CN101156411B - 提供用于gaa的通用机制的设备和方法 - Google Patents
提供用于gaa的通用机制的设备和方法 Download PDFInfo
- Publication number
- CN101156411B CN101156411B CN2006800115973A CN200680011597A CN101156411B CN 101156411 B CN101156411 B CN 101156411B CN 2006800115973 A CN2006800115973 A CN 2006800115973A CN 200680011597 A CN200680011597 A CN 200680011597A CN 101156411 B CN101156411 B CN 101156411B
- Authority
- CN
- China
- Prior art keywords
- naf
- key
- network application
- int
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
一种方法和设备提供了用于网络应用服务器的通用机制。接收机接收来自于用户设备的请求以向网络应用功能提供认证信息。确定单元通过扩展用户安全设置的现有标准来确定通用认证架构的密钥,以整合额外的网络应用服务器。提供单元向网络应用功能提供认证信息。
Description
相关申请的交叉引用
本申请要求于2005年4月11日提交的美国临时专利申请系列号60/669,873的优先权。在此作为参考引入该较早提交的申请的主题。
技术领域
本发明涉及一种用于应用服务器的通用机制,该机制通过扩展用户安全设置(USS)的现有标准来确定通用认证架构(GAA)的哪个密钥将使得额外应用服务器能够容易整合。
背景技术
第三代合作伙伴计划(3GPP)通用认证架构(GAA)的初始认证(即,引导(bootstrapping))是基于AKA(认证和密钥协商协议)的。取决于移动终端,诸如移动电话和插入移动终端中的通用移动电信系统(UMTS)集成电路卡(UICC)或者用户身份模块,3GPP通用认证架构(GAA)可以具有以下密钥:Ks_int_NAF、Ks_ext_NAF和Ks_NAF。如今,使用GAA的服务数量非常小,并且关于用于特定智能卡或者用户身份模块的该服务的密钥的定义可以直接在网络应用功能(NAF)的服务器中实现,该网络应用功能(NAF)的服务器向用户提供该服务。然而,假如改变,诸如新的使用情况和对现有服务的改变或更新,或者用户获得新智能卡,则在服务器处的这样的实现方式不是非常可缩放的或容易管理的。对于NAF的改变或更新将需要手工配置,如果NAF不是驻留在用户或订户的归属网络中而是驻留在第三方网络中的话,手工配置是特别困难的。
Ks_int_NAF密钥用于保证智能卡或用户身份模块与应用服务器NAF之间的超文本传输协议(HTTPS)的安全。应用将驻留在智能卡或者用户身份模块中,并且移动终端将仅担当调制解调器。此机制可以用作呈现OTA SMS配置消息的替代,以下载新的更新或其他SAT应用。
现今对于所定义的Ks_int_NAF密钥的唯一使用情况是在多媒体广播/多播服务(MBMS)中。在MBMS中,根据TS 33.2463GPP规范中的定义来配置NAF,其作为附录A附加于此,其内容合并在此作为参考。在MBMS中,关于使用哪个密钥的选择由规范TS 33.246中特定密钥的描述来定义。因此对于此使用情况,因为在正在向用户提供MBMS服务的NAF中直接实现该密钥,所以不要求密钥选择机制。
发明内容
根据本发明的实施例,提供了一种方法以提供用于网络应用服务器的通用机制。该方法包括接收来自于用户设备的请求,以向网络应用功能提供认证信息。该方法包括通过扩展用户安全设置的现有标准来确定通用认证架构的密钥,以整合额外的网络应用服务器。该方法还包括向网络应用功能提供认证信息。
根据本发明的实施例,提供了一种设备,该设备用于提供用于网络应用服务器的通用机制。用于接收来自于用户设备的请求以向网络应用功能提供认证信息的接收装置。用于通过扩展用户安全设置的现有标准来确定通用认证架构的密钥以整合额外的网络应用服务器的确定装置。用于向网络应用功能提供所述认证信息的第一提供装置。
根据本发明的实施例,提供了一种设备,该设备用于提供用于网络应用服务器的通用机制。接收机接收来自于用户设备的请求以向网络应用功能提供认证信息。确定单元通过扩展用户安全设置的现有标准来确定通用认证架构的密钥,以整合额外的网络应用服务器。提供单元向网络应用功能提供所述认证信息。
根据本发明的实施例,所述设备还包括:
第二提供装置,用于在所述用户安全设置中提供用户设备中的安全环境的类型;以及
第三提供装置,用于提供标记字段,所述标记字段指示带有基于集成电路增强的通用引导架构GBA_U是否启用通用用户身份模块、用户身份模块、安全环境或智能卡。
根据本发明的实施例,所述设备还包括:
第二提供装置,用于在所述用户安全设置中提供第一和第二标记字段,所述第一和第二标记字段在规范的授权报头中传输,其中在所述第一标记字段中,使用基于集成电路的增强的通用引导架构GBA_U中的第一衍生密钥Ks_int_NAF,并且在所述第二标记字段中,使用第二衍生密钥Ks_ext_NAF或者第三衍生密钥Ks_NAF。
根据本发明的实施例,其中所述通用机制包括至少一项以下内容:
第一硬编码装置,用于在网络应用功能建立期间,将密钥使用直接本地配置到网络应用功能中,
第二硬编码装置,用于在引导服务器功能中本地配置所述密钥使用,
第二提供装置,用于在存储于归属用户服务器中的用户安全设置中提供传输到引导服务器功能的附加字段,以及
第一使用装置,用于使用指示密钥使用的存储在引导服务器功能中的属性-值-对。
根据本发明的实施例,所述设备还包括:
第二使用装置,用于使用属性-值-对以指示正在使用的衍生密钥的类型或者启用的智能卡或者安全环境的类型,其中所述衍生密钥类型包括Ks_int_NAF、Ks_ext_NAF或Ks_NAF,并且所述智能卡或者安全环境包括GBA_U。
根据本发明的实施例,所述设备中,当网络服务器处于所述智能卡或者安全环境中时,还包括:
分配装置,用于分配通用移动电信系统UMTS集成电路卡UICC中的网络应用,其中UICC是网络应用功能并且使用衍生密钥Ks_int_NAF以保证网络服务实体之间通信的安全。
根据本发明的实施例,所述设备还包括:
第三硬编码装置,用于通过在存储于归属用户服务器HSS中的用户安全设置中提供附加字段,来本地配置引导服务器功能BSF中的密钥使用。
附图说明
为提供对本发明的进一步理解,包括了附图,所述附图包括在本说明书中并组成本说明书的一部分,且所述附图示出了本发明的实施例,其与所述描述一起用于解释本发明的原理,其中
图1A根据本发明的实施例示出了提供用于网络应用服务器的通用机制的设备;
图1B根据本发明的实施例示出了其中网络应用功能在拜访网络中的示例性网络架构;
图2根据本发明的实施例示出了提供用于网络应用服务器的通用机制的设备;
图3根据本发明的实施例示出了提供用于网络应用服务器的通用机制的方法;并且
图4根据本发明的备选实施例示出了提供用于网络应用服务器的通用机制的方法。
缩略语表
3GPP-第三代合作伙伴计划
3GPP2-第三代合作伙伴计划2
ACM-完整地址消息
AKA-认证和密钥协商
Auth-认征
AUTHR-认证响应
AVP-属性-值-对
BS-基站
BSC-基站控制器
BSF-引导服务器功能
BTS-基站收发器子系统
CK-机密性密钥
CM-蜂窝消息
GAA-通用认证架构
GBA-通用引导架构
GBA_U-带有基于UICC增强的GBA
GUSS-GBA用户安全设置
HSS-归属用户服务器
HTTP-超文本传输协议
HTTPS-安全的超文本传输协议
IK-完整性密钥
IMS-IP多媒体子系统
IMSI-国际移动用户身份
IP-因特网协议
ISIM-IMS SIM卡
Kc-加密密钥
Ki-个人用户认证密钥
Ks-密钥资料
Ks_int_NAF-保留在UICC上的GBA_U中的衍生密钥
Ks_ext_NAF-GBA_U中的衍生密钥
Ks_NAF-GBA_ME中的衍生密钥
MAP-移动应用部分
MBMS-多媒体广播/多播服务
ME-移动设备
MIN-移动标识号
MNO-归属移动网络运营商
MO-移动台发起
NAF-网络应用功能
NE-网元
OTA-通过空中
PDSN-分组数据服务节点
PLC-私有长码
PLCM-PLC掩码
PSTN-公共交换电话网络
RAN-无线接入网络
RAND-随机质询数据
SAT-SIM应用工具包
SIM-用户身份模块
SMS-短消息服务
UE-用户设备
UICC-UMTS集成电路卡
UMTS-通用移动电信系统
USIM-通用SIM卡
USS-用户安全设置
Ub-引导空中接口(从UE到BSF)
Zh-自BSF的HSS接口
具体实施方式
3GPP是建议的认证基本结构(3GPP TS 33.220,作为附录B附加于此,其内容包含在此作为参考)。可以利用此基本结构启用网络侧中和用户侧上的应用功能,以便在网络侧和用户侧不能另外进行通信的情况下来通信。此功能被称为“应用安全引导”,或更通常地简化为“引导”。
引导的一般原理是:通用引导服务器功能(BSF)允许用户设备(UE)与此认证,并且就会话密钥达成协商。这样的认证可以基于认证和密钥协商(AKA)。通过运行AKA,移动终端和网络相互认证彼此,并且就密钥达成协商,特别是机密性密钥(CK)和完整性密钥(IK)。在此认证之后,UE和也可以被称为服务提供商的网络应用功能(NAF)可以运行某些应用专用协议,其中消息的认证基于UE和BSF之间达成协商的会话密钥。
引导功能并不旨在于依赖任何特定的网络应用功能。引导功能的服务器实现必须得到归属运营商信任,以处理认证向量。在运营商的归属网络、拜访网络或在第三方网络中可以支持网络应用功能。
图1A根据本发明的实施例示出了示例性网络架构。该网络架构包括用户设备(UE)100、至少一个网络应用功能(NAF)102、引导服务器功能(BSF)104和归属用户系统(HSS)106。BSF104和HSS 106形成归属移动网络运营商(MNO)108的一部分。根据众所周知的移动通信技术,UE 100连接到MNO 108。
例如,在MNO 108的控制下NAF 102寄宿在网元中,并且在MNO108的控制下BSF也可以寄宿在网元中。因此,出于实践的目的,可以认为每个NAF 102和BSF 104是网元。
如图1A中的说明,UE 100通过Ua接口110与NAF 102通信。UE100通过Ub接口112与BSF 104通信。NAF 102通过Zn接口114与BSF 104通信。BSF 104通过Zh接口116与HSS 106通信。
在进一步分离的网络中可以提供NAF 102。例如,如图1B中的说明,提供了示例性网络架构,其中NAF 102在拜访网络中。在UE 100已经联系操作于不是归属网络的另一个网络中的NAF 102的情况中,此拜访NAF 102将使用NAF网络的diameter代理(D-Proxy)118来与用户的BSF(即归属BSF)104通信。NAF 102通过至D-Proxy的Zn接口114并且通过至BSF 104的Zn接口120来与BSF 104通信。D-Proxy118的功能可以作为分离的网元来实现,或者是实现Diameter代理功能的拜访网络中的任何网元(NE)的一部分(这样的NE例子是拜访NAF102所属的网络的BSF,或者AAA-服务器)。
对于图1A和1B,引导的原理是UE 100和引导功能彼此相互认证,例如,使用AKA协议,并且就主共享秘密达成协商。然后,使用主共享秘密来衍生一个或多个网络应用功能专用共享秘密,所述一个或多个网络应用功能专用共享秘密被应用在UE 100和正在讨论的特定的网络应用功能(NAF)之间。特别针对每个网络应用功能,独立地生成NAF专用共享秘密密钥资料。在已经完成引导操作之后,UE 100和网络应用功能可以运行某些专用协议,其中消息的安全保护将基于在UE 100和引导服务器功能之间的相互认证期间所生成的那些密钥。因此,可以将密钥用于认证和完整性保护,并用于机密性。然后,网络应用功能能够获取衍生自用户设备和引导服务器功能之间建立的主共享秘密的NAF专用共享秘密。
通信Ub接口112支持引导认证和密钥协商协议,以提供UE 100和BSF 104之间的相互认证和密钥协商。例如,此协议可以基于3GPPAKA协议。
Zh接口116允许BSF 104从HSS 106获得任何需要的认证信息和用户简档(profile)信息。Ua接口110支持使用NAF专用共享秘密来保证安全的任何应用专用协议,所述NAF专用共享秘密衍生自基于Ub接口112支持的协议而在UE 100和BSF 104之间达成协商的主共享秘密。NAF 102使用Zn接口114以从BSF 104获得已经从在Ub接口112上支持的协议中协商的主共享秘密中衍生的NAF专用共享秘密。Zn接口114还可以用于从BSF 104获得用户简档信息。
从BSF 104传输到NAF 102的消息包括引导信息。引导信息可以包括事务标识符、NAF专用共享秘密和可选的用户简档信息(“prof_naf”或者“任何NAF专用USS)。Ks_NAF表示的NAF专用共享秘密在UE100和BSF 104之间建立,并且对于UE 100和特定NAF之间通信的特定用途,可以修改该NAF专用共享秘密。通过使用3GPP TS 33.220附件B中规定的参数从Ks中衍生Ks_NAF(附录A)。Ks是主共享秘密,并且Ks_NAF是NAF专用共享秘密。根据用于NAF的专用共享秘密Ks_NAF,传输到每个NAF的引导信息因此对于那个NAF是唯一的。
所有用户安全设置(GUSS)的集合包含BSF专用信元和所有应用专用USS的集合。所有用户安全设置(USS)的集合,即GUSS,存储在HSS中。在其中用户具有多个订阅,即具有UICC上的多个ISIM或USIM应用的情况中,HSS将包含一个或多个可以被映射到任何一个或多个身份的GUSS,例如(IP多媒体私有身份)IMPI和(国际移动用户身份)IMSI。
在GBA_U中有对于两个NAF专用共享秘密的新使用情况的配置,其中一个用在UICC上(Ks_int_NAF),而另一个用在移动设备中(Ks_ext_NAF)。此使用情况需要某种“决定逻辑”来决定采用哪个密钥,即,Ks_int_NAF或者Ks_ext_NAF。在无需移动终端中智能卡的新配置的情况下,对此“逻辑”附加新的服务应该是可能的。假如NAF支持多于一个的密钥类型,则需要阻止任何类别的安全级别降低攻击(downplay attack)。此降低攻击可以欺骗NAF使其使用较低安全级别的密钥代替要求使用Ks_int_NAF。
根据本发明的实施例,提供用于应用服务器的一种通用机制,以通过扩展用户安全设置(USS)的现有标准来获得知识,该知识是关于通用认证架构(GAA)的哪个密钥将使得额外应用服务器能够容易整合。在3GPP TS 29.109 GAA Zn接口“引导-信息-请求/应答”消息中定义了AVP“属性-值-对”(AVP),其作为附录C附加于此,其内容在此作为参考而被合并,并且在3GPP TS 29.229中定义了额外的新Diameter AVP,其作为附录D附加于此,其内容在此作为参考而被合并。
通过在NAF建立期间在每个NAF中的软件中直接进行密钥使用本地配置或者硬编码(在NAF中的本地)、通过BSF(BSF仅通过将相关密钥传递到NAF来指示)中的密钥使用的硬编码、通过在存储在归属用户服务器(HSS)中的用户安全设置(USS)中提供传输到BSF的附加字段、和/或通过使用指示密钥使用的存储在BSF中的AVP,可以实现通用机制。如果BSF将只是把相关密钥传递到NAF,则NAF将不知道提供的安全质量和它正在使用的密钥类型。
可以扩展3GPP标准化的现有用户安全设置(USS)并用以指示使用哪个密钥。这将给用户的归属运营商提供全面和灵活的控制,特别是在由第三方NAF提供服务并且由归属运营商完成服务计费的情况中。
根据本发明的实施例,可以存在至少两个可能的实施例。在本发明的第一实施例中,USS可以指示用户具有什么类型的智能卡或者安全环境。而且,第一实施例将提供移动用户的通用SIM(USIM)、IMS SIM卡(ISIM)是否是GBA_U启用的。在第一实施例中,可以存在标记字段,该标记字段指示该卡或安全环境是否是GBA_U启用的。
在本发明的第二实施例中,USS可以包括一个或两个授权标记字段,该授权标记字段在现有规范3GPP TS 29.109的USS中传输,其作为附录D附加于此,其内容在此作为参考而被合并。在第一标记字段中,如果此字段出现,则指示基于UICC的共享秘密(Ks_int_NAF)的使用是强制的。第二标记字段是可选字段,其中如果此第二标记字段出现,则指示了基于ME的共享秘密(Ks_ext_NAF或Ks_NAF)使用。
如果归属运营商向移动用户提供新的用户身份模块,那么可以很容易地更新USS以便要求从现在开始使用更安全的Ks_int_NAF密钥。两个可选的方案了阻止安全降低攻击,即,阻止使用Ks_ext_NAF密钥代替更安全的Ks_int_NAF密钥。
图2根据本发明的实施例示出了提供用于网络应用服务器的通用机制的设备150。设备150包括用于接收来自于用户设备的请求以向网络应用功能提供认证信息的接收单元152。设备150还包括用于通过扩展用户安全设置的现有标准来确定通用认证架构的密钥以整合额外的网络应用服务器的确定单元154。设备150还包括用于向网络应用功能提供认证信息的第一提供单元156。
图3根据本发明的实施例示出了提供用于网络应用服务器的通用机制的方法。在操作200,该方法接收来自于用户设备的请求,以向网络应用功能提供认证信息。在操作210,该方法通过扩展用户安全设置的现有标准来确定通用认证架构的密钥,以整合额外的网络应用服务器。在操作220,向网络应用功能提供认证信息。根据本发明的实施例,USS可以指示用户具有什么类型的智能卡,或者必须使用什么类型的共享秘密(即Ks_ext_NAF或Ks_int_NAF)。在操作230,该方法确定移动用户的通用SIM(USIM)、IMS SIM卡(ISIM)或者其他安全环境是否是GBA_U启用的。在第一实施例中,可以存在一个标记字段,所述标记字段指示该卡或安全环境是否是GBA_U启用的。
图4根据本发明的实施例示出了提供用于网络应用服务器的通用机制的方法。在操作300,该方法接收来自于用户设备的请求,以向网络应用功能提供认证信息。在操作310,该方法通过扩展用户安全设置的现有标准来确定通用认证架构的密钥,以整合额外的网络应用服务器。在操作320,向网络应用功能提供认证信息。根据本发明的实施例,USS可以指示用户具有什么类型的智能卡或者安全环境,或者必须使用什么类型的共享秘密。在操作330,该方法确定USS是否包括一个或两个标记字段,该标记字段在现有规范3GPP TS 29.109的授权报头中传输,其作为附录C附加于此。在第一标记字段中,如果此字段出现,则它指示基于UICC的共享秘密(Ks_int_NAF)的使用是强制的。第二标记字段是可选字段,其中如果此第二标记字段出现,则指示基于ME的共享秘密(Ks_ext_NAF或Ks_NAF)使用。
如果在运营商网络中建立了新的应用服务器,则不需要知道哪个用户使用哪个密钥或者在不久的将来是否将向用户提供新的SIM卡。NAF将从BSF获得需要的密钥选择信息。
根据本发明的实施例,可以使用新的AVP以指示正在使用的衍生密钥类型。例如,新的AVP可以指示衍生的密钥是Ks_int_NAF还是某种其他密钥类型。新的AVP还将指示所述卡或安全环境是否是GBA_U启用的,或者可选地指示使用哪个密钥。取决于该标记,当指示时,NAF可以使用基于UICC的共享秘密密钥(Ks_int_NAF)。即,AVP指示卡或安全环境是GBA_U启用的,或者AVP明确指示使用Ks_int_NAF。然后,NAF将要求使用此密钥并且不是具有较低安全级别的某个其他密钥。
对于安全环境中的网络服务器,例如智能卡,客户端将驻留在通用移动电信系统(UMTS)集成电路卡(UICC)中,并且应用也将驻留在该安全环境中。所述应用通常将是Java应用、XML应用、C++应用、Perl应用、或者Visual Basic应用或其他类似的应用类型。那么,UICC也可以担当向其他实体提供网络服务的应用服务器,其中其他实体中的一个可能驻留在另一个可信赖的域中,例如电话中的第二安全区域,并且可以使用Ks_int_NAF来保证网络服务实体间通信的安全。基于UICC的NAF将扮演WSP(网络服务提供商)的角色,如自由联盟网络服务框架规范(ID-WSF)http://www.projectliberty.org/resources/specifications.php所述。UICC可以担当向请求实体(即,网络服务消费者)提供敏感信息的符合自由联盟的网络服务提供商,可以经由Ks_int_NAF认证其/保证其安全。可以在用于标识和消息安全的网络服务框架中进一步使用其他基于GAA的密钥。而且,TS 24.109 3GPP指定引导接口(Ub)和网络应用功能接口(Ua),其作为附录E附加于该规范中,其内容在此作为参考而被合并,TS 29.109 3GPP基于diameter协议指定Zh和Zn接口,其作为附录F附加于该规范中,其内容在此作为参考。
本发明可以允许用户的归属运营商对使用的安全级别具有全面控制。假如用户具有新的UICC,则用户安全设置的更新可以集中发生在归属业务服务器(HSS)中,并且将不要求各个地更新所有NAF。决定逻辑可以驻留在运营商控制的HSS或BSF中。而且,对于新的应用,安全降低攻击也将不再可能。
前面的描述针对了本发明的特定实施例。然而,很显然可以对描述的实施例做出其他变型和修改,以达到某些或者所有它们的优势。因此,所附权利要求书的目标是覆盖所有这些落入本发明真实精神和范围内的变型和修改。
Claims (26)
1.一种提供用于网络应用服务器的通用机制的方法,该方法包括:
接收来自于用户设备的请求以向网络应用功能提供认证信息;
通过扩展用户安全设置的3GPP标准来确定通用认证架构的密钥,以整合额外的网络应用服务器;以及
向所述网络应用功能提供所述认证信息。
2.根据权利要求1所述的方法,还包括:
在所述用户安全设置中提供与用户设备中的智能卡或者安全环境的类型相关的数据;以及
提供标记字段,所述标记字段指示带有基于集成电路的增强的通用引导架构GBA_U是否启用通用用户身份模块、用户身份模块、智能卡或者另一安全环境。
3.根据权利要求1所述的方法,还包括:
在所述用户安全设置中提供第一和第二标记字段,所述第一和第二标记字段在规范的授权报头中传输,其中在所述第一标记字段中,使用基于集成电路的增强的通用引导架构GBA_U中的第一衍生密钥Ks_int_NAF,并且在所述第二标记字段中,使用第二衍生密钥Ks_ext_NAF或者第三衍生密钥Ks_NAF。
4.根据权利要求1所述的方法,其中所述确定步骤包括确定至少一项以下内容:
在网络应用功能建立期间,将密钥使用直接本地配置到网络应用功能中,
在引导服务器功能中本地配置密钥使用,
在存储于归属用户服务器中的用户安全设置中提供传输到引导服务器功能的附加字段,以及
使用指示密钥使用的存储在引导服务器功能中的属性-值-对。
5.根据权利要求4所述的方法,还包括:
使用属性-值-对以指示正在使用的衍生密钥的类型或者启用的智能卡或者安全环境的类型,其中所述衍生密钥类型包括Ks_int_NAF、Ks_ext_NAF或Ks_NAF,并且所述智能卡或者安全环境包括GBA_U。
6.根据权利要求5所述的方法,其中当所述属性-值-对指示Ks_int_NAF的使用时,还包括:
通过所述网络应用功能要求使用Ks_int_NAF而非具有较低安全级别的密钥。
7.根据权利要求2所述的方法,其中,当网络服务器处于安全环境中时,该方法还包括:
分配通用移动电信系统UMTS集成电路卡UICC中的网络应用,其中UICC是网络应用功能,并且使用衍生密钥Ks_int_NAF以保证网络服务实体之间通信的安全。
8.根据权利要求7所述的方法,其中分配网络应用的所述分配步骤包括Java应用、XML应用、C++应用、Perl应用或者Visual Basic应用。
9.根据权利要求1所述的方法,还包括:
通过在存储于归属用户服务器HSS中的用户安全设置中提供附加字段,来本地配置引导服务器功能BSF中的密钥使用。
10.一种提供用于网络应用服务器的通用机制的设备,该设备包括:
接收装置,用于接收来自于用户设备的请求以向网络应用功能提供认证信息;
确定装置,用于通过扩展用户安全设置的3GPP标准来确定通用认证架构的密钥,以整合额外的网络应用服务器;以及
第一提供装置,用于向所述网络应用功能提供所述认证信息。
11.根据权利要求10所述的设备,还包括:
第二提供装置,用于在所述用户安全设置中提供用户设备中的安全环境的类型;以及
第三提供装置,用于提供标记字段,所述标记字段指示带有基于集成电路增强的通用引导架构GBA_U是否启用通用用户身份模块、用户身份模块、安全环境或智能卡。
12.根据权利要求10所述的设备,还包括:
第二提供装置,用于在所述用户安全设置中提供第一和第二标记字段,所述第一和第二标记字段在规范的授权报头中传输,其中在所述第一标记字段中,使用基于集成电路的增强的通用引导架构GBA_U中的第一衍生密钥Ks_int_NAF,并且在所述第二标记字段中,使用第二衍生密钥Ks_ext_NAF或者第三衍生密钥Ks_NAF。
13.根据权利要求10所述的设备,其中所述通用机制包括至少一项以下内容:
第一硬编码装置,用于在网络应用功能建立期间,将密钥使用直接本地配置到网络应用功能中,
第二硬编码装置,用于在引导服务器功能中本地配置所述密钥使用,
第二提供装置,用于在存储于归属用户服务器中的用户安全设置中提供传输到引导服务器功能的附加字段,以及
第一使用装置,用于使用指示密钥使用的存储在引导服务器功能中的属性-值-对。
14.根据权利要求13所述的设备,还包括:
第二使用装置,用于使用属性-值-对以指示正在使用的衍生密钥的类型或者启用的智能卡或者安全环境的类型,其中所述衍生密钥类型包括Ks_int_NAF、Ks_ext_NAF或Ks_NAF,并且所述智能卡或者安全环境包括GBA_U。
15.根据权利要求14所述的设备,其中当属性-值-对指示Ks_int_NAF的使用时,所述网络应用功能要求使用Ks_int_NAF而非较低安全级别的密钥。
16.根据权利要求11所述的设备,其中,当网络服务器处于所述智能卡或者安全环境中时,还包括:
分配装置,用于分配通用移动电信系统UMTS集成电路卡UICC中的网络应用,其中UICC是网络应用功能并且使用衍生密钥Ks_int_NAF以保证网络服务实体之间通信的安全。
17.根据权利要求10所述的设备,还包括:
第三硬编码装置,用于通过在存储于归属用户服务器HSS中的用户安全设置中提供附加字段,来本地配置引导服务器功能BSF中的密钥使用。
18.一种提供用于网络应用服务器的通用机制的设备,该设备包括:
用于接收来自于用户设备的请求以向网络应用功能提供认证信息的装置;
用于通过扩展用户安全设置的3GPP标准来确定通用认证架构的密钥以整合额外的网络应用服务器的装置;以及
用于向所述网络应用功能提供所述认证信息的装置。
19.根据权利要求18所述的设备,还包括:
用于在所述用户安全设置中提供与用户设备中的智能卡或者安全环境的类型相关的数据的装置;以及
用于提供标记字段的装置,所述标记字段指示带有基于集成电路的增强的通用引导架构GBA_U是否启用通用用户身份模块、用户身份模块、安全环境或IMS SIM卡。
20.根据权利要求18所述的设备,还包括:
用于在所述用户安全设置中提供第一和第二标记字段的装置,所述第一和第二标记字段在规范的授权报头中传输,其中在所述第一标记字段中,使用基于集成电路增强的通用引导架构GBA_U中的第一衍生密钥Ks_int_NAF,并且在所述第二标记字段中,使用第二衍生密钥Ks_ext_NAF或者第三衍生密钥Ks_NAF。
21.根据权利要求18所述的设备,其中所述确定装置进一步被配置用于确定至少一项以下内容:
在网络应用功能建立期间,将密钥使用直接本地配置到网络应用功能中,
在引导服务器功能中本地配置密钥使用,
在存储于归属用户服务器中的用户安全设置中提供传输到引导服务器功能的附加字段,以及
使用指示密钥使用的存储在引导服务器功能中的属性-值-对。
22.根据权利要求21所述的设备,还包括:
用于使用属性-值-对以指示正在使用的衍生密钥的类型或者启用的智能卡或者安全环境的类型的装置,其中所述衍生密钥类型包括Ks_int_NAF、Ks_ext_NAF或Ks_NAF,并且所述智能卡或者安全环境包括GBA_U。
23.根据权利要求22所述的设备,其中当所述属性-值-对指示Ks_int_NAF的使用时,还包括:
用于通过所述网络应用功能要求使用Ks_int_NAF而非具有较低安全级别的密钥的装置。
24.根据权利要求19所述的设备,其中,当网络服务器处于智能卡或者安全环境中时,所述设备还包括:
用于分配通用移动电信系统UMTS集成电路卡UICC中的网络应用的装置,其中UICC是网络应用功能,并且使用衍生密钥Ks_int_NAF以保证网络服务实体之间通信的安全。
25.根据权利要求24所述的设备,其中分配网络应用的所述分配装置包括Java应用、XML应用、C++应用、Perl应用或者VisualBasic应用。
26.根据权利要求18所述的设备,还包括:
用于通过在存储于归属用户服务器HSS中的用户安全设置中提供的附加字段来本地配置引导服务器功能BSF中的密钥使用的装置。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US66987305P | 2005-04-11 | 2005-04-11 | |
| US60/669,873 | 2005-04-11 | ||
| US11/184,931 | 2005-07-20 | ||
| US11/184,931 US8046824B2 (en) | 2005-04-11 | 2005-07-20 | Generic key-decision mechanism for GAA |
| PCT/IB2006/000790 WO2006109122A1 (en) | 2005-04-11 | 2006-04-04 | Generic key-decision mechanism for gaa |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101156411A CN101156411A (zh) | 2008-04-02 |
| CN101156411B true CN101156411B (zh) | 2013-01-09 |
Family
ID=37084545
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800115973A Active CN101156411B (zh) | 2005-04-11 | 2006-04-04 | 提供用于gaa的通用机制的设备和方法 |
Country Status (10)
| Country | Link |
|---|---|
| US (2) | US8046824B2 (zh) |
| EP (1) | EP1875713B1 (zh) |
| JP (2) | JP2008538471A (zh) |
| KR (1) | KR100959315B1 (zh) |
| CN (1) | CN101156411B (zh) |
| BR (1) | BRPI0610400B1 (zh) |
| MX (1) | MX2007012043A (zh) |
| PL (1) | PL1875713T3 (zh) |
| WO (1) | WO2006109122A1 (zh) |
| ZA (1) | ZA200709618B (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2098038B1 (en) * | 2006-12-28 | 2017-06-21 | Telefonaktiebolaget LM Ericsson (publ) | Method and arrangement for integration of different authentication infrastructures |
| FI122163B (fi) * | 2007-11-27 | 2011-09-15 | Teliasonera Ab | Verkkopääsyautentikointi |
| WO2009145443A2 (en) * | 2008-03-31 | 2009-12-03 | Samsung Electronics Co., Ltd. | Method and system for registering a smartcard terminal with a broadcast server |
| US8527759B2 (en) * | 2008-05-23 | 2013-09-03 | Telefonaktiebolaget L M Ericsson (Publ) | IMS user equipment, control method thereof, host device, and control method thereof |
| KR100950458B1 (ko) * | 2008-07-24 | 2010-04-02 | 주식회사 드리머아이 | 메모리 카드 기반의 모바일 방송 수신 제한 시스템 |
| EP2182696A1 (fr) * | 2008-10-31 | 2010-05-05 | Gemalto SA | Procédé d'établissement d'une liaison entre les applications d'une carte d'authentification d'un abonné et un réseau IMS |
| CN102111759A (zh) * | 2009-12-28 | 2011-06-29 | 中国移动通信集团公司 | 一种认证方法、系统和装置 |
| CN102223347B (zh) * | 2010-04-13 | 2015-01-28 | 中兴通讯股份有限公司 | 下一代网络中多接入认证方法及系统 |
| CA2830283C (en) | 2011-03-25 | 2016-11-01 | Certicom Corp. | Interrogating an authentication device |
| US8346287B2 (en) * | 2011-03-31 | 2013-01-01 | Verizon Patent And Licensing Inc. | Provisioning mobile terminals with a trusted key for generic bootstrap architecture |
| CA2832348C (en) | 2011-05-06 | 2018-07-24 | Certicom Corp. | Managing data for authentication devices |
| US8713314B2 (en) * | 2011-08-30 | 2014-04-29 | Comcast Cable Communications, Llc | Reoccuring keying system |
| US9727720B2 (en) | 2012-11-30 | 2017-08-08 | Certicom Corp. | Challenge-response authentication using a masked response value |
| US9369290B2 (en) * | 2012-11-30 | 2016-06-14 | Certicom Corp. | Challenge-response authentication using a masked response value |
| EP2785011A1 (en) * | 2013-03-27 | 2014-10-01 | Gemalto SA | Method to establish a secure voice communication using generic bootstrapping architecture |
| CN104992212B (zh) * | 2015-07-24 | 2017-10-03 | 大连大学 | 旅游智能卡系统 |
| US10868803B2 (en) | 2017-01-13 | 2020-12-15 | Parallel Wireless, Inc. | Multi-stage secure network element certificate provisioning in a distributed mobile access network |
| US11190510B2 (en) * | 2017-11-15 | 2021-11-30 | Parallel Wireless, Inc. | Two-factor authentication in a cellular radio access network |
| US11580240B2 (en) * | 2020-03-24 | 2023-02-14 | Kyndryl, Inc. | Protecting sensitive data |
| CN115378745B (zh) * | 2022-10-26 | 2023-02-21 | 中国铁塔股份有限公司 | 通信认证方法、系统、装置、电子设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1111873A2 (en) * | 1999-12-23 | 2001-06-27 | Nortel Networks Limited | Method and apparatus for public key management |
| CN1559028A (zh) * | 2001-09-24 | 2004-12-29 | Ħ��������˾ | 用于保证移动交易安全的方法和设备 |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7756892B2 (en) * | 2000-05-02 | 2010-07-13 | Digimarc Corporation | Using embedded data with file sharing |
| WO2000002171A1 (fr) * | 1998-07-02 | 2000-01-13 | Sharp Kabushiki Kaisha | Dispositif de gestion du droit d'auteur, dispositif de vente de produits electroniques, dispositif d'affichage de livres electroniques, dispositif de gestion d'informations codees, et systeme de gestion de la distribution de produits electroniques, dans lequel ces dispositifs sont relies par des lignes de communication |
| US6338140B1 (en) * | 1998-07-27 | 2002-01-08 | Iridium Llc | Method and system for validating subscriber identities in a communications network |
| US7088823B2 (en) * | 2002-01-09 | 2006-08-08 | International Business Machines Corporation | System and method for secure distribution and evaluation of compressed digital information |
| US7221935B2 (en) * | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| US7395083B2 (en) * | 2003-10-30 | 2008-07-01 | Research In Motion Limited | Methods and apparatus for the communication of cellular network information between a wireless local area network and a mobile station |
| GB0326265D0 (en) * | 2003-11-11 | 2003-12-17 | Nokia Corp | Shared secret usage for bootstrapping |
| WO2005076564A1 (en) * | 2004-02-06 | 2005-08-18 | Telecom Italia S.P.A. | Method and system for the secure and transparent provision of mobile ip services in an aaa environment |
| CN1930818A (zh) | 2004-03-11 | 2007-03-14 | 皇家飞利浦电子股份有限公司 | 改进的域管理器和域设备 |
| CN1265676C (zh) * | 2004-04-02 | 2006-07-19 | 华为技术有限公司 | 一种实现漫游用户使用拜访网络内业务的方法 |
| GB0409496D0 (en) | 2004-04-28 | 2004-06-02 | Nokia Corp | Subscriber identities |
| GB0409704D0 (en) * | 2004-04-30 | 2004-06-02 | Nokia Corp | A method for verifying a first identity and a second identity of an entity |
| WO2005109938A1 (en) * | 2004-05-12 | 2005-11-17 | Telefonaktiebolaget L M Ericsson (Publ) | Authentication system |
| US7181011B2 (en) * | 2004-05-24 | 2007-02-20 | Magiq Technologies, Inc. | Key bank systems and methods for QKD |
| JP4559794B2 (ja) * | 2004-06-24 | 2010-10-13 | 株式会社東芝 | マイクロプロセッサ |
| US20060020791A1 (en) * | 2004-07-22 | 2006-01-26 | Pekka Laitinen | Entity for use in a generic authentication architecture |
| US8260259B2 (en) * | 2004-09-08 | 2012-09-04 | Qualcomm Incorporated | Mutual authentication with modified message authentication code |
| FI20041447A0 (fi) | 2004-11-09 | 2004-11-09 | Nokia Corp | Avainderivointitoiminnon määrittäminen |
| JP4908750B2 (ja) * | 2004-11-25 | 2012-04-04 | ローム株式会社 | 半導体装置 |
| US8543814B2 (en) * | 2005-01-12 | 2013-09-24 | Rpx Corporation | Method and apparatus for using generic authentication architecture procedures in personal computers |
| WO2006082533A1 (en) * | 2005-02-03 | 2006-08-10 | Nokia Corporation | Authentication using gaa functionality for unidirectional network connections |
| DK1854263T3 (da) * | 2005-02-04 | 2011-09-19 | Qualcomm Inc | Sikker bootstrapping til trådløs kommunikation |
| MX2007009705A (es) * | 2005-02-11 | 2007-10-04 | Nokia Corp | Metodo y aparato para proporcionar procedimientos de carga inicial en una red de comunicacion. |
| US7877787B2 (en) * | 2005-02-14 | 2011-01-25 | Nokia Corporation | Method and apparatus for optimal transfer of data in a wireless communications system |
| US20060206710A1 (en) * | 2005-03-11 | 2006-09-14 | Christian Gehrmann | Network assisted terminal to SIM/UICC key establishment |
| FI20050384A0 (fi) * | 2005-04-14 | 2005-04-14 | Nokia Corp | Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä |
| US7558957B2 (en) * | 2005-04-18 | 2009-07-07 | Alcatel-Lucent Usa Inc. | Providing fresh session keys |
-
2005
- 2005-07-20 US US11/184,931 patent/US8046824B2/en active Active
-
2006
- 2006-04-04 PL PL06744475T patent/PL1875713T3/pl unknown
- 2006-04-04 BR BRPI0610400-2A patent/BRPI0610400B1/pt active IP Right Grant
- 2006-04-04 EP EP06744475.2A patent/EP1875713B1/en active Active
- 2006-04-04 WO PCT/IB2006/000790 patent/WO2006109122A1/en not_active Application Discontinuation
- 2006-04-04 KR KR1020077025154A patent/KR100959315B1/ko active IP Right Grant
- 2006-04-04 MX MX2007012043A patent/MX2007012043A/es active IP Right Grant
- 2006-04-04 CN CN2006800115973A patent/CN101156411B/zh active Active
- 2006-04-04 JP JP2008505973A patent/JP2008538471A/ja active Pending
-
2007
- 2007-11-08 ZA ZA2007/09618A patent/ZA200709618B/en unknown
-
2011
- 2011-09-05 JP JP2011192257A patent/JP2012034381A/ja active Pending
- 2011-09-21 US US13/239,246 patent/US8990897B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1111873A2 (en) * | 1999-12-23 | 2001-06-27 | Nortel Networks Limited | Method and apparatus for public key management |
| CN1559028A (zh) * | 2001-09-24 | 2004-12-29 | Ħ��������˾ | 用于保证移动交易安全的方法和设备 |
Non-Patent Citations (3)
| Title |
|---|
| 3rd Generation Partnership Project.3GPP TS 33.220 V6.3.0 Generic Authentication Architecture(GAA) |
| 3rd Generation Partnership Project.3GPP TS 33.220 V6.3.0 Generic Authentication Architecture(GAA) Generic bootstrapping architecture(Release 6).http://www.3gpp.org/FTP/Specs/html-info/33220.htm.2004, * |
| Generic bootstrapping architecture(Release 6).http://www.3gpp.org/FTP/Specs/html-info/33220.htm.2004, |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1875713A1 (en) | 2008-01-09 |
| BRPI0610400A2 (pt) | 2010-06-22 |
| US8046824B2 (en) | 2011-10-25 |
| KR100959315B1 (ko) | 2010-05-20 |
| PL1875713T3 (pl) | 2014-08-29 |
| US20120011574A1 (en) | 2012-01-12 |
| ZA200709618B (en) | 2008-11-26 |
| JP2008538471A (ja) | 2008-10-23 |
| EP1875713B1 (en) | 2014-03-26 |
| WO2006109122A1 (en) | 2006-10-19 |
| US20060230436A1 (en) | 2006-10-12 |
| BRPI0610400B1 (pt) | 2019-05-07 |
| MX2007012043A (es) | 2007-12-05 |
| CN101156411A (zh) | 2008-04-02 |
| KR20070116679A (ko) | 2007-12-10 |
| BRPI0610400A8 (pt) | 2016-04-05 |
| EP1875713A4 (en) | 2010-08-18 |
| JP2012034381A (ja) | 2012-02-16 |
| US8990897B2 (en) | 2015-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101156411B (zh) | 提供用于gaa的通用机制的设备和方法 | |
| US9332575B2 (en) | Method and apparatus for enabling connectivity in a communication network | |
| EP2544478B1 (en) | Allocating a mobile identity to a mobile device and sending thereof to an authorisation server | |
| US8407769B2 (en) | Methods and apparatus for wireless device registration | |
| CN110447251A (zh) | 一种用于将现有订阅简档从移动网络运营商传输到安全元件的方法、相应的服务器和安全元件 | |
| CN102379114B (zh) | 基于ims的多媒体广播和多播服务(mbms)中的安全密钥管理 | |
| US20060101270A1 (en) | Determining a key derivation function | |
| US20090253409A1 (en) | Method of Authenticating Home Operator for Over-the-Air Provisioning of a Wireless Device | |
| WO2021118610A1 (en) | Secure privacy provisioning in 5g networks | |
| US8509737B2 (en) | Security module and method of controlling usability of application modules | |
| CN108418837B (zh) | 移动数据通信设备及操作方法、移动通信系统和存储介质 | |
| US9241232B2 (en) | Method and apparatus for machine communication | |
| US9426721B2 (en) | Temporary access to wireless networks | |
| US20130275556A1 (en) | Remote provisioning of a downloadable identity module into one of several trusted environments | |
| CN1885768B (zh) | 一种环球网认证方法 | |
| EP2961208A1 (en) | Method for accessing a service and corresponding application server, device and system | |
| US20200267141A1 (en) | Method for obtaining a profile for access to a communication network by a secondary terminal via a main terminal | |
| KR100915043B1 (ko) | 이동 무선 네트워크, 상기 네트워크에서 단말기 장치를동작시키기 위한 방법, 및 상기 단말기 장치를 식별하는파라미터들을 저장하기 위해 통합된 전자 회로 설비들을구비하는 단말기 장치 | |
| KR101719295B1 (ko) | 메시징 서비스 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160111 Address after: Espoo, Finland Patentee after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Patentee before: Nokia Oyj |