CN1921682B - 增强通用鉴权框架中的密钥协商方法 - Google Patents
增强通用鉴权框架中的密钥协商方法 Download PDFInfo
- Publication number
- CN1921682B CN1921682B CN200510093568.3A CN200510093568A CN1921682B CN 1921682 B CN1921682 B CN 1921682B CN 200510093568 A CN200510093568 A CN 200510093568A CN 1921682 B CN1921682 B CN 1921682B
- Authority
- CN
- China
- Prior art keywords
- key
- naf
- peripheral terminal
- bsf
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000002708 enhancing effect Effects 0.000 title description 2
- 238000004891 communication Methods 0.000 claims abstract description 26
- 230000002093 peripheral effect Effects 0.000 claims description 143
- 238000004364 calculation method Methods 0.000 claims description 7
- 238000012795 verification Methods 0.000 claims description 2
- 230000002457 bidirectional effect Effects 0.000 claims 3
- 239000007787 solid Substances 0.000 abstract 2
- 238000013475 authorization Methods 0.000 abstract 1
- 206010048669 Terminal state Diseases 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种增强通用鉴权框架中的密钥协商方法,用于外围终端设备与网络业务应用实体(NAF)之间的通信衍生密钥的协商,包括步骤:用户侧根据用户终端(UE)与执行用户身份初始检查验证的实体(BSF)的共享密钥、所述外围终端设备的设备标志计算出第一衍生密钥,并提供给外围终端设备;网络侧根据所述UE与BSF的共享密钥、获取的所述外围终端设备的设备标志,计算出与第一衍生密钥相同的第二衍生密钥,并将所述第二衍生密钥由NAF保存。使用本发明可实现NAF应用客户端与GBA客户端不同在UE时,NAF客户端与NAF的密钥协商。
Description
技术领域
本发明涉及3GPP通用鉴权框架(GAA)技术领域,特别是指一种增强通用鉴权框架中的密钥协商方法。
背景技术
在第三代无线通信标准中,通用鉴权框架(GAA)是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构,应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务。
图1示出了所述通用鉴权框架的结构。通用鉴权框架通常由用户(UE)、执行用户身份初始检查验证的实体(BSF)、用户归属网络服务器(HSS)和网络业务应用实体(NAF)组成。BSF用于与UE进行互验证身份,同时生成BSF与用户的共享密钥Ks;HSS中存储用于描述用户信息的描述(Profile)文件,同时HSS还兼有产生鉴权信息的功能。各个实体之间的接口可参见图1。
用户需要使用某种业务时,如果用户知道该业务需要到BSF进行互鉴权过程,则直接到BSF进行互鉴权,否则,用户会首先和该业务对应的NAF联系,如果该NAF使用GAA通用鉴权框架,并且发现该用户还未到BSF进行互认证过程,NAF则通知该用户到BSF进行互鉴权以验证身份。
用户与BSF之间的GBA(互鉴权)的步骤包括:用户向B SF发出鉴权请求;BSF接到鉴权请求后,首先到HSS获取该用户的鉴权信息;BSF获得鉴权信息后采用HTTP digest AKA协议与用户进行双向认证以及密钥协商,完成用户和BSF之间身份的互相认证及共享密钥Ks的生成,BSF还为共享密钥Ks定义了一个有效期限,以便Ks进行定期更新。共享密钥Ks是作为根密钥来使用的,用于衍生出加密通信的密钥。
之后,BSF分配一个会话事务标识(B-TID)发送给用户,该B-TID与Ks相关联,可以用于标识Ks,还包含了Ks的有效期限。
用户收到B-TID后,重新向NAF发出连接请求,且请求消息中携带了该B-TID,同时用户侧根据Ks计算出衍生密钥NAF specific keys,可为Ks_NAF、或为Ks_int_NAF与Ks_ext_NAF,计算方法为:
Ks_NAF=Ks_ext_NAF=KDF(Ks,″gba-me″||RAND||IMPI||NAF_Id);
Ks_int_NAF=KDF(Ks,″gba-u″||RAND||IMPI||NAF_Id)。
其中RAND是一个随机数,IMPI是指用户的IP多媒体私有身份标识,NAF_Id指NAF标识,″gba-me″和″gba-u″代表字符串;KDF是密钥导出函数的缩写。
NAF收到连接请求后,先在本地查询是否有用户携带的该B-TID,如果NAF不能在本地查询到该B-TID,则向BSF进行查询,该查询消息中携带了NAF标识和B-TID。如果BSF不能在本地查询到该B-TID,则通知NAF没有该用户的信息,此时,NAF将通知用户到BSF重新进行认证鉴权。BSF查询到该B-TID后,使用与用户侧相同的算法计算出Ks的衍生密钥Ksspecific keys,并向NAF发送成功的响应消息,该成功的响应中包括NAF所需的B-TID、与该B-TID对应的衍生密钥NAF specific keys、以及BSF为该密钥设置的有效期限。NAF收到BSF的成功响应消息后,就认为该用户是经过BSF认证的合法用户,同时NAF和用户也就共享了由Ks衍生的密钥NAF specific keys。
之后,NAF和用户在后续的通信过程中通过NAF specific keys来进行加密通信。
当用户发现Ks即将过期,或NAF要求用户重新到BSF进行鉴权时,用户就会重复上述的步骤重新到BSF进行互鉴权,以得到新的共享密钥Ks及衍生密钥NAF specific keys。
这里需要说明的是,对于GBA_ME过程,上述用户指的是移动设备(ME),此时所述生成的NAF specific keys即为Ks_NAF;如果是GBA_U过程,上述用户指的是移动设备中的用户识别模块(UICC),此时所述的生成的NAF specific keys包括两个衍生密钥:给UICC的Ks_int_NAF和给ME的Ks_ext_NAF。
以上的过程适用于NAF应用客户端保存在UE的情况(即NAF应用客户端在UE的ME上,或者在UE的UICC上)。但是随着通用鉴权框架应用范围越来越广泛,出现一些新的应用场景。其中一个比较大的应用场景就是NAF应用客户端与终端分离的情况,这种情况是指:某个移动用户具备多个终端设备(除了手机以外,还具备其它终端设备如PC机,WLAN UE,掌上电脑等),而这些终端采用同一个UICC(如SIM卡)用户信息访问网络业务,导致NAF应用客户端和UE不在同一个设备上。如图2示出了这种情况下的GAA架构,可以称为增强GAA框架,这种情况下NAF应用客户端不在手机上,而是在UE以外的某一个或者某几个外围终端设备上。当这些外围终端设备不具备GBA功能时,就会出现NAF应用客户端在外围终端设备上,与执行GBA的客户端不在同一个设备上的情况。现在的GAA规范主要针对NAF应用客户端与GBA客户端在同一个终端的情况,尚没有针对图2所述GAA构架方式的鉴权方法。
并且,对于多个外围终端设备共享一个UE上的GBA客户端时,如果这些外围终端设备中的某两个或者某几个访问同一个NAF时,还会出现多个外围终端设备采用同一个衍生密钥与某一个NAF通信的情况,造成安全隐患:如果其中一个被攻破,另外一个也会不攻自破。
发明内容
有鉴于此,本发明的主要目的在于提供了增强通用鉴权框架中的密钥协商方法,以解决NAF应用客户端与GBA客户端不同在UE时,NAF应用客户端与NAF的协商密钥,以实现加密通信。
本发明提供的增强通用鉴权框架中的密钥协商方法,用于外围终端设备上的网络业务应用实体NAF应用客户端与NAF之间的加密通信,包括:
外围终端设备向用户终端UE发送密钥请求消息;
用户侧计算第一衍生密钥,并提供给外围终端设备上的NAF应用客户端;其中,所述用户侧计算第一衍生密钥包括:由UE根据所述UE与BSF的共享密钥和所述外围终端设备的设备标志计算所述第一衍生密钥;或者,由UE根据所述UE与BSF的共享密钥计算第一临时衍生密钥,再根据所述第一临时衍生密钥和所述外围终端设备的设备标志计算所述第一衍生密钥;或者,由UE根据所述UE与BSF的共享密钥计算第一临时衍生密钥,并将所述第一临时衍生密钥提供给所述外围终端设备;所述外围终端设备根据所述第一临时衍生密钥和所述外围终端设备的设备标志计算所述第一衍生密钥;
网络侧根据所述UE与BSF的共享密钥、获取的所述外围终端设备的设备标志,计算出与第一衍生密钥相同的第二衍生密钥,并由NAF保存所述第二衍生密钥。
由上述方法可以看出,本发明实现了在GBA客户端在UE,而NAF应用客户端在其他终端状态下的GAA鉴权方式。
并且,本发明采用设备标志作为计算衍生密钥的参数之一,不同的外围终端设备访问同一个应用或NAF时,采用不同的衍生密钥可以避免同一个用户的不同外围终端设备采用相同的衍生密钥访问同一个业务。因为如果计算衍生密钥的参数不加入新的参数时,当一用户的某两个外围终端设备上的NAF应用终端在Ks的有效期内均访问某一个相同的应用时,这样由于所有参数都一样,那么为两个终端计算出来的衍生密钥也一定相同。于是造成了两个终端设备上的应用客户端采用同一密钥访问某个业务。那么其中一个被攻破,另外一个也会不攻自破,造成很大的不安全性。本发明参数里加上标识不同终端外围终端设备的设备标志后,对于不同的外围终端设备终端计算出来的衍生密钥就会不一样,提高了安全性。
另一方面,外围终端设备上NAF应用客户端向NAF报告自己的设备标志,不但可以对不同的终端设备计算出不同的衍生密钥,而且还可以使区分来自同一个用户不同的终端的连接请求,这样便可以根据本地策略,处理一个用户的多个终端的接入问题。
附图说明
图1为GAA框架示意图。
图2为NAF应用客户端和GBA客户端分离状态下的增强GAA框架示意图。
图3为增强GAA框架中NAF应用客户端与NAF通信的密钥协商流程图。
具体实施方式
下面参见图3示出的本发明的GAA鉴权流程图,其中,示出的UE和外围终端设备均属于同一个用户,下面对增强GAA框架下的NAF应用客户端与NAF通信的密钥协商方法进行说明,包括以下步骤:
步骤301:外围终端设备上的NAF应用客户端需要使用某种业务时,向该业务对应的NAF发送连接请求。如果该NAF应用客户端知道需要到BSF进行互鉴权过程,则可以跳过这一步骤,直接进入步骤303。
步骤302:收到请求后,NAF查找是否已经存储了对应于该用户设备有效的衍生密钥,如果没有,指示外围终端设备上的NAF应用客户端采用加密方式与其通信,例如可指示采用GAA密钥与其进行安全通信,如果已经存在有效的NAF与该用户设备的共享的衍生密钥,则直接使用该密钥通信,并结束本流程。
步骤303:收到指示后,外围终端设备上NAF应用客户端向UE请求本次要与NAF加密通信所使用的衍生密钥NAF specific keys,并在请求消息里携带所述NAF标识、外围终端设备的设备标志。
这里,设备标志是指用于区分不同外围终端设备的标识符,可以是设备MAC地址,IP地址,或者是GRUU标志(Globally Routable UA URI,全局可路由的用户代理通用资源标识符),设备标识(类似于ME的IMEI)等。外围终端设备可以通过数据线、USB、蓝牙、或红外线等接口作为本地接口与UE相连以交互消息。
步骤304:UE接到请求后,在本地查找是否具备有效的Ks。如果具备有效的Ks,直接转入步骤308;如果没有有效的Ks,那么就向BSF发送鉴权请求,以执行GBA过程。
步骤305:根据GBA过程,收到鉴权请求的BSF到HSS获取该用户的鉴权信息。
步骤306:BSF获得鉴权信息后与UE进行双向认证以及密钥协商,完成用户和BSF之间身份的互相鉴权及共享密钥Ks的生成。
步骤307:BSF还可为Ks定义一个有效期,并分配一个可用于标识Ks的会话事务标识(B-TID)发送给UE。并在Ks到期后,返回步骤305以更新Ks。
步骤308:UE根据Ks计算衍生密钥,计算参数除了Ks、″gba-me″||RAND||IMPI||NAF_ID以外,还包括外围终端设备的设备标志,从而实现为不同的外围终端设备生成不同的衍生密钥NAF specific keys。具体来说,可分为:
当UICC具备GBA功能时(属于GBA_U过程),由UICC计算衍生密钥Ks_ext_NAF*和Ks_int_NAF*。如:Ks_ext_NAF*=KDF(Ks,″gba-me″||RAND||IMPI||NAF_Id||设备标志);Ks_int_NAF*=KDF(Ks,″gba-u″||RAND||IMPI||NAF_Id||设备标志)。其中RAND是一个随机数,IMPI是指用户的IP多媒体私有身份标识,NAF_ID指NAF标识,″gba-me″和″gba-u″代表字符串;KDF是密钥导出函数的缩写。
当Ks存放在ME上(属于GBA_ME过程),则由ME计算衍生密钥Ks_NAF*,如:Ks_NAF*=KDF(Ks,″gba-me″||RAND||IMPI||NAF_Id||设备标志)。
另外值得说明的是,在对外围终端设备的NAF specific keys的计算也可以分为两个步骤进行:第一步,按照原来的计算衍生密钥方式计算出Ks临时衍生密钥(以Ks_(ext)_NAF_temp和Ks_int_NAF_temp表示):Ks_(ext)_NAF_temp=KDF(Ks,″gba-me″||RAND||IMPI||NAF_Id);Ks_int_NAF_temp=KDF(Ks,″gba-u″||RAND||IMPI||NAF_Id);第二步,再由临时衍生密钥计算外围终端设备的衍生密钥:Ks_int/(ext)_NAF=KDF(Ks_int/(ext)_NAF_temp,设备标志)。
这样,如果外围终端设备和NAF有计算密钥的功能,该衍生密钥的计算的上述第二步还可以放在外围终端设备和NAF上进行,UE和BSF可以分别将Ks_int/(ext)NAF_temp发给外围终端设备和NAF。
步骤309:UE通过本地接口将计算出的衍生密钥NAF specific keys和标识Ks的B-TID一起发送给外围终端设备上的NAF应用客户端。
步骤310:外围终端设备上的NAF应用客户端再次向NAF发送连接请求,并在请求消息中携带所述B-TID以及设备标志。
值得指出的是,NAF可能通过其他方式获得此次通信外围终端设备的设备标志。例如,可以是运营商网络在本地配置已经配置了该外围终端的信息,外围终端设备或者UE通过短消息的方式告诉运营商网络(如BSF或NAF)要启用某个外围终端设备某项特征信息,运营商网络(如BSF)在本地查找到设备标志并通知NAF。也可以是外围终端设备或者UE通过其他消息直接告诉NAF外围终端设备的某项信息。之后不再赘述。
步骤311:NAF向BSF发送密钥查询消息进行查询,该查询消息中携带了NAF标识和B-TID以及设备标志。
步骤312:BSF接收到查询消息后,根据消息中的B-TID查找到对应的密钥Ks,并根据B-TID、设备标志以及NAF标识,采用与步骤308所述UE侧相同算法计算衍生密钥。
步骤313:BSF将衍生密钥NAF specific keys连同生成的该密钥的有效期一起返回给NAF。
步骤314:之后,NAF便和外围终端设备采用所述衍生密钥NAF specifickeys加密之间的通信。并在衍生密钥到期后,返回步骤308以更新衍生密钥。这里说明一下,当上述过程计算衍生密钥NAF specific keys为Ks_ext_NAF和Ks_int_NAF时,NAF和外围终端可协商选择一个作为加密通信的衍生密钥。
另外,根据设备标志可区分某一个用户的不同外围终端设备,可利用该特点实现根据配置策略控制某一用户访问某一个业务的外围终端接入数。可由BSF进行配置和接入控制,也可以将配置策略发给NAF由NAF进行控制,例如可以在USS(User Security Setting,用户安全设置)设置相应的标志,运营商进行配置好后,由BSF发给NAF,由NAF进行接入控制。
在进行接入控制时,根据设备标志来区分该用户的不同终端连接,并根据配置的策略进行相应处理。例如,如果只允许某用户同一时刻只有一个外围终端设备访问NAF(实现NAF的实体可以是某个应用服务器AS),那么如果发现该用户有新的终端连接请求,则可以拒绝新的连接请求,也可断开旧的连接接入新的连接。
从上可以看出,本发明实现了GBA客户端在UE,而NAF应用客户端在其他终端状态下的GAA鉴权方式,从而实现了这种情况下的NAF应用客户端与NAF的加密通信。并且,为了保证足够的安全性,不同的外围终端设备访问同一个应用或NAF时,针对不同的外围终端设备生成不同Ksspecific key用于所述加密通信。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (29)
1.一种增强通用鉴权框架中的密钥协商方法,用于外围终端设备上的网络业务应用实体NAF应用客户端与NAF之间的加密通信,其特征在于,包括:
外围终端设备向用户终端UE发送密钥请求消息;
用户侧计算第一衍生密钥,并提供给外围终端设备上的NAF应用客户端;其中,所述用户侧计算第一衍生密钥包括:
由UE根据所述UE与BSF的共享密钥和所述外围终端设备的设备标志计算所述第一衍生密钥;或者,
由UE根据所述UE与BSF的共享密钥计算第一临时衍生密钥,再根据所述第一临时衍生密钥和所述外围终端设备的设备标志计算所述第一衍生密钥;或者,
由UE根据所述UE与BSF的共享密钥计算第一临时衍生密钥,并将所述第一临时衍生密钥提供给所述外围终端设备;所述外围终端设备根据所述第一临时衍生密钥和所述外围终端设备的设备标志计算所述第一衍生密钥;
网络侧根据所述UE与BSF的共享密钥、获取的所述外围终端设备的设备标志,计算出与第一衍生密钥相同的第二衍生密钥,并由NAF保存所述第二衍生密钥。
2.根据权利要求1所述的方法,其特征在于,所述网络侧计算第二衍生密钥为:由所述BSF根据所述UE与BSF的共享密钥和所述外围终端设备的设备标志计算所述第二衍生密钥。
3.根据权利要求1所述的方法,其特征在于,所述网络侧计算第二衍生密钥为:由所述BSF根据所述UE与BSF的共享密钥计算第二临时衍生密钥,再根据所述第二临时衍生密钥和所述外围终端设备的设备标志计算所述第二衍生密钥。
4.根据权利要求1所述的方法,其特征在于,所述网络侧计算第二衍生密钥为:由BSF根据所述UE与BSF的共享密钥计算第二临时衍生密钥,并将所述第二临时衍生密钥提供给所述NAF;所述NAF根据所述第二临时衍生密钥和所述外围终端设备的设备标志计算所述第二衍生密钥。
5.根据权利要求1所述的方法,其特征在于,在所述计算第一衍生密钥之前,进一步包括:
UE从所述外围终端设备发送的密钥请求消息中获取所述外围终端设备的设备标志。
6.根据权利要求2或3所述的方法,其特征在于,在所述计算第二衍生密钥之前,进一步包括:
NAF接收用户侧发送的外围终端设备的设备标志,并向BSF发送所述外围终端设备的设备标志。
7.根据权利要求4所述的方法,其特征在于,在所述计算第二衍生密钥之前,进一步包括:
NAF接收用户侧发送的外围终端设备的设备标志。
8.根据权利要求1至4任一项所述的方法,其特征在于,所述计算第一衍生密钥前进一步包括:
外围终端设备向所述NAF发送连接请求;
NAF收到所述连接请求后,查找未存储有用于所述加密通信的衍生密钥时,指示外围终端设备为所述加密通信进行密钥协商。
9.根据权利要求1至4任一项所述的方法,其特征在于,所述方法进一步包括:所述第一衍生密钥或第二衍生密钥超过各自的有效期限时,或共享密钥更新后,重新执行所述用户侧计算第一衍生密钥的操作。
10.根据权利要求1至4任一项所述的方法,其特征在于,所述网络侧计算第二衍生密钥之前进一步包括:
所述网络侧接收到所述外围终端设备发送的连接请求,所述连接请求包含会话事务标识B-TID和所述外围终端设备的设备标志;
所述网络侧根据所述B-TID确定出所述共享密钥。
11.根据权利要求1至4任一项所述的方法,其特征在于,所述外围终端设备的设备标志为以下之一:
外围终端设备的MAC地址、IP地址、全局可路由的用户代理通用资源标识符GRUU、设备标识。
12.一种增强通用鉴权框架中的密钥协商方法,适用于用户终端UE,其特征在于,包括:
UE接收来自外围终端设备上的NAF应用客户端的密钥请求消息,所述密钥请求消息中携带网络业务应用实体NAF标识和所述外围终端设备的设备标识;
UE在本地查找是否具备有效的UE与执行用户身份初始检查验证的实体BSF的共享密钥,如果没有有效的共享密钥,则向BSF发送鉴权请求,与BSF进行双向认证和密钥协商,以获取共享密钥和标识所述共享密钥的B-TID;
UE根据UE与BSF的共享密钥、外围终端设备的设备标志计算第一衍生密钥;
UE将所述第一衍生密钥和B-TID提供给外围终端设备上的NAF应用客户端,用于外围终端设备上的NAF应用客户端与NAF之间的加密通信。
13.根据权利要求12所述的方法,其特征在于,所述计算第一衍生密钥为:
UE根据所述UE与BSF的共享密钥计算第一临时衍生密钥,再根据所述第一临时衍生密钥和所述外围终端设备的设备标志计算所述第一衍生密钥。
14.一种增强通用鉴权框架中的密钥协商方法,适用于外围终端设备,其特征在于,包括:
外围终端设备上的NAF应用客户端向UE发送密钥请求消息,所述密钥请求消息中携带网络业务应用实体NAF标识;
外围终端设备接收来自于UE的第一临时衍生密钥,所述第一临时衍生密钥是所述UE根据UE与BSF的共享密钥计算得到的;
所述外围终端设备根据所述第一临时衍生密钥和所述外围终端设备的设备标志计算第一衍生密钥;
所述外围终端设备上的NAF应用客户端使用所述第一衍生密钥与NAF进行加密通信。
15.一种增强通用鉴权框架中的密钥协商方法,适用于外围终端设备,其特征在于,包括:
外围终端设备上的NAF应用客户端向UE发送密钥请求消息,所述密钥请求消息中携带网络业务应用实体NAF标识和所述外围终端设备的设备标识;
外围终端设备接收来自于UE的第一衍生密钥,所述第一衍生密钥是所述UE根据UE与BSF的共享密钥、所述外围终端设备的设备标志计算得到的;
所述外围终端设备上的NAF应用客户端使用所述第一衍生密钥与NAF进行加密通信。
16.一种增强通用鉴权框架中的密钥协商方法,适用于BSF,其特征在于,包括:
BSF接收来自于NAF的密钥查询消息,所述密钥查询消息中携带有所述NAF的标识、B-TID以及外围终端设备的设备标识;
BSF根据密钥查询消息中的B-TID查找到对应的UE与BSF的共享密钥,并根据所述共享密钥、外围终端设备的设备标志计算第二衍生密钥;
BSF将所述第二衍生密钥发送给NAF,用于NAF与外围终端设备上的NAF应用客户端之间的加密通信。
17.根据权利要求16所述的方法,其特征在于,所述计算第二衍生密钥为:
BSF根据所述UE与BSF的共享密钥计算第二临时衍生密钥,再根据所述第二临时衍生密钥和所述外围终端设备的设备标志计算所述第二衍生密钥。
18.一种增强通用鉴权框架中的密钥协商方法,适用于NAF,其特征在于,包括:
NAF接收外围终端设备上的NAF应用客户端发送的连接请求,所述连接请求中包含B-TID和该外围终端设备的设备标志;
NAF向BSF发送密钥查询消息,所述密钥查询消息中携带有所述NAF的标识和B-TID;
NAF接收来自于BSF的第二临时衍生密钥,所述第二临时衍生密钥是所述BSF根据UE与BSF的共享密钥计算得到的;
NAF根据所述第二临时衍生密钥和获取的与所述UE相应的外围终端设备的设备标志计算第二衍生密钥;
NAF使用所述第二衍生密钥与所述外围终端设备上的NAF应用客户端进行加密通信。
19.一种增强通用鉴权框架中的密钥协商方法,适用于NAF,其特征在于,包括:
NAF接收外围终端设备上的NAF应用客户端发送的连接请求,所述连接请求中包含B-TID和该外围终端设备的设备标志;
NAF向BSF发送密钥查询消息,所述密钥查询消息中携带有所述NAF的标识、B-TID和外围终端设备的设备标识;
NAF接收来自于BSF的第二衍生密钥,所述第二衍生密钥是所述BSF根据UE与BSF的共享密钥、所述外围终端设备的设备标志计算得到的;
NAF使用所述第二衍生密钥与所述外围终端设备上的NAF应用客户端进行加密通信。
20.一种UE,其特征在于,所述UE包括:
用于接收外围终端设备上的NAF应用客户端向UE发送的密钥请求消息的模块,所述密钥请求消息中携带NAF标识和所述外围终端设备的设备标识;
用于当UE接收到密钥请求消息后,在本地查找是否具有有效的共享密钥,如果没有有效的共享密钥,则向BSF发送鉴权请求,与BSF进行双向认证以及密钥协商,以获取共享密钥和标识所述共享密钥的B-TID的模块;
用于根据UE与BSF的共享密钥、外围终端设备的设备标志计算第一衍生密钥的模块;
用于将所述第一衍生密钥和标识所述共享密钥的B-TID提供给外围终端设备上的NAF应用客户端的模块。
21.根据权利要求20所述的UE,其特征在于,所述用于根据UE与BSF的共享密钥、外围终端设备的设备标志计算第一衍生密钥的模块包括:
用于根据所述UE与BSF的共享密钥计算第一临时衍生密钥的模块;
用于根据所述第一临时衍生密钥和所述外围终端设备的设备标志计算所述第一衍生密钥的模块。
22.一种UE,其特征在于,所述UE包括:
用于接收外围终端设备上的NAF应用客户端向UE发送的密钥请求消息的模块,所述密钥请求消息中携带NAF标识;
用于当UE接收到密钥请求消息后,在本地查找是否具有有效的共享密钥,如果没有有效的共享密钥,则向BSF发送鉴权请求,与BSF进行双向认证以及密钥协商,以获取共享密钥和标识所述共享密钥的B-TID的模块;
用于根据UE与BSF的共享密钥计算第一临时衍生密钥的模块;
用于将所述第一临时衍生密钥发送给外围终端设备的模块。
23.一种外围终端设备,其特征在于,所述外围终端设备包括:
用于在外围终端设备上的NAF应用客户端需要使用业务时,向该业务对应的NAF客户端发送连接请求的模块;
用于在收到来自所述NAF的指示后,外围终端设备上的NAF客户端向UE发送密钥请求消息的模块,所述密钥请求消息中携带NAF标识;
用于接收来自于UE的第一临时衍生密钥和B-TID的模块,所述第一临时衍生密钥是所述UE根据UE与BSF的共享密钥计算得到的;
用于根据所述第一临时衍生密钥和所述外围终端设备的设备标志计算第一衍生密钥的模块;
用于外围终端设备上的NAF应用客户端再次向NAF发送连接请求,并在所述连接请求消息中携带所述B-TID以及所述外围终端设备的设备标识的模块;
用于外围终端设备上的NAF应用客户端与NAF采用所述第一衍生密钥进行加密通信的模块。
24.一种外围终端设备,其特征在于,所述外围终端设备包括:
用于在外围终端设备上的NAF应用客户端需要使用业务时,向该业务对应的NAF客户端发送连接请求的模块;
用于在收到来自所述NAF的指示后,外围终端设备上的NAF客户端向UE发送密钥请求消息的模块,所述密钥请求消息中携带NAF标识和外围终端设备的设备标识;
用于接收来自于UE的第一衍生密钥和B-TID的模块;所述第一衍生密钥是所述UE根据UE与BSF的共享密钥、所述外围终端设备的设备标志计算得到的;
用于外围终端设备上的NAF应用客户端再次向NAF发送连接请求,并在所述连接请求消息中携带所述B-TID以及所述外围终端设备的设备标识的模块;
用于外围终端设备上的NAF应用客户端与NAF采用所述第一衍生密钥进行加密通信的模块。
25.一种BSF,其特征在于,所述BSF包括:
用于接收来自UE的鉴权请求的模块;
用于在收到来自UE的鉴权请求后到HSS获取对应于该UE的用户的鉴权信息的模块;
用于根据获得的鉴权信息与UE进行双向认证和密钥协商,生成共享密钥以及标识所述共享密钥的B-TID,并将共享密钥和B-TID发送给UE的模块;
用于为共享密钥定义有效期,并在共享密钥到期后,更新共享密钥的模块;
用于接收来自于NAF的密钥查询消息的模块,所述密钥查询消息中携带有所述NAF的标识、B-TID以及外围终端设备的设备标识;
用于根据UE与BSF的共享密钥、外围终端设备的设备标志计算第二衍生密钥的模块;
用于将所述第二衍生密钥及其有效期提供给NAF的模块。
26.根据权利要求25所述的BSF,其特征在于,所述用于根据UE与BSF的共享密钥、外围终端设备的设备标志计算第二衍生密钥的模块包括:
用于根据所述UE与BSF的共享密钥计算第二临时衍生密钥的模块;
用于根据所述第二临时衍生密钥和所述外围终端设备的设备标志计算所述第二衍生密钥的模块。
27.一种BSF,其特征在于,所述BSF包括:
用于接收来自UE的鉴权请求的模块;
用于在收到来自UE的鉴权请求后到HSS获取对应于该UE的用户的鉴权信息的模块;
用于根据获得的鉴权信息与UE进行双向认证和密钥协商,生成共享密钥以及标识所述共享密钥的B-TID,并将共享密钥和B-TID发送给UE的模块;
用于为共享密钥定义有效期,并在共享密钥到期后,更新共享密钥的模块;
用于接收来自于NAF的密钥查询消息的模块,所述密钥查询消息中携带有所述NAF的标识和B-TID;
用于根据UE与BSF的共享密钥计算第二临时衍生密钥的模块;
用于将所述第二临时衍生密钥及其有效期发送给外围终端设备的模块。
28.一种NAF,其特征在于,所述NAF包括:
用于接收来自于外围终端设备上的NAF应用客户端发送的连接请求的模块;所述连接请求中包含B-TID和该外围终端设备的设备标志;
用于向BSF发送密钥查询消息的模块,所述密钥查询消息中携带有所述NAF的标识和B-TID;
用于接收来自于BSF的第二临时衍生密钥的模块,所述第二临时衍生密钥是所述BSF根据UE与BSF的共享密钥计算得到的;
用于根据所述第二临时衍生密钥和获取的与所述UE相应的外围终端设备的设备标志计算第二衍生密钥的模块;
用于使用所述第二衍生密钥与外围终端设备上的NAF应用客户端进行加密通信的模块。
29.一种NAF,其特征在于,所述NAF包括:
用于接收来自于外围终端设备上的NAF应用客户端发送的连接请求的模块;所述连接请求中包含B-TID和该外围终端设备的设备标志;
用于向BSF发送密钥查询消息的模块,所述密钥查询消息中携带有所述NAF的标识、B-TID和外围终端设备的设备标志;
用于接收来自于BSF的第二衍生密钥的模块,所述第二衍生密钥是所述BSF根据UE与BSF的共享密钥、所述外围终端设备的设备标志计算得到的;
用于使用所述第二衍生密钥与外围终端设备上的NAF应用客户端进行加密通信的模块。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200510093568.3A CN1921682B (zh) | 2005-08-26 | 2005-08-26 | 增强通用鉴权框架中的密钥协商方法 |
| PCT/CN2006/002181 WO2007022731A1 (fr) | 2005-08-26 | 2006-08-25 | Procede, systeme et equipement de negociation de cle de cryptage dans une trame de verification universelle amelioree |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200510093568.3A CN1921682B (zh) | 2005-08-26 | 2005-08-26 | 增强通用鉴权框架中的密钥协商方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1921682A CN1921682A (zh) | 2007-02-28 |
| CN1921682B true CN1921682B (zh) | 2010-04-21 |
Family
ID=37771241
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200510093568.3A Expired - Fee Related CN1921682B (zh) | 2005-08-26 | 2005-08-26 | 增强通用鉴权框架中的密钥协商方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN1921682B (zh) |
| WO (1) | WO2007022731A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101312395B (zh) * | 2007-05-22 | 2012-03-28 | 中兴通讯股份有限公司 | 一种应用业务的安全鉴权和换卡处理方法及系统 |
| PL2191608T3 (pl) * | 2007-09-17 | 2012-01-31 | Ericsson Telefon Ab L M | Sposób i urządzenie w systemie telekomunikacyjnym |
| CN101459506B (zh) * | 2007-12-14 | 2011-09-14 | 华为技术有限公司 | 密钥协商方法、用于密钥协商的系统、客户端及服务器 |
| CN101772024B (zh) * | 2008-12-29 | 2012-10-31 | 中国移动通信集团公司 | 一种用户身份确定方法及装置和系统 |
| CN101888626B (zh) * | 2009-05-15 | 2013-09-04 | 中国移动通信集团公司 | 一种实现gba密钥的方法及其终端设备 |
| CN102768744B (zh) * | 2012-05-11 | 2016-03-16 | 福建联迪商用设备有限公司 | 一种远程安全支付方法和系统 |
| CN106534050A (zh) * | 2015-09-11 | 2017-03-22 | 中移(杭州)信息技术有限公司 | 一种实现虚拟专用网络密钥协商的方法和装置 |
| CN108370369B (zh) * | 2015-09-11 | 2021-02-09 | 瑞典爱立信有限公司 | 使用重定向促进客户端设备和应用服务器之间安全通信的网关、客户端设备和方法 |
| US20220278835A1 (en) * | 2020-04-03 | 2022-09-01 | Apple Inc. | Application Function Key Derivation and Refresh |
| CN114143016B (zh) * | 2020-08-14 | 2024-09-24 | 中兴通讯股份有限公司 | 基于通用引导架构gba的鉴权方法、及对应装置 |
| CN114978480A (zh) * | 2021-02-22 | 2022-08-30 | 中国电信股份有限公司 | 分发数字证书的方法及相关设备 |
| CN115118471B (zh) * | 2022-06-16 | 2024-06-04 | 深圳市欢太科技有限公司 | 远程连接方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1614903A (zh) * | 2003-11-07 | 2005-05-11 | 华为技术有限公司 | 一种验证用户合法性的方法 |
| CN1614923A (zh) * | 2003-11-07 | 2005-05-11 | 华为技术有限公司 | 一种分配会话事务标识的方法 |
| CN1642349A (zh) * | 2004-06-25 | 2005-07-20 | 华为技术有限公司 | 一种管理本地终端设备接入网络的方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6154543A (en) * | 1998-11-25 | 2000-11-28 | Hush Communications Anguilla, Inc. | Public key cryptosystem with roaming user capability |
| PL354839A1 (en) * | 1999-05-21 | 2004-02-23 | Ibm | Method and apparatus for initializing secure communications among, and for exclusively pairing wireless devices |
| JP2005117254A (ja) * | 2003-10-06 | 2005-04-28 | Nippon Telegr & Teleph Corp <Ntt> | 無線局間における相手認証方法、および無線局端末装置、ならびにプログラム |
| JP4307227B2 (ja) * | 2003-12-03 | 2009-08-05 | キヤノン株式会社 | 設定方法 |
-
2005
- 2005-08-26 CN CN200510093568.3A patent/CN1921682B/zh not_active Expired - Fee Related
-
2006
- 2006-08-25 WO PCT/CN2006/002181 patent/WO2007022731A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1614903A (zh) * | 2003-11-07 | 2005-05-11 | 华为技术有限公司 | 一种验证用户合法性的方法 |
| CN1614923A (zh) * | 2003-11-07 | 2005-05-11 | 华为技术有限公司 | 一种分配会话事务标识的方法 |
| CN1642349A (zh) * | 2004-06-25 | 2005-07-20 | 华为技术有限公司 | 一种管理本地终端设备接入网络的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1921682A (zh) | 2007-02-28 |
| WO2007022731A1 (fr) | 2007-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1921682B (zh) | 增强通用鉴权框架中的密钥协商方法 | |
| US10284555B2 (en) | User equipment credential system | |
| US8559633B2 (en) | Method and device for generating local interface key | |
| US8543814B2 (en) | Method and apparatus for using generic authentication architecture procedures in personal computers | |
| US7545768B2 (en) | Utilizing generic authentication architecture for mobile internet protocol key distribution | |
| JP4804983B2 (ja) | 無線端末、認証装置、及び、プログラム | |
| KR100980132B1 (ko) | 통신 링크의 보안을 위해 하나 이상의 제1 통신 가입자와제2 통신 가입자 사이에 보안키를 합의하기 위한 방법 | |
| EP1933498B1 (en) | Method, system and device for negotiating about cipher key shared by ue and external equipment | |
| CN1835436B (zh) | 一种通用鉴权网络及一种实现鉴权的方法 | |
| US8726023B2 (en) | Authentication using GAA functionality for unidirectional network connections | |
| CA2545229C (en) | Method for verifying the validity of a user | |
| CN101322428A (zh) | 用于传递密钥信息的方法和设备 | |
| WO2019137030A1 (zh) | 安全认证方法、相关设备及系统 | |
| JP2008529368A (ja) | 通信システムにおけるユーザ認証及び認可 | |
| WO2008006312A1 (en) | A realizing method for push service of gaa and a device | |
| WO2009074050A1 (fr) | Procede, systeme et appareil d'authentification de dispositif de point d'acces | |
| WO2007034299A1 (en) | Re-keying in a generic bootstrapping architecture following handover of a mobile terminal | |
| WO2007104248A1 (en) | Method, system, apparatus and bsf entity for preventing bsf entity from attack | |
| CN101568116B (zh) | 一种证书状态信息的获取方法及证书状态管理系统 | |
| CN102694779B (zh) | 组合认证系统及认证方法 | |
| EP1844595B1 (en) | Authentication using GAA functionality for unidirectional network connections | |
| KR100495817B1 (ko) | 무선망에서의 사용자 인증 처리 시스템 및 그 방법 | |
| KR20140095050A (ko) | 이동 통신 시스템에서 단일 사용자 승인을 지원하는 관리 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100421 Termination date: 20130826 |