CN100479570C - 连接建立方法、系统、网络应用实体及用户终端 - Google Patents
连接建立方法、系统、网络应用实体及用户终端 Download PDFInfo
- Publication number
- CN100479570C CN100479570C CNB200610057098XA CN200610057098A CN100479570C CN 100479570 C CN100479570 C CN 100479570C CN B200610057098X A CNB200610057098X A CN B200610057098XA CN 200610057098 A CN200610057098 A CN 200610057098A CN 100479570 C CN100479570 C CN 100479570C
- Authority
- CN
- China
- Prior art keywords
- naf
- type
- request message
- type information
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了两种连接建立方法及系统,还公开了一种NAF和一种UE。一种方法通过UE主动向NAF发送自身使用的鉴权密钥类型信息,若NAF检测到UE使用的鉴权密钥类型不符合自身要求,则拒绝与UE建立连接;另一种方法通过NAF主动向UE发送自身支持的鉴权密钥类型信息,若UE检测到自身使用的鉴权密钥类型与NAF支持的鉴权密钥类型不一致,则不与NAF建立连接。本发明避免了在UE使用的鉴权密钥类型不符合NAF要求时进行的密钥相关消息交互过程,及BSF查找共享密钥及计算NAF相关密钥的过程,减少了系统资源浪费。
Description
技术领域
本发明涉及终端接入技术领域,具体涉及应用在通用鉴权框架下的连接建立方法、系统、网络应用实体及用户终端。
背景技术
在第三代无线通信标准中,通用鉴权框架(GAA)是多种应用业务实体使用的用户身份验证结构,应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务。
图1为GAA的结构示意图,如图1所示,GAA通常由用户终端(UE)101、执行用户身份初始检查验证的引导鉴权服务器实体(BSF)102、用户归属服务器(HSS)103和网络应用实体(NAF)104组成。BSF 102用于与UE 101进行身份互验证,同时生成BSF 102与UE 101的共享密钥;HSS 103中存储用于描述用户信息的描述(Profile)文件,同时HSS 103还兼有产生鉴权信息的功能。各个实体之间的接口如图1所示。
图2是现有的在GAA下建立连接的流程图,如图2所示,其具体步骤如下:
步骤201:UE确定要访问某个NAF。
步骤202:UE判断自身是否保存该NAF要求使用GAA进行鉴权的信息,若是,执行步骤205;否则,执行步骤203。
步骤203:UE向NAF发送连接请求消息。
步骤204:NAF收到连接请求消息后,向UE返回响应消息,该响应消息携带要求UE与BSF执行GAA鉴权过程的指示信息。
步骤205:UE与BSF执行GAA鉴权与密钥协商过程,鉴权通过,UE和BSF之间生成一个共享密钥Ks。
UE和BSF利用该Ks衍生UE与NAF进行安全通信的NAF相关密钥(NAF Specific Key)。
由于不同UE使用的用户识别模块(SIM)卡的属性不同,UE和BSF之间执行的GAA鉴权与密钥协商过程也不同,生成的Ks及NAF相关密钥的类型也不同。具体地,若UE使用2G SIM卡,则UE与BSF之间执行2G通用引导鉴权架构(GBA)过程,生成2G的Ks_NAF;若UE使用支持GBA的3G用户集成电路卡(UICC),则UE与BSF之间执行GBA_U过程,生成3G的应用在UICC上的Ks_int_NAF和应用在移动设备(ME)上的Ks_ext_NAF;若UE使用不支持GBA的3G UICC卡,则执行GBA过程,生成3G的应用在ME上的Ks_NAF。
步骤206:UE向NAF发送携带临时身份标识(B-TID)的应用请求消息。
步骤207:NAF收到应用请求消息后,向BSF发送携带B-TID的密钥请求消息。
步骤208:BSF收到密钥请求消息后,根据B-TID查找到对应的Ks,并根据Ks计算NAF相关密钥,将该NAF相关密钥和UE使用的GAA鉴权密钥类型信息携带在密钥响应消息中返回给NAF。
UE使用的GAA鉴权密钥类型可为2G GBA密钥、GBA_U产生的应用在UICC上的密钥、GBA或GBA_U产生的应用在ME上的密钥中的任意一种或组合。
步骤209:NAF收到密钥响应消息后,根据该密钥响应消息携带的UE使用的GAA鉴权密钥类型信息,判断UE使用的GAA鉴权密钥类型是否符合自身要求,若是,向UE返回连接建立消息;否则,拒绝UE连接请求。
在实际应用中,有些NAF不允许使用2G GBA的UE访问自身,从上述过程可以看出,在NAF不支持2G GBA时,由于使用2G GBA的UE并不知道NAF不支持2G GBA,因此该UE仍然会向NAF发起连接请求,而由于UE在发起连接请求时并不通知NAF自身使用2G GBA,因而此后NAF会向BSF查询UE是否使用2G GBA,若BSF返回确认指示,则NAF向UE返回连接拒绝消息;另外,对一个合法的使用2G GBA的UE来说,若在向NAF发起连接请求时,还没有产生NAF相关密钥所需的Ks,则该UE还要与BSF先执行一次获取Ks的GAA鉴权与密钥协商过程。很明显,这些信令交互过程造成了Ua和Zn接口以及UE和BSF的资源浪费。尤其现阶段以至很长一段时间内会有大量的2G用户存在,这些用户有可能向不支持2GGBA的NAF发送大量的连接请求,这样NAF每收到一次连接请求都要向BSF发送一次查询请求,BSF都要进行一次查找Ks及计算NAF相关密钥的过程,这无疑造成了系统资源的大量浪费。
发明内容
有鉴于此,本发明的主要目的在于提供连接建立方法、系统、NAF及UE,以在UE使用的鉴权密钥类型不符合NAF要求时,NAF能及时断开与UE的连接,以减少系统资源浪费。
为达到上述目的,本发明的实施例提供如下的技术方案:
一种连接建立方法,该方法包括:
NAF接收到UE发送的携带该UE使用的鉴权密钥类型信息的请求消息;
所述NAF判断UE使用的鉴权密钥类型是否符合该NAF要求,若是,执行后续连接建立过程;否则,拒绝UE连接请求。
其中,所述UE使用的鉴权密钥类型信息通过以下步骤获取:UE上的客户端向用户集成电路卡UICC或用户识别模块SIM发送用于获取与UICC应用相关文件的指令,之后,根据UICC或SIM返回的指令状态指示信息和与UICC应用相关文件内容信息确定UE使用的鉴权密钥类型信息。
其中,所述用于获取与UICC应用相关文件的指令具体为:要求读取MF文件下的用于存放UICC应用标识的EFDIR文件的指令。
其中,所述用于获取与UICC应用相关文件的指令具体为:用于要求返回USIM应用和ISIM应用的ADF文件的指令。
其中,当所述UE使用的鉴权密钥类型为2G通用引导鉴权架构GBA时,所述UE使用的鉴权密钥类型信息包括:UE使用的鉴权密钥的应用位置信息和UE使用的2G鉴权密钥版本信息。
其中,所述UE和NAF采用超文本传输协议HTTP摘要认证方式,所述UE使用的鉴权密钥类型信息携带在请求消息的用户代理头中。
其中,所述UE使用的鉴权密钥类型信息携带在请求消息的请求头或实体头中。
其中,所述请求消息为:连接请求消息或应用请求消息。
其中,所述请求消息为应用请求消息,所述UE使用的鉴权密钥类型信息携带在应用请求消息的域名参数中。
其中,所述请求消息为应用请求消息,所述UE和NAF采用预共享的传输层安全PSK TLS认证方式,所述应用请求消息为客户端密钥交换消息,所述UE使用的鉴权密钥类型信息携带在客户端密钥交换消息的预共享密钥身份指示psk_identity_hint参数中。
其中,UE在与BSF的鉴权与密钥协商过程中,生成用于指示UE使用的鉴权密钥类型的临时身份标识B-TID,
且,所述请求消息为包括所述B-TID的应用请求消息,所述UE使用的鉴权密钥类型信息携带在所述应用请求消息中。
其中,所述UE使用的鉴权密钥类型信息通过以下步骤获取:
UE上的客户端读取所述B-TID的值,通过检测B-TID中含有的表示鉴权密钥类型的标识符确定UE使用的鉴权密钥类型信息。
本发明的实施例还提供一种连接建立方法,该方法包括:
UE收到NAF发送的NAF支持的鉴权密钥类型信息;
所述UE判断自身使用的鉴权密钥类型是否与所述NAF支持的鉴权密钥类型一致,若是,执行后续连接建立过程;否则,结束本流程。
其中,所述UE和NAF采用HTTP摘要认证方式,
所述NAF支持的鉴权密钥类型信息携带在未授权响应消息的域名参数中。
其中,所述UE和NAF采用PSK TLS认证,
所述NAF支持的鉴权密钥类型信息携带在服务器密钥交换消息的psk_identity_hint参数中。
其中,所述NAF支持的鉴权密钥类型信息携带在连接响应消息的响应头或实体头中。
其中,所述UE判断自身使用的鉴权密钥类型是否与所述NAF支持的鉴权密钥类型一致之前,进一步包括:
UE在与BSF的鉴权与密钥协商过程中,生成用于指示UE使用的鉴权密钥类型的临时身份标识B-TID;
UE上的客户端读取所述B-TID的值,通过检测B-TID中含有的表示鉴权密钥类型的标识符确定UE使用的鉴权密钥类型。
其中,所述UE判断自身使用的鉴权密钥类型是否与所述NAF支持的鉴权密钥类型一致之前,进一步包括:
UE上的客户端获取UE所支持的鉴权密钥类型。
其中,所述UE上的客户端获取UE所支持的鉴权密钥类型为:
通过读取UICC卡或SIM卡上的UICC应用标识获取;
或者,通过读取UICC卡或SIM卡上的USIM应用和ISIM应用文件获取。
本发明的实施例还提供一种连接建立系统,该系统包括UE和NAF,
所述UE向所述NAF发送携带该UE使用的鉴权密钥类型信息的请求消息;
所述NAF接收所述UE发来的请求消息,判断该消息携带的UE使用的鉴权密钥类型是否符合自身要求,若是,执行后续连接建立过程;否则,拒绝UE连接请求。
本发明的实施例还提供一种NAF,包括:
用于接收UE发来的携带该UE使用的鉴权密钥类型信息的请求消息的单元;
用于判断所述请求消息携带的UE使用的鉴权密钥类型是否符合所述NAF自身要求的单元;
用于根据所述判断结果,执行后续步骤的单元。
本发明的实施例提供又一种连接建立系统,该系统包括UE和NAF,
所述NAF向UE发送NAF支持的鉴权密钥类型信息;
所述UE接收所述NAF支持的鉴权密钥类型信息,判断自身使用的鉴权密钥类型是否与所述NAF支持的鉴权密钥类型一致,若是,执行后续连接建立过程;否则,结束本次连接建立过程。
本发明的实施例还提供一种UE,包括:
用于接收NAF发送的该NAF支持的鉴权密钥类型信息的单元;
用于判断所述UE自身使用的鉴权密钥类型是否与所述NAF支持的鉴权密钥类型一致的单元;
用于根据所述判断结果,执行后续步骤的单元。
与现有技术相比,本发明所提供的方法一种通过UE主动向NAF发送自身使用的鉴权密钥类型信息,若NAF检测到UE使用的鉴权密钥类型不符合自身要求,则拒绝与UE建立连接;另一种通过NAF主动向UE发送自身支持的鉴权密钥类型信息,若UE检测到自身使用的鉴权密钥类型与NAF支持的鉴权密钥类型不一致,则不与NAF建立连接。本发明避免了在UE使用的鉴权密钥类型不符合NAF要求时进行的密钥相关消息交互过程,及BSF查找共享密钥及计算NAF相关密钥的过程,减少了系统资源浪费。具体地,UE可在向NAF发起要求指示是否使用GAA进行鉴权的连接请求时,发送自身使用的鉴权密钥类型信息;也可在执行完鉴权过程后,在向NAF发送的应用请求消息中携带自身使用的鉴权密钥类型信息;NAF在收到UE发起的要求指示是否使用GAA进行鉴权的连接请求时,主动向UE返回自身支持的鉴权密钥类型信息。
附图说明
图1为GAA的结构示意图;
图2为现有的在GAA下建立连接的流程图;
图3为本发明提供的第一种在GAA下建立连接的方法的具体实施例一的流程图;
图4为本发明提供的第一种在GAA下建立连接的方法的具体实施例二的流程图;
图5为本发明提供的第二种在GAA下建立连接的方法的具体实施例的流程图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
本发明提供两种连接建立方法,第一种的核心思想是:UE主动通知NAF自身使用的GAA鉴权密钥类型,之后若NAF检测到UE使用的GAA鉴权密钥类型不符合自身要求,则拒绝与UE建立连接;第二种的核心思想是:NAF主动通知UE自身支持的GAA鉴权密钥类型,若UE检测到自身使用的GAA鉴权密钥类型不符合NAF要求,则不与NAF建立连接。
图3是本发明提供的第一种在GAA下建立连接的方法的具体实施例一的流程图,在本实施例中,UE在判定自身未保存NAF要求使用GAA进行鉴权的信息后,向NAF发送的要求指示是否使用GAA进行鉴权的连接请求消息中携带自身使用的GAA鉴权密钥类型信息,如图3所示,其具体步骤如下:
步骤301:UE确定要访问某个NAF。
步骤302:UE判断自身是否保存该NAF要求使用GAA进行鉴权的信息,若是,执行步骤306;否则,执行步骤303。
步骤303:UE向NAF发送携带自身使用的GAA鉴权密钥类型信息的连接请求消息。
这里,UE在发送连接请求消息前,UE上的客户端需要获取UE使用的GAA鉴权密钥类型信息,具体地,若UE与NAF建立的连接为安全超文本传输协议(HTTPs)连接,则只需HTTPs客户端得知UE使用的鉴权密钥类型即可,具体方式可以是:
方式一、UE上的客户端向UICC或SIM发送UICC指令,以要求读取主文件(MF,Master File)下的用于存放UICC应用标识(AID)的基本目录文件(EFDIR,Elementary Directory File),之后,若收到指示指令错误的状态指示或只收到SIM应用标识符,则判定UE使用2G GBA密钥;若同时收到SIM应用标识符和IP多媒体子系统用户识别模块(ISIM)应用标识符,或同时收到SIM应用标识符和全球移动通信系统用户识别模块(USIM)应用标识符,则判定UE不使用2G GBA密钥。
方式二、UE上的客户端向UICC或SIM发送要求返回USIM应用和ISIM应用的ADF文件,若收到指示指令错误或指示任意一个ADF文件都不存在的状态指示,则判定UE使用2G GBA密钥;若收到任意一个ADF文件信息,则判定UE不使用2G GBA密钥。
UE可通过以下两种方式,将自身使用的GAA鉴权密钥类型信息携带在连接请求消息中:
方式一、若UE与NAF之间采用超文本传输协议(HTTP)摘要(digest)认证方式,则UE可通过将向NAF发送的连接请求消息的用户代理(useragent)头中的产品(product)参数设定为不同的值来表示UE使用的GBA鉴权密钥类型:若UE使用2G GBA,则设定product参数值为:3GPP-gba-2G,对应user agent值为:3GPP-gba@naf.homel.net;3GPP-gba-2G@naf.homel.net;若UE使用UICC上的密钥,则设定product参数值为:3GPP-gba-UICC,对应user agent值为:3GPP-gba-UICC@naf.homel.net;若UE使用ME上的密钥,则设定product参数值为:3GPP-gba,对应user agent值为:3GPP-gba@naf.homel.net。可以看出:若user agent头中不包含3GPP-gba-2G,则表示UE不使用2G GBA。
这里,当UE使用2G GBA时,将user agent的值设定为:3GPP-gba@naf.homel.net;3GPP-gba-2G@naf.homel.net的原因如下:支持HTTP R6版本的的NAF无法识别“3GPP-gba-2G”,而可识别“3GPP-gba”,当所述NAF读到user agent的值:3GPP-gba@naf.homel.net;3GPP-gba-2G@naf.homel.net时,只会读取自身可识别的“3GPP-gba@naf.homel.net”,而将自身无法识别的“3GPP-gba-2G”跳过,由于3GPP-gba@naf.homel.net只用于表示UE使用的鉴权密钥应用在ME上,而无法表示UE使用的鉴权密钥是2G还是3G的,因此,支持HTTP R6版本的NAF收到连接请求消息后,会直接转至步骤305。
方式二、在连接请求消息的消息头中增加一个表示UE支持的GAA鉴权密钥类型的请求头或实体头。如:新增一个用户类型(usertype)头域,若UE使用2G GBA,则将请求头或实体头的值设为:2G。
这里,由于根据HTTP R6版本,若接收端收到一个不能识别的请求头,将会认为其是一个实体头,而不能识别的实体头将会被忽略。因此,当支持HTTP R6版本的NAF收到在请求头或实体头中表示UE使用的GAA鉴权密钥类型的连接请求消息时,该请求头或实体头将会被忽略,NAF直接执行步骤305;而当支持HTTP R6以后版本的NAF收到在请求头或实体头中表示UE使用的GAA鉴权密钥类型的连接请求消息时,由于自身可识别该请求头或实体头,则直接执行步骤304。
步骤304:NAF收到连接请求消息后,判断UE使用的GAA鉴权密钥类型是否符合自身要求,若是,执行步骤305;否则,拒绝UE连接请求如:向UE返回拒绝连接消息,本流程结束。
这里,NAF判断UE使用的GAA鉴权密钥类型是否符合自身要求具体为:NAF判断自身支持的鉴权密钥类型是否包含UE使用的鉴权密钥类型,若包含,则判定UE使用的GAA鉴权密钥类型符合自身要求;若不包含,则判定UE使用的GAA鉴权密钥类型不符合自身要求。
步骤305:NAF向UE返回连接响应消息,该连接响应消息携带要求UE与BSF执行GAA鉴权过程的指示信息。
步骤306:UE与BSF执行GAA鉴权与密钥协商过程,鉴权通过,UE和BSF之间生成一个共享密钥Ks。
进一步地,UE与BSF在鉴权与密钥协商过程结束时,生成一个用于指示UE选择的鉴权密钥类型的B-TID。如:在UE使用2G GBA密钥时,可将B-TID的值设为:Base64code(RAND)+“2G鉴权密钥类型标识符”@BSF域名,如:Base64code(RAND)+“-2G”@BSF域名。这样,当UE上的客户端需要得知UE使用的GAA鉴权密钥类型时,只需读取B-TID的值即可,由于RAND的值是128位,所以Base64code(RAND)的最后一个字符是“=”,因此,只要B-TID的字符“=”后为预先设定的2G鉴权密钥类型标识符,就可判定UE支持2G GBA。
步骤307:UE向NAF发送携带B-TID的应用请求消息。
进一步地,该应用请求消息携带UE选择的鉴权密钥类型信息,此后,NAF收到该应用请求消息后,判断UE选择的鉴权密钥类型是否符合自身要求,若是,向BSF发送携带B-TID的密钥请求消息;否则,向UE返回连接拒绝消息,本流程结束。
具体地,UE在发送应用请求消息前,UE上的客户端可通过两种方式获取UE选择的鉴权密钥类型信息:一种与步骤303中UE在发送连接请求消息前,UE上的客户端获取UE使用的GAA鉴权密钥类型信息的过程相同;另一种是UE可通过读取UE与BSF在鉴权与密钥协商过程结束时生成的可用于指示UE选择的鉴权密钥类型的B-TID的值来获取,具体过程见步骤306。
UE可通过以下三种方式将UE选择的鉴权密钥类型信息携带在应用请求消息中:
方式一、若UE和NAF之间采用HTTP摘要认证,则通过将UE向NAF发送的应用请求消息中的user agent头的product参数设定为不同的值来表示UE选择的鉴权密钥类型:若UE使用2G GBA密钥,则设定product参数值为:3GPP-gba-2G,对应user agent值为:3GPP-gba@naf.homel.net;3GPP-gba-2G@naf.homel.net;若UE使用UICC上的密钥,则设定product参数值为:3GPP-gba-UICC,对应user agent值为:3GPP-gba-UICC@naf.homel.net;若UE使用ME上的密钥,则设定product参数值为:3GPP-gba,对应user agent值为:3GPP-gba@naf.homel.net。因此,若user agent头中不包含3GPP-gba-2G,则表明UE不使用2G GBA密钥。
另外,可以通过设置应用请求消息中的realm参数值前半部分来表示UE选择的鉴权密钥类型,与设置product参数值类似:若UE使用2G GBA密钥,则设定realm参数值前半部分为:3GPP-gba@naf.homel.net;3GPP-gba-2G@naf.homel.net;若UE使用UICC上的密钥,则设定域名(realm)参数值为:3GPP-gba-UICC@naf.homel.net;若UE使用ME上的密钥,则设定realm参数值前半部分为:3GPP-gba@naf.homel.net。同样,若realm参数值中不包含3GPP-gba-2G,则表明UE不使用2G GBA密钥。
还可以通过在应用请求消息的消息头中增加一个表示UE选择的GAA鉴权密钥类型的请求头或实体头。如:新增一个用户类型(usertype)头域,若UE选择2G GBA密钥,则将请求头或实体头的值设为:2G。
方式二、若UE和NAF之间采用基于预共享的传输层安全(PSK TLS)认证方式,则UE向NAF发送的应用请求消息为客户端密钥交换(ClientKeyExchange)消息,通过将ClientKeyExchange消息的预共享密钥_身份_指示(psk_identity_hint)参数设定为不同的值来表示UE使用的密钥类型:与设定realm参数值类似,若UE使用2G GBA密钥,则设定psk_identity_hint参数值前半部分为:3GPP-gba-2G,psk_identity_hint参数值为:3GPP-gba@NAF域名;3GPP-gba-2G@NAF域名;若UE使用UICC上的密钥,则设定psk_identity_hint参数值前半部分为:3GPP-gba-UICC;若UE使用ME上的密钥,则设定psk_identity_hint参数值前半部分为:3GPP-gba。同样,若psk_identity_hint参数值不包含3GPP-gba-2G,则表明UE不使用2G GBA密钥。
方式三、在应用请求消息中携带一个指示UE选择的鉴权密钥类型的B-TID。B-TID的具体取值与步骤307相同。
步骤308:NAF收到应用请求消息后,向BSF发送携带B-TID的密钥请求消息。
步骤309:BSF收到密钥请求消息后,根据B-TID查找到对应的Ks,并根据Ks计算NAF相关密钥,将该NAF相关密钥和UE使用的GAA鉴权密钥类型信息携带在密钥响应消息中返回给NAF。
步骤310:NAF收到密钥响应消息后,判断UE使用的GAA鉴权密钥类型是否符合自身要求,若是,向UE返回连接建立消息;否则,向UE返回连接拒绝消息。
图4是本发明提供的第一种在GAA下建立连接的方法的具体实施例二的流程图,在本实施例中,UE在与BSF执行完GAA鉴权与密钥协商过程后,向NAF发送的应用请求消息中携带自身使用的GAA鉴权密钥类型信息,如图4所示,其具体步骤如下:
步骤401:UE确定要访问某个NAF。
步骤402:UE判断自身是否保存该NAF要求使用GAA进行鉴权的信息,若是,执行步骤405;否则,执行步骤403。
步骤403:UE向NAF发送连接请求消息。
步骤404:NAF收到连接请求消息后,向UE返回连接响应消息,该连接响应消息携带要求UE与BSF执行GAA鉴权过程的指示信息。
步骤405:UE与BSF执行GAA鉴权与密钥协商过程,鉴权通过,UE和BSF之间生成一个共享密钥Ks。
与步骤306相同,进一步地,UE与BSF在鉴权与密钥协商过程结束时,生成一个用于指示UE选择的鉴权密钥类型的B-TID。
步骤406:UE向NAF发送携带自身选择的鉴权密钥类型信息的应用请求消息。
这里,UE上的客户端可通过与步骤307相同的方式获取UE选择的鉴权密钥类型信息。
UE可通过与步骤307相同的三种方式将UE选择的鉴权密钥类型信息携带在应用请求消息中。
需要指出的是,若UE通过步骤307中的第一种或第二种方式将UE选择的鉴权密钥类型信息携带在应用请求消息中,则应用请求消息同时需携带B-TID。
步骤407:NAF收到应用请求消息后,判断UE选择的鉴权密钥类型是否符合自身要求,若是,执行步骤408;否则,向UE返回连接拒绝消息,本流程结束。
步骤408:NAF向BSF发送携带B-TID的密钥请求消息。
步骤409:BSF收到密钥请求消息后,根据B-TID查找到对应的Ks,并根据Ks计算NAF相关密钥,将该NAF相关密钥和UE使用的GAA鉴权密钥类型信息携带在密钥响应消息中返回给NAF。
步骤410:NAF收到密钥响应消息后,判断UE使用的GAA鉴权密钥类型是否符合自身要求,若是,向UE返回连接建立消息;否则,向UE返回连接拒绝消息。
图5是本发明提供的第二种在GAA下建立连接的方法的具体实施例的流程图,在本实施例中,NAF在收到UE发送的要求指示是否使用GAA进行鉴权的连接请求消息后,在向UE返回使用GAA进行鉴权的连接响应消息中携带自身支持的GAA鉴权密钥类型信息,如图5所示,其具体步骤如下:
步骤501:UE确定要访问某个NAF。
步骤502:UE判断自身是否保存该NAF要求使用GAA进行鉴权的信息,若是,执行步骤506;否则,执行步骤503。
步骤503:UE向NAF发送连接请求消息。
步骤504:NAF收到连接请求消息后,向UE返回连接响应消息,该连接响应消息携带要求UE与BSF执行GAA鉴权过程的指示信息,同时携带自身支持的GAA鉴权密钥类型信息。
NAF支持的GAA鉴权密钥类型可为2G GBA密钥、GBA_U产生的应用在UICC上的密钥、GBA或GBA_U产生的应用在ME上的密钥中的一种或任意组合。
NAF可通过以下三种方式将自身支持的GAA鉴权密钥类型信息携带在连接响应消息中:
方式一、若UE和NAF之间采用HTTP摘要认证方式,则NAF向UE返回的连接响应消息为401未授权响应(401Unauthorized Response)消息,且NAF通过将401未授权响应消息中的域名(realm)参数设定为不同的值来表示自身支持的不同GBA鉴权密钥类型:若NAF支持2G GBA密钥,则设定realm参数值为:3GPP-bootstrapping@NAF域名;3GPP-bootstrapping-2G@NAF域名,如:realm参数值为:3GPP-bootstrapping@naf.homel.net;3GPP-bootstrapping-2G@naf.homel.net,或者为:3GPP-bootstrapping-2G@NAF域名;若NAF不支持2G GBA密钥,则设定realm参数值必须包含3GPP-bootstrapping-3G,如realm参数值为:3GPP-bootstrapping@NAF域名;3GPP-bootstrapping-3G@NAF域名,或为:3GPP-bootstrapping-UICC@NAF域名;3GPP-bootstrappmg-3G@NAF域名;若NAF支持应用在UICC上的密钥,则设定realm参数值为:3GPP-bootstrapping-UICC@NAF域名,如:realm参数值为:3GPP-bootstrapping-UICC@naf.homel.net;若NAF支持应用在ME上的密钥,则设定realm参数值为:3GPP-bootstrapping@NAF域名,如:realm参数的值为:3GPP-bootstrapping@naf.homel.net。因此可以看出:,若realm参数值中不包含3GPP-bootstrapping-3G,则表示NAF支持2G GBA。
方式二、若UE和NAF之间采用PSK TLS认证方式,则NAF向UE返回的连接响应消息为服务器密钥交换(ServerKeyExchange)消息,NAF通过将该ServerKeyExchange消息的psk_identity_hint参数设定为不同的值来表示NAF支持不同的GBA鉴权密钥类型,与设定realm参数值类似,当NAF支持2G GBA密钥时,设定psk_identity_hint参数值为:3GPP-bootstrapping@NAF域名;3GPP-bootstrapping-2G@NAF域名,或者为:3GPP-bootstrapping-2G@NAF域名;当NAF不支持2G GBA密钥时,设定psk_identity_hint参数值必须包含3GPP-bootstrapping-3G,如:设定psk_identity_hint参数值为:3GPP-bootstrapping@NAF域名;3GPP-bootstrapping-3G@NAF域名,或者为:3GPP-bootstrapping-UICC@NAF域名;3GPP-bootstrapping-3G@NAF域名;当NAF支持应用在UICC上的密钥GBA_U时,设定psk_identity_hint参数值为:3GPP-bootstrapping-UICC@NAF域名;当NAF支持GBA应用在ME上的密钥时,设定psk_identity_hint参数值为:3GPP-bootstrapping@NAF域名。同样可以看出:,若psk_identity_hint参数值中不包含3GPP-bootstrapping-3G,则表示NAF支持2G GBA。
方式三、在连接响应消息的消息头中增加一个表示NAF支持的GAA鉴权密钥类型的响应头或实体头。
当支持HTTP R6版本的UE收到在响应头或实体头中表示NAF支持的GAA鉴权密钥类型的连接响应消息时,该响应头或实体头将会被忽略,UE直接执行步骤506;而当支持HTTP R6以后版本的NAF收到在响应头或实体头中表示NAF支持的GAA鉴权密钥类型的连接响应消息时,由于自身可识别该响应头或实体头,则直接执行步骤505。
步骤505:UE收到连接响应消息,判断自身使用的GAA鉴权密钥类型是否与NAF支持的GAA鉴权密钥类型一致,若是,执行步骤506;否则,本流程结束。
这里,UE上的客户端可通过与步骤303相同的方式获取UE使用的GAA鉴权密钥类型信息。
步骤506:UE与BSF执行GAA鉴权与密钥协商过程,鉴权通过,UE和BSF之间生成一个共享密钥Ks。
与步骤306相同,进一步地,UE与BSF在鉴权与密钥协商过程结束时,生成一个用于指示UE选择的鉴权密钥类型的B-TID。
步骤507:UE向NAF发送携带B-TID的应用请求消息。
进一步地,该应用请求消息携带UE选择的鉴权密钥类型信息,此后,NAF收到该应用请求消息后,判断UE选择的鉴权密钥类型是否符合自身要求,若是,向BSF发送携带B-TID的密钥请求消息;否则,向UE返回连接拒绝消息,本流程结束。
这里,UE上的客户端可通过与步骤307相同的方式获取UE选择的鉴权密钥类型信息。
UE可通过与步骤307相同的三种方式将UE选择的鉴权密钥类型信息携带在应用请求消息中。
步骤508:NAF收到应用请求消息后,向BSF发送携带B-TID的密钥请求消息。
步骤509:BSF收到密钥请求消息后,根据B-TID查找到对应的Ks,并根据Ks计算NAF相关密钥,将该NAF相关密钥和UE使用的GBA鉴权密钥类型信息携带在密钥响应消息中返回给NAF。
步骤510:NAF收到密钥响应消息后,判断UE使用的GBA鉴权密钥类型是否符合自身要求,若是,向UE返回连接建立消息;否则,向UE返回连接拒绝消息。
必须指出的是,在图3~5所示实施例分别给出了UE在向NAF发送的要求指示是否使用GAA进行鉴权的连接请求消息中携带自身使用的GAA鉴权密钥类型信息,UE在与BSF执行完GAA鉴权过程后向NAF发送的应用请求消息中携带自身使用的GAA鉴权密钥类型信息,NAF在向UE返回的使用GAA进行鉴权的连接响应消息中携带自身支持的GAA鉴权密钥类型信息的三种方式,在实际应用中,这三种方式可同时使用其中的任意两种或三种都使用。
以上所述仅为本发明的过程及方法实施例,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (23)
1、一种连接建立方法,其特征在于,该方法包括:
网络应用实体NAF接收到用户终端UE发送的携带该UE使用的鉴权密钥类型信息的请求消息;
所述NAF判断UE使用的鉴权密钥类型是否符合该NAF要求,若是,执行后续连接建立过程;否则,拒绝UE连接请求。
2、如权利要求1所述的方法,其特征在于,所述UE使用的鉴权密钥类型信息通过以下步骤获取:UE上的客户端向用户集成电路卡UICC或用户识别模块SIM发送用于获取与UICC应用相关文件的指令,之后,根据UICC或SIM返回的指令状态指示信息和与UICC应用相关文件内容信息确定UE使用的鉴权密钥类型信息。
3、如权利要求2所述的方法,其特征在于,所述用于获取与UICC应用相关文件的指令具体为:要求读取主文件MF下的用于存放UICC应用标识的基本目录文件EFDIR的指令。
4、如权利要求2所述的方法,其特征在于,所述用于获取与UICC应用相关文件的指令具体为:用于要求返回USIM应用和ISIM应用的ADF文件的指令。
5、如权利要求1所述的方法,其特征在于,当所述UE使用的鉴权密钥类型为2G通用引导鉴权架构GBA时,所述UE使用的鉴权密钥类型信息包括:UE使用的鉴权密钥的应用位置信息和UE使用的2G鉴权密钥版本信息。
6、如权利要求1所述的方法,其特征在于,所述UE和NAF采用超文本传输协议HTTP摘要认证方式,所述UE使用的鉴权密钥类型信息携带在请求消息的用户代理头中。
7、如权利要求1所述的方法,其特征在于,所述UE使用的鉴权密钥类型信息携带在请求消息的请求头或实体头中。
8、如权利要求6或7所述的方法,其特征在于,所述请求消息为:连接请求消息或应用请求消息。
9、如权利要求1所述的方法,其特征在于,所述请求消息为应用请求消息,
所述UE使用的鉴权密钥类型信息携带在应用请求消息的域名参数中。
10、如权利要求1所述的方法,其特征在于,所述请求消息为应用请求消息,所述UE和NAF采用预共享的传输层安全PSK TLS认证方式,所述应用请求消息为客户端密钥交换消息,所述UE使用的鉴权密钥类型信息携带在客户端密钥交换消息的预共享密钥_身份_指示psk_identity_hint参数中。
11、如权利要求1所述的方法,其特征在于,UE在与BSF的鉴权与密钥协商过程结束时,生成用于指示UE使用的鉴权密钥类型的临时身份标识B-TID,
且,所述请求消息为包括所述B-TID的应用请求消息,所述UE使用的鉴权密钥类型信息携带在所述应用请求消息中。
12、如权利要求11所述的方法,其特征在于,所述UE使用的鉴权密钥类型信息通过以下步骤获取:
UE上的客户端读取所述B-TID的值,通过检测B-TID中含有的表示鉴权密钥类型的标识符确定UE使用的鉴权密钥类型信息。
13、一种连接建立方法,其特征在于,该方法包括:
UE收到NAF发送的NAF支持的鉴权密钥类型信息;
所述UE判断自身使用的鉴权密钥类型是否与所述NAF支持的鉴权密钥类型一致,若是,执行后续连接建立过程;否则,结束本流程。
14、如权利要求13所述的方法,其特征在于,所述UE和NAF采用HTTP摘要认证方式,
所述NAF支持的鉴权密钥类型信息携带在未授权响应消息的域名参数中。
15、如权利要求13所述的方法,其特征在于,所述UE和NAF采用PSK TLS认证,
所述NAF支持的鉴权密钥类型信息携带在服务器密钥交换消息的psk_identity_hint参数中。
16、如权利要求13所述的方法,其特征在于,所述NAF支持的鉴权密钥类型信息携带在连接响应消息的响应头或实体头中。
17、如权利要求13所述的方法,其特征在于,所述UE判断自身使用的鉴权密钥类型是否与所述NAF支持的鉴权密钥类型一致之前,进一步包括:
UE在与BSF的鉴权与密钥协商过程结束时,生成用于指示UE使用的鉴权密钥类型的临时身份标识B-TID;
UE上的客户端读取所述B-TID的值,通过检测B-TID中含有的表示鉴权密钥类型的标识符确定UE使用的鉴权密钥类型。
18、如权利要求13所述的方法,其特征在于,所述UE判断自身使用的鉴权密钥类型是否与所述NAF支持的鉴权密钥类型一致之前,进一步包括:
UE上的客户端获取UE所支持的鉴权密钥类型。
19、如权利要求18所述的方法,其特征在于,所述UE上的客户端获取UE所支持的鉴权密钥类型为:
通过读取UICC卡或SIM卡上的UICC应用标识获取;
或者,通过读取UICC卡或SIM卡上的USIM应用和ISIM应用文件获取。
20、一种连接建立系统,其特征在于,该系统包括用户终端UE和网络应用实体NAF,
所述UE向所述NAF发送携带该UE使用的鉴权密钥类型信息的请求消息;
所述NAF接收所述UE发来的请求消息,判断该消息携带的UE使用的鉴权密钥类型是否符合自身要求,若是,执行后续连接建立过程;否则,拒绝UE连接请求。
21、一种网络应用实体NAF,其特征在于,所述NAF包括:
用于接收用户终端UE发来的携带该UE使用的鉴权密钥类型信息的请求消息的单元;
用于判断所述请求消息携带的UE使用的鉴权密钥类型是否符合所述NAF自身要求的单元;
用于根据所述判断结果,执行后续步骤的单元。
22、一种连接建立系统,其特征在于,该系统包括用户终端UE和网络应用实体NAF,
所述NAF向UE发送NAF支持的鉴权密钥类型信息;
所述UE接收所述NAF支持的鉴权密钥类型信息,判断自身使用的鉴权密钥类型是否与所述NAF支持的鉴权密钥类型一致,若是,执行后续连接建立过程;否则,结束本次连接建立过程。
23、一种用户终端UE,其特征在于,所述UE包括:
用于接收网络应用实体NAF发送的该NAF支持的鉴权密钥类型信息的单元;
用于判断所述UE自身使用的鉴权密钥类型是否与所述NAF支持的鉴权密钥类型一致的单元;
用于根据所述判断结果,执行后续步骤的单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200610057098XA CN100479570C (zh) | 2006-01-18 | 2006-03-17 | 连接建立方法、系统、网络应用实体及用户终端 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610001521.4 | 2006-01-18 | ||
| CN200610001521 | 2006-01-18 | ||
| CNB200610057098XA CN100479570C (zh) | 2006-01-18 | 2006-03-17 | 连接建立方法、系统、网络应用实体及用户终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101005701A CN101005701A (zh) | 2007-07-25 |
| CN100479570C true CN100479570C (zh) | 2009-04-15 |
Family
ID=38704499
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200610057098XA Active CN100479570C (zh) | 2006-01-18 | 2006-03-17 | 连接建立方法、系统、网络应用实体及用户终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100479570C (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009046400A1 (en) * | 2007-10-05 | 2009-04-09 | Interdigital Technology Corporation | Techniques for secure channelization between uicc and a terminal |
| CN102917351B (zh) * | 2011-08-05 | 2015-04-01 | 中国移动通信集团公司 | 在用户识别卡中实现应用的方法、装置以及用户识别卡 |
| CN104735037B (zh) * | 2013-12-24 | 2018-11-23 | 中国移动通信集团公司 | 一种网络认证方法、装置及系统 |
| KR102077238B1 (ko) * | 2015-07-01 | 2020-04-07 | 삼성전자주식회사 | 디바이스들 간의 연결 설립 방법 |
| CN107306251B (zh) * | 2016-04-20 | 2020-03-17 | 中国移动通信有限公司研究院 | 一种信息认证方法及网关设备 |
| CN114143016A (zh) * | 2020-08-14 | 2022-03-04 | 中兴通讯股份有限公司 | 基于通用引导架构gba的鉴权方法、及对应装置 |
| CN112311884A (zh) * | 2020-10-30 | 2021-02-02 | 奇安信科技集团股份有限公司 | 网络通信安全性的识别方法、装置、电子设备及存储介质 |
-
2006
- 2006-03-17 CN CNB200610057098XA patent/CN100479570C/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN101005701A (zh) | 2007-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102017677B (zh) | 通过非3gpp接入网的接入 | |
| US8572708B2 (en) | Method and arrangement for integration of different authentication infrastructures | |
| CN102550001B (zh) | 用于允许自举架构和共享身份服务相互作用的用户身份管理 | |
| CN1835436B (zh) | 一种通用鉴权网络及一种实现鉴权的方法 | |
| EP2103078B1 (en) | Authentication bootstrapping in communication networks | |
| EP3955538A1 (en) | Communication method and communication device | |
| CN100479570C (zh) | 连接建立方法、系统、网络应用实体及用户终端 | |
| US20100223468A1 (en) | Method and device for authenticating request message | |
| CN113206753B (zh) | 一种信息配置方法和管理单元 | |
| CN101160920A (zh) | 对用户终端进行鉴权的方法及鉴权系统 | |
| US20220418038A1 (en) | Selection of ip version | |
| EP2210435A1 (en) | Method, apparatus and computer program product for providing key management for a mobile authentication architecture | |
| EP3815401A1 (en) | Security management for service access in a communication system | |
| CN111132305B (zh) | 5g用户终端接入5g网络的方法、用户终端设备及介质 | |
| CN113994633B (zh) | 通信系统中的网络功能集合的授权 | |
| CN111093196B (zh) | 5g用户终端接入5g网络的方法、用户终端设备及介质 | |
| CA2783570C (en) | Smart card security feature profile in home subscriber server | |
| CN104935557A (zh) | 本地网络访问的控制方法及装置 | |
| US20160234685A1 (en) | Methods and Devices for Processing Identification Information | |
| WO2020208294A1 (en) | Establishing secure communication paths to multipath connection server with initial connection over public network | |
| CN114945173B (zh) | 跨plmn信令转发方法、电子设备及存储介质 | |
| CN102035811A (zh) | 一种实现用户ims注册的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |