WO2005104432A1

WO2005104432A1 - Procede permettant de supprimer l'identificateur de trafic de session ainsi que des informations correspondantes

Info

Publication number: WO2005104432A1
Application number: PCT/CN2005/000532
Authority: WO
Inventors: Yingxin Huang; Wenlin Zhang
Original assignee: Huawei Technologies Co.,Ltd.
Priority date: 2004-04-22
Filing date: 2005-04-19
Publication date: 2005-11-03
Also published as: CN1691584A; CN100512137C

Description

技术领域

本发明涉及第三代无线通信技术领域，特别是指在通用鉴权框架中由执行用户身份初始检查验证的实体（BSF )删除会话事务标识（TID ) . 及其对应信息的方法。发明背景

在第三代无线通信标准中，通用鉴权框架是多种应用业务实体使用 . 的一个用于完成对用户身份进行验证的通用结构，应用通用鉴权框架可实现对应用业务的用户进行检查和身份验证。上述多种应用业务可以是多播 /广播业务、用户证书业务、信息即时提供业务等，也可以是代理业务。当然，对于以后'新开发的业务也可以应用通用鉴权框架对应用业务. 的用户终端进行检查和身份验证。

图 1所示为通用鉴权框架的结构示意图。通用鉴权框架通常由用户终端（UE ) 101、执行用户身份初始检查验证的实体（BSF ) 102、用户归属网络服务器（HSS ) 103和网络应用实体（NAF ) 104组成。 BSF 102. 用于与用户终端 101进行身份互验证，同时生成 BSF 102与用户终端 101 的共享密钥； HSS 103 中存储有用于描述用户信息的描述（Profile )文件，同时 HSS 103还兼有产生鉴权信息的功能。

用户需要使用某种业务时，如果其知道需要与 BSF进行互鉴权，则 . 直接与 BSF联系以进行互婆权，否则，用户会首先和该业务对应的 NAF 联系，如果该 NAF应用通用鉴权框架且需要用户终端与 BSF进行身份验证，则通知用户终端应用通用鉴权框架进行身份验证，否则进行其它相应处理。用户终端与 BSF之间的互认证过程是： BSF接到来自用户终端的鉴权请求后，首先从 HSS获取该用户终端的鉴权信息，然后与用户终端执行鉴权和密钥协商协议（AKA )以进行互鉴权。认证成功后，用户终端和 BSF之间互相认证了身份并且同时生成了共享密钥 Ks。之后， BSF 分配一个会话事务标识（B-TID )给用户终端，该 B-TID是与 Ks相关联的。

用户终端收到这个 B-TID后，重新向 NAF发出连接请求，且请求消息中携带了该 B-TID。 NAF 收到请求后，先在本地查询是否有该. B-TID, 如果 NAF在本地查询到了该 B-TID, 则再判断该 B-TID所对应的密钥 Ks或由 Ks衍生的密钥是否处于 BSF所设定的有效期限内，如果是则与该用户终端进行正常的通信，否则通知该用户终端与 BSF重新进行认证后，中断与该用户终端的通信。

如果 NAF不能在本地查询到该 B-TID, 则向 BSF进行查询。 BSF 查询到该 B-TID后，首先给该 B-TID对应的密钥信息设置有效期限，然后给 NAF发送成功的响应消息，该响应消息中包含 B-TID、该 B-TID 对应密钥信息以及已设置的密钥信息的有效期限。在此，将 B-TID所对应的所有信息如密钥信息、有效期限等统称为 B-TID对应信息。 NAF 收到来自 BSF的成功响应消息后，即认为该用户终端是经过 BSF认证的合法用户，同时 NAF和用户终端也共享了密钥信息，即 Ks或由 Ks 衍生的密钥。此时， NAF将该用户终端所应用的 B-TID及与该 B-TID . 对应的密钥信息保存在本地的数据库中。之后， NAF与该用户终端进行正常的通信。

如果 BSF不能在本地查询到该 B-TID, 则通知 NAF没有该用户终端的信息，此时， NAF将通知该用户终端与 BSF进行身份验证。

众所周知，才艮据系统的配置不同，一个 UE可以拥有一个或一个以上的 B-TID与不同的 NAF进行通信；而且，密钥 Ks通常作为根密钥并不直接应用而是由 Ks的衍生密钥参与应用。当用户使用一个 B-TID与不同 NAF进行通信时，虽然其使用的 B-TID相同，但用户与每个 NAF 之间所应用的共享密钥是不同的。

例如，假设 NAF1和 NAF2是两个不同的 NAF, 某个已通过 BSF 鉴权的 UE与 NAF1和 NAF2之间建立通信的过程如下：

当 UE向 NAF1发出包含 B-TID信息的业务请求时，如果 NAF1在本地没有查询到该 B-TID, 则将向 BSF进行查询， BSF查询到 NAF1所需的 B-TID后，首先按照一定的算法，以 Ks和 NAF1标识等信息作为参数，产生出衍生密钥 Ks-NAF1，并为该 Ks-NAFl设置有效期限，然后， BSF将查询到的 B-TID、与该 B-TID对应的密钥 Ks-NAFl以及该密钥的有效期限发送给 NAFl , NAF1收到来自 BSF的成功响应消息后，即认为该 UE是经过 BSF认证的合法用户。此时，用户端也使用相同的算法和参数产生出密钥 Ks-NAFl , 这样， UE和 NAF1 就共享了密钥 Ks-NAFl , NAFl与该 UE在密钥 Ks-NAFl的保护下使用该 B-TID进行正常的通信。

当 UE向 NAF2发出包含该 B-TID的业务请求时，如果 NAF2在本地没有查询到该 B-TID, 则将向 BSF进行查询， BSF查询到后，以 Ks 和 NAF2标识等信息作为参数，按照一定的算法为 NAF2产生衍生密钥 Ks-NAF2, BSF将查询到的 B-TID、与该 B-TID对应的密钥 Ks-NAF2 以及该密钥的有效期限发送给 NAF2， NAF2收到来自 BSF的成功响应消息后，即认为该 UE是经过 BSF认证的合法用户。此时，用户端也应用相同的方法产生 Ks-NAF2。这样 UE 与 NAF2 之间就共享了密钥 KS-NAF2, 并且 NAF2与该 UE在密钥 Ks-NAF2的保护下使用该 B-TID 进行正常的通信。

Ks-NAFl与 KS-NAF2虽然是由相同的根密钥 Ks产生的，但在计算过程中其应用的 NAF标识是不同的 ,所以 Ks-NAFl与 Ks-NAF2也不同。而且， Ks、 Ks-NAFl与 Ks-NAF2的有效期都是相互独立的。

当 Ks、 Ks-NAFl或 Ks-NAF2的有效期到期后，用户端和 BSF将别删除本地保存的 Ks、 Ks-NAFl或 Ks-NAF2, 以及与 Ks、 Ks-NAFl或 Ks-NAF2对应的 B-TID。

如果在 Ks或 Ks-NAFl的有效期到期之前， NAF1认为 Ks-NAFl已不安全，并要求 UE更新 Ks-NAFl时， UE将重新到 BSF进行初始鉴权，得到新的 B-TID和新的 Ks后，由新的 Ks衍生出新的 Ks-NAF 1，然后 UE应用该新的 B-TID在新的 Ks-NAFl保护下与 NAF1进行通信。在 NAF2正在使用的 KS-NAF2并不受 Ks更新的影响，可以继续使用，当. Ks-NAF2到期后，再由新的 Ks衍生出新的 KS-NAF2, ΌΕ与 NAF2之间再使用新的 B-TID在新的 KS-NAF2的保护下进行通信。之后， BSF 删除已到期的 B-TID及与该 B-TID对应的信息。

上述删除方法的缺陷在于：在密钥的有效期到期之前，如果 NAF 认为该密钥已不安全，并要求 UE更新密钥后， UE将使用更新后的 B-TID 及密钥与该 NAF进行通信，但原有不安全但没有到达有效期的 B-TID 及密钥还保存在 BSF上，而且在该密钥到期之前，原有不安全但没有到达有效期的 B-TID及密钥是不会被 BSF删除的。这样，攻击者将有机会, 使用实际已经不再被应用 , 但仍未到期的 B-TID及密钥盗用网络业务。另夕卜， BSF本地存储的未到期的但实际已不再被应用的 B-TID及其对应信息，也是对 BSF本地资源的浪费。发明内容

有鉴于此，本发明的目的在于提供一种删除会话事务标识及其对应信息的方法，使 BSF将未到期但不再使用的 B-TID及其对应信息删除，从而避免攻击者使用其盗用网络业务，同时节省 BSF本地的资源。

为达到上述目的，本发明的技术方案是这样实现的：

一种删除会话事务标识及其对应信息的方法，该方法包括以下步骤： BSF判定本地保存有已不再使用且未到期的 B-TID后 , 删除该已不 . 再使用且未到期的 B-TID及其对应信息。

较佳地，所述 BSF确定本地保存有已不再使用且未到期的 B-TID的方法包括以下步骤：

a、 BSF判断来自用户终端的鉴权请求中是否包含 B-TID, 如果是，则确定本地保存的该 B-TID为已不再使用且未到期的 B-TID, 否则执行步驟 b;

b、 BSF确认该用户终端只能够拥有一个 B-TID后，判断本地是否已保存有与该用户终端对应的 B-TID, 如果是，则确定该与用户终端对. 应的 B-TID为已不再使用且未到期的 B-TID。

较佳地， BSF确定本地保存有已不再使用且未到期的 B-TID后，进一步包括： BSF判断来自用户终端的鉴权请求中是否包含与该 B-TID对应的 NAF标识，如果是，

则 BSF删除已不再使用且未到期的 B-TID及其对应信息之前，通知除去鉴权请求中已标识的 NAF之外的与该 B-TID相关联的 NAF 该 B-TID已失效，否则通知所有与该 B-TID相关联的 NAF该 B-TID已失效

BSF给请求查询的 NAF返回其所需要的 B-TID及其对应信息后，根据该 NAF 的标识以及其所查询用户终端的标识，判断本地是否还保 · 存有与该 NAF标识和其所查询的用户终端标识同时对应的并且不返回给 NAF的 B-TID, 如果有，则确定与该 NAF标识和其所查询的用户终端标识同时对应的并且不返回的 B-TID 为已不再使用且未到期的. 较佳地，所述 BSF判断出本地保存有已不再使用且未到期的 B-TID 后，该方法进一步包括： BSF判断是否还有除请求查询以外的 NAF与该已不再使用且未到期的 B-TID相关联，如果是，则通知与该 B-TID相. 关联的除请求查询以外的 NAF该 B-TID已失效。

较佳地，该方法进一步包括：接收到某 B-TID已失效通知的 NAF, 根据自身当前的配置决定是否通知用户终端进行密钥更新。

应用本发明， BSF根据 UE请求鉴权或 NAF的查询消息，获取本地. 保存的已不再使用且未到期的 B-TID, 然后将该已不再使用且未到期的 B-TID及与该 B-TID对应的信息全部删除。从而避免了攻击者使用实际已不再被应用，但仍未到期的 B-TID及密钥来盗用网络业务，同时也节省了 BSF本地的资源。附图简要说明

图 1所示为通用鉴权框架的结构示意图；

图 2示为应用本发明实施例一的 BSF删除 B-TID及其对应信息的流程图；

图 3示为应用本发明实施例二的 BSF删除 B-TID及其对应信息的流程图。 · 实施本发明的方式

为使本发明的技术方案更加清楚，下面结合附图及具体实施例再对本发明做进一步地详细说明。本发明的思路是： BSF根据 UE请求鉴权或 NAF的查询消息，获取本地保存的已不再使用且未到期的 B-TID, 然后将该已不再使用且未到期的 B-TID及与该 B-TID对应的信息全部删除。从而避免了攻击者使用实际已不再被应用，但仍未到期的 B-TID及密钥盗用网络业务，同时也. 节省了 BSF本地的资源。

图 2所示为应用本发明实施例一的 BSF删除 B-TID及其对应信息的流程图。

步骤 201 , UE与 BSF进行 AKA鉴权协议成功后， UE和 BSF之间. 共享了密钥 Ks,且 BSF给 UE分配 B-TID,该 B-TID与密钥 Ks相关联；步骤 202, UE向 NAF1发送包含 B-TID的业务请求；

步骤 203 , 如果 NAF1能够在本地查询出业务请求中的 B-TID, 贝' J 与该 UE进行正常的通信；如果 NAF1不能在本地查询出该 B-TID则向 BSF进行查询， BSF查询到该 B-TID后，根据该 B-TID对应的 Ks及 NAF1的标识等信息，产生密钥 Ks-NAFl ,为 Ks-NAFl设置有效期限后，将 NAF1 所查询的 B-TID, 以及与该 B-TID对应的密钥 Ks-NAFl 和 Ks-NAFl 的有效期限一同返回给 NAF1，同时， UE也使用相同的算法' 产生密钥 Ks-NAFl , 此时， NAF1与 UE共享了密钥 Ks-NAFl , 并在密钥 Ks-NAFl的保护下进行正常的通信；

步骤 204, 当 NAF1认为未到期的密钥 Ks-NAFl已不安全时，通知 UE进行密钥更新；

引起 NAF1认为未到期的密钥 Ks-NAFl已不安全的因素很多，比如， NAF受到了攻击，或 NAF与 BSF不能进行正常的通信而推测 BSF可能受到了攻击等等；

步骤 205, UE接到密钥更新通知后，再次向 BSF发出鉴权请求； ' 根据运营商的策略，该鉴权请求中可以包含已被指示为不安全的 B-TID 也可以不包含已被指示为不安全的 B-TID;

由于一个 UE可以拥有一个或一个以上的 B-TID与不同 NAF进行通信，当 UE只能拥有一个 B-TID与所有的 NAF进行通信时，无论该鉴权请求中是否包含 B-TID, BSF都能够清楚地确定哪个是已不再使用且未到期的 B-TID, 即与该 UE对应的 B-TID是不再使用且未到期的 B-TID; 当 UE能够拥有一个以上的 B-TID与不同 NAF进行通信时，如果鉴权请求中包含 B-TID,则 BSF能够确定哪个是不再使用且未到期的 B-TID, 即该鉴权请求中包含的 B-TID为不再使用且未到期的 B-TID; 如果鉴权请求中不包含 B-TID , 则由于 BSF不知道与该 UE对应的哪个 B-TID是不再使用且未到期的，因而不对其进行处理，即与现有流程的处理方式完全相同；

步骤 206， UE与 BSF执行 AKA互鉴权协议，鉴权成功后 BSF给该 UE分配一个新的 B-TID, 并且与该 UE共享了一个新的密钥 Ks; 如. 果 UE的鉴权请求消息中包含了已被指示为不安全的 B-TID, 则执行步骤 207; 如果 UE 的鉴权请求消息中没有包含已被指示为不安全的 B-TID,则 BSF根据系统配置判断该 UE是否能够拥有一个以上的 B-TID 与不同的 NAF进行通信，如果该 UE能够拥有一个以上的 B-TID与不 . 同的 NAF进行通信，则按常规流程进行处理；如果该 UE只能拥有一个 B-TID与不同的 NAF进行通信，则再判断本地是否已保存有与该 UE对应的 B-TID, 如果有，则直接执行步骤 208, 否则按常规流程进行处理；步骤 207, BSF通知与该 B-TID相关联的所有 NAF其原有的 B-TID . 已失效，在本实施例中 , BSF通知 NAF1和 NAF2其原有的 B-TID已失效，然后执行步骤 208;

步骤 208, BSF删除本地已保存的已被指示为不安全的 B-TID及与该 B-TID对应的信息，即 BSF删除本地保存的不再使用且未到期的. B-TID;

步驟 209, UE向 NAFl发送包含新 B-TID的业务请求；

步骤 210, NAF1向 BSF查询成功后，与该 UE在新的密钥 Ks或其. 衍生密钥的保护下进行正常的通信。

对于上述实施例，在步骤 205中，如果 UE再次向 BSF发出的鉴权请求中不但包括已被指示为不安全的 B-TID, 还包括与该 B-TID对应的 NAF1的标识，则当 UE与 BSF执行 AKA互鉴权协议，且鉴权成功后， . BSF将通知除去 NAF1以外的与该 B-TID相关联的 NAF该 B-TID已失效，即 BSF只向 NAF2发送其应用的 B-TID已失效的通知。这样，可以減轻网络传输负荷。

图 3所示为应用本发明实施例二的 BSF删除 B-TID及其对应信息的 · 流程图。

步骤 301 , UE与 BSF进行 AKA鉴权协议成功后 , UE和 BSF之间共享了密钥 Ks,且 BSF给 UE分配 B-TID,该 B-TID与密钥 Ks相关联；步骤 302, UE向 NAF1发送包含 B-TID的业务请求；

步骤 303 , 如果 NAF1能够在本地查询出业务请求中的 B-TID, 贝' J 与该 UE进行正常的通信；如果 NAF1不能在本地查询出该 B-TID则向 BSF进行查询， BSF查询到该 B-TID后，根据该 B-TID对应的 Ks及 NAF1的标识等信息，产生密钥 Ks-NAFl ,为 Ks-NAFl设置有效期限后，将 NAF1 所查询的 B-TID，以及与该 B-TID对应的密钥 Ks-NAFl 和 Ks-NAFl 的有效期限一同返回给 NAFl , 同时， UE也使用相同的算法产生密钥 Ks-NAF1，此时， NAF1与 UE共享了密钥 Ks-NAFl , 并在密钥 Ks-NAFl的保护下进行正常的通信；

步骤 304, 当 NAF1认为未到期的密钥 Ks-NAFl已不安全时，通知 UE进行密钥更新；引起 NAF1认为未到期的密钥 Ks-NAFl已不安全的因素很多，比如， NAF受到了攻击，或 NAF与 BSF不能进行正常的通信而推测 BSF可能受到了攻击等等；

步骤 305, UE接到密钥更新通知后，再次向 BSF发出鉴权请求， BSF接收到该请求后与该 UE执行 AKA互鉴权协议，鉴权成功后 BSF . 给该 UE分配一个新的 B-TID, 并且与该 UE共享了一个新的密钥 Ks; 步骤 306, UE向 NAF1发送包含新 B-TID的业务请求；

步骤 307, NAF1向 BSF查询该新 B-TID的信息；

步骤 308, BSF 居查询消息中的 UE标识查询到该新 B-TID后， . 跟据该 B-TID所对应的新 Ks 以及 NAF1 的标识等产生新的衍生密钥 Ks-NAFl ,并为该新的衍生密钥 Ks-NAFl设置有效期限，然后将查询到的新 B-TID、 Ks-NAFl 以及该 Ks-NAFl的有效期限包含在查询成功的响应消息中返回给 NAF 1；

步骤 309，由于用户终端与一个 NAF只建立一个连接，因而 BSF 根据请求查询的 NAF1的标识，以及其所查询的 UE标识判断本地是否还保存有与该 NAF标识和 UE标识同时对应的并且是没返回给 NAF的 B-TID, 如果没有，则不做处理，如果有，则 BSF确定与该 NAF标识和. UE 标识同时对应的并且没有返回的 B-TID 为不再使用且未到期的 B-TID, 之后， BSF再判断是否还有除请求查询以外的 NAF与该不再使用且未到期的 B-TID相关联，如果是，则通知与该不再使用且未到期的 B-TID相关联的 NAF该 B-TID已失效，然后再执行步骤 310, 否则直接. 执行步骤 310;

步骤 310, BSF删除与该 NAF和 UE同时对应的非返回的 B-TID及其对应信息，即删除不再使用且未到期的 B-TID及其对应信息；

步骤 311 , NAF1与该 UE应用新的 B-TID在新的 Ks-NAFl的保护' 下进行正常的通信。

上述两个实施例的主要区别在于 BSF执行删除操作的时机不同，因而导致 BSF确定不再使用且未到期的 B-TID的方式不同。图 2所示实施例中， BSF接收到来自 UE的鉴权请求并鉴权成功后，确定并删除本地保存的已不再使用且未到期的 B-TID; 图 3所示实施例中， BSF接收到来自 NAF的查询 B-TID的查询消息后，确定并删除本地保存的已不再使用且未到期的 B-TID。

对于上述两个实施例，接收到原有 B-TID失效通知的 NAF,根据自身当前的配置决定是使用现有的密钥，还是通知 UE进行密钥更新。如果 NAF通知 UE进行密钥更新，则 UE使用已更新的 B-TID向该 NAF 发出请求， NAF向 BSF进行查询时，由 BSF根据新的 Ks及 NAF标识. 产生新的 Ks-NAF, 从而实现密钥更新的目的；如果 NAF决定继续使用原有的 B-TID及其密钥信息，则其现有的通信将不受任何影响。当然， BSF也可以不向 NAF发送 B-TID失效的通知，此时， NAF将继续使用原有的 B-TID及其密钥信息。以上只是提供了多种应用方式，在实际应. 用中，运营商可才据实际情况决定釆用哪种方式。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种删除会话事务标识及其对应信息的方法，其特征在于，该方法包括以下步骤：

BSF判定本地保存有已不再使用且未到期的 B-TID后，删除该已不再使用且未到期的 B-TID及其对应信息。

2、根据权利要求 1所述的方法，其特征在于，所述 BSF判定本地保存有已不再使用且未到期的 B-TID的方法包括以下步骤：

a、 BSF判断来自用户终端的鉴权请求中是否包含 B-TID, 如果是，则确定本地保存的该 B-TID为已不再使用且未到期的 B-TID, 否则执行步骤 b;

b、 BSF确认该用户终端只能够拥有一个 B-TID后，判断本地是否已保存有与该用户终端对应的 B-TID, 如果是，则确定该与用户终端对应的 B-TID为已不再使用且未到期的 B-TID。

3、根据权利要求 2所述的方法，其特征在于， BSF判定本地保存有已不再使用且未到期的 B-TID后，进一步包括： BSF判断来自用户终端的鉴权请求中是否包含与该 B-TID对应的 NAF标识，如果是，

则 BSF删除已不再使用且未到期的 B-TID及其对应信息之前，通知除去鉴权请求中已标识的 NAP之外的与该 B-TID相关联的 NAF 该 B-TID已失效，否则通知所有与该 B-TID相关联的 NAF该 B-TID已失效。

4、根据权利要求 1所述的方法，其特征在于，所述 BSF判定本地保存有已不再使用且未到期的 B-TID的方法包括以下步骤：

BSF给请求查询的 NAF返回其所需要的 B-TID及其对应信息后，根据该 NAF 的标识以及其所查询用户终端的标识，判断本地是否还保存有与该 NAF标识和其所查询的用户终端标识同时对应的并且不返回给 NAF的 B-TID, 如果有，则确定与该 NAF标识和其所查询的用户终端标识同时对应的并且不返回的 B-TID 为已不再使用且未到期的 B-TID。

5、根据权利要求 4所述的方法，其特征在于，所述 BSF判断出本地保存有已不再使用且未到期的 B-TID后，该方法进一步包括： BSF判断是否还有除请求查询以外的 NAF与该已不再使用且未到期的 B-TID 相关联，如果是，则通知与该 B-TID相关联的除请求查询以外的 NAF 该 B-TID已失效。

6、根据权利要求 3或 5所述的方法，其特征在于，该方法进一步包括：接收到某 B-TID已失效通知的 NAF,根据自身当前的配置决定是否通知用户终端进行密钥更新。