建立安全关联的方法、用户设备和网络侧设备的制作方法

专利名称：建立安全关联的方法、用户设备和网络侧设备的制作方法
技术领域：
本发明涉及网络通信领域，尤其涉及建立安全关联的方法、用户设备和 网络侧设备。
背景技术：
在第三代无线通信标准中，通用自举架构(GBA, Generic Bootstrapping Architecture )技术是多种应用业务实体使用的一个用于完成对用户身份进行 验证的通用结构，同时生成共享密钥，对应用通信进行保护的一种技术。
GBA推送(GBA push)是一种特殊的GBA技术，它可以满足网络侧主 动向用户终端推送数据的业务需求。
通常所述GBA push网络架构包括用户终端(UE, User Equipment )、自 举服务器功能(BSF, Bootstrapping Server Function )实体以及网络应用功能 (NAF, Network Application Function )实体。常见的push流程是这样的当 NAF需要向UE推送应用数据时，应用数据没有密钥保护，而UE不能直接 和BSF自举生成密钥，此时NAF将UE身份信息以及自身信息发送给BSF, BSF根据收到的信息生成共享密钥及GBA推送信息，再将密钥、密钥生命周 期以及GBA推送信息发送给NAF, NAF采用该密钥对需要推送的消息进行 加密，然后将加密得到的推送数据以及GBA推送信息发送给UE。
现有技术提出了 一种推送数据的方法，该方法在push流程中定义了 一个 安全层，方法流程如图l所示，具体包括以下步骤
步骤101 步骤102、 UE、 BSF和NAF进行正常的GBA (normal GBA)或
者GBA push流程生成密钥Ks ,并从Ks衍生用于保护推送消息的密钥 Ks—(ext/int)—NAF。
步骤103 、基于Ks—(ext/int)—NAF或Ks—(ext/int)—NAF衍生的密钥建立NAF 和UE之间的安全关联，NAF利用共享密钥对需要推送的消息进行加密，并将 加密得到的数据发送给UE。
在现有标准文本中提出了安全层的概念，安全层是可以重用的安全关联。
如果一个安全关联建立以后，可以在后续的业务应用中重复使用，则该安全
关联可以称之为安全层。现有标准文本进一步提到，在网络侧发起的push业
务中，应当能够基于安全层开展业务，即应当能够建立满足安全层要求的安 全关联。
发明人在实现本发明过程中，发现现有技术中至少存在如下问题 满足安全层要求的安全关联需要通过一系列流程才能建立，但现有标准
文本中仅提出需要在push业务中也能够建立这样的安全关联，却没有给出
push业务中建立这种安全关联的具体流程。

发明内容
本发明实施例要解决的技术问题是提供一种建立安全关联的方法，该方 法能够使用户和网络侧之间建立的安全关联满足在push业务中基于安全层开 展业务的需求。
本发明实施例要解决的技术问题是提供一种用户设备，该设备能够建立 和网络側之间的安全关联，且该安全关联满足在push业务中基于安全层开展 业务的需求。
本发明实施例要解决的技术问题是提供一种网络侧设备，该设备能够建 立和用户设备之间的安全关联，且该安全关联满足在push业务中基于安全层 开展业务的需求。
为解决上述技术问题，本发明实施例提供了一种建立安全关联的方法， 该方法包括
网络侧向用户设备发送安全关联参数；
网络侧接收用户设备返回的建立安全关联所采用的安全关联参数，并根 据所述建立安全关联所采用的安全关联参数建立和用户设备之间的安全关 联。
本发明实施例还提供了一种建立安全关联的方法，该方法包括 用户设备接收网络侧发送的安全关联参数； 用户设备根据所述安全关联参数建立和网络侧之间的安全关联； 用户设备向网络侧发送建立安全关联所采用的安全关联参数。
本发明实施例还提供了一种建立安全关联的方法，包括
网络侧向用户设备发送安全关联参数；
网络侧根据所述安全关联参数并采用预共享密钥传输层安全协议与用户
设备建立安全关联；
网络侧利用所建立的安全关联向用户设备推送数据。 本发明实施例还提供一种建立安全关联的方法，包括 用户设备接收网络侧发送的安全关联参数；
用户设备根据所述安全关联参数并采用预共享密钥传输层安全协议与网 络侧建立安全关联；
用户设备利用所建立的安全关联接收网络侧发送的推送数据。
本发明实施例提供了一种网络侧设备，该设备包括
第一收发单元，用于向用户设备发送安全关联参数，以及接收用户设备
返回的建立安全关联所采用的安全关联参数；
第一建立单元，用于根据收发单元收到的安全关联参数建立和用户设备 之间的安全关联。
本发明实施例提供了一种用户设备，该设备包括
第二收发单元，用于接收网络侧发送的安全关联参数，以及向网络侧发 送建立安全关联所采用的安全关联参数；
第二建立单元，用于根据第二收发单元收到的安全关联参数建立和网络 侧之间的安全关联。
本发明实施例还提供了 一种网络侧设备，该设备包括
发送单元，用于向用户设备发送安全关联参数；
第三建立单元，用于根据发送单元发送的安全关联参数并采用预共享密 钥传输层安全协议与用户设备建立安全关联；
推送单元，用于利用所建立的安全关联向用户设备推送数据。
本发明实施例还提供了一种用户设备，该设备包括
接收单元，用于接收网络侧发送的安全关联参数；
第四建立单元，用于根据接收单元收到的安全关联参数并采用预共享密钥传输层安全协议与网络侧建立安全关联；
推送接收单元，用于利用所建立的安全关联接收网络侧发送的推送数据。
以上技术方案具有如下优点或有益效果由于本发明实施例在网络侧需 要向用户设备推送数据时，首先向用户设备发送安全关联参数，用户设备根 据这些安全关联参数建立和网络侧之间的安全关联。与现有技术相比较，本 发明实施例提供了在push业务中建立满足安全层要求的安全关联的具体步 骤，解决了现有技术中仅提出需求而没有给出具体方案的缺陷。


图1现有技术推送数据的方法流程图； 图2是本发明实施例一建立安全关联的方法流程图； 图3是本发明实施例二建立安全关联的方法流程图； 图4是本发明实施例三建立安全关联的方法流程图； 图5是本发明实施例四建立安全关联的方法流程图； 图6是本发明实施例五建立安全关联的方法流程图； 图7是本发明实施例六网络侧设备的示意图； 图8是本发明实施例七用户设备的示意图； 图9是本发明实施例八网络侧设备的示意图； 图IO是本发明实施例九用户设备的示意图。
具体实施例方式
为使本领域技术人员能够更好地理解本发明实施例，下面结合附图对本 发明实施例的技术方案进行详细说明。
实施例一、 一种建立安全关联的方法，本实施例通过在同步标注性语言 (SyncML, Synchronization Markup Language)十办i义的通杀p (Notification)消息 中携带会话标识和GBA推送信息，将该协议进行扩展并应用于在push业务 中建立满足安全层要求的安全关联，方法流程图如图2所示，具体包括以下 步骤
步骤201 步骤202、 UE和网络侧进行normal GBA或者GBA push流程生成 密钥Ks,并从Ks衍生用于保护推送消息的密钥Ksj;ext/int)一NAF。
步骤203 、NAF向UE发送SyncML协议的pkg0数据包，也就是Notification
消息，该消息包括发起标志位(initiator )、会话标识( session id)以及GBA
推送信息(GBA-PUSH-INFO),如果push消息的发起者为NAF,则initiator
置1, GBA-PUSH-INFO可以放在Notification消息的摘要(Digest)或扩展
(future-use )位,也可以放在Notification消息的触发消息(trigger message )
位。其中，GBA-PUSH-INFO包括自举事务标识(B-TID, Bootstrapping
Transaction Identifier )、 NAF标识等用来建立安全关联的参数。
通常，SyncML协议分为pkg0-pkg4数据包，每个包可分为多条消息
(message),其中，pkgO是Notification消息，pkgl是用户向服务器发送的身
份认证及设备信息，pkg2是服务器向用户发送的认证信息及需要用户配置的
信息等，pkg3是用户接到pkgS后对服务器所做出的响应。
步骤204、 UE基于共享密钥Ks—(ext/int)_NAF和NAF建立安全关联，并 对NAF进行认证。
步骤205 、 UE向NAF发送pkgl数据包，其中包括自身的认证信息和设 备信息。
步骤206、 NAF对UE的认证信息进行检查。
步骤207、 NAF向UE发送pkg2数据包推送消息，并采用共享密钥 Ks—(ext/int)_NAF对推送的消息进行加密，所述pkg2可以包含1条或多条
步骤208、 UE接收推送的消息，并根据需要进行配置操作。
步骤209、 UE向NAF发送pkg3数据包，其中包括确认响应(200 OK )
消息，表示已收到推送的消息。
步骤210、 NAF向UE发送pkg4数据包表示本次推送结束。
值得说明的是，本实施例中，当步骤201~步骤202采用normal GBA流
程生成Ks_(ext/int)_NAF密钥时，步骤204中对NAF的认证以及步骤206可
以省略。
值得说明的是，如果UE长时间不响应或密钥过期等其他原因，NAF可 以在没有收到pkg3时，直接向UE发送表示本次推送结束的指示消息。
值得说明的是，在本实施例描述的推送结束之后，若NAF还要再次向
UE推送数据，可以重用已建立的安全关联。在密钥过期前或者根据本地策略 需要重新开始会话时也可以利用新的session id重新发起会话。
还值得说明的是，NAF重用已建立的安全关联再次推送数据，也可以通 过扩展SyncML协议实现。此时需要在notification消息携带与上次相同的 sessionid,如果UE查到有与此session id相匹配的安全关联，则通过pkgl数 据包将B-TID和/或相同的session id等能够标识已建立安全关联的标识符号发 给NAF, NAF即可以重用该安全关联向UE发送pkg2数据包推送消息。
本实施例中，是用session id来标识安全关联。事实上，安全关联还可以 用其他标识符号来标识，如B-TID、用户假名、临时身份标识等。
实施例二、 一种建立安全关联的方法，本实施例通过在SyncML协议的 Notification消息携带会话标识( session id )、安全标识(secure id)和GBA推 送信息，将该协议进行扩展并应用于在push业务中建立满足安全层要求的安 全关联，方法流程如图3所示，具体包括以下步骤
步骤301~步骤302、 UE和网络侧进行normal GBA或者GBA push流程 生成密钥Ks,并从Ks衍生用于保护推送消息的密钥Ks—(ext/int)_NAF。
步骤303、NAF向UE发送SyncML协议的pkg0数据包，也就是Notification 消息，该消息包括initiator、 session id、 secure id以及GBA推送信息 (GBA-PUSH-INFO ),安全标识可以作为GBA推送信息的一部分。如果push 消息的发起者为NAF，则initiator置1 ， GBA-PUSH-INFO可以放在Notification 消息的摘要(Digest)或fUture-use位，也可以放在Notification消息的触发消 息(trigger message)位。其中，GBA-PUSH-INFO包括B-TID, 、 NAF标识等 用来建立安全关联的参数。
此时，Notification消息携带的 session id用来-标识此次会话,secure id用 来标识建立的安全关联。
步骤304、 UE基于共享密钥Ks_(ext/int)_NAF和NAF建立安全关联，并 对NAF进行认证。
步骤305、 UE向NAF发送pkgl数据包，其中包括自身的认证信息和设
备信息。
步骤306、 NAF对UE的认证信息进行检查。
步骤307、 NAF向UE发送pkg2数据包推送消息，并采用共享密钥 Ks—(ext/int)_NAF对推送的消息进行加密，所述pkg2可以包含1条或多条 messages 。
步骤308、 UE接收推送的消息，并根据需要进行配置操作。
步骤309、 UE向NAF发送pkg3数据包，其中包括确认响应(200OK)
消息，表示已收到推送的消息。
步骤310、 NAF向UE发送pkg4 lt据包表示本次推送结束。
值得说明的是，本实施例中，当步骤301~步骤302采用normal GBA流
程生成Ks_(ext/int)_NAF时，步骤304中对NAF的认证以及步骤306可以省略。
值得说明的是，如果UE长时间不响应或密钥过期等其他原因，NAF可 以在没有收到pkg3时，直接向UE发送表示本次推送结束的指示消息。
值得说明的是，在本实施例描述的推送结束之后，若NAF还要再次向 UE推送数据，可以重用已建立的安全关联。在密钥过期前或者根据本地策略 需要建立新的安全关联时也可以利用新的secure id重新发起会话。
还值得说明的是，NAF重用已建立的安全关联再次推送数据，也可以通 过扩展SyncML协议实现。此时需要在notification消息携带与上次相同的 secure id,如果UE查到有与此secure id相匹配的安全关联，则通过pkgl数 据包将B-TID和/或相同的secure id等能够标识已建立安全关联的标识符号发 给NAF, NAF即可以重用该安全关联向UE发送pkg2数据包推送消息。
本实施例中，是用secure id来标识安全关联。事实上，安全关联还可以 用其他标识符号来标识，如sessionid、 B-TID、用户假名、临时身份标识等。
实施例三、 一种建立安全关联的方法，本实施例通过在SyncML协议的 pkg2数据包携带GBA推送信息，将该协议进行扩展并应用于在push业务中 建立满足安全层要求的安全关联，方法流程如图4所示，具体包括以下步骤
步骤401 、 UE向NAF发送pkgl数据包，其中包括自身的认证信息和设备信息。
步骤402 步骤403 、 UE和网络侧进行normal GBA或者GBA push流程生成 密钥Ks,并从Ks衍生用于保护推送消息的密钥Ksj;ext/int)—NAF。
如果进行GBA push,则NAF与BSF进行GBA push流程；如果进行normal GBA,则NAF向UE发起GBA请求，进行正常GBA流程。
步骤404、 NAF生成GBA-PUSH-INFO,所述GBA-PUSH-INFO包括B-TID、 NAF标识等用来建立安全关联的参数。
步骤405、 NAF向UE发送pkg2数据包，其中包含GBA-PUSH-INFO。
步骤406、 UE基于共享密钥Ksj;ext/int)—NAF建立和NAF之间的安全关联， 并对NAF进行认证。
值得说明的是，如果是采用normalGBA流程生成Ksj;ext/int)—NAF,此时 可以不需要对NAF进行认证。
步骤407、 UE向NAF发送确认消息，所述消息可以包括自身的认证信息 和设备信息。
值得说明的是，此时NAF可以对UE进行认证，也可以省略NAF对UE进行 认证的步骤。
步骤408、 NAF向UE发送pkg2数据包推送消息，并采用共享密钥 Ks—(ext/int)_NAF对推送的消息进行加密，所述pkg2可以包含1条或多条 msssag6s。
步骤409、 UE向NAF发送pkg3数据包，其中包括确认响应(200 OK)
消息，表示已收到推送的消息。
步骤410、 NAF向UE发送pkg4数据包表示本次推送结束。 由上述可知，上述三个实施例都是对SyncML协议的消息进行扩展，使
得该协议可以应用于在push业务中建立满足安全层要求的安全关联，另外
SyncML协议中的PkgO数据包，即Notification消息是可以省略的。
实施例四、 一种建立安全关联的方法，本实施例是将预共享密钥传输层
安全(PSKTLS , Pre-shared Transport layer security )协议应用于在push业务
中建立满足安全层要求的安全关联，所述PSK TLS协议就是建立安全关联的一 种协议。本实施例的方法流程如图5所示，具体包括以下步骤
步骤501 步骤502、 UE和网络侧进行normal GBA或者GBA push流程生成 密钥Ks,并从Ks衍生用于保护推送消息的密钥Ks_(ext/int)_NAF。
如果进行GBApush,则NAF与BSF进行GBApush流程；如果进行normal GBA,则NAF向UE发起GBA请求，进行正常GBA流程。
步骤503、 NAF向UE发送GBA-PUSH-INFO,所述GBA-PUSH-INFO 包括B-TID、 NAF标识等用来建立安全关联的参数。
特别的，在GBA-PUSH-INFO里包括常量psk-tls或者二进制表示，如001 代表，以指示下面的流程使用PSK TLS协议。
特别的，NAF也可以不用步骤503,直接由UE向NAF发起PSK TLS协 议先建立安全层以为NAF推送消息做准备。
步骤504、 UE和NAF基于共享密钥Ks—(ext/int)_NAF进4亍握手协i义，建 立UE和NAF之间的安全关联。其中，建立安全关联的具体步骤可见TLS协 议标准，即RFC2246。
步骤505、 NAF采用共享密钥Ks_(ext/int)_NAF对推送的消息进行加密， 并利用所建立的安全关联将加密得到的推送消息发送给UE。
实施例五、 一种建立安全关联的方法，方法流程如图6所示，具体包括 以下步骤
步骤601 步骤602、 UE和网络侧进行normal GBA或GBA push方式生 成Ks,并从Ks衍生用于保护推送消息的密钥Ks_(ext/int)_NAF。
步骤603、当NAF需要向UE推送消息时，NAF向UE发送建立安全关 联所需的相关参数。
其中，建立安全关联所需的相关参数可以包括此安全关联标识，NAF标 识，加密算法，使用的协议版本号，以及密钥选择策略等。如果NAF此时得 到了 B-TID,则安全关联参数也可以包括B-TID。
值得说明的是，安全关联标识可以是专门标识安全关联的secure id;也可 以是session id、 B-TID或用户假名，临时身份标识等，但不限于上述所例举 的标识。
步骤604、 UE收到建立安全关联所需的相关参数后，建立和NAF之间的 安全关联，以及根据密钥选择策略或B-TID查找自身所保存的密钥。
建立安全关联后，对NAF进行认证，并保存此次安全关联，包括所选择 的安全关联参数以及安全关联标识。
值得说明的是，本实施例中，当步骤601~步骤602采用normal GBA流 程生成Ks_(ext/int)_NAF密钥时，步骤604中对NAF的认证可以省略。
步骤605、UE向NAF返回建立安全关联的安全关联参数以及用户身份信 息等。
可选地，NAF收到UE的密钥选择指示后，如果自身没有相关密钥，可 以向BSF发送B-TID, BSF向NAF返回相应的密钥。
步骤606、 NAF用双方协商好的共享密钥对推送消息进行加密，此密钥 可以是步骤602生成的Ks_(ext/int)_NAF,或基于KsJ>xt/int)_NAF衍生的密 钥，NAF保存此次安全关联，包括所选择的安全关联参数以及安全关联标识。
值得说明的是，如果是基于Ks—(ext/int)_NAF衍生的密钥，则步骤603 、 步骤604以及步骤605中UE和NAF需要协商衍生密钥算法。
步骤607、 NAF向UE发送加密的推送信息。
步骤608、 UE对收到的推送消息进行解密，并根据需要进行配置操作。 步骤609、 UE向NAF发送200 OK消息，表明推送消息成功4妄收。
步骤610、 NAF通知UE结束本次推送。
由上述五个实施例可知，由于本发明实施例在网络侧需要向用户设备推 送数据时，首先向用户设备发送安全关联参数，用户设备根据这些安全关联 参数建立和网络侧之间的安全关联。与现有技术相比较，本发明实施例提供 了在push业务中建立满足安全层要求的安全关联的具体步骤，解决了现有技 术中仅提出需求而没有给出具体方案的缺陷。
进一步地，由于本发明实施例使得用户和网络侧之间的安全关联能够满 足push业务的需求，从而使得网络在进行push业务时，不必多次建立安全关 联，从而避免了网络资源的浪费，减少了网络的负担。
最后，由于本发明实施例在建立用户和网络侧的安全关联后，用户和网 络側可以进行信息交互，这样使得用户在收到网络侧推送的数据之后可以向 网络侧发送确认响应表示已成功收到推送数据，这样使得本发明实施例可以
适用于有会话概念(session concept)的GBApush情况。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤 是可以通过程序来指示相关的硬件来完成，所述的程序可以存储于计算机可 读取存储介质中，该程序在执行时，包括以下步骤
网络侧向用户设备发送安全关联参数；
网络侧接收用户设备返回的建立安全关联所采用的安全关联参数，并根 据所述建立安全关联所采用的安全关联参数建立和用户设备之间的安全关 联。
可选地，程序在扭J亍时可以包括以下步骤
用户设备接收网络侧发送的安全关联参数；
用户设备根据所述安全关联参数建立和网络侧之间的安全关联；
用户设备向网络侧发送建立安全关联所采用的安全关联参数。
可选地，程序在执行时可以包括以下步骤
网络侧向用户设备发送安全关联参数；
网络侧根据所述安全关联参数并采用预共享密钥传输层安全协议与用户 设备建立安全关联；
网络侧利用所建立的安全关联向用户设备推送数据。 可选地，程序在执行时可以包括以下步骤 用户设备接收网络侧发送的安全关联参数；
用户设备根据所述安全关联参数并采用预共享密钥传输层安全协议与网 络侧建立安全关联；
用户设备利用所建立的安全关联接收网络侧发送的推送数据。 其中，所述的存储介质可以是ROM、 RAM、磁碟或光盘等等。 实施例六、 一种网络侧设备，由图7所示，该设备包括 第一收发单元701,用于向用户设备发送安全关联参数，以及接收用户设
备返回的建立安全关联所采用的安全关联参数；
第一建立单元702,用于根据第一收发单元701收到的安全关联参数建立 和用户设备之间的安全关联。
实施例七、 一种用户设备，由图8可知，该设备包括
第二收发单元801,用于接收网络侧发送的安全关联参数，以及向网络侧 发送建立安全关联所采用的安全关联参数；
第二建立单元802,用于根据第二收发单元801收到的安全关联参数建立 和网络侧之间的安全关联。
实施例八、 一种网络侧设备，由图9可知，该设备包括
发送单元901,用于向用户设备发送安全关联参数；
第三建立单元902，用于根据发送单元901发送的所述安全关联参数并采 用预共享密钥传输层安全协议与用户设备建立安全关联；
推送单元903,用于利用第三建立单元902所建立的安全关联向用户设备 推送数据。
实施例九、 一种用户设备，由图10可知，该设备包括
接收单元1001,用于接收网络侧发送的安全关联参数；
第四建立单元1002,用于根据接收单元1001收到的所述安全关联参数并 采用预共享密钥传输层安全协议与网络侧建立安全关联；
推送接收单元1003,用于利用第四建立单元1002所建立的安全关联接收 网络侧发送的推送数据。
值得说明的是，上述网络侧设备或用户设备除了上述实施方式之外，还 可以用具有相同或相应功能的软件或硬件模块来实现。
由上述可知，本发明实施例可以采用所建立的安全关联推送数据，这样 使得网络在进行push业务时，不必多次建立安全关联，从而避免了网络资源 的浪费，减少了网络的负担。
以上对本发明实施例所提供的建立安全关联的方法、用户设备以及网络
进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思
想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方 式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本 发明的限制。
权利要求
1、一种建立安全关联的方法，其特征在于，包括:网络侧向用户设备发送安全关联参数；网络侧接收用户设备返回的建立安全关联所采用的安全关联参数，并根据所述建立安全关联所采用的安全关联参数建立和用户设备之间的安全关联。
2、 如权利要求l所述的方法，其特征在于，网络侧通过扩展同步标注性 语言协议的通知消息向用户设备发送安全关联参数。
3、 如权利要求2所述的方法，其特征在于，所述通过扩展同步标注性语 言协议的通知消息向用户设备发送安全关联参数具体为在通知消息中携带安全关联标识，以及其他安全关联参数。
4、 如权利要求3所述的方法，其特征在于，所述安全关联标识是会话标 识，所述其他安全关联参数包含在通用自举架构推送信息中。
5、 如权利要求3所述的方法，其特征在于，所述安全关联标识是安全标 识、自举事务标识、用户假名或临时身份标识。
6、 如权利要求5所述的方法，其特征在于，所述安全关联标识和其他安 全关联参数包含在通用自举架构推送信息中。
7、 如权利要求4或6所述的方法，其特征在于，所述通用自举架构推送 信息位于通知消息的摘要部分或扩展位。
8、 如权利要求4或6所述的方法，其特征在于，所述通用自举架构推送 信息位于通知消息的触发消息位。
9、 如权利要求l所述的方法，其特征在于，网络侧通过扩展同步标注性 语言协议的pkg2数据包携带安全关联参数给用户设备。
10、 如权利要求9所述的方法，其特征在于，所述安全关联参数包含在 通用自举架构推送信息中。
11、 如权利要求1所述的方法，其特征在于，所述方法还进一步包括 网络侧接收用户设备发送的用户信息，网络侧根据所述用户信息对用户设备 进行认证。
12、 如权利要求11所述的方法，其特征在于，所述用户信息包括认证信息和设备信息。
13、 如权利要求1所述的方法，其特征在于，网络侧根据所述安全关联参数建立和用户设备之间的安全关联之后还进一步包括 网络侧利用所建立的安全关联向用户设备推送数据。
14、 如权利要求13所述的方法，其特征在于，所述网络侧通过同步标注 性语言协议的pkg2数据包向用户设备推送数据。
15、 一种建立安全关联的方法，其特征在于，包括 用户设备接收网络侧发送的安全关联参数；用户设备根据所述安全关联参数建立和网络侧之间的安全关联； 用户设备向网络侧发送建立安全关联所采用的安全关联参数。
16、 如权利要求15所述的方法，其特征在于，用户设备通过同步标注性 语言协议的pkgl数据包向网络侧发送建立安全关联的安全关联参数以及用户4吕息。
17、 如权利要求15所述的方法，其特征在于，用户设备在收到网络侧发 送的安全关联参数后进一步包括对所述网络侧进行认证。
18、 如权利要求15至17任一项所述的方法，其特征在于，所述方法进 一步包括用户设备接收网络侧发送的推送数据。
19、 一种网络侧设备，其特征在于，包括第一收发单元，用于向用户设备发送安全关联参数，以及接收用户设备 返回的建立安全关联所采用的安全关联参数；第一建立单元，用于根据收发单元收到的安全关联参数建立和用户设备 之间的安全关联。
20、 一种用户设备，其特征在于，包括第二收发单元，用于接收网络侧发送的安全关联参数，以及向网络侧发 送建立安全关联所采用的安全关联参数；第二建立单元，用于根据第二收发单元收到的安全关联参数建立和网络 侧之间的安全关联。
21、 一种建立安全关联的方法，其特征在于，包括 网络侧向用户设备发送安全关联参数；网络侧根据所述安全关联参数并采用预共享密钥传输层安全协议与用户设备建立安全关联；网络側利用所建立的安全关联向用户设备推送数据。
22、 如权利要求21所述的方法，其特征在于，所述安全关联参数包含在 通用自举架构推送信息中。
23、 一种建立安全关联的方法，其特征在于，包括 用户设备接收网络侧发送的安全关联参数；用户设备根据所述安全关联参数并采用预共享密钥传输层安全协议与网 络侧建立安全关联；用户设备利用所建立的安全关联接收网络侧发送的推送数据。
24、 一种网络侧设备，其特征在于，包括 发送单元，用于向用户设备发送安全关联参数；第三建立单元，用于根据发送单元发送的安全关联参数并采用预共享密 钥传输层安全协议与用户设备建立安全关联；推送单元，用于利用所建立的安全关联向用户设备推送数据。
25、 一种用户设备，其特征在于，包括 接收单元，用于接收网络侧发送的安全关联参数；第四建立单元，用于根据接收单元收到的安全关联参数并采用预共享密 钥传输层安全协议与网络侧建立安全关联；推送接收单元，用于利用所建立的安全关联接收网络侧发送的推送数据。
全文摘要
本发明涉及网络通信领域，公开了建立安全关联的方法、用户设备以及网络侧设备，其中，建立安全关联的方法包括网络侧向用户设备发送安全关联参数；网络侧接收用户设备返回的建立安全关联所采用的安全关联参数，并根据所述安全关联参数建立和用户设备之间的安全关联。本发明能够使用户和网络侧之间建立的安全关联满足推送业务在安全层开展业务的需求，从而使得网络在进行推送业务时，不必多次建立安全关联，进而避免了网络资源的浪费，减少了网络的负担。
文档编号H04L9/00GK101378313SQ20071015454
公开日2009年3月4日 申请日期2007年9月25日 优先权日2007年8月31日
发明者杨艳梅, 许怡娴, 雷 谢 申请人:上海华为技术有限公司