DE102006054091A1 - Bootstrapping procedure - Google Patents

Bootstrapping procedure Download PDF

Info

Publication number
DE102006054091A1
DE102006054091A1 DE102006054091A DE102006054091A DE102006054091A1 DE 102006054091 A1 DE102006054091 A1 DE 102006054091A1 DE 102006054091 A DE102006054091 A DE 102006054091A DE 102006054091 A DE102006054091 A DE 102006054091A DE 102006054091 A1 DE102006054091 A1 DE 102006054091A1
Authority
DE
Germany
Prior art keywords
server
bootstrapping
bsf
naf
valid
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102006054091A
Other languages
German (de)
Other versions
DE102006054091B4 (en
Inventor
Matthias Dr. Franz
Günther Dr. Horn
Wolf-Dietrich Moeller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Solutions and Networks GmbH and Co KG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102006054091A priority Critical patent/DE102006054091B4/en
Priority to PCT/EP2007/061442 priority patent/WO2008058841A2/en
Publication of DE102006054091A1 publication Critical patent/DE102006054091A1/en
Application granted granted Critical
Publication of DE102006054091B4 publication Critical patent/DE102006054091B4/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Bootstrapping-Verfahren zum Bereitstellen eines gemeinsamen temporär gültigen anwendungsspezifischen Schlüssels (Ks_NAF) für ein Endgerät (UE) und einen Applikationsserver (NAF) mit den folgenden Schritten: Auswählen eines Bootstrapping-Servers (BSF) aus mehreren vorhandenen Bootstrapping-Servern anhand einer von dem Endgerät (UE) empfangenen ersten Nutzerkennung, wobei nach erfolgreicher Authentisierung des Endgerätes (UE) durch den ausgewählten Bootstrapping-Server (BSF) eine temporär gültige zweite Nutzerkennung (B-TID) diesem Endgerät (UE) zugewiesen wird und ein temporär gültiger Basisschlüssel (Ks) durch den ausgewählten Bootstrapping-Server (BSF) gebildet wird und wobei nach Empfang einer von dem Applikationsserver (NAF) stammenden Anforderungsnachricht, welche die gleiche temporär gültige zweite Nutzerkennung (B-TID) aufweist, durch den ausgewählten Bootstrapping-Server (BSF) dieser den temporär gültigen anwendungsspezifischen Schlüssel (Ks_NAF) aus dem temporär gültigen Basisschlüssel (Ks) ableitet und an den Applikationsserver (NAF) überträgt.Bootstrapping procedure to provide a common temporary application-specific key (Ks_NAF) for a terminal (UE) and an application server (NAF) with the following steps: Choose a Bootstrapping Server (BSF) from multiple existing bootstrapping servers from one of the terminal (UE) received first user identifier, wherein after successful Authentication of the terminal (UE) through the selected one Bootstrapping Server (BSF) a temporarily valid second user identifier (B-TID) this terminal (UE) and a temporary base key (Ks) through the selected Bootstrapping Server (BSF) is formed and where after reception a request message originating from the application server (NAF), which the same temporarily valid second user identifier (B-TID) through the selected bootstrapping server (BSF) This temporary valid application-specific key (Ks_NAF) from the temporary valid base key (Ks) and transfers to the application server (NAF).

Figure 00000001
Figure 00000001

Description

Die Erfindung betrifft ein Bootstrapping-Verfahren zum Bereitstellen eines gemeinsamen temporär gültigen anwendungsspezifischen Schlüssels für ein Endgerät und einen Applikationsserver.The The invention relates to a bootstrapping method for providing a common temporary valid application-specific key for a terminal and an application server.

1 zeigt ein Beispiel für eine Netzwerkarchitektur nach dem Stand der Technik. Ein mobiles Endgerät bzw. ein Benutzerendgerät UE (User Equipment) kann über unterschiedliche Zugangsnetze, die im Mobilfunkbereich jeweils mehrere Basisstationen BS und ein Gateway GW aufweisen, und beispielsweise über besuchte Netze mit einem Heimatnetz des Teilnehmers eine Datenverbindung aufbauen. Die Zugangsnetze können dabei unterschiedliche standardisierte Zugangstechnologien aufweisen. Bei einem Zugangsnetz kann es sich beispielsweise um ein 3GPP-Zugangsnetz handeln. In einer GBA (Generic Bootstrapping Architecture) weist das Heimatnetz des Teilnehmers einen Bootstrapping-Server BSF (Bootstrapping Server Function) und einen Home-Subscriber-System-Server HSS auf. 1 shows an example of a network architecture according to the prior art. A mobile terminal or a user terminal UE (user equipment) can establish a data connection via different access networks, which each have a plurality of base stations BS and a gateway GW in the mobile radio area, and, for example, via visited networks with a home network of the subscriber. The access networks can have different standardized access technologies. An access network may be, for example, a 3GPP access network. In a generic bootstrapping architecture (GBA), the subscriber's home network has a bootstrapping server BSS (Bootstrapping Server Function) and a home-subscriber-system server HSS.

2 zeigt den Aufbau eines GBA-Netzwerkes nach dem Stand der Technik. Der Bootstrapping-Server BSF ist über eine Ub-Schnittstelle mit einem Benutzerendgerät UE verbunden. Das Benutzerendgerät ist beispielsweise ein mobiles Endgerät wie ein Handy. Der Bootstrapping-Server BSF ist über eine Zn-Schnittstelle mit einem Applikationsserver NAF (Network Application Function) verbunden, auf dem ein Anwendungsprogramm läuft. Darüber hinaus ist der Bootstrapping-Server BSF über eine Zh-Schnittstelle mit dem Home-Subscriber-System-Server HSS verbunden, in dem ein Langzeitschlüssel bzw. ein langfristig gültiger Schlüssel abgelegt ist. Ferner kann der Bootstrapping-Server BSF über eine DZ-Schnittstelle mit einem Server zur Lokalisierung des zugehörigen Home-Subscriber-System-Servers HSS verbunden sein. Dieser Server zur Lokalisierung eines Home-Subscriber-System-Servers HSS für einen Teilnehmer wird auch als SLF-Server (Subscriber Locator Function) bezeichnet. Bei der GBA-Netzwerkarchitektur wird eine langfristig gültige Sicherheitsbeziehung bzw. ein langfristig gültiger Schlüssel, der dem Benutzerendgerät UE und dem Home-Subscriber-System-Server HSS gemeinsam bekannt ist, dazu benutzt, eine kurzfristig gültigen Sicherheitsbeziehung zwischen dem Benutzerendgerät UE und dem Applikationsserver NAF aufzubauen. Zur Absicherung der Datenverbindung zwischen dem Benutzerendgerät UE und dem Applikationsserver NAF wird dabei ein temporär gültiger Schlüssel aus dem langfristig gültigen Schlüssel abgeleitet. Der Applikationsserver NAF kann sich in dem Heimatnetz des Teilnehmers, in einem besuchten Netzwerk oder an einem sonstigen Ort (3rd party server) befinden. 2 shows the structure of a GBA network according to the prior art. The bootstrapping server BSF is connected to a user terminal UE via a U b interface. The user terminal is, for example, a mobile terminal such as a cell phone. The bootstrapping server BSF is connected via a Z n interface to an application server NAF (Network Application Function) running an application program. In addition, the bootstrapping server BSF is connected via a Z h interface to the home subscriber system server HSS, in which a long-term key or a long-term valid key is stored. Further, the bootstrapping server BSF can be connected via a D Z interface with a server to locate the associated Home Subscriber System server HSS. This server for locating a home subscriber system server HSS for a subscriber is also referred to as a Subscriber Locator Function (SLF) server. In the GBA network architecture, a long-term security relationship or a long-term valid key, which is known to the user terminal UE and the home subscriber system server HSS jointly, is used to establish a short-term security relationship between the user terminal UE and the application server NAF build. To secure the data connection between the user terminal UE and the application server NAF a temporarily valid key is derived from the long-term valid key. The application server NAF can be located in the subscriber's home network, in a visited network or at another location (3 rd party server).

Der Bootstrapping-Server BSF befindet sich stets im Heimatnetz des Teilnehmers und stellt die einzige Komponente innerhalb der GBA-Netzwerkarchitektur dar, die den Home-Subscriber-System-Server HSS kontaktiert.Of the Bootstrapping server BSF is always in the subscriber's home network and represents the only component within the GBA network architecture representing the home subscriber system server HSS contacted.

Sobald der Bootstrapping-Server BSF eine Anforderung des Be-Benutzerendgeräts UE über die Ub-Schnittstelle erhält, lädt er aus dem HSS-Server kryptographische Zwischenschlüssel bzw. abgeleitete Schlüssel über die Zh-Schnittstelle. Diese kryptographischen Zwischenschlüssel werden von dem langzeitig gültigen gemeinsamen Schlüssel bzw. dem Langzeitschlüssel, der in dem HSS-Server abgelegt ist und der auch dem Benutzerendgerät UE bekannt ist, abgeleitet. Anschließend leitet der Bootstrapping-Server BSF auf eine Anfrage des Applikationsserver NAF hin, die er über die Zn-Schnittstelle erhält, einen anwendungsspezifischen kryptographischen Schlüssel von dem kryptographischen Zwischenschlüssel bzw. Basisschlüssel ab und überträgt diese abgeleiteten anwendungsspezifischen Schlüssel an den Applikationsserver NAF. Das Benutzerendgerät UE leitet ebenfalls den gleichen Zwischenschlüssel bzw. Basisschlüssel und die gleichen anwendungsspezifischen kurzzeitig gültigen Schlüssel ab wie der Bootstrapping-Server BSF. Dies ist möglich, da dem Benutzerendgerät UE der langfristig gültige Schlüssel ebenfalls bekannt ist. Nach der Übertragung der anwendungsspezifischen und temporär gültigen Schlüssel an den Applikationsserver NAF verfügen sowohl der Applikationsserver als das Benutzerendgerät UE über die gleichen temporär gültigen anwendungsspezifischen Schlüssel (Ks_NAF) und können diese zur Absicherung einer Datenverbindung über die Ua-Schnittstelle zwischen dem Benutzerendgerät UE und dem Applikationsserver NAF verwenden. In einer GBA-Netzwerkarchitektur können mehrere Home-Subscriber-System-Server HSS vorgesehen werden. Allerdings weist jeder Teilnehmer einen zugehörigen Home-Subscriber-System-Server HSS auf. Dabei ist es möglich, einem Teilnehmer durch Transfer seiner Subskriptionsdaten einen anderen HSS-Server zuzuweisen, ohne das Benutzerendgerät UE neu konfigurieren zu müssen. Damit ein Teilnehmer bzw. ein Benutzerendgerät UE den richtigen Home-Subscriber-System-Server HSS auffinden kann, kontaktiert der Bootstrapping-Server BSF über die DZ-Schnittstelle den SLF(Subscriber Locator Function)-Server unter Verwendung einer langfristig gültigen Teilnehmeridentität. Für den Fall, dass das GBA-Netzwerk nur über einen einzigen Home-Subscriber-System-Server HSS verfügt, kann auf die Anfrage beim SLF-Server verzichtet werden.As soon as the bootstrapping server BSF receives a request from the user terminal UE via the U b interface, it loads cryptographic intermediate keys or derived keys from the HSS server via the Z h interface. These cryptographic intermediate keys are derived from the long-term valid common key or the long-term key which is stored in the HSS server and which is also known to the user terminal UE. Subsequently, the bootstrapping server BSF, in response to a request from the application server NAF, which receives it via the Zn interface, derives an application-specific cryptographic key from the cryptographic intermediate key or base key and transmits these derived application-specific keys to the application server NAF. The user terminal UE also derives the same intermediate key and the same application-specific short-term valid keys as the bootstrapping server BSF. This is possible because the user terminal UE the long-term valid key is also known. After the transfer of application-specific and temporarily valid key to the application server NAF both of the application servers equipped as the user terminal UE on the same temporarily valid application-specific key (Ks_NAF), and can use this to protect a data link over the U a interface between the user terminal UE and the Use application server NAF. In a GBA network architecture, several home subscriber system servers HSS can be provided. However, each subscriber has an associated home subscriber system server HSS. In this case, it is possible to assign a subscriber another HSS server by transferring his subscription data without having to reconfigure the user terminal UE. In order for a participant or a user terminal UE can find the right Home Subscriber System server HSS, the bootstrapping server BSF contacted via the D Z interface to the SLF (Subscriber Locator Function) server using a long-term valid subscriber identity. In the event that the GBA network has only one home subscriber system server HSS, the request to the SLF server can be dispensed with.

Bei einem herkömmlichen GBA-Netzwerk kontaktiert das Benutzerendgerät UE und der Applikationsserver NAF den Bootstrapping-Server BSF, indem sie einen DNS-Namen des Bootstrapping-Servers BSF auf der Grundlage einer Teilnehmeridentität oder einer temporär gültigen Nutzerkennung B-TID ableiten, die auf den Netzwerkbetreiber hinweisen.In a conventional GBA network, the user terminal UE and the application server NAF contact the bootstrapping server BSF by providing a DNS name of the bootstrapping server vers BSF derived on the basis of a subscriber identity or a temporary valid user ID B-TID, which refer to the network operator.

Herkömmliche GBA-Netzwerke verfügen über nur einen Bootstrapping-Server BSF, wobei dieser Bootstrapping-Server BSF bzw. die Bootstrapping-Server-Funktion Teil des Heimatnetzes ist. Nimmt die Anzahl von Teilnehmern für einen Netzwerkprovider bzw. Netzwerkanbieter zu, kann es vorkommen, dass die Verarbeitungskapazität des Bootstrapping-Servers BSF nicht mehr ausreicht. Nun ist es aber wünschenswert für den Netzbetreiber, den bisherigen Bootstrapping-Server BSF weiter betreiben und ihn nur durch einen zusätzlichen Bootstrapping-Server BSF, möglicher Weise von einem Hersteller, ergänzen zu können. Dies ist bei einem herkömmlichen GBA-Netzwerk nicht möglich. Eine ähnliche Situation ergibt sich, wenn, wie in einem herkömmlichen GBA-Netzwerk möglich, der Bootstrapping-Server BSF mit dem HSS-Server integriert ist und der Speicherplatz in dem HSS-Server nicht mehr ausreichend ist. Auch in diesem Fall ist es nicht möglich, das in 2 dargestellte herkömmliche GBA-Netz nach dem Stand der Technik durch Vorsehen weiterer mit einem Bootstrapping-Server integrierter HSS- bzw. Home-Subscriber-System-Server zu erweitern. Eine Erweiterung des herkömmlichen GBA-Netzwerks ist somit nur mit einem sehr großen technischen Aufwand möglich.Conventional GBA networks have only one bootstrapping server BSF, with this bootstrapping server BSF or the bootstrapping server function being part of the home network. If the number of subscribers for a network provider or network provider increases, it may happen that the processing capacity of the bootstrapping server BSF is no longer sufficient. However, it is now desirable for the network operator to continue operating the previous bootstrapping server BSF and to be able to supplement it only by an additional bootstrapping server BSF, possibly by a manufacturer. This is not possible with a traditional GBA network. A similar situation arises when, as is possible in a conventional GBA network, the bootstrapping server BSF is integrated with the HSS server and the storage space in the HSS server is no longer sufficient. Also in this case it is not possible that in 2 illustrated conventional GBA network according to the prior art by providing further integrated with a bootstrapping server integrated HSS or Home Subscriber System server. An extension of the conventional GBA network is thus possible only with a very large technical effort.

Es ist daher die Aufgabe der vorliegenden Erfindung, ein Bootstrapping-Verfahren und einen Bootstrapping-Proxy-Server zu schaffen, die es erlauben, ein GBA-Netzwerk flexibel durch Vorsehen zusätzlicher Bootstrapping-Server BSF zu erweitern.It is therefore the object of the present invention, a bootstrapping method and create a bootstrapping proxy server that will allow a GBA network flexible by providing additional bootstrapping servers To expand BSF.

Diese Aufgabe wird erfindungsgemäß durch ein Bootstrapping-Verfahren mit den im Patentanspruch 1 angegebenen Merkmalen gelöst.These The object is achieved by a Bootstrapping procedure solved with the features specified in claim 1.

Die Erfindung schafft ein Bootstrapping-Verfahren zum Bereitstellen eines gemeinsamen temporär gültigen anwendungsspezifischen Schlüssels (Ks_NAF) für ein Endgerät (UE) und einen Applikationsserver (NAF) mit den folgenden Schritten:

  • – Auswählen eines Bootstrapping-Servers (BSF) aus mehreren vorhandenen Bootstrapping-Servern anhand einer von dem Endgerät (UE) empfangenen ersten Nutzerkennung;
  • – wobei nach erfolgreicher Authentisierung des Endgerätes (UE) durch den ausgewählten Bootstrapping-Server (BSF) eine temporär gültige zweite Nutzerkennung (B-TID) diesem Endgerät (UE) zugewiesen wird und ein temporär gültiger Basisschlüssel (Ks) durch den ausgewählten Bootstrapping-Server (BSF) gebildet wird;
und wobei nach Empfang einer von dem Applikationsserver (NAF) stammenden Anforderungsnachricht, welche die gleiche temporär gültige zweite Nutzerkennung (B-TID) aufweist, durch den ausgewählten Bootstrapping-Server (BSF) dieser den temporär gültigen anwendungsspezifischen Schlüssel (Ks_NAF) aus dem temporär gültigen Basisschlüssel (Ks) ableitet und an den Applikationsserver (NAF) überträgt.The invention provides a bootstrapping method for providing a common temporary application specific key (Ks_NAF) for a terminal (UE) and an application server (NAF), comprising the following steps:
  • Selecting a bootstrapping server (BSF) from a plurality of existing bootstrapping servers based on a first user identifier received by the terminal (UE);
  • - After successful authentication of the terminal (UE) by the selected bootstrapping server (BSF) a temporarily valid second user identifier (B-TID) is assigned to this terminal (UE) and a temporary valid base key (Ks) by the selected bootstrapping server (BSF) is formed;
and wherein upon receipt of a request message originating from the application server (NAF) which has the same temporarily valid second user identifier (B-TID), the selected bootstrapping server (BSF) selects the temporary valid application-specific key (Ks_NAF) from the temporarily valid one Derives base key (Ks) and transmits it to the application server (NAF).

Bei einer bevorzugten Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens wird die erste Nutzerkennung durch eine permanent gültige Nutzerkennung gebildet, wenn diese vorteilhaft ist.at a preferred embodiment the bootstrapping method according to the invention becomes the first user ID by a permanently valid user ID formed, if this is advantageous.

Bei dieser ersten Nutzerkennung handelt es sich vorzugsweise um eine IMPI (IP-Multimedia-Private-Identity).at This first user identifier is preferably a IMPI (IP Multimedia Private Identity).

Bei einer Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens erfolgt die Auswahl des Bootstrapping-Servers BSF durch einen B-SLF(Subscriber Locator Function)-Server.at an embodiment the bootstrapping method according to the invention the selection of the bootstrapping server BSF is performed by a B-SLF (Subscriber Locator Function) server.

Bei einer Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens werden die Nachrichten zwischen dem Endgerät und dem ausgewählten Bootstrapping-Server über einen BSF-Proxy-Server übertragen.at an embodiment the bootstrapping method according to the invention The messages between the terminal and the selected bootstrapping server are transmitted via a BSF proxy server.

Bei einer Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens werden auch die Nachrichten zwischen dem Applikationsserver NAF und dem ausgewählten Bootstrapping-Server BSF über einen BSF-Proxy-Server übertragen.at an embodiment the bootstrapping method according to the invention Also the messages between the application server NAF and the selected one Bootstrapping server BSF over transmit a BSF proxy server.

Bei einer bevorzugten Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens überträgt der B-SLF-Server an den BSF-Proxy-Server eine Adresse des ausgewählten Bootstrapping-Servers.at a preferred embodiment of the bootstrapping method according to the invention transmits the B-SLF server to the BSF proxy server an address of the selected bootstrapping server.

Bei einer Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens speichert der BSF-Proxy-Server die Adresse des ausgewählten Bootstrapping-Servers zwischen.at an embodiment the bootstrapping method according to the invention The BSF proxy server stores the address of the selected bootstrapping server between.

Bei einer Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens authentisiert der ausgewählte Bootstrapping-Server BSF das Endgerät UE mit Hilfe eines Home-Subscriber-System-Server HSS.at an embodiment the bootstrapping method according to the invention authenticates the selected one Bootstrapping server BSF the terminal UE using a home subscriber system server HSS.

Dabei überträgt der Home-Subscriber-System-Server HSS an den ausgewählten Bootstrapping-Server BSF einen Authentisierungsvektor AV.In the process, the Home Subscriber System server transmits HSS at the selected Bootstrapping server BSF an authentication vector AV.

Dieser übertragene Authentisierungsvektor AV weist vorzugsweise eine Authentisierungschallenge, einen Authentisierungsantwort, einen Chiffrierschlüssel (Cipher Key) und einen Integritätsschlüssel (Integrity Key) auf.This transmitted authentication vector AV preferably has an authentication load, an authentication response, a cipher key and an integrity key (Integrity Key).

Bei einer Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens bildet der ausgewählte Bootstrapping-Server BSF den temporär gültigen Basisschlüssel aus dem Chiffrierschlüssel CK und dem Integritätsschlüssel IK.at an embodiment the bootstrapping method according to the invention forms the selected one Bootstrapping server BSF from the temporary base key the encryption key CK and the integrity key IK.

Bei einer Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens generiert der ausgewählte Bootstrapping-Server die temporär gültige zweite Nutzerkennung B-TID.at an embodiment the bootstrapping method according to the invention generates the selected one Bootstrapping server the temporary valid second user ID B-TID.

Bei einer Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens wird die temporär gültige zweite Nutzerkennung B-TID zusammen mit einer Gültigkeitsdauer des gebildeten Basisschlüssels Ks von dem ausgewählten Bootstrapping-Server BSF an den Bootstrapping-Proxy-Server in einer Nachricht übertragen, welcher die temporär gültige zweite Nutzerkennung B-TID und die Gültigkeitsdauer des gebildeten Basisschlüssels Ks zwischenspeichert und anschließend die Nachricht an das Endgerät UE weiterleitet.at an embodiment the bootstrapping method according to the invention will be the temporary valid second user identifier B-TID together with a validity period of the formed base key Ks from the selected one Bootstrapping server BSF to the bootstrapping proxy server in one Transmit message, which the temporarily valid second User ID B-TID and the validity period the formed base key Ks caches and then forwards the message to the terminal UE.

Bei einer Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens überträgt das Endgerät UE bei Anforderung eines Dienstes von dem Applikationsserver NAF die von dem Bootstrapping-Proxy-Server an das Endgerät UE weitergeleitete temporär gültige zweite Nutzerkennung B-TID an den Applikationsserver NAF in einer Dienstanforderungsnachricht.at an embodiment the bootstrapping method according to the invention transmits the terminal UE Requesting a service from the application server NAF from the bootstrapping proxy server to the terminal UE forwarded temporarily valid second User ID B-TID to the application server NAF in a service request message.

Bei einer Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens sendet der Applikationsserver NAF eine Dienstanforderungsnachricht mit der temporär gültigen zweiten Nutzerkennung B-TID an den Bootstrapping-Proxy-Server, welcher die Dienstanforderungsnachricht an den ausgewählten Bootstrapping-Server BSF weiterleitet.at an embodiment the bootstrapping method according to the invention the application server NAF sends a service request message with the temporary valid second user ID B-TID to the bootstrapping proxy server, which the service request message to the selected bootstrapping server BSF forwards.

Bei einer Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens bildet das Endgerät UE den temporär gültigen Basisschlüssel.at an embodiment the bootstrapping method according to the invention forms the terminal UE the temporary valid Base key.

Bei einer Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens leitet das Endgerät UE aus dem temporär gültigen Basisschlüssel Ks den temporär gültigen anwendungsspezifischen Schlüssel Ks_NAF ab.at an embodiment the bootstrapping method according to the invention directs the terminal UE from the temporary valid Basic key Ks the temporary valid application-specific key Ks_NAF.

Bei einer Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens generiert der ausgewählte Bootstrapping-Server BSF die temporär gültige zweite Nutzerkennung B-TID und codiert darin ein, von welchem Bootstrapping-Server BSF die generierte zweite Nutzerkennung B-TID stammt.at an embodiment the bootstrapping method according to the invention generates the selected one Bootstrapping server BSF the temporarily valid second User ID B-TID and encodes in it from which bootstrapping server BSF the generated second user ID B-TID is derived.

Die Erfindung schafft ferner einen Bootstrapping-Proxy-Server für ein GBA(Generic Bootstrapping Architecture)-Netzwerk, welcher Nachrichten zwischen einem Endgerät UE und einem anhand einer permanenten Nutzerkennung ausgewählten Bootstrapping-Server BSF weiterleitet.The The invention further provides a bootstrapping proxy server for a GBA (Generic Bootstrapping Architecture) network, which messages between a terminal UE and a bootstrapping server selected on the basis of a permanent user identifier BSF forwards.

Bei einer Ausführungsform des erfindungsgemäßen Bootstrapping-Proxy-Servers speichert der Bootstrapping-Proxy-Server eine von einem Bootstrapping-Server BSF erhaltene temporär gültige Nutzerkennung B-TID zugeordnet zu dem jeweiligen Bootstrapping-Server BSF ab.at an embodiment the bootstrapping proxy server according to the invention The bootstrapping proxy server stores one from a bootstrapping server BSF obtained temporarily valid User ID B-TID assigned to the respective bootstrapping server BSF off.

Bei einer Ausführungsform des erfindungsgemäßen Bootstrapping-Proxy-Servers leitet der Bootstrapping-Proxy-Server Nachrichten zwischen einem Applikationsserver NAF und dem ausgewählten Bootstrapping-Server BSF weiter.at an embodiment the bootstrapping proxy server according to the invention The bootstrap proxy server routes messages between one Application server NAF and the selected bootstrapping server BSF continues.

Im Weiteren werden bevorzugte Ausführungsformen des erfindungsgemäßen Bootstrapping-Verfahrens und des dabei eingesetzten Bootstrapping-Proxy-Servers unter Bezugnahme auf die beigefügten Figuren zur Erläuterung erfindungswesentlicher Merkmale beschrieben.in the Other preferred embodiments the bootstrapping method according to the invention and the bootstrapping proxy server used with reference on the attached Figures for explanation features essential to the invention described.

Es zeigen:It demonstrate:

1: ein Netzwerk nach dem Stand der Technik; 1 a network of the prior art;

2: die Netzwerkarchitektur eines GBA-Netzwerks nach dem Stand der Technik; 2 : the network architecture of a prior art GBA network;

3: ein Signaldiagramm zur Erläuterung einer möglichen Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens; 3 a signal diagram for explaining a possible embodiment of the bootstrapping method according to the invention;

4: eine erste Ausführungsform eines erfindungsgemäß erweiterten GBA-Netzwerks mit einem BSF-Proxy-Server gemäß der Erfindung; 4 a first embodiment of an inventive extended GBA network with a BSF proxy server according to the invention;

5: eine GBA-Netzwerkarchitektur für die in 4 dargestellte Ausführungsform; 5 : a GBA network architecture for the in 4 illustrated embodiment;

6: eine weitere Ausführungsform eines erfindungsgemäß erweiterten Netzwerks mit einem BSF-Proxy-Server; 6 a further embodiment of an inventive extended network with a BSF proxy server;

7: eine GBA-Netzwerkarchitektur für die in 6 dargestellte Ausführungsform; 7 : a GBA network architecture for the in 6 illustrated embodiment;

8: eine weitere Ausführungsform eines erfindungsgemäß erweiterten Netzwerks mit einem BSF-Proxy-Server. 8th : Another embodiment of an inventive extended network with a BSF proxy server.

Das erfindungsgemäße Bootstrapping-Verfahren dient zum Bereitstellen eines gemeinsamen temporär gültigen anwendungsspezifischen Schlüssels Ks_NAF für ein Endgerät UE und einen Applikationsserver NAF. Bei dem in 3 dargestellten Signaldiagramm sind beispielhaft zwei unterschiedliche Bootstrapping-Server BSF-A und BSF-B vorgesehen. Ein BSF-Proxy-Server ist bei dem erfindungsgemäßen Bootstrapping-Verfahren zur Übertragung von Nachrichten zwischen dem Endgerät UE und einem ausgewählten Bootstrapping-Server BSF vorgesehen. Nachrichten zwischen dem Applikationsserver NAF und dem ausgewählten Bootstrapping-Server werden dabei ebenfalls über den BSF-Proxy-Server übertragen. Die Auswahl des Bootstrapping-Servers BSF erfolgt durch einen Subscriber-Locator-Function-Server B-SLF. Bei dem in 3 dargestellten Beispiel meldet der B-SLF-Server zur Lokalisierung des Bootstrapping-Servers BSF den ersten Bootstrapping-Server BSF-A.The bootstrapping method according to the invention serves to provide a common temporarily valid application-specific key Ks_NAF for a terminal UE and an application tion server NAF. At the in 3 illustrated signal diagram, two different bootstrapping server BSF-A and BSF-B are exemplified. A BSF proxy server is provided in the bootstrapping method according to the invention for the transmission of messages between the terminal UE and a selected bootstrapping server BSF. Messages between the application server NAF and the selected bootstrapping server are also transmitted via the BSF proxy server. The selection of the bootstrapping server BSF is performed by a subscriber locator function server B-SLF. At the in 3 As shown, the B-SLF server reports the first bootstrapping server BSF-A in order to localize the bootstrapping server BSF.

Darüber hinaus weist das Netzwerk bei dem in 3 dargestellten Beispiel zwei Home-Subscriber-System-Server HSS-X und HSS-Y auf, die mittels eines weiteren Subscriber-Location-Function-Server H-SLF lokalisiert werden. Die H-SLF-Funktion übt die Funktion eines herkömmlichen SLF-Server aus.In addition, the network points at the in 3 2, two home subscriber system servers HSS-X and HSS-Y are shown, which are located by means of another subscriber location function server H-SLF. The H-SLF function performs the function of a conventional SLF server.

Bei dem erfindungsgemäßen Verfahren wird zunächst ein Bootstrapping-Server, beispielsweise der Bootstrapping-Server BSF-A, aus einer Gruppe von vorhandenen Bootstrapping-Server, beispielsweise eine aus den Bootstrapping-Servern BSF-A, BSF-B bestehende Gruppe ausgewählt, wobei die Auswahl des Bootstrapping-Server BSF vorzugsweise durch einen entsprechenden SLF-Server B-SLF erfolgt. Die Auswahl des Bootstrapping-Servers BSF erfolgt anhand einer von dem Endgerät UE empfangenen ersten Nutzerkennung. Diese erste Nutzerkennung ist eine permanent gültige bzw. eine langfristige Nutzerkennung. Bei dieser ersten langfristigen Nutzerkennung kann es sich beispielsweise um eine IMPI handeln.at the method according to the invention will be first a bootstrapping server, such as the bootstrapping server BSF-A, from a group of existing bootstrapping servers, for example selected from the bootstrapping servers BSF-A, BSF-B group, wherein the selection of the bootstrapping server BSF preferably by a corresponding SLF server B-SLF. The selection of the bootstrapping server BSF takes place on the basis of a first user identifier received by the terminal UE. This first user ID is a permanently valid or a long-term User identification. In this first long-term user ID can it is, for example, an IMPI.

Nach erfolgreicher Authentisierung des Endgeräts UE wird durch den ausgewählten Bootstrapping-Server BSF eine temporär gültige zweite Nutzerkennung B-TID diesem Endgerät UE zugewiesen und ein temporär gültiger Basisschlüssel durch den ausgewählten Bootstrapping-Server BSF gebildet.To successful authentication of the UE is done by the selected bootstrapping server BSF a temporary valid second user identifier B-TID assigned to this terminal UE and a temporary valid base key the selected one Bootstrapping server BSF formed.

Nach Empfang einer von dem Applikationsserver NAF erhaltenen Anforderungsnachricht, welche die gleiche temporär gültige zweite Nutzerkennung B-TID aufweist, durch den ausgewählten Bootstrapping-Server BSF leitet dieser Bootstrapping-Server BSF den temporär gültigen anwendungsspezifischen Schlüssel Ks_NAF aus dem temporär gültigen Basisschlüssel Ks ab und überträgt diesen temporär gültigen anwendungsspezifischen Schlüssel Ks_NAF an den Applikationsserver NAF.To Receiving a request message received from the application server NAF, which the same temporarily valid second user identifier B-TID through the selected bootstrapping server BSF directs this bootstrapping server BSF temporary application-specific key Ks_NAF from the temporary valid base key Ks and transfers it temporary valid application-specific key Ks_NAF to the application server NAF.

Im Folgenden wird der genaue Ablauf einer möglichen Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens unter Bezugnahme auf die 3 beschrieben.The following describes the exact sequence of a possible embodiment of the bootstrapping method according to the invention with reference to FIG 3 described.

In einem ersten Schritt S1 überträgt das Benutzerendgerät UE in einer Nachricht eine langfristig gültige Nutzerkennung. Diese erste Nutzerkennung ist eine permanent bzw. langfristig gültige Nutzerkennung, beispielsweise eine IMPI. Das Benutzerendgerät UE initiiert somit den Bootstrapping-Vorgang, wobei es beispielsweise einen DNS-Namen des BSF-Servers bestimmt. Ein DNS-Server liefert die IP-Adresse des BSF-Proxy-Servers, und das Benutzerendgeräts UE sendet daraufhin beispielsweise eine http-Anforderung über die Ub-Schnittstelle an den BSF-Proxy-Server. Für ein 2G-GBA-Netzwerk baut das Benutzerendgerät UE zunächst einen TLS-Tunnel zu dem BSF-Proxy-Server auf.In a first step S1, the user terminal UE transmits a long-term valid user identifier in a message. This first user identifier is a permanent or long-term valid user identifier, for example an IMPI. The user terminal UE thus initiates the bootstrapping process, wherein it determines, for example, a DNS name of the BSF server. A DNS server returns the IP address of the BSF proxy server and the user terminal UE, for example, then sends an http request through the Ub interface to the BSF proxy server. For a 2G GBA network, the user terminal UE first sets up a TLS tunnel to the BSF proxy server.

Sobald der BSF-Proxy-Server die Langzeit-Nutzerkennung bzw. die permanent gültige erste Nutzerkennung von dem Benutzerendgerät im Schritt S1 erhalten hat, überträgt der BSF-Proxy-Server im Schritt S2 eine Nachricht, welche diese permanent gültige erste Nutzerkennung enthält, an den Subscriber-Location-Function-Server B-SLF über das DZ*-Interface. Bei einer Ausführungsform leitet der BSF-Proxy-Server lediglich die empfangene http-Anforderungsnachricht an den B-SLF-Server weiter. Das DZ-Interface, wie es im 3GPP-Standard spezifiziert ist, wird diesbezüglich erweitert.As soon as the BSF proxy server has received the long-term user ID or the permanently valid first user ID from the user terminal in step S1, the BSF proxy server transmits a message which contains this permanently valid first user identifier to the Subscriber-Location Function server B-SLF via the D Z * interface. In one embodiment, the BSF proxy server merely forwards the received http request message to the B-SLF server. The D Z -Interface, as specified in the 3GPP standard is, in this respect extended.

Der Subscriber-Location-Function-Server B-SLF sendet im Schritt S3 eine Nachricht zurück an den BSF-Proxy-Server, welche den Namen des ausgewählten Bootstrapping-Servers BSF bzw. eine Adresse des ausgewählten Bootstrapping-Servers BSF enthält. Bei dem in 3 dargestellten Beispiel wird die Adresse des Bootstrapping-Servers BSF-A an den BSF-Proxy-Server übertragen. Um den korrekten Namen des BSF-Servers bzw. die korrekte Adresse des BSF-Servers zu bestimmen, geht der Subscriber-Location-Function-Server B-SLF wie folgt vor. Der B-SLF-Server bestimmt zunächst die zu dem Teilnehmer gehörigen Subscriber-Server HSS. Anschließend bestimmt der B-SLF-Server anhand einer abgelegten Tabelle den zu dem ermittelten HSS-Server zugehörigen eingetragenen BSF-Server und sendet eine entsprechende Nachricht an den BSF-Proxy-Server, etwa unter Verwendung einer http-Redirect-Funktion.The subscriber location function server B-SLF sends in step S3 a message back to the BSF proxy server, which contains the name of the selected bootstrapping server BSF or an address of the selected bootstrapping server BSF. At the in 3 As shown, the address of the bootstrapping server BSF-A is transmitted to the BSF proxy server. To determine the correct name of the BSF server or the correct address of the BSF server, the Subscriber Location Function server B-SLF proceeds as follows. The B-SLF server first determines the subscribers HSS belonging to the subscriber. The B-SLF server then uses a stored table to determine the registered BSF server associated with the determined HSS server and sends a corresponding message to the BSF proxy server, for example using an http redirect function.

Bei einer möglichen Ausführungsform speichert der BSF-Proxy-Server den erhaltenen BSF-Namen bzw. die Adresse des ausgewählten BSF-Servers ab, wobei der BSF-Name bzw. die BSF-Adresse zugeordnet zu der empfangenen langfristig gültigen ersten Nutzerkennung des Teilnehmers abgespeichert wird. Das Abspeichern des BSF-Namens ist nicht zwingend notwendig, vermeidet jedoch eine wiederholte Übertragung von Anforderungen seitens des BSF-Proxy-Servers über die DZ*-Schnittstelle. Der BSF-Proxy-Server leitet die von dem Endgerät UE erhaltene Anforderung für den gewünschten Dienst an den ausgewählten BSF-Server im Schritt S4 weiter. Bei dem in 3 dargestellten Beispiel wird die Anforderung im Schritt S4 von dem BSF-Proxy-Server an den BSF-Server BSF-A weitergeleitet.In one possible embodiment, the BSF proxy server stores the received BSF name or the address of the selected BSF server, wherein the BSF name or the BSF address assigned to the received long-term valid first user ID of the subscriber is stored , Storing the BSF name is not mandatory, but avoids one Repeated transmission of requests from the BSF proxy server via the D Z * interface. The BSF proxy server forwards the request for the desired service received from the UE to the selected BSF server in step S4. At the in 3 In the example shown, the request is forwarded from the BSF proxy server to the BSF server BSF-A in step S4.

Der ausgewählte BSF-Server BSF-A verarbeitet die empfangene Nachricht entsprechend dem 3GPP-Standard, wobei der BSF- Server seinen eigenen DNS-Namen durch den DNS-Namen des BSF-Proxy-Servers ersetzt.Of the selected BSF server BSF-A processes the received message accordingly the 3GPP standard, the BSF server replaces its own DNS name with the DNS name of the BSF proxy server.

In einem weiteren Schritt S5 überträgt der ausgewählte BSF-Server eine HSS-Anforderungsnachricht an einen Subscriber-Location-Function-Server H-SLF. Der H-SLF-Server liefert dem anfragenden BSF-Server BSF-A im Schritt S6 die Adresse des Home-Subscriber-System-Servers HSS. In dem dargestellten Beispiel ist dies die Adresse des Home-Subscriber-Servers HSS-Y. Auf eine im Schritt S7 übertragene Anforderung hin sendet der HSS-Y einen Authentisierungsvektor AV an den anfragenden Bootstrapping-Server BSF-A im Schritt S8. Der an den ausgewählten Bootstrapping-Server BSF-A übertragene Authentisierungsvektor AV weist bei einer Ausführungsform eine Authentisierungschallenge, eine Authentisierungsantwort bzw. -Response, einen Chiffrierschlüssel CK (Cipher Key) und einen Integritätsschlüssel IK (Integrity Key) auf.In In a further step S5, the selected BSF server transmits an HSS request message to a Subscriber Location Function server H-SLF. The H-SLF server provides the requesting BSF server BSF-A in step S6, the address of the home subscriber system server HSS. In the example shown, this is the address of the home subscriber server HSS-Y. To a transferred in step S7 In response to the request, the HSS-Y sends an authentication vector AV to the requesting bootstrapping server BSF-A in step S8. Of the at the selected Bootstrapping server BSF-A transmitted Authentication vector AV has an authentication scheme in one embodiment, an authentication response, an encryption key CK (Cipher key) and an integrity key IK (Integrity Key).

Die in dem Authentisierungsvektor AV empfangene Authentisierungschallenge wird im Schritt S9 von dem Bootstrapping-Server BSF-A an den BSF-Proxy-Server übertragen und von dort im Schritt S10 an das Benutzerendgerät UE. Das Benutzerendgerät UE berechnet eine Response bzw. eine Authentisierungsantwort und überträgt diese im Schritt S11 an den BSF-Proxy-Server, der diese Nachricht im Schritt S12 an den BSF-Server BSF-A weiterleitet. Der BSF- bzw. Bootstrapping-Server BSF-A überprüft, ob die von dem Benutzerendgerät UE empfangene Authentisierungsantwort korrekt ist. Anschließend generiert der ausgewählte Bootstrapping-Server eine temporär gültige zweite Nutzerkennung B-TID und überträgt diese im Schritt S13 an den BSF-Proxy-Server. Darüber hinaus bildet der ausgewählte Bootstrapping-Server BSF-A einen temporär gültigen Basisschlüssel BSF aus dem Chiffrierschlüssel CK und aus dem Integritätsschlüssel IK des Authentisierungsvektors AV, den er im Schritt S8 von dem Home-Subscriber-System-Server HSS-Y erhalten hat.The Authentication noise received in the authentication vector AV is transmitted from the bootstrapping server BSF-A to the BSF proxy server in step S9 and from there to the user terminal UE in step S10. The user terminal UE calculates and transmits a response or an authentication response in step S11 to the BSF proxy server, which forwards this message to the BSF server BSF-A in step S12. Of the BSF or Bootstrapping server BSF-A checks whether the received from the user terminal UE Authentication response is correct. Then the selected bootstrapping server generates a temporary valid second user ID B-TID and transmits them in step S13 to the BSF proxy server. In addition, the selected bootstrapping server forms BSF-A a temporary valid key BSF from the encryption key CK and from the integrity key IK of the authentication vector AV, which it receives in step S8 from the home subscriber system server HSS-Y received.

Der Bootstrapping-Proxy-Server BSF-Proxy erhält im Schritt S13 die temporär gültige zweite Nutzerkennung B-TID und die Gültigkeitsdauer (Key Lifetime) des gebildeten Basisschlüssels Ks von dem ausgewählten Bootstrapping-Server BSF-A und leitet die temporär gültige zweite Nutzerkennung B-TID zusammen mit der Gültigkeitsdauer an das Benutzerendgerät UE im Schritt S14 weiter. Bei einer möglichen Ausführungsform speichert der Bootstrapping-Proxy-Server die temporär gültige zweite Nutzerkennung B-TID und die Gültigkeitsdauer des gebildeten Basisschlüssels Ks zwischen, bevor er diese im Schritt S14 weiterleitet. Dabei speichert der Bootstrapping-Proxy-Server vorzugsweise auch die BSF-Namen für die Gültigkeitsdauer der Nutzerkennung B-TID und des Basisschlüssels K zwischen.Of the Bootstrapping proxy server BSF proxy receives the temporarily valid second in step S13 User ID B-TID and the validity period (Key Lifetime) of the formed base key Ks from the selected bootstrapping server BSF-A and derives the temporary valid second user identifier B-TID together with the validity period to the user terminal UE in Step S14 on. In one possible embodiment The bootstrapping proxy server stores the temporary second one User ID B-TID and the validity period the formed base key Ks between, before he forwards them in step S14. It saves the bootstrap proxy server preferably also the BSF name for the period of validity of the user identifier B-TID and the base key K between.

Möchte das Benutzerendgerät UE eine Anwendung bzw. einen Dienst nutzen, sendet es eine Dienstanforderungsnachricht im Schritt S15 an den Applikationsserver NAF. Der Applikationsserver überträgt eine Anforderung für einen temporär gültigen anwendungsspezifischen Schlüssel Ks_NAF anschließend im Schritt S16 an den BSF-Proxy-Server, der diese Anforderung im Schritt Si7 an den ausgewählten Bootstrapping-Server BSF-A weiterleitet. Der Bootstrapping-Server BSF-A leitet den temporär gültigen anwendungsspezifischen Schlüssel Ks_NAF aus dem temporär gültigen Basisschlüssel Ks ab und überträgt diesen temporär gültigen anwendungsspezifischen Schlüssel Ks_NAF im Schritt S18 an den BSF-Proxy-Server, der diesen zur Verfügung gestellten temporär gültigen anwendungsspezifischen Schlüssel Ks_NAF im Schritt S19 an den Applikationsserver NAF weiterleitet. Nach der gegenseitigen Authentisierung im Schritt S20 erfolgt im Schritt S21 ein kryptographisch gesicherter Datenaustausch zwischen dem Benutzerendgerät UE und dem Applikationsserver NAF über die Schnittstelle Ua unter Verwendung des temporär gültigen anwendungsspezifischen Schlüssels Ks_NAF, der sowohl dem Benutzerendgerät UE als auch dem Applikationsserver NAF bekannt ist. Der Applikationsserver NAF erhält den temporär gültigen anwendungsspezifischen Schlüssel Ks_NAF von dem ausgewählten Bootstrapping- Server BSF-A. Das Benutzerendgerät UE leitet den temporär gültigen anwendungsspezifischen Schlüssel Ks_NAF aus dem temporär gültigen Basisschlüssel Ks selbst ab.If the user terminal UE wishes to use an application or service, it sends a service request message to the application server NAF in step S15. The application server then transmits a request for a temporary valid application-specific key Ks_NAF in step S16 to the BSF proxy server, which forwards this request to the selected bootstrapping server BSF-A in step Si7. The bootstrapping server BSF-A derives the temporarily valid application-specific key Ks_NAF from the temporarily valid base key Ks and transmits this temporarily valid application-specific key Ks_NAF in step S18 to the BSF proxy server, which provides this temporary valid application-specific key Ks_NAF in step S19 to the application server NAF forwards. After the mutual authentication in step S20, in step S21 a cryptographically secured data exchange takes place between the user terminal UE and the application server NAF via the interface U a using the temporarily valid application-specific key Ks_NAF, which is known to both the user terminal UE and the application server NAF. The application server NAF receives the temporarily valid application-specific key Ks_NAF from the selected bootstrapping server BSF-A. The user terminal UE derives the temporary valid application-specific key Ks_NAF from the temporarily valid base key Ks itself.

4 zeigt eine mögliche Ausführungsform eines erfindungsgemäß erweiterten GBA-Netzwerks, das einen BSF-Proxy-Server enthält. Bei der in 4 dargestellten Ausführungsform sind mehrere Bootstrapping-Server BSF vorgesehen, die jeweils einen zugehörigen Home-Subscriber-System-Server HSS aufweisen. Beispielsweise ist die Bootstrapping-Server-Function BSF in dem HSS-Server integriert. 4 shows a possible embodiment of a GBA network extended according to the invention, which contains a BSF proxy server. At the in 4 illustrated embodiment, a plurality of bootstrapping server BSF are provided, each having an associated home subscriber system server HSS. For example, the bootstrapping server function BSF is integrated in the HSS server.

5 zeigt eine GBA-Netzwerkarchitektur für die in 4 dargestellte Ausführungsform. 5 shows a GBA network architecture for the in 4 illustrated embodiment.

6 zeigt eine weitere Ausführungsform eines erfindungsgemäß erweiterten GBA-Netzwerks, wobei in dieser Ausführungsform ebenfalls mehrere BSF-Server vorgesehen sind, die mit einem gemeinsamen BSF-Proxy-Server kommunizieren. Bei der in 6 dargestellten Ausführungsform kann jeder BSF- bzw. Bootstrapping-Server mit unterschiedlichen Home-Subscriber-Servern HSS Daten austauschen. Jeder BSF-Server kann mit mehreren HSS-Servern verbunden sein und jeder HSS-Server kann mit verschiedenen BSF-Servern verbunden sein. Da jeder BSF-Server bei der in 6 dargestellten Ausführungsform mit unterschiedlichen HSS-Servern Daten austauschen kann, benötigt er eine Subscriber-Location-Function H-SLF zum Auffinden des zugehörigen HSS-Servers. 6 shows a further embodiment ei nes extended according to the invention GBA network, in this embodiment, also several BSF server are provided, which communicate with a common BSF proxy server. At the in 6 In the embodiment shown, each BSF or bootstrapping server can exchange HSS data with different home-subscriber servers. Each BSF server may be connected to multiple HSS servers and each HSS server may be connected to different BSF servers. Since every BSF server at the in 6 illustrated embodiment with different HSS servers can exchange data, he needs a Subscriber Location Function H-SLF to find the associated HSS server.

7 zeigt eine GBA-Netzwerkarchitektur für die in 6 dargestellte Ausführungsform. Wie man aus 7 erkennen kann, ist der BSF- bzw. Bootstrapping-Server über eine eigene Schnittstelle DZ mit einem Subscriber-Location-Function-Server H-SLF verbunden zum Auffinden des Home-Subscriber-Servers HSS. Der BSF-Proxy-Server ist seinerseits mit einem B-SLF-Server über eine DZ*-Schnittstelle verbunden zum Auffinden des korrekten BSF-Servers. 7 shows a GBA network architecture for the in 6 illustrated embodiment. How to get out 7 can recognize the BSF or bootstrapping server is connected via its own interface D Z with a subscriber location function server H-SLF to find the home subscriber server HSS. The BSF proxy server is in turn connected to a B-SLF server via a D Z * interface for finding the correct BSF server.

Bei einer Ausführungsform des erfindungsgemäßen Bootstrapping-Verfahrens generiert der ausgewählte Bootstrapping-Server BSF die temporär gültige zweite Nutzerkennung B-TID und codiert darin ein, von welchem Bootstrapping-Server BSF die generierte zweite Nutzerkennung B-TID stammt. Dies ermöglicht, dass der Applikationsserver NAF direkt auf den BSF-Server zugreifen kann und dass der BSF-Proxy-Server nicht die temporär gültige zweite Nutzerkennung B-TID sowie die zugehörigen Gültigkeitsdauern abspeichern muss.at an embodiment the bootstrapping method according to the invention generates the selected one Bootstrapping server BSF the temporarily valid second User ID B-TID and encodes in it from which bootstrapping server BSF the generated second user ID B-TID is derived. This makes possible, that the application server NAF directly access the BSF server and that the BSF proxy server does not have the temporarily valid second userid B-TID and the associated lifetimes must save.

8 zeigt eine weitere Ausführungsform des erfindungsgemäß erweiterten GBA-Netzwerks, wobei jeder BSF- bzw. Bootstrapping-Server mit mehr als einem Home-Subscriber-Server verbunden sein kann. Alle BSF-Server sowie der BSF-Proxy-Server sind lokal konfiguriert mit einem BSF-Namen, wobei der Name des BSF-Proxy-Servers gemäß den heutigen GBA-Spezifikationen standardisiert ist. Alle DNS-Server liefern auf Anfrage die IP-Adresse des Proxy-Servers. Auf Anfrage liefert der B-SLF-Server den DNS-Namen oder die IP-Adresse des ausgewählten BSF-Servers für einen vorgegebenen Teilnehmer, beispielsweise aufgrund der gegebenen IMPI. Der gelieferte DNS-Name ist unterschiedlich von dem in heutigen GBA-Spezifikationen standardisierten BSF-Namen. Bei der in 8 dargestellten Ausführungsform initiiert das Benutzerendgerät UE den Bootstrapping-Vorgang und bestimmt den DNS-Namen des Bootstrapping-Servers BSF, der in dieser Ausführungsform auf den BSF-proxy verweist, was dem Benutzerendgerät jedoch nicht bekannt sein muss. Anschließend sendet das Benutzerendgerät UE einen ersten http-Request über die Ub-Schnittstelle. Für den Fall einer 2G-GBA-Netzwerkarchitektur baut das Benutzerendgerät UE einen TLS-Tunnel zu dem BSF-Proxy-Server auf. Die http-Anforderung erreicht den BSF-Proxy-Server, da der DNS-Name des Bootstrapping-Servers BSF in die IP-Adresse des BSF-Proxy-Servers übersetzt wird. Der BSF-Proxy-Server überträgt eine Nachricht mit der langfristig gültigen ersten Nutzerkennung IMPI über ein DZ*-Interface an den B-SLF-Server. Der B-SLF-Server sendet eine Nachricht zurück an den BSF-Proxy-Server, welche den DNS-Namen oder die IP-Adresse des für den Teilnehmer gültigen BSF-Servers enthält. Diese DNS-Nachricht bzw. die IP-Adresse, die zu der Teilnehmeridentität gehört, kann durch den BSF-Proxy-Server gespeichert werden. 8th shows another embodiment of the invention extended GBA network, each BSF or Bootstrapping server can be connected to more than one home subscriber server. All BSF servers and the BSF proxy server are locally configured with a BSF name, whereby the name of the BSF proxy server is standardized according to today's GBA specifications. All DNS servers provide the IP address of the proxy server on request. Upon request, the B-SLF server will provide the DNS name or IP address of the selected BSF server for a given subscriber, for example, given the given IMPI. The supplied DNS name is different from the BSF name standardized in today's GBA specifications. At the in 8th In the illustrated embodiment, the user terminal UE initiates the bootstrapping process and determines the DNS name of the bootstrapping server BSF, which in this embodiment refers to the BSF proxy, which, however, need not be known to the user terminal. Subsequently, the user terminal UE sends a first http request via the U b interface. In the case of a 2G GBA network architecture, the user terminal UE sets up a TLS tunnel to the BSF proxy server. The http request reaches the BSF proxy server because the DNS name of the bootstrapping server BSF is translated into the IP address of the BSF proxy server. The BSF proxy server transmits a message to the long-term valid first user identifier IMPI a D Z * -Interface to the B SLF server. The B-SLF server sends a message back to the BSF proxy server containing the DNS name or IP address of the BSF server valid for the subscriber. This DNS message or the IP address associated with the subscriber identity may be stored by the BSF proxy server.

Der BSF-Proxy-Server leitet die ursprüngliche von dem Benutzerendgerät empfangene http-Anforderung an den BSF- bzw. Bootstrapping-Server weiter, der durch den B-SLF-Server angegeben ist. Falls die Anforderung für ein 2G-GBA-Netzwerk besteht und der BSF-Server einen TLS-Tunnel fordert, wird dieser aufgebaut. Die übertragene Nachricht wird durch den BSF- bzw. Bootstrapping-Server verarbeitet und es wird eine Antwort an den BSF-Proxy-Server übertragen, welcher diese Nachricht ohne Veränderungen an das Benutzerendgerät UE weiterleitet. Das Benutzerendgerät UE verarbeitet die empfangene Nachricht und sendet eine weitere http-Anforderung an den BSF-Proxy-Server, welcher diese an den korrekten Bootstrapping-Server BSF weiterleitet. Der BSF-Server verarbeitet die empfangene Nachricht und sendet eine Antwort an den BSF-Proxy-Server zurück, der die temporär gültigen zweiten Nutzerkennung B-TID und die zugehörige Gültigkeitsdauer zusammen mit der IP-Adresse des BSF-Servers speichert. Der BSF-Proxy-Server leitet dann die Nachricht unverändert an das Benutzerendgerät UE weiter, wobei nach Ablauf der Gültigkeitsdauer alle zu der temporär gültigen zweiten Nutzerkennung B-TID gehörigen Einträge durch den BSF-Proxy-Server gelöscht werden.Of the BSF proxy server forwards the original http request received from the user terminal to the BSF or bootstrapping server passing through the B-SLF server is specified. If the request is for a 2G GBA network and the BSF server requests a TLS tunnel, it is set up. The transferred Message is sent by the BSF or bootstrapping server processed and a response is transmitted to the BSF proxy server, which this message without changes to the user terminal UE forwards. The user terminal UE processes the received Message and sends another http request to the BSF proxy server, which forwards them to the correct bootstrapping server BSF. The BSF server processes the received message and sends one Response to the BSF proxy server back, the temporary valid second user ID B-TID and the associated validity period together with the IP address of the BSF server stores. The BSF proxy server then routes the message unchanged to the user terminal UE further, whereby after expiration of the validity all to the temporary valid second user identification B-TID belonging Posts deleted by the BSF proxy server become.

Bei einer weiteren Ausführungsform ist der DNS-Server, der auf die DNS-Anfragen antwortet, derart konfiguriert, dass die DNS-Anforderung für den standardisierten BSF-Namen in die IP-Adresse des jeweiligen BSF-Servers übersetzt werden, anstatt in die IP-Adresse des BSF-Proxy-Servers.at a further embodiment is the DNS server that responds to the DNS requests configured to that the DNS request for the standardized BSF name translated into the IP address of the respective BSF server instead of the IP address of the BSF proxy server.

Bei dem erfindungsgemäßen Netzwerk ist es möglich, mehrere BSF-Server bzw. Bootstrapping-Server vorzusehen, ohne dass dies für das Benutzerendgerät UE und den Applikationsserver NAF bemerkbar ist. Das erfindungsgemäße Netzwerk ist abwärts kompatibel, da die Benutzerendgeräte UE und die Applikations server NAF die Schnittstellen Ua, Ub, Zn in gewohnter Weise nutzen können.In the network according to the invention, it is possible to provide a plurality of BSF servers or bootstrapping servers, without this being noticeable for the user terminal UE and the application server NAF. The network according to the invention is downwardly compatible, since the user terminals UE and the application servers NAF have the interfaces U a , U b , Z n can use in the usual way.

Claims (22)

Bootstrapping-Verfahren zum Bereitstellen eines gemeinsamen temporär gültigen anwendungsspezifischen Schlüssels (Ks_NAF) für ein Endgerät (UE) und einen Applikationsserver (NAF) mit den folgenden Schritten: (a) Auswählen eines Bootstrapping-Servers (BSF) aus mehreren vorhandenen Bootstrapping-Servern anhand eines von dem Endgerät (UE) empfangenen ersten Nutzerkennung; (b) wobei nach erfolgreicher Authentisierung des Endgerätes (UE) durch den ausgewählten Bootstrapping-Server (BSF) eine temporär gültige zweite Nutzerkennung (B-TID) diesem Endgerät (UE) zugewiesen wird und ein temporär gültiger Basisschlüssel (Ks) durch den ausgewählten Bootstrapping-Server (BSF) und das Endgerät (UE) gebildet wird; (c) und wobei nach Empfang einer von dem Applikationsserver (NAF) stammenden Anforderungsnachricht, welche die gleiche temporär gültige zweite Nutzerkennung (B-TID) aufweist, durch den ausgewählten Bootstrapping-Server (BSF) dieser den temporär gültigen anwendungsspezifischen Schlüssel (Ks_NAF) aus dem temporär gültigen Basisschlüssel (Ks) ableitet und an den Applikationsserver (NAF) überträgt.Bootstrapping method for providing a common temporary valid application-specific key (Ks_NAF) for a terminal (UE) and an application server (NAF) with the following steps: (A) Choose a bootstrapping server (BSF) from multiple existing bootstrapping servers one of the terminal (UE) received first user identifier; (b) where after successful Authentication of the terminal (UE) through the selected one Bootstrapping Server (BSF) a temporarily valid second user identifier (B-TID) this terminal (UE) and a temporary base key (Ks) through the selected Bootstrapping server (BSF) and the terminal (UE) is formed; (C) and upon receipt of one from the application server (NAF) originating Request message containing the same temporary valid second user ID (B-TID) through the selected bootstrapping server (BSF) this temporary application-specific Key (Ks_NAF) from the temporary valid Basic key (Ks) and transfers to the application server (NAF). Bootstrapping-Verfahren nach Anspruch 1, wobei die erste Nutzerkennung durch eine permanent gültige Nutzerkennung gebildet wird.The bootstrapping method of claim 1, wherein the first user identifier formed by a permanently valid user ID becomes. Bootstrapping-Verfahren nach Anspruch 2, wobei die erste Nutzerkennung durch eine IMPI (IP-Multimedia-Private-Identity) gebildet wird.A bootstrapping method according to claim 2, wherein said first user ID through an IMPI (IP Multimedia Private Identity) is formed. Bootstrapping-Verfahren nach Anspruch 1, wobei die Auswahl des Bootstrapping-Servers (BSF) durch einen B-SLF(Subscriber Location Function)-Server erfolgt.The bootstrapping method of claim 1, wherein the Selection of Bootstrapping Server (BSF) by a B-SLF (Subscriber Location Function) server takes place. Bootstrapping-Verfahren nach Anspruch 1, wobei Nachrichten zwischen dem Endgerät (UE) und dem ausgewählten Bootstrapping-Server (BSF) über einen BSF-Proxy-Server übertragen werden.The bootstrapping method of claim 1, wherein messages between the terminal (UE) and the selected one Bootstrapping Server (BSF) via a Transfer BSF proxy server become. Bootstrapping-Verfahren nach Anspruch 1, wobei Nachrichten zwischen dem Applikationsserver (NAF) und dem ausgewählten Bootstrapping-Server (BSF) über einen BSF-Proxy-Server übertragen werden.The bootstrapping method of claim 1, wherein messages between the application server (NAF) and the selected bootstrapping server (BSF) via a Transfer BSF proxy server become. Bootstrapping-Verfahren nach Anspruch 4 bis 6, wobei der B-SLF-Server an den BSF-Proxy-Server eine Adresse des ausgewählten Bootstrapping-Servers (BSF) überträgt.Bootstrapping method according to claim 4 to 6, wherein the B-SLF server to the BSF proxy server an address of the selected bootstrapping server (BSF) transmits. Bootstrapping-Verfahren nach Anspruch 7, wobei der BSF-Proxy-Server die Adresse des ausgewählten Bootstrapping-Servers (BSF) zwischenspeichert.The bootstrapping method of claim 7, wherein the BSF proxy server The address of the selected bootstrap server (BSF). Bootstrapping-Verfahren nach Anspruch 1, wobei der ausgewählte Bootstrapping-Server (BSF) das Endgerät (UE) mit Hilfe eines Home-Subscriber-System-Server (HSS) authentisiert.The bootstrapping method of claim 1, wherein the selected Bootstrapping Server (BSF) the terminal (UE) using a home subscriber system server (HSS) authenticated. Bootstrapping-Verfahren nach Anspruch 9, wobei der Home-Subscriber-System-Server (HSS) an den ausgewählten Bootstrapping-Server (BSF) einen Authentisierungsvektor (AV) überträgt.The bootstrapping method of claim 9, wherein the Home Subscriber System Server (HSS) to the selected bootstrapping server (BSF) transmits an authentication vector (AV). Bootstrapping-Verfahren nach Anspruch 10, wobei der an den ausgewählten Bootstrapping-Server (BSF) übertragene Authentisierungsvektor (AV) eine Authentisierungs-Challenge, eine Authentisierungsantwort, einen Chiffrierschlüssel (Cipher Key CK) und einen Integritätsschlüssel (integrity key IK) aufweist.Bootstrapping method according to claim 10, in which the one at the selected Bootstrapping Server (BSF) Authentication Vector (AV) an authentication challenge, a Authentication response, an encryption key (Cipher Key CK) and an integrity key (integrity key IK). Bootstrapping-Verfahren nach Anspruch 11, wobei der ausgewählte Bootstrapping-Server (BSF) den temporär gültigen Basisschlüssel (Ks) aus dem Chiffrierschlüssel (CK) und aus dem Integritätsschlüssel (IK) bildet.The bootstrapping method of claim 11, wherein the selected one Bootstrapping Server (BSF) the temporary base key (Ks) from the encryption key (CK) and from the integrity key (IK) forms. Bootstrapping-Verfahren nach Anspruch 1, wobei der ausgewählte Bootstrapping-Server (BSF) die temporär gültige zweite Nutzerkennung (B-TID) generiert.The bootstrapping method of claim 1, wherein the selected Bootstrapping Server (BSF) the temporarily valid second user identifier (B-TID) generated. Bootstrapping-Verfahren nach Anspruch 13, wobei die temporär gültige zweite Nutzerkennung (B-TID) zusammen mit einer Gültigkeitsdauer des gebildeten Basisschlüssels (Ks) von dem ausgewählten Bootstrapping-Server (BSF) an den Bootstrapping-Proxy-Server in einer Nachricht übertragen wird, welcher die temporär gültige zweite Nutzerkennung (B-TID) und die Gültigkeitsdauer des gebildeten Basisschlüssels (Ks) zwischenspeichert und anschließend die Nachricht an das Endgerät (UE) weiterleitet.The bootstrapping method of claim 13, wherein the temporary valid second user identifier (B-TID) together with a validity period the formed base key (Ks) from the selected bootstrapping server (BSF) is transmitted to the bootstrapping proxy server in a message, which the temporary valid second user ID (B-TID) and the validity period the formed base key (Ks) and then forward the message to the terminal (UE). Bootstrapping-Verfahren nach Anspruch 14, wobei das Endgerät (UE) bei Anforderung eines Dienstes von dem Applikationsserver (NAF) die von dem Bootstrapping-Proxy-Server an das Endgerät (UE) weitergeleitete temporär gültige zweite Nutzerkennung (B-TID) an den Applikationsserver (NAF) in einer Dienstanforderungsnachricht überträgt.The bootstrapping method of claim 14, wherein the terminal (UE) when requesting a service from the application server (NAF) that from the bootstrap proxy server to the terminal (UE) forwarded temporarily valid second user ID (B-TID) to the application server (NAF) in one Service request message transmits. Bootstrapping-Verfahren nach Anspruch 15, wobei der Applikationsserver (NAF) die Dienstanforderungsnachricht mit der temporär gültigen zweiten Nutzerkennung (B-TID) an den Bootstrapping-Proxy-Server sendet, welcher die Dienstanforderungsnachricht an den ausgewählten Bootstrapping-Server (BSF) weiterleitet.The bootstrapping method of claim 15, wherein the application server (NAF) with the service request message the temporary valid second user identification (B-TID) to the bootstrapping proxy server which sends the service request message at the selected Bootstrapping Server (BSF) forwards. Bootstrapping-Verfahren nach Anspruch 1, wobei das Endgerät (UE) den temporär gültigen Basisschlüssel (Ks) bildet.A bootstrapping method according to claim 1, wherein said terminal (UE) the temporary valid base key (Ks) forms. Bootstrapping-Verfahren nach Anspruch 17, wobei das Endgerät (UE) aus dem temporär gültigen Basisschlüssel (Ks) den temporär gültigen anwendungsspezifischen Schlüssel (Ks_NAF) ableitet.The bootstrapping method of claim 17, wherein the terminal (UE) from the temporary valid base key (Ks) the temporary valid application-specific key (Ks_NAF). Bootstrapping-Verfahren nach Anspruch 1, wobei der ausgewählte Bootstrapping-Server (BSF) die temporär gültige zweite Nutzerkennung (B-TID) generiert und darin eincodiert, von welchem Bootstrapping-Server (BSF) die generierte zweite Nutzerkennung (B-TID) stammt.The bootstrapping method of claim 1, wherein the selected Bootstrapping Server (BSF) the temporarily valid second user identifier (B-TID) is generated and encoded in from which bootstrapping server (BSF) the generated second user identifier (B-TID) comes. Bootstrapping-Proxy-Server für ein GBA(Generic Bootstrapping Architecture)-Netzwerk, welcher Nachrichten zwischen einem Endgerät (UE) und einem anhand einer permanenten Nutzerkennung ausgewählten Bootstrapping-Server (BSF) weiterleitet.Bootstrapping Proxy Server for a GBA (Generic Bootstrapping Architecture) network, which messages between a terminal (UE) and a bootstrapping server selected from a permanent userid (BSF). Bootstrapping-Proxy-Server nach Anspruch 20, wobei der Bootstrapping-Proxy-Server eine von einem Bootstrapping-Server (BSF) erhaltene temporär gültige Nutzerkennung (B-TID) zugeordnet zu dem jeweiligen Bootstrapping-Server (BSF) zwischenspeichert.The bootstrapping proxy server of claim 20, wherein the bootstrap proxy server is one from a bootstrapping server (BSF) obtained temporarily valid User ID (B-TID) associated with the respective bootstrapping server (BSF). Bootstrapping-Proxy-Server nach Anspruch 20, wobei der Bootstrapping-Proxy-Server Nachrichten zwischen einem Applikationsserver (NAF) und dem ausgewählten Bootstrapping-Server (BSF) weiterleitet.The bootstrapping proxy server of claim 20, wherein the bootstrapping proxy server messages between an application server (NAF) and the selected one Bootstrapping Server (BSF) forwards.
DE102006054091A 2006-11-16 2006-11-16 Bootstrapping procedure Expired - Fee Related DE102006054091B4 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102006054091A DE102006054091B4 (en) 2006-11-16 2006-11-16 Bootstrapping procedure
PCT/EP2007/061442 WO2008058841A2 (en) 2006-11-16 2007-10-24 Bootstrapping method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102006054091A DE102006054091B4 (en) 2006-11-16 2006-11-16 Bootstrapping procedure

Publications (2)

Publication Number Publication Date
DE102006054091A1 true DE102006054091A1 (en) 2008-05-21
DE102006054091B4 DE102006054091B4 (en) 2008-09-11

Family

ID=39311199

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102006054091A Expired - Fee Related DE102006054091B4 (en) 2006-11-16 2006-11-16 Bootstrapping procedure

Country Status (2)

Country Link
DE (1) DE102006054091B4 (en)
WO (1) WO2008058841A2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3119055A1 (en) * 2015-07-13 2017-01-18 Vodafone IP Licensing Limited Generic bootstrapping architecture protocol

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2586549B (en) * 2013-09-13 2021-05-26 Vodafone Ip Licensing Ltd Communicating with a machine to machine device
CN109618328B (en) * 2018-11-29 2019-10-08 爱立信(中国)通信有限公司 Communication means and communication equipment and recording medium

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050246548A1 (en) * 2004-04-30 2005-11-03 Pekka Laitinen Method for verifying a first identity and a second identity of an entity
WO2006008907A2 (en) * 2004-07-20 2006-01-26 Nissan Motor Co., Ltd. Fuel cell system
EP1713289A1 (en) * 2004-04-02 2006-10-18 Huawei Technologies Co., Ltd. A method for establishing security association between the roaming subscriber and the server of the visited network

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI20050384A0 (en) * 2005-04-14 2005-04-14 Nokia Corp Use of generic authentication architecture for distribution of Internet protocol keys in mobile terminals
US7558957B2 (en) * 2005-04-18 2009-07-07 Alcatel-Lucent Usa Inc. Providing fresh session keys

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1713289A1 (en) * 2004-04-02 2006-10-18 Huawei Technologies Co., Ltd. A method for establishing security association between the roaming subscriber and the server of the visited network
US20050246548A1 (en) * 2004-04-30 2005-11-03 Pekka Laitinen Method for verifying a first identity and a second identity of an entity
WO2006008907A2 (en) * 2004-07-20 2006-01-26 Nissan Motor Co., Ltd. Fuel cell system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
EUROPEAN TELECOMMUNICATION STANDARD INSTITUTE: Digital cellular telecommunications system (Phase 2+), Universal Mobile Telecommunications System UMTS), Generic Authentication Architecture (GAA), Generic bootstrapping architecture(3GPP TS 33.220 version 7.5.0 Release 7). ETSI TS 133 220, V7.5.0 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3119055A1 (en) * 2015-07-13 2017-01-18 Vodafone IP Licensing Limited Generic bootstrapping architecture protocol
GB2540354A (en) * 2015-07-13 2017-01-18 Vodafone Ip Licensing Ltd Generci bootstrapping architecture protocol
US10484869B2 (en) 2015-07-13 2019-11-19 Vodafone Ip Licensing Limited Generic bootstrapping architecture protocol

Also Published As

Publication number Publication date
WO2008058841A3 (en) 2008-07-24
WO2008058841A2 (en) 2008-05-22
DE102006054091B4 (en) 2008-09-11

Similar Documents

Publication Publication Date Title
DE69935590T2 (en) AUTHENTICATION PROCESS AND CORRESPONDING SYSTEM TO A TELECOMMUNICATIONS NETWORK
EP1365620B1 (en) Method for registration of a communication terminal in a service network (IMS)
EP1943808B1 (en) Method and server for providing a mobile key
EP2453633B1 (en) Participant identification apparatus, mobile radio system and method for participant authentication
DE69732567T2 (en) METHOD AND DEVICE FOR ANONYMOUS DATA TRANSFER IN A COMMUNICATION SYSTEM
DE60209858T2 (en) Method and device for access control of a mobile terminal in a communication network
DE69923942T2 (en) Method and system for wireless mobile servers and peer services with Dynamic DNS Update
DE60206634T2 (en) Method and system for authenticating users in a telecommunication system
EP1943806B1 (en) Subscriber-specific enforcement of proxy-mobile-ip (pmip) instead of client-mobile-ip (cmip)
WO2008019989A1 (en) Method and system for providing an access specific key
DE60132211T2 (en) CONTROL OF UNCHANGED USER TRAFFIC
DE10138718A1 (en) Method for transmitting encryption information to participants in a multicast group
DE602004008293T2 (en) Transparent access authentication in GPRS core networks
EP1523834A1 (en) Method and data system for connecting a wireless local network to a umts terminal station
EP3799379B1 (en) Method and ip-based communication system for changing connection control instances without reregistration of end subscribers
EP1673921A1 (en) Method for securing the data traffic between a mobile radio network and an ims network
DE102006054091B4 (en) Bootstrapping procedure
DE102006002892A1 (en) Method, system, computer program, data carrier and computer program product for transmitting media data of a multicast service
DE102006040313B3 (en) Local radio network i.e. wireless local area network, configuring method, involves transmitting parameter to install operating channel if terminal supports encoding, and closing transmission channel if terminal does not support encoding
DE10238928B4 (en) Method for authenticating a user of a communication terminal when using a service network
DE60037674T2 (en) METHOD AND DEVICE FOR IMPLEMENTING SAFETY PROCEDURES INCLUDING MOBILE STATIONS IN HYBRID CELLULAR TELECOMMUNICATIONS SYSTEMS
EP1844619A1 (en) Mobile radio network, method for operating a terminal device in such a network and terminal device with integrated electronic circuit arrangements for storing parameters that identify the terminal device
EP1985086B1 (en) Method for transferring data in a communication network
EP2536101B1 (en) Method for creating an encrypted connection, network distribution unit and telecommunication system
EP2056631B1 (en) Method for configuring a personal network in a mobile wireless network

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8327 Change in the person/name/address of the patent owner

Owner name: NOKIA SIEMENS NETWORKS GMBH & CO.KG, 81541 MUE, DE

8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee