CN101170811A - 通用引导体系中安全等级的协商方法 - Google Patents
通用引导体系中安全等级的协商方法 Download PDFInfo
- Publication number
- CN101170811A CN101170811A CNA2006101500185A CN200610150018A CN101170811A CN 101170811 A CN101170811 A CN 101170811A CN A2006101500185 A CNA2006101500185 A CN A2006101500185A CN 200610150018 A CN200610150018 A CN 200610150018A CN 101170811 A CN101170811 A CN 101170811A
- Authority
- CN
- China
- Prior art keywords
- subscriber equipment
- network application
- algorithm
- guide system
- security algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种通用引导体系中安全等级的协商方法,为提高通用引导体系的灵活性及适用范围从而实现对通信的保护而发明。包括:(1)用户设备进行安全等级设置,并向网络应用功能发送访问请求;(2)网络应用功能收到用户设备的访问请求后,返回包含有网络应用功能所支持的算法列表的通用引导体系协商触发报文;(3)用户设备根据收到的通用引导体系协商报文,选择安全算法。本发明使得UE与NAF可以在原有的GBA流程中通过增加传递参数,很好的进行安全能力的协商,使双方达成一致,从而提高了GBA的灵活性和适用范围;另外,因为引入了用户侧安全等级的概念和使用方法,用户可方便的进行安全功能的配置,真正实现对通信的保护。
Description
技术领域
本发明涉及无线通信领域中的安全技术,尤其涉及宽带码分多址接入(WCDMA:Wideband Code Division Multiple Access)系统通用引导体系(GBA:Generic BootstrappingArchitecture)中的安全等级的协商方法。
背景技术
WCDMA标准由第三代合作伙伴计划组织(3rd Generation Partnership Project-3GPP)制订,已有R99、R4、R5三个版本完成定稿,现阶段正在进行R6版本的制订工作。考虑到大多数移动终端设备与应用服务器在通信之前需要进行互认证,因此在R6版本中提出了通用认证框架(Generic Authentication Architecture)的概念,为终端和基于IP协议的应用提供统一的认证机制,取代以往的一种应用一种认证方案的方法。GBA是GAA中基于预共享密钥的认证方案。
图1中列出了GBA参考模型的网络实体及它们之间的接口。其中UE(User Equipment)是用户设备,它需要访问网络应用功能(NAF:Network Application Function)上的某种应用,但该应用需要使用密钥进行保护。而密钥由UE和引导服务器功能(BSF:Bootstrapping ServerFunction)通过RFC2617″HTTP Authentication:Basic and Digest Access Authentication″所描述的HTTP Digest AKA协议协商获得,同时UE与BSF也完成了终端与网络的实体认证。归属用户服务器(HSS:Home Subscriber Server)上保存了核心网与用户设备间预先共享的密钥以及其他有关用户的所有信息,它在协商中为BSF提供这些必要的数据。协商完成后,NAF会向BSF请求密钥,BSF这时利用它们之间的安全隧道将密钥传递给NAF。后续的UE与NAF间的通信将使用该密钥进行保护。
GBA规范设计的目的是为UE和NAF提供一种通用的互认证方法,并且协商出一个共享的密钥。这个密钥的使用主要有三种方法,但不限于这些方法:
(A)直接保护UE和NAF之间的应用通讯;
(B)用于传递其它密钥,例如广播多播服务器向用户设备传递保护业务中使用的密钥,参见3GPP安全规范33.246;
(C)用于NAF与UE间的身份认证,例如当用户使用HTTPS接入NAF时,可用于NAF和UE间的实体认证,参见3GPP安全规范33.222。
但是目前的GBA规范没有考虑UE与NAF间安全能力(这里的安全能力指所支持的认证算法,加密算法,加密算法的模式等)是否能匹配的问题,也没有定义协商的流程。当然,GBA规范是为了提出一种通用的认证方式。但如果UE和NAF的安全能力不同,则对于上面所提到的密钥的前两种使用方法都是有影响的。也就是说双方必须使用预先定义好的算法,这样一来,灵活性就降低了。或者因为使用的安全算法不同,造成应用无法正常进行,从而前面所执行的GBA流程变得毫无意义。另外,不同国家对于加密算法的使用的要求也不同,在用户漫游情况,特别是如果NAF位于与UE归属环境不同的国家,通常都是需要与UE进行安全算法的协商。可以说增加UE和NAF安全能力的协商是非常必要的。
对于普通用户来说,他们对安全的理解并不是非常深刻,对安全功能的设置也不很熟悉,这一点影响了安全功能的正常使用,使得UE虽然具备了不少安全功能,但往往没有被充分利用。因此如果UE上定义了一些安全等级,并确定每个安全等级的功能和主要的适用场合,这样用户就可以通过设定安全等级实现对安全功能的配置。这对于普通用户和高级用户来说都是很方便的。ITU-T第17工作组安全草案“General security policy for secure mobile end-to-enddata communication”中提到将用户的安全功能划分为不同的安全等级,并与所要访问的应用服务器进行等级的协商。GBA规范中用户设备也可以采用这样的思想和方法。
发明内容
为克服现有技术中的缺陷和不足,本发明的目的在于提供一种GBA中安全等级的协商方法,从而提高GBA的灵活性和适用范围。
为达到上述目的,本发明是这样实现的:
通用引导体系中安全等级的协商方法,所述方法包括:
(1)用户设备进行安全等级设置,并向网络应用功能发送访问请求;
(2)网络应用功能收到用户设备的访问请求后,返回包含有网络应用功能所支持的算法列表的通用引导体系协商触发报文;
(3)用户设备根据收到的通用引导体系协商触发报文,选择安全算法。
进一步的,所述步骤(3)后还包括:
(4)网络应用功能在向引导服务器功能请求密钥时,由引导服务器将步骤(3)所确定的安全算法通知给网络应用功能;
(5)用户设备和网络应用功能利用协商出的安全算法和密钥进行通信。
其中,所述步骤(3)具体为:
(31)用户设备将其所设定的安全等级所对应的安全算法与网络应用功能的算法列表进行比较,选择匹配的安全算法;
(32)用户设备与引导服务器功能进行AKA协商的过程中,将选择的安全算法通知给引导服务器功能。
其中,所述步骤(3)具体为:
(3a)用户设备将其安全等级和网络应用功能的安全等级发送给引导服务器功能,由引导服务器功能向归属用户服务器请求用户的用户安全设置值;
(3b)引导服务器功能将用户设备和网络应用功能的安全算法进行比较,选择匹配的算法,并在用户设备与引导服务器功能进行AKA协商的过程中,将选择结果通知用户设备。
其中,所述步骤(3)具体为:
(3A)用户设备与引导服务器功能进行AKA协商;
(3B)用户设备将其安全算法列表发送给网络应用功能;
(3C)网络应用功能根据从引导服务器功能获得的用户设备的用户安全设置值,选择匹配的安全算法,并将匹配的安全算法发送给用户设备;
(3D)用户设备向网络应用功能发送包含有用户设备和网络应用功能的安全算法列表的报文。
与现有技术相比,利用本发明所述的方法,UE与NAF可以在原有的GBA流程中通过增加传递参数,很好的进行安全能力的协商,使双方达成一致,从而提高了GBA的灵活性和适用范围;另一方面,因为引入了用户侧安全等级的概念和使用方法,用户可方便的进行安全功能的配置,真正实现对通信的保护。而且对于运营商,也可根据需要和应用的变化更改安全等级的规定方法,对网络的安全状况进行调整。
附图说明
图1是GBA的参考模型。
图2是安全等级协商流程中算法选择由UE执行的流程图。
图3是安全等级协商流程,算法选择由BSF执行的流程图。
图4是本发明的实施例的流程图。
具体实施方式
下面结合附图对本发明做进一步的详细说明。
图2是安全等级协商流程中算法选择由UE执行的流程图。如图2所示,具体流程如下:
(1)UE进行安全等级设置,并向NAF发送访问请求;
(2)NAF收到UE的访问请求后,返回包含有NAF所支持的算法列表的GBA协商触发报文;
(3)UE根据收到的通用引导体系协商触发报文,将其所设定的安全等级所对应的安全算法与NAF的算法列表进行比较,选择第一个匹配的安全算法;
(4)UE与BSF进行AKA协商的过程中,将选择的安全算法附加在发给BSF的报文中,通知BSF选择的结果;
(5)NAF在向BSF请求密钥时,由BSF将步骤(3)所确定的安全算法通知给NAF;
(6)UE和NAF利用协商出的安全算法和密钥进行通信。
图3是安全等级协商流程,算法选择由BSF执行的流程图。如图3所示,具体流程如下:
(1)UE进行安全等级设置,并向NAF发送访问请求;
(2)NAF收到UE的访问请求后,返回包含由NAF所支持的算法列表的GBA协商触发报文;
(3)UE根据收到的通用引导体系协商触发报文,将其安全等级和NAF的安全等级通过第一个HTTP请求发送给引导服务器功能,由BSF向HSS请求用户的用户安全设置值;
(4)BSF将UE和NAF的安全算法进行比较,选择匹配的算法,并在UE与BSF进行AKA协商的过程中,在协商的报文200OK中将选择结果通知UE;
(5)NAF在向BSF请求密钥时,由BSF将步骤(3)所确定的安全算法通知给NAF;
(6)UE和NAF利用协商出的安全算法和密钥进行通信。
图4是本发明的实施例的流程图。如图4所示,如下:
(1)UE进行安全等级设置,并向NAF发送访问请求;
(2)NAF收到UE的访问请求后,返回包含有NAF所支持的算法列表的GBA协商触发报文;
(3)UE、NAF与BSF进行正常的GBA过程,并且成功;
(4)在进行通信前,UE首先将自己所配置的安全等级,或者安全等级对应的安全算法列表发送给NAF;
(5)如果NAF接收到的是安全等级,它将根据从BSF获得的用户的USS将安全等级转换成对应的安全算法列表,接着与自身所支持的安全算法进行比较,选择出第一个匹配项;
(6)NAF将自身所支持的算法列表回送给UE;
(7)同样UE也选择出与NAF相匹配的安全算法;
(8)UE向NAF发送确认报文,报文中包含了UE的安全等级(或安全算法列表)和NAF的安全算法列表,该报文使用选择出的认证算法和AKA过程中协商出的认证密钥进行完整性保护,防止前面的通信被非法攻击者篡改。
其中,在进行安全等级设置时,运营商将各种用户终端以及应用服务器所支持的安全算法进行组合,定义成若干安全等级,这些等级从高到低,可适用于不同的应用场合;运营商可以推荐用户在那种应用下使用那种等级。
UE上的安全算法也被定义成若干安全等级,定义的方法与运营商的方法相同,但它是运营商所定义的等级表中的一部分。用户可以不关心每个等级的具体值。UE的安全等级信息也可以保存在用户归属网络HSS为每个用户所设定的用户安全设置USS(USS-User SecuritySetting)中。用户根据使用的应用设定所需要的等级,可以是一个固定值,也可以是一个等级范围。
实施例一
假设UE上支持的算法包括,认证算法:MD5和SHA-1;加密算法:3DES和AES。根据运营商的规定,将这些算法组合成4个安全等级,它们是:等级1:AES+SHA-1;等级2:AES+MD5;等级3:3DES+SHA1;等级4:SHA-1;这些等级也可根据需要进行修改。用户不关心等级的具体内容,安全等级1和2适用于电子商务等安全性要求高的应用,等级3适用于安全性一般的场合,如即时消息等,而等级4可用于不需要对数据进行机密性保护的情况。
用户希望使用对安全性要求比较高的电子商务应用,因此将安全等级配置成1和2;这些等级信息以及对应的值也被保存在USS中。
UE请求与NAF进行通信,而NAF希望应用被保护,所以响应一个触发GBA过程的报文,在这个报文中NAF还包含了自己的安全算法列表,它们是加密算法AES和3DES,认证算法SHA-1。
UE将自己的安全等级(1和2)以及NAF的安全算法列表包含在请求中通知BSF,BSF通过向HSS请求USS,得知安全等级对应的算法值,并将两者进行比较,得到的最终结果是AES+SHA1。
BSF将结果携带在200OK中通知UE。而NAF在向BSF请求密钥时,BSF也把算法协商的结果告诉NAF,这时,UE和NAF可以使用相同的安全算法以及密钥进行后续的通信了。
Claims (5)
1.通用引导体系中安全等级的协商方法,其特征在于,所述方法包括:
(1)用户设备进行安全等级设置,并向网络应用功能发送访问请求;
(2)网络应用功能收到用户设备的访问请求后,返回包含有网络应用功能所支持的算法列表的通用引导体系协商触发报文;
(3)用户设备根据收到的通用引导体系协商触发报文,选择安全算法。
2.根据权利要求1所述的通用引导体系中安全等级的协商方法,其特征在于,所述步骤(3)后还包括:
(4)网络应用功能在向引导服务器功能请求密钥时,由引导服务器将步骤(3)所确定的安全算法通知给网络应用功能;
(5)用户设备和网络应用功能利用协商出的安全算法和密钥进行通信。
3.根据权利要求1或2所述的通用引导体系中安全等级的协商方法,其特征在于,所述步骤(3)具体为:
(31)用户设备将其所设定的安全等级所对应的安全算法与网络应用功能的算法列表进行比较,选择匹配的安全算法;
(32)用户设备与引导服务器功能进行AKA协商的过程中,将选择的安全算法通知给引导服务器功能。
4.根据权利要求1或2所述的通用引导体系中安全等级的协商方法,其特征在于,所述步骤(3)具体为:
(3a)用户设备将其安全等级和网络应用功能的安全等级发送给引导服务器功能,由引导服务器功能向归属用户服务器请求用户设备的用户安全设置值,获得用户安全设置值所对应的安全算法;
(3b)引导服务器功能将用户设备和网络应用功能的安全算法进行比较,选择匹配的算法,并在用户设备与引导服务器功能进行AKA协商的过程中,将选择结果通知用户设备。
5.根据权利要求1或2所述的通用引导体系中安全等级的协商方法,其特征在于,所述步骤(3)具体为:
(3A)用户设备与引导服务器功能进行AKA协商;
(3B)用户设备将其安全算法列表发送给网络应用功能;
(3C)网络应用功能根据从引导服务器功能获得的用户设备的用户安全设置值,选择匹配的安全算法,并将匹配的安全算法发送给用户设备;
(3D)用户设备向网络应用功能发送包含有用户设备和网络应用功能的安全算法列表的报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101500185A CN101170811B (zh) | 2006-10-24 | 2006-10-24 | 通用引导体系中安全等级的协商方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101500185A CN101170811B (zh) | 2006-10-24 | 2006-10-24 | 通用引导体系中安全等级的协商方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101170811A true CN101170811A (zh) | 2008-04-30 |
| CN101170811B CN101170811B (zh) | 2010-09-01 |
Family
ID=39391234
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101500185A Expired - Fee Related CN101170811B (zh) | 2006-10-24 | 2006-10-24 | 通用引导体系中安全等级的协商方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101170811B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101854625A (zh) * | 2009-04-03 | 2010-10-06 | 华为技术有限公司 | 安全算法选择处理方法与装置、网络实体及通信系统 |
| CN101953193A (zh) * | 2007-10-31 | 2011-01-19 | 日本电气株式会社 | 用于安全算法的选择的方法和系统 |
| CN102726081A (zh) * | 2010-01-28 | 2012-10-10 | 瑞典爱立信有限公司 | 用于在蜂窝通信系统中管理安全重配置的方法和设备 |
| CN103368983A (zh) * | 2012-03-27 | 2013-10-23 | 中兴通讯股份有限公司 | 安全需求查询方法、反馈方法和装置 |
| CN103685244A (zh) * | 2013-11-28 | 2014-03-26 | 深圳大学 | 一种差异化认证方法及装置 |
| WO2022027673A1 (zh) * | 2020-08-07 | 2022-02-10 | 华为技术有限公司 | 一种通用引导架构中算法协商方法及相关装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7636853B2 (en) * | 2003-01-30 | 2009-12-22 | Microsoft Corporation | Authentication surety and decay system and method |
| CN1773903A (zh) * | 2004-11-08 | 2006-05-17 | 中兴通讯股份有限公司 | 通用安全策略构造方法 |
-
2006
- 2006-10-24 CN CN2006101500185A patent/CN101170811B/zh not_active Expired - Fee Related
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101953193A (zh) * | 2007-10-31 | 2011-01-19 | 日本电气株式会社 | 用于安全算法的选择的方法和系统 |
| US9661498B2 (en) | 2007-10-31 | 2017-05-23 | Lenovo Innovations Limited (Hong Kong) | System and method for selection of security algorithms |
| US8949927B2 (en) | 2007-10-31 | 2015-02-03 | Lenovo Innovations Limited (Hong Kong) | System and method for selection of security algorithms |
| CN101854625B (zh) * | 2009-04-03 | 2014-12-03 | 华为技术有限公司 | 安全算法选择处理方法与装置、网络实体及通信系统 |
| WO2010111964A1 (zh) * | 2009-04-03 | 2010-10-07 | 华为技术有限公司 | 安全算法选择处理方法与装置、网络实体及通信系统 |
| CN101854625A (zh) * | 2009-04-03 | 2010-10-06 | 华为技术有限公司 | 安全算法选择处理方法与装置、网络实体及通信系统 |
| US8898729B2 (en) | 2009-04-03 | 2014-11-25 | Huawei Technologies Co., Ltd. | Method and apparatus for security algorithm selection processing, network entity, and communication system |
| CN102726081A (zh) * | 2010-01-28 | 2012-10-10 | 瑞典爱立信有限公司 | 用于在蜂窝通信系统中管理安全重配置的方法和设备 |
| CN102726081B (zh) * | 2010-01-28 | 2016-01-20 | 瑞典爱立信有限公司 | 用于在蜂窝通信系统中管理安全重配置的方法和设备 |
| CN105471923A (zh) * | 2010-01-28 | 2016-04-06 | 瑞典爱立信有限公司 | 用于在蜂窝通信系统中管理安全重配置的方法和设备 |
| CN105471923B (zh) * | 2010-01-28 | 2019-10-18 | 瑞典爱立信有限公司 | 用于在蜂窝通信系统中管理安全重配置的方法和设备 |
| US10681089B2 (en) | 2010-01-28 | 2020-06-09 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangement for managing security reconfiguration in a cellular communication system |
| CN103368983A (zh) * | 2012-03-27 | 2013-10-23 | 中兴通讯股份有限公司 | 安全需求查询方法、反馈方法和装置 |
| CN103685244A (zh) * | 2013-11-28 | 2014-03-26 | 深圳大学 | 一种差异化认证方法及装置 |
| WO2022027673A1 (zh) * | 2020-08-07 | 2022-02-10 | 华为技术有限公司 | 一种通用引导架构中算法协商方法及相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101170811B (zh) | 2010-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10284555B2 (en) | User equipment credential system | |
| US9768961B2 (en) | Encrypted indentifiers in a wireless communication system | |
| EP1884060B1 (en) | Method for producing key material | |
| CN103596173B (zh) | 无线网络认证方法、客户端及服务端无线网络认证装置 | |
| US8291222B2 (en) | Method for agreeing between at least one first and one second communication subscriber to security key for securing communication link | |
| CN102318386B (zh) | 向网络的基于服务的认证 | |
| EP2912815B1 (en) | Method and apparatus for securing a connection in a communications network | |
| EP2590356A1 (en) | Method, device and system for authenticating gateway, node and server | |
| US8819765B2 (en) | Security policy distribution to communication terminals | |
| CN101170811B (zh) | 通用引导体系中安全等级的协商方法 | |
| CA2736172A1 (en) | Secure negotiation of authentication capabilities | |
| CN105101158A (zh) | Profile切换方法、信号强度检测方法及设备 | |
| CN1921682B (zh) | 增强通用鉴权框架中的密钥协商方法 | |
| CN101123778A (zh) | 网络接入鉴权方法及其usim卡 | |
| EP3883279A1 (en) | Communication method and related product | |
| CN103118363A (zh) | 一种互传秘密信息的方法、系统、终端设备及平台设备 | |
| CN101039181B (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN101132649A (zh) | 一种网络接入鉴权方法及其usim卡 | |
| CN106358195B (zh) | 适用于lte接入层的安全激活优化方法 | |
| CN102546240A (zh) | 网络通信方法、网络通信系统、网络通信装置及其程序 | |
| CN101364909B (zh) | 无卡设备接入个人网络的方法、装置及系统 | |
| EP1343342B1 (en) | Security protection for data communication | |
| CN115988468A (zh) | 基于软件、终端设备、服务器联动的蓝牙传输方法及系统 | |
| CN111107598A (zh) | 一种通讯模组网络运营商自动切换的方法 | |
| CN100486351C (zh) | 用户终端获取bsf为其分配的会话事务标识的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100901 Termination date: 20191024 |