CN101090513B - 一种获取业务密钥的方法 - Google Patents
一种获取业务密钥的方法 Download PDFInfo
- Publication number
- CN101090513B CN101090513B CN2006100828455A CN200610082845A CN101090513B CN 101090513 B CN101090513 B CN 101090513B CN 2006100828455 A CN2006100828455 A CN 2006100828455A CN 200610082845 A CN200610082845 A CN 200610082845A CN 101090513 B CN101090513 B CN 101090513B
- Authority
- CN
- China
- Prior art keywords
- push
- key
- naf
- professional
- business cipher
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种获取业务密钥的方法,包括:NAF确定要发起业务,向BSF发送push业务密钥请求;BSF根据获取的push业务Ks、采用push业务密钥计算方法计算得到push业务密钥,将该push业务密钥返回给NAF,NAF向UE发送push消息;UE计算得到push业务密钥。具体地,本发明通过更改UE主动发起业务的密钥计算公式,或者为push业务密钥增加push业务授权标志参数,使得NAF主动发起业务的密钥与UE主动发起业务的密钥可以进行区分,从而避免没有订购Push业务的NAF使用Push业务,也避免了NAF以Push业务冒充UE主动发起的业务,使得网络资源能够合理使用,降低了运营商的损失。
Description
技术领域
本发明涉及鉴权技术领域,具体涉及一种应用在网络侧发起的业务中的获取业务密钥的方法。
背景技术
在第三代无线通信标准中,通用鉴权框架(GAA)是多种应用业务实体使用的用户身份验证结构,并为用户访问应用业务提供安全通信的密钥。应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务。
图1为GAA的结构示意图,如图1所示,GAA通常由用户终端(UE)101、执行用户身份初始检查验证的引导鉴权服务器实体(BSF)102、用户归属服务器(HSS)103、定位HSS位置的签约用户实体(SLF)104和网络应用实体(NAF)105组成。BSF 102用于与UE 101进行身份互验证,同时生成BSF 102与UE 101的共享密钥;HSS 103中存储用于描述用户信息的描述(Profile)文件,同时HSS 103还兼有产生鉴权信息的功能。各个实体之间的接口如图1所示。
图2是在GAA下,获取UE主动发起业务的NAF相关密钥的流程图,如图2所示,其具体步骤如下:
步骤201~202:UE确定要向某个NAF发起某种业务,判断自身是否保存该NAF要求使用GAA进行鉴权的指示信息,若是,执行步骤205;否则,执行步骤203。
步骤203~204:UE从NAF获取GAA鉴权指示信息。
步骤205:UE与BSF执行GAA鉴权与密钥协商过程,鉴权通过,UE 和BSF之间生成一个共享密钥Ks,UE根据该Ks计算出与NAF进行通信使用的NAF相关密钥:Ks_NAF。
步骤206~207:UE向NAF发送携带临时身份标识(B-TID)的应用请求消息,之后NAF向BSF发送携带B-TID的密钥请求消息。
步骤208:BSF收到密钥请求消息后,根据B-TID查找到对应的Ks,并根据Ks计算NAF相关密钥:Ks_NAF,将该Ks_NAF返回给NAF,以便此后NAF使用该Ks_NAF与UE进行通信。
随着GAA的广泛应用,出现了网络侧主动向用户发起业务即:推送(push)业务的需求,针对这一需求,现有技术给出了在GAA下,获取由网络侧主动发起业务即:网络侧发起push业务的业务密钥的流程图,如图3所示,其具体步骤如下:
步骤301:NAF确定要向UE发起push业务,向BSF发送密钥请求消息,该消息携带UE的永久身份标识如:IP多媒体私有身份表示(IMPI)或IP多媒体用户公共身份标识(IMPU)等。
步骤302:BSF收到该密钥请求消息后,判断自身是否已与UE协商到一个可用的Ks,若是,执行步骤303;否则,执行步骤306。
步骤303~304:BSF根据该Ks计算得到NAF相关密钥,将该NAF相关密钥和B-TID返回给NAF;之后,NAF将该B-TID和NAF_ID携带在Push消息中发送给UE。
BSF将Ks与UE的B-TID关联保存,同时保存有B-TID与UE的永久身份标识的对应关系。
Push消息中可能携带使用NAF相关密钥进行加密的数据。
步骤305:UE收到Push消息后,根据B-TID查找到Ks,并计算得到NAF相关密钥,本流程结束。
若Push消息携带加密数据,则UE可利用计算得到的NAF相关密钥对该加密数据进行解密。
步骤306~307:BSF从HSS获取一组鉴权向量,并根据该组鉴权向量计 算得到Ks,并得到NAF相关密钥,然后向NAF返回NAF相关密钥及该组鉴权向量中的鉴权令牌(AUTN),进一步,还可返回该组鉴权向量中的鉴权随机数(RAND)和/或NAF相关密钥的生存期和/或B-TID等。
步骤308:NAF将AUTN和NAF_ID携带在push消息中发送给UE。
Push消息中可能包含加密数据,还可进一步携带RAND或B-TID。
步骤309:UE根据AUTN计算出Ks,并计算得到NAF相关密钥。
若Push消息携带加密数据,则UE可利用计算得到的NAF相关密钥对该加密数据进行解密。
从图2和图3所示流程可以看出:NAF主动发起Push业务与UE主动发起业务时所使用的Ks、以及利用Ks计算得到NAF相关密钥的计算方法是相同的,从而产生的NAF相关密钥也是相同的,这样产生的问题是:若在NAF向UE发起Push业务前,UE已经主动向该NAF发起过业务,则该NAF肯定已经保存与该UE进行通信使用的NAF相关密钥,因此NAF在发起push业务时,完全可以不必向BSF发起密钥请求,而直接使用UE主动发起业务时使用的NAF相关密钥进行push业务,这样会使得NAF在没有订购Push业务的情况下使用Push业务,或者使得NAF在订购push业务的情况下,以Push业务冒充UE主动发起的业务,对于前一种情况,很显然,会使得NAF无偿使用了网络资源,给运营商造成损失;对于后一种情况,在Push业务的使用费高于UE主动发起业务的使用费的情况下,也会给运营商造成损失。另外,若UE主动向NAF发起的业务和NAF主动向UE发起的push业务共用同一个密钥,则其中一种业务的密钥泄漏会导致另外一种业务也遭受攻击,对用户与NAF本身也会造成威胁,降低了网络安全性。
发明内容
有鉴于此,本发明的主要目的在于提供一种获取业务密钥的方法,以避免NAF无偿使用网络资源,并避免NAF以自身发起的业务冒充UE发起的业务,降低运营商的损失。
为达到上述目的,本发明的技术方案是这样实现的:
一种获取业务密钥的方法,该方法包括:
A、NAF发起业务之前,向BSF发送push业务密钥请求;
B、BSF收到该push业务密钥请求后,获取push业务Ks,根据该push业务Ks和push业务密钥计算方法计算得到push业务密钥,将该push业务密钥返回给NAF,NAF收到该push业务密钥后向UE发送push消息;
C、UE收到push消息后,获取push业务Ks,根据该push业务Ks和push业务密钥计算方法计算得到push业务密钥。
步骤B和C所述push业务Ks的值与UE发起业务的Ks值相同,
步骤B和C所述push业务密钥计算方法通过:更改和/或扩展和/或增加UE主动发起业务的NAF相关密钥的计算公式中的参数得到的。
所述更改UE主动发起业务的密钥的计算公式中的参数为:更改UE主动发起业务的密钥的计算公式中的字符串参数“gba-me”/“gba-u”,或为:更改UE主动发起业务的密钥的计算公式中的NAF标识;或为:更改UE主动发起业务的密钥的计算公式中的鉴权类型值。
所述扩展UE主动发起业务的NAF相关密钥的计算公式中的参数为:扩展UE主动发起业务的密钥的计算公式中的NAF标识。
所述增加UE主动发起业务的密钥的计算公式中的参数为:在UE主动发起业务的密钥的计算公式中增加一个表示push业务类型的参数。
步骤B和C所述push业务Ks的值与UE主动发起业务的Ks的值不同。
步骤B所述push业务Ks与UE的B-TID和AUTN关联保存。
步骤B所述push业务Ks上设置有push业务类型标识。
步骤B所述push业务Ks保存在专门用于保存push业务的Ks的文件中。
步骤B所述BSF将push业务密钥返回给NAF的同时,进一步包括:BSF向NAF返回一个push业务授权标志参数,
步骤B所述NAF发送给UE的push消息进一步携带:BSF发来的push业务授权标志参数;
所述步骤C进一步包括:UE判断NAF发来的push业务授权标志参数是否正确,若是,接受该push消息;否则,拒绝该push消息。
步骤B所述BSF计算得到push业务密钥之后、向NAF返回push业务授权标志参数之前,进一步包括:BSF根据自身保存的push业务授权标志参数的计算公式,得到push业务授权标志参数;
步骤C所述UE判断NAF发来的push业务授权标志参数是否正确包括:
UE根据自身保存的push业务授权标志参数的验证公式,验证push业务授权标志参数是否正确。
所述push业务授权标志参数计算公式为:以UE的临时身份标识B-TID和/或NAF标识和/或push业务密钥和/或BSF维护的专门用于计算授权标志参数的变量和/或push业务Ks为参数的函数。
步骤B所述BSF计算得到push业务密钥之后、向NAF返回push业务授权标志参数之前,进一步包括:BSF根据自身保存的私钥得到push业务授权标志参数;
步骤C所述UE判断NAF发来的push业务授权标志参数是否正确包括:
UE根据获取的与所述私钥对应的公钥,验证push业务授权标志参数是否正确。
步骤B和C所述push业务密钥计算方法通过:更改计算UE主动发起业务的NAF相关密钥的算法类型得到。
与现有技术相比,本发明通过更改UE主动发起业务的密钥计算公式得到网络侧主动发起业务的push业务密钥计算公式,或者通过为push业务密钥增加push业务授权标志参数,使得NAF主动发起业务的密钥与UE主动发起业务的密钥可以进行区分,从而避免没有订购Push业务的NAF使用Push业务,也避免了NAF以Push业务冒充UE主动发起的业务,使得网络资源能够合理使用,降低了运营商的损失;同时也会避免UE主动发起业务的密钥和push业务密钥同时泄漏情况的发生,消除了UE主动发起业务的密钥和push业务密钥中的一个泄漏而使得另一种业务遭受攻击的安全隐患, 提高了业务可靠性和网络安全性。
附图说明
图1为GAA的结构示意图;
图2为现有的在GAA下,获取UE主动发起的业务的NAF相关密钥的流程图;
图3为现有的在GAA下,获取NAF主动发起的业务的业务密钥的流程图;
图4为本发明实施例一提供的在GAA下,获取NAF主动发起的业务的业务密钥的流程图;
图5为本发明实施例二提供的在GAA下,获取NAF主动发起的业务的业务密钥的流程图;
图6为本发明实施例三提供的在GAA下,获取NAF主动发起的业务的业务密钥的流程图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
图4为本发明实施例一提供的在GAA下,获取NAF主动发起的push业务的业务密钥的流程图,如图4所示,其具体步骤如下:
步骤401:NAF确定要向某个UE发起push业务。
步骤402:NAF判断自身是否保存与该UE对应的push业务密钥,若是,执行步骤407;否则,执行步骤403。
若NAF保存有push业务密钥,则NAF将push业务密钥与UE的B-TID关联保存,同时保存有B-TID与UE的永久身份标识的对应关系。
若NAF已向该UE发起过Push消息,则NAF可能会保存该UE对应的push业务密钥。
步骤403:NAF向BSF发送密钥请求消息,该消息携带UE永久身份标 识、NAF_ID等。
用户永久身份标识可以是用户的IMPI或国际移动用户身份标识(IMSI),也可以是其它的标识如:公共用户标识(IMPU)或假名。如果是其它标识,BSF或HSS要能够知道与该标识对应的IMPI或IMSI。
步骤404:BSF收到该密钥请求消息后,根据该消息携带的用户永久身份标识和/或push业务类型标识,得知该密钥请求为push业务密钥请求,然后根据该消息携带的NAF_ID判断该NAF是否有权进行push业务,若是,执行步骤405;否则,向NAF返回拒绝消息,本流程结束。
若UE主动发起业务,则NAF向BSF发送的密钥请求消息携带B-TID,因此,BSF可根据密钥请求消息携带的是B-TID还是用户的永久身份标识,判断该密钥请求是针对UE发起的业务还是针对NAF发起的push业务。
步骤405:BSF根据该消息携带的UE永久身份标识,判断自身是否已存在一个与该UE永久身份标识对应的Ks,若是,执行步骤406;否则,执行步骤409。
步骤406:BSF根据该Ks,采用预先设定的push业务密钥算法计算得到push业务密钥,将该push业务密钥、B-TID携带在密钥响应消息中发送给NAF,该密钥响应消息还可包括:Push业务密钥有效期等。
push业务密钥算法可通过更改和/或扩展现有的由Ks计算NAF相关密钥的计算公式中的计算参数、和/或在现有的由Ks计算NAF相关密钥的计算公式中增加计算参数得到。
现有技术中计算NAF相关密钥的计算公式可表示为:
NAF相关密钥=KDF(Ks,“gba-me”/“gba-u”、RAND、IMPI、NAF-ID),其中,KDF表示算法类型,Ks表示一个参数,“gba-me”/“gba-u”、RAND、IMPI和NAF-ID在计算时按照S=FC‖P0‖L0‖P1‖L1‖P2‖2‖‖P3‖L3‖...‖Pn‖Ln方式串接成字符串S作为一个参数,P0即“gba-me"/“gba-u",P1即RAND,P2即按照UTF-8编码方式编码的IMPI,P3即NAF_ID,FC表示鉴权类型。
可采用以下几种途径中的一种或组合得到push业务密钥计算公式:
途径一、扩展现有技术中计算NAF相关密钥的计算公式中的参数。
如:可扩展NAF_ID,现有技术中NAF_ID包括FQDN和Ua口安全协议标识,本发明可使NAF_ID再包括一个GAA push业务类型标识,或者扩展Ua口安全协议标识,在现有的Ua口安全协议标识中增加一个表示通用引导鉴权架构(GBA)push的Ua口安全协议标识值。
途径二、更改现有技术中计算NAF相关密钥的计算公式中的参数。
例如:可更改静态字符串“gba-me”/“gba-u”的值,如:将“gba-me”/“gba-u”的值更改改为“gba-me-push”/“gba-u-push”;也可更改NAF-ID的应用协议标识如:将现有的应用协议标识更改为标识push业务的应用协议标识;也可更改鉴权类型的值,如将FC设定为不同于0x01的值,用于表示push业务鉴权类型。
途径三、在现有技术的计算NAF相关密钥的计算公式中增加新的计算参数。
例如:可增加一个新的表示GAA push业务类型标识的计算参数px,此时,push业务密钥的计算公式更改为:
push业务密钥=KDF(Ks,“gba-me”/“gba-u”、RAND、IMPI、NAF-ID、px)
这里,Px既可以是一个预先设定的固定的值,且BSF和UE都保存有该Px固定值,也可以是BSF临时生成的值。若为BSF临时生成的值,但UE自身无法生成该Px临时值,则BSF通过NAF将该Px临时值发给UE。
步骤407:NAF收到密钥响应消息后,将携带B-TID、NAF-ID的push消息发送给UE,该push消息还可能包括利用push业务密钥加密的数据。
步骤408:UE收到push消息后,根据该消息携带的B-TID在自身查找到对应的Ks,根据该Ks和预先设定的与BSF相同的push业务密钥算法得到push业务密钥,本流程结束。
若push消息携带加密数据,则UE利用push业务密钥解密该加密数据。
步骤409:BSF从HSS获取与该UE永久身份标识对应的一组鉴权向量。
步骤410:BSF根据该组鉴权向量计算得到Ks,并根据该Ks和预先设定的push业务密钥算法计算得到push业务密钥,将该PUSH业务密钥、B-TID、鉴权向量中的AUTN携带在密钥响应消息中发送给NAF,该密钥响应消息还可包括:Push业务密钥有效期、鉴权向量中的RAND等。
步骤411:NAF收到业务密钥响应后,将携带NAF-ID、AUTN的push消息发送给UE,该push消息还可能包括利用push业务密钥加密的数据、和/或RAND、和/或B-TID。
步骤412:UE收到push消息后,根据该消息携带的AUTN鉴权网络,并计算得到Ks,根据该Ks和预先设定的与BSF相同的push业务密钥算法得到push业务密钥,本流程结束。
若push消息携带加密数据,则UE利用push业务密钥解密该加密数据。
可以看出,图4所示实施例是通过采用与UE主动发起业务相同的Ks,而更改现有的计算UE主动发起业务时所用到的NAF相关密钥的计算公式中除Ks外的参数,来得到push业务密钥,从而实现push业务鉴权的,从而保证了UE主动向某个NAF发起的业务和该NAF向该UE发起的push业务所使用的密钥是不同的。
图5为本发明实施例二提供的在GAA下,获取NAF主动发起的PUSH业务的业务密钥的流程图,如图5所示,其具体步骤如下:
步骤501~503与步骤401~403相同。
步骤504:BSF收到该密钥请求消息后,根据该消息携带的用户永久身份标识和/或push业务类型标识,得知该密钥请求为push业务密钥请求,然后根据该消息携带的NAF_ID判断该NAF是否有权进行push业务,若是,执行步骤505;否则,向NAF返回拒绝消息,本流程结束。
步骤505:BSF根据该消息携带的UE永久身份标识,判断自身是否已存在一个与该UE标识对应的专门用于push业务的Ks,若是,执行步骤506;否则,执行步骤507。
本步骤中提到的专门用于push业务的Ks指的是与UE主动发起业务的Ks的值不同的Ks。
步骤506:BSF根据该Ks计算得到Ks衍生密钥,将该Ks衍生密钥作为push业务密钥,将该push业务密钥、B-TID携带在密钥响应消息中发送给NAF,该密钥响应消息还可包括:Push业务密钥有效期等。
这里,BSF采用与UE发起业务时,计算NAF相关密钥相同的算法来计算push业务密钥。
步骤507~508与步骤407~408相同。
步骤509:BSF从HSS获取与该UE永久身份标识对应的一组鉴权向量。
步骤510:BSF根据该组鉴权向量计算得到Ks,保存该专门用于push业务的Ks,并根据该Ks计算得到Ks衍生密钥作为push业务密钥,将该push业务密钥、B-TID、鉴权向量中的AUTN携带在密钥响应消息中发送给NAF,该密钥响应消息还可包括:Push业务密钥有效期、鉴权向量中的RAND等。
在现有技术中,BSF保存用于UE发起的业务的Ks时,是将该Ks与B-TID关联保存的,本发明中可采用以下方式保存专门用于push业务的Ks:
方式一、将专门用于push业务的Ks与B-TID和AUTN关联保存。
方式二、为专门用于push业务的Ks设置一个push业务标志位。
方式三、将所有UE的专门用于push业务的Ks单独保存在一个文件中,当收到NAF发来的携带UE永久身份标识的针对push业务的密钥请求消息时,在该文件中查找是否存在与UE永久身份标识对应的Ks。
步骤511~512与步骤411~412相同。
可以看出,图5所示实施例是通过采用与现有的计算UE主动发起业务时所用到的NAF相关密钥的算法中的参数Ks的值不同的、专门用于push业务的Ks来得到push业务密钥,从而实现push业务鉴权的,从而保证了UE主动向某个NAF发起的业务和该NAF向该UE发起的push业务所使用的密钥是不同的。
需要指出的是,本发明也可不更改UE主动发起业务所用到的NAF相关密钥的参数,而通过更改计算UE主动发起业务所用到的NAF相关密钥的算法类型得到push业务密钥。
图6为本发明实施例三提供的在GAA下,获取NAF主动发起的PUSH业务的业务密钥的流程图,如图6所示,其具体步骤如下:
步骤601~603与步骤501~503相同。
步骤604:BSF收到该密钥请求消息后,根据该消息携带的用户永久身份标识和/或push业务类型标识,得知该密钥请求为push业务密钥请求,然后根据该消息携带的NAF_ID判断该NAF是否有权进行push业务,若是,执行步骤605;否则,向NAF返回拒绝消息,本流程结束。
步骤605:BSF根据该消息携带的UE永久身份标识,判断自身是否已存在一个与该UE永久身份标识对应的Ks,若是,执行步骤606;否则,执行步骤610。
步骤606:BSF根据该Ks计算得到Ks衍生密钥作为push业务密钥,将该push业务密钥、B-TID和push业务授权标志参数携带在密钥响应消息中发送给NAF,该密钥响应消息还可包括:Push业务密钥有效期等。
这里,BSF具备一对密钥:私钥和公钥,BSF根据该私钥对B-TID、NAF-ID、push业务密钥、自身维护的专门用于计算授权标志参数的变量等中的一个或组合添加一个数字签名,该数字签名即为push业务授权标志参数。对应地,UE可根据所述公钥来验证push业务授权标志参数是否正确。具体地,UE可通过三种方式获取所述公钥:方式一、将该公钥预先配置在UE上;方式二、BSF通过密钥响应消息将该公钥发送给NAF,然后NAF通过push消息将该公钥发送给UE;方式三、BSF通过密钥响应消息将公钥证书序列号发送给NAF,然后NAF通过push消息将该公钥证书序列号发送给UE,UE根据该公钥证书序列号获取到所述公钥。
或者,BSF也可以采用Ks或push业务密钥对B-TID、NAF-ID、push业务密钥、自身维护的专门用于计算授权标志参数的变量等参数运行加密算 法或摘要算法得到push业务授权标志参数;对应地,UE采用Ks或push业务密钥来验证push业务授权标志参数是否正确。
步骤607:NAF收到密钥响应消息后,将携带B-TID、NAF-ID和授权标志参数的push消息发送给UE,该push消息还可能包括利用push业务密钥加密的数据。
步骤608:UE收到push消息后,根据该push消息携带的B-TID在自身查找到对应的Ks,利用该Ks计算得到push业务密钥。
步骤609:UE判断该消息携带的push业务授权标志参数是否正确,若是,接受该push消息,本流程结束;否则,拒绝该push消息,本流程结束。
若UE获取push业务授权标志参数时,不需push业务密钥的参与,则UE收到push消息后,可先判断该消息携带的push业务授权标志参数是否正确,若正确,再根据该push消息携带的B-TID找到Ks,从而得到push业务密钥;若不正确,则直接拒绝push消息。
步骤610:BSF从HSS获取一组鉴权向量。
步骤611:BSF根据该组鉴权向量计算得到Ks,并计算得到Ks衍生密钥作为push业务密钥,将该push业务密钥、B-TID、鉴权向量中的AUTN和push业务的授权标志参数携带在密钥响应消息中发送给NAF,该密钥响应消息还可包括:Push业务密钥有效期、鉴权向量中的RAND等。
步骤612:NAF收到密钥响应消息后,将携带NAF-ID、AUTN和push业务授权标志参数的push消息发送给UE,该push消息还可能包括利用push业务密钥加密的数据、和/或RAND、和/或B-TID。
步骤613:UE收到push消息后,根据该push消息携带的AUTN鉴权网络,并计算得到Ks,根据该Ks计算得到push业务密钥。
步骤614:UE判断该消息携带的push业务授权标志参数是否正确,若是,接受该push消息;否则,拒绝该push消息。
可以看出,图6所示实施例是通过对push业务密钥进行数字签名即:增加一个授权标志参数,来验证push业务密钥是否正确,从而达到push业 务鉴权的目的。
以上所述仅为本发明的过程及方法实施例,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种获取业务密钥的方法,其特征在于,该方法包括:
A、网络应用实体NAF发起业务之前,向引导鉴权服务器实体BSF发送推送push业务密钥请求;
B、BSF收到该push业务密钥请求后,获取push业务共享密钥Ks,根据该push业务Ks和push业务密钥计算方法计算得到push业务密钥,将该push业务密钥返回给NAF,NAF收到该push业务密钥后向用户设备UE发送push消息;
C、UE收到push消息后,获取push业务Ks,根据该push业务Ks和push业务密钥计算方法计算得到push业务密钥;
其中,步骤B和C所述push业务Ks的值与UE发起业务的Ks值相同,
步骤B和C所述push业务密钥计算方法通过:更改和/或扩展和/或增加UE主动发起业务的NAF相关密钥的计算公式中的参数得到的。
2.如权利要求1所述的方法,其特征在于,所述更改UE主动发起业务的密钥的计算公式中的参数为:更改UE主动发起业务的密钥的计算公式中的静态字符串“gba-me”/“gba-u”,或为:更改UE主动发起业务的密钥的计算公式中的NAF标识;或为:更改UE主动发起业务的密钥的计算公式中的鉴权类型值。
3.如权利要求1所述的方法,其特征在于,所述扩展UE主动发起业务的NAF相关密钥的计算公式中的参数为:扩展UE主动发起业务的密钥的计算公式中的NAF标识。
4.如权利要求1所述的方法,其特征在于,所述增加UE主动发起业务的密钥的计算公式中的参数为:在UE主动发起业务的密钥的计算公式中增加一个表示push业务类型的参数。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100828455A CN101090513B (zh) | 2006-06-13 | 2006-06-13 | 一种获取业务密钥的方法 |
| PCT/CN2007/070098 WO2007147354A1 (fr) | 2006-06-13 | 2007-06-11 | Procédé et système pour extraire une clé de messagerie instantanée |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100828455A CN101090513B (zh) | 2006-06-13 | 2006-06-13 | 一种获取业务密钥的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101090513A CN101090513A (zh) | 2007-12-19 |
| CN101090513B true CN101090513B (zh) | 2012-05-23 |
Family
ID=38833080
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100828455A Active CN101090513B (zh) | 2006-06-13 | 2006-06-13 | 一种获取业务密钥的方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101090513B (zh) |
| WO (1) | WO2007147354A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101583131B (zh) * | 2009-06-10 | 2012-05-09 | 中兴通讯股份有限公司 | 一种业务密钥的传输方法和系统 |
| CN101990203B (zh) * | 2009-08-05 | 2013-06-12 | 中兴通讯股份有限公司 | 基于通用自引导架构的密钥协商方法、装置及系统 |
| WO2011032173A2 (en) * | 2009-09-14 | 2011-03-17 | Publicover Mark W | Rebounding apparatus with tensioned elastic cords |
| CN102497273B (zh) * | 2011-12-27 | 2018-09-28 | 西安西电捷通无线网络通信股份有限公司 | 一种实体鉴别方法和装置及系统 |
| CN105337935B (zh) * | 2014-07-09 | 2018-12-21 | 阿里巴巴集团控股有限公司 | 一种建立客户端和服务端长连接的方法和装置 |
| CN106487501B (zh) | 2015-08-27 | 2020-12-08 | 华为技术有限公司 | 密钥分发和接收方法、密钥管理中心、第一和第二网元 |
| CN107733639B (zh) * | 2017-08-24 | 2020-08-04 | 深圳壹账通智能科技有限公司 | 密钥管理方法、装置及可读存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101366263A (zh) * | 2005-10-13 | 2009-02-11 | 艾利森电话股份有限公司 | 用于建立安全关联的方法和设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2003301719A1 (en) * | 2002-10-25 | 2004-05-25 | Grand Virtual Inc | Password encryption key |
| CN1315268C (zh) * | 2003-11-07 | 2007-05-09 | 华为技术有限公司 | 一种验证用户合法性的方法 |
-
2006
- 2006-06-13 CN CN2006100828455A patent/CN101090513B/zh active Active
-
2007
- 2007-06-11 WO PCT/CN2007/070098 patent/WO2007147354A1/zh active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101366263A (zh) * | 2005-10-13 | 2009-02-11 | 艾利森电话股份有限公司 | 用于建立安全关联的方法和设备 |
Non-Patent Citations (4)
| Title |
|---|
| Ericsson、Siemens.comments on S3-060092:Pure Push Technical Solution(S3-060125).《3GPP TSG SA3#42》.2006,第2.1节、图1. * |
| Ericsson.GBA Push (S3-050757).《3GPP TSG SA WG3 Security-SA3#41》.2005,第3节. * |
| Ericsson.Pure Push Technical Solution (S3-060092).《3GPP TSG SA3 #42》.2006,第2-3节. * |
| Huawei.GAA Push Solutions (S3-060226).《3GPP TSG SA WG3 Security-SA3#43》.2006,第2-3节. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101090513A (zh) | 2007-12-19 |
| WO2007147354A1 (fr) | 2007-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101490214B1 (ko) | 공유된 일시적 키 데이터의 세트를 갖는 교환들을 인코딩하기 위한 시스템들 및 방법들 | |
| CN102118387B (zh) | 无线通信装置与服务器之间的数据安全事务的系统和方法 | |
| CN111314056B (zh) | 基于身份加密体制的天地一体化网络匿名接入认证方法 | |
| He et al. | A strong user authentication scheme with smart cards for wireless communications | |
| KR101485230B1 (ko) | 안전한 멀티 uim 인증 및 키 교환 | |
| US8842833B2 (en) | System and method for secure transaction of data between wireless communication device and server | |
| US8559633B2 (en) | Method and device for generating local interface key | |
| CN110971415A (zh) | 一种天地一体化空间信息网络匿名接入认证方法及系统 | |
| CN108880813B (zh) | 一种附着流程的实现方法及装置 | |
| CN1929371B (zh) | 用户和外围设备协商共享密钥的方法 | |
| Liu et al. | Toward a secure access to 5G network | |
| CN101102186B (zh) | 通用鉴权框架推送业务实现方法 | |
| CN101090513B (zh) | 一种获取业务密钥的方法 | |
| Mitchell | The impact of quantum computing on real-world security: A 5G case study | |
| CN101371491A (zh) | 提供无线网状网络的方法和装置 | |
| CN100488281C (zh) | 一种目标基站获取鉴权密钥上下文信息的方法 | |
| CN101087261B (zh) | 基于通用引导构架实现推送功能的方法、设备和系统 | |
| CN104955040B (zh) | 一种网络鉴权认证的方法及设备 | |
| CN101141792A (zh) | 一种通用引导架构推送的方法 | |
| CN101616407A (zh) | 预认证的方法和认证系统 | |
| CN101599878A (zh) | 重认证方法、系统及鉴权装置 | |
| CN101087260B (zh) | 基于通用引导构架实现推送功能的方法和设备 | |
| CN112054905B (zh) | 一种移动终端的安全通信方法及系统 | |
| US8666073B2 (en) | Safe handover method and system | |
| CN101610509A (zh) | 一种保护通信安全的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |