專利名稱:一種標(biāo)識網(wǎng)端到端安全建立的方法�����、網(wǎng)絡(luò)側(cè)設(shè)備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域���,尤其涉及一種基于增強GBA機制的標(biāo)識網(wǎng)端到端的安全方法和系統(tǒng)。
背景技術(shù):
在TCP/IP體系中�,最為核心的是網(wǎng)絡(luò)層的IP協(xié)議��,通過IP地址實現(xiàn)用戶之間的相互訪問。各種應(yīng)用���,如網(wǎng)絡(luò)瀏覽���、郵件收發(fā)���、即時通訊等�����,都承載在應(yīng)用層協(xié)議之上�。用戶在使用這些業(yè)務(wù)之前必須通過電信運營商提供的基礎(chǔ)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)����,不同的用戶可能有不同的接入方式��,如xDSL、光纖�����、移動接入等等��。一般情況下,用戶終端都會獲取到一個IP地址�����,用戶此后就通過這個IP地址訪問互聯(lián)網(wǎng)上的各種應(yīng)用,這個IP地址就相當(dāng)于用戶的臨時身份��。由于IP地址的前綴部分表示用戶當(dāng)前所在的子網(wǎng)�����,當(dāng)用戶位置發(fā)生變化時�����,必須分配不同的IP地址,否則路由器無法正確地把數(shù)據(jù)包轉(zhuǎn)發(fā)給用戶��。而因為IP地址具有身份和位置的雙重屬性���,同時用戶每次獲取到的IP地址不一定相同��,從而無法作為用戶的長期身份標(biāo)識�����,因此互聯(lián)網(wǎng)上的應(yīng)用系統(tǒng)必須自建一套用戶身份標(biāo)識系統(tǒng)��,即通常所說的用戶賬號系統(tǒng)�。當(dāng)前��,IP地址具有雙重屬性的缺陷,帶來了移動性和安全性問題�����,已經(jīng)成為了制約互聯(lián)網(wǎng)產(chǎn)業(yè)進一步發(fā)展的瓶頸��。為了解決這個問題��,業(yè)界提出了 HIPOtoSt IdentityProtocol,主機標(biāo)識協(xié)議)和 LISP (Locator/Identifier Separation Protocol,位置 / 標(biāo)識分離協(xié)議)技術(shù)等�����。這些技術(shù)的共同點是引入了兩類編碼代表用戶身份的身份編碼和代表用戶位置的位置編 碼����,每個用戶都既有一個身份編碼又有一個位置編碼,用戶基于身份編碼和對端發(fā)生通信��,當(dāng)用戶位置發(fā)生變化時����,用戶的身份編碼保持不變,而用戶的位置編碼將隨之變化����。這樣���,通過用戶身份編碼就可以始終對應(yīng)到用戶,而不會存在IP地址二義性的問題。標(biāo)識網(wǎng)是一種新型的互聯(lián)網(wǎng)技術(shù)����,引入身份位置分離的思想,支持移動接入終端移動性和連續(xù)性�����,尤其是標(biāo)識網(wǎng)中每個用戶都擁有唯一的永久身份標(biāo)識��,用戶每次接入時網(wǎng)絡(luò)都需要對身份進行驗證���,因此網(wǎng)絡(luò)能夠保證這個身份標(biāo)識的真實性和可靠性����?����;谶@個唯一可靠的身份標(biāo)識��,可以建立身份管理體系���,開展基于用戶身份管理的業(yè)務(wù)�����,提高網(wǎng)絡(luò)安全�����。標(biāo)識網(wǎng)的基本原理是為用戶設(shè)備分配固定的身份標(biāo)識��,用戶設(shè)備之間使用身份標(biāo)識代替現(xiàn)有技術(shù)中的互聯(lián)網(wǎng)IP協(xié)議地址進行通信,并由位于互聯(lián)網(wǎng)邊緣的接入服務(wù)分配用戶的位置標(biāo)識���,使用位置標(biāo)識進行路由�����,并完成用戶身份標(biāo)識和位置標(biāo)識之間的映射和轉(zhuǎn)換�����。其中用戶設(shè)備101(User Equipment����,簡稱UE)���,支持互聯(lián)網(wǎng)IP接入的用戶設(shè)備,包括移動分組域接入終端��、支持無線局域功能終端、固定接入終端����、游牧終端等���,還進一步包括應(yīng)用服務(wù)器等業(yè)務(wù)提供設(shè)備���。UE使用用戶接入身份標(biāo)識(Access Identity�,簡稱AID)代替IP地址��,同網(wǎng)絡(luò)其他用戶設(shè)備�、業(yè)務(wù)提供者進行通信。接入服務(wù)路由器102(ACCesS ServiceRouter�����,簡稱ASR),是UElOl所在的接入網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的接口設(shè)備,負(fù)責(zé)UElOl的認(rèn)證�����、用戶位置標(biāo)識(Routing Identity�,簡稱RID)管理����、AID和RID映射和轉(zhuǎn)換����,以及用戶數(shù)據(jù)的封裝/解封、轉(zhuǎn)發(fā)等功能��。認(rèn)證中心103�,是用于記錄本網(wǎng)絡(luò)用戶的屬性信息如用戶類別���、認(rèn)證信息和用戶服務(wù)等級等,完成對UElOl的接入認(rèn)證和授權(quán)��,或者完成對終端的接入認(rèn)證���、授權(quán)和計費。支持終端和網(wǎng)絡(luò)之間的雙向認(rèn)證?;ヂ?lián)服務(wù)路由器104(Internet ServiceRouter,簡稱I SR)��,是用于查詢�����、維護本網(wǎng)絡(luò)終端的AID-RID映射信息�,封裝、路由和轉(zhuǎn)發(fā)本網(wǎng)絡(luò)與傳統(tǒng)IP網(wǎng)絡(luò)之間交互的數(shù)據(jù)報文��,實現(xiàn)本標(biāo)識網(wǎng)絡(luò)與傳統(tǒng)IP網(wǎng)絡(luò)之間的互聯(lián)互通功能。GBA(通用鑒權(quán)框架)是3GPP(第三代移動通信系統(tǒng))中定義的一種通用鑒權(quán)框架。如圖1所示�,通用鑒權(quán)框架通常由MS(IP多媒體業(yè)務(wù)子系統(tǒng))用戶(UE)����、引導(dǎo)服務(wù)功能實體(BSF)、用戶歸屬網(wǎng)絡(luò)服務(wù)器(HSS)、用戶定位功能實體(SLF)和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體(NAF)組成。UE和BSF通過Ub接口連接���,BSF和NAF通過Zn接口連接,UE和NAF通過Ua接口連接�,SLF和BSF通過Dz接口連接��,BSF和HSS通過Zh接口連接����。BSF用于與UE進行互驗證身份,同時生成BSF與用戶的共享密鑰(即根密鑰)Ks ;HSS中存儲用于描述用戶信息的簽約文件,同時HSS還兼有產(chǎn)生鑒權(quán)信息的功能�����。SLF用于當(dāng)存在多個HSS時�����,協(xié)助BSF查找響應(yīng)的HSS�。NAF用于為UE提供網(wǎng)絡(luò)業(yè)務(wù)。當(dāng)用戶UE第一次向NAF發(fā)出應(yīng)用請求時�,不知道NAF是否需要GBA過程,就不攜帶GBA參數(shù)����。如果NAF要求進行 初始的GBA過程,則在發(fā)給UE的響應(yīng)消息中會告訴UE進行GBA過程��。當(dāng)用戶UE需要使用某種業(yè)務(wù)時�,如果用戶知道該業(yè)務(wù)需要到BSF進行互鑒權(quán)過程�����,則直接發(fā)送鑒權(quán)請求到BSF進行互鑒權(quán)。否則�,用戶會首先和該業(yè)務(wù)對應(yīng)的NAF聯(lián)系,如果該NAF使用GBA通用鑒權(quán)框架��,并且發(fā)現(xiàn)該用戶還未到BSF進行互認(rèn)證過程�,NAF則通知該用戶到BSF進行互鑒權(quán)以驗證身份�。GBA中的UE上包含IP多媒體業(yè)務(wù)身份標(biāo)識模塊ISM(IP Multimedia ServicesSubscriberIdentity Module) /通用集成電路卡UICC,而且UE上既包含GBA客戶端,也包含NAF應(yīng)用客戶端�。但是隨著通用鑒權(quán)框架應(yīng)用范圍越來越廣泛,出現(xiàn)一些新的應(yīng)用場景�����,例如在傳統(tǒng)的沒有ISM/nCC模塊因而也就不具備ISM能力的用戶終端上��,或者NAF應(yīng)用客戶端與GBA客戶端分離的終端(多個外圍終端采用同一個ISM/ΠCC訪問網(wǎng)絡(luò)業(yè)務(wù))上如何應(yīng)用GBA����。TISPAN (ETSI的NGN網(wǎng)絡(luò)標(biāo)準(zhǔn))中定義了一種稱為頂S駐留網(wǎng)關(guān)IRG (MSResidential Gateway)的功能實體,用于為那些非IMS終端提供訪問IMS業(yè)務(wù)的安全通道。MS駐留網(wǎng)關(guān)功能上相當(dāng)于一個B2BUA(背靠背用戶代理)實體�,其具有一個“ISM ONUICC (通用集成電路卡上的IP多媒體業(yè)務(wù)身份標(biāo)識模塊)”模塊,用來為這些非MS終端提供訪問MS業(yè)務(wù)的安全通道�,并且該模塊上存儲了一個私有用戶標(biāo)識(MPI)和多個公共用戶標(biāo)識(MPU)。這種應(yīng)用場景下��,一個MS用戶可能具備多個非MS終端設(shè)備,并且所有這些非MS終端采用同一個ISM/HCC(位于MS終端代理上)訪問網(wǎng)絡(luò)業(yè)務(wù)����。另外NAF應(yīng)用客戶端位于MS終端代理以外的一個或多個非MS終端上,因此與執(zhí)行GBA的客戶端(位于MS終端代理商)不在同一個設(shè)備上�����,我們稱之為增強的GBA框架�����。MS終端代理B2BUA為這些非MS終端生成衍生密鑰Ks_NAF����,這些非MS終端利用該生成的衍生密鑰Ks_NAF和NAF通信。當(dāng)多個外圍終端設(shè)備共享一個UE上的GBA客戶端時����,如果這些外圍終端設(shè)備中的某兩個或幾個訪問同一個NAF時,還會出現(xiàn)多個外圍終端設(shè)備采用同一個衍生密鑰Ks_NAF與某一個NAF通信的情況�,造成安全隱患;如果其中一個被攻破���,另外一個也會不攻自破�����。標(biāo)識網(wǎng)和GBA架構(gòu)有多種組網(wǎng)方式�,圖2和圖3給出了兩種典型的方式。圖2是標(biāo)識網(wǎng)終端具有MS終端能力����,且在標(biāo)識網(wǎng)內(nèi)部署GBA架構(gòu)����,分別利用ASR和ISR與GBA架構(gòu)內(nèi)的BSF和NAF網(wǎng)元相連使得兩個架構(gòu)聯(lián)系起來;圖3是標(biāo)識網(wǎng)終端不具有IMS終端能力���,需借助B2BUA代理��,且標(biāo)識網(wǎng)內(nèi)部署了 GBA架構(gòu)����,分別利用ASR和ISR與GBA架構(gòu)內(nèi)的BSF和NAF網(wǎng)元相連使得兩個架構(gòu)聯(lián)系起來�,并通過一個或多個ISR和Zn-Proxy與GBA架構(gòu)內(nèi)的NAF網(wǎng)元相連使得兩個架構(gòu)聯(lián)系起來。在此兩種組網(wǎng)方式中,標(biāo)識網(wǎng)內(nèi)的認(rèn)證中心或可作為GBA架構(gòu)下的HSS使用����,也可單獨使用一個HSS網(wǎng)元��;同時Zn-Proxy功能可以在ISR內(nèi)�,也可以單獨為一個網(wǎng)元來實現(xiàn)整個功能����。
發(fā)明內(nèi)容
有鑒于此��,本發(fā)明提供了一種基于增強GBA機制的標(biāo)識網(wǎng)端到端安全建立的方法�����、網(wǎng)絡(luò)側(cè)設(shè)備及系統(tǒng)����,從而解決標(biāo)識網(wǎng)用戶安全的訪問和獲取互聯(lián)網(wǎng)應(yīng)用服務(wù)內(nèi)容時的終端到業(yè)務(wù)服務(wù)器之間端到端的安全��;同時根據(jù)本地定義策略也可實現(xiàn)不同標(biāo)識網(wǎng)用戶使用相同代理的Ks����,并且實現(xiàn)同一標(biāo)識網(wǎng)用戶一定的單點登錄能力,即同一標(biāo)識網(wǎng)終端具有相同的根密鑰Ks�。本發(fā)明提供一種標(biāo)識網(wǎng)端到端安全建立的方法,包括標(biāo)識網(wǎng)終端向網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體發(fā)起應(yīng)用請求消息�,所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體判斷所述標(biāo)識網(wǎng)終端是否完成與引導(dǎo)服務(wù)功能實體的通用鑒權(quán)框架GBA的引導(dǎo)過程��,若未完成則網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體指示標(biāo)識網(wǎng)終端與引導(dǎo)服務(wù)功能實體執(zhí)行GBA的引導(dǎo)過程���,在所述GBA的引導(dǎo)過程完成后,標(biāo)識網(wǎng)終端或MS終端代理為標(biāo)識網(wǎng)終端生成衍生密鑰Ks_NAF���,之后標(biāo)識網(wǎng)終端與網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體建立安全聯(lián)盟�����;若已完成則網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體與所述標(biāo)識網(wǎng)終端直接建立安全聯(lián)盟�,且標(biāo)識網(wǎng)終端或MS終端代理為標(biāo)識網(wǎng)終端生成衍生密鑰Ks_NAF �;在所述安全聯(lián)盟的建立過程中,所述弓I導(dǎo)服務(wù)功能實體為網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體生成衍生密鑰Ks_NAF�,且與標(biāo)識網(wǎng)終端的Ks_NAF相同;不同的標(biāo)識網(wǎng)終端具有不同的Ks_NAF����。進一步地,所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體判斷所述標(biāo)識網(wǎng)終端是否完成與引導(dǎo)服務(wù)功能實體的GBA的引導(dǎo)過程的方法為網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體判斷應(yīng)用請求消息中是否攜帶GBA參數(shù)�,若未攜帶則判定標(biāo)識網(wǎng)終端未與引導(dǎo)服務(wù)功能實體完成GBA的引導(dǎo)過程,若已攜帶則判定標(biāo)識網(wǎng)終端已與引導(dǎo)服務(wù)功能實體完成GBA的引導(dǎo)過程��。進一步地,具有MS能力的標(biāo)識網(wǎng)終端與引導(dǎo) 服務(wù)功能實體進行引導(dǎo)交互時�����,向引導(dǎo)服務(wù)功能實體發(fā)送GBA請求消息時攜帶私有身份標(biāo)識符IMPI和終端用戶標(biāo)識符AID�����,當(dāng)所述引導(dǎo)服務(wù)功能實體完成對所述標(biāo)識網(wǎng)終端的鑒權(quán)后生成一引導(dǎo)事務(wù)標(biāo)識B-TID及根密鑰��,所述引導(dǎo)服務(wù)功能實體將B-TID以及根密鑰的有效期發(fā)送至標(biāo)識網(wǎng)終端����,所述標(biāo)識網(wǎng)終端保存所述B-TID以及根密鑰的有效期,并生成一根密鑰�,所述標(biāo)識網(wǎng)終端還根據(jù)預(yù)設(shè)的生成衍生密鑰的方式生成一生成衍生密鑰。進一步地�,非MS標(biāo)識網(wǎng)終端或不具有MS能力的標(biāo)識網(wǎng)終端與引導(dǎo)服務(wù)功能實體進行引導(dǎo)交互時���,所述標(biāo)識網(wǎng)終端向MS終端代理發(fā)送GBA請求消息��,其中攜帶終端用戶標(biāo)識符AID及網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體標(biāo)識�����,所述MS終端代理向引導(dǎo)服務(wù)功能實體發(fā)送GBA請求消息�,其中攜帶MS終端代理自身ISIM模塊內(nèi)的私有身份標(biāo)識符MPI和所述AID ;當(dāng)所述引導(dǎo)服務(wù)功能實體完成對所述標(biāo)識網(wǎng)終端的鑒權(quán)后生成一引導(dǎo)事務(wù)標(biāo)識B-TID及根密鑰��,所述引導(dǎo)服務(wù)功能實體將B-TID以及根密鑰的有效期發(fā)送至MS終端代理��,所述MS終端代理保存所述B-TID以及根密鑰的有效期�����,并生成一根密鑰��,所述MS終端代理還根據(jù)預(yù)設(shè)的生成衍生密鑰的方式生成一生成衍生密鑰����,然后將衍生密鑰、B-TID�、AID及密鑰有效期發(fā)給標(biāo)識網(wǎng)終端。進一步地�����,所述引導(dǎo)服務(wù)功能實體還在本地存儲以下關(guān)聯(lián)表(a)B-TID����,IMPI,Ks,AID,密鑰有效期及引導(dǎo)開始時間的關(guān)聯(lián)關(guān)系;或(b)B-TID與AID的關(guān)聯(lián)關(guān)系��,以及B-TID與Ks���、RAND����、IMPI之間的關(guān)聯(lián)關(guān)系���;當(dāng)所述標(biāo)識網(wǎng)終端與網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體建立安全聯(lián)盟時���,向網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體發(fā)送應(yīng)用請求消息,其中攜帶B-TID以及AID ;所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體收到應(yīng)用請求消息后向引導(dǎo)服務(wù)功能實體發(fā)送認(rèn)證請求消息�,其中攜帶B-TID以及網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體標(biāo)識;所述引導(dǎo)服務(wù)功能實體根據(jù)認(rèn)證請求消息中的B-TID查找所述關(guān)聯(lián)表獲得生成衍生密鑰的信息�����,并根據(jù)預(yù)設(shè)的計算方式計算一衍生密鑰�����,引導(dǎo)服務(wù)功能實體將生成的衍生密鑰���、應(yīng)用相關(guān)用戶屬性數(shù)據(jù)�����、GBA開始時間及密鑰有效期發(fā)送至所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體��,所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實 體保存衍生密鑰與B-TID及MPI的關(guān)系�。進一步地�����,所述預(yù)設(shè)的生成衍生密鑰的方式為根據(jù)以下公式計算衍生密鑰Ks_NAF = KDF (Ks, “gba-me”�����,RAND, IMPI, NAF_ID, AID)��。本發(fā)明還提供一種標(biāo)識網(wǎng)端到端安全建立的方法��,包括標(biāo)識網(wǎng)終端與引導(dǎo)服務(wù)功能實體完成GBA的引導(dǎo)過程后����,生成衍生密鑰Ks_NAF,之后所述標(biāo)識網(wǎng)終端與網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體建立安全聯(lián)盟����,且不同的標(biāo)識網(wǎng)終端具有不同的Ks_NAF ��;所述標(biāo)識網(wǎng)終端為具有MS能力的標(biāo)識網(wǎng)終端��。進一步地����,所述標(biāo)識網(wǎng)終端與引導(dǎo)服務(wù)功能實體進行GBA的引導(dǎo)過程時��,標(biāo)識網(wǎng)終端向引導(dǎo)服務(wù)功能實體發(fā)送GBA請求消息時攜帶私有身份標(biāo)識符IMPI和終端用戶標(biāo)識符 AID ���;當(dāng)所述標(biāo)識網(wǎng)終端收到引導(dǎo)事務(wù)標(biāo)識B-TID以及根密鑰的有效期后�,保存所述B-TID以及根密鑰的有效期�����,并生成一根密鑰�����;所述標(biāo)識網(wǎng)終端生成Ks_NAF是在收到B-TID以及根密鑰的有效期后根據(jù)預(yù)設(shè)方式生成��。進一步地���,所述標(biāo)識網(wǎng)終端根據(jù)以下公式計算衍生密鑰Ks_NAF = KDF (Ks, “gba-me”�����,RAND, IMPI, NAF_ID, AID)���。本發(fā)明還提供一種標(biāo)識網(wǎng)端到端安全建立的方法,包括IMS終端代理收到標(biāo)識網(wǎng)終端發(fā)來的應(yīng)用請求消息后���,根據(jù)所述業(yè)務(wù)請求消息判斷所述標(biāo)識網(wǎng)終端是否已完成與引導(dǎo)服務(wù)功能實體的交互認(rèn)證����,若已完成則為所述標(biāo)識網(wǎng)終端生成一衍生密鑰Ks_NAF�,若未完成則于收到成功響應(yīng)消息后為所述標(biāo)識網(wǎng)終端生成一衍生密鑰Ks_NAF ;所述標(biāo)識網(wǎng)終端為非MS標(biāo)識網(wǎng)終端或不具有MS能力的標(biāo)識網(wǎng)終端�。進一步地,所述MS終端代理根據(jù)以下公式計算衍生密鑰Ks_NAF = KDF (Ks, “gba-me”����,RAND, IMPI, NAF_ID, AID)。本發(fā)明還提供一種標(biāo)識網(wǎng)端到端安全建立的方法�,包括在網(wǎng)絡(luò)應(yīng)用實體與標(biāo)識網(wǎng)終端建立安全聯(lián)盟過程中,引導(dǎo)服務(wù)功能實體為網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體生成一衍生密鑰Ks_NAF��,并將生成的Ks_NAF發(fā)送至所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體。進一步地�,引導(dǎo)服務(wù)功能實體收到標(biāo)識網(wǎng)終端發(fā)來的GBA請求消息后完成對所述標(biāo)識網(wǎng)終端的鑒權(quán),之后生成一引導(dǎo)事務(wù)標(biāo)識B-TID及根密鑰��,所述引導(dǎo)服務(wù)功能實體將B-TID以及根密鑰的有效期發(fā)送至標(biāo)識網(wǎng)終端��。進一步地����,所述引導(dǎo)服務(wù)功能實體在本地存儲一關(guān)聯(lián)表,所述關(guān)聯(lián)表為以下信息間的關(guān)聯(lián)關(guān)系B-TID�,IMPI,Ks, AID�����,密鑰有效期及引導(dǎo)開始時間�����。進一步地�����,所述網(wǎng)絡(luò)應(yīng)用實體收到標(biāo)識網(wǎng)終端發(fā)來的應(yīng)用請求消息后����,判斷其中是否包含GBA參數(shù)�����,若未包含則返回應(yīng)用請求響應(yīng)消息,指示標(biāo)識網(wǎng)終端與引導(dǎo)服務(wù)功能實體進行GBA的引導(dǎo)過程�,若已包含則與標(biāo)識網(wǎng)終端建立安全聯(lián)盟。進一步地�,所述引 導(dǎo)服務(wù)功能實體根據(jù)以下公式計算衍生密鑰Ks_NAF = KDF (Ks, “gba-me”,RAND, IMPI, NAF_ID, AID)�。本發(fā)明還提供一種標(biāo)識網(wǎng)端到端安全建立的標(biāo)識網(wǎng)終端,用于完成與引導(dǎo)服務(wù)功能實體進行通用鑒權(quán)框架GBA的引導(dǎo)過程后生成衍生密鑰Ks_NAF ;所述標(biāo)識網(wǎng)終端還用于與網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體建立安全聯(lián)盟�;所述標(biāo)識網(wǎng)終端為具有MS能力的標(biāo)識網(wǎng)終端。進一步地����,所述標(biāo)識網(wǎng)終端根據(jù)以下公式計算衍生密鑰Ks_NAF = KDF (Ks, “gba-me”,RAND, IMPI, NAF_ID, AID)����。本發(fā)明還提供一種標(biāo)識網(wǎng)端到端安全建立的網(wǎng)絡(luò)側(cè)設(shè)備,包括引導(dǎo)服務(wù)功能實體及網(wǎng)絡(luò)應(yīng)用實體�����;所述引導(dǎo)服務(wù)功能實體,用于在網(wǎng)絡(luò)應(yīng)用實體與標(biāo)識網(wǎng)終端建立安全聯(lián)盟過程中為所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體生成一衍生密鑰Ks_NAF�,并將生成的Ks_NAF發(fā)送至所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體。進一步地�����,所述引導(dǎo)服務(wù)功能實體還用于收到標(biāo)識網(wǎng)終端發(fā)來的GBA請求消息后完成對所述標(biāo)識網(wǎng)終端的鑒權(quán)���,之后生成一引導(dǎo)事務(wù)標(biāo)識B-TID及根密鑰�����,并將B-TID以及根密鑰的有效期發(fā)送至標(biāo)識網(wǎng)終端��。進一步地���,所述引導(dǎo)服務(wù)功能實體還用于在本地存儲以下關(guān)聯(lián)表(a)B-TID,IMPI���,Ks����,AID,密鑰有效期及引導(dǎo)開始時間的關(guān)聯(lián)關(guān)系����;或(b)B-TID與AID的關(guān)聯(lián)關(guān)系,以及B-TID與Ks�����、RAND���、IMPI之間的關(guān)聯(lián)關(guān)系;當(dāng)引導(dǎo)服務(wù)功能實體收到認(rèn)證請求消息后���,根據(jù)其中的B-TID查找所述關(guān)聯(lián)關(guān)系�����,獲得Ks��、RAND��、IMPI及AID����,并根據(jù)以下公式計算衍生密鑰Ks_NAF = KDF (Ks, “gba-me”,RAND, IMPI, NAF_ID, AID)����。
進一步地,所述網(wǎng)絡(luò)側(cè)設(shè)備還包括MS終端代理���,用于收到標(biāo)識網(wǎng)終端發(fā)來的應(yīng)用請求消息后���,根據(jù)所述業(yè)務(wù)請求消息判斷所述標(biāo)識網(wǎng)終端是否已完成與引導(dǎo)服務(wù)功能實體的交互認(rèn)證,若已完成則為所述標(biāo)識網(wǎng)終端生成一衍生密鑰Ks_NAF��,若未完成則于收到成功響應(yīng)消息后為所述標(biāo)識網(wǎng)終端生成一衍生密鑰Ks_NAF ����;所述標(biāo)識網(wǎng)終端為非MS標(biāo)識網(wǎng)終端或不具有MS能力的標(biāo)識網(wǎng)終端。本發(fā)明還提供一種標(biāo)識網(wǎng)端到端安全建立的系統(tǒng)��,所述系統(tǒng)包括如上任一所述的標(biāo)識網(wǎng)終端以及如上任一所述的網(wǎng)絡(luò)側(cè)設(shè)備����。依照本發(fā)明,由于與衍生密鑰Ks_NAF的生成的終端身份標(biāo)識是由網(wǎng)絡(luò)側(cè)實體傳遞來的����,因此標(biāo)識網(wǎng)終端不需要主動將該標(biāo)識發(fā)送給B2BUA,從而防止了非法標(biāo)識網(wǎng)終端進行終端身份標(biāo)識偽裝攻擊的隱患。同時���,不同的標(biāo)識網(wǎng)終端訪問同一個NAF時���,衍生的共享密鑰Ks_NAF是不一樣的,這樣即使一個Ks_NAF泄密��,也不會影響其他的Ks_NAF����,從而保證了安全性。此外��,終端身份標(biāo)識是由B2BUA連同衍生密鑰Ks_NAF —起傳給標(biāo)識網(wǎng)終端�,這樣即使知道標(biāo)識網(wǎng)終端的AID��,在不知道Ks_NAF的情況下也無法與NAF進行通信�����,因此保證了標(biāo)識網(wǎng)終端上不容易進行偽標(biāo)識攻擊�。
圖1為GBA架構(gòu)的框架圖;圖2為標(biāo)識網(wǎng)和GBA架構(gòu)的第一種部署示意圖��;圖3為標(biāo)識網(wǎng)和GBA架構(gòu) 的第二種部署示意圖;圖4為本發(fā)明方法實現(xiàn)流程圖��;圖5為本發(fā)明方法實施例一的UE和NAF之間的初始引導(dǎo)過程的流程圖�;圖6為本發(fā)明方法實施例二的UE和BSF之間的引導(dǎo)交互過程的流程圖;圖7為本發(fā)明方法實施例三的UE和NAF之間建立安全聯(lián)盟的流程圖��;圖8為本發(fā)明方法實施例四的UE和多個NAF之間建立安全聯(lián)盟的流程圖����;圖9為本發(fā)明方法實施例五的密鑰過期時UE和NAF執(zhí)行的處理的流程圖。
具體實施例方式本發(fā)明提供一種基于增強GBA機制的標(biāo)識網(wǎng)端到端安全建立的方法�、網(wǎng)絡(luò)側(cè)設(shè)備及系統(tǒng),標(biāo)識網(wǎng)終端向網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體發(fā)起應(yīng)用請求消息���,當(dāng)收到與引導(dǎo)服務(wù)功能實體執(zhí)行鑒權(quán)處理的指示后與引導(dǎo)服務(wù)功能實體進行通用鑒權(quán)框架GBA的引導(dǎo)過程����,標(biāo)識網(wǎng)終端或MS終端代理為標(biāo)識網(wǎng)終端生成衍生密鑰Ks_NAF���,之后標(biāo)識網(wǎng)終端與網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體建立安全聯(lián)盟的過程中���,引導(dǎo)服務(wù)功能實體為網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體生成與所述Ks_NAF相同的Ks_NAF,且不同的標(biāo)識網(wǎng)終端具有不同的Ks_NAF����。以下通過幾個實施例詳細描述本發(fā)明�����;終端實施例本實施例提供一種標(biāo)識網(wǎng)端到端安全建立的標(biāo)識網(wǎng)終端���,用于完成與引導(dǎo)服務(wù)功能實體進行通用鑒權(quán)框架GBA的引導(dǎo)過程后生成衍生密鑰Ks_NAF ;還用于與網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體建立安全聯(lián)盟;所述標(biāo)識網(wǎng)終端為具有IMS能力的標(biāo)識網(wǎng)終端���。
進一步地���,標(biāo)識網(wǎng)終端根據(jù)以下公式計算衍生密鑰Ks_NAF = KDF (Ks, “gba-me”,RAND, IMPI, NAF_ID, AID)�����。設(shè)各實施例本實施例提供一種標(biāo)識網(wǎng)端到端安全建立的網(wǎng)絡(luò)側(cè)設(shè)備�,包括引導(dǎo)服務(wù)功能實體及網(wǎng)絡(luò)應(yīng)用實體����;其中,引導(dǎo)服務(wù) 功能實體�,用于在網(wǎng)絡(luò)應(yīng)用實體與標(biāo)識網(wǎng)終端建立安全聯(lián)盟過程中為網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體生成一衍生密鑰Ks_NAF��,并將生成的Ks_NAF發(fā)送至網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體���。進一步地,引導(dǎo)服務(wù)功能實體還用于收到標(biāo)識網(wǎng)終端發(fā)來的GBA請求消息后完成對標(biāo)識網(wǎng)終端的鑒權(quán)���,之后生成一引導(dǎo)事務(wù)標(biāo)識B-TID及根密鑰,并將B-TID以及根密鑰的有效期發(fā)送至標(biāo)識網(wǎng)終端���。進一步地��,引導(dǎo)服務(wù)功能實體還用于在本地存儲(a)B-TID�,IMPI, Ks, AID�,密鑰有效期及引導(dǎo)開始時間的關(guān)聯(lián)關(guān)系;或(b)B-TID與AID的關(guān)聯(lián)關(guān)系��,以及B-TID與Ks���、RAND�����、IMPI之間的關(guān)聯(lián)關(guān)系�;當(dāng)引導(dǎo)服務(wù)功能實體收到認(rèn)證請求消息后�����,根據(jù)其中的B-TID查找所述關(guān)聯(lián)關(guān)系�����,獲得Ks���、RAND���、IMPI及AID��,并根據(jù)以下公式計算衍生密鑰Ks_NAF = KDF (Ks, “gba-me”����,RAND, IMPI, NAF_ID, AID)。進一步地���,網(wǎng)絡(luò)側(cè)設(shè)備還包括MS終端代理,用于收到標(biāo)識網(wǎng)終端發(fā)來的應(yīng)用請求消息后�,根據(jù)業(yè)務(wù)請求消息判斷所述標(biāo)識網(wǎng)終端是否已完成與引導(dǎo)服務(wù)功能實體的交互認(rèn)證�����,若已完成則為標(biāo)識網(wǎng)終端生成一衍生密鑰Ks_NAF���,若未完成則于收到成功響應(yīng)消息后為標(biāo)識網(wǎng)終端生成一衍生密鑰Ks_NAF �����;所述標(biāo)識網(wǎng)終端為非MS標(biāo)識網(wǎng)終端或不具有MS能力的標(biāo)識網(wǎng)終端�。系統(tǒng)實施例本實施例提供一種標(biāo)識網(wǎng)端到端安全建立的系統(tǒng),包括終端實施例所述的標(biāo)識網(wǎng)終端����,以及設(shè)備實施例所述的網(wǎng)絡(luò)側(cè)設(shè)備。方法實施例本發(fā)明提供一種標(biāo)識網(wǎng)端到端安全建立的方法���,如圖4所示����,標(biāo)識網(wǎng)用戶終端應(yīng)用增強型通用鑒權(quán)架構(gòu)的方法如下步驟對于非MS終端及不具有MS能力的終端均需要通過B2BUA進行交互�����;步驟a�,標(biāo)識網(wǎng)用戶終端發(fā)送不帶GBA參數(shù)的應(yīng)用請求消息給網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體,網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體響應(yīng)該應(yīng)用請求消息��,指示標(biāo)識網(wǎng)用戶終端與引導(dǎo)服務(wù)功能實體執(zhí)行鑒權(quán)處理�����;步驟b,對于具有MS能力的標(biāo)識網(wǎng)終端�,在收到與引導(dǎo)服務(wù)功能實體執(zhí)行鑒權(quán)處理的指示后����,與BSF進行GBA的引導(dǎo)過程;對于非MS標(biāo)識網(wǎng)終端或不具有MS能力的標(biāo)識網(wǎng)終端�����,MS終端代理在接收到標(biāo)識網(wǎng)用戶終端的GBA請求消息后����,與BSF進行GBA的引導(dǎo)過程;步驟C�����,對于具有MS能力的標(biāo)識網(wǎng)終端�����,在GBA的引導(dǎo)過程完成后����,為本終端生成衍生密鑰Ks_NAF �����;對于非MS標(biāo)識網(wǎng)終端或不具有MS能力的標(biāo)識網(wǎng)終端��,在GBA的引導(dǎo)過程完成后����,IMS終端代理為標(biāo)識網(wǎng)終端生成衍生密鑰Ks_NAF �����;
步驟d��,標(biāo)識網(wǎng)終端與網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體NAF建立安全聯(lián)盟��,在安全聯(lián)盟建立過程中����,引導(dǎo)服務(wù)功能實體BSF為網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體NAF生成衍生密鑰Ks_NAF,其與步驟c中生成的衍生密鑰Ks_NAF相同����。
這樣���,NAF和UE就通過B2BUA共同獲取了一個公共密鑰Ks_NAF。而且����,對于不同的UE,只要使用的AID不同���,相應(yīng)的Ks_NAF也就不一樣,這樣即使一個Ks_NAF泄密�,也不會影響到其他Ks_NAF。從而保證了安全性�����。下面結(jié)合附圖和具體實施實例對本發(fā)明的技術(shù)方案進一步詳細闡述��。本發(fā)明提出了一種標(biāo)識網(wǎng)終端通過MS終端代理B2BUA實體應(yīng)用增強通用鑒權(quán)架構(gòu)(GBA)完成標(biāo)識網(wǎng)終端和請求服務(wù)器之間的安全通信功能��。該B2BUA實體包括NGN的IMS駐留網(wǎng)關(guān)實體�����,或具有類似功能的實體�����。該類終端為標(biāo)識網(wǎng)終端�����。HSS實體內(nèi)亦可儲存了標(biāo)識網(wǎng)終端的標(biāo)識信息AID。此外�����,在本發(fā)明中,假設(shè)這些標(biāo)識網(wǎng)終端UE和B2BUA之間的接口是安全的����。而且���,B2BUA不能主動發(fā)起GBA過程����,必須由UE來觸發(fā)���。依據(jù)本發(fā)明���,不同的標(biāo)識網(wǎng)終端訪問同一個NAF時�,即使其中一個終端的密鑰泄露����,也不會影響到其他的標(biāo)識網(wǎng)終端的安全性�。實施例一如圖5所示���,本實施例描述了 UE和NAF之間的初始引導(dǎo)過程的兩種方式��。首先標(biāo)識網(wǎng)終端要通過在標(biāo)識網(wǎng)內(nèi)部進行用戶接入認(rèn)證使得該標(biāo)識網(wǎng)終端接入到標(biāo)識網(wǎng)內(nèi)�����。方法1:步驟101 :標(biāo)識網(wǎng)終端與認(rèn)證中心進行用戶接入認(rèn)證����;步驟102 :標(biāo)識網(wǎng)終端向ISR發(fā)送應(yīng)用請求消息�,ISR將應(yīng)用請求消息轉(zhuǎn)發(fā)至NAF �����;該應(yīng)用請求消息不攜帶任何GBA參數(shù)��。步驟103 =NAF發(fā)送應(yīng)用響應(yīng)消息給標(biāo)識網(wǎng)終端�����,指示標(biāo)識網(wǎng)終端需要先和BSF進行GBA的引導(dǎo)過程�����。方法2:ISR發(fā)送應(yīng)用請求消息�����,ISR將應(yīng)用請求消息轉(zhuǎn)發(fā)至NAF ����;步驟101 :標(biāo)識網(wǎng)終端與認(rèn)證中心進行用戶接入認(rèn)證;步驟102a :標(biāo)識網(wǎng)終端向MS終端代理發(fā)送應(yīng)用請求消息���;步驟102b IMS終端代理通過ISR將應(yīng)用請求消息轉(zhuǎn)發(fā)至NAF ����;步驟103a NAF返回應(yīng)用響應(yīng)消息,指示標(biāo)識網(wǎng)終端需要先和BSF進行GBA的引導(dǎo)過程�,該應(yīng)用響應(yīng)消息通過ISR轉(zhuǎn)發(fā)至MS終端代理����;步驟103b IMS終端代理將接收的應(yīng)用響應(yīng)消息轉(zhuǎn)發(fā)至標(biāo)識網(wǎng)終端���。實施例二當(dāng)按照圖5所描述的任一方式執(zhí)行了初始引導(dǎo)過程之后����,執(zhí)行如圖6所示的UE和BSF之間的GBA引導(dǎo)交互過程����,并在GBA引導(dǎo)交互過程完成后,為標(biāo)識網(wǎng)終端生成衍生密鑰Ks_NAF����。該圖以非MS終端或不具有MS能力的終端為例進行描述,該引導(dǎo)交互過程包括如下步驟步驟201 UE發(fā)送GBA請求到B2BUA�,該GBA請求中攜帶有該UE的身份標(biāo)識符AID和NAF的標(biāo)識ID。在下述步驟202-209中��,執(zhí)行B2BUA和BSF之間的互相鑒權(quán)過程����。通過這些步驟�����,BSF生成了事務(wù)標(biāo)識B-TID�����,連同密鑰有效期一同發(fā)給B2BUA,并且B2BUA和BSF都生成根密鑰Ks���。此外,在BSF中保存一張關(guān)聯(lián)表(即8-110��,頂 1��,1^^10�����,密鑰有效期����,引導(dǎo)開始時間之間的關(guān)聯(lián)關(guān)系),從而當(dāng)BSF收到NAF的請求后可以根據(jù)此B-TID查到根密鑰Ks�����。具體地�,步驟202 B2BUA向BSF發(fā)送GBA請求消息,該GBA請求消息包含B2BUA自身ISM模塊內(nèi)的私有身份標(biāo)識符IMPI和終端用戶標(biāo)識符AID ;步驟203 =BSF向HSS獲取認(rèn)證向量,BSF通過與HSS的交互獲取該B2BUA的鑒權(quán)向量信息,鑒權(quán)向量信息包括AUTN�、RAND, IK���、CK以及XRES等����;步驟204 =BSF向B2BUA返回·401未授權(quán)挑戰(zhàn)消息,該消息中包含AUTN����、RAND。具體的說�,BSF在接收到B2BUA的鑒權(quán)向量信息后,將鑒權(quán)向量信息中的AUTN以及RAND���,一并攜帶在挑戰(zhàn)消息中���,并將該消息返回給B2BUA�����。其中���,AUTN用于驗證BSF的身份,RAND用于使B2BUA獲取與BSF側(cè)相同的IK和CK��。步驟205 B2BUA收到未授權(quán)挑戰(zhàn)消息后���,通過運行AKA算法���,檢查AUTN的有效性以鑒權(quán)網(wǎng)絡(luò),即通過對其中AUTN的有效性檢查驗證對端BSF的身份�,并根據(jù)RAND得到IK和CK,并生成RES���。步驟206 B2BUA再次向BSF發(fā)送GBA請求消息���,并在該消息中攜帶RES��,其中�����,RES用于驗證B2BUA的身份��。步驟207 =BSF檢查RES的有效性以鑒權(quán)B2BUA ;并生成事務(wù)標(biāo)識B-TID ;BSF還在本地保存一張關(guān)聯(lián)表(即B-TID���,MPI���,Ks,AID����,密鑰有效期,引導(dǎo)開始時間間的關(guān)聯(lián)關(guān)系)��。具體地����,BSF通過判斷GBA請求消息中的RES是否與從HSS處獲取的XRES —致,從而對B2BUA進行鑒權(quán)�。而且��,BSF根據(jù)從HSS處獲取的IK和CK生成Ks�。步驟208 :BSF將B-TID以及Ks的有效期攜帶在2000K成功響應(yīng)消息中發(fā)送給B2BUA����。具體地說,BSF為標(biāo)識與B2BUA之間本次鑒權(quán)交互事務(wù)而分配一個B-TID��,使該B-TID與Ks����、AID、B2BUA的私有用戶標(biāo)識MPI相關(guān)聯(lián)����,以便以后BSF可以根據(jù)該B-TID查找出相應(yīng)的Ks,并且�����,為Ks定義一個有效期��,以便Ks進行定期更新��。BSF將該B-TID以及Ks的有效期攜帶在2000K成功響應(yīng)消息中。步驟209 B2BUA在接收到該成功響應(yīng)消息后����,得到B-TID和Ks的有效期,并將該B-TID和Ks的有效期保存在B2BUA側(cè)��,并生成Ks��。步驟210 B2BUA 根據(jù)公式 Ks_NAF = KDF(Ks, “gba-me”�,RAND, IMPI,NAF_ID, AID)計算出Ks_NAF,并保存Ks_NAF與私有用戶標(biāo)識MPI和NAF_ID之間的關(guān)系���。步驟211 B2BUA將Ks_NAF、B-TID, AID�、密鑰有效期發(fā)給標(biāo)識網(wǎng)終端UE。在該實施例中��,若終端為具有MS能力的標(biāo)識網(wǎng)終端��,則與BSF進行GBA的引導(dǎo)交互時不需要B2BUA參與���,因此步驟201中標(biāo)識網(wǎng)終端發(fā)送GBA請求時還需要攜帶本終端ISIM模塊內(nèi)的私有身份標(biāo)識符MPI��,且標(biāo)識網(wǎng)終端在收到成功響應(yīng)消息后為本終端生成Ks_NAF���。實施例三當(dāng)通過圖6所描述的流程完成了 UE與BSF之間的引導(dǎo)交互過程之后����,接著執(zhí)行如圖7所描述的過程���,實現(xiàn)UE和NAF之間的SA(安全聯(lián)盟)建立���。如圖7所示,其包括如下步驟����。步驟301 UE發(fā)送應(yīng)用請求消息給NAF,該應(yīng)用請求中攜帶有B_TID���,AID ����;該步驟301也可以由圖中的步驟30la-30Ib代替�����,在這些步驟中�����,UE通過B2BUA將應(yīng)用請求消息發(fā)給NAF,這里B2BUA起到轉(zhuǎn)發(fā)的作用�,該應(yīng)用請求消息也包括B-TID和AID。標(biāo)識網(wǎng)身份標(biāo)識AID����,在經(jīng)過ISR時會自動轉(zhuǎn)換為對應(yīng)的IP地址傳遞到NAF,不會把AID自身傳遞到NAF��。步驟302 =NAF發(fā)送認(rèn)證請求消息給BSF���,該認(rèn)證請求消息攜帶有B-TID和NAF主機名(即NAF的標(biāo)識ID)��。步驟303 =BSF根據(jù)和終端側(cè)相同的公式計算出Ks_NAF �;具體地�����,BSF根據(jù)B-TID查找存儲在BSF中的關(guān)聯(lián)表��,獲得Ks��、AID和MPI����,根據(jù)獲得的參數(shù)和在步驟302中發(fā)送來的參數(shù),生成Ks_NAF�����。步驟304 =BSF將Ks_NAF���、應(yīng)用相關(guān)用戶屬性數(shù)據(jù)�、GBA開始時間���、密鑰有效期發(fā)送給 NAF�����。步驟305 =NAF保存Ks_NAF等參數(shù)以及B-TID����,IMPI的關(guān)系��。步驟306 =NAF發(fā)送應(yīng)用響應(yīng)消息給UE���。相應(yīng)的���,該步驟也可以由圖中的步驟306a_306b代替���,即NAF也可能通過B2BUA將應(yīng)用響應(yīng)消息發(fā)給UE。通過上面圖 5的過程�,B2BUA為UE生成了衍生密鑰Ks_NAF,且通過圖6所示的處理���,BSF為NAF生成了相同的衍生密鑰Ks_NAF�。從而����,UE和NAF之間建立了安全聯(lián)盟。實施例四當(dāng)通過圖6所描述的流程完成了 UE與BSF之間的引導(dǎo)交互過程之后�����,UE又要訪問另外一個應(yīng)用服務(wù)器NAF2����。則需要執(zhí)行如圖8所描述的過程����,實現(xiàn)UE和NAF2之間的SA (安全聯(lián)盟)建立����。如圖8所示�,其包括如下步驟。步驟401a :該UE已經(jīng)在訪問應(yīng)用服務(wù)器NAFl時完成了 UE和BSF之間的交互認(rèn)證過程���,并且在UE內(nèi)存儲了 UE和BSF交互認(rèn)證的相關(guān)信息�����,如B-TID�����、AID等�����;則UE經(jīng)B2BUA向NAF發(fā)送應(yīng)用請求消息�����,該消息中攜帶B-TID�、AID���、NAF_ID2和應(yīng)用請求消息內(nèi)容���。B2BUA內(nèi)儲存了關(guān)于UE和BSF之間的交互認(rèn)證的各種GBA參數(shù)信息和終端標(biāo)識符AID����,發(fā)現(xiàn)該AID下的終端已經(jīng)認(rèn)證通過����,并且在根密鑰Ks的有效期內(nèi),則可以直接跳過上述UE和BSF之間的交互認(rèn)證步驟 202-209���。直接根據(jù)公式 Ks_NAF = KDF (Ks, ” gba-me”����,RAND, IMPI, NAF_ID2�����,AID)計算出Ks_NAF���,并保存Ks_NAF與私有用戶標(biāo)識MPI和NAF_ID2之間的關(guān)系�����。步驟401b B2BUA發(fā)送應(yīng)用請求消息給NAF2�����,該應(yīng)用請求中攜帶有B-TID和對應(yīng)的AID的IP地址等�����。標(biāo)識網(wǎng)身份標(biāo)識AID�,在經(jīng)過ISR時會自動轉(zhuǎn)換為對應(yīng)的IP地址傳遞到NAF2����,不會把AID自身傳遞到NAF2。步驟402 NAF2發(fā)送認(rèn)證請求消息給BSF����,該認(rèn)證請求消息攜帶有B-TID和NAF2主機名(即NAF2的標(biāo)識ID)。步驟403 =BSF根據(jù)和用戶側(cè)相同的的公式計算出Ks_NAF ���;具體地��,BSF根據(jù)B-TID查找存儲在BSF中的表�,獲得Ks����、AID和MPI���,根據(jù)獲得的參數(shù)和在步驟402中發(fā)送來的參數(shù),生成Ks_NAF�����。
步驟404 BSF將Ks_NAF��、應(yīng)用相關(guān)用戶屬性數(shù)據(jù)�、GBA開始時間、密鑰有效期發(fā)送給 NAF2���。步驟405 NAF2保存Ks_NAF等參數(shù)以及B-TID��,IMPI的關(guān)系����。步驟406 NAF2發(fā)送應(yīng)用響應(yīng)消息給UE��。實施例五當(dāng)通過上面的描述過程建立了 UE和NAF之間的安全聯(lián)盟之后���,UE和NAF之間執(zhí)行安全的通信�����,但是如果NAF認(rèn)為衍生的共享密鑰Ks_NAF已經(jīng)過期�����,則可以通過如圖9所示的步驟502中指示UE需要重新執(zhí)行和BSF之間的相互鑒權(quán)過程��。當(dāng)然���,該指示也可以通過按照步驟502a和502b由B2BUA進行轉(zhuǎn)發(fā)。根據(jù)上述的方法實現(xiàn)���,在標(biāo)識網(wǎng)終端UE自身具有MS終端的相應(yīng)功能時�,則將不需要B2BUA代理�����,標(biāo)識網(wǎng)終端UE直接與BSF之間進行相互的認(rèn)證引導(dǎo)過程。同時BSF部署在標(biāo)識網(wǎng)架構(gòu)內(nèi)時���,則標(biāo)識網(wǎng)內(nèi)的認(rèn)證中心可以為BSF提供相應(yīng)的認(rèn)證向量參數(shù),此時標(biāo)識網(wǎng)的認(rèn)證中心可以相當(dāng)于GBA架構(gòu)下的HSS網(wǎng)元,亦可以單獨部署HSS功能實體。同時BSF與標(biāo)識網(wǎng)外部傳統(tǒng)IP網(wǎng)絡(luò)上的NAF之間可以通過一個或多個ISR/Zn-Proxy ;其中Zn-proxy功能實體可以位于ISR內(nèi)�����,也可以單獨為一個功能網(wǎng)元實現(xiàn)整個功能���。當(dāng)標(biāo)識網(wǎng)UE和舊版本的BSF之間需要進行GBA過程時��,當(dāng)GBA過程完成后�,BSF應(yīng)將B-TID和AID之間的關(guān)系記 錄下來(BSF已存儲B-TID與Ks��、RAND��、MPI之間的關(guān)系)�����,同時UE會使用帶終端標(biāo)識符AID的密鑰推導(dǎo)公式Ks_NAF = KDF(Ks, “gba-me”��,RAND, IMPI,NAF_ID, AID)生成Ks_NAF ;在UE向NAF發(fā)送應(yīng)用請求消息中攜帶B-TID�,NAF將向BSF發(fā)送的認(rèn)證請求消息中攜帶此B-TID。BSF根據(jù)B-TID查出對應(yīng)的設(shè)備標(biāo)識����,然后BSF使用相同的密鑰推導(dǎo)公式 Ks_NAF = KDF(Ks, ” gba-me”����,RAND, IMPI,NAF_ID, AID)生成 Ks_NAF�,因此標(biāo)識網(wǎng)終端UE和舊版BSF之間可以實現(xiàn)互通。本發(fā)明適用于各種類型的標(biāo)識網(wǎng)終端����,該非MS終端代理實體可以是所述B2BUA(IRG)實體,也可以是3GPP/3GPP2中具備類似功能的實體�����。依照本發(fā)明�,不同的標(biāo)識網(wǎng)終端訪問同一個NAF時��,衍生密鑰Ks_NAF是不一樣的���,這樣即使一個Ks_NAF泄密����,也不會影響其他的Ks_NAF�����,從而保證了安全性。此外�����,終端標(biāo)識是由B2BUA連同衍生共享密鑰Ks_NAF —起傳給標(biāo)識網(wǎng)終端�����,這樣保證了標(biāo)識網(wǎng)終端上不容易進行偽標(biāo)識攻擊��。此外�����,同一個標(biāo)識網(wǎng)終端訪問不同的NAF時����,在根密鑰Ks的有效期,標(biāo)識網(wǎng)終端只需和BSF之間進行一次交互認(rèn)證���,利用此次交互認(rèn)證產(chǎn)生的信息����,為后續(xù)訪問的NAF提供參數(shù)�����,生成不同的Ks_NAF密鑰。該發(fā)明提供的方法能整體實現(xiàn)標(biāo)識網(wǎng)終端和NAF之間的端到端的安全�����。同時���,本發(fā)明是在現(xiàn)有的GBA架構(gòu)上進行的擴展�,從而保證了后向兼容性����。以上所述�,僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護范圍���,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改��、等同替換和改進等�����,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)�����。
權(quán)利要求
1.一種標(biāo)識網(wǎng)端到端安全建立的方法��,包括 標(biāo)識網(wǎng)終端向網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體發(fā)起應(yīng)用請求消息����,所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體判斷所述標(biāo)識網(wǎng)終端是否完成與引導(dǎo)服務(wù)功能實體的通用鑒權(quán)框架GBA的引導(dǎo)過程,若未完成則網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體指示標(biāo)識網(wǎng)終端與引導(dǎo)服務(wù)功能實體執(zhí)行GBA的引導(dǎo)過程��,在所述GBA的引導(dǎo)過程完成后��,標(biāo)識網(wǎng)終端或頂S終端代理為標(biāo)識網(wǎng)終端生成衍生密鑰Ks_NAF�����,之后標(biāo)識網(wǎng)終端與網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體建立安全聯(lián)盟����; 若已完成則網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體與所述標(biāo)識網(wǎng)終端直接建立安全聯(lián)盟,且標(biāo)識網(wǎng)終端或IMS終端代理為標(biāo)識網(wǎng)終端生成衍生密鑰Ks_NAF ���; 在所述安全聯(lián)盟的建立過程中����,所述引導(dǎo)服務(wù)功能實體為網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體生成衍生密鑰Ks_NAF,且與標(biāo)識網(wǎng)終端的Ks_NAF相同�����; 不同的標(biāo)識網(wǎng)終端具有不同的Ks_NAF���。
2.如權(quán)利要求1所述的方法��,其特征在于 所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體判斷所述標(biāo)識網(wǎng)終端是否完成與引導(dǎo)服務(wù)功能實體的GBA的引導(dǎo)過程的方法為 網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體判斷應(yīng)用請求消息中是否攜帶GBA參數(shù)����,若未攜帶則判定標(biāo)識網(wǎng)終端未與引導(dǎo)服務(wù)功能實體完成GBA的引導(dǎo)過程�,若已攜帶則判定標(biāo)識網(wǎng)終端已與引導(dǎo)服務(wù)功能實體完成GBA的引導(dǎo)過程。
3.如權(quán)利要求1所述的方法�����,其特征在于 具有MS能力的標(biāo)識網(wǎng)終端與引導(dǎo)服務(wù)功能實體進行引導(dǎo)交互時����,向引導(dǎo)服務(wù)功能實體發(fā)送GBA請求消息時攜帶私有身份標(biāo)識符IMPI和終端用戶標(biāo)識符AID��,當(dāng)所述引導(dǎo)服務(wù)功能實體完成對所述標(biāo)識網(wǎng)終端的鑒權(quán)后生成一引導(dǎo)事務(wù)標(biāo)識B-TID及根密鑰��,所述引導(dǎo)服務(wù)功能實體將B-TID以及根密鑰的有效期發(fā)送至標(biāo)識網(wǎng)終端,所述標(biāo)識網(wǎng)終端保存所述B-TID以及根密鑰的有效期��,并生成一根密鑰��,所述標(biāo)識網(wǎng)終端還根據(jù)預(yù)設(shè)的生成衍生密鑰的方式生成一生成衍生密鑰��。
4.如權(quán)利要求1所述的方法���,其特征在于 非MS標(biāo)識網(wǎng)終端或不具有MS能力的標(biāo)識網(wǎng)終端與引導(dǎo)服務(wù)功能實體進行引導(dǎo)交互時�����,所述標(biāo)識網(wǎng)終端向頂S終端代理發(fā)送GBA請求消息�,其中攜帶終端用戶標(biāo)識符AID及網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體標(biāo)識����,所述MS終端代理向引導(dǎo)服務(wù)功能實體發(fā)送GBA請求消息,其中攜帶IMS終端代理自身IS頂模塊內(nèi)的私有身份標(biāo)識符MPI和所述AID ����; 當(dāng)所述引導(dǎo)服務(wù)功能實體完成對所述標(biāo)識網(wǎng)終端的鑒權(quán)后生成一引導(dǎo)事務(wù)標(biāo)識B-TID及根密鑰,所述引導(dǎo)服務(wù)功能實體將B-TID以及根密鑰的有效期發(fā)送至IMS終端代理���,所述IMS終端代理保存所述B-TID以及根密鑰的有效期�����,并生成一根密鑰����,所述MS終端代理還根據(jù)預(yù)設(shè)的生成衍生密鑰的方式生成一生成衍生密鑰,然后將衍生密鑰�、B-TID、AID及密鑰有效期發(fā)給標(biāo)識網(wǎng)終端�����。
5.如權(quán)利要求3或4所述的方法�����,其特征在于 所述引導(dǎo)服務(wù)功能實體還在本地存儲以下關(guān)聯(lián)表(a)B-TID��,IMPI, Ks, AID��,密鑰有效期及引導(dǎo)開始時間的關(guān)聯(lián)關(guān)系��;或(b)B-TID與AID的關(guān)聯(lián)關(guān)系���,以及B-TID與Ks���、RAND、IMPI之間的關(guān)聯(lián)關(guān)系����; 當(dāng)所述標(biāo)識網(wǎng)終端與網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體建立安全聯(lián)盟時,向網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體發(fā)送應(yīng)用請求消息�����,其中攜帶B-TID以及AID ;所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體收到應(yīng)用請求消息后向引導(dǎo)服務(wù)功能實體發(fā)送認(rèn)證請求消息���,其中攜帶B-TID以及網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體標(biāo)識���; 所述引導(dǎo)服務(wù)功能實體根據(jù)認(rèn)證請求消息中的B-TID查找所述關(guān)聯(lián)表獲得生成衍生密鑰的信息,并根據(jù)預(yù)設(shè)的計算方式計算一衍生密鑰��,引導(dǎo)服務(wù)功能實體將生成的衍生密鑰����、應(yīng)用相關(guān)用戶屬性數(shù)據(jù)、GBA開始時間及密鑰有效期發(fā)送至所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體�����,所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體保存衍生密鑰與B-TID及MPI的關(guān)系。
6.如權(quán)利要求5所述的方法�����,其特征在于 所述預(yù)設(shè)的生成衍生密鑰的方式為根據(jù)以下公式計算衍生密鑰Ks_NAF = KDF(Ks,“gba-me”�����,RAND, IMPI,NAF_ID,AID)��。
7.一種標(biāo)識網(wǎng)端到端安全建立的方法�,包括 標(biāo)識網(wǎng)終端與引導(dǎo)服務(wù)功能實體完成GBA的引導(dǎo)過程后,生成衍生密鑰Ks_NAF��,之后所述標(biāo)識網(wǎng)終端與網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體建立安全聯(lián)盟���,且不同的標(biāo)識網(wǎng)終端具有不同的Ks_NAF �����; 所述標(biāo)識網(wǎng)終端為具有MS能力的標(biāo)識網(wǎng)終端����。
8.如權(quán)利要求7所述的方法,其特征在于 所述標(biāo)識網(wǎng)終端與引導(dǎo)服務(wù)功能實體進行GBA的引導(dǎo)過程時��,標(biāo)識網(wǎng)終端向引導(dǎo)服務(wù)功能實體發(fā)送GBA請求消息時攜帶私有身份標(biāo)識符IMPI和終端用戶標(biāo)識符AID ��; 當(dāng)所述標(biāo)識網(wǎng)終端收到引導(dǎo)事務(wù)標(biāo)識B-TID以及根密鑰的有效期后���,保存所述B-TID以及根密鑰的有效期,并生成一根密鑰����; 所述標(biāo)識網(wǎng)終端生成Ks_NAF是在收到B-TID以及根密鑰的有效期后根據(jù)預(yù)設(shè)方式生成。
9.如權(quán)利要求8所述的方法���,其特征在于 所述標(biāo)識網(wǎng)終端根據(jù)以下公式計算衍生密鑰Ks_NAF = KDF (Ks, “gba-me”����,RAND, IMPI, NAF_ID, AID)�����。
10.一種標(biāo)識網(wǎng)端到端安全建立的方法��,包括 IMS終端代理收到標(biāo)識網(wǎng)終端發(fā)來的應(yīng)用請求消息后����,根據(jù)所述業(yè)務(wù)請求消息判斷所述標(biāo)識網(wǎng)終端是否已完成與引導(dǎo)服務(wù)功能實體的交互認(rèn)證�,若已完成則為所述標(biāo)識網(wǎng)終端生成一衍生密鑰Ks_NAF��,若未完成則于收到成功響應(yīng)消息后為所述標(biāo)識網(wǎng)終端生成一衍生密鑰 Ks_NAF ����; 所述標(biāo)識網(wǎng)終端為非MS標(biāo)識網(wǎng)終端或不具有MS能力的標(biāo)識網(wǎng)終端。
11.如權(quán)利要求10所述的方法���,其特征在于 所述MS終端代理根據(jù)以下公式計算衍生密鑰Ks_NAF = KDF (Ks, “gba-me”��,RAND, IMPI, NAF_ID, AID)�。
12.—種標(biāo)識網(wǎng)端到端安全建立的方法����,包括 在網(wǎng)絡(luò)應(yīng)用實體與標(biāo)識網(wǎng)終端建立安全聯(lián)盟過程中,引導(dǎo)服務(wù)功能實體為網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體生成一衍生密鑰Ks_NAF����,并將生成的Ks_NAF發(fā)送至所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體。
13.如權(quán)利要求12所述的方法�,其特征在于,所述方法還包括 引導(dǎo)服務(wù)功能實體收到標(biāo)識網(wǎng)終端發(fā)來的GBA請求消息后完成對所述標(biāo)識網(wǎng)終端的鑒權(quán)����,之后生成一引導(dǎo)事務(wù)標(biāo)識B-TID及根密鑰�,所述引導(dǎo)服務(wù)功能實體將B-TID以及根密鑰的有效期發(fā)送至標(biāo)識網(wǎng)終端�����。
14.如權(quán)利要求13所述的方法��,其特征在于����,所述方法還包括 所述引導(dǎo)服務(wù)功能實體在本地存儲一關(guān)聯(lián)表���,所述關(guān)聯(lián)表為以下信息間的關(guān)聯(lián)關(guān)系B-TID, MPI�,Ks��,AID�,密鑰有效期及引導(dǎo)開始時間。
15.如權(quán)利要求12所述的方法����,其特征在于,所述方法還包括 所述網(wǎng)絡(luò)應(yīng)用實體收到標(biāo)識網(wǎng)終端發(fā)來的應(yīng)用請求消息后���,判斷其中是否包含GBA參數(shù)����,若未包含則返回應(yīng)用請求響應(yīng)消息,指示標(biāo)識網(wǎng)終端與引導(dǎo)服務(wù)功能實體進行GBA的引導(dǎo)過程����,若已包含則與標(biāo)識網(wǎng)終端建立安全聯(lián)盟。
16.如權(quán)利要求12所述的方法�,其特征在于 所述引導(dǎo)服務(wù)功能實體根據(jù)以下公式計算衍生密鑰Ks_NAF = KDF (Ks, “gba-me”,RAND, IMPI, NAF_ID, AID)���。
17.一種標(biāo)識網(wǎng)端到端安全建立的標(biāo)識網(wǎng)終端��,其特征在于 所述標(biāo)識網(wǎng)終端��,用于完成與引導(dǎo)服務(wù)功能實體進行通用鑒權(quán)框架GBA的引導(dǎo)過程后生成衍生密鑰Ks_NAF ;所述標(biāo)識網(wǎng)終端還用于與網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體建立安全聯(lián)盟�; 所述標(biāo)識網(wǎng)終端為具有MS能力的標(biāo)識網(wǎng)終端�����。
18.如權(quán)利要求17所述的標(biāo)識網(wǎng)終端�,其特征在于 所述標(biāo)識網(wǎng)終端根據(jù)以下公式計算衍生密鑰Ks_NAF = KDF (Ks, “gba-me”,RAND, IMPI, NAF_ID, AID)�。
19.一種標(biāo)識網(wǎng)端到端安全建立的網(wǎng)絡(luò)側(cè)設(shè)備����,包括引導(dǎo)服務(wù)功能實體及網(wǎng)絡(luò)應(yīng)用實體�;其特征在于 所述引導(dǎo)服務(wù)功能實體,用于在網(wǎng)絡(luò)應(yīng)用實體與標(biāo)識網(wǎng)終端建立安全聯(lián)盟過程中為所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體生成一衍生密鑰Ks_NAF�,并將生成的Ks_NAF發(fā)送至所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體。
20.如權(quán)利要求19所述的網(wǎng)絡(luò)側(cè)設(shè)備����,其特征在于 所述引導(dǎo)服務(wù)功能實體還用于收到標(biāo)識網(wǎng)終端發(fā)來的GBA請求消息后完成對所述標(biāo)識網(wǎng)終端的鑒權(quán),之后生成一引導(dǎo)事務(wù)標(biāo)識B-TID及根密鑰���,并將B-TID以及根密鑰的有效期發(fā)送至標(biāo)識網(wǎng)終端。
21.如權(quán)利要求20所述的絡(luò)側(cè)設(shè)備��,其特征在于 所述引導(dǎo)服務(wù)功能實體還用于在本地存儲以下關(guān)聯(lián)表(a)B-TID����,IMPI, Ks, AID,密鑰有效期及引導(dǎo)開始時間的關(guān)聯(lián)關(guān)系�����;或(b)B-TID與AID的關(guān)聯(lián)關(guān)系�����,以及B-TID與Ks、RAND, IMPI之間的關(guān)聯(lián)關(guān)系����; 當(dāng)引導(dǎo)服務(wù)功能實體收到認(rèn)證請求消息后,根據(jù)其中的B-TID查找所述關(guān)聯(lián)關(guān)系�,獲得Ks、RAND����、IMPI及AID,并根據(jù)以下公式計算衍生密鑰Ks_NAF = KDF (Ks, “gba-me”���,RAND, IMPI, NAF_ID, AID)����。
22.如權(quán)利要求19所述的網(wǎng)絡(luò)側(cè)設(shè)備����,其特征在于 所述網(wǎng)絡(luò)側(cè)設(shè)備還包括MS終端代理,用于收到標(biāo)識網(wǎng)終端發(fā)來的應(yīng)用請求消息后����,根據(jù)所述業(yè)務(wù)請求消息判斷所述標(biāo)識網(wǎng)終端是否已完成與引導(dǎo)服務(wù)功能實體的交互認(rèn)證���,若已完成則為所述標(biāo)識網(wǎng)終端生成一衍生密鑰Ks_NAF,若未完成則于收到成功響應(yīng)消息后為所述標(biāo)識網(wǎng)終端生成一衍生密鑰Ks_NAF �;所述標(biāo)識網(wǎng)終端為非頂S標(biāo)識網(wǎng)終端或不具有MS能力的標(biāo)識網(wǎng)終端。
23.—種標(biāo)識網(wǎng)端到端安全建立的系統(tǒng)���,其特征在于�����,所述系統(tǒng)包括如權(quán)利要求17或18所述的標(biāo)識網(wǎng)終端以及如權(quán)利要求19至22任一所述的網(wǎng)絡(luò)側(cè)設(shè)備�����。
全文摘要
本發(fā)明提供一種標(biāo)識網(wǎng)端到端安全建立的方法、網(wǎng)絡(luò)側(cè)設(shè)備及系統(tǒng)��,該方法包括在標(biāo)識網(wǎng)終端與引導(dǎo)服務(wù)功能實體的GBA引導(dǎo)過程完成后���,標(biāo)識網(wǎng)終端或IMS終端代理為標(biāo)識網(wǎng)終端生成衍生密鑰Ks_NAF����,之后標(biāo)識網(wǎng)終端與網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體建立安全聯(lián)盟����;在安全聯(lián)盟的建立過程中���,引導(dǎo)服務(wù)功能實體為網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體生成衍生密鑰Ks_NAF,且與標(biāo)識網(wǎng)終端的Ks_NAF相同���;不同的標(biāo)識網(wǎng)終端具有不同的Ks_NAF���。采用本發(fā)明方案,不同的標(biāo)識網(wǎng)終端訪問同一個NAF時��,衍生的共享密鑰Ks_NAF是不一樣的�����,這樣即使一個Ks_NAF泄密��,也不會影響其他的Ks_NAF�,從而保證了安全性。
文檔編號H04L29/06GK103051594SQ201110309839
公開日2013年4月17日 申請日期2011年10月13日 優(yōu)先權(quán)日2011年10月13日
發(fā)明者張孟旺, 夏正雪, 韋銀星 申請人:中興通訊股份有限公司