CN103004244B - 结合Web应用和网页的通用引导架构使用 - Google Patents
结合Web应用和网页的通用引导架构使用 Download PDFInfo
- Publication number
- CN103004244B CN103004244B CN201180035134.1A CN201180035134A CN103004244B CN 103004244 B CN103004244 B CN 103004244B CN 201180035134 A CN201180035134 A CN 201180035134A CN 103004244 B CN103004244 B CN 103004244B
- Authority
- CN
- China
- Prior art keywords
- subscriber equipment
- key
- uniform resource
- resource locator
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种方法包括:在网络应用功能处接收源自用户设备的有关通用引导架构密钥的请求(1)。所接收的请求包括包含统一资源定位器的网络应用功能标识符,其中所述网络应用功能具有完全限定域名。所述方法还包括:导致至少部分地基于是所述网络应用功能标识符的一部分的所述统一资源定位器而针对所述用户设备生成通用引导架构密钥(5)。还描述了用于执行所述方法的装置和计算机程序。
Description
技术领域
本发明的示例性和非限制性实施例一般地涉及无线通信系统、方法、设备和计算机程序,更具体地说,涉及通用引导架构及其增强。
背景技术
本节旨在提供权利要求书中陈述的本发明的背景或上下文。此处的描述可以包括能够推行的概念,但不必包括之前已经构想、实现或描述的概念。因此,除非在此另行指出,否则本节中描述的内容对本申请的说明书和权利要求书而言并非现有技术,并且并不会因为纳入本节而被视为现有技术。
以下可能在说明书和/或附图中找到的缩略词被定义为如下:
AKA 认证和密钥协商
API 应用程序接口
AUTN 认证令牌
AV 认证向量
BSF 引导服务器功能
B-TID 引导事务标识符
CA 证书机构
CK 密钥
CSS 级联样式表
DNS 域名服务器
FQDN 完全限定域名
GBA 通用引导架构
GBA_U 具有基于UICC的增强的GBA
GUSS GBA用户安全设置
HLR 归属位置寄存器
HSS 归属订户系统
HTTP 超文本传输协议
HTTPS 安全超文本传输协议
IK 完整性密钥
IMPI IMS私有用户身份
IMS IP多媒体子系统
IP 互联网协议
Ks_ext_NAF GBA_U中的导出密钥
MBMS 多媒体广播多播服务
NAF 网络应用功能
NAF_ID 网络应用功能标识符
RAND 随机质询
SLF 订户定位功能
TLS 传输层安全
TMPI 临时IMPI
UE 用户设备
UICC 通用集成电路卡
URI 统一资源标识符
URL 统一资源定位器
XRES 期望响应
在此感兴趣的一个规范是3GPP TS33.220V9.2.0(2009-12)技术规范3代伙伴计划;技术规范组业务和系统方面;通用认证架构(GAA);通用引导架构(第9版),下文为了方便将其称为3GPP TS33.220。此处的图1再现3GPP TS33.220的图4.1“分别涉及各自带有Zh、Zh’参考点的HSS、HRL的简单引导网络模型”,而此处的图2再现3GPP TS33.220的图4.3“引导程序”。要指出的是,此程序存在各种变型,这些变型可在同一文档中找到。
此处还感兴趣的是3GPP TS24.109V9.0.0(2009-12)技术规范3代伙伴计划;技术规范组核心网和终端;引导接口(Ub)和网络应用功能接口(Ua);协议细节(第9版)。
图1示出当部署带有Zn参考点的HSS时,引导方法中涉及的实体的简单网络模型,以及在这些实体之间使用的各种参考点(例如,接口Ub、Ua、Zn、Zn’、Dz)。备选地,可以部署带有Zh’接口的HLR。
当UE希望与网络应用服务器(NAF)交互,并且其知道需要引导程序时,它首先如图2所示执行引导认证,否则,UE仅在从NAF接收到需要引导启动的消息或引导协商指示时,或者在UE中的密钥寿命到期时,才执行引导认证。
当通过Ub通信时,UE始终在用户代理请求头字段中包括产品令牌“3gpp-gba-tmpi”。当通过Ub通信时,BSF始终在服务器响应头字段中包括产品令牌“3gpp-gba-tmpi”。
在图2所示的基本引导程序中执行下面的步骤。
(1)UE将HTTP请求发往BSF。当与在用的IMPI关联的TMPI在UE上可用时,UE在“username”参数中包括此TMPI,否则UE包括IMPI。
(2)BSF通过“username”参数的结构识别发送了TMPI还是IMPI。如果发送了TMPI,则BSF在其本地数据库中查找相应的IMPI。如果BSF未找到对应于所接收的TMPI的IMPI,则将相应的错误消息返回到UE。UE然后删除TMPI并使用IMPI重试请求。
BSF通过来自HSS的参考点Zh检索完整的GBA用户安全设置集以及一个认证向量(AV,AV=RAND||AUTN||XRES||CK||IK)(其中||指示串接)。对于HLR也存在类似的构造。
在未部署带有Zh参考点的HSS的情况下,BSF通过来自带有Zh’参考点支持的HLR或HSS的参考点Zh’检索认证向量。Zh’参考点被定义为在BSF和HLR之间使用,并允许BSF取回所需的认证信息(请参阅3GPP TS33.220,条款4.3.6和条款4.4.12)。
如果BSF实现时间戳选项并具有已在上一引导程序期间从HSS取回的订户的GUSS的本地副本,而且该GUSS包括时间戳,则BSF可以在请求消息中包括GUSS时间戳。在接收到该时间戳时,如果HSS实现时间戳选项,则HSS可以将其与HSS中存储的GUSS的时间戳进行比较。在这种情况下,当且仅当HSS完成比较并且时间戳相等时,HSS才将“GUSS TIMESTAMPEQUAL”指示发送到BSF。在其他任何情况下,HSS将GUSS(如果可用)发送到BSF。如果BSF收到“GUSS TIMESTAMP EQUAL”指示,则其保留GUSS的本地副本。在其他任何情况下,BSF删除GUSS的本地副本并存储所接收的GUSS(如果已发送)。
(3)BSF在401消息中将RAND和AUTN转发到UE(没有CK、IK和XRES)。这要求UE认证自身。
(4)UE检查AUTN以检验质询来自授权网络;UE还计算CK、IK和RES。这将导致BSF和UE两者中的会话密钥IK和CK。
(5)UE将包含Digest AKA响应(使用RES计算)的另一HTTP发送到BSF。
(6)BSF通过检验Digest AKA响应而认证UE。
(7)BSF通过串接CK和IK来生成密钥材料Ks。还通过采取步骤(3)中的base64编码RAND值以及BSF服务器名称来生成NAI格式的B-TID值,即:
base64encode(RAND)@BSF_servers_domain_name。
如果请求在用户代理请求头字段中包括产品令牌“3gpp-gba-tmpi”,则BSF计算新的TMPI,并将它与IMPI一起进行存储,覆盖先前与该IMPI有关的TMPI(如果有)。
(8)BSF将包括B-TID的200OK消息发送到UE以指示认证成功。此外,在200OK消息中,BSF提供密钥Ks的寿命。在UE中通过串接CK和IK生成密钥材料Ks。
(9)UE和BSF都在条款_4.5.3中指定的过程期间使用Ks导出密钥材料Ks_NAF。Ks_NAF用于保护参考点Ua。
为了实现基于UE和BSF中的NAF名称的一致密钥导出,必须满足以下三个必要条件中的至少一个:
(a)NAF仅在一个域名(FQDN)下的DNS中是已知的,即,不存在两个不同的域名指向NAF的IP地址。这通过管理手段实现。
(b)NAF的每个DNS项指向不同的IP地址。NAF对所有这些IP地址做出响应。每个IP通过NAF配置绑定到相应的FQDN。NAF可从IP地址判定哪个FQDN用于密钥导出。
(c)Ua使用将主机名(如UE使用的NAF的FQDN)传输到NAF(例如,具有强制Host请求头字段的HTTP/1.1)的协议。这需要NAF检查主机名的有效性,在适当时在所有与UE的通信中使用此名称,并且将此名称传输到BSF以允许正确地导出Ks_NAF。
UE和BSF将密钥Ks与关联的B-TID一起存储以备后用,直到Ks的寿命到期,或者直到密钥Ks被更新,或者直到满足删除条件。
最新演进的HTML5规范(HTML5:用于HTML和XTMAL的词汇表及关联API,工作草案,http://www.w3.org/TR/html5/)有望增加Web应用开发。一个可能的结果将是增加Web应用在移动设备中的使用。但已经认识到,对于Web应用的未来开发而言,使用采取例如3GPPTS33.220中定义的常规形式的带GBA的HTTP Digest可能不足以确保使用此类应用的安全性。用户可能具有同时从他们的浏览器向托管不同应用的同一服务器开放的不同安全关联。当前的GBA安全架构不能解决为每个此类应用提供单独安全关联的问题。这可能导致主流服务提供商出现安全漏洞。
发明内容
根据本发明的各示例性实施例,克服了上述和其他问题并且实现了其他优点。
根据本发明的示例性实施例的第一方面,一种方法包括:在网络应用功能处接收源自用户设备的有关通用引导架构密钥的请求,所接收的请求包括包含统一资源定位器的网络应用功能标识符。所述网络应用功能具有完全限定域名。所述方法还包括:导致至少部分地基于包含所述网络应用功能标识符的一部分的所述统一资源定位器而针对所述用户设备生成通用引导架构密钥。
根据示例性实施例的另一方面,一种装置包括:处理器和包括计算机程序代码的存储器。所述存储器和计算机程序代码被配置为与所述处理器一起导致所述装置至少执行以下操作:在网络应用功能处接收源自用户设备的有关通用引导架构密钥的请求,所接收的请求包括包含统一资源定位器的网络应用功能标识符,其中所述网络应用功能具有完全限定域名。所述装置还被配置为:导致至少部分地基于包含所述网络应用功能标识符的一部分的所述统一资源定位器而针对所述用户设备生成通用引导架构密钥。
附图说明
当结合附图阅读时,通过下面的具体实施方式,本发明的示例性实施例的上述和其他方面将变得更显而易见,这些附图是:
图1再现3GPP TS33.220的图4.1“涉及带有Zh参考点的HSS的简单引导网络模型”;
图2再现3GPP TS33.220的图4.3“引导程序”;
图3示出多服务提供者NAF的示例性架构;
图4示出来自网页的GBA访问的示例性序列流;
图5示出来自Web应用(小工具)的GBA访问的示例性序列流;
图6示出适合于实现本发明的示例性实施例的装置的简化框图;
图7是进一步根据本发明的示例性实施例的示出方法的操作以及计算机程序指令的执行结果的逻辑流程图。
具体实施方式
要指出的是,JAVA和JAVASCRIPT是Sun Microsoftsystems Incorporated的注册商标。FACEBOOK是Facebook,Inc.的服务标记。
本发明的示例性实施例的一个方面是增强GBA以便至少实现GBA与Web应用一起的安全使用。
相关地,示例性实施例实现对UE平台的简单调用(例如,Javascript调用),此调用将返回带有B-TID的NAF特定密钥以及有关引导会话的其它相关信息。但是,此功能性对于GBA核心功能性具有隐含性,因为目前其用法被设计为与诸如MBMS、HTTP Digest和TLS之类的协议一起使用,其中每个协议由一个服务服务器提供。要指出的是,基本GBA在引入某些现代服务(例如,由某些社交网站表示的服务)之前设计,因此,未考虑服务器的特殊设置。
以下描述介绍了这些隐含性并提供了在不影响现有协议的情况下解决它们的解决方案。
如在此认为的那样,术语“Web应用”同时表示Web应用本身和使用Javascript的网页。Web应用在移动终端中执行,但是也可从外部源请求其它信息。
存在至少两个其中可以在Javascript内使用GBA的上下文。
第一上下文是Web应用,其中Web应用通常安装到移动设备(例如,UE)。Web应用的格式例如可以在W3C小工具规范(小工具封装和配置,候选推荐,http://www.w3.org/TR/widgets/)或Nokia WRT小工具规范(Web Runtime小工具,Nokia论坛,http://www.forum.nokia.com/Technology_Topics/Web_Technologies/Web_Runtime/)中指定。
Web应用例如可以使用HTML、Javascript和CSS向用户呈现信息。
CSS(级联样式表)是HTML4的一项功能,其允许开发者在一个位置中指定格式设置并传播此格式设置。作为一个实例,在一个位置中,开发者可以确定所有标题的格式设置。
第二上下文是网页,其中网页使用HTML、Javascript和CSS向用户呈现信息。通常在Web浏览器中呈现网页。
Web应用(小工具)与网页之间的一个主要差别是小工具一般安装在设备上并在设备本地执行。另一方面,网页从Web服务器下载到设备,并且然后在设备上本地执行。在前一种情况下,小工具一般在Web Runtime或类似的环境中执行,而网页在Web浏览器中执行。
在Javascript内使用GBA的示例性用例包括对订户进行认证以及使用Ks_(ext)_NAF密钥对数据进行加密和解密。认证用例可容易地与使用HTML FORM的现有认证方案集成。此集成一般在网页上以用户名/密码框的形式呈现给最终用户。支持Javascript的GBA可以通过用B-TID取代用户名,用Ks_(ext)_NAF密钥取代密码来取代此形式。密钥可被直接使用或与服务器侧质询一起使用来形成散列值。加密/解密用例可以使用Javascript实现,并且Javascript将从手机平台获取密钥。备选地,密钥可通过导出获得并可以是Web应用特定的。
在Javascript中使用GBA的优点是所提供的灵活性,因为可以容易地修改使用Ks_(ext)_NAF密钥的Javascript代码。
首先介绍Ua安全协议标识符。从图1中可看到,Ua是UE和NAF之间的参考点。
为了将某个协议级别中的GBA密钥与其他协议进行区分,需要针对Web编程指定(至少一个)新的Ua安全协议标识符。当Javascript例如在Web浏览器上运行时使用该标识符。Javascript然后能够从UE(例如,手机)平台请求GBA密钥。借助下面描述的未来增强,可针对Web编程,更具体地说,针对Javascript实现各种密钥和密钥分离。这确保如果一个密钥被破解,其它服务的所有安全关联不会均受到威胁。
现在介绍粒度的概念。根据当前GBA规范,NFA_ID仅在FQDN(=DNS名称)级别中标识NAF。这对于其中仅通过FQDN标识服务器的TLS之类的协议是足够的。但通过使用WEB编程,服务器通常可以在同一服务器中提供多个服务,并且这些服务通常可由与服务器运营商签订服务协议的第三方来提供。
目前使用的FQDN方法的一个非限制性定义是:它是因特网上特定计算机(主机)的完整域名。FQDN提供足够的信息,以便其可以被转换为物理IP地址。FQDN包括主机名和域名。例如,www.xyz.com是FQDN,其中[www]是主机,[xyz]是域名,并且[.com]是顶级域(TLD)名。
例如,Facebook具有服务器apps.facebook.com,其中服务实际通过URL标识,并非仅通过FQDN标识。因此,apps.facebook.com/service1和apps.facebook.com/service2可以通过两个不同的服务提供商运营,尽管它们在同一服务器上运行。此方案不适合GBA的当前版本,因为特定于这两个实例的NAF将导致生成完全相同的密钥(多个)。这将暗示两个服务与用户的安全关联完全相同,并且可导致不希望出现的情况,即,service1可从service2获取用户数据。要指出的是,如果其中一个服务例如是支付服务,则情况尤其严重。
此问题的一个解决方案是在不违反现有使用的情况下扩展NAF_ID构造。将使用完整的URL,而不是在NAF_ID中仅使用FQDN。此方法在构造NAF_ID时提供足够的粒度并允许针对GBA中的不同服务具有不同密钥。其中的逻辑是:借助指示Web应用使用的Ua安全协议标识符,NAF_ID构造将变得不同。
现在根据本发明示例性实施例的一个方面介绍BSF中的NAF_ID授权的概念。如果NAF_ID可以不只是包括FQDN和Ua协议标识符,则会产生有关BSF如何检查该NAF被授权使用特定URL的问题。在简单情况下,BSF可以使用带有修改的现有方法:即,BSF可以检查URL的FQDN部分是否与特定NAF有权为其请求GBA密钥的FQDN匹配。这样便已足够,因为所有包括相同FQDN的HTTP请求均路由到由单个服务器运营商(即,NAF)拥有的单个管理域。NAF运营商然后托管可属于第三方的实际服务。这样,BSF执行粗粒度访问控制以验证特定NAF被授权处理URL。这基于在URL中存在的FQDN。NAF将执行细粒度访问控制以验证其服务器上运行的哪个应用能够存取特定密钥。这基于URL的非FQDN部分。
现在介绍NAF中的NAF_ID授权的概念。参考图3,其中示出UE10、NAF20和BSF30,并且还示出NAF20托管多个服务(由不同运营方运营的服务_1、服务_2、服务_n)的情况。在该实例中,运行NAF20的单服务器平台需要在服务请求GBA密钥时实施访问控制。假设NAF20包括NAF功能22,并且假设UE10包括GBA功能12。
在图3中,假设NAF20服务器托管能够运行多个服务的平台,其中服务可由不同运营方运营。在这种情况下,有必要在每个服务之间实施密钥差异化,否则UE10中的任何应用(应用_1、应用_2、应用_n)都能访问NAF20中的任何服务。换言之,在使用现有GBA架构(其中NAF_ID仅包括NAF的FQDN)的情况下,如果Ua协议(用于服务的协议)相同,则访问每个服务的密钥也相同。
借助上述NAF_ID粒度的增强,可以针对NAF20中托管的每个服务具有不同密钥。但是,NAF运营商应能够限制对密钥的访问,使得只有授权服务才能访问它们的密钥。此问题的一种解决方案是在NAF20服务器中提供NAF功能22,每个服务通过此功能请求GBA密钥。当服务请求密钥时,它将提供所使用的NAF_ID(即,带有Ua安全协议标识符的URL),并且NAF功能22检查对应的服务被授权访问所请求的密钥。在简单情况下,可对照服务的允许URL(多个)进行检查来执行此操作。如果授予访问权限,则NAF功能22将请求转发到BSF30。BSF30然后如以上根据BSF中的NAF_ID授权的概念所述的那样执行授权检查。
现在首先针对网页情况介绍URL授权,然后相对于Web应用情况介绍URL授权。
在网页情况下,假设根据URL在服务器中访问服务。URL包含服务特定部分,此部分还可包括附加部分,例如参数。因此,URL的格式和内容可以在每个发送到NAF20的HTTP请求中更改。因此,示例性实施例的一个方面是允许服务修改或“修剪(trim)”URL,使得它变得更通用,例如,在提交给NAF功能22进行检查之前,如果必要,可采取各种操作将URL修改为服务器的根(例如,“http://apps.operator.com/”)以使密钥变得通用。但是,优选地不允许服务将URL与任意字符串进行串接,因为这将使服务能够获取其未被授权获取的密钥。类似地,UE10将针对应用实施相同的规则。
作为一个非限制性实例,假设网页已从http://apps.operator.com/service1/init加载到浏览器。允许在该网页上执行的Javascript使用以下URL(由托管网页的浏览器平台实施):
-http://apps.operator.com/service1/init
-http://apps.operator.com/service1/
-http://apps.operator.com/service1
-http://apps.operator.com
但是,不允许Javascript使用以下URL:
-http://apps.operator.com/service2
-http://apps2.operator.com。
如果此类实施方案得到保证,则NAF20可以确定仅允许网页访问已从可接受的URL导出的GBA密钥。这种方法的一个优点是对UE10中GBA密钥的授权可以是自动的,因为网页只能访问从下载网页所用的URL导出的那些GBA密钥。网页只能通过从“最低有效部分”删除URL的某些部分来使GBA密钥变得更“通用”,但它不能访问属于NAF20上运行的其它服务的GBA密钥。
类似地,NAF功能22实施URL修剪,并允许访问更通用的URL,同时不允许服务将URL与某些任意字符串进行串接。
当此类URL用法在UE10和NAF20中都适当地实施时,可确保只有授权的服务(UE10中的网页和NAF20中的服务)才能访问GBA密钥(而非其它某种(些)服务)。
在Web应用情况下,应用安装在设备上(例如,UE10上),因此没有类似于网页情况的默认机制来处理URL授权(因为应用在UE10的本地运行)。因此,需要一种执行URL授权的机制。
Web应用可以被数字签名或其某些部分可以被数字签名。在这种情况下,Web应用的签名者可以具有已经过可信机构或证书机构(CA)或其它可信实体认证的签名密钥,即,签名者具有来自CA的有效证书,或者签名密钥附带自签名证书。根据本发明示例性实施例的一个方面,针对Web应用建立了多个信任级别,例如,三个信任级别,并且取决于信任级别,Web应用可以访问与URL关联的一个或多个GBA密钥。
信任级别2:Web应用被数字地签名,并且签名者具有来自CA的证书。此外,CA本身或签名者已在UE10中被指定为“可信”。在这种情况下,Web应用具有对GBA密钥的完全访问权限,即,它可以在Web应用上下文中请求任何GBA密钥。也就是说,始终使用Web应用Ua安全协议标识符。此类Web应用一般可由移动网络运营商或由设备供应商提供。
信任级别1:Web应用被数字地签名,并且签名者具有来自CA的证书,或者签名者具有自签名证书,签名者和CA均未在UE10中被指定为“可信”,或者基于来自其它用户的推荐,可能被视为值得信任。在这种情况下,UE10控制对GBA密钥的访问。当信任级别为1的Web应用访问GBA密钥时,UE10通过向URL标识的服务器发出请求,然后检查对应的Web应用是否有权获取所述GBA密钥来验证请求。如果授予访问权限,则为Web应用提供GBA密钥。此授权可以是一次性授权,其中在Web应用每次请求访问GBA密钥时,UE10都会向服务器验证请求,此授权也可以是一揽子授权,其中自动为任何后续GBA密钥请求授权。此过程在下面进一步详细描述。此类Web应用一般由还运营第三方NAF(即,正在被访问的服务器)并且与移动网络运营商签署协议的第三方来提供。
信任级别0:Web应用未经数字签名。在这种情况下,Web应用无法访问GBA密钥。
要指出的是,上述URL修剪还可以由Web应用使用,因为它们可能另外需要生成更通用的GBA密钥。
下面参考图4和5描述两个序列流。图4示出网页用例的序列流实例,而图5示出Web应用用例的序列流实例。
图4示出描述移动网络运营商向Web服务器进行基于GBA的认证的程序的序列流实例。此序列流可以容易地取代基于HTML表单的现有用户名/密码认证或与之共存,并且网页上的Javascript可以检测GBA是否可用。图4的序列流假设UE10中存在Web浏览器14以及GBA功能12。
图4的(示例性)序列流如下:
1.最终用户选择转到网页。浏览器14向服务器(NAF)20的URL做出传统的HTTP GET请求。
2.服务器20返回200OK HTTP状态消息。网页包含能够执行GBA密钥请求的Javascript。
3.网页被构造为包含向最终用户呈现的按钮,例如“以运营商登录(Login withOperator)”。按钮连接到Javascript(onClick),使得在按下按钮时启动GBA认证。当最终用户按下按钮时,执行步骤4。
4.网页的Javascript使用getGBAKey(url)函数调用GBA功能12。这导致调用处理请求的GBA功能12。
5.在接收到来自浏览器14的GBA密钥请求时,GBA功能12检查网页为GBA功能提供的URL是网页自己的URL(在Javascript中:document.location.href)的同一版本还是修剪后的版本。如果验证成功,则GBA功能12允许访问GBA密钥并根据以下方式导出GBA密钥:Ks_(ext)_NAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_Id),其中NAF_Id是与Web应用上下文的新Ua安全协议标识符串接的URL。
6.将带有B-TID的导出GBA密钥返回到Web服务器(即,网页的Javascript)。
7.网页的Javascript准备Web浏览器14以向服务器20做出HTTP POST请求。GBA密钥和B-TID将在HTTP有效负载中发送到服务器20。
8.Web浏览器14使用HTTP有效负载中的GBA密钥和B-TID做出HTTP POST请求。
9.服务器(NAF)20从HTTP请求提取B-TID,并通过Zn接口从BSF30取回Ks_(ext)_NAF密钥。在从BSF接收Ks_(ext)_NAF密钥之后,服务器20将收到的Ks_(ext)_NAF密钥与从UE10接收的密钥进行比较。如果这两个密钥匹配,则服务器将会话标记为已认证。
10.服务器20将指示认证成功的HTTP响应发送到Web浏览器14,同时设置HTTP会话cookie来处理已认证的会话。
要指出的是,可以对上面参考图4描述的示例性会话流做出若干修改。例如,在步骤3中,Javascript或Web代码可以检测Web浏览器14中是否具有可用GBA功能12。如果没有此功能,则Javascript仅启用传统基于用户名/密码的认证。如果Web浏览器14中具有可用GBA功能12,则还显示“以运营商登录”按钮(并可选地禁用常规用户名/密码登录)。
进一步作为实例,在步骤7中,Javascript可以基于GBA密钥计算服务器特定的认证响应。可能已在步骤2收到质询,并且当从GBA功能12返回GBA密钥时,Javascript可以计算GBA密钥和质询的散列。在步骤8,将认证响应而非GBA密钥返回到服务器20。可具有质询记录的服务器20然后在从BSF接收Ks_(ext)_NAF密钥时计算同一散列。如果服务器20计算的散列与接收自Web浏览器14的认证响应匹配,则最终用户被认证。
再次要指出的是,上述序列流只是一个非限制性实例,因为网络运营商可以使用基于Javascript的GBA API实施它们自己的(定制)登录程序。
图5示出描述UE10验证Web应用对GBA密钥的请求的程序的序列流实例。
该示例性序列流如下。
1.用户启动Web应用16(例如,小工具)。
2.Web应用开始执行。
步骤3-10与上面参考图4描述的步骤类似。要指出的是,在步骤5,GBA功能处理GBA请求,以便在步骤6,将GBA密钥返回到Web应用。
应指出的是,如参考图4描述的那样,可以对上面参考图5描述的示例性会话流做出若干修改。
应该理解,上面的描述提供了新的GBA用例,例如,如何结合使用GBA与例如使用HTML5、Javascript和CSS的Web应用和网页。示例性实施例至少部分地提供新的Ua安全协议标识符来标识Web应用用例,例如,HTML5、Javascript和CSS。示例性实施例还至少部分地提供NAF_ID格式扩展以包括完整URL(与只有FQDN相对)。
示例性实施例还至少部分地提供扩展的NAF_ID格式。
下面是扩展的NAF_ID格式的一个实例:
[protocol]FQDN[port][service],其中
[protocol]指定用户协议,例如“http://”或“https://”。在此扩展的NAF_ID格式中,[port]指定端口,前提是未使用默认端口(例如“:8080”)。要指出的是,在HTTP情况下,使用默认端口“:80”将导致与其中默认端口不在URL中的情况相比,生成不同的密钥。(例如,“http://example.com/”对“http://example.com/:80”)。在此扩展的NAF_ID格式中,[service]指定被访问的服务,例如“/service1/”。在此扩展的NAF_ID格式中,Ua安全协议标识符附加在URL末尾,然后创建Ks_(ext/int)_NAF:
[protocol]FQDN[port][service][UaSecProtID]。
示例性实施例还提供NAF_ID(URL授权)以就哪些架构实例有权访问哪些GBA密钥实施访问控制。例如,BSF30中可包含URL检查,其中NAF20的FQDN是URL的一部分。进一步作为实例,NAF20中可包含URL检查,其中NAF功能22可检查特定服务是否被允许使用URL。进一步作为实例,UE10中可包含URL检查,其中UE10可以检查特定网页是否被允许使用URL。
示例性实施例还支持在UE10中和在NAF应用22中使用URL修剪,以使得GBA密钥能够变得更通用。
示例性实施例还在UE10和NAF20之间提供URL检查,其中UE10可以向NAF20进行查询以了解是否允许特定签名者访问URL。
还应理解,示例性实施例不限于与Web应用和网页结合使用的单个Ua安全协议标识符。相反,示例性实施例还包括其中存在多个Ua安全协议标识符的情况。因此,上面对Ua安全协议的引用应被理解为包括一个以上用于Web应用/网页上下文的Ua安全协议标识符的可能性。
一般而言,选择使用哪个Ua安全协议标识符至少部分地取决于其中执行Javascript的上下文。在网页情况下(即,使用浏览器15D),首先考虑是否通过https(HTTP/TLS)下载网页,(其次考虑)是否通过http(HTTP,无TLS)下载网页。在独立Web应用情况下(例如,在Web Runtime上执行的小工具),需要额外考虑三个事项:即,小工具是否具有信任级别2(签名者证书可链接到可信CA),或者小工具是否具有信任级别1(自签名,或者CA证书未标记为可信),或者小工具是否具有信任级别0(未签名)。
将允许上述考虑所涵盖的全部各种情况获取GBA密钥,但是使用哪个Ua安全协议标识符取决于上面的区分,因此,根据该非限制性实例,可在Web应用/网页域中使用五种Ua安全协议标识符。在其它实施例中,所定义和使用的Ua安全协议标识符可多于或少于五个。
根据上面所述,显而易见,本发明的示例性实施例提供一种增强GBA操作的方法、装置和计算机程序(多个)。
可以参考图6,其中示出适合于实现上述本发明示例性实施例的装置的简化框图。一般而言,UE10可以包括至少一个数据处理器15A,该处理器与至少一个存储软件(SW)15C的存储器15B相连,所述软件被配置为执行根据上述示例性实施例的各方面的方法和程序,其中包括图3所示的GBA功能12的功能。存储器15B还可存储实现各种应用(应用_1、应用_2、...、应用_n)的软件以及实现Web浏览器15D的软件。对于UE10为无线设备的情况,还提供至少一个被配置为提供与网络接入节点40(例如,基站)的无线连接性的无线收发机(例如,射频或光收发机)。UE10通过网络接入节点40和网络42连接到NAF20和BSF30,后两者又通过相同或不同的网络相互连接在一起。NAF20可以包括至少一个数据处理器25A,该处理器与至少一个存储软件25C的存储器25B相连,软件25C被配置为执行根据上述示例性实施例的各方面的方法和程序,其中包括图3所示的NAF功能22的功能。还可以假设软件25C一般满足例如3GPP TS33.220中描述的总体NAF功能的要求。存储器25B还可存储实现各种服务(服务_1、服务_2、...、服务_n)的软件。BSF30可以包括至少一个数据处理器35A,该处理器与至少一个存储软件35C的存储器35B相连,软件35C被配置为执行根据上述示例性实施例的各方面的方法和程序,以及一般满足例如3GPP TS33.220中描述的总体BSF功能的要求。
要指出的是,在某些实施例中,浏览器15D和GBA功能12可以位于不同的(单独的)设备中。例如,示例性实施例还包括其中用户通过个人计算机(PC)进行浏览并通过蓝牙或其它类型连接使用UE10中的GBA功能12的情况。
图7是进一步根据本发明的示例性实施例的示出方法的操作以及计算机程序指令的执行结果的逻辑流程图。根据这些示例性实施例,一种方法在方块7A执行以下步骤:接收源自用户设备的有关通用引导架构密钥的请求,所接收的请求包括包含统一资源定位器的网络应用功能标识符,其中所述网络应用功能具有完全限定域名。在方框7B,执行以下步骤:导致至少部分地基于包含所述网络应用功能标识符的一部分的所述统一资源定位器而针对所述用户设备生成通用引导架构密钥。
图7所示的各个方框可以被视为方法步骤,以及/或者视为通过执行计算机程序代码导致的操作,以及/或者视为被构建成执行关联功能(多个)的多个耦合的逻辑电路元件。
示例性实施例还包括一种装置,其中网络应用功能具有完全限定域名,并且其中所述装置包括:用于接收源自用户设备的有关通用引导架构密钥的请求的部件,所接收的请求包括包含统一资源定位器的网络应用功能标识符;以及用于导致至少部分地基于包含所述网络应用功能标识符的一部分的所述统一资源定位器而针对所述用户设备生成通用引导架构密钥的部件。
一般而言,各种示例性实施例可以在硬件或专用电路、软件、逻辑或它们的任何组合中实现。例如,某些方面可以在硬件中实现,而其它方面可以在可由控制器、微处理器或其它计算设备执行的固件或软件中实现,尽管本发明并不限于此。虽然本发明的示例性实施例的各方面可被示出和描述为框图、流程图或使用其它某些图形表示,但是很容易理解,作为非限制性实例,在此描述的这些方框、装置、系统、技术或方法可以在硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其它计算设备,或者它们的某种组合中实现。
因此,应该理解,本发明的示例性实施例的至少某些方面可以在诸如集成电路芯片和模块之类的各种组件中实现,并且本发明的示例性实施例可以在体现为集成电路的装置中实现。一个或多个集成电路可以包括用于体现一个或多个数据处理器、一个或多个数字信号处理器、基带电路和射频电路中的至少一项或多项的电路(以及可能是固件),上述电路可被配置为根据本发明的示例性实施例执行操作。
如在以上显而易见的,可对本发明的上述示例性实施例做出各种修改和改变,当结合附图阅读时,通过上面的描述,其它修改对于相关领域的技术人员而言将变得显而易见。但是,部分和全部修改仍落在本发明的非限制性和示例性实施例的范围内。
应该理解,本发明的示例性实施例不限于与任何一种特定类型的无线通信系统结合使用,并且可以理解,这些实施例可以有利地在包括蜂窝和非蜂窝无线通信系统的各种不同的无线通信系统中使用。
要指出的是,术语“连接”、“耦合”或它们的任何变型表示一个或多个元件之间的直接或间接连接或耦合,并且可以包括“连接”或“耦合”在一起的两个元件之间存在一个或多个中间元件。元件之间的耦合或连接可以是物理连接或耦合、逻辑连接或耦合或它们的组合。如在此采用的那样,两个元件可以被视为使用一个或多个线路、电缆和/或印刷电气连接,以及使用电磁能“连接”或“耦合”在一起,作为若干非限制性和非穷举的实例,所述电磁能包括具有射频区域、微波区域和光(可见和不可见)区域中的波长的电磁能。
此外,可以在不对其它特征进行相应使用的情况下,有利地使用本发明的各种非限制性和示例性实施例的某些特征。因此,上面的描述应被视为仅用于例示本发明的原理、教导和示例性实施例,而非对本发明做出任何限制。
Claims (23)
1.一种用于实现通用引导架构的方法,包括:
在用户设备中的通用引导架构功能处接收源自所述用户设备的有关通用引导架构密钥的请求,所接收的请求包括包含统一资源定位器的网络应用功能标识符,其中所述网络应用功能具有完全限定域名;以及
在所述通用引导架构功能处导致至少部分地基于包含所述网络应用功能标识符的一部分的所述统一资源定位器而针对所述用户设备生成通用引导架构密钥。
2.根据权利要求1的方法,其中所述网络应用功能托管多个服务,其中所述统一资源定位器接收自所述用户设备并包含与所述多个服务之一关联的服务特定部分。
3.根据权利要求2的方法,还包括在导致生成所述密钥之前,修剪所述统一资源定位器。
4.根据权利要求3的方法,其中所接收的请求包括修剪后的统一资源定位器。
5.根据权利要求3的方法,其中所接收的请求包括完整的或部分的统一资源定位器,并且其中在所述网络应用功能中执行修剪所述统一资源定位器。
6.根据权利要求1-5中任一项的方法,其中响应于所述用户设备执行网页而发起所述请求。
7.根据权利要求1的方法,其中响应于所述用户设备执行应用而发起所述请求,并且其中所述统一资源定位器具有附加到其的后缀,所述后缀指示所述请求针对被允许获取所述统一资源定位器的通用引导架构密钥的一系列已授权应用。
8.根据权利要求7的方法,其中仅当所述应用的信任级别为以下情况时才发起所述请求:所述应用被数字地签名,并且签名者或者具有来自证书机构的证书,或者所述签名者具有自签名的证书,并且其中所述签名者或所述证书机构均未在所述用户设备中被指定为可信。
9.根据权利要求7或权利要求8的方法,还包括修剪所述统一资源定位器。
10.根据权利要求1-5和7-8中任一项的方法,其中结合超文本传输协议消息接收所述请求。
11.根据权利要求1-5和7-8中任一项的方法,其中通过在所述网络应用功能与所述用户设备之间定义的接口接收所述请求,并且其中所述请求包括与所述用户设备的Web应用/网页上下文关联的多个接口安全协议标识符之一。
12.一种用于实现通用引导架构的装置,包括:
用于在用户设备中的通用引导架构功能处接收源自所述用户设备的有关通用引导架构密钥的请求的模块,所接收的请求包括包含统一资源定位器的网络应用功能标识符,其中所述网络应用功能具有完全限定域名;以及
用于在所述通用引导架构功能处导致至少部分地基于包含所述网络应用功能标识符的一部分的所述统一资源定位器而针对所述用户设备生成通用引导架构密钥的模块。
13.根据权利要求12的装置,其中所述网络应用功能托管多个服务,其中所述统一资源定位器接收自所述用户设备并包含与所述多个服务之一关联的服务特定部分。
14.根据权利要求13的装置,其中在导致生成所述密钥之前,修剪所述统一资源定位器。
15.根据权利要求14的装置,其中所接收的请求包括修剪后的统一资源定位器。
16.根据权利要求14的装置,其中所接收的请求包括完整的或部分的统一资源定位器,并且其中在所述网络应用功能中修剪所述统一资源定位器。
17.根据权利要求12-16中任一项的装置,其中响应于所述用户设备执行网页而发起所述请求。
18.根据权利要求12的装置,其中响应于所述用户设备执行应用而发起所述请求,并且其中所述统一资源定位器具有附加到其的后缀,所述后缀指示所述请求针对被允许获取所述统一资源定位器的通用引导架构密钥的一系列已授权应用。
19.根据权利要求18的装置,其中仅当所述应用的信任级别为以下情况时才发起所述请求:所述应用被数字地签名,并且签名者或者具有来自证书机构的证书,或者所述签名者具有自签名的证书,并且其中所述签名者或所述证书机构均未在所述用户设备中被指定为可信。
20.根据权利要求18或权利要求19的装置,还包括修剪所述统一资源定位器。
21.根据权利要求12-16和18-19中任一项的装置,其中结合超文本传输协议消息接收所述请求。
22.根据权利要求12-16和18-19中任一项的装置,其中Web浏览器和通用引导架构功能均位于所述用户设备中,或者其中所述通用引导架构功能位于所述用户设备中而所述Web浏览器位于与所述用户设备在通信上耦合的另一设备中。
23.根据权利要求12-16和18-19中任一项的装置,其中通过在所述网络应用功能与所述用户设备之间定义的接口接收所述请求,并且其中所述请求包括与所述用户设备的Web应用/网页上下文关联的多个接口安全协议标识符之一。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/782,199 | 2010-05-18 | ||
US12/782,199 US8661257B2 (en) | 2010-05-18 | 2010-05-18 | Generic bootstrapping architecture usage with Web applications and Web pages |
PCT/FI2011/050232 WO2011144801A1 (en) | 2010-05-18 | 2011-03-18 | Generic bootstrapping architecture usage with web applications and web pages |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103004244A CN103004244A (zh) | 2013-03-27 |
CN103004244B true CN103004244B (zh) | 2016-09-21 |
Family
ID=44973451
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180035134.1A Active CN103004244B (zh) | 2010-05-18 | 2011-03-18 | 结合Web应用和网页的通用引导架构使用 |
Country Status (5)
Country | Link |
---|---|
US (1) | US8661257B2 (zh) |
EP (1) | EP2572527B1 (zh) |
CN (1) | CN103004244B (zh) |
WO (1) | WO2011144801A1 (zh) |
ZA (1) | ZA201209472B (zh) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
SG192990A1 (en) * | 2011-04-01 | 2013-10-30 | Ericsson Telefon Ab L M | Methods and apparatuses for avoiding damage in network attacks |
JP5961164B2 (ja) * | 2011-05-19 | 2016-08-02 | 日本放送協会 | 放送通信連携受信装置及びリソースアクセス制御プログラム |
CN103188229B (zh) * | 2011-12-30 | 2017-09-12 | 上海贝尔股份有限公司 | 用于安全内容访问的方法和设备 |
US9253185B2 (en) * | 2012-12-12 | 2016-02-02 | Nokia Technologies Oy | Cloud centric application trust validation |
CN104283681B (zh) * | 2013-07-08 | 2018-02-06 | 华为技术有限公司 | 一种对用户的合法性进行验证的方法、装置及系统 |
GB2518256A (en) | 2013-09-13 | 2015-03-18 | Vodafone Ip Licensing Ltd | Communicating with a machine to machine device |
CN103647652B (zh) * | 2013-12-20 | 2017-06-09 | 北京奇虎科技有限公司 | 一种实现数据传输的方法、装置和服务器 |
WO2015092130A1 (en) | 2013-12-20 | 2015-06-25 | Nokia Technologies Oy | Push-based trust model for public cloud applications |
WO2015162985A1 (ja) * | 2014-04-25 | 2015-10-29 | 株式会社セキュアブレイン | 不正検知ネットワークシステム及び、不正検知方法 |
WO2016024893A1 (en) * | 2014-08-15 | 2016-02-18 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and nodes for mapping subscription to service user identity |
US10257284B2 (en) * | 2015-12-30 | 2019-04-09 | Samsung Electronics Co., Ltd. | Broadcasting local function templates to proximate mobile computing devices |
US11023880B2 (en) * | 2016-07-23 | 2021-06-01 | Vray Inc. | Online mobile payment system and method using authentication codes |
CN109792601B (zh) * | 2017-03-17 | 2021-04-09 | 华为技术有限公司 | 一种eUICC配置文件的删除方法和设备 |
US10708267B2 (en) * | 2017-07-19 | 2020-07-07 | Mediatek Inc. | Method and associated processor for authentication |
CN111147421B (zh) | 2018-11-02 | 2023-06-16 | 中兴通讯股份有限公司 | 一种基于通用引导架构gba的认证方法及相关设备 |
WO2020199134A1 (en) * | 2019-04-02 | 2020-10-08 | Qualcomm Incorporated | Methods and systems for provisioning of certificates for vehicle-based communication |
EP3855328A1 (en) * | 2020-01-24 | 2021-07-28 | Thales Dis France Sa | A method for securely diversifying a generic application stored in a secure processor of a terminal |
CN116097690A (zh) * | 2020-08-07 | 2023-05-09 | 华为技术有限公司 | 一种通用引导架构中的方法及相关装置 |
CN113596830B (zh) * | 2021-07-27 | 2023-03-24 | 中国联合网络通信集团有限公司 | 通信方法、装置、电子设备、存储介质及程序产品 |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2404602C (en) | 2001-09-21 | 2009-07-14 | Corel Corporation | Web services gateway |
US7451305B1 (en) * | 2003-04-10 | 2008-11-11 | Cisco Technology, Inc. | Method and apparatus for securely exchanging cryptographic identities through a mutually trusted intermediary |
CN1886747B (zh) | 2003-11-07 | 2010-06-02 | 诺基亚有限公司 | 使用运营商根证书控制应用的安装的方法和装置 |
GB0326265D0 (en) | 2003-11-11 | 2003-12-17 | Nokia Corp | Shared secret usage for bootstrapping |
GB0409704D0 (en) | 2004-04-30 | 2004-06-02 | Nokia Corp | A method for verifying a first identity and a second identity of an entity |
FI20041447A0 (fi) * | 2004-11-09 | 2004-11-09 | Nokia Corp | Avainderivointitoiminnon määrittäminen |
US8726023B2 (en) * | 2005-02-03 | 2014-05-13 | Nokia Corporation | Authentication using GAA functionality for unidirectional network connections |
JP2008530879A (ja) | 2005-02-11 | 2008-08-07 | ノキア コーポレイション | 通信ネットワークにおいてブートストラッピング手順を提供する方法及び装置 |
GB0504865D0 (en) * | 2005-03-09 | 2005-04-13 | Nokia Corp | User authentication in a communications system |
US20060206710A1 (en) * | 2005-03-11 | 2006-09-14 | Christian Gehrmann | Network assisted terminal to SIM/UICC key establishment |
FI20050384A0 (fi) * | 2005-04-14 | 2005-04-14 | Nokia Corp | Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä |
US20070223703A1 (en) | 2005-10-07 | 2007-09-27 | Sanjeev Verma | Method and apparatus for providing service keys within multiple broadcast networks |
WO2007085951A1 (en) * | 2006-01-30 | 2007-08-02 | Nokia Corporation | Management of user data |
KR101084938B1 (ko) * | 2007-10-05 | 2011-11-18 | 인터디지탈 테크날러지 코포레이션 | Uicc와 단말기간 보안 채널화를 위한 기술 |
US8825999B2 (en) | 2007-10-20 | 2014-09-02 | Blackout, Inc. | Extending encrypting web service |
US8856938B2 (en) | 2008-07-30 | 2014-10-07 | Oracle America, Inc. | Unvalidated privilege cap |
WO2010047625A1 (en) * | 2008-10-20 | 2010-04-29 | Telefonaktiebolaget L M Ericsson (Publ) | Midlet signing and revocation |
JP5347498B2 (ja) | 2008-12-26 | 2013-11-20 | 株式会社リコー | 画像形成装置、印刷制御方法、及びプログラム |
WO2010095988A1 (en) | 2009-02-18 | 2010-08-26 | Telefonaktiebolaget L M Ericsson (Publ) | User authentication |
EP3107258A1 (en) | 2009-04-01 | 2016-12-21 | Telefonaktiebolaget LM Ericsson (publ) | Security key management in ims-based multimedia broadcast and multicast services (mbms) |
US10102398B2 (en) | 2009-06-01 | 2018-10-16 | Ab Initio Technology Llc | Generating obfuscated data |
US8566910B2 (en) * | 2010-05-18 | 2013-10-22 | Nokia Corporation | Method and apparatus to bind a key to a namespace |
-
2010
- 2010-05-18 US US12/782,199 patent/US8661257B2/en active Active
-
2011
- 2011-03-18 EP EP11783129.7A patent/EP2572527B1/en active Active
- 2011-03-18 WO PCT/FI2011/050232 patent/WO2011144801A1/en active Application Filing
- 2011-03-18 CN CN201180035134.1A patent/CN103004244B/zh active Active
-
2012
- 2012-12-13 ZA ZA2012/09472A patent/ZA201209472B/en unknown
Non-Patent Citations (1)
Title |
---|
Interworking of Liberty Alliance Identity Federation Framework (ID-FF),Identity Web Services Framework (ID-WSF) and Generic Authentication Architecture (GAA);3GPP Organizational Partners;《3GPP TR 33.980 V9.0.0》;20091231;第26-27页 * |
Also Published As
Publication number | Publication date |
---|---|
EP2572527A1 (en) | 2013-03-27 |
WO2011144801A1 (en) | 2011-11-24 |
CN103004244A (zh) | 2013-03-27 |
ZA201209472B (en) | 2014-05-28 |
EP2572527A4 (en) | 2015-07-29 |
US8661257B2 (en) | 2014-02-25 |
US20110289315A1 (en) | 2011-11-24 |
EP2572527B1 (en) | 2017-05-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103004244B (zh) | 结合Web应用和网页的通用引导架构使用 | |
CN102550001B (zh) | 用于允许自举架构和共享身份服务相互作用的用户身份管理 | |
CN106209726B (zh) | 一种移动应用单点登录方法及装置 | |
US20090271847A1 (en) | Methods, Apparatuses, and Computer Program Products for Providing a Single Service Sign-On | |
US20130246504A1 (en) | Method for subscribing to notification, apparatus and system | |
US20150163669A1 (en) | Security mechanism for external code | |
Van Delft et al. | A security analysis of OpenID | |
CN107070843A (zh) | 一种用户设备以及在用户设备中的方法 | |
CN103384198B (zh) | 一种基于邮箱的用户身份认证服务方法和系统 | |
US9398075B2 (en) | Communication system, communication apparatus, communication method, and storage medium | |
Ferry et al. | Security evaluation of the OAuth 2.0 framework | |
CN103069742B (zh) | 用于将密钥绑定到名称空间的方法和装置 | |
CN101296225A (zh) | 会话管理功能装置及提供业务的系统和方法 | |
Armando et al. | Model-checking driven security testing of web-based applications | |
Vasileios Grammatopoulos et al. | A web tool for analyzing FIDO2/WebAuthn Requests and Responses | |
Al-Sinani et al. | Using CardSpace as a password manager | |
Al-Sinani et al. | CardSpace-Liberty integration for CardSpace users | |
JP5466770B2 (ja) | サーバにおけるスマートカード・セキュリティ機能プロファイル | |
JP2013513986A5 (zh) | ||
Gibbons et al. | Security evaluation of the OAuth 2.0 framework | |
Al-Sinani | Integrating OAuth with information card systems | |
RU2780029C1 (ru) | Способ идентификации онлайн-пользователя и его устройства | |
Barabonkov | Guarda: A web application firewall for WebAuthn transaction authentication | |
US20230319025A1 (en) | Methods and systems for implementing unique session number sharing to ensure traceability | |
Al-Sinani et al. | Implementing PassCard—a CardSpace-based password manager |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C41 | Transfer of patent application or patent right or utility model | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20160104 Address after: Espoo, Finland Applicant after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Applicant before: Nokia Oyj |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |