專利名稱:一種通用引導(dǎo)體系中密鑰在生命期內(nèi)終止使用的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種無線通信領(lǐng)域中的密鑰管理的方法,尤其涉及的是一種WCDMA(Wideband Code Division Multiple Access)系統(tǒng)中通用引導(dǎo)體系GBA(GenericBootstrapping Architecture,以下簡稱GBA)中密鑰管理安全的處理方法。
背景技術(shù):
現(xiàn)有技術(shù)中,WCDMA標(biāo)準(zhǔn)由第三代合作伙伴計(jì)劃組織(3rd GenerationPartnership Project-3GPP)制訂,已有R99、R4、R5三個(gè)版本完成定稿,現(xiàn)階段正在進(jìn)行R6版本的制訂工作??紤]到大多數(shù)移動(dòng)終端設(shè)備與應(yīng)用服務(wù)器在通信之前需要進(jìn)行互認(rèn)證,因此在R6版本中提出了通用認(rèn)證框架GAA(GenericAuthentication Architecture)的概念,為終端和基于IP協(xié)議的應(yīng)用提供統(tǒng)一的認(rèn)證機(jī)制,取代以往的一種應(yīng)用采用一種認(rèn)證方案的方法。而GBA是GAA中基于預(yù)共享密鑰的認(rèn)證方案。
如圖1中所示列出了GBA參考模型的網(wǎng)絡(luò)實(shí)體及它們之間的接口。其中用戶設(shè)備UE(User Equipment,以下簡稱UE)需要訪問網(wǎng)絡(luò)應(yīng)用功能NAF(NetworkApplication Function,以下簡稱NAF)上的某種應(yīng)用,但該應(yīng)用需要使用密鑰進(jìn)行保護(hù)。而密鑰由UE和引導(dǎo)服務(wù)器功能BSF(Bootstrapping Server Function,以下簡稱BSF)通過RFC2617″HTTP AuthenticationBasic and Digest AccessAuthentication″所描述的HTTP Digest AKA協(xié)議協(xié)商獲得,同時(shí)UE與BSF也完成了終端與網(wǎng)絡(luò)的實(shí)體認(rèn)證。歸屬用戶系統(tǒng)HSS(Home Subscriber System,以下簡稱HSS)上保存了核心網(wǎng)與用戶設(shè)備間共享的密鑰以及其他有關(guān)用戶的所有信息,它在協(xié)商中為BSF提供這些必要的數(shù)據(jù)。協(xié)商完成后,NAF會(huì)向BSF請(qǐng)求密鑰,BSF這時(shí)利用它們之間的安全隧道將密鑰傳遞給NAF。后續(xù)的UE與NAF間的通信將使用該密鑰進(jìn)行保護(hù)。
在密鑰協(xié)商過程中,BSF會(huì)通過報(bào)文將所生成密鑰的生命期值,可以是時(shí)間,也可以是流量,或者其他類型的值,傳遞給UE。NAF在向BSF獲取密鑰時(shí),BSF也會(huì)告知其密鑰的生命期,并且與通知UE的值相同。
目前的標(biāo)準(zhǔn)中規(guī)定,NAF會(huì)不斷的檢查它與UE之間共享密鑰的生命期,當(dāng)發(fā)現(xiàn)密鑰過期后,將向UE發(fā)送重新協(xié)商的請(qǐng)求,同時(shí)中止NAF和UE之間的Ua接口上使用的協(xié)議。當(dāng)UE接收到請(qǐng)求后,將與BSF重新協(xié)商一個(gè)新的密鑰。
可以發(fā)現(xiàn)目前的密鑰使用過程中,是以密鑰的生命期過期為密鑰終止使用的唯一條件,而密鑰的生命期是在BSF生成的,并且在傳遞給UE使用中是一直不變的。密鑰在生命期內(nèi)一直可以使用,過了生命期則不能繼續(xù)使用。但是如果由于某種原因,比如密鑰被竊取或其它密鑰變得不再安全的情況,UE或NAF需要在密鑰生命期內(nèi)終止該密鑰的使用,則現(xiàn)有標(biāo)準(zhǔn)中沒有作出相應(yīng)的規(guī)定。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種通用引導(dǎo)體系中密鑰在生命期內(nèi)終止使用的方法,分為兩種情況,(1)UE主動(dòng)終止當(dāng)前正在生命期內(nèi)的密鑰;(2)NAF主動(dòng)終止當(dāng)前正在生命期內(nèi)的密鑰,實(shí)現(xiàn)在密鑰不安全的情況下在密鑰生命期內(nèi)終止該密鑰的使用,以保證其安全性。
本發(fā)明的技術(shù)方案包括一種通用引導(dǎo)體系中密鑰在生命期內(nèi)終止使用的方法,包括以下步驟A、引導(dǎo)服務(wù)器功能和用戶設(shè)備進(jìn)行密鑰協(xié)商過程,協(xié)商成功,引導(dǎo)服務(wù)器功能將密鑰的生命期通過報(bào)文通知給用戶設(shè)備;B、網(wǎng)絡(luò)應(yīng)用功能向引導(dǎo)服務(wù)器功能請(qǐng)求所協(xié)商的密鑰,所述引導(dǎo)服務(wù)器功能發(fā)送密鑰的同時(shí)也告知密鑰的生命期;C、由用戶設(shè)備或網(wǎng)絡(luò)應(yīng)用功能主動(dòng)終止當(dāng)前正在生命期內(nèi)的密鑰。
所述的方法,其中,所述步驟C在用戶設(shè)備主動(dòng)終止當(dāng)前正在生命期內(nèi)的密鑰時(shí)還包括C11、向所述網(wǎng)絡(luò)應(yīng)用功能發(fā)送密鑰廢除的通知;C12、所述網(wǎng)絡(luò)應(yīng)用功能接到通知后終止該密鑰的使用,終止與用戶設(shè)備間的應(yīng)用協(xié)議的通信,刪除與用戶設(shè)備之間的安全關(guān)聯(lián);所述的方法,其中,所述驟C在網(wǎng)絡(luò)應(yīng)用功能主動(dòng)終止當(dāng)前正在生命期內(nèi)的密鑰時(shí)還包括C21、所述網(wǎng)絡(luò)應(yīng)用功能向用戶設(shè)備發(fā)送密鑰廢除的通知;C22、所述網(wǎng)絡(luò)應(yīng)用功能主動(dòng)終止密鑰的使用,終止與用戶設(shè)備間的應(yīng)用協(xié)議的通信,刪除與用戶設(shè)備之間的安全關(guān)聯(lián)C23、所述網(wǎng)絡(luò)應(yīng)用功能向用戶設(shè)備發(fā)送密鑰協(xié)商觸發(fā)報(bào)文。
所述的方法,其中,所述密鑰廢除的通知包含安全審計(jì)信息,包括當(dāng)前時(shí)間、當(dāng)前應(yīng)用ID、密鑰廢除原因。
本發(fā)明所提供的一種通用引導(dǎo)體系中密鑰在生命期內(nèi)終止使用的方法,與現(xiàn)有技術(shù)相比,有效的解決了原有通信過程中一定要等到密鑰生命期結(jié)束才能停止一個(gè)密鑰的使用的問題,而在密鑰生命期中即可終止該密鑰的使用,應(yīng)用于某些特殊需要的情況下,比如該密鑰已經(jīng)被竊取或者其它密鑰變得不再安全的情況等,增強(qiáng)了密鑰的安全性。
圖1為現(xiàn)有技術(shù)的GBA的參考模型示意圖;圖2是本發(fā)明方法中的UE主動(dòng)申請(qǐng)終止當(dāng)前正在生命期內(nèi)的密鑰過程示意圖;圖3是本發(fā)明方法中NAF主動(dòng)申請(qǐng)終止當(dāng)前正在生命期內(nèi)的密鑰流程示意圖。
具體實(shí)施例方式
以下結(jié)合附圖,將對(duì)本發(fā)明的各較佳實(shí)施例進(jìn)行較為詳細(xì)的說明。
本發(fā)明的通用引導(dǎo)體系中密鑰在生命期內(nèi)終止使用的方法,其核心思想是在GBA認(rèn)證體系中增加一項(xiàng)功能,就是UE或NAF可以在密鑰生命期內(nèi)終止該密鑰的使用,以滿足可能的需求。
本發(fā)明方法主要包括以下步驟一、NAF和UE間沒有共享的密鑰,因此首先BSF和UE進(jìn)行密鑰協(xié)商過程;二、協(xié)商成功,BSF將密鑰的生命期通過報(bào)文通知給UE;三、NAF向BSF請(qǐng)求所協(xié)商的密鑰,BSF發(fā)送密鑰的同時(shí)也告知密鑰的生命期;四、如果UE主動(dòng)要終止當(dāng)前正在生命期內(nèi)的密鑰,則執(zhí)行以下步驟a)向NAF發(fā)送密鑰廢除的通知(notify),通知中可以包含安全審計(jì)信息,比如當(dāng)前時(shí)間、當(dāng)前應(yīng)用ID、密鑰廢除原因等;b)NAF接到通知后終止密鑰的使用,終止與UE間的應(yīng)用協(xié)議等通信,刪除與UE之間的安全關(guān)聯(lián);c)返回步驟一。
五、如果NAF主動(dòng)要終止當(dāng)前正在生命期內(nèi)的密鑰,則執(zhí)行以下步驟a)由NAF向UE發(fā)送密鑰廢除的通知(notify),通知中可以包含安全審計(jì)信息,比如當(dāng)前時(shí)間、當(dāng)前應(yīng)用ID、密鑰廢除原因等;b)NAF主動(dòng)終止密鑰的使用,終止與UE間的應(yīng)用協(xié)議等通信,刪除與UE之間的安全關(guān)聯(lián);c)NAF向UE發(fā)送密鑰協(xié)商觸發(fā)報(bào)文(Bootstrapping RenegotiationRequest);d)返回步驟一。
在圖2中所示,UE主動(dòng)要終止當(dāng)前正在生命期內(nèi)的密鑰時(shí),則執(zhí)行以下具體步驟1.UE向NAF發(fā)送密鑰廢除的通知(notify),通知中可以包含安全審計(jì)信息,比如當(dāng)前時(shí)間、當(dāng)前應(yīng)用ID、密鑰廢除原因等;2.NAF接到通知后終止密鑰的使用,終止與UE間的應(yīng)用協(xié)議等通信,刪除與UE之間的安全關(guān)聯(lián);3.這時(shí)NAF和UE間沒有共享的密鑰,因此BSF和UE進(jìn)行密鑰協(xié)商過程;4.以后的步驟按現(xiàn)有GBA體系Bootstrapping Procedure進(jìn)行。
在圖3中所示,NAF主動(dòng)要終止當(dāng)前正在生命期內(nèi)的密鑰,則執(zhí)行以下具體步驟1.NAF向UE發(fā)送密鑰廢除的通知(notify),通知中可以包含安全審計(jì)信息,比如當(dāng)前時(shí)間、當(dāng)前應(yīng)用ID、密鑰廢除原因等;2.NAF主動(dòng)終止密鑰的使用,終止與UE間的應(yīng)用協(xié)議等通信,刪除與UE之間的安全關(guān)聯(lián);3.NAF向UE發(fā)送密鑰協(xié)商觸發(fā)報(bào)文(Bootstrapping Renegotiation Request);4.BSF和UE進(jìn)行密鑰協(xié)商過程;5.以后的步驟按現(xiàn)有GBA體系Bootstrapping Procedure進(jìn)行。
本發(fā)明的所述通用引導(dǎo)體系中密鑰在生命期內(nèi)終止使用的方法,如此即實(shí)現(xiàn)了在密鑰生命期內(nèi)通過UE或NAF實(shí)現(xiàn)密鑰的終止使用,從而保證了在密鑰不再安全的情況下終止對(duì)該密鑰的使用,保證了系統(tǒng)的安全性,且實(shí)現(xiàn)簡單。
但應(yīng)當(dāng)理解的是,上述針對(duì)具體實(shí)施例的描述較為具體,并不能因此而理解為對(duì)本發(fā)明的專利保護(hù)范圍的限制,本發(fā)明的專利保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。
權(quán)利要求
1.一種通用引導(dǎo)體系中密鑰在生命期內(nèi)終止使用的方法,包括以下步驟A、引導(dǎo)服務(wù)器功能和用戶設(shè)備進(jìn)行密鑰協(xié)商過程,協(xié)商成功,引導(dǎo)服務(wù)器功能將密鑰的生命期通過報(bào)文通知給用戶設(shè)備;B、網(wǎng)絡(luò)應(yīng)用功能向引導(dǎo)服務(wù)器功能請(qǐng)求所協(xié)商的密鑰,所述引導(dǎo)服務(wù)器功能發(fā)送密鑰的同時(shí)也告知密鑰的生命期;C、由用戶設(shè)備或網(wǎng)絡(luò)應(yīng)用功能主動(dòng)終止當(dāng)前正在生命期內(nèi)的密鑰。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟C在用戶設(shè)備主動(dòng)終止當(dāng)前正在生命期內(nèi)的密鑰時(shí)還包括C11、向所述網(wǎng)絡(luò)應(yīng)用功能發(fā)送密鑰廢除的通知;C12、所述網(wǎng)絡(luò)應(yīng)用功能接到通知后終止該密鑰的使用,終止與用戶設(shè)備間的應(yīng)用協(xié)議的通信,刪除與用戶設(shè)備之間的安全關(guān)聯(lián)。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述驟C在網(wǎng)絡(luò)應(yīng)用功能主動(dòng)終止當(dāng)前正在生命期內(nèi)的密鑰時(shí)還包括C21、所述網(wǎng)絡(luò)應(yīng)用功能向用戶設(shè)備發(fā)送密鑰廢除的通知;C22、所述網(wǎng)絡(luò)應(yīng)用功能主動(dòng)終止密鑰的使用,終止與用戶設(shè)備間的應(yīng)用協(xié)議的通信,刪除與用戶設(shè)備之間的安全關(guān)聯(lián);C23、所述網(wǎng)絡(luò)應(yīng)用功能向用戶設(shè)備發(fā)送密鑰協(xié)商觸發(fā)報(bào)文。
4.根據(jù)權(quán)利要求2或3所述的方法,其特征在于,所述密鑰廢除的通知包含安全審計(jì)信息,包括當(dāng)前時(shí)間、當(dāng)前應(yīng)用ID、密鑰廢除原因。
全文摘要
本發(fā)明公開了一種通用引導(dǎo)體系中密鑰在生命期內(nèi)終止使用的方法,包括以下步驟引導(dǎo)服務(wù)器功能和用戶設(shè)備進(jìn)行密鑰協(xié)商過程,協(xié)商成功,引導(dǎo)服務(wù)器功能將密鑰的生命期通過報(bào)文通知給用戶設(shè)備;網(wǎng)絡(luò)應(yīng)用功能向引導(dǎo)服務(wù)器功能請(qǐng)求所協(xié)商的密鑰,所述引導(dǎo)服務(wù)器功能發(fā)送密鑰的同時(shí)也告知密鑰的生命期;由用戶設(shè)備或網(wǎng)絡(luò)應(yīng)用功能主動(dòng)終止當(dāng)前正在生命期內(nèi)的密鑰。本發(fā)明方法有效的解決了原有通信過程中一定要等到密鑰生命期結(jié)束才能停止一個(gè)密鑰的使用的問題,而在密鑰生命期中即可終止該密鑰的使用,對(duì)在該密鑰已經(jīng)被竊取或者其它密鑰變得不再安全的情況等時(shí),增強(qiáng)了密鑰的安全性。
文檔編號(hào)H04L9/00GK1750457SQ200510117719
公開日2006年3月22日 申請(qǐng)日期2005年11月7日 優(yōu)先權(quán)日2005年11月7日
發(fā)明者李櫟, 趙潔 申請(qǐng)人:中興通訊股份有限公司