CN102379114A - 基于ims的多媒体广播和多播服务(mbms)中的安全密钥管理 - Google Patents
基于ims的多媒体广播和多播服务(mbms)中的安全密钥管理 Download PDFInfo
- Publication number
- CN102379114A CN102379114A CN2010800158072A CN201080015807A CN102379114A CN 102379114 A CN102379114 A CN 102379114A CN 2010800158072 A CN2010800158072 A CN 2010800158072A CN 201080015807 A CN201080015807 A CN 201080015807A CN 102379114 A CN102379114 A CN 102379114A
- Authority
- CN
- China
- Prior art keywords
- service
- node
- authentication node
- authentication
- communicator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/189—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast in combination with wireless systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/61—Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio
- H04L65/611—Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio for multicast or broadcast
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/14—Backbone network devices
Abstract
用于管理用户设备UE、诸如SCF/NAF的认证节点、以及诸如BM-SC或AS的服务节点之间的共享安全密钥的系统、方法、和节点。SCF/NAF从SCF/NAF管理的FQDN空间中向各BM-SC分配诸如完全合格域名FQDN的不同的SCF/NAF标识符。然后,SCF/NAF将这些分配的FQDN与连接的BM-SC以及与不同的服务本地地关联。该网络在预期服务的服务描述中向UE发送正确的FQDN,并且UE能够使用该FQDN来得出安全密钥。当UE请求预期服务时,SCF/NAF能够将服务标识符与正确FQDN及关联的BM-SC相关联。SCF/NAF使用FQDN从引导服务器获得安全密钥,并且将其发送到关联的BM-SC。因此,UE和关联的BM-SC共享特定安全密钥。
Description
相关申请
本申请要求2009年4月1日提交的美国临时申请No.61/165809的权益。
技术领域
一般来说,本发明涉及通信网络,并且具体来说,涉及用于管理基于IP多媒体子系统(IMS)的多媒体广播/多播服务(MBMS)用户服务中的共享安全密钥的系统、方法和网络节点。
背景技术
在若干第三代合作伙伴项目(3GPP)技术规范中描述与本发明相关的现有规程。它们包括:
-3GPP TS 33.220 v8.5.0 Technical Specification GroupServices and System Aspects(技术规范组服务和系统方面);GenericAuthentication Architecture(GAA);Generic bootstrappingarchitecture(一般鉴权架构(GAA);一般引导架构(GBA))(发布版8);
-3GPP TS 33.222 v8.0.0 Technical Specification GroupServices and System Aspects(技术规范组服务和系统方面);GenericAuthentication Architecture(GAA);Access to networkapplication functions using Hypertext Transfer Protocol overTransport Layer Security(HTTPS)(一般鉴权架构(GAA);使用超文本传输协议在传输层安全性(HTTPS)上接入网络应用功能)(发布版8);
-3GPP TS 33.246 v8.2.0 Technical Specification GroupServices and System Aspects(技术规范组服务和系统方面);3GSecurity;Security of Multimedia Broadcast/Multicast Service(MBMS)(3G安全性;多媒体广播/多播业务(MBMS)的安全性)(发布版8);以及
-3GPP TS 26.237 v8.0.0 Technical Specification GroupServices and System Aspects(技术规范组服务和系统方面);IPMultimedia Subsystem(IMS)based Packet Switched Streaming(PSS)and Multimedia Broadcast/Multicast Service(MBMS)User Service;Protocols(基于IP多媒体子系统(IMS)的分组交换流动(PSS)和多媒体广播/多播业务(MBMS)用户服务;协议)(发布版8)。
图1是来自TS 33.222的高级参考模型,示出使用引导服务的网络应用功能(NAF)。网络实体在3GPP TS 33.220中定义,3GPP TS 33.220规定通用引导架构(GBA),其中移动通信装置(例如,用户设备(UE)11)和引导服务器功能性(BSF)12通过Ub参考点来运行HTTP digest AKA,并且因此建立共享密钥Ks。共享密钥Ks稍后用于得出NAF特定密钥(称作Ks_NAF密钥),以便保密UE与NAF 13之间通过Ua参考点的通信。NAF通过Zn参考点来取回NAF特定密钥。
3GPP TS 33.222条款6规定NAF 13中的认证代理(AP)的使用。AP与TS 33.220中规定的GBA架构兼容。当AP用于这种架构时,AP通过充当NAF来减轻(relieve)应用服务器(AS)的安全任务。
图2是来自TS 33.222的高级参考模型,示出认证代理(AP)15的环境和参考点。TS 33.222假定UE 11与NAF 13中的AP 15之间的使用传输层安全性(TLS)。当HTTPS请求预计送往AP之后的应用服务器(AS)16a-16n时,AP端接TLS隧道17,从BSF 12取回NAF密钥(Ks_NAF),并且执行UE认证。AP作为代理将从UE接收的HTTP请求送往一个或多个AS。当AP将请求从UE转发给AS时,AP可添加订户识别码的断言,供AS使用。
TS 33.222中为NAF密钥的使用定义的规程的问题在于,UE 11和AS 16a-16n没有共享任何密钥资料,即使可能存在会需要这种共享密钥资料的情况。AP 15充当TS 33.222中的NAF 13。因此,NAF密钥(Ks_NAF)按照TS 33.220中规定的密钥推导规则是AP特定的,并且是UE不知道的。
图3是来自TS 26.237的高级参考模型,示出用于密钥共享的当前解决方案。NAF密钥与AS配合使用的上面定义的这个问题也可适用于TS 26.237中定义的网络实体。在这种情况下,服务控制功能(SCF)21充当NAF/AP的修改变体(并且因而标记为SCF/NAF),并且MBMS广播/多播服务中心(BM-SC)22充当AS(并且因而标记为BM-SC/AS)。与图2的AS相似,BM-SC/AS需要与UE 11的共享密钥,以便能够通过单播或广播信道将受保护MIKEY密钥管理消息从BM-SC/AS直接发送到UE。
应当注意,TS 26.237没有提到与TS 33.222的AP 15和AS 16的这种类比。TS 26.237中的设定与TS 33.222中不是精确相同的;例如,不一定使用UE 11与SCF 21之间的TLS隧道。但是,类似问题仍然保持不变。
在TS 26.237中,引入了一种解决方案,其中SCF 21将它自己的NAF密钥(Ks_NAF)发送到BM-SC 22。BM-SC使用Ks_NAF作为MUK(MBMS用户密钥),这用于保护从BM-SC到UE 11的MIKEY密钥管理消息。图3的步骤1-6按照当前GBA规范,而步骤7描述向BM-SC发送Ks_NAF以及订户的被断言识别码。
只要仅一个BM-SC 22连接到SCF 21(并且只要SCF能够假定对BM-SC的足够置信,使得BM-SC不会误用SCF特定NAF密钥),则TS26.237中的当前解决方案正常工作。当两个或更多BM-SC附连到SCF时,则出现问题。这是因为,按照当前解决方案,SCF将它自己的Ks_NAF发送到BM-SC,并且因此SCF会将同一Ks_NAF发送到所有连接的BM-SC。将同一密钥给予若干节点不是良好的安全实践。这会引起同一Ks_NAF密钥在UE 11与所有相关联的BM-SC之间使用的情况。这会揭开诸如BM-SC对UE相互模仿的威胁。
图4是示出在现有基于IMS的MBMS登记过程期间在多种网络实体之间发送的消息的消息流程图。该图基于如下前提:按照3GPP TS33.203向IMS登记和认证了UE 11;UE与服务调度功能(SSF)(未示出)进行了通信并且接收到如3GPP TS 26.237定义的可用服务的列表;UE如3GPP TS 33.220所定义运行了与BSF 12的GBA引导;以及网络接口采用3GPP TS 33.210中定义的网络域安全性(NDS/IP)来保护。
该过程如下,其中仅示出关于安全性过程的相关信息。UE 11经由IP多媒体核心网络(IM CN)子系统32向SCF 21发送SIP INVITE消息31。INVITE消息在请求URI中指示“SCF”,并且该消息在XML文档的SIP消息主体中包含UE希望登记的被请求MBMS用户服务的识别码(userServiceIds)。XML文档与用于TS 33.246中的MBMS登记的相同,并且在TS 26.346中规定。另外,存在携带引导事务标识符(B-TID)的XML文档。携带B-TID的XML文档在3GPP TS 26.237的附录I中定义。
SCF 21从SIP INVITE消息31的报头接收UE 11的IP地址和UE的一个或多个被断言识别码。SCF基于存储的预订信息来执行检查,以便确定是否授权UE访问被请求MBMS用户服务。如果UE经过授权,则该过程继续进行;如果未经授权,则该过程终止。如果不存在对该UE存储的B-TID,或者如果接收的B-TID与对该UE存储的不同,则SCF 21在33和34通过Zn参考点来运行与BSF 12的GBA使用过程,以便取回与UE对应的NAF密钥,如TS 33.220所定义。SCF从NAF密钥得出MBMS用户密钥(MUK),如TS 33.246所定义。
SCF 21向BM-SC 22发送HTTP POST消息35。SCF按如下所述装载HTTP POST消息:
-HTTP版本将为1.1,这在RFC 2616中规定;
-请求URI的基部(base)将包含完整BM-SC密钥管理URI(例如http://bmsc.home1.net:1234);
-请求URI将包含设置成“authorized-register”的URI参数“requesttype”,即,请求URI采取“/keymanagement?requesttype=authorized-register”的形式;
-SCF可对请求URI添加附加URI参数;
-X-3GPP-Asserted-Identity报头,它包括UE的识别码;
-HTTP报头Content-Type将是有效载荷的MIME类型,即,“application/mbms-authorized-register+xml”;
-HTTP有效载荷将包含XML文档,其中包括UE希望登记的MBMS用户服务的一个或多个userServiceIds、UE的IP地址、MBMS用户密钥(MUK)、和MUK的存在期的列表。有效载荷的XML方案在3GPP TS26.237的附录I中规定
-SCF可对HTTP POST请求添加附加HTTP报头。
BM-SC 22接收HTTP POST消息35,检验HTTP POST是有效的,并且提取请求供进一步处理。由于HTTP POST消息来自具有被断言识别码的SCF 21,所以BM-SC不需要认证UE 11,因为UE已经由IMS认证。另外,HTTP POST消息还向BM-SC指示SCF已经授权UE向指示的MBMS用户服务进行登记。
BM-SC存储接收的信息,并且向SCF 21返回HTTP 200OK消息36。BM-SC将按如下所述来装载HTTP 200OK消息:
-HTTP状态行中的HTTP状态码将为200;
-HTTP报头Content-Type将是有效载荷的MIME类型,即,“application/mbms-register-response+xml”;
-HTTP有效载荷将包含XML文档,XML文档包括其中包含各MBMS用户服务的一个状态码的列表。有效载荷的XML方案与用于TS 33.246中的MBMS登记的相同,并且在TS 26.346中规定。
SCF 21接收HTTP 200OK消息36,并把来自HTTP 200OK消息的XML主体包含到SIP 200OK消息37中,并且经由IM CN子系统32向UE 11发送SIP 200OK消息。BM-SC 22这时能够按照TS 33.246中规定的过程开始向指示的MBMS用户服务的UE发送MIKEY MSK消息(采用MUK来保护)38、MTK消息(采用MSK来保护)39、和MBMS数据(采用MTK来保护)40。
这个过程的问题与以上针对图3论述的相同,即,不存在当一个以上BM-SC连接到SCF时提供BM-SC特定NAF密钥的方式。如果SCF 21向所有连接的BM-SC发送同一Ks_NAF,则该同一Ks_NAF密钥会在UE 11与所有相关联BM-SC之间使用。这会揭开诸如BM-SC对UE相互模仿的威胁。
另外,在MIKEY MSK消息38中不存在足够信息向UE 11指示哪一个MUK(即,NAF密钥)用于保护MIKEY MSK消息。在MBMS TS 33.246中,NAF-Id和B-TID用于指示这个方面;但在TS 26.237中,BM-SC 22没有充当NAF,并且因此它没有这种信息。
发明内容
在本发明的一个实施例中,SCF/NAF 21在GBA中如常从BSF 12取回Ks_NAF。然后,不是SCF/NAF向(一个或多个)BM-SC/AS发送它自己的Ks_NAF,而是SCF/NAF从SCF特定Ks_NAF进行进一步密钥推导,以产生BM-SC/AS特定密钥Ks_AS。例如,Ks_AS=KDF(Ks_NAF,nonce),其中,nonce(现时)是由SCF/NAF定义的并且是对相关联BM-SC/AS特定的值。CF/NAF向UE 11指示nonce,UE 11则进行相同Ks_AS推导。SCF/NAF还向UE指示BM-SC/AS的识别码,使得UE能够将得出的Ks_AS密钥与正确BM-SC/AS相关起来。因此,UE和BM-SC/AS共享BM-SC/AS特定密钥。
在一个实施例中,本发明针对一种在通信网络中用于管理通信装置、认证节点、以及向通信装置提供请求服务的选择的服务节点之间的共享安全密钥的方法。该方法包括下列步骤:由认证节点将多个认证节点标识符与多个服务相关联,其中多个认证节点标识符标识认证节点;以及由网络使预期服务的服务描述对通信装置可用,服务描述包括多个认证节点标识符中与预期服务相关联的认证节点标识符,其中认证节点标识符使通信装置能够得出安全密钥。该方法还包括由认证节点向网络中的各服务节点分配多个认证节点标识符中的不同认证节点标识符;并且由认证节点将分配的认证节点标识符与连接的服务节点相关联。在从通信装置接收到预期服务的请求时,认证节点利用与预期服务关联的分配的认证节点标识符来获得与分配的认证节点标识符关联的连接的服务节点的安全密钥,并且将安全密钥从认证节点发送到关联的服务节点。因此,当关联的服务节点向通信装置发送采用安全密钥保护的密钥管理消息时,通信装置使用安全密钥对该消息进行解密和检验。
在另一个实施例中,本发明针对一种在通信网络中用于管理通信装置、认证节点、以及向通信装置提供请求服务的选择的服务节点之间的共享安全密钥的方法。该方法包括下列步骤:由网络使至少一个服务的服务描述对通信装置可用,服务描述包括认证节点的至少一个标识符,其中各认证节点标识符与不同服务以及与不同服务节点相关联;由通信装置基于已知信息以及在服务描述中接收的认证节点标识符中的选择的一个来得出安全密钥,其中选择的认证节点标识符与预期服务相关联;以及将预期服务的请求从通信装置发送到认证节点,该请求包括事务标识符和预期服务的服务标识符。该方法还包括在认证节点中将服务标识符与认证节点标识符相关联;由认证节点利用认证节点标识符和事务标识符来获得安全密钥;识别与认证节点标识符关联的服务节点;以及将预期服务的请求消息从认证节点发送到识别的服务节点,该请求消息包括服务标识符、事务标识符、安全密钥和通信装置的地址。因此,当识别的服务节点向通信装置发送采用安全密钥保护的密钥管理消息时,通信装置使用安全密钥对该消息进行解密和检验。
在另一个实施例中,本发明针对一种在通信网络中用于管理通信装置以及向通信装置提供服务的服务节点之间的共享安全密钥的认证节点。该认证节点包括运行存储器中存储的计算机程序指令的处理器,该处理器控制认证节点的下列组件:用于将多个认证节点标识符与多个服务相关联的部件,其中多个认证节点标识符标识认证节点;用于向网络中的各服务节点分配多个认证节点标识符中的不同认证节点标识符的部件;用于将分配的认证节点标识符与连接的服务节点相关联的表;响应从通信装置接收到预期服务的请求而利用与预期服务关联的分配的认证节点标识符来获得与分配的认证节点标识符关联的连接的服务节点的安全密钥的部件;以及用于将安全密钥从认证节点发送到关联的服务节点的通信部件。网络使预期服务的服务描述对通信装置可用。服务描述包括多个认证节点标识符中与预期服务关联的认证节点标识符,并且通信装置利用认证节点标识符来得出安全密钥。因此,当关联的服务节点向通信装置发送采用安全密钥保护的密钥管理消息时,通信装置使用安全密钥对该消息进行解密和检验。
在另一个实施例中,本发明针对一种在通信网络中用于利用共享安全密钥向通信装置提供用户服务的服务节点。该服务节点包括运行存储器中存储的计算机程序指令的处理器。该处理器控制服务节点的下列组件:用于从认证节点获得认证节点标识符、通信装置的IP地址、事务标识符和共享安全密钥的通信部件,其中事务标识符标识其中通信装置已经请求服务节点提供的用户服务的事务;以及用于向通信装置发送采用共享安全密钥保护的密钥管理消息的通信部件,密钥管理消息包括认证节点标识符和事务标识符。当通信装置从服务节点接收到密钥管理消息时,通信装置从认证节点标识符和事务标识符来识别共享安全密钥。当认证节点向通信装置提供认证节点标识符时,或者当通信装置接收服务描述中的认证节点标识符时,通信装置利用认证节点标识符来得出共享安全密钥,并且使用共享安全密钥对密钥管理消息进行解密和检验。
在另一个实施例中,本发明针对一种在通信网络中用于管理共享安全密钥的系统。该系统包括:通信装置;与通信装置进行通信的认证节点;以及与认证节点和通信装置进行通信的服务节点。该认证节点包括:用于将多个认证节点标识符与多个服务相关联的部件,其中多个认证节点标识符标识认证节点;用于向服务节点分配多个认证节点标识符中的选择的认证节点标识符的部件;用于将分配的认证节点标识符与连接的服务节点相关联的表;响应从通信装置接收到预期服务的请求而利用与预期服务关联的分配的认证节点标识符来获得与分配的认证节点标识符关联的连接的服务节点的安全密钥的部件;以及用于向服务节点发送认证节点标识符、通信装置的IP地址、事务标识符和共享安全密钥的通信部件,其中事务标识符标识其中通信装置已经请求服务节点提供的用户服务的事务。该服务节点包括用于向通信装置发送采用共享安全密钥保护的密钥管理消息的通信部件,密钥管理消息包括认证节点标识符和事务标识符。移动通信装置包括:用于从认证节点标识符和事务标识符来识别共享安全密钥的部件;用于接收或者来自认证节点的或者在从网络获得的服务描述中的认证节点标识符的通信部件;用于利用认证节点标识符来得出共享安全密钥的部件;以及用于使用共享安全密钥对密钥管理消息进行解密和检验的部件。
在基于IMS的MBMS和PSS用户服务中的密钥分发的一特定示范实施例中,本发明有利地提供一种更安全的系统,其中UE与多个BM-SC的每个共享不同(特定)的密钥,而不是与所有涉及的BM-SC共享同一密钥。在用于获得认证代理(AP)情况的AS特定密钥的相关实施例中,本发明有利地提供一种实现UE与应用服务器(AS)之间的共享秘密的方式。这使得能够对具有AP的情况开发新种类的应用。本发明提供一种更安全的系统,其中UE与各AS共享不同(特定)的密钥,而不是与所有涉及的AS共享同一密钥。
附图说明
图1是取自TS 33.222的高级参考模型,示出使用引导服务的网络应用功能(NAF);
图2是取自TS 33.222的高级参考模型,示出认证代理(AP)的环境和参考点;
图3是取自TS 26.237的高级参考模型,示出用于密钥共享的当前解决方案;
图4是示出在现有基于IMS的MBMS登记过程期间在多种网络实体之间发送的消息的消息流程图;
图5A-5B是示出在服务描述中向UE指示NAF-Id(SCF分配的FQDN)时在发明的基于IMS的MBMS登记过程的第一实施例期间在多种网络实体之间发送的消息的消息流程图的部分;
图6A-6B是示出在SIP 200OK消息中向UE指示NAF-Id(SCF分配的FQDN)时在发明的基于IMS的MBMS登记过程的第二实施例期间在多种网络实体之间发送的消息的消息流程图的部分;
图7是示出用于基于IMS的MBMS和PSS用户服务中的密钥分发的发明系统和方法的一实施例的高级参考模型;
图8是示出用于获得认证代理(AP)情况的AS特定密钥的发明系统和方法的一实施例的高级参考模型;以及
图9是本发明系统的一示范实施例的简化框图。
具体实施方式
存在能够向UE指示将要在密钥推导中使用的NAF-Id的两种方式:
A)可在服务描述中向UE指示NAF-Id(SCF分配的FQDN)。基于UE选择哪一个服务,UE则将使用对应NAF-Id。这与MBMS TS 33.246中的当前过程相似,但是指示了BM-SC FQDN。
B)SCF可在SIP INVITE过程中向UE指示NAF-Id(SCF分配的FQDN),因为UE在SIP INVITE过程结束之前不需要使用NAF-Id。这个备选方案的优点在于,SCF能够在服务请求被接收时向用户动态分配BM-SC。这例如在负荷平衡中可能是有益的。
图5A-5B是示出在服务描述中向UE 11指示NAF-Id(SCF分配的FQDN)时(即,上述备选方案A)在发明的基于IMS的MBMS登记过程期间在多种网络实体之间发送的消息的消息流程图的部分。该图基于如下前提:按照3GPP TS 33.203向IMS登记和认证了UE;SIP过程由3GPP TS 33.203中定义的IMS安全性来保护;UE如3GPP TS 33.220中定义的那样运行了与BSF 12的GBA引导;以及网络接口采用3GPP TS33.210定义的网络域安全性(NDS/IP)来保护。
另外,SCF 21已经创建到一个或多个BM-SC 22a、22b的连接,BM-SC 22a、22b向UE提供实际MBMS用户服务。与TS 33.246中定义的、其中BM-SC充当NAF的MBMS安全性不同,SCF代表BM-SC(一个或多个)来充当NAF。BSF 12使用NAF-Id(它包括NAF的FQDN和Ua安全协议标识符)作为对NAF密钥推导的输入。为了从BSF得到BM-SC特定NAF密钥,SCF为各BM-SC分配分离的FQDN(从它管理的FQDN空间)。SCF例如在表中将这些分配的FQDN本地地关联到连接的BM-SC。
由于两种原因而需要这些分配的分离的FQDN。首先,SCF 21不能使用同一(例如,它自己的)FQDN,因为两个BM-SC则会得到同一NAF密钥,这可能危及系统的安全性。其次,SCF不能使用BM-SC的FQDN,因为BSF 12将进行检查以确定NAF是否有权使用NAF提供的NAF-Id。作为一个示例,SCF可按如下方式为BM-SC_1 22a和BM-SC_2 22b分配NAF-Id:
NAF-Id_1(FQDN)<=>BM-SC1(FQDN)
NAF-Id_2(FQDN)<=>BM-SC2(FQDN)
其中,例如,NAF-Id_1可以是server1.scf.operatorA.com,而BM-SC1可以是bmsc123.operatorB.com。
参照图5A,在GBA引导过程42之后,执行服务描述检索过程43。UE 11与SSF 41进行通信,并且检索服务描述44,即,可用服务及其参数(例如,服务保护描述)的列表。服务保护描述与TS 33.246中定义的相似,除了包含SCF分配的FQDN而不是BM-SC FQDN之外。假定在这里还需要SCF 21的FQDN,使得UE知道将SIP INVITE消息47发送到什么位置。
在45,用户从服务描述来选择服务,并且得出与服务描述中对选择的服务指示的NAF-Id对应的NAF密钥。备选地,NAF密钥推导可在SIP INVITE过程46之后执行。
UE 11经由IM CN子系统32向SCF 21发送SIP INVITE消息47。INVITE消息在请求URI中指示SCF,并且该消息在XML文档的SIP消息主体中包含UE希望登记的被请求MBMS用户服务的识别码(userServiceIds)。XML文档与用于TS 33.246中的MBMS登记的相同,并且在TS 26.346中规定。另外,存在携带引导事务标识符(B-TID)的XML文档。携带B-TID的XML文档在3GPP TS 26.237的附录I中定义。
SCF 21从SIP INVITE消息47的报头接收UE 11的IP地址和UE的被断言识别码(一个或多个)。SCF基于存储的预订信息来执行检查,以便确定是否授权UE访问被请求MBMS用户服务。如果是的话,则该过程继续进行。如果不是的话,则该过程终止。
参照图5B,如果不存在对该UE存储的B-TID,或者如果接收的B-TID与对该UE存储的不同,则SCF通过Zn参考点来运行与BSF 12的GBA使用过程48,以便取回与UE对应的NAF密钥,如TS 33.220定义的。SCF向BSF发送授权请求消息49,并且包括在服务描述中对这个服务指示的NAF-Id。BSF在50使用NAF-Id来得出NAF密钥,并且然后在授权响应消息51中返回NAF密钥。然后,SCF从NAF密钥得出MUK,如TS 33.246定义的。应当注意,新Ua安全协议在3GPP TS33.220中为此需要登记。
然后,在HTTP登记过程52中,SCF 21向BM-SC(在所示情况下,向BM-SC_1 22a)发送HTTP POST消息53。SCF按如下所述装载HTTP POST消息:
-HTTP版本将为1.1,这在RFC 2616中规定;
-请求URI的基部将包含完整BM-SC密钥管理URI(例如http://bmsc.home1.net:1234);
-请求URI将包含设置成“authorized-register”的URI参数“requesttype”,即,请求URI采取“/keymanagement?requesttype=authorized-register”的形式;
-SCF可对请求URI添加附加URI参数;
-X-3GPP-Asserted-Identity报头,它包括UE的识别码;
-HTTP报头Content-Type将是有效载荷的MIME类型,即,“application/mbms-authorized-register+xml”;
-HTTP有效载荷将包含XML文档,其中包括UE希望登记的MBMS用户服务的一个或多个userServiceIds、UE的IP地址、MBMS用户密钥(MUK)以及MUK、NAF-Id、和B-TID的存在期的列表。包含NAF-Id和B-TID,因为它们还包含在从BM-SC到UE的MIKEY消息中以标识使用哪一个MUK(即,NAF密钥)。有效载荷的XML方案在3GPP TS 26.237的附录I中规定。
-SCF可对HTTP POST请求消息添加附加HTTP报头。
BM-SC_1 22a接收HTTP POST消息53,检验HTTP POST消息是有效的,并且提取请求供进一步处理。由于HTTP POST消息来自具有被断言识别码的SCF 21,所以BM-SC_1不需要认证UE 11,因为UE已经由IMS认证。另外,HTTP POST消息还向BM-SC_1指示SCF已经授权UE向指示的MBMS用户服务进行登记。
BM-SC_1存储接收的信息,并且向SCF 21返回HTTP 200OK消息54。BM-SC_1将按如下所述来装载HTTP 200OK消息:
-HTTP状态行中的HTTP状态码将为200;
-HTTP报头Content-Type将是有效载荷的MIME类型,即,“application/mbms-register-response+xml”;
-HTTP有效载荷将包含XML文档,XML文档包括其中包含各MBMS用户服务的一个状态码的列表。有效载荷的XML方案与用于TS 33.246中的MBMS登记的相同,并且在TS 26.346中规定。
SCF 21接收HTTP 200OK消息54,把来自HTTP 200OK消息的XML主体包含到SIP 200OK消息55中,并且经由IM CN子系统32向UE 11发送SIP 200OK消息。在MIKEY MSK过程56中,BM-SC_1 22a这时能够按照TS 33.246中规定的过程开始向指示的MBMS用户服务的UE发送MIKEY MSK消息(采用MUK来保护)57、MTK消息(采用MSK来保护)58和MBMS数据(采用MTK来保护)59。在MIKEY MSK消息57中,BM-SC将使用在HTTP POST消息53中从SCF 21接收的NAF-Id(FQDN)和B-TID。
图6A-6B是示出在SIP 200OK消息中向UE 11指示NAF-Id(SCF分配的FQDN)时(即,上述备选方案B)在发明的基于IMS的MBMS登记过程的一实施例期间在多种网络实体之间发送的消息的消息流程图的部分。如以上对于图5A-5B所述的相同前提适用。
参照图6A,在GBA引导过程42之后,执行服务检索过程43。UE 11与SSF 41进行通信,并且检索服务描述62,即,可用服务及其参数(例如,服务保护描述)的列表。服务保护描述与TS 33.246中定义的相似,除了包含的FQDN指向SCF 21而不是BM-SC FQDN之外。假定在这里还需要SCF 21的FQDN,使得UE知道将SIP INVITE消息47发送到什么位置。然后,用户从服务描述来选择服务。
在SIP INVITE过程63中,UE 11经由IM CN子系统32向SCF 21发送SIP INVITE消息64。INVITE消息在请求URI中指示SCF,并且该消息在XML文档的SIP消息主体中包含UE希望登记的被请求MBMS用户服务的识别码(userServiceIds)。XML文档与用于TS 33.246中的MBMS登记的相同,并且在TS 26.346中规定。另外,存在携带引导事务标识符(B-TID)的XML文档。携带B-TID的XML文档在3GPP TS26.237的附录I中定义。
SCF 21从SIP INVITE消息64的报头接收UE 11的IP地址和UE的被断言识别码(一个或多个)。SCF基于存储的预订信息来执行检查,以便确定是否授权UE访问被请求MBMS用户服务。如果是的话,则该过程继续进行。如果不是的话,则该过程终止。
参照图6B,如果不存在对该UE存储的B-TID,或者如果接收的B-TID与对该UE存储的不同,则SCF通过Zn参考点来运行与BSF 12的GBA使用过程65,以便取回与UE对应的NAF密钥,如TS 33.220定义的。SCF向BSF发送授权请求消息66,并且包括SCF为这个服务已经分配的NAF-Id。BSF在67使用NAF-Id来得出NAF密钥,并且然后在授权响应消息68中返回NAF密钥。然后,SCF从NAF密钥得出MUK,如TS 33.246定义的。应当注意,新Ua安全协议在3GPP TS 33.220中为此需要登记。
然后,在HTTP登记过程69中,SCF 21向BM-SC(在所示情况下,向BM-SC_1 22a)发送HTTP POST消息70。SCF按如下所述装载HTTP POST消息:
-HTTP版本将为1.1,这在RFC 2616中规定;
-请求URI的基部将包含完整BM-SC密钥管理URI(例如http://bmsc.home1.net:1234);
-请求URI将包含设置成“authorized-register”的URI参数“requesttype”,即,请求URI采取“/keymanagement?requesttype=authorized-register”的形式;
-SCF可对请求URI添加附加URI参数;
-X-3GPP-Asserted-Identity报头,它包括UE的识别码;
-HTTP报头Content-Type将是有效载荷的MIME类型,即,“application/mbms-authorized-register+xml”;
-HTTP有效载荷将包含XML文档,其中包括UE希望登记的MBMS用户服务的一个或多个userServiceIds、UE的IP地址、MBMS用户密钥(MUK)以及MUK、NAF-Id和B-TID的存在期的列表。包含NAF-Id和B-TID,因为它们还包含在从BM-SC到UE的MIKEY消息中以标识使用哪一个MUK(即,NAF密钥)。有效载荷的XML方案在3GPP TS 26.237的附录I中规定。
-SCF可对HTTP POST请求消息添加附加HTTP报头。
BM-SC_1 22a接收HTTP POST消息70,检验HTTP POST消息是有效的,并且提取请求供进一步处理。由于HTTP POST消息来自具有被断言识别码的SCF 21,所以BM-SC_1不需要认证UE 11,因为UE已经由IMS认证。另外,HTTP POST消息还向BM-SC_1指示SCF已经授权UE向指示的MBMS用户服务进行登记。
BM-SC_1存储接收的信息,并且向SCF 21返回HTTP 200OK消息71。BM-SC_1将按如下所述来装载HTTP 200OK消息:
-HTTP状态行中的HTTP状态码将为200;
-HTTP报头Content-Type将是有效载荷的MIME类型,即,“application/mbms-register-response+xml”;
-HTTP有效载荷将包含XML文档,XML文档包括其中包含各MBMS用户服务的一个状态码的列表。有效载荷的XML方案与用于TS 33.246中的MBMS登记的相同,并且在TS 26.346中规定。
SCF 21接收HTTP 200OK消息71,把来自HTTP 200OK消息的XML主体以及使用的NAF-Id包含到SIP 200OK消息72中,并且经由IM CN子系统32向UE 11发送SIP 200OK消息。当UE接收SIP 200OK消息时,UE在73使用接收的NAF-Id来得出与服务对应的NAF密钥,并且得出MUK,如TS 33.246中定义。
在MIKEY MSK过程74中,BM-SC_1 22a这时能够按照TS 33.246中规定的过程开始向指示的MBMS用户服务的UE发送MIKEY MSK消息(采用MUK来保护)75、MTK消息(采用MSK来保护)76和MBMS数据(采用MTK来保护)77。在MIKEY MSK消息75中,BM-SC将使用在HTTP POST消息70中从SCF 21接收的NAF-Id(FQDN)和B-TID。
图7是示出用于基于IMS的MBMS和PSS用户服务中的密钥分发的发明系统和方法的第一实施例的高级参考模型。在步骤1,UE 11和BSF 12运行GBA引导过程,如TS 33.220中定义。结果是密钥Ks和B-TID。在步骤2,UE得出NAF特定密钥材料(Ks_NAF),如TS 33.220中定义。在步骤3,UE通过向SCF 21(它充当NAF)发送SIP INVITE消息(包含B-TID),来发起会话初始协议(SIP)会话。在步骤4,SCF使用B-TID从BSF请求Ks_NAF。在步骤5,BSF得出NAF特定密钥材料(Ks_NAF),如TS 33.220中定义。在步骤6,BSF向SCF发送Ks_NAF。
在新步骤6b,SCF 21确定哪一个BS-SC应当接收该请求。这个信息可从UE的请求获得,或者SCF可基于其本地策略来进行本地判定。SCF使用密钥推导函数(例如,Ks_AS=KDF(Ks_NAF,nonce))从Ks_NAF和nonce来得出BM-SC特定密钥Ks_AS。nonce可以是例如BM-SC的识别码,例如完全合格域名(FQDN)、由SCF选择的(伪)随机值或者作为nonce可使用的另外某个值。
在步骤7,SCF 21在HTTP请求中向识别的BM-SC 22a发送Ks_AS以及BM-SC的识别码(例如,FQDN)。CR S4-090148中规定的其它信息也可在请求中发送(但Ks_NAF由Ks_AS取代)。应当注意,将BM-SC 22a的B-TID和FQDN发送到BM-SC,使得BM-SC能够将其包含在送往UE 11的MIKEY消息的ID有效载荷中。UE将使用它们来识别正确MUK、即Ks_AS。将FQDN从SCF发送到BM-SC使得有可能令BM-SC通过不同FQDN对UE和SCF是已知的。因此,需要确保BM-SC向UE发送BM-SC从SCF接收到的相同FQDN。
在步骤8,BM-SC 22a存储信息,并且以SIP 200OK消息向SCF 21确认HTTP请求。在步骤9,SCF向UE 11发送SIP 200OK消息。200OK消息包括nonce和BM-SC的识别码。如果FQDN用作nonce,则这两者可以是相同值。在步骤9b,UE使用密钥推导函数(例如,Ks_AS=KDF(Ks_NAF,nonce))从Ks_NAF和nonce来得出BM-SC特定密钥Ks_AS。UE存储密钥Ks_AS连同BM-SC识别码。最后,在步骤10,BM-SC 22a向UE发送采用作为MUK的Ks_AS保护的MIKEY密钥管理消息(参见TS 33.246)。BM-SC把从SCF 21接收的BM_SC FQDN和B-TID包含在MIKEY消息的ID有效载荷中。UE 11则能够使用Ks_AS对消息进行解密和检验。UE使用MIKEY消息的ID有效载荷来识别正确MUK(即,Ks_AS)。
图8是示出用于获得认证代理(AP)情况的AS特定密钥的发明系统和方法的第二实施例的高级参考模型。这个实施例预计针对若干AS16a和16b可驻留在AP 15之后的一般AP-AS情况。TLS隧道可在UE 11与AP 15之间建立,但是该隧道与本发明不相关。
在步骤1,UE 11和BSF 12运行GBA引导过程,如TS 33.220中定义。结果是密钥Ks和B-TID。在步骤2,UE得出NAF特定密钥材料(Ks_NAF),如TS 33.220中定义。在步骤3,UE向AP(它充当NAF)发送HTTP请求(包含B-TID)。在步骤4,AP使用B-TID向BSF请求Ks_NAF。在步骤5,BSF得出NAF特定密钥材料(Ks_NAF),如TS 33.220中定义。在步骤6,BSF向AP发送Ks_NAF。
在新步骤6b,AP 15确定哪一个AS应当接收该请求。这个信息可从UE的请求获得,或者AP可基于其本地策略来进行本地判定。AP使用密钥推导函数(例如,Ks_AS=KDF(Ks_NAF,nonce))从Ks_NAF和nonce来得出AP特定密钥Ks_AS。nonce可以是例如AS的识别码,例如是FQDN、由AP选择的(伪)随机值或者作为nonce可使用的另外某个值。
在步骤7,AP 15在HTTP请求中向识别的AS 16a发送Ks_AS以及AS的识别码(例如FQDN)。应当注意,AP需要向AS发送AS的FQDN,因为AS可通过不同FQDN而对UE 11和AP 15是已知的。UE可使用FQDN来识别正确Ks_AS。因此,需要确保将同一FQDN从AP发送到AS以及从AS发送到UE。
在步骤8,AS 16a存储信息,并且以SIP 200OK消息向AP 15确认HTTP请求。在步骤9,AP向UE 11发送SIP 200OK消息。200OK消息包括nonce和BM-SC的识别码。如果FQDN用作nonce,则这两者可以是相同值。在步骤9b,UE使用密钥推导函数(例如,Ks_AS=KDF(Ks_NAF,nonce))从Ks_NAF和nonce来得出AS特定密钥Ks_AS。然后,UE存储密钥Ks_AS连同AS识别码。最后,在步骤10,AS 16a向UE发送采用Ks_AS保护的消息。UE 11则能够使用Ks_AS对消息进行解密和检验。UE使用AS识别码来识别正确Ks_AS。
图9是本发明系统的一示范实施例的简化框图。该系统包括UE 11、SCF 21、BSF 12和BM-SC_1 22a。这些单元的每个的操作例如可由运行存储器上存储的计算机程序指令的处理器来控制。在图9所示的示范实施例中,UE包括处理器81和存储器82;SCF包括处理器83和存储器84;BSF包括处理器85和存储器86;以及BM-SC_1包括处理器87和存储器88。
UE 11还示为包括Ks_NAF推导单元91。在图6所示的实施例中,UE接收来自SSF 41的服务描述中的NAF-Id(SCF分配的FQDN),并且在开始SIP INVITE过程46之前得出Ks_NAF。在图7所示的实施例中,UE接收SIP 200OK消息72中的NAF-Id,并且然后得出Ks_NAF。
UE 11经由IM CN 32向SCF 21发送SIP INVITE消息。该消息在SIP INVITE通信单元92中接收。SIP INVITE通信单元把来自INVITE消息的userServiceId和B-TID转发给服务-NAF-Id映射单元93,它将userServiceId映射到NAF-Id_1。将NAF-Id_1和B-TID转发给GBA使用通信单元94,GBA使用通信单元94将这些参数转发给BSF 12。BSF中的GBA使用通信单元95接收参数,并且将其转发给Ks_NAF推导单元96,Ks_NAF推导单元96得出Ks_NAF。然后,将Ks_NAF返回给SCF,其中将它转发给HTTP登记通信单元97。
HTTP登记通信单元97向BM-SC_1 22a发送HTTP POST消息,其中它在HTTP登记通信单元98中被接收。HTTP POST消息包括userServiceId、NAF-Id_1、UE IP地址、B-TID、MUK(=Ks_NAF)和MUK存在期。BM-SC_1从服务状态单元99获得各MBMS用户服务的状态,并且在HTTP 200OK消息中将包括各MBMS用户服务码的一个状态码的列表连同userServiceId一起发送到SCF 21。SCF将这个信息转发给UE 11。HTTP登记通信单元98还将信息发送到MIKEY MSK单元101。信息包括MSK-Id_1、NAF-Id_1、B-TID和MUK(=Ks_NAF)。
使用这个信息,使MIKEY MSK单元101能够向UE 11发送MIKEY MSK消息(采用MUK来保护)、MTK消息(采用MSK来保护)和MBMS数据(采用MTK来保护),UE采用Ks_NAF推导单元91得出了MUK(=Ks_NAF)。
因此,本发明解决了当一个以上BM-SC 22连接到SCF 21时提供BM-SC特定NAF密钥的问题。另外,本发明解决了在MIKEY消息中不存在足够信息向UE指示哪一个MUK(即,NAF密钥)用于保护MIKEY MSK消息的问题。SCF 21向BM-SC 22发送B-TID和选择的NAF-Id,BM-SC22在MIKEY消息内部进一步使用它们向UE指示哪一个NAF秘钥被使用。
在图6和图7所示的实施例中,本发明具有不要求NAF密钥的进一步推导的附加优点。NAF密钥的进一步推导要求对GSM和UMTS网络的移动终端中使用的通用集成电路卡(UICC)智能卡的变更。如果基于UICC的密钥管理正在使用中,则在UICC中处理NAF密钥。这在一些情况下可能成问题,因为一般来说,UICC影响在标准化中不是合乎需要的。本发明的这些实施例避免了这个潜在问题。
本发明当然可通过除了本文所述之外的其它特定方式来执行,而没有背离本发明的本质特性。因此,当前实施例在所有方面被认为是说明性而不是限制性的,并且落入所附权利要求的含意和等效范围之内的所有变更预计包含在其中。
Claims (24)
1.一种在通信网络中用于管理通信装置、认证节点、以及向所述通信装置提供请求的服务的选择的服务节点之间的共享安全密钥的方法,所述方法包括下列步骤:
由所述认证节点将多个认证节点标识符与多个服务相关联,其中所述多个认证节点标识符的每个是不同的,但标识所述认证节点;
由所述网络使所述认证节点标识符其中之一对所述通信装置可用,其中所述认证节点标识符与预期服务相关联,并且使所述通信装置能够得出安全密钥;
由所述认证节点向所述网络中的各服务节点分配所述多个认证节点标识符中的不同的一个;
由所述认证节点将所分配的认证节点标识符与连接的服务节点相关联;
在从所述通信装置接收到所述预期服务的请求时,由所述认证节点利用与所述预期服务关联的所述分配的认证节点标识符来获得与所述分配的认证节点标识符关联的连接的服务节点的所述安全密钥;以及
将所述安全密钥从所述认证节点发送到所述关联的服务节点。
2.如权利要求1所述的方法,其中,使所述认证节点标识符其中之一对所述通信装置可用的所述步骤包括:由所述网络使所述预期服务的服务描述对所述通信装置可用,所述服务描述包括与所述预期服务关联的所述认证节点标识符。
3.如权利要求1所述的方法,其中,当所述关联的服务节点向所述通信装置发送采用所述安全密钥保护的密钥管理消息时,所述通信装置使用所述安全密钥对所述消息进行解密和检验。
4.如权利要求1所述的方法,其中,所述通信装置是移动用户设备UE。
5.如权利要求1所述的方法,其中,由所述认证节点利用与所述预期服务关联的所述分配的认证节点标识符来获得所述安全密钥的所述步骤包括下列步骤:
向引导服务器功能性(BSF)发送所述分配的认证节点标识符;以及
请求所述BSF得出并且返回所述安全密钥。
6.如权利要求1所述的方法,其中,由所述认证节点利用与所述预期服务关联的所述分配的认证节点标识符来获得所述安全密钥的所述步骤包括:由所述认证节点利用所述分配的认证节点标识符来得出所述安全密钥。
7.一种在通信网络中用于管理通信装置、认证节点、以及向所述通信装置提供请求的服务的选择的服务节点之间的共享安全密钥的方法,所述方法包括下列步骤:
由所述网络使至少一个服务的服务描述对所述通信装置可用,所述服务描述包括所述认证节点的至少一个标识符,其中各认证节点标识符与不同服务以及与不同服务节点相关联;
由所述通信装置基于已知信息以及在所述服务描述中接收的所述认证节点标识符中选择的一个来得出安全密钥,其中所选择的认证节点标识符与预期服务相关联;
将所述预期服务的请求从所述通信装置发送到所述认证节点,所述请求包括事务标识符以及所述预期服务的服务标识符;
在所述认证节点中将所述服务标识符与认证节点标识符相关联;
由所述认证节点利用所述认证节点标识符和所述事务标识符来获得所述安全密钥;
识别与所述认证节点标识符关联的所述服务节点;以及
将所述预期服务的请求消息从所述认证节点发送到所识别的服务节点,所述请求消息包括所述服务标识符、事务标识符、安全密钥、以及所述通信装置的地址。
8.如权利要求7所述的方法,其中,当所述所识别服务节点向所述通信装置发送采用所述安全密钥保护的密钥管理消息时,所述通信装置使用所述安全密钥对所述消息进行解密和检验。
9.如权利要求7所述的方法,其中,所述选择的服务节点具有多个服务节点标识符,并且当所述选择的服务节点向所述移动通信装置发送所述密钥管理消息时,所述选择的服务节点在所述消息中包含从所述认证节点接收的所述服务节点标识符。
10.一种在通信网络中用于管理通信装置以及向所述通信装置提供服务的服务节点之间的共享安全密钥的认证节点,所述认证节点包括:
运行存储器中存储的计算机程序指令的处理器,所述处理器控制所述认证节点的下列组件:
用于将多个认证节点标识符与多个服务相关联的部件,其中,所述多个认证节点标识符标识所述认证节点;
用于向所述网络中的各服务节点分配所述多个认证节点标识符中不同的一个的部件;
用于将所分配的认证节点标识符与连接的服务节点相关联的表;
响应从所述通信装置接收到预期服务的请求而利用与所述预期服务关联的所述分配的认证节点标识符来获得与所述分配的认证节点标识符关联的连接的服务节点的安全密钥的部件;以及
用于将所述安全密钥从所述认证节点发送到所述关联的服务节点的通信部件;
其中,所述网络使所述认证节点标识符其中之一对所述通信装置可用,其中,所述认证节点标识符与预期服务相关联,并且使所述通信装置能够得出所述安全密钥。
11.如权利要求10所述的认证节点,其中:
所述通信网络是基于因特网协议多媒体子系统IMS的网络;
所述通信装置是用户设备UE;
所述认证节点是具有认证代理AP的网络应用功能NAF;
所述服务节点是应用服务器AS;以及
所请求的服务是多媒体广播/多播服务MBMS用户服务。
12.如权利要求10所述的认证节点,其中:
所述通信网络是基于因特网协议多媒体子系统IMS的网络;
所述通信装置是用户设备UE;
所述认证节点是服务控制功能SCF;
所述服务节点是广播/多播服务中心BM-SC;以及
所请求的服务是多媒体广播/多播服务MBMS用户服务。
13.一种在通信网络中用于管理通信装置以及向所述通信装置提供服务的服务节点之间的共享安全密钥的认证节点,所述认证节点包括:
运行存储器中存储的计算机程序指令的处理器,所述处理器控制所述认证节点的下列组件:
用于将多个认证节点标识符与多个服务相关联的部件,其中,所述多个认证节点标识符标识所述认证节点;
用于向所述网络中的各服务节点分配所述多个认证节点标识符中不同的一个的部件;
用于将所述分配的认证节点标识符与连接的服务节点相关联的表;
响应从所述通信装置接收到预期服务的请求而利用与所述预期服务关联的所述分配的认证节点标识符来获得与所述分配的认证节点标识符关联的连接服务节点的安全密钥的部件;
用于从所述认证节点向所述关联的服务节点发送所述安全密钥的通信部件;以及
用于向所述通信装置发送与所述预期服务关联的所述分配的认证节点标识符的通信部件,其中,所述通信装置利用所述分配的认证节点来得出所述安全密钥。
14.如权利要求13所述的认证节点,其中:
用于向所述通信装置发送所述分配的认证节点标识符的所述通信部件包括SIP通信单元,所述SIP通信单元在SIP 200 OK消息中向所述移动通信装置发送所述分配的认证节点标识符;以及
用于向所述服务节点发送所述安全密钥的所述通信部件包括HTTP通信单元,所述HTTP通信单元在HTTP POST消息中将所述第二安全密钥和事务标识符从所述认证节点发送到服务节点。
15.一种在通信网络中用于利用共享安全密钥向通信装置提供用户服务的服务节点,所述服务节点包括:
运行存储器中存储的计算机程序指令的处理器,所述处理器控制所述服务节点的下列组件:
用于从认证节点获得认证节点标识符、所述通信装置的IP地址、事务标识符、和所述共享安全密钥的通信部件,其中,所述事务标识符标识其中所述通信装置已经请求由所述服务节点提供的用户服务的事务;以及
用于向所述通信装置发送采用共享安全密钥保护的密钥管理消息的通信部件,所述密钥管理消息包括所述认证节点标识符和所述事务标识符;
其中,当所述通信装置从所述服务节点接收到所述密钥管理消息时,所述通信装置从所述认证节点标识符和所述事务标识符来识别所述共享安全密钥;以及
其中,当所述认证节点向所述通信装置提供所述认证节点标识符时,或者当所述通信装置接收服务描述中的所述认证节点标识符时,所述通信装置利用所述认证节点标识符来得出所述共享安全密钥,并且使用所述共享安全密钥对所述密钥管理消息进行解密和检验。
16.如权利要求15所述的服务节点,其中:
所述通信网络是基于因特网协议多媒体子系统IMS的网络;
所述通信装置是用户设备UE;
所述认证节点是具有认证代理AP的网络应用功能NAF;
所述服务节点是应用服务器AS;以及
所请求的服务是多媒体广播/多播服务MBMS用户服务。
17.如权利要求15所述的服务节点,其中:
所述通信网络是基于因特网协议多媒体子系统IMS的网络;
所述移动通信装置是用户设备UE;
所述认证节点是服务控制功能SCF;
所述服务节点是广播/多播服务中心BM-SC;以及
所请求的服务是多媒体广播/多播服务MBMS用户服务。
18.一种在通信网络中用于管理共享安全密钥的系统,所述系统包括:
通信装置;
与所述通信装置进行通信的认证节点;以及
与所述认证节点和所述通信装置进行通信的服务节点;
其中,所述认证节点包括:
用于将多个认证节点标识符与多个服务相关联的部件,其中所述多个认证节点标识符标识所述认证节点;
用于向所述服务节点分配所述多个认证节点标识符中的选择的一个的部件;
用于将所分配的认证节点标识符与连接的服务节点相关联的表;
响应从所述通信装置接收到预期服务的请求而利用与所述预期服务关联的所述分配的认证节点标识符来获得与所述分配的认证节点标识符关联的连接的服务节点的安全密钥的部件;以及
用于向所述服务节点发送所述认证节点标识符、所述通信装置的IP地址、事务标识符、和所述共享安全密钥的通信部件,
其中,所述事务标识符标识其中所述通信装置已经请求由所述服务节点提供的用户服务的事务;
其中,所述服务节点包括:
用于向所述通信装置发送采用所述共享安全密钥保护的密钥管理消息的通信部件,所述密钥管理消息包括所述认证节点标识符和所述事务标识符;
其中所述移动通信装置包括:
用于从所述认证节点标识符和所述事务标识符来识别所述共享安全密钥的部件;
用于或者从所述认证节点或者在从所述网络获得的服务描述中接收所述认证节点标识符的通信部件;
用于利用所述认证节点标识符来得出所述共享安全密钥的部件;以及
用于使用所述共享安全密钥对所述密钥管理消息进行解密和检验的部件。
19.如权利要求18所述的系统,其中:
所述通信网络是基于因特网协议多媒体子系统IMS的网络;
所述移动通信装置是用户设备UE;
所述认证节点是具有认证代理AP的网络应用功能NAF;
所述服务节点是应用服务器AS;以及
所请求的服务是多媒体广播/多播服务MBMS用户服务。
20.如权利要求18所述的系统,其中:
所述通信网络是基于因特网协议多媒体子系统IMS的网络;
所述移动通信装置是用户设备UE;
所述认证节点是服务控制功能SCF;
所述服务节点是广播/多播服务中心BM-SC;以及
所请求的服务是多媒体广播/多播服务MBMS用户服务。
21.一种在通信网络中用于管理移动通信装置、认证所述移动通信装置的认证节点、以及向所述移动通信装置提供服务的服务节点之间的共享安全密钥的方法,所述方法包括下列步骤:
在所述认证节点中从所述移动通信装置接收利用所述服务节点提供的服务的请求,其中,所述请求包括事务标识符;
由所述认证节点来认证所述移动通信装置,其中,所述移动通信装置得出所述认证节点的认证节点安全密钥;
由所述认证节点得出所述服务节点的服务节点安全密钥,所述服务节点安全密钥利用所述认证节点安全密钥和nonce来得出;
将所述服务节点安全密钥和事务标识符从所述认证节点发送到所述服务节点;以及
将所述nonce和所述服务节点的标识符从所述认证节点发送到所述移动通信装置,由此使所述移动通信装置能够从所述认证节点安全密钥和所述nonce来得出所述服务节点安全密钥。
22.如权利要求21所述的方法,其中,当所述服务节点向所述移动通信装置发送采用所述服务节点安全密钥保护的密钥管理消息时,所述移动通信装置使用所述服务节点安全密钥对所述消息进行解密和检验,所述消息包括所述服务节点标识符和所述事务标识符。
23.如权利要求21所述的方法,其中,存在多个服务节点,并且所述方法还包括由所述认证节点选择所述多个服务节点中的一个来提供所请求的服务的步骤;
其中,所述认证节点得出所选择的服务节点的服务节点安全密钥,并且向所述选择的服务节点发送所述服务节点安全密钥、所述事务标识符、和所述选择的服务节点的服务节点标识符。
24.如权利要求23所述的方法,其中,所述选择的服务节点具有多个服务节点标识符,并且当所述选择的服务节点向所述移动通信装置发送所述密钥管理消息时,所述选择的服务节点在所述消息中包含从所述认证节点接收的所述服务节点标识符。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510315752.1A CN104980434B (zh) | 2009-04-01 | 2010-03-31 | 基于ims的多媒体广播和多播服务中的安全密钥管理方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16580909P | 2009-04-01 | 2009-04-01 | |
| US61/165809 | 2009-04-01 | ||
| PCT/SE2010/050366 WO2010114475A2 (en) | 2009-04-01 | 2010-03-31 | Security key management in ims-based multimedia broadcast and multicast services (mbms) |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510315752.1A Division CN104980434B (zh) | 2009-04-01 | 2010-03-31 | 基于ims的多媒体广播和多播服务中的安全密钥管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102379114A true CN102379114A (zh) | 2012-03-14 |
| CN102379114B CN102379114B (zh) | 2015-10-07 |
Family
ID=42712664
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080015807.2A Expired - Fee Related CN102379114B (zh) | 2009-04-01 | 2010-03-31 | 基于ims的多媒体广播和多播服务(mbms)中的安全密钥管理 |
| CN201510315752.1A Active CN104980434B (zh) | 2009-04-01 | 2010-03-31 | 基于ims的多媒体广播和多播服务中的安全密钥管理方法 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510315752.1A Active CN104980434B (zh) | 2009-04-01 | 2010-03-31 | 基于ims的多媒体广播和多播服务中的安全密钥管理方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9344412B2 (zh) |
| EP (2) | EP2415231B1 (zh) |
| JP (1) | JP5580401B2 (zh) |
| CN (2) | CN102379114B (zh) |
| RU (1) | RU2527730C2 (zh) |
| WO (1) | WO2010114475A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180198670A1 (en) * | 2015-07-06 | 2018-07-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Facilitating secure communication between a client device and an application server |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8566910B2 (en) | 2010-05-18 | 2013-10-22 | Nokia Corporation | Method and apparatus to bind a key to a namespace |
| US8661257B2 (en) * | 2010-05-18 | 2014-02-25 | Nokia Corporation | Generic bootstrapping architecture usage with Web applications and Web pages |
| US8862878B2 (en) * | 2010-11-19 | 2014-10-14 | International Business Machines Corporation | Authentication and authorization of a device by a service using broadcast encryption |
| US9270453B2 (en) | 2011-06-30 | 2016-02-23 | Verizon Patent And Licensing Inc. | Local security key generation |
| US8943318B2 (en) * | 2012-05-11 | 2015-01-27 | Verizon Patent And Licensing Inc. | Secure messaging by key generation information transfer |
| US8990554B2 (en) | 2011-06-30 | 2015-03-24 | Verizon Patent And Licensing Inc. | Network optimization for secure connection establishment or secure messaging |
| US9154527B2 (en) | 2011-06-30 | 2015-10-06 | Verizon Patent And Licensing Inc. | Security key creation |
| CN103748810B (zh) | 2011-08-11 | 2017-05-10 | 英特尔公司 | 用于dash格式化内容从mbms下载切换到基于http的交付的方法和设备 |
| WO2013034187A1 (en) * | 2011-09-08 | 2013-03-14 | Telefonaktiebolaget L M Ericsson (Publ) | Secure communication |
| EP2774068A4 (en) * | 2011-10-31 | 2015-08-05 | SECURITY MECHANISM FOR AN EXTERNAL CODE | |
| CN103188229B (zh) * | 2011-12-30 | 2017-09-12 | 上海贝尔股份有限公司 | 用于安全内容访问的方法和设备 |
| JP6251732B2 (ja) * | 2012-05-03 | 2017-12-20 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | Embmsにおける集中化した鍵管理 |
| US8923880B2 (en) * | 2012-09-28 | 2014-12-30 | Intel Corporation | Selective joinder of user equipment with wireless cell |
| US9160515B2 (en) | 2013-04-04 | 2015-10-13 | Intel IP Corporation | User equipment and methods for handover enhancement using scaled time-to-trigger and time-of-stay |
| KR20160052313A (ko) * | 2014-11-04 | 2016-05-12 | 삼성전자주식회사 | 송신 장치, 수신 장치 및 그 신호 처리 방법 |
| US10129235B2 (en) | 2015-10-16 | 2018-11-13 | Qualcomm Incorporated | Key hierarchy for network slicing |
| WO2017192161A1 (en) * | 2016-05-06 | 2017-11-09 | Intel IP Corporation | Service authorization and credential provisioning for v2x communication |
| US10778449B2 (en) * | 2018-01-26 | 2020-09-15 | Huawei Technologies Co., Ltd. | System and method for shared sessions in communication networks |
| US10834573B2 (en) | 2019-02-15 | 2020-11-10 | At&T Mobility Ii Llc | Systems, devices and methods for managing access point name information by operators and users on the SIM |
| CN113518349A (zh) * | 2020-10-23 | 2021-10-19 | 中国移动通信有限公司研究院 | 业务管理方法、装置、系统及存储介质 |
| CN114466318B (zh) * | 2022-01-30 | 2023-04-07 | 西安电子科技大学 | 组播服务有效认证和密钥分配协议实现方法、系统及设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060196931A1 (en) * | 2005-03-07 | 2006-09-07 | Nokia Corporation | Methods, system and mobile device capable of enabling credit card personalization using a wireless network |
| WO2007034322A1 (en) * | 2005-09-26 | 2007-03-29 | Nokia Corporation | Method and apparatus for refreshing keys within a bootstrapping architecture |
| US20070101122A1 (en) * | 2005-09-23 | 2007-05-03 | Yile Guo | Method and apparatus for securely generating application session keys |
| WO2007085186A1 (fr) * | 2006-01-24 | 2007-08-02 | Huawei Technologies Co., Ltd. | Procédé de gestion de clé de flux multimédia, système et serveur d'application |
| CN101150404A (zh) * | 2006-09-21 | 2008-03-26 | 国际商业机器公司 | 管理和生成用于密码通信的设备密钥的系统和方法 |
| CN101171860A (zh) * | 2005-04-07 | 2008-04-30 | 法国电信公司 | 管理接入多媒体内容的安全方法和设备 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2420895C2 (ru) | 2005-06-08 | 2011-06-10 | Конинклейке Филипс Электроникс Н.В. | Детерминистическое предварительное распределение ключей и функциональное управление ключами для сетей мобильных датчиков на теле |
| FI122996B (fi) * | 2007-05-10 | 2012-09-28 | Teliasonera Ab | Palveluun liittyvän pyynnön käsittely |
| EP2210436A1 (en) | 2007-10-05 | 2010-07-28 | InterDigital Technology Corporation | Techniques for secure channelization between uicc and a terminal |
| WO2009130796A1 (en) | 2008-04-22 | 2009-10-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Bootstrap of nfc application using gba |
-
2010
- 2010-03-31 US US13/262,685 patent/US9344412B2/en active Active
- 2010-03-31 EP EP10718332.9A patent/EP2415231B1/en active Active
- 2010-03-31 CN CN201080015807.2A patent/CN102379114B/zh not_active Expired - Fee Related
- 2010-03-31 RU RU2011144153/08A patent/RU2527730C2/ru active
- 2010-03-31 CN CN201510315752.1A patent/CN104980434B/zh active Active
- 2010-03-31 EP EP16161841.8A patent/EP3107258A1/en not_active Withdrawn
- 2010-03-31 WO PCT/SE2010/050366 patent/WO2010114475A2/en active Application Filing
- 2010-03-31 JP JP2012503374A patent/JP5580401B2/ja not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060196931A1 (en) * | 2005-03-07 | 2006-09-07 | Nokia Corporation | Methods, system and mobile device capable of enabling credit card personalization using a wireless network |
| CN101171860A (zh) * | 2005-04-07 | 2008-04-30 | 法国电信公司 | 管理接入多媒体内容的安全方法和设备 |
| US20070101122A1 (en) * | 2005-09-23 | 2007-05-03 | Yile Guo | Method and apparatus for securely generating application session keys |
| WO2007034322A1 (en) * | 2005-09-26 | 2007-03-29 | Nokia Corporation | Method and apparatus for refreshing keys within a bootstrapping architecture |
| WO2007085186A1 (fr) * | 2006-01-24 | 2007-08-02 | Huawei Technologies Co., Ltd. | Procédé de gestion de clé de flux multimédia, système et serveur d'application |
| CN101150404A (zh) * | 2006-09-21 | 2008-03-26 | 国际商业机器公司 | 管理和生成用于密码通信的设备密钥的系统和方法 |
Non-Patent Citations (2)
| Title |
|---|
| 3GPP: "《3GPP TS 26.237 version 8.1.1: Technical Specification Group Services and System Aspects; IP Multimedia Subsystem(IMS) based Packet Switch Streaming(PSS) and Multimedia Broadcast/Multicast Service(MBMS) User Service; Protocols(Release 8)》", 20 March 2009 * |
| 3GPP: "《3GPP TS 33.222 version 8.0.0 Rele》", 1 January 2009 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180198670A1 (en) * | 2015-07-06 | 2018-07-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Facilitating secure communication between a client device and an application server |
| US10749731B2 (en) * | 2015-07-06 | 2020-08-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Facilitating secure communication between a client device and an application server |
Also Published As
| Publication number | Publication date |
|---|---|
| US9344412B2 (en) | 2016-05-17 |
| WO2010114475A3 (en) | 2010-12-23 |
| EP2415231B1 (en) | 2016-05-18 |
| CN104980434A (zh) | 2015-10-14 |
| EP2415231A2 (en) | 2012-02-08 |
| US20120027211A1 (en) | 2012-02-02 |
| JP5580401B2 (ja) | 2014-08-27 |
| WO2010114475A2 (en) | 2010-10-07 |
| EP3107258A1 (en) | 2016-12-21 |
| JP2012523158A (ja) | 2012-09-27 |
| CN102379114B (zh) | 2015-10-07 |
| CN104980434B (zh) | 2018-10-30 |
| RU2527730C2 (ru) | 2014-09-10 |
| RU2011144153A (ru) | 2013-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102379114B (zh) | 基于ims的多媒体广播和多播服务(mbms)中的安全密钥管理 | |
| KR101819556B1 (ko) | 클라우드 컴퓨팅 시스템에서 패밀리 클라우드를 지원하기 위한 장치 및 방법 | |
| EP2207301B1 (en) | An authentication method for request message and the apparatus thereof | |
| EP2521304B1 (en) | Authentication method, system and apparatus | |
| US9749820B2 (en) | Method and system for identity management across multiple planes | |
| EP2308254B1 (en) | Methods, nodes, system, computer programs and computer program products for secure user subscription or registration | |
| US9854508B2 (en) | Downloadable ISIM | |
| US10511435B2 (en) | Methods and apparatus for direct communication key establishment | |
| US9369873B2 (en) | Network application function authorisation in a generic bootstrapping architecture | |
| KR20130024953A (ko) | 인증 정보 전송 | |
| US10506429B2 (en) | Systems and methods for using GBA for services used by multiple functions on the same device | |
| CN116546491A (zh) | 在通信网络中用于与服务应用的加密通信的锚密钥生成和管理的方法、设备和系统 | |
| CN102638440A (zh) | 在ims网络中实现单点登录的方法和系统 | |
| KR101535446B1 (ko) | 방송 서버에 대한 스마트카드 터미널 등록 방법 및 시스템 | |
| CN101990771B (zh) | 服务报告 | |
| Doh et al. | Authentication and Key Management Based on Kerberos for M2M Mobile Open IPTV Security | |
| CN105376727A (zh) | 数据卡处理方法及装置 | |
| US20240163664A1 (en) | Secure key management device, authentication system, wide area network and method for generating session keys | |
| US20150031355A1 (en) | Method and apparatus for single-radio-voice-call continuity | |
| AU2022235328A1 (en) | Secure key management device, authentication system, wide area network and method for generating session keys | |
| CN116546493A (zh) | 一种基于云辅助的车联网认证密钥协商方法 | |
| CN103139709A (zh) | 多媒体消息的群发方法、系统及媒体交换中心 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151007 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |