在以上流程中的14之前在UE I和NAF 4中进行。如果NAF 4和UE I使用HTTPS来通信,那么它们使用B-TID’代替B-TID以作为安全关联标识符。如果NAF 4和UE I使用GPL来通信,那么B-TID’取代以上14中的B-TID,并且B-TID’将用作下行链路安全关联标识符。一个额外的选项将是在GPL中使用B-TID’作为下行链路和上行链路安全关联标识符。这个选项解决了上述问题3。
[0118]实施例6:在该实施例中,BSF 2分配上行链路安全关联标识符胚胎,并在正常GBA中在引导阶段在Ub接口上将上行链路安全关联标识符胚胎提供给UE I。通过BSF 2对于每个NAF 4对单向函数使用NAF 4特定输入,使相同的等同上行链路安全关联标识符胚胎经受该单向函数(单向函数可以是例如哈希、伪随机函数或密钥推导函数)。然后,BSF 2将上行链路安全关联标识符与诸如Ks-NAF 4、B-TID等的其它安全信息提供给具有GPL能力的相应NAF 4。
[0119]UE I通过对计算函数使用与BSF 2相同的NAF 4特定输入来计算上行链路安全关联标识符。该NAF 4特定输入需要在UE I处已知;它可以例如预先配置或从网页接收。该输入可以包括例如NAF 4名称。
[0120]这与实施例5类似,除了上行链路安全关联标识符的计算现在是在BSF 2中进行,并且因此NAF 4可以不再检测相同UE I是否连接到两个不同的其它NAF(因为它无权访问上行链路安全关联标识符胚胎)。
[0121]在该实施例中,UE I可以在J5和J7中使用HTTPS或GPL或任何其它安全协议,但是以下示例只示出GPL。
[0122]图11示出在BSF 2将所分配的上行链路安全关联标识符胚胎推送到UE I时的示例性信令。以下编号与图11的编号对应:
Jl:如TS 33.220中所描述,UE I和BSF 2在Ub接口上执行引导。BSF 2分配新的上行链路安全关联标识符胚胎,并通过Ub接口将上行链路安全关联标识符胚胎指派给UE 1
[0123]J2、J3和J4:如上文在实施例2中所描述,在扩展Zn协议以便允许包含上行链路安全关联标识符的情况下,NAF 4从NAF 4检索B-TID和上行链路安全关联标识符以及其它安全相关信息。
[0124]J3:BSF 2利用NAF 4特定输入和上行链路安全关联标识符胚胎来计算上行链路安全关联标识符。
[0125]或者:
J3和J4:如上文在实施例1中所描述,在扩展Zn协议以便允许包含上行链路安全关联标识符的情况下,BSF 2将B-TID和上行链路安全关联标识符以及其它安全相关信息推送到NAF 4 (J2于是废弃)。
[0126]J5:NAF 4在GPL中利用从BSF 2接收的B-TID将受到端到端保护的有效载荷发送到UE 1
[0127]J6:UE I利用NAF 4特定输入和在Ub接口上从BSF 2接收的上行链路安全关联标识符胚胎以与步骤J3中的BSF 2相同的方式计算上行链路安全关联标识符。
[0128]J7:当UE I将GPL分组发送到NAF 4时,它将新计算的上行链路安全关联标识符包含在分组中。
[0129]注意,在该流程中有多个变型:J5不需要在J7之前进行,进行J2、J3和J4,或者只进行J3和J4,而不进行J2。
[0130]在另一个选项中,如上所述,在现今的正常传统GBA中,UE I对于在GBA TS33.220中与它通信的所有NAF使用相同的B-TID。改善该示例中的安全性的一个选项是,UE I和NAF 4用例如某个共同NAF 4唯一输入将B-TID哈希处理以确保UE I对于每个NAF4使用一个唯一的B-TID值,即B-TID’。这将在以上流程中的J5之前在UE I和NAF 4中进行。在使用HTTPS或GPL的UE 1-NAF 4通信中,在进行正常GBA之后,该B-TID’将取代B-TIDo 在 HTTPS 中,B-TID’ 取代 B-TID。在 GPL 中,在以上 J5 中,B-TID’取代 B-TID,并且使用B-TID’作为GPL中的下行链路安全关联标识符。一个额外的选项将是在GPL中使用B-TID’作为下行链路和上行链路安全关联标识符。这个选项解决了上述问题3。
[0131]实施例7:在该实施例中,BSF 2分配用于供UE I对于每个NAF 4使用的一个唯一的上行链路安全关联标识符,并在正常GBA中在引导阶段在Ub接口上将所分配的所有上行链路安全关联标识符提供给UE 1然后,BSF 2将每个上行链路安全关联标识符与诸如Ks-NAF 4、B-TID等的其它安全信息提供给具有GPL能力的相应NAF 4。
[0132]UE I接收并存储要对每个对应的NAF 4使用的所有这些不同的上行链路安全关联标识符。需要将某个NAF 4身份与每个上行链路安全关联标识符一起发送给UE 1,以使得UE I标识对于每个NAF 4使用哪个P-TID。
[0133]该实施例与实施例6基本相同,除了,BSF将这些值提供给UE 1,而不计算NAF 4特定上行链路安全关联标识符。它以处理换取传输开销。
[0134]该实施例暗示,BSF 2需要向UE I提供UE I可能在未来想要联系的所有上行链路安全关联标识符。另一个选项是,增强Ub接口以使得UE I可以根据需要请求其它NAF的上行链路安全关联标识符。
[0135]在该实施例中,UE I可以在K4和K5中使用HTTPS或GPL或任何其它安全协议,但是以下示例只示出GPL。
[0136]图12示出其中BSF 2将所分配的上行链路安全关联标识符(每个NAF 4 一个)推送到UE I和每个NAF 4的示例性信令。以下编号与图12的编号对应:
Kl JnTS 33.220中所描述,UE I和BSF 2在Ub接口上执行引导。BSF 2为UE I打算与之通信的具有GPL能力的每个NAF 4分配或计算新的上行链路安全关联标识符,并在Ub接口上将上行链路安全关联标识符的列表指派给UE I。
[0137]K2和K3:如上文在实施例2中所描述,在扩展Zn协议以便允许包含上行链路安全关联标识符的情况下,NAF 4从NAF 4检索B-TID和上行链路安全关联标识符以及其它安全相关信息。
[0138]或者:
K3:如上文在实施例1中所描述,在扩展Zn协议以便允许包含上行链路安全关联标识符的情况下,BSF 2将B-TID和所分配的上行链路安全关联标识符以及其它安全相关信息推送到NAF 4 (K2于是废弃)。
[0139]K4:NAF 4利用在GPL中从BSF 2接收的到UE I的B-TID将受到端到端保护的有效载荷发送到UE 1
[0140]K5:当UE I将GPL分组发送到NAF 4时,它将新计算的上行链路安全关联标识符包含在分组中。
[0141]注意,在该流程中有多个变型:K4不需要在Κ5之前进行,进行Κ2和Κ3,或者只进行Κ3,而不进行Κ2。
[0142]实施例8:在该实施例中,NAF 4分配上行链路安全关联标识符,并在GPL中将它加密下推到UE 1该推送需要在UE I能够启动利用GPL进行端到端保护的上行链路业务之前进行,这是因为UE I在NAF 4执行推送之前不具有上行链路安全关联标识符。这种解决方案需要扩展TS 33.224中的GPL协议以便携带加密的上行链路安全关联标识符。在该实施例中,UE I可以使用HTTPS或GPL或任何其它安全协议,但是以下示例只示出GPL。
[0143]图13示出其中NAF在GPL中将所分配的P-TID推送到UE的示例性信令。以下编号与图13的编号对应:
L1:如TS 33.220中所描述,UE I和BSF 2在Ub接口上执行引导。
[0144]L2和L3:如上文在实施例2中所描述,NAF 4从NAF 4检索B-TID和其它安全相关信息。
[0145]或者:
L3:如上文在实施例1中所描述,BSF 2将B-TID和其它安全相关信息推送到NAF 4(12于是废弃)。
[0146]L4 :NAF 4分配上行链路安全关联标识符。
[0147]L5 :NAF 4可选地对上行链路安全关联标识符加密并在GPL中将其下推到UE I。这个步骤需要在UE I能够将利用GPL进行端到端保护的任何有效载荷发送到NAF 4之前进行。
[0148]L6 :当UE I将GPL分组发送到NAF 4时,它将新计算的上行链路安全关联标识符包含在分组中。NAF 4从它的安全关联的数据库检索安全关联,而不必联系BSF 2。
[0149]实施例9:在该实施例中,如TS 33. 220中所描述,UE I和NAF 4在Ub接口上执行引导。NAF 4分配上行链路安全关联标识符。UE I通过启动利用GPL进行端到端保护的有效载荷并在GPL消息中使用B-TID作为上行链路安全关联标识符来联系NAF 4以便从NAF4检索所生成的上行链路安全关联标识符。注意,UE I现在将在GPL中使用不同的B-TID格式,因为正常GBA TS 33. 220中的B-TID格式不同于GBA推送TS 33. 223中的下行链路安全关联标识符格式。
[0150]NAF 4将所生成的上行链路安全关联标识符分配给UE 1,并将它与用作下行链路安全关联标识符的B-TID —起包含在对UE I的响应中,从而命令UE I停止使用B-TID作为上行链路安全关联标识符并开始对于上行链路业务使用所生成的上行链路安全关联标识符。
[0151]如上所述,所生成的上行链路安全关联标识符可能已由NAF 4生成,或者它可能已在BSF 2中生成并在Zn接口上在响应中提供给NAF 4。图14中没有示出该示例的后面版本。在该示例中,UE I可以使用HTTPS或GPL或任何其它安全协议,但是以下示例只示出 GPL。
[0152]图14示出其中UE I在将GPL消息发送给NAF 4时使用B-TID作为上行链路安全关联标识符以便检索所生成的上行链路安全关联标识符的示例性信令。以下编号与图14的编号对应。
[0153]Ml :如TS 33. 220中所描述,UE I和BSF 2在Ub接口上执行引导。
[0154]M2和M3 :如上文在实施例2中所描述,NAF 4从NAF 4检索B-TID和其它安全相关信息。
[0155]或者:
M3 :如上文在实施例I中所描述,BSF 2将B-TID和其它安全相关信息推送到NAF 4(步骤M2于是废弃)。
[0156]M4 :NAF 4分配上行链路安全关联标识符。
[0157]M5 :如果UE I想要利用隐私增强,那么它需要从NAF 4检索所生成的上行链路安全关联标识符。UE I通过使用B-TID作为上行链路安全关联标识符以便从NAF 4检索所生成的上行链路安全关联标识符来发送利用GPL进行端到端保护的有效载荷。
[0158]M6 :如果由于没有进行M2和M3,NAF 4在从UE I接收受GPL保护的有效载荷时不具有与该B-TID有关的安全信息,那么作为备选,NAF 4可以对于B-TID联系BSF 2以便检索与B-TID有关的安全信息。
[0159]M7 :NAF 4将所生成的上行链路安全关联标识符包含在对UE I的响应中。
[0160]M8 :如果UE I需要将进一步的受到端到端保护的上行链路有效载荷发送到NAF4,那么UE I从现在开始使用所生成的上行链路安全关联标识符。注意,如果NAF 4需要将受到端到端保护的有效载荷推送到UE 1,那么NAF 4采用从BSF 2接收的B-TID并在GPL中使用它作为下行链路安全关联标识符,并保护将发送到UE I的有效载荷。这在图14中没有示出。
[0161]注意,在该流程中有多个变型:M6只有在步骤M5已经进行时才可进行。M4不需要在M5之前进行,而是可以在例如M5或M6之后的稍后时间进行。此外,进行M2和M3而不进行M6,或者进行M3 (如上文在实施例2中所描述)而不进行M2和M6,或者可以在以上流程中进行M6而不进行M2和M3。
[0162]实施例10:在该实施例中,如TS 33.220中所描述,UE I和BSF 2在Ub接口上执行引导。NAF 4分配上行链路安全关联标识符。
[0163]UE I通过向NAF 4