专利名称:用户接入认证代理时确定认证使用的密钥的方法及系统的制作方法
技术领域:
本发明涉及3GPP通用鉴权框架(GAA)技术领域,特别是指一种UE接入AP时确定认证所使用的密钥的方法及系统。
背景技术:
在第三代无线通信标准中,通用鉴权框架(GAA)是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构,应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务。
图1示出了所述通用鉴权框架的结构。通用鉴权框架通常由用户(UE)、执行用户身份初始检查验证的实体(BSF)、用户归属网络服务器(HSS)和网络业务应用实体(NAF)组成。BSF用于与UE进行互验证身份,同时生成BSF与UE的共享密钥Ks;HSS中存储用于描述用户信息的描述(Profile)文件,同时HSS还兼有产生鉴权信息的功能。
UE需要使用某种业务时,如果UE知道该业务需要到BSF进行互鉴权过程,则直接到BSF进行互鉴权,否则,UE会首先和该业务对应的NAF联系,如果该NAF使用GAA通用鉴权框架,并且发现该UE还未到BSF进行互认证过程,NAF则通知该UE到BSF进行互鉴权以验证身份。
接下来UE与BSF之间执行互认证过程。根据UE中的UICC(通用集成电路卡,是可插入UE的一种IC卡或智能卡)属性的不同,UE和BSF之间会执行两种不同的过程如果UICC具备GBA功能,那么UE与BSF执行GBA_U过程,结果产生UICC和BSF之间共享一个密钥Ks;如果UICC不具备互认证(GBA)功能,那么UE与BSF执行GBA_ME过程,结果产生UE和BSF之间共享一个密钥Ks。
接下来UE和BSF将会由Ks计算用来加密UE和NAF之间通信的GAA衍生密钥(NAF-specific key)。并且根据UICC属性不同,也会有不同的NAF-specific key生成如果UICC具备GBA功能,那么终端将由Ks计算的GAA衍生密钥为Ks_NAF,存放于UE的移动设备(ME)上;BSF也由Ks根据同样方法计算出Ks_NAF,并发送给NAF。如果UICC不具备GBA功能,那么终端将由Ks计算的GAA衍生密钥为Ks_ext_NAF和Ks_int_NAF,Ks_int_NAF存放于UICC,Ks_ext_NAF发到ME保存。BSF也由Ks根据同样方法计算出Ks_ext_NAF和Ks_int_NAF,并发送给NAF。
接下来UE和NAF之间的通信采用所述GAA衍生密钥进行加密保护。
在实际应用中,根据实现NAF的实体的不同,应用在Ua接口(Ua是NAF与UE之间的接口)认证UE的方式也有不同一种情况是应用服务器(AS)自身作为实现NAF的实体,在UE接入AS时,直接对UE进行业务接入认证,认证过程中,AS与UE需要采用GAA过程生成密钥进行相互认证。
另外一种如图2所示AS和UE之间存在认证代理(AP,AuthenticationProxy)的情况。在UE接入AS前,由AP代替AS对UE进行认证,在认证成功后再将UE接入对应的AS。在对UE的认证过程中,AP与UE需要采用GAA过程生成的密钥进行相互认证。其中每个认证代理(AP)可以为多个AS认证UE。
具体来说,对于后一种所述存在认证代理(AP)的情况。当UE的认证请求发往AP(以发送给与AP关联的AS)时,TLS(Transport Layer Security,传输层安全性)隧道终止于AP,由AP截获该认证请求执行对UE的认证。认证通过后,AP将从UE接收到的请求转发给一个或者多个AS,AP可以在UE请求中插入用户身份的申明,以便于AS判断请求是否来自已经被认证的UE。
如上所述,根据UICC是否具备GBA功能,生成的GAA衍生密钥为Ks_NAF,或者为Ks_ext_NAF和Ks_int_NAF。目前,对AP与UE进行上述认证所采用的密钥并没有进行规定。而不同的AS对认证所要求使用的密钥可能是不同的,这导致不同AS对认证所要求使用的密钥可能与AP与UE间实际认证时采用的密钥不一致。从而,可能会导致AP与UE进行认证时采用的密钥不符合要接入的AS对认证所要求使用的密钥,从而不符合AS对认证的安全性的要求。
发明内容
有鉴于此,本发明的主要目的在于提供了一种UE接入AP时确定认证所使用的密钥的方法及系统,实现AP与UE的认证过程所使用的GAA衍生密钥符合AS对认证所使用密钥的要求。
本发明提供的UE接入认证代理(AP)时确定认证所使用的密钥的方法,GAA下的AP保存根据一共享密钥Ks计算出的GAA衍生密钥;AP记录有AS对认证所需密钥类型的要求,UE通过AP接入AS时,包括以下步骤A、UE向AP发送认证请求;该认证请求携带UE所要接入AS的AS标识;B、AP根据所述认证请求中的AS标识查找记录的该AS对认证所需密钥类型的要求;C、AP根据所述AS对认证所需密钥类型的要求确定出认证时要使用的GAA衍生密钥。
其中,步骤C所述确定出认证时要使用的GAA衍生密钥的步骤包括A2、UE根据所述Ks生成认证时要使用的GAA衍生密钥,将所述GAA衍生密钥的类型发送给AP;B2、AP收到所述GAA衍生密钥的类型后,判断该GAA衍生密钥类型是否符合所述AS对认证所需密钥类型的要求,若是,则采用所保存的所述GAA衍生密钥类型的GAA衍生密钥作为确定出的认证时要使用的GAA衍生密钥;否则退出本流程。
其中,步骤A2所述UE根据所述Ks生成认证时要使用的GAA衍生密钥的步骤包括判断UE的通用集成电路卡UICC是否具备互认证GBA能力,若是,则生成Ks_NAF类型的GAA衍生密钥;否则,进一步判断当前应用是UE的UICC上的应用时,生成Ks_int_NAF类型的GAA衍生密钥,若判断是UE的移动设备ME上的应用,生成Ks_ext_NAF类型的GAA衍生密钥。
其中,步骤C所述确定出认证时要使用的GAA衍生密钥的步骤包括A4、UE获得所述AS对认证所需密钥类型的要求,并根据UE的UICC是否具备GBA能力判断是否能够产生所述所需密钥类型要求的GAA衍生密钥,若是,则产生所述所需密钥类型要求的GAA衍生密钥,否则退出本流程;B4、AP根据所述AS对认证所需密钥类型的要求,判断所保存的GAA衍生密钥的类型是否有所需密钥类型要求的类型,若是,则使用所述GAA衍生密钥,否则退出本流程。
其中,所述UE获得所述AS对认证所需密钥类型的要求是从所述AS或AP获得的。
其中,所述AS对认证所需密钥类型的要求包括要求采用Ks_NAF、Ks_NAF或Ks_int_NAF类型中的某一种,或首选其中的某一种。
本发明还提供了一种用户UE接入认证代理AP时确定认证所使用的密钥的系统,包括存储单元,记录有连接AP的各个AS对认证所需密钥类型的要求;判断单元,用来判断UE接入AP认证时要使用的GAA衍生密钥;AP,保存有根据UE和BSF执行GBA过程生成的共享密钥Ks所计算出的GAA衍生密钥;用于接收带到UE发送的认证请求时,查询存储单元,根据所述认证请求中携带的UE所要接入AS的AS标识从存储单元中读取该AS对认证所需的密钥类型;并将从存储单元中读取的所述AS对认证所需的密钥类型、AP保存的所述GAA衍生密钥发信给判断单元;判断单元依据所述AS对认证所需的密钥类型对所述GAA衍生密钥进行判断,以确认在UE接入AP时是否采用所述GAA衍生密钥。
本发明方法中,AP为每个AS配置该AS对认证要求的密钥类型,当AP接到UE的认证请求时,判断在BSF上对UE所要访问的AS的认证密钥没有特殊限定时,则根据所配置的信息判断UE所选的密钥类型是否符合要接入的AS的要求;以确定出所要使用的GAA衍生密钥,继续后续的认证过程。
或者是根据该信息选择符合要接入的AS对认证所使用的密钥类型的要求,来匹配GAA过程所生成的GAA衍生密钥的类型,确定出要使用的GAA衍生密钥,以继续后续的认证过程。保证AP认证UE时,认证安全强度(即认证采用的密钥类型)是符合AS对认证的要求。
本发明系统中,根据AP、判断单元、存储单元可以以确定出UE接入AP时确定认证所使用的GAA衍生密钥,从而继续后续的认证过程。保证AP认证UE时,认证安全强度(即认证采用的密钥类型)是符合AS对认证的要求。
图1为GAA框架示意图。
图2为AS和UE之间存在认证代理AP的结构图。
图3为确定Ua接口密钥的流程图。
图4为UE接入AP时确定认证所使用密钥的系统。
具体实施例方式
预先,AP为关联的每个AS配置对认证所需密钥类型的要求,该配置信息可以在AP为AS配置的认证要求信息里配置。该配置信息用来指定AS对认证所需密钥类型的要求,可以是Ks_NAF、Ks_ext_NAF、Ks_int_NAF中的某一种类型;或者是首选的一种类型。在配置时,将AS认证要求信息与对应的AS名称关联保存。以便于AP能够根据AS名检索到对应的认证要求信息。
上述为每个AS配置对认证所要求的密钥类型,也可以在BSF中进行配置(可由运营商配置),配置好后发送给AP。
配置好上述信息后,在AP与UE之间通信进行认证时,参加附图3,包括以下步骤步骤301在AP和UE能够采用GAA衍生密钥(NAF-specific key)进行相互认证以前,UE首先与BSF执行双向认证以及密钥协商过程,即GBA过程。通过GBA过程UE和BSF之间协商一个共享密钥Ks,并为该共享密钥Ks分配一个B-TID作为该共享密钥Ks的索引,以及分配Ks的有效期。
步骤302执行完GBA过程后,UE向AP发送认证请求,并在该认证请求里携带所述B-TID,以及NAF-ID(这里即AP-ID,后文不再说明),以及要访问的应用服务器(AS)的名称,以便于AP识别所要访问的AS。
例如,如果采用的http digest方式认证UE,则可以在认证请求的http头的“host”里携带AS名称。如果采用PSK TLS方式认证,那么在UE发送的ClientHello message使用server_name extension方式发送AS名称。
步骤303AP接到UE的认证请求以后,向BSF请求GAA衍生密钥,并在请求消息携带有所述NAF-ID、B-TID。
步骤304BSF找到B-TID对应的Ks,并且计算出GAA衍生密钥(根据UICC是否具备GBA功能,生成的GAA衍生密钥为Ks_NAF,或者为Ks_ext_NAF和Ks_int_NAF)。并将计算出的GAA衍生密钥通过响应消息返回给AP。
如果在BSF上配置了AS对认证所需密钥类型的要求(要求是某种类型,或要求首选某种类型),可以通过所述响应消息中包含的USS(User SecuritySetting,用户安全设置)字段里设置一个标志位,将所述配置的AS对认证所需密钥类型的要求返回给AP。
步骤305AP根据在BSF配置的AS对认证所需密钥类型的要求、AP上配置的对认证所需密钥类型的要求、UE所采用的GAA衍生密钥类型确定认证过程中所使用的GAA衍生密钥类型。具体来说包括以下两种方式第一种判断UE所采用的GAA衍生密钥类型是否符合在BSF配置的对AS的认证密钥的类型要求、或是否符合AP上配置的AS所要采用的密钥类型,若是,则确定使用该类型密钥,否则结束。
第二种AP和UE均获得UICC能力和在BSF或AP上配置的AS对认证所需密钥类型的要求,使用同样的方法,根据所述AS对认证所需GAA衍生密钥类型的要求匹配出符合要求的GAA衍生密钥。
步骤306当确定所使用的密钥后,则使用该确定出的GAA衍生密钥进行后续的UE和AP之间的认证。
这里对上述步骤305所述的两种确定GAA衍生密钥的过程进一步详细说明第一种方式,具体包括以下步骤a、UE判断是否支持GBA,若是,则选择Ks_NAF密钥,否则进一步根据当前应用所处位置选用密钥,也就是说,若是UICC上的应用就采用存放于UICC上的GAA衍生密钥ks_int_NAF,若是ME上的应用就采用存放于ME上的GAA衍生密钥Ks_ext_NAF。在选择后,将所选用GAA衍生密钥的类型置于密钥选择信息中,通过Ua口发送给AP;b、AP收到所述密钥选择信息后,判断该消息中携带的GAA衍生密钥的类型是否符合BSF发送过来的在BSF上配置的AS对认证所需密钥类型的要求,并判断是否符合AP上记录的对应于要访问的AS对认证所需密钥类型的要求,若是,则采用UE发送的GAA衍生密钥类型选择步骤304中BSF发送过来的GAA衍生密钥,用于对UE进行认证;否则拒绝UE的认证请求。
例如,当UE将使用Ks_ext_NAF密钥类型发送给AP后,而AP记录的AS对认证所需密钥类型的要求为Ks_int_NAF类型时,则结束;若记录的AS对认证所需密钥类型的要求为Ks_ext_NAF类型时,则采用BSF发送过来的对应类型的密钥。
在具体实现时,当存在BSF发送过来的在BSF上配置的AS对认证所需密钥类型的要求时,优先选择该条件对所述UE的密钥类型进行判断。
第二种方式,具体包括以下步骤a、UE从网络得到对要访问的AS对认证所需密钥类型的要求,然后将UICC能力(即是否支持GBA)与得到的AS对认证所需密钥类型的要求进行匹配来选择密钥。其中,UE可根据所要访问的AS请求AP,或直接与AS通信获得要访问的AS对认证所需密钥类型的要求。
b、AP从BSF获得GAA衍生密钥后,根据该GAA衍生密钥的类型(GAA衍生密钥的类型反应了UICC的能力,如,衍生密钥为Ks_NAF,则UICC具备GBA能力;若GAA衍生密钥为Ks_ext_NAF和Ks_int_NAF,则UICC不具备GBA能力)与BSF发送过来的在BSF上配置的AS对认证所需密钥类型的要求,或者AP上记录的要访问的AS对认证所需密钥类型的要求,进行匹配选择要使用的密钥。
对于a、b中,若能匹配则使用匹配出的密钥,否则结束。例如,获得的AS对认证所需密钥类型的要求为Ks_int_NAF类型时,当判断UICC不具备GBA,有能力产生该密钥类型时,则产生该类型的密钥。
在具体实现时,可当存在BSF发送过来的在BSF上配置的AS对认证所需密钥类型的要求时,优先选择该条件匹配选择密钥类型。
相应的,参见图4所示,本发明还提供了UE接入AP时确定认证所使用密钥的系统。该系统包括AP、还包括分别和AP相连的存储单元和判断单元,下面进行说明AP保存有根据UE和BSF执行GBA过程生成的共享密钥Ks所计算出的GAA衍生密钥;存储单元记录有连接AP的各个AS对认证所需密钥类型的要求;判断单元用来判断UE接入AP认证时要使用的GAA衍生密钥。
UE通过AP接入AS时,AP接收UE发送的认证请求(该认证请求携带UE所要接入AS的AS标识);AP查询存储单元,根据UE所要接入AS的标识从存储单元中读取该AS对认证所需的密钥类型;然后AP将从存储单元中读取的所述AS对认证所需的密钥类型、AP保存的所述GAA衍生密钥发信给判断单元;判断单元依据所述AS对认证所需的密钥类型对所述GAA衍生密钥进行判断,当类型一致时,确认使用该类型的GAA衍生密钥,并通知AP在UE接入AP时采用该GAA衍生密钥;否则退出本流程以拒绝UE的接入。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种用户UE接入认证代理AP时确定认证所使用的密钥的方法,通用鉴权框架GAA下的AP保存根据一共享密钥Ks计算出的GAA衍生密钥;其特征在于,AP记录有应用服务器AS对认证所需密钥类型的要求,UE通过AP接入AS时,包括以下步骤A、UE向AP发送认证请求;该认证请求携带UE所要接入AS的AS标识;B、AP根据所述认证请求中的AS标识查找记录的该AS对认证所需密钥类型的要求;C、AP根据所述AS对认证所需密钥类型的要求确定出认证时要使用的GAA衍生密钥。
2.根据权利要求1所述的方法,其特征在于,步骤C所述确定出认证时要使用的GAA衍生密钥的步骤包括A2、UE根据所述Ks生成认证时要使用的GAA衍生密钥,将所述GAA衍生密钥的类型发送给AP;B2、AP收到所述GAA衍生密钥的类型后,判断该GAA衍生密钥类型是否符合所述AS对认证所需密钥类型的要求,若是,则采用所保存的所述GAA衍生密钥类型的GAA衍生密钥作为确定出的认证时要使用的GAA衍生密钥;否则退出本流程。
3.根据权利要求2所述的方法,其特征在于,步骤A2所述UE根据所述Ks生成认证时要使用的GAA衍生密钥的步骤包括判断UE的通用集成电路卡UICC是否具备互认证GBA能力,若是,则生成Ks_NAF类型的GAA衍生密钥;否则,进一步判断当前应用是UE的UICC上的应用时,生成Ks_int_NAF类型的GAA衍生密钥,若判断是UE的移动设备ME上的应用,生成Ks_ext_NAF类型的GAA衍生密钥。
4.根据权利要求1所述的方法,其特征在于,步骤C所述确定出认证时要使用的GAA衍生密钥的步骤包括A4、UE获得所述AS对认证所需密钥类型的要求,并根据UE的UICC是否具备GBA能力判断是否能够产生所述所需密钥类型要求的GAA衍生密钥,若是,则产生所述所需密钥类型要求的GAA衍生密钥,否则退出本流程;B4、AP根据所述AS对认证所需密钥类型的要求,判断所保存的GAA衍生密钥的类型是否有所需密钥类型要求的类型,若是,则使用所述GAA衍生密钥,否则退出本流程。
5.根据权利要求4所述的方法,其特征在于,所述UE获得所述AS对认证所需密钥类型的要求是从所述AS或AP获得的。
6.根据权利要求1所述的方法,其特征在于,所述AS对认证所需密钥类型的要求包括要求采用Ks_NAF、Ks_NAF或Ks_int_NAF类型中的某一种,或首选其中的某一种。
7.一种用户UE接入认证代理AP时确定认证所使用密钥的系统,其特征在于,包括存储单元,记录有连接AP的各个AS对认证所需密钥类型的要求;判断单元,用来判断UE接入AP认证时要使用的GAA衍生密钥;AP,保存有根据UE和BSF执行GBA过程生成的共享密钥Ks所计算出的GAA衍生密钥;用于接收带到UE发送的认证请求时,查询存储单元,根据所述认证请求中携带的UE所要接入AS的AS标识从存储单元中读取该AS对认证所需的密钥类型;并将从存储单元中读取的所述AS对认证所需的密钥类型、AP保存的所述GAA衍生密钥发信给判断单元;判断单元依据所述AS对认证所需的密钥类型对所述GAA衍生密钥进行判断,以确认在UE接入AP时是否采用所述GAA衍生密钥。
全文摘要
一种UE接入认证代理AP时确定认证所使用的密钥的方法,通用鉴权框架GAA下的AP保存根据一共享密钥Ks计算出的GAA衍生密钥;还AP记录有应用服务器AS对认证所需密钥类型的要求,UE通过AP接入AS时,包括以下步骤A.UE向AP发送认证请求;该认证请求携带UE要接入的AS的标识;B.AP根据所述认证请求中的AS标识查找记录的该AS对认证所需密钥类型的要求;C.AP根据所述AS对认证所需密钥类型的要求确定出认证时要使用的GAA衍生密钥。还相应的提供了UE接入AP时确定认证所使用的密钥的系统。使用本发明,可实现AP与UE的认证过程所使用的GAA衍生密钥符合AS对认证所使用密钥的要求。
文档编号H04L9/28GK1929370SQ200510099740
公开日2007年3月14日 申请日期2005年9月5日 优先权日2005年9月5日
发明者杨艳梅 申请人:华为技术有限公司