针对移动电信网络中的终端来实现通用引导架构类型的安全关联的制作方法
【专利摘要】本发明涉及一种针对终端来实现GBA类型的安全关联的方法,包括在从终端接收到附接到网络的请求之后在网络接入服务器中执行的下列步骤:将安全关联的请求派送(E2)到引发功能服务器、从引发功能服务器接收(E5)包含安全关联参数的响应、将包含安全关联参数的消息派送(E5)到终端。
【专利说明】针对移动电信网络中的终端来实现通用引导架构类型的安
全关联
【技术领域】
[0001]本发明的领域是电信领域,且更具体而言是移动网络的电信领域。
【背景技术】
[0002]3GPP已经定义了被称为GBA (通用引导架构)的架构,其目标是允许移动终端的验证从而在移动终端和应用之间建立安全关联。
[0003]该架构包括引导功能服务器BSF,并依赖于标识密钥的被称为AKA的协议。
[0004]在验证过程中,装有SM卡的终端使用基于http协议的连接来向引导功能服务器BSF验证自己。一般的原则如下:
[0005]验证结果是由服务器确定的在一持续时间内有效的安全秘钥。服务器还向终端提供与安全秘钥关联的会话标识符以及秘钥有效性的持续时间。
[0006]当终端随后打开与应用的IP连接时,通过向应用提供会话标识符,它向应用表明它想要根据GBA技术来验证。
[0007]应用联系BSF服务器,以向它提供会话标识符。BSF服务器通过向它提供从安全秘钥以及从应用名称导出的新秘钥来进行响应。终端执行相同的操作。于是,终端和应用使用同一个秘钥,它们可以用该秘钥来互相验证它们自己,并保证它们之间的IP连接的安全性。
[0008]通过示例,国际专利申请W02008/082337描述了一种使用如下过程的方法,该过程基于利用引导功能服务器BSF的现有验证,然后在随后的打开IP连接的过程中根据GBA技术来进行验证。
[0009]但是,该过程意味着终端打开其自己的http浏览器从而之后能够打开与应用的IP连接,该连接不是必须要基于http协议。
[0010]此外,移动终端在附接到网络时已经预先与网络接入服务器验证自己。因此移动终端存在两次验证,一次是在附接到网络时,且第二次是在建立与应用的安全关联的时候。
【发明内容】
[0011]本发明的目标是通过提供一种针对终端来实现GBA类型的安全关联的方法,以解决现有技术的缺陷,该方法包括在从终端接收到附接到网络的请求之后在网络接入服务器中执行的下列步骤:
[0012]-将安全关联请求派送到引导功能服务器,
[0013]-从引导功能服务器接收包含安全关联参数的响应,
[0014]-将包含安全关联参数的消息派送到终端。
[0015]通过本发明,终端对GBA类型的安全关联的验证与在终端附接到网络时执行的操作相结合,而不是和现有技术的情况一样单独地且在它们之后执行。
[0016]于是,终端发送的信令整体上被减少,且GBA类型的安全关联的使用因此被简化。[0017]特别地,终端不需要打开特定的http连接,以为了 GBA类型的安全关联验证自己。
[0018]根据优选的特征,安全关联参数包括:
[0019]-随机值,
[0020]-用于识别网络的参数,
[0021]-安全会话标识符,
[0022]-安全会话的有效性持续时间。
[0023]这些参数随后将允许终端与应用建立安全关联。
[0024]根据优选的特征,由订户服务器来确定随机值和用于识别网络的参数。
[0025]于是本发明与3GPP提出的GBA架构兼容。
[0026]根据优选的特征,派送到引导功能服务器的安全关联请求是“直径”(“Diameter”)类型的请求,其包含终端用户的国际移动订户身份。
[0027]根据优选的特征,从引导功能服务器接收的包含安全关联参数的响应是“直径”类型。
[0028]“直径”协议是广泛使用的AAA协议中的一种。
[0029]根据优选的特征,被派送(E5)到终端的包含安全关联参数的消息是调整的“附接接收”(“ATTACH RECEPT”)类型的消息以便包含安全关联参数。
[0030]本发明还涉及一种网络接入服务器,适于针对终端来实现GBA类型的安全关联,包括用于从终端接收附接到网络的请求的装置,并且还包括:
[0031]-用于在从终端接收到附接到网络的请求之后、将安全关联请求派送到引导功能服务器的装置;
[0032]-用于从引导功能服务器接收包含验证参数和安全关联参数的响应的装置,
[0033]-用于将包含安全关联参数的消息派送到终端的装置。
[0034]该装置展示了与上述方法类似的优势。
[0035]在特定的实施例中,根据本发明的方法的各个步骤是通过计算机程序的指令来确定的。
[0036]因此,本发明的目标还在于一种信息介质上的计算机程序,该程序能够在计算机中实现,该程序包含的指令适于实现如上所述的方法的步骤。
[0037]该程序可以使用任意编程语言,并且可以是源代码、目标代码或者源代码和目标代码之间的代码的形式(例如部分编译的形式)、或者任意其他想要的形式。
[0038]本发明的目标还在于一种信息介质,其可被计算机读取,并且包含上述计算机程序的指令。
[0039]信息介质可以是能够存储程序的任意实体或设备。例如,介质可以包括:存储装置,例如ROM (如CD ROM)或微电子电路ROM;或者磁记录装置,如磁盘(软盘)或硬盘。
[0040]此外,信息介质可以是例如电或光信号的传输介质,其可以通过电或光缆、通过无线电或其他方式来传递。特别地,根据本发明的程序可以从因特网类型的网络来下载。
[0041]或者,信息介质可以是集成电路,程序被集成于其中,该电路适于执行所讨论的方法、或在所讨论的方法的执行中使用。
【专利附图】
【附图说明】[0042]在阅读了参考附图描述的优选实施例之后,其他特征和优势将变得明显,在附图中:
[0043]-图1以示意的方式来表示本发明涉及的移动电信网络中的设备项目,和
[0044]-图2表示根据本发明的针对终端来实现GBA类型的关联的方法的步骤。
【具体实施方式】
[0045]根据图1所示的本发明的一个实施例,实现本发明的设备项目是移动终端1、网络接入服务器2、被称为BSF的引导功能服务器3以及被称为HSS (家庭订户服务器)的订户服务器4。
[0046]本发明被实现用于GPRS (通用分组无线业务)类型的接入。在该情形下,网络接入服务器2是服务GPRS支持节点,被称为SGSN (服务GPRS支持节点)。
[0047]在另一实施例中,本发明在LTE/EPC (长期演进/演进分组核心)类型的网络中实现。在该情形下,网络接入服务器2是被称为MME (移动管理实体)的服务器。
[0048]移动终端I例如可以是移动电话终端、膝上型计算机、数字个人助理等。在所示例子中,移动终端I是属于用户的移动电话终端。
[0049]如图1所示,移动终端I包括发送-接收模块10,其被特别配置为向网络接入服务器2发送数据/从网络接入服务器2接收数据。它还包括处理器11、随机存取存储器12和只读存储器13。
[0050]网络接入服务器2具有传统的计算机结构。它包括处理器21、随机存取存储器22和只读存储器23。它包括发送-接收模块20,其被配置为与移动终端1、BSF引导功能服务器3和HSS订户服务器4进行通信。
[0051]网络接入服务器适于针对终端来实现GBA类型的安全关联。它包括从终端接收附接到网络的请求的装置。
[0052]根据本发明,它还包括:
[0053]-用于在从终端接收到附接到网络的请求之后、将安全关联请求派送到引导功能服务器的装置;
[0054]-用于从引导功能服务器接收包含验证参数和安全关联参数的响应的装置,
[0055]-用于将包含安全关联参数的消息派送到终端的装置。
[0056]BSF引导功能服务器3具有传统的计算机结构。它包括处理器31、随机存取存储器32和只读存储器33。它包括发送-接收模块30,其被配置为与网络接入服务器2和HSS订户服务器4进行通信。
[0057]HSS订户服务器4具有传统的计算机结构。它包括处理器41、随机存取存储器42和只读存储器43。它包括发送-接收模块40,其被配置为与网络接入服务器2和BSF引导功能服务器3进行通信。
[0058]根据本发明的一个实施例,如图2所示,针对移动终端I来实现GBA类型的安全关联的方法包括步骤El到E5。
[0059]网络接入服务器2和BSF服务器4之间的交换例如基于直径协议。
[0060]在步骤El中,移动终端I请求它附接到网络接入服务器2,后者处理该请求。专用于附接到网络的交换是传统的,并且这里将不详述。[0061]网络接入服务器2处理移动终端I附接请求并对终端进行验证,在该过程中,它询问HSS服务器4以恢复验证参数AKA。
[0062]HSS服务器是集中式的库,其掌管与移动终端I相关的用户简档的数据。如果该简档支持GBA类型的安全关联,则HSS服务器4还存储了该特征的指示。
[0063]HSS服务器响应于网络接入服务器2。假设移动终端I支持GBA类型的安全关联。HSS服务器4因此将该信息插入到其对网络接入服务器2的响应中。
[0064]例如,如果直径协议被用于两个服务器之间的交换,则移动终端I支持GBA类型的安全关联的指示被添加到HSS服务器4响应于验证请求而向网络接入服务器2派送的“验证-信息-应答”(“Authentication-1nformation-Answer”)命令中。根据该协议,分组包含被称为AVP (属性-值对)的成对的集合。以下列方式来添加特定的AVP对“GBA-支持”(“GBA-Support”):
[0065]
【权利要求】
1.一种针对终端(I)实现GBA类型的安全关联的方法, 其特征在于,它包括在从终端接收到附接到网络的请求之后在网络接入服务器(2)中执行的下列步骤: -将安全关联请求派送(E2)到引导功能服务器(3), -从所述引导功能服务器(3)接收(E5)包含安全关联参数的响应, -将包含所述安全关联参数的消息派送(E5)到终端。
2.如权利要求1所述的方法,其特征在于,所述安全关联参数包括: -所提供的随机值, -用于标识网络的参数(AUTN), -安全会话标识符, -安全会话的有效性的持续时间。
3.如权利要求2所述的方法,其特征在于,由订户服务器来确定所述随机值和所述用于标识网络的参数。
4.如权利要求1到3中任一项所述的方法,其特征在于,被派送(2)到引导功能服务器(3)的安全关联请求是“直径”类型的请求,其包含终端的用户的国际移动订户身份。
5.如权利要求1到4中任一项所述的方法,其特征在于,从引导功能服务器(3)接收(E5)的包含安全关联参数的响应是“直径”类型。
6.如权利要求1到5中任一项所述的方法,其特征在于,被派送(E5)到终端的包含安全关联参数的消息是调整的“附接接收”类型的消息以便包含所述安全关联参数。
7.—种网络接入服务器,适于针对终端来实现GBA类型的安全关联,包括从终端接收附接到网络的请求的装置, 其特征在于,所述网络接入服务器包括: -用于在从终端接收到附接到网络的请求之后、将安全关联请求派送到引导功能服务器(BSF)的装置; -用于从所述引导功能服务器(BSF)接收包含验证参数和安全关联参数的响应的装置, -用于将包含所述安全关联参数的消息派送到终端的装置。
8.一种包含指令的计算机程序,在所述程序被计算机执行时,该指令用于执行如权利要求I到6中任一项所述的方法的步骤。
9.一种可被计算机读取的记录介质,其上记录了包含指令的计算机程序,该指令用于执行如权利要求1到6中任一项所述的方法的步骤。
【文档编号】H04W12/06GK103563419SQ201280026096
【公开日】2014年2月5日 申请日期:2012年3月27日 优先权日:2011年3月31日
【发明者】J.布尔内尔, L.莫兰德 申请人:奥林奇公司