專利名稱:通用引導(dǎo)體系中密鑰重協(xié)商的觸發(fā)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線通信領(lǐng)域�����,尤其涉及寬帶碼分多址(WCDMA�����,Wideband Code Division Multiple Access)系統(tǒng)通用引導(dǎo)體系(GBA,Generic Bootstrapping Architecture)中密鑰管理方法��。
背景技術(shù):
WCDMA標(biāo)準(zhǔn)由第三代合作伙伴計劃組織(3GPP���,3rd GenerationPartnership Project)制訂�����,已有R99、R4�、R5三個版本完成定稿,現(xiàn)階段正在進(jìn)行R6版本的制訂工作�。考慮到大多數(shù)移動終端設(shè)備與應(yīng)用服務(wù)器在通信之前需要進(jìn)行互認(rèn)證��,因此在R6版本中提出了通用認(rèn)證框架(Generic Authentication Architecture)的概念�,為終端和基于IP協(xié)議的應(yīng)用提供統(tǒng)一的認(rèn)證機制,取代以往應(yīng)用一種認(rèn)證方案的方法��。GBA是GAA中基于預(yù)共享密鑰的認(rèn)證方案����。
附圖1中列出了GBA參考模型的網(wǎng)絡(luò)實體及它們之間的接口。其中用戶設(shè)備(UE����,User Equipment)需要訪問NAF(Network ApplicationFunction�,網(wǎng)絡(luò)應(yīng)用功能)上的某種應(yīng)用����,但該應(yīng)用需要使用密鑰進(jìn)行保護。而密鑰由UE和引導(dǎo)服務(wù)器功能(BSF��,Bootstrapping Server Function)通過RFC2617″HTTP AuthenticationBasic and Digest AccessAuthentication″所描述的HTTP Digest AKA協(xié)議協(xié)商獲得�����,同時UE與BSF也完成了終端與網(wǎng)絡(luò)的實體認(rèn)證�。歸屬用戶系統(tǒng)(HSS,Home SubscriberSystem)上保存了核心網(wǎng)與用戶設(shè)備間共享的密鑰以及其他有關(guān)用戶的所有信息���,它在協(xié)商中為BSF提供這些必要的數(shù)據(jù)��。協(xié)商完成后�����,NAF會向BSF請求密鑰��,BSF這時利用它們之間的安全隧道將密鑰傳遞給NAF�。后續(xù)的UE與NAF間的通信將使用該密鑰進(jìn)行保護。
在密鑰協(xié)商過程中�,BSF會通過報文將所生成密鑰的生命期值(可以是時間,也可以是流量�,或者其他類型的值)傳遞給UE。NAF在向BSF獲取密鑰時�����,BSF也會告知其密鑰的生命期�����,并且與通知UE的值相同�。
目前的標(biāo)準(zhǔn)中要求NAF不斷檢查它與UE之間共享密鑰的生命期�,當(dāng)發(fā)現(xiàn)密鑰過期后,將向UE發(fā)送重新協(xié)商的請求�,同時中止Ua接口上使用的協(xié)議。當(dāng)UE接收到請求后��,將與BSF重新協(xié)商一個新的密鑰�����?���?梢钥闯?�,目前的密鑰重協(xié)商流程是以密鑰的生命期過期為觸發(fā)條件的��,密鑰一旦過期�����,將不能繼續(xù)使用����,因此對應(yīng)的應(yīng)用協(xié)議也必須終止�,直接影響了UE與NAF間通信的連續(xù)性,從而進(jìn)一步影響了無線通信系統(tǒng)的穩(wěn)定運行�����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是現(xiàn)有技術(shù)存在的UE與NAF間的通信不連續(xù)導(dǎo)致的無線通信系統(tǒng)無法穩(wěn)定運行的缺點��,以期提出一種能夠保持UE與NAF間連續(xù)穩(wěn)定通信的通用引導(dǎo)體系中密鑰重協(xié)商的觸發(fā)方法��。
本發(fā)明所述通用引導(dǎo)體系中密鑰重協(xié)商的觸發(fā)方法�,包括以下方面將原生命期作為密鑰的硬生命期,設(shè)置一個比硬生命期小的期限作為密鑰的軟生命期����;當(dāng)?shù)竭_(dá)軟生命期時觸發(fā)協(xié)商�;協(xié)商成功后�,可立即使用新的密鑰,刪除原有的舊密鑰��;或者繼續(xù)使用舊的密鑰���,待過期后�����,才使用新的密鑰���。
本發(fā)明所述方法進(jìn)一步包括以下步驟第一步BSF和UE進(jìn)行初次的密鑰協(xié)商過程�����;第二步協(xié)商成功����,BSF將密鑰的生命期通過報文通知給UE,UE將生命期值作為硬生命期��,并根據(jù)本地策略計算軟生命期(具體的方法不限,但原則是軟生命期比硬生命期小�����,并且在一般情況下從軟生命期到硬生命期內(nèi)可完成一次成功的密鑰協(xié)商�,以便密鑰在到達(dá)硬生命期時,已有新的密鑰可供使用�����,這里的一般情況指設(shè)備運轉(zhuǎn)正常����、網(wǎng)絡(luò)運行正常、配置正確等)�;軟生命期計算的方法可以是以下這些方法,但不限于這些方法a)將硬生命期減去一個適當(dāng)?shù)墓潭ǖ闹底鳛檐浬?��;b)將硬生命期乘以某個百分比�����,如90%��,作為軟生命期����;c)將硬生命期減去一個適當(dāng)?shù)碾S機值作為軟生命期,可以對隨機值的范圍做限定�����。
第三步NAF向BSF請求所協(xié)商的密鑰���,BSF發(fā)送密鑰的同時也告知密鑰的生命期�,NAF也將密鑰作為硬生命期�,計算密鑰的軟生命期,計算原則與第二步相同�;第四步UE和NAF都不斷檢查密鑰的生命期,如果UE首先發(fā)現(xiàn)密鑰到達(dá)軟生命期�����,則向NAF發(fā)送通知(notification)����,NAF返回相應(yīng)的重協(xié)商請求報文(Bootstrapping Renegotiation Request)��,這時U E和BSF會進(jìn)行第二次密鑰協(xié)商�,在協(xié)商期間�,UE和NAF可繼續(xù)使用原來的密鑰保護應(yīng)用數(shù)據(jù)���;第五步如果是NAF首先發(fā)現(xiàn)密鑰到達(dá)軟生命期���,則向UE發(fā)送重協(xié)商請求報文(Bootstrapping Renegotiation Request),這時UE也將會和BSF進(jìn)行第二次密鑰協(xié)商�����,同樣的����,在協(xié)商期間,UE和NAF可繼續(xù)使用原來密鑰保護應(yīng)用數(shù)據(jù)��;第六步當(dāng)協(xié)商成功完成����,并且NAF已獲得密鑰后,UE和NAF可立即使用新的密鑰��;或者繼續(xù)使用原密鑰���,直到密鑰過期后再使用新密鑰�����;如果協(xié)商失敗���,則UE和NAF繼續(xù)使用原有密鑰����,直到密鑰到達(dá)硬生命期����,在此期間是否再發(fā)起協(xié)商由UE和NAF的本地策略決定;第七步UE和NAF再重新計算新密鑰的軟生命期����,重復(fù)前面步驟四到步驟六的操作,直到通信結(jié)束�����。
本發(fā)明所述方法由于將原來的生命期作為密鑰的硬生命期��,并設(shè)置一個比硬生命期小的期限作為密鑰的軟生命期��,從而有效的解決現(xiàn)有技術(shù)中觸發(fā)方式導(dǎo)致通信中斷的問題�����,能夠確保通信的連續(xù)性��,從而進(jìn)一步保證系統(tǒng)的穩(wěn)定運行�。
圖1是GBA的參考模型圖。
圖2是UE首先到達(dá)軟生命期時NAF回送協(xié)商觸發(fā)報文示意圖�����。
圖3是NAF首先到達(dá)軟生命期時向UE發(fā)送協(xié)商觸發(fā)報文示意圖�����。
具體實施例方式
下面結(jié)合附圖和具體實施方式
對本發(fā)明所述方法作進(jìn)一步說明���。
本發(fā)明所提出的GBA中密鑰重協(xié)商的觸發(fā)方法將原來的生命期作為密鑰的硬生命期���,設(shè)置一個比硬生命期小的期限作為密鑰的軟生命期,當(dāng)?shù)竭_(dá)軟生命期時就觸發(fā)協(xié)商�,協(xié)商成功后,可立即使用新的密鑰�����,刪除原有的舊密鑰,也可以繼續(xù)使用舊的密鑰��,直到過期后����,才使用新的密鑰。這樣通信就可以不間斷的進(jìn)行下去���。
具體說明如下NAF和UE間沒有共享的密鑰�,因此BSF和UE進(jìn)行初次的密鑰協(xié)商過程��;如協(xié)商成功��,BSF將密鑰的生命期通過報文通知給UE��,UE將生命期值作為硬生命期���,并根據(jù)本地策略計算軟生命期����,具體的方法不限�,但原則是軟生命期比硬生命期小�����,并且在一般情況下從軟生命期到硬生命期內(nèi)可完成一次成功的密鑰協(xié)商,以便密鑰在到達(dá)硬生命期時�����,已有新的密鑰可供使用���,這里的一般情況指設(shè)備運轉(zhuǎn)正常����、網(wǎng)絡(luò)運行正常���、配置正確等�����;軟生命期計算的方法可以是以下這些方法�����,但不限于這些方法(1)將硬生命期減去一個適當(dāng)?shù)墓潭ǖ闹底鳛檐浬冢?2)將硬生命期乘以某個百分比���,如90%�����,作為軟生命期��;(3)將硬生命期減去一個適當(dāng)?shù)碾S機值作為軟生命期��,可以對隨機值的范圍做限定�����。然后NAF向BSF請求所協(xié)商的密鑰��,BSF發(fā)送密鑰的同時也告知密鑰的生命期�����,NAF也將密鑰作為硬生命期����,計算密鑰的軟生命期,計算原則與前面所述相同��。
UE和NAF都不斷檢查密鑰的生命期���,如果UE首先發(fā)現(xiàn)密鑰到達(dá)軟生命期�,則向NAF發(fā)送通知(notify),NAF會返回相應(yīng)的協(xié)商觸發(fā)報文����,這時UE和BSF會進(jìn)行第二次密鑰協(xié)商,在協(xié)商期間���,UE和NAF可繼續(xù)使用原來的密鑰保護應(yīng)用數(shù)據(jù)。如果是NAF首先發(fā)現(xiàn)密鑰到達(dá)軟生命期��,則向UE發(fā)送協(xié)商觸發(fā)報文��,這時UE也將會和BSF進(jìn)行第二次密鑰協(xié)商�,同樣的,在協(xié)商期間���,UE和NAF可繼續(xù)使用原來密鑰保護應(yīng)用數(shù)據(jù)�����。當(dāng)協(xié)商成功完成����,并且NAF已獲得密鑰后,UE和NAF可立即使用新的密鑰�����;或者繼續(xù)使用原密鑰��,直到密鑰過期后再使用新密鑰���;如果協(xié)商失敗����,則UE和NAF繼續(xù)使用原有密鑰�����,直到密鑰到達(dá)硬生命期����,在此期間是否再發(fā)起協(xié)商由UE和NAF的本地策略決定。最后�����,UE和NAF再重新計算新密鑰的軟生命期,從UE和NAF都不斷檢查密鑰的生命期步驟開始重復(fù)前面步驟直到通信結(jié)束�����。
采用本發(fā)明���,可有效的解決原有觸發(fā)方式導(dǎo)致通信中斷的問題��,方法簡便�����,容易實現(xiàn)。
權(quán)利要求
1.一種通用引導(dǎo)體系中密鑰重協(xié)商的觸發(fā)方法���,其特征在于��,包括以下方面將原生命期作為密鑰的硬生命期���,設(shè)置一個比硬生命期小的期限作為密鑰的軟生命期;當(dāng)?shù)竭_(dá)軟生命期時觸發(fā)協(xié)商����;協(xié)商成功后,可立即使用新的密鑰,刪除原有的舊密鑰����;或者繼續(xù)使用舊的密鑰,待過期后��,才使用新的密鑰�����。
2.根據(jù)權(quán)利要求1所述通用引導(dǎo)體系中密鑰重協(xié)商的觸發(fā)方法����,其特征在于,進(jìn)一步包括以下步驟第一步引導(dǎo)服務(wù)器功能模塊和用戶設(shè)備進(jìn)行初次的密鑰協(xié)商過程��;第二步協(xié)商成功����,引導(dǎo)服務(wù)器功能模塊將密鑰的生命期通過報文通知給用戶設(shè)備,用戶設(shè)備將生命期值作為硬生命期����,并根據(jù)本地策略計算軟生命期;第三步網(wǎng)絡(luò)應(yīng)用功能模塊向引導(dǎo)服務(wù)器功能模塊請求所協(xié)商的密鑰�����,引導(dǎo)服務(wù)器功能模塊發(fā)送密鑰時告知密鑰的生命期,網(wǎng)絡(luò)應(yīng)用功能模塊模塊將密鑰作為硬生命期��,并計算密鑰的軟生命期���;第四步用戶設(shè)備和網(wǎng)絡(luò)應(yīng)用功能模塊都不斷檢查密鑰的生命期�,如果用戶設(shè)備首先發(fā)現(xiàn)密鑰到達(dá)軟生命期�,則向網(wǎng)絡(luò)應(yīng)用功能模塊發(fā)送通知,網(wǎng)絡(luò)應(yīng)用功能模塊返回相應(yīng)的協(xié)商觸發(fā)報文�,同時用戶設(shè)備和引導(dǎo)服務(wù)器功能模塊進(jìn)行第二次密鑰協(xié)商,在協(xié)商期間����,用戶設(shè)備和網(wǎng)絡(luò)應(yīng)用功能模塊繼續(xù)使用原來的密鑰保護應(yīng)用數(shù)據(jù);第五步如果是網(wǎng)絡(luò)應(yīng)用功能模塊首先發(fā)現(xiàn)密鑰到達(dá)軟生命期�,則向用戶設(shè)備發(fā)送協(xié)商觸發(fā)報文���,同時用戶設(shè)備和引導(dǎo)服務(wù)器功能模塊進(jìn)行第二次密鑰協(xié)商����,在協(xié)商期間����,用戶設(shè)備和網(wǎng)絡(luò)應(yīng)用功能模塊繼續(xù)使用原來密鑰保護應(yīng)用數(shù)據(jù)���;第六步當(dāng)協(xié)商成功完成,并且網(wǎng)絡(luò)應(yīng)用功能模塊已獲得密鑰后���,用戶設(shè)備和網(wǎng)絡(luò)應(yīng)用功能模塊立即使用新的密鑰�����;或者繼續(xù)使用原密鑰���,直到密鑰過期后再使用新密鑰;如果協(xié)商失敗��,則用戶設(shè)備和網(wǎng)絡(luò)應(yīng)用功能模塊繼續(xù)使用原有密鑰����,直到密鑰到達(dá)硬生命期,在此期間是否再發(fā)起協(xié)商由用戶設(shè)備和網(wǎng)絡(luò)應(yīng)用功能模塊的本地策略決定����;第七步用戶設(shè)備和網(wǎng)絡(luò)應(yīng)用功能模塊再重新計算新密鑰的軟生命期,重復(fù)前面第四步到第六步的操作�����,直到通信結(jié)束。
3.根據(jù)權(quán)利要求2所述的通用引導(dǎo)體系中密鑰重協(xié)商的觸發(fā)方法�����,其特征在于�,在第二步和第三步中所述本地策略的原則是軟生命期比硬生命期小,并且在設(shè)備運轉(zhuǎn)正常��、網(wǎng)絡(luò)運行正常���、配置正確的情況下從軟生命期到硬生命期內(nèi)可完成一次成功的密鑰協(xié)商���。
4.根據(jù)權(quán)利要求2或3所述的通用引導(dǎo)體系中密鑰重協(xié)商的觸發(fā)方法,其特征在于�����,在第二步和第三步中軟生命期計算的方法是將硬生命期減去一個固定值作為軟生命期���。
5.根據(jù)權(quán)利要求2或3所述的通用引導(dǎo)體系中密鑰重協(xié)商的觸發(fā)方法,其特征在于��,在第二步和第三步中軟生命期計算的方法是將硬生命期乘以某個百分比作為軟生命期。
6.根據(jù)權(quán)利要求2或3所述的通用引導(dǎo)體系中密鑰重協(xié)商的觸發(fā)方法����,其特征在于,在第二步和第三步中軟生命期計算的方法是將硬生命期減去一個隨機值作為軟生命期�����。
全文摘要
本發(fā)明公開了一種通用引導(dǎo)體系中密鑰重協(xié)商的觸發(fā)方法�����,包括以下方面將原生命期作為密鑰的硬生命期���,設(shè)置一個比硬生命期小的期限作為密鑰的軟生命期����;當(dāng)?shù)竭_(dá)軟生命期時觸發(fā)協(xié)商�����;協(xié)商成功后���,可立即使用新的密鑰����,刪除原有的舊密鑰;或者繼續(xù)使用舊的密鑰��,待過期后��,才使用新的密鑰�。本發(fā)明克服了現(xiàn)有技術(shù)存在的用戶設(shè)備與網(wǎng)絡(luò)應(yīng)用功能模塊間的通信不連續(xù)導(dǎo)致的無線通信系統(tǒng)無法穩(wěn)定運行的缺點,能夠保持用戶設(shè)備與網(wǎng)絡(luò)應(yīng)用功能模塊間連續(xù)穩(wěn)定通信����。
文檔編號H04L9/10GK1777094SQ20041009101
公開日2006年5月24日 申請日期2004年11月15日 優(yōu)先權(quán)日2004年11月15日
發(fā)明者趙潔, 陳劍勇, 李遠(yuǎn)威, 陳璟, 李卓明, 趙志飛 申請人:中興通訊股份有限公司