针对移动电信网络中的终端来实现通用引导架构类型的安全关联的制作方法
【专利摘要】本发明涉及一种针对终端来实现GBA类型的安全关联的方法,包括在从终端接收到用于附接到网络的请求之后在网络接入服务器中执行的下列步骤:将请求派送(E1)到订户服务器;接收(E1)响应,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指示。
【专利说明】针对移动电信网络中的终端来实现通用引导架构类型的安
全关联
【技术领域】
[0001]本发明的领域是电信领域,且更具体而言是移动网络的电信领域。
【背景技术】
[0002]3GPP定义了被称为GBA (通用引导架构)的架构,其目标是允许移动终端的验证从而在移动终端和应用之间建立安全关联。
[0003]该架构包括引导功能服务器BSF,并依赖于标识密钥的被称为AKA的协议。
[0004]在验证过程中,装有SM卡的终端使用基于http协议的连接来向引导功能服务器BSF验证自己。一般的原则如下:
[0005]验证结果是由服务器确定的在一持续时间内有效的安全秘钥。服务器还向终端提供与安全秘钥关联的会话标识符以及秘钥有效性的持续时间。
[0006]当终端随后打开与应用的IP连接时,它通过向这个应用提供会话标识符,而向这个应用表明它想要根据GBA技术来验证。
[0007]应用联系BSF服务器,以向它提供会话标识符。BSF服务器通过向它提供从安全秘钥以及从应用名称导出的新秘钥来进行响应。终端执行相同的操作。于是,终端和应用使用同一个秘钥,它们可以用该秘钥来互相验证,并保证它们之间的IP连接的安全性。
[0008]该过程意味着终端打开其自己的http浏览器从而之后能够打开与应用的IP连接,该连接不是必须要基于http协议。
[0009]此外,移动终端在附接到网络时已经预先与网络接入服务器进行验证。因此移动终端存在两次验证,一次是在附接到网络时,且第二次是在建立与应用的安全关联的时候。
【发明内容】
[0010]本发明的目标是通过提供一种针对终端来实现GBA类型的安全关联的方法,以解决现有技术中的问题,该方法包括在从终端接收到附接到网络的请求之后在网络接入服务器中执行的下列步骤:
[0011 ]-将请求派送到订户服务器,
[0012]-接收响应,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指
/Jn ο
[0013]通过本发明,终端对GBA类型的安全关联的验证与在终端附接到网络时执行的操作相结合,而不是单独地且在其之后执行。
[0014]于是,终端发送的信令整体上被减少,且GBA类型的安全关联的使用由此被简化。
[0015]特别地,终端不需要打开特定的http连接来以为了 GBA类型的安全关联验证自己。
[0016]本发明还涉及一种针对终端来实现GBA类型的安全关联的方法,
[0017]其特征在于,它包括在订户服务器中执行的下列步骤:[0018]-在网络接入服务器从终端接收到附接到网络的请求之后,从网络接入服务器接收请求,
[0019]-派送响应,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指
/Jn ο
[0020]通过本发明,如果与终端相关联的用户简档支持GBA类型的安全关联,网络接入服务器和订户服务器在终端附接到网络的时刻进行对话,从而订户服务器向网络接入服务器表明与终端相关联的用户简档支持GBA类型的安全关联。于是,网络接入服务器具有该信息,其可以利用该信息来建立安全关联。
[0021]根据优选的特征,响应是“直径”(“Diameter”)类型,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指示。
[0022]“直径”协议是广泛使用的AAA协议中的一种。
[0023]本发明还涉及一种网络接入服务器,适于针对终端来实现GBA类型的安全关联,包括从终端接收附接到网络的请求的装置,并且还包括:
[0024]-用于将请求发送到订户服务器的装置,
[0025]-用于接收响应的装置,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指不。
[0026]本发明还涉及一种订户服务器,其掌管与终端相关联的用户简档数据,其特征在于,如果与终端相关联的用户简档支持GBA类型的安全关联,则订户服务器存储该特征的指示。
[0027]根据优选的特征,订户服务器包括用于接收由网络接入服务器在来自终端的附接到网络的请求之后派送的请求的装置,并且,如果与终端相关联的用户简档支持GBA类型的安全关联,它包括用于派送响应的装置,该响应包含该特征的指示。
[0028]这些设备展示了与上述方法类似的优势。
[0029]在特定的实施例中,根据本发明的方法的各个步骤是通过计算机程序的指令来确定的。
[0030]因此,本发明的目标还在于一种信息介质上的计算机程序,该程序能够在计算机中实现,该程序包含的指令适于实现如上所述的方法的步骤。
[0031]该程序可以使用任意编程语言,并且可以是源代码、目标代码或者源代码和目标代码之间的代码的形式(例如部分编译的形式)、或者任意其他想要的形式。
[0032]本发明的目标还在于一种信息介质,其可被计算机读取,并且包含上述计算机程序的指令。
[0033]信息介质可以是能够存储程序的任意实体或设备。例如,介质可以包括:存储装置,例如ROM (如CD ROM)或微电子电路ROM;或者磁记录装置,如磁盘(软盘)或硬盘。
[0034]此外,信息介质可以是例如电或光信号的传输介质,其可以通过电或光缆、通过无线电或其他方式来传递。特别地,根据本发明的程序可以从因特网类型的网络来下载。
[0035]或者,信息介质可以是集成电路,程序被集成于其中,该电路适于执行所讨论的方法、或在所讨论的方法的执行中使用。
【专利附图】
【附图说明】[0036]阅读优选实施例并参考附图,其他特征和优势将变得明显,在附图中:
[0037]-图1以示意的方式来表示本发明涉及的移动电信网络中的设备项目,并且
[0038]-图2表示根据本发明的针对终端来实现GBA类型的安全关联的方法的步骤。
【具体实施方式】
[0039]根据图1所示的本发明的一个实施例,实现本发明的设备项目是移动终端1、网络接入服务器2、被称为BSF的引导功能服务器3以及被称为HSS (家庭订户服务器)的订户服务器4。
[0040]本发明针对GPRS (通用分组无线业务)类型的接入来实现。在该情形下,网络接入服务器2是服务GPRS支持节点,被称为SGSN (服务GPRS支持节点)。
[0041]在另一实施例中,本发明在LTE/EPC (长期演进/演进分组核心)类型的网络中实现。在该情形下,网络接入服务器2是被称为MME (移动性管理实体)的服务器。
[0042]移动终端I例如可以是移动电话终端、膝上型计算机、个人数字助理等。在所示例子中,移动终端I是属于用户的移动电话终端。
[0043]如图1所示,移动终端I包括发送-接收模块10,其被特别配置为向网络接入服务器2发送数据/从网络接入服务器2接收数据。它还包括处理器11、随机存取存储器12和只读存储器13。
[0044]网络接入服务器2具有传统的计算机结构。它包括处理器21、随机存取存储器22和只读存储器23。它包括发送-接收模块20,其被配置为与移动终端1、BSF引导功能服务器3和HSS订户服务器4进行通信。
[0045]网络接入服务器适于针对终端来实现GBA类型的安全关联。它包括用于从终端接收附接到网络的请求的装置。
[0046]根据本发明,它还包括:
[0047]-用于将请求派送到订户服务器的装置,
[0048]-用于接收响应的装置,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指示。
[0049]BSF引导功能服务器3具有传统的计算机结构。它包括处理器31、随机存取存储器32和只读存储器33。它包括发送-接收模块30,其被配置为与网络接入服务器2和HSS订户服务器4进行通信。
[0050]HSS订户服务器4具有传统的计算机结构。它包括处理器41、随机存取存储器42和只读存储器43。它包括发送-接收模块40,其被配置为与网络接入服务器2和BSF引导功能服务器3进行通信。
[0051]订户服务器4掌管与终端相关联的用户简档的数据。根据本发明,如果与终端关联的用户简档支持GBA类型的安全关联,则订户服务器存储该特征的指示。
[0052]根据本发明的订户服务器包括用于接收由网络接入服务器在来自终端的附接到网络的请求之后派送的请求的装置,并且,如果与终端相关联的用户简档支持GBA类型的安全关联,它包括用于派送响应的装置,该响应包含该特征的指示。
[0053]根据本发明的一个实施例,如图2所示,针对移动终端I来实现GBA类型的安全关联的方法包括步骤El到E5。[0054]网络接入服务器2和BSF服务器4之间的交换例如基于直径协议。
[0055]在步骤El中,移动终端I请求附接到网络接入服务器2,后者处理该请求。专用于附接到网络的交换是传统的并且在这里不进行详述。
[0056]网络接入服务器2处理移动终端I附接请求并对终端进行验证,在该过程中,它询问HSS服务器4以恢复验证参数AKA。
[0057]HSS服务器是集中式的库,其掌管与移动终端I相关联的用户简档的数据。如果该支持GBA类型的安全关联,则HSS服务器4还存储了该特征的指示。
[0058]HSS服务器4响应于网络接入服务器2。假设移动终端I支持GBA类型的安全关联。HSS服务器4因此将该信息插入到其对网络接入服务器2的响应中。
[0059]例如,如果直径协议被用于两个服务器之间的交换,移动终端I支持GBA类型的安全关联的指示被添加到HSS服务器4响应于验证请求而向网络接入服务器2派送的“验证-信息-应答”命令。根据该协议,分组中包含被称为AVP (属性-值对)的成对的集合。以下列方式来添加特定的AVP对“GBA-支持”:
[0060]
【权利要求】
1.一种针对终端(I)来实现GBA类型的安全关联的方法,其特征在于,它包括在从终端接收到用于附接到网络的请求之后、在网络接入服务器(2)中执行的下列步骤:-将请求派送到订户服务器(4 ),-接收响应,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指示。
2.一种针对终端(I)来实现GBA类型的安全关联的方法,其特征在于,它包括在订户服务器(4)中执行的下列步骤:-在网络接入服务器(2)从终端接收到附接到网络的请求之后,从网络接入服务器接收请求,-派送响应,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指示。
3.如权利要求1或2所述的方法,其特征在于,所述响应是“直径”类型,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指示。
4.一种网络接入服务器,适于针对终端(I)来实现GBA类型的安全关联,包括用于从终端接收用于附接到网络的请求的装置,其特征在于,它包括:-用于将请求派送到订户服务器(4)的装置,-用于接收响应的装置,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指示。
5.一种订户服务器(4),其掌管与终端相关联的用户简档的数据,其特征在于,如果与终端相关联的用户简档支持GBA类型的安全关联,则订户服务器存储该特征的指示。
6.如权利要求5所述的订户服务器(4),其特征在于,它包括用于接收由网络接入服务器在来自终端的附接到网络的请求之后派送的请求的装置,并且在于,如果与终端相关联的用户简档支持GBA类型的安全关联,它包括用于派送响应的装置,该响应包含该特征的指示。
7.一种包含指令的计算机程序,当所述程序被计算机执行时,该指令用于执行如权利要求I所述的方法的步骤。
8.一种计算机能够读取的记录介质,其上记录了包含指令的计算机程序,用于执行如权利要求1所述的方法的步骤。
9.一种包含指令的计算机程序,当所述程序被计算机执行时,该指令用于执行如权利要求2所述的方法的步骤。
10.一种计算机能够读取的记录介质,其上记录了包含指令的计算机程序,该指令用于执行如权利要求2所述的方法的步骤。
【文档编号】H04L29/06GK103563418SQ201280026090
【公开日】2014年2月5日 申请日期:2012年3月27日 优先权日:2011年3月31日
【发明者】J.博内尔, L.莫兰德 申请人:奥林奇公司