專利名稱:基于ims的多媒體廣播和多播服務(mbms)中的安全密鑰管理的制作方法
技術領域:
一般來說,本發(fā)明涉及通信網絡�,并且具體來說,涉及用于管理基于IP多媒體子系統(tǒng)(IMS)的多媒體廣播/多播服務(MBMS)用戶服務中的共享安全密鑰的系統(tǒng)����、方法和網絡節(jié)點。
背景技術:
在若干第三代合作伙伴項目(3GPP)技術規(guī)范中描述與本發(fā)明相關的現(xiàn)有規(guī)程����。 它們包括-3GPP TS 33. 220 v8. 5. 0 Technical Specification Group Services and System Aspects (技術規(guī)范組月艮務禾口系統(tǒng)方面);Generic Authentication Architecture(GAA) �����;Generic bootstrapping architecture ( —1 ^(GAA) ����;—Μ 引導架構(GBA))(發(fā)布版8);-3GPP TS 33. 222 v8. 0. 0 Technical Specification Group Services and System Aspects (技術規(guī)范組月艮務禾口系統(tǒng)方面)��;Generic Authentication Architecture (GAA) ;Access to network application functions using Hypertext Transfer Protocol over Transport Layer Security (HTTPS)(—般鑒權架構(GAA)���;使用超文本傳輸協(xié)議在傳輸層安全性(HTTPQ上接入網絡應用功能)(發(fā)布版8)���;-3GPP TS 33. 246 v8.2.0 Technical Specification Group Services and System Aspects (技術規(guī)范組服務和系統(tǒng)方面);3G Security ���;Security of Multimedia Broadcast/Multicast Service (MBMS) (3G安全性���;多媒體廣播/多播業(yè)務(MBMS)的安全性)(發(fā)布版8)��;以及-3GPP TS 26. 237 v8. 0. 0 Technical Specification Group Services and System Aspects (技術規(guī)范組服務和系統(tǒng)方面)����;IP Multimedia Subsystem (IMS) based Packet Switched Streaming (PSS) and Multimedia Broadcast/Multicast Service (MBMS) User Service ;ftx)tocols (基于IP多媒體子系統(tǒng)(IMS)的分組交換流動(PSS)和多媒體廣播/多播業(yè)務(MBMS)用戶服務�;協(xié)議)(發(fā)布版8)。圖1是來自TS 33.222的高級參考模型��,示出使用引導服務的網絡應用功能 (NAF)���。網絡實體在3GPP TS 33. 220中定義���,3GPP TS 33. 220規(guī)定通用引導架構(GBA)����,其中移動通信裝置(例如���,用戶設備(UE)Il)和引導服務器功能性(BSF) 12通過證參考點來運行HTTP digest AKA�,并且因此建立共享密鑰Ks�。共享密鑰Ks稍后用于得出NAF特定密鑰(稱作Ks_NAF密鑰),以便保密UE與NAF 13之間通過Ua參考點的通信����。NAF通過Si 參考點來取回NAF特定密鑰。
3GPP TS 33. 222條款6規(guī)定NAF 13中的認證代理(AP)的使用�����。AP與TS 33. 220 中規(guī)定的GBA架構兼容�。當AP用于這種架構時,AP通過充當NAF來減輕(relieve)應用服務器(AQ的安全任務�����。圖2是來自TS 33. 222的高級參考模型����,示出認證代理(AP) 15的環(huán)境和參考點���。 TS 33. 222假定UE 11與NAF 13中的AP 15之間的使用傳輸層安全性(TLS)。當HTTPS請求預計送往AP之后的應用服務器(AS)16a-16n時�����,AP端接TLS隧道17�����,從BSF 12取回NAF 密鑰(Ks_NAF)��,并且執(zhí)行UE認證�。AP作為代理將從UE接收的HTTP請求送往一個或多個 AS�����。當AP將請求從UE轉發(fā)給AS時���,AP可添加訂戶識別碼的斷言����,供AS使用。TS 33. 222中為NAF密鑰的使用定義的規(guī)程的問題在于����,UE 11和AS 16a_16n 沒有共享任何密鑰資料,即使可能存在會需要這種共享密鑰資料的情況����。AP 15充當TS 33. 222中的NAF 13。因此���,NAF密鑰(Ks_NAF)按照TS 33. 220中規(guī)定的密鑰推導規(guī)則是 AP特定的���,并且是UE不知道的。圖3是來自TS沈.237的高級參考模型�����,示出用于密鑰共享的當前解決方案���。NAF 密鑰與AS配合使用的上面定義的這個問題也可適用于TS沈.237中定義的網絡實體�。在這種情況下����,服務控制功能(SCF) 21充當NAF/AP的修改變體(并且因而標記為SCF/NAF)���, 并且MBMS廣播/多播服務中心出1^0 22充當六5(并且因而標記為81^(/^5)。與圖2的 AS相似����,BM-SC/AS需要與UE 11的共享密鑰,以便能夠通過單播或廣播信道將受保護MIKEY 密鑰管理消息從BM-SC/AS直接發(fā)送到UE�����。應當注意�����,TS 26. 237沒有提到與TS 33. 222的AP 15和AS 16的這種類比�����。TS 26. 237中的設定與TS 33. 222中不是精確相同的�;例如�,不一定使用UE 11與SCF 21之間的TLS隧道。但是��,類似問題仍然保持不變��。在TS沈.237中,引入了一種解決方案���,其中SCF 21將它自己的NAF密鑰(Ks_ NAF)發(fā)送到BM-SC 22�。BM-SC使用Ks_NAF作為MUK (MBMS用戶密鑰)��,這用于保護從BM-SC 到UE 11的MIKEY密鑰管理消息�。圖3的步驟1-6按照當前GBA規(guī)范,而步驟7描述向 BM-SC發(fā)送Ks_NAF以及訂戶的被斷言識別碼���。只要僅一個BM-SC 22連接到SCF 21 (并且只要SCF能夠假定對BM-SC的足夠置信���,使得BM-SC不會誤用SCF特定NAF密鑰),則TS 26. 237中的當前解決方案正常工作����。 當兩個或更多BM-SC附連到SCF時,則出現(xiàn)問題��。這是因為�,按照當前解決方案,SCF將它自己的Ks_NAF發(fā)送到BM-SC��,并且因此SCF會將同一 Ks_NAF發(fā)送到所有連接的BM-SC����。將同一密鑰給予若干節(jié)點不是良好的安全實踐���。這會引起同一 Ks_NAF密鑰在UE 11與所有相關聯(lián)的BM-SC之間使用的情況。這會揭開諸如BM-SC對UE相互模仿的威脅�����。圖4是示出在現(xiàn)有基于IMS的MBMS登記過程期間在多種網絡實體之間發(fā)送的消息的消息流程圖�。該圖基于如下前提按照3GPP TS 33. 203向IMS登記和認證了 UE 11 ; UE與服務調度功能(SSF)(未示出)進行了通信并且接收到如3GPP TS沈.237定義的可用服務的列表����;UE如3GPP TS 33. 220所定義運行了與BSF 12的GBA引導;以及網絡接口采用3GPP TS 33. 210中定義的網絡域安全性(NDS/IP)來保護�。該過程如下,其中僅示出關于安全性過程的相關信息�。UE 11經由IP多媒體核心網絡(IM CN)子系統(tǒng)32向SCF 21發(fā)送SIP INVITE消息31。INVITE消息在請求URI中指示“SCF”���,并且該消息在XML文檔的SIP消息主體中包含UE希望登記的被請求MBMS用戶服務的識別碼(userServicelds)�����。XML文檔與用于TS 33. 246中的MBMS登記的相同���,并且在 TS沈.346中規(guī)定。另外���,存在攜帶引導事務標識符(B-TID)的XML文檔�。攜帶B-TID的 XML文檔在3GPP TS 26. 237的附錄I中定義�。SCF 21從SIP INVITE消息31的報頭接收UE 11的IP地址和UE的一個或多個被斷言識別碼。SCF基于存儲的預訂信息來執(zhí)行檢查��,以便確定是否授權UE訪問被請求MBMS 用戶服務�。如果UE經過授權,則該過程繼續(xù)進行��;如果未經授權�,則該過程終止。如果不存在對該UE存儲的B-TID�����,或者如果接收的B-TID與對該UE存儲的不同����,則SCF 21在33和 34通過Si參考點來運行與BSF 12的GBA使用過程,以便取回與UE對應的NAF密鑰,如TS 33. 220所定義����。SCF從NAF密鑰得出MBMS用戶密鑰(MUK),如TS 33. 246所定義�。SCF 21 向 BM-SC 22 發(fā)送 HTTP POST 消息;35����。SCF 按如下所述裝載 HTTP POST 消息-HTTP版本將為1. 1,這在RFC 2616中規(guī)定����;-請求URI的基部(base)將包含完整BM-SC密鑰管理URI(例如http://bmsc. homel. net :1234);-請求URI 將包含設置成“authorized-register”的 URI 參數(shù)“requesttype”����,即, 請求 URI 采取 “/keymanagement ��? requesttype = authorized-register����,,的形式��;-SCF可對請求URI添加附加URI參數(shù);-X-3GPP-Asserted-Identity 報頭��,它包括 UE 的識別碼����;-HTTP 報頭 Content-Type 將是有效載荷的 MIME 類型����,即,“application/ mbms-authorized-register+xml�,,���;-HTTP有效載荷將包含XML文檔�,其中包括UE希望登記的MBMS用戶服務的一個或多個userkrvicelds�、UE的IP地址、MBMS用戶密鑰(MUK)�、和MUK的存在期的列表。有效載荷的XML方案在3GPP TS 26. 237的附錄I中規(guī)定-SCF可對HTTP POST請求添加附加HTTP報頭�����。BM-SC 22接收HTTP POST消息35���,檢驗HTTP POST是有效的�����,并且提取請求供進一步處理�。由于HTTP POST消息來自具有被斷言識別碼的SCF 21,所以BM-SC不需要認證 UE 11�����,因為UE已經由IMS認證�。另外,HTTP POST消息還向BM-SC指示SCF已經授權UE向指示的MBMS用戶服務進行登記���。BM-SC存儲接收的信息��,并且向SCF 21返回HTTP 2000K消息36�。BM-SC將按如下所述來裝載HTTP 2000K消息 -HTTP狀態(tài)行中的HTTP狀態(tài)碼將為200 �����;-HTTP 報頭 Content-Type 將是有效載荷的 MIME 類型�,即,“application/ mbms-register-response+xml�����,,��;-HTTP有效載荷將包含XML文檔��,XML文檔包括其中包含各MBMS用戶服務的一個狀態(tài)碼的列表����。有效載荷的XML方案與用于TS 33. 246中的MBMS登記的相同����,并且在TS 26. 346中規(guī)定。SCF 21接收HTTP 2000K消息36����,并把來自HTTP 2000K消息的XML主體包含到 SIP 2000K消息37中,并且經由IM CN子系統(tǒng)32向UE 11發(fā)送SIP 2000K消息���。BM-SC 22 這時能夠按照TS 33. 246中規(guī)定的過程開始向指示的MBMS用戶服務的UE發(fā)送MIKEY MSK消息(采用MUK來保護)38,MTK消息(采用MSK來保護)39��、和MBMS數(shù)據(jù)(采用MTK來保護)40�。這個過程的問題與以上針對圖3論述的相同��,S卩,不存在當一個以上BM-SC連接到 SCF時提供BM-SC特定NAF密鑰的方式���。如果SCF 21向所有連接的BM-SC發(fā)送同一 Ks_ NAF,則該同一 Ks_NAF密鑰會在UE 11與所有相關聯(lián)BM-SC之間使用�����。這會揭開諸如BM-SC 對UE相互模仿的威脅�。另外�,在MIKEY MSK消息38中不存在足夠信息向UE 11指示哪一個MUK (即,NAF 密鑰)用于保護MIKEY MSK消息���。在MBMS TS 33. 246中�����,NAF-Id和B-TID用于指示這個方面�����;但在TS 26. 237中����,BM-SC 22沒有充當NAF��,并且因此它沒有這種信息。
發(fā)明內容
在本發(fā)明的一個實施例中���,SCF/NAF 21在GBA中如常從BSF 12取回Ks_NAF���。然后,不是SCF/NAF向(一個或多個)BM-SC/AS發(fā)送它自己的Ks_NAF�����,而是SCF/NAF從SCF特定Ks_NAF進行進一步密鑰推導����,以產生BM-SC/AS特定密鑰Ks_AS��。例如����,Ks_AS = KDF (Ks_ NAF, nonce),其中�,nonce (現(xiàn)時)是由SCF/NAF定義的并且是對相關聯(lián)BM-SC/AS特定的值。 CF/NAF向UE 11指示nonce�����,UE 11則進行相同Ks_AS推導。SCF/NAF還向UE指示BM-SC/ AS的識別碼����,使得UE能夠將得出的Ks_AS密鑰與正確BM-SC/AS相關起來。因此����,UE和 BM-SC/AS共享BM-SC/AS特定密鑰。在一個實施例中����,本發(fā)明針對一種在通信網絡中用于管理通信裝置、認證節(jié)點����、以及向通信裝置提供請求服務的選擇的服務節(jié)點之間的共享安全密鑰的方法。該方法包括下列步驟由認證節(jié)點將多個認證節(jié)點標識符與多個服務相關聯(lián)����,其中多個認證節(jié)點標識符標識認證節(jié)點;以及由網絡使預期服務的服務描述對通信裝置可用��,服務描述包括多個認證節(jié)點標識符中與預期服務相關聯(lián)的認證節(jié)點標識符�����,其中認證節(jié)點標識符使通信裝置能夠得出安全密鑰。該方法還包括由認證節(jié)點向網絡中的各服務節(jié)點分配多個認證節(jié)點標識符中的不同認證節(jié)點標識符�����;并且由認證節(jié)點將分配的認證節(jié)點標識符與連接的服務節(jié)點相關聯(lián)���。在從通信裝置接收到預期服務的請求時�����,認證節(jié)點利用與預期服務關聯(lián)的分配的認證節(jié)點標識符來獲得與分配的認證節(jié)點標識符關聯(lián)的連接的服務節(jié)點的安全密鑰��,并且將安全密鑰從認證節(jié)點發(fā)送到關聯(lián)的服務節(jié)點����。因此���,當關聯(lián)的服務節(jié)點向通信裝置發(fā)送采用安全密鑰保護的密鑰管理消息時,通信裝置使用安全密鑰對該消息進行解密和檢驗����。在另一個實施例中,本發(fā)明針對一種在通信網絡中用于管理通信裝置��、認證節(jié)點、 以及向通信裝置提供請求服務的選擇的服務節(jié)點之間的共享安全密鑰的方法��。該方法包括下列步驟由網絡使至少一個服務的服務描述對通信裝置可用����,服務描述包括認證節(jié)點的至少一個標識符,其中各認證節(jié)點標識符與不同服務以及與不同服務節(jié)點相關聯(lián)�����;由通信裝置基于已知信息以及在服務描述中接收的認證節(jié)點標識符中的選擇的一個來得出安全密鑰����,其中選擇的認證節(jié)點標識符與預期服務相關聯(lián);以及將預期服務的請求從通信裝置發(fā)送到認證節(jié)點��,該請求包括事務標識符和預期服務的服務標識符����。該方法還包括在認證節(jié)點中將服務標識符與認證節(jié)點標識符相關聯(lián);由認證節(jié)點利用認證節(jié)點標識符和事務標識符來獲得安全密鑰����;識別與認證節(jié)點標識符關聯(lián)的服務節(jié)點;以及將預期服務的請求消息從認證節(jié)點發(fā)送到識別的服務節(jié)點,該請求消息包括服務標識符��、事務標識符��、安全密鑰和通信裝置的地址��。因此���,當識別的服務節(jié)點向通信裝置發(fā)送采用安全密鑰保護的密鑰管理消息時�����,通信裝置使用安全密鑰對該消息進行解密和檢驗�。在另一個實施例中�����,本發(fā)明針對一種在通信網絡中用于管理通信裝置以及向通信裝置提供服務的服務節(jié)點之間的共享安全密鑰的認證節(jié)點���。該認證節(jié)點包括運行存儲器中存儲的計算機程序指令的處理器,該處理器控制認證節(jié)點的下列組件用于將多個認證節(jié)點標識符與多個服務相關聯(lián)的部件�,其中多個認證節(jié)點標識符標識認證節(jié)點;用于向網絡中的各服務節(jié)點分配多個認證節(jié)點標識符中的不同認證節(jié)點標識符的部件���;用于將分配的認證節(jié)點標識符與連接的服務節(jié)點相關聯(lián)的表����;響應從通信裝置接收到預期服務的請求而利用與預期服務關聯(lián)的分配的認證節(jié)點標識符來獲得與分配的認證節(jié)點標識符關聯(lián)的連接的服務節(jié)點的安全密鑰的部件;以及用于將安全密鑰從認證節(jié)點發(fā)送到關聯(lián)的服務節(jié)點的通信部件�����。網絡使預期服務的服務描述對通信裝置可用��。服務描述包括多個認證節(jié)點標識符中與預期服務關聯(lián)的認證節(jié)點標識符�����,并且通信裝置利用認證節(jié)點標識符來得出安全密鑰�����。因此����,當關聯(lián)的服務節(jié)點向通信裝置發(fā)送采用安全密鑰保護的密鑰管理消息時,通信裝置使用安全密鑰對該消息進行解密和檢驗���。在另一個實施例中���,本發(fā)明針對一種在通信網絡中用于利用共享安全密鑰向通信裝置提供用戶服務的服務節(jié)點���。該服務節(jié)點包括運行存儲器中存儲的計算機程序指令的處理器。該處理器控制服務節(jié)點的下列組件用于從認證節(jié)點獲得認證節(jié)點標識符�����、通信裝置的IP地址�、事務標識符和共享安全密鑰的通信部件,其中事務標識符標識其中通信裝置已經請求服務節(jié)點提供的用戶服務的事務�����;以及用于向通信裝置發(fā)送采用共享安全密鑰保護的密鑰管理消息的通信部件���,密鑰管理消息包括認證節(jié)點標識符和事務標識符����。當通信裝置從服務節(jié)點接收到密鑰管理消息時�,通信裝置從認證節(jié)點標識符和事務標識符來識別共享安全密鑰。當認證節(jié)點向通信裝置提供認證節(jié)點標識符時�����,或者當通信裝置接收服務描述中的認證節(jié)點標識符時�����,通信裝置利用認證節(jié)點標識符來得出共享安全密鑰����,并且使用共享安全密鑰對密鑰管理消息進行解密和檢驗。在另一個實施例中�����,本發(fā)明針對一種在通信網絡中用于管理共享安全密鑰的系統(tǒng)�����。該系統(tǒng)包括通信裝置�;與通信裝置進行通信的認證節(jié)點;以及與認證節(jié)點和通信裝置進行通信的服務節(jié)點���。該認證節(jié)點包括用于將多個認證節(jié)點標識符與多個服務相關聯(lián)的部件�����,其中多個認證節(jié)點標識符標識認證節(jié)點���;用于向服務節(jié)點分配多個認證節(jié)點標識符中的選擇的認證節(jié)點標識符的部件�;用于將分配的認證節(jié)點標識符與連接的服務節(jié)點相關聯(lián)的表�����;響應從通信裝置接收到預期服務的請求而利用與預期服務關聯(lián)的分配的認證節(jié)點標識符來獲得與分配的認證節(jié)點標識符關聯(lián)的連接的服務節(jié)點的安全密鑰的部件�����;以及用于向服務節(jié)點發(fā)送認證節(jié)點標識符����、通信裝置的IP地址、事務標識符和共享安全密鑰的通信部件���,其中事務標識符標識其中通信裝置已經請求服務節(jié)點提供的用戶服務的事務����。該服務節(jié)點包括用于向通信裝置發(fā)送采用共享安全密鑰保護的密鑰管理消息的通信部件���,密鑰管理消息包括認證節(jié)點標識符和事務標識符�。移動通信裝置包括用于從認證節(jié)點標識符和事務標識符來識別共享安全密鑰的部件����;用于接收或者來自認證節(jié)點的或者在從網絡獲得的服務描述中的認證節(jié)點標識符的通信部件��;用于利用認證節(jié)點標識符來得出共享安全密鑰的部件;以及用于使用共享安全密鑰對密鑰管理消息進行解密和檢驗的部件�����。在基于IMS的MBMS和PSS用戶服務中的密鑰分發(fā)的一特定示范實施例中��,本發(fā)明有利地提供一種更安全的系統(tǒng)�,其中UE與多個BM-SC的每個共享不同(特定)的密鑰,而不是與所有涉及的BM-SC共享同一密鑰�。在用于獲得認證代理(AP)情況的AS特定密鑰的相關實施例中,本發(fā)明有利地提供一種實現(xiàn)UE與應用服務器(AQ之間的共享秘密的方式����。 這使得能夠對具有AP的情況開發(fā)新種類的應用。本發(fā)明提供一種更安全的系統(tǒng)����,其中UE 與各AS共享不同(特定)的密鑰,而不是與所有涉及的AS共享同一密鑰�����。
圖1是取自TS 33.222的高級參考模型,示出使用引導服務的網絡應用功能 (NAF)�����;圖2是取自TS 33. 222的高級參考模型�,示出認證代理(AP)的環(huán)境和參考點;圖3是取自TS 26. 237的高級參考模型�����,示出用于密鑰共享的當前解決方案���;圖4是示出在現(xiàn)有基于IMS的MBMS登記過程期間在多種網絡實體之間發(fā)送的消息的消息流程圖�;圖5A-5B是示出在服務描述中向UE指示NAF-Id (SCF分配的FQDN)時在發(fā)明的基于IMS的MBMS登記過程的第一實施例期間在多種網絡實體之間發(fā)送的消息的消息流程圖的部分���;圖6A-6B是示出在SIP 2000K消息中向UE指示NAF-Id (SCF分配的FQDN)時在發(fā)明的基于IMS的MBMS登記過程的第二實施例期間在多種網絡實體之間發(fā)送的消息的消息流程圖的部分��;圖7是示出用于基于IMS的MBMS和PSS用戶服務中的密鑰分發(fā)的發(fā)明系統(tǒng)和方法的一實施例的高級參考模型�����;圖8是示出用于獲得認證代理(AP)情況的AS特定密鑰的發(fā)明系統(tǒng)和方法的一實施例的高級參考模型����;以及圖9是本發(fā)明系統(tǒng)的一示范實施例的簡化框圖。
具體實施例方式存在能夠向UE指示將要在密鑰推導中使用的NAF-Id的兩種方式A)可在服務描述中向UE指示NAF-Id (SCF分配的FQDN)���?��;赨E選擇哪一個服務,UE則將使用對應NAF-Id��。這與MBMS TS 33. 246中的當前過程相似���,但是指示了 BM-SC FQDN0B) SCF可在SIP INVITE過程中向UE指示NAF-Id(SCF分配的FQDN),因為UE在 SIP INVITE過程結束之前不需要使用NAF-Id����。這個備選方案的優(yōu)點在于,SCF能夠在服務請求被接收時向用戶動態(tài)分配BM-SC���。這例如在負荷平衡中可能是有益的�����。圖5A-5B是示出在服務描述中向UE 11指示NAF-Id (SCF分配的FQDN)時(S卩��,上述備選方案A)在發(fā)明的基于IMS的MBMS登記過程期間在多種網絡實體之間發(fā)送的消息的消息流程圖的部分�����。該圖基于如下前提按照3GPP TS 33. 203向IMS登記和認證了 UE ���; SIP過程由3GPP TS 33. 203中定義的IMS安全性來保護����;UE如3GPP TS 33. 220中定義的那樣運行了與BSF 12的GBA引導����;以及網絡接口采用3GPP TS 33. 210定義的網絡域安全性(NDS/IP)來保護。
另外�����,SCF 21已經創(chuàng)建到一個或多個BM-SC 22a,22b的連接�����,BM-SC 22a,22b向 UE提供實際MBMS用戶服務����。與TS 33. 246中定義的、其中BM-SC充當NAF的MBMS安全性不同,SCF代表BM-SC(—個或多個)來充當NAF。BSF 12使用NAF_Id(它包括NAF的FQDN 和Ua安全協(xié)議標識符)作為對NAF密鑰推導的輸入��。為了從BSF得到BM-SC特定NAF密鑰�����,SCF為各BM-SC分配分離的FQDN(從它管理的FQDN空間)�����。SCF例如在表中將這些分配的FQDN本地地關聯(lián)到連接的BM-SC�。由于兩種原因而需要這些分配的分離的FQDN。首先�,SCF 21不能使用同一(例如���, 它自己的)FQDN,因為兩個BM-SC則會得到同一 NAF密鑰�����,這可能危及系統(tǒng)的安全性���。其次, SCF不能使用BM-SC的FQDN���,因為BSF 12將進行檢查以確定NAF是否有權使用NAF提供的 NAF-Id0作為一個示例����,SCF可按如下方式為BM-SC_1 2 和BM_SC_2 22b分配NAF-Id:NAF-Id_l(FQDN)< = >BM_SC1(FQDN)NAF-Id_2(FQDN)< = >BM_SC2(FQDN)其中,例如����,NAF_Id_l 可以是 serverL scf. operatorA. com,而 BM-SCl 可以是 bmscl23. operatorB. com。參照圖5A�����,在GBA引導過程42之后����,執(zhí)行服務描述檢索過程43。UE 11與SSF 41 進行通信���,并且檢索服務描述44��,S卩�,可用服務及其參數(shù)(例如���,服務保護描述)的列表�。服務保護描述與TS 33. 246中定義的相似,除了包含SCF分配的FQDN而不是BM-SC FQDN之外����。假定在這里還需要SCF 21的FQDN,使得UE知道將SIP INVITE消息47發(fā)送到什么位置�����。在45�,用戶從服務描述來選擇服務,并且得出與服務描述中對選擇的服務指示的 NAF-Id對應的NAF密鑰�����。備選地����,NAF密鑰推導可在SIP INVITE過程46之后執(zhí)行����。UE 11經由IM CN子系統(tǒng)32向SCF 21發(fā)送SIP INVITE消息47。INVITE消息在請求URI中指示SCF��,并且該消息在XML文檔的SIP消息主體中包含UE希望登記的被請求 MBMS用戶服務的識別碼(userServicelds)���。XML文檔與用于TS 33. 246中的MBMS登記的相同���,并且在TS沈.346中規(guī)定���。另外,存在攜帶引導事務標識符(B-TID)的XML文檔�。攜帶B-TID的XML文檔在3GPP TS 26. 237的附錄I中定義。SCF 21從SIP INVITE消息47的報頭接收UE 11的IP地址和UE的被斷言識別碼(一個或多個)����。SCF基于存儲的預訂信息來執(zhí)行檢查,以便確定是否授權UE訪問被請求MBMS用戶服務��。如果是的話���,則該過程繼續(xù)進行����。如果不是的話�����,則該過程終止���。參照圖5B����,如果不存在對該UE存儲的B-TID�����,或者如果接收的B-TID與對該UE存儲的不同,則SCF通過Si參考點來運行與BSF 12的GBA使用過程48���,以便取回與UE對應的NAF密鑰��,如TS 33. 220定義的����。SCF向BSF發(fā)送授權請求消息49�����,并且包括在服務描述中對這個服務指示的NAF-Id����。BSF在50使用NAF-Id來得出NAF密鑰��,并且然后在授權響應消息51中返回NAF密鑰。然后��,SCF從NAF密鑰得出MUK��,如TS 33. 246定義的��。應當注意�����,新fe安全協(xié)議在3GPP TS 33. 220中為此需要登記��。然后���,在HTTP登記過程52中��,SCF 21向BM-SC (在所示情況下�����,向BM_SC_1 22a) 發(fā)送HTTP POST消息53����。SCF按如下所述裝載HTTP POST消息-HTTP版本將為1. 1���,這在RFC 2616中規(guī)定����;-請求URI的基部將包含完整BM-SC密鑰管理URI(例如http://bmsc. homel. net 1234);-請求 URI 將包含設置成“authorized-register”的 URI 參數(shù)“requesttype”��,即���, 請求 URI 采取 “/keymanagement �? requesttype = authorized-register��,���,的形式���;
-SCF可對請求URI添加附加URI參數(shù);-X-3GPP-Asserted-Identity 報頭�����,它包括 UE 的識別碼��;-HTTP 報頭 Content-Type 將是有效載荷的 MIME 類型,即����,“application/ mbms-authorized-register+xml���,�����,�;-HTTP有效載荷將包含XML文檔��,其中包括UE希望登記的MBMS用戶服務的一個或多個 userServicelds, UE 的 IP 地址����、MBMS 用戶密鑰(MUK)以及 MUK、NAF-IcU B-TID 的存在期的列表��。包含NAF-Id和B-TID����,因為它們還包含在從BM-SC到UE的MIKEY消息中以標識使用哪一個MUK ( BP, NAF密鑰)。有效載荷的XML方案在3GPP TS 26. 237的附錄I 中規(guī)定��。-SCF可對HTTP POST請求消息添加附加HTTP報頭��。BM-SC_1 2 接收HTTP POST消息53,檢驗HTTP POST消息是有效的�,并且提取請求供進一步處理。由于HTTP POST消息來自具有被斷言識別碼的SCF 21���,所以BM-SC_lF 需要認證UE 11�,因為UE已經由IMS認證���。另外��,HTTP POST消息還向BM_SC_1指示SCF已經授權UE向指示的MBMS用戶服務進行登記��。BM-SC_1存儲接收的信息�����,并且向SCF 21返回HTTP 2000K消息54�。BM_SC_1將按如下所述來裝載HTTP 2000K消息-HTTP狀態(tài)行中的HTTP狀態(tài)碼將為200 ����;-HTTP 報頭 Content-Type 將是有效載荷的 MIME 類型,即�,“application/ mbms-register-response+xml,,���;-HTTP有效載荷將包含XML文檔�����,XML文檔包括其中包含各MBMS用戶服務的一個狀態(tài)碼的列表。有效載荷的XML方案與用于TS 33. 246中的MBMS登記的相同�����,并且在TS 26. 346中規(guī)定��。SCF 21接收HTTP 2000K消息54����,把來自HTTP 2000K消息的XML主體包含到SIP 2000K消息55中,并且經由IM CN子系統(tǒng)32向UE 11發(fā)送SIP 2000K消息��。在MIKEY MSK 過程56中�,BM-SC_1 22a這時能夠按照TS 33. 246中規(guī)定的過程開始向指示的MBMS用戶服務的UE發(fā)送MIKEY MSK消息(采用MUK來保護)57、MTK消息(采用MSK來保護)58和 MBMS數(shù)據(jù)(采用MTK來保護)59��。在MIKEY MSK消息57中����,BM-SC將使用在HTTP POST消息 53 中從 SCF 21 接收的 NAF-Id(FQDN)和 B-TID0圖6A-6B是示出在SIP 2000K消息中向UE 11指示NAF-Id (SCF分配的FQDN)時 (即�,上述備選方案B)在發(fā)明的基于IMS的MBMS登記過程的一實施例期間在多種網絡實體之間發(fā)送的消息的消息流程圖的部分�。如以上對于圖5A-5B所述的相同前提適用。參照圖6A�����,在GBA引導過程42之后��,執(zhí)行服務檢索過程43����。UE 11與SSF 41進行通信,并且檢索服務描述62���,S卩�,可用服務及其參數(shù)(例如�,服務保護描述)的列表。服務保護描述與TS 33. 246中定義的相似���,除了包含的FQDN指向SCF 21而不是BM-SC FQDN之外����。假定在這里還需要SCF 21的FQDN,使得UE知道將SIP INVITE消息47發(fā)送到什么位置����。然后,用戶從服務描述來選擇服務��。
在SIP INVITE 過程 63 中�,UE 11 經由 IM CN 子系統(tǒng) 32 向 SCF 21 發(fā)送 SIP INVITE 消息64。INVITE消息在請求URI中指示SCF�,并且該消息在XML文檔的SIP消息主體中包含UE希望登記的被請求MBMS用戶服務的識別碼(userServicelds)�。XML文檔與用于TS 33. 246中的MBMS登記的相同,并且在TS 26. 346中規(guī)定�����。另外��,存在攜帶引導事務標識符 (B-TID)的XML文檔�����。攜帶B-TID的XML文檔在3GPP TS 26. 237的附錄I中定義�����。SCF 21從SIP INVITE消息64的報頭接收UE 11的IP地址和UE的被斷言識別碼(一個或多個)。SCF基于存儲的預訂信息來執(zhí)行檢查����,以便確定是否授權UE訪問被請求MBMS用戶服務。如果是的話���,則該過程繼續(xù)進行���。如果不是的話,則該過程終止���。參照圖6B��,如果不存在對該UE存儲的B-TID���,或者如果接收的B-TID與對該UE存儲的不同,則SCF通過Si參考點來運行與BSF 12的GBA使用過程65����,以便取回與UE對應的NAF密鑰,如TS 33. 220定義的��。SCF向BSF發(fā)送授權請求消息66����,并且包括SCF為這個服務已經分配的NAF-Id�。BSF在67使用NAF-Id來得出NAF密鑰��,并且然后在授權響應消息68中返回NAF密鑰�����。然后�,SCF從NAF密鑰得出MUK JBTS 33.246定義的。應當注意����, 新Ua安全協(xié)議在3GPP TS 33. 220中為此需要登記。然后�,在HTTP登記過程69中�����,SCF 21向BM-SC (在所示情況下����,向BM_SC_1 22a) 發(fā)送HTTP POST消息70。SCF按如下所述裝載HTTP POST消息-HTTP版本將為1. 1���,這在RFC 2616中規(guī)定�����;-請求URI的基部將包含完整BM-SC密鑰管理URI(例如http://bmsc. homel. net 1234)�;-請求URI 將包含設置成“authorized-register”的 URI 參數(shù)“requesttype”,即���, 請求 URI 采取 “/keymanagement �? requesttype = authorized-register����,,的形式���;
-SCF可對請求URI添加附加URI參數(shù)�;-X-3GPP-Asserted-Identity 報頭�����,它包括 UE 的識別碼��;-HTTP 報頭 Content-Type 將是有效載荷的 MIME 類型�,即����,“application/ mbms-authorized-register+xml����,,���;-HTTP有效載荷將包含XML文檔��,其中包括UE希望登記的MBMS用戶服務的一個或多個 usei^erviceIds��、UE 的 IP 地址���、MBMS 用戶密鑰(MUK)以及 MUK、NAF_Id 和 B-TID 的存在期的列表�����。包含NAF-Id和B-TID���,因為它們還包含在從BM-SC到UE的MIKEY消息中以標識使用哪一個MUK (即,NAF密鑰)�。有效載荷的XML方案在3GPP TS 26. 237的附錄I中規(guī)定�。-SCF可對HTTP POST請求消息添加附加HTTP報頭��。BM-SC_1 2 接收HTTP POST消息70���,檢驗HTTP POST消息是有效的����,并且提取請求供進一步處理����。由于HTTP POST消息來自具有被斷言識別碼的SCF 21,所以BM-SC_lF 需要認證UE 11����,因為UE已經由IMS認證。另外���,HTTP POST消息還向BM_SC_1指示SCF已經授權UE向指示的MBMS用戶服務進行登記��。BM-SC_1存儲接收的信息�����,并且向SCF 21返回HTTP 2000K消息71��。BM_SC_1將按如下所述來裝載HTTP 2000K消息-HTTP狀態(tài)行中的HTTP狀態(tài)碼將為200 �;-HTTP 報頭 Content-Type 將是有效載荷的 MIME 類型,即�,“application/mbms-register-response+xml,���,��;-HTTP有效載荷將包含XML文檔���,XML文檔包括其中包含各MBMS用戶服務的一個狀態(tài)碼的列表。有效載荷的XML方案與用于TS 33. 246中的MBMS登記的相同�,并且在TS 26. 346中規(guī)定。SCF 21接收HTTP 2000K消息71�,把來自HTTP 2000K消息的XML主體以及使用的 NAF-Id包含到SIP 2000K消息72中,并且經由IM CN子系統(tǒng)32向UE 11發(fā)送SIP 2000K 消息�����。當UE接收SIP 2000K消息時�����,UE在73使用接收的NAF-Id來得出與服務對應的NAF 密鑰��,并且得出MUK, iW TS 33. 246中定義��。在MIKEY MSK過程74中�����,BM_SC_1 22a這時能夠按照TS 33. 246中規(guī)定的過程開始向指示的MBMS用戶服務的UE發(fā)送MIKEY MSK消息(采用MUK來保護)75�、MTK消息(采用MSK來保護)76和MBMS數(shù)據(jù)(采用MTK來保護)77。在MIKEY MSK消息75中���,BM-SC將使用在HTTP POST消息70中從SCF 21接收的NAF-Id(FQDN)和B-TID0圖7是示出用于基于IMS的MBMS和PSS用戶服務中的密鑰分發(fā)的發(fā)明系統(tǒng)和方法的第一實施例的高級參考模型���。在步驟1,UE 11和BSF 12運行GBA引導過程���,如TS 33. 220中定義�。結果是密鑰Ks和B-TID��。在步驟2��,UE得出NAF特定密鑰材料(Ks_NAF)��, 如TS 33. 220中定義。在步驟3�����,UE通過向SCF 21 (它充當NAF)發(fā)送SIP INVITE消息(包含B-TID)�����,來發(fā)起會話初始協(xié)議(SIP)會話�����。在步驟4��,SCF使用B-TID從BSF請求Ks_NAF�����。 在步驟5��,BSF得出NAF特定密鑰材料(Ks_NAF)�,如TS 33. 220中定義。在步驟6��,BSF向 SCF 發(fā)送 Ks_NAF���。在新步驟6b���,SCF 21確定哪一個BS-SC應當接收該請求。這個信息可從UE的請求獲得��,或者SCF可基于其本地策略來進行本地判定���。SCF使用密鑰推導函數(shù)(例如,Ks_ AS = KDF(Ks_NAF,nonce))從 Ks_NAF 和 nonce 來得出 BM-SC 特定密鑰 Ks_AS���。nonce 可以是例如BM-SC的識別碼�,例如完全合格域名(FQDN)�、由SCF選擇的(偽)隨機值或者作為 nonce可使用的另外某個值。在步驟7�����,SCF 21在HTTP請求中向識別的BM-SC 22a發(fā)送Ks_AS以及BM-SC的識別碼(例如���,F(xiàn)QDN)�。CR S4-090148中規(guī)定的其它信息也可在請求中發(fā)送(但Ks_NAF由Ks_ AS取代)�。應當注意����,將BM-SC 22a的B-TID和FQDN發(fā)送到BM-SC,使得BM-SC能夠將其包含在送往UE 11的MIKEY消息的ID有效載荷中����。UE將使用它們來識別正確MUK、即Ks_ AS��。將FQDN從SCF發(fā)送到BM-SC使得有可能令BM-SC通過不同F(xiàn)QDN對UE和SCF是已知的����。因此,需要確保BM-SC向UE發(fā)送BM-SC從SCF接收到的相同F(xiàn)QDN��。在步驟8���,BM-SC 22a存儲信息���,并且以SIP 2000K消息向SCF 21確認HTTP請求。 在步驟9���,SCF向UE 11發(fā)送SIP 2000K消息���。2000K消息包括nonce和BM-SC的識別碼��。 如果FQDN用作nonce��,則這兩者可以是相同值���。在步驟9b,UE使用密鑰推導函數(shù)(例如���, Ks_AS = KDF (Ks_NAF, nonce))從 Ks_NAF 和 nonce 來得出 BM-SC 特定密鑰 Ks_AS。UE 存儲密鑰Ks_AS連同BM-SC識別碼���。最后��,在步驟10�����,BM-SC 22a向UE發(fā)送采用作為MUK的Ks_ AS保護的MIKEY密鑰管理消息(參見TS 33.246)��。BM-SC把從SCF 21接收的BM_SC FQDN 和B-TID包含在MIKEY消息的ID有效載荷中�����。UE 11則能夠使用Ks_AS對消息進行解密和檢驗���。UE使用MIKEY消息的ID有效載荷來識別正確MUK ( S卩����,Ks_AS)��。圖8是示出用于獲得認證代理(AP)情況的AS特定密鑰的發(fā)明系統(tǒng)和方法的第二實施例的高級參考模型�。這個實施例預計針對若干AS 16a和16b可駐留在AP 15之后的一般AP-AS情況。TLS隧道可在UE 11與AP 15之間建立��,但是該隧道與本發(fā)明不相關���。在步驟1��,UE 11和BSF 12運行GBA引導過程����,如TS 33. 220中定義�����。結果是密鑰 Ks和B-TID���。在步驟2����,UE得出NAF特定密鑰材料(Ks_NAF),如TS 33. 220中定義���。在步驟3��,UE向AP (它充當NAF)發(fā)送HTTP請求(包含B-TID)��。在步驟4����,AP使用B-TID向BSF 請求Ks_NAF��。在步驟5����,BSF得出NAF特定密鑰材料(Ks_NAF)�,如TS 33. 220中定義。在步驟 6�,BSF 向 AP 發(fā)送 Ks_NAF。在新步驟6b���,AP 15確定哪一個AS應當接收該請求��。這個信息可從UE的請求獲得�����,或者AP可基于其本地策略來進行本地判定�。AP使用密鑰推導函數(shù)(例如,Ks_AS = KDF (Ks_NAF, nonce))從 Ks_NAF 和 nonce 來得出 AP 特定密鑰 Ks_AS�。nonce 可以是例如 AS 的識別碼,例如是FQDN�、由AP選擇的(偽)隨機值或者作為nonce可使用的另外某個值。在步驟7����,AP 15在HTTP請求中向識別的AS 16a發(fā)送Ks_AS以及AS的識別碼(例如FQDN)。應當注意�����,AP需要向AS發(fā)送AS的FQDN��,因為AS可通過不同F(xiàn)QDN而對UE 11和 AP 15是已知的��。UE可使用FQDN來識別正確Ks_AS�。因此,需要確保將同一 FQDN從AP發(fā)送到AS以及從AS發(fā)送到UE。在步驟8�,AS 16a存儲信息,并且以SIP 2000K消息向AP 15確認HTTP請求�����。在步驟9��,AP向UE 11發(fā)送SIP 2000K消息��。2000K消息包括nonce和BM-SC的識別碼�。如果 FQDN用作nonce,則這兩者可以是相同值�����。在步驟9b�����,UE使用密鑰推導函數(shù)(例如��,Ks_AS =KDF (Ks_NAF, nonce))從Ks_NAF和nonce來得出AS特定密鑰Ks_AS�����。然后�����,UE存儲密鑰 Ks_AS連同AS識別碼����。最后,在步驟10�����,AS 16a向UE發(fā)送采用Ks_AS保護的消息���。UE 11 則能夠使用Ks_AS對消息進行解密和檢驗����。UE使用AS識別碼來識別正確Ks_AS�����。圖9是本發(fā)明系統(tǒng)的一示范實施例的簡化框圖�����。該系統(tǒng)包括UE 11、SCF 21����、BSF 12和BM-SC_1 22a。這些單元的每個的操作例如可由運行存儲器上存儲的計算機程序指令的處理器來控制�。在圖9所示的示范實施例中,UE包括處理器81和存儲器82 �����;SCF包括處理器83和存儲器84 ����;BSF包括處理器85和存儲器86 ;以及BM_SC_1包括處理器87和存儲器88���。UE 11還示為包括Ks_NAF推導單元91��。在圖6所示的實施例中�����,UE接收來自SSF 41的服務描述中的NAF-Id(SCF分配的FQDN),并且在開始SIP INVITE過程46之前得出Ks_ NAF�����。在圖7所示的實施例中,UE接收SIP 2000K消息72中的NAF-Id��,并且然后得出Ks_ NAF�����。UE 11 經由 IM CN 32 向 SCF 21 發(fā)送 SIP INVITE 消息����。該消息在 SIP INVITE 通信單元92中接收。SIP INVITE通信單元把來自INVITE消息的userServiceld和B-TID 轉發(fā)給服務-NAF-Id映射單元93����,它將usei^erviceld映射到NAF_Id_l。將NAF_Id_l和 B-TID轉發(fā)給GBA使用通信單元94��,GBA使用通信單元94將這些參數(shù)轉發(fā)給BSF 12�。BSF 中的GBA使用通信單元95接收參數(shù),并且將其轉發(fā)給Ks_NAF推導單元96���,Ks_NAF推導單元96得出Ks_NAF�����。然后�����,將Ks_NAF返回給SCF�����,其中將它轉發(fā)給HTTP登記通信單元97�。HTTP登記通信單元97向BM-SC_1 2 發(fā)送HTTP POST消息,其中它在HTTP登記通信單元98中被接收��。HTTP POST消息包括userkrviceld����、NAF-Id_l、UE IP地址�����、 B-TID����、MUK( = Ks_NAF)和MUK存在期。BM_SC_1從服務狀態(tài)單元99獲得各MBMS用戶服務的狀態(tài)����,并且在HTTP 2000K消息中將包括各MBMS用戶服務碼的一個狀態(tài)碼的列表連同 userkrviceld—起發(fā)送到SCF 21。SCF將這個信息轉發(fā)給UE 11����。HTTP登記通信單元98 還將信息發(fā)送到 MIKEY MSK 單元 101。信息包括 MSK-Id_l��、NAF-Id_l���、B_TID 和 MUK ( = Ks_ NAF)���。使用這個信息,使MIKEY MSK單元101能夠向UE 11發(fā)送MIKEY MSK消息(采用 MUK來保護)�、MTK消息(采用MSK來保護)和MBMS數(shù)據(jù)(采用MTK來保護),UE采用Ks_ NAF 推導單元 91 得出了 MUK ( = Ks_NAF)���。因此����,本發(fā)明解決了當一個以上BM-SC 22連接到SCF 21時提供BM-SC特定NAF密鑰的問題����。另外���,本發(fā)明解決了在MIKEY消息中不存在足夠信息向UE指示哪一個MUK(即, NAF密鑰)用于保護MIKEY MSK消息的問題���。SCF 21向BM-SC 22發(fā)送B-TID和選擇的 NAF-Id, BM-SC 22在MIKEY消息內部進一步使用它們向UE指示哪一個NAF秘鑰被使用�����。在圖6和圖7所示的實施例中�����,本發(fā)明具有不要求NAF密鑰的進一步推導的附加優(yōu)點�。NAF密鑰的進一步推導要求對GSM和UMTS網絡的移動終端中使用的通用集成電路卡 (UICC)智能卡的變更�。如果基于UICC的密鑰管理正在使用中,則在UICC中處理NAF密鑰����。 這在一些情況下可能成問題,因為一般來說��,UICC影響在標準化中不是合乎需要的����。本發(fā)明的這些實施例避免了這個潛在問題��。本發(fā)明當然可通過除了本文所述之外的其它特定方式來執(zhí)行�,而沒有背離本發(fā)明的本質特性����。因此����,當前實施例在所有方面被認為是說明性而不是限制性的,并且落入所附權利要求的含意和等效范圍之內的所有變更預計包含在其中����。
權利要求
1.一種在通信網絡中用于管理通信裝置、認證節(jié)點����、以及向所述通信裝置提供請求的服務的選擇的服務節(jié)點之間的共享安全密鑰的方法,所述方法包括下列步驟由所述認證節(jié)點將多個認證節(jié)點標識符與多個服務相關聯(lián)�����,其中所述多個認證節(jié)點標識符的每個是不同的���,但標識所述認證節(jié)點��;由所述網絡使所述認證節(jié)點標識符其中之一對所述通信裝置可用����,其中所述認證節(jié)點標識符與預期服務相關聯(lián),并且使所述通信裝置能夠得出安全密鑰�;由所述認證節(jié)點向所述網絡中的各服務節(jié)點分配所述多個認證節(jié)點標識符中的不同的一個;由所述認證節(jié)點將所分配的認證節(jié)點標識符與連接的服務節(jié)點相關聯(lián)���; 在從所述通信裝置接收到所述預期服務的請求時�,由所述認證節(jié)點利用與所述預期服務關聯(lián)的所述分配的認證節(jié)點標識符來獲得與所述分配的認證節(jié)點標識符關聯(lián)的連接的服務節(jié)點的所述安全密鑰�;以及將所述安全密鑰從所述認證節(jié)點發(fā)送到所述關聯(lián)的服務節(jié)點。
2.如權利要求1所述的方法�,其中,使所述認證節(jié)點標識符其中之一對所述通信裝置可用的所述步驟包括由所述網絡使所述預期服務的服務描述對所述通信裝置可用����,所述服務描述包括與所述預期服務關聯(lián)的所述認證節(jié)點標識符。
3.如權利要求1所述的方法��,其中���,當所述關聯(lián)的服務節(jié)點向所述通信裝置發(fā)送采用所述安全密鑰保護的密鑰管理消息時�,所述通信裝置使用所述安全密鑰對所述消息進行解密和檢驗。
4.如權利要求1所述的方法���,其中��,所述通信裝置是移動用戶設備UE�����。
5.如權利要求1所述的方法,其中�����,由所述認證節(jié)點利用與所述預期服務關聯(lián)的所述分配的認證節(jié)點標識符來獲得所述安全密鑰的所述步驟包括下列步驟向引導服務器功能性(BSF)發(fā)送所述分配的認證節(jié)點標識符���;以及請求所述BSF得出并且返回所述安全密鑰�����。
6.如權利要求1所述的方法���,其中,由所述認證節(jié)點利用與所述預期服務關聯(lián)的所述分配的認證節(jié)點標識符來獲得所述安全密鑰的所述步驟包括由所述認證節(jié)點利用所述分配的認證節(jié)點標識符來得出所述安全密鑰�����。
7.—種在通信網絡中用于管理通信裝置、認證節(jié)點���、以及向所述通信裝置提供請求的服務的選擇的服務節(jié)點之間的共享安全密鑰的方法�����,所述方法包括下列步驟由所述網絡使至少一個服務的服務描述對所述通信裝置可用�����,所述服務描述包括所述認證節(jié)點的至少一個標識符�,其中各認證節(jié)點標識符與不同服務以及與不同服務節(jié)點相關聯(lián)�����;由所述通信裝置基于已知信息以及在所述服務描述中接收的所述認證節(jié)點標識符中選擇的一個來得出安全密鑰����,其中所選擇的認證節(jié)點標識符與預期服務相關聯(lián);將所述預期服務的請求從所述通信裝置發(fā)送到所述認證節(jié)點���,所述請求包括事務標識符以及所述預期服務的服務標識符����;在所述認證節(jié)點中將所述服務標識符與認證節(jié)點標識符相關聯(lián); 由所述認證節(jié)點利用所述認證節(jié)點標識符和所述事務標識符來獲得所述安全密鑰�; 識別與所述認證節(jié)點標識符關聯(lián)的所述服務節(jié)點;以及將所述預期服務的請求消息從所述認證節(jié)點發(fā)送到所識別的服務節(jié)點��,所述請求消息包括所述服務標識符�、事務標識符、安全密鑰����、以及所述通信裝置的地址。
8.如權利要求7所述的方法�,其中�,當所述所識別服務節(jié)點向所述通信裝置發(fā)送采用所述安全密鑰保護的密鑰管理消息時,所述通信裝置使用所述安全密鑰對所述消息進行解密和檢驗����。
9.如權利要求7所述的方法,其中���,所述選擇的服務節(jié)點具有多個服務節(jié)點標識符�,并且當所述選擇的服務節(jié)點向所述移動通信裝置發(fā)送所述密鑰管理消息時���,所述選擇的服務節(jié)點在所述消息中包含從所述認證節(jié)點接收的所述服務節(jié)點標識符����。
10.一種在通信網絡中用于管理通信裝置以及向所述通信裝置提供服務的服務節(jié)點之間的共享安全密鑰的認證節(jié)點,所述認證節(jié)點包括運行存儲器中存儲的計算機程序指令的處理器��,所述處理器控制所述認證節(jié)點的下列組件用于將多個認證節(jié)點標識符與多個服務相關聯(lián)的部件��,其中���,所述多個認證節(jié)點標識符標識所述認證節(jié)點����;用于向所述網絡中的各服務節(jié)點分配所述多個認證節(jié)點標識符中不同的一個的部件�;用于將所分配的認證節(jié)點標識符與連接的服務節(jié)點相關聯(lián)的表; 響應從所述通信裝置接收到預期服務的請求而利用與所述預期服務關聯(lián)的所述分配的認證節(jié)點標識符來獲得與所述分配的認證節(jié)點標識符關聯(lián)的連接的服務節(jié)點的安全密鑰的部件��;以及用于將所述安全密鑰從所述認證節(jié)點發(fā)送到所述關聯(lián)的服務節(jié)點的通信部件��; 其中�����,所述網絡使所述認證節(jié)點標識符其中之一對所述通信裝置可用��,其中,所述認證節(jié)點標識符與預期服務相關聯(lián)��,并且使所述通信裝置能夠得出所述安全密鑰���。
11.如權利要求10所述的認證節(jié)點����,其中所述通信網絡是基于因特網協(xié)議多媒體子系統(tǒng)IMS的網絡��; 所述通信裝置是用戶設備UE �;所述認證節(jié)點是具有認證代理AP的網絡應用功能NAF ;所述服務節(jié)點是應用服務器AS �����;以及所請求的服務是多媒體廣播/多播服務MBMS用戶服務�����。
12.如權利要求10所述的認證節(jié)點���,其中所述通信網絡是基于因特網協(xié)議多媒體子系統(tǒng)IMS的網絡; 所述通信裝置是用戶設備UE �; 所述認證節(jié)點是服務控制功能SCF �����; 所述服務節(jié)點是廣播/多播服務中心BM-SC �����;以及所請求的服務是多媒體廣播/多播服務MBMS用戶服務�。
13.—種在通信網絡中用于管理通信裝置以及向所述通信裝置提供服務的服務節(jié)點之間的共享安全密鑰的認證節(jié)點��,所述認證節(jié)點包括運行存儲器中存儲的計算機程序指令的處理器�,所述處理器控制所述認證節(jié)點的下列組件用于將多個認證節(jié)點標識符與多個服務相關聯(lián)的部件,其中��,所述多個認證節(jié)點標識符標識所述認證節(jié)點�����;用于向所述網絡中的各服務節(jié)點分配所述多個認證節(jié)點標識符中不同的一個的部件����;用于將所述分配的認證節(jié)點標識符與連接的服務節(jié)點相關聯(lián)的表; 響應從所述通信裝置接收到預期服務的請求而利用與所述預期服務關聯(lián)的所述分配的認證節(jié)點標識符來獲得與所述分配的認證節(jié)點標識符關聯(lián)的連接服務節(jié)點的安全密鑰的部件����;用于從所述認證節(jié)點向所述關聯(lián)的服務節(jié)點發(fā)送所述安全密鑰的通信部件����;以及用于向所述通信裝置發(fā)送與所述預期服務關聯(lián)的所述分配的認證節(jié)點標識符的通信部件�,其中,所述通信裝置利用所述分配的認證節(jié)點來得出所述安全密鑰�。
14.如權利要求13所述的認證節(jié)點,其中用于向所述通信裝置發(fā)送所述分配的認證節(jié)點標識符的所述通信部件包括SIP通信單元�����,所述SIP通信單元在SIP 200 OK消息中向所述移動通信裝置發(fā)送所述分配的認證節(jié)點標識符��;以及用于向所述服務節(jié)點發(fā)送所述安全密鑰的所述通信部件包括HTTP通信單元�,所述 HTTP通信單元在HTTP POST消息中將所述第二安全密鑰和事務標識符從所述認證節(jié)點發(fā)送到服務節(jié)點。
15.一種在通信網絡中用于利用共享安全密鑰向通信裝置提供用戶服務的服務節(jié)點�, 所述服務節(jié)點包括運行存儲器中存儲的計算機程序指令的處理器,所述處理器控制所述服務節(jié)點的下列組件用于從認證節(jié)點獲得認證節(jié)點標識符�、所述通信裝置的IP地址、事務標識符����、和所述共享安全密鑰的通信部件���,其中�����,所述事務標識符標識其中所述通信裝置已經請求由所述服務節(jié)點提供的用戶服務的事務��;以及用于向所述通信裝置發(fā)送采用共享安全密鑰保護的密鑰管理消息的通信部件���,所述密鑰管理消息包括所述認證節(jié)點標識符和所述事務標識符�����;其中���,當所述通信裝置從所述服務節(jié)點接收到所述密鑰管理消息時,所述通信裝置從所述認證節(jié)點標識符和所述事務標識符來識別所述共享安全密鑰�����;以及其中���,當所述認證節(jié)點向所述通信裝置提供所述認證節(jié)點標識符時�,或者當所述通信裝置接收服務描述中的所述認證節(jié)點標識符時����,所述通信裝置利用所述認證節(jié)點標識符來得出所述共享安全密鑰����,并且使用所述共享安全密鑰對所述密鑰管理消息進行解密和檢驗��。
16.如權利要求15所述的服務節(jié)點���,其中所述通信網絡是基于因特網協(xié)議多媒體子系統(tǒng)IMS的網絡��; 所述通信裝置是用戶設備UE ����;所述認證節(jié)點是具有認證代理AP的網絡應用功能NAF ��;所述服務節(jié)點是應用服務器AS �����;以及所請求的服務是多媒體廣播/多播服務MBMS用戶服務��。
17.如權利要求15所述的服務節(jié)點��,其中所述通信網絡是基于因特網協(xié)議多媒體子系統(tǒng)IMS的網絡��; 所述移動通信裝置是用戶設備UE ; 所述認證節(jié)點是服務控制功能SCF �����; 所述服務節(jié)點是廣播/多播服務中心BM-SC ��;以及所請求的服務是多媒體廣播/多播服務MBMS用戶服務�����。
18.—種在通信網絡中用于管理共享安全密鑰的系統(tǒng)����,所述系統(tǒng)包括 通信裝置�;與所述通信裝置進行通信的認證節(jié)點;以及與所述認證節(jié)點和所述通信裝置進行通信的服務節(jié)點�����; 其中����,所述認證節(jié)點包括用于將多個認證節(jié)點標識符與多個服務相關聯(lián)的部件,其中所述多個認證節(jié)點標識符標識所述認證節(jié)點�;用于向所述服務節(jié)點分配所述多個認證節(jié)點標識符中的選擇的一個的部件; 用于將所分配的認證節(jié)點標識符與連接的服務節(jié)點相關聯(lián)的表; 響應從所述通信裝置接收到預期服務的請求而利用與所述預期服務關聯(lián)的所述分配的認證節(jié)點標識符來獲得與所述分配的認證節(jié)點標識符關聯(lián)的連接的服務節(jié)點的安全密鑰的部件����;以及用于向所述服務節(jié)點發(fā)送所述認證節(jié)點標識符、所述通信裝置的IP地址�、事務標識符、和所述共享安全密鑰的通信部件�,其中,所述事務標識符標識其中所述通信裝置已經請求由所述服務節(jié)點提供的用戶服務的事務���;其中����,所述服務節(jié)點包括用于向所述通信裝置發(fā)送采用所述共享安全密鑰保護的密鑰管理消息的通信部件�,所述密鑰管理消息包括所述認證節(jié)點標識符和所述事務標識符; 其中所述移動通信裝置包括用于從所述認證節(jié)點標識符和所述事務標識符來識別所述共享安全密鑰的部件���; 用于或者從所述認證節(jié)點或者在從所述網絡獲得的服務描述中接收所述認證節(jié)點標識符的通信部件�����;用于利用所述認證節(jié)點標識符來得出所述共享安全密鑰的部件��;以及用于使用所述共享安全密鑰對所述密鑰管理消息進行解密和檢驗的部件��。
19.如權利要求18所述的系統(tǒng)�����,其中所述通信網絡是基于因特網協(xié)議多媒體子系統(tǒng)IMS的網絡���;所述移動通信裝置是用戶設備UE ;所述認證節(jié)點是具有認證代理AP的網絡應用功能NAF �;所述服務節(jié)點是應用服務器AS ;以及所請求的服務是多媒體廣播/多播服務MBMS用戶服務���。
20.如權利要求18所述的系統(tǒng)�,其中所述通信網絡是基于因特網協(xié)議多媒體子系統(tǒng)IMS的網絡��;所述移動通信裝置是用戶設備UE ��; 所述認證節(jié)點是服務控制功能SCF �����; 所述服務節(jié)點是廣播/多播服務中心BM-SC ��;以及所請求的服務是多媒體廣播/多播服務MBMS用戶服務�����。
21.—種在通信網絡中用于管理移動通信裝置、認證所述移動通信裝置的認證節(jié)點����、以及向所述移動通信裝置提供服務的服務節(jié)點之間的共享安全密鑰的方法,所述方法包括下列步驟在所述認證節(jié)點中從所述移動通信裝置接收利用所述服務節(jié)點提供的服務的請求�����,其中��,所述請求包括事務標識符�����;由所述認證節(jié)點來認證所述移動通信裝置��,其中��,所述移動通信裝置得出所述認證節(jié)點的認證節(jié)點安全密鑰�����;由所述認證節(jié)點得出所述服務節(jié)點的服務節(jié)點安全密鑰����,所述服務節(jié)點安全密鑰利用所述認證節(jié)點安全密鑰和nonce來得出����;將所述服務節(jié)點安全密鑰和事務標識符從所述認證節(jié)點發(fā)送到所述服務節(jié)點����;以及將所述nonce和所述服務節(jié)點的標識符從所述認證節(jié)點發(fā)送到所述移動通信裝置,由此使所述移動通信裝置能夠從所述認證節(jié)點安全密鑰和所述nonce來得出所述服務節(jié)點安全密鑰���。
22.如權利要求21所述的方法,其中��,當所述服務節(jié)點向所述移動通信裝置發(fā)送采用所述服務節(jié)點安全密鑰保護的密鑰管理消息時����,所述移動通信裝置使用所述服務節(jié)點安全密鑰對所述消息進行解密和檢驗,所述消息包括所述服務節(jié)點標識符和所述事務標識符��。
23.如權利要求21所述的方法���,其中�����,存在多個服務節(jié)點���,并且所述方法還包括由所述認證節(jié)點選擇所述多個服務節(jié)點中的一個來提供所請求的服務的步驟����;其中�����,所述認證節(jié)點得出所選擇的服務節(jié)點的服務節(jié)點安全密鑰����,并且向所述選擇的服務節(jié)點發(fā)送所述服務節(jié)點安全密鑰、所述事務標識符��、和所述選擇的服務節(jié)點的服務節(jié)點標識符����。
24.如權利要求23所述的方法,其中���,所述選擇的服務節(jié)點具有多個服務節(jié)點標識符�����, 并且當所述選擇的服務節(jié)點向所述移動通信裝置發(fā)送所述密鑰管理消息時���,所述選擇的服務節(jié)點在所述消息中包含從所述認證節(jié)點接收的所述服務節(jié)點標識符����。
全文摘要
用于管理用戶設備UE�、諸如SCF/NAF的認證節(jié)點、以及諸如BM-SC或AS的服務節(jié)點之間的共享安全密鑰的系統(tǒng)����、方法、和節(jié)點�。SCF/NAF從SCF/NAF管理的FQDN空間中向各BM-SC分配諸如完全合格域名FQDN的不同的SCF/NAF標識符�。然后,SCF/NAF將這些分配的FQDN與連接的BM-SC以及與不同的服務本地地關聯(lián)��。該網絡在預期服務的服務描述中向UE發(fā)送正確的FQDN���,并且UE能夠使用該FQDN來得出安全密鑰���。當UE請求預期服務時,SCF/NAF能夠將服務標識符與正確FQDN及關聯(lián)的BM-SC相關聯(lián)��。SCF/NAF使用FQDN從引導服務器獲得安全密鑰,并且將其發(fā)送到關聯(lián)的BM-SC�����。因此�,UE和關聯(lián)的BM-SC共享特定安全密鑰。
文檔編號H04W12/04GK102379114SQ201080015807
公開日2012年3月14日 申請日期2010年3月31日 優(yōu)先權日2009年4月1日
發(fā)明者F·林德霍爾姆, V·萊托弗塔 申請人:瑞典愛立信有限公司