TWI399102B

TWI399102B - 無線通訊系統之最佳資料傳送方法及裝置

Info

Publication number: TWI399102B
Application number: TW095103238A
Authority: TW
Inventors: Pekka Laitinen; Philip Ginzboorg
Original assignee: Nokia Corp
Priority date: 2005-02-14
Filing date: 2006-01-27
Publication date: 2013-06-11
Also published as: KR20070103780A; TW200637382A; KR100927944B1; JP2008532114A; CN101156486A; AU2006211991A1; JP4637185B2; AU2006211991A2; AU2006211991B2; CN101156486B; EP1849327B1; WO2006085170A1; EP1849327A1; US7877787B2; EP1849327A4; US20060185003A1; MY143885A

Description

無線通訊系統之最佳資料傳送方法及裝置

本發明係關於一種在通訊系統中之功能元件與元件之間共享保全資料的裝置及方法，尤其是關於一種決定保全資料的有效性，隨後根據該決定共享該資料所用的裝置及方法。

通訊系統，尤其特別地是無線通訊系統對大部分世界人口已越來越變得可獲得並且擔負得起了。諸如此類無線通訊系統的成功，反過來已導致有容納在用戶數上巨大增長的需要。一種處理對容納極大增長需要的方法乃是使無線通訊系統具備可調節性。另一種方法則是使元件，及構成無線通訊系統的功能元件最佳化。因此，通訊系統的架構不斷地在發展。

一個諸如此類發展中的領域為無線通訊系統中的鑑認架構。在無線通訊系統中，若干應用程式在進一步通訊可發生之前，共享一個於一客戶/使用者設備(UE)與一應用/應用伺服器之間相互鑑認的需要。例子包括，但非受限制於，一客戶與一出席伺服器之間的一個通訊或與一內容伺服器的通訊。由於許多應用程式共享一同等級鑑認機構的一般需要乃發展出一種同屬鑑認架構(GAA)。

第三代專案合夥(3GPP)同屬鑑認架構(GAA)的初始鑑認(即：自舉，或稱自我啟動)係以AKA(鑑認和關鍵協議協定)。有關GAA架構係敘述於由第三代專案合夥(3GPP)所做出的一份文件中，文件參考號為3GPP TS 33.99：「第三代專案合夥；技術規格群服務及系統標號；3G安全；同屬鑑認架構(GAA)；系統描述」，以上文件內容併入本文內供作參考。

GAA的主要特徵之一為含有一提供共享秘密予客戶/UE及應用程式/應用伺服器之應用程式自控機構。此一共享秘密隨後可用來鑑認客戶/UE與應用程式/應用伺服器之間的無線通訊。此一特徵敘述在一由第三代專案合夥(3GPP)出版的一文件中，文件參考號為「3GPP TS 33.220：第三代專案合夥；技術規格群服務及系統目的；3G安全；同屬鑑認架構(GAA)；同屬自我啟動架構(第7版)」及「3GPP TS 29.109：第三代專案合夥；技術規格群核心網路和終端機；同屬鑑認架構(GAA)；以直徑協定為基礎的Zh和Zn介面；階段3(第7版)」，以上文件內容併入本文內供作參考。

根據本發明的一個具體實施例，係提供在通訊系統中共享資料的一種裝置，包括：一用以傳輸第一訊息的一個自舉伺服功能元件(BSF)，其中第一訊息包含一個對應於儲存在BSF中的一同屬自舉架構用戶安全標度(GUSS)的時間標記參數；一用戶伺服器(HSS)用以接收第一訊息及將對應於儲存在BSF中的GUSS的時間標記參數與一對應於儲存在HSS裡的一個GUSS的時間標記參數作比較，及當BSF和HSS的GUSS的時間標記參數相等時傳回一個不包括GUSS之第二訊息給BSF。

根據本發明的一個具體實施例，係提供在一包含傳輸來自一自舉伺服功能元件(BSF)的第一訊息到用戶伺服器(HSS) 的一通訊系統中共享資料的一種方法，其中第一訊息包含一對應於儲存在BSF中的同屬自舉架構用戶安全標度(GUSS)的時間標記參數；將一對應於儲存在BSF中的GUSS的時間標記參數與一對應於儲存在HSS中的GUSS時間標記參數相比較；及當BSF和HSS的GUSS的時間標記參數相等時傳回一個不包括GUSS的第二訊息給BSF。

根據本發明的一個具體實施例，係提供一種在一個電腦可讀媒體內具體化以在一包含將來自一自舉伺服功能元件(BSF)的第一訊息傳輸到一用戶伺服器(HSS)的通訊系統中提供資料共享的電腦程式，其中訊息包含一對應於儲存在BSF中的一同屬自舉架構用戶安全標度(GUSS)的時間標記參數；將對應於儲存在BSF中的GUSS的時間標記參數與對應於儲存在HSS中的GUSS的時間標記參數相比較；及當BSF和HSS的GUSS的時間標記參數相等時將不包括GUSS的第二訊息傳回給BSF。

根據本發明的一個具體實施例，係提供一種在通訊系統中共享資料的裝置，包括：一網路應用功能元件(NAF)；一用以與NAF通訊及傳輸一個鑑定資訊的請求的用戶設備；及一用以接收請求並傳輸第一訊息。第一訊息包含一對應於儲存在BSF中的同屬自舉架構用戶安全標度(GUSS)的時間標記參數。用戶伺服器(HSS)可用以接收第一訊息，使對應於儲存在BSF中的GUSS的時間標記參數與對應於儲存在HSS中的GUSS的時間標記參數相比較，以及當BSF和HSS的GUSS的時間標記參數相等時傳回不包括GUSS的第二訊息給BSF。

爰配合附圖詳細說明本發明。附圖中顯示本發明的若干但非全部的具體實施例。實際上，這些發明可以不同的形態予以具體化，因此本發明不限於該等所舉之實施例。

3GPP GBA(3GPP TS 33.220附件B，及3GPP TS 29.209附件C；這些附件併入本文中作為參考)為一種被推許的鑑定基礎結構。此基礎結構可用以使應用程式在網路及用戶側運作，使在對網路側和用戶側無法通訊時得以通訊。此一功能性被稱為「應用保全的自我啟動」或一般簡稱為「自我啟動或自舉」。

自舉的一般原理為，一同屬自舉伺服功能元件(BSF)允許用戶設備(UE)用其實行鑑認，並在對話鍵(session keys)上達成協議。此類鑑認可基於鑑定和鍵協議(AKA)。藉運用AKA，行動終端機與網路可相互鑑認對方並在鍵上，特別是在機密性鍵(CK)和完整性鍵(IK)上達成協議。在鑑認之後，UE和網路應用功能元件(NAF)(亦稱為一服務提供者)可施行若干特定應用協定，此時訊息的鑑定係基於UE與BSF之間達成協議的對話鍵。

自我舉功能並非意圖依靠任一特定的網路應用功能元件。執行自舉功能的伺服器必須要受操作員之信賴處理鑑認向量。網路應用功能元件可支持於操作員之家庭網路、受訪網路(visited network)或第三者網路中。

第1圖說明根據本發明之一具體實施例的一個典型網路架構。網路架構包含一用戶設備(UE)100、至少一個網路應用功能元件(NAF)102、一自舉伺服功能元件(BSF)104及一用戶伺服器(HSS)106。BSF 104和HSS 106構成行動網路控制器(MNO)108的一部分。根據習知的行動通訊技術，UE 100係接到MNO 108。

NAF 102可在例如MNO 108之控制下，被引入一網路元件中，而BSF 104亦可在MNO 108控制下被引入一網路元件中。因此，由實際功能言NAF 102和BSF 104均可視為網路元件。另外MNO 108可包含一個控制器(未示於圖中)來執行將於第3A和3B圖中所述之操作步驟。該控制器可包含固定或可移動儲存體，例如磁碟和光碟，RAM、ROM等，在其上可儲存及分配本發明方法和資料結構。

如第1圖中所示，UE 100經由Ua介面110與NAF 102通訊。UE 100經由Ub介面112與BSF 104通訊。NAF 102經由Zn介面114與BSF 104通訊。BSF 104經由Zh介面116與HSS 106通訊。

在又一分離網路中可配設NAF 102。如第1圖中所示，提供一個典形網路架構，其中NAF 102係在受訪網路中。在UE 100接觸於不是家庭網路而是另一網路中操作的一NAF 102之場合，此一NAF 102可利用NAF網路的一個對比代理器(D-代理器)與用戶的BSF(即：家庭BSF)104通訊。隨後NAF 102可經由通至D-代理器的Zn介面114及通至BSF 104的Zn'介面120而與BSF 104通訊。

就第1圖而言，自舉的原理為，UE 100和自舉伺服功能元件，例如利用AKA協定，相互鑑認並在一主共享秘密上達成協議。之後，主共享秘密被用來衍生一或多個應用於UE 100與特定的NAF之間的網路應用功能特定共享秘密。一種NAF特定共享秘密鍵資料特別產生以單獨地用於每一網路應用功能元件。在自舉操作完了之後UE 100及網路應用功能元件可進行一些特定協定，而根據在UE 100與自舉伺服功能元件之間相互鑑認期間所產生的鍵獲得訊息。因此，這些鍵可用以鑑認與保全以及保密。上述網路應用功能元件於是可取得衍生自用戶設備與自舉伺服功能元件之間建立的主共享秘密的NAF特定共享秘密。

此外，通訊Ub介面112支援自舉鑑認和鍵協議協定以在UE 100與BSF 104之間提供相互鑑認和鍵協議。Zn介面116允許BSF 104從HSS 106擷取任何所要的鑑認資訊和用戶設定檔資訊(例如：鑑認向量，AV)。用戶之使用者安全標度(USS)為可儲存在HSS中的用戶的GUSS的一部分。例如在一個人具有多重用戶識別卡(subscriptions)的場合，即具有在一通用行動電信系統積體電路卡片(UICCs)上的多IP多媒體子系統用戶識別模組卡片(ISIMs)或通用用戶識別模組卡片(UICCs)應用程式的場合，HSS 106含有可映射至任一或多個識別符(identities)的一或多個GUSSs，例如IP多媒體私人識別符(IMPIs)及國際行動用戶識別符(IMSis)。根據由Ub介面112所支援的協定，Ua介面110支援任一應用特定協定，該介面110係利用衍生自於UE 100與BSF 104之間達成協議的主共享秘密的NAF特定共享秘密而獲取。Zn介面114被NAF 102 用來擷取從自BSF 104支援在Ub介面112上的協定中所達成的主共享秘密中衍生的NAF特定共享秘密。Zn介面114亦同樣可以用來從BSF 104擷取用戶概況檔資訊。

自BSF 104傳輸給NAF 102的訊息包含自舉資訊。自舉資訊可包含一交易識別符、NAF特定共享秘密，及用戶概況檔資訊(“prof-naf”或任一NAF特定“USSs”)。

此外，一組同屬自舉架構用戶安全標度(GUSS)亦可包含在自舉資訊和一組全應用特定USSs內。典型地，BSF為一特定用戶請求一AV，同時連同該請求的AV亦接收該用戶的GUSS。在操作期間，BSF 104能於從HSS 106通過Zh介面檢索一單一鑑認向量(AV)，促使BSF 104利用當UE 100以BSF 104自舉時來自HSS 106的新複本的GUSS更新儲存於BSF 104中的GUSS。因此，若NAF 102需從BSF 104取得一更新USS或多個USSs時，NAF 102須請求UE 100以BSF 104自舉，即重新協商，隨後NAF 102從BSF 104請求一特定的USS，因為NAF 102知道GUSS已更新。

然而，此一更新程序迫使HSS 106每次請求一新的AV時發送GUSS，不管自最後一次BSF 104接收GUSS起GUSS是否已經在HSS 106中被更新過。更新程序期間，當GUSS可能相當大的大小尺寸時藉由以GUSS發送AV時，BSF 104與HSS 106之間的流量負載很大。實際上在BSF 104已經具有一同樣GUSS的複本的場合，發送GUSS給BSF 104已是沒有必要且造成頻寬與電腦資源的浪費。因此，GUSS從HSS 106傳送到BSF 104的次數須要減少。

為此，本發明之裝置和方法可用以發送GUSS以包含一個從HSS 106至BSF 104的時間標記，使與於BSF 104與HSS 106之間的GUSS傳送程序相關的流量負載減小。因此，本發明的裝置及方法藉由確定一保全資料的確認並接下去根據確定的結果資料的共享，容許在一通訊系統中共享在功與元件之間的保全資料。

根據本發明具體實施例，傳輸或原始網路元件中的資料，例如GBA中的HSS 106，係只有當請求或接收網路元件不具有一個複本或可存取存在於傳輸或原始網路元件上的極相同資料時纔被傳送至或與一請求或接收網路元件，例如GBA中的BSF 104，共享。

因此，在每個GUSS中附加有GUSS時間標記，標示何時GUSS被HSS 106變更。此時間標記係用來使HSS 106與BSF 104之間的GUSS傳送策略最佳化。當BSF 104須要為用戶檢索一個新的鑑認向量(AV)時，如果BSF 104在記憶體中具有用戶的GUSS，則BSF 104將同樣在請求中包含GUSS時間標記。在接收到GUSS時間標記的時候，HSS 106會將它與儲存在其資料庫中的GUSS的時間標記作一比較。如果時間標記相等，由於BSF 104已經有GUSS的複本，於是HSS 106不發送GUSS到BSF 104。又如果時間標記不相等，由於BSF 104具有無效的GUSS而須要加以更新則HSS 106發送GUSS到BSF 104。如果HSS 106不具GUSS，例如因為利 HSS的管理介面已將GUSS刪除掉，則HSS 106將會發送一個無GUSS訊息給BSF 104而BSF 104會刪除舊的GUSS。

第2圖為本發明之一具體實施例，顯示於BSF 104與HSS 106之間包含GUSS時間標記的通訊。在操作步驟150中，UE 100為提供一個包含有關UE 100的使用者識別符資訊的新的自我啟動，發出一個請求。當BSF 104從HSS 106檢索或請求新的AV時，在操作步驟152中，新的AV的請求亦包含一GUSS時間標記，如果GUSS已存在或儲存在BSF 104的記憶體(即BSF記憶體)中。接收到GUSS時間標記後，HSS 106立即核對並比較GUSS時間標記與儲存在其中之記憶體(即HSS記憶體)中的GUSS時間標記。在操作步驟154中，如果接收自BSF 104的GUSS時間標記與儲存在HSS 106中的GUSS時間標記不相同時，HSS 106包含更新的GUSS、該更新的GUSS的GUSS時間標記及請求的新AV。如果兩GUSS時間標記相同時，即在BSF 104記憶體中的GUSS與HSS 106記憶體中的GUSS相同，GUSS就不會連同所請求的新AV發送給BSF 104。

當然，BSF 104在記憶體中具有供一個特定用戶使用之GUSS時，GUSS時間標記才可能從BSF 104被發送到HSS 106。在此場合，不發送GUSS時間標記到HSS 106，而是由HSS 106從其資料庫將用戶的特定GUSS送回到BSF 104。

在操作步驟156中，BSF 104於訊息中將一隨機挑戰資料(RAND)和一鑑別記號(AUTN)傳送到UE 100要求鑑定。在操作步驟158中，由一個和UE 100有關的客戶執行鑑認及鍵協議(AKA)演算法、驗證AUTN並獲得一鑑認結果(RES)。UE 100亦計算一機密性鍵(CK)，一完整性鍵(IK)及RES，以計算出在BSF 104和UE 100中之相同對話鍵IK和CK。在操作步驟160中，UE 100發送一份利用RES所計算的、含有一AKA回應的超文件傳輸協定(HTTP)請求到BSF 104。在操作步驟162中，BSF 104藉由驗證AKA回應鑑定UE 100。在操作步驟164中，BSF 104藉序連CK與IK產生一鍵材料(Ks)。在操作步驟166中，BSF 104發送一份OK訊息與自我舉交易識別符(B-TID)及鍵Ks使用期限UE 100，表示鑑定成功。另外，在操作步驟168中，UE 100利用BSF 104於操作164中產生的相同方式產生鍵材料(Ks)並儲存Ks．B-TID以及Ks的使用期限。

因此，HSS 106中的每個GUSS包含一新的時間標記參數，例如標號為GUSSTIMESTAMP。GUSS的GUSSTIMESTAMP係由HSS 106設定，且係表示上一次HSS 106修正了GUSS的數值或文數字的參數。這個參數，GUSSTIMESTAMP，亦可為指示GUSS資料的一個版本。當GUSS的內容變更時GUSSTIMESTAMP亦變更，即如果HSS 106中的GUSS修改或更新，HSS 106即對更新的GUSS指定一個新的GUSSTIMESTAMP。

GUSSTIMESTAMP亦可以與HSS 106中GUSSTIMESTAMP儲存或與GUSS保存的方式的相同或不同形式(即，數值或文數字方式)儲存或通訊。但，如果以不同形式儲存或通訊，此一變更形式的GUSSTIMESTAMP可在 HSS 106中轉換回到GUSSTIMESTAMP原來的表示法。當，例如有需要比較多個GUSSTIMESTAMPs時，即實行此一轉換。

本發明之一特徵為，BSF 104從HSS 106接收GUSS或其等同物，並將GUSS儲存在BSF記憶體中。當BSF 104從HSS 106請求AV時，且BSF 104先前已接收有對應的GUSS，該請求可包含GUSSTIMESTAMP。HSS 106對所接收的GUSSTIMESTAMP與已儲存在HSS 106中的GUSSTIMESTAMP作比較，而祇在兩GUSSTIMESTAMPs有不同時HSS 106才會在答覆中包含GUSS。兩種GUSSTIMESTAMPs可能不同，例如當BSF 104具有一個無效的或一個過時的GUSS時。如果GUSSTIMESTAMPs相同，HSS 106即不會隨同AV傳送GUSS給BSF 104。

第3A圖顯示本發明創造及修改GUSSTIMESTAMP的方法之實施例。當特定的GUSS產生時即發生GUSSTIMESTAMP的初始化。在步驟200中，HSS 106創造GUSS。在操作步驟210中，HSS 106使GUSSTIMESTAMP初始化。每當特定的GUSS修改後即實行GUSSTIMESTAMP之更新。在步驟220中，HSS 106修改GUSS。在步驟230中，HSS 106更新GUSSTIMESTAMP。

有數種方法可用以給HSS中的一特定GUSS指定一GUSSTIMESTAMP參數值。依本發明的一實施例，GUSSTIMESTAMP可以單調逐增或單調逐減依序指定。例如當一個GUSS首先創造時，GUSSTIMESTAMP可被指定予某些數值或由HSS 106中的時鐘所指示的時間及/或日期。每次GUSS被修改即成為一新版本，例如GUSSTIMESTAMP可以1增減或變成為由HSS 106中的時鐘所指示的現在時間及/或日期。在另一實施例中，GUSS可被指定一雜湊值或其一部分的GUSSTIMESTAMP值，例如GUSS的特殊場合時的SHA-1或MD5。

第3B圖顯示本發明的一種提供一同屬自舉架構用戶安全設定時間標記，使流量負載減小的方法之一實施例。在步驟300中，於BSF 104準備一鑑認向量AV的請求。進而在步驟310中，在BSF 104確定GUSS是否已經儲存在BSF記憶體中。如果確認GUSS已被儲存則在操作步驟320中，由BSF 104讀取與儲存在BSF 104中的GUSS相關聯的GUSSTIMESTAMP而將該GUSSTIMESTAMP包含於請求中。但如果確定在BSF 104中未儲存有GUSS，則在操作步驟330中，由BSF 104發送請求給HSS 106。

在操作步驟340中，在HSS 106接收來自BSF 104的請求。進而在步驟350中，在由HSS 106確定在請求中是否有GUSSTIMESTAMP，如果確定請求中有GUSSTIMESTAMP，則在360步驟中，對接收自BSF 104的GUSSTIMESTAMP和儲存在HSS 106中的GUSSTIMESTAMP是否相等一則，在HSS 106進行另一判定。反之，若確定在請求中無GUSSTIMESTAMP，則在步驟350之後，進到後述之步驟380。

在步驟360，如果確定接收自BSF 104的GUSSTIMESTAMP和儲存在HSS 106中的GUSSTIMESTAMP 相等，則進至步驟380，否則進至步驟370。在步驟370，於回應中包含儲存在HSS 106的GUSS，隨後進到步驟380。

在步驟380中，利用HSS 106發送一份回應給BSF 104。同時在步驟390，BSF 104乃接收該來自HSS 106的回應。進而在步驟400，藉BSF 104判定該回應中是否有GUSS。如果該回應中含有GUSS，則在步驟410，藉由BSF 104判定BSF 104中是否含有GUSS。否則進到後述之步驟440。若判定BSF 104中含有GUSS，則進到步驟420，否則進到後述之步驟430。

在步驟420，BSF 104剔除BSF 104中所儲存的GUSS而進到步驟430。在步驟430中，BSF 104儲存所接收之GUSS而在步驟440由BSF 104儲存所接收之AV。

應知，在實施本發明時，操作的步驟係依例示順序和方式進行，但亦可在不違背本發明之精神與範疇內對於若干操作步驟之順序加以變更。

因此，本發明提供於BSF與HSS之間所交換的每個GUSS上附加一GUSS時間標記以標示何時該GUSS先前由HSS所變更。該GUSS時間標記可使BSF與HSS之間的資料傳輸程序最佳化。具體而言，如果BSF具有與記憶體中所儲存的用戶相關聯的資料而在通過使用者設備由用戶提出檢索新的鑑認向量請求時，該新的AV請求亦含有與儲存在BSF的記憶體中之GUSS相關聯的GUSS時間標記。在接收到該GUSS時間標記後，HSS立即將該GUSS時間標記與儲存在HSS之記憶體中的GUSS時間標記作比較。如果兩GUSS時間標記相同或相等，由於BSF已經有GUSS的複本，HSS不會傳送GUSS到BSF。但如果兩GUSS時間標記不相等，HSS即發送GUSS到BSF，由於BSF具有一無效GUSS，必須加以更新。

100‧‧‧用戶設備(UE)

102‧‧‧網路應用功能元件(NAF)

104‧‧‧自舉伺服功能元件(BSF)

106‧‧‧用戶伺服器(HSS)

108‧‧‧行動網路控制器(MNO)

110‧‧‧Ua介面

112‧‧‧Ub介面

114‧‧‧Zn介面

116‧‧‧Zh介面

第1圖為本發明之一實施例，顯示提供一種網路應用伺服器用同屬機構的裝置；第2圖係於一自舉伺服功能元件(BSF)與一用戶伺服器(HSS)之間傳送的資訊例子的一實施例；及第3A和3B圖係本發明一實施例，顯示一提供同屬自舉架構用戶安全標度時間標記(GUSSTIMESTAMP)使流量負載減小之方法。