CN103563418A - 针对移动电信网络中的终端来实现通用引导架构类型的安全关联 - Google Patents
针对移动电信网络中的终端来实现通用引导架构类型的安全关联 Download PDFInfo
- Publication number
- CN103563418A CN103563418A CN201280026090.0A CN201280026090A CN103563418A CN 103563418 A CN103563418 A CN 103563418A CN 201280026090 A CN201280026090 A CN 201280026090A CN 103563418 A CN103563418 A CN 103563418A
- Authority
- CN
- China
- Prior art keywords
- terminal
- security association
- server
- request
- gba
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K5/00—Methods or arrangements for verifying the correctness of markings on a record carrier; Column detection devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种针对终端来实现GBA类型的安全关联的方法,包括在从终端接收到用于附接到网络的请求之后在网络接入服务器中执行的下列步骤:将请求派送(E1)到订户服务器;接收(E1)响应,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指示。
Description
技术领域
本发明的领域是电信领域,且更具体而言是移动网络的电信领域。
背景技术
3GPP定义了被称为GBA(通用引导架构)的架构,其目标是允许移动终端的验证从而在移动终端和应用之间建立安全关联。
该架构包括引导功能服务器BSF,并依赖于标识密钥的被称为AKA的协议。
在验证过程中,装有SIM卡的终端使用基于http协议的连接来向引导功能服务器BSF验证自己。一般的原则如下:
验证结果是由服务器确定的在一持续时间内有效的安全秘钥。服务器还向终端提供与安全秘钥关联的会话标识符以及秘钥有效性的持续时间。
当终端随后打开与应用的IP连接时,它通过向这个应用提供会话标识符,而向这个应用表明它想要根据GBA技术来验证。
应用联系BSF服务器,以向它提供会话标识符。BSF服务器通过向它提供从安全秘钥以及从应用名称导出的新秘钥来进行响应。终端执行相同的操作。于是,终端和应用使用同一个秘钥,它们可以用该秘钥来互相验证,并保证它们之间的IP连接的安全性。
该过程意味着终端打开其自己的http浏览器从而之后能够打开与应用的IP连接,该连接不是必须要基于http协议。
此外,移动终端在附接到网络时已经预先与网络接入服务器进行验证。因此移动终端存在两次验证,一次是在附接到网络时,且第二次是在建立与应用的安全关联的时候。
发明内容
本发明的目标是通过提供一种针对终端来实现GBA类型的安全关联的方法,以解决现有技术中的问题,该方法包括在从终端接收到附接到网络的请求之后在网络接入服务器中执行的下列步骤:
-将请求派送到订户服务器,
-接收响应,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指示。
通过本发明,终端对GBA类型的安全关联的验证与在终端附接到网络时执行的操作相结合,而不是单独地且在其之后执行。
于是,终端发送的信令整体上被减少,且GBA类型的安全关联的使用由此被简化。
特别地,终端不需要打开特定的http连接来以为了GBA类型的安全关联验证自己。
本发明还涉及一种针对终端来实现GBA类型的安全关联的方法,
其特征在于,它包括在订户服务器中执行的下列步骤:
-在网络接入服务器从终端接收到附接到网络的请求之后,从网络接入服务器接收请求,
-派送响应,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指示。
通过本发明,如果与终端相关联的用户简档支持GBA类型的安全关联,网络接入服务器和订户服务器在终端附接到网络的时刻进行对话,从而订户服务器向网络接入服务器表明与终端相关联的用户简档支持GBA类型的安全关联。于是,网络接入服务器具有该信息,其可以利用该信息来建立安全关联。
根据优选的特征,响应是“直径”(“Diameter”)类型,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指示。
“直径”协议是广泛使用的AAA协议中的一种。
本发明还涉及一种网络接入服务器,适于针对终端来实现GBA类型的安全关联,包括从终端接收附接到网络的请求的装置,并且还包括:
-用于将请求发送到订户服务器的装置,
-用于接收响应的装置,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指示。
本发明还涉及一种订户服务器,其掌管与终端相关联的用户简档数据,其特征在于,如果与终端相关联的用户简档支持GBA类型的安全关联,则订户服务器存储该特征的指示。
根据优选的特征,订户服务器包括用于接收由网络接入服务器在来自终端的附接到网络的请求之后派送的请求的装置,并且,如果与终端相关联的用户简档支持GBA类型的安全关联,它包括用于派送响应的装置,该响应包含该特征的指示。
这些设备展示了与上述方法类似的优势。
在特定的实施例中,根据本发明的方法的各个步骤是通过计算机程序的指令来确定的。
因此,本发明的目标还在于一种信息介质上的计算机程序,该程序能够在计算机中实现,该程序包含的指令适于实现如上所述的方法的步骤。
该程序可以使用任意编程语言,并且可以是源代码、目标代码或者源代码和目标代码之间的代码的形式(例如部分编译的形式)、或者任意其他想要的形式。
本发明的目标还在于一种信息介质,其可被计算机读取,并且包含上述计算机程序的指令。
信息介质可以是能够存储程序的任意实体或设备。例如,介质可以包括:存储装置,例如ROM(如CD ROM)或微电子电路ROM;或者磁记录装置,如磁盘(软盘)或硬盘。
此外,信息介质可以是例如电或光信号的传输介质,其可以通过电或光缆、通过无线电或其他方式来传递。特别地,根据本发明的程序可以从因特网类型的网络来下载。
或者,信息介质可以是集成电路,程序被集成于其中,该电路适于执行所讨论的方法、或在所讨论的方法的执行中使用。
附图说明
阅读优选实施例并参考附图,其他特征和优势将变得明显,在附图中:
-图1以示意的方式来表示本发明涉及的移动电信网络中的设备项目,并且
-图2表示根据本发明的针对终端来实现GBA类型的安全关联的方法的步骤。
具体实施方式
根据图1所示的本发明的一个实施例,实现本发明的设备项目是移动终端1、网络接入服务器2、被称为BSF的引导功能服务器3以及被称为HSS(家庭订户服务器)的订户服务器4。
本发明针对GPRS(通用分组无线业务)类型的接入来实现。在该情形下,网络接入服务器2是服务GPRS支持节点,被称为SGSN(服务GPRS支持节点)。
在另一实施例中,本发明在LTE/EPC(长期演进/演进分组核心)类型的网络中实现。在该情形下,网络接入服务器2是被称为MIME(移动性管理实体)的服务器。
移动终端1例如可以是移动电话终端、膝上型计算机、个人数字助理等。在所示例子中,移动终端1是属于用户的移动电话终端。
如图1所示,移动终端1包括发送-接收模块10,其被特别配置为向网络接入服务器2发送数据/从网络接入服务器2接收数据。它还包括处理器11、随机存取存储器12和只读存储器13。
网络接入服务器2具有传统的计算机结构。它包括处理器21、随机存取存储器22和只读存储器23。它包括发送-接收模块20,其被配置为与移动终端1、BSF引导功能服务器3和HSS订户服务器4进行通信。
网络接入服务器适于针对终端来实现GBA类型的安全关联。它包括用于从终端接收附接到网络的请求的装置。
根据本发明,它还包括:
-用于将请求派送到订户服务器的装置,
-用于接收响应的装置,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指示。
BSF引导功能服务器3具有传统的计算机结构。它包括处理器31、随机存取存储器32和只读存储器33。它包括发送-接收模块30,其被配置为与网络接入服务器2和HSS订户服务器4进行通信。
HSS订户服务器4具有传统的计算机结构。它包括处理器41、随机存取存储器42和只读存储器43。它包括发送-接收模块40,其被配置为与网络接入服务器2和BSF引导功能服务器3进行通信。
订户服务器4掌管与终端相关联的用户简档的数据。根据本发明,如果与终端关联的用户简档支持GBA类型的安全关联,则订户服务器存储该特征的指示。
根据本发明的订户服务器包括用于接收由网络接入服务器在来自终端的附接到网络的请求之后派送的请求的装置,并且,如果与终端相关联的用户简档支持GBA类型的安全关联,它包括用于派送响应的装置,该响应包含该特征的指示。
根据本发明的一个实施例,如图2所示,针对移动终端1来实现GBA类型的安全关联的方法包括步骤E1到E5。
网络接入服务器2和BSF服务器4之间的交换例如基于直径协议。
在步骤E1中,移动终端1请求附接到网络接入服务器2,后者处理该请求。专用于附接到网络的交换是传统的并且在这里不进行详述。
网络接入服务器2处理移动终端1附接请求并对终端进行验证,在该过程中,它询问HSS服务器4以恢复验证参数AKA。
HSS服务器是集中式的库,其掌管与移动终端1相关联的用户简档的数据。如果该支持GBA类型的安全关联,则HSS服务器4还存储了该特征的指示。
HSS服务器4响应于网络接入服务器2。假设移动终端1支持GBA类型的安全关联。HSS服务器4因此将该信息插入到其对网络接入服务器2的响应中。
例如,如果直径协议被用于两个服务器之间的交换,移动终端1支持GBA类型的安全关联的指示被添加到HSS服务器4响应于验证请求而向网络接入服务器2派送的“验证-信息-应答”命令。根据该协议,分组中包含被称为AVP(属性-值对)的成对的集合。以下列方式来添加特定的AVP对“GBA-支持”:
网络接入服务器2接收HSS服务器4的响应。在下列步骤E2中,网络接入服务器2询问BSF服务器3,以请求建立GBA安全关联。相应地,网络接入服务器2生成直径请求,其中提供了移动终端1的用户的唯一标识符、或者国际移动订户身份IMSI。该请求被派送到BSF服务器3。
下面是网络接入服务器2发起的直径请求的可能实现:
在下列步骤E3中,BSF服务器3接收并处理网络接入服务器2的请求。它验证移动终端1的用户的唯一标识符IMSI存在,并有权享有GBA服务。如果是这种情况,BSF服务器3询问HSS订户服务器4以恢复验证参数AKA。HSS订户服务器4将验证参数AKA派送到BSF服务器3。验证参数是验证矢量的形式,包括由HSS服务器4生成的随机值RAND、使得可能对网络进行验证的用于验证网络的令牌AUTN、加密秘钥CK和完整性秘钥lk。
在接收到验证参数AKA之后,BSF服务器3通过将秘钥lk和Ck进行级联来形成秘钥Ks、生成会话标识符B-TID、并确定与秘钥Ks关联的GBA会话的有效性的持续时间。
在下列步骤E4中,BSF服务器3生成响应并将响应派送到网络接入服务器2,并向它提供下列信息:HSS生成的随机值RAND、HSS所计算的使得可能对网络进行验证的令牌AUTN、会话标识符B-TID和秘钥Ks的有效性的持续时间。
下面是BSF服务器3向网络接入服务器2提供的直径响应的可能实现:
在下列步骤E5中,网络接入服务器2接收并处理BSF服务器3的响应、恢复GBA信息并将它发送到移动终端1。
因此,在GPRS和LTE/EPC的实施例中,网络接入服务器2向移动终端1发送消息附接-接受(ATTACH-ACCEPT),其被调整从而包含四个可选的信息元素,如果移动终端1支持GBA验证,它将解析该信息元素。否则,这些信息元素将被移动终端1忽略。
额外的信息元素是:
-随机值RAND
-验证令牌AUTN
-会话标识符B-TID以及
-秘钥Ks的有效性的持续时间。
于是,当移动终端1连接到应用时,它具有随后能够以传统的方式来使用的GBA验证数据。
Claims (10)
1.一种针对终端(1)来实现GBA类型的安全关联的方法,
其特征在于,它包括在从终端接收到用于附接到网络的请求之后、在网络接入服务器(2)中执行的下列步骤:
-将请求派送到订户服务器(4),
-接收响应,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指示。
2.一种针对终端(1)来实现GBA类型的安全关联的方法,
其特征在于,它包括在订户服务器(4)中执行的下列步骤:
-在网络接入服务器(2)从终端接收到附接到网络的请求之后,从网络接入服务器接收请求,
-派送响应,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指示。
3.如权利要求1或2所述的方法,其特征在于,所述响应是“直径”类型,该响应包含与终端相关联的用户简档支持GBA类型的安全关联的指示。
4.一种网络接入服务器,适于针对终端(1)来实现GBA类型的安全关联,包括用于从终端接收用于附接到网络的请求的装置,
其特征在于,它包括:
-用于将请求派送到订户服务器(4)的装置,
-用于接收响应的装置,该响应包含与终端相关联的用户简档支持GBA
类型的安全关联的指示。
5.一种订户服务器(4),其掌管与终端相关联的用户简档的数据,其特征在于,如果与终端相关联的用户简档支持GBA类型的安全关联,则订户服务器存储该特征的指示。
6.如权利要求5所述的订户服务器(4),其特征在于,它包括用于接收由网络接入服务器在来自终端的附接到网络的请求之后派送的请求的装置,并且在于,如果与终端相关联的用户简档支持GBA类型的安全关联,它包括用于派送响应的装置,该响应包含该特征的指示。
7.一种包含指令的计算机程序,当所述程序被计算机执行时,该指令用于执行如权利要求1所述的方法的步骤。
8.一种计算机能够读取的记录介质,其上记录了包含指令的计算机程序,用于执行如权利要求1所述的方法的步骤。
9.一种包含指令的计算机程序,当所述程序被计算机执行时,该指令用于执行如权利要求2所述的方法的步骤。
10.一种计算机能够读取的记录介质,其上记录了包含指令的计算机程序,该指令用于执行如权利要求2所述的方法的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1152709A FR2973619A1 (fr) | 2011-03-31 | 2011-03-31 | Mise en place d'une association de securite de type gba pour un terminal dans un reseau de telecommunications mobiles |
| FR1152709 | 2011-03-31 | ||
| PCT/FR2012/050632 WO2012168603A1 (fr) | 2011-03-31 | 2012-03-27 | Mise en place d'une association de securite de type gba pour un terminal dans un reseau de telecommunications mobiles |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103563418A true CN103563418A (zh) | 2014-02-05 |
| CN103563418B CN103563418B (zh) | 2018-03-27 |
Family
ID=46017951
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280026090.0A Active CN103563418B (zh) | 2011-03-31 | 2012-03-27 | 针对移动电信网络中的终端来实现通用引导架构类型的安全关联 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9668130B2 (zh) |
| EP (1) | EP2692165B1 (zh) |
| CN (1) | CN103563418B (zh) |
| FR (1) | FR2973619A1 (zh) |
| WO (1) | WO2012168603A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3096479B1 (fr) * | 2019-05-20 | 2021-10-01 | Orange | Procédé de vérification qu’un utilisateur d’un site web est un être humain, et plateforme de vérification associée |
| CN112511569B (zh) * | 2021-02-07 | 2021-05-11 | 杭州筋斗腾云科技有限公司 | 网络资源访问请求的处理方法、系统及计算机设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022651A (zh) * | 2006-02-13 | 2007-08-22 | 华为技术有限公司 | 一种组合鉴权架构及其实现方法 |
| US20100242100A1 (en) * | 2007-11-27 | 2010-09-23 | Teliasonera Ab | Network access authentication |
| CN101965739A (zh) * | 2008-02-15 | 2011-02-02 | 艾利森电话股份有限公司 | 无线通信网络中的用户认证系统和方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7628322B2 (en) * | 2005-03-07 | 2009-12-08 | Nokia Corporation | Methods, system and mobile device capable of enabling credit card personalization using a wireless network |
| WO2007062689A1 (en) * | 2005-12-01 | 2007-06-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for distributing keying information |
| GB2450096B (en) * | 2007-06-12 | 2009-12-16 | Ericsson Telefon Ab L M | Network Authentication and reauthentication |
-
2011
- 2011-03-31 FR FR1152709A patent/FR2973619A1/fr not_active Withdrawn
-
2012
- 2012-03-27 EP EP12717388.8A patent/EP2692165B1/fr active Active
- 2012-03-27 US US14/008,876 patent/US9668130B2/en active Active
- 2012-03-27 WO PCT/FR2012/050632 patent/WO2012168603A1/fr active Application Filing
- 2012-03-27 CN CN201280026090.0A patent/CN103563418B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022651A (zh) * | 2006-02-13 | 2007-08-22 | 华为技术有限公司 | 一种组合鉴权架构及其实现方法 |
| US20100242100A1 (en) * | 2007-11-27 | 2010-09-23 | Teliasonera Ab | Network access authentication |
| CN101965739A (zh) * | 2008-02-15 | 2011-02-02 | 艾利森电话股份有限公司 | 无线通信网络中的用户认证系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140096192A1 (en) | 2014-04-03 |
| EP2692165A1 (fr) | 2014-02-05 |
| EP2692165B1 (fr) | 2017-08-23 |
| FR2973619A1 (fr) | 2012-10-05 |
| WO2012168603A1 (fr) | 2012-12-13 |
| US9668130B2 (en) | 2017-05-30 |
| CN103563418B (zh) | 2018-03-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2663972C1 (ru) | Обеспечение безопасности при связи между устройством связи и сетевым устройством | |
| CN103416082B (zh) | 用于使用安全元件对远程站进行认证的方法 | |
| CN102215474B (zh) | 对通信设备进行认证的方法和装置 | |
| CN109922474B (zh) | 触发网络鉴权的方法及相关设备 | |
| CN111630882B (zh) | 用户设备、认证服务器、介质、及确定密钥的方法和系统 | |
| CN101147377A (zh) | 无线通信的安全自启动 | |
| EP2522100A1 (en) | Secure multi - uim authentication and key exchange | |
| US10462671B2 (en) | Methods and arrangements for authenticating a communication device | |
| JP6773116B2 (ja) | 通信方法 | |
| CN108683690A (zh) | 鉴权方法、用户设备、鉴权装置、鉴权服务器和存储介质 | |
| CN103067342A (zh) | 一种使用eap进行外部认证的设备、系统及方法 | |
| CN101156412A (zh) | 用于在通信网络中提供引导过程的方法和装置 | |
| CN113615124A (zh) | 与无线设备的认证有关的方法和装置 | |
| JP7456444B2 (ja) | ネットワーク装置の方法 | |
| WO2016165737A1 (en) | Wireless communications | |
| WO2022023952A1 (en) | User equipment authentication preventing sequence number leakage | |
| CN103563419A (zh) | 针对移动电信网络中的终端来实现通用引导架构类型的安全关联 | |
| CN114786179B (zh) | 非蜂窝终端鉴权方法、装置、设备及介质 | |
| CN103563418A (zh) | 针对移动电信网络中的终端来实现通用引导架构类型的安全关联 | |
| CN104509144A (zh) | 在终端联接至接入网期间实现安全关联 | |
| KR101431214B1 (ko) | 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템 | |
| CN108370369B (zh) | 使用重定向促进客户端设备和应用服务器之间安全通信的网关、客户端设备和方法 | |
| CN112040486A (zh) | 一种基于5gd2d业务的安全直连通信方法及终端 | |
| TWI755951B (zh) | 通訊系統及通訊方法 | |
| CN112105024B (zh) | 一种基站身份认证方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |