1,所以BM-SC不需要认证UE 11,因为UE已经由MS认证。另外,HTTP POST消息还向BM-SC指示SCF已经授权UE向指示的MBMS用户服务进行登记。
[0030]BM-SC存储接收的信息,并且向SCF 21返回HTTP 200 OK消息36。BM-SC将按如下所述来装载HTTP 200 OK消息:
[0031 ] -HTTP状态行中的HTTP状态码将为200 ;
[0032]-HTTP 报头 Content-Type 将是有效载荷的 MIME 类型,即,“applicat1n/mbms-register-response+xml,,;
[0033]-HTTP有效载荷将包含XML文档,XML文档包括其中包含各MBMS用户服务的一个状态码的列表。有效载荷的XML方案与用于TS 33.246中的MBMS登记的相同,并且在TS26.346中规定。
[0034]SCF 21接收HTTP 200 OK消息36,并把来自HTTP 200 OK消息的XML主体包含到SIP 200 OK消息37中,并且经由頂CN子系统32向UE 11发送SIP 200 OK消息。BM-SC22这时能够按照TS 33.246中规定的过程开始向指示的MBMS用户服务的UE发送MIKEYMSK消息(采用MUK来保护)38、MTK消息(采用MSK来保护)39、和MBMS数据(采用MTK来保护)40。
[0035]这个过程的问题与以上针对图3论述的相同,S卩,不存在当一个以上BM-SC连接到SCF时提供BM-SC特定NAF密钥的方式。如果SCF 21向所有连接的BM-SC发送同一 Ks_NAF,则该同一 Ks_NAF密钥会在UE 11与所有相关联BM-SC之间使用。这会揭开诸如BM-SC对UE相互模仿的威胁。
[0036]另外,在MIKEY MSK消息38中不存在足够信息向UE 11指示哪一个MUK ( S卩,NAF密钥)用于保护MIKEY MSK消息。在MBMS TS 33.246中,NAF-1d和B-TID用于指示这个方面;但在TS 26.237中,BM-SC 22没有充当NAF,并且因此它没有这种信息。
【发明内容】
[0037]在本发明的一个实施例中,SCF/NAF 21在GBA中如常从BSF 12取回Ks_NAF。然后,不是SCF/NAF向(一个或多个)BM-SC/AS发送它自己的Ks_NAF,而是SCF/NAF从SCF特定Ks_NAF进行进一步密钥推导,以产生BM-SC/AS特定密钥Ks_AS。例如,Ks_AS = KDF (Ks_NAF,nonce),其中,nonce (现时)是由SCF/NAF定义的并且是对相关联BM-SC/AS特定的值。CF/NAF向UE 11指示nonce,UE 11则进行相同Ks_AS推导。SCF/NAF还向UE指示BM-SC/AS的识别码,使得UE能够将得出的Ks_AS密钥与正确BM-SC/AS相关起来。因此,UE和BM-SC/AS共享BM-SC/AS特定密钥。
[0038]在一个实施例中,本发明针对一种在通信网络中用于管理通信装置、认证节点、以及向通信装置提供请求服务的选择的服务节点之间的共享安全密钥的方法。该方法包括下列步骤:由认证节点将多个认证节点标识符与多个服务相关联,其中多个认证节点标识符标识认证节点;以及由网络使预期服务的服务描述对通信装置可用,服务描述包括多个认证节点标识符中与预期服务相关联的认证节点标识符,其中认证节点标识符使通信装置能够得出安全密钥。该方法还包括由认证节点向网络中的各服务节点分配多个认证节点标识符中的不同认证节点标识符;并且由认证节点将分配的认证节点标识符与连接的服务节点相关联。在从通信装置接收到预期服务的请求时,认证节点利用与预期服务关联的分配的认证节点标识符来获得与分配的认证节点标识符关联的连接的服务节点的安全密钥,并且将安全密钥从认证节点发送到关联的服务节点。因此,当关联的服务节点向通信装置发送采用安全密钥保护的密钥管理消息时,通信装置使用安全密钥对该消息进行解密和检验。
[0039]在另一个实施例中,本发明针对一种在通信网络中用于管理通信装置、认证节点、以及向通信装置提供请求服务的选择的服务节点之间的共享安全密钥的方法。该方法包括下列步骤:由网络使至少一个服务的服务描述对通信装置可用,服务描述包括认证节点的至少一个标识符,其中各认证节点标识符与不同服务以及与不同服务节点相关联;由通信装置基于已知信息以及在服务描述中接收的认证节点标识符中的选择的一个来得出安全密钥,其中选择的认证节点标识符与预期服务相关联;以及将预期服务的请求从通信装置发送到认证节点,该请求包括事务标识符和预期服务的服务标识符。该方法还包括在认证节点中将服务标识符与认证节点标识符相关联;由认证节点利用认证节点标识符和事务标识符来获得安全密钥;识别与认证节点标识符关联的服务节点;以及将预期服务的请求消息从认证节点发送到识别的服务节点,该请求消息包括服务标识符、事务标识符、安全密钥和通信装置的地址。因此,当识别的服务节点向通信装置发送采用安全密钥保护的密钥管理消息时,通信装置使用安全密钥对该消息进行解密和检验。
[0040]在另一个实施例中,本发明针对一种在通信网络中用于管理通信装置以及向通信装置提供服务的服务节点之间的共享安全密钥的认证节点。该认证节点包括运行存储器中存储的计算机程序指令的处理器,该处理器控制认证节点的下列组件:用于将多个认证节点标识符与多个服务相关联的部件,其中多个认证节点标识符标识认证节点;用于向网络中的各服务节点分配多个认证节点标识符中的不同认证节点标识符的部件;用于将分配的认证节点标识符与连接的服务节点相关联的表;响应从通信装置接收到预期服务的请求而利用与预期服务关联的分配的认证节点标识符来获得与分配的认证节点标识符关联的连接的服务节点的安全密钥的部件;以及用于将安全密钥从认证节点发送到关联的服务节点的通信部件。网络使预期服务的服务描述对通信装置可用。服务描述包括多个认证节点标识符中与预期服务关联的认证节点标识符,并且通信装置利用认证节点标识符来得出安全密钥。因此,当关联的服务节点向通信装置发送采用安全密钥保护的密钥管理消息时,通信装置使用安全密钥对该消息进行解密和检验。
[0041]在另一个实施例中,本发明针对一种在通信网络中用于利用共享安全密钥向通信装置提供用户服务的服务节点。该服务节点包括运行存储器中存储的计算机程序指令的处理器。该处理器控制服务节点的下列组件:用于从认证节点获得认证节点标识符、通信装置的IP地址、事务标识符和共享安全密钥的通信部件,其中事务标识符标识其中通信装置已经请求服务节点提供的用户服务的事务;以及用于向通信装置发送采用共享安全密钥保护的密钥管理消息的通信部件,密钥管理消息包括认证节点标识符和事务标识符。当通信装置从服务节点接收到密钥管理消息时,通信装置从认证节点标识符和事务标识符来识别共享安全密钥。当认证节点向通信装置提供认证节点标识符时,或者当通信装置接收服务描述中的认证节点标识符时,通信装置利用认证节点标识符来得出共享安全密钥,并且使用共享安全密钥对密钥管理消息进行解密和检验。
[0042]在另一个实施例中,本发明针对一种在通信网络中用于管理共享安全密钥的系统。该系统包括:通信装置;与通信装置进行通信的认证节点;以及与认证节点和通信装置进行通信的服务节点。该认证节点包括:用于将多个认证节点标识符与多个服务相关联的部件,其中多个认证节点标识符标识认证节点;用于向服务节点分配多个认证节点标识符中的选择的认证节点标识符的部件;用于将分配的认证节点标识符与连接的服务节点相关联的表;响应从通信装置接收到预期服务的请求而利用与预期服务关联的分配的认证节点标识符来获得与分配的认证节点标识符关联的连接的服务节点的安全密钥的部件;以及用于向服务节点发送认证节点标识符、通信装置的IP地址、事务标识符和共享安全密钥的通信部件,其中事务标识符标识其中通信装置已经请求服务节点提供的用户服务的事务。该服务节点包括用于向通信装置发送采用共享安全密钥保护的密钥管理消息的通信部件,密钥管理消息包括认证节点标识符和事务标识符。移动通信装置包括:用于从认证节点标识符和事务标识符来识别共享安全密钥的部件;用于接收或者来自认证节点的或者在从网络获得的服务描述中的认证节点标识符的通信部件;用于利用认证节点标识符来得出共享安全密钥的部件;以及用于使用共享安全密钥对密钥管理消息进行解密和检验的部件。
[0043]在基于IMS的MBMS和PSS用户服务中的密钥分发的一特定示范实施例中,本发明有利地提供一种更安全的系统,其中UE与多个BM-SC的每个共享不同(特定)的密钥,而不是与所有涉及的BM-SC共享同一密钥。在用于获得认证代理(AP)情况的AS特定密钥的相关实施例中,本发明有利地提供一种实现UE与应用服务器(AS)之间的共享秘密的方式。这使得能够对具有AP的情况开发新种类的应用。本发明提供一种更安全的系统,其中UE与各AS共享不同(特定)的密钥,而不是与所有涉及的AS共享同一密钥。
【附图说明】
[0044]图1是取自TS 33.222的高级参考模型,示出使用引导服务的网络应用功能(NAF);
[0045]图2是取自TS 33.222的高级参考模型,示出认证代理(AP)的环境和参考点;
[0046]图3是取自TS 26.237的高级参考模型,示出用于密钥共享的当前解决方案;
[0047]图4是示出在现有基于MS的MBMS登记过程期间在多种网络实体之间发送的消息的消息流程图;
[0048]图5A-5B是示出在服务描述中向UE指示NAF-1d (SCF分配的FQDN)时在发明的基于MS的MBMS登记过程的第一实施例期间在多种网络实体之间发送的消息的消息流程图的部分;
[0049]图6A-6B是示出在SIP 200 OK消息中向UE指示NAF-1d (SCF分配的FQDN)时在发明的基于MS的MBMS登记过程的第二实施例期间在多种网络实体之间发送的消息的消息流程图的部分;
[0050]图7是示出用于基于MS的MBMS和PSS用户服务中的密钥分发的发明系统和方法的一实施例的尚级参考t旲型;
[0051]图8是示出用于获得认证代理(AP)情况的AS特定密钥的发明系统和方法的一实施例的尚级参考t旲型;以及
[0052]图9是本发明系统的一示范实施例的简化框图。
【具体实施方式】
[0053]存在能够向UE指示将要在密钥推导中使用的NAF-1d的两种方式:
[0054]A)可在服务描述中向UE指示NAF-1d (SCF分配的FQDN)。基于UE选择哪一个服务,UE则将使用对应NAF-1d。这与MBMS TS 33.246中的当前