CN104509144B - 在终端联接至接入网期间实现安全关联 - Google Patents
在终端联接至接入网期间实现安全关联 Download PDFInfo
- Publication number
- CN104509144B CN104509144B CN201380040142.4A CN201380040142A CN104509144B CN 104509144 B CN104509144 B CN 104509144B CN 201380040142 A CN201380040142 A CN 201380040142A CN 104509144 B CN104509144 B CN 104509144B
- Authority
- CN
- China
- Prior art keywords
- terminal
- security association
- net
- server
- parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种为联接到接入网(ACC_NET)的终端(UE)实现安全关联的方法,包括在接收到(211)来自终端的联接到网络的请求之后、由接入网的验证服务器(AAA)执行的下列步骤:从引导功能服务器(BSF)接收(216、218')包含至少一个安全关联参数(B‑TID、Tks)的第一消息;借助由所述终端的归属订户服务器(HSS)提供的至少一个第一验证参数(RAND、AUTN、XRES)来对终端进行验证(217、219');和向被验证的终端发送(218、220')包含所述至少一个安全关联参数的安全关联消息。
Description
技术领域
本发明的领域是电信领域,更具体地是移动网络的电信。
背景技术
3GPP标准化组织已定义了被称做GBA(“通用引导架构”)的架构,其 目的是允许移动终端的验证以便创建移动终端和应用之间的安全关联。该架 构包括引导功能服务器,被称作BSF(“引导功能服务器”),其充当允许终 端和应用之间建立安全关联的可信任的第三方。
因而在该架构中所使用的验证过程分两个阶段实现,由引导服务器BSF 验证移动终端的第一过程。该验证阶段使得可能基于在验证过程中生成的共 享密钥来在终端和BSF之间建立安全关联。随后,该共享密钥使得可能建立 终端和应用之间的安全关联,其可接入BSF以便恢复用于验证终端所需的安 全硬件。
在移动终端试图经由非3GPP接入网连接的情况中,通常通过使用EAP (可扩展验证协议)协议事先执行将终端联接到接入网的附加步骤来验证终 端,以允许其接入非3GPP接入网。
图1说明当移动终端试图经由非3GPP接入网连接至应用时的验证过 程。
在第一阶段,移动终端UE通过经所述网络的接入点AP向验证服务器 AAA/EAP进行自我寻址并使用EAP验证协议进行第一验证来联接到非 3GPP接入网(步骤105)。
一旦终端UE联接到非3GPP接入网,它随后便能利用GBA设施来进行 第二验证过程。因此,使用基于http协议的连接(步骤111),装有SIM卡 的终端UE首先利用引导功能服务器BSF来进行自我验证(步骤110)。
该验证的结果是由引导服务器BSF提供的安全密钥Ks,其在确定的一 段时间内有效。引导服务器BSF还为终端提供与安全密钥Ks关联的会话标 识符B-TID,以及所述密钥的有效期(步骤113)。
接下来,当终端想要访问应用APP时,它通过打开与所述应用APP的 连接(步骤121),向该应用指示它想要按照GBA技术来验证并向其提供会 话标识符B-TID,来和所述应用APP相互自我验证(步骤120)。
应用APP然后联系服务器BSF以向其提供会话标识符B-TID,服务器 BSF通过向它提供从安全密钥和应用的名字中获取的新的密钥K'来响应(步 骤123)。在终端这一边执行相同的操作(步骤125)。
因此终端和应用具有一个相同的密钥K',它们可用它来相互自我验证并 确保它们之间的IP连接(步骤127)。
所述验证过程因而意味着终端打开其http浏览器以便能随后打开与应 用的IP连接,但该连接并不一定基于http协议。
此外,联接到网络时,在利用引导服务器BSF进行自我验证之前,移动 终端已预先利用接入网的服务器AAA进行了自我验证。因而对移动终端有 双重验证,第一次是在其联接到网络时,第二次是在创建与引导服务器BSF 的安全关联时,从而在终端访问应用APP期间造成延迟、及复杂度增加, 并增加了网络上的消息交换。
发明内容
本发明的目的是通过提供为联接到接入网特别是非3GPP类型接入网的 终端设立安全关联的方法来解决现有技术的缺点,其只需要一个联接到网络 以及安全关联的联合阶段。
根据本发明的第一方面,提出了为终端(UE)联接到接入网设立安全 关联的方法,包括在接收到来自终端的联接到网络的请求之后、由接入网的 验证服务器执行的下列步骤:
从引导功能服务器接收包含至少一个安全关联参数的第一消息;
借助由所述终端的归属订户服务器提供的至少一个第一验证参数来对 终端进行验证;和
向被验证的终端派送包含所述至少一个安全关联参数的安全关联消息。
因此,一旦接收到所述安全关联消息,终端不仅将联接到接入网,还掌 握可用于与应用相互验证的安全关联参数。联接到网络和建立安全关联的过 程因而组合成一个过程,从而减少了关于这两个操作所需的信令。
在第一实施例中,所述第一消息包含由引导功能服务器从归属订户服务 器获取的所述第一验证参数,从而允许验证服务器同时恢复验证和安全关联 参数,并使得所用的消息数最少。
根据有利特征,所述安全关联参数的至少一部分由引导功能服务器基于 接收自归属订户服务器的所述第一验证参数的至少一部分来确定,从而使得 可能将第一验证参数用于适当地验证终端或设立安全关联。
在另一实施例中,在由验证服务器向所述归属订户服务器派送用于验证 的请求之后,验证服务器接收包含归属订户服务器的第一验证参数的第二消 息,从而使得可能使验证过程与设立安全关联过程不相关。
根据有利特征,所述安全关联参数的至少一部分由引导功能服务器基于 接收自归属订户服务器的第二验证参数的至少一部分来确定。因而,基于不 同的验证参数来实现验证和安全关联,从而加强了过程的安全性。
根据本发明的具体特征,至少一个安全关联参数是安全-会话标识符和 安全会话密钥的有效期中的至少一个参数。根据本发明的另一具体特征,至 少一个第一验证参数是随机值、网络的识别参数和当终端使用所述随机值来 自我验证时的预期响应值中的至少一个参数。
在有利实施例中,安全关联消息是根据EAP协议的消息,其包括包含 至少一个安全关联参数的数据字段,以便保护所述安全关联参数。具体地, 安全关联消息是根据EAP-AKA协议的消息,其可在包含安全关联参数的数 据字段前包括根据AKA验证协议的报头。
根据另一具体实施例,安全关联是根据GBA架构的安全关联。根据另 一具体实施例,接入网是非3GPP类型的接入网。
根据本发明的另一主题,提出了适合于为联接到接入网的终端设立安全 关联的验证服务器,其包括能够接收由所述终端发送的联接到所述接入网的 请求的发送-接收模块,其特征在于,所述发送-接收模块进一步被配置成:
从引导功能服务器接收包含至少一个安全关联参数的第一消息;和
借助由所述终端的归属订户服务器提供的至少一个第一验证参数,在利 用验证服务器对所述终端进行验证之后,向终端派送包含所述至少一个安全 关联参数的安全关联消息。
所述服务器表现出和先前所介绍的方法相类似的优点。
根据本发明的另一主题,提出了能够在联接到接入网时触发安全关联的 设立的终端,其包括发送-接收模块,所述发送-接收模块适合于:
向所述接入网的接入点派送用于联接到所述接入网的请求;
从所述接入点接收包含由所述终端的归属订户服务器提供的至少一个 第一验证参数的消息;
向所述接入点派送包含由所述终端基于所述至少一个第一验证参数计 算的值的响应;
从所述接入点接收安全关联消息,该安全关联消息包含能够在与应用连 接期间由所述终端用于自我验证的至少一个安全关联参数。
在具体实施例中,根据本发明的方法的不同步骤由计算机程序指令来确 定。所以,本发明的目的还在于信息介质上的计算机程序,所述程序能够在 计算机上实现,所述程序包括适合于实现上述方法的步骤的指令。所述程序 可使用任何编程语言,可以是源代码、目标代码、或源代码和目标代码之间 的中间代码的形式(例如部分编译的形式)或任何其他所需形式。
本发明的目的还在于计算机可读的信息介质,并包括例如上文所提及的 计算机程序的指令。所述信息介质可以是能够存储程序的任何实体或设备。 举例来说,所述介质可包括:存储装置,例如ROM,例如CD ROM或微电 子电路ROM;或磁记录装置,例如磁盘(软盘)或硬盘。此外,所述信息 介质可以是例如电或光信号的可传输介质,其可经由电缆或光缆通过无线电 或其他方式来传递。根据本发明的程序可具体在因特网类型的网络上下载。可替代地,所述信息介质可以是合并有所述程序的集成电路,所述电路适用 于执行所谈及的方法或在其执行中使用。
附图说明
阅读参考附图所描述的优选实施例后,其他特征和优点将变得明显,除 了先前已讨论的图1外,其中:
图2以简略图的方式表示本发明所涉及的移动电信网络的设备项;
图3A表示根据本发明第一实施例的为终端设立安全关联的方法的步 骤;
图3B表示根据本发明第二实施例的为终端设立安全关联的方法的步 骤;
图4A至4C图示了在本发明的有利实施例中根据EAP协议对数据分组 的使用。
具体实施方式
首先参考图2,其以简略图的方式表示本发明所涉及的移动电信网络的 设备项。
实现本发明的设备项是移动终端UE、网络接入点AP和验证服务器 AAA、引导功能服务器BSF和订户服务器HSS,网络接入点AP和验证服 务器AAA二者都属于接入网ACC_NET。
本发明经由非3GPP类型的接入网来方便地实现接入,这些接入可以是 WiFi类型(即根据IEEE802.11x标准)、WiMax类型(即根据IEEE 802.16x 标准)或根据使用例如IKEv2协议的VPN(虚拟专用网络)连接模式。
因此,在根据WiFi标准来实现接入到接入网ACC_NET的实施例中, 网络接入点AP是WiFi接入网关或路由器。在根据WiMax标准来实现所述 接入的实施例中,网络接入点AP是WiMax基站。最后,在根据VPN连接 模式来实现接入的实施例中,网络接入点AP是VPN服务器。
移动终端UE例如可以是移动电话终端、笔记本计算机、数字个人助理 等等。在所示例子中,移动终端UE是属于用户的移动电话终端。
如图2所示,移动终端UE包括被配置成特别向网络接入点AP发送数 据和从其接收数据的发送-接收模块10。它还包括处理器11、随机存取存储 器12和只读存储器13。
接入网ACC_NET的网络接入点AP是包括如下部分的单元:处理器21、 随机存取存储器22和只读存储器23、以及配置成与移动终端UE和验证服 务器AAA通信的发送-接收模块20(通常有一个或多个天线)。
接入网ACC_NET的验证服务器AAA呈现计算机的传统结构。它包括 处理器31、随机存取存储器32和只读存储器33。它包括配置成与网络接入 点AP、引导功能服务器BSF和订户服务器HSS通信的发送-接收模块30。
验证服务器AAA尤其适用于为试图联接到接入网ACC_NET的终端设 立例如GBA类型的安全关联。
相应地,验证服务器AAA的发送-接收模块30可接收来自终端的联接 到网络的请求,在接收到所述联接到网络的请求后,可向引导功能服务器 BSF发送安全关联的请求,从引导功能服务器接收所谓安全关联响应的包括 安全关联参数和可选验证参数的第一消息,如果终端被成功验证,可向终端 派送包括与终端相关联的安全参数的安全关联消息,以向所述终端表明它确 实已联接到网络并由引导功能服务器BSF所验证。
引导功能服务器BSF也呈现计算机的传统结构。它包括处理器41、随 机存取存储器42和只读存储器43。它包括配置成与验证服务器AAA和订 户服务器HSS进行通信的发送-接收模块40。
订户服务器HSS也呈现计算机的传统结构。它包括处理器51、随机存 取存储器52和只读存储器53。它包括配置成与验证服务器AAA及引导功 能服务器BSF通信的发送-接收模块50,以便具体应他们的请求向他们派送 验证参数。所述用户服务器HSS可具体是集中式数据库,寄存与终端UE相 关联的用户简档数据。当所述用户简档支持安全关联(例如GBA类型)时, 服务器HSS也存储该特征的指示。
现参考图3A,其说明根据本发明第一实施例的为联接到接入网 ACC_NET的移动终端UE设立安全关联的方法。
图3A中所图示的方法包括在终端UE联接到网络ACC_NET时进行验 证和设立安全关联的第一组合阶段210,随后是借助在所述安全关联期间定 义的安全关联参数将移动终端UE连接至应用APP第二阶段220。
本方法中所采用的安全关联典型地是移动终端UE和任意应用APP之间 的GBA(通用引导架构)类型的安全关联,其依靠GBA技术来验证所述移 动终端。
在第一阶段210的过程中,移动终端UE首先通过派发联接到接入网 ACC_NET的网络接入点AP的请求(步骤211)来请求其与所述接入网联接 (例如借助安装在终端UE中的客户模块)。
所述联接请求可具体包含唯一标识符Id(UE),例如移动终端UE的用 户的国际移动订户识别码IMSI。
所述联接请求由接入点AP重定向至所述接入网的验证服务器AAA(步 骤211),使得后者能处理所述请求。
接收到由接入点AP传送的所述联接请求后,服务器AAA便通过向引 导功能服务器BSF派送安全关联请求(步骤212)来触发对终端UE的验证 过程,所述请求包含终端UE的标识符Id(UE)。所述安全关联请求可根据 Diameter协议或MAP协议来格式化。
接收到来自验证服务器AAA的安全关联请求后,引导功能服务器BSF 可检验移动终端UE的用户的唯一标识符Id(UE)存在且被授权享有安全关 联服务。它然后询问所述终端UE的归属订户服务器HSS以恢复与所述终端 的用户相关联的验证参数。
相应地,引导功能服务器BSF派送(步骤213)包含终端UE的订户的 标识符Id(UE)的验证请求。
接收到所述验证请求之后,归属订户服务器HSS向同样存储的引导功 能服务器BSF返回一个或多个验证参数、以及可选的GUSS(通用用户安全 设置)信息。
具体地,这些验证参数可采取验证矢量AV的形式,验证矢量AV包括 由用户服务器HSS生成的随机值RAND、使得可能验证网络的用于网络 AUTN的验证标记、当终端使用随机值RAND来自我验证时的预期响应值 XRES、基于所述随机值RAND所计算的加密密钥Ck和也基于该随机值 RAND计算的完整性密钥Ik。换言之,验证矢量AV=(RAND、AUTN、XRES、 Ck、Ik)由归属订户服务器HSS返回至引导功能服务器BSF。
引导功能服务器BSF随后生成至少一个会话关联参数,具体为会话标识 符B-TID和与会话密钥Ks相关联的会话持续时间Tks(步骤215)。具体地, 可基于接收自归属订户服务器HSS的某些验证参数,例如通过级联先前所 介绍的验证矢量AV的密钥Ik和Ck,来生成所述会话密钥Ks。
引导功能服务器BSF随后向验证服务器AAA派送所谓安全关联响应的 第一消息,其包含由服务器BSF所生成(步骤216)的会话关联参数(例如 会话标识符B-TID和会话密钥Ks的有效期Tks)。
在图3A的实施例中,所述安全关联响应消息还包含在接收自服务器 HSS的验证参数组中的至少用于利用验证服务器AAA来验证终端UE的验 证参数,即随机值RAND、标记AUTN和值XRES。
所述安全关联响应消息从而可包含整个验证矢量AV=(RAND、AUTN、 XRES、Ck、Ik),密钥Ck和Ik能够由验证服务器AAA使用以在验证后获 得接入会话,以及取得所传送的用于接入的其他密钥。
接收到所述第一消息后,验证服务器AAA可具体凭借随机值RAND、 验证标记AUTN和值XRES来对终端UE进行验证(步骤217)。验证服务 器AAA通过在第一阶段向终端UE派送RAND和标记AUTN来实现对其进 行验证的过程。终端UE凭借标记AUTN来验证网络。如果网络的验证成功 完成,终端UE随后基于接收自验证服务器AAA的随机值RAND来计算验 证响应值RES,并将所述值RES返回至验证服务器AAA。通过比较值RES 和XRES,验证服务器AAA便可验证终端UE的响应。
如果终端UE由验证服务器AAA成功验证(即当值RES等于值XRES 时),验证服务器AAA随后向终端UE传送(步骤218)安全关联消息,该 安全关联消息包含安全关联参数(例如会话标识符B-TID以及会话密钥Ks 的有效期Tks)。
所述安全关联消息可进而有利地包含某些验证参数,具体为随机值 RAND,用于从终端UE恢复会话密钥Ks(步骤219)。在这种情况下,根据 与在服务器HSS级别相同的过程,所述随机值RAND用来计算密钥Ck和 Ik,且以与在服务器BSF级别相同的方式,从这些密钥Ck和Ik中推导会话 密钥Ks。
所述安全关联消息还可以有利地包含标记AUTN,从而使得可能当终端 的实现如此要求时能够询问终端UE的SIM卡。
在这个时刻,终端UE联接到接入网ACC_NET,通过所述接入网终端 可进行自我验证并进而掌握安全关联,其可用于连接至依靠所述安全关联的 应用。
在与先前结合图1所描述的阶段120类似的连接阶段221期间,终端 UE的用户可凭借会话标识符B-TID连接至应用APP。具体地,所述连接阶 段221的步骤221至227分别类似于图1中所说明的连接阶段的步骤121至 127。
因此,终端UE联接到接入网ACC_NET的过程和终端UE和应用之间 安全关联的过程被合并成一个过程,以便减少图2中所描述网络的不同实体 间的信令并简化安全关联过程的使用。
现参考图3B,其图示了为联接到接入网ACC_NET的移动终端UE设立 安全关联的方法的另一实施例。
在这另一实施例中,所述方法实现验证和设立安全关联的第一组合阶段 210',其与先前结合图3A所描述的第一阶段210的不同之处在于对用于接 入网络ACC_NET的终端的验证与安全关联过程不相关。
所述第一阶段210'因而从派送用于终端UE联接到网络ACC_NET的网 络接入点AP的请求(步骤211')开始,类似于先前所描述的步骤211,所 述请求由所述接入点AP重定向至网络ACC_NET的验证服务器AAA,使得 后者可以处理所述请求。
接收到由接入点AP传送的所述联接请求后,服务器AAA便通过向终 端UE的归属订户服务器HSS派送验证请求来触发终端UE的验证过程(步 骤212'),所述请求包含终端UE的标识符Id(UE),使得可能依次恢复(步 骤213')所述验证服务器存储在存储器中的一个或多个第一验证参数、并随 后用于由网络ACC_NET对终端UE进行验证。具体地,这些第一验证参数 可以是如先前所介绍的第一验证矢量AV=(RAND、AUTN、XRES、Ck、Ik) 的形式。
与所述验证过程相并行(即在所述验证过程之前、之后或与其同时), 验证服务器AAA通过向引导功能服务器BSF派送安全关联请求(步骤214') 来触发安全关联过程,所述请求还包含该订户用户的标识符Id(UE)。
接收到所述请求后,引导功能服务器BSF通过向终端UE的归属订户服 务器HSS派送包含标识符Id(UE)的询问请求来询问终端UE的归属订户 服务器HSS(步骤215'),使得后者向其返回(步骤216')包含一个或多个 第二验证参数的响应消息。
这些验证参数具体包括由服务器HSS生成的第二随机值RAND'、基于 所述随机值RAND'所计算的加密密钥Ck'和也基于所述随机值RAND'计算的 完整性密钥Ik',以允许由服务器BSF生成会话密钥Ks或由终端UE恢复所 述会话密钥Ks。标记AUTN'还可被传输以便当终端的实现如此要求时能够 询问终端UE的SIM卡。
在具体实施例中,归属订户服务器HSS返回包含第二验证矢量AV'以及 当终端UE通过随机值RAND'自我验证时的预期结果值XRES'的消息,第二 验证矢量AV'包括这些不同的验证参数组,在该情况下AV'=(RAND'、AUTN'、 XRES'、Ck'、Ik')。
引导功能服务器BSF在接收到这些第二验证参数之后将其存储并能生 成至少一个安全关联参数,具体为会话标识符B-TID和会话密钥Ks,以及 与所述会话密钥Ks关联的有效期Tks,类似于第一实施例中所做的(步骤 217')。具体地,可基于第二验证矢量AV'的密钥Ik'和Ck',例如通过将它们 级联,来生成所述会话密钥Ks。
因此,在所述第二实施例中,基于与那些用于终端验证过程的参数不同 的验证参数来获取会话密钥Ks,这就安全而言是有利的。
引导功能服务器BSF随后向验证服务器AAA派送(步骤218')包含安 全关联参数(例如会话标识符B-TID和会话密钥Ks的有效期Tks)的消息。
一旦所述消息被接收,验证服务器AAA可借助于在步骤213'期间存储 的第一验证参数RAND、AUTN和XRES来发起终端UE的验证过程,类似 于已描述的验证过程217。
当终端UE被验证服务器AAA成功验证时(即当终端UE返回等于预 期结果值XRES的值RES时),验证服务器AAA便向终端UE传送(步骤 220')包含安全关联参数(例如会话标识符B-TID和会话密钥Ks的有效期 Tks)的安全关联消息。
所述安全关联消息进而有利地包含某些第二验证参数,具体为随机值 RAND',其使得可能从终端UE恢复会话密钥Ks(步骤219)。因此,根据 与在服务器HSS级别相同的过程,使用所述随机值RAND'来计算密钥Ck' 和Ik',且以与在服务器BSF级别相同的方式,从这些密钥Ck'和Ik'中推导 会话密钥Ks。
在有利实施例中,在所述方法中实现的实体之间,具体地在用户终端 UE、接入点AP和验证服务器AAA之间,所交换的消息中使用EAP协议, 以确保这些消息中所交换的数据得到保护。
如在RFC 3748标准中所指明的,根据EAP协议的数据分组从由几个字 段形成的报头开始:“代码”字段、“标识符”识别字段、“长度”长度字段、 “类型”字段,其后是包含验证协议特有信息的另一个字段“类型-数据”。 图4A中图示了这个EAP协议所特有的报头。
在EAP-AKA协议的具体情况中,“类型-数据”字段从特有的报头开始, 其包括指示子类型的字节,然后是保留字节。消息的其余部分包含类型-长 度-值(TLV)形式的属性。图4B中图示了这个EAP-AKA协议所特有的报 头。
在本发明中,可有利地采用所述分组格式来定义新的特有属性,使得可 能向终端UE传递下列参数:
-由订户服务器HSS提供的随机值RAND;
-同样由归属订户服务器HSS提供的参数AUTN,使得可能验证网络;
-由引导服务器BSF生成的会话标识符B-TID;
-同样由引导服务器BSF计算的会话密钥Ks的有效期Tks。
下列属性x至z因而可以定义如下,以便传递上文分别指出的每个参数:
●属性类别:x|长度:n|值:GBA RAND值
●属性类别:y|长度:m|值:GBA AUTN值
●属性类别:z|长度:p|值:B-TID值
●属性类别:w|长度:q|值:会话密钥生命期值
随实施例不同,参数RAND和AUTN是可选的。
图4C于是图示了在传输会话关联参数B-TID的具体情况中根据所述 EAP-AKA协议所形成的分组,其使用了属性类型z、长度p,并以参数B-TID 作为值。
因此,在所述实施例中,根据EAP协议的客户模块被安装在移动终端 UE中,使得后者一方面可以根据所述EAP协议通过将它的标识符Id(UE) 插入根据所述EAP协议所格式化的分组的数据字段来格式化其联接到网络 ACC_NET的请求,如图4A至4B中所图示的。
此外,所述客户模块EAP被配置成当移动终端UE接收源自验证服务器 AAA的根据EAP协议格式化的联接消息时对该联接消息进行解析,以便恢 复先前提及的关联参数之一,为随后在连接至应用APP时使用。
所述客户模块EAP可采取存储在终端UE的存储器12或13之一中的软 件模块的形式,并由所述终端UE的处理器11来实现。
在所述实施例中,根据EAP协议的服务器模块也被安装在验证服务器 AAA中,使得后者可以一方面解析来自终端UE的联接请求,另一方面根据 EAP协议格式化包括安全关联参数的安全关联消息,如图4A至4B中所图 示的。所述服务器模块EAP可采取存储在验证服务器AAA的存储器32或 33之一中的软件模块的形式,并由所述服务器的处理器31来实现。
当然,本发明并不限于上文所描述和表示的示范实施例,以此为基础可 设想其他模式和实施例而并不脱离本发明的范围。
因此,EAP和EAP-AKA协议被特别提及以用于格式化在终端UE和验 证服务器AAA之间交换的联接请求和安全关联消息。然而,也可采用使得 可能保护在这些实体之间交换的安全关联参数的其他协议,例如EAP-SIM、 EAP-TTLS或EAP-AKA'协议。
此外,前面已指出,当接入网ACC_NET是非3GPP类型网络时,本发 明尤其有利。然而,本发明并不仅限于这种类型的接入网。
最后,GBA类型的安全关联先前是在利用引导功能服务器BSF验证终 端UE的框架下被提及,这两者都支持这种类型的关联。然而,本发明并不 仅限于这种类型的安全关联,也可应用于由终端和引导功能服务器支持的其 他形式的安全关联,例如根据Digest协议的安全关联。
Claims (14)
1.一种为终端UE联接到接入网ACC_NET设立安全关联的方法,其特征在于,它包括在接收到来自终端的联接到网络的请求之后、由接入网的验证服务器AAA执行的下列步骤:
从引导功能服务器BSF接收(216、218')包含至少一个安全关联参数的第一消息;
借助由所述终端的归属订户服务器HSS提供的至少一个第一验证参数AV来对终端进行验证(217、219');和
向被验证的终端派送(218、220')包含所述至少一个安全关联参数的安全关联消息。
2.如权利要求1所述的方法,其特征在于,所述第一消息包含由引导功能服务器从归属订户服务器获取(214)的所述第一验证参数。
3.如权利要求2所述的方法,其特征在于,所述安全关联参数的至少一部分由引导功能服务器基于接收自归属订户服务器的所述第一验证参数AV的至少一部分来确定。
4.如权利要求1所述的方法,其特征在于,在由验证服务器向所述归属订户服务器派送(212')用于验证的请求之后,验证服务器接收(213')包含归属订户服务器的第一验证参数的第二消息。
5.如权利要求4所述的方法,其特征在于,所述安全关联参数的至少一部分由引导功能服务器基于接收(216')自归属订户服务器的第二验证参数AV'的至少一部分来确定(217')。
6.如权利要求1所述的方法,其特征在于,所述至少一个安全关联参数是安全-会话标识符和安全会话密钥的有效期中的至少一个参数。
7.如权利要求1所述的方法,其特征在于,所述至少一个第一验证参数是随机值、网络的识别参数和当终端使用所述随机值来自我验证时的预期响应值中的至少一个参数。
8.如权利要求1所述的方法,其特征在于,所述安全关联消息是根据EAP协议的、包括数据字段的消息,该数据字段包含所述至少一个安全关联参数。
9.如权利要求8所述的方法,其特征在于,安全关联消息是根据EAP-AKA协议的消息,其包含在包含至少一个安全关联参数的数据字段之前的、根据AKA验证协议的报头。
10.如权利要求1所述的方法,其特征在于,所述安全关联是根据GBA架构的安全关联。
11.如权利要求1至10中任一项所述的方法,其特征在于,所述接入网是非3GPP类型的接入网。
12.一种适合于为联接到接入网ACC_NET的终端UE设立安全关联的验证服务器AAA,其包括能够接收由所述终端发送的联接到所述接入网的请求的发送-接收模块(30),其特征在于,所述发送-接收模块进一步被配置成:
从引导功能服务器BSF接收(216、218')包含至少一个安全关联参数的第一消息;和
借助由所述终端的归属订户服务器HSS提供的至少一个第一验证参数,在利用验证服务器对所述终端进行验证(217、219')之后,向终端派送(218、220')包含所述至少一个安全关联参数的安全关联消息。
13.一种能够在联接到接入网ACC_NET时触发安全关联的设立的终端UE,其包括发送-接收模块(10),所述发送-接收模块适合于:
向所述接入网的接入点AP派送(211)用于联接到所述接入网的请求;
从所述接入点接收(217)包含由所述终端的归属订户服务器HSS提供的至少一个第一验证参数的消息;
向所述接入点派送(217)包含由所述终端基于所述至少一个第一验证参数计算的值的响应;
从所述接入点接收(217)安全关联消息,该安全关联消息包含能够在与应用连接期间由所述终端用于自我验证的至少一个安全关联参数。
14.一种可由计算机读取的记录介质,其上记录有计算机程序,该计算机程序包括用于执行权利要求1至11中任一项所述方法的步骤的指令。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1256330 | 2012-07-02 | ||
FR1256330A FR2992811A1 (fr) | 2012-07-02 | 2012-07-02 | Mise en place d'une association de securite lors de l'attachement d'un terminal a un reseau d'acces |
PCT/FR2013/051447 WO2014006295A1 (fr) | 2012-07-02 | 2013-06-20 | Mise en place d'une association de securite lors de l'attachement d'un terminal a un reseau d'acces |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104509144A CN104509144A (zh) | 2015-04-08 |
CN104509144B true CN104509144B (zh) | 2018-07-17 |
Family
ID=48793308
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380040142.4A Active CN104509144B (zh) | 2012-07-02 | 2013-06-20 | 在终端联接至接入网期间实现安全关联 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9532218B2 (zh) |
EP (1) | EP2868130B1 (zh) |
CN (1) | CN104509144B (zh) |
ES (1) | ES2582858T3 (zh) |
FR (1) | FR2992811A1 (zh) |
WO (1) | WO2014006295A1 (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104852891B (zh) * | 2014-02-19 | 2018-07-20 | 华为技术有限公司 | 一种密钥生成的方法、设备及系统 |
US10142834B2 (en) * | 2015-01-29 | 2018-11-27 | Motorola Mobility Llc | Method and apparatus for operating a user client wireless communication device on a wireless wide area network |
FR3077175A1 (fr) * | 2018-01-19 | 2019-07-26 | Orange | Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif |
CN114363890A (zh) * | 2018-08-10 | 2022-04-15 | 华为技术有限公司 | 扩展的通用引导架构认证方法、装置及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001039538A1 (en) * | 1999-11-23 | 2001-05-31 | Nokia Corporation | Transfer of security association during a mobile terminal handover |
CN1805391A (zh) * | 2005-01-13 | 2006-07-19 | 华为技术有限公司 | 在无线局域网中支持多个逻辑网络的方法及装置 |
CN1859401A (zh) * | 2006-01-12 | 2006-11-08 | 华为技术有限公司 | 在移动终端与移动网络之间实现安全联动的方法 |
CN101027888A (zh) * | 2004-07-26 | 2007-08-29 | 阿尔卡特朗讯公司 | 建立多安全连接的安全通信方法、设备和计算机可读介质 |
CN101610509A (zh) * | 2008-06-16 | 2009-12-23 | 华为技术有限公司 | 一种保护通信安全的方法、装置及系统 |
Family Cites Families (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6931529B2 (en) * | 2001-01-05 | 2005-08-16 | International Business Machines Corporation | Establishing consistent, end-to-end protection for a user datagram |
CN1315268C (zh) * | 2003-11-07 | 2007-05-09 | 华为技术有限公司 | 一种验证用户合法性的方法 |
CN1265676C (zh) * | 2004-04-02 | 2006-07-19 | 华为技术有限公司 | 一种实现漫游用户使用拜访网络内业务的方法 |
US20070086590A1 (en) * | 2005-10-13 | 2007-04-19 | Rolf Blom | Method and apparatus for establishing a security association |
US8122240B2 (en) * | 2005-10-13 | 2012-02-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for establishing a security association |
US8522025B2 (en) * | 2006-03-28 | 2013-08-27 | Nokia Corporation | Authenticating an application |
CN101102186B (zh) * | 2006-07-04 | 2012-01-04 | 华为技术有限公司 | 通用鉴权框架推送业务实现方法 |
WO2008082337A1 (en) * | 2006-12-28 | 2008-07-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for integration of different authentication infrastructures |
US8875236B2 (en) * | 2007-06-11 | 2014-10-28 | Nokia Corporation | Security in communication networks |
WO2008151663A1 (en) * | 2007-06-12 | 2008-12-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatuses for authentication and reauthentication of a user with first and second authentication procedures |
FI122163B (fi) * | 2007-11-27 | 2011-09-15 | Teliasonera Ab | Verkkopääsyautentikointi |
US8875232B2 (en) * | 2009-02-18 | 2014-10-28 | Telefonaktiebolaget L M Ericsson (Publ) | User authentication |
US8782743B2 (en) * | 2009-11-24 | 2014-07-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for use in a generic bootstrapping architecture |
WO2011128183A2 (en) * | 2010-04-13 | 2011-10-20 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for interworking with single sign-on authentication architecture |
KR20140109478A (ko) * | 2010-12-30 | 2014-09-15 | 인터디지탈 패튼 홀딩스, 인크 | 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정 |
FR2973637A1 (fr) * | 2011-03-31 | 2012-10-05 | France Telecom | Mise en place d'une association de securite de type gba pour un terminal dans un reseau de telecommunications mobiles |
WO2013003535A1 (en) * | 2011-06-28 | 2013-01-03 | Interdigital Patent Holdings, Inc. | Automated negotiation and selection of authentication protocols |
US8990554B2 (en) * | 2011-06-30 | 2015-03-24 | Verizon Patent And Licensing Inc. | Network optimization for secure connection establishment or secure messaging |
US8650622B2 (en) * | 2011-07-01 | 2014-02-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and arrangements for authorizing and authentication interworking |
JP5898319B2 (ja) * | 2011-09-29 | 2016-04-06 | インターデイジタル パテント ホールディングス インコーポレイテッド | 訪問先ネットワークと統合されたアプリケーションへのアクセスを可能にするための方法および装置 |
EP2773142B1 (en) * | 2011-10-28 | 2022-01-05 | Samsung Electronics Co., Ltd. | Method and apparatus for single sign-on in a mobile communication system |
US9380038B2 (en) * | 2012-03-09 | 2016-06-28 | T-Mobile Usa, Inc. | Bootstrap authentication framework |
WO2013165605A1 (en) * | 2012-05-02 | 2013-11-07 | Interdigital Patent Holdings, Inc. | One round trip authentication using single sign-on systems |
-
2012
- 2012-07-02 FR FR1256330A patent/FR2992811A1/fr not_active Withdrawn
-
2013
- 2013-06-20 ES ES13737345.2T patent/ES2582858T3/es active Active
- 2013-06-20 EP EP13737345.2A patent/EP2868130B1/fr active Active
- 2013-06-20 CN CN201380040142.4A patent/CN104509144B/zh active Active
- 2013-06-20 WO PCT/FR2013/051447 patent/WO2014006295A1/fr active Application Filing
- 2013-06-20 US US14/412,494 patent/US9532218B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001039538A1 (en) * | 1999-11-23 | 2001-05-31 | Nokia Corporation | Transfer of security association during a mobile terminal handover |
CN101027888A (zh) * | 2004-07-26 | 2007-08-29 | 阿尔卡特朗讯公司 | 建立多安全连接的安全通信方法、设备和计算机可读介质 |
CN1805391A (zh) * | 2005-01-13 | 2006-07-19 | 华为技术有限公司 | 在无线局域网中支持多个逻辑网络的方法及装置 |
CN1859401A (zh) * | 2006-01-12 | 2006-11-08 | 华为技术有限公司 | 在移动终端与移动网络之间实现安全联动的方法 |
CN101610509A (zh) * | 2008-06-16 | 2009-12-23 | 华为技术有限公司 | 一种保护通信安全的方法、装置及系统 |
Also Published As
Publication number | Publication date |
---|---|
ES2582858T3 (es) | 2016-09-15 |
CN104509144A (zh) | 2015-04-08 |
US9532218B2 (en) | 2016-12-27 |
US20150189507A1 (en) | 2015-07-02 |
FR2992811A1 (fr) | 2014-01-03 |
WO2014006295A1 (fr) | 2014-01-09 |
EP2868130A1 (fr) | 2015-05-06 |
EP2868130B1 (fr) | 2016-04-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5579872B2 (ja) | 安全な複数uim認証および鍵交換 | |
EP2341724B1 (en) | System and method for secure transaction of data between wireless communication device and server | |
US8769647B2 (en) | Method and system for accessing 3rd generation network | |
EP3750342B1 (en) | Mobile identity for single sign-on (sso) in enterprise networks | |
CN107409305A (zh) | 通信设备与网络设备之间的通信安全设置 | |
US20200162913A1 (en) | Terminal authenticating method, apparatus, and system | |
US20070178885A1 (en) | Two-phase SIM authentication | |
CN103581154B (zh) | 物联网系统中的鉴权方法和装置 | |
CN101147377A (zh) | 无线通信的安全自启动 | |
CN110049492A (zh) | 异构网络的统一认证框架 | |
KR20060067263A (ko) | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 | |
CN104935426B (zh) | 密钥协商方法、用户设备和近距离通信控制网元 | |
CN106921965A (zh) | 一种wlan网络中实现eap认证的方法 | |
CN109391942A (zh) | 触发网络鉴权的方法及相关设备 | |
CN109495503A (zh) | 一种ssl vpn认证方法、客户端、服务器及网关 | |
CN104509144B (zh) | 在终端联接至接入网期间实现安全关联 | |
CN109788480A (zh) | 一种通信方法及装置 | |
ES2300850T3 (es) | Aparato y metodo para la prevencion del fraude cuando se accede a traves de redes de area local inalambricas. | |
CN107979864A (zh) | 接入点的接入方法、装置及系统 | |
Matos et al. | Secure hotspot authentication through a near field communication side-channel | |
CN102685742B (zh) | 一种wlan接入认证方法和装置 | |
CN108243416A (zh) | 用户设备鉴权方法、移动管理实体及用户设备 | |
CN103563419B (zh) | 针对移动电信网络中的终端来实现通用引导架构类型的安全关联 | |
CN110226319A (zh) | 用于紧急接入期间的参数交换的方法和设备 | |
Lunde et al. | Using SIM for strong end-to-end Application Authentication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |