CN103051594A - 一种标识网端到端安全建立的方法、网络侧设备及系统 - Google Patents
一种标识网端到端安全建立的方法、网络侧设备及系统 Download PDFInfo
- Publication number
- CN103051594A CN103051594A CN201110309839XA CN201110309839A CN103051594A CN 103051594 A CN103051594 A CN 103051594A CN 201110309839X A CN201110309839X A CN 201110309839XA CN 201110309839 A CN201110309839 A CN 201110309839A CN 103051594 A CN103051594 A CN 103051594A
- Authority
- CN
- China
- Prior art keywords
- marked net
- terminal
- naf
- net terminal
- gba
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种标识网端到端安全建立的方法、网络侧设备及系统,该方法包括:在标识网终端与引导服务功能实体的GBA引导过程完成后,标识网终端或IMS终端代理为标识网终端生成衍生密钥Ks_NAF,之后标识网终端与网络业务应用实体建立安全联盟;在安全联盟的建立过程中,引导服务功能实体为网络业务应用实体生成衍生密钥Ks_NAF,且与标识网终端的Ks_NAF相同;不同的标识网终端具有不同的Ks_NAF。采用本发明方案,不同的标识网终端访问同一个NAF时,衍生的共享密钥Ks_NAF是不一样的,这样即使一个Ks_NAF泄密,也不会影响其他的Ks_NAF,从而保证了安全性。
Description
技术领域
本发明涉及网络通信领域,尤其涉及一种基于增强GBA机制的标识网端到端的安全方法和系统。
背景技术
在TCP/IP体系中,最为核心的是网络层的IP协议,通过IP地址实现用户之间的相互访问。各种应用,如网络浏览、邮件收发、即时通讯等,都承载在应用层协议之上。
用户在使用这些业务之前必须通过电信运营商提供的基础网络接入互联网,不同的用户可能有不同的接入方式,如xDSL、光纤、移动接入等等。一般情况下,用户终端都会获取到一个IP地址,用户此后就通过这个IP地址访问互联网上的各种应用,这个IP地址就相当于用户的临时身份。
由于IP地址的前缀部分表示用户当前所在的子网,当用户位置发生变化时,必须分配不同的IP地址,否则路由器无法正确地把数据包转发给用户。而因为IP地址具有身份和位置的双重属性,同时用户每次获取到的IP地址不一定相同,从而无法作为用户的长期身份标识,因此互联网上的应用系统必须自建一套用户身份标识系统,即通常所说的用户账号系统。
当前,IP地址具有双重属性的缺陷,带来了移动性和安全性问题,已经成为了制约互联网产业进一步发展的瓶颈。为了解决这个问题,业界提出了HIP(Host Identity Protocol,主机标识协议)和LISP(Locator/Identifier SeparationProtocol,位置/标识分离协议)技术等。这些技术的共同点是引入了两类编码:代表用户身份的身份编码和代表用户位置的位置编码,每个用户都既有一个身份编码又有一个位置编码,用户基于身份编码和对端发生通信,当用户位置发生变化时,用户的身份编码保持不变,而用户的位置编码将随之变化。这样,通过用户身份编码就可以始终对应到用户,而不会存在IP地址二义性的问题。
标识网是一种新型的互联网技术,引入身份位置分离的思想,支持移动接入终端移动性和连续性,尤其是标识网中每个用户都拥有唯一的永久身份标识,用户每次接入时网络都需要对身份进行验证,因此网络能够保证这个身份标识的真实性和可靠性。基于这个唯一可靠的身份标识,可以建立身份管理体系,开展基于用户身份管理的业务,提高网络安全。
标识网的基本原理是为用户设备分配固定的身份标识,用户设备之间使用身份标识代替现有技术中的互联网IP协议地址进行通信,并由位于互联网边缘的接入服务分配用户的位置标识,使用位置标识进行路由,并完成用户身份标识和位置标识之间的映射和转换。其中用户设备101(User Equipment,简称UE),支持互联网IP接入的用户设备,包括移动分组域接入终端、支持无线局域功能终端、固定接入终端、游牧终端等,还进一步包括应用服务器等业务提供设备。UE使用用户接入身份标识(Access Identity,简称AID)代替IP地址,同网络其他用户设备、业务提供者进行通信。接入服务路由器102(Access Service Router,简称ASR),是UE101所在的接入网络与互联网之间的接口设备,负责UE101的认证、用户位置标识(Routing Identity,简称RID)管理、AID和RID映射和转换,以及用户数据的封装/解封、转发等功能。认证中心103,是用于记录本网络用户的属性信息如用户类别、认证信息和用户服务等级等,完成对UE101的接入认证和授权,或者完成对终端的接入认证、授权和计费。支持终端和网络之间的双向认证。互联服务路由器104(Internet Service Router,简称ISR),是用于查询、维护本网络终端的AID-RID映射信息,封装、路由和转发本网络与传统IP网络之间交互的数据报文,实现本标识网络与传统IP网络之间的互联互通功能。
GBA(通用鉴权框架)是3GPP(第三代移动通信系统)中定义的一种通用鉴权框架。如图1所示,通用鉴权框架通常由IMS(IP多媒体业务子系统)用户(UE)、引导服务功能实体(BSF)、用户归属网络服务器(HSS)、用户定位功能实体(SLF)和网络业务应用实体(NAF)组成。UE和BSF通过Ub接口连接,BSF和NAF通过Zn接口连接,UE和NAF通过Ua接口连接,SLF和BSF通过Dz接口连接,BSF和HSS通过Zh接口连接。BSF用于与UE进行互验证身份,同时生成BSF与用户的共享密钥(即根密钥)Ks;HSS中存储用于描述用户信息的签约文件,同时HSS还兼有产生鉴权信息的功能。SLF用于当存在多个HSS时,协助BSF查找响应的HSS。NAF用于为UE提供网络业务。
当用户UE第一次向NAF发出应用请求时,不知道NAF是否需要GBA过程,就不携带GBA参数。如果NAF要求进行初始的GBA过程,则在发给UE的响应消息中会告诉UE进行GBA过程。
当用户UE需要使用某种业务时,如果用户知道该业务需要到BSF进行互鉴权过程,则直接发送鉴权请求到BSF进行互鉴权。否则,用户会首先和该业务对应的NAF联系,如果该NAF使用GBA通用鉴权框架,并且发现该用户还未到BSF进行互认证过程,NAF则通知该用户到BSF进行互鉴权以验证身份。
GBA中的UE上包含IP多媒体业务身份标识模块ISIM(IP MultimediaServices SubscriberIdentity Module)/通用集成电路卡UICC,而且UE上既包含GBA客户端,也包含NAF应用客户端。但是随着通用鉴权框架应用范围越来越广泛,出现一些新的应用场景,例如在传统的没有ISIM/UICC模块因而也就不具备ISIM能力的用户终端上,或者NAF应用客户端与GBA客户端分离的终端(多个外围终端采用同一个ISIM/UICC访问网络业务)上如何应用GBA。
TISPAN(ETSI的NGN网络标准)中定义了一种称为IMS驻留网关IRG(IMS Residential Gateway)的功能实体,用于为那些非IMS终端提供访问IMS业务的安全通道。IMS驻留网关功能上相当于一个B2BUA(背靠背用户代理)实体,其具有一个“ISIM ON UICC(通用集成电路卡上的IP多媒体业务身份标识模块)”模块,用来为这些非IMS终端提供访问IMS业务的安全通道,并且该模块上存储了一个私有用户标识(IMPI)和多个公共用户标识(IMPU)。
这种应用场景下,一个IMS用户可能具备多个非IMS终端设备,并且所有这些非IMS终端采用同一个ISIM/UICC(位于IMS终端代理上)访问网络业务。另外NAF应用客户端位于IMS终端代理以外的一个或多个非IMS终端上,因此与执行GBA的客户端(位于IMS终端代理商)不在同一个设备上,我们称之为增强的GBA框架。IMS终端代理B2BUA为这些非IMS终端生成衍生密钥Ks_NAF,这些非IMS终端利用该生成的衍生密钥Ks_NAF和NAF通信。当多个外围终端设备共享一个UE上的GBA客户端时,如果这些外围终端设备中的某两个或几个访问同一个NAF时,还会出现多个外围终端设备采用同一个衍生密钥Ks_NAF与某一个NAF通信的情况,造成安全隐患;如果其中一个被攻破,另外一个也会不攻自破。
标识网和GBA架构有多种组网方式,图2和图3给出了两种典型的方式。图2是标识网终端具有IMS终端能力,且在标识网内部署GBA架构,分别利用ASR和ISR与GBA架构内的BSF和NAF网元相连使得两个架构联系起来;图3是标识网终端不具有IMS终端能力,需借助B2BUA代理,且标识网内部署了GBA架构,分别利用ASR和ISR与GBA架构内的BSF和NAF网元相连使得两个架构联系起来,并通过一个或多个ISR和Zn-Proxy与GBA架构内的NAF网元相连使得两个架构联系起来。在此两种组网方式中,标识网内的认证中心或可作为GBA架构下的HSS使用,也可单独使用一个HSS网元;同时Zn-Proxy功能可以在ISR内,也可以单独为一个网元来实现整个功能。
发明内容
有鉴于此,本发明提供了一种基于增强GBA机制的标识网端到端安全建立的方法、网络侧设备及系统,从而解决标识网用户安全的访问和获取互联网应用服务内容时的终端到业务服务器之间端到端的安全;同时根据本地定义策略也可实现不同标识网用户使用相同代理的Ks,并且实现同一标识网用户一定的单点登录能力,即同一标识网终端具有相同的根密钥Ks。
本发明提供一种标识网端到端安全建立的方法,包括:
标识网终端向网络业务应用实体发起应用请求消息,所述网络业务应用实体判断所述标识网终端是否完成与引导服务功能实体的通用鉴权框架GBA的引导过程,若未完成则网络业务应用实体指示标识网终端与引导服务功能实体执行GBA的引导过程,在所述GBA的引导过程完成后,标识网终端或IMS终端代理为标识网终端生成衍生密钥Ks_NAF,之后标识网终端与网络业务应用实体建立安全联盟;
若已完成则网络业务应用实体与所述标识网终端直接建立安全联盟,且标识网终端或IMS终端代理为标识网终端生成衍生密钥Ks_NAF;
在所述安全联盟的建立过程中,所述引导服务功能实体为网络业务应用实体生成衍生密钥Ks_NAF,且与标识网终端的Ks_NAF相同;
不同的标识网终端具有不同的Ks_NAF。
进一步地,所述网络业务应用实体判断所述标识网终端是否完成与引导服务功能实体的GBA的引导过程的方法为:
网络业务应用实体判断应用请求消息中是否携带GBA参数,若未携带则判定标识网终端未与引导服务功能实体完成GBA的引导过程,若已携带则判定标识网终端已与引导服务功能实体完成GBA的引导过程。
进一步地,具有IMS能力的标识网终端与引导服务功能实体进行引导交互时,向引导服务功能实体发送GBA请求消息时携带私有身份标识符IMPI和终端用户标识符AID,当所述引导服务功能实体完成对所述标识网终端的鉴权后生成一引导事务标识B-TID及根密钥,所述引导服务功能实体将B-TID以及根密钥的有效期发送至标识网终端,所述标识网终端保存所述B-TID以及根密钥的有效期,并生成一根密钥,所述标识网终端还根据预设的生成衍生密钥的方式生成一生成衍生密钥。
进一步地,非IMS标识网终端或不具有IMS能力的标识网终端与引导服务功能实体进行引导交互时,所述标识网终端向IMS终端代理发送GBA请求消息,其中携带终端用户标识符AID及网络业务应用实体标识,所述IMS终端代理向引导服务功能实体发送GBA请求消息,其中携带IMS终端代理自身ISIM模块内的私有身份标识符IMPI和所述AID;
当所述引导服务功能实体完成对所述标识网终端的鉴权后生成一引导事务标识B-TID及根密钥,所述引导服务功能实体将B-TID以及根密钥的有效期发送至IMS终端代理,所述IMS终端代理保存所述B-TID以及根密钥的有效期,并生成一根密钥,所述IMS终端代理还根据预设的生成衍生密钥的方式生成一生成衍生密钥,然后将衍生密钥、B-TID、AID及密钥有效期发给标识网终端。
进一步地,所述引导服务功能实体还在本地存储以下关联表:(a)B-TID,IMPI,Ks,AID,密钥有效期及引导开始时间的关联关系;或(b)B-TID与AID的关联关系,以及B-TID与Ks、RAND、IMPI之间的关联关系;
当所述标识网终端与网络业务应用实体建立安全联盟时,向网络业务应用实体发送应用请求消息,其中携带B-TID以及AID;所述网络业务应用实体收到应用请求消息后向引导服务功能实体发送认证请求消息,其中携带B-TID以及网络业务应用实体标识;
所述引导服务功能实体根据认证请求消息中的B-TID查找所述关联表获得生成衍生密钥的信息,并根据预设的计算方式计算一衍生密钥,引导服务功能实体将生成的衍生密钥、应用相关用户属性数据、GBA开始时间及密钥有效期发送至所述网络业务应用实体,所述网络业务应用实体保存衍生密钥与B-TID及IMPI的关系。
进一步地,所述预设的生成衍生密钥的方式为根据以下公式计算衍生密钥:Ks_NAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_ID,AID)。
本发明还提供一种标识网端到端安全建立的方法,包括:
标识网终端与引导服务功能实体完成GBA的引导过程后,生成衍生密钥Ks_NAF,之后所述标识网终端与网络业务应用实体建立安全联盟,且不同的标识网终端具有不同的Ks_NAF;
所述标识网终端为具有IMS能力的标识网终端。
进一步地,所述标识网终端与引导服务功能实体进行GBA的引导过程时,标识网终端向引导服务功能实体发送GBA请求消息时携带私有身份标识符IMPI和终端用户标识符AID;
当所述标识网终端收到引导事务标识B-TID以及根密钥的有效期后,保存所述B-TID以及根密钥的有效期,并生成一根密钥;
所述标识网终端生成Ks_NAF是在收到B-TID以及根密钥的有效期后根据预设方式生成。
进一步地,所述标识网终端根据以下公式计算衍生密钥:
Ks_NAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_ID,AID)。
本发明还提供一种标识网端到端安全建立的方法,包括:
IMS终端代理收到标识网终端发来的应用请求消息后,根据所述业务请求消息判断所述标识网终端是否已完成与引导服务功能实体的交互认证,若已完成则为所述标识网终端生成一衍生密钥Ks_NAF,若未完成则于收到成功响应消息后为所述标识网终端生成一衍生密钥Ks_NAF;
所述标识网终端为非IMS标识网终端或不具有IMS能力的标识网终端。
进一步地,所述IMS终端代理根据以下公式计算衍生密钥:
Ks_NAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_ID,AID)。
本发明还提供一种标识网端到端安全建立的方法,包括:
在网络应用实体与标识网终端建立安全联盟过程中,引导服务功能实体为网络业务应用实体生成一衍生密钥Ks_NAF,并将生成的Ks_NAF发送至所述网络业务应用实体。
进一步地,引导服务功能实体收到标识网终端发来的GBA请求消息后完成对所述标识网终端的鉴权,之后生成一引导事务标识B-TID及根密钥,所述引导服务功能实体将B-TID以及根密钥的有效期发送至标识网终端。
进一步地,所述引导服务功能实体在本地存储一关联表,所述关联表为以下信息间的关联关系:B-TID,IMPI,Ks,AID,密钥有效期及引导开始时间。
进一步地,所述网络应用实体收到标识网终端发来的应用请求消息后,判断其中是否包含GBA参数,若未包含则返回应用请求响应消息,指示标识网终端与引导服务功能实体进行GBA的引导过程,若已包含则与标识网终端建立安全联盟。
进一步地,所述引导服务功能实体根据以下公式计算衍生密钥:
Ks_NAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_ID,AID)。
本发明还提供一种标识网端到端安全建立的标识网终端,用于完成与引导服务功能实体进行通用鉴权框架GBA的引导过程后生成衍生密钥Ks_NAF;所述标识网终端还用于与网络业务应用实体建立安全联盟;
所述标识网终端为具有IMS能力的标识网终端。
进一步地,所述标识网终端根据以下公式计算衍生密钥:
Ks_NAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_ID,AID)。
本发明还提供一种标识网端到端安全建立的网络侧设备,包括引导服务功能实体及网络应用实体;
所述引导服务功能实体,用于在网络应用实体与标识网终端建立安全联盟过程中为所述网络业务应用实体生成一衍生密钥Ks_NAF,并将生成的Ks_NAF发送至所述网络业务应用实体。
进一步地,所述引导服务功能实体还用于收到标识网终端发来的GBA请求消息后完成对所述标识网终端的鉴权,之后生成一引导事务标识B-TID及根密钥,并将B-TID以及根密钥的有效期发送至标识网终端。
进一步地,所述引导服务功能实体还用于在本地存储以下关联表:(a)B-TID,IMPI,Ks,AID,密钥有效期及引导开始时间的关联关系;或(b)B-TID与AID的关联关系,以及B-TID与Ks、RAND、IMPI之间的关联关系;
当引导服务功能实体收到认证请求消息后,根据其中的B-TID查找所述关联关系,获得Ks、RAND、IMPI及AID,并根据以下公式计算衍生密钥:
Ks_NAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_ID,AID)。
进一步地,所述网络侧设备还包括IMS终端代理,用于收到标识网终端发来的应用请求消息后,根据所述业务请求消息判断所述标识网终端是否已完成与引导服务功能实体的交互认证,若已完成则为所述标识网终端生成一衍生密钥Ks_NAF,若未完成则于收到成功响应消息后为所述标识网终端生成一衍生密钥Ks_NAF;
所述标识网终端为非IMS标识网终端或不具有IMS能力的标识网终端。
本发明还提供一种标识网端到端安全建立的系统,所述系统包括如上任一所述的标识网终端以及如上任一所述的网络侧设备。
依照本发明,由于与衍生密钥Ks_NAF的生成的终端身份标识是由网络侧实体传递来的,因此标识网终端不需要主动将该标识发送给B2BUA,从而防止了非法标识网终端进行终端身份标识伪装攻击的隐患。同时,不同的标识网终端访问同一个NAF时,衍生的共享密钥Ks_NAF是不一样的,这样即使一个Ks_NAF泄密,也不会影响其他的Ks_NAF,从而保证了安全性。此外,终端身份标识是由B2BUA连同衍生密钥Ks_NAF一起传给标识网终端,这样即使知道标识网终端的AID,在不知道Ks_NAF的情况下也无法与NAF进行通信,因此保证了标识网终端上不容易进行伪标识攻击。
附图说明
图1为GBA架构的框架图;
图2为标识网和GBA架构的第一种部署示意图;
图3为标识网和GBA架构的第二种部署示意图;
图4为本发明方法实现流程图;
图5为本发明方法实施例一的UE和NAF之间的初始引导过程的流程图;
图6为本发明方法实施例二的UE和BSF之间的引导交互过程的流程图;
图7为本发明方法实施例三的UE和NAF之间建立安全联盟的流程图;
图8为本发明方法实施例四的UE和多个NAF之间建立安全联盟的流程图;
图9为本发明方法实施例五的密钥过期时UE和NAF执行的处理的流程图。
具体实施方式
本发明提供一种基于增强GBA机制的标识网端到端安全建立的方法、网络侧设备及系统,标识网终端向网络业务应用实体发起应用请求消息,当收到与引导服务功能实体执行鉴权处理的指示后与引导服务功能实体进行通用鉴权框架GBA的引导过程,标识网终端或IMS终端代理为标识网终端生成衍生密钥Ks_NAF,之后标识网终端与网络业务应用实体建立安全联盟的过程中,引导服务功能实体为网络业务应用实体生成与所述Ks_NAF相同的Ks_NAF,且不同的标识网终端具有不同的Ks_NAF。
以下通过几个实施例详细描述本发明;
终端实施例
本实施例提供一种标识网端到端安全建立的标识网终端,用于完成与引导服务功能实体进行通用鉴权框架GBA的引导过程后生成衍生密钥Ks_NAF;还用于与网络业务应用实体建立安全联盟;
所述标识网终端为具有IMS能力的标识网终端。
进一步地,标识网终端根据以下公式计算衍生密钥:
Ks_NAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_ID,AID)。
设备实施例
本实施例提供一种标识网端到端安全建立的网络侧设备,包括引导服务功能实体及网络应用实体;其中,
引导服务功能实体,用于在网络应用实体与标识网终端建立安全联盟过程中为网络业务应用实体生成一衍生密钥Ks_NAF,并将生成的Ks_NAF发送至网络业务应用实体。
进一步地,引导服务功能实体还用于收到标识网终端发来的GBA请求消息后完成对标识网终端的鉴权,之后生成一引导事务标识B-TID及根密钥,并将B-TID以及根密钥的有效期发送至标识网终端。
进一步地,引导服务功能实体还用于在本地存储(a)B-TID,IMPI,Ks,AID,密钥有效期及引导开始时间的关联关系;或(b)B-TID与AID的关联关系,以及B-TID与Ks、RAND、IMPI之间的关联关系;
当引导服务功能实体收到认证请求消息后,根据其中的B-TID查找所述关联关系,获得Ks、RAND、IMPI及AID,并根据以下公式计算衍生密钥:
Ks_NAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_ID,AID)。
进一步地,网络侧设备还包括IMS终端代理,用于收到标识网终端发来的应用请求消息后,根据业务请求消息判断所述标识网终端是否已完成与引导服务功能实体的交互认证,若已完成则为标识网终端生成一衍生密钥Ks_NAF,若未完成则于收到成功响应消息后为标识网终端生成一衍生密钥Ks_NAF;
所述标识网终端为非IMS标识网终端或不具有IMS能力的标识网终端。
系统实施例
本实施例提供一种标识网端到端安全建立的系统,包括终端实施例所述的标识网终端,以及设备实施例所述的网络侧设备。
方法实施例
本发明提供一种标识网端到端安全建立的方法,如图4所示,标识网用户终端应用增强型通用鉴权架构的方法如下步骤:
对于非IMS终端及不具有IMS能力的终端均需要通过B2BUA进行交互;
步骤a,标识网用户终端发送不带GBA参数的应用请求消息给网络业务应用实体,网络业务应用实体响应该应用请求消息,指示标识网用户终端与引导服务功能实体执行鉴权处理;
步骤b,对于具有IMS能力的标识网终端,在收到与引导服务功能实体执行鉴权处理的指示后,与BSF进行GBA的引导过程;
对于非IMS标识网终端或不具有IMS能力的标识网终端,IMS终端代理在接收到标识网用户终端的GBA请求消息后,与BSF进行GBA的引导过程;
步骤c,对于具有IMS能力的标识网终端,在GBA的引导过程完成后,为本终端生成衍生密钥Ks_NAF;
对于非IMS标识网终端或不具有IMS能力的标识网终端,在GBA的引导过程完成后,IMS终端代理为标识网终端生成衍生密钥Ks_NAF;
步骤d,标识网终端与网络业务应用实体NAF建立安全联盟,在安全联盟建立过程中,引导服务功能实体BSF为网络业务应用实体NAF生成衍生密钥Ks_NAF,其与步骤c中生成的衍生密钥Ks_NAF相同。
这样,NAF和UE就通过B2BUA共同获取了一个公共密钥Ks_NAF。而且,对于不同的UE,只要使用的AID不同,相应的Ks_NAF也就不一样,这样即使一个Ks_NAF泄密,也不会影响到其他Ks_NAF。从而保证了安全性。
下面结合附图和具体实施实例对本发明的技术方案进一步详细阐述。
本发明提出了一种标识网终端通过IMS终端代理B2BUA实体应用增强通用鉴权架构(GBA)完成标识网终端和请求服务器之间的安全通信功能。该B2BUA实体包括NGN的IMS驻留网关实体,或具有类似功能的实体。该类终端为标识网终端。HSS实体内亦可储存了标识网终端的标识信息AID。此外,在本发明中,假设这些标识网终端UE和B2BUA之间的接口是安全的。而且,B2BUA不能主动发起GBA过程,必须由UE来触发。依据本发明,不同的标识网终端访问同一个NAF时,即使其中一个终端的密钥泄露,也不会影响到其他的标识网终端的安全性。
实施例一
如图5所示,本实施例描述了UE和NAF之间的初始引导过程的两种方式。首先标识网终端要通过在标识网内部进行用户接入认证使得该标识网终端接入到标识网内。
方法1:
步骤101:标识网终端与认证中心进行用户接入认证;
步骤102:标识网终端向ISR发送应用请求消息,ISR将应用请求消息转发至NAF;
该应用请求消息不携带任何GBA参数。
步骤103:NAF发送应用响应消息给标识网终端,指示标识网终端需要先和BSF进行GBA的引导过程。
方法2:
ISR发送应用请求消息,ISR将应用请求消息转发至NAF;
步骤101:标识网终端与认证中心进行用户接入认证;
步骤102a:标识网终端向IMS终端代理发送应用请求消息;
步骤102b:IMS终端代理通过ISR将应用请求消息转发至NAF;
步骤103a:NAF返回应用响应消息,指示标识网终端需要先和BSF进行GBA的引导过程,该应用响应消息通过ISR转发至IMS终端代理;
步骤103b:IMS终端代理将接收的应用响应消息转发至标识网终端。
实施例二
当按照图5所描述的任一方式执行了初始引导过程之后,执行如图6所示的UE和BSF之间的GBA引导交互过程,并在GBA引导交互过程完成后,为标识网终端生成衍生密钥Ks_NAF。该图以非IMS终端或不具有IMS能力的终端为例进行描述,该引导交互过程包括如下步骤:
步骤201:UE发送GBA请求到B2BUA,该GBA请求中携带有该UE的身份标识符AID和NAF的标识ID。
在下述步骤202-209中,执行B2BUA和BSF之间的互相鉴权过程。通过这些步骤,BSF生成了事务标识B-TID,连同密钥有效期一同发给B2BUA,并且B2BUA和BSF都生成根密钥Ks。此外,在BSF中保存一张关联表(即B-TID,IMPI,Ks,AID,密钥有效期,引导开始时间之间的关联关系),从而当BSF收到NAF的请求后可以根据此B-TID查到根密钥Ks。
具体地,
步骤202:B2BUA向BSF发送GBA请求消息,该GBA请求消息包含B2BUA自身ISIM模块内的私有身份标识符IMPI和终端用户标识符AID;
步骤203:BSF向HSS获取认证向量,BSF通过与HSS的交互获取该B2BUA的鉴权向量信息,鉴权向量信息包括AUTN、RAND、IK、CK以及XRES等;
步骤204:BSF向B2BUA返回401未授权挑战消息,该消息中包含AUTN、RAND。
具体的说,BSF在接收到B2BUA的鉴权向量信息后,将鉴权向量信息中的AUTN以及RAND,一并携带在挑战消息中,并将该消息返回给B2BUA。其中,AUTN用于验证BSF的身份,RAND用于使B2BUA获取与BSF侧相同的IK和CK。
步骤205:B2BUA收到未授权挑战消息后,通过运行AKA算法,检查AUTN的有效性以鉴权网络,即通过对其中AUTN的有效性检查验证对端BSF的身份,并根据RAND得到IK和CK,并生成RES。
步骤206:B2BUA再次向BSF发送GBA请求消息,并在该消息中携带RES,其中,RES用于验证B2BUA的身份。
步骤207:BSF检查RES的有效性以鉴权B2BUA;并生成事务标识B-TID;
BSF还在本地保存一张关联表(即B-TID,IMPI,Ks,AID,密钥有效期,引导开始时间间的关联关系)。
具体地,BSF通过判断GBA请求消息中的RES是否与从HSS处获取的XRES一致,从而对B2BUA进行鉴权。而且,BSF根据从HSS处获取的IK和CK生成Ks。
步骤208:BSF将B-TID以及Ks的有效期携带在200OK成功响应消息中发送给B2BUA。
具体地说,BSF为标识与B2BUA之间本次鉴权交互事务而分配一个B-TID,使该B-TID与Ks、AID、B2BUA的私有用户标识IMPI相关联,以便以后BSF可以根据该B-TID查找出相应的Ks,并且,为Ks定义一个有效期,以便Ks进行定期更新。BSF将该B-TID以及Ks的有效期携带在200OK成功响应消息中。
步骤209:B2BUA在接收到该成功响应消息后,得到B-TID和Ks的有效期,并将该B-TID和Ks的有效期保存在B2BUA侧,并生成Ks。
步骤210:B2BUA根据公式Ks_NAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_ID,AID)计算出Ks_NAF,并保存Ks_NAF与私有用户标识IMPI和NAF_ID之间的关系。
步骤211:B2BUA将Ks_NAF、B-TID、AID、密钥有效期发给标识网终端UE。
在该实施例中,若终端为具有IMS能力的标识网终端,则与BSF进行GBA的引导交互时不需要B2BUA参与,因此步骤201中标识网终端发送GBA请求时还需要携带本终端ISIM模块内的私有身份标识符IMPI,且标识网终端在收到成功响应消息后为本终端生成Ks_NAF。
实施例三
当通过图6所描述的流程完成了UE与BSF之间的引导交互过程之后,接着执行如图7所描述的过程,实现UE和NAF之间的SA(安全联盟)建立。如图7所示,其包括如下步骤。
步骤301:UE发送应用请求消息给NAF,该应用请求中携带有B-TID,AID;
该步骤301也可以由图中的步骤301a-301b代替,在这些步骤中,UE通过B2BUA将应用请求消息发给NAF,这里B2BUA起到转发的作用,该应用请求消息也包括B-TID和AID。标识网身份标识AID,在经过ISR时会自动转换为对应的IP地址传递到NAF,不会把AID自身传递到NAF。
步骤302:NAF发送认证请求消息给BSF,该认证请求消息携带有B-TID和NAF主机名(即NAF的标识ID)。
步骤303:BSF根据和终端侧相同的公式计算出Ks_NAF;
具体地,BSF根据B-TID查找存储在BSF中的关联表,获得Ks、AID和IMPI,根据获得的参数和在步骤302中发送来的参数,生成Ks_NAF。
步骤304:BSF将Ks_NAF、应用相关用户属性数据、GBA开始时间、密钥有效期发送给NAF。
步骤305:NAF保存Ks_NAF等参数以及B-TID,IMPI的关系。
步骤306:NAF发送应用响应消息给UE。
相应的,该步骤也可以由图中的步骤306a-306b代替,即NAF也可能通过B2BUA将应用响应消息发给UE。
通过上面图5的过程,B2BUA为UE生成了衍生密钥Ks_NAF,且通过图6所示的处理,BSF为NAF生成了相同的衍生密钥Ks_NAF。从而,UE和NAF之间建立了安全联盟。
实施例四
当通过图6所描述的流程完成了UE与BSF之间的引导交互过程之后,UE又要访问另外一个应用服务器NAF2。则需要执行如图8所描述的过程,实现UE和NAF2之间的SA(安全联盟)建立。如图8所示,其包括如下步骤。
步骤401a:该UE已经在访问应用服务器NAF1时完成了UE和BSF之间的交互认证过程,并且在UE内存储了UE和BSF交互认证的相关信息,如B-TID、AID等;则UE经B2BUA向NAF发送应用请求消息,该消息中携带B-TID、AID、NAF_ID2和应用请求消息内容。B2BUA内储存了关于UE和BSF之间的交互认证的各种GBA参数信息和终端标识符AID,发现该AID下的终端已经认证通过,并且在根密钥Ks的有效期内,则可以直接跳过上述UE和BSF之间的交互认证步骤202-209。直接根据公式Ks_NAF=KDF(Ks,”gba-me”,RAND,IMPI,NAF_ID2,AID)计算出Ks_NAF,并保存Ks_NAF与私有用户标识IMPI和NAF_ID2之间的关系。
步骤401b:B2BUA发送应用请求消息给NAF2,该应用请求中携带有B-TID和对应的AID的IP地址等。标识网身份标识AID,在经过ISR时会自动转换为对应的IP地址传递到NAF2,不会把AID自身传递到NAF2。
步骤402:NAF2发送认证请求消息给BSF,该认证请求消息携带有B-TID和NAF2主机名(即NAF2的标识ID)。
步骤403:BSF根据和用户侧相同的的公式计算出Ks_NAF;
具体地,BSF根据B-TID查找存储在BSF中的表,获得Ks、AID和IMPI,根据获得的参数和在步骤402中发送来的参数,生成Ks_NAF。
步骤404:BSF将Ks_NAF、应用相关用户属性数据、GBA开始时间、密钥有效期发送给NAF2。
步骤405:NAF2保存Ks_NAF等参数以及B-TID,IMPI的关系。
步骤406:NAF2发送应用响应消息给UE。
实施例五
当通过上面的描述过程建立了UE和NAF之间的安全联盟之后,UE和NAF之间执行安全的通信,但是如果NAF认为衍生的共享密钥Ks_NAF已经过期,则可以通过如图9所示的步骤502中指示UE需要重新执行和BSF之间的相互鉴权过程。当然,该指示也可以通过按照步骤502a和502b由B2BUA进行转发。
根据上述的方法实现,在标识网终端UE自身具有IMS终端的相应功能时,则将不需要B2BUA代理,标识网终端UE直接与BSF之间进行相互的认证引导过程。同时BSF部署在标识网架构内时,则标识网内的认证中心可以为BSF提供相应的认证向量参数,此时标识网的认证中心可以相当于GBA架构下的HSS网元,亦可以单独部署HSS功能实体。同时BSF与标识网外部传统IP网络上的NAF之间可以通过一个或多个ISR/Zn-Proxy;其中Zn-proxy功能实体可以位于ISR内,也可以单独为一个功能网元实现整个功能。
当标识网UE和旧版本的BSF之间需要进行GBA过程时,当GBA过程完成后,BSF应将B-TID和AID之间的关系记录下来(BSF已存储B-TID与Ks、RAND、IMPI之间的关系),同时UE会使用带终端标识符AID的密钥推导公式Ks_NAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_ID,AID)生成Ks_NAF;在UE向NAF发送应用请求消息中携带B-TID,NAF将向BSF发送的认证请求消息中携带此B-TID。BSF根据B-TID查出对应的设备标识,然后BSF使用相同的密钥推导公式Ks_NAF=KDF(Ks,”gba-me”,RAND,IMPI,NAF_ID,AID)生成Ks_NAF,因此标识网终端UE和旧版BSF之间可以实现互通。
本发明适用于各种类型的标识网终端,该非IMS终端代理实体可以是所述B2BUA(IRG)实体,也可以是3GPP/3GPP2中具备类似功能的实体。
依照本发明,不同的标识网终端访问同一个NAF时,衍生密钥Ks_NAF是不一样的,这样即使一个Ks_NAF泄密,也不会影响其他的Ks_NAF,从而保证了安全性。此外,终端标识是由B2BUA连同衍生共享密钥Ks_NAF一起传给标识网终端,这样保证了标识网终端上不容易进行伪标识攻击。此外,同一个标识网终端访问不同的NAF时,在根密钥Ks的有效期,标识网终端只需和BSF之间进行一次交互认证,利用此次交互认证产生的信息,为后续访问的NAF提供参数,生成不同的Ks_NAF密钥。该发明提供的方法能整体实现标识网终端和NAF之间的端到端的安全。同时,本发明是在现有的GBA架构上进行的扩展,从而保证了后向兼容性。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (23)
1.一种标识网端到端安全建立的方法,包括:
标识网终端向网络业务应用实体发起应用请求消息,所述网络业务应用实体判断所述标识网终端是否完成与引导服务功能实体的通用鉴权框架GBA的引导过程,若未完成则网络业务应用实体指示标识网终端与引导服务功能实体执行GBA的引导过程,在所述GBA的引导过程完成后,标识网终端或IMS终端代理为标识网终端生成衍生密钥Ks_NAF,之后标识网终端与网络业务应用实体建立安全联盟;
若已完成则网络业务应用实体与所述标识网终端直接建立安全联盟,且标识网终端或IMS终端代理为标识网终端生成衍生密钥Ks_NAF;
在所述安全联盟的建立过程中,所述引导服务功能实体为网络业务应用实体生成衍生密钥Ks_NAF,且与标识网终端的Ks_NAF相同;
不同的标识网终端具有不同的Ks_NAF。
2.如权利要求1所述的方法,其特征在于:
所述网络业务应用实体判断所述标识网终端是否完成与引导服务功能实体的GBA的引导过程的方法为:
网络业务应用实体判断应用请求消息中是否携带GBA参数,若未携带则判定标识网终端未与引导服务功能实体完成GBA的引导过程,若已携带则判定标识网终端已与引导服务功能实体完成GBA的引导过程。
3.如权利要求1所述的方法,其特征在于:
具有IMS能力的标识网终端与引导服务功能实体进行引导交互时,向引导服务功能实体发送GBA请求消息时携带私有身份标识符IMPI和终端用户标识符AID,当所述引导服务功能实体完成对所述标识网终端的鉴权后生成一引导事务标识B-TID及根密钥,所述引导服务功能实体将B-TID以及根密钥的有效期发送至标识网终端,所述标识网终端保存所述B-TID以及根密钥的有效期,并生成一根密钥,所述标识网终端还根据预设的生成衍生密钥的方式生成一生成衍生密钥。
4.如权利要求1所述的方法,其特征在于:
非IMS标识网终端或不具有IMS能力的标识网终端与引导服务功能实体进行引导交互时,所述标识网终端向IMS终端代理发送GBA请求消息,其中携带终端用户标识符AID及网络业务应用实体标识,所述IMS终端代理向引导服务功能实体发送GBA请求消息,其中携带IMS终端代理自身ISIM模块内的私有身份标识符IMPI和所述AID;
当所述引导服务功能实体完成对所述标识网终端的鉴权后生成一引导事务标识B-TID及根密钥,所述引导服务功能实体将B-TID以及根密钥的有效期发送至IMS终端代理,所述IMS终端代理保存所述B-TID以及根密钥的有效期,并生成一根密钥,所述IMS终端代理还根据预设的生成衍生密钥的方式生成一生成衍生密钥,然后将衍生密钥、B-TID、AID及密钥有效期发给标识网终端。
5.如权利要求3或4所述的方法,其特征在于:
所述引导服务功能实体还在本地存储以下关联表:(a)B-TID,IMPI,Ks,AID,密钥有效期及引导开始时间的关联关系;或(b)B-TID与AID的关联关系,以及B-TID与Ks、RAND、IMPI之间的关联关系;
当所述标识网终端与网络业务应用实体建立安全联盟时,向网络业务应用实体发送应用请求消息,其中携带B-TID以及AID;所述网络业务应用实体收到应用请求消息后向引导服务功能实体发送认证请求消息,其中携带B-TID以及网络业务应用实体标识;
所述引导服务功能实体根据认证请求消息中的B-TID查找所述关联表获得生成衍生密钥的信息,并根据预设的计算方式计算一衍生密钥,引导服务功能实体将生成的衍生密钥、应用相关用户属性数据、GBA开始时间及密钥有效期发送至所述网络业务应用实体,所述网络业务应用实体保存衍生密钥与B-TID及IMPI的关系。
6.如权利要求5所述的方法,其特征在于:
所述预设的生成衍生密钥的方式为根据以下公式计算衍生密钥:Ks_NAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_ID,AID)。
7.一种标识网端到端安全建立的方法,包括:
标识网终端与引导服务功能实体完成GBA的引导过程后,生成衍生密钥Ks_NAF,之后所述标识网终端与网络业务应用实体建立安全联盟,且不同的标识网终端具有不同的Ks_NAF;
所述标识网终端为具有IMS能力的标识网终端。
8.如权利要求7所述的方法,其特征在于:
所述标识网终端与引导服务功能实体进行GBA的引导过程时,标识网终端向引导服务功能实体发送GBA请求消息时携带私有身份标识符IMPI和终端用户标识符AID;
当所述标识网终端收到引导事务标识B-TID以及根密钥的有效期后,保存所述B-TID以及根密钥的有效期,并生成一根密钥;
所述标识网终端生成Ks_NAF是在收到B-TID以及根密钥的有效期后根据预设方式生成。
9.如权利要求8所述的方法,其特征在于:
所述标识网终端根据以下公式计算衍生密钥:
Ks_NAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_ID,AID)。
10.一种标识网端到端安全建立的方法,包括:
IMS终端代理收到标识网终端发来的应用请求消息后,根据所述业务请求消息判断所述标识网终端是否已完成与引导服务功能实体的交互认证,若已完成则为所述标识网终端生成一衍生密钥Ks_NAF,若未完成则于收到成功响应消息后为所述标识网终端生成一衍生密钥Ks_NAF;
所述标识网终端为非IMS标识网终端或不具有IMS能力的标识网终端。
11.如权利要求10所述的方法,其特征在于:
所述IMS终端代理根据以下公式计算衍生密钥:
Ks_NAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_ID,AID)。
12.一种标识网端到端安全建立的方法,包括:
在网络应用实体与标识网终端建立安全联盟过程中,引导服务功能实体为网络业务应用实体生成一衍生密钥Ks_NAF,并将生成的Ks_NAF发送至所述网络业务应用实体。
13.如权利要求12所述的方法,其特征在于,所述方法还包括:
引导服务功能实体收到标识网终端发来的GBA请求消息后完成对所述标识网终端的鉴权,之后生成一引导事务标识B-TID及根密钥,所述引导服务功能实体将B-TID以及根密钥的有效期发送至标识网终端。
14.如权利要求13所述的方法,其特征在于,所述方法还包括:
所述引导服务功能实体在本地存储一关联表,所述关联表为以下信息间的关联关系:B-TID,IMPI,Ks,AID,密钥有效期及引导开始时间。
15.如权利要求12所述的方法,其特征在于,所述方法还包括:
所述网络应用实体收到标识网终端发来的应用请求消息后,判断其中是否包含GBA参数,若未包含则返回应用请求响应消息,指示标识网终端与引导服务功能实体进行GBA的引导过程,若已包含则与标识网终端建立安全联盟。
16.如权利要求12所述的方法,其特征在于:
所述引导服务功能实体根据以下公式计算衍生密钥:
Ks_NAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_ID,AID)。
17.一种标识网端到端安全建立的标识网终端,其特征在于:
所述标识网终端,用于完成与引导服务功能实体进行通用鉴权框架GBA的引导过程后生成衍生密钥Ks_NAF;所述标识网终端还用于与网络业务应用实体建立安全联盟;
所述标识网终端为具有IMS能力的标识网终端。
18.如权利要求17所述的标识网终端,其特征在于:
所述标识网终端根据以下公式计算衍生密钥:
Ks_NAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_ID,AID)。
19.一种标识网端到端安全建立的网络侧设备,包括引导服务功能实体及网络应用实体;其特征在于:
所述引导服务功能实体,用于在网络应用实体与标识网终端建立安全联盟过程中为所述网络业务应用实体生成一衍生密钥Ks_NAF,并将生成的Ks_NAF发送至所述网络业务应用实体。
20.如权利要求19所述的网络侧设备,其特征在于:
所述引导服务功能实体还用于收到标识网终端发来的GBA请求消息后完成对所述标识网终端的鉴权,之后生成一引导事务标识B-TID及根密钥,并将B-TID以及根密钥的有效期发送至标识网终端。
21.如权利要求20所述的络侧设备,其特征在于:
所述引导服务功能实体还用于在本地存储以下关联表:(a)B-TID,IMPI,Ks,AID,密钥有效期及引导开始时间的关联关系;或(b)B-TID与AID的关联关系,以及B-TID与Ks、RAND、IMPI之间的关联关系;
当引导服务功能实体收到认证请求消息后,根据其中的B-TID查找所述关联关系,获得Ks、RAND、IMPI及AID,并根据以下公式计算衍生密钥:
Ks_NAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_ID,AID)。
22.如权利要求19所述的网络侧设备,其特征在于:
所述网络侧设备还包括IMS终端代理,用于收到标识网终端发来的应用请求消息后,根据所述业务请求消息判断所述标识网终端是否已完成与引导服务功能实体的交互认证,若已完成则为所述标识网终端生成一衍生密钥Ks_NAF,若未完成则于收到成功响应消息后为所述标识网终端生成一衍生密钥Ks_NAF;
所述标识网终端为非IMS标识网终端或不具有IMS能力的标识网终端。
23.一种标识网端到端安全建立的系统,其特征在于,所述系统包括如权利要求17或18所述的标识网终端以及如权利要求19至22任一所述的网络侧设备。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110309839XA CN103051594A (zh) | 2011-10-13 | 2011-10-13 | 一种标识网端到端安全建立的方法、网络侧设备及系统 |
PCT/CN2012/082550 WO2013053305A1 (zh) | 2011-10-13 | 2012-10-08 | 一种标识网端到端安全建立的方法、网络侧设备及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110309839XA CN103051594A (zh) | 2011-10-13 | 2011-10-13 | 一种标识网端到端安全建立的方法、网络侧设备及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103051594A true CN103051594A (zh) | 2013-04-17 |
Family
ID=48064098
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110309839XA Pending CN103051594A (zh) | 2011-10-13 | 2011-10-13 | 一种标识网端到端安全建立的方法、网络侧设备及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN103051594A (zh) |
WO (1) | WO2013053305A1 (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108370369A (zh) * | 2015-09-11 | 2018-08-03 | 瑞典爱立信有限公司 | 使用重定向促进客户端设备和应用服务器之间安全通信的网关、客户端设备和方法 |
WO2019128982A1 (zh) * | 2017-12-29 | 2019-07-04 | 华为技术有限公司 | 一种设备引导的方法、终端以及服务器 |
US10826688B2 (en) | 2015-08-27 | 2020-11-03 | Huawei Technologies Co., Ltd. | Key distribution and receiving method, key management center, first network element, and second network element |
CN113840280A (zh) * | 2020-06-04 | 2021-12-24 | 中国电信股份有限公司 | 通话加密方法、系统、引导服务器、终端和电子设备 |
CN114338065A (zh) * | 2020-09-30 | 2022-04-12 | 中兴通讯股份有限公司 | 安全通讯方法、装置、服务器及存储介质 |
WO2024051742A1 (zh) * | 2022-09-08 | 2024-03-14 | 中国移动通信有限公司研究院 | 业务处理方法、装置、网络设备和存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1870500A (zh) * | 2006-01-24 | 2006-11-29 | 华为技术有限公司 | 非ims终端应用增强型通用鉴权架构的方法 |
CN101039311A (zh) * | 2006-03-16 | 2007-09-19 | 华为技术有限公司 | 一种身份标识网页业务网系统及其鉴权方法 |
WO2009093942A1 (en) * | 2008-01-24 | 2009-07-30 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for controlling a multimedia gateway comprising an imsi |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100581104C (zh) * | 2005-01-07 | 2010-01-13 | 华为技术有限公司 | 一种在ip多媒体业务子系统网络中协商密钥的方法 |
CN100550725C (zh) * | 2005-06-17 | 2009-10-14 | 中兴通讯股份有限公司 | 一种用户与应用服务器协商共享密钥的方法 |
CN101030862B (zh) * | 2007-03-29 | 2010-05-26 | 中兴通讯股份有限公司 | 非ip多媒体业务ue的鉴权方法、鉴权网络及ue |
-
2011
- 2011-10-13 CN CN201110309839XA patent/CN103051594A/zh active Pending
-
2012
- 2012-10-08 WO PCT/CN2012/082550 patent/WO2013053305A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1870500A (zh) * | 2006-01-24 | 2006-11-29 | 华为技术有限公司 | 非ims终端应用增强型通用鉴权架构的方法 |
CN101039311A (zh) * | 2006-03-16 | 2007-09-19 | 华为技术有限公司 | 一种身份标识网页业务网系统及其鉴权方法 |
WO2009093942A1 (en) * | 2008-01-24 | 2009-07-30 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for controlling a multimedia gateway comprising an imsi |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10826688B2 (en) | 2015-08-27 | 2020-11-03 | Huawei Technologies Co., Ltd. | Key distribution and receiving method, key management center, first network element, and second network element |
CN108370369A (zh) * | 2015-09-11 | 2018-08-03 | 瑞典爱立信有限公司 | 使用重定向促进客户端设备和应用服务器之间安全通信的网关、客户端设备和方法 |
CN108370369B (zh) * | 2015-09-11 | 2021-02-09 | 瑞典爱立信有限公司 | 使用重定向促进客户端设备和应用服务器之间安全通信的网关、客户端设备和方法 |
WO2019128982A1 (zh) * | 2017-12-29 | 2019-07-04 | 华为技术有限公司 | 一种设备引导的方法、终端以及服务器 |
US11218451B2 (en) | 2017-12-29 | 2022-01-04 | Huawei Technologies Co., Ltd. | Device bootstrap method, terminal, and server |
CN113840280A (zh) * | 2020-06-04 | 2021-12-24 | 中国电信股份有限公司 | 通话加密方法、系统、引导服务器、终端和电子设备 |
CN114338065A (zh) * | 2020-09-30 | 2022-04-12 | 中兴通讯股份有限公司 | 安全通讯方法、装置、服务器及存储介质 |
WO2024051742A1 (zh) * | 2022-09-08 | 2024-03-14 | 中国移动通信有限公司研究院 | 业务处理方法、装置、网络设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2013053305A1 (zh) | 2013-04-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
CN1943203B (zh) | 用于验证实体的第一标识和第二标识的方法 | |
KR101243713B1 (ko) | 무선랜 접속 장치 및 그 동작 방법 | |
CN102369750B (zh) | 用于管理用户的认证的方法和装置 | |
CN109561430A (zh) | 一种公网用户接入专网的实现方法及设备 | |
CN103067337B (zh) | 一种身份联合的方法、IdP、SP及系统 | |
CN106789834B (zh) | 用于识别用户身份的方法、网关、pcrf网元和系统 | |
CN101160920A (zh) | 对用户终端进行鉴权的方法及鉴权系统 | |
CN103051594A (zh) | 一种标识网端到端安全建立的方法、网络侧设备及系统 | |
CN103023856B (zh) | 单点登录的方法、系统和信息处理方法、系统 | |
CN100542089C (zh) | 非ims终端应用增强型通用鉴权架构的方法 | |
US10484869B2 (en) | Generic bootstrapping architecture protocol | |
CN110035037A (zh) | 安全认证方法、相关设备及系统 | |
US9369873B2 (en) | Network application function authorisation in a generic bootstrapping architecture | |
CN101039181B (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
CN104580553A (zh) | 网络地址转换设备的识别方法和装置 | |
US8769623B2 (en) | Grouping multiple network addresses of a subscriber into a single communication session | |
CN109891921A (zh) | 下一代系统的认证 | |
CN104486460B (zh) | 应用服务器地址获取方法、设备和系统 | |
CN102119518A (zh) | 关联由设备发起的注册 | |
CN101030862B (zh) | 非ip多媒体业务ue的鉴权方法、鉴权网络及ue | |
CN102065421B (zh) | 一种更新密钥的方法、装置和系统 | |
CN105516070B (zh) | 一种认证凭证更替的方法及装置 | |
US20130183934A1 (en) | Methods for initializing and/or activating at least one user account for carrying out a transaction, as well as terminal device | |
KR101506594B1 (ko) | 신원과 위치 정보가 분리된 네트워크에서 사용자가 icp 웹사이트에 로그인 하는 방법, 시스템 및 로그인 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130417 |
|
RJ01 | Rejection of invention patent application after publication |