一种变异gba的引导方法及系统的制作方法

文档序号:7947781阅读:241来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种变异gba的引导方法及系统的制作方法
技术领域
本发明涉及MS网络通信安全技术,尤其涉及一种变异GBA的引导方法及系统。
背景技术
现有的实现IP多媒体系统(MS,IP Multimedia Subsystem)的单点登录(SS0,Single Sign On)的方法都是在基于通用集成电路卡(UICC, Universal IntegratedCircuit Card)的情形下设计的,要么使用认证与密钥协商协议/开放ID(AKA/OpenID,Authentication and Key Agreement/OpenID)方案,要么是通用引导体系(GBA, GenericBootstrapping Architecture)方案,而对于非UICC的终端和没有部署GBA的网络环境,没有具体的实现方案可以使用。在现有頂S网络的SSO实现过程中,运营商会部署大量的GBA,同时为每个MS UE内嵌入UICC,利用GBA和ncc内的信息完成对MS UE访问应用服务器的SSO功能。而随着非ncc的MS UE的出现,这种MS的UE需要访问MS网络中的应用服务器,进而实现SSO功能,以前设计的方案将不适于在这种场景中使用。在统一 MS UE认证过程和实现SSO的过程中,现有技术中存在三种场景第一种是MS UE内具有UICC,并且运营商已部署了 GBA的场景;此时可以利用GBA认证机制同Liberty Alliance/OpenID结合实现SS0,还能够实现与现有的其它SSO机制的互通。第二种是IMS UE内具有nCC,但是运营商不能部署GBA的场景;对于该场景,ALU (阿尔卡特-朗讯公司)已提出相关立项提案,其采用AKA/OpenID相结合方案实现这种场景下的SSO功能。第三种是统一 MS UE不 具有MCC情形;对于该场景,已在3GPP SA3#60会议上由诺基亚西门子通信公司(NSN, Nokia Siemens Network Company)对该场景进行立项。随着非MCC的MS UE接入MS网络的增多,第三种场景会越来越流行,同样重要的是运营商能作为用户认证中心提供者完成对MS UE使用应用服务器(AS,ApplicationServer)的统一认证,方便各种AS接入MS UE ;运营商可以为AS提供商提供大量用户群,运营商可通过与AS提供商合作更好的满足用户群对各种应用服务的需求,同时用户通过信任的运营商访问相关AS,不仅为用户提供了方便,也增加了用户信息的安全性同时也扩大了运营商的盈利方式。非ncc场景下,頂S UE也常常需要访问MS网络和使用与MS相关的应用服务,这种场景下,基于非ncc的统一 MS UE的SSO认证变得非常有必要。随着MS网络与Internet网络之间不断融合的趋势,IMS UE对各种AS的访问需求的增加,实现頂S UE对AS的SSO功能,对用户而言是越来越亟待需要实现的功能。现有技术都是运营商通过在頂S网络中大量部署GBA和在所有MS UE嵌入nCC,实现对MS网络相关应用服务的SSO功能。对于第三种场景中非ncc的IMS UE的现有机制将不能实现,需要新的认证机制来实现该种頂S UE的SSO认证功能。NSN在3GPP SA3#60会议上对第三种场景的情况进行了立项,现有的实现前两种场景的方案中,只有具有ncc的MS UE才能实现SSO功能,进而访问MS网络中的各种应用服务,这样需要运营商对没有ncc的MS UE提供一个UICC,而不具有ncc的MS ue将不能利用已有方案实现MS网络中相关应用服务的SSO功能。然而非ncc的IMS UE亦需要实现MS网络中应用服务的SSO功能,减少该类UE访问MS网络相关的应用服务的复杂度。同时运营商要能够支持此类UE来访问MS网络中的应用服务。运营商利用SIP摘要(SIP Digest, Session Initiation Protocol Digest)认证机制,同时通过提供变异的GBA架构完成用户和网络之间的双向认证,能够成功的实现第三种场景中的SSO功能,同时可以降低运营商在UE中嵌入ncc的成本,降低维护各种设备的消耗。NSN提出了变异的GBA架构,利用SIP Digest认证机制实现非WCC场景下统一IMS UE的SSO设计方案,该方案使得运营商对原来的GBA进行修改,改变引导服务功能单元(BSF, Bootstrapping Server Function)和UE以及BSF与UE对应的参考点,使得改变后的BSF和UE能够支持SIP Digest认证机制,实现利用SIP Digest认证机制完成变异GBA架构的引导过程,具体过程如下MS UE和变异BSF之间建立一条安全传输层协议(TLS,Transport Layer Security)通道,该通道建立过程中利用服务器端的数字证书来认证服务器;BSF和MS UE两者之间后续的交互消息都在该通道中传递;建立TLS通道和认证服务器完成后,頂S UE向BSF发送一个初始HTTP GET请求,该消息中包含IP多媒体私有标识(IMPI, IP Multimedia Private Identity)。收到消息后,BSF向HSS请求所需的认证向量;HSS查找对应MPI的密码,并生成SIP Digest认证向量(SD-AV),向BSF返回响应信息,其中携带SD-AV,可选的,还可以包含GBA用户安全配置(⑶SS,GBA User SecuritySettings);其中,SD-AV 由 qop 值(quality of protection)、认证算法(algorithm)、范围域(realm)和一个哈希值H(Al)生成;BSF产生一个随机数nonce,BSF向MS UE发送一个401未授权挑战信息,该消息中携带realm、nonce、algorithm和qop值等参数。UE产生随机数cnonce,并依据RFC2617计算响应值RESP,然后在MS UE处产生密钥Ks,该Ks =KDF (H(Al),TLS_MK_Extr, ” GBA_Digest_Ks,,,Digest-response);接着 IMS UE 向 BSF 发送挑战响应消息,携带RFC2617指示参数。当BSF收到挑战响应消息后,计算期望response值,并与收到的response值对比,若两者相同,则MS UE认证通过。BSF利用MS UE产生Ks过程得到密钥Ks ;BSF产生B-TID ;BSF向MS UE发送2000K响应,指示认证成功,该消息中携带B-TID和包含密钥生命周期的XML文档,此时UE和BSF均包含Ks和B-TID,至此整个引导过程完成。 该方案能够使得非ncc的统一 MS UE利用SIP Digest机制实现访问AS的SSO功能,用户通过访问信任的网络运营商控制的应用程序,可以提高用户自身信息的安全性。现有技术是MS网络中非ncc的MS UE在变异的GBA架构下实现对AS的SSO功能,该技术适用于非ncc下的MS UE情况,需要实现建立TLS通道,完成对网络的认证;而实际应用中SIP Digest认证机制自身具有双向认证的能力,可以利用SIP Digest机制完成对网络的认证,实现双向认证,完成变异GBA架构的引导过程。

发明内容
有鉴于此,本发明的主要目的在于提供一种变异GBA的引导方法及系统,能够实现在变异GBA架构下,利用SIP Digest认证机制完成对非WCC下的统一 MS UE访问AS的SSO功能。为达到上述目的,本发明的技术方案是这样实现的
本发明提供一种变异GBA的引导方法,包括收到頂S UE发送的401未授权挑战消息的响应消息后,BSF对MS UE进行认证,认证成功时,BSF根据预先生成的随机数和预先从HSS获取的哈希函数值H(Al),利用算法生成引导密钥Ks,并发送给MS UE ;IMS UE计算rspauth值,并利用所述rspauth值完成对网络的认证。上述方法中,所述BSF对IMS UE进行认证之前,该方法还包括IMS UE向BSF发送HTTP GET初始请求消息,BSF向HSS请求认证向量SD-AV ;收到请求后,HSS生成SIP Digest认证向量SD-AV并发送给BSF,所述SD-AV中携带哈希函数值H(Al) ;BSF生成随机数nonce,并保存从HSS收到的SD-AV中的H(Al)和所述 nonce ;BSF向IMS UE发送401未授权挑战消息,其中携带IMP1、realm、qop、algorithm和 nonce ;IMS UE生成随机数cnonce和H(Al),计算response值,并通过401未授权挑战消息的响应消息发送给BSF。 上述方法中,所述MS UE向BSF发送HTTP GET初始请求消息,BSF向HSS请求认证向量SD-AV为IMS UE向BSF发送HTTP GET初始请求消息,其中携带MS UE的身份标识MPI ;收到HTTP GET初始请求消息后,存在多HSS的场景中,BSF通过询问SLF获得对应的HSS,向所述HSS发送HTTP请求消息 ,请求自身需要的认证向量SD-AV ;所述HTTP请求消息中携带从MS UE收到的MS UE的身份标识MPI。上述方法中,所述HSS生成SIP Digest认证向量SD-AV并发送给BSF Jy^iSSD-AV中携带哈希函数值H(Al)为HSS根据HTTP请求消息中的MPI在本地存储的MPI与参数的对应关系中,查找参数,并根据找到的参数生成对应的SIP Digest认证向量SD-AV ;所述SD-AV中包括MP1、领域(realm)、质量保证(qop)、认证算法(algorithm)和H(Al);所述H(Al)是由IMP1、realm和password组成的哈希函数值;HSS向BSF返回HTTP请求消息的响应消息,其中携带SIP Digest认证向量SD-AV0上述方法中,所述IMS UE生成随机数cnonce和H(Al),计算response值,并通过401未授权挑战消息的响应消息发送给BSF为收到401未授权挑战消息后,MS UE生成随机数cnonce和H(Al),根据401未授权挑战消息中携带的参数,利用单向哈希函数F计算response值response = F(H(Al),cnonce, nonce, qop, nonce-count);其中,所述 nonce-count 为计数器,每使用同一个 nonce计算一次response值,所述nonce-count加I ;IMSUE向BSF发送401未授权挑战消息的响应消息,其中携带 cnonce、nonce、response、realm、IMP1、qop、algorithm、Digest-url 和nonce-counto上述方法中,所述BSF对MS UE进行认证为BSF利用收到的响应消息中的参数,以及预先生成并储存在本地的nonce和H(Al)计算期望值Xresponse,将计算出的Xresponse与收到的响应消息中的response进行比较,如果比较结果是两者相同,则MS UE认证成功;否则,MSUE认证失败,结束流程。
上述方法中,所述BSF根据预先生成的随机数和预先从HSS获取的哈希函数值H (Al),利用算法生成引导密钥Ks,并发送给MS UE为BSF根据预先生成并储存在本地的nonce和预先从HSS获取的H(Al),利用相应的算法生成引导密钥Ks,并生成B-TID和rspauth值;BSF向MS UE发送2000K消息,该消息中携带B-TID、包含密钥生命周期的XML文档和rspauth值。上述方法中,所述IMS UE计算rspauth值,并利用该rspauth值完成对网络的认证为IMS UE采用与BSF相同的方法计算rspauth值,并对比本地计算得到的rspauth和从BSF获得的rspauth,完成对网络的认证,如果两个rspauth相同,贝U认证成功,否则,认证失败,结束流程;如果认证成功,IMS UE采用与BSF相同的方法生成引导密钥Ks,完成整个引导过程。本发明还提供一种变异GBA的引导系统,包括BSF、IMS UE ;其中,BSF,用于收到MS UE发送的401未授权挑战消息的响应消息后,对MSUE进行认证,认证成功时,根据预先生成的随机数和预先从HSS获取的哈希函数值H(Al),利用算法生成引导密钥Ks,并发送给MS UE ;IMS UE,用于计算rspauth值,并利用所述rspauth值完成对IMS网络的认证。上述系统中,该系统还包括HSS ;其中,IMS UE,还用于向BSF发送HTTP GET初始请求消息;BSF,用于向HSS请求认证向量SD-AV ;HSS,用于收到请 求后,生成SIP Digest认证向量SD-AV并发送给BSF Jy^iSSD-AV中携带哈希函数值H(Al);BSF,用于生成随机数nonce,并保存从HSS收到的SD-AV中的H(Al)和所述nonce ;向IMS UE发送401未授权挑战消息,其中携带IMP1、realm、qop、algorithm和nonce ;IMS UE,还用于生成随机数cnonce和H(Al),计算response值,并通过401未授权挑战消息的响应消息发送给BSF。本发明提供的变异GBA的引导方法及系统,收到IMS UE发送的401未授权挑战消息的响应消息后,BSF对MS UE进行认证,认证成功时,BSF根据预先生成的随机数和预先从HSS获取的哈希函数值H(Al),利用算法生成引导密钥Ks,并发送给IMS UE ;IMS UE计算rspauth值,并利用所述rspauth值完成对网络的认证,能够实现在变异GBA架构下,利用SIP Digest认证机制完成对非nCC下的统一 MS UE访问AS的SSO功能,实现双向认证;与现有技术相比,本发明的技术方案不需要在頂S UE和BSF之间建立TLS连接,来完成对网络的访问,直接采用SIP Digest认证机制自身能力完成对网络的认证;此外,不需要专门使用在TLS过程中产生的参数来生成密钥Ks,而是利用SIP Digest认证机制下产生的随机数和哈希值H(Al)就可以保证安全的生成Ks。


图1是本发明实现变异GBA的引导方法的流程示意图;图2是本发明实现变异GBA的引导系统的结构示意图。
具体实施例方式本发明的基本思想是收到MS UE发送的401未授权挑战消息的响应消息后,BSF对IMS UE进行认证,认证成功时,BSF根据预先生成的随机数和预先从HSS获取的哈希函数值H (Al),利用算法生成引导密钥Ks,并发送给MS UE; MS UE计算rspauth值,并利用所述rspauth值完成对网络的认征。下面通过附图及具体实施例对本发明再做进一步的详细说明。本发明提供一种变异GBA的引导方法,图1是本发明实现变异GBA的引导方法的流程示意图,如图1所示,该方法包括以下步骤步骤101,IMS UE向BSF发送HTTP GET初始请求消息;具体的,MS UE向BSF发送一个HTTP GET初始请求消息,该请求消息中携带MSUE的身份标识MPI ;这里,为了更高的安全性,也可以使用IMSUE的临时IP多媒体私有标识符(TMPI, Temporary IP Multimedia Private Identity)代替 IMPI,本发明中,以携带IMS UE的身份标识MPI为例。步骤102,BSF向HSS请求认证向量SD-AV ;具体的,收到HTTP GET初始请求消息后,BSF向HSS发送HTTP请求消息,用于向HSS请求自身需要的认证向量SD-AV ;该HTTP请求消息中携带从MS UE收到的MS UE的身份标识頂PI ;存在多HSS的场景中,BSF可以通过询问SLF获得对应的HSS的地址,从而找到对应的HSS。步骤103,收到请求后,HSS生成SIP Digest认证向量SD-AV,并发送给BSF ;所述SD-AV中携带哈希函数值H(Al);具体的,收到HTTP请求消息后,HSS根据其中的MPI在本地存储的MPI与参数的对应关系中,查找对应的密码password等参数,并根据找到的参数生成对应的SIP Digest认证向量SD-AV;这里,还可以获得对应的用户配置信息,是否获得该用户配置信息,需要根据运营商对HSS的配置决定;其中,SD-AV中包括MP1、领域(realm)、质量保证(qop)、认证算法(algorithm)和H (Al),其中H(Al)是由IMP1、realm和password组成的一个哈希函数值;HSS向BSF返回HTTP请求消息的响应消息,其中携带SIP Digest认证向量SD-AV,可选的还可以携带⑶SS。步骤104,BSF生成随机数nonce,并保存从HSS收到的对应于MPI的H(Al)和所述 nonce。步骤105,BSF向IMS UE发送401未授权挑战消息,其中携带MP1、realm、qop、algorithm 和 nonce。步骤106, IMS UE生成随机数cnonce和H(Al),计算response值,并通过401未授权挑战消息的响应消息发送给BSF ;具体的,收到401未授权挑战消息后,MS UE生成一个随机数cnonce和H(Al),然后根据401未授权挑战消息中携带的参数,利用单向哈希函数F计算response值response = F(H(Al), cnonce, nonce, qop, nonce-count);这里,IMS UE 使用 401 未授权挑战消息中携带的cnonce进行网络认证和避免纯文本攻击(chosen plaintext);其中,nonce-count是计数器,每使用同一个nonce计算一次response值,所述nonce-count将加I, nonce-count也参与response值计算, 能够降低重放攻击的可能性;同时为了使得SIPDigest认证机制能够支持完整性保护,计算response值的参数中包含消息体内容;此时IMS UE可设置完整性保护的参数值;IMS UE向BSF发送401未授权挑战消息的响应消息,其中携带cnonce、nonce、response、realm、IMP1、qop、algorithm、Digest-url 和 nonce-count ;其中,所述Digest-url为地址标识,IMS UE根据该地址标识确定需要发送响应消息的BSF。步骤107,收到401未授权挑战消息的响应消息后,BSF对MS UE进行认证,认证成功时,BSF根据预先生成的随机数和预先从HSS获取的H(Al)利用算法生成引导密钥Ks,并发送给MS UE ;具体的,收到MS UE发送的401未授权挑战消息的响应消息后,BSF利用收到的响应消息中的参数cnonce、nonce-count、qop等,以及预先生成并储存在本地的nonce和H(Al)计算期望值Xresponse,将计算出的Xresponse与收到的响应消息中的response值进行比较,如果比较结果是两者相同,则MS UE认证成功;否则,IMS UE认证失败,结束流程;如果MS UE认证成功,BSF根据预先生成并储存在本地的nonce和预先从HSS获取的H(Al)等参数,利用相应的算法生成引导密钥Ks,并按照TS33. 220中描述的方法生成 B-TID,即 B-TID = base64encode (RAND) iBSF_Servers_domain_name,其中 RAND 为 BSF产生的随机数;还需要 依据RFC2617中的方法利用cnonce生成rspauth值,即rspauth =“response-digest” = <”>*LHEX〈”〉;其中,相应的算法可以包括密钥生成函数(KDF, KeyDerivation Function)算法、消息摘要算法第五版(MD5, Message Digest Algorithm)算法等;BSF向MS UE发送2000K消息,表明MS UE认证成功;其中,该消息中携带B-TID、包含密钥生命周期的XML文 档和rspauth值。步骤108, IMS UE计算rspauth值,并利用该rspauth值完成对网络的认证;具体的,IMS UE采用与BSF相同的方法计算rspauth值,并对比本地计算得到的rspauth和从BSF获得的rspauth,完成对IMS网络的认证,如果两个rspauth相同,贝U认证成功,否则,认证失败,结束流程;如果认证成功,頂S UE采用与BSF相同的方法生成引导密钥Ks,此时整个引导过程完成。本发明中,在MS UE访问BSF的过程中,如果遭遇意外断网,当MS UE还未完成自身与BSF之间的访问认证过程,网络恢复后MS UE和BSF需要重新开始认证过程;如果IMS UE已经完成引导认证过程,网络恢复后,且未到达引导密钥Ks的生命周期,MS UE和BSF之间不需要再次进行引导认证过程,可直接使用上次生成的引导密钥Ks,否则需要重新进行生成引导密钥的过程。为实现上述方法,本发明还提供一种变异GBA的引导系统,图2是本发明实现变异GBA的引导系统的结构示意图,如图2所示,该系统包括BSF 21, IMS UE 22 ;其中,BSF 21,用于收到MS UE 22发送的401未授权挑战消息的响应消息后,对MS UE22进行认证,认证成功时,根据预先生成的随机数和预先从HSS获取的哈希函数值H(Al),利用算法生成引导密钥Ks,并发送给MS UE 22 ;IMS UE 22,用于计算rspauth值,并利用所述rspauth值完成对IMS网络的认证。该系统还包括HSS 23 ;其中,
IMS UE 22,还用于向BSF 21发送HTTP GET初始请求消息;BSF 21,还用于向HSS 23请求认证向量SD-AV ;HSS 23,用于收到请求后,生成SIP Digest认证向量SD-AV并发送给BSF21,所述SD-AV中携带哈希函数值H(Al);BSF 21,用于生成随机数nonce,并保存从HSS 23收到的SD-AV中的H(Al)和所述nonce ;向IMS UE 22发送401未授权挑战消息,其中携带IMP1、realm、qop、algorithm和nonce ;IMS UE 22,还用于生成随机数cnonce和H(Al),计算response值,并通过401未授权挑战消息的响应消息发送给BSF 21。所述MS UE 22向BSF 21发送HTTP GET初始请求消息,BSF 21向HSS23请求认证向量SD-AV为MS UE向BSF发送HTTP GET初始请求消息,其中携带MS UE的身份标识IMPI ;收到HTTP GET初始请求消息后,存在多HSS的场景中,BSF通过询问SLF获得对应的HSS,向所述HSS发送HTTP请求消息,请求自身需要的认证向量SD-AV ;所述HTTP请求消息中携带从MS UE收到的MS UE的身份标识MPI。所述HSS 23生成SIP Digest认证向量SD-AV并发送给BSF 21,所述SD-AV中携带哈希函数值H(Al)为HSS根据HTTP请求消息中的MPI在本地存储的MPI与参数的对应关系中,查找参数,并根据找到的参数生成对应的SIP Digest认证向量SD-AV ;所述SD-AV中包括IMP1、领域(realm)、质量保证(qop)、认证算法(algorithm)和H(Al);所述H(Al)是由IMP1、realm和password组成的哈希函数值;HSS向BSF返回HTTP请求消息的响应消息,其中携带SIPDigest认证向量SD-AV。所述IMS UE 22生成随机数cnonce和H(Al),计算response值,并通过401未授权挑战消息的响应消息发送给BSF 21为收到401未授权挑战消息后,MSUE生成随机数cnonce和H(Al),根据401未授权挑战消息中携带的参数,利用单向哈希函数F 计算 response 值response = F(H(Al), cnonce, nonce, qop, nonce-count);其中,所述nonce-count为计数器,每使用同一个nonce计算一次response值,所述nonce-count加I ;IMSUE向BSF发送401未授权挑战消息的响应消息,其中携带cnonce、nonce、response、realm、IMP1、qop、algorithm、Digest-url 和 nonce-count。所述BSF 21对MS UE 22进行认证为BSF利用收到的响应消息中的参数,以及预先生成并储存在本地的nonce和H(Al)计算期望值Xresponse,将计算出的Xresponse与收到的响应消息中的response进行比较,如果比较结果是两者相同,则IMS UE认证成功;否则,IMS UE认证失败,结束流程。所述BSF 21根据预先生成的随机数和预先从HSS获取的哈希函数值H(Al),利用算法生成引导密钥Ks,并发送给MS UE 22为BSF根据预先生成并储存在本地的nonce和预先从HSS获取的H(Al),利用相应的算法生成引导密钥Ks,并生成B-TID和rspauth值;BSF向MS UE发送2000K消息,该消息中携带B-TID、包含密钥生命周期的XML文档和rspauth 值。所述IMS UE 22计算rspauth值,并利用该rspauth值完成对网络的认证为IMSUE采用与BSF相同的方法计算rspauth值,并对比本地计算得到的rspauth和从BSF获得的rspauth,完成对网络的认证,如果两个rspauth相同,贝U认证成功,否则,认证失败,结束流程;如果认证成功,IMS UE采用与BSF相同的方法生成引导密钥Ks,完成整个引导过程。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之 内。
权利要求
1.一种变异GBA的引导方法,其特征在于,该方法包括 收到MS UE发送的401未授权挑战消息的响应消息后,BSF对MS UE进行认证,认证成功时,BSF根据预先生成的随机数和预先从HSS获取的哈希函数值H(Al),利用算法生成引导密钥Ks,并发送给MS UE ; IMS UE计算rspauth值,并利用所述rspauth值完成对网络的认证。
2.根据权利要求1所述的方法,其特征在于,所述BSF对IMSUE进行认证之前,该方法还包括 IMS UE向BSF发送HTTP GET初始请求消息,BSF向HSS请求认证向量SD-AV ; 收到请求后,HSS生成SIP Digest认证向量SD-AV并发送给BSF,所述SD-AV中携带哈希函数值H(Al) ;BSF生成随机数nonce,并保存从HSS收到的SD-AV中的H(Al)和所述nonce ; BSF向IMS UE发送401未授权挑战消息,其中携带IMP1、realm、qop、algorithm和nonce ; IMS UE生成随机数cnonce和H(Al),计算response值,并通过401未授权挑战消息的响应消息发送给BSF。
3.根据权利要求2所述的方法,其特征在于,所述IMSUE向BSF发送HTTP GET初始请求消息,BSF向HSS请求认证向量SD-AV为 IMS UE向BSF发送HTTP GET初始请求消息,其中携带MS UE的身份标识MPI ;收到HTTP GET初始请求消息后,存在多HSS的场景中,BSF通过询问SLF获得对应的HSS,向所述HSS发送HTTP请求消息,请求自身需要的认证向量SD-AV ;所述HTTP请求消息中携带从IMS UE收到的MS UE的身份标识MPI。
4.根据权利要求2所述的方法,其特征在于,所述HSS生成SIPDigest认证向量SD-AV并发送给BSF,所述SD-AV中携带哈希函数值H(Al)为 HSS根据HTTP请求消息中的MPI在本地存储的MPI与参数的对应关系中,查找参数,并根据找到的参数生成对应的SIP Digest认证向量SD-AV ;所述SD-AV中包括MP1、领域(realm)、质量保证(qop)、认证算法(algorithm)和 H(Al);所述 H(Al)是由 IMP1、realm和password组成的哈希函数值;HSS向BSF返回HTTP请求消息的响应消息,其中携带SIPDigest认证向量SD-AV。
5.根据权利要求2所述的方法,其特征在于,所述IMSUE生成随机数cnonce和H (Al),计算response值,并通过401未授权挑战消息的响应消息发送给BSF为 收到401未授权挑战消息后,IMS UE生成随机数cnonce和H(Al),根据401未授权挑战消息中携带的参数,利用单向哈希函数F计算response值response = F(H(Al), cnonce,nonce, qop, nonce-count);其中,所述nonce-count为计数器,每使用同一个nonce计算一次response值,所述nonce-count加I ;IMSUE向BSF发送401未授权挑战消息的响应消息,其中携带 cnonce、nonce、response、realm、IMPI> qop、algorithm、Digest-url 和nonce-counto
6.根据权利要求1所述的方法,其特征在于,所述BSF对IMSUE进行认证为 BSF利用收到的响应消息中的参数,以及预先生成并储存在本地的nonce和H(Al)计算期望值Xresponse,将计算出的Xresponse与收到的响应消息中的response进行比较,如果比较结果是两者相同,则MS UE认证成功;否则,MSUE认证失败,结束流程。
7.根据权利要求1所述的方法,其特征在于,所述BSF根据预先生成的随机数和预先从HSS获取的哈希函数值H (Al),利用算法生成引导密钥Ks,并发送给MS UE为 BSF根据预先生成并储存在本地的nonce和预先从HSS获取的H(Al),利用相应的算法生成引导密钥Ks,并生成B-TID和rspauth值;BSF向MS UE发送2000K消息,该消息中携带B-TID、包含密钥生命周期的XML文档和rspauth值。
8.根据权利要求1所述的方法,其特征在于,所述IMSUE计算rspauth值,并利用该rspauth值完成对网络的认证为 IMS UE采用与BSF相同的方法计算rspauth值,并对比本地计算得到的rspauth和从BSF获得的rspauth,完成对网络的认证,如果两个rspauth相同,贝U认证成功,否则,认证失败,结束流程;如果认证成功,IMS UE采用与BSF相同的方法生成引导密钥Ks,完成整个引导过程。
9.一种变异GBA的引导系统,其特征在于,该系统包括BSF、IMS UE ;其中, BSF,用于收到MS UE发送的401未授权挑战消息的响应消息后,对MSUE进行认证,认证成功时,根据预先生成的随机数和预先从HSS获取的哈希函数值H(Al),利用算法生成引导密钥Ks,并发送给MS UE ; IMS UE,用于计算rspauth值,并利用所述rspauth值完成对IMS网络的认证。
10.根据权利要求9所述的系统,其特征在于,该系统还包括HSS;其中, IMS UE,还用于向BSF发送HTTP GET初始请求消息; BSF,用于向HSS请求认证向量SD-AV ; HSS,用于收到请求后,生成SIP Digest认证向量SD-AV并发送给BSF,所述SD-AV中携带哈希函数值H(Al); BSF,用于生成随机数nonce,并保存从HSS收到的SD-AV中的H(Al)和所述nonce ;向IMS UE发送401未授权挑战消息,其中携带IMP1、realm、qop、algorithm和nonce ; IMS UE,还用于生成随机数cnonce和H(Al),计算response值,并通过401未授权挑战消息的响应消息发送给BSF。
全文摘要
本发明公开一种变异GBA的引导方法,包括收到IMS UE发送的401未授权挑战消息的响应消息后,BSF对IMS UE进行认证,认证成功时,BSF根据预先生成的随机数和预先从HSS获取的哈希函数值H(A1),利用算法生成引导密钥Ks,并发送给IMS UE;IMS UE计算rspauth值,并利用所述rspauth值完成对网络的认证;本发明还提供一种变异GBA的引导系统。根据本发明的技术方案,能够实现在变异GBA架构下,利用SIP Digest认证机制完成对非UICC下的统一IMS UE访问AS的SSO功能。
文档编号H04L29/06GK103067345SQ20111032583
公开日2013年4月24日 申请日期2011年10月24日 优先权日2011年10月24日
发明者张孟旺, 田甜 申请人:中兴通讯股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:张孟旺;田甜
  • 技术所有人:中兴通讯股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2