CN106714154B - 用于通用自举架构协议的代理服务器、方法和系统 - Google Patents
用于通用自举架构协议的代理服务器、方法和系统 Download PDFInfo
- Publication number
- CN106714154B CN106714154B CN201610806417.6A CN201610806417A CN106714154B CN 106714154 B CN106714154 B CN 106714154B CN 201610806417 A CN201610806417 A CN 201610806417A CN 106714154 B CN106714154 B CN 106714154B
- Authority
- CN
- China
- Prior art keywords
- bsf
- format
- proxy server
- message
- received
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/55—Push-based network services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/565—Conversion or adaptation of application format or content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/12—Messaging; Mailboxes; Announcements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Abstract
通用自举架构协议。用于使用通用自举架构GBA与用户设备UE安全通信的方法和系统,系统包括自举服务器功能BSF。代理服务器被配置成从用户设备UE接收第一格式的消息。将接收到的消息从第一格式转变成第二格式。将接收到的UE消息以第二格式传输到自举服务器功能BSF。从BSF接收第三格式的消息。将从BSF接收的消息从第三格式转变成第四格式。将接收到的BSF消息以第四格式传输到UE。
Description
技术领域
本发明涉及一种用于使用GBA建立与UE的安全通信的系统和方法。
背景技术
通用自举(bootstrapping)架构(GBA)使能针对特定服务的用户的认证。GBA使用若干不同的元件,其包括用户设备(UE)、提供特定服务的应用服务器或网络应用功能(NAF)、自举服务器功能(BSF)和移动运营商的归属订户服务器(HSS)或归属位置寄存器(HLR)。在图1的系统10中示出了这些元件。GBA是采用在UE与基于网络的BSF之间的定义的接口(Ub)的建立良好的标准。在图1中用圆圈示出了涉及Ub的接口流。
然而,该Ub流呈现多个困难。首先,存在若干向后和向前的消息(在成功的情况下四个并且在不成功的或错误情况下甚至更多),并且所期望的是减小消息的数量。第二,该过程要求从移动设备的应用协议连接(具体是HTTP)在BSF处终止。BSF是敏感的网络节点(它存储认证向量(AV)并能够随意地从网络运营商的HLR或HSS取回(retrieve)附加的AV)。这提高了流氓(或仅不受控制的)设备在移动网络上朝BSF发送畸形的HTTP请求以使其崩溃或利用HTTP服务器实现中的漏洞(vulnerability)的风险,其可能损害BSF。还存在终端设备可能不支持HTTP客户端的问题。如果使用比如CoAP(受约束的应用协议)的替代协议(其不被确认),则存在潜在地甚至更多的消息被要求从流中的丢失的或错失的消息恢复。
第三,Ub接口要求设备呈现用以启动协议的标识符。这可以是基于IMSI的“IMPI”或者被称作“TMPI”(相当像TMSI)的伪标识符,它由于相同的IMPI的暴露再三地允许跟踪而被使用。用于生成TMPI并将TMPI和IMPI之间的映射存储在BSF处的机制相当复杂,并且向BSF添加了成本和复杂度。
GBA推送(push)是3GPP标准的替代部分并且基本上移除了Ub接口,通过利用被称作Upa的接口上的“推送”消息(GBA推送信息,GPI)来替换所述Ub接口。虽然这简化了消息流,但是它伴随有多个它自己的问题和限制,包括:
a)BSF从未真正地认证设备。它仅向网络应用功能(NAF)发出某些密钥材料,其中确保如果别的东西可以恢复相同的密钥材料,则其一定是相关设备。换言之,这提供了一种间接认证但这不如直接认证一样有用。
b)不能容易地检测或纠正各种错误情况,所述各种错误情况涉及丢失的消息(例如GPI消息从未到达UE)、被损坏的消息(例如到达但具有不正确的位)以及同步问题(例如USIM具有与HLR/HSS处的计数器不同的认证计数器)。因此,NAF可能执行多个尝试或保持从BSF请求进一步GPI消息。
c)不存在自举事务标识符(B-TID)——被用来保持匿名的事务标识符。代之以,P-TID可以由NAF选择并且必须提前进一步通知NAF设备的真实身份。出于隐私原因,这不是优选的。更进一步地,如果设备呈现虚假身份,则NAF可能徒然地发出GPI(Ks_NAF将从未被成功地接收和恢复并且可能使NAF处于与崩溃的安全关联挂在一起(hang with))。
d)模型是“每NAF一个推送消息”。不可能使用单个推送消息建立可以与多个NAF一起使用的共享秘密。这是对设备管理的特定限制,其中Ks和相关联的Ks_NAF可能已经被建立以保障(secure)设备管理(DM)协议。然后所期望的是立即导出附加的Ks_NAF(用于进一步应用以及服务密钥),而不是迫使GBA推送的再运行。
因此,要求克服这些问题的系统和方法。
发明内容
通用自举架构(GBA)提供用户设备(UE)和自举服务器功能(BSF)之间的接口以便共享被用来建立与UE的安全通信的一个或多个秘密。代替直接接口(即Ub),提供了代理、代理服务器、Ub代理或中间元件。从UE到BSF和从BSF到UE的消息穿过该中间物、代理或中间通信服务器。代理执行消息检查、格式化、转换或其他处理以使得(通常具有低的或受限的功能的)UE能够与BSF通信。可以减少(在BSF处的)系统崩溃或安全漏洞,因为代理可以拒绝或纠正畸形的或不安全的消息。还可以提高安全性,因为UE通信在代理或者代理服务器处而不是在BSF处终止。如果代理可以从其他源(例如设备管理DM服务器)获得必要的信息,则消息的数量和容积(volume)可以被减小。可以以该方式管理一个或多个UE或者使它们与单个(或多个)代理通信。
可以从用户设备(UE)接收一个或多个消息。将该接收到的消息转变成适于向自举服务器功能BSF传输的格式。然后,将所述经转变的UE消息传输到BSF。可以从BSF接收一个或多个消息。将(来自BSF的)接收到的消息转变成适于向UE传输的格式。将经转变的BSF消息传输到UE。
根据第一方面,提供了一种用于通用自举架构GBA的代理或中间服务器,代理服务器被配置成:
从用户设备UE接收第一格式的消息;
将接收到的消息从第一格式转变成第二格式;
将接收到的UE消息以第二格式传输到自举服务器功能BSF;
从BSF接收第三格式的消息;
将从BSF接收的消息从第三格式转变成第四格式;以及
将接收到的BSF消息以第四格式传输到UE。因此,当与UE通信时,可以对消息或通信进行调整、检查、纠正或否则重新格式化。例如,UE可以是机器对机器(M2M)、移动设备或其他设备。可以使用下等的(lower)规范UE,因为它们不一定需要具有给BSF提供具体地格式化的消息(或读取具有具体格式的消息)的功能。例如,UE不需要支持http。这还可以通过在代理服务器处提供专用且分离的消息转换器而提供BSF处的提高的效率。将消息从一个格式转变成另一格式可以涉及保持消息的内容或有效负载基本上相同(或可能被缩短)但是以不同的协议(例如,将UDP转变成TCP或者将CoAP转变成HTTP)提供消息。然而,例如,转变格式也可以是安全、一致性或者呈现相关的变换,诸如消息大小的规范化、移除控制字符或转义字符、移除特定字符(例如在SQL注入攻击中使用的‘)或者其他再形成或更改。这适用于消息格式从第一格式到第二格式和从第三格式到第四格式的转变。在一个示例中,可以使用转变以防止BSF被用来激发(fire)在设备处的畸形的响应数据,其然后可以使设备崩溃。
第一格式可以与第四格式(例如UE的消息格式)相同或基本上相同。第二格式可以与第三格式(例如BSF的消息格式)相同或基本上相同。
可选地,由代理服务器从UE接收的和/或从代理服务器向UE传输的一个或多个消息可以通过Ub接口,和/或其中由代理服务器从BSF接收的和/或从代理服务器向BSF传输的一个或多个消息可以通过Ub接口。还可以使用CoAP或GBA推送信息(GPI)消息传送协议。
可选地,代理服务器可以被进一步配置成在向BSF传输之前针对与GBA要求的顺应性来检查从UE接收的消息(例如Ub消息)或者具有用以在向BSF传输之前针对与GBA要求的顺应性来检查从UE接收的消息(例如Ub消息)的逻辑。这提供了更可靠的通信并减小了畸形消息使BSF崩溃的可能性。
优选地,从第一格式到第二格式和从第三格式到第四格式的格式转变可以进一步包括协议的转换。这进一步提高了可能不能够使用由BSF要求的协议的具有受限功能的UE(尤其是M2M设备)的能力以正确地通信。
有利地,可以在设备管理DM服务器内形成代理服务器。代理服务器然后可以获得关于每个UE的信息(例如标识符)而不要求从每个UE接收消息。例如,可以利用网络应用功能(NAF)形成代理服务器或将代理服务器与网络应用功能(NAF)合并,所述网络应用功能(NAF)已经具有对用于每个UE的标识符的可见性。
根据第二方面,提供了一种用于使用通用自举架构GBA在用户设备UE和自举服务器功能BSF之间通信的方法,方法包括如下步骤:
在代理服务器处从UE接收第一格式的一个或多个消息;
将接收到的消息从第一格式转变成第二格式;
将接收到的一个或多个UE消息以第二格式从代理服务器传输到BSF;
在代理服务器处从BSF接收第三格式的一个或多个消息;
将从BSF接收的消息从第三格式转变成第四格式;以及
将接收到的一个或多个BSF消息以第四格式从代理服务器传输到UE。
可选地,由代理服务器从UE接收的和/或从代理服务器向UE传输的一个或多个消息可以通过Ub接口,并且进一步其中由代理服务器从BSF接收的和/或从代理服务器向BSF传输的一个或多个消息可以通过Ub接口。
可选地,接收和传输的一个或多个UE和BSF消息可以包括:
针对从UE接收并向BSF传输的共享秘密的请求;以及
用以建立从BSF接收并向UE传输的共享秘密的数据。换言之,这允许建立共享秘密以促进安全通信。BSF没有将共享秘密(Ks)传递到UE而是它可能传递UE然后可以用来导出共享秘密Ks的认证挑战(RAND、AUTN)。
优选地,针对向BSF传输的共享秘密的请求包括UE的标识符。因此,特定的共享秘密可以与要求该共享秘密的UE相关联。
有利地,从设备管理DM服务器或网络应用功能NAF获得UE的标识符。因此,这减小了向UE要求的消息的数量。
可选地,方法可以进一步包括DM服务器或NAF从Radius计费开始消息获得UE标识符的步骤。
可选地,可以使用GBA推送消息传送将用以建立从BSF接收的共享秘密的数据从代理服务器传输到UE。
可选地,可以通过CoAP或其他适合的协议递送推送消息。
有利地,CoAP可以被绑定到UDP或SMS(或其他通信方法)。
优选地,由代理服务器从UE接收的和/或从代理服务器向UE传输的一个或多个消息可以是GBA推送消息,并且进一步其中由代理服务器从BSF接收的和/或从代理服务器向BSF传输的一个或多个消息可以是GBA推送消息。可选地,GBA推送消息可以是GBA推送信息消息(GPI),尽管可以使用其他类型。
可选地,方法可以进一步包括直接通过CoAP或LWM2M协议认证、核实BSF和UE之间的共享秘密和/或证明对BSF和UE之间的共享秘密的拥有。
有利地,代理服务器可以与网络应用功能NAF形成在一起或是网络应用功能NAF的部分,作为设备管理(DM)或其他服务器。
优选地,方法可以进一步包括使用共享秘密或进一步导出的共享秘密(例如Ks_NAF)保障UE和NAF之间的通信的步骤。
优选地,共享秘密可以被自举事务标识符(B-TID)或其他数据引用。
有利地,B-TID可以被从代理服务器直接传递到网络应用功能NAF并且因此到BSF上。
优选地,方法可以进一步包括将共享秘密或进一步导出的共享秘密(例如Ks_NAF)直接从代理服务器传递到NAF的步骤。
根据第三方面,提供了一种用于使用通用自举架构GBA与用户设备UE安全通信的系统,系统包括:
自举服务器功能BSF;以及
代理服务器,其被配置成:
从用户设备UE接收第一格式的消息;
将接收到的消息从第一格式转变成第二格式;
将接收到的UE消息以第二格式传输到自举服务器功能BSF;
从BSF接收第三格式的消息;
将从BSF接收的消息从第三格式转变成第四格式;以及
将接收到的BSF消息以第四格式传输到UE。
优选地,代理服务器可以与网络应用功能NAF形成在一起或是网络应用功能NAF的部分,作为设备管理(DM)服务器。
可选地,DM服务器可以进一步包括被布置成存储UE的一个或多个标识符和相关联的地址的缓冲器。这可以是UE根据其连接到DM服务器的UE的地址。例如,地址可以是IP地址。例如,标识符可以包括IMEISV、MSISDN和IMSI(或其他)中的任何一个或多个。当DM服务器意识到设备时可以将数据填充到缓冲器中。
优选地,缓冲器可以是环形缓冲器。因此,当UE信息不再被要求时不存在移除UE信息的需要,因为旧数据将被旋出。
有利地,缓冲器可以被进一步布置成针对特定地址提供UE的一个或多个标识符。
优选地,系统可以进一步包括UE和代理服务器之间的Ub接口和/或代理服务器和BSF之间的Ub接口。
上面描述的方法可以被实现包括用以操作计算机的程序指令的计算机程序。计算机程序可以被存储在计算机可读介质上。
计算机系统可以包括诸如中央处理单元(CPU)之类的处理器。处理器可以执行以软件程序的形式的逻辑。计算机系统可以包括存储器,其包括易失性和非易失性存储介质。可以包括计算机可读介质以存储逻辑或程序指令。可以使用网络(例如无线网络和有线网络)连接系统的不同部分。计算机系统可以包括一个或多个接口。例如,计算机系统可以包含诸如UNIX、Windows(RTW)或者Linux之类的适当的操作系统。
应该注意,上文描述的任何特征可以与本发明的任何特定方面或实施例一起使用。
附图说明
可以以多种方式来实施本发明,并且现在将仅通过示例的方式和参考附图来描述实施例,在所述附图中:
图1示出了在根据通用自举架构(GBA)协议操作的部件之间的交互的序列图(现有技术);
图2、2A、2B、2C和2D示出了根据示例修正协议操作的部件的序列图。图2表示四个象限(quadrant)(图2A、图2B、图2C和图2D)应该被装配以便显示全部序列图的方式;
图3示出了进一步详细地示出的图2的序列图的部分;
图4示出了根据进一步示例的GBA协议的进一步增强;
图5示出了包括较高级别处的示例GBA协议的序列图;
图6示出了用于实现图2到5的GBA协议的系统的示意图;以及
图7示出了用于实现图2到5的GBA协议的系统的进一步示意图。
应该注意,为了简单而图示了图并且不一定按比例绘制图。相同的特征被提供相同的参考数字。
具体实施方式
GBA的Ub接口允许在一个或多个UE 20和BSF 30之间发送消息或通信(参见图1)。该Ub接口由代理110、中间物或代理服务器替换。在一个实施例中,该代理110被放置在主控NAF 40的相同服务器平台上。例如,这可以是设备管理(DM)服务器50平台。代理110解决UE20和BSF 30之间的直接连接的安全问题。代理可以过滤和检查Ub协议以确保在将消息传递给BSF之前消息传送被良好地形成并且与GBA标准一致。其还可以帮助UEs不支持HTTP堆栈的情况,因为代理可以在必要时执行协议转换。在图2中示出了该经修改的流程(包括代理110)。特别地,涉及代理110的流程被圈出100。
在图3上示出了(省略Ua接口上的初始交换的)简化图。该图包括(从BSF 30)给UE20提供将被用于(根据被定义为3GPP规范的部分的GBA标准http://www.3gpp.org/DynaReport/33220.htm的)将来的安全通信的共享秘密的交换。
图3示出了形成系统的各种部件之间的交互的示例集合。在所有图中,相应的或类似的交互具有相同的参考数字。这些交互包括:
1.UE 20(在UE20内的app(应用)与通用认证架构(GAA)服务器之间)请求新秘密。
2.GAA服务器将针对新秘密的请求(加NAF标识符)发送到代理110。
3.代理110将请求发送到核心网内的BSF 30。请求由用以标识请求UE 20的IP多媒体私有身份(IMPI)伴随。
4.将请求从BSF 30发送到HLR/HSS。
5.由BSF 30从HLR/HSS取回包括密码密钥(CK)和完整性密钥(IK)的认证向量(AV)。
6.将AV的部分(包括RAND和AUTN)从BSF 30发送到代理110(包括B-TID)。
7.将AV的部分从代理110发送到UE 20。
8.在UE 20的SIM卡(UICC)中验证RAND和AUTN并且导出RES、CK、IK。
9.在UE 20内确认有效性(validity)。
10.将确认新秘密的消息从UE 20发送到代理110,所述消息包括拥有响应数据(RES)的证明。
11.将该消息从代理110传递到BSF 30以验证响应。
12.在验证时,BSF 30给代理110发送确认消息。
13.这被传递给UE 20。
14.秘密Ks_NAF被(从CK、IK、IMPI和NAF_id)导出并返回到app。
15.app请求在NAF 40上创建相同的秘密。
16.在BSF 30上登记(register)NAF 40,所述BSF 30然后BSF认证NAF并导出Ks_NAF。
17.将导出的秘密Ks_NAF返回到NAF 40。
18.将Ks_NAF移动到实现设备管理协议的服务器(DM)的部件。
19.现在可以在DM和UE 20(app)之间使用Ks_NAF来保障通信。
虽然图3中示出的示例提供了一个用于(使用代理110)提供UE 20和DM服务器50之间的安全通信的示例方法,但是可以做出其他变化和优化。在图4中示出了这些优化和简化。参考在图4中圈出的步骤。可以将任何描述的优化与任何一个或多个(或所有)其他优化一起使用。
优化和变化:
A.可以通过使用已经在DM服务器50平台内可用的信息来省略步骤2(150)以直接向代理110传送UE 20身份并且因此协议可以直接移动到步骤3。
设备一由网关GPRS支持节点(GGSN)指派IP地址,GGSN就可以向DM服务器50平台发送“Radius计费开始”消息,通知在UE的IP地址和它的标识细节(特别地,IMSI、MSISDN和IMEISV)之间的映射。在本说明书的最后处的附录中描述了这将如何工作的细节。
DM服务器50平台然后将检查它是否具有针对该设备(UE 20)有效的Ks_NAF并且如果没有则立即开始使用步骤3请求一个。
B.通过来自Ub代理的推送消息替换步骤7(170)。
特别地,可以通过(被绑定到UDP或SMS的)CoAP而不是通过(被绑定到TCP的)HTTP响应朝UE 20的GAA(通用认证架构)服务器部件递送该消息。GAA部件可以被设计成使得代替(在接收到请求1之后)发起消息2,其可以等待在步骤7中到达的推送消息。
还注意到,SMS可以充当“触发”SMS,将设备从睡眠状态唤醒。
C.通过在GBA推送内使用的相应步骤替换步骤3、6和7(160、170)。
特别地,代理110可以充当“推送NAF”并调用Zpn接口而不是步骤3和6中的Ub接口。其然后可以在步骤7中发送GPI消息。
图5示出了采用优化A、B和C中的全部的经修改的流程。代理110被叠并到NAF 40中并且可以形成DM服务器50的部分。
进一步的优化可以包括:
D.通过CoAP运行步骤10和13(120、180)而没有确认消息或通过LWM2M运行步骤10和13(其伴随有针对每个消息的明确确认)。
特别地,“授权摘要”元素可以被映射到CoAP或LWM2M有效负载中(由于在CoAP内不存在等效报头)。步骤11涉及将这些字段转换成HTTP报头。出于隐私原因(设备身份已经为Ub代理110所知并且重复它没有用),理想上应该从步骤10和13省略IMPI或TMPI。然而,如果该字段过去存在,则HTTP报头可能需要被构造(由于否则BSF 30可能使步骤11中的认证失败)。
E.省略来自UE的步骤15(130、190)并且代之以将B-TID直接从Ub代理传递到NAF。
特别地,代理110可能已经从步骤12具有B-TID的可见性,因此可以立刻仅将这直接提供到NAF 40以允许对Ks_NAF的查找(步骤16和17)。如果NAF 40和代理110被叠并到相同实体中,则这可以甚至更容易。
F.省略步骤16和17(140、200),因为在步骤3、6和7中使用了GBA推送。
特别地,代理110在该情况下将已经知道Ks_NAF并且因此可以将这直接传递到NAF40(或者,如果代理110和NAF 40被叠并到相同实体中,则直接传递到DM服务器50,如步骤18中那样)。
这些特征和进一步优化减小了在GBA协议中传递的消息的数量,因此提高了速度和恢复力并且减小了受约束设备上的能量消耗。它们保护BSF 30并向UE 20提供隐私保护而没有(在UE 20与人类个体相关联的情况下特别重要的)TMPI的复杂度。它们在移除多个显著缺点的同时基本上给出与GBA推送相同的优点。
图6示出了用于实现参考图2到5描述的方法和协议中的任何的系统300的示意图。特别地,一个或多个UE 20与代理或代理服务器110通信。代理110与BSF 30通信。
图7示出了用于实现描述的方法和协议中的任何的系统300的进一步示意图。在该示例中,代理110被示出为与NAF分离的设备但也可以被叠并到所述NAF中或者由相同硬件形成。代理110转换BSF 30与UE 20之间的任何消息的格式。因此,UE 20可以以与可以由BSF30理解的形式不同的(或比可以由BSF 30理解的形式通常更基本的)形式发送和接收消息。例如,BSF 30使用或者要求http但是这样的功能对UE 20不可用。因此,代理110转换成http或从http转换。类似地,BSF 30不需要被更新、改变或配置成解释或产生以该格式的消息或者通信。代理也提高了安全性,因为UE通信可以在代理110处而不是在BSF 30处终止。
如由本领域技术人员将领会的那样,可以改变上文的实施例的细节而不脱离如由所附权利要求书限定的本发明的范围。
例如,关键概念中的某些(例如具有GBA推送的混合的有规律的GBA)的标准化可以是可能的。一个或多个代理或代理服务器110可以被用于负载均衡或其他目的。
对上文的实施例的特征的许多组合、修改或变更对本领域技术人员而言将是容易地显而易见的并意图形成本发明的部分。涉及一个实施例或示例的被具体描述的任何特征可以通过做出的适当的改变而被用在任何其他实施例中。
附录
介绍
这是描述了可以被用来以设备无关的方式向设备管理平台传送关于被装备全球数据服务器平台(GDSP)SIM的设备的信息的机制的文档。
背景
当被装备GDSP SIM的设备建立到服务器端点的APN连接时,服务器端点具有非常少关于连接的客户端设备的信息。为了服务引入的连接,DM服务器平台需要标识连接到DM平台的具体设备。这可以以多种方式来实现。
使用最少信息
来自未知器具的连接将具有信息的最小集合:
1)源和目的IP地址——源地址将在消费者/SIM级别处被定义并且可以使用动态或静态的分配,在公共或私有寻址的情况下。
2)端口。
3)协议——UDP/TCP。
增强的GGSN
该解决方案使用GGSN向APN的服务器端点(在该情况下是DM平台)供应附加信息。
当GGSN创建从客户端设备到服务器端点的PDP上下文时,其首先利用GDSP Radius服务器认证连接的客户端以认证客户端并获取用于连接的设备的ip地址。
ip地址被指派给用于连接的客户端的PDP设备上下文并且通信可以以正常的方式在客户端和服务器之间开始。
GGSN增强将在客户端建立到DM服务器的连接之前向DM服务器平台转发Radius计费开始请求记录。可以利用连接的设备的MSISDN+其他数据字段来填充该开始记录。当到DM服务器的客户端设备连接被建立时,DM服务器将已经被供应针对连接的设备的Radius计费开始记录,并且使用开始记录的内容将能够建立连接的客户端设备的类型和身份。使用该信息,DM服务器可以推断用于设备的应用协议(LWM2M、TR69等)和其他设备特定的细节(安全凭证、带宽上限等)。
GGSN将(以正常的方式)使用Radius AAA服务器认证连接的设备并且一旦认证被完成,GGSN将从GDSP HLR获取用于连接的设备的IMEISV、IMSI和MSISDN。该信息将被放置在Radius开始计费请求包中。将通过控制平面链接将该AAA开始计费请求包发送到DM平台。在该点处,DM平台将意识到设备将要利用IP地址通过Gi接口进行连接,并且最重要的是,DM平台将已经使用该IP地址知道用于设备的IMEISV、MSISDN+IMSI。DM平台将使该信息推送到小的环形缓冲器(即1000个条目)中。几毫秒后,客户端连接将利用IP地址进入DM平台(其可以使用任何第三层协议UDP、TCP、RTCP等)。DM平台将在环形缓冲器上做查找并且针对在该IP地址上连接的该设备定位IMEISV、MSISDN+IMSI(因为设备信息将由随后的连接自然地旋出,所以不存在从环形缓冲器移除设备信息的需要)。
Claims (27)
1.一种用于通用自举架构GBA的代理服务器,代理服务器包括处理器,所述处理器被配置成:
从用户设备UE接收第一格式的消息;
将接收到的消息从第一格式转变成第二格式,包括代理服务器执行消息检查以检查自举服务器功能处的系统崩溃或安全漏洞并且拒绝或纠正畸形的或不安全的消息;
针对与GBA要求的顺应性来检查从UE接收的消息;
将接收到的UE消息以第二格式传输到自举服务器功能BSF;
从BSF接收第三格式的消息;
将从BSF接收的消息从第三格式转变成第四格式;以及
将接收到的BSF消息以第四格式传输到UE。
2.根据权利要求1所述的代理服务器,其中由代理服务器从UE接收的和/或从代理服务器向UE传输的一个或多个消息通过Ub接口,和/或其中由代理服务器从BSF接收的和/或从代理服务器向BSF传输的一个或多个消息通过Ub接口。
3.根据权利要求1或权利要求2所述的代理服务器,进一步被配置成在向BSF传输之前针对与GBA要求的顺应性来检查从UE接收的消息。
4.根据权利要求1或权利要求2所述的代理服务器,其中从第一格式到第二格式和从第三格式到第四格式的格式转变进一步包括协议的转换。
5.根据权利要求1或权利要求2所述的代理服务器,被形成在设备管理DM服务器内。
6.一种用于使用通用自举架构GBA在用户设备UE和自举服务器功能BSF之间通信的方法,方法包括如下步骤:
在代理服务器处从UE接收第一格式的一个或多个消息;
将接收到的消息从第一格式转变成第二格式,包括代理服务器执行消息检查以检查自举服务器功能处的系统崩溃或安全漏洞并且拒绝或纠正畸形的或不安全的消息;
针对与GBA要求的顺应性来检查从UE接收的消息;
将接收到的一个或多个UE消息以第二格式从代理服务器传输到BSF;
在代理服务器处从BSF接收第三格式的一个或多个消息;
将从BSF接收的消息从第三格式转变成第四格式;以及
将接收到的一个或多个BSF消息以第四格式从代理服务器传输到UE。
7.根据权利要求6所述的方法,其中由代理服务器从UE接收的和/或从代理服务器向UE传输的一个或多个消息通过Ub接口,并且进一步其中由代理服务器从BSF接收的和/或从代理服务器向BSF传输的一个或多个消息通过Ub接口。
8.根据权利要求6或权利要求7所述的方法,其中接收和传输的一个或多个UE和BSF消息包括:
针对从UE接收并向BSF传输的共享秘密的请求;以及
用以建立从BSF接收并向UE传输的共享秘密的数据。
9.根据权利要求8所述的方法,其中针对向BSF传输的共享秘密的请求包括UE的标识符。
10.根据权利要求9所述的方法,其中从设备管理DM服务器或网络应用功能NAF获得UE的标识符。
11.根据权利要求10所述的方法,进一步包括DM服务器从Radius计费开始消息获得UE标识符的步骤。
12.根据权利要求8所述的方法,其中使用GBA推送消息传送将用以建立从BSF接收的共享秘密的数据从代理服务器传输到UE。
13.根据权利要求12所述的方法,其中通过受约束的应用协议递送推送消息。
14.根据权利要求13所述的方法,其中受约束的应用协议被绑定到UDP或SMS。
15.根据权利要求12所述的方法,其中由代理服务器从UE接收的和/或从代理服务器向UE传输的一个或多个消息是GBA推送消息,并且进一步其中由代理服务器从BSF接收的和/或从代理服务器向BSF传输的一个或多个消息是GBA推送消息。
16.根据权利要求8所述的方法,进一步包括直接通过受约束的应用协议或LWM2M协议认证、核实BSF和UE之间的共享秘密和/或证明对BSF和UE之间的共享秘密的拥有。
17.根据权利要求8所述的方法,其中代理服务器与网络应用功能NAF形成在一起,作为设备管理DM服务器。
18.根据权利要求17所述的方法,进一步包括使用共享秘密或进一步导出的共享秘密(Ks_NAF)保障UE和NAF之间的通信的步骤。
19.根据权利要求8所述的方法,其中共享密钥被自举事务标识符B-TID引用。
20.根据权利要求19所述的方法,其中将B-TID从代理服务器直接传递到网络应用功能NAF。
21.根据权利要求20所述的方法,进一步包括将共享秘密或进一步导出的共享秘密(Ks_NAF)直接从代理服务器传递到NAF的步骤。
22.一种用于使用通用自举架构GBA与用户设备UE安全通信的系统,系统包括:
自举服务器功能BSF;以及
代理服务器,其被配置成:
从用户设备UE接收第一格式的消息;
将接收到的消息从第一格式转变成第二格式,包括代理服务器执行消息检查以检查自举服务器功能处的系统崩溃或安全漏洞并且拒绝或纠正畸形的或不安全的消息;
针对与GBA要求的顺应性来检查从UE接收的消息;
将接收到的UE消息以第二格式传输到自举服务器功能BSF;
从BSF接收第三格式的消息;
将从BSF接收的消息从第三格式转变成第四格式;以及
将接收到的BSF消息以第四格式传输到UE。
23.根据权利要求22所述的系统,其中代理服务器与网络应用功能NAF形成在一起,作为设备管理DM服务器。
24.根据权利要求23所述的系统,其中DM服务器进一步包括被布置成存储UE的一个或多个标识符和相关联的地址的缓冲器。
25.根据权利要求24所述的系统,其中缓冲器是环形缓冲器。
26.根据权利要求24或权利要求25所述的系统,其中缓冲器被进一步布置成针对特定地址提供UE的一个或多个标识符。
27.根据权利要求22到25中的任何一项权利要求所述的系统,进一步包括UE和代理服务器之间的Ub接口和/或代理服务器和BSF之间的Ub接口。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB1512176.7A GB2540354A (en) | 2015-07-13 | 2015-07-13 | Generci bootstrapping architecture protocol |
| GB1512176.7 | 2015-07-13 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106714154A CN106714154A (zh) | 2017-05-24 |
| CN106714154B true CN106714154B (zh) | 2022-11-25 |
Family
ID=54013831
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610806417.6A Active CN106714154B (zh) | 2015-07-13 | 2016-07-13 | 用于通用自举架构协议的代理服务器、方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10484869B2 (zh) |
| EP (1) | EP3119055A1 (zh) |
| CN (1) | CN106714154B (zh) |
| GB (1) | GB2540354A (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11172000B2 (en) * | 2016-10-21 | 2021-11-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for facilitating real time multimedia communications |
| CN110169037A (zh) * | 2017-01-03 | 2019-08-23 | 德国电信股份有限公司 | 用于使用移动通信网络来在一方面应用服务器与另一方面至少一个物联网通信设备之间进行数据传输的方法、移动通信网络、系统、物联网通信设备、程序和计算机程序产品 |
| CN111147421B (zh) * | 2018-11-02 | 2023-06-16 | 中兴通讯股份有限公司 | 一种基于通用引导架构gba的认证方法及相关设备 |
| WO2020260750A1 (en) * | 2019-06-24 | 2020-12-30 | Nokia Technologies Oy | Apparatus, method and computer program |
| US11201954B2 (en) * | 2019-11-30 | 2021-12-14 | Verizon Patent And Licensing Inc. | Systems and methods for binary message transformation using custom descriptors |
| GB2609242A (en) * | 2021-07-26 | 2023-02-01 | Vodafone Group Services Ltd | Waking up a device |
| CN113596830B (zh) * | 2021-07-27 | 2023-03-24 | 中国联合网络通信集团有限公司 | 通信方法、装置、电子设备、存储介质及程序产品 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102550001A (zh) * | 2009-10-19 | 2012-07-04 | 诺基亚公司 | 用于允许自举架构和共享身份服务相互作用的用户身份管理 |
| CN104247485A (zh) * | 2012-04-26 | 2014-12-24 | 瑞典爱立信有限公司 | 在通用自举架构中的网络应用功能授权 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0409704D0 (en) * | 2004-04-30 | 2004-06-02 | Nokia Corp | A method for verifying a first identity and a second identity of an entity |
| US8543814B2 (en) | 2005-01-12 | 2013-09-24 | Rpx Corporation | Method and apparatus for using generic authentication architecture procedures in personal computers |
| CN101218800A (zh) * | 2005-07-07 | 2008-07-09 | 艾利森电话股份有限公司 | 用于鉴权和隐私的方法与布置 |
| WO2007022800A1 (en) * | 2005-08-26 | 2007-03-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for providing access security in a communications network |
| WO2007063420A2 (en) * | 2005-12-01 | 2007-06-07 | Nokia Corporation | Authentication in communications networks |
| EP1982493A1 (en) * | 2006-01-30 | 2008-10-22 | Nokia Corporation | Management of user data |
| DE102006054091B4 (de) * | 2006-11-16 | 2008-09-11 | Siemens Ag | Bootstrapping-Verfahren |
| EP2098038B1 (en) * | 2006-12-28 | 2017-06-21 | Telefonaktiebolaget LM Ericsson (publ) | Method and arrangement for integration of different authentication infrastructures |
| US9526003B2 (en) * | 2008-02-25 | 2016-12-20 | Nokia Solutions And Networks Oy | Secure bootstrapping architecture method based on password-based digest authentication |
| US8750506B2 (en) * | 2008-07-31 | 2014-06-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods, nodes, system, computer programs and computer program products for secure user subscription or registration |
| US9491624B2 (en) * | 2011-12-09 | 2016-11-08 | Verizon Patent And Licensing Inc. | Public key cryptography for applications requiring generic bootstrap architecture |
| TW201417598A (zh) * | 2012-07-13 | 2014-05-01 | Interdigital Patent Holdings | 安全性關聯特性 |
| MY179836A (en) * | 2013-07-01 | 2020-11-17 | Ericsson Telefon Ab L M | User consent for generic bootstrapping architecture |
| GB2518254B (en) | 2013-09-13 | 2020-12-16 | Vodafone Ip Licensing Ltd | Communicating with a machine to machine device |
| WO2015072899A1 (en) * | 2013-11-15 | 2015-05-21 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and devices for bootstrapping of resource constrained devices |
| US9445248B2 (en) * | 2014-07-25 | 2016-09-13 | Qualcomm Incorporated | Radio-agnostic message translation service |
| WO2016116190A1 (en) * | 2015-01-19 | 2016-07-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for direct communication key establishment |
| US10897707B2 (en) * | 2015-01-19 | 2021-01-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for direct communication key establishment |
| US9565172B2 (en) * | 2015-06-17 | 2017-02-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for enabling a secure provisioning of a credential, and related wireless devices and servers |
| US9986431B2 (en) * | 2015-08-17 | 2018-05-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for direct communication key establishment |
| CN108370369B (zh) * | 2015-09-11 | 2021-02-09 | 瑞典爱立信有限公司 | 使用重定向促进客户端设备和应用服务器之间安全通信的网关、客户端设备和方法 |
| CN108702615B (zh) * | 2016-02-12 | 2022-08-05 | 瑞典爱立信有限公司 | 保护接口以及用于建立安全通信链路的过程 |
-
2015
- 2015-07-13 GB GB1512176.7A patent/GB2540354A/en not_active Withdrawn
-
2016
- 2016-07-12 US US15/208,149 patent/US10484869B2/en active Active
- 2016-07-13 EP EP16179261.9A patent/EP3119055A1/en not_active Withdrawn
- 2016-07-13 CN CN201610806417.6A patent/CN106714154B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102550001A (zh) * | 2009-10-19 | 2012-07-04 | 诺基亚公司 | 用于允许自举架构和共享身份服务相互作用的用户身份管理 |
| CN104247485A (zh) * | 2012-04-26 | 2014-12-24 | 瑞典爱立信有限公司 | 在通用自举架构中的网络应用功能授权 |
Also Published As
| Publication number | Publication date |
|---|---|
| GB2540354A (en) | 2017-01-18 |
| EP3119055A1 (en) | 2017-01-18 |
| CN106714154A (zh) | 2017-05-24 |
| US10484869B2 (en) | 2019-11-19 |
| GB201512176D0 (en) | 2015-08-19 |
| US20170041785A1 (en) | 2017-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106714154B (zh) | 用于通用自举架构协议的代理服务器、方法和系统 | |
| JP7421591B2 (ja) | マシンツーマシン通信のためのネットワーク支援型ブートストラッピング | |
| US10986083B2 (en) | Hardware identification-based security authentication service for IoT devices | |
| US11354136B2 (en) | Machine-to-machine bootstrapping | |
| CN110999359B (zh) | 通过非接入层的安全短消息服务 | |
| US10673820B2 (en) | Communicating with a machine to machine device | |
| EP3629613A1 (en) | Network verification method, and relevant device and system | |
| EP3750342B1 (en) | Mobile identity for single sign-on (sso) in enterprise networks | |
| CN105052184B (zh) | 控制用户设备对服务接入的方法、设备及控制器 | |
| CN105981345B (zh) | Wi-fi/分组核心网接入的合法侦听 | |
| US8782743B2 (en) | Methods and apparatus for use in a generic bootstrapping architecture | |
| CN110741613A (zh) | 一种加密数据流的识别方法、设备、存储介质及系统 | |
| CN110474922B (zh) | 一种通信方法、pc系统及接入控制路由器 | |
| US20170078288A1 (en) | Method for accessing communications network by terminal, apparatus, and communications system | |
| CN104737571B (zh) | 保护在通信网络中发送的有效载荷 | |
| JP6861285B2 (ja) | 緊急アクセス中のパラメータ交換のための方法およびデバイス | |
| CN107078941B (zh) | 将ip数据包传输到ip地址的方法、处理装置和移动设备 | |
| US8819844B2 (en) | Method and system for data implant in set up message | |
| CN116868609A (zh) | 用于边缘数据网络的用户装备认证和授权规程 | |
| JP2009026215A (ja) | 認証処理装置、認証処理方法及び認証処理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: S. N. Berne Inventor after: T snapp Inventor before: N. Bonn Inventor before: T snapp |
|
| CB03 | Change of inventor or designer information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |