CN104980434A - 基于ims的多媒体广播和多播服务(mbms)中的安全密钥管理 - Google Patents
基于ims的多媒体广播和多播服务(mbms)中的安全密钥管理 Download PDFInfo
- Publication number
- CN104980434A CN104980434A CN201510315752.1A CN201510315752A CN104980434A CN 104980434 A CN104980434 A CN 104980434A CN 201510315752 A CN201510315752 A CN 201510315752A CN 104980434 A CN104980434 A CN 104980434A
- Authority
- CN
- China
- Prior art keywords
- service
- node
- fqdn
- communicator
- naf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/189—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast in combination with wireless systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/61—Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio
- H04L65/611—Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio for multicast or broadcast
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/14—Backbone network devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
用于管理用户设备UE、诸如SCF/NAF的认证节点、以及诸如BM-SC或AS的服务节点之间的共享安全密钥的系统、方法、和节点。SCF/NAF从SCF/NAF管理的FQDN空间中向各BM-SC分配诸如完全合格域名FQDN的不同的SCF/NAF标识符。然后,SCF/NAF将这些分配的FQDN与连接的BM-SC以及与不同的服务本地地关联。该网络在预期服务的服务描述中向UE发送正确的FQDN,并且UE能够使用该FQDN来得出安全密钥。当UE请求预期服务时,SCF/NAF能够将服务标识符与正确FQDN及关联的BM-SC相关联。SCF/NAF使用FQDN从引导服务器获得安全密钥,并且将其发送到关联的BM-SC。因此,UE和关联的BM-SC共享特定安全密钥。
Description
相关申请
本申请要求2009年4月1日提交的美国临时申请No.61/165809的权益。
技术领域
一般来说,本发明涉及通信网络,并且具体来说,涉及用于管理基于IP多媒体子系统(IMS)的多媒体广播/多播服务(MBMS)用户服务中的共享安全密钥的系统、方法和网络节点。
背景技术
在若干第三代合作伙伴项目(3GPP)技术规范中描述与本发明相关的现有规程。它们包括:
-3GPP TS 33.220 v8.5.0 Technical Specification GroupServices and System Aspects(技术规范组服务和系统方面);GenericAuthentication Architecture(GAA);Generic bootstrappingarchitecture(一般鉴权架构(GAA);一般引导架构(GBA))(发布版8);
-3GPP TS 33.222 v8.0.0 Technical Specification GroupServices and System Aspects(技术规范组服务和系统方面);GenericAuthentication Architecture(GAA);Access to networkapplication functions using Hypertext Transfer Protocol overTransport Layer Security(HTTPS)(一般鉴权架构(GAA);使用超文本传输协议在传输层安全性(HTTPS)上接入网络应用功能)(发布版8);
-3GPP TS 33.246 v8.2.0 Technical Specification GroupServices and System Aspects(技术规范组服务和系统方面);3GSecurity;Security of Multimedia Broadcast/Multicast Service(MBMS)(3G安全性;多媒体广播/多播业务(MBMS)的安全性)(发布版8);以及
-3GPP TS 26.237 v8.0.0 Technical Specification GroupServices and System Aspects(技术规范组服务和系统方面);IPMultimcdia Subsystem(IMS)based Paeket Switched Streaming(PSS)and Multimedia Broadcast/Multicast Service(MBMS)User Service;Protocols(基于IP多媒体子系统(IMS)的分组交换流动(PSS)和多媒体广播/多播业务(MBMS)用户服务;协议)(发布版8)。
图1是来自TS 33.222的高级参考模型,示出使用引导服务的网络应用功能(NAF)。网络实体在3GPP TS 33.220中定义,3GPP TS 33.220规定通用引导架构(GBA),其中移动通信装置(例如,用户设备(UE)11)和引导服务器功能性(BSF)12通过Ub参考点来运行HTTP digest AKA,并且因此建立共享密钥Ks。共享密钥Ks稍后用于得出NAF特定密钥(称作Ks_NAF密钥),以便保密UE与NAF 13之间通过Ua参考点的通信。NAF通过Zn参考点来取回NAF特定密钥。
3GPP TS 33.222条款6规定NAF 13中的认证代理(AP)的使用。AP与TS 33.220中规定的GBA架构兼容。当AP用于这种架构时,AP通过充当NAF来减轻(relieve)应用服务器(AS)的安全任务。
图2是来自TS 33.222的高级参考模型,示出认证代理(AP)15的环境和参考点。TS 33.222假定UE 11与NAF 13中的AP 15之间的使用传输层安全性(TLS)。当HTTPS请求预计送往AP之后的应用服务器(AS)16a-16n时,AP端接TLS隧道17,从BSF 12取回NAF密钥(Ks_NAF),并且执行UE认证。AP作为代理将从UE接收的HTTP请求送往一个或多个AS。当AP将请求从UE转发给AS时,AP可添加订户识别码的断言,供AS使用。
TS 33.222中为NAF密钥的使用定义的规程的问题在于,UE 11和AS 16a-16n没有共享任何密钥资料,即使可能存在会需要这种共享密钥资料的情况。AP 15充当TS 33.222中的NAF 13。因此,NAF密钥(Ks_NAF)按照TS 33.220中规定的密钥推导规则是AP特定的,并且是UE不知道的。
图3是来自TS 26.237的高级参考模型,示出用于密钥共享的当前解决方案。NAF密钥与AS配合使用的上面定义的这个问题也可适用于TS 26.237中定义的网络实体。在这种情况下,服务控制功能(SCF)21充当NAF/AP的修改变体(并且因而标记为SCF/NAF),并且MBMS广播/多播服务中心(BM-SC)22充当AS(并且因而标记为BM-SC/AS)。与图2的AS相似,BM-SC/AS需要与UE 11的共享密钥,以便能够通过单播或广播信道将受保护MIKEY密钥管理消息从BM-SC/AS直接发送到UE。
应当注意,TS 26.237没有提到与TS 33.222的AP 15和AS 16的这种类比。TS 26.237中的设定与TS 33.222中不是精确相同的;例如,不一定使用UE 11与SCF 21之间的TLS隧道。但是,类似问题仍然保持不变。
在TS 26.237中,引入了一种解决方案,其中SCF 21将它自己的NAF密钥(Ks_NAF)发送到BM-SC 22。BM-SC使用Ks_NAF作为MUK(MBMS用户密钥),这用于保护从BM-SC到UE 11的MIKEY密钥管理消息。图3的步骤1-6按照当前GBA规范,而步骤7描述向BM-SC发送Ks_NAF以及订户的被断言识别码。
只要仅一个BM-SC 22连接到SCF 21(并且只要SCF能够假定对BM-SC的足够置信,使得BM-SC不会误用SCF特定NAF密钥),则TS26.237中的当前解决方案正常工作。当两个或更多BM-SC附连到SCF时,则出现问题。这是因为,按照当前解决方案,SCF将它自己的Ks_NAF发送到BM-SC,并且因此SCF会将同一Ks_NAF发送到所有连接的BM-SC。将同一密钥给予若干节点不是良好的安全实践。这会引起同一Ks_NAF密钥在UE 11与所有相关联的BM-SC之间使用的情况。这会揭开诸如BM-SC对UE相互模仿的威胁。
图4是示出在现有基于IMS的MBMS登记过程期间在多种网络实体之间发送的消息的消息流程图。该图基于如下前提:按照3GPP TS33.203向IMS登记和认证了UE 11;UE与服务调度功能(SSF)(未示出)进行了通信并且接收到如3GPP TS 26.237定义的可用服务的列表;UE如3GPP TS 33.220所定义运行了与BSF 12的GBA引导;以及网络接口采用3GPP TS 33.210中定义的网络域安全性(NDS/IP)来保护。
该过程如下,其中仅示出关于安全性过程的相关信息。UE 11经由IP多媒体核心网络(IM CN)子系统32向SCF 21发送SIP INVITE消息31。INVITE消息在请求URI中指示“SCF”,并且该消息在XML文档的SIP消息主体中包含UE希望登记的被请求MBMS用户服务的识别码(userServiceIds)。XML文档与用于TS 33.246中的MBMS登记的相同,并且在TS 26.346中规定。另外,存在携带引导事务标识符(B-TID)的XML文档。携带B-TID的XML文档在3GPP TS 26.237的附录I中定义。
SCF 21从SIP INVITE消息31的报头接收UE 11的IP地址和UE的一个或多个被断言识别码。SCF基于存储的预订信息来执行检查,以便确定是否授权UE访问被请求MBMS用户服务。如果UE经过授权,则该过程继续进行;如果未经授权,则该过程终止。如果不存在对该UE存储的B-TID,或者如果接收的B-TID与对该UE存储的不同,则SCF 21在33和34通过Zn参考点来运行与BSF 12的GBA使用过程,以便取回与UE对应的NAF密钥,如TS 33.220所定义。SCF从NAF密钥得出MBMS用户密钥(MUK),如TS 33.246所定义。
SCF 21向BM-SC 22发送HTTP POST消息35。SCF按如下所述装载HTTP POST消息:
-HTTP版本将为1.1,这在RFC 2616中规定;
-请求URI的基部(base)将包含完整BM-SC密钥管理URI(例如http://bmsc.home1.net:1234);
-请求URI将包含设置成“authorized-register”的URI参数“requesttype”,即,请求URI采取“/keymanagement?requesttype=authorized-register”的形式;
-SCF可对请求URI添加附加URI参数;
-X-3GPP-Asserted-Identity报头,它包括UE的识别码;
-HTTP报头Content-Type将是有效载荷的MIME类型,即,“application/mbms-authorized-register+xml”;
-HTTP有效载荷将包含XML文档,其中包括UE希望登记的MBMS用户服务的一个或多个userServiceIds、UE的IP地址、MBMS用户密钥(MUK)、和MUK的存在期的列表。有效载荷的XML方案在3GPP TS26.237的附录I中规定
-SCF可对HTTP POST请求添加附加HTTP报头。
BM-SC 22接收HTTP POST消息35,检验HTTP POST是有效的,并且提取请求供进一步处理。由于HTTP POST消息来自具有被断言识别码的SCF 21,所以BM-SC不需要认证UE 11,因为UE已经由IMS认证。另外,HTTP POST消息还向BM-SC指示SCF已经授权UE向指示的MBMS用户服务进行登记。
BM-SC存储接收的信息,并且向SCF 21返回HTTP 200 OK消息36。BM-SC将按如下所述来装载HTTP 200 OK消息:
-HTTP状态行中的HTTP状态码将为200;
-HTTP报头Content-Type将是有效载荷的MIME类型,即,“application/mbms-register-response+xml”;
-HTTP有效载荷将包含XML文档,XML文档包括其中包含各MBMS用户服务的一个状态码的列表。有效载荷的XML方案与用于TS 33.246中的MBMS登记的相同,并且在TS 26.346中规定。
SCF 21接收HTTP 200 OK消息36,并把来自HTTP 200 OK消息的XML主体包含到SIP 200 OK消息37中,并且经由IM CN子系统32向UE 11发送SIP 200 OK消息。BM-SC 22这时能够按照TS 33.246中规定的过程开始向指示的MBMS用户服务的UE发送MIKEY MSK消息(采用MUK来保护)38、MTK消息(采用MSK来保护)39、和MBMS数据(采用MTK来保护)40。
这个过程的问题与以上针对图3论述的相同,即,不存在当一个以上BM-SC连接到SCF时提供BM-SC特定NAF密钥的方式。如果SCF 21向所有连接的BM-SC发送同一Ks_NAF,则该同一Ks_NAF密钥会在UE 11与所有相关联BM-SC之间使用。这会揭开诸如BM-SC对UE相互模仿的威胁。
另外,在MIKEY MSK消息38中不存在足够信息向UE 11指示哪一个MUK(即,NAF密钥)用于保护MIKEY MSK消息。在MBMS TS 33.246中,NAF-Id和B-TID用于指示这个方面;但在TS 26.237中,BM-SC 22没有充当NAF,并且因此它没有这种信息。
发明内容
在本发明的一个实施例中,SCF/NAF 21在GBA中如常从BSF 12取回Ks-NAF。然后,不是SCF/NAF向(一个或多个)BM-SC/AS发送它自己的Ks_NAF,而是SCF/NAF从SCF特定Ks_NAF进行进一步密钥推导,以产生BM-SC/AS特定密钥Ks_AS。例如,Ks_AS=KDF(Ks_NAF,nonce),其中,nonce(现时)是由SCF/NAF定义的并且是对相关联BM-SC/AS特定的值。CF/NAF向UE 11指示nonce,UE 11则进行相同Ks_AS推导。SCF/NAF还向UE指示BM-SC/AS的识别码,使得UE能够将得出的Ks_AS密钥与正确BM-SC/AS相关起来。因此,UE和BM-SC/AS共享BM-SC/AS特定密钥。
在一个实施例中,本发明针对一种在通信网络中用于管理通信装置、认证节点、以及向通信装置提供请求服务的选择的服务节点之间的共享安全密钥的方法。该方法包括下列步骤:由认证节点将多个认证节点标识符与多个服务相关联,其中多个认证节点标识符标识认证节点;以及由网络使预期服务的服务描述对通信装置可用,服务描述包括多个认证节点标识符中与预期服务相关联的认证节点标识符,其中认证节点标识符使通信装置能够得出安全密钥。该方法还包括由认证节点向网络中的各服务节点分配多个认证节点标识符中的不同认证节点标识符;并且由认证节点将分配的认证节点标识符与连接的服务节点相关联。在从通信装置接收到预期服务的请求时,认证节点利用与预期服务关联的分配的认证节点标识符来获得与分配的认证节点标识符关联的连接的服务节点的安全密钥,并且将安全密钥从认证节点发送到关联的服务节点。因此,当关联的服务节点向通信装置发送采用安全密钥保护的密钥管理消息时,通信装置使用安全密钥对该消息进行解密和检验。
在另一个实施例中,本发明针对一种在通信网络中用于管理通信装置、认证节点、以及向通信装置提供请求服务的选择的服务节点之间的共享安全密钥的方法。该方法包括下列步骤:由网络使至少一个服务的服务描述对通信装置可用,服务描述包括认证节点的至少一个标识符,其中各认证节点标识符与不同服务以及与不同服务节点相关联;由通信装置基于已知信息以及在服务描述中接收的认证节点标识符中的选择的一个来得出安全密钥,其中选择的认证节点标识符与预期服务相关联;以及将预期服务的请求从通信装置发送到认证节点,该请求包括事务标识符和预期服务的服务标识符。该方法还包括在认证节点中将服务标识符与认证节点标识符相关联;由认证节点利用认证节点标识符和事务标识符来获得安全密钥;识别与认证节点标识符关联的服务节点;以及将预期服务的请求消息从认证节点发送到识别的服务节点,该请求消息包括服务标识符、事务标识符、安全密钥和通信装置的地址。因此,当识别的服务节点向通信装置发送采用安全密钥保护的密钥管理消息时,通信装置使用安全密钥对该消息进行解密和检验。
在另一个实施例中,本发明针对一种在通信网络中用于管理通信装置以及向通信装置提供服务的服务节点之间的共享安全密钥的认证节点。该认证节点包括运行存储器中存储的计算机程序指令的处理器,该处理器控制认证节点的下列组件:用于将多个认证节点标识符与多个服务相关联的部件,其中多个认证节点标识符标识认证节点;用于向网络中的各服务节点分配多个认证节点标识符中的不同认证节点标识符的部件;用于将分配的认证节点标识符与连接的服务节点相关联的表;响应从通信装置接收到预期服务的请求而利用与预期服务关联的分配的认证节点标识符来获得与分配的认证节点标识符关联的连接的服务节点的安全密钥的部件;以及用于将安全密钥从认证节点发送到关联的服务节点的通信部件。网络使预期服务的服务描述对通信装置可用。服务描述包括多个认证节点标识符中与预期服务关联的认证节点标识符,并且通信装置利用认证节点标识符来得出安全密钥。因此,当关联的服务节点向通信装置发送采用安全密钥保护的密钥管理消息时,通信装置使用安全密钥对该消息进行解密和检验。
在另一个实施例中,本发明针对一种在通信网络中用于利用共享安全密钥向通信装置提供用户服务的服务节点。该服务节点包括运行存储器中存储的计算机程序指令的处理器。该处理器控制服务节点的下列组件:用于从认证节点获得认证节点标识符、通信装置的IP地址、事务标识符和共享安全密钥的通信部件,其中事务标识符标识其中通信装置已经请求服务节点提供的用户服务的事务;以及用于向通信装置发送采用共享安全密钥保护的密钥管理消息的通信部件,密钥管理消息包括认证节点标识符和事务标识符。当通信装置从服务节点接收到密钥管理消息时,通信装置从认证节点标识符和事务标识符来识别共享安全密钥。当认证节点向通信装置提供认证节点标识符时,或者当通信装置接收服务描述中的认证节点标识符时,通信装置利用认证节点标识符来得出共享安全密钥,并且使用共享安全密钥对密钥管理消息进行解密和检验。
在另一个实施例中,本发明针对一种在通信网络中用于管理共享安全密钥的系统。该系统包括:通信装置;与通信装置进行通信的认证节点;以及与认证节点和通信装置进行通信的服务节点。该认证节点包括:用于将多个认证节点标识符与多个服务相关联的部件,其中多个认证节点标识符标识认证节点;用于向服务节点分配多个认证节点标识符中的选择的认证节点标识符的部件;用于将分配的认证节点标识符与连接的服务节点相关联的表;响应从通信装置接收到预期服务的请求而利用与预期服务关联的分配的认证节点标识符来获得与分配的认证节点标识符关联的连接的服务节点的安全密钥的部件;以及用于向服务节点发送认证节点标识符、通信装置的IP地址、事务标识符和共享安全密钥的通信部件,其中事务标识符标识其中通信装置已经请求服务节点提供的用户服务的事务。该服务节点包括用于向通信装置发送采用共享安全密钥保护的密钥管理消息的通信部件,密钥管理消息包括认证节点标识符和事务标识符。移动通信装置包括:用于从认证节点标识符和事务标识符来识别共享安全密钥的部件;用于接收或者来自认证节点的或者在从网络获得的服务描述中的认证节点标识符的通信部件;用于利用认证节点标识符来得出共享安全密钥的部件;以及用于使用共享安全密钥对密钥管理消息进行解密和检验的部件。
在基于IMS的MBMS和PSS用户服务中的密钥分发的一特定示范实施例中,本发明有利地提供一种更安全的系统,其中UE与多个BM-SC的每个共享不同(特定)的密钥,而不是与所有涉及的BM-SC共享同一密钥。在用于获得认证代理(AP)情况的AS特定密钥的相关实施例中,本发明有利地提供一种实现UE与应用服务器(AS)之间的共享秘密的方式。这使得能够对具有AP的情况开发新种类的应用。本发明提供一种更安全的系统,其中UE与各AS共享不同(特定)的密钥,而不是与所有涉及的AS共享同一密钥。
附图说明
图1是取自TS 33.222的高级参考模型,示出使用引导服务的网络应用功能(NAF);
图2是取自TS 33.222的高级参考模型,示出认证代理(AP)的环境和参考点;
图3是取自TS 26.237的高级参考模型,示出用于密钥共享的当前解决方案;
图4是示出在现有基于IMS的MBMS登记过程期间在多种网络实体之间发送的消息的消息流程图;
图5A-5B是示出在服务描述中向UE指示NAF-Id(SCF分配的FQDN)时在发明的基于IMS的MBMS登记过程的第一实施例期间在多种网络实体之间发送的消息的消息流程图的部分;
图6A-6B是示出在SIP 200 OK消息中向UE指示NAF-Id(SCF分配的FQDN)时在发明的基于IMS的MBMS登记过程的第二实施例期间在多种网络实体之间发送的消息的消息流程图的部分;
图7是示出用于基于IMS的MBMS和PSS用户服务中的密钥分发的发明系统和方法的一实施例的高级参考模型;
图8是示出用于获得认证代理(AP)情况的AS特定密钥的发明系统和方法的一实施例的高级参考模型;以及
图9是本发明系统的一示范实施例的简化框图。
具体实施方式
存在能够向UE指示将要在密钥推导中使用的NAF-Id的两种方式:
A)可在服务描述中向UE指示NAF-Id(SCF分配的FQDN)。基于UE选择哪一个服务,UE则将使用对应NAF-Id。这与MBMS TS 33.246中的当前过程相似,但是指示了BM-SC FQDN。
B)SCF可在SIP INVITE过程中向UE指示NAF-Id(SCF分配的FQDN),因为UE在SIP INVITE过程结束之前不需要使用NAF-Id。这个备选方案的优点在于,SCF能够在服务请求被接收时向用户动态分配BM-SC。这例如在负荷平衡中可能是有益的。
图5A-5B是示出在服务描述中向UE 11指示NAF-Id(SCF分配的FQDN)时(即,上述备选方案A)在发明的基于IMS的MBMS登记过程期间在多种网络实体之间发送的消息的消息流程图的部分。该图基于如下前提:按照3GPP TS 33.203向IMS登记和认证了UE;SIP过程由3GPP TS 33.203中定义的IMS安全性来保护;UE如3GPP TS 33.220中定义的那样运行了与BSF 12的GBA引导;以及网络接口采用3GPP TS33.210定义的网络域安全性(NDS/IP)来保护。
另外,SCF 21已经创建到一个或多个BM-SC 22a、22b的连接,BM-SC 22a、22b向UE提供实际MBMS用户服务。与TS 33.246中定义的、其中BM-SC充当NAF的MBMS安全性不同,SCF代表BM-SC(一个或多个)来充当NAF。BSF 12使用NAF-Id(它包括NAF的FQDN和Ua安全协议标识符)作为对NAF密钥推导的输入。为了从BSF得到BM-SC特定NAF密钥,SCF为各BM-SC分配分离的FQDN(从它管理的FQDN空间)。SCF例如在表中将这些分配的FQDN本地地关联到连接的BM-SC。
由于两种原因而需要这些分配的分离的FQDN。首先,SCF 21不能使用同一(例如,它自己的)FQDN,因为两个BM-SC则会得到同一NAF密钥,这可能危及系统的安全性。其次,SCF不能使用BM-SC的FQDN,因为BSF 12将进行检查以确定NAF是否有权使用NAF提供的NAF-Id。作为一个示例,SCF可按如下方式为BM-SC_1 22a和BM-SC_2 22b分配NAF-Id:
NAF-Id_1(FQDN)<=>BM-SC1(FQDN)
NAF-Id_2(FQDN)<=>BM-SC2(FQDN)
其中,例如,NAF-Id_1可以是server1.scf.operatorA.com,而BM-SC1可以是bmsc123.operatorB.com。
参照图5A,在GBA引导过程42之后,执行服务描述检索过程43。UE 11与SSF 41进行通信,并且检索服务描述44,即,可用服务及其参数(例如,服务保护描述)的列表。服务保护描述与TS 33.246中定义的相似,除了包含SCF分配的FQDN而不是BM-SC FQDN之外。假定在这里还需要SCF 21的FQDN,使得UE知道将SIP INVITE消息47发送到什么位置。
在45,用户从服务描述来选择服务,并且得出与服务描述中对选择的服务指示的NAF-Id对应的NAF密钥。备选地,NAF密钥推导可在SIP INVITE过程46之后执行。
UE 11经由IM CN子系统32向SCF 21发送SIP INVITE消息47。INVITE消息在请求URI中指示SCF,并且该消息在XML文档的SIP消息主体中包含UE希望登记的被请求MBMS用户服务的识别码(userServiceIds)。XML文档与用于TS 33.246中的MBMS登记的相同,并且在TS 26.346中规定。另外,存在携带引导事务标识符(B-TID)的XML文档。携带B-TID的XML文档在3GPP TS 26.237的附录I中定义。
SCF 21从SIP INVITE消息47的报头接收UE 11的IP地址和UE的被断言识别码(一个或多个)。SCF基于存储的预订信息来执行检查,以便确定是否授权UE访问被请求MBMS用户服务。如果是的话,则该过程继续进行。如果不是的话,则该过程终止。
参照图5B,如果不存在对该UE存储的B-TID,或者如果接收的B-TID与对该UE存储的不同,则SCF通过Zn参考点来运行与BSF 12的GBA使用过程48,以便取回与UE对应的NAF密钥,如TS 33.220定义的。SCF向BSF发送授权请求消息49,并且包括在服务描述中对这个服务指示的NAF-Id。BSF在50使用NAF-Id来得出NAF密钥,并且然后在授权响应消息51中返回NAF密钥。然后,SCF从NAF密钥得出MUK,如TS 33.246定义的。应当注意,新Ua安全协议在3GPP TS33.220中为此需要登记。
然后,在HTTP登记过程52中,SCF 21向BM-SC(在所示情况下,向BM-SC_1 22a)发送HTTP POST消息53。SCF按如下所述装载HTTP POST消息:
-HTTP版本将为1.1,这在RFC 2616中规定;
-请求URI的基部将包含完整BM-SC密钥管理URI(例如http://bmsc.home1.net:1234);
-请求URI将包含设置成“authorized-register”的URI参数“requesttype”,即,请求URI采取“/keymanagement?requesttype=authorized-register”的形式;
-SCF可对请求URI添加附加URI参数;
-X-3GPP-Asserted-Identity报头,它包括UE的识别码;
-HTTP报头Content-Type将是有效载荷的MIME类型,即,“application/mbms-authorized-register+xml”;
-HTTP有效载荷将包含XML文档,其中包括UE希望登记的MBMS用户服务的一个或多个userServiceIds、UE的IP地址、MBMS用户密钥(MUK)以及MUK、NAF-Id、和B-TID的存在期的列表。包含NAF-Id和B-TID,因为它们还包含在从BM-SC到UE的MIKEY消息中以标识使用哪一个MUK(即,NAF密钥)。有效载荷的XML方案在3GPP TS 26.237的附录I中规定。
-SCF可对HTTP POST请求消息添加附加HTTP报头。
BM-SC_1 22a接收HTTP POST消息53,检验HTTP POST消息是有效的,并且提取请求供进一步处理。由于HTTP POST消息来自具有被断言识别码的SCF 21,所以BM-SC_1不需要认证UE 11,因为UE已经由IMS认证。另外,HTTP POST消息还向BM-SC_1指示SCF已经授权UE向指示的MBMS用户服务进行登记。
BM-SC_1存储接收的信息,并且向SCF 21返回HTTP 200 OK消息54。BM-SC_1将按如下所述来装载HTTP 200 OK消息:
-HTTP状态行中的HTTP状态码将为200;
-HTTP报头Content-Type将是有效载荷的MIME类型,即,“application/mbms-register-response+xml”;
-HTTP有效载荷将包含XML文档,XML文档包括其中包含各MBMS用户服务的一个状态码的列表。有效载荷的XML方案与用于TS 33.246中的MBMS登记的相同,并且在TS 26.346中规定。
SCF 21接收HTTP 200 OK消息54,把来自HTTP 200 OK消息的XML主体包含到SIP 200 OK消息55中,并且经由IM CN子系统32向UE 11发送SIP 200 OK消息。在MIKEY MSK过程56中,BM-SC_1 22a这时能够按照TS 33.246中规定的过程开始向指示的MBMS用户服务的UE发送MIKEY MSK消息(采用MUK来保护)57、MTK消息(采用MSK来保护)58和MBMS数据(采用MTK来保护)59。在MIKEY MSK消息57中,BM-SC将使用在HTTP POST消息53中从SCF 21接收的NAF-Id(FQDN)和B-TID。
图6A-6B是示出在SIP 200 OK消息中向UE 11指示NAF-Id(SCF分配的FQDN)时(即,上述备选方案B)在发明的基于IMS的MBMS登记过程的一实施例期间在多种网络实体之间发送的消息的消息流程图的部分。如以上对于图5A-5B所述的相同前提适用。
参照图6A,在GBA引导过程42之后,执行服务检索过程43。UE 11与SSF 41进行通信,并且检索服务描述62,即,可用服务及其参数(例如,服务保护描述)的列表。服务保护描述与TS 33.246中定义的相似,除了包含的FQDN指向SCF 21而不是BM-SC FQDN之外。假定在这里还需要SCF 21的FQDN,使得UE知道将SIP INVITE消息47发送到什么位置。然后,用户从服务描述来选择服务。
在SIP INVITE过程63中,UE 11经由IM CN子系统32向SCF 21发送SIP INVITE消息64。INVITE消息在请求URI中指示SCF,并且该消息在XML文档的SIP消息主体中包含UE希望登记的被请求MBMS用户服务的识别码(userServiceIds)。XML文档与用于TS 33.246中的MBMS登记的相同,并且在TS 26.346中规定。另外,存在携带引导事务标识符(B-TID)的XML文档。携带B-TID的XML文档在3GPP TS26.237的附录I中定义。
SCF 21从SIP INVITE消息64的报头接收UE 11的IP地址和UE的被断言识别码(一个或多个)。SCF基于存储的预订信息来执行检查,以便确定是否授权UE访问被请求MBMS用户服务。如果是的话,则该过程继续进行。如果不是的话,则该过程终止。
参照图6B,如果不存在对该UE存储的B-TID,或者如果接收的B-TID与对该UE存储的不同,则SCF通过Zn参考点来运行与BSF 12的GBA使用过程65,以便取回与UE对应的NAF密钥,如TS 33.220定义的。SCF向BSF发送授权请求消息66,并且包括SCF为这个服务已经分配的NAF-Id。BSF在67使用NAF-Id来得出NAF密钥,并且然后在授权响应消息68中返回NAF密钥。然后,SCF从NAF密钥得出MUK,如TS 33.246定义的。应当注意,新Ua安全协议在3GPP TS 33.220中为此需要登记。
然后,在HTTP登记过程69中,SCF 21向BM-SC(在所示情况下,向BM-SC_1 22a)发送HTTP POST消息70。SCF按如下所述装载HTTP POST消息:
-HTTP版本将为1.1,这在RFC 2616中规定;
-请求URI的基部将包含完整BM-SC密钥管理URI(例如http://bmsc.home1.net:1234);
-请求URI将包含设置成“authorized-register”的URI参数“requesttype”,即,请求URI采取“/keymanagement?requesttype=authorized-register”的形式;
-SCF可对请求URI添加附加URI参数;
-X-3GPP-Asserted-Identity报头,它包括UE的识别码;
-HTTP报头Content-Type将是有效载荷的MIME类型,即,“application/mbms-authorized-register+xml”;
-HTTP有效载荷将包含XML文档,其中包括UE希望登记的MBMS用户服务的一个或多个userServiceIds、UE的IP地址、MBMS用户密钥(MUK)以及MUK、NAF-Id和B-TID的存在期的列表。包含NAF-Id和B-TID,因为它们还包含在从BM-SC到UE的MIKEY消息中以标识使用哪一个MUK(即,NAF密钥)。有效载荷的XML方案在3GPP TS 26.237的附录I中规定。
-SCF可对HTTP POST请求消息添加附加HTTP报头。
BM-SC_1 22a接收HTTP POST消息70,检验HTTP POST消息是有效的,并且提取请求供进一步处理。由于HTTP POST消息来自具有被断言识别码的SCF 21,所以BM-SC_1不需要认证UE 11,因为UE已经由IMS认证。另外,HTTP POST消息还向BM-SC_1指示SCF已经授权UE向指示的MBMS用户服务进行登记。
BM-SC_1存储接收的信息,并且向SCF 21返回HTTP 200 OK消息71。BM-SC_1将按如下所述来装载HTTP 200 OK消息:
-HTTP状态行中的HTTP状态码将为200;
-HTTP报头Content-Type将是有效载荷的MIME类型,即,“application/mbms-register-response+xml”;
-HTTP有效载荷将包含XML文档,XML文档包括其中包含各MBMS用户服务的一个状态码的列表。有效载荷的XML方案与用于TS 33.246中的MBMS登记的相同,并且在TS 26.346中规定。
SCF 21接收HTTP 200 OK消息71,把来自HTTP 200 OK消息的XML主体以及使用的NAF-Id包含到SIP 200 OK消息72中,并且经由IM CN子系统32向UE 11发送SIP 200 OK消息。当UE接收SIP 200 OK消息时,UE在73使用接收的NAF-Id来得出与服务对应的NAF密钥,并且得出MUK,如TS 33.246中定义。
在MIKEY MSK过程74中,BM-SC_1 22a这时能够按照TS 33.246中规定的过程开始向指示的MBMS用户服务的UE发送MIKEY MSK消息(采用MUK来保护)75、MTK消息(采用MSK来保护)76和MBMS数据(采用MTK来保护)77。在MIKEY MSK消息75中,BM-SC将使用在HTTP POST消息70中从SCF 21接收的NAF-Id(FQDN)和B-TID。
图7是示出用于基于IMS的MBMS和PSS用户服务中的密钥分发的发明系统和方法的第一实施例的高级参考模型。在步骤1,UE 11和BSF 12运行GBA引导过程,如TS 33.220中定义。结果是密钥Ks和B-TID。在步骤2,UE得出NAF特定密钥材料(Ks_NAF),如TS 33.220中定义。在步骤3,UE通过向SCF 21(它充当NAF)发送SIP INVITE消息(包含B-TID),来发起会话初始协议(SIP)会话。在步骤4,SCF使用B-TID从BSF请求Ks_NAF。在步骤5,BSF得出NAF特定密钥材料(Ks_NAF),如TS 33.220中定义。在步骤6,BSF向SCF发送Ks_NAF。
在新步骤6b,SCF 21确定哪一个BS-SC应当接收该请求。这个信息可从UE的请求获得,或者SCF可基于其本地策略来进行本地判定。SCF使用密钥推导函数(例如,Ks_AS=KDF(Ks_NAF,nonce))从Ks_NAF和nonce来得出BM-SC特定密钥Ks_AS。nonce可以是例如BM-SC的识别码,例如完全合格域名(FQDN)、由SCF选择的(伪)随机值或者作为nonce可使用的另外某个值。
在步骤7,SCF 21在HTTP请求中向识别的BM-SC 22a发送Ks-AS以及BM-SC的识别码(例如,FQDN)。CR S4-090148中规定的其它信息也可在请求中发送(但Ks_NAF由Ks_AS取代)。应当注意,将BM-SC 22a的B-TID和FQDN发送到BM-SC,使得BM-SC能够将其包含在送往UE 11的MIKEY消息的ID有效载荷中。UE将使用它们来识别正确MUK、即Ks_AS。将FQDN从SCF发送到BM-SC使得有可能令BM-SC通过不同FQDN对UE和SCF是已知的。因此,需要确保BM-SC向UE发送BM-SC从SCF接收到的相同FQDN。
在步骤8,BM-SC 22a存储信息,并且以SIP 200 OK消息向SCF 21确认HTTP请求。在步骤9,SCF向UE 11发送SIP 200 OK消息。200 OK消息包括nonce和BM-SC的识别码。如果FQDN用作nonce,则这两者可以是相同值。在步骤9b,UE使用密钥推导函数(例如,Ks_AS=KDF(Ks_NAF,nonce))从Ks_NAF和nonce来得出BM-SC特定密钥Ks_AS。UE存储密钥Ks_AS连同BM-SC识别码。最后,在步骤10,BM-SC 22a向UE发送采用作为MUK的Ks_AS保护的MIKEY密钥管理消息(参见TS 33.246)。BM-SC把从SCF 21接收的BM_SC FQDN和B-TID包含在MIKEY消息的ID有效载荷中。UE 11则能够使用Ks_AS对消息进行解密和检验。UE使用MIKEY消息的ID有效载荷来识别正确MUK(即,Ks_AS)。
图8是示出用于获得认证代理(AP)情况的AS特定密钥的发明系统和方法的第二实施例的高级参考模型。这个实施例预计针对若干AS16a和16b可驻留在AP 15之后的一般AP-AS情况。TLS隧道可在UE 11与AP 15之间建立,但是该隧道与本发明不相关。
在步骤1,UE 11和BSF 12运行GBA引导过程,如TS 33.220中定义。结果是密钥Ks和B-TID。在步骤2,UE得出NAF特定密钥材料(Ks_NAF),如TS 33.220中定义。在步骤3,UE向AP(它充当NAF)发送HTTP请求(包含B-TID)。在步骤4,AP使用B-TID向BSF请求Ks_NAF。在步骤5,BSF得出NAF特定密钥材料(Ks_NAF),如TS 33.220中定义。在步骤6,BSF向AP发送Ks_NAF。
在新步骤6b,AP 15确定哪一个AS应当接收该请求。这个信息可从UE的请求获得,或者AP可基于其本地策略来进行本地判定。AP使用密钥推导函数(例如,Ks_AS=KDF(Ks_NAF,nonce))从Ks_NAF和nonce来得出AP特定密钥Ks_AS。nonce可以是例如AS的识别码,例如是FQDN、由AP选择的(伪)随机值或者作为nonce可使用的另外某个值。
在步骤7,AP 15在HTTP请求中向识别的AS 16a发送Ks_AS以及AS的识别码(例如FQDN)。应当注意,AP需要向AS发送AS的FQDN,因为AS可通过不同FQDN而对UE 11和AP 15是已知的。UE可使用FQDN来识别正确Ks_As。因此,需要确保将同一FQDN从AP发送到AS以及从AS发送到UE。
在步骤8,AS 16a存储信息,并且以SIP 200 OK消息向AP 15确认HTTP请求。在步骤9,AP向UE 11发送SIP 200 OK消息。200 OK消息包括nonce和BM-SC的识别码。如果FQDN用作nonce,则这两者可以是相同值。在步骤9b,UE使用密钥推导函数(例如,Ks_AS=KDF(Ks_NAF,nonce))从Ks_NAF和nonce来得出AS特定密钥Ks_AS。然后,UE存储密钥Ks_As连同AS识别码。最后,在步骤10,AS 16a向UE发送采用Ks_AS保护的消息。UE 11则能够使用Ks_AS对消息进行解密和检验。UE使用AS识别码来识别正确Ks_AS。
图9是本发明系统的一示范实施例的简化框图。该系统包括UE 11、SCF 21、BSF 12和BM-SC_1 22a。这些单元的每个的操作例如可由运行存储器上存储的计算机程序指令的处理器来控制。在图9所示的示范实施例中,UE包括处理器81和存储器82;SCF包括处理器83和存储器84;BSF包括处理器85和存储器86;以及BM-SC_1包括处理器87和存储器88。
UE 11还示为包括Ks_NAF推导单元91。在图6所示的实施例中,UE接收来自SSF 41的服务描述中的NAF-Id(SCF分配的FQDN),并且在开始SIP INVITE过程46之前得出Ks_NAF。在图7所示的实施例中,UE接收SIP 200 OK消息72中的NAF-Id,并且然后得出Ks_NAF。
UE 11经由IM CN 32向SCF 21发送SIP INVITE消息。该消息在SIP INVITE通信单元92中接收。SIP INVITE通信单元把来自INVITE消息的userServiceId和B-TID转发给服务-NAF-Id映射单元93,它将userServiceId映射到NAF-Id_1。将NAF-Id_1和B-TID转发给GBA使用通信单元94,GBA使用通信单元94将这些参数转发给BSF 12。BSF中的GBA使用通信单元95接收参数,并且将其转发给Ks_NAF推导单元96,Ks_NAF推导单元96得出Ks_NAF。然后,将Ks_NAF返回给SCF,其中将它转发给HTTP登记通信单元97。
HTTP登记通信单元97向BM-SC_1 22a发送HTTP POST消息,其中它在HTTP登记通信单元98中被接收。HTTP POST消息包括userServiceId、NAF-Id_1、UE IP地址、B-TID、MUK(=Ks_NAF)和MUK存在期。BM-SC_1从服务状态单元99获得各MBMS用户服务的状态,并且在HTTP 200 OK消息中将包括各MBMS用户服务码的一个状态码的列表连同userServiceId一起发送到SCF 21。SCF将这个信息转发给UE 11。HTTP登记通信单元98还将信息发送到MIKEY MSK单元101。信息包括MSK-Id_1、NAF-Id_1、B-TID和MUK(=Ks_NAF)。
使用这个信息,使MIKEY MSK单元101能够向UE 11发送MIKEY MSK消息(采用MUK来保护)、MTK消息(采用MSK来保护)和MBMS数据(采用MTK来保护),UE采用Ks_NAF推导单元91得出了MUK(=Ks_NAF)。
因此,本发明解决了当一个以上BM-SC 22连接到SCF 21时提供BM-SC特定NAF密钥的问题。另外,本发明解决了在MIKEY消息中不存在足够信息向UE指示哪一个MUK(即,NAF密钥)用于保护MIKEY MSK消息的问题。SCF 21向BM-SC 22发送B-TID和选择的NAF-Id,BM-SC22在MIKEY消息内部进一步使用它们向UE指示哪一个NAF秘钥被使用。
在图6和图7所示的实施例中,本发明具有不要求NAF密钥的进一步推导的附加优点。NAF密钥的进一步推导要求对GSM和UMTS网络的移动终端中使用的通用集成电路卡(UICC)智能卡的变更。如果基于UICC的密钥管理正在使用中,则在UICC中处理NAF密钥。这在一些情况下可能成问题,因为一般来说,UICC影响在标准化中不是合乎需要的。本发明的这些实施例避免了这个潜在问题。
本发明当然可通过除了本文所述之外的其它特定方式来执行,而没有背离本发明的本质特性。因此,当前实施例在所有方面被认为是说明性而不是限制性的,并且落入所附权利要求的含意和等效范围之内的所有变更预计包含在其中。
Claims (10)
1. 一种在通信网络中用于管理安全密钥的方法,其中,所述安全密钥在通信装置、认证节点、以及向所述通信装置提供服务的多个服务节点之间共享,所述方法包括下列步骤:
所述认证节点向每个服务节点分配完全合格域名(FQDN),其中,每个分配的FQDN彼此不同且不同于所述服务节点已经具有的任何其他FQDN;
所述认证节点将所述多个服务节点的每个提供的服务与分配到每个服务节点的所述FQDN本地地关联,其中,对于所述通信装置所预期的服务,分配给提供所述预期的服务的所述服务节点的FQDN被包括在被发送到所述通信装置的服务描述中,以使能所述通信装置基于已知信息来得出安全密钥;
所述认证节点从所述通信装置接收所述预期服务的请求中的服务标识符;
所述认证节点将所述预期服务的所述服务标识符与提供所述预期服务的所述服务节点以及与分配给提供所述预期服务的所述服务节点的所述FQDN相关联;
所述认证节点使用分配给提供所述预期服务的所述服务节点的所述FQDN来得出由所述通信装置得出的所述安全密钥,或者从与所述通信装置通信的引导服务器获得所述安全密钥;以及
所述认证节点从所关联的服务节点发送所述安全密钥,所述关联的服务节点利用所述安全密钥来保护与所述通信装置的通信;
其中,当所述通信装置向不同服务节点请求其它服务时,得出不同的安全密钥,供所述通信装置与每个不同服务节点之间使用。
2. 如权利要求1所述的方法:
其中使用所述安全密钥以用于保护从提供所述预期服务的服务节点向所述通信装置发送的密钥管理消息,其中,所述密钥管理消息采用所述安全密钥来保护;以及
其中由所述通信装置使用所述安全密钥以用于对所述消息进行解密和检验。
3. 如权利要求1所述的方法,其中,所述通信装置是移动用户设备(UE)。
4. 一种在通信网络中用于管理通信装置以及向所述通信装置提供服务的服务节点之间共享的安全密钥的认证节点,所述认证节点包括:
运行存储器中存储的计算机程序指令的处理器,所述处理器配置用于:
向每个服务节点分配完全合格域名(FQDN),其中,每个分配的FQDN彼此不同且不同于所述服务节点已经具有的任何其他FQDN;
将所述多个服务节点的每个提供的所述服务与分配到每个服务节点的所述FQDN本地地关联,其中,对于所述通信装置所预期的服务,分配给提供所述预期的服务的所述服务节点的FQDN被包括在被发送到所述通信装置的服务描述中,以使能所述通信装置基于已知信息来得出安全密钥;
从所述通信装置接收所述预期服务的请求中的服务标识符;
将所述预期服务的所述服务标识符与提供所述预期服务的所述服务节点以及与分配给提供所述预期服务的所述服务节点的所述FQDN相关联;
使用分配给提供所述预期服务的所述服务节点的所述FQDN来得出由所述通信装置得出的所述安全密钥、或者从与所述通信装置进行通信的引导服务器获得所述安全密钥;以及
向所关联的服务节点发送所述安全密钥,所述关联的服务节点利用所述安全密钥来保护与所述通信装置的通信;
其中,当所述通信装置从不同服务节点请求其它服务时,所述认证节点向所述通信装置提供分配给不同服务节点的不同FQDN;
其中,得出不同安全密钥供所述通信装置与每个不同服务节点之间使用。
5. 如权利要求4所述的认证节点,其中:
所述通信网络是基于因特网协议多媒体子系统(IMS)的网络;
所述通信装置是用户设备(UE);
所述认证节点是具有认证代理(AP)的网络应用功能(NAF);
所述服务节点是应用服务器(AS);以及
所请求的服务是多媒体广播/多播服务(MBMS)用户服务。
6. 如权利要求4所述的认证节点,其中:
所述通信网络是基于因特网协议多媒体子系统(IMS)的网络;
所述通信装置是用户设备(UE);
所述认证节点是服务控制功能(SCF);
所述服务节点是广播/多播服务中心(BM-SC);以及
所请求的服务是多媒体广播/多播服务(MBMS)用户服务。
7. 如权利要求4所述的认证节点,其中所述处理器被进一步配置用于:
在会话初始协议(SIP) 200 OK消息中向所述移动通信装置发送所分配的认证节点标识符;以及
在超文本传输协议(HTTP) POST消息中将第二安全密钥和事务标识符从所述认证节点发送给所述服务节点。
8. 一种在通信网络中用于管理安全密钥的系统,所述系统包括:
通信装置,
与所述通信装置进行通信的认证节点,以及
与所述认证节点和所述通信装置进行通信的多个服务节点,
其中所述认证节点被配置用于:
将多个完全合格域名(FQDN)与不同服务节点提供的多个服务相关联,其中,所述多个FQDN标识所述认证节点,且其中所述多个FQDN的每个彼此不同且不同于所述服务节点已经具有的任何其他FQDN;
向提供所述通信装置预期服务的服务节点分配所述多个FQDN中选择的一个;
响应从所述通信装置接收到所述预期服务的请求而利用与所述预期服务关联的所分配的FQDN来获得或得出提供所述预期服务的所述服务节点的安全密钥;以及
向所述服务节点发送所述FQDN、所述通信装置的IP地址、以及对所述FQDN唯一的共享安全密钥;
其中所述服务节点被配置用于:
向所述通信装置发送采用共享安全密钥所保护的密钥管理消息,所述密钥管理消息包括所述FQDN和所述事务标识符;
其中所述移动通信装置被配置用于:
或者从所述认证节点或者在从所述网络获得的服务描述中接收所述FQDN;
利用所述FQDN、基于已知信息来得出所述共享安全密钥;以及
使用所述共享安全密钥对所述密钥管理消息进行解密和检验;
其中,当所述通信装置从不同服务节点请求其它服务时,所述认证节点向所述通信装置提供分配给不同服务节点的不同FQDN;
其中,得出不同安全密钥供所述通信装置与每个不同服务节点之间使用。
9. 如权利要求8所述的系统,其中:
所述通信网络是基于因特网协议多媒体子系统(IMS)的网络;
所述移动通信装置是用户设备(UE);
所述认证节点是具有认证代理(AP)的网络应用功能(NAF);
所述服务节点是应用服务器(AS);以及
所请求的服务是多媒体广播/多播服务(MBMS)用户服务。
10. 如权利要求8所述的系统,其中:
所述通信网络是基于因特网协议多媒体子系统(IMS)的网络;
所述移动通信装置是用户设备(UE);
所述认证节点是服务控制功能(SCF);
所述服务节点是广播/多播服务中心(BM-SC);以及
所请求的服务是多媒体广播/多播服务(MBMS)用户服务。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16580909P | 2009-04-01 | 2009-04-01 | |
| US61/165809 | 2009-04-01 | ||
| CN201080015807.2A CN102379114B (zh) | 2009-04-01 | 2010-03-31 | 基于ims的多媒体广播和多播服务(mbms)中的安全密钥管理 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080015807.2A Division CN102379114B (zh) | 2009-04-01 | 2010-03-31 | 基于ims的多媒体广播和多播服务(mbms)中的安全密钥管理 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104980434A true CN104980434A (zh) | 2015-10-14 |
| CN104980434B CN104980434B (zh) | 2018-10-30 |
Family
ID=42712664
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510315752.1A Active CN104980434B (zh) | 2009-04-01 | 2010-03-31 | 基于ims的多媒体广播和多播服务中的安全密钥管理方法 |
| CN201080015807.2A Expired - Fee Related CN102379114B (zh) | 2009-04-01 | 2010-03-31 | 基于ims的多媒体广播和多播服务(mbms)中的安全密钥管理 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080015807.2A Expired - Fee Related CN102379114B (zh) | 2009-04-01 | 2010-03-31 | 基于ims的多媒体广播和多播服务(mbms)中的安全密钥管理 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9344412B2 (zh) |
| EP (2) | EP2415231B1 (zh) |
| JP (1) | JP5580401B2 (zh) |
| CN (2) | CN104980434B (zh) |
| RU (1) | RU2527730C2 (zh) |
| WO (1) | WO2010114475A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113518349A (zh) * | 2020-10-23 | 2021-10-19 | 中国移动通信有限公司研究院 | 业务管理方法、装置、系统及存储介质 |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8661257B2 (en) * | 2010-05-18 | 2014-02-25 | Nokia Corporation | Generic bootstrapping architecture usage with Web applications and Web pages |
| US8566910B2 (en) | 2010-05-18 | 2013-10-22 | Nokia Corporation | Method and apparatus to bind a key to a namespace |
| US8862878B2 (en) * | 2010-11-19 | 2014-10-14 | International Business Machines Corporation | Authentication and authorization of a device by a service using broadcast encryption |
| US8943318B2 (en) * | 2012-05-11 | 2015-01-27 | Verizon Patent And Licensing Inc. | Secure messaging by key generation information transfer |
| US9154527B2 (en) | 2011-06-30 | 2015-10-06 | Verizon Patent And Licensing Inc. | Security key creation |
| US8990554B2 (en) | 2011-06-30 | 2015-03-24 | Verizon Patent And Licensing Inc. | Network optimization for secure connection establishment or secure messaging |
| US9270453B2 (en) | 2011-06-30 | 2016-02-23 | Verizon Patent And Licensing Inc. | Local security key generation |
| RU2557256C1 (ru) | 2011-08-11 | 2015-07-20 | Интел Корпорейшн | Способ переключения между mbms загрузкой и доставкой на основе http dash-форматированного содержания по ims сети |
| US9608971B2 (en) * | 2011-09-08 | 2017-03-28 | Telefonaktiebolaget Lm Ericcson (Publ) | Method and apparatus for using a bootstrapping protocol to secure communication between a terminal and cooperating servers |
| AP3955A (en) * | 2011-10-31 | 2016-12-22 | Nokia Corp | Security mechanism for external code |
| CN103188229B (zh) * | 2011-12-30 | 2017-09-12 | 上海贝尔股份有限公司 | 用于安全内容访问的方法和设备 |
| IN2014DN09106A (zh) * | 2012-05-03 | 2015-05-22 | Ericsson Telefon Ab L M | |
| US8923880B2 (en) * | 2012-09-28 | 2014-12-30 | Intel Corporation | Selective joinder of user equipment with wireless cell |
| US9160515B2 (en) | 2013-04-04 | 2015-10-13 | Intel IP Corporation | User equipment and methods for handover enhancement using scaled time-to-trigger and time-of-stay |
| KR20160052313A (ko) | 2014-11-04 | 2016-05-12 | 삼성전자주식회사 | 송신 장치, 수신 장치 및 그 신호 처리 방법 |
| US10749731B2 (en) * | 2015-07-06 | 2020-08-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Facilitating secure communication between a client device and an application server |
| US10129235B2 (en) | 2015-10-16 | 2018-11-13 | Qualcomm Incorporated | Key hierarchy for network slicing |
| US11032707B2 (en) | 2016-05-06 | 2021-06-08 | Intel IP Corporation | Service authorization and credential provisioning for V2X communications |
| US10778449B2 (en) | 2018-01-26 | 2020-09-15 | Huawei Technologies Co., Ltd. | System and method for shared sessions in communication networks |
| US10834573B2 (en) | 2019-02-15 | 2020-11-10 | At&T Mobility Ii Llc | Systems, devices and methods for managing access point name information by operators and users on the SIM |
| CN114466318B (zh) * | 2022-01-30 | 2023-04-07 | 西安电子科技大学 | 组播服务有效认证和密钥分配协议实现方法、系统及设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060196931A1 (en) * | 2005-03-07 | 2006-09-07 | Nokia Corporation | Methods, system and mobile device capable of enabling credit card personalization using a wireless network |
| WO2007034322A1 (en) * | 2005-09-26 | 2007-03-29 | Nokia Corporation | Method and apparatus for refreshing keys within a bootstrapping architecture |
| US20070101122A1 (en) * | 2005-09-23 | 2007-05-03 | Yile Guo | Method and apparatus for securely generating application session keys |
| WO2007085186A1 (fr) * | 2006-01-24 | 2007-08-02 | Huawei Technologies Co., Ltd. | Procédé de gestion de clé de flux multimédia, système et serveur d'application |
| CN101150404A (zh) * | 2006-09-21 | 2008-03-26 | 国际商业机器公司 | 管理和生成用于密码通信的设备密钥的系统和方法 |
| CN101171860A (zh) * | 2005-04-07 | 2008-04-30 | 法国电信公司 | 管理接入多媒体内容的安全方法和设备 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1894340A2 (en) | 2005-06-08 | 2008-03-05 | Koninklijke Philips Electronics N.V. | Deterministic key pre-distribution for mobile body sensor networks |
| FI122996B (fi) * | 2007-05-10 | 2012-09-28 | Teliasonera Ab | Palveluun liittyvän pyynnön käsittely |
| KR101084938B1 (ko) * | 2007-10-05 | 2011-11-18 | 인터디지탈 테크날러지 코포레이션 | Uicc와 단말기간 보안 채널화를 위한 기술 |
| US8646034B2 (en) * | 2008-04-22 | 2014-02-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Bootstrap of NFC application using GBA |
-
2010
- 2010-03-31 CN CN201510315752.1A patent/CN104980434B/zh active Active
- 2010-03-31 RU RU2011144153/08A patent/RU2527730C2/ru active
- 2010-03-31 US US13/262,685 patent/US9344412B2/en active Active
- 2010-03-31 EP EP10718332.9A patent/EP2415231B1/en active Active
- 2010-03-31 CN CN201080015807.2A patent/CN102379114B/zh not_active Expired - Fee Related
- 2010-03-31 EP EP16161841.8A patent/EP3107258A1/en not_active Withdrawn
- 2010-03-31 WO PCT/SE2010/050366 patent/WO2010114475A2/en active Application Filing
- 2010-03-31 JP JP2012503374A patent/JP5580401B2/ja not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060196931A1 (en) * | 2005-03-07 | 2006-09-07 | Nokia Corporation | Methods, system and mobile device capable of enabling credit card personalization using a wireless network |
| CN101171860A (zh) * | 2005-04-07 | 2008-04-30 | 法国电信公司 | 管理接入多媒体内容的安全方法和设备 |
| US20070101122A1 (en) * | 2005-09-23 | 2007-05-03 | Yile Guo | Method and apparatus for securely generating application session keys |
| WO2007034322A1 (en) * | 2005-09-26 | 2007-03-29 | Nokia Corporation | Method and apparatus for refreshing keys within a bootstrapping architecture |
| WO2007085186A1 (fr) * | 2006-01-24 | 2007-08-02 | Huawei Technologies Co., Ltd. | Procédé de gestion de clé de flux multimédia, système et serveur d'application |
| CN101150404A (zh) * | 2006-09-21 | 2008-03-26 | 国际商业机器公司 | 管理和生成用于密码通信的设备密钥的系统和方法 |
Non-Patent Citations (2)
| Title |
|---|
| 3GPP: ""Access to network application functions using Hypertext Transfer Protocol over Transport Layer Security (HTTPS) (Release 8) "", 《3GPP(VERSION 8.0.0 RELE)》 * |
| 3GPP: ""Technical Specification Group Services and System Aspects;IP Multimedia Subsystem (IMS) based Packet Switch Streaming (PSS) and Multimedia Broadcast/Multicast Service (MBMS) User Service;Protocols (Release 8)"", 《3GPP TS26.237 VERSION 8.1.1》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113518349A (zh) * | 2020-10-23 | 2021-10-19 | 中国移动通信有限公司研究院 | 业务管理方法、装置、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2527730C2 (ru) | 2014-09-10 |
| EP2415231A2 (en) | 2012-02-08 |
| JP2012523158A (ja) | 2012-09-27 |
| JP5580401B2 (ja) | 2014-08-27 |
| US20120027211A1 (en) | 2012-02-02 |
| US9344412B2 (en) | 2016-05-17 |
| EP3107258A1 (en) | 2016-12-21 |
| EP2415231B1 (en) | 2016-05-18 |
| CN102379114A (zh) | 2012-03-14 |
| WO2010114475A3 (en) | 2010-12-23 |
| CN104980434B (zh) | 2018-10-30 |
| CN102379114B (zh) | 2015-10-07 |
| WO2010114475A2 (en) | 2010-10-07 |
| RU2011144153A (ru) | 2013-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102379114B (zh) | 基于ims的多媒体广播和多播服务(mbms)中的安全密钥管理 | |
| US9641324B2 (en) | Method and device for authenticating request message | |
| EP2308254B1 (en) | Methods, nodes, system, computer programs and computer program products for secure user subscription or registration | |
| CN102550001B (zh) | 用于允许自举架构和共享身份服务相互作用的用户身份管理 | |
| US20080160959A1 (en) | Method for Roaming User to Establish Security Association With Visited Network Application Server | |
| EP2612486B1 (en) | Downloadable isim | |
| US20170055149A1 (en) | Method and Apparatus for Direct Communication Key Establishment | |
| US10511435B2 (en) | Methods and apparatus for direct communication key establishment | |
| CN116546491A (zh) | 在通信网络中用于与服务应用的加密通信的锚密钥生成和管理的方法、设备和系统 | |
| US20240137221A1 (en) | Implementation of one-touch login service | |
| CN103024735B (zh) | 无卡终端的业务访问方法及设备 | |
| CN101990771B (zh) | 服务报告 | |
| KR101535446B1 (ko) | 방송 서버에 대한 스마트카드 터미널 등록 방법 및 시스템 | |
| CN101312395B (zh) | 一种应用业务的安全鉴权和换卡处理方法及系统 | |
| KR20140095050A (ko) | 이동 통신 시스템에서 단일 사용자 승인을 지원하는 관리 방법 및 장치 | |
| US20240163664A1 (en) | Secure key management device, authentication system, wide area network and method for generating session keys | |
| CN101312591B (zh) | 一种鉴权器获取家乡代理相关安全参数信息的方法 | |
| KR20080036731A (ko) | 이동통신망의 애플리케이션 실행을 위한 부트스트랩 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |