启动对在Ub接口上从BSF 2接收的B-TID的HTTPS请求来联系NAF 4以便从NAF 4检索所生成的上行链路安全关联标识符。NAF 4分配上行链路安全关联标识符,并将它包含在对UE I的HTTP响应中。
[0164]如上所述,所生成的上行链路安全关联标识符可能由NAF 4本身生成,或者它可能在BSF 2中生成并在Zn接口上在响应中提供给NAF 4。图15中没有示出该示例的后面版本。在该示例中,UE I可以使用HTTPS或GPL或任何其它安全协议,但是以下示例只示出 HTTPS。
[0165]图15示出其中UEI从NAF 4检索所生成的上行链路安全关联标识符的示例性信令。以下编号与图15的编号对应。
[0166]N1:如TS 33.220中所描述,UE I和BSF 2在Ub接口上执行引导。
[0167]N2和N3:如上文在实施例2中所描述,NAF 4从NAF 4检索B-TID和其它安全相关信息。
[0168]或者:
N3:如上文在实施例1中所描述,BSF 2将B-TID和其它安全相关信息推送到NAF 4(步骤N2废弃)。
[0169]N4:NAF 4分配上行链路安全关联标识符。
[0170]N5:如果UE I需要将受到端到端保护的有效载荷发送到NAF 4,那么UE I使用HTTPS从NAF 4检索所生成的上行链路安全关联标识符,然后它可以使用GPL来保护上行链路有效载荷。因此,UE I向NAF 4启动对B-TID的HTTPS请求。
[0171]N6:如果NAF 4在N5中从UE I接收对B-TID的HTTPS请求时不具有与该B-TID有关的安全信息(因为没有进行N2和N3),那么作为新选项,NAF 4可以对于B-TID联系BSF2。
[0172]N7:NAF 4将给UE I的所生成的上行链路安全关联标识符包含在HTTPS响应中。
[0173]N8:当UE I将GPL分组发送到NAF 4时,它将所生成的上行链路安全关联标识符包含在分组中。
[0174]注意,如果NAF 4需要将受到端到端保护的有效载荷推送到UE I,那么NAF 4采用从BSF 2接收的B-TID并在GPL中使用它作为下行链路安全关联标识符,并保护将发送到UE I的有效载荷。这在图15中没有示出。
[0175]注意,在该流程中有多个变型:N6只有在步骤N5已经进行时才可进行。N4不需要在N5之前进行。N4可以在例如N5或N6之后的稍后时间进行。此外,进行N2和N3而不进行N6,或者只进行以上的N3 (如上文在实施例2中所描述)而不进行N2和N6,或者可以在以上流程中进行N6而不进行N2和N3。
[0176]实施例11:在该实施例中,使用B-TID作为上行链路安全关联标识符。但是,这会泄漏相同UE I连接到多个NAF的信息,除非UE I在连接尝试之间再引导。在该实施例中,隐私接近于正常GBA,即在正常GBA中,UE I对于所有通信的NAF 4使用相同的B-TID。在该实施例中,UE I可以使用HTTPS或GPL或任何其它安全协议,但是以下示例只示出GPL。
[0177]图16示出其中在UE I和NAF 4通信时UE I使用B-TID作为上行链路安全关联标识符的示例性信令。以下编号与图16的编号对应:
Pl:如TS 33.220中所描述,UE I和BSF 2在Ub接口上执行引导。
[0178]P2和P3:如上文在实施例2中所描述,NAF 4可以从NAF 4检索B-TID和其它安全相关信息。
[0179]或者:
P3:如上文在实施例1中所描述,BSF 2可以将B-TID和其它安全相关信息推送到NAF4 (P2于是废弃)。
[0180]P4:如果NAF 4需要将受到端到端保护的有效载荷推送到UE 1,那么NAF 4采用从BSF 2接收的B-TID并在GPL中使用它作为下行链路安全关联标识符(DL_SA_ID),并保护将发送到UE I的有效载荷。
[0181]P5:如果UE I需要将受到端到端保护的有效载荷发送到NAF 4,那么UE I在GPL中使用B-TID作为上行链路安全关联标识符,并保护将发送到NAF 4的有效载荷。
[0182]P6:如果NAF 4在接收受GPL保护的有效载荷时没有与该B-TID有关的安全信息(即,没有进行P2和P3),那么作为第三选项,NAF 4可以对于B-TID联系BSF 2。
[0183]P7:如果进行了 P6,那么也进行P7。BSF 2用由B-TID所标识的安全信息对NAF 4做出应答。
[0184]注意,在该流程中有多个变型:P6和P7只有在进行了 P5时才进行。P4不需要在P5之前进行。P4可以在P5之后进行。此外,进行P2和P3 (如上文在实施例1中所描述)而不进行P6和P7,或者只进行P3 (如上文在实施例2中所描述)而不进行P2以及P6和P7,或者在以上流程中进行P6和P7而不进行P2和P3。
[0185]实施例12:在该实施例中,如TS 33.220中所描述,UE I和BSF 2在Ub接口上执行引导。NAF 4 (或BSF 2)至少利用B-TID和Ks_NAF 4作为输入来计算单向函数(例如,哈希或密钥推导函数),并将输出指派给上行链路安全关联标识符。
[0186]关于UE I可以如何检索相同P-TID有两个选项:
?UE I可以触发NAF 4以便执行上行链路安全关联标识符的计算,然后UE I可以在本地执行相同的计算,而无需等待来自NAF 4的任何响应;或者
?UE I可以触发NAF 4以便执行上行链路安全关联标识符的计算并等待响应,其中NAF 4已经在对UE I的响应中包含上行链路安全关联标识符。
[0187]在该实施例中,UE I可以使用HTTPS或GPL或任何其它安全协议,但是以下示例只示出HTTPS和GPL。
[0188]HTTPS:
在图17中所示的信令中,UE I通过向NAF 4启动对在Ub接口上从BSF 2接收的B-TID的HTTPS请求来从NAF 4检索所生成的上行链路安全关联标识符。NAF 4将所生成的上行链路安全关联标识符包含在对UE I的HTTP响应中。所生成的上行链路安全关联标识符可能由NAF 4本身生成,或者它可能在BSF 2中生成并在Zn接口上在响应中提供给NAF 4。图17中没有示出该示例的后面版本。
[0189]作为一个选项,UE I还向NAF 4发送对B-TID的HTTPS请求以作为触发,而不预期来自NAF 4的任何HTTP响应,然后,UE I以与NAF 4相同的方式在ME中在本地执行上行链路安全关联标识符的计算。
[0190]图17示出UE I在HTTPS中从NAF 4检索所生成的上行链路安全关联标识符的示例性信令。
[0191]Ql JnTS 33.220中所描述,UE I和BSF 2在Ub接口上执行引导。
[0192]Q2和Q3:如上文在实施例2中所描述,NAF 4从NAF 4检索B-TID和其它安全相关信息。
[0193]或者:
Q3:如上文在实施例1中所描述,BSF 2将B-TID和其它安全相关信息推送到NAF 4(Q2于是废弃)。
[0194]Q4:NAF 4通过使用Ks_NAF 4作为单向函数的输入对B-TID执行哈希来分配上行链路安全关联标识符。
[0195]Q5:如果UE I需要利用GPL将受到端到端保护的有效载荷发送到NAF 4,那么UEI利用HTTPS从NAF 4检索所生成的上行链路安全关联标识符,然后它可以利用GPL来保护上行链路有效载荷。因此,UE I向NAF 4启动对B-TID的HTTPS请求。
[0196]Q6:如果NAF 4在Q5中从UE I接收对B-TID的HTTPS请求时没有与该B-TID有关的安全信息(因为没有进行Q2和Q3),那么作为新选项,NAF 4可以对于B-TID联系BSF2。
[0197]Q7:如果NAF 4对UE I做出应答,那么NAF 4将给UE I的上行链路安全关联标识符包含在HTTPS响应中。
[0198]Q8:如果UE I没有从NAF 4接收或预期任何响应,那么UE I通过对至少B-TID和Ks_NAF 4应用单向函数来生成上行链路安全关联标识符。
[0199]Q9:当UE I将GPL分组发送到NAF 4时,它将所生成的上行链路安全关联标识符包含在分组中。
[0200]注意,如果NAF 4需要将受到端到端保护的有效载荷推送到UE I,那么NAF 4采用从BSF 2接收的B-TID,在发送给UE I的GPL分组中使用B-TID作为下行链路安全关联标识符。这在图17中没有示出。注意,在该流程中有多个变型:Q6只有在进行了 Q5时才可进行。Q4不需要在Q5之前进行。Q4可以例如在Q5之后或在Q6之后的稍后时间进行。此夕卜,进行Q2和Q3而不进行Q6,或者只进行Q3 (如上文在实施例2中所描述)而不进行Q2和Q6,或者在以上流程中进行Q6而不进行Q2和Q3。Q7不需要进行。如果UE I没有在Q7中接收到响应,那么UE I将在Q8中对至少B-TID应用与Q4中的NAF 4相同的单向函数。然后,Q5将作为从UE I到NAF 4的触发工作以便请求NAF 4将B-TID哈希处理,从而分配P-TID0
[0201]作为一个选项,BSF 2通过至少对B-TID应用单向函数而不是NAF 4通过使用Ks_NAF 4作为输入来分配上行链路安全关联标识符。然后,BSF 2需要将所生成的上行链路安全关联标识符包含在步骤Q3中给NAF 4的消息中。
[0202]将明白,图17的实施例中的HTTPS可以用GPL来取代。除了可以用以下步骤来取代Q5-Q8以外,上文针对HTTPS情形所描述的所有步骤在GPL情形中也适用。
[0203]Qa5:如果UE I需要利用GPL将受到端到端保护的有效载荷发送到NAF 4,那么UEI需要从NAF 4检索所生成的上行链路安全关联标识符。UE I可以在它联系NAF 4以便检索所生成的上行链路安全关联标识符时在GPL中使用B-TID作为上行链路安全关联标识符。
[0204]Qa6:如果NAF 4在步骤5中从UE I接收受GPL保护的有效载荷和B-TID时没有与该B-TID有关的安全信息(因为没有进行Q2和Q3),那么作为新选项,NAF 4可以对于B-TID联系BSF 2。
[0205]Qa7:NAF 4将所生成的上行链路安全关联标识符和B-TID包含在给UE I的消息中。这将需要扩展GPL报头。
[0206]Qa8:如果UE I在步骤7中没有从NAF 4接收到任何响应,那么UE I通过利用Ks_NAF 4作为哈希函数的输入以与NAF 4相同的方式对B-TID执行哈希来分配上行链路安全关联标识符。
[0207]现在转到本文中的图18,示出示例性UE 1,但是将明白,这可以是任何类型的客户端装置。UE I配备有用于确定在UE I和NAF 4之间没有SA对于UE I在本地可用的处理器5。提供用于存储标识符胚胎的存储器6形式的计算机可读介质,并且处理器布置成利用标识符胚胎来构造SA标识符。还提供用于向NAF 4发送有效载荷的传送器7,有效载荷利用与所构造的标识符相关联的SA进行保护。在上文所描述的一些示例性实施例中,处理器5还布置成通过对上行链路安全关联标识符胚胎以及对于客户端装置和NAF 4均已知的值执行单向函数来计算上行链路安全关联标识符。
[0208]存储器6还可用于存储计算机程序8,计算机程序8在由处理器5执行时使得UEI如上所述那样运转。注意,程序可以从诸如数据载体的远程源8a获得。
[0209]图19示出根据示例性实施例的NAF 4。NAF 4配备有布置成确定在UE I和NAF 4之间没有SA标识符在本地可用的处理器9。还提供用于从BSF 2获得标识符胚胎的接收器10。处理器还布置成利用标识符胚胎构造SA标识符。还提供用于向UE I发送利用与所构造的标识符相关联的SA进行保护的有效载荷数据的传送器11。
[0210]在某些实施例中,NAF 4配备有布置成向BSF 2发送请求消息的第二传送器12,请求消息包括对标识符胚胎的请求。
[0211]在示例性实施例中,处理器9还布置成通过对上行链路安全关联标识符胚胎以及