,但是,在該過程中UE沒有充分利用GBA的這一特點來查找Ks,而是重新利用IK/CK來生成與上述配對信息相同的Ks��。由于上述獲得Ks的過程比較費時����,最終影響了UE的性能。
發(fā)明內(nèi)容
本發(fā)明的目的在于���,提供一種基于通用引導構(gòu)架實現(xiàn)推送功能的方法���、設備和系統(tǒng),避免了用戶設備計算Ks的過程�����,節(jié)約了用戶設備的處理資源����,提高了用戶設備的性能;BSF通過將認證信息無條件的返回給NAF�,保證了用戶設備對網(wǎng)絡側(cè)的認證能夠順利實現(xiàn),從而實現(xiàn)了完善基于通用引導構(gòu)架推送功能技術方案的目的���。
為達到上述目的��,本發(fā)明提供的一種基于通用引導構(gòu)架實現(xiàn)推送功能的方法��,包括a��、啟動引導服務器功能實體BSF將認證信息傳輸至網(wǎng)絡應用功能實體NAF����。
b�����、所述NAF對數(shù)據(jù)進行加密��,并傳輸至用戶設備UE��;c��、UE在與網(wǎng)絡側(cè)認證成功后�����,查找其與BSF之間的引導會話過程標識對應的基本密鑰�,并利用該基本密鑰計算衍生密鑰,實現(xiàn)數(shù)據(jù)解密����。
所述步驟c具體包括UE根據(jù)NAF傳輸來的信息確定其與所述BSF之間的引導事務標識B-TID���,并在其自身存儲的B-TID與基本密鑰的對應關系信息中查找該B-TID對應的基本密鑰;UE在查找到對應的基本密鑰后��,利用該基本密鑰計算衍生密鑰��,并利用計算出的衍生密鑰實現(xiàn)數(shù)據(jù)解密�����。
所述步驟c還包括UE在其自身存儲的信息中沒有查找到對應的基本密鑰時��,根據(jù)完整性密鑰IK和加密密鑰CK計算基本密鑰�,并利用該計算出的基本密鑰計算衍生密鑰,最后�,利用計算出的衍生密鑰實現(xiàn)數(shù)據(jù)解密。
所述步驟a包括A�����、BSF獲取UE與網(wǎng)絡側(cè)認證的認證信息��;B�����、BSF將所述認證信息無條件返回給任一需要向所述UE實現(xiàn)推送的NAF。
-所述步驟a包括BSF在判斷出其與UE之間不存在引導會話過程后����,從HSS處獲取鑒權矢量信息,創(chuàng)建并存儲引導會話過程參數(shù)信息�;BSF從所述信息中獲取并存儲認證信息��。
所述步驟a包括BSF在判斷出其與所述UE之間存在引導會話過程后����,從其存儲的信息中獲取認證信息。
所述認證信息為鑒權序號AUTN��,或者所述認證信息為AUTN和隨機數(shù)RAND�。
本發(fā)明提供的基于通用引導構(gòu)架實現(xiàn)推送功能的方法,包括步驟A�、BSF獲取UE與網(wǎng)絡側(cè)認證的認證信息;B��、BSF將所述認證信息無條件返回給任一需要向所述UE實現(xiàn)推送的NAF�����;C、NAF將其接收到的認證信息發(fā)送至UE�。
本發(fā)明提供的基于通用引導構(gòu)架實現(xiàn)推送功能的用戶設備,所述用戶設備UE中設置有查找模塊����;查找模塊用于在UE與網(wǎng)絡側(cè)認證成功后,查找UE與BSF之間的引導會話過程標識對應的基本密鑰��,并觸發(fā)UE根據(jù)該基本密鑰計算衍生密鑰����,實現(xiàn)數(shù)據(jù)解密。
本發(fā)明提供的一種啟動引導服務器功能實體設備�����,BSF中設置有獲取認證信息模塊和返回認證信息模塊�;獲取認證信息模塊用于獲取UE與網(wǎng)絡側(cè)認證的認證信息;返回認證信息模塊用于將獲取認證信息模塊獲取到的所述認證信息無條件返回給NAF���。
本發(fā)明還提供一種基于通用引導構(gòu)架實現(xiàn)推送功能的系統(tǒng)�����,包括BSF和NAF��,所述BSF中設置有獲取認證信息模塊和返回認證信息模塊�����;獲取認證信息模塊用于獲取UE與網(wǎng)絡側(cè)認證的認證信息�����;返回認證信息模塊用于將獲取認證信息模塊獲取到的所述認證信息無條件返回給NAF�;NAF將其接收到的認證信息發(fā)送至UE。
通過上述技術方案的描述可知,本發(fā)明中的UE通過查找其與BSF之間的引導會話過程標識對應的基本密鑰,并根據(jù)查找到的基本密鑰來計算衍生密鑰���,以實現(xiàn)PUSH數(shù)據(jù)解密過程�,在多個NAF與同一個UE實現(xiàn)GBAPUSH情況下�����,避免了UE為每個NAF均計算基本密鑰的過程���,節(jié)約了UE的處理資源��;本發(fā)明中的BSF通過獲取認證信息����,并將認證信息無條件返回給任一需要向UE實現(xiàn)推送的NAF,這樣�,在多個NAF與同一個UE實現(xiàn)GBA PUSH情況下,避免了UE不能夠在后續(xù)NAF的GBA PUSH過程中實現(xiàn)網(wǎng)絡側(cè)認證的現(xiàn)象����,本發(fā)明中的UE能夠完成各GBA PUSH過程中的網(wǎng)絡認證及數(shù)據(jù)解密過程;從而最終實現(xiàn)了提高UE性能�、完善推送功能實現(xiàn)流程的目的。
圖1是3GPP中定義的GBA的架構(gòu)示意圖��;圖2是現(xiàn)有技術的UE執(zhí)行引導會話過程的流程圖����;
圖3是現(xiàn)有技術的NAF通過Zn接口獲取Ks_NAF的流程圖;圖4是現(xiàn)有技術的GBA PUSH的實現(xiàn)過程流程圖��;圖5是本發(fā)明實施例的GBA PUSH的實現(xiàn)過程流程圖一�;圖6是本發(fā)明實施例的GBA PUSH的實現(xiàn)過程流程圖二。
具體實施例方式
在多個NAF(網(wǎng)絡應用功能)與同一個UE(用戶設備)實現(xiàn)GBA PUSH的情況下��,UE在與第一個NAF成功實現(xiàn)網(wǎng)絡側(cè)認證���、且實現(xiàn)GBA PUSH過程中���,UE會保存其與第一個NAF實現(xiàn)GBA PUSH過程中獲得的基本密鑰Ks信息�,如UE保存Ks與B-TID的對應關系等�����。這樣�,當UE在實現(xiàn)后續(xù)NAF的GBA PUSH過程中成功完成網(wǎng)絡側(cè)認證后,本發(fā)明中的UE可以充分利用GBA PUSH實現(xiàn)過程中存儲Ks信息這一特點����,來查找后續(xù)的會話引導過程對應的Ks,從而使UE可以直接利用其存儲的Ks信息來計算出衍生密鑰Ks_NAF�����,并利用該衍生密鑰實現(xiàn)對上述其他NAF發(fā)送來的PUSH數(shù)據(jù)的解密過程���,避免了UE根據(jù)IK(完整性密鑰)和CK(加密密鑰)計算基本密鑰Ks的過程。
本發(fā)明中的UE可以在接收到NAF發(fā)送來的PUSH消息�、且在與網(wǎng)絡側(cè)認證成功后,判斷其與BSF之間的引導會話過程標識如NAF傳輸來的B-TID等是否與其自身存儲的信息匹配����。這里的NAF可以是第一個向UE實現(xiàn)推送功能的NAF���,也可以是后續(xù)其他NAF向UE實現(xiàn)推送功能的NAF。也就是說��,本發(fā)明中的UE在接收到PUSH消息�、且與網(wǎng)絡側(cè)認證成功后,無論發(fā)送PUSH消息的NAF是第一個向UE實現(xiàn)推送功能的NAF��,還是后續(xù)其他NAF�����,UE均進行判斷����、匹配處理。
當UE存儲的Ks信息為Ks與B-TID的對應關系時�����,UE從其接收到的PUSH消息中獲取B-TID�����,并利用該B-TID在上述Ks與B-TID的對應關系中查找匹配的記錄,如果存在匹配的記錄��,UE利用匹配記錄中的Ks計算Ks_NAF��,并利用計算出的Ks_NAF解密NAF傳輸來的PUSH數(shù)據(jù)����;如果不存在匹配的記錄,則UE首先根據(jù)IK和CK計算Ks�����,然后�����,利用計算出的Ks計算Ks_NAF�,最后,UE利用計算出的Ks_NAF解密NAF傳輸來的PUSH數(shù)據(jù)����。
如果PUSH消息中攜帶有B-TID,則UE可以直接從PUSH消息中獲得B-TID���,如果PUSH消息中沒有攜帶有B-TID,則UE可以從PUSH消息中的RAND獲得B-TID。
從上述描述可以看出���,本發(fā)明對現(xiàn)有技術圖4的步驟7a進行了改進�,使UE首先利用B-TID去查找Ks����,如果沒有查找到對應的Ks,再計算Ks����。本發(fā)明中的UE也可以存儲Ks與其他參數(shù)的對應關系,UE在查找時�����,根據(jù)相應的其他參數(shù)查找Ks即可�。本發(fā)明不限制UE存儲Ks的具體表現(xiàn)形式。
在多個NAF與同一個UE實現(xiàn)GBA PUSH的情況下����,如果UE在與某個NAF實現(xiàn)GBA PUSH過程中,BSF能夠獲取到UE與網(wǎng)絡側(cè)進行認證的認證信息如AUTN等����,而且��,在后續(xù)其他NAF需要向該UE實現(xiàn)GBAPUSH時�,BSF不論在什么條件下�,都將其獲取到的認證信息發(fā)送給后續(xù)需要實現(xiàn)GBAPUSH的NAF,則后續(xù)NAF就能夠在判斷出UE還沒有一個引導會話過程后�����,將認證信息準確的發(fā)送給UE��。也就是說��,BSF在確定出UE沒有一個引導會話過程時����,需要將認證信息傳輸至NAF,BSF在確定出UE有一個引導會話過程時����,也需要將認證信息傳輸至NAF。從而使UE能夠順利的進行對網(wǎng)絡側(cè)的認證過程����,避免了后續(xù)其他NAF向該UE實現(xiàn)GBA PUSH時,不能夠?qū)⒄J證信息傳輸至UE�,而導致UE不能夠?qū)崿F(xiàn)網(wǎng)絡側(cè)認證的問題�。
BSF可以是從HSS處獲得認證信息��。BSF獲得認證信息的具體實現(xiàn)過程可以為當NAF需要向某個UE實現(xiàn)GBAPUSH時�����,會向BSF發(fā)送密鑰請求消息���,以請求Ks_NAF。BSF接收密鑰請求消息后�,會判斷上述UE是否有一個引導會話過程,如果BSF確定出上述UE還沒有一個引導會話過程���,則BSF會從HSS處獲取鑒權矢量五元組信息���,即AUTN、RAND����、XRES、IK��、CK��。這樣,BSF獲取到了認證信息����,即AUTN,或者AUTN和RAND���。
BSF可以存儲該五元組信息中的AUTN��,或者存儲該五元組信息中的AUTN和RAND���,以便給后續(xù)其他NAF使用。
BSF將認證信息發(fā)送給NAF的過程可以為BSF將認證信息���、B-TID�、Ks_NAF���、密鑰有效期�、USS通過密鑰請求消息的響應消息返回給發(fā)送密鑰請求消息的NAF�����。BSF可以通過其他方式將認證信息傳輸至NAF�,如單獨將認證信息傳輸至NAF等��。
從上述描述可以看出���,本發(fā)明對現(xiàn)有技術圖4的步驟3a、步驟4b進行了改進���,使BSF首先存儲UE與網(wǎng)絡側(cè)之間的認證信息,然后����,不論UE是否存在一個引導會話過程,BSF均將認證信息返回給NAF���。本發(fā)明不限制BSF存儲認證信息��、BSF向NAF傳輸認證信息的具體表現(xiàn)形式�。
上述實施例中介紹的兩種方法均可以單獨適用于GBA PUSH的實現(xiàn)流程中����,上述兩種方法也可以結(jié)合起來適用于GBA PUSH的實現(xiàn)流程中。
下面結(jié)合附圖5和附圖6分別對本發(fā)明的兩種方法的實現(xiàn)流程進行說明���。
圖5中�,在步驟1、NAF需要向UE廣播數(shù)據(jù)���。NAF事先知道UE的某種用戶標識如IMPI等����,如果NAF事先知道UE的IMPI之外的其它標識���,則BSF或HSS應該能夠知道與其他標識對應的IMPI�。此時���,UE沒有到NAF的返回通道����。
到步驟2��、NAF通過Zn接口向BSF發(fā)送密鑰請求消息�,以請求Ks_NAF。該密鑰請求消息中攜帶有該UE的某種用戶標識如IMPI等���、NAF_ID參數(shù)�����、以及可選的Req_KeyLT(請求密鑰有效期)參數(shù)和可選的GSID(GBA業(yè)務標識)參數(shù)��。
到步驟3���、BSF接收到該密鑰請求消息后����,首先檢查該NAF是否有權執(zhí)行GBA PUSH操作��,在該檢查通過后�,再檢查該UE是否已經(jīng)有一個引導會話過程���,如果檢查出該UE還沒有一個引導會話過程�����,表示NAF首次執(zhí)行GBA PUSH操作�����,到步驟3a�����。
步驟3a��、BSF啟動一個新的引導會話過程�����,具體過程為BSF首先從HSS處獲取鑒權矢量5元組即AUTN�����、RAND���、XRES�����、IK��、CK���,然后,BSF根據(jù)IK和CK計算出Ks�,再利用上述公計算出Ks_NAF,并生成B-TID。BSF從UE的GUSS中提取出用戶安全設置USS����。最后,BSF保存上述創(chuàng)建的引導會話過程參數(shù)���,即B-TID��、IMPI��、Ks�����、密鑰有效期、引導會話過程的開始時間�����、應用相關的GUSS���、RAND參數(shù)等���,以便這些參數(shù)在以后也可以和其他的NAF一起使用。BSF也可以只保存RAND和B-TID兩者中的一個。
如果BSF檢查出該UE已經(jīng)有一個引導會話過程����,則到步驟3b。
在步驟3b�����、BSF利用上述公計算出Ks_NAF���,并從UE的GUSS中提取出用戶安全設置USS��。
到步驟4��、BSF向NAF發(fā)送響應消息����,以向NAF返回Ks_NAF等信息��。該步驟有兩種不同的執(zhí)行方式步驟4a�、如果在步驟3中,該UE沒有一個引導會話過程����,則BSF向NAF返回AUTN��、RAND����、B-TID���、Ks_NAF����、密鑰有效期���、USS��。這里��,BSF也可能只返回RAND和B-TID中的一個�。
步驟4b���、如果在步驟3中,該UE已經(jīng)有一個引導會話過程���,則BSF向NAF返回B-TID���、Ks_NAF�����、密鑰有效期���。
到步驟5、NAF使用Ks_NAF加密PUSH業(yè)務數(shù)據(jù)�,即NAF使用Ks_NAF加密需要發(fā)送到UE的廣播數(shù)據(jù)。這里的Ks_NAF是包括Ks_ext_NAF和Ks_int_NAF的��。
到步驟6�����、NAF向UE發(fā)送PUSH消息���,即執(zhí)行GBAPUSH過程�。該步驟有兩種不同的執(zhí)行方式步驟6a����、如果NAF和UE之間還沒有一個引導會話過程,即UE還沒有產(chǎn)生共享密鑰Ks_NAF��,則NAF向UE發(fā)送PUSH消息,PUSH消息中攜帶有AUTN���、RAND����、B-TID����、NAF_ID、以及可選的加密的數(shù)據(jù)����。這里,NAF也可能只向UE返回RAND和B-TID中的一個����。
步驟6b、如果NAF和UE之間已經(jīng)有一個引導會話過程���,即雙方都產(chǎn)生了共享密鑰Ks_NAF�����,則NAF向UE發(fā)送PUSH消息�����,PUSH消息中攜帶有B-TID����、NAF_ID�、以及可選的加密的數(shù)據(jù)。
到步驟7�、UE接收到NAF發(fā)送來的PUSH消息后,解密NAF發(fā)送來的數(shù)據(jù)���。同樣�����,該步驟也有兩種不同的執(zhí)行方式步驟7a���、如果UE接收到的PUSH消息中存在AUTN和RAND,則表明該NAF首次和UE通訊�,UE首先通過AUTN和RAND來認證網(wǎng)絡,并在認證成功后�,UE先根據(jù)PUSH消息中的B-TID在其存儲的B-TID與Ks的對應關系中查找是否有匹配的記錄,如果有匹配的記錄���,則根據(jù)匹配記錄中的Ks�����、利用上述公式計算出Ks_NAF�����;如果沒有匹配的記錄�,則根據(jù)PUSH消息中的IK和CK計算出Ks,再利用上述公式計算出Ks_NAF����。最后,UE使用Ks_NAF解密獲得NAF發(fā)送來的PUSH數(shù)據(jù)�。UE也保存引導會話相關的信息如B-TID、Ks等以及RAND參數(shù)��,以便以后也可以和其他的NAF一起使用���。
步驟7b�、如果UE接收到的PUSH消息中不存在AUTN和RAND�,則表示UE需要創(chuàng)建Ks_NAF或者UE從其以前保存的數(shù)據(jù)中提取Ks_NAF。最后,UE使用Ks_NAF解密獲得NAF發(fā)送來的PUSH數(shù)據(jù)���。
圖6中,在步驟1���、NAF需要向UE廣播數(shù)據(jù)��。NAF事先知道UE的某種用戶標識如IMPI等��,如果NAF事先知道UE的IMPI之外的其它標識��,則BSF或HSS應該能夠知道與其他標識對應的IMPI��。此時��,UE沒有到NAF的返回通道�。
到步驟2��、NAF通過Zn接口向BSF發(fā)送密鑰請求消息����,以請求Ks_NAF。該密鑰請求消息中攜帶有該UE的某種用戶標識如IMPI等�、NAF_ID參數(shù)、以及可選的Req_KeyLT(請求密鑰有效期)參數(shù)和可選的GSID(GBA業(yè)務標識)參數(shù)。
到步驟3���、BSF接收到該密鑰請求消息后�,首先檢查該NAF是否有權執(zhí)行GBA PUSH操作����,在該檢查通過后,再檢查該UE是否已經(jīng)有一個引導會話過程����,如果檢查出該UE還沒有一個引導會話過程,表示NAF首次執(zhí)行GBA PUSH操作�,到步驟3a。
步驟3a���、BSF啟動一個新的引導會話過程���,具體過程為BSF首先從HSS處獲取鑒權矢量5元組即AUTN、RAND����、XRES、IK�、CK�,然后����,BSF根據(jù)IK和CK計算出Ks,再利用上述公計算出Ks_NAF�����,并生成B-TID�����。BSF從UE的GUSS中提取出用戶安全設置USS����。最后���,BSF保存上述創(chuàng)建的引導會話過程參數(shù)�����,即B-TID���、IMPI、Ks、密鑰有效期�����、引導會話過程的開始時間���、應用相關的GUSS�、RAND參數(shù)以及AUTN等�,以便這些參數(shù)在以后也可以和其他的NAF一起使用。BSF也可以只保存RAND和B-TID兩者中的一個����。
如果BSF檢查出該UE已經(jīng)有一個引導會話過程,則到步驟3b���。
在步驟3b�����、BSF利用上述公計算出Ks_NAF�����,并從UE的GUSS中提取出用戶安全設置USS�。
到步驟4、BSF向NAF發(fā)送響應消息�����,以向NAF返回Ks_NAF等信息�����。該步驟有兩種不同的執(zhí)行方式步驟4a����、如果在步驟3中��,該UE沒有一個引導會話過程����,則BSF向NAF返回AUTN、RAND����、B-TID、Ks_NAF��、密鑰有效期�����、USS。這里�,BSF也可能只返回RAND和B-TID中的一個。
步驟4b�、如果在步驟3中,該UE已經(jīng)有一個引導會話過程�,則BSF首先從其保存的引導會話信息中提取AUTN、RAND��,然后��,向NAF返回AUTN��、RAND�、B-TID、Ks_NAF�、密鑰有效期。這里��,BSF也可能只返回RAND和B-TID中的一個�����。
上述步驟4也可以修改為BSF不進行判斷�����,直接向NAF發(fā)送響應消息,該響應消息中攜帶有AUTN�、RAND、B-TID��、Ks_NAF���、密鑰有效期和USS�。
到步驟5��、NAF使用Ks_NAF加密PUSH業(yè)務數(shù)據(jù)���,即NAF使用Ks_NAF加密需要發(fā)送到UE的廣播數(shù)據(jù)。這里的Ks_NAF是包括Ks_ext_NAF和Ks_int_NAF的�。
到步驟6、NAF向UE發(fā)送PUSH消息�����,即執(zhí)行GBA PUSH過程�。該步驟有兩種不同的執(zhí)行方式步驟6a、如果NAF和UE之間還沒有一個引導會話過程���,即UE還沒有產(chǎn)生共享密鑰Ks_NAF���,則NAF向UE發(fā)送PUSH消息�����,PUSH消息中攜帶有AUTN���、RAND、B-TID���、NAF_ID����、以及可選的加密的數(shù)據(jù)����。這里,NAF也可能只向UE返回RAND和B-TID中的一個�。
步驟6b、如果NAF和UE之間已經(jīng)有一個引導會話過程�����,即雙方都產(chǎn)生了共享密鑰Ks_NAF,則NAF向UE發(fā)送PUSH消息���,PUSH消息中攜帶有B-TID���、NAF_ID、以及可選的加密的數(shù)據(jù)�。
到步驟7、UE接收到NAF發(fā)送來的PUSH消息后��,解密NAF發(fā)送來的數(shù)據(jù)����。同樣,該步驟也有兩種不同的執(zhí)行方式步驟7a�����、如果UE接收到的PUSH消息中存在AUTN和RAND���,則表明該NAF首次和UE通訊,UE首先通過AUTN和RAND來認證網(wǎng)絡�,并在認證成功后,UE根據(jù)PUSH消息中的IK和CK計算出Ks����,再利用上述公式計算出Ks_NAF��。最后��,UE使用Ks_NAF解密獲得NAF發(fā)送來的PUSH數(shù)據(jù)���。UE也保存引導會話相關的信息如B-TID、Ks等以及RAND參數(shù)�����,以便以后也可以和其他的NAF一起使用�����。
步驟7b�、如果UE接收到的PUSH消息中不存在AUTN和RAND,則表示UE需要創(chuàng)建Ks_NAF或者UE從其以前保存的數(shù)據(jù)中提取Ks_NAF�。最后,UE使用Ks_NAF解密獲得NAF發(fā)送來的PUSH數(shù)據(jù)�。
本發(fā)明提供的基于通用引導構(gòu)架實現(xiàn)推送功能的用戶設備UE中設置有查找模塊,查找模塊主要用于在UE與網(wǎng)絡側(cè)認證成功后����,查找其與所述BSF之間的引導會話過程標識對應的基本密鑰�����,如從UE自身存儲的信息中查找基本密鑰���,使UE根據(jù)查找到的基本密鑰來計算衍生密鑰,并利用衍生密鑰對NAF傳輸來的PUSH數(shù)據(jù)進行解密�。UE自身存儲的信息可以為Ks與B-TID的對應關系。查找模塊可以在接收到NAF發(fā)送來的PUSH消息��、且在與網(wǎng)絡側(cè)認證成功后�,從NAF傳輸來的消息中獲得B-TID,并判斷該B-TID是否與其自身存儲的信息匹配��,從而在多個NAF與同一個UE實現(xiàn)GBA PUSH的情況下��,避免了后續(xù)其他NAF實現(xiàn)GBA PUSH過程中�,UE根據(jù)IK和CK計算Ks的過程,節(jié)約了UE的處理資源�,最終提高了UE的性能。具體如上述方法中的描述����。
本發(fā)明提供的基于通用引導構(gòu)架實現(xiàn)推送功能的系統(tǒng)主要包括BSF和NAF。其中BSF中設置有獲取認證信息模塊����、返回認證信息模塊。
獲取認證信息模塊主要用于獲取UE與網(wǎng)絡側(cè)認證的認證信息�,如獲取認證信息AUTN等。獲取認證信息模塊可以在BSF保存引導會話過程參數(shù)的同時保存認證信息如AUTN�����,具體如上述方法中的描述�。
返回認證信息模塊主要用于將獲取認證信息模塊獲取到的認證信息無條件返回給任一需要向該UE實現(xiàn)推送的NAF。返回認證信息模塊可以將認證信息��、B-TID�����、Ks_NAF�����、密鑰有效期����、USS通過密鑰請求消息的響應消息返回給發(fā)送密鑰請求消息的NAF���。這樣,接收到認證信息的NAF將其接收到的認證信息發(fā)送至UE�,使UE完成網(wǎng)絡認證及數(shù)據(jù)解密過程。從而在多個NAF與同一個UE實現(xiàn)GBA PUSH的情況下����,避免了后續(xù)其他NAF與同一個UE實現(xiàn)GBAPUSH過程中,UE不能夠進行網(wǎng)絡側(cè)認證的現(xiàn)象�。具體如上述方法中的描述。
本發(fā)明提供的BSF如上述系統(tǒng)中的描述���,在此不再重復描述�。
雖然通過實施例描繪了本發(fā)明����,本領域普通技術人員知道,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神�����,本發(fā)明的申請文件的權利要求包括這些變形和變化���。
權利要求
1.一種基于通用引導構(gòu)架實現(xiàn)推送功能的方法��,其特征在于��,包括步驟a��、啟動引導服務器功能實體BSF將認證信息傳輸至網(wǎng)絡應用功能實體NAF��。b���、所述NAF對數(shù)據(jù)進行加密,并傳輸至用戶設備UE��;c����、UE在與網(wǎng)絡側(cè)認證成功后,查找其與BSF之間的引導會話過程標識對應的基本密鑰�,并利用該基本密鑰計算衍生密鑰,實現(xiàn)數(shù)據(jù)解密��。
2.如權利要求1所述的方法�����,其特征在于����,所述步驟c具體包括UE根據(jù)NAF傳輸來的信息確定其與所述BSF之間的引導事務標識B-TID����,并在其自身存儲的B-TID與基本密鑰的對應關系信息中查找該B-TID對應的基本密鑰��;UE在查找到對應的基本密鑰后�����,利用該基本密鑰計算衍生密鑰���,并利用計算出的衍生密鑰實現(xiàn)數(shù)據(jù)解密��。
3.如權利要求2所述的方法�,其特征在于�����,所述步驟c還包括UE在其自身存儲的信息中沒有查找到對應的基本密鑰時���,根據(jù)完整性密鑰IK和加密密鑰CK計算基本密鑰����,并利用該計算出的基本密鑰計算衍生密鑰,最后�����,利用計算出的衍生密鑰實現(xiàn)數(shù)據(jù)解密���。
4.如權利要求1所述的方法����,其特征在于����,所述步驟a包括A�、BSF獲取UE與網(wǎng)絡側(cè)認證的認證信息;B�、BSF將所述認證信息無條件返回給任一需要向所述UE實現(xiàn)推送的NAF。
5.如權利要求4所述的方法���,其特征在于����,所述步驟a包括BSF在判斷出其與UE之間不存在引導會話過程后�����,從HSS處獲取鑒權矢量信息,創(chuàng)建并存儲引導會話過程參數(shù)信息���;BSF從所述信息中獲取并存儲認證信息��。
6.如權利要求5所述的方法��,其特征在于�,所述步驟a包括BSF在判斷出其與所述UE之間存在引導會話過程后�����,從其存儲的信息中獲取認證信息�����。
7.如權利要求4或5或6所述的方法���,其特征在于�����,所述認證信息為鑒權序號AUTN�,或者所述認證信息為AUTN和隨機數(shù)RAND。
8.一種基于通用引導構(gòu)架實現(xiàn)推送功能的方法��,其特征在于�,包括步驟A、BSF獲取UE與網(wǎng)絡側(cè)認證的認證信息����;B、BSF將所述認證信息無條件返回給任一需要向所述UE實現(xiàn)推送的NAF�;C、NAF將其接收到的認證信息發(fā)送至UE����。
9.一種基于通用引導構(gòu)架實現(xiàn)推送功能的用戶設備����,其特征在于,所述用戶設備UE中設置有查找模塊�;查找模塊用于在UE與網(wǎng)絡側(cè)認證成功后,查找UE與BSF之間的引導會話過程標識對應的基本密鑰����,并觸發(fā)UE根據(jù)該基本密鑰計算衍生密鑰,實現(xiàn)數(shù)據(jù)解密��。
10.一種啟動引導服務器功能實體設備,其特征在于����,BSF中設置有獲取認證信息模塊和返回認證信息模塊;獲取認證信息模塊用于獲取UE與網(wǎng)絡側(cè)認證的認證信息����;返回認證信息模塊用于將獲取認證信息模塊獲取到的所述認證信息無條件返回給NAF。
11.一種基于通用引導構(gòu)架實現(xiàn)推送功能的系統(tǒng)�,包括BSF和NAF,其特征在于�����,所述BSF中設置有獲取認證信息模塊和返回認證信息模塊����;獲取認證信息模塊用于獲取UE與網(wǎng)絡側(cè)認證的認證信息;返回認證信息模塊用于將獲取認證信息模塊獲取到的所述認證信息無條件返回給NAF����;NAF將其接收到的認證信息發(fā)送至UE。
全文摘要
本發(fā)明提供一種基于通用引導構(gòu)架實現(xiàn)推送功能的方法��、設備和系統(tǒng),本發(fā)明中的UE在與網(wǎng)絡側(cè)認證成功后����,查找其與所述BSF之間的引導會話過程標識對應的基本密鑰,并根據(jù)查找到的基本密鑰實現(xiàn)數(shù)據(jù)解密過程�����。本發(fā)明中的BSF獲取UE與網(wǎng)絡側(cè)的認證信息�����,并將獲取到的認證信息無條件返回給任一需要向UE實現(xiàn)推送的NAF�����,接收到認證信息的NAF在判斷出UE不存在引導會話過程時��,將認證信息發(fā)送至UE��,使UE完成網(wǎng)絡認證及數(shù)據(jù)解密過程��;這樣�,在多個NAF與同一個UE實現(xiàn)GBA PUSH時�,避免了UE為每個NAF均計算基本密鑰的過程,提高了UE性能,而且���,避免了UE不能夠?qū)崿F(xiàn)網(wǎng)絡側(cè)認證的問題�����;從而實現(xiàn)了完善推送功能技術方案的目的�。
文檔編號H04Q7/22GK101087261SQ20061008311
公開日2007年12月12日 申請日期2006年6月5日 優(yōu)先權日2006年6月5日
發(fā)明者何承東, 嚴軍 申請人:華為技術有限公司