CN103563419B - 针对移动电信网络中的终端来实现通用引导架构类型的安全关联 - Google Patents
针对移动电信网络中的终端来实现通用引导架构类型的安全关联 Download PDFInfo
- Publication number
- CN103563419B CN103563419B CN201280026096.8A CN201280026096A CN103563419B CN 103563419 B CN103563419 B CN 103563419B CN 201280026096 A CN201280026096 A CN 201280026096A CN 103563419 B CN103563419 B CN 103563419B
- Authority
- CN
- China
- Prior art keywords
- terminal
- security association
- network
- request
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种针对终端来实现GBA类型的安全关联的方法,包括在从终端接收到附接到网络的请求之后在网络接入服务器中执行的下列步骤:将安全关联的请求派送(E2)到引发功能服务器、从引发功能服务器接收(E5)包含安全关联参数的响应、将包含安全关联参数的消息派送(E5)到终端。
Description
技术领域
本发明的领域是电信领域,且更具体而言是移动网络的电信领域。
背景技术
3GPP已经定义了被称为GBA(通用引导架构)的架构,其目标是允许移动终端的验证从而在移动终端和应用之间建立安全关联。
该架构包括引导功能服务器(其后简称为“BSF服务器”),并依赖于标识密钥的被称为AKA的协议。
在验证过程中,装有SIM卡的终端使用基于http协议的连接来向BSF服务器验证自己。一般的原则如下:
验证结果是由服务器确定的在一持续时间内有效的安全秘钥。服务器还向终端提供与安全秘钥关联的会话标识符以及秘钥有效性的持续时间。
当终端随后打开与应用的IP连接时,通过向应用提供会话标识符,它向应用表明它想要根据GBA技术来验证。
应用联系BSF服务器,以向它提供会话标识符。BSF服务器通过向它提供从安全秘钥以及从应用名称导出的新秘钥来进行响应。终端执行相同的操作。于是,终端和应用使用同一个秘钥,它们可以用该秘钥来互相验证它们自己,并保证它们之间的IP连接的安全性。
通过示例,国际专利申请WO2008/082337描述了一种使用如下过程的方法,该过程基于利用BSF服务器的现有验证,然后在随后的打开IP连接的过程中根据GBA技术来进行验证。
但是,该过程意味着终端打开其自己的http浏览器从而之后能够打开与应用的IP连接,该连接不是必须要基于http协议。
此外,移动终端在附接到网络时已经预先与网络接入服务器验证自己。因此移动终端存在两次验证,一次是在附接到网络时,且第二次是在建立与应用的安全关联的时候。
发明内容
本发明的目标是通过提供一种针对终端来实现GBA类型的安全关联的方法,以解决现有技术的缺陷,该方法包括在从终端接收到附接到网络的请求之后在网络接入服务器中执行的下列步骤:
-将安全关联请求派送到引导功能服务器,
-从引导功能服务器接收包含安全关联参数的响应,
-将包含安全关联参数的消息派送到终端。
通过本发明,终端对GBA类型的安全关联的验证与在终端附接到网络时执行的操作相结合,而不是和现有技术的情况一样单独地且在它们之后执行。
于是,终端发送的信令整体上被减少,且GBA类型的安全关联的使用因此被简化。
特别地,终端不需要打开特定的http连接,以为了GBA类型的安全关联验证自己。
根据优选的特征,安全关联参数包括:
-随机值,
-用于识别网络的参数,
-安全会话标识符,
-安全会话的有效性持续时间。
这些参数随后将允许终端与应用建立安全关联。
根据优选的特征,由订户服务器来确定随机值和用于识别网络的参数。
于是本发明与3GPP提出的GBA架构兼容。
根据优选的特征,派送到引导功能服务器的安全关联请求是“直径”(“Diameter”)类型的请求,其包含终端用户的国际移动订户身份。
根据优选的特征,从引导功能服务器接收的包含安全关联参数的响应是“直径”类型。
“直径”协议是广泛使用的AAA协议中的一种。
根据优选的特征,被派送(E5)到终端的包含安全关联参数的消息是调整的“附接接收”(“ATTACH RECEPT”)类型的消息以便包含安全关联参数。
本发明还涉及一种网络接入服务器,适于针对终端来实现GBA类型的安全关联,包括用于从终端接收附接到网络的请求的装置,并且还包括:
-用于在从终端接收到附接到网络的请求之后、将安全关联请求派送到引导功能服务器的装置;
-用于从引导功能服务器接收包含验证参数和安全关联参数的响应的装置,
-用于将包含安全关联参数的消息派送到终端的装置。
该装置展示了与上述方法类似的优势。
在特定的实施例中,根据本发明的方法的各个步骤是通过计算机程序的指令来确定的。
因此,本发明的目标还在于一种信息介质上的计算机程序,该程序能够在计算机中实现,该程序包含的指令适于实现如上所述的方法的步骤。
该程序可以使用任意编程语言,并且可以是源代码、目标代码或者源代码和目标代码之间的代码的形式(例如部分编译的形式)、或者任意其他想要的形式。
本发明的目标还在于一种信息介质,其可被计算机读取,并且包含上述计算机程序的指令。
信息介质可以是能够存储程序的任意实体或设备。例如,介质可以包括:存储装置,例如ROM(如CD ROM)或微电子电路ROM;或者磁记录装置,如磁盘(软盘)或硬盘。
此外,信息介质可以是例如电或光信号的传输介质,其可以通过电或光缆、通过无线电或其他方式来传递。特别地,根据本发明的程序可以从因特网类型的网络来下载。
或者,信息介质可以是集成电路,程序被集成于其中,该电路适于执行所讨论的方法、或在所讨论的方法的执行中使用。
附图说明
在阅读了参考附图描述的优选实施例之后,其他特征和优势将变得明显,在附图中:
-图1以示意的方式来表示本发明涉及的移动电信网络中的设备项目,和
-图2表示根据本发明的针对终端来实现GBA类型的关联的方法的步骤。
具体实施方式
根据图1所示的本发明的一个实施例,实现本发明的设备项目是移动终端1、网络接入服务器2、被称为BSF服务器的引导功能服务器3以及被称为HSS(家庭订户服务器)的订户服务器4。
本发明被实现用于GPRS(通用分组无线业务)类型的接入。在该情形下,网络接入服务器2是服务GPRS支持节点,被称为SGSN(服务GPRS支持节点)。
在另一实施例中,本发明在LTE/EPC(长期演进/演进分组核心)类型的网络中实现。在该情形下,网络接入服务器2是被称为MIME(移动管理实体)的服务器。
移动终端1例如可以是移动电话终端、膝上型计算机、数字个人助理等。在所示例子中,移动终端1是属于用户的移动电话终端。
如图1所示,移动终端1包括发送-接收模块10,其被特别配置为向网络接入服务器2发送数据/从网络接入服务器2接收数据。它还包括处理器11、随机存取存储器12和只读存储器13。
网络接入服务器2具有传统的计算机结构。它包括处理器21、随机存取存储器22和只读存储器23。它包括发送-接收模块20,其被配置为与移动终端1、BSF服务器3和HSS订户服务器4进行通信。
网络接入服务器适于针对终端来实现GBA类型的安全关联。它包括从终端接收附接到网络的请求的装置。
根据本发明,它还包括:
-用于在从终端接收到附接到网络的请求之后、将安全关联请求派送到引导功能服务器的装置;
-用于从引导功能服务器接收包含验证参数和安全关联参数的响应的装置,
-用于将包含安全关联参数的消息派送到终端的装置。
BSF服务器3具有传统的计算机结构。它包括处理器31、随机存取存储器32和只读存储器33。它包括发送-接收模块30,其被配置为与网络接入服务器2和HSS订户服务器4进行通信。
HSS订户服务器4具有传统的计算机结构。它包括处理器41、随机存取存储器42和只读存储器43。它包括发送-接收模块40,其被配置为与网络接入服务器2和BSF服务器3进行通信。
根据本发明的一个实施例,如图2所示,针对移动终端1来实现GBA类型的安全关联的方法包括步骤E1到E5。
网络接入服务器2和BSF服务器3之间的交换例如基于直径协议。
在步骤E1中,移动终端1请求它附接到网络接入服务器2,后者处理该请求。专用于附接到网络的交换是传统的,并且这里将不详述。
网络接入服务器2处理移动终端1附接请求并对终端进行验证,在该过程中,它询问HSS服务器4以恢复验证参数AKA。
HSS服务器是集中式的库,其掌管与移动终端1相关的用户简档的数据。如果该简档支持GBA类型的安全关联,则HSS服务器4还存储了该特征的指示。
HSS服务器响应于网络接入服务器2。假设移动终端1支持GBA类型的安全关联。HSS服务器4因此将该信息插入到其对网络接入服务器2的响应中。
例如,如果直径协议被用于两个服务器之间的交换,则移动终端1支持GBA类型的安全关联的指示被添加到HSS服务器4响应于验证请求而向网络接入服务器2派送的“验证-信息-应答”(“Authentication-Information-Answer”)命令中。根据该协议,分组包含被称为AVP(属性-值对)的成对的集合。以下列方式来添加特定的AVP对“GBA-支持”(“GBA-Support”):
网络接入服务器2接收HSS服务器4的响应。在下列步骤E2中,网络接入服务器2询问BSF服务器3,以请求建立GBA安全关联。相应地,网络接入服务器2生成直径请求,其中提供了移动终端1的用户的唯一标识符、或者国际移动订户身份IMSI。该请求被派送到BSF服务器3。
下面是网络接入服务器2发起的直径请求的可能的实现:
在下列的步骤E3中,BSF服务器3接收并处理网络接入服务器2的请求。它核实移动终端1的用户的唯一标识符IMSI存在、并有权享有GBA服务。如果是这种情况,BSF服务器询问HSS订户服务器4以恢复验证参数AKA。HSS订户服务器4将验证参数AKA派送到BSF服务器3。验证参数是验证矢量的形式,包括HSS服务器4生成的随机值RAND、使其可能对网络进行验证的用于验证网络的令牌AUTN、加密秘钥CK和完整性秘钥lk。
在接收到验证参数AKA之后,BSF服务器3通过将秘钥lk和Ck进行级联来形成秘钥Ks、生成会话标识符B-TID、并确定与秘钥Ks关联的GBA会话的有效性的持续时间。
在下列步骤E4中,BSF服务器3生成响应并将响应派送到网络接入服务器2,并向它提供下列信息:HSS所生成的随机值RAND、HSS计算的使其可能对网络进行验证的令牌AUTN、会话标识符B-TID和秘钥Ks的有效性的持续时间。
下面是BSF服务器3向网络接入服务器2提供的直径响应的可能实现:
在下列步骤E5中,网络接入服务器2接收并处理BSF服务器3的响应、恢复GBA信息并将它传送到移动终端1。
因此,在GPRS和LTE/EPC的实施例中,网络接入服务器2向移动终端1派送消息附接-接受(ATTACH-ACCEPT),其被调整从而包含四个可选的信息元素,如果移动终端1支持GBA验证,它将解析该信息元素。否则,这些信息元素将被移动终端1忽略。
额外的信息元素是:
-随机值RAND
-验证令牌AUTN
-会话标识符B-TID以及
-秘钥Ks的有效性的持续时间。
于是,当移动终端1连接到应用时,它具有随后可以以传统的方式来使用的GBA验证数据。
Claims (7)
1.一种针对终端(1)实现GBA类型的安全关联的方法,
其特征在于,它包括在来自移动电信网络的网络接入服务器(2)中执行的下列步骤:
-网络接入服务器接收终端所发送的附接到所述移动电信网络的请求,
-所述网络接入服务器处理所述附接到所述移动电信网络的请求并执行终端的验证,并将安全关联请求派送(E2)到引导功能服务器(3),
-所述网络接入服务器从所述引导功能服务器(3)接收(E4)包含安全关联参数的响应,
-所述网络接入服务器将包含所述安全关联参数的附接接受消息派送(E5)到终端。
2.如权利要求1所述的方法,其特征在于,所述安全关联参数包括:
-所提供的随机值,
-用于标识网络的参数(AUTN),
-安全会话标识符,
-安全会话的有效性的持续时间。
3.如权利要求2所述的方法,其特征在于,由订户服务器来确定所述随机值和所述用于标识网络的参数。
4.如权利要求1到3中任一项所述的方法,其特征在于,被派送(2)到引导功能服务器(3)的安全关联请求是“直径”类型的请求,其包含终端的用户的国际移动订户身份。
5.如权利要求1所述的方法,其特征在于,从引导功能服务器(3)接收(E4)的包含安全关联参数的响应是“直径”类型。
6.如权利要求1所述的方法,其特征在于,被派送(E5)到终端的包含安全关联参数的消息是调整的“附接接受”类型的消息以便包含所述安全关联参数。
7.一种网络接入服务器,适于针对终端来实现GBA类型的安全关联,包括:
-用于从终端接收附接到移动电信网络的请求的装置,
-用于在从终端接收到附接到所述移动电信网络的请求之后、处理所述附接到所述移动电信网络的请求并执行终端的验证、并将安全关联请求派送到引导功能服务器(3)的装置;
-用于从所述引导功能服务器(3)接收包含验证参数和安全关联参数的响应的装置,
-用于将包含所述安全关联参数的附接接受消息派送到终端的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1152707A FR2973637A1 (fr) | 2011-03-31 | 2011-03-31 | Mise en place d'une association de securite de type gba pour un terminal dans un reseau de telecommunications mobiles |
| FR1152707 | 2011-03-31 | ||
| PCT/FR2012/050631 WO2012168602A1 (fr) | 2011-03-31 | 2012-03-27 | Mise en place d'une association de securite de type gba pour un terminal dans un reseau de telecommunications mobiles |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103563419A CN103563419A (zh) | 2014-02-05 |
| CN103563419B true CN103563419B (zh) | 2018-04-24 |
Family
ID=46017950
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280026096.8A Active CN103563419B (zh) | 2011-03-31 | 2012-03-27 | 针对移动电信网络中的终端来实现通用引导架构类型的安全关联 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20140033282A1 (zh) |
| EP (1) | EP2692164B1 (zh) |
| CN (1) | CN103563419B (zh) |
| FR (1) | FR2973637A1 (zh) |
| WO (1) | WO2012168602A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2992811A1 (fr) * | 2012-07-02 | 2014-01-03 | France Telecom | Mise en place d'une association de securite lors de l'attachement d'un terminal a un reseau d'acces |
| BR112012033255A2 (pt) * | 2012-10-29 | 2017-11-28 | Ericsson Telecomunicacoes Sa | método e aparelho para garantir uma conexão em uma rede de comunicação |
| US9838265B2 (en) * | 2013-12-19 | 2017-12-05 | Amdocs Software Systems Limited | System, method, and computer program for inter-module communication in a network based on network function virtualization (NFV) |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1265676C (zh) * | 2004-04-02 | 2006-07-19 | 华为技术有限公司 | 一种实现漫游用户使用拜访网络内业务的方法 |
| KR100762644B1 (ko) * | 2004-12-14 | 2007-10-01 | 삼성전자주식회사 | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 |
| US7628322B2 (en) * | 2005-03-07 | 2009-12-08 | Nokia Corporation | Methods, system and mobile device capable of enabling credit card personalization using a wireless network |
| US20070086590A1 (en) * | 2005-10-13 | 2007-04-19 | Rolf Blom | Method and apparatus for establishing a security association |
| US8122240B2 (en) * | 2005-10-13 | 2012-02-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for establishing a security association |
| CN101569217B (zh) * | 2006-12-28 | 2012-10-10 | 艾利森电话股份有限公司 | 不同认证基础设施的集成的方法和布置 |
| CN101163010B (zh) * | 2007-11-14 | 2010-12-08 | 华为软件技术有限公司 | 对请求消息的鉴权方法和相关设备 |
| FI122163B (fi) * | 2007-11-27 | 2011-09-15 | Teliasonera Ab | Verkkopääsyautentikointi |
| US8935763B2 (en) * | 2008-02-15 | 2015-01-13 | Telefonaktiebolaget L M Ericsson (Publ) | System and method of user authentication in wireless communication networks |
-
2011
- 2011-03-31 FR FR1152707A patent/FR2973637A1/fr not_active Withdrawn
-
2012
- 2012-03-27 EP EP12717387.0A patent/EP2692164B1/fr active Active
- 2012-03-27 CN CN201280026096.8A patent/CN103563419B/zh active Active
- 2012-03-27 WO PCT/FR2012/050631 patent/WO2012168602A1/fr active Application Filing
- 2012-03-27 US US14/008,944 patent/US20140033282A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| EP2692164B1 (fr) | 2019-12-11 |
| WO2012168602A1 (fr) | 2012-12-13 |
| CN103563419A (zh) | 2014-02-05 |
| US20140033282A1 (en) | 2014-01-30 |
| EP2692164A1 (fr) | 2014-02-05 |
| FR2973637A1 (fr) | 2012-10-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113748699B (zh) | 用于通信系统中的间接通信的服务授权 | |
| US7565142B2 (en) | Method and apparatus for secure immediate wireless access in a telecommunications network | |
| US8526408B2 (en) | Support of UICC-less calls | |
| EP3834449A1 (en) | Network function authentication based on public key binding in access token in a communication system | |
| CN107873137A (zh) | 用于管理通信系统中的简档的技术 | |
| CN106105134A (zh) | 改进的端到端数据保护 | |
| US10277586B1 (en) | Mobile authentication with URL-redirect | |
| EP2140653A1 (en) | Method and apparatus for secure immediate wireless access in a telecommunications network | |
| CN107800539A (zh) | 认证方法、认证装置和认证系统 | |
| CN108377574A (zh) | 一种双卡双通的通信方法、终端、网络及系统 | |
| CN107529160A (zh) | 一种VoWiFi网络接入方法和系统、终端及无线访问接入点设备 | |
| CN111630882A (zh) | 确定用于保护用户设备与应用服务器之间的通信的密钥的方法 | |
| CN103563419B (zh) | 针对移动电信网络中的终端来实现通用引导架构类型的安全关联 | |
| CN104509144B (zh) | 在终端联接至接入网期间实现安全关联 | |
| CN103563418B (zh) | 针对移动电信网络中的终端来实现通用引导架构类型的安全关联 | |
| EP1552660A1 (en) | System and method to provide umts and internet authentication | |
| CN112040486A (zh) | 一种基于5gd2d业务的安全直连通信方法及终端 | |
| EP4322480A1 (en) | Secure identification of applications in communication network | |
| CN102870485A (zh) | 控制用户设备接入网络的方法、装置及系统 | |
| Vargic et al. | Provisioning of VoIP services for mobile subscribers using WiFi access network | |
| TWI246300B (en) | Method and apparatus enabling reauthentication in a cellular communication system | |
| CN108702619A (zh) | 获取、发送用户设备标识的方法及设备 | |
| KR20100131750A (ko) | 인증 벡터를 생성하는 장치 및 방법 | |
| Itäpuro | Smartphone as home network's trust anchor |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |