專利名稱:非ip多媒體業(yè)務ue的鑒權方法、鑒權網(wǎng)絡及ue的制作方法
技術領域:
本發(fā)明涉及通信系統(tǒng)的安全技術,特別是一種非IP多媒體業(yè)務UE的鑒權方法、鑒權網(wǎng)絡及UE。
背景技術:
基于GBA(通用鑒權架構)的安全架構中包括GBA_U(基于用戶識別模塊增強型的通用鑒權架構)。
在GBA的構架中包括三個重要的流程鑒權初始流程,用于UE(用戶設備)和NAF(網(wǎng)絡應用實體)之間協(xié)商是否需要進行GBA和一些必要參數(shù)的獲得;鑒權流程,用來在UE和BSF(鑒權服務實體)之間產(chǎn)生密鑰Ks;以及鑒權后安全協(xié)商流程,用于在UE和NAF之間建立共享密鑰Ks_ext_NAF。
在基于GBA_U構架的應用業(yè)務中,對于同時支持USIM(使用者服務認證模塊)、ISIM(IP多媒體業(yè)務標識模塊)功能的UICC(通用集成電路卡)的這一類UE來說,它包含IP多媒體業(yè)務標識模塊ISIM,既可充當GBA客戶端,也可充當NAF應用客戶端,所以能方便的就能開展基于GBA_U構架的業(yè)務。
然而,實際應用中還存在另外的一些UE,如SIM卡或僅支持USIM應用的UICC卡的非IP多媒體業(yè)務UE,其在進行NAF應用時,由于它們自身沒有IP多媒體業(yè)務標識IMPI,將無法建立得到共享密鑰Ks_ext_NAF來完成網(wǎng)絡側(cè)要求的用戶鑒權,從而使得這類型UE無法應用GBA_U的鑒權構架。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種非IP多媒體業(yè)務UE的鑒權方法、鑒權網(wǎng)絡及UE,使得非IP多媒體業(yè)務UE也能應用GBA_U的鑒權架構。
為了實現(xiàn)上述目的,本發(fā)明提供了一種非IP多媒體業(yè)務UE的鑒權方法,用于基于用戶識別模塊增強型的通用鑒權架構,包括鑒權初始流程和鑒權流程,在所述用戶設備和鑒權服務實體之間產(chǎn)生密鑰Ks,其中,還包括IP多媒體業(yè)務標識獲取流程,用戶設備利用用戶標識從網(wǎng)絡應用實體獲取IP多媒體業(yè)務標識;和鑒權后安全協(xié)商流程,用戶設備利用所述IP多媒體業(yè)務標識及密鑰Ks與網(wǎng)絡應用實體建立共享密鑰,完成鑒權。
上述的方法,其中,所述IP多媒體業(yè)務標識獲取流程具體包括A1,用戶設備獲取與其對應的用戶標識后,向網(wǎng)絡應用實體發(fā)送包括用戶標識的業(yè)務初始化請求消息;A2,網(wǎng)絡應用實體根據(jù)用戶標識獲取對應的IP多媒體業(yè)務標識后通過業(yè)務初始化請求響應消息返回給用戶設備。
上述的方法,其中,所述鑒權流程具體包括B1,用戶設備向鑒權服務實體發(fā)送包括用戶標識的請求消息;B2,鑒權服務實體與歸屬簽約用戶服務器交互獲取用戶設備的完整用戶安全設置和鑒權向量信息后,向用戶設備返回鑒權向量信息;B3,用戶設備利用鑒權向量信息認證網(wǎng)絡,并計算出與鑒權服務實體側(cè)相同的完整性密鑰和加密密鑰及鑒權響應值;B4,用戶設備向鑒權服務實體發(fā)送包括鑒權響應值的請求信息;B5,鑒權服務實體通過驗證鑒權響應值有效性實現(xiàn)對用戶設備的鑒權;B6,鑒權成功后,鑒權服務實體生成密鑰Ks,并向用戶設備返回包括事務標識和密鑰Ks的有效期信息;B7,用戶設備保存得到的事務標識和密鑰Ks的有效期,并生成密鑰Ks。
上述的方法,其中,所述鑒權后安全協(xié)商流程具體包括C1,用戶設備根據(jù)網(wǎng)絡應用實體標識和IP多媒體業(yè)務標識計算共享密鑰;C2,用戶設備發(fā)送包括事務標識的業(yè)務鑒權請求消息給網(wǎng)絡應用實體;C3,網(wǎng)絡應用實體利用事務標識和自身信息與鑒權服務實體交互獲取共享密鑰和用戶安全設置;C4,網(wǎng)絡應用實體向用戶設備返回業(yè)務鑒權請求響應消息。
上述的方法,其中,所述非IP多媒體業(yè)務用戶設備為不包括IP多媒體業(yè)務標識模塊的用戶設備或僅支持使用者服務認證模塊應用的通用集成電路卡的用戶設備。
為了更好的實現(xiàn)上述目的,本發(fā)明還提供了一種鑒權網(wǎng)絡,基于用戶識別模塊增強型的通用鑒權架構實現(xiàn),包括用戶設備、網(wǎng)絡應用實體、鑒權服務實體和歸屬簽約用戶服務器,其中所述用戶設備為非IP多媒體業(yè)務用戶設備;用戶設備、網(wǎng)絡應用實體、鑒權服務實體和歸屬簽約用戶服務器用于通過交互根據(jù)用戶的用戶標識發(fā)送對應的IP多媒體業(yè)務標識給用戶設備;所述IP多媒體業(yè)務標識用于完成鑒權后安全協(xié)商流程。
上述的鑒權網(wǎng)絡,其中,所述非IP多媒體業(yè)務用戶設備為不包括IP多媒體業(yè)務標識模塊的用戶設備或僅支持使用者服務認證模塊應用的通用集成電路卡的用戶設備。
為了更好的實現(xiàn)上述目的,本發(fā)明還提供了一種用戶設備,為非IP多媒體業(yè)務用戶設備,其中,包括一IP多媒體業(yè)務標識獲取模塊,用于與網(wǎng)絡側(cè)交互,利用用戶設備標識從網(wǎng)絡側(cè)獲取對應的IP多媒體業(yè)務標識;所述IP多媒體業(yè)務標識用于完成基于用戶識別模塊增強型的通用鑒權架構的鑒權后安全協(xié)商流程。
本發(fā)明對于非IP多媒體業(yè)務用戶設備,在使用GBA_U的鑒權架構時,通過UE與網(wǎng)絡側(cè)的交互,使UE從網(wǎng)絡側(cè)獲取了IMPI,從而利用該IMPI完成后續(xù)的鑒權后安全協(xié)商流程,從而使得非IP多媒體業(yè)務用戶設備也能基于GBA_U的鑒權架構進行業(yè)務的加密和安全鑒權。
圖1為本發(fā)明的用戶設備的鑒權方法的流程示意圖;圖2為本發(fā)明的用戶設備的鑒權方法的鑒權流程的示意圖;圖3為本發(fā)明的用戶設備的鑒權方法的IMPI獲取流程的示意圖;圖4為本發(fā)明的用戶設備的鑒權方法的鑒權后安全協(xié)商流程的示意圖;圖5為本發(fā)明的鑒權網(wǎng)絡的結構示意圖。
具體實施例方式
本發(fā)明應用于GBA_U(基于用戶識別模塊增強型的通用鑒權架構)架構鑒權,其在非IP多媒體業(yè)務用戶設備與NAF(網(wǎng)絡應用實體)、BSF(鑒權服務實體)之間交互完成鑒權初始流程和鑒權流程,建立UE(用戶設備)和BSF之間的相同密鑰Ks,并由UE利用用戶標識從網(wǎng)絡側(cè)獲取IMPI(IP多媒體業(yè)務標識),利用該IMPI與NAF建立共享密鑰Ks_ext_NAF,完成鑒權后安全協(xié)商流程。
在此,該非IP多媒體業(yè)務用戶設備為不包括IP多媒體業(yè)務標識模塊的用戶設備或僅支持使用者服務認證模塊應用的通用集成電路卡的用戶設備,其包括但不限于SIM卡用戶設備、僅支持USIM(使用者服務認證模塊)應用的UICC(通用集成電路卡)用戶設備、PDA(個人數(shù)字助理)、PHS(個人手持電話系統(tǒng))、PC等。
本發(fā)明的非IP多媒體業(yè)務用戶設備的鑒權方法如圖1所示,包括鑒權初始流程,在UE和NAF之間協(xié)商是否需要進行GBA和一些必要參數(shù)的獲得;鑒權流程,在NAF指示進行GBA時,UE和BSF之間產(chǎn)生密鑰Ks;IMPI獲取流程,UE將用戶標識發(fā)送給NAF請求IMPI,NAF根據(jù)用戶標識將對應的IMPI返回用戶設備;鑒權后安全協(xié)商流程,UE利用該IMPI與NAF之間建立共享密鑰Ks_ext_NAF,完成鑒權。
其中該IP多媒體業(yè)務標識獲取流程在生成密鑰Ks后,要進行鑒權后安全協(xié)商流程時發(fā)生,當然也可以在鑒權后安全協(xié)商流程之前發(fā)生。
下面對本發(fā)明的方法進行進一步的詳細描述。
在開始GBA過程之前,UE和NAF必須協(xié)商好是否采用GBA,因此鑒權初始流程中,UE通過參考點Ua發(fā)送初始化請求信息到NAF,其中不含帶任何GBA相關的參數(shù),如果NAF要求UE使用GBA產(chǎn)生的共享密鑰,但由于UE的初始化請求信息不帶有任何GBA相關參數(shù),因此NAF將返回是否需要進行GBA流程的指示信息。
鑒權流程如圖2所示,具體包括步驟21,UE向BSF發(fā)送GBA請求消息,該消息中含有該用戶標識;
步驟22,BSF與HSS(歸屬簽約用戶服務器)交互,獲取該UE的完整GBA用戶的安全設置和鑒權向量信息;步驟23,BSF向用戶設備返回挑戰(zhàn)響應信息,該消息中包含鑒權向量信息中的RAND和AUTN,其中AUTN用于驗證BSF身份,RAND用于使UE獲得與BSF相同的加密密鑰IK和完整性密鑰CK;步驟24,UE利用RAND值,計算AUTN值,并與BSF發(fā)送過來的AUTN進行比對,如果一致,則成功認證網(wǎng)絡,同時計算出與BSF側(cè)相同的CK和IK及RES(鑒權響應值);這樣,BSF和UE都擁有了密鑰IK和CK;步驟25,UE再次向BSF發(fā)送GBA請求信息,并在該消息中攜帶RES,其中RES用于驗證UE的身份;步驟26,BSF通過驗證RES有效性以實現(xiàn)對UE的鑒權;步驟27,鑒權成功后,BSF根據(jù)從HSS處取得的IK和CK生成Ks,并且根據(jù)RAND和BSF服務器名產(chǎn)生事務標識B-TID值,該B-TID能夠唯一標識該次Bootstrapping事件,以后NAF可以根據(jù)這個值向BSF索取達成的相關密鑰Ks_ext_NAF,此外還為共享密鑰Ks定義一個有效期,該有效期主要用于Ks的更新;步驟28,BSF向用戶設備返回200OK消息通知認證成功,其中攜帶B-TID和Ks的有效期信息。也即是,BSF為標識和UE之間的本次鑒權交互業(yè)務而分配一個B-TID,使該BTID與Ks,UE的私有標識相關聯(lián),以便以后BSF可以根據(jù)該B-TID查找出Ks。
步驟29,UE接收到信息后,保存得到的B-TID和Ks的有效期,并生成Ks,該共享密鑰Ks是作為根密鑰來使用的,用于衍生出與NAF通信時的加密密鑰。
通過GBA的鑒權流程,UE和BSF之間就共享了一個根密鑰Ks。
對于同時支持USIM、ISIM功能的UICC卡的這一類UE來說,它包含IP多媒體業(yè)務標識模塊ISIM,因此可以直接利用網(wǎng)絡應用實體標識NAF_ID和IMPI通過密鑰導出函數(shù)KDF計算獲取共享密鑰Ks_ext_NAF,進而利用該共享密鑰Ks_ext_NAF完成鑒權后安全協(xié)商流程。
然而對于本發(fā)明所針對的對象非IP多媒體業(yè)務用戶設備,如使用SIM卡或僅支持USIM應用的UICC卡的用戶設備,在用戶設備中沒有保存該IMPI,但對于任何的用戶設備都存在一個對應于用戶標識的IMPI,對于非IP多媒體業(yè)務用戶設備而言,其沒有保存在用戶設備中,而是保存在網(wǎng)絡側(cè)而已。
因此,對于非IP多媒體業(yè)務用戶設備而言,要在GBA_U架構下完成鑒權后安全協(xié)商流程,必須要增加一個IMPI獲取流程,用戶設備從網(wǎng)絡側(cè)獲取其IMPI,下面對該流程進行詳細描述。
如圖3所示,該IMPI獲取流程具體包括如下步驟步驟31,移動設備(Mobile Equipment,ME)向自身的卡發(fā)送用戶標識請求消息,請求獲取用戶標識;步驟32,卡向ME返回包括用戶標識的用戶標識請求響應消息;步驟33,ME向NAF發(fā)送業(yè)務初始化請求消息,該業(yè)務初始化請求消息中包括用戶標識;步驟34,NAF根據(jù)該業(yè)務初始化請求消息中的用戶標識獲取對應的IMPI,并通過業(yè)務初始化請求響應消息返回給ME。
通過上述步驟,非IP多媒體業(yè)務用戶設備已經(jīng)根據(jù)其用戶標識從網(wǎng)絡側(cè)獲取了對應的IMPI,因此,可以利用該IMPI即可進行后續(xù)的鑒權后安全協(xié)商流程。
如圖4所示,本發(fā)明方法的鑒權后安全協(xié)商流程具體包括步驟41,移動設備將NAF_ID和從網(wǎng)絡側(cè)獲取的IMPI通過鑒權密鑰請求消息發(fā)送給卡;步驟42,卡利用IMPI、Ks、RAND等參數(shù)通過密鑰導出函數(shù)KDF計算共享密鑰Ks_ext_NAF;步驟43,卡通過鑒權密鑰請求響應消息將共享密鑰Ks_ext_NAF返回給移動設備;步驟44,移動設備發(fā)送業(yè)務鑒權請求消息給NAF,該業(yè)務鑒權請求消息中包括B-TID;步驟45,NAF將B-TID和NAF標識NAF_Id通過認證請求消息發(fā)送給BSF;步驟46,BSF收到來自NAF的認證請求消息后,驗證NAF_Id的有效性,并根據(jù)該已經(jīng)達成的Ks,和收到的NAF_Id以及其他密鑰衍生參數(shù)計算Ks_ext_NAF,并和USS(用戶安全設置)一起發(fā)給NAF;步驟47,NAF保存Ks_ext_NAF和用戶安全設置后,向移動設備返回業(yè)務鑒權請求響應消息。
完成該過程后,用戶設備與NAF即可使用Ks_ext_NAF來進行會話協(xié)議和鑒權。
本發(fā)明的用戶設備為非IP多媒體業(yè)務用戶設備,包括一IMPI獲取模塊,用于與網(wǎng)絡側(cè)交互,利用用戶設備標識從網(wǎng)絡側(cè)獲取對應的IP多媒體業(yè)務標識;所述IP多媒體業(yè)務標識用于基于用戶識別模塊增強型的通用鑒權架構的完成鑒權后安全協(xié)商流程。
本發(fā)明的鑒權網(wǎng)絡如圖5所示,基于用戶識別模塊增強型的通用鑒權架構,包括NAF、BSF和HSS,其中UE為非IP多媒體業(yè)務用戶設備;UE和BSF之間通過Ub接口連接,BSF和NAF之間通過Zn接口連接,UE和NAF通過之間Ua接口連接,BSF和HSS之間通過Zh接口連接。
本發(fā)明的鑒權網(wǎng)絡與現(xiàn)有的鑒權網(wǎng)絡的不同之處在于,由于UE為非IP多媒體業(yè)務用戶設備,UE中不存在IMPI,因此,在鑒權過程中,UE、NAF、BSF和HSS還用于通過交互根據(jù)UE的用戶標識發(fā)送對應的IMPI給UE,完成鑒權后安全協(xié)商流程。
以上是為了使本領域普通技術人員理解本發(fā)明,而對本發(fā)明所進行的詳細描述,但可以想到,在不脫離本發(fā)明的權利要求所涵蓋的范圍內(nèi)還可以做出其它的變化和修改,這些變化和修改均在本發(fā)明的保護范圍內(nèi)。
權利要求
1.一種非IP多媒體業(yè)務用戶設備的鑒權方法,用于基于用戶識別模塊增強型的通用鑒權架構,包括鑒權初始流程和鑒權流程,在所述用戶設備和鑒權服務實體之間產(chǎn)生密鑰Ks,其特征在于,還包括IP多媒體業(yè)務標識獲取流程,用戶設備利用用戶標識從網(wǎng)絡應用實體獲取IP多媒體業(yè)務標識;和鑒權后安全協(xié)商流程,用戶設備利用所述IP多媒體業(yè)務標識及密鑰Ks與網(wǎng)絡應用實體建立共享密鑰,完成鑒權。
2.根據(jù)權利要求1所述的方法,其特征在于,所述IP多媒體業(yè)務標識獲取流程具體包括A1,用戶設備獲取與其對應的用戶標識后,向網(wǎng)絡應用實體發(fā)送包括用戶標識的業(yè)務初始化請求消息;A2,網(wǎng)絡應用實體根據(jù)用戶標識獲取對應的IP多媒體業(yè)務標識后通過業(yè)務初始化請求響應消息返回給用戶設備。
3.根據(jù)權利要求1所述的方法,其特征在于,所述鑒權流程具體包括B1,用戶設備向鑒權服務實體發(fā)送包括用戶標識的請求消息;B2,鑒權服務實體與歸屬簽約用戶服務器交互獲取用戶設備的完整用戶安全設置和鑒權向量信息后,向用戶設備返回鑒權向量信息;B3,用戶設備利用鑒權向量信息認證網(wǎng)絡,并計算出與鑒權服務實體側(cè)相同的完整性密鑰和加密密鑰及鑒權響應值;B4,用戶設備向鑒權服務實體發(fā)送包括鑒權響應值的請求信息;B5,鑒權服務實體通過驗證鑒權響應值有效性實現(xiàn)對用戶設備的鑒權;B6,鑒權成功后,鑒權服務實體生成密鑰Ks,并向用戶設備返回包括事務標識和密鑰Ks的有效期信息;B7,用戶設備保存得到的事務標識和密鑰Ks的有效期,并生成密鑰Ks。
4.根據(jù)權利要求1所述的方法,其特征在于,所述鑒權后安全協(xié)商流程具體包括C1,用戶設備根據(jù)網(wǎng)絡應用實體標識和IP多媒體業(yè)務標識計算共享密鑰;C2,用戶設備發(fā)送包括事務標識的業(yè)務鑒權請求消息給網(wǎng)絡應用實體;C3,網(wǎng)絡應用實體利用事務標識和自身信息與鑒權服務實體交互獲取共享密鑰和用戶安全設置;C4,網(wǎng)絡應用實體向用戶設備返回業(yè)務鑒權請求響應消息。
5.根據(jù)權利要求1所述的方法,其特征在于,所述非IP多媒體業(yè)務用戶設備為不包括IP多媒體業(yè)務標識模塊的用戶設備或僅支持使用者服務認證模塊應用的通用集成電路卡的用戶設備。
6.根據(jù)權利要求1所述的方法,所述IP多媒體業(yè)務標識獲取流程在生成密鑰Ks后,要進行鑒權后安全協(xié)商流程時發(fā)生。
7.一種鑒權網(wǎng)絡,基于用戶識別模塊增強型的通用鑒權架構實現(xiàn),包括用戶設備、網(wǎng)絡應用實體、鑒權服務實體和歸屬簽約用戶服務器,其特征在于所述用戶設備為非IP多媒體業(yè)務用戶設備;所述用戶設備、網(wǎng)絡應用實體、鑒權服務實體和歸屬簽約用戶服務器用于通過交互根據(jù)用戶的用戶標識發(fā)送對應的IP多媒體業(yè)務標識給用戶設備;所述IP多媒體業(yè)務標識用于完成鑒權后安全協(xié)商流程。
8.根據(jù)權利要求7所述的網(wǎng)絡,其特征在于,所述非IP多媒體業(yè)務用戶設備為不包括IP多媒體業(yè)務標識模塊的用戶設備或僅支持使用者服務認證模塊應用的通用集成電路卡的用戶設備。
9.一種用戶設備,為非IP多媒體業(yè)務用戶設備,其特征在于,包括一IP多媒體業(yè)務標識獲取模塊,用于與網(wǎng)絡側(cè)交互,利用用戶設備標識從網(wǎng)絡側(cè)獲取對應的IP多媒體業(yè)務標識;所述IP多媒體業(yè)務標識用于完成基于用戶識別模塊增強型的通用鑒權架構的鑒權后安全協(xié)商流程。
10.根據(jù)權利要求9所述的用戶設備,其特征在于,所述非IP多媒體業(yè)務用戶設備為不包括IP多媒體業(yè)務標識模塊的用戶設備或僅支持使用者服務認證模塊應用的通用集成電路卡的用戶設備。
全文摘要
本發(fā)明提供一種非IP多媒體業(yè)務UE的鑒權方法、鑒權網(wǎng)絡及UE,其中該方法用于基于用戶識別模塊增強型的通用鑒權架構,包括鑒權初始流程和鑒權流程,在所述用戶設備和鑒權服務實體之間產(chǎn)生密鑰Ks,其中還包括IP多媒體業(yè)務標識獲取流程,用戶設備利用用戶標識從網(wǎng)絡應用實體獲取IP多媒體業(yè)務標識;和鑒權后安全協(xié)商流程,用戶設備利用所述IP多媒體業(yè)務標識及密鑰Ks與網(wǎng)絡應用實體建立共享密鑰,完成鑒權。本發(fā)明使UE從網(wǎng)絡側(cè)獲取了IMPI來完成后續(xù)的鑒權后安全協(xié)商流程,從而使得非IP多媒體業(yè)務用戶設備也能基于GBA_U的鑒權架構進行業(yè)務的加密和安全鑒權。
文檔編號H04L29/06GK101030862SQ20071009130
公開日2007年9月5日 申請日期2007年3月29日 優(yōu)先權日2007年3月29日
發(fā)明者肖龍安, 吳飛 申請人:中興通訊股份有限公司