专利名称:一种应用通用鉴权框架的方法
技术领域:
本发明涉及第三代无线通信技术领域,特别是指一种应用通用鉴权框架的方法。
背景技术:
在第三代无线通信标准中,通用鉴权框架是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构,应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务。
图1所示为通用鉴权框架的结构示意图。通用鉴权框架通常由用户101、执行用户身份初始检查验证的实体(BSF)102、用户归属网络服务器(HSS)103和网络应用实体(NAF)104组成。BSF 102用于与用户101进行互验证身份,同时生成BSF 102与用户101的共享密钥;HSS 103中存储有用于描述用户信息的描述(Profile)文件,该Profile中包括用户身份标识等所有与用户有关的描述信息,同时HSS 103还兼有产生鉴权信息的功能。
用户需要使用某种业务时,如果其知道该业务需要到BSF进行互鉴权过程,则直接到BSF进行互鉴权,否则,用户会首先和某个业务对应的NAF联系,如果该NAF应用通用鉴权框架需要用户到BSF进行身份验证,则通知用户应用通用鉴权框架进行身份验证,否则进行其它相应处理。
随着技术的发展,现有的通用鉴权框架有以下两种应用模式一种是大多数业务应用的普通模式,通常被称为模式1。其是由用户终端内的用户标识卡计算出鉴权信息,由用户终端根据用户标识卡主动发来的密钥信息,计算出与NAF通信时所需的密钥。具体实现过程为,用户标识卡计算产生加密密钥CK、完整性密钥IK及鉴权响应值RES后,将计算出的结果全部发送给用户终端,用户终端将鉴权响应值RES发送给网络侧鉴权,而自己保存IK和CK。鉴权通过后,用户终端接收到BSF分配的会话事务标识(TID)。用户终端应用通用鉴权框进行通信时,用户终端首先将IK和CK组合起来生成密钥Ks,再应用Ks或由Ks衍生出的密钥Ks_NAF作为与NAF通信时的保护密钥。
另一种是安全性较高的增强模式,通常被称为模式2,也被称为特殊模式。其是由用户终端内的用户标识卡计算出鉴权信息后,再进一步计算出用户终端与NAF通信时所需的中间密钥。然后,使一部分中间密钥保存在用户标识卡中,另一部分中间密钥保存在用户终端内。具体实现过程为,用户标识卡计算产生加密密钥CK、完整性密钥IK及鉴权响应值RES后,再将IK和CK组合起来生成密钥Ks,并进一步根据Ks和其它参数产生用户标识卡内部保留模式密钥Ks_int和供用户终端使用的密钥Ks_ext,之后,用户标识卡自身保存密钥Ks_int,将鉴权响应值RES及供用户终端使用的密钥Ks_ext发送给用户终端。由用户终端将鉴权响应值RES发送给网络侧鉴权。鉴权通过后,用户终端接收到BSF分配的会话事务标识(TID)。
用户终端应用通用鉴权框进行通信时,如果NAF内的业务要求使用用户标识卡保留模式密钥Ks_int,则用户终端向用户标识卡发送请求衍生密钥的信息,由用户标识卡计算出密钥Ks_int的衍生密钥Ks_int_NAF发送给用户终端;用户终端与NAF在密钥Ks_int_NAF的保护下进行通信;如果NAF的业务不要求使用用户标识卡保留模式密钥Ks_int,则用户终端直接根据本地的密钥Ks_ext计算出其衍生密钥Ks_ext_NAF,用户终端与NAF在密钥Ks_ext_NAF的保护下进行通信。
在模式2中,由于应用用户标识卡计算并保存密钥,因而其更加安全,且使用的时间也可以比较长。所以现有的NAF中对安全要求高的业务均要求使用模式2应用方式。同时,为了使模式2能够兼容模式1的应用方式,在现有流程中,用户标识卡需要将计算出的密钥Ks_ext发送给用户终端,以便在用户终端只支持模式1的情况下,能够按照模式1的方式与NAF实现通信。
而当用户关机或用户标识卡被从手机移走后,无论模式1或模式2的用户终端内的密钥都将被删除,即Ks及其衍生密钥或Ks_ext及其衍生密钥都被删除,而用户标识卡中保存的密钥Ks或Ks_int及Ks_ext等是不会被删除的,除非它们的有效其到期或网络要求用户重新进行鉴权,这些密钥才会被更新。所以当用户重新开机或重新插入用户标识卡时,用户标识卡需要将密钥IK/CK或Ks_ext重新发送给模式1或模式2的用户终端。
对于模式2的终端而言,其有主动向用户标识卡请求衍生密钥的操作,因此,用户标识卡将密钥Ks_ext发给模式2的终端的操作是没有必要的,而且还降低了Ks_ext的安全性。由于关机或重插用户标识卡等操作,用户标识卡需要重复执行发送密钥Ks_ext给模式2的用户终端的操作,模式2的用户终端也需要重复执行计算衍生密钥Ks_ext_NAF的操作,这对于用户终端和用户标识卡来说,都是对资源的浪费。另外,模式2的用户终端还要花费宝贵的存储资源来保存随时都可获取的密钥Ks_ext。
发明内容
有鉴于此,本发明的目的在于提供一种应用通用鉴权框架的方法,以减少用户标识卡和支持模式2用户终端之间的冗余步骤,从而节约用户标识卡和用户终端的资源,进而提高中间密钥的安全性。
为达到上述目的,本发明的技术方案是这样实现的一种应用通用鉴权框架的方法,该方法包括以下步骤在用户终端内设置用于指示用户终端所支持模式的信息,用户终端与用户标识卡进行初始化后,用户标识卡获取并保存用户终端的所支持模式的信息;用户标识卡接收到来自用户终端的包含鉴权矢量的鉴权计算请求后,计算出鉴权所需响应值及密钥信息,并根据自身已保存的用户终端的能力信息,判断该用户终端是否支持模式2,如果是,则只将鉴权响应值发送给用户终端,否则,将鉴权响应值和供用户终端使用的密钥信息发送给用户终端;BSF对用户终端鉴权成功后,模式2的用户终端需要与NAF进行通信时,该用户终端根据NAF的具体业务信息,主动向用户标识卡发送包含所需密钥类型标志的请求密钥的消息,该用户终端接收到来自用户标识卡的密钥信息后,再按照模式2的方式执行后续操作。
较佳地,BSF对用户终端鉴权成功后,该方法进一步包括如果是模式1的用户终端需要与NAF进行通信终端,则按照模式1的处理方式进行后续操作。
较佳地,所述用于指示用户终端所支持模式的信息设置在用于描述用户终端能力信息的描述文件中。
较佳地,所述用户终端所需密钥类型标志是需要用户标识卡保留模式密钥的衍生密钥的标志,或是需要供用户终端使用的密钥的衍生密钥的标志,或是同时请求用户标识卡保留模式密钥的衍生密钥和供用户终端使用的密钥的衍生密钥的标志。
较佳地,所述用户终端已获取的NAF的具体业务信息,是从系统配置或预先与该用户终端的的交互过程中获取的。
应用本发明,由用户终端将自身所支持模式的信息告知用户标识卡,用户标识卡判断该用户终端是否支持模式2,如果不是,则主动将密钥信息和鉴权响应值和发送给用户终端,并按模式1的方式继续后续处理,否则,只将鉴权响应值发送给用户终端,当用户终端需要与NAF通信时,用户终端向用户卡明确请求密钥的类型,并直接从用户标识卡中获取所需的密钥,用户终端不再参与计算。应用本发明,减少了用户标识卡和支持模式2用户终端之间的冗余步骤,节约了用户标识卡和用户终端的资源。而且,本发明所述方法还进一步提高了中间密钥的安全性,即增强了模式2应用方式的安全性。节省了模式2终端的计算资源和宝贵的存储资源。
图1所示为通用鉴权框架的结构示意图;图2所示为应用本发明一实施例的根据用户终端选择应用模式的流程示意图。
具体实施例方式
为使本发明的技术方案更加清楚,下面结合附图再对本发明做进一步地详细说明。
本发明的思路是当用户标识卡计算出鉴权所需响应值及密钥信息后,根据自身已保存的用户终端所支持的模式信息,判断用户终端是否支持模式2,如果不是,则自身主动将密钥Ks_ext和鉴权响应值和发送给用户终端,并按模式1的方式继续后续处理,否则,只将鉴权响应值发送给用户终端,当用户终端需要与NAF通信时,向用户卡明确的请求Ks_ext_NAF或Ks_int_NAF,由用户卡完成相应的计算,用户终端不再参与计算操作,本发明节省了用户标识卡和模式2终端之间的冗余步骤,提高了中间密钥的安全性,并节省模式2终端的存储资源和计算资源。
图2所示为应用本发明一实施例的应用通用鉴权框架的流程示意图。
步骤201,在用户终端内的用于描述自身能力信息的描述文件中设置用于指示用户终端所支持模式的信息,例如,在描述文件中增加一项用户终端是否支持模式2的指示项,如果该终端支持模式2,则该项的标识为1,否则该项的标识为0。在用户终端与用户标识卡进行初始化后,用户标识卡根据用户终端的描述文件即可知道该用户终端所支持的模式,即可以明确该用户终端支持模式1还是模式2,同时,用户终端也获取了用户标识卡身份标识。网络侧设备根据用户身份标识可确定该用户标识卡支持模式1还是模式2,并在后续处理步骤中按照相应的模式进行处理。
步骤202~步骤206,BSF接到来自用户终端的包含用户身份标识的鉴权请求后,根据用户身份标识向HSS请求鉴权矢量信息,HSS根据用户身份标识判断出该用户标识卡支持模式2后,向BSF返回包含模式2标识的鉴权矢量信息;用户终端接收到来自BSF的鉴权矢量信息后,向用户标识卡发出包含鉴权矢量信息的计算请求,用户标识卡采用模式2的方式进行计算,即计算出鉴权响应值RES和密钥IK和CK,并根据密钥IK和CK产生共享密钥Ks后,进一步产生用户标识卡内保留模式密钥Ks_int和供用户终端使用的密钥Ks_ext,之后,用户标识卡保存上述信息。
步骤207~步骤208,用户标识卡根据步骤201中获取的用户终端所支持的模式信息,确认该用户终端所支持的模式,从而决定自身是否将密钥Ks_ext发送给用户终端,如果该用户终端只支持模式1,则用户标识卡将鉴权响应值和密钥Ks_ext一起发送给用户终端,否则,用户标识卡只将鉴权响应值返回给用户终端;用户终端接收到来自用户标识卡的响应信息后,只将接收到的鉴权响应值发送给BSF。
步骤209,BSF接收到来自用户终端的鉴权响应值之后,对比接收到的鉴权响应值RES和自己保存的期待的鉴权响应值XRES相同后即鉴权成功,然后,BSF根据自己产生并保存的密钥IK/CK及与用户终端相同的算法计算Ks,之后BSF进一步应用与用户标识卡相同的算法计算出用户标识卡保留模式密钥Ks_int和供用户终端使用的密钥Ks_ext;且BSF分配TID给用户终端。
步骤210用户终端向用户标识卡发送包含所需密钥类型的密钥请求消息。这是由于在用户终端待与某个NAF进行通信时,该用户终端已经从与该NAF初始的联系过程,或通过系统预先配置的方式知道该NAF的业务类型需要何种类型的密钥等信息。同时,NAF也在与用户终端的初始联系过程中,知道了用户终端所支持的模式信息。
也就是说,如果该NAF是需要使用模式2的密钥,则用户终端在向用卡请求密钥的消息中明确标识出请求用户标识卡保留模式密钥的衍生密钥标志,即请求Ks_int_NAF,如果该NAF只需要使用模式1的密钥,则用户终端在向用卡请求密钥的消息中明确标识出请求供用户终端使用的密钥的衍生密钥的标志,即请求Ks_ext_NAF。另外对于NAF而言,如果其能够兼容模式1和模式2的应用方式,即其既可以使用模式2的密钥,也可以使用模式1的密钥与用户终端通信,则NAF可以自主选择要使用的密钥,因此,此时用户终端可以在向用卡请求密钥的消息中明确标识出同时请求两种衍生密钥的标志。
步骤211~步骤215,用户终端向NAF发送TID信息的业务请求,NAF收到该请求后,先在本地查询是否有用户终端携带的该TID,如果NAF不能在本地查询到该TID,则向BSF进行查询,由于在预先交互中NAF已经知道该终端所支持的模式,因此NAF向BSF的查询消息中包含自身需要是何种类型密钥的信息。如果BSF不能在本地查询到该TID,则通知NAF没有该用户终端的信息,此时,NAF将通知用户终端到BSF进行认证鉴权。如果BSF查询到该TID,且根据NAF需要的密钥类型产生出适当的衍生密钥Ks_ext_NAF或Ks_int_NAF;然后给NAF返回查询成功的响应消息,该消息中不但包含所查询的TID,还包含与该TID相关联的密钥Ks_ext_NAF或Ks_int_NAF或两个都包括。
此时,NAF与该用户终端在共享密钥的保护下进行正常的通信。
在上述实施例中,由于用户终端将自身所支持模式信息告知了用户标识卡,因此,用户标识卡在计算完密钥信息后,能够决定是否将密钥Ks_ext发送给用户终端,从而避免总是将Ks_ext发送给支持模式2的用户终端,不但节省了模式2终端的计算资源和存储资源,而且提高了模式2终端所应用密钥及所在系统的安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种应用通用鉴权框架的方法,其特征在于,该方法包括以下步骤在用户终端内设置用于指示用户终端所支持模式的信息,用户终端与用户标识卡进行初始化后,用户标识卡获取并保存用户终端的所支持模式的信息;用户标识卡接收到来自用户终端的包含鉴权矢量的鉴权计算请求后,计算出鉴权所需响应值及密钥信息,并根据自身已保存的用户终端的能力信息,判断该用户终端是否支持模式2,如果是,则只将鉴权响应值发送给用户终端,否则,将鉴权响应值和供用户终端使用的密钥信息发送给用户终端;BSF对用户终端鉴权成功后,模式2的用户终端需要与NAF进行通信时,该用户终端根据NAF的具体业务信息,主动向用户标识卡发送包含所需密钥类型标志的请求密钥的消息,该用户终端接收到来自用户标识卡的密钥信息后,再按照模式2的方式执行后续操作。
2.根据权利要求1所述的方法,其特征在于,BSF对用户终端鉴权成功后,该方法进一步包括如果是模式1的用户终端需要与NAF进行通信终端,则按照模式1的处理方式进行后续操作。
3.根据权利要求1所述的方法,其特征在于,所述用于指示用户终端所支持模式的信息设置在用于描述用户终端能力信息的描述文件中。
4.根据权利要求1所述的方法,其特征在于,所述用户终端所需密钥类型标志是需要用户标识卡保留模式密钥的衍生密钥的标志,或是需要供用户终端使用的密钥的衍生密钥的标志,或是同时请求用户标识卡保留模式密钥的衍生密钥和供用户终端使用的密钥的衍生密钥的标志。
5.根据权利要求1所述的方法,其特征在于,所述用户终端已获取的NAF的具体业务信息,是从系统配置或预先与该用户终端的的交互过程中获取的。
全文摘要
本发明提供了一种应用通用鉴权框架的方法,其关键是,由用户终端将自身所支持模式的信息告知用户标识卡,用户标识卡判断该用户终端是否支持模式2,如果不是,则主动将密钥信息和鉴权响应值和发送给用户终端,并按模式1的方式继续后续处理,否则,只将鉴权响应值发送给用户终端,当用户终端需要与NAF通信时,用户终端向用户标识卡明确请求密钥的类型,并直接从用户标识卡中获取所需的密钥,用户终端不再参与计算。应用本发明,减少了用户标识卡和支持模式2用户终端之间的冗余步骤,节约了用户标识卡和用户终端的资源。而且,还进一步增强了模式2应用方式的安全性。节省了模式2终端的计算资源和宝贵的存储资源。
文档编号H04W12/04GK1717097SQ200410060129
公开日2006年1月4日 申请日期2004年6月28日 优先权日2004年6月28日
发明者黄迎新 申请人:华为技术有限公司