專利名稱:用于驗(yàn)證實(shí)體的第一標(biāo)識和第二標(biāo)識的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及驗(yàn)證網(wǎng)絡(luò)實(shí)體的標(biāo)識。
背景技術(shù):
當(dāng)前朝著真正移動(dòng)的計(jì)算和聯(lián)網(wǎng)的發(fā)展已經(jīng)帶來了各種接入技術(shù)的演進(jìn)��,在用戶在他們自己的歸屬網(wǎng)絡(luò)以外時(shí)這些接入技術(shù)還為他們提供對因特網(wǎng)的接入����。提供真正無處不在的萬維網(wǎng)(WWW)接入的第一公共通信網(wǎng)是基于GSM的移動(dòng)電話網(wǎng)。
迄今為止,因特網(wǎng)的使用已經(jīng)為個(gè)人到機(jī)器的通信即信息服務(wù)所支配��。朝著所謂第三代(3G)無線網(wǎng)絡(luò)的演進(jìn)隨之帶來移動(dòng)多媒體通信��,這也將改變基于IP的服務(wù)在公共移動(dòng)網(wǎng)中的利用方式����。如第三代合作伙伴項(xiàng)目(3GPP)所規(guī)定的IP多媒體子系統(tǒng)(IMS)將移動(dòng)語音通信與因特網(wǎng)技術(shù)相結(jié)合,允許將基于IP的多媒體服務(wù)運(yùn)用于移動(dòng)網(wǎng)絡(luò)中��。
發(fā)明人已經(jīng)發(fā)現(xiàn)移動(dòng)多媒體通信在第三代無線網(wǎng)絡(luò)中的重要問題���,即標(biāo)識一致性檢驗(yàn)在所謂第三代通用認(rèn)證架構(gòu)GAA中的問題�。這一點(diǎn)例如在技術(shù)規(guī)范TS 33.220v6中有所描述�����。
具有多媒體功能的新移動(dòng)終端(多媒體電話)為應(yīng)用開發(fā)者提供了開放式開發(fā)平臺��,允許獨(dú)立的應(yīng)用開發(fā)者為多媒體環(huán)境設(shè)計(jì)新服務(wù)和應(yīng)用���。用戶就可以將新應(yīng)用/服務(wù)下載到他們的移動(dòng)終端而且在其中使用它們��。
GAA將作為用于多個(gè)未來應(yīng)用和服務(wù)的安全過程�。然而,本發(fā)明人已經(jīng)發(fā)現(xiàn)GAA中的缺陷�。
特別地,在GAA中需要自舉(bootstrapping)服務(wù)器功能(BSF)以便能夠驗(yàn)證網(wǎng)絡(luò)應(yīng)用功能(NAF)的公共標(biāo)識符與NAF的GAA內(nèi)部標(biāo)識符之間的綁定����。NAF的公共標(biāo)識符是用戶設(shè)備(UE)在Ua接口中使用的NAF的公共主機(jī)名。內(nèi)部NAF標(biāo)識符是在Zn接口中在對應(yīng)的DIAMETER消息中使用的網(wǎng)絡(luò)地址�����。由于自舉服務(wù)功能在NAF專用密鑰(Ks_NAF)的導(dǎo)出期間使用公共NAF標(biāo)識符�,所以在自舉功能中需要該公共NAF標(biāo)識符。
如果NAF進(jìn)行基于虛擬名的托管�����,也就是讓多個(gè)主機(jī)名映射到單個(gè)IP(因特網(wǎng)協(xié)議)地址上���,則這一問題更為明顯。因此��,在內(nèi)部NAF地址與公共NAF地址之間可能有一對多的映射����。域名服務(wù)器不能驗(yàn)證在自舉服務(wù)器功能中由某一內(nèi)部NAF地址標(biāo)識的某一NAF地址是否被授權(quán)使用某一公共NAF地址。
本發(fā)明的實(shí)施例尋求解決上述問題。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的實(shí)施例����,提供一種用于驗(yàn)證實(shí)體的第一標(biāo)識和第二標(biāo)識的方法,所述方法包括在檢驗(yàn)實(shí)體接收第一標(biāo)識信息�;將第二標(biāo)識信息從該實(shí)體發(fā)送到所述檢驗(yàn)實(shí)體;驗(yàn)證該第一標(biāo)識和第二標(biāo)識均屬于所述實(shí)體�����;以及使用所述第一標(biāo)識信息和第二標(biāo)識信息之一生成密鑰���。
根據(jù)本發(fā)明的另一實(shí)施例����,提供一種用于驗(yàn)證網(wǎng)絡(luò)應(yīng)用功能的外部接口地址和內(nèi)部接口地址的方法���,包括以下步驟在自舉功能中從用戶設(shè)備接收該內(nèi)部接口地址���;在該自舉功能中從該網(wǎng)絡(luò)應(yīng)用功能接收該外部接口地址;以及驗(yàn)證該外部接口地址和該內(nèi)部接口地址屬于該同一網(wǎng)絡(luò)應(yīng)用功能�。
根據(jù)本發(fā)明的另一實(shí)施例,提供一種系統(tǒng)��,包括檢驗(yàn)實(shí)體,該檢驗(yàn)實(shí)體被設(shè)置用以在檢驗(yàn)實(shí)體接收實(shí)體的第一標(biāo)識�����;所述實(shí)體被設(shè)置用以將該實(shí)體的第二標(biāo)識從該實(shí)體發(fā)送到所述檢驗(yàn)實(shí)體����,所述檢驗(yàn)實(shí)體被設(shè)置用以驗(yàn)證該第一標(biāo)識和第二標(biāo)識均屬于所述實(shí)體,以及用以從所述第一標(biāo)識和第二標(biāo)識之一生成密鑰�����。
根據(jù)本發(fā)明的另一實(shí)施例��,提供一種檢驗(yàn)實(shí)體����,被設(shè)置用以接收實(shí)體的第一標(biāo)識和該實(shí)體的第二標(biāo)識,所述第二實(shí)體標(biāo)識是從該實(shí)體接收的����,所述檢驗(yàn)實(shí)體被設(shè)置用以驗(yàn)證該第一標(biāo)識和第二標(biāo)識均屬于所述實(shí)體��,以及用以從所述第一標(biāo)識和第二標(biāo)識之一生成密鑰����。
根據(jù)本發(fā)明的實(shí)施例��,提供一種實(shí)體��,包括第一標(biāo)識和第二標(biāo)識�,所述實(shí)體被設(shè)置用以將該第二標(biāo)識發(fā)送到檢驗(yàn)實(shí)體����,以及用以從該檢驗(yàn)實(shí)體接收從所述第二標(biāo)識生成的密鑰。
為了更好地理解本發(fā)明以及可以如何將本發(fā)明付諸實(shí)踐�����,現(xiàn)在將以示例的方式對附圖進(jìn)行參照���,在附圖中圖1示出了GAA應(yīng)用的概圖�;圖2示出了在本發(fā)明的一個(gè)實(shí)施例中的第一信號流��;以及圖2示出了在本發(fā)明的另一實(shí)施例中的第二信號流�����。
具體實(shí)施例方式
現(xiàn)在參照圖1����,該圖示出了本發(fā)明實(shí)施例可以結(jié)合于其中的GAA架構(gòu)�。
提供了用戶設(shè)備UE 20��。用戶設(shè)備可以采用任何適當(dāng)?shù)男问?��,例如可以是移?dòng)電話�、個(gè)人管理器����、計(jì)算機(jī)或者任何其它適當(dāng)?shù)脑O(shè)備。用戶設(shè)備20被設(shè)置用以經(jīng)由Ub接口與自舉服務(wù)器功能BSF 28通信���。用戶設(shè)備20也被設(shè)置用以經(jīng)由Ua接口與網(wǎng)絡(luò)應(yīng)用功能NAF 29通信����。
網(wǎng)絡(luò)應(yīng)用功能29可以劃分成授權(quán)代理功能25和應(yīng)用專用服務(wù)器26���。網(wǎng)絡(luò)應(yīng)用功能29經(jīng)由Zn接口連接到自舉服務(wù)器功能28���。
自舉服務(wù)器功能28經(jīng)由Zh接口連接到歸屬訂戶系統(tǒng)HSS 27��。自舉服務(wù)器功能和用戶設(shè)備被設(shè)置用以使用AKA(認(rèn)證和密鑰協(xié)議)相互認(rèn)證而且關(guān)于會(huì)話密鑰達(dá)成協(xié)議,該密鑰此后就應(yīng)用于用戶設(shè)備與網(wǎng)絡(luò)應(yīng)用功能之間��。一旦已經(jīng)完成自舉過程�,用戶設(shè)備和NAF可以運(yùn)行某一應(yīng)用專用協(xié)議,其中對消息的認(rèn)證將基于在用戶設(shè)備與自舉服務(wù)器功能之間使用Ub接口的相互認(rèn)證期間生成的那些會(huì)話密鑰�����。一般地����,在用戶設(shè)備與NAF之間將沒有預(yù)先的安全關(guān)聯(lián)。NAF將能夠?qū)τ啈舻淖耘e服務(wù)器功能進(jìn)行定位而且與之安全地通信���。NAF將能夠獲取共享密鑰材料(key material)或者從這一共享密鑰材料導(dǎo)出的NAF專用密鑰材料�,該共享密鑰材料是通過Ub接口的自舉過程期間在用戶設(shè)備與BSF之間建立的����。NAF被設(shè)置用以檢驗(yàn)共享密鑰材料的壽命。
除了它的正常功能之外�����,HSS還在訂戶配置中存儲(chǔ)與自舉服務(wù)器功能有關(guān)的參數(shù)��。可選地�,與一些NAF的使用有關(guān)的參數(shù)被存儲(chǔ)于HSS中。
將更具體地描述接口�。Ua接口承載有通過使用密鑰材料或者導(dǎo)出密鑰材料來保證其安全的應(yīng)用協(xié)議,這些密鑰材料是由于通過Ub接口運(yùn)行HTTP摘要AKA而在用戶設(shè)備與基站功能之間所認(rèn)可的�����。
Ub接口提供用戶設(shè)備與自舉服務(wù)器功能之間的相互認(rèn)證���。它允許用戶設(shè)備基于3GPP AKA基礎(chǔ)結(jié)構(gòu)來自舉會(huì)話密鑰�。
在BSF與HSS之間使用的Zh接口協(xié)議允許BSF從HSS讀取所需的認(rèn)證信息和訂戶配置信息����。通向3G認(rèn)證中心的接口是HSS內(nèi)部的。
Zn接口由NAF用來從BSF讀取在通過Ub接口運(yùn)行的先前HTTP摘要AKA協(xié)議期間所認(rèn)可的密鑰材料或者導(dǎo)出密鑰材料���。它也可以用來從BSF讀取NAF專用訂戶配置信息����。
簡單地說�,在本發(fā)明的實(shí)施例中,NAF 29將NAF的公共標(biāo)識符發(fā)送到自舉服務(wù)器功能28。自舉服務(wù)器功能將驗(yàn)證公共NAF標(biāo)識符與內(nèi)部NAF標(biāo)識符之間的綁定����。公共NAF標(biāo)識符由BSF用來從在Ub接口中的自舉過程期間建立的主密鑰材料(Ks)導(dǎo)出NAF專用密鑰(Ks_NAF)��。特別地���,在托管NAF的網(wǎng)絡(luò)單元讓一個(gè)或多個(gè)網(wǎng)絡(luò)接口用于為來自用戶設(shè)備的輸入連接進(jìn)行服務(wù)的情況下�,本發(fā)明的實(shí)施例是適用的��。這是公共(或者外部)網(wǎng)絡(luò)接口�����,而且經(jīng)由Ua接口�。一個(gè)網(wǎng)絡(luò)接口用于連接到比如BSF這樣的運(yùn)營商服務(wù),也就是經(jīng)由NAF 29與BSF 28之間的Zn接口的內(nèi)部網(wǎng)絡(luò)接口���。
由NAF在DIAMETER消息中將在Zn接口中內(nèi)部網(wǎng)絡(luò)接口的地址添加到例如“源主機(jī)”字段���。本發(fā)明的實(shí)施例將NAF的外部網(wǎng)絡(luò)接口地址,也就是公共地址從NAF傳達(dá)到BSF��。這可以通過使用AVP(屬性值對)將該信息從NAF 29傳送到BSF來實(shí)現(xiàn)。如前所述�����,由于BSF從用戶設(shè)備所用的NAF的完全限定域名(FQDN)(也就是NAF的公共地址)導(dǎo)出NAF專用密鑰(Ks_NAF)�����,所以外部地址或者公共地址由BSF使用�����。BSF檢驗(yàn)由Zn接口中使用的內(nèi)部地址(NAF_id_Zn)所標(biāo)識的NAF被授權(quán)使用在Ua接口中使用的外部地址(NAF_id_Ua)�。
在本發(fā)明的實(shí)施例中,NAF在第一消息中發(fā)送NAF_Id_Ua����,并且接收作為響應(yīng)的確認(rèn)(或者錯(cuò)誤)消息?���?梢酝瑫r(shí)傳送UID,也可以不這樣����。對應(yīng)的響應(yīng)因此可以僅涉及公共NAF標(biāo)識符和內(nèi)部NAF標(biāo)識符的映射�����。在本發(fā)明的實(shí)施例中����,將公共NAF標(biāo)識符和內(nèi)部NAF標(biāo)識符發(fā)送到BSF���,BSF檢驗(yàn)它們之間的映射,而且使用公共NAF標(biāo)識符導(dǎo)出NAF專用密鑰�����。
現(xiàn)在將參照圖2�����,該圖示出了在本發(fā)明的一個(gè)實(shí)施例中的第一信號流����。圖2示出了經(jīng)由Zn接口在NAF 29與BSF 28之間的消息接發(fā)細(xì)節(jié)。在發(fā)生Zn接口消息接發(fā)之前���,用戶設(shè)備已經(jīng)通過Ua接口向NAF請求服務(wù)����。利用這一請求,用戶設(shè)備已經(jīng)給出TID(事務(wù)標(biāo)識符)以及可能還有用戶標(biāo)識符UID����。用戶標(biāo)識符可以在隨后的消息中從用戶設(shè)備傳送到NAF。圖2描述了在同一消息中將TID和UID從用戶設(shè)備發(fā)送到NAF的情況�。
在步驟1a中,NAF 29將TID�、NAF_id_UA和UID發(fā)送到BSF 28。BSF驗(yàn)證TID到UID的映射以及NAF_id_Zn到NAF_id_Ua的映射�����。NAF_id_Ua可以例如從源主機(jī)AVP獲得����。換句話說,BSF檢驗(yàn)由內(nèi)部地址標(biāo)識的NAF被授權(quán)使用外部地址��。如果這些驗(yàn)證成功���,則BSF使用NAF_id_UA導(dǎo)出Ks_NAF���。
在步驟2a中�,BSF將Ks_NAF和NAF專用用戶安全設(shè)置“USS”發(fā)送到NAF 29�。在本發(fā)明的一些實(shí)施例中,NAF可以沒有USS�����,因此USS AVP是可選的��。在接收Ks_NAF之后���,NAF可以完成驗(yàn)證過程,并且假設(shè)UID是正確的�。如果沒有找到TID而且TID到UID或者NAF_id_UA驗(yàn)證失敗,則BSF應(yīng)當(dāng)將錯(cuò)誤消息返回給NAF�。
在NAF被授權(quán)驗(yàn)證多個(gè)TID到UID的映射情況下,它可以在步驟3a中將包含TID和另一UID的附加請求發(fā)送到BSF��。在接收TID和UID時(shí)�����,BSF 28應(yīng)當(dāng)驗(yàn)證TID到UID的映射���,并且將結(jié)果返回到NAF 29��。這在步驟4a中發(fā)生��。在NAF被授權(quán)驗(yàn)證多個(gè)TID到UID的映射時(shí)���,BSF應(yīng)當(dāng)僅執(zhí)行該操作��。在這一情況下����,NAF可以多次重復(fù)步驟3a和步驟4a��。
現(xiàn)在將參照圖3���,該圖示出了在不同消息中接收TID和UID的情況���。例如,TID發(fā)送到針對UID的NAF�。
在步驟1b中,NAF 29將TID和NAF_ID_Ua發(fā)送到BSF����。BSF應(yīng)當(dāng)驗(yàn)證NAF_id_Zn到NAF_id_Ua的映射。如果這一驗(yàn)證成功���,則BSF使用NAF_id_Ua導(dǎo)出Ks_NAF�����。
在步驟2b中�����,BSF將Ks_NAF和NAF專用USS發(fā)送到NAF��。同樣�����,NAF可以沒有USS���,因此USS AVP是可選的。在接收Ks_NAF之后��,NAF 29可以完成認(rèn)證過程�����。如果沒有找到TID或者NAF_id_Ua驗(yàn)證失敗����,則BSF 28將錯(cuò)誤消息返回給NAF�����。
在步驟3b之前���,NAF已經(jīng)從用戶設(shè)備接收了UID。在步驟3b中�����,NAF發(fā)送TID和UID以用于驗(yàn)證����。BSF在步驟4b中提供這一驗(yàn)證的結(jié)果。該過程與圖2的消息3a和4a中相同�。在這一情況下,允許NAF在單獨(dú)的消息中驗(yàn)證TID到UID的映射���。在步驟1b和2b中不驗(yàn)證UID���。在NAF被授權(quán)驗(yàn)證多個(gè)TID到UID的映射情況下,它可以在步驟5b中將另一請求發(fā)送到BSF��,并且在步驟6b中獲得驗(yàn)證結(jié)果。這些步驟對應(yīng)于圖2的步驟4a和步驟4b���。步驟5b和步驟6b可以重復(fù)多次�����。如果在BSF數(shù)據(jù)庫中沒有找到TID��,如果無法驗(yàn)證NAF_id_Ua和NAF_id_Zn的映射��,或者如果無法驗(yàn)證TID和UID的映射����,則將錯(cuò)誤消息從BSF發(fā)送到NAF��。
因此�,本發(fā)明的實(shí)施例允許NAF通過UA接口將用戶設(shè)備所使用的NAF標(biāo)識符發(fā)送到BSF,使得BSF能夠?qū)С鯧s_NAF����。
權(quán)利要求
1.一種用于驗(yàn)證實(shí)體的第一標(biāo)識和第二標(biāo)識的方法���,所述方法包括在檢驗(yàn)實(shí)體接收第一標(biāo)識信息���;將第二標(biāo)識信息從該實(shí)體發(fā)送到所述檢驗(yàn)實(shí)體���;驗(yàn)證該第一標(biāo)識和第二標(biāo)識均屬于所述實(shí)體;以及使用所述第一標(biāo)識信息和第二標(biāo)識信息之一生成密鑰�。
2.如權(quán)利要求1中所述的方法,其中所述生成步驟包括從所述第二標(biāo)識生成密鑰�。
3.如任一前述權(quán)利要求中所述的方法,其中所述第一標(biāo)識和第二標(biāo)識之一包括公共標(biāo)識�。
4.如任一前述權(quán)利要求中所述的方法,其中所述第一標(biāo)識和第二標(biāo)識之一包括專有標(biāo)識�。
5.如任一前述權(quán)利要求中所述的方法,其中所述接收步驟包括從用戶設(shè)備接收所述第一標(biāo)識�。
6.如任一前述權(quán)利要求中所述的方法,其中所述接收步驟包括在與接收該第一標(biāo)識的消息相同的消息中接收事務(wù)標(biāo)識符���。
7.如權(quán)利要求1至5的任一權(quán)利要求中所述的方法����,其中所述接收步驟包括在與接收該第一標(biāo)識的消息不同的消息中接收事務(wù)標(biāo)識符�。
8.如任一前述權(quán)利要求中所述的方法,其中所述密鑰包括認(rèn)證密鑰��。
9.如任一前述權(quán)利要求中所述的方法,包括將所述密鑰發(fā)送到所述實(shí)體的步驟���。
10.如任一前述權(quán)利要求中所述的方法��,其中所述生成步驟僅在所述驗(yàn)證成功時(shí)才執(zhí)行�����。
11.如任一前述權(quán)利要求中所述的方法���,其中如果所述驗(yàn)證步驟不成功,則執(zhí)行將錯(cuò)誤消息發(fā)送到該實(shí)體的步驟����。
12.如任一前述權(quán)利要求中所述的方法,包括驗(yàn)證事務(wù)標(biāo)識符到用戶標(biāo)識符的映射的步驟���。
13.如權(quán)利要求12中所述的方法�����,其中將多個(gè)事務(wù)標(biāo)識符映射到用戶標(biāo)識符��,并且依次為每個(gè)事務(wù)標(biāo)識符到用戶標(biāo)識符的映射執(zhí)行所述驗(yàn)證步驟�����。
14.如任一前述權(quán)利要求中所述的方法�����,其中所述實(shí)體包括網(wǎng)絡(luò)應(yīng)用功能����。
15.如任一前述權(quán)利要求中所述的方法����,其中所述檢驗(yàn)實(shí)體包括自舉功能。
16.一種用于驗(yàn)證網(wǎng)絡(luò)應(yīng)用功能的外部接口地址和內(nèi)部接口地址的方法�,包括以下步驟在自舉功能中從用戶設(shè)備接收該內(nèi)部接口地址;在該自舉功能中從該網(wǎng)絡(luò)應(yīng)用功能接收該外部接口地址����;以及驗(yàn)證該外部接口地址和該內(nèi)部接口地址屬于該同一網(wǎng)絡(luò)應(yīng)用功能。
17.一種系統(tǒng)��,包括檢驗(yàn)實(shí)體��,該檢驗(yàn)實(shí)體被設(shè)置用以在檢驗(yàn)實(shí)體接收實(shí)體的第一標(biāo)識����;所述實(shí)體被設(shè)置用以將該實(shí)體的第二標(biāo)識從該實(shí)體發(fā)送到所述檢驗(yàn)實(shí)體���,所述檢驗(yàn)實(shí)體被設(shè)置用以驗(yàn)證該第一標(biāo)識和第二標(biāo)識均屬于所述實(shí)體,以及用以從所述第一標(biāo)識和第二標(biāo)識之一生成密鑰��。
18.一種檢驗(yàn)實(shí)體�,被設(shè)置用以接收實(shí)體的第一標(biāo)識和該實(shí)體的第二標(biāo)識,所述第二實(shí)體標(biāo)識是從該實(shí)體接收的�����,所述檢驗(yàn)實(shí)體被設(shè)置用以驗(yàn)證該第一標(biāo)識和第二標(biāo)識均屬于所述實(shí)體���,以及用以從所述第一標(biāo)識和第二標(biāo)識之一生成密鑰��。
19.一種實(shí)體���,包括第一標(biāo)識和第二標(biāo)識,所述實(shí)體被設(shè)置用以將該第二標(biāo)識發(fā)送到檢驗(yàn)實(shí)體����,以及用以從該檢驗(yàn)實(shí)體接收從所述第二標(biāo)識生成的密鑰。
全文摘要
一種用于驗(yàn)證實(shí)體的第一標(biāo)識和第二標(biāo)識的方法���,所述方法包括在檢驗(yàn)實(shí)體接收第一標(biāo)識信息�;將第二標(biāo)識信息從該實(shí)體發(fā)送到所述檢驗(yàn)實(shí)體;驗(yàn)證該第一標(biāo)識和第二標(biāo)識均屬于所述實(shí)體�����;以及使用所述第一標(biāo)識信息和第二標(biāo)識信息之一生成密鑰����。
文檔編號H04L12/56GK1943203SQ200580011278
公開日2007年4月4日 申請日期2005年4月28日 優(yōu)先權(quán)日2004年4月30日
發(fā)明者珀克卡·萊蒂南 申請人:諾基亞公司